トレンドマイクロは、2010年12月9日、英語ブログ「TrendLabs Malware Blog」において「Trend Micro 2011 Threat Predictions(トレンドマイクロの2011年脅威予測)」を発表しました。この記事では、2011年に予測される脅威について報告していますが、その1つに特定の対象に狙いを定めた「標的型攻撃」の増加を挙げています。そして、2011年に入り、サイバー犯罪者はこの予測が正しかったことを既に証明し始めているようです。2010年には多くの標的型攻撃が確認されました。その中でも特に注目すべき事例は、「HYDRAQ(別名:Aurora)」、スパムメール「Here you have」、および「STUXNET」による攻撃です。今回確認された事例は、上記事例と同様に標的型攻撃としてメディアの注目を集め、「Night Dragon攻撃」と呼ばれたのです。

この脅威は、どのようにしてコンピュータに侵入しますか?

この脅威では、ある特定のネットワークをターゲットにした攻撃が仕掛けられました。この攻撃の背後に潜むサイバー犯罪者は、標的とした企業のネットワークの一部に侵入し、「HKTL_REMOSH」として検出されるハッキングツールをインストールします。この「HKTL_REMOSH」は、バックドア型マルウェアを作成します。このマルウェアにより、サイバー犯罪者は、重要なデータを収集する特定のコマンドを実行することが可能になります。

この脅威は、どのような影響をユーザに与えますか?

この脅威では、サイバー犯罪者が「HKTL_REMOSH」を介して、リモートでコマンドを実行します。「HKTL_REMOSH」は、基本となる2つの機能を備えています。1つは、「バックドア型マルウェア・ツールキット」としての機能、そしてもう1つは、「コマンド&コントロール(C&C)のインターフェイス」としての機能です。後者のC&Cインターフェイスは、前者のツールキットで作成されたバックドア型マルウェアの操作に利用されるためのものです。このバックドア型マルウェア・ツールキットにより作成されたバックドア型マルウェアは、トレンドマイクロでは「BKDR_REMOSH.SML」として検出されます。作成された「BKDR_REMOSH.SML」は、「BKDR_REMOSH.SMF」として検出されるDLLファイルを作成します。「BKDR_REMOSH.SMF」は、「HKTL_REMOSH」に接続して不正リモートユーザからのコマンドを送受信します。

「BKDR_REMOSH.SMF」のインストールが完了すると、サイバー犯罪者は、感染コンピュータのファイルシステムブラウザやコマンドライン、レジストリブラウザ、リモートデスクトップのビューアを介して、感染コンピュータに接続することが可能となります。

  • ファイルシステムブラウザ
  • コマンドライン
  • レジストリブラウザ
  • リモートデスクトップのビューア

また、このハッキングツール「BKDR_REMOSH.SMF」を介して以下のコマンドを実行する機能を備えています。

  • セッションを列挙し、ログインしているユーザの確認
  • ファイルの列挙
  • ファイルの作成および削除
  • ファイルの送受信
  • スクリーンショットの取得
  • ライブの種類、情報、空き領域、および名称の取得
  • プロセスの実行
  • リモートシェルコマンドの実行
  • 自身のアンインストール

上記のコマンドリストから、この攻撃によってユーザは、情報漏えいや情報の損失、他のマルウェアへの感染といった脅威にさらされることが考えられます。

どのような攻撃をユーザに仕掛けますか?

「HKTL_REMOSH」は、「BKDR_REMOSH.SML」として検出されるバックドア型マルウェアを作成します。作成された「BKDR_REMOSH.SML」は、「BKDR_REMOSH.SMF」として検出されるDLLファイルを作成します。そして「BKDR_REMOSH.SMF」は、サイバー犯罪者が感染コンピュータ内でリモートコマンドを実行するために利用されます。これにより攻撃者は情報を収集し、無制限に、ネットワーク内でより多くのコンピュータに接続することが可能となります。

なぜこの脅威は Noteworthy(要注意) に分類されたのですか?

今回のような標的型攻撃は、珍しいものではありませんが、特にその主な目的が情報の収集である場合、標的となった企業にとって大きな脅威となります。

こうした標的型攻撃の過去の事例として、当時未修正のInternet Explorer (IE)の脆弱性を悪用して攻撃を仕掛けた、HYDRAQや、もともと攻撃対象を定めて仕掛けられたと考えられるものの、関連するマルウェアの感染活動から他のユーザにも広がったスパムメール「Here you have」攻撃、産業システム「SCADAシステム」を標的とすることで2010年大きな話題となったSTUXNETなどが挙げられます。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、今回のような脅威による被害を未然に防ぎます。トレンドマイクロ製品をご利用のユーザは、Trend Micro Smart Protection Networkの以下のような機能により保護されています。

  • 「Web レピュテーション」技術により、ユーザがアクセスする前に、ユーザを不正なWebサーバに誘導する不正サイトをブロックします。また、この脅威に関連するすべての不正なURLは、既にブロックされています。
  • 「Eメールレピュテーション」技術と「Webレピュテーション」技術が相関して機能することにより特定の対象を狙った「Spear Phishing(スピアフィッシング)」に用いられ、不正なWebサーバへのリンクを含むスパムメールをブロックします。
  • 「ファイルレピュテーション」技術により、この脅威に関連するマルウェア「HKTL_REMOSH」、「BKDR_REMOSH.SML」および「BKDR_REMOSH.SMF」を検出し実行を防ぎます。
  • また「Webレピュテーション」技術により、感染コンピュータが外部サーバと通信するのを防ぎます。これにより、不正リモートユーザによる感染コンピュータ上でのコマンドの実行を回避します。

Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」もまた、以下のフィルタを通してこの脅威からユーザを守ります。

1.予防対策(フィルタ)

  • 1000608 - ジェネリックなSQLインジェクションの予防
  • 1003025 - Webサーバによる実行可能ファイルの更新の制限

2.検出された不正なファイルへの対策

  • 変更監視(Integrity Monitoring)機能:ファイル作成(BKDR_REMOSH.SMF のファイル作成活動)
  • 変更監視(Integrity Monitoring)機能:サービスの作成(BKDR_REMOSH.SMFがWindows起動時に自動実行されるためのレジストリ値)
  • 変更監視(Integrity Monitoring)機能:サービスの停止(サービス「PolicyAgent」の停止)