日本の大企業を襲った「PlugX」を使用する標的型攻撃

  • 執筆者:セキュリティストラテジスト 寺下 健一
    初版:2016年7月13日

先月報道発表された、最大数百万件の個人情報が漏洩した事件。これは巧妙な偽装メールを受信したことに端を発する高度な標的型攻撃でした。標的型メール対策訓練も実施していた日本の大企業を襲ったこのインシデントに利用された「PlugX」について、FortiGuard Japanでリサーチを行いました。

PlugXと中国

いわゆるRAT(Remote Access Tool)と呼ばれるもので、標的型攻撃を実行する際に使用するマルウェアの一部として利用されることがよく知られています。PlugXは特別新しいものではなく数年前からその存在が知られており、その動作仕様や利用方法など様々な場所で共有されています。

特にPlugXは中国語のGUIを持つことから中国語圏で利用されることが多いものです。また、今回報道でPlugXと併せて伝えられた「ELIRKS」と呼ばれるマルウェアの一種も、中国のミニブログサービス「PLURKS」を利用したC&C通信を行うことで知られています。PLURKSの調査によると、ELIRKSによる不審な通信は中国の政府や軍隊が使用しているIPアドレスからの通信であったとされています。

これらの情報から、今回日本の大企業を襲った攻撃は、中国が国家的に関与するサイバー犯罪グループからのものであったことが推測されます。

標的型メール攻撃対策訓練は効果なし

一般的に「怪しいメールは開かない」ように注意喚起や訓練が実施されています。しかし今回のメールはそれら対策が効果をなさない事が報道によって明らかになってきています。

今回の標的型メールの内容や送信元は巧妙に偽装されており、通常業務として受け取るメールと遜色なく、「怪しいメール」とは判断することが非常に困難でした。添付ファイルは一見PDFファイルに見えるものは実はPEファイル(Windows実行ファイル)で、アイコンはPDFファイルのものに変更され、拡張子もRLO(Right-to-Left Override)を使用して○○.pdfというように表示されていたそうです。これではメールを目で見た限りでは怪しいメールと判断することは非常に困難です。

人の目で見て困難であれば、システムで対処しなければなりません。Fortinetは今回のインシデントに対処する製品とソリューションをご提供可能です。

(1) アンチウィルスでの対策

FortiGuard Japanでは今回、PlugXが用いられた既知のマルウェアのサンプルを約300件入手して、我々の技術がこれらをどれだけ検出できるかを検証しました。まずはアンチウィルスです。PlugXやその別名である「Gulpix」「Korplug」の名がつくシグネチャが存在しますが、様々なマルウェアで利用されるRATの特徴から、様々なマルウェアファミリーを示すシグネチャで検出することがわかりました。

Fortinetの特許技術であるCPRLによって、一つのアンチウィルスシグネチャで様々な亜種を検出する事ができます。今回多くの種類のシグネチャがヒットしたことから、高度な標的型攻撃は様々なマルウェアコードを利用しているという事がわかります。未知なる標的型攻撃はにはCPRLが非常に有効であることが言えます。

  • W32/Agent
  • W32/BDoor
  • W32/Cleaman
  • W32/Generic
  • W32/Gulpix
  • W32/Hra
  • W32/Injector
  • W32/Korplug
  • W32/LOADER
  • W32/Plugx
  • W32/PLUGX
  • W32/Preshin
  • W32/Shyape
  • W32/SLENFBOT
  • W32/Waldek
  • W32/Wim
  • W32/Winnti
  • W32/WINNTI
  • W32/Zegost

※これらはシグネチャのマルウェアファミリー名の部分で、実際のシグネチャ名はこの後にVariant(亜種識別名)が付与されています。

今回のサンプリングでヒットしたアンチウィルスシグネチャ125件について、国内外でどれだけ感染活動が行われていたのかを、FortiGuardの脅威インテリジェンスから今年の統計データを調査しました。

アメリカの他、日本と韓国が特に多い傾向にあります。上述の通り中国が関与しているとする推測から、これらの国々での感染活動が多いのも頷けるのではないでしょうか。


図1: PlugXが用いられた亜種の検出傾向

ELIRKSについても同様の検査を行った所、以下の様なマルウェアファミリーのシグネチャで検知することが可能でした。

  • W32/Agent
  • W32/FraudLoad
  • W32/FakeADB

(2) サンドボックスでの対策

今回の報道から、被害にあった企業はサンドボックス製品を導入していなかったことが知られています。上記の通りCPRLのような技術も有効ですが、未知の脅威を検出するためにはサンドボックスも非常に有効です。FortinetのFortiSandboxで同じマルウェアサンプル約300件をサンドボックス機能だけでどれだけ脅威検出できるかどうかを検証しました。

結果は85%以上のサンプルから脅威リスクを検出することが出来ました。Cleanと判断したものについては、実行ファイル自体が起動しなかったり、自己解凍形式ファイルで中国語のユーザーインターフェースがポップアップしてボタンを押すなどの操作が必要なものであったりするため、Cleanと判断したものでした。


図2: FortiSandboxでのサンドボックス検査結果

FortiSandboxが検出した不審な振る舞いとしては以下の様なものでした。これらの多くは巧妙に仕組まれた標的型攻撃によく見られる手法で、これらを用いるマルウェアはFortiSandboxによって脅威として検出されます。

  • Executable deleted itself after execution
    - 実行ファイルが実行直後に自身を削除して痕跡を隠蔽
  • Executable tried to hide a folder it created
    - 自身の痕跡を隠すため、不審なフォルダを作成してマルウェアを保存
  • Suspicious DNS
    - 悪意あるウェブサイトへのDNS問い合わせ
  • Virus detected
    - ウィルスの作成と保存
  • Suspicious registry
    - マルウェアを自動実行するためのレジストリの作成
  • Threat Intelligence
    - FortiGuardの脅威インテリジェンスから疑わしいファイルと判断

(1) + (2) アンチウィルスとサンドボックスの併用による対策

今回の報道では、当該マルウェアは未知の脅威であったためにアンチウィルスでは検出出来ず、そのような新たな脅威を検出するためのサンドボックスも導入されていなかったとされています。昨今の脅威対策としてはアンチウィルスとサンドボックスの併用はもはや常識とされています。Fortinetのアンチウィルスとサンドボックスの併用による今回の検証は以下の通りです。脅威あるマルウェアについては100%検出することが出来ました

98%以上はアンチウィルスで検出し、それ以外の10件中5件はサンドボックスにより脅威リスクを検出しました。残りのCleanとしたものは、他ベンダーでもCleanと判定しているものとなり総合的に無害なものであると判断できます。


図3: FortiSandboxでアンチウィルスとサンドボックスの全機能を有効にした結果

(3) ファイルフィルタによる対策

今回の標的型メールに添付されていた実行ファイルは巧妙に偽装され、人の目ではPDFファイルとしか見えないものであったと言われています。昨今の脅威に対して人の手でそれを識別するような訓練は効果の無いものになっているのは上述のとおりです。

特に今回は偽装された実行ファイルが添付されていたということで、これを機械的に除去する必要があります。FortiGateやFortiMailのファイルフィルタ機能は、ファイル名などではなくファイルヘッダからファイルタイプを正しく識別出来ます。これによって人を訓練せずに今回のインシデントの対策として有効に利用できます。

また、この対策をとても簡単に利用するための新機能がFortiOS 5.4から搭載されています。それは、アンチウィルスプロファイルのオプションとして、メール添付の実行ファイルをウィルスとして判定して除去するものです。このオプション一箇所を有効にするだけで、今回のようなインシデントは完全に防げたかもしれません。


図4: FortiOS 5.4の新機能、メール添付された実行ファイル除去オプション

標的型攻撃対策には多層防御が必須

昨年末に経済産業省から公開された「サイバーセキュリティ経営ガイドライン」には、「サイバーセキュリティーリスクの把握と実現するセキュリティーレベルを踏まえた目標と計画の策定」という項目で、実現に有効な技術的対策として多層防御の実施が挙げられています。

フォーティネットの多層防御はUTMで実現できる全てのセキュリティ機能にサンドボックスを併せ持った非常に強力なソリューションです。これまでの検証結果から、今回の様な高度な標的型攻撃対策にFortinetの多層防御が有効であるということを結論付けることが出来ました。


図5: 多層防御は今回のインシデントでも重要なソリューション

Fortinetの製品やソリューションにご興味がある方、購入をご検討される方は、こちらのお問い合わせ先までご連絡いただけますよう、よろしくお願いします。

本記事の内容に関するお問い合わせ先

FortiGuard Japan