6月18日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。6月18日の朝に発生した大阪北部地震、災害情報の混乱に乗じて、関連情報に見せかけたマルウェアなどの攻撃や、支援に見せかけたフィッシングメールなどが送られている。おいしい話が来たらまず「罠」を疑ってほしい。

脆弱性攻撃ツール「Rig EK」が仮想通貨発掘マルウェアを拡散

6月18日の時点で、脆弱性攻撃ツール「Rig Exploit Kit」(以下、Rig EK)を用いた攻撃が確認されている。この脆弱性は、Windows 7以降のWindows OSで「遠隔でのコード実行」が可能になるもの。

「Rig EK」が利用する脆弱性攻撃コードは、概念実証(Proof of Concept)を流用したものと見られ、Internet ExplorerとMicrosoft Office文書などに対して有効な攻撃手段となっている。

感染は不正広告を起点として行われる。不正広告に隠ぺいしたiframeが「Rig EK」のランディングページにアクセスし、ランディングページに含まれたシェルコードを遠隔から実行。第2段階はマルウェアをダウンロードし、最終段階で仮想通貨「Monero」を発掘するマルウェアをダウンロードする。

有効な対策手段は、個人レベルでは定期的な更新プログラムの適用を行い脆弱性をなくすこと。法人レベルでは、ネットワークを通過するトラフィックの監視のほか、スキャンを行う環境を整え、侵入を検知/防御するシステムを構築することなど。古いバージョンのソフトの改善、無効化も有効だ。

イープラス、クレジットカード決済の二重請求

イープラスは6月14日、決済代行を委託しているソニーペイメントサービスでのカード決済において、二重でカード売上情報が処理されていることを公開した。

2018年6月7日に、ソニーペイメントサービスから送られた決済データを取り込む際に二重処理を行ってしまい、各カード会社にそのデータを送付。カード履歴を確認するWebに同じ請求が2つ表示されてしまうといったもの。

対象期間は2018年5月20日~2018年6月4日までで、対象者数は16,390名。このうちデビットカードを使用している場合は、チケット代金が二重で引き落とされているという。こちらの対象者数は383名。

対象となるサービスと公演は以下の通り。イープラスがチケット販売を受託しているサービス、メディア先行、ファンクラブ受付など、全部で40興行が対象。

  • アメリカン・エキスプレス チケット・アクセス
  • H.I.P.プラチナム会員
  • MBS Webチケット
  • カジモト・イープラス
  • CREATIVEMAN MEMBERS 3A
  • GREENS MEMBERS(g-mems)
  • サモンプロモーション会員
  • 清水音泉(湯仲間)
  • ジャイアンツ公式ファンクラブ CLUB G-Po
  • SMASH friends
  • チケットファン
  • PARCO STAGE PLAY会員

現在は各カード会社に修正データを送り、重複した売上情報の取消処理を実施中とのこと。

CSVファイルを用いた標的型攻撃に注意

6月21日の時点で、CSVファイルを用いる標的型攻撃が確認されている。この攻撃は2018年第1四半期から確認されているもので、4月以降から同様の手法を用いた攻撃が発生している。厄介なところは、攻撃はCSVファイルによるものだけでなく、攻撃対象の環境にあわせて複数の手法を用いていることだ。

攻撃者は「ChessMaster」と呼ばれるグループで、別名として「APT 10」「menuPass」「StonePanda」「Red Apollo」「CVNX」「POTASSIUM」などと呼ばれることもある。「ChessMaster」は、リモートアクセスツールなどのマルウェアへの感染を狙ったり、細工した文書ファイルをメールで送るなどの攻撃を展開している。

主なターゲットは、政府機関、学術研究者、報道機関など。機密情報の窃取が目的と見られている。個人レベルで攻撃される可能性は低いが、警戒しておくに越したことはない。

MUFGカードをかたるフィッシングメールに注意

6月21日の時点で、MUFGカードを騙るフィッシングメールが確認されている。メールの件名は「MUFG カードをかたるフィッシングメールが出回っています。」など。メール内に記載されているリンク先に飛ぶと、類似のフィッシングサイトに誘導されてしまう。

該当するメール、それに類するメールを受信したら、メール内のリンクは決してクリックせず、MUFGの公式サイトで情報をチェックしてほしい。