適切なサイバー攻撃の対応には敵の手の内を知ることが欠かせない。昨年から日本の多くの組織が標的型攻撃に狙われ、被害が出ている。今回は標的型攻撃で使われるマルウエア「Emdivi」の攻撃をひも解く。攻撃者は巧みにEmdiviを正規のファイルに隠して送り込んでくる。
日本年金機構を狙った標的型攻撃で使われたと報じられたのがEmdivi(エムディビ、別名SunBlade)というマルウエア(悪意のあるソフトウエア)でした。
年金情報流出問題を受けて自組織のセキュリティ対策の見直しや、強化を検討した組織も多いのではないでしょうか。
一方で、標的型マルウエアに限りませんが、マルウエア感染の被害状況はなかなか開示されないのが実態です。情報が少ない中、どのように対策すべきか悩んでいるセキュリティ担当者もいるはずです。
今回は標的型攻撃で使われることの多いバックドア型マルウエアについて、特徴や攻撃活動を深掘りしてご紹介します。敵の手の内を知ることで、今後のセキュリティ強化ポイントを明確にするきっかけになれば幸いです。
遠隔操作の基本的な仕組み
これまでの連載でマルウエアがいくつかのタイプに分類できることをご紹介してきました。具体的には、第3回で取り上げた金銭搾取を目的とするランサムウエアや、別のマルウエアを呼び込むダウンローダー、ネットワークの「裏口」を開いて遠隔操作を受け付けるバックドアなどです。
代表的なバックドアのマルウエアはEmdiviの他に、Poison Ivy(ポイズンアイビー)やPlugX(プラグエックス)などがあります。これらに感染した場合、攻撃者はコマンド&コントロール(C&C)サーバーを介して、感染PCを遠隔操作できます。遠隔操作というとイメージしにくいかもしれませんが、目の前のPCに対してマウスやキーボードで操作できることはほぼできるとお考えください。
攻撃者がPoison Ivyに感染したPCをC&Cサーバーを介して遠隔操作する管理画面を説明します(図1)。図1の左側はファイルやフォルダの操作画面で、Windowsのエクスプローラーと同じ操作感です。
ここで右クリックして表示されるメニューには「Upload」や「Download」があります。これらの機能を使用すると、感染PC内の特定のファイルをC&Cサーバーに盗み出したり、その逆にC&Cサーバーにあるハッキングツールなど任意のファイルを感染PCに送り込んで実行することもできます。
