「バンキングマルウェア」への感染の流れ

石川堤一氏（以下、石川）：続きまして、バンキングマルウェアについてご説明させていただきます。バンキングマルウェアについては長いこと経緯としてありますので、VBA/TrojanDownloaderの先ほどの傾向のところをもう一度グラフとしてお出ししたいと思います。

このマルウェアの狙いは、この先にあるUrsnifと呼ばれるバンキングトロジャン（バンキングマルウェア）に感染するための入口となることです。今、手法として2つの攻撃が行われています。

一つは、このコードを組み込んだExcelファイルを添付してばらまく手口。もう一つは、メールに記入されたURLアドレスをクリックしてダウンロードし、実行してしまうと、同じようにUrsnifに感染してしまうケースがありました。

Excelに関しては、こちらが代表的な例ですが、発注書を装ったTrojanDownloaderです。ここにある「コンテンツを有効にする」を有効にすると、いわゆるマクロ機能を有効にするという意味なので、Ursnifがダウンロードされて実行されてしまうという流れになっています。

実際に組み込んでいるコードは非常にシンプルです。先ほどのExcelの中身から、悪意のあるコードがどういった部分かを取り出したところになります。まず、サーバーから別のマルウェアをダウンロードするためのコードがここに記載されています。次に、ダウンロードしたマルウェアを実行させる。この2つだけで、非常にシンプルなコーディングがされています。

今来ているメールもだいたいこれです。あとは、いかにこういうものだということがわからないように細工しているか。それだけのことで、日々繰り返しいたちごっこの状態ですけれども、8月でもこういったメールは届いています。

もう一つは、新しいパターンというのもあれですけれども、添付メールはありません。その代わりURLが書いてありまして、それをクリックするとJavaScript形式のファイルなどがダウンロードされます。それを実行すると、同じようにその先のバンキングトロジャンに感染してしまう流れになります。

こちらは楽天カードを騙ったメールで、これも上半期に相当な数がばらまかれたのかなと思いますが、そういうつくりになっています。実際にバンキングマルウェアのUrsnifに感染（する）までの流れというところで、今一度ご説明したいと思います。

まず、メール本文にURLが書かれたメールが届きます。先ほどの楽天カードを騙るメールを例としてあげます。受け取ったユーザーさんは、そのURLをブラウザーで開くかたちになりますので、ファイルがダウンロードされます。

そうすると、攻撃者が用意しているWebサーバーから、悪性のあるJavaScriptファイルがダウンロードされます。これを実行してしまうと、wscript.exeというものを引っ掛けてJavaScriptのコードが実行される。これ（wscript.exe）は、Microsoftの純正のプログラムです。

Microsoft純正プログラムを利用した攻撃の手口

次にコマンドプロンプトですね。cmd.exeがあって、そこからさらにPowerShellを実行させるという組み方をしています。これもMicrosoft純正のプログラムです。正規のプログラムをさらに悪用してマルウェアを実行させるという作り方になっています。それをきっかけにUrsnifの本体がPowerShellを使ってダウンロードされて完成してしまうのが一連の流れです。

先々週、IQYファイルと呼ばれるExcelファイルの件で、同じようにばらまきがあったかと思うのですが、この手口が変わっただけで、あとはだいたい一緒です。

こうした部分で既存のソフトウェアで悪用されるケースがありますので、ドメインコントローラーなどで、法人などのクライアントの環境を一括で対応していくためには、ポリシーなどをうまく活用していけば、実はこのあたりの実行は防げます。

実際、ポリシーによっては、もし実行してしまっても、「クライアント環境は、システム管理者によってブロックされています」というかたちで止めることができる。Microsoftのサーバーの機能、ポリシーの機能をうまく活用していただき、既存の正規のプログラムを悪用されないような運用の仕方をすることで、これ以上の感染の被害は防げます。

もう1つの方法は、クライアント側の話です。これもよく、ほかの専門の方などがTwitterなどで議論されていますが、JavaScriptなどの形式は、通常Windowsスクリプトの実行ファイルに関連づけられていますので、「この関連付けをやめれば？」という話です。

一番手っ取り早い方法は、これ自身をダブルクリックさせるぐらいだったら、もうメモ帳に関連付けさせなさいと。そうすれば、実行させてしまうリスクを大幅に減らせる。弊社としても、こういった部分を提案していきたいと思っております。

Windowsの脆弱性を狙った攻撃が増えている

続きまして、WindowsプロトコルのSMB（Server Message Block）の脆弱性を悪用する攻撃についてご紹介したいと思います。まずお伝えしたいのは、こちらのグラフになります。

これは、1年間のSMBプロトコルの脆弱性を悪用した攻撃を国内で検出した数になります。ここ（2017年7月1日）がちょうどWannaCryの発生時期になっています。WannaCryが一巡して2018年7月以降、実は今のほうがぜんぜん（件数が）増えています。これはもうWannaCry以外のマルウェアで、この脆弱性を使った攻撃が増えてきている状況です。

EternalBlueなどは有名ですが、この445番ポートが開放されているWindows端末が根こそぎ感染対象となって、WannaCryの騒動が起きたのが昨年度のできごとです。

これが今もほかのマルウェアなどに使われているなかで、今月の8月頭にShodanのサイトで開放されているWindowsシステムがどのぐらいあるかを調べてみると、まだ日本では8万あります。昨年の3月にMicrosoftから修正パッチが提供されていますが、この中には当てていない環境が現実としてあります。

先ほどのグラフはESETで検出した攻撃ですので、まず早急に昨年のMicrosoftから提供されているパッチを当てていただかなければならないです。

実際に、脆弱性に関するできごととして簡単にまとめたものがこちらの絵になります。

昨年の5月に、このEternalBlueを実際に悪用したWannaCryが確認されています。実は、それ以降も、ほかのランサムウェアでもEternalBlueを悪用するプログラムが組み込まれたものがばらまかれています。

たまたま日本で大きな被害が出ていないだけであって、実際には新しいランサムウェアは続々と出てきていますし、組み込む傾向は今でも続いています。

フィッシングの件数が増えている理由とは

最後に、サイバー犯罪のためのサービス「Crime as a Service」（CaaS）と呼ばれているものについて触れたいと思います。

なぜこちらに注目したかといいますと、先々月、6月にフィッシング対策協議会よりフィッシング報告件数という傾向の発表がありました。私たちが関心を持ったのは、昨年に比べて今年の上半期が非常に増えてきているのはなぜかというところです。

マルウェアを使った攻撃の検出は昨年に比べて減っているにもかかわらず、フィッシングは増えている傾向にあります。その背景を追っていくと、やっぱりサービスを利用しているケースが増えてきているのかなと思っています。

例えば、2年ぐらい前から多く出てきているRansomware as a Serviceというランサムウェアを提供するためのサービスですね。それも出てきているのですが、それに合わせて新しく見つかったランサムウェアは、実は今年だけでこれだけあります。

大流行していないだけで、実はかなりの数が毎月出てきています。そのため、今は自分でマルウェアを開発するよりも、サービスを利用して新しいマルウェアを入手してばらまくと。サービスを通じてばらまくという、ビジネス的な動きに変わってきています。

Ransomware as a Serviceの場合で言いますと、まずこのRaaSの提供者がサービスを用意して販売します。「ランサムウェアを売りますよ。みなさんいかがですか？」「C&Cサーバー売りますよ。みなさんいかがですか？」と売りにきます。

サイバー犯罪者がそれを買って、攻撃に入ります。被害を受ける人が出てきます。被害を受けると身代金を払います。身代金は、サイバー犯罪者とこのRaaSの提供者にいきます。これが一連のビジネススキームといいますか、今はそういうかたちで使われています。

偽ログインでユーザーの個人情報を盗み出す

先ほどのフィッシング広告が非常に増えてきているということは、「フィッシングに対するサービスが増えてきている」と捉えてもいいのではないかと思います。そこで、「PhaaS」という言葉が出てきます。

こちらがPhaaSのサイトです。PhaaSではどんなフィッシングを設定して、偽サイトを用意しているのかという画面です。

画面の作りは、自分がブログページを立ち上げるときのように、ページ構成やレイアウトがWebブラウザー上で簡単にセッティングできてしまいます。実は今、そういうものがもうサービスとして用意されて提供されています。

この中でどんなフィッシングサイトが用意されているのかが次の画面です。こちらが作成可能な偽ログインサイトの一覧で、要はこれが全部フィッシングサイトです。

ログインが必要な代表的なサービスが載っているなかで、とくにAmazonなどを騙った偽サイトは日本でもフィッシングサイトとしてはよく出ていますので、注意喚起などもあちこちから出ているかと思います。実際これを選ぶと……はい。この偽物画面が渡されます。

ユーザーさんが不幸にも引っかかってしまって入力した情報は、実は、この偽のWebサイトから収集したアカウント情報の一覧画面に全部ストックされます。こちらにIP、User/E-mailが書かれています。それぞれの詳しい情報を見たいとなりますと、次の画面になります。

こちらがアカウントの詳細情報です。username、password、nameやurlなど、いろいろと書いてありますが、こうしたものが入手できてしまいます。

この先どうなるかというと、このデータを使って、そのままその人が不正ログインに使うケースもあるかと思いますし、「この情報をそのまま1つのデータとしていくらで売りますよ」と、さらに再販しているケースもあります。

先日、JPCERTさんのほうで、英文メールの本文に脅迫めいた文章が書かれていて、そこにユーザーさんが使っている本物のパスワードが記載されているケースがあると。そういったケースが出てきているかと思うのですが、実際はこういったもので入手できてしまうと、そのまま悪用できてしまうのも1つの問題としてあります。

サイバー犯罪を手助けするサービスが登場

実際に売り買いされているアカウント情報のサイトです。こちらはマーケットプレイスですが、このPhaaSサイトで売り買いされているアカウント情報がここで「アカウント1個いくら」というかたちで売買されていると。まさに今、Webで一般的に行われているサービスと同じような感じで取引が行われています。

そして、PhaaSサイト自身、ちゃんと料金表も用意されていて、必要なレベル・メニューに応じて「月々いくらですよ」「1回いくらですよ」というものが丁寧に用意されている。

（これまでは）コンピューターに詳しい方などがウイルスを作ったりフィッシングを用意する流れでしたが、ここまで用意されると、あまり詳しくないユーザーでも犯罪に手を伸ばせるという状況が、今は危惧するべきところかなと見ておりました。

今後はこういったところを注意して、そこからまた新たなマルウェアが出てくる可能性もあります。私どもとしては、そういったものを追っていき、今後も報告などがありましたら、みなさまに共有させていただければと思っております。

←　前パート　「サイバー犯罪者が既存サービスを悪用　『マイニングマルウェア』が急増する背景」（2018.09.14公開）