海外における個人情報流出事件とその対応第215回今年も懸念されるサイバースパイ活動 (1) サイバースパイが使う実在の会議名に偽装した標的型攻撃

●今年も懸念されるサイバースパイ活動

1月18日、英国のITニュースのWebサイト『The Register』が、「正体不明のハッカーが、米軍から業務を請け負っている企業への攻撃を継続的に行っている」と伝えている。何者かが国防省からと偽ってPDFファイルを、請負業者に送付したというものだ。メッセージは3月にラスベガスで実際に開催される会議に関するもので、非常にターゲットをしぼった攻撃だ。

事態について書いたセキュリティ企業、F-SecureのMikko Hypponenのブログを見ると、PDFの文書は1月7日付けだ。そして、件名は、「U.S. Department of Defense Mission Planning Users Conference, 23-25 March 2010」となっている。Mission Planning Users Conferenceは、米国国防に関するミッション計画のためのフォーラムで、数千人が出席する会議だ。文書では、「情報交換やユーザトレーニング、革新的製品の実演などを行う」と紹介している。

ファイルにはJava Scriptコードが仕掛けられていて、受信者がファイルを開くと、Adobe Readerの脆弱性を悪用して攻撃される。すなわちPDFを開くとUpdater.exe というファイルをドロップ。これは、サーバ、140.136.148.42に接続するバックドアで、接続時には、探知を防ぐために別のWebプロキシをバイパスしている。この脆弱性は1月12日にパッチが発表されたばかりのものだ。

結果、このサーバをコントロールする犯人が、感染したコンピュータと会社のネットワークへのアクセスを得る。サーバは台湾でホスティングされていた。

米アドビシステムは、昨年12月半ばに、Adobe Reader/Acrobatで脆弱性が見つかり、これを悪用した攻撃が行われていると、ブログで警告した。脆弱性を突いてトロイの木馬が実行されるというもので、その後、亜種数種類が見つかっている。SANS’ Internet Storm Centerでは、企業数社がこれらのマルウェアを受け取っていると発表している。

●攻撃を受ける米諜報セクター

1月21日には、F-Secureが再び、諜報セクターが攻撃されていると、ブログで発表した。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)