トレンドマイクロは、2017 年 7 月、ファイルを利用せずに感染する新しい仮想通貨発掘マルウェア(「TROJ64_COINMINER.QO(コインマイナー)」として検出)を確認しました。物理的なファイル感染しない手法は、今回確認されたコインマイナーのように、検出およびフォレンジック解析をより困難にするため、新しく確認されるマルウェアのますます多くがこの手法を利用しています。
続きを読むサイバー犯罪者は、自身の攻撃を悟られないためになるべく痕跡を残さない攻撃手法を利用します。今回、トレンドマイクロは、マルウェア「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)を起点とする不正活動において、より高度な「ファイルレス活動」が行われていることを確認しました。このスクリプト系マルウェアは、Windows のレジストリを利用した自動実行によって、遠隔操作サーバ(C&C サーバ)上から活動開始します。その後もマルウェアの不正コードをファイルではなくレジストリに保存して実行するなど、侵入段階から最終的に実行されるバックドア型マルウェアまで、物理的にマルウェア自体のファイルを作成せずに不正活動を遂行します。
近年では、2016 年末から標的型サイバー攻撃での使用が確認されている RAT「ChChes」をはじめ、2017 年 4 月に確認された暗号化型ランサムウェア「SOREBRECT」といった、ファイルを利用しないマルウェアによる攻撃が見られています。サイバー犯罪者にとって、マルウェアのファイルレス活動はセキュリティ対策の回避を可能にする非常に有効な攻撃方法です。多くのセキュリティ対策製品はマルウェア検出の際にファイル単位の検索を行うため、ファイルが存在しないと検出できなくなります。また、サンドボックスを利用したセキュリティリサーチャー・解析者にとっても、実行可能なファイルを作成しない感染手順は、解析困難なものとなります。ただし、これまで確認されていたファイルレス活動では、マルウェア本体を起動するためのコードなど、なんらかのファイルがどこかの段階で作成されており、実行可能な状態のマルウェア本体がファイルとして保存されないという状況を意味していました。しかし、今回確認された JS_POWMET では、確認されている範囲の活動においてはまったくファイルが作成されません。より完全な「ファイルレス」に近くなったものと言えます。
続きを読む多くのマルウェアが昨今、自身の攻撃に比較的新しい手法を取り入れている一方で、侵入方法は従来の手法がいまだに採用されています。例えば、暗号化型ランサムウェア、オンライン銀行詐欺ツール(バンキングトロジャン)、標的型攻撃では、不正なマクロやショートカット(LNK)ファイルが依然として利用されています。しかし、効果が実証されているこれらの手法の他に、PowerShell 等の正規ツールや機器を遠隔で操作する不正な字幕用ファイルのような新しい手法の利用も確認されています。
トレンドマイクロは、2017 年 5 月、PowerPoint のスライド上でハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を利用してマルウェアを送り込む新しい手法を確認しました。この手法は、欧州・中東・アフリカ地域で確認されたスパムメール送信活動で利用されたダウンローダ(「TROJ_POWHOV.A」および「P2KM_POWHOV.A」として検出)によって利用されていました。このスパムメール活動では特に、英国、ポーランド、オランダ、スウェーデンにおいて、製造業、機器作製、教育、運輸、花火製造などの業界が影響を受けました。
続きを読む「PowerShell」 は Microsoft が 開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。
しかし、サイバー犯罪者は Windows ショートカットファイル(「.LNK」拡張子)から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認 されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。
続きを読む暗号化型ランサムウェア「CERBER(トレンドマイクロでは「RANSOM_CERBER」ファミリとして検出対応)」は、初めて検出報告が確認されてから 1年が経過し、いまや最も活発なランサムウェアファミリとして周知されています。「CERBER」は、2016年3月に初めてロシアのアンダーグラウンド市場で確認されて以来、ファイル構造、手法、各種機能など、サイバー犯罪者に何度も更新されており、中には「CERBER 4.1.5」など、わずか 1日で更新されたケースもありました。その勢いは、「LOCKY(「RANSOM_LOCKY」ファミリとして検出対応)」など、他のランサムウェアファミリの影が薄くなる程度に及びました。
「CERBER」は、入手しやすさの点で他の暗号化型ランサムウェアとの差別化を図りました。サイバー犯罪者は、いち早く「Ransomware as Service(サービスとしてランサムウェア、RaaS)」のビジネスモデルを導入し、購入可能なランサムウェアとしてサイバー犯罪者に周知させました。こうして CERBERの背後にいるサイバー犯罪者は、被害者が支払った身代金の分け前から利益を得ることになり、その割合は最大で身代金の 40%にも及びました。こうした努力の結果、いまや「CERBER」はサイバー犯罪の「ドル箱」となり、2016年だけで実に 20万米ドル(2017年4月18日のレートで約2,218万4,000円)を稼いだと報じられています。
こうして大きな利益をもたらし、かつカスタマイズ可能であることから、「CERBER」のさまざまなバージョンが登場したのも不思議ではありません。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」で「CERBER」の影響範囲を確認したところ、企業および個人ユーザ双方において圧倒的に米国へ集中していました。業界別では、教育、製造、公共、テクノロジー、保健医療、エネルギー、運送などが影響を受けていることを確認しています。
続きを読むトレンドマイクロでは、2016年に確認した日本国内における「標的型サイバー攻撃」に関しての分析を行いました。この分析では標的型サイバー攻撃を「初期潜入」、「端末制御」までの「侵入時活動」と、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階にわけて分析を行っていますが、表面上は落ち着いているかに見える攻撃は、その内容を巧妙化、高度化させて継続している様が浮かび上がってきました。
図1:標的型サイバー攻撃の攻撃段階概念図
仮想環境で解析を行うサンドボックス技術は、ネットワークの最終防衛ラインであるエンドポイントセキュリティ対策製品が広く採用する仕組みです。砂場という名称の通り、サンドボックスはマルウェアや疑わしいファイルがルーチンを実行するなど、自由に振る舞うことのできる仮想環境です。マルウェアを仮想環境で実行してその実際の活動を既存の振る舞いやルーチンのパターンと比較分析し、悪意の有無を判定します。このように、システムのインフラストラクチャに被害を与える恐れのある信頼できないファイルを隔離し、エンドポイントセキュリティをより確かなものにします。
続きを読むMicrosoft社は、2017年4月12日(日本時間)、月例のセキュリティ更新プログラムを公開しました。この更新プログラムに含まれる脆弱性の中でも、特に Microsoft Office の脆弱性「CVE-2017-0199」に関しトレンドマイクロでは、4月10日以降にゼロデイ攻撃が発生していたことを確認しています。脆弱性を攻撃する RTF形式文書ファイルを添付したメールが海外を中心に拡散していました。
図1:全世界における「CVE-2017-0199」の脆弱性攻撃ファイルが添付されたメールの通数推移
(トレンドマイクロ「Smart Protection Network(SPN)」による)
暗号化型ランサムウェアの活動のニュースは後を絶ちません。トレンドマイクロは、長期間の身代金支払期限を提示する「GOOPIC」や、パスワード窃取機能を持つ「RAA」、チャットサポートのサービスを備えた「JIGSAW」の亜種などを報告してきましたが、これらはすべて2016年6月だけで確認された事例です。弊社は、一連の新しい暗号化型ランサムウェアの中でも、独特な挙動を示す暗号化型ランサムウェア「MIRCOP(ミルコップ)」(RANSOM_MIRCOP.Aとして検出)を確認しました。
「MIRCOP」の作成者は、ファイル暗号化に至った原因がユーザにあるとして、身代金の支払い方法についての指示も与えていません。つまりこの作成者は、ユーザが支払い方法について先刻承知していると考えているようです。
図1:「MIRCOP」の脅迫状