日本を狙うサイバー攻撃で注意喚起、不審なメールや対策状況の確認を

FireEyeが中国を発信源とする2種類の標的型サイバー攻撃に関する情報を公開した。2つの攻撃に数多くの共通性がみられるという。

» 2014年09月19日 13時53分 公開
[國谷武史,ITmedia]

 セキュリティ企業のFireEyeは9月19日、日本や台湾のごく限られた企業・組織を標的にする2種類のサイバー攻撃の発生を確認したと発表した。同社はいずれも中国から実行されているとみており、対策状況などの確認を呼び掛けている。

 それによると、攻撃の1つは同社が「Moafee」と名付けた広東省が拠点をみられるグループと、「DragonOK」と名付けた江蘇省が拠点とみられるグループによって行われているという。Moafeeは東南アジア諸国の国益に関係する政府や企業などを狙ったサイバー攻撃への関与も疑われている。

 攻撃ではDragonOKによって作成されたとみられる詐欺メールが日本や台湾のハイテク企業に送り付けられた。日本に着信したメールには、京都大学の卒業者だという履歴書に偽装されたWordファイルが添付されている。このファイルを開くと、Wordの脆弱性を突いてコンピュータに感染し、さまざま不正プログラムが送り込まれる。攻撃者は感染端末を通じて企業や組織内で長期間にわたってスパイ行為を重ね、機密情報を盗み出している可能性が高い。偽装された履歴書は日本語で書かれているが、不自然な文章だったという。

DragonOKが作成したとみられる偽の履歴書ファイル

 同社によると、当初はDragonOKとMoafeeが別々の攻撃者グループとみられていた。しかし、攻撃に使われている不正プログラムや検知を回避する手法などの点に数多くの共通性がみつかり、攻撃のための通信インフラを共有していることも判明した。同社はこの攻撃を「Operation Quantum Entanglement」と命名し、2つの攻撃者グループが密接に連携して攻撃を実行したと指摘している。

 もう1つの攻撃は、同社が「APT12」と分類する攻撃者グループによって実行され、日本と台湾の組織が狙われたという。台湾の組織に送りつけられたメールには、Operation Quantum Entanglementと同じくWordの脆弱性(CVE-2012-0158)を突くファイルが添付されていた。

 APT12は、2012年に米紙New York Timesから記者などの情報が盗まれた事件にも関与したという。今回の攻撃では6月に米Arbor Networksが情報を公開して以降、攻撃の手が緩んだという。

 リサーチ・アナリストの本城信輔氏は、攻撃で悪用されたWordの脆弱性を修正するパッチが2012年にリリースされているため、添付ファイルを開いて不正プログラムに感染してしまった企業は少ないだろうとみる。しかし、今回のような攻撃では高度に訓練された組織が関与しており、日本の企業や組織の持つ技術情報や内部情報を確実に狙ってくると指摘する。

 同社は製品で攻撃を検知できるようにしたほか、協力するセキュリティ他社にも情報を提供しているとのこと。情報に基づいてセキュリティ各社が既に攻撃検知の対応を取っている可能性もあり、企業や組織では導入しているセキュリティ製品での対応状況を確認したい。

Operation Quantum Entanglement攻撃では中国内の別組織が連携しながら実行しているとみられる

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ