現在の脅威状況で最も暗躍している脅威は、ランサムウェアです。最近のランサムウェア攻撃事例から、教育機関、政府関連組織、電力や水力会社、医療機関、金融機関などさまざまな業界のデータやシステムがランサムウェアによる暗号化の被害に遭っています。典型的なランサムウェアの拡散方法は2つあり、1つはスパムメールの添付ファイルによるもので、これが最も多く見られます。そして、もう1つ代表的なものがエクスプロイトキットです。
続きを読むトレンドマイクロは、不正広告キャンペーン「AdGholas(アドゴラス)」について、ProofPoint の Kafeine氏と共に調査してきました。そして、ProofPoint は、2016年7月末、この調査結果を同社ブログ上にて報告しました。問題の不正広告キャンペーンは、2015年に開始され、最も活発な時には 1日当り百万人にものユーザに影響を及ぼし、その後 2016年に入り活動停止しました。この一連の不正広告活動において、エクスプロイトキット「Angler Exploit Kit(Angler EK)」と「Neutrino Exploit Kit(Neutrino EK)」が利用され、また、画像の中に不正コードを埋め込み隠ぺいする、「steganography(ステガノグラフィ)」の手法が利用されていました。
続きを読む2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読む2016年5月18日(米国時間)、暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)が活動を停止し、復号に必要なマスターキーが無料で公開されました。このランサムウェアに関連する脅威状況の一大事件の裏で、CRYPTESLA が利用していた手口を再利用しようとするサイバー犯罪者がいるようです。この事例に先立って、4月に、従来のランサムウェア「REVETON」の背後にいるサイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
続きを読む「身代金要求型不正プログラム(ランサムウェア)」は、今日の脅威状況では既に目新しい脅威ではありません。そして、継続して機能を拡充して被害を拡大させています。「PETYA」「Mischa」「Locky」「7ev3n」「TrueCrypter」といった新しい暗号化型ランサムウェアによる攻撃が日常的にニュースとなっています。しかし今回、興味深い事実が確認されました。暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)の作成者が活動停止を決め、復号のためのマスターキーを無料で公開したのです。
続きを読むボットネットやコマンド&コントロール(C&C)サーバが閉鎖されたとしても、サイバー犯罪活動が一掃されるわけではありません。2013年12月5日のボットネット「ZeroAccess」の閉鎖は、ボットネットのクリック詐欺活動に影響を与えはしたものの、感染の確認は続きました。DRIDEX についても同様で、2015年10月13日、複数の C&Cサーバが閉鎖されたにも関わらず、現在も企業や組織に大きな影響を与える脅威です。トレンドマイクロでは、この DRIDEX の2015年脅威状況について「2015年 年間セキュリティラウンドアップ」で報告しています。
続きを読む第1回エクスプロイトキット最新動向分析では、2015年のエクスプロイトキット動向で観測された「改良」点と変化点について報告しました。第2回の今回は、どのエクスプロイトキットが多用されたか、また、どの国が狙われ、どれほどのユーザが影響を受けたのか、といったエクスプロイトキットが与えた影響の大きさについて考察します。
続きを読むトレンドマイクロは、2016年3月13日以降、米国を狙う「malvertisement(不正広告)」の大規模な攻撃を確認しています。この攻撃により最終的に、Angler Exploit Kit(Angler EK)を使用した脆弱性攻撃サイトに誘導され、不正プログラムに感染することになります。この不正広告に汚染された Webサイトには、大手ニュースサイト、芸能ポータルサイト、政治論評サイトなどが挙げられ、この 24時間以内だけでも、のべ数万ものユーザがアクセスしていることが判明しています。弊社の解析によれば、問題の不正広告は、高い閲覧数を誇る人気の Webサイトの広告ネットワークが改ざんされたものとわかりました。
なお、人気の Webサイトのほとんどから不正広告は、3月15日(日本時間)時点で削除されており、3月16日時点でこの攻撃の停止を確認しています。ただし、攻撃インフラを更新している可能性もあるため、トレンドマイクロでは、引き続き動向を監視しています。
続きを読むエクスプロイトキットは2015年の脅威状況において、脅威連鎖の中核的存在でした。新たな脆弱性を素早く攻撃可能にすると同時に、「malvertisement(不正広告)」や改ざんされたWebサイト経由で広範囲に攻撃が拡散されていました。本ブログでは、これらのエクスプロイト動向についてトレンドマイクロが行った分析について2回に分けて報告いたします。第1回の今回は、新たに確認された脆弱性からエクスプロイトキットを利用した攻撃の一部として用いられた新しい手法など2015年におけるエクスプロイトキットの「改良」について、第2回は、トレンドマイクロのクラウド型対策技術基盤「Smart Protection Network(SPN)」から のフィードバックをもとに、エクスプロイトキットが与えた影響の規模、また、最も影響を受けた国や地域について報告します。
続きを読む