ここから本文です

日本人狙いのサイバー攻撃、大学研究室を名乗る手口も

ITmedia エンタープライズ 8月17日(水)21時4分配信

 セキュリティ企業のパロアルトネットワークスは8月17日、日本人を狙うマルウェア「Aveo」による標的型サイバー攻撃への注意を呼び掛けた。マルウェアの拡散には関東の工業大学の研究室に関連するExcel文書に見せかけたファイルが使われているという。

【その他の画像:トロイの木馬が送り込まれる際に使われる偽のExcel文書】

 AveoはExcelファイルのアイコンに偽装したWinRAR自己解凍型の実行ファイルで、ユーザーがこれを実行する偽の文書やトロイの木馬がダウンロードされる。偽の文書は大学の研究室のWebサイトで公開され、研究会参加者の一覧が記載されている。文書は日本語になっており、同時にダウンロードされるファイル(トロイの木馬)の名称も日本語になっていることから、同社がこの攻撃が日本人を狙ったものだと指摘している。

 ダウンロードされたトロイの木馬は遠隔操作型で、感染先のコンピュータから攻撃者が設置したとみられる米国の複数ドメインに接続し、盗んだ情報を送信したり、攻撃者の命令を受信したりしているとみられる。感染当初は一意のハッシュ、Windowsのバージョン、IPアドレス、ユーザー名などの情報を送信することが分かったという。

 Aveoはその後も感染したコンピュータのレジストリを改ざんするなどして潜伏を続ける。攻撃者からはインタラクティブシェルでのコマンド実行、ファイルの入手・書き込み、読み込み、ドライブのリストなどの命令を受け取り、実行する。

 同社によるとAveoは、2015年に「訃報」メールなどを通じて国内のハイテク・製造業を狙う標的型攻撃に使われたマルウェア「FormerFirstRAT」と多くの類似性がみられるという。

最終更新:8月17日(水)21時4分

ITmedia エンタープライズ