PR

 筆者は気になるセキュリティインシデントを見つけると、攻撃手法や攻撃に使われたウイルスの動き、攻撃者像などを様々な方法で調査しています。今回は、こうした「1人CSIRT」活動でよく使うWebサービスと、それを使って調査したセキュリティインシデントを紹介します。

フィッシングサイト出現を検知

 本連載では、今まで様々なWebサービスを紹介しています。今回初めて紹介するのは、米リスクIQの「PassiveTotal」です(図1)。

図1●ドメイン名やIPアドレスの調査に使える「PassiveTotal」
図1●ドメイン名やIPアドレスの調査に使える「PassiveTotal」
特定のドメイン名にひも付いたIPアドレスの履歴などを調べられる。自社のドメイン名に似たドメイン名が登録されたときなどにメールで通知するような使い方も可能。例えば通販サイトのAmazon.comの場合、誰かが「amaz」を含むドメイン名を登録したときに通知する、といった設定ができる。有償のサービスだが、特定のドメイン名にIPアドレスが割り当てられていた期間の調査といった一部の機能は無償で使える。米リスクIQが提供する。URLは、 https://www.passivetotal.org/。
[画像のクリックで拡大表示]

 PassiveTotalは、特定のドメイン名にひも付いたIPアドレスの履歴を調べられます。自社のドメイン名に似たドメイン名が登録されたときに通知するといった使い方ができるので、フィッシング対策としてよく使われます。

 有償のサービスですが、一部の機能は無償でも使えます。無償で使える、特定のドメインにIPアドレスが割り当てられた期間を調べる機能が調査に有効です。

メルマガのなりすましメール

 このPassiveTotalなどを使った、「メルマガのなりすましメール」の調査結果を紹介します。

 ソースは、個人ブログに掲載されていた注意喚起です。個人のブログなので、ここでは詳細情報を伏せます。概要は次の通りです。あるメルマガのなりすましメールが2017年2月20日に出回りました(図2(1))。タイトルはその数日前に発行されたメルマガと同じもので、日付だけ2017年2月20日に変えられていました。そのなりすましメールには、zipファイルが添付されていました。正規のメルマガにはファイルは添付されていません。そのファイル名を仮に「【NIKKEI4649】.zip」とします。この添付ファイルの名前だけを基に調査を開始しました。

図2●個人ブログで見つけた添付ファイル名を手掛かりにファイルの通信先を特定
図2●個人ブログで見つけた添付ファイル名を手掛かりにファイルの通信先を特定
メルマガを主宰する人のブログで、なりすましのメールが出回っているという報告を発見。なりすましメールに添付されていたというファイル名を、ウイルス検索サービス「VirusTotal」で検索。結果から、展開後のファイルを入手できた。展開後のファイルをデコードすると、そのファイルがPowerShellのスクリプトであり、実行されると特定のURLにアクセスすることがわかった。
[画像のクリックで拡大表示]

有償版VirusTotalで検索

 ファイル名から攻撃を調べるときは、ウイルス検索サービス「VirusTotal」を使います。米グーグルが運営するサービスです。ファイルをアップロードすると、VirusTotalに登録されている50以上のウイルス対策ソフトでチェックし、検知されたかどうかを表示してくれます。無償でも使える非常に便利なサイトです。

 VirusTotalには、有償サービス「VirusTotal Intelligence」もあります。こちらでは、アップロードされたファイルをユーザーがキーワードで検索してダウンロードできます。この機能で、なりすましのメールの添付ファイル名を検索しました(同(2))。

 VirusTotal Intelligenceのキーワード検索は、日本語などの2バイト文字も受け付けるようになっていますが、キーワードに含めると、検索によく失敗します。そこで、「NIKKEI4649」だけで検索してみました。

 検索では、ファイルが一つ見つかりました。ファイルがアップロードされた時期やファイル名の長さなどから、なりすましメールの添付ファイルのようです。

 検索結果のファイルプロフィールには、ファイルサイズやハッシュ、展開後のファイル名(圧縮ファイルの場合)などが表示されます。なお、無償サービスでもファイルのハッシュからアップロードされたファイルを検索できるようになっています。

正体はスクリプトファイル

 VirusTotal Intelligenceでは、アップロードされたファイルのダウンロードもできます。このサービスを使って、展開後のファイルを入手しました(同(3))。入手したファイル名の拡張は「.lnk」なので、リンクファイルのようです。

 このファイルをテキストエディター(メモ帳)で開くと、エンコードされた文字列が見つかりました(同(4))。デコードすると、リンクファイルの正体がわかりました(同(5))。PowerShellのスクリプトだったのです。

 さらに詳しく見ると、スクリプトを実行したときにアクセスするWebサイトのURLが短縮URLで入っていました。実際のURLは、「http://images.tokyo-gojp.com/src/image/YDLNxBPSGm.jpg」。「tokyo-gojp.com」は一見、政府や東京都が関連しているように思えるので、サイバー攻撃にいかにも使われそうなドメイン名です。

アクセスできた時期を調査

 スクリプトのアクセス先ドメイン名がわかったので、今度はそのドメインを調べます。ここで、冒頭で紹介したPassiveTotalを使います。

 PassiveTotalで「tokyo-gojp.com」にIPアドレスが割り当てられていた時期を調べました(図3)。すると、tokyo-gojp.comには、2017年2月20日から22日までの3日間だけIPアドレスが割り当てられていました。非常に短い期間だけしかアクセスできなかったドメイン名だとわかりました。この期間は、ちょうどなりすましのメールを送った時期と一致しています。

図3●PassiveTotalを使ってアクセス可能だった時期を調査
図3●PassiveTotalを使ってアクセス可能だった時期を調査
展開したファイルのアクセス先だった「tokyo-gojp.com」のドメイン名は、2017年2月20日から3日間だけアクセス可能だった(IPアドレスが割り当てられていた)とわかった。これは、なりすましメールが配信された時期と一致する。
[画像のクリックで拡大表示]

別の攻撃との関連性が見つかる

 ドメイン名から、関連するWebサーバーやDNSサーバーも調べました。同一もしくは関連する攻撃者が、同じサーバーを使っている可能性があるからです。関連性を調べるときは「Threat Crowd」を使います。

 Threat Crowdでは、指定したドメイン名に関連する登録メールアドレスやウイルスのハッシュ値などを線で結んだ図として表示できます(図4左)。

図4●ドメイン名から関連するWebサーバーやDNSサーバーを調べる
図4●ドメイン名から関連するWebサーバーやDNSサーバーを調べる
「Threat Crowd」(https://www.threatcrowd.org/)を使うと、特定のドメイン名に関連するサーバーを調べられる。Threat CrowdやWHOISサービス、nslookupコマンドの実行結果を取り込んで解析できるソフト「Maltego」でまとめると、日本学術振興会の標的型攻撃との共通点が浮かび上がってきた。
[画像のクリックで拡大表示]

 この結果に、さらにWHOISサービスやnslookupコマンドなどを使って調査した情報を集約します。こういったときに使うと便利なのが、「Maltego」というソフトです。このソフト上から、Threat CrowdやWHOISサービスやnslookupコマンドの実行結果を取り込めます(同右)。

 集約した結果を見ると、tokyo-gojp.comの権威DNSサーバーが、以前調査した日本学術振興会をかたった標的型攻撃で使われていたサーバーと同じだったことがわかりました。さらに、「添付ファイルを展開するとリンクファイル」「正体はPowerShellスクリプト」「ダウンロードするファイルの拡張子がjpg」などの特徴も一致します。二つの攻撃が関連している可能性は高いと思います

標的型のウイルスは検知されない

 筆者が当初、VirusTotalで添付ファイル名を検索したとき、添付ファイルを検出できるウイルス対策ソフトの数はゼロでした(図5)。今回の調査結果の一部を筆者のブログで2017年4月17日に紹介したところ、4月22日には10本に増えています。なりすましメールが見つかってから2カ月近くたって、ようやく検知できるようになったということです。標的型攻撃に使われるウイルスは、流通量が少ないため、検知されにくいという証左ではないでしょうか。

図5●標的型攻撃メールに使われるウイルスは検出されない可能性が高い
図5●標的型攻撃メールに使われるウイルスは検出されない可能性が高い
添付ファイル名の調査の中で、添付ファイルをウイルスだと検出できるソフトの数を確認した。調査時点では、検出できたソフトは一つもなかったが、筆者のブログで情報を公開すると検出数が一気に増えた。
[画像のクリックで拡大表示]
▼1人CSIRT
CSIRTは、Computer Security Incident Response Teamの略。気になるセキュリティインシデントを調査する筆者の個人的な活動。
▼PassiveTotal
URLは、https://www.passivetotal.org/。
▼VirusTotal
無償サービスの日本語版URLは、https://www.virustotal.com/ja/。
▼ダウンロードできます
アップロードしたファイルは、有償サービスで検索したり、ダウンロードしたりできる。ファイルに個人情報や機密情報が含まれている可能性があるので気軽に使うのは危険。アップロードするときは、システム担当者に事前に確認するほうがよい。
▼ファイル名の長さ
2バイト文字が含まれていたため、ファイル名自体は文字化けしていた。
▼3日間だけ
PassiveTotalがWHOISサービスで検索した日を示しているだけなので、タイムラグがある。
▼DNS
Domain Name Systemの略。
▼Threat Crowd
URLは、https://www.threatcrowd.org/。
▼Maltego
南アフリカのパテルバが公開するソフト。有償だが、機能が制限された無償版もある。
▼日本学術振興会をかたった標的型攻撃
2017年4月号本連載で取り上げた。
▼可能性は高いと思います
今回のソースである個人ブログには、2015年にもウイルス「Emdivi」の配布にメルマガのなりすましメールが使われた可能性があると記載されている。
辻 伸弘(つじ のぶひろ)
ソフトバンク・テクノロジーでシニアセキュリティリサーチャー兼シニアセキュリティエバンジェリストを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテストを担当。テレビや雑誌などのメディアに登場し、また様々な講演に多数登壇している。