悪意を持って有害な動作をするプログラムであるマルウェア。
その中には、リモートアクセスを行う仕組みを悪用したものも存在し、RATとも呼ばれます。
名前の通り、感染した端末を遠隔操作で操ることで大きな被害につなげるサイバー攻撃です。
RATの中でも、国内外で大きな被害がでたものとして名前が上がってくるのがPlugXです。
アメリカでの政府系機関を狙った標的型攻撃で確認され、国内での大手旅行会社の情報流出の発端となったとされています。
本記事では、PlugXについて、その概要や被害事例、対策について解説します。
また、PlugXやEmotetといった多くのマルウェアの感染経路となる標的型攻撃メールについて、基礎知識から事例・対策まで網羅的した解説書資料を無料で配布しています。
また、PlugXやEmotetといった多くのマルウェアの感染経路となる標的型攻撃メールについて、こちらの記事で解説しております。あわせてお読みください。
PlugXとは
「PlugX」とは標的型攻撃で使用される「Remote Access Tool(RAT)」の名称の1つです。
政府系機関や主要産業機関を狙ったサイバー攻撃において確認されており、その後はターゲットの規模に関わらず利用されていることが確認されています。
※RATはRemote Administration Tool、Remote Access Trojanと表記される場合もあります。
最初にPlugXという名称としては、2012年6月に初めて確認されています。
それ以前に標的型攻撃にて利用されたRATとも似ており、その後もアップデートが続けられたとみられるものです。別名としてKorplug、Gulpixと呼ばれることもあります。
RATとは、ユーザがコンピュータの遠隔操作を行うためのツールです。
RATそのものはもともと不正な利用を目的としたものではなく、デスクトップ共有からリモート管理や不在通知まで用途は様々です。
しかし、不正コードを挿入したRATはユーザに気づかれることなく不正な動作をすることができ、サイバー攻撃に多く利用されてしまいました。
そのため、今日ではトロイの木馬型マルウェアやバックドア型マルウェアを示すことが多くなってしまっています。
RATは侵入したコンピュータ内でユーザの許可や承認を得ることなく、以下のような動作を行います。
- ファイルのコピー、作成、変更、開封
- キー入力操作情報や実行中ウィンドウの記録
- 使用中ユーザのログオフ、侵入したコンピュータの再起動
- レジストリ値の作成、変更、削除
- ユーザ活動を動画やスクリーンショットとして記録
- 各種接続の設定
- プロセスの強制終了
さらには攻撃を目的としたリモート接続に対し、フルコントロール権限を与えてしまうことにもなります。
※本記事で扱うマルウェアPlugXは株式会社地理情報開発のツール群PlugX(R)シリーズとは無関係です。
PlugXの感染フローとは
PlugXへの感染の発端となるのは、主に標的型攻撃メールによるものです。
スピアフィッシングとも呼ばれており、受信者が興味を持ち添付ファイルを開かざるを得ない内容のメールを送ってきます。
メールの受信者が添付ファイルを開いた際に、Adobe Acrobat ReaderやMicrosoft Officeの脆弱性を利用して端末に侵入する場合が多く報告されています。
PlugXの感染のフローをまとめると下記となります。
- スピアフィッシングの標的型攻撃メールを受信
- 不正な添付ファイルを展開させ、PlugXを実行させる
- PlugXが不正なコンポーネントを作成し、端末上にプロセスを作成して不正な動作をする
標的型攻撃メール(スピアフィッシング)では、ソーシャルエンジニアリングの手法を用いてメールの文面を作成します。例えば、あらかじめ企業のメールを盗み出したうえで文面を似せて送付するため、社内の用語などが含まれ、判別が難しいこともしばしばあります。
PlugXのに感染した端末は、トロイの木馬などのバックドア型マルウェアの手法で遠隔操作が可能となってしまいます。外部の攻撃者によって完全にコントロールされた状態までが起き得るのです。
標的型攻撃メールについては、こちらの記事もご覧ください。
PlugXの被害事例
国内では2016年に旅行業大手JTBからパスポート番号を含む個人情報が流出した事件が発生しています。被害者数は678万人にのぼり、その被害規模から社会的なニュースとなりました。
この件では、その発端となったマルウェアはPlugX(とELIRKS)と推測されています。
PlugXによる遠隔操作によって個人情報の抽出が行われるという直接的な被害に繋がっています。
2014年に台湾、シンガポールでは正式発売に至ったオンラインゲームのダウンロードモジュールの改ざんによって、PlugXの感染が広がる問題も発生しています。
PlugXを利用したサイバー犯罪者は、アジア周辺を狙っていることがうかがわれます。
PlugXにはどのように対策すればよいか
それでは、PlugXに感染しないためには、どのような対策を行うべきでしょうか。
本項では、具体的な対策について記載します。
これはPlugXに限らず、標的型攻撃メールとマルウェアの組み合わせによるサイバー攻撃に対する一般的な対策でもあります。
不審なメールは開かない
送信元が不明なメール、特にファイルが添付されているメールは開かないようにしましょう。
本文中にリンクが含まれているメールについては、むやみにクリックするのも危険です。
メールを開いたり読んだりするだけで感染する場合もあるので注意が必要となります。
ただし、標的型攻撃メールの場合は巧妙に文面も作られており、全てを防ぐのは難しいとされています。そのため、以降の対策を組み合わせて行う必要があります。
最新のセキュリティ修正適用
OSやソフトウェアのセキュリティアップデートを適用し、最新化を行いましょう。
攻撃者がコンピュータに侵入しようとする際、OSやソフトウェアの脆弱性を利用する事例が見うけられます。
最新版へのアップデートを行うことで、脆弱性への対応を行えるため不可欠の対策の一つです。
特に利用者が多いツールが狙われやすく、Adobe Acrobat ReaderやMicrosoft Officeの脆弱性が狙われた事例があります。
社内へのPlugX脅威の周知
サイバー攻撃に対する一つの対策として、攻撃の内容を知っておくことも大切です。
PlugXの情報を社内および関連会社に確実に共有しておきましょう。
最悪の場合でも、サイバー攻撃と知っていれば素早い対処に繋がります。
PlugXに限らず、脅威に関する情報が共有されていることが、攻撃を未然に防ぐ上でも非常に有効となります。
どのような点に注意すべきか等の注意事項を、組織内のすべてのメンバーと共有する仕組みを作り上げることが、組織としての対策となります。
ウイルス対策ソフトの導入
ウイルス対策ソフトの導入によって、PlugXの被害にあう可能性を低減できます。
導入においては、会社や組織全体のレベルで揃って行うことが必要です。
過去に発生したマルウェアはウイルス対策ソフトの定義ファイルに登録されており、脅威を未然に阻止できる可能性を高めることができます。
また、導入時に常に定義ファイルは最新にする運用を作り上げておく必要があります。
まとめ
PlugXは遠隔操作を行うRATというマルウェアの一種です。
感染してしまった場合には、遠隔操作によりユーザの予期しない操作を端末上で行われてしまい、情報漏えいなどの被害が起きた事例もあります。
PlugXへの感染の経路は、主に標的型攻撃メールの添付ファイルの開封によるものです。
不審な送信元からのメールを開かないというユーザによる対策と、セキュリティアップデートの適用、ウイルス対策ソフトの導入と最新化というシステム的な対策を組み合わせて行いましょう。
標的型攻撃メールについてはこちらの記事で詳しく解説しています。あわせてお読みください。
