トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、2月18日以降、Excel 4.0マクロ(XLM)を使用したメール経由のマルウェア拡散を確認しています。これは古いマクロ形式を使用することでセキュリティ対策製品からの検出回避を狙う手法であり、日本の利用者への攻撃としては初めて確認したものです。
続きを読むトレンドマイクロは、ロシア語を使う企業を狙いバックドア型マルウェアを送り込む標的型メールの送信活動を 2017年6月から7月にかけて確認し、報告しました。そして今回、その攻撃は、実際には大きな攻撃キャンペーンの序盤であったことが判明しました。攻撃者は、利用されている技術から、ハッカー集団「COBALT(コバルト)」であると考えられています。最近の COBALT による標的型メールには、マクロを利用したものと脆弱性を利用したもの、2つの手法が確認されています。さらに、ソーシャルエンジニアリングによって、Eメールを受信した銀行員が緊急感を持つように細工されていました。
続きを読むトレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
多くのマルウェアが昨今、自身の攻撃に比較的新しい手法を取り入れている一方で、侵入方法は従来の手法がいまだに採用されています。例えば、暗号化型ランサムウェア、オンライン銀行詐欺ツール(バンキングトロジャン)、標的型攻撃では、不正なマクロやショートカット(LNK)ファイルが依然として利用されています。しかし、効果が実証されているこれらの手法の他に、PowerShell 等の正規ツールや機器を遠隔で操作する不正な字幕用ファイルのような新しい手法の利用も確認されています。
トレンドマイクロは、2017 年 5 月、PowerPoint のスライド上でハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を利用してマルウェアを送り込む新しい手法を確認しました。この手法は、欧州・中東・アフリカ地域で確認されたスパムメール送信活動で利用されたダウンローダ(「TROJ_POWHOV.A」および「P2KM_POWHOV.A」として検出)によって利用されていました。このスパムメール活動では特に、英国、ポーランド、オランダ、スウェーデンにおいて、製造業、機器作製、教育、運輸、花火製造などの業界が影響を受けました。
続きを読むEメールは、サイバー犯罪者にとって大きなビジネスかもしれません。2014年、世界中で 1日当たり 1, 963億件の Eメールが送受信されました。そのうち 1,087億件はビジネスに関連したものです。こうしたメールが毎日膨大に送受信されることを考えると、サイバー犯罪者が大企業を狙って Eメールを悪用することは容易に想像できます。そして、Eメールの悪用は、甚大な経済的損害や個人情報の窃取につながる可能性があります。例えば、2014年に発生した大規模な情報漏えい事例により、米大手ホームセンター「Home Depot」は 6,200万米ドル(2015年9月3日時点、約74億6,850万円)、米大手小売業「Target」は 2億2,900万米ドル(275億8,530万円)の損害を受けたと報告されています。しかし、ビジネスだけが Eメールを悪用した攻撃に脆弱だというわけではありません。トレンドマイクロの調査によると、2015年上半期、Eメールを悪用した脅威はユーザを無差別に狙いました。
続きを読むトレンドマイクロではこの 6月17日前後に、複合機からの通知を偽装したメールによる不正プログラム頒布の攻撃を、世界的に確認しました。これは複合機からのスキャンデータ送信を偽装したマクロ型不正プログラムを含む Word文書ファイルが添付された攻撃メールが広まっているものです。トレンドマイクロのクラウド型セキュリティ技術基盤である「Trend Micro Smart Protection Network(SPN)」の統計データによれば、6月17日に 2000件以上の攻撃メールを集中して確認しています。その攻撃対象は海外が中心ですが、日本でも法人利用者から数十件の問い合わせを受けています。今後も同様の手口の攻撃が発生する可能性がありますので、対策のためにも攻撃について情報共有いたします。
続きを読む「マクロを利用する不正プログラムの復活 Part1」では、脅威の全体像で最近確認された、マクロを悪用した不正プログラムについて述べました。今回は、この不正プログラムの手法や不正活動についてさらに深く掘り下げます。
続きを読む
