ニュース

偽の警告画面でソフトをインストールする手口、Chrome拡張機能で不正広告や偽サイトを表示して誘導

Kaspersky Labアンチマルウェアチーム部長のヴャチェスラフ・ザコルザフスキー氏

 2018年上半期は、ウェブサイト上に偽の警告画面を表示してセキュリティソフトなどの購入を促す手口や、ランサムウェア、マイニングマルウェアなどが世界中で影響を及ぼしたとして、Kaspersky Labアンチマルウェアチーム部長のヴャチェスラフ・ザコルザフスキー氏がそれぞれの攻撃手段について解説した。

 同社のマルウェアリサーチチームが観測したウェブサイト上に偽の警告画面を表示する手口は、Google Chromeの拡張機能を利用したものだったという。同拡張機能が追加されたウェブブラウザー上では、Googleの検索結果に不正な広告が表示されたり、Googleを装った検索サイトが表示されるという。

 これらのウェブサイト上の広告には、閲覧者のPCでウイルスを検出したという偽警告を出すことで不安をあおるのが特徴。指定されたソフトをインストールしてスキャンを実行すると、「100件の問題が発見された」などの診断結果が表示され、セキュリティソフトを購入するよう促してくる。だが、診断結果が適切にスキャンされたものかどうかは不明だという。

ウェブサイト上に偽の警告画面が表示され、ソフトをインストールするよう促してくる

言語チェック機能やディレクトリ検証機能を備えるランサムウェア「SynAck」

 標的型攻撃におけるランサムウェアについては、最近では法人企業をターゲットにする傾向にあるという。リモートデスクトッププロトコル(RDP)に対する総当たり攻撃によってネットワークへのアクセス権限を取得し、「Mimikatz」「PsExec」を悪用して入手した認証情報を利用する。

 米国、ドイツ、クウェート、イランでは、「SynAck」というランサムウェアが拡散しているという。SynAckは、言語チェック機能やディレクトリ検証機能、イベントログを消去する機能を備える。

 SynAckへの対策としては、バックアップを取ることや、ソフトウェアの最新版の適用、RDPアクセスに対する強力なパスワードの設定を推奨している。

「SynAck」感染時に表示されるメッセージ

HoloLensにもマイニングマルウェアが仕込まれる可能性

 2017年に急増した仮想通貨のマイニングマルウェアの活動は2018年も依然として活発で、主にPUA(Potentially Unwanted Application)、標的型攻撃やクラッキングされたゲームなどを通して感染するという。攻撃コードを解析したところ、攻撃者はマイニングの実行時間を土曜日・日曜日や夜の時間帯に指定することで、標的企業に感知されないような工夫を施していたという。

なお、マルウェアリサーチチームでは、HoloLensにマイニングマルウェアを感染させ、バックグラウンドでマイニングできることを確認したという。感染対象のデバイスが今後も拡大するとして警告している

IoTデバイスのマルウェアサンプル数は2017年の4倍に

 Kaspersky Labが確認したIoTデバイスのマルウェアサンプル数は2018年上半期だけで12万1588件に上り、2017年の3万2614件から大幅に増加した。同社のハニーポットによる統計では、7割以上がリモートから機器をコントロールする「Telnet」が利用されており、IoTマルウェア「Mirai」による感染が多く確認されたという。IoTマルウェアではDDoS攻撃や、仮想通貨のマイニング、データの窃取(VPNFilterなど)が行われている。

 主に脆弱性のあるIoTデバイスやルーターが標的になっており、メーカー別の内訳では、MikroTik(37.23%)、TP-Link(9.07%)、SonicWall(3.74%)、AV Tech(3.17%)、Vigor(3.15%)、Ubiquiti(2.80%)、D-Link(2.49%)、Cisco(1.40%)などの機器が被害に遭っている。2018年4月~6月では、アジア、中南米、東欧、ロシアでの被害が確認された。

 なお、これらのIoTマルウェアへの対策として、ザコルザフスキー氏は以下の対策を挙げた。

  • 絶対に必要でない限り、外部ネットワークからデバイスへのアクセスを許可しないこと
  • 定期的なリブートが、すでにインストールされているマルウェアの除去に有用。また、ファームウェアの新しいバージョンを定期的に確認し、デバイスをアップデートすること
  • 大文字と小文字、数字、特殊文字を含む、最低8文字の複雑なパスワードを使用すること
  • デバイスのパスワードを初回セットアップ時に変更すること
  • 可能な場合は、未使用のポートを閉じる/ブロックすること。侵入者の潜在的なループホールを遮断するために、例えば、Telnet(TCP23番ポート)経由でルーターに接続していない場合、そのポートを無効にすること