2018 年 2 月末に報告された増幅型の「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System(DNS)」、「Universal Plug and Play(UPnP)」、「Session Description Protocol(SDP)」、「Network Time Protocol(NTP)」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータベースへのアクセスに関連した冗長な処理を削減することでデータへのアクセスを高速化しますが、残念なことにこのような memcached の特徴が DDoS 攻撃の増幅にも威力を発揮することが確認されました。
続きを読むAndroid 端末向け不正アプリ「AndroRAT」(「ANDROIDOS_ANDRORAT.HRXC」として検出)の新しい亜種が確認されました。この不正アプリは「Remote Access Tool(RAT)」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化します。この AndroRAT の亜種は、2016 年に公表された脆弱性「CVE-2015-1805」を利用し、権限を必要とするさまざまな不正活動を実行します。CVE-2015-1805 は Marshmallow より前の Android バージョンに影響を与えます。
続きを読むトレンドマイクロでは 2017 年 1 年間における国内外の脅威動向について分析を行いました。結果、2017 年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられる年であったと言えます。
2016 年に過去最大規模の被害を発生させた「ランサムウェア」の攻撃総数は、2016 年のおよそ 10 億件から 2017 年はおよそ6億件へと減少しました。しかし、ランサムウェア自体はサイバー犯罪者にとっての「ビジネス」として完全に定着すると共に、より効果的な攻撃を実現させるための攻撃手法の多様化が見られました。2017 年新たに登場した「WannaCry」は 5 月に脆弱性を利用したネットワークワーム活動を取りいれ、6 月以降も継続して拡散を拡大しています。また、既存の「LOCKY」や「CERBER」のような既存のランサムウェアは度重なる改変による多機能化などから、より攻撃しやすいツールとしてサイバー犯罪者に継続して利用されました。これら新旧のランサムウェアの代表である「WannaCry」、「LOCKY」、「CERBER」の 3 種のファミリーでランサムウェア検出台数全体の約 7 割を占める一方、残りの 3 割は「その他」ファミリーによるものであり多種多様なランサムウェアによる小規模な攻撃の多発を示しているものと言えます。
図:全世界におけるランサムウェアファミリー別検出台数推移
新登場の「WannaCry」が単体で全体の 57% を占める一方、
2016 年登場の「CERBER」と「LOCKY」で合わせて 12% を占めた
仮想通貨人気の高まりに伴い仮想通貨発掘ツールを悪用した攻撃も増加しています。トレンドマイクロは、比較的一般的なデータベース管理システム「Apache CouchDB」の 2 つの脆弱性を突き、仮想通貨「Monero」を発掘するマルウェア(「HKTL_COINMINE.GE」、「HKTL_COINMINE.GP」、「HKTL_COINMINE.GQ」として検出)を拡散する新しい攻撃を確認しました。Apache CouchDB は、拡張可能なアーキテクチャと利便性の高いインターフェイスを組み合わせたオープンソースのデータベース管理システムです。
今回攻撃に利用された脆弱性は以下の 2 つです。
- Apache CouchDB の JSON 形式データの取り扱いにおける遠隔からの権限昇格脆弱性「CVE-2017-12635」
- Apache CouchDBの設定変更機能における「遠隔でのコード実行(Remote Code Execution、RCE)」脆弱性「CVE-2017-12636」
Microsoft は 2017 年 11 月、遠隔でのコード実行が可能になる Microsoft Office の脆弱性「CVE-2017-11882」を修正する更新プログラムを公開しました。しかし、更新プログラム公開後にも「COBALT」のようなサイバー犯罪集団がこの脆弱性を利用して情報窃取型マルウェア「FAREIT」やオンライン銀行詐欺ツール「URSNIF」および「Loki」を改造した情報窃取型マルウェアのようなさまざまなマルウェアを拡散していたことが確認されています。Loki は当初、パスワードや仮想通貨ウォレットを窃取することのできるキーロガーとして販売されていたマルウェアです。
続きを読むサイバー犯罪者は、セキュリティ対策ソフトに対抗して攻撃を成功させるために常に新しい戦略を探求しています。ハッシュ値を変化させるポリモーフィズムやパッキング等の技術を採用するマルウェアの増加によって、従来のようなクライアント側(エンドポイント)におけるシグネチャベースの検出では対処しきれなくなってきています。また、強力な難読化やアンチサンドボックス技術によって動的および静的な解析は制限を受けています。新しく確認される脅威は増加の一途を辿っており、世界中のユーザを守るためにより高速な検出システムが必要とされています。
トレンドマイクロはこのような要望に応えるために、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加え、次世代の AI 技術のひとつである高度な機械学習型検索を活用するソリューションを提供しています。今回はこのトレンドマイクロのアプローチの中でも特に機械学習型検索を活用して、現在の静的および動的解析が直面している技術的な制約を克服し、過去に検出されていない新しい脅威をリアルタイムで検出することを可能にする取り組みを紹介します
このシステムは、ノード(頂点)とエッジ(辺)で連結関係を表すグラフ理論に基いた推論と機械学習を組み合わせ、短時間でダウンロード URL やソフトウェアが不正なものであるか分類します。
図 1:検出手法の概略
トレンドマイクロは、2017 年末から、Android 端末ユーザを標的とする諜報活動を確認してきました。今回報告する攻撃では、インドのユーザを狙った Android 端末向け不正アプリが利用されており、その背後には、以前政府職員を標的とした攻撃で確認されたハッカー集団がいると考えられます。弊社は当該アプリを「PORIEWSPY(ポリュースパイ)」と名付け、「ANDROIDOS_PORIEWSPY.HRX」として検出対応しています。共通のコマンド&コントロール(C&C)サーバを利用していることから、同集団は、「DroidJack/SandroRAT」(「ANDROIDOS_SANRAT.A」として検出)を元に作成された不正アプリも利用してると考えられます。DroidJackは感染した Android 端末を完全に操作することのできる「Remote Access Tool(RAT)」です。
これらの不正アプリの背後にいる攻撃者は、2016 年に報告されたサイバー諜報活動集団と関連しているかもしれませんが、この集団が以前の活動とは関係の無い別の攻撃を開始している可能性もあります。
続きを読むその活動内容によって悪名をはせるサイバー犯罪集団「Lazarus」は、正体に関する謎も相まって多くの関心を集めています。同集団は、2007 年の韓国政府に対する一連のサイバー諜報活動によって登場して以来、大きな被害をもたらした注目すべき標的型攻撃をいくつか成功させており、最近では、広く報道された 2014 年の Sony Pictures における情報漏えいや、2016 年のバングラデシュの銀行に対する攻撃が例として挙げられます。規模と影響の両面で Lazarus の活動の歴史に匹敵する集団はほとんどありません。その大きな理由の 1 つが、Lazarus が利用するツールと手法の多様性にあります。
続きを読む
Webサイトを閲覧するユーザの PCを利用して仮想通貨を発掘するツール「Coinhive」が登場してからというもの、悪用事例が後を絶ちません。トレンドマイクロでは、2018年1月24日、「malvertisement(不正広告)」を利用した「Coinhive(コインハイブ)(「JS_COINHIVE.GN」として検出)」を前日の 3倍近く検出しました。大きなトラフィックが発生していた Webサイトの広告には、Coinhive だけでなく、私有のマイニングプールに接続する別の仮想通貨発掘ツールも確認されました。また、攻撃者は、Googleのオンライン広告配信プラットフォーム「DoubleClick」を悪用していました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によると、影響を受けた国には日本、フランス、台湾、イタリア、スペインが含まれています。弊社は、すでに Googleに調査結果を報告しています。
続きを読む2018 年 1 月 8 日、セキュリティリサーチャが、仮想通貨発掘ソフトウェア「Claymore」を乗っ取る新しい「Satori(サトリ)」の亜種(「ELF_MIRAI.AUSV」、「ELF64_MIRAI.D」として検出)を確認したと発表しました。この亜種は端末所有者の発掘設定を攻撃者のものに書き換えることで発掘した仮想通貨を窃取します。新しい亜種のコードを解析したところ、背後にいる攻撃者は従来の Satori と同じであることを示す結果が得られたとのことです。
続きを読む