IDコラム

トップページ > コラム >  【エバンジェリスト・ボイス】脅...

【エバンジェリスト・ボイス】脅威が増した脅迫メール 2018/12/19 (水)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一    uchiyamafacephoto_159x159

こんにちは。CSS部 エバンジェリストの内山です。

もう、すっかり冬到来ですね。
最近、気になったニュースの一つに、風疹の感染拡大を防ぐため、厚生労働省が来年から3956歳の男性を対象に予防接種を原則無料とすることを決めたことが挙げられます。まず、現在免疫があるかどうか調べる抗体検査を無料(原則)で受けてもらい、免疫がないことがわかった場合にワクチンを接種する方針とのことのようです。

風疹は妊婦さんが感染してしまうと、おなかの赤ちゃんに影響がでる可能性があります。通勤途上や職場等、妊婦さんに出会うケースもありますので、私は抗体検査を受けるつもりです。「絶対に風疹にはかからない」なんて誰にも保証できませんし、職業人としてではなく、こういったところで社会に少しでも貢献できたらと感じる次第です、真面目ですかね。

さて、ここからが本題です。
JPCERT/CC
から、ランサムウェア感染に誘導する悪性URLを含んだ仮想通貨を要求する脅迫メールについて、Webサイト上で情報提供がありました。

外部サイト:マルウエアへの感染を誘導し、仮想通貨を要求する脅迫メールについて
 
この情報提供は、米セキュリティ企業の Proofpoint の公表した情報に基づいたものです。
当該の脅迫メールは主に米国で観測された攻撃キャンペーンのもので、現時点(12/12時点)において、まだ国内で観測されたとの情報は確認できておりません。元々、この手の脅迫メールは仮想通貨を要求するものでしたが、新たにランサムウェア感染に誘導する悪性URLを含んだことで脅威が増したように感じられます。

文章はまだまだ稚拙ではありますが、既に仮想通貨を要求する日本語の脅迫メールは出回っています。今後、米国で観測された事象が日本語化され国内に流入する可能性もありますし、バラマキ型から標的型へそして巧妙に日本語化された場合を考えると・・・脅威ですよね。

「こんなスパムメールには騙されませんよ」と感じる方が大半だとは思うのですが、標的型メール訓練の結果を見ていると、どうしても一定数は不審メールを開く方がいますので・・・とても心配なんです。

そこで、本エントリーでは、様々なメディアで報じられておりますが、改めて脅迫メールを取り上げたいと思います。

【国内で観測されている主な脅迫メール】
ご存知の方も多いかと思いますが、脅迫メールは文字どおり、相手の弱みに付け込んで金銭を支払うよう要求するネット詐欺でスパムメールに分類されるものです。JPCERT/CCによると、2018721日ごろより仮想通貨を要求する英文メールが観測されていましたが、およそ2ヶ月後の918日ごろからは、日本語のメールが確認されています。

外部サイト:仮想通貨を要求する不審な脅迫メールについて
外部サイト:仮想通貨を要求する日本語の脅迫メールについて
 
最近では「あなたのパスワードが侵害されました」といった件名で出回っています。

Figure-1_脅迫メール本文例_796x943

Figure-1
:脅迫メール本文例
(出典:https://www.jc3.or.jp/topics/v_log/201812.html#d20181210

11
月下旬~12月にかけて私の手元で確認できた当該脅迫メールにおいて、メール本文内で指定されたウォレットIDを調査してみると、残念ながらビットコインの支払い記録があったウォレットを確認できました。

上記の脅迫メール本文のとおり日本語が稚拙な部分もあるのですが、受け取った当人にとっては脅迫メール本文内に記載されている自分のパスワードやハッキングされたという事実(もちろん詐欺なのですが)を突きつけられ恐怖を感じて要求に応じたかもしれません。

また、興味深い点と言えば、ビットコインの要求金額も11/21観測当初は$700だったのが、11/29$600に下がり、12月に入ってからは$555に減額されています。攻撃者がウォレットの支払い記録を観測し要求金額を調整していると考えられます。


【ランサムウェア感染へ誘導する脅迫メール】
さて、冒頭にお伝えした Proofpointが米国で観測した攻撃キャンペーンで使用した脅迫メールをご紹介します。

Figure-2_ランサム感染に誘導する脅迫メール本文例_729x817

Figure-2
:ランサムウェア感染に誘導する脅迫メール本文例
(出典:https://www.proofpoint.com/us/threat-insight/post/sextortion-side-ransomware

本文の内容自体は、前項で紹介した脅迫メール本文と似通ったもので、デバイスの内蔵カメラで盗撮した受信者の不適切な行為を埋め込んだPowerPointドキュメントをプライベートクラウドに配置したことを突きつけ、受信者に仮想通貨を要求するものです。

攻撃者は、受け取った当人を脅すと共にPowerPointドキュメントの配置先であるURLリンク(Figure-2の赤枠)をクリックするよう誘導することによって、最終的にランサムウェアに感染させることを狙っています。

不幸にも脅迫メール内のURLリンクをクリックしてしまった場合、情報窃取型トロイの木馬「AZORult」に感染し、最終的にランサムウェア「GandCrab」に感染する恐れがあります。最初に感染する「AZORult」は、OSバージョンやホスト名等の端末情報、資格情報やクッキー、Webアクセス履歴等を窃取するために利用されるものです。「AZORult」の情報窃取後にダウンロードされる「GandCrab」のバージョンは5.0.4で、このバージョンに対する複合ツールは、現時点(12/12時点)においてまだ公開されていないため注意が必要です。

ちなみに、「GandCrab」は、奈良県の宇陀市立病院が被害にあったランサムウェアとして、メディアを通じて知った方もいらっしゃるかと思います。

外部サイト:宇陀市立病院:電子カルテシステムの障害発生について(お詫び)
外部サイト:The No More Ransom (日本語版) 復号ツール 

また、今後のことも考えて、Proofpointが公開しているIOC(*)をもとに米国で観測した攻撃キャンペーンの概要イメージを作成してみました。見づらい点や調査解析という観点で不足している部分もあるかもしれませんがご容赦ください。

 *Indicators of Compromise:セキュリティ侵害後の証拠や痕跡。
   IOCにはハッシュ値、IPアドレス、ドメイン、攻撃の痕跡(通信先のURI、レジストリキー等)の情報が含まれる。

【差替え】Figure-3_米国で観測した攻撃キャンペーンの概要イメージ_2062x1491

Figure-3
:米国で観測した攻撃キャンペーンの概要イメージ
※上図より直接アクセスはできませんが、こちらに記載のURLIP等へはアクセスしないで下さい。

ちなみに国内で出回っている脅迫メールは、以前より出回っていた英文メールをGoogle翻訳で翻訳したとの見解もあります。

最後に、ご参考までに米国で観測された攻撃キャンペーンのメールを翻訳したものをお伝えし、本エントリーを終えたいと思います。

===================================================
こんにちは!

私はあなたにとても悪い知らせがあります。
09/08/2018  -
この日、私はあなたのOSにアクセスし、あなたのシステムを完全に制御することができました。 **@gmail.com
今日のあなたのアカウント**@gmail.comにはパスワードがあります:XXXX

どのように私はそれを作った:

あなたがオンラインになったルータのソフトウェアでは、脆弱性が存在しました。
私はちょうどルータに入って、ルート権を得て、私の悪質なコードをそれに入れました。
あなたがオンラインになったとき、私のトロイの木馬はあなたのデバイスのOSにインストールされました。

その後、私はあなたのすべてのアドレス帳、サイトの閲覧履歴、すべてのファイル、電話番号、すべての連絡先のアドレスを持っています。

1
ヶ月前に、私はあなたのデバイスに欲しかったし、ロックを解除するために大きな量のbtcを求めました。
しかし、あなたが定期的に訪問したサイトを見て、私が見たものにショックを受けました!!!
私は大人のためのサイトについて話しています。

私は言う - あなたはBIGの倒錯者です。あなたのファンタジーはノーマルコースからずっと離れています!

そして私は考えを持っていた....
私はあなたが楽しんでいる大人のサイトのスクリーンショットを作った(それについて何か分かりますか?)。
その後、私はあなたの喜びのスクリーンショットを(あなたのデバイスのカメラを使って)作って一緒に接着しました。
素晴らしいことが分かった!あなたはとても壮大です!

私の言葉の証として、Power Pointでビデオプレゼンテーションを行いました。
プライベートクラウドに配置されています。下のリンクをコピーしてブラウザに貼り付けることができます。

https://google.com/url?Q=[url here]

これらのスクリーンショットをあなたの友人、親戚、または同僚に見せたいと思っています。
私は$381が私の沈黙のために非常に、非常に少量だと思う。
それに、私はずっとあなたのことをスパイしてきました。
===================================================

・・・・いかがでしょう。
やはりこの内容で国内に流入しても・・・・と思ってしまうのですが、冒頭の風疹の話と同様に、「絶対に騙されない」と保証できるものはありません。弊社は少しでもこういった脅威のリスク低減に貢献していきたいと思います。

それでは、次のエントリーでお会いしましょう!

お問い合わせ