米政府、北朝鮮によるマルウェア「FALLCHILL」を警告

Stephanie Condon (ZDNET.com) 翻訳校正: 編集部2017年11月16日 10時46分

 米連邦政府は米国時間11月14日、北朝鮮政府が使用するとみられるマルウェア「FALLCHILL」に関してアラートを発令した。北朝鮮は2016年から、航空宇宙、通信、金融の各業界をターゲットにこのマルウェアを使用していた可能性が高いと警告している。

 米連邦捜査局(FBI)と、米国土安全保障省(DHS)配下のコンピュータ緊急事態対策チーム(US-CERT:United States Computer Emergency Readiness Team)が共同で発令したこのアラートでは、北朝鮮のハッカーらがターゲットのネットワーク上にとどまり続けるために使用している疑いのあるIPアドレスが公開されている。ネットワークに侵入されると、機密情報が流出したり運用が中断されたりするなど、「深刻な影響」が生じると、FBIらは警告している。

 アラートによると、FALLCHILLは、ネットワークトラフィックを特定しづらくするために複数のプロキシを使用して、コマンド&コントロール(C2)サーバからターゲットのシステムに仕掛けられるという。偽のTransport Layer Security(TLS)通信を使用し、データはRC4暗号化技術によって暗号化される。以下の図は、その仕組みを示している(米政府は、北朝鮮政府による悪質なサイバー活動を「HIDDEN COBRA」と呼んでいる)。


 このマルウェアは通常、北朝鮮が使用する他のマルウェアによって仕掛けられたファイルか、感染したサイトからそれとは知らずにダウンロードされたファイルとして、システムに感染する。OSのバージョン情報やシステム名などの基本情報を収集し、ファイルの検索、読み取り、書き出し、移動、実行などのリモート操作を可能にする。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]