偽のWinSCPダウンロードサイトでマルウェア感染 Trend Microが新手法を発見

Trend Microはマルバタイジングを利用した新たなサイバー攻撃を観測した。偽のWinSCPのダウンロードページに誘導して、マルウェアが混入したソフトウェアをダウンロードさせる。

[後藤大地，有限会社オングス]

　Trend Microは2023年6月30日（現地時間）、マルバタイジングを利用してマルウェアへの感染を促すサイバー攻撃を観測したと報告した。

　マルバタイジングは悪意あるWeb広告を利用してユーザーをフィッシング詐欺サイトなどに誘導する手口だ。Trend Microは今回、オープンソースソフトウェア（OSS）のファイル転送サービス「WinSCP」ダウンロードサイトを模倣した手口が使われていると報告している。

Trend MicroはWinSCPのダウンロードサイトを模倣するマルバタイジングキャンペーンを確認した（出典：Trend MicroのWebサイト）

偽のWinSCPダウンロードサイトに要注意

　Trend Microが発見したこの攻撃は、Webブラウザで検索して表示される広告の上位に、偽のWinSCPのWebページが表示されるようにマルバタイジングを仕掛け、ターゲットを誘導する。偽のWebサイトにはマルウェアが仕込まれたインストーラーが置かれており、ダウンロードして展開するとバックドアが構築される仕組みだ。

　同社はこの攻撃をランサムウェア「BlackCat」（別名：ALPHV）の感染につながると指摘している他、「Cl0p」と呼ばれるランサムウェアグループとの関連が疑われる証拠も出てきたとして注意を呼び掛けている。

　Trend Microはこの攻撃を防ぐためのアドバイスとして以下を挙げている。

• フィッシングに関して従業員教育を実施する。トレーニングを実施してフィッシングやその特定方法、回避方法について教育するとともに、疑わしいURLはクリックしないこと、不明確なソースからファイルをダウンロードしないことなどを強調する
• アクティビティーを監視してログに記録する。集中ログサービスを使ってネットワークデバイスやシステムからログを収集し分析する。ネットワークトラフィックやユーザーアクティビティー、システムログなどを関しして異常な動作や疑わしい動作を検出する
• 通常操作のネットワークトラフィックを定義する。通常のネットワークトラフィックを定義すると不正アクセスなどの異常なネットワークトラフィックを特定できるようになる
• インシデント対応とコミュニケーションを改善する。インシデント対応計画を策定し、将来の侵害が発生した際の組織の対応を定める。明確なコミュニケーションチャンネルを確立し、従業員や顧客、規制機関など関連する利害関係者に侵害およびそれに対応するための手段を通達する
• サイバーセキュリテイの専門家と協力する。サイバーセキュリテイ会社と協力してインシデント対応やフォレンジック対応、セキュリティ改善などに取り組むことを検討する

　Trend Microは侵害や重大な損害につながる可能性のある脆弱（ぜいじゃく）性を特定するだけでなく、攻撃シナリオを詳細に理解してそれらを防ぐために必要な対策を採ることが重要だと指摘している。