6月17日、セキュリティベンダーのファイア・アイは、大手旅行会社の情報漏えい事件を引き起こしたと思われる「PlugX」に関する緊急説明会を開催した。説明会ではファイア・アイのシニア・スタッフ・リサーチ・アナリストの本城信輔氏がPlugXの概要と対策について説明した。
攻撃件数が減っているからこそPlugXは危険
PlugXは遠隔操作用のマルウェアで、中国製のRAT(Remote Admin Tool)。従来用いられていた「PoisonIvy」に替わって、2012年頃から国内のAPT攻撃で用いられているという。ターゲットは米国、韓国、香港、台湾、日本などで、おもにハイテク企業が狙われている。
PlugXの概要
登壇した本城氏は、数多くのバージョンが存在するというPlugXのうち1つを中国語版のOSで動作させ、マルウェアの作成と遠隔での操作を実演。マルウェアはGUI画面から簡単に作ることができ、感染したPCの再起動やファイル転送、プロセスやレジストリ、コマンドプロンプト操作なども自由に行なえることを披露した。「大事なのはあくまで踏み台の1つということで、感染したPCを自由に操作できるので、別のマルウェアを送り込むことができる。別種類のツールをインストールし、企業の機密情報に迫る」(本城氏)
PlugXでのマルウェア作成と遠隔操作のデモ
実はPlugX攻撃は激減している途中だ。昨年からの脅威を調べると、日本年金機構の攻撃で使われたSunbladeがメインで、PlugXはむしろ減っているという。しかし、攻撃数が少ないからこそ、むしろ危険になっている。「本当に標的となる2~3社のみ狙っている。シグネチャベースの製品だと検知できない。数が少ない方がむしろ危険だ」と指摘する。
ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏
本城氏は、こうしたAPT攻撃の動向を説明すべく、PlugXのおとり文章を披露。一見正しそうな文章に見えるが、中国語のフォントが用いられていたり、日本語の表現がおかしかったりといった特徴があるという。
APT攻撃は機密情報から個人情報へ!感染を前提とした対策が重要
国内へのAPT攻撃は、ハイテク、製造業、NGO、軍事産業などがメインターゲットで、中国の複数のハッキンググループが関与しているという。ツールキット自体が中国語版というのが大きな理由だ。こうしたグループはパケット転送ツールを悪用して攻撃元を偽装したり、複数のチームがマルウェアと技術を共有していたり、Adobe Flashの脆弱性を悪用した水飲み場攻撃などが行なっているという。「APT攻撃が機密情報ではなく、個人情報を狙いだしたようだ。個人情報を大規模に盗むというのがこの1年のトレンドになっている」と本城氏は指摘する。
こうした企業の機密情報を狙うAPT攻撃に関しては、もはや感染を前提にした対策が必要になるという。本城氏は、「よくわからないファイルはもう来ない。怪しいと判別するのは不可能。従業員にあやしいファイルを開かないといった、注意喚起で防げる時代は終わった」と語る。もちろん、ファイア・アイのサンドボックスでも多くのAPT攻撃は防げるが、感染は完全には防げないという。
感染を前提とした対策が必要
本城氏は感染を防ぐ対策のみならず、感染してしまった後の対応手順や攻撃の監視、早期発見、復旧などが重要になると改めて強調。レッドチームの演習や機密情報を扱うネットワークの分離なども必要になってくると説明した。
