本リリースは、2013年 9 月 26 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

～新たなトレンド：緻密なゲリラ攻撃を実行するサイバー傭兵部隊の出現～

本日、Kaspersky Lab のセキュリティ調査チームは、主に日本および韓国において欧米企業のサプライチェーンを攻撃対象とする小規模ながらも活発な APT グループ「Icefog」を発見したことを発表します。2011 年に開始されたこの活動は、ここ数年でその攻撃数と範囲を拡大しています。

Global Research and Analysis Team（GReAT）ディレクター、 コスティン・ライウ（Costin Raiu）は次のように述べています。「過去数年の間、我々は数々の APT があらゆる分野に仕掛けた攻撃を目撃してきました。多くのケースでは、攻撃者が企業や政府のネットワークに足掛かりを得て、数年がかりで数テラバイトもの機密情報を盗み出していました。一方、今回発見されたIcefogの特徴と言える“ゲリラ的な攻撃”は、小規模なギャンググループが緻密な精度で情報を奪うという新たな傾向を示しています。Icefog における通常攻撃は数日ないしは数週間続き、探していた情報を手にすると攻撃者は証拠を消し去り攻撃を止めます。今後は、現代社会における“サイバー傭兵部隊”とでも呼ぶべく、ゲリラ攻撃に特化した“APT 雇い”の小グループが増えていくと予想しています。」

主な発見：

• 標的のプロファイルを分析すると、攻撃者は次の分野に興味を示していることがわかります：軍、造船、海運、コンピューター・ソフトウェア開発、研究機関、通信会社、衛星通信、マスメディア、TV 局
• 攻撃者は機密文書や事業計画書、E メールアカウントのログイン情報、被害ネットワークのさまざまな内部・外部リソースにアクセスするためのパスワードを盗み出します。
• 攻撃の過程では、「Icefog」（別名 Fucobha）と呼ばれるバックドアを使用します。Icefog には Windows 版と Mac OS X 版があることがわかっています。
• 多くの APT 攻撃では数か月、ときには数年間も感染が続きデータを詐取し続けます。しかし、Icefog の攻撃者は被害者に対し1 対1の攻撃を行い、特定の情報のみの所在を突き止めてそれを入手し、目的の情報を得た段階で攻撃を止めます。
• ほとんどのケースにおいて、Icefog の攻撃者は被害者から何の情報が得られるかを熟知しているようです。彼らは特定のファイル名を検索するとすぐさま探し出し、C&C サーバーに転送します。

攻撃とその機能

Kaspersky Lab の研究者は、攻撃者が使用した 70 以上のドメインのうち 13 についてシンクホール分析を行いました。これにより、世界の被害者数の統計が得られました。さらに Icefog の C&C サーバーは、被害者の情報と、実行したさまざまな攻撃のログを暗号化して保持していたことも明らかになりました。これらのログから、攻撃の対象が判明し、被害者を特定できるケースもありました。日本と韓国のみならず、台湾、香港、中国、米国、オーストラリア、カナダ、英国、イタリア、ドイツ、オーストリア、シンガポール、ベラルーシ、マレーシアなどの国や地域でも、シンクホールとのつながりが確認されました。Kaspersky Lab は合計で 4,000 件以上のユニーク IP の感染と、数百の被害者（数十件の Windows ユーザー、350 件の Mac OS X ユーザー）を突き止めました。

このインフラの監視・制御に使用された IP のリストから、この攻撃の背後にいる人物は中国、韓国、および日本の少なくとも 3 か国をベースに活動していると推測できます。

カスペルスキー製品は、マルウェア Icefog のすべての変種・亜種を検知し駆除します。

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については http://www.kaspersky.co.jp/ をご覧ください。