マルウェア検出数が半減、フィッシング詐欺もサービス化--上半期レポート(キヤノンITS) | ScanNetSecurity
2020.10.28(水)

マルウェア検出数が半減、フィッシング詐欺もサービス化--上半期レポート(キヤノンITS)

「PhaaS」と呼ばれるフィッシング詐欺のサービスについて、キヤノンITSのマルウェアラボのマネージャーでありシニアセキュリティリサーチャーである石川堤一氏が説明した。

脆弱性と脅威 脅威動向
キヤノンITSのマルウェアラボのマネージャーでありシニアセキュリティリサーチャーである石川堤一氏
キヤノンITSのマルウェアラボのマネージャーでありシニアセキュリティリサーチャーである石川堤一氏 全 10 枚 拡大写真
キヤノンITソリューションズ株式会社(キヤノンITS)は8月24日、2018年上半期の「マルウェアレポート」を発表した。同レポートは、同社が提供するセキュリティ製品「ESETシリーズ」のユーザデータをフィードバックしたもの。レポートに関して、同社のマルウェアラボのマネージャーでありシニアセキュリティリサーチャーである石川堤一氏が説明を行った。

レポートによると、マルウェアの検出数が2017年下半期から激減し、約半数となった。特に「Locky」などのダウンローダーとして使われていた「VBS形式」のマルウェアがほとんど見られなくなった。もっとも多く検出されたのは「JavaScript形式」であるが、その内訳も大きく変化している。コインマイナーは前期比330%、リダイレクタは同270%と大幅に増加している。

石川氏は、仮想通貨を狙う脅威やインターネットバンキングを狙う脅威を紹介。さらに、WindowsのSMBプロトコルの脆弱性を悪用する攻撃につて紹介した。SMBの脆弱性(MS17-010)を狙う攻撃は、ランサムウェア「WannaCry」が有名だが、その攻撃は増加し続けており、世界中でWannaCryの攻撃が発生した時期よりも多くなっている。

Shodanで調べると、SMBが使用するポート445が解放されているWindows端末は日本で8万台以上あり、引き続き攻撃を受ける可能性を示唆した。なお、SMBの脆弱性を悪用する攻撃は現在もランサムウェア感染が目的だが、「NotPtya」に代表されるような破壊型のランサムウェアは少なくなり、ほとんどが本来の身代金要求型になっているという。

石川氏はまた、サイバー犯罪者向けのサービス(CaaS:Crime as a Service)の現状について紹介した。CaaSは、ランサムウェア作成サービス(RaaS:Ransomeware as a Service)が広く知られている。しかし、フィッシング詐欺のための同様のサービスも以前から確認されている。

「PhaaS(Phishing as a Service)」と呼ばれるこのサービスについて、キヤノンITソリューションズ株式会社(キヤノンITS)のマルウェアラボのマネージャーでありシニアセキュリティリサーチャーである石川堤一氏が説明した。

PhaaSもRaaSと同様に、ダークWebで提供されているサービスで、アクセスするためにはTorブラウザなどが必要となる。サービスにはダッシュボード画面が用意されており、ログイン履歴や利用履歴が確認できるほか、無料のチュートリアルも多数用意されている。

PhaaSは多くのWebサービスに対応しており、それぞれのログイン画面が言語とともに選ぶことができる。AmazonやAlibaba、Dropboxなどに加え、OutlookやExcelもある。これを元にフィッシングサイトを作成するわけだ。石川氏によると、フィッシングサイトに誘導するためのメールの文言も、言語別に用意されているという。

PhaaSでは、フィッシングにより入手したログイン情報も管理できるようになっている。ログイン情報は一覧で表示され、クリックすることで詳細情報を確認できる。不要なものは削除することも可能だ。さらに、入手したログイン情報を販売する機能もある。マーケットプレイスの形を取っており、一覧から好きな相手に販売することができる。

PhaaSでは複数の利用メニューが用意されており、石川氏が確認したサービスでは、3日間利用できる「Micro」、2週間利用できる「Mini」、4週間利用できる「Baby」、4週間利用で保存できるアカウント情報や作成できるフィッシングサイトの数が多い「SweetHeart」など8つから選べるようになっていた。価格はそれぞれ3ドル、12ドル、18ドル、30ドルとなっており、最大のプラン「Master」では、3カ月間で250ドル、フィッシングサイトを1万個作成できる。なお、いずれのプランも24/7のサポートまでついている。

石川氏は、実際に日本でもフィッシング詐欺の件数が増加しており、その背景にPhaaSの存在がある可能性を指摘し、「こうしたサイバー攻撃のサービス化によって、サイバー攻撃に設備や知識が不要になり、誰でもサイバー攻撃が行える時代になってきている」とした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 社員PCが「Emotet」感染、鳥羽洋行騙る暗号化ZIP付不審メール確認

    社員PCが「Emotet」感染、鳥羽洋行騙る暗号化ZIP付不審メール確認

  2. 「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口

    「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口

  3. Oracle Java SEに脆弱性 攻撃された場合の影響大、早急なアップデート呼びかけ

    Oracle Java SEに脆弱性 攻撃された場合の影響大、早急なアップデート呼びかけ

  4. フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

    フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

  5. 従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

    従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

  6. 「ドコモ口座」不正利用の被害件数を公開、補償完了は122件2,797万円に

    「ドコモ口座」不正利用の被害件数を公開、補償完了は122件2,797万円に

  7. シルバニアファミリーオンラインショップのメール流出、プログラム改修が原因

    シルバニアファミリーオンラインショップのメール流出、プログラム改修が原因

  8. ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題

    ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題PR

  9. 浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線

    浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線PR

  10. 「マンション・ラボ」に不正アクセス、記事ページが改ざん(つなぐネットコミュニケーションズ)

    「マンション・ラボ」に不正アクセス、記事ページが改ざん(つなぐネットコミュニケーションズ)

ランキングをもっと見る