ホーム » Archives for 5月 2017

LNKファイルを利用してマルウェアをダウンロードする手法が増加中

「PowerShell」は Microsoft が開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。

しかし、サイバー犯罪者は Windows ショートカットファイル（「.LNK」拡張子）から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。

(さらに…)

重大脆弱性の発覚から Web被害が続発、2017年1～3月の脅威動向を分析

投稿日:2017年5月30日
脅威カテゴリ:統括, 脆弱性, 速報, 日本発
執筆:Trend Micro

重大脆弱性の発覚から Web被害が続発、2017年1～3月の脅威動向を分析

トレンドマイクロでは、2017年1～3月における国内外の脅威動向について分析を行いました。2017年に入り、Webサイトに対する攻撃が続発しましたが、その原因は Web関連の深刻な脆弱性の連続した発覚でした。2016年に全世界的に過去最大規模の被害をもたらした身代金要求型不正プログラム（ランサムウェア）は、2017年に入り、攻撃の拡大という面からはひと段落の様相となっています。しかし、サイバー犯罪者の「ビジネス」としては完全に定着し、攻撃手法と標的の両面から多様化の動きが見て取れます。

(さらに…)

「EternalRocks」、「WannaCry」同様にSMBの脆弱性を利用し、ワーム機能あり

投稿日:2017年5月25日
脅威カテゴリ:不正プログラム, クライムウェア, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:TrendLabs フィリピン

2017年5月中旬、「EternalRocks（「TROJ_ETEROCK.A」として検出）」と呼ばれる新しいマルウェアが確認されました。このマルウェアは、ハッカー集団「Shadow Brokers」によって米国の「National Security Agency（国家安全保障局、NSA）」から流出した脆弱性やツールを利用しています。暗号化型ランサムウェア「WannaCry」が利用した脆弱性「EternalBlue」およびバックドアツール「DoublePulsar」に加えて、同じ経緯で流出した「EternalChampion」、「EternalRomance」、「EternalSynergy」、「ArchiTouch」、「SMBTouch」を利用しています。これらのほとんどは Windows OS のファイル共有プロトコル「Server Message Block（サーバメッセージブロック、SMB）」の脆弱性を狙ったものです。

(さらに…)

「CERBER」バージョン6：ランサムウェアの変遷と今後の展開

投稿日:2017年5月24日
脅威カテゴリ:不正プログラム, メール, クライムウェア, サイバー犯罪, TrendLabs Report
執筆:Threats Analyst - Gilbert Sison

暗号化型ランサムウェア「CERBER（トレンドマイクロでは「RANSOM_CERBER」ファミリとして検出対応）」は、初めて検出報告が確認されてから 1年が経過し、いまや最も活発なランサムウェアファミリとして周知されています。「CERBER」は、2016年3月に初めてロシアのアンダーグラウンド市場で確認されて以来、ファイル構造、手法、各種機能など、サイバー犯罪者に何度も更新されており、中には「CERBER 4.1.5」など、わずか 1日で更新されたケースもありました。その勢いは、「LOCKY（「RANSOM_LOCKY」ファミリとして検出対応）」など、他のランサムウェアファミリの影が薄くなる程度に及びました。

「CERBER」は、入手しやすさの点で他の暗号化型ランサムウェアとの差別化を図りました。サイバー犯罪者は、いち早く「Ransomware as Service（サービスとしてランサムウェア、RaaS）」のビジネスモデルを導入し、購入可能なランサムウェアとしてサイバー犯罪者に周知させました。こうして CERBERの背後にいるサイバー犯罪者は、被害者が支払った身代金の分け前から利益を得ることになり、その割合は最大で身代金の 40％にも及びました。こうした努力の結果、いまや「CERBER」はサイバー犯罪の「ドル箱」となり、2016年だけで実に 20万米ドル（2017年4月18日のレートで約2,218万4,000円）を稼いだと報じられています。

こうして大きな利益をもたらし、かつカスタマイズ可能であることから、「CERBER」のさまざまなバージョンが登場したのも不思議ではありません。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」で「CERBER」の影響範囲を確認したところ、企業および個人ユーザ双方において圧倒的に米国へ集中していました。業界別では、教育、製造、公共、テクノロジー、保健医療、エネルギー、運送などが影響を受けていることを確認しています。

(さらに…)

「Astrum EK」の更新を確認。エクスプロイトキット脅威再燃となるか

投稿日:2017年5月22日
脅威カテゴリ:不正プログラム, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:Fraud Researcher - Joseph C Chen

「脆弱性攻撃ツール（エクスプロイトキット）」の活動は 2016年下半期より、「Magnitude Exploit Kit（Angler EK）」、「Nuclear EK」、「Neutrino EK」、「Neutrino」、「Rig EK」を中心に減少傾向を示しています。しかしこれは、エクスプロイトキット自体が活動を諦めたわけではありません。「Astrum EK（別名：「Stegano EK」）」は、従来から存在するあまり目立たないエクスプロイトキットとして知られていますが、最近トレンドマイクロでは、このエクスプロイトキットの更新を複数回確認しました。

「Astrum EK」は、不正広告キャンペーン「AdGholas（アドゴラス）」だけに利用されるエクスプロイトキットとして知られ、この広告キャンペーンを介したオンライン銀行詐欺ツール「Dreambot／Gozi（別名「URSNIF」、「BKDR_URSNIF」として検出対応）」や「RAMNIT（「TROJ_RAMNIT」、「PE_RAMNIT」として検出対応）」など、深刻な脅威をもたらしていました。また、別の不正広告キャンペーン「Seamless」による不正サイトへの誘導に利用されることも、弊社では確認しています。「Seamless」は、通常、「Rig EK」が利用されることで知られています。

「Astrum EK」の最近の活動からは、複数の更新が施され、上述のような既存のマルウェアに利用されるだけでなく、利用範囲を広げ、今後の大規模なキャンペーン活動の準備をしているようにも見えます。特に「ディフィー・ヘルマン鍵交換（DH鍵交換）」を悪用して、セキュリティリサーチャやエンジニアの解析やフォレンジック分析を阻もうとする手口は、セキュリティ対策へ挑戦とも見て取れます。

(さらに…)

「駐禁報告書」に注意－43万件規模のメール拡散の狙いは37以上の金融・ネットサービス

ランサムウェア「WannaCry/Wcry」による世界規模でのサイバー攻撃に世の中の注目が集まる中で、国内のインターネット利用者の銀行口座やクレジットカードを狙った大規模なマルウェアスパムのキャンペーンが行われています。トレンドマイクロでは、2017年5月14日から5月18日15時までの約5日間に、様々な件名を使い分けながら大量拡散されているマルウェアスパムを43万件以上確認しています。

(さらに…)

ランサムウェア「UIWIX」など「WannaCry／Wcry」の模倣犯が連続して出現

2017年5月12日夜（日本時間）から世界各地で急速に感染拡大した暗号化型ランサムウェア「WannaCry」の被害は、この暗号化型ランサムウェアが持つ「kill switch 」のドメイン登録によって軽減されました。しかし、他のサイバー犯罪者による類似マルウェアが出現するのは時間の問題でした。暗号化型ランサムウェア「UIWIX（「RANSOM_UIWIX.A」として検出）」や感染PCを利用して仮想通貨の発掘を行うトロイの木馬型マルウェア「Adylkuzz（「TROJ_COINMINER.WN」として検出）」の出現はその良い例です。

(さらに…)

ランサムウェア「WannaCry／Wcry」のワーム活動を解析：侵入／拡散手法に迫る

国内でも大きな話題となっているランサムウェア「WannaCry」ですが、5月12日の世界的な大規模拡散以降、その侵入と拡散について大きな疑問符が付いたままとなっていました。トレンドマイクロでは侵入と拡散の手法について探るため、WannaCry のワーム活動について徹底解析を行いました。WannaCry はワーム活動としては Windows の「MS17-010」の脆弱性の利用を確認していますが、この解析では同時にバックドアツール「DoublePulsar」を利用する詳細な活動内容が確認できました。

図１：「WannaCry」のワーム活動フロー概要図

(さらに…)

ランサムウェア「WannaCry／Wcry」による国内への攻撃を 16,436件確認

現在世界各地で報道を大きく賑わせ今週国内での被害が懸念されていた暗号化型ランサムウェア「WannaCry」ですが、トレンドマイクロが確認をした結果、国内にも多くの攻撃が着弾していることが明らかになりました。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が集計したデータによると、トレンドマイクロが緊急事態と判断した 2017年5月12日21時42分（日本時間）の前後で着弾している攻撃の数が大きく異なることが分かりました。英国など各国での被害が明らかになり始めた後から攻撃の数は急速に拡大し、5月12日21時42分から 5月15日9時00分までの間に確認、ブロックした攻撃は全世界で 92,141件に上ることが分かりました。

また、日本でも同期間内に13,645件の攻撃が確認されており、全体に占める割合では14.8％にのぼりました。WannaCry の攻撃が日本時間で金曜の夜、つまり通常業務時間終了後の時間帯だったことから週が明けての被害が懸念されていましたが、月曜の始業前の時点まででも多くの侵入が確認されたことになります。

5月12日21時42分までの時点では、トレンドマイクロが確認、ブロックした WannaCry による攻撃は全世界で 2,128件、うちトップは報道でも騒がれているイギリスで 786件、一方日本への攻撃は 105件にとどまっていました。事態が深刻になる前から合計すると、WannaCry による攻撃は全世界に対して 94,269件、日本に対しては 13,750件確認、ブロックしている計算になります。

(さらに…)

「Pawn Storm」のようなサイバー攻撃集団から組織を守るには？

投稿日:2017年5月16日
脅威カテゴリ:対策技術, フィッシング, サイバー犯罪, サイバー攻撃
執筆:Senior Threat Researcher - Feike Hacquebord

「Pawn Storm」のようなサイバー攻撃集団から組織を守るには？

攻撃者集団「Pawn Storm」は、「Sednit5」や「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM8」などのさまざまな名称で呼ばれていますが、実際には、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきた同一のサイバー攻撃者集団を指します。Pawn Stormは、情報窃取型マルウェア「SEDNIT」に誘導する標的型メールや脆弱性を突く攻撃手法、そして特に認証情報を窃取するフィッシング攻撃などを効果的に組み合わせ、同じ標的に対してさまざまな角度から攻撃を仕掛けることで攻撃目標を達成してきました。

(さらに…)

Page 1 of 212