Apache Struts は、オープンソースのフレームワークで、Java の Webアプリケーションを構築するために用いられます。過去に Apache Struts で確認された「リモートでコードが実行される脆弱性(Remote Code Execution、RCE)」をトレンドマイクロが調査したところ、ほとんどで「Object Graph Navigation Language(OGNL)」のプログラミング式が利用されていました。Apache Struts のプロセスの多くが OGNLを利用しているため、これを利用することで遠隔でのコード実行が容易になります。
続きを読むハードコード化された認証情報に起因する問題は、一般消費者向けのIoT機器だけでなく、「SCADA(産業制御システム)」の機器、さらには電力会社などの重要インフラにまで影響を及ぼしています。ソースコードとファームウェアの精査が求められているにも関わらず、このような IoT機器の不具合は後を絶たず、ユーザのプライバシーとデータセキュリティ上の懸念となっています。
続きを読む2016年は、ランサムウェアの被害が増大した年でした。サイバー犯罪者はランサムウェアをさらに凶悪化させ、企業や個人ユーザの重要データを人質にさらに多くの身代金を得ることに成功しました。昨年新たに確認されたランサムウェアは 2016年9月末までの段階で既に 146ファミリに達し、2015年の 29ファミリと比べ大きく増加しています。ランサムウェアの急速な拡大と発展の背景には、プラットフォーム、機能、手法の全ての面で改良に力を注ぐサイバー犯罪者の奔走があります。
続きを読む英国の詐欺やサイバー犯罪の報告センターである「Action Fraud」は、2017年1月12日(現地時間)、移住者支援慈善団体「Migrant Helpline」を偽装して寄付者を狙う標的型メールを利用した詐欺について注意喚起しました。標的型メールには、寄付ページへのリンクが含まれていました。ユーザが何も疑わずにリンクをクリックすると、正規の Webサイトが開く代わりに、「RAMNIT(ラムニット)」がダウンロードされます。「RAMNIT」は、現在活動しているマルウェアの中でも非常に強力なものの一つで、2016年に脅威状況に復活しました。
続きを読む2016年6月、サイバー犯罪集団「Lurk(ラーク)」に関連する犯罪者 50人が逮捕されました。Lurkは、遅くとも 2011年から活動を開始し、2016年6月に逮捕されるまで、約4,500万米ドル(約50億円、2017年2月20日現在)相当を窃取しました。私達は、2011年から 2016年中旬まで、Lurk が利用する不正活動のコード解析や、ロシア国内における弊社の侵入検知システムが監視したネットワークトラフィックと URLパターンを分析することにより、このサイバー犯罪集団のネットワークアクティビティを監視、調査してきました。この調査によって収集した情報を元に、逮捕されるまでの約5年間の不正活動の変遷について 2回に分けて報告します。
第1回:
- 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
- 2011年から 2012年初期:Lurk、活動を開始
- 2012年中頃から 2014年中頃:マルウェアの向上、組織化した犯罪集団に
「CERBER」は、2016年初期に出現して以来、随時斬新な手法を取り入れることで知られる暗号化型ランサムウェアのファミリです。これまで、音声による脅迫、クラウドサービスの悪用、データベースの暗号化、「malvertising(不正広告)」を利用した拡散、Windows スクリプトファイルの利用、各種のエクスプロイトキットなどを機能に取り入れ、時とともに改善してきました。目立って広く利用されている理由の1つは、CERBER はロシアのアンダーグラウンド市場で販売されているため、各方面のサイバー犯罪者にとって入手しやすいことにあるかもしれません。CERBER は日本国内でも拡散が確認されており、国内で 2016年10~12月に確認したランサムウェアを感染させる脆弱性攻撃サイトのうち、9割以上が「CERBER」を拡散させていたことは以前の記事で報告の通りです。
しかし、トレンドマイクロは、これまでとは異なる不正活動を見せる亜種(「RANSOM_CERBER.F117AK」として検出)を確認しました。この亜種は、セキュリティ対策ソフトウェアを暗号化対象ファイルから除外するため、一見無意味な骨折りをしています。
続きを読む「脆弱性攻撃ツール(エクスプロイトキット)」の脅威状況は、2016年後半に大きく変わりました。それまで非常によく利用されていたエクスプロイトキットが突然減少する、あるいはサイバー犯罪者がその運用方法を切り替える、などの変化が見られました。「Angler Exploit Kit(Angler EK)」は、2015年以来、最も活発なエクスプロイトキットでしたが、突然活動を終了しました。2016年第1四半期に検出された 340万件のAngler EKの攻撃について、トレンドマイクロが追跡調査したところ、2016年後半、攻撃率は「0」にまで急低下しました。
続きを読む2016年末、Linux を搭載した IoT機器を狙う「Mirai」(「ELF_MIRAI」ファミリとして検出)による、大規模な「分散型サービス拒否(DDoS)」攻撃が数々の被害を発生させました。これらの事例は、「モノのインターネット(Internet of Things、IoT)」のエコシステムが、機能していない事実を明らかにしました。Mirai は、さらに拡散範囲を拡大するべく、今度は Windows PC を踏み台とするための機能を取り入れ、再び注目を集めています。
続きを読むトレンドマイクロは、2016年9月、更新したランサムウェア「CRYSIS(クライシス)」(「RANSOM_CRYSIS」として検出)がオーストラリアとニュージーランドの企業を標的に、「リモート・デスクトップ・プロトコル(RDP)」を経由したブルートフォース(総当り)攻撃を仕掛けていたことについて報告しました。そして現在、RDP経由のブルートフォース攻撃は続行中であり、世界中の大企業や中小企業に影響を及ぼしています。事実、2017年1月には、2016年末に比べ攻撃数が倍増しています。ざまざまな業界が影響を受けていますが、終始一貫して標的とされているのは、米国の医療業界です。
図1:影響を受けた地域および業界