ウイルス定義
脅威カテゴリ:スパイウェア、標的型サイバー攻撃(APT)、トロイの木馬
BlackEnergyとは
マルウェア「BlackEnergy」は、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」、スパイ活動や情報破壊攻撃に利用されるトロイの木馬型のマルウェアです。2014年頃、「BlackEnergy」を使用するサイバー攻撃集団が、不正なプラグインを各国の「産業制御システム(ICS)」導入企業やエネルギー業界に展開し始めました。このプラグインは「産業制御システム(SCADA)」を狙う攻撃で利用された不正プログラムとも関連しているものです。これにより、このサイバー攻撃集団がDDoS攻撃を展開する平均的なサイバー犯罪者らを大きく上回る、高度なスキルを有することが判明しました。
2015年の中頃には、「BlackEnergy」を用いるこの標的型サイバー攻撃者集団が標的型メール(スピアフィッシング)を積極的に利用するようになりました。この標的型メールには、標的とするネットワーク内のコンピューターを感染させるために、不正なマクロを含むExcelファイルが添付されています。
一方、2016年1月には、カスペルスキーのリサーチャーが、コンピューターを「BlackEnergy」に感染させる新たな不正なファイルを検出しました。以前の攻撃に使用されていたExcel形式ではなく、今回はMicrosoft Wordファイルでした。このWordファイルを開くと、コンテンツを表示するためにマクロを有効にするよう促すダイアログが表示され、マクロを有効化すると「BlackEnergy」に感染します。
「BlackEnergy」による攻撃の標的となった組織
「BlackEnergy」によるAPT攻撃の被害を受けた主な組織は、次のとおりです。
- ウクライナ国内のICS、エネルギー業界、政府や報道機関
- 世界各国のICS/SCADA企業
- 世界各国のエネルギー関連企業
「BlackEnergy」の攻撃を受けるリスクがあるのは誰ですか
この標的型サイバー攻撃者集団はウクライナの企業や組織、特にエネルギー関連企業、政府や報道機関を中心に狙っています。加えて、世界各国のISC/SCADA企業やエネルギー関連企業も攻撃しています。このような業界や組織に勤務している、所有している、あるいは提携している場合は、感染のリスクがあると言えます。
「BlackEnergy」への感染を確認するには
カスペルスキー製品は、「BlackEnergy」が利用するさまざまなマルウェアを次のように検出します。
- Backdoor.Win32.Blakken
- Backdoor.Win64.Blakken
- Backdoor.Win32.Fonten
- Heur:Trojan.Win32.Generic
こちらの記事(英語記事)で、「BlackEnergy」が侵入した場合の痕跡について解説しています。
「BlackEnergy」から自身を守る方法
標準的なセキュリティ対策では十分ではありません。カスペルスキーでは、「BlackEnergy」の攻撃を防ぐために、次のような対策を組み合わせた多層防御を推奨しています。
- オペレーティングシステム(OS)の管理とネットワークベースでの対策
- セキュリティ対策製品によるセキュリティコントロール
- ぜい弱性の監査とパッチ管理
- アプリケーションコントロール
- ホワイトリスト方式でのセキュリティコントロール
- 標的型メールによる攻撃(スピアフィッシング)への対策
- 社員教育プログラムの受講
