SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年5月19日号

***************************************************************
 Windows10更新プログラムになりすますランサムウェア
***************************************************************
ランサムウェア攻撃は日増しに巧妙化している。
当レポートでも、何度となく取り上げ注意喚起を促してきたが、被害は増加の一途を辿っている。

今年に入り、デンソーや小島プレス工業、森永製菓、ブリジストン、コニカミノルタ、パナソニック、月
桂冠、など国内の有名企業が狙われて被害に遭っているが、今月に入り衣料品販売のしまむらや
ダイカストで有名なリョービなど10社程が被害に遭っている。

ネットニュースを中心に様々な企業の被害が報じられ、複数政府機関からも注意喚起がされている
が、被害が減らないのは日本人のセキュリティに対する甘さの象徴ではないだろうか。

ランサムウェアと言えば、企業データを暗号化して「データ回復」「データ公開」「被害状況の拡散」
などを脅迫して金銭を要求する攻撃が一般的だが、最近のランサムウェアグループには、新たな攻撃
手法が幾つか確認されている。

最近表面化しているランサムウェアグループの一つに「Karakurt」ランサムウェアグループがある。
Karakurtは、システムに侵入して機密情報を盗み出すが、暗号化は行わず、取得した機密データ
を一般に公開すると脅迫する。
しかも大企業やインフラサービスは狙わず、中小企業をターゲットとしている。

Karakurtの攻撃は新しい技術を採用していて、一度システム内に入ると永続的に内部に侵入し
監視されて、重要情報があると適時盗み出すという手法である。
一度被害に遭うと、継続して情報流出が発生し、脅迫され続けることになる。

Karakurtランサムウェアグループはロシア系ランサムウェアグループ「Conti」との関連性も確認され
ていて、背後に大規模なサイバー犯罪グループがいることで今後一層脅威を増すものと考えられる。

別のランサムウェアグループでは、企業を狙わず個人をターゲットにする攻撃まで現れた。
Bleeping Computerから、「Windows10の更新プログラム」になりすましたランサムウェア攻撃に
ついて公開され、これによるとオペレーティングシステムのアップデートを模したマルウェアにより、ユーザ
のPCにMagniberランサムウェアが設置されるという。

このマルウェアは様々な名前が確認されているが、代表的なものは以下の通りである。
 Win10.0_System_Upgrade_Software.msi
 Security_Upgrade_Software_Win10.0.msi
 System.Upgrade.Win10.0-KB47287134.msi
 System.Upgrade.Win10.0-KB82260712.msi
 System.Upgrade.Win10.0-KB18062410.msi
 System.Upgrade.Win10.0-KB66846525.msi

ランサムウェア攻撃は、今までは企業を狙ったものがほとんどであったが、当ランサムウェア攻撃は個人
を狙った攻撃であり、アップデートを模倣し偽サイトに誘導してマルウェアをダウンロードさせて感染さ
せる。企業ではなく学生や一般ユーザに対してサイバー攻撃を行い、暗号したデータの回復を脅迫
して0.068ビットコイン(約30万円)要求してくるという。
しかも身代金を支払う方法以外に暗号化されたファイルを回復できる方法が確認されていない。

VirusTotalへの報告によると、当該偽サイトは今年4月8日から始まり、既にマルウェアは世界中に
大量配布されているという。
個人だから安心ではない、自分が被害に遭った時のことを想像してほしい。

一方で、昨年トップクラスの攻撃を行ったLockBit2.0ランサムウェアグループは、1年間に少なくとも
650カ所の組織を攻撃していて、最近ではカナダの民間軍事産業企業であるTop Acesに攻撃を
行った。

日本でもLockBit2.0による多くの被害が発生していて、3月にはブリジストンに対して攻撃があった。
しかし最近では民間軍事産業をターゲットにする攻撃が増加している。
恐らくロシア・ウクライナ情勢による軍事活動に対する抗議の意味があると考えられる。
日本の軍需産業を行う企業は十分に注意しなければならない。

このようにランサムウェア攻撃も大企業やインフラ企業だけでなく、中小企業や個人までもがターゲット
になってきているのである。

ランサムウェア以外にも危険な攻撃は多数ある。
その一つに中国の「Override Panda」 APTハッキンググループが、東南アジアの政府機関に対して
攻撃を行っている事が確認された。

Override Pandaは長期間の諜報とスパイ活動を目的とし、主に政府機関と公共機関に対する
サイバー攻撃を行い、自分たちを隠蔽するため様々な戦略と多種のプログラムを利用している。
主な攻撃手法はフィッシングメール攻撃で「Viper」というRedTeamフレームワークを利用する。
「Viper」は、Cobalt Strikeに似ていて、これによって機密情報が流出することになる。
政府機関・公共期間としても、気を抜くことはできない。

このような様々なサイバー攻撃によって流出した情報は、ブラックマーケットで売買される。
5月に入り中国ブラックマーケットでは、日本のキャッシュレスペイ決済に使われる10万個の情報が
売買されていた。その内容はアカウントとパスワードといった不正利用を可能にする情報である。

他にも各種サービスに利用される2段階認証の一つであるSMS認証の代行作業を実施すると言った
書き込みを確認している。
SMS認証の代行が可能なサービスには、「d払い」「Rakuten」「Rakuten pay」「au pay」
「ラクマ」「Yahoo」「バーチャルカード」「conohaサーバ」「各種サーバログイン」等があり、アカウント
が分かってしまえば認証が出来てしまい、なりすましログインが出来てしまう。
もちろんログイン出来れば、そのサービス内で自由に不正行為が可能となる。

このようにして繰り返されるサイバー攻撃とサイバー犯罪は終わることがない。
延々と繰り返され、機密情報や個人情報は抜き取られ、最終的には金銭的な被害を受ける。
既に社会問題化しているが、誰もが目を背け、被害に遭って始めて慌てる。
日本のデジタル化を進めるためにも、目を背けてはいけない部分があることを忘れてはならない。
サイバー攻撃者のターゲットは政府、公共、大企業、中小企業、個人、全てが対象なのだから。
--------------------------------------------------------------------------------
 <参考URL>
BLEEPING COMPUTER:2022/4/30(英文)
Fake Windows 10 updates infect you with Magniber ransomware
(偽のWindows10アップデートは、Magniberランサムウェアに感染します)
https://www.bleepingcomputer.com/news/security/fake-windows-10-updates-infect-you-with-magniber-ransomware/

読売新聞オンライン:2022/5/18
北朝鮮「IT労働者」、サイバー攻撃加担の恐れ…米政府が危険性を指摘
https://www.yomiuri.co.jp/national/20220517-OYT1T50302/

ZDNet Japn:2022/5/11
4つの標的型攻撃者グループの活動を日本で観測--トレンドマイクロ
https://japan.zdnet.com/article/35187267/

J-CASTニュース:2022/5/12
「経済安保法」で中国・ロシアに勝てるのか?
専門家が2つの「弱点」指摘...「情報保護の甘さ」「自由経済の強み失う」
https://www.j-cast.com/kaisha/2022/05/12437175.html?p=all


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved