7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、トレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応しています。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリンピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がうかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散している形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えます。
続きを読む※7月26日更新 (当初公開日7月19日)
7日26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
図:7月26日時点で確認した不審スポーツ中継サイトへの誘導を行うWebページの例
本文はニュース記事などをコピーしたものと推測される
図:誘導先の不審スポーツ中継サイトの例
図:別の不審スポーツ中継サイトの例
視聴のために会員登録を促す
続きを読む
2021年7月6日12時更新:
オランダのDIVD CSIRT(Dutch Institute for Vulnerability Disclosure)は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。
さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。
図:REvil/Sodinokibiの暴露サイト上の書き込み例(2021年7月5日取得)
最終更新日:2021年5月17日 当初公開日:2021年5月13日
※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新
※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。
トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。
トレンドマイクロは、クラウドベースソリューションをバックエンドサーバや内部システムとして活用する企業に対し、想定される脅威とその対策について提言をまとめました。2020年に発生した「SolarWinds」事件のように、サプライチェーンが侵害される重大な被害が表面化しています。このような侵害発生の背景には、クラウドサービスがデジタルトランスフォーメーションやビジネストランスフォーメーションにおいて重要な役割を果たしてきたDevOpsの世界に関連する複数のセキュリティギャップやリスクが存在しています。
続きを読む2021年に入り今もなお、コロナ禍の影響により個人や企業の日常業務に大きな支障が生じています。多くの組織において、業務継続のためにテレワークが不可欠なものとなると同時に、「クラウドコンピューティング」の重要度も増しています 。実際、クラウドコンピューティングへの依存度は昨年から急上昇しており 、今後も続くに違いありません。クラウドコンピューティングがデジタルトランスフォーメーション(DX)の中心となる中、攻撃者もこの状況に注目しクラウドインフラストラクチャを悪用しています。特にクラウド技術を利用する攻撃経路の中でも、クラウドのメールサービスは最もシンプルかつ最もわかりやすい存在であることから、逆に最も悪用されやすい存在ともなっています。フィッシングメール、不正スパムメール、ソーシャルエンジニアリング攻撃など、サイバー犯罪の歴史と共に洗練されてきた攻撃手法がクラウドメール経由でも猛威を振るっています。
トレンドマイクロは「ROS-Iコンソーシアム」に参加し、産業用ロボットによるインダストリー4.0アプリケーションにおける安全な開発促進を支援します。
トレンドマイクロが長年にわたって成功を収めている秘訣の1つとして、新たなセキュリティ脅威がどこからやって来るのかを常に注視している点が挙げられます。こうした点からトレンドマイクロでは、現在、ITおよびOT(Operation Technology)の融合に向けた研究開発に注力しています。急成長を続けているこの分野は、IoTデバイスとしてインターネットに接続される中、特に製造業での進歩が著しく、大きな成果を上げています。しかしこのような飛躍の反面、技術的な各種システムが適切に保護されていないなど、セキュリティ上のリスクも懸念されています。
続きを読む今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
続きを読む