こんにちは。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Ursnifによるサイバー攻撃が日本を襲う
• ”Keranger”ーMac用ランサムウェアが拡散
• jQuery公式ブログが不正アクセス被害

それでは早速、参りましょう！

Ursnifによるサイバー攻撃が日本を襲う

Ursnifが開発したバンキングトロイによる金融セクターに対する攻撃が、2016年から今まで多発している。

主なターゲットは、北米、ヨーロッパ、オーストラリア等の英語圏だが、2017年に入ってからは日本に対する攻撃件数が増加していると報告されている。

Ursnifの狙いとは

日本企業で主な標的とされているのは、銀行と、ペイメントカード関連業者であった。

しかし最近になっては個人のウェブメールアカウントや、クラウドストレージ、暗号通貨取引所など、攻撃対象が広がっているようだ。

Ursnifの拡散方法は、標的型メールだ。

これは、Ursnifによる攻撃が始まった当初から変化しておらず、正式な細工されたコードを含む添付ファイルを送りつけてターゲット端末にマルウェアをダウンロードさせる。

また、UrsnifからはHTMLリンクを記載したメールが送られて来ることもある。

このリンクは、JavaScriptが中に入っている”.zip”形式のアーカイブファイルであり、ファイルをダウンロードして解凍するとPowerShellが起動し、細工されたコードを実行する。

PowerShellが実行するコードは、遠隔のサーバーからペイロードをダウンロードし起動する。

この時に接続する遠隔サーバーは、第三者のドメインをハイジャックしたものではなく、攻撃者自ら用意したサーバーが使われているようだ。

過去記事でも紹介したが、Ursnifはマクロを使わずに、ユーザーがファイルを閉じるとPowerShellスクリプトを実行する攻撃手法を用いている。

IBM X-Forceによれば、Eメール送信数は火曜の夕方にピークに達し、実際に感染を試みるのが木曜と金曜。週末や週初めには比較的Ursnifによる活動が少ないと報告されている。

何故日本なのか

殆どの場合、サイバー攻撃を仕掛けるクラッカー達はローリスクでお金を手に入れられる機会を狙っている。その事から、セキュリティレベルも低く、ユーザーのセキュリティに関する知識も少ない地域がターゲットになりやすい。

そういった意味では日本は、他国と比較すると組織的なサイバー犯罪による被害を受けた経験が浅いと言える。

その事から、日本に対するサイバー攻撃が増加の一途を辿っているのだろう。

”Keranger”ーMac用ランサムウェアが拡散

2016年”Keranger”というMac用のランサムウェアが拡散した。

Kerangerは、Windows対象のランサムウェア同様、端末内のデータを暗号化して身代金を請求する。

暗号化されるデータには、Time Machineというバックアップソフトウェアでバックアップしていたデータも含まれる。

Macユーザーならわかると思うが、App Store以外でインストールされたソフトウェアはユーザーの許可がないと起動する事ができない設定になっている。

起動の許可を求められた際には端末の安全を考えて起動しないのが賢明な判断と言えるが、必ずしも全ユーザーが起動しないとは限らない。

ましてや、App Storeからインストールされたものでなくても、公式サイトからダウンロードされたソフトウェアなら起動しようと思うのが普通ではないだろうか。

実はKerangerを作成した攻撃者は、TransmittionというTorrentアプリを配布する公式サイトに侵入し、本物の.dmgファイルへのリンクを書き換え、Kerangerをバンドルする.dmgファイルに差し替えてしまった。

そのことに気付かず、ユーザーはKerangerを安全なアプリと思い込んでインストールしてしまうのだろう。

また、Macにデフォルト搭載されているMacGatekeeperというスキャンソフトの目を盗むために、Kerangerの作成者は、正式なApple開発者を示す証明書を使ってKerangerにサインをしているようだ。

Windowsに比べてMacのシェアが低いことから、主流となっているランサムウェアはまだWindows向けが多い。

しかし、Mac向けのランサムウェアを開発するRaaS(ランサムウェア・アズ・ア・サービス)も成長してきている。

今回紹介したKerangerもその一つで、ソースコードは全て公開されており、作成者にロイヤルティとして回収した身代金の30%を支払えば自由に使えるようになっていたようだ。

jQuery公式ブログが不正アクセス被害

本日、jQueryの公式ブログが”str0ng”と"n3tr1x"と名乗る者によって不正アクセスの被害に遭ったと報告された。

jQueryとは、JavaScriptのライブラリとして有名で、今や至る所のウェブサイトで使用される程のライブラリである。

今回被害に遭ったブログ(blog.jquery.com)は、WordPressで作られたブログだった。

不正アクセスの内容は、上記した2人が、jQuery開発チームの主要メンバーであるLeah Silber氏の名前を使用して、”このブログはハックした！”等と書き込んだ事だ。

既に投稿自体は管理者によって削除されているのだが、The Hacker Newsがスクリーンショットを掲載しているので、気になる方はこちらから参照頂きたい。

尚、jQueryのコードファイルを保存しているサーバー(blog.jquery.com)に対して被害が遭った形跡は無いようだ。

今回の不正アクセスが起きた原因は、Silber氏がパスワードを使いまわしていた事だと言われている。

なぜならjQueryのメイン・ドメイン(jQuery.com)はこれまでに数回クラッキングされた事があるからだ。

今回の不正アクセスは、その時に流出した認証情報を使って行われたとみている。