SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

週刊DBオンライン 谷川耕一

高度化する標的型攻撃から大事なデータを守るために企業は今何をすべきか

 先週、IT業界だけでなく一般紙やテレビ報道などでも大きく取り上げられたのが、ジェイティービーのグループ会社 i.JTBのサーバーに外部から不正アクセスがあり、約793万人分もの個人情報が漏洩した可能性があるという情報漏洩事件だ。この攻撃で利用されたのが「PlugX」と呼ばれる遠隔操作用のマルウェアだった。

膨大な量の情報漏洩を引き起こした遠隔操作型マルウェアのPlugXとは

 このPlugXに関する緊急説明会を開いたのが、サイバーセキュリティ企業のファイア・アイだ。FireEye Labs. シニア・スタッフ・リサーチ・アナリストの本城信輔氏は次のように語る。

 「PlugXは遠隔操作型のマルウェアで、2012年頃から国内のAPT(Advanced Persistent Threat:持続的標的型攻撃)攻撃に使われています。以前は標的型攻撃と言えばPoisonIvyが使われていましたが、このころからPlugXが使われるようになっています。攻撃対象国は米国、韓国、香港、台湾、日本などで、軍需産業や政府機関など技術情報や知的財産を持っているところが狙われています」

FireEye Labs. シニア・スタッフ・リサーチ・アナリストの本城信輔氏
FireEye Labs. シニア・スタッフ・リサーチ・アナリスト
本城信輔氏

 PlugXの動きを分析しているファイア・アイでは、このマルウェアを使った日本をターゲットにした標的型攻撃の多くが、中国のグループによるものだと推測している。実際にPlugXを使った「DragonOK」と呼ばれる日本のハイテク企業、製造業を狙った攻撃の例では、中国江蘇省より攻撃されていた。この際にはパケット転送ツールの「Htran」を悪用し、攻撃の身元を隠す工夫も行っている。このDragonOKは、広東省のグループとも協力して攻撃をしていたのではとも分析している。

 PlugXについてはツールキットがあり、それを使うことで簡単に遠隔操作マルウェアを作ることができる。マルウェアが利用するC&Cサーバー(command and control server)を指定したり、作成するマルウェアの名前を決めたりといった設定をGUIで行えば、コードなどを書かずとも簡単にマルウェアが生成できる。

 ツールキットではマルウェアを作成するだけでなく、作成したマルウェアに感染したPCを遠隔操作する機能も持っている。ターゲットのPCがマルウェアに感染すると、画面上に対象PCがリストアップされる。そこから選択すると、リブートを行うなどの操作ができる画面が開く。ファイルマネージャー的な機能もあり、感染したPCから簡単にファイルをコピーすることも可能だ。さらにコマンドプロンプトもあり、それを使えば自由に感染したPCを操作できる。

 PlugXのツールキットにはさまざまなバージョンのものがある。それらは公開されているわけではなく、基本的には攻撃者だけがツールキットを所持し利用していると考えられる。ファイア・アイで手に入れているPlugXのツールキットは、ユーザーインターフェイスが中国語となっており、そのことも中国グループによる攻撃を裏付けていると本城氏は言う。

 PlugXは2013年頃から攻撃に使われており、それほど新しいものではない。2014年頃までは、これを使った攻撃が日本でも数多くあった。しかし現在は数を大きく減らしていて、2015年からは日本年金機構の情報漏洩でも利用された「Backdoor.APT.SUNBLADE」というマルウェアを使った攻撃のほうがはるかに多い。とはいえ、少ないから気に掛ける必要がないわけでない。むしろ攻撃が少ないほうが「本当の標的型攻撃に使われていると言うことでもあります」と本城氏は指摘する。

 攻撃の数が多ければ、シグニチャ型のマルウェア対策ソフトウェアでも検知できるが、数が少なければシグニチャ型で検知するのはかなり難しくなる。そうなるとサンドボックス型で、マルウェアの振る舞いを検知して対処するような方法をとるしかないのだ。

次のページ
標的型攻撃では怪しいメールはやって来ない

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
週刊DBオンライン 谷川耕一連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8184 2016/06/21 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング