トレンドマイクロは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性が、Miraiの新しい亜種「Yowai」および「Gafgyt」の亜種「Hakai」によって利用されていることを確認しました。これらのマルウェアは初期設定の認証情報を利用した辞書攻撃や脆弱性攻撃によって侵入し、感染したデバイスをボット化して「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用します。YowaiおよびHakaiによる攻撃の急増が2019年1月11日から17日にかけて確認されています。
続きを読む脆弱性を利用したスマートデバイスへの攻撃は、「モノのインターネット(Internet of Things、IoT)」機器を使用する多くのユーザにとって以前からの課題となっています。中でも、もっとも悪名高い脅威は、常に変化を続けてきたIoTマルウェア「Mirai」でしょう。Miraiは過去、多くのキャンペーンで、弱いパスワードや初期設定の認証情報をそのまま使用しているデバイスの侵害に利用されてきました。2016年にMiraiのソースコードが流出してからは、さまざまな亜種が出現しています。
トレンドマイクロは、「Miori」と呼ばれるMiraiの新しい亜種を確認しました。Mioriは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性を利用して拡散します。この脆弱性を利用する攻撃は比較的新しく、「Proof-of-Concept(PoC、概念実証型エクスプロイト)」は、2018年12月11日になって初めて公開されています。影響を受けるThinkPHPのバージョンは、5.0.23より前の5.xと5.1.31です。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計でも、問題のRCE脆弱性に関連したイベントが最近増加しています。
続きを読むトレンドマイクロは、ボイスメッセンジャーアプリに偽装した複数のAndroid端末向け不正アプリをGoogle Playで確認しました。これらの不正アプリは、偽のアンケート調査ページを自動的にポップアップさせる機能や、広告の自動クリックのような機能を備えています。2018年10月以降、検出回避機能や多段階の感染挙動が追加されたこの不正アプリの亜種が、次々とGoogle Playで公開されています。解析した検体のモジュール化された機能には1.0というバージョンが付けられており、サイバー犯罪者は、ボットネットを利用した攻撃のような将来の不正活動に備えて機能を追加している過程にあると考えられます。感染数はまだそれほど多くありませんが、早いペースで開発とGoogle Playへの公開が進められています。この不正アプリのアップロード数およびダウンロード数の増加は、今後も継続的な監視が必要であることを示しています。問題の偽アプリはすでにGoogle Playから削除されています。
本記事では偽アプリの1つを例に挙げ、共通する挙動について解説します。トレンドマイクロは、7つのアプリケーションIDを特定し、検体を解析しました。すべての検体が類似したコードと挙動を備えていることから、今後もモジュールの追加とGoogle Playへの公開が続くと予想されます。
続きを読むトレンドマイクロは、ランサムウェアによる攻撃が 2017 年には高止まりとなり、時間の経過と共にその手口や標的が多様化していくことを予測していました。2018 年前半にはランサムウェアの活動は急減していますが、より巧妙な手口を利用して身代金を要求する攻撃が確認されています。その格好の例が、2018 年 9 月に確認されたボットネットを構築する暗号化型ランサムウェア「Viro」(「RANSOM_VIBOROT.THIAHAH」として検出)です。Viro は、ランサムウェアとボットネットの両方の機能を備えており、米国のユーザに影響を与えました。PC に感染すると、スパムメールによって自身を拡散するボットネットの一部となります。Viro と既知のランサムウェアファミリとの関連は確認されていません。Viro が初めて確認された 2018 年 9 月 17 日は、弊社が、悪名高い暗号化型ランサムウェア「Locky」を模倣したランサムウェアの亜種を解析したちょうど 7 日後のことでした。
続きを読む仮想通貨発掘量の決め手となる計算能力が比較的低い「モノのインターネット(Internet of Things、IoT)デバイス」上での発掘は実用的ではありません。にもかかわらず、IoT デバイスを狙って仮想通貨を発掘する攻撃や、IoT デバイスを対象とする仮想通貨発掘マルウェアがアンダーグラウンド市場で販売されていることが確認されています。
トレンドマイクロは、「Secure Shell(SSH)」、「Telnet」、および「File Transfer Protocol(FTP)」サービスをエミュレートするように設計したハニーポットを通して、IP アドレス「192[.]158[.]228[.]46」から送信されたボットによる攻撃を確認しました。この攻撃は、22 番、2222 番、そして 502 番を含め、SSH や IoT デバイスに関連したポートを検索していました。特に今回の攻撃では、SSH サービスが使用する 22 番ポートが利用されました。SSH サービスを実行しているすべてのサーバおよび IoT デバイスが今回の攻撃の対象になり得ます。
続きを読むFacebook Messenger を利用して拡散する新しい仮想通貨発掘マルウェア「DIGMINE(ディグマイン)」が韓国で初めて確認され、ベトナム、アゼルバイジャン、ウクライナ、フィリピン、タイ、ベネズエラのような国に拡散しています。Facebook Messenger を利用する拡散手法を考慮すると、DIGMINE がその他の国に到達するのもそう遠くないと予想されます。トレンドマイクロは、この事例に関連した最近の韓国の報告書で紹介されている「비트코인 채굴기(ビットコイン採掘器)bot」という通称から、このマルウェアを DIGMINE と名付けました。
続きを読む2017 年 10 月 19 日(現地時間)、IoT 機器を狙う「Reaper(リーパー、「ELF_IOTReaper.A」として検出)」が確認されました。報道によると、100 万以上の法人ネットワークに感染し、引続きその感染を拡大しています。Reaper を確認したセキュリティ企業「Check Point」および「Qihoo 360 Netlab」のリサーチャによると、Reaper で構成されるIoTボットネットは、2016 年末に確認された、Linux を搭載した IoT 機器を狙う「Mirai」よりも巧妙な手口を利用しており、潜在的な危険度も高いとのことです。事実、Reaper は Mirai のソースコードの一部を利用していますが、機器に感染する手法は異なります。
続きを読むトレンドマイクロは、2017 年 5 月上旬、1000 機種以上のネットワークカメラ(IP カメラ)を標的にIoT ボットネットを構築するマルウェア「PERSIRAI」(「ELF_PERSIRAI.A」として検出)」に関する記事を公開しました。そして、オンライン検索エンジン「Shodan」を利用した弊社の調査によると、現在、カスタム http サーバを備えた IP カメラの 64 %がこの PERSIRAI に感染していることが判明しました。PERSIRAI が6割以上を占める中、IP カメラは格好の標的であり、多くのマルウェアが利用の機会を狙っています。
続きを読む