フィッシング攻撃「CRON#TRAP」により、Windows環境にバックドア付きのLinux仮想マシン(VM)を隠密に設置する手口が明らかになった。企業ネットワークへの持続的なアクセスを目的としたこの手法では、フィッシングメールのリンクをクリックすることでQEMU仮想環境が自動的に構築され、バックドアを通じて外部の攻撃者がリモートアクセスできるようになる。

この仮想マシン「PivotBox」は「OneAmericaのアンケート」に偽装され、標的のデバイスにダウンロードされる。標準的なセキュリティツールが仮想環境内の悪意ある動作を検知できないため、発見が困難であり、攻撃者はC2サーバーとの安全な通信を確立し、ネットワークへのアクセスを持続する。

「CRON#TRAP」による攻撃の手法と狙いに潜む脅威

「CRON#TRAP」キャンペーンでは、「OneAmericaのアンケート」を装ったフィッシングメールが送られ、クリックしたユーザーのWindowsに285MBのZIPファイルがダウンロードされる。

このZIPには、攻撃者が設定した「OneAmerica Survey.lnk」と、QEMU仮想マシンアプリケーションを含む「data」フォルダが含まれており、これを介して「PivotBox」と呼ばれるTinyCore Linuxベースのカスタム仮想マシンが起動される仕組みだ。

「PivotBox」は、攻撃者が遠隔操作できるバックドアを搭載し、ユーザーの許可を得ずにネットワーク内での操作が可能になる。このバックドアには、ネットワークトンネリングツール「Chisel」が内蔵されており、コマンド&コントロール(C2)サーバーとの通信を経由して、攻撃者が感染したデバイスを自由に操作できる。

Securonixの報告によると、この攻撃はQEMUを利用したことにより、Windows上のセキュリティツールが検出できない点が特徴であり、被害者に気付かれることなく企業ネットワーク内で活動を継続できる。攻撃者がこの手法を選んだ理由は、仮想マシン環境を利用することでセキュリティ対策の目をかいくぐる狙いがあると考えられる。

このようなフィッシング攻撃は、ネットワークの持続的なアクセス権を得ることを目的としており、攻撃者は企業の内部情報を長期間にわたり監視できるリスクがある。従来のフィッシング攻撃がアカウント情報の窃取に重点を置いていたのに対し、「CRON#TRAP」はネットワーク侵入後に持続的にアクセスし続けるための隠密な技術を備えている点で、企業の情報セキュリティを脅かす深刻な手法であるといえる。

QEMUとChiselを組み合わせた高度な手法がもたらす新たな課題

「CRON#TRAP」攻撃では、QEMUとChiselを組み合わせた手法が用いられている。QEMUは通常、仮想環境の構築に使用されるが、このキャンペーンではこれを悪用して、仮想環境内にバックドアを仕込むことでWindows上のセキュリティシステムの検知を回避している。

このQEMUを使用した攻撃は、2024年3月にもKasperskyが報告した別の事例が存在し、攻撃者が軽量な仮想環境を利用することで、企業ネットワークに密かに侵入し、リモートサーバーと通信するキャンペーンが行われていた。

Chiselは、HTTPやSSHトンネルを経由してデータをやり取りするネットワークトンネリングプログラムであり、特に企業のファイアウォールをすり抜けるために効果的なツールだ。この組み合わせにより、攻撃者はファイアウォールによって保護された企業内ネットワークでも、攻撃対象のホストとの通信を確保できる。

さらに、感染端末が再起動してもQEMU環境が自動起動するように設定され、SSHキーの生成・アップロードによって継続的な認証が不要となることで、長期的な監視と操作が可能になる。

このような高度な手法がもたらす課題として、仮想環境における悪意あるプログラムの監視と、QEMUなどの正規ツールが悪用されるケースに対応するためのセキュリティ対策が必要とされる。また、攻撃が高度化するにつれて、企業のシステム管理者に対しても、こうした手法の知識と対策が求められる。

企業のセキュリティ対策と今後の防御への示唆

今回の「CRON#TRAP」をはじめとする、仮想環境を利用したフィッシング攻撃は、新たな防御策の必要性を浮き彫りにしている。QEMUを悪用したプロセスのモニタリングやブロックリストの設定は、一般的なセキュリティ対策として推奨されているが、さらに仮想化技術自体を制限するなど、セキュリティ上のアプローチが見直されるべきだろう。

重要なデバイスで仮想化を無効化することや、特定の仮想化ツールのアクセス制限をかけることで、攻撃リスクの低減を図ることも必要となる。

また、セキュリティソフト開発者やセキュリティチームは、仮想環境を利用した新たな攻撃手法を検知するための技術強化が求められる。従来のウイルススキャンやネットワーク監視システムだけでは仮想マシン内の不正活動を見抜くことが難しく、企業が持つセキュリティの盲点を攻撃者が突く可能性が高まっているからだ。今後、仮想環境の異常な動作を検知できるような高度なAI技術の導入も検討する必要があるだろう。

フィッシング攻撃が年々巧妙化する中で、セキュリティ対策の強化は急務である。Securonixの研究が明らかにした今回の攻撃手法は、企業が抱えるリスクに対して具体的な警鐘を鳴らしているといえる。