日本の組織を狙い撃ちにしたマルウェア「LODEINFO」

2019年12月、日本の組織を狙い撃ちにしていると見られる新たなマルウェア「LODEINFO(ロードインフォ)」の存在が確認されました。このマルウェアはメールに添付されたWordやExcelのファイルの中に潜み、メールを受け取ったユーザーがマクロを有効化してファイルを開いた時点で端末に感染します。

この添付ファイルは当初は「外務省補助金で謳われていた.doc」というファイル名で、国際政治学者のインタビュー記事に関する内容が記されていました。しかしその後は「新型コロナウイルス」「日韓外交」「履歴書・エントリーシート」など、より身近なテーマを扱ったドキュメントの体裁を装うようになりました。これらのファイルを開き、その中にある「コンテンツの有効化」などの表示をクリックしてマクロが有効化されると、マルウェアに感染する仕組みになっています。

こうして端末に感染したLODEINFOは、C&Cサーバとの間でHTTPプロトコルを通じてデータを送受信し、感染先から抜き取ったシステム情報などをサーバに送信したり、逆にサーバから命令を受け取って実行したりします。具体的には、C&Cサーバから送られてきたコマンドに応じて「PE(Portable Executable)ファイルの実行」「ファイルのアップロード・ダウンロード」「画面キャプチャの取得・送信」「プロセスの停止」「ファイル削除」などの処理を実行し、情報を搾取したり環境を破壊するといった被害をもたらします。

現在、日本国内のメディア系企業やシンクタンク系企業、公共団体、防衛関連団体などにLODEINFOの感染を狙ったメールが届いていることが確認されており、実際に被害を受けたケースも増えてきています。一方、海外で同様の手口が使われたという報告は今のところなく、やはり日本の組織を狙い撃ちにした攻撃である可能性が高いと見られています。

急速なバージョンアップと機能強化を続ける

LODEINFOは、その存在が初めて確認された後も急速な勢いで進化を続けており、2019年12月から半年間の間で少なくとも6回のバージョンアップを行っています。前述したように、添付ファイルの名前や内容がより巧妙になったほか、C&Cサーバとの間で情報をやりとりする際のデータフォーマットも一部変更されています。またLODEINFO本体を起動する方法も、2020年4月に確認されたバージョンアップでは改良が見られます。

中でも最も気になるバージョンアップは、新規コマンドの追加です。バージョンアップのたびにC&Cサーバから受け取るコマンドの種類が少しずつ増えていますが、2020年5月に確認されたバージョンでは「ransom」という名前のコマンドが追加されています。これは言うまでなく、ランサムウェアのダウンロードや実行を指示するコマンドだと推測されます。

2020年6月時点の最新バージョン「v0.3.6」では、ransomコマンドはコマンドのインタフェースだけが用意されている状態で、処理はまだ実装されていません。しかし将来的には、LODEINFOがランサムウェアの機能を取り込むことも十分に考えられます。

また同じく、現時点ではまだインタフェースだけで中身はないものの、「keylog」というコマンドが追加されているのも気になるところです。これも、将来的なキーロギング機能の追加を示唆するものと思われ、今後のLODEINFOのバージョンアップと機能強化には大いに注意を払っていく必要があります。

LODEINFOの攻撃に備えるためにやっておくべきこと

このように、今後ますます脅威が増してくると予想されるLODEINFOの被害を防ぐには、一体どんな手を打っておけばいいのでしょうか。冒頭でも説明した通り、LODEINFOはWordやExcelのマクロを使って感染を試みます。そのためまずは、Microsoft Officeのマクロ機能を無効化しておくことが第一歩となります。

その上で、不審なメールや添付ファイルを決して開封しないよう、従業員にあらためて周知徹底する必要があります。この攻撃は日本の組織に的を絞っており、添付ファイルの名前や内容も自然な日本語で記述されているため、従来のメール攻撃より引っかかってしまう可能性がはるかに高いと考えられます。そこでごく一般的なフィッシングメール対策のガイドだけでなく、実際にLODEINFO攻撃で使われたメールや添付ファイルのサンプルを例示するなど、より具体的な情報を社内で共有しておくことをお勧めします。

もちろん、既存のセキュリティ製品を常に最新の状態に保ち、既知の脅威を確実に検知・除去できるようにしておかなければなりません。とはいえ、既に述べたようにLODEINFOは急速な勢いで進化を続けており、アンチウイルス製品に代表される「シグネチャファイルを用いたパターンマッチング処理」だけでは、最新バージョンの攻撃を検知できない可能性もあります。そこで複数の方式を用いて幾重にも渡って防御壁を張り巡らせ、LODEINFOの侵入や活動を確実に阻止しなくてはなりません。

弊社では、ふるまい検知やAI技術を活用して既知のマルウェアだけでなく未知のマルウェアも検知・除去できる次世代アンチウイルス製品Cybereason NGAV」と、万が一内部にマルウェアの侵入を許してしまった後も、端末内で不審な挙動を見せた瞬間に即座にその存在を検知できるEDR(Endpoint Detection and Response)製品Cybereason EDR」を提供しています。この両製品を組み合わせることで、LODEINFOの侵入を強固にブロックするとともに、万が一侵入を許してしまったとしても内部で確実に検知・除去できるようになります。LODEINFOの脅威が自社に及ぶ前に、ぜひこうした製品を導入して攻撃に備えておくことをお勧めします。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」