その名は「ゴジラ」 正体を隠して潜む“怪獣級”マルウェアの危険性は?:中国政府が関与か?
米政府機関が警告を発表したWebシェル「Godzilla」を悪用したサイバー攻撃は、巧妙な技術で脅威検出を回避しているのが特徴だ。その仕組みと危険性は。
米保健社会福祉省(HHS)配下の保健医療サイバーセキュリティ調整センター(HC3)は2024年11月12日(現地時間)、標的のWebサーバに任意のコマンドを実行させるWebシェル「Godzilla」を悪用したサイバー攻撃について警告を発した。HC3によると、Godzillaは脅威検出を回避するように設計されている。その巧妙な仕組みとは。
なぜ検出されにくいのか
Godzillaは、ネットワーク通信に暗号化アルゴリズム「AES」(Advanced Encryption Standard)を使用する。AESは正規の通信の暗号化アルゴリズムとしても使われており、Godzillaの通信と正規の通信との見分けが付きにくいため、脅威検出を回避できるとHC3は分析する。脅威アクターは、Godzillaを悪用してコマンドを実行し、標的のシステムに入り込み、大規模なサイバー攻撃を実行する。ネットワーク構成やOSに関する情報収集も可能だ。
Godzillaは「BeichenDream」というハンドルネームの中国語圏の個人が開発した。HC3は「Godzillaに中国政府が関与しているという報告が複数ある。その可能性はあるが、断定はできない」と説明する。
HC3は「BeichenDreamがGodzillaを公開リポジトリで配布しているため、第三者がソースコードを入手し、目的に合わせて容易に修正・利用できることも特徴だ」とも指摘する。
Godzillaを悪用した一連の攻撃(攻撃キャンペーン)には、以下の例がある。
- 2021年11月に発覚した、Zohoのアカウント管理ツール「ManageEngine ADSelfService Plus」の脆弱(ぜいじゃく)性を悪用した攻撃キャンペーン
- 2023年2月に発覚した、脅威アクター「Dalbit」が実行した攻撃キャンペーン
HC3は「Godzillaは高機能で、継続的に開発されているため、長期間にわたり有効な防御策を講じることは難しい」と指摘する。代わりに、HC3は医療機関に対し、サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)のレポートや国家安全保障局(NSA)のセキュリティ資料を参照するように推奨している。
TechTarget.AIとは
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。