セキュリティニュース「知っていますか?情報窃取型マルウェア「RedLine Stealer」感染の原因!およそ70%は不正ソフトのインストール」
コロナの影響による働き方改革に伴い、職場や自宅のパソコンでマルウェアに感染し、クレジットカード情報や通販、SNSのパスワードなどを盗み取るいわゆる情報窃取(インフォスティーラ)型マルウェアによる被害が拡大しています。
特に「RedLine Stealer」と呼ばれる情報窃取型マルウェアは2020年から観測されていましたが、2021年に入ってから攻撃者に広く普及していることから注目を集めています。
そこで、本記事はRedLine Stealerについてご紹介します。この記事が皆様のRedLine Stealerに対しての理解と日々のセキュリティ対策意識の見直しの一助になれば大変うれしく思います。
RedLine Stealerとは?
RedLine Stealerは、新型コロナに乗じた組織的フィッシングメールで配信される新しい情報窃取型マルウェアです。
2020年から観測されており2021年現在も活動が確認されています。感染させるための手法として、悪意のある Google 広告や、非代替性トークン(NFT)作成者およびNFTを活用するデジタルアーティストに対するSNS経由でのマルウェアキャンペーン、フィッシングメールなどが大きく取り上げられています。
その他、正規のように偽造したサービス・ゲーム・ツールや、海賊版ソフト(俗にいう割れ)など、様々な形に偽装した配布キャンペーンも確認されています。*1
BlackBerry社の2021年8月のレポートによると、RedLine Stealerの感染経路としては以下が確認されています。*1
- 初期段階マルウェアダウンローダ
- 悪意のあるスパムメール
- itbucket(コード管理ツール)でのホスティング
- paste[.]nrecom[.]net でのホスティング
- Google 広告の悪用による悪意のあるウェブサイトへの誘導
- 人気のサービス(TelegramやSignal)への偽装
- NFT を利用するデジタルアーティストに対するソーシャルエンジニアリング
RedLine Stealerの主機能は情報窃取です。
RedLine Stealerは感染に成功すると、まずはコンピュータの基本情報(ハードウェアID、OSのバージョン、IPアドレス等)を取得し、C2サーバに送信します。加えて、ブラウザ、VPNクライアント、暗号ウォレット、インスタントメッセンジャークライアント、ゲームプラットフォームSteamアカウント、FTPクライアントなど様々なアプリケーションが保有する認証情報を盗みます。
もし会社の端末に感染した場合、窃取された認証情報の悪用よる二次被害の発生は容易に想像することができます。
マルウェアキャンペーン ― YouTube上でRedLine Stealerばらまき発見
2021年10月のBleeping Computerの報道によると*2、YouTube上で様々なパスワードを盗むマルウェアキャンペーンが観測されています。
サイバーセキュリティ研究者のFrost氏(Cluster 25)によると、YouTube上でマルウェア拡散のための動画とチャンネルが数千以上作成されていることを確認し、わずか20分で100本の動画と81のチャンネルが作成されていたとのことです。攻撃者は盗んだGoogleアカウントを使用しているため、悪意のある動画・チャンネルが日々作成される、つまり終わりのない感染サイクルが生まれてしまっています。
パスワードを盗むときのマルウェアとしては本題のRedLine Stealerと別種のマルウェアRaccoon Stealerの2種類が使用されています。
YouTubeの動画内のbit.lyリンクを誤ってクリックしてしまった場合は注意が必要です。RedLine StealerもしくはRaccoon Stealerに感染させるためのファイル共有サイトに誘導される恐れがあります。
どちらかのマルウェアに感染すると、ブラウザとコンピュータにあるすべてのデータ(暗号通貨ウォレット、クレジットカード情報、パスワードなど)をスキャンされ、攻撃者の元へと送られてしまいます。
現在、GoogleはYouTube上で発生しているマルウェアキャンペーンを発見し、阻止する為の活動をしています。Googleによると*3、盗まれたGoogleアカウント情報はダークネット・マーケットで販売されたり、暗号通貨詐欺に悪用されたりするようです。
マルウェアキャンペーン ― フィッシングメールでRedLine Stealerばらまき発見
Cofense社のセキュリティ専門チームCofense Phishing Defense Center は、2021年11月8日にRedLine Stealerに関するフィッシングメールを発見、スクリーンショットを提供しています。*4。メールの詳細は以下の通りで、ビットコインを用いて収益が得られることをほのめかすような内容であることが読み取れます。
日本での感染状況
NHKニュースが報じた、情報セキュリティ会社(アルモリス)の調査によると※5、日本でのRedLine Stealerの感染例920件余りの情報を解析したところ、74%が不正なソフトを利用者自らインストールしたことが原因だということがわかりました。
そのうち、オンラインゲームで勝つためにプレイヤーの強化を不正に行えてしまうソフトが41%、有料のソフトを無料で使えるようにする不正ソフトが31%と、全体の半数以上をいわゆるチート(いかさま)やクラック(破壊・改ざん)を目的としたソフトウェアが占めていたとのことでした。
しかし一方で、利用者のPC画面に自動表示されるポップアップメッセージをクリックしたことによる感染は2%に留まったという結果となりました。この調査結果から、多くの感染原因はユーザが自ら不正なソフトをインストールすることでマルウェアに感染してしまうことが原因として多くの割合を占めていると言えます。
まとめ
今回はマルウェアRedLine Stealerについてご紹介しました。いかがでしたでしょうか。
日本では、RedLine Stealerの感染原因のおよそ70%は不正ソフトのインストールのため、感染を防止する為に、無料だからといった安易な理由だけでソフトをインストールするのではなく、必ず公式サイト等信頼されたWebサイトからダウンロード、インストールするよう心掛けましょう。
また、検索サイトで上位に出たからといって必ずしも安全というわけではないので注意しましょう。基本的な対策ですが、この記事が皆様の日々のセキュリティ対策意識の見直しに繋がると幸いです。
セキュリティニュース「狙われるワンタイムパスワード、多要素認証突破の手口とは?」
Webサービスの利便性が向上する一方で、外部からの不正アクセスや情報漏えい等に対するセキュリティ対策の重要性が高まっています。
そのような状況下で注目されているのが多要素認証です。多要素認証は、従来のパスワードによる認証にワンタイムパスワードや生体情報による認証を組み合わせることでセキュリティを強化しています。
しかし、昨今多要素認証を突破しようとする攻撃が増えつつあり実際に不正送金被害や暗号通貨が窃取されるといった事件が発生しています。 *6
本記事ではこれらの攻撃の手口と対策についてご紹介します。
フィッシング詐欺によるネットバンキング不正送金被害の増加
昨今のフィッシング詐欺では、SMSやメールで通知されるワンタイムパスワードだけでなく、アプリや電話で通知されるものや暗号カード等を用いた多要素認証をも狙った攻撃が確認されています。
これらの攻撃は不正送金を目的としていると考えられ、ネットバンキングサイトの仕組みを模倣した巧妙な手口が用意されています。
警視庁の報告によるとこれまで大きな変動がなかった不正送金被害件数、および被害額が2019年9月から急増し、現在は過去最悪の水準になっています。
多要素認証を破る手口とは
従来のフィッシングサイトは主としてID・パスワードのみの認証を突破するものでした。
しかし、昨今の傾向では中間攻撃の手法によって所有物や生体情報による認証も合わせて突破しようとするのです。
以下に被害の手口をご紹介します。
<多要素認証を突破する手口> *7 *8
- 攻撃者がユーザに正規サイトに似せた偽サイトのURLをSMSで送信します。
- ユーザは送られてきたURL(ネットバンキングのログイン画面等)にアクセスします。
- 偽サイトにログインする為ID、パスワードを入力します。
- 攻撃者はそのIDを用い正規サイトにアクセスします。
- 正規サイトからユーザにワンタイムパスワードが送信されます。
- ユーザは偽サイトにワンタイムパスワードを入力します。
- 攻撃者はユーザが入力したワンタイムパスワードを正規サイトに入力します。
- ログイン後攻撃者は不正送金等実行可能となります。
このようにして多要素認証によるセキュリティ対策を行っている場合であっても不正送金等の実施が可能となっています。
上記手口の一部を自動化している場合やURL、ドメインの偽装が一段と巧妙となっており偽サイトであることに気づかないことが多いようです。
対策について
被害に遭わないようにするためには、これまで以上に最新のフィッシング手法の変化を知り、不審なメッセージに注意していく必要があります。
以下に具体的な対策をご紹介します。
- 不審なSMSやメールは開封しない
- 送信元やURLをよく確認し安易にアクセスしない
- 表示されたWebサイトが正しいかどうか必ずアドレスバーのURLを確認する
- 正規サイトのURLをブックマーク等に登録しブックマークからアクセスするようにする
- 認証アプリや生体認証等、別の認証方法の利用も検討する
- 不審なサイトへのアクセスがないかセキュリティ製品を導入して監視する
- 社内教育や周知の徹底を行う
まとめ
多要素認証はセキュリティ対策として非常に有効な手段でしたが、今回の事例により過去のセキュリティの常識・定石は通用しなくなることが考えられます。
また、時代の流れで本物か偽物か見分けるポイントも変わってきていることを考慮すると、最新の攻撃手法や事例を継続的に把握していくことが重要であると言えます。
■ 関連リンク・引用
*01: RedLine Stealer インフォスティーラ,BlackBerry, 2021/11/19
*02: Malicious YouTube videos gone wild,Bleeping Computer, 2021/11/19
*03: Google: YouTubers' accounts hijacked with cookie-stealing malware,Bleeping Computer, 2021/11/19
*04: Phishing Emails Found in Environments Protected by Secure Email Gateways (SEGs),COFENSE, 2021/11/19
*05: マルウェア 感染の7割余 不正ソフトのインストールが原因か,NHK, 2021/11/19
*06: 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上,ITmediaNEWS, 2021/11/19
*07: 二要素認証でも不正アクセス!?ネットバンキングの不正送金被害について,QTPROe, 2021/11/22
*08: ネット銀行の2段階認証を突破 不正送金の巧妙な手口,デジタルライフ, 2021/11/22
