攻撃者は既存のウイルス対策を免れるために、攻撃ごとに新たにマルウェアを作成して使用します。このような攻撃から利用者を保護するために、新種や亜種のマルウェアのような未知脅威を効果的に検出する手法の必要性が高まっています。トレンドマイクロは、ファイル間の類似性を効率良く比較することが可能なハッシュアルゴリズム「Trend Micro Locality Sensitive Hashing (TLSH)」と機械学習を用い、インターネット上で収集した仮想通貨発掘マルウェアの検体をグループ化(クラスタリング)することにより、類似したマルウェアや修正が加えられたマルウェアでも検出可能とする対策技術を開発しました。この TLSH の実装はオープンソースのプロジェクトとして公開されています。一般に、マルウェアは SHA 256 等のハッシュ関数で算出した値に基づいて識別しますが、少しでもデータが異なるとまったく異なる値が算出されるため、マルウェアの類似度を判断することは困難です。しかし、TLSH で算出したハッシュ値や挙動等を用いたマルウェアのクラスタリングにより、SHA 256 等で計算されるハッシュ値が異なっていても、類似したマルウェアや修正が加えられたマルウェアを検出することが可能になります。
続きを読むCPU の重大な脆弱性「Meltdown」および「Spectre」を利用した実際の攻撃はまだ確認されていません。しかし、「Proof of Concept(概念実証、PoC)」が公開されており、これらの脆弱性を狙う攻撃の実験によるものと推測される不審なファイルの検出も報告されています。このような状況を踏まえると、問題の脆弱性を利用した攻撃が確認されるのも時間の問題と言ってよいでしょう。Meltdown および Spectre の影響範囲は広く、1995 年以降に作成された PC が影響を受けると言われています。また、この2月にはそれまで認識されていた以外の攻撃方法も確認され「MeltdownPrime」および「SpectrePrime」と命名されるなど、攻撃危険性が高まっています。侵入した環境でメモリ上のデータへの不正アクセスを可能とするこれらの脆弱性は重要情報の窃取を目的とした攻撃で使用される可能性が高く、ヨーロッパ連合(EU)が個人情報の保護を目的として制定した「一般データ保護規則(General Data Protection Regulation、GDPR)」の対象企業にとっては特に頭の痛い問題となり得ます。
続きを読むサイバー犯罪者は、セキュリティ対策ソフトに対抗して攻撃を成功させるために常に新しい戦略を探求しています。ハッシュ値を変化させるポリモーフィズムやパッキング等の技術を採用するマルウェアの増加によって、従来のようなクライアント側(エンドポイント)におけるシグネチャベースの検出では対処しきれなくなってきています。また、強力な難読化やアンチサンドボックス技術によって動的および静的な解析は制限を受けています。新しく確認される脅威は増加の一途を辿っており、世界中のユーザを守るためにより高速な検出システムが必要とされています。
トレンドマイクロはこのような要望に応えるために、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加え、次世代の AI 技術のひとつである高度な機械学習型検索を活用するソリューションを提供しています。今回はこのトレンドマイクロのアプローチの中でも特に機械学習型検索を活用して、現在の静的および動的解析が直面している技術的な制約を克服し、過去に検出されていない新しい脅威をリアルタイムで検出することを可能にする取り組みを紹介します
このシステムは、ノード(頂点)とエッジ(辺)で連結関係を表すグラフ理論に基いた推論と機械学習を組み合わせ、短時間でダウンロード URL やソフトウェアが不正なものであるか分類します。
図 1:検出手法の概略
「BlueBorne」は、iOS、Android、Linux、Windows の Bluetoothの実装における複数の脆弱性の総称です。確認したリサーチャによると、約53億台の Bluetooth搭載機器が BlueBorneの影響を受けると推測されています。現時点(2017年9月20日時点)の対処方法として、以下の対応を検討してください。
- 幾つかの LinuxベースのOSを除き、各OS は、2017年9月19日時点、同脆弱性に対応する更新プログラムが公開されています。該当の OSの端末機器をご利用の場合、直ちに適用してください。
- 何らかの理由で更新プログラムが適用できない場合、あるいは更新プログラムが未提供の Linux端末機器をご利用の場合、Bluetooth機能をオフにしてください。
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、インターネット利用者の個人情報やクレジットカード情報を狙う攻撃は後を絶ちません。中でも特に電子メールやメッセージから攻撃に誘導する「フィッシングメール」などの手法はサイバー犯罪者の常とう手段となっています。このような人間をだます手口に対しては、その手口を知ることが対策のために重要です。今回は特に Apple ID の「無効」を発端にクレジットカード情報を含む個人情報を根こそぎ詐取しようとするフィッシング攻撃の実例を紹介します。
図1:確認されたフィッシングメール例
攻撃者集団「Pawn Storm」は、「Sednit5」や「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM8」などのさまざまな名称で呼ばれていますが、実際には、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきた同一のサイバー攻撃者集団を指します。Pawn Stormは、情報窃取型マルウェア「SEDNIT」に誘導する標的型メールや脆弱性を突く攻撃手法、そして特に認証情報を窃取するフィッシング攻撃などを効果的に組み合わせ、同じ標的に対してさまざまな角度から攻撃を仕掛けることで攻撃目標を達成してきました。
続きを読むトレンドマイクロは、深刻な暗号化型ランサムウェアが世界各国で攻撃を行っている事実を確認しました。この攻撃は、2017年3月および 4月に明らかになったセキュリティ上のリスクが組み合わされて実行されました。これら2つのリスクの内 1つは、Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」で Microsoft の3月のセキュリティ情報により明らかになり、同社は問題の脆弱性に対する更新プログラムを公開しました。もう1つは、暗号化型ランサムウェア「WannaCry/Wcry」で、同年4月に DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして確認されました。
今回の攻撃で使われた暗号化型ランサムウェア「WannaCry/Wcry」は、「RANSOM_WANA.A(ワナ)」および「RANSOM_WCRY.I(ダブリュークライ)」として検出されます。このランサムウェアの脅迫状によると、300米ドル(約3万4千円、2017年5月13日時点)相当の身代金をビットコインで要求しています。なお、この身代金額は、前回の攻撃より約100米ドル安くなっています。また、英国での攻撃が確認されたのに加えて、同国以外にも世界各国での攻撃が確認されています。
続きを読む
