7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、トレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応しています。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリンピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がうかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散している形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えます。
続きを読む※7月26日更新 (当初公開日7月19日)
7日26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
図:7月26日時点で確認した不審スポーツ中継サイトへの誘導を行うWebページの例
本文はニュース記事などをコピーしたものと推測される
図:誘導先の不審スポーツ中継サイトの例
図:別の不審スポーツ中継サイトの例
視聴のために会員登録を促す
続きを読む
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、その中で非常に興味深い事例を確認しました。監視チームはあるWebサイトのコンテンツ内に、「Magecart」が使用する不正スクリプトが埋め込まれているのを発見しました。ECサイトを狙う攻撃で猛威を振るうMagecartについては昨年12月20日の記事などでも報告していますが、これも同様の攻撃の一事例と思われました。ただし、その被害を受けたと思しきサイトは「Olympic Tickets 2020」のサイト名で東京オリンピックのチケット販売サイトを名乗っていました。httpsの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいものでしたが、海外で東京オリンピックのチケットを販売してよい業者は決まっています。また海外ではチケット転売に関してライセンス制を敷くなど合法な国も多いものですが、今回の東京オリンピックに関しては組織委員会が用意する公式リセールサービス以外での転売は禁じられています。これらのことから、このサイトはオリンピックチケット販売を詐称する偽サイトであるものと判断されました。本記事執筆時点の2月3日現在、既にこの偽サイトはアクセス不可になっていますが、今後も同様の事例が登場する可能性は高く、注意が必要です。
図1:Magecartの使用するスクリプトが発見されたWebサイト
海外では指定業者にしか許可されていないはずの
オリンピックチケット売買を謳っており、偽サイトと判断できる
図2:サイト上のGoogle翻訳機能で日本語化した際の表示例
トレンドマイクロのリサーチ機関「Forward-looking Threat Research(FTR)」に所属するカイル・ウィルホイトは、アメリカ大手メディアNBC外国特派員局長を務めるリチャード・エンゲル氏からロシアで実施する「実験」に参加するように要請を受けました。この実験のために、ハニーポット環境が作成され、ロシアにいるユーザが行うごく普通の作業を再現しました。例えば、インターネット閲覧やEメールの確認、インスタントメッセンジャーの使用などです。この実験の第一目的は、ソチオリンピックが目的でロシアに訪れているユーザが普通の行動をした際に、どれだけ早く乗っ取りなどが特定の端末上で発生するかを確認することにあります。
続きを読む間近に迫った「第30回夏季オリンピック(ロンドンオリンピック)」は、2012年、開催が最も待ち望まれているスポーツイベントといっても過言ではないでしょう。もちろん、サイバー犯罪者も同じです。こうした注目を集めるイベントに便乗するソーシャルエンジニアリングの手口は常とう手段と化しています。「TrendLabs(トレンドラボ)」では、2012年4月3日、同オリンピック観戦旅行パックが当選する抽選に参加できると装った事例を確認しましたが、4月20日再び確認。ただし、前回とは少し手口が異なっていました。従来のオリンピック関連の事例では、観戦チケットが得られるように偽装していますが、今回は、注意喚起を装ったスパムメールとして侵入します。
続きを読むイギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読む