中国の税務ソフトウェアに埋め込まれたバックドア

2020年6月25日、Trustwave社から、極めて重大な内容を含むレポートが発表されました。このレポートは、このたび新たに発見された「GoldenSpy」と呼ばれるマルウェアに関するものでした。このマルウェアは、Trustwave社の顧客であり現在中国でビジネスを展開しているとある企業の環境で初めて見付かりました。この企業は中国に拠点を新設する際、現地の銀行から「Intelligent Tax」と呼ばれるソフトウェアの導入を求められました。

このソフトウェアは地方税納入のために必要なものだとされ、確かにインストール後は一見するとごく普通の税務ソフトウェアとして機能していました。しかし導入してからしばらく経った後のある日、このソフトウェアが外部に対して不審な通信を行っていることが分かりました。依頼を受けたTrustwave社が調査を行ったところ、外部のC&Cサーバに対してシステム情報などが送信されていることが判明しました。

さらに調査を進めるうちに、このマルウェアは極めて巧妙な動作をすることが明らかになってきました。まず税務ソフトウェア本体のインストールが完了した後、あえて2時間の間隔を置いてからGoldenSpyのインストーラがダウンロードされることが分かりました。こうした時間差を設けている理由は、インストーラのダウンロードをより発覚しにくくするための工夫だと考えられます。

その後このインストーラは、GoldenSpyの本体である「svm.exe」と「svmm.exe」という2つのプログラムをインストールします。これらのプログラムは標的のシステムにいわゆる「バックドア」を仕掛けるもので、攻撃者はこのバックドアを通じてリモートから任意のプログラムをアップロードして実行することができます。

ちなみにこの2つのプログラムは、システムの起動とともに自動起動するよう設定され、もし片方のプロセスが停止しても、もう片方がそれを検知して自動的に再起動する仕掛けになっています。またプログラムのファイルそのものを削除しても、監視モジュールがそのことを自動的に検知し、再度プログラムをダウンロード・インストールするようになっています。そのため、システム上からこのマルウェアを駆除するのはそうたやすくありません。

中国で事業を展開している企業は今すぐ状況の確認を

銀行が推奨する税務ソフトウェアの本体に、マルウェアをダウンロードする機能が組み込まれていたという事実は、多くのセキュリティ関係者に衝撃を与えました。また中国でビジネスを展開している企業にとっては、これはかなり切迫したセキュリティリスクだと言えます。現在中国に拠点を構えている企業は、今すぐ該当ソフトウェアが内部で使われていないか確認するべきでしょう。

なお、弊社でも既にGoldenSpyの挙動は観測しており、サンプルを基にしたIoC(Indicator of Compromise)情報を把握しています。これらの情報は、お客様が自社環境の調査を行う際にご利用いただけますので、ご希望の方はぜひお問合せいただければと思います。

また弊社では、GoldenSpyの通信先であるC&Cサーバの情報も把握しています。具体的には「ningzhidata[.]com」というドメインを使用したC&Cサーバが使われており、このドメインとの不審な通信が行われていないか定常的に監視することで、GoldenSpyによる被害をある程度食い止めることができるでしょう。

ただしこうした調査を行うには、専用のツールや、高度なスキルを持つ専門家の知見が必要になるため、決してハードルは低くありません。しかもGoldenSpyは中国で観測された攻撃であり、日本国内からは地理的に離れているため、気軽に現地に赴いて調査するわけにもいきません。加えて、昨今のコロナ禍対応でテレワークを推進している場合は、従業員は自宅で業務を行っているため、端末環境の調査はより困難を極めることでしょう。

そんな課題を抱える企業に対して、弊社では「テレワーク・セキュリティアセスメント」と呼ばれるサービスを提供しています。弊社が提供しているEDR(Endpoint Detection and Responce)製品Cybereason EDR」をお客様のテレワーク環境に導入していただき、約2週間ほど運用することで、現状どのようなリスクが環境内に潜んでいるのか洗い出すことができます。

各端末への「Cybereason EDR」の導入は極めて簡単で、かつ端末の動作にもほとんど影響を与えないため、テレワーク環境や海外拠点の端末に対しても素早く適用できます。GoldenSpyのリスクが自社内に存在するかどうか、今すぐ確認したいという企業にとっては、極めて手軽かつ有用なサービスだと言えるでしょう。

また弊社ではこのほかにも「ヘルスチェック」「脅威ハンティング」など、さまざまなプロフェッショナルサービスを提供しています。お客様の多様な環境やニーズに合わせた調査が可能ですので、自社のセキュリティ対策状況に何らかの不安を感じている方は、ぜひ気軽にご相談いただければと思います。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」