「豚の屠殺詐欺」に見る、ソーシャルエンジニアリングの手口の長年にわたる進化
「キャットフィッシング」、「豚の屠殺詐欺」、または聞き慣れた「ソーシャルエンジニアリング」。呼び方はどうあれ、ロマンス詐欺は昔から存在します。
私は MTV の『キャットフィッシュ』という番組を見てこうした詐欺のことを知るようになりましたが、最近では「pig butchering(豚の解体、屠殺)」という言葉が一般の辞書にも登場し、話題になっているようです。ジョン・オリバーは最近『Last Week Tonight』でこの話題を取り上げました
。つまり、HBO アカウントを持つ私と同年代の人たちは全員、つい数週間前にこの「豚の屠殺詐欺」について耳にしたということです。そして、私のお気に入りのポッドキャストの 1 つ『Search Engine』でも、あるエピソードでこの話題が取り上げられました。
「豚の屠殺詐欺」の手口は概ね同じで、次のように事態が進行していきます。
- 不明な電話番号から、テキストやメッセージが送られてきます。通常は無害なメッセージで、たいていは送信先を間違えたふりをして、適当な名前を呼び掛けてきます。
- それに返信すると、詐欺犯は友好的に会話を始めようとします。
- やり取りが続くと、褒め言葉や親身なアドバイス、自尊心をくすぐる言葉を返してきたり、こちらから送った写真を褒めたりなどして、「愛情攻撃」に移行するのが一般的です。
- 時にはロマンチックな関係になることもあります。
- 詐欺犯は最終的に、これまで「肥え太らせた豚」を「屠殺」、つまり、自分に送金するよう要求してきます。偽の暗号通貨アプリが使われることもあれば、単刀直入に何らかの方法で送金するよう求めてくることもあります。
詐欺犯によって多少の違いはあっても、だいたいはこのようなやり口です。覚えておかなければならないのは、相手から金銭を騙し取るこの手法は、実は目新しいものではないということです。
FBI は毎年バレンタインデーの時期にロマンス詐欺について新たな警告を発しています。多くの人がオンラインで見知らぬ人と出会って親しくなり、最終的には金銭を要求されるケースが多発しているからです。2015 年に FBI が投稿したポッドキャストでも、詐欺犯は「オンラインで被害者を誘惑するために、愛やロマンスを約束する」と警告を発しており、2014 年下半期にはロマンス関連の詐欺の被害額は推定で 8,200 万ドルだったと発表しています。
「豚の屠殺詐欺」とこれまでのロマンス詐欺の主な違いは、その規模の大きさです。「豚の屠殺詐欺」の実行犯を集めるために、人身売買や、時には文字通りの監禁が行われており、実行犯は自分の意思に反して大量のメッセージをさまざまな標的に無差別に送信するよう強制されています。これらのグループでは、被害者を誘惑することにあまり「成功」していない詐欺犯が、暴言や身体的な嫌がらせを受けたり、罰せられたりすることがよくあります。もちろん、このような詐欺行為がもたらす人的被害は恐ろしいものですが、サイバーセキュリティの世界をはるかに超えたところにまで及んでいるのも事実です。
「豚の屠殺詐欺」の場合、サイバーセキュリティ ソリューションで解決できるものではありませんし、パッケージに詰めて売るわけにもいきません。このような「詐欺農場」の運営を阻止するには、ユーザーの教育と法執行機関や各国政府の関与に頼らざるを得ません。詐欺農場を運営する創設者は法廷で裁かれることになります。
こうした詐欺についての知識を深めていくのは決して悪くありませんが、ロマンス関連の詐欺や、個人的な「人間関係」をベースにしたソーシャルエンジニアリングは何年も前から存在しており、「豚の屠殺詐欺」も最近になって始まったわけではないことを覚えておく必要があると思います。
この種の詐欺は、今や私たちの文化においては日常生活の一部として(「車の延長保証」についての電話がかかってきたときに驚くのと同じように)受け入れざるを得ないものであり、現在ではこうした詐欺を支えるインフラストラクチャにより被害が拡大しています。
重要な情報
Talos は Turla APT について追加調査を行っており、この攻撃者が使用するキルチェーン全体を把握できました。これには、被害者から貴重な情報を窃取し、感染した企業を通じてその情報を拡散するために使用される戦術、手法、手順(TTP)も含まれます。Turla は TinyTurla-NG を展開する前に、バックドアの検出を回避する目的で、ウイルス対策ソフトウェアに除外を設定しようとします。除外の設定が終わると、TTNG がディスクに書き込まれ、悪意のあるサービスを作成することで永続性が確立されます。
注意すべき理由
Talos が記事で取り上げている Turla、そして最近発見されたこの TinyTurlaNG ツールは、何年も前から存在する国際的な脅威であるため、セキュリティコミュニティ全体は、これらの脅威の動向を常に把握しておく必要があります。つい最近、Turla はこれらの戦術を使用してポーランドの非政府組織(NGO)を標的にし、機密データを窃取しました。
必要な対策
Talos による TinyTurla-NG の調査中に、Cisco Secure 製品向けの新しい検出コンテンツがいくつかリリースされています。詳細については、この攻撃者に関する以前のブログ記事をお読みください。
今週のセキュリティ関連のトップニュース
バイデン政権が今週、公共水道システムおよび水道事業者に向けて新たな警告を発表。イランと中国からの脅威が続いていることを引き合いに出し、国家支援の攻撃者が近くサイバー攻撃を実行する可能性があると述べました。ホワイトハウスと米国環境保護庁(EPA)は今週、米国の全知事に宛てて書簡を送り、このサイバー攻撃によって清潔な飲料水へのアクセスが妨害され、「影響を受けた地域社会に多大なコストがかかる」可能性があると警告しました。この書簡では、米国サイバーセキュリティ インフラセキュリティ庁の「悪用が確認された脆弱性カタログ」のリストについても言及しており、公共水道システムの管理者に対し、これらの脆弱性に対するパッチを確実に適用するよう求めています。EPA は、最近発見された中国の APT である Volt Typhoon に言及しました。この APT は、重要インフラのネットワークに長期間潜伏していたと報じられています。EPA やその他の関連機関の連邦政府首脳による会議が 3 月 21 日に予定されており、公共水道システムに対する脅威とサイバーセキュリティ態勢を強化する方法について話し合いが行われることになっています。(情報源:Bloomberg、The Verge)
UnitedHealth 社が、全米の医療提供者への重要な支払いを停止させたサイバー攻撃からまだ完全には回復していないと発表。ただし、今週から資金の一部が解放されており、支払い処理ソフトウェアが間もなく復旧することを期待しているとのことです。2 月に初めて明らかになったこのサイバー攻撃は、病院チェーンと診療所の支払い処理や医薬品の注文を扱う UnitedHealth 社の子会社 Change Healthcare 社を標的としたものでした。UnitedHealth 社の CEO は今週の声明で、資金を入手できなかったり、紙の請求システムに切り替える必要があったりしたために 1 か月近く影響を受けた医療提供者に同社が 20 億ドルを支払ったと述べました。米国病院協会が最近発表した調査によると、回答した病院の 94% が Change Healthcare 社への攻撃によって財政上の混乱に見舞われ、一時は 1 日あたり 100 万ドルの収益が打撃を受けた病院もあったことが明らかになっています。(情報源:ABC News、CNBC)
ネバダ州裁判所が、全米におけるエンドツーエンド暗号化の導入が取り消される可能性のある訴訟を検討中。州司法長官は現在、Facebook、Instagram、WhatsApp の運営元である Meta 社を提訴しており、同社のプラットフォームを悪用して未成年者を誘惑しようとするユーザーを逮捕し告発できるようにすることを確約した上で、未成年者についてはプラットフォームでのエンドツーエンドの暗号化を解除するよう求めています。しかし、プライバシー擁護派は、Meta 社とその暗号化ポリシーに不利な判決が出れば、その波及効果はさらに大きくなり、他の州でも暗号化に異議を唱える動きが強まることを懸念しています。ネバダ州は、Meta 社の Messenger が、ネバダ州の子供たちを狙って違法行為を働こうとする攻撃者にとって「好ましい手段」になると主張しています。プライバシーの専門家は、送信中のメッセージが保護され、法執行機関などの当局によるメッセージの傍受と読み取りが難しくなるという理由で、エンドツーエンドの暗号化を支持しています。(情報源:Tech Policy Press、Bloomberg Law)
Talos についての関連情報
- LockBit の神話:撲滅したはずのランサムウェア アフィリエイト モデルから再び攻撃される理由とは
- シスコ、280 億ドルの Splunk 社買収を完了:AI、セキュリティ、パートナーに関する 5 つの重要事項
- 『Talos Takes』エピソード #176:2024 年にパッシブセキュリティに依存すべきではない理由
- ワープロソフト一太郎の複雑な脆弱性を分析し、任意のコード実行に成功
- Netgear製ワイヤレスルータにバッファオーバーフローの脆弱性、コードが実行される可能性あり
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll |
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5: ff1b6bb151cf9f671c929a4cbdb64d86
一般的なファイル名: endpoint.query
偽装名:Endpoint-Collector
検出名: W32.File.MalParent
SHA 256:e38c53aedf49017c47725e4912fc7560e1c8ece2633c05057b22fd4a8ed28eb3
MD5: c16df0bfc6fda86dbfa8948a566d32c1
一般的なファイル名: CEPlus.docm
偽装名:なし
検出名: Doc.Downloader.Pwshell::mash.sr.sbx.vioc
本稿は 2024 年 03 月 21 日に Talos Group
Tags:
