偽ストリーミングサイトとアドウェアに狙われた東京オリンピック2020

クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下 ゼットスケーラー、https://www.zscaler.jp/）は、このたび東京オリンピック2020の期間中の脅威に関する調査結果を発表しました。詳細は以下の通りです。

2016年のリオオリンピック以降、スポーツイベントのオンラインストリーミング配信が増加し続けています。オリンピックは世界中で何十億人もが観戦する人気の高いイベントです。今回の夏季オリンピックは、ケーブルテレビからインターネット動画サービスへの移行やCOVID-19による影響が相まって、かつてない数の人々がストリーミングサービスを利用しました。Zscaler ThreatLabzチームの観測によると、ストリーミングトランザクションのほとんどは米国やヨーロッパからのもので、ドイツとフランスが上位を占め、アジア太平洋諸国ではインドと日本がリードしていました。オリンピックは、イベントの知名度とその人気の高さからサイバー攻撃の標的となっており、ランサムウェアからコインマイナーまで、悪意のある（https://www.nbcbayarea.com/news/tech/olympic-games-are-big-target-for-hackers/2604010/）ソフトウェアがインストールされていることが確認されています。

国別ストリーミング配信数（上位15カ国）

Zscaler ThreatLabzは、世界の主要なニュースやイベントを悪用して攻撃をしかけるサイバー犯罪者を常に監視しています。例えば、2016年リオオリンピック（https://www.zscaler.jp/blogs/security-research/zika-isnt-only-thing-you-need-worry-about-during-rio-olympics）では、侵害されたサイトから、ユーザを様々なペイロードにリダイレクトするエクスプロイトキットのトラフィックが発信されていることを確認しています。RIGエクスプロイトキットによりQakbotがインストールされたり、NeutrinoエクスプロイトキットによりCryptXXXがインストールされていたことが明らかになりました。2020年にCOVID-19の混乱が頂点を極めていた時には、新規登録ドメイン（Newly Registered Domains：NRD（https://www.zscaler.jp/blogs/security-research/emergence-coronavirus-and-olympics-scams））を悪用してユーザを狙うサイバー犯罪者が確認されました。

2020年東京オリンピックの期間中、偽のストリーミングサイトによってユーザ情報を盗み詐欺を試みるものや、既知のブラウザハイジャッカーYourStreamSearchのようにアドウェアによって無関係なブラウザ拡張機能をインストールするようにユーザをリダイレクトする動きが確認されています。また、OlympicDestroyerの活動も見られました。OlympicDestroyerは、標的のマシンに認証情報を窃取するソフトをインストールするマルウェアです。

偽または不審なストリーミングサイトにおける支払要求

ThreatLabzは、不審なストリーミングサービスを複数捉えています。これらのストリーミングサイトは正規のオリンピックストリーミングプロバイダとは無関係なもので、ストリーミングの無料アクセスを提供すると偽って顧客に支払い情報を要求します。このようなサイトは、多くの場合、NBA、オリンピック、サッカーといった最近の多くのスポーツイベントで使用されたテンプレートを再利用しています。


以下のスクリーンショットは、無料で無制限のアクセスを提供するとうたった偽のストリーミングサイトです。

偽のストリーミングサイト

登録フォーム

ユーザが登録を完了すると、支払いのポータルサイトに誘導されます。以下のスクリーンショットでは、支払いポータルがユーザの支払い情報を要求している様子が確認できます。

偽の支払ポータル

 
アドウェアの動向

アドウェアとしては、オリンピック関連の無料のストリーミングサービスの提供をうたいつつ、代わりに賭け事や自動取引といった無関係なサイトにユーザをリダイレクトさせるものが見られました。また、ブラウザの拡張機能や偽のソフトウェアアップデータを装ってアドウェアをインストールするようにユーザを誘導するケースも見られます。以下の例では、omlympicstreams[.]meがブラウザ拡張機能YourStreamSearchをインストールするようにユーザを誘導していることがわかります。このYourStreamSearchは、検索履歴に基づいて広告を推奨する既知のブラウザハイジャッカーです。

東京オリンピック2020のストリーミング提供サイト

 

ブラウザ拡張機能YourStreamSearchへの誘導

OlympicDestroyer

OlympicDestroyerは、2018年に韓国で開催された冬季オリンピックで初めて観測された高度なマルウェアです。オリンピックの公式サイトにマルウェアが侵入し、チケット販売に影響を及ぼしました。その中心となったOlympicDestroyerは、Windowsのネットワーク共有を利用して拡散するワームです。このマルウェアは、対象のマシンに複数のファイルをインストールし、ファイルは難読化されてリソースとして埋め込まれます。これらのファイルによってブラウザやシステムの認証情報の窃取が試みられます。

このOlympicDestroyerの動作で興味深いのは、窃取した認証情報に基づいて異なるバイナリを生成できる点です。これにより、同じタスクを実行する様々な亜種のサンプルが存在することになりました。このマルウェアは、認証情報の窃取に加えて、cmd.exeを使用してバックアップを無効にしたり、ブートポリシーを編集したり、あるいはイベントログの消去などによって標的のマシンの復旧を困難にします。

OlympicDestroyerのヒット数

FBIのサイバー部門は、DDoS、インサイダー脅威、ランサムウェア、ソーシャルエンジニアリング、フィッシングキャンペーンなどを利用してイベントを妨害しようとするサイバー犯罪者に対して注意を喚起する勧告（https://www.ic3.gov/Media/News/2021/210719.pdf）を発表しました。この勧告では、在宅勤務環境のベストプラクティスとガイドラインやユーザの心構えがまとめられています。
 
攻撃に対抗するために推奨される対策：

• VPN、ネットワークインフラ機器、リモートワーク環境で使用される機器をアップデートする
• 可能であればすべてのVPN接続において多要素認証を有効にする
• “話がうますぎる”内容のメールは、送信元を確認する。不審な添付ファイルにも注意する
• 非公式のモバイルアプリストアの利用を避ける
• リンクをクリックする前に、URLやウェブサイトのアドレスの信憑性を確認する
• 電子メールで送付されてきた請求書を不用意に開封しない（サイバー犯罪者が使うソーシャルエンジニアリングの手法が多数見受けられます）
• 銀行取引など特に機密性の高いアカウントには可能な限り二要素認証を使用する
• 使用中のOSやWebブラウザに最新のセキュリティパッチがインストールされていることを常に確認する
• 文書やメディアファイルをバックアップする（ランサムウェアに感染した場合に大変重要になります）

ゼットスケーラーについて
ゼットスケーラー（NASDAQ:ZS）は、顧客企業のアジャイル性、効率性、事業回復力およびセキュリティの強化をサポートするため、デジタルトランスフォーメーションを加速させます。世界最大のインライン型クラウドセキュリティプラットフォームのZscaler Zero Trust Exchangeは、あらゆる場所のユーザ、デバイスおよびアプリケーション間をセキュアに接続することで、サイバー攻撃とデータ消失から数千社の顧客企業を保護しています。Zscaler Zero Trust Exchangeは、世界150拠点以上のデータセンタに分散されたSASEベースのプラットフォームです。