www.us-cert.gov

US-CERTは、現地時間11月14日、北朝鮮のサイバー犯罪集団に関する注意喚起を発表。

US-CERTとは、United States Computer Emergency Readinessの略で、米コンピューター緊急対策チームという意味だ。

発表された注意喚起は、以下の2つ。

US-CERTが発表した声明

• TA17-318A
• TA17-318B

これら声明は、米国土安全保障省（DHS）と米連邦捜査局（FBI）が協力してアメリカ政府と行なってきた調査データを元に作成される。

”HIDDEN COBRA”に続く注意喚起

実は、今年の夏にもUS-CERTは、北朝鮮のサイバー犯罪集団の活動に「HIDDEN COBRA」と称して注意喚起(TA17-164A)を発表していたようだ。

北朝鮮のサイバー犯罪集団は、「Lazarus Group(ラザルスグループ)」という名前があるのだが、HIDDEN COBRAと同義である。

言い換えると、アメリカ政府が「Lazarus Group」がサイバー空間における隠密行動に対して、コブラ(毒蛇)が獲物をコソコソ狙う様子に喩えて、HIDDEN COBRAと呼んでいる。

簡単に言えば、ニックネームのようなものだ。

これまでHIDDEN COBRAは、アメリカだけでなく、世界各国に対してサイバー攻撃を仕掛けてきた。

主にターゲットとされたのは、メディア、宇宙・航空、金融業界や、発電所等の社会インフラに関するシステムだったようだ。

HIDDEN COBRAに関しては、江添佳代子さんの以下の記事にわかりやすく説明されているので参照して頂きたい。

2種類の注意喚起を発表

さて、冒頭にも書いたとおり、US-CERTはTA17-318AとTA17-318Bの2種類の注意喚起を発表した。

それぞれ以下のように、北朝鮮のサイバー犯罪集団が使用したマルウェアについて詳細に記載されている。

• TA17-318A: FALLCHILLに関する説明
• TA17-318B: Volgmerに関する説明

そこで今回の記事では、”前編”として、「TA17-318A」で報告されている内容に関して説明することにする。

（TA17-318Bに関しては、明日の記事に”後編”としてまとめる。）

TA17-318Aの概要

TA17-318Aは、HIDDEN COBRAが使用したマルウェア・「FALLCHILL」に関するIOC、関連IPアドレス、マルウェアの説明、シグネチャに関する記述がされている。

また、TA17-318Aには、FALLCHILLへの対策方法や、インシデントのレポート方法も記述してある。

もし万が一、FALLCHILLの被害に遭った場合、直ちにDHSかFBI Cyber Watch(CyWatch)に報告してほしい旨が書かれている。

TA17-318Aの概要欄には、IOC、並びにマルウェア分析レポート(MAR)に関する文書が記載されているので、興味のある人は参照するといいだろう。

直リンクを貼るのはセキュリティ的に問題があるので、ダウンロードリンクのある場所を、実際のページのスクリーンショット画像として示しておく。

(TA17-318Aの”Overview”配下にIOCのリンクがある。)

FALLCHILLについての説明

調査によれば、Hidde CobraはFALLCHILLを2016年から使用していたとされる。

FALLCHILLのターゲットは、主に以下の業界。

• 航空宇宙
• テレコミュニケーション
• 金融業界

FALLCHILは、RAT(Remote Access Trojan)で、攻撃者はC&Cサーバーからターゲット端末に潜伏させたFALLCHILLに対してコマンド命令を送信できる。

HIDDEN COBRAは、Dropper(詳細は不明)を使ったり、細工の施されたサイトをターゲットに訪問させる等して、FALLCHILLを端末に感染させるようだ。

以上の事から、ターゲット端末にはFALLCHILLの他にもHIDDEN COBRAによって作成されたマルウェアが潜伏している可能性があるという。

Technical Details

間には2層からなるProxyマルウェア

HIDDEN COBRAは、FALLCHILLに対してコマンドを送る際、2段階のProxyマルウェアを噛ませている。

US-CERTに以下の画像が掲載されている。

(HIDDEN COBRAのコミュニケーション・フロー。TA17-318Aのページから引用。)

攻撃者とターゲットの間に2段階のProxyマルウェアを噛ませているのは「ターゲット端末から送信される通信の送信元を特定しづらくする目的」である事が予想される。

通信をフェイクTLS暗号処理

また、FALLCHILLは、偽の証明書を用意し、RC4形式で暗号化したTLS通信行っているようだ。

RC4暗号化に使用されているキーは、以下。

・[0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]

ちなみに、RC4暗号方式に関する脆弱性は報告されており、既にTLSプロトコル全てのバージョンで使用禁止されている。

参考: Transport Layer Security(Wikipedia)

FALLCHILLの収集する情報

FALLCHILLは、ターゲット端末に関する以下の情報を収集、C&Cサーバーに送信する。

• OSバージョン情報
• プロセッサ情報
• システムネーム
• ローカルIPアドレス情報
• （攻撃者用の）感染端末識別ID
• MACアドレス

FALLCHILLに実装された機能

FALLCHILLには、以下のような機能が実装されている。

• 感染端末にマウントされた全てのディスク情報(ディスクの種類、空き容量等)の取得
• プロセス・スレッドの作成、開始、終了
• ファイルの検索、読み込み(read)、書き込み(write)、移動(move)、実行(execution)
• ファイル、又はディレクトリのタイムスタンプの取得
• プロセス、又はファイルのカレントディレクトリの変更
• 感染端末内のマルウェア、及び関連ファイルの削除

検知とレスポンス

TA17-318Aに記載されているIOCには、HIDDEN COBRAを検知する為に必要な情報を記載している。

DHSとFBIは、ネットワーク管理者は、IOCを参照し、そこに記載されているIPアドレスが自身の管理するIPアドレスに該当するかどうかチェックすることをお薦めしている。

ネットワークシグネチャとHost-Basedルール

TA17-318Aには、ネットワークシグネチャも記載されている。

ネットワークシグネチャを使うにあたって、誤検知アラート(False Positive)が上がる可能性は拭いきれないので、「あくまで参考として使用してもらいたい」と述べている。

ネットワークシグネチャ

※最大限注意を払ってコピペして掲載しているが、誤記入している可能性もあるので、念のためシグネチャは元ページから参照頂きたい。

以下は参考としてコピペしたものを掲載しておく。

alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)

alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)

alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)

alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)

YARA Rule

rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}

rule success_fail_codes_fallchill

{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 }  
    $s1 = { ba 7a 34 12 00 }  
    $f0 = { 68 5c 34 12 00 }  
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}

対策方法

• アプリケーションのホワイトリストを設定し、組織で認証されていないアプリケーションによって通信が行われるのを防ぐ
• OSとソフトウェアを最新の状態にアップデートする
• アンチウイルスソフトと定義データベースを最新の状態にアップデートする
• 組織内のユーザーのアクセスコントロールを行い、アプリケーションのインストール制限を行う。
• Eメールに添付されていた文書のマクロの実行を制限する
• Eメールに書かれている行き先不明のリンクを踏まない

FALLCHILLによる感染被害を確認した場合

直ちにDHSかFBIオフィスに連絡する事。

• DHS NCCIC(NCCICCustomerService[at]hq.dhs.gov)又は+1-888-282-0870
• FBI’s Cyber Division(CyWatch[at]fbi.gov)又は+1-855-292-3937

IBMのセキュリティ研究チーム、IBM X-Forceによって、新たなトロイの木馬”IcedID”が発見された。

発見された時期

最初にIceIdIDが確認されたのは、2017年9月の事だと言われている。

その後、詳細な調査が行われ、今日(2017/11/12)にIBM X-Forceによって公開された。

ターゲットは英・米の金融企業

IcedIDは、主に金融企業をターゲットにして拡散される。例えば、銀行や、クレジットカード会社、モバイルペイメント、Eコマースサイトなどが標的にされているという。

IcedIDが主にターゲットにしているのは、アメリカ、カナダ、イギリスの3カ国のようだ。

Emotetによるボットネットを使って拡散

IBM X-Forceによれば、Iced IDを拡散しているクラッカー集団は、過去に拡散されたEmotetを利用している。

Emotetとは、過去に、世界中の金融機関を狙って拡散したトロイの木馬であった。

Emotetを操る攻撃者は、感染端末の地理情報やシステム情報を使って、新たなサービスを始めた。

実はEmotetは、「バンキングトロイ」としてではなく、「マルウェア拡散用インフラ」として使用されているというのだ。

つまりIcedIDは、Emotetが所有するボットネットをプラットフォームにして拡散しているという事だ。

新種のバンキングトロイの可能性

IBM X-Forceの調査によると、IcedIDは、これまで確認済みのトロイの木馬で使われていたコードを使用しておらず、新たに作成された可能性が高いようだ。

過去にバンキングトロイとして確認されているZeus、Gozi、Dridex等と同様の機能を既に兼ね備えおり、今後更にIcedIDの機能がアップデートされているとIBM X-Forceは予想する。

リダイレクトとインジェクションの両方可能

IcedIDは以下の2パターンの動作をするようだ。

・ターゲットの金融情報の盗み取り

・ターゲットを攻撃者のサーバーへリダイレクト

まず、IcedIDは、ユーザーのブラウザ上でconfファイルをC&Cサーバーからダウンロードする。

このconfファイルには、エクスプロイト用のコードが記述されており、ターゲットによってエクスプロイト方法を変更する。

例えば、金融機関の場合、コード・インジェクション攻撃のコードを実行して、オンラインバンキングのサイトをエクスプロイトする。

一方、感染端末が金融機関以外の場合は、リダイレクト攻撃を起こして、ターゲットのカード情報や、Webメールアカウント情報を盗み取る。

ちなみに、過去に拡散されたバンキングトロイの内、Dridexというバンキングトロイしか、2種類の動作が実装されているものは確認されていない。

Technical Details

X-Forceのセキュリティ研究者は、IcedIDのサンプルを分析。

IcedIDは、主にWindowsPCHROME上で動作することが確認されている。

尚、anti-virtual machine(VM上での動作が出来ない状態)、anti-research(コード分析が出来ない状態)等の機能は実装されていないようだ。

その代わり、IcedIDには以下の機能制限がされている。

・再起動の必要性

完全にディプロイされるためには、再起動を必要とする。これは、再起動をエミュレートできないサンドボックス環境を避ける為だと推測されている。

・SSLの使用

IcedIDは、C&Cサーバーと通信を行う際に、SSL通信を使って暗号化する。そうすることで、ファイアウォールやIDS/IPSで検知する事が難しくなる。

IBM X-Forceは、以上の機能を鑑みると、「今後、anti-forensic(フォレンジック調査が出来ない又は難しい機能)が実装される可能性が高い」と予測する。

ペイロード・ディプロイメント

IcedIDは、EmotetをDropperとしてディプロイされる。

Emotetに感染した端末が再起動されると、ペイロードがWindowsの%LocalAppData%フォルダに書き出される。

フォルダ名に使用される値は、ターゲット端末のOSからパラメータ値を取り出し、以下のような名称で保存する。

・%LOCALAPPDATA%\[a-z]{9}\[a-z]{9}.exe

例

・C:\Users\User\AppData\Local\ewonliarl\ewonliarl.exe

・HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ewonliarl

以上の例からも分かる通り、IcedIDは、再起動後も問題なく実行される目的で、レジストリキーにRunKeyを作成するようだ。

次に、IcedIDは、RSAキーを使ってAppDataフォルダにシステムを保存する。（この時RSAキーがどのように使用されているかは調査中）

Tempファイルは、以下のファイル規則に従って保存される。

・%TEMP%\[A-F0-9]{8}.tmp

例

・C:\Users\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2137145731-2486784493-1554833299-1000\fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b53

・C:\Users\User\AppData\Local\Temp\CACCEF19.tmp

ここでディプロイメントのプロセスは終了し、DropperはExplorerのプロセス配下で、感染端末が再起動されるまで実行され続ける。

感染端末が再起動された際には、ペイロードが実行されIcedIDの端末へのインストールが完了する。

この時点でIcedIDは、攻撃者が用意したProxyを使って、感染端末を偽のオンラインバンキングサイトへリダイレクトする。

（※IBM X-Force並びに他のメディアから追加情報が入り次第、当記事に追記していく。）

セキュリティ研究者、Michael Gillespie氏(@demonslay335)は、Crysis/Charmaランサムウェアの亜種が、ID-Ransomwareにアップロードされた事を公表。

更にJakub Kroustek氏(@JakubKroustek)が、同サイトにアップロードされたサンプルが、Crysisランサムウェアを元に作成された新種のランサムウェアである事を確認したようだ。

そこでこの記事では、まずCrysisに関して説明をし、今回発見されたCrysisの亜種に関して報告されている事を説明していきたい。

Crysisランサムウェアとは何か？

Crysisランサムウェアは、RSAとAESを使って暗号化する。

暗号化キーの文字列がかなり長いことから、復号化はほぼ不可能とされている。*1

その為、Crysisランサムウェアに感染した端末は、ファイルの復元をする以外にCrysisランサムウェアの感染を解く方法は無いとされているようだ。

(もし、Crysisランサムウェアに関する詳細を知りたい場合は、記事下のReference欄にリンクを貼り付けておくので参照していただきたい。)

Crysisによる被害は123カ国に広がる

ESETの公表によれば、Crysisの検知数が増加したのは、2016年5月末だったという。

123カ国で検知を確認しているが、検知数の60%はなんと10カ国のようだ。注釈3

(国別Crysisの検知数を示すグラフ。ESETより引用。)

Cobraの独特な拡張子変換

Cobraは、一見独特な方法でファイル拡張子を変換する。

・*.id-[id].[email].cobra

例えば、”書類.docx”というファイルの場合は、

・書類.docx.id-BCBEF350.[cranbery@colorendgrace.com].cobra

のようにファイル名が変換されるのだ。

(Cobraが暗号化したファイルの例。Bleeping Computerより引用。)

さらに、Cobraがファイルを暗号化する際、Windows標準のシャドウボリュームを削除する。

削除する際に使うコマンドは、以下になる。

・vssadmin delete shadows /all /quiet

そうすることで、ユーザーはバックアップデータを使って暗号化されたファイルの復元ができなくなってしまう。

Cobraのランサムノート(脅迫文)

Cobraは、2種類のランサムノートを表示する。

1つ目は、info.htaというファイルで、ユーザーが端末にログオンした際に自動的に起動する。

(info.htaの画像。Bleeping Computerより引用。)

別のファイルは、encrypted!!.txtというファイル。

このテキストファイルは、デスクトップに保存される。

2種類のファイルとも、マルウェア作成者のものと思われる

cranbery@colorendgrace.comに連絡するように記載されている。

Cobraの拡散方法

発見されたランサムウェアがどのように拡散するかは不明のようだ。

しかし、元のCrysisはRemote Desktop Serviceを使って拡散されていた事から、Cobraも同様の手段で拡散すると予想される。

IOC

ハッシュ

COBRA SHA256: de6376e23536b3039afe6b0645da4fc180969b1dc3cc038b1c6bd5941d88c4d8

ランサムノート(Files encrypted!!.txt)

All your files have been encrypted,

to decrypt them contact us using the e-mail address:

cranbery@colorendgrace.com

As a proof we can decrypt 3 files for free.

ランサムノート(INFO.hta)

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail cranbery@colorendgrace.com

Write this ID in the title of your message [id]

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

https://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Cobraに関わるメールアドレス

cranbery@colorendgrace.com

Reference

https://eset-info.canon-its.jp/malware_info/trend/detail/170323.html

https://www.malwarerid.jp/malware/crysis-ransomware/

2496件に及ぶオンラインサイトが、マイニングスクリプトの被害に遭っている事が明らかになった。

このデータはセキュリティ研究者・Willem de Groot氏(@gwillem)が独自の調査を行なって自身のウェブサイトで公表した。

オンラインショッピングサイトの性質を悪用

注入したスクリプトでユーザーPCのリソースを使ってマイニングをするためには、ユーザーが長時間ウェブサイトに滞在していなくてはならない。

その理由は暗号通貨のマイニングには時間がかかり、継続的な計算処理が必要だからだ。

オンラインストアは、商品ページをユーザーがじっくりとウィンドウショッピングする傾向にあるので、時間のかかる暗号通貨マイニングには丁度いいのだ。

被害に遭ったサイトの80%がスキミング被害も

マイニングスクリプトをインジェクト(注入)されたオンラインサイトは、スキミング用のコードも注入されていたようだ。

その数はなんと、80%(de Groot氏調べ)。

80%というと、およそ2000ものサイトがスキミング用のコードを注入されていた計算になる。

この数字は、de Groot氏が行なった調査対象サイトに限った数字なので、サンプル数を増やせばもっと小さくなるかもしれない。

たった2つのアカウントで全体の85%からマイニング報酬を回収

またde Groot氏の調査によれば、2496件のオンラインサイトの85%程が、たった2つのアカウントに対してマイニング報酬を送っているようだ。

全体の85%という事は、およそ2122件分のマイニング報酬が2つの攻撃者(又はグループ)によって回収されていると見て間違いない。

被害に遭ったサイトの信頼失墜は確実

マイニングスクリプト、スキミングの被害に遭っているともなれば、サイトの信頼は失墜する。

ユーザーからしたら、CPUのリソースを90%以上も使われ、電池も消耗されるだけでも敬遠したくなるだろう。

そこに更に、クレジットカードの情報まで盗みとられてしまうとすれば、被害のあったウェブサイトへユーザー登録情報も削除したくなってしまうのではないだろうか。

カスペルスキーでは既に対応済

エンドポイントソフトウェアを提供するカスペルスキーは、既にマイニングスクリプトの対策をしているようだ。

私のPCで被害を受けたttp://shop[dot]subaru[dot]com[dot]au/アクセスした所、カスペルスキーのソフトウェアによってブロックされた。

このようにエンドポイント側でブロックされてしまうと、今後このサイトに訪れたいと思う人は減っていくに違いない。

私個人的にも、マイニングスクリプトを注入されるような脆弱性を抱えたオンラインストアにはカード情報、氏名や住所等の情報は預けたいと思わない。

今後、マイニングスクリプトを無断で実行するウェブサイトは自動で検知し、ブロックしていく流れになっていくと思うので、ウェブサイト運営者はセキュリティパッチの適用をしよう。

また、ユーザーも知らないうちにマイニングスクリプトを実行されている可能性がある。

私のようにカスペルスキーエンドポイントを導入していれば防げるが、その他のエンドポイントを使用しているユーザーは、エンドポイントにマイニングスクリプトをブロックするシグネチャがあるか確認してもらいたい。

Chromeユーザーは、Coinhive(マイニングスクリプトの提供元)のスクリプトをブロックする拡張機能があるので、ダウンロードすることをおすすめする。

https://krebsonsecurity.com/2017/11/2nd-breach-at-verticalscope-impacts/#more-41365

カナダのWebサービス大手企業”Verticalscope.com”がサイバー攻撃の被害に遭ったようだ。

Verticalscopeは、車、スポーツ、ペット、テクノロジー等、様々な企業に対してWebサイトやフォーラムの作成、Webマーケティングを行う企業だ。

発生日と発見者

11月2日、Hold Securityの創始者Alex Holdenというセキュリティ研究者によって報告された。

Holden氏は、ダークネット上の闇取引サイトでVerticalscope.comや同企業が管理するホストの、管理画面へのアクセス権を持つアカウント情報が販売されている事を発見した。

発見当初、Holden氏は2016年に同企業で発生した情報漏えいによって流出したアカウント情報が再販されていると思ったようだが、どうやら再度、情報漏えい

が発生していたようだ。

流出したユーザーアカウントの数は、2016年に発生した情報漏えいでは4500万件に対し、今回の情報漏えいでは270万件であると報告されている。前回と比較して小さい規模である事は確かだが、それでも相当数のアカウント情報が流出している。

情報漏えいの原因は”Web Shell"

”Verticalscope.com”からアカウント情報が漏洩した今回のインシデントはなんだったのか。

Holden氏はダークネットでアカウント情報を販売している”侵入者”と連絡を取り、どのように入手したかを示すスクリーンショットを侵入者から受け取った。

どうやらスクリーンショット上では肝心な箇所に”ぼかし”がかかっており、詳細は知り得なかったと報告する。

だが、スクリーンショット画像で伏せられていなかった部分に”Web Shell”を思わせる記載がされていた事を指摘している。

Web Shellとは何か

トレンドマイクロのブログによればWeb Shellとはバックドアである。

WebShell とは、バックドアの一つで、攻撃者が潜入に成功した Webサーバに自由に出入りできるようにする、すなわち「アクセス権の獲得」や「アクセス権の維持」をするために設置するものです。ーートレンドマイクロ

つまり、Web Shellがウェブサイトにインストールされると、攻撃者は遠隔からサイト管理者としてログインし、ファイルのアップロード、削除、ユーザーデータベース情報の窃取をすることが出来るという事だ。

パスワードを使い回すユーザーが”一番の被害者”

このようなユーザーアカウント情報の漏えいで一番被害を被る可能性が高いのは、パスワードを複数のサイトで使いまわしているユーザーである。

A、B、Cの3つのWebサービスで同じパスワードを使用していると、Aで情報漏えい被害が発生するとしよう。

攻撃者は、Aを攻撃して盗み取ったアカウント情報を使って、B、Cのサイトにログインを試みることが多い。

Verticalscope.comは、ディスカッションフォーラムのプラットフォームである。

GmailやFacebookのアカウントのような「個人情報が沢山詰まっているアカウントデータ」と比べると、ディスカッションフォーラム用のアカウントに関する個人情報は少ないと多くのユーザーは考えるだろう。

その事から、「自らのアカウントデータが流出しても、被害は小さい」と考えるのではないだろうか。

しかし、その心理こそがクラッカー達の狙い目である。

パスワードを使いまわさないためには

率直に言えば、パスワード管理アプリを使用する事をおすすめする。

セキュリティ専門家の辻 伸弘氏も、日立ソリューションズの情報セキュリティブログで以下のように語る。

長く複雑なパスワードを暗記しておくのは難しいことです。これは、仕組み、運用で解決するのがよいと僕は思います。大きく二つの方法があり、一つは、手帳や紙にメモしておく方法。もう一つは、パスワード管理ソフトを用いる方法です。ちなみに、僕はパスワード管理ソフトを使っています。ーー辻伸弘氏のインタビューより引用 

辻氏は、手帳や紙にメモする事もお薦めしているが、ネット上からクラッカーがオフラインのメモ帳を読むことは不可能である事が理由のようだ。

だが手帳や紙にメモしている場合は、二段階認証を使うことが出来ないのが欠点だと思う。

更に言えば、いつもメモしている手帳の交換時期だったり、出先で持ち歩いていないケースも考えられる。

その時に便利なのが、クラウドベースのパスワード管理ソフトである。

クラウドベースならば、マスターパスワードを覚えて、二段階認証を設定しておけば、後は出先のどこからでもスマホを使ってパスワードのデータベースにアクセスできる。

個人的にお薦めのパスワード管理ソフト

以下に、私がお薦めしてるクラウドベースのパスワード管理ソフトを紹介する。

• LastPass(無料)
• DashLane(無料)
• 1Password(有料)

”GIBON”というランサムウェアが確認された。

Proofpointのセキュリティ研究者Matthew Mesaによって名付けられたGIBONは、スパムメールでマクロウイルス付きの文書ファイルとして拡散されているようだ。

Michael Gillespie氏の調査によれば、GIBONによって暗号化されたファイルを復号化することが出来るようだ。

なぜGIBONと呼ばれているのか？

一般的にランサムウェアが発見された際に、発見者によって名前が付けられる事が多い。

その時参考にされるのが、 .exeファイル内で使われている変数名や、他にマルウェア内のコードに使われている特定の文字列である。

GIBONの場合は、「マルウェア内のコードに使われている特定の文字列」を使ってGIBONと名付けられたようだ。

GIBONがC&Cサーバーと通信を行う際に、User-Agent変数にGIBONという文字列を使っている。

(C&Cサーバーと通信している際の画面)

また、他にもランサムウェアの管理画面にGIBONと明記されているのだ。

(GIBONの管理画面)

GIBONが感染端末を暗号化する方法とは

（※現段階で提供されている情報に限りがあるので詳細に説明できないことをお許し下さい。）

GIBONが起動するとまずC&Cサーバーに接続し、感染端末に関する情報を登録する。

この通信を行う際、base64でエンコードされたデータでサーバーにデータを送信する。

データの内容は、タイムスタンプ、Windowsのバージョン、攻撃者の管理する被害者データベース用のIDである。

尚、データ内に”被害者データベース用のID”が存在するという事は、その端末が初めてGIBONに感染した事を意味する。

その後、C&Cサーバーはレスポンスを感染端末に出す。

このレスポンスには、base64でエンコードされたStringが含まれている。このStringは、GIBONがランサムノート(脅迫文)として使用する文字列が含まれている。

このように、ランサムノートがC&Cサーバーから送信されるようにする事で、攻撃者はランサムノートをアップデートすることが出来るようになる。

言い換えれば、新しい.exeファイルに脅迫文をハードコードしてコンパイルするよりも簡単に別の脅迫文を作成できるという事だ。

以下の画像では、C&Cサーバーからから感染端末に出されるレスポンスを示している。

C&Cサーバーに感染端末が登録されると、感染端末上で自動で暗号鍵が生成され

C&Cサーバーに送信される。

この暗号鍵は、感染端末上でファイルを暗号化する際に使用されるようだ。

ここまでのプロセスを経ると、ランサムウェアは感染端末のファイルを暗号化し始める。

暗号化は、Windowsフォルダ以外の全てを拡張子に関わらず行われる。

また暗号化されたファイルは”.encrypt”という拡張子を使って暗号化される。

暗号化している途中、GIBONはC&Cサーバーにpingを送信し続ける。その目的は、”暗号化している最中”という事実を示すためのようだ。

また、暗号化されたフォルダには、 READ_ME_NOW.txt.というテキストファイルが生成される。

このテキストファイルはランサムノートで、感染端末に何が起きたのかを説明し、支払いに関する説明を貰うために以下の2つのメールアドレスに連絡するよう説明書がされている。 

• bomboms123@mail.ru

• subsidiary:yourfood20@mail.ru

以下の画像は、ランサムノートである。

IOC

ハッシュ

SHA256: 30b5c4609eadafc1b4f97b906a4928a47231b525d6d5c9028c873c4421bf6f98

ファイル

READ_ME_NOW.txt

関連メールアドレス

bomboms123@mail.ru

subsidiary:yourfood20@mail.ru

GIBONのランサムノート

Attention! All the files are encrypted!

To restore the files, write to the mail:bomboms123@mail.ru

If you do not receive a response from this mail within 24 hours,

then write to the subsidiary:yourfood20@mail.ru

アメリカのペンシルベニア州・ピッツバーグの裁判所が、大学の授業料を払うためにボットネットを作成しスパムメールを送信した男に対して、執行猶予2年、懲役刑無しの判決を言い渡した。

審判に問われていたのは、カリフォルニア州・サンタクララに住むSean Tiernanという29歳の青年。

FBIは、Tiernanは77,000台ものコンピュータからなるボットネットをコントロールしていたという。

Tiernanの逮捕は2012年。即座に犯行を認めた

2012年10月、FBIは大規模なスパムメールキャンペーンの黒幕を探る調査を進め、ついにTiernanの自宅を突き止めた。

TiernanはFBIの調べに対して即座に自らの犯行を認め、さらに翌年の2013年に有罪を認めた。

そして、今年の10月30日の月曜日に裁判所から有罪判決を言い渡されたようだ。

Tiernanの弁護士は、裁判所に対して懲役刑ではなく執行猶予の申し立てをしている。その理由は、彼の及んだ犯行がNon-intrusive(何かに侵入する性質を持たない)である事だという。

Tiernanのマルウェア、はSNSを経由して拡散されたが、感染したコンピュータはProxyとして使われただけで、感染したコンピュータから個人情報を盗み取る事はなかった。

更に、マルウェアは非常に簡単に取り除ける様に作成されており、Tiernanがマルウェアで収集したのはIPアドレスだけだったという。

アメリカの裁判所は、IPアドレスを”個人情報”として分類していない。

つまり、Tiernanは「個人情報の盗み取りはしていない」という事になるのだ。

得たお金の全てを大学の授業料へ

Tiernanは、「スパムメールでマルウェア送信しておらず、あくまで広告を拡散しただけ」と主張。スパムメールを送信して感染端末をボット化するスキームは数年続いたのは事実だが、「Tiernanが得た利益は、他のマルウェアキャンペーンと比べたら比較的小さい」ようだ。

したがって、「Tiernanの犯行によってもたらされた被害は、比較的小さい」と弁護士は主張している。

Tiernanは、ITコンサルをする父を持つ

Tiernanは父親の背中を見て育ち、幼い頃からプログラミングを学び、スパムメール・ボットネットの開発に2000年代から携わっていた。

Tiernanの弁護士は、「Tiernanがボットネットのスキームに参加した時、どれ程スキームに参加する事が犯罪に繋がってしまうほど深刻であるか判断ができなかった」と主張している。

実はTiernanは、スキームに参加した当時、銀行口座情報や金銭取引の記録などの個人情報にアクセスさえしなければ、犯罪とみなされないと思っていたようだ。

Tiernanは、現在セキュリティ企業へ

FBIが自宅でTiernanを逮捕した時は、Tiernanはカリフォルニア工科大学（Cal Poly）の学生だったようだ。それ以降、Tiernanはセキュリティ業界に携わりたいとキャリアを洗濯。現在はアメリカのサイバーセキュリティ業界で有名な企業に勤めているようだ。

また、Tiernanの弁護士によれば、Tiernanは働きながらスタンフォード大学院のサイバーセキュリティに特化したプログラムに通っていて、CISSPの資格取得に励んでいる。

Tiernanのように、犯罪を犯した人がサイバーセキュリティの専門家として更生した例はアメリカでは多いようだ。