世界規模のハッキング攻撃、政府機関とハイテク企業などを標的に--北朝鮮が関与か

　サイバースパイ活動の第1段階と思われる世界規模のハッキング攻撃が、世界各国の政府機関や軍需、通信などのハイテク企業を標的にしている。

　McAfeeの研究者らが「Operation Sharpshooter」と名付けた新たな攻撃は、始まってから数週間しか経っていないが、10〜11月だけで24カ国の87組織に攻撃を仕掛けており、情報収集が目的のようだ。

　世界各国の組織が標的にされているが、McAfeeの分析によれば、被害は米国に集中しているという。

　南米、欧州、中東、インド、オーストラリア、日本の組織も被害に遭っているが、そのほとんどは、英語圏の企業か、英語が使用されている支社を持つ企業だ。

　攻撃者の主な標的は軍需企業や政府機関のようだが、通信、エネルギー、原子力、金融といった分野の企業も標的にされている。

　研究者らによると、攻撃は北朝鮮の利益のために活動しているハッカー集団「Lazarus Group」の顕著な特徴を多く示しているものの、それだけでは攻撃元を特定するのに十分ではないという。

　McAfeeのチーフサイエンティスト兼フェローであるRaj Samani氏は、ZDNetの取材に対して次のように語った。「技術的特徴だけを根拠に攻撃元を判断するのは困難だ。これがLazarus Groupになりすました攻撃である可能性も考慮しなければならない」

　攻撃は米国時間10月25日、人材募集のメールを装った一連のフィッシングメールが多くの標的に送られて始まった。悪意のある「Word」文書はいずれも、作成者名が「Richard」で、さまざまな企業の役職について、仕事の内容が記載されている。

　文書には悪意あるマクロが仕込まれており、埋め込まれたシェルコードを利用して、Sharpshooterマルウェア用のダウンローダーをWordのメモリに読み込む。このマルウェアが、攻撃の第2段階として「Rising Sun」を読み込むダウンローダーの役割を果たす。

　Rising Sunはモジュール式のバックドアで、被害者のネットワークを探索し、文書やユーザー名、ネットワーク設定、システム設定、コマンド＆コントロール（C&C）サーバに送られる情報など、マシンレベルの情報に攻撃者がアクセスできるようにする。

　このマルウェアは、さまざまなコマンドの実行や追加ファイルの入手、メモリのクリア、活動の痕跡の消去もできる。

　「Operation Sharpshooterは、悪意ある者たちが情報収集に利用する高度な標的型攻撃の新たな一例だ」と、Samani氏は言う。

　「だが、高度ではあるものの、この攻撃はある程度のソーシャルエンジニアリングを利用しており、企業の警戒とコミュニケーションによって、容易に緩和できる」（Samani氏）

　Rising Sunの分析から、ソニーへのハッキングに使用されたトロイの木馬型マルウェア「Duuzer」と同じコードや設定データが使われていることがわかっている。米国は、ソニーへのハッキングが北朝鮮によるものと考えている。

　だが、Rising Sunの暗号解読方法は別物で、Duuzerの進化バージョンである可能性も考えられる。もしそうだとしても、北朝鮮のハッカーが古いコードを再利用して新しい攻撃を仕掛けるのは、これが初めてではない。それについては、McAfeeが以前に指摘しているとおりだ。

　Operation Sharpshooterの黒幕が何者であれ、これで攻撃が終了することはなさそうだ。「どのようなセキュリティソリューションを使用していようと、組織はシステムをアップデートすべきだ。それと同時に、環境内に残るIoC（Indicator of Compromise：攻撃があったことを示す痕跡）を調査すべきかもしれない」（Samani氏）