米国と英国の法執行機関は、2015年10月13日(現地時間)、オンライン銀行詐欺ツール「DRIDEX」に利用された複数のコマンド&コントロール(C&C)サーバ間のネットワークを閉鎖しました。この取り締まりについて、米国ペンシルバニア州西部地区の弁護士 David J. Hickton は「技術を駆使した閉鎖であり、世界で最も悪質な不正プログラムの 1つに一撃を与えた」と述べました。
続きを読む中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。
しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあります。
- フィッシングサイトへの誘導
- 任意の連絡先の追加
- 偽のショート・メッセージ・サービス(SMS)送信
- リモートサーバへのローカルファイルのアップロード
- アプリをAndroid端末にインストール
これらのバックドア活動を実行する前に必要な前提条件は、端末をインターネットに接続するだけです。Moplus SDK は非常に多くの Androidアプリに取り入れられているため、1億人の Androidユーザが影響を受けたことになります。また、弊社の調査から、不正プログラムが既に Moplus SDK を利用していることが判明しています。
本稿では、Moplus SDK の不正なコードとそれが Android端末に及ぼす危険について説明します。
続きを読むエクスプロイトキットに関しては、タイミングがすべてです。最新の更新プログラムを適用していない数多くのユーザを狙って、エクスプロイトキットは更新プログラムが公開されたばかりの脆弱性やゼロデイ脆弱性を頻繁に突いて攻撃に利用します。トレンドマイクロは、エクスプロイトキットが現在利用している 2つの脆弱性を確認しました。そのうちの 1つは、「Pawn Storm作戦」の最近の攻撃で利用された Adobe Flash Player のゼロデイ脆弱性です。もう 1つは、バージョン 18.0.0.232 までの Adobe Flash Player に影響を与えるもので、弊社は現在 Adobe と協働して、この脆弱性の CVE番号を確認しています。
弊社は、2015年10月28日以降、これらの 2つの脆弱性が、「Angler Exploit Kit(Angler EK)」と「Nuclear Exploit Kit(Nuclear EK)」の 2つのエクスプロイトキットに利用されていることを確認しました。
続きを読むオンライン銀行詐欺ツール「DRIDEX」に利用された複数のコマンド&コントロール(C&C)サーバ間のネットワークが、2015年10月13日(現地時間)、米連邦捜査局(FBI)によって閉鎖されました。最初に英国の国家犯罪対策庁(National Crime Agency、NCA)が C&Cサーバへの通信への対応策を講じ、その後 FBI による閉鎖へと至りました。
続きを読むトレンドマイクロは、2014年10月に標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」を報告しました。この作戦は、遅くとも 2007年頃から活動していると弊社の調査から明らかになっています。
今回、「Pawn Storm 作戦」を仕掛ける攻撃者が Adobe Flash Player に存在するゼロデイ脆弱性を自身の攻撃に利用していることを確認しました。問題のゼロデイ脆弱性は、いまだ更新プログラムがリリースされておらず、Adobe Flash Player は、現時点では、この攻撃に対して脆弱な状況にあります。
続きを読む2015年6月の日本年金機構での情報流出事件以降、多くの組織で標的型メールを発端とした「気づけない攻撃」=標的型サイバー攻撃の被害が明らかになりました。しかし、これらの攻撃はこの 6月に突然発生したものではなく、これまでも継続的に確認されてきたものです。トレンドマイクロはこれまでも国内標的型サイバー攻撃の分析レポートで標的型サイバー攻撃の実態を明らかにしてまいりました。本連載「2015年上半期・国内標的型サイバー攻撃の分析」では、2015年上半期(1~6月)に、トレンドマイクロが行った検体解析、ネットワーク監視、インシデント対応などの事例から判明した事実を元に、標的型サイバー攻撃の傾向を紐解き、行うべき対策の考え方を説明します。前回は標的型メールの添付ファイルの傾向、また、最終的に侵入する遠隔操作ツール(RAT)とその通信の傾向を分析しました。第3回の今回は、遠隔操作ツール(RAT)「EMDIVI」に対する、トレンドマイクロの脅威解析機関である TrendLabs による詳細分析をまとめます。
続きを読む