1月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。しばらくなりを潜めていたAppleを騙るメールが再び拡がりを見せている。最近のフィッシングメールはどんどん巧妙になっており、慣れた人でも真偽の区別が付きにくい場合も。メール内のURLをクリックする前に、Appleの公式サイトなどで情報収集しよう。

iPhoneやMacをクラッシュさせる「chaiOS」

iPhoneやMacのiMessageをクラッシュさせる「chaiOS」が確認されている。これはソフト開発者のAbraham Masri氏によって命名されたもの。過去にiMessageをクラッシュさせる「Effective Power」と呼ばれる不具合があったが、同じようにiMessageをクラッシュさせる機能がある。

chaiOSは、細工したデータを送信することにより、受信者のアプリを繰り返しクラッシュさせる「メッセージ爆弾」だ。OS自体も異常終了することがあるという。iOSとmacOSに影響を与えるが、iOSはiOS 11.2.5 beta 6でこの不具合に対処済み。iOS 11.2.5、macOS High Sierra 10.13.3、watchOS 4.2.2、tvOS 11.2.5の修正プログラムはリリース予定となっている。

もしこの現象を確認したら、iMessageアプリを終了後に再起動して会話全体を削除することで対処できる。

Facebookの情報を窃取する不正アプリ「GHOSTTEAM」

Facebookアカウントの認証情報を窃取しようとするAndroid端末向け不正アプリ「GHOSTTEAM」が確認されている。

GHOSTTEAMは、懐中電灯 / QRコードリーダー / 方位計など、多くのアプリに偽装。ソーシャルメディア動画のダウンローダに偽装しているものもある。現在のところ、Google Play上で確認されているのは53個。この不正アプリの多くは、2017年4月のほぼ同じ時期にまとめて公開されていた。

感染すると、ユーザーがFacebookを開いたときにアカウントの認証を要求するダイアログを表示する。そしてバックグラウンドで不正な動作が発生し、ログインに使ったメールアドレスとパスワードがC&Cサーバに送信される。

そのほかにも、広告を強引に表示する機能も備わっており、バックグラウンドで広告を表示させることによって、端末がスリープ状態になるのを阻害。ユーザーが端末を操作すると、ホーム画面に広告を全画面表示する。

今のところは、Facebookの認証情報が悪用された事例は確認されていないものの、今後、攻撃に使用される可能性は十分あり得る。アプリインストール時の挙動に注意したり、セキュリティソフトを導入したりといった自衛策を取りたい。

Apple IDのセキュリティ質問に関するフィッシングメール

Appleを騙るフィッシングメールが再び拡散中。メールの件名は「あなたのApple IDのセキュリティ質問を再設定してください。」など。

こういったメールが、1月22日ごろから18万通以上も確認されているという。Appleを騙るメールは定期的に拡散を繰り返すので常に注意が必要だ。送信者情報も偽装されているので、間違えてクリックしてしまいやすい。

手口は、Apple IDがiCloudのサインインに利用されたので確認が必要……といったもの。受信者の不安を煽ってフィッシングサイトに誘導しようとする。とにかく、メール内のURLはクリックせず、アップルの公式サイトで情報を調べてから行動するようにしてほしい。

仮想通貨発掘ソフト「Claymore」を乗っ取るウイルス

1月26日の時点で、仮想通貨発掘ソフト「Claymore」を乗っ取る「Satori(サトリ)」の亜種が確認されている。端末所有者の発掘設定を書き換えることで、発掘した仮想通貨を奪う。

この亜種には新しい攻撃コードが追加されており、3333番ポートをスキャンして「Claymore」への攻撃を行う。脆弱性を突いて機器にアクセスし、発掘された仮想通貨「Ether(ETH)」が攻撃者のウォレットに入るように、発掘設定を書き換える。

標的型攻撃キャンペーン「Taidoor」の活動が日本で活発化

1月26日の時点で「Taidoor」の活動が日本で活発化しているようだ。Taidoorは、2009年ごろから確認されている標的型攻撃キャンペーン。これまでは台湾の政府機関を標的としていたが、2017年末ごろから、日本の組織を標的とした活動が確認された。

主な被害は、標的型メールを侵入口としてバックドアを感染させていくもの。感染後は、ハッキングツールを用いた認証情報の窃取なども確認されている。不正プログラムのダウンロード元や窃取した情報のアップロード先として、ソフト開発共有Webサービス「GitHub」や、クラウドストレージサービス「Dropbox」などが利用されることもある。こうした正規サイトを利用することで、セキュリティ機能の検知・ブロックを回避する思惑があると考えられている。

やはり、不正ドキュメントを添付した標的型メール攻撃による感染が多い。メールの添付ファイルは、必ずセキュリティソフトでチェックしてから開くようにすることだ(それでも、ゼロデイ攻撃などは防げない場合がある)。

「カラーミーショップ」における情報流出

GMOペパボは1月26日、同社が運営するネットショップ運営サービス「カラーミーショップ」にて、第三者による不正アクセスが確認されたと発表した。流出したのは、本サービスを利用してネットショップを運営する一部のショップオーナー情報と、サイトを利用して商品を購入した一部ユーザーのクレジットカード情報など。流出の規模としては、数千件~約8万件と、かなり大きい。

情報の流出は1月7日に発生。独自アプリの機能を悪用した不正アクセスによって、情報が流出した可能性があることが判明した。その後、外部のセキュリティ専門機関に調査を依頼したところ、閲覧された可能性のある情報の中に、一部のショップオーナー、および購入者のクレジットカード情報が含まれていたことが分かった。

現在のところ、情報流出による不正利用など二次被害の報告は受けていないとのこと。詳細はGMOペパボのWebサイトで確認していただきたい。