ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

日本の企業・組織を狙う「RIG EK」と情報搾取型マルウェア「URSNIF」とは

4.マルウェアによる攻撃手法は絶えず変化

2017年3月1日時点で、国内のWebを介した攻撃手法が減少する一方、マルウェア付きスパムメールによる攻撃は増加しています。前述の「Avalanche」が摘発された2016年12月以降、「Bebloh」の攻撃は激減し、代わりに不正なJavaScriptコードを介して「URSNIF」や「DreamBot」をダウンロードさせる手法に切り替わりました。「DreamBot」は「URSNIF」の機能を引き継いでおり、Windows PCが感染すると「URSNIF」と同様、特定のプロセスに不正コードが挿入され、キーロギング、スクリーンショットの取得、MITB攻撃(ブラウザの乗っ取り)、リモートからコマンド実行などが行われる可能性があります。

2017年1月17日から1月26日の間、マルウェア添付の日本語スパムメールが大量に発生しました。メールには、「注文」、「請求」、「配達」、「お知らせ」、「写真」などの言葉がよく使われており、添付ファイルのほとんどはZIP圧縮ファイルでした。ZIPファイルを解凍すると、リッチテキスト、Word文書、PDFファイル、JPEG画像ファイル、Excelファイルなどに偽装された二重拡張子の不正なファイル(JavaScriptコード)が展開されます。

攻撃の大半は不正なJavaScriptが使われていましたが、WSF(Windows Script File)も少し使用されていました。WSFは、XML形式で記述するVBScriptアプリケーションのプロジェクトファイルで、2016年頃からマルウェアでの実装が確認されています。

今回の攻撃のもう一つの特徴として、SVGファイルの使用があります。SVG(Scalable Vector Graphics)ファイルは画像ファイルの一種で、XML形式で書かれており、ネイティブサポートでInternet Explorer、Chrome、FirefoxなどのWebブラウザで画像が表示でき、画像データの後にJavaScriptコードを埋め込んでさまざまな処理ができます。攻撃者がこれを利用すると、不正なJavaScriptコードでユーザのブラウザを介して攻撃が出来ます。海外では昨年11月頃より、不正なSVGファイルを介してLockyランサムウェアに感染させる事例が報告されています。JavaScriptファイルを含むメールを制限する動きも出ており、Google社は2017年2月から同社のGmailサービスでブロックしています。こうした動きが加速すると、SVGファイルを介した攻撃が増加する可能性があります。

拡大するJPEG画像ファイルを偽装した二重拡張子の不正なSVGファイル

拡大するSVGファイルに仕込まれた難読化された不正なJavaScript

拡大する二次検体の接続先

2013年に「URSNIF 別名:Gozi」の作成者3人が逮捕され、懲役60年以上の禁固刑が言い渡されました(注9)。しかしながら、マルウェア自身は進化を続け、攻撃手法も絶えず変化しています。下記の図は、上記の二次検体の接続先ですが、一つのドメインでも感染先に応じて複数のIPアドレスからいずれかを選択し接続しています。攻撃で使われるC2サーバのIPアドレスは短期間で変更されますが、攻撃インフラのドメインは継続して使用されることが多いため、当該ドメインをフィルタリングすることで被害リスクを低減できます。

最後に、IPAから、各種セキュリティ対策の設計・運用ガイドが出ていますので(注10)、こうしたドキュメントを活用して再点検することも重要です。

おすすめコンテンツ

ページの先頭へ戻る