トレンドマイクロでは、2014年第3四半期における国内外の脅威動向についての分析を行いました。攻撃者は常により大きな成果を求めており脅威は変化していく中で、この第3四半期には国内外で企業が扱う顧客情報を狙う傾向が顕著です。特に、外部からの遠隔操作により企業ネットワークにアクセスし、狙った情報を集約、送出するといういわゆる「標的型サイバー攻撃」の攻撃手法が、企業規模や業種を問わず広がっていることが明らかになってきました。
続きを読むMicrosoft は、2014年10月の定例セキュリティ更新で、FAT32・ディスク・パーティション・ドライバに存在する脆弱性に対するセキュリティ更新プログラム「MS14-063」を公開しました。この問題の脆弱性「CVE-2014-4115」を利用した攻撃により、攻撃者は侵害した PC の権限を昇格させることが可能になります。尚、この脆弱性は特別に細工された USB ドライブを介してのみ利用されます。
続きを読むトレンドマイクロでは、Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」を利用して Simple Mail Transfer Protocol(SMTP)サーバを狙う新たな攻撃を確認しました。エクスプロイトコードを侵入させるために攻撃者は Eメールを利用しました。脆弱性を抱える SMTPサーバ上でこのエクスプロイトコードが実行されると、「JST Perl IrcBot」として知られる Internet Relay Chat (IRC)ボットがダウンロードされ、実行されます。実行後に、この IRC ボットは自身を削除しますが、これは監視から逃れ検出を回避するためと考えられます。
続きを読むサイバー犯罪者や攻撃者は、監視の目を逃れ、検出を回避するために、Googleドライブの Webサイトや知名度を利用します。トレンドマイクロでは、ユーザから情報を窃取する手段として Googleドライブを利用した標的型攻撃に関するブログ記事を公開しました。今回の攻撃では、正規の Googleドライブのログインページに手を加え、Eメールの個人情報を収集するために利用されました。これは、2014年5月に実行された複数の Eメールアドレスを狙った攻撃の改良版だと考えられています。
続きを読むWindows OS に存在するゼロデイ脆弱性「CVE-2014-4114」(別名:Sandworm)の更新プログラムがすでに公開されているにも関わらず、トレンドマイクロではこの脆弱性に関連する新たな攻撃を確認しました。今回の攻撃では、新しい検出回避技術が利用されていました。
続きを読む2014年 10月 14日(現地時間)、3つのゼロデイ脆弱性「CVE-2014-4114」、「CVE-2014-4148」、「CVE-2014-4113」が報告され、Microsoft は 10月の月例セキュリティ情報でこれらのゼロデイ脆弱性に対応する更新プログラムを公開しました。「Sandworm」としても知られる脆弱性「CVE-2014-4114」は、利用されると、攻撃者は容易に不正プログラムを作成することができます。
続きを読むWindows OS に存在するゼロデイ脆弱性「CVE-2014-4114」を利用した諜報目的のサイバー攻撃が、「Sandworm Team」と呼ばれるロシアのサイバー攻撃集団によるものであることは本ブログでも既報です。トレンドマイクロでは、この攻撃に関連した不正プログラムやドメインの解析から、「Sandworm Team」は、GE Intelligent Platform の監視制御パッケージソフトウェア「HMI/SCADA – CIMPLICITY」を主に利用するユーザを標的としている可能性を確認しました。「Sandworm Team」は、CIMPLICITY で使用されるファイル(拡張子 cim およびbcl)を攻撃媒体として利用しました。また、CIMPLICITY を標的としていたさらなる証拠として、これらの不正プログラムは、環境変数「<CIMPATH>」を利用して、侵入した PC内の CIMPLICITY のインストールディレクトリにファイルを作成していました。