「正規サイトを見ただけで感染する」攻撃が継続して発生しています。このエクスプロイトキットと呼ばれる脆弱性攻撃ツールを使用した脆弱性攻撃サイト（EKサイト）に国内のインターネット利用者を誘導する攻撃手法について、トレンドマイクロでは継続した監視を行っています。今回は、不正広告や正規サイト改ざんなどの手法で正規サイト利用者を EKサイトへ誘導して感染させる、まさに「正規サイトを見ただけで感染する」攻撃手口の、国内での現状をお伝えします。 ■脆弱性攻撃ツールの変遷 2016年を通じマルウェアスパムの攻撃が全世界的に拡大し、最大規模の不正プログラム拡散を招きました。このメール経由攻撃の激化の陰に隠れ、EKサイトを中心とする Web経由の攻撃は国内でも海外でも見過ごされがちになっていたと言えます。ただし EKサイトによる Web経由攻撃自体は 2016年を通じ、全体的に委縮の傾向が出ています。トレン

2016年3月中旬、米連邦捜査局（FBI）とマイクロソフトは新たな暗号化型ランサムウェア「SAMAS（サマス）」の存在を注意喚起しました。トレンドマイクロではこの新型ランサムウェアについて、2月下旬の時点で情報を入手し既に「RANSOM_CRYPSAM.B」として検出対応済みです。トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の統計によれば、この新型ランサムウェアはまだ広く大規模に拡散している状況ではなく、日本への流入も確認されていません。しかし、このランサムウェアの存在に注目が集まりつつある状況のため、現時点で弊社が確認している情報を本稿にてお知らせいたします。 ■ 「SAMAS」の特徴とそれが意味するもの 「SAMAS」は、これまでの暗号化型ランサムウェアと比較して２つのより凶悪な活動を持っています。１つはネットワーク共有

2016年3月10日前後からTwitterなどネット上で、モバイル端末を狙ったランサムウェアと思われる被害を訴える書き込みが散見されました。トレンドマイクロでは調査の結果、この事象の原因として、Android版ランサムウェア「AndroidOS_Locker」の国内流入を確認しました。このランサムウェアは感染した Android端末上で「MINISTRY OF JUSTICE」を詐称し日本語の身代金要求メッセージを表示します。これは Androidのランサムウェアとしては、初めて日本語表示に対応したものと言えます。 特に PC版のランサムウェアではデータを暗号化することで「人質」にする「暗号化型ランサムウェア」が現在の主流となっていますが、今回確認されたランサムウェアは端末操作を不可にすることで端末自体を「人質」にする「端末ロック型ランサムウェア」の活動となっています。このランサムウェアの

ホーム   »   モバイル   »   スマホや IoT機器、社内サーバでも脆弱性の修正が必要？： Linuxカーネルの脆弱性「CVE-2016-0728」から考える さまざまなスマホや IoTデバイス、そして社内サーバでも影響を受ける可能性がある脆弱性が確認されました。読み間違いではありません。スマートフォンや「モノのインターネット（Internet of Things、IoT）」関連の機器にも、また、インターネット上に公開されていない社内サーバでも、同様に脆弱性の修正プログラムを適用する必要があります。 今回、様々な機器に修正プログラムを適用する必要が生じた原因は、イスラエルのセキュリティ企業「Perception Point」のリサーチチームにより Linux のカーネルに存在する脆弱性「CVE-2016-0728」が新しく確認されたからです。カーネルとは Linuxオペレーティン

攻撃キャンペーン「BlackEnergy」に関してトレンドマイクロが入手した新たな知見から、産業用ネットワークへの攻撃は、当初把握していたよりも大きな範囲に及んでいることが明らかになりました。弊社による調査の結果、まず2015年12月にウクライナの電力発電所 2カ所で発生した稼働停止の背後にいる攻撃者が、同様にウクライナ国内の鉱業会社や大手鉄道会社も標的にしていた可能性があります。 これは「BlackEnergy」がエネルギー業界以外も標的にして進化していたことを示しています。今やこの脅威は公共および民間を含めてあらゆる業種の企業や組織が注意すべきものになりました。攻撃者の動機については推測の域を出ませんが、何らかの政治的な目的でウクライナ国内の重要な公共インフラに大きな損害を与えることを目論んでいると考えられます。 今回の調査結果は、「BlackEnergy」による事前調査や情報探索のツ

企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、さまざまな疑問や課題に直面していると思います。本連載「すぐに役立つセキュリティ対策」では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、すぐに業務に活かせる形で提供してまいります。今回は今年に入って特に法人での被害が急増している「ランサムウェア」について、組織で行うべき対策について説明します。 ■法人で被害を広げる「ランサムウェア」 「ランサムウェア」とは、感染した PC や PC内のデータを使用不能にし、その復帰と引き換えに「身代金」を要求する不正プログラムです。「身代金要求型不正プログラム」とも呼ばれます。 先日「vvvウイルス」として話題になった不正プログラムも、このランサムウェアの

2015年12月6日、国内のネット上で突如「vvvウイルス」の存在が大きな話題となりました。Twitter上での話題のピークとなった 12月6日12時には「vvvウイルス」についてのツイートを1時間で 5,000件以上確認しています。トレンドマイクロでこの「ウイルス」の存在について確認したところ、暗号化型ランサムウェア「CrypTesla」ファミリー（別名：TeslaCrypt）の新しい亜種である可能性が高いものとわかりました。また、このランサムウェアを拡散する攻撃は必ずしも特に日本を狙ったものではなく、世界的にも特に大規模な拡散には至っていないことも明らかになりました。しかし、このケースに関わらず、各種ランサムウェアによる被害は国内で拡大しておりますので注意は怠らないでください。 「CrypTesla」は他の暗号化型ランサムウェア同様、侵入したコンピュータ内のファイルを暗号化し、元に戻す

中国の検索エンジン「百度（Baidu）」のソフトウェア開発キット（Software Develoment Kit、SDK）「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが

Apple の iOS端末向け正規アプリストア「App Store」は、Apple が公開前にアプリを審査し、集中管理を行う、いわゆる「ウォールド・ガーデン（壁に囲まれた庭）」であり、安全なアプリストアと考えられてきました。しかし、「XcodeGhost」と名付けられた不正なコードが App Store上の複数の正規アプリで確認されたことから、App Store の安全性が揺らぐことになりました。 この「XcodeGhost」による正規アプリの汚染はどのように起きたのでしょうか。「Xcode」は、さまざまなプラットフォーム上で開発するための Apple社が提供する正規のツールキットです。中国の開発者にとって、公式サイトから「Xcode」をダウンロードするのは困難でした。なぜなら、「Xcode」は数ギガバイトあり、また Apple のサーバへの接続速度が遅いためです。中国では、国外より自国の

「ドメイン・ネーム・システム（Domain Name System 、DNS）」のサーバソフト「BIND」は、インターネット基幹で重要な役割を担っています。例えば、13 のルート・ネーム・サーバのほとんどが BIND を使用しています。2015年7月28日、BIND に存在する脆弱性が報告されました。この脆弱性を利用して、攻撃者は不正な TKEYクエリを匿名で送信するだけでサーバをクラッシュさせることが可能です。BIND の開発元「Internet System Consortium （ISC）」は、この脆弱性「CVE-2015-5477」に対するセキュリティ情報を公開し、「Proof-of-concept（PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード）」が公開されていることをユーザに報告しました。 ■脆弱性はどのように利用されるか これは、BIN

ホーム   »   サイバー攻撃   »   伊企業「Hacking Team」の情報漏えい事例：Flash Playerに存在する未修正の不具合を確認 2015年7月、イタリア企業「Hacking Team」が攻撃を受け、400Gバイト以上の機密情報が漏えいしたことが報道されています。この企業は、合法的に通信を傍受するためのソフトウェアを販売していることで知られ、政府や法執行機関が使用している可能性があります。なお、Hacking Team は、これまでに人権抑圧国家との取引はないと述べています。 Hacking Team から漏えいしたとされている情報は、現在インターネット上に公開されています。漏えいした情報のほとんどが Hacking Team の業務内容となっていますが、製品の販売先に関しては企業の公式発表と矛盾しているようです。また、漏えいした情報の中には、攻撃を実行するためのツ

日本年金機構での標的型サイバー攻撃による個人情報流出事件を受けて、対策や対応に関して様々な問題の指摘や検証がなされています。その中で、不正プログラムによる感染に関して担当係長から上層部に報告がなされていなかった点が指摘されています。 今回の事例では、不正プログラムによる業務用端末の感染被害に関して適切なタイミングで適切な関係者に報告がされていなかった点が問題点の 1つとして取り上げられています。インシデント発生時の報告義務が組織内部で文書化されているか、文書化されたうえで徹底されているか、文書化されていた場合にはどのタイミングで誰に報告すべきかどうかが明確になっているかどうか、何を把握して報告すべきか、適切な報告がなされたかなされていないかを判断するうえでは、こういった点がポイントになります。 今回のインシデントにおいてはこの「報告義務」については、第三者としてみたときには「当たり前のこと

セキュリティリサーチャーによる脅威の報告は、その脅威が除外されたことを意味するわけではありません。むしろ、新たな脅威の登場を意味する場合が多いと言えます。 最近、筆者は、自宅のルータの DNS設定が変更されるという出来事を経験しました。この変更により、警告画面に誘導され、その内容は、かつて不正プログラム「FAKEAV」の攻撃で用いられた警告と酷似していました。自宅のインターネットルータの DNS設定は、初期設定から別の設定へ変更されていたようです。筆者が使用しているルータは、インターネット・サービス・プロバイダ（ISP）から提供されたモデムとルータの一体型です。 自宅のルータの設定が変更された可能性に気づいたことから、このルータが感染しているかを確認するための調査も行いました。HTTP を介して Webサイトを閲覧したところ、使用しているすべて端末（Windows Phoneや、iPad、

マクロを悪用した不正プログラムは、古くから利用されてきました。しかし、2014年後半以降、この不正プログラムを利用した攻撃が目立ってきています。図1は、Microsoft の Wordファイルに表示されるセキュリティの警告です。マクロは初期設定で無効になっています。今回は、この警告がなぜ重要なのかを考える良い機会になるでしょう。 私は何人かの同僚に質問しました。「影響力の大きい、マクロを悪用する不正プログラムと言えば、真っ先に何を思い浮かべる？　できれば感染経路が Eメールのもので」。最初に返ってきた共通の回答は「メリッサ（「W97M_MELISSA.A」などとして検出）」でした。在職期間の長い同僚からは、「WM Concept」や「LAROUX」といった名前が挙がりました。さらに、2005年から 2008年頃に多く確認されたマクロを悪用する不正プログラムを別の同僚に挙げてもらったところ、

検出回避する脅威は、現在直面している最も危険な種類の脅威の 1つです。また、標的型サイバー攻撃やゼロデイ脆弱性を利用した攻撃など、最も対応が困難な攻撃事例で利用されます。検出回避は攻撃の成功の鍵となるため、攻撃者はそれをどう実現できるかを常に考えています。今回は、検出や解析を回避するためにサイバー犯罪者が利用する手法の 1つ、「steganography（ステガノグラフィ）」について取り上げます。 ステガノグラフィとは、ある情報を他の情報の中に埋め込んで存在を隠ぺいすることです。「steganos」とは、ギリシャ語で「隠された」を意味します。不正プログラムは気付かれずに何かを隠ぺいすることを好みます。そのため、サイバー犯罪者にとって、不正プログラムとステガノグラフィは最高の組み合わせです。今回、トレンドマイクロは、「ステガノグラフィ」とは何かを説明し、それが現在どのように不正プログラムに導

現時点でのJavaの最新バージョンは Java 8 です。1つ前のバージョンであるJava 7 について、Java の開発元である Oracle では、公式サポートを 2015年4月末で終了することを以前から公表しています。最近でも Oracle社のブログにて、Java 8 へのアップデートを促す記事の中で、4月中に公開される Java 7 update 80 が最後の公式リリースとなることを公表していました。まだ Java 8 にアップデートされていない利用者の方々は、早急なアップデートを行うことを推奨します。 トレンドマイクロの調査では、最新の Java 8 を使用している利用者は全世界で全体のおよそ 2割でした。ほとんどの利用者がまだ Java 8 にアップデートしていないことがわかります。また、これを日本国内の利用者に限定してみたところ、アップデートしている利用者はより少なくなり、

トレンドマイクロは、2014年のクリスマス商戦前に、新しい POSマルウェアを複数確認しましたが、その際に報告しなかったことが 1点ありました。それは、有効な証明書を利用してファイルにデジタル署名がされていたことです。弊社の調査によると、POSシステムを狙ったこうした攻撃は巧妙化してきており、コード署名や高度な暗号化はますます一般的になってきています。弊社ではまた、この POSマルウェアが不正プログラム「Anunak」に関連するサイバー犯罪者集団と関係していることを確認しました。「Anunak」はサイバー犯罪者集団「Carbanak」とも関係していることをセキュリティ企業「Fox-IT」が報告しています。 不正プログラムのコード署名は近年増加しており、不正プログラムの作成者は、不正なファイルを正規のソフトウェアに見せるためにファイル署名を可能にする鍵をしばしば探し求めます。今回の事例では、

特定のバージョンの Internet Explorer（IE）に存在するゼロデイ脆弱性が新たに確認され、標的型攻撃に利用されていることが確認されています。Microsoft は、今のところ、この脆弱性について公式の発表をしていませんが、IE 9 および IE 10 の両バージョンが影響を受けるとの報道がなされています。 この脆弱性が利用されると、攻撃者は、「ドライブ・バイ・ダウンロード」を利用して、Webサイトを閲覧したユーザに攻撃を仕掛けることが可能となります。これにより、攻撃者は、ユーザの操作を必要とせず、PC にファイルをダウンロードおよび実行することができます。 なお、以下のバージョンにおいては、今回の脆弱性の影響を受けません。 IE 11 が搭載された Windows 8.1 IE 8 までのみサポートしている Windows XP その他すべてのバージョンの Windows は