米国の独立記念日(7月4日)に、米国と韓国の政府や金融機関、メディアなどのウェブサイトが次々とサイバー攻撃を受け、アクセス不能の事態に陥りました。この攻撃元に関して様々な憶測が飛んでいますが、シマンテックが現時点(米国時間:7月9日)で把握している内容についてお伝えします。

この攻撃には複数のマルウェアのコンポーネントが関係しています。シマンテックが「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」として検知するマルウェアが、互いに連携して拡散と攻撃を繰り返します。具体的には、まず感染したPCから収集した電子メールアドレスへ「W32.Mytob!gen」が他のすべてのコンポーネントを含んだドロッパーである「W32.Dozer」を配布します。電子メールの添付として送られてくる「W32.Dozer」をユーザーが実行してしまうと、システム内に「Trojan.Dozer」と「W32.Mydoom.A@mm」が投下されます。「Trojan.Dozer」はDDoS攻撃を実行し、バックドアを開く機能を持っています。「W32.Mydoom.A@mm」は、「W32.Mytob!gen」をシステムに投下するのに加え、作成者の意図によって「W32.Mytob!gen」をアンインストールする事が出来る削除ツールも同時に残します。そして「W32.Mytob!gen」がシステム内の電子メールアドレスを収集、「W32.Dozer」を配布すると言うサイクルが繰り返されます。

 

「Trojan.Dozer」はバックドアとして機能し、特定のポートを通じて指定されたIPアドレスに接続します。以下のIPアドレスやポートにて活動が検出されています。

・TCP53番ポートから213.33.116.41
・TCP80番ポートから216.199.83.203
・TCP443番ポートから213.23.243.210

トロイの木馬はここから指示を受け、自身のアップデートやDDoSのステータスの表示をします。また、ダウンロードしたパッケージに含まれる特定のサイトに対してDDoS攻撃を行う指示も受けます。DDoS攻撃を行うためにGETやPOST、UDP、ICMP、TCP ACK、TCP SYNなどのHTTPプロトコルとセッションを開始することもあります。

これらの攻撃に対して、ユーザーは常にセキュリティソフトウェアのアップデートを実施することをお勧めします。また、電子メールの添付ファイルのフィルタリングやファイヤウォールから上記のIPアドレスをブロックするなどの対策も効果的です。

 

この記事は Security Response Blog(英語)にてSymantec Security Responseより掲載された内容を日本向けに編集された記事です。本文はこちら(英語)