2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
提供:キヤノンITソリューションズ株式会社
リンクをコピー
記事をブックマーク
石川堤一氏(以下、石川):続きまして、バンキングマルウェアについてご説明させていただきます。バンキングマルウェアについては長いこと経緯としてありますので、VBA/TrojanDownloaderの先ほどの傾向のところをもう一度グラフとしてお出ししたいと思います。
このマルウェアの狙いは、この先にあるUrsnifと呼ばれるバンキングトロジャン(バンキングマルウェア)に感染するための入口となることです。今、手法として2つの攻撃が行われています。
一つは、このコードを組み込んだExcelファイルを添付してばらまく手口。もう一つは、メールに記入されたURLアドレスをクリックしてダウンロードし、実行してしまうと、同じようにUrsnifに感染してしまうケースがありました。
Excelに関しては、こちらが代表的な例ですが、発注書を装ったTrojanDownloaderです。ここにある「コンテンツを有効にする」を有効にすると、いわゆるマクロ機能を有効にするという意味なので、Ursnifがダウンロードされて実行されてしまうという流れになっています。
実際に組み込んでいるコードは非常にシンプルです。先ほどのExcelの中身から、悪意のあるコードがどういった部分かを取り出したところになります。まず、サーバーから別のマルウェアをダウンロードするためのコードがここに記載されています。次に、ダウンロードしたマルウェアを実行させる。この2つだけで、非常にシンプルなコーディングがされています。
今来ているメールもだいたいこれです。あとは、いかにこういうものだということがわからないように細工しているか。それだけのことで、日々繰り返しいたちごっこの状態ですけれども、8月でもこういったメールは届いています。
もう一つは、新しいパターンというのもあれですけれども、添付メールはありません。その代わりURLが書いてありまして、それをクリックするとJavaScript形式のファイルなどがダウンロードされます。それを実行すると、同じようにその先のバンキングトロジャンに感染してしまう流れになります。
こちらは楽天カードを騙ったメールで、これも上半期に相当な数がばらまかれたのかなと思いますが、そういうつくりになっています。実際にバンキングマルウェアのUrsnifに感染(する)までの流れというところで、今一度ご説明したいと思います。
まず、メール本文にURLが書かれたメールが届きます。先ほどの楽天カードを騙るメールを例としてあげます。受け取ったユーザーさんは、そのURLをブラウザーで開くかたちになりますので、ファイルがダウンロードされます。
そうすると、攻撃者が用意しているWebサーバーから、悪性のあるJavaScriptファイルがダウンロードされます。これを実行してしまうと、wscript.exeというものを引っ掛けてJavaScriptのコードが実行される。これ(wscript.exe)は、Microsoftの純正のプログラムです。
先々週、IQYファイルと呼ばれるExcelファイルの件で、同じようにばらまきがあったかと思うのですが、この手口が変わっただけで、あとはだいたい一緒です。
こうした部分で既存のソフトウェアで悪用されるケースがありますので、ドメインコントローラーなどで、法人などのクライアントの環境を一括で対応していくためには、ポリシーなどをうまく活用していけば、実はこのあたりの実行は防げます。
実際、ポリシーによっては、もし実行してしまっても、「クライアント環境は、システム管理者によってブロックされています」というかたちで止めることができる。Microsoftのサーバーの機能、ポリシーの機能をうまく活用していただき、既存の正規のプログラムを悪用されないような運用の仕方をすることで、これ以上の感染の被害は防げます。
もう1つの方法は、クライアント側の話です。これもよく、ほかの専門の方などがTwitterなどで議論されていますが、JavaScriptなどの形式は、通常Windowsスクリプトの実行ファイルに関連づけられていますので、「この関連付けをやめれば?」という話です。
一番手っ取り早い方法は、これ自身をダブルクリックさせるぐらいだったら、もうメモ帳に関連付けさせなさいと。そうすれば、実行させてしまうリスクを大幅に減らせる。弊社としても、こういった部分を提案していきたいと思っております。
これは、1年間のSMBプロトコルの脆弱性を悪用した攻撃を国内で検出した数になります。ここ(2017年7月1日)がちょうどWannaCryの発生時期になっています。WannaCryが一巡して2018年7月以降、実は今のほうがぜんぜん(件数が)増えています。これはもうWannaCry以外のマルウェアで、この脆弱性を使った攻撃が増えてきている状況です。
EternalBlueなどは有名ですが、この445番ポートが開放されているWindows端末が根こそぎ感染対象となって、WannaCryの騒動が起きたのが昨年度のできごとです。
これが今もほかのマルウェアなどに使われているなかで、今月の8月頭にShodanのサイトで開放されているWindowsシステムがどのぐらいあるかを調べてみると、まだ日本では8万あります。昨年の3月にMicrosoftから修正パッチが提供されていますが、この中には当てていない環境が現実としてあります。
先ほどのグラフはESETで検出した攻撃ですので、まず早急に昨年のMicrosoftから提供されているパッチを当てていただかなければならないです。
実際に、脆弱性に関するできごととして簡単にまとめたものがこちらの絵になります。
昨年の5月に、このEternalBlueを実際に悪用したWannaCryが確認されています。実は、それ以降も、ほかのランサムウェアでもEternalBlueを悪用するプログラムが組み込まれたものがばらまかれています。
たまたま日本で大きな被害が出ていないだけであって、実際には新しいランサムウェアは続々と出てきていますし、組み込む傾向は今でも続いています。
なぜこちらに注目したかといいますと、先々月、6月にフィッシング対策協議会よりフィッシング報告件数という傾向の発表がありました。私たちが関心を持ったのは、昨年に比べて今年の上半期が非常に増えてきているのはなぜかというところです。
マルウェアを使った攻撃の検出は昨年に比べて減っているにもかかわらず、フィッシングは増えている傾向にあります。その背景を追っていくと、やっぱりサービスを利用しているケースが増えてきているのかなと思っています。
例えば、2年ぐらい前から多く出てきているRansomware as a Serviceというランサムウェアを提供するためのサービスですね。それも出てきているのですが、それに合わせて新しく見つかったランサムウェアは、実は今年だけでこれだけあります。
大流行していないだけで、実はかなりの数が毎月出てきています。そのため、今は自分でマルウェアを開発するよりも、サービスを利用して新しいマルウェアを入手してばらまくと。サービスを通じてばらまくという、ビジネス的な動きに変わってきています。
Ransomware as a Serviceの場合で言いますと、まずこのRaaSの提供者がサービスを用意して販売します。「ランサムウェアを売りますよ。みなさんいかがですか?」「C&Cサーバー売りますよ。みなさんいかがですか?」と売りにきます。
サイバー犯罪者がそれを買って、攻撃に入ります。被害を受ける人が出てきます。被害を受けると身代金を払います。身代金は、サイバー犯罪者とこのRaaSの提供者にいきます。これが一連のビジネススキームといいますか、今はそういうかたちで使われています。
こちらがPhaaSのサイトです。PhaaSではどんなフィッシングを設定して、偽サイトを用意しているのかという画面です。
画面の作りは、自分がブログページを立ち上げるときのように、ページ構成やレイアウトがWebブラウザー上で簡単にセッティングできてしまいます。実は今、そういうものがもうサービスとして用意されて提供されています。
この中でどんなフィッシングサイトが用意されているのかが次の画面です。こちらが作成可能な偽ログインサイトの一覧で、要はこれが全部フィッシングサイトです。
ログインが必要な代表的なサービスが載っているなかで、とくにAmazonなどを騙った偽サイトは日本でもフィッシングサイトとしてはよく出ていますので、注意喚起などもあちこちから出ているかと思います。実際これを選ぶと……はい。この偽物画面が渡されます。
ユーザーさんが不幸にも引っかかってしまって入力した情報は、実は、この偽のWebサイトから収集したアカウント情報の一覧画面に全部ストックされます。こちらにIP、User/E-mailが書かれています。それぞれの詳しい情報を見たいとなりますと、次の画面になります。
こちらがアカウントの詳細情報です。username、password、nameやurlなど、いろいろと書いてありますが、こうしたものが入手できてしまいます。
この先どうなるかというと、このデータを使って、そのままその人が不正ログインに使うケースもあるかと思いますし、「この情報をそのまま1つのデータとしていくらで売りますよ」と、さらに再販しているケースもあります。
先日、JPCERTさんのほうで、英文メールの本文に脅迫めいた文章が書かれていて、そこにユーザーさんが使っている本物のパスワードが記載されているケースがあると。そういったケースが出てきているかと思うのですが、実際はこういったもので入手できてしまうと、そのまま悪用できてしまうのも1つの問題としてあります。
そして、PhaaSサイト自身、ちゃんと料金表も用意されていて、必要なレベル・メニューに応じて「月々いくらですよ」「1回いくらですよ」というものが丁寧に用意されている。
(これまでは)コンピューターに詳しい方などがウイルスを作ったりフィッシングを用意する流れでしたが、ここまで用意されると、あまり詳しくないユーザーでも犯罪に手を伸ばせるという状況が、今は危惧するべきところかなと見ておりました。
今後はこういったところを注意して、そこからまた新たなマルウェアが出てくる可能性もあります。私どもとしては、そういったものを追っていき、今後も報告などがありましたら、みなさまに共有させていただければと思っております。
キヤノンITソリューションズ株式会社
関連タグ:
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
職場であえて「不機嫌」を出したほうがいいタイプ NOと言えない人のための人間関係をラクにするヒント
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.06
嫌いな相手の行動が気になって仕方ない… 臨床心理士が教える、人間関係のストレスを軽くする知恵
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
2024.12.11
大企業への転職前に感じた、「なんか違うかも」の違和感の正体 「親が喜ぶ」「モテそう」ではない、自分の判断基準を持つカギ
PR | 2024.11.22
「闇雲なAI導入」から脱却せよ Zoom・パーソル・THE GUILD幹部が語る、従業員と顧客体験を高めるAI戦略の要諦