「Darkhotel」の脅威とは

ウイルス定義

脅威カテゴリ：マルウェア、標的型サイバー攻撃（APT）

「Darkhotel」の脅威とは？

カスペルスキーのグローバル調査分析チーム（Global Research and Analysis Team：GReAT）は、「Darkhotel」と呼ばれる最新のマルウェアによる攻撃を分析しました。「Darkhotel」は、スピアフィッシングと機密情報を収集する危険なマルウェアを組み合わせた脅威です。

「Darkhotel」の背後にいるサイバー犯罪者は十年近く不正活動を続け、その間ターゲットとされたユーザーは全世界で数千人にのぼります。「Darkhotel」の感染の90%は、日本、台湾、中国、ロシアおよび韓国で発生しましたが、ドイツ、米国、インドネシア、インドやアイルランドでも感染が確認されています。

「Darkhotel」について

「Darkhotel」の脅威はどのように展開されますか

「Darkhotel」による一連の攻撃の特徴は、不正活動に次のようにさまざまな手法を用いる点にあります。

（1）スピアフィッシング

「Darkhotel」は、手法の一つとしてスピアフィッシングメールを用い、防衛産業基盤（DIB）、政府機関、非政府組織（NGO）、電子機器や周辺装置の大手製造業、製薬会社、医療機関、軍事関連組織、エネルギーポリシー策定機関などに侵入します。この攻撃は、「Darkhotel」を完璧に別物と偽った上で埋め込むという、典型的なスピアフィッシングの手法に習っています。囮とするメールの内容には、原子力エネルギーや武器性能などのトピックが頻繁に利用されています。ここ数年間のスピアフィッシングメールでは、Adobeのゼロデイぜい弱性を悪用するエクスプロイトが添付されていたり、ターゲットのブラウザーをInternet Explorerのゼロデイぜい弱性のエクスプロイトへと誘導するリンクが含まれたりしました。このようなフィッシングメールの目的は、標的とする組織内部の情報の収集です。

（2）マルウェアの拡散

二つ目の手法として、日本国内のピアツーピア（P2P）ファイル共有サイトを介して、マルウェアを無差別に拡散します。マルウェアはサイズの大きいRARアーカイブの一部として配信されます。性的なコンテンツであるとしているものの、実際にはバックドア型トロイの木馬をインストールしてユーザーの機密情報を収集するファイルです。

（3）感染活動

上記の二つの手法とは別の手口として、「Darkhotel」は、海外出張でホテルに滞在中の無防備な企業幹部をターゲットにします。そして、Google Toolbar、Adobe Flash、Windows Messengerを含む、有名なソフトウェアのいずれかを装った精巧なトロイの木馬型マルウェアに感染させます。この最初の感染でサイバー犯罪者はターゲットを品定めし、重要なターゲットのコンピューターにはさらにマルウェアをダウンロードします。このマルウェアはそのコンピューターから機密情報を収集するよう設計されています。

この不正プログラム内の文字列に基づくと、「Darkhotel」の脅威には韓国語を話すサイバー犯罪者が関与していると考えられます。

「Darkhotel」が深刻な脅威である理由

高度な技術が使用される標的型攻撃が多数存在するにもかかわらず、「Darkhotel」は、社員個人に、企業のセキュリティを危険にさらす何らかの行動をさせるように仕向けるという、お決まりの侵入方法を利用します。上級役員、営業やマーケティング担当者など、体外的な役割を担う社員は、セキュリティの観点からぜい弱であると言えます。このような社員は外出が多く、ホテル内など信頼性の低いネットワークから組織内ネットワークに接続する機会が増えるからです。

「Darkhotel」による一連の攻撃の特徴

·       CEO、上級副社長、営業/マーケティング担当重役、研究開発責任者といった、経営幹部レベルに狙いを定めた標的型攻撃
·       サイバー犯罪者は、標的型攻撃とボットネット型の攻撃を併用
o      ホテルのネットワークに侵入し、そこから選定した要人への攻撃を開始する
o      同時に、ボットネットを利用して次の不正活動を行う
§       大規模調査の実施
§       DDoS（分散型サービス拒否）攻撃といった他の不正活動の実施
§       サイバー犯罪者が特に関心のあるユーザーのコンピューターに、より高度なスパイウェアをインストール
·       Internet ExplorerやAdobe製品のゼロデイぜい弱性を悪用するエクスプロイトを使用
·       高度かつ低レベル言語のキーロガーで、機密情報を収集
·       盗んだデジタル証明書で不正なコードに署名
·       持続的な攻撃（「Darkhotel」は十年間あまり不正活動を継続）

「Darkhotel」による攻撃を回避する方法

攻撃を完全に回避することは困難ですが、出張時に安全を確保する方法はあります。

1.      公衆Wi-Fiまたは半公衆のWi-Fiにアクセスする場合、信頼性のあるVPNトンネルを使用する
2.      スピアフィッシング攻撃のしくみを理解する
3.      すべてのシステムソフトウェアを更新し、最新の状態を保つ
4.      常に実行可能ファイルは精査し、ピアツーピア（P2P）ネットワーク上で共有されるファイルには注意を払い、安全性を疑いながら扱う
5.      出張時は、極力ソフトウェアの更新を控える
6.      品質の高いインターネットセキュリティ製品をインストールする。基本的なアンチウイルスの機能のみでなく、新しい脅威に対抗するプロアクティブディフェンスの機能を搭載していることを確認する