「Roaming Mantis」と呼ばれるサイバー攻撃が日本を襲っている。このサイバー攻撃の特徴は、手口を短期間で次々と変えること。「このような攻撃は過去に例がない」(カスペルスキーのグローバル リサーチ アンド アナリシス チーム マルウエア リサーチャーを務める石丸 傑氏)。その巧妙な手口を解説する。

まずは韓国のユーザーを狙った

 Roaming Mantisが初めて出現したとされるのは、2017年7月。韓国のAndroidユーザーを狙ったとされる。米マカフィーによると、韓国語のSMSメッセージを使って感染を広げたという。

 メッセージには、「あなたの写真がこのURLに張られているけど、どうして?チェックしてみて」といった内容が書かれている(図1)。そして、そのURLにアクセスすると、「MoqHao」と呼ばれるウイルスを配布するWebサイトに誘導される。

図1●最初に確認されたRoaming Mantis
2017年7月、韓国のAndroidユーザーを狙ってSMSなどで偽のメッセージを送信した(画像は米マカフィー)。メッセージ中の短縮URLにアクセスすると、ウイルス配布サイトに誘導される。
[画像のクリックで拡大表示]

 MoqHaoはAndroid機器に感染するウイルス(マルウエア)。感染すると、Android機器に保存された情報や入力した情報を盗み出す。Roaming Mantisを追っている石丸氏は、これが最初のRoaming Mantisである可能性が高いと指摘する。

 Roaming Mantisは攻撃キャンペーンの名前。カスペルスキーでは、MoqHaoおよびその亜種を使った一連の攻撃をRoaming Mantisと呼び、追跡および解析を続けている。セキュリティーベンダーによっては、MoqHaoを「XLOADER」などと呼んでいる。

 なお、攻撃者グループの正体は明らかにされていない。攻撃ごとに攻撃者グループの構成が変わっている可能性があるという。

 Roaming Mantisはこれ以降、使うウイルスはMoqHaoのままで、ユーザーをだます手法や、攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら続いていく(表1)。

表1●Roaming Mantisの手口の変化
2017年7月に出現した後、ユーザーをだます手法や攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら、攻撃を継続している。また、攻撃対象に日本が含まれるようになった。
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら