2017 年以降、仮想通貨を狙うサイバー犯罪者の動きが顕著になっています。2018 年に入り日本でも仮想通貨取引所サイトでの仮想通貨の不正出金や流出の事例が相次いで発生したことに続き、仮想通貨ウォレットの情報を盗むマルウェア(トレンドマイクロ製品では「TSPY_COINSTEAL.G」として検出対応)を配布した高校生の逮捕事例もこの 1 月 30 日に明らかになりました。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)による不正なコインマイニング(仮想通貨発掘)が主となっていますが、今回高校生が逮捕された事例での仮想通貨ウォレット情報の窃取のように、より直接的に仮想通貨を狙う攻撃も以前から存在していました。
その活動内容によって悪名をはせるサイバー犯罪集団「Lazarus」は、正体に関する謎も相まって多くの関心を集めています。同集団は、2007 年の韓国政府に対する一連のサイバー諜報活動によって登場して以来、大きな被害をもたらした注目すべき標的型攻撃をいくつか成功させており、最近では、広く報道された 2014 年の Sony Pictures における情報漏えいや、2016 年のバングラデシュの銀行に対する攻撃が例として挙げられます。規模と影響の両面で Lazarus の活動の歴史に匹敵する集団はほとんどありません。その大きな理由の 1 つが、Lazarus が利用するツールと手法の多様性にあります。
続きを読むWebサイトを閲覧するユーザの PCを利用して仮想通貨を発掘するツール「Coinhive」が登場してからというもの、悪用事例が後を絶ちません。トレンドマイクロでは、2018年1月24日、「malvertisement(不正広告)」を利用した「Coinhive(コインハイブ)(「JS_COINHIVE.GN」として検出)」を前日の 3倍近く検出しました。大きなトラフィックが発生していた Webサイトの広告には、Coinhive だけでなく、私有のマイニングプールに接続する別の仮想通貨発掘ツールも確認されました。また、攻撃者は、Googleのオンライン広告配信プラットフォーム「DoubleClick」を悪用していました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によると、影響を受けた国には日本、フランス、台湾、イタリア、スペインが含まれています。弊社は、すでに Googleに調査結果を報告しています。
続きを読む2018 年 1 月 8 日、セキュリティリサーチャが、仮想通貨発掘ソフトウェア「Claymore」を乗っ取る新しい「Satori(サトリ)」の亜種(「ELF_MIRAI.AUSV」、「ELF64_MIRAI.D」として検出)を確認したと発表しました。この亜種は端末所有者の発掘設定を攻撃者のものに書き換えることで発掘した仮想通貨を窃取します。新しい亜種のコードを解析したところ、背後にいる攻撃者は従来の Satori と同じであることを示す結果が得られたとのことです。
続きを読むトレンドマイクロは、Facebook アカウントの認証情報を窃取し、不正に広告を表示する Android端末向け不正アプリ「GHOSTTEAM(ゴーストチーム)」(「ANDROIDOS_GHOSTTEAM」として検出)を合計 53 個、 Google Play 上で確認しました。当該不正アプリの多くは早くも 2017 年 4 月、ほぼ同時期にまとめて Google Play に公開されているようです。解析した検体の多くは Google Play の説明も含めてベトナム語で書かれていました。
続きを読むディスクの内容を消去するマルウェア「KillDisk(キルディスク)」の新しい亜種(「TROJ_KILLDISK.IUB」として検出)が、中南米の金融機関を対象とした攻撃で確認されました。2018 年 1 月 15 日時点での初期解析により、今回確認された KillDisk の亜種は別のマルウェアのコンポーネントまたはより大きな攻撃の一部であることが明らかになりました。解析中のこの新しい亜種について、より詳細な情報が確認でき次第本記事を更新します。
KillDisk は、2015 年 12 月末、複数の目的を持ったサイバー諜報活動に関連するマルウェア「BlackEnergy」とともに、ウクライナの電力会社、銀行、鉄道会社、鉱業会社への攻撃に利用されました。KillDisk はその後大きな変化を遂げ、Windows および Linux プラットフォームに影響を与える暗号化型ランサムウェアの機能が追加され、ネット恐喝に利用されるようになりました。ただし、暗号化型ランサムウェア「PETYA」の事例のように、この亜種の身代金要求文書はユーザをだます嘘でした。暗号鍵はディスクにもオンラインにも保存されないため、ファイルの復元は不可能です。今回確認された亜種はファイルを上書きおよび削除しますが、身代金要求文書は確認されていません。
トレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。
