サイランス vs. Olympic Destroyer

By The Cylance Team

本ブログ記事は、2018年2月20日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

背景情報

韓国・平昌で開催された冬季五輪。しかし、「Olympic Destroyer」と呼ばれるワームが注目を浴び、その華やかな冬の祭典に影を落としました。このマルウェアによってWi-Fiが切断されたほか、一部のディスプレイモニターがシャットダウンしたり、公式Webサイトがクラッシュしたりするなどの障害が発生したのは、開会式直前の金曜日のこと。この事件は、2020年に夏季オリンピックを迎える日本でも大きな話題となりました。

早期の分析によると、Olympic Destroyerはデータを窃取するためではなく、データを破壊し、ワークステーションを動作不能にするために作成されたことが示されています。そして、その狙いは、開会式を妨害し、オリンピック委員会に恥をかかせることにあったようです。

ビデオ: サイランス vs. Olympic Destroyer

Olympic Destroyerの重大性と懸念すべき理由

Olympic Destroyerは環境内を素早く移動しながら、ブートレコードを破壊し、コンピューターを強制的に再起動させます。WMIとPSExecを利用して環境内を横断して感染を広げますが、これは以前に「BadRabbit」や「NotPetya」というマルウェアで使われていた手口です。このマルウェアは、ドメイン全体にできるだけ大きな損害を与えるため、ブラウザーの認証情報を盗み出そうと試みます。

唯一の希望は、Olympic Destroyerにそのタスクの特性を示す多くの手がかりが含まれていることです。ハードコードされたユーザー認証情報を使い、オリンピック大会のドメインと内部サーバーを指定して参照します。Olympic Destroyerは、今大会だけに標的を絞って作成されたとみられます。

サイランスがOlympic Destroyerを阻止

未来のマルウェアを未然に防ぐ能力に対してメダルが贈られたならば、サイランスはきっと金メダルに輝いたことでしょう。当社の脅威調査チームは、2015年11月にリリースされた旧バージョンのCylancePROTECT®でもOlympic Destroyerがブロックできることを確認しました。人工知能と機械学習を駆使するサイランスは、Olympic Destroyerのような脅威に対抗できるモデルを、その出現の2年近くも前に作成していたためです。

対決の結果は言うまでもなく、サイランスの防御力を前にOlympic Destroyerが太刀打ちする余地などありませんでした。サイランスは最新バージョンはもちろんのこと、2015年時点でさえ、Olympic Destroyerに勝利出来たのです。

Tags: