弊社取り扱いのUTM(統合脅威管理)機器メーカーである、Check Point Software Technologies が発見し「ImageGate」と命名されたこの手法は、画像ファイルに悪質なコードを埋め込み、ソーシャルメディア(SNS)経由でマルウェアに感染させるという手法です。
【感染手順】
- 悪質なコードが埋め込まれた画像を攻撃者がSNSサイトにアップロード
- SNSサイトの設定を利用してユーザーに画像ファイルをダウンロードさせる
- ユーザーがファイルをクリックした瞬間にマルウェアが実行される
- 感染すると、ファイルが暗号化され脅迫文が出現する
https://www.youtube.com/watch?v=sGlrLFo43pY
Check Point Software Technologies 「ImageGate」解説動画(YouTube)
【図1】SNSから悪質な画像ファイルをダウンロードさせる(YouTube動画より)
【図2】感染したランサムウェアがファイルを暗号化する様子(YouTube動画より)
Check Pointでは9月上旬以降、FacebookやLinkedInを含む主要なSNSサイトでこの攻撃が使われているのを確認しているとのことです。
Check Point機器で動作しているアンチボット アンチウイルス機能の定義ファイルが
トロイの木馬、ランサムウェア Locky
トロイの木馬、ダウンローダー Nemucod
に対して最新の状態で対応済みというアナウンスがされています。
Check Point機器をご利用ではない場合、
画像をクリックしてファイルのダウンロードが開始された場合、
ファイルを絶対に開かないでください。
SNSサイト利用時は画像を表示だけにとどめること、
特にSVGやJS、HTAなどの特殊な拡張子の画像ファイルは
絶対に開いてはいけません。
Check Point社では『多くのユーザーがSNSに時間を費やすようになり、攻撃者もそうした動きに注目して攻撃手法を開発している』と注意喚起しており、今後ますます注意が必要です。