今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
続きを読むトレンドマイクロでは最近、「Glupteba」の亜種(Trend Microでは「Trojan.Win32.GLUPTEBA.WLDR」として検出)を確認しました。Gluptebaは、過去にWindigo作戦に関与したバンキングトロジャンとして知られています。弊社ではまた、MikroTikルータへの攻撃や、自身のコマンド&コントロール(C&C)サーバへの更新に関して調査しました。今回確認されたバンキングトロジャンは、挙動に関して他の亜種との類似点を多く共有しています。前述の検体で特筆すべき点は、トレンドマイクロが最近解析したモジュール型アドウェアの一種「ManageX」(トレンドマイクロでは「Trojan.JS.MANAGEX.A」として検出)を使用していることです。本記事では、コード解析から判明したGluptebaのモジュール性とクロスプラットフォーム機能について解説します。
図1:攻撃の流れ (さらに…)
続きを読む本ブログの2020年8月31日の記事では、2020年上半期(1~6月)における国内外での脅威動向分析について報告しました。新型コロナウイルスのパンデミック(世界的大流行)による都市封鎖や外出自粛の影響により、多くの企業においてはテレワークが必要不可欠なものとなりました。この急速な変更に対応するため、公私両面でのコミュニケーションに不可欠なツールとしてメッセージングアプリやビデオ会議アプリの需要が一気に高まりました。これらのアプリは、企業に従業員間のコミュニケーションを維持するための手段を提供しましたが、不正活動に新たな技術を統合しようと企てるサイバー犯罪者の関心を引く結果ともなりました。 (さらに…)
続きを読む本ブログ記事では、新たに確認されたInternet Explorer(IE)の脆弱性「CVE-2020-17053」について解説します。トレンドマイクロはこれまでもIE内に存在する脆弱性の解析結果について報告しています。2020年8月には、IEの実行時コンパイラ(JITエンジン: Just-In-Time Engine)の型推論によるエラーが、ゼロデイ脆弱性「CVE-2020-1380」をどのように引き起こしたかについて解説しました。このゼロデイ脆弱性は、ArrayBufferを無効にすることで悪用可能となり、メモリ解放後使用(Use-After-Free、UAF)の脆弱性をもたらします。弊社は、この脆弱性の根本原因を解析しているときに、同様の脆弱性をトリガーする別の方法を見つけました。この方法ではJITエンジンは必要がないため、「CVE-2020-17053」とは別の脆弱性と判断されました。このセキュリティ上の弱点(バグ)は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative(ZDI)」により2020年9月にMicrosoft社に提出されました。脆弱性としてCVE-2020-17053が割り当てられ、Microsoftは11月にリリースされた月例セキュリティパッチ「Patch Tuesday」にて修正を行いました。 (さらに…)
続きを読む2020年7月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット(IoT)を対象とするボット「Mirai」のダウンローダ(Trend Microでは「Trojan.SH.MIRAI.BOI」として検出)を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の1つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)
続きを読む2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。
![図1:Avaddonの拡散活動に用いられた電子メールの例](https://blog.trendmicro.co.jp/wp-content/uploads/2020/09/図1:Avaddonの拡散活動に用いられた電子メールの例-1.png)
トレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。 (さらに…)
続きを読むトレンドマイクロでは、Android向けアプリの公式マーケットである「Google Play」上で、2つの不審なバーコードリーダーアプリを確認(トレンドマイクロでは「AndroidOS_HiddenAd.HRXJA」として検出)しました。この2つのアプリにはどちらも、不審な活動が含まれていましたが、確認時点で既に100万回以上ものダウンロードが記録されており、多くの人がインストールしたものと考えられます。不審な活動の中には、ユーザがデバイスをアクティブに使用していない時でも広告が表示されるなどの動きも含みます。以下の動画はその例です。
動画1:広告ページの点滅
画面が点滅したように見えますが、一体何が起きたのでしょうか。原因は何なのでしょうか。本記事では、活動に使用されたコードを調査してその答えを見つけていきます。 (さらに…)
続きを読むトレンドマイクロでは、香港のiOSユーザを狙う水飲み場型攻撃を確認しました。この活動では、さまざまなニュース記事につながると見られるリンクが、複数のネット掲示板に投稿されました。今回利用されたリンクは、ユーザを実際のニュースサイトに誘導しますが、不正コードの読み込みと実行を行うために非表示のiframeも使用します。不正コードには、iOS 12.1および12.2で確認された脆弱性を狙う脆弱性攻撃コードが含まれています。ユーザが潜在的な脅威を持つ状態にあるデバイスで対象のリンクをクリックしてしまうと、iOSを狙うマルウェアの新亜種「lightSpy(「IOS_LightSpy.A」として検出)」のダウンロードが実行されます。 (さらに…)
続きを読む