このページの本文へ

感染を前提とした対策の重要性をアピール

ファイア・アイ、大手旅行会社を襲った「PlugX」を詳説

2016年06月17日 11時30分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

6月17日、セキュリティベンダーのファイア・アイは、大手旅行会社の情報漏えい事件を引き起こしたと思われる「PlugX」に関する緊急説明会を開催した。説明会ではファイア・アイのシニア・スタッフ・リサーチ・アナリストの本城信輔氏がPlugXの概要と対策について説明した。

攻撃件数が減っているからこそPlugXは危険

 PlugXは遠隔操作用のマルウェアで、中国製のRAT(Remote Admin Tool)。従来用いられていた「PoisonIvy」に替わって、2012年頃から国内のAPT攻撃で用いられているという。ターゲットは米国、韓国、香港、台湾、日本などで、おもにハイテク企業が狙われている。

PlugXの概要

 登壇した本城氏は、数多くのバージョンが存在するというPlugXのうち1つを中国語版のOSで動作させ、マルウェアの作成と遠隔での操作を実演。マルウェアはGUI画面から簡単に作ることができ、感染したPCの再起動やファイル転送、プロセスやレジストリ、コマンドプロンプト操作なども自由に行なえることを披露した。「大事なのはあくまで踏み台の1つということで、感染したPCを自由に操作できるので、別のマルウェアを送り込むことができる。別種類のツールをインストールし、企業の機密情報に迫る」(本城氏)

PlugXでのマルウェア作成と遠隔操作のデモ

 実はPlugX攻撃は激減している途中だ。昨年からの脅威を調べると、日本年金機構の攻撃で使われたSunbladeがメインで、PlugXはむしろ減っているという。しかし、攻撃数が少ないからこそ、むしろ危険になっている。「本当に標的となる2~3社のみ狙っている。シグネチャベースの製品だと検知できない。数が少ない方がむしろ危険だ」と指摘する。

ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏

 本城氏は、こうしたAPT攻撃の動向を説明すべく、PlugXのおとり文章を披露。一見正しそうな文章に見えるが、中国語のフォントが用いられていたり、日本語の表現がおかしかったりといった特徴があるという。

APT攻撃は機密情報から個人情報へ!感染を前提とした対策が重要

 国内へのAPT攻撃は、ハイテク、製造業、NGO、軍事産業などがメインターゲットで、中国の複数のハッキンググループが関与しているという。ツールキット自体が中国語版というのが大きな理由だ。こうしたグループはパケット転送ツールを悪用して攻撃元を偽装したり、複数のチームがマルウェアと技術を共有していたり、Adobe Flashの脆弱性を悪用した水飲み場攻撃などが行なっているという。「APT攻撃が機密情報ではなく、個人情報を狙いだしたようだ。個人情報を大規模に盗むというのがこの1年のトレンドになっている」と本城氏は指摘する。

 こうした企業の機密情報を狙うAPT攻撃に関しては、もはや感染を前提にした対策が必要になるという。本城氏は、「よくわからないファイルはもう来ない。怪しいと判別するのは不可能。従業員にあやしいファイルを開かないといった、注意喚起で防げる時代は終わった」と語る。もちろん、ファイア・アイのサンドボックスでも多くのAPT攻撃は防げるが、感染は完全には防げないという。

感染を前提とした対策が必要

 本城氏は感染を防ぐ対策のみならず、感染してしまった後の対応手順や攻撃の監視、早期発見、復旧などが重要になると改めて強調。レッドチームの演習や機密情報を扱うネットワークの分離なども必要になってくると説明した。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード