ニュース

日本や韓国を拠点に活動する攻撃グループ「IceFog」を確認、Kaspersky報告

WindowsとMacで動作するバックドアを使用

 Kaspersky Labは25日、日本や韓国において欧米企業のサプライチェーンを攻撃対象とする持続的標的型攻撃(APT)グループ「Icefog」を発見したと発表した。活動は2011年に開始されており、ここ数年で攻撃数と範囲を拡大しているという。

 Kasperskyでは、APTでは多くの場合、攻撃者が企業や政府のネットワークに足掛かりを得て、数年がかりで数TBもの機密情報を盗み出すが、今回発見されたIcefogは“ゲリラ的な攻撃”で、小規模なギャンググループが緻密な精度で情報を奪うという、新たな傾向を示していると指摘。Icefogにおける通常攻撃は数日から数週間続き、探していた情報を手にすると攻撃者は証拠を消し去り攻撃を止めており、今後はこうしたゲリラ攻撃に特化した“サイバー傭兵部隊”のような小グループが増えていくだろうと予想している。

 このグループは、攻撃の過程で「Icefog」(別名Fucobha)と呼ばれるバックドアを使用しており、IcefogにはWindows版とMac OS X版があることが判明している。

 攻撃の分析からは、攻撃者は軍、造船、海運、コンピューター・ソフトウェア開発、研究機関、通信会社、衛星通信、マスメディア、テレビ局といった分野に興味を示しており、ほとんどのケースでは被害者から何の情報が得られるかを攻撃者が熟知しているようで、特定のファイル名を検索するとすぐに探し出し、C&Cサーバー(司令サーバー)に転送しているという。

 Kasperskyの研究者は、攻撃者が使用した70以上のドメインのうち13について分析を実施し、IcefogのC&Cサーバーは、被害者の情報と実行した各種攻撃のログを暗号化して保持していたことが判明した。

 被害は日本と韓国のほか、台湾、香港、中国、米国、オーストラリア、カナダ、英国、イタリア、ドイツ、オーストリア、シンガポール、ベラルーシ、マレーシアなどの国や地域におよび、合計で4000件以上のユニークIPが感染、数十件のWindowsおよび350件のMac OS Xが被害に遭っていたという。

 Kasperskyでは、このインフラの監視・制御に使用されたIPのリストから、この攻撃の背後にいる人物は中国、韓国、日本の少なくとも3カ国をベースに活動していると推測している。

(三柳 英樹)