「Regin」が問うセキュリティ企業の情報公開のタイミング

西方望

December 25, 2014 16:26
by 西方望

2010年、あるマルウェアが世界中に衝撃を与えた。その名は「Stuxnet」。極めて洗練された巧妙なマルウェアであるStuxnetは、イランのウラン濃縮サイトの遠心分離器制御システムに侵入し、大きなダメージを与えたという。そのStuxnetを開発したのはアメリカとイスラエルの国家機関ではないかと目されており、初めて発見されたサイバー兵器とも言われている。その後、Stuxnetの流れを汲む「Duqu」「Flame」「Gauss」といった国家規模で作成されたと見られるマルウェアがいくつも発見された。

そして11月23日、その系譜に連なるといえる高度なマルウェア「Regin」の存在についてSymantecが発表した。翌日にはKasperskyもReginに関するレポートを公開。F-Secureも簡易な報告をブログに掲載している。Reginとは北欧神話に登場する邪悪な龍ファフニールの弟の名前(Kasperskyのレポートには、ジェームズ・ボールドウィンの北欧神話モチーフの小説からの引用も見られるが)だが、Kasperskyによれば、ReginがWindowsのレジストリにモジュールを格納することから「In Reg(istry)」をひっくり返した命名のようだ。

ReginはStuxnetやDuquと同様にいくつもの段階を経て感染する。それぞれの段階で暗号化などが行われ、感染経路や機能・目的を追うことを難しくしている。そのため、最初に感染させた方法については、SymantecもKasperskyも特定できていない。Kasperskyはゼロデイの利用や中間者攻撃などが考えられるとしている。Reginはさまざまな動作をするプログラム(ペイロード)はモジュール化され、必要に応じてカスタマイズが可能だという。詳しくはSymantecやKasperskyのレポートを見ていただきたいが、その仕組みは精妙かつ複雑だ。開発には相当のリソースが投入されたはずであり、国家レベルの組織が関与している可能性は高い。

Reginが指令を受けたり情報を送ったりする仕組みもまた巧妙だ。通信にはTCP、UDP、HTTPだけではなく、偽装したping(ICMP)まで利用している。Command & Controlサーバーとの接続も単純ではなく、感染したPC同士でP2Pネットワークを形成。見つかりにくい経路で指令を送るという。

ReginはStuxnetのような破壊活動を行うマルウェアではなく、情報を長期間にわたって窃取することが目的のようだ。ただし、特定されたターゲットの48%は個人や中小企業だ。次いで多いのが通信企業の28%。地理的分布はロシア28%、サウジアラビア24%と、この2国で半数を超える。Symantecのレポートにはその他にメキシコ、アイルランドなど計10ヵ国、Kasperskyはさらに多い14ヵ国を挙げている。面白いのはKasperskyの挙げた国の中にフィジーとキリバスがあることだ。どちらも太平洋上の小国であり、普通は大規模なサイバー攻撃やスパイ活動で名前が出てくることはまずない。この理由も不明だが、経路として利用したのだろうか。

SymantecとKasperskyが挙げた国の中には、アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの「Five Eyes」およびイスラエルは含まれていない。また、中国も対象外だ。これらの点からReginを作った国と目的はある程度推測できるが、SymantecもKasperskyも具体的な国名は挙げていない(F-Secureは「ロシアや中国から来たものではない」としている)。

だがSymantecの発表の翌日、エドワード・スノーデン情報の発信で知られるニュースサイトThe Interceptが、ベルギーの通信企業Belgacomで発見されたReginは、イギリスの政府通信本部(GCHQ)が偽のLinkdInページを使って送り込んだものであり、アメリカ国家安全保証局(NSA)がEUをターゲットにした諜報で使用されたものと同一であると報じた。

The Interceptの性質上、何らかのバイアスがかかっているかもしれないことには注意が必要だが、NSAやGCHQが同盟国すらも盗聴・監視していたことは事実だ。Reginの規模やDuquなどとの類似性から見て、やはりアメリカが作成し、諜報活動に利用していたものと見るのが妥当だろう。

いずれにせよReginは恐るべきマルウェアであり、今後とも同様の脅威に注意する必要があるが、今回の発表はまた別の波紋も引き起こした。Symantecは、Reginは少なくとも2008年から活動していたとしている。普通ならこれは、過去の事案や検体をさかのぼって調査した結果、以前から存在していたことに最近初めて気づいた、という意味だろう。ところがReginは、実は2011年にすでにマルウェアとして認識されていたのだ。MicrosoftのMalware Encyclopediaには、2011年3月9日付けで「Trojan:WinNT/Regin.A」が登録されているが、当時は特に話題になることもなく、凡百のマルウェアの1つとして扱われた。

これは、誰もその実態に気付けなかったほど巧妙なマルウェアの証ではあるが、Symantecは2013年の秋、すなわちほぼ1年前からReginの調査を始めていたという。Kasperskyはさらにそれより前、2012年春のDuquの調査中に新しい高度なマルウェアを発見した、と述べている(「後出し」ではあるが)。つまり、脅威に気づいてからかなりの期間、情報を公開していなかったということになる。当然、なぜこれほど遅れたのかという疑問の声が上がり、高名なセキュリティ研究家であるBruce Schneier氏も、もっと情報をオープンにすべきと苦言を呈している。

しかもSchneier氏によれば、Symantecが今回の発表を行ったのは、The InterceptがReginについて報じようとしていることを知ったためという(Schneier氏はSymantecの言としているが、そのソースは不明)。つまりそれがなければさらに情報公開が遅れたかもしれないのだ。とはいえ、Schneier氏もある程度の理解を示しているとおり、情報を公開しないことにもそれなりの理由がある。当然ながら調査には時間がかかり、早まって不完全な情報を公開して混乱を招くようなことはしたくない、というのが最大の理由だろう。

もちろん、公表しない、というのはアンチウイルスソフトなどが対応しない、という意味ではない。実際Reginは多くのアンチウイルスでかなり以前から検出対象となっている。だが、やはり重大な脅威であればなるべく早く知らせて欲しいというのは誰しも思うところだろう。最近は自然災害などでも、「空振り」を恐れず警報を発するという方向になってきている。現代社会においては、コンピューターやインターネットに対する重大な脅威はもはや「災害」といえる。セキュリティ企業も、情報発信のあり方を改めて考える必要がある時期に来ているのかもしれない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…