日本の重要インフラ事業者を狙った攻撃者

VOL .2 2 0 1 6

株式会社ラックサイバー･グリッド研究所

C O N T E N T S

3

はじめに-----------------------------------------------------------4

標的型攻撃に用いられるマルウェア、Daserfとは--------5

Daserf の動作環境および概要------------------------------------------- 6

Daserf の通信の特徴------------------------------------------------------ 6

Daserf の検出方法--------------------------------------------------------- 8

Daserfを利用する攻撃者像-------------------------------10

Daserfを利用する攻撃者の手口-------------------------------------- 12

攻撃者が利用するマルウェアの種類------------------------------------- 14

おわりに---------------------------------------------------------17

Indicator-of-Compromise(IOC)----------------------17

出典--------------------------------------------------------------------------- 18

本文書の利用はすべて自己責任でお願いいたします。本文書の記述を利用した結果生じる、いかなる損失についても株式会社ラックは責任を負いかねます。本データをご利用いただく際には、出典元を必ず明記してご利用ください。( 例 出典：株式会社ラック【日本の重要インフラ事業者を狙った攻撃者】）LAC、ラック は、株式会社ラックの国内及びその他の国における登録商標または商標です。その他、記載している会社名、団体名、製品名などは各社の登録商標または商標です。

執筆者　石川 芳浩 + サイバー・グリッド研究所

日本の重要インフラ事業者を狙った攻撃者

4

　本レポートは、日本の重要インフラ事業者を狙った標的型攻撃に使用されるマル

ウェアDaserfと、Daserfを利用する攻撃者について分析したものです。

　狙い定めた企業を巧妙な手口で執拗に攻撃する標的型攻撃は国内でも増える傾

向にあります。中でも2015年 6月に日本年金機構が標的型攻撃を受け、大量の

個人情報が漏えいした事案の発生はまだ記憶に新しいでしょう。その後、地方自治

体や大学など国内の多くの団体・企業でも同様の攻撃を受けていた事実が明らかに

なり、標的型攻撃の名前が広く知られるきっかけとなりました。そして本レポート執

筆時点の2016年 6月には大手旅行代理店が標的型攻撃に遭い、個人情報が漏え

いした恐れがあるとの発表がありました。標的型攻撃の手口は年々高度化しており、

企業から情報が盗まれるリスクのみならず事業継続に重大な影響を与えるリスクも

一層高まっています。

　特に、情報通信や金融、航空、電力といった重要インフラ事業者への攻撃は、

2014 年度の124件から2015 年度には 401件と著しく増加していることが

NISC-i から報告されています。2020 年の東京オリンピック・パラリンピック開催

を控え、重要インフラ事業者や重要インフラ関連企業に対する攻撃は、今後さらに

激しくなる可能性が高いと予想されます。こうした状況の下、本レポートがDaserf

を使った攻撃者への対策を考える上で多少なりとも貢献できれば幸いです。

I N T R O D U C T I O Nはじめに

図1-ラックのサイバー119サービスで対応した標的型攻撃事案のターゲット組織

図2-Daserf 事案対応のタイムライン

01

02

5

　Daserf はバックドア機能を有するマルウェアで、Nioupale とも呼ばれています。Daserf については、

2016 年 5 月に Symantec がブログ iiで報告していますが、それまではセキュリティベンダによる報告

はほとんどなく、このマルウェアの存在自体、広く知られているとは言えない状況でした。一方、ラック

は 2013 年 1月頃以降に対応した複数の標的型攻撃事案において Daserf を確認しており、これらの分

析を続けてきました。その結果、Daserf が日本の重要インフラを標的とした攻撃者に使用され、長期間

にわたって標的組織に潜伏しつつ活動している可能性が高いことが明らかになりました。

　図1は、ラックが対応した事案において Daserf が使われた業種を分類したグラフです。グラフ外周

右側の枠に含まれるのが重要インフラに属する業種 iiiで、56％と過半数を占めていることがわかります。

外周左側の枠は重要インフラで利用される機器を製造する事業者で、これらを含めるとすべての事案が

重要インフラに直接的、間接的に関連していることがわかります。このことから、Daserf を使う攻撃者は、

少なくとも日本においては重要インフラやその関連企業をターゲットとしている可能性が高いと考えられ

ます。

　

　図2は、Daserf が使われた事案に関するタイムラインです。タイムライン上、上段の数字（黒字）は

事案対応を行った年月、下段の数字（赤字）は事案対応の際に痕跡として見つけることができたマルウェ

アのコンパイル日時、または通信ログから取得した年月です。つまり、下段は攻撃者が侵入したと推測さ

れる年月です。この 2 つの年月を見比べると、狙われた企業が Daserf による被害を発見するまで、数ヵ

月から約 2 年半とかなりの時間を要していることが確認できます。

　被害発見まで時間がかかった要因の 1 つは、Daserf のファイル名が正規の Windows プログラ

ム (msupdata.exe、mshelp.exe など ) や Adobe 製 品のプログラム (AdobeARM.exe、reader_

標的型攻撃に用いられるマルウェア、Daserfとは

1

2

3

4

5

6

8

10

11

7

サイバーセキュリティ戦略（平成 27年 9月 4日 閣議決定）

段階的拡大平成27年度試行実施

平成11 12 13 14 15 16 17 1819 20 21 22 2324 25 26年

100

80

60

40

20

0

保有率（％）

2000年2001年2002年2003年2004年2005年

200件

84,590

137.746127,970

111,660

95,130

EC 市場規模（左目盛） EC化率（右目盛）

( 単位 : 億円 )160,000

140,000

120,000

100,000

80,000

60,000

40,000

20,000

0

77,880

2011年 2015年2014年2013年2012年2010年

3.17%

4.75%4.37%

3.85%

3.40%

2.84%

150件

100件

原因究明 調査

監査

段階的に拡大現行

拡大現行

拡大現行

監視（GSOC）

中央省庁 独立行政法人 特殊法人 その他

府省庁と一体となり公的業務を行う法人

機微情報を保有する法人

50件

0

2006年2007年2008年2009年2010年2011年2012年2013年2014年2015年2016年

6月末

大手重工業･衆議院･参議院などに対するサイバー攻撃

サイバー犯罪条約国会承認

九州沖縄サミット

洞爺湖サミット

日本年金機構に対するサイバー攻撃

サイバーセキュリティ基本法成立

国歌安全保障戦略決定

伊勢志摩サミット

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）による検知･解析機能の強化

内閣サイバーセキュリティセンター予算

平成 28年度概算要求 83 億円

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）の運用　68.5億円

平成 27 年度当初予算 16.5億円 ( 参考 )

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）の運用　6.5億円

5.00%

4.00%

3.00%

2.00%

1.00%

0.00%

12.5%12.9%

11.5%13.5%

15.3%

情報セキュリティ対策費用

7.0%7.3%7.9%8.7%9.6%

災害対策費用

2011年度2012年度2013年度2014年度2015年度

7.6%9.2%8.7%9.3%

11.2%

IT 内部統制向け費用

重要インフラ事業者東京 2020組織委員会（NISC、重要インフラ所管官庁）

東京 2020組織委員会

東京都関係者（東京都 CSIRT、都営サービス）

22%

22%

11%11%

11%

23%

何らかの被害を受けた

特に被害はない

マルウェアを発見または感染

マルウェアを発見したが感染しなかった

マルウェアを発見し少なくとも 1回は感染した

スパムメールの中継利用･踏み台

DoS（DDoS）攻撃

不正アクセス

故意･過失による情報漏えい

ホームページの改ざん

その他の被害

パソコンなどの端末（OS、ソフトなど）にマルウェア対策プログラム導入

サーバーにマルウェア対策プログラム導入

ID、パスワードによるアクセス制御

0 20 40 60 80 100%

0 20 40 60 80 100%

企業通信網に対するセキュリティ被害　　

対応している

特に対応していない

企業の情報セキュリティ被害状況

情報セキュリティについて何らかの被害を受けたと回答した企業は 4割

企業の情報セキュリティ対策状況

何らかの対策を講じているとの回答が、平成 25年調査および 26年調査とも 97%以上と高い水準で推移

36.137.3

62.059.9

38.040.1

24.128.0

12.09.3

3.03.71.32.21.81.90.51.00.90.50.50.7

87.288.6

66.065.6

55.354.2

1.52.8

98.597.2

平成 25 年末平成 26 年末

( 無回答を除く )

平成 25 年末平成 26 年末

44% 56%

75.7

94.6

78.0

64.2

33.6 33.0

26.3

7.6

携帯電話またはＰＨＳ※

パソコン

固定電話

スマートフォン

インターネットに接続できるテレビ

インターネットに接続できる家庭用テレビゲーム機

タブレット型端末

その他インターネットに接続できる家電（情報家電）など

国会会議録検索システム http://kokkai.ndl.go.jp/ 検索結果より

NISC「新たなサイバーセキュリティ戦略 ~政府機関などのサイバーセキュリティ対策の抜本的強化~」 http://www.nisc.go.jp/conference/cs/dai04/pdf/04shiryou02.pdf より

NNISC「政府のサイバーセキュリティに関する予算 」http://www.nisc.go.jp/conference/cs/dai05/pdf/05shiryou03.pdf より

経済産業省「電子商取引に関する市場調査の結果を取りまとめました~国内 BtoC-EC 市場規模は 13.8 兆円に成長 ~ 」http://www. meti.go.jp/press/2016/06/20160614001/20160614001.html より

株式会社アイ・ティ・アール 「IT 投資動向調査 2016」 https://www.itr.co.jp/company/press/151006PR.html より

総務省「平成 26 年通信利用動向調査 」 http://www.soumu.go.jp/johotsusintokei/statistics/data/150717_1.pdf より

※「携帯電話・PHS」には、平成 21年末以降は携帯情報端末（PDA）、平成 22 年末以降はスマートフォンも含む。「スマートフォン」は「携帯電話・PHS」の再掲

総務省「平成 26 年通信利用動向調査」http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h26/pdf/26honpen.pdfより項目を抜粋

ファイアウォールの設置･導入

OSへのセキュリティパッチの導入

社員教育

セキュリティポリシーの策定

アクセスログの記録

外部接続の際にファイアウォールを構築

プロキシ（代理サーバー）などの利用

データやネットワークの暗号化

セキュリティ監査

認証技術の導入による利用者確認

不正侵入検知システム（IDS）の設置･導入

回線監視

セキュリティ管理のアウトソーシング

ウィルス対策対応マニュアルを策定

Webアプリケーションファイアウォールの構築･導入

その他の対策

44.043.0

38.639.2

38.438.9

11.010.78.310.010.39.87.58.1

19.020.5

35.733.2

21.021.0

14.916.2

10.711.39.110.9

29.330.0

22.320.2

12.614.5

重要インフラ機器製造業者

輸送機械●

重要インフラ事業者

●電力･ガス

●航空･鉄道

●公共

●情報通信

機械●

航空･鉄道

公共 輸送機器電力･ガス

機械 機械

2013.4 [2013.1]

2013.10 [2013.3]

2014.7 [2012.8]

2015.3 [2014.2]

2013.6[2010.12]

2014.1[2013.4]

2014.10[2013.5]

2016.1[2015.1]

情報通信

電力･ガス

輸送機器

2014 2015 20162013

1

2

3

4

5

6

8

10

11

7

サイバーセキュリティ戦略（平成 27年 9月 4日 閣議決定）

段階的拡大平成27年度試行実施

平成11 12 13 14 15 16 17 1819 20 21 22 2324 25 26年

100

80

60

40

20

0

保有率（％）

2000年2001年2002年2003年2004年2005年

200件

84,590

137.746127,970

111,660

95,130

EC 市場規模（左目盛） EC化率（右目盛）

( 単位 : 億円 )160,000

140,000

120,000

100,000

80,000

60,000

40,000

20,000

0

77,880

2011年 2015年2014年2013年2012年2010年

3.17%

4.75%4.37%

3.85%

3.40%

2.84%

150件

100件

原因究明 調査

監査

段階的に拡大現行

拡大現行

拡大現行

監視（GSOC）

中央省庁 独立行政法人 特殊法人 その他

府省庁と一体となり公的業務を行う法人

機微情報を保有する法人

50件

0

2006年2007年2008年2009年2010年2011年2012年2013年2014年2015年2016年

6月末

大手重工業･衆議院･参議院などに対するサイバー攻撃

サイバー犯罪条約国会承認

九州沖縄サミット

洞爺湖サミット

日本年金機構に対するサイバー攻撃

サイバーセキュリティ基本法成立

国歌安全保障戦略決定

伊勢志摩サミット

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）による検知･解析機能の強化

内閣サイバーセキュリティセンター予算

平成 28年度概算要求 83 億円

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）の運用　68.5億円

平成 27 年度当初予算 16.5億円 ( 参考 )

政府機関情報セキュリティ横断監視･即応調整チーム（GSOC）の運用　6.5億円

5.00%

4.00%

3.00%

2.00%

1.00%

0.00%

12.5%12.9%

11.5%13.5%

15.3%

情報セキュリティ対策費用

7.0%7.3%7.9%8.7%9.6%

災害対策費用

2011年度2012年度2013年度2014年度2015年度

7.6%9.2%8.7%9.3%

11.2%

IT 内部統制向け費用

重要インフラ事業者東京 2020組織委員会（NISC、重要インフラ所管官庁）

東京 2020組織委員会

東京都関係者（東京都 CSIRT、都営サービス）

22%

22%

11%11%

11%

23%

何らかの被害を受けた

特に被害はない

マルウェアを発見または感染

マルウェアを発見したが感染しなかった

マルウェアを発見し少なくとも 1回は感染した

スパムメールの中継利用･踏み台

DoS（DDoS）攻撃

不正アクセス

故意･過失による情報漏えい

ホームページの改ざん

その他の被害

パソコンなどの端末（OS、ソフトなど）にマルウェア対策プログラム導入

サーバーにマルウェア対策プログラム導入

ID、パスワードによるアクセス制御

0 20 40 60 80 100%

0 20 40 60 80 100%

企業通信網に対するセキュリティ被害　　

対応している

特に対応していない

企業の情報セキュリティ被害状況

情報セキュリティについて何らかの被害を受けたと回答した企業は 4割

企業の情報セキュリティ対策状況

何らかの対策を講じているとの回答が、平成 25年調査および 26年調査とも 97%以上と高い水準で推移

36.137.3

62.059.9

38.040.1

24.128.0

12.09.3

3.03.71.32.21.81.90.51.00.90.50.50.7

87.288.6

66.065.6

55.354.2

1.52.8

98.597.2

平成 25 年末平成 26 年末

( 無回答を除く )

平成 25 年末平成 26 年末

44% 56%

75.7

94.6

78.0

64.2

33.6 33.0

26.3

7.6

携帯電話またはＰＨＳ※

パソコン

固定電話

スマートフォン

インターネットに接続できるテレビ

インターネットに接続できる家庭用テレビゲーム機

タブレット型端末

その他インターネットに接続できる家電（情報家電）など

国会会議録検索システム http://kokkai.ndl.go.jp/ 検索結果より

NISC「新たなサイバーセキュリティ戦略 ~政府機関などのサイバーセキュリティ対策の抜本的強化~」 http://www.nisc.go.jp/conference/cs/dai04/pdf/04shiryou02.pdf より

NNISC「政府のサイバーセキュリティに関する予算 」http://www.nisc.go.jp/conference/cs/dai05/pdf/05shiryou03.pdf より

経済産業省「電子商取引に関する市場調査の結果を取りまとめました~国内 BtoC-EC 市場規模は 13.8 兆円に成長 ~ 」http://www. meti.go.jp/press/2016/06/20160614001/20160614001.html より

株式会社アイ・ティ・アール 「IT 投資動向調査 2016」 https://www.itr.co.jp/company/press/151006PR.html より

総務省「平成 26 年通信利用動向調査 」 http://www.soumu.go.jp/johotsusintokei/statistics/data/150717_1.pdf より

※「携帯電話・PHS」には、平成 21年末以降は携帯情報端末（PDA）、平成 22 年末以降はスマートフォンも含む。「スマートフォン」は「携帯電話・PHS」の再掲

総務省「平成 26 年通信利用動向調査」http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h26/pdf/26honpen.pdfより項目を抜粋

ファイアウォールの設置･導入

OSへのセキュリティパッチの導入

社員教育

セキュリティポリシーの策定

アクセスログの記録

外部接続の際にファイアウォールを構築

プロキシ（代理サーバー）などの利用

データやネットワークの暗号化

セキュリティ監査

認証技術の導入による利用者確認

不正侵入検知システム（IDS）の設置･導入

回線監視

セキュリティ管理のアウトソーシング

ウィルス対策対応マニュアルを策定

Webアプリケーションファイアウォールの構築･導入

その他の対策

44.043.0

38.639.2

38.438.9

11.010.78.310.010.39.87.58.1

19.020.5

35.733.2

21.021.0

14.916.2

10.711.39.110.9

29.330.0

22.320.2

12.614.5

重要インフラ機器製造業者

輸送機械●

重要インフラ事業者

●電力･ガス

●航空･鉄道

●公共

●情報通信

機械●

航空･鉄道

公共 輸送機器電力･ガス

機械 機械

2013.4 [2013.1]

2013.10 [2013.3]

2014.7 [2012.8]

2015.3 [2014.2]

2013.6[2010.12]

2014.1[2013.4]

2014.10[2013.5]

2016.1[2015.1]

情報通信

電力･ガス

輸送機器

2014 2015 20162013

図-1ラックが対応した標的型攻撃事案のターゲット組織

図-2-Daserf-事案対応のタイムライン

上段：事案対応を行った年月下段：攻撃者が侵入したと推測される年月

03

04

6

sl.exe など ) を装っているために、PC 上で動作していても正規のプログラムなのか不正なものなのかを

判別しづらい点にあります。なお、すべての事案で機密情報を圧縮した RAR ファイル 1 を確認しており、

攻撃者は攻撃が発覚するまでの間に企業が持つ機密情報を窃取しようとしていたと見られます。

Daserfの動作環境および概要　Daserf は Windows OS で動作します。ファイル操作 ( 作成や削除、検索など ) やコマンドプロンプ

ト (cmd.exe) による操作などさまざまな機能を持ち、感染させた PC 上で任意の操作を実行することが

できます。これらの機能は、図3のようにマルウェアの中にハードコードされるファイル名 (xxxxx.asp)

によって分類されており、攻撃者の C2(Command & Control) サーバからの命令に応じて実行する操

作が変化します。

Daserfの通信の特徴　Daserf は、C2 サーバとの通信に主として HTTP POST リクエストを利用しますが、C2 サーバへの

セッションを確立する際には、HTTP GET リクエストも利用します。セッションを確立して通信を始める

までの手順は次のとおりです。まず、HTTP GET リクエストを介して C2 サーバから GIF ファイルをダ

ウンロードします (図4）。この GIF ファイルの実態は、拡張子どおりの画像ファイルではなく、1 バイト

で XOR( 排他的論理和 ) エンコードされた URL2 です。

1 データ圧縮のファイルフォーマットの 1 つ。　2 マルウェアによって XOR Key が異なる場合がある。

図3-マルウェアにハードコードされたファイル名

図4-Daserf が C2サーバへセッションを確立する際のHTTP-GET 通信

05

06

07

7

　その後、この URL とマルウェアにハードコードされたファイル名を組み合わせ、C2 サーバにデータを

送信します (図5）。

　図 6は、図 4 の HTTP GET 通信後に発生する最初の HTTP POST 通信で、送信データは感染 PC

を示す識別子と Base64 方式でエンコードされた感染 PC の情報 ( 枠内 ) です。この Base64 方式でエ

ンコードされた送信データをデコードすると、ホスト名や IP アドレスなどの感染 PC を表す固有情報が文

字列に含まれていることが確認できます（図7）。文字列に含まれるOS バージョンの 6.1はWindows 7を、

ロケール ID の1041は日本語を示します。

　ラックが保有する複数の Daserf を調査したところ、ある特徴が浮かび上がりました。図 8（次頁）は

Daserf の通信先ドメイン名から IP アドレスを割り出し、Maltegoiv で分析した結果を一部抜粋して表し

たものですが、複数の矢印が 2 つの楕円に向かっていることが確認できます 3 。楕円で囲った部分はい

ずれも韓国の通信事業者が管理する IP アドレスで、左側は LG DACOM Corporation、同右が Korea

Telecom のものです。このケースを含め、ラックが確認した限りでは Daserf が通信する C2 サーバの IP

アドレスの約 65％は韓国企業が保有するものでした。このことから、Daserf を用いる攻撃者は韓国のイ

ンターネットサービスプロバイダを C2 サーバのインフラとして利用している可能性が高いと推察すること

ができます。また、一部ではあるものの、日本の VPS（仮想専用サーバ）サービス提供事業者の IP アド

レスも C2 サーバとして利用されていることを確認しています。

3 調査時点で確認した IP アドレスであり、現在は異なる IP アドレスの可能性がある。

図5-デコード後のURLから確認できるC2サーバの通信先

図6-セッション確立後、最初に発生するDaserf の HTTP-POST 通信

図7-デコード後に確認された文字列

08

09

8

　また、一部の C2 サーバにおいては、アクセスしてきたユーザの IP アドレスが攻撃対象であった場合の

み、コンテンツを返す細工が施されている可能性があることが確認できました。図 9のように、意図的に

Daserf へ感染させたラックの PC で、C2 サーバのドメイン名から IP アドレスへ名前解決することは可能

ですが、C2 通信 (HTTP GET 通信 ) は、C2 サーバと TCP コネクションが確立できませんでした。こ

のことから、攻撃者は、C2 サーバにおいて攻撃対象外の IP アドレスからの接続を拒否し、コンテンツを

ダウンロードさせないようにすることで、C2 サーバの存在を気付かせにくくしていると考えられます。

Daserfの検出方法　Daserf に感染した PC やサーバは、比較的容易に見つけることができます。Daserf は C2 サーバと

の通信を確立するために、10 秒間に 1回程度の頻度で C2 サーバ上にある特定の ASP ファイルに向け、

HTTP POST 通信を発生させます4 。プロキシログには同一の PC から発生した大量の POST 通信が記

録されることになるため、こうした通信がプロキシログに存在しないかを定期的にチェックすることで、感

図9-C2サーバの名前解決

図8-Daserf の通信先 (IPアドレス )

10

9

染 PC などを発見しやすくなります。

　また、通信を行う際に HTTP ヘッダに付与される User-Agent は、マルウェアの中にハードコードさ

れており、最近の Daserf のバージョンでは "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;

SV1)" が利用されます 5。一見すると正規の Internet Explorer (IE) 8 の User-Agent のようですが、よ

く見ると IE 8 を利用した際に付与される v "Trident 4" の文字列が欠落しています。こうした「User-Agent

の有無」をプロキシログにおいてチェックすることも、有効な検出方法の1つです。

　プロキシログなどから C2 サーバへの通信を発生させている PC を特定できた場合、次の方法を試す

ことで Daserf の痕跡が確認できる可能性があります。Autoruns6 などを利用して Windows 起動時に

自動実行するスタートアップ 7 やサービス 8 のレジストリ値を確認する方法です。図10では、Daserf が

Adobe ARM というファイル名を利用し、スタートアップ時に AdobeARM.exe が実行するよう設定され

ていることが見て取れます。

4 C2 サーバより URL が含まれる GIF ファイルを取得できない場合は、1 分間に 1 回程度の頻度で GIF ファイルに向け、HTTP GET 通信が発生する。また、マルウェアによっても通信を発生させる頻度には差異がある。

5 古いバージョンのDaserfの場合は、"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" が利用される。

6 Autoruns は、Windows 起動時に自動実行させるプログラムの一覧を表示させるためのツールで、Windows Sysinternals で配布される。

(　https://technet.microsoft.com/ja-jp/sysinternals/default　)

7 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run または HKCU\Software\Microsoft\Windows\CurrentVersion\Run

8 HKLM\SYSTEM\CurrentControlSet\Services

図10-Autorunsによるレジストリの確認

11

12

10

Daserfを利用する攻撃者像　Daserf についての数少ない報告の 1 つに、VeriSign iDefense が 2007 年に報告した iDefence

Research Report (Wicked Rose and the NCPH Hacking Group)vi があります。レポートでは、中

国の Network Crack Program Hacker(NCPH) Hacking Group と呼ばれるハッキンググループが

2006年6月の標的型攻撃で利用したマルウェアの1 つにDaserf(Daserf.A)があったとしており、このハッ

キンググループが Daserf の作成に関与していた可能性を示唆しています。

　ラックが調査したケースからも、攻撃者像がおぼろげながら浮かび上がりました。図11は LED 製品を

扱う海外の商社の正規 Web サイトで、Daserf を利用する攻撃者に C2 サーバとして利用されていました。

この Web サイトの css ディレクトリ内ファイル一覧を見ると、cssファイルだけでなく、PHP ファイルが

複数存在していることが確認できます。攻撃者は何らかの方法で商社の Web サーバを侵害し、サーバ管

理者が意図しないファイルを設置したと考えられます。

　調べたところ、css ディレクトリにある feedcom.phpファイルの内容は実は PHP ファイルではなく、

暗号化されたファイルでした。さらに、この暗号化された PHP ファイルをデコードして実行ファイルであ

ることを確認したのが図12です。

デコード

図12-feedcom.phpファイル（上）をデコードした結果（下）

図11-cssディレクトリ内のファイル一覧

13

14

11

　PHP ファイルからデコードした実行ファイルは、マルウェアなどの不正プログラムではなく、中国語版

の Windows OS に標準で同梱されるメモ帳 (5.1.2600.5512 (xpsp.080413-2105)) でした (図13）。

攻撃者がなぜメモ帳を暗号化して C2 サーバに置いたのか、理由は不明です。

　なお、同じ css ディレクトリ内にある comment.php には日時、IP アドレス、User-Agent が記録さ

れており、何らかのアクセスログである可能性が高いと考えられます。

　次に、Daserf を含めた関連マルウェアの不正通信の状況から攻撃者像を見ていきます。2015 年 9 月

15 日から同年 10 月16 日までの不正通信を時系列で集計したグラフが図14です。2 段ある矢印のうち

上段は日本の休日を、下段は中国の休日を表しています。グラフを見ると、2015 年 9 月 28 日から10 月

9 日までの期間には、ほぼ一定かつ少量の通信が発生していることが確認できます。この期間は、2015

年の中国の国慶節 (10 月1日から10 月 7 日 ) に当たり、中国の文化･ 慣習の下で生活していると思われ

る攻撃者も休暇を取っていた可能性が考えられます。一定かつ少量の通信は、感染 PC が攻撃者に操作

されない間、マルウェアがビーコン通信のみを発生させていたためだと推測することができます。

　ここまでは Daserf を含めた関連マルウェアの不正通信について時系列の変化を見てきましたが、次は

時間帯による変化の様子に着目します。図15（次頁）は、2015 年 9 月15 日から同年 10 月16 日まで

の通信量を時間帯 9 別に集計したグラフです。9:00 から17:00 までの枠で囲んだ時間帯の通信量が顕著

に多いことが一目瞭然で、攻撃者はこの時間帯に感染 PC を操作していた可能性が高いと考えられます。

なお、枠で囲んだ時間帯を中国の標準時に当てはめると 8:00 から16:00 となり、ほぼ一般的な労働者

の勤務時間に該当します。

　攻撃者の活動時間に関しては、日本の活動時間帯に合わせているとも考えられますが、前述のように通

信量のごく少ない日が中国の休暇と一致していたことを考慮すると、攻撃側の生活時間帯に従っていると

の推測が成り立つと考えられます。

国慶節

日本の休日

中国の休日

図13-中国語版のメモ帳

図14-2015年 9月中旬から10月中旬までの不正通信の回数

15

16

12

0

5000

10000

15000

20000

25000

0:001:002:003:004:005:006:007:008:009:00

10:00

11:00

12:00

13:00

14:00

15:00

16:00

17:00

18:00

19:00

20:00

21:00

22:00

23:00

通信回数

図15-時間帯別の不正通信の回数

　また、次項の「攻撃者が利用するマルウェアの種類」でも触れていますが、一連の攻撃において攻撃者

が利用する一部のマルウェアは、中国のサイトで公開されているツールを利用して暗号化されています。

あくまで推測の域を出ませんが、これらの断片的な状況証拠を積み上げることにより Daserf を利用する

攻撃者像がうっすらと見えてきたと言っていいでしょう。

Daserfを利用する攻撃者の手口　標的型攻撃では、攻撃者はさまざまな攻撃手法を駆使して標的組織に侵入しようとします。Daserf を

利用する攻撃者の場合は、季節のグリーティングメールに見せかけた標的型メールにファイルを添付し、そ

れを開かせるように誘導してマルウェアに感染させます。メールの受信者が添付ファイルを開くと、図16の

ような Flash アニメーションが現れますが、その裏ではマルウェア ( ダウンローダ ) が実行されることにな

ります。

　ラックが調査したケースでは、メールに添付されたファイルはおおむね zipファイルで、解凍すると exe

ファイルが出てきます。この exeファイルは、「新年アニメーション.exe」という Flash アイコンのファイ

ルを装っています（図17；次頁）。これを実行すると、Flash アニメーションが表示される裏で C2 サーバ

から Daserf や異なる種類のマルウェアがダウンロードされ、実行されてしまいます（図18 CASE A；次頁）。

なお、メール本体の文面はいずれのケースでも確認できていません。

　ダウンローダのコンパイル日を見ると、おおむね12 月下旬に作成されていました。攻撃者は、クリスマ

スやお正月というイベントに乗じて標的型メールを送り付けていると見られます。

図16-メールの添付ファイルに含まれていたおとりのFlashアニメーション

日本時間

17

18

19

13

図17「新年アニメーション.exe」という名の実行ファイル

図18-標的型メールによる感染経路

　マルウェアに感染させる手法は、exe を圧縮した zipファイルを直接、標的とするユーザへ送り付けるだ

けではありません。ラックでは、Microsoft Office の脆弱性である CVE-2015-2545 を突いた手法も利

用されている可能性が高いと見ています (図18 CASE B)。なぜなら、Symantec 社がブログで Daserf

をダウンロードするマルウェアとして紹介した Gofarer が、CVE-2015-2545 の脆弱性が悪用された後

にドロップされるマルウェア ( ダウンローダ ) と類似しているためです。図19は、Gofarerとドロップされ

たマルウェアの Mutex を作成するコードとを比較した結果ですが、Mutex の命名規則が類似しているこ

とがわかります。この他、いずれのマルウェアにも、図20( 次頁 ) のような特殊フォルダのパスを取得する

Windows API の SHGetSpecialFolderPathAviii を利用してスタートアップフォルダを取得し、マルウェ

アをスタートアップフォルダに作成するコードが利用されています。したがって、これら 2 つのダウンローダ

を利用する攻撃者は同一である可能性が高いと見ることができます。

-図19-ダウンローダのコード比較

ZIP

DOCXCASE B

CASE A解凍

EXE

EXE

W

EXE

ドロップ ダウンロード

ドロップ ダウンロード

日本のVPSサーバCVE-2015-2545

20

21

22

14

図20-SHGetSpecialFolderPathAを利用してスタートアップフォルダを取得

　Kaspersky Labix の報告によれば、CVE-2015-2545 の脆弱性を悪用する攻撃コードは、複数の攻

撃者が利用しているとされています。FireEyex の報告にもあったように、日本でも 2015 年 11月末にこ

の脆弱性を悪用した Office 文書ファイルが確認されています。ラックでも FireEye が発見したのと同時期

にある特定の業種に属する組織が同じ Office 文書ファイルを受信していることを確認しており、この業種

を狙った標的型攻撃である可能性が高いと判断しています。

攻撃者が利用するマルウェアの種類　Daserf を用いる攻撃者は、コマンドコントロール用の複数のマルウェアやダウンローダ、ハッキングツー

ルを利用しています。コマンドコントロール用マルウェアの 1つである DATPERxi は、HTTP GET 通信

を利用して C2 サーバと通信を行います。コマンドの実行結果や感染 PC の情報は、暗号化された後、ク

エリストリングに含めて C2 サーバへ送信されます (図21）。

図21-DATPERによるHTTP-GET 通信

　DATPER は、送信データを XOR エンコードとカスタム Base64 方式でエンコード後、データ圧縮

に使われる Windows API の RtlCompressBufferxii で圧縮します。XOR エンコードは図 22の枠で

囲んだ部分のデータを元に作成されたキー 10 を利用し、カスタム Base64 エンコードは図23にある

Base64 変換テーブルを利用します。なお、XOR エンコードとカスタム Base64 方式でエンコードのみ

を行い、RtlCompressBuffer でデータを圧縮せずに送信する場合もあります。

10 マルウェアによって異なる可能性がある。

図22-XORキーテーブル

23

24

25

15

図21の文字列のうち枠で囲んだ部分をデコードした結果が図24で、図中枠内に見られる VMPC-123

は感染した PC のホスト名を表しています。

図23-カスタムBase64変換テーブル

図24-送信データをデコードした結果

　ダウンローダについては、Gofarer の他、VB スクリプトで作成されたマルウェアも確認しています。こ

のマルウェアは、中国のサイト xiiiで公開されている暗号化ツールを利用して図25のように暗号化されて

います。次頁の図26は、VB スクリプトをデコードした際のコードの一部で、通信を発生させるために

Internet Explorer のオブジェクトを利用していることが確認できます。

図-25暗号化された-VB-スクリプトの一部コード

26

27

28

16

図-26-VB-スクリプトをデコードした結果の一部

　ハッキングツールについては、mimikatz gsecdump など一般に公開されたツールの存在の他に、攻撃

者が独自に作成したアップロードツールやトンネリングツールも存在します。ラックが確認した攻撃者独自

のアップロードツールは、カレントディレクトリ内にある拡張子 rar（.rar）のファイルを探します。そして見

つかった rarファイルは、このアップロードツールによって引数に指定された URL( ここでは、www.lac.

co.jp) へアップロードされます (図27)。

-図 27-独自のアップロードツールを実行する様子

　この独自ツールは、www.lac.co.jp に HTTP POST 通信を利用してデータを送信します（図28）。送

信されたデータは、「ファイル名 ### ファイル内容」となり、XOR エンコードとカスタム Base64 方式で

エンコードされています。このデータをデコードすると「lac.rar###lac」となります。攻撃者は、こうした

独自ツールと Daserf を組み合わせて利用することで、窃取した機密データが含まれる RAR ファイルを自

身が管理する C2 サーバに送信していた可能性が高いと考えられます。

図28アップロードツールにおけるHTTP-POST 通信

　

17

おわりに　ここまで見たように、Daserf を用いる攻撃者は、標的組織の機密情報を窃取することを目的に、

Daserf を含む複数のマルウェアを利用して、長期間にわたり密かに活動を続けています。ラックの

Daserf 事案対応から推測する限り、攻撃者は少なくとも1年に一度は日本の重要インフラに攻撃を仕掛

けており、今後も攻撃を継続するだろうと考えられます。このような状況下で今後の対策の検討に役立て

ていただくため、今回の考察をまとめました。

　Daserf による被害範囲や漏えいした可能性のあるデータはある程度、特定することができます。事案

対応から痕跡として見つかったマルウェアを解析し、マルウェアによって暗号化された通信をデコードする

ことで特定しますが、そのためにもプロキシサーバの通信ログはもちろん、DNS サーバの通信ログ xiv も日

常的に記録しておくことを推奨します。加えて、ディスク容量やシステムの負荷などの問題もありますが、通

信パケットについてもスイッチングハブやルータのミラーポートを利用して記録しておくとなお良いでしょう。

　ラックでは今後も継続的に Daserf の背後に控える攻撃者について調査し、広く情報を提供していきた

いと考えています。　

Indicator-of-Compromise(IOC)

11c5664bb5ea536676735efff333e2e2

27ad4f54563038b7a90e66444bf7146e

422450b14ad728a3b40dee3c4a48b53f

48efa1dbc5dfc59df0c34b13a96cbd5c

491b4a8912cf5c1554ce8807f7889d4b

5c242fab2d222848755dadfbd29f7176

5dd701d2df35c2a75d1ed5ad75ded06d

765017e16842c9eb6860a7e9f711b0db

7c91dcc66f6d0c31d6e36bb2869c0622

80cc4ac026fa5d5b6f0ae82d19126ea4

8979b840eb5a9a5d84f3da7843859bd5

975f512e59ae2e592ba8e2c657bcb3fc

9b7ccca8af5fd30e8e3706fdf4419653

9be919143ed3d33e713242ebe5923a89

9faf0d22bbb0e837ed750435d4c01431

a77a25fb8112dc5f8a2feac0413d5f58

b2ef0baef194f5c0044cfe5b6c5f321b

bbd6fceba90efdbdbe22f11af9199321

c35e99e48a4e81d43e66355a202f8902

caafc4b6154022e7d50869d50d67148a

d3031438d80913f21ec6d3078dc77068

dbb4415b7ba646fd6272e18311f43c10

df44fab5096630133b4159e5c196e9b4

f4ab35f4f8569a446eba63df68ab8d97

MD5

通信先bbs.jirohome.com

buy.monexs.com

date.avayep.com

eat.leaftosky.com

eks.yukiheya.com

go2kba.astringer.com

www.haikuyears.com

ipad.beppujigoku.com

ipad.meropar.net

list.max-fx.net

mshelp.energymice.com

news.justdied.com

ntwo.turkdaw.com

pcsecure.jparadise.net

phone.energymice.com

phot.healthsvsolu.com

rlsolar.jp

tvbs.yeowkim.com

update.shinewanta.com

www.twscsk.net

www9.anglest.net-

www.03trades.com

www.beinzoo.com

www.dreamsig.com

www.rakutan.jp

-

18

出　典i ------- http://www.nisc.go.jp/active/kihon/pdf/jseval_2015.pdf

ii ------ http://www.symantec.com/connect/ja/blogs/tick

iii ----- http://www.nisc.go.jp/active/infra/pdf/cc_ceptoar.pdf

iv ----- https://www.paterva.com/web7/buy/maltego-clients.php

v ------ https://msdn.microsoft.com/ja-jp/library/dd371735%28v=vs.85%29.aspx

vi ----- http://krebsonsecurity.com/wp-content/uploads/2012/11/WickedRose_andNCPH.pdf

vii ---- https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2545

viii --- https://msdn.microsoft.com/en-us/library/windows/desktop/bb762204(v=vs.85).aspx

ix ----- https://securelist.com/analysis/publications/74828/cve-2015-2545-overview-of-current-

threats/

x ------ https://www.fireeye.com/blog/threat-research/2015/12/the-eps-awakens-part-two.html

xi ----- http://about-threats.trendmicro.com/Malware.aspx?name=BKDR_DATPER.A

xii ---- https://msdn.microsoft.com/en-us/library/windows/hardware/ff552127(v=vs.85).aspx

xiii --- http://www.52pojie.cn/thread-147071-1-1.html

xiv --- http://www.lac.co.jp/blog/category/security/20160316.html

日本の重要インフラ事業者を狙った攻撃者

VOL .2 2 0 1 6

株式会社ラックサイバー･グリッド研究所