SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

EnterpriseZineニュース

イラク政府を標的としたサイバー攻撃を発見、新たな亜種マルウェアも──チェック・ポイント・リサーチ

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、イラク政府を標的としたサイバー攻撃を発見したと発表。これにより、国家と連携したサイバー脅威を浮き彫りにする、懸念すべき攻撃パターンが明らかになったという。

 Googleが運営する、ファイルやウェブサイトのマルウェア検査ツール「Virus Total」にアップロードされたファイルを調査した結果、攻撃で使用されたマルウェアが、イラン系グループによる他地域への攻撃で用いられたマルウェアと酷似していることが判明したとしている。

攻撃の概要

 調査の結果、感染したファイルには高度なマルウェアが含まれており、首相府や外務省といったイラクの組織を標的としていたことが判明。また、この攻撃はイラン情報安全保障省(MOIS)と関連のあるサイバーグループ「APT34」と関係していることも明らかになったとしている。このグループは、以前にもヨルダンやレバノンの政府に対して同様の戦術を用いているという。

 パキスタン側から入手した情報の分析結果も、これと関連するマルウェアファミリーの存在を示しており、中東地域におけるこれらの攻撃の背後には同じグループがいることが示唆されていると述べている。

マルウェア

 攻撃には、VeatyとSpearalという2つの新しいマルウェアファミリーが使用され、いずれも高度で検出を巧妙に回避する機能を備えているという。これらのマルウェアの系統は、以下のセットアップウィザードのような、良性のドキュメントを装った偽装ファイルを通じて拡散されたとのことだ。ユーザーがこれらのファイルを開くと、マルウェアがシステムにインストールされ、再起動後も存続できるよう自身をシステムに組み込むという。

イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
Veatyマルウェア:回避機能を持つコミュニケーター

 Veatyマルウェアは、検出を回避するよう設計された通信戦略を採用している。同マルウェアは、C&C(コマンド&コントロール)メールサーバーとの接続を、以下のような方法で確立するとのことだ。

  • 認証情報なしでの接続
  • ハードコードされた認証情報の利用
  • 外部の認証情報を使用
  • 信頼できるネットワーク認証情報を活用

 Veatyは接続に成功するまで、これらのアプローチを一つずつ順番に試していくという。その手法の一つとして、C&Cのために特定のメールボックスを利用。また、電子メールのルールを巧妙に設定することで、その通信を整理し、同時に隠蔽するという。たとえば、今回は「Prime Minister’s Office(首相府)」という件名を含む電子メールを探し出すルールを設けていたとしている。現在進行中の活動を示す“Alive”メッセージと、命令を実行するための“Command”メッセージがあり、これらのメッセージは検知されるリスクを最小限に抑えるため、慎重にフォーマットされ、暗号化されているとのことだ。

 類似する別の攻撃では、Karkoffと呼ばれるマルウェアが、レバノンの政府機関に属する侵害された電子メールアドレスを使って通信を行っていたという。これは、侵害されたイラク政府機関のメールアカウントを使用していたVeatyとよく似ているという。

Spearalマルウェア:戦術的な補完

 今回の攻撃で使用されたSpearalマルウェアは、イラン情報安全保障省(MOIS)と関連するマルウェアファミリー(Saitamaマルウェアなど)と多くの手口を共有しており、コマンド通信にDNSトンネリングを使用するなど、注目すべき類似点が複数あるとしている。

 これらのマルウェアファミリーは、DNSトンネリングを利用してコマンドを送信するため、従来の検知メカニズムを回避することが可能。この手法は、ヨルダン政府機関に対する攻撃でも確認されており、攻撃グループの地域的な焦点と攻撃方法における一貫したパターンを示しているという。

バックドアマルウェアSpearalの感染経路
バックドアマルウェアSpearalの感染経路
新たな脅威:CacheHttp.dll

 今回の調査で、新たな亜種マルウェアであるCacheHttp.dllも発見されたという。同調査は、このCacheHttp.dllも、イラク国内の同じ組織をターゲットにしていると推測している。このマルウェアは過去にあった脅威を進化させたもので、特定のウェブサーバーの活動を監視し、それに対応するように設計されているとのことだ。

 CacheHttp.dllは特定のヘッダーについてのウェブリクエストを検査し、事前に定義されたパラメーターに基づいてコマンドを実行するという。

【関連記事】
チェック・ポイント、生成AIセキュリティの新機能を発表 AIの安全な導入、データ損失防止が可能に
LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査
チェック・ポイント、フィッシング攻撃に対抗する新AIエンジン発表 既存ブランドのなりすまし検知精度向上

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20437 2024/09/25 15:50

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  4. 4
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  5. 5
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  6. 6
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  9. 9
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望 NEW
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  4. 4
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  5. 5
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  6. 6
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  9. 9
    「AI旋風」からは逃げられない、ガートナーアナリストが語った2025年からの戦略的展望 NEW
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは