全2475文字
PR

 「Roaming Mantis(ローミング マンティス)」と呼ばれるサイバー攻撃が日本を襲っている。このサイバー攻撃の特徴は、手口を次々と変えること。七変化と言っても過言ではない。「このような攻撃は過去に例がない」(カスペルスキーの石丸傑グローバル リサーチ アンド アナリシス チーム マルウエア リサーチャー)。その巧妙な手口を解説する。

まずは韓国のAndroidユーザーを狙った

 Roaming Mantisが初めて出現したとされるのは、2017年7月。韓国のAndroidユーザーを狙ったとされる。米マカフィー(McAfee)によると、韓国語のSMSメッセージを使って感染を広げたという。

 メッセージには、「あなたの写真がこのURLに張られているけど、どうして? チェックしてみて」といった内容が書かれている。そして、そのURLにアクセスすると、「MoqHao(モクハオ)」と呼ばれるウイルスを配布するWebサイトに誘導される。

MoqHaoウイルス配布サイトに誘導するSMSメッセージ
MoqHaoウイルス配布サイトに誘導するSMSメッセージ
(出所:米マカフィー)
[画像のクリックで拡大表示]

 MoqHaoはAndroid機器に感染するウイルス。感染すると、Android機器に保存された情報や入力した情報を盗まれる。Roaming Mantisを追っている石丸リサーチャーは、これが最初のRoaming Mantisである可能性が高いと指摘する。

 Roaming Mantisは攻撃キャンペーンの名前。カスペルスキーでは、MoqHaoおよびその亜種を使った一連の攻撃をRoaming Mantisと呼び、追跡および解析を続けている。セキュリティーベンダーによっては、MoqHaoを「XLOADER」と呼んでいる。

 なお、攻撃者グループの正体は明らかにされていない。攻撃ごとに攻撃者グループの構成が変わっている可能性があるという。

 Roaming Mantisはこれ以降、使うウイルスはMoqHaoのままで、ユーザーをだます手法や攻撃に使うプラットフォーム(サーバーやネットワークなど)を変えながら続いていく。

Roaming Mantisの手口の変化
時期手口
2018年3月ルーターのDNS設定を改ざん
4言語に対応
ウイルスのファイル名を「facebook.apk」に変更
2018年4月ウイルスのファイル名を「chrome.apk」に変更
2018年5月27言語に対応
iOS機器向けのフィッシングサイトを用意
PC向けの仮想通貨マイニングサイトを用意
2018年6~8月iOS機器向けの仮想通貨マイニングサイトを用意
別のウイルス配信システムの利用

 以下、代表的な手口を順に解説する。