標的型攻撃とは、特定の組織や企業を標的にするサイバー攻撃です。組織や企業内に存在する重要情報を取得することを最終的な目的とし、攻撃者はそのために必要となる様々な攻撃手法を駆使します。今回は、この標的型攻撃で利用される「バックドア型不正プログラム」とその隠蔽技法について解説します。

標的型攻撃とバックドア

 標的型攻撃という名称から、攻撃者が最終目標である特定対象者に直接狙いを定め、対象者のPCからデータを奪うイメージを持つかもしれません。しかし、攻撃者もそう簡単には最終的な目標に到達できないことは十分承知しています。そこで攻撃者は、まず組織内の1台のPCに浸入し、侵入に成功したPCを足掛かりにして対象組織内のネットワークに接続される他のPCへと側面移動を行いながら侵入を続けていきます(図1)。

図1●標的型攻撃の概念図
図1●標的型攻撃の概念図
[画像のクリックで拡大表示]

 標的となる組織への侵入の第1段階となる足掛かりを確保する手段として、「バックドア」と呼ばれる不正プログラムを標的組織関係者のPCへ仕掛ける手法が一般的です。まずは足掛かりとなるPCを確保し、時間をかけて最終的な目標へと近付いていくわけです。

 国内で標的型攻撃に使用された実績のあるバックドア型不正プログラムは、古くからある「BKDR_POISON」から2014年頃に確認された新しい「BKDR_EMDIVI」まで様々なタイプがあります。

 今回は、これらバックドア型不正プログラムの中でも、後述する「バイナリプランティング(別名:DLLプリローディング)」や「メモリーインジェクション」など特に巧妙な隠蔽技法を備えている「BKDR_PLUGX」を検証します。BKDR_PLUGXがどのようにOSに感染し、潜伏しながら不正な活動を行うかを検証環境で実際に動作させて確認してみます。