誰の仕業?世界を股にかけ国家機密を盗む一匹狼なスパイウェア「レッド・オクトーバー」が5年前から暗躍

誰の仕業?世界を股にかけ国家機密を盗む一匹狼なスパイウェア「レッド・オクトーバー」が5年前から暗躍 1

いや~地図でピンときた。

そんなこと言ったらカナダもアルゼンチンも怪しいけど。

StuxnetFlameなどのサイバー兵器だけで腹一杯な今日この頃ですが、なんとなんと5年前から世界中の政府・研究機関のコンピュータに侵入して諜報活動をしまくってるウイルスがあることが露カスペルスキー社の調べでわかりました。

名付けて「レッド・オクトーバー(Red October)」。ショーン・コネリーですね、はい。

レッド・オクトーバーが怖いのは、これだけの規模でありながら、Stuxnet、Flameのような国家の存在を伺わせる形跡が何ひとつないこと。フリーランスの仕業なんですね。それもプロ級の。

存在が勘付かれたのは最近になってからですが、ドメインネーム、実行コードから掘っ返した各種詳細から判断するに、機密収集は2007年には始まっていたようです。

ターゲットは米国・日本を含む世界中の著名機関で、東欧・中央アジアに集中しています。全部合わせたら結構な情報量だ...

レッド・オクトーバーはMS WordとMS Excelの脆弱性を突いてターゲットに侵入します。いったん感染するとその端末からコマンドサーバーにコールバックがゆき、20桁の被害者専用コードで署名したマルウェアのパッケージ(被害者用にカスタマイズされている)を取り寄せて、と。あとは政府機関、大使館、研究所、軍基地、発電所(原子力発電所・その他)から直接情報収集し放題。

5年も続ければこっそり仕入れる認証、ログイン情報も貯まるし、セキュリティを突破するのに必要なパスワードの推測で使えるヒントも増えますよね。これを使ってレッド・オクトーバーは機密情報のもっと奥まで入り込めるようになっているのです。

特にこれが危険と言われる理由のひとつは、感染して、情報を盗み、ワークステーションのキーの動きを記録(キーロギング)するだけで被害がとどまらないこと。感染したマシンに携帯を繋ぐと、マルウェアが携帯(iOS、Windows Mobile、Nokia)にまで侵入し、そこから連絡先・通話記録・メッセージ・ウェブ閲覧履歴のコピーが収集されてしまうのです。

さらに、法人用ネットワーク機器や外付けディスクドライブの情報も洗えるし、OutlookのストレージやPOP/IMAPのサーバーから全メールのデータベースもコピーできるし、独自のリカバリのメカニズムを駆使してUSBスティックから削除した情報まで拾えてしまう。

まさにトム・クランシーが処女作で描いたステルス推進システム装備のレッド・オクトーバーそのもので、一部の隙もありません。

「何を集めてるかはわかった。で、がやってるの?」それがさっぱりわからないんです。

カスペルスキーが言うにはたぶん中国起源。だけど、コードには一部ロシア語のスラングも混じってるので動かしてる人はロシア語のできる人かもって話。でもこんなの本当の起源を隠すためロシア語混ぜてるってことも有り得るし、わかんないよね。

見つかったコマンド& コントロールサーバーとドメインの所在地は、そのほとんどがドイツとロシアの国内・周辺地域ですが、なんせプロキシの鎖を多用してるので本当の拠点は隠れててわからないのが実情のようです。

規模と洗練度では国家プロジェクトに匹敵するウイルスなわけですが、国が絡んだとか国と協力した形跡は今のところ見つかっていません。サイバー小屋でトップシークレットの山に囲まれてる一匹狼の仕業なんですかね...。

犯人像も不明なら、犯行の目的も不明なんですね。国が資金援助してるんじゃないなら、単に個人が集めたくて集めてるだけなんでしょうか...。

因みに感染規模ではロシア(35)が最大ですが、アフガニスタン(10)、イラン(7)、米国(6)、スイス(5)も被害地域に入ってます。これだけ手広いのに情報が何に使われたのかは全く分かっていません。売ることだってできるし秘密の取り引きにも使えるのに。ただ黙ってその時(なんの時?)がくるのを待っているんでしょうか...

こうやって眺めてくると、大きなデスクの後ろにどっかり腰掛けて指で机をコツコツ弾き世界中の機密情報の山を眺めながら「さてどうするかな? 」と夢想に耽ってクックックッと薄気味悪く笑う顔のところにボカシの入った男をどうしても連想しちゃいますよね。映画の見過ぎか...

でも国家対国家のサイバー戦争の影で、巨人に劣らぬ技能を備えたフリーエージェント(FA)の飛脚が5年も暗躍していたんですから、当たらずとも遠からずな気もしますね。

Kaspersky]関連:カスペルスキー社、政府機関を狙う新種ウイルス「レッド・オクトーバー」の特定に成功

Eric Limer(原文/satomi)