標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者(以下簡略化のためAPT33とします)について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand&Control(C&C)サーバを攻撃に利用していることを確認しました。これはC&Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。
続きを読む現在、ほとんどのマルウェアはWindows OS環境を狙ったものです。このため、LinuxやmacOSなど、Windows以外のOSは安全だというイメージを持たれている方も多いかもしれません。しかし実際には、サイバー犯罪者は金銭利益を得られるのであれば攻撃対象を選びません。自身の利益が期待できる攻撃手法をサイバー犯罪者が見出した場合には、Windows以外の環境も危険にさらされることになります。今回トレンドマイクロでは、macOS向け取引ソフト「Stockfolio」を偽装する攻撃を確認しました。
(さらに…)
Googleは、今年2019年に入ってAndroidアプリのアクセス権限のリクエストに関するデベロッパーポリシーを更新しました。中でも、「通話履歴に関する権限グループ」と「SMS に関する権限グループ」への制限は、不正アプリがアクセス権限を利用することにより、マルウェアの拡散や個人情報の窃取といった不正活動を行うことを抑止するために設けられました。しかしサイバー犯罪者は、制限があればその回避方法を見つけるなどして攻撃を巧妙化させ、常に利益を追って活発に活動しています。その典型的な例が、最近トレンドマイクロが確認した、美しく撮れるカメラアプリを偽装し不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」です。
(さらに…)
中国のセキュリティリサーチ組織「QAX-A-Team」は、2019年9月、UNIX用のメール転送エージェント(MTA)「Exim」上に存在する脆弱性「CVE-2019-16928」を確認しました。市場調査によると、2019年9月の段階でEximはインターネット上で確認可能なメールサーバの50%以上を占めており、広範的な影響が懸念されます。この脆弱性が悪用されると、以下の2つの攻撃が実行される可能性があります。また、脆弱性の深刻度は「緊急」に分類されています。
- サービス拒否(DoS、Denial of Service)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)攻撃
この脆弱性はEximの以下のバージョンに存在し、これ以前のバージョンへの影響は確認されていません。
- 4.92
- 4.92.1
- 4.92.2.
Eximの脆弱性に関しては2019年6月にも「CVE-2019-10149」が公表されており、実際に脆弱性を攻撃するワームが登場しています。今回の脆弱性も遠隔からのコード実行が可能であり、同様の攻撃が発生する可能性は高いものと言えます。この脆弱性「CVE-2019-16928」は、ヒープ領域型のバッファオーバーフローによりEximプロセスの実行制御が可能になります。本記事ではその詳細を解説します。
(さらに…)
国内におけるフィッシング詐欺の状況については、これまでも四半期ごとの脅威動向レポート「セキュリティラウンドアップ」などで取り上げてまいりました。今回、フィッシング詐欺の攻撃の中でも、銀行などネットバンキングの認証情報の詐取、中でも特にワンタイムパスワードなど二要素認証の突破から不正送金を狙うと推測される巧妙な手口による攻撃の激化、拡大が見られているため、本記事にて注意喚起といたします。
.png)
図1:メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)
iOSの 「App Store」とAndroidの「Google Play」、この二つの正規プラットフォーム上にアドウェアやマルウェアの混入した偽アプリが潜り込んでいることはさほど珍しくなくなっているようです。今回、トレンドマイクロは、正規アプリストアであるApp StoreおよびGoogle Play上で、アプリ概要欄の説明と内容が違うコンテンツを含む数百の偽アプリを確認しました。偽アプリは、表面上は一般的な正規アプリのように見えますが、ギャンブルアプリの側面を隠し持っていました。また、日本のアプリストア上でもダウンロード可能で、一部のアプリ概要欄では日本語が使用されているものもありました。
(さらに…)
ソフトウェア開発のビルドからテスト、そしてデプロイまでを自動化するオープンソースの継続的インテグレーション(CI)ツール「Jenkins」は、DevOpsなどの開発者に広く利用されています。Jenkinsのモジュール型アーキテクチャは、基本となる機能に「プラグイン」を追加して拡張することによって最大限活用できる仕組みになっています。Jenkinsコミュニティが提供するプラグインのサイト「Plugins Index」では、本記事執筆時点で1,600以上のプラグインが公開されています。しかし、公開されているプラグインの一部は、認証情報を暗号化せず、プレーンテキスト形式で保存することが確認されています。この状態では、情報漏えいが発生した場合、この認証情報を攻撃者に不正利用され、企業の機密情報へ知らぬ間にアクセスされる可能性があります。Jenkinsでは以前にCVE-2018-1000861などの脆弱性を利用した攻撃により不正マイニングやランサムウェア感染といった被害が発生しており、速やかな対応を推奨いたします。
(さらに…)
