米国の3つの連邦政府機関は米国時間8月3日、米国の民間企業に対して「Taidoor」の新バージョンに関する警告を共同で発表した。Taidoorは中国政府の後援を受けているサイバー攻撃グループが使用するマルウェアファミリーだ。
提供:ZDNet
このアラートは、国土安全保障省(DHS)のサイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)、国防総省のサイバー軍(CyberCom)、連邦捜査局(FBI)によって共同で発表された。
中国のリモートアクセス型トロイの木馬「Taidoor」
発表されたアラートによれば、Taidoorと呼ばれるマルウェアは2008年から使用されているという。このマルウェアの別バージョンは2012年と2013年にも発見されており、マルウェアに関する情報をまとめたサイトであるMalpediaによれば、NTTセキュリティ、FireEye、Trend Microなどが従来バージョンに関するレポートを発表している。
今回の共同アラートで、Taidoorが新たな攻撃で使用されていることが明らかになった。新しいTaidoorのサンプルには32ビットシステム用のものと64ビットシステム用のものがあり、通常は対象のシステムにダイナミックリンクライブラリ(DLL)としてインストールされているという。
アラートでは、このDLLファイルには2つのファイルが含まれており、「最初のサービスはローダーで、こちらがまずサービスとして起動される。このローダーが2つ目のファイルを復号して、メモリー上で実行する仕組みになっており、こちらがメインのリモートアクセス型トロイの木馬(RAT)の役割を果たす」と説明されている。
Taidoorは、中国のハッカーが感染したシステムにアクセスし、データを密かに持ち出したり、ほかのマルウェアを展開したりすることを可能にする。
FBIは、Taidoorは通常プロキシーサーバーと一緒に展開され、マルウェアの運用元を隠ぺいするようになっていると述べている。
3つの機関が共同で発表した、緩和策や対応策について説明したマルウェア分析レポート(MAR)は、こちらで参照できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。