携帯電話のテキストメッセージ(SMS)がサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。このマルウェアに感染した場合、大手通信事業者サイトの認証情報を窃取される危険性があります。 これまでに確認されてきた偽装SMSを発端にマルウェア感染を目的とする攻撃ではAndroid端末が対象となっていましたが、iPhoneについてもその対象とする攻撃は初めてと言えます。同様の攻撃に関しては一般財団法人日本サイバー犯罪対策センター(JC3)からも注意喚起が公開されており、注意が必要です。
図 1: 今回確認された不審SMSの例(実物を元に再構成)
続きを読むサイバー犯罪者は常に多数の注目が集まる話題を狙っています。コロナ禍によりワクチン接種の情報に多数の関心が集まっている中、厚生労働省のコロナワクチン情報サイトを偽装するフィッシング詐欺サイトを確認しました。本ブログ記事ではこの偽サイトについて報告します。偽サイトのデザインは厚生労働省の正規コロナワクチン情報サイトである「コロナワクチンナビ」の「ワクチンを受けるには」ページ(https://v-sys.mhlw.go.jp/flow/)をコピーしたものと考えられます。また偽サイトへの誘導経路としては自衛隊の大規模接種センターを騙るフィッシングメールが確認されており、防衛省からも注意喚起がなされています。
図:コロナワクチン情報の偽サイトの表示例
続きを読む7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、トレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応しています。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリンピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がうかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散している形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えます。
続きを読む※7月26日更新 (当初公開日7月19日)
7日26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
図:7月26日時点で確認した不審スポーツ中継サイトへの誘導を行うWebページの例
本文はニュース記事などをコピーしたものと推測される
図:誘導先の不審スポーツ中継サイトの例
図:別の不審スポーツ中継サイトの例
視聴のために会員登録を促す
続きを読む
マルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)
トレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap(オーバートラップ作戦)」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告(マルバタイジング)経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。
本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン(オンライン銀行詐欺ツール)「Cinobi(シノビ)」(トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出)について解説します。 (さらに…)
続きを読む
の例.png)
