トレンドマイクロは2008年以来、サイバー攻撃集団「TICK(別名:BRONZE BUTLER、またはREDBALDKNIGHT)」を追跡調査しています。2018年11月に入り、彼らのマルウェア開発頻度とその配備が異常に増えていることを検知しました。TICKは、過去に利用したマルウェアに変更を加え検出回避を試みた上に、侵入時の検出回避を試行する新しいマルウェア、そして侵入後の攻撃と情報収集のために管理者権限昇格が可能な新しいマルウェアをも開発していることが確認されました。また、TICKは、正規のEメールアカウントと認証情報を利用してマルウェアを配信し、日本に本社を置き中国に子会社を持つ、防衛、航空宇宙、化学、衛星などの高度な機密情報を有する複数の組織に焦点を絞っています。弊社では、このTICKによる攻撃キャンペーンを「Operation ENDTRADE(エンドトレード作戦)」と名付け、確認した内容をリサーチペーパー「Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data(英語情報)」にまとめ、詳細を報告しています。
続きを読むトレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。現在のところ、攻撃で使用される言語としては英語のみを確認しており、日本国内の利用者を対象としたものとは言えません。ただし、このような攻撃は繰り返されたり対象を拡大したりする可能性があるため、本記事を以て注意喚起いたします。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。
2011年、日本で「カレログ」というAndroidアプリの存在が大きな注目を集めました。カレログは「彼氏追跡情報サービス」の名目で、スマートフォン上のメールやSMS、Web閲覧履歴などの情報取得に加え、通話記録やGPSによる位置情報など物理的な情報までも追跡する機能を持っていました。当然、個人のプライバシーや法的な観点から問題視され、当時の総務相がコメントを出す事態となりました。 その後、運営元は2012年にカレログのサービスを終了し後継サービスに引き継ぐなど、問題点の改善を続けましたが、2014年には後継サービスも提供終了となりました。
続きを読むAndroidアプリ「WhatsApp」に存在する脆弱性「CVE-2019-11932」は、2019年10月2日、「Awakened」と呼ばれるリサーチャによって初めて公開されました。細工した不正なGIFファイルを使用することによってリモートでコードの実行が可能になるこの脆弱性は、更新されたWhatsAppのバージョン2.19.244で対処済みとなりました。しかし、この脆弱性の根本的な問題は、Android用画像読み込みライブラリのパッケージである「android-gif-drawable」に含まれる「libpl_droidsonroids_gif.so」というライブラリに存在します。つまり、問題はWhatsAppだけのものではない可能性がある、ということです。ライブラリ自体の欠陥についてもすでに対処されているものの、多くのアプリが依然として古いバージョンのライブラリを使用しているため、リスクにさらされたままとなっています。
(さらに…)
メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC&Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。
