シマンテックが医療業界やサプライチェーン狙う攻撃グループを確認した。
米国、ヨーロッパ、アジアの医療業界を狙う新しい攻撃グループ「Orangeworm」 という新しい攻撃グループが、医療業界やその関連業界を狙った標的型攻撃でバックドア Kwampirs を拡散していることを、シマンテックは確認した。
同グループは、リモートよりコマンド操作が可能となるバックドア型のトロイの木馬「Kwampirs」を感染させることを目的に攻撃を展開。
感染被害者の国別の分布を見ると、米国が17%で最多。インドとサウジアラビアがいずれも7%、フィリピン、ハンガリー、英国が5%と続く。
日本も2%の感染が観測された。被害者に大手グローバル企業が存在したことから、広い地域で被害が観測されたとしている。
既知の被害者のリストを見ると、Orangeworm は標的をランダムに選んでいるわけでも、便乗型のハッキングを狙っているわけでもありません。むしろ、標的の選び方は入念であり、かなり周到に準備したうえで攻撃をしかけているようである。
シマンテックの遠隔測定によると、Orangeworm の被害者は 40% 近くが医療業界に携わる組織であることが判明しています。Kwampirs マルウェアが見つかったのは、レントゲンや MRI といったハイテク画像処理機器を制御するためにインストールされるソフトウェアでした。それだけでなく、必要な治療に患者が合意するときの書式入力を支援する機器も狙われたことがわかっている。
Orangeworm の標的として次に大きいのは製造業、情報技術(IT)、農業、ロジスティックスです。一見すると無関係に見える業界ばかりだが、医療業界とは多方面で関係があることがわかる。
たとえば、大手の製造業者は医療用の画像処理機器を製造して、医療企業に直接販売している。
また、IT 企業は診療所のサービスをサポートする、ロジスティックス企業は医療製品を配送すると言った具合だ。
感染するとリモートアクセス出来るようになりシステムやネットワークなどの情報を収集するほか、ファイル共有に自身をコピーして拡散する機能なども備えていた。
さらに外部とのコマンド&コントロールサーバとの通信を試みるなど、派手な攻撃が目立ち、シマンテックでは、ひと昔前の手口であると指摘している。
こうした攻撃手法について同社は、「Windows XP」などレガシーシステムでは有効な手段であると説明。医療業界では古いOSが依然として稼働しているケースが少なくないことから、攻撃手法として利用されているのではないかと分析している。
