ホーム » サイバー犯罪

乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認

投稿日:2018年10月12日
脅威カテゴリ:フィッシング
執筆:Trend Micro Cyber Safety Solutions Team

通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018 年 9 月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。

この攻撃は、2018年前半に Talos によって確認された、オンライン銀行詐欺ツール（バンキングトロジャン）「URSNIF（アースニフ）、別名：GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られた PC が利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。

2018 年 10 月 9 日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。

(さらに…)

「アダルトサイト経由のハッキング」で脅す詐欺メール、12日間で250万円を詐取か

トレンドマイクロでは日本語による悪質な詐欺メールの拡散を、9月中旬から継続して確認しています。詐欺メールの本文は複数種ありますが、いずれも「あなたがアダルトサイトへのアクセス時に録画されたビデオを周囲に流布されたくなければ金銭を支払え」という旨の内容であり、不正ファイルの添付や不正サイトへの誘導はない、純然たる詐欺目的のメールとなっています。このメール内容からは、悪質なサイバー犯罪の１つである「Sextortion（セクストーション、性的脅迫）」の手口が思い浮かびます。しかし、これまで確認されてきたセクストーションは出会い系サイト上などで狙われた個人を騙して脅迫する手法なのに対し、この詐欺メールは送信規模などから考えて不特定多数に対するばらまき型の攻撃と考えられます。つまり、セクストーションにおいて手間と時間がかかる行為を省き、メールのみで受信者を脅して金銭を支払わせようとする「簡略版セクストーション」とも呼べる詐欺手口となっています。

図：9月20日に送信された詐欺メールの例
(さらに…)

日本語の使用が確認された「ビジネスメール詐欺」、その背景に迫る

トレンドマイクロでは「ビジネスメール詐欺（BEC）」関連の調査を進める中で、日本語を使用した詐欺メールが複数の国内企業に着弾していたことを確認いたしました。トレンドマイクロが確認したものと同内容の日本語の詐欺メールに関しては、独立行政法人情報処理推進機構（IPA）からの注意喚起が8月27日に公開されています。このIPAの注意喚起とトレンドマイクロの調査結果から、この7月に日本国内の企業に対する日本語を使用したBECの攻撃キャンペーンが行われていたことは明らかです。さらにトレンドマイクロの調査結果からは、言語を変えただけで同様の手口と考えられる詐欺メールがブラジルやギリシャの企業にも着弾していたことがわかりました。つまり、7月に確認された日本語の詐欺メールは、日本だけを標的としたサイバー犯罪者によるものではなく、世界的なBEC攻撃の一部であったと推測されます。

(さらに…)

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散

投稿日:2018年9月10日
脅威カテゴリ:メール, スパムメール
執筆:Trend Micro

トレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。

今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」（「TSPY_BEBLOH.YMNPV」として検出）あるいはURSNIF（TSPY_URSNIF.TIBAIDO）のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。

図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…)

「クラウド時代の認証情報」を狙いフィッシング詐欺が急増、2018 年上半期の脅威動向を分析

トレンドマイクロでは 2018 年上半期（1~6 月）における国内外の脅威動向について分析を行いました。過去数年にわたりサイバー犯罪の中心となっていた「ランサムウェア」の攻撃は 2018 年に入り急減。それと入れ替わるように「不正マイニング」を筆頭とする仮想通貨狙いの脅威が、日本を含め世界的に拡大しました。同時に日本では「フィッシング詐欺」の攻撃が急増し、過去最大の規模となりました。この半年間に起こったサイバー犯罪動向からは、2017年に起こった様々なサイバー犯罪の転換が更に明確になると共に、新たな傾向が明らかになってきたものと言えます。

図：日本からフィッシングサイトへの誘導件数推移（トレンドマイクロ SPN による）

(さらに…)

検出が困難になる標的型サイバー攻撃に必要な防御アプローチとは？

昨今の法人組織を取り巻くサイバー攻撃の脅威は深刻な状況となっており、情報漏えいなどの重大な被害につながる恐れがある標的型サイバー攻撃の手口は巧妙化を続けています。トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018 年版」では、2017 年にトレンドマイクロがネットワーク監視を行った法人組織のうち、「4 組織に 1 組織」で端末を遠隔操作するためのツールである Remote Access Tool（RAT）の活動が確認され、すでに標的型サイバー攻撃に侵入されてしまっていたことが分かっています。この傾向は標的型サイバー攻撃の事例が顕著だった2015年から変動することなく継続しており、表面化していないものの標的型サイバー攻撃は国内の法人組織にとって依然深刻な脅威となっています。

図：ネットワーク監視対象組織における標的型サイバー攻撃の検出割合（2017年、n=100）

(さらに…)

ビットコイン ATM を狙うマルウェアをアンダーグラウンド市場で確認

投稿日:2018年8月14日
脅威カテゴリ:サイバー犯罪
執筆:Senior Threat Researcher - Fernando Mercês

金融サービスは、技術の面で変化を続けています。ATM の革新的な進歩や仮想通貨の普及はその一例です。仮想通貨「Bitcoin（ビットコイン、BTC）」を扱う ATM は、それら 2 つの変化が交差したものだと言えるでしょう。

ビットコイン ATM は、一見すると通常の ATM のようですが、いくつかの重要な面で通常の ATM とは異なります。もっとも大きな違いは、銀行口座と連携していないという点です。代わりに、ビットコイン ATM は、仮想通貨を売買する取引所と連携しており、購入したビットコインは、顧客のウォレットに保管されます。つまり、ビットコイン ATM は、現金自動預け払い機という意味での ATM というよりは、ユーザが仮想通貨取引所と通信するためのキオスク端末のようなものです。

(さらに…)

拡張子”.iqy”のファイルとは？1 日でメール 29 万通が日本国内に拡散

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この8月に入り、日本語のスパムメールにおいて、拡張子 “.iqy” のファイルの添付を初確認しました。この見慣れない拡張子のファイルの正体はなんでしょうか？新たに登場した添付ファイルの手口について、その実例を紹介します。

図：今回確認されている不審メールの例
この例の「お世話になります」の他にも「ご確認ください」、
「写真添付」、「写真送付の件」などの件名が確認されている

(さらに…)

バンキングトロジャンのメール経由拡散を支える「スパムボット」

本ブログの 7 月 3 日の記事ではオンライン銀行詐欺ツール（バンキングトロジャン）による日本国内におけるクレジットカード情報詐取被害の一端を、7 月 17 日の記事ではバンキングトロジャンの情報詐取活動を実現する Web インジェクションツールの存在について報告してまいりました。今回はバンキングトロジャンを拡散させる電子メールによる攻撃の状況とその攻撃メールの送信を行う「スパムボット」の存在について報告いたします。不正プログラム（マルウェア）を拡散させるための主な攻撃手法には、電子メール経由と Web 経由があります。電子メール経由の攻撃の中でも、不特定多数のインターネット利用者を狙い、マルウェア拡散を目的とするものを特に「マルウェアスパム」と呼びます。現在、日本のインターネット利用者を狙う日本語のマルウェアスパムのほとんどは、バンキングトロジャン「URSNIF」の拡散を目的としたものであることがわかっています。このことから、バンキングトロジャンは日本国内を狙うメール経由の攻撃で最も多い脅威と言えます。

(さらに…)

巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは？

オンライン銀行詐欺ツール（バンキングトロジャン）は「Web インジェクション」と呼ばれる手法により、正規サイト上で偽表示を行って様々な情報を詐取します。また「自動不正送金機能（ATS）」では、送金処理の完了に必要なワンタイムパスワードの入力を利用者自身に行わせるなど、利用者を騙す巧妙な手口が以前から確認されています。このようなバンキングトロジャンの巧妙な活動を支える存在として、「Web インジェクションツール」と呼ばれるアンダーグラウンドのツールが存在していることはあまり知られていないようです。今回はこの、バンキングトロジャンの情報詐取の活動を実現する Web インジェクションツールについて報告いたします。

(さらに…)

Page 1 of 6512 › »