2020年、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、ZDIプログラム史上最多となる1,453件のアドバイザリを発表しました。加えて、そのうちの18.6%については公開時にベンダによる修正プログラムが提供されておらず、記録的な1年となりました。そして2021年も、ZDIの予測通り、引き続き多忙な年となっています。2021年3月、Microsoftは中国のハッキンググループ「HAFNIUM」による大規模な攻撃に、オンプレミス版のMicrosoft Exchange Serverの4つのゼロデイ脆弱性が利用されたことについてアドバイザリを発表し、修正プログラム(パッチ)の緊急公開を開始しました。攻撃が確認された数日後、米国において少なくとも3万の組織が攻撃を受けたという報道が行われ、トレンドマイクロもこれらの脆弱性を悪用する攻撃に対して脆弱な公開サーバが約87,000台存在していることを発表しました。
続きを読む新型コロナウイルス(COVID-19)の流行に伴い、オンラインサービスの利用が拡大しています。そのような傾向は以前から見られましたが、物理的な接触を避ける必要が生じたことによってこの傾向は加速したと言えます。公共サービスや「テレヘルス(遠隔医療)」に代表される医療サービスなど、多くのサービスがオンライン化されました。また、実店舗の閉鎖も相次ぎ、企業はオンライン取引の拡大に注力しています。
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
トレンドマイクロでは2020年の1年間における国内外での脅威動向について分析を行いました。新型コロナウイルス(COVID-19)のパンデミック(世界的大流行)により、2020年は過去に類を見ない特別な1年間となりました。日本でも緊急事態宣言や外出自粛要請があり、法人組織は事業を継続するために、急激なテレワークの推進などの大きな変化に直面しました。これらの状況により、さらに進んだネットワーク境界線の曖昧化を利用し、サイバー犯罪者はさまざまな手口を駆使した攻撃を次々に展開しました。境界線内、つまりネットワークへ侵入する脅威として、2020年の象徴的存在となったのが新たなランサムウェア攻撃であると言えます。
30年前に個人のプロジェクトとして始まったLinuxは、現在では世界中のクラウドプラットフォームやサーバを席巻する主要なオペレーティングシステム(OS)のひとつとなっています。実際に、現在Microsoft独自のクラウドプラットフォームであるAzure上ではLinuxの利用率がWindowsを上回っています。
また、Linuxは環境に依存せず利用できるOSと言えます。Linux Foundationの「2017 State of Linux Kernel Development Report」によると、Linuxはパブリッククラウドのワークロードの90%と、上位10社のパブリッククラウドプロバイダのうち9社で稼働しています。その上、Linuxは世界のスマートフォンの82%で動作し、スーパーコンピュータ市場では99%という巨大な市場シェアを持っていました。
しかしながら、他のソフトウェアと同様に、Linux にもセキュリティの脅威やリスクがないわけではありません。企業がクラウドに移行し、結果的に Linux に移行していく中で、サイバー犯罪者がその焦点とリソースを変えてこれらの環境を標的にして悪用するのは当然のことであると言えるでしょう。
本記事では、Linux の脅威概況について解説し、Linux がいかにして攻撃者にとって魅力的な攻撃対象となっているのか、また、Linux がどのようにして様々な脅威やリスクに晒されるかを調査しました。該当する脅威やリスクには、脆弱性、誤設定、セキュリティギャップ、マルウェアなどが含まれます。本記事では、昨今のLinuxに影響を与えるセキュリティの問題点と脅威の概要を説明した上で、Linux環境を脅威から保護しリスクを軽減するために必要なセキュリティのベストプラクティスを紹介します。
続きを読む2021年1月27日、EUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。このテイクダウンはEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったものと発表されています。2014年に登場した「EMOTET」は、現在までに日本を含め、世界的に大きな被害を与えてきたボットネットです。今回のテイクダウンは、法人個人を問わずすべてのインターネット利用者の安全に大きく寄与するものと言えます。
図:EMOTETを感染させる不正マクロを含んだWord文書の例(2020年12月確認) (さらに…)
続きを読むサイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。
サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。
トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。
トレンドマイクロでは最近、「Glupteba」の亜種(Trend Microでは「Trojan.Win32.GLUPTEBA.WLDR」として検出)を確認しました。Gluptebaは、過去にWindigo作戦に関与したバンキングトロジャンとして知られています。弊社ではまた、MikroTikルータへの攻撃や、自身のコマンド&コントロール(C&C)サーバへの更新に関して調査しました。今回確認されたバンキングトロジャンは、挙動に関して他の亜種との類似点を多く共有しています。前述の検体で特筆すべき点は、トレンドマイクロが最近解析したモジュール型アドウェアの一種「ManageX」(トレンドマイクロでは「Trojan.JS.MANAGEX.A」として検出)を使用していることです。本記事では、コード解析から判明したGluptebaのモジュール性とクロスプラットフォーム機能について解説します。
図1:攻撃の流れ (さらに…)
続きを読む