トレンドマイクロでは2019年における国内外での脅威動向について分析を行いました。特に国内での脅威を振り返った場合、個人利用者が直接の被害を受ける攻撃としては、9月以降に顕著化した国内ネットバンキングのワンタイムパスワード突破を狙うフィッシング攻撃に加え、利用者のカード情報詐取を狙うECサイト改ざんの攻撃などが挙げられます。また、特に法人組織に被害を与える攻撃として、2019年前半には法人利用者におけるランサムウェア被害が顕在化しました。そして、10月以降には、メール経由で拡散する「EMOTET」の攻撃が、最も大きな脅威となりました。これらの攻撃の中からは「人の弱点を利用し常識を覆す攻撃」と「高度な攻撃手法の一般化」が見られています。
続きを読む2019年11月の本ブログ記事でお伝えしたマルウェア「EMOTET(エモテット)」の国内での感染拡大ですが、その後もさらに激化が続いています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、EMOTETの検出台数は2019年11月に入りいったん落ち着いたかのように見えましたが、12月にはまた8,000件を越える急増となりました。
-.png)
図1:国内でのEMOTET検出台数推移
(不正Office文書ファイル含む)
トレンドマイクロの監視では、感染したEMOTETに対して指令を送る遠隔操作用サーバ(C&Cサーバ)は、12月20日前後からいったん休止し、2020年に入って1月13日から活動再開したことがわかっています。しかしEMOTET検出台数は1月中旬までの速報値で既に1,500件を越えており、活動再開後わずかの期間にも関わらず高い数値となっています。このことからは、国内利用者を狙うEMOTETの攻撃は高いレベルで継続していると言え、注意が必要です。
続きを読む先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。
続きを読むトレンドマイクロ運営のセキュリティ研究機関Zero Day Initiative(ZDI)が開催するハッキングコンテスト「Pwn2Own」は、この12年間で大きく成長し、進化し続けています。バンクーバーを拠点とするこのハッキングコンテストは、コンテストの対象がWebブラウザから始まり、現在では仮想化ソフトウェアや法人向けアプリケーションまで扱っています。2012年には、モバイルデバイスも追加しました。以降、さらにさまざまなタイプのデバイスを扱うまでに進化し、2019年8月に東京で実施された際には、無線ルータ、Webカメラ、スマートテレビのセキュリティ侵害も扱いました。そして今回のPwn2Ownは2020年1月21〜23日に、産業制御システム(ICS)のセキュリティを扱う「S4カンファレンス」内で開催されます。これは、Pwn2Ownにとってさらなる成長を遂げること、つまり新たにICSをコンテストの対象とすることを意味します。Pwn2OwnでICSを扱うかどうかについては長年議論されてきており、多くの課題に直面してきました。課題を克服するため、Pwn2Ownの主催者であるZDIは、ICS業界の専門家や企業と協力し、ICS製品やプロトコルのセキュリティに関連する意味のあるコンテストを目指し、製品と関連部門の選定に尽力しました。これまでのコンテストと同様、今回も、脆弱性を明らかにし、調査結果をベンダーに提供することで、プラットフォームのセキュリティ強化に努めています。主催者の目標は、これまでと変わらず「脆弱性が攻撃者に悪用される前に修正する」という点に尽きます。
サイバー犯罪者は、多くの場合、彼らに対抗する「ホワイトハット」を圧倒しているように見えます。サイバー犯罪者は、匿名で世界中のどこからでも攻撃を仕掛けて人々を驚かすことができるからです。そうした中、ホワイトハット側が対抗できる有効な手立ての1つがコラボレーション、連携です。トレンドマイクロでは、サイバー犯罪者に対抗するための有効な連携を念頭に、法執行機関、学術機関、政府機関、その他のサイバーセキュリティ企業とのパートナーシップを進めてきました。
中でも、「国際刑事警察機構(インターポール)」の「シンガポール総局(INTERPOL Global Complex for Innovation、IGCI)」とトレンドマイクロのコラボレーションは、数あるパートナーシップの中でも、最新の成功例と言えます。この連携では、コインマイナーの感染者数を78%減少に貢献しました。
続きを読む2019年にも様々なサイバー脅威が登場し、利用者の安全を脅かしました。トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年1月~11月に発生したサイバー脅威を分析しました。結果、利用者に被害を与えた脅威の傾向として、一般の利用者が持つ「セキュリティの常識」、言い換えれば「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったと結論付けました。攻撃手法自体は既に以前から発生しているものであっても、一般の利用者にはまだ認識がない、その攻撃手法が拡大した、などの理由により、利用者にとっての「安全」の思い込みを覆す攻撃の被害が顕著になったものと言えます。本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えします。
図1:2019年、国内の個人と法人における三大脅威トピック
トレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。現在のところ、攻撃で使用される言語としては英語のみを確認しており、日本国内の利用者を対象としたものとは言えません。ただし、このような攻撃は繰り返されたり対象を拡大したりする可能性があるため、本記事を以て注意喚起いたします。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。
図1:今回確認されたフィッシングメールの例
メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC&Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。
図1:国内でのEMOTET検出台数推移
11月12日の本ブログ記事にて、脆弱性「CVE-2019-0708」(通称「BlueKeep」)を利用する攻撃が初確認されたことについて述べました。本記事ではその続報をまとめます。確認された攻撃では、最終的なペイロードとして感染コンピュータにコインマイナーをインストールし不正マイニングを実行するものでした。脆弱性を放置することは直接の被害に繋がります。BlueKeep脆弱性に対する修正プログラムは既に5月に公開されています。自身の管理する環境における更新の有無を再確認し、まだ適用していない環境では直ちに更新を行うことを強く推奨いたします。
続きを読む
