メインコンテンツにスキップする

Kaspersky Lab、世界のオンラインゲーム会社を標的とする現在進行中のサイバースパイ活動を分析

2013年4月12日

Kaspersky Lab のエキスパートチームは、サイバー犯罪組織による長期間におよぶサイバースパイ活動「Winnti」に関する詳細な分析レポートを発表しました。

~サイバー犯罪組織「Winnti」、ゲーム制作会社のシステムに侵入し悪用目的で知的財産とデジタル証明書を詐取~


本リリースは、2013 年 4 月 11 日にロシア モスクワにて発表されたニュースリリースの抄訳です。


本日、Kaspersky Lab のエキスパートチームは、サイバー犯罪組織による長期間におよぶサイバースパイ活動「Winnti」に関する詳細な分析レポートを発表しました。

Winnti は 2009 年から現在までオンラインゲーム業界をターゲットに攻撃を続けています。攻撃の目的は、ソフトウェアベンダーの署名付きの正規のデジタル証明書と、オンラインゲームのソースコードを含む知的財産を盗むことです。

Winnti の活動に注目を集めるきっかけとなった最初のインシデントは、2011 年の秋に発生しました。このとき世界各地のエンドユーザーのコンピューター上でトロイの木馬プログラムが検知されました。すべての感染コンピューターに共通するのは、ある有名なオンラインゲームが利用されていたということです。このインシデントの発生後まもなく、これらのコンピューターを感染させたマルウェアは、このゲーム制作会社の公式サーバーから配信された正規のアップデートに含まれていたことが判明しました。被害を受けたゲーム利用者やゲーム愛好家たちは、このゲーム制作会社がマルウェアを仕込んで顧客をスパイしていたのではないかと疑いました。しかし、その後このマルウェアはゲーム利用者のコンピューターに偶然インストールされただけで、サイバー犯罪者の本来の狙いはゲーム制作会社そのものだったことが明らかになったのです。

トロイの木馬をゲーム利用者に配信したサーバーを所有するゲーム制作会社は、このマルウェアの分析を Kaspersky Lab に依頼しました。このトロイの木馬プログラムは、64 ビット版 Windows 用にコンパイルされた DLL ライブラリであり、正式な署名付きのドライバーが使用されていたことが判明しました。これは、完全に機能する RAT(Remote Administration Tool)であり、被害者に知られることなくコンピューターを制御可能にするものです。このマルウェアは、有効なデジタル署名が添付され、64 ビット版の Microsoft Windows 上で初めて発見されたという点において、非常に重要です。

Kaspersky Lab のエキスパートが Winnti グループの攻撃を分析する過程で、30 社以上のゲーム制作会社が Winnti グループによる攻撃を受けていたことを発見しました。そのうちの大半は東南アジアのオンラインゲーム制作会社でした。また、ドイツ、米国、日本、中国、ロシア、ブラジル、ペルー、ベラルーシのオンラインゲーム制作会社も Winnti の被害を受けていたことも判明しました。 Kaspersky Lab のエキスパートたちは、企業へのスパイ活動の他にも、Winnti グループが不正な収入を得るために使用したと考えられる3 つの主な手口を発見しました。

 

  • ユーザーが貯めた現金化が可能な「ルーン」や「ゴールド」などのゲーム内通貨を不正に利用する。
  • オンラインゲームサーバーから盗んだソースコードを分析してゲームに内在するぜい弱性を探し出し、ユーザーに気付かれることなくゲーム内通貨とその貯金を不正利用する。
  • 人気のオンラインゲームのサーバーから詐取したソースコードを利用して、自分たちの偽のサーバーを展開する。

 

Winnti グループは現在も活動中であり、Kaspersky Lab は捜査を続けています。Kaspersky Lab のエキスパートチームは IT セキュリティ業界、オンラインゲーム業界、および電子証明書の認証局と協力してさらなる感染サーバーの特定を行う一方で、盗まれたデジタル証明書の取り消し支援を行っています。

カスペルスキー製品は、Winnti グループが使用するマルウェアおよびその変種を「Backdoor.Win32.Winnti」、「Backdoor.Win64.Winnti」、「Rootkit.Win32.Winnti」あるいは「Rootkit.Win64.Winnti」として検知しウイルス駆除を行います。

Kaspersky Lab によるWinnti グループの活動に関するレポートの全文(英語)は、以下でご覧いただけます。
http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game


【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については http://www.kaspersky.co.jp/ をご覧ください。

Kaspersky Lab、世界のオンラインゲーム会社を標的とする現在進行中のサイバースパイ活動を分析

Kaspersky Lab のエキスパートチームは、サイバー犯罪組織による長期間におよぶサイバースパイ活動「Winnti」に関する詳細な分析レポートを発表しました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース