編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

ルータ経由で標的狙うマルウェア「Slingshot」、アフリカや中東で被害か

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2018-03-13 13:49

 Kaspersky Labの研究者らが発見したスパイマルウェアは、政府が開発に関与している可能性があり、この6年間、アフリカや中東の標的を監視しているようだ。

 研究者らは「Slingshot」を開発した国の名前をまだ明かしていないが、完璧な英語で書かれたデバッグメッセージが存在することを指摘している。「Gollum」や「Smeagol」といったコンポーネント名が多数存在することは、執筆者が「ホビット」関連のファンであることを示唆している。

 Slingshotは脆弱性を含むMikroTik製ルータ向けソフトウェアを利用して、標的にリーチしたようだ。MikroTikはラトビアの企業だ。

 同社のルータ管理ソフトウェア「Winbox」は、ルータのファイルシステムからDLLをダウンロードする。Winbox Loaderはそのうちの1つである「ipv4.dll」という悪意あるライブラリを標的のコンピュータにダウンロードし、メモリに直接ロードして実行する。ipv4.dllはスパイツール群のダウンローダだ。

 「Cahnadr」と「GollumApp」という2つのツールが連携して、情報を収集などを行う。

 Kasperskyの研究者らは、Slingshotがスクリーンショットやキーボードデータ、ネットワークデータ、パスワード、USB接続、そのほかのデスクトップアクティビティ、クリップボードのデータを収集できることを確認した。

 研究者らは、SlingshotがどのようにしてMikroTikルータに感染し、PCへのWinBoxブリッジを利用するのかをまだ特定していないが、技術文書の中で、WikiLeaksが暴露した米中央情報局(CIA)の「Vault 7」に、「ChimayRed」と呼ばれるMikroTikのルータOS向けのエクスプロイトに関する記載があると指摘している。

 MikroTikによると、最新バージョンのWinBoxでは、ルータからのipv4.dllファイルのダウンロードを停止することで、攻撃経路を塞いでいるという。

 このマルウェアは狭い範囲で使われているようだ。Kasperskyが2012~2018年2月の間に同社ユーザーの間で同マルウェアを検知した件数はわずか100件だという。

 セキュリティを破られたコンピュータはケニア、イエメン、リビア、アフガニスタン、イラク、タンザニア、ヨルダン、モーリシャス、ソマリア、トルコ、アラブ首長国連邦で見つかった。

 Kasperskyが公開しているSlingshotのFAQによると、GollumAppモジュールは1500近くの機能を備えるという。

 Kasperskyは、MikroTikルータのユーザーに対し、最新のソフトウェアリリースにアップデートするよう呼びかけている。また同社は、MikroTikのWinboxソフトウェアはすでにルータからユーザーのコンピュータへファイルのダウンロードを許可しないようにしていると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]