法人組織でのクラウド利用が進む中、様々なデータの置き場所もクラウドへ移行しています。クラウドは利便性が高いものですが、その利便性ゆえに設定の不備が思わぬ事態を招くこともあります。この2月以降、米国と英国でクラウドストレージの設定ミスによる情報漏えいが連続して発生しています。いずれもクラウドストレージに問題はなく、利用者の不備が原因となった事例でした。
続きを読むサイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。
パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot(ロキボット)」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、C#コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。
続きを読む感染端末の近隣にある無線LAN(Wi-Fiネットワーク)に侵入して拡散する「EMOTET(エモテット)」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン(オンライン銀行詐欺ツール)」でした。EMOTETはこれまで、新型コロナウイルス(2019-nCoV)のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。
続きを読むマルウェア検出の技術は進歩していますが、その検出を回避しようとするサイバー犯罪者側の動きも、様々なものが見られています。現在では多くのセキュリティベンダーが取り入れている、機械学習型検出では、不正コードの特徴などマルウェア特有の共通点を学習し、不審なプログラムファイルを警告します。これに対しサイバー犯罪者は、正規ファイルの情報をマルウェア内に取り込むことにより、特徴を変化させて検出を回避しようとする試みを行うことがあります。この機械学習型検出に対する回避の試みの例として、米ドナルド・トランプ大統領のニュースを利用したとみられるマルウェアが相次いで確認されました。
トレンドマイクロは、「モノのインターネット(Internet of Things、IoT)」デバイスに感染するマルウェア「Mirai」の亜種2つを確認しました。 「SORA」(検出名「IoT.Linux.MIRAI.DLEU」)と「UNSTABLE」(検出名「IoT.Linux.MIRAI.DLEV」)と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。
続きを読むソーシャルエンジニアリングの手法を使い、メール受信者に恐怖心を抱かせて金銭を要求する新しいセクストーション(性的脅迫)の手口が確認されました。最近のセクストーションの手口の傾向に違わずビットコインでの支払いを要求するこの事例は、今年2020年初め、メールセキュリティ企業「Mimecast」のリサーチャによって確認されました。1月2日から3日にかけて、主に米国のメールアカウント所有者にむけて合計1,687通の脅迫メールが送信されたことが報告されています。
一見したところこの手口は過去数年間で確認されている他のセクストーションのものと違いはありません。あまり珍しくない、「要求額を支払わなければ、受信者の裸が映った動画を成人向けWebサイトで公開する」という脅迫内容です。
続きを読むインターネット上にいったん公開されたデジタルデータを消去することは困難です。特に、個人利用者や法人組織から漏えいした情報は、暴露されたり、サイバー犯罪者間で取引されたりして広まり、抹消することは困難です。結果的に、新たなサイバー犯罪に何度も「再利用」される可能性があります。2015年に「Ashley Madison(アシュレイ・マディソン) 」から漏えいしたとされる情報は、サイバー犯罪における漏えい情報再利用の例となってしまいました。
Ashley Madison は、既婚者向けの出会い系サイトです。2015年、サイトの運営会社「Avid Life Media」が「Impact Team」として知られるハッカー集団によってハッキングされました。Impact TeamはAvid Life Media に対し、Ashley Madisonともう一つの類似Webサイトを閉鎖しなければ、同サイトから収集した個人情報を暴露すると脅しました。Avid Life Mediaはこの要求に応じず、Impact Teamは数百万の会員の個人情報をダークWeb上で公開するに至りました。
図:確認された脅迫メールの例
続きを読む
