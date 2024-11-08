スクリーンショットを盗むSpyAgentと呼ばれる新しいAndroidマルウェアが流行しています。光学式文字認識（OCR）テクノロジーを使用するこのマルウェアは、しばしばユーザーデバイス上のスクリーンショットに保管されている暗号通貨回復フレーズを狙っています。
被害を回避する方法をご紹介しましょう。
攻撃は（いつものように）フィッシングの試行から始まります。ユーザーには、一見すると正当と思われるアプリのダウンロードを促すテキスト・メッセージが届きます。その罠にかかってアプリをインストールすると、SpyAgentマルウェアが動作します。
その標的は、暗号通貨ウォレットに使用される12～24単語の回復フレーズのスクリーンショットです。これらのフレーズは長すぎるため、ユーザーはしばしば後から参照するためにスクリーンショットを撮ります。攻撃者がこれらの画面キャプチャーを侵害した場合、暗号ウォレットを自分の選択したデバイスに復元して、そこに含まれているすべてのデジタル通貨を盗むことができます。そして、資金は一度消えればそれきりです。仮想通貨プロトコルの性質上、トランザクションが完了すると、その状態を元に戻すことはできません。間違ったアドレスに送金された場合、送金者は受信者に、返金トランザクションを作成して完了するよう依頼する必要があります。
ユーザーが復元フレーズにスクリーンショットを撮り、SpyAgentに盗まれたら、攻撃者はウォレットを復元して、選択した宛先に資金を送金するだけで済みます。
このマルウェアは韓国で拡散しており、 Coin Telegraphによると280以上のAPKが影響を受けています。これらのアプリケーションは、公式のGoogle Playストアの外部で配布されており、多くの場合はSMSメッセージやソーシャルメディアの投稿を使用してユーザーの関心を引いています。感染したアプリの中には、韓国または英国の官公庁・自治体サービスを模倣しているものもあれば、出会い系アプリやアダルトコンテンツのアプリに見せかけたものもあります。
また、攻撃者が英国への進出を準備している兆候もあり、より広範囲にわたる侵害につながる可能性があります。さらにこのマルウェアは現在Android専用ですが、iOSバージョンが開発中されている兆候もあります。
SpyAgentの最優先事項は仮想通貨の復元フレーズですが、OCR技術を使用しているということはどのような画像でも入手できるということです。例えば、業務用デバイスにデータベースや分析のためのユーザー名とパスワードのスクリーンショットが保存されている場合、企業の資産が危険にさらされる可能性があります。複数の安全なサービスにアクセスできる管理者が、侵害リスクを軽減するためにそれぞれのサービスに固有のパスワードを必要とする場合を考えてみましょう。パスワードを安全に保持しつつ、オンデマンドで利用できるようにするため、善意のマネージャーはリストを作成し、さまざまな認証情報の組み合わせのスクリーンショットを撮ります。彼らは自分のデバイスが安全だと信じており、会社は多要素認証（MFA）や安全なシングルサインオン（SSO）などのソリューションを使用していることから、スクリーンショットをリスクとは考えていません。
しかし、ハッカーがマルウェアに感染したアプリケーションをクリックしてダウンロードするようマネージャーを説得した場合、攻撃者は保存されたイメージ・データを表示して盗み、このデータを使用して「正当な」アカウント・アクセスを得ることができます。
もう一つの潜在的なリスクは、個人データに起因します。ユーザーは個人的な健康データや財務データのスクリーンショットを所有している場合があり、これがデータ窃盗やなりすまし詐欺のリスクにつながります。また、ビジネス・パートナーや経営幹部の機密連絡先を持っている場合もあります。ここからは別のフィッシング攻撃の可能性が出てきます。
この画像ベースの侵害アプローチは、セキュリティー・チームに2つの問題を引き起こします。1つ目は、検出に必要な時間です。IBM 2024 データ侵害のコストに関する調査が指摘するように、企業がインシデントを検知し、封じ込めるには平均258日かかります。しかし、この数字はセキュリティが万全に機能している場合にのみ当てはまります。ユーザーの行動によってモバイル・デバイスが侵害され、マルウェアの唯一の目的が製品の画面を見つけて盗み出すことである場合、攻撃者が時間をかければ、この問題は長期間にわたって気づかれないままになるかもしれません。
一度犯罪者が行動を取ると、その損害は重大なものになる可能性があります。盗んだ認証情報を悪用することで、攻撃者は重要なサービスにアクセスし、アカウントの所有者を締め出すことができます。そこから、多数のITシステムやサービス全体にわたってデータをキャプチャして抽出できます。この直接的な行動によってITチームにアラートが送られるものの、セキュリティー対応は当然ながら事後対応であり、企業が攻撃を避けることはできません。ITチームは損害を軽減するだけです。
メッセージはシンプルです。携帯電話に保存されているとしても、完全に安全ということはありません。暗号復元パスワード、企業ログインとパスワード、または社会保障番号や銀行口座の詳細などのスクリーンショットは、攻撃者にとって格好の標的です。
被害を避けるということは、罠にかからないということでもあります。迷惑メールに応答しないこと、および承認されたアプリ保管を通じてのみアプリをダウンロードすることです。また、予防策を取ることでもあります。常に接続されているデバイスという性質上、完全な安全性というものは存在しません。デバイスに保管されているデータの数は少ないほど良いのです。
ユーザーは、公式のGoogle Playストアのみを利用することでデバイスを安全に保つことができます。Google Play以外のストアでダウンロードしたアプリケーションには、その安全性やセキュリティに関する保証はありません。その一部は、Googleの審査プロセスに合格していないだけの無害なアプリです。それ以外はほぼ公式アプリの複製のように見えるものの、隠しファイルやコマンドが含まれているアプリです。さらに、マルウェアをインストールし、コマンド・アンド・コントロール（C2）サーバーに接続するための媒介となっているものもあります。
さらに、企業はセキュリティのオートメーションとAIセキュリティツールのデプロイメントを活用できます。これらのソリューションは、一見無害に見えるものの、集めるとセキュリティ侵害の兆候を示す行動（IoC）のパターンを記録し、相互に関連付けることができます。。IBMのデータが示すように、AIとオートメーションを広範に利用している企業は、世界平均より98日早く侵害を検知し、封じ込めることができました。
The SpyAgentマルウェアは現在、韓国で急激に流行し、仮想通貨の回復パスワードを記録したスクリーンショットを盗み、企業を大規模なデータ侵害の危険にさらしています。
最高の防御は、スクリーンショットの保存を控えること、オフブランドアプリに対する疑いを持つこと、そして優れたインテリジェンス・ソリューションを導入することです。