世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回最初の話題は、ホテルの宿泊者を標的にした高度で執拗な脅威(APT)について。ロシアのカスペルスキーラボが注意を促している。同社はこのAPTを「Darkhotel」と名付けている。
Darkhotelの実体は、Flashのゼロデイ脆弱性を突く高度な攻撃プログラムで、ターゲットを絞り込んだスピアフィッシングメールによって拡散する。併せて、ピアツーピア(P2P)ソフトを介して無差別に拡散する手口も使うという。
カスペルスキーによると、Darkhotelは何年も前から、ホテルのネットワークを利用して特定のターゲットを追跡、攻撃している。最も大規模な活動は2010年8月に始まり、2013年を通じて継続した。2014年も複数の攻撃が確認されているという。攻撃者のインフラは、拡大することもあれば縮小することもあり、その構造に一貫したパターンは見られない。柔軟なデータ暗号化による保護と、粗末な防御機能の両方を実装している。
多くの場合、標的は最高経営責任者、上級バイスプレジデント、販売およびマーケティング担当ディレクター、研究開発部門の責任者など様々な業界のエグゼクティブだ。被害者の業種は、大手電子機器製造、投資キャピタルやプライベートエクィティ、製薬業、化粧品および化学薬品製造の海外委託と販売、自動車製造の海外委託サービス、国防産業、警察および軍事サービス、NGOと多岐にわたる。
感染の90%は日本、台湾、中国、ロシア、韓国に集中しているものの、範囲は幅広い。カスペルスキーラボは、米国、UAE、シンガポール、カザフスタン、フィリピン、香港、インド、インドネシア、ドイツ、アイルランド、メキシコ、ベルギー、セルビア、レバノン、パキスタン、ギリシャ、イタリアなどでDarkhotelの活動を確認している。これは、攻撃者が特に関心を抱くホテル宿泊者が、アジア太平洋地域で事業を展開しているか、あるいは同地域に投資している米国企業やアジア企業から来る幹部だから。複数の重要なターゲットが頻繁に海外出張するたびに、被害地域リストも変動する。
Darkhotelについてはこの数年間で断片的な情報が伝わっているが、カスペルスキーラボが確認した最初のDarkhotelツールの出現は2007年にさかのぼる。複数の知識豊富な関係者、高度な攻撃コード開発能力、動的なインフラを考えれば、今後数年でさらにDarkhotelの活動が増えるとカスペルスキーラボは見ている。