アカウントリスト攻撃などの不正アクセスに関与するサイバー犯罪の脅威動向は減少する気配がなく、着実に増加しています。CDNサービス「Akamai」の報告では、2018年1月から2019年12月までに合計880億件のアカウントリスト攻撃が発生したとされています。アカウントリスト攻撃とは、実際に使用されているIDとパスワードがセットになったアカウントのリストを利用してWebサイトやオンラインサービスへの不正ログインを試行する攻撃のことです。「リスト型アカウントハッキング」、「クレデンシャルスタッフィング」などと呼ばれる場合もあります。不正ログインに成功した場合、金銭的利益に動機づけられた攻撃者は、被害者の銀行口座や機密情報に自由にアクセスできるようになります。またサイバー犯罪者は、詐取した認証情報をアンダーグラウンドフォーラムや闇市場などで販売して利益を得ています。
続きを読むトレンドマイクロは2019年2月下旬、新種のバックドア型マルウェアを確認し、「SLUB」と名付けて3月14日の記事で解説しました。当時確認されたバージョンのSLUBは、VBScriptエンジンの脆弱性「CVE-2018-8174」を利用した水飲み場型攻撃で拡散し、リポジトリホスティングサービス「GitHub」とコミュニケーションプラットフォーム「Slack」を悪用してコマンド&コントロール(C&C)通信を行っていました。
2019年7月9日、新しいバージョンのSLUBが別のWebサイトを利用した水飲み場型攻撃によって拡散されていることが確認されました。この水飲み場型攻撃サイトは、Internet Explorer(IE)の遠隔からのコード実行(Remote Code Execution、RCE)脆弱性「CVE-2019-0752」を利用します。CVE-2019-0752はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」によって発見された脆弱性で、2019年4月に修正プログラムが公開されています。今回の攻撃はCVE-2019-0752の利用が確認された初めての事例です。
(さらに…)
トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド&コントロール(C&C)通信を行います。SLUBは、感染PCから収集したファイルを、ファイル共有サービス「file.io」を利用して攻撃者に送信します。トレンドマイクロがSLUBを確認した時点で、このマルウェアは一般的にはまだ存在を認識されていないようでした。チャットプラットフォームが悪用される可能性については以前から指摘していましたが、Slackの悪用が確認されたのは今回が初めてです。
調査によって判明した「戦略、技術、手法(Tactics, Techniques and Procedures、TTP)」から、今回の攻撃は、通常のサイバー攻撃ではなく、有能な攻撃者によって実行された隠ぺい性の高い標的型攻撃だと考えられます。トレンドマイクロは、問題の脅威についてすぐにカナダのCSIRT(Computer Security Incident Response Team)である「Canadian Centre for Cyber Security」に通知しました。同センターは水飲み場型攻撃に利用されたWebサイトの運営者に注意喚起し、この脅威への対処を支援しました。
■水飲み場型攻撃と脆弱性の利用による感染の流れ
図1は水飲み場型攻撃による感染の流れを図示したものです。
図1:感染の流れ
2018 年 2 月末に報告された増幅型の「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System(DNS)」、「Universal Plug and Play(UPnP)」、「Session Description Protocol(SDP)」、「Network Time Protocol(NTP)」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータベースへのアクセスに関連した冗長な処理を削減することでデータへのアクセスを高速化しますが、残念なことにこのような memcached の特徴が DDoS 攻撃の増幅にも威力を発揮することが確認されました。
続きを読む開発者は、ソフトウェアのバージョン更新や、プロジェクトの管理と維持のためにこまめにソースコードを変更したり再加工したりする必要があります。そのような目的のために広く利用されている「GitHub」は、バージョン管理システムを提供するオンラインのリポジトリホスティングサービスです。ソースコードの管理・共有・合作・統合のための貴重なプラットフォームを提供している GitHubは、プログラマや開発者のためのソーシャル・ネットワーキング・サイトのように活用されています。
しかし、GitHubは悪用されることもあります。オープンソースのランサムウェアのプロジェクト「EDA2」と「Hidden Tear」は、教育目的を意図して作成されたはずでしたが、GitHubで公開されて以来、さまざまなランサムウェア亜種を生み出し、企業に損害を与えてきました。「モノのインターネット(Internet of Things、IoT)」機器の不具合を悪用するツールも GitHubで入手可能でした。標的型攻撃で利用されたキーロガー「Limitless」でさえ、GitHubのプロジェクトにリンクしていました。
続きを読む
