G Dataがベルギー外務省を攻撃したスパイウェアを「ウロボロス」と特定

2014年5月20日

内外のマスコミが報道しているように、ベルギーの外務大臣であるディディエ・レンデルスが5月12日のEU外相理事会で述べたところによると、2014年 5月上旬にスパイウェア「ウロボロス」が外務省のコンピュータ・ネットワークを襲い、ウクライナ危機に関する情報や文書が外部に持ち出されました。

G Dataセキュリティラボでは2014年2月に、きわめて複雑かつ巧妙なルートキットを発見し、プログラム内に含まれていた文字列やその高度な技術力と自律性からそれを「ウロボロス」と命名していましたが、今回の攻撃に用いられたマルウェアと「ウロボロス」とがほぼ同型のものであると考えます。

　＊「ウロボロス」の詳細については、2014年3月15日に発表した、
　　以下の記事を参照してください。

　　新たな高度ルートキット「ウロボロス」発見される（グローバルワイズ）
　　http://www.g-wise.co.jp/ir/pdf/press20140305.pdf

「ウロボロス」は、ドライバーと暗号化された仮想ファイルシステムといった、2つのファイルから構成されています。このマルウェアを使うことで、攻撃者は感染させたPCをコントロールし、プログラムを走らせているにもかかわらず表向きはその挙動を隠すことが可能となります。また、インターネットに直接接続していなくても感染可能であり、感染力がきわめて高いのも特徴です。

なお、ウロボロスの基本機能は、データを盗み出し、ネットワークのデータトラフィックを傍受することであるため、「スパイウェア」に分類が可能ですが、それだけではなく、あとからマルウェアに別な機能を追加することができるようにモジュラー設計が施されています。こうした柔軟性と拡張性があることからG Dataセキュリティラボは、このマルウェアをより高度で巧妙な「ルートキット」に分類しています。

また、さらに遡ると、ファイル名や暗号化手法、そしてマルウェアの挙動など技術的観点からみて、「ウロボロス」は、2008年に米国に対して実行されたサイバー攻撃に用いられたマルウェア（＝Agent.BTZ）との類似性が高く、これらが同じ組織でつくられた可能性もきわめて高いと考えられます。

一般ユーザーを攻撃するのにこれほど高度なマルウェアは必要とされませんので、「ウロボロス」は、大企業や官公庁などのネットワークを攻撃するために作成された、と考えるのが妥当です。また、プログラム内の文字列や言語の設定などからみると、ロシア語に通じている人たちがかかわっていることも疑いありません。したがって「ウロボロス」は、ロシア語圏の諜報機関でつくられたのではないか、とG Dataセキュリティラボは推定しています。

ジーデータソフトウェアについて
G Data Softwareは、1985年に創業し、1987年に世界初の個人向けウイルス対策ソフトを開発したドイツのセキュリティソフトウェア会社です。最大の特徴は、世界最高位のウイルス検出率。既知ウイルスはもちろんのこと、新種や未知ウイルスの防御、フィッシング対策、オンラインバンキング対策、スパム対策など、インターネットやメール環境を、安全・快適にする機能を豊富に搭載しています。現在は、Windows PCにかぎらずMacやAndroid端末向けのセキュリティソフトも開発しています。

【お問い合わせ先】

株式会社グローバルワイズ　http://www.g-wise.co.jp/
セキュリティソリューション推進室　浦瀬・山本
〒450-0003　名古屋市中村区名駅南2-14-19 　住友生命名古屋ビル21F
TEL：052-581-2600　　FAX：052-533-3611
E-Mail: pr_gdata@g-wise.co.jp

株式会社グローバルワイズの企業情報

株式会社グローバルワイズのプレスリリース