2023年度版最新のマルウェア情報

2023年になり、新たな報告の多かったマルウェアをご紹介いたします。

まず、最新のマルウェアではなく、2017年からあたりから相変わらず猛威をふるっているマルウェアに『Balada Injector』があります。

Sucuriの2022年のウェブサイト脅威調査レポートによると、Balada Injectorは日本のSEOスパムと並んで、脆弱なウェブサイトを対象にした主要な3つのマルウェアキャンペーンの一つです。このキャンペーンは、2017年以降、世界中で約100万のWordPressサイトに影響を与え、主に偽の技術サポートページや詐欺的な宝くじの当選案内、プッシュ通知の詐欺へのリダイレクトを目的としています。このキャンペーンは、さまざまな方法で脆弱性を悪用し、データベースの資格情報などの機密情報を盗み出すことを目指しています。

最新のiPhoneやiPadに当選したと表示されているものから高額の宝くじに当選した、或いはサイトがウイルスに感染したと偽のサポートサイトに誘導されるなど内容は様々ですが、日本語で表示されるのが厄介です。特にサイトの運営者やサイトを閲覧した人がマルウェアだと気付かず、偽のサポートセンターにアクセスする高額な復旧料金を要求されますので絶対にアクセスするのは避けてください。特に口座番号やクレジットカードの暗証番号などを入力するのは厳禁です。

このBalada Injectorは相変わらずですが、2023年になってよくご相談を受けるようになったマルウェアに『Phishing Scam Using Fake CVE-2023-45124』があります。

Phishing Scam Using Fake CVE-2023-45124とは

WordPressチームからの警告と称してリモートコード実行の脆弱性について警告し、偽の「パッチ」プラグインのインストールを促すメール詐欺です。偽のCVE-2023-45124を使ったフィッシング詐欺では、攻撃者が「wpress-security-wordpress」という名前のプラグインとして偽装しています。このプラグインは、悪意のある管理者ユーザー「wpsecuritypatch」をWordPressサイトに隠密に追加し、そのURLと生成されたパスワードをコマンド＆コントロールドメインに送り、攻撃者にアクセス権を確立させます​​。どのような経緯でメールアドレスが届くのかは不明です。

（※パッチとは、ソフトウェアやオペレーティングシステムの既存のバージョンに対して行われるアップデートや修正のことを指します。パッチは通常、以下のような目的で使用されます）

つまり、このメールが届いた時点ではサイトに異常はないといえます。何故ならサイトのハッキングに成功しているのであればわざわざメールを送らず、不正なプログラムをサイトのオーナーに告知せずひっそりとやれば済むことだからです。恐らく、偽のCVE-2023-45124を利用したフィッシング詐欺のメールが届く原因は以下のようなものが考えられます。

メールアドレスの露出：あなたのメールアドレスが何らかの方法でオンラインに露出している場合、スパマーや攻撃者がそれを見つけてターゲットリストに加えることがあります。特にお問い合わせフォームを利用せずメールアドレスを問い合わせ先に掲載していると大変危険です。

データ漏洩：過去にあなたが使用したサービスがデータ漏洩に遭った場合、その中に含まれていたメールアドレスが攻撃者の手に渡る可能性があります。

ランダムなターゲティング：攻撃者が無差別にメールアドレスを収集し、ランダムにフィッシングメールを送信する場合もあります。

第三者サービスの利用：あなたが登録した第三者サービスが不適切にメールアドレスを共有したり、セキュリティが甘いために漏洩したりする可能性があります。

ドメインからの自動生成：例えばあなたのサイトがhttps://www.●●●●●●●.co.jpだとします。このドメインに対してメールアドレスを作る場合、info@●●●●●●●.co.jpとする方が多くいらっしゃいます。これを逆手に取り、ドメイン名の前にinfo@を付けると高確率でメールアドレスが届いてしまいます。現実にそういう自動生成ソフトが存在します。WordPress救急隊の本業はサイトの制作です。当然ドメインの取得からメールアドレス作成、設定までを依頼されます。現在info@のメールアドレスを使うのは極力避けるようご案内しています。偽のCVE-2023-45124を利用したフィッシング詐欺のメールに限らずありとあらゆる詐欺メールやアダルトサイトやオンラインカジノに誘導するメールが届きます。一般的にinfo@を使う場合、会社のメインのメールアドレスになることが多いと思います。本当に用事があり、メールをしてくる方のメールが大量の迷惑メールに埋もれてしまったり、メーラーのセキュリティを強固にすると大切なメールが埋もれてしまうこともありますので、info@は使わず、honshaeigyobu1980@（本社営業部と会社設立年）など類推しにくい長めのメールアドレスを作ることをお勧めしています。

以前の攻撃の成果：以前に何らかのフィッシング攻撃に引っかかったことがある場合、攻撃者がその情報を再利用している可能性があります。

メールアドレスの管理は重要ですのでドメインと紐づいたinfo@やmail@など類推しやすいものは避け、日本語をローマ字にしたものが良いと思います、また、出来るだけメールアドレスをサイト上に公開するのはやめて、「Contact Form 7」などのお問い合わせフォームを利用するなどしてください。

偽のCVE-2023-45124で提供される「パッチ」をインストールしてしまうとどうなるのか？

偽のCVE-2023-45124を使ったフィッシング詐欺で提供される「パッチ」をインストールしてしまうと、以下のようなリスクや影響が生じる可能性があります。

マルウェアのインストール：この偽のパッチは実際にはマルウェアかトロイの木馬であり、あなたのシステムに悪意あるソフトウェアをインストールする可能性があります。

データの窃取：インストールされたマルウェアは、機密情報、個人情報、ログイン情報、金融情報などを盗み出すことができます。

リモートアクセスの許可：攻撃者があなたのコンピューターやネットワークにリモートからアクセスし、さらに制御するためのバックドアを設置する可能性があります。

システムの妨害：マルウェアはシステムの正常な動作を妨げ、パフォーマンスの低下やシステムのクラッシュを引き起こす可能性があります。

ランサムウェアのリスク：最悪の場合、ランサムウェアに感染し、ファイルが暗号化されてしまい、身代金を要求される可能性もあります。

セキュリティ侵害の拡大：感染したシステムが他のシステムやネットワークにも影響を与え、セキュリティ侵害が広がる可能性があります。

このようなリスクを避けるためには、不審なメールや通知には注意し、アップデートやパッチは常に公式のソースからのみダウンロードすることが重要です。また、セキュリティソフトウェアを最新の状態に保ち、定期的なバックアップを取ることで、万が一の際の影響を最小限に抑えることができます。

偽のCVE-2023-45124で提供される「パッチ」をインストールして際の対処方法

万が一、偽のパッチやマルウェアをインストールしてしまった場合、迅速かつ効果的な対応が必要です。まず、感染したコンピューターをインターネットやその他のネットワークから切断し、マルウェアの拡散を防ぎます。次に、コンピューターを安全モードで起動し、不要なプログラムやサービスの実行を防止します。これにより、マルウェアの活動を制限できます。この際にセキュリティソフトがパソコン内に入っているのは必須です。Windows Defenderを入れている方も多いと思われますが、Windows Defenderは、基本的なセキュリティ保護を提供するものの、高度な脅威に対する保護が不足していることが指摘されています。特に、ゼロデイ攻撃や高度なマルウェアに対する検出率が他の専門的なアンチウイルスソフトウェアに比べて低い可能性があります。また、ユーザーインターフェースが直感的でなく、詳細なカスタマイズや設定オプションが限られている点も欠点として挙げられます。これらの理由から、より高度なセキュリティニーズに対応するためには、追加のアンチウイルスソフトウェアの導入が推奨されることがあります。ESETやノートンセキュリティ、ウイルスバスターなど有料のものの方がやはり安全です。

その後、信頼できるアンチウイルスソフトウェアを使用してシステム全体をスキャンし、検出されたマルウェアを削除します。可能であれば、システムリストアやバックアップからシステムを感染前の状態に復元することも検討します。さらに、システムや重要なアカウントのパスワードを変更することで、アクセスの侵害を防ぎます。

もし自身で問題を解決できない場合、IT専門家や弊社のようなセキュリティのプロフェッショナルに相談することが重要です。また、この経験を教訓に、セキュリティ対策を見直し、今後のリスクを減らすための措置を講じることが大切です。最後に、どのデータやシステムが影響を受けたかを評価し、必要に応じて関係者や顧客に通知することも重要です。これらの対応を通じて、マルウェアの影響を最小限に抑え、システムのセキュリティを回復することができます。