2018 年の年間マルウェア:Talos が 2018 年に調査した最も顕著な脅威
2018 年がサイバーセキュリティの荒れる年になることは簡単に予測できました。それは 2 月に Olympic Destroyer が冬季オリンピックの開会式の妨害を狙うという大きな出来事から始まりました。そこからは異常な事態ばかりが続きます。仮想通貨マイナーがあちこちに現れ、夏には VPNFilter が世界を席巻しました。2018 年はサイバーセキュリティのニュースに事欠かず、Talos はそれらのすべての脅威について詳細に調査を行いました。一年の終わりを迎え、2018 年に Talos が発見した最も顕著なマルウェアと主な傾向を振り返ります。そのうちのいくつかは、2019 年も続くことが予想されています。以下は、マルウェアに関するこの一年の振り返りと、Talos が発見した主要な攻撃を時系列に示したものです。
Olympic Destroyer
2018 年は前述のとおり、Olympic Destroyer マルウェアの大体的な攻撃から始まりました。この攻撃が最初に現れたのは韓国で開催された開会式の夜で、オリンピックのチケット発行サイトを一時的にダウンさせ、開会式が行われているスタジアムのシステムを感染させました。Talos は、開会式の妨害を試みる悪意のある攻撃主体としていくつかのマルウェア サンプルを特定しました。それらのマルウェアには破壊機能のみが含まれていました。研究員たちは次の数週間で攻撃の仕掛け人を特定しようとしましたが、マルウェアには属性を解読しにくくする
偽のフラグが複数含まれていました。Olympic Destroyer は最終的に 2018 年後半、さらに検出を難しくする亜種を伴って再発しました。
VPNFilter
数ヵ月後、 VPNFilter が世界を席巻します。Talos は 5 月にまずこの攻撃の詳細を公開しました
。その時点で、マルウェアの情報をすべて公開して、ワイヤレス ルータをできるだけ早くリセットするよう利用者への通知を試みました。VPNFilter によってルータが完全に乗っ取られ、ユーザのインターネット アクセスが制限される可能性がありました。Talos は、この VPNFilter が世界中で 50 万台のデバイスに感染していると推定しました。
攻撃者が VPNFilter を発動させることはありませんでしたが、非常に深刻な事態を引き起こす危険性がありました。検出されないままでいると、そのマルウェアによってユーザのウェブサイトの認証情報が盗まれたり、Modbus SCADA プロトコルが監視されたりするだけでなく、デバイスが操作不可能になる危険性がありました。デバイスから VPNFilter を削除する唯一の方法として完全にデバイスを再起動する必要がありました(この勧告は全国的なニュースとしても発表しました)。最初の報告以降も、Talos の研究員は本マルウェアの調査を継続しました。VPNFilter の理解をさらに深め、Talos は 6 月に最新情報を公開しました。Talos は、本マルウェアが他のベンダー デバイスに感染していること以外にも、感染したデバイスを完全にシャットダウンさせる機能をすべてのマルウェア サンプルに提供する新しいステージ 3 モジュールも発見しました。しかも、それで終わりではありませんでした。攻撃者は最終的に、VPNFilter に 7 つの新しいステージ 3 モジュールを追加したため、マルウェアの破壊能力はさらに増加しました。これらの新機能を使って、攻撃者はデータをフィルタリングし、コマンドアンドコントロール(C2)サーバとの通信を装うことが可能になりました。新機能には暗号化されたトンネル機能も含まれていました。
暗号通貨マイナー
2017 年後半から 2018 年前半にかけて、全体的に暗号通貨の価値が急上昇しました。ランサムウェア キャンペーンの支払いに依存して収入を得ていた攻撃者たちは突如これを新しい収入源として認識しました。徐々に暗号通貨マイナーは増加し、一般的だったランサムウェアに取って代わりました。Talos は、コンピュータの能力を流用してこっそり暗号通貨をマイニングする暗号通貨マイナーに関する記事を、プールベースのマイナーが登場した 1 月に初めて公開しました。攻撃者は一度に大金を稼ぐのではなく、暗号通貨の形で毎日収益を得るようになりました。ユーザへの影響としては、システムがいつも以上に稼働しているため時折電気代が上昇したり、マイニング以外のすべての動作に使用するシステム処理能力が減少したりしていました。これらのマイナーに狙われた組織は、それ以上に深刻なリスクに晒されました。そうして Talos は「Rocke」を発見します。「Rocke」は暗号通貨マイナーの最大級ユーザの 1 つになった中國語圏の攻撃主体(アクター)です。Rocke は、Git リポジトリや Http File Server に加えて、シェル スクリプトやJavaScript バックドアなど多様なツールキットを使用して、一年をかけて暗号通貨マイニング マルウェアを配布し、実行しました。当時 Talos では、Rocke がソーシャル エンジニアリングを使用して暗号通貨マイナーをダウンロードするようユーザを騙すと予測していました。年間を通じて暗号通貨の価値は大幅に下落しました。暗号通貨マイナーはかつてほど儲かる方法ではなくなりました。しかし Talos では、暗号通貨マイナーがすぐになくなることは期待していません。
モバイル マルウェア
日々のニーズを満たす方法として、デスクトップ パソコンよりモバイル デバイスを使用する消費者が増えています。買い物やメールなどの目的で日常的にスマートフォンを使用する消費者が増加するにつれて、攻撃者はオンラインの脅威に気づいていない消費者を利用するようになります。これがモバイル マルウェアの出現につながりました。モバイル マルウェアはユーザを騙して悪意のあるアプリを使用するように仕向け、本来アクセスすべきではないコンテンツにアクセスさせます。7 月にインドで発見された小規模キャンペーンのように、攻撃者がモバイル デバイスを完全に乗っ取るケースもあります。Talos はある小規模キャンペーンで、モバイル デバイス管理(MDM)ソフトウェアに感染した 13 台のデバイスを発見しました。攻撃者はそのソフトウェアによって合法アプリに悪意のある機能を追加し、連絡先、写真、メッセージ、位置などの情報を盗めるようにします。2018 年の後半では、このキャンペーンが Talos が想定した数より多くのデバイスを狙い、さらにはこの攻撃を過去に Android デバイスを標的としていた別の攻撃主体(アクター)と結合させていたことを発見しました。この年、攻撃者がモバイル デバイスで好んで使用したもう 1 つの方法は偽装でした。10 月に発見した GPlayedの攻撃では、ある攻撃主体が自ら合法的な Google Play のアプリ ストアを装ってユーザを騙し、悪意のあるアプリをダウンロードさせていました。悪意のあるアプリがインストールされると、プラグインがロードされ、スクリプトが挿入されます。最終的に GPlayed は、金融サービス サイトのユーザ ログイン情報を盗もうとするバンキング型トロイの木馬を含むまでに進化しました。
Tags:本稿は 2019年12月20日に Talos Group
