2019年6月17日、朝日新聞は2019年6月17日付朝刊1面、3面で2018年1月に発生したcoincheckの不正送金で検出されたマルウェアについて報じました。社員のPCで検出されたマルウェアの具体名が報じられたのは初めてです。ここでは関連する情報をまとめます。
朝日新聞の報道
- 2019年6月17日朝刊で以下が報じられた。
記事の概要は次の通り。
- Coincheck社員のPCから遠隔操作可能なマルウェアが検出されていた。
- マルウェアはCoincheck社員が外部とメールをやり取りした後にインストールし感染。
- マルウェアは「Smoke Bot」(Mokes)、「Netwire RAT」の2種類。
- これらはロシア系グループの関与が指摘されるマルウェア。
- 2種のマルウェアを用いた暗号資産交換所への攻撃事例は2016年以降複数確認されている。
- Mokesは北朝鮮関与の事例でこれまで確認されたことがない。
- 北朝鮮説を主張していたセキュリティ関係者らへ改めて取材。
記事中に登場する関係者、専門家は以下。
| 登場人物 | 見解、主張など |
|---|---|
| Group-IB | 公開情報からLazarus関与を指摘。証拠は間接的なもの。 |
| CrowdStrike | 外形からの調査に限界はある。東欧、露系グループが北朝鮮に見せかけた可能性もある。 |
| Kaspersky Lab | MokesはLazarusが過去に使用した事例を確認していない。 |
| 韓国 国家情報院 | Coincheck不正送金発生直後から北朝鮮関与の可能性を示唆。 |
| 日本のセキュリティ専門家 | 韓国からLazarus関係のメール文面を入手。 |
| Coincheck関係者 | 不正送金と韓国が示したメールとの関係を否定。 |
| 慶応大教授 | 国連の年次報告書へ直接的な証拠なしの引用に疑問。 |
2つの関与説
- 複数のセキュリティ関係者らにより北朝鮮(Lazarus)関与が定説だった。
- 国連の専門家パネルも北朝鮮説を年次報告書に記述していた。
- 朝日新聞は次の点から北朝鮮関与に疑問を投げかけた。
- Coincheck関係者がLazarus関与メールと不正送金の関係を否定
- Kaspersky Labの専門家によるLazarusによるMokesの使用事例は確認していないとのコメント
- 北朝鮮説主張の関係者らからCoincheck事案の具体的な情報提示がない
- さらに「米国の専門家」の見解から露・東欧系グループ関与の可能性を指摘。
Coincheck不正送金の背後関係について、関係者の見解をまとめると次の通り。
報じられた2つのマルウェア
- 2種類とも数年前から存在するマルウェアで、インターネット上で入手可能な状態。
- 利用方法を紹介する動画など関連する情報も複数公開されている。
- Netwire RATは過去にAPT33、Carbanak Groupなどが利用していたと報告がある。
Smoke botの概要
- WebコンソールからBotプログラムを実行させたPCを操作する
- WebコンソールはXAMPP環境(PHPのWebアプリケーション)で稼働。
- BotプログラムはWindows、Linux、OSXに対応。
- 2011年6月にフォーラムで販売されたのが初出。同スレッドでは2015年まで投稿が継続。
- 2019年対応バージョンも公開されており、現在も更新が行われている模様。
以下はSmoke Botの機能。
| BOT LIST | Smoke bot実行中のPCの一覧表示 |
| TASK LIST | ローカルやリモートからタスクを設定 実行時するファイルアップロードやURLを指定可能 タスクは実行後削除可能 |
| STEALER | クレデンシャル情報の取得 対象:ブラウザ、時刻、URL、ID、パスワード |
| PROCMON | 実行中のタスクの管理 |
| EMAIL GRAB | メールアドレスの取得 |
| FORM GRAB | フォームから送信したデータの取得 |
| PASS SNIF | パスワードの窃取 |
| KEYLOGGER | キーロガー対象とするプロセスのルール設定。 |
- 暗号資産(モネロのみ)のマイニングやDoS攻撃のプラグインも存在する。
- 各機能に価格が設定されている。
- Smoke BotはNSAの機密情報流出騒動に際して、Kaspersky Labの調査で名前が挙がったことがある。
- 2014年9月の米国におけるEquationマルウェア検知インシデントに関する調査レポート
- [PDF] Appendix: Analysis of the Mokes/SmokeBot backdoor from the incident
更新履歴
- 2019年6月18日 AM 新規作成