SNSを媒介としてランサムウェアを拡散する「ImageGate」

弊社取り扱いのUTM(統合脅威管理)機器メーカーである、Check Point Software Technologies が発見し「ImageGate」と命名されたこの手法は、画像ファイルに悪質なコードを埋め込み、ソーシャルメディア(SNS)経由でマルウェアに感染させるという手法です。

【感染手順】

  • 悪質なコードが埋め込まれた画像を攻撃者がSNSサイトにアップロード
  • SNSサイトの設定を利用してユーザーに画像ファイルをダウンロードさせる
  • ユーザーがファイルをクリックした瞬間にマルウェアが実行される
  • 感染すると、ファイルが暗号化され脅迫文が出現する

 

https://www.youtube.com/watch?v=sGlrLFo43pY
Check Point Software Technologies 「ImageGate」解説動画(YouTube)

 

SNSから悪質な画像ファイルをダウンロードさせる(YouTube動画より)【図1】SNSから悪質な画像ファイルをダウンロードさせる(YouTube動画より)

感染したランサムウェアがファイルを暗号化する様子(YouTube動画より)【図2】感染したランサムウェアがファイルを暗号化する様子(YouTube動画より)

Check Pointでは9月上旬以降、FacebookやLinkedInを含む主要なSNSサイトでこの攻撃が使われているのを確認しているとのことです。

Check Point機器で動作しているアンチボット アンチウイルス機能の定義ファイルが
 トロイの木馬、ランサムウェア Locky
 トロイの木馬、ダウンローダー Nemucod
に対して最新の状態で対応済みというアナウンスがされています。

Check Point機器をご利用ではない場合、
 画像をクリックしてファイルのダウンロードが開始された場合、
 ファイルを絶対に開かないでください。
 SNSサイト利用時は画像を表示だけにとどめること、
 特にSVGやJS、HTAなどの特殊な拡張子の画像ファイルは
 絶対に開いてはいけません。

Check Point社では『多くのユーザーがSNSに時間を費やすようになり、攻撃者もそうした動きに注目して攻撃手法を開発している』と注意喚起しており、今後ますます注意が必要です。