Digital Arts Security Reports

2022/01/17   
サイバー攻撃    i-FILTER    m-FILTER   

マルウェアに悪用されるファイル共有サービス

攻撃者は正規のファイル共有サービスを悪用してマルウェアを拡散しようとすることがあります。

URLhausに報告されたURL(※1)をもとに分類したところ、2021年の年末にかけては「Discord」と「OneDrive」の2サービスのURLが突出していました。

【図1】 悪用URL数とサービス
【図1】 悪用URL数とサービス

(※1)

  • 集計期間:2021/09/01~12/31
  • IPアドレス形式のURLは、本稿での集計からは除外しています。
  • URLhausは、マルウェアの配布に使用されている悪意のあるURLを共有することを目的とした、オープンソースの素晴らしいプロジェクトです。世界中のセキュリティリサーチャーが解析・収集した悪性URL情報がここに多く報告されています。

Discordの悪用

Discordは無料で利用可能なコミュニケーションアプリです。PCやモバイルの各種OSに対応し、専用アプリだけでなくWebブラウザからも通話・ビデオ・テキストチャットが利用が可能です。世界で広く利用されています。チャットメッセージでファイルを共有することが可能で、その共有したファイルにはそれぞれURLが生成され、URLを知っていれば誰でもそのファイルを閲覧・ダウンロードすることができます。しかし、実質的にファイル共有サービスのようにURLを用いた共有が可能なため攻撃者にも悪用されています。URLは下のような形式です。

hxxps://cdn.discordapp[.]com/attachments/チャンネルID/ファイルID/ファイル名

Discordのファイル共有URLを用いて感染を拡げようとしていたマルウェアは、Dridexが非常に多くなっていました 。報告されたDiscordのURLのうち9割を占めています(図2)。

【図2】Discordを悪用していたマルウェア
【図2】Discordを悪用していたマルウェア

DridexがDiscordを悪用した例をいくつか紹介します。

以前に本セキュリティレポートで取り上げたDridexでは(※2)改ざんサイトのURLを大量に悪用していました。今度は改ざんサイトではなく、正規のDiscordのファイル共有URLを用いるものが目立つようになっています。

さらに、Excel-DNAで作成されたXLLファイル(※3)を使っていたことも確認しました。一度に150ものDiscordのURLが使われることもあります。

【図3】大量のURLが使われたXLLファイル
【図3】大量のURLが使われたXLLファイル

(※2) メール経由で感染を狙うDridexキャンペーン 大量の改ざんサイトURLを悪用
(※3) 見慣れないXLLファイル(Excelアドイン)を使う攻撃が増加中

人気ドラマに乗じたスパムメールでの拡散も確認しています。ドラマの続編を先取りして観られるなどといってメールで誘い、添付のファイルを開かせようとします。ファイルを開いた後にマクロを有効にして実行してしまうと、Discordに置かれたマルウェアをダウンロードしてDridex感染へと至るような仕組みです。

【図4】人気ドラマに乗じたメールの添付ファイル
【図4】人気ドラマに乗じたメールの添付ファイル(※企業ロゴ部分は弊社にて加工しています)

OneDriveの悪用

OneDriveは、Microsoft のクラウドストレージです。Windows 10 や Windows 11 ではデフォルトでアプリがインストールされているため一般的に利用されている方も多いのではないでしょうか。

これまで、OneDriveが悪用されるのは珍しいことでもなかったのですが、10月に入り一気に増加しました(図1)。OneDriveのURLには、api.onedrive.com/onedrive.live.com/files.1drv.com/1drv.ms というドメインが用いられています。各ドメインは正規のものです。

【図5】メールのURLリンクからマルウェアが配布される例
【図5】メールのURLリンクからマルウェアが配布される例

図6はOneDriveのURLを悪用していたマルウェアの割合です。

【図6】OneDriveを悪用していたマルウェア
【図6】OneDriveを悪用していたマルウェア

2021年10月に海外のリサーチャーたちが、OneDrive(Microsoft)側がなかなか対処しないために悪性ファイルのURLが何日も生存し続けていると問題視していました。さらに海外IT系メディアもこれを取り上げ、一時話題となりました。

これらの動きを受けてなのか、最近になってこういった悪用状況を深刻にとらえ始めたのか、OneDrive側での対処が迅速になっています。本稿執筆時点では悪性ファイルのURLが何日も生存していることは少なくなっているようです。

まとめ

DiscordはDridexでの悪用が目立っていますが、それ以外にも多くの攻撃者/マルウェアによって悪用されています。OneDriveも同様です。サービス提供側も悪用への対処はしているでしょうが、ファイルおよびURLが迅速に対処され無効になったとしても攻撃者側は使い捨てにして新たに作成すればよく、いたちごっこになっていることは否めません。

近年、国内ではPPAP(「ZIP暗号化」運用)廃止の動きが加速し、ファイル共有サービスを取り入れた運用に切り替えている組織が増えていると聞いています。正規サービスのURLだからといって単純には安心はできません。DiscordやOneDriveに限ったことではなく、ファイル共有機能を備えたオンラインサービス全般にいえることです。メールとWebの両方を安全に利用できる環境が必要でしょう。

デジタルアーツでは

「i-FILTER」Ver.10 において、Discord(cdn.discordapp.com)は[チャット][インターネット電話]、OneDrive(api.onedrive.com/onedrive.live.com/files.1drv.com/1drv.ms)は[オンラインストレージ]としてカテゴリ分類しており、カテゴリによるフィルタリングが可能です。さらにOneDriveは「Webサービス制御機能」によって対象サービスだけの細かな制御が可能です。

「i-FILTER」Ver.10 ・「m-FILTER」Ver.5 - セキュリティ対策の新定番 ホワイト運用
受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

「ZIP暗号化」運用(PPAP)は効果がないのか?EmotetやIcedIDなどの外部攻撃対策にはデジタルアーツの『脱ZIP暗号化』運用
メールでファイルを送る際に、日本の多くの企業・団体で慣例化された「ZIP暗号化」運用(PPAP)ですが、セキュリティレベルを担保するための暗号化ではないため様々なインシデントリスクを抱えてきました。弊社ではこれら「ZIP暗号化」運用のリスクに対していち早く警鐘を鳴らし、解決しています。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、無償の情報提供サービスです。