ナイジェリアの経済金融犯罪委員会(EFCC、Economic and Financial Crimes Commission)は、インターポールのサイバー犯罪対策活動「Operation Killer Bee」の一環としてのおとり捜査により、日本を含む世界的な詐欺キャンペーンに関与していたナイジェリア出身の容疑者3名を逮捕しました。この捜査活動は、攻撃グループと彼らの手口に関する情報を提供したトレンドマイクロの協力のもと、インターポールと各国支局、東南アジア各国の法執行機関によって主導されました。
「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺(Business Email Compromise、BEC)は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1~9月にかけて検出数が増加していることを観測しました(図1)。
新型コロナウイルス(COVID-19)の流行に伴い、オンラインサービスの利用が拡大しています。そのような傾向は以前から見られましたが、物理的な接触を避ける必要が生じたことによってこの傾向は加速したと言えます。公共サービスや「テレヘルス(遠隔医療)」に代表される医療サービスなど、多くのサービスがオンライン化されました。また、実店舗の閉鎖も相次ぎ、企業はオンライン取引の拡大に注力しています。
続きを読む新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
続きを読むサイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。
セキュリティリサーチャのJohn Page氏は、2019年4月中旬、Microsoft Internet Explorer(IE)において、XML External Entityインジェクションが可能になるゼロデイ脆弱性について公開しました。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいや対象PCからローカルファイルが窃取されるなどの被害に遭う可能性があります。これに関して、Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証しました。トレンドマイクロは、この脆弱性がどのように機能し、そこから生じ得る脅威をどのようにして軽減することができるかについてより深く理解するため、この攻撃の流れについて調査しました。
(さらに…)
Microsoft は 2017 年 11 月、遠隔でのコード実行が可能になる Microsoft Office の脆弱性「CVE-2017-11882」を修正する更新プログラムを公開しました。しかし、更新プログラム公開後にも「COBALT」のようなサイバー犯罪集団がこの脆弱性を利用して情報窃取型マルウェア「FAREIT」やオンライン銀行詐欺ツール「URSNIF」および「Loki」を改造した情報窃取型マルウェアのようなさまざまなマルウェアを拡散していたことが確認されています。Loki は当初、パスワードや仮想通貨ウォレットを窃取することのできるキーロガーとして販売されていたマルウェアです。
続きを読む2017 年以降、仮想通貨を狙うサイバー犯罪者の動きが顕著になっています。2018 年に入り日本でも仮想通貨取引所サイトでの仮想通貨の不正出金や流出の事例が相次いで発生したことに続き、仮想通貨ウォレットの情報を盗むマルウェア(トレンドマイクロ製品では「TSPY_COINSTEAL.G」として検出対応)を配布した高校生の逮捕事例もこの 1 月 30 日に明らかになりました。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)による不正なコインマイニング(仮想通貨発掘)が主となっていますが、今回高校生が逮捕された事例での仮想通貨ウォレット情報の窃取のように、より直接的に仮想通貨を狙う攻撃も以前から存在していました。
図:ビットコインウォレットのデータファイル例
「PowerShell」 は Microsoft が 開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。
しかし、サイバー犯罪者は Windows ショートカットファイル(「.LNK」拡張子)から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認 されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。
続きを読む