不正プログラム | トレンドマイクロセキュリティブログ

Linuxを狙う脅威の最新動向

Linux は、多くの点で Windows や Mac OS X といった他のオペレーティングシステム（OS）と類似しています。他の OS で一般的に利用されるソフトウェアと同等のソフトウェアが使われ、同様にグラフィカルインターフェースが採用されています。

とはいえ Linux は、重要な点で他の OS と異なります。その1つが、オープンソースのソフトウェアである点です。つまり、Linux の開発に使用されるコードは、無料での閲覧および編集が可能であり、さらに、技術を持つユーザが開発に寄与できるよう一般に公開されています。Linux カーネルの開発者である Linus Torvalds 氏は、Linux の開発者たちが無料で寄与し続けることを奨励しました。Linux が無料であり、PCプラットフォームで動作するという理由から、多くの支持者と熱烈な開発者をまたたく間に獲得していきました。このような背景で、ユーザが任意でコアコンポーネントの選択をすることが可能となった Linux は、非常にカスタマイズ可能な OS となりました。クライアントとして使われているだけでなく、Webサーバやネットワーク、データベースなど、特定の領域での使用に多くの支持を得ている OS です。企業や組織は、Linux を、少なくとも自社システムの重要な構成要素として採用してきました。しかし、最近の複数の攻撃事例からもうかがえるように、Linux の支持の増加は、セキュリティにおけるリスクの拡大にもつながりました。以下に、Linux を狙う最新の脅威４つの例を挙げます。

「Rex（レックス）」（2016年8月）－　Linux版ランサムウェア「Rex」（「Ransom_REXDDOS」として検出）」は、「分散型サービス拒否（DDoS）攻撃」を仕掛けるために感染PC をボットネットに改変し、DDoS攻撃を仕掛けられたくなければ、身代金を仮想通貨「Bitcoin（ビットコイン）」で支払うように要求します。2016年5月に確認された初期の「Rex」は、コンテンツ管理システム（CMS）「Drupal」を狙うランサムウェアでしたが、通常、CMSは自動バックアップ機能を備えているため、被害はあまり確認されませんでした。しかし、「Rex」はその後３カ月の間に更新され、機能を拡充しました。最新の「Rex」は、「Drupal」「WordPress」「Magento」といった CMS で脆弱性を抱える Webサイトをボットネットによって検索します。それから Webサイトの抱える複数の脆弱性を利用して Webサイトを改ざんし、Webサーバ上に感染します。「Rex」は、TLS による暗号化を有効にしてピアツーピア（P2P）通信「Kademlia」を利用し、他のボットから情報を受信するためにポート番号5099を監視することが確認されています。また、DDoS攻撃を仕掛けるために利用される感染サーバで、ビットコインのような仮想通貨をマイニング（発掘）する亜種も確認されているようです。

「Mirai（ミライ）」（2016年8月）－　8月初旬に確認された「Mirai」は、Linuxサーバ、そして「モノのインターネット（Internet of Things、IoT）」関連の機器を狙います。その多くは、Linux搭載のファームウェアが組み込まれたハードディスクドライブを感染させボットネット化し、DDoS攻撃を仕掛けるために利用します。「Mirai」についての報告によると、この不正プログラムは、同じく DDoS攻撃を仕掛ける機能を備えた不正プログラム「Gafgyt（ガフジット）」「Bashdoor（バッシュドア）」「Torlus（トアロス）」「BASHLITE（バッシュライト）」から発展した不正プログラムとなります。

「Unbreon（ウンブリオン）」（2016年9月）－　トレンドマイクロの脅威リサーチ部門である「Forward-looking Threat Research（FTR）チーム」は、最近、明らかにポケモンに因んで名付けられた新しいルートキットを確認しました。「Unbreon」（このポケモンの日本名は「ブラッキー」）と呼ばれるこのルートキット（「ELF_UMBREON」として検出）は、Intel のプロセッサおよび「Raspberry Pi（ラズベリーパイ）」に搭載されている ARMプロセッサを組み込んだ Linux機器を攻撃します。つまり、これらのプロセッサ搭載機器すべてへと攻撃対象を拡大させています。「Unbreon」は再起動しても活動を続け、ネットワークトラフィックを傍受し、ターミナルコマンドを傍受・変換し、攻撃者による感染機器への接続を可能にする機能を備えています。

「Unbreon」の作成は 2015年初頭に開始されましたが、この作成者は、少なくとも 2013年からサイバー犯罪のアンダーグラウンドで活発に活動していることが確認されています。リサーチャーはまた、「Unbreon」の検出が特に困難であることに言及しています。ルートキットは、管理者や解析者などから気付かれないように感染し、自身と他の不正プログラムの活動を隠ぺいします。また、セキュリティ製品やフォレンジックツール、その他システムのユーティリティツールによる検出から回避するように作成されています。

「LuaBot（ルアボット）」（2016年9月）－　「LuaBot」は、Linux に感染させるため作成された最近の不正プログラムのうち、最も新しいものです。「LuaBot」についての報告によると、「Mirai」と同様、「LuaBot」も Linuxサーバと IoT機器に感染し、ほとんどが DDoS攻撃を仕掛けるためのボットネット化に利用されます。トロイの木馬型不正プログラム「LuaBot」は、ELF形式のファイルとしてパッケージされており、通常 IoT機器に搭載されている ARMプロセッサを感染対象とします。「LuaBot」の詳細と感染経路については、まだ明らかにされていません。

■ トレンドマイクロの対策

Linux を狙った最新の脅威状況を検証すると、Linux についても、多くの企業で利用される他の OS と同様にセキュリティ対策導入の重要性を浮き彫りにしています。サーバ管理者およびシステム管理者は、ネットワークのセキュリティ対策だけでは十分ではないため、多層的な対策を取ることを推奨します。エンドポイントへの攻撃経路となる、例えばスマートフォンのような端末に対しても、可能な限り同様にセキュリティ対策を講じておく必要があります。弊社のサーバ専用のセキュリティ対策製品「ServerProtect™」は、Linuxサーバおよびシステム記憶装置のセキュリティ対策の実施を簡素化および自動化しつつ、不正プログラムやルートキット、その他の情報収集型不正プログラムから、効果的にシステムを保護します。

また、様々なサーバ環境に合わせたセキュリティ対策製品「Trend Micro Deep Security™」は、Linuxサーバを「Fairware（フェアウェア）」のような暗号化型ランサムウェアによる攻撃からも保護します。管理者に警報を発信し、攻撃の途中でその不正な活動を阻止することによって、感染したエンドユーザ経由の攻撃から、膨大な機密情報を保有する企業のファイルサーバを保護します。また、「総当たり攻撃（ブルートフォース攻撃）」や、サーバからサーバへ横展開する攻撃などを初期の段階で検出し、被害の恐れを抑止するために迅速に対応します。

参考記事：

「Linux Security: A Closer Look at the Latest Linux Threats」

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

「Encryptor RaaS」はなぜ活動停止に至ったのか

「サービスとしてのランサムウェア（Ransomware as a Service、RaaS）」として「Encryptor RaaS」（「RANSOM_CRYPRAAS.SM（クリプラース）」として検出）が初登場したのは、2015年7月にさかのぼります。この RaaS は、同じく金銭の窃取が目的の「Tox」や「ORX Locker」のような RaaS に匹敵するか、あるいは後継種になるかと予測されました。「Encryptor RaaS」は複数のオペレーティングシステム（OS）に対応し価格設定が手頃であったため、新参のサイバー犯罪者が初めて利用するには好都合であったことなどから、影響範囲が拡大する恐れがありました。この RaaS は、購入者によるカスタマイズによって攻撃手法が多様に変化する、という特徴から、ユーザや企業にとって軽視できない脅威となりました。

「Encryptor RaaS」の作成者は、匿名通信システム「The Onion Router（Tor）」のネットワークによってのみアクセスできる、会員専用のコントロールパネルを用意していました。このコントロールパネルを用いて狙ったユーザの PC を制御することが可能になります。取引には仮想通貨「Bitcoin（ビットコイン）」が指定されていました。「Cerber」のような他の暗号化型ランサムウェアでは、作成者が手数料として 40％を要求していたのと比べ、「Encryptor RaaS」では、手頃な価格を提示しています。会員は、収益の 5％というわずかな手数料を支払うことによって、ランサムウェア拡散を継続できました。

トレンドマイクロは、2016年3月初旬、「Encryptor RaaS」の作成者が、完全な検出回避機能の実装に取り組んでいたことを確認しました。検出回避機能には、RaaS が有効な証明書でデジタル署名されていること、そして、セキュリティ対策ソフトウェアによる検出を回避する手法と暗号化技術が繰り返し用いられていることが挙げられます。

しかし、それから 4カ月後、「Encryptor RaaS」は突如サービスを停止しました。厄介なランサムウェアが脅威状況から１つ減ったのは喜ばしいとはいえ、不都合な点も残りました。作成者は、復号のためのマスターキーを公開せず、削除してしまったのです。暗号化されたユーザのファイルを復号することは永久に不可能となりました。それでは、どのように「Encryptor RaaS」が突然サービス停止へと至ったのかを考察してみましょう。

■ 「Encryptor RaaS」の手口
「Encryptor RaaS」は、「Dark Web（ダークWeb）」上の掲示板、および表層Web で宣伝されていました。購入を希望するサイバー犯罪者は、「Encryptor RaaS」の作成者に、Tor ネットワーク経由で購入意思を示すだけで、あとは BitcoinWallet ID の設定方法さえ理解していれば、他の専門知識は持たなくても利用できました。BitcoinWallet ID は、拡散する暗号化型ランサムウェアに付与されます。また、会員は「customer ID（顧客識別番号）」も受け取ります。暗号化されるファイルには、各々固有の所有者が存在することを意味します。会員は身代金の金額を設定し、カスタマイズした独自の暗号化型ランサムウェアを拡散する経路を選択することができます。

C言語のみで書かれている「Encryptor RaaS」は、RC6 と RSA-2048 のアルゴリズムを利用し、231のファイル形式を暗号化します。また、被害者であるユーザ用のID が生成され、そのID を利用してユーザがコントロールパネルにアクセスし、身代金支払いの指示を読めるように作成されていました。

図1：暗号化されたファイルの各フォルダ内に残された脅迫状。英語とドイツ語で書かれている

「Encryptor RaaS 」のシステム全体は Tor のネットワーク内に隠されているため、当然、ファイルを暗号化されたユーザは、Tor のネットワークにアクセスする必要から、「Tor2Web」あるいは「Tor Browser」のようなサービスを使用するように指示されます。ユーザは、サイバー犯罪者と接触するためにチャット機能を利用することもできますが、大抵の場合は、「身代金を払えばファイルを復号する」のような、素っ気ない返信しか得られなかったようです。

図2：被害者用コントロールパネルログイン画面

図3：コントロールパネルにログインした後に誘導されるページ

■ 工夫を凝らした設計
商売のためには、顧客との取引を継続しなければなりません。それには、サイバー犯罪者にとって利用価値がある RaaS である必要があり、セキュリティ対策ソフトウェアによる検出を回避できる機能が望まれます。そのような動機から、作成者はデジタル署名サービスの提供も開始しました。作成者は、窃取された Authenticode対応有コードサイニング証明書各種へのアクセスが可能であることを宣伝し、それにより「Encryptor RaaS」に無料でデジタル署名することができる、と言明していました。また、オークションでも証明書を販売していました。

図4：窃取されたコードサイニング証明書をオークションの最高額入札者に提供する

図5：Windows版「Encryptor RaaS」にデジタル署名するため利用される証明書の例。コードサイニング証明書の窃取および悪用は、不正プログラムの検出を回避するために利用される手法の一つで、特に誰でも無料で利用できる認証局によって発行された証明書が悪用されやすい

作成者の尽力が功を奏したようで、「Encryptor RaaS」は、時として検出を完全に回避できるまでに強化されていました。最新のふるまい検知のような手法を除く静的解析による検出を、35回中2回、回避していることが確認されています。もう1つ、Linux サーバおよび Linux 搭載デスクトップ PC を狙う亜種（「RANSOM_CRYPRAAS.B」として検出）も販売されていましたが、弊社はこの亜種がその宣伝の通り動作することを確認しています。

図6：2016年5月5日時点での「Encryptor RaaS」の検出率

「Encryptor RaaS」の作成者は、「jeiphoos」というハンドルネームを用い、アンダーグラウンドのフォーラムやソーシャルメディアにおいても活発に活動していました。弊社は、インターネット上を詳細に調査した結果、「Encryptor RaaS」に直接関与すると見られる人物の Facebook の投稿メッセージを確認しました。証拠となるのは、Facebook への投稿日が2016年3月1日で、「Encryptor RaaS」が新しい亜種として現れた日時と同じであることです。また、この人物の Twitter のツイートから、ビットコインの取引に非常に興味を示していたことが確認されています。

図7：「Encryptor RaaS」の機能について宣伝する Facebook の近況アップデート（左）、および Twitter のツイート（右）

■ 活動停止の決断
「Encryptor RaaS」は勢いに乗っていると思われました。しかし、調査の初期で、「Encryptor RaaS」の利用していたコマンド＆コントロール（C&C）サーバの1つが、作成者によって放棄されたのか、あるいは誤ってインターネット上で開放されたのか、いずれにしても Tor で匿名化されていない状態で露出してしまったことが確認されました。その結果、検索エンジン「Shodan」によってインデックスされたため、「Encryptor RaaS」は正規のクラウドサービス上でホストされていることが発覚しました。そして 6月末には、「Encryptor RaaS」のシステムの1つが差し押さえられました。

図8：「Encryptor RaaS」の、Shodan による検索結果（左）と、差し押さえられた C&C サーバの１つ（右）

続いて、「Encryptor RaaS」の全システムが直ちに閉鎖されました。これは、おそらく作成者自身が自衛手段として行ったものと見られます。数日後、さらに 3つの C&C サーバも差し押さえられました。そして 4日後、「Encryptor RaaS」の全システムがインターネット上に再び現れましたが、そこで作成者がにわかに運営停止を告知しました。

図9：「Encryptor RaaS」のサーバの３つが差し押さえられたと告知する作成者

図10：「Encryptor RaaS」の運営停止を告知する作成者

突如の運営停止の告知の後、暗号化サイト、および「Encryptor RaaS」の主要な Webサイトが次々と閉鎖されました。マスターキーが公開されないまま、午前零時までにはすべてが閉鎖されました。弊社は、この「午前零時」が正確にどこの午前零時であったかを確認するため、「Encryptor RaaS」の Webサイトを綿密に調査しました。その時間は作成者の居住する地域のタイムゾーンである可能性があります。

図11：ファイルを暗号化されたユーザ向けに示された、運営停止を通知するメッセージ

付加情報として、会員用のサポートチャットと掲示板は、2016年4月の時点で既に、作成者と RaaS の購入者を含む常連会員との論争が繰り広げられていました。「Encryptor RaaS」は、2016年7月5日午後5時（GMT）に閉鎖し、その際、作成者がマスターキーを削除すること、故にファイルの復号は不可能であることを被害者に告げていました。

図12：ファイルを暗号化されたユーザ向けに示された、ファイルの復号が不可能であることを通知するメッセージ

「Encryptor RaaS」の興亡の背景には、いくつかのストーリーが交錯しています。サイバー犯罪者にとっては一獲千金のもうけ話、過失から発生した一連の事件、そして、この事例は、サイバー犯罪者は誠実さなど持ち合わせていないことの証明ともなりました。被害者にとっては金銭に代えがたい価値のある復号鍵であっても、サイバー犯罪者にとって閉鎖後は何の意味もありません。

■ トレンドマイクロの対策
「Encryptor RaaS」の興亡は、ランサムウェアが引き起こす恐れのある混乱を浮き彫りにしています。また、この事例はバックアップの重要性、そして入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する多層的なセキュリティ対策の重要性についても強調しています。

トレンドマイクロは「Encryptor RaaS」を「RANSOM_CRYPRAAS.SM」として、またLinuxを狙う亜種を「RANSOM_CRYPRAAS.B」として検出対応します。「侵入の痕跡（Indicators of Compromise、IOC）」に関するリスト、署名されている亜種・されていない亜種、および Linux版の亜種についてのハッシュ値はこちらをごらんください。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security（CAS）」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスターコーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスタービジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスタークラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

参考記事：

「The Rise and Fall of Encryptor RaaS」
by Stephen Hilt and Fernando Mercês

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

複数のエクスプロイトキットに利用される「CERBER 4.0」

暗号化型ランサムウェア「CERBER」のバージョン 3.0が確認されてから 1カ月後、バージョン 4.0（「RANSOM_CERBER.DLGE」として検出）がリリースされました。トレンドマイクロは、「CERBER」を拡散する「malvertising（不正広告）」キャンペーン 3件、および改ざんされた Webサイトのキャンペーン 1件について追跡し調査を行いました。「CERBER」最新版については、セキュリティリサーチャー Kafeine氏によるランサムウェア広告についての報告にも記載されています。

「CERBER 4.0」への更新には、脅迫状が HTML形式から HTA形式へ変更したことが含まれます。また、「CERBER」の作成者は、暗号化したファイルの拡張子に「.cerber3」を一貫して利用するのを廃止し、感染ごとに生成した無作為な文字列を、ファイルの拡張子として利用しています。2016年10月初めから急速な拡散が確認されているところから、「CERBER4.0」への更新は、サイバー犯罪者の注目を集めていると推察されます。

広告には以下のように記載されています。

Cerber Ransomware 4.0	Cerber Ransomware 4.0 （訳）
– FUD на топовых антивирусах (скантайм / рантайм)	主要なセキュリティ対策製品による検出100％回避（スキャンタイムおよびランタイム）
– Обход мониторинга активности (массовое изменение, обход ханипотов итд.)	活動監視の回避（バッチ更新、ハニーポット回避）
– Обход всех известных anti-ransomware программ	既存のランサムウェア対策製品の回避
– Работает 5 крипторов 7 дней в неделю	5種の暗号化機能の、年中無休活動
– Обновленный морф	モーフィング機能の更新
– Новые инструкции на 13 языках + новый фон	13カ国語の説明書、および新デザイン
– Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет)	ドメインを経由してブロックチェーンの同期（ブロックチェーンランディングページが停止されていても問題なし）
– Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования	暗号化ファイルの拡張子をランダムな文字列に変更　暗号化アルゴリズムの更新
– Новые типы файлов для шифрования	新しい形式ファイルの暗号化
– Закрытие запущенных процессов всех топовых баз данных	実行中のすべてのプロセスのデータベースを閉じる
– Обновленный JS Loader	JS Loaderの更新
– Новые onion домены и многое другое.	新Onionドメインその他

■人気上昇の「CERBER 4.0」
過去に報告しているように、「CERBER」は 2016年3月に確認されて以来、最も広く拡散している悪名高いランサムウェアの1つです。多くの機能を備える「CERBER」は、ごく初期のバージョンでさえも「サービスとしてのランサムウェア（Ransomware as a Service、RaaS）」としてアンダーグラウンド市場で取り引きされてきました。迅速な更新も、エクスプロイトキットに拡散させる不正プログラムとして、多くのサイバー犯罪者に「CERBER」が好まれる理由となりました。これは、新しい脆弱性を狙い、ランサムウェアを継続して利用するエクスプロイトキットについての弊社の調査結果から明らかです。

「CERBER 4.0」を好んで利用するキャンペーンに、「Pseudo Darkleech」があります。絶えず変化する特徴を持つこのキャンペーンは、通常、改ざんされたWebサイトを利用してランサムウェアを拡散します。以前は「CrypMIC」と「CryptXXX」を拡散していましたが、弊社のリサーチャーは、このキャンペーンが 2016年10月1日に「CERBER４.0」の拡散に乗り換えたことを確認しています。

図1：このバージョンの「Pseudo Darkleech」は、改ざんされたサイトに直接「Rig Exploit Kit（Rig EK）」のリンクを埋め込む

図2：別のバージョンの「Pseudo Darkleech」は、ユーザをリダイレクトするサーバへ誘導し、そこから Rig EK へ誘導する

「Pseudo Darkleech」より以前に確認されている他の２つの不正広告キャンペーンも、「CERBER 4.0」を利用しています。「Magnitude Exploit Kit（Magnitude EK）」を利用しているキャンペーンは、もう長い間「CERBER」を拡散しています。Magnitude EK は 10月3日に更新され、台湾、韓国、香港、シンガポール、中国を中心としたアジア地域で継続して「CERBER4.0」を拡散しています。

もう一方のキャンペーンは、カジノを装う不正広告を多用します。このキャンペーンは、以前、多くの国で「Andromeda」や「Betabot（トレンドマイクロではNeurevtとして検出）」を拡散していました。10月4日、弊社のリサーチャーは、キャンペーンが拡散する不正プログラムが「CERBER 4.0」へ変更されたことを確認しました。これは「CERBER 4.0」の拡散を弊社が確認した最初の例でした。そしてこのキャンペーンは Rig EK を利用していましたが、Rig EK も、過去に「CERBER」を拡散していたことがあります。

図3：Rig EK の不正広告キャンペーンで、「CERBER 4.0」が拡散される

図4：カジノをテーマとした偽広告

■現在も活動する「Nuetrino EK」、「CERBER 4.0」を拡散
2016年9月8日、弊社が確認した新しい不正広告キャンペーンは当時「CERBER 3.0」を拡散していましたが、10月3日に「CERBER 4.0」に変更し、米国、ドイツ、スペイン、台湾および韓国で拡散しました。「CERBER 4.0」を拡散するキャンペーンには Nuetrino EK が利用されていましたが、興味深いことに、作成者メンバーが Nuetrino EK の提供を停止したと告知しました。セキュリティリサーチャーの Kafeine氏は、9月9日に、Neutrino EK 作成者側からの「提供は終了する、新しくレンタルサービスもしないし、期間の延長もしない」というメッセージを報告しています。Neutrino EK の後退とも思われるこの件の理由については、Nuetrino EK の作成者メンバーがサイバーセキュリティ企業の目を恐れたことが推測されています。もう 1つの説は、大規模な拡散活動を手掛ける VIP顧客のみにエクスプロイトキットの提供をする、プライベート経営の方針に変更したという見方です。

図5：Neutrino EK を利用する不正広告が「CERBER」を拡散

■トレンドマイクロの対策
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1 ルールに従いバックアップを取っていれば、ランサムウェア被害に遭ったとしても、損失したデータの復旧が可能です。

3つ以上のコピーを保存
2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

こうした不正広告によって拡散するエクスプロイトキットの被害に遭わないために、インストールしているソフトウェアおよびオペレーションシステム（OS）を最新の状態にしてください。そのようにして、ランサムウェア被害だけでなく、他の様々な攻撃によるリスクも低減することができます。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスターコーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスタークラウド」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

参考記事：

「Several Exploit Kits Now Deliver Cerber 4.0」
by Joseph C Chen (Fraud Researcher)

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

iOS向けサードパーティストア「Haima」用ソフトに Apple ID 流出の危険性

トレンドマイクロは、2016年9月13日、iOS向けサードパーティのアプリストア「Haima」について報告しました。同記事では、Haima が正規アプリに広告のモジュールを挿入しリパックアプリを作成して、収益を得る手口について説明しています。

Haima が人気である理由の1つに、「Haima iOS Helper（Helper）」というソフトウェアが、このアプリストアを利用しやすくしていることが挙げられます。この Helper は、Haima で取り扱うアプリのインストールや、ユーザ機器の管理を容易にする補完機能を備えています。このような機能は、iTunes が iOSユーザに対して果たす役割と類似したものと考えることができます。

しかし、この Helper は、使用方法によっては AppleID の流出に繋がる可能性があります。弊社は、これを「TSPY_LANDMIN.A」として検出対応します。

■まずは正規の iTunes をダウンロード
Helper は、Haima からダウンロードされます。そしてダウンロード後、特定のバージョンの iTunes　12.3.2.25 を同アプリストアから直接ダウンロードするよう指示します。ダウンロードされる iTunes のファイルは Apple が提供している正規のものと同一ですが、最新のバージョンではありません。

図1：iTunes をダウンロードするよう促される（赤文字は赤枠部分の日本語訳）

図2：Haima のサーバから iTunes がダウンロードされる

Helper は iTunes を直接利用することはありません。この目的は、このバージョンの iTunes だけに付属してくる iPhone のドライバをインストールさせることにあります。

■更新プログラムのパッケージを追加する
iTunes がインストールされると、次に、更新プログラムのパッケージが Haima のサーバからダウンロードされます。

図3：更新プログラムのパッケージがダウンロードされる

図4：更新プログラムのパッケージの内容

更新プログラムのパッケージのファイルは、Haima のディレクトリへ解凍されます。

図5：Haima ディレクトリ内の更新プログラムのパッケージ

この更新プログラムに含まれているファイルは、実際、Apple による正規のファイルです。Haima は、バージョン 12.3.2.25 を使って iTunes のプロトコルを解析したため、Helper はこの特定のバージョンの DLL を利用します。iTunes がその後アップデートされた場合でも、iOS端末にアプリをインストールしたり、データを同期させたりすることが可能となります。

図6：DLL のバージョン

■アプリのインストール方法
Haima は、アプリをインストールするために 2通りの方法を提供しています。iOS端末上では、インストールされるアプリはすべて署名されている必要があります。Haima は、署名に関して 2つの方法を利用しています。1つは、企業内配布用アプリの証明書を利用する方法、もう1つは正規の App Store から入手した Apple の提供するアプリを利用する方法です。図7は、Helper が、ほぼアプリストアのように機能する様子を示しています。

図7：Haima の Helper ソフト

Helper はアプリストアに求められる機能をすべて揃えており、カテゴリ別、必須、おすすめなどのリストがあります。その中には正規の iOS向け App Store で公開されているアプリと同じものもありました。図7 で赤く囲んだものが、該当するアプリです。

Helper は、企業内配布用アプリの証明書で署名されたアプリを直接インストールすることも Apple Store から Apple のアプリをインストールすることもできます。企業内配布用アプリの証明書の利用については後述します。Apple Store からアプリのインストールは、再び Haima に接続し Apple ID を入手することによって実行されます。

図8：Apple ID をリクエストする（赤文字は赤枠部分の日本語訳）

図8は、アプリのダウンロードにはApple ID が必要であり、確認をクリックして Apple ID を取得しようという内容が書かれています。

図9：Apple ID を取得する（赤文字は赤枠部分の日本語訳）

図９は、セキュリティ環境のチェックも含めた認証プロセスが進行する様子を示しています。

図10：Apple ID 取得成功（赤文字は赤枠部分の日本語訳）

Apple ID の取得が完了すると、図10が表示されます。ユーザは取得した Apple IDアカウントのパスワードさえ知りませんが、ヘルパーアプリケーションは、この Apple ID を利用し、ユーザの iPhone へどんなアプリもインストールすることが可能です。

図11：Apple ID を利用してアプリをインストールする（赤文字は赤枠部分の日本語訳）

ユーザが以前 App Store から該当アプリをインストールしていた場合、Helper は、ユーザにそのアプリをアンインストールするように要求します。ヘルパーアプリケーションは、まず端末上の企業内配布用アプリの証明書を更新し、その後、アプリを端末にインストールします。

図12：アプリをアンインストールするように要求する（赤文字は赤枠部分の日本語訳）

図13：企業内配布用アプリの証明書を更新する（赤文字は赤枠部分の日本語訳）

■アプリの署名を書き換えて Apple の証明書取り消し措置を回避
上述の通り、Helper は、アプリのインストールに企業内配布用アプリの証明書を利用します。Apple は、企業内配布用アプリの証明書が悪用される恐れを十分理解しているため、悪用されていた場合証明書をを無効にします。Haima は、利用する企業内配布用アプリの証明書を数日ごとに取り換えます。加えて、Haima は証明書が露呈するのを回避するため、アプリへの署名の書き換えを実行します。

Helper は、アプリを端末にインストールする前に、有効な、新しい企業内配布用アプリの証明書を利用して再署名します。こうすることにより、古い方の企業内配布用アプリの証明書が Apple によって無効とされることを回避できます。

図14：ダウンロードされた古い企業内配布用アプリの証明書と新しい Provisioning Profile

図15：新旧の証明書の Mach-O ファイル

図１6：旧証明書から新しい証明書へ

■ユーザの Apple ID が漏えいする恐れ
実はアプリをインストールする、３つめの方法があります。Haima の提供する Apple ID の利用を希望しない場合、ユーザは自身の Apple ID を使用することができます。それには、ユーザの Apple ID とパスワードを入力するだけです。

図17：Apple ID の入力を要求するログイン画面

しかし、これは良い手ではありません。なぜなら、Helper によってユーザ名とパスワードが保持されるからです。これにより、利用者の Apple ID が流出する可能性が生じます。

図18：Apple ID が漏えいするコード

■PC に同期される画像
初期設定で、iPhone に保存されている画像は PC に同期するよう設定されていません。しかし、Helper は、自動的にユーザの画像をユーザの PC に同期させます。

図19：同期された画像

■Helper に含まれる不正なコード
Helper は、また、情報を窃取する関数を呼び出すコードを複数含んでいます。しかし、これらは機能していないか、あるいは呼びだされないことが確認されています。

図20：不正なコード

■まとめ
Haima の Helper は、このサードパーティアプリストアを利用しやすくする重要な要素です。企業内配布用アプリの証明書と App Store へのログインを管理することによって、ユーザ側の使用感を面倒を感じさせないものにしています。

しかし同時に、深刻なセキュリティ上のリスクを招きます。ユーザの Apple ID 認証情報の保持は、それ自体が深刻なリスクです。コードの中に含まれる不正な関数の存在も、確かに懸念されます。サードパーティのアプリストアの利用は、一般的にセキュリティ上の問題を生じやすいため、避けてください。今回の事例は、弊社がそのように推奨する根拠を具体的に示しています。

弊社は、以下のファイルを「TSPY_LANDMIN.A」として検出対応します。

SHA1ハッシュ値	ファイル名
1fd7073ffd23e6b57be7418be24b78cd3694fe2f	IPhoneHelperDll.dll
8d13df388e1dae9d0100967190d4d4b32bd25b8f	00_4.3.7.exe
ec58ec2ecc019d5c927acfa7520550c35d1b480c	Haima.exe

参考記事：

「Helper for Haima iOS App Store Adds More Malicious Behavior」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

ショッピングシーズンに合わせて更新された POSマルウェア「FastPOS」

「販売時点情報管理（Point of sale 、POS）」を狙う POSマルウェアのほとんどは、POS端末のメモリ情報の収集、同端末メモリの読み取り（RAMスクレイピング）、情報の保存と送出という手順を踏みます。しかし「FastPOS（ファストポス）」（トレンドマイクロでは「TSPY_FASTPOS.SMZTDA」として検出対応）は、これまでの亜種と異なり、仲介手順を省略し、クレジットカード情報窃取後、直ちにコマンド＆コントロール（C&C）サーバへ情報送出します。

「FastPOS」は、「Fast」の名が示すとおり、隠ぺい機能も駆使して可能な限り素早く大量のデータを窃取します。「上半期セキュリティラウンドアップ」でも言及されたとおり、POSマルウェアがもはや新しい脅威とはいえない中、「FastPOS」は小売業やその顧客を狙って多用されています。こうした点から、小売業のショッピングシーズンに合わせて「FastPOS」が更新されても意外ではありません。

弊社の解析によると、「FastPOS」の検体は 2016年9月第2週にコンパイルされていました。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」のデータからも中小・中堅企業への攻撃が確認されています。「FastPOS」作成者は、コードの機能性を確認する実証テストでも時間を無駄にしていないようです。使用する C&Cサーバのドメインが 2016年8月中旬に登録され、それから攻撃キャンペーン実施まで 1カ月しか経っていません。2015年に確認にされた前回の攻撃よりも早いペースです。

■モジュール化、アーキテクチャへの配慮
弊社は、北米を拠点にした企業のエンドポイントでネットワーク接続の異常を監視していた際、今回の更新版「FastPOS（「TSPY_FASTPOS.A」として検出）」を確認しました。形式とパスワードに「cdosys」と「comdlg64」、情報送出に「HTTP POST」の代わりに「HTTP GET」、Firefox向けには簡易な「HTTP User Agent」の文字列使用など、こられが更新版の証拠となりました。

図1：「HTTP GET」で情報送出する「FastPOS」

「FastPOS」の初期の更新では、キー操作入力情報の収集（キーロガー）、RAMメモリの読み取り（RAMスクレーパー）、自己更新など、各機能に1つのプロセスを割り当てるマルチスレッド方式でした。しかし今回の更新では、１つのファイルにすべて書き込む代わりに自身のリソース内に複数のコンポーネントを隠ぺいする形式となっています。

今回の更新では、以下のコンポーネントが実装されました。

Serv32.exe – メールスロットを作成・監視し、内容を C&Cサーバへ送出するメインサービス
Kl32.exe – キーロガー用コンポーネント（32ビット版）
Kl64.exe – キーロガー用コンポーネント（64ビット版）
Proc32.exe – RAMスクレーパー（32ビット版）
Proc64.exe – RAMスクレーパー（64ビット版）

注目すべきは、32ビット版と 64ビット版でコンポーネントが分かれている点です。双方とも自身のリソースに保管され、侵入した PCに応じたコンポーネントが Windows のフォルダにコピーされ、実行されます。PC へ侵入後、“Kl32.exe” や “Kl64.exe” は “kbd.exe” へ、“proc32.exe” や “proc64.exe” は “servproc.exe” へとファイル名が変更されます。恐らく、感染PC のアーキテクチャが常時明記される煩わしさを回避する処置だと思われます。

■各コンポーネントの動作
各コンポーネントはシステム全体に以下のように動作します。まず、メインファイルがすべてのコンポーネントを取り出し、それぞれの制御をメインサービス（”serv32.exe”）に委ねます。メインサービスは、中枢の通信媒体を作成・監視し、受信したすべての情報を C&Cサーバへ送出します。キーロガー用コンポーネント（“Kl32.exe” もしくは “Kl64.exe”）はキーボードをフックし、キー操作入力情報を C&Cサーバへ送出するため、メインサービス（“serv32.exe”）と通信します。RAMスクレーパーのコンポーネントは、プロセスを監視してクレジットカード情報をスキャンします。スキャンされた情報は、メインサービス（“serv32.exe”）へ送出されます。

図2：「FastPOS」の各コンポーネントの機能

窃取された情報はメールスロットに収納されます。通常、メールスロットは、アプリケーション向けのメッセージ保存や探索の役割を果たします。セキュリティ対策製品の検出回避でのメールスロット利用は、新しい手法ではなく、2015年3月に確認された「LogPOS（「TSPY_POSMAIL.A」として検出対応）」が最初にこの手法を用いた POSマルウェアでした。メールスロットはメモリ常駐の一時ファイルで、これにより攻撃者は、感染PC にファイル作成などの痕跡を残さずに情報を保存できます。

■モジュール化による共同作業
「FastPOS」作成者が今回の更新に用いた方法は、注目に値します。モジュール化された不正プログラムの場合、各コンポーネントが相互作用しない限り動作しないようにプログラムできるため、検出が困難になります。他には、相互作用に依存せず、各コンポーネント自律的に実行できる亜種もあります。ただしこの場合、コンポーネントの引数が周知されます。

あるコンポーネントを確認できたとしても、それにより他のコンポーネントが確認できるわけではありません。例えば、メインサービス（“serv32.exe”）やRAMスクレーパー（”proc32.exe” もしくは ”proc64.exe”）はサービスとして実行され、確認が可能で削除も容易ですが、キーロガーのコンポーネント（”Kl32.exe” もしくは ”Kl64.exe”）は、正規プロセス “explorer.exe” のメモリにコードが組み込まれているため、その存在に気づくことも困難です。

図3：キーロガーのコンポーネントが実行中（左）だが、メインサービスと RAMスクレーパーのコンポーネントのみ可視化されている（右）

図4：正規プロセス “explorer.exe” に組み込まれたキーロガーのコンポーネント

メールスロットの利用は必要に迫られた改良点ともいえます。「FastPOS」の初期バージョンは、プロセスが1つだけ実行されていたため、メモリ上での情報の記録が容易でした。しかしモジュール化された今回の更新版では、中枢の保管場所ですべてのコンポーネントをファイルを利用せずに情報を記録するが必要あり、メールスロット活用が不可欠です。

■ショッピングシーズンに合わせた活動
今回の更新からは、情報保管場所をメモリからメールスロットに変更し、同一プラットフォームの各バージョン（32ビット版や64ビット版）向けを作成するなど、作成者が新たな手法を積極的かつ大胆に試みている様子がうかがえます。初期の更新は昨年 9月頃に実施されましたが、検体の解析から今回の更新版もほぼ同様の年間スケジュールが確認されました。開発だけでなく攻撃開始も、POS端末がフル稼働するショッピングシーズンに合わせたスケジュールであると推測されます。

■トレンドマイクロの対策
トレンドマイクロの製品は、「FastPOS」に関連する脅威からユーザを保護します。POSマルウェアから POS端末を保護するために「ウイルスバスター™ コーポレートエディション」「ウイルスバスタービジネスセキュリティサービス」が有効です。また、POS端末上で実行されるアプリケーションを管理し、不正プログラムの実行を防止するために「Trend Micro Safe Lock™」の導入をお勧めします。

「FastPOS」の C&Cトラフィックは、外部の不正な URL への通信をブロックする「Webレピュテーション機能」によってブロックされています。また、ネットワーク監視ソリューション「Deep Discovery Inspector」は、ネットワーク内に侵入した不正プログラムの通信を検知し、感染端末の存在を早期に警告します。

ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターにより今回の脅威をブロックします。

24338: HTTP: TSPY_FASTPOS.SMDRP (FastPOS) Checkin
25042: HTTP: FastPOS Sending Status Logs

「FastPOS」を識別するために弊社で作成した YARAルールはこちらを参照してください。

この脅威に関連する SHA1ハッシュ値：

8e7761e123026d9ce6a108e77dd677ee5d6245e4 – 「TSPY_FASTPOS.A」として検出

他に、以下の検出名が含まれます。

TSPY64_FASTPOS.A
TSPY_FASTPOS.SMA
TSPY_FASTPOS.SMDRP

参考記事：

「FastPOS Updates in Time for the Retail Sale Season」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

2016年10月18日、「割賦販売法の一部を改正する法律案」が閣議決定され、第192回臨時国会に提出されることになりました。この改正法律案には、クレジットカード情報の適切な管理、販売業者に対する管理強化、FinTech（フィンテック）の更なる参入を見据えた環境整備、特定商取引法の改正に対応するための措置といった、大きく 4つの項目が盛り込まれています。クレジットカード情報を狙ったサイバー犯罪が横行する中で大きな動きの一つとなりそうです。

今回の改正案の中でも特に注目すべきが、「クレジットカード情報の適切な管理等」のポイントです。これは、クレジットカード情報の漏えい対策や、決済端末の ICチップ付きクレジットカード対応といった、クレジットカード情報の適切な管理ならびに不正使用の防止を販売業者に対して義務付けるというものです。これらの対応が必要とされる背景には、クレジットカード情報の窃取や不正使用といったサイバー犯罪の世界的な増加があります。

今月公開した記事にもある通り、クレジットカード情報を窃取するサイバー犯罪の一つには、ECサイトのようなクレジットカード情報を処理、保持する企業やシステムを狙った脅威があります。もう一つは、小売業など店頭でクレジットカードを取り扱う企業やシステムを狙ったサイバー犯罪です。クレジットカード決済やネットショッピングの世界的な普及に伴い、クレジットカード情報の窃取や偽造カードによる不正な決済といった犯罪の防止は、クレジットカードを取り扱うすべての事業者に求められるものになっています。

■狙われるクレジットカード情報
2016年9月にトレンドマイクロが発表した「法人組織におけるセキュリティ対策実態調査2016年版」においては、回答者の 10.2％が運営する ECサイトにおいてサイバー攻撃被害を受けたと回答しています。生活環境の変化や価格競争といった様々な背景が考えられますが、近年では小売りを専業とする企業だけでなく、規模、業種問わず様々な企業が運営する ECサイトが台頭しています。これまで公表されている被害事例を見てみると、大半のケースはクレジットカード情報を保持するシステムにおいて発生していますが、非保持の ECサイトにおいても被害が確認されています。

ホテルやレストランといったサービス業や物品販売などを行う小売業では、「販売時点情報管理システム（Point-Of-Sale、POSシステム）」を使って決済を行いますが、ここ数年サイバー犯罪者が攻撃の対象としているシステムの 1つがこの POSシステムになります。近年のオープン化やクレジットカード決済の普及に伴い、クレジットカード決済に対応した POSシステムは日本国内でも我々の生活の中で当たり前のものになりました。

「法人組織におけるセキュリティ対策実態調査 2016年版」においても、13.0％の回答者が 2015年に POSシステム・ネットワークにおいてサイバー攻撃の被害に遭っていると回答しています。日本国内における POSシステムのサイバー攻撃事案はこれまでほとんど公になることはありませんでしたが、記憶に新しいところではホテル事業を行うハイアットにおいて日本国内 4拠点を含む世界 54カ国 250拠点で POSシステムがサイバー攻撃の被害に遭っていたことが2016年1月に明らかになりました。また記憶に新しいところでは、ホテル事業を行うヒルトン・ワールドワイドから流出したクレジットカード情報を使って、カード偽造ならびに不正購入をしていた容疑者が逮捕されるという事案も 2016年9月にありました。

このような被害を POSシステムにもたらす脅威が、「POSマルウェア」と言われる特殊な不正プログラムになります。クレジットカード決済を行うことができる POS端末で取り扱われるカード情報を不正に抜き取る犯罪手法のひとつで、ここ数年 POSマルウェアによる被害は世界的にも深刻なものになってきています。弊社のクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network（SPN）」のデータによると、POSマルウェアの検出が確認された端末台数は、2015年全世界で 1,166件と対前年比約2.4倍、国内でも 55件と対前年比約6.1倍増加しています。2016年1～3月期が POSマルウェアの検出台数が最も多かった時期で、全世界で 520件、国内でも 31件確認されております。2016年の検出台数は、9月末時点で全世界で 1,041件、国内で 50件となっており、年末には昨年の検出台数を世界的にも国内的にも上回るものと予測されます。

図1:POSマルウェア検出台数推移

■深刻な POSマルウェア被害、国内外で政府が対応
POSマルウェアの脅威が深刻になり始めたのは、2013年年末に発覚した米国小売大手 Targetの事例ですが、2014年に入り、以降米国では小売、外食、配送、外食、娯楽、駐車場といったクレジットカードを取り扱う実にさまざまな業種の企業において、POSマルウェアによるクレジットカード情報漏えい被害に直面しています。米国では、このような状況をふまえて、2014年10月17日（米国時間）には、大統領令発令という形でバラク・オバマ米国大統領がセキュリティ強化を促すという異例の対応をしています。大統領令発令からちょうど2年がたちましたが、残念ながら米国では POSマルウェアによるカード情報漏えい被害がここ数カ月で立て続けに公になっています（図2）。

	時期	会社	業種	国	被害内容
1	2016年10月	ヴェラ・ブラッドリー	ファッション	米国	2016年7月から約2カ月間店頭で取り扱われたカード情報が流出の可能性
2	2016年9月	Hutton Hotel	ホテル	米国	2012年9月以降合計約3年間ホテル、飲食拠点で取り扱われたカード情報流出の可能性
3	2016年8月	オラクル	情報通信	世界	レガシーシステムに不正プログラム混入。全世界 33万か所に影響の可能性。
4	2016年8月	エディ・バウアー	ファッション	米国	2016年1月から約6カ月間店頭で取り扱われたカード情報流出の可能性
5	2016年8月	HEI Hotels & Resorts	ホテル管理	米国	2015年3月から約17カ月間運営するホテル拠点 20か所で取り扱われたカード情報流出の可能性
6	2016年8月	Millennium Hotels & Resorts North America	ホテル	米国	2016年3月から約3カ月間飲食店等で取り扱われたカード情報漏えいの可能性
7	2016年8月	Noble House Hotels & Resorts	ホテル	米国	2016年4月から約5カ月間米国 13拠点で取り扱われたカード情報漏えいの可能性
8	2016年7月	Omni Hotels & Resorts	ホテル	米国	2015年12月から約6カ月間ホテル拠点で取り扱えわれたカード情報流出の可能性
9	2016年7月	Wendy’s	外食	米国	2015年秋から約1年近く米国内約1,000拠点で取り扱われたカード情報流出の可能性
10	2016年7月	Cici’s Pizza	外食	米国	2015年6月から約1年間米国約100拠点で取り扱われたカード情報流出の可能性

図2：過去数カ月間での POSシステムからのクレジットカード情報流出被害事例一覧

■進まないクレジットカードセキュリティ近代化
近年のPOSマルウェアによるクレジットカード情報漏えい被害の拡大の背景には、POSシステムのオープン化と進まないIC対応があります。近年POSシステムには Embedded OS かどうかに限らず Windows OS が採用され、企業内の ITネットワークと直接あるいは間接的に繋がったり、インターネットに直接繋がる形でこのシステムは利用されていることから、サイバー攻撃等によってクレジットカード情報を窃取される懸念があります。加えて、IC対応が進んでいない国のクレジットカード取引は、磁気情報による決済が大判を占めていることから、窃取されたカード情報を使って、偽造カードや本人になりすました不正使用による被害も懸念されています。

POSマルウェアを駆使してクレジットカード情報を窃取するサイバー犯罪者は、これらの点に着目して、POSマルウェアを使うことで、POS端末によってクレジットカードの磁気部分から読み込まれるカード情報を盗み取るという犯罪手法を利用し始めました（詳細はトレンドマイクロリサーチペーパー参照）。今回の割賦販売法改正案に盛り込まれているのと同様に、2年前の米国大統領令でもPOSシステムのIC対応を必須のものとしていました。しかし、米国で表面化する一連の被害事例からも、一度稼働が始まると基本的には数年間使い続けるPOS端末のセキュリティを、各企業において短期間で一斉に強化することが難しい現実が考えられます。トレンドマイクロの調査でも、POSシステム・ネットワークのセキュリティ対策が十分行われていると回答しているのは21.4％にとどまります。深刻化するクレジットカード情報を取り巻くサイバー犯罪を受けて、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を 2016年2月に発表しました。この文書の認知度は 76.7％と非常に高いですが、この文書の内容を組織におけるセキュリティ対策に十分反映させていると回答しているのはわずか 18.6％にとどまります。クレジットカードを取り巻く犯罪の現状と、クレジットカード情報を取り扱う組織として取り組むべき事項を理解し、対策に反映させていくことが望まれます。

■クレジットカード決済を守るための対策
残念ながら、クレジットカード情報を守るための対策には、これだけ実施すれば十分というものはありません。クレジットカード情報を非保持化することが、取扱事業者としてはリスク削減には非常に有効な手段になりますが、例えばポイント付与などのロイヤリティプログラムとクレジットカードが連動している企業やシステムにおいては現実的ではありません。また、クレジットカード情報を保持する企業やシステムにおいては、クレジットカード業界で定められたセキュリティ基準である PCI DSS に準拠することが強く推奨されます。例えば ECサイトにおいては、クレジットカード情報のやり取りを行う Webアプリケーションに存在する脆弱性を狙ったような脅威から守るための対策の実施などが一例としてあげられます。

クレジットカードを取り扱う POSシステムにおいては、POSマルウェアの脅威に対するリスクを削減する意味でも、ICチップに対応することが求められますが、単純にシステムが対応するだけではなく、カード情報を端末側に一時的にも読み込まないといった仕組みが必要になります。クレジットカードを差し込むタイプの接触型リーダを使う場合においても、ヨーロッパで普及が始まっているクレジットカードをかざすだけで決済ができる非接触型（コンタクトレス）リーダを使う場合においても同様です。

また、標的型サイバー攻撃と同様に、自主的に被害に気づくことができずに被害が長期化している被害事例が多数存在します。このような被害実態からも、クレジットカード情報を取り扱う企業においては、ネットワーク内部における外部との不審な通信やカード情報のやり取りを早期に発見できるような対策が極めて重要です。

トレンドマイクロでは、ECサイトや POSネットワークにおいてカード情報を集約的に取り扱うサーバに対しては、総合サーバセキュリティ対策「Trend Micro Deep Security」を提供しています。日常的なシステムの変更が難しい POS端末においては、「Trend Micro Safe Lock」といったホワイトリスト型のソリューションが利用できます。また、クレジットカード情報を取り扱うネットワークにおいては、「Deep Discovery Inspector」といった不正な通信を監視する製品を利用することで、ネットワーク内部での不審な動きを早期に発見することが可能になります。

クレジットカード決済が普及する昨今、カード情報を窃取した上で、闇市場で売買したり不正利用したりするといったサイバー犯罪は深刻です。一方で、2020年には東京オリンピック・パラリンピック競技大会の開催に伴い、数多くの外国人観光客、競技関係者、報道関係者が日本を訪れることから、クレジットカード決済はもちろんモバイル決済などのキャッシュレス決済への需要はますます高くなっていくことが予測されます。今回の法改正案はこのような様々な外部環境要因が影響しているものですが、これを一つの契機により安全なカード決済が行われるようセキュリティ対策が進んでいくことを期待します。

■参照情報：

「Mirai」による DDoS事例から IoT の「エコシステム」を考察する

2016年10月21日、DNSサービスプロバイダ「Dyn」が、「分散型サービス拒否（distributed denial-of-service、DDoS）」の大規模な攻撃を受けたことが大きく報道されました。この事例ではセキュリティ対策が不十分な IoT機器に感染した不正プログラムが DDoS攻撃の大部分を占めたものとされています。IoT機器経由での攻撃が、インターネットを支えるインフラストラクチャの重要部分を機能停止させ、それに伴い多くの大手サイトが利用不能となったことは、「モノのインターネット（Internet of Things、IoT）」のセキュリティ確保に関する重大な警告となりました。

Dyn への大規模 DDoS攻撃について以下にまとめます。

先週10月21日（金）、Dyn の報告によれば、何千万もの分散した IPアドレスからの大規模な攻撃が Dyn を襲いました。最初の攻撃は、東部標準時午前 7時に開始し、米国東海岸のユーザが影響を受け、2時間後に緩和されました。2度目の攻撃は、東部標準時正午 12時頃に開始し、世界中のユーザが影響を受け、１時間後に緩和されました。３度目の攻撃は、同日午後に開始しましたが、ユーザに影響が及ぶ前に緩和されました。

この攻撃はどこから仕掛けられたのでしょうか。攻撃の大部分は、不正プログラム「Mirai」（「ELF_GAFGYT.DGB」あるいは「ELF_BASHLITE.SM」として検出）に感染した IoT機器によって実行されました。なお、2016年10月初旬に「Mirai」のソースコードが公開されたため、現在、どんな攻撃者でも「Mirai」で構成されるボットネットを利用できる状況にあります。この攻撃に関して、主として、OEM製品であるデジタルビデオレコーダー（DVR）や Webカメラの製造業者の責任が問われています。この製造業者は、脆弱性を持つ機器のリコールを決定しました。それ自体は、相当な費用がかかるとはいえ、正しい決定でしょう。とはいえ、他の製造業者による IoT機器も関わりがある恐れが十分にあります。

図1：「Mirai」による DDoS攻撃図

■セキュリティが改善されなければ攻撃は止まない
このような攻撃が「前代未聞」というわけではありません。ほんの数週間前、米国のセキュリティ専門家 Brian Krebs氏が同様に「Mirai」で構成されたボットネットによる DDoS攻撃を受けています。IoT機器のセキュリティを確保する方法が見つかるまで、攻撃が止むことはないと考えられます。

現状、形勢は攻撃者にとって有利です。セキュリティが確保されていないか、確保することが困難であるか、あるいは今後も確保される見込みのない IoT機器が溢れているからです。DDoS攻撃により企業のサーバを利用不能にするという脅迫は、実に効果的で真実味のある強力な脅威となりました。

IoT機器を利用した DDoS攻撃による影響は、現実の世界に及びます。このような機器が中央サーバへ接続できなくなると、どうなるでしょうか。時として処理不能な状態になり、利用者の生活に支障を来すことがあります。以前は、DDoS攻撃といえば、迷惑で苛立たせるだけのものでした。しかし、現在では重要な機能がますますインターネット上に置かれるようになったため、実に深刻な脅威となったのです。

■IoT機器のセキュリティを確保するためには
IoT機器のセキュリティを確保するため対策が必要なのは明白です。残念ながら、現在これは難しい問題となっています。利用者が突然 IoT機器に精通し、自らセキュリティを確保する努力を行うようになることは期待できません。利用者が最も優先するのは、今も昔も相変わらず「機能しているかどうか」です。

IoT機器の販売元についてはどうでしょうか。販売者がいつも自分たちの販売している機器を修理できるだけの技術的知識を備えているとは限りません。OEM製品にブランド名を付け変え、自社ブランドとして販売しているだけのこともあるでしょう。製品の再販売業者や輸入元が、販売する商品のセキュリティを実際に保証することはあまり期待できないと考えられます。

この問題は IoT機器の実際の製造業者の手に委ねることになります。しかし残念ながら、ここでもやはりセキュリティは最優先事項ではありません。利用者にとっての使いやすさや新機能、売れ筋かどうか、などがセキュリティよりも優先されます。IoT機器の OEM製造業者にとってみれば、セキュリティ確保に予算を費やしても売り上げに貢献するとは考えられていません。また、長期の保証には、時間も人手も費用もかかるため、製造業者のコスト削減の対象となる部分です。

つまり、IoT機器のセキュリティを確保する作業実行のための動機が持ちにくく、IoTのセキュリティ確保のための「エコシステム」が機能していないのが現状であると言えます。

■規制を導入する必要があるか
IoTセキュリティのエコシステムが機能しなければ、IoT機器は常に脅威にさらされることになります。IoTセキュリティの不安定さが現実社会に及ぼす被害が明らかになれば、政府規制が導入される可能性が考えられます。

規制はいつも技術業界には歓迎されないとはいえ、他に例がないわけではありません。ほとんどの電気製品は、いろいろな安全基準をクリアしていなければなりません。基本的なセキュリティ上の問題をクリアして認証取得するプロセスの導入は、的外れではないでしょう。

すべての IoT機器が、脆弱性を１つも持たないようにセキュリティを確保するのは難しいかもしれません。しかし、開放されているポート、ユーザ名が “admin” パスワードが “admin” のような初期設定や、暗号化無しでの送信、といった基本的なセキュリティ上の問題の解決は決して無理な話ではありません。IoT機器の製造業者は自社製品が利用者の暮らしの一部になることを望んでいるはずですが、そのためにもインターネットを破たんさせないようなセキュリティの確保をお願いするのは、無理な要求ではないでしょう。

■将来的には改善される IoTセキュリティ
長期的に見れば、IoTセキュリティは改善が期待できます。セキュリティの確保されていない IoT機器による被害が明白になれば、そのような IoT機器は危険、あるいは違法と見なされるでしょう。安全でない自動車や電気製品の販売はできないように、将来は、がら空きの Telnetサーバに接続された Webカメラのようなものも販売できなくなるでしょう。

IoT機器製造業者は、どのように安全な製品を製造できるでしょうか。現実的には、強制的にセキュリティを改善する方法を学ぶことになるでしょう。単にセキュリティリスクを認識するだけでも、現状の IoT機器に見られる重大な不具合のほとんどは改善されます。

すでに改善の兆候は、IoT機器製造業界と規制の両方で見られます。欧州委員会は現在、IoT機器のセキュリティのための新しい規制を検討しています。製造業界は、IoT機器のセキュリティ改善のための計画指針を公開しました。セキュリティ企業も改善に尽力しています。トレンドマイクロでは、一般ユーザが自宅のネットワークを安全に利用するための技術や製品を開発しています。

このように、セキュリティの重要性が真剣に認識され、IoT のエコシステムが、手遅れになる前に改善され始めています。セキュアなエコシステムにたどり着くまでの間、私たちは、セキュリティ対策が十分でない IoT機器が引き起こす、さらに深刻なセキュリティ事例を目の当たりにするかもしれません。これは、IoT機器製造業界、セキュリティ企業、そして規制者が連携してどれほど迅速にセキュアなエコシステムへ移行できるかにかかっています。

参考記事：

「The Internet of Things Ecosystem is Broken. How Do We Fix It?」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

標的型サイバー攻撃キャンペーン「BLACKGEAR」日本も攻撃対象に

標的型サイバー攻撃キャンペーン「BLACKGEAR（ブラックギア）」は、諜報目的に、これまでにも数年にわたって台湾のユーザを攻撃してきました。2012年に初めて確認され、当時、多くの新聞やメディアがバックドア型不正プログラム「ELIRKS」を利用するこのキャンペーンについて報告しました。「BLACKGEAR」は、実際のコマンド＆コントロール（C&C）サーバの位置情報を隠ぺいするために、ブログやミニブログのサービスを利用する手法で知られています。これにより攻撃者は、ブログに投稿した記事の情報に変更を加えることによって、利用する C&Cサーバを素早く変更することが可能になります。

他の多くのキャンペーンと同様に、「BLACKGEAR」も時間をかけて改良されてきました。トレンドマイクロは、２つの兆候からこのキャンペーンが日本のユーザへ攻撃を開始したと見ています。１つには、日本語で書かれた偽の文書が感染経路として利用されていること、2つ目には、現在、日本を拠点とするブログやミニブログのサービスが C&Cサーバとして利用されていることです。

本記事では、この C&C の活動と攻撃に利用されるツール、およびこれらツールの相関関係について検証します。

■C&C設定情報を取得する

図1：C&C設定情報を取得する

「BLACKGEAR」が利用するバックドア型不正プログラムすべてに共通する特徴は、ブログやミニブログの記事から、暗号化されている C&C の設定情報を取得することです。攻撃者は、ブログやミニブログのサービスに登録し記事を投稿します。暗号化されている C&Cサーバの情報は、ハードコードされた２つの識別子の間に確認できます。

図2：識別子の間の、暗号化された C&C設定情報

「BLACKGEAR」がこの手法を利用するのには、2つの理由があります。１つはバックドア型不正プログラムへ誘導するトラフィックを通常のブログへのトラフィックのように見せかけるためです。もう１つは、もし利用中の C&Cサーバがブロックされた場合、攻撃者によって直ちに他の C&Cサーバへ変更できるようにするためです。感染PC から C&Cサーバの変更を阻止するためには、他の正規の Webサイトもブロックすることになり、不可能です。

■「BLACKGEAR」が利用するツール

図3：「BLACKGEAR」が利用するツール

「BLACKGEAR」が利用するツールは、バインダ、ダウンローダ、そしてバックドア型不正プログラムの 3種類で構成されています。まず自身の感染を隠ぺいするために他のソフトウェアに組みこまれて侵入を画策する「バインダ」は、「フィッシング詐欺」や「水飲み場攻撃」といった攻撃を経由してユーザの PC に感染し、そして、おとりとなるファイルとダウンローダを作成します。ダウンローダは、攻撃者のコントロールによって複数の Webサイトに接続し、バックドア型不正プログラムをダウンロードします。そして感染PC にとどまり、攻撃者による感染PC へのアクセスを可能にするため、活動を継続します。

３つの攻撃ツールを使い分けることで、１つのコンポーネントが検出または阻止された場合でも、攻撃者は、すべての活動を中断することなく、直ちに差し替えることが可能になります。

●バインダ
「TROJ_BLAGFLDR」ファミリとして検出されるバインダは、自身のアイコンをフォルダに変え、通常のフォルダに見せかけます。ユーザがバインダを実行すると、背後でダウンローダを作成および実行し、偽の文書の入ったおとりとなるフォルダを作成します。そして自身を削除します。このようにして不正なダウンローダが実行されたことをユーザに気付かせないようにします。

●ダウンローダ
1. 「TSPY_RAMNY」
「TSPY_RAMNY」は、バインダである「TROJ_BLAGFLDR」が作成するダウンローダです。検出を回避するため、自身を Windows の＜TEMPフォルダ＞に移動し、自身へと誘導するショートカットファイル（拡張子LNK）を＜Startup＞フォルダ内に作成します。また、ネットワーク設定など感染PC についての情報をダウンロードサイトに送出します。

ダウンロードリンクは以下の形式で構成されています。

http://{IPアドレス}/{フォルダ名}/{Webサイト名} (例: http://{IPアドレス}/multi/index.html)

このため、バックドア型不正プログラムのダウンロードリンクは通常の Webサイトへの URL にしか見えません。

2. 「TSPY_YMALRMINI」
「TSPY_YMALRMINI」は、バインダである「TROJ_BLAGFLDR」によって作成されるもう 1つのダウンローダで、同様に感染PC の情報をダウンロードサイトに送出します。このダウンローダが、どのような不正プログラムをダウンロードするかは確認されていません。しかし、ダウンロードされるファイルのうちいくつかは “drWaston.exe” というファイル名で感染PC上に保存されることが判明しています。同じファイル名が「ELIRKS」の亜種でも利用されているため、関連のある可能性があります。「TSPY_YMALRMINI」の URL も、「TSPY_RAMNY」と同じ形式で構成されています。

「TSPY_YMALRMINI」のダウンロードリンクも、「TSPY_RAMNY」と同様の形式で構成されています。このダウンローダの亜種複数に、「プログラムデータベース（PDB）」の文字列に “C:\toolson-mini\YmailerCreater – Debug\Binder\Binder\YMailer.pdb” が存在することから、この名が付けられています。また、「TSPY_YMALRMINI」の亜種は “YmailerMini.log” という名称のログファイルを作成します。

●バックドア型不正プログラム
1. 「BKDR_ELIRKS」
「BKDR_ELIRKS」は、「BLACKGEAR」が利用するバックドア型不正プログラムの中でも最初に確認されたものです。このバックドア型不正プログラムは、さまざまなブログやミニブログのサービスから、暗号化されている C&C の設定情報を取得します。設定情報が復号されると、C&Cサーバへ接続し、攻撃者からの指令を待ちます。感染PC上で活動を継続するため、自身を Windows の＜TEMPフォルダ＞へ移動し、自身へと誘導するショートカットファイル（拡張子LNK）を、＜Startup＞フォルダ内に作成します。

「BKDR_ELIRKS」のバックドア活動には、感染PC からの情報収集、ファイルのダウンロードと実行、スクリーンショットの撮影、およびリモートシェルの開始が含まれます。

2.「BKDR_YMALR」
「BKDR_YMALR」は、「LOGEDRUT」としても知られるバックドア型不正プログラムで、「.NET Framework」で作成されています。検出名は、この「BKDR_YMALR」が作成する “YMailer.log” という名のログファイルに由来します。不正活動は「BKDR_ELIRKS」に類似しており、C&C設定情報を取得し C&Cサーバへ接続後攻撃者の指令を受けるという点で共通しています。

■暗号化および復号
1. 「BKDR_ELIRKS」
リバースエンジニアリングによる「ELIRKS」の解析から、弊社は暗号化されている C&C の設定情報がどのように復号されるかを確認しました。復号プロセスは、以下の Pythonコードで実行されます。

#! /usr/bin/env python

from ctypes import *

def decipher(v, k):
y=c_uint32(v[0])
z=c_uint32(v[1])
sum=c_uint32(0xC6EF3720)
delta=c_uint32(0x61C88647)
n=32
w=[0,0]

while(n>0):
z.value -= (y.value + sum.value) ^ (y.value * 16 + k[2]) ^ (( y.value >> 5 ) + k[3])
y.value -= (z.value + sum.value) ^ (z.value * 16 + k[0]) ^ (( z.value >> 5 ) + k[1])
sum.value += delta.value
n -= 1

w[0]=y.value
w[1]=z.value

return w

if __name__ == ‘__main__’:
key = [0x8F3B39F1, 0x8D3FBD96, 0x473EAA92, 0x502E41D2]
ciphertext = [ciphertext1, ciphertext2] # you can input cipher text here
res = decipher(ciphertext, key)
plaintext = “%X” % (res[0])
c4 = str(int(“0x”+plaintext[6:8],16))
c3 = str(int(“0x”+plaintext[4:6],16))
c2 = str(int(“0x”+plaintext[2:4],16))
c1 = str(int(“0x”+plaintext[:2],16))
print c4+”.”+c3+”.”+c2+”.”+c1

バックドア型不正プログラムにはシェルコードが含まれており、それには、ブログ投稿記事の URL と、偽の記事のどこに C&C の情報が隠されているかを判別するための識別子が含まれています。偽のブログまたはミニブログの投稿記事が読み込まれると、バックドア型不正プログラムが C&C の情報を見つけ出し、復号します。

C&C の情報は、記事中の2つの短い文字列に保存されています。１つは 8文字で構成される文字列で、6バイトの 16進値に復号されます。２つ目は 2文字で構成される、もともと 16進値の文字列で、末尾に連結されています。修正版の暗号化アルゴリズム「Tiny Encryption Algorithm（TEA）」によって復号されると、C&Cサーバの位置情報が判明します。

図4：「BKDR_ELIRKS」の暗号化アルゴリズム

2. 「BKDR_YMALR」

「BKDR_YMALR」も同様の不正活動を実行しますが、少し異なります。「BKDR_YMALR」には、複数の暗号化された文字列が含まれています。

図5：「BKDR_YMALR」の暗号化された文字列

暗号化された文字列は、ブログの URL と識別子を、最初に Base64方式でエンコードし、次に DES方式で暗号化したものです。暗号鍵と初期ベクトルがハードコードされており、どちらも「1q2w3e4r」と設定されています。これは、通常のキーボードで左上に隣接している部分です。

図6：「BKDR_YMALR」のブログURL と識別子

図7：「BKDR_YMALR」の復号アルゴリズム

暗号文が復号されると、「BKDR_YMALR」は「ELIRKS」と同じアルゴリズムで C&C情報を取得します。

図8：ブログ投稿記事から取得された「BKDR_YMALR」の C&C設定情報

■各ツールの相関関係

図9：各ツールの相関関係

「BLACKGEAR」が利用するツールは、同時に利用されるだけでなく、各ツール間に明確な相関関係が見られます。“YMailer” という文字列は、「BKDR_YMALR」および「TSPY_YMALRMINI」両方のログファイル名、また「TSPY_YMALRMINI」の PDB の文字列に確認されています。2つのダウンローダ「TSPY_RLMNY」および「TSPY_YMALRMINI」には、異なる場所に、“toolson” という文字列が入っています。さらに、ダウンローダとバックドア型不正プログラムのどちらも同じ暗号鍵「1q2w3e4r」を利用します。図９は各ツールの相関関係を図解しています。

■結論
新手法とツールを取り入れ、また、攻撃対象を拡大して「改良」が加えられた標的型サイバー攻撃キャンペーン「BLACKGEAR」は、今後も依然として継続する脅威となるでしょう。弊社は、引き続き「BLACKGEAR」の活動を監視し、ユーザの保護に努めていきます。

感染の指標
TROJ_BLAGFLDR

52d6b30bc578465d8079d9abd0d4c4826b51b25f
800c7d54280f5f35e3b58a6d4dfd4845f6ed9e15
8b6614562a79a13e60d100a88f1ba4eb601636db
98efee8dde7d493c0d35d02a2170b6d1b52987d3

TSPY_RAMNY

02785ebcb683a380c80958f3fe2a52f805c5c12d
74031e70ca3b4004c6b7a8197397882bc02c30cb
b4c63a0ff9b8eb8cc1a53a4dd036e93f9eeceeca

TSPY_YMALRMINI

048790098a7c6b8405761b75ef2a2fd8bd0560b6
96f3b52460205f6ecc6b6d1a73f8db13c6634afc

BKDR_ELIRKS

17cacabcf78c4b164bb0e7d9200289be9236e7bc
4157ecd252dc09b533fcf6a778aca2c376601354
4f54cfcf266b73ca3759b9cb0252c27094b5b330
521a9d73191c7740f969ae3c53e6abf70ffbedf9
533565f7953fb1648d437d14d007003c6343b9ae
80108d2aacb0a1f2a5350f71e7a04239fc5f96a9
8cad1bcbdd558802b34119fb57160cc748170133
9a768fae41ca7395b4257e85acef915e124c2981
a70001c67e81d1dcf62f808760514b6df28a411a
a9ea07caafeb63133e5131f7a56bc8da1bc3d72a
dd0ceafbe7f4bf2905e560c3348545e32bc0f684

BKDR_YMALR

02fed8cae7f3986c1344dd75d869ba23cfc4073a
09d73b522f36786bb6e645b96f244bb51c3cc7ea
0a59d52367435bc22a92c27d60023acec575a5fb
0cc74332b1e213456693159d3ba12a3421036f68
1120f049dcb4a62809687dc277b42589d8d1caa6
12c8cc7e125572d614b708c056f7fd0ed49870c5
29b08d270ba6efcf57ca2ad33d8e3edd93d6b32a
2d3d7b9521aec637f2e99624e0489b9f140d463f
2de7d78615ec0fbf2652790d53b50ddb0472292c
31de946255b240c0ae2f56786ac25183f3aaeea5
3aa8509715c7f55bdee831d5f7db22a2c516db43
3d175b1defe7076e0fe56076dd0d5f438de43324
4000244b2cba78a45034bb6ab2bac46d6a8a79ea
4882735e8a465fac938fd04546a51efefb9806da
48d373bdb31dcecd7f59bd5a964d062c8b6bfce8
49f6eb7f8e4a27f574c9a3e8c0da0b7895df7e41
4c7df09012fc88d336467691acf0afce64f40341
551f9a60203bec904487113e8d42dea463ac6ca9
5a4b15fa5a615a93191ede4c75dd3e65e87586dc
5aa5117db6f420c81d2e1a7f036963a3c6ef02e9
5dc007d056513cba030ec16e15bdbb9ea5fe0e5a
628309a60ad1fbe240486519de1424f7ddc2df4d
636e7a9effb1a244697c880832e486de56260527
6bb5f51d03edd1acd7d38cca8095a237543c6a0d
6c4786b792f13643d408199e1b5d43f6473f5eea
6dd997409afec6fafbe54bd9d70d45fffff6a807
7142ca7079da17fa9871cbc86f7633b3253aeaed
7254b719fd3cf87c8ac8ed9327c8e1bf99abf7af
7329a789363f890c401c286dbaf3d2bf79ee14f7
7b2c4d14710cf2fd53486399ecc5af85cd75eca6
88e22933b76273793e4278c433562fb0b4fe125a
8917c582ab5c2e831de6eba33b4f19d6e3a2cb70
8c325e92bf21d0c3737dbbc596854bc12184eeaf
8f65cbde2f3b664bcede3822a19765bdb7f58099
9047b6b2e8fbaa8a06b2faaa30e038058444106a
93c3f23905599df78cd5416dd9f7c171b3f1e29e
94750bdae0fa190116a68e96d45f3d46c24b6cf1
9954a1c8e7b0e2f17841608f6b8c9d042b7a0780
9b96646d152583ff58c2c29191cb1672847d56b6
9f5a3b6db752d617f4d278d6531e2bbdb7faa977
a30cc98ceb5d3379e80443f68a186326926f73ce
a893896af5468ac6e04cdd13edff8cae04800848
a8f461749c7fe2a21116b8390cf84a8300009321
a9108bf3ce39cea40e46ac575247a9a7c077b2a8
a9fd9ade807af4779f3eea39fed2c583a50c8497
ac014e4c2d68f6c982ac58738857b698b9e46af5
acaec2b0f86ec4262be5bb8bcebcc12093e071ba
ad61c51b03022ef6bcb5e9738fe2f621e970ecb3
b28f6ba3d6571c5d85cb5276cbcdce9adf49d5a9
bc61f1b3c8eb3bda2071f6caf71ff23705128ca5
c30b305a7bea9a2f61aca2dbcf596c2b0c0e4fa0
c4c747f26f95fdbfc5bff04688dc76ae0bb48fff
c58d6fc761dec675ab45ad5c3682ffc9936cf357
c85f528900aa9d836abd88eb56902efd711491da
ca163d6ae85edede87b271267918a0ffe98040c7
cf629249fb4af86746059e638ccef5b8a43c6834
cfd9a67b4b0eb3d756bb7e449b46687e6aef006b
d107268bd767a2dfe1c8733b7da96c1a64f5d112
d7cd079f8485ea55443ed497f055dbed5ae4a668
d95c97f1525e9888571f498f2be584dda243da2a
e01f9ba6355bcdc7ccf89261658bff9f965b8c21
e05efde2b442dc4119179e3c39c74a973499e271
e1acfed710f186d86a2bc8179ff38fdd21f9a1b6
e1fb2e1866f332a5656bf55fde13ff57d5f0bbf6
e77303d80968395eec008515ea9eb3c620b14255
eb9e553524d414d862857297baf44da3b4072650
eca06f3c535ba3b3463917974a79efc821fddb6c
eeb065a1963a8aa0496e61305c076c5946d77e12
efa611262e6d4804ce9026d50bfa64f20d9271ca
fb59481d153388d2ad3bb6321d0b2875cb07f4d3
fbcbbc187e99317c5a36a3667592590a7f5a17d1

参考記事：

「BLACKGEAR Espionage Campaign Evolves, Adds Japan To Target List」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

新しいエクスプロイトキット「Bizarro Sundown EK」を確認。「LOCKY」に誘導

新しいエクスプロイトキット「Bizarro Sundown Exploit Kit （Bizarro Sundown EK）」が確認されました。トレンドマイクロは、複数の種類の暗号化型ランサムウェア「LOCKY」を拡散するこのエクスプロイトキットの2つのバージョンを確認しました。このエクスプロイトキットは、以前から存在する「Sundown Exploit Kit（Sundown EK）」が土台になっています。Sundown EK は、過去に優勢だった「Neutrino Exploit Kit（Neutrino EK）」の活動が停滞した時、「Rig Exploit Kit（Rig EK）」とともに活発化し始めました。

Bizarro Sundown EK の最初のバージョンは、2016年10月5日に初めて確認され、その２週間後の10月19日に次のバージョンが確認されています。このエクスプロイトキットによる攻撃の影響を受けたユーザの過半数は、台湾と韓国が占めています。Bizarro Sundown EK は、前身である Sundown EK と類似した機能を備えていますが、解析を回避する機能が追加されています。10月19日の攻撃に利用された２番目のバージョンでは、URL形式も変更し、さらに巧妙に正規の Webサイト広告に似せたものとなっています。どちらのバージョンも、「ShadowGate（別名WordsJS）」のキャンペーンにのみ利用されました。

2015年に初めて確認された攻撃キャンペーン「ShadowGate」は、インストールされたオープンソースの広告配信サーバである「Revive」や「OpenX」を狙いました。感染したサーバは、エクスプロイトキットが不正プログラムを拡散するための役割を果たすことになります。このキャンペーンに利用されたドメインのいくつかは閉鎖されましたが、弊社は、このキャンペーンが依然として活動しており、181もの改ざんされた Webサイトからランサムウェアを拡散していることを確認しました。また、2016年9月、暗号化したファイルの拡張子を「ZEPTO」に変える「LOCKY」の亜種を拡散するために、このキャンペーンで Neutrino EK が利用されているのを確認しました。そして、10月５日、Bizarro Sundown EK へ乗り換えています。その２週間後の10月19日、変更が加えられた2番目のバージョンの Bizarro Sundown EK が確認されました。

■攻撃の規模と拡散先
Bizarro Sundown EK の活動を調査した結果、週末には全く活動していないという興味深い傾向が確認されました。

図1：Bizarro Sundown EK の活動状況（2016年10月）

弊社は、攻撃キャンペーン「ShadowGate」が週末の間、感染サーバから不正なリダイレクトのスクリプトを削除しリダイレクトを休止するのを確認しました。そして、平日になると再び問題のスクリプトが再開していました。影響を受けたユーザの過半数は、台湾と韓国でした。加えてドイツ、イタリアおよび中国が、トップ 5カ国に入っています。

図2：Bizarro Sundown EK に影響された国分布

■攻撃の詳細
Bizarro Sundown EK の最初のバージョンは、Internet Explorer（IE）のメモリ破損の脆弱性「CVE-2016-0189」、Adobe Flash Player の「use-after-free（解放済みメモリの使用）」の脆弱性「CVE-2015-5119」、また、Adobe Flash Player の「境界外読み取り（ Out-of-bounds Read）」の脆弱性「CVE-2016-4117」を利用しました。なお、「CVE-2016-0189」の修正プログラムは 2016年5月に、「CVE-2015-5119」の修正プログラムは1年以上前の 2015年7月に、そして「CVE-2016-4117」の修正プログラムは 2016年5月にそれぞれ公開されています。Bizzaro Sundown EK の 2番目のバージョンは、Adobe Flash Player の脆弱性２つ「CVE-2015-5119」および「CVE-2016-4117」を利用します。

最初の Bizarro Sundown EK の攻撃では Sundown EK と類似した URL形式が利用されていましたが、クエリ文字列を利用せず、他の方法でランディングページを難読化していました。Bizarro Sundown EK は、Webサイトの情報を収集するために巡回するプログラムである「クローラ」を回避する機能を追加しており、これによりリサーチャーや解析者が使用するクローラを避けます。これは、今日、エクスプロイトキットに通常実装されている機能です。最初のバージョンは暗号化したファイルの拡張子に「ODIN」を利用する「LOCKY」の亜種を拡散するのに利用されました。

図3：Sundown EK のトラフィック（上）と Bizarro Sundown EK のトラフィック（下）

2016年10月19日、弊社は、Bizarro Sundown EK の新しいバージョンを確認しました。この 2番目のバージョンには、リダイレクト方法の変更が含まれており、URL が最初のバージョンのものよりも正規広告のトラフィックに似ています。新しいリダイレクト方法により、「ShadowGate」のトラフィックに直接取り込まれるようになっています。最初のバージョンはユーザを不正なサーバに誘導するため、スクリプトのみが利用されていました。2番めのバージョンでは、リダイレクトのためにフラッシュファイル（拡張子SWF）が利用されます。

この不正な SWFファイルは、インストールされている Flash Player のバージョンを特定し、その情報をクエリ文字列で Bizarro Sundown EK に渡します。Bizarro Sundown EK はこの情報を利用して該当する Flash Player の脆弱性のエクスプロイトコードを送信します。これは、感染経路からランディングページという中間媒介を取り除き、リダイレクトを効率化するためと考えられます。また、弊社では「ShadowGate」がもう1つ別の「LOCKY」の亜種（「RANSOM_LOCKY.DLDSAPZ」として検出）を拡散するのを確認しています。この亜種は暗号化したファイルの拡張子を「THOR」に変えます。

図4：感染した広告サーバから拡散する Bizarro Sundown EK の2番目のバージョン

図5：インストールされている Flash Player のバージョンを特定するコードの一部

■対策
バックアップを確実にしておくことは、ランサムウェアに対して今でも最善の防衛策です。また、更新プログラムを必ず適用しておくことも、機器周辺のセキュリティ確保に役立ちます。オペレーションシステム（OS）やインストールしているソフトウェアを最新の状態にしておくことにより、更新プログラムがすでに公開されている脆弱性を狙った攻撃のリスクを軽減することが出来ます。

図6：「Trend Micro Deep Security™」の仮想パッチ

個人ユーザや企業は、入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する、多層的なセキュリティ対策によって防衛できます。セキュリティ対策システムやソフトウェアの脆弱性を利用する攻撃に対応する、エンドポイントの脆弱性対策製品「Trend Micro Virtual Patch for Endpoint（旧 Trend Micro 脆弱性対策オプション）」も、強固な保護を提供します。

「侵入の痕跡（Indicators of Compromise、IOC）」には、以下が含まれます。
関連する SHA1（「RANSOM_LOCKY.DLDSAPZ」として検出）：

867ed6573d37907af0279093105250a1cf8608a2

「ShadowGate」に関連する URL：

jewelry[.]earwhig[.]net
ads[.]phoenixhealthtechnology[.]com

Bizarro Sundown EK に関連する URL：

aided[.]theteragroup[.]com
references[.]vietnamesebaby[.]com
ads[.]dubleywells[.]com

※調査協力：セキュリティリサーチャーの Kafeine氏に謝辞

参考記事：

「New Bizarro Sundown Exploit Kit Spreads Locky」
by Brooks Li and Joseph C. Chen (Threats Analysts)

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

日本語メールでのランサムウェア拡散事例「マルウェアへの感染者に対する注意喚起」を偽装

2016年10月31日以降、トレンドマイクロではランサムウェアの拡散を目的とした日本語マルウェアスパムの流布を確認しており、総務省などからも注意喚起が公表されています。これまで、日本でのランサムウェアの拡散は主に英語メールによるものであり、世界的なばらまき型のマルウェアスパムが流入しているものと言えました。日本語マルウェアスパムによるランサムウェアのアウトブレイクと確認できたものは、2016年4月の事例のみと言えます。今回の日本語マルウェアスパムも、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の統計によれば、日本国内で 30件ほどしか確認されておらず、あまり広い範囲に流布されているものではないと考えられます。しかしトレンドマイクロでは、今回と同様の手口の日本語マルウェアスパムを 10月以降に繰り返し確認しており、ランサムウェアを使用するサイバー犯罪者が新たに日本を標的とし始めたこと示すひとつの兆候であるものと考えています。

図1:2016年1~9月にアウトブレイク（検出台数 400件以上）した
ランサムウェア拡散目的マルウェアスパムの使用言語割合（トレンドマイクロ調べ）

■「マルウェア除去ツール」を偽装するランサムウェア
今回確認されたマルウェアスパムは、「【重要】総務省共同プロジェクト　コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」という件名と本文で利用者をだまし、「マルウェア除去ツール」に偽装したランサムウェアをダウンロードさせ、感染させようとするものです。メールをよく調べると、送信元は海外のフリーメールである「SIGAINT」であることがわかります。この「SIGAINT」は匿名ネットワーク「Tor」を利用したフリーメールサービスであり、送信者の秘匿が可能です。このマルウェアスパムの送信者も追跡の困難化を狙って使用しているものと思われます。

メール本文は受信者が「オンライン銀行詐欺ツールである「VAWTRAK」に感染しているため、その「除去ツール」を配布する」という旨の内容となっています。また、ZIPファイルが添付されており、解凍すると2つの PDFファイルが出てきます。

図2：マルウェアスパムの添付 PDFファイルの例

PDF の１つには「除去ツール」の「設定手順」が書かれています。それによると「除去ツール」を実行する準備として、まずすべてのアプリの終了とセキュリティソフトの機能オフを受信者に行わせます。これはもちろんセキュリティソフトによる検出を免れるためのサイバー犯罪者の用心でしょう。この手順では Windows標準のセキュリティソフトである「Windows Defender」もオフにさせますが本文では「Windows Difender」とミスタイプしています。

図3：添付 PDFファイルの内容例１：
すべてのアプリケーションの終了とセキュリティソフトをオフにする旨が書かれている

図4：添付 PDFファイルの内容例２：
「Windows Defender」が「Difender」とミスタイプされている

「除去ツール」自体はメールには添付されておらず、海外のクラウドストレージサービスである「MEGA」からダウンロードします。実際にはこの「除去ツール」はトレンドマイクロ製品では「Ransom_MISCHA.E」として検出するランサムウェアです。これは、現在大量に出回っている英語のマルウェアスパムにより頒布されるランサムウェアは、そのほとんどが「LOCKY」であることとは異なっており、今回のマルウェアスパムの１つの特徴となっています。

図5：2016年1~9月にアウトブレイクしたマルウェアスパムで
拡散されたランサムウェアの種別割合（トレンドマイクロ調べ）
br>

■10月から類似手口のマルウェアスパムを継続して確認
今回のマルウェアスパムの特徴をまとめると以下になります。

日本語メールである
メール送信元が匿名フリーメールサービス「SIGANT」
ランサムウェアはメールに直接添付せず、クラウドストレージの「MEGA」からダウンロードさせる
頒布されるランサムウェアは流行の「LOCKY」ではない

トレンドマイクロでは上記の特徴を持つマルウェアスパムを 10月初旬ころより 2種類確認しています。いずれも SPN上では数通の流通のみが確認されており、広く一般にばらまかれたものではないようです。いずれにせよ、共通点の多いマルウェアスパムの存在からは、同じサイバー犯罪者が日本を狙った攻撃を繰り返していることが推測されます。現在はまだ攻撃手法を試行錯誤している段階とも考えられ、その場合、今後により大規模な攻撃が発生することが予想されます。

■被害に遭わないためには
攻撃者は自身の攻撃を成功させるために常に攻撃手口を変化させていきます。今回お伝えした攻撃の内容は次回から全く異なるものになっているかもしれません。常に最新の脅威動向を知り、新たな手口に騙されないよう注意を払ってください。また、そもそも不審なメールを可能な限りフィルタリングし、一般利用者の手元に届かないようにする対策も重要です。

ランサムウェアなどの不正プログラムは一般的に、電子メール経由か Web経由で PC内に侵入します。そもそもの侵入を止めるため、この2つの経路での侵入を検知する対策製品の導入が重要です。今回のマルウェアスパムの事例でもそうであるように、メールを安全なものであるかのように受信者に錯覚させる手口が常とう化しています。受信者をだます手口は常に変化していきますので最新の攻撃手口を知り、安易にメールを開かないよう注意してください。

ランサムウェアによるデータ暗号化被害を緩和し、早期の復旧を行うためにも定期的なデータのバックアップが重要です。バックアップの際には 3-2-1ルールを意識してください。3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1つをネットワークから隔離された場所に保管してください。

■トレンドマイクロの対策
今回の攻撃で確認された不正プログラムについては「ファイルレピュテーション（FRS）」技術により「Ransom_MISCHA.E」として検出します。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品では「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロック可能です。

今回の攻撃で確認されたマルウェアスパムについては、「E-mailレピュテーション（ERS）」技術で受信前にブロックします。「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などのメール対策製品では特にERS技術により危険な電子メールの着信をブロックします。

※調査協力：東結香（Regional Trend Labs）、日本リージョナルトレンドラボ（RTL）

加速するランサムウェアの脅威、2016年第3四半期の脅威動向を分析

トレンドマイクロでは、2016年第３四半期（7~９月）における国内外の脅威動向について分析を行いました。その結果、2016年を通じインターネット利用者にとって最も大きな脅威となっている、身代金要求型不正プログラム（ランサムウェア）は、この第３四半期にその攻撃規模をますます拡大させていることが確認できました。

図1：国内でのランサムウェアの検出台数推移

日本国内でのランサムウェア検出台数は初めて 3万件を超え、前四半期比 4倍、前年同期比に至っては 24.4倍となりました。全世界でのランサムウェアの攻撃総数は、2016年上半期（１～６月）6カ月間での 8000万件に対し、この 2016年第3四半期（７～９月）の３カ月間だけで 1億件を超え、驚異的な急増が見られています。

このような世界的な脅威拡大の背景には、ランサムウェアが金銭目的の攻撃手法として認知され、多くのサイバー犯罪者が攻撃に参入していることがあるものと推測されます。事実、アンダーグラウンドの闇市場では、「ビジネス」として不正プログラムを拡散させる攻撃を簡便化する「サービス」が整っています。現在では、サイバー犯罪者はほんの数十ドルで「サービス化」されカスタマイズ可能なランサムウェアを入手することが可能です。同様に、ランサムウェアを拡散させるためのスパムメール送信もアンダーグラウンドでは「サービス」として提供されており、金銭を払えば大規模な攻撃を容易に実行できます。2016年第3四半期には過去最高 68種類の新種ランサムウェアが登場しましたが、これは多くのサイバー犯罪者がランサムウェア攻撃に参入していることの表れと考えられます。

ランサムウェア以外の脅威トピックとしては、ネットバンキングを狙うオンライン銀行詐欺ツールも国内では過去最大規模で検出台数が増大しています。ランサムウェア同様、オンライン銀行詐欺ツールの検出台数急増の裏には、メール経由での不正プログラム拡散の激化があります。海外では引き続き大規模な情報漏洩事例が明らかになる中、国内では公開サーバが持つ情報を狙った攻撃が継続中です。

2016年第3四半期に確認された様々な脅威動向について、より深く知るためには、以下のレポートをご一読ください。

・詳細レポートはこちら：
2016年第３四半期セキュリティラウンドアップ：『アンダーグラウンドが加速させるランサムウェア脅威』

エクスプロイトキットとランサムウェアの密接な関係

現在の脅威状況で最も暗躍している脅威は、ランサムウェアです。最近のランサムウェア攻撃事例から、教育機関、政府関連組織、電力や水力会社、医療機関、金融機関などさまざまな業界のデータやシステムがランサムウェアによる暗号化の被害に遭っています。典型的なランサムウェアの拡散方法は2つあり、１つはスパムメールの添付ファイルによるもので、これが最も多く見られます。そして、もう１つ代表的なものがエクスプロイトキットです。

エクスプロイトキットは、ソフトウェアおよびオペレーションが抱える脆弱性を確認するツールやその脆弱性を悪用するツールなどを１つにまとめ、サイバー犯罪用に作成されたツールキットです。ランサムウェアを利用する攻撃者は、サイバー犯罪初心者も含め、アンダーグラウンドのフォーラムやマーケットプレイスでこのようなエクスプロイトキットを購入またはレンタルし、自身でカスタマイズしたマルウェアを拡散するために利用します。最初にエクスプロイトキットが確認されたのは 2006年にさかのぼりますが、ランサムウェアとエクスプロイトキットの併用は、サイバー犯罪者にとってランサムウェアが大変儲かる商売とみなされるようになった 2013年以降から顕著に見られるようになりました。エクスプロイトキットを利用して拡散されたランサムウェアの例として、以下が挙げられます。

拡散に利用されるエクスプロイトキット	ランサムウェア
Blackhole Exploit Kit	CryptoLocker
Angler Exploit Kit	CryptoWall、TeslaCrypt、CryptLocker、CryptXXX、CrypMIC
Neutrino Exploit Kit	CryptoWall、TeslaCrypt、Cerber、CryptXXX、Locky、CrypMIC
Magnitude Exploit Kit	CryptoDefense、CryptoWall、Cerber
Rig Exploit Kit	CryptoWall、GOOPIC、Cerber、CrypMIC、Locky
Nuclear Exploit Kit	TeslaCrypt、Locky
Sundown Exploit Kit	CryptShocker、Locky、Petya
Hunter Exploit Kit	Locky

トレンドマイクロは 2016年1月から10月までに、およそ 2億1400万件のランサムウェアを検知、ブロックしました。この数にはエクスプロイトキットによって拡散されたものも含まれています。

マルウェア拡散に利用される頻度の高い 10種類のエクスプロイトキットは、これまで、Adobe Flash Player、Microsoft Silverlight、Internet Explorer（IE）、Adobe Acrobat、Adobe Reader などのソフトウェアに確認された脆弱性、Oracle の JavaScript、Microsoft の XML DOM ActiveX コントロールに存在する脆弱性などを悪用してきました。

図1：エクスプロイトキットによる感染フロー。

2015年に最も利用されていた「Angler Exploit Kit（Angler EK）」が 2016年6月に活動停止して以来、現在、ランサムウェア拡散に最も利用されているのは「Neutrino Exploit Kit（Neutrino EK）」です。Neutrino EK は以下のランサムウェアファミリを拡散することが確認されています。

CrypMIC (「RANSOM_CRYPMIC.A」)
CryptXXX (「RANSOM_WALTRIX」)
Cerber (「RANSOM_CERBER」)
Locky (「RANSOM_LOCKY」)
CryptoWall (「RANSOM_CRYPWALL」)
TeslaCrypt (「RANSOM_CRYPTESLA」)
Bandarchor (「RANSOM_JUSINOMEL」)
PizzaCrypts (「RANSOM_CRYPAURA」)
CryptFile2 (「RANSOM_CRYPHYDRA」)

サイバー犯罪者はエクスプロイトキットを利用し、以下の手段でマルウェアを拡散します。

「malvertising（不正広告の利用）」：サードパーティの広告サーバとWebサイトに組み込まれたが、エクスプロイトキットのランディングページへと誘導する
ソーシャル・エンジニアリングの手法を利用したスパムメールに記載されたリンクをユーザがクリックすると、エクスプロイトキットのランディングページへ誘導する
不正なコードを挿入し改ざんした正規の Webサイトから、ユーザをエクスプロイトキットのランディングページへと誘導する

攻撃者は、エクスプロイトキットでランサムウェアを拡散するために、正規の広告ネットワークや有名 Webサイトに不正広告を組込みます。この手法は、非常によく利用される方法の１つです。2016年３月、米国の大手ニュースサイトと芸能ポータルサイトが不正広告を利用した攻撃を受けました。それらの Webサイトを閲覧したユーザは、不正広告を経由で Angler EK に誘導され、マルウェアである「BEDEP」、そしてランサムウェアに感染しました。2016年７月には、リムーバブルドライブと共有ネットワークに保存されたファイルを暗号化するランサムウェア「CrypMIC」と「CryptXXX」が Neutrino EK によって交互に拡散されました。また、2016年初頭、大手メディアの Webサイトで不正広告が利用され、ランサムウェアを拡散するエクスプロイトキットへとユーザが誘導された事例が報告されています。

Adobe Flash Player の脆弱性「CVE-2015-3105」を利用する Magnitude EK は、「CryptoWall」の亜種を拡散していました。悪名高い「LOCKY」ファミリの拡散には、４種類のエクスプロイトキットが利用されており、そのうちの１つは Adobe Flash Player の脆弱性「CVE-2016-1019」と、Windows カーネルモードドライバにおける権限昇格の脆弱性「CVE-2015-1701」を利用していました。2012年および 2013年に広く利用された Blackhole EK は、金融機関と電気通信企業を狙ったマルウェアスパムのキャンペーンに利用されました。スパムメールのメッセージには「CryptoLocker」へ誘導するダウンローダが含まれていました。

図2：「CERBER」、「サービスとしてのランサムウェア（Ransomware as a Service、RaaS）」として流通するこのランサムウェアは、 Rig EK と Magnitude EK が拡散する

■暗号化以上の機能を実装
従来のランサムウェアと比較的最近作成されたもののうちいくつかは、自身の活動数種の機能を追加しています。そしてサイバー犯罪者は、注ぎ込んだ労力を無駄にせずエクスプロイトキットの効力を持続させ、さらに利益を上げます。

例えば、Neutrino EKによって拡散される「CryptXXX」は、Webブラウザやメールソフト、ネットワークドライブの割り当てツール、ファイル管理ソフト、さらにはオンラインポーカーゲームのソフトからもシステムの認証情報を窃取する機能を備えています。4種類のエクスプロイトキットによって拡散される「CERBER」の亜種は、生産性アプリケーションのクラウドプラットフォームから企業を攻撃しているのを確認されました。また、「分散型サービス拒否（distributed denial-of-service、DDoS）」のコンポーネントを、ファイルを暗号化するコードに追加してたことが報告されています。

「Shade」と名付けられたランサムウェアファミリ「Troldesh」の新しい亜種（「RANSOM_CRYPSHED.N」として検出）は、Nuclear EK によって拡散されます。このランサムウェアは、主にロシアや独立国家共同体の国々の企業を狙い、偵察活動と遠隔操作を行うために、リモート操作および画面の共有ができるツール「TeamViewer」の修正版をインストールします。

図3：更新プログラム未適用の脆弱性を利用するランサムウェアから、ユーザ機器を保護する「Trend Micro Deep Security™」の「仮想パッチ」。

■既存のセキュリティ対策を回避
エクスプロイトキットが既存のセキュリティ対策からの検出回避機能を備えれば、ランサムウェアはさらに首尾よく拡散されることになります。Angler EK はその全盛期に、素早くゼロデイ脆弱性を、とりわけ Adobe Flash Player と Java のゼロデイ脆弱性を攻撃に取り入れることにより、感染拡大に成功していました。

Angler EK は、IPアドレスの広範なリストから、ドメインと DNS の登録名をローテーションさせる構造を備えていました。これにより不正なネットワークの検出とブラックリスト化が回避されやすくなります。Angler EK はまた、ローカルファイルシステムにインストールされているファイルを識別することにより、仮想環境下で実行されているかどうかや、セキュリティ対策ソフトウェアの検知をおこないます。また、ドライブに書き込まずに、脆弱性を持つアプリケーションの実行プロセスに直接コードを追加して感染させる機能を備えていました。

Angler EK のエクスプロイトコードおよび関連マルウェアは、共に難読化・暗号化されており、検出を困難にしています。最近確認されているいくつかのエクスプロイトキットの活動でも、不正なコードを難読化するために関連マルウェアが暗号化されています。

エクスプロイトキット	関連マルウェアの暗号化	エクスプロイトキット	関連マルウェアの暗号化
FlashPack EK	X	SweetOrange EK	X
Rig EK	X	GongDa EK	X
Magnitude EK	X	Styx EK	X
Nuclear EK	○	HanJuan EK	○
Fiesta EK	○	Neutrino EK	○
Angler EK	○

エクスプロイトキットとランサムウェアの組み合わせは非常に厄介です。ランサムウェアを利用するサイバー犯罪者は、攻撃の手を緩めるどころか、さらに大きな組織を攻撃対象に加え利益を増大させています。ランサムウェア拡散に大変便利なエクスプロイトキットは、さらなる利益を求めるサイバー犯罪者に大いに重宝されていることがうかがえます。

■トレンドマイクロの対策
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。

3つ以上のコピーを保存
2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security（CAS）」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

※協力執筆者：Brooks Li、William Gamazo Sanchez および Sumit Soni

参考記事：

「Tools of the Trade: Ransomware and Exploit Kits」
by Joseph C Chen（Fraud Researcher）

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

2016年10月から継続して確認される巧妙な日本語メールと頒布されるランサムウェアを解析

2016年10月以降、トレンドマイクロではランサムウェアの頒布を目的とした日本語マルウェアスパムの流布を継続して確認していることは、11月10日の記事でお伝えしました。このサイバー犯罪者が新たに日本を標的とし始めたことを示す事例について、今回は続報として確認された日本語メールのまとめと頒布されるランサムウェア自体についての解析をお伝えします。

図1：マルウェアスパムの添付PDFファイルの例

■10月以降繰り返されている日本語メールによるランサムウェア頒布
以下は 10月以降現在までにトレンドマイクロが確認したランサムウェア頒布目的の日本語マルウェアスパムの内容をまとめたものです。

	10月2日以降	10月27日以降	10月31日以降	11月5日以降
メール件名	「システム改修のお知らせとご協力のお願い」の文字列を含む件名	「【受任のお知らせ】」の文字列を含む件名	【重要】総務省共同プロジェクト　インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について	【重要】総務省共同プロジェクト　コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について
送信元ドメイン	sigaint.org
添付ファイル	添付ファイル無（メール本文で「MEGA」からのダウンロードを誘導）		ZIPファイル（PDFファイル）（PDF の内容で「MEGA」からのダウンロードを誘導）
名目	修正パッチ	法律事務所からの文書）	ウイルス除去ツール	ウイルス除去ツール
ランサムウェア種別	STAMPADO	MISCHA	MISCHA	STAMPADO

表：10月以降にトレンドマイクロが確認したランサムウェア頒布目的の日本語マルウェアスパムの内容

トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の統計によれば、これら 4種類のマルウェアスパムは最大でも数十通レベルの検出にとどまっており、現時点で広く一般にばらまかれたものとは言えない状況です。送信元はすべてが海外の匿名フリーメールサービスである「SIGAINT」です。また、ランサムウェアのファイルは直接添付されておらず、受信者をだまして海外のクラウドサービスである「MEGA」からダウンロードさせる手法をとっているのもすべてに共通する点です。

同時に、利用されているファイルからも共通点が見て取れます。「10月31日」版のメールと「11月5日」版のメールに添付されていた PDF は配布団体の表記を除いてほぼ同内容となっており、特に「Windows Defender」を「Difender」と間違っている個所なども同一となっています。また、「10月27日」版と「10月31日」版で使用されたランサムウェア「MISCHA」の検体は同一ハッシュでした。これらのことから考えて、確認された 4種の日本語マルウェアスパムの背後には共通のサイバー犯罪者がいるものと推測されます。

図2：添付PDFファイルの内容例

■頒布されたランサムウェア 2種「STAMPADO」と「MISCHA」
この 4種のメールでは「STAMPADO」と「MISCHA」という 2種のランサムウェアが頒布されました。前回のブログでも触れましたが、この 2種は現在の日本国内で流行するランサムウェアの傾向からは外れる存在です。「STAMPADO」は 2016年7月、「MISCHA」は 5月に登場した新種ランサムウェアですが、2016年9月までの SPN の統計では、双方とも国内での検出は確認されていませんでした。

図3：2016年第3四半期に国内で検出されたランサムウェアのファミリ別割合
「STAMPADO」と「MISCHA」はこれまでに検出を確認していない
br>

STAMPADO」は本ブログ7月28日の記事で取り上げたように、永久ライセンスが 39米ドル（約4,300円。2016年11月21日現在）の「Ransomware as a Service（RaaS）」として、破格の安値で闇市場に登場したランサムウェアです。活動内容は一般的な暗号化型ランサムウェアであり、他のランサムウェア「JIGSAW」と活動内容的な共通点があることは 7月28日の記事で触れたとおりです。

図4：「11月5日」版のメールで頒布された「STAMPADO」に感染した際の画面例

もう一方の「MISCHA」は元をたどれば 3月に登場したランサムウェア「PETYA」と関連のあるランサムウェアです。「PETYA」はハードディスクに記録されたファイルを管理する仕組みである MFT（マスターファイルテーブル）を暗号化し、結果的にハードディスク内のデータへのアクセスを不可にする悪質な活動を行うランサムウェアとして注目されました。しかし、Windows の UAC（ユーザアカウント制御）機能が有効な場合（デフォルトで有効）、このハードディスクの暗号化を行う際には、変更の許可を求めるダイアログが表示されます。そのダイアログ上で「いいえ」が選ばれると暗号化が実行できず、何の影響も及ぼせないという弱点がありました。

図5：「10月31日」版のメールで頒布された「MISCHA」を実行した際の UAC表示例
「はい」を選択するとハードディスクの、「いいえ」を選択するとファイルの暗号化が行われる

そこで、「いいえ」を選ばれた際にも暗号化を行えるようになったのが「MISCHA」です。「MISCHA」では「いいえ」が選ばれると、特に UAC の許可を必要としないファイル暗号化を行ったあと、身代金を要求します。

図6：ファイル暗号化を行った場合の「MISCHA」の身代金要求画面例

図7：ハードディスク暗号化を行った場合の表示画面例、PC起動時に OS が起動せずこれらの画面が表示される

「MISCHA」も 7月以降に「Ransomware as a Service（RaaS）」としての提供が報道されており、サイバー犯罪者にとって比較的入手しやすい存在になっているものと考えられます。

このように、一連の日本語メールには多くの共通点があり、共通のサイバー犯罪者（グループ）が背後にいる可能性が高いものと言えます。また、メール自体の内容や、これまでの傾向と異なるランサムウェアを利用していることなどから、これまで日本に流入していた英語のマルウェアスパムとは異なるサイバー犯罪者が日本を標的として新たに活動を開始したものであることが推測されます。また、その中にはある程度日本語に堪能かつ日本の事情を分かっているメンバーがいることも併せて推測されます。

■被害に遭わないためには
ランサムウェアなどの不正プログラムは一般的に、電子メール経由か Web経由で PC内に侵入します。そもそもの侵入を止めるため、この 2つの経路での侵入を検知する対策製品の導入が重要です。今回のマルウェアスパムの事例でもそうであるように、メールを安全なものであるかのように受信者に錯覚させる手口が常套化しています。受信者をだます手口は常に変化していきますので最新の攻撃手口を知り、安易にメールを開かないよう注意してください。また、そもそも不審なメールを可能な限りフィルタリングし、一般利用者の手元に届かないようにする対策も重要です。

ランサムウェアによるデータ暗号化被害を緩和し、早期の復旧を行うためにも定期的なデータのバックアップが重要です。バックアップの際には 3-2-1ルールを意識してください。3つ以上のバックアップコピーを、可能なら 2つの異なる書式で用意し、そのうちの 1つをネットワークから隔離された場所に保管してください。

■トレンドマイクロの対策
今回の記事で言及したランサムウェアについては「ファイルレピュテーション（FRS）」技術により「RANSOM_STAMPADO」もしくは「RANSOM_MISCHA.E」として検出します。「ウイルスバスタークラウド」、「ウイルスバスター™ コーポレートエディション XG」、「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品では「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロックすることが可能です。

今回の攻撃で確認されたマルウェアスパムについては、「E-mailレピュテーション（ERS）」技術で受信前にブロックします。「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などのメール対策製品では特に ERS技術により危険な電子メールの着信をブロックします。

※調査協力：秋保陽介（Regional Trend Labs）、東結香（Regional Trend Labs）、日本リージョナルトレンドラボ（RTL）

解析情報：「CERBER」、データベースファイルの暗号化機能を追加

「CERBER」の作成者およびこのランサムウェアを利用するサイバー犯罪者は、自身の利益をより増やすことに余念がないようです。このランサムウェアは、バージョン 4.0から、企業に大きな影響を与えるデータベースファイルの暗号化機能を追加しています。整理された情報を保管する収納庫であるデータベースは、企業が保持する情報を保管・検索・分類・分析・管理することを可能にします。効果的に利用すれば、企業の効率アップに役立つデータベースですが、これらの重要なファイルを人質に取られれば、ビジネスの運営と収益に損害を受ける恐れがあります。

即日利用開始できる「Ransomware as a service（RaaS）」としてサイバー犯罪初心者に販売されている「CERBER」は、初めて確認されて以来、さまざまなバージョンへ変化を遂げてきました。「CERBER」がこれまで取り入れたさまざまな手法には、「分散型サービス拒否（distributed denial-of-service、DDoS）」の機能追加、二重に圧縮したWindowsスクリプトファイルの利用、クラウドサービスの悪用が挙げられます。また、情報収集型マルウェアが2段階目の攻撃として「CERBER」を取り入れた例が確認されています。

頻繁に更新を繰り返しているところから、作成者が活動的であること、実入りの良い RaaS と利用会員から見られていることがうかがえます。弊社は、バージョン 4.1.4 が 1日のうちにバージョン 4.1.5 に更新されるのを確認しました。「CERBER」の作成者は利用会員から 40％の手数料を得ており、2016年7月だけで、20万米ドル（2016年11月28日現在、約2,200万円）の利益を上げています。

図1：「CERBER」のバージョン4.1.5の一例

データベースのファイルの暗号化をするのは「CERBER」だけではありません。2016年上半期に確認された「CRYPJOKER（RANSOM_CRYPJOKER.A）」、「SURPRISE（RANSOM_SURPRISE.A）」、「PowerWare（RANSOM_POWERWARE.A）」、「Emper（RANSOM_EMPER.A）」などのランサムウェアの暗号化対象ファイルには、データベース関連の拡張子を持つファイルが含まれていました。これには、dBASE（拡張子dbf）、Microsoft Access（拡張子accdb）、Ability Database（拡張子mdb）、Apache OpenOffice（拡張子odb）のファイルが含まれます。企業にとってデータベースファイルがどれほど重要かを考慮すると、身代金支払いへの圧力を強化するため、作成者が「CERBER」の暗号化対象ファイルリストにこれらを追加したことがうかがえます。

「CERBER」のバージョン 4.1.0、4.1.4 および 4.1.5 は、4.1.0以前のバージョンである「RANSOM_CERBER.CAD」と「RANSOM_CERBER.A」同様に、特定の言語に設定されている機器やシステムへの感染を避けるように作成されています。Windows の API関数「GetKeyboardLayoutList」を利用して設定言語を確認し、以下の言語が検出された場合、自身の活動を終了します。

ロシア語
ウクライナ語
ベラルーシ語
タジク語
アルメニア語
アゼリー語ラテン文字
グルジア語
カザフ語
キルギス語キリル文字
トルクメン語
ウズベク語ラテン文字
タタール語
ルーマニア語系モルドバ語
ロシア語系モルドバ語
アゼリー語キリル文字
ウズベク語キリル文字

弊社は、監視によりこの挙動を確認しています。2016年3月から 11月にかけて、「CERBER」の多くは、主に米国、台湾、ドイツ、日本、オーストラリア、中国、フランス、イタリア、カナダおよび韓国で検出されました。

図2：「CERBER」を拡散するスパムメールの例

■侵入経路および拡散方法
弊社が確認した、最新の「CERBER」の検体は、スパムメールにより拡散するもので、オンライン決済サービス提供者から送信された、融資限度額の超過の通知メールに偽装していました。そしてメールの受信者は、口座を確認するよう促されます。

スパムメールは、ユーザの PC を感染させるため2つの手法を利用します。１つはランサムウェアをダウンロードさせる不正なリンクの利用、2つ目は不正な JavaScript が含まれている ZIPファイルの利用です。弊社が確認した他のスパムメールは、請求書を偽装したもので、無作為な名称の Word文書が添付されていました。Word文書には不正なマクロが埋め込まれており、マクロを有効にするとランサムウェアをダウンロードし実行するように作成されていました。「CERBER」の拡散には、エクスプロイトキットも利用されます。「Rig Exploit Kit（Rig EK）」、「Neutrino Exploit Kit（Neutrino EK）」および「Magnitude Exploit Kit（Magnitude EK）」を利用し拡散されます。

図3：「CERBER」のバージョン 4.1.5では、RAMディスクも暗号化対象に設定されている

■データベースファイルの暗号化
「CERBER」は、固定ドライブ及びリムーバブルドライブ内のファイルの暗号化だけでなく、共有ネットワーク上のフォルダ内のファイルも暗号化します。興味深いことに、「CERBER」は、仮想ストレージとして設定されたメモリ部分である RAMディスクに保存されているファイルも暗号化の対象とします。

弊社は、「CERBER」がどのようにデータベースに関連するファイルを暗号化するかを解析したところ、この活動がすでにバージョン 4.0から実装されていたことを確認しました。「Pseudo Darkleech」のキャンペーンで、「CERBER」が拡散されたことが確認されています。「CERBER」はまた、暗号化をしないファイルのパスの一覧を備えており、それには Microsoft SQLサーバとメールソフトが含まれます。しかし、データベースサーバが共有フォルダに直接割り当てられていれば、「CERBER」はその中のファイルも暗号化します。

また、「CERBER」は、暗号化を確実に実行するため、暗号化の前にデータベースソフトウェア関連のプロセスを終了します。このプロセスが実行中であれば、オペレーションシステム（OS）がファイルへの書き込みを阻止し暗号化が妨害されるためです。「CERBER」のバージョン 4.1.5 の環境設定ファイルに記述されている暗号化対象のファイルの長いリストには、Microsoft Access、Oracle、MySQL、SQL Server Agent、また、会計ソフトおよび給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

「CERBER」のバージョン 4.1.0、 4.1.4 および 4.1.5 の各環境設定ファイルを比較すると、これらが皆同じデータベース関連ファイルを検索することがわかります。「CERBER」はその他、データベース関連のファイル拡張子「csv」「usr」「pdb」「dat」「cls」を持つファイルを暗号化します。

拡張子（右）に関連付けられるソフトウェア名称	拡張子
Microsoft Access	.accdb, .accde, .accdr, .accdt, .adp, .odc
Alpha Five, Ability Database	.adb
Advantage Database Server, Progress Database	.ai
Oracle	.al
Backup copy	.bak
Microsoft Works, Blaise Database	.bdb
Cardscan card database, Pocket Access, Database, Borland Turbo C main database file, Symbian OS contact database file, Cleaner trojan database file	.cdb
SQLite 3 File	.cls
Comma-separated Value	.csv
Clarion	.dat
ANSYS, Arcview, dBASE IV,dBFast, iRiver Plus3	.db
MSQLite Database	.db_journal
dBASE III, SQLite	.db3
CBDF, iAnywhere, AlphaFive, ACT!, Psion Series 3, NovaBACKUP	.dbf
Database Index	.dbx
EstImage Database, Euphoria Database System	.edb
Ruby SQL File	.erbsql
Fiasco Database, FlexyTrans Database, FlukeView Database, Firebird Database, FoxPro Database, Legacy Family Tree Database, Navison Financials Database, FeedDemon SQLite Data File	.fdb
IDEA! Project Management Database	.ibd
MySQL InnoDB	.ibz
Symantec Q&A Relational Database	.idx
KeePass Password Database	.kdbx
Kaspersky Virus Database	.kdc
SQLite	.litesql
Database Index	.mbx
NEi Nastran Modal Database, Microsoft Access	.mdb
IBM Powerplay	.mdc
SQL Server Master Database	.mdf
MYSQL Database	.myd
Lotus Notes Database	.ns2, .ns3, .ns4, .nsf, .nsg, .nsh
NRG Site Database	.nsd
NexusDB Database	.nx2
Mybase Database	.nyf
Organizers Database, Arcview Object Database	.odb
Palm OS Database, Pegasus Database, QuickPOS Database, Visual C++/.NET Program Database, BGBlitz Position Database, Martini Personal Database	.pdb
PostGRESQL	.pdd
SQL Server Master Database	.mdf
Password Safe Database	.psafe3
Redis Database, Oracle, Value Navigator Database, Darkbot Random Database, Zonealarm Mailsafe Database, OpenOffice Database	.rdb
SQLite 3.0 Database	.s3db
Windows Compatibility Solution Database, yEncExpress Databas, Windows Security Database, SideKick 2 Database, Summer Camp Scheduler Database, Windows2000 Security Configuration and Analysis Database, SQLite Database, OpenOffice Base Database, ServerBoss Database, AutoDesk Survey Database, AutoCAD Civil 3d Survey Database	.sdb
Microsoft SQL	.sdf
Structured Query Language Data	.sql
SQLite Database	.sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal
Concordance Full Text Database	.tex
User Database	.usr

図４：「CERBER」が暗号化を回避するフォルダ

図５：「CERBER」によって終了されるプロセス

■トレンドマイクロの対策
「CERBER」の「Tactics, Techniques, and Procedures（TTP、攻撃手口）」の改良内容から、このファミリが規模に関係なく各企業・組織への攻撃に移行していることがうかがえます。また、ランサムウェアによって損害を与えられた場合の企業の被害額が増加する兆候も見られます。定期的に会社の重要資産のバックアップをとることによって、「CERBER」による被害を軽減できます。ランサムウェアの亜種の多くは、アクセス権を持つ管理者などのアカウントを利用し、プロセスの終了などの不正活動を行うため、アクセス権の管理をすることにによって侵入を最小限にすることが可能です。個人ユーザや企業は、入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する、多層的なセキュリティ対策によって防衛できます。

ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターによりCERBERの攻撃をブロックします。

ThreatDV 25841: UDP: Ransom_HPCERBER.SM6 (Cerber) Checkin

バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。

3つ以上のコピーを保存
2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター™ コーポレートエディション XG」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

侵入の痕跡（Indicators of Compromise、IOC）

不正な Webサイト経由で拡散される CERBER
hxxp://martialartmuscle.com/wp-includes/images/media/css/fx.exe

エクスプロイトキットによって拡散される CERBER
0a6ec6a46e66863e48a05058963d9babf2c2b911 — Cerber 4.1.0
fddb48d4910adc0aa75b9529a90e11dac62c41ce — Cerber 4.1.1
620dca44514ee1d440867285bbb2a73a35303876 — Cerber 4.1.3
8185e5477e29b1095f5fc42197baddac56fb44d2 — Cerber 4.1.4
317b1dea823f942061f1f8c6612ef745704c9962 — Cerber 4.1.5

スパムメールによって拡散される CERBER
cc8f31bb926f862b3c5360e33c32134b871008de — Ransom_CERBER.F116K8 (Cerber 4.1.5)
9d48589dc1e202847980004f8290cd12289f7a5c — Ransom_CERBER.F116K7 (Cerber 4.1.3)
66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Cerber 4.1.0

感染PC に作成された HTMLファイルがアクセスする Webサイト
hxxp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://api.blockcypher.com/v1/btc/main/addrs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxps://chain.so/api/v2/get_tx_spent/btc/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt

66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Ransom_HPCERBER.SM6
aa3fc1d5a79e1d43165b5556bae2669fd68455508bb667a457fa3dfd25b6222e (SHA256) — Ransom_HPCERBER.SM6

関連URL
hxxp://xrhwryizf5mui7a5.15ktsh.top/
hxxp://xrhwryizf5mui7a5.uhi7to.bid/
hxxp://xrhwryizf5mui7a5.onion.to/
hxxp://vyohacxzoue32vvk.onion/

※調査協力：Joseph C. Chen、Jon Oliverおよび Chloe Ordonia

参考記事：

「Businesses as Ransomware’s Goldmine: How Cerber Encrypts Database Files」
by Mary Yambao and Francis Antazo（Threat Response Engineers）

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

新しい「Mirai」、ルータを狙うポート7547への攻撃が示す今後の脅威

トレンドマイクロは、2016年10月に史上最大の「分散型サービス拒否（DDoS）」攻撃を引き起こした「Mirai」の新たな亜種（「ELF_MIRAI.A」として検出）による tcp/7547への攻撃を確認しました。日本でも 11月26日ころより tcp/7547へのポートスキャンの増加が観測され注目されていましたが、これは特に日本にのみ向けられたものではなく世界的に発生しているものでした。米 SANS Internet Storm Center の観測では、それまでの 3週間には最大で1日2,700件弱だった通信量が、ピークの 11月27日には 110万件以上と、400倍以上の急増が確認されています。特にドイツの大手 ISP「Deutsche Telekom（ドイツテレコム）」では自社顧客のルータが攻撃を受け、大きな通信障害が発生したことを公表しています。

図1：ポート7547の通信量推移（米 SANS Internet Storm Center による）

結果的にこのスキャンは、「CPE WAN Management Protocol（CWMP）」と呼ばれる通信機器の遠隔管理機能のコマンドインジェクション脆弱性を狙ったものでした。CPE とは主に ISP などの通信事業者の顧客側に設置される通信機器の総称であり、ルータやケーブルモデムなどからセットトップボックス（STB）やIP電話までも含まれる用語です。CWMP はこれらの通信機器を遠隔管理するためのプロトコルであり、今後のスマートホームにも関連してくる技術と言えます。

「Mirai」の 10月の大規模な DDoS攻撃時には、リスト型アカウントハッキングによりインターネット上の Webカメラが攻撃の踏み台にされたことがわかっています。今回はそれと同様に CWMP の脆弱性を持つルータを侵害した上で攻撃基盤化することを狙ったものと思われます。実際、ドイツテレコムの公表では、CWMP経由で顧客のルータに不正プログラムを感染させようとする攻撃が発生、結果的に感染には失敗したもののルータがクラッシュするなどして大きな障害につながった、としています。その影響範囲についてですが、ドイツテレコムでは、およそ 90万人の顧客で脆弱性を持つルータを使用していたとしています。

今回の攻撃の日本国内への影響度ははっきりとはわかりませんが、インターネット上のデバイスに特化した検索エンジンである「SHODAN」によれば、ポート7547で「TR-064」の通信を待ち受けている機器は日本国内合わせて 800台弱とのことです。ここから考えると、日本で甚大な被害が発生する可能性はそれほど大きくないものと言えます。

しかし、危険は今回のみに留まらないことは明らかです。「Mirai」に関してはすでにソースコードがインターネット上で公開されていたため、新たな亜種による攻撃の登場は時間の問題でした。また、攻撃者は継続的にインターネット上に接続された機器の侵害を狙っていること、侵害には設定やアカウント管理の不備、遠隔攻撃が可能な脆弱性など大きな意味での「セキュリティホール」を利用してくることを、今回の事例は示しました。弊社では今後もインターネットからアクセス可能な通信機器や IoT機器の「セキュリティホール」を狙う攻撃を注視し、いち早く情報を共有していきます。

■被害に遭わないためには
今回の攻撃は、インターネットに接続された機器ではアカウントとパスワードの管理や脆弱性のアップデートがセキュリティとして必要であることを示しています。遠隔管理のためのアカウントのパスワードは必ず初期設定から変更し、類推されにくい文字列を使用してください。機器にアップデート自動化の機能がある場合は必ず有効にしてください。自身が管理する機器を見直し、インターネットに直接接続する機器以外はルータなどの背後に設置してください。

家庭内でインターネットに接続する機器を安全に保つために事業者、利用者双方が行うべき対策のヒントについては、こちらも参考にしてください。

安全なスマートホームの実現：居住者とメーカーに向けた対策のヒント：IoT Security Headlines

米サンフランシスコ市交通局で被害、ランサムウェア「HDDCryptor」を解析

米国の「サンフランシスコ市交通局（San Francisco Municipal Transport Agency、SFMTA）」は、2016年11月28日（現地時間）、ランサムウェアの攻撃を受けたことを公表しました。SFMTA の説明によると、11月25日にランサムウェアによる感染を確認し、当初約900台の PC が影響を受けたとのことです。また、暗号化されたデータの回復のために 100BTC（ビットコイン、2016年12月6日時点で日本円にして 9百万円前後）を要求されており、要求に応じない場合、収集した 30GB分のデータを公開する、との脅迫を受けているとの報道もあります。トレンドマイクロでは、この攻撃で使用されたランサムウェアは 2016年9月に登場した暗号化型ランサムウェア「HDDCryptor（エイチディーディークリプタ）」の新しい亜種であり、ばらまき型の攻撃ではなく、ネットワークの侵入により SFMTA 内に感染したものと推測しています。

■SFMTA を襲った「HDDCryptor」
トレンドマイクロでは、11月下旬に「HDDCryptor」の新しい亜種が拡散していることを確認しました。解析の結果、この亜種は SFMTA への攻撃に利用されたランサムウェアであるものと考えています。この亜種は、「HDDCryptor」の他のバージョンと同様に、ハードディスクドライブ全体、および Windows ネットワーク上の共有ドライブを暗号化するため、複数のツールを作成します。特にこの亜種を利用する攻撃者に接触すると、SFMTA が受信したものと CSO で報告されているメッセージに類似したものが返信されてくることが一つの根拠です。

図1：攻撃者からの返信。仮想通貨「Bitcoin（ビットコイン）」の入手方法の指示が含まれている

この 2016年には不正プログラム拡散の手段として、メール経由の攻撃が中心的に確認されています。しかし、「HDDCryptor」を拡散させるためのマルウェアスパム攻撃はまだ確認されていません。「HDDCryptor」を利用する攻撃者は、まず攻撃対象のシステムをアクセス可能な状態とし、遠隔操作で感染させる手口を使用しているものと考えられます。これらの遠隔操作には、バックドア型不正プログラムを利用する他にも、一般的な「リモート・デスクトップ・プロトコル（Remote Desktop Protocol、RDP）」を利用する手口が確認されています。弊社のアンダーグラウンド調査では、侵害を受けたサーバの認証情報が売買されている実態が明らかになっていることも考え合わせると、攻撃者は自身でネットワークに侵入せずとも、アンダーグラウンドで入手したサーバの認証情報を遠隔操作に利用している可能性もあります。

今回の SFMTA の事例でも同様に、おそらく PC に存在する脆弱性を利用した攻撃により、まず PCへアクセスできるようにしておき、その後、遠隔操作により「HDDCryptor」を感染させたものと推測しています。SFMTA のネットワーク内で感染を広める方法については、管理者の認証情報を利用し、なんらかのタスクをすべての機器上で実行するようスケジュールすることにより、感染させたものと見ています。

■どのように「HDDCryptor」が更新されたか
弊社は、「HDDCryptor」のバージョン違いを解析し、いくつかの変更点を確認しました。「HDDCryptor」の最初のバージョンは Visual Studio 2012 でコンパイルされていますが、SFMTA の攻撃でも使用されたと考えられる最新のバージョンは Visual Studio 2013 でコンパイルされています。この最新の亜種では、SFMTA への攻撃で利用されたものと同じ脅迫状を表示します。

「HDDCryptor」のネットワーク共有ファイルの暗号化は、モジュールの一部である、“mount.exe” ファイルによって実行されます。暗号化対象の各ドライブ名とパスワードが引数として “mount.exe” へ渡され、共有ファイルの暗号化活動が実行されます。

初期バージョンの「HDDCryptor」では、この “mount.exe” のプログラムデータベース（PDB）内に、crp_95_02_30_v3 という文字列が確認できます。

c:\users\public.unkonw\desktop\crp_95_02_30_v3\crp\release\mount.pdb

最新バージョンの「HDDCryptor」においても、同様の CRP_95_08_05_v3 という文字列が確認できます。

C:\Users\public.Unkonw\Desktop\CRP_95\CRP_95_08_05_v3\CRP\Release\Mount.pdb

これらの日時のタイムスタンプは信用できるものとは言えませんが、最新バージョンは初期バージョンの「HDDCryptor」を更新し、コードを「改良」していることの表れと見なせます。

「改良」の内容は様々ですが、その一例として検出回避機能があります。初期バージョン以外の「HDDCryptor」ではリソース部分（拡張子 rsrc）にあるデータが簡単な暗号化方式を利用して暗号化されています。これはセキュリティ対策製品による検出を免れるためによく使用される手口です。同時に、基本的なサンドボックス回避・デバッグ回避の機能、文字列のエンコードなど、セキュリティ対策製品などによる検出を回避するための「改良」が加えられています。

図2：リソース部分の復号化アルゴリズム。リソースをロードした後、アドレス0x9922D0 で復号が開始される
※検体ハッシュ値「97ea571579f417e8b1c7bf9cbac21994」

これまでの「HDDCryptor」の攻撃ではユーザアカウントの追加が行われていました。9月の時点で確認されたユーザ名は “mythbusters“ というものでした。その後まもなく、ユーザ名 “ABCD” が観察されましたが、これは検出を回避するために作成者が変更したものと考えられます。11月下旬に確認された最新の「HDDCryptor」では、ユーザアカウントの追加は行われず、代わりに “C:\Users\WWW” というファイルパスが追加されており、ローカルのハードディスクドライブおよびネットワーク共有ファイルの暗号化の実行に必要なファイルがそこに作成されます。

図3：「HDDCryptor」によって作成されるコンポーネント

「HDDCryptor」は、ネットワーク共有ファイルを暗号化した後、ローカルのファイルの暗号化に必要なコンポーネントをすべて作成し、システムを一旦再起動し、再起動後に自身の活動を再開します。

図4：再起動後に実行される、「HDDCryptor」の不正な活動のログ

その後、２度目の再起動をします。それから「HDDCryptor」は「マスター・ブート・レコード（MBR）」を上書きし、脅迫状を表示します（図5参照）。脅迫状は、バージョンにより Eメールアドレスと文言が異なりますが、他は同様です。

図5：「HDDCryptor」の脅迫状

新しいバージョンの「HDDCryptor」のファイルの実行中に渡される引数は復号のパスワードです。これは初期バージョンと同様です。

「HDDCryptor」ではハードディスクの暗号化のためにオープンソースのデータ暗号化ソフトウェア「DiskCryptor」を使用していますが、使用される「DiskCryptor」本体は再コンパイルされていないことが解析から確認されています。「HDDCryptor」では初期バージョンから “dcapi.dll” ファイルを改変し、脅迫状の表示を追加していました。

■「HDDCryptor」の次には何が予測されるか
今回の SFMTA への攻撃においては、30GB 相当のデータが窃取され、それを元に脅迫が行われたとされています。弊社では、これらの情報流出についてまだ確認していませんが、ランサムウェアが収集した情報を、ディープWeb やアンダーグラウンド上で公開・販売する傾向は、これまで弊社が予測してきたランサムウェアの変化と同一と言えます。ランサムウェアを利用した攻撃では、通常、元のファイルと交換に身代金がファイルの持ち主に要求されるだけであり、暗号化されたデータすべてを分別し、そこから販売する価値のある情報を探しだすことは現実的には非常に困難でしょう。しかし、ランサムウェアがデータを暗号化する過程で、そのデータのコピーを攻撃者の元に送出する、というのは無理のないプロセスです。ユーザが暗号化された情報に対して身代金２BTC（18万円前後）を支払ったということは、その暗号化されたデータの中にユーザにとって重要なデータがあることを意味します。すると攻撃者は、ユーザがどのような人物かを個別に確認します。もし単に家族経営のビジネスであった場合、身代金を受け取った後、ファイルを復号するための情報を渡します。しかし、身代金を払ったのが SFMTA のような組織であると判明した場合、攻撃者はすぐさま身代金を釣り上げ、追加手段として、ファイルの公開という脅迫を行うかもしれません。弊社では、この手口は、来年 2017年にはさらに顕著に見られるようになると予測しています。

侵入の痕跡（Indicators of Compromise、IOC）、および「RANSOM_HDDCryptor」に関連するハッシュ値は、こちらを参照してください。

■トレンドマイクロの対策
ランサムウェアによって引き起こされている最近の事例は、事業の中断、金銭の損失、評判の失墜といった弊害を組織へもたらすリスクを明らかにしているとともに、積極的なセキュリティ対策の重要性を強調しています。ユーザは、入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する、多層的なセキュリティ対策によって防衛できます。

3つ以上のコピーを保存
2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

※協力執筆者：William Gamazo Sanchez および Robert McArdle

参考記事：

「HDDCryptor: Subtle Updates, Still a Credible Threat」
by Stephen Hilt and Fernando Mercês

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

最新モバイル脅威事情：人気ゲーム便乗手口を「マリオ」で検証

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。不正/迷惑アプリをスマートフォンに侵入させようとする場合、最初の段階では利用者にアプリのインストールを承諾させる必要があります。サイバー犯罪者は利用者をだまし不正/迷惑アプリをインストールさせようと様々な手口を施してきますが、特に利用者が欲しがる人気アプリに偽装する手口がよく見られます。以前の記事でも「ポケモン Go」の話題性に便乗した手口をお伝えしていますが、今回は「スーパーマリオブラザーズ」などのゲームで世界的な人気を誇るキャラクター「マリオ」で検証します。

■人気キャラクターを使い利用者を引き付ける常とう手段
「マリオ」は日本の任天堂のゲームに登場する人気キャラクターです。特に 1985年「ファミリーコンピュータ」の時代に登場した「スーパーマリオブラザーズ」が人気を呼び、以降現在まで「マリオブラザーズ」もしくは「スーパーマリオ」は任天堂の代名詞的存在となっています。これまで、任天堂が iPhone や Android端末向けゲームを出していなかった関係上、「マリオ」がスマートフォンなどモバイルのゲームに登場することもありませんでした。そして今年9月、任天堂は iOS用ゲーム「スーパーマリオラン」の先行公開を発表、「マリオ」は正式にスマートフォン進出を果たすこととなり、注目を集めました。

しかしモバイル利用者を狙うサイバー犯罪者は「マリオ」を、正式には後発となるはずの Android端末に、既に「進出」させていました。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」では、2016年1月から 11月の間だけで、タイトルに「Mario」を冠するアプリを 9000件以上入手、解析しています。これは、任天堂が「正規版」を出していないことに目を付け、世界的なマリオ人気へのただ乗りを狙ったサイバー犯罪者の手口と言えます。正規版がない以上、これらのアプリはすべて不審な存在と言えますが、9000件のうちのおよそ 6000件は不正/迷惑アプリの活動を持つものと判定されました。これらの不正/迷惑アプリはインドネシアなど特にアジアの国々からの検出が多く、日本からも検出が上がっています。

図1：「Mario」に偽装する不正/迷惑アプリの検出国別割合（2016年1～11月・トレンドマイクロ調べ）

■「マリオ」を偽装する不正/迷惑アプリを解析
これらの不正/迷惑アプリのほとんどは広告表示を行うアドウェアや利用者に不要なアプリをインストールする迷惑アプリの類でした。今回は中でも不要アプリのインストールを促す迷惑アプリの典型的な活動内容について 2種を紹介します。

「AndroidOS_Downloader.CBTJ」

この不正/迷惑アプリは、アプリ名「Super Mario」として海外のサードパーティマーケットで頒布されていたことを確認しています。

図2：「AndroidOS_Downloader.CBTJ」のインストール画面

利用者がこのアプリをインストールし、実行してもゲームは起動しません。その代り、「アップデート」のためと称して別のアプリのインストールを促されます。

図3：インストール後起動してもスーパーマリオのゲームは起動せず、別のアプリのインストールを促される

インストールされる「9Apps」は海外のサードパーティマーケット用のインストーラであり、不正なアプリではありませんが、利用者に不要なアプリのインストールを行う迷惑アプリと言えます。
「AndroidOS_Dowgin.AXMD」

この不正/迷惑アプリも、アプリ名「Super Mario」として海外のサードパーティマーケットで頒布されていましたが、内容はより悪質です。

図4：「AndroidOS_Dowgin.AXMD」のインストール画面

こちらはインストール後に起動を行うと以下のような画面が表示され、実際にゲームがプレイできます。

図5：実際のゲーム画面例

実際にゲームが可能なため、一見問題の無いアプリに見えます。しかし実際には利用者の操作とは無関係に、不要なアイコンを作成する、ポップアップ広告や画面上部のバナー広告を表示する、アプリのインストールを開始する、などの迷惑かつ不正な活動も行われます。

図6：不正アプリインストール後に作成されているアイコンの例

図7：不正アプリインストール後に表示されるポップアップ広告の例

図8：表示されるポップアップの中でも偽のセキュリティ警告を偽装している例

図9：画面上部に表示されるバナー広告の例

これらのアイコンや広告をクリックするとアダルトサイトや偽のセキュリティ警告を頻発する不正サイト、他のアプリのインストールを促す表示などに誘導されます。いずれの場合も最終的な目的は他のアプリをインストールさせることです。インストールを促されるアプリには正規のアプリマーケットである「Google Play」上の無害な一般アプリの場合もありますが、サードパーティマーケットやインターネット上の不審なアプリや「機器管理者」の権限を要求する不正アプリもありました。

図10：不正アプリによる機器管理者権限の要求画面例

■被害に遭わないためには
今回はまだ正規版が出ていない人気キャラ「マリオ」に着目し、不審なアプリの存在を確認しました。このように、正規の方法では入手できないゲームなどと称し、不正/迷惑アプリを頒布する手口はもはや常とう手段となっています。このような不正/迷惑アプリはそのほとんどが海外のサードパーティマーケットで頒布されています。一般の利用者の中には、まだ正式に公開されていないアプリがいち早く手に入る、本来は有料のアプリが無料で手に入る、などを求めてサードパーティマーケットを利用している方がいるかもしれません。それらはそもそも正規版ではないアプリであり、安全が保証されたものとは言えません。基本、正規の Android向けアプリマーケットである「Google Play」の他、運営者がはっきりしている信頼できるサードパーティマーケットからのみ、アプリをインストールするようにしてください。Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことで、サードパーティマーケットやインターネット経由での不用意なインストールから端末を保護できます。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」の設定を有効にしてインストールを行ってください。

利用者に気づかれないように他のアプリをインストールさせる、自身のアイコンやプロセスを隠す、などの不正活動のためにはデバイスの管理権限が必要です。したがって、インストール時にデバイスの管理権限を要求する場合、不正/迷惑アプリの可能性が高いものとして注意すべき、ということも言えるでしょう。以下のようなデバイスの管理権限を要求する表示があった場合、アプリの内容に対して妥当かどうか、再確認してください。

図11：「デバイスの管理権限」を要求するインストール時の表示例 br>

■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「モバイルアプリケーションレピュテーション（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正Webサイトのブロックに対応しています。

調査協力：Jordan Pan、山本将史（Regional Trend Labs）、東結香（Regional Trend Labs）

家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説

家庭でインターネットに接続するスマートデバイスの活用が拡大しています。ルータは、通常そのような各家庭の唯一の門番と言えます。ルータ内蔵型のノートパソコンまたはデスクトップPC を利用している場合、あるいは雑多なデバイスがネットワークに接続されている場合も、セキュリティ上のリスクは同様です。トレンドマイクロの調査によれば、家庭用ルータは、「クロスサイトスクリプティング（XSS）」や PHP を狙う任意のコードインジェクション攻撃の影響を最も受けやすく、DNSオープンリゾルバを悪用する「DNS Amp」手法を利用した「分散型サービス拒否（DDoS）攻撃」に悪用されています。

「スマート」ではあっても安全ではないデバイスをインターネットに接続することは、例えるなら、詮索好きで悪意を持つかもしれない客を家に招き入れてしまうことによく似ています。その対策には、普通の鍵を玄関に取り付けても意味がありません。最近の家庭用ネットワークへの侵入事例を見ると、「悪意を持つ人」であるサイバー犯罪者は常に玄関を開ける方法を探しています。サイバー犯罪者は、スマートデバイスにマルウェアを感染させ、自身の指示通り動く「ゾンビ」に変えます。スマートデバイスを「ゾンビ化」、つまり「ボット化」して利用した攻撃の例として、最近発生した DNSプロバイダ「Dyn」や Brian Krebs への攻撃、あるいは特定の Netgear製ルータに確認されたコマンドインジェクションの脆弱性を狙った攻撃が挙げられます。

■バックドア、「ELF」、そして「Mirai」
家庭用ルータや「モノのインターネット（Internet of Things、IoT）」関連機器の「オペレーティングシステム（OS）」には、通常、普及率やコスト効率面から Linux が採用されています。そしてマルウェアもまた、Linux の移植性を有効に活用しています。x86アーキテクチャのシステムを攻撃するために作成されたマルウェアは、そのソースコードにほとんど変更を加えず、家庭用ルータ（多くは ARM または Armel アーキテクチャを採用したルータ）を狙うマルウェアに変換することができます。

家庭用ルータは、不正なアプリ、スクリプト、ELFバイナリの影響を受ける可能性もあります。たとえば、「BASHLITE（「ELS_BASHLITE」として検出）」は、2014年、大規模な DDoS攻撃で利用されました。また、最近では、ブラジル、コロンビア、台湾などを中心に、「デジタルビデオレコーダー（DVR）」のような IoT機器を感染させ、DDoS攻撃を仕掛けるためのボットネットが構成されました。また、ユーザの気付かぬうちに、ARM、Intel、および互換性を持つ x86 および x86-64アーキテクチャを狙うバックドア型不正プログラムに感染させる可能性があります。これには、「Umbreon」や「vlany」などの ring 3（ユーザモード）ルートキットが含まれています。このルートキットは、Linux を攻撃することでよく知られるルートキット「Jynx2」の機能を流用していました。

図１：Linux を狙うルートキットの導入スクリプトの抜粋

図2：ARM搭載システムを狙う ring3ルートキット「vlany」のサンプルコード

「Mirai」（「ELF_MIRAI」として検出）は、初期設定の認証情報の定義済みリストを利用しますが、その複雑さのために際立っていたのではありません。そのソースコードがハッカーのフォーラムで公開されたために、Mirai はオープンソースのマルウェアとなり、現在ではサイバー犯罪者の間で広く利用され、改良され、強力化しています。その亜種が英通信会社「TalkTalk」のルータをボット化するために利用され、Netflix、Reddit、Twitter、Airbnb などの大手サイトが攻撃を受けアクセス不能となりました。また、Mirai のボットネットがドイツの大手 ISP 「Deutsche Telekom（ドイツテレコム）」が提供する 90万台の家庭用ルータを攻撃し、サービス停止に追い込む事例も発生しました。

図3： Mirai が利用する、ルータ認証情報の初期設定値

図4： Mirai は、プライベートネットワークや特定の組織からの IPスキャンを回避する

■家庭用ネットワークが引き起こすセキュリティイベント
弊社は、どうしたら家庭用ネットワークがより安全に使用できるかを整理するため、家庭用ネットワークを狙う典型的な攻撃について調査するとともに、ネットワークに侵入する目的で頻繁に悪用される機器やアプリを調査しました。重要なポイントとして、これらの機器は簡単にボット化されています。弊社の IoTに関する調査および遠隔測定によると、2016年第1から第3四半期の間に、最も多く誘引されたセキュリティルールおよび発生イベントは次のとおりでした。

クロスサイトスクリプティング（XSS）試行
DNS Amp攻撃
任意の PHPコードインジェクション
仮想通貨「Bitcoin（ビットコイン）」や「Litecoin（ライトコイン）」のマイニング（発掘）
「Internet Information Services（IIS）」の、リモートでコードが実行される脆弱性（CVE-2015-1635）
JavaScript 難読化
WScript の、リモートでコードが実行される脆弱性
libstagefright の Android バッファオーバーフローの脆弱性を突く攻撃

誘引されたルール上位10	家庭用 IoT機器が攻撃に利用されていた割合
1130172 DNS Amp	100%
1054846 XSS-8	100%
1130593 IIS HTTP.sys	100%
1056167 XSS-12	98.01%
1050015 XSS-34	97.95%
1055106 PHP Code inj	96.57%
1059684 Bitcoin	95.62%
1056687 Javascript obfs-5	93.45%
1110895 WScript.shell	89.73%
1132263 Android tx3g B.O.	17.57%

表1：誘引されたルールの上位（2016年第1～第3四半期）

誘引されたセキュリティルールの非常に高い数値は、大部分が攻撃者に乗っ取られボット化した家庭用ルータによって攻撃が仕掛けられている可能性を示しています。これらは、主に米国（中国の 5倍以上）、韓国、カナダ、ロシアで発生しています。他に英国、ドイツ、オランダ、香港、スウェーデン、シンガポール、オーストラリア、スペイン、スイス、オーストリアがルータを利用した攻撃の上位検出国を形成しています。

図5:家庭用ルータを利用した攻撃の最多発生国（2016年第１～第3四半期）

ルータ当たりの平均攻撃数が最も多かったのは、韓国でした。例えば、第3四半期には、韓国への攻撃が最も多く、家庭用ネットワークで発生したセキュリティイベントの平均数が最多で 150となり、これは米国の 31と比較して非常に多いことがわかります。イベント発生国内における不正活動の増加とともに家庭用 IoT機器のボット化拡大頻度を表すものとなっています。

弊社の調査からは、誘引されたルールの中でも「DNS amp攻撃」、「IIS の脆弱性利用」、「ビットコイン発掘の活動」といった、今日頻繁に確認される脅威に関連した 3つのセキュリティイベントの持続が目立っています。

■DNS Amp攻撃
DNS Amp 攻撃とは、DNS リフレクション攻撃とも呼ばれる DDoS攻撃の一種で、一般公開されているアクセス可能な DNSリゾルバを利用し、狙ったユーザのシステムを DNS応答トラフィックでオーバーフローさせる攻撃です。最近の事例では、仏ホスティング会社「OVH」が DNS Amp の手法を利用した大規模な DDoS攻撃による被害を受けており、攻撃のうちの 1つは約1テラバイトに及ぶトラフィックとなり、最多を記録しました。これらの攻撃には、Mirai に感染したルータ、DVR、ウェブカメラなどの、セキュリティが確保されておらずボット化したIoT機器が利用されていました。

弊社の調査によると、DNS Amp攻撃が発生したすべての事例において、家庭用IoT機器が攻撃に利用されていたことが明らかになっています。DNSサーバ、良質なサーバやホストが被害に遭いました。この攻撃は内部から外側へ行われており、非常に多くの家庭用 IoT機器が持ち主の知らぬ間に侵害され、外部のネットワークを攻撃するようにプログラムされていました。Synology 製の NAS（ネットワーク接続ストレージ）デバイスは、確認された DNS Amp攻撃事例全体の約半数で利用され、NASデバイス 1台あたり平均853件に上り、他社製のデバイス関連の事例の約2倍となっています。

	イベント件数	デバイス数	デバイスあたりの平均イベント発生件数
Synology NAS	368,351	432	853
Unknown	198,193	513	386
Windows	111,618	351	318
Macintosh	51,071	272	188
Ubuntu 9-10	24,669	144	172

表2：確認された DNS Amp攻撃で利用されたデバイスの OS

■IIS の脆弱性（CVE-2015-1635）
企業ユーザ、家庭ユーザのどちらからも使用されるIISは、Microsoft が Windows NT シリーズ用に開発した拡張可能 Webサーバで、HTTP、HTTPS、FTP、FTPS、SMTP、および NTTP をサポートしています。弊社の調査から、攻撃者はネットワークに侵入するため、CVE識別子「CVE-2015-1635」の IIS に存在する脆弱性を悪用したことが明らかになりました。CVE-2015-1635は、通常、Webページのファイル転送に使用される “HTTP.sys” ヘッダパラメータの範囲内で、リモートでコードが実行される脆弱性です。この脆弱性を利用すると、攻撃者は、遠隔から細工したHTTPリクエストを介して任意のコードを実行したり、サービス妨害を引き起こしたりすることが可能となります。CVE-2015-1635 を利用した攻撃は主に Windows機器を標的としていました。

図6：不正なデータあるいはマルウェア侵入後の IISサーバの異常終了（Windows 7）

	セキュリティイベント件数
Windows OS 基本のシステム	57,602
Windows 7	29,806
Windows 8	11,205
Windows XP	1,822
Macintosh	1,335

表3:IIS の脆弱性をサーバへの攻撃に利用されたデバイスの OS

■ビットコインの発掘
暗号化技術を使用してデジタル通貨を生成するビットコインの発掘には、大規模な演算能力が必要です。家庭用ルータは、ネットワークデータを処理するには十分ですが、能力が限られています。そのため、マルウェア作成者やボットネット操業者は、必要に相応するだけの非常に多数のルータを感染させる必要があります。

ビットコイン発掘の活動は、従来の OS（主にWindows）、IPカメラやルータなどのスマートデバイスから発生しました。ネットワークトラフィックの調査から、ビットコイン発掘はほとんどの国で合法であるものの、ユーザの知らぬ間に、あるいは同意なしに行われた場合、システムへの障害を引き起こす恐れのあることが確認されています。そして多くの場合、ネットワークに接続された IoT機器がこれに該当します。

デバイスの OS または型	セキュリティイベント
Windows OS 基本のシステム	56,231
Windows 8	28,898
Windows 7	27,857
Xiaomi Router	17,466
D-Link IPCam	6,843

表4:ビットコイン発掘をするためのボットとして利用されていたデバイス

■被害に遭わないためには
家庭用ネットワークのセキュリティは、企業のネットワーク周辺の保護に劣らず重要です。乗っ取られた家庭用 IoTデバイスは、企業や組織の資産を狙う脅威となる可能性があります。脆弱な家庭用ネットワークは、所有者やISPだけでなく、ネットワークに接続されているデバイスや格納されている個人情報にも影響を及ぼします。デバイスのセキュリティを確保する重要な役割を果たすのは設計者や機器製造業者とはいえ、ユーザは、次のようなデジタルセキュリティ衛生を実践することで、家庭用ルータをボット化されるリスクを軽減できます。

機能性と使いやすさだけでなく、セキュリティとプライバシーがセールスポイントとして優先されているデバイスを使用する
デバイスのログイン認証情報（ルータであれば SSID、ユーザ名、パスワードなど）の初期設定値を変更し、不正アクセスの影響を受けにくくする
ルータの DNS設定を定期的にチェックし、改ざんされていないか確認する（例：ルータがクエリを転送している DNSサーバの IPアドレスをチェックするなど）
ネットワーク侵入者や通信に便乗する「piggybacker」を阻止するため、無線接続（Wi-Fi）を暗号化する
脆弱性の悪用を防ぐためにソフトウェアとファームウェアを最新の状態に保つ
ルータの内蔵ファイアウォールを有効にする
攻撃に対してより耐性を持たせるようルータを設定する（例：サブネットアドレスを変更する、ルータ上のランダム IPアドレスを使用する、SSL を強制するなど）
Webスクリプティング攻撃を防止するブラウザ拡張機能を使用する（例：ルータの IPアドレスへのアクセスを拒否する）
ルータがインターネットに露出していないかをチェックするツールを使用する（例：ポートスキャン）
家庭用IoT機器がモバイル端末に接続されている場合、信頼できる公式アプリストアで頒布されている正規のアプリのみを使用する
ボットネットの作成のためにマルウェアに利用される恐れのある、ユニバーサルプラグアンドプレイ（UPnP）、「Wi-Fi Protected Setup（ワイファイ・プロテクテッド・セットアップ、WPS）」、Telnet などのリモート管理機能、「Wide Area Network（ワイド・エリア・ネットワーク、WAN）」を介した Web管理ページへのアクセスなど、ルータの不要なコンポーネントを無効にする
OEM製や中古ルータは、十分に検討してから利用する。中には設定が不正あるいは不適切なものがあったり、さらにはバックドアが仕込まれていたりする可能性がある
侵入防止など、デバイスにセキュリティのレイヤを追加するツールを導入する

※協力執筆者：Kevin Y. Huang、Fernando Mercês および Lion Gu

参考記事：

「Home Routers: Mitigating Attacks that can Turn them to Zombies」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, TrendLabs）

ATMマルウェアの新ファミリ「Alice」を確認

トレンドマイクロでは、新たな ATMマルウェアファミリ「Alice」を確認しました。「Alice」は、弊社がこれまでに確認した ATMマルウェアファミリの中でも、機能を必要最小限に絞った点が特徴的です。他の ATMマルウェアファミリと異なり、現金自動預け払い機（Automatic Teller Machine、ATM端末）のテンキーを介した操作もできず、情報窃取機能も備えておらず、ATM端末から現金を窃取することだけが目的のようです。弊社ではこの ATMマルウェアファミリを「BKDR_ALICE.A」として検出対応しています。

「Alice」は2016年11月、欧州刑事警察機構の欧州サイバー犯罪センター（EC3）と弊社との共同調査中に初めて確認されました。この調査でハッシュ値のリストを収集し、さらに各ハッシュ値に対応するファイルを不審ファイル分析サービスサイト「VirusTotal」から取得しました。これらのバイナリの 1つは当初、ATMマルウェアファミリ「Padpin」の新亜種と考えられていましたが、リバース解析の結果、新しいファミリの一部であることが判明し、「Alice」と命名しました。

ATMマルウェアは 2007年頃から存在が知られていましたが、その後の 9年間で確認されたファミリは、今回の「Alice」を含めて 8つです。今回の新ファミリ発見は、さまざまなプラットフォームへの攻撃が増加する中、マルウェア作成者の志向が明らかになった点で注目に値します。金銭を扱う ATM端末が標的となる点でも深刻であり、この傾向はこの 2～3年で大きく加速し、多数のマルウェアファミリ確認に至っています。

■詳細
ファミリ名「Alice」は、このマルウェアのプロパティに掲載されたバージョン情報から命名されました。「Description」の項目に「Project Alice」と記されています。

図1：検体ファイル「Alice」のプロパティ

PEファイルへのコンパイル時期や「VirusTotal」への提供日等から、「Alice」は 2014年10月から感染報告されていたことが分かります。そして今回の検体は、「VMProtect」という市販のパッカー・難読化ツールに含まれている状態で確認されました。「VMProject」は、通常、組み込まれたバイナリファイルがデバッガ内で実行されているかをチェックし、実行されている場合、以下のエラーメッセージを表示します。エラーメッセージには「ファイルが破損しています。このプログラムは、操作されているか、ウイルスに感染しているか、壊れている可能性があり、正しく実行されません」という文言が英語で記されています。

図2：エラーメッセージ

「Alice」は、不正ファイル実行前にまず、ATM端末内であることを確実にするため、自身が正規の「金融・流通業界向け端末規格（Extensions for Financial Services、XFS）」の環境にいるかをチェックします。この動作は、以下のレジストリキーの有無を確認することで行われます。

HKLM\SOFTWARE\XFS
HKLM\SOFTWARE\XFS\TRCERR

これらのレジストリキーが存在しない場合、「Alice」は、目的の環境にいないと判断して自身を削除します。また、インストールに際して以下の DLLファイルを必要とします。

MSXFS.dll
XFS_CONF.dll
XFS_SUPP.dll

XFS環境にいることが確認された場合、「Alice」は、認証入力画面「Input PIN-code for access!」を表示します。XFS環境にいない場合は、エラーメッセージ「Project Alice」を表示します。

図3および4：実行後、いずれかのメッセージが表示される。
左側は、XFS環境にいることが確認された場合に表示される認証画面
右側は、XFS環境にいない場合に表示されるエラーメッセージ

「Alice」は実行されるとまず、5メガバイト強の空ファイル ”xfs_supp.sys” およびエラーログファイル ”TRCERR.LOG” をルートディレクトリに作成します。前者のファイルは、ゼロで満たされており何らかのデータが書き込まれることはありません。後者のファイル “TRCERR.LOG” は、実行中に発生したエラーを記録するログファイルとして使用されます。つまり、XFS規格のすべての APIが呼び出される際、それぞれに対応するメッセージやエラーが記録されます。このファイルはアンインストール時にも削除されません。将来的なトラブルシューティングのために保存されるのか、もしくはマルウェア作成者が削除対応を忘れただけなのかもしれません。

そして「Alice」は、周辺機器「CurrencyDispenser1」へ接続します。「CurrencyDispenser1」は XFS環境における「現金取り出し口」のシステム上の名称です。「Alice」は、これ以外に他の ATM端末ハードウェアに接続を試みることはありません。したがって犯罪者が PINパッドを介して何らかのコマンドを指示することもできません。

なお、「Alice」は「CurrencyDispenser1」への接続が失敗しても自身を削除することはありません。代わりにエラーを記録するだけです。

「Alice」へコマンドを指示するには、図3で示された認証画面に PINコードを入力します。コマンドには、以下のような 3つのコマンドが用意されています。

PINコード	コマンドの詳細
1010100	同じディレクトリ内にファイル “sd.bat” を復号・作成する。このバッチフィルは「Alice」の駆除やアンインストールに利用される。
0	プログラムを終了し、” sd.bat” を実行する。また、” xfs_supp.sys” を削除する。
ATM端末 ID に基づく特定４桁の PIN番号	「Operator Panel（操作画面）」を開く。

PINコードを何度か間違って入力すると以下のメッセージが表示され、「Alice」は自身を削除します。メッセージには「PINコード入力限度数を超えました!プログラムは実行できません!」と英語で記されています。

図5：エラーメッセージ

正しい PINコードを入力すると、「Alice」は「Operator Panel（操作画面）」を開きます。この画面には、現金が保管された ATM端末内の各種カセットが表示されます。攻撃者は、ここからいつでも現金を窃取することができます（今回の検体はテスト環境で実行されたため、カセットは表示されていません）。

図6：操作画面

カセットID として「0」もしくは「9」を入力すると、ファイル “sd.bat” が実行され、ファイル ”xfs_supp.sys” が削除されます。

現金引き出しを担当する「出し子」が操作画面にカセット番号を入力すると、「現金引き出し」のコマンドが「WFSExecute API」を介して周辺機器「CurrencyDispenser1」に送信され、カセット内に保管された現金が引き出されます。通常、ATM端末で一度に引き出しできる紙幣数は 40枚が限度であるため、出し子は、同じ操作を何度も繰り返して、カセット内の現金がなくなるまで続けます。各カセット内に保管された現金の数量は、画面にも表示されるため、出し子は、どれだけ繰り返せば現金を完全に取り出せるかも確認できます。

「Alice」は、通常、感染したシステム内で “taskmgr.exe” のファイル名で確認されます。これは、この種のマルウェアに一貫した手法でないものの、犯罪者は「Windows Task Manager」を「Alice」に手動で置き換えようとしていると考えられます。これにより、「Windows Task Manager」へのコマンドを「Alice」へのものに置き換えることが可能になります。

■結論
「Alice」で注目すべき特徴は次のとおりとなります。まず、機能が最少限に絞られた点です。弊社で解析した他の ATMマルウェアファミリと異なり、この ATMマルウェアファミリは、ATM端末内の現金を無難に引き出せる機能のみに限定されています。また、接続先も、周辺機器「CurrencyDispenser1」だけで、ATM端末の PINパッドを用いることもありません。理由としては恐らく「Alice」を利用する犯罪者は、ATM端末へ物理的に近づき、USB や CD-ROM を介して感染させ、ATM端末のメインボードにキーボードを接続させ、そこから（PINパッドを用いずに）操作することを意図しているからと考えられます。

ただしもう 1つ、遠隔でデスクトップPC からネットワークを介してメニューを操作する目的の可能性も考えられます。この手法は、タイで発生したハッキング事例やその他の最近の事例と類似しています。しかし現時点で「Alice」がこの手法で利用された事例は確認されていません。現金引き出しの前に PINコード入力が求められる点は、「Alice」が対面操作による攻撃のみを想定しているからだと考えられます。また、インストールやアンインストールに際して複雑な手順はなく、適正環境での実行ファイル機能だけに限定されています。

「Alice」のユーザ認証は、他の ATMマルウェアファミリと似ています。攻撃を担当する出し子は、依頼元の犯罪集団から PINコードを受けとり、これによりユーザ認証を行ないます。出し子が最初に入力すべきコマンドは削除用スクリプトです。そして各ATM端末に特化した PINコードを入力し、現金引き出し用操作画面へアクセスします。

PINコードは検体ごとに異なっています。これは、出し子が PINコードを誰かと共有して依頼元の犯罪集団に無許可で利用することを回避するためか、出し子の行動を追跡するためか、もしくは両方の目的のためのようです。弊社が取得した検体の PINコードは 4桁で、簡単に変更できるようになっていました。総当り式に何度も PINコードを入力しようとすると、入力限度回数により、このマルウェアは自身を削除してしまいます。

「Alice」は、XFS環境であるかどうを確認するだけで、その他のハードウェア関連の確認作業は行ないません。これは、このマルウェアが「Microsoft の XSF環境である限り、あらゆるベンダのハードウェア設定下で実行できる」という目的で設計されているからだと考えられます。

もう１つの特徴はパッカーの利用です。「Alice」は、市販パッカー・難読化ツール「VMProtect」を利用します。ただしこれは「Alice」だけの特徴ではありません。ATMマルウェア「GreenDispenser」は「Themida」を利用し、ATMマルウェア「Ploutus」は「Phoenix Protector」などを利用します。

パッカーで圧縮されることで、解析やリバースエンジニアリングがより困難になります。この手法は、一般的なマルウェアにも長らく利用され、現在は、マルウェア用にカスタマイズされたパッカーまで出回っています。そうした中、ATMマルウェア作成者は、なぜ今さらこのような圧縮や難読化の手法を用いているのでしょうか。

最近まで ATMマルウェアは、少数の犯罪者集団が特別な目的で利用したニッチな領域でした。しかし今日、ATMマルウェアは、一般に広く知られ始め、主要なマルウェアに分類されるようになってきました。これに伴い、多くのセキュリティ企業が、さまざまな ATMマルウェアについて分析や議論を展開し始めました。こうした中、犯罪者側は、セキュリティ業界で不用意に検知されるのを避けるため、改めて隠ぺい手法の必要性を感じ始めたのでしょう。現在、ATMマルウェアは、市販のパッカーを利用していますが、今後、よりカスタマイズ化されたパッカーや難読化の手法が用いられると予想されます。

技術的詳細、ATMマルウェアファミリ比較表および侵入の痕跡（Indicators of Compromise、IOC）については、こちらを参照ください。

参考記事：

「Alice: A Lightweight, Compact, No-Nonsense ATM Malware」
by David Sancho (Senior Threat Researcher) and Numaan Huq (Senior Threat Researcher)

翻訳：与那城務（Core Technology Marketing, TrendLabs）

ルータや IoT機器に危険をもたらす管理用機能の放置

2016年9月から10月にかけて、IoT機器にも感染可能なボット「Mirai」による大規模な「分散型サービス拒否（DDoS）」攻撃が大きな被害を発生させました。それ以来、インターネット上に存在するスマートデバイスやルータを含めた IoT機器を乗っ取る手法について注目が集まっています。12月21日の記事でも取り上げているように、既にルータや IoT機器の「ゾンビ化」「ボット化」させることで攻撃に利用する事例も次々に確認されています。この 11月末にはソニー製の業務用ネットワークカメラ製品の脆弱性が公表され、大きく報道されました。

■「Mirai」が示した管理用機能の悪用手法
これまで確認された事例から、「モノのインターネット（Internet of Things、IoT）」機器の乗っ取りを可能にする手法として、本来機器の管理やメンテナンスのために用意されていた管理用機能を悪用する手法がわかっています。「Mirai」が使用した IoT機器への感染手法は、機器の管理用機能にアクセスするために、設定されたパスワードの初期値や推測可能なパスワードのリストを利用して不正ログインを試みることでした。「Mirai」の作者とされるハッカーは、「Mirai」のソースコードを公開する際の声明において、40万台近くの IoT機器に「Mirai」を感染させ「ボット化」した、としています。これは管理用機能のパスワードが初期設定のまま放置されていた機器が想像以上に多いことを示していると言えます。
11月末に話題になったネットワークカメラ製品の脆弱性の場合、「debug」などの名称で複数の隠しアカウントが設定されていました。これらの隠しアカウントは、その存在を知ってさえいれば、誰でもネットワークカメラにアクセスし乗っ取ることが可能な「バックドア」となっていました。これらの隠しアカウントは利用者には変更不可な機能となっていたため、修正が必要な脆弱性と判断されました。アカウントの名称などから考えても、開発上の利便性のために設定していた管理用機能が削除されず放置されていたことにより、攻撃に利用可能な「脆弱性」になってしまったものと考えられます。

■「Mirai」を踏まえ、ルータでの攻撃可能性を検証
このような IoT機器での危険が明らかになる中で、トレンドマイクロではルータを含む様々な IoT機器における攻撃リスクを検証しています。ここではある日本製ルータに対する検証の例を示します。このルータは、中小企業向けの「仮想プライベートネットワーク（Virtual private Network、VPN）」構築に利用することを主目的に設計されているものです。機能を確認したところ、遠隔での管理のために管理者レベルとユーザレベルの2種のアカウントが設定されていることがわかりました。管理者アカウントでは機能の設定や変更などが行えますが、ユーザアカウントでは現在の設定内容の確認のみが行えます。
これらのアカウントに対しては、初期のパスワードが設定されています。そして、これらのアカウントの存在とパスワードの設定はマニュアル上の記載で利用者に明示されており、利用時にはパスワードを初期値から変更するように推奨されているなど、仕様と言えるものです。このように管理用アカウント情報をマニュアルに記載することは、他のルータや IoT機器でも行われており、そこに問題は無いように思えます。
しかし、推奨に関わらず管理アカウントのパスワードを初期設定のまま放置したり、またパスワードを変更したとしても推測可能な単純なパスワードを設定したりしてしまう利用者が多いことは、前出の「Mirai」の事例が示しています。マニュアルは攻撃者も参照可能です。攻撃対象の法人組織のネットワークでこのルータが使用されていることを知った場合、攻撃者は初期設定のアカウントとパスワードをまず試してみるでしょう。また、このルータの調査では、これとは別に権限昇格の脆弱性の存在も確認できました。もし、ユーザアカウントであれば不正ログインされたとしても設定の確認しかできないのでパスワードを変更する必要はないだろう、と考える利用者がいた場合、事態は複雑になります。ユーザアカウントでのログインの場合でも、脆弱性を利用することで本来できないはずの活動が可能となり、数分でルータが乗っ取られる可能性が生じます。ルータが乗っ取られた場合、「Point-to-Point Protocol over Ethernet、PPPoE」と VPN の認証情報を窃取することが可能になります。そして、これらの認証情報を利用すれば、本来 VPN 経由でしかアクセスできないはずの内部ネットワークへの侵入も可能になります。

図1：ユーザアカウント権限昇格の組み合わせにより窃取可能な PPPoE ログイン認証情報の表示例

■問題がないはずの「仕様」に潜む危険
このように、管理機能にアクセスするためのアカウントの初期パスワードがマニュアルに記載されていることはよくあることです。ここで検証したルータはすでに 10年以上前から存在する製品ですが、攻撃事例も報告されておらず、特に問題とするべきことではないように見えます。
しかし、「Mirai」の攻撃発生により、ルータを含めた IoT機器に注目が集まっている現在、以前の価値基準よりもハードルを上げて判断する必要があります。セキュリティベンダーも、攻撃者も、新たな視点で攻撃に利用可能な設定を探しています。仕様上は問題が無かったとしても、利用者がその設定を放置してしまうと外部の攻撃者に悪用されてしまう可能性が高まっているのです。
そして、「Mirai」のような大きな問題に発展しない限り、利用者はこのような管理機能の放置の問題を見過ごしがちです。流通している他の IoT機器も似通った状態にあります。私たちは、攻撃者が攻撃に利用可能な設定や脆弱性を抱える IoT機器を見つけ、意外なところから攻撃を仕掛けてくる前に、同様の問題に適正に対処する必要があります。放置していても、問題が自動的に解決されることはありません。

■今後の IoT機器のセキュリティのために
利用者の立場で考えた場合、インターネットに接続された機器では、アカウントとパスワードの管理や脆弱性のアップデートがセキュリティとして必要です。遠隔管理のためのアカウントのパスワードは必ず初期設定から変更し、類推されにくい文字列を使用してください。機器にアップデート自動化の機能がある場合は必ず有効にしてください。自身が管理する機器を見直し、インターネットに直接接続する必要がない機器はルータなどの背後に設置してください。

安全なスマートホームの実現：居住者とメーカーに向けた対策のヒント：IoT Security Headlines

■トレンドマイクロの対策

本記事で取り上げた日本製ルータにつきましては、既に「情報処理推進機構（IPA）」ならびに製品メーカに報告を行っております。
ソニー製ネットワークカメラの脆弱性を狙う攻撃については、ネットワークセキュリティ対策製品「TippingPoint」の以下の仮想パッチのDVフィルターによりブロックします。
- 26185: HTTP: Sony Ipela Engine IP Cameras Hardcoded Telnet Backdoor
不正プログラム「Mirai」が行う IoT機器の乗っ取りを目的としたネットワーク攻撃に関しては、ホームネットワーク向けセキュリティ対策製品「ウイルスバスター for Home Network」の「不正侵入対策」機能により防護可能です。