Kaspersky Lab、中国語話者のAPTグループによる製薬企業へのスパイ攻撃を発見

2018年3月22日
ウイルスニュース

[本リリースは、2018年3月13日にKaspersky Labが発表したプレスリリースに基づいて作成したものです]

Kaspersky Labの調査チームは、高度な技術力を持つサイバー犯罪組織が、攻撃の矛先をヘルスケア領域に向けつつある新たな痕跡を発見しました。ベトナムの製薬企業で悪名高いマルウェア「PlugX(プラグエックス)」が見つかりましたが、これは貴重な薬物構造式やビジネス情報の窃取を狙っていたとみられています。

PlugXは広く知られたリモートアクセスツール(RAT)で、通常は標的型攻撃メールで拡散し、これまでに軍や行政、政治関係などの組織に対する標的型攻撃で検知されていました。またPlugXは、「Deep Panda」「NetTraveler」「Winnti」を含む数多くの中国語話者のサイバー犯罪組織で使われてきたことが判明しています。2013年には、オンラインゲーム業界への攻撃に関与したWinntiが、2012年5月以降PlugXを使用していたことが明らかになっています。興味深いことに、Winntiは、医療機器のソフトウェアを開発している会社からデジタル証明書を窃取することを目的に、製薬企業への攻撃にも関与していました。

攻撃者はPlugXを使用することによって、ファイルの複製や改ざん、キーボードから入力された内容の記録、パスワードの窃取、スクリーンショットの撮影など、さまざまな悪意のある行為を、標的となったユーザーの許可や認証なしに行うことができます。そのほかのRATと同様に、悪意ある目的で機密情報をはじめとする有益な情報を密かに窃取して収集するためにPlugXを使用します。

製薬企業に対する攻撃でRATが使われたことは、高度な技術を持つAPTグループが、ヘルスケア領域で利益を得ようと関心を強めていることを表していると言えます。

Kaspersky Labのセキュリティリサーチャー、ユーリ・ナメスニコフ(Yury Namestnikov)は次のように述べています。「医療に関する個人情報や機密データは、医療組織内で紙からデジタルへと着実に移行されています。この領域のネットワークインフラのセキュリティは見逃されがちですが、医薬品や医療機器の革新的に進歩させる情報を獲得しようとするAPTの動きは大いに懸念されています。製薬企業でPlugXマルウェアが検知されたことは、私たちとサイバー犯罪者の間に新たな戦いが始まること、そして私たちはその戦いに勝利しなければならないことを示しています」

カスペルスキー製品は、PlugXマルウェアを検知・ブロックします。

この調査を通じ、2017年のヘルスケア領域に関して、次のような重大な発見もありました。

  • 医療組織内の60%以上のサーバーまたはコンピューターでマルウェアの検知を確認しています。
  • 医療組織内にある機器が攻撃に遭った国の上位3か国は、フィリピン、ベネズエラ、タイでした。日本は11位にランクインしています。

Kaspersky Labは、企業や組織が脅威から常に身を守るための対策として、以下を推奨しています。

  • 医療データの処理を行う全ノードを公共のネットワークから切り離し、公開されているWebポータルを保護する。
  • サーバーを含むすべてのノードでパッチ管理システムを使用し、インストールされているソフトウェアを自動的に更新する。
  • ネットワークをセグメント化する。高額な機器を、組織のメインLANから切り離す。
  • 標的型攻撃対策テクノロジーと脅威インテリジェンスを備えた、実績のある企業レベルのセキュリティソリューションを使用する。そのようなソリューションは、ネットワークの異常を分析することで高度な標的型攻撃を特定してとらえることができ、サイバーセキュリティチームにネットワーク上の完全な可視性を提供し、自動対応します。

PlugXによる攻撃とヘルスケア領域のサイバーセキュリティの詳細については、Securelistブログ「Time of death? A therapeutic postmortem of connected medicine」(英語)をご覧ください。

また、医療機器のデジタル化に対する推奨事項についてはSecurelistブログ「Connected Medicine and Its Diagnosis」(英語)をご覧ください。