“日本だけ”を狙ったマルウェアがある――サイバー攻撃の現状をアーバーが調査

「JTBで悪用されたマルウェアは、実は以前から世の中に出回っているマルウェア」。最近話題になっている、JTBの顧客情報流出事件についてこう語るのは、アーバーネットワークスのマーク・アイゼンバルト氏だ。

同氏によれば、「マルウェアを作るのも、C&Cサーバを構築するのもお金がかかる。そのため、マルウェアは再利用されることが多い」。

“日本だけ”を狙ったマルウェアがあるアイゼンバルト氏は、アーバーにおいてASERT（Arbor's Security Engineering & Response Team）というチームのリサーチマネージャーを務めている。ASERTは、インターネット上のトラフィックデータやセキュリティ・コミュニティから得た情報を解析し、ボットネットをトラッキングしたり、マルウェアを調査したり、DDoS攻撃／APT攻撃からISPネットワークや企業を守ったりしている。

そのASERTの調査によれば、2016年以降、日本を狙って行われたDDoS攻撃やAPT攻撃では、JTBのように既知のマルウェアが利用されていることが少なくない。その一例が「zeus」だ。これはボットネット「Zeus」に関連するマルウェアで、2000年代後半から長く悪用されている。

アーバーネットワークスによる調査結果。日本をターゲットとした「APT攻撃」「DDoS攻撃」「銀行を狙った攻撃」において利用されたマルウェアをその割合別に示している

また、銀行を狙うマルウェアにおいては、これまで米国で頻繁に利用されていたものが、日本の銀行もターゲットにするようになってきているという。

他方、「emdiv」「plugx」「elise」のように、日本だけを狙ったマルウェアもある。「emdivは、昨年日本年金機構や健康保険組合に仕掛けられたマルウェア」（アイゼンバルト氏）。そしてplugxやeliseは、アジアの特定の国が日本を攻撃する際に使っているマルウェアだ。