日本を含む世界の化学・防衛関連企業48社に標的型攻撃、Symantecが報告

　米Symantecは10月31日、世界各国の化学・防衛関連企業を狙った標的型攻撃が7月から9月にかけて発生し、日本の企業を含む48社が攻撃を受けたと報告した。

　Symantecが“Nitro”と名付けたこの攻撃は、7月下旬から9月中旬にかけて行われ、化学関連企業29社と防衛関連企業を中心とする19社が標的になった。攻撃を受けた組織は、米国、英国、デンマーク、オランダ、ベルギー、イタリア、サウジアラビア、日本に渡っており、101台のマシンが感染したことが確認されている。

感染したマシンの地域別内訳（Symantecの報告書「The Nitro Attacks：Stealing Secrets from the Chemical Industry」より）

　攻撃の手口としては、企業に対して標的型のメールを送りつけるもので、1つの組織で500人がこれらのメールを受け取った例もあるという。メールの内容は、取引のあるビジネスパートナーからの会議出席依頼を装ったものや、セキュリティ更新プログラムの配布を装ったものなど。これらのメールにはテキストファイルに偽装した実行ファイルや、メールに記載されたパスワードで展開できるアーカイブファイルなどが添付されていた。

標的型メールの例（Symantecの報告書「The Nitro Attacks：Stealing Secrets from the Chemical Industry」より）

　こうした添付ファイルに含まれる実行ファイルを実行すると、「PoisonIvy」と呼ばれるツールを使って作成されたトロイの木馬がインストールされる。トロイの木馬は、攻撃者が仕掛けた司令サーバー（C&Cサーバー）に接続して情報を送信するとともに、ネットワーク内の他のマシンにも攻撃を行い、ドメイン管理者の権限を奪おうとするなどの活動を行う。

　Symantecでは、この攻撃が米国内の仮想専用サーバー（VPS）から行われ、このVPSは中国河北省の20代男性が契約していることを確認できたが、この男性が直接攻撃を行なっているのか、間接的に攻撃にかかわっているのかはわからなかったとしている。