こんにちは。サイバーブリッジ の久保田です。

先日、拡張子 “.iqy” ファイルとは?日本語マルウェアスパムを初確認で触れた「URSNIF(アースニフ)」についてお話したいと思います。

目次

URSNIFとは?

2014年12月以降、米国のユーザへの感染や、英国内での感染が確認さた「URSNIF」は、他の不正プログラム(バックドア型やファイル感染型)からさまざまな機能を採用する情報窃取型不正プログラムとして知られています。

さまざまなタイプの不正プログラムの機能を採用する中、「URSNIF」の不正活動として注目すべき機能は、以下のとおりです。

  • ファイル感染
  • 特定のプロセスへコードの挿入
  • アクティブなブラウザ上でAPIをフック
  • ブラウザ上での活動のスクリーンショット取得
  • バックドア活動(不正リモートユーザのコマンドを実行)

新たに確認される「URSNIF」の亜種が増加する中、採用される不正機能の数も同様の傾向を示しています。

この点からも、サイバー犯罪者が被害の拡大を狙い、不正プログラムの仕様や機能へ調整を施していることが伺えます。

URSNIFの侵入方法

「URSNIF」の亜種は、多くの場合、他の不正プログラムによってリモートサイトからダウンロードされるスパムメールを介してパソコンに侵入します。

加えて、リムーバブルドライブやネットワーク共有を介して他のパソコンへ拡散する亜種も確認されています

URSNIFに感染すると・・・

「URSNIF」の感染活動は亜種によって異なります。典型的な感染活動は、以下のとおりです。

  • パソコンに侵入すると、「URSNIF」の亜種が自身のコピーを作成する
  • パソコンの起動時に自動実行するようレジストリ値を作成する
  • “explorer.exe”や、 “smss.exe”、”csrss.exe” などの特定のプロセスへ自身を挿入する
  • “.PDF” や ”.EXE” などの特定のファイルタイプや拡張子のファイルを検索し、それらへファイル感染する
  • 感染したパソコンからシステム情報を収集する。特にデジタル認証、パソコン名、プロセス、特定のレジストリの内容、cookieやドライバの情報等を窃取。ブラウザ上での活動のスクリーンショットを取得する場合もある
  • C&Cサーバと通信し、窃取した情報の送信したり、不正リモートユーザからのコマンドを実行したりする場合もある

URSNIFに感染した場合の被害

「URSNIF」の情報窃取機能により、ユーザは、ネットバンキングのアカウント認証情報など、個人情報盗難の被害に見舞われます。

また、ユーザの活動を監視するため、アクティブなブラウザ上でさまざまな実行ファイルやAPIをフックします。

この手法により、ブラウザの使用中に送受信される情報の傍受や窃取が可能になります。

こうした活動により、ユーザは金銭的損失を被り、窃取された金銭は、サイバー犯罪活動の資金源となる可能性もあります。

ブラウザ上での活動のスクリーンショットも取得され、ユーザのプライバシーが侵害されます。取得されたスクリーンショットには、ユーザが誰とも共有したくないプラベートな詳細や行動が含まれている場合もありえます。結果、ユーザのプライバシーが損なわれたり、恐喝の材料に悪用される恐れもあります。

引き続きURSNIFの脅威には注意が必要

「URSNIF」は、複数の情報窃取機能を備えて多様化しているだけではなく、検出回避のためにファイル感染活動も駆使するため、注意が必要です。

実際、「URSNIF」の亜種は、他の不正プログラムの機能を採用して多様な形式で登場し、ファイル感染の手法もさまざまであることから、「ポリモーフィック型の特徴を備えている」とさえ言えます。

こうした特徴のため、今後登場する亜種は、それぞれが大きく異なり、感染の時点で従来のセキュリティ対策では検知されず、亜種ごとに全く別の検出対応が必要となる可能性もあります。

2014年末に確認された「PE_URSNIF」の亜種も、検出回避のために独特のファイル感染手法を備えていました。

この場合、PDFファイルが利用されました。

侵入後、この亜種は、パソコン内で確認したPDFファイルへ自身および自身のコピーを埋め込みます。このため、偽装されたこの亜種をユーザが実行した際、PDFファイルも同時に開かれ、この亜種自体の起動が隠ぺいされます。

PDFファイルの方は、直接的なファイル感染の被害は受けず、不正プログラムに利用されるだけのようです。

このように「URSNIF」の背後のサイバー犯罪者は、不正プログラムの作成に際して新たな機能を追加し続けています。こうした事実からも、「URSNIF」は、今なおエンドユーザを狙う脅威であり、厳重な注意が必要となります。

URSNIFの脅威から守るために私たちができることは何か?

以下の注意事項に従って、ご使用のPC端末を守ることができます。

  • いかなるリムーバブルドライブも感染源となる可能性があると認識すること。
  • 信頼できる入手先からのリムーバブルドライブであっても、セキュリティ対策をインストールしていないパソコンへは接続しないこと。
  • 不審なEメールはすべて削除すること。特にリンクや添付ファイルのあるEメールは十分注意し、不審な場合は開封せずに削除することです。
  • スパム攻撃や他のソーシャルエンジニアリング悪用への対策を含む、総合的なセキュリティ対策製品をインストールして下さい。これにより、不正なEメールや添付ファイルを誤って開封することを防ぎます。
  • 「URSNIF」に感染した疑いがある場合、感染していない別のパソコンから速やかにネットバンキング口座のパスワードを変更してください。そして直ちに銀行へ電話連絡してください。これにより、銀行側は、該当口座に関連する不審な取引への警戒を強化できます。感染パソコンからアクセスした可能性のあるすべての口座に対しても、同様の対策を行ってください。

上記の対策に加え、IT管理者の場合は、ネットワーク共有が「URSNIF」の感染経路の1つであることから、この設定も正しく行う必要があります。

例えば、パソコンがネットワーク内で同一チャネルのアクセスを構成しないようにします。

また、ネットワーク内のアクセスは、「読み書き(read-write)」権限ではなく、「読み取りのみ(read only)」に設定してください。