キヤノンITソリューションズ(キヤノンITS)は8月23日、メディア向けに2018年上半期(1月~6月)に検出されたマルウェアおよび発生したサイバー攻撃について説明会を開催した。

説明会では「2018年上半期マルウェア検出統計」「仮想通貨を狙う脅威」「インターネットバンキングを狙う脅威」「WindowsプロトコルSMBの脆弱性を悪用する攻撃」「サイバー攻撃のためのサービス“Crime as a Service”(CaaS)」の5つの項目について、キヤノンITソリューションズ マルウェアラボ シニアセキュリティリサーチャーの石川堤一氏が解説した。

  • キヤノンITソリューションズ マルウェアラボ シニアセキュリティリサーチャーの石川堤一氏

    キヤノンITソリューションズ マルウェアラボ シニアセキュリティリサーチャーの石川堤一氏

そのうち、本稿ではマルウェア検出統計と仮想通貨を狙う脅威、サイバー攻撃のためのサービス“Crime as a Service”についてレポートする。

マルウェアは2017年下半期比で半減

まずは、2018年上半期にESET製品が国内で検出したマルウェア検出統計から。検出数は2017年下半期と比較して半減し、世界全体での検出数も同様に減少しているという。石川氏は「これは、2017年下半期に多く検出されたダウンローダーを添付したばらまき型メールが減少したことが要因である」と推測。

  • 国内の全マルウェア検出数合計

    国内の全マルウェア検出数合計

形式別でも、2017年下半期と比較してVBScript形式のマルウェアが激減し、同時期は当時流行していたLockyやGlobelmposterのダウンローダーとして使われていたため多く検出されたが、2018年を迎えてからは、あまり観測されていないという。

そして、2017年下半期同様に最も多く検出されたマルウェアはJavaScript(JS)形式で作成されたものとなるが、内訳については変化が生じている。同時期と比較して、基本的にWebサイト上に存在する脅威であるJS/CoinMinerとJS/Redirectorの検出数が増加し、攻撃の対象がWindows端末だけではなく、さまざまな端末への拡大が考えられると指摘。

また、2018年上半期に最も検出されたマルウェアはMicrosoft Office上で利用可能なプログラミング言語のVBA(Visual Basic for Applications)で書かれたダウンローダーのVBA/TrojanDownloader.Agentとなり、検出されたマルウェアのうち全体の15.3%を占め、次いでJS/CoinMiner、HTML/FakeAlertの順となった。

仮想通貨に対する脅威

続いて、石川氏は仮想通貨を狙う脅威に関して「1つ目に挙げられるのが仮想通貨取引所に対する攻撃だ。2018年上半期は年初に発生したコインチェックの事件が特に強い印象があるが、その後イタリアやインド、韓国など他国でも被害が発生している」と言及した。盗難された仮想通貨の多くは、資金洗浄を目的にダークウェブ内の仮想通貨交換所で交換される手口が多いという。

  • 2018年上半期に発生した主な仮想通貨盗難事件の概要

    2018年上半期に発生した主な仮想通貨盗難事件の概要

2つ目はマイニングマルウェアとなり、9割はJSで作られたものだという。ブラウザでWebサイトにアクセスした際に、意図せずにマイニング行為を受ける被害が多い。検出されたJSのうち、大多数はCoinhiveもしくはCoinhiveをベースにしたスクリプトで、ダウンロードファイルは難読化されているため、ブロックフィルターから検出を逃れている。

3つ目はウォレットアドレスを書き換えるマルウェア。これは仮想通貨の採掘者を狙う攻撃で、マイニングソフトウェアのウォレットアドレス(採掘された仮想通貨の送信先)を攻撃者のアドレスに書き換えて、収益を横取りする事例を確認している。

今後、仮想通貨の利用者増加に伴い、仮想通貨を狙った攻撃も増加すると想定されることから、利用者は危険をよく理解する必要があると警鐘を鳴らしている。

フィッシングが増加傾向に

フィッシング対策協議会が発表した2018年6月のフィッシング報告件数は2009件と、同5月比692件の減少となったが、昨年に比べると増加傾向にあるという。石川氏は「増加している背景としては、サイバー犯罪に使われるマルウェアやC&Cサーバを必要なときに、必要な分だけ、サイバー犯罪者のために提供するサービスCrime as a Serviceの存在が挙げられる」との認識を示す。

  • フィッシング報告件数の概要 出展:フィッシング対策協議会

    フィッシング報告件数の概要 出展:フィッシング対策協議会

CaaSには、Phishing as a Service(PhaaS)と呼ばれるアカウント情報を盗むための偽Webサイトを作成できるサービスや、Ransom as a Service(RaaS)と呼ばれるランサムウェアを販売するサービス、DDoS as a Service(DaaS)と呼ばれるDDoS攻撃を行うためのボットネットを販売するサービスなどが存在するという。

従来、マルウェアの作成やフィッシングサイトの構築を行うにはプログラム、ネットワークなど専門的な知識が必要だったものの、CaaSからマルウェアやフィッシングサイト、ボットネットを購入することで簡単に攻撃を行うことが可能となっている。これらのサービスを販売するCaaSサイトはダークウェブやディープウェブ上に多数存在している。

特に、PhaaSはAppleやMicrosoftなどのアカウント情報を騙し取るためのログインサイト簡単に作成できるサイトや、サイト内でアカウント情報を売買する機能などサイバー犯罪を行う上で必要な機能が実装されており、複数のサービスメニューから自身に合ったメニューを選択することができるという。

  • PhaaSサイトで売買されているアカウント情報のイメージ

    PhaaSサイトで売買されているアカウント情報のイメージ

同氏は「PhaaSだけではなく、RaaSやDaaSも含め一般的なWebサービスと同じ感覚でビジネスとして展開されている。そのため、犯罪意識を気にせずに好奇心だけで実行してしまうユーザーもいるのではないかと思うほど作り込まれている。このようなことから、今後も注意喚起が必要だろう」と、述べていた。