適切なサイバー攻撃の対応には敵の手の内を知ることが欠かせない。昨年から日本の多くの組織が標的型攻撃に狙われ、被害が出ている。今回は標的型攻撃で使われるマルウエア「Emdivi」の攻撃をひも解く。攻撃者は巧みにEmdiviを正規のファイルに隠して送り込んでくる。
日本年金機構を狙った標的型攻撃で使われたと報じられたのがEmdiv(i エムディビ、別名SumBlade)というマルウエア(悪意のあるソフトウエア)でした。
年金情報流出問題を受けて自組織のセキュリティ対策の見直しや、強化を検討した組織も多いのではないでしょうか。
一方で、標的型マルウエアに限りませんが、マルウエア感染の被害状況はなかなか開示されないのが実態です。情報が少ない中、どのように対策すべきか悩んでいるセキュリティ担当者もいるはずです。
今回は標的型攻撃で使われることの多いバックドア型マルウエアについて、特徴や攻撃活動を深掘りしてご紹介します。敵の手の内を知ることで、今後のセキュリティ強化ポイントを明確にするきっかけになれば幸いです。
遠隔操作の基本的な仕組み
これまでの連載でマルウエアがいくつかのタイプに分類できることをご紹介してきました。具体的には、第3回で取り上げた金銭搾取を目的とするランサムウエアや、別のマルウエアを呼び込むダウンローダー、ネットワークの「裏口」を開いて遠隔操作を受け付けるバックドアなどです。
代表的なバックドアのマルウエアはEmdiviの他に、Poison Ivy(ポイズンアイビー)やPlugX(プラグエックス)などがあります。これらに感染した場合、攻撃者はコマンド&コントロール(C&C)サーバーを介して、感染PCを遠隔操作できます。遠隔操作というとイメージしにくいかもしれませんが、目の前のPCに対してマウスやキーボードで操作できることはほぼできるとお考えください。
攻撃者がPoison Ivyに感染したPCをC&Cサーバーを介して遠隔操作する管理画面を説明します(図1)。図1の左側はファイルやフォルダの操作画面で、Windowsのエクスプローラーと同じ操作感です。
ここで右クリックして表示されるメニューには「Upload」や「Download」があります。これらの機能を使用すると、感染PC内の特定のファイルをC&Cサーバーに盗み出したり、その逆にC&Cサーバーにあるハッキングツールなど任意のファイルを感染PCに送り込んで実行することもできます。
図1の右側はリモートシェル機能と呼ばれる、任意のWindowsコマンドを感染PC上で遠隔から実行する画面です。もちろん結果も表示します。管理画面はこれ以外にもキーボードの入力内容を記録するキーロガー機能や、感染PCのスクリーンショットを取得する機能などを備えています。
マルウエアとC&Cサーバーとの通信は、Poison Ivyのような少し古いマルウエアでは独自プロトコルを利用していましたが、PlugXやEmdiviなどの比較的新しいマルウエアはHTTPの80番といった標準的なプロトコルとポートの組み合わせを利用するように進化しました。
そのため、ポート番号でフィルタリングする対策製品では、Webサイトの閲覧などの通常の通信と区別が付かなくなっています。攻撃者はC&Cサーバーとの通信を悟られないよう巧妙に細工を進めているのです。