ウクライナを震撼させた標的型サイバー攻撃（APT）、主犯は「BlackEnergy」

ウイルス定義

脅威カテゴリ：スパイウェア、標的型サイバー攻撃（APT）、トロイの木馬

BlackEnergyとは

マルウェア「BlackEnergy」は、「分散型サービス拒否（distributed denial-of-service、DDoS）攻撃」、スパイ活動や情報破壊攻撃に利用されるトロイの木馬型のマルウェアです。2014年頃、「BlackEnergy」を使用するサイバー攻撃集団が、不正なプラグインを各国の「産業制御システム（ICS）」導入企業やエネルギー業界に展開し始めました。このプラグインは「産業制御システム（SCADA）」を狙う攻撃で利用された不正プログラムとも関連しているものです。これにより、このサイバー攻撃集団がDDoS攻撃を展開する平均的なサイバー犯罪者らを大きく上回る、高度なスキルを有することが判明しました。

2015年の中頃には、「BlackEnergy」を用いるこの標的型サイバー攻撃者集団が標的型メール（スピアフィッシング）を積極的に利用するようになりました。この標的型メールには、標的とするネットワーク内のコンピューターを感染させるために、不正なマクロを含むExcelファイルが添付されています。

一方、2016年1月には、カスペルスキーのリサーチャーが、コンピューターを「BlackEnergy」に感染させる新たな不正なファイルを検出しました。以前の攻撃に使用されていたExcel形式ではなく、今回はMicrosoft Wordファイルでした。このWordファイルを開くと、コンテンツを表示するためにマクロを有効にするよう促すダイアログが表示され、マクロを有効化すると「BlackEnergy」に感染します。

「BlackEnergy」による攻撃の標的となった組織

「BlackEnergy」によるAPT攻撃の被害を受けた主な組織は、次のとおりです。

ウクライナ国内のICS、エネルギー業界、政府や報道機関
世界各国のICS/SCADA企業
世界各国のエネルギー関連企業

「BlackEnergy」の攻撃を受けるリスクがあるのは誰ですか

この標的型サイバー攻撃者集団はウクライナの企業や組織、特にエネルギー関連企業、政府や報道機関を中心に狙っています。加えて、世界各国のISC/SCADA企業やエネルギー関連企業も攻撃しています。このような業界や組織に勤務している、所有している、あるいは提携している場合は、感染のリスクがあると言えます。