2019年7月22日から2019年8月6日の間、トレンドマイクロが設置したハニーポットから注目すべき3つのボット型マルウェア「Neko」、「Mirai」、「Bashlite」の新しい亜種を確認しました。2019年7月22日に、Nekoの検体を確認して解析を開始し、翌週の2019年7月29日には利用する脆弱性が追加された亜種を確認しました。また、2019年7月30日にMiraiの亜種「Asher」、さらに翌週の2019年8月6日にはBashliteの亜種「Ayedz」が確認されました。 これらのマルウェアに感染したルータは、分散型サービス拒否(Distributed Denial of Service, DDoS)攻撃を実行するボットネットの一部として機能します。
(さらに…)
「LokiBot」がアンダーグラウンドのオンライン掲示板において情報窃取およびキーロガー機能を持ったマルウェアとして初登場してから、数年にわたりさまざまな機能が追加されてきました。2018年1月下旬の活動では、LokiBotのマルウェアファミリが「Windows Installer」のインストールを利用したり、2019年6月には不正なISOファイルが添付されたスパムメールを含む新しい拡散手法を導入したことがわかりました。今回確認されたLokiBotの新しい亜種の解析では、活動を持続する仕組みが更新され、ステガノグラフィを通してコードを隠ぺいすることでシステム内での検出を回避する機能を改善したことが示されています。 (さらに…)
続きを読む機械学習(Machine Learning、ML)は、大量の脅威データを収集および処理し、限られたリソースで新しいマルウェアを迅速かつ正確に検出し解析することが求められる現代のサイバーセキュリティにおいて重要な役割を果たすようになっています。通常、機械学習モデルの学習には大きなデータセットを用います。しかし、新しいマルウェアが大規模感染(アウトブレイク)する際、決定的に重要な初めの数時間に入手できる検体は限られています。つまり、新しいマルウェアのアウトブレイクを食い止めるためには、ごく少ない検体を元に大量の亜種を検出する必要があります。
続きを読むトレンドマイクロは、マクロを含むWord文書が添付されたスパムメールがオンライン銀行詐欺ツール(バンキングトロジャン)「Trickbot」の新しい亜種(「TrojanSpy.Win32.TRICKBOT.TIGOCDC」として検出)を拡散していることを確認しました。この文書ファイルをクリックすると、ペイロードとしてTrickbotをダウンロードする重度に難読化されたJavaScriptファイルが作成されます。このスクリプトは感染PCで実行中のプロセス数をチェックし、少ない場合、仮想環境で実行されていると判断して活動を停止します。
このスクリプトは、情報窃取機能に加え、外付けディスクおよびネットワークディスク内の特定の拡張子を持つファイルを削除し、自身のコピーに置き換える機能を備えています。トレンドマイクロのデータによると、今回の活動は米国で最も多く確認されています。問題のスパムメールは、中国、カナダ、そしてインドでも拡散されていました。
■感染の流れ
図1は今回確認されたTrickbotの感染の流れです。
(さらに…)
企業のオンラインインフラストラクチャが、分散化や、クラウド、モバイル、モノのインターネット(Internet of Things、IoT)といった技術の導入によって複雑化するにつれ、修正プログラム(パッチ)管理はさらに時間とリソースを消費する作業になりました。しかしながら、パッチの適用の先送りは、セキュリティ上のリスクをもたらす場合があります。消費者信用情報会社「Equifax」で発生した2017年の情報漏えいは、パッチの適用を先送りした結果セキュリティがどれほど脅威に晒されるのかを示す具体的な事例です。何百万という顧客の個人情報を露出してしまう結果となったこの事例は、最終的にはEquifaxがパッチを適用していなかったWebアプリケーションの脆弱性に起因していました。 この脅威が引き起こした状況が落ち着いた際、Equifaxは、英国の個人情報保護監督機関(Information Commissioner’s Office 、ICO)によって課された50万ポンド(2019年8月7日時点で約6千万円)の罰金に加え、最大4億3,900万ドル(2019年8月7日時点で約465億円)の経済的損失があったとの見積もりを発表しました。
(さらに…)
トレンドマイクロは、人気のあるオープンソースの自動化サーバ「Jenkins」の初期設定で、限られた権限のユーザが管理者権限を取得し、遠隔から任意のコードを実行できる可能性があることを確認しました。本記事では、このセキュリティ課題の詳細と想定される攻撃シナリオについて解説します。
■「Jenkins」とは
Jenkinsは、ソフトウェア開発チームのDevOpsにおいて開発側の作業を管理するために使用される人気のあるオープンソースの自動化サーバです。Jenkinsは、継続的インテグレーションと継続的デリバリー(CI / CD)プロセスにおいてソフトウェアプロジェクトを自動的にビルドすることが可能です。このようなタスクはジョブと呼ばれます。
(さらに…)
サイバー犯罪者が全文検索エンジン「Elasticsearch」のサーバを狙うのは、法人組織におけるその人気と普及を考えると珍しいことではありません。事実、2019年第1四半期にはElasticsearchサーバの脆弱性やセキュリティの不備を突く攻撃の急増が見られました。トレンドマイクロの確認では、これらの攻撃は主に仮想通貨発掘マルウェアを送り込むものでした。
しかし最近、直接的に金銭的な利益をもたらすマルウェアではなく、バックドア型マルウェア「Setag(別名:BillGates、トレンドマイクロでは「ELF_SETAG.SM」として検出)」を送り込む攻撃が確認されました。これにより攻撃者は分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃のためのボットネットを構築します。
図1:攻撃の流れ
AppleはiOSのサンドボックス機構を使用して各アプリケーションがアクセス可能なリソースを制限し、アプリケーションのセキュリティとプライバシーを管理しています。この仕組みは、あるアプリが侵害された際に被害の範囲を制限するためのもので、App Storeを通して配布されているすべてのアプリによって採用されています。
このようなアクセス制御はアプリ間の通信を困難にしますが、Appleは慎重に設計されたいくつかの仕組みによってそれを補助しています。中でも最も一般的なものは「URLスキーム」です。基本的に、URLスキームはあるアプリから別のアプリに情報を伝達する仕組みです。例えば、あるアプリで「facetime://」から始まるURLを開いた場合、URLスキームによりビデオ通話アプリ「Face Time」が起動して通話を開始します。URLスキームを使用したこのようなショートカットは非常に便利ですが、アプリ間通信のために設計されたこの仕組みにはセキュリティ上の不備がありました。
本記事では、URLスキームを悪用したアカウントの侵害、請求詐欺、ポップアップ広告の表示といった攻撃の可能性について考察します。具体的には、中国の公式iOSアプリの中から、メッセージングおよびモバイル決済アプリ「WeChat」と買い物アプリ「Suning」を例として取り上げ攻撃シナリオを解説しました。WeChatやSuningと同様の機能を持つその他の多くのアプリも本記事で解説する攻撃に対して脆弱である可能性があります。トレンドマイクロは、そのようなアプリのベンダに通知を行い協働しました。特にWeChatの脆弱性については、弊社が運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」に報告しています。
続きを読むアドウェアを利用しモバイル広告で収益を得ようとするサイバー犯罪者の動きについては7月16日のブログ記事でも報告しています。同様に、不正に広告を表示するモバイルマルウェアの新種である「Agent Smith(エージェント・スミス)」に関する調査結果を、セキュリティ企業「Check Point」が2019年7月10日に公表しています。この報告では、インド、サウジアラビア、パキスタン、バングラデシュ、イギリス、アメリカ合衆国、そしてオーストラリアを中心に、約2,500万台ものデバイスが感染したとされています。この「Agent Smith」はトレンドマイクロでは現在「AndroidOS_InfectionAds.HRXA」として検出するものであり、このマルウェアを含む攻撃キャンペーンについては「Operation Adonis」と命名し調査していたものでした。この命名は、この攻撃で使用された多くのマルウェアで使用された証明書に”Adonis”の文字列が含まれていたことに由来しています。このマルウェアはオペレーティングシステム(OS)内に存在するAndroidの脆弱性を利用し、インストール済のアプリをユーザに知られずに不正なバージョンに置き換えることでAndroidデバイスに感染します。このマルウェアはユーザのデバイスに金銭的利益を目的とする不正な広告を表示しますが、この他にも銀行口座情報の窃取や攻撃の対象となったユーザの監視など、より直接的な被害につながる攻撃に活用される可能性があると見られます。
(さらに…)
