世界の防衛産業やインフラを狙う新手の攻撃、日本を含む87組織が標的に

[鈴木聖子，ITmedia]

　セキュリティ企業の米McAfeeは12月12日、日本を含む世界各国の防衛産業やインフラなどを狙って情報を収集しようとする新手の標的型攻撃が見つかったと発表した。

　McAfeeはこの攻撃を「Operation Sharpshooter」と命名している。標的とされたのは、原子力、防衛、エネルギー、金融機関といった業界の組織だった。

世界各国の原子力、防衛、エネルギー、金融機関といった業界の組織が標的となった（出典：McAfee）

標的型攻撃の全貌（出典：McAfee）

　McAfeeによると、攻撃は2018年10月25日に始まり、不正なコードを仕込んだMicrosoft Wordファイルが出回った。文書は全て、正規の採用活動に見せかけて職種や職務内容を記したもので、米国のIPアドレスを使ってDropbox経由で配布されていた。

　文書の内容は全て英語だったが、コリア語のメタデータが含まれていたことから、コリア語版のMicrosoft Wordで作成された文書だったことを伺わせるという。

　問題のWord文書には不正なマクロが仕込まれており、これを使ってバックドア型マルウェア「Rising Sun」をダウンロードさせ、コンピュータやシステムに関する情報を収集して、攻撃者が制御するサーバに送信する仕掛けだった。

　Rising Sunは10月〜11月にかけて、世界の87組織で発見されているという。狙われたのは主に米国を中心とする英語圏の組織だが、日本の組織も含まれている。

　Rising Sunには、北朝鮮の関与が指摘されるハッキング集団Lazarus Groupが2015年に韓国と日本に対して使ったトロイの木馬型マルウェア「Duuzer」のソースコードが組み込まれていたという。

　しかし、Operation SharpshooterとLazarus Groupの関係についてMcAfeeは、「技術的なつながりがあまりにもあからさまで、故意に見せかけた可能性もあり、すぐには結論を出せない。特定はセキュリティコミュニティに任せたい」としている。