サイバー脅威に関するAcronis CPOCの最新情報: 2021年1月25日の週

Cyberthreat update from Acronis CPOCs: Week of January 25, 2021

アクロニスでは常に、お客様のデータに対する危険を監視し、新たに発見された脆弱性への修正プログラムを適用し、お客様が安全でいられるように、警告や推奨事項を発しています。す私たちのグローバルネットワークであるAcronis Cyber Protectionオペレーションセンター(CPOC)は、最新のサイバー脅威をプロアクティブに検知し、それらを防ぐために、24時間体制で監視をしています。

この取り組みの一環として、大企業へのランサムウェア攻撃や、ビジネスアプリケーションのセキュリティ上の変更など、デジタル環境における最新の脅威情報を動画でお知らせする活動を行っています。最新のニュース速報と分析の一部を以下でご紹介します。
 

macOSのクリプトマイナー、5年間検知を逃れる

macOSのマルウェア「OSAMiner」は、何年も前から既知の存在ですが、このたび、5年ものあいだ未検知の状態で拡散していた可能性がある新たなバージョンが発見されました。

この新しい亜種は、とある実行専用のAppleScriptを別のスクリプトの内部に埋め込むことで、検知から逃れていたようです。このスクリプトには人間が読めるコードは含まれていないため、逆コンパイルして分析することが非常に難しく、埋め込むという行為がそれをより一層困難なものにしていました。

Apple社は2019年だけで1,800万台以上ものMacコンピュータを販売しました。つまり、このクリプトマイナーが検知されなかった年数の間、何千万台というコンピュータがクリプトマイナーに対する脆弱性を抱えた状態で放置されていたということです。クリプトマイナーは処理能力を消費し、システムに物理的な負荷を与え、電気代の上昇も引き起こし、最終的な収益の減少させる可能性があります。

macOS向けのAcronis Cyber Protectに含まれているActive Protection機能は、OSAMiner(バージョンの新旧は問わず)はもちろん、それ以外のマルウェアについても、システムに攻撃を仕掛ける前に阻止します。

ランサムウェアのDeroHE、IObitフォーラムユーザーを攻撃

先日、IObitの開発者フォーラムに登録しているメンバー全員に悪意のある電子メールが送られました。この電子メールには、元のフォーラムのWebサイト(forums.iobit.com)で配布されていた無料ソフトウェアの魅力的なオファーが含まれていました。このソフトウェアパッケージには正規のIObitライセンスマネージャーツールのほかに、「IObitUnlocker.dll」という未署名の悪意あるファイルが含まれていました。そして、このファイルに「DeroHE」というランサムウェアが含まれており、これが、単純なサプライチェーン攻撃の一部として、インストール時に実行されるという仕組みでした。

DeroHEは、検知をかいくぐるためにWindows Defenderに除外を追加し、その後、ユーザーの全てのファイルを暗号化します。犯人グループは、身代金として、IObitから65,000ドル、または被害者からそれぞれ125ドルを、新しい暗号通貨のDeroで支払うよう要求しています。

Acronis Cyber Protectは、あらゆるプロセスのデータアクセスの挙動を監視し、システムが暗号化される前に、既知のランサムウェアも未知のランサムウェアもブロックします。

クリプトマイナーのMrbMiner、何千ものサーバを感染させる

MSSQLサーバーを狙う新たなクリプトマイナーファミリー、MrbMinerが発見されました。

MrbMinerの手口は、特定のサーバーのパスワードに総当たり攻撃(ブルートフォースアタック)を仕掛けるというものです。成功すると、プロセスのハイジャックを開始して暗号通貨「Monero」のマイニングを行います。サイバーセキュリティの研究者がこのマルウェアを即座に追跡したところ、攻撃元のドメインのオーナーは、イランに拠点を置く正規のソフトウェア会社でした。仮想通貨市場が成長を続ける限り、クリプトジャッキングは絶えず進化し、リソースが盗み取られ続けることになります。クリプトジャック攻撃は昨年163 %増加し、テスラやスターバックスをはじめ、すべての企業の55 %が影響を受けました。Acronis Cyber Protectは、MrbMinerやLemon Duck、KingMinerなどのクリプトマイナーから狙われた場合でも、振る舞い検知を使用して、システムが停止される前にクリプトジャック攻撃を阻止します。

VLCメディアプレイヤー、リモートコード実行の脆弱性を修正

多くのユーザーに利用されているクロスプラットフォーム対応のVLCメディアプレイヤーのバージョン3.0.12には複数のセキュリティ修正が実装されており、そのなかにはアクティブユーザーと同じシステム権限で任意のコード実行ができる脆弱性に対するパッチも含まれています。

リモートコード実行(RCE)の脆弱性は、機密データの窃盗からマルウェアの実行やインストール、攻撃者によるシステム全体の乗っ取りにいたるまで、あらゆる犯罪につながるおそれがあります。被害者を騙すのに使用される手段としては、特別に作成されたメディアファイルがあり、脆弱性があるバージョンのVLC メディアプレイヤーでこのファイルを開けさせるというものです。このファイルは一見正規のファイルの姿をしており、また、VLCできちんと再生できることもありますが、バックグラウンドでは悪意のあるプロセスを実行しているのです。この脆弱性は、パッチがリリースされるまで、Linux、Mac、Windowsにインストールされている35億ものVCLメディアプレイヤーに存在しており、パッチが当たっていないクライアントには現在も残っています。Acronis Cyber Protectなら、脆弱性評価機能とパッチ管理機能が統合されており、ご利用のソフトウェアを常に最新の状態に保ちます。

1週間で2つの大きな地震がインドネシアを襲う

インドネシアは、付近にプレートが接しているため、比較的小さな地震が頻繁に起きていますが、1月初めに、マグニチュード6.2と7.0の大規模な地震が2回、相次いで発生しました。

マグニチュード6.2の地震に襲われたのはスラウェシ島で、84人が死亡し、約1,000人が負傷しました。4万人以上が避難を余儀なくされ、物的損害額は数百万ドルにのぼりました。それから1週間も経たないうちに、海底100 km近くの場所でマグニチュード7.0の地震が発生しました。最初の地震からの復興作業が進められている最中でしたが、幸いにも震源が深かったため、深刻な被害や津波の心配はありませんでした。

地震によってさらなる地震が引き起こされたり、インドネシアのような沿岸地域の場合、巨大な津波が発生したりすることは珍しいことではありません。Acronis Cyber Cloudなら、サーバーが停止したときでも、ディザスタリカバリ機能によってAcronis Cloudにフェイルオーバーして、数時間や数日ではなくわずか数分で通常のビジネス活動を再開することができます。

# # #

アクロニスのサイバーセキュリティエキスパートがお届けする新たなサイバー脅威に関する最新情報を確認するには、アクロニスのYouTubeチャンネルに登録してください。CPOCからの最新情報を受け取ることができます。