日本でも多数被害が報告されている「Campo Loader」を使った攻撃

最近、「Campo Loader」と呼ばれるマルウェアを用いた攻撃キャンペーンが頻繁に観測されています。日本のユーザーをターゲットにした攻撃も多数確認されており、現在最も警戒すべき攻撃の1つと言えます。

なおサイバーリーズンのGSOC(Global SOC)で確認されたCampo Loader攻撃では、メールに添付された不正なExcelファイルが用いられていました。このファイルはパスワード付きZIPで暗号化されており、復号に必要なパスワードがメール本文に記載されています。

このパスワードを用いて受信者がExcelファイルを復号してマクロを有効化すると、ファイルの中に含まれている不正なマクロスクリプトが起動し、Campo Loaderのファイルがドロップされます。この過程では、Windowsの正規コマンドラインツールである「certutil.exe」や「rundll.exe」などが用いられており、あたかも正規プロセスであるかのように装って不正プロセスを実行するため、セキュリティソフトウェアによる検知が困難な場合もあります。

さらにCampo Loaderはその名の通り、他のマルウェアをダウンロードすることが報告されています。現時点では「Trickbot」「Ursnif」「BazarLoader」「Phobos ransomware」といったマルウェアがダウンロードされることが確認されています。

▲悪意のある Excel ファイル (.xlsb)

「パスワード付きZIPファイル」を隠れ蓑にした攻撃

この攻撃のやっかいな点は、マルウェアをパスワード付きZIPファイルの中に潜ませて送り込んでくるところです。セキュリティソフトウェアの中には、パスワード付きZIPファイルの中身をチェックできないものも多く、近年では攻撃者がセキュリティ対策を潜り抜けるための「隠れ蓑」としてパスワード付きZIPファイルを用いるケースが増えてきています。

また、もともとパスワード付きZIPは情報漏えい対策のために使われていましたが、現在では「情報漏えい防止の効果はあまり期待できない」というのが定説になっています。ネットワーク上で添付ファイルを盗聴できる攻撃者なら、当然のことながら別メールで送られる平文のパスワードも問題なく盗聴できるはずです。また現在一般に広く使われているパスワード付きZIPの暗号強度は比較的弱く、専用ツールを使えば容易に解読できるとも言われています。

従ってメールにパスワード付きZIPファイルを添付してやりとりする際には、十分な注意を払う必要があります。Campo Loaderのような攻撃から身を守るためには、受信したメールにもしパスワード付きZIPファイルが添付されていても「暗号化されているから安全だ」と油断せず、むしろ少しでも不自然だと思ったら絶対に開かないよう心掛けるべきです。

もちろん、Microsoft Officeのマクロ機能は無効化しておくのが基本です。もしどうしてもマクロの利用が必要な場合は、使用可能なグループを制限することをお勧めします。

EDR等の導入で万が一の感染にも備えておくことが重要

ただし、たとえこうした対策を十分施したとしても、近年のサイバー攻撃の手口は高度化・巧妙化の一途を辿っており、100%攻撃を防げるとは限りません。Campo Loaderにしても、近年ではメールの添付ファイルだけでなく、不正サーバーからファイルをダウンロードする形で感染するケースも報告されています。

従って、感染を防ぐための対策を十分施しつつも、同時に万が一感染した際にいち早くマルウェアを検知・除去して被害を水際で食い止めるための仕組みも確立しておく必要があります。そのために現時点で最も有効だと思われる手段の1つが、「EDR(Endpoint Detection and Response)」です。EDRは、PCやサーバなどのエンドポイント上で常時ログを収集し、その内容をリアルタイムに解析することでマルウェアの不審な動作を即座に検知して管理者に通知します。

弊社が提供するEDR製品「Cybereason EDR」は、Campo Loaderのようにシステムの正規プロセスを隠れ蓑にする攻撃プロセスも効果的に検知できるほか、Campo Loaderがダウンロードする他のマルウェアの攻撃にも幅広く対応しています。例えば、Campo Loaderはランサムウェア「Phobos ransomware」をダウンロードすることが確認されていますが、Cybereason EDRはランサムウェアが真っ先に暗号化する「囮ファイル」を仕掛けることで、いち早くその検知してブロックできます。

既に述べたように、Campo Loaderのようにパスワード付きZIPファイルを介して感染を狙う手口は、従来のセキュリティ製品では防ぐのが難しいため、近年多くの攻撃で用いられるようになっています。ぜひEDRのような最新のセキュリティ製品を導入しておくことで、このような攻撃に備えておきたいところです。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、 国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。 複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。 https://www.cybereason.co.jp/product-documents/brochure/6189/ エンドポイントセキュリティ選定ガイド