検索エンジンを悪用して感染を狙う「CoinLoader」

2020年4月以降、サイバーリーズンが運営するグローバルSOC（GCOC）において「CoinLoader」を呼ばれるマルウェアをたびたび検知しています。このマルウェアは非常に手の込んだ感染手法を用いており、またダウンローダーとして他のマルウェアをダウンロード・感染させるケースが多いため、十分に警戒する必要があります。

サイバーリーズンが確認した典型的なCoinLoaderの攻撃パターンは、次の通りです。まず攻撃者は自身が設置したサイトか、もしくは不正に改ざんしたサイトにZIP形式のファイルを設置します。そしてSEO技術を用いて、検索エンジンで特定のキーワードが検索された際にこれらのサイトが上位に表示されるよう細工します。その結果、ユーザーが検索サイトからこれらのサイトにアクセスすると、あらかじめ設置してあったZIPファイルがユーザーの端末にダウンロードされます。

このZIPファイルの中には、実行形式のセットアップファイルと幾つかのDLLファイルが含まれています。このセットアップファイル自体は正規の無害なファイルなのですが、ユーザーがこれを実行するとその過程において不正なDLLを別途読み込んで実行し、さらにそこから別のマルウェアをドロップして攻撃を仕掛けます。

このように、正規の実行形式ファイルから不正なDLLをロードして攻撃する手口のことを「DLLハイジャック」と呼びます。マルウェアは正規のプログラムのプロセスで実行されるため、セキュリティソフトによる検知を困難なものにしています。なお弊社のGSOCで確認した事象では、最終的にコインマイナーがドロップされて不正に実行されたケースや、Socelarsをはじめとする情報窃取型のマルウェアやアドウェアなどの実行を確認しています。

業務に関係ないサイトへのアクセス禁止を徹底

このような手口による攻撃の被害を未然に防ぐには、まずは業務に関係ないWebサイトへのアクセスを行わないよう社内で周知徹底する必要があります。前述のようにCoinLoaderは多くの場合、不正サイトや改ざんサイトを通じて感染することが確認されています。従って、まずはこうしたサイトへ従業員が決してアクセスしないよう注意喚起を行うことが対策への第一歩となります。

ただし、どれだけ注意喚起を行ったとしても、こうしたサイトへのアクセスを100％完ぺきに防ぐことは困難です。そのため、万が一従業員が不審なWEBサイトへアクセスしてしまった際の社内の連絡経路をあらかじめ定め、これを広く周知しておくことが大切です。加えて、もしCoinLoaderをダウンロードしてしまったとしても即座にこれを検知・除去できるよう、セキュリティソフトを常に最新の状態にしておくことも大事です。

なお、CoinLoaderは不正サイトや改ざんサイト経由の感染のほか、海賊版ソフトウエアの中に潜んでいることもあります。そのため、海賊版ソフトウェアの利用禁止を徹底することも大切です。具体的には、「社内ルールで利用が認められていないソフトウェアを無断でダウンロード・インストールしない」「業務で利用するソフトウェアは必ず正規の購入プロセスを経る」といったルールを社内で徹底させる必要があるでしょう。

万が一のCoinLoader感染に備えてEDRの導入を

とはいえ、たとえこれらの対策を徹底したとしても、CoinLoaderのような最新の攻撃は手を変え品を変え、常に新たな手口を考案しては侵入を試みてきます。今後は大量の亜種が発生する可能性もあり、残念ながら感染を100％完ぺきに防ぐ方法は今のところありません。そこで大切なのが、不幸にもCoinLoaderに感染してしまった場合に備え、感染をいち早く検知して対策を打てる体制を整えておくことです。

ここで大いに役立つのが、「EDR（Endpoint Detection and Response）」です。EDRはPCやサーバといったエンドポイント端末上で取得されたログデータをリアルタイムで収集・分析し、もし不審な動きが見付かった際は即座にアラートを発生するというものです。CoinLoaderのようなマルウェアは感染後、何段階にも及ぶプロセスを経てようやく最終的に攻撃や情報窃取にまで至ります。EDRはさまざまなエンドポイント端末から収集したログを互いに突き合わせて相関分析を行うことで、一見すると正常な挙動と見分けがつかないようなマルウェアの不審な挙動を確実に抽出し、最終的な被害に至る前にその存在をあぶり出すことができます。

ちなみに弊社でも「Cybereason EDR」と呼ばれるEDR製品を提供しており、業界トップクラスのシェアを誇る製品として世界中の数多くの企業・組織で利用されています。また製品の提供のみならず、その運用および監視作業を代行するMDR（Managed Detection and Response）サービスや、お客様環境のセキュリティ状況を可視化するヘルスチェックやアセスメントのサービスなども提供しています。セキュリティ製品の導入に踏み切る前に、まずはこうしたサービスを利用して自社のセキュリティ対策の現状やそのウィークポイントを正確に把握しておけば、過不足ないセキュリティ投資を実現できるはずです。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/