スパムメールを介して拡散する「Blackhole Exploit Kit」の脅威とは?
今日、サイバー犯罪において普及しているエクスプロイトキットの1つが「Blackhole Exploit Kit」であり、このツールキットは、正規メールの偽装や話題の時事トピック便乗といった手口でスパムメールのメッセージを利用します。この場合、スパムメール内のURLをユーザにクリックするように促し、Blackhole Exploit Kitが組み込まれたWebサイトへ誘導させます。「TrendLabs(トレンドラボ)」では、モニタリングや調査を通して、Blackhole Exploit Kitがどのようにしてサイバー犯罪者に使用されたか、さらに「ソーシャル・ネットワーキング・サイト(SNS)」のWebサイトからの偽通知や、宅配業者や銀行からの通知、ケーブルネットワークの更新に関するメール等、たくさんの「おとり」が利用された状況など、複数の変化を確認してきました。
また、英国のロイヤルベビー誕生やSF 映画「Ender’s Game(邦題:エンダーのゲーム)」など、話題のニュースに便乗した複数のスパム攻撃も確認しており、これらのスパム攻撃では、ソーシャルエンジニアリングの手口として「Facebook」や「eBay」からの通知を装っていました。
トレンドラボでの調査では、Blackhole Exploit Kit 関連のスパム攻撃におけるスパムメール数は、2013年中旬の時点で収集されたスパムメッセージ全体数の0.8%に達したことを確認しています。また、スパムメール送信国の上位は、米国、インドおよびカザフスタンであり、これらの事例から、エクスプロイトキットを利用した攻撃が、今日の脅威状況において主流となっていることが分かります。こうした「エクスプロイトキット人気」の中でも、とりわけBlackhole Exploit Kitは、サイバー犯罪者たちの「お気に入り」となっています。
ユーザは、どのようにしてこの脅威に遭遇しますか。
Blackhole Exploit Kitは、通常、特定の不正Webサイトに組み込まれており、このツールキットを拡散させる攻撃の背後で暗躍するサイバー犯罪者たちが「Webサイトへ誘導させるリンクを含んだスパムメール」を送信することで、ユーザは、この種の脅威に遭遇します。この種のスパムメールでは、多くの場合、巧妙なソーシャルエンジニアリングの手口が駆使されており、受信したユーザは、うっかりメール内のリンクをクリックしてしまいます。また、この種のスパムメール本文に使用される典型的な手口は、よく知られたオンラインショッピングや「ソーシャル・ネットワーキング・サイト(SNS)」からの通知を偽装することです。こうしてユーザは、改ざんされたWebサイトへと誘導され、最終的にBlackhole Exploit Kitが組み込まれたサイトへ行き着くことになります。
ユーザがスパムメール内のリンクをクリックすると、具体的にはどのようなことが起こりますか。
スパムメール内のリンクをうっかりクリックしたユーザは、まず不正なJavaScriptによる改ざんで悪用されたWebサイトへと誘導されます。このJavaScriptは、誘導されたサイト上にiframeを組み込み、さらに別のサイトへユーザをリダイレクトさせるという役割を担っています。そして、リダイレクトされた不正なWebサイト上にBlackhole Exloit Kitが含まれています。また、iframeが読み込まれた後、このBlackhole Exploit Kitが含まれたWebサイト上においても、難読化された別のスクリプトが読み込まれ、そのスクリプトのコードは、悪用すべき「脆弱性を含んだソフトウェア」を検索する役割を担っています。通常、Blackhole Exploit Kitは、「Adobe Acrobat」や、「Adobe Flash Player」、「Java」、「Windows」など、サードパーティのアプリケーションを含む複数のソフトウェアの脆弱性を標的にできる機能を備えています。
こうして脆弱性が利用されると、Blackhole Exploit Kitは、マルウェアのインストールを開始します。トレンドラボの調査によると、今回のようなタイプの攻撃では、他のマルウェアの亜種の中で特に「ZBOT」や最近では「TSPY_FAREIT」の亜種などの情報収集型マルウェアの拡散が行なわれていることを確認しています。
コンピュータが「TSPY_FAREIT」の亜種に感染すると、どのようなことが起こりますか。
「TSPY_FAREIT」の亜種の中でも、とりわけ最近のBlackhole Exploit Kit関連のスパム活動に利用された「TSPY_FAREIT.AFM」は、FTPクライアントのアカウント情報を窃取します。また、ブラウザに保存されたEメールの認証情報やログイン情報も収集します。さらに、所定のパスワードリストを利用し、Windows のログインに対して総当り攻撃(ブルートフォース攻撃)を実行します。こうした点から、ユーザは、銀行や金融関連のアカウントに関連する認証情報が窃取されるリスクにさらされます。窃取された情報も、他の攻撃の際に利用されたり、サイバー犯罪の温床であるアンダーグラウンドで販売されることもあります。
今回のようなタイプの攻撃を効果的にしている要因は何でしょうか。
攻撃の背後のサイバー犯罪者たちがソーシャルエンジニアリングの手口を巧みに駆使している点が要因だといえます。これにより、ユーザは、うっかりスパムメール内のリンクをクリックして、Blackhole Exploit Kitが組み込まれたサイトへと誘導されるという行動を促されるからです。そうしたソーシャルエンジニアリングの手口の1つが、人々の関心を集める人気の話題やニュースや有名ブランド名などに巧みに便乗することです。
この攻撃を効果的にしているもう一つの要因は、巧みなフィッシングメールの手法です。つまり、送信されたスパムメールが「正規のWebサイト等からの本物そっくりの通知メール」に偽装されている点です。また、この手法は、ユーザに正規メールと思わせるだけでなく、不正なメールをブロックする従来のセキュリティ対策をすり抜ける点でも効果的だといえます。トレンドマイクロのプロダクトマネージャであるSandra Chengも、「こうしたフィッシングメールは、形式や言葉遣いの点で正規のメールと何ら変わるところがなく、この点が、これらのフィッシングメールのメッセージを従来の方法での検出することを困難にしている要因でもある」と指摘しています。
さらにまた、ソフトウェアの脆弱性を利用している点も、この攻撃を効果的にしている要因であることは確かです。ただし、こういった脆弱性利用の場合、ほとんどのツールキットは、既によく知られた古い部類の脆弱性を利用している点にも注意すべきでしょう。この事実は、使用期間の長いツールキットほど有効であり、サイバー犯罪者たちが将来に渡って長期的に利用できることも物語っているといえます。
Blackhole Exploit Kitに関連する攻撃としてはどのようなものがありますか。
トレンドラボでも一連の調査を通して、このツールキットに関連した複数のスパムメールを確認しており、これらがさまざまなWebサイトからの通知メールを装っていたことが分かっています。下記の表は、そうした「Blackhole Exploit Kit関連の攻撃」の中でも、要注意に分類された事例のいくつかとなります。
|
|
|
|
|
| 偽装された通知メール | ウイリアム王子とキャサリン妃の第1子誕生に関するScribd Live からの公式通知を装う | Javaに存在する脆弱性 | 不正なファイルをダウンロードする「TROJ_MEDFOS.JET」作成の被害に見舞われる |
| 偽装された通知メール | SF 映画「Ender’s Game」に関するCNNからのメールを装う | Javaに存在する脆弱性 | 不正なファイルをダウンロードする「TROJ_MEDFOS.JET」作成の被害に見舞われる |
| 偽装された通知メール | Facebook およびeBayからの通知を装う | Javaに存在する脆弱性 | コンピュータ保存されたメールやブラウザの認証情報を収集する「TSPY_FAREIT.AFM」をダウンロードするWebサイトに誘導される |
| 偽装された通知メール | Verizon Wirelessからの通話料請求メールを装う | Adobe | 「TSPY_ZBOT.JBR」に感染し、感染コンピュータから個人情報等が重要情報が収集される |
| 偽装された通知メール | City Bankのオンラインアカウントからの通知メールを装う | 任意のソフトウェア | 「ZBOT」関連のマルウェアがダウンロードされる。 |
| 偽装された通知メール | LinkedInからのパスワード変更通知メールを装う | 任意のソフトウェア | 「TSPY_ZBOT.NT」に感染し、Internet Explorer(IE)のゾーン設定を変更される |
| 偽装された通知メール | CareerBuilderからの求職メールを装う | 任意のソフトウェア | 「TSPY_ZBOT.IZI」に感染し、ファイルの作成や情報収集等の被害に見舞われる |
| 偽装された通知メール | Facebookの「友人からのメッセージ」の通知メールを装う | Oracle Java SE および Java for Businessの「MixerSequencer」のリモートでコードが実行される脆弱性 (CVE-2010-0842)
Oracle Java SEおよびJava for Business 6 Update 18、5.0 Update 23、 および 1.4.2_25のJava Runtime Environment (JRE)コンポーネントに存在する未特定の脆弱性(CVE-2010-0840) Java Runtime Environment (JRE)コンポーネントに存在する未特定の脆弱性(CVE-2011-3544) Java Runtime Enviroment(JRE)に存在する脆弱性(CVE-2012-0507) |
「TSPY_ZBOT.PEJ」による情報収集やファイル作成の被害に見舞われる |
| 偽装された通知メール | US Airwaysからのフライト情報の通知メールを装う | 「JAVA_EXPLCVE.RT」脆弱性(CVE-2012-0507)を利用する不正プログラム | 「TROJ_PDFJSC.ADR」により、不正なWebサイトに接続され、そこから「TSPY_ZBOT.AADR」がダウンロードされ、このマルウェアにより、さらに他の複数のサイトへ接続される |
| 偽装された通知メール | PayPalからの通知メールを装う | 「JAVA_BLACOLE.RCC」 脆弱性(CVE-2012-0507)を利用するマルウェア | 他のファイルが作成もしくはダウンロードされる |
| 偽装された通知メール | American Express Bankのオンラインアカウントからの変更通知メールを装う | 「JAVA_BLACOLE.RCC」 脆弱性(CVE-2012-0507)を利用するマルウェア | 他のファイルが作成もしくはダウンロードされる |
| 偽装された通知メール | Better Business BureauおよびLinkedInからの通知メールを装う | 「JS_BLACOLE.IC」 脆弱性(CVE-2010-0188)および(CVE-2010-1885)を利用するマルウェア | 「WORM_CRIDEX.IC」により不正なWebサイトに接続され、他のファイルをダウンロードし、ランダムなドメインを生成する |
Blackhole Exploit Kitは、ユーザにどのような影響を及ぼしますか。
このエクスプロイトキットは、ユーザのコンピュータに他のマルウェアをダウンロードしたり作成したりすることで、ユーザに影響を及ぼします。この場合、ダウンロードもしくは作成される典型的なマルウェアは、「ZBOT」の亜種です。この種のマルウェアは、情報収集活動を行うことでもよく知られており、ユーザは注意が必要です。
Blackhole Exploit Kitに新たな改良点はありますか?
トレンドラボでは、2011年からBlackhole Exploit Kitに関連するスパムメール活動をモニタリングしていますが、何度か新たな開発や改良が施されたことも確認しており、実際、このことが、Blackhole Exploit Kit を「特別なツールキット」にしている理由でもあります。以下は、このエクスプロイトキットに関するこれまでの変遷を示した概略です。
2013年9月現在、Blackhole Exploit Kit関連の最近のスパム活動では、他のマルウェア(「TSPY_FAREIT」の亜種)をダウンロードすることが確認されています。ただし、実際の感染事例においてサイバー犯罪者がこのマルウェアどのように利用したかについては、新たな進展は確認されていません。
この脅威から身を守るためには、ユーザ自身は何ができるでしょうか。
ユーザ側では、以下の手順に従うことで、この脅威から効果的に自身を守ることができます。
- 修正パッチを定期的に実施する:Blackhole Exploit Kitによる脆弱性利用では、古いバージョンや未修正のソフトウェアが頻繁に標的とされています。これは、多くのユーザが未修正のままのソフトウェアを使用しているため、こうした脆弱性がいまだ効果的であることを示しています。「Microsoft」や、「Adobe」、「Oracle」などは、そうした脆弱性に対処するセキュリティアップデートを定期的にリリースしており、それらを必ず利用することが不可欠です。特にMicrosoftの場合、米国日付の毎月第2火曜日(日本では時差の関係上その翌日)にセキュリティ情報を公開しています。こうしたスケジュールに従った定期的な更新は、面倒なようですが、同様の脅威からご使用のソフトウェアを守るためにも重要なステップとなります。
- ご使用のブラウザのJavaScriptを無効化する:Blackhole Exploit Kitにより脆弱性が利用されるページでは、JavaScriptが活用されることも知られています。この点を考慮し、ご使用のブラウザのJavaScriptを無効化しておくのも、有効な対策の一つとなります。どうしてもJavaScriptを有効化したい場合は、信頼のおけるサイトを閲覧している際の有効化に限定しておくとよいでしょう。
- ソーシャルエンジニアリングの手口に注意する:今回の攻撃では、ほとんどの場合、ソーシャルエンジニアリングの手口を駆使してユーザにスパムメール内の不正なリンクをクリックさせようとしています。したがって、受信したスパムメールが正規なものであるかどうか細心の注意を払い、不審なメールはまず疑ってかかるという常識的判断を行使することが効果的な対策となります。
- クリックの前にもう一度注意する:メール本文内のリンクは、どのリンクも基本的に危険なものと見なしておくべきでしょう。リンクをクリックする前には、URLの宛先がどこになっているかを必ず確認にすることが重要です。「Trend Micro Site Safety Center」のようなURLの安全性評価システムを利用すれば、リンクが不正であるどうかを事前に判断することができます。
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「E-mail レピュテーション」技術により、今回の脅威に関するスパムメールがユーザに届く前にブロックします。また、「Web レピュテーション」技術により、ユーザがアクセスする前に、ユーザが不正なドメインにアクセスするのを防ぎます。さらに、「ファイルレピュテーション」技術により、今回の脅威に関連するすべてのマルウェアの実行を防ぎ削除します。「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、今回の攻撃に関連する「ソフトウェアの脆弱性利用」に関しても防御を提供することができます。
トレンドマイクロの専門家からのコメント
様々な企業や組織の名称を偽装するフィッシングメールは、とりわけ米国のユーザを標的にしながらEメールを介して拡散しています。こうしたフィッシングメールのメッセージ内容は、正規のメールとそっくりであり、ほとんど見分けがつかない点も大きな特徴となっています。
- ソフトウェア・アーキテクチャ・ディレクター: Jon Oliver
トレンドマイクロの調査でも、この種の脅威の場合、スパムメール内のリンクなど、変更可能な箇所に関しては絶えず変更が加えられていることが分かっており、このため、不正なリンクを検知し、それに関連するドメインを閉鎖することなどが極めて困難になっています。また、ボットネット活用の際も、比較的小規模なネットワークのボットネットが使用されるため、そのトラフィック自体もあまり目立つことがなく、この点も、この種の脅威の検知を困難にしている点となっています。
- プログラム・マネージャー: Sandra Cheng