日本を標的とみられる新種のマルウェア、バージョンアップを繰り返し急速進化!
日本を標的として開発されたとみられる新種のマルウェアが、頻繁にバージョンアップを繰り返し急速に機能強化されていることが日本経済新聞の報道で明らかになった。
民間のセキュリティー団体の調査によると、この新種のマルウェアを使用したサイバー攻撃が国内の企業や公的機関で確認されており、海外では今のところの確認例はないという。
遠隔操作型のマルウェア「LODEINFO(ロードインフォ)」
コンピュータセキュリティの情報収集や関連情報の発信などを行う、一般社団法人 JPCERTコーディネーションセンターの調査によると、「LODEINFO(ロードインフォ)」と呼ばれる遠隔操作型のマルウェアを仕込んだメールが、国内の複数のメディアや公的機関を標的として送信され、昨年12月~今年の6月までに合計で16件確認されている。
また、国内のシンクタンクや防衛関連の団体など複数の企業で感染したことが報告されている。
出典:JPCERTコーディネーションセンター
ロードインフォは、Googleなどのフリーメールを使用し、「新型コロナウイルス」を題材にしたものや、履歴書、エントリーシートなどを装って添付されたファイル(ワードやエクセル)を開くと感染するという。
感染した端末は、外部からの遠隔操作でネットワーク内の他の端末に感染を拡大していく。
短期間で6回のバージョンアップ!専門家は「珍しいマルウェア」
ロードインフォは昨年12月以降から現在までに少なくとも6回のバージョンアップが確認されており、短期間で急速に進化している。
6月には、端末内のデータを暗号化し、使用できなくする機能が新たに加えられ、暗号化解除の「身代金」を要求する攻撃が確認されている。
また、侵入の痕跡を消去したり、感染方法やタイミングなどの仕様変更を重ね、マルウェアとして検知されないよう対策しているとみられる。
JPCERTのマルウエアアナリスト、喜野孝太氏は次のように述べている。
「短い期間でここまで頻繁にアップデートされるマルウエアは珍しい。」
「攻撃者の正体は不明だが、何者かがバージョンアップを重ねながら日本を狙って継続的に攻撃を仕掛けている可能性が高い。」
サイバースパイ集団「APT10」が関与か
ロードインフォを解析したマクニカネットワークスのセキュリティ研究センター主席柳である下元氏は、「APT10」と呼ばれる中国拠点のサイバースパイ集団が、過去に使ったマルウェアと「プログラムの書き方にみられる癖が似ている」と指摘した。
サイバースパイ集団APT10は、米国、欧州、日本などの航空、自動車、金融を含む幅広い業界から、機密情報や先端技術を盗み出していた。
現時点で、APT10とロードインフォを結びつける明確な証拠はない。
JPCERTは、ロードインフォを利用した攻撃が増えていくとみており、注意喚起をしている。