ホーム » 攻撃手法

ゲームおよびカメラアプリに偽装したアドウェア111個をGoogle Playで確認

広告費においてモバイル広告が占める割合は年々増加しており、米国における2019年のモバイル広告支出は160億米ドル（2019年7月16日時点で約1兆7000億円）を超えると推定されています。この傾向に伴って、サイバー犯罪者も、ますます巧妙な手法を使用するアドウェアを介して不正に利益を得ようとし続けるでしょう。
(さらに…)

高度な標的型攻撃ツールが仮想通貨発掘ツールの拡散に利用されていることを確認

投稿日:2019年7月11日
脅威カテゴリ:サイバー犯罪, 攻撃手法
執筆:Trend Micro

通常のサイバー犯罪者は、標的型攻撃の手口、より具体的には一連のツールを模倣し、計算能力を盗用して仮想通貨を発掘する「クリプトジャッキング」のような違法行為から生まれる利益を最大化していると見られています。
(さらに…)

露出したDocker APIを介してコンテナに侵入するボット型マルウェア「AESDDoS」について解説

投稿日:2019年7月9日
脅威カテゴリ:サイバー犯罪, 攻撃手法
執筆:Trend Micro

企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種（「Backdoor.Linux.DOFLOO.AA」として検出）を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)

ハッキング集団「Outlaw」のボットネットを確認、仮想通貨発掘ツールとPerlベースのバックドアを拡散

トレンドマイクロが設置したハニーポットのひとつが、Perlベースのバックドアコンポーネントをバンドルした仮想通貨「Monero」発掘ツールを含むボット型マルウェアを拡散するURLを確認しました。採用された技術は、ハッキング集団「Outlaw」の以前の活動で使用された技術とほぼ同じであるため、これはとても興味深い発見であると弊社は認識しています。
(さらに…)

日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説

２月２８日のブログ記事において、日本国内で確認された古いExcel４.0マクロを利用した攻撃について報告しました。この攻撃の背後には特定のサイバー犯罪者集団の存在が推測されていますが、トレンドマイクロでは過去2ヶ月間に行われた同一のサイバー犯罪者集団によるものと考えられる新たな攻撃を徹底的に追跡し、様々な攻撃手法を確認しました。このサイバー犯罪者集団はさまざまなマルウェアを利用して複数の金融機関や小売企業を狙った攻撃を続けており、セキュリティ企業「Proofpoint」によって「TA505」と名付けられた集団と同一と考えられます。最新の活動では主に韓国のユーザに狙いを定め、HTML形式の添付ファイルを使って遠隔操作ツール（Remote Access Tool、RAT）「FlawedAmmyy RAT」のダウンローダへ誘導する不正な.XLSファイルを拡散したことが確認されました。

(さらに…)

新たに独自の通信プロトコルを持ったIoTマルウェア「Miori」、ソースコードも販売

トレンドマイクロでは常に日本国内へのサイバー攻撃の監視と対応を行っていますが、その対応の中で「モノのインターネット（Internet of Things、IoT）」を狙うマルウェア「Mirai」の新しい亜種の可能性があるマルウェア検体を入手、解析を行いました。この新たなIoTマルウェア検体では、ファイル名や不正コード内の文字列に「Miori」の文字列の使用が見られました。同じ「Miori」を名乗る「Mirai」亜種のIoTマルウェアに関して、トレンドマイクロでは2019年1月のブログ記事でも報告しています。しかし今回確認された新しい亜種は、従来の「Mirai」亜種とは異なる方法で遠隔操作のためのサーバ（C&Cサーバ）と通信を行うことがわかりました。
(さらに…)

実例で見るネットの危険：当選詐欺サイトへ誘導する「からあげプレゼント」メール

受信者を騙し、詐欺サイトへ誘導する偽メールの攻撃は継続してその手口を変化させています。トレンドマイクロでは、携帯電話事業者を詐称し、からあげプレゼントクーポンの当選を偽って利用者を不正サイトへ誘導する詐欺メールの拡散を確認しています。トレンドマイクロではこの詐欺メールの存在を5月末ころから確認していましたが、本記事執筆時点の6月18日でも攻撃の継続が見られています。

(さらに…)

仮想通貨を発掘する不正なDockerコンテナを確認、Shodanを利用して露出したAPIを検索

トレンドマイクロは、コンテナを狙う不正活動を監視するための取り組みの一環として、APIを露出させたDockerホストを実行するPCをハニーポットとして設置しました。Dockerは、コンテナベースの脅威によって最もよく狙われるシステムのひとつです。このハニーポットを設置して監視した目的は、攻撃者がこのDockerホストを発見し、ユーザが望まないコンテナを展開するために利用することを検出するためでした。最近、ハニーポットの状態を確認したところ、1つのイメージ（コンテナのスナップショット）が既にこの環境に展開されていたことが分かりました。
(さらに…)

Mirai の新亜種を確認、ルータやデバイスにおける13件の脆弱性を利用

トレンドマイクロは、Miraiの新しい亜種（Backdoor.Linux.MIRAI.VWIPTとして検出）を確認しました。この亜種は合計13件の脆弱性を利用します。そのほとんどが以前のMiraiに関連した攻撃において利用されてきました。典型的なMiraiの亜種はバックドアと分散型サービス拒否（Distributed Denial of Service、DDoS）の機能を持っています。しかしながら、今回の場合、13件の脆弱性すべてを1つの活動においてまとめて使用した初めての事例として、他のMiraiの事例と比べて注目されています。
(さらに…)

「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避

トレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種（「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出）を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列（URLパラメータ）を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。
(さらに…)

Page 1 of 5712 › »