メインコンテンツにスキップする

Kaspersky、マルウェア「WinDealer」の拡散に極めて高度な「man-on-the-side」攻撃が用いられていることを発見

2022年6月8日

man-on-the-side攻撃は、標的デバイスからの通信リクエストを見つけ出し、正規のサーバーよりも先にその標的デバイスへ応答を試みるものです。非常に高度で使用できる条件は厳しい一方で、成功した場合は被害規模が甚大になる可能性があります。

[本リリースは、2022年6月2日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)※1はこのたび、既知のマルウェア「WinDealer(ウィンディーラー)」が「man-on-the-side(マンオンザサイド)」攻撃によって配信されていることを発見しました。このマルウェアは、中国語話者のAPT(高度サイバー攻撃)グループ「LuoYu(ルオユー)」によって使用されており、主に情報を窃取する機能を持ちます。man-on-the-side攻撃は、非常に高度で使用できる条件は厳しい一方で、成功した場合は被害規模が甚大になる可能性があります。

サイバーセキュリティソリューションベンダーTeamT5が、2021年1月にJSAC2021でWinDealerについて発表したことを受けて、当社GReATのリサーチャーがWinDealerを含む攻撃について調査を継続しました。その結果、WinDealerを拡散する新たな手法として、ネットワーク上のトラフィックを読み取り、データを挿入するman-on-the-side攻撃が使用されていることを発見しました。この攻撃は、標的デバイスからの通信リクエストを見つけ出し、正規のサーバーよりも先にその標的デバイスへ応答を試みるものです。成功した場合、標的デバイスが受けるのは本来のデータではなく、攻撃者が提供したデータになります。

標的デバイスにWinDealerが感染した後は、膨大な量の情報を収集できる WinDealerのスパイウェアモジュールがロードされます。攻撃者はWinDealerおよびそのモジュールを通して、デバイスに保存された任意のファイルを確認およびダウンロードすることができます。LuoYuの標的は一般に、中国国内に設立された外交機関、学術界のメンバー、防衛、物流、電気通信企業です。WinDealerは、現時点ではWindowsデバイスに感染することを確認しています。

また、WinDealerには、ほかのマルウェアとは明らかに異なる技術的な特徴があります。マルウェアには通常、通信先のIPアドレスもしくはドメインがハードコードされており、悪意のある攻撃者はその通信先指令サーバーから攻撃全体を制御します。この指令サーバーのIPアドレスが分かればそれをブロックし、脅威を無効化することが可能です。しかし、WinDealerは48,000ものIPアドレスを通信先の対象範囲とする、IPアドレスを生成する特殊なアルゴリズムを持っており、コントロールすることは不可能に近いと考えられます。この一見不可能なネットワーク上の挙動を説明できる可能性の一つとして、攻撃者がこの通信先IPアドレスの範囲に対して高い傍受能力を有していたり、感染デバイスのマルウェアから指令サーバーに通信する場合に宛先が無いネットワークパケットでも読み取ることが可能な状況であることが考えられます。

man-on-the-side攻撃に対してユーザーが取れる防御策としてはVPN経由での通信が考えられますが、使用できない地域もあり、通常、中国国内でVPNは利用できません。

KL-WinDealer-1 図:WinDealerを使用したサイバー攻撃の地理的分布

APT攻撃グループLuoYuの標的は、ほとんどが中国国内にあるため、GReATのリサーチャーは、主な標的は中国語話者および中国関連組織であるとみています。また、ドイツ、オーストリア、米国、チェコ、ロシア、インドほかでも攻撃を観測しています。ここ数カ月は、LuoYuが東アジアの企業やユーザー、および中国に支店を持つ企業にも対象範囲を広げ始めています。

Kaspersky GReATのシニアセキュリティリサーチャー 石丸傑(いしまるすぐる)は次のように述べています。「LuoYuは極めて高度な攻撃グループで、WinDealerのように成熟度の非常に高い攻撃者のみが使用できるマルウェアを利用しています。特に、man-on-the-side攻撃を使用することで成功するまで何度でも同じ処理を繰り返すことができ、スパイ攻撃の遂行が可能になります。一見、日本には関係のない攻撃のように見えますが、中国に支店がある国内企業も標的になっていることを観測しています。地理的分布とは関係なく、現地に支店がある場合は注意が必要と考えます。標的になり得るユーザーができる防御策は、決して警戒を怠ることなく、通常のアンチウイルススキャン、送信ネットワークトラフィック分析、広範なロギングによる異常検知などの強固なセキュリティ対策を実装することです」

■ WinDealerに関する詳細は、Securelistブログ(英語)「WinDealer dealing on the side」でご覧いただけます。

※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky、マルウェア「WinDealer」の拡散に極めて高度な「man-on-the-side」攻撃が用いられていることを発見

man-on-the-side攻撃は、標的デバイスからの通信リクエストを見つけ出し、正規のサーバーよりも先にその標的デバイスへ応答を試みるものです。非常に高度で使用できる条件は厳しい一方で、成功した場合は被害規模が甚大になる可能性があります。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース