某旅行代理店を襲ったマルウェア「PlugX」の手法と対策

この記事をtweetする このエントリーをはてなブックマークに追加


旅行代理店を襲ったマルウェア「PlugX」の手法と対策

エンドポイントセキュリティ 2016/06/21

 ジェイティービーのグループ会社i.JTBで発覚した不正アクセスによる個人情報流出問題。同社は「個人情報流出の事実は確認されておらず」と報告していますが、報道によれば対象となるのは約793万人分(有効なパスポート番号4300件を含む)だといいます。今回、i.JTBを襲ったのは偽装メールに端を発する標的型攻撃です。

 「もやは『メールを読む、Webを見る』といった行為は、治安が悪い地域を大金をもって歩くことに等しい。経営者はそのくらいの覚悟をもってセキュリティを考えてほしい」――こう語るのは、ファイア・アイのアナリストの本城信輔氏。実際に攻撃に使われた可能性が高いマルウェア「PlugX(別名Kaba)」について、デモを交えながら解説しました。

本城信輔氏

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

本城信輔氏
FireEye Labs. シニア・スタッフ・リサーチ・アナリスト

「狙いすました」攻撃がJTBを襲った……

 本城氏は開口一番、「なぜ今さらPlugXに感染したのか」と率直な感想を述べました。PlugXは、2012年ごろから活動が確認されている遠隔操作用マルウェアです。攻撃対象のPCに感染できれば、攻撃者は自由にファイルの送受信とプログラムの実行ができます。しかし、PlugXが猛威をふるったのは2014年まで。国内で発見された標的型攻撃用マルウェアのシェアを見ると、2014年下半期に35.90%だったPlugXは、2015年以降、7.32%へと激減しているのです。

 「これは狙いすました攻撃だったのでしょう」と本城氏は続けます。例えば、2015年に日本年金機構を襲ったマルウェア「Sunblade(別名Emdivi)」は現在も活発に活動しています。亜種による攻撃が捕捉されていれば、当然、対抗策もアップデートされ続けます。

 ここで攻撃者の視点に立てば、PlugXを使った理由が見えてきそうです。それは、旬を過ぎたマルウェアで亜種を作り、不特定多数ではなく「ここだ」と狙いを付けた2〜3カ所だけを攻撃したほうが成功率が上がるからです。世の中に「検体」が出回っていなければ、シグネチャ型のセキュリティ対策ツールをすり抜ける可能性も高まるでしょう。

標的型攻撃マルウェア(2014年下半期)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃マルウェア(2014年下半期)
PlugXのシェアは35.90%
(資料提供:ファイア・アイ)

標的型攻撃マルウェア(2015年〜現在)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃マルウェア(2015年〜現在)
PlugXのシェアは7.32%
(資料提供:ファイア・アイ)


 もう1つ、これまでのPlugXとは異なる点もありました。これまでPlugXによる攻撃対象国は、米国、韓国、香港、台湾、日本など。その標的となるのはハイテク企業、航空宇宙産業、メディア、通信、政府機関などで機密情報を盗み出すことが目的とされていました。

 今回、旅行代理店が持つ個人情報が狙われた背景には何があるのでしょうか。本城氏は以下のように分析しました。

「これまでPlugXを使うグループは重要情報を狙っていました。正直なところ、個人情報を狙ったことの意図はまだ分かっていません。しかし、個人情報を狙うことはこの1〜2年のトレンドです。旅行業界に限らず、個人情報を持つ企業全てが攻撃の対象となるでしょう」

「しかし、この事件は『変革点』となるかもしれません。標的型攻撃を行うグループは複数確認されています。断定はできませんが、今回旅行会社を狙ったグループと、かつて日本年金機構を狙った別のグループとが連携を図った可能性があります」

PlugXをデモンストレーション

 PlugXは、ユーザインタフェースが中国語であることからセキュリティの専門家は「中国製」である可能性が高いとみています。また、攻撃元となるC&C(コマント&コントロール)サーバは日本国内のサーバが悪用されているケースもあるものの、元をたどると中国に行きつくともいいます。このように「中国において大規模攻撃を組織的に展開できること」から国家的な関与があるのではないかと本城氏は予想します。

パケット転送ツールの悪用

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

パケット転送ツールの悪用
C&Cサーバからパケット転送された先は中国国内。複数の攻撃グループが手口の共有を図っている可能性があります
(資料提供:ファイア・アイ)

 PlugXには幾つかのバリエーションが確認されていますが、今回、本城氏がデモを行ったのは「たまたまセキュリティ研究者が入手に成功したもの」の1つで、実際にi.JTBを攻撃したものと同一ではありません。しかし、感染するとPCの登録情報の窃取、実行中のプロセスの確認、ファイルのアップロードとダウンロード、コマンドプロンプトの任意実行、レジストリ操作などがGUIベースのツールで実行できます。ここまでツール化されていれば、攻撃は手順書さえあれば専門的な知識がなくてもできそうです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

PlugXの基本画面


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

GUIベースのファイル操作

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

感染させたPCのデータを表示


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

コマンドプロンプト


有効な対策は?

 今回、i.JTBへの標的型攻撃は、顧客からの問い合わせを偽装したメールから始まりました。これまで、セキュリティの基本として「怪しいメールは開かない」と教育されてきたわけですが、本城氏は「企業が持つ情報を狙う攻撃では、そもそも『怪しいメール』は来ません」と断言します。彼らに「怪しいメールを見抜け」という責任を負わせるのは酷というもの。

 また、先に挙げたようにシグネチャ型のセキュリティ対策ツールでは、攻撃を防ぎきれないわけです。本城氏が所属するファイア・アイはマルウェアの振る舞いを分析して食い止めるサンドボックスを提供する企業ですが、その本城氏をして「サンドボックスによる阻止確率が99.9%、99.99%と進化していったとしても、攻撃を100%防ぐことは不可能」とコメントします。高度化した標的型攻撃を水際でたたき落とすことは、もはや現実的な解決策とは言い難いのです。

 最後に本城氏は、「経営者は『感染は防げないもの』と認識すべき」と提案します。例えば、抜本的な対策の1つとして「ネットワークの分離」を挙げます。個人情報や機密情報を扱うネットワークと、Web閲覧やメール送受信を行う通常業務ネットワークを分けて、被害の大規模拡大を防ぐわけです。当然、業務効率が低下することや導入コストがかさむといった痛みを許容しなければなりません。とはいえ、日本年金機構ではネットワークは分離されていたものの“業務効率”を優先した手順違反により1台のPCが感染しました。やはり従業員への教育は重要なのです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

標的型攻撃/某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

次世代型アンチウイルス プロテクトキャット Powered by Cylance 【エムオーテックス】 ネットワーク分離ソリューション 【アクシオ】 統合IT資産管理ツール QND 【クオリティソフト】
アンチウイルス その他ネットワークセキュリティ関連 IT資産管理
人工知能を活用した次世代型アンチウイルス。マルウェアの隔離から流入経路追跡までが可能。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 クライアントPCの現状把握や台帳作成などの基本的な資産管理や、セキュリティ管理、ライセンス管理、PC操作ログ取得、外部メディア制御など、総合的な管理が可能。

標的型攻撃」関連の特集


自社からの情報流出を防ぐ出口対策のために自社のIT資産明確化と外部メディア制御が可能な資産管理ツール…



 2010年12月IPAは、「“ドライブバイダウンロード(攻撃)”の危険性」についてプレスリリースを…



 独立行政法人 情報処理推進機構(略称IPA)は、2012年10月30日に『標的型攻撃メールの傾向と…


標的型攻撃」関連のセミナー

Logstorage紹介セミナー 【アシスト】  

開催日 4月14日(金)   開催地 大阪府   参加費 無料

セキュリティ対策、各種法令対応、リスクマネジメントの一環として、各システムから出力されるログは効率よく管理、運用することが求められております。 しかし実際にはロ…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 4月13日(木)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

ランサムウェア、標的型攻撃対策に有効な脅威インテリジェンス 【ウォッチガード・テクノロジー・ジャパン】  

開催日 4月21日(金),5月12日(金)   開催地 東京都   参加費 無料

あらゆる規模の企業にて被害が発生している巧妙なマルウェア、または身代金要求ウイルスであるランサムウェアによる被害が急速に拡大しています。これらの脅威を迅速に検知…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

標的型攻撃/ 某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「標的型攻撃/ 某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30009012


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ