トレンドマイクロは、SOHO(小規模または自宅事務所)用ルータを狙う新しい脆弱性攻撃ツール(エクスプロイトキット、EK)「Novidade EK」を確認しました。Novidade EK は、ユーザがすでにログインしている Web アプリケーションを介してクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)攻撃を実行し、ルータに接続された機器やデスクトップ PC からルータの Domain Name System(DNS)設定を変更します。ユーザが標的ドメインにアクセスすると、当該ドメインへのトラフィックが不正サイトの IP アドレスに名前解決され、攻撃者が管理するサーバにリダイレクトされます。
続きを読むAndroid 端末向け不正アプリ「XLOADER(エックスローダ)」および「FAKESPY(フェイクスパイ)」は、モバイル端末を狙う脅威状況の中で近年流行している 2 つのマルウェアファミリです。本ブログでも、XLOADER については 2018 年 4 月の記事で、FAKESPY については 2018 年 6 月の記事で報告しています。XLOADER は、正規アプリに偽装してユーザから個人情報および金融機関情報を窃取する不正アプリで、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる手法を利用して拡散します。正規アプリになりすます点は同じですが、FAKESPY は、テキストメッセージ(ショートメッセージ、SMS)を利用してユーザを不正な Web ページに誘導する「スミッシング(SMS+Phishing)」によって拡散します。
2018 年 10 月の時点で、XLOADER および FAKESPY の検出数は、世界全体で合計 384,748 件となっており、その大部分は日本および韓国のユーザです。
![Android 端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数](https://blog.trendmicro.co.jp/wp-content/uploads/2018/12/fig1-monthly-detection-count-for-fakespy-and-xloader.png)
図 1:Android 端末向け不正アプリ「XLOADER」および「FAKESPY」の月別検出数
仮想通貨人気が続く中、サイバー犯罪者はさまざまな仮想通貨発掘マルウェアを開発し、継続的に微調整を加えながら攻撃に利用しています。事実、トレンドマイクロは、広範なプラットフォームおよびデバイスで一貫して仮想通貨発掘マルウェアを検出しています。
2018年10月には、Linux PC に感染する仮想通貨発掘マルウェア(「Coinminer.Linux.KORKERDS.AB」として検出)が確認されました。このマルウェアには、不正な仮想通貨発掘プロセスを監視ツールから隠ぺいするルートキットコンポーネント(「Rootkit.Linux.KORKERDS.AA」として検出)が付属しています。これにより、ユーザは不正なプロセスの存在に気付くことが困難になり、感染を示す兆候は PC のパフォーマンス低下のみとなります。また、このマルウェアは、自身とその設定を更新する機能も備えています。
続きを読む開放されたポートを狙う攻撃は、多くの IoTデバイスにおいて現在進行中の課題となっています。特に TCP 5555番ポートは以前にも攻撃に利用されており、このポートを開放したまま出荷し端末を攻撃に露出させてしまっていた製造業者も確認されています。
トレンドマイクロは、2018 年 7 月 9 日から 10 日と、15 日の 2 度にわたり、5555 ポートを狙う新しい攻撃を確認しました。この攻撃では、Android 端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されました。ADB は、「Android Software Development Kit(Android SDK)」に含まれており、通常は、アプリのインストールやデバッグなどを行う際に開発者が使用するツールです。弊社のデータによると、確認されたネットワークトラフィックは、第 1 波が主に中国と米国から、第 2 波が主に韓国からのものでした。
![TCP 5555 番ポートで確認された活動](https://blog.trendmicro.co.jp/wp-content/uploads/2018/08/fig1-tcp5555-activity.png)
図 1:TCP 5555 番ポートで確認された活動
2017 年末に登場し 2018 年を通じて継続して確認されている、有名企業を偽装するショートメッセージ(SMS)による Android 向け不正アプリの拡散ですが、この 7 月にはさらに攻撃規模を拡大していることがわかりました。この攻撃に関しては本ブログでも数回にわたり(1 月 15 日の記事、2 月 2 日の記事、6 月 26 日の記事)取り上げていますが、この 7 月には不正アプリ本体から自身を拡散させるための偽装 SMS を送信するなど、大きな活動内容の変化が見られました。この変化の影響は大きく、国内から多くのモバイル利用者が不正アプリをインストールさせる偽サイトへ誘導されていたことがわかりました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計から、この攻撃の偽装 SMS 経由で誘導される不正サイトに対し、国内モバイル端末からアクセスした利用者数を確認したところ、4~6 月の 3 カ月間を合わせても 1,600 件程度だったのに対して、7 月の 1 カ月間だけで 8,000 件を超えており、この 7 月に急激な攻撃の拡大が起こっていたことがわかります。
![宅配物の不在通知を偽装したSMSメッセージの例](https://blog.trendmicro.co.jp/wp-content/uploads/2018/08/20180802_fig1-fake-sms.png)
図:宅配物の不在通知を偽装した SMS メッセージの例
Android 端末向け不正アプリ「FAKESPY(フェイクスパイ)」(「ANDROIDOS_FAKESPY.HRX」として検出)が確認されました。不正アプリの拡散には、サードパーティのアプリストアを利用する手法が一般的ですが、「CPUMINER」、「BankBot」、「MilkyDoor」のように、正規アプリストアである Google Play や App Store で不正アプリが公開されていた事例も確認されています。しかし、FAKESPY は、テキストメッセージ(ショートメッセージ、SMS)を利用して対象を不正な Web ページに誘導する「スミッシング(SMS+Phishing)」によって拡散します。有名企業からのメッセージを偽装するこの手法は 1 月 15 日および 2 月 2 日の本ブログでお伝えした不正アプリの攻撃が継続しているものと言えます。
続きを読む次世代の移動通信システムとして大々的に宣伝されている 5G は、すでに高速なネットワーク通信を提供している 3G や 4G のような現行の移動通信システムよりも、さらに高い信頼性と高速な通信を可能にします。5G の通信速度は数ギガビット毎秒(Gbps)程度、平均ダウンロード速度は 1 Gbps 程度になると見込まれています。従来の通信システムが世代を重ねながら改善を続けて来たことは、スマートフォンやその他の広く使用されているモバイルネットワーク機器の利便性の向上からも明らかですが、大容量データの送信が可能な 5G は、それらに加え「モノのインターネット(Internet of Things、IoT)」デバイスにも恩恵をもたらすでしょう。
続きを読む2018 年 3 月上旬以降、日本、韓国、中国、台湾、そして香港を対象とする新しいネットワーク攻撃が確認されています。これは、DNS キャッシュポイズニングまたは DNS スプーフィングと呼ばれる攻撃で、総当たり攻撃や辞書攻撃のような手法を利用して DNS サーバに侵入し、設定を書き換えたものと考えられます。変更された DNS 設定によって誘導されるドメインは、Android 端末向け不正アプリ「XLOADER(エックスローダ)」(「ANDROIDOS_XLOADER.HRX」として検出)の拡散およびインストールに利用されています。
XLOADER は、DNS 設定の変更によって誘導されたドメインからユーザの端末に送信される通知によって拡散し、正規の Facebook アプリまたは Chrome アプリに偽装しています。この不正アプリは、個人情報や金融機関情報、インストールされているアプリ一覧情報などを窃取します。また、感染端末を乗っ取って SMS を送信したり、管理者権限を利用して設定の変更を防いだり、活動を継続したりすることが可能です。
![偽の Facebook アプリおよび Chrome アプリ(赤枠)](/wp-content/uploads/2018/04/20180424comment01.jpg)
図 1:偽の Facebook アプリおよび Chrome アプリ(赤枠)
(さらに…) 続きを読む
2018年4月、オープンソースの電子商取引(e-commerce、EC)サイトプラットフォーム「Magento」で運用されている多くの Webサイトが総当たり攻撃や辞書攻撃の方法で改ざんされたことが確認されました。この改ざんにより、クレジットカード情報の窃取や、仮想通貨発掘マルウェア感染などの被害が発生したことが報告されています。
「Magento」は、ECサイトのプラットフォームとして、2016年時点で既に1,000億ドル以上(約10兆7千億円。2018年4 月13日時点)の売上を記録し 5,100万のユーザを抱えていました。また同社は、自身のブログ上で、Magento がオンライン取引のプラットフォームとして 2020年には 2,240億ドルに成長すると予測しています。クレジットカード情報や顧客の個人情報を扱う ECサイトはサイバー犯罪者にとっては格好の標的と言えます。実際、Magentoプラットホーム上の ECサイトは、2016年以降「KimcilWare(キムチルウェア)」、「ELF_CRYPTOR(クリプタ)」や「Rex(レックス)」といった複数のランサムウェアから、Magento の CMS が抱える脆弱性を利用する攻撃を受けてきました。このMagento の CMS の脆弱性は、ランサムウェア以外にも、脆弱性を突いてマルウェアに感染させる脆弱性攻撃ツール(エクスプロイトキット)などにも狙われています。
続きを読む