Windows 7以前のユーザーは要警戒――偽メールから感染を拡大させる「Hancitorマルスパム攻撃」とは:最終的にはバンキング型トロイの木馬として機能
Palo Alto Networksは、Windows OSに感染するマルウェア「Hancitor」について注意を促している。「Windows Defender」を搭載せず、ウイルス対策機能が無効にされているWindows 7以前のOSを狙う傾向にあるという。同社は、攻撃者による手法が巧妙化していることから、セキュリティ対策の徹底を呼び掛けている。
Palo Alto Networksは2018年2月8日、同社の公式ブログで、「Hancitor」や「Chanitor」「Tordal」と呼ばれるマルウェアについて注意を促した。Windows 10では標準で有効になっている「Windows Defender」は、Hancitorを容易に検出するため、同社は、ウイルス対策機能が無効になっているWindows 7以前のユーザーに注意を呼び掛けている。
Hancitorは、Microsoft Office文書を介してWindowsに感染するマルウェア。ほとんどの場合、バンキング型トロイの木馬として機能する。従来は、「HancitorをインストールするマクロをWord文書に組み込み、電子メールに添付する」攻撃が一般的だった。最近は新たに「同様のWord文書をホスティングする配信サーバへ誘導するリンクを電子メールに埋め込む」攻撃が、電子メールのフィルタリング機能や、ウイルス対策ソフトによる添付ファイルのスキャン機能をかいくぐっているという。
攻撃者は、平日を中心に、Hancitorを含んだ電子メールを毎月数百件送信している。新たな手法は、マルウェアに感染したWebサーバやホスティング業者の不正アカウントを利用し、攻撃用の配信サーバをさまざまな地域に設置。botネット経由で「請求書」や「宅配業者の配送通知」など、実在の企業を装った攻撃用電子メールを大量に送りつける。受信者が電子メールに埋め込まれたリンクをクリックすれば、Word文書がPCにダウンロードされ、Hancitorがインストールされる。
Palo Alto Networksの解析によれば、攻撃者が利用したWebサーバが所属するドメインのほぼ全てで、「Pure-FTPd」または「ProFTPd」(いずれもUNIX/Linux向けのFTPサーバ)が実行されていた。こうした手法の他、2017年の一時期には、Windowsのアプリケーション間連携機構「DDE(Dynamic Data Exchange)」を利用した攻撃も確認されたという。
Palo Alto Networksは、「ホスティング業者の悪用による活動期間の長さ」「脆弱(ぜいじゃく)性が残ったサーバが世界中に存在する点」「攻撃者がHancitorの配信手法を微調整している点」などを挙げ、「セキュリティのベストプラクティスを無視し、古いバージョンのWindowsを実行している企業が被害者になっている」として、厳重な注意を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
マルウェアを防ぐには出入口対策から――複数のセキュリティ技術で多層防御する
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
Windows 10に組み込まれた多層かつ高度なマルウェア対策機能
Windowsのセキュリティ機能は、バージョンを経るごとに強化されてきました。「マルウェア対策」という点に絞っても、ユーザーには見えないWindowsのコア部分から、ユーザーと対話する機能まで、さまざまなセキュリティ機能を備えています。最新のWindows 10、特にEnterpriseエディションは最高レベルのマルウェア対策機能を提供します。
リクルートのCSIRTが、マルウェア対策の一部を内製化した理由
本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。