メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

マルウェアのソースコードを分析してみたら…… 見つかった奇妙な特徴:798th Lap

あるフィッシング攻撃で使われたマルウェアを研究者が分析したところ、普通のサイバー攻撃者ならやらないことをやっていたという。

» 2024年10月04日 07時00分 公開
[キーマンズネット]

 フィッシングによる詐欺被害は収まる気配がない。フィッシング対策評議会の発表によれば2024年7月のフィッシング報告件数は17万7855件、同8月の報告件数は16万6556件だったという。

 ある研究者がフィッシング攻撃によって強制的にダウンロードされたマルウェアのソースを調べたところ、奇妙な点が見つかったという。それは普通のマルウェアにはない特徴で、サイバー攻撃者ならまずやらないことだという。それは、一体?

 2024年6月下旬ごろ、あるサイバー攻撃者らがフランスのユーザーをターゲットに大規模なフィッシング攻撃を仕掛けていたことがセキュリティ対策企業HP Wolf Securityの調査で判明した。その調査結果が2024年9月24日に発表され、Tech系ニュースサイト「BleepingComputer」が記事で取り上げた。

 その記事によると、HP Wolf Securityの研究者が今回のフィッシング攻撃を調査したところ、奇妙なことに気が付いたという。このフィッシング攻撃はいわゆる「HTMLスマグリング攻撃」で、偽のWebサイトにJavaScriptやVBScriptを埋め込み、フィッシングによって誘導されたユーザーは強制的に悪意あるマルウェアをダウンロードされてしまうというもの。この攻撃手法自体は珍しくない。

 研究者はダウンロードされたマルウェアを調査した。マルウェアはZIPファイル化されていたため、ブルートフォース攻撃(総当たり攻撃)でパスワードを破り、コードを確認した。すると、コードに細かくコメントが入っていた。これこそが「奇妙なこと」だという。

 開発者がコードを書く時、他の開発者がソースコードを参照した時にどのような処理をするかが分かるように、折々にコメントを残すことがある。しかし、マルウェアのソースコードにはコメントを残すことがほとんどないという。作成者はマルウェアの仕組みを明かしたくないからだ。

 HP Wolf Securityの報告書には「問題のマルウェアにはコードが何を実行するかが明記されている。これは、生成AIサービスが解説付きのサンプルコードを生成する方法と非常に似ている」とある。つまり、このマルウェアのコードは生成AIによって書かれた可能性が高いということだ。

 記事に掲載されたマルウェアのコードを見ると、確かにフランス語で細かくコメントが残されていて、どんな処理をするかが明記されている。なお、このソースが実行されるとオープンソースのマルウェア「AsyncRAT」が強制的にダウンロードされ、感染したユーザーのPCでキーストロークを記録し、暗号化された接続によって遠隔で監視、制御される。

 HP Wolf Securityの報告書によれば、このマルウェアの配信手法は2024年前半で最もポピュラーなものだったそうだ。また、報告書では生成AIを使うことで技術レベルが低いサイバー攻撃者でもマルウェアを容易に作成でき、Windows向けのマルウェアを「macOS」や「Linux」向けにカスタマイズすることも可能だと警告されている。

 攻撃者が生成AIのメリットを悪用することで、今よりもサイバー犯罪が多発する恐れがある。フィッシングやセキュリティ対策を強化することがますます重要となるだろう。


上司X

上司X: サイバー犯罪者たちがマルウェアのコーディングに生成AIを使っている、という話だよ。


ブラックピット

ブラックピット: サイバー犯罪を狙う輩もすっかり生成AIのトリコですか。


上司X

上司X: サイバー犯罪者といっても、必ずしもプログラミングに長けているワケではないだろうからな。そういうヤツらが活用するのだろう。


ブラックピット

ブラックピット: 活用っていうか悪用ですけどね! せめて自力で作ってみなさいよ、自力が無理なら諦めなさいよ、とか思っちゃいますね。


上司X

上司X: コーディング自体は悪用ではない気もするけどな。生成AIでコーディングしたマルウェアを使って情報を窃取するようなことはもちろん悪だろうが。


ブラックピット

ブラックピット: それはまた……、なんというか屁理屈なような。


上司X

上司X: そうかい? ともかく、最近だとRaaS(Ransomware as a Service)なんてのもあるしね。自力だなんだと関係なく、誰もがサイバー攻撃の首謀者になり得るってことだよ。


ブラックピット

ブラックピット: ただでさえ減る気配もないのに、生成AIまで絡んでくるなんて。対サイバー犯罪はこれからも一筋縄ではいかないってことですね。厄介なことですよ、本当に。


上司X

上司X: 確かに厄介な話だよ。これまでだってサイバー犯罪には新たな手法がどんどん登場してきて、そのたびに新たな対処方が考えられてきたんだ。これからもなんとかなってほしいものだけれどな。しかし、まずはフィッシングに引っ掛からないように自己防衛するのが最善策だろうよ。キミも気を付けるんだぞ!

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。