米 Microsoftは、2013年11月5日(米国時間)、未修正の脆弱性が利用され、一部報道によると、その脆弱性が特定の国々において標的型攻撃に用いられたことを発表。このエクスプロイトコードは、Microsoft Office の 2003、2007、2010、Windows XP、および Server 2003 に存在するこれまで未確認であった脆弱性を利用するように設計されていました。
続きを読むトレンドマイクロでは、2013年第3四半期に日本および世界で確認した脅威の概要を、「2013年第3四半期セキュリティラウンドアップ:止まらないオンライン銀行詐欺ツールの猛威」としてまとめました。
・ダウンロードはこちら:
2013年第2四半期セキュリティラウンドアップ:『止まらないオンライン詐欺の猛威』
本レポートでは、Web改ざん、不正アクセスなど、以前の脅威傾向を引き継ぎながらも、特にオンライン詐欺に分類される攻撃が顕著だったことを主要トピックとしています。
続きを読むトレンドマイクロは、10月半ばより、蔓延する「CryptoLocker」の数の増加を確認していました。この最新版「身代金要求型不正プログラム(ランサムウェア)」は、さらに多くのユーザを攻撃し続けています。2013年 9月と比較すると、10月に確認されたケース数はその約3倍でした。
続きを読む2013年10月下旬、「TorRAT」と呼ばれる不正プログラムを拡散したとして、オランダで 4人の男が逮捕されました。この不正プログラムは、オランダ語を使用するユーザのみを対象とし、コマンド&コントロール(C&C)サーバに匿名通信システム「The Onion Router(Tor)」を利用していました。この不正プログラムの主要な目的は、オンラインバンキング口座からの金銭の収集でした。トレンドマイクロの製品では、「TROJ_INJECT.LMV」として検出されるこの不正プログラムについては、弊社のセキュリティ情報のページでより詳細な記述をしています。ユーザは、特段精巧に作られたスパムメールの送り状をクリックすることでこの脅威の被害者となります。通常、ネイティブスピーカでない同業の犯罪者たちによって送信される典型的なスパムメールには、文法やつづりの間違いがありますが、これらの送り状にはありませんでした。
続きを読む持続的標的型攻撃の流れは、「1. 事前調査」「2. 初期潜入」「3. C&C通信」「4. 情報探索」「5. 情報集約」そして「6. 情報送出」の 6段階に分けることができます。このうち第4段階の「情報探索」の攻撃では、同一の「ローカル・エリア・ネットワーク(LAN)」上の他の PC へのアクセスを試みます。この攻撃を達成させる 1つの有用な攻撃ツールが「ARPスプーフィング」です。「アドレス解決プロトコル(Address Resolution Protocol, ARP)」と呼ばれる規則の特性を悪用し、偽った情報を伝えるこの攻撃は、他の PC にバックドア型不正プログラムを仕掛けるだけでなく、情報を収集をするさまざまな攻撃を実行するのに利用できます。トレンドマイクロは、2013年9月、ARPスプーフィングを利用した攻撃を自動化するハッキングツールを確認。この種の攻撃を利用し、Webサイトへの iframe の挿入や偽のソフトウェア更新の通知、SSL接続の妨害も確認しています。
続きを読む最新版の「身代金要求型不正プログラム(ランサムウェア)」とされる「CryptoLocker」は、特定のファイルを暗号化し、その後 300米ドル(または 300ユーロ)の復号化ツールをユーザに示すことにより、代金の支払いを強いることでよく知られています。ここでは、どのようにこの不正プログラムが侵入するのか、そしてどのように他の不正プログラム、なかでも注目すべきはオンライン銀行詐欺ツール「ZBOT」へと結びついてくのかについてを取り上げます。
続きを読むトレンドマイクロは、「2013年におけるセキュリティ予測」において、サイバー犯罪者たちが新たに脅威を作り出すのではなく、既存のツールの改良を重点的に取り組むだろうと予測しました。2013年 10月上旬、既知の脅威を改良したと考えられる 2つの事例が確認され、この予測が証明されることとなりました。
続きを読む「TrendLabs(トレンドラボ)」は、2013年 9月 4日のブログにおいて、ロシアでの20カ国・地域(G20)首脳会合が標的型メールに利用された事例を報告しました。その 1カ月後、攻撃者たちは、人々の注目を集める政治的会合に再び目をつけ、自らの陰謀に利用したようです。10月 7日および 8日、環太平洋の 21カ国・地域が毎年参加するアジア太平洋経済協力会議(APEC)の首脳会合がインドネシアにて開催。この会合が格好の「エサ」となり、攻撃者たちのなりすましメールに利用されています。
続きを読むトレンドマイクロは、2013年9月初旬、新しいバックドア型不正プログラム「BLYPT」を確認、この検証結果を今回ご報告します。このファミリは、暗号化とともに、データベースシステムで使用されるデータ型の 1つである「バイナリ・ラージ・オブジェクト(BLOB)」を利用していることからこの名が付けられました。なお、このBLOB情報はレジストリ内に保存されています。現時点での検証では、このバックドア型不正プログラムは、Java の脆弱性を突くエクスプロイトコードを介してインストールされ、このエクスプロイトコードを拡散するために利用される「ドライブバイダウンロード」攻撃あるいは改ざんされた Webサイトのどちらかを経由して感染PC上に侵入することが判明しています。また、今回のバックドア型不正プログラムの検証の結果、攻撃に関連するサーバは、ルーマニアおよびトルコを中心に拠点を置いていることが明らかになりました。
2013年9月20日時点において、主に米国のユーザが今回の脅威の影響を受けており、また、産業別では、一般ユーザがもっとも影響を受けていることが判明しています。
続きを読む