携帯電話のテキストメッセージ(SMS)がサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。このマルウェアに感染した場合、大手通信事業者サイトの認証情報を窃取される危険性があります。 これまでに確認されてきた偽装SMSを発端にマルウェア感染を目的とする攻撃ではAndroid端末が対象となっていましたが、iPhoneについてもその対象とする攻撃は初めてと言えます。同様の攻撃に関しては一般財団法人日本サイバー犯罪対策センター(JC3)からも注意喚起が公開されており、注意が必要です。
図 1: 今回確認された不審SMSの例(実物を元に再構成)
続きを読むトレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読む2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。
図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例
続きを読むサイバー犯罪者は常に多数の注目が集まる話題を狙っています。コロナ禍によりワクチン接種の情報に多数の関心が集まっている中、厚生労働省のコロナワクチン情報サイトを偽装するフィッシング詐欺サイトを確認しました。本ブログ記事ではこの偽サイトについて報告します。偽サイトのデザインは厚生労働省の正規コロナワクチン情報サイトである「コロナワクチンナビ」の「ワクチンを受けるには」ページ(https://v-sys.mhlw.go.jp/flow/)をコピーしたものと考えられます。また偽サイトへの誘導経路としては自衛隊の大規模接種センターを騙るフィッシングメールが確認されており、防衛省からも注意喚起がなされています。
図:コロナワクチン情報の偽サイトの表示例
続きを読むこの記事では、個人またはハッキンググループによって行われたInstagramアカウントハッキングの攻撃キャンペーンを検証します。本記事で検証する攻撃キャンペーンの背後にいたサイバー犯罪者は、最大の効果を得るためにソーシャルメディアのインフルエンサーを狙っていました。これは過去の攻撃キャンペーンでも見られた手口です。インフルエンサーは何百万人ものフォロワーを抱えており大きな影響力を持っていることからサイバー犯罪者の標的になりやすいものと言えます。一方インフルエンサー個人にとっては、SNSを通じた企業案件やアフィリエイト、その他の方法で収入を得ていることが多いため、アカウントが侵害された際の損失は非常に大きくなります。そしてサイバー犯罪者が狙うのはインフルエンサーだけではありません。Facebook、Twitter、InstagramなどのSNSは、プライベートやビジネスで多くの人が利用しています。Instagramだけでも、実に毎月10億人以上のユーザが利用しており、これは、現在の世界人口の約8分の1に相当します。そして、ハチが蜜を求めて花に集まるように、サイバー犯罪者もハッキングや恐喝の獲物を求めてこれらのサイトに集まってきます。近年では、こういった企てに関連するさまざまなグループや手口が確認されています。利用者にとって、InstagramなどSNSアカウントを狙うハッカーの手口を知ることは、自分のアカウントを守る方法を知ることに繋がります。セキュリティリサーチャーの観点からInstagramアカウントを狙ったハッキング事例を考察し、Instagramやその他のソーシャルメディアプラットフォームのユーザへ向けた推奨事項を紹介します。
図1:Instagramの認証情報を狙うフィッシングページの例
続きを読むシステムを防御するためにセキュリティリサーチャーや法執行機関が講じる手段の一つに、脅威となるサイバー犯罪者グループの監視があります。これにより注目されてきたサイバー犯罪者グループの中に、金銭的利益を目的とする「Carbanak」と「FIN7」というグループがあります。CarbanakとFIN7は同じグループと見なされることもありますが、米国政府の支援を受ける非営利団体「MITRE」などは、バックドア型マルウェアである「Carbanak」を攻撃に使用する特徴を持つ、異なる2つのグループとして認識しています。とはいえ、両グループが使用するマルウェアは「Carbanak」だけでなく、POSマルウェア「Pillowmint」や、マルウェア「Carbanak」に代わるものとされる「Tirion」など、他の種類のマルウェアも含まれています。また、MITREは、2つのグループの主要な攻撃対象が異なることも明示しています。Carbanakが金融機関を標的とするのに対し、FIN7は飲食業、接客業、小売店を標的とします。
続きを読む2019年以降、トレンドマイクロでは「Water Pamola」と名付けた攻撃キャンペーンを追跡してきました。この攻撃キャンペーンでは、当初、不正な添付ファイルを含むスパムメールを介し、日本、オーストラリア、ヨーロッパ諸国のオンラインショップが危険にさらされていました。しかし、2020年初頭から、Water Pamolaの攻撃活動にいくつかの変化が見られるようになりました。被害者は、主に日本国内のみとなり、トレンドマイクロによる最近のデータによると、スパムメールの代わりにオンラインショップの管理者が管理画面で顧客注文を確認する際に不正スクリプトが実行される状況が確認されるようになりました。
図1:Water Pamolaの攻撃フロー
続きを読む新型コロナウイルス(COVID-19)の流行に伴い、オンラインサービスの利用が拡大しています。そのような傾向は以前から見られましたが、物理的な接触を避ける必要が生じたことによってこの傾向は加速したと言えます。公共サービスや「テレヘルス(遠隔医療)」に代表される医療サービスなど、多くのサービスがオンライン化されました。また、実店舗の閉鎖も相次ぎ、企業はオンライン取引の拡大に注力しています。
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
