ESETのリサーチ部門、政府機関やECサイトを標的とする 新たなIISサーバーへの脅威を発見

サイバーセキュリティ業界のグローバルリーダーのESET(本社:スロバキア)は、これまで検出・文書化されていなかった10種類のマルウェアファミリーを発見したことを2021年8月6日に発表しました。ESETのリサーチ部門は、悪意ある何者かによりMicrosoft社のインターネットインフォメーションサービス(IIS)Webサーバーソフトウェアを利用し、脅威につながる拡張機能が実装されていることを明らかにしました。これらの脅威は、政府機関の電子メールやECサイトのクレジットカード情報などを標的としています。さらに、マルウェアの配信を支援しており、サーバーの通信を傍受し、改ざんを行っています。ESETのテレメトリ、ならびに、これらのバックドアを検出するためにESETの研究者が追加で実施したインターネット全体のスキャン結果によると、2021年にはMicrosoft Exchangeメールサーバーを標的とするエクスプロイトを介して、少なくとも5つのIISバックドアが拡散していました。

被害を受けた組織は、主に東南アジアの政府機関、カナダ、ベトナム、インドですが、米国、ニュージーランド、韓国などに所在するさまざまな業種の数十社も含まれています。

2021年8月6日、ESETは「ネイティブIISマルウェアの解析」に関するホワイトペーパー(英語のみ)を発行し、新たに特定された脅威の解説をしています。中でも特に注目すべき脅威であるIIStealer、IISpy、IISerpentについては、今後セキュリティブログで連載を開始します。ESETのIISマルウェアに関する調査結果は、Black Hat USA 2021で初めて公開されました。また、セキュリティコミュニティと情報を共有できるように、10月8日に開催されるVirus Bulletin 2021カンファレンスでも発表される予定です。

IISマルウェアは、サイバー犯罪、サイバースパイ、SEO詐欺などに幅広く悪用されていることが判明しましたが、いずれの場合もこれらのマルウェアの主な目的は、セキュリティが侵害されたIISサーバーに着信するHTTPリクエストを傍受し、これらのリクエストにサーバーが応答する方法を改変することです。ホワイトペーパーの著者であるESET研究者のZuzana Hromcováは次のように述べています。「インターネットインフォメーションサービスのWebサーバーは、サイバー犯罪やサイバースパイなどを目的とするさまざまな攻撃者に狙われています。Web開発者向けに拡張性を重視して設計されているこのソフトウェアのモジュラー型のアーキテクチャは、攻撃者にとっても有用なツールとなる恐れがあります。」

ESETは、IISマルウェアが動作する5つの主なモードを特定しました。

  1. IISバックドア:
    IISがインストールされているセキュリティが侵害されたコンピュータを、マルウェアのオペレーターが リモートから操作できるようにします。
  2. IIS情報窃取型マルウェア:
    セキュリティが侵害されたサーバーとそのサーバーにアクセスするユーザーとの通常の トラフィックを傍受し、ログイン認証情報や決済情報などを窃取します。
  3. IISインジェクター:
    サーバーにアクセスしたユーザーに送信されるHTTPレスポンスを変更し、悪意のあるコンテンツを送信します。
  4. IISプロキシ:
    セキュリティが侵害されたサーバーを、ユーザーに気づかれることなく、別のマルウェアファミリーのコマンド&コントロールインフラストラクチャの一部として悪用します。
  5. SEO詐欺IISマルウェア:
    検索エンジンに提供されるコンテンツを変更し、SERPアルゴリズムを操作して、攻撃者が意図する他のWebサイトが検索結果のランキングの上位に表示されるようにします。

Hromcováは、IISの脅威について次のように解説しています。「IISサーバーでセキュリティソフトウェアが実行されることはほとんどなく、攻撃者が気が付かれることなく、長期間活動することが容易になっています。Webポータルを管理している組織は、認証情報や決済情報などユーザーのデータ保護の観点から注目すべき問題です。Outlook on the web(Web版Outlook)を使用している組織も注意が必要です。Web版Outlookは、IISを利用しているため、スパイ活動の格好の標的になる恐れがあります。」

ESETは、IISマルウェアによる攻撃の影響を軽減するための次の4点の対策を推奨します。

  • IISサーバーの管理者アカウントに一意で強力なパスワードと多要素認証を使用
  • オペレーティングシステムは常に最新の状態で維持
  • サーバーでWebアプリケーションファイアウォールとエンドポイントセキュリティソリューションを使用
  • IISサーバー構成を定期的に確認し、インストールされているすべての拡張機能が正規のものであることを確認

ESETはホワイトペーパーの提供と同時に、今後ホワイトペーパーの内容をまとめたブログを公開します。

  1. IIStealer:eコマーストランザクションに対するサーバーサイドの脅威 – クレジットカード情報を窃取するためにサーバートランザクションを傍受する悪意のあるIIS拡張機能(トロイの木馬)について
  2. IISpy:フォレンジック機能に対応する複雑なサーバーサイドバックドア – セキュリティが侵害されたサーバーに常駐し長期的なスパイ活動を実施する悪意のあるIIS拡張機能(バックドア)について
  3. IISerpent:マルウェアを利用したサービスとしてのSEO詐欺 – サードパーティーWebサイトのページ検索順位を操作するために使用される悪意のある拡張機能(サーバーサイドトロイの木馬)について

これらのIISの脅威に関する技術的な詳細については、ホワイトペーパー(英語のみ)をご覧ください。IIStealer、IISpy、IISerpentに関するフォローアップ記事は、今後イーセットジャパンセキュリティブログで順次公開します。



Microsoft Exchange ServerのProxyLogonの複数の脆弱性を介して拡散する IISネイティブバックドアの被害

IISマルウェアの仕組みの概要