カスペルスキーは2018年10月10日、都内で「カスペルスキー サイバーセキュリティフォーラム」を開催し、ランサムウエア、仮想通貨マイナー(仮想通貨マイニングマルウエア、仮想通貨を採掘するプログラム)、あらゆるモノがネットにつながる「IoT」デバイスを狙ったマルウエア、標的型攻撃で使用されるマルウエアなど、2018年上半期のサイバー脅威の状況について解説した。
カスペルスキー代表取締役社長の川合林太郎氏は、「業界一丸となって、サイバー攻撃に関するデータをどう収集して、どのように活用しているか、そしてどういうロジックで分析しているかを広く伝えていきたい。ユーザーが安心してセキュリティー製品やサービスを使えることにつながる」と述べた。
■日本で急増している偽ウイルス広告
Kaspersky Lab アンチマルウェアチーム部長のヴャチェスラフ・ザコルザフスキー氏は、マルウエアの解析のテクニックや機械学習を活用した検知の仕組みについて、マルウエアリサーチャーの視点から解説した。
ザコルザフスキー氏は、最近の日本における脅威として、デマウイルスや偽ウイルス広告がよく見受けられると指摘した。これは、画面に表示されたボタンをクリックすると「システムに問題が見つかりました」といったメッセージを表示し、解決するための製品購入を促すタイプのものだ。「偽ウイルス広告を調査して見えてきたのは、ウェブブラウザーの拡張機能を悪用していること」とザコルザフスキー氏は説明する。
ザコルザフスキー氏は「最近のもう一つの傾向として、標的型攻撃におけるランサムウエアが挙げられる」と話し、「以前は一般消費者をターゲットとするケースが多かったが、企業に攻撃を向け始めている」と語った。最近は、企業が利用するリモートデスクトップのパスワードをブルートフォース(総当たり)攻撃で入手し、社内ネットワークに侵入し、アクセス権限を入手して感染を拡大するといったケースが多い。
しかも、ランサムウエアの中には、言語チェックを盛り込む傾向も見られるようになったという。このタイプのランサムウエアは、システムの言語を確認してマルウエアを感染させるか否かを判断する。ザコルザフスキー氏は「自国で犯罪を実行すると警察に狙われるリスクが高まる。例えばロシアであれば、ロシア語で使えるシステムには感染させず、他国の言語で使えるシステムをターゲットとするために言語チェックをしている」と説明した。
■拡張現実を利用する仮想通貨マイナーを実証
仮想通貨のマイニングを実行させる仮想通貨マイナーでも、脅威が拡大しているという。ザコルザフスキー氏は、ユニークな例として、仮想通貨のマイニングを週末と平日の夜に実行するよう設定されているマルウエアを紹介した。
また、カスペルスキーではPoC(概念実証)のため、拡張現実(MR)を実現するHoloLensを悪用した仮想通貨マイナーを作ってみたという。まず、マイニングを実行するオブジェクトをホログラムで作っておき、そのオブジェクトを表示した状態でウェブブラウザーを利用すると、計算のために起動するように促すメッセージが表示される。ユーザーがOKを選択すると、拡張現実を利用しているバックグラウンドでマイニングが実行される仕組みだ。
一方、IoTが進展する中、ザコルザフスキー氏はIoTデバイスのマルウエアサンプル数が急増していることにも触れた。「2018年はまだ途中だが、2017年の4倍くらいに増えている。中南米、アジア、東欧、ロシアが多いが、世界全般で多い。脆弱性のあるIoTデバイスが狙われるので、そのデバイスがあるかどうかで地域が決定される」(ザコルザフスキー氏)という。
IoTデバイスを狙ったマルウエアは、DDoS攻撃などに利用して金銭を得ることが目的だが、感染したデバイスに仮想通貨のマイニングを実行させるタイプもある。「IoTデバイスは数が多いので、マイニングに利用される」とザコルザフスキー氏は分析。個人情報を盗取し、それを利用してSNSのアカウントをハッキングして、マルウエアの自動拡散に利用するケースも多いことを示した。
(ライター 大類賢一)
[日経 xTECH 2018年10月10日掲載]
Nikkei Inc. No reproduction without permission.
