今月の第2火曜日となった2021年10月12日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。Microsoftの修正には、ゼロデイ脆弱性に国家安全保障局(NSA)指摘の脆弱性と注目の脆弱性が含まれています
続きを読むトレンドマイクロでは2021年上半期(1~6月)における国内外での脅威動向について分析を行いました。2020年から続く新型コロナウイルス(COVID-19)のパンデミックは2021年に入っても大きな影響を与え続けています。このコロナ禍の状況において起こっている「テレワーク推進」と「クラウド化」という組織ネットワークの変化の加速を、サイバー犯罪者は「利用」しているかのように見えます。
組織のネットワークへ侵入し気づかれぬように内部活動を行う標的型攻撃の手法は、ランサムウェア攻撃においても常套手段化しています。この6ヶ月の間に、ランサムウェアグループは米国の大手ガス供給会社を操業停止させ、米国東海岸の半分が燃料不足に陥るという事件が発生しました。また、他のランサムウェアの攻撃者は、二重恐喝の手口を用いて企業から100万ドルの支払いを得ました。ランサムウェアの甚大な被害を防ぐには、ランサムウェアを展開される前にネットワーク内で発生している不審な活動を可視化し、適切な対応を迅速に行う必要があります。
図:ランサムウェアの暴露サイト上で確認した暴露投稿とそのうちの日本企業関連投稿の件数推移
(トレンドマイクロ調べ)
前回のMicrosoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて解説します。
■Adobe社による2021年9月のセキュリティアップデート
続きを読むトレンドマイクロでは、2020年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。組織のネットワークに侵入する標的型攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。
図:ネットワークに侵入する標的型攻撃の攻撃段階概念図
続きを読むトレンドマイクロは、主に東南アジアにおいて実行された一連の標的型攻撃を発見し、「Earth Baku」と命名しました。そして更なる調査の結果、Earth Bakuと既存の攻撃者「APT41」との関連を発見しました。APT41は2012年頃から存在しているとされる攻撃者であり、過去には諜報活動のほか、ランサムウェアや暗号資産採掘ツール(コインマイナー)を用いた不正マイニングなどの攻撃活動を数多く実行しています。
続きを読む米国時間9月7日、Microsoft社はWindowsの複数のバージョンに影響を及ぼす新たなゼロデイ脆弱性の存在を明らかにしました。既にこの脆弱性(CVE-2021-40444)を悪用した攻撃として、不正なOffice 365ドキュメントを介した攻撃が確認されています。ただし、この攻撃が実行されるためにはユーザが「ドキュメントファイルを開く」ことが必要となります。なおMicrosoft社は、インターネットからダウンロードしたOfficeドキュメントの場合はデフォルトで「保護ビュー」、また環境によっては「Application Guard」機能により守られるため、今回の攻撃を防ぐことができる、と説明しています。しかし、保護ビューを解除した場合、またはApplication Guardが有効になっていない場合には、脆弱性が悪用され影響を受けた端末上で不正なファイルがダウンロードおよび実行されることになります。現在、この脆弱性を利用して商用のペネトレーションテストツール「Cobalt Strike」のペイロードを侵入させる攻撃を確認しています。この記事では、この脆弱性を悪用した攻撃手口および対策についてご紹介します。
続きを読むセキュリティリサーチやシステムの運用管理、ペネトレーションテスト(侵入テスト)などの正当な目的で使用される様々な正規ツールがあります。しかし、昨今ではサイバー犯罪者たちはそれらをランサムウェア攻撃に悪用しています。現在では、正規ツールはランサムウェア攻撃を行う際の典型的な構成要素となっています。
サイバー犯罪者にとって、ランサムウェア攻撃で正規ツールを使用すると都合が良い理由はいくつかあります。まず、正規ツール自体は不正なものではないため、セキュリティソリューションによる検出を回避できる可能性があります。次に、ほとんどのツールがオープンソースであり、誰もが無料でアクセスして使用できる点です。そして、ツールの機能が優れており、セキュリティリサーチャだけでなくサイバー犯罪者にとっても有用性が高い点です。これらの要因によって、図らずも正規ツールを諸刃の剣へと変化させています。
この記事では、悪用されることが多い正規ツールであるCobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind、MegaSyncについて解説します。
続きを読む「Webブラウザのプッシュ通知」機能は、ユーザから許可された特定のWebサイトが、購読者のブラウザに通知を送信できるようにする機能です。例として、Chromeは2015年にブラウザ通知機能を導入しました。この機能により、ユーザから許可を受けたWebサイトは、新たなコンテンツや記事の公開を購読者に通知できるようになりました。
しかし、悪意ある広告事業者やサイバー犯罪者は、常に便利な正規機能の悪用を狙っています。彼らはクリック詐欺の特殊な事例としてブラウザ通知機能を悪用し始めました。トレンドマイクロでは、ブラウザ通知機能を悪用したスパムメッセージ行為が2021年2月下旬頃から世界的に増加していることを確認しました。さらに調査を進めると、ブラウザ通知機能を悪用する興味深い手口を発見しました。この手口により表示されるポップアップは、悪意のあるサイトではなく、正規セキュリティソフトウェアのWebサイトにユーザを誘導することが明らかとなりました。
サイトに誘導されたユーザのトラフィック(全世界)-1024x745.png)
アカウントリスト攻撃などの不正アクセスに関与するサイバー犯罪の脅威動向は減少する気配がなく、着実に増加しています。CDNサービス「Akamai」の報告では、2018年1月から2019年12月までに合計880億件のアカウントリスト攻撃が発生したとされています。アカウントリスト攻撃とは、実際に使用されているIDとパスワードがセットになったアカウントのリストを利用してWebサイトやオンラインサービスへの不正ログインを試行する攻撃のことです。「リスト型アカウントハッキング」、「クレデンシャルスタッフィング」などと呼ばれる場合もあります。不正ログインに成功した場合、金銭的利益に動機づけられた攻撃者は、被害者の銀行口座や機密情報に自由にアクセスできるようになります。またサイバー犯罪者は、詐取した認証情報をアンダーグラウンドフォーラムや闇市場などで販売して利益を得ています。
続きを読む
