世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回は、高度なマルウエア「Regin」を利用した標的型攻撃について。複数の国で行われているとする報告が11月下旬に公表され、ベンダー各社がReginに関するブログ記事を掲載している。Reginは非常に巧妙で、長期間密かに監視活動を行うよう設計されており、国家が関与していると見る向きが多い。主に電気通信会社を狙っていると考えられる。
Reginがいつから活動しているかは、まだはっきり確認できていない。トレンドマイクロの分析によると、関連ファイルのタイムスタンプからは、2003年、2006年、2008年、あるいは2011年とも推測される。
Reginは全体的に精巧に作られ、身を隠しながら標的から情報を盗むことを目的としている。トレンドマイクロによれば、その手口の多くはすでに別の攻撃でも使われている。
複数の感染経路を利用することにより、主要なペイロードを確実にインストールするための条件が揃うようにする。また、複数のモジュールに作業を分担することで、検出されにくくする。多様な感染経路やモジュールの使用は、ターゲット型攻撃のバックドア型プログラムが採用している。
ハードウエアドライブの未割当領域にコンポーネントを保存して、セキュリティツールなどの検出を免れる方法も使用している。この手法は、トレンドマイクロが11月に、「ROVNIX」マルウエアにおいて確認した。
レジストリーにマルウエアコードを保存したり、64ビット版不正プログラムを用いるほか、NTFS拡張属性、仮想ファイルシステム、オープンソースコードの利用、偽造電子証明書の添付といった手法を使っているが、いずれも別のマルウエアでも確認されている。
Reginが使う高度な手法と別のマルウエアにおける例
