ホーム » サイバー攻撃

オープンソースソフトウェアを悪用した標的型攻撃事例について解説

投稿日:2021年1月27日
脅威カテゴリ:サイバー攻撃, 攻撃手法
執筆:Trend Micro

標的型攻撃の中で、オープンソースのソフトウェアが悪用される事例が増えています。これは、正規の無害なソフトウェアを悪用することで監視や調査の目を免れることができる、標的型攻撃に好都合な手口であるからです。しかし、詳細調査を実施することで、不正活動を見つけ出し、攻撃の意図を明らかにすることができます。本ブログ記事では、オープンソースのソフトウェアがどのように悪用されるのか、トレンドマイクロが行った最近の調査内容について解説し、講じるべき検出対策についてお伝えします。

(さらに…)

「環境寄生」の常態化：2019年国内での標的型攻撃を分析

トレンドマイクロでは、2019年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。トレンドマイクロのネットワーク監視の中では、毎月約1割の監視対象に対してネットワーク侵入の危険性高として警告が行われています。

図：ネットワーク監視における脅威兆候の検出有無と侵入危険度高判定の割合(監視対象100組織中) (さらに…)

SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃

世界的に広く利用されているネットワーク監視製品のサプライチェーンを攻撃することで実施された高度かつ大規模なサイバー攻撃について各方面で報じられており、当社でもそれらの攻撃を観測しています。この記事では攻撃で利用されたバックドア型マルウェア「Sunburst」の詳細および対策について説明します。 (さらに…)

「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意

マルウェア「IcedID（アイスドアイディー）」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。

図：10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)

ランサムウェア機能を備えたPHP Webシェル「Ensiko」について解説

昨今、Webサーバなど公開サーバへの攻撃で「Webシェル」（web shell）というツールが用いられていることが確認されています。「Webシェル」とは、Web経由でのコマンド実行を可能にするバックドアの一種であり、主にサイバー犯罪者がインターネット上の公開サーバに対する遠隔操作を実現するために使用します。トレンドマイクロでは7月以降、新たな Webシェルである「Ensiko」の攻撃を確認しています。Ensikoはランサムウェア機能を備えているなど、これまでのWebシェルよりも危険性が高いものとなっています。 (さらに…)

法人でのインシデント発生率は約8割、2021年に向けて警戒すべき脅威とは

2020年も悪名高い「EMOTET」の拡散メールやデータの暗号化に加えて情報暴露をもとに脅迫し身代金を要求する情報暴露型のランサムウェア攻撃など、国内の法人組織は深刻なサイバー攻撃にさらされてきました。しかしながら、こうした脅威によって発生するセキュリティインシデントのうち対外的に公表される事例は一部に過ぎず、脅威の実態は表面化していないのが現状だと考えられます。 (さらに…)

急速に進化するmacOS向けマルウェア「ThiefQuest」の最新情報

トレンドマイクロでは、今年の7月に入ってすぐ、新しいマルウェア「ThiefQuest（別名：EvilQuest）」を確認しました。このマルウェアは、macOSデバイスを狙って、ファイルを暗号化し、影響を受けるコンピュータ内にキーロガーをインストールします。ThiefQuestは、一般的なファイル共有のためのトレントサイト上で共有されていた海賊版のmacOSから発見されています。このマルウェアの動向は、ウイルス対策ソフトを提供する「MalwareBytes」、コンピュータヘルプサイト「BleepingComputer」、およびセキュリティリサーチャであるDinesh Devadoss氏、Phil Stokes氏、Patrick Wardle氏、そしてThomas Reed氏によっても調査されています。また、Objective-See社も最新のマルウェア詳細調査を公表しています。これらの調査では、マルウェアを利用した身代金要求が主な攻撃方法ではなく、ファイルの抽出、C&C通信、キーロギングなどのその他の関数を偽装するための先手であるとしています。この推測は、最近確認された内容でも裏付けられています。 (さらに…)

「EMOTET」がトレンドマイクロのアンケートメールを偽装

※9月7日11時30分IoC情報更新（当初公開9月3日21時）

トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。

サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて（2020年9月3日）」 (さらに…)

セキュリティニュースまとめ：露出したDockerサーバを狙うボットネット「XORDDoS」および「Kaiji」の亜種、何百万ものIoT機器に影響を与えるRipple20の脆弱性、など

本記事では、最近確認されたサイバーセキュリティのニュースやイベントについて、お客様が知っておくべきことを紹介します。このまとめでは、露出したDockerサーバを狙う既存のLinuxボットネットマルウェアの2つの亜種に関するニュースを始めとして、さまざまな業界の何百万ものモノのインターネット（internet of things、IoT）機器に深刻な影響を与える可能性のある「Ripple20」という脆弱性群についても言及します。 (さらに…)

「Earth Empusa」の標的型攻撃で使用されたAndroid向け不正アプリ「ActionSpy」

トレンドマイクロは、サイバー攻撃グループ「Earth Empusa（別名POISON CARPあるいはEvil Eye）」の追跡調査中、新しいAndroid端末向け不正アプリ（スパイウェア）「ActionSpy」（「AndroidOS_ActionSpy.HRX」として検出）を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。 (さらに…)

Page 1 of 2512 › »