全世界2億5000万台以上のコンピュータでデジタル広告詐欺を働く中国発マルウェア「Fireball」攻撃、ブラジルでも被害

チェック・ポイント・ソフトウェア・テクノロジーズは6月20日（火）、チェック・ポイントの脅威情報およびリサーチ・チームが、全世界2億5,000万台以上のコンピュータが感染した中国発の大規模なマルウェア攻撃「Fireball」（ファイアボール）を確認したと発表した。

Fireballは、ブラウザ・ハイジャッカーとして標的のブラウザを乗っ取り、コンピュータを指示通り動く「ゾンビ」に変えるという。

被害者のコンピュータ上における任意のコードの実行（ファイルやマルウェアのダウンロードなど）および、感染したコンピュータのWebトラフィックを乗っ取り遠隔操作で広告収入を増やす、という2つの主な機能があるとのこと。

現在Fireballはプラグインと追加設定を導入して広告の表示機会を増やしているだけとのことだが、高度なマルウェア配布ツールにも容易に変貌するという。

チェック・ポイント・ソフトウェア・テクノロジーズによると、Fireballを発信しているのは、北京を拠点にデジタル・マーケティングを展開する大手広告代理店Rafotechとのこと。RafotechはFireballを使って被害者のブラウザを操作して、デフォルトの検索エンジンとホームページを偽の検索エンジンに変更。これにより、yahoo.comまたはGoogle.comの検索がTrotux.comなどの偽の検索エンジンにリダイレクトされるという。

偽の検索エンジンは、ユーザの個人情報を収集するトラッキング・ピクセルを備えているため、Fireballによる被害者の行動追跡、マルウェアの効率的な埋め込み、感染したコンピュータ上の不正なコード実行を可能にするとのこと。チェック・ポイント・ソフトウェア・テクノロジーズは、この攻撃で感染したコンピュータやネットワークはセキュリティ上の重大な欠陥にさらされるといている。

チェック・ポイントが発見した中国発の大規模なマルウェア攻撃Fireballは、全世界で2億5,000万台以上のコンピュータと20%の企業ネットワークへの感染が広がっています。今回の調査報告は、Rafotechのブラウザ・ハイジャッカーの拡散を「おそらく史上最大規模の感染被害」と定義しています。

チェック・ポイント・ソフトウェア・テクノロジーズによる主な調査結果は下記。

●Fireballはブラウザ・ハイジャッカーとして機能するほか、フル機能のマルウェア・ダウンローダーにも変貌する。被害者のコンピュータ上で任意のコードを実行できるため、認証情報の窃盗、新たなマルウェアの埋め込みなど、さまざまな被害に発展する可能性がある。

●Fireballはソフトウェア・バンドリング（ユーザが目的のプログラムをインストールする際に、同時にインストールされる仕組み）という不正な方法によって主に拡散する。同意確認が行われることはまれ。

●Fireball攻撃はデジタル・マーケティングを専門とする中国の広告代理店Rafotechによるもの。インターネット・サービス会社ELEX Technologyなど、他のブラウザ・ハイジャッカーも確認されている。

●感染の件数が多かった上位2か国は、インド（全体の10.1%）とブラジル（9.6%）。日本も感染範囲になっている。

Fireball感染の流れ、感染状況、確認方法と対策についてはチェック・ポイントブログ（http://www.checkpoint.co.jp/threat-cloud/2017/06/fireball-chinese-malware-250-million-infection.html）を参照。

（文／麻生雅人、画像提供／チェック・ポイント・ソフトウェア・テクノロジーズ）