カスペルスキー研究所の報告によると、謎のハッカー集団が5年以上にわたり、米国を含む世界中の外交、政府、科学研究のコンピューターネットワークから諜報データを盗み出していたという。
カスペルスキー研究所は10月にマルウェア攻撃の調査を開始し、「Red October」の略称で「Rocra」と名付けました。Rocraは、Microsoft Excel、Word、PDFなどのドキュメントに存在する複数のセキュリティ脆弱性を悪用し、PC、スマートフォン、コンピュータネットワーク機器に感染します。火曜日、研究者らは、このマルウェアプラットフォームがWebベースのJavaエクスプロイトも利用していることを発見しました。
攻撃の背後に誰がいるのかは不明だが、Rocraは少なくとも3つの既知のエクスプロイトを利用している。これらのエクスプロイトは元々中国のハッカーによって作成されたものだ。しかし、Kaspersky Labの報告によると、Rocraのプログラミングはロシア語を話す別のグループによるものだという。
攻撃は現在も継続しており、いわゆるスピアフィッシング攻撃で、高官級機関を標的としています。カスペルスキー社は、レッド・オクトーバー攻撃が始まって以来、おそらく2007年5月頃から数百テラバイトのデータが取得されたと推定しています。
カスペルスキー社のウイルス対策製品の情報によると、2011年から2012年にかけて300カ国以上でRocra感染が確認されました。感染国は主に旧ソ連構成国で、ロシア(感染者35人)、カザフスタン(感染者21人)、アゼルバイジャン(感染者15人)などが挙げられます。
感染者数が多い国としては、ベルギー(15人)、インド(14人)、アフガニスタン(10人)、アルメニア(10人)などが挙げられます。米国にある大使館では6件の感染が確認されました。これらの数字はカスペルスキー製品を使用しているマシンからのみ得られたものであるため、実際の感染者数ははるかに多い可能性があります。
カスペルスキー社によると、Rocraで使用されているマルウェアは、PCワークステーションや、iPhone、Nokia、Windows Mobile端末など、PCに接続されたスマートフォンからデータを盗むことができる。Rocraは、Cisco製機器からネットワーク構成情報を取得し、リムーバブルディスクドライブから削除されたデータを含むファイルを取得することも可能だ。
このマルウェアプラットフォームは、電子メールメッセージや添付ファイルを盗み、感染したマシンのすべてのキー操作を記録し、スクリーンショットを撮り、Chrome、Firefox、Internet Explorer、Operaといったウェブブラウザの閲覧履歴を盗むこともできます。さらに、Rocraはローカルネットワーク上のFTPサーバーに保存されているファイルも盗み取り、ローカルネットワーク全体に自己複製することも可能です。
Rocraの機能は広範囲に及ぶように見えますが、セキュリティ業界の誰もがRocraの攻撃手法に驚嘆したわけではありません。セキュリティ企業F-Secureは自社ブログで、「使用されたエクスプロイトは、特に高度なものではなかったようです」と述べています。「攻撃者は、古くからよく知られているWord、Excel、Javaのエクスプロイトを利用していました。今のところ、ゼロデイ脆弱性が悪用された形跡はありません。」ゼロデイ脆弱性とは、実際に発見された未知のエクスプロイトを指します。
F-Secureは、Rocraの技術力には感銘を受けていないものの、Red October攻撃は、Rocraの活動期間の長さと、単一のグループによるスパイ活動の規模の大きさから興味深いものだと述べています。「しかしながら」とF-Secureは付け加えました。「悲しいことに、企業や政府は様々なソースから常に同様の攻撃を受けているのです。」
Rocraは、被害者が悪意のある生産性向上ファイル(Excel、Word、PDF)をダウンロードして開くことで感染を開始します。このファイルは、Rocraのコマンド&コントロールサーバーからさらにマルウェアをダウンロードする可能性があり、この手法は「トロイの木馬ドロッパー」と呼ばれます。この第2段階のマルウェアには、データを収集してハッカーに送信するプログラムが含まれています。
盗まれたデータには、プレーンテキスト、リッチテキスト、Word、Excel などの一般的なファイル形式が含まれますが、レッド オクトーバー攻撃では、pgp や gpg で暗号化されたファイルなどの暗号化データも狙われます。
さらに、Rocraは「Acid Cryptofile」拡張子を持つファイルを探します。これは、欧州連合(EU)や北大西洋条約機構(NATO)などの政府機関や組織で使用されている暗号化ソフトウェアです。Rocraの背後にいる人物が、入手した暗号化データを解読できるかどうかは不明です。
カスペルスキーによると、Rocraは法執行機関による介入に対しても非常に耐性が高い。攻撃のコマンド&コントロールサーバーがシャットダウンされたとしても、ハッカーたちは単純な電子メールでマルウェアプラットフォームの制御を取り戻せるようにシステムを設計している。
Rocraのコンポーネントの一つは、実行コードを含み、特殊なメタデータタグでフラグ付けされたPDFまたはOffice文書を検索します。Kasperskyによると、これらの文書はすべてのセキュリティチェックを通過しますが、ダウンロードされて開かれると、Rocraは文書に添付された悪意のあるアプリケーションを起動し、悪意のある人物にデータを送り続けることができます。このトリックを使えば、ハッカーは新しいサーバーをいくつか設置し、以前の被害者に悪意のある文書をメールで送信するだけで、再び攻撃を仕掛けることができます。
Rocraのサーバーは、一連のプロキシ(他のサーバーの背後に隠れたサーバー)として構築されているため、攻撃元を特定するのが非常に困難です。Kasperksy氏によると、Rocraのインフラストラクチャの複雑さは、PCに感染して機密データを盗むために使用されたFlameマルウェアに匹敵します。RocraとFlame、そしてStuxnetに類似したコードに基づいて構築されたDuquなどのマルウェアとの間には、既知の関連性はありません。
F-Secureが指摘しているように、Red October攻撃は特に目新しいことをしているようには見えませんが、このマルウェア攻撃が実際に発生してからの期間の長さは驚くべきものです。Flameなどの他のサイバースパイ活動と同様に、Red Octoberはユーザーを騙して悪意のあるファイルをダウンロードさせて開かせたり、悪意のあるウェブサイトにアクセスさせてデバイスにコードを挿入させたりします。これは、コンピュータスパイ活動が増加している可能性はあるものの、コンピュータセキュリティの基本を徹底することで、これらの攻撃を阻止できる可能性を示唆しています。
予防策を講じる
不明な送信者からのファイルや、送信者とされる人物の性格とは異なるファイルに注意するなど、有効な予防策を講じることは良い第一歩です。また、特に企業の機器を使用している場合は、知らないウェブサイトや信頼できないウェブサイトへのアクセスには注意が必要です。最後に、お使いのWindowsのバージョンに最新のセキュリティ更新プログラムがすべて適用されていることを確認し、絶対に必要な場合を除き、Javaを無効にすることを真剣に検討してください。あらゆる種類の攻撃を防ぐことはできないかもしれませんが、基本的なセキュリティ対策を遵守することで、多くのオンライン上の悪意のある攻撃者から身を守ることができます。
カスペルスキー社は、レッド・オクトーバー攻撃が国家によるものか、機密データを闇市場で売買しようとする犯罪者によるものかは不明だと述べている。同社は今後数日以内に、ロクラに関する詳細情報を公開する予定だ。
お使いのシステムがRocraの影響を受けていないかご心配な場合は、F-Secureのウイルス対策ソフトウェアがRed October攻撃で使用された既知の脆弱性を検出できるとお伝えしています。Kasperskyのウイルス対策ソフトウェアもRocraの脅威を検出できます。
