北朝鮮が各国の企業やインフラを狙ったサイバー攻撃を仕掛けているとされる問題で、米セキュリティ機関のUS-CERTは11月14日、こうした攻撃に使われているトロイの木馬型マルウェア「Volgmer」に関連するIPアドレスなどの詳細を突き止めたと発表した。

米政府は北朝鮮による一連の攻撃を「HIDDEN COBRA」と命名し、国土安全保障省（DHS）や連邦捜査局（FBI）が捜査を続けている。今回は北朝鮮によるサイバー攻撃阻止に役立ててもらう目的で、攻撃に使われているIPアドレスの一覧を公表した。攻撃側はこのIPアドレスを使って狙った組織のネットワークに潜伏し、さらなる悪用の機会をうかがっているという。

US-CERTによれば、Volgmerは不正侵入したシステムに密かにアクセスできるバックドアの機能を備えたマルウェアで、HIDDEN COBRAは少なくとも2013年からVolgmerを使って政府機関や金融、自動車、メディアなどの企業を標的にしていたという。感染の手口としては、主にスピアフィッシングが使われているほか、複数のカスタムツールも利用している。

Volgmerは狙った組織のシステムに感染すると、TCP経由で制御用サーバと通信して、システム情報の収集、ファイルのアップロードとダウンロード、コマンドの実行などを行う。被害組織のシステムに「サービスとしてのマルウェア」をインストールして常駐することもあり、被害組織ではセンシティブな情報や社外秘情報が流出したり、業務に支障が出たりして損害を被る可能性がある。

FBIなどがVolgmerのインフラを分析した結果、少なくとも94の固定IPアドレスと、複数の動的IPアドレスが使われていることが判明した。動的IPアドレスはインドを筆頭に、イラン、パキスタン、サウジアラビア、台湾など、主にアジアや中東の国で登録されていることが分かった。

US-CERTのアラートでは、Volgmerが使っているIPアドレスなど、感染の兆候となる情報や特徴を公開。組織に対しては、割り当てられたIPアドレススペースやログなどを確認して、もしVolgmerの兆候が見つかった場合は、対策を講じるよう促している。

Copyright © ITmedia, Inc. All Rights Reserved.