ダークホテル
ホテルのWi-Fiから情報を盗み取るダークホテル。 ダークホテル (Darkhotel)とは、 ホテルのシステムをウイルスに感染させ、宿泊客がホテルのWi-Fi接続したときに、ソフトウェアのアップデートを装って、宿泊客にウイルスをインストールさせ、宿泊者から機密情報を盗み出す手口です。ダークホテルに感染した端末の2/3が日本にあるとされています。
読み方
- ダークホテル
- だーくほてる
- Darkhotel
- だーくほてる
概要
高級ホテルの宿泊者から機密情報を盗み取る、ダークホテルと呼ばれるAPT攻撃手口がカスペルスキーから発表されました。
ビジネスの出張で、高級ホテルに滞在中の企業幹部を標的として、4年前から行われているようです。 ダークホテルは、暗号、ゼロデイ、キーロガーを組み合わせています。
感染した端末の2/3は、日本の端末とされています。
攻撃者
韓国語を話す人物とされています。そのため、韓国のスパイ活動の可能性が疑われています。
手口
- ホテルのシステムやネットワークに侵入し、ウイルスに感染させる
- 宿泊者がWi-Fi接続や有線接続した後、Adobe Flash Player や Google ツールバーなどの「ソフトウェアの更新を装った画面」を表示し、マルウェアをインストールさせる。
- 宿泊者が標的であるか判断し、機密情報を入手する
マシンにダウンロードさせたバックドアから、標的を選別し、さらに高度なツールをダウンロードするか判定します。ターゲットにカスタマイズしたキーロガーなどのマルウェアをインストールし、機密情報を入手します。
スケジュールが把握されている
企業幹部がホテルにチェックインする時間、チェックアウトする時間を攻撃者はあらかじめ、把握していると考えられています。
ホテル以外の感染経路
ダークホテルのマルウェアは、P2Pファイル共有ソフト BitTorrent のフィードに仕込まれている場合もあります。半年で、30,000回以上ダウンロードされた例もあります。例えば、日本のマンガや動画の海賊版にマルウェアが同梱されているようです。
ダークホテルに感染した端末は日本に多い
ダークホテルに感染した端末の2/3にあたる2000台あまりが日本で見つかったとされています。日本以外に、中国、台湾でも感染が確認されています。
感染しているパソコンの数の多い国は、以下の通りです。
- 日本
- 台湾
- 中国
- ロシア
- 韓国
- 香港
- インドネシア
- ドイツ
- アメリカ
- アイルランド
攻撃に気付くには
ホテルが提供している有線や無線のネットワークに接続した状態で、見の覚え無いないソフトウェアの更新画面が表示されるようなことがあれば、それは、ダークホテルの疑いがあります。
対策
アップデートが偽装されたものであるか、判断が難しいかもしれないので、ホテルの有線LANやWi-Fiに接続せず、自身が所有するモバイルルータやスマホでテザリングするのが簡単な対処法でしょう。自身でインターネット接続を用意できない場合には、ホテルのWi-Fiに接続した上で、VPN接続経由でアクセスすることで緩和可能でしょう。
関連項目
ツイート