バンキングマルウェア「URLZone」が日本をターゲットに、請求書を装ったメール本文も自然な日本語に進化中

Cylance Japan株式会社の本城信輔氏（脅威解析チームアジア太平洋地域マネージャー）

　Cylance Japan株式会社は26日、160カ国におけるサイバーセキュリティの動向をまとめた「2017年脅威レポート」を公開した。

“使い捨てマルウェア”や古い脆弱性を悪用した攻撃が増加

　2017年に検知した攻撃では、9カ月以上前に発見された脆弱性を悪用したものが大半だったという。特に大規模な標的型攻撃で用いられており、サイバースパイグループ「Patchwork」による攻撃などでは、2015年と2016年に見つかった脆弱性が悪用されていたという。

　また、感染したPCのCPUなどの計算処理能力を利用して、仮想通貨を無断でマイニングするマルウェアにも古い脆弱性が悪用されていたいう。2018年第1四半期には、アプリケーションサーバー「Oracle WebLogic Server」にリモートから任意のコードを実行できる脆弱性「CVE-2017-10271」の悪用が増加したという。この脆弱性が2017年末から2018年初頭にかけて十分認識されるようになったあとでも、攻撃は引き続き行われているという。

　このほか、攻撃対象ごとにコードの一部を改変することでシグネチャベースの検出を回避する“使い捨てマルウェア”も多く検知されたという。主に企業の機密情報を狙った標的型攻撃において７～8年前から使われていたが、最近では企業／個人を問わず使用される傾向にあるそうだ。

　Cylance Japan株式会社の本城信輔氏（脅威解析チームアジア太平洋地域マネージャー）は、「10年前は、シグネチャファイルを作成して対処するだけで脅威は収まった。しかし、ここ数年は使い捨てのマルウェアが利用されているため、シグネチャベースのセキュリティ製品や、『Virus Total』で検知されなかったからといって安心できるわけではない」と警告する。

“使い捨てマルウェア”が増加。シグネチャベースのセキュリティ製品では検知を回避することも

欧州で猛威を奮ったバンキングマルウェア「URLZone」、請求書を装ったメールに注意

　2017年にCylance製品のユーザーが検知した上位10種類のマルウェアは、「WannaCry」「Cerber」「Locky」「Petya」「Polyransom」などのランサムウェアや、「Upatre」「Emotet」「Ramnit」「Fareit」「Terdoi/Zloader」などのバンキングマルウェアだったという。

　その中でも、バンキングマルウェアの一種である「URLZone」が、数年前から日本を標的にしていることが確認されたそうだ。同マルウェアは、請求書などを装ったマルウェア付きのメールで、オンラインバンキングの認証情報を窃取するもの。2009年ごろに発見され、欧州を中心に猛威を奮っていた。

　日本に向けて送られるマルウェア付きのメールは、最近では自然な日本語が使われるようになってきていることから、日本語が堪能で、日本の商習慣に詳しい人物が犯罪グループに入った可能性があるという。

本城氏の個人メールアドレス宛に届いたマルウェア付きのメール。添付されたExcelファイルをクリックすると偽の発注書が開き、マクロを有効にするとマルウェアをダウンロードするものだった

　「昔は、怪しいメールに気を付けるように言ってきたが、最近は普通のメールと攻撃メールの切り分けが段々難しくなってきた。また、請求書メールの形で来ると営業部門の人などは開かないわけにはいかない事情もある」と懸念する。

　本城氏はセキュリティ対策として、1）ハード／ソフトウェアを常に最新の状態に保つこと、2）アクセス権限を管理すること、3）リモートアクセスを制限し、かつモニターすること、4）ソーシャルエンジニアリングとフィッシングに対するトレーニングを行うこと、5）脆弱なインフラに対しては物理的なセキュリティを強化すること――などを挙げている。