全3051文字
PR

 一方、応答のIPアドレスが170.108.71.15と一致しない、もしくは応答がない場合はすぐに終了した。

 mds.honda.comは外部に公開されていないドメインであること、「170.108.71.15」というIPアドレスはホンダに関連するホスト名に逆引きできることを確認できた。この結果、mds.honda.comはホンダ社内のドメインで、ホンダ社内のDNSサーバーが社内のコンピューターだけに170.108.71.15を返すと推測される。

 つまりEkansは、感染したコンピューターがホンダの社内ネットワーク内につながっていれば活動を開始し、そうでなければ終了するという仕組みを備えていたとみられる。標的の組織や企業のネットワークでなければ動かないことで発見を遅らせるとともに、マルウエアの解析や調査を困難にする目的があったのだろう。

攻撃者はドメインを知っていた

 さらに解析を進めたところ、mds.honda.comというドメインと170.108.71.15というIPアドレスはEkansに初めから埋め込まれていることが分かった(図5)。デバッガー(マルウエアを解析するツール)やバイナリーエディターなどから特定できた。

図5●Ekansの解析結果
図5●Ekansの解析結果
Ekansのプログラムを解析したところ、ホンダ社内かどうかをチェックするためのドメイン名とIPアドレスを確認できた。
[画像のクリックで拡大表示]

 このことから、攻撃者はあらかじめホンダ社内のドメインやIPアドレスを把握した上で、Ekansを作成したとみられる。

 なお、ホンダ以外の組織や企業へのサイバー攻撃に使われたEkansも見つかっている。それらのEkansも、標的の組織に関連するドメインの名前解決をすることが確認されている。攻撃者は一部の挙動を作り替えながら、様々な組織や企業への攻撃にEkansを再利用していると考えられる。