2015年4月8日(現地時間)、仏テレビネットワークを狙ったサイバー攻撃が確認されました。一部報道(英語情報)によると、今回の攻撃に関連している不正プログラムは「Remote Access Tool(RAT)」である「Kjw0rm」の亜種で、トレンドマイクロでは「VBS_KJWORM.SMA」(MD5ハッシュ値:2962c44ce678d6ca1246f5ead67d115a)として検出します。なお、「Kjw0rm」は、2014年頃から利用されているようです。
■過去の標的型攻撃との関連性
弊社の初期の解析によると、「VBS_KJWORM.SMA」は「Sec-wOrm 1.2 Fixed vBS Controller」と呼ばれるハッキングツールで作成されていました。これは、RAT を作成するツールで、「HKTL_KJWORM」として検出されます。
トレンドマイクロでは、「Kjw0rm」についてすでに把握しており、2015年1月、「Njw0rm」のソースコードの流出により「Kjw0rm」を新たに確認したことを報告しています。「Kjw0rm」は、さまざまな不正プログラムを提供している「dev-point.com」のアラビア語のページで確認されました。
図1:「Dev4dz forum」から提供された RAT作成ツール「Sec-wOrm 1.2 Fixed vBS Controller」のスクリーンショット。
弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」のフィードバックによると、「VBS_KJWORM.SMA」は過去1週間で、南アフリカやインドを含む、少なくとも 12カ国で確認されました。この不正プログラムはアンダーグラウンドのフォーラムで入手でき、誰でも利用することが可能なため、これは驚くべきことではありません。
この問題の不正プログラムは、感染PC上でバックドア活動を実行するために利用することができます。また、今回の攻撃に利用されたコマンド&コントロール(C&C)サーバは、別のバックドア型不正プログラム「BKDR_BLADABINDI.C」との関連性が報告されています。調査の結果、弊社は「Kjw0rm」と「BLADABINDI」は、同一の攻撃者グループによるものであると考えています。
「Trend Micro Smart Protection Network」から、また、他の VBScript系不正プログラムも活動中であることも示唆されています。「Njw0rm」が利用するものとは異なる 4つの C&Cサーバが確認されており、「JENXCUS」を利用した過去の攻撃と関連しています。「JENXCUS」は、中南米地域で確認された「DUNIHI」を利用した攻撃と関連するVBScript系不正プログラムです。
■放送中止に追い込んだサイバー攻撃の影響力
報道によると、仏テレビネットワーク「TV5Monde」に対する大規模なサイバー攻撃は、2015年4月8日午後10時頃(現地時間)に始まり、同ネットワークにおける 11局で放送が中止になりました。
さらに、TV5Monde の Webサイトや Eメール、ソーシャルメディアのアカウントも攻撃を受けました。企業の Facebook のページ上には、「イラク・レバントのイスラム国」からとされる宣伝活動(プロパガンダ)のメッセージが投稿されました。また、同テレビ局の Twitter のアカウントの 1つが乗っ取られ、米国やフランスに向けたメッセージや、フランス兵の家族に対する脅迫文が投稿されました。さらに、フランス兵の身分証明書やパスポートなども公開されています。
なお、この攻撃で利用された手法の詳細は、まだ明らかになっていないことにご注意下さい。しかし、RAT作成ツールは攻撃者の複数のフォーラムで入手可能で、どのような攻撃者でも利用することができます。また、このツールを利用するのに、技術的な知識はほとんど必要ありません。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、不正プログラムと C&Cサーバの間で行われる通信をブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムをエンドポイントで検出し、削除します。
また、弊社のネットワーク挙動監視ソリューションである「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、VBScript系不正プログラムを検出し、この種の攻撃から企業をさらに手厚く保護します。
【更新情報】
| 2015/4/14 | 18:00 | タイトルおよび本文の一部を更新しました。 |
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)