水曜日, 10月 28, 2015

スパイ型マルウェア「Regin」

ドイツ当局、米英によるスパイ活動疑惑の調査を開始。首相府高官らのPCからマルウェア検出


ドイツ検察庁がスパイ型マルウェア「Regin」について調査を開始したと独シュピーゲル紙が伝えています。Regin は昨年11月にシマンテックなどが公表したトロイの木馬の一種。各国政府や企業、著名研究者などの PC にバックドアを仕掛け、多様な情報を盗み出しているとされる悪質なマルウェアです。

※見出しの写真は記事内容と関係ありません。
 

Regin は、5段階の攻撃手法や高度なステルス/暗号化機能を駆使してセキュリティソフトの検出を巧みに逃れるよう作られています。また攻撃手法別にモジュール化 されたプログラムをロードする仕組みを備え、目的とする攻撃に応じて柔軟なカスタマイズが可能。感染したコンピューターどうしでP2Pネットワークを構成 し、TCP、UDP にくわえ偽装した ICMP を利用して通信内容の検出を困難にするなど、情報を盗み出すための悪質さではトップクラスのマルウェアと言えます。

また、その考えぬかれた構造から Regin の開発にはある程度大きな(例えば国家)組織が絡んでいると言われており、遅くとも2008年ごろから各国政府や主要研究機関、著名研究者、企業などを対象に情報の収集をしていた可能性があるとされます。

今回調査を開始したドイツでは、メルケル首相に近い首相府高官らが使用していたノート PC で Regin の活動痕跡があったとされています。ドイツといえば、2013年に米国家安全保障局(NSA)によるメルケル首相の携帯電話盗聴の疑いが浮上し、両国の関 係はある意味緊張状態となりました。ドイツ政府は盗聴の犯人を特定すべく捜査を継続していましたが、立証困難としてこの6月、2年間にわたる調査を終了し ています。
 

Regin はロシアやサウジアラビア、中東諸国、インド、欧州の一部で活動の痕跡がみつかる一方、米国、英国、カナダ、オーストラリア、ニュージーランドの5か国か らはまったく発見されていません(一部には米英からもみつかったとする情報もある)。この5か国は Five Eyes と呼ばれる諜報同盟を結んでいることが米国家安全保障局(NSA)の元職員エドワード・スノーデンが暴露した情報から明らかになっています。

メルケル首相近辺からの情報収集についても Five Eyes、特に NSA および英政府通信本部(GCHQ)による諜報活動が噂されています。しかし、もしこの5か国がそれぞれ Regin を個別に利用していたとするならば、ドイツ首相府の PC を操っていたのは誰か、またはどこの機関か、犯人を特定するのは非常に困難なことかもしれません。