サイバー攻撃に関して説明するとき、”sophisticated”(洗練された)という表現がよく使われています。攻撃集団による情報の窃盗やコンピューター システムの妨害を目的とした新手の「高度な」攻撃の場合でも、第一発見者はその攻撃を“sophisticated”と説明するようです。ただ、こうした攻撃の多くは、シンプルなeメール1本から始まっています。これが実は最も効果的なマルウェア拡散メカニズムの1つであるからです。
マカフィーのモバイルリサーチチームが、従来の手口とは異なる新たな脅威を発見しました。
Google Playから正規のアプリとして購入できるAndroidのマルウェアで、韓国人ユーザーが標的とされています。キャンペーン コード、インフラ、戦術や手順を分析した結果、このマルウェアの背景には、手口を進化させ、現在ではモバイル プラットフォームで活動しているLazarusというサイバー犯罪集団の存在が垣間見えます。攻撃の特徴に関する議論は絶えず盛んに繰り広げられていますが、進化し続ける攻撃者集団の手口を文書化することで、企業やユーザーはその攻撃から適切に防御できるようになります。
これまでの調査から、このアプリは2017年3月に初めてリリースされたことがわかっています。配布されている数は少なく、韓国人ユーザーを対象に開発されています(テレメトリ解析による)。
確証を得ることはできませんが、北朝鮮の宗教団体や元々のアプリケーションの開発者を支援していたGodPeopleというソウルの組織の関係者が狙われた可能性があります。GodPeopleは北朝鮮出身の人々に同情的で、北朝鮮の非合法教会団体に関する映画の制作を支援しています。過去に朝鮮半島で脅威を発見した際の韓国情報保護振興院とのやり取りから、こうした韓国国内の攻撃は、宗教団体を狙ったものが多いことが判明しています。
進化する攻撃の手口
攻撃者は、eメールを侵入手段として使うことで、標的を非常に細かく絞り込むことができます。スピア フィッシングと呼ばれる攻撃法です。不正アプリケーションを開発しても、これほど細かく標的を絞り込むことはできません。今回発見されたマルウェアは、韓国語で聖書を読むための正規のAPKアプリとして開発されています。攻撃ベクトルとしてモバイル プラットフォームを利用する効果は大きいかもしれません。特に、Forbesの記事によると、韓国には「いち早く5Gを手に入れたい」モバイル人口が非常に多いからです。通常、モバイル プラットフォームといえば携帯電話を想定しますが、韓国では従来のノートPCに代わり、タブレットの利用率が増加しています。タブレットのセキュリティはどの程度確保され、どのようにモニタリングされているのでしょうか。
今後もモバイル プラットフォームを狙う攻撃の進化は続くことが予想されます。今回発見された脅威は、Lazarus集団がモバイルを利用した最初のケースと思われます。そのため、このような変化の意味は大きく、犯罪者が普及率に合わせて攻撃するプラットフォームを変えていることが伺えます。実際、国際電気通信連合によると、現在、世界のモバイル加入者数は世界の人口を上回っています。このことから、モバイル プラットフォーム利用率の増加に伴い、今回のような手口は増加の一途をたどる可能性が高いでしょう。
出典: 国際電気通信連合
安全を確保し続けるには
進化する邪悪な犯罪者の手口を理解することが必要不可欠です。こうした新手の戦術に対抗するためには、シンプルでも効果的なセキュリティ対策を講じることが極めて重要になります。今回のマルウェアは、マカフィーのモバイル セキュリティ チームによって「Androidのバックドア型」であることが判明しました。お使いのモバイル機器のセキュリティ アプリケーションは、必ず最新の状態に保ってください。また、ソースが不明なアプリケーションは絶対にインストールしないでください。
※本ページの内容は、2017年11月20日更新のMcAfee Blogの内容です。
原文:Lazarus Cybercrime Group Moves to Mobile Platform
著者:Christiaan Beek and Raj Samani
