「Roaming Mantis▼」と呼ばれるサイバー攻撃が日本を襲っている。このサイバー攻撃の特徴は、手口を短期間で次々と変えること。「このような攻撃は過去に例がない」(カスペルスキーのグローバル リサーチ アンド アナリシス チーム マルウエア リサーチャーを務める石丸 傑氏)。その巧妙な手口を解説する。
まずは韓国のユーザーを狙った
Roaming Mantisが初めて出現したとされるのは、2017年7月。韓国のAndroidユーザーを狙ったとされる。米マカフィーによると、韓国語のSMS▼メッセージを使って感染を広げたという。
メッセージには、「あなたの写真がこのURLに張られているけど、どうして?チェックしてみて」といった内容が書かれている(図1)。そして、そのURLにアクセスすると、「MoqHao」と呼ばれるウイルスを配布するWebサイトに誘導される。
MoqHaoはAndroid機器に感染するウイルス(マルウエア)。感染すると、Android機器に保存された情報や入力した情報を盗み出す。Roaming Mantisを追っている石丸氏は、これが最初のRoaming Mantisである可能性が高いと指摘する。
Roaming Mantisは攻撃キャンペーンの名前。カスペルスキーでは、MoqHaoおよびその亜種を使った一連の攻撃をRoaming Mantisと呼び、追跡および解析を続けている。セキュリティーベンダーによっては、MoqHaoを「XLOADER」などと呼んでいる。
なお、攻撃者グループの正体は明らかにされていない。攻撃ごとに攻撃者グループの構成が変わっている可能性があるという。
Roaming Mantisはこれ以降、使うウイルスはMoqHaoのままで、ユーザーをだます手法や、攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら続いていく(表1)。