ファイア・アイ、JTBを狙った標的型攻撃のマルウェア「PlugX」の緊急説明会を開催

　ファイア・アイ株式会社は17日、JTBを狙った標的型攻撃で使われていたマルウェア「PlugX」に関する緊急記者説明会を開催した。

　PlugXは、標的型攻撃で使用される遠隔操作ツール（RAT:Remote Access Tool）のマルウェア。2012年6月に初めて確認され、これまで日本国内のほかに米国、韓国、香港、台湾、最近ではベトナムなどへの攻撃に使用されている。攻撃の標的となっていたのは、ハイテク、航空宇宙、メディア、通信などの企業や政府などで、これまでは主に企業の事業プランや製品計画書といった機密情報が狙われていた。

　しかし今回は、個人情報を狙って旅行会社が標的になっている。米国でもマルウェアにより社会保障番号が流出する事案が起きており、「大規模な個人情報はここ1年くらいのトレンドで、機密情報から個人情報に切り替わったことが今回の事案の大きな特徴」（ファイア・アイ株式会社シニア・スタッフ・リサーチ・アナリストの本城信輔氏）だという。このため、例えば国内で言えばマイナンバーなど「個人情報を持っている企業であれば、旅行会社に限らず狙われる可能性がある」。

ファイア・アイ株式会社シニア・スタッフ・リサーチ・アナリストの本城信輔氏

説明会では、「PlugX」RATマルウェアを作成するツールキットのデモも行われた。UIは中国語となっている

　PlugX自体は、感染PCで起動しているソフトウェアやサービスをリモートから確認したり、コマンドプロンプトを実行したり、レジストリを変更したりするなど、PCに関する一通り操作を行うことができるもの。リモートへファイルの送受信を行うこともできるため、ほかの重要な情報が保存されているPCやサーバーを狙ってパスワードを盗むツールを送り込んだり、入手した情報を送信したりと、あくまで踏み台の1つとして使われることがほとんどだという。

　PlugXの感染数は、2014年下半期には多く見られたが、近年は日本国内への攻撃数は減少しているという。「なぜ今ごろ感染があったのか、というのが正直な印象」とのことだが、本城氏は「標的型攻撃で『Emdivi』のように数が多いのはむしろ異常」で、標的型攻撃では「本当に狙いすました2つ3つの標的だけに送り込んでいるため、PlugXの数は減っているが、その方がむしろ対策は困難で、今回のような大規模な事故の遠因とも考えている」との見解を示した。

2014年下半期のAPT（Advanced Persistent Threat）攻撃マルウェアの検出比率。「Kaba」は「PlugX」の別名で、当時はトップとなっていた

2015年以降は、日本年金機構への攻撃に使われた「Emdivi（別名SUMBLADE）」がトップとなっている

　PlugXはメールに添付されたファイルを開いたことで感染を引き起こしたが、以前の事案でのおとり文書の例についても解説が加えられた。しかし、ランサムウェアのように不特定多数のユーザーを狙ったメールとは異なり、標的型攻撃では業務に関連したメールを巧妙に偽装するため、「一般のユーザーが怪しいと判別することは不可能に近く、怪しいメールへの注意喚起で攻撃を防げる時代ではない」とした。

2015年以降のAPT攻撃では、日本年金機構への攻撃に使われた「Emdivi（別名SUMBLADE）」がトップとなっている

文書には中国語の「SimSun」フォントが使用されていた

　今回、PlugXのような以前からあるマルウェアに感染してしまった理由として本城氏は、「暗号化して難読化するロジックが使われていると、シグネチャー型のアンチウイルスでは検知できないことがある。また、振る舞いを検知するサンドボックス製品に対する回避対策も進んでおり、これを使われた可能性もある」と述べた。

　ファイア・アイでは、PlugXを使うAPT攻撃のグループについて、これまでに3つほどの存在を確認しているという。PlugXのマルウェアを作成するツールキットのUIが中国語であること、APT攻撃グループは踏み台となる感染PCに指令を送るC&Cサーバーから「HTRAN」というパケット転送ツールを使って通信を行うことで身元を隠しているのが特徴で、「攻撃者は中国である可能性が高いと考えている」という。

2014年のAPT攻撃では、DragonOKというグループが「HTRAN」を使い、中国江蘇省より日本や台湾、東南アジアに攻撃を行っていた

　こうした攻撃への対策として本城氏は「未知の脅威に対するサンドボックス製品での検知率は向上しているが、「どこのベンダーも100％には絶対できない」とし、「感染は防げないものと意識を変える必要がある」とした。

　また、例えば2015年の日本年金機構の事案では、数百万件の個人情報が漏えいしたが、漏えいに関与した感染PCがたった1台だけだったことから、「感染が防げないことを前提に、感染したときにどう組織として対応するかを考えておくことが重要」と述べ、具体的には、社内システムを監視して、攻撃を早期に発見して隔離するなど、感染時の対処手順について、実際に外から攻撃を仕掛けてみてチェックする攻撃演習を行うなどを推奨した。

　このほか、機密情報や個人情報などの重要な情報にアクセスするシステムを、メールやインターネットを使うネットワークから分離することも重要な対策とした。「メールやウェブは丸腰で治安が悪いところを歩くようなもので、大金は持ち歩かないのと同様にネットワークを分離することが重要」と述べた。ただし、これにより運用は難しくなる。日本年金機構の事案では、ネットワークを分離していても、利便性のために本当はやってはいけない手順を使い、そこが抜け道になっていた。「こうしたことのないよう、社員への教育も重要になる」とした。