チェック・ポイントの脅威情報およびリサーチ・チームは先日、全世界で2億5,000万台以上のコンピュータが感染した中国発の大規模なマルウェア攻撃を確認しました。インストールされたマルウェア「Fireball」は標的のブラウザを乗っ取り、自身の指示通り動く「ゾンビ」に変えます。Fireballには主に2つの機能があり、被害者のコンピュータ上での任意のコード実行(ファイルやマルウェアのダウンロードなど)、および感染したコンピュータのWebトラフィックを乗っ取り、遠隔操作して広告収入を増やすことが可能です。現在、Fireballはプラグインと追加設定を導入して広告の表示機会を増やしているだけですが、高度なマルウェア配布ツールにも容易に変貌します。

この攻撃は北京を拠点にデジタル・マーケティングを展開する大手広告代理店Rafotechによるものです。RafotechはFireballを使って被害者のブラウザを操作し、デフォルトの検索エンジンとホームページを偽の検索エンジンに変更します。これにより、yahoo.comまたはGoogle.comに検索がリダイレクトされる仕組みです。偽の検索エンジンには、ユーザの個人情報を収集するトラッキング・ピクセルも配置されています。Fireballでは被害者の行動の追跡、マルウェアの効率的な埋め込み、感染したコンピュータでの不正なコードの実行が可能で、標的のコンピュータやネットワークにセキュリティ上の重大な欠陥を作り出すことができます。

主な調査結果

  • 全世界で2億5,000万台以上のコンピュータと20%の企業ネットワークが感染した、中国発の大規模なマルウェア攻撃をチェック・ポイントの分析担当者が発見しました。
  • Fireballと呼ばれるマルウェアはブラウザ・ハイジャッカーとして機能しますが、フル機能のマルウェア・ダウンローダーにも変貌します。Fireballは被害者のコンピュータ上で任意のコードを実行できるため、認証情報の窃取から新たなマルウェアの埋め込みまでさまざまなアクションに発展する可能性があります。
  • Fireballは主にソフトウェア・バンドリングという不正な方法によって拡散します。ユーザが目的のプログラムをインストールする際に、同時にインストールされる仕組みです。たいていは同意確認が行われることはありません。
  • この攻撃はデジタル・マーケティングを専門とする中国の広告代理店によるものです。
  • 感染の件数が多かった上位2か国は、インド(全体の10.1%)とブラジル(9.6%)です。

図1: Fireball感染の流れ
図1: Fireball感染の流れ

全世界で2億5,000万台のコンピュータと20%の企業ネットワークが感染

Fireballマルウェアは驚くほど広い範囲に拡散しています。当社の分析によると、全世界で2億5,000万台以上のコンピュータが感染しています。国別で見るとインドが全体の10.1%で2,530万台、ブラジルが9.6%で2,410万台、メキシコが6.4%で1,610万台、インドネシアが5.2%で1,310万台となっています。アメリカは2.2%で550万台の感染が確認されています。

世界各地に配置されたチェック・ポイントの脅威センサーによると、全世界の企業ネットワークの20%もすでに感染しています。国別に見るとアメリカ(10.7%)と中国(4.7%)で要警戒レベルになっていますが、それ以上にインドネシア(60%)、インド(43%)、ブラジル(38%)が深刻な状況になっています。

驚くほどの感染率の高さは、Rafotechの検索エンジンのアクセス数にも現れています。ウェブサイトの利用状況を調査するAlexaのWebトラフィック・データによると、Rafotechの偽の検索エンジンのうち14サイトはアクセス数の上位ランキング10,000サイトに入っており、一部は上位1,000サイトに入る場合もあります。

図2: 世界のFireball感染状況(ピンク色が濃いほど感染率が高い)
図2: 世界のFireball感染状況(ピンク色が濃いほど感染率が高い)

Rafotechはブラウザ・ハイジャッカーや偽の検索エンジンの作成元であることを認めていませんが、図3に示すように全世界で3億人のユーザにアプローチできる広告代理店であることを皮肉にも(高らかに)宣言してしまっています。チェック・ポイントが推定する感染の件数と偶然にも近い数字です。

図3: Rafotechの公式サイトに表示される同社の広告
図3: Rafotechの公式サイトに表示される同社の広告

すべての感染ネットワークにつながるバックドア

Fireballなどのブラウザ・ハイジャッカーはハイブリッド・タイプで、表向きは正当なソフトウェアですが、マルウェアとしての側面もあります(「レーダーをかいくぐる」のセクションを参照)。RafotechはFireballを広告向けの機能として使用し、偽の検索エンジンへのトラフィックを誘発しているだけですが、このハイジャッカーは被害者のコンピュータで任意のアクションを行うことが可能で、そのようなアクションが深刻な事態を引き起こす可能性もあります。核弾頭をばらまく殺虫スプレーみたいなもので、害虫退治に役立つ一方、思いもよらない被害を招きかねません。

このようなハイジャッカーはブラウザ・レベルで機能します。たとえば、ユーザを不正サイトに誘導し、その行動を追跡、そしてマルウェアを巧みに埋め込むのです。

技術的に評価すると、検知の回避、多層構造、柔軟性の高いC&Cなど、検出をすり抜ける非常に優れた機能をFireballは備えています。指令(C&C)サーバも通常のマルウェアに見劣りしないレベルです。

Fireballがもたらす深刻なバックドアはさらなる不正行為に利用できるため、多くの攻撃者がRafotechにわずかだけでもあやかりたいと考えているはずです。

レーダーをかいくぐる

Fireballの配布は不正であり違法行為ですが、デジタル証明書が含まれており表向きは合法に見えるため、これが混乱を生じさせています。

アドウェアの配布はマルウェアと異なり犯罪にならないことをRafotechは知っており、違法ぎりぎりのラインを狙っているのです。現在、多くの企業がソフトウェアやサービスを無料で提供し、データの収集や広告の掲載によって利益を上げています。追加の機能やソフトウェアをコンピュータにインストールすることについてユーザが一度同意すると、プロバイダ側の悪意を主張することは困難になります。

このようなグレーゾーンの存在が、「バンドリング」という新しい収益化手法の登場につながりました。バンドリングとは、ユーザが目的のプログラムをインストールする際に、別のプログラムもセットでインストールされるようにする手法です。ユーザの同意を得る場合もあれば、同意を得ないこともあります。Rafotechはバンドリングを大規模に行ってFireballの拡散に成功しました。

図4: バンドリングの例
図4: バンドリングの例

当社の分析では、Rafotechの配布手法は「合法」と見なせる基準をクリアしておらず、違法であると考えられます。同社のマルウェアと偽の検索エンジンは、トラフィックがRafotechにリダイレクトされることを明示していません。また、一般のユーザではアンインストール不能であり、プログラムの本来の性質も隠されています。

このような問題を抱えているにもかかわらず、デジタル証明書が有効であるのは不可解ですが、証明書を提供して利益を得ている発行元も存在します。ルールを簡単に曲げてしまう小規模な発行元は、アドウェアの合法性が曖昧な点を突いて、Rafotechのブラウザ・ハイジャッカーのようなソフトウェアを承認することが考えられます。

感染モデル

他のタイプのマルウェアと同じように、Fireballにも多くの感染経路が存在し、チェック・ポイントでは2通りのバンドリングが主な経路だと見ています。Deal WifiやMustang Browserなど他のRafotech製品へのバンドルと、Soso DesktopやFVP Imageviewerなど他社のフリーウェアへのバンドルです。

ただし、フリーウェアをインストールする際に、マルウェアが必ず埋め込まれるわけではありません。逆に不審なフリーウェアをダウンロードしてすぐに何も起こらなかったからといって、見えないところで何も起きていない保証はありません。

Rafotechは他の手段でもFireballを配布している可能性があります。たとえば、名前を偽ってフリーウェアを拡散する、スパムの利用、攻撃者の買収などが考えられます。

インターネットを利用する上では、甘い話などないことを肝に銘じることが重要です。フリーウェアのダウンロードや、ストリーミングやダウンロードなどの無料のサービスを利用するような場合でも、サービス・プロバイダは何らかの方法で利益を得ています。利用者や広告からでなくても、他の方法で必ず利益を上げているのです。

図5: Deal Wifiのインストール画面
図5: Deal Wifiのインストール画面

感染状況を確認するには

アドウェアに感染しているかどうかを調べるには、Webブラウザを開いて次の点を確認してください。ホームページは自分で設定したものか。設定の変更は可能か。デフォルトの検索エンジンがいつも使っているもので、かつ設定を変更することが可能か。ブラウザのすべての拡張機能について、インストールした記憶があるか。

1つでも回答が「いいえ」になる場合は、アドウェアに感染している可能性があります。念のため、推奨のアドウェア・スキャナを使用することもできます。

図5: Deal Wifiのインストール画面
図6: trotux.com(Rafotechが運営する偽の検索エンジン)

核のボタンが悪の手に

容易に想像できることですが、感染したコンピュータからRafotechが機密情報を盗み出し、攻撃グループやライバル企業に売るようになるケースも考えられます。銀行口座やクレジットカード情報、医療記録、特許情報、事業計画などが攻撃グループの手に渡れば、さまざまな目的で広く公開されたり、悪用されたりする恐れがあります。当社が推定した感染率を基にそのようなシナリオが実現すると考えると、全世界の20%の企業が大規模なデータ侵害を受けることになりそうです。大手のサービス・プロバイダや基盤インフラの運営業者、あるいは医療機関など、影響の大きい組織が深刻なダメージを受けることも考えられます。途方もない損失にもつながりかねず、大規模な情報漏洩によって生じたダメージは、修復まで数年を要する可能性もあります。

Rafotechは世界的な大惨事を引き起こす潜在能力を持っていますが、それはRafotechだけではありません。当社の調査では、また別の会社が開発したと思われる他のブラウザ・ハイジャッカーの存在も確認されています。たとえばELEX Technologyもそうした会社の1つで、同じ北京を拠点にしたインターネット・サービス企業ですが、Rafotechと同種の製品を開発しています。2つの会社に関連があると思わせる発見がいくつかあり、ブラウザ・ハイジャッカーの配布を協力して行っているか、顧客のトラフィックを交換している可能性があります。たとえば、ELEXが開発した「YAC(Yet Another Cleaner)」というアドウェアは、Rafotechのブラウザ・ハイジャッカーの埋め込みに関与している疑いがあります。

まとめ

今回の調査報告では、Rafotechのブラウザ・ハイジャッカーの拡散を「おそらく史上最大規模の感染被害」と説明しています。マルウェアによる典型的な攻撃ではありませんが、直接的な被害者と世界のインターネット・ユーザに不可逆的なダメージを与える恐れがあるため、セキュリティ企業のサポートを受けて感染を阻止することが重要となります。

Fireballの感染が実際にどの程度広がっているかまだ不明ですが、世界のサイバー・エコシステムにとって大きな脅威であることは間違いありません。2億5,000万台のコンピュータが感染し、企業ネットワークも20%が感染している現実があり、Rafotechの対応によっては甚大な被害が生じる可能性があります。

埋め込まれたマルウェアを削除する方法

ほとんどのアドウェアは次の簡単な手順で削除できます。

  1. アドウェアをアンインストールするには、Windowsのコントロール・パネルにある [プログラムと機能] リストから該当するアプリケーションを削除します。

Mac OSをご利用の場合:

  1. Finderから該当のアプリケーションを見つけます。
  2. 不審なファイルをゴミ箱までドラッグします。
  3. ゴミ箱を空にします。

注意 – 使用可能なプログラムが必ずしもコンピュータにインストールされているとは限らないので、プログラムのリストでは見つからない場合もあります。

  1. 次のいずれかのソフトウェアを使ってコンピュータをスキャンし、マルウェアを駆除します。
  • アンチマルウェア
  • アドウェア・クリーナー
  1. 不正なアドオン、拡張機能、またはプラグインをブラウザから削除します。
Google Chromeの場合:

a.       Chromeのメニュー・アイコンをクリックして、[その他のツール] から [拡張機能] をクリックします。

b.      不審なアドオンを見つけて選択します。

c.       ゴミ箱のアイコンをクリックして削除します。

 

Internet Explorerの場合:

a.       設定アイコンをクリックして、[アドオンの管理] を選択します。

b.      不正なアドオンを見つけて削除します。

Mozilla Firefoxの場合:

a.       Firefoxのツールバー右端のメニューボタンをクリックして、[アドオン] を選択します。

b.      アドオンマネージャーのタブから [拡張機能] パネルを選択します。

新しいウィンドウが開きます。

c.       不審なアドオンを削除します。

d.      アドオンマネージャーのタブから [プラグイン] パネルを選択します。

e.      不正なプラグインを見つけて無効にします。

 

Safariの場合:

a.       ブラウザが有効であることを確認します。

b.      [Safari] タブをクリックして、[環境設定] を選択します。

新しいウィンドウが開きます。

c.       [機能拡張] タブを選択します。

d.      不審な拡張機能を見つけてアンインストールします。

 

 

  1. インターネット・ブラウザの設定をデフォルトに戻します。
Google Chromeの場合:

a.       Chromeのメニュー・アイコンをクリックして、[設定] を選択します。

b.      [起動時] セクションの [ページを設定] をクリックします。

c.       [起動ページ] リストから不正なページを削除します。

d.      [デザイン] セクションの [ホームボタンを表示する] オプションで、[変更] をクリックします。

e.      [アドレス] フィールドで不正な検索エンジンのページを削除します。

f.        [検索] セクションで [検索エンジンの管理] をクリックします。

g.       不正な検索エンジンのページを選択して、リストから削除します。

Internet Explorerの場合:

a.       [ツール] アイコンをクリックし、表示されたメニューから [インターネット オプション] をクリックします。

「インターネット オプション」が表示されます。

b.      [詳細設定] タブをクリックし、[リセット] をクリックします。

c.       [個人設定を削除する] ボックスをチェックします。

d.      [リセット] をクリックします。

Mozilla Firefoxの場合:

a.       ページタブの近くの空白部分をクリックして、ブラウザのメニューバーを有効にします。

b.      [ヘルプ] タブをクリックして、「トラブルシューティング情報」を表示します。

新しいウィンドウが開きます。

c.       [Firefoxをリフレッシュ] をクリックします。

Safariの場合:

a.       [Safari] タブの [環境設定] を選択します。

新しいウィンドウが開きます。

b.      [プライバシー] タブの [CookieとWebサイトのデータ] をクリックします。

新しいウィンドウが開きます。

c.       [すべてのWebサイトデータを削除] をクリックします。

 

侵害の痕跡

C&Cサーバのアドレス

  • attirerpage[.]com
  • s2s[.]rafotech[.]com
  • trotux[.]com
  • startpageing123[.]com
  • funcionapage[.]com
  • universalsearches[.]com
  • thewebanswers[.]com
  • nicesearches[.]com
  • youndoo[.]com
  • giqepofa[.]com
  • mustang-browser[.]com
  • forestbrowser[.]com
  • luckysearch123[.]com
  • ooxxsearch[.]com
  • search2000s[.]com
  • walasearch[.]com
  • hohosearch[.]com
  • yessearches[.]com
  • d3l4qa0kmel7is[.]cloudfront[.]net
  • d5ou3dytze6uf[.]cloudfront[.]net
  • d1vh0xkmncek4z[.]cloudfront[.]net
  • d26r15y2ken1t9[.]cloudfront[.]net
  • d11eq81k50lwgi[.]cloudfront[.]net
  • ddyv8sl7ewq1w[.]cloudfront[.]net
  • d3i1asoswufp5k[.]cloudfront[.]net
  • dc44qjwal3p07[.]cloudfront[.]net
  • dv2m1uumnsgtu[.]cloudfront[.]net
  • d1mxvenloqrqmu[.]cloudfront[.]net
  • dfrs12kz9qye2[.]cloudfront[.]net
  • dgkytklfjrqkb[.]cloudfront[.]net
  • dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

ファイルのハッシュ

  • FAB40A7BDE5250A6BC8644F4D6B9C28F
  • 69FFDF99149D19BE7DC1C52F33AAA651
  • B56D1D35D46630335E03AF9ADD84B488
  • 8C61A6937963507DC87D8BF00385C0BC
  • 7ADB7F56E81456F3B421C01AB19B1900
  • 84DCB96BDD84389D4449F13EAC75098
  • 2B307E28CE531157611825EB0854C15F
  • 7B2868FAA915A7FC6E2D7CC5A965B1E