2011年に公表された大規模サイバースパイ活動である「Duqu」と関連が深いと見られる攻撃を確認しました。この「Duqu 2.0」は、3つのゼロデイ脆弱性を悪用しています
[本リリースは、2015年6月10日にKaspersky Labが発表したプレスリリースの抄訳です]
- Kaspersky Labは今年早春、本社内ネットワークへの不正アクセスを検知しました。
- Kaspersky Labは、本攻撃による同社の顧客および現行製品・サービスに関する情報の漏洩ならびに影響がないことを確信しています。
- 2011年に公表された大規模サイバースパイ活動である「Duqu」との直接的な関連が深いと見られる本攻撃「Duqu 2.0」は、3つのゼロデイ脆弱性を悪用しています。
Kaspersky Labは、2015年早春に当社内のネットワークへの不正侵入を検知しました。これを受けて実施した監査ならびに調査により、本攻撃が「Duqu」によるAPT攻撃である事実を突き止めました。
2011年から3年の月日を経て進化を遂げた本攻撃を「Duqu2.0」と名付け、調査を続けた結果、遅くとも2014年から欧州、中東、アジアの諸国で企業や政府組織を標的としたスパイ活動が確認されており、イランの核開発に関連した6か国会議(P5プラス1)およびアウシュヴィッツ強制収容所解放70周年記念式典の出席者が標的となっていた事実も判明しました。
セキュリティ侵害の概要
Kaspersky Lab社内への不正侵入は2015年早春、同社で開発中のAPT対策ソリューションのテスト中に検知されました。この攻撃は、ゼロデイ脆弱性を悪用し、ドメイン管理者への権限昇格を行います。その後、ネットワーク内のWindows コンピューターに対してMSI(Microsoft Software Installer) ファイルを介してマルウェアの拡散を行いました。各端末のディスク上には活動の痕跡はほとんど残されておらず、システム上の設定にも変更の形跡がなく、極めて検知が難しいと考えています。リサーチャー、リバースエンジニア、マルウェアアナリストで構成される調査チームによる「Duqu 2.0」の詳細な解析結果はSecurelist に公開しています。※1
Kasersky Labでは初動としてセキュリティ監査を行い、攻撃の解析を実施し、ソースコードの検証や社内インフラの確認などがそれぞれ専門チームによって行われました。調査は現在も継続中であり、数週間ほどで完了の見込みですが、現段階において攻撃者の侵入目的が当社のテクノロジーならびにリサーチ情報を狙ったスパイ活動であることが明らかになっています。この攻撃による直接的な被害は当社の知財情報の窃取以外には確認されておらず、プロセスおよびシステムの障害は認められていません。
Kaspersky Labは、当社のお客様およびパートナー、現行の製品、技術、サービスに本攻撃が及ぼす影響がないことを確信しています。
監査ならびに調査によって現在までに判明している事実は以下の通りです:
- 当攻撃は、2011年のAPT攻撃「Duqu」の実行グループが、周到な計画の上に遂行したものであり、特定の国家の関与が疑われています。
- Kaspersky Labに対する攻撃者の標的は、当社の最新技術をはじめとする知財情報の窃取と確信しています。特に攻撃者が関心を示したのは、Secure Operation System、Kaspersky Fraud Prevention、Kaspersky Security Network 、APT対策ソリューションならびにサービスといった、当社のR&Dの知財情報でした。R&D以外の部門(営業、マーケティング、コミュニケーション、法務)は攻撃者の標的の対象外でした。
- 攻撃者のアクセスを許した情報は、当社製品の動作や運用に直接の影響を及ぼすものではありません。今回の件で得た情報 を元に、Kaspersky Labは当社のITセキュリティポートフォリオのパフォーマンス向上に引き続き尽力していきます。
- 攻撃者はまた、当社が現在進めているAPT関連の調査に対しても高い関心を示しました。複雑なAPT攻撃の検知および攻撃への対抗における当社の高い評価を、攻撃者側は意識していたと見られます。
- 攻撃では、3つのゼロデイ脆弱性が悪用されたと見られますが、最後まで残っていたゼロデイ脆弱性(CVE-2015-2360)も、当社の報告を元に、2015年6月9日にMicrosoft社からパッチが公開されました。(MS15-061)
- マルウェアは、自身を隠蔽するために高度な手法を用いていました。具体的には、「Duqu 2.0」のコードはコンピューターのメモリ内にのみ存在し、ハードディスク上での痕跡をすべて消し去ろうとします。
総括
Kaspersky LabのGlobal Research & Analysis Team(GReAT)のディレクターを務めるコスティン・ライウは、次のように述べています。「Duquの背後にいるのはトップレベルのスキルとパワーを持ち合わせたAPT集団であり、存在に気づかれないためにあらゆる手を打っていた。非常に精緻なこの攻撃は、3つのゼロデイ脆弱性を悪用しており、この点からも莫大な資金がこの攻撃に投入されていることがうかがわれる。Duqu2.0で使用されたマルウェアは、検知を逃れるためにカーネルメモリ内のみに常駐しており、現存するマルウェア対策ソリューションは、検知が難しいと考えられる。またもう一つの特異点として、このマルウェアはC&Cサーバーに直接接続して指令を受け取ることをしていない。その代わりに、感染端末とC&Cサーバーの全通信を感染させたネットワークゲートウェイやファイアウォールに中継させている」
Kaspersky LabのCEO、ユージン・カスペルスキーは次のようにコメントしました。「セキュリティソフトウェアが企業や個人にとって最後の防衛線である今日、 サイバーセキュリティ企業に対するスパイ行為は、非常に危険な傾向だ。また、同様の標的型攻撃に実装された技術は、遅かれ早かれ、テロリストやプロのサイバー犯罪者の手に渡るようになる。これは極めて深刻であり、可能性の高い筋書きだ」
「世界をより安全な場所とするには、こうしたインシデントを逐次公表していくしかない。企業インフラの安全設計を改善する上で役立つだけでなく、このマルウェアの開発者に対して“あらゆる違法な活動は停止され訴追されるのだ”という直接的な警告を送ることともなる。世界を守る唯一の方法は、このような攻撃に対して法執行機関とセキュリティ企業が公然と戦いを挑むことだ。我々は攻撃元がどこであるかに関わらず、攻撃について常に報告していく」
Kaspersky Labは、今後もあらゆるサイバー攻撃から、お客様およびパートナーの皆様を引き続き防御していきます。お客様に対して公平であること、皆様の信頼を維持することに全力で取り組んで参ります。当社の対応は今回のインシデントへの対処となる一方、将来的な同様の問題の発生を防止することにもなると確信しています。当攻撃に関し、当社は複数国のサイバー警察部門へ公式な捜査をすでに依頼しています。
今回の発表内容は、現時点ではまだ最終のものではありませんが、今後、「Duqu2.0」は地理的にもターゲットの数においても、増加することに疑いの余地はありません。当社は、この脅威に対抗し、緩和するためにもIOC(脅威の存在を示す痕跡) ※2を公にし、ご要望のある組織に対しては支援を提供(APT_taisaku@kaspersky.com)する準備があります。
当社製品にはすでに本攻撃への対策が反映されており、マルウェアは「HEUR:Trojan.Win32.Duqu2.gen」の検知名で検知することができます。
※1、※2の詳細はこちらをご覧ください:
Securelist
APTによる影響を軽減するための一般的ガイダンスについては、「APT: 今そこにある脅威 ~効果的なAPT対策を実現するために~」(www.kaspersky.co.jp)をご確認ください。