東京オリンピックの開催を目前に控え、大会運営を狙うサイバー攻撃の発生が懸念されています。そんな中、2月中旬には、海外でソーシャルメディアのオリンピック公式アカウントがハッキングされた事例が報じられました。またそれとは別のオリンピック関連事例として、トレンドマイクロでは大会関係者を狙ったものと考えられる不審メールの存在を、国内でも確認しています。
続きを読むトレンドマイクロでは2019年における国内外での脅威動向について分析を行いました。特に国内での脅威を振り返った場合、個人利用者が直接の被害を受ける攻撃としては、9月以降に顕著化した国内ネットバンキングのワンタイムパスワード突破を狙うフィッシング攻撃に加え、利用者のカード情報詐取を狙うECサイト改ざんの攻撃などが挙げられます。また、特に法人組織に被害を与える攻撃として、2019年前半には法人利用者におけるランサムウェア被害が顕在化しました。そして、10月以降には、メール経由で拡散する「EMOTET」の攻撃が、最も大きな脅威となりました。これらの攻撃の中からは「人の弱点を利用し常識を覆す攻撃」と「高度な攻撃手法の一般化」が見られています。
続きを読むトレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、その中で非常に興味深い事例を確認しました。監視チームはあるWebサイトのコンテンツ内に、「Magecart」が使用する不正スクリプトが埋め込まれているのを発見しました。ECサイトを狙う攻撃で猛威を振るうMagecartについては昨年12月20日の記事などでも報告していますが、これも同様の攻撃の一事例と思われました。ただし、その被害を受けたと思しきサイトは「Olympic Tickets 2020」のサイト名で東京オリンピックのチケット販売サイトを名乗っていました。httpsの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいものでしたが、海外で東京オリンピックのチケットを販売してよい業者は決まっています。また海外ではチケット転売に関してライセンス制を敷くなど合法な国も多いものですが、今回の東京オリンピックに関しては組織委員会が用意する公式リセールサービス以外での転売は禁じられています。これらのことから、このサイトはオリンピックチケット販売を詐称する偽サイトであるものと判断されました。本記事執筆時点の2月3日現在、既にこの偽サイトはアクセス不可になっていますが、今後も同様の事例が登場する可能性は高く、注意が必要です。
図1:Magecartの使用するスクリプトが発見されたWebサイト
海外では指定業者にしか許可されていないはずの
オリンピックチケット売買を謳っており、偽サイトと判断できる
図2:サイト上のGoogle翻訳機能で日本語化した際の表示例
2019年11月の本ブログ記事でお伝えしたマルウェア「EMOTET(エモテット)」の国内での感染拡大ですが、その後もさらに激化が続いています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、EMOTETの検出台数は2019年11月に入りいったん落ち着いたかのように見えましたが、12月にはまた8,000件を越える急増となりました。
図1:国内でのEMOTET検出台数推移
(不正Office文書ファイル含む)
トレンドマイクロの監視では、感染したEMOTETに対して指令を送る遠隔操作用サーバ(C&Cサーバ)は、12月20日前後からいったん休止し、2020年に入って1月13日から活動再開したことがわかっています。しかしEMOTET検出台数は1月中旬までの速報値で既に1,500件を越えており、活動再開後わずかの期間にも関わらず高い数値となっています。このことからは、国内利用者を狙うEMOTETの攻撃は高いレベルで継続していると言え、注意が必要です。
続きを読む先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。
続きを読む2019年にも様々なサイバー脅威が登場し、利用者の安全を脅かしました。トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年1月~11月に発生したサイバー脅威を分析しました。結果、利用者に被害を与えた脅威の傾向として、一般の利用者が持つ「セキュリティの常識」、言い換えれば「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったと結論付けました。攻撃手法自体は既に以前から発生しているものであっても、一般の利用者にはまだ認識がない、その攻撃手法が拡大した、などの理由により、利用者にとっての「安全」の思い込みを覆す攻撃の被害が顕著になったものと言えます。本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えします。
図1:2019年、国内の個人と法人における三大脅威トピック
トレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。現在のところ、攻撃で使用される言語としては英語のみを確認しており、日本国内の利用者を対象としたものとは言えません。ただし、このような攻撃は繰り返されたり対象を拡大したりする可能性があるため、本記事を以て注意喚起いたします。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。
図1:今回確認されたフィッシングメールの例
メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC&Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。
図1:国内でのEMOTET検出台数推移
11月12日の本ブログ記事にて、脆弱性「CVE-2019-0708」(通称「BlueKeep」)を利用する攻撃が初確認されたことについて述べました。本記事ではその続報をまとめます。確認された攻撃では、最終的なペイロードとして感染コンピュータにコインマイナーをインストールし不正マイニングを実行するものでした。脆弱性を放置することは直接の被害に繋がります。BlueKeep脆弱性に対する修正プログラムは既に5月に公開されています。自身の管理する環境における更新の有無を再確認し、まだ適用していない環境では直ちに更新を行うことを強く推奨いたします。
続きを読む5月中旬に確認された「CVE-2019-0708」の脆弱性(通称「BlueKeep」)はWindowsのリモートデスクトッププロトコル(RDP)の脆弱性であり、本ブログの記事でもその詳細について解説しています。この脆弱性の危険性については、Microsoftが「WannaCry」のような強力なワームの登場に繋がりかねないとして、既にサポート終了済みのWindows XP以前のOSに対しても更新プログラムを公開したほどでした。そして公表から5か月近くが経過した11月頭、ついにこの脆弱性を利用する攻撃が実際に発生していることが初めて報告されました。この攻撃の存在はリサーチャが運用するハニーポットネットワークのクラッシュにより、観測されたものです。「BlueKeep」脆弱性に関しては既に6月の時点で複数のセキュリティ団体により攻撃方法が確認されており、実際の攻撃は時間の問題とされていました。攻撃に関する報告では、更新プログラムがまだ適用されていない多くのレガシーシステムが、「BlueKeep」を悪用する攻撃キャンペーンのターゲットになっていることが明らかにされており、実被害としては、コインマイナーの侵入による不正マイニングが行われていました。
続きを読む