暗号化型ランサムウェアの活動のニュースは後を絶ちません。トレンドマイクロは、長期間の身代金支払期限を提示する「GOOPIC」や、パスワード窃取機能を持つ「RAA」、チャットサポートのサービスを備えた「JIGSAW」の亜種などを報告してきましたが、これらはすべて2016年6月だけで確認された事例です。弊社は、一連の新しい暗号化型ランサムウェアの中でも、独特な挙動を示す暗号化型ランサムウェア「MIRCOP（ミルコップ）」（RANSOM_MIRCOP.Aとして検出）を確認しました。

「MIRCOP」の作成者は、ファイル暗号化に至った原因がユーザにあるとして、身代金の支払い方法についての指示も与えていません。つまりこの作成者は、ユーザが支払い方法について先刻承知していると考えているようです。

図1：「MIRCOP」の脅迫状

（訳：こんにちは、
あなたは、間違った相手から48.48BTC を窃取しました。
返金してくだされば、あなたのファイルをお返しします。
私達を見くびってはいけません。あなたが自分について知っているより、こちらはあなたについてもっとよく知っています。
返金すればそれ以上の行動を起こすことはありませんが、払わない場合どうなるか覚悟してください。）

支払い要求をしている文面から、ユーザは誰に身代金を送金するべきかを承知しているという設定で、身に覚えのないユーザを追い込んでいることが分かります。ガイ・フォークスの仮面をつけた人物を表示する脅迫状は、ユーザが悪名高いハクティビスト集団から「窃取した」ようにみせかけ、ユーザが支払い要求に応じない場合さらなる行動に出る、と脅迫しています。

「MIRCOP」の作成者は、ユーザに48.48 ビットコイン（約314万円。2016年6月27日現在）の身代金を要求していますが、これは弊社がこれまで確認した金額の中では最高額の域に入ります。そして脅迫状の最後にはビットコインアドレスが記載されています。他の脅迫状に見られるように、ユーザに具体的な支払方法を指示するのと違い、「MIRCOP」の場合はユーザがビットコインの取引について慣れていることを前提にしています。弊社はこのビットコインアドレスを確認しましたが、2016年6月24日現在、まだ支払は確認されていません。

図2：支払先ビットコインアドレス

■ 感染経路

「MIRCOP」は、スパムメールの添付ファイルを介して侵入します。添付の文書ファイルは、輸出入に利用されるタイの税関申告書を装っています。また、Windows PowerShell を悪用して暗号化型ランサムウェアをダウンロードするため、文書ファイルのマクロ機能を利用します。文書ファイルにはマクロを有効にするよう促す一文が含まれています。

図3：不正な添付ファイル

ユーザがファイルを開封しマクロを有効にすると、ユーザは改ざんされた Webサイト hxxp://www[.]blushy[.]nl/u/putty.exe へ誘導されます。そして Webサイトから不正プログラムがダウンロードされ、実行されます。改ざんされた Webサイトは、妙なことに、オランダにあるオンラインのアダルトショップへとリンクされています。

暗号化型ランサムウェアが実行されると、 “Windows Temporary フォルダ“の中に3つのファイルを作成します。 “c.exe” は、感染PCから情報を収集し、“x.exe ” および “y.exe ” はファイルを暗号化します。

図4：「MIRCOP」の不正活動を担う各ファイル

「MIRCOP」は、暗号化したファイルに拡張子を追加するのではなく、 “Lock.” という文字列をファイルの先頭に追加します。また、共通フォルダも暗号化します。ファイルを開封すると、解読不能な文字が羅列しています。

図5：“Lock.” が追加されたファイル

図6：暗号化されたファイル例

「MIRCOP」は、暗号化活動の他に、Mozilla Firefox、Google Chrome、Opera、Filezilla や Skype といったプログラムから認証情報を窃取する機能も備えています。

スパムメールを利用したソーシャルエンジニアリングの手法によって、暗号化型ランサムウェア感染に誘導される恐れがあります。中でも、今回の事例のように、添付ファイルのマクロを利用し、感染させるために PowerShell を悪用するといった、密かに実行される手法では、さらに感染率が上昇します。未知の送信元から送付されたメールの添付ファイルは開封せず、メールごと削除してください。

■ トレンドマイクロの対策

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

この脅威に関連するハッシュ値：

• 1bd90a4c38aa94256a128e9e2e35bc1c4635d6fc
• 95f8d1202c865c3fa04ced9409f83ee2755fdb28
• 5009B0ab4efb7a69b04086945139c808e6ee15e1
• 2083b11a5bf6cf125ff74828c1a58c10cc118e1b

※協力執筆者：Ruby Santos

参考記事：

• 「MIRCOP Crypto-Ransomware Channels Guy Fawkes, Claims To Be The Victim Instead」
  by Jaaziel Carlos（Threat Response Engineer）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。

暗号化型ランサムウェアの考察は、その挙動に焦点を当てていることが多く、その侵入方法については見過ごされがちです。暗号化型ランサムウェアの典型的な侵入方法は、1）スパムメール、2）改ざんされた Webサイトまたは Exploit Kit が組み込まれた不正な Webサイトとなり、まったく目新しくないという認識があるからかもしれません。しかしこの2つの手法が、単純な一方で効果的であることは、昨今のランサムウェア拡散状況から実証されています。

トレンドマイクロの解析から、暗号化型ランサムウェアの多くがネットワークの入り口となる Webサイトや Eメールのフィルタリングで阻止できることが判明しています。実際に、2016年1月から5月までに 6,600万以上の暗号化型ランサムウェア関連のスパムメールおよび不正な Webサイトをブロックしました。今回、暗号化型ランサムウェアの侵入方法およびその対策について検証します。

■ 侵入方法１：スパムメールとその手法

スパムメールによるランサムウェア拡散方法と、またスパムメールの検出回避手法について考察します。一般に、ランサムウェア拡散に利用されるスパムメールには、実行型プログラムファイルの他、マクロや JavaScript などを利用した不正な添付ファイルが含まれており、これらの添付ファイルがランサムウェア本体のダウンローダとして機能します。その一例として挙げられる暗号化型ランサムウェア「CRYLOCK/CRILOCK/CRITOLOCK（別名：CryptoLocker）」には、不正なファイル（「UPATRE」の亜種である場合が多い）が添付されており、このファイルは「ZBOT（別名：ZeuS）」をダウンロードします。このオンライン銀行詐欺ツールは、そして、「CryptoLocker」をユーザの PC にダウンロードし、実行します。

サイバー犯罪者によるランサムウェアの「改良」はここで終了せず、いくつかの暗号化型ランサムウェアに、マクロというもう1つの手法を追加しました。マクロは古くから悪用されていましたが、サンドボックス技術を回避するために復活した手法で、ユーザに添付ファイルに仕込まれたマクロを有効にするように促し、感染させます。この過程はユーザ心理を熟知したソーシャルエンジニアリングの手法が重要な役割を果たします。

添付ファイルのマクロを利用する暗号化型ランサムウェア「LOCKY」は、やはりマクロに存在する Form オブジェクトも利用して不正なコードを隠ぺいします。「LOCKY」は、2015年2月に米国カリフォルニア州の Hollywood Presbyterian Medical Center を攻撃しました。報告によると、2016年5月末から6月初旬にかけて姿を消していた「LOCKY」は、また活動を再開しているようです。

図1：「LOCKY」を拡散するスパムメール

弊社は、JavaScript を利用した添付ファイルによって、「XORBAT」、「ZIPPY」、「CRYPTESLA（別名：TeslaCrypt）」の version 4.0、「CRYPTWALL（別名：CryptoWall）」の version 3.0」および「LOCKY」のようなランサムウェアの亜種が自動的にダウンロードされている事例も確認しています。別のスクリプト言語である「VBScript」も、「LOCKY」や「CERBER」を拡散するために利用されています。難読化に加え、スクリプト言語を添付ファイルに利用することで検出回避が可能になる場合があります。

図2：「CryptoWall 3.0」の JavaScript ファイルの難読化コード

よく利用されるメールの件名

暗号化型ランサムウェアの背後にいるサイバー犯罪者は、典型的なメール件名を利用します。弊社が確認したものには、履歴書や請求書、配送情報、アカウントの凍結などに関連した件名が利用されていました。そして、正規の送信元を装っています。

図3：「TorrentLocker」のような暗号化型ランサムウェアで利用される典型的な件名

図4：「TorrentLocker」のスパムメールの例

オーストラリアやヨーロッパの個人ユーザ及び企業を悩ませた暗号化型ランサムウェア「CRYPTLOCK（別名：TorrentLocker）」は、そのスパムメールの一連の送信活動で注目されました。地域に特化したこの脅威は、典型的な件名を利用せず、標的とする地域の言語を利用し、地元企業から送信されたメールになりすましています。例えば、オーストラリアを標的とした場合には、オーストラリア連邦警察やオーストラリア郵便公社、その他地元の会社から送信されたメールを装うスパムメールを作成しました。この一連の送信活動で注目すべき点は、通常のスパムメールと異なり無作為に送られることなく、検出回避目的で対象の地域のみに送信されていました。例えば、イタリアの会社名を名乗るスパムメールであれば、イタリアのユーザのみに送信されていました。

タイミングが重要

サイバー犯罪者は、組織や企業にスパムメールを送信する際に、効果的なタイミングを狙います。例えば、「CryptoWall」はユーザのメールボックスに午前5時から午前9時（東部標準時）の間に届くように送信し、「TorrentLocker」関連のスパムメールは、標的の国の業務時間に合わせて、週中の午後1時から午後7時（東部標準時）の間に送信します。また、サイバー犯罪者は一回の送信でメールボックスをスパムメールで溢れさせることはせず、一度に送るスパムメールの量は少なめにし、一日のうち時間をずらして送信することによって、最大の効果を狙います。この方法によって、従来のスパムメール検出方法では不審な活動として認識されることがありません。

他のスパムメール検出回避

弊社では過去に、サイバー犯罪がスパムメール送信のためのボットネットの利用を停止し、感染したメールサーバの利用に変更したことを確認しました。

IPプロファイラ、Web レピュテーションおよびフィッシング対策などによってメールゲートウェイを保護することができます。これらの対策によって、送信元情報やメールの内容を基に上述のようなスパムメールを検出し取り除くことができます。スパムメールはユーザの受信箱へ侵入せず、ランサムウェアに感染することもありません。

■ 侵入方法２： Webサイト経由拡散の急増：改ざんされた Webサイトの利用

暗号化型ランサムウェアは、不正な URL または改ざんされた Webサイトによって組み込まれている場合もあります。ユーザを不正な Webサイトへ誘導するために正規の Webサーバが改ざんされていることもあります。この方法は新しいことでも驚くことでもありません。改ざんされた Webサイトの利用により不正な URL 検出技術が回避されるからです。

昨年2015年12月、サイバー犯罪者が英国大手新聞インデペンデント紙のブログページを改ざんし、「TeslaCrypt 2.0」を拡散しました。問題のブログを閲覧したユーザは、複数の Webサイトを経由し、「Angler Exploit Kit（Angler EK）」が組み込まれた Webサイトに誘導されました。ユーザの PC が Adobe Flash Player の脆弱性「CVE-2015-7645」を抱えていた場合、この暗号化型ランサムウェアに感染することになります。

サイバー犯罪者は、Webサイト改ざん以外に不正なプログラムを組み込むために正規の Webサービスも悪用します。例えば「PETYA」は、クラウドストレージサービス「DropBox」を悪用していました。「PETYA」は、履歴書を装った不正プログラムをダウンロードさせるため、DropBox への URL がハイパーリンクで記載されているスパムメールを利用しました。

他の Webブロック回避の手法

「TorrentLocker」は、ランディングページや「drive-by download（ドライブバイダウンロード）」による不正ファイルのダウンロード等のブロック、あるいは自動検出を回避するために、CAPTCHAコードの認証システムを悪用しました。以前は、サイバー犯罪者は DNSレコードについて、短い「Time to live（TTL）」を設定していました。これは、利用する不正なドメインが、およそ1時間ほどの短時間だけアクセス可能であることを意味しています。これによって、ランサムウェアに関連する URL をブロックすることが困難になります。一方、匿名化する役割も果たします。

エクスプロイトキットによる拡散

「malvertisement（不正広告）」を介し、エクスプロイトキットによって拡散される暗号化型ランサムウェアも複数確認されています。更新プログラムが適用されていない PC のユーザが不正広告に感染している Webサイトを閲覧した場合、ランサムウェアや他の不正プログラムに感染する恐れがあります。

以下の表は、さまざまなエクスプロイトキットによって拡散される暗号化型ランサムウェアファミリの一覧です。

弊社は、今年、Angler EK が暗号化型ランサムウェア「TeslaCrypt」を拡散するために利用されているのを確認しましたが、「TeslaCrypt」の作成者が2015年4月に活動停止を決定した後は、暗号化型ランサムウェア「CryptXXX」の拡散に利用されました。活動停止といえば、2015年最も優勢であった Angler EK の活動は大幅に減少しました。いくつかの報告によると、Angler EK を利用していたサイバー犯罪者の逮捕がその原因であるとされています。

その後何人かのサイバー犯罪者は、他のエクスプロイトキットである「Neutrino EK」や「Rig EK」を利用しています。暗号化型ランサムウェア「CryptXXX」 は Neutrino EK が、「Locky」は Nuclear EK がそれぞれ拡散しています。

オペレーションシステム（OS）を最新の状態にしておくことで、エクスプロイトキットや不正広告を介して不正プログラムをダウンロードしてしまうことを防ぐことが可能です。堅固な Webレピュテーションおよび脆弱性対策を利用し、不正な URL をブロックしてセキュリティ対策を取ることができます。

■ ネットワークの入口を保護するトレンドマイクロの対策

ネットワークを保護し、暗号化型ランサムウェアによる被害を防ぐ一番の方法は、ネットワークの入口で防御することです。ランサムウェアがエンドポイントまで侵入すれば、ファイルの復旧や PC のアクセス回復が困難になるでしょう。最も危険なのは、ランサムウェアの脅威がネットワークを介してワーム活動を行ない、他の PC やサーバにまで感染を拡大させることです。そのようなランサムウェアの特性を考慮すると従来のセキュリティ対策ではもはや十分ではありません。企業や組織においては、多層防御を推奨します。

図５：ランサムウェアから保護するための多層防御

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

※協力執筆者：Maydalene Salvador、 Lala Manly、 Michael Casayuran、Paul PajaresおよびRhena Inocencio

参考記事：

• 「Why Ransomware Works: Arrival Tactics」
  by Jon Oliver and Joseph C. Chen

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

先日お伝えした記事に続き、国内ネットバンキングを狙う「URSNIF（アースニフ、別名：GOZI）」が再び電子メール経由で拡散していることが確認されました。攻撃の内容自体に大きな変化はなく、様々な件名や内容の日本語マルウェアスパムが着信し、受信者が添付ファイルを開いてしまうとインターネット上の不正サイトからのダウンロードにより最終的に「URSNIF」が侵入します。前回は5月末から6月7日までのおよそ10日間で3万件以上のマルウェアスパムが観測され、その後も小規模に継続していました。そして今回は6月27日からの2日間だけで4万件を観測と前回の拡散を上回る規模となっています。オンライン銀行詐欺ツールの本体である「TSPY_URSNIF」の検出台数推移を見ても、6月27日以降に急増し5月以降最大の検出台数となっているため、攻撃者がより大きな規模の攻撃を仕掛けていることは間違いありません。

図1: 日本国内での「TSPY_URSNIF」の検出台数推移

■ 多様なマルウェアスパムに注意

昨年末から世界的に見られている広くインターネット利用者狙うマルウェアスパムの中では、請求書や注文の確認、荷物や商品の配送確認、Fax や複合機からのメッセージなどの名目のメールが中心的に確認されてきました。しかしこの「URSNIF」の拡散を狙ったマルウェアスパムでは、より多岐にわたる内容のメールが確認されています。前回も「年休申請」、「請負契約書」、「年次運用報告書」、「算定届出書」、「状況一覧表」、ネット通販からの「支払確認」など、様々な名目の内容を示す件名や本文となっていましたが、今回も「保安検査」、「宅急便お届けのお知らせ」、「商品お届けのご案内」、「作業日報」、「経理処理について」、「ご確認」と、まさに攻撃者が手を変え品を変えマルウェアスパムを送信している様が見て取れます。また前回から今回にかけての件名を見ていると「年休申請」、「請負契約書」、「作業日報」、「経理処理について」など法人利用者向けと思われる件名が多くなっている点も注目されます。

内容的にも正規の業者が実際に送っている通知の内容をコピーして使用する、実際の業者のメールアドレスや国内の有名プロバイダのメールアドレスを送信元として偽装する、など、一見して不審と見抜けない手口が使われています。

図2： 件名 「宅急便お届けのお知らせ」のマルウェアスパムイメージ例

図3： 件名「作業日報」のマルウェアスパムイメージ例

図4： 件名「ご確認」のマルウェアスパムイメージ例

図5： 件名「（銀行）お振込受付のお知らせ」のマルウェアスパムイメージ例

このように、攻撃者は自身の攻撃を成功させるために常に攻撃手口を変化させていきます。今回お伝えした攻撃の内容は次回から全く異なるものになっているかもしれません。常に最新の脅威動向を知り、新たな手口に騙されないよう注意を払ってください。また、そもそも不審なメールを可能な限りフィルタリングし、一般利用者の手元に届かないようにする対策も重要です。

■ 被害に遭わないためには

オンライン銀行詐欺ツールなどの不正プログラムは一般的に、電子メール経由か Web経由で PC内に侵入します。そもそもの侵入を止めるため、この2つの経路での侵入を検知する対策製品の導入も重要です。

電子メール経由での拡散に関しては、添付ファイルを安全なものであるかのように受信者に錯覚させクリックさせる手口が常套化しています。このような手口を認識することで、アイコンやファイル名などの条件から不審な添付ファイルに気づき、ひいては不正プログラムの感染を防ぐことができます。

しかし、受信者を騙すためのメールの手口は常に変化していくため、件名や本文のみに着目したメールフィルタリングでの対策は効果があまり期待できません。それよりも添付ファイルに着目し、実行可能形式ファイルやスクリプトファイルなど、攻撃に利用されやすいファイル形式の条件でフィルタリングする、攻撃者が良く使用する二重拡張子などの手口が使用されていた場合にフィルタリングする、などの対策手法が有効です。

■ トレンドマイクロの対策

今回の攻撃で確認された不正プログラムについては「ファイルレピュテーション（FRS）」技術により「TSPY_URSNIF」などとして検出します。「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」などのエンドポイント製品では「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロック可能です。既に「TSPY_URSNIF」の活動に対しては既存の挙動監視により検知可能であることを確認しています。

今回の攻撃で確認されたマルウェアスパムについては、「E-mailレピュテーション（ERS）」技術で受信前にブロックします。また、添付ファイルについては「FRS」での検出の他、サンドボックス技術による動的解析により侵入時点で検出未対応の不正プログラムであっても警告し、ブロックすることが可能です。「InterScan Messaging　Security as a Service」、「Cloud Edge」などのメール対策製品では特にERS技術とFRS技術を合わせ、危険な電子メールの着信をブロックします。また、「Deep Discovery E-mail Inspector」では特にサンドボックス技術により危険な添付ファイルを含む電子メールの着信をブロックします。

今回の攻撃で確認された不正プログラムがアクセスする不正サイトについては、「Webレピュテーション（WRS）」技術でアクセスをブロックしています。EKサイトやダウンロードサイトなど不正プログラムの拡散に使用される不正サイトや、不正プログラムが活動開始後にアクセスする遠隔操作サーバ（C&Cサーバ）をWRS技術でブロックすることにより、不正プログラムの侵入や被害の拡大を抑えられます。「InterScan Web　Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品ではWRS技術により、LAN内全体からの不正サイトへのアクセスをブロックできます。「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」などのエンドポイント製品でもWRS技術により端末からの不正サイトへのアクセスをブロックします。

また、ネットワーク内の不審な通信に早期に気づくことにより、全体的な被害を軽減させることが可能です。トレンドマイクロのネットワーク監視ソリューション「Deep Discovery Inspector」ではネットワーク内に侵入した不正プログラムの通信を検知し、感染端末の存在を早期に警告します。

※調査協力：日本リージョナルトレンドラボ（RTL）

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。前回はモバイルでこそ注意すべき Web経由の攻撃について説明いたしました。第2回の今回は正規アプリになりすます手口を紹介します。

前回記事で紹介したように、モバイル利用者を狙うサイバー脅威は Web経由での誘導が最も多く、特に Android端末に対しては最終的に不正アプリや迷惑アプリ、不必要な正規アプリが侵入することが多くなっています。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation Service（MAR）」の統計によれば、日本国内のモバイル端末において2016年1～4月の間に、不正アプリ・迷惑アプリに対しておよそ318万件の検出を確認しています。

図1: 2016年日本国内のモバイル端末における不正アプリ、迷惑アプリの検出数推移（トレンドマイクロSPN による）

図2: 2016年日本国内のモバイル端末における不正アプリ、迷惑アプリの検出割合（トレンドマイクロSPN による）

そして、これらの検出のうち、84％が迷惑アプリに分類されるものでした。「全体の84％が迷惑アプリ」と聞くと、不正アプリに遭遇する危険性は低いものと誤解される方もいらっしゃるかもしれません。しかし、絶対数では不正プログラムの検出は4か月の合計で51万件以上であり、不正アプリのモバイル端末への侵入は月平均13万件近く発生している計算になります。迷惑アプリも含めれば月平均80万件弱の侵入がモバイル端末で発生していることになり、モバイルの脅威はもう無視できる規模に留まっているものではないことはご理解いただけるでしょう。

■ 利用者にアプリをインストールさせる騙しの手口

不正アプリ、迷惑アプリ、いずれが侵入する場合においても、最初の段階では利用者にアプリのインストールを承諾させる必要があります。前回記事では、サイバー犯罪者がモバイル利用者にアプリをインストールさせる手口として「偽のセキュリティ警告」を表示する例を紹介しました。またそれ以外にも、画像の表示や音楽や動画の再生などを行うために必要なアプリ、という名目で利用者にインストールを促す手口が確認されています。サイバー犯罪者はこのような「騙し」をモバイル利用者に感づかれないため、不正アプリや迷惑アプリを正規のアプリに見せかける手段を使用します。例えば「画像の表示や音楽や動画の再生などを行うために必要なアプリ」とモバイル利用者に信用させるため、インストールさせようとするアプリの名称に「Music」、「Movie」、「MP3」などの音楽や動画に関連する単語が織り込まれたアプリを使用する手口がわかっています。2016年1～4月に日本国内で検出された不正・迷惑アプリは3万6000種に及んでいますが、上記のような音楽や動画に関連するアプリ名の偽装を行っているものを含め、メディア・動画・音楽関連に分類できるアプリへの偽装が全体の38％を占めていました。

図3: 音楽や動画に関連するアプリに偽装したアプリのアイコン例

■ 正規アプリになりすますための究極手口「リパック」

そして、この偽装の目的でサイバー犯罪者が使用する最も巧妙な手口が「リパック」です。Android のアプリのインストールの際には APK という形式のファイルが使用されます。この APKファイルは実際には単なる圧縮ファイルであり、内容はアプリのインストールに必要な複数のファイルになっており、Android OS のシステムが内容を解釈してアプリをインストールし使用可能にします。この APKファイルは圧縮ファイルなので PC の実行ファイルに比べ、内容の確認や変更が容易になっています。サイバー犯罪者はこの Androidアプリの特性に付け込み、有名アプリの正規 APKファイル改造し、不正アプリや迷惑アプリがインストールされるようにしてしまいます。

図4: Android OS用の APKファイルを PC用圧縮解凍ツールで開いた際のイメージ。複数のファイルやフォルダで構成されていることがわかる

このような改造を行った場合、APKファイルに施されている本来の開発者によるデジタル署名は無効になってしまいます。しかし、それはほとんど問題になりません。サイバー犯罪者は改造した APKファイルに自ら用意したデジタル署名を施し、サードパーティのアプリマーケットやインターネット上のサーバから配布します。こうしてサイバー犯罪者は不正アプリ、迷惑アプリを有名アプリに混入し、利用者にインストールさせることができます。

次回は、「リパック」による有名ゲームアプリへの偽装を実例で紹介します。

■ 被害に遭わないためには

現在不正アプリや迷惑ソフトのほとんどは正規マーケットではなく、不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみアプリをインストールするよう、普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「モバイルアプリケーションレピュテーション（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正アプリや不正Webサイトのブロックに対応しています。

本ブログ上で、5月末以降オンライン銀行詐欺ツール「URSNIF（アースニフ）」の猛威について2度に渡り報告しました（6月15日記事・7月1日記事）。これらの事例では、スパムメールに添付されている「NEMUCOD」「BEBLOH」「PAWXNIC」などを経由して最終的にURSNIFが拡散されることになります。

今回、「URSNIF」のダウンローダの1つとして利用されている「BEBLOH（べブロー）」がダウンローダではなく、オンライン銀行詐欺ツールとして拡散されている事例について報告します。「BEBLOH」は、2009年から確認されており、競合した「ZBOT」や「SPYEYE」などが消えていく中、生き残っているオンライン銀行詐欺ツールです。数年前から欧州で拡散されていましたが、2015年12月以降、日本での拡散が確認され始めました。「BEBLOH」の作成者は、新しいセキュリティ対策を回避するための手法を常に改良しています。問題の「BEBLOH」は、メモリ上に復号し、システム終了時に新しい実行ファイルを一時的に作成し、PC を再感染させた後、そのファイルを削除します。

■ 日本における傾向

国外ではスパムメールによって暗号化型ランサムウェアなどに誘導される事例が多発している一方で、現在国内で確認されている日本語のスパムメールは、オンライン銀行詐欺ツールに誘導される事例が頻繁に確認されており、「URSNIF」がその一例です。2016年3月3日に警察庁から発行された資料によれば、こうしたオンライン銀行詐欺ツールに狙われる銀行・金融機関は、大手都市銀行以外に、地方銀行および信用金庫、信用組合となっています。同資料によると、日本における被害額が2015年に過去最悪の約26億4600万円に到達しました。これら日本を狙うオンライン銀行詐欺ツールに「BEBLOH」が追加されたことによって、日本は、オンライン銀行詐欺ツールによる被害拡大に直面するかもしれません。

トレンドマイクロは、2015年の11月までは日本でほとんど検出されなかった「BEBLOH」の日本での活動を2015年12月に確認し、324検出しました。上述の警察庁の資料が発行された2016年3月には、検出数が2,562にまで増大しています。

■ 誰でも攻撃対象になる恐れ

「BEBLOH」の攻撃活動は、個人ユーザおよび企業の従業員の両方を対象にします。弊社は、企業のメールアカウントに送信されるものと個人のメールアカウントに送信されるもの両方のスパムメールを確認しています。スパムメールの件名は、ローン、ショッピングや配達など個人的なものから、人事関連など専門的なものまで多様です。この手法によって拡散が拡大しています。

図１：個人や組織に送信されるスパムメールの例１

図2：個人や組織に送信されるスパムメールの例２

■ 新しい攻撃方法

「BEBLOH」の作成者は、実行ファイルを暗号化するパッカーを短期間で変更します。このためパッカーの更新頻度に追いつかず、セキュリティ製品などによる検出が困難となります。弊社の解析から、自身が作成したプロセス内に実行ファイルを復号するバージョンの他、自身のメモリ上に復号した後、“explorer.exe” や “iexplore.exe” などの正規のプロセスに自身のコードを置き換えるバージョンが確認されています。「Process Hollowing」と呼ばれるこの手法は、不正なプロセスを隠ぺいするのに利用され、これにより、プロセス一覧上では正常なプロセスとして表示された状態で不正プログラムが実行されることになります。

「BEBLOH」がインストールされると、コマンド＆コントロール（C&C）サーバに接続し、自身の更新、スリープ、「Webインジェクション」の設定のダウンロードなどを実行します。弊社は、C＆Cサーバの返答で得られるURLが他の不正プログラムのダウンロードに利用され、随時変更されていることを確認しています。そして「BEBLOH」の備える情報収集機能によって得た情報を利用し、被害者の銀行口座を乗っ取ります。

また、ダウンロードされる他の不正プログラムとして、2016年1月から3月にはメールアドレス等を収集する「BKDR_PUSHDO」、それ以降、「TSPY_URSNIF」を確認しています。

ある検体では、3日間に3つの異なるダウンロードURL が利用されているのを確認しました。URL からの応答は通常暗号化されています。しかし復号されると、“CV {value}/r/n>DI/r/n>LD {URL}”の形式を利用していることが確認できます。

図3：復号された C&Cサーバからの通信

今回の「BEBLOH」は、日本の17の銀行および金融機関を監視しています。これらは、地方銀行、信用組合、オンライン銀行、そして大手都市銀行などです。規模の小さい銀行を対象にすることで、サイバー犯罪者は自身の攻撃を回避できると期待しています。攻撃者はまた、中小規模の銀行がセキュリティ対策に充分対応していないことに着目しています。これは、2016年の日本のオンライン銀行詐欺ツールの脅威状況で見られる傾向です。

トレンドマイクロの提供するエンドポイントセキュリティ製品「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって個人ユーザおよび企業をこの脅威から保護します。

トレンドマイクロの提供する「Deep Discovery Email Inspector」は、「BEBLOH」の攻撃で利用される、不正なファイルが添付されたスパムメールを検出しブロックすることのできる高度な不正プログラム検出エンジンを備えています。この機能により、不正なマクロが添付された Office文書ファイルや PDFファイル、実行ファイル、スクリプトなどの添付されたスパムメールをブロックします。また、メールや件名に埋め込まれた不正な URL や添付ファイルに埋め込まれている URL をブロックすることが可能です。

「BEBLOH」に関連するハッシュ値：

• 342f10ba182897ef5eb58a10b8d5173a47d04760 – TSPY_BEBLOH.RLS
• 8ca281b70f1a7a9017bd29ada84ef28e6e6cc2c4 – TSPY_BEBLOH.YYS
• cd34148a1ce37b13389647674653e981cfacd522 – TSPY_BEBLOH.YYU
• d628a73fba0782df945db4e2887cf9981a5814c8 – TSPY_BEBLOH.TZZ

※調査協力：日本リージョナルトレンドラボ（RTL）

参考記事：

• 「BEBLOH Expands to Japan in Latest Spam Attack」
  by Janus agcaoili（Threat Response Engineer）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

クラウドサービスの利用がますます浸透していく一方で、サイバー犯罪者もまたこうしたサービスを悪用して、不正プログラムをホストしたり拡散したりしています。サイバー犯罪者は、多くの企業が生産性アプリケーションとしてクラウドを利用している点に目をつけ、クラウド上の情報がアクセス不能になれば企業に深刻な影響を与えると見込んで、企業の機密情報を取り扱うユーザを狙っています。

その具体的な例が、今回説明する暗号化型ランサムウェア「CERBER（サーバー）」です。トレンドマイクロは、「CERBER」の最新の亜種（「RANSOM_CERBER.CAD」として検出）の作成者が、個人や企業のシステムを感染させるため、Microsoft のクラウドサービス、Office 365 を悪用していることを確認しました。

図１：「CERBER」の最新の亜種は、音声ファイル版の脅迫状である VBSファイル、支払いサイトを既定のブラウザで表示する拡張子「url」ファイル、拡張子「html」ファイル、および上図の拡張子「txt」ファイルの４つの脅迫状を作成

暗号化型ランサムウェア「CERBER」ファミリは、2016年３月に確認された後、「分散型サービス拒否（DDoS）攻撃」の機能などを追加し改良されています。また、二重に圧縮されたWindows スクリプト ファイル （拡張子「wsf」）の利用によって、ふるまい検知による検出およびスパムメール検出の回避を可能にしています。また、コンピュータ音声で再生される脅迫状を持つ珍しい暗号化型ランサムウェアの１つでもあります。この暗号化型ランサムウェアのソースコードは、ロシアのアンダーグラウンド市場で「サービスとしてのランサムウェア（Ransomware as a service、RaaS）」として取引もされ、サイバー犯罪活動の利益を拡大させています。この暗号化型ランサムウェアは最初、エクスプロイトキット「Nuclear Exploit Kit（Nuclear EK）」を利用した「malvertisement（不正広告）」によって拡散されていました。

図２：請求書として送付されている、不正なファイル（ここではマクロ付きWordテンプレートファイル）が添付されたスパムメールの例

図3：借用書として送付されている、不正なファイル（ここではマクロ付き Wordテンプレートファイル）が添付されたスパムメールの例

「CERBER」の最新の亜種は、不正なマクロで細工した Office文書ファイルがスパムメールに添付されることにより、Office365 の利用者を対象に拡散されます。Microsoft は、PC にインストールされている Office365 その他の Officeソフトウェアのためセキュリティ対策を施しており、そのような対策の１つとして、マクロを利用する不正プログラムの感染を防ぐため、初期設定でマクロは無効になっています。しかし、他のランサムウェアと同様、「CERBER」もソーシャルエンジニアリングの手法を利用してそのようなセキュリティ対策を回避し、ファイルに埋め込まれたマクロをユーザが手動で有効にするように誘導します。

文書ファイル「W2KM_CERBER.CAD」に埋め込まれたマクロを有効にすると、VBS でコードが書かれたトロイの木馬型のダウンローダ「VBS_CERBER.CAD」が作成されます。そしてこのダウンローダが以下の不正な URL から「RANSOM_CERBER.CAD」をダウンロードします。

• hxxp://92[.]222[.]104[.]182/mhtr.jpg
• hxxp://solidaritedproximite[.]org/mhtr.jpg

この「CERBER」の亜種は暗号化方式 AES-265 と RSA を組み合わせ、442ファイル形式を暗号化する機能を備えています。PC の「Internet Explorer（IE）」のゾーン設定を変更し、シャドウ コピーを削除し、Windowsスタートアップ修復機能を無効化し、「Outlook」や「The Bat!」および「Thunderbird」のようなメールソフトのプロセスと Microsoft Word のプロセスを終了します。そして、感染PC が位置する国を確認し、もし独立国家共同体に属する国のいずれか（アゼルバイジャン、アルメニア、ウクライナ、ウズベキスタン、カザフスタン、キルギス、タジキスタン、トルクメニスタン、ベラルーシ、モルドバ、ロシア）である場合には自身の活動を終了します。

図４：トロイの木馬型のダウンローダ「VBS_CERBER.CAD」を “%Application Data%\{random file name}.vbs” に作成するコマンドを含む、不正なマクロの暗号化活動の一部。トロイの木馬はダウンロードしたファイルを “%Application Data%\{random file name}.tmp” の名前で保存する

弊社は、「CERBER」を拡散するスパムメールを2016年5月から確認しています。目立った急増が確認されたのは2016年6月です。5月にはスパムメールの検出数が800程度であったのに対し、6月には12,000以上が確認されています。最多を記録した2016年6月22日には、9,000を超える「CERBER」を拡散するスパムメールが確認されています。他に、ゼロデイ脆弱性を利用するエクスプロイトキット「Rig Exploit Kit（Rig EK）」とMagnitude EKによって拡散される新しい「CERBER」の亜種も確認されています。どちらのエクスプロイトキットも他の暗号化型ランサムウェアの拡散にも利用されています。

「CERBER」のような暗号化型ランサムウェアの作成者は、拡散拡大のため、常に新しい手法を取り入れるようです。今回悪用されたクラウドサービスは、セキュリティ対策は適切であったにも関わらず、個人ユーザや企業を感染させるために利用されました。「CERBER」にソーシャルエンジニアリングの手法が加えられたことによって、ユーザは感染を防ぐため、Office文書のマクロは無効にしたままにし、未知の送信元からのメールは開封しないようにする必要があります。3-2-1ルールに従いしっかりとバックアップをとることも、ランサムウェアに対する効果的な防御となります。

■ トレンドマイクロの対策

クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security（CAS）」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、Office 365 に含まれる Exchange Online、SharePoint Online、OneDrive for Business や Box、Dropbox のセキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

この脅威に関連するハッシュ値：

• C8F3F0A33EFE38E9296EF79552C4CADF6CF0BDE6 – Ransom_CERBER.CAD
• 55852EE512521BB189C59405435BB0808BCB26D2 – VBS_CERBER.CAD
• 8D8E41774445096B68C702DC02E6B2F49D2D518D – W2KM_CERBER.CAD

※協力執筆者：Joseph C. Chen、Yi Zhou、Isabel Segismundo、Franklynn Uy および Francis Antazo

参考記事：

• 「Cerber: a Case in Point of Ransomware Leveraging Cloud Platforms」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PCの危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。前回は「リパック」など正規アプリになりすまし利用者を騙す手口について解説いたしましたが、今回は直近で確認された「Pokémon GO」の話題性を利用したモバイル利用者を狙う複数の攻撃について、号外としてお伝えします。

サイバー犯罪者が自身の不正活動に一般の利用者を誘導する手段として、もっとも効果がある手口の１つは利用者の興味関心を引く話題の「イベント」をエサにすることです。最近起こった事故や災害のニュース、オリンピックやワールドカップと言ったスポーツイベント、新型 iPhone のリーク情報など、様々なイベントの話題性を攻撃者は悪用します。7月6日に一部地域で先行リリースされ世界的な注目を集めている「Pokémon GO」の話題性を攻撃者が見逃すはずはありませんでした。トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」のモバイルアプリ評価機能である「Mobile App Reputation（MAR）」の統計によれば、「Pokémon GO」のアプリ名が付いた Android アプリの検体（APK ファイル）を、本記事執筆時点の7月20日までに、44種入手しています。この44種類には Android向け正規アプリマーケット「Google Play」から入手できる正規版の APK ファイルも1種含まれています。

そして、正規版を除く43種類のうち、19種の検体が不正/迷惑アプリであったことを確認しています。これらの不正アプリはすべて「Google Play」以外のサードパーティマーケットやインターネット上のダウンロードサイトなどで頒布されていました。確認された不正/迷惑アプリは、その多くが正規の「Pokémon GO」では不要であるはずのデバイスの管理者権限をインストール時に要求します。そして、最終的に、不要な広告を表示するアドウェア、他の不正アプリをインストールするもの、利用者の了承なく不要な正規アプリをインストールしてそのアフィリエイト収入を得ようとするもの、などの活動を行います。中でも、最も悪質な活動としては、感染端末を遠隔操作可能にする機能を持つバックドア型不正アプリも確認されています。

図1：ニセ「Pokémon GO」がインストール時に表示するデバイス管理者権限の要求画面例

また、不正/迷惑アプリではなかった24種の検体は、正規の広告表示機能を正規の「Pokémon GO」の APKファイルを変更して追加したリパックアプリでした。これらの検体は活動自体に不正な活動は含まれていませんが、「Pokémon GO」の話題性にただ乗りして自身が広告収入を得ようとする悪質な動機のものと言えます。このような「正規のアプリに正規の機能を追加しただけだが結果的に不適切な人物が金銭利益を得る」という手口も頻繁に見られています。

また、まだ「Pokémon GO」が公開されていない日本の利用者を狙った詐欺的な Web経由の誘導事例もトレンドマイクロの調査により確認されています。この事例では、掲示板風のサイト上での書き込みに似せた表示により、偽のキャンペーン情報へ利用者を誘導します。表示ではキャンペーンの URL はオフィシャルサイト上の URL のように見えますが、実際のリンク先はいわゆるポイントサイト（お小遣いサイト）への誘導となっていました。このような表示内容とは異なるリンク先へ誘導する詐欺的手口は Web 上で日常茶飯事的に起こっています。しかしモバイル端末の場合 PC とは異なり、リンク先を確認しにくい、そもそも利用者の注意が薄い、などの理由から実際に不審なURLへアクセスしてしまうことが多いようです。

図2：不審な掲示板風サイト上での「Pokémon GO」関連の表示例
オフィシャルサイト上には該当の URL のページは存在しない
br>

今回は話題の有名アプリを利用した不正アプリ配布、および利用者の誘導手口の実例を号外としてお伝えしました。話題性にただ乗りされた形の「Pokémon GO」ですが、国内でも7月20日以降に公開される旨の報道も行われており、同様の攻撃はますます拡大することが予想されます。

次回は、その他の有名ゲームアプリを利用した「リパック」手口を実例で紹介します。

現在不正アプリや迷惑ソフトのほとんどは正規マーケットではなく、不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみアプリをインストールするよう、普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。

また、Web や SNS 上の表示やダイレクトメッセージなどにより、不審な URL へ誘導する手口も多く見られています。URL に関しては表示と実際の URL リンク先が異なることもありますので確認の上アクセスすることをお勧めします。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「モバイルアプリケーションレピュテーション（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正アプリや不正Webサイトのブロックに対応しています。

今回取り上げた不正/迷惑アプリをトレンドマイクロ製品では、「AndroidOS_Agent.MSA」、「AndroidOS_Androrat.AXMA」、「AndroidOS_FlexLeak.HBT」、「AndroidOS_Joye.CBTMA」、「AndroidOS_Coon.PA」、「AndroidOS_HiddenApp.MSA」、「AndroidOS_Clicker.OPSA」、「AndroidOS_FakePkmon.A」などの検出名で検出いたします。

ランサムウェアが金のなる木とみなされるようになり、サイバー犯罪者はこぞって分け前にあずかろうとしています。その結果、知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを「Ransomware as a Service（RaaS）」として、新人や志望者向け材料キットの形で提供していることが確認されています。

2016年7月中旬、「STAMPADO（スタンパド）」（「RANSOM_STAMPADO.A」として検出）と名付けられた新しい暗号化型ランサムウェアが「Deep Web（ディープWeb）」で宣伝されていました。作成者によって、「使用方法は簡単、無期限有効、価格はたったの39米ドル（約4千円、2016年7月28日現在）」といった見出しで宣伝されていたにもかかわらず、当初セキュリティリサーチャーはこの検体を確認していませんでした。

図１：ディープWeb で確認された「STAMPADO」の広告

その後確認された検体の解析の結果、「STAMPADO」が「JIGSAW」を模倣していることが明らかになりました。「JIGSAW」はこれまで確認された暗号化型ランサムウェア亜種の中でも特徴的なものの１つです。どちらも、感染PC のユーザに恐怖心から身代金を払わせるため、一定時間経過の後、ランダムにファイルを削除していきます。

図2 および 図３：「STAMPADO」（左）と「JIGSAW」（右）の脅迫状の比較（クリックで拡大）

「STAMPADO」と「JIGSAW」は、どちらも AES方式でファイルを暗号化し、ユーザのファイルへのアクセスを不能にします。しかし、類似点はそこまでです。さらに調べると、「STAMPADO」はプログラミング言語「AutoIT」を利用し暗号化されていましたが、これは復号と解析が容易です。つまりプログラムに関しては「JIGSAW」ほど洗練されていない事を示しています。

また、「JIGSAW」には身代金の仮想通貨「Bitcoin（ビットコイン）」を購入するための具体的な指示がありましたが、「STAMPADO」は、ファイルを取り戻すためのコンタクト先メールアドレスしか提供していません。「JIGSAW」はすべてのドライブを検索し暗号化しますが、「STAMPADO」は＜All Users Profile＞および＜User Profile＞フォルダ内のファイルを検索し暗号化します。「JIGSAW」はユーザに身代金の支払いまで２４時間の猶予を与えてから、支払わなければ１日１ファイルを削除していきますが、「STAMPADO」は身代金支払いまで６時間しか猶予を与えず、支払わなければ１時間ごとに１ファイルを削除します。また、「JIGSAW」は暗号化されたファイルがすべて削除されるまでの猶予は72時間ですが、「STAMPADO」は96時間と少し猶予時間が増えています。

■ サービスとしてのランサムウェア「Ransomware as a Service （RaaS）」

ランサムウェア取引のビジネスモデルにも、需要供給の法則が当てはまります。これまで、トレンドマイクロは時間をかけて各国のアンダーグラウンド市場を監視しているなか、ランサムウェア価格の変動を確認しています。2012年にロシアのサイバー犯罪アンダーグラウンドで、ランサムウェアを利用したサービス（今日の RaaS に相当するもの）がほんの10米ドル（約1060円）から20米ドル（約2120円）で販売されていました。このサービスには、「Windows Blocker」といったシステムのオペレーションシステム（OS）を麻痺させるための不正プログラムが含まれていました。このサービスではサイバー犯罪者が人質とするデータを保管しておくことはできませんでした。なお、当時ランサムウェアは現在ほど需要がなかったことが、安価に販売されていた理由でしょう。

多くのユーザのみならず企業組織までが、ファイルへのアクセスとシステムを回復するため身代金の支払いに応じるようになると、サイバー犯罪者がランサムウェアの価格を引き上げたのは自然の成り行きといえるでしょう。例えば、2015年には、ブラジルのアンダーグラウンド市場で複数のOS対応のランサムウェアが3千米ドル（約31万7千円）で提供されています。

図4：ブラジルのアンダーグラウンド市場で確認されたランサムウェアの広告

現在、RaaS の価格は再び低下しています。これは、RaaS の市場が存在し以前より多くの作成者が自作の違法プログラムを提供している、という現実が、競争を激化させ結果的に価格を下落させたと考えられます。「SATMPADO」の作成者は、ランサムウェアが洗練されたものであろうが人気亜種の粗悪な模造品であろうが、サイバー犯罪者は気にしない、という事実を承知しているかもしれません。しかるべく機能して手早く稼げるなら、そのようなものでも売れる可能性があります。

■ ランサムウェアに対抗する多層的な対策

ランサムウェアの拡散は、収益の見込める稼業としてこれからも継続されるでしょう。しかも RaaS の存在は、あまり知識を持たないサイバー犯罪者が、洗練されたランサムウェアとは言えない模造品を利用したとしても、簡単に稼ぐことを可能にしています。

しかし、個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

※協力執筆者：Ryan Flores、Stephen HiltおよびKyle Wilhoit

参考記事：

• 「Economics Behind Ransomware as a Service: A Look at Stampado’s Pricing Model」
  by Homer Pacag（Threat Response Engineer）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

ランサムウェアは、手っ取り早く稼ぐ手段としてサイバー犯罪者の間で依然人気が高いようです。そして、次々に新しいファミリや亜種が拡散されています。今回トレンドマイクロは、暗号化型ランサムウェア「R980」（「RANSOM_CRYPBEE.A」として検出）を新たに確認しました。

「R980」は、スパムメールあるいは改ざんされた Webサイトを経由して拡散することが確認されています。「Locky」「CERBER」「MIRCOP」と同様に、「R980」を拡散するスパムメールには不正なマクロを埋め込んだ文書ファイル（「W2KM_CRYPBEE.A」として検出）が添付されています。不正なマクロは、特定の URL から「R980」をダウンロードします。「R980」が検出された2016年7月26日以降、その URL への頻繁な接続が確認されています。

図１：感染PC の壁紙にも設定される「R980」の脅迫メッセージの例

図2：不正な文書に埋め込まれたマクロが URL hxxp:// bookmyroom[.]pk/assets/timepicker/f[.]exe からランサムウェアをダウンロードする

「R980」は、151種類のファイル形式を AES-256 と RSA-4096 のアルゴリズムを組み合せて暗号化します。暗号化したファイルに拡張子「.crypt」を追加しますが、同じ拡張子を追加することで知られる暗号化型ランサムウェア「CryptXXX」の旧バージョンとの他の類似点はありません。暗号化の方法については、アプリケーション開発者が Windows用アプリケーションに暗号化機能を実装するために使うライブラリ「Cryptographic Service Provider（CSP、暗号化サービスプロバイダ）」が利用されます。

図3：他の暗号化型ランサムウェアファミリである「Locky」と同様に、「R980」は「CryptAcquireContext」や「CryptGenerateRandom」のような暗号化サービスプロバイダの機能を利用し、ファイルの暗号化に RSA を用いる

「R980」は、以下のレジストリキーを常に利用します。

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、他の多くのランサムウェアと違い、侵入後、自身を削除しません。「R980」は、以下のファイルを作成し「侵入の痕跡（Indicators of Compromise、IoC）」を残すことから、「DMALocker」（「RANSOM_MADLOCKER.B」として検出）を連想させます。

• rtext.txt： 脅迫状
• status.z： ランサムウェアの初回実行の IoC
• status2.z： 作成したコピーが実行された IoC
• k.z： ダウンロードした Base64 の復号データ
• fnames.txt： 暗号化したファイル名

図4：「R980」の脅迫状の例。復号ツールをユーザに送付するために必要な0.5ビットコイン（約3万円、2016年8月12日現在）の支払方法が記載されている

「R980」はコマンド＆コントロール（C&C）サーバと通信し、身代金の支払い用に個々に設定されたビットコインアドレスを提供します。サイバー犯罪者は、自身への追跡を避けるため、数時間後に自動的にメールが削除されるシステムの使い捨てメールアドレスサービス「Mailinator」を利用します。また、同じメールアドレスサービスを利用して、ファイル復号ツールへのリンクが保管されているとされる公開メールアドレスをユーザ用に作成します。

図5：「R980」と C&Cサーバのネットワーク通信のスナップショット。身代金の支払いに利用するビットコインアドレスを提供している様子が示されている。ビットコインアドレスはユーザごとに異なる

「R980」は従来のランサムウェアを寄せ集めて作成されているようなものとはいえ、不正なマクロや改ざんされた Webサイトが感染経路として利用されている点から、危険な脅威であることには違いありません。ユーザは Office文書のマクロは無効にしたままにし、未知の送信元からのメールは削除してください。しっかりとしたバックアップを取ることも、ランサムウェア対策に有効です。

■ トレンドマイクロのランサムウェア対策

ご使用のシステムをランサムウェアから保護するには包括的な対策が必要です。多層防御によって、ランサムウェア感染をどの段階でもブロックすることが可能です。トレンドマイクロの製品は、「R980」のようなランサムウェアの場合、不正なマクロを検出しシステムに侵入する前にブロックすることができます。

個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

「R980」に関連するハッシュ値

• 252E82E52DDDEE5D2593DA23793244195DFCF368 – W2KM_CRYPBEE.A
• 8340937BFD1546988E036FA5A5B44337EEA08466 – RANSOM_CRYPBEE.A

※協力執筆者：Francis Antazo 、Mary Yambao および Jasen Sumalapa

参考記事：

• 「R980 Ransomware Found Abusing Disposable Email Address Service」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロは、検出回避のために Windows スクリプトファイル（拡張子「.WSF」）を拡散に利用する暗号化型ランサムウェア「Locky」を確認しました。Windows スクリプトファイルは、複数のスクリプト言語を1つのファイルの中で組み合わせる機能を備えています。従来のセキュリティ対策製品では Windows スクリプトファイルを検出対象ファイルとして設定していないため、この手法を利用することで、検出困難となります。

とはいえ、2016年5月の「CERBER」拡散のスパムメール活動で Windows スクリプトファイルが利用されたため、この方法は特に斬新な手法ではありません。これは、「CERBER」が Windows スクリプトファイルを利用することでサンドボックスやブラックリストなどのセキュリティ対策の回避に成功するのを見て、「Locky」の背後にいる攻撃者がその方法を真似た、とも考えられます。

■ 侵入経路とソーシャルエンジニアリングの手法

この「Locky」 の亜種は、ユーザの PC に侵入するために、Windows スクリプトファイルを含む ZIPファイルが添付されているスパムメールを利用します。メールには「bank account record（銀行口座明細）」「annual report（年次報告書）」「company database（会社のデータベース）」などの件名が利用されているところから、企業を攻撃対象としていると推察されます。弊社は、スパムメールのほとんどが、欧州で従業員が仕事を開始する時間帯である協定世界時午前９時から午前11時の間に送信されていることを確認しました。さらに収集したデータからは、スパムメール活動が平日に多く、週末に減少していることも確認されています。

図1：スパムメールのメッセージ例

図2：Windows スクリプトファイルが添付されたスパムメールの数（2016年7月13日～8月3日）

図3：スパムメールの送信数／毎時（2016年7月25日～29日）

また、弊社は「アノニマスからの音声メールメッセージ」という件名のスパムメールの例も確認しました。これは、サイバー犯罪者が、ハッカー集団「Anonymous（アノニマス）」の人気を利用しようとしたことを意味するかもしれません。もしくは、アノニマスは単に匿名の人物を指しているとも考えられます。

図4：「アノニマスからの音声メールメッセージ」という件名のスパムメール

このスパムメール活動の第一波は7月15日に確認され、その際それぞれのメールは異なる IPアドレスから発信されていました。最初にスパムメールが発信されていた国はセルビア、コロンビア、およびベトナムでした。そして7月18日と19日に確認されたスパムメール活動の第二波では、タイやブラジルといった国から送信されています。

■ なぜ Windows スクリプトファイルなのか

Windows スクリプトファイルは、暗号化型ランサムウェア本体のダウンローダとして利用されています。この手法を利用することで、静的ファイルに対応していないサンドボックス解析といったセキュリティ対策を回避します。そして、スクリプト言語の組み合わせによって暗号化されるため、解析を困難にします。

VBScript や JavaScript の利用と同様に、Windows スクリプトファイルも不正プログラムのダウンロードを可能にします。「Locky」の場合、Windows スクリプトファイルによってダウンロードされる暗号化型ランサムウェアは、それぞれ異なるハッシュ値を持つため、ブラックリストによる検出が困難です。弊社が検出したある検体は、正規のファイルとして扱われるために「Yahoo Widget」のファイルのプロパティを装っていました。

図5：「Yahoo Widget」のプロパティを偽装する不正プログラム

図6：Windows スクリプトファイルによってダウンロードされるランサムウェアは、それぞれ異なるファイル名とハッシュ値を持つ

■ 更に詳しい調査

解析の結果、この暗号化型ランサムウェアが、脅迫状を表示する前にユーザPC の表示言語を確認するため、レジストリキーの利用を確認しました。例えば、設定されている言語が英語であれば、脅迫状は英語で表示されます。このように最初にシステムの表示言語を確認する挙動は、「JIGSAW」や「CRYPTLOCK」、そして「警察を装うランサムウェア（REVETON）」でも確認されています。

図7：脅迫状を表示する前に PC の表示言語を確認する暗号化型ランサムウェア

図8：英文の脅迫状

図9：ブラジルポルトガル語の脅迫状

この「Locky」の亜種は、コマンド＆コントロール（C＆C）通信のネットワークのトラフィックを暗号化するためために、プロトコル「Secure Shell（SSH）」、またはオープンソースのソフトウェア「OpenVPN」を利用します。通信していた C&Cサーバのうちの1つは、「Deep Web（ディープWeb）」にある匿名通信システム「The Onion Router（Tor）」のWebサイト、zjfq4lnfbs7pncr5[.]onion[.]to にありました。

他の「Locky」の亜種と同様に、この亜種もファイルをすべて暗号化した後、拡張子を「.ZEPTO」に変更します。「Locky」はまた、ファイルの拡張子を「.ZEPTO」に変えるためにネイティブAPI を利用します。

弊社は、この新しい「Locky」亜種がブラジルのアンダーグラウンド市場で販売されていたことから、作成者はブラジル在住であると推測します。また、「unknown_antisec」と名乗る人物が、弊社のブラジルのアンダーグラウンド市場についてのブログ記事（最初にトレンドマイクロブラジルのブログで公開されたもの）をFacebookでシェアし、内容について考察しているのを確認しています。問題のユーザは、和訳すれば「奴らがランサムウェアを持ってきた、さあ飲め」といった意味になるブラジルポルトガル語の表題をつけていました。ブラジルのサイバー犯罪者は、自作の商品やサービスを宣伝するためにソーシャルメディアや表層Webを主に利用します。

暗号化型ランサムウェア「Locky」の作成者は、マクロに始まり、JavaScript および VBScript、そして Windows スクリプトファイルの利用へと改良を加え続けています。このファイル形式であれば、暗号化型ランサムウェア「RAA」に利用されていた JScript のようなスクリプト言語でもなんでも、難読化のために組み合わせることが可能です。

■ トレンドマイクロの対策

Windows スクリプトファイルの利用によって従来のサンドボックス解析を回避してしまうため、「Locky」の新しい亜種を最初の段階で阻止しなければなりません。弊社の製品は、「Locky」を拡散する、Windows スクリプトファイルが添付されたスパムメールを検出することによって、入口で防衛することができます。そのようにして、不正なファイルが実行されることを阻止します。この新しい「Locky」に関連する挙動はすでに検出されているため、サンドボックス機能により、不正プログラムがシステム上で実行されることを阻止することができます。

個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

関連するSHA1ハッシュ値：

JS_LOCKY.DLDVEF

• 0A17D419461F2A7A722F4E15C2760D182626E698
• 0B4396BD30F65B74CE38F7F8F6B7BC1E451FBCCC
• 0C82F9EBC4ACE5D6FD62C04972CF6A56AA022BFD
• 21DCA77E6EF9E89C788EE0B592C22F5448DE2762
• 288C7C4FA2FC2A36E532F938B1DC18E4918A0E36
• 69DA16CB954E8E48CEA4B64A6BBC267ED01AB2B3
• 6A9B6AE21C5F5E560591B73D0049F6CA2D720122
• 752AB2146016BCAFBFE17F710D61D3AD3822F849
• 8BDC38B005E09B34C1BCE94529158DE75408E905
• B8B79E8BAF39E0E7616170216B25C1505974F42C
• 5994eb7696e11818d01bc7447adcf9ec5c1c5f13
• 936ac2f42a1a641d52ba8078c42f5879e2dd41a0
• 0b7b2ba3c35e334bf5bc13929c77ecaf51758e2b
• 3bc8656186ee93d25173ba0f3c07a9cced23e7cd
• 08f1565514122c578da05cbf8b50ee9dcfa41af6
• 4641fb72aaf1461401490eaf1916de4103bbece5
• 3790c8bc8e691c79d80e458ba5e5c80b0b12a0c8
• 91762a5406e5291837ed259cd840cf4d22a2ddfa
• 005cc479faa2324625365bde7771096683312737
• eb01089b3625d56d50e8768e94cfef1c84c25601

JS_LOCKY.DLDVEJ

• 812FBF9E30A7B86C4A72CCA66E1D2FC57344BB09
• AE78A7B67CB5D3C92406CFA9F5FB38ADC8015FDF
• 0e76d8fd54289043012a917148dacda0730e4d88
• c76222e1206bad8e9a4a6f4867b2e235638a4c4c

JS_LOCKY.DLDVEL

• A2420F7806B3E00DB9608ABF80EE91A2447F68AD
• A94CE98BCC9A130AA88E9655672497C701BDA4A5
• fc591d83cdebe57b60588f59466ec3b12283cc2c
• 719f0d406038b932805d338f929d12c899ec97e1

JS_LOCKY.DLDVEP

• DA0FD77C60A2C9A53985A096BDAE1BEF89034A01
• 56dd1d2b944dae25e87a2f9b7d6c653b2ece4486

RANSOM_LOCKY.DLDVEO

• 180BDD12C3EE6D8F0A2D47DDAAD5A2DAA513883E
• 2C62F7B01DD423CEF488100F7C0CA440194657D9
• 6DECCBB36F4E83834985FE49FC235683CF90F054
• E2D94F69134D97C71F2B70FC0A3558B30637E46D
• E3E49BF06CD03FB0EA687507931927E32E0A5A1C

RANSOM_LOCKY.DLDVEF

• 22DE960D38310643C3E68C2BA8EC68D855B43EBD

RANSOM_LOCKY.DLDVEL

• 5A044104A6EED7E343814B3E0FC2DB535C515EA2
• 9BA7499C98E2B52303912352E1ACA694552E0E86
• 9F48FA841FC8B0E945C43DB5B18B37BDF2DA8F5B

RANSOM_HPLOCKY.SM2

• 3329FB8FD5E664CCDE59E12E608E0BCE3EF95225
• 5BE1DE4A018B746953381EA400278D25E7C3D024
• B2D1E7860F617014E0546B9D48450F221FE118EC
• BB8ABA09BC9B97C7358B62F2FF016D05955A5967

RANSOM_HPLOCKY.SM3

• 1A46C45A443B1C10EAA9AA317CD343B83160828F
• A2899353B237E08A7570C674D05D326D43173231
• D8FF29CFF5341B361CA3CEE67EABBD22698DAA2B

RANSOM_LOCKY.F116GT

• 565951232E4A1D491D932C916BC534E8FB02B29B

RANSOM_LOCKY.F116GS

• E362B04FE7F26663D7D43DD829D3C4310B2FC699

RANSOM_LOCKY.SMA6

• 6014A6AFDF09EDEB927A9A6A4E0DF591D72B1899
• DCDB228D515F08673542B89ABB86F36B3B134D72

※協力執筆者：Franklynn Uy および Jon Oliver

参考記事：

• 「New Locky Ransomware Spotted in the Brazilian Underground Market, Uses Windows Script Files」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロでは「金融監督庁」をかたる偽表示で利用者からの情報詐取を狙う、新たなネットバンキング脅威を7月末から確認しています。この新たな手口を行うオンライン銀行詐欺ツール「KRBANKER」は、本記事執筆時点（8月17日）で国内での検出台数が300件を超えており、一定以上の拡散が見られています。この「KRBANKER」は元々韓国の金融機関を標的にしてきたオンライン銀行詐欺ツールですが、日本のネットバンキングにも攻撃対象を拡大してきたものと考えられます。国内ネットバンキングを狙う脅威は2015年末以降「ROVNIX」「BEBLOH（別名：URLZONE）」「URSNIF（別名：GOZI）」など新たな攻撃が続発しており、ランサムウェアが注目を集める裏でネットバンキングを狙うサイバー犯罪者の動きも活発に継続しています。本記事では今回確認された「KRBANKER」がどのようにして認証情報を窃取するのか、その新たな手口について具体的に解説いたします。

図1: 「金融監督庁」を騙る「KRBANKER」の検出台数推移

◆ 「KRBANKER」の手口１：SNS から偽サイトをホストする不正サーバの IPアドレスを取得

「KRBANKER」は、まず、中国の SNS にアクセスし、攻撃者が作成したと思われるアカウントのプロフィール情報から、偽サイトをホストする不正なサーバの IPアドレスを取得します。SNS やブログなどの正規サービスを悪用することにより、通信の隠ぺいを試みていると考えられます。

「KRBANKER」は、さらに、HTTP レスポンスヘッダに含まれる時刻情報を確認し、特定の日時を過ぎた場合は、後述する不正活動を行わずに終了するという機能もあり、不正活動の隠ぺいも試みていると考えられます。

図2: SNS のプロフィール情報から偽サイトの IPアドレスを取得する際の通信内容

◆ 「KRBANKER」の手口２：不正な「proxy.pac」とローカルプロキシによる偽サイトへの誘導

多くのオンライン銀行詐欺ツールが、ブラウザのプロセスに不正なコードを挿入することで、正規サイト上で入力した認証情報を窃取するのに対し、「KRBANKER」は、ローカルプロキシサーバとして動作することで、正規サイトへのアクセスを偽サイトへとリダイレクトさせ、認証情報の窃取を試みます。「KRBANKER」は、偽サイトをホストする不正なサーバの IPアドレス取得後、ローカルプロキシサーバとして動作するとともに、レジストリの値（AutoConfigURL）を変更し、ブラウザからの「proxy.pac」の問い合わせに対し、自身が不正な「proxy.pac」を返答します。「proxy.pac」は、プロキシの自動構成に使用するファイルであり、アクセス先のドメインごとに、どのプロキシを経由するべきかなどの情報が記載されています。このような「proxy.pac」の悪用は、国内ネットバンキングを狙うものとしては「WERDLOD」に次ぐものと言えます。

図3: 不正な「proxy.pac」を読み込むように変更されたレジストリの値（内容は感染環境によって異なる）

「KRBANKER」が返答する不正な「proxy.pac」には、ハッシュ化（Salt+SHA1）された13のドメイン情報が記載されており、アクセス先のドメインと一致した場合、ローカルプロキシサーバとして動作する自身を経由するように設定されています。これらのハッシュを解読したところ、8つの国内銀行、4つの検索エンジン、および、1つの社団法人のドメインであることが判明しました。

図4: 不正な「proxy.pac」に記載されている、ハッシュ化された13のドメイン

「KRBANKER」は、不正な「proxy.pac」を返答することで、利用者が標的となるドメインにアクセスする際に、ローカルプロキシサーバとして動作する自身を経由するようにし、最終的に、偽サイトをホストする不正なサーバへと通信をリダイレクトさせ、認証情報の窃取を試みます。

図5: 「KRBANKER」に感染した端末における、ブラウザによる通信の流れ

◆ 「KRBANKER」の手口3：「金融監督庁」を騙るポップアップ表示による、偽サイトへの誘導

不正な「proxy.pac」に記載された検索エンジンのドメインにアクセスすると、「金融監督庁」を騙る不正なポップアップが表示されます。この「金融監督庁」は現在の金融庁の前身のひとつであり、10年以上前から既に存在していない省庁名です。「KRBANKER」の背後にいるサイバー犯罪者の確認が甘かった可能性がありますが、利用者の錯誤を利用するという観点からはそれほど大きなミスではないのかもしれません。

図6: 検索サイトなどを閲覧中に表示される、金融監督庁を騙るポップアップの例

図7: 検索エンジンのページに挿入された、不正なポップアップを表示するコード

この不正なポップアップには、金融犯罪を予防するために、銀行のサイトにアクセスし、セキュリティの強化を訴える内容のメッセージが書かれており、ポップアップに記載された銀行名をクリックすると、同様の手法により、偽の銀行サイトへと誘導されます。偽の銀行サイトのログインページを表示した際に、ブラウザのアドレスバーを注視すれば、正規の銀行のサイトのログインページが HTTPSプロトコルを利用しているのに対し、偽サイトは HTTPプロトコルを利用していることが分かります。これは、偽サイトの誘導による、SSLサーバ証明書の検証エラーを発生させないようにするためですが、ブラウザのアドレスバーに表示されているドメイン名は正規のものであるため、利用者は異変に気付かずに認証情報を入力してしまう危険性があります。

従来のオンライン銀行詐欺ツールは、利用者が標的となるオンライン銀行にアクセスするのを待つ、いわば受動型であったのに対し、「KRBANKER」は、それに加え、検索エンジンのページ上にポップアップを表示し、利用者に標的となるオンライン銀行へのアクセスを促す、いわば能動型のオンライン銀行詐欺ツールであるとも言えます。

図8: 偽の銀行サイトのログインページ例

■ 被害に遭わないためには

オンライン銀行詐欺ツールなどの不正プログラムは一般的に、電子メール経由か Web経由で PC内に侵入します。今回の「KRBANKER」の拡散に関しては国内改ざんサイトなど Web経由が中心であったことが確認されています。昨今の Web経由の攻撃では正規サイトから不正サイトへ誘導するなどにより不正プログラムを拡散させる手口が主流となっており、「不審なサイトへはアクセスしない」などの旧来からの心掛けのみでは守れないものとなっています。そもそもの侵入を止めるためにも、メールと Web の2つの経路での侵入を検知する対策製品の導入が重要です。

■ トレンドマイクロの対策

今回の攻撃で確認された不正プログラムについては「ファイルレピュテーション（FRS）」技術により「TSPY_KRBANKER」、「TSPY_BANKER」などとして検出します。「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」などのエンドポイント製品では「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロック可能です。また、同様に検出未対応の不正プログラムを警告する対策として、サンドボックス技術が有効です。今回の「KRBANKER」について、「Deep Discovery Analyzer」などが実装するトレンドマイクロのサンドボックス技術では、「VAN_BOT.UMXX」として警告可能であったことを確認済みです。
今回の攻撃に関連する不正サイトについては「Webレピュテーション（WRS）」技術でアクセスをブロックしています。脆弱性攻撃サイト（EKサイト）やダウンロードサイトなど不正プログラムの拡散に使用される不正サイトや、不正プログラムが活動開始後にアクセスする遠隔操作サーバ（C&Cサーバ）を WRS技術でブロックすることにより、不正プログラムの侵入や被害の拡大を抑えられます。「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品では WRS技術により、LAN内全体からの不正サイトへのアクセスをブロックできます。「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」などのエンドポイント製品でも WRS技術により端末からの不正サイトへのアクセスをブロックします。
また、ネットワーク内の不審な通信に早期に気づくことにより、全体的な被害を軽減させることが可能です。トレンドマイクロのネットワーク監視ソリューション「Deep Discovery Inspector」ではネットワーク内に侵入した不正プログラムの通信を検知し、感染端末の存在を早期に警告します。

※記事構成：岡本 勝之（セキュリティエバンジェリスト）

執筆者：Shawn Xing and Ecular Xu (Mobile Threat Response Engineers)

前回7月21日のブログでもお伝えした通り、サイバー犯罪者は世界的ブームになっているモバイルゲーム「Pokémon GO」の圧倒的な人気に便乗し、偽アプリや不正アプリを頒布しています。例としては、画面をロックしてユーザを脅し、金銭や個人情報を収集する不正プログラム、ユーザの望まない広告表示活動を行う不正プログラム（アドウェア）、さらに感染端末を遠隔操作するための「Remote Access Tool（RAT）」を感染させる便乗アプリが確認されています。前回のブログでは「Pokémon GO」のアプリ名を持つ便乗アプリを43件確認、うち19件が不正・迷惑アプリであったことをお伝えしました。また、7月8日から20日には「Google Play」上で「Pokémon GO」便乗アプリの新規リリースやアップデートが頻発していました。トレンドマイクロではこれらの Google Play 上で公開されているアプリの調査を行い、「Pokémon GO」もしくは類似する紛らわしいアプリ名を持つ便乗アプリを149件発見、合計で3,900万回以上ダウンロードされていたことを確認しました。

■ 「Pokémon GO」の便乗アプリを解析

トレンドマイクロの調査の結果、Google Play 上で公開されていた便乗アプリは以下に分類できるものとわかりました。

• ゲーム攻略ガイド、マニュアルなど
• ゲームに使用される、偽の GPS位置情報
• ユーザ間でコミュニケーションを図るための、ソーシャルネットワーキング用プラットフォーム関連
• その他、壁紙アプリやダウンローダーツールなど

図1：弊社が解析した「Pokémon GO」便乗アプリの分類

また、さらなる解析から、便乗アプリの多くはなんの機能も備えておらず、ただ別のアプリのダウンロードに利用者を誘導するために「Pokémon GO」の人気を利用しているだけのアドウェアとわかりました。便乗アプリの中で正規の機能を持つアプリはたった11%に過ぎませんでした。

図2：解析の結果、便乗アプリの約87％がアドウェアであり、
正規アプリはわずか約11％であったことを確認

弊社はこの件について Google に報告済みであり、7月21日だけで57個のアプリが Google Play から削除されました。その後もトレンドマイクロでは、Google Play に加えてサードパーティマーケットなども含めた便乗アプリの調査を続けており、前回記事から約2週間後の8月3日時点で930件の便乗アプリを確認、うち223件を不正・迷惑アプリと判定、さらに約2週が経過後の8月16日時点では1575件の便乗アプリのうち238件が不正・迷惑アプリと増加が見られています。

■ ポケコイン獲得の「ウラ技」で利用者を誘引

このような便乗アプリの一例として、「ポケコイン」を簡単に入手できる機能を持つアプリとして宣伝されていた攻略アプリの解析結果もお伝えします。この便乗アプリは Google Play で公開されていました（図3）。ポケコインとは、ゲーム内で使われる仮想通貨で、ゲームをプレイすることによって入手するか、または現実世界の通貨で購入することができます。このようなゲーム内課金アイテムを入手可能にするなどゲームを有利に進めるためのアプリはハックアプリ、チートアプリとも呼ばれています。しかし、このアプリで謳われているポケコイン獲得方法はもちろん虚偽のものであり、詐欺的手法で利用者を騙すポケコインの入手という「エサ」により利用者をおびき寄せる手口であると言えます。

図3：Google Play で公開されていたアプリの「ユーザインターフェース（User Interface、UI）」（左）
インストールして起動すると、スマホ画面に ”Hack Root” (中央)と”Download Pokémon Go”（右）の２つの画面が表示される

サイバー犯罪者は、また、地域によって「Pokémon GO」の公開時期が異なっていた点を利用していました。利用者の住む国で「Pokémon GO」が未配信である場合、Android端末向けのアプリパッケージである APKファイルを URL hxxp://cat＜中略＞files[.]com/547457 からダウンロードするように促します。

図4：サイバー犯罪者は、利用者を「Pokémon GO」の APKファイルがあるとされるサイトに誘導
そのファイルをダウンロードする前に別のアプリをダウンロードさせられる

インストールして起動すると、偽アプリは、「Pokémon GO」のユーザ名、端末の種類、および位置情報の入力をユーザに要求します。ユーザが「Connect」 をクリックすると、ゲームに利用する機能を選択できるとされる、もう1つの画面へ誘導されます。そこでは、アプリの地理的制約を回避するため、暗号化方式 AES-256 を有効にしてプロキシサーバを特定することによって、ポケコインの金額やモンスターボールの数などの設定が選択可能である、とされています。

図5：「Pokémon GO」のサーバに情報を追加することが可能であると偽るアプリ（左）
「Generate」のボタンをクリックすると、見たところ実行しているかのようにプロセスが表示される

アプリはその後、「Pokémon GO」アプリ内のアイテムを追加する前に、人間による操作であることをチェックするという名目で「human verification」をユーザに承認するよう促します。しかし、「Verify Now」のボタンを押しても実際にはチェックは行われず、利用者は他のサイトに誘導され、図6のような別のアプリのダウンロードを促されます。

図6：利用者が「Verify Now」のボタンを押すと偽アプリは他のサイトにユーザを誘導し、別の便乗アプリのダウンロードを促す

図7：偽アプリは Webサイト hxxp://pokemon-go[.]we＜中略＞ie[.]biz/en[.]html へ接続し、すべてのプロンプトを表示（左）
アプリのホームページにある「オンラインユーザ」は、ランダムに生成される（右）

図8：コードのスナップショットから、「Generate」ボタンをクリックして出力されるものは事前に定義されたものであり、実際には何も実行していないことがわかる

以上の解析から、この偽アプリはユーザを欺いて別のアプリをインストールさせるアドウェアであると確認されました。弊社はまた、この偽アプリと類似したコードを持つ別の偽アプリが同じデベロッパーによって公開されていることも確認しています。この別の偽アプリは、「Summoners War（サマナーズウォー）」という別のゲームの人気に便乗するものとなっており、Google Play から削除される前に5,000回以上ダウンロードされています。このように人気ゲームに便乗する手口は攻撃者にとって非常に有効であり、今後も新たな人気ゲームが登場するたびに発生することが予想されます。

■ 被害に遭わないためには

このようなモバイル向け不正・迷惑アプリから端末を保護するために、オペレーションシステム（OS）を最新にしておくことの他、未知の開発者やサードパーティのアプリストアからアプリをダウンロードしないことを推奨します。また、今回の事例のように、ポケコインのようなゲーム内の課金アイテムを簡単に獲得できるなど、非現実的な機能で利用者を誘引する手口に注意してください。ゲームを有利に進めるためにハックアプリやチートアプリを使用したくなる利用者は多いかもしれませんが、うまい話には裏があります。アプリマーケット上のユーザ評価を確認することも本物と詐欺を見分ける役に立ちます。とりわけ評価に偏りのあるアプリには注意してください。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「モバイルアプリケーションレピュテーション（MAR）」技術や「 Webレピュテーション（WRS）」技術により、不正アプリや不正 Webサイトのブロックに対応しています。

弊社の解析に関連する SHA1 とパッケージ名はこちらを参照してください。

※協力執筆者：Federico Maggi および Kenny Ye

参考記事：

• 「Self-Promoting App in Google Play Cashes In on Pokémon Go」
  by Shawn Xing and Ecular Xu (Mobile Threat Response Engineers)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）
記事構成：岡本 勝之（セキュリティエバンジェリスト）

トレンドマイクロでは、2016年上半期（1～6月）における国内外の脅威動向について分析を行いました。その結果、身代金要求型不正プログラム（ランサムウェア）は今やインターネット利用者にとって最も大きな脅威となっていることが確認できました。その被害は2016年上半期を通じ、ますます拡大しています。

図1：国内でのランサムウェアの被害報告件数推移

ランサムウェアの日本での被害報告数は前年同期比 7倍、特に法人での被害報告は同 9倍となりました。昨年末、トレンドマイクロでは「2016年はネット恐喝の年になる」と予測しましたが、実際にサイバー犯罪者にとってランサムウェアは「金のなる木」のような存在となりました。

一方、攻撃対象を限定した標的型の攻撃も様々な事例が表面化しています。日本では 678万件という過去最大規模の個人情報が、標的型サイバー攻撃により流出危機にさらされていたことが大手旅行会社から公表されました。トレンドマイクロのネットワーク監視によれば、国内における標的型サイバー攻撃の疑いのある通信は月平均 59万件が確認されており、公表事例が無い期間であっても水面下で攻撃は継続していることがわかります。また、世界的に「ビジネスメール詐欺（Business Email Compromised、BEC）」 と呼ばれるビジネスメールの侵害も表面化しています。「米連邦捜査局（U.S. Federal Bureau of Investigation、FBI）」によると、2015年 1月から 2016年 6月までの被害総額は 30億米ドルに及んでおり、正規のビジネスメールを悪用した詐欺手口により企業に巨額の被害がもたらされていることがわかります。

2016年上半期に確認された様々な脅威動向について、より深く知るためには、以下のレポートをご一読ください。

• 詳細レポートはこちら：
  　　2016年上半期セキュリティラウンドアップ：『凶悪化・巧妙化が進むランサムウェア、国内では過去最大の被害』
  　　http://www.go-tm.jp/sr2016h1

膨大な量の個人情報を保有する医療機関は、サイバー犯罪者の格好の標的となる恐れがあります。大抵の医療機関は、クレジットカード情報や診療記録、健康保険証、個人番号、社会保障番号など、さまざまな情報を保有しています。米国における最大級の非営利の医療機関である「Banner Health」は、2016年8月、巧妙なサイバー攻撃を仕掛けられました。この事例からサイバー犯罪者が以前にも増して医療機関が有する情報を狙っていることがわかります。この Banner Health の情報漏えいの事例において、307万人分の個人情報と財務データが窃取されています。

2016年7月7日、Banner Health の飲食料品用「販売時点情報管理（Point of sale 、POS）」システムのネットワークへ攻撃者が侵入していたことが複数報道されました。サイバー犯罪者は、この攻撃で氏名・クレジットカード番号・認証コードなど顧客のクレジットカード情報を窃取しました。漏えいした情報には、患者および医師の住所氏名、医療保険情報、診療記録、社会保障番号その他が含まれている恐れがあります。

クレジットカード情報と個人情報は別のシステムで管理されていたにもかかわらず、どちらの情報も窃取されたことから、今回の事例は医療業界全体の懸念となりました。

■ 類似した過去の事例と推定原因

このような情報漏えい事例は、1つの不正プログラムでなく複数の不正プログラムによって引き起こされる恐れがあります。トレンドマイクロは、2015年に広範囲に実行された「Black Atlas 作戦」を一定期間追跡した際に、今回の事例との類似点を確認しています。弊社は、「Black Atlas 作戦」の POSマルウェアが「Gorynych」や「Diamond Fox」といったボットネットに追加された機能であることを確認しています。これらのボットネットは情報収集機能を備えていました。そして、サイバー犯罪者がこれらボットネットのオプション機能であるPOSモジュールを有効にすることができます。また、POSモジュール以外にも、キーロガー機能などのモジュールを搭載していました。

「Black Atlas 作戦」では、多岐に渡る業界の中小企業が標的とされましたが、その中には医療機関も含まれていました。サイバー犯罪者は、十徳ナイフのように異なる機能を持つ不正プログラムがセットになったツールを、目的に応じて利用しました。最初に特定のツールを利用して情報を収集し、次に他のツールを利用して企業のシステムにさらに深く侵入する、というように、いくつかの段階を経て計画が実行されました。サイバー犯罪者は、システムへのアクセスが可能になると POSマルウェアをインストールし、金融データなどの重要な情報を収集しました。

「Black Atlas 作戦」において確認された、POS からネットワーク上の他のシステムまでの感染の経路は、Banner Health の情報漏えい事例になぞらえることができます。

図1：「Black Atlas 作戦」の感染経路

もう1つには、ネットワーク構成に原因があったと考えられます。POS のデータを保管するシステムと、医師や患者の個人情報を保管するシステムが、すべての機器が同等であるフラットネットワーク上におさめられていた可能性があります。そのようなネットワーク構成は管理や維持が容易ですが、セキュリティ面であまり強力でありません。攻撃者がそのようなフラットネットワークのシステムの1つにアクセスできれば、残りのシステムにも簡単にアクセスできてしまいます。

今回の情報漏えい事例は、企業組織にとって、情報漏えいを防ぐために必要とする効果的なセキュリティ対策を再考するための注意喚起となります。以下は推奨する対策です。

• リモートアクセスサービスのために、ファイアウォールあるいは「アクセス制御リスト（Access Control List 、ACL）」を導入する
• POS システム、その他インターネット接続機器の認証情報を初期設定から変更する、あるいはサードパーティにより変更済みであることを確認する
• ネットワーク内で横展開する攻撃に備え、ネットワークを分断する
• 大規模な組織では、不要な情報を削除し、保管されている情報について把握する
• 必要な管理が十分に実施されているか、また継続されているかを確認する
• イベントログを監視し、保管する
• 脅威状況を把握し、対応戦略の優先順位を理解する

クレジットカード決済の担当者は、クレジットカード業界のセキュリティ基準である「Payment Card Industry Data Security Standard（PCI DSS）」の要件に従う必要があります。とりわけネットワークのセグメント化は、決済の面で重要なだけでなく、保護医療情報 「Protected Health Information（PHI）」のセキュリティ対策のためにも重要です。医療業界の標準は、米国の医療保険の携行性と責任に関する法律である「Health Insurance Portability and Accountability Act of 1996（HIPAA）」にアウトラインが規定されていますが、その中で、一般的に PHI の管理方法として、PHI を他のデータとは別に管理を実施している組織は最も効果的に管理を維持している、と記載されています。

サイバー犯罪者がさらに巧妙な戦略で攻撃を仕掛けてきたとしても、医療業界は、常にその一歩先の対策を講じていなければなりません。組織内で利用するサーバやネットワーク、そして広範囲のユーザ機器を監視・管理し、保護することのできる、多層的なセキュリティ対策を採用してください。

参考記事：

• 「Data Protection Solutions Spring from Exposed PoS Threat」
  by TrendLabs

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

暗号化型ランサムウェア「Locky」ファミリは、2016年2月に確認されて以来、注目度の高いランサムウェアの1つとなっています。そしてブラジルのアンダーグラウンドで販売されたり、様々なエクスプロイトキットにより拡散されたりしてきました。また、拡散の手法にマクロや JavaScript、VBScript、Windows スクリプトファイルといったファイルを利用することで知られています。そして今回、トレンドマイクロは、DLLファイルを利用する「Locky」を新たに確認しました。

今回弊社が確認した「Locky」の亜種「RANSOM_LOCKY.F116HM」は、何の変哲もないメッセージの書かれたメール（図1参照）を送信する大規模なスパムメール送信活動で拡散されており、一見、従来の「Locky」と同様の手法が採用されているように見えます。しかし、実際には、幾つかの変更が確認されました。

図１：暗号化型ランサムウェア「Locky」を拡散するためのスパムメール

まず、添付の ZIPファイルに含まれる JavaScript のファイル（拡張子「.JS」）には、「Locky」の特徴とも言える高度な難読化が確認できます。

図２：JavaScript ファイルのコード

弊社では、難読化された JavaScript コードが復号されると、以下を実行することを確認しています。

1. 不正な URL の一覧がハードコードされており、そのすべての URL に暗号化された「Locky」が組み込まれていた。JavaScript は、任意の URL を1つ選択し、「Locky」をダウンロード。失敗した場合他の URL からのダウンロードを試みる。
2. ダウンロードしたファイルを “Windows Temporary フォルダ“ に保存する。
3. 排他的論理和「XOR」と「擬似乱数生成器（Pseudo-Random Number Generator、PRNG）」を用いてダウンロードしたファイルを復号し、DLLファイル（拡張子「.dll」）として保存する。
4. “rundll32.exe ” を利用して DLLファイルが実行されると、PC に脅迫状が表示され、ユーザのファイルが暗号化される。

攻撃者は、独自に作成したストリーム暗号を利用して、「key stream（鍵ストリーム）」と呼ばれる擬似乱数系列を生成しています。PRNG は、初期設定値として「seed（シード）」と呼ばれる初期値が必要となりますが、このシードは秘密鍵のような役割を果たします。通常の暗号化の実装の場合には、毎回異なるシードを用いて、妥当な PRNG を利用することにより、ストリーム暗号をランダムなものにすることができます。

一方、同一のシードを利用した場合には、同一の鍵ストリームが生成されることになります。今回確認した「Locky」への実装では、このシードの値が JavaScript のコードでハードコードされていました。

図３：「XOR」と「PRNG」によって復号されたコード

PRNG の作成は大変な作業のため、攻撃者は既存の PRNG を借用することにしたようです。「Ultra-High Entropy Pseudo-Random Number Generator（UHE PRNG）」の実装を参考に、コードにわずかに変更を加えたものを自身の JavaScript のファイルに利用していました。利用されていたコードは、UHE PRNG のコードの Windows スクリプト版の一部を、ほぼそのままコピーしたものでした。

図４：UHE PRNG の関数

図５：「Locky」の DLLファイルを実行する “rundll32.exe” とその引数

感染後の「Locky」 の活動については、前回確認された「Locky」の亜種とほとんど差異はありません。

図６：暗号化型ランサムウェア「Locky」の脅迫状

DLLファイルの導入は、最新のセキュリティ対策製品が備える挙動監視機能による検出の回避を意図したものと推察できます。“rundll32.exe” によって DLLファイルが実行されることにより、新規プロセスが開始されないため、検出が困難になります。「CrypMIC」や「CryptXXX」などの他の暗号化型ランサムウェアでもこの手法が採用されていますが、「Locky」で確認されたのは今回が初めてです。

暗号化の利用で、この暗号化型ランサムウェアが自身を隠ぺいする機能はさらに強化されています。「Locky」がダウンロードされるために必要なパラメータは JavaScript ファイルにあり、難読化されています。パラメータがなければ、暗号化された「Locky」のファイルは復号されず、論理上不正なファイルは検出されないことになります。

■ トレンドマイクロの対策

個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

関連する SHA256ハッシュ値：

• ff3e29a31f05016dedcd61a7aac588757c8364f04fa85b7a86196c9805cd811c
• f7d0ccb86876cd4852fa376d69e6a0073a2c5cefaa3bfc012a9b8fe371d8cdb6

※調査協力：Jaaziel Carlos

参考記事：

• 「Locky Ransomware Now Downloaded as Encrypted DLLs」
  by Brooks Li（Threats Analyst）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

暗号化型ランサムウェア「CERBER」は、2016年3月に確認されて以来、最も広く拡散している悪名高いランサムウェアの1つとなっています。「CERBER」は、拡散の手法として、クラウドサービスや Windows スクリプト ファイルの利用、あるいはランサムウェア以外の活動「分散型サービス拒否（DDoS）攻撃」の機能などを取り入れてきました。「CERBER」がまん延している理由の一つに、「サービスとしてのランサムウェア（Ransomware as a service、RaaS）」として、絶えず売買されていることが挙げられるでしょう。

トレンドマイクロが今回確認した、バージョン3.0となる「CERBER」は、ソーシャルエンジニアリングの手法として初期のバージョンが備えていた「音声を再生し脅迫する機能」を備えていました。これまでの「CERBER」亜種と同様に、この「CERBER 3.0」も「Magnitude Exploit Kit（Magnitude EK）」「Rig Exploit Kit（Rig EK）」といったエクスプロイトキットを利用して拡散されています。

ユーザは、通常、動画を再生するためにクリックし、ポップアップした広告の画面から、上述のエクスプロイトキットが組み込まれている別の Webサイトへと誘導されます。そこで最終的に「CERBER」がダウンロードされることになります。この「malvertisment（不正広告）」の活動はすでに複数の国で展開されていますが、攻撃は主に台湾へ集中しています。不正広告の活動はすでに数カ月に及んでいます。しかし、最終的に暗号化型ランサムウェア「CERBER」をダウンロードするものは、今回初めて確認されました。

Magnitude EK への誘導の場合は、簡単なスクリプトを利用して誘導していました。一方、Rig EK への誘導では、米国の正規の衣料品販売 Webサイトを表示するスクリーンショットが背後で開きます。これはおそらく広告が疑わしくないように見せる手法と考えられます。

図1：Rig EK への誘導経路

図2：Magnitude EK への誘導経路

このような差異が確認されていますが、暗号化型ランサムウェア「CERBER」としての活動は以前のバージョンと同様です。表示される脅迫状は基本的に旧バージョンのものから変化していません。

図3：「CERBER 3.0」の脅迫状

身代金支払い指示についても、ほとんど従来の亜種と同様ですが、割引の案内まで記載されています。常に変化するビットコインの相場に連動し、要求金額も変化しています。2016年３月、「CERBER」の最初のバージョンでは1.24 ビットコイン（約5万8千円。2016年3月４日当時の相場）の身代金を要求し、被害者に７日間の猶予を与えていました。今回の「CERBER3.0」は、直ちに1ビットコイン（約５万９千円。2016年9月5日現在）の支払いを要求しますが、身代金が2ビットコイン（約11万8千円）に値上がりするまでに5日間以上あります。

図4：「CERBER 3.0」の脅迫状

暗号化されたファイルは、拡張子「*.cerber3」を持つファイル名に変更されます。暗号化型ランサムウェアは、シャドウコピーも削除します。シャドウコピーのバックアップ機能によってファイルを復旧するのを不可能にするためです。そして、ファイルが暗号化されたことをユーザに知らせるため、女性の声を利用しています。この「話す」機能は最初に確認された「CERBER」亜種も備えていました。

■ トレンドマイクロの対策

バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。

• 3つ以上のコピーを保存
• 2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
• そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

こうした不正広告によって拡散するエクスプロイトキットの被害に遭わないために、インストールしているソフトウェアおよびオペレーションシステム（OS）を最新の状態にしてください。そのようにして、ランサムウェア被害だけでなく、他の様々な攻撃によるリスクも低減することができます。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security（CAS）」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

この脅威に関連するハッシュ値：

• C60AB834453E6C1865EA2A06E4C19EA83982C1F9 – 「RANSOM_CERBER.DLEY」として検出
• E9508FA87D78BC01A92E4FDBCD3D14B2836BC0E2 – 「RANSOM_CERBER.DLEZ」として検出

※協力執筆者：Mary Yambao

参考記事：

• 「New Version of Cerber Ransomware Distributed via Malvertising」
  by Joseph C Chen (Fraud Researcher)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

コマンド＆コントロール（C&C）のサーバに正規サービスを利用することは、検出を回避するためによく利用される手法です。ランサムウェアは、通常、収集した情報を自身のC&Cサーバへそのまま送信しますが、中にはそうでないファミリも存在します。例えば、暗号化型ランサムウェア「cuteRansomware（キュートランサムウェア）」は、ユーザの PC から収集した情報を送信するために、Google の文書・表計算・プレゼンテーション作成アプリケーション「Googleドキュメント」を利用します。

トレンドマイクロは、2016年９月初旬、無料オンライン画像共有サービス「Imgur」を自身の C&Cサーバに悪用する暗号化型ランサムウェア「CryLocker（クライロッカー）」（「RANSOM_MILICRY.A」として検出）を確認しました。「Imgur」は、ユーザがアルバムに画像をアップロードし、他者と画像を共有することができる Webサイトです。弊社は、エクスプロイトキット活動の監視中に、「Rig Exploit Kit（Rig EK）」および「Sundown Exploit Kit（Sundown EK）」が、「CryLocker」を拡散しているのを確認しました。

暗号化型ランサムウェアが感染PC から収集した情報を「Portable Network Graphics（PNG）」の画像ファイルにパッケージ化する手法は、今回初めて確認されました。「CryLocker」に利用される PNGファイルは、ユーザを追跡する役割も果たし、感染PC から情報が収集した情報を PNGファイルに加工して、Imgur のアルバムにアップロードします。「CryLocker」の背後にいるサイバー犯罪者は、検出回避して感染PC に常駐するためにこの手法を利用したと考えられます。弊社は、Imgur のサービスを悪用する「CryLocker」の活動について、Imgur に報告済みです。

図1：ユーザのデータが PNGファイルに加工され Imgur のアルバムへ送信される

■ 侵入方法と解析結果

弊社は、2016年9月1日から2日にかけて Rig EK が「malvertisement（不正広告）」を利用して「CryLocker」を拡散するのを確認しています。その後この Rig EK は、「CryLocker」を拡散する不正広告活動を停止しました。そして、Imgur にアップロードされていた PNGファイルを詳細に解析したところ、確認された最も古いファイルはそれより前の8月25日に暗号化されたものでした。

図２と図３：Sundown EK と Rig EK のトラフィック

弊社は、続いて2016年9月5日、やはり「CryLocker」の拡散に Sundown EK が不正広告活動を利用するのを確認しました。その際に数点の変化も見られました。例えば、デスクトップの壁紙を「CryLocker」と呼ばれる脅迫状に変更する挙動です。本記事執筆時点（2016年9月7日現在）、情報収集された件数は 8,000にまで達しています。

図4：窃取された情報を C&Cサーバへ送信されたユーザの数（8月25日から9月5日）

図5：「CryLocker」の脅迫状

弊社の解析から、「CryLocker」は暗号化したファイルの拡張子を「*.CRY」に変更することが確認されています。これは、暗号化型ランサムウェア「Buddy Ransomware（バディランサムウェア）」が用いる拡張子と同じです。しかし、類似点はそれだけで、これら２つの暗号化型ランサムウェアのファイル構造が異なることが解析の結果明らかになっています。

通常の暗号化型ランサムウェアとは異なる点として、「CryLocker」はまず暗号化対象のファイルのコピーを作成してから、オリジナルのファイルを削除します。この挙動により、ファイル復旧ソフトウェアを利用して暗号化されたファイルを復旧することが可能です。とはいえ、ファイルサイズが 20MB 以上となると困難になるでしょう。

「CryLocker」が収集する情報には、MACアドレス、SSID など、ユーザの WiFiアクセスポイントの情報が含まれます。また、ユーザの地理位置情報またはブラウザの位置情報を、「Google Maps Geolocation API」を利用して確認します。そして、“C:\Temp\lol.txt” ファイルが存在するか確認し、存在した場合、ファイルの暗号化を行いません。しかし、ファイルの存在が確認できた場合でも、シャドウコピーの削除や脅迫状の表示といった他のランサムウェアの活動は実行します。弊社は、新しい検体（SHA1: 4bf164e49e4cb13efca041eb154aae1cf25982a8）でこのような挙動が確認されたことから、このような機能が作成者の削除し忘れによるものか、それとも意図的なものか疑問を持っています。

また、Windows の API 「GetKeyboardLayoutList」関数を利用し、入力ロケール識別子（キーボードレイアウトハンドル）を確認します。次に、システムの言語識別子を確認します。そして、以下の言語が検出された場合、暗号化型ランサムウェアの活動は実行せずにシステムから撤退します。

• ベラルーシ語
• カザフ語
• ロシア語
• サハ語
• ウクライナ語
• ウズベク語

このような選別活動は、以前にも「Andromeda」のボットネットに実装されていたことが確認されています。

図6：API 「GetKeyboardLayoutList」関数のコード

■ 「CryLocker」の C&C通信

上述のように、「CryLocker」は、指定した Imgur のアルバムへ収集した情報の送信を試みます。送信に失敗した場合、テキストデータの保存・公開ができるウェブアプリケーションサービス「Pastebin」に類似した「pastee.org」というサービスへ、情報を送信します。しかし、このサーバは解析および執筆時点において、アクセスすることはできませんでした。

さらに、Imgur も pastee.org も適切に機能しなかった場合の代替手段として、あるいは、送信するデータサイズが小さい場合は、UDPポート番号4444経由で特定の IPアドレスへ情報を送信することがあります。

図７：感染PC から Pastee.org へデータの送信を試みる「CryLocker」

ネットワークトラフィックを確認すると、”pastee.org/submit“ および ”imgur.com/upload/checkcaptcha” への送信活動には、不正な形式のユーザエージェントが含まれていました。

図８：不正な形式のエージェントを示すネットワークトラフィック

「CryLocker」は、適正な PNGファイルの形式およびヘッダに則しておらず、不正な形式に加工されていました。PNGファイルには、有効なファイルヘッダを持っていてもイメージデータはなく、ASCII文字コードのシステム情報だけが含まれています。この手法は、「秘密文」を他の情報に埋め込んで秘匿する技術、つまりサイバー犯罪の場合ではファイルやデータを他のデータに埋め込み隠ぺいする手法である、「steganography（ステガノグラフィ）」とは別の手法です。

図９：画像プレビューができない PNGファイル

■ トレンドマイクロの対策

サイバー犯罪者は、通常、正規の Webサイトやクラウドサービスの抜け道を利用して、自身の ID や不正活動を隠ぺいします。そのような背景から、正規の Webサービスでは、セキュリティ対策のための指針と制限事項強化が重要となります。今回の「CryLocker」のような場合、画像共有サービスの Webサイトでは、アップロードされる画像ファイルを確認するプロセスを導入することを推奨します。そのようなプロセスによって、もし PNGファイルが不正な形式であれば、システムが識別しアップロードを拒否することができます。

トレンドマイクロは、不正なファイルを検出し、関連する不正な URLをブロックすることによって、企業や個人ユーザをこの脅威から保護します。弊社のセキュリティ対策は、「CryLocker」を入り口でブロックし、被害を未然に防ぎます。また、組織内で利用するサーバやネットワーク、そして広範囲のユーザ機器を監視・管理し、保護することのできる、多層的なセキュリティ対策を提供します。

ネットワークセキュリティ対策製品「TippingPoint」では、2016年9月13日以降、以下の MainlineDVフィルターにより今回の脅威をブロックします。

• 39144: HTTP: Ransom_Milcry.A Checkin

サーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」をご利用のお客様は、以下の DPIルールによって脆弱性を利用する脅威から保護されています。

• 2131: RIG – Exploit Kit – HTTP(Request) – Variant 3

「CryLocker」に関連する SHA1ハッシュ値

• d6a09353a1e4ccd7f5bc0abc401722035fabefa9 – 「RANSOM_MILICRY.A」として検出
• 4BF164E49E4CB13EFCA041EB154AAE1CF25982A8 – 「RANSOM_MILICRY.A」として検出

※協力執筆者：Vachel Dai および Mat Powell

参考記事：

• 「Picture Perfect: CryLocker Ransomware Uploads User Information as PNG Files」
  by Kawabata Kohei, Joseph C. Chen, and Jeanne Jocson

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。

サイバー犯罪者の視点で考えた場合、現在、金銭を狙う攻撃として最も成功している攻撃手法は「ランサムウェア」であることは間違いありません。2016年9月現在、PC におけるランサムウェアによる被害は増加の一途を辿っていますが、サイバー犯罪者にとって成果を上げやすい攻撃手法は、より対象を拡大させていく傾向にあります。既に3月18日のブログ記事で紹介しているように、ランサムウェアの攻撃は PC の利用者に加え、スマートフォンやタブレットといったモバイル端末利用者へも範囲を拡大させています。

現在のモバイル向けランサムウェアの状況として、トレンドマイクロのクラウド型セキュリティ技術基盤「スマートプロテクションネットワーク（SPN）」の機能である「Mobile App Reputation Service（MAR）」の統計によれば、2016年8月の Android向けランサムウェアの全世界における検出数はおよそ 19万3000個で、これは前月の 2016年7月の 10万5000個と比べても2倍近い増加であり、過去最大の検出数となっています。

図1：過去1年間（2015年9月～2016年8月）におけるモバイル向けランサムウェアの検出数推移

これらの検出のうち、日本国内の利用者からの検出は全体の 13.5％を占めており、相当数の脅威が日本にも流入していることがわかります。

また、実際にトレンドマイクロが確認した Android版ランサムウェアの検体数の面から見ても、2016年8月の累計はおよそ 13万個に及び、前年同期である 2015年8月の累計 3万2000個と比べると、4倍に急増しています。これはつまり、1年間で 9万個以上のランサムウェアが登場したことになります。

図2：Android向けランサムウェア検体の累計数推移

ランサムウェアは身代金を要求するために何らかの「人質」をとります。現在、PC向けのランサムウェアではデータを「人質」にする「暗号化型」が猛威を振るっています。これに対し、Android向けランサムウェアでは端末自体使用不能にして「人質」とする「端末ロック型」、しかも法執行機関を偽装するいわゆる「ポリスランサム」の手口がほとんどすべてを占めています。これは仕様上、Android では外部 SDカード上のデータ以外は暗号化することが難しいために、端末ロック型のポリスランサムの活動が主流になっているものと思われます。

図3：Android向けランサムウェアのファミリー別割合
上位3種の「Slocker」、「Flocker」、「SMSlocker」は
すべて端末ロック型のポリスランサムの活動を持っている

図4：モバイルランサムウェアの 15%を占める「FLocker」の ”身代金” 要求メッセージ表示例
「MINISTRY OF JUSTICE（法務省）」を偽装したポリスランサムの手口と言える
br>

■ 被害に遭わないためには

現在不正アプリのほとんどは、正規マーケットではなく、不審なサードパーティマーケットやインターネット上で配布されています。正規の Android向けアプリマーケットである「Google Play」や、携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみ、アプリをインストールしてください。

意図せずインターネット上の不審なファイルをインストールしないよう、普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。

図5：Android 5 での「提供元不明のアプリ」設定画面例
（画面はバージョンや端末種類によって異なる）

不審なサードパーティマーケットには「Google Play」に似せたデザインで正規マーケットと勘違いさせるものもあります。偽マーケットに誘導されないよう、「Google Play」には登録されているアイコンからアクセスしてください。また Web からアクセスする場合は URL が正しいものかを確認することを推奨します。正規の「Google Play」からアプリを入手する際にも、アプリのデベロッパー、レビュー、インストール数などの項目をチェックすることで不審点に気づくことが出来る場合があります。

また攻撃者は、動画再生などの実行に必要なアプリ、便利な機能を実現するアプリ、システムアップデートやセキュリティ対策上必要なアプリ、などの名目で利用者を騙し、不正アプリをインストールさせる手口が見られています。メールや Web閲覧時に表示されるメッセージなどでアプリのインストールを促された場合には、特に注意してください。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正アプリや不正Webサイトのブロックに対応しています。

トレンドマイクロは、不正広告キャンペーン「AdGholas（アドゴラス）」について、ProofPoint の Kafeine氏と共に調査してきました。そして、ProofPoint は、2016年7月末、この調査結果を同社ブログ上にて報告しました。問題の不正広告キャンペーンは、2015年に開始され、最も活発な時には 1日当り百万人にものユーザに影響を及ぼし、その後 2016年に入り活動停止しました。この一連の不正広告活動において、エクスプロイトキット「Angler Exploit Kit（Angler EK）」と「Neutrino Exploit Kit（Neutrino EK）」が利用され、また、画像の中に不正コードを埋め込み隠ぺいする、「steganography（ステガノグラフィ）」の手法が利用されていました。

弊社は、「AdGholas」の調査上、Internet Explorer（IE）と Microsoft Edge（Edge）両方のブラウザに存在する脆弱性「CVE-2016-3351」について解析。この脆弱性が利用されると情報漏えいの恐れがありました。弊社は、当時はゼロデイだったこの脆弱性について Microsoft に報告し、その結果、9月13日のパッチチューズデイにおいて、Internet Explorer ではセキュリティ情報 MS16-104 で、Edge では MS16-105 としてセキュリティ更新プログラムが公開されました。

攻撃者は、脆弱性「CVE-2016-3351」を利用し、セキュリティリサーチャーによりこの不正広告活動に利用される不正コードが解析されるのを回避しています。そして、感染PC 上のファイルのファイル形式と拡張子を確認することを可能にしています。それほど重要な手法ではなさそうですが、実際に、リサーチャーが用いる「Fiddler」、「Python」、「Wireshark」のような解析ツールが PC にインストールされているかの確認に利用されていました。「CVE-2016-3351」は、2014年に確認されている「CVE-2013-7331」に類似しており、「CVE-2013-7331」も、利用された場合、情報漏えいにつながる恐れがあります。感染PC 上で上述の解析ツールを検知した場合、攻撃はそこで中止されます。それ以上不正なコードやプログラムのダウンロードは実行されません。なぜなら攻撃者は、リサーチャーによる不正広告の発信源への追跡を回避したいからです。このように拡散先を選別する手法は、リサーチャーの目から不正活動を隠ぺいするためによく利用されます。感染した PC が仮想マシンであるかかどうかを検知する、というのが典型的な手法です。

「AdGholas」の活動にはこの脆弱性が利用され、検出の回避に成功していました。この脆弱性とステガノグラフィを合わせて利用することで、リサーチャーによる不正活動の追跡を困難にし、脆弱性も見つけにくくしていました。

■ どのような脆弱性なのか

脆弱性は、IE と Edge の、リンクタグ＜a＞の MIMEタイプのプロパティ処理に存在しています。このプロパティには IE と Egde のみが対応しているため、Google Chrome や Firefox のような他のブラウザには影響がありません。典型的な攻撃の筋書きとしては、攻撃者が「a.href」に「.saz」を指定することにより、「a.mimeType」の値が返されるように設定します。PC に Fiddler がインストールされている場合、ここで「Fiddler Session Archive」と定義されます。Fiddler がインストールされていない場合には、例えば「SAZ File」といった、あまり特定されていない値が返されます。このようにして攻撃者は感染PC に Fiddler がインストールされているどうかを検知することが可能になります。

図1の擬似コードは、関数「get_MimeType」 がどのように機能するかを示しています。

図1：「get_MimeType」の擬似コード

関数「get_MimeType 」は、ハイパーリンクの URL を用いてファイルの拡張子を取得し、その拡張子は関数「GetFileTypeInfo」を呼び出すパラメータとなります。そして、レジストリを参照し必要な情報を入手します。

図２はリンクタグ＜a＞の「get_mimeType」のコールスタックです。

図2：「get_mimeType」のコールスタック

図3では、関数「MSHTML!CAnchorElement::get_mimeType」が、関数「MSHTML!GetFileTypeInfo」を呼び出し、ファイル形式を取得し、そしてレジストリを参照しています。

例えば、拡張子「.saz」を指定するとレジストリキー「HKCR\.saz\(Default)」を参照します。もし Fiddler がインストールされているなら、値は “Fiddler.ArchiveZip” になります。次にコードはレジストリキー「HKCR\Fiddler.ArchiveZip\(Default)」を参照し、その値は “Fiddler Session Archive” になります。

図3：レジストリを参照する

図4：関数「get_mimeType」と取得した値

• 0495d526575ac270e52eceb197a7d85436b2a64c

■ トレンドマイクロの対策

サーバ向け総合セキュリティ製品「Trend Micro Deep Security」およびエンドポイントの脆弱性対策製品「Trend Micro Virtual Patch for Endpoint（旧 Trend Micro 脆弱性対策オプション）」をご利用のお客様は、以下の DPIルールによって脆弱性を利用する脅威から保護されています。

• 1007924—Microsoft Internet Explorer And Edge Information Disclosure Vulnerability (CVE-2016-3351)

ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターにより今回の脅威をブロックします。

• 40712: HTTP: Microsoft Internet Explorer and Edge mimeType Information Disclosure Vulnerability

参考記事：

• 「Microsoft Patches IE/Edge Zero-day Used in AdGholas Malvertising Campaign」
  by Brooks Li (Threats Analyst) and Henry Li (Threats Analyst)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。

以前の記事では正規アプリになりすます究極手口として「リパック」を紹介しました。不正/迷惑アプリをスマートフォンに侵入させようとする場合、最初の段階では利用者にアプリのインストールを承諾させる必要があります。サイバー犯罪者は利用者をだまし不正/迷惑アプリをインストールさせようと様々な手口を施してきますが、特に利用者が欲しがる人気アプリに偽装する手口がよく見られます。このアプリ偽装の方法の中でも効果的な手法として用いられているのが、オリジナルのインストールファイル（APK）に不正/迷惑アプリを混入させる「リパック」の手口です。主にサードパーティのマーケットを経由し、「リパック」により改変された正規アプリを利用者に入手させる手口が定番化しています。今回はこの「リパック」手口の実例を、トレンドマイクロの調査の中で確認された人気ゲームの事例で検証します。

■ 人気ゲームになりすますリパック事例：「ねこあつめ」

「ねこあつめ」は日本の株式会社 Hit-Point が開発した人気ゲームアプリです。2014年の公開以来、現在までに Google Play上の表示では 500万回以上インストールされたとされています。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」が 2016年6月までに収集した検体の中から、この人気ゲームの APK をリパックした不審なファイルを 7個確認しています。

図1：トレンドマイクロの「Mobile App Reputation（MAR）」による正規の「ねこあつめ」プログラム情報
デベロッパー名、署名者名は正規の開発元である「Hit-Point」になっている

図2：「MAR」による同一プログラムのリパック版の情報
同じモジュールをリパックしているのでアイコンやバージョン情報は変わらないが、ファイルのハッシュ値が変わっている
また改変により正規の「Hit-Point」の署名は無効となったためデベロッパー名、署名者名は「Android」に変更されている

このリパックされた「ねこあつめ」 7検体のうち、3個は悪質な広告モジュールを追加してリパックしたものでした。これは他者が作成したゲームの人気にただ乗りして自身が広告収入を得ようという悪質な目的のものです。本来は不要な広告が表示されることで無駄なポップアップ表示や通信量の増加が起こります。これだけでも利用者にとってはある程度迷惑と言えますが、うち 2個の検体では、IMSI（International Mobile Subscriber Identity、国際携帯電話加入者識別番号）、IMEI（International Mobile Equipment Identity、国際移動体装置識別番号）、ICCID（IC Card Identifier、ICカード識別番号）、GPSなどによる地理情報など、個人を識別可能な情報を勝手に外部送信する活動や、他のアプリのインストールを試行する活動を、使用する悪質な広告モジュールが行うことが確認されました。このため、トレンドマイクロではこの 2個の検体を不正/迷惑アプリとみなし、「AndroidOS_Agent」などの名称で検出対応しています。

また、残り 4個の検体は単に新たなパッケージ名と署名を付けてオリジナルのゲームをリパックしただけのものでした。これらの単にリパックしただけのアプリは利用者にとっては特に害を及ぼす存在ではありません。では何のためにリパックするのでしょうか？それは、攻撃者や心掛けの悪い開発者がマーケット上での実績を得るためのものと考えられます。審査の甘いサードパーティマーケット上で他者が作成したアプリをリパックして配布することで、その利用者に対しアプリ配布元としての実績を高めることができます。攻撃者の中には、この手口で多くの無害なアプリを配布した実績を作り、最終的にアドウェアや不正/迷惑アプリを含めたリパックアプリの配布を狙う者がいます。

■ 人気ゲームになりすますリパック事例：「アングリーバード 2」

「Angry Birds（アングリーバード）」は、フィンランドの Rovio社が2009年に初公開し、現在まで全世界で大ヒットしているビデオゲームシリーズです。ゲームに登場するキャラクターグッズも世界的に販売され、2016年には映画も制作（日本では 2016年10月公開）されるなど根強い人気を誇っています。この「アングリーバード」は世界的人気ゲームだけあり、多くのリパックアプリが確認されています。トレンドマイクロ MAR が2016年6月までに収集した検体の調査で最も多くリパックが確認された「アングリーバード 2」だけに絞っても 280個のリパックバージョンが確認できました。

これら 280個の「アングリーバード 2」のリパック検体のうち、160個は悪質な活動を持つ不正/迷惑アプリとして検出対応を行っています。これらのうち、118個は以下のような不正活動を行う不正/迷惑アプリのモジュールを含めてリパックされたものでした。

1. 「Android OS がアップデートされていない」などの名目で他のアプリのインストールを促す
2. 不審なアダルトサイトなどにユーザ登録するよう利用者を誘導する表示を行う
3. アダルトコンテンツなどの再生用アプリと称し、他の不正/迷惑アプリのインストールを促す
4. 自身のアイコンやプロセスが表示されないよう秘匿する
5. 自身が利用者にアンインストールされないようにする
6. 常時広告を表示させる
7. 他の不正/迷惑アプリなどを利用者に気づかれないようにインストールする
8. 個人情報や連絡先の情報を無断で外部に送信する

図3（左）：Android のアップデートの名目で他のアプリのインストールへ誘導する不正/迷惑アプリの表示例
図4（中）：他のアプリのインストールを促す不正/迷惑アプリの表示例
図5（右）：利用者を不審なアダルトサイトへ誘導する不正/迷惑アプリの表示例

また、不正/迷惑アプリと判定された残りの 42個は悪質な広告モジュールを含めてリパックしたものでした。これらは IMSI、IMEI、ICCID、GPS などによる地理情報などの他に、電話番号、SMSアドレスなどの情報も外部送信する活動が含まれていました。また、他のアプリを利用者に気づかれないようにインストールする、といった不正活動を行うものもありました。

そして、280個のリパック検体のうち、120個は不正/迷惑アプリと判定されるべき有害な活動を行いませんでした。この 120個の検体のうち、80個はオリジナルを単純にリパックしただけのものであり、前出の通り不心得の開発者や攻撃者がサードパーティマーケットでの実績作りのために利用したものと考えられます。また、40個は一般的な広告モジュールを含めてリパックしたものでした。これらは人気ゲームにただ乗りして利益を上げようとする悪質な手口ではありますが、特に個人を特定する情報の送出は行わない、また「アングリーバード」の無料版ではもともと広告表示を行う、などの観点から利用者に大きな迷惑を及ぼすものとは言えないものとして検出対応は行っていません。

図6：「アングリーバード 2」リパックアプリの種別割合 br>

■ リパック事例まとめ

紹介した 2件のリパック事例をまとめると、「アングリーバード 2」の正規 APK をリパックしたアプリ 280個のうち、43%は利用者にとって無害なアプリ、57%は利用者にとって有害な活動を行う不正/迷惑アプリでした。「ねこあつめ」はサンプル数が少ないですが、29%が利用者にとって有害なアプリでした。ただし、「アングリーバード 2」の事例でも「ねこあつめ」の事例でも、リパックアプリには動作が不安定なものが含まれており、インストールしても起動しない、オリジナルのゲームがプレイできない検体などもありました。これは不正アプリや広告モジュールを含めてリパックする際の処理に失敗している、悪質な広告モジュールや不正アプリ本体が使用するサーバが不安定、などの理由があるものと考えられます。

リパックされた APK の署名に使用された公開鍵証明書に着目したところ、「ねこあつめ」と「アングリーバード 2」で同一の公開鍵を使用しているものが複数確認できました。ここからは、複数の攻撃者が海外、日本を問わず、人気アプリをリパックし、自身の利益のために利用している様子が読み取れます。いずれにせよ、これらのリパックアプリをインストールすることは最終的に攻撃者の利益に繋がるものと言えます。

■ 被害に遭わないためには

今回紹介した「ねこあつめ」の事例でも、「アングリーバード」の事例でも、正規アプリマーケットである Google Play 上からリパックアプリが配布されていた事例はありませんでした。このように、現在不正/迷惑アプリの多くは正規マーケットではなく、海外の不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」の他、運営者がはっきりしている信頼できるサードパーティマーケットからのみ、アプリをインストールするようにしてください。Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことで、サードパーティマーケットやインターネット経由での不用意なインストールから端末を保護できます。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」の設定を有効にしてインストールを行ってください。

利用者に気づかれないように他のアプリをインストールさせる、自身のアイコンやプロセスを隠す、などの不正活動のためにはデバイスの管理権限が必要です。したがって、インストール時にデバイスの管理権限を要求する場合、不正アプリの可能性が高いものとして注意すべき、ということも言えるでしょう。以下のようなデバイスの管理権限を要求する表示があった場合、アプリの内容に対して妥当かどうか、再確認してください。

図7：「デバイスの管理権限」を要求するインストール時の表示例 br>

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Webサイトのブロックに対応しています。