Kaspersky Labは12月27日(米国時間)、「BlueNoroff introduces new methods bypassing MoTW | Securelist」において、金銭的な動機でサイバー攻撃を実施しているグループ「BlueNoroff」が攻撃手法に改善を加えていると伝えた。WindowsのMoTWマーク(MoTW: Mark-of-the-Web)を回避する方法が導入されているほか、MoTWマークを回避するためにさまざまなファイルタイプがテストされた痕跡が見られると報告されている。

  • BlueNoroff introduces new methods bypassing MoTW|Securelist

    BlueNoroff introduces new methods bypassing MoTW | Securelist

Windowsはインターネットからダウンロードしたファイルに対してMoTWマーク(MoTW: Mark-of-the-Web)を設定する。WindowsはMoTWマークが設定されたファイルに対するセキュリティレベルを引き上げるように動作する。例えば、Microsoft Officeドキュメントのマクロなどを通じてペイロードを行おうとするタイプのフィッシング詐欺などにMoTWマークが効果的に機能することが知られている。

サイバー攻撃者はWindowsのこうしたMoTWマーク防御機能を回避する方法を模索しており、その代表的な方法としてISOディスクイメージとVHD仮想ハードディスクイメージのファイルを利用する方法が知られている。今回の調査でBlueNoroffも同様の手法を採用したことがわかったほか、それ以外のファイルタイプについてもテストを実施していることが明らかになった。

さらにKaspersky Labは分析の結果、BlueNoroffが日本語のファイル名を使用していることや、日本の銀行や金融サービス、ベンチャーキャピタルなどを模倣していることなどから、日本市場に強い関心を持っていると指摘している。

模様されている主な金融機関は次のとおり。

  • ABF Capital
  • Angel Bridge
  • ANOBAKA
  • Bank of America
  • Beyond Next Ventures
  • Trans-Pacific Technology Fund
  • Z Venture Capital
  • みずほフィナンシャルグループ
  • 三井住友銀行
  • 三菱UFJフィナンシャル・グループ

BlueNoroffは実際に数百万ドル相当の暗号資産を窃取するなど、サイバー攻撃から利益を上げることに成功していると指摘されている。現在もマルウェア配信を改善するための取り組みを継続しており、今後もこのグループによるサイバーセキュリティ攻撃が継続する可能性が高いという。

日本を標的としたサイバー攻撃は年々巧妙になっており、フィッシング詐欺メールの段階で真偽の判断が難しいものも増えている。メールを読んで少しでも違和感を感じたのであれば、一旦作業の手を止めてリンクや添付ファイルの確認、電話や正規のルートを経由した先方への連絡確認を行うなど、基本的なセキュリティ対策を徹底していくことが望まれる。