Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は

新型コロナウイルス感染症のワクチンなど知的財産を狙い、ロシアが関与するとされる攻撃グループ「APT 29」が展開するとされるサイバー攻撃。攻撃で使用されたマルウェアを2年前に最初に報告したラックに直近の国内感染動向を聞いた。

攻撃が明らかにされたのは、イギリス国家サイバーセキュリティセンター(NCSC)が公開したアドバイザリ。カナダ、米国との連名で発表された同アドバイザリには、攻撃に利用されたマルウェアのハッシュ値や、通信先のIPアドレスなど、「IoC(Indicators of Compromise)」情報が含まれる。

なかでも注目されるのが、2年以上前となる2018年に国内で報告されていたマルウェア「WellMess」が攻撃に利用されていたとの指摘だ。

同マルウェアは、開発言語に「Go」を用いており、新手のマルウェアとして6月にラックが報告。JPCERTコーディネーションセンターからも分析情報が公開された。「Go」以外にも「.NET」で開発された亜種が見つかっている。

同マルウェアを解析し、2018年にフランスで開催されたセキュリティカンファレンス「Botconf 2018」で発表を行ったラックのサイバー救急センターインシデントマネジメントグループでグループリーダーを務める石川芳浩氏と同グループ所属の長野晋一氏によると、同マルウェアを最初に国内で確認したのは、同社センターによる対応時で2018年1月末から2月初旬にかけてだったという。

(Security NEXT - 2020/07/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

富士フイルム、「ランサムウェア」感染と断定 - 身代金要求には応じず
欧州で拡散するAndroid狙うマルウェア「FluBot」 - 荷物追跡アプリ偽装
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起
「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に
ランサムウェア「Ryuk」にワーム化した新亜種
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
「Emotet」感染後の対応、「駆除」だけでは不十分
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場