- 借りたUSBメモリの中にある、一見ふつうのショートカットが実は「マルウェア」のスイッチになるリスクがあります。
- USBメモリは、ファイルの保存や共有に便利ですが、サイバー攻撃の温床にもなります。
- 「UNC4990」というサイバー犯罪組織が、「LNKファイル」や「隠しフォルダ」の仕組みを悪用して、不正なコードを実行するUSBメモリを使っていた事例を紹介します。
- ちなみに、一般利用者の場合、危険なUSBメモリの入手経路は、たいていはうっかりマルウェア感染している知り合いです。
手口そのものは、スクリプトを実行させて、マルウェアをダウンロードさせるものだね。
スクリプトの隠し方が興味深いけど。
1. 個人情報や金銭を狙う新しい攻撃手法
「UNC4990」は、2020年ごろから活動しているサイバー犯罪組織です。
主にイタリアの企業や組織を標的に攻撃しているようです。
細工したUSBメモリを使って、マルウェアを拡散していました1。
「UNC」とはサイバーセキュリティ分野で、特定されていないサイバー脅威アクターや攻撃グループに一時的に与えられる「Uncategorized」の略称です。
この識別子は、セキュリティ研究者が未分類の攻撃活動を特定し、分析する際に役立ちます。識別子に続く数字(例:UNC4990)は、その脅威やキャンペーンを明確に区別するために割り当てられます。
2. 「UNC4990」による手口
- 「UNC4990」は、USBメモリに保存されたLNKファイルを通じて初期感染を試みました。
- このファイルを開くと、隠されたPowerShellスクリプトが実行され、最終的には「EMPTYSPACE」と呼ばれるマルウェアローダーがダウンロードされます。
- このローダーからさらに、金銭窃取や情報収集を目的としたバックドア型マルウェアが配布されることがあります。
2-1. 初期感染:LNKファイル
まず、サイバー犯罪者はUSBメモリに特殊なLNKファイルを仕込みます。
このファイルは、見た目はUSBメモリそのもののショートカットのように見えます(例: KINGSTON (32GB).lnk
)。
しかし、開くと裏で悪意のある動作を開始します。
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -NoProfile -nologo -ExecutionPolicy ByPass -File explorer.ps1
2-2. 隠されたスクリプトの実行
LNKファイルは、隠されたPowerShellスクリプト(explorer.ps1)を実行するショートカットになっています。
このスクリプトは、見た目上は存在しない「空白のフォルダ」に保存されています。
これが特殊な技術を使って隠蔽されているため、一見するとフォルダは空っぽに見えます。
さらに、スクリプトがセキュリティソフトに検出されるのを避けるために、処理を特殊な符号化(難読化)されています。
- 悪意のあるコードをいったん逆順にし、
- さらにBase64エンコードしてから
- PowerShellスクリプト内に埋め込みます
実行時には、埋め込まれた文字列を逆順に変換して、もとのコードに戻して「悪意のあるコード」を実行します。
2-3. マルウェアローダーのダウンロード(EMPTYSPACE)
スクリプトには、インターネットから「EMPTYSPACE」というマルウェアローダーをダウンロードする処理が書かれています。
このローダーは攻撃者がコントロールするサーバーから送られてきます。
「マルウェアローダー」とは、コンピューターに悪意のあるソフトウェア(マルウェア)をダウンロードして実行するためのプログラムです。このローダーは、最初の感染段階でコンピューターに導入され、その後、さらに危険なマルウェアをコンピューターに送り込む役割を果たします。
2-4. バックドア型マルウェア「QUIETBOARD」
コンピューターを遠隔操作したり、個人情報を盗んだりするために、「EMPTYSPACE」は、コンピューターに追加のマルウェアをダウンロードして実行します。
例えば、「QUIETBOARD」というマルウェアが仕込まれることがあります。
攻撃者が被害者のコンピューターに様々な命令を出せるようにするもので、情報窃取や更なる攻撃の拡大に利用されます。
3. 変なUSBメモリはどこから?
こういうUSBメモリってどうやって入ってくるの?
マルウェアに感染したUSBメモリは、さまざまな経路で渡される可能性があります。
たとえば、
- パソコンのマルウェア感染に気づいていない知り合いから受け取るUSBメモリ
- イベントや展示会などで無料配布されるUSBメモリ
- 意図的に感染させたUSBメモリを公共の場や職場で見つけやすい場所に置く「ベイト攻撃」
- 新品で購入したUSBメモリなのに、製造過程や流通過程でマルウェアに感染している
- サイバー攻撃を意図している者から直接送られる
一般利用者の場合、一番 気をつけた方がよいのは、知り合いから渡されたUSBメモリです。
その人のパソコンが「安全」かどうかは不明だからです。
3-1. USBメモリの自動実行をオフにする
このような脅威から身を守るためには、
- 未知のUSBメモリの使用を避け、
- 定期的なセキュリティチェックを行う
ことが重要です。
とくに、Windowsでは、USBメモリを挿入した際に自動でプログラムが実行される「オートラン機能」があります。
マルウェアの自動実行を防ぐには、無効に設定しておいた方が安心です。
「USBの自動実行」のように、Windowsのセキュリティ問題は、「便利な機能」が仇になるケースが多いですね。