“超精巧な”攻撃を仕掛けるサイバースパイ集団の存在、セキュリティ企業が指摘

報告したKaspersky Labは、「Equation Group」は極めて複雑で精巧な手口を使うという点で、どんな集団をもしのぐ存在だとしている。国家の関与が指摘された「Stuxnet」などともつながっているという。

[鈴木聖子，ITmedia]

　極めて高度な手口を使って各国の政府機関や企業の情報を盗み出し、国家の関与が指摘された「Stuxnet」や「Flame」ともつながるサイバースパイ集団の存在が確認されたとして、ロシアのセキュリティ企業Kaspersky Labが2月16日に、メキシコのカンクンで開かれたセキュリティサミットで発表を行った。

　Kasperskyはこの集団を「Equation Group」と命名。20年も前から活動していた形跡があり、極めて複雑で精巧な手口を使うという点で、「どんな集団をもしのぐ存在」と位置付けている。

　同社によると、Equation Groupは狙った相手をマルウェアに感染させて密かに情報を入手する目的で、非常に複雑で高額の開発コストがかかるツールを使っていたとされ、その手口の専門性の高さは突出しているという。

　標的とされたのは世界30カ国あまりの数千〜数万の組織で、攻撃にはゼロデイの脆弱性を連鎖的に突くマルウェアが使われていた。

攻撃集団による活動の歴史（Kasperskyより）

　Kasperskyの研究チームは大手のHDD12種類以上のファームウェアのプログラミングを書き換えるモジュールも発見した。これはディスクのフォーマットやOSの再インストールを行っても削除されず、HDDに潜伏して情報を収集し、攻撃者に受け渡す。暗号化も破られる可能性があるという。

　米ヒューストンで開かれた学会では、参加者に配布された学会記録のCD-ROMが利用され、参加者のマシンにマルウェアをインストールする仕掛けになっていた。

　Equation Groupは、Stuxnetなどの高度なマルウェアを操る集団ともつながっていて、StuxnetやFlameが使ったのと同じゼロデイの脆弱性を、StuxnetやFlameよりも前に使ったり、エクスプロイト情報を互いに共有し合っていたとされる。

　Kasperskyの研究者は同集団の現状について、「最も恐ろしいのは、2014年以来、サンプルが見つからなくなったことだ。同集団は2013年ごろ、レーダーから姿を消した。2014年に同集団が何をやったかは分からない。これはものすごく恐ろしい」と警告している。

　この発表に関連してReutersは、米国家安全保障局（NSA）が東芝やSeagateなどの製造したHDDにスパイ用のソフトウェアを潜伏させ、世界のコンピュータを監視する方法を開発していたと伝えた。