皆さん、こんにちは。
今週のセキュリティ動向では、マルウェア(Malware)によるサイバー攻撃事例または、新しく登場したマルウェアをご紹介します。マルウェア(Malware)とは、ウイルス、ワーム、トロイの木馬など、悪質なコードの総称です。マルウェア関連するニュースの概要からその経緯についてまとめてみました。最近、システムおよびサーバへ対するマルウェアの侵入方法が徐々に巧妙になっていて、その進化速度は、怖いほどですが、それでは、まずはその概念から見てみましょう。
マルウェア(Malware)は、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがあります。 悪意のコード、悪意のソフトウェア、悪意のある不正ソフトウェア、有害なソフトウェア、不正プログラムとも呼ばれます。詳しい内容は、下のリンクをクリックしてください。
銀行装うマルウェア感染メールに注意!
(▲ 詐欺サイトの例ーみずほ銀行)
- 事件概要
よく知られているマルウェアの感染経路の一つは電子メールです。よって人々はよく送り主が知り合いかどうかを確認することで、着信メールの安全性を判断しますが、今からはより綿密にメールを見る必要がありそうです。
三井住友銀行やみずほ銀行の利用者をタゲットにして、銀行を装ったメールを通じてマルウェアへ感染させようとする攻撃が発生しています。法人向けサービスの利用者をターゲットとする場合は三井住友銀行に、個人のカードローン利用者を狙う時はみずほ銀行を装っています。
- 事件経緯
-日本サイバー犯罪対策センター(JC3)が、 金融機関をかたり、マルウェアへ感染させようとするメールを確認して注意喚起実行。
-三井住友銀行とはみずほ銀行も、マルウェアのあるメールのタイトルや内容、そして被害に遭わないための方法など紹介中。
Google Playアプリ144個に
(▲ 「Grabos」が最初発見されたアプリ「Aristotle Music audio player 2017」)
- 事件概要
マカフィーの公式ブログにおいて、同社のモバイルリサーチチームが、Google Playで144個の「トロイの木馬」かされたアプリケーションから新種のAndroidマルウェアが発見されました。このマルウェアの構成コード内のGrabosという文字列が使用されたため、「Grabos」と名付けられました。
この「Grabos」は感染したデバイスからデータを収集してコントロールサーバに送信するほか、特定のソーシャルアプリとGoogleアプリがインストールされているかどうかを確認して、コントロールサーバに報告します。また、ユーザーをだまして別なアプリをダウンロードもします。
同チームは、広告を表示する機能とダウンロード数が多いことを考慮して、「Grabos」の主な目的はアプリのインストールを促進して広告収入をあげると分析しています。
- 事件経緯
―「Grabos」は、Google Playの無料オーディオプレーヤーアプリ「Aristotle Music audio player 2017」で最初に発見。Google Playによると、アプリケーションがインストールされた回数は100~500万回。
―2017年9月: Googleに「Grabos」について報告。その後、Googleは速やかに当アプリケーション削除。
―同チームがさらに発見した143個のアプリもGoogle Playストアから削除。
―同チームによると、追加のAndroidアプリをダウンロードすることにより、感染したデバイスはさらに別のマルウェアに感染するリスクが残っていると指摘。
米当局がIPアドレスなど公表
(▲ 米セキュリティ機関のUS-CERTから発表したマルウェア「Volgmer」に関連情報)
- 事件概要
北朝鮮が各国の企業やインフラを狙った攻撃に使われているトロイの木馬型マルウェア「Volgmer」について、米セキュリティ機関のUS-CERTは11月14日、「Volgmer」関連IPアドレスなどの詳細を突き止めたと発表しました。
「Volgmer」は、「HIDDEN COBRA」という、米政府が命名した北朝鮮による一連の攻撃でスピアフィッシングが使われているほか、複数のカスタムツールも利用しています。 米政府はIPアドレス他にも、その特徴や感染の兆候となる情報を公開しました。
- 事件経緯
―2017年6月: 米国土安全保障省(DHS)と連邦捜査局(FBI)が、北朝鮮による一連の攻撃を「HIDDEN COBRA」と命名。
― US-CERTによると、「HIDDEN COBRA」は少なくとも2013年から「Volgmer」を使って政府機関や金融、自動車、メディアなどの起業を標的にしていたという。
― US-CERTは、企業や組織に対して、今回割り当てられたIPアドレススペースやログなどを確認して、もしVolgmerの兆候が見つかった場合、対策を講じるよう促している。
参考記事≫
1.銀行装うマルウェア感染メールに注意 - 法人向けの文面なども:Security NEXT
2.当行を装う不審なメールにご注意ください : 三井住友銀行
3.詐欺メール(フィッシング詐欺)にご注意ください:みずほ銀行