「GitHubを使うプログラマー」を狙ったマルウェア攻撃が発生　コードを秘密裏に改ざんされる可能性：ESETが注意を呼び掛け

GitHubを使うオープンソースプログラマーをターゲットにした標的型攻撃が発生している。コードをこっそり改ざんされる可能性もあるという。

» 2017年04月03日 10時00分公開

[＠IT]

　GitHubを使うオープンソースプログラマーを対象に、コンピュータをトロイの木馬プログラムに感染させようとする標的型攻撃が発生している。スロバキアのセキュリティ企業 ESETが2017年3月30日（現地時間）、公式ブログで注意を呼び掛けた。以下、内容を抄訳する。

Malware campaign targets open source developers on GitHub（ESET）

　GitHubを活用しているプログラマーは警戒が必要だ。何者かがあなたのコンピュータにマルウェアを感染させようと狙っているからだ。

　GitHubユーザーにメールを送り付け、コンピュータにトロイの木馬プログラムをインストールしようとする標的型マルウェア攻撃の発生が報告されている。

　この攻撃は2017年1月に発覚した。攻撃に使われる電子メールは、以下のようにプログラミングの仕事を持ち掛ける文面で届く。

Hey. I found your software is online. Can you write the code for my project? Terms of reference attached below.

（どうも。オンラインであなたのソフトウェアを見つけました。私のプロジェクトでコードを書いてもらえませんか。依頼事項の詳細は添付ファイルの通りです。）

The price shall discuss, if you can make. Answer please.

（引き受けていただけるならば、料金は相談に応じます。返事をお待ちしています。）

　また、最近見つかった攻撃メールでは、さらに「ほめ言葉」を交えるなどして、文面の唐突さを緩和させる工夫を取り入れている。

Hello,

（こんにちは）

My name is Adam Buchbinder, I saw your GitHub repo and i’m pretty amazed. The point is that i have an open position in my company and looks like you are a good fit.

（Adam Buchbinderと申します。あなたのGitHubリポジトリを拝見し、すばらしいと思いました。実は、私の会社に空いているポストがあり、あなたが適任のように思われます。）

Please take a look into attachment to find details about company and job. Dont hesitate to contact me directly via email highlighted in the document below.

（会社概要と職務内容のファイルを添付したので、ご覧いただけますか。このファイルに明記したメールアドレス宛に、遠慮なく直接連絡をください。）

Thanks and regards,

（以上、よろしくお願いいたします。）

Adam.

　添付ファイルはアーカイブ形式となっており、その中にWordドキュメントがある。これにマルウェアが仕込まれている。受信者が仕事に釣られてこのファイルを開いてしまうと、マルウェアがPCにインストールされる流れだ。

　パロアルトの研究者が「Dimnie」と呼ぶこのマルウェアは、ESETのセキュリティ製品では「VBA/TrojanDownloader.Agent.CLB」として検出される。

　このトロイの木馬プログラムは、標的のPCに感染して、キー操作の記録、スクリーンショット撮影、情報の窃盗といったスパイ行為を行う。GitHubを使うプログラマーのPCでは当然、オンラインで公開されているオープンソースコードをいじっている可能性もある。

　ちなみにこのトロイの木馬の最新版では、データの搾取をセキュリティ製品によって検知されないように、挙動をカムフラージュするように動作する。さらに、自身を破壊するとともに、感染PC上に存在した痕跡も消去することも可能としている。

　GitHubを使うプログラマーに対する攻撃の動機についてはいろいろ取り沙汰されたようだが、攻撃の首謀者は、プログラマーが勤務している可能性がある企業のシステムへの侵入に役立てようと、資格情報などの情報を盗んでいるのではないかとされている。さらに、攻撃者が「信頼されている本物のプログラマー」になりすまして、コーディングプロジェクトにこっそりと何らかの脆弱（ぜいじゃく）性を埋め込もうとしている可能性もある。

　こうした標的型攻撃は、巧妙だ。一方的に送られてきた添付ファイルについては、「開く前によく考える必要がある」ことをあらためて思い出させてくれる。

5分で絶対に分かる標的型攻撃
なりすましメールやドライブバイダウンロード、ゼロデイ攻撃や脆弱性……企業の情報を得るために、ありとあらゆる手法を利用する「標的型攻撃」を解説します。
なぜ、「標的型攻撃」で情報が漏れるの？――標的型メールのサンプルから攻撃の流れ、対策の考え方まで、もう一度分かりやすく解説します
近年取り上げられるセキュリティ関連のさまざまなキーワードについて、「素朴な疑問」から出発し、セキュリティ初心者の方にも分かりやすく解説することを目指した本連載。第1回のテーマは、「標的型攻撃」です。
その「セキュリティ教育」、本当に効果ありますか？
人間にまつわるセキュリティを考える本連載。昨今、「標的型メール攻撃訓練」などのセキュリティ教育・訓練が盛んに行われていますが、こうした教育・訓練はただ行えばよいというものではありません。あらためて、「セキュリティ教育・訓練」の目的や効果について考えてみましょう。
「Mirai」ソースコード徹底解剖－その仕組みと対策を探る
2016年9月以降に発生した複数の大規模なDDoS攻撃。本稿ではその攻撃に用いられたとされるマルウェア「Mirai」のソースコードを読み解き、対策法を紹介します。