新型コロナウイルス(COVID-19)の世界的な流行は、在宅勤務者、つまりテレワーカーの急激な増加という状況を生み出しています。同時に、テレワークを支えるビデオ会議アプリにも注目が集まっており、中でも「Zoom」は利用者が2億人を突破するなど急激な普及が報じられています。このように大きな注目を浴びたソフトやサービスには、便乗した攻撃を狙うサイバー犯罪者の注目も集まるため、様々な角度からセキュリティリスクが増大する傾向が見られます。本記事では直近で明らかになったZoomのセキュリティリスクと共に、対策の心がけについてまとめます。
続きを読む近年、ニュース記事上などで、サイバー犯罪やネット上の不正行為の背景として、「Deep Web(ディープウェブ)」や「Dark Web(ダークウェブ)」という言葉がよく紹介されます。これらの用語はネット上のアンダーグラウンド空間を意味していますが、果たしてそれらは広く一般のインターネット利用者に対し、どのような影響を与える存在なのでしょうか?トレンドマイクロでは以前から、サイバー犯罪に利用されるディープウェブに関する複数の詳細なレポートをまとめておりますが、本記事ではそもそもの用語の意味なども含め解説します。
続きを読むトレンドマイクロでは2019年における国内外での脅威動向について分析を行いました。特に国内での脅威を振り返った場合、個人利用者が直接の被害を受ける攻撃としては、9月以降に顕著化した国内ネットバンキングのワンタイムパスワード突破を狙うフィッシング攻撃に加え、利用者のカード情報詐取を狙うECサイト改ざんの攻撃などが挙げられます。また、特に法人組織に被害を与える攻撃として、2019年前半には法人利用者におけるランサムウェア被害が顕在化しました。そして、10月以降には、メール経由で拡散する「EMOTET」の攻撃が、最も大きな脅威となりました。これらの攻撃の中からは「人の弱点を利用し常識を覆す攻撃」と「高度な攻撃手法の一般化」が見られています。
続きを読むトレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、その中で非常に興味深い事例を確認しました。監視チームはあるWebサイトのコンテンツ内に、「Magecart」が使用する不正スクリプトが埋め込まれているのを発見しました。ECサイトを狙う攻撃で猛威を振るうMagecartについては昨年12月20日の記事などでも報告していますが、これも同様の攻撃の一事例と思われました。ただし、その被害を受けたと思しきサイトは「Olympic Tickets 2020」のサイト名で東京オリンピックのチケット販売サイトを名乗っていました。httpsの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいものでしたが、海外で東京オリンピックのチケットを販売してよい業者は決まっています。また海外ではチケット転売に関してライセンス制を敷くなど合法な国も多いものですが、今回の東京オリンピックに関しては組織委員会が用意する公式リセールサービス以外での転売は禁じられています。これらのことから、このサイトはオリンピックチケット販売を詐称する偽サイトであるものと判断されました。本記事執筆時点の2月3日現在、既にこの偽サイトはアクセス不可になっていますが、今後も同様の事例が登場する可能性は高く、注意が必要です。

図1:Magecartの使用するスクリプトが発見されたWebサイト
海外では指定業者にしか許可されていないはずの
オリンピックチケット売買を謳っており、偽サイトと判断できる

図2:サイト上のGoogle翻訳機能で日本語化した際の表示例
2019年11月の本ブログ記事でお伝えしたマルウェア「EMOTET(エモテット)」の国内での感染拡大ですが、その後もさらに激化が続いています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、EMOTETの検出台数は2019年11月に入りいったん落ち着いたかのように見えましたが、12月にはまた8,000件を越える急増となりました。
-.png)
図1:国内でのEMOTET検出台数推移
(不正Office文書ファイル含む)
トレンドマイクロの監視では、感染したEMOTETに対して指令を送る遠隔操作用サーバ(C&Cサーバ)は、12月20日前後からいったん休止し、2020年に入って1月13日から活動再開したことがわかっています。しかしEMOTET検出台数は1月中旬までの速報値で既に1,500件を越えており、活動再開後わずかの期間にも関わらず高い数値となっています。このことからは、国内利用者を狙うEMOTETの攻撃は高いレベルで継続していると言え、注意が必要です。
続きを読む先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。
続きを読む2019年にも様々なサイバー脅威が登場し、利用者の安全を脅かしました。トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年1月~11月に発生したサイバー脅威を分析しました。結果、利用者に被害を与えた脅威の傾向として、一般の利用者が持つ「セキュリティの常識」、言い換えれば「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったと結論付けました。攻撃手法自体は既に以前から発生しているものであっても、一般の利用者にはまだ認識がない、その攻撃手法が拡大した、などの理由により、利用者にとっての「安全」の思い込みを覆す攻撃の被害が顕著になったものと言えます。本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えします。

図1:2019年、国内の個人と法人における三大脅威トピック
トレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。現在のところ、攻撃で使用される言語としては英語のみを確認しており、日本国内の利用者を対象としたものとは言えません。ただし、このような攻撃は繰り返されたり対象を拡大したりする可能性があるため、本記事を以て注意喚起いたします。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。

図1:今回確認されたフィッシングメールの例
メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC&Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。

図1:国内でのEMOTET検出台数推移