2月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。Android端末を狙ったマルウェアが増加傾向だ。注意すべきは、Google Playで配信されている正規アプリにも関わらず、マルウェアなどが仕込まれている場合があるということ。Google Playのアプリは、当然ながら不正プログラムのチェックがされているが、これをかいくぐる不正アプリがいくつも確認されている。
Android端末向け不正アプリ「AndroRAT」の亜種に注意
トレンドマイクロによると、Android端末をターゲットにした不正アプリ「AndroRAT」の亜種が確認された。この不正アプリは、2016年に公表された脆弱性を利用して端末をルート化する、いわゆる「Remote Access Tool(RAT)」。シェルコマンドの実行、Wi-Fiパスワードの収集、画面キャプチャといった不正活動のために利用されるという。
この亜種は「TrashCleaner」というアプリに偽装。不正なURLからのダウンロードで感染すると推測されている。最初に起動すると、中国語の計算機アプリをインストールするように誘導。同時に「TrashCleaner」のアイコンは画面から削除され、バックグラウンドでRATが有効化される。
Googleは2016年3月に、該当する脆弱性に対する更新プログラムを公開しているが、更新プログラムが配信されていない端末も多い。脆弱性が残っている端末は、「AndroRAT」亜種による影響を受ける可能性がある。
対策としては、サードパーティのアプリストアからのダウンロードをしないこと、Google Playで提供されるアプリ以外は使わないことなど。不正/迷惑アプリの検出や、不正/迷惑アプリに関連する不正Webサイトのブロックに対応した、セキュリティソフトの導入も有効だ。
また、Android端末の定期的なセキュリティ更新は、端末の提供ベンダーによって大きな違いがある。更新プログラムが提供されなくなっている端末は、買い換えを推奨したい。
Google Playをかいくぐる不正アプリに注意
2017年は、Google Playの正規アプリに偽装した多くのマルウェアが確認された。Google Playで提供されるアプリは、不正アプリであるかどうかを自動的に分析される。しかし、正規のアプリに不正行為をさせることで、検出機能をかいくぐっているものが依然として存在する。
例えば、2017年10月~11月に確認されたバンキングトロージャンは、そうした不正アプリの1つ。オンラインバンキングを狙うトロイの木馬を仕掛けてくる。また、侵入当初は無害でも、その後タイミングを見計らって不正活動を始める「マルチステージ」型のマルウェアも知っておきたい。
実際のところ、ユーザーがこのようなアプリを不正アプリと見極めるのは困難だが、できることは徹底しておきたいそれでもできることは徹底するべきだ。
まず、アプリのインストールはGoogle Playからだけにすること。ここで端末の管理者権限を要求してくる場合は警戒すること。もしマルウェアが潜んでいる場合、削除させないように権限を要求してくることがあるためだ。
インストールするアプリのユーザー数と、レビュー評価を確認するのもよいだろう。もし何かしらの被害に遭った人がいれば、その旨を書き込んでいることがあるからだ。気になったアプリを慌ててインストールせず、広く情報を集めることも大切である。
My Softbank IDの詐取を目的としたフィッシングメールについての注意喚起
2月27日の時点で、My Softbank IDの詐取を目的としたフィッシングメールが確認されている。このフィッシングメールは、クーポンを配布すると偽り、IDとパスワードの入力を求めてくる。
フィッシングサイトは現在も稼働中なので、もし表示させてしまったとしても、情報は絶対に入力しないこと。もし入力してしまった場合は、早急にパスワードを変更するよう注意喚起している。
バッファローの無線LANルータ「WXR-1900DHP2」に複数の脆弱性
バッファローは2月23日、無線LANルータ「WXR-1900DHP2」に複数の脆弱性があることをアナウンスした。影響を受けるのは、ファームウェア Ver.2.48以前。
脆弱性の内容は、認証回避、バッファオーバーフロー、OSコマンドインジェクションなどで、放置すると第三者により任意のコマンドを実行されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性がある。
対策はファームウェアのアップデートを行うこと。対策済みバージョンはVer.2.49以降となる。
ポルシェジャパン、顧客情報約28,000件が流出
ポルシェジャパンは2月26日、顧客情報の一部が流出したことを公開した。今回の流出は、同社が個人情報の管理を委託している委託先のサーバに対し、第三者が不正なアクセスを行ったことによるもの。
初動調査で、2018年1月23日~2月11日の間に複数回、第三者からの攻撃が確認されている。2018年1月22日以前においては、委託先にアクセス記録が保存されていないため未確認で、外部機関に依頼して調査中とのこと。
流出の可能性がある情報は、顧客情報の28,722件。2000年~2009年の間に同社のWebサイトを通じてカタログ請求をした顧客の電子メールアドレスが23,151件、2015年7月に同社が実施したキャンペーンに応募した人の電子メールアドレスが5,568件、そのほか3件となる。
なお、クレジットカードに関する情報、信用情報、ポルシェ製品、またはサービスに関する取引履歴は含まれていないとのこと。
memcachedのポート状態に注意
2018年2月21日ころから、インターネット定点観測システム(TSUBAME)の観測データなどによって、11211/udpポートへのアクセスが増加していることが確認されている。これは「memcached」に対して攻撃が行われている可能性が高い。
「memcached」は、分散型のメモリキャッシュシステム。memcachedバージョン1.2.7以降をデフォルト設定で利用していると、11211/tcpおよび、11211/udpのポートがアクセス可能な状態になっているケースがあるという。
これにより、攻撃の踏み台にされたり、memcachedが保持する情報へアクセスされる可能性がある。すでにmemcachedを踏み台として悪用したDDoS攻撃の報告があり、500Gbps以上のリフレクション攻撃も確認されている。
対策としては、memcachedへのアクセスに使うIPアドレスに対して公開を制限するなど、使用するポートを制限すること。なお、2月27日にリリースされたmemcachedバージョン1.5.6であれば、デフォルトの状態でも11211/udpは無効になっている。