「サービスとしてのマルウェア」Adwind、世界40万超のユーザーを攻撃

2016年2月18日

先日開催されたSecurity Analyst Summit 2016において、Kaspersky Labのグローバル調査分析チーム(GReAT)は、リモートアクセスツール(RAT)の「Adwind」に関する詳しい調査結果を発表しました。この不正ツールはAlienSpy、Frutas、Unrecom、Sockrat、JSocket、jRatなどの別名でも知られています。Adwindは数年前から開発されており、Malware-as-a-Service(サービスとしてのマルウェア。MaaSとも)プラットフォームを介して配布されています。つまり、25~300ドル程度の料金を支払えば、誰でもこの不正ツールを利用できるのです。

awind-maas-platform-featured

GReATのリサーチャーは、シンガポールのとある銀行に対する標的型攻撃からこのマルウェアを発見しました。このマルウェアは、標的の銀行職員に宛てられたスピアフィッシングメールに不正なJavaファイルとして添付されていました。これは、Adwindの拡散方法として最も典型的な手法です。

このマルウェアには、リサーチャーの興味をそそる特徴がいくつかありました。1つ目は、Windowsのほか、Linux、OS X、Androidといった複数のOSに感染し、動作できる点です。Javaはマルウェアの開発プラットフォームとして一般的ではありませんが、2番目に脆弱性の多いプラットフォームであり(1番はもちろんAdobe Flashプラグイン)、しょっちゅうパッチを適用する必要があります。何よりも、JavaアプリケーションはどのOS上でも実行できるよう設計されているため、マルチプラットフォーム対応のマルウェアを開発する側にとって非常に好都合です。こうした理由からOracleはJavaのセキュリティ強化に本気で取り組んでいます(英語記事)。

2つ目の特徴は、どのアンチウイルス製品にも検知されなかった点です。

そして3つ目は、機能が豊富なこと。キー入力情報の収集、キャッシュされたパスワード、VPN証明書、仮想通貨ウォレットのキーの窃取、スクリーンショットの撮影、標的コンピューターのマイクやWebカメラによる動画、写真、音声の記録、ユーザー情報やシステム情報の収集、SMSの管理(Androidの場合)など、さまざまな機能が実装されています。技術と想像力さえあれば、犯罪者は何でも可能です。

要するに、Adwindは非常に強力なマルチプラットフォーム対応のスパイツールです。このマルウェアの活動を調査したリサーチャーは、不正ツールキットAdwindの事例は当初の想定よりはるかに興味深いという結論に達しました。

Adwindは数年にわたり開発されていることが判明しており、最初の検体は2012年に遡ります。時期によって名称が異なり、2012年はFrutas、2013年はAdwind、2014年はUnrecomとAllenSpy、そして2015年はJSocketという名前でした。

GReATのエキスパートの見解では、Adwindプラットフォームの背後には働き者が1人だけいて、少なくとも直近の4年間はその人物が新しい機能やモジュールを開発しサポートしています。Javaのセキュリティは何かと騒がれていますが、サイバー犯罪者を手助けするために作成されたプラットフォームではないので、Adwindの作成者は攻撃が万事うまく運ぶよう回避策をいくつも考える必要がありました。もちろん、一部の作業を外注することもあるかもしれませんが、この活動はすべて十分な財源によって賄われているようです。当社の計算では、サービス全体で年間200,000ドルの収益があったと考えられます。とはいえ、ポータルの最新バージョンは2015年夏に提供が開始されたばかりと考えると、まだ資金回収の途中なのかもしれません。

adwind-live-photo

当初、Adwindプラットフォームはスペイン語のインターフェイスのみでしたが、後に英語版も登場しました。こうしたアップデートの結果、Adwindは世界中のあらゆる種類のサイバー犯罪者に認知されるようになり、高度な詐欺を働く詐欺師や不正取引にかかわる競合企業、個人や企業をスパイするために雇われたサイバー傭兵などに使用されています。もちろん、よく知る人物をスパイしたいと考える個人にも利用されています。

標的の地理的分布も、ここ数年で変化しました。2013年はアラブ語圏やスペイン語圏の国が狙われ、翌年はトルコ、インドに続いてアラブ首長国連邦、米国、ベトナムがターゲットとなりました。そして2015年にはロシアが標的のトップとなり、アラブ首長国連邦、ドイツ、トルコ、米国と続きます。今やAdwindは世界各国のサイバー犯罪者に販売されていることから、こうした変化は当然です。

map_03_02_16_ja-2

当社で把握する限り、この4年間で標的の数は443,000以上に上っています。また、特筆すべきは、2015年の終わりに感染数の急増が見られたことです。2015年8月から2016年1月までの間、68,000以上ものユーザーがAdwind RATマルウェアの検体に遭遇しています。しかも、2015年8月にはサイバースパイ事件でAdwindの名前が取り上げられています。2015年1月にアルゼンチンの検察官が自宅アパートで不審死しているのが見つかり(いずれも英語記事)、この人物に対するスパイ活動にAdwindの1つであるAlienSpyが使われたことがわかっています。

Adwindキットを購入し、利用した犯罪者が標的としたのは、個人を始め、製造、金融、工学、設計、小売り、政府、輸送、通信などのさまざまな業界の中小企業でした。

こうした事例から、企業はJavaプラットフォームの使用目的を今一度見直し、信頼できないソースのJavaをすべて無効化するのが得策でしょう。