NEWS

ニュース | 最新のニュースをお届けします

公共機関から情報を盗むマルウェア「Qbot」の活動が再び活発化

この記事をシェア

警察や行政、教育関連の公共機関を標的としてデータを盗み出すマルウェア「Qbot」の攻撃が活発化しています。今のところ欧米圏が中心ですが、ウイルス対策ソフトなどで検出されにくく、国内への攻撃もあり得ますので、関係機関は注意が必要です。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「welivesecurity」の記事を基に、日本向けの解説を加えて編集したものです。


データの不正取得を目的としたトロイの木馬型「Qbot」の新種が発見されました。これは、他とはかなり異なった特徴を持っており、検知したとしても作動を途中で阻止するのが困難である、とセキュリティ研究者たちは見ています。

英国随一のセキュリティ(国防・情報)組織であるBAEシステムズが作成した詳細なレポートによれば、このマルウェアはすでに数千の組織に被害をもたらしており、54,000台を超えるコンピューターが感染しています。ESETはこの脅威を「Win32/Qbot」および「Win32/Kryptik」として検出しています。

「Win32/Qbot」はESETにおいては2007年3月に最初に検出されました。以降、大量の亜種を生み出し続け、2009年6月に活動のピークを迎えました。ところがその後、2011年に再び活発化しているため、今回は3度目の目立った動きとなります。

また「Win32/Kryptik」は32ビットおよび64ビット版のMicrosoft Windows上で使用される実行ファイルのファイルフォーマットにおける難読化されたマルウェアの総称で、さまざまな亜種があります。

マルウェアを分析した専門家たちによれば、今回の亜種は、オリジナルのQbotマルウェアに対して大量のアップデートが施されており、しかも、形状を固定化させない多形型のコードを含んでいるため、検知が極めて難しくなっています。

IT Proが述べているように、このマルウェアはサンドボックスの環境下で観察を行えば検出することも可能です。サンドボックスとは、ユーザーにダメージを与える前にマルウェアを探し出すためのツールで、いつもセキュリティの研究者が使っています。

この新しい脅威は2016年初頭にBAEシステムズのインシデント対策チームによって発見されました。場所ははっきりとは公表されていませんが、そのときすでに英政府のある部門組織内の500台のコンピューターが感染していました。

サイバー犯罪者たちは警察や病院、大学といった公的機関を特に標的にしている、 とBAEシステムズはブログで述べています。

BAEシステムズのサイバー脅威情報責任者のエイドリアン・ニッシュ (Adrian Nish)氏はこの理由を「公共機関の多くは境界のはっきりしないインフラやサービスを運営・提供していく責任を担わされていながら、しかもそれは限られた予算で行われなければならないということがしばしばです。そのためそういった機関は攻撃の第一の目標となりやすいのです」と説明しています。

「今回のQbot攻撃の場合、アップデートされていないパソコンが一部存在していたため、不正プログラムは感染を広げるというよりもシステムをクラッシュさせてしまいました。そのため犯人たちはしくじったのです。クラッシュが連鎖して起こったために、被害を受けた組織の側はすぐに問題が発生したことに気付いたのでした」

なお、BAEシステムズのレポートにおいてQbotは、バックドアで認証情報を盗み出す、ネットワーク活用型のワームとして分類されています。何よりも最初にユーザーの認証を奪うために利用されます。

2016年4月現在、Qbotの活動は今なお続いています。また、今後も断続的に亜種が攻撃に利用される可能性があります。標的となり得る組織は攻撃を見破るための防御システムを最新のものにし、より質の高いセキュリティシステムを求めていくことが望まれます。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!