6月17日、セキュリティベンダーのファイア・アイは、大手旅行会社の情報漏えい事件を引き起こしたと思われる「PlugX」に関する緊急説明会を開催した。説明会ではファイア・アイのシニア・スタッフ・リサーチ・アナリストの本城信輔氏がPlugXの概要と対策について説明した。
攻撃件数が減っているからこそPlugXは危険
PlugXは遠隔操作用のマルウェアで、中国製のRAT(Remote Admin Tool)。従来用いられていた「PoisonIvy」に替わって、2012年頃から国内のAPT攻撃で用いられているという。ターゲットは米国、韓国、香港、台湾、日本などで、おもにハイテク企業が狙われている。
PlugXの概要
登壇した本城氏は、数多くのバージョンが存在するというPlugXのうち1つを中国語版のOSで動作させ、マルウェアの作成と遠隔での操作を実演。マルウェアはGUI画面から簡単に作ることができ、感染したPCの再起動やファイル転送、プロセスやレジストリ、コマンドプロンプト操作なども自由に行なえることを披露した。「大事なのはあくまで踏み台の1つということで、感染したPCを自由に操作できるので、別のマルウェアを送り込むことができる。別種類のツールをインストールし、企業の機密情報に迫る」(本城氏)
PlugXでのマルウェア作成と遠隔操作のデモ
実はPlugX攻撃は激減している途中だ。昨年からの脅威を調べると、日本年金機構の攻撃で使われたSunbladeがメインで、PlugXはむしろ減っているという。しかし、攻撃数が少ないからこそ、むしろ危険になっている。「本当に標的となる2~3社のみ狙っている。シグネチャベースの製品だと検知できない。数が少ない方がむしろ危険だ」と指摘する。
ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏
本城氏は、こうしたAPT攻撃の動向を説明すべく、PlugXのおとり文章を披露。一見正しそうな文章に見えるが、中国語のフォントが用いられていたり、日本語の表現がおかしかったりといった特徴があるという。
APT攻撃は機密情報から個人情報へ!感染を前提とした対策が重要
国内へのAPT攻撃は、ハイテク、製造業、NGO、軍事産業などがメインターゲットで、中国の複数のハッキンググループが関与しているという。ツールキット自体が中国語版というのが大きな理由だ。こうしたグループはパケット転送ツールを悪用して攻撃元を偽装したり、複数のチームがマルウェアと技術を共有していたり、Adobe Flashの脆弱性を悪用した水飲み場攻撃などが行なっているという。「APT攻撃が機密情報ではなく、個人情報を狙いだしたようだ。個人情報を大規模に盗むというのがこの1年のトレンドになっている」と本城氏は指摘する。
こうした企業の機密情報を狙うAPT攻撃に関しては、もはや感染を前提にした対策が必要になるという。本城氏は、「よくわからないファイルはもう来ない。怪しいと判別するのは不可能。従業員にあやしいファイルを開かないといった、注意喚起で防げる時代は終わった」と語る。もちろん、ファイア・アイのサンドボックスでも多くのAPT攻撃は防げるが、感染は完全には防げないという。
感染を前提とした対策が必要
本城氏は感染を防ぐ対策のみならず、感染してしまった後の対応手順や攻撃の監視、早期発見、復旧などが重要になると改めて強調。レッドチームの演習や機密情報を扱うネットワークの分離なども必要になってくると説明した。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
