【警告】Facebook 上に徘徊するマルウェアについて

投稿者: | 2017年8月16日

こんにちは。ナビプラス、サイバーリスク研究所 所長の片山です。

インターネットが普及し、知人とFacebookやのメッセンジャーのやりとりも多くなってきたと思います。

その中でFacebook上の知人より、メッセンジャーでもたらされた動画のURLをクリックすることでマルウェアに感染しましたので、本日は感染内容、一時的な対処法と除去方法をご紹介します。

【感染内容】

1.URLをクリックすると、下記の画面が表示されました。

この時点では、マルウェアは動画ファイルのように見えますが、実際にはPDFになっており、Google Drive によって提供されていました。

2.このPDFをクリックしますと、複数のURLに遷移を繰り返し、最終的には、youtubeを思わせるような下記のサイトにたどり着きました。

3.上記のサイト上、どこでも良いのでクリックをしますと、下記のメッセージが表示され、Google Chrome の拡張機能のインストールを促す画面が表示されました。

4.この『機能拡張を追加』することで、マルウェア本体をダウンロードし、実行する「ダウンローダ」と呼ばれる機能がインストールされます。この機能拡張は、下記の図にある様に、Google Store に掲載されており、このファイルをダウンロードしてきます。

5.後に、下記の様なサイトに接続を繰り返し、マルウェアのペイロードと呼ばれる、実行部分を呼び出そうとします。

【一時的な対処法】

  1. 感染内容 3.の画面で、機能拡張をダウンロードしない。
  2. 感染内容 5.に示すURLに対してフィルタリングをする事で、一次的ではありますが他社への感染行動やFacebookに対して、様々な確認されている実行を抑止することが出来ます。

【除去方法】

拡張機能によるマルウェアであるため、拡張機能タブより、同ファイルを削除することで対応出来るかのように見えますが、実際には、拡張機能タブはオフになっており、開くことが出来ませんでした。

そのため、下記の手順を行います。

  1. Google Chrome のアドレスバーに、『chrome://settings/』を入力します
  2. 『詳細設定』をクリックします
  3. 一番下にあります、『リセット』をクリックします

上記の手順により、Google Chrome を出荷状態に戻すことが出来ます。

復元時には、全てを復元せず、拡張機能のみを『オフ』にして復元を行うことで、拡張機能以外は元通りに戻ります。

また、他の環境においては、同じアカウントを用いた環境がある場合、それらの環境でも同じマルウェアが感染している可能性があります。この場合は、一時的にネットワークを遮断し、Google Chrome をセーフモードで起動した状態で、上記の手順を繰り返せば、復旧可能です。

 

「自社サイトの改ざん被害に合ってしまった」などセキュリティに関してお困りのことや、自分で対応出来ない場合がございましたら、お気軽にご相談ください。

 

【本件に関するお問合せ先】

株式会社ナビプラス サイバーリスク研究所:片山

Email:navicert@naviplus.co.jp

 

■サイバーリスク研究所について

サイバーリスク研究所は、あらゆるサイバーリスクから法人企業を守るために2015年に設立されました。近年増え続ける個人情報の漏えい、Webサイトの改ざん、DDoS攻撃などのサイバーリスクによる法人企業の損害を防ぐためにディジタルフォレンジックスおよびハニーポットを用いた攻撃の先見性や過去に発生した各種脆弱性情報に基づいたサイバー攻撃の調査等のサイバーセキュリティに関する研究を行っています。

研究の成果から、インシデントレスポンスサービスや脆弱性診断サービス等のセキュリティ強化の支援、CSIRT(Computer Security Incident Response Team)の構築運用支援、学会やIPA等の公共機関やセミナー等の情報提供を行っています。

【警告】Facebook 上に徘徊するマルウェアについて」への8件のフィードバック

  1. 和田 耕造

    初めまして、こんにちは。
    上記内容を読みいくつか疑問に感じたこととが、ありましたので質問させていただきます。
    当方も最近は、レジストリやセキュリティ関連のことについて、遠のいてしまっております。
    然るに、用語的に忘却しているので、的を外れた質問になっているかもしれませんがご了承ください。

    PCの内容的に伝わらないこともあるかもしれませんが、そこは、貴社が研究所ということで、解読的に判断していただけると助かります。

    ※【一時的な対処法】の段階で、感染しているGoogle Chrome が他のアプリケーションと関連付いているので、PC内部にマルウェアが残存している可能性はないのでしょうか?
    残存しているのであれば、1つのアプリを治療した所で、PC本体の中にあるマルウェアを取り除くことはできていないと思いますが、いかがでしょうか?
    単純な質問で失礼します。

    とりあえず、途中経過における1つ目の質問として教えて頂けると個人的にもアナロジーに関連付ける事の一因にできますので、教えてください。

    1. katayama 投稿作成者

      ご連絡が遅くなり申し訳ございません。
      ナビプラス 片山でございます。

      本事象は、Macでのみ再現を行っており、Windowsでの確認を行っておりません。
      予めご容赦ください。
      さて、今回のマルウェアは、Chromeの拡張機能を用いた物であり、IEやFirefox等の他のブラウザにつきましては現在確認中でございます。

      また、現時点におきましては、拡張機能はマルウェアとして、どのアンチウイルスソフトでも検知出来ておらず、ダウンロードされてきた、ペイロード部分に対してのみが、Nod 32 及び Kaspersky がマルウェアとして検知しております。なお、SymantecやTrendmicro 等ではマルウェアとして検知出来ておりません。

      現時点におきまして、ダウンロードされてくるペイロード部分は、スクリプト言語で書かれたコードであり、Facebookに特化した攻撃を行っております。但し、ソースコード解析を行っておりませんので、詳細を説明できるわけでは御座いませんが、数種類の環境におきまして、このソースコード実行前と実行後のファイル改ざんは確認されておらず、現時点におきましては、当該拡張機能の除去及び、スクリプト言語によるペイロード部分の除去により、マルウェアが除去されると考えております。

      なお、本件につきましては解析時の挙動であり、攻撃者がコードを変更した場合は、上記の限りではございませんことを予めご了承ください。よろしくお願いします。

  2. 和田 耕造

    Macでの検証事例ということで了解しました。

    ただ、OSの識別状況をはじめからしておらず、かつネットブラウザがGoogle Chromeという事であれば、前提としては、OSはWINDOWSと思ってしまうのではないでしょうか?

    更にいうなれば、Macにおいてマルウェアに感染する可能性は、低いのではないでしょうか?
    先にMacやUbuntuにおいてもウィルスに感染した事例を紹介されましたが、旧タイプのバージョンであったと記憶しています。

    更に全世界におけるアンチウィルスソフト企業が、ウィルスに対抗する手段をあきらめた旨の宣言をしたことも、記憶に新しいと思います。

    しかるに、マルウェアに関しても、アンチウィルスソフト企業が、どこまで対応できているのかが今のところ分かりません。特にMacでは定かではないのでは?

    WINDOWSでは、OSの脆弱性に対し、サードパーティ製のソフト、特にアンチウィルス対策には、
    Windows Defender以外は、セキュリティホールが拡大されるだけで、危険であるという内容も発表されたと思います。

    Macについては、どうなのかは知りませんが、やはり、Macストア以外のソフトのインストールについては、どうなのではないでしょうか?
    いくら、世間では強固なセキュリティソフトと評価されるNod 32 及び Kasperskyであっても、所詮は、サードパーティ製なので、Macといえども、セキュリティホールが開く原因となるような気がしますが、いかがでしょうか?

    Macのことは、ipadぐらいしか所持しておりませんので、比較が出来ませんが、Windowsと並行して教えていただけると助かります。

    1. katayama 投稿作成者

      本件に対し、OSの識別状況を記載せず申し訳ございません。

      ご指摘のように、Mac におきましてはマルウェアに感染する可能性が低いかもしれませんが、本件がブラウザに起因するので、感染後にFacebook等のソーシャルメディアに対して拡散し、他の方まで影響を及ぼす可能性が高いため、早急に注意喚起が必要と思い、ブログに掲載しました。
      また、アンチウィルス製品を導入し、安心している方もいらっしゃるかと思いましたので、有名どころのアンチウィルス製品の状況と対応策も記載させていただきました。

      なお、Google Chrome につきましては、Mac ユーザでも使用している方が多いかと思われます。(実際に、この時は私も使用していました)
      そのため、本件によりアンチウィルスベンダー様が今後、検知・対策に役立っていただければと思います。

      Windows、Mac に対して、現状、強固でもきちんとアップデート等の日々の運用を行わないと常に危険を伴います。
      そういうことがないように日々願うばかりでございます。

      ご理解いただけると幸いです。
      よろしくお願いします。

      1. 和田 耕造

        早々の返信ありがとうございます。

        Macにおいて、わざわざ標準ネットブラウザのサファリを使わずに、Google Chromeを使う又は、変更する方は少ないのではないでしょうか?

        業界の人かマニアックな方(Win寄り)ぐらいしかあまり聞かないかなと・・・。

        ウィルスや今回のマルウェアに関しても、自分が踏み台にされる可能性を否定できないという念のためレベルではないでしょうか?

        ちなみにMac上におけるWinでのDefenderのようなオリジナル・セキュリティソフトは無いのでしょうか?

        Macでも、ウィルスやマルウェア二感染する危険性があれば、MacOSを研究し尽くしているAppleがその対策をし、ソフトを作成していると思いますがいかがでしょうか?

        していないのであれば、Mac上では、事実上感染していないのではないでしょうか?
        旧バージョンのアップグレードやバージョンアップのみのセキュリティホールの穴埋めによる対抗手段で事たりているのではと考えてしまうのは浅はかなのでしょうか?

        どうしても、サードパーティ製のセキュリティソフトでは、該当するOSとの関連性や整合性に不備があり、インストールすることによるセキュリティホールの拡大、脆弱性に繋がるのではないでしょうか?

        最近Win7をWin10に変更したばかりなので、数年ぶりにその辺のところを勉強しなおしているところなので、教えて頂ければ助かります。

  3. katayama 投稿作成者

    本ブログにつきましては、危険性を速やかに告知することにより、一人でも多くの方が被害にあわれないことを目的としております。
    そのため、個々のシステムに対して詳細な解析を行っている訳では御座いません。

    申し訳御座いませんが、個別のご相談に関しましては、別途有償にてコンサルトをさせていただきますので、navicert@naviplus.co.jp 宛までご連絡下さい。

    1. 和田 耕造

      >本ブログにつきましては、危険性を速やかに告知することにより、一人でも多くの方が被害にあわれないことを目的としております。

      ということでしたら、Macでの事象例についての説明ではなく、日本でのシェアが多いWindowsで検証すべきではないのでしょうか?

      >そのため、個々のシステムに対して詳細な解析を行っている訳では御座いません。

      個人的なことでの質問ではなく、書かれている事象説明についての回答に疑問を持ったため質問しただけです。

      総合的な判断をしても、今回の御社の問題提起、経緯上のお応えについてに疑問に感じたので、当方のつたない知識と経験を現状とからめて質問しただけであり、個人的PCについての質問ではありません。

      この標題において興味を持ったという理由で質問されては迷惑だったというのでしたら、ごめんなさい。

      尚、有償で教わるほどのことではなく、目の前にあるPCで検索すれば、大まかな答えは出ると思いますが、AI・ICTの専門家としては、有償になるような質問だったのでしょうか?

      1. katayama 投稿作成者

        この度は、弊社の行き届かない内容をご指摘頂きましてありがとう御座いました。
        今後はご指摘頂きました内容を踏まえ、研究にいそしむ所存です。
        ご意見、誠にありがとう御座いました。

コメントは停止中です。