“クマムシ”という名の高度なマルウェアが、バイオ産業を狙っている

地球最強の生物との異名をもつ微小な無脊椎動物のクマムシにちなんで、「Tardigrade(緩歩動物)」と名付けられたマルウェアがセキュリティ業界に衝撃を与えている。主にバイオ産業を狙うこのマルウェアは、業務妨害から破壊行為、スパイまであらゆる活動に対応するように設計され、しかも自律的な動作が可能という。その背後には、国家によるスパイ活動の存在も見え隠れする。

TEXT BY LILY HAY NEWMAN

WIRED(US)

あるバイオ関連の製造施設が2021年春にランサムウェア攻撃を受けたとき、対応チームは違和感を覚えた。攻撃者は中途半端な身代金要求のメモを残しただけで、実際に身代金を回収することにはさほど興味がないように見えたのだ。

このときのマルウェアは衝撃的なまでに洗練されたものだった。このため、地球最強の生物との異名をもつ微小な無脊椎動物のクマムシにちなんで、「Tardigrade(緩歩動物、クマムシ)」と名付けられた。

生物医学とサイバーセキュリティの企業であるBioBrightの研究者らがさらに詳しく調べると、Tardigradeの機能は単に施設中のコンピューターをロックするだけではないことが判明した。このマルウェアは環境に適応し、身を隠し、さらにはC&C(コマンド&コントロール)サーバーから切り離されても自律的に動作できることがわかった。まったく新しいタイプのマルウェアだったのである。

こうしたなか、BioBrightが加盟しているサイバーセキュリティの非営利団体「Bioeconomy Information Sharing and Analysis Center(BIO-ISAC)」は11月22日(米国時間)、Tardigradeに関する調査結果を公開した。誰がこのマルウェアを開発したかについては、BIO-ISACは明らかにしていない。

だが、その巧妙さとその他のデジタルフォレンジック(デジタル鑑識)で見つかった手がかりから、潤沢な資金と動機をもつ「高度で持続的な脅威(APT)」を実行するグループの仕業とみられている。しかもBIO-ISACによると、このマルウェアはバイオ製造分野において「活発に拡散している」という。

「ほぼ確実にスパイ活動から始まったものですが、いまではあらゆる活動にかかわっています。妨害から破壊行為、スパイ活動まで、あらゆることです」と、BioBrightの最高経営責任者(CEO)のチャールズ・フラッキアは言う。「これまで確認されてきたこの業界のマルウェアのなかでは段違いに洗練されています。ほかの産業を標的にしたAPT攻撃(持続的標的型攻撃)による国家主導の攻撃や活動に不気味なほど似ています」

新型コロナウイルスのパンデミック(世界的大流行)と闘うべく世界中の国々が最先端のワクチンと医薬品を大急ぎで開発・製造して販売にこぎ着けようとするなか、バイオ製造分野の重要性は誰の目にも明らかになっている。被害を受けた施設が新型コロナウイルス対策に関連しているかフラッキアはコメントを避けたが、施設での製造プロセスは重要な役割を担っていると強調した。

より高度で広範な機能

研究者らはTardigradeについて、「Smoke Loader」という名のよく使われているマルウェアダウンローダーに似ていることを発見した。「Dofoil」とも呼ばれるこのツールは、遅くとも2011年、あるいはもっと以前からマルウェアのペイロードを配布するために使われており、犯罪者向けの掲示板で容易に入手できる。

Smoke Loaderに関連して2018年に、このツールを用いた大規模な暗号通貨マイニング活動をマイクロソフトが阻止している。また、セキュリティ企業のProofpointは7月、このダウンローダーを正規のプライバシーツールに偽装して被害者にインストールさせるデータ窃盗攻撃に関する調査結果を発表した。

攻撃者はさまざまな既製のプラグインを使ってSmoke Loaderの機能を目的に応じて調整できる。さらにSmoke Loaderは、巧妙な技術的な仕掛けによって身を隠すことでも知られている。