メインコンテンツにスキップする

Kaspersky Lab、企業ネットワークを標的とするファイルレスの仮想通貨マイナー「PowerGhost」を発見

2018年7月31日

PowerGhostの主な攻撃対象は、ブラジル、コロンビア、インド、トルコの企業で、企業ネットワーク内で拡散してワークステーションとサーバーに感染します。企業ネットワークに侵入する足掛かりを得るために複数のファイルレスの手法を使っており、マイナー自体はディスクに保存されないため、検知や修復が難しくなっています。

[本リリースは、2018年7月26日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのリサーチャーは、新しい仮想通貨マイナー「PowerGhost」が、主にブラジルやインドの企業ネットワークを攻撃していることを確認しました。リサーチャーは、悪意あるマイナーの開発者が企業を狙った標的型攻撃によって、さらに多額の金銭を得る方法に移行しているとみています。このような攻撃が増え続けた場合、マイナーが企業のコンピューターネットワークを悪用するため、大企業にとってもリスクとなる可能性があります。

Kaspersky Labの調査※ からも明らかになっていますが、最近ではランサムウェアに代わって仮想通貨を不正にマイニングするマルウェアが増大しています。PowerGhostはマイニングに特化したマルウェアです。これまでのところ、PowerGhostの主な攻撃対象はブラジル、コロンビア、インド、トルコの企業で、企業ネットワーク内で拡散してワークステーションとサーバーに感染します。興味深いことに、PowerGhostは企業ネットワークに侵入する足掛かりを得るために複数のファイルレスの手法を使っており、マイナー自体はディスクに保存されないため、検知や修復が難しくなっています。

コンピューターへの感染は、エクスプロイトやリモート管理ツールを介して行われます。感染すると、マイナーの本体が指令サーバーからダウンロードされて、ハードディスクに保存されずに実行されます。指令サーバーからは、マイナーの自動アップデートやネットワーク内での拡散が可能になり、仮想通貨のマイニングプロセスが開始できるようになります。

Kaspersky Labのマルウェアアナリストであるヴラダス・ブラヴァス(Vladas Bulavas)は次のように述べています。「マイナーの不正なインストールを目的として企業を攻撃するPowerGhostは、仮想通貨マイニングソフトウェアの新たな懸念点となっています。当社がマイナーを調査したところ、標的となるユーザー数はそれほど多くありませんでしたが、今は狙いを大企業にも向けるようになり、仮想通貨マイニングは企業にとって脅威になっています」

カスペルスキー製品は、このPowerGhostによる攻撃を次の検知名で検知・ブロックします。
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Kaspersky Labでは、仮想通貨マイナーの感染リスクを減らすために、次のことを推奨しています。

  • 使用しているすべてのデバイスで、ソフトウェアを常に最新の状態にする。脆弱性を悪用するマイナーを回避するために、脆弱性を自動で検知してパッチをダウンロードおよびインストールできるツールを使用する。
  • 順番待ち管理システム、POS端末、自動販売機など、標的として想定しにくいものであっても警戒を怠らない。このような機器も乗っ取られて仮想通貨のマイニングに利用される可能性がある。
  • アプリケーションコントロール、振る舞い検知、脆弱性攻撃ブロックコンポーネントを備える専用のセキュリティ製品を使用して、アプリケーションの不審な動作を監視し、悪意のあるファイルの実行をブロックする。
  • 企業環境でセキュリティを確保するためには、社員へのセキュリティトレーニング、機密データの分離保存、アクセス制限を実施する。

■ PowerGhostの脅威について詳しくは、Securelistブログ(英語)「A mining multitool」をご覧ください。

※ マイナーに遭遇したカスペルスキー製品ユーザーは、2016年4月~2017年3月と2017年4月~2018年3月とで比較すると、約190万から約274万に増加しました。検知した脅威全体の中で占める割合も3%から4%に上昇しました。詳しくは、Securelistブログ(英語)「Ransomware and malicious crypto miners in 2016-2018」をご覧ください。(統計情報はKaspersky Labのアンチマルウェア製品の各種コンポーネントから情報を収集する、クラウドネットワークKaspersky Security Networkで取得されたものです。なお、情報の収集には、カスペルスキー製品ユーザーからの同意を得ています)

Kaspersky Lab、企業ネットワークを標的とするファイルレスの仮想通貨マイナー「PowerGhost」を発見

PowerGhostの主な攻撃対象は、ブラジル、コロンビア、インド、トルコの企業で、企業ネットワーク内で拡散してワークステーションとサーバーに感染します。企業ネットワークに侵入する足掛かりを得るために複数のファイルレスの手法を使っており、マイナー自体はディスクに保存されないため、検知や修復が難しくなっています。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース