2016年10月21日、DNSサービスプロバイダ「Dyn」が、「分散型サービス拒否(distributed denial-of-service、DDoS)」の大規模な攻撃を受けたことが大きく報道されました。この事例ではセキュリティ対策が不十分な IoT機器に感染した不正プログラムが DDoS攻撃の大部分を占めたものとされています。IoT機器経由での攻撃が、インターネットを支えるインフラストラクチャの重要部分を機能停止させ、それに伴い多くの大手サイトが利用不能となったことは、「モノのインターネット(Internet of Things、IoT)」のセキュリティ確保に関する重大な警告となりました。
続きを読むコマンド&コントロール(C&C)のサーバに正規サービスを利用することは、検出を回避するためによく利用される手法です。ランサムウェアは、通常、収集した情報を自身のC&Cサーバへそのまま送信しますが、中にはそうでないファミリも存在します。例えば、暗号化型ランサムウェア「cuteRansomware(キュートランサムウェア)」は、ユーザの PC から収集した情報を送信するために、Google の文書・表計算・プレゼンテーション作成アプリケーション「Googleドキュメント」を利用します。
続きを読む膨大な量の個人情報を保有する医療機関は、サイバー犯罪者の格好の標的となる恐れがあります。大抵の医療機関は、クレジットカード情報や診療記録、健康保険証、個人番号、社会保障番号など、さまざまな情報を保有しています。米国における最大級の非営利の医療機関である「Banner Health」は、2016年8月、巧妙なサイバー攻撃を仕掛けられました。この事例からサイバー犯罪者が以前にも増して医療機関が有する情報を狙っていることがわかります。この Banner Health の情報漏えいの事例において、307万人分の個人情報と財務データが窃取されています。
続きを読む2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読むボットネットやコマンド&コントロール(C&C)サーバが閉鎖されたとしても、サイバー犯罪活動が一掃されるわけではありません。2013年12月5日のボットネット「ZeroAccess」の閉鎖は、ボットネットのクリック詐欺活動に影響を与えはしたものの、感染の確認は続きました。DRIDEX についても同様で、2015年10月13日、複数の C&Cサーバが閉鎖されたにも関わらず、現在も企業や組織に大きな影響を与える脅威です。トレンドマイクロでは、この DRIDEX の2015年脅威状況について「2015年 年間セキュリティラウンドアップ」で報告しています。
続きを読むトレンドマイクロは、2015年4月中旬、新しく確認した POSマルウェア「FighterPOS」について報告しました。「FighterPOS」は単独犯により利用され、ブラジル国内で2万2千以上のクレジットカード情報が窃取され 100以上の組織が影響を受けました。
弊社は、2016年2月上旬、改良版と思われる「FighterPOS」を新たに確認。今回の確認で特筆すべき点は、このPOSマルウェアに USBワーム機能が備わったことです。また、感染した端末と同ネットワーク上にある端末へ自身のコピーを作成し、FighterPOS に感染した組織内で被害を拡大させる可能性もあります。
続きを読む執筆者: Erika Mendoza and Jay Yaneza (Threats Analysts)
2015年9月頃に確認された「Black Atlas 作戦」は、すでにさまざまな企業に侵入しているようです。例えば、複数の州で事業展開している医療機関や、歯科医院、機械製造業、保険業務に特化したテクノロジー企業、複数の州に店舗を持つガソリンスタンド、美容雑貨店などで攻撃が確認されています。「Black Atlas 作戦」は、窃取した情報を送出するために「Gorynych」もしくは「Diamond Fox」と呼ばれるモジュールで構成されるボットネットを利用して、世界中の中小企業に侵入し続けています。なお、本稿は 12月1日(日本語版12月4日)に公開した『「Black Atlas作戦」:世界中の中小企業のカード決済システムに侵入。「BlackPOS」や攻撃ツールを駆使』の続編となります。
続きを読むトレンドマイクロがさまざまなサイバー犯罪アンダーグラウンド市場を調査する際によく遭遇する点は、アンダーグラウンド市場への潜入が困難ということであり、そもそもアンダーグラウンド市場を見つけること自体に困難が伴います。サイバー犯罪アンダーグラウンド市場へ入っていくためには、特定のスキルや知識が必要になります。
しかし、北米のアンダーグラウンド市場の事情は違うようです。他の国や地域のアンダーグラウンド市場と異なり、北米のアンダーグラウンド市場は、アクセス制限によって存続を図ろうとはしていません。新規参入者にも門戸を開き、むしろ逆にオープンにすることでサイバー犯罪活動を促しています。
続きを読む