膨大な量の情報漏洩を引き起こした遠隔操作型マルウェアのPlugXとは
このPlugXに関する緊急説明会を開いたのが、サイバーセキュリティ企業のファイア・アイだ。FireEye Labs. シニア・スタッフ・リサーチ・アナリストの本城信輔氏は次のように語る。
「PlugXは遠隔操作型のマルウェアで、2012年頃から国内のAPT(Advanced Persistent Threat:持続的標的型攻撃)攻撃に使われています。以前は標的型攻撃と言えばPoisonIvyが使われていましたが、このころからPlugXが使われるようになっています。攻撃対象国は米国、韓国、香港、台湾、日本などで、軍需産業や政府機関など技術情報や知的財産を持っているところが狙われています」
本城信輔氏
PlugXの動きを分析しているファイア・アイでは、このマルウェアを使った日本をターゲットにした標的型攻撃の多くが、中国のグループによるものだと推測している。実際にPlugXを使った「DragonOK」と呼ばれる日本のハイテク企業、製造業を狙った攻撃の例では、中国江蘇省より攻撃されていた。この際にはパケット転送ツールの「Htran」を悪用し、攻撃の身元を隠す工夫も行っている。このDragonOKは、広東省のグループとも協力して攻撃をしていたのではとも分析している。
PlugXについてはツールキットがあり、それを使うことで簡単に遠隔操作マルウェアを作ることができる。マルウェアが利用するC&Cサーバー(command and control server)を指定したり、作成するマルウェアの名前を決めたりといった設定をGUIで行えば、コードなどを書かずとも簡単にマルウェアが生成できる。
ツールキットではマルウェアを作成するだけでなく、作成したマルウェアに感染したPCを遠隔操作する機能も持っている。ターゲットのPCがマルウェアに感染すると、画面上に対象PCがリストアップされる。そこから選択すると、リブートを行うなどの操作ができる画面が開く。ファイルマネージャー的な機能もあり、感染したPCから簡単にファイルをコピーすることも可能だ。さらにコマンドプロンプトもあり、それを使えば自由に感染したPCを操作できる。
PlugXのツールキットにはさまざまなバージョンのものがある。それらは公開されているわけではなく、基本的には攻撃者だけがツールキットを所持し利用していると考えられる。ファイア・アイで手に入れているPlugXのツールキットは、ユーザーインターフェイスが中国語となっており、そのことも中国グループによる攻撃を裏付けていると本城氏は言う。
PlugXは2013年頃から攻撃に使われており、それほど新しいものではない。2014年頃までは、これを使った攻撃が日本でも数多くあった。しかし現在は数を大きく減らしていて、2015年からは日本年金機構の情報漏洩でも利用された「Backdoor.APT.SUNBLADE」というマルウェアを使った攻撃のほうがはるかに多い。とはいえ、少ないから気に掛ける必要がないわけでない。むしろ攻撃が少ないほうが「本当の標的型攻撃に使われていると言うことでもあります」と本城氏は指摘する。
攻撃の数が多ければ、シグニチャ型のマルウェア対策ソフトウェアでも検知できるが、数が少なければシグニチャ型で検知するのはかなり難しくなる。そうなるとサンドボックス型で、マルウェアの振る舞いを検知して対処するような方法をとるしかないのだ。
