編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

ウィズセキュア、Facebookビジネスアカウントから情報を盗むインフォスティーラー型マルウェア『DUCKTAIL』を発見

~ マーケティング担当者や人事担当者をターゲットに、LinkedInでのスピアフィッシング経由でFacebookのビジネスアカウントを乗っ取り ~

ウィズセキュア株式会社

2022-07-27 09:00

ウィズセキュアは7月26日、Facebookの広告およびビジネスアカウントを利用する個人/企業を攻撃対象として進行中の、『DUCKTAIL』と命名されたサイバー攻撃オペレーションを発見したと発表しました。ウィズセキュアでは収集データと分析に基づき、このオペレーションがベトナムのサイバー攻撃者によって行われていると強く確信しています。また、一連の証拠から、攻撃者の動機は金銭的なものであることが濃厚です。
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) は7月26日、Facebookの広告およびビジネスアカウントを利用する個人/企業を攻撃対象として進行中の、『DUCKTAIL』と命名されたサイバー攻撃オペレーションを発見したと発表しました。ウィズセキュアでは収集データと分析に基づき、このオペレーションがベトナムのサイバー攻撃者によって行われていると強く確信しています。また、一連の証拠から、攻撃者の動機は金銭的なものであることが濃厚です。

DUCKTAILは、Facebookビジネスアカウントを乗っ取るために特別に設計された機能を含むインフォスティーラー型マルウェアコンポーネントを利用しています。このような機能はウィズセキュアが知る限り初めてであり、DUCKTAILはこれまでのFacebookを主なターゲットとしたマルウェアとは一線を画しています。このマルウェアはブラウザのクッキーを盗み、認証されたFacebookのセッションを利用して、被害者のFacebookアカウントから情報を盗み、最終的には被害者がアクセスできるあらゆるFacebookビジネスアカウントを乗っ取るよう設計されています。DUCKTAILはまずLinkedIn内において、Facebookビジネスアカウントに高位のアクセス権 (特に管理者権限) を持つユーザーを探し、フィッシングを行います。

ウィズセキュアのリサーチ部門であるWithSecure Intelligence (略称: WithIntel) のリサーチャーであるMohammad Kazem Hassan Nejad (モハマッド・カゼム・ハッサン・ネジャッド) は、DUCKTAILの手法に関して次のように語っています。
「DUCKTAILを使用するサイバー攻撃者は、攻撃の成功率を高めるために少数のターゲットを慎重に選択し、気付かれにくくしようとしているようです。当社では、企業で管理職/デジタルマーケティング/デジタルメディア/人事などの役割を担う人々がターゲットになっていることを確認しています。」

発見当初、DUCKTAILは未知のマルウェアとされましたが、ウィズセキュアがDUCKTAILの動向の追跡と分析を行ったところ、攻撃者が2021年後半からDUCKTAILと連携したマルウェアの開発/配布を行っていることが判明しました。DUCKTAILのオペレーションは、その後もマルウェアの更新と配布を続け、実装された他の機能とともに、既存のまたは新しいFacebookのセキュリティ機能をバイパスする能力を向上させようとしています。

ウィズセキュアでは自社のEPP (エンドポイント保護プラットフォーム) やEDR (エンドポイントでの検知と対応) ソリューションにおいて、静的および振る舞い検知シグネチャ、攻撃ライフサイクルの複数のステージに対する検知機能を備えていますが、Mohammad Kazem Hassan Nejadはユーザーが被害者にならないためには強い警戒心を持つことが重要であると述べています。
「多くのスピアフィッシングキャンペーンはLinkedInのユーザーをターゲットとしています。企業のソーシャルメディアアカウントに管理者としてアクセスできる立場にあるならば、ソーシャルメディアプラットフォームで他者と交流する際、特に見知らぬユーザーから添付ファイルやリンクが送られてきた場合には、細心の注意を払って対応することが重要です。」

ソーシャルネットワークやメディアプラットフォームの利用は、引き続き上昇傾向にあります。そうした人気に乗じて、サイバー犯罪者はマルウェアの配布/窃盗/情報操作/詐欺など、これらのプラットフォームを悪用して利益を得る方法を探しています。FacebookのようなSNSを標的としたマルウェアは、SNSのプラットフォームが実装しているセキュリティメカニズムにより、これまではあまり見られないケースでした。 しかし、Facebook は、その広範な活動範囲とユーザベースから、攻撃者にとっては格好の攻撃ベクトルとなっています。

ウィズセキュアはDUCKTAILの調査レポートの公開前に、その内容をFacebookの運営会社であるMeta社と共有しています。DUCKTAILに関するレポート (MITREのフレームワークを用いた攻撃の概要を含む) は、以下のページよりご覧いただけます。
(リンク »)

WithSecure Webサイト:
(リンク »)
WithSecureプレスページ:
(リンク »)

このプレスリリースの付帯情報

Ducktail_Figure

用語解説

WithSecureについて

WithSecure™は、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を探し出し、当社のセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。当社は30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたWithSecureは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細は www.withsecure.com をご覧ください。また、Twitter @WithSecure_JP でも情報の配信をおこなっています。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]