中国の犯罪者、「Sykipot」の新種で米国防総省のスマートカード・システムを攻撃
アクティブ・アイデンティティ製のシステムが標的中国のサイバー犯罪者がマルウェア「Sykipot」の新種を使って、米国国防総省のスマートカード・システムに攻撃を仕掛けている――統合型SIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)ソリューションを提供する米国AlienVaultが、1月12日に発表した報告でそう指摘した。
AlienVaultによると、この新種のマルウェアは、米国ActivIdentityのクライアント・アプリケーション「ActivClient」が動作するスマートカード・リーダを悪用するように設計されているという。
ActivIdentityのスマートカードは、国防総省など多くの米国政府機関で組織内標準として採用されている。国防総省では、現役兵士、予備隊員、軍属、契約業者スタッフの識別に利用されている。
Sykipotの新種を使った攻撃では、従来種による攻撃と同様に、攻撃者は特定の標的を狙って電子メールを送りつけ、リンクをクリックさせて、Sykipotをマシンにダウンロードさせようとする。さらに、カード・リーダを備えたコンピュータを特定した後で、攻撃者はキー・ストローク・ロギング・ソフトウェアをインストールし、スマートカードとともに使われるPIN(個人識別番号)を盗もうとする。
「攻撃が成功した場合、カードがリーダに挿入されると、このマルウェアは認証されたユーザーとして振る舞い、機密情報にアクセスできる」と、AlienVaultのラボ・マネジャー、ジェイム・ブラスコ(Jaime Blasco)氏は説明している。「このマルウェアは攻撃者に管理されており、いつ、どのデータを盗むかを指示される」
これまでのところ、AlienVaultは、Windowsネイティブのx509ソフトウェアが動作するスマートカード・リーダに対する攻撃を検知している。このソフトウェアは多くの米国政府機関で一般に使われているとされる。
今回のSykipotの新種を作成したのは、2011年にSykipotのあるバージョンを作成した中国人グループと考えられている。このバージョンは、米国空軍が開発した次世代無人ミサイルに関する情報を装ったさまざまなスパム・メッセージを配信した。
ブラスコ氏は昨年、この従来種に関する調査報告で、Sykipotの背後にいるグループが、半導体、医療技術、航空宇宙技術などの情報を狙っている可能性を指摘した。
セキュリティ・コンサルティング会社の米国Mandiantは昨年発表したレポートで、アクセスするのにスマートカードとパスワードが必要なコンピュータやネットワークに攻撃者が不正侵入したいくつかの例を特定したと述べ、その手口を“スマートカード・プロキシ”と呼んでいる。
(Sophie Curtis/Techworld.com)
