トレンドマイクロでは、2020年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。組織のネットワークに侵入する標的型攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。
図:ネットワークに侵入する標的型攻撃の攻撃段階概念図
続きを読む2021年5月下旬、トレンドマイクロの「Managed XDR」は、お客様のエンドポイントにおいて注目すべき「Trend Micro Vision One™(以下、Vison One)」のアラートを通知しました。その後、他の類似した感染端末でもCobalt Strikeの検出が確認されたため、詳細な調査を実施しました。
この記事では、今回の調査で実施した戦術および手順を説明します。今回の事例では、あるエンドポイントからのアラートをきっかけにして、さらに他の感染端末のエンドポイントを示す証拠や手がかりを収集することで、最終的に攻撃元を明らかにしました。
Cobalt Strikeは商用のペネトレーションテストツールですが、近年の標的型攻撃においてそのRAT機能が悪用される事例が目立っており、「Ryuk」、「DoppelPaymer」、「Povlsomware」などのランサムウェア攻撃でも悪用事例が確認されています。この記事では今回の調査事例を元に、Cobalt Strikeを悪用するこれらのランサムウェア攻撃の被害を阻止および除去するために必要な痕跡解明の手順を解説します。
図1:被害を受けた環境でのCobalt Strikeによる活動のマッピング
続きを読むMITRE EngenuityによるATT&CK Evaluationsは、特定のサイバー犯罪者グループの攻撃に対するセキュリティベンダの検知能力の評価を行うものです。一方で、ベンダに対する採点や順位付けなどの評定は行いません。かわりに、特定のサイバー犯罪者グループによる攻撃をセキュリティベンダがどのように検知するか、完全な透明性をもって企業や組織が理解できるようにします。この際、ATT&CK フレームワークに沿った評価を行うことで、攻撃の全体像に対する検出状況を把握することが可能になります。
続きを読む2020年、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、ZDIプログラム史上最多となる1,453件のアドバイザリを発表しました。加えて、そのうちの18.6%については公開時にベンダによる修正プログラムが提供されておらず、記録的な1年となりました。そして2021年も、ZDIの予測通り、引き続き多忙な年となっています。2021年3月、Microsoftは中国のハッキンググループ「HAFNIUM」による大規模な攻撃に、オンプレミス版のMicrosoft Exchange Serverの4つのゼロデイ脆弱性が利用されたことについてアドバイザリを発表し、修正プログラム(パッチ)の緊急公開を開始しました。攻撃が確認された数日後、米国において少なくとも3万の組織が攻撃を受けたという報道が行われ、トレンドマイクロもこれらの脆弱性を悪用する攻撃に対して脆弱な公開サーバが約87,000台存在していることを発表しました。
続きを読むの例.png)
トレンドマイクロは、クラウドベースソリューションをバックエンドサーバや内部システムとして活用する企業に対し、想定される脅威とその対策について提言をまとめました。2020年に発生した「SolarWinds」事件のように、サプライチェーンが侵害される重大な被害が表面化しています。このような侵害発生の背景には、クラウドサービスがデジタルトランスフォーメーションやビジネストランスフォーメーションにおいて重要な役割を果たしてきたDevOpsの世界に関連する複数のセキュリティギャップやリスクが存在しています。
続きを読むトレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っております。この度、これまでの調査結果について弊社およびJC3から発表することに合わせ、本ブログ記事では調査を通じて分類された国内金融機関を騙るフィッシングサイトの二大勢力についてその特徴を報告いたします。
※ 本調査で確認したフィッシングサイト834ドメインを2021年4月の段階で整理 ダイナミックDNSサービスを悪用したフィッシングサイトはサービス種類毎に1ドメインとしてカウント
世界中の企業組織は、現在使用できる多種多様なクラウド技術基盤の利用、クラウド環境への移行、あるいはクラウドに関する知識やスキルの習得を開始することで、いわゆるデジタルトランスフォーメーション(DX)市場への取り組みを進めています。クラウドサービスは使いやすく柔軟性に富んでおり、構成や環境設定の変更も任意で行えることが利点です。
しかし、最高セキュリティ責任者(CSO)やクラウドITチーム、あるいは管理者にとって、特定の展開モデルにおけるクラウドコンピューティング環境のセキュリティ管理は、実は骨の折れる作業です。実際、クラウドへの攻撃や設定ミスによる情報漏えいなどの事例は後を絶たず、クラウド利用を進めたい組織に対し、大きな不安を与える要因となっています。
続きを読む
