今回の記事では、LoRaWANを使用する組織に悪影響を及ぼす可能性のある危険なハードウェア攻撃の詳細を説明します。LoRaWAN(Long Range Wide Area Network)とは、既に世界中のIoT構成に広く使用されている低消費電力の通信ネットワーク技術です。今後の企業およびスマートシティにおいては当たり前のように導入されていく技術と考えられています。導入の決め手となっているのは、その汎用性と手頃な価格です。一方、広範囲で使用されるデバイスおよびソフトウェアがそうであるように、サイバー犯罪者や攻撃者からの侵害・悪用の可能性は大きな懸念となります。トレンドマイクロではこれまで、LoRaWANのセキュリティとLoRaWANの通信の弱点について分析を行ってまいりました。広大な農地や都市全体に配置されるセンサなど、LoRaWANデバイスの多くが戸外に展開されるため、それらのデバイスを攻撃から守る対処は特に厄介なものとなります。つまり、保護されていないLoRaWANデバイスは、悪意のあるアクタに攻撃される可能性が高いということです。
続きを読むウクライナへのロシアによる活動に対して欧米諸国が制裁を科すなど、同地域での緊張が高まっています。物理的な緊張の高まりに呼応する形で、ウクライナに対するサイバー空間での緊張も高まっています。Gamaredon(ガマレドン 別名:ARMAGEDON)のような従来の偵察活動とみられる活動に加え、2022年1月13~14日にかけて実施されたウクライナ国家機関等へのWebサイト改ざんおよびシステム破壊を伴うサイバー攻撃、および2022年2月15日と23日に発生したウクライナ政府機関や銀行へのDDoS攻撃のように、ウクライナのインフラの妨害や、サイバー攻撃自体の誇示を目的としたような活動が短期間にウクライナのCERT(CERT-UA)より報告されています(図1)。これほど短期間に、特定の地域で重大なセキュリティインシデントが立て続くということは、社会情勢との関連性がないと見る方が不自然です。
図1:2022年1月以降に報告されているウクライナでの主なセキュリティインシデント(CERT-UA等の公表内容を整理)
続きを読む送信データに対する暗号化の必要性から、法人組織はTLSを頼りにするようになっています。これはインターネットを介してデータを送信する場合だけでなく、信頼された企業環境の中でも言えることです。TLSやSSLを使用しない場合、送信されたデータの真正性とエンドポイントのアイデンティティを検証することはできません。
本ブログ記事では、構成が不適切なAzure DevOps Server 2020に対するサプライチェーン攻撃について解説します。特に、継続的インテグレーション/継続的デリバリ(CI/CD)パイプラインエージェントがTLSを使用せず通信する場合の技術的な詳細を説明します。本ブログの公開に先立ち、トレンドマイクロはMicrosoft社に連絡を取っており、サプライチェーン攻撃のリスクを軽減するために同社が推奨するベストプラクティスについてもご紹介します。
続きを読む近年、コンテナやサーバレスといったテクノロジーに対する需要が増しています。ある市場調査によれば、全世界のコンテナ市場は2018年に12億米ドルだったものが2023年には49.8億米ドルに、またサーバレスアーキテクチャについては、2020年の76億米ドルから2025年には211億米ドルに成長することが見込まれるとのことです。コンテナやサーバレスに対する需要が高まっているのは、企業がアプリケーションを開発および展開する際に、スケーラビリティや効率、費用対効果の面で役に立つからです。
しかしながら、急激な成長を遂げるテクノロジーに共通する点として、コンテナベースのアプリケーションやサーバレスアプリケーションは、リスクや脅威と無縁ではありません。悪意を持つ攻撃者は、常にもっと多くの標的を見つけようと広範囲に網を張っていますので、さまざまな手口で頻繁な攻撃を仕掛けてくるようになるのも時間の問題です。こうした点を踏まえ、これらのアプリケーションを潜在的な攻撃から守るには、どのようなセキュリティ強化を企業は実施すればよいのでしょうか。
本ブログでは、開発者が知っておくべきセキュリティ上の考慮事項と、コンテナベースのアプリケーションやサーバレスアプリケーション向けに最適な防御を構築するにあたり、アプリケーションのランタイムにセキュリティを組み込むためのツールであるRuntime Application Self-Protection(RASP=実行時アプリケーション自己保護)の利用方法に焦点をあてて説明します。
続きを読む本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。トレンドマイクロは、2021年12月、米国の地方銀行を攻撃した新たなランサムウェアファミリー「White Rabbit」を確認しました。このランサムウェアファミリーは、既によく知られたランサムウェアファミリー「Egregor」を参考にした隠ぺい手法を備えており、サイバー犯罪者グループ「FIN8」と関連する可能性があると見られています。
図1:ランサムウェアの実行のコマンドラインを示すSysTracerのログ例
rabbit.exeの引数として-p KissMe が使用されていることがわかる
トレンドマイクロは、ランサムウェア「LockBit」が侵入時に用いるツール群を追跡調査する中で、2021月10月のアンダーグラウンドフォーラム「RAMP」内でアフィリエイト(攻撃を行う実行犯)候補者に向けた「LockBit Linux-ESXi Locker version 1.0(ESXiサーバを標的とするLinux版LockBit 1.0)」の告知を発見しました。これは、「LockBit」ランサムウェアの背後にいるサイバー犯罪者グループ(LockBitグループ)が、攻撃対象をLinuxホストにまで拡大したことを示しています。トレンドマイクロは10月以降、Linux版LockBit 1.0による実際の攻撃活動を観測しています。
続きを読む2021年2月、トレンドマイクロはランサムウェアファミリ「Conti」による攻撃に関連した一連の疑わしいイベントに対して警戒を強めていたところ、弊社製品であるTrend Micro Vision Oneによって攻撃の痕跡を確認しました。Contiは悪名高いランサムウェアファミリ「Ryuk」の後継とされていました。実際、攻撃者は次第に、過去にRyukの拡散に使用された手法と同じ手口で不正プログラムを配信するようになりました。たとえば、他のマルウェアファミリ「Trickbot」、「Emotet」、「BazarLoader」がContiの配信に使用されています。本稿では、商用のペネトレーションツール「Cobalt Strike beacon」がContiによってどのように使用されているか、またトレンドマイクロがTrend Micro Vision Oneプラットフォームを使用してContiによる脅威をどのように追跡したのかを解説していきます。
続きを読む