2013年3月15日、「TrendLabs(トレンドラボ)」は、ユーザに人気のクラウドサービスである「Evernote」が、サイバー犯罪者の攻撃インフラとして悪用された事例を確認しました。この事例は、サイバー犯罪者が自分たちの不正活動のために正規サービスを悪用し続けている状況を示しているといえます。このように正規サービスを悪用することで、サイバー犯罪たちは、セキュリティ対策の検知を回避し、自分たちの目的達成を目論んでいるようです。この事例で使用されたマルウェアは、トレンドマイクロでは「BKDR_VERNOT.A」として検出対応しています。

Evernoteが悪用された今回の事例は、「Google ドキュメント」が悪用された同様の事例を思い起こさせます。マルウェアが自身のコマンド&コントロール(C&C)サーバのプロキシとして「http://docs.google.com」を利用した事例で、このマルウェアは「BKDR_MAKADOCS.JG」として検出対応しています。また、「Sendspace」が悪用された同様の事例も思い起こさせさます。この事例では、マルウェアが窃取した情報の保存場所としてホスティング・WebサイトのSendpaceが利用されました。このマルウェアは「TSPY_SPCESEND」のファミリ名で検出対応しています。

多くのマルウェアと同様、今回の事例で使用されたマルウェア「BKDR_VERNOT.A」も、悪意あるWebサイトからユーザが誤ってダウンロードするか、もしくは既に感染した他のマルウェアに作成されることによりコンピュータに侵入します。

「BKDR_VERNOT.A」がコンピュータ上で実行されると、どのようなことが起こりますか。

このバックドア型のマルウェアは、インストールされると、まずDLLファイルのコンポーネントを作成します。このDLLコンポーネントは、一時的に作成される一時ディレクトリやフォルダと同じ形式で作成され、"Windows Explorer" などの正規プログラムに組み込まれます。その後、実際のバックドア活動が開始されます。

「BKDR_VERNOT.A」は、正規サイト「https://evernote.com/intl/zh-cn」へのリンクを介してEvernoteへの接続を試みます。接続が達成されると、このマルウェアは、自身のコード上に保存された認証情報を駆使してログインし、Evernote上に保存されている不正コードの取得を試みます。

「TrendLabs(トレンドラボ)」で確認した時点では、このマルウェアは、既にログインできない状態となっていました。恐らく今回の事例に先立ってEvernote側で実施されたパスワードリセットによると考えられます。ただし、もしログインできていたならば、このマルウェアは、自身のEvernoteアカウント上のC&Cサーバ関連の情報を読み込むことができていたでしょう。なお、この「BKDR_VERNOT.A」は、それ自体としては、他のEvernoteアカウントから情報を窃取する機能等は備えていません。

ログインできた場合、このマルウェアは、侵入したコンピュータ内の情報を窃取するコマンドを実行することが可能になります。また、Evernote上に自身が窃取した情報を保存しておくことも可能になります。さらにEvernote上で確認されたコマンドの中には、ファイルのダウンロードや、ファイルの実行、ファイル名の変更、アーカイブ化されたファイルの抽出などを指示するものも含まれていました。

なお、今回入手した検体を解析した範囲では、このマルウェアはWindowsのオペレーティングシステム(OS)上で実行されるように設計されており、モバイル端末上のEvernoteアプリでは実行されないことも確認されています。

「BKDR_VERNOT.A」が注目される理由は何でしょうか。

このマルウェアの侵入方法自体は、他のバックドア型マルウェアとそう変わるところはありませんが、EvernoteをC&Cサーバとしてそこから不正コードを読み込むという点が、このマルウェアが注目されている理由といえます。Evernoteに正しくログインできていた場合、このマルウェアは、自身のEvernoteアカウントに保存されたコマンドを簡単に読み込み、バックドア活動を展開できていたでしょう。

手軽にメモして保存する人気のクラウドサービスであるEvernoteは、多くの一般ユーザが個人情報や勤務先からの情報などの保存にも使用している正規サービスでもあり、このようなサービスをサイバー犯罪者が活用するということは、まさしく意表をついた選択であるといえます。

さらに、こういった正規サービスを活用することは、サイバー犯罪におけるC&C交信の手段としても異例のことだといえます。通常、サイバー犯罪におけるC&C交信の場合、特定のネットワークがリクエストされるため、IT管理者は、それらをモニタリングやブラックリスト化、その他のセキュリティ対策などを施すことで監視できていたからです。

なぜ、正規サービスの悪用がこのように続発するのでしょうか。

Evernoteのような正規サービスを活用することで、サイバー犯罪者側での大きな懸案を解決することができるからです。つまり、正規チャンネルを介して不正活動を実行することは、ネットワークやファイルのトラッキングなど、今日多くのセキュリティ対策製品で使用されている技術による検知を回避する上で、効果的な方法となるからです。

また、非常に多くのユーザがこうした人気の正規サービスを使用しているため、その中に紛れ込んだマルウェアの活動が発見される確率も低くなることも、悪用が続発する理由といえます。正規チャンネルを介して行なわれている不正活動をトラックすることは、そのためのルール等を開発するだけも、IT管理者とって直ちに対処することは難しいでしょう。従業員数の少ない中小企業等ではなおさらのことであり、「こういった正規サービスはそれ自体として安全なアクセスが保証されているはず」という判断の下、何も対処できないというのが実状でしょう。

正規サービス自体に備わっているはずのセキュリティ対策だけに依存することは、むろんユーザにとって十分な対処法だとはいえません。コンシューマライゼーションが普及する中、特に大企業では、社員がオフィスに持ち込んだ正規サービスの悪用などを介して、データ漏えい等への対処は脆弱化してきています。適切なポリシー等が設置・施行されないまま、個人用アプリやサービスを社内ネットワーク上で使用する社員が増えるにつれ、企業におけるデータ漏えいのリスクは高まってきているといえます。

例えば、ある社員が社内のミーティングでメモを取る際にEvernoteを使用し、他のコンピュータや端末へ自動的に同期されるように設定していたとします。サイバー犯罪者たちがそのように扱われた情報に目をつけ、社内の重要情報の窃取を企てる可能性は十分に考えられます。

実際、サイバー犯罪者たちが正規サービスをマルウェアの活動に非常に有用なものと見なしていることが、今回の事例から伺うことができます。一方、多くの個人ユーザも企業も、そうした現状に十分に対処できていないという点も事実です。企業のIT部門も各IT管理者も、こうした「悪用される正規チャンネル」には十分に対処できておらず、ここから情報窃取等のリスクにさらされる可能性は、高いままだといえます。

トレンドマイクロ製品は、今回の脅威からユーザを守ることができますか。

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、これらの脅威からユーザを守り、感染被害を未然に防ぎます。トレンドマイクロ製品のユーザは、「E-mail レピュテーション」技術、「Web レピュテーション」技術、そして「ファイルレピュテーション」技術の連携により、今回の事例に関連する脅威から守られています。

トレンドマイクロの専門家からのコメント:

隠ぺいの手口がサイバー犯罪者たちにとって大きな関心事となっている中、Evernoteなどの正規サービスを悪用することは、不正活動の検知を回避し、セキュリティ専門家からの追求を逃れる上でも、彼らにとって非常に有効な手段だといえます。実際、「BKDR_VERNOT.A」は、正規のトラフィックを生成することから、ほとんどのセキュリティ対策製品にとって、このマルウェアの動作を不正と検知できていない可能性もあります。こうした状況は、一般のインターネットユーザだけでなく、Evernoteのようなソフトウェアを活用する社員がいる企業にとっても、厄介な問題だといえます。
- スレット・レスポンス・エンジニア:Nikko Tamana

関連マルウェア