設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産(仮想通貨)を発掘する不正コインマイナーと、分散型サービス拒否(DDoS)攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。
「アンダーグラウンドマーケット最新事情」連載、最終回の今回は、トレンドマイクロが2019年に行ったアンダーグラウンドマーケットの最新調査の結果から、アンダーグラウンドマーケットで扱われている商品やサービスに関する新たな傾向と近い将来に起こりえる変化の予測について報告します。
(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)
トレンドマイクロでは、オープンソースソフトである「Salt」の脆弱性を利用する不正コインマイナーを確認しました。Saltはソフトウェア開発企業「SaltStack」による、イベント駆動型のIT自動化やリモートでのタスク実行、および構成管理を可能にするオープンソースのソフトウェアです。Saltの管理フレームワークは、多くのデータセンターやクラウドサーバで使用されています。また、Saltはインフラをコード化して管理する「IaC (Infrastructure as Code)」を実現する構成管理ツールでもあり、DevOpsでも利用されます。今回利用されたSaltの2つの脆弱性は、2020年3月中旬、サイバーセキュリティ企業「F-Secure」のリサーチャによって公開されたものです。一つは、認証バイパスの脆弱性である「CVE-2020-11651」、もう一つはディレクトリトラバーサルの脆弱性である「CVE-2020-11652」です。これらの脆弱性は認証されていないリモートの攻撃者によって悪用される可能性があり、Salt Master 2019.2.3 と3000.1およびそれ以前のバージョンが影響を受けます。なお、これらの脆弱性に対処するために、SaltStackによるセキュリティ更新情報が既にリリースされています。
トレンドマイクロでは、このSaltに影響を与える2つの脆弱性とその修正パッチ、そして脆弱性を悪用するコインマイナーについて調査しました。 (さらに…)
続きを読むDocker の「Privileged(特権)」コンテナ(以下、特権コンテナ)は、簡潔に言えば、ホストコンピュータに対するすべてのルート権限を備えたコンテナであり、通常のコンテナではアクセスできないリソースへのアクセスが可能となります。特権コンテナの使用例の1つにDockerコンテナ内でDockerデーモンを実行することがあります。もう1つの使用例は、コンテナがハードウェアに直接アクセスする必要がある場合です。前者の例である、コンテナ内でコンテナを操作する「Docker-in-Docker」は、Docker自体の開発の目的で導入されました。今日では、オープンソースの自動化サーバJenkinsでの継続的インテグレーションおよび継続的デリバリー(CI / CD)タスクの自動化など、特権コンテナの実行にはさまざまなユースケースが存在します。ただし、特権コンテナの実行は必ずしも安全ではありません。このブログ記事では、セキュリティ保護が十分でない特権コンテナが、どのように企業や組織のシステムへサイバー犯罪者による侵入を許すことになるかを解説します。
続きを読むトレンドマイクロは、ハニーポットから収集したデータの分析を通して仮想通貨発掘マルウェアをデプロイする活動を確認しました。この仮想通貨発掘マルウェアは、リポジトリホスティングサービス「Docker Hub」で公開されているDockerイメージを悪用した不正なコンテナとしてデプロイされていました。このイメージは仮想通貨発掘マルウェアを送り込む不正なサービスの一部として悪用されます。また、仮想通貨の発掘の他に、ネットワークスキャンツールを利用して露出したコンテナおよびアプリケーションを検索する活動も確認されました。Dockerは適切な設定のためのベストプラクティスを公開していますが、今回の調査で使用したハニーポットにはセキュリティ対策は実施していません。コンテナに含まれるアプリケーションではなくDocker自体を狙った攻撃を捕捉するために初期設定のまま構築されています。
続きを読む仮想通貨のマイニング(発掘)を狙うサイバー犯罪者による攻撃は、ランサムウェアに代わるような脅威になるでしょうか。仮想通貨の人気と実世界における重要性の高まりにより、サイバー犯罪者も仮想通貨に大きな関心を抱いています。変化する脅威状況の中で仮想通貨の発掘を狙う攻撃は、以前のランサムウェアのような勢いで急拡大しています。2017 年に家庭用ルータに接続した機器で検出されたネットワークイベントの中で最も多いイベントが仮想通貨の発掘活動だったことは、サイバー犯罪者に限らず、仮想通貨の発掘に注目が集まっていることを示す一例と言えます。
図 1:2017 年、家庭用ルータに接続された機器における
仮想通貨発掘関連ネットワークイベントの検出数推移
(組込み型ホームネットワークセキュリティ製品
「Trend Micro Smart Home Network™」の情報に基づく)
トレンドマイクロは、クラウド型オンラインストレージサービス「A360 Drive」がマルウェアの拡散に悪用されていることを確認しました。クラウド型サービスは、マルウェアの拡散やコマンド&コントロール(C&C)サーバとしてサイバー犯罪者によって悪用されてきた経緯があります。本ブログでも、攻撃者集団「WINNTI」が、C&C 通信のために「GitHub」を利用した事例を報告しています。
今回確認された「Autodesk® A360(A360)」を利用した攻撃は、WINNTI の手法に比べて単純で目新しさは無いものの、マルウェアをホストするためにファイル共有サイトを悪用するという点で類似しています。A360 は「チームとプロジェクトの情報をデスクトップ、Web、モバイルデバイスに統合、接続、編成するためのクラウドベースのワークスペース」です。一連の製品群には、「Autodesk® A360 Drive(A360Drive)」と「Autodesk® A360 Team サービス」などが含まれます。個人向けの無料アカウントでは 5GB のストレージを利用することが可能です。ブラウザやデスクトップアプリからファイルをアップロードし、権限に応じて閲覧・編集等が可能なユーザを招待することができます。サイバー犯罪者は、マルウェアを A360 にホストすることにより、疑われずにマルウェアを送り込むことが可能になります。この手法は、収集情報の保存先としてGoogle Drive が利用された攻撃と類似しています。
続きを読む