株式会社グローバルワイズ(本社:名古屋市中村区、代表取締役:東村 大介)は、弊社のパートナー企業であるドイツのセキュリティソフト会社G Data Software AG(本社:ボーフム市、代表取締役:フランク・ハイスラー他)が発見した新種マルウェア「ウロボロス」について、ここに報告します。「ウロボロス」は、 直接インターネットにつながっていないコンピュータから機密情報を盗み出す高度な仕組みをもったルートキットで、特に、大企業や官公庁の内部ネットワーク が攻撃される恐れがあります。くれぐれもご注意ください。


注 「ウロボロス」とは、古代ギリシアの文献にしばしば登場する、自らの尻尾を飲み込んでゆく蛇(竜)の図像のことです。今回のマルウェアは「Uroburos」と綴られますが、元来は「Uroboros」です。今回発見されたマルウェアのプログラムを解析したところ、コードの中に 「Ur0bUr()sGotyOu#」といったように、「Uroboros」の文字列が埋め込まれています。また、ルートキットのコードの中にも、 「inj_snake_Win32.dll」「inj_snake_Win64.dll」「snake_alloc」「snake_free」 「snake_modules_command」など、「蛇」(snake)の文字がいくつか登場します。

ルートキット「ウロボロス」の出現
G Dataセキュリティラボは2013年にこのマルウェアを発見し、これまで解析を進めてきました。その結果、このマルウェアがきわめて強力なルートキットであることをつきとめました。外部から情報を盗み出すスパイウェアが搭載されており、その挙動がすべて隠すことができるものです。しかも、インターネット に接続されていないマシンであっても、間接的にネットワークを通じて感染させることができるという特徴をもっています。プログラム設計のデザインや複雑さ から判断すると、これは、個々のネット犯罪者たちの仕業ではなく、2008年に米国へのサイバー攻撃に使われた「Agent.BTZ」というマルウェアを つくりだした組織のような、国家レベルの諜報機関によるものと推測されます。ターゲットは、米国とその同盟国の政府・官公庁や大企業など、厳重なキュリ ティ体制が敷かれている内部ネットワークの機密情報と考えられます。

2008年の米国へのサイバー攻撃
2008年秋に、国家機密情報が盗み出されるという、米国にとって史上最悪のサイバー攻撃がありました。当時は極秘にされ、後に明らかにされたことですが、中東にある米国の国防総省の施設の駐車場に残されていたUSBメモリを調べてみたところ、巧妙なマルウェアに感染していたことが分かりました。このマ ルウェアは「agent.btz」というワームでした。これはスパイウェア「SillyFDC」の亜種で、コンピュータのデータをスキャンして外部と自由にやりとりのできるバックドアを開き、そこを通じて遠隔操作を行い、サーバーをコントロールし、データを送りだします。この「agent.btz」は、 USBメモリを介して、最終的には、米国の中央司令部に置かれているラップトップコンピュータに侵入し情報を盗み出していました。米国はこのワームを駆除すべく「バックショット・ヤンキー作戦」を敢行しますが、軍事ネットワーク全体が健常化するのに、およそ14カ月もの歳月を費やしました。その状況をふま えて米国は「サイバー軍」を当時開設したのです。

ルートキット「ウロボロス」の仕組み
ウロボロスというルートキットは、ドライバー(.sys file)と暗号化された仮想ファイルシステム(.dat file).の2つのファイルから構成されています。感染するとマシンを外部から操られてしまい、さまざまなふるまいを可能にさせ、しかも気づかれずに情 報(ファイル)を盗み出すことが可能です。さらには、ネットワークのトラフィックを妨害することさえ可能です。モジュール構造は、簡単に新たな機能を組み込めるようになっており、大変巧妙で、洗練され、そして、危険性が高いものです。ドライバーの部分も非常に複雑であり、知られずに外部へ情報を流すことができ、検知するのも困難です。なお、ウロボロスは、32ビットまたは64ビットのウィンドウズ・システムで作動します。

なぜ諜報機関の関与が疑われるのか
ウロボロスのようなフレームワークを開発するためには、きわめて莫大な投資が必要です。ルートキットの構造や高度な設計を見ると、明らかに、非常に熟練したコンピュータの専門家が関与して開発されたと推測されます。しかも、ウロボロスをつくりだした組織とその開発者たちは、引き続き、まだ発見されていな い、より高度な亜種の作成にも取り組んでいると考えられます。

ウロボロスは、P2Pモードで動作するように設計されているので、相互に通信を行っているマシンが感染してしまうと、攻撃側は遠隔操作によってインター ネットに接続していないマシンに対しても命令を実行できるようになります。インターネットに接続しているマシンが1台あれば、マルウェアは、インターネッ トに接続していないマシンにも感染させることができるのです。つまり、本当のターゲットがインターネットに接続していなくても、ネットワーク内の他の、イ ンターネットに接続しているマシンを感染させれば、リレー形式で情報を盗み出せるのです。
プログラムの複雑さと諜報活動の巧妙さから推測すると、このルートキットは、政府や研究機関、大企業などをターゲットにしたものと思われます。こうした手口によって、一般的にはセキュリティが堅固であると言われている大企業や公的機関のネットワーク内にあるマシンの情報も盗み出すことが可能になるからで す。

ロシアによる米国への攻撃の可能性
マルウェアを収集分析し、研究した結果から、ウロボロスによる攻撃は、不特定の個人をターゲットにしたものではなく、知名度の高い企業、国家、諜報機関な どを目標としていると考えられます。ウロボロスの開発者たちのことは、ファイル名、暗号鍵、ふるまいなど、技術的な面を検討すればするほど、 「agent.BTZ」というマルウェアを使って2008年に米国に対するサイバー攻撃を行ったグループとの共通性が見出されます。その証拠の一つは、ウロボロスが、感染させたマシン内の「agent.BTZ」の有無を確かめ、もしもインストールされていたのなら、非アクティブにすることですまた、ウロボロスの作者がロシア語を使っていることも、「agent.BTZ」との関係を裏付けます。

ウロボロスの危険性
ウロボロスは、これまで分析したなかで、最高レベルのルートキットの一つです。もっとも古いドライバーで2011年にコンパイルされているので、おそらく少なくとも3年間は発見されないままだったということです。なお、現在の調査段階では、どのようにウロボロスがネットワークに侵入するのかは充分には分かっていません。今のところ、USBメモリを使ったものが発見されていますが、以後、考えられるのは、スピアフィッシング、ドライブバイ感染、またはソー シャルエンジニアリング攻撃など、多くの感染経路が考えられます。関連情報を求めていますので、何かお気づきの点がありましたら、G Dataのセキュリティラボにお問い合わせください(E-Mail: )。

さらなる情報につきましては、以下のURL先を参照ください。
https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

****

問い合わせ先
本公開内容に関するお問い合わせについては、下記までお願いします。

 株式会社グローバルワイズ www.g-wise.co.jp
 セキュリティソリューション推進室 浦瀬・山本
 〒450-0003 名古屋市中村区名駅南2-14-19  住友生命名古屋ビル21F
 TEL:  FAX:
 E-Mail: