2022/01/17 i-FILTER,m-FILTER,サイバー攻撃
マルウェアに悪用されるファイル共有サービス
攻撃者は正規のファイル共有サービスを悪用してマルウェアを拡散しようとすることがあります。
URLhausに報告されたURL(※1)をもとに分類したところ、2021年の年末にかけては「Discord」と「OneDrive」の2サービスのURLが突出していました。

(※1)
- 集計期間:2021/09/01~12/31
- IPアドレス形式のURLは、本稿での集計からは除外しています。
- URLhausは、マルウェアの配布に使用されている悪意のあるURLを共有することを目的とした、オープンソースの素晴らしいプロジェクトです。世界中のセキュリティリサーチャーが解析・収集した悪性URL情報がここに多く報告されています。
Discordの悪用
Discordは無料で利用可能なコミュニケーションアプリです。PCやモバイルの各種OSに対応し、専用アプリだけでなくWebブラウザからも通話・ビデオ・テキストチャットが利用が可能です。世界で広く利用されています。チャットメッセージでファイルを共有することが可能で、その共有したファイルにはそれぞれURLが生成され、URLを知っていれば誰でもそのファイルを閲覧・ダウンロードすることができます。しかし、実質的にファイル共有サービスのようにURLを用いた共有が可能なため攻撃者にも悪用されています。URLは下のような形式です。
hxxps://cdn.discordapp[.]com/attachments/チャンネルID/ファイルID/ファイル名
Discordのファイル共有URLを用いて感染を拡げようとしていたマルウェアは、Dridexが非常に多くなっていました 。報告されたDiscordのURLのうち9割を占めています(図2)。

DridexがDiscordを悪用した例をいくつか紹介します。
以前に本セキュリティレポートで取り上げたDridexでは(※2)改ざんサイトのURLを大量に悪用していました。今度は改ざんサイトではなく、正規のDiscordのファイル共有URLを用いるものが目立つようになっています。
さらに、Excel-DNAで作成されたXLLファイル(※3)を使っていたことも確認しました。一度に150ものDiscordのURLが使われることもあります。

(※2) メール経由で感染を狙うDridexキャンペーン 大量の改ざんサイトURLを悪用
(※3) 見慣れないXLLファイル(Excelアドイン)を使う攻撃が増加中
人気ドラマに乗じたスパムメールでの拡散も確認しています。ドラマの続編を先取りして観られるなどといってメールで誘い、添付のファイルを開かせようとします。ファイルを開いた後にマクロを有効にして実行してしまうと、Discordに置かれたマルウェアをダウンロードしてDridex感染へと至るような仕組みです。

OneDriveの悪用
OneDriveは、Microsoft のクラウドストレージです。Windows 10 や Windows 11 ではデフォルトでアプリがインストールされているため一般的に利用されている方も多いのではないでしょうか。
これまで、OneDriveが悪用されるのは珍しいことでもなかったのですが、10月に入り一気に増加しました(図1)。OneDriveのURLには、api.onedrive.com/onedrive.live.com/files.1drv.com/1drv.ms というドメインが用いられています。各ドメインは正規のものです。

図6はOneDriveのURLを悪用していたマルウェアの割合です。

2021年10月に海外のリサーチャーたちが、OneDrive(Microsoft)側がなかなか対処しないために悪性ファイルのURLが何日も生存し続けていると問題視していました。さらに海外IT系メディアもこれを取り上げ、一時話題となりました。
これらの動きを受けてなのか、最近になってこういった悪用状況を深刻にとらえ始めたのか、OneDrive側での対処が迅速になっています。本稿執筆時点では悪性ファイルのURLが何日も生存していることは少なくなっているようです。
まとめ
DiscordはDridexでの悪用が目立っていますが、それ以外にも多くの攻撃者/マルウェアによって悪用されています。OneDriveも同様です。サービス提供側も悪用への対処はしているでしょうが、ファイルおよびURLが迅速に対処され無効になったとしても攻撃者側は使い捨てにして新たに作成すればよく、いたちごっこになっていることは否めません。
近年、国内ではPPAP(「ZIP暗号化」運用)廃止の動きが加速し、ファイル共有サービスを取り入れた運用に切り替えている組織が増えていると聞いています。正規サービスのURLだからといって単純には安心はできません。DiscordやOneDriveに限ったことではなく、ファイル共有機能を備えたオンラインサービス全般にいえることです。メールとWebの両方を安全に利用できる環境が必要でしょう。