最終更新 2022年6月18日

<危険>イラスト制作依頼でウイルス感染 NFTアート・pixivスパム

イラストレーター、NFTデジタルアーティスト狙うイラスト制作依頼でコンピュータウイルス開いたマルウェア感染の手口、スクリーンセーバーscrファイルの正体。ピクシブのスパムメッセージGlu Mobileゲームのキャラクター制作オファーは詐欺。

ネット上で活動する絵師が狙われる!

日本も含む世界中のイラストレーターや NFT デジタルアーティストに照準を合わせたサイバー攻撃が確認されていて、マルウェア (コンピュータ ウイルス) に感染した Windows パソコンで深刻な被害が発生します。

  • ブラウザに保存されている認証情報を盗まれる被害
    └ Google Chrome、Microsoft Edge、Mozilla Firefox など

  • 保有する暗号資産 (仮想通貨) のウォレットをハッキングされる被害

Digital artists targeted in RedLine infostealer campaign - Blaze's Security
https://bartblaze.blogspot.com/2021/06/digital-artists-targeted-in-redline.html

少なくとも先週の木曜日 (2021年6月) から、複数のユーザーが Twitter で 「新しいデジタルアートの制作を依頼されてハッキングされた」 と報告しています。このユーザーたちは、デジタルアーティストとして実績があり、NFT (非代替性トークン) のマーケットプレイスで作品を公開していましたが、Instagram や Twitter のダイレクトメッセージ、Eメールで直接アプローチされました。

『@fvckrender 本当に気をつけて。見落とした私がバカだった。.scr ファイルを開いて、私の MetaMask のすべてのトークンを盗まれた。彼らは他のアプリにアクセスを試みたけど、それは 2 段階認証がブロックした。私はバカです。私みたいにバカを見ないようセキュリティを保護して。』

『@_NicoleRuggiero 本当にひどい 1 日。私の MetaMask がハッキングされて、次に Foundation.app のアカウントが危険にさらされている。Microsoft Word のアイコンで .scr ファイルを持った詐欺の企画書を開いてしまった。』

イラスト制作依頼でウイルス感染の手口 3 ステップ

【1】

詐欺師は NFT に興味のあるユーザー、NFT と縁のある企業担当者などに成りすまして、Twitter / Instagram アカウントのダイレクトメッセージ (DM)、あるいは外部窓口のEメールアドレス宛てに接触を試みます。

また、2022 年 4 月あたりから、必ずしも NFT 界隈と縁のない ArtStation / DeviantArt / pixiv のユーザーを無差別に狙ったサイバー攻撃も確認されています。

  • イラストやデジタルアート作品の制作を依頼する
    気分を高揚させるため 「あなたの作品は素晴らしい」 「あなたの絵の大ファンだ」 と持ち上げる

  • 開発中という NFT ゲームのテストプレイを依頼する 無題な濃いログ

  • 自分の作品の著作権を侵害していると警告して確認を促す


【2】

もっともらしい提案や依頼に応じたターゲットに対して、詐欺師はファイルをダウンロードして確認するよう誘います。

  • 「資料」 「企画書」 「契約書」
    └ イラストの詳細、報酬の支払い

  • 「作品の見本例」 無題な濃いログ

  • 「開発中のゲーム」 無題な濃いログ

  • 「著作権侵害の調査資料」

この時、詐欺師は海外のオンライン ストレージなどに投稿されているファイルをダウンロードするよう指示することが多く、セキュリティソフトやブラウザは正規サービスへのアクセスを阻止しません。

【マルウェア置き場で悪用される正規サービス URL】
dropbox.com
drive.google.com
mega.nz
mediafire.com
sendspace.com
onedrive.live.com
github.com
raw.githubusercontent.com
cdn.discordapp.com
wetransfer.com


【3】

ユーザーがダウンロードしたファイルは パスワード付き の圧縮アーカイブ (拡張子 .zip .rar) が多く、パスワードで保護されたファイルをセキュリティソフトでスキャンしても 「無害」 と判定するトラップに注意が必要です。

入手した圧縮アーカイブをユーザーが手動で展開・解凍すると、中から次の形式のファイルが登場します。

マルウェアの形式 2 パターン
スクリーンセーバー
(拡張子 .scr)
実行ファイルと同等で危険
実行ファイル
(拡張子 .exe)
アプリケーション

このファイルの正体が マルウェア (コンピュータ ウイルス) であることに気づかない Windows ユーザーさんは、躊躇なくファイルをポチポチッとダブルクリックして開いて感染 THE END !!!


影響環境は Windows のみ

詐欺師が開くよう誘うファイル (マルウェア) の動作環境は、Windows パソコンに限定されます。

Windows XP/Vista/7/8/10/11

↓影響なし
× mac.OS
× Android スマホ
× iOS (iPhone / iPad)

イラストレーターや NFT アーティスト襲うウイルス実例

イラストレーターや NFT アーティストを狙ったサイバー攻撃で実際に使われた スクリーンセーバー (拡張子 .scr)、実行ファイル (拡張子 .exe) のスクリーンショット画像をご覧ください。

攻撃で使われたマルウェア 1
NFT アートの作品制作依頼からワード文書にアイコン偽装したマルウェアのスクリーンセーバー。
ファイル名 「Collaboration terms .scr
・ アイコンを Word ファイルっぽく偽装
・ ファイルサイズが極端に大きい (765 メガバイト)

攻撃で使われたマルウェア 2
動画資料の名目で NFT アーティストに送信されたマルウェアのスクリーンセーバー scr ファイル。
ファイル名 「Technical Assignment … for designer artist.scr
・ アイコンを動画ファイルっぽく偽装
・ ファイル名が長い → ファイル名の後ろが省略されて拡張子が隠れる
・ ファイルサイズが極端に大きい (318 メガバイト)

攻撃で使われたマルウェア 3
イラスト制作依頼の契約書や企画書の名目でスクリーンセーバー scr ファイル。
ファイル名 「Information.doc.scr」 「Shill Information.gif.scr
・ アイコンを Word ファイルや GIF 画像っぽく偽装
・ ファイル名の二重拡張子
・ ファイルサイズが極端に大きい (306 メガバイト)

攻撃で使われたマルウェア 4
開発中の NFT ゲームのテストプレイを要望されて送信された実行ファイル .exe の正体はコンピュータウイルス。
ファイル名 「Stella Fantasy 4.46.exe
・ 実在のゲームに偽装している
・ ファイルサイズが極端に大きい (653 メガバイト)

次のスクリーンショット画像は、ArtStation / DeviantArt / pixiv のユーザーを狙った攻撃で使われたマルウェアで、海外のアプリ開発メーカーに成りすました詐欺師が 「キャラクターのイラスト制作依頼」 の仕事を装って騙します。

攻撃で使われたマルウェア 5
pixiv スパムメッセージからキャラクター制作コラボと称してダウンロードさせるマルウェア実物。無害な PNG 画像の中にスクリーンセーバー .scr ファイル。
ファイル名 「1.1.png.scr
・ アイコンを画像ファイルっぽく偽装
・ ファイル名の二重拡張子
・ ファイルサイズが極端に大きい (428 メガバイト)

攻撃で使われたマルウェア 6
pixiv ユーザーのイラストレーターにダウンロードさせるマルウェア実物。無害な PNG 画像の中にスクリーンセーバー .scr ファイル。
ファイル名 「1.1.scr
・ アイコンをイラストのサムネイル画像っぽく偽装


ウイルス攻撃者との 「やり取り」

詐欺師と英語で 「やり取り」 をしていた時の生々しいメッセージを公開して、送りつけられたスクリーンセーバー (拡張子 .scr) を開かないよう注意を促す NFT アーティストさんの投稿です。

【攻撃者とのやり取り、マルウェア画像】

○ 「wargaming_sketches_for_artists_pr_company_2022_wot.scr
https://twitter.com/senbenito_/status/1480190393061097474
TOR  (契約書) とスケッチと称して Dropbox に投稿したマルウェアをダウンロードさせる

○ 「Screenshot_09-07-21.png.scr
https://twitter.com/bryanbrinkman/status/1413541529415782413
「ちょっと問題があって、あなたの商品を購入できない。エラーが出てしまう。助けてくると本当にありがたい。あなたの作品にものすごい興味がある。」 と問い合わせて、エラーのスクリーンショット画像と称してマルウェアを送りつける

○ 「PaintingPromoProject Part Two.mp4.scr
https://twitter.com/arc4g/status/1403400865373986823
「私は 6 年前から暗号通貨に取り組んでいて、今は NFT を購入して才能あるアーティストを積極的に支援している。あなたの作品が気に入っていて、あなたの画風で私たちの作品を制作してほしい。興味があって、あなたの画風で作品を描いてくれるなら、再構築に必要な私たちの作品の見本を送信できる。費用はどのくらいで、時間はどのくらいかかるか?」 と要望して、Google ドライブに投稿されている MP4 動画に装わせたマルウェアをダウンロードさせる

○ 「VideoPresentation_BreakingBadCollection.scr
https://twitter.com/egoairlines/status/1477775282991996928
「私はウクライナの NFT 愛好家団体 SAMOLET INC の CEO を務めています。現在、TV シリーズ Breaking Bad をベースにした独自の NFT ゲームを開発中です。100 人のアーティストによる 100 作品を収録する予定。あなたの作品に信じられないほど惚れ込んでいて、協力をお願いしたい。あなたの都合の良い方法で報酬は支払います (ETH を希望)。」

○ 「A detailed example of my idea.pdf.scr
https://twitter.com/aiyeo/status/1507609959546044418
「私のガールフレンドがアートに夢中になっていて、あなたの画風が気に入っている。彼女の誕生日が近いのでプレゼントを送りたいが、注文で絵を描いてくれるか教えてほしい。」

○ 「A draw for interview.docx.scr
https://twitter.com/ftbianchi/status/1532455990582558729
「私は NFT Insider マガジンの記者をしている。6 月号のため、あなたにインタビューをしたい。インタビューの内容は NFT があなたの人生にどんな影響を与えたかだ。インタビューを受けてくれると本当にありがたい。」

○ 「sketches 13.07.2022.pdf.scr
https://twitter.com/Serpent/status/1540770171069276160
「Twitter であなたを見つけました。あなたの作品が本当に気に入りました。マーケットプレイスで何か作品はありますか? 作品集は見れないですか? 私はそこで見てみたい。 … わぁ、とても素晴らしい。私のために絵を描いてくれませんか? 母がアートに夢中になっていてプレゼントを送りたい。当然、あなたの作業に報酬を支払います。 … 私が描いたスケッチと他のアーティストの既製作品の見本例があります。見本例を送りたいので、Eメールを教えてくれますか? あなたの画風で描いてほしい。」 のやり取り後に、PDF 文書に偽装したマルウェアを送りつける

”知識” で対抗! 手口で分かるウイルス対策

用意周到な詐欺師は、Windows パソコンにセキュリティソフトがインストールされている前提でマルウェアを投げつけてきます。

残念ながら、後を追う セキュリティソフトを過信しすぎると痛い目 にあう恐れがあります。

セキュリティソフトの過信に注意
セキュリティソフトが脅威を警告するチャンスを明確に潰されている
・ Eメールの添付ではなく、正規のオンラインストレージにファイルを投稿
・ ダウンロードできるファイルはパスワード付きの圧縮アーカイブ
・ ほんの数時間前に作成したばかりの新鮮なマルウェア
ファイルサイズが数百メガバイトの大きさで弊害が発生する
・ セキュリティソフトのファイルスキャンで検出不全に陥りやすい
・ セキュリティ会社や VirusTotal にファイルの送信が困難

この攻撃で頻繁に使われるマルウェアが 「RedLine Stealer」 (レッドライン・スティーラー) です。




「やり取り型」 攻撃とファイルの拡張子

一連の手口は 「やり取り型」 攻撃と呼ばれていて、偵察を兼ねて相手との無害な数回のやり取りにより一定の信頼を得た後、警戒が緩んで気を許しているターゲットを急襲する戦法だそうです。

組織外部向け窓口部門の方へ: 「やり取り型」 攻撃に対する注意喚起 (2014年)
https://www.ipa.go.jp/security/topics/alert20141121.html

「やり取り型」 攻撃とは、一般の問い合わせ等を装った無害な 「偵察」 メールの後、ウイルス付きのメールが送られてくるという、標的型サイバー攻撃の手口の一つです。

メールの受信者が攻撃者からのメールに返信すると、辻褄の合う会話とともに、ウイルスの形態を執拗に変化させながら、なんとかして添付ファイル (ウイルス) を開かせ、受信者のパソコンへウイルスを感染させようと試みてくることが特徴です。

・ この攻撃手口では、問い合わせへ返信したり、添付ファイルの内容を確認せざるをえない、外部向け窓口が狙われる事例が多くみられます。

・ やり取りを重ねて “学習” することで、一段と手口が巧妙化してきています。

・ 攻撃者がパスワード付き圧縮ファイルを使うのは、メールサーバでのウイルスチェックを回避するためだと思われます。また、標的型サイバー攻撃全般に共通して言えることですが、ウイルスのファイルは、ウイルス対策ソフトで検知されにくいように細工されています。このため、ウイルスが窓口部門の担当者の手元まで届いてしまう可能性が高くなっています。

こういう攻撃の事前知識がないユーザーさんや、Windows のセキュリティ対策の基本である ファイルの拡張子 に注意を払う ことのない不用心なユーザーさんは騙されてしまうことでしょう。





関連するブログ記事
YouTube 乗っ取り確認方法 なぜハッキング目的
ブラウザに保存されているパスワードやクレジットカード情報の削除