プレスリリース

「プレスリリース」コーナーでは、企業や団体などのプレスリリース(報道用発表資料)をそのまま掲載しています。株式会社Impress Watchは、プレスリリース記載の内容を保証するものではありません。また、プレスリリース記載の情報は発表日現在の情報です。閲覧いただく時点では変更されている可能性がありますのでご注意ください

リモートアクセスツール「Poison Ivy」と使った不正アクセスが復活の兆し、FireEyeがレポート公開

(2013/8/29 18:00)

報道関係者各位

2013年8月29日
ファイア・アイ株式会社
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓

FireEye、リモート・アクセス・ツール「Poison Ivy」を使った
不正アクセスが復活の兆しを見せているとのレポートを公開

    ~Poison Ivyの感染を検出するツールも無償で提供~

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
高度なサイバー攻撃の対策製品で業界をリードするファイア・アイ(FireEye、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区)は8月20日(米国時間)、『Poison Ivy: Assessing Damage and Extracting Intelligence(Poison Ivy: 被害の評価と活動実態の解明)』と題するレポートを公開しました。 同レポートは、オリジナル版の登場から8年が経った現在も人気が高く、その効果を保っており、Fortune 1000企業の攻撃にも悪用されたマルウェアであるリモート・アクセス・ツール(RAT)「Poison Ivy」の復活に注目して解説した報告書です。また同レポートの発行にあわせ、コンピュータのPoison Ivy感染の有無を検出する無償ツールのパッケージ「Calamine」の提供を開始しました。

FireEyeの脅威インテリジェンス担当マネージャであるダリアン・キンドランド(Darien Kindlund)は、次のように述べています。「RATは、ハッカーにとっては自転車の補助輪のようなものなのでしょう。しかし、そのような考えでこの一般的なマルウェアを軽視していると、その代償は高くつくものになるかもしれません。RATはサイバー攻撃初心者向けのおもちゃだなどと評される一方、多くの高度なサイバー攻撃で重要な役割を果たしており、数限りないサイバー脅威の舞台に立つものに用いられているからです。Poison Ivyも、著名な企業を狙った何百もの攻撃で利用されていることが確認されています。」

Poison Ivyは、よく知られた複数のマルウェア攻撃で使用されていますが、その中でも特に有名なものが2011年に発生したRSA SecurityのSecurIDデータに対する攻撃です。またPoison Ivyは、同年に行われた、化学メーカーや官公庁、防衛関連企業、人権団体に対する協調攻撃「Nitro」でも使用されていました。

今回FireEyeが公開したレポートでは、Poison Ivyを使用している複数の国民国家を背景とした下記を含む攻撃者を特定しています。

- admin@338: 2008年から活動しているadmin@338は、主に金融サービス企業を標的としていますが、FireEyeは通信事業者や官公庁、防衛関連企業に対する攻撃も確認しています。
- th3bug: 2009年に初めて存在が確認されたth3bugについて、FireEyeは高等教育機関やヘルスケア業界を中心に、さまざまな業種の組織への攻撃を確認しています。
- menuPass: 2009年に初めて確認されたmenuPassは、FireEyeの調査によって、米国およびその他の国の防衛関連企業を標的にしているものと推定されています。

レポートと同時に公開された「Calamine」パッケージを使用すると、Poison Ivyを利用した攻撃の痕跡を探し出すことができます。痕跡には、Poison Ivyプロセスのミューテックスとパスワード、外部へのデータ送信やネットワーク内での移動を示すデコードされたコマンド&コントロール用のトラフィック、Poison Ivyのマルウェア活動のタイムラインなどがあります。レポートでは、「Calamine」パッケージがどのようにしてこれらの情報と攻撃の別の側面とを結びつけるかについて解説しています。

このような痕跡は、同じような特徴を示す複数の攻撃と関連付けられた時に真価を発揮します。細部に関する情報と大局的な情報の組み合わせは、攻撃者のプロファイリングとセキュリティ対策の強化に役立ちます。

本レポート(英文)は、http://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf からダウンロードしていただけます。

本件についてのブログ・サマリー(英文)および、「Calamine」パッケージのダウンロードについては、http://www.fireeye.com/blog/technical/targeted-attack/2013/08/pivy-assessing-damage-and-extracting-intel.html をご覧ください。

またPoison Ivyの概要や検知方法について解説するFireEye Labsのオンライン・セミナー(英語)に参加される場合は、http://www2.fireeye.com/combatting-poison-ivy-attacks.htmlをご覧ください。

FireEyeについて

FireEyeは、次世代のサイバー攻撃をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを提供するリーディング・カンパニーです。FireEyeのソリューションは、世界中の民間企業や官公庁に導入されています。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、多くのネットワークに導入されているシグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。FireEyeプラットフォームは、シグネチャを利用することなくリアルタイムかつダイナミックに脅威を防御でき、正確性やネットワーク・パフォーマンスにも優れています。FireEyeプラットフォームの核となる仮想実行エンジンは、Web、電子メール、ファイル・システムという3つの主要な攻撃経路にわたって情報資産を保護します。FireEyeのソリューションは、2012年12月31日時点で世界40か国以上の900を超える組織に導入されており、Fortune 500企業の100社以上で利用されています。