某旅行代理店を襲ったマルウェア「PlugX」の手法と対策

この記事をtweetする このエントリーをはてなブックマークに追加


旅行代理店を襲ったマルウェア「PlugX」の手法と対策

エンドポイントセキュリティ 2016/06/21

 ジェイティービーのグループ会社i.JTBで発覚した不正アクセスによる個人情報流出問題。同社は「個人情報流出の事実は確認されておらず」と報告していますが、報道によれば対象となるのは約793万人分(有効なパスポート番号4300件を含む)だといいます。今回、i.JTBを襲ったのは偽装メールに端を発する標的型攻撃です。

 「もやは『メールを読む、Webを見る』といった行為は、治安が悪い地域を大金をもって歩くことに等しい。経営者はそのくらいの覚悟をもってセキュリティを考えてほしい」――こう語るのは、ファイア・アイのアナリストの本城信輔氏。実際に攻撃に使われた可能性が高いマルウェア「PlugX(別名Kaba)」について、デモを交えながら解説しました。

本城信輔氏

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

本城信輔氏
FireEye Labs. シニア・スタッフ・リサーチ・アナリスト

「狙いすました」攻撃がJTBを襲った……

 本城氏は開口一番、「なぜ今さらPlugXに感染したのか」と率直な感想を述べました。PlugXは、2012年ごろから活動が確認されている遠隔操作用マルウェアです。攻撃対象のPCに感染できれば、攻撃者は自由にファイルの送受信とプログラムの実行ができます。しかし、PlugXが猛威をふるったのは2014年まで。国内で発見された標的型攻撃用マルウェアのシェアを見ると、2014年下半期に35.90%だったPlugXは、2015年以降、7.32%へと激減しているのです。

 「これは狙いすました攻撃だったのでしょう」と本城氏は続けます。例えば、2015年に日本年金機構を襲ったマルウェア「Sunblade(別名Emdivi)」は現在も活発に活動しています。亜種による攻撃が捕捉されていれば、当然、対抗策もアップデートされ続けます。

 ここで攻撃者の視点に立てば、PlugXを使った理由が見えてきそうです。それは、旬を過ぎたマルウェアで亜種を作り、不特定多数ではなく「ここだ」と狙いを付けた2〜3カ所だけを攻撃したほうが成功率が上がるからです。世の中に「検体」が出回っていなければ、シグネチャ型のセキュリティ対策ツールをすり抜ける可能性も高まるでしょう。

標的型攻撃マルウェア(2014年下半期)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃マルウェア(2014年下半期)
PlugXのシェアは35.90%
(資料提供:ファイア・アイ)

標的型攻撃マルウェア(2015年〜現在)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃マルウェア(2015年〜現在)
PlugXのシェアは7.32%
(資料提供:ファイア・アイ)


 もう1つ、これまでのPlugXとは異なる点もありました。これまでPlugXによる攻撃対象国は、米国、韓国、香港、台湾、日本など。その標的となるのはハイテク企業、航空宇宙産業、メディア、通信、政府機関などで機密情報を盗み出すことが目的とされていました。

 今回、旅行代理店が持つ個人情報が狙われた背景には何があるのでしょうか。本城氏は以下のように分析しました。

「これまでPlugXを使うグループは重要情報を狙っていました。正直なところ、個人情報を狙ったことの意図はまだ分かっていません。しかし、個人情報を狙うことはこの1〜2年のトレンドです。旅行業界に限らず、個人情報を持つ企業全てが攻撃の対象となるでしょう」

「しかし、この事件は『変革点』となるかもしれません。標的型攻撃を行うグループは複数確認されています。断定はできませんが、今回旅行会社を狙ったグループと、かつて日本年金機構を狙った別のグループとが連携を図った可能性があります」

PlugXをデモンストレーション

 PlugXは、ユーザインタフェースが中国語であることからセキュリティの専門家は「中国製」である可能性が高いとみています。また、攻撃元となるC&C(コマント&コントロール)サーバは日本国内のサーバが悪用されているケースもあるものの、元をたどると中国に行きつくともいいます。このように「中国において大規模攻撃を組織的に展開できること」から国家的な関与があるのではないかと本城氏は予想します。

パケット転送ツールの悪用

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

パケット転送ツールの悪用
C&Cサーバからパケット転送された先は中国国内。複数の攻撃グループが手口の共有を図っている可能性があります
(資料提供:ファイア・アイ)

 PlugXには幾つかのバリエーションが確認されていますが、今回、本城氏がデモを行ったのは「たまたまセキュリティ研究者が入手に成功したもの」の1つで、実際にi.JTBを攻撃したものと同一ではありません。しかし、感染するとPCの登録情報の窃取、実行中のプロセスの確認、ファイルのアップロードとダウンロード、コマンドプロンプトの任意実行、レジストリ操作などがGUIベースのツールで実行できます。ここまでツール化されていれば、攻撃は手順書さえあれば専門的な知識がなくてもできそうです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

PlugXの基本画面


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

GUIベースのファイル操作

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

感染させたPCのデータを表示


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

コマンドプロンプト


有効な対策は?

 今回、i.JTBへの標的型攻撃は、顧客からの問い合わせを偽装したメールから始まりました。これまで、セキュリティの基本として「怪しいメールは開かない」と教育されてきたわけですが、本城氏は「企業が持つ情報を狙う攻撃では、そもそも『怪しいメール』は来ません」と断言します。彼らに「怪しいメールを見抜け」という責任を負わせるのは酷というもの。

 また、先に挙げたようにシグネチャ型のセキュリティ対策ツールでは、攻撃を防ぎきれないわけです。本城氏が所属するファイア・アイはマルウェアの振る舞いを分析して食い止めるサンドボックスを提供する企業ですが、その本城氏をして「サンドボックスによる阻止確率が99.9%、99.99%と進化していったとしても、攻撃を100%防ぐことは不可能」とコメントします。高度化した標的型攻撃を水際でたたき落とすことは、もはや現実的な解決策とは言い難いのです。

 最後に本城氏は、「経営者は『感染は防げないもの』と認識すべき」と提案します。例えば、抜本的な対策の1つとして「ネットワークの分離」を挙げます。個人情報や機密情報を扱うネットワークと、Web閲覧やメール送受信を行う通常業務ネットワークを分けて、被害の大規模拡大を防ぐわけです。当然、業務効率が低下することや導入コストがかさむといった痛みを許容しなければなりません。とはいえ、日本年金機構ではネットワークは分離されていたものの“業務効率”を優先した手順違反により1台のPCが感染しました。やはり従業員への教育は重要なのです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

標的型攻撃/某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「標的型攻撃」関連情報をランダムに表示しています。

標的型攻撃」関連の製品

クライアント運用管理ソフトウェア SKYSEA Client View 【Sky】 次世代マルウェア対策「CylancePROTECT」 【日立ソリューションズ】 「失敗しない働き方改革」に2-in-1デバイスを生かし切るには? 【日本マイクロソフト】
IT資産管理 アンチウイルス オフィスソフト
使いやすさを追求したクライアント運用管理ソフトウェア。「ログ管理」や「IT資産管理」など必要な機能を標準装備し、専門知識がない人でも簡単に扱える点が魅力。 AI技術を利用した、パターンファイルを必要としないマルウェア対策。未知/既知を問わず、マルウェアが実行される前にエンドポイント上で検知・防御する。 クライアント端末の刷新だけでは真の働き方改革にはならない。安全性や実効性を確保しないと定着しないからだ。失敗しないために何が必要なのか。具体例を交えて紹介する。

標的型攻撃」関連の特集


悪質パケットが飛び交うネット社会のありさまをリアルタイムに観測!対サイバー攻撃アラートシステム「DA…



2014年度はSIM製品30億円、SIEM製品27億円の市場規模が見込まれる統合ログ管理ツール。企業…



標的型サイバー攻撃など従来の境界防御の限界が見えてきた今、セキュリティに求められる新たな姿とは?アナ…


標的型攻撃」関連のセミナー

半年前の情報はもう古い!ランサムウェア最新対策セミナー 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

猛威を振るい続けるランサムウェア。近年よく聞かれるようになりましたが、かなり古くから存在する攻撃手法の1つです。常に進化・変貌を重ねており、個人から大手企業まで…

【3社合同(Cylance/IBM/MOTEX)】最新セキュリティ対策セミナー 【エムオーテックス/日本アイ・ビー・エム/Cylance Japan】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

今年9月に米国大手インターネット検索会社が、不正アクセスにより約5億件のユーザー情報が流出したことを発表しました。また、今年3月からシステムへのアクセスを制限し…

DataCenter Networking Conference 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

SDN/NFVなどデータセンターユーザーのニーズに応える最先端テクノロジーとソリューションを解説■キーノート■     ※敬称略●データセンターをとりまくネット…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

標的型攻撃/ 某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「標的型攻撃/ 某旅行代理店を襲ったマルウェア「PlugX」の手法と対策」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30009012


IT・IT製品TOP > エンドポイントセキュリティ > メールセキュリティ > メールセキュリティのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ