2014年12月中旬以降、韓国において原子力発電関連の情報漏えいが発生し、大きく報道されています。 これに伴い、この情報漏えいを行った攻撃者と見られるグループからは、韓国電力公社配下の韓国水力原子力発電(Korea Hydro & Nuclear Power、KHNP)に対し破壊的な不正プログラムによる攻撃を行ったとの声明も報じられています。この問題になっている「破壊的な不正プログラム」は、感染PC のハードディスクを破壊するため、「マスター・ブート・レコード(MBR)」を「一掃」するように設計されています。また、標的システムへの侵入には、韓国で広く使用されている文書ソフトウェア「アレアハングル」で作成された文書ファイル(拡張子HWP)の脆弱性を利用したと考えられています。また、問題の HWP の文書ファイルを開封させるために様々なソーシャルエンジニアリングの手法が利用されていました。
続きを読むこれまでも本ブログで取り上げているように、「偽サイト」もしくは「なりすましECサイト」と呼ばれる詐欺目的の不正サイトによる被害が後を絶ちません。これらの詐欺サイトは一般的なオンラインショッピングサイトを偽装し、利用者を騙して金銭やクレジットカード情報を詐取します。今回トレンドマイクロでは iPhone のアクセサリー販売を偽装した詐欺サイトを確認しました。この詐欺サイトに関して調査を進めた結果、日本国内から少なくとも 6000以上の利用者が誘導されていたこと、この詐欺サイトを設置したサイバー犯罪者は今回確認された詐欺サイトも含めおよそ 7万件ものドメインを取得し悪用していたことが確認されました。
続きを読む2014年10月に確認された「Secure Sockets Layer(SSL)」に存在する脆弱性「Padding Oracle On Downgraded Legacy Encryption(POODLE)」への修正プログラムは徐々に適用され始めています。トレンドマイクロは、12月、「Transport Layer Security(TLS)」の実装に、「POODLE」と同様の脆弱性が存在する可能性を確認しました。この脆弱性を利用した攻撃が行われると、TLS によって安全が確保された接続が、特定の条件で「Man-In-The-Middle(MitM、中間者)攻撃」に脆弱となり、暗号化されたトラフィックが攻撃者によって解読される可能性があります。
続きを読むオンラインショッピングなどの請求書を偽装して不正プログラムを感染させようとするマルウェアスパムの手口は以前から存在しますが、トレンドマイクロではこの 12月8日以降同じ手口のマルウェアスパムが急増していることを確認しました。確認されたマルウェアスパムは、RTF形式の文書ファイルが添付されただけの非常に単純なものです。しかし、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の統計では、12月8~9日の 2日間で、添付された不正プログラムが国内の 800台以上から検出されています。
続きを読むセキュリティ専門家は、2014年12月、新しい POSマルウェアを確認したと報告しました。このPOSマルウェアは、ロシアのアンダーグランドのフォーラムでの呼称から「LusyPOS」と名付けられ、トレンドマイクロの製品では、「TSPY_POSLUSY.A」として検出される不正プログラムです。セキュリティ専門家はその解析において、「LusyPOS」は「Dexter」ファミリに関連するいくつかの特徴を備えているが、その挙動から「ChewBacca」ファミリ(「TSPY_FYSNA.A」として検出)とも関連していると述べています。「ChewBacca」は、匿名通信システム「The Onion Router(Tor)」を利用してコマンド&コントロール(C&C)サーバに接続することで知られています。
続きを読む