その名は「ゴジラ」 正体を隠して潜む“怪獣級”マルウェアの危険性は？：中国政府が関与か？

米政府機関が警告を発表したWebシェル「Godzilla」を悪用したサイバー攻撃は、巧妙な技術で脅威検出を回避しているのが特徴だ。その仕組みと危険性は。

[Jill McKeon，TechTarget]

　米保健社会福祉省（HHS）配下の保健医療サイバーセキュリティ調整センター（HC3）は2024年11月12日（現地時間）、標的のWebサーバに任意のコマンドを実行させるWebシェル「Godzilla」を悪用したサイバー攻撃について警告を発した。HC3によると、Godzillaは脅威検出を回避するように設計されている。その巧妙な仕組みとは。

なぜ検出されにくいのか

　Godzillaは、ネットワーク通信に暗号化アルゴリズム「AES」（Advanced Encryption Standard）を使用する。AESは正規の通信の暗号化アルゴリズムとしても使われており、Godzillaの通信と正規の通信との見分けが付きにくいため、脅威検出を回避できるとHC3は分析する。脅威アクターは、Godzillaを悪用してコマンドを実行し、標的のシステムに入り込み、大規模なサイバー攻撃を実行する。ネットワーク構成やOSに関する情報収集も可能だ。

　Godzillaは「BeichenDream」というハンドルネームの中国語圏の個人が開発した。HC3は「Godzillaに中国政府が関与しているという報告が複数ある。その可能性はあるが、断定はできない」と説明する。

　HC3は「BeichenDreamがGodzillaを公開リポジトリで配布しているため、第三者がソースコードを入手し、目的に合わせて容易に修正・利用できることも特徴だ」とも指摘する。

　Godzillaを悪用した一連の攻撃（攻撃キャンペーン）には、以下の例がある。

• 2021年11月に発覚した、Zohoのアカウント管理ツール「ManageEngine ADSelfService Plus」の脆弱（ぜいじゃく）性を悪用した攻撃キャンペーン
• 2023年2月に発覚した、脅威アクター「Dalbit」が実行した攻撃キャンペーン

　HC3は「Godzillaは高機能で、継続的に開発されているため、長期間にわたり有効な防御策を講じることは難しい」と指摘する。代わりに、HC3は医療機関に対し、サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）のレポートや国家安全保障局（NSA）のセキュリティ資料を参照するように推奨している。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。