海外における個人情報流出事件とその対応「情報漏えいで失業者に二重の打撃」(2)第三世代のQakbot | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

海外における個人情報流出事件とその対応「情報漏えいで失業者に二重の打撃」(2)第三世代のQakbot

国際 海外情報

●対応の遅れと財務情報漏えいで高まるリスク
漏えいが判明したのは「Threat Post」のDennis Fisherによると4月下旬だ。「SC Magazine」では4月20日と日付を特定している。コンピュータの反応が遅いという連絡がヘルプ担当に相次いだ。処理速度が遅い原因のひとつとして、マルウェア感染も疑われる。ネットワークマネージャーが調べた結果、案の定、感染が確認された。

「Boston.com」では、事件が明らかになったのが5月13日と、通知まで3週間以上かかったことから「なぜそれほど時間がかかったのか」と、通知の遅れを指摘している。州法では、データ漏えいがあった企業は、実行可能なかぎり「できるだけに早急に」「遅れることなく」通知することを求めている。

ただし、検察局では、「警告をもっと早くに出しているべきだった」と決めるのは早急すぎるとコメントしている。また、ソフォスのネットワークセキュリティアナリストのChester Wisniewski氏から「コンピュータウイルスは一般的になっているので、ネットワークが(マルウェアに)感染したといっても、すぐに警告を行うのは意味がない」と話している。迅速に通知することは、早急な対応を可能にして、ひいては被害も最小限にすることができるだけに、やはりもっと早くに対応するべきで、対応が遅れたのではないかという印象はある。

17日付けの発表では、銀行口座についての情報もハッカーの手に渡ったと警告している。当初の発表では触れていなかった財務関係の情報流出に、被害者のリスクは高まったと言えるだろう。州政府では、司法局サーバ犯罪部、消費者問題事務所、FBIをはじめとする、関係する国と州当局に連絡も行った。

●危険度の高いワーム
事件でシステムを感染させたのは「W32.Qakbot」ワームだ。このワームは2009年に初めて確認されていて、シマンテックによると今年の2月24日に第三世代の「Qakbot」が見つかっている。

W32.QakbotはMicrosoft Internet ExplorerやApple QuickTimeなどの脆弱性を攻撃するJavascriptを含むWebページで感染し、ネットワーク共有やリムーバブルドライブを通して拡散する。ファイルを追加ダウンロードするほか、感染したコンピュータのバックドアを開き、自身の存在を隠すためのルートキット機能も持つ。

そして、「Watchdog」と「Swatcher」の2つのスレッドを実行することで、生き残りを試みる。Watchdogはワトソン博士がメモリに起動しないか監視していて、見つかったら終了させる。Swatcherについては、レジストリのサブキー、RunやRunonceを30秒ごとにチェックして、必要な場合は更新する。盗んだデータは異なるセグメントに分けて外部に送る。ゆっくりと注意深く、慎重に行動し、探知されないように気をつけているマルウェアだ。

W32.Qakbotには

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×