株式会社ビジテック

情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆北朝鮮関与のマルウェア「BADCALL」「HARDRAIN」が明らかに
　　　 - Android向けRATも

米政府は、北朝鮮のサイバー攻撃グループ
「HIDDEN COBRA」が関与したと見られるあらたな
マルウェア「BADCALL」「HARDRAIN」の脅威イン
テリジェンス情報を公開した。

米国土安全保障省（DHS）と米連邦捜査局（FBI）が
共同で調査を実施し、分析した情報について公表したもの。

これまでも「BANKSHOT」や「Volgmer」「FALLCHILL」
など、マルウェアの情報が提供されている。

今回明らかになった「BADCALL」「HARDRAIN」
　も、プロクシサーバなどを介して被害者のネットワーク
と通信するトロイの木馬で、FBIでは、同グループの関与に
強い自信を持っているという。

マルウェアのひとつである「BADCALL」では、3件のファイル
が確認された。そのうち2件は、32bit環境のWindows向け
ファイルで、プロキシーサーバとして動作。Windowsの
ファイアウォールを無効化し、TLSに見せかける通信を行う
という。

1件はライブラリファイルであり、動作させるためには別途
同ライブラリを読み込む別の実行ファイルが必要となるが、
見つかっていないという。

のこる1件は、Android上でリモートアクセスツール（RAT）
として動作する「APKファイル」だった。

同アプリは、侵入したシステムで外部からの命令を待ち、
コマンドを実行する機能を搭載。通話の録音や、内蔵カメラ
を使用した撮影、連絡先の窃取、データのダウンロードおよび
アップロード、接続可能な無線LANを探索する機能などを備え
ていた。

一方「HARDRAIN」に関しても、3件のファイルに関する
情報が明らかにされているが、2件は32ビットのWindows
実行ファイルで、プロキシサーバの機能を装備。Windows
のファイアウォールを開放し、TLSに偽装した通信を行う
特徴を持つ。

またAndroidで動作するARMに対応したELF形式の実行ファ
イルも含まれており、リモートアクセスツール（RAT）と
して動作するようになっていた。

「BADCALL」「HARDRAIN」のいずれも脅威インテリジ
ェンス情報を「STIXファイル」で取得することが可能。
マルウェアの解析結果については、PDFファイルにて提供
されている。

（2018/02/15）

◆MS、月例パッチで50件の脆弱性を修正
　　　　 - 一部公開済みの脆弱性も

マイクロソフトは、2月の月例セキュリティ更新を公開した。
CVEベースで50件の脆弱性を修正している。

今回のアップデートでは「Windows」や同社ブラウザの
「Internet Explorer」「Microsoft Edge」のほか、「Office」
「ChakraCore」に関する脆弱性に対処した。

脆弱性の最大深刻度を見ると、4段階中もっとも高い「緊急」
の脆弱性が14件。次いで深刻度が高い「重要」が34件、続く
「警告」が2件だった。

脆弱性によって影響は異なるが、リモートよりコードを実行
される脆弱性が18件含まれる。また「権限の昇格」「情報
漏洩」「サービス拒否」「セキュリティ機能のバイパス」
などに悪用されるおそれがある。

また今回のアップデートで修正された「Microsoft Edge」
に関する脆弱性「CVE-2018-0771」については、すでに公開
済みだという。「同一生成元ポリシー（SOP）」の制限がバ
イパスされる脆弱性で、無視されるべき要求を許可するおそ
れがある。

現時点で悪用は確認されておらず、同社では「悪用可能性
指標」を「悪用される可能性は低い」にレーティングしている。

今回修正された脆弱性は以下のとおり。

CVE-2018-0742
CVE-2018-0755
CVE-2018-0756
CVE-2018-0757
CVE-2018-0760
CVE-2018-0761
CVE-2018-0763
CVE-2018-0771
CVE-2018-0809
CVE-2018-0810
CVE-2018-0820
CVE-2018-0821
CVE-2018-0822
CVE-2018-0823
CVE-2018-0825
CVE-2018-0826
CVE-2018-0827
CVE-2018-0828
CVE-2018-0829
CVE-2018-0830
CVE-2018-0831
CVE-2018-0832
CVE-2018-0833
CVE-2018-0834
CVE-2018-0835
CVE-2018-0836
CVE-2018-0837
CVE-2018-0838
CVE-2018-0839
CVE-2018-0840
CVE-2018-0841
CVE-2018-0842
CVE-2018-0843
CVE-2018-0844
CVE-2018-0846
CVE-2018-0847
CVE-2018-0850
CVE-2018-0851
CVE-2018-0852
CVE-2018-0853
CVE-2018-0855
CVE-2018-0856
CVE-2018-0857
CVE-2018-0858
CVE-2018-0859
CVE-2018-0860
CVE-2018-0861
CVE-2018-0864
CVE-2018-0866
CVE-2018-0869

（2018/02/14）

◆2017年はフィッシング攻撃数が大幅減
　　　 - マルウェアに移行か

2017年第4四半期に観測されたフィッシング攻撃は
12万3929件で前四半期を下回った.。一方国内でホスト
されたフィッシングサイトは増加傾向にあるという。

EMCのセキュリティ部門であるRSAが、同四半期に観測
したフィッシング攻撃の状況を取りまとめたもの。

同四半期に観測されたフィッシング攻撃は12万3929件。
前四半期の13万4720件から減少した。2016年第2四半期
の51万6702件をピークに、その後は増減はあるものの
全体としては減少傾向が続いている。

2017年通年のフィッシング攻撃は54万6749件で、
前年比56％減。2015年とほぼ同じ水準まで減少した。
同社では、2017年は脅威がフィッシングからマルウェア
に移っていると見ている。

フィッシング攻撃を受けた回数を国別に見ると、3四半期
連続で「カナダ」がトップ。全体の56％と突出している。
「米国（10％）」「インド（7％）」「コロンビア（5％）」
と続く。

一方、フィッシングサイトのホスト国は「米国」が51％
と半数を占めた。次いで「ロシア（6％）」「ドイツ（4％）」
「オーストラリア（4％）」が多い。「日本」は2％だった。

同四半期に国内でホストされたフィッシングサイトは231件。
前四半期の141件を上回った。同四半期において10月は25件
だったが、11月に73件、12月は133件と後半に向かって増加
傾向にあり、今後に動向が注目される。

（2018/02/20）

◆富士ソフト製モバイルルータに脆弱性 - 緩和策の実施を

富士ソフトのモバイル無線LANルータ「FS010W」に2件の
脆弱性が含まれていることが判明した。緩和策が案内され
ている。

同製品のファームウェアが「バージョン1.3.0」および以前
のバージョンに、クロスサイトスクリプティング（XSS）
の脆弱性「CVE-2018-0519」やクロスサイトリクエスト
フォージェリ（CSRF）の脆弱性「CVE-2018-0520」
が含まれていることが判明したもの。

同脆弱性は、小林学氏が情報処理推進機構（IPA）へ報告
したもので、JPCERTコーディネーションセンターが調整を
実施した。

アップデータは用意されておらず、デフォルトパスワード
の変更や、設定ツール利用時に他サイトを閲覧せず、操作
終了後にウェブブラウザを終了するなど、緩和策の実施が
呼びかけられている。

（2018/02/20）