昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
![新たに確認された不正サイトに Android OS でアクセスした場合の表示例](/wp-content/uploads/2018/03/20180330comment01.png
)
図:新たに確認された不正サイトに Android OS でアクセスした場合の表示例
昨日お知らせしたルータの DNS 設定変更から不正アプリをダウンロードさせる攻撃について、トレンドマイクロでは新たに不正アプリのダウンロードサイトが準備されていることを確認しました。前回記事では確認されたダウンロードサイトは閉鎖されており既に危険はないことをお伝えしておりましたが、攻撃者にはまだこの攻撃を終了させる気は無く、変化と共に継続させていく意図であるようです。
トレンドマイクロでは、日夜多くのサイバー攻撃を監視しています。その監視の中で、この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。トレンドマイクロとしては現時点で侵害されたルータ自体の調査が行えておらず、攻撃手法の全貌については確認できておりませんが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。
2017 年以降、仮想通貨を狙うサイバー犯罪の動向に注目が集まっています。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)を使用した発掘(マイニング)を利用者のリソースを盗用し不正に行う手法が主流となっていますが、今後は利用者の所持する仮想通貨を直接的に窃取する手法も拡大してくるものと推測されます。今回のブログ記事では、既存のフィッシング詐欺でも Web 上の仮想通貨関連サービスの認証情報が狙われ始めていること、そして、既にその動きを加速させるアンダーグラウンドマーケット(闇市場)の動きが確認されていることもお伝えします。
2018 年 2 月 9 日に開会した平昌冬季オリンピックですが、華やかな開会式の裏でサイバー攻撃を受けていたとの報道がありました。報道では、公式ホームページがダウンし観客がチケットを印刷できなくなった、メインプレスセンターの IPTV システムや組織委員会内部のインターネットや Wi-Fi が使用不可になった、予定されていたドローンによるデモンストレーションが中止された、などイベント運営に様々な影響があったと伝えられています。現在までに攻撃内容に関する公式の発表はありませんが、複数の報道によれば不正プログラムを使用したサイバー攻撃の可能性が高いものと考えられています。トレンドマイクロでは、このサイバー攻撃で使用されたとされる不正プログラムの解析を行いました。
続きを読む2018 年 1 月 15 日の本ブログ記事でお伝えした、SMS を発端とした Android 向け不正アプリ拡散の攻撃ですが、これは複数の日本企業を偽装したキャンペーンの一部であったことが確認されました。このキャンペーンでは、いずれも国内有名企業を偽装した電子メールや SMS により、正規サイトに偽装した不正サイトへの誘導を行うものであり、完全に日本国内の利用者を狙った攻撃と言えます。誘導先の不正サイトは、最終的にバックドア型不正アプリの拡散を目的としています。このように、同一の Android 向け不正アプリを複数の日本企業を偽装した電子メールや SMS により配布する攻撃キャンペーンは、これまでにほとんど例がないものと言えます。
続きを読む2018 年 1 月 30 日夜、ウイルス作成容疑で大阪の高校生が逮捕された事例が一斉に報道されました。報道によれば高校生は、仮想通貨「MONACOIN(モナコイン)」を不正に入手する目的で作成した不正プログラムを掲示板上で頒布していたことによる不正指令電磁的記録作成・同供用容疑で逮捕されました。2017 年にはランサムウェアを作成した大阪の中学生、ウイルスを 6,000 個作ったとする北海道の中学生、遠隔操作ウイルスを作成した岡山の高校生など、ウイルス作成容疑による未成年者の逮捕が相次ぎましたが、今回の事例もそれらに次ぐものと言えます。逮捕された高校生が作成した不正プログラムは、モナコイン関連の掲示板「Ask Mona」上で 2017 年 10 月に公開されていた「MonacoinTicker」と「Askmona-Viewer」という 2 本のプログラムと見られています。トレンドマイクロではこれらのプログラム検体を入手、解析の上で不正プログラムとして検出対応(「TSPY_COINSTEAL.G」として検出)しています。
2017 年以降、仮想通貨を狙うサイバー犯罪者の動きが顕著になっています。2018 年に入り日本でも仮想通貨取引所サイトでの仮想通貨の不正出金や流出の事例が相次いで発生したことに続き、仮想通貨ウォレットの情報を盗むマルウェア(トレンドマイクロ製品では「TSPY_COINSTEAL.G」として検出対応)を配布した高校生の逮捕事例もこの 1 月 30 日に明らかになりました。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)による不正なコインマイニング(仮想通貨発掘)が主となっていますが、今回高校生が逮捕された事例での仮想通貨ウォレット情報の窃取のように、より直接的に仮想通貨を狙う攻撃も以前から存在していました。
トレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。