石油やガスなどの企業にサイバー攻撃、情報盗む新手のマルウェアが拡大

[鈴木聖子，ITmedia]

　石油やガスなどのエネルギー業界を標的に、世界各国の企業から情報を盗み出している新手のマルウェアが見つかったとして、米Symantecが3月30日のブログで報告した。このマルウェアは感染先のコンピュータに応じて攻撃の手口を切り替える機能を持ち、古い脆弱性を利用しているにもかかわらず感染を広げているという。

　同社によると、1月〜2月にかけて各国のエネルギー企業を狙った標的型攻撃が観測され、この攻撃のスパイツールとして新手のトロイの木馬型マルウェア「Laziok」が使われていた。

「Laziok」感染の国別の割合（Symantecより）

　標的とされた組織の大部分は、石油、ガス、ヘリウムなどのエネルギー関連業界で、アラブ首長国連邦（UAE）やサウジアラビアなどの中東諸国を中心に、米、英、アジア、アフリカなど世界各国で感染が確認されているという。

　攻撃はまず、不正なファイルを添付したスパムメールを送りつけるところから始まる。多くはMicrosoft Windowsの脆弱性（2012年に修正済み）を悪用したExcelファイルを利用する。この脆弱性は従来も様々な攻撃で悪用されているという。ユーザーが添付ファイルを開くと不正なコードが実行され、Laziokに感染する。

　Laziokの行動は、まずコンピュータの仕様やウイルス対策ソフトウェアのインストール状況など、システムに関する情報を収集して攻撃者に送信する。攻撃者はこの情報をもとに、それぞれのコンピュータに合わせたカスタマイズ版のバックドアやトロイの木馬などの別のマルウェアを送り込む。

盗み出した情報が攻撃者にとって“つまらない”場合は感染しない場合も？（同）

　この攻撃を仕掛けている集団は、古い脆弱性を使ったり、アンダーグラウンドで出回っているマルウェアを使い回したりしていることから、特に先進性はないとSymantecは分析する。それでも「多くのユーザーが何年も前の古い脆弱性を放置していて、自分からこの種の攻撃にさらされている」と警告した。