最終更新 2023年2月11日
<危険>pixivイラスト制作やNFTゲームで乗っ取りウイルス感染まとめ
ネット上で活動する絵師が狙われる!
日本を含む世界中のイラストレーターや NFT アーティストに照準を合わせたサイバー攻撃が確認されていて、Windows パソコンが マルウェア (コンピュータ ウイルス) に感染することをキッカケに深刻な被害が発生します。
Digital artists targeted in RedLine infostealer campaign - Blaze's Security
https://bartblaze.blogspot.com/2021/06/digital-artists-targeted-in-redline.html
少なくとも先週の木曜日 (2021 年 6 月) から、複数のユーザーが Twitter で 「新しいデジタルアートの制作を依頼されてハッキングされた」 と報告しています。このユーザーたちは、デジタルアーティストとして実績があり、NFT (非代替性トークン) のマーケットプレイスで作品を公開していましたが、Instagram や Twitter のダイレクト メッセージ (DM)、Eメールで直接アプローチされました。
『@fvckrender 本当に気をつけて。見落とした私がバカだった。.scr ファイルを開いて、私の MetaMask のすべてのトークンを盗まれた。彼らは他のアプリにアクセスを試みたけど、それは 2 段階認証がブロックした。私はバカです。私みたいにバカを見ないようセキュリティを保護して。』
『@_NicoleRuggiero 本当にひどい 1 日。私の MetaMask がハッキングされて、次に Foundation.app のアカウントが危険にさらされている。.scr ファイルで Microsoft Word のアイコンの詐欺の企画書を開いてしまった。』
イラスト制作や NFT ゲームでウイルス感染 3 ステップ
【1】海外の詐欺師が NFT アートに興味のあるユーザー、NFT と縁のある企業担当者、ゲームの開発プロジェクトに携わる関係者を装って成りすまします。
そして、Twitter や Instagram や Discord のダイレクトメッセージ (DM)、あるいは外部窓口のEメールアドレス宛てに接触を試みてきます。
- イラストやデジタルアート作品の購入を希望したり制作を依頼する
「あなたの作品は素晴らしい」 「あなたの絵に惚れた」 と持ち上げる - 作品の盗用や著作権侵害の警告で確認を促す
「あなたの作品が盗用されている」 「私の作品の著作権を侵害している」 と驚かす - 開発中というゲームのテストプレイを依頼する 無題な濃いログ
仮想通貨イーサリアムや米ドルで報酬を支払う旨い話をチラつかせる
2022 年あたりから、イラスト投稿サイト ArtStation、DeviantArt、pixiv ユーザーを無差別に狙い、危険なスパムメッセージをバラ撒くサイバー攻撃も確認されています。
【2】
もっともらしい提案や依頼に応じたターゲットに対し、詐欺師はあらゆる理由を付けて次のようなファイルをダウンロードして確認するよう誘ってきます。
- 制作を依頼するイラストに関連して
「企画書」 「契約書」 「資料」 「作品の見本例」 - 「著作権侵害についての調査資料」
- 「ゲームの開発プロジェクトのベータ版」 「自作ゲーム」
この時、海外企業が運営するオンライストレージにアップロードされたファイルをダウンロードするよう指示することもあり、セキュリティソフトやブラウザは正規サービスへのアクセスを警告しません。
【マルウェア置き場で悪用される正規サービス URL】
bitbucket.org
catbox.moe
cdn.discordapp.com
drive.google.com
dropbox.com
github.com
mediafire.com
mega.nz
onedrive.live.com
raw.githubusercontent.com
sendspace.com
transfer.sh
wetransfer.com
【3】
ユーザーがダウンロードするファイル形式は圧縮ファイルが多いです。
~ 圧縮アーカイブのファイル ~
.zip .rar .7z
.zip .rar .7z
事前にファイルの内容が把握できない上に、パスワード付き の圧縮ファイルの場合は 保護されているファイルをセキュリティソフトでウイルススキャンできないため 「無害」 と判定 するトラップが発動して注意が必要です。
ユーザーが圧縮ファイルを手動で展開 (解凍) した後、中から次のファイル形式が登場します。
マルウェアのファイル例 | |
---|---|
スクリーンセーバー (拡張子 .scr) |
実行ファイルと同等で危険 |
実行ファイル (拡張子 .exe) |
Windows アプリケーション |
実行ファイル (拡張子 .com .pif) |
DOS アプリケーション |
善人を装う詐欺師の言葉を鵜呑みにし、ファイルの正体が マルウェア (コンピュータウイルス) と気づけなかった Windows ユーザーさんは、危険なファイルを躊躇なくダブルクリックで開いて感染 The End です!
■ ウイルスの影響環境は Windows のみ
詐欺師が開くよう仕向けるコンピュータウイルスの動作環境は、基本的に Windows パソコンだけです。
○ Windows XP/Vista/7/8/10/11
↓影響なし
イラストレーターや NFT アーティストを襲うサイバー攻撃で実際に使われた スクリーンセーバー (拡張子 .scr) や 実行ファイル (拡張子 .exe) のスクリーンショット画像をいくつか示します。
■ イラスト制作依頼で投入された偽の 「契約書」 「資料」
NFT アーティスト狙う攻撃で使われたウイルス |
---|
ファイル名 「Collaboration terms .scr」 ・ Word ファイルっぽくアイコンの偽装 ・ ファイルサイズが極端に大きい (765 メガバイト) |
NFT アーティスト狙う攻撃で使われたウイルス |
---|
ファイル名 「Technical Assignment … for designer artist.scr」 ・ 動画ファイルっぽくアイコンの偽装 ・ ファイルサイズが極端に大きい (318 メガバイト)・ ファイル名が極端に長い → 後ろが省略されて拡張子が隠れる |
サイバー攻撃で使われたウイルス |
---|
ファイル名 「Information.doc.scr」 「Shill Information.gif.scr」 ・ Word ファイル、GIF 画像っぽくアイコンの偽装 ・ ファイル名の二重拡張子 ・ ファイルサイズが極端に大きい (306 メガバイト) |
■ pixiv メッセージでゲームのイラスト制作依頼!?
次の画像は、2022 年以降にイラスト投稿サイト ArtStation、DeviantArt、pixiv のユーザーを狙ったサイバー攻撃で使われたコンピュータウイルスです。
ゲームの開発に携わる関係者になりすました詐欺師が、ゲーム内に登場するキャラクターのイラスト制作という偽の求人でイラストレーターを勧誘してコンピュータウイルスをダウンロードさせます。
- 具体的なゲーム名の言及なし
(Playrix Holding Ltd / Playrix LTD / Playrix Agent) - 「Disney Sorcerer's Arena」 … ディズニー ソーサラー・アリーナ
(Glu Mobile LLC / Glu inc.) - 「Grand
Theft Auto VI」 … グランド・セフト・オート GTA 6
(Take2games / Rockstar Games)
NFT アーティスト狙う攻撃で使われたウイルス |
---|
ファイル名 「1.1.scr」 「1-1.scr」 ・ イラストのサムネイル画像っぽくアイコンの偽装 ・ 無害な画像ファイルの中にウイルスを紛れ込ませる |
イラストレータ狙う攻撃で使われたウイルス |
---|
ファイル名 「1-1.scr」 「1.1.jpg.scr」 「1-screenshot.scr」 「1a.scr」 ・ イラストのサムネイル画像っぽくアイコンの偽装 ・ 無害な画像ファイルの中にウイルスを紛れ込ませる ・ ファイルサイズが極端に大きい (714 メガバイト) |
NFT アーティスト狙う攻撃で使われたウイルス |
---|
ファイル名 「1.1.png.scr」 ・ 画像ファイルっぽくアイコンの偽装 ・ 無害な画像ファイルの中にウイルスを紛れ込ませる ・ ファイル名の二重拡張子 ・ ファイルサイズが極端に大きい (428 メガバイト) |
イラストレータ狙う攻撃で使われたウイルス |
---|
ファイル名 「example of work-1.scr」 「Case example of work-1.scr」 ・ イラストのサムネイル画像っぽくアイコンの偽装 ・ 無害な画像ファイルの中にウイルスを紛れ込ませる ・ ファイルサイズが極端に大きい (716 メガバイト) |
メッセージで仕事の依頼が送られてきました - pixiv ヘルプセンター
https://www.pixiv.help/hc/ja/articles/235584008
https://www.pixiv.help/hc/ja/articles/11801320611865
公認アカウント以外での企業による商業行為 ・ 宣伝行為を禁止しています。公認アカウント以外からの仕事依頼などの連絡について、pixiv 事務局は所在を保証いたしませんので十分にご注意の上、自己責任のもとご対応ください。
メッセージ設定にて 「メッセージを開始できるアカウント」 を 「pixiv 公認アカウントのみ」 にすると、他のユーザーとの新しいやりとりが開始されない設定となります。
■ 「NFT ゲームのベータ版」 のテストプレイ依頼!?
次の画像は、NFT 界隈で活動するユーザーを狙ったサイバー攻撃で使われたコンピュータウイルスです。
ゲームの開発に携わる PR マネージャーに成りすました詐欺師が、Twitter や Discord のダイレクトメッセージ (DM) を介して ゲームのテストプレイを依頼 した上で、コンピュータウイルスを配布するゲームの公式ウェブサイトへ案内します。
ゲームのプレイ依頼で使われたウイルス |
---|
ファイル名 「ReptileWorld_Launcher.exe」 など ・ 無害なフォルダーやファイルを含ませてゲームの配布パッケージっぽく偽装 ・ ファイルサイズが極端に大きい (687 メガバイト) |
ゲームのプレイ依頼で使われたウイルス |
---|
ファイル名 「Stella Fantasy 4.46.exe」 ・ 実在する NFT ゲームに偽装 ・ ファイルサイズが極端に大きい (653 メガバイト) |
【詐欺師が紹介する偽ゲーム開発プロジェクト例】
Apocalypse
Blaze Arena
BrawlEarth
BurstRoyale
CryptoConquest
Damned
DawnLand Meta World
Evolion
FireflyFramer
Guardians Of Throne
ImpulseFlow
Magical World
Meta World P2E
Mysticia
Olymp of Reptiles
Pearl land
Pure Land
Ronawind
ShadowCarnival
SPACE PEARL UNIVERSE
SpaceCity
SpaceWars
SquirrelsFlow NFT
The Mozi
Wild World
Wizverse
https://fireflyframer.blog.jp/34410019.html
知識で対抗! 感染手口から分かるウイルス対策
用意周到な詐欺師は、Windows パソコンにセキュリティソフトがインストールされている前提で攻撃を仕掛け、採用される脅威が 「RedLine Stealer」 (レッドライン・スティーラー)、「Lumma Stealer」 (ルマー・スティーラー) というコンピュータウイルスです。
- ブラウザに保存させている認証情報を盗まれる
ログイン情報&パスワード
クレジットカード情報
Cookie
対象ブラウザ … Google Chrome、Microsoft Edge、Mozilla Firefox など - 暗号資産 (仮想通貨) のウォレットのハッキング
デスクトップウォレット wallet.dat ファイル
Chrome ブラウザ拡張機能 … ウォレットアプリ MetaMask など
■ 詐欺師との 「やり取り」 からウイルス感染の恐怖
詐欺師と英語で 「やり取り」 をしていた時のメッセージを公開して、コンピュータウイルスを開いてしまわないよう注意を促す投稿です。
【詐欺師とのやり取り、マルウェア画像】○ 「wargaming_sketches_for_artists_pr_company_2022_wot.scr」https://twitter.com/senbenito_/status/1480190393061097474
TOR (契約書) とスケッチと称して Dropbox に投稿したマルウェアをダウンロードさせる○ 「Screenshot_09-07-21.png.scr」https://twitter.com/bryanbrinkman/status/1413541529415782413「ちょっと問題があって、あなたの商品を購入できない。エラーが出てしまう。助けてくると本当にありがたい。あなたの作品にものすごい興味がある。」 と問い合わせて、エラーのスクショ画像と称してマルウェアを送りつける○ 「PaintingPromoProject Part Two.mp4.scr」
https://twitter.com/arc4g/status/1403400865373986823
「私は 6 年前から暗号通貨に取り組んでいて、今は NFT を購入して才能あるアーティストを積極的に支援している。あなたの作品が気に入っていて、あなたの画風で私たちの作品を制作してほしい。興味があって、あなたの画風で作品を描いてくれるなら、再構築に必要な私たちの作品の見本を送信できる。費用はどのくらいで、時間はどのくらいかかるか?」 と要望して、Google ドライブに投稿されている MP4 動画に装わせたマルウェアをダウンロードさせるhttps://twitter.com/egoairlines/status/1477775282991996928
○ 「VideoPresentation_BreakingBadCollection.scr」
「私はウクライナの NFT 愛好家団体 SAMOLET INC の CEO を務めています。現在、TV シリーズ Breaking Bad をベースにした独自の NFT ゲームを開発中です。100 人のアーティストによる 100 作品を収録する予定です。あなたの作品に信じられないほど惚れ込んでいて、協力をお願いしたい。あなたの都合の良い方法で報酬は支払います (ETH を希望)。」
○ 「A detailed example of my idea.pdf.scr」
https://twitter.com/aiyeo/status/1507609959546044418
「私のガールフレンドがアートに夢中になっていて、あなたの画風が気に入っている。彼女の誕生日が近いのでプレゼントを送りたいが、注文で絵を描いてくれるか教えてほしい。」
○ 「A draw for interview.docx.scr」
https://twitter.com/ftbianchi/status/1532455990582558729
「私は NFT Insider マガジンの記者をしている。6 月号のため、あなたにインタビューをしたい。インタビューの内容は NFT があなたの人生にどんな影響を与えたかだ。インタビューを受けてくれると本当にありがたい。」
○ 「sketches 13.07.2022.pdf.scr」
https://twitter.com/Serpent/status/1540770171069276160
「Twitter であなたを見つけました。あなたの作品が本当に気に入りました。マーケットプレイスで何か作品はありますか? 作品集は見れないですか? 私はそこで見てみたい。」 「わぁ、とても素晴らしい。私のために絵を描いてくれませんか? 母がアートに夢中になっていてプレゼントを送りたい。当然、あなたの作業に報酬を支払います。」 「私が描いたスケッチと他のアーティストの既製作品の見本例があります。見本例を送りたいので、Eメールを教えてくれますか? あなたの画風で描いてほしい。」 のやり取り後に、PDF 文書に偽装したマルウェアを送りつける
一連の手口は 「やり取り型」 攻撃と呼ばれています。
偵察を兼ねて、相手との無害なメッセージのやり取りを経て一定の信頼を得た後、警戒が緩んで気を許しているターゲットを急襲する巧みな戦術です。
組織外部向け窓口部門の方へ: 「やり取り型」 攻撃に対する注意喚起 (2014年)
https://www.ipa.go.jp/security/topics/alert20141121.html
「やり取り型」 攻撃とは、一般の問い合わせ等を装った無害な 「偵察」 メールの後、ウイルス付きのメールが送られてくるという、標的型サイバー攻撃の手口の一つです。
メールの受信者が攻撃者からのメールに返信すると、辻褄の合う会話とともに、ウイルスの形態を執拗に変化させながら、なんとかして添付ファイル (ウイルス) を開かせ、受信者のパソコンへウイルスを感染させようと試みてくることが特徴です。
・ この攻撃手口では、問い合わせへ返信したり、添付ファイルの内容を確認せざるをえない、外部向け窓口が狙われる事例が多くみられます。
・ やり取りを重ねて “学習” することで、一段と手口が巧妙化してきています。・ 攻撃者がパスワード付き圧縮ファイルを使うのは、メールサーバでのウイルスチェックを回避するためだと思われます。また、標的型サイバー攻撃全般に共通して言えることですが、ウイルスのファイルは、ウイルス対策ソフトで検知されにくいように細工されています。このため、ウイルスが窓口部門の担当者の手元まで届いてしまう可能性が高くなっています。
■ ファイルの拡張子に注意を払う対策を!
こういうサイバー攻撃の事前知識がないユーザーさんはもちろんのこと、Windows のセキュリティ対策の基本である ファイルの拡張子 に注意を払わない不用心なユーザーさんは騙されてしまうことでしょう。
■ セキュリティソフト Microsoft Defender を回避される
詐欺師と1対1でのやり取りを部外者のセキュリティ会社は知る由もありません。
名誉欲や金銭欲をくすぐる詐欺師に心を操られて言いなりになり、後を追う セキュリティソフトを過信しすぎると痛い目 に合います。
ネットの世界は国境がなく詐欺師が身近にいる |
---|
安易に人を信用してはいけない 詐欺師は善人を装う 架空の人物が実在するかのよう捏造して SNS アカウントでなりすます |
誰もが詐欺の被害者になりうる 詐欺師の目の前に 10 人いたら、例外なく 10 人全員に声を掛ける 反応した数人は 「見込みアリ」 となり、詐欺師は騙そうと攻撃の手を止めない |
ファイルをダウンロードさせる流れがあるものの、その脅威を警告するチャンスは詐欺師によって明確に潰されています。
「誰かが自分を護ってくれる」 という幻想に注意 |
---|
詐欺師はダイレクトメッセージ (DM) を活用 振り込め詐欺の電話と似ていて1対1のやり取りに持ち込む |
詐欺師はオンラインストレージにファイルを投稿 パスワード付きの圧縮ファイルをダウンロードさせる → Eメールのフィッシング対策機能やウイルス検出機能を迂回できる |
詐欺師はリアルタイムで攻撃活動を遂行 数時間~数日前に作成した新鮮なコンピュータウイルスを投入しうる ウイルスのファイルサイズが極端に大きい (数百メガバイト) → セキュリティソフトでファイルスキャンしても検出不全に陥りやすい → ユーザー数が多いであろう Microsof Defender を回避される |
[pixiv 依頼 メール] [pixiv 海外 メッセージ] [pixiv DM スパム] [pixiv メッセージ 英語] [pixiv ウイルス] [pixiv メッセージ 知らない人] [pixiv メッセージ 怪しい] [NFT アート 詐欺] [NFT アート 危険性] [ゲーム テストプレイ 依頼] [NFT ハッキング] [P2E ゲーム 詐欺] [MetaMask ハッキング] [RedLine Stealer MetaMask] [メタマスク RedLine Stealer] [メタマスク Chrome トークン] [ウイルス ハッキング メタマスク] [Playrix 評判] [Playrix Agency] [Playrix Holding LTD メッセージ] [Playrix Company 怪しい] [Playrix pixiv スパム] …
関連するブログ記事
・ YouTube 乗っ取り確認なぜハッキング原因や目的・ ブラウザの保存パスワードやクレジットカード情報の削除
コメント一覧 (2)
Firefly
がしました
拡張子を盲信してはいけません。
拡張子は偽装できます。
その点についても周知していただければ幸いです。
Firefly
がしました