米国時間2021年12月9日にJava向けのログ出力ライブラリ「Apache Log4j」に潜在するリモートコード実行(RCE)の脆弱性情報が公開されました。以来、数多くの記事で取り上げられたことは、「Log4Shell」と名付けられたこの脆弱性の影響力の大きさを物語っています。Log4jは、コード変更なく簡単にログを提供することから、多くのプログラムに用いられています。これは、攻撃対象領域が広範囲に及ぶことを意味すると同時に、Amazon社、Apple社、Cloudflare社、Google社、Tencent社、Twitter社など、Log4jを用いる多くの有名企業が脆弱性を有する標的組織として狙われる可能性があることを示唆しています。また、Log4jを用いる組み込み機器にまで影響が及ぶため、攻撃対象領域がさらに拡大しています。本ブログ記事では、車載デバイスや車両プロパティの中でもコネクテッドカーに影響するものとして、特に電気自動車用充電器、車載インフォテインメント(IVI)システム、自動車用デジタルキーの3つに焦点を当てます。
続きを読む本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。
本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。
表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。
| ATT&CK Tactic | Technique (TTP) |
マルウェア ファミリ数 |
| Discovery(探索) | T1083:File and Directory Discovery(ファイルとディレクトリの探索) | 10 |
| Command and Control(コマンド・コントロール) | T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) | 9 |
| Initial Access(初期アクセス) | T1133:External Remote Services (外部リモートサービス) | 8 |
| Execution(実行) | T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) | 7 |
|---|---|---|
| Impact(影響) | T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃) | |
| Credential Access(認証情報アクセス) | T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) | 6 |
| Discovery(探索) | T1057:Process Discovery(プロセス探索) | |
| Execution(実行) | T1106:Native API(ネイティブAPI) | 5 |
| Impact(影響) | T1486:Data Encrypted for Impact(データ暗号化) | |
| Defense Evasion(防御回避) | T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) | 4 |
| Lateral Movement(水平移動・内部活動) | T1210:Exploitation of Remote Services(リモートサービス不正使用) | |
| Persistence(永続化) | T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron) |
イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読む今回の記事では、LoRaWANを使用する組織に悪影響を及ぼす可能性のある危険なハードウェア攻撃の詳細を説明します。LoRaWAN(Long Range Wide Area Network)とは、既に世界中のIoT構成に広く使用されている低消費電力の通信ネットワーク技術です。今後の企業およびスマートシティにおいては当たり前のように導入されていく技術と考えられています。導入の決め手となっているのは、その汎用性と手頃な価格です。一方、広範囲で使用されるデバイスおよびソフトウェアがそうであるように、サイバー犯罪者や攻撃者からの侵害・悪用の可能性は大きな懸念となります。トレンドマイクロではこれまで、LoRaWANのセキュリティとLoRaWANの通信の弱点について分析を行ってまいりました。広大な農地や都市全体に配置されるセンサなど、LoRaWANデバイスの多くが戸外に展開されるため、それらのデバイスを攻撃から守る対処は特に厄介なものとなります。つまり、保護されていないLoRaWANデバイスは、悪意のあるアクタに攻撃される可能性が高いということです。
続きを読むモノのインターネット(IoT)は、ボットネット開発を試みるサイバー犯罪者の新たな攻撃領域となっています。サイバー犯罪者はボット型マルウェアによる永続的な感染活動にユーザが対処する間も、ボットネットの維持・拡大のためにデバイスの制御権を奪い合っています。しかし、IoT機器で構成されたボットネットに多くのユーザが利用するファイル共有技術「P2P(Peer-to-Peer)」ネットワークが加わると問題はさらに複雑化します。
続きを読むトレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。
-1024x559.png)
(Cisco Talosのレポートに基づく)
「モノのインターネット (Internet of Things、IoT)」を主なターゲットとするIoTマルウェアはいまだにIoTシステム・ユーザにとって警戒すべき脅威であり続けています。トレンドマイクロでは、お客様をIoTマルウェアの脅威から保護するため、IoTマルウェアの活動を継続的にモニタリングし、得られたデータや知見を当社セキュリティソリューション製品の検出精度向上に活用しています。
本記事では、代表的なIoTマルウェアである「Mirai」、「Bashlite」(別名Gadgyt、Qbot、Lizkebab など) 、およびそれらの亜種についてのモニタリングおよびリサーチによって得られたデータを分析した結果の一部を紹介します。また、当社セキュリティソリューション製品でのデータ活用事例について解説します。 (さらに…)
続きを読むトレンドマイクロは、「Mirai」系IoTマルウェアの新しい亜種(「IoT.Linux.MIRAI.VWISI」として検出)を確認しました。この亜種は、「SORA」、「UNSTABLE」、「Mukashi」など過去数カ月の間に出現したMiraiから派生した亜種に新たに追加されるものとなります。この亜種は9つの脆弱性を利用する機能を備えていますが、中でも特にComtrend社製 VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が注目されます。この脆弱性の利用は、過去のMiraiとその派生系の亜種では見られなかったものであり、IoTマルウェアを使用するサイバー犯罪者がマルウェアに新しい脆弱性を加えることによって、攻撃対象を拡大し続けていることを示しています。 (さらに…)
続きを読むモノのインターネット(Internet of Things, IoT)の「モノ」、つまりIoT機器に搭載されている機能の多様性とその用途の範囲は、さまざまな産業や環境の改善に役立っています。家庭、工場、そして都市に利益が生みだされる一方で、IoT機器はセキュリティ上で脆弱性という形で想定外の脅威をもたらす可能性があります。
脆弱なIoT機器はセキュリティ上の弱点となり、ネットワーク経由での攻撃の可能性をサイバー犯罪者に開きます。多くのIoT機器は様々な便利な機能を実現するために、コンピュータ化しています。特定用途に使用されていた「機器」がコンピュータと出会ってネットワークに繋がったことにより、脆弱性などサイバー犯罪者がつけ入る隙が生まれた、ということです。 (さらに…)
続きを読むトレンドマイクロは、「モノのインターネット(Internet of Things、IoT)」デバイスに感染するマルウェア「Mirai」の亜種2つを確認しました。 「SORA」(検出名「IoT.Linux.MIRAI.DLEU」)と「UNSTABLE」(検出名「IoT.Linux.MIRAI.DLEV」)と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。
続きを読む
