8月初旬、セキュリティベンダーのブログでは、「Shady RAT」と呼ばれる標的(ターゲット)型攻撃に関するものが目立った。世界で70以上の組織を標的に仕掛けられたという。
最初に指摘したのは米マカフィー。「Operation Shady RAT(Shady RAT作戦)」について分析した結果をブログで報告した。
マカフィーによれば、大手企業や団体に対する標的型攻撃は実は5年以上前から執拗に行われていた。過去半年に見つかった攻撃の大半は、どちらかといえば精巧さに欠ける手口といえる。しかしShady RATをはじめ、Advanced Persistent Threats(APT)と呼ばれる進化した標的型攻撃は、より狡猾で、発覚することなく広がり、公表される事例は氷山の一角に過ぎない。マカフィーはこの脅威に対する公の認識を高めるため、Shady RAT作戦の総合的分析を公開することにしたという。
Shady RATは新たに登場したものではなく長い間行われていた。マカフィーは攻撃に使われているマルウエア制御サーバー(C&Cサーバー)の一つにアクセスし、2006年半ばから被害状況を示すログを収集してきた。実際の攻撃はそれよりずっと以前から始まっていたとマカフィーは見ている。侵入の手口は標準的なもので、不正コードを仕込んだ偽装電子メールを、ターゲット企業で十分なアクセス権を持つ個人に送り、マルウエアをダウンロードさせる。マルウエアは、実行されるとC&Cサーバーとやり取りするバックドアを開いて通信し、Webページのコードに埋め込まれたコメントの中にある暗号化された命令を読み解く。次いで攻撃者は、より上位のアクセス権を取得し、組織内に入り込んで継続的な活動のための拠点を構築する。
Shady RATで標的にされた組織は、国連やグローバル展開する大企業、オリンピック関連団体、コンピュータセキュリティ企業など広範囲にわたる。マカフィーは32業界の72組織が攻撃されたことを確認したが、それ以外にも団体名などをはっきり特定できないターゲットが多くあった。
72団体の業界分類
対象地域は米国、カナダ、欧州だけでなく、アジアも含め14カ国に及んだ。
72団体の地域分類
マカフィーは、攻撃者が国際オリンピック委員会(IOC)や世界アンチドーピング機構のほか、アジアや西欧諸国のオリンピック委員会が所持している情報に興味を示し、その後すぐに2008年のオリンピックへ移っている点を指摘。「こうした侵入から商業的な利益を得られる可能性は低いため、国家的な組織が背景にあるのではないか」と推測している。
2006年に標的になった組織は8件だけだった。これが2007年は29件に増加し、米国防総省の契約事業者が4組織以上狙われ、連邦政府機関、州政府や自治体、コンピュータネットワークセキュリティ企業も侵入を受けた。そしてアジアと西欧のオリンピック委員会への攻撃もこの年に始まった。2008年は国連や世界アンチドーピング機構を含む36組織、2009年には38組織に増加した。2010年は17組織、2011年は9組織と減少しているが、攻撃者が新しいC&Cサーバーと感染マシンを利用するようになったため、マカフィーが解析しているログに記録が残らなくなっただけだという可能性が考えられる。
ターゲット組織における侵入期間は短いもので1カ月未満だが、最も長いものは28カ月にも及び、アジアのある国のオリンピック委員会は2007年7月から2010年1月にわたって侵入を受けていた。
マカフィーは、ここで説明したShady RATは単一の攻撃グループの活動に過ぎず、ほかにも多くのターゲット型攻撃が常に行われていることを強調し、「こうした脅威から免れることができるのは、盗む価値のある情報を全く持たない組織だけだ」と注意を促した。
