トレンドマイクロでは、本ブログを通じて、持続的標的型攻撃を仕掛ける攻撃者が、標的のネットワーク環境について時間を掛けて「事前調査」することを報告してきました。企業・組織において従業員が、モバイル端末を利用し始めている実態を考えると、標的型攻撃に利用されるモバイル端末向け不正プログラムの出現は、論理的には当然のことのように見受けられます。しかし、これまでこの考えはあくまで推測にすぎませんでした。また、我々は、モバイル端末向けの標的型攻撃がそもそも現実のものとなるのかどうかではなく、いつ現実のものとなるのかと考えていました。
■トレンドマイクロは、これが現実のものになったと断言できます。
トレンドマイクロは、2012年7月25-26日(米国時間)に開催された「DEFCON」で、ファイル感染型の不正プログラムをAndroid OS向けに作成することが可能であることを初めて発表し、今日、モバイルプラットフォームに対する標的型攻撃という形で、攻撃者が標的となる対象を拡大している具体的な証拠を確認しています。トレンドマイクロでは、持続的標的型攻撃キャンペーン「Luckycat」のコマンド&コントロール(C&C)サーバを監視している際に、開発初期段階にある2つのAPKファイルを確認しました。なお、企業のネットワークを狙う標的型攻撃について言及されている包括的なレポートの1つとして、こちらの「Luckycat」に関するレポートをご参照ください。
トレンドマイクロで確認したAndroid端末を標的とするアプリは、「Remote Access Trojan(RAT)」の機能を備えています。これらのアプリは、感染端末上に存在する重要な情報を探し出すことができます。そして見つけ出した情報をリモートサーバへアップロードしたり、また新しいバージョンの不正プログラムを取得したりするなどのファイルダウンロードを行うことも可能です。
リモートシェルもまた、コマンドの1つとしてこれらのアプリで利用できますが、2012年7月時点では、これらの機能が未完成であることが判っています。実際、全体的に見てこの2つのアプリは開発初期段階にあると考えられます。
■これらのモバイル端末向け不正プログラムの発見は何を意味しているのでしょうか。
「Bring Your Own Device(BYOD)」の潮流が騒がれる中で、このようなAndroid端末を標的とするアプリの存在は、スマートフォンやタブレットを安全が担保されない状態で社内ネットワークに接続させてしまうことによるリスクを鮮明にしています。モバイル端末は小さく、携帯性があり、そして便利である一方、これまでPCのみを対象としていたのと同じ脅威がモバイルユーザを脅かすことになります。
標的型攻撃という点で言うと、このよう動向は攻撃者が、標的が持っているネットワーク環境の状況に積極的に順応していることを意味しています。つまり、「社内ネットワークへのモバイル端末の流入」をここでは指しています。
Windowsプラットフォームが多く利用されている実態の中で、Macは「代替」OSとしてこれまで考えられてきましたが、このレポートでは「SABPUB」という、キャンペーン「Luckycat」で利用されたMac OS X用の不正プログラムについても言及しています。
詳細については、Nart Villeneuve、Ben April および Xingqi Ding によって執筆されたレポートを以下からダウンロードしてご一読ください。
http://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=88
 |
|
|
参考記事:
by Raimund Genes (Chief Technology Officer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)