ここ数年、長期にわたって継続するマルウェア活動が活発になっていますが、その中心となっているのが Taidoor 系のトロイの木馬です。Taidoor を利用する攻撃者が使うのは、電子メールによる典型的な標的型攻撃の手法です。Taidoor 攻撃が始まった 2008 年当初は、政府系機関が主な標的になっていましたが、その後、攻撃対象が次第に拡大し、マスメディア、金融、通信、製造といった業種も狙われるようになりました。シマンテックでは、最近入手したデータから、Taidoor を利用する攻撃者の関心が「シンクタンク」タイプの組織に移っていることを確認しました。2011 年以降、大半の標的型メールがこれらの企業に送信されるようになってきています。
Taidoor 攻撃では、通常、電子メールに文書を添付して送りつける方法で脆弱性を悪用し、標的のコンピュータに侵入します。この攻撃に最も多く利用されているのは PDF 文書で、僅差で Word 文書が続きます。これまでに少なくとも 9 種類の脆弱性が、Taidoor 攻撃に利用されたことが確認されています。ここで重要なのは、これらの脆弱性のほとんどが、利用された時点ですでにベンダーによって公開され、パッチが提供されていたという点です。つまり、攻撃者は、パッチをすぐに適用しない企業があるという現状を利用しているにすぎません。
標的のコンピュータへの侵入に成功すると、トロイの木馬が所定のコマンド & コントロール(C&C)サーバーを呼び出して、次の命令を待ちます。Taidoor 攻撃の興味深い点として、インタラクティブシェルのライブセッションが攻撃者によって行われることが確認されています。攻撃者は短いセッションの間にコマンドを発行して、最近使われた文書、インストールされているソフトウェア、デスクトップのコンテンツ、ネットワーク接続などをチェックします。次にこの情報を使って、攻撃者にとって価値のあるほかの情報を見つけようとします。また、バックドア接続がアクティブになる時間帯がほぼ一定であることも確認されています。これは、攻撃者の活動時間に規則的なパターンがあることを示しています。
Taidoor 攻撃の背後にいる人物については特定できていませんが、電子メールの件名、標的となった業種、攻撃者の活動時間といった情報が、攻撃者の身元や活動拠点を割り出す手がかりとなっています。攻撃の手法と内容から、Taidoor 攻撃の背後にいるのはそれほど高度な技術を持つ集団でもなく、資金の豊富な集団でもないと推測できますが、標的となった組織にとってその存在が依然として脅威であることは確かです。
Stephen Doherty と Piotr Krysiuk が共同で、Taidoor 攻撃に関する興味深いホワイトペーパーを作成しました。調査内容やシマンテックが提供する保護技術の詳細については、「Trojan.Taidoor: Targeting Think Tanks(シンクタンクを標的とする Trojan.Taidoor)」(英語)をダウンロードしてご覧いただけます。
次の画像では、Taidoor 攻撃に関する主なポイントについて説明しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。