ニュース

10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃

 株式会社シマンテックが「Tick」と呼んでいるサイバースパイグループが、独自のトロイの木馬「Daserf」を使い、主に日本の企業を狙っていたことが分かった。目的は重要な情報を盗み出すことで、メールやPowerPointプレゼンテーションなどを盗み出そうとすることをシマンテックでは確認している。ごく最近の攻撃は、日本のテクノロジー系/水産工学系の企業と放送業界に集中しているという。

 Tickは、その存在が見つかる前から、2006年には早くも活動を開始していたとシマンテックではみている。最も新しい攻撃は2015年7月に発見され、Flashの脆弱性を突く水飲み場型攻撃が日本の3つのウェブサイトに仕掛けられていた。また、最近の攻撃ではスピア型フィッシングメールも用いており、Officeの脆弱性(CVE-2014-4114)を悪用するコードが特定されている。

トロイの木馬「Daserf」の地域別感染数

 Tickの攻撃は極めて限定的だとしており、侵入先が意図した標的企業であることが確定した場合に初めて、あらゆるツールを動員して攻撃を進めるという。シマンテックで把握しているDaserfの感染数は、日本において20件ほど。ウェブサイト経由で“意図しない感染”が広がったため、攻撃者の動機を見極めるのは難しくなっているというが、シマンテックが感染後の活動の証拠を探したところ、Tickが侵入後にも執拗な攻撃を続けていた7つの企業を特定した。その大半は日本のテクノロジー系、エンジニアリング系、報道系の大手企業だったとしている。

 これら7企業のネットワーク上で、Tickが侵入後に活動した期間は最長で18カ月、平均で5カ月に及んでおり、このことからも、これらの企業がTickの意図していた標的だったことを裏付けているという。なお、被害企業のネットワークで感染したホストの数は、3~15システムと幅があった。

 「Tickは、高度なサイバースパイグループの特性をすべて備え持ったグループです。グループの寿命が長いことと、特定の業種に対する標的型攻撃を一貫して続けていることも、それを裏付けていると言えます。個人にせよ組織にせよ、Tickの背後に潜む者は日本のテクノロジー産業と、メディア・報道業界に関心を示しています。Tickの手口は時とともに変化しますが、グループのこれまでの歴史から考えると、日本を中心として、ごく狭い範囲を狙った攻撃を続けることは明らかでしょう。」(シマンテック)

(永沢 茂)