政府機関を標的にしたサイバースパイ「Turla」の脅威

『THE ZERO/ONE』編集部

August 19, 2014 18:40
by 『THE ZERO/ONE』編集部

政府機関や大使館を標的にしたサイバースパイ活動が活発化しているというレポートが、大手セキュリティ企業から相次いで発表されている。8月15日にはカスペルスキー(Kaspersky)から「大規模なサイバースパイ活動『Epic Turla』が、中東とヨーロッパ 45 か国を標的に」というレポートが、8月18日にはシマンテック(Symantec)から「Turla: 政府機関や大使館を狙うスパイツール」というレポートが発表された。

上記2つのレポートが指摘しているマルウエアの「Turla」は、2012年にはその存在が発見されていたものだ。その後バージョンアップを続けて進化し、今年1月から2月にかけてその動きが活発になったという。Turlaは各国の政府機関や大使館、製薬会社、軍、教育組織などから情報を盗むことを目的としたスパイツールで、ヨーロッパと中東地域に被害が集中している。

Turlaの特徴は、その強力なスパイ機能だ。Turlaが持つ主な機能は下記のとおりだ。

  • バックドアが作成され、コントロールサーバーへ接続する
  • 感染したPC内のファイルのコピーと削除
  • 他のファイルの読み込みと実行
  • キータイピングの記録

Turlaに感染すると、PC内に保存しているデータが消失したり、外部へ流出する恐れがある。カスペルスキーの報告によれば、このマルウェアはロシア語圏の人間が作った可能性が高いという。その理由として、「英語のスペルミスや文法上の誤りが多数ある」「ロシア語を使用したシステムでコンパイルされている」「バックドアに利用されたファイル名にロシア語が使われている」「キリル文字のセットを定義している」を挙げている。

また、シマンテックのレポートにも「攻撃活動のタイムスタンプをUTC+4の地帯」との指摘がある。UTC+4に該当する地域は、モスクワ、アラブ首長国連邦、アゼルバイジャン、アルメニアなどだが、カスペルスキーの報告を併せて読むと、このUTC+4はロシアを指していると考えるのが自然だろう。

Turlaの感染手法は主に2つあり、どちらもアプリケーションの脆弱性を利用しているものだ。1つ目は、ターゲット宛に攻撃用に細工されたPDF(会議の議事録などに偽装したもの)を添付してメールで送りつけるやり方だ。ターゲットがこれを開くと「Adobe Reader」の脆弱性を突かれて感染する可能性がある。2つ目は、攻撃コードを仕込んだウェブページを用意しておいて、それを閲覧したユーザーを感染させる「水飲み場攻撃」と言われる手法だ。

シマンテックはTurlaについて「安定したリソースと高度な技術力を持ちネットワークの多層防御を突破する能力を備えた攻撃者グループによる行為です。国家レベルでの関心を集めそうな組織のみを標的に絞り、スパイ活動や機密情報の窃取などを目的としています」と指摘している。どちらのレポートもはっきりとは書いていないが、ロシア政府(もしくはその関連組織)が深く関与していることを暗に示唆していると取れる。なお、現時点ではTurlaによる日本の政府機関や大使館の被害は確認されていないが、単に検知できていない可能性もある。

いくつかの政府が国家レベルでマルウェアを開発し、スパイ活動や破壊活動を行っているのは今や公然の秘密だ。今回レポートで指摘されたTurlaのように、一般的なアンチウイルスソフトによって検知されるのは希で、多くは発見されずひっそりと活動していると考えられる。機密情報を扱っている政府機関や企業の担当者は、常に監視され、情報を盗み取られている可能性があることを意識せざるを得ない時代になっている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…