Kaspersky Lab のグローバル調査分析チームは、「Darkhotel」と名付けたマルウェアを用いる攻撃者の存在を明らかにした。

この攻撃者は少なくとも4年前からスパイ活動を続けており、アジア太平洋地域の高級ホテルに宿泊する企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者を主な標的とする。Darkhotel は現在も活動する極めて巧妙な標的型攻撃であり、感染すると高いリスクにさらされる。

Darkhotel を用いた攻撃は、高級ホテル内のネットワークやシステムに侵入しそれらを感染させ、数年にわたり活動を継続している。宿泊者がチェックイン後、ホテルの Wi-Fi に接続を試みると、まずログイン画面を表示し名前と部屋番号の入力を求める。宿泊者が指示に従って情報を入力してログインすると、Google Toolbar/Adobe Flash/Windows Messenger などのツールのアップデートに見せかけた Darkhotel 攻撃のバックドアのインストールが求められる。

攻撃者は、マシンにダウンロードさせたバックドアから、標的の地位や人物を選別し、さらに高度なツールをダウンロードさせるかどうかを判断する。それらの中には、システムと導入されているセキュリティソフトの情報を収集する「Karba」というトロイの木馬やデジタル署名された巧妙なキーロガーが含まれるほか、Firefox/Chrome/Internet Explorer などのブラウザに保存されているパスワードや Gmail Notifier/Twitter/Facebook/Yahoo!/Google などのログイン情報をはじめとした個人情報を窃取するモジュールも備えている。

Kaspersky Labは、旅先では、たとえホテルのプライベートなネットワークであっても、危険は潜んでいると認識すべきであると、勧告している。さらに、被害を避けるために、公共の Wi-Fi やそれに準ずるものにアクセスする際は、信頼できる VPN 接続を使用すること、旅先でのソフトウェア更新には常に警戒し、インストール時には適切なベンダーが保障したインストーラーであることを確認すること、質の高いインターネットセキュリティソフトウェアを選び、新たな脅威に事前に対処できる製品をインストールすることなどを推奨している。