Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか

医療業界を狙い、トロイの木馬「Kwampirs」を拡散する攻撃グループ「Orangeworm」が確認された。

シマンテックが明らかにしたもので、米国、ヨーロッパ、アジアなど広い地域の医療関係者を対象としており、少なくとも2015年1月より活動しているという。

20180424_sy_001.jpg
被害端末の分布。グローバル企業の感染により、多くの国で感染が確認された(グラフ:シマンテック)

同グループは、リモートよりコマンド操作が可能となるバックドア型のトロイの木馬「Kwampirs」を感染させることを目的に攻撃を展開。同社では、4月23日にもあらたな亜種を観測している。

感染被害者の国別の分布を見ると、米国が17%で最多。インドとサウジアラビアがいずれも7%、フィリピン、ハンガリー、英国が5%と続く。

日本も2%の感染が観測された。被害者に大手グローバル企業が存在したことから、広い地域で被害が観測されたとしている。

攻撃グループの動機はわかっておらず、国家が関与している形跡も発見されていないという。一方で、攻撃対象を闇雲にしていることもなく、周到な準備の上で攻撃を展開していると同社では分析。

20180424_sy_002.jpg
感染被害が発生していた業界の割合

被害者の業種を見ると39%を医療関係者が占める。さらに製造業、情報技術、農業、ロジスティックスなどでも被害が確認された。

医療関係者以外、関連性が希薄に見える業種も、最終的な目的である医療関係者への攻撃を成功させるため、周辺業界が狙われた可能性がある。

実際にサプライチェーンとして製薬会社、医療向けITベンダー、医療機器メーカーなど関連業界に標的型攻撃が展開されたことも判明しているという。

マルウェアは、レントゲンやMRIなどの医療用画像を処理するソフトウェアなどが稼働する機器上で見つかったほか、医療事務に用いる機器なども狙われていた。

感染するとシステムやネットワークなどの情報を収集するほか、ファイル共有に自身をコピーして拡散する機能なども備えていた。

さらに外部とのコマンド&コントロールサーバとの通信を試みるなど、派手な攻撃が目立ち、シマンテックでは、ひと昔前の手口であると指摘している。

こうした攻撃手法について同社は、「Windows XP」などレガシーシステムでは有効な手段であると説明。医療業界では古いOSが依然として稼働しているケースが少なくないことから、攻撃手法として利用されているのではないかと分析している。

(Security NEXT - 2018/04/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

産業分野のサイバーセキュリティで日独連携 - 検討成果が明らかに
総務省と経産省、連携チームの成果を公表 - セキュリティ税制など
経産省、IoT社会を視野にいれた産業界向けセキュリティフレームワーク - パブコメ実施
活発な動きを見せるイランの「Chafer」 - サプライチェーン上流を標的に
「FFRI yarai」に新版 - マルチテナント対応の管理コンソールを追加
経産省、産業サイバーセキュリティの関連政策を議論するWG設置
中小企業を対象としたセミナーが全国7カ所で開催
BlackBerry、コネクテッドカーのセキュリティでフレームワーク
「サイバーセキュリティ経営ガイドラインVer2.0」が公開 - 「攻撃検知」「復旧」前提に
サプライチェーンリスク、8割弱が認識 - 対策状況把握は「直接委託先のみ」が6割