日本を含む世界の化学・防衛関連企業48社に標的型攻撃、Symantecが報告
米Symantecは10月31日、世界各国の化学・防衛関連企業を狙った標的型攻撃が7月から9月にかけて発生し、日本の企業を含む48社が攻撃を受けたと報告した。
Symantecが“Nitro”と名付けたこの攻撃は、7月下旬から9月中旬にかけて行われ、化学関連企業29社と防衛関連企業を中心とする19社が標的になった。攻撃を受けた組織は、米国、英国、デンマーク、オランダ、ベルギー、イタリア、サウジアラビア、日本に渡っており、101台のマシンが感染したことが確認されている。
感染したマシンの地域別内訳(Symantecの報告書「The Nitro Attacks:Stealing Secrets from the Chemical Industry」より) |
攻撃の手口としては、企業に対して標的型のメールを送りつけるもので、1つの組織で500人がこれらのメールを受け取った例もあるという。メールの内容は、取引のあるビジネスパートナーからの会議出席依頼を装ったものや、セキュリティ更新プログラムの配布を装ったものなど。これらのメールにはテキストファイルに偽装した実行ファイルや、メールに記載されたパスワードで展開できるアーカイブファイルなどが添付されていた。
標的型メールの例(Symantecの報告書「The Nitro Attacks:Stealing Secrets from the Chemical Industry」より) |
こうした添付ファイルに含まれる実行ファイルを実行すると、「PoisonIvy」と呼ばれるツールを使って作成されたトロイの木馬がインストールされる。トロイの木馬は、攻撃者が仕掛けた司令サーバー(C&Cサーバー)に接続して情報を送信するとともに、ネットワーク内の他のマシンにも攻撃を行い、ドメイン管理者の権限を奪おうとするなどの活動を行う。
Symantecでは、この攻撃が米国内の仮想専用サーバー(VPS)から行われ、このVPSは中国河北省の20代男性が契約していることを確認できたが、この男性が直接攻撃を行なっているのか、間接的に攻撃にかかわっているのかはわからなかったとしている。
関連情報
(三柳 英樹)
2011/11/2 13:31
-ページの先頭へ-