最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask(ザ・マスク)」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。
The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。
活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。
標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV(履歴書)や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。
- Inspired By Iceland.doc
- DanielGarciaSuarez_cv_es.pdf
- cv-edward-horgan.pdf
添付ファイルを開くと、正規の文書に見える内容が表示されますが、実際には悪質なリモートアクセス型のトロイの木馬(RAT)もインストールされ、侵入を受けたコンピュータへの完全なアクセスを許してしまいます。侵入に成功すると、The Mask は追加のツールをインストールし、持続性を強化してサイバースパイ活動を続けられるようになります。
サイバースパイ - 専門的なツール類
The Mask は、自由に使える一連のツール類を所有しています。なかでも、このグループを典型的なサイバー犯罪とかけ隔てている特徴と言えるのが、Backdoor.WeevilBというツールです。これは、モジュール型の性質とプラグインアーキテクチャを備えた高度なサイバースパイツールであり、無数の設定オプションが用意されています。Duqu、Flamer、MiniDukeといった他の高度な攻撃活動を連想させますが、The Mask がそれらの活動と関連している証拠は見つかっていません。
デフォルトで、相互通信、ネットワーク盗聴、活動監視、データ抽出、ルートキット機能などに特化した 20 近いモジュールがインストールされます。
図. The Mask のモジュールの一部
追加モジュールのダウンロードと即時のロードは、プラグインアーキテクチャによって実現されています。Backdoor.WeevilB は主要なブラウザのすべてにおける活動をログに記録し、膨大な拡張子のリストに基づいて情報を収集します。Backdoor.WeevilB の標的となる文書の種類は、以下のとおりです。
- Word、PDF、Excel
- 暗号化ファイル、PGP キー、暗号化キー
- モバイルバックアップファイル
- 電子メールアーカイブ
収集された情報は、HTTPS プロトコルを使って、攻撃者が管理するサーバーに安全に送信されます。
データを盗み出すコンポーネントが、The Mask の標的に関する手掛かりになっています。「archivos de programa」のようなスペイン語のパス名で文書を検索していることから、標的ではスペイン語のオペレーティングシステムが実行されていると考えられます。
まとめ
専門的なチームが展開するサイバースパイ活動は、増加傾向にあります。この数年の間で、Flamer、MiniDuke、Hidden Lynxといった何年間も持続するスパイ活動がいくつも明らかになってきました。The Mask も、こうした名だたるマルウェアに連なるものですが、高度な攻撃活動の標的が多様化していることも示しています。これらの攻撃と時を同じくして、スパイ活動に使われるツールを開発する企業も登場しており、Hacking Team や Gamma International といった企業が、高度な監視機能を持つリモートアクセスツール群を販売しています。こうしたことからも、地理的にも技術的にもサイバースパイ活動が広がりつつあることは明白です。
保護対策
シマンテックは、この脅威に対して以下の検出定義を提供しています。
また、次の侵入防止シグネチャでネットワーク保護も提供しています。
System Infected: Backdoor.Weevil Activity
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。