ロシアのセキュリティベンダーであるカスペルスキー・ラボは2014年11月10日、高級ホテルのネットワークに侵入し、宿泊者のノートパソコンなどにウイルス(マルウエア)を感染させる「Darkhotel(ダークホテル)」攻撃が2010年8月から確認されているとして注意を呼びかけた。具体的なホテル名は明らかにしていないものの、日本でも被害例があるもよう。

 Darkhotelは、コストをかけて実行される標的型攻撃「APT」の一種。攻撃者は何らかの方法で、大手企業の幹部などが宿泊するような高級ホテルのネットワークに侵入。ホテルのポータルに罠を仕掛けて、ネットワークに接続した幹部などのパソコンにウイルスを感染させて乗っ取る。同社の報告によれば、有名な正規ソフトのインストーラーに見せかけて、ウイルスを実行させるという。

 攻撃者は何らかの方法で宿泊者の詳細を入手し、情報を盗みたいような相手だった場合に、前述のような罠を仕掛けてウイルスをインストールさせる。インストールさせたあとには罠をすぐに消して、証拠を残さない。攻撃が行われたホテルに、同社の研究者がおとりのマシンを持って宿泊した際には攻撃されることはなかったとしている。

 だが最近では、Darkhotelのウイルスを使った無差別攻撃も確認されている。しかも、主な標的は日本だという。

 攻撃者は、日本のコミックや動画などの海賊版を暗号化し、P2Pネットワークに配布(図1)。海賊版をまとめたアーカイブファイル(圧縮ファイル)には、復号のためのプログラムを含める。この復号プログラムにウイルスが仕込まれており、海賊版の復号と同時にパソコンに感染し、そのパソコンを攻撃者が操れるようにする。

図1●P2Pネットワークで配布された「Darkhotelウイルス」の例。復号プログラムとされている「AxDecrypt.exe」に仕込まれている
図1●P2Pネットワークで配布された「Darkhotelウイルス」の例。復号プログラムとされている「AxDecrypt.exe」に仕込まれている
[画像のクリックで拡大表示]