日本が感染数世界一を誇るらしいマルウェア「Darkhotel」の件

山本一郎です。ホテルでも無料wi-fiは使わない派です。

ところで、ロシアを本拠にするセキュリティ対策企業のカスペルスキー(Kaspersky Lab)が「Darkhotel」というサイバー攻撃手法の存在を発表しました。

Kaspersky Lab、ホテル宿泊者を標的にした攻撃「Darkhotel」を発見(カスペルスキー 14/11/10)

この攻撃者は少なくとも4年前からスパイ活動を続けており、アジア太平洋地域の高級ホテルに宿泊する企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者を主な標的とし、企業の機密情報を搾取しています。Darkhotelは現在も活動する極めて巧妙な標的型攻撃であり、感染すると高いリスクにさらされることになります。

出典:カスペルスキー

発表された内容はまさにスパイ映画のプロット同然の刺激的な内容であったこともあり、広く世界中で報道されたようです。正直、そりゃやるだろというレベルの話ですが、実際にロシアや中国、一部のアラブ諸国ではこの手の経路で入手された企業秘密を売買するためのブラックマーケットまで存在しており、いろんな意味で百鬼夜行の趣があります。

Cybercrime Gang Targets Execs Using Hotel Internet(WSJ 14/11/10)

http://arstechnica.com/security/2014/11/darkhotel-uses-bogus-crypto-certificates-to-snare-wi-fi-connected-execs/(Ars Technica 14/11/11)

当然ではありますが日本国内でもこの件は注目を集め報道されましたが、驚くべきは、このDarkhotelマルウェアに最も多く感染している国は日本だったということです。

感染の2/3は日本:ホテルのWi-Fiを標的にしたマルウェア攻撃「ダークホテル」(WIRED.jp 14/11/12)

Kaspersky Lab社による詳細な報告(PDF)によれば、P2P経由でDarkhotelマルウェアに感染した件数の多い上位5カ国は、日本、台湾、中国、ロシア、韓国となっている。Darkhotel攻撃の標的となった数の統計は困難だとしているが、インドが最多という推計も掲載している。

出典:WIRED.jp

ここでやや謎に思うことは、カスペルスキーがどうやってこうした状況を調査しているのかが具体的に明らかにされていないことです。まあ、そのあたりは社外秘であり公言できないというのはあるのかもしれません。しかしながら調査手法は極秘としても、最も数多く感染している当事者たる日本向けのリリースにおいて、そうした事実に一切触れていないというのはやや不自然だと感じてしまいます。なぜなんでしょうか。魚心あれば水心あり、そこはカスペルスキーの瞳を見て嘘をつく人たちかどうかを判断するしか方法は無いのかもしれません。

それはさておき、WIRED.jpの記事によると、このDarkhotelマルウェアの配布手法そのものは、何も高級ホテルに宿泊する企業幹部のような人物だけに向けて狙い撃ちするのではなく、P2Pネットワークなどに流通する違法コピーコンテンツなどに仕込まれて無差別に感染させている状況にあるようです。

ある意味でレトロ、しかし確実な手法だよねということではあります。

2013年11月にBitTorrentにアップされた、マルウェアが仕込まれた日本の漫画は、半年で30,000回以上ダウンロードされたという。

出典:WIRED.jp

つまり、統計データだけを見ると日本での感染率が際だって高いわけですが、その実態は違法コピーされたマンガ等がすごい勢いで流通した結果、多くの人がマルウェアに感染したということのようです。だとすれば、必ずしも高級ホテルに泊まって感染した数が日本で多いということではないと解釈できそうです。もっとも、P2Pから違法コピーのマンガを拾ってきて感染するというのも格好悪い話でして、それだけ無防備にP2Pを利用している日本人ユーザーが多いといことなのでしょうか。そんな油断から日本の機密情報が外へダダ漏れすることになるのだとしたら、悔やんでも悔やみきれない話でもあります。

なお、Darkhotelの攻撃者が何者なのかについては以下のような情報も出ております。

「解析されたマルウェアのコードから、攻撃者が韓国語を話す人物であることが特定」されているという。WIRED記事(英文)は、韓国との結びつきを示すいくつかの要素を紹介している。また、高度な攻撃であることから、国家の関与が考えられるとも指摘している。

出典:WIRED.jp

こうした情報が出たとき、それぞれのメディアがどう伝えるかを比較するのはなかなか楽しいものですが、さすが産経はひと味違いました。

日本の高級ホテルWiFiで宿泊客端末から情報窃取 「朝鮮語使う」攻撃者(産経ニュース 14/11/13)

同研究所によると、攻撃者は韓国語か朝鮮語を使う人物で、企業幹部らの宿泊予定をあらかじめ把握しているもよう。

出典:産経ニュース

いやあ、さすがは産経、期待を裏切りませんね(褒め言葉)。

今回のDarkhotel報道で、わざわざ「韓国語か朝鮮語」という書き方をしたのはおそらく産経だけではないかと思われます。この辺りも読者層を考えてのこだわりということなんでしょうか。

一方、我が国では続発する官公庁向けのサイバー攻撃に対処するため、NECがサイバーセキュリティ方面の投資を進めるというニュースが入ってきました。

NECがサイバーセキュリティで2500億円、要員も倍増へ(日経ITpro 14/11/19)

結構本気で皆さんには頑張ってほしいものであります。