ホーム » Archives for 4月 2018

ルータを狙う攻撃、ブラジルで発生

投稿日:2018年4月25日
脅威カテゴリ:不正プログラム, フィッシング, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:Senior Threat Researcher - Fernando Mercês

2018年4月16日（米国時間）、米国の国土安全保障省（Department of Homeland Security 、DHS）および「連邦捜査局（FBI）」、英国の「国家サイバーセキュリティセンター（National Cyber Security Centre、NCSC）」は、ルータや侵入検知システムなどネットワークインフラ機器を狙う攻撃について共同で警告を発表しました。これ以外にも Mirai や Hajime など「モノのインターネット（Internet of Things、IoT）」のデバイスを狙う攻撃の報道は跡を絶ちません。

現在、PC と周辺機器の接続、サーバ間あるいはサーバとクライアント間通信、ネットワークへの接続など、ますます接続しやすくなっている「コネクティビティ」な環境が定着しています。こうした環境を考慮すると、インターネットへの接続を念頭に設計された IoTデバイスが狙われるのも理解できるでしょう。そして、インターネットと企業ネットワークあるいはホームネットワークへの出入り口となるのが「ルータ」です。サイバー犯罪者は、企業や家庭のネットワークへの突破口として「ルータ」をまず狙ってきます。

(さらに…)

DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認

2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER（エックスローダ）」（「ANDROIDOS_XLOADER.HRX」として検出）の拡散およびインストールに利用されています。

XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。

図 1：偽の Facebook アプリおよび Chrome アプリ（赤枠）

(さらに…)

「ファイル感染型コインマイナー」を確認。既存ランサムウェアのコードを再利用

投稿日:2018年4月19日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
執筆:TrendLabs フィリピン

サイバー犯罪者は金儲けの機会として仮想通貨に注目し、他者のリソースを乗っ取って仮想通貨の発掘(マイニング)を行う不正マイニングに仮想通貨発掘ツール（コインマイナー）を利用しています。そして、2018年に入り、仮想通貨をマイニングするマルウェアが頻繁に確認されています。トレンドマイクロは、4月だけでも既に、仮想通貨「Monero（XMR）」をマイニングする Android 端末向け不正アプリ「HIDDENMINER（ヒドゥンマイナー）」や、Web広告の改ざんによる仮想通貨発掘ツール（コインマイナー）の拡散などの事例を報告しています。そして今回、トレンドマイクロでは、ファイル感染型ウイルスの活動を併せ持つ、いわば「ファイル感染型コインマイナー」を初めて確認しました。

今回確認されたファイル感染型コインマイナーは、トレンドマイクロの製品では「PE_XIAOBAMINER（シャオバマイナー。以下、XIAOBAMINER）」として検出されます。XIAOBAMINER は、マイニングだけでなくファイル感染活動や USBワーム活動の機能を備えています。トレンドマイクロでは XIAOBAMINER の亜種を既に2種確認しています。弊社の解析によると、XIAOBAMINER は、2017年10月に確認されたランサムウェア「XiaoBa」に不正コードに酷似しており、XiaoBa のコードを再利用して、マイニング機能やワーム拡散機能を追加した破壊的なファイル感染型ウイルスとしてのコインマイナー「XIAOBAMINER」が作り上げられたようです。

(さらに…)

日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」、4月に確認された最新攻撃手法を解説

投稿日:2018年4月17日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

トレンドマイクロでは、ユーザを保護するためにサイバー攻撃の監視を行っています。その監視の中で、日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」の新たな活動をこの 2018年 4月に確認しました。ChessMaster は 2017年 7月から確認されている攻撃キャンペーンであり、当初は学術界、メディア、政府機関のような日本の組織を標的としてさまざまな攻撃ツールと手法を駆使した攻撃を行っていました。

利用する手口の巧妙さから当初推測された通り、ChessMaster はその後もツールおよび手法を変化させながら活動を続けてきました。以前の活動では、「ChChes」のような「Remote AccessTool（RAT）」を利用していましたが、2017年9月以降は新しいバックドア型マルウェア「ANEL（エイネル）」の利用を確認しています。今回も、複数の脆弱性を利用するANELの新たな亜種（「BKDR_ANEL.ZKEI」として検出）の利用が確認されました。

(さらに…)

日本にも流通する IoT デバイスで遠隔操作が可能な脆弱性を確認

投稿日:2018年4月16日
脅威カテゴリ:脆弱性
執筆:Trend Micro

インターネットに接続されたデバイスで確認されてきた大規模な攻撃から得られる知見は、「モノのインターネット（Internet of Things、IoT）デバイス」にも多くの脆弱性が存在するということです。今回トレンドマイクロが実施した調査でも、デバイスまたはサービスへの攻撃やボットネットの構築に利用可能な脆弱性が確認されました。

弊社は、2017 年、世界中で利用されている IoT デバイスのセキュリティについて詳細な調査を実施しました。さまざまな地域の Amazon で販売され、日本市場でも広く利用されている製品を含む複数のデバイスを選択し、「遠隔でのコード実行（Remote Code Execution、RCE）」の可否を確認しました。その結果、予想以上のことが明らかになりました。

(さらに…)

「Magento」上のECサイト改ざんにより、カード情報漏えいやマルウェア感染が発生

投稿日:2018年4月13日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report, Webからの脅威
執筆:TrendLabs フィリピン

2018年4月、オープンソースの電子商取引（e-commerce、EC）サイトプラットフォーム「Magento」で運用されている多くの Webサイトが総当たり攻撃や辞書攻撃の方法で改ざんされたことが確認されました。この改ざんにより、クレジットカード情報の窃取や、仮想通貨発掘マルウェア感染などの被害が発生したことが報告されています。

「Magento」は、ECサイトのプラットフォームとして、2016年時点で既に1,000億ドル以上（約10兆7千億円。2018年4 月13日時点）の売上を記録し 5,100万のユーザを抱えていました。また同社は、自身のブログ上で、Magento がオンライン取引のプラットフォームとして 2020年には 2,240億ドルに成長すると予測しています。クレジットカード情報や顧客の個人情報を扱う ECサイトはサイバー犯罪者にとっては格好の標的と言えます。実際、Magentoプラットホーム上の ECサイトは、2016年以降「KimcilWare（キムチルウェア）」、「ELF_CRYPTOR（クリプタ）」や「Rex（レックス）」といった複数のランサムウェアから、Magento の CMS が抱える脆弱性を利用する攻撃を受けてきました。このMagento の CMS の脆弱性は、ランサムウェア以外にも、脆弱性を突いてマルウェアに感染させる脆弱性攻撃ツール（エクスプロイトキット）などにも狙われています。

(さらに…)

「Mirai」に似た中国発のネットワークスキャン活動を確認、ブラジルを攻撃

投稿日:2018年4月13日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは、2018 年 3 月 31 日午後 1 時（UTC）から 4 月 3 日午前 0 時（UTC） 12:00 am にかけて、中国を発信源とする「Mirai」に似たネットワークスキャン活動を確認しました。弊社のネットワーク監視システムにより、3,423 個の IP アドレスからの大量のトラフィックが検出されています。ルータやネットワークカメラ（IP カメラ）のようなインターネットに接続された機器をスキャンするこの攻撃はブラジルを狙ったものと考えられています。

図 1：中国を発信源とする「Mirai」に似たネットワークスキャン活動

(さらに…)

AOL の Web 広告に不正な仮想通貨発掘ツールを確認、MSN 日本版でも表示

2018 年 3 月 25 日、トレンドマイクロは、Web ブラウザを利用する仮想通貨発掘ツール（コインマイナー）の検出数の急増を確認しました。このコインマイナーのトラフィックを追跡したところ、大部分がポータルサイト「MSN Japan」に関連していることが判明しました。攻撃者は、広告プラットフォーム「AOL」が配信した広告のスクリプトを改ざんし、MSN に表示された広告を通して仮想通貨を発掘していました。

弊社はこの問題を AOL に報告済みです。AOL は、2018 年 3 月 27 日までに、同社の広告に埋め込まれたコインマイナーを削除しています。

(さらに…)

機械学習を利用したクラスタリングによる仮想通貨発掘マルウェアの検出

投稿日:2018年4月6日
脅威カテゴリ:対策技術, 不正プログラム
執筆:Trend Micro

攻撃者は既存のウイルス対策を免れるために、攻撃ごとに新たにマルウェアを作成して使用します。このような攻撃から利用者を保護するために、新種や亜種のマルウェアのような未知脅威を効果的に検出する手法の必要性が高まっています。トレンドマイクロは、ファイル間の類似性を効率良く比較することが可能なハッシュアルゴリズム「Trend Micro Locality Sensitive Hashing (TLSH)」と機械学習を用い、インターネット上で収集した仮想通貨発掘マルウェアの検体をグループ化（クラスタリング）することにより、類似したマルウェアや修正が加えられたマルウェアでも検出可能とする対策技術を開発しました。この TLSH の実装はオープンソースのプロジェクトとして公開されています。一般に、マルウェアは SHA 256 等のハッシュ関数で算出した値に基づいて識別しますが、少しでもデータが異なるとまったく異なる値が算出されるため、マルウェアの類似度を判断することは困難です。しかし、TLSH で算出したハッシュ値や挙動等を用いたマルウェアのクラスタリングにより、SHA 256 等で計算されるハッシュ値が異なっていても、類似したマルウェアや修正が加えられたマルウェアを検出することが可能になります。

(さらに…)

iPhone セットが 100 円？不正広告で誘導する日本郵便を偽装した当選詐欺サイトを確認

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この 4 月 2 日前後から日本郵便を偽装する不審サイトを確認しています。この不審サイトは所謂「当選詐欺」サイトであり、最新スマートフォンの当選を理由に最終的に個人情報からクレジットカード情報までを入力させ、詐取することが目的と考えられます。また、トレンドマイクロの調査の結果、この当選詐欺サイトへの主な誘導経路は不正広告であることも確認しました。

図：今回確認された当選詐欺サイトの表示例（Android からアクセス）
正規サイトと誤解させるよう「post」という単語を入れたり、「.co.jp」と誤解させるよう「.co/jp」という文字列を URL に入れている

(さらに…)

Page 1 of 212