トレンドマイクロは9月11日、公式ブログで「オンラインストレージサービスの悪用事例、RAT『ADWIND』などが感染」と題する記事を公開しました。クラウド型オンラインストレージ(ファイル共有サイト)「A360 Drive」が、遠隔操作ツール(RAT,Remote Access Tool)など複数のウイルスの拡散に悪用された事例を紹介しています。
オートデスクの「A360」は、ビジネス利用を中心としたクラウドベースのコラボレーションサービスで、「Autodesk A360 Drive(A360 Drive)」「Autodesk A360 Teamサービス」等の機能を提供しています。個人の無料利用も可能で、ブラウザやデスクトップアプリからファイルをアップロードし、閲覧・編集する他ユーザを招待することができます。
トレンドマイクロでは2017年6月以来、A360 Driveにホストされているウイルスをいくつか確認していましたが、8月よりその数が急増しているとのことです。これらは、米国、南アフリカ、フランス、イタリア、ドイツ、香港、英国等で検出されています。
サイバー犯罪者の手法ですが、まずバックドア型ウイルスや遠隔操作ツールをA360にホストします。次に、侵入経路となるURLを埋め込んだ文書ファイル(不正マクロを含むWord文書等)をユーザにメール添付などの手段で送りつけます。ユーザがファイルを開くと、マクロによりA360へのアクセスが行われ、「ADWIND」「Remcos RAT」等の遠隔操作ツールが読み込まれます。最終的にこれらの遠隔操作ツールによって情報が盗み取られます。
トレンドマイクロは既にA360 を提供する「Autodesk」に対して本記事の内容を開示し、悪用されている URL の無効化およびさらなる悪用の防止のために積極的な協力を行っています。クラウド型サービスが、ウイルスの拡散やコマンド&コントロール(C&C)サーバとしてサイバー犯罪者によって悪用されている事例はこれまでにも確認されており、引き続き注視が必要です。
本脅威は特に疑いを抱いていないユーザが不正な文書ファイルを開いた際に、PowerShell のような正規ツールを利用して PC に侵入するため、正規システム管理ツールを悪用されないための対策や、メールに添付されたファイル経由の脅威流入を防ぐ対策の導入などが効果的です。
A360 Driveにホストされたウイルスの国別検出状況