Webで端末情報を盗むスパイ行為、正規ドメインに似せて誘導

政府機関や企業などに似せたドメインへ誘導して、閲覧者のコンピュータやローカルアドレスなどの情報を収集する攻撃が確認された。

[ITmedia]

　プライスウォーターハウスクーパース（PwC）のサイバー攻撃対応チームの「スレットリサーチラボ」は7月23日、国内の政府機関や機構、企業のドメインに似せたURLでシステム環境などの情報を収集するスパイ行為を観測したと発表した。サイバー攻撃につながる恐れがあるとして、注意を呼び掛けている。

　PwCによると、Webサイトを閲覧しただけでコンピュータの情報を搾取する「Device Fingerprinting」と呼ばれるスパイ行為が2014年から横行している。閲覧したコンピュータのOSやWebブラウザ、プラグイン情報などのほか、脆弱性を突いてウイルス対策ソフトや各種ソフトウェアの種別、バージョン情報、端末内部の詳細情報も収集されてしまう。

PwCが観測したスパイ行為の流れ

　今回観測された手口は、「jp」などの文字を含むURLが記されたメールのリンクを通じて不正サイトに誘導される。不正サイトには政治団体のWebサイトからコピーされたコンテンツや、コンピュータの情報を遠隔で収集する「Scanbox」と呼ばれるツールのWebサイトへのコードが埋め込まれている。コンテンツは破損して表示されないものの、Scanboxへ誘導するコードを通じてアクセスしたコンピュータの情報が盗まれてしまうという。

メールから誘導されるWebサイトのコンテンツ。実際には破損して表示されないが、PwCが破損を修正するとこのように表示されたという

　Scanboxへ誘導するコードを詳しく調べたところ、キーロガーやWeb RTCを利用して、コンピュータのローカルIPアドレスまで収集していることが判明し、攻撃者が組織のネットワーク構成などの情報収集も試みていることが分かったとしている。

　既に一部の組織がこのコードを通じて情報を盗まれてしまった模様で、PwCは当該組織などに通報したという。

　将来的に攻撃者が盗んだ情報を利用して、企業や組織への侵入を図る恐れがあると警鐘を鳴らしている。