日本やアジア各国などにある高級ホテルを舞台に、出張で滞在した企業や組織の幹部のコンピュータにマルウェアを忍び込ませ、後に機密情報などを盗み出すというサイバー攻撃が、7年以上前から行なわれてきている可能性が、セキュリティ関連企業のカスペルスキー（Kaspersky Lab）の調査で明らかになったという。

[Ars Technica]

「DarkHotel」と呼ばれるこのサイバー攻撃は、特定の企業幹部を狙ったものとされ、滞在中のホテルが提供するネット回線を使っている標的に「Adobe Flash」や「Google ツールバー」などのアップデートを装ったマルウェアをダウンロードさせるといった手口が使われているという。また、犯人グループが標的とする企業幹部の氏名やEメールアドレス、到着・出発予定時刻、部屋番号などの情報を事前に入手した上で、滞在予定のホテルのサーバーにマルウェアを仕込んでいる可能性もあるという。

標的のコンピュータに感染したマルウェアは、パスワードやシステム情報など、ユーザーのやりとりなどを監視し、後にこれらの情報を暗号化した上で、犯人らが約200箇所に設置したサーバーに送信していたという。

カスペルスキーでは、この攻撃が少なくとも7年前から続いており、被害者の数は数千人に及ぶ可能性があるとしている。また同社は、こうした犯行の3分の2が日本のホテルで行なわれていることも明らかにしている。

この話題を採り上げたWIREDでは、カスペルスキー研究者の話として、北朝鮮、日本、インドの核関連産業に携わる人物が中心に狙われている可能性が高いことや、近年では米軍事産業の関係者を狙った攻撃が急増していることなどに言及。さらに、一部の犯行で使われたキーロガー（マルウェアの一種）のコード中に、別のキーロガーを開発したことで知られていたある韓国人開発者の署名が交じっていることや、標的のコンピュータの文字コードが朝鮮語に設定されている場合には活動を停止する仕組みになっているマルウェアが見つかったことなどにも触れている。またカスペルスキーは、Darkhotelの攻撃に使われた手口から、いずれかの国家が関与している可能性も示唆しているという。

【参照情報】
・DarkHotel: A Sophisticated New Hacking Attack Targets High-Profile Hotel Guests - WIRED
・"DarkHotel" uses bogus crypto certificates to snare Wi-Fi-connected execs - Ars Technica
・Cybercrime Gang Targets Execs Using Hotel Internet - WSJ