• HOME
    • セキュリティブログ

前回の記事では、2016年に発生したIoT脅威のまとめとして、2015年と2016年にIoTデバイスで発生したグローバル脅威テレメトリについて、FortiGuard Labsが収集したデータを比較しました。

今回は、家庭用ルーターに対するIPSシグネチャヒットが、2015年から2016年に急増した理由を検証します。

家庭用ルーター

2015年に発生したIPSシグネチャヒットを見ると、家庭用ルーターを対象にしたものが最も多く、発生件数はおよそ82万1,000件に達しています。ところが、2016年には驚異的な増加を見せ、250億件を超えてしまったのです。下の図は2015年と2016年の比較ですが、爆発的に増加したことがよくわかります(2016年がグラフのほぼ全体を占め、2015年は小さな点です)。

家庭用ルーターに対するIPSシグネチャヒット:2015年と2016年の比較
家庭用ルーターに対するIPSシグネチャヒット:2015年と2016年の比較

では、2015年から2016年への驚異的な増加の背景に何があるのかを考えてみましょう。下のグラフは、2015年と2016年に家庭用ルーターで発生したIPSトリガーを詳しく分析した結果です。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2015年
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2015年

2015年、家庭用ルーターにおいてヒット数が最も多かったのは、ASUS.Router.infosvr.UDP.Broadcast.Command.Execution(http://fortiguard.com/encyclopedia/ips/41006)でした。この脆弱性を悪用することで、細工したUDPパケットを使ってルーターを乗っ取ることができます。注:この脆弱性については、修正パッチをベンダーから入手できるようです。以下で示すルーターのユーザーは、脆弱性対策としてパッチを適用することを強くお勧めします(http://fortiguard.com/encyclopedia/ips/41006をご覧ください)。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2016年
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2016年

2016年、家庭用ルーターにおいてヒット数が最も多かったのはNetcore.Netis.Devices.Hardcoded.Password.Security.Bypass(http://fortiguard.com/encyclopedia/ips/42781)であり、検出された攻撃全体の99%以上を占めています。実際、2016年に家庭用ルーターで検出されたこれ以外の脆弱性をすべて合計しても、2桁の違いがあります。この攻撃は、ルーターのファームウェアにハードコードされている単一パスワードを悪用します。特殊な細工を施した要求をUDPポート53413に送信し、ルーターのバックドアを開きます。家庭用ルーターのシグネチャヒット数が2016年に爆発的に増加したのは、このたった1つの脆弱性が原因だったのです。今のところ、修正パッチは提供されていません。それが、この脆弱性を狙った攻撃が2016年に急増した理由であり、2017年もこの傾向が続くと予想されます。

では、Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass脆弱性を狙った攻撃の規模を、グローバル規模と国別に見てみましょう。

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(グローバル)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(グローバル)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(APAC)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(APAC)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(EMEA)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(EMEA)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(南北アメリカ)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(南北アメリカ)

2017年の予測

2017年1月のテレメトリから予測すると、Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass(http://fortiguard.com/encyclopedia/ips/42781)のシグネチャヒットは今後も多発すると考えられます。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2017年1月
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2017年1月

先ほど説明したように、この脆弱性を修正するパッチはまだ提供されていません。2017年1月のテレメトリから考えると、このままパッチが提供されない場合、2017年も引き続き、家庭用ルーター最大の脆弱性になるでしょう。2017年は最初の2カ月が経過しただけであるにも関わらず、認証のバイパス(https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/)、コマンドインジェクション(https://blogs.securiteam.com/index.php/archives/2910)、パッチが提供されていないその他の脆弱性(https://pierrekim.github.io/blog/2017-02-02-update-dlink-dwr-932b-lte-routers-vulnerabilities.html)など、家庭用ルーターの脆弱性が新たに発見されています。

まとめ

家庭用ルーターは、誰もが入手可能なIPアドレスでインターネットにアクセスできる経路として最も利用されています。家庭用ルーターは常にオンの状態であることが多く、セキュリティアップデートが適用されることはほぼありません。もしも、セキュリティに対する意識が低いベンダーがルーターを製造し、最小限のセキュリティ機能しか搭載していないとすれば、その脆弱性が発見され、悪用されるのは時間の問題です。2016年のテレメトリでは、このような傾向が明確に示されています。家庭用ルーターのIPSヒットが急増し、そのほとんどを占めるのがNetcore.Netis.Devices.Hardcoded.Password.Security.Bypass脆弱性でした。ヒット数の急増は、脆弱性の修正パッチが提供されていないことが原因でした。このままルーターにパッチが適用されない状況が続けば、この攻撃は2017年も引き続き多発すると考えられています。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。



IoTメーカーがデバイスを保護できなければ、
デジタルエコノミーは甚大な影響を受ける可能性があります。

IoTデバイスを狙った攻撃やIoTデバイスを踏み台に仕掛けられた攻撃は、2016年第4四半期に向けてメディアを賑わせるようになりました。セキュリティ保護されていないIoTデバイスは、サイバー攻撃者にとって簡単に手に入る格好の標的です。さらに一部のデバイスは、標的型DDoS攻撃を仕掛けるボットネットとして悪用されています。

たとえば、悪名高いMiraiボットネットは、IPカメラや家庭用ルーターなどのIoTデバイスに存在するログイン認証に関する脆弱性を利用して、過去最大規模のDDoS攻撃を引き起こしました。このようなIoTデバイスは、DDoS攻撃だけでなく、私生活ののぞき見やIoTデバイスを人質にした身代金の要求、さらにはデバイスが接続されているネットワークに深く侵入するためのピボットポイントとして悪用される恐れがあります。

このブログでは、FortiGuard Labsが収集したIoT脅威テレメトリデータから興味深いデータをいくつか取り上げ、検証結果を連載でご紹介します。

テレメトリデータを分析した結果、特定の攻撃ベクトルが急増している一方で、他の攻撃ベクトルには減少が見られました。さらに細かく分析したところ、今後も対象を非常に絞り込んだ攻撃が続くと予測されます。その1つの例が、既存の脆弱性を悪用し、家庭用ルーターとIPカメラを標的にした攻撃の急増です。このタイプの攻撃が着実に増加している背景には、メーカーの対応が遅く、問題を修正するパッチやアップデートがなかなかリリースされないという状況があります。

脆弱性のいくつかはファームウェア内に存在しているため、複数のメーカーが提供する何千ものデバイスが脆弱性を抱えていることになります。このようなデバイスはアップデート機能を備えていないため、パッチの作成や配信は極めて難しくなります。手動でのアップデートは不可能に近く、大量のデバイスが自動更新されることはほとんどありません。

現在発生しているIoTデバイスを狙った攻撃では、デフォルトのユーザー名とパスワード、ハードコードされたバックドアなど、既知の脆弱性が悪用されています。デフォルトパスワードは非常に簡単な侵入方法ですが、これ以外にもさまざまな方法があります。IoTデバイスの接続や通信に適用されているコーディングプラクティスの弱点を突くのも、こういった方法の1つです。

IoTデバイスを取り巻く状況は深刻です。IoTメーカーはこれまで、脆弱なデバイスを大量に市場提供してきました。単純なセキュリティ侵害に加えて、膨大な数のIoTデバイスが無効または使用不能に陥る可能性があり、ヘルプデスクに問い合わせが殺到しています。

IoTデバイスが示すリスクモデルで対処すべき課題は、影響の大きさです。インターネット接続された歯ブラシにハッキングするサイバー犯罪者の目的は、歯磨きの頻度に関する情報ではありません。歯ブラシが、ホームネットワークや携帯電話に接続されているとしたらどうでしょう。さらに、ホームネットワークから企業ネットワークへの接続が可能だとすれば、消費者向けIoTデバイスの脆弱性が大きな影響を及ぼすことは間違いありません。

そして、IoTデバイスが商用、産業用、医療用であれば、被害はさらに大きくなります。計測器、ポンプ、メーター、産業用制御システム、在庫管理、自動製造フロアなど、多種多様なIoTデバイスが無数に設置されています。特に、相互接続されたビルやスマートシティなど、クリティカルなインフラストラクチャやハイパー接続環境にこのようなIoTデバイスを接続すれば、深刻な影響が発生する恐れがあります。

IoTメーカーがデバイスを保護できなければ、デジタルエコノミーは甚大な影響を受ける可能性があります。クリティカルなサービスが中断する危険が高い場合、それを知った消費者はデバイスを買い控えるようになるからです。脆弱なIoTデバイスの急増を背景に、IoTを狙った攻撃は今後も増加すると予測されます。また、IoTを介した通信やデータ収集チェーンの弱点を巧妙に突く攻撃が登場すると考えられます。

次のグラフでは、2015年と2016年に発生したIoTのIPSシグネチャヒット数について、フォーティネットが収集したデータを比較しています。

このグラフでは、次のような収集データが使用されています。

  • 既知のIoT脆弱性と攻撃対象に関して、IPSシグネチャの攻撃情報を収集
  • IoTデバイスのタイプごとにデータを分類
  • グローバル規模でテレメトリデータを収集
  • 2015年と2016年のデータを収集
  • X軸は、最小値と最大値に大きな差があるため、10を底とする対数を使用


図1:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別)- 2015年

上のグラフから、2015年にIoT IPSシグネチャヒットが最も多く発生したのは家庭用ルーターであり、82万件に近いことがわかります。これに、IPカメラ、電話システム、NAS(ネットワーク接続ストレージ)システムが続きます。一方で、DVR/NVR(デジタル/ネットワークビデオレコーダー)、スマートTV、プリンターでは、シグネチャヒット数が比較的少なくなっています。

次のグラフは、地域(北米/南米、EMEA、APAC)ごとの内訳を示しています。


図2:北米/南米でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年


図3:EMEAでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年


図4:APACでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年

同じIoTデバイスについて、2016年に発生したIPSシグネチャヒットのデータを次に示します。


図5:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年

2016年も、IPSシグネチャヒット数が最も多かったのは家庭用ルーターでした。ところが、ヒット数は3,000倍以上と驚異的に増加しており、250億件を超えています。また、DVR/NVRでもヒット数は2,000倍以上増えているのに対して、スマートTVはほぼ3倍です。さらに興味深いことに、NASシステム、IPカメラ、電話システム、プリンターについては、1.5~10分の1と大幅な低下がみられます。

次のグラフは、2016年の地域(北米/南米、EMEA、APAC)ごとの内訳を示しています。


図6:北米/南米でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年


図7:EMEAでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年


図8:APACでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年

2015年と2016年のデータを並べてみると、どのIoTデバイスのヒット数が急増したのかがよくわかります。


図9:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年と2016年の比較

上記のグラフは、IoTデバイスを狙った通常の脅威トラフィックの増減を示したものであり、2016年9月に発生した悪名高いMiraiによるボットネット攻撃のデータは反映されていません。Miraiボットネットテレメトリが及ぼした影響については、別の記事で解説する予定です。

上記では2015年と2016年を比較しましたが、IoTデバイスの中でも特に家庭用ルーターをターゲットにした攻撃が急増したのはなぜでしょうか。ルーターの導入数が増えたからでしょうか。それとも、新たな攻撃手法や脆弱性が原因なのでしょうか。

詳しくは、次のブログ記事で解説しますので、お楽しみに。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。


このグローバル医療分野脅威テレメトリレポートでは、2016年第4四半期の世界の医療分野における脅威の動向を検証します。本書に記載する内容は、50カ国の454の医療分野の企業に設置されているセンサーからFortiGuard Labsの研究グループが取得した脅威テレメトリに基づくものです。

FortiGuard Labsと世界中の200人以上の研究者とアナリストは、200万以上のセンサーから収集された脅威テレメトリデータを監視・分析しており、その脅威研究・調査時間は年間400,000時間を超えます。これらの研究・調査で得られる脅威インテリジェンスによって、現在の脅威を常に正確に可視化し、新たな脅威を検出し、検出および防御のテクノロジを改善して、ほぼリアルタイムで実行可能な脅威情報を世界中の30万以上のお客様に提供することができます。平均で、毎分180,000件の不正Webサイト、220,000件のボットネットの試行、733,000件のネットワーク侵入の試行をブロックしています。また、現在までに339のゼロデイ脅威の発見という業界記録も達成しています。

この脅威テレメトリデータは、国際捜査機関によるサイバー犯罪者の追跡や逮捕にも利用され、脅威の特長や攻撃の調査・研究の開発、さらには、さまざまな業界や地域ごとのサイバー脅威レポートの作成にも活用されています。

以下にご紹介するレポートでは、2016年第4四半期にFortiGuard Labsが検出した、世界の医療分野を標的としていたトップ5のマルウェア、ランサムウェア、モバイルマルウェア、IPSイベント、ボットネット、エクスプロイトキットをご紹介します。

トップ5のマルウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のマルウェア

検出数がトップ5のマルウェアの多くは、いずれもランサムウェア攻撃の初期攻撃ベクトルとされているもので、最多だったのは、攻撃の第2段階でランサムウェアをダウンロードする際に使用される、VPスクリプトベースのドロッパー(VBS/Agent.LKY!tr)でした。2位は「リスクウェア/Asparnet」で、これは、ユーザーの同意なく秘密裏にインストールされ、機密情報を不正収集するソフトウェアの一種です。

3位以下にも、ランサムウェアドロッパー(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr、JS/Nemucod.76CD!tr.dldr)と呼ばれるマルウェアがランクインしています。JS/Nemucod(およびその亜種)は、スパムメールを使って別のマルウェア(主にランサムウェア)にPCにダウンロードすることで知られている、JavaScriptマルウェアファミリです。たとえば、暗号化したJavaScriptを添付したスパムをNemucod経由で送信するという手口がよく使われます。このJavaScriptを解読してみると、感染したWebサイトからユーザーの一時ディレクトリにファイルをダウンロードしようとしていることがわかります。ダウンロードされるファイルは、後でユーザーのファイルを暗号化するために使用する実行可能ファイルです。JS/Nemucodの詳細は、以下を参照してください。

http://www.fortinet.co.jp/security_blog/160316-nemucod-adds-ransomware-routine.html

トップ5のランサムウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のランサムウェア

脅威テレメトリシステムによって最も多く発見されたランサムウェアは、CryptoWallで、検出されたランサムウェア感染の90%以上を占めました。CryptoWallは、他のほとんどのランサムウェアと同様に、ファイルを暗号化し、そのファイルを復号化するための身代金を要求します。このマルウェアは、ファイルを暗号化したことを知らせ、期限を過ぎると身代金が値上がりすると脅すメッセージを表示します。このマルウェアの作成者は、匿名性をできるだけ高くするためにTorネットワークを使用しており、最近のマルウェアのトレンドである、ビットコインでの身代金の支払いを要求します。CryptoWallの詳細は、フォーティネットとCyber Threat Allianceの共同調査・研究を参照してください。

https://blog.fortinet.com/2015/10/28/threat-intelligence-sharing-at-work-cyber-threat-alliance-tracks-cryptowall-version-3

CryptoWall v3レポート - http://cyberthreatalliance.org/cryptowall-report-v3.pdf

CryptoWall v4レポート - http://cyberthreatalliance.org/cryptowall-report.pdf

2位はCerberで、感染検出数全体の約5%を占めました。Cerberは、CryptoWallとほぼ同じ特性を持つランサムウェアです。Cerberの詳細情報は、FortiGuardのブログの調査・研究のセクションを参照してください。

https://blog.fortinet.com/search?q=cerber

これ以外で検出数が多かったのは、TorrentLocker、TeslaCrypt、およびLockyで、医療以外の分野でも多く検出されました。これらのランサムウェアの詳細は、以下のブログ記事を参照してください。

https://blog.fortinet.com/2016/07/25/insights-on-torrentlocker

https://blog.fortinet.com/search?q=teslacrypt

https://blog.fortinet.com/search?q=locky

トップ5のモバイルマルウェア


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のモバイルマルウェア

Androidのマルウェアが、モバイルマルウェアのトップ5を独占しました。これは、Androidデバイスではユーザーがサードパーティのアプリを簡単にインストールでき、それらのアプリにAndroidベースのマルウェアが含まれている場合も少なくないことが原因と考えられます。

FortiGuard Labsは、モバイルマルウェア脅威の広範なデータベースを運用しており、この分野に関する研究者の考察を以下に公開しています。

https://blog.fortinet.com/search?q=android

https://blog.fortinet.com/search?q=ios

トップ5のIPSイベント


グローバル医療分野 - 2016年第4四半期のトップ5のIPSイベント

VxWorks.WDB.Agent.Debug.Service.Code.Executionが最も多く検出されたIPSイベントで、200万近いヒット数を記録しました。VxWorksは、CT/PET/X線計測器、点滴ポンプ、活動量モニターなどの医療機器を始めとする組み込み機器(あるいは、最近注目されているIoT)向けのオペレーティングシステムです。この脆弱性の発見が2010年であるにもかかわらず、(パッチがすでに公開されている)2016年になってもこの脆弱性を標的にした攻撃が発見されているということは、次のような理由で、この脆弱性が解決されていないデバイスが攻撃の標的になる可能性があることを示しています。

  • パッチ公開サイクルが長い、または
  • パッチがほとんど公開されない、または
  • パッチがまったく公開されない

上記のトップ5のIPSイベントでは、正しく構成されていないUnixベースのWebサーバーを標的にする攻撃も見つかっており、構成ミスによって、/etc/passwd、WebアプリケーションでのSQLインジェクションの試行、脆弱なNetcore/Netisルータ[https://blog.fortinet.com/2016/10/12/home-routers-new-favorite-of-cybercriminals-in-2016]、および複数のBash脆弱性(別名ShellShock)からオペレーティングシステムのユーザー名が漏えいする可能性があることを示しています。

トップ5のボットネットイベント


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のボットネット

検出数が最多のボットネットは、Andromeda[https://blog.fortinet.com/search?q=Andromeda]で、これは、モジュールやアップデートをC2サーバーからダウンロードするローダーで構成される、モジュール型のボットです。このローダーは、VMとデバッグの両方の迂回する機能を備えているため、ボットネットとして広く利用されるようになったものと考えられます。そして、H-Worm、Necurs、Conficker、Pushdoがこれに続きました。

H-Wormは、機密情報を不正取得してC2サーバーに送信することができるVBスクリプトベースのボットネットで、Necursは、マルウェアを拡散することで知られている、Lockyランサムウェアと関連性のあるボットネットです。過去最大規模のボットネットの1つであるConfickerは、2008年以降、毎年発見されています。脆弱なWindowsシステムを悪用し、他の脆弱なシステムをスキャンして感染させることで、ワームとして拡散します。感染したシステムが使用されて、最終的にボットネットが形成されます。Confickerが2016年になっても発見されているということは、今でもこのマルウェアに感染している脆弱なWindowsシステムがインターネット上に存在していることを示しています。Pushdoも、数年前から発見されているボットネットで、大規模スパム攻撃に関与しているとされています。

トップ5のエクスプロイトキット


グローバル医療分野 - 2016年第4四半期に検出されたトップ5のエクスプロイトキット

RIGは、46%を占める、検出数が最多のエクスプロイトキットで、2016年に発見されたほとんどのエクスプロイトキットと同様、エクスプロイトの成功後にランサムウェアを拡散します。RIGエクスプロイトキットのサンプルの分析は、以下を参照してください。https://blog.fortinet.com/2015/09/30/a-quick-look-at-a-recent-rig-exploit-kit-sample

2位以降は、CK(23%)、Angler(16%)、Neutrino(12%)と続き、それ以外のエクスプロイトキットが3%でした。これらのエクスプロイトキットのほとんども、ランサムウェアの拡散に使用されています。これらのエクスプロイトキットに関する解説を、以下でお読みいただけます。

https://blog.fortinet.com/search?q=angler

http://blog.fortinet.com/search?q=neutrino

まとめ

脅威テレメトリの以上の結果から、医療分野は、より規模の大きいIT業界に匹敵するほどの数の脅威に直面していることがわかります。マルウェアに関しては、機密度の高い医療データを暗号化すれば身代金を手に入れられる可能性が高いことから、感染の大半がランサムウェアに関係しています。また、CryptoWallが2016年第4四半期に医療業界で最も流行したランサムウェアであること、さらには、Androidベースのマルウェアがモバイルマルウェアのトップ5を独占したこともわかりました。また、興味深いことに、発見から6年も経過しているVxWorks脆弱性に対する攻撃が、検出数が最多のIPSイベントであることもわかりました。このことから、VxWorksが組み込まれているシステムが動作する、パッチが未適用の医療機器を見つけて攻撃する脅威が存在する可能性があることがわかります。Andromedaが、検出数が最多のボットネットで、2011年以降、発見数の上位に常に登場しています。これらの検出数がトップ5のエクスプロイトキットは、ランサムウェアを拡散する目的で使用されています。

上記のいずれの脅威も、多層型セキュリティアプローチを適切に計画し、実行することで緩和できます。フォーティネットでは、フォーティネット セキュリティ ファブリック[https://www.fortinet.com/corporate/about-us/why-fortinet.html]による包括的な多層型セキュリティアプローチの採用により、ネットワーク、エンドポイント、アプリケーション、データセンター、クラウド、およびアクセスのセキュリティソリューションが連携し、統合された1つのセキュリティ ファブリックとして動作します。攻撃のあらゆる局面に対抗する、エンドツーエンドの統合セキュリティソリューションによって、段階的プロセスを用いた攻撃を緩和します。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。


過去20年間、インターネットセキュリティ業界が成長してきたにもかかわらず発生したインターネットセキュリティの問題の多くは、ほぼ間違いなくOSやプログラムの脆弱性に起因するものです。そのため、世界中で広く利用され、業界を代表するとされるOSが少数に限られることは幸運だったといえます。OSの選択肢が何百も存在し、どのOSも攻撃の原因になる可能性があるとすれば、インターネットセキュリティエンジニアの仕事がどれほど大変か想像できるはずです。残念ながら、IoTのOSが益々多様化しているという今日の問題が解決されない限り、インターネットセキュリティに関するこのような懸念がそう遠くない将来に現実となってしまうでしょう。

自由度の高いIoTのOS

現在は、インターネットに追加されるほぼすべての新しい「モノ」に独自のOSが採用されています。洗濯機、電子レンジ、テレビ、車庫の扉、玄関のインターホン、街灯、車など、IoTデバイスの種類はさまざまです。90億のデバイスがすでにIoTに接続されており、その数は2020年までに200億〜500億になると予測されています。

PCなどのコンピューティングハードウェアとは異なり、これらのデバイスは、少数の標準化されたOSで制御されているわけではありません。インターネット接続が可能なことを除けば、何の標準もなく、それぞれが製造されているのです。そして、これらのデバイスのOSの多くは、容量の少ないデバイスにインストールされるため、セキュリティに対する配慮が十分ではありません。さらに問題なのが、これらのデバイスのほとんどで独自バージョンのLinuxやAndroidが動作していることであり、最近は、それ以外のOSと一緒にハードコーディングされたバックドアが埋め込まれた(完全とは言えない)コードを使用する例も増えています。

セキュリティにとって災いとなる、標準化の欠如

OSの数がWindows、Linux、Androidなどの少数に限られていれば、OSやセキュリティのベンダーも脆弱性を見つける努力を続けて、パッチや修正プログラムを合理的な方法で提供できるでしょう。ところが、オプションが増えて、独自バージョンのOSが次々と市場に出回るようになると、事態は急速に悪化します。

現在出回っているIoT OSの数は膨大で、Windows 10 for IoT Core、Windriver VxWorks、Google Brillo、Embedded Applie iOS and OS X、Nucleus RTOS、Green Hills Integrity、Huawei LiteOS、OpenWrt/LEDE/Linino/DD、Ostro Linux、Raspbian、Snappy Ubuntu Core、Tizen, uClinux、Yocto、Apache Mynewt、Arm Mbed、Contiki、FreeRTOS、Fuchsia、Nuttx、RIOT OS、TinyOS、Zephyrなどがあります。

しかし、これら氷山の一角に過ぎません。新しい多様なOSが続々と作成されており、その多くはこれから市場に出回ることになるのです。


図1. GoogleでのDDoS関連検索用語のトレンド - 最近のピークはMirai IoT Botの攻撃に対応するもの

CCTV/DVRの脆弱性を悪用した初めての大規模攻撃

最近のMiraiと呼ばれる悪質なIoTベースのDDoS攻撃(図1参照)では、数十台のCCTVカメラとDVRで使用されているOSの既知の脆弱性が悪用されました。また、最近発見された、Rakosと呼ばれるトロイの木馬型マルウェアでは、Linuxの脆弱性が存在するバージョンを採用したIoTデバイスが標的とされて、SSHログインの総当り攻撃で乗っ取られました。

スマートテレビや洗濯機、さらには、玄関のインターホンや芝生の散水機が接続されるようになり、それらのシステムに同様の脆弱性が見つかったら、どうなるでしょうか。対象となるデバイスやOSの数が膨大になれば、脆弱性をプロアクティブに検知するのがさらに困難になります。多数の被害が出て初めて発見され、ベンダーにそれが報告されることで、ようやく脆弱性の修正が始まります。そして、問題はそれだけではありません。

多くのIoTデバイスは残念ながらヘッドレスで、つまりはパッチを適用できないため、他のセキュリティ対策を開発する必要があります。そのため、対策が開発されるまでの間は、感染したIoTデバイスによるシャドーネットでインターネットが大混乱し、IoTの脆弱性が悪用されて大規模DDoS攻撃やサイバー戦争が始まることになるでしょう。

今すぐ必要とされる標準化

欧州や米国の議会はすでにこの問題の検討を始めており、新しい法律や標準が提案されています。IoT製品の購入者であるユーザーも、自分たちが使用するOSの標準化をベンダーに要求し、事態の深刻化を食い止めるよう行動する必要があります。セキュリティの観点から、さらには、IoTを悪用した攻撃が新たなデジタル社会に与えるであろう影響を考えれば、少数に集約されるのが望ましいのです。

しかしながら、標準化には時間がかかる可能性があるため、当面の対策として、以下の点を考慮して会社や組織を保護することをお勧めします。

1. 強力なアクセス制御を確立して、ネットワーク接続するIoTデバイスとトラフィックを識別し、検査する。

2. ネットワークをセグメント化して、IoTトラフィックを分離し、攻撃の拡散を制御し、感染したデバイスを特定して隔離する。

3. 分散するデバイスの連携を考慮して設計されたセキュリティファブリックでインフラストラクチャを強化することで、可視性を高め、攻撃に適切に対応できるようにする。


Android版バンキングマルウェアの新しい亜種は、さらに多くのドイツの銀行や、人気の高いソーシャルメディアアプリなどを標的にしている

概要

前回のブログでは、ドイツの大手銀行のモバイルアプリケーションを装い、ユーザーを騙してバンキング認証情報を引き出す新しいAndroid版バンキングマルウェアについて詳しく分析しました。今週は、拡大し続けるこのマルウェアの新しい亜種をいくつか検出しましたので、今回のブログでは新たにわかったことをお伝えします。

マルウェアのインストール

検出した亜種の1つは、ドイツの別のモバイルバンキングアプリを装っていました。インストールされると、そのアイコンがランチャーに表示されますが、それは銀行の正規アプリのアイコンに非常によく似たマルウェアアプリのアイコンです。

以前お伝えしたこのマルウェアの亜種と同様に、ユーザーがマルウェアアプリを起動すると、下図のように、デバイス管理者権限が要求されます。


図1:デバイス管理者権限の要求

デバイス情報の収集

マルウェアアプリケーションがインストールされると、デバイス情報が収集され、攻撃者のサーバーに送信されます。デバイストラフィックをキャプチャしたものを以下に示します。マルウェアバージョンが「061116xxxxx」になっていますが、これは、攻撃を開始するために標的のバンキングアプリを装っていることを示しています。


図2:マルウェアのデバイストラフィックのキャプチャ

クレジットカード情報を盗み出すために、Google Playを標的に

銀行を狙うだけでなく、マルウェアのこの新しい亜種に含まれる以下の主要コードでは、標的となるアプリとしてGoogle Playも加えられています。


図3:Google Playをターゲットにするマルウェア

前回のブログでは、変数a.cは空であることを示し、フォーティネットでは、マルウェアの今後の活動で使用されるのではないかと推測していることをお伝えしました。この亜種では、標的としてGoogle Playが追加されています。攻撃者は新たな標的を追加していく可能性が高いと考えられます。

このマルウェアの別のバージョンでは、ユーザーがGoogle Playアプリを初めて起動する際に、Google Playアプリの上に図4のような画面がオーバーレイ表示されます。


図4:Google Play上にオーバーレイ表示される画面

そしてユーザーを騙して、図5のようにクレジットカード情報(カード番号、所有者名、有効期限、セキュリティコード)を入力させます。


図5:VISAカード情報の入力

ユーザーがクレジットカード情報を送信すると、マルウェアはその情報をC2サーバーに送信します。トラフィックを以下に示します。


図6:クレジットカード情報をC2サーバーに送信


図7:オーバーレイ表示される「Verified by VISA」画面

これでマルウェアは、ユーザーが送信したカード番号が有効かどうかを確認できるようになります。有効であれば、マルウェアは偽の「Verified by VISA」画面をポップアップ表示します。その画面には、図8のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図8:「Verified by VISA」画面で情報を入力

ユーザーが情報を入力して送信すると、このデータもC2サーバーに送信されます。トラフィックを以下に示します。


図9:「Verified by VISA」情報をC2サーバーに送信

ユーザーがMasterCardのカード情報を送信すると、図10のように別の画面が表示されます。


図10:MasterCardのカード情報を入力

情報を送信すると、マルウェアは偽の「MasterCard SecureCode」画面をポップアップ表示します。VISAの偽の画面と同様、この画面にも図11のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。


図11:オーバーレイ表示される「MasterCard SecureCode」の画面

ユーザーがAmerican Expressのクレジットカード情報を送信すると、図12のような画面が表示されます。


図12:American Expressのカード情報を入力

ユーザーが情報を送信すると、マルウェアはまた偽の「American Express SafeKey」画面をポップアップ表示します。その画面にも、図13のように、誕生日、住所、郵便番号、課金先電話番号、パスワードが含まれています。

これらの手口は、ユーザーの全クレジットカード情報を取得するよう考えられており、すべて本物であるとユーザーに信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、または「American Express SafeKey」の画面が使用されています。

標的となる銀行リスト

この亜種は、標的として新たに銀行をいくつか追加しており、その中にはオーストリアの5つの銀行も含まれています。この動向から、フォーティネットではこのマルウェアは地域全体に広がり続けていくと予測しています。

新しいC2サーバー

亜種は、以下のように6台のC2サーバーも新たに使用しています。

hxxps://loupeahak[.]com/flexdeonblake/
hxxps://chudresex[.]cc/flexdeonblake/
hxxps://chudresex[.]at/flexdeonblake/
hxxps://memosigla[.]su/flexdeonblake/
hxxps://sarahtame[.]at/flexdeonblake/
hxxps://loupeacara[.]net/flexdeonblake/

人気の高いソーシャルメディアアプリをターゲットに

ほかにも、フォーティネットで発見したこのマルウェアファミリの中には、Flash Playerアプリを装う亜種が2つあります。それらのバージョンは「081116」となっており、作成日が2016年11月8日であると予測できます。それらの亜種では、人気の高いソーシャルメディアアプリが標的として追加されています。このような偽装アプリのリストを以下に示します。

com.instagram.android
com.facebook.katana
com.android.vending
com.skype.raider
com.viber.voip
com.whatsapp

このマルウェアの動作を調べるために、偽装されたSkypeアプリケーションを使用してみます。

ユーザーがSkypeアプリを起動すると、図14で示すように、正規アプリの上にマルウェアの画面がオーバーレイ表示されます。


図14:Skypeでオーバーレイ表示される画面

画面には、「あなたの情報を確認できないため、あなたのアカウントは凍結されました。引き続きお使いいただくには、ここでアカウントを認証してください。」というメッセージが表示されています。これは典型的なフィッシング詐欺の画面です。

次の画面で、クレジットカード情報を入力するようユーザーを促します。


図15:Skypeにクレジットカード情報を入力


図16:Skypeに課金情報を入力


図17:「Verified by VISA」に情報を入力

上の図から、このマルウェアはユーザーの全クレジットカード情報を盗み出すよう設計されていることがわかります。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面も使用されています。トラフィックを以下に示します。


図18:クレジットカードの全情報をC2サーバーに送信

フィッシング詐欺の画面をオーバーレイ表示させる手口は、別のソーシャルメディアアプリでも使用されており、Skypeアプリで表示されるものと類似しています。

ソリューション

マルウェアの検体は、フォーティネットのウイルス対策シグネチャAndroid/Banker.GT!tr.spyおよびAndroid/Marcher.GT!trにより検知されます。盗まれた情報をC&Cサーバーに送信するトラフィックは、フォーティネットのIPSシグネチャAndroid.Banker.German.Malware.C2により検知できます。

まとめ

フォーティネットの分析に基づくと、このマルウェアファミリは高い拡張性を備えています。攻撃者は新しいアプリリストを容易にコードに追加できます。このような新しい亜種は、クレジットカード情報を盗み出すために、Google Playアプリや人気の高い他のソーシャルメディアアプリを標的として追加しています。また、ユーザーに正規の取引であると信じ込ませるために、「Verified by VISA」、「MasterCard SecureCode」、「American Express SafeKey」の画面が使用されています。さらに、オーストリアのいくつかの銀行が新たに標的として追加されています。フォーティネットでは、標的となる銀行が世界中に広がり続けると予測しています。

フォーティネットでは、今後もこのマルウェアファミリの活動を監視し続け、フォーティネット製品において適切なセキュリティソリューションが開発されるようにしていきます。

付録

SHA256ハッシュ

5366f4006c939cd06af8545bb6d19667cf475ac3b7110305bb11feb6ea28e5c8
ae269a51b3acdf4507b00dd220a67ee5b41b7a6fab8924c63eb51aeab4e45fab
b2daba5ac747439abd70522bde0e49c867e88cf2c9a7443177d944357d7a2576

C&Cサーバー

loupeahak[.]com
chudresex[.]cc
chudresex[.]at
memosigla[.]su
sarahtame[.]at
loupeacara[.]net
polo777555lolo[.]at
polo569noso[.]at
wahamer8lol77j[.]at