2017 年 2 月、3 月と Web サイト関連の深刻な脆弱性が立て続けに発覚し、国内外の複数の Web サイトがこれらの脆弱性を狙ったサイバー攻撃の被害に遭いました。国内では複数の Web サイトで大規模な情報漏えいが発生し、トレンドマイクロでも Web サイトのセキュリティ対策強化セミナー(セミナーの内容はこちらを参照してください)を緊急開催するなど、企業に向けて早急な対応を呼びかけていました。
続きを読む2017 年 6 月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。Windows を狙ったこの事例は攻撃の一部に過ぎず、少なくとも対象となるプラットフォームは当初の想定よりも広範であることが判明しました。イスラエルの事例に続き、今回、より多くの機能を備えた Android 端末向け不正アプリが確認されています。
続きを読むLinux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されました。2017 年 5 月に更新プログラムがリリースされていますが、この脆弱性を利用した攻撃は現在も続いています。Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を利用することで、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になります。これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。影響を受ける Samba のバージョンは、3.5.0 以降のすべてのバージョンです。
続きを読むMac OS X を狙ったオンライン銀行詐欺ツール「OSX_DOK(ドック)」(「OSX_DOK.C」として検出)が確認されました。OSX_DOK.C は、電子証明書の偽造やセキュリティソフトによるスキャン回避等の巧妙な手法を利用するマルウェアで、スイスの銀行システム利用者を主な標的としています。攻撃者は、フィッシングメール送信活動によってこのマルウェアを送り込み、「Man-In-The-Middle(MitM、中間者)攻撃」を仕掛けてネットワークトラフィックをハイジャックし、最終的にネットバンキングの認証情報を詐取します。このような機能や挙動の類似性から、OSX_DOK.Cは「エメンタル作戦」で利用された「WERDLOD(ワードロッド)(「TROJ_WERDLOD」ファミリとして検出)」の別バージョンだと考えられています。本記事では、OSX_DOK.C の注目すべき機能について解説します。
■侵入方法と感染経路
図1:OSX_DOK がMac PC に感染する経路
(さらに…) 続きを読む
サイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。
今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。
続きを読むJava を利用したオープンソースの Web アプリケーション開発フレームワーク「Apache Struts」には、「Struts 1」と「Struts 2」という 2 つの主要バージョンが存在します。Struts 1 のサポートは 2008 年に終了しており、現在では 2007 年の初めにリリースされた Struts 2 が採用されています。Struts 2 への移行に際して「Struts 1プラグイン」が提供されており、Struts 1 のビジネスロジックを記述する「Action クラス」と、値を格納する「ActionForm クラス」はStruts 2 でも利用可能です。今回公表された脆弱性「CVE-2017-9791」は、「遠隔でのコード実行(Remote Code Execution、RCE)」を可能とするもので、Struts 1 プラグインで確認されました。影響を受けるバージョンは「Struts2.3.x」で、「2.5.x」に影響はありません。(「2.4.x」はリリースされていません。)
2017年3月に確認された前回の事例は、Apache Struts 2 の「Object Graph Navigation Language(OGNL)式」を利用して RCE が可能になる脆弱性でした。今回公表された CVE-2017-9791 も、OGNL 式を利用して RCE が可能になる脆弱性です。この脆弱性は、「S2-048」として公式サイトで報告されています。
続きを読む2017年7月2日、モバイル向けランサムウェア「SLocker(エスロッカー)」の新しい亜種(「ANDROIDOS_SLOCKER.OPST」として検出)が確認されました。この亜種は、5月中旬に世界的に拡散した暗号化型ランサムウェア「WannaCry」の GUI をコピーしていました。SLockerファミリは、最も古くから拡散している端末ロック型および暗号化型ランサムウェアの一種で、ユーザに身代金を支払わせるために法執行機関を偽装する「ポリスランサム」の手口を利用します。ここ数年間あまり活動は確認されていませんでしたが、2017年5月に突然復活しました。この亜種は Android端末を狙う暗号化型ランサムウェアであること、そして先日の WannaCry の成功に便乗しようと企む最初のモバイル端末向けランサムウェアであることが特徴です。
続きを読むサイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。
BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。
本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。
続きを読む
