• HOME
    • セキュリティブログ

1. JavaScriptコード

2017年12月6日、FortiGuard Labsは、ある侵害されたウェブサイト(acenespargc[.]com)を発見しました。ソースコードを調べてみると、暗号化された不審なスクリプトが見つかりましたが、そこではeval()関数を使ってすべての文字列が数字に変換されていました。そこで、CharCode Translatorというツールを使って数字を文字列に戻したところ、詐欺のページやフィッシングサイトにリダイレクトするリンクを特定することができました。

スクリーンショット1
スクリーンショット2

上記のスクリーンショットは簡単な例にすぎません。実際のところ、攻撃者はフィッシングコンテンツを地域ごとにカスタマイズすることができるほか、検出されるのを避けるために、ユーザー側でフィッシングページを訪問したことが検出されるとそのコンテンツが消失するようになっています。

攻撃者は、悪意のあるURLやフィッシングURL、広告URLを人間の目では気付けないようにするためにこの手法を使っています。

下記でご紹介するとおり、この手法は現在、侵害されたウェブサイトで仮想通貨をマイニングするJavaScriptを隠すために使われています。このウェブサイトを訪れたユーザーは全員が「感染」し、訪問時に使用されたコンピュータは攻撃者の思惑どおりに仮想通貨のマイニングを開始します。他人のリソースが許可なしに使用されるため、FortiGuard Labsはこれを悪意のあるアクティビティとして分類しました。


2. Packerツールを使ったCoinHiveスクリプトの隠蔽

12月28日、FortiGuard Labsはお客様からの問い合わせを通じ、もうひとつのウェブサイト(romance-fire[.]com)で上記のように高度な難読化技術が使われていることを特定しました。このウェブサイトには、仮想通貨のマイニングを実行するための悪意のあるコードが含まれていました。

エンコードされたスクリプトが見つかったため、それをPackerツールで解凍したところ、CoinHiveのスクリプトであることが判明しました。

ソースコードのJavaScript
JavaScriptの解凍 - その1

URL(hxxp://3117488091/lib/jquery-3.2.1.min.js?v=3.2.11)が正当なIPやドメインではないようでしたので調べてみました。KLOTH.NETで変換したところ、「3117488091」が185.209.23.219というIPアドレスであることがわかりました。この結果は下記のとおりです。

このサイトではURLがhxxp://185.209.23.219/lib/jquery-3.2.1.min.js?v=3.2.11に変換されました。このURLからJavaScriptの同じパターンを特定できたため、ここでもスクリプトを解凍してみました。

JavaScriptの解凍 - その2

最後の解凍が完了すると、ついにCoinHiveのURLを含むスクリプトが見つかりました。

JavaScriptの解凍 -その3

3. GitHubでのコインマイナー

私たちは2018年1月26日、訪問者が使用するコンピュータのCPUを乗っ取って、仮想通貨のマイニングを行う別のサイト(sorteosrd[.]com)を発見しました。このマイニングマルウェアでも、攻撃者はコンピュータの所有者の許可なく、仮想通貨をマイニングすることで利益を得ることができます。このサイトはウェブマスターによって使用、または侵害されたと考えられます。

ウェブサイト(hxxp://sorteosrd.com)のソースコード
ユーザーの端末に対する不正な仮想通貨マイニングの影響

上記のスクリーンショットからわかるように、コインマイナーはサイト訪問者のコンピュータの速度を大幅に減速させます。これはCPUがフルに使われるためです。


4. 侵害されたウェブサイト - 仮想通貨マイニングに感染したBlackBerryサイト

CoinHiveスクリプトによる侵害は、なんとblackberrymobile.comでも発見されています。


仮想通貨「Monero」のマイニングを目的としたアクティビティに、短時間侵害されたBlackberryのウェブサイト

5. 侵害されたウェブサイト - deepMiner によって感染したMilk New Zealand

さらに、ニュージーランド最大級の酪農場グループであるMilk New Zealandでも侵害が発見されました。同グループのウェブサイトで悪意のあるアクティビティを特定したフォーティネットのFortiGuard Labsがソースコードを調べたところ、Monero、Electroneum、SumokoinなどをマイニングするためにgithubでdeepMinerツールを使ったスクリプトが見つかりました。以下のスクリーンショットをご覧ください。

deepMinerを使用するJavaScript

上記のスクリーンショットに含まれるデータから、この種類のスクリプトではエンドユーザーに気付かれにくくするために、ドメインにDDNS (Dynamic Domain Name System) を使用することでCPU使用量の増加が50%に抑えられていることが判明しました。


6. 仮想通貨マイニングのスクリプトが埋め込まれたYouTubeの広告

仮想通貨マイニングマルウェアの問題は深刻化しています。CPUのサイクルを乗っ取って、仮想通貨のマイニングから利益を得ようとする攻撃者の数が増加の一途をたどる中、このマルウェアはますます多くの場所に現れるようになっています。1週間前にはYouTubeの広告にコインマイナーのスクリプトが埋め込まれ、数件の悪意ある広告が表示されました。幸いにも、この問題に気付いたYouTubeは2時間以内にその広告を削除しました。

YouTubeの広告に埋め込まれた悪意のあるマイニングスクリプト

コインマイナーによる乗っ取りを防止または回避するための方法は下記のとおりです。

  1. ブラウザのキャッシュを削除する。またはCCleanerソフトウェアをインストールし、不要なファイルや無効なWindowsレジストリのエントリを特定してコンピュータから削除する。
  2. ブラウザでJavaScriptを無効にする、またはスクリプトブロックツールや拡張機能を実行する。
  3. FortiClientなどのアンチウィルスソフトウェアをインストールする。
  4. AdBlockerや、Ghosteryなどの類似するツールをインストールして実行する。

FortiGuardでは、本ブログにリストアップしたすべてのURLを悪意のあるものとしてブラックリストに登録しています。


IOC:
侵害されたウェブサイト

  • acenespargc[.]com
  • www[.]romance-fire[.]com
  • milknewzealand[.]com

新たに特定された仮想通貨マイニングのURL:

  • hxxp://coinhive[.]com
  • hxxp://minerhills[.]com
  • hxxp://crypto-webminer[.]com
  • hxxp://sorteosrd[.]com
  • hxxp://greenindex[.]dynamic-dns[.]net
  • hxxps://github[.]com/deepwn/deepMiner

ここ数週間にわたって、ASUSは一連のパッチをリリースしましたが、その目的はファームウェアのASUSWRTに使用されるRTルーターで発見された多数の脆弱性に対処するためです。本記事の最後には、この影響を受けていることが確認されたモデルが記載されています。お使いのモデルやファームウェアがおわかりにならない場合は、ASUSのサポートサイトで最新情報を今一度確認されることをおすすめします。


FortiGuard Labs

ASUSによって確認されたリモートコード実行の脆弱性であるFG-VD-17-216は、そもそもFortiGuard Labsによって発見、報告されました。WAN接続経由でウェブ管理ポータルが使用可能ではあるものの、この機能をご利用になっていない場合は無効にすることをおすすめします(これはデフォルトのパラメータではありません)。すでにこの機能をご利用の場合は、安全なパスワードを設定し、ルーターの管理タスクにHTTPSのみを使用することをおすすめします。攻撃者がポータルにアクセス、またはユーザーを不正なリンクへと誘導できた場合は、ルーターで直接実行可能なオペレーティングシステムのコマンドを注入するHTTPリクエストが実行できるようになります。

技術的に見ると、脆弱なモデルでは/apply.cgiに渡されたサニタイズ処理が行われていないパラメータを介して、OSのコマンドが注入されやすくなります。この脆弱性は、ファームウェアの以前のバージョンに不注意で戻された回帰だと考えられます(FortiGuard Labsで使用していたテスト端末はRT-AC3200、ファームウェアは3.0.0.4.382_19466でした)。

特にMain_Analysis_Content.aspでは、クライアント側でJavaScript関数のupdateOptions()にSystemCmd変数が作成されると、入力フィールドのpingCNTとdestIPの値が使用されるようになります。これにより、ウェブプロキシを使用して、通常は実行されるローカルチェックを迂回できるようになり、/cmdRet_check.htmを使ってリクエストからの応答が非同期的に返されます。サーバー側ではそれ以上チェックが行われることなく、コマンドが実行されることになります。

HTTP注入攻撃が成功すれば、デバイスの管理者権限(ルートユーザー)を使ってコマンドが実行されることになるため、FortiGuard Labsはこの脆弱性を「高」と評価しました。ただし、攻撃者がこれを成功させるには、HTTPクッキーヘッダで渡される有効な認証トークンを入手する必要があります。

脆弱性が認められたモデル:

  • ASUS RT-AC66U、RT-AC68U、RT-AC86U、RT-AC88U、RT-AC1900、RT-AC2900、RT-AC3100の3.0.0.4.384_10007以前のバージョン
  • ASUS RT-N18Uの3.0.0.4.382.39935以前のバージョン
  • ASUS RT-AC87U、RT-AC3200の3.0.0.4.382.50010以前のバージョン
  • ASUS RT-AC5300の3.0.0.4.384.20287以前のバージョン

背景:

  • 2017年12月23日 - FortiGuard LabsがASUSのセキュリティチームにメールで連絡
  • 2017年12月25日 - ASUSのセキュリティチームから、調査が開始されたとの返信
  • 2017年12月27日 - ASUSのセキュリティチームがFortiGuard Labsチームにテスト用のパッチを提供
  • 2017年12月27日 - パッチによって脆弱性が修正されたことをFortiGuard Labsが確認
  • 2018年1月2日 - ASUSが広範にわたる新しいパッチのリリースを開始

この脆弱性が発見された際、フォーティネットは先回りしてお客様を保護するためにIPSシグネチャ「Asus.Apply.CGI.POST.Buffer.Overflow」をリリースしました。

報告された脆弱性の修正にすばやく対応していただいたASUSのセキュリティチームに感謝しています。

-= FortiGuard Lion Team =-


週に一度更新されるFortiGuard Threat Intelligence Briefにお申し込みになるか、フォーティネットの FortiGuard Threat Intelligence Serviceのオープンベータ版にご参加ください。


FortiGuard Labs

主要チップメーカー3社が1月初めに、何百万ものデバイスに搭載されているプロセッサーに影響する、MeltdownとSpectreと呼ばれる脆弱性(CVE-2017-5715、CVE-2017-5753、およびCVE-2017-5754)を発表しました。

FortiGuard Labsは約1年間にわたって、既知の脆弱性を悪用した新たな攻撃を計画する犯罪者の活動を追跡調査し、その詳細を2017年第2四半期版フォーティネット脅威レポート(閲覧にはフォーティネット俱楽部への会員登録が必要です)でご紹介しましたが、90%もの組織で発見から3年以上経過している脆弱性のエクスプロイトが見つかり、60%の企業で発見から10年以上も経過している脆弱性に関連する攻撃が発見されていることがわかりました。

サイバー犯罪者たちが既知の脆弱性を標的とする割合は確実に増加しており、WannaCryとNotPetyaの脆弱性によって、我々は、脆弱性の存在するシステムへの早期のパッチ適用の重要性を再認識することになりました。だからこそ、Intel、AMD、ARMという主要チップメーカーが1995年以降に開発したほぼすべてのプロセッサーに影響するとされる、過去最大規模の脆弱性が明らかになったことで、我々の懸念が再び高まることになったのです。

この状況を深刻に受け止めているのは、我々だけではありません。1月7日から1月22日の間にAV-TESTの研究チームによって、これらの脆弱性に関連する119の新たなサンプルが発見されたことで、サイバーセキュリティコミュニティ全体がこの件に大いに注目するようになりました。公開された全サンプル(これは、収集されたすべてのサンプルの約83%にあたります)をFortiGuard Labsが分析したところ、すべてが概念実証コードに基づくものであることがわかりました。残りの17%は、秘密保持契約または詳細は明らかにされていない何らかの理由によって一般公開されなかったものと考えられます。

AV-TESTのデータベースにおけるSpectre/Meltdown関連のサンプル数,ユニークサンプルの総数,1日あたりの新しいユニークサンプル数
MeltdownとSpectreを標的とするマルウェアの検知数の爆発的な増加を示すAV-TESTグラフ

MeltdownとSpectreという脆弱性の対策における最大の課題として、影響を受けるチップが一般家庭や稼働中の環境で動作している何百万ものデバイスに既に埋め込まれていること以外にも、この問題によって明らかになったサイドチャネルの問題を解決するパッチの開発が極めて複雑である点が挙げられます。それを示すかのように、Intelが先日の発表で最新パッチの適用を中止するよう呼びかけましたが、これは、パッチが適用された一部のデバイスが再起動することがわかったためです。

このような現状を考慮すると、パッチによって解決するという、積極的かつプロアクティブな手順の確立だけでなく、不正行動やマルウェアを検知して脆弱性が存在するシステムを保護するよう設計されたセキュリティレイヤーの導入が不可欠であるのは明らかです。


MeltdownとSpectreに対応するフォーティネットのアンチウイルスシグネチャ

FortiGuard Labsチームは、これらの脆弱性を標的とするあらゆる攻撃からお客様を保護するための取り組みを積極的に進めています。以下のアンチウイルスシグネチャをすでに公開しており、これらによって、これまでに発見されたすべてのMeltdownとSpectreのサンプルに対応します。フォーティネットは今後もこの状況を注意深く監視し、最新情報を継続して提供していく予定です。

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC


Fortinet FortiGuard Labによる本件に関するその他の調査:


フォーティネットのFortiGuard Labsは、2014年に開発されたオープンソースの仮想通貨であるMonero(モネロ)のみを身代金として受け付けるランサムウェアを確認しました。ランサムウェアの世界では、Bitcoin(ビットコイン)が標準として広く使われてきましたが、他の仮想通貨へと移行する動きもあるようです。ランサムウェアの作者たちは、最新動向や社会情勢に常に注目しており、仮想通貨の高騰に乗じて一儲けすることを狙っているようです。

この最新のランサムウェアは、Moneroによる身代金支払いを要求するだけでなく、仮想通貨に関連するパスワードストアであるかのように装います。このマルウェアは、「spritecoin」ウォレットであると偽って、希望するパスワードを作成するようユーザーに要求しますが、実際にはブロックチェーンをダウンロードすることなく、攻撃対象ユーザーのデータファイルを密かに暗号化します。そして、そのデータを復号化する代償として、Moneroで身代金を支払うよう要求します。このファイル(spritecoind[.]exeとして活動中であることが確認されています)は、検知を逃れやすくする目的で、UPXで圧縮されています。「Your files are encrypted(ファイルが暗号化されました)」というおなじみとも言える身代金要求メモが表示され、0.3 Monero(この記事の執筆時現在で105米ドル相当)が要求されます。

我々の分析で、このサンプルにSQLiteエンジンが埋め込まれていることを示す指標が確認されましたが、これは、SQLiteを使って盗んだ認証情報を格納しているためと考えられます。このランサムウェアは、最初にChromeの認証情報を探し、何も見つからなかった場合はFirefoxの認証情報ストアにアクセスしようとしているようです。そして、暗号化するいくつかの特定のファイルを探し、それらのファイルをencryptedというファイル拡張子を使って暗号化します(例:resume.doc.encrypted)。

また、さらに悪質なことに、復号化の過程で、証明書の不正取得、画像解析、Webカメラ起動などの機能を持つ別のマルウェアが展開されます。

キルチェーン分析

SpriteCoinランサムウェアの脅威のキルチェーン簡易分析を以下にご紹介します。

拡散方法:この攻撃は仮想通貨に関心のあるユーザーが集まるフォーラムのスパムを使って拡散するとの未確認報告があり、我々もこれが実際の拡散方法であると考えています。Spritecoinを詳しく調査したところ、ホームページと思われるpagebin[.]com/xxqZ8VESが見つかりました。

SpriteCoin: SpriteCoin is a new cryptocurrency written entirely in JavaScript (with C for the mining module). It uses the CryptoNight algorithm but is not cryptonote-based. With a max supply of 1 trillion coins and a block time of 45 seconds, this is sure to be a profitable coin for you (I hope). Download for Windows (scan it with VirusTotal if you don't trust it)

SpriteCoin
SpriteCoinは、JavaScriptのみで(マイニングモジュールにはCを使用して)記述された新しい仮想通貨です。CryptoNightアルゴリズムを使用していますが、CryptoNoteベースのものではありません。総発行枚数1兆コイン、ブロック時間が45秒の、収益性の高いコインです。
Windows版のダウンロード(心配な方は、VirusTotalでスキャンしてください)

ランサムウェアは通常、ソーシャルエンジニアリングを使って拡散しますが、エクスプロイトによるユーザーの介入を必要としない方法もあります。一般的なのは、電子メール、エクスプロイトキット、Excel / Word / PDFの不正マクロ、またはJavaScriptダウンローダーですが、これ以外の方法が使われることもあります。攻撃者は、ソーシャルエンジニアリングを使用し、巧妙に作成した電子メールでユーザーを誘導して、これらの実行可能ファイルを実行させます。多くの場合、これらのファイルには、疑問を持つことなくファイルを開いてしまいそうな、もっともらしいファイル名が付けられています。ユーザーのマシンをランサムウェアに感染させるには、一般的に、そのユーザーとのやり取りが必要になります。

今回の例では、SpriteCoin仮想通貨のウォレットに見せかけた「SpriteCoin」パッケージ(spritecoind[.]exe)として、ユーザーに送り付けられます。Googleを使った簡易検索でSpriteCoinに関する文書が見つからないため、我々は、これが本物の仮想通貨でなく、この攻撃のためだけに作成されたものであると考えています。

エクスプロイト:エクスプロイトの多くは、ユーザーがソーシャルエンジニアリングに誘導されることで開始します。仮想通貨を使って短期間で利益を得られるという誘い文句は、用心深くないユーザーにウォレットアプリをダウンロードさせる手段として十分に効果があるようです。

インストール:このマルウェアが実行されると、「Enter your desired wallet password(希望するウォレットパスワードを入力してください)」というメッセージが表示されます。

希望するパスワードを入力してください:(パスワード不要の場合は何も入力しないでください [リスクあり])

上記の手順が完了すると、ブロックチェーンをダウンロードすると見せかけて、実際には、暗号化ルーチンが実行されます。

我々の分析では、ある特定のパッチが適用されていないと、このファイルが動作しないことがわかりました。我々のテスト環境はWindows XP SP3のマシンでしたが、msvcrt.dllの_snprintf_s関数がなかったために、このマルウェアが実行されなかったようです。しかしながら、_snprintfにパッチを適用したところ、実行が開始しました。

このマルウェアは、最初の実行時に自分自身を %APPDATA%\MoneroPayAgent.exeにコピーして、その新しいコピーを再び起動します。そして、レジストリキーも変更します。

"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MoneroPay
%APPDATA%\MoneroPayAgent.exe"

Windows XP SP3のマシンの場合、AppDataは「\Documents and Settings\user\Application Data\」に存在します。

コマンドアンドコントロール:Moneroの身代金を要求するこのランサムウェアは、従来の意味で言うコマンドアンドコントロールサーバーに接続するのではなく、Onionプロキシ経由でTORサイトに接続します(http://jmqapf3nflatei35[.]onion.link/*)。このプロキシによって、TOR接続を必要とすることなく、ユーザーと攻撃者のWebサイトとの通信が可能になります。これには、攻撃者にとって2つのメリットがあります。すなわち、1. TORドメインの背後に隠れることで攻撃者の匿名性が保証され、2. 攻撃対象である(TORが何かを知らなかったり、面倒なことを避けたいと考えたりする)ユーザーと攻撃者の間のフェールセーフとしての役割を果たし、攻撃の成功率を上げる効果があります。

目的の実行:このランサムウェアは、決まった拡張子(.txt、.py、.doc、.rtf、.cpp、.cc、.go、.tcl、.html、.ppt、.docx、.xls、.xlsx、.pptx、.key、.pem、.psd、.mkv、.mp4、.ogv、.zip、.jpg、.jpeg、.work、.pyw、.h、.hpp、.cgi、.pl、.rar、.lua、.img、.iso、.webm、.jar、.java、.class、.one、.htm、.js、.css、.vbs、.7z、.eps、.psf、.png、.apk、.ps1、.gz、.wallet.dat、.id_rsa)の特定のファイルの暗号化を開始し、暗号化したファイルの末尾に「.encrypted」を追加します。

さらに、ユーザーのChromeとFirefoxの認証情報ストアが不正取得され、POSTを使ってリモートWebサイトに送信されます(http://jmqapf3nflatei35[.]onion[.]link/*)。

ユーザーのファイルが暗号化されると(あるいは、ユーザーが暗号化されたファイルにアクセスしようとすると)、身代金要求メモが生成されてブラウザーのウインドウに表示され、身代金の金額が提示されます。

ユーザーが不幸にも要求に応じて復号鍵を手に入れることを決断してしまうと、W32/Generic!trとして検知される新しい不正実行可能ファイル[80685e4eb850f8c5387d1682b618927105673fe3a2692b5c1ca9c66fb62b386b]が送付されます。この不正ペイロードの詳細分析は完了していませんが、Webカメラを有効にし、証明書と鍵を解析する、ユーザーにとってさらに危険と思われる機能があることが確認されました。

本件については、MalwareHunterTeamSensorsTechForumによる調査もご参照ください。


FortiGuardによる対策

この新たなランサムウェアの対策として、以下のAVシグネチャが作成され、すでに利用されています。

  • W32/Ransom.F3F6!tr(ランサムウェア)
  • W32/Agent.DDFA!tr(Moneroの二次ペイロード)
  • W32/Generic!tr(バックドア)
  • W32/MoneroPay.F3F6!tr.ransom

また、すべてのネットワークIOCがWebフィルタリングデータベースのブラックリストに登録されました。

上記のマルウェアシグネチャに加えて、確実な方法でのバックアップとリカバリの計画を立て、全社的にランサムウェア攻撃に備えることを強く推奨します。シャドウボリュームのバックアップだけに頼るべきではなく、これは、一部のランサムウェア亜種によって削除されてしまうこともあるためです。マルウェアの作成者たちは、攻撃の成功率を高くしようと努力しています。システムを定期的にバックアップする人が少ないことを知っていますが、シャドウボリュームやそれに類似する方法でバックアップしているユーザーがいることを想定し、それを突破するためのロジックをマルウェアに組み込んでいます。シャドウボリュームのバックアップではなく、重要なファイルをオフラインにバックアップすることが、結果的には、時間の節約と面倒な作業の大幅な軽減につながります。また、ベストプラクティスとして、ファイルバックアップの重要性を常に理解し、定期的にバックアップを実行する必要があります。そして、オフラインで別のデバイスにバックアップを保存し、冗長性を考慮して複数の場所にバックアップするようにします。

このマルウェアはユーザーとのやり取りがなければ動作しないため、セキュリティトレーニングの正式なプログラムを用意して、四半期に1回以上の頻度で関係者向けに実施することが重要です。トレーニングの計画にあたっては、ユーザーが興味を持つよう工夫し、セキュリティプログラムの重要な要素を組み込んで、ユーザーからの意見も取り入れながら、積極的な参加を促します。セキュリティに対する従業員の意識を向上させるには、ユーザー報酬プログラムが特に効果的です。ランサムウェアから身を守る方法の詳細については、ブログ記事「ランサムウェアから身を守るための10の措置」を参照してください。

そして忘れてならないのが、FortiGuardのシグネチャを常に最新の状態にしておくことです。


IOC

(FortiGuardサービスをご利用いただいていない場合に)この脅威の検知とブロックに使用できるIOC(Indicators of Compromise:侵害指標)の一部を、以下に記載します。これらのIOCの多くは、この脅威の発見にも利用できるものです。

ネットワークIOC:
hxxp://jmqapf3nflatei35[.]onion[.]link/log?id=%s - 最初のランサムウェアの接続(TORプロキシ)
hxxp://jmqapf3nflatei35[.]onion[.]link/paid?id=%s - 身代金支払いのURL
hxxp://jmqapf3nflatei35[.]onion[.]link/static/win - 二次コンポーネントのダウンロード
hxxp://jmqapf3nflatei35[.]onion - TORの正しいURL

システムIOC:
ababb37a65af7c8bde0167df101812ca96275c8bc367ee194c61ef3715228ddc - 初期サンプル
3e06ef992519c02f43b10cc9bfa671e5176e2cef5fab2f3d21b1e7fc17438e7d - 代替サンプル
80685e4eb850f8c5387d1682b618927105673fe3a2692b5c1ca9c66fb62b386b - 二次サンプル
%APPDATA%\MoneroPayAgent.exe - インストールパス
%TEMP%\19204ur2907ut982gi3hoje9sfa.exe - 二次サンプルのファイル名のインストールパス
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MoneroPay

%APPDATA%\MoneroPayAgent.exe - 存続のためのレジストリのエントリ
.encrypted - 暗号化されたオブジェクトファイルの末尾に追加される文字

フォーティネットの脅威レポートでは、脅威の最新動向と対策のための重要なヒントをご紹介しています。

毎週お届けするFortiGuardインテリジェンス概要、またはフォーティネットのFortiGuard脅威インテリジェンスサービスのオープンベータ版にご登録ください。


CSOが抱える最大の課題は何か、彼らに聞いてみてください。おそらく、デジタル変革に関しては多少異なる意見があるでしょう。マルチクラウドやIoT、モバイルワーカーやモバイルデバイス、消費者の高まる期待、シャドーITなどにより、CSOのチームは極限状態にあります。進化する脅威ランドスケープに関し、散々話を聞かされることになるでしょう。業界がセキュリティスキルの大きな不足を感じているまさにその時、ランサムウェア、ボットネット、IoT、巧妙な攻撃により、セキュリティの限界が試されているのです。

しかし、それらもすべて、今まさに訪れようとしていることに比べれば見劣りします。こうしたすべての課題が、ハイパーコンバージドのネットワークやシステムと組み合わさろうとしているのです。

私たちが今、目にしているものは、氷山の一角にすぎません。従来は切り離されていたOTシステムはITと統合され始めており、製造現場が世界の商取引現場とつながりつつあります。かんばん方式や柔軟性のあるオンデマンドの生産システムなどにより、効率と収益性の向上は実現するでしょうが、まったく新たなリスクが登場することとなり、中には壊滅的な結果をもたらす可能性を秘めたものもあるでしょう。


コンバージドネットワークの未来を示すスマートカー

コンバージェンスの意味合いを理解しやすいものとしては、スマートカーをおいて他にないでしょう。バルブからタイヤの空気圧まですべてが積極的に監視され、コマンドコンソールを介してやり取りが可能です。そのコンソールがオンデマンドのエンターテイメントを提供し、電話を接続してタッチレス通信を可能にしたり、インターネットに接続して車の無線パーソナルエリアネットワークを構築します。衛星システムがナビを提供し、車が盗まれた際には追跡を行い、事故の際には緊急システムに接続することも可能です。車が金融データに接続されるケースも増えており、財布を出さずにドライブスルーやガソリンスタンドでの支払いを済ませたり、車内で楽しむエンターテイメントや修理、さらにはオンラインインターフェイスで注文した食料品の支払いすら可能になっています。

オンボードのレーダーシステムは、交通量や走っている車線の追跡を行い、スピードや軌道などをすぐに調整することが可能です。センサーは道路状況や天候を監視し、トラクションや見通しの自動調整を行い、全輪駆動を動的に実行することもできます。自動運転車は、周りの車両とリアルタイムの情報を共有し、交通量や道路状況、工事、事故、緊急車両などについて公共システムと通信するようになるでしょう。そうした集合的データを使って、ラッシュアワーの交通量や工事、スポーツ観戦の後で一斉に観客が出てくる混雑時などに対応するため、交通システムは車線の切り替えを行ったり、信号の調節を行ったり、交通規制を行ったり、道路照明を調整したりすることができるようになります。

車はいまや、車を操作するオンボード内部ネットワーク、生産性やエンターテイメント、商業サービスを提供する外部通信ネットワーク、そしてスマートカーがインフラや他の車と相互にやり取りできるようにする車外ネットワークで構成される、非常に複雑な、コンバージドネットワークになりつつあります。これはほんの手始めにすぎません。新たなビジネスモデルも登場します。車を駐車場に止めたままにするのではなく、タクシーサービスを提供したり、個人ではなく集団で所有することも可能になるでしょう。つまり、新たな乗客や、そうした乗客それぞれの支払いシステム、サービスへの加入、好みの温度や座席の調整まで、自動的に調節を行うことが求められるということです。

そしてこれらすべてを、時速75マイル(約120キロ)で行わなければならないのです。


意味合い

ネットワーク構築の経歴がある方なら誰しもが、こうした課題に気付くことができます。そしてその中でも最大の課題は、これらのどれもが、通常自動車メーカーの主要スキルセットとされるものには分類されないということです。セキュリティは車両から道路、ネットワーク、安全基準まで、輸送エコシステム全体における不可欠な要素でなければなりません。自動車メーカーは、従来のアセンブリラインの製造業者というよりは、システムインテグレーターのような働きをするようになってきています。まったく新しいパートナーやサービスプロバイダ、共通の基準などを含め、業界全体の変革が必要となります。

新しい問題のように思えるかもしれませんが、セキュリティの観点から見れば、こうしたコンバージドの環境は、私たちがすでに精通している枠組みを利用して保護することができます。

  • セグメンテーション - 重要なサービスを可能な限り分離させることが必要不可欠です。例えばスマートカーでは、インターネットに接続するシステムをブレーキシステムから隔離する必要があります。
  • アクセス制御 - 現在は、車に乗る人なら誰でもすべてのサービスにアクセスできます。これはいつ問題が起きてもおかしくない状況です。Authentication、authorization、accounting(認証、許可、アカウンティング)は今の段階でも得策といえるでしょう。
  • 暗号化 - これは簡単なことです。金融データは暗号化しましょう。無線や衛星による通信も暗号化しましょう。車両間や公共システム間でやり取りするデータも暗号化、認証を行いましょう。
  • 防御 - 最後に、これらすべてを、車両の安全を確保し、許可されていないユーザーやアプリケーション、マルウェアを積極的に見つけ出すことが可能な保護、検知、対応ツールで構成される埋め込み型、完全統合型のシステムに組み込むようにしてください。

新たな要件

もちろん、これらをすべて実現するためには色々なことを変える必要があります。複数のメーカー間の互換性を確保するため、新たオープン標準が必要になります。高速道路で別の車に接近する極めて短い時間内に、通信プロトコルのネゴシエーションを行う余裕はありません。

同様に、セキュリティも適応が必要になります。コンバージドシステムには、個々の分離したセキュリティツールではなく、リアルタイムでイベントに適応し、自主的に意思決定を行い、サイバーインシデントの際には別のシステムに警告するなど、より大きな環境とそうした情報を共有できる統合型のセキュリティファブリックが必要です。コネクテッドカーの約束と第4次産業革命、そしてそこから転じてコンバージドネットワーク全般を実現するためには、セキュリティをコネクテッドカーから家、都市、消費者、そしてあらゆる規模のハイパーコネクテッドネットワークやクラウドまで行き渡らせ、迅速かつ大規模に動作させなければなりません。


結論

ハイパーコンバージドシステムが差し迫っており、私たちが想像すらしなかった形で新しい環境と既存の環境が接続されていくこととなります。しかし、慎重に計画を立てることで、スムーズかつ安全に移行を行うことが可能です。まずはオープン標準や、相互に通信を行い、情報を共有し、変化を特定して適応し、協調的かつ協力的にイベントに対応するよう設計された統合型のインタラクティブなセキュリティシステムを求めることから始めましょう。

フォーティネットとルネサスが協力し、パワートレインやテレマティクス、インフォテイメントシステムなど、コネクテッドカー領域の安全を確保する最先端サイバーセキュリティを構築しました。詳細に関しては、こちらをご覧ください
本バイラインは、 CSOに掲載されたものです。
当社のホワイトペーパーをダウンロードしていただくと、企業のセキュリティリーダーたちが対応を迫られている重大な脅威や、それらに対する評価、保護を行うためのセキュリティアプローチに関する情報をご覧いただけます。