<速報> 小学校に刃物男、小4男児けが…静岡・藤枝
    文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    日本を襲う情報窃取ウイルス モバイル接続ノートPCが危ない

     日本で情報漏えいを狙ったウイルス(マルウェア)がみつかっている。まだ具体的な被害は表面化していないものの、目的は行政機関や企業の情報窃取のようだ。モバイル接続のノートPCが狙われている可能性がある。(ITジャーナリスト・三上洋)

    「The Bald Knight Rises」

    • 日本国内を狙うサイバー攻撃活動「The Bald Knight Rises」。映画バットマンの題名をもじった名前だ(カスペルスキーによる)
      日本国内を狙うサイバー攻撃活動「The Bald Knight Rises」。映画バットマンの題名をもじった名前だ(カスペルスキーによる)

     セキュリティー大手・カスペルスキーが13日にセミナーを開催し、日本国内での最新状況として、情報漏えいを狙うマルウェアの活動を紹介した。

     セキュリティーリサーチャーの石丸傑氏が取り上げたのは「The Bald Knight Rises(ザ・ボールド・ナイト・ライジズ)」と呼ぶサイバー攻撃活動。奇妙な名前だが、アイコンが映画バットマンの画像を使っていたことに由来している。バットマンの耳を削除した画像を使っていることから、映画のタイトル(「The Dark Knight Rises」邦題:ダークナイトライジング)と、「Bald(ハゲた)」を組み合わせた活動名になっている。

     このマルウェアの狙いは、日本と韓国のようだ。マルウェアチェックサイトであるウイルストータルでの報告数は75%が日本、13%が韓国となっている。またカスペルスキーの調査では、マルウェアに対する指令サーバー(C2サーバー)の53%が日本に設置されていた。

     カスペルスキーの調査では、一つの指令サーバーだけで日本国内に1500のIPアドレスが観測されている。これは、1500台のPCの感染が疑われることを意味する数字だ。石丸氏は「一部の調査だけなので、実際にはこれ以上に感染していると思われる」とも指摘しており、かなり広範囲に感染している可能性がある。

    行政機関、エネルギーや重工業などの企業から情報窃取

    • マルウェアは75%が日本で発見され、指令サーバーの53%が日本にあった(カスペルスキーによる)
      マルウェアは75%が日本で発見され、指令サーバーの53%が日本にあった(カスペルスキーによる)

     このマルウェアでの被害は、まだ日本国内では報告されていないが、それは被害がないという意味ではない。むしろ、感染していることに気づかないままで情報を盗まれている行政機関や企業があると理解するべきだ。石丸氏は「国内の行政機関、エネルギー・ユーティリティー、重工業、貿易、情報通信サービスなどの企業が狙われている。マルウェアの目的は情報窃取だろう」と考察する。

     感染経路としては、標的型攻撃メール(感染させるメール)を受ける、水飲み場型(特定のサイトで待ち受けて感染させる)攻撃を受ける、国産ソフトの脆弱(ぜいじゃく)性を突かれるという三つがあるとのこと。

     国産ソフトの脆弱性とは、以前に報告されている文書作成ソフト「一太郎」の脆弱性を突く攻撃だと思われる。これについては、セキュリティー大手・トレンドマイクロも自社ブログで紹介している(標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用:トレンドマイクロセキュリティブログ)。メールにおとり文書として「防災基本計画の構成」などの一太郎ファイルが添付されており、アップデートされていない古い一太郎で開くと感染するものだ。

    外回りの社員が持つスマホやノートPCが感染?

    • カスペルスキーのセキュリティーリサーチャー・石丸傑氏
      カスペルスキーのセキュリティーリサーチャー・石丸傑氏

     カスペルスキーでは、海外に設置されていた指令サーバー(C2サーバー)のデータを基に、このマルウェアに感染しているPCの調査を行った。石丸氏によれば「感染しているPCのほとんどが、国内のモバイル事業者・ISPでの接続だった。企業内のPCがやられているのではなく、(社外での)モバイル利用のノートPCの感染が疑われる」ということだ。

     もう少し詳しく言うと、「PCでモバイルルーターを使う」「スマートフォンでテザリング機能を利用する」という両ケースで、USBケーブルを使った直接接続での感染が疑われている。

     Wi-Fiでモバイルルーターやテザリング機能を利用する場合は、ルーター機能によって別のIPアドレス(ローカルIPアドレス)が振られる。この場合はルーター経由になり、直接インターネットに接続しないため、ルーターが壁のような役割をしてサイバー攻撃を回避できることが多い。

     これに対し、モバイルルーターや古いAndroidのスマホをUSBケーブルを使って接続すると、ルーターを通さずにモデムとして接続するものがある。石丸氏は「この形で接続しているPCが、今回のマルウェアに感染している可能性がある」としている。具体的には「外回りの社員、たとえば営業マンの持つPCが感染しているのかもしれない。社内のPCであればファイアウォールなどのセキュリティー対策がされているが、外回りの営業マンが外で直接インターネット接続してしまうと脆弱だ。持ち出しノートPCのモデム接続が狙われている可能性がある」と石丸氏は述べた。

    巧妙な隠蔽も PCのセキュリティー再点検を

     この活動で使われているマルウェアは「XXMM」と呼ばれている。厄介なのは、XXMMが自らの存在を隠すために様々な活動をすることだ。

    「The Bald Knight Rises」のマルウェア「XXMM」などの隠蔽
    ・不審な通信だと思われないように活動時間を8時から17時に限定
    ・通信先などを読み込むのに画像データを利用。画像ファイルの末尾にデータを忍び込ませて偽装(ステガノグラフィ)する
    ・大量のゴミデータを加えて、セキュリティー会社による解析を阻止
    ・セキュリティー会社による接続をシャットアウト

    • 画像に情報を埋め込んでマルウェアに指令を出している。ステガノグラフィと呼ばれる手法だ(カスペルスキーによる)
      画像に情報を埋め込んでマルウェアに指令を出している。ステガノグラフィと呼ばれる手法だ(カスペルスキーによる)

     「巧妙で洗練された技術を使っている」(石丸氏)とのことだ。日本国内での感染について、具体的な被害が報告されていないのは、この巧妙な隠蔽によるものだと考えていいだろう。

     石丸氏によれば「12月5日にもマルウェアの活動が検知されており、今も国内企業で感染があると思われる。行政機関や企業は警戒が必要」ということだ。

     具体的な対策としては、ノートPCのセキュリティー対策を見直すことだ。特にUSBケーブルをつないでインターネット接続しているノートPCでは(1)ファイアウォールを導入する(2)ウイルス対策を厳重に行う(3)ルーター接続にする――などの処置を行いたい。

    カスペルスキーの日本法人社長が「ロシア疑惑」を改めて否定

    • カスペルスキー日本法人の川合林太郎社長
      カスペルスキー日本法人の川合林太郎社長

     今回のカスペルスキーのセミナーでは、日本法人の川合林太郎社長が、ロシア情報機関との疑惑について改めて否定した。この疑惑はカスペルスキーのセキュリティー製品を通じて、ロシア情報機関が侵入する恐れがあるというものだ。

     米国では12日に成立した国防権限法で、連邦政府機関でのカスペルスキー製品の利用を全面的に禁止したほか、英国でもサイバーセキュリティーセンター(NCSC)が「国家安全保障上のリスクと考えられる分野では、ロシアに本拠を置く企業の製品を使用しないよう勧告する」との発表を行っている。

     これについて川合社長は「一連の報道についてご心配をおかけしている。アメリカでの報道は遺憾。匿名の情報提供者からの情報で騒ぎが起きているが、技術的根拠が一切ない」として、疑惑を否定した。その上で「独立機関によるソースコードの検証、アップデート方法などの検証を実施する。また一連の事件に対する調査も行って、お客様に影響がないことを確認している」と、ロシア情報機関とのつながりがないことを改めて強調した。

    2017年12月20日 12時00分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    ハウステンボス旅行など当たる!夏休み特集