不正プログラム「BEDEP」は、自身をインストールする機能を備えており、この機能により、感染コンピュータ上では、広告詐欺や他の不正プログラムのダウンロードが実行されます。

2015年2月初旬に確認されたゼロデイ脆弱性「CVE-2015-0313」(Adobe Flash Player に存在)により、Adobeのゼロデイ脆弱性と不正プログラム「BEDEP」ファミリとの関連性が一層明らかになりました。このゼロデイ脆弱性の解析により、感染フローは、この脆弱性を利用する「SWF_EXPLOIT.MJST」だけで終わらず、「BEDEP」ファミリの不正プログラムのダウンロードにまで至ることが判明しました。1月下旬にも、このゼロデイ脆弱性と類似した別のAdobeのゼロデイ脆弱性が確認されていましたが、この場合も、感染コンピュータ上に「BEDEP」ファミリをダウンロードする様子が示されていました。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の情報によると、2015年の最初の数週間だけで、「BEDEP」ファミリの検出台数の急増が確認されました。その数は約5,000に及び、特に米国で全体の73%と最も影響が大きく、次いで日本(17%)、オーストラリア(4%)、ドイツ(1%)、英国(0.48%)と続いています。最も顕著な検出名は、以下のとおりです。

  • 「BKDR64_BEDEP.C」(39%)
  • 「BKDR64_BEDEP.LN」(32%)
  • 「BKDR64_BEDEP.B」(9%)
  • 「BKDR_BEDEP.SMA」(7%)
  • 「BKDR64_BEDEP.LM」(5%)

「BEDEP」とは、どのような不正プログラムですか

「BEDEP」ファミリの不正プログラムは、2014年9月に初めて確認され、背後には、エクスプロイトキット「Angler exploit kit(Angler EK)」やランサムウェア「REVETON」と同一のサイバー犯罪集団が存在すると考えられます。この不正プログラムは、自身をインストールする機能を備えており、この機能により、感染コンピュータ上では、広告詐欺や他の不正プログラムのダウンロードが実行されます。なお、弊社の最近の調査では、感染したコンピュータでボットを形成して別の不正活動へ利用することが、この不正プログラムの主な目的として判明しています。

「BEDEP」は、どのようにしてユーザのコンピュータに侵入しますか

「BEDEP」の感染フロー

通常、「BEDEP」は、強固な暗号化やMicrosoft のファイルプロパティを駆使して自身の不正活動を隠ぺいするため、検出されたり気づかれたりすることはありません。

「BEDEP」の亜種は、主に不正広告(malvertisement)の手口を駆使してユーザのコンピュータに侵入します。つまり、「BEDEP」の感染フローは、不正広告がホストされたWebサイトをユーザが閲覧することで始まります。そしてユーザは、不正広告により、エクスプロイトキット「Hanjuan exploit kit(Hanjuan EK)」が設置されているページに誘導されます。そして誘導先のページでこのエクスプロイトキットが実行されます。このエクスプロイトキットは「SWF_EXPLOIT.MJST」として検出対応しています。

これにより、エンコード化された以下の2つの不正プログラムがユーザに気づかれずにダウンロード・実行されます。

  • 「BKDR64_BEDEP.E」
  • 「TROJ64_BEDEP.B」

なぜ、この脅威が注目されているのですか

さまざまな地域で感染急増が確認されている点が理由の1つです。また、弊社のリサーチエンジニアのAlvin Bacaniは、「BEDEP」の亜種が検出回避のために強固な暗号化を利用し、正規ファイルを装うためにMicrosoft のファイルプロパティやエクスポート機能を利用している点も、注目すべき理由の1つとしています。

不正広告は、不正プログラムを拡散する手口としては従来型のものと考えられていましたが、依然として有効だといえます。今回のAdobeのゼロデイ脆弱性の場合も、ユーザの関与なしに不正プログラムがコンピュータに侵入できる点で、不正広告を利用した「BEDEP」の拡散は、効果的な手口であることが証明されました。

また、弊社の最近の調査では、「BEDEP」は、広告詐欺や不正プログラムのダウンロード・実行だけでなく、感染コンピュータでボットネットを形成して別の不正な活動に利用することも判明しました。ファイルを構造の解析では、オンライン銀行詐欺ツール「VAWTRAK」ファミリに類似していることも確認されましたす。「VAWTRAK」は、オンライン銀行の個人情報を窃取する機能を備えていることで知られています。

プロパティ

正規に見せるために「BEDEP」が利用するファイルプロパティ

トレンドマイクロの製品を利用しているユーザはこの脅威から守られていますか

はい、守られています。トレンドマイクロ製品をご利用のユーザは、「BEDEP」および関連するすべての不正な事項から守られています。

この脅威がコンピュータに感染するのを防ぐためにユーザは何ができますか。また感染の疑いがある場合、何をすべきですか

Adobe Flash Player に存在するゼロデイ脆弱性や、その不正活動としての「BEDEP」ファミリに関しては、ユーザは以下の注意事項を実践することでコンピュータを守ることができます。

  • クリック前の確認を習慣化すること。不用意な閲覧活動は、オンライン上で感染被害を招きます。
  • 企業および個人ユーザの双方にとって、ソフトウェア更新は基本的な注意事項です。今回の事例では、修正プログラム公開まで、Flash Playerを無効化することも有効です。
  • サイバー犯罪者が利用する最新の手口に精通することです。オンライン・セキュリティに関する理解を深めることで、被害を回避するための正確な知識を得ることができます。
  • 脆弱性に対する防御層を含む、オンライン・セキュリティの総合的なセキュリティ対策製品をインストールすることです。