これは中国からの刺客か？ 往年のマルウェアがリバイバル：668th Lap

思わず懐かしさを感じてしまうあのマルウェアが、またもや悪事を働いているらしい。やつらの狙いはテレワーカー。あなたのお家のアレは大丈夫？

[キーマンズネット]

　コロナ禍の状況にも慣れ、少しずつオフィス回帰の動きも見られるが、働き方がコロナ禍以前に戻るとは現時点では考えにくい。こうした事情から、近ごろはオフィスだけでなく従業員の個人宅を狙うサイバー攻撃も増えている。

　最近はあの使い古された攻撃手法がさらに巧妙化し、またもや暗躍しているという。中国や香港とも関係があるのではと考えられているが、一体何がヤバいのか？

　テレワーカーを狙い撃つ新たなサイバー攻撃とは、「トロイの木馬」だ。トロイの木馬と言えば手垢の付いた前時代的な手法のように思えるが、最新型のトロイの木馬は想像以上に厄介なのだという。

　この件を発表したのは、CDNベンダーとして知られるLumen Technologiesだ。同社の脅威リサーチ・オペレーション部門「Black Lotus Labs」が、個人および小規模オフィスを標的とするリモートアクセス型トロイの木馬「ZuoRAT」の登場を報告した。

　同社の公式ブログで明らかにされたZuoRATは、個人宅や小規模オフィスで利用されることが多い、ASUSやCisco、DrayTek、NETGEARなどのルーターを標的にするという。それらのルーターのうち脆弱（ぜいじゃく）性に対処したパッチが適用されていない端末を狙う。

　Black Lotus Labsによると、ZuoRATは4つのマルウェアで構成されており、そのうち3つは新開発のマルウェアだという。ZuoRATはまず、インターネットに接続されたルーターの中から、修正パッチが適用されておらず脆弱性が残されたままの端末を探知する。そしてその脆弱性を突いてルーターにバックドアを作成する。

　ZuoRATは、ルーターとLAN情報をC&Cサーバ（C2サーバ）へ送信し、悪意ある第三者からコントロール可能にしてしまうと同時に、自身の痕跡を消去する。さらにルーターをC&Cプロキシサーバとして乗っ取る。

　プロキシサーバ内で、「Google」や「Facebook」などテレワーカーが仕事の合間にアクセスしそうなWebサイトやサービスのIPアドレスを変換し、悪意あるWebサイトへ誘導するIPアドレスに置き換える。さらにHTTPプロトコルさえも乗っ取り、通信を改ざんしてアクセス先をリダイレクトする。しかも302リダイレクトなのでユーザーはほぼ気が付かないという。

　こうした偽装工作により、ZuoRATはテレワーカーが扱う機密情報を悪意ある第三者に流す仕組みをつくるというわけだ。

　Black Lotus Labsによるとこのリダイレクト先は中国のIPアドレスのようで、コード内に漢字や特定の文字列があることから、ZuoRATは中国のサイバー犯罪者が開発したものだと推測される。さらに、本来のターゲットは香港のユーザーではないかとも考えられている。

　しかし、ZuoRATは既に世界中に広がっており、まだ発覚していないものを含めれば相当数のルーターが既にその毒牙にかかっている可能性があるとBlack Lotus Labsは分析する。

　コロナ禍でビジネス環境は刻一刻と変化しているが、就労形態がコロナ禍以前に戻ることは今のところ考えにくい。だからこそ、自宅のルーターのファームウェアを小まめに更新することを心掛け、常に最新の状態に保っておきたいものだ。

上司X：　テレワーカーを狙う新たなサイバー攻撃「ZuoRAT」が発見された、という話だよ。

ブラックピット：　テレワーカーというか家庭用のルーターですよね、ターゲットは。

上司X：　そりゃそうだけど、それで被害に遭うのはテレワーカーだよね。

ブラックピット：　ちょっと確認しただけで、そんなに怒らなくても……。

上司X：　ともかく、ZuoRATに感染したらもう攻撃者のやりたい放題になるというわけだな。

ブラックピット：　テレワーカーによっては、外に出したら問題になるような情報を持っているケースもなくはないでしょうしね。

上司X：　そうだな。まあZuoRATが香港と中国が関係しているかどうかは俺たちの関与することではないかもしれないが……。

ブラックピット：　僕のようなマジメなビジネスパーソンの業務情報を盗んで行くんですね。　マジメに働いてるのに！　（通勤時間のない在宅ワーク最高！　自由時間も取れるし……）

上司X：　いやまだ被害に遭ったわけじゃないのに、なぜ怒る（笑）。そしてちょっと本音がカッコ書きで漏れてる気がするが、まあそれはテレワークの一つのメリットでもあるだろうし。とにかくだ、やはり情報漏えいはマズい。だからこそ、ファームウェアの更新を小まめに確認して置くべきだな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。