標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきました。トレンドマイクロは、2017年4月25日、リサーチペーパー「Two Years of Pawn Storm」(英語)を公開しました。「APT28」、「Fancy Bear」、「STRONTIUM」などでも知られる攻撃者集団「Pawn Storm」の攻撃範囲と規模について詳細を明らかにするとともに、彼らの主な目的であるサイバー諜報活動の手法を解説しています。弊社は、Pawn Storm作戦の活動を7年前から調査してきました。本ペーパーでは、過去2年の間に Pawn Stormが活動の焦点をサイバープロパガンダへと移行し、また、彼らの標的型サイバー攻撃が2016年には4倍に増加した経緯について報告しています。
続きを読む2017年4月初旬、諜報活動を目的とした大規模な標的型サイバー攻撃キャンペーン「Operation Cloud Hopper(クラウドホッパー作戦)」がセキュリティリサーチャによって最近明らかにされました。この攻撃は、報道によると、攻撃者集団「APT10(別名:「MenuPass」、「POTASSIUM」、「Stone Panda」、「Red Apollo」、「CVNX」)」によって仕掛けられ、「Managed Services Provider(マネージド・サービス・プロバイダ、MSP)」が狙われていました。そして、標的となった企業の資産や取引上の機密情報の窃取を目的としています。本記事では、この最新の脅威の概要と企業が取るべき対策について解説します。
■標的となったのは?
この攻撃キャンペーンは、北アメリカ、ヨーロッパ、南アメリカ、アジアの各地域に影響を及ぼしており、ごく最近では英国、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、そしてオーストラリアの MSP が標的とされたことが報じられています。
MSP はさまざまな顧客企業のアプリケーション、ネットワーク、システムインフラストラクチャを管理しています。MSP への攻撃における真の標的はそれら顧客企業であったと考えられます。真の標的となった業種は、エンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものと推測されています。
続きを読むトレンドマイクロは「INTERPOL(国際刑事警察機構、インターポール)」と共同調査を実施し、2017年3月、西アフリカ地域のサイバー犯罪者に関するリサーチペーパー(英語)をリリースしました。調査では、2013年から 2015年にかけて西アフリカ地域のサイバー犯罪者が企業から窃取した金額は平均270万米ドル(2017年3月16日時点で約3億600万円)、個人からは平均42万2,000米ドル(2017年3月16日時点で約4,800万円)に及ぶことが判明しました。西アフリカ地域では、ナイジェリア詐欺などのシンプルな手口から「Business Email Compromise(BEC、ビジネスメール詐欺)」などの巧妙な手口までさまざまなタイプの詐欺が猛威を振るっています。実際、今日のオンライン詐欺のほとんどは、この地域のサイバー犯罪活動増加に関連しています。
続きを読む「machine learning(機械学習)」や「AI(人工知能)」によるセキュリティ対策など様々な手法が導入され、セキュリティ対策製品は進化を続けています。しかし、不正プログラム側も進化する対策手法を回避し、自身の検出を困難にさせるための手法を次々と採用しています。トレンドマイクロは、今回、暗号化型ランサムウェア「CERBER」が機械学習によるセキュリティ対策を回避する手法を利用していることを新たに確認しました。確認された CERBERの新しい亜種では自身の不正コードを通常のプロセスに組み込み、プロセス上で実行するように設計されていました。
続きを読むMicrosoft Internet Information Services(IIS)6.0 に、バッファオーバーフローのゼロデイ脆弱性「CVE-2017-7269」が確認されました。PROPFIND リクエストのヘッダー「IF」の検証不備に起因するものです。
続きを読む開発者は、ソフトウェアのバージョン更新や、プロジェクトの管理と維持のためにこまめにソースコードを変更したり再加工したりする必要があります。そのような目的のために広く利用されている「GitHub」は、バージョン管理システムを提供するオンラインのリポジトリホスティングサービスです。ソースコードの管理・共有・合作・統合のための貴重なプラットフォームを提供している GitHubは、プログラマや開発者のためのソーシャル・ネットワーキング・サイトのように活用されています。
しかし、GitHubは悪用されることもあります。オープンソースのランサムウェアのプロジェクト「EDA2」と「Hidden Tear」は、教育目的を意図して作成されたはずでしたが、GitHubで公開されて以来、さまざまなランサムウェア亜種を生み出し、企業に損害を与えてきました。「モノのインターネット(Internet of Things、IoT)」機器の不具合を悪用するツールも GitHubで入手可能でした。標的型攻撃で利用されたキーロガー「Limitless」でさえ、GitHubのプロジェクトにリンクしていました。
続きを読むしばらく鳴りを潜めていたランサムウェア「TorrentLocker(トレントロッカー)」(「RANSOM_CRYPTLOCK.DLFLVV」、「RANSOM_CRYPTLOCK.DLFLVW」、「RANSOM_CRYPTLOCK.DLFLVS」、「RANSOM_CRYPTLOCK.DLFLVU」として検出)が、2017年2月下旬以降、再び活発化しています。これらの亜種は、クラウドストレージサービス「Dropbox」のアカウントを不正利用して拡散します。この新しいタイプの攻撃は、ランサムウェアによる「攻撃の手口や標的が多様化する」という、トレンドマイクロによる 2017年の脅威予測と合致しています。
続きを読むLinuxは、企業や IoT機器メーカに長い間好まれてきたオペレーティングシステム(OS)です。Linux搭載機器は、さまざまな業界のスマートシステムに導入されています。多様なサービスの運用を連結するIoT機器なくしては、重要なシステムの運営ができなくなっているとも言えるでしょう。Linuxの普及に伴い、Linuxを狙う脅威の増加も確認されています。トレンドマイクロは、2016年9月、「Linuxを狙う脅威の最新動向」として一連の Linux脅威について報告しました。中でも最も注目されているのは、「MIRAI」(「ELF_MIRAI」ファミリとして検出)です。
続きを読むApache Struts は、オープンソースのフレームワークで、Java の Webアプリケーションを構築するために用いられます。過去に Apache Struts で確認された「リモートでコードが実行される脆弱性(Remote Code Execution、RCE)」をトレンドマイクロが調査したところ、ほとんどで「Object Graph Navigation Language(OGNL)」のプログラミング式が利用されていました。Apache Struts のプロセスの多くが OGNLを利用しているため、これを利用することで遠隔でのコード実行が容易になります。
続きを読む
