2015年4月、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」が、情報窃取型不正プログラムを利用し独連邦議会の PC を攻撃したことが報道されました。Pawn Storm作戦によるドイツへの政治的攻撃が確認されたのはこの時が初めてでしたが、その1年後、この諜報活動を目的とした集団による攻撃が再び確認されました。
続きを読む「ImageMagick」は、画像の閲覧、編集、形式変換に使用される、人気のソフトウェアです。2016年5月3日、セキュリティリサーチャーがこのオープンソースの画像処理ツールセットに存在する複数の脆弱性を公表しました。そのうちの1つは、攻撃者により遠隔から Webサイトの乗っ取りを可能にします。なお、ImageMagick の開発者は、これらの脆弱性を修復した更新版ソフトウェアを公開しています。
続きを読むオランダやルーマニアを拠点にしている小規模なサーバホスティング事業者が、2015年初頭以来、標的型攻撃や標的型サイバー攻撃の温床となっています。トレンドマイクロでは、2015年5月から現在まで、この小規模ホスティング事業者提供のサーバに端を発する深刻なサイバー攻撃を100件以上確認しています。攻撃キャンペーン「Pawn Storm作戦」でも、米国、欧州、アジア、中東各地の政府を標的とした少なくとも80件の攻撃で、同様のサーバが利用されています。このホスティング事業者は、正式には「仮想専用サーバ(VPS)」のホスティング事業者としてアラブ首長国連邦(UAE)のドバイで登記されています。しかしインターネット上の公開情報によると、この事業者のオーナーがUAEの法律など気に留めていないことは明らかです。実際、Pawn Storm作戦やその他の攻撃でも、この VPS事業者のサーバが利用され、認証情報窃取のフィッシング詐欺を介して UAEの政府系機関を標的にしています。パレスチナのガザに拠点を置くハッカー集団としても知られる「DustySky」の攻撃者も、コマンド&コントロール(C&C)サーバのホスティングや標的型メールの送信で、この VPS事業者のサーバを定期的に利用しています。
続きを読む修正プログラムの管理状況が試されるのは、システムやネットワークへの侵入口として、脆弱性などセキュリティ上の不具合が利用された時です。悪名高い暗号化型ランサムウェア「SAMSAM(サムサム)」の事例は、修正プログラム管理の重要さを伝えています。SAMSAM(「RANSOM_CRYPSAM」として検出)は、以前に本ブログでも紹介した暗号化型ランサムウェア「SAMAS」をベースに作成されたと思われる暗号化型ランサムウェアの新種です。不正なURL やスパムメール経由で拡散する他の暗号化型ランサムウェアファミリと異なり、修正プログラムが適用されていないサーバの脆弱性を突いて拡散します。2016年3月、SAMSAM は、米国ケンタッキー州の病院を攻撃した際、ネットワーク上のファイルを含むすべてのファイルを暗号化しました。その後 SAMSAM は、4月、医療業界から教育機関に標的を移しているようです。最近の事例では、SAMSAMの拡散に Java で実行されるオープンソースのアプリケーションサーバ「JBoss」の脆弱性が利用されました。攻撃者は、JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用して各組織のネットワークに侵入しました。学校図書管理システム「Destiny」を利用するサーバも影響を受けました。Destiny は世界各地の幼稚園から高等学校までの教育機関で利用されているソフトウェアです。既に Destiny の製造元である「Follett」は、利用者のための修正プログラムを公開して対応しています。
続きを読むトレンドマイクロは、2016年3月23日、インド軍高官の個人情報窃取を狙った活発なサイバー攻撃キャンペーン「C-Major作戦」について報告しました。C-Major作戦で利用された不正プログラムは比較的基本的なものでしたが、巧妙なソーシャルエンジニアリングの手法が利用されたために、膨大な情報が窃取されることになりました。今回、この作戦で利用された不正プログラムの1つ、スマートフォンを狙った攻撃に焦点を当て、C-Major作戦で利用された Android端末と BlackBerry端末の不正アプリについて検証します。弊社の調査によれば、C-Major作戦の攻撃者たちは、Android端末用不正アプリを数カ月間にわたって公式ストアである「Google Play」で公開していました。さらに、不正アプリを広告していた Facebookページでは、標的とした高官から何千もの「いいね!」を獲得していました。
続きを読む