高度な手口を駆使するサイバー犯罪者グループ「Equation」
世界中のさまざまな産業の大企業や、政府や金融、軍事、電気通信、運輸関連の組織を攻撃するサイバー攻撃集団「Equation」の存在が2015年2月中旬に報告されました。
このサイバー攻撃集団が繰り出す攻撃も「Equation」と総称され、この攻撃では、標的とするネットワークに潜入する際、ツールとして以下のようなさまざまな不正プログラムが利用されます。括弧内はトレンドマイクロの検出名。
- 「EQUATIONDRUG」(「TROJ_DOTTUN.VTH」)
- 「DOUBLEFANTASY」(「TROJ_EQUATED.A」)
- 「EQUESTRE」および「TRIPLEFANTASY」(「TROJ_EQUATED.A」)
- 「GRAYFISH」(「TROJ_EQUATED.A」)
- 「FANNY」 (「WORM_FANNY.AA」)
- 「EQUATIONLASER」 (「BKDR_LASSRV.B」)
これらは、「Stuxnet」や、「Flame」、「Regin」といった不正プログラムとの類似性が確認でき、例えば現時点で判明している類似性としては、「Stuxnet」と今回の攻撃の双方とも、「ショートカットファイルに存在する脆弱性」を悪用することで感染PC上でのランダムなコード実行を可能する点が挙げられます。
PCは、どのようにして「Equation」の攻撃による感染被害に見舞われますか
攻撃者は、「Equation」の感染を拡散するために、以下の手法を利用します。
- リムーバブルドライブもしくはUSB
- イベント等で配布されるCD
- 脆弱性の悪用
- ワーム「Fanny」(「WORM_FANNY.AA」)によるワーム活動
セキュリティ専門家の報告によると、攻撃者は、ユーザが頻繁に訪れるWebサイトやフォーラムを「事前調査」することで、標的とするネットワークに関する詳細を「攻撃のための知見(インテリジェンス)」として収集することから始めていたといいます。詳細情報の収集後、攻撃者は、目的のWebサイトやフォーラム上に脆弱性利用コードを埋め込み、ユーザは気付かずにダウンロードすることになります。他の方法としては、リムーバブルやCDなど、ユーザの手元に渡る物理媒体を改ざんすることでも拡散を試みていたようです。
どのような脆弱性利用コードが、この標的型サイバー攻撃で使われましたか
「Equation」は、標的とするネットワークに侵入するために脆弱性を利用します。例えば、「Stuxnet」と関連する2つの脆弱性、「MS09-025」(Windows カーネルの脆弱性により、特権が昇格される)および「CVE-2010-2568」(ショートカットアイコンの読み込みの脆弱性)が利用されます。この点から、今回の攻撃は、「Stuxnet」とも関連している可能性があるとも結論づけられます。また、かつてInternet Explorer(IE)に存在し、ゼロデイ攻撃で悪用された脆弱性「CVE-2013-3918」、さらには、「TrueType フォント ファイルの解析エンジン」に存在する2つの脆弱性「MS12-034」および 「MS13-081」も利用していました。
トレンドマイクロの製品を利用しているユーザはこの脅威から守られますか
はい、守られます。トレンドマイクロ製品をご利用のユーザは、以下のセキュリティ対策製品によりこの標的型攻撃から守られます。
カスタムディフェンス
トレンドマイクロの「Deep Discovery™(ディープ ディスカバリー)」(以下、Deep Discovery)は、標的型サイバー攻撃やその他の標的型攻撃のリスクを軽減するため、企業や政府機関が必要とするネットワークの全方位的な可視化、高度な解析機能、高い利便性を提供します。
Deep Discoveryは、従来のセキュリティ対策で捉えにくい脅威をリアルタイムで独自に検知して高度な解析内容を提供します。これにより、他のトレンドマイクロ製品と連携することで、企業をターゲットにする攻撃に対して「内部対策」はもちろんのこと、「入口対策」「出口対策」を実現し、検知、分析、適応、対処のライフサイクルで攻撃に備え、徹底した解析および実施可能なインテリジェンスを提供します。
Deep Discovery Inspectorは、カスタムサンドボックスを通じて、ユーザや企業を「Equation」から防御することが可能です。カスタムサンドボックスにより、攻撃者がネットワーク潜入にツールとして利用し、従来のセキュリティ対策では確認が困難な、以下のさまざまな不正プログラムの挙動を識別・解析します。
- 「EQUATIONDRUG」(「TROJ_DOTTUN.VTH」)
- 「DOUBLEFANTASY」(「TROJ_EQUATED.A」)
- 「EQUESTRE」および「TRIPLEFANTASY」(「TROJ_EQUATED.A」)
- 「GRAYFISH」(「TROJ_EQUATED.A」)
- 「FANNY」 (「WORM_FANNY.AA」)
- 「EQUATIONLASER」 (「BKDR_LASSRV.B」)
サーバ&クラウドセキュリティ
「Trend Micro Deep Security™」(以下、Deep Security)は、サーバのセキュリティ課題を仮想化・クラウド・物理環境にまたがってトータルに解決します。これにより、統一したセキュリティポリシーを実現しながら、仮想環境のデータセンターに対する情報漏えいや業務妨害の被害を阻止します。
Deep Securityをご利用のユーザは、以下のDPI(脆弱性対策)ルール(フィルタ識別番号)を適用することにより、攻撃キャンペーン「Equation」がネットワーク侵入の際に用いる脆弱性利用から保護されます。
「MS12-34」:「TrueType フォント ファイルに存在する脆弱性」対応のDPIルール(フィルタ識別番号):
- 1005008 - 「Win32k TrueTypeフォント解析の脆弱性「CVE-2012-0159)を識別
「CVE-2010-2568」で識別されたLNK関連の脆弱性対応のDPIルール:
- 1004314 – SMTPを介したLNK/PIFファイルを識別
- 1004293 - ネットワーク共有を介した「Microsoft Windows ショートカットファイル」を識別
- 1004294 – WebDavを介した「Microsoft Windows ショートカットファイル」を識別
- 1004308 – HTTPを介したPIFファイルを識別
- 1004304 – ネットワーク共有を介した不審な「Microsoft Windows ショートカットファイル」を識別
- 1004302 - 「Microsoft Windows ショートカットファイル」のリモートでのコード実行可能な脆弱性を識別
「CVE-2013-3918」で識別された脆弱性対応のDPIルール:
- 1005779 - 「Microsoft Internet Explorer ActiveX コントロール」のコード実行可能な脆弱性「CVE-2013-3918」を識別
- 1005785 - 「Restrict Information Card Signin Helper ActiveX コントロール」に存在する脆弱性を識別
エンドポイントのセキュリティ対策
適切に設定されたエンドポイントのセキュリティ対策により、PCやネットワークへの侵入を防御することができます。
「ウイルスバスター™ コーポレートエディション 11」における「ファイルレピュテーション(スマートスキャン)」、「Webレピュテーション(不正サイト接続ブロック)」、「挙動監視(HIPS)」といった強化機能や、さらに「スマートフィードバック」は、不正なファイルを検出し、サイバー犯罪集団「Equation」による攻撃からエンドポイントを守ります。
「ウイルスバスター™ ビジネスセキュリティ」も、PCやネットワーク上での「Equation」関連の不正プログラムを検出し、この攻撃に関連する迷惑メールやUSBの制御、URLフィルタリング等を導入できます。
トレンドマイクロの製品は、今回の攻撃に関連した不正プログラムを以下のウイルス名で検出します。
- BKDR_LASSRV.B (EquationLaser)
- TROJ_EQUATED.A (DoubleFantasy)
- TROJ_DOTTUN.VTH (EquationDrug)
- TROJ_EQUATED.A (GrayFish)
- WORM_FANNY.AA (Fanny)
- TROJ_EQUATED.A (TripleFantasy)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)