日本や韓国への標的型攻撃「Icefog」は「サイバー傭兵」タイプ(カスペルスキー) | ScanNetSecurity
2024.05.18(土)

日本や韓国への標的型攻撃「Icefog」は「サイバー傭兵」タイプ(カスペルスキー)

カスペルスキーは、同社が発見した日本および韓国の企業を攻撃対象とした新たなサイバースパイ活動である「Icefog」について、プレスカンファレンスを開催した。

脆弱性と脅威 脅威動向
facebookLINE
カスペルスキーの代表取締役社長である川合林太郎氏
カスペルスキーの代表取締役社長である川合林太郎氏 全 7 枚 拡大写真
株式会社カスペルスキーは10月3日、同社が発見した日本および韓国の企業を攻撃対象とした新たなサイバースパイ活動である「Icefog」について、プレスカンファレンスを開催した。カンファレンスにおいて同社の代表取締役社長である川合林太郎氏は、サイバー攻撃は1企業をターゲットに金銭目的で行うものだけでなく、国家が背後に控えているような大規模攻撃も発生している。また、以前のサイバー攻撃には「日本語の壁」があり、日本は「他人事」で済んでいたが、その壁はもうないとした。

しかし、相変わらず日本の企業などの危機意識は低く、たとえ攻撃を受けても「ただのウイルス」「個人情報が漏れたわけではない」などと危機感がないという。「ACTIVE」の実施によって、国も危機的な状況にあることを少しは認識したかと思ったが、その内容はISPがユーザに危険なサイトへアクセスさせないというレベルに過ぎないと川合氏は指摘する。

さらに、攻撃のスピードが速くなっているのに保護する側、対策側のスピードは依然として遅く、その理由にはセキュリティに対する意識の低さがあるとした。そして川合氏は、今回の攻撃は日本と韓国で実際に起きており、また現在把握している情報がすべてではないとして、まずは社内PCのOSやアプリケーションにセキュリティパッチをあてる重要性を認識して欲しいと述べた。

続いて登壇した、同社Global Research and Analysis Team(GReAT)日本情報セキュリティラボの所長であるミヒャエル・モルスナー氏が登壇、「Icefog」の詳細について発表した。ミヒャエル氏は、サイバー攻撃によるインシデントが増加の一途をたどっており、また政府や企業などで発生した情報漏えいの原因が、かなりの割合でハッキングが占めていると説明した。また、悪意のあるコードが埋め込まれたWebサイトも多く、同氏はボランティアで発見と警告を行っている。この3カ月で1,238のサイトを国内で発見し警告しているものの、未だに修正されていないサイトが210あるという。

ミヒャエル氏は、日本が標的型攻撃の主要なターゲットとなったとした上で、「Icefog」への説明に移った。「Icefog(別名:Fucobha)」は正確にはバックドアの名称で、攻撃の名称は「尖刀三号(Dagger Three)」とも呼ばれている。その特徴についてミヒャエル氏は「サイバー傭兵」であるという。6~7名の少人数がプロジェクトとして攻撃を行っており、あらかじめ目的となるデータを正確に把握している。また、そのデータを入手したら即撤収し二度と現れない「ヒットエンドラン」戦法が特徴であるとした。

さらに、おそらくソーシャルな手口によって標的について非常に詳細に調査しており、標的の職種や立場、趣味嗜好にピンポイントに合わせた標的型メールを送付する。攻撃手法については、専用に開発されたツールではなくWindowsで一般的に使用されるツールを使っていることも特徴だ。そしてミヒャエル氏は、実際に発生した「Icefog」の攻撃を再現した。2013年6月11日に日本のマスメディアの社員に送られたメールは、人気アイドルグループメンバーに関するアダルトなタイトルで、ターゲットが興味を持ちそうな名称のファイルが添付されていた。これは攻撃者が、当時話題になっていた「じゃんけんイベント」に合わせたものだとミヒャエル氏は推測する。

デモ画面では、ターゲットのWindowsと攻撃者の「Icefog」のコマンドライン画面を表示した。ターゲットが添付ファイルを開くと、Wordが一度起動して終了し、再び起動してコンテンツの画像を表示する。もちろん、このコンテンツは囮で、この間に新しいフォルダがシステムフォルダに作成される。ターゲットがPCを再起動すると実行され、Tempフォルダに「tmp.dat」というファイルが作成され実行される。これにより攻撃者は「Icefog」からターゲットのPCのリモートコントロールが可能になる。そのタイミングで「tmp.dat」は自動的に削除され、痕跡を消す。これが侵入の第一段階となる。

ターゲットのPCをリモートコントロール可能となった攻撃者は、コマンドによりPC内のファイルをチェックし、必要なファイルをダウンロードして盗み出す。もちろんネットワークドライブにアクセスすることも可能だ。「Icefog」は現在のところ、日本および韓国の軍事、造船、人工衛星、マスメディアといった業種を主に攻撃しているが、これは氷山の一角に過ぎないとミヒャエル氏は言う。またツールは、Windows用の「Fucobha」Mac OS X用の「Macfog」があり、これらはJavaなどの最新の脆弱性を悪用する。シンプルな暗号解析ツールも用意されている。最後にミヒャエル氏は、「Icefog」に似た攻撃も確認されており、引き続き調査を進めていくとした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  7. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  10. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

ランキングをもっと見る
ホーム 脆弱性と脅威 脅威動向 記事
TOP