このページの本文へ

量子もつれにダーウィンの進化論?

ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明

2014年09月22日 06時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

9月19日、ファイア・アイは攻撃キャンペーン「オペレーション・クアンタム・エンタングルメント」(量子もつれ効果)と、「APT12」との関連性が疑われる攻撃キャンペーンについて、記者発表会を開催した。日本企業などを標的とするこれら攻撃では、ツールや攻撃手法に多くの共通点が見られ、攻撃者のトレーニングやツール供給を行なう犯罪組織の存在も見え隠れする。

攻撃グループは違うが、根っこは1つ?

 標的型攻撃対策ソリューションを提供するファイア・アイは、日本企業を標的としたサイバー攻撃を最近いくつか観測した。

 1つは、「オペレーション・クアンタム・エンタングルメント」。江蘇省を作戦拠点にする攻撃グループ「DragonOK」と、広東省を作戦拠点とする「Moafee」によるサイバー攻撃の総称で、物理的に離れた地域にありながらツールや攻撃手法などに多くの共通点があることから、特殊な相関関係を持つ量子で一方を測定、確定できれば他方の情報も確定するという「クアンタム・エンタングルメント」(量子もつれ効果)にちなんで名付けられた。

 標的はそれぞれ異なり、DragonOKは日本および台湾の製造業やハイテク企業を狙い、Moafeeは南シナ海のアジア諸国および軍事組織を標的にサイバー攻撃を仕掛けている。「前者の目的は、企業機密を盗み出して経済的競争上の優位性を獲得することと。後者は、レアメタルや天然資源の多い南シナ海の国益絡みと推測される」(ファイア・アイの本城信輔氏)。

ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏

 両グループの攻撃には、大きく3つの共通点がある。1つは、裏市場で出回っているツールキットではなく、独自開発したRAT(リモートアクセスツール)やバックドアを使用していること。2つめは、サンドボックス技術やアンチウイルス製品、ファイアウォールによるマルウェア検出の回避方法が同じであること。そして3つめは、中国のハッカーグループ「中国紅客連盟」が作ったプロキシツール「HTRAN」(HUC Packet Transmit Tool)を使って、攻撃拠点の隠ぺいを図ろうとしていることだ。

 「マルウェアの検出回避では、現在の環境がサンドボックス内かどうかを判断するためにCPUコア数を調査する。サンドボックスは1個の場合が多く、1個と分かれば動作せずに沈黙し、検出を回避する」(本城氏)。

 攻撃は、主にスピアフィッシングメールが使われている。実行ファイルを含むZIPファイル、またはパスワード保護されたWordファイルをメールで送り付けるのだが、たとえばDragonOKは京都大学の学生の履歴書を模したファイルを使っていたという。中身を見ると、日本人であれば書かないような「京都大学 専門 英語 入学」といった表記があったり、自己PR欄に「会社」ではなく「公司」と書かれていたりと、中国グループの犯行を匂わせる証拠がいくつか残っていた。

左の画面は、台湾系技術企業宛てに送られてきたフィッシングメールの本文。右のWordファイルは、日本企業宛ての偽履歴書

 以上の情報を総合し、本城氏は「両グループはマルウェアの供給やツールの使い方のトレーニングなどを同じ組織から受けている可能性が高い」とまとめる。

進化する攻撃グループAPT12に引き続き注意

 もう1つ観測されたサイバー攻撃は、「APT12」によるものだ。

 同社では200以上の脅威グループを常時監視しており、その中で中国を拠点とするグループは「APT」に分類し、攻撃手法やツール、関係組織などの洗い出しを行なっている。APT12も、その1つだ。

 APT12は、2012年10月にニューヨークタイムズ紙へのサイバー攻撃の実行グループで、APT1同様に中国人民解放軍の関連が濃厚とされている。このグループは、ファイア・アイ命名の「RIPTIDE」というマルウェアを使ってきたが、ニューヨークタイムズ紙への攻撃が発覚し、さらにはアーバーネットワークスが同社ブログでRIPTIDEの調査報告を行なった後、使用を停止。しばらくして改良版「HIGHTIDE」を使うようになった。「まるでダーウィン進化論のように、進化と適応を繰り返すのが特徴だ」(本城氏)。

マルウェアを進化させ、新たな攻撃を計画する「APT12」

 そして現在、APT12に関連すると思われる新たなサイバー攻撃が2つ判明した。それぞれ「THREEBYTE」と「WATERSPOUT」と名づけられたマルウェアを使用し、WATERSPOUTについては8月25日、日本のハイテク企業への攻撃で観測されている。

 いずれの攻撃も、CVE-2012-0158の脆弱性を悪用していること、標的が類似していること、バックドアの記述パスが同じことなどから、「断定はできないがAPT12が絡んでいる可能性が高い」という。

 「CVE-2012-0158は、2012年に修正パッチが公開されている。しかし、この脆弱性を悪用したマルウェアは未だ多く存在する。裏を返せば、パッチを当てていないところが多く、攻撃成功の可能性が高いから採用されているとも考えられる」。本城氏はこのように警告し、脆弱性への対応の重要性を訴えた。

 「対策としては、企業側ではマルウェアを検知できる製品やソリューションを導入すること。クライアントPC側では、アプリケーションの修正パッチを適用し、ソフトウェアを最新バージョンにアップデートすること。さらに、マイクロソフトが提供するWindows向けのぜい弱性緩和ツール「EMET」を導入するのも1つの手だ」(本城氏)。

■関連サイト

カテゴリートップへ

ピックアップ