Kaspersky、日中韓で活動するゲリラ型サイバー攻撃を確認

攻撃者は欧米企業のサプライチェーンを標的に、数日ないしは数週間程度の活動を展開していたという。

[ITmedia]

　ロシアのセキュリティ企業Kasperskyは9月25日、日本や韓国を主に狙った限定的な標的型サイバー攻撃を確認したと発表した。攻撃者は少なくとも日本や中国、韓国をベースに活動していると推測している。

日本のマスコミを狙った攻撃に使われた文書ファイル（Kasperskyより）

　同社が「Icefog」（もしくはFucobha）と名付けたこの攻撃では、標的者ごとに細工されたフィッシングメールが送り付けられる。メールに添付されたファイルを開くと、コンピュータに存在する脆弱性を突いて感染する。例えば、日本のマスコミあてに送られたメールにはアイドルのグラビア画像が貼りつけられた文書ファイルが添付されていた。同社の分析ではWindowsやMac OS Xに感染するバックドアが使用されていた。

　さらに、標的に対して1対1の攻撃を仕掛けるという。攻撃者は特定情報だけの所在を突き止めると、それを入手してすぐに「コマンド＆コントロール（C&C）サーバ」に送信し、攻撃を停止。標的者からどのような情報を搾取できるかを熟知した上で攻撃が行われた可能性もあるという。

　同社では攻撃者が使用した70以上のC&Cサーバのドメインのうち13ドメインも分析。攻撃者が軍事や物流、IT、通信、メディアなどに関心を持っていたことや、標的に情報と実行した攻撃のログを暗号化して保持していたことが判明。この監視や制御に使用されたIPアドレスのリストから、攻撃の背後にいる人物は日本と中国、韓国をベースに活動しているとみられている。

　被害に遭ったIPアドレスは4000件以上で、日本や韓国、台湾、香港、中国、米国、オーストラリア、カナダ、英国、イタリア、ドイツ、オーストリア、シンガポール、ベラルーシ、マレーシアなどの国や地域に及び、数十件のWindowsユーザーと350件のMac OS Xユーザーが攻撃を受けたことを確認した。

　一般的な標的型サイバー攻撃は、長期間にわたって継続的に攻撃が行われるものの、今回の攻撃では数日ないしは数週間程度に限定され、「ゲリラ的である点が特徴」という。同社では今後、ゲリラ型攻撃に特化した小規模な攻撃者グループが増えていくと予想している。