本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動(キャンペーン)に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名し、2020年10月には調査結果をホワイトペーパー(英語)としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。
本ブログでは去年9月27日の記事で「Rig Exploit Kit(Rig EK)」を介して拡散するマルウェア「PurpleFox」について取り上げました。その後、このマルウェアはRig EKとは異なる独自の拡散メカニズムに移行したことがセキュリティベンダー「Malwarebytes」により発見され、その新たな拡散メカニズムは「PurpleFox Exploit Kit(PurpleFox EK)」と名付けられました。
そして前回の記事からおよそ1年が経過したこの9月までに、トレンドマイクロのハニーポットは、より拡散戦術が強化されたPurpleFox EKの活動が急増していることを捉えました。 以下に、強化された点を、一部紹介します。
- 完全なHTTPSインフラストラクチャとして正規サービスである「Cloudflare」を悪用
- 完全に暗号化されたランディングページ
- 偽装リダイレクト
納税申告の時期は常に勤勉な米国人の神経を悩ませてきました。しかしながら、年月を重ねるにつれて、納税申告のプロセスを簡略化するデジタル化技術の進歩が到来しました。一方、残念なことに、この技術は新しいサイバー脅威やさらに多くのストレスをもたらす可能性もあります。
サイバー犯罪者が常に探し求めているのは、アカウント内の個人情報データと金銭の2つです。そして納税申告の時期、気づかない間にその両方が露出すると見られています。サイバー犯罪者は何年にもわたって、納税者から個人情報と金銭を窃取するために複数のツールと手法を採用してきました。
日本でもこれから年末調整や確定申告など、納税関連の手続きのシーズンを迎えます。米国の納税申告時期に見られる主な脅威の一部と、安全を保つために何に注意すべきなのかを見ていきましょう。 (さらに…)
続きを読むマルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)
インターネットは、これまでも重要なインフラでした。現在、新型コロナウイルスの蔓延によってさらに多くの企業がテレワークに依存することにより、一層不可欠なインフラとなっています。一方、サイバー犯罪者もインターネットを利用して人々を攻撃します。その最も一般的な手段の1つがフィッシング詐欺です。フィッシング詐欺は、クレジットカード番号、社会保障番号(マイナンバー)、アカウントの認証情報などの個人情報を詐取できるように構築されたWebサイトで実行されます。これまでフィッシングサイトの構築には、サイバー犯罪者が用意した偽装ドメインを持つWebサイトが使用されてきました。また、正規のWebサイト作成サービスを悪用し、作成されているケースもありました。しかし最近では、より簡易な作成方法として、正規の「フォーム作成サービス」を悪用する手口が顕著になっています。
図:フォーム作成サービスを悪用して作成されたフィッシングサイトの例 (さらに…)
続きを読む「MISPADU(ミスパドゥ)」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール(バンキングトロジャン)に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動(スパムキャンペーン)が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。
今回トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しました。バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。
続きを読むLinuxの脅威や「モノのインターネット(Internet of things, IoT)」マルウェアのリサーチャは、複数のマルウェア検体を扱うことの難しさをよく分かっているでしょう。IoTマルウェアの検体は通常、複数のアーキテクチャで実行可能となるよう形式変換されているため、処理と分類が難しいものです。また、それら複数種類のファイルを調査するためのツールや手法も不足しています。IoTおよびLinuxマルウェアのリサーチャにとって、Linuxの実行可能形式である「Executable and Linkable Format (ELF)」ファイルの調査が容易になるように、トレンドマイクロでは、「Trendmicro ELF Hash(telfhash)」を作成しました。「telfhash」は、Linux IoTマルウェアの検体を効果的に分類するのに役立つ、オープンソースのクラスタリングアルゴリズムです。つまり、telfhashは、シンボルテーブルハッシュとの間には決定的な違いが一部あるとはいえ、ELFファイルのインポートハッシュ(ImpHash)に類似した概念として理解可能です。トレンドマイクロは今年4月、このアルゴリズムを初めて公開しました。そしてこの度、telfhashはマルウェア検査サービス「VirusTotal」上で正式にサポートされる運びとなりました。
企業は未来を見据えたアプリケーション構築のため、マイクロサービスアーキテクチャに注目しています。マイクロサービスは企業のインフラストラクチャ管理を効率化し、アップデート・改善点を容易に展開できるようにするほか、ITチームを革新し、失敗から早く見識が得られるよう支援します。さらに企業はマイクロサービスを利用することで、要求に応じて拡張性の高いアプリケーションを簡単に作成できるようになります。これらの利点がある一方で、企業が、1つのモジュールで構成される従来のモノリシック型アプリケーションからコンテナ化によって分割構成されるマイクロサービスアーキテクチャに移行した場合、マイクロサービス間の効率的かつ堅牢な通信を確立する必要性が生じます。クライアントアプリケーションとサーバアプリケーション間で行われる重要かつ複雑な通信は、gRPCによって処理することができます。gRPCは、接続されたシステム間での通信を簡単に透過化・効率化するユニバーサルリモートプロシージャコール(RPC)フレームワークです。gRPCは2015年にGoogleが開発した比較的新しいRPCフレームワークですが、人気と需要が急速に高まっています。
セキュアなRPC APIはアプリケーションセキュリティにおいて極めて重要な役割を果たします。本ブログ記事では、開発者がgRPCに移行し、プロジェクト内でgRPCを実装する際に懸念されるセキュリティの穴について解説します。また、脅威からgRPC実装を保護してリスク軽減するための推奨事項についてもご紹介します。
続きを読む