サイバー攻撃のトレンドは50万台以上のPCが感染したNSA製ツールを悪用したマルウェア

By Mario Antonio Pena Zapatería

サイバーセキュリティメディアのThe Hacker Newsによると、2017年は流出したアメリカ国家安全保障局(NSA)製のツールを使って作られたマルウェアがサイバー犯罪者の間で流行しました。このツールを使ったマルウェアにより50万台以上のPCが感染し被害を受けています。

Cryptocurrency Mining Malware Infected Over Half-Million PCs Using NSA Exploit
https://thehackernews.com/2018/01/cryptocurrency-mining-malware.html

2017年は、情報漏洩と身代金マルウェア(ランサムウェア)による攻撃の年だったと言っても過言ではありません。暗号通貨関連のマルウェアがサイバー犯罪者にとって「収益率の高い選択肢」となっており、サイバー空間における脅威の変化が起きています。

いくつかのセキュリティ会社によると、「EternalBlue」と呼ばれるツールによって拡散された暗号通貨マイニングを行う新しいマルウェアが報告されています。EternalBlueはNSA製のツールで、ハッカー集団シャドーブローカーズによりNSAから盗まれて公開されたものであり、150カ国以上で大流行したランサムウェアWannaCryにも使用されていました。

By Ape Lad

セキュリティ会社のProofpointのリサーチャーによると、世界中で多くのWindows PCがマルウェアの「Smominru」に感染しており、暗号通貨Moneroをマイニングするボットネットが形成されています。このボットネットは数百万ドル(約数億円)分稼ぎ出すと試算されています。Smominru自体はNSA製のツールを利用して作られ、Windowsで利用されるプロトコル「Server Message Block(SMB)」のの脆弱(ぜいじゃく)性「CVE-2017-0144」を利用したものとなっています。少なくとも2017年5月時点で、Smominruのボットネットは52万6千台以上の感染したPCにより形成されていました。リサーチャーによると感染したPCの多くは、Windowsのセキュリティパッチを適用する前のサーバーであったと考えられます。

By Whywhys

Smominruのボットネットは、360万ドル(約4億円)ものMoneroをマイニング済みだと試算されており、ボットネットを操っているオペレーターは1日あたり24Monero、つまり8500ドル(約94万円)に相当する通貨をマイニングで獲得し、何百万台ものPCの計算処理リソースを奪っています。なお、ボットネットの感染PCの中で高い割合はロシアとインド、そして台湾のPCです。

By 401(K) 2012

Smominruのボットネットのインフラの制御ホストは、DDoS攻撃対策保護会社であるSharktech社のサービスで保護されています。Sharktech社は通知を受けましたが、同社は不正行為の通知を無視したとのこと。

By Leszek Leszczynski

Proofpoint社のリサーチャーによれば、サイバー犯罪者は脆弱性を残したままのWindows PCを見つけるために、少なくとも25台のPCを使ってインターネットをスキャンし、NSA製のツールとリモート・デスクトップ・プロトコルの脆弱性「CVE-2017-0176」を利用してボットネットを拡散させたとのこと。Bitcoinは、マイニングに大量の計算処理のリソースを消費するようになったため、サイバー犯罪者はMoneroへの関心が劇的に増加したと思われます。

参考までに、Bitcoinは計算処理リソースが多いほどマイニングが有利に進めることができるので巨大マイニング工場が作られ、その規模を拡大するのに必要になるグラフィックボードが高騰して入手を困難になるという事態が起こっています。

高騰し続ける暗号通貨Bitcoinを掘る世界最大のマイニング工場に潜入、2万5000台のマシンを酷使する採掘現場の恐るべき実態に迫る - GIGAZINE

Proofpoint社のリサーチャーによると、Moneroを効率良くマイニングするには、デスクトップPCだけでは不十分な規模になっており、広範囲なボットネットの使用はボットネットのオペレーターに取って利益の高い結果になる場合があるとのこと。このSmominruのボットネットは粘り強く、拡大させるために利用可能なあらゆる手段が使われており、例えばPC内に潜伏する手法「シンクホール」後に復旧する方法が多数発見されるなど、ボットネットとそのインフラの回復力、そして著しい利益を可能にするボットネットのオペレーターを考えれば、これらの活動は継続中で、感染したPCに潜伏中と予測できるとのこと。

別のセキュリティ会社CrowdStrike社は、感染拡大した別の暗号通貨ファイルレスマルウェア、通称「WannaMine」をブログで報告しており、このマルウェアにもNSA製ツールEternalBlueが使用されています。WannaMineに感染したPCは暗号通貨Moneroのマイニングを強要されます。ファイルレスマルウェアであるWannaMineは、関連するアプリケーションをダウンロードせずPCに残さないので、ウイルス対策プログラムによってWannaMineを検出することは困難です。

CrowdStrike社のリサーチャーはこの手法について「このマルウェアは、企業のサーバーに感染すると計算処理リソースを圧迫し続け、システムやアプリケーションがクラッシュさせるなど、企業のサーバー運用を数日から数週間にわたって止めてしまいます。他にも、サイバー犯罪者は広くウェブサイトの閲覧者にマイニングを強要させる手法Cryptojackingという手法を採用しています。ブラウザベースのJavaScriptで閲覧者のCPUパワーを使い暗号通貨をマイニングする手法です」と述べています。

この手法と似たような手法は、2017年9月に発覚した人気トレントサイト「The Pirate Bay(パイレート・ベイ)」が、閲覧者に無断でCPUリソースを仮想通貨のマイニングに利用していた手法や、2017年12月に発覚したフリーWi-Fiに潜伏させる手法で、スターバックスのWi-Fiに接続したノートPCが勝手に仮想通貨のマイニングに参加させられる事例など、無断で計算処理リソースを消費する新しい手法が次々生まれています。

人気サイトがアクセス数の多さを利用し閲覧者のCPUパワーで仮想通貨マイニング、広告に代わる収入源になるか？ - GIGAZINE

スタバのWi-Fiに接続したノートPCが勝手に仮想通貨のマイニングに参加させられていた - GIGAZINE

CrowdStrike社のリサーチャーは、「最近の報告では暗号通貨マルウェアによるアタックの多くはNSA製ツールEternalBlueを導入しており、リサーチャーはユーザーにシステムとソフトウェアとのアップデートするようにアドバイスしています。2017年にMicrosoftは、EternalBlueを使用して作られたマルウェアに対して、セキュリティパッチを配布しています」とコメント。

2017年6月にEternalBlueを使用して作られたマルウェアWannaCryは被害者があまりにも多く生み出したので、Microsoftは異例中の異例として、セキュリティがサポートが終了したOSであるWindows XPにもセキュリティパッチを配布し、このマルウェアを「国家レベルの攻撃」として対処する事態がありました。

Windows XPにセキュリティ更新、「国家レベルの攻撃」に備えたパッチが6月のWindows Updateで手動ダウンロード可能に - GIGAZINE

2017年のサイバー犯罪は「ランサムウェア」と「暗号通貨マルウェア」が多くの被害者と被害額を生み出しました。2018年はどのようなサイバー犯罪があるかは明確には予想できませんが、ランサムウェア「WannaCry」の場合、登場の2か月以上前にリリースされていたパッチさえあてていれば被害にあうことはない事例が多くあり、ランサムウェアに対しては人質となるデータのバックアップは効果的です。基本的なことではありますが、2018年もPCやサーバーのセキュリティパッチ管理やセキュリティソフトウェアのアップデート、そしてバックアップには手を抜かず、こまめに行った方が良さそうです。

By Christiaan Colen