三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析


 Trend Microは19日、防衛産業の企業に対する標的型攻撃を確認しており、この攻撃の被害を受けたうちの1社が日本の三菱重工業だとして、確認されている攻撃手法などを公式ブログで明らかにした。

 Trend Microによると、標的型攻撃は日本、イスラエル、インド、米国の防衛産業の企業に対して行われていることが確認されており、この攻撃による被害を受けた8社を特定し、各企業に対して通知していたという。攻撃者は、複数の場所に存在する合計32台のコンピューターに侵入。これらのコンピューターによるネットワークは2011年7月から活動を継続しており、さらなる標的に向け悪意のある文書ファイルを送信しているという。

 この攻撃の被害を受けた8社のうちの1社が日本の三菱重工で、Trend Microでは三菱重工を狙った攻撃を正確には特定していないが、同じC&Cサーバー(Command & Controlサーバー、司令サーバー)に接続する攻撃のサンプルを分析しており、三菱重工も同様の方法で侵害されたと思われるとしている。また、三菱重工の他にも攻撃に用いられている、リモートアクセス型トロイの木馬のために特別に構築された、第2段階のマルウェアについても解析を行っている。

 攻撃は、悪意のあるPDFファイルをメールの添付ファイルとして送信し、Adobe FlashとAdobe Readerの脆弱性を利用してバックドアを標的PCに送り込む。バックドアはC&Cサーバーに接続して自身の情報を送信した後、さらなるコマンドを待ち構える。

 攻撃の第2段階は、まずC&Cサーバーからの司令により、標的PCがネットワーク情報と特定のディレクトリー内のファイル名を送信し、さらに別のバックドアをダウンロード。ネットワーク内のマシンに対して、パスワードのハッシュを利用した攻撃方法で侵入を試み、リモートアクセス型のトロイの木馬を送り込む。これにより、標的のシステムをリアルタイムでコントロールすることが可能になるという。

 Trend Microでは、この攻撃ネットワークは比較的少数のターゲットで構成されているが、標的となったマシンは防衛産業の企業の割合が高く、またマルウェアのコンポーネントが特定の企業のために作成されていることは、攻撃者の志向性を示していると分析している。

リモートアクセス型トロイの木馬のクライアントインターフェイス

関連情報


(三柳 英樹)

2011/9/20 15:22