正規コミュニケーションアプリに便乗する手口について解説

本ブログの2020年8月31日の記事では、2020年上半期(1~6月)における国内外での脅威動向分析について報告しました。新型コロナウイルスのパンデミック(世界的大流行)による都市封鎖や外出自粛の影響により、多くの企業においてはテレワークが必要不可欠なものとなりました。この急速な変更に対応するため、公私両面でのコミュニケーションに不可欠なツールとしてメッセージングアプリやビデオ会議アプリの需要が一気に高まりました。これらのアプリは、企業に従業員間のコミュニケーションを維持するための手段を提供しましたが、不正活動に新たな技術を統合しようと企てるサイバー犯罪者の関心を引く結果ともなりました。

Zoomに便乗する攻撃手口

コロナ禍が始まって以来、人気が急上昇したビデオ会議アプリ「Zoom」は2020年を象徴する代表的ソフトウェアと言えます。学校、企業、個人間での使用率が高いことを考えると、サイバー犯罪者がZoomをベースとした攻撃手法に注力するのは当然のことと言えます。

Zoomが悪用されたサイバー攻撃で最もよく知られているのは、おそらく「Zoom Bombing(ズーム爆撃)」でしょう。これは、第三者が無断で会議に参加して進行を妨害する行為や、画面共有機能を用いて不適切な画像を無断で共有、あるいは一般的に迷惑となる行為を実行することを含んでいます。ただし、Zoom爆撃は迷惑な行為ではありますが、あくまでもその場限りの愉快犯的行為であるため、セキュリティ面においてはそれほど深刻なものとは言えません。また、Zoom爆撃が注目されたことにより、Zoomのセキュリティ機能は拡充され、部外者がZoomミーティングに紛れ込む可能性は低くなってきています。

一方で、サイバー犯罪者が実際のマルウェアを正規Zoomインストーラに同梱する手口も確認されています。この攻撃においては、組織や個人にさらなる損害を与える可能性があります。最も一般的にZoomの知名度が悪用される攻撃手法が、Zoomアプリに同梱されたマルウェアによる攻撃キャンペーンと言えます。トレンドマイクロが2020年5月に確認した実際の攻撃事例では、マルウェアを同梱した偽のZoomインストーラを正規のものと偽り、ユーザをだまして彼らのPC端末にインストールさせようとしていました。一般ユーザが正規のZoomアプリと偽装アプリを判別するのは難しいかもしれませんが、詳しく調べると、偽装アプリのファイルサイズが大幅に大きいことがわかります。

図1:正規のZoomインストーラ(三行目)と偽インストーラのファイルサイズを比較した図

図1:正規のZoomインストーラ(三行目)と偽インストーラのファイルサイズを比較した図

この事例で確認されたマルウェア検体の1つ(「Trojan.Win32.ZAPIZ.A」、図1の一行目)は、リモートアクセス機能を備えたバックドア型マルウェアであり、攻撃者が感染PC端末にリモートからアクセスして、情報窃取などの不正活動を実行できるようにします。もう1つの検体(「Backdoor.Win32.DEVILSHADOW.THEAABO」、図1の二行目)には、不正コマンドを含んだファイルで構成されるインストーラが含まれています。興味深いことに、どちらの偽インストーラも正規のZoomをインストールすることにより不正活動の証拠をユーザから隠す場合があります。

同様の攻撃としては、2020年4月、正規のZoomインストーラに同梱されるRevCode WebMonitor RAT「Backdoor.Win32.REVCODE.THDBABO」の攻撃を発見しています。このマルウェアの亜種により、サイバー犯罪者は、ファイルの追加や削除、キー入力操作情報の記録、情報収集などのコマンドをリモートで実行できます。

また別の事例としては、正規のZoomインストーラへの同梱が確認されたトロイの木馬型マルウェア「ZAPIZ(ザピツ)」(Trojan.Win32.ZAPIZ.A)が挙げられます。ZAPIZがダウンロードされると、実行中のすべてのリモートユーティリティが強制終了されたのち、リモートからのインバウンドに対してPORT = 5650 / TCPが使用されます。弊社の解析結果では、ZAPIZは情報詐取を実行し、標的のPC端末からユーザ名とコンピュータ名を収集します。これは、おそらくさらなる攻撃の前兆と推測されます。

弊社はさらに、メール受信者に恐怖心を抱かせ金銭を要求する電子メールも発見しました。これはいわゆるセクストーションスパムのバリエーションとも言える手法であり、脅迫メールには、攻撃者が要求する金額を支払わなければ、Zoomアプリ上に存在するゼロデイ脆弱性を介してハッキングしたカメラから取得した動画を無断で公開すると脅迫する内容が記されています(図2)。

図2:要求金額を支払わなければ録画した動画を公開すると脅迫する内容が記される電子メール

図2:要求金額を支払わなければ録画した動画を公開すると脅迫する内容が記される電子メール

DISCORDSLACKなどのコミュニケーションアプリを悪用する事例

コロナ禍の間、Zoomはおそらく最も人気を博したコミュニケーションアプリですが、サイバー犯罪者が便乗したのはZoomだけではありません。他のコミュニケーションサービスのうち、特にSLACKとDISCORDを不正活動に統合する攻撃の証拠が確認されました。

SLACKは、2019年の時点で1日あたり1,000万人を超えるアクティブユーザを抱え、長年にわたって忠実な支持を獲得しています。ただし、攻撃者がその機能の一部を利用している証拠も見つかりました。

弊社が最近発見したランサムウェアの亜種(Ransom.Win32.CRYPREN.C)は表面上、機能面においてはかなり標準的なもののようです。このランサムウェアCRYPREN(クリプレン)は、以下の拡張子を持つファイルを暗号化したのち、接尾辞「.encrypted」を追加します。

  • .bmp
  • .doc
  • .docx
  • .gif
  • .jpeg
  • .jpg
  • .m2ts
  • .m4a
  • .mkv
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .pdf
  • .png
  • .ppt
  • .pptx
  • .txt
  • .xls
  • .xlsx
図3:ランサムウェア「CRYPREN」が用いる身代金要求文書(脅迫状)

図3:ランサムウェア「CRYPREN」が用いる身代金要求文書(脅迫状)

CRYPRENを興味深いものにしているのは、SLACKのWebhookを使用して、感染PC端末の暗号化ステータスをコマンドアンドコントロール(C&C)サーバに報告することです。これはこれまでにない手法です。

現在のCRYPRENにおいては、コンピュータ名とユーザ名、感染ファイルの数、感染タイムスタンプなどの最小限のデータのみがC&Cサーバに返送されます。これは、感染ステータスの報告手段としてSLACKを使用することがまだテスト段階にある可能性があることを示唆しています。

DISCORDは、SLACKと同様の機能を共有するコミュニケーションソフトウェアの1つです。DISCORDは、ゲームコミュニティで広く使用されていることでも注目に値します。弊社は、攻撃者が電子メール経由の拡散活動(キャンペーン)の一環としてDISCORDをどのように使用しているかを示す検体を見つけました。このキャンペーンには、最終的に情報窃取型マルウェア「AveMaria」または「AgentTesla」(別名:NEGASTEAL)を感染させる悪意のあるスパムメールが関連しています。弊社は2019年に、これらのマルウェアファミリを拡散するためにスパムメールが使用されていることを最初に確認しましたが、不正活動の一部としてDISCORDが追加されたのは比較的最近のことです。

悪意のある電子メールは通常、郵便配達通知、あるいは国際輸送物流会社「DHL」や「TNT」からのものと思わせる添付ファイルを含んだ通知のいずれかです。

図4:スパムメールの一例

図4:スパムメールの一例

これらの電子メールには、画像またはテキストのいずれかに、次の形式を用いたDISCORDのURLを指すリンクが埋め込まれています。「hxxps:// cdn [.] DISCORDapp [.] com / attachments / {ChannelID} / {AttachmentID} / example [.] exe」。これらのURLは、AveMariaまたはAgentTeslaをホストするために使用され、ユーザが実行可能ファイルをクリックすると、ユーザのPC端末に感染します。

攻撃の一部としてSLACKやDISCORDなどの正規アプリが使用されるのは、いくつかの単純な理由によるものと考えられます。SLACKやDISCORDは人気の高いコミュニケーションアプリで無料かつ一般に広く利用されており、何らかの形の匿名性を提供します。さらにユーザは、これらのアプリを利用する際、アプリのインストールやファイルのダウンロードをする必要がないため、プロセスが合理化され、効率的になります。もう1つ考えられる理由としては、これらの正規プログラムを使用することで、通常の正規ネットワーク通信に見せかけることができる可能性があることです。それらの人気は、従業員やエンドユーザがすでにこれらのサービスを使用している可能性が高いことにもなり、攻撃者にとっては攻撃範囲が広いことを示唆しています。

■被害に遭わないためには

幸いにも、これらの攻撃手法に対する防御策は比較的簡単に実施できます。Zoomインストーラを悪用する攻撃に共通する点は、公式のZoomダウンロードページ以外の場所からダウンロードされることです。感染を回避する最も簡単な方法は、公式ページからのみ通信アプリおよび一般的なすべてのアプリをダウンロードすることです。これにより、改ざんされた不正なソフトウェアのダウンロードを防ぐことができます。

また、身に覚えのない送信者からのメール、あるいは不審と感じるメールやメッセージに添付されたファイルをダウンロードしたり開いたりしないようにしましょう。リンク先がフィッシングサイトである場合や、マルウェアをダウンロードしてしまう可能性があります。特定のリンクをクリックするよう指示がある場合は、一度、リンク上にカーソルを合わせて表示されるリンク先のURLを確認しましょう。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerにてご確認ください。

■トレンドマイクロの対策

「Trend Micro Email Security」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などのメール対策製品により不審なメールやその添付ファイルをブロックすることで偽インストーラの入手を防ぎます。また「Trend Micro Web Security as a Service – Advanced」などのWeb対策製品を利用することで、関連する不正サイトへのアクセスをブロックし、偽インストーラの入手やその後の被害拡大を防ぐことが有効です。

また、個人向けのエンドポイント製品「ウイルスバスター クラウド」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御での対策により不正インストーラの入手や悪意あるプログラムの実行を防ぐことも有効です。

参考記事:

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)