法人組織でのクラウド利用が進む中、様々なデータの置き場所もクラウドへ移行しています。クラウドは利便性が高いものですが、その利便性ゆえに設定の不備が思わぬ事態を招くこともあります。この2月以降、米国と英国でクラウドストレージの設定ミスによる情報漏えいが連続して発生しています。いずれもクラウドストレージに問題はなく、利用者の不備が原因となった事例でした。
続きを読むフィッシングは、インターネット上で最も長くサイバー犯罪者に利用されている詐欺手口の1つです。利用者を特定のWebページやサービスの偽サイトへ誘導し、利用者自らに情報を入力させて詐取します。フィッシングを含め、いわゆるネット詐欺では本物そっくりの「偽サイト」が使用されます。非常によく利用される手口のため、企業や個人ユーザは、認知の有無を問わず、おそらくはこれまでに多くのフィッシングページを目にしていることでしょう。2017年7月27日公開のブログ記事では、利用者がフィッシング攻撃を見抜くためのポイントについて解説しています。しかし、この他にどのような対策を講じれば、偽サイトを使用するフィッシング攻撃を、事前的かつ能動的に検出および阻止できるでしょうか?本記事ではドメイン名の仕組みについておさらいし、ゾーンファイルに含まれた不審なドメイン名の監視により特定法人組織を偽装するフィッシング攻撃を未然に防ぐ取り組みについて解説します。自組織の偽サイトに悩まされている法人利用者の参考にもなるでしょう。
続きを読むDocker の「Privileged(特権)」コンテナ(以下、特権コンテナ)は、簡潔に言えば、ホストコンピュータに対するすべてのルート権限を備えたコンテナであり、通常のコンテナではアクセスできないリソースへのアクセスが可能となります。特権コンテナの使用例の1つにDockerコンテナ内でDockerデーモンを実行することがあります。もう1つの使用例は、コンテナがハードウェアに直接アクセスする必要がある場合です。前者の例である、コンテナ内でコンテナを操作する「Docker-in-Docker」は、Docker自体の開発の目的で導入されました。今日では、オープンソースの自動化サーバJenkinsでの継続的インテグレーションおよび継続的デリバリー(CI / CD)タスクの自動化など、特権コンテナの実行にはさまざまなユースケースが存在します。ただし、特権コンテナの実行は必ずしも安全ではありません。このブログ記事では、セキュリティ保護が十分でない特権コンテナが、どのように企業や組織のシステムへサイバー犯罪者による侵入を許すことになるかを解説します。
続きを読む脅威を積極的に探索する「スレットハンティング」、そして専門家が蓄積する脅威についての知見である「スレットインテリジェンス」の共有は、サイバーセキュリティ業界での一般的な慣行であり、多くの専門家のみならず、実際の対策のためにも役立っています。スレットインテリジェンスの中でも、マルウェア検体間の類似性調査は、あるマルウェアに関連する亜種の把握に使用されます。特に標的型攻撃の調査においては、使用されるマルウェアの類似性から複数の攻撃事例の関連性や、その攻撃の背後にいる攻撃者や攻撃目的などを導き出すための重要な情報となりえます。トレンドマイクロではマルウェアの類似性を特定する調査方法の1つとして「Graph Hash」の活用を進めています。今回、その有用性を実証するために、日本でも攻撃が確認された標的型攻撃キャンペーン「Orca」の調査にGraph Hashを適用しました。
※本記事で解説する「Graph Hash」を利用した調査の手法は、2019年8月29日にシンガポールで開催された「Hack in the Box GSEC Conference 2019」における講演「What Species of Fish Is This? Malware Classification with Graph Hash」で解説されたものです。
(さらに…)
機械学習(Machine Learning、ML)は、大量の脅威データを収集および処理し、限られたリソースで新しいマルウェアを迅速かつ正確に検出し解析することが求められる現代のサイバーセキュリティにおいて重要な役割を果たすようになっています。通常、機械学習モデルの学習には大きなデータセットを用います。しかし、新しいマルウェアが大規模感染(アウトブレイク)する際、決定的に重要な初めの数時間に入手できる検体は限られています。つまり、新しいマルウェアのアウトブレイクを食い止めるためには、ごく少ない検体を元に大量の亜種を検出する必要があります。
続きを読む企業のオンラインインフラストラクチャが、分散化や、クラウド、モバイル、モノのインターネット(Internet of Things、IoT)といった技術の導入によって複雑化するにつれ、修正プログラム(パッチ)管理はさらに時間とリソースを消費する作業になりました。しかしながら、パッチの適用の先送りは、セキュリティ上のリスクをもたらす場合があります。消費者信用情報会社「Equifax」で発生した2017年の情報漏えいは、パッチの適用を先送りした結果セキュリティがどれほど脅威に晒されるのかを示す具体的な事例です。何百万という顧客の個人情報を露出してしまう結果となったこの事例は、最終的にはEquifaxがパッチを適用していなかったWebアプリケーションの脆弱性に起因していました。 この脅威が引き起こした状況が落ち着いた際、Equifaxは、英国の個人情報保護監督機関(Information Commissioner’s Office 、ICO)によって課された50万ポンド(2019年8月7日時点で約6千万円)の罰金に加え、最大4億3,900万ドル(2019年8月7日時点で約465億円)の経済的損失があったとの見積もりを発表しました。
(さらに…)
攻撃者は既存のウイルス対策を免れるために、攻撃ごとに新たにマルウェアを作成して使用します。このような攻撃から利用者を保護するために、新種や亜種のマルウェアのような未知脅威を効果的に検出する手法の必要性が高まっています。トレンドマイクロは、ファイル間の類似性を効率良く比較することが可能なハッシュアルゴリズム「Trend Micro Locality Sensitive Hashing (TLSH)」と機械学習を用い、インターネット上で収集した仮想通貨発掘マルウェアの検体をグループ化(クラスタリング)することにより、類似したマルウェアや修正が加えられたマルウェアでも検出可能とする対策技術を開発しました。この TLSH の実装はオープンソースのプロジェクトとして公開されています。一般に、マルウェアは SHA 256 等のハッシュ関数で算出した値に基づいて識別しますが、少しでもデータが異なるとまったく異なる値が算出されるため、マルウェアの類似度を判断することは困難です。しかし、TLSH で算出したハッシュ値や挙動等を用いたマルウェアのクラスタリングにより、SHA 256 等で計算されるハッシュ値が異なっていても、類似したマルウェアや修正が加えられたマルウェアを検出することが可能になります。
続きを読む
