アジアの高級ホテル宿泊者を狙った「Darkhotel」攻撃、日本の被害が最多

　Kaspersky Labsは11日、アジアの高級ホテルのネットワークを標的として、宿泊者のPCにマルウェアを感染させる攻撃が長年行われていたことを確認したとして、注意を呼び掛けた。

　Kasperskyが「Darkhotel」と呼ぶこの攻撃では、アジアの高級ホテルに宿泊する企業幹部や政府関係者などが狙われた。宿泊者がホテルの無線LANなどに接続しようとすると、GoogleツールバーやFlashなどのソフトウェアのアップデートを行うよう促し、この際に正規のインストーラーを装ったバックドア入りのプログラムをダウンロードさせるという手口が用いられた。

　この手口は、限定された宿泊者にのみ実行されたとみられ、Kasperskyのスタッフが同じホテルを訪れた際には攻撃は行われなかったという。このことから確定的ではないが、攻撃者は宿泊者に関する情報も把握して攻撃を行っていたのではないかと分析している。

「Darkhotel」攻撃

　Kasperskyでは、ホテルの滞在者に対する攻撃について、FBIが最初に言及したのは2012年のことだったが、Darkhotelの活動に使われたマルウェア「Tapaoux」の出現は2007年にさかのぼり、活動を統制するC&Cサーバーの記録も2009年1月までさかのぼれることから、この活動はかなりの期間に渡るとみられるとしている。

　また、Darkhotelで用いられたマルウェア「Tapaoux」は、防衛産業や政府、NGOなどを標的とした標的型フィッシング攻撃にも利用された。これらのフィッシング攻撃では、Internet ExplorerやAdobe製品のゼロデイ脆弱性が利用されていた。こうした脆弱性を発見するのは容易ではないことから、この攻撃には高価で取り引きされるサイバー兵器を購入可能なほど資金が潤沢なスポンサーが背後にいるか、ハイレベルな専門的技術を持つエージェントが関わっていると考えられるとしている。

　また別の手口としては、Torrentサイトを通じて配布される日本のマンガなどのアーカイブファイル中で、暗号化されたファイルの復号用と称したプログラムにより、マルウェアに感染させるといった手口が確認されている。

　攻撃者は検知を防ぐ手段を複数講じており、たとえばマルウェアは感染してから180日後にC&Cサーバーに接続するといった、長い“潜伏期間”が設けられていた。また、システムの言語が韓国語に切り替えられると、自滅する仕組みも備わっていたという。

　Kasperskyの調査によれば、感染PCが最も多いのが日本となっている。日本、台湾、中国、ロシア、韓国の上位5カ国の感染の割合が9割以上を占める。

感染PCの国別の割合