トレンドマイクロは、2014年8月、POS(販売時点情報管理)システムを対象とした不正プログラム「BlackPOS」の新種を確認しました。この POSマルウェアは、弊社の製品では「TSPY_MEMLOG.A」として検出されます。2012年に「BlackPOS」のソースコードが流出し、サイバー犯罪者や攻撃者はこのコードを拡張することが可能になりました。「TSPY_MEMLOG.A」で注目すべき点は、POSシステムにインストールされているよく知られたセキュリティ対策製品のサービスを装うことです。これにより、感染した POSシステム上での検出および削除を回避します。こうした不正活動は、従来の POSマルウェアと異なる点です。「TSPY_POCARDL.U」や「TSPY_POCARDL.AB」(BlackPOS)といった従来の POSマルウェアは、標的とした企業の POSシステム上にインストールされているサービスを利用しました。
続きを読む■6月以降に遠隔操作ツール「PlugX」を使用した標的型攻撃を確認:
トレンドマイクロでは、2014年6月中旬以降、遠隔操作ツール(RAT)の一種である「PlugX」を使用した標的型サイバー攻撃を確認しています。また、この標的型攻撃の中で、「PlugX」のさらなる新しい亜種が登場していることも確認されました。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」によれば、6月以降「PlugX」の継続した検出が確認されています。
■注意喚起が続く「模倣サイト」、実態は「プロキシ回避システム」によるコピー:
このところ、複数の団体から自サイトの模倣サイトが作成されているという旨の注意喚起が出されています。このような注意喚起の情報は 7月以降に警察をはじめ、通信事業者、ECサイト事業者などから出されていますが、8月に入り官公庁からも注意喚起が出たことで再び注目を集めました。模倣サイト、つまりオリジナルサイトにそっくりな偽サイトと言えばフィッシング詐欺サイトが思い浮かびますが、実際にこれらの「模倣サイト」とされる Webページはどのような存在だったのでしょうか。トレンドマイクロでは、これらの「模倣サイト」とされる Webページを調査しましたが、すべて「プロキシ回避システム」や「中継サービス」、「検閲対策サイト」などと呼ばれるサービスにより、オリジナルのコピーが表示されているだけのものと確認できました。オリジナルがそのままコピーされているだけなので不正プログラム感染などの危険性もありませんでした。