~重要インフラを狙うマルウェア「GreyEnergy」による攻撃を解説~
キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年10月のマルウェア検出状況に関するレポートを公開しました。
[画像1: (リンク ») ]
■2018年10月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年10月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。
2018年10月のマルウェア検出状況に関するレポート
【 (リンク ») 】
■トピック
・10月の概況: Webブラウザー上で動作するアドウェアが依然高水準で検出
・画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散
・重要インフラを狙うマルウェア「GreyEnergy」
※お知らせ
当社が2018年10月23日に公開しました「2018年9月 マルウェアレポート」において、マルウェアレポート公開後のESET社でのマルウェア検出方法の変更に伴い、当社での集計方法を変更しました。その結果、「9月概況」の記載を修正させていただきましたので、何卒ご了承ください。
■10月の概況
10月に最も多く検出されたマルウェアは、9月に引き続き、Web閲覧中に不正広告を表示させる可能性のあるスクリプトJS/Adware.Agentでした(参考:2018年9月マルウェアレポート( (リンク ») ))。検出数は8月や9月と比べて落ち着いてはいるものの依然として高い水準にあります。
HTML/ScrInject、JS/Redirector、JS/CoinMiner、JS/Adware.Subprop、Win32/RiskWare.PEMalformもJS/Adware.Agentと同様にWebブラウザーを利用するマルウェアあるいはリスクウェアであり、検出数上位の過半数を占める形になりました。これは、サイバー犯罪の主要な手段としてWebが広く利用されていることを示しています。(参考:2018年8月マルウェアレポート( (リンク ») ))
そのほかに、PDFファイルを装った「.arj」という拡張子のファイルもばらまき型メールの添付ファイルとして確認されています。このファイルの実態はZIPファイルで、バックドアとみられる実行ファイルが格納されています。
[画像2: (リンク ») ]
ばらまき型攻撃メールに添付されていたARJファイル(左)と
ARJファイルに格納されていた実行ファイル(右)
この実行ファイルは古いVisual Basicで作成されており(*1)、感染するとシステムに常駐して外部と継続的に通信を行います。その結果、遠隔操作やボット化、二次マルウェアへの感染などの被害を受ける可能性があります。
*1 マルウェアの解析を妨害するなどの目的で、Visual Basic 5.0 / 6.0がパッカーとして利用されるケースがあります。Windows 10でもVisual Basic 6.0の動作環境が出荷時からインストールされており、2018年現在も有効な方法です。
■画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散
2018年は、バンキングマルウェア感染を目的としたばらまき型メールが、頻繁に発生しています。バンキングマルウェアに感染すると、インターネットバンキングの認証情報(ユーザーIDやパスワード等)やクレジットカード情報が窃取され、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性があります。
マルウェアレポートでも、度々その攻撃内容を取り上げてきました。
●2018年8月マルウェアレポート「バンキングマルウェア感染を狙うIQYファイルを用いたばらまき型メール攻撃」
( (リンク ») )
●2018年上半期マルウェアレポート「インターネットバンキングを狙う脅威」
( (リンク ») )
10月24日以降、バンキングマルウェア感染を目的とした、新たなばらまき型メールが観測されています。メールにはExcelファイルが添付されています。Excelファイルはダウンローダーとして機能し、最終的にバンキングマルウェアをダウンロードします。
バンキングマルウェアをダウンロードするダウンローダーの存在は、これまでに頻繁に確認されてきました。多くのダウンローダーはセキュリティ製品などによる検出や解析を難しくするために様々な方法を用いますが、今回は画像ファイルにデータを隠蔽する「ステガノグラフィー」という方法が用いられていることが確認されました。ステガノグラフィーを用いて攻撃用のデータをあくまでも「画像ファイル」としてダウンロードさせることで、検出や解析を回避しようとしたと考えられます。
[画像3: (リンク ») ]
ステガノグラフィーが用いられた画像のスクリーンショット
この画像は一見するとただのプリンターの画像に見えますが、ステガノグラフィーと呼ばれるデータ隠蔽技術が使用されており、PowerShellスクリプトが隠蔽されています。
この画像内に隠蔽されているスクリプトが実行されることにより、最終的にBeblohやUrsnifと呼ばれるバンキングマルウェアに感染します。
マルウェアレポートでは、攻撃の一連の流れについて詳しく解説していますので、ご覧ください。
■重要インフラを狙うマルウェア「GreyEnergy」
2018年10月17日、ESET社はGreyEnergyによる攻撃手法の詳細を公表しました。GreyEnergyは過去3年の間、ウクライナやポーランドなど中東欧の国々のインフラに対する攻撃に関与していたとみられています。
現在確認されている限り、GreyEnergyはインフラを標的とした他のマルウェアのような破壊活動は行っていません。その代わりに、人知れず偵察や情報収集を行っていました。
GreyEnergyの侵入経路についてはメール経由とWebサーバー経由の2つが確認されています。
GreyEnergyと、2015年末のウクライナ大規模停電を引き起こしたマルウェア「BlackEnergy」、および大規模なサプライチェーン攻撃を行ったTeleBotsグループとの関係性についても、マルウェアレポートで説明していますので、ご覧ください。
ご紹介したように、今月は画像へのデータ隠蔽技術を用いたばらまき型メールが確認されたほか、重要インフラを狙うサイバースパイグループについての調査結果がESET社から報告されました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。
■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。
マルウェア情報局
【 (リンク ») 】
※ESETは、ESET, spol. s r.o.の商標です。Windows、Visual Basic、Excel、PowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。
**********************************
●報道関係者のお問い合わせ先:
キヤノンITソリューションズ株式会社
企画本部 事業推進部 コミュニケーション推進課
03-6701-3603(直通)
●一般の方のお問い合わせ先 :
キヤノンITソリューションズ株式会社
サポートセンター
050-3786-2528(直通)
**********************************
プレスリリース提供:PR TIMES (リンク »)
キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年10月のマルウェア検出状況に関するレポートを公開しました。
[画像1: (リンク ») ]
■2018年10月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年10月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。
2018年10月のマルウェア検出状況に関するレポート
【 (リンク ») 】
■トピック
・10月の概況: Webブラウザー上で動作するアドウェアが依然高水準で検出
・画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散
・重要インフラを狙うマルウェア「GreyEnergy」
※お知らせ
当社が2018年10月23日に公開しました「2018年9月 マルウェアレポート」において、マルウェアレポート公開後のESET社でのマルウェア検出方法の変更に伴い、当社での集計方法を変更しました。その結果、「9月概況」の記載を修正させていただきましたので、何卒ご了承ください。
■10月の概況
10月に最も多く検出されたマルウェアは、9月に引き続き、Web閲覧中に不正広告を表示させる可能性のあるスクリプトJS/Adware.Agentでした(参考:2018年9月マルウェアレポート( (リンク ») ))。検出数は8月や9月と比べて落ち着いてはいるものの依然として高い水準にあります。
HTML/ScrInject、JS/Redirector、JS/CoinMiner、JS/Adware.Subprop、Win32/RiskWare.PEMalformもJS/Adware.Agentと同様にWebブラウザーを利用するマルウェアあるいはリスクウェアであり、検出数上位の過半数を占める形になりました。これは、サイバー犯罪の主要な手段としてWebが広く利用されていることを示しています。(参考:2018年8月マルウェアレポート( (リンク ») ))
そのほかに、PDFファイルを装った「.arj」という拡張子のファイルもばらまき型メールの添付ファイルとして確認されています。このファイルの実態はZIPファイルで、バックドアとみられる実行ファイルが格納されています。
[画像2: (リンク ») ]
ばらまき型攻撃メールに添付されていたARJファイル(左)と
ARJファイルに格納されていた実行ファイル(右)
この実行ファイルは古いVisual Basicで作成されており(*1)、感染するとシステムに常駐して外部と継続的に通信を行います。その結果、遠隔操作やボット化、二次マルウェアへの感染などの被害を受ける可能性があります。
*1 マルウェアの解析を妨害するなどの目的で、Visual Basic 5.0 / 6.0がパッカーとして利用されるケースがあります。Windows 10でもVisual Basic 6.0の動作環境が出荷時からインストールされており、2018年現在も有効な方法です。
■画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散
2018年は、バンキングマルウェア感染を目的としたばらまき型メールが、頻繁に発生しています。バンキングマルウェアに感染すると、インターネットバンキングの認証情報(ユーザーIDやパスワード等)やクレジットカード情報が窃取され、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性があります。
マルウェアレポートでも、度々その攻撃内容を取り上げてきました。
●2018年8月マルウェアレポート「バンキングマルウェア感染を狙うIQYファイルを用いたばらまき型メール攻撃」
( (リンク ») )
●2018年上半期マルウェアレポート「インターネットバンキングを狙う脅威」
( (リンク ») )
10月24日以降、バンキングマルウェア感染を目的とした、新たなばらまき型メールが観測されています。メールにはExcelファイルが添付されています。Excelファイルはダウンローダーとして機能し、最終的にバンキングマルウェアをダウンロードします。
バンキングマルウェアをダウンロードするダウンローダーの存在は、これまでに頻繁に確認されてきました。多くのダウンローダーはセキュリティ製品などによる検出や解析を難しくするために様々な方法を用いますが、今回は画像ファイルにデータを隠蔽する「ステガノグラフィー」という方法が用いられていることが確認されました。ステガノグラフィーを用いて攻撃用のデータをあくまでも「画像ファイル」としてダウンロードさせることで、検出や解析を回避しようとしたと考えられます。
[画像3: (リンク ») ]
ステガノグラフィーが用いられた画像のスクリーンショット
この画像は一見するとただのプリンターの画像に見えますが、ステガノグラフィーと呼ばれるデータ隠蔽技術が使用されており、PowerShellスクリプトが隠蔽されています。
この画像内に隠蔽されているスクリプトが実行されることにより、最終的にBeblohやUrsnifと呼ばれるバンキングマルウェアに感染します。
マルウェアレポートでは、攻撃の一連の流れについて詳しく解説していますので、ご覧ください。
■重要インフラを狙うマルウェア「GreyEnergy」
2018年10月17日、ESET社はGreyEnergyによる攻撃手法の詳細を公表しました。GreyEnergyは過去3年の間、ウクライナやポーランドなど中東欧の国々のインフラに対する攻撃に関与していたとみられています。
現在確認されている限り、GreyEnergyはインフラを標的とした他のマルウェアのような破壊活動は行っていません。その代わりに、人知れず偵察や情報収集を行っていました。
GreyEnergyの侵入経路についてはメール経由とWebサーバー経由の2つが確認されています。
GreyEnergyと、2015年末のウクライナ大規模停電を引き起こしたマルウェア「BlackEnergy」、および大規模なサプライチェーン攻撃を行ったTeleBotsグループとの関係性についても、マルウェアレポートで説明していますので、ご覧ください。
ご紹介したように、今月は画像へのデータ隠蔽技術を用いたばらまき型メールが確認されたほか、重要インフラを狙うサイバースパイグループについての調査結果がESET社から報告されました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。
■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。
マルウェア情報局
【 (リンク ») 】
※ESETは、ESET, spol. s r.o.の商標です。Windows、Visual Basic、Excel、PowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。
**********************************
●報道関係者のお問い合わせ先:
キヤノンITソリューションズ株式会社
企画本部 事業推進部 コミュニケーション推進課
03-6701-3603(直通)
●一般の方のお問い合わせ先 :
キヤノンITソリューションズ株式会社
サポートセンター
050-3786-2528(直通)
**********************************
プレスリリース提供:PR TIMES (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
