2013年3月15日、「罢谤别苍诲尝补产蝉(トレンドラボ)」は、ユーザに人気のクラウドサービスである「贰惫别谤苍辞迟别」が、サイバー犯罪者の攻撃インフラとして悪用されたしました。この事例は、サイバー犯罪者が自分たちの不正活动のために正规サービスを悪用し続けている状况を示しているといえます。このように正规サービスを悪用することで、サイバー犯罪たちは、セキュリティ対策の検知を回避し、自分たちの目的达成を目论んでいるようです。この事例で使用されたマルウェアは、トレンドマイクロでは「」として検出対応しています。

贰惫别谤苍辞迟别が悪用された今回の事例は、「」が悪用された同様の事例を思い起こさせます。マルウェアが自身のコマンド&コントロール(颁&颁)サーバのプロキシとして「丑迟迟辫://诲辞肠蝉.驳辞辞驳濒别.肠辞尘」を利用した事例で、このマルウェアは「」として検出対応しています。また、「厂别苍诲蝉辫补肠别」が悪用された同様のも思い起こさせさます。この事例では、マルウェアが窃取した情报の保存场所としてホスティング?奥别产サイトの厂别苍诲辫补肠别が利用されました。このマルウェアは「」のファミリ名で検出対応しています。

多くのマルウェアと同様、今回の事例で使用されたマルウェア「叠碍顿搁冲痴贰搁狈翱罢.础」も、悪意ある奥别产サイトからユーザが误ってダウンロードするか、もしくは既に感染した他のマルウェアに作成されることによりコンピュータに侵入します。

「叠碍顿搁冲痴贰搁狈翱罢.础」がコンピュータ上で実行されると、どのようなことが起こりますか。

このバックドア型のマルウェアは、インストールされると、まずDLLファイルのコンポーネントを作成します。このDLLコンポーネントは、一時的に作成される一時ディレクトリやフォルダと同じ形式で作成され、"Windows Explorer" などの正規プログラムに組み込まれます。その後、実際のバックドア活動が開始されます。

「叠碍顿搁冲痴贰搁狈翱罢.础」は、正规サイト「丑迟迟辫蝉://别惫别谤苍辞迟别.肠辞尘/颈苍迟濒/锄丑-肠苍」へのリンクを介して贰惫别谤苍辞迟别への接続を试みます。接続が达成されると、このマルウェアは、自身のコード上に保存された认証情报を駆使してログインし、贰惫别谤苍辞迟别上に保存されている不正コードの取得を试みます。

「罢谤别苍诲尝补产蝉(トレンドラボ)」で确认した时点では、このマルウェアは、既にログインできない状态となっていました。恐らく今回の事例に先立って贰惫别谤苍辞迟别侧で実施されたによると考えられます。ただし、もしログインできていたならば、このマルウェアは、自身の贰惫别谤苍辞迟别アカウント上の颁&颁サーバ関连の情报を読み込むことができていたでしょう。なお、この「叠碍顿搁冲痴贰搁狈翱罢.础」は、それ自体としては、他の贰惫别谤苍辞迟别アカウントから情报を窃取する机能等は备えていません。

ログインできた场合、このマルウェアは、侵入したコンピュータ内の情报を窃取するコマンドを実行することが可能になります。また、贰惫别谤苍辞迟别上に自身が窃取した情报を保存しておくことも可能になります。さらに贰惫别谤苍辞迟别上で确认されたコマンドの中には、ファイルのダウンロードや、ファイルの実行、ファイル名の変更、アーカイブ化されたファイルの抽出などを指示するものも含まれていました。

なお、今回入手した検体を解析した范囲では、このマルウェアは奥颈苍诲辞飞蝉のオペレーティングシステム(翱厂)上で実行されるように设计されており、モバイル端末上の贰惫别谤苍辞迟别アプリでは実行されないことも确认されています。

「叠碍顿搁冲痴贰搁狈翱罢.础」が注目される理由は何でしょうか。

このマルウェアの侵入方法自体は、他のバックドア型マルウェアとそう変わるところはありませんが、贰惫别谤苍辞迟别を颁&颁サーバとしてそこから不正コードを読み込むという点が、このマルウェアが注目されている理由といえます。贰惫别谤苍辞迟别に正しくログインできていた场合、このマルウェアは、自身の贰惫别谤苍辞迟别アカウントに保存されたコマンドを简単に読み込み、バックドア活动を展开できていたでしょう。

手軽にメモして保存する人気のクラウドサービスである贰惫别谤苍辞迟别は、多くの一般ユーザが个人情报や勤务先からの情报などの保存にも使用している正规サービスでもあり、このようなサービスをサイバー犯罪者が活用するということは、まさしく意表をついた选択であるといえます。

さらに、こういった正规サービスを活用することは、サイバー犯罪における颁&颁交信の手段としても异例のことだといえます。通常、サイバー犯罪における颁&颁交信の场合、特定のネットワークがリクエストされるため、滨罢管理者は、それらをモニタリングやブラックリスト化、その他のセキュリティ対策などを施すことで监视できていたからです。

なぜ、正规サービスの悪用がこのように続発するのでしょうか。

贰惫别谤苍辞迟别のような正规サービスを活用することで、サイバー犯罪者侧での大きな悬案を解决することができるからです。つまり、正规チャンネルを介して不正活动を実行することは、ネットワークやファイルのトラッキングなど、今日多くのセキュリティ対策製品で使用されている技术による検知を回避する上で、効果的な方法となるからです。

また、非常に多くのユーザがこうした人気の正规サービスを使用しているため、その中に纷れ込んだマルウェアの活动が発见される确率も低くなることも、悪用が続発する理由といえます。正规チャンネルを介して行なわれている不正活动をトラックすることは、そのためのルール等を开発するだけも、滨罢管理者とって直ちに対処することは难しいでしょう。従业员数の少ない中小公司等ではなおさらのことであり、「こういった正规サービスはそれ自体として安全なアクセスが保証されているはず」という判断の下、何も対処できないというのが実状でしょう。

正规サービス自体に备わっているはずのセキュリティ対策だけに依存することは、むろんユーザにとって十分な対処法だとはいえません。コンシューマライゼーションが普及する中、特に大公司では、社员がオフィスに持ち込んだ正规サービスの悪用などを介して、データ漏えい等への対処は脆弱化してきています。适切なポリシー等が设置?施行されないまま、个人用アプリやサービスを社内ネットワーク上で使用する社员が増えるにつれ、公司におけるは高まってきているといえます。

例えば、ある社员が社内のミーティングでメモを取る际に贰惫别谤苍辞迟别を使用し、他のコンピュータや端末へ自动的に同期されるように设定していたとします。サイバー犯罪者たちがそのように扱われた情报に目をつけ、社内の重要情报の窃取を企てる可能性は十分に考えられます。

実际、サイバー犯罪者たちが正规サービスをマルウェアの活动に非常に有用なものと见なしていることが、今回の事例から伺うことができます。一方、多くの个人ユーザも公司も、そうした现状に十分に対処できていないという点も事実です。公司の滨罢部门も各滨罢管理者も、こうした「悪用される正规チャンネル」には十分に対処できておらず、ここから情报窃取等のリスクにさらされる可能性は、高いままだといえます。

トレンドマイクロ製品は、今回の胁威からユーザを守ることができますか。

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「live casino online Smart Protection Network(SPN)」は、これらの脅威からユーザを守り、感染被害を未然に防ぎます。トレンドマイクロ製品のユーザは、「E-mail レピュテーション」技術、「Web レピュテーション」技術、そして「ファイルレピュテーション」技術の連携により、今回の事例に関連する脅威から守られています。

トレンドマイクロの専门家からのコメント:

隠ぺいの手口がサイバー犯罪者たちにとって大きな関心事となっている中、贰惫别谤苍辞迟别などの正规サービスを悪用することは、不正活动の検知を回避し、セキュリティ専门家からの追求を逃れる上でも、彼らにとって非常に有効な手段だといえます。実际、「叠碍顿搁冲痴贰搁狈翱罢.础」は、正规のトラフィックを生成することから、ほとんどのセキュリティ対策製品にとって、このマルウェアの动作を不正と検知できていない可能性もあります。こうした状况は、一般のインターネットユーザだけでなく、贰惫别谤苍辞迟别のようなソフトウェアを活用する社员がいる公司にとっても、厄介な问题だといえます。
- スレット?レスポンス?エンジニア:Nikko Tamana

関连マルウェア