5月10日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。
続きを読むマルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。
図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている
クラウド技術は、世界的に新型コロナウイルスが大流行する中、企業のデジタルトランスフォーメーションを加速させるのに役立っています。クラウド技術の信頼性と柔軟性により、コロナ禍の困難な時期にもリモートワークへの迅速な移行が可能になりました。しかし、クラウド技術の迅速な導入は、見落としやエラー、案内されていないクラウドサービスの設定によってもたらされるミス(一般的には設定ミスと総称される)を引き起こす可能性があります。クラウド環境を狙う巧妙なセキュリティ脅威を警戒するのは当然ですが、単純な設定ミスにも注意する必要があります。こうしたことにより、最終的に意図せず企業の機密情報や資産が漏えいする可能性があるためです。
続きを読む
2022年2月24日、ロシア軍がウクライナ国内に侵攻したことで勃発した物理的な戦闘は、現在も継続中です。そうした中、地上での物理的な戦闘と並行して、サイバー攻撃においても、個人、攻撃者、さらには国家支援と見られるグループによる活動が懸念されています。こうしたサイバー攻撃については、情報が大量に出回っており、個人や集団の特定だけでなく、その真偽を確かめることが困難な状況にあります。インターネット上で偽情報を拡散させることは容易であり、紛争時において情報やインテリジェンスが果たす重要な役割を考えれば、多くの関係者がそのような活動に走る動機は十分にあるといえます。また、紛争に直接関与していなくても、この状況に便乗する攻撃者が存在する可能性もあります。
このブログ記事では、トレンドマイクロのリサーチチームが検証したいくつかの資料に基づいてサイバー脅威の動向をまとめ、サイバー攻撃に対する防御に有益かつ正確な情報を提供します。なお、今後発生する脅威について随時更新していく予定です。
続きを読むウクライナへのロシアによる活動に対して欧米諸国が制裁を科すなど、同地域での緊張が高まっています。物理的な緊張の高まりに呼応する形で、ウクライナに対するサイバー空間での緊張も高まっています。Gamaredon(ガマレドン 別名:ARMAGEDON)のような従来の偵察活動とみられる活動に加え、2022年1月13~14日にかけて実施されたウクライナ国家機関等へのWebサイト改ざんおよびシステム破壊を伴うサイバー攻撃、および2022年2月15日と23日に発生したウクライナ政府機関や銀行へのDDoS攻撃のように、ウクライナのインフラの妨害や、サイバー攻撃自体の誇示を目的としたような活動が短期間にウクライナのCERT(CERT-UA)より報告されています(図1)。これほど短期間に、特定の地域で重大なセキュリティインシデントが立て続くということは、社会情勢との関連性がないと見る方が不自然です。
図1:2022年1月以降に報告されているウクライナでの主なセキュリティインシデント(CERT-UA等の公表内容を整理)
続きを読むUnix系OSのコンピュータをWindowsのドメインコントローラやファイルサーバなどとして利用するために導入されるオープンソースソフトウェア「Samba」の開発元は、同ソフトウェア4.13.17以前のバージョンで見つかった、ヒープ領域内において境界外読み取り/書き込みが可能となる脆弱性に対応する修正パッチをリリースしました。この脆弱性は、脆弱性リサーチャーグループ「STAR Labs」のNguyễn Hoàng Thạch氏およびBilly Jheng Bing-John氏によって、トレンドマイクロの脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が運営するハッキングの世界大会「Pwn2Own Austin 2021」において初めて存在が示され、開発元へ情報が提供されました。次いでZDIのLucas Leong氏がこの脆弱性の追加亜種を発見し、同様にSambaの開発元へ提供されました。今回の一連の脆弱性は、脆弱性リサーチャーグループ「DEVCORE」のOrange Tsai氏からもSambaの開発元へ報告されました。
今回の脆弱性が悪用されると、攻撃者は、Samba がインストールされたシステム上で任意のコードをリモートで実行することが可能となります。この脆弱性を悪用する際、認証の必要はありません。脆弱性自体は、Samba サーバデーモン(smbd)において、ファイルを開く際のEA(Extended Attributes、拡張属性)メタデータの構文解析処理内に存在しているからです。攻撃者は、この脆弱性を悪用することで、root権限でコードを実行することができます。
続きを読む
