2020年4月、史上初となる悪質なディープフェイクによるビデオ通話の事例が報告されました。長期にわたってトレンドマイクロが予測してきた脅威が現実のものとなりつつあります。
続きを読むシステムを防御するためにセキュリティリサーチャーや法執行機関が講じる手段の一つに、脅威となるサイバー犯罪者グループの監視があります。これにより注目されてきたサイバー犯罪者グループの中に、金銭的利益を目的とする「Carbanak」と「FIN7」というグループがあります。CarbanakとFIN7は同じグループと見なされることもありますが、米国政府の支援を受ける非営利団体「MITRE」などは、バックドア型マルウェアである「Carbanak」を攻撃に使用する特徴を持つ、異なる2つのグループとして認識しています。とはいえ、両グループが使用するマルウェアは「Carbanak」だけでなく、POSマルウェア「Pillowmint」や、マルウェア「Carbanak」に代わるものとされる「Tirion」など、他の種類のマルウェアも含まれています。また、MITREは、2つのグループの主要な攻撃対象が異なることも明示しています。Carbanakが金融機関を標的とするのに対し、FIN7は飲食業、接客業、小売店を標的とします。
続きを読む2019年以降、トレンドマイクロでは「Water Pamola」と名付けた攻撃キャンペーンを追跡してきました。この攻撃キャンペーンでは、当初、不正な添付ファイルを含むスパムメールを介し、日本、オーストラリア、ヨーロッパ諸国のオンラインショップが危険にさらされていました。しかし、2020年初頭から、Water Pamolaの攻撃活動にいくつかの変化が見られるようになりました。被害者は、主に日本国内のみとなり、トレンドマイクロによる最近のデータによると、スパムメールの代わりにオンラインショップの管理者が管理画面で顧客注文を確認する際に不正スクリプトが実行される状況が確認されるようになりました。
図1:Water Pamolaの攻撃フロー
続きを読む新型コロナウイルス(COVID-19)の流行に伴い、オンラインサービスの利用が拡大しています。そのような傾向は以前から見られましたが、物理的な接触を避ける必要が生じたことによってこの傾向は加速したと言えます。公共サービスや「テレヘルス(遠隔医療)」に代表される医療サービスなど、多くのサービスがオンライン化されました。また、実店舗の閉鎖も相次ぎ、企業はオンライン取引の拡大に注力しています。
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
トレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っております。この度、これまでの調査結果について弊社およびJC3から発表することに合わせ、本ブログ記事では調査を通じて分類された国内金融機関を騙るフィッシングサイトの二大勢力についてその特徴を報告いたします。
※ 本調査で確認したフィッシングサイト834ドメインを2021年4月の段階で整理 ダイナミックDNSサービスを悪用したフィッシングサイトはサービス種類毎に1ドメインとしてカウント
トレンドマイクロでは2020年の1年間における国内外での脅威動向について分析を行いました。新型コロナウイルス(COVID-19)のパンデミック(世界的大流行)により、2020年は過去に類を見ない特別な1年間となりました。日本でも緊急事態宣言や外出自粛要請があり、法人組織は事業を継続するために、急激なテレワークの推進などの大きな変化に直面しました。これらの状況により、さらに進んだネットワーク境界線の曖昧化を利用し、サイバー犯罪者はさまざまな手口を駆使した攻撃を次々に展開しました。境界線内、つまりネットワークへ侵入する脅威として、2020年の象徴的存在となったのが新たなランサムウェア攻撃であると言えます。
マルウェアキャンペーンの背後に潜む犯罪組織の正体を見極めるのは難しい作業です。サイバー犯罪者は標的であるユーザや企業を混乱に陥れたり、システムやネットワーク環境に危害を加えたりするために設計したソフトウェアに自身の正体が露呈するような痕跡を残すことはめったにありません。しかし、識別のカギとなる情報を既知の情報源と比較することで、そのキャンペーンが特定のサイバー犯罪集団によって実行された可能性が高いと判断することができます。これは犯罪組織が長年にわたり活動を継続し比較対象となる痕跡を多く残している場合、さらに信憑性が高くなります。トレンドマイクロが発見し「Operation Earth Kitsune」と名付けた標的型攻撃キャンペーンについてその「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」に関する詳細解析の結果をホワイトペーパー(英語)にまとめて公開し、本ブログでも概要について報告しました。このキャンペーンに関与した2種の新たなスパイ活動を行うバックドア型マルウェアを拡散する水飲み場型攻撃の技術的な詳細解析を行う中で、韓国を主な標的とすることで知られるサイバー犯罪集団「APT37(別名:Reaper、Group 123、ScaCruftなど)」に起因した別のマルウェアとの顕著な類似性を発見しました。
続きを読むフィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。トレンドマイクロでは昨年2020年末から、クレジットカード利用者を対象にした特定のフィッシングメールの攻撃キャンペーンに注目し、追跡しています。
このフィッシングキャンペーンの背後にいる攻撃者は、国営の郵便サービスによる配送に関連したフィッシングメールを送信し、利用者のクレジットカード番号を窃取します。送信されたフィッシングメールは、認証情報を詐取するためのフィッシングサイトへと利用者を誘導しようと試みます。この攻撃は、米国、スイス、中国、日本、シンガポールなど少なくとも26カ国に及ぶ広い範囲に送信されています。なお、このフィッシングキャンペーンについては、すでに香港の報道機関や米国でも報告されています。
2020年12月1日から2021年1月10日までの間に、郵便サービスを偽装する不審なフィッシング関連URL計279,308件(1日平均6,812件)が、トレンドマイクロのメール対策製品により検出されました。また、12月12日から18日までと、12月30日から1月5日までの期間において不審なURLの検出数が増加していることが確認されました。このようなデータからは、今後も郵便サービスを偽装するフィッシング攻撃が続くことが予想されます。
.jpg)
