VexTrioと呼ばれるネットワークが、70,000以上の正規ウェブサイトを乗っ取り、マルウェアの配布、フィッシングページの提供、その他の不正行為に利用していることが研究者によって明らかにされました。このネットワークは2017年以前から存在しており、最近になってその詳細がより多く明らかになっています。VexTrioは、訪問者をマルウェアのダウンロードページや偽のログインページにリダイレクトすることで、不正行為やサイバー犯罪を行っています。少なくとも60の関連組織がこのネットワークに関与しており、提携先が提供したウェブサイトからVexTrioのトラフィック配信システム(TDS)を経由して、被害者のブラウザを有害なページに誘導しています。
セキュリティ企業Check Pointは、VexTrioを「かなりの」セキュリティリスクとして警告し、その広範囲にわたるリーチと洗練されたセットアップを指摘しています。また、Infobloxによる調査では、VexTrioが顧客にとって「最も広範な脅威」と結論付けられています。このネットワークを通じて配布されるマルウェアの一つにSocGholish(別名FakeUpdates)があり、これはWindowsマシンを狙い、ブラウザの更新を装ってバックドアマルウェアやランサムウェアなどを感染させます。また、Check Pointの報告によると、2024年の初めにはランサムウェアグループが活発な活動を見せていますが、これらの情報は約200のランサムウェアグループのリークサイトに基づいており、その正確性には注意が必要です。
【ニュース解説】
VexTrioとは、70,000以上の正規ウェブサイトを乗っ取り、マルウェアの配布、フィッシングページの提供、その他の不正行為に利用しているネットワークのことです。このネットワークは2017年以前から存在し、訪問者を有害なページにリダイレクトすることでサイバー犯罪を行っています。VexTrioは、トラフィック配信システム(TDS)を利用しており、特定の条件を満たす訪問者のみをリダイレクトします。このネットワークには少なくとも60の関連組織が関与しており、不正行為を行うサイトへのトラフィックを誘導することで収益を上げています。
セキュリティ企業Check Pointによると、VexTrioはその広範囲にわたるリーチと洗練されたセットアップにより、「かなりの」セキュリティリスクとされています。また、Infobloxの調査では、VexTrioが顧客にとって「最も広範な脅威」と結論付けられています。このネットワークを通じて配布されるマルウェアの一つにSocGholish(別名FakeUpdates)があり、これはブラウザの更新を装ってバックドアマルウェアやランサムウェアなどを感染させるものです。
このようなネットワークの存在は、サイバーセキュリティの分野において重要な課題を提起します。まず、正規のウェブサイトが乗っ取られることで、一般のインターネットユーザーが日常的に訪れるサイトからもマルウェアに感染するリスクが高まります。また、このようなネットワークはサイバー犯罪が高度に組織化され、商業化していることを示しており、犯罪者が技術的な手法だけでなく、経済的なインセンティブを利用して活動を拡大していることがわかります。
この問題に対処するためには、ウェブサイトの所有者がセキュリティ対策を強化し、不正アクセスや乗っ取りを防ぐことが重要です。また、エンドユーザーに対しても、ウェブサイトを訪れる際の注意喚起や、セキュリティソフトウェアの利用を促すことが必要です。さらに、サイバーセキュリティ企業や研究機関がこのようなネットワークの動向を監視し、情報を共有することで、迅速な対応が可能になります。
長期的には、サイバー犯罪に対する国際的な取り組みや法的枠組みの強化が求められます。VexTrioのようなネットワークは国境を越えて活動しているため、各国が協力して情報を共有し、共同で対策を講じることが効果的な対策となります。また、サイバー犯罪を助長する経済的なインセンティブを排除するために、不正な収益の流れを遮断する取り組みも重要です。
from Meet VexTrio, a network of 70K hijacked websites crooks use to sling malware, fraud.
