2017年5月3日(米国時間)、報道によると、Gmail のアカウントを狙って、正規のアプリケーションに偽装した「Google Docs」へのリンクに誘導する巧妙なフィッシング攻撃が確認されました。この攻撃は 、Google Docs の正規のアプリに巧みに偽装したサードパーティのアプリケーションを利用した非常に効果的なもので、典型的なフィッシング攻撃に比べて気付くのが困難です。
続きを読むトレンドマイクロでは、2016年に確認した日本国内における「標的型サイバー攻撃」に関しての分析を行いました。この分析では標的型サイバー攻撃を「初期潜入」、「端末制御」までの「侵入時活動」と、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階にわけて分析を行っていますが、表面上は落ち着いているかに見える攻撃は、その内容を巧妙化、高度化させて継続している様が浮かび上がってきました。
標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきました。トレンドマイクロは、2017年4月25日、リサーチペーパー「Two Years of Pawn Storm」(英語)を公開しました。「APT28」、「Fancy Bear」、「STRONTIUM」などでも知られる攻撃者集団「Pawn Storm」の攻撃範囲と規模について詳細を明らかにするとともに、彼らの主な目的であるサイバー諜報活動の手法を解説しています。弊社は、Pawn Storm作戦の活動を7年前から調査してきました。本ペーパーでは、過去2年の間に Pawn Stormが活動の焦点をサイバープロパガンダへと移行し、また、彼らの標的型サイバー攻撃が2016年には4倍に増加した経緯について報告しています。
続きを読むトレンドマイクロは、2017 年 3 月末の時点で、Android 端末向けのバックドア型不正アプリ「MilkyDoor」(「ANDROIDOS_MILKYDOOR.A」として検出)が仕掛けられた 200 個のアプリを「Google Play」上で確認しました。その中には、50万~100万 回インストールされたアプリも確認されています。どこからでも情報にアクセスできる利便性により、ますます多くのモバイル機器がプラットフォームとして利用される中、企業に大きな影響を与えるモバイル端末向け不正アプリによる感染も増加しています。
MilkyDoor は、「Socket Secure(SOCKS)プロトコル」を利用したプロキシを用いて、不正アプリに感染したモバイル端末が接続している内部ネットワークに足掛かりを築くという手法を用います。これは、2016年4月に確認された、企業の内部ネットワーク侵入の足掛かりとなる Android 端末向け不正アプリのファミリ「DressCode(ドレスコード)」(「ANDROIDOS_SOCKSBOT.A」として検出)に類似しています。MilkyDoor は、SOCKS プロキシを設置することによって、企業が予期せぬうちに、サイバー犯罪者がネットワークを偵察し脆弱なサービスにアクセスする手段を提供します。この不正活動はユーザが知らないうちに同意無しで実行されます。
続きを読むMicrosoftは、2017年4月14日(米国時間)、「Shadow Brokers」と呼ばれるハッカー集団がハッキングツールや攻撃コード(エクスプロイトコード)を公開したのを受けて、同社による調査結果を公表しました。公になったツールのほとんどに既に対処済みであることを明らかにしました。
Shadow Brokers が今回公開したハッキングツールやエクスプロイトコードには、Microsoft Windows および Windows Server を狙うものが含まれていました。また、一部報道によると、世界規模で使用されているバンキングシステムを狙ったツールも確認されました。今回公開されたツール等が利用された場合、オペレーティングシステム(OS)ではWindowsだけでなくLinuxへも影響し、攻撃者によるネットワークへの侵入やファイアウォールの突破の恐れがあります。
このハッカー集団は、2016年8月にサイバー攻撃集団「Equation」から入手したマルウェアや攻撃ツールを、インターネット上でオークション形式で販売しようと画策しました。しかし、失敗に終わり、今年1月に活動の停止を宣言すると同時に、Windowsを狙うハッキングツールの公開もしていました。
続きを読むIoT機器を攻撃する新しいマルウェア「BrickerBot」が確認され、注目を集めています。報告によると、その攻撃経路はマルウェア「MIRAI」に類似していますが、MIRAI が感染IoT機器をボット化する一方、BrickerBot は IoT機器を完全に使用不能にするのが特徴です。
BrickerBot は、ネットワーク接続機器のハードウェアの不具合を利用しファームウェアを改変します。この事例を最初に報告した「Radware」のレポート(英語情報)によると、この攻撃を永続的なサービス拒否「Permanent Denial-of-Service(PDoS)」であると説明しています。
続きを読む仮想環境で解析を行うサンドボックス技術は、ネットワークの最終防衛ラインであるエンドポイントセキュリティ対策製品が広く採用する仕組みです。砂場という名称の通り、サンドボックスはマルウェアや疑わしいファイルがルーチンを実行するなど、自由に振る舞うことのできる仮想環境です。マルウェアを仮想環境で実行してその実際の活動を既存の振る舞いやルーチンのパターンと比較分析し、悪意の有無を判定します。このように、システムのインフラストラクチャに被害を与える恐れのある信頼できないファイルを隔離し、エンドポイントセキュリティをより確かなものにします。
続きを読むトレンドマイクロは「INTERPOL(国際刑事警察機構、インターポール)」と共同調査を実施し、2017年3月、西アフリカ地域のサイバー犯罪者に関するリサーチペーパー(英語)をリリースしました。調査では、2013年から 2015年にかけて西アフリカ地域のサイバー犯罪者が企業から窃取した金額は平均270万米ドル(2017年3月16日時点で約3億600万円)、個人からは平均42万2,000米ドル(2017年3月16日時点で約4,800万円)に及ぶことが判明しました。西アフリカ地域では、ナイジェリア詐欺などのシンプルな手口から「Business Email Compromise(BEC、ビジネスメール詐欺)」などの巧妙な手口までさまざまなタイプの詐欺が猛威を振るっています。実際、今日のオンライン詐欺のほとんどは、この地域のサイバー犯罪活動増加に関連しています。
続きを読む「machine learning(機械学習)」や「AI(人工知能)」によるセキュリティ対策など様々な手法が導入され、セキュリティ対策製品は進化を続けています。しかし、不正プログラム側も進化する対策手法を回避し、自身の検出を困難にさせるための手法を次々と採用しています。トレンドマイクロは、今回、暗号化型ランサムウェア「CERBER」が機械学習によるセキュリティ対策を回避する手法を利用していることを新たに確認しました。確認された CERBERの新しい亜種では自身の不正コードを通常のプロセスに組み込み、プロセス上で実行するように設計されていました。
続きを読む