ここ最近、サイバー詐欺に遭遇することなく情報をキャッチアップできていない、あるいは事件について改めておさらいする機会がないのであれば、ESETリサーチャーによる2018年の調査レポートは必読といえる。Linuxサーバーを標的とした攻撃用コードなど、2018年に発生した深刻かつ厄介なマルウェアの闇に迫ったESETによる一連の報告を振り返っていこう。

「悪魔の双子」であるLoJax

ESETのリサーチャーが発見したルートキットは、攻撃対象のマシンへのバックドアを開くための非常に複雑かつ巧妙に作られていることが大きな特徴だ。このルートキットによるものと思われる異変に気づいたのはサイバーセキュリティのスペシャリストだけではなかった。コンピューターのUEFI（Unified Extensible Firmware Interface）まで侵入するルートキットの存在は、数少ないながらもうわさは出回っており、概念実証サンプルも過去には確認されていた。しかし、このようなルートキットが実際に使用されていることが発覚したのは今回が初めてのことだった。

このルートキットはLoJaxと呼ばれ、開発したのが持続的標的型攻撃（APT）を仕掛ける集団だったことに特別な驚きはないだろう。今回のケースで、ESET社はこのルートキットと、Sednitと称する特定のサイバー犯罪集団（APT28、Sofacy、Strontium、Fancy Bearとも呼ばれる）を結びつける確かな証拠を見つけだすことができた。この集団は、さまざまな地政学的ターゲットに対して展開される、幅広い種類の狡猾なツールセットを所有することでその名を知られており、過去にもESETリサーチャーなどから数多くの報告が挙がっている。

Sednitは、ノートパソコン盗難防止用になりすましたLoJackというソフトウェア（「LoJax」というルートキット名の由来）を介し、LoJaxをシステムの奥深いところに潜伏させることに成功している。LoJaxはLoJackエージェントを利用してユーザーモードの永続性を保持し、Sednitは正規のユーティリティを使用してターゲットとなったノートパソコンに対し、LoJack UEFIモジュールが常駐するSPIフラッシュメモリーの一部を書き換えてしまうのだ。

LoJaxは、「悪魔の双子 ^*1」のように存在がわかりづらいことが特徴である。UEFI保護機能を搭載していないセキュリティソフトでは非常に検出されにくいだけでなく、その執拗さも突出している。ノートパソコンは盗まれると、犯人は転売する前にハードドライブの交換もしくはOSの再インストールをおこなうことが多いが、LoJackはそうした犯人の行動を見越してシステムの深いところに潜伏するようになっている。LoJaxはこの特性を悪用しているため、削除が難しいのだ。

^*1 正当であるもののように偽装し、ユーザーを騙す攻撃手法のことを指している。

しかし、システムがLoJaxに不正侵入された場合の対処方法も存在する。ノートパソコンのユーザーがLoJaxを排除する場合、選択肢は基本的にふたつ存在する。ノートパソコンのSPIフラッシュメモリーを再プログラミングするか、マザーボードそのものを交換するかだ。どちらの方法も簡単なものではなく、通常のマルウェア削除プロセスより煩雑なものとなっている。このことからも、LoJaxに侵入されることがいかに長期間影響を及ぼすか、そして危険であるかを端的に示しているといえるだろう。

LoJaxは、ファームウェアをターゲットとするマルウェア激増の兆候なのだろうか。LoJaxが特殊な性質のマルウェアであることを考えれば、その可能性は低いように思われる。しかし、攻撃者は過去に起きた詐欺行為を参考にする傾向もあり、LoJaxが今後のマルウェア開発者にとって先駆的存在とされる可能性は十分に考えられる。このことからも、UEFIへのスキャンが効果的であること、そして脅威への対策の重要性を感じとってもらえるかと思う。

今なお活動を続けるBlackEnergyの血筋を引き継ぐ詐欺集団

2018年にお届けした中で、もうひとつ大きなトピックを紹介しよう。ESETのリサーチャーは、2016年下半期にウクライナの首都キエフ周辺で発生した、長時間にわたる停電の原因となったマルウェア （Industroyerと呼ばれる）が、その半年後にランサムウェアとしての認識が定着したNotPetya （DiskCoder.C）と同じ攻撃者による犯行であることを明らかにする証拠を見つけだした。

攻撃者は今なお活発な活動を続けるTeleBotsと呼ばれるAPT集団であり、詐欺集団BlackEnergyの系統をくむ。このBlackEnergyという集団の名称はマルウェアに由来する。2015年12月にウクライナにおいてマルウェアBlackEnergyは人口140万人の地域の約半数の世帯に、大規模な停電を数時間にわたり引き起こしたのであった。これらの事実からも、記憶に刻まれた3件の衝撃的なマルウェアによる事件が、同じ犯罪者によるものだということがわかるだろう。

ESETのリサーチャーが、産業制御システムを標的とした最も強力かつ最新のマルウェアに関する調査結果を発表した後、TeleBotsがIndustroyerを生んだとする憶測は急速に広まったが、その時点では決定的な証拠は得られなかった。追って、ESETのリサーチャーがこのマルウェアの一部を解読したところ、Win32/Exaramelというコードネームが付けられたこのコードが、Industroyerの主要バックドアと大きく類似していることが明らかになった。このことからもこのマルウェアはIndustroyerの可能性が高いと考えられている。

シンプルにまとめると、Win32/Exaramelは、Industroyerの中核となるバックドアのアップグレード版だったということだ。ESETがウクライナ政府へ適切なタイミングで警告を発したこともあり、アップグレードされたバージョンによる攻撃は未然に防止できた。そして、Exaramelの発見により、TeleBotsグループが2018年も継続して活動していることが明らかとなっている。この事実からも、2019年も引き続き彼らの活動を注視していく必要があることを示唆しているといえよう。

より悪質化しているGreyEnergyという存在

2015年12月の停電後に姿を消したとされるBlackEnergyだが、後継の詐欺集団はTeleBotsだけではないことがわかっている。GreyEnergyと呼ばれる別の攻撃者集団は、TeleBotsと同時期に、おそらく緊密に連携して活動をしていたものと考えられている。しかしながら、このふたつの集団では縄張りや手口がそれぞれ大きく異なっている。

GreyEnergyがフォーカスされたESETの別の調査からも、この詐欺集団はその悪事で世間の注目を集める考えがないことが判明している。代わりに、彼らは表面的には将来の攻撃に対する準備工作、あるいは他のグループによって実行される活動をサポートするため、偵察やスパイ活動に専念している。その工作の期間中、GreyEnergyはその身を潜め、攻撃完了後はまるで「煙のように」消え去っていく。

GreyEnergyのマルウェアツールキットにはその前身と多数の類似性があるが、GreyEnergyは「ステルス性をより重視した」BlackEnergyのアップグレード版であることがわかっている。いずれにせよ、どちらの集団もウクライナとポーランドのエネルギー部門および重要なインフラに狙いを定めていることはほぼ間違いないと思われる。

GreyEnergyとTeleBotsの関係性は、2016年12月にGreyEnergyが使用した「Moonraker Petya」が、その半年後にTeleBotsが仕掛けたNotPetyaワームの前身であることがわかり証明されることとなった。繰り返しになるが、GreyEnergyは非常に危険な攻撃者であり、厳正に監視すべき存在である。

不正キャンペーンを分析し、被害予防に成功

2018年以前の歴史からいくつかの事実を振り返ってみよう。5年以上前になるが、ESETのリサーチャーが「Operation Windigo」という、数千に上るLinuxサーバーで構成されたボットネット製造の不正キャンペーンを分析し、そのキャンペーンを失敗に追い込んだことがある。Windigoには多くの際立った特徴があったが、ここではそのうちふたつの特徴を紹介する。

ひとつめは、Windigoの核となる部分はLinux/Eburyと呼ばれる高度なバックドアと情報収集ツール (クレデンシャルスティーラー) であり、多くのユーザーに利用されている接続用ソフトウェアOpenSSHを悪用していた点だ。もうひとつは、Linux/Eburyは侵入前に、OpenSSHに仕掛けられた他のバックドアがシステムに存在するかどうかをチェックする点だ。

ESETのリサーチャーがソースコードを調査したところ、ウィルス対策コミュニティにそれまで存在が知られていなかった、新たなSSHバックドアが発見されることとなった。2018年にESETはこの取り組みについて解説する新しい調査結果を出し、Linuxサーバー側のマルウェアの状況について独自の見解を述べている。

OpenSSHサーバーに仕掛けられたバックドアを調べたところ、21ものマルウェアが検出され、そのうちの12種類はこれまで知られていなかったものであった。シンプルな（既成品の）マルウェアも高度な（特注の）マルウェアもあり、クライムウェア ^*2やAPT集団によってさまざまな運用がおこなわれていた。

^*2 「クライム（犯罪）」と「ソフトウェア」の混成語。マルウェアのうち、犯罪を目的として作成されたもののことを指している。

21のマルウェアのうち18種は情報収集機能を、17種はバックドアモードを備えていた。以前公開したこちらのホワイトペーパーでは、マルウェアの系譜およびそれらの内部構造を包括的に取り上げたため、Linux固有のマルウェアに関する調査の進展に大きく貢献することができた。

総括すると、この調査からはLinuxベースのシステムはWindowsよりもマルウェアによる被害を受ける可能性は少ないものの、インターネット接続サーバーを含めて期待されるほどの防御ができないという事実を突きつける結果となった。

2019年も引き続き脅威は続いていく

今回紹介してきた調査結果は、世界でもトップレベルのサイバー攻撃者によるごく一部の攻撃例を紹介したに過ぎない。しかし、これらの例からだけでも2019年以降に発生が見込まれる、悪質な攻撃の危険性を十分に感じとってもらえたのではないだろうか。なお、ESETのリサーチコミュニティから得られたその他の調査結果は、ウェブサイト上の特設ページに掲載されているので、そちらも参考にしてほしい。（編集部追記：日本国内の調査結果はサイバーセキュリティ情報局のウェブサイトで公開している。）