
2025.02.12
職員一人あたり52時間の残業削減に成功 kintone導入がもたらした富士吉田市の自治体DX“変革”ハウツー
提供:キヤノンITソリューションズ株式会社
リンクをコピー
記事をブックマーク
石川堤一氏(以下、石川):続きまして、バンキングマルウェアについてご説明させていただきます。バンキングマルウェアについては長いこと経緯としてありますので、VBA/TrojanDownloaderの先ほどの傾向のところをもう一度グラフとしてお出ししたいと思います。
このマルウェアの狙いは、この先にあるUrsnifと呼ばれるバンキングトロジャン(バンキングマルウェア)に感染するための入口となることです。今、手法として2つの攻撃が行われています。
一つは、このコードを組み込んだExcelファイルを添付してばらまく手口。もう一つは、メールに記入されたURLアドレスをクリックしてダウンロードし、実行してしまうと、同じようにUrsnifに感染してしまうケースがありました。
Excelに関しては、こちらが代表的な例ですが、発注書を装ったTrojanDownloaderです。ここにある「コンテンツを有効にする」を有効にすると、いわゆるマクロ機能を有効にするという意味なので、Ursnifがダウンロードされて実行されてしまうという流れになっています。
実際に組み込んでいるコードは非常にシンプルです。先ほどのExcelの中身から、悪意のあるコードがどういった部分かを取り出したところになります。まず、サーバーから別のマルウェアをダウンロードするためのコードがここに記載されています。次に、ダウンロードしたマルウェアを実行させる。この2つだけで、非常にシンプルなコーディングがされています。
今来ているメールもだいたいこれです。あとは、いかにこういうものだということがわからないように細工しているか。それだけのことで、日々繰り返しいたちごっこの状態ですけれども、8月でもこういったメールは届いています。
もう一つは、新しいパターンというのもあれですけれども、添付メールはありません。その代わりURLが書いてありまして、それをクリックするとJavaScript形式のファイルなどがダウンロードされます。それを実行すると、同じようにその先のバンキングトロジャンに感染してしまう流れになります。
こちらは楽天カードを騙ったメールで、これも上半期に相当な数がばらまかれたのかなと思いますが、そういうつくりになっています。実際にバンキングマルウェアのUrsnifに感染(する)までの流れというところで、今一度ご説明したいと思います。
まず、メール本文にURLが書かれたメールが届きます。先ほどの楽天カードを騙るメールを例としてあげます。受け取ったユーザーさんは、そのURLをブラウザーで開くかたちになりますので、ファイルがダウンロードされます。
そうすると、攻撃者が用意しているWebサーバーから、悪性のあるJavaScriptファイルがダウンロードされます。これを実行してしまうと、wscript.exeというものを引っ掛けてJavaScriptのコードが実行される。これ(wscript.exe)は、Microsoftの純正のプログラムです。
先々週、IQYファイルと呼ばれるExcelファイルの件で、同じようにばらまきがあったかと思うのですが、この手口が変わっただけで、あとはだいたい一緒です。
こうした部分で既存のソフトウェアで悪用されるケースがありますので、ドメインコントローラーなどで、法人などのクライアントの環境を一括で対応していくためには、ポリシーなどをうまく活用していけば、実はこのあたりの実行は防げます。
実際、ポリシーによっては、もし実行してしまっても、「クライアント環境は、システム管理者によってブロックされています」というかたちで止めることができる。Microsoftのサーバーの機能、ポリシーの機能をうまく活用していただき、既存の正規のプログラムを悪用されないような運用の仕方をすることで、これ以上の感染の被害は防げます。
もう1つの方法は、クライアント側の話です。これもよく、ほかの専門の方などがTwitterなどで議論されていますが、JavaScriptなどの形式は、通常Windowsスクリプトの実行ファイルに関連づけられていますので、「この関連付けをやめれば?」という話です。
一番手っ取り早い方法は、これ自身をダブルクリックさせるぐらいだったら、もうメモ帳に関連付けさせなさいと。そうすれば、実行させてしまうリスクを大幅に減らせる。弊社としても、こういった部分を提案していきたいと思っております。
これは、1年間のSMBプロトコルの脆弱性を悪用した攻撃を国内で検出した数になります。ここ(2017年7月1日)がちょうどWannaCryの発生時期になっています。WannaCryが一巡して2018年7月以降、実は今のほうがぜんぜん(件数が)増えています。これはもうWannaCry以外のマルウェアで、この脆弱性を使った攻撃が増えてきている状況です。
EternalBlueなどは有名ですが、この445番ポートが開放されているWindows端末が根こそぎ感染対象となって、WannaCryの騒動が起きたのが昨年度のできごとです。
これが今もほかのマルウェアなどに使われているなかで、今月の8月頭にShodanのサイトで開放されているWindowsシステムがどのぐらいあるかを調べてみると、まだ日本では8万あります。昨年の3月にMicrosoftから修正パッチが提供されていますが、この中には当てていない環境が現実としてあります。
先ほどのグラフはESETで検出した攻撃ですので、まず早急に昨年のMicrosoftから提供されているパッチを当てていただかなければならないです。
実際に、脆弱性に関するできごととして簡単にまとめたものがこちらの絵になります。
昨年の5月に、このEternalBlueを実際に悪用したWannaCryが確認されています。実は、それ以降も、ほかのランサムウェアでもEternalBlueを悪用するプログラムが組み込まれたものがばらまかれています。
たまたま日本で大きな被害が出ていないだけであって、実際には新しいランサムウェアは続々と出てきていますし、組み込む傾向は今でも続いています。
なぜこちらに注目したかといいますと、先々月、6月にフィッシング対策協議会よりフィッシング報告件数という傾向の発表がありました。私たちが関心を持ったのは、昨年に比べて今年の上半期が非常に増えてきているのはなぜかというところです。
マルウェアを使った攻撃の検出は昨年に比べて減っているにもかかわらず、フィッシングは増えている傾向にあります。その背景を追っていくと、やっぱりサービスを利用しているケースが増えてきているのかなと思っています。
例えば、2年ぐらい前から多く出てきているRansomware as a Serviceというランサムウェアを提供するためのサービスですね。それも出てきているのですが、それに合わせて新しく見つかったランサムウェアは、実は今年だけでこれだけあります。
大流行していないだけで、実はかなりの数が毎月出てきています。そのため、今は自分でマルウェアを開発するよりも、サービスを利用して新しいマルウェアを入手してばらまくと。サービスを通じてばらまくという、ビジネス的な動きに変わってきています。
Ransomware as a Serviceの場合で言いますと、まずこのRaaSの提供者がサービスを用意して販売します。「ランサムウェアを売りますよ。みなさんいかがですか?」「C&Cサーバー売りますよ。みなさんいかがですか?」と売りにきます。
サイバー犯罪者がそれを買って、攻撃に入ります。被害を受ける人が出てきます。被害を受けると身代金を払います。身代金は、サイバー犯罪者とこのRaaSの提供者にいきます。これが一連のビジネススキームといいますか、今はそういうかたちで使われています。
こちらがPhaaSのサイトです。PhaaSではどんなフィッシングを設定して、偽サイトを用意しているのかという画面です。
画面の作りは、自分がブログページを立ち上げるときのように、ページ構成やレイアウトがWebブラウザー上で簡単にセッティングできてしまいます。実は今、そういうものがもうサービスとして用意されて提供されています。
この中でどんなフィッシングサイトが用意されているのかが次の画面です。こちらが作成可能な偽ログインサイトの一覧で、要はこれが全部フィッシングサイトです。
ログインが必要な代表的なサービスが載っているなかで、とくにAmazonなどを騙った偽サイトは日本でもフィッシングサイトとしてはよく出ていますので、注意喚起などもあちこちから出ているかと思います。実際これを選ぶと……はい。この偽物画面が渡されます。
ユーザーさんが不幸にも引っかかってしまって入力した情報は、実は、この偽のWebサイトから収集したアカウント情報の一覧画面に全部ストックされます。こちらにIP、User/E-mailが書かれています。それぞれの詳しい情報を見たいとなりますと、次の画面になります。
こちらがアカウントの詳細情報です。username、password、nameやurlなど、いろいろと書いてありますが、こうしたものが入手できてしまいます。
この先どうなるかというと、このデータを使って、そのままその人が不正ログインに使うケースもあるかと思いますし、「この情報をそのまま1つのデータとしていくらで売りますよ」と、さらに再販しているケースもあります。
先日、JPCERTさんのほうで、英文メールの本文に脅迫めいた文章が書かれていて、そこにユーザーさんが使っている本物のパスワードが記載されているケースがあると。そういったケースが出てきているかと思うのですが、実際はこういったもので入手できてしまうと、そのまま悪用できてしまうのも1つの問題としてあります。
そして、PhaaSサイト自身、ちゃんと料金表も用意されていて、必要なレベル・メニューに応じて「月々いくらですよ」「1回いくらですよ」というものが丁寧に用意されている。
(これまでは)コンピューターに詳しい方などがウイルスを作ったりフィッシングを用意する流れでしたが、ここまで用意されると、あまり詳しくないユーザーでも犯罪に手を伸ばせるという状況が、今は危惧するべきところかなと見ておりました。
今後はこういったところを注意して、そこからまた新たなマルウェアが出てくる可能性もあります。私どもとしては、そういったものを追っていき、今後も報告などがありましたら、みなさまに共有させていただければと思っております。
キヤノンITソリューションズ株式会社
関連タグ:
2025.02.13
“最近の新人は報連相をしない”という、管理職の他責思考 部下に対する「NG指示」から見る、認識のズレを防ぐコツ
2025.02.06
すかいらーく創業者が、社長を辞めて75歳で再起業したわけ “あえて長居させるコーヒー店”の経営に込めるこだわり
2025.02.13
AIを使いこなせない人が直面する本当の課題 元マッキンゼー・赤羽雄二氏が“英語の情報”を追い続ける理由
2025.02.12
マネージャーは「プレイング3割」が適切 チームの業績を上げるためのマネジメントと業務の比率
2025.02.12
何度言っても変わらない人への指示のポイント 相手が主体的に動き出す“お願い”の仕方
2025.02.14
報連相ができない部下に対するコミュニケーションの取り方 「部下が悪い」で終わらせない、管理職のスキル向上のポイント
2025.02.13
「みんなで決めたから」を言い訳にして仲良しクラブで終わる組織 インパクトも多様性も両立させるソース原理
2025.02.10
32歳で「すかいらーく」を創業、75歳で「高倉町珈琲」で再起業 「失敗したからすかいらーくができた」横川竟氏流の経営哲学
2025.02.13
上司からは丸投げ、部下からはハラスメント扱い、業務は増加…プレイングマネジャーを苦しめる「6つの圧力」とは
2025.01.07
1月から始めたい「日記」を書く習慣 ビジネスパーソンにおすすめな3つの理由
着想から2か月でローンチ!爆速で新規事業を立ち上げる方法
2025.01.21 - 2025.01.21
新人の報連相スキルはマネージメントで引きあげろ!~管理職の「他責思考」を排除~
2025.01.29 - 2025.01.29
【手放すTALK LIVE#45】人と組織のポテンシャルが継承されるソース原理 ~人と組織のポテンシャルが花開く「ソース原理」とは~
2024.12.09 - 2024.12.09
『これで採用はうまくいく』著者が語る、今こそ採用担当に届けたい「口説く」力のすべて
2024.11.29 - 2024.11.29
【著者来館】『成果を上げるプレイングマネジャーは「これ」をやらない』出版記念イベント!
2025.01.10 - 2025.01.10