テレワークの普及は以前から予測されていましたが、現在進行中の新型コロナウイルス(COVID-19)の発生に対応して、世界中の多くの企業が急遽テレワークを導入している状況です。その結果、リモートから企業内ネットワークにサインインする従業員や、SaaS(Software as a Service)を利用する従業員が増加しています。このように必要に迫られた急激な変化の際には、さらなるセキュリティリスクが生じる可能性があります。
続きを読む2020年1月に公開されたMicrosoftのセキュリティ更新プログラムには、Windows CryptoAPI のなりすましの脆弱性「CVE-2020-0601」への対処が含まれていました。この脆弱性は、米国の国家安全保障局(NSA)によって警告されたもので、CryptoAPIの一部を構成する暗号化ライブラリの1つが楕円曲線暗号(Elliptic Curve Cryptography 、ECC)証明書を検証する方法に存在します。「CurveBall(カーブボール)」または「Chain of Fools」と呼ばれるこの脆弱性は、攻撃者に悪用された場合、偽のコード署名証明書を使用してファイルに署名し、信頼できる正当な送信元から送られたファイルに見せかける可能性があります。
続きを読むサイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。
パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot(ロキボット)」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、C#コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。
続きを読む感染端末の近隣にある無線LAN(Wi-Fiネットワーク)に侵入して拡散する「EMOTET(エモテット)」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン(オンライン銀行詐欺ツール)」でした。EMOTETはこれまで、新型コロナウイルス(2019-nCoV)のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。
続きを読むトレンドマイクロは、「モノのインターネット(Internet of Things、IoT)」デバイスに感染するマルウェア「Mirai」の亜種2つを確認しました。 「SORA」(検出名「IoT.Linux.MIRAI.DLEU」)と「UNSTABLE」(検出名「IoT.Linux.MIRAI.DLEV」)と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。
続きを読む