インドや日本、チベット関係者を狙う持続的標的型攻撃「Luckycat」とは

「Luckycat」とはどのような攻撃ですか？

「Luckycat」とは、インドの軍事研究施設だけでなく、インドおよび日本国内の重要機関やチベット人コミュニティも標的としていた「作戦活動（キャンペーン）」の名称です。キャンペーン「Luckycat」では、航空宇宙、エネルギー、エンジニアリング、運輸、および軍事研究といった特定の産業が標的にされていました。

キャンペーン「Luckycat」では、侵入の第一段階としてどのような攻撃が仕掛けられるのでしょうか？

このキャンペーンでは、通常、ファイルが添付されたEメールが発端となります。この添付ファイルは、重要な情報が含まれているように偽装された不正なファイルであり、受信者が思わず開いてしまうように仕向けられます。

以下の各図は、Luckycat攻撃に使用された実例となります。標的となった組織に応じて、メールのメッセージや文書ファイルの内容が変えられていることに注目すべきでしょう。例えば、図1のように、日本国内の機関を標的とした事例では、「福島第二原子力発電所モニタリングによる計測状況」と記されており、2011年3月11日に発生した東日本大震災後の放射能測定結果を装った文書ファイルが添付されたメールが使用され、特定機関のユーザが関心を持つような内容となっています。

図1：日本国内の機関を標的として使用された偽装文書ファイル

図2：インドの特定機関を標的として使用された偽装文書ファイル（一部画像を編集）

また、チベット人活動家を標的とした事例では、チベット問題に関する内容が含まれていることを装う以下のような文書ファイルが添付されたメールを確認しています。

上述の添付ファイルは、いずれも、特定の脆弱性を悪用する不正コードが含まれており、これらの不正コードで脆弱性を突くことにより、侵入したコンピュータ内に「TROJ_WIMMIE.C」といった不正プログラムが作成されます。

「TROJ_WIMMIE.C」は、どのような不正活動を実行しますか？

「TROJ_WIMMIE.C」は、侵入したコンピュータ内に「VBS_WIMMIE.SMC」を作成して実行します。作成された「VBS_WIMMIE.SMC」は、Windowsのシステム管理用インターフェイス「Windows Management Instrumentation（WMI）」を利用し、不正なJavaScriptを書き込みます。WMIは、一般的にリモートでのシステム管理に使用され、その機能の1つとしてに管理下のコンピュータに対してコマンドを実行することが可能ですが、攻撃者によりこの機能が悪用される恐れがあります。

「VBS_WIMMIE.SMC」は、コマンド＆コントロール（C&C）サーバに接続し、コマンドの実行や他の不正なファイルをダウンロードする機能を備えています。また、WMIのイベントハンドラにスクリプトを登録します。「VBS_WIMMIE.SMC」は、このスクリプトにより、バックドア活動を実行したり、「TROJ_WIMMIE.C」や自身に関連するファイルを削除することが可能となります。こうして巧みに自身の不正活動を隠蔽し、通常のセキュリティ対策製品のウイルス検索からの検出を回避します。

キャンペーン「Luckycat」では、どのような脆弱性が利用されていますか？

今回入手した複数の検体を解析した結果、脆弱性「CVE-2010-3333」が最もよく利用されていることが判明しています。この脆弱性は、「RTFのスタックバッファオーバーフローの脆弱性」として知られており、"pFragments" 形式のプロパティに不正な値が指定されている場合、Microsoft WordのRTFパーサにバッファオーバーフローを引き起こします。

また、“Adobe Reader” や“Adobe Flash Player” に存在する以下の脆弱性も悪用することが確認されています。

• CVE-2010-2883: Adobe Reader TTF SING table parsing vulnerability
• CVE-2010-3654: Adobe Flash Player AVM2 multi-name button class vulnerability
• CVE-2011-0611: Adobe Flash Player AVM1 shared object type vulnerability
• CVE-2011-2462: Adobe Reader U3D component vulnerability

キャンペーン「Luckycat」は、他のキャンペーンと関連がありますか？

キャンペーン「Luckycat」を仕掛ける攻撃者は、過去に他のキャンペーンで利用された不正プログラムを複数利用していることが、入念な調査の結果から明らかになっています。今回の事例では、インドや日本国内の組織、そしてチベット人活動家が標的にされていましたが、そういった標的となる組織や個人の傾向についても、過去に発生した他のキャンペーンとの類似性が確認されています。

一般の個人ユーザは、今回の攻撃の影響を受けますか？

「Luckycat」のような持続的標的型攻撃は、特定の業界や企業もしくはコミュニティ等を標的とする攻撃であるため、通常、一般の個人ユーザが影響を受けることはありません。ただし、企業等に勤務している社員という立場では状況が異なるため、十分な注意が必要です。企業や組織においては、どれだけ強固なセキュリティを導入しても、そこに勤務する社員という「人」が最も脆弱な部分であることは繰り返し言及されています。こうした点から、あらゆる組織のセキュリティ対策や戦略において最も重要な点は、そこに勤務する社員に十分なセキュリティ教育を施すということです。

キャンペーン「Luckycat」のような攻撃を防ぐためには、企業などの組織はどのような対策を施せばいいのでしょうか？

強固なセキュリティ対策を施したネットワークであっても、今回のような持続的標的型攻撃のように入念な準備と巧妙な手口を用いた攻撃であれば、突破することが可能です。通常のセキュリティ対策の場合、パッチ処理、エンドポイントやネットワークでのセキュリティソフトの導入、ファイアウォールの使用など、防御に関連する標準的な対策が施されていますが、今やそうした対策だけでは不十分であり、企業などの組織は、「社内外の脅威状況に精通しておく」といういわゆる「スレットインテリジェンス」を駆使し、攻撃側の入念な準備と巧妙な手口といった脅威を速やかに検知できる体制を整えることが不可欠です。そしてもちろん、「万が一、感染被害にあっても直ちに駆除を行える」という体制を効果的に保持しおくべきことは言うまでもありません。

また、企業などの組織では、とりわけソーシャルエンジニアリングの手口に関する社員教育も不可欠となります。上述のとおり、「あらゆる組織のセキュリティ対策や戦略において最も重要な点は、そこに勤務する社員に十分なセキュリティ教育を施すということ」であり、ユーザの心理を突くソーシャルエンジニアリングの手口に対しては、この点はより一層重要なものとなります。セキュリティに関するポリシーやガイドラインを用意するというだけでは、今や不十分であり、「入念な準備と巧妙な手口を用いた攻撃者からの脅威」に関連する不審な兆候などにも鋭敏かつ適切な判断で対応できる「目」を各社員が養い保持できるというレベルまで社員教育を実施しておく必要があります。

そして何よりも、企業などの組織とって最も重要なことは、適切かつ効果的な「情報漏えい防止対策に関する戦略」を講じておくという点です。今回のキャンペーン「Luckycat」のような持続的標準型攻撃の場合、その最終目的は、標的となった組織から重要情報を入手することです。その点からも、この対策を最重要項目としておくことは不可欠です。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。以下の表は、キャンペーン「Luckycat」のコンポーネントに対するトレンドマイクロのソリューションの概要です。

トレンドマイクロの専門家からのコメント：

「一定の期間に標的のネットワーク内部に侵入しようとする成功と失敗を繰り返した一連の試み、つまりキャンペーンとして捉えるべきでしょう。実際に攻撃者たちはどの攻撃によって特定の標的のネットワークへの侵入が成功したかを把握するために、1つの作戦活動で行われる様々な攻撃を記録する傾向にあります。攻撃者が一般に公開されている情報や過去の攻撃から標的に関して学びを積み重ねるにつれ、攻撃はより一層標的に特化して研ぎ澄まされていきます。」－Forward-looking Threat リサーチチーム