2014-11-22 10:05

宿泊客を狙うウイルス「ダークホテル」に要注意<追記あり

 先週知人と話しをしている時の事、日本はコンピュータのセキュリティが大甘との事でからこんな話題になった。
曰く、ロシア系のコンピュータセキュリティ会社「カスペルスキー」が日本のホテルをチェックし、日本の主要ホテルは7割くらいは「ダークホテル」なるウィルスに感染している。極めて危険だ。こんな話だった。

カスペルスキー?、ダークホテル? どちらも私には初耳。
丁度日経にそんな記事が有った。

<以下日経より引用>

宿泊客を狙うウイルス「ダークホテル」に要注意
2014/11/12 6:30

 ロシアのセキュリティーベンダーであるカスペルスキー・ラボは2014年11月10日、高級ホテルのネットワークに侵入し、宿泊客のノートパソコンなどにウイルス(マルウエア)を感染させる「Darkhotel(ダークホテル)」攻撃が2010年8月から確認されているとして注意を呼びかけた。具体的なホテル名は明らかにしていないものの、日本でも被害例があるもようだ。

 Darkhotelは、コストをかけて実行される標的型攻撃「APT」の一種。攻撃者は何らかの方法で、大手企業の幹部などが宿泊するような高級ホテルのネットワークに侵入。ホテルのポータルに罠(わな)を仕掛けて、ネットワークに接続した幹部などのパソコンにウイルスを感染させて乗っ取る。同社の報告によれば、有名な正規ソフトのインストーラーに見せかけて、ウイルスを実行させるという。

 攻撃者は何らかの方法で宿泊客の詳細を入手し、情報を盗みたいような相手だった場合に、前述のような罠を仕掛けてウイルスをインストールさせる。インストールさせたあとには罠をすぐに消して、証拠を残さない。攻撃が行われたホテルに、同社の研究者がおとりのマシンを持って宿泊した際には攻撃されることはなかったとしている。

2014-11-22カスペルスキー1
図1 P2Pネットワークで配布された「Darkhotelウイルス」の例。復号プログラムとされている「AxDecrypt.exe」に仕込まれている

 だが最近では、Darkhotelのウイルスを使った無差別攻撃も確認されている。しかも、主な標的は日本だという。攻撃者は、日本のコミックや動画などの海賊版を暗号化し、P2Pネットワークに配布(図1)。海賊版をまとめたアーカイブファイル(圧縮ファイル)には、復号のためのプログラムを含める。この復号プログラムにウイルスが仕込まれており、海賊版の復号と同時にパソコンに感染し、そのパソコンを攻撃者が操れるようにする。

 カスペルスキー・ラボの調査によれば、感染パソコン数が多いのは、日本、台湾、中国、ロシア、韓国で、これらを合わせると全体の9割以上になるという(図2)。

2014-11-22カスペルスキー2

(日経コンピュータ 勝村幸博)  [ 2014年11月11日掲載]
http://www.nikkei.com/article/DGXMZO79548470R11C14A1000000/

<引用終り>

カスペルスキーの発表については以下参照ください。

http://www.kaspersky.co.jp/about/news/virus/2014/vir10112014

http://blog.kaspersky.co.jp/darkhotel-apt/5392/

これは正にスパイ活動と言えるようだ。しかも既に活動を始めてから7年になるらしい。
しかも上掲円グラフを見れば分かるように、ターゲットは日本であることは間違いないだろう。
日本人VIPを狙ったスパイ活動であると考えるべき話。

そして日経記事には書いてないが、カスペルスキーのHPに依れば・・・

・ 解析されたマルウェアのコードから、攻撃者が韓国語を話す人物であることが特定されています。

・ 相当高価なサイバー兵器を購入可能なほど資金が潤沢なスポンサーが背後にいるか、ハイレベルな専門的技術を持つエージェントが関わっている、と考えられます。おそらく、その両方でしょう。

・ トレントクライアントを通じて配信される中国語のアダルト漫画の中に、トロイの木馬を仕込む方法もとられました。

・ この犯罪者たちは非常に慎重で、検知を防ぐ手段をいくつも講じていました。まず、マルウェアには非常に長い「潜伏期間」を持たせていました。このマルウェアが最初にC&Cサーバーに接続したのは、システムに潜入してから180日後でした。マルウェアはまた、システムの言語が韓国語に切り替えられると自滅するプロトコルを持っていました。


こんな事である。
これは私の推定だが、中国が手下の韓国を使ってやらせていると見てよいのではないだろうか。
カスペルスキーの記事を読むとそんなうさん臭いニオイがする。
特に多額のカネが絡んでいるようなので、個人の愉快犯のやった事とは全く次元の違うスパイであろう。

皆さま、どうぞご注意を!



* 追記します
日経記事のこの部分
>感染パソコン数が多いのは、日本、台湾、中国、ロシア、韓国で・・・

此処はカスペルスキーのHPではこうなっています。
犯罪者の活動の場は主に日本、台湾、中国でした。しかし、Kaspersky Labでは他の国々でも攻撃を検知しており、中には主な活動の場からは遠く離れた地域もありました

この記事のソースのカスペルスキーは犯罪者の活動の場は日本、台湾、中国と言っています。
しかし日経になるとこれにロシアと韓国を追加しています。

こんな所に日経が韓国に汚染されている尻尾が見えます。
日経は言いたいのでしょう。
だってオイラ韓国は被害者だよ。韓国は加害者じゃないんだよ・・・
  1. 社会一般
  2. TB(0)
  3. CM(4)

コメント

前半と後半で無関係ではないですか?

こんばんわ。

>攻撃が行われたホテルに、同社の研究者がおとりのマシンを持って宿泊した際には攻撃されることはなかったとしている。
前半のここまでは、インストールを要求するPush型。
但し Wi-Fiのセキュリティ管理が甘ければ、一概にコストが掛かるとも言い切れません。
ホテルのルーターの内側では、家庭内LANと同様に、別室の顧客同士で通信できてしまうことが、嘗て問題になったことがありますので、今も問題を残したホテルがあるかもしれません。
信用できない環境では、無闇にダウンロードやアップデートしないのが賢明でしょう。

>だが最近では、Darkhotelのウイルスを使った無差別攻撃も確認されている。
ここから先はP2Pを通じてダウンロードしたPull型。
業務用のPCにP2Pを入れるなど言語道断というのは脇において、.exeファイルを実行しなければ実害は無いでしょう。クリックして実行するバカは自業自得と。
ここの辺りで騒ぎになっています、探せば更に古い記事があるでしょう。
「Nyaaでウィルス入ファイルが増殖中 まさか引っかかった馬鹿は嫌儲にいないよな」
http://fox.2ch.net/test/read.cgi/poverty/1409237251/
因みに Axdecrypt.exeは暗号復号プログラムで、暗号化ファイルの拡張子は .axx。同じパッケージに復号プログラムが入っていたのでは、暗号化の意味がありませんね。

全く別次元の問題が合わさっていますので、統計も意味を持ちませんし、それを理解もせずに記事にしてしまう、日経の記者のレベルが疑われます。
  1. 2014-11-24 02:05
  2. URL
  3. fcq821 #/lkjinTE
  4. 編集

Re: 前半と後半で無関係ではないですか?

> こんばんわ。
>
> >攻撃が行われたホテルに、同社の研究者がおとりのマシンを持って宿泊した際には攻撃されることはなかったとしている。
> 前半のここまでは、インストールを要求するPush型。
> 但し Wi-Fiのセキュリティ管理が甘ければ、一概にコストが掛かるとも言い切れません。
> ホテルのルーターの内側では、家庭内LANと同様に、別室の顧客同士で通信できてしまうことが、嘗て問題になったことがありますので、今も問題を残したホテルがあるかもしれません。
> 信用できない環境では、無闇にダウンロードやアップデートしないのが賢明でしょう。
>
> >だが最近では、Darkhotelのウイルスを使った無差別攻撃も確認されている。
> ここから先はP2Pを通じてダウンロードしたPull型。
> 業務用のPCにP2Pを入れるなど言語道断というのは脇において、.exeファイルを実行しなければ実害は無いでしょう。クリックして実行するバカは自業自得と。
> ここの辺りで騒ぎになっています、探せば更に古い記事があるでしょう。
> 「Nyaaでウィルス入ファイルが増殖中 まさか引っかかった馬鹿は嫌儲にいないよな」
> http://fox.2ch.net/test/read.cgi/poverty/1409237251/
> 因みに Axdecrypt.exeは暗号復号プログラムで、暗号化ファイルの拡張子は .axx。同じパッケージに復号プログラムが入っていたのでは、暗号化の意味がありませんね。
>
> 全く別次元の問題が合わさっていますので、統計も意味を持ちませんし、それを理解もせずに記事にしてしまう、日経の記者のレベルが疑われます。


確かにご指摘のようにこの記事矛盾が有ります。
本文で紹介してあるようにカスペルスキーの記事は二つありまして、一つ目は日本向けと思われる書き方。
二つ目は一般世界向けの書き方の様です。
問題のマルウエアは一筋縄ではいかないのでこんな書き方になったんでしょう。

私には自社に内部に可笑しなのがいて情報を流す、そこが問題だと思いますね。
例えばある人の秘書がそのある人の出張先の宿泊ホテル名を車内にいるスパイに流す。
スパイからそれを聞いて、悪い奴がそのホテルで待ち伏せ攻撃する。
こんなシナリオがあり得ます。

この記事は日本人に注意喚起する意味と理解すべきではないでしょうか。
  1. 2014-11-24 18:19
  2. URL
  3. 短足おじさん二世 #-
  4. 編集

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2014-11-25 03:00
  2. #
  3. 編集

Re: 昔の実験から思うこと。

貴重なお話、有難うございます。
矢張り危険を避けるためには自分で接続できる手段を持つしかないという事ですね。
私も以前はメール用にモバイル・ルーターを持っていたんですが、日本では使えても海外では駄目。
今は使っていません。
私自身はガラパゴス人間ですから、まあそれで押し通そうと思っていますが、何時まで其れが続きますか・・・

矢張りご指摘のようにポータブル・ルーター位は持ってないといけないんでしょうね。
  1. 2014-11-25 17:36
  2. URL
  3. 短足おじさん二世 #-
  4. 編集

コメントの投稿

管理者にだけ表示を許可する