ピックワールド(PIC World)

インフォメーション

この記事は 2018年11月03日 に以下のカテゴリに投稿されました Security.

この記事のタグ

, , , , , , , , ,


2018年9月のマルウェアレポートをキヤノンITソリューションズが公開

少し遅くなりましたが、毎月キャノン IT ソリューションズが公開している、マルウエアレポートを紹介します。

2018年9月の状況です。

相変わらず、個人攻撃が続いているように思いますね。

最初は英語だったものが、最近はたどたどしい日本語で書かれた同様のメールが、数多く届いているようです。

これは、以前にも紹介した、どこかから以前に流出した、メールアドレスと、パスワードのファイルを使って、あなたのシステムに侵入して・・っと書かれたメール。

ビットコインを要求しているメールですが、これ、こんな話に乗ってはいけませんよ。

2018年9月のマルウェアレポートを公開
~UEFIルートキットを攻撃に用いた初めての事例をESET社が報告~
キヤノンITソリューションズ株式会社

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年9月のマルウェア検出状況に関するレポートを公開しました。

2018年9月のマルウェアレポートを公開 - キャノンITソリューションズ

2018年9月のマルウェアレポートを公開 – キャノンITソリューションズ

■2018年9月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年9月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年9月のマルウェア検出状況に関するレポート
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1809.html

■トピック
・9月の概況:Web上で動作するマルウェアの拡大がアドウェアを中心に継続
・マルウェアによりプライベートな情報を窃取したと騙る詐欺メール
・UEFIルートキットを用いた攻撃を初めて確認

■9月の概況
9月に最も多く検出されたマルウェアは、8月下旬に新たに定義されたJS/ExoClickでした。JS/ExoClickはExoClick(*1)のアドネットワークを介して不快な広告、特にポルノに関連する広告を表示させる可能性のあるスクリプトです。JS/ExoClickはiframeやscriptタグを使用してWebページ内に埋め込まれており、Webブラウザーによってダウンロード・実行されます。
2番目に多く検出されたJS/Adware.AgentもWebブラウザー上で動作するアドウェアであり、8月以降検出が増加しています。
*1 バルセロナに拠点を置くオンライン広告会社

国内マルウェア検出数の推移(JS/ExoClick、JS/Adware.Agentおよびそれ以外を区別)        ※ 2018年4月の全検出数を100%として比較

国内マルウェア検出数の推移(JS/ExoClick、JS/Adware.Agentおよびそれ以外を区別)
       ※ 2018年4月の全検出数を100%として比較

この傾向は、2018年8月マルウェアレポート(https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1808.html)でもお伝えしたWeb上で動作するマルウェアの拡大が、アドウェアを中心に継続していることを示しています。Web上で動作するマルウェアはWebブラウザーを搭載するあらゆるプラットフォームで稼働し、かつWebページ閲覧に伴い自動的に実行されます。そのため攻撃範囲や収益性の面で攻撃者にとってメリットが大きく、今後も拡大が続くと考えられます。

■マルウェアによりプライベートな情報を窃取したと騙る詐欺メール
9月は、「成人向けWebサイト閲覧中にマルウェアを利用して閲覧者の性的な動画を撮影した」と騙り、その削除の対価としてビットコインによる支払いを要求する、悪質なばらまき型詐欺メールを確認しました。

このような手口は「セクストーション(性的脅迫)」と呼ばれ、日本では2014年以降、IPAをはじめとする各機関から注意喚起(https://www.ipa.go.jp/security/txt/2014/12outline.html)が繰り返し行われています。
今回の手口には、典型的なセクストーションやばらまき型メールとは異なる2つの特徴があります。

(1)SNSやマルウェアを利用して特定少数を脅迫する典型的なセクストーションとは異なり、ばらまき型メールによって不特定多数に対して脅迫が行われている。
(2)悪意ある添付ファイルやWebサイトへのリンクがある典型的なばらまき型攻撃メールやフィッシングメールとは異なり、添付ファイルやリンクがない純粋な脅迫文となっている。

プライベートな情報の窃取を騙る詐欺メール

プライベートな情報の窃取を騙る詐欺メール

メールの件名は「アカウントの問題」「あなたの秘密の生活」「それはあなたの安全の問題です」などが確認されています。

マルウェアレポートでは、詐欺メール本文のパターンや、実際の脅迫に利用されたビットコインアドレスのトランザクション追跡について解説していますので、ご覧ください。

■UEFIルートキットを用いた攻撃を初めて確認
9月27日、ESET社はLojaxと呼ばれるUEFIルートキットに関する調査結果を公表しました。
ルートキットは、PCを遠隔操作するためのツールのことを指します。継続的な情報窃取などを目的として使用されます。

LojaxはSednit(別名:APT28, STRONTIUM, Sofacy, Fancy Bear)と呼ばれるサイバースパイ集団によって使用された可能性が高いと分析されています。
Sednitは2004年頃から活動するサイバースパイ集団で、これまで世界各国の企業や行政機関を標的としてきました。今回のLojaxは、中・東欧の政府機関を狙った攻撃に使用されたとみられています。

UEFIルートキットが攻撃に使われる可能性は以前から指摘されてきましたが、実際の攻撃においてUEFIルートキットの使用が確認されたのは初めてのことです。

UEFIルートキットは、UEFIファームウェアに感染します。UEFIファームウェアは、WindowsなどのOSと、PCのハードウェアとを橋渡しするためのプログラムです。少し前まではBIOSがその役割を担っていましたが、最近はUEFIファームウェアが主流となっています。

マルウェアレポートでは、UEFIルートキット感染や、感染を防ぐ方法について解説していますので、ご覧ください。

ご紹介したように、今月はプライベートな情報の窃取を騙る詐欺メールが確認されたほか、実際の攻撃に利用されたUEFIルートキットについての調査結果がESET社から発行されました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
https://eset-info.canon-its.jp/malware_info/

※ESETは、ESET, spol. s r.o.の商標です。Windowsは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

以上

他のレポートを紹介した際には、マイニングマルウエアが増加の傾向とのこともありました。

どちらも注意が必要ですが、むやみにダウンロードしたファイルを開かないこと、添付ファイルが付いているメールは、十分に気をつけること。

これらは最低限気をつけておかないと、面倒なことが起きるみたいですね。

すべてのコンピュータがネットワークに繋がって、大規模な処理もそれぞれのコンピュータが助け合いながら答えをだすことができる!っなんていう夢の世界が目の前にあるのに、悪事にばかり使われて、なかなか実現しないのは、とても悲しいことですね。

 

投稿者のプロフィール

minorus
minorus
電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。

コメントを残す

最近の投稿

最近のコメント

アーカイブ