ゲーミングコミュニティ向けの無料 VoIP サービス Discord で、チャットサーバーがマルウェアのホスティングに悪用されています。Discord で拡散が確認された悪質なサンプルのほとんどは、リモートアクセス型のトロイの木馬(RAT)で、特に多かったのが NanoCore(Trojan.Nancrat)、njRAT(Backdoor.Ratenjay)、SpyRat(W32.Spyrat)です。
[click_to_tweet:1]
Discord の使われ方
2015 年 3 月にリリースされて以来、Discord は特にゲームファンの間で人気を博しています。無料で簡単なうえに、マルチプラットフォーム対応という新機軸だったためです。2016 年 7 月の時点で、ユーザー数は 1,100 万を超えています。
Discord を使うと、10 秒たらずでサーバー、つまりグループを作成することができます。Discord 上のグループは、ほとんどがゲーマーたちの集まり(チーム、ギルド、クランなど)で、ゲーム中でもそれ以外でも、VoIP サービスを使って(チャットまたは音声で)会話しています。
もっと広いユーザーを対象にしたグループも、Discord を使うようになってきました。たとえば、IT セキュリティの研究者も、Discord にサーバーを作っています。あるいは、有効期限なしでグループへの招待リンクを設定し、サードパーティの Web サイトで宣伝するユーザーもいます。グループは、特定のトピックについて知識を共有したり交換し合ったりする場として紹介されるのが普通です。メンバー数が数千というグループも現れており、ほとんどはゲーム関連ですが、なかには技術系やアニメ関連のグループも存在します。
その一方、ハッカーのグループも Discord でサーバーを設定し、盛んに招待状を送り付けています。Discord サーバーを作成し、盗み出したデータやマルウェアを販売するブラックマーケットとして悪用する不審なグループもあります。
Discord で攻撃者がマルウェアを拡散する方法
Discord のチャット機能を使うと、メッセージやリンクを投稿できるほか、画像や動画を埋め込んだり、添付ファイルをアップロードしたりすることもできます。ゲーマーのチームやギルドはたいてい、チャットチャネルの一部を掲示板のように使っています。
Discord のアップロード機能は、大部分のファイル形式に対応しているため、攻撃者はサーバーを作成して悪質なファイルを投稿あるいはアップロードすれば、それを 2 段階攻撃のダウンロードサイトとして利用できます。ほかの攻撃者は、自分でサーバーを作成する必要さえありません。招待を受けたサーバーに手動でマルウェアを投稿するだけで、何も知らないユーザーがうっかり開いてしまうエサをばらまくことができるというわけです。
NanoCore や njRAT、SpyRAT のように、名前が売れていて入手の容易な RAT 以外にも、Discord にホストされているファイルのなかからシマンテックは各種のマルウェアを発見しています。Infostealer(情報収集型のマルウェア)、Trojan Horse(トロイの木馬)、Downloader(ダウンローダ)などです。これらは、ドライブバイダウンロードの手口やソーシャルエンジニアリング攻撃の一部だった可能性もあります。
図. Discord のチャットチャネルサーバーで見つかった NanoCore のサンプル
シマンテックが確認したところ、Discord のチャットサーバーにホストされているマルウェアのなかで最も流行しているのは NanoCore でした。NanoCore は、少なくとも 2013 年から確認されている RAT ですが、いくつかのバージョンが昨年のはじめころに流出しました。それ以来、NanoCore RAT の活動は途絶えることがありません。NanoCore の被害が確認されているのは、主に米国で、日本とドイツがそれに続いています。
狙われているユーザー層
Discord は、特にゲーマーを対象として設計されたので、標的の大多数はゲーミングコミュニティのユーザーです。重要な情報を隠したまま、ゲーム録画のようなコンテンツをストリーミングできるモードもあるため、動画ストリーミングを投稿するユーザーも多数集まっています。
攻撃者が Discord 上で RAT などのマルウェアを拡散しているのは、オンラインゲームに関する重要な情報(ログイン情報、アイテムやゲーム内通貨、連絡先など)を、被害者のコンピュータから直接盗み出す目的と考えられます。こうしたデータは、個人を特定できる情報(PII)、たとえば銀行口座情報、Web サービスの資格情報、連絡先の電話番号、IP アドレス、生体認証情報などに劣らず、攻撃者にとっては貴重だからです。それをすべて、データを盗み出す過程で入手される恐れがあります。
シマンテックセキュリティレスポンスは、すでに Discord のセキュリティチームに連絡をとっており、悪質なファイルはサーバーのチャットチャネルからすぐに削除されています。新しいウイルススキャン機能も追加されました。この機能は、実行可能ファイルやアーカイブファイルがアップロードされると、バックエンドサーバーで実行されます。招待に有効期限がない Discord サーバーのリストを公開しているサードパーティの Web サイトもありますが、Discord はそれをサポートも保証もしていません。
対処方法
Discord を利用するときは、以下のベストプラクティスに従うことをお勧めします。
- 知らないユーザーから届いたプログラムは、ダウンロードも実行もしない。
- Discord のパーミッション制御機能を利用して、サーバーのユーザーを制限する。
- ユーザーのパーミッションを制限して Discord での悪用を防ぐ、あるいは個別にパーミッションを付与して管理を強化する。
- Discord のサーバーに参加する際には、チャットチャネルに投稿されている内容に注意する。
- 音声チャネルを使うとき、知らないユーザーに個人情報を公開しない。
マルウェアに対する万全な保護のために、コンピュータも、セキュリティソフトウェアなどのプログラムも、最新のパッチとアップデートを適用して最新の状態に保つことをお勧めします。ソーシャルアプリケーション上で共有されているリンクにも、警戒が必要です。
保護対策
シマンテックとノートンの製品は、このブログでお伝えしたマルウェアを以下の定義で検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】