米Symantecは現地時間2014年11月23日、極めて高度なスパイウエア「Regin」が国際的な組織的サイバースパイ活動に使われているのを確認したと発表した。スクリーンショット撮影、マウス機能の乗っ取り、パスワードの窃盗、ネットワークトラフィックの監視、削除ファイルの復旧といった機能を備える。
Reginの開発には数カ月以上の長い期間が費やされた可能性が高く、その能力やリソースのレベルから、政府が使用する主要なスパイツールの1つだろうとSymantecは判断している。
Reginはバックドア型トロイの木馬で、ターゲットに応じて様々な機能を使い分ける。大規模な監視を行うための強力なフレームワークを備え、少なくとも2008年から、政府機関、インフラ事業者、企業、研究者、個人などを対象にしたスパイ活動に使用されている。
コンピュータに侵入すると、5段階で攻撃が進行し、各段階に検出回避機能や暗号化機能が組み込まれている。最初の段階が実行されると、暗号を解除して次の段階を実行し、これを繰り返す。モジュール方式のアプローチにより、標的に応じてカスタムな機能を読み込む。
Symantecによれば、モジュール方式は国家の関与が疑われるマルウエア「Flamer」「Weevil(Mask)」、段階方式は産業制御システムを狙ったマルウエア「Duqu」「Stuxnet」と類似している。
2008年~2011年に多数の組織で感染が確認されたが、その後、急に活動を停止。2013年から新たなバージョンが登場した。個人および小規模企業が感染のほぼ半数(48%)を占め、次いで電気通信事業者(28%)が多い。地域別で見ると、ロシア(28%)とサウジアラビア(24%)が過半数を占めている。
なおSymantecは、Reginが西側の諜報機関によるものではないかと指摘している(英Financial Timesの報道)。
[発表資料へ]
