(共同通信/東京新聞 2014/11/13)

 【ロンドン=共同】ロシアの情報セキュリティー会社・カスペルスキー研究所は十日、日本などで高級ホテルに宿泊する企業幹部や研究責任者らを狙い、ホテルの無線LANサービスWiFi(ワイファイ)に接続した宿泊客の端末から機密情報を盗み取る被害が相次いでいると発表した。

 カスペルスキーによると攻撃者は韓国語か朝鮮語を使う人物で、企業幹部らの宿泊予定をあらかじめ把握しているもよう。少なくとも四年前からスパイ活動を続けているという。

 攻撃者はまずホテルのシステムに侵入した上で、WiFiを利用する宿泊者の端末にソフトウエアの更新を装った画面を表示させ、攻撃に必要なプログラムをインストールさせて企業の機密情報を盗んでいるという。ホテルや被害企業の名は明らかにしていないが、世界で確認した感染端末の三分の二に当たる二千台超を日本で発見したとしている。中国や台湾などでも感染が確認された。

 カスペルスキーは「関連の警察機関と共にこの攻撃の被害を減らすために取り組んでいます」と表明。旅行先でのソフトウエア更新には警戒し、対策ソフトを使うよう呼び掛けている。

スパイ活動「Darkhotel」:アジアの高級ホテルを舞台に
(kaspersky 2014/11/11)

サイバースパイ活動は、21世紀の兵器です。一見無害そうなモバイルアプリでも、不用意なユーザーが漏らす秘密を相当数、見つけ出すことができます。ましてや、大手企業や政府組織の代表に的を絞った本格的な偵察活動であれば、なおさらです。

KasperskyLabは、「Darkhotel」と名付けられたスパイネットワークの発見を公表しました。このネットワークは、アジアの多数のホテルにて丸7年も活動を続けていました。それだけでなく、この活動にはプロフェッショナルで頭の切れる複数人物が関与しており、さまざまな手法を駆使した総合的なツールキットを作り出して被害者のコンピューターに入り込んでいました。

今回問題となっているホテルの滞在者に対する攻撃について、FBIが最初に言及したのは2012年のことでした。しかし、Darkhotelの活動に使われたマルウェア(別名Tapaoux)の出現は、2007年にさかのぼります。また、この活動を統制するC&Cサーバーのログを調べたところ、接続の記録は2009年1月1日にまでさかのぼることが明らかになりました。以上を考えると、この活動はかなりの期間にわたると見られます。

#Darkhotelの活動は7年にも及ぶと見られる

標的のPCへの潜入には、アジアにある多数の高級ホテルのWi-Fiネットワークが主に利用されました。

AdobeFlashやその他著名ベンダーの製品に存在するゼロデイぜい弱性が悪用されていましたが、このようなぜい弱性を見つけるのは容易なことではありません。ここから、相当高価なサイバー兵器を購入可能なほど資金が潤沢なスポンサーが背後にいるか、ハイレベルな専門的技術を持つエージェントが関わっている、と考えられます。おそらく、その両方でしょう。

news_vir10112014_0169-253739

最も多く使われた手口は、上記のようなスパイウェアを利用したやり方ですが、攻撃者がホテルの従業員であったことをほのめかしているかのようです。また、トレントクライアントを通じて配信される中国語のアダルト漫画の中に、トロイの木馬を仕込む方法もとられました。

このほかにも、政府関連組織および非営利団体の職員にメールを送りつける、標的型のフィッシングも使われていました。

#犯罪者たちは、一般的なブラウザーに保存されたパスワードを盗むモジュールを備えた高度なキーロガーを利用

ゼロデイぜい弱性の活用以外にも数多くの事実が、関与したサイバー犯罪者が高い意識を持つことを示唆しています。彼らは、マルウェアに添付するデジタル証明書の偽造まで行っていました。感染した被害者が利用する通信チャネルの盗聴には、一般的なブラウザーに保存されたパスワードを盗むモジュールを備えた高度なキーロガーが使われました。

奇妙なことに、この犯罪者たちは非常に慎重で、検知を防ぐ手段をいくつも講じていました。まず、マルウェアには非常に長い「潜伏期間」を持たせていました。このマルウェアが最初にC&Cサーバーに接続したのは、システムに潜入してから180日後でした。マルウェアはまた、システムの言語が韓国語に切り替えられると自滅するプロトコルを持っていました

ima6594845ge9

犯罪者の活動の場は主に日本、台湾、中国でした。しかし、KasperskyLabでは他の国々でも攻撃を検知しており、中には主な活動の場からは遠く離れた地域もありました。

KasperskyLabのプリンシパルセキュリティリサーチャー、コート・バウムガートナー(KurtBaumgartner)は、Darkhotelについて次のようにコメントしています。「過去数年の間、Darkhotelの攻撃者は、多数の企業のエグゼクティブに高度な攻撃を実行し、成功させてきました。攻撃者は優れた運用能力、数学的・暗号分析的な攻撃機能といった能力を有しており、それらによって信用ある商用ネットワークを悪用し、特定の標的を極めて正確に攻撃しています」


>攻撃者は韓国語か朝鮮語を使う人物で、企業幹部らの宿泊予定をあらかじめ把握しているもよう。
>攻撃者がホテルの従業員であったことをほのめかしているかのようです。
>システムの言語が韓国語に切り替えられると自滅するプロトコルを持っていました。

韓国人に会うために出張して泊まるホテルと、韓国人が働いているホテルには気をつけろということですね。


カスペルスキー 2015 マルチプラットフォーム セキュリティ 3年1台版(最新)
B00NWAOOD4