こんにちは。ナビプラス、サイバーリスク研究所 所長の片山です。
インターネットが普及し、知人とFacebookやのメッセンジャーのやりとりも多くなってきたと思います。
その中でFacebook上の知人より、メッセンジャーでもたらされた動画のURLをクリックすることでマルウェアに感染しましたので、本日は感染内容、一時的な対処法と除去方法をご紹介します。
【感染内容】
1.URLをクリックすると、下記の画面が表示されました。
この時点では、マルウェアは動画ファイルのように見えますが、実際にはPDFになっており、Google Drive によって提供されていました。
2.このPDFをクリックしますと、複数のURLに遷移を繰り返し、最終的には、youtubeを思わせるような下記のサイトにたどり着きました。
3.上記のサイト上、どこでも良いのでクリックをしますと、下記のメッセージが表示され、Google Chrome の拡張機能のインストールを促す画面が表示されました。
4.この『機能拡張を追加』することで、マルウェア本体をダウンロードし、実行する「ダウンローダ」と呼ばれる機能がインストールされます。この機能拡張は、下記の図にある様に、Google Store に掲載されており、このファイルをダウンロードしてきます。
5.後に、下記の様なサイトに接続を繰り返し、マルウェアのペイロードと呼ばれる、実行部分を呼び出そうとします。
【一時的な対処法】
- 感染内容 3.の画面で、機能拡張をダウンロードしない。
- 感染内容 5.に示すURLに対してフィルタリングをする事で、一次的ではありますが他社への感染行動やFacebookに対して、様々な確認されている実行を抑止することが出来ます。
【除去方法】
拡張機能によるマルウェアであるため、拡張機能タブより、同ファイルを削除することで対応出来るかのように見えますが、実際には、拡張機能タブはオフになっており、開くことが出来ませんでした。
そのため、下記の手順を行います。
- Google Chrome のアドレスバーに、『chrome://settings/』を入力します
- 『詳細設定』をクリックします
- 一番下にあります、『リセット』をクリックします
上記の手順により、Google Chrome を出荷状態に戻すことが出来ます。
復元時には、全てを復元せず、拡張機能のみを『オフ』にして復元を行うことで、拡張機能以外は元通りに戻ります。
また、他の環境においては、同じアカウントを用いた環境がある場合、それらの環境でも同じマルウェアが感染している可能性があります。この場合は、一時的にネットワークを遮断し、Google Chrome をセーフモードで起動した状態で、上記の手順を繰り返せば、復旧可能です。
「自社サイトの改ざん被害に合ってしまった」などセキュリティに関してお困りのことや、自分で対応出来ない場合がございましたら、お気軽にご相談ください。
【本件に関するお問合せ先】
株式会社ナビプラス サイバーリスク研究所:片山
Email:navicert@naviplus.co.jp
■サイバーリスク研究所について
サイバーリスク研究所は、あらゆるサイバーリスクから法人企業を守るために2015年に設立されました。近年増え続ける個人情報の漏えい、Webサイトの改ざん、DDoS攻撃などのサイバーリスクによる法人企業の損害を防ぐためにディジタルフォレンジックスおよびハニーポットを用いた攻撃の先見性や過去に発生した各種脆弱性情報に基づいたサイバー攻撃の調査等のサイバーセキュリティに関する研究を行っています。
研究の成果から、インシデントレスポンスサービスや脆弱性診断サービス等のセキュリティ強化の支援、CSIRT(Computer Security Incident Response Team)の構築運用支援、学会やIPA等の公共機関やセミナー等の情報提供を行っています。