編集部からのお知らせ
記事まとめ集:コロナ禍に小売業はどう対応?
テレワーク関連記事一覧はこちら

セキュアUSBメモリを使うマルウェア攻撃、Windows XPや2003を標的に

ZDNet Japan Staff

2018-06-25 15:50

 セキュリティ企業の米Palo Alto Networksは、重要インフラシステムや制御システムの保守などに利用されるセキュアUSBメモリへマルウェアを混入させる攻撃を報告した。同社は、ミッションクリティカルなシステムにおけるセキュリティ対策の“エアギャップ”を突く脅威だと指摘している。

 同社によると、この攻撃は主に日本と韓国の組織を標的にしたサイバースパイ活動を展開する「Tick」と呼ばれるグループが実行している。攻撃に悪用されたセキュアUSBメモリは、韓国の防衛系企業が開発しているもので、製品は韓国のセキュリティガイドラインに準拠しているものだという。

 攻撃の全容は判明していないものの、攻撃グループは、セキュアUSBメモリを管理するコンピュータに何からの方法でトロイの木馬を含む正規のソフトウェアを通じて、「SymonLoader」というプログラムをインストールさせる。SymonLoaderは、管理コンピュータのOSがWindows XPもしくはWindows Server 2003は動作を継続し、Windows 7などのより新しいOSである場合は動作を停止する。

 SymonLoaderが動作を継続する場合は、管理コンピュータで「device monitor」という隠しウィンドウを実行して、コンピュータに接続されるストレージデバイスを監視する。デバイスが接続されるとドライブの種類や製造元などの情報を確認し、SymonLoaderが標的としているセキュアUSBメモリだった場合は、特定の領域に未知の実行形式ファイルなどが書き込まれる仕組みだった。

感染の手順(出典:Palo Alto Networks)
感染の手順(出典:Palo Alto Networks)

 実際にSymonLoaderがUSBメモリに書き込むファイルの正体は不明ながら、同社はこのファイルが悪質である可能性が高いとの判断に足る十分な情報があると説明。セキュアUSBメモリを悪用する攻撃手法は珍しく、これまで実際の攻撃活動が確認されたケースはほとんどないという。

 セキュアUSBメモリは、一般的にインターネット接続が行われていないクローズドな重要インフラシステムや制御システムで、ソフトウェア更新などの保守やメンテナンス作業に利用される。こうしたクローズドな環境は、インターネット経由のマルウェア侵入などのリスクが低いと考えられ、システムの安定稼働を優先することからもセキュリティ対策があまりなされていない場合が多く、同社が今回見つかった攻撃が、この隙を突く脅威だとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]