先週の注目ニュース:Appleユーザーを狙うランサムウェア、ハイブリッド型のマルウェアなど

2014年6月5日

米国では、先週月曜日が戦没者追悼記念日で休日だったため、短い一週間でした。休日のある週というのは一般的に、セキュリティ関連のニュースがあまり多くないものですが、いくつかお届けする話題があります。Appleデバイスを狙うランサムウェアや、新しいハイブリッド型のマルウェアが発見されたほか、SpotifyのAndroidアプリに関してちょっとしたセキュリティの事件がありました。

week-2

さらなるランサムウェア

先日の記事で書いたように、OS X(Mac)とiOS(モバイル)という2つのオペレーティングシステムでAppleユーザーを狙う新種のランサムウェアが流行しています。確かなことはまだわかっていませんが、攻撃者が標的のiCloudアカウントを乗っ取り、何らかの方法でユーザーがログインできないようにした、というのが一般的な見方です。

詳しく知りたい方は、ThreatpostKaspersky Dailyの記事をご覧ください。このAppleユーザーを狙う脅威について簡単に説明すると、オーストラリアと周辺国のユーザーがどのアプリにもアクセスできなくなり、解除と引き換えに50~100ドルの支払いを要求される、という内容です。このランサムウェアが数日中、または数週間以内に、他の大陸に渡ったとしても不思議ではありません。

この件については先日書いたばかりですが、Kaspersky Labのエキスパート、クリスチャン・フンク(Christian Funk)のアドバイスを、ここに再掲します。

  1. Apple IDを作成する際は、メールアドレスとは異なるユーザー名を設定する。こうすることで、攻撃者にユーザー名を推測されにくくなる。攻撃者はパスワードを推測して最終的にアカウントを乗っ取るために、ユーザー名を推測する必要がある。
  2. アカウントの復旧のために、秘密の質問と答えを設定しておく。さらに言えば、2段階認証(下のビデオを参照)も設定する必要がある。
  3. フィッシング攻撃に注意する。リンクをクリックしてアクセスしたWebサイトの情報入力フィールドには、絶対にパスワードを入力しない。ブラウザーのアドレスバーにURLを入力してアクセスし、パスワードを入力すること。また、強力なパスワードを使用すること。「iCloudの復旧に使うメールアカウントが乗っ取られるとiCloudアカウント自体も乗っ取られてしまう」ことを常に念頭に。
  4. デバイスのロックを解除してもらうためにお金を払わない。使える限りのサービスを利用する。まずはiForgotを使ってパスワードのリセットを試す。うまくいかない場合は、Appleサポートに問い合わせる。最悪の場合、iPhone内のデータを消去するか復元しなければならないこともある。その方法については、上のAppleサポートのリンク先を参照。

ハイブリッド型のマルウェア

マルウェアのサブカテゴリにクライムウェアというものがあり、犯罪者の地下世界で開発されて売りに出されています(基本的には正規のソフトウェアビジネスを模倣しています)。サイバー犯罪者が、オンラインバンキングの認証情報を盗むマルウェアが欲しいときは、ハッキングフォーラムに行って、こうしたクライムウェアキットを購入します。クライムウェアキットの人気は非常に高く、その理由の1つとして、技術に関する知識がほとんどない犯罪者や、何の技術もない犯罪者でも、標的型のマルウェア攻撃を実行できることが挙げられます。

特に有名なクライムウェアキットはZeusとCarberpの2つです。Zeusはカスタマイズ性が非常に高いものの、主にさまざまなタイプのログイン情報を盗むために使用されています。一方Carberpは、基本的な機能は同じですが、Zeusにない機能がいくつもあります。この2つがバンキング型トロイの木馬として使用されたケースについてはたくさんの記事を書いていますので、少し興味がある人は読んでみてください。

リサーチャーは先ごろ、ZeusとCarberpの長所を組み合わせたハイブリッド型のトロイの木馬を発見しました

が、本題はここからです。リーサーチャーは先ごろ、ZeusとCarberpの長所を組み合わせたハイブリッド型のトロイの木馬を発見しました。最近のマルウェア作成者は、マルウェアを犬のように品種改良しており、目立った機能を次々に組み合わせて、特に効果的な変種を開発しようとしています。そのため、今回のトロイの木馬が特に珍しいというわけではありません。しかし、このニュースには興味深い点が2つあります。まず、ZeusとCarberpは一時期、最も多く利用されていたマルウェアでした。また、CarberbもZeusも、かつては有料バージョンだけが提供されていたクライムウェアキットであり、しかも高価でした。その後どちらもソースコードが流出し、基本的に誰でも無料で使えるようになっています。したがって、この新種のマルウェアZberpは、2つのオープンソースマルウェアのコードベースを掛け合わせたものということになります。

Spotifyの情報漏洩

この最後のニュースは、ちょっとした事件といったところですが、話題が少ない週には小さなニュースもお伝えします。人気の定額音楽サービスSpotifyは、間もなくAndroidアプリのユーザーに対し、アプリを最新のバージョンに更新するよう依頼することになります。というのも、何者かが同社のシステムに不正にアクセスしたからです。一部のユーザーはパスワードの変更を求められるでしょう。

またSpotifyは、データにアクセスされた顧客は1人しか確認されていないとしています。同社によれば、この顧客には連絡済みで、お金やパスワードに関する情報は盗まれていないとのことです。

SpotifyアプリをAndroidデバイスで使っている人は、必ずGoogle Playストアにアクセスして最新のバージョンをダウンロードしましょう。万が一のために、パスワードを変更しておくのもいいかもしれません。

今後警戒が必要

実は、先週の最も重要なニュースをお伝えしていませんでした。我々の力が及ぶ範囲を少し超えていると思うからです。とはいえ、TrueCryptというオープンソースの暗号化サービスが先日、自社Webサイトに不吉なメッセージを掲載し、このサービスは安全でなく、これ以上の開発は今後行われないとユーザーに警告しました。

さらに、何が起きているかについての説明がまったくありませんでした。憶測や陰謀説が広がっています。現時点でこのTrueCryptのケースは謎に包まれており、今後注視していく必要があります。