マルウェア
私のブログの読者である皆さんなら、当社のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)をご存じだろう。世界中に散らばる一流のサイバーセキュリティエキスパート40名強から成るチームで、メンバーは皆、高度なサイバー脅威からお客様を守る専門家たちだ。GReATのエキスパートたちは、好んで自分たちの業務を古生物学に例える。古生物学者/サイバーセキュリティエキスパートは、深層ウェブの奥深くに潜む「サイバーモンスター」の「骨片」を調査しているのだ。古くさいやり方だと感じる人もいるかもしれない。今ここにいるモンスターからネットワークを守ろうというときに、はるか過去の「生物」の「骨」を分析することにどんな意味があるというのか?だが、古代生物の骨を調べなければ現在を生きる怪物が見つからないこともある。それを証明する新たな出来事があったので、紹介するとしよう…
「ワイパー」と呼ばれるタイプのマルウェアをご存じの方もいるかもしれない。これはマルウェアの一種で、攻撃対象のPCにインストールされると、すべてのデータを消し去ってしまう。PCの持ち主に残されるのは、完全にクリーンアップされた、ほとんど動作しないハードウェアの残骸だ。一番有名(というか悪名高い)ワイパーはShamoonだ。2012年、世界最大の石油会社Saudi Aramcoの端末30,000台以上のデータを破壊し、さらに大手ガス会社のRasGasにも攻撃を仕掛け、中東を多いに賑わせたマルウェアだ。ちょっと想像してみてほしい。世界最大の石油会社に、動かないハードウェアが30,000台以上も転がっている様子を…
奇妙なことに、2012年のSaudi Aramcoに対する破壊的な活動以降、Shamoonについてはあまり耳にしなかった。それが2016年、Shamoon 2.0としてカムバックを果たし、中東で新たな攻撃を再開したのだ。
Shamoonによる新たな攻撃の波が始まってから、我々はできるかぎり多くのバージョンを収集するべく、センサーの網を張り巡らせた(Shamoonのようなマルウェアによって当社のお客様が害を被ることがないようにするためだ)。喜ばしいことに、複数のバージョンを発見することができた!それだけではない。予期せぬことに、まったく新しいタイプのワイパー型マルウェアも網に引っかかった。我々はこれを「StoneDrill」と名付けた。
StoneDrillの基盤となるコードは、Shamoonとは異なる。そこで、これはまったく新しいマルウェアファミリーであると我々は考えた。さらに、Shamoonにはなかった高度な検知回避技術も使われている。新顔であることは間違いない。このマルウェアには、ひときわ目立つ(そして、懸念を覚えさせる)特徴がある。StoneDrillはShamoonとは異なり、標的をサウジアラビアとその周辺国に絞ってはいない。現在のところ、StoneDrillの標的は2つだけ確認されているが、そのうち1つはヨーロッパに拠点を置いている。
なぜ、この事実が懸念されるのか。それは、過去にワイパーを使った攻撃を仕掛けた者たちがほぼ興味を示すことのなかった地域で、破壊的なサイバー攻撃ツールを携えた何者かが様子見していることを示すからだ。
StoneDrillの黒幕たる攻撃者(もしかするとShamoonの黒幕にも)に関心を持たれそうなヨーロッパ企業に、お伝えしたいことがある。これらの脅威から自社ネットワークを守る準備を整えてほしい。もはや、影響を受けるのは中東の石油会社やガス会社だけではない。どうやら世界中に広がりそうな気配がある。
さて、サイバー古生物学に話を戻そう…
前述したとおり、我々はShamoonのサンプルを探している途中で予期せずStoneDrillに行き当たった。確かに予期していなかったが、これは偶然ではない…
すでに知られているマルウェアの新種や亜種を見つけるために、当社のリサーチャーは(数あるツールの中でも)YARAルールを採用している。YARAルールを組み合わせて作った専用ツールは、複数の異なる検索パラメータを設定することが可能で、ルールに従ってマルウェアデータベースをフィルタリングすることができる。
わかりやすく言い換えると、YARAルールに基づいたマルウェア探索は、顔を知らない人物を群衆の中から探し出すようなものだ。たとえば、文通相手がいるとしよう。長年にわたって手紙メールを交わしてきた2人は、人混みの激しい駅での待ち合わせを約束する。しかし、2人とも自分の写真を送らないことにしていたので(「互いの写真は送らないでおこう、その方が面白いから!」)、文通相手がどんな顔か知らない。わかっているのは、年齢、背丈、体型、髪の色、目の色、そして普段着ている洋服のタイプくらいだ。したがって、混み合った駅で文通相手の物理的な特徴とぴったり一致する人と出会えるかもしれないが、話しかけなければ本人かどうかはわからない。
StoneDrillとの出会いも、似たような感じだ。
当社のリサーチャーは、Shamoonの最新バージョンに固有のパラメータをいくつか発見した。そこで、そのパラメータを使ってYARAルールを作成し、検索ボタンをクリックし、検索に引っかかったサンプルを分析した。こうしてShamoonのパラメータと一致するサンプルを発見したのだが、さらに詳しく分析してみると、Shamoonとはまったく異なる新しいマルウェアで、ワイパー型マルウェアの新ファミリーであることがわかったのだ。
前の例に戻ると、特徴は文通相手と一致するが、文通相手ではなかった。文通相手の親戚かもしれない、何とも言えないが。
なぜ、こんな説明をしているのか。
この記事の冒頭で述べた古生物学の例えを思い出してほしい。過去に存在した生き物を知らなければ新しいモンスターを捕まえることができないと書いたのは、まさにこのことだ。労力をかけるだけの価値があるのだ。
だが、StoneDrillの捕獲に成功した理由はもう1つある。
Shamoonを探す途中でStoneDrillを確認できたということは、コードがまったく異なるにもかかわらず、両者の構造と動作の「スタイル」がほぼ同じだということだ。「スタイル」とはつまり、マルウェアのふるまいや、セキュリティソフトウェアやリサーチャーから自らを隠すという特徴などだ。これは、たとえば2人の兄弟に見られる類似性ではなく、同じ先生に学ぶ2人の生徒に見られる類似性に近い。同じ文通クラブに通う間柄のようなものだ、と言ってもよいだろう。
言い換えよう。ShamoonとStoneDrillの間に見られる類似性が偶然でないのは、ほぼ間違いない。ShamoonとStoneDrillは同じ人物(または人々)が開発したのだろうか。StoneDrillはShamoonを操る者向けの専用ツールなのか。それとも、この2つはまったく違う人物が作成したもので、2人とも同じマルウェア作成学校に通っていたのだろうか。真相は分からない。可能性はいくらでも考えられる。調査は続行中で、調査結果は来るSASカンファレンスで発表予定だ。
ところが、話はこれで終わりではない!
StoneDrillのコードを詳しく調べていたGReATのリサーチャーは、強烈な既視感に見舞われた。コードの一部に見覚えがあった!どこで見たかというと、「Newsbeef」と呼ばれる別のサイバースパイ活動においてだ。この活動については昨年、Securelistに記事(英語)を公開している。つまり、この事例にはNewsbeefという別の要素が隠されていたのだ。では、StoneDrillはNewsbeefを操る攻撃者がデータを完全に削除するためのツールなのだろうか。これもまだ、答えが出ていない。
我々が地政学の専門家か文献頼りの哲学者であったなら、こうしたつながりについて何らかの推測を述べたかもしれない。「ブーンって音がするから何かあるに違いない」と、くまのプーさんが言ったように。
だが、(幸いなことに!)我々は地政学の専門家でもなければ、文献頼りの哲学者でもない。あらゆるサイバー脅威(出自や目的を問わず)から世界を守る、というタフな仕事に取り組む者だ。Shamoon、StoneDrill、Newsbeefのつながりについてここで述べたのは、それに気付いたからだ。そして、身の回りで起きていることへの理解を深めたいと考える企業や政府組織に対してプロフェッショナルな脅威インテリジェンスの有用性を示す格好の例でもあるからだ、個人的見解だが。こうした情報は、物事への理解を深める手助けとなる。理解できれば、こうした脅威がもたらすリスクに対してより良い備えができる。
ぜひSecurelistをチェックし、当社のリサーチャーによる詳細な調査報告を読んでいただきたい。さらに専門的な脅威インテリジェンスに関心があれば、当社のAPTインテリジェンスレポートサービスに迷わず登録してもらえればと思う。
では、これ以上の解説はStoneDrillの発見者たちに譲るとしよう。詳細な技術分析は、こちら(英語記事)にある。
追伸:
GReATが実施するような詳細で専門的なマルウェア解析を自社のセキュリティチームでもできるようにしたいとお考えならば、当社のトレーニングセッションをお勧めしたい。直近では、4月上旬に開催されるKaspersky Security Analyst Summit 2017で行われる。今年の開催地はセントマーチン島(シント・マールテン)だ。予約はここでできる。
Shamoon、StoneDrill、Newsbeef – 3つの攻撃の間に見られるつながり、Kaspersky Labが発見
Tweet
