トレンドマイクロでは、「Twin Flower(ツインフラワー、注:中国語「双生花」を意訳したもの)」の新しい活動を確認し、これに関連する検体「PUA.Win32.BoxMini.A」、「Trojan.JS.TWINFLOWER.A」、および「TrojanSpy.JS.TWINFLOWER.A」の解析を行いました。Twin Flowerの活動は、中国のキングソフト社のセキュリティリサーチャーが2018年に公開した調査によって初めて確認されました。今回確認されたファイルは、不正サイトにアクセスした際にユーザが気づかないうちにダウンロードしてしまうか、別のマルウェアによってコンピュータ上にドロップされてしまうと考えられています。今回の調査から、Twin Flowerキャンペーンでは、ブラウザからの情報窃取と共に、特定サイトへのアクセスを不正に操作することで不正なWeb検索結果の操作や広告収入獲得のための活動が行われていることがわかりました。 (さらに…)
続きを読む「モノのインターネット(Internet of things, IoT)」は、急速に私たちの日常生活に欠かせない存在になっています。個人のモバイル端末をはじめ家庭やオフィス、車の中、工場や町のいたるところに存在するIoTデバイスは、人々の生活を効率的で便利にしています。そのため、IoTの導入が増え続けているのも不思議ではありません。2019年には、公表されているIoTプラットフォームの数は620に増加しました。これは、2015年のプラットフォームの数の2倍です。今年2020年には、世界中で310億のIoTデバイスが利用されることが予想されています。それに伴い、サイバー犯罪者はネット恐喝などの悪質な目的から、バックドアやボットネットなどのIoTマルウェアを開発しています。トレンドマイクロの2019年年間セキュリティラウンドアップでも報告されているように、2019年にIoTボットネットによって実行されたブルートフォースによるログインの数は、2018年の3倍に跳ね上がっています。 (さらに…)
続きを読む「アドウェア」はその名前が示すように広告を表示させるソフトウェアであり、普段あまり注目を集めることはありません。その多くは無害なものと考えられており、リスクについても低く評価されています。しかし今回トレンドマイクロでは、XDRを含むトレンドマイクロ製品により収集された証跡と検体の解析から、悪質ともいえる活動をアドウェアが行う例を多数確認しました。検出した複数のアドウェアで共通して観察された活動には、「子音と母音が交互に並ぶランダムなドメイン名」へのアクセス、スケジュールされたタスク、そしてWScriptを介したメモリ内実行など、自身の活動を効果的に隠ぺいする手法が含まれていました。中には少なくとも4年の間活動を継続していたとみられる事例もありました。 (さらに…)
続きを読む新型コロナウイルス(COVID-19)のパンデミックは、様々な形で人々の実生活に大きく影響しています。そしてサイバー犯罪者にとってCOVID-19は、利用者の関心を惹くために最も便乗しやすいトピックとなっています。今回、世界的に蔓延するCOVID-19便乗脅威について、国際刑事警察機構(インターポール)が企業や在宅勤務者をCOVID-19に便乗するサイバー犯罪の脅威から守るための新たな啓発キャンペーン(英語ページ)を行います。トレンドマイクロはこれまでも本ブログ記事などでCOVID-19関連の話題に便乗するサイバー犯罪の事例について注意喚起してまいりましたが、今回のインターポールの活動に対してもパートナーとして協働いたします。この過去数か月で得られた大きな気づきは、パートナーシップは危機のときこそ重要であるという点です。私たちは協働で取り組むことで、より優れたものを生み出し、より広い範囲に伝えていくことができます。サイバーセキュリティにおける官民連携も同様であり、トレンドマイクロでは、自社の専門知識を提供するため、産業界、学界、法執行機関と協力しています。
新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
続きを読むMITRE ATT&CK評価の導入は、サードパーティによるセキュリティ評価の業界において歓迎すべき出来事と言えます。MITRE ATT&CKフレームワークによる評価の実践は、セキュリティ業界全体、さらにセキュリティ市場でサービスが提供される個々のセキュリティ製品の進歩を支援する上で待ち望まれた大きな一歩と言えるでしょう。
これらの評価から得られる知見は非常に有益です。しかし一部の専門家を除き、評価結果の正しい理解はそう簡単ではないことも事実です。評価結果の情報は貴重であると同時に密度が高いため、データの確認、解釈、提示などの方法が多岐に及びます(事実、各ベンダから公表されたブログ記事や業界記事からでもその傾向が分かるでしょう)。評価結果の公開後、今後数週間で評価結果のデータ確認作業を続ける必要があるでしょう。
こうした確認作業が進むにつれ、より多くの点が明らかになってきます。当記事では、評価結果についてトレンドマイクロが確認した10の重要ポイントを解説します。 (さらに…)
続きを読むトレンドマイクロのリサーチャは、認証情報を詐取するフィッシングページをホストするため、様々なクラウドサービスのプラットフォームを悪用する活動を確認しました。悪用されたサービスとしては、ノート機能のクラウドサービスである「Evernote」をはじめ、画像編集サイト「Canva」、インフォグラフィックおよびチャート作成サイト「Infogram」、ブランドテンプレートプラットフォーム「Lucidpress」など、複数の共有プラットフォームがありました。 (さらに…)
続きを読むトレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートが非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。 (さらに…)
続きを読む台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。
トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の2つのランサムウェアファミリー「Lockergoga」(「LOCKERGOGA」ファミリーとして検出対応)および「Freezing」(「FREEZING」ファミリーとして検知対応)、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。
トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)
続きを読む