日本や韓国への標的型攻撃「Icefog」は「サイバー傭兵」タイプ(カスペルスキー) | ScanNetSecurity
2024.05.04(土)

日本や韓国への標的型攻撃「Icefog」は「サイバー傭兵」タイプ(カスペルスキー)

カスペルスキーは、同社が発見した日本および韓国の企業を攻撃対象とした新たなサイバースパイ活動である「Icefog」について、プレスカンファレンスを開催した。

脆弱性と脅威 脅威動向
facebookLINE
カスペルスキーの代表取締役社長である川合林太郎氏
カスペルスキーの代表取締役社長である川合林太郎氏 全 7 枚 拡大写真
株式会社カスペルスキーは10月3日、同社が発見した日本および韓国の企業を攻撃対象とした新たなサイバースパイ活動である「Icefog」について、プレスカンファレンスを開催した。カンファレンスにおいて同社の代表取締役社長である川合林太郎氏は、サイバー攻撃は1企業をターゲットに金銭目的で行うものだけでなく、国家が背後に控えているような大規模攻撃も発生している。また、以前のサイバー攻撃には「日本語の壁」があり、日本は「他人事」で済んでいたが、その壁はもうないとした。

しかし、相変わらず日本の企業などの危機意識は低く、たとえ攻撃を受けても「ただのウイルス」「個人情報が漏れたわけではない」などと危機感がないという。「ACTIVE」の実施によって、国も危機的な状況にあることを少しは認識したかと思ったが、その内容はISPがユーザに危険なサイトへアクセスさせないというレベルに過ぎないと川合氏は指摘する。

さらに、攻撃のスピードが速くなっているのに保護する側、対策側のスピードは依然として遅く、その理由にはセキュリティに対する意識の低さがあるとした。そして川合氏は、今回の攻撃は日本と韓国で実際に起きており、また現在把握している情報がすべてではないとして、まずは社内PCのOSやアプリケーションにセキュリティパッチをあてる重要性を認識して欲しいと述べた。

続いて登壇した、同社Global Research and Analysis Team(GReAT)日本情報セキュリティラボの所長であるミヒャエル・モルスナー氏が登壇、「Icefog」の詳細について発表した。ミヒャエル氏は、サイバー攻撃によるインシデントが増加の一途をたどっており、また政府や企業などで発生した情報漏えいの原因が、かなりの割合でハッキングが占めていると説明した。また、悪意のあるコードが埋め込まれたWebサイトも多く、同氏はボランティアで発見と警告を行っている。この3カ月で1,238のサイトを国内で発見し警告しているものの、未だに修正されていないサイトが210あるという。

ミヒャエル氏は、日本が標的型攻撃の主要なターゲットとなったとした上で、「Icefog」への説明に移った。「Icefog(別名:Fucobha)」は正確にはバックドアの名称で、攻撃の名称は「尖刀三号(Dagger Three)」とも呼ばれている。その特徴についてミヒャエル氏は「サイバー傭兵」であるという。6~7名の少人数がプロジェクトとして攻撃を行っており、あらかじめ目的となるデータを正確に把握している。また、そのデータを入手したら即撤収し二度と現れない「ヒットエンドラン」戦法が特徴であるとした。

さらに、おそらくソーシャルな手口によって標的について非常に詳細に調査しており、標的の職種や立場、趣味嗜好にピンポイントに合わせた標的型メールを送付する。攻撃手法については、専用に開発されたツールではなくWindowsで一般的に使用されるツールを使っていることも特徴だ。そしてミヒャエル氏は、実際に発生した「Icefog」の攻撃を再現した。2013年6月11日に日本のマスメディアの社員に送られたメールは、人気アイドルグループメンバーに関するアダルトなタイトルで、ターゲットが興味を持ちそうな名称のファイルが添付されていた。これは攻撃者が、当時話題になっていた「じゃんけんイベント」に合わせたものだとミヒャエル氏は推測する。

デモ画面では、ターゲットのWindowsと攻撃者の「Icefog」のコマンドライン画面を表示した。ターゲットが添付ファイルを開くと、Wordが一度起動して終了し、再び起動してコンテンツの画像を表示する。もちろん、このコンテンツは囮で、この間に新しいフォルダがシステムフォルダに作成される。ターゲットがPCを再起動すると実行され、Tempフォルダに「tmp.dat」というファイルが作成され実行される。これにより攻撃者は「Icefog」からターゲットのPCのリモートコントロールが可能になる。そのタイミングで「tmp.dat」は自動的に削除され、痕跡を消す。これが侵入の第一段階となる。

ターゲットのPCをリモートコントロール可能となった攻撃者は、コマンドによりPC内のファイルをチェックし、必要なファイルをダウンロードして盗み出す。もちろんネットワークドライブにアクセスすることも可能だ。「Icefog」は現在のところ、日本および韓国の軍事、造船、人工衛星、マスメディアといった業種を主に攻撃しているが、これは氷山の一角に過ぎないとミヒャエル氏は言う。またツールは、Windows用の「Fucobha」Mac OS X用の「Macfog」があり、これらはJavaなどの最新の脆弱性を悪用する。シンプルな暗号解析ツールも用意されている。最後にミヒャエル氏は、「Icefog」に似た攻撃も確認されており、引き続き調査を進めていくとした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

ランキングをもっと見る
ホーム 脆弱性と脅威 脅威動向 記事
TOP