エネルギー業界を狙う精巧なサイバースパイ攻撃見つかる、国家が関与か

攻撃は極めて高度なマルウェアやrootkitで構成され、Kaspersky Labは「現時点で最先端級の脅威」と位置付ける。

[鈴木聖子，ITmedia]

　ロシアのセキュリティ企業Kaspersky Labは2月11日、各国の政府機関やエネルギー業界を執拗に狙い続けていた極めて高度なサイバースパイ攻撃「The Mask」（スペイン語名「Careto」）を発見したと発表した。その精巧性からは、国家の関与が疑われると指摘している。

攻撃を受けた組織の国別の数（Kasperskyより）

　Kasperskyによると、この攻撃は少なくとも2007年から存在し、2014年1月まで続いていた。極めて高度なマルウェアやrootkitで構成される複雑なツールキットを使っているのが特徴で、Mac OS XやLinux、さらにはAndroidやiOS（iPad／iPhone）まで標的としていた可能性があるという。

　狙われたのは主に政府機関や大使館などの外交施設、石油およびガス会社、研究機関など。中東や欧州、中南米、米国、中国など31カ国の380以上の組織で標的型攻撃が確認されているという。

　攻撃はまず、悪質なWebサイトへのリンクを仕込んだスピアフィッシングメールを送り付ける手口を利用。リンク先のWebサイトにさまざまなソフトウェアの脆弱性を突くコードを仕掛けてマルウェアに感染させていた。

　マルウェアが標的のシステムに感染すると、全通信チャネルを妨害し、被害者のマシンから機密文書や暗号鍵、システム情報などを盗み出す。rootkitなどの機能やサイバースパイモジュールを使っているため、検出は極めて難しいという。作者はスペイン語圏の人物と思われる。

　Kasperskyは国家の関与を疑う理由として、作戦の遂行手順に極めて高度な専門性がみられると解説。その精巧性は、産業制御システムを狙ったマルウェア「Duqu」を上回り、「現時点で最先端級の脅威」と言えると指摘する。普通のサイバー犯罪集団にはこれほどレベルの高い攻撃はできないという。

　同社は昨年、この攻撃を発見し、攻撃に使われていた制御用サーバをダウンさせたと説明している。