日本年金機構などを襲った「ブルーターマイト」攻撃が活発化、メール以外でも感染、標的が次なる業種へ拡大

　株式会社カスペルスキーは20日、日本を標的にした攻撃「ブルーターマイト（Blue Termite）」の新たな動きを観測したと発表した。

　ブルーターマイトは、2014年秋に初めて確認された一連のAPT攻撃だ。ただし、その後の調査から、少なくとも2013年11月から活動していたことが分かっているという。今年6月に発覚した日本年金機構への攻撃もその一環と考えられている。

ブルーターマイト（Blue Termite）

　カスペルスキーによると、ブルーターマイトが新たな感染手法を取り入れ、感染組織の数・業種も拡大するなど、攻撃がさらに活発化しているという。

　感染手法については、従来は主に“標的型メール”によって標的組織に侵入する流れだったが、新たにウェブ経由の侵入経路も確認したという。7月には、複数の改ざんサイトにマルウェアを設置し、Flash Playerのゼロデイ脆弱性（CVE-2015-5119）を突いてサイト閲覧者のPCに自動的に感染する“ドライブバイダウンロード”の手法が確認されたほか、標的組織の職員などがよく訪れるサイトを改ざんして待ち受ける“水飲み場型攻撃”が取り入れられていることも確認したという。

　また、侵入する遠隔操作ツールの「Emdivi t20」は7月以降、特定の標的の環境でのみ動作する新しい仕組みを取り入れており、より標的型に特化したカスタマイズが施されているとしている。

「ブルーターマイト」の活動手順

　カスペルスキーでは、ブルーターマイト攻撃におけるドライブバイダウンロード手法の導入やマルウェアの進化により、感染した組織が被害に気付きにくくなっていると指摘。その結果、感染した端末と攻撃者の指令サーバーとの通信数が増加しているという。

　指令サーバーと通信している感染端末は、6月の時点ではユニークIPアドレス数で300件、1日あたりの最大通信数は約140件だったが、7月に入るとIPアドレス数は3倍以上の1000件にまで急増、通信数も約280件に倍増した。

感染したとみられる端末と指令サーバーとの通信数の推移

　さらに、これまでの攻撃によって収集・窃取した情報をもとに、次の標的へと攻撃を広げているという。6月までは、政府・行政機関、地方自治体、公益団体、大学、銀行、金融サービス、エネルギー、通信、重工、化学、自動車、電機、報道・メディア、情報サービスといった分野の組織での感染が確認されていたが、7月からは、医療、不動産、食品、半導体、ロボット、建設、保険、運輸が新たに加わり、被害組織の業種が拡大したとしている。