Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか

医療業界を狙い、トロイの木馬「Kwampirs」を拡散する攻撃グループ「Orangeworm」が確認された。

シマンテックが明らかにしたもので、米国、ヨーロッパ、アジアなど広い地域の医療関係者を対象としており、少なくとも2015年1月より活動しているという。

20180424_sy_001.jpg
被害端末の分布。グローバル企業の感染により、多くの国で感染が確認された(グラフ:シマンテック)

同グループは、リモートよりコマンド操作が可能となるバックドア型のトロイの木馬「Kwampirs」を感染させることを目的に攻撃を展開。同社では、4月23日にもあらたな亜種を観測している。

感染被害者の国別の分布を見ると、米国が17%で最多。インドとサウジアラビアがいずれも7%、フィリピン、ハンガリー、英国が5%と続く。

日本も2%の感染が観測された。被害者に大手グローバル企業が存在したことから、広い地域で被害が観測されたとしている。

攻撃グループの動機はわかっておらず、国家が関与している形跡も発見されていないという。一方で、攻撃対象を闇雲にしていることもなく、周到な準備の上で攻撃を展開していると同社では分析。

20180424_sy_002.jpg
感染被害が発生していた業界の割合

被害者の業種を見ると39%を医療関係者が占める。さらに製造業、情報技術、農業、ロジスティックスなどでも被害が確認された。

医療関係者以外、関連性が希薄に見える業種も、最終的な目的である医療関係者への攻撃を成功させるため、周辺業界が狙われた可能性がある。

実際にサプライチェーンとして製薬会社、医療向けITベンダー、医療機器メーカーなど関連業界に標的型攻撃が展開されたことも判明しているという。

マルウェアは、レントゲンやMRIなどの医療用画像を処理するソフトウェアなどが稼働する機器上で見つかったほか、医療事務に用いる機器なども狙われていた。

感染するとシステムやネットワークなどの情報を収集するほか、ファイル共有に自身をコピーして拡散する機能なども備えていた。

さらに外部とのコマンド&コントロールサーバとの通信を試みるなど、派手な攻撃が目立ち、シマンテックでは、ひと昔前の手口であると指摘している。

こうした攻撃手法について同社は、「Windows XP」などレガシーシステムでは有効な手段であると説明。医療業界では古いOSが依然として稼働しているケースが少なくないことから、攻撃手法として利用されているのではないかと分析している。

(Security NEXT - 2018/04/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

顧客へのアクセス権限持つMSP、APT攻撃の標的に - 米政府が警鐘
北朝鮮攻撃グループ、偽「仮想通貨取引ソフト」をばらまく攻撃か - 「macOS」をはじめて標的に
工場向け産業用IoT機器、導入時の注意点は? - JPCERT/CCが解説
ブロックチェーンの社会実装に必要な技術や法的課題を整理 - 経産省
政府、今後3年間の「サイバーセキュリティ戦略」を閣議決定
政府、今後3年間のサイバーセキュリティ戦略案 - パブコメ実施
スマートファクトリーのセキュリティ対策評価フレームワークを開発 - KPMG
産業分野のサイバーセキュリティで日独連携 - 検討成果が明らかに
総務省と経産省、連携チームの成果を公表 - セキュリティ税制など
経産省、IoT社会を視野にいれた産業界向けセキュリティフレームワーク - パブコメ実施