「Roaming Mantis」と呼ばれるサイバー攻撃が日本を襲っている。このサイバー攻撃の特徴は、手口を短期間で次々と変えること。「このような攻撃は過去に例がない」(カスペルスキーのグローバル リサーチ アンド アナリシス チーム マルウエア リサーチャーを務める石丸 傑氏)。その巧妙な手口を解説する。

まずは韓国のユーザーを狙った

 Roaming Mantisが初めて出現したとされるのは、2017年7月。韓国のAndroidユーザーを狙ったとされる。米マカフィーによると、韓国語のSMSメッセージを使って感染を広げたという。

 メッセージには、「あなたの写真がこのURLに張られているけど、どうして?チェックしてみて」といった内容が書かれている(図1)。そして、そのURLにアクセスすると、「MoqHao」と呼ばれるウイルスを配布するWebサイトに誘導される。

図1●最初に確認されたRoaming Mantis
図1●最初に確認されたRoaming Mantis
2017年7月、韓国のAndroidユーザーを狙ってSMSなどで偽のメッセージを送信した(画像は米マカフィー)。メッセージ中の短縮URLにアクセスすると、ウイルス配布サイトに誘導される。
[画像のクリックで拡大表示]

 MoqHaoはAndroid機器に感染するウイルス(マルウエア)。感染すると、Android機器に保存された情報や入力した情報を盗み出す。Roaming Mantisを追っている石丸氏は、これが最初のRoaming Mantisである可能性が高いと指摘する。

 Roaming Mantisは攻撃キャンペーンの名前。カスペルスキーでは、MoqHaoおよびその亜種を使った一連の攻撃をRoaming Mantisと呼び、追跡および解析を続けている。セキュリティーベンダーによっては、MoqHaoを「XLOADER」などと呼んでいる。

 なお、攻撃者グループの正体は明らかにされていない。攻撃ごとに攻撃者グループの構成が変わっている可能性があるという。

 Roaming Mantisはこれ以降、使うウイルスはMoqHaoのままで、ユーザーをだます手法や、攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら続いていく(表1)。

表1●Roaming Mantisの手口の変化
2017年7月に出現した後、ユーザーをだます手法や攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら、攻撃を継続している。また、攻撃対象に日本が含まれるようになった。
表1●Roaming Mantisの手口の変化
[画像のクリックで拡大表示]