2017 年以降、仮想通貨を狙うサイバー犯罪者の動きが顕著になってきています。特に、2018 年に入り国内で立て続けに発生した仮想通貨取引所からの仮想通貨流出事故は、仮想通貨自体の信頼性や安全性にも関わる問題とされ大きな注目を集めています。なぜ、取引所から仮想通貨は流出してしまったのでしょうか?本ブログ記事では、国内で発生した仮想通貨取引所から仮想通貨を窃取する攻撃について、海外も含めた過去事例なども踏まえて考察します。
続きを読む仮想通貨のマイニング(発掘)を狙うサイバー犯罪者による攻撃は、ランサムウェアに代わるような脅威になるでしょうか。仮想通貨の人気と実世界における重要性の高まりにより、サイバー犯罪者も仮想通貨に大きな関心を抱いています。変化する脅威状況の中で仮想通貨の発掘を狙う攻撃は、以前のランサムウェアのような勢いで急拡大しています。2017 年に家庭用ルータに接続した機器で検出されたネットワークイベントの中で最も多いイベントが仮想通貨の発掘活動だったことは、サイバー犯罪者に限らず、仮想通貨の発掘に注目が集まっていることを示す一例と言えます。
図 1:2017 年、家庭用ルータに接続された機器における
仮想通貨発掘関連ネットワークイベントの検出数推移
(組込み型ホームネットワークセキュリティ製品
「Trend Micro Smart Home Network™」の情報に基づく)
モバイル端末の性能は、ある程度の仮想通貨を実際に発掘するには不十分だという疑いがあります。しかし、機器の消耗、電池の短命化、通常よりも重たい動作など、感染端末がユーザに与える影響は明確です。
トレンドマイクロは、2017年10月中旬、不正に仮想通貨を発掘する能力を備えたアプリを Google Play 上で確認しました。これらのアプリは、検出を逃れるために、JavaScript を動的に読み込み、ネイティブコードを追加する手法を利用します。トレンドマイクロは、これらの不正アプリを「ANDROIDOS_JSMINER(ジェイエスマイナー)」および「ANDROIDOS_CPUMINER(シーピーユーマイナー)」として検出しています。
続きを読む以来、トレンドマイクロでは、RETADUP の検体を継続して入手してきました。今回確認された亜種は、南米の特定の産業と政府を標的としていました。弊社は、「RETADUP」のファミリは、ごく少数の限られた攻撃者によって利用されていると考えています。アンダーグラウンド市場やフォーラムで販売または配布されているという証拠が見つかっていないためです。
続きを読む暗号化型ランサムウェア「CERBER」は、次々と新しい機能を追加しているランサムウェアファミリとして知られています。2017年5月24日の記事では、バージョン1から6へと新しい手法を取り入れながら更新を繰り返す CERBER の変遷を解説しました。それから数カ月後の現在、CERBER は再び更新されたようです。今度は仮想通貨の窃取機能が追加されています。これにより攻撃者は、身代金とは別にビットコインも窃取するという一石二鳥を狙えることになります。
続きを読む暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」の亜種による大規模な攻撃が、欧州を中心に確認されています。トレンドマイクロではこの亜種が、攻撃経路において脆弱性攻撃ツール「EternalBlue」と「PsExec」の両方を利用することを確認するとともに、「RANSOM_PETYA.TH627」、「RANSOM_PETYA.SMA」などとして既に検出対応しています。法人および個人の皆さんは、下記の対策を取り、感染拡大を防ぐようお願いします。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus(エレブス)(「RANSOM_ELFEREBUS.A」として検出)」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。
NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin(ビットコイン、BTC)」で 550BTC(162万米ドル)にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC(2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当)に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。2次のサーバのいくつかではデータベース(DB)エラーが発生しているとのことです。1 次と 2 次のサーバ復旧が成功した後で、3回目の支払いが行われる予定です。
金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。
2016年9月に初めて確認されたErebusは、「malvertisement(不正広告)」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control(UAD)」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus(エレブス)」(「RANSOM_ELFEREBUS.A」として検出)の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。
続きを読む