1月11日の記事でもお伝えしている通り、2019年に入ってから日本向けにランサムウェアをばらまくマルウェアスパムの攻撃が発生、継続しています。当初は件名と本文は「:-)」などの「顔文字」のみとなっていましたが、件名はほどなく「I Love You」、「My love letter for you」などの英文に変化しました。そのため一般には「Love Youランサムスパム」などとも呼ばれているようです。その後1月末ごろからは「Kyary Pamyu Pamyu ;)」、「Sheena Ringo ;)」などのように日本の女性芸能人の名前を入れた件名も確認されており、日本を攻撃対象に定めて様々な手口を試しているように思えます。ただしいずれの件名にせよ、添付ファイルを開くと最終的にランサムウェア、不正コインマイナー、そしてスパムメール送信に使用されるスパムボットに複合感染する危険なものとなっています。トレンドマイクロではこの危険なマルウェアスパムの調査を進め、その送信を司っているスパムボット「Phorpiex(フォルピエックス)」の存在を確認しました。そして更なる調査の結果「Phorpiex」は、一般的にスパムメール送信を主な活動とするスパムボットの枠を外れ、それ自体が遠隔からランサムウェアなどのマルウェアを感染させる凶悪な攻撃などを行う危険なものであることがわかりました。
続きを読む2017 年末に登場し 2018 年を通じて継続して確認されている、有名企業を偽装するショートメッセージ(SMS)による Android 向け不正アプリの拡散ですが、この 7 月にはさらに攻撃規模を拡大していることがわかりました。この攻撃に関しては本ブログでも数回にわたり(1 月 15 日の記事、2 月 2 日の記事、6 月 26 日の記事)取り上げていますが、この 7 月には不正アプリ本体から自身を拡散させるための偽装 SMS を送信するなど、大きな活動内容の変化が見られました。この変化の影響は大きく、国内から多くのモバイル利用者が不正アプリをインストールさせる偽サイトへ誘導されていたことがわかりました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計から、この攻撃の偽装 SMS 経由で誘導される不正サイトに対し、国内モバイル端末からアクセスした利用者数を確認したところ、4~6 月の 3 カ月間を合わせても 1,600 件程度だったのに対して、7 月の 1 カ月間だけで 8,000 件を超えており、この 7 月に急激な攻撃の拡大が起こっていたことがわかります。
図:宅配物の不在通知を偽装した SMS メッセージの例
本ブログの 7 月 3 日の記事ではオンライン銀行詐欺ツール(バンキングトロジャン)による日本国内におけるクレジットカード情報詐取被害の一端を、7 月 17 日の記事ではバンキングトロジャンの情報詐取活動を実現する Web インジェクションツールの存在について報告してまいりました。今回はバンキングトロジャンを拡散させる電子メールによる攻撃の状況とその攻撃メールの送信を行う「スパムボット」の存在について報告いたします。不正プログラム(マルウェア)を拡散させるための主な攻撃手法には、電子メール経由と Web 経由があります。電子メール経由の攻撃の中でも、不特定多数のインターネット利用者を狙い、マルウェア拡散を目的とするものを特に「マルウェアスパム」と呼びます。現在、日本のインターネット利用者を狙う日本語のマルウェアスパムのほとんどは、バンキングトロジャン「URSNIF」の拡散を目的としたものであることがわかっています。このことから、バンキングトロジャンは日本国内を狙うメール経由の攻撃で最も多い脅威と言えます。
続きを読む2016年を通じ、不正プログラムの拡散経路として「マルウェアスパム」の攻撃が中心を占めていたことは疑いがありません。トレンドマイクロでは検出台数 400件以上が確認されたマルウェアスパムのアウトブレイクを、2016年 1年間で 80回以上確認しています。トレンドマイクロではこのようなメール経由攻撃を早期に把握する手法として「スパムメール送信インフラ」としてのボットネットの活動に着目し、監視と調査を継続しています。今回、国内ネットバンキングを狙う活動が確認されている「オンライン銀行詐欺ツール」である「URSNIF」の拡散が確認されたボットネットを特に日本を狙う脅威として着目し、より深い「潜入調査」を試みました。すると、1カ月間に 50種類以上のマルウェアスパム送信が行われている実態とともに、メール送信のための「インフラ整備」も並行して行われている状況が確認できました。不正プログラムの背後にいるサイバー犯罪者の活動を、直接垣間見た事例として報告いたします。
図1:「URSNIF」を拡散させるための日本語マルウェアスパム例
トレンドマイクロは、この数カ月間、スパムボット「Stealrat」を積極的に監視しています。このスパムボットは、2010年ごろから確認されているようですが、2012年末頃からアダルト関連や偽医薬品関連のスパムメールを頻繁に送信することが確認されています。そして、スパムメール送信のため主に、改ざんされたWebサイトおよびそのシステムを利用しています。このスパムボットの運用状況を監視する過程で、弊社は、約19万5千もの改ざんされたドメインおよび IPアドレスを特定しました(期間:2013年4月~7月末)。これら改ざんサイトの共通点として、このスパムボットを操作するサイバー犯罪者は、脆弱性を抱える「コンテンツ管理システム(CMS)」を使用する Webサイトを悪用しており、確認した CMS として、「WordPress」や「Joomla」、「Drupal」が挙げられます。
続きを読むトレンドマイクロは、Facebook アカウントの認証情報を窃取し、不正に広告を表示する Android端末向け不正アプリ「GHOSTTEAM(ゴーストチーム)」(「ANDROIDOS_GHOSTTEAM」として検出)を合計 53 個、 Google Play 上で確認しました。当該不正アプリの多くは早くも 2017 年 4 月、ほぼ同時期にまとめて Google Play に公開されているようです。解析した検体の多くは Google Play の説明も含めてベトナム語で書かれていました。
続きを読むトレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。
図:2017 年国内の個人と法人における三大脅威
(さらに…) 続きを読む
北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでしょうか。本記事では、これらの問いについて調査することにより、北朝鮮によるものだと考えられていた攻撃について得られた知見を解説します。
続きを読むトレンドマイクロでは 2016年12月初旬から、「DreamBot(ドリームボット)」(「TSPY_URSNIF」などとして検出)による、国内ネットバンキングを狙った攻撃を確認しています。「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF(アースニフ)」(別名:Gozi)の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。しかし、匿名ネットワークである「Tor」の利用により C&C通信を隠ぺいする活動が追加されており、「DreamBot」の最大の特徴として挙げられます。警視庁や日本サイバー犯罪対策センター(JC3)からも注意喚起が出されており、今後の被害拡大に注意が必要です。
続きを読む