piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

高速増殖炉もんじゅ 事務端末のウイルス感染とGOM Playerのアップデートを使った攻撃についてまとめてみた。

1月23日以降のGOM Player関係の情報反映のため、1月7日公開の内容から大幅に内容を変更しています。(1月7日記載内容は魚拓参照。)
ここではもんじゅで発生したウイルス感染インシデント、及びラックが発表したGOM Player関係の攻撃についてまとめます。

概要

日本原子力研究開発機構(JAEA)の運営する高速増殖炉もんじゅ」において、ウイルス感染による情報流出の可能性について報じられました。その後JAEAは公式に感染事案について発表しています。*1
日本原子力研究開発機構はInternetWatchの取材に対して、今回のウイルス感染はもんじゅをはじめとする当該機構を狙った「標的型攻撃では恐らくないと思われる」と説明していましたが、1月23日にラックがGOM Playerを使った攻撃について報告し、「新しい標的型攻撃の手口」と発表しました。*2
尚、ラックはGOM Playerを使った攻撃ともんじゅの感染事案についての関係は発表はしておらず、1月25日時点でこれらを関連付けする情報は報道がソースとなります。
 
一部推測情報を含みますが、piyokangoが把握している範囲で報道・発表、Twitter上での情報等を元に今回の感染事案をまとめると次のようになります。

1.もんじゅ事務端末のウイルス感染事案

(1) 情報流出の可能性のある端末
  • 発電課の事務処理用端末8台の内の1台*3
  • 端末では以下の情報等13GBのデータ*5が保存されていたが、核不拡散・核セキュリティに関係する重要情報は格納されていない。
    • 端末利用職員の教育・訓練報告書
    • 端末利用職員の訓練予定表
    • 機構改革小集団討議関係資料
    • 端末内の電子メールデータ(他の電力会社とのやり取り等) 約42,000件
(2) 不正通信の情報
  • 韓国と見られるIPアドレスへ接続していた。通信を行っていたか、その先のサーバーに接続していたか等はまだ明らかとなっていない。
  • 情報流出の送信が疑われる期間は2014年1月2日15時2分〜16時35分の約1時間半。
  • 合計33回の通信を行っていた。*6
  • 複数回行われた通信の内の1回は約3.8MBの送信を行っていた。*7
  • 流出した情報は特定できていない。
  • 端末から外部への接続を不正通信としてセキュリティ会社が検知した。*8
(3) 現在の感染端末の処理、及び日本原子力研究開発機構の対応
  • 情報流出が疑われる端末をネットワークから切り離した
  • 端末の調査を行った。調査実施者は明らかとなっていない。
  • 正接続先として確認されたIPアドレスへの機構内からの接続を遮断した。
(4) 感染原因として疑われている動画再生ソフト

1月7日*9、及びラックがGOM Playerを使った攻撃について発表した1月23日も日本原子力研究開発機構は「調査を依頼したセキュリティ関連企業からの正式回答がないため*10」として動画再生ソフトの公表を行っていません。
ただし、読売新聞では「行政機関を標的としている可能性もあり、高速増殖炉もんじゅ」(福井県)のパソコンもこの手口で情報を抜き取られていたことが判明」と報じており、*11またラックが公開した情報、及びそれについて否定する発表や報道も出ておらず、もんじゅ事務端末が感染した原因はGOM Playerが攻撃に悪用された可能性が高いと考えられます。

(追記) McAfeeが公開している情報には次のような記述があります。

Malware is reported to have infected computers at a nuclear plant in Japan.

http://tif.mcafee.com/threats/11463

もんじゅ内で利用されていた「動画再生ソフト」について報じられている情報は以下の通りです。

  • 事象が発生したのは2014年1月2日の更新直後。
  • 当該ソフトウェアは12月にも更新を行っている。
  • 利用を始めたのは2013年9月以降。(約300台全部がそうかは不明)
  • 動画再生ソフトは禁止されておらず、部署で許可されていた。
  • 高画質画像を再生するソフトとして有名。MSやAdobe製ではない。一般に配布されている。
  • 全国の日本原子力研究開発機構内約300台に同じ動画再生ソフトがインストールされている。
  • 当該端末を除いてこれまでウィルス感染の報告はない。*12
  • インターネットを通じて当該ソフトウェアの更新を行っていた。*13 更新しようとした際に別のサイトへ飛ばされたとの報道もある。*14

2.GOM Playerのアップデートサービスを使った攻撃

ラックはJSOCにおいて定期的に不正なデータを外部に送信する通信を複数捕捉したことを発端として、「複数の事案を確認」したとGOM Playerのアップデートを使った攻撃について発表しました。尚、JSOCの顧客に日本原子力研究開発機構が含まれるかは不明です。

以下では主にこの攻撃に関係する情報をメモベースでまとめます。

(1) GOM Playerの利用者数
  • 国内利用者数 推定約650万人
  • 最新版への更新を行った人数 83万件*15
    • 最新版とは2013年12月19日公開のバージョンを指す
    • あくまでも更新を行った人数である
(2) 接続先に関係する情報
  • 不正アクセスを受けたGOM Player正規アップデートサーバー
    • app.gomlab.com
  • 正規アップデートサーバーから誘導されていた外部の第三者サイト
    • 国内で稼働するWebサイト。詳細は1月25日時点で不明。
  • C&Cサーバー
    • testqweasd.tk(以下のIPアドレスが割り当てられれていたと考えられる)
    • 211.43.220.89
    • 114.202.2.4

誘導された外部サイトの情報は発表や報道では明らかにされていません。しかし、@0x009AD6_810さんがurlQueryやVirustotalに興味深い情報が残っていることを報告しています。

urlQueryでもんじゅの感染事案が報じられた1月6日の近辺である1月8日にwww.fudousankaitori.jpに対して、GOM Player関係のファイル(設定ファイル名(魚拓)やセットアップファイル名(魚拓) )に関係するスキャンが行われています。スキャンそのものは404でありファイル自体は存在しない結果となっているためエビデンスとなりえるログではありませんが、事案発覚以前には行われていないドメインに対して突如行われた不自然なものであり、今回の件との関連が疑われます。
またラックの発表には「この「踏台サイト」は日本国内で稼働しているWebサイトであり、攻撃者により不正に侵入を受け悪用されたと考えられます。」とあります。

(3) 攻撃に使われたマルウェア

マルウェアに関係する情報は公式な報道や発表では特に明らかにされていませんが、この件に関連すると思われる情報を@ucqさんが持っているようで、いくつかこの件に関連するTweetをしています。

 
@ucqさんが投稿したハッシュa9225e059d9dace1b259bceec7f48daeですが、Virustotalで検索すると1月10日解析されており、検体名を調べていくとこの中のSophosの「Troj/Agent-AFLY」という名称でレポートが出ていました。Sophosのレポートでは@ucqさんが投稿したハッシュは記載がないものの、このレポートには2つのハッシュとそれぞれ発見日は1月7日と記載があります。このハッシュをさらにVirustotalで検索したところ、09f822ebda94cf07ba7d3f95674412efの解析結果で、Symantecの検体名に「Backdoor.Miancha」と付けられていました。この「Backdoor.Miancha」をSymantecの解析レポートで見てみると次の記載があります。よく見ると解析者も日本の方ですね。

The Trojan then connects to the following remote server and opens a backdoor:
testqweasd.tk TCP port 443

http://www.symantec.com/security_response/writeup.jsp?docid=2014-012407-3922-99&tabid=2

「testqweasd.tk」はラックが発表したC&Cサーバーのドメインと一致します。つまりこのことからこれらハッシュがGOM Playerの件に関連していると思われます。
 
また、Symantecが検体名に使用しているMianchaの由来はマルウェアインストーラー(install.exe)のpdbファイルのパスが「g:\ykcx\install(miansha)\Release\install.pdb」となっているようで、そこからつけられたものと思われます。

 
Blog更新後に@ucqさんから複数の補足情報を頂きました。バイナリアンありがとうございます!!

さらにその後、セキュリティ企業Contextからこの件に関係する詳細な解析レポート((PDF)Context Threat Intelligence Threat Advisory The Monju Incident)が公開されました。このレポートでは、次のようなことが述べられています。

  • マルウェアを分析した結果、この攻撃に使われたマルウェアは中国で活動する者によって使われるGh0stRATの亜種である。
  • 通信トラフィックの特徴からRSAが報告したVOHOキャンペーンで使用されていたGh0StRATとの類似性がみられる。

マルウェアにはGOM Playerのセットアップが含まれており、偽更新ファイルが実行されるとマルウェアがインストールされるだけでなく、GOM Playerのセットアップが行われます。これは動的解析結果スクリーンショットを見ても明らかです。

@ucqさんから頂いた情報やContextが公開したレポート等を元に偽更新ファイルの挙動を整理すると次のようになります。

マルウェア(Gh0stMiancha)に関係するファイル情報をまとめると次の通りです。

No ファイル名 MD5(Virustotalのリンク含む) VT初回分析日時 推定される内容
1 GoMPLAYERJPSETUP.EXE a9225e059d9dace1b259bceec7f48dae 2014/01/10 02:45:30 UTC GOM Playerセットアップファイルやマルウェアをリパッケージした偽更新ファイル
2 GOMPLAYERJPSETUP_JP.EXE 1ff3b3628e40f0215afacf482ba17782 2013/09/04 15:21:51 UTC GOM Playerセットアップファイル。
Gretechの署名あり。
3 GOMPLAYERBETASETUP_JP.exe db79a93448acac8786581858f3edc36a 2014/01/15 06:05:46 UTC マルウェアを含む自己圧縮解凍ファイル。RAR形式。
4 install.exe 0ae82fd94836815a1e8d284ccb75109d 2014/01/06 04:06:48 UTC インストーラー。
TMPファイルから起動ファイル(install.ocx)を作成する。
環境(32bit/64bit)に応じて生成元の読み込みファイルが変化する。
5 dll.tmp d5548e1913950a42a04debcac4222bd2 2014/01/27 06:58:46 UTC 難読化された起動ファイル。
32bit版OSで使われる。
6 dll64.tmp 01f7b465242237bd3d31d39767aa68e0 2014/01/27 07:02:21 UTC 難読化された起動ファイル。
64bit版OSで使われる。
7 install.ocx(32bit版) 09f822ebda94cf07ba7d3f95674412ef
XOR(0x14)しただけだと04e7361323b431f7c9f86388f316bbea
Gh0stMiancha起動ファイル。
32bit版OSで使われる。
8 install.ocx(64bit版)
XOR(0x14)しただけだと008fbd0fde06edb31fc7eecdae1a3030
Gh0stMiancha起動ファイル。
64bit版OSで使われる。
9 instructions.pdf 569071c45f47b7fb7a75f30bc07d5739 2014/01/09 00:22:58 UTC バックドア本体が難読化されたファイル。32bit版OSで使われる。
10 instructions64.pdf 55474f8e26f2b6fc3b5d78ce9a77b0b0 2014/01/09 00:24:58 UTC バックドア本体が難読化されたファイル。64bit版OSで使われる。
12 916b1a07efb145c450b4c13540be6c3e Gh0stMiancha本体。
起動ファイルにより復号されメモリ上でのみ生成される。
32bit版OSで使われる。
13 1d2c77f0f8a715de09ce6fae5fc800d4 Gh0stMiancha本体。
起動ファイルにより復号されメモリ上でのみ生成される。
64bit版OSで使われる。

この他Symantecのレポートでは複数の.ocxファイルがリモートでダウンロードされると掲載されています。McAfeeはこれらファイル名がGh0stMianchaにドメイン名と同じ方法(BASE64→ADD(0x7a)/XOR(0x19))で難読化された状態で含まれていることを報告しています。

  • neercss.ocx
  • elifs.ocx
  • llehss.ocx
  • draobyeks.ocx
  • ssecorps.ocx
  • tidegers.ocx
  • secivress.ocx
  • oedivs.ocx
  • oiduas.ocx
  • pamtrop.ocx

冗長になりますが、解析レポートをまとめておきます。

(4) 感染条件

以下の2つの条件を満たした場合にマルウェアに感染する可能性があります。

尚、urlQueryには2014年1月8日のスキャン結果が残っており、ここでは外部さいとにリダイレクトされるような内容は出ておりません。一方GRETECHの発表では1月16日まで外部のサイトへ誘導される状態になっていたことが報告されています。そのため、一部で報じられている通り、接続元のIPアドレスで外部サイトへ誘導するかどうかを振り分けていた可能性があります。

(5) 中央省庁他での対応・状況

報じられている情報は以下の通り。

  • 内閣官房情報セキュリティセンターの対応
    • 1月23日付でGOM Playerの更新を禁じる注意喚起を全省庁へ出した。
    • 各省庁での使用状況については調査中。
  • 内閣府
    • 内規でGOM Playerの利用を禁止している。
    • 3台のPC?に職員が勝手にインストールしていた。
    • 情報漏えいは確認されていない。
  • 複数の行政機関、企業の端末が感染したと報じられている。*18

3.インシデントタイムライン

  • 2013/09
    • もんじゅ内事務端末で動画再生ソフトの利用を開始した。
  • 2013/12
    • もんじゅ内事務端末で動画再生ソフトを更新した。
  • 2013/12/27
  • 2014/01/02
    • 発電課職員が動画再生ソフトを更新した。
    • もんじゅ内事務処理端末で15時〜16時半にかけ不正通信が発生した。
    • ネットワークの監視を委託しているセキュリティ会社が情報システム管理室へ「不審な通信がある」として不正通信発生の電話連絡を行った。
    • 不審な接続先へ機構内からの接続を遮断した。
    • 当該PCをネットワークから切り離し、調査を行った。
  • 2014/01/03
    • 当該端末から情報流出の可能性があることが判明した。
  • 2014/01/03〜2014/01/06
  • 2014/01/05
  • 2014/01/06
  • 2014/01不明
    • GRETECHがJPCERT/CCの協力を受け、調査を開始。
  • 2014/01/16
    • GRETECHがGOM Playerアップデートサーバーの修正、セキュリティ強化を実施した。
  • 2014/01/23
    • ラックがGOM Playerのアップデートを使った攻撃について発表した。*20
    • GRETECHがLACの発表を受けてプレスリリースを発表した。
    • GRETECHがGOM Playerを含むすべてのGOM製品のアップデートサービスを一時停止した。
    • NISCが全省庁に対してGOM Playerの更新を禁じる注意喚起を行った。
  • 2014/01/24

更新履歴

*1:コンピュータウイルス感染による情報漏えいの可能性について,日本原子力研究開発機構,2014/01/07アクセス:魚拓

*2:正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について,LAC,2014/01/25アクセス:魚拓

*3:もんじゅ PCに不正アクセス,NHK,2014/01/07アクセス:魚拓

*4:もんじゅ中央制御室のPCがウイルス感染 4万件超情報漏えいか,FNN,2014/01/07アクセス:魚拓

*5:もんじゅの職員PCから情報漏えい ウイルス感染,中日新聞,2014/01/07アクセス:魚拓

*6:「もんじゅ」パソコン、韓国に33回情報送信か,読売新聞,2014/01/07アクセス:魚拓

*7:「もんじゅ」担当職員のPCがウイルス感染、情報漏えいの可能性,InternetWatch,2014/01/07アクセス:魚拓

*8:もんじゅ職員用PC、ウイルス感染 外部に情報流出か,朝日新聞,2014/01/07アクセス:魚拓

*9:[続報]もんじゅPCは韓国と33回不正通信、動画再生フリーソフト更新が契機か,ITpro,2014/01/07アクセス:魚拓

*10:もんじゅウイルス混入の原因か? ラックが韓国製動画再生ソフトのアップデートでウイルス確認,ITpro,2014/01/25アクセス

*11:動画再生ソフト「GOMプレーヤー」更新で感染,読売新聞,2014/01/25アクセス:魚拓

*12:もんじゅでウイルス感染 職員用パソコン 情報流出の可能性,福井新聞,2014/01/07アクセス:魚拓

*13:もんじゅ:職員共用PC、ウイルス感染 データの一部、海外流出 /福井,毎日新聞,2014/01/07アクセス

*14:もんじゅPCがウイルス感染=重要情報の漏えいなし―原子力機構,時事通信,2014/01/07アクセス:魚拓

*15:無料動画ソフト 最新版への更新で感染のおそれ,NHK,2014/01/25アクセス:魚拓

*16:ウイルス感染:動画ソフト更新で 中央官庁狙う?,毎日新聞,2014/01/25アクセス:魚拓

*17:2014/01/24放送 NEWS ZERO LAC西本氏発言より,NTV,2014/01/24放送

*18:動画再生「GOM」使ったサイバー攻撃確認 全省庁に注意喚起 ,日本経済新聞,2014/01/25アクセス:魚拓

*19:高速増殖炉もんじゅでウイルス感染,共同通信,2014/01/08アクセス:魚拓

*20:一部報道に対する弊社の見解について(1月24日更新),GRETECH,2014/01/25アクセス:魚拓