AhnLabでは、多くのユーザーから毎日数十件のフィッシングタイプのスパムメールを収集している。フィッシングタイプのスパムメールは大きく二つに分けることができる。1つ目は、個人情報の返信を要求する等、本文の内容自体が偽物のタイプである。2つ目は、メール本文にフィッシングサイトへの接続アドレスを含むことでサイトへのユーザーの接続を誘導したり、フィッシングサイトのスクリプトファイルを添付ファイルとして含んだりするタイプである。本記事では、セキュリティプログラムレベルで遮断する必要がある2つ目のタイプに関して、被害状況およびフィッシング型マルウェアの特徴について説明する。
メール本文に含まれているフィッシングサイトのアドレスへ接続した場合、または添付された HTML ファイルを Web ブラウザで接続した場合に、ユーザーは社内アカウントの ID、またはパスワードなど個人情報の入力を要求されるページにアクセスするように誘導される。今までは内容や雑な画面構成などから、このようなフィッシングタイプのページが正常なページと比べると、疑わしいと感じる部分が多かった。しかし、現在は正常なページと比較しても、ほとんど同じように作られており、個人情報を入力したり、情報が流出しても気づきにくい。
特に、企業ユーザーを対象に、このような攻撃が何度も行われているため、本記事では、攻撃タイプなどについての特徴を詳しく紹介し、攻撃による被害を最小限に抑えることを目指していく。
被害状況
1) ユーザーから収集するメールの状況
AhnLab では、毎日スパムメールを収集しているOOユーザーの1日あたりの収集を基準として、1日に約10~30件の不正なスパムメールを収集している。
2) マルウェア検知状況
AhnLab は、フィッシングタイプのマルウェアを検知するため、様々なポイントを利用して検知パターンを反映している。2021年8月の1か月間で新しく反映したパターンだけでも実際のユーザー環境で検知された数は以下の通りである。約1千あまりのユーザーから約5,400件以上のフィッシングタイプのマルウェアの報告があった。
5,420 Count 949 PCID
ここで述べているパターンとは1:1の単一ファイル検知ではなく、1:N で多数のファイルを検知できる包括的な検知方式に限定したものである。したがって、上記の検知された数は最小件数であり、単一ファイル検知と8月以前に反映したパターンで検知された数まで含めると、フィッシングタイプのマルウェアによる被害はこれよりもはるかに多いものであると考えられる。
スパムメール
1) スパムメールの事例
以下は2021年8月の1か月間にOOユーザーから収集したスパムメールの事例の一部である。企業外部からメールをメールを頻繁に受信するユーザーの場合、疑うことなく不正なサイトにアクセスする可能性が高い。また、社内インフラ関連メールに偽装した事例も確認された。社内インフラ関連のメールは、メール件名、送信者、本文に社名を含んでいる場合が多く、これを信頼する可能性が非常に高いため、注意が必要である。
フィッシングサイト
1) フィッシングサイトの事例
以下は、スパムメール本文に含まれたフィッシングサイトのアドレスにアクセスしたり、添付された HTML ファイルをWeb ブラウザで実行したりすると表示される画面である。これらは共通してユーザーの社内アカウント、または有名サービスアカウントの情報奪取を目的としている。タイトルから背景画像まで精巧に作られているページが多く、ユーザーが正常なサイトであると誤認しやすい。最近では、まるで認証段階を経ているかのように、一定時間でページをリダイレクトする効果を取り入れたフィッシングサイトも頻繁に発見されている。
AhnLab の対応状況
フィッシングタイプのマルウェアは、メールに添付されたスクリプトファイル、またはフィッシングサイトへのアクセス行為が遮断対象である。AhnLab プロダクトラインの検知名は以下の通りである。検知は引き続きアップデートされているため、一部の検知名だけを列挙する。
Phishing/HTML.Generic.S1644 (2021.08.25.02)
Phishing/HTML.Generic.S1643 (2021.08.25.02)
Phishing/HTML.Generic.S1642 (2021.08.25.02)
Phishing/HTML.Generic.S1641 (2021.08.25.02)
Phishing/HTML.FakeExcel.S1632 (2021.08.23.02)
Phishing/HTML.FakeExcel.S1630 (2021.08.19.02)
Phishing/HTML.Redirect.S1621 (2021.08.13.02)
Phishing/HTML.Redirect.S1620 (2021.08.13.02)
IoC
04ef8dcac0699cc98ee2e3f63ec60d15
0d2dca7ee968e7f263b2edd0731c18af
10a2fd82ae872fa150256eb3079af6f2
1b09114f2475443c443d509f1f37a7e9
1b481f5e62271c12c5e64c2ddbbd7f34
2c63574a6f425b899d969e425b021a34
2f0a0327e3ecae4bb909c37789940631
2fea75124e383b6204fe400a55a75f42
3ca2e93ce5646b5edbcd26a83f0c1076
414fb3d9224e9a3d2a8497cc21e35c4c
438e28f1250a95f67b5da709b0b0b873
53fa4af4cdedc8714c633e79f8d27f8c
59364f402c8ab5a1fe81da3298590ba9
66bde819e1485d8acca63ff6db30a32d
6ddf37c10bcedbc23bfbb4cace71f654
76eab31f38a1bfb1b2a6358d66676d90
82c7f1291cd84e74e48b800c894a87eb
85663d428c4f4faf7ab9da021a029454
85ae5c2876b7e6059f73eb4f9febb491
a316bb6ed42203d53c69f6b864a93219
a62011445bca1f4049088e1cc54a7655
a9d205242228843b808cc4b26a66381c
aea404847a1409850a38b0a23b4f381f
b842f98ca06aa29b430c848c9f90deda
c7f10beb8f19ad0965741cdcab58cfb0
cc03ac89055c7a092d6cadea1f9f127c
d25a73691950635505662fa4c183e315
d2aca148eb7196cc948c5e007c477db1
d9ee2d64d89b61aab421254c6c37908b
e52d0f9b9c0f8d3d67af6215960d3deb
f0d841b0051a6b6b4b63cdc8794460a6
f253811aad38d8c6885b715693a358b1
f559eb1b80519958642229822eff4573
f5ea4adde22ef1f9a19dd210e2efd705
f8dfadd297b77cb16920a88a80c3219b
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報