「脆弱性攻撃ツール(エクスプロイトキット)」の脅威状況は、2016年後半に大きく変わりました。それまで非常によく利用されていたエクスプロイトキットが突然減少する、あるいはサイバー犯罪者がその運用方法を切り替える、などの変化が見られました。「Angler Exploit Kit(Angler EK)」は、2015年以来、最も活発なエクスプロイトキットでしたが、突然活動を終了しました。2016年第1四半期に検出された 340万件のAngler EKの攻撃について、トレンドマイクロが追跡調査したところ、2016年後半、攻撃率は「0」にまで急低下しました。
続きを読む「脆弱性攻撃ツール(エクスプロイトキット)」の2016年動向を振り返ると、主要なエクスプロイトキットが姿を消すなど、大きな変化が見られた年でした。2016年5月から「Nuclear Exploit Kit(Nuclear EK)」が勢いを失い始め、6月には「Angler EK」の関係者50名近くがロシア連邦保安庁に逮捕され、このエクスプロイトキットも姿を消しました。2016年9月には「Neutrino EK」が依頼ベースの提供のみにシフトしたと報じられました。そして現在、最も広く出回っているエクスプロイトキットは「Rig EK」と「Sundown EK」です。両者は「Neutrino EK」が姿を消して間もなくしてから勢いを増し始めました。
特に「Sundown EK」は、他のエクスプロイトキットとは異なる特徴を示していました。このエクスプロイトキットは、旧来のエクスプロイトキットを再利用してはいるようですが、自身を隠ぺいする動作を行ないません。ブラウザ上で動画等が再生される際、通常はブラウザ拡張機能「Silverlight」が拡張子「XAP」のファイルをリクエストします。他のエクスプロイトキットでは、この「Silverlight」の動作を偽装することで自身の存在を隠ぺいしようとします。しかし、「Sundown EK」がホストされたURL ではこのような隠ぺい工作はされず、通常とは異なる、拡張子「SWF」の Flashファイルをリクエストします。また、他のエクスプロイトキットが利用するアンチクローリング機能も備えていません。
続きを読むトレンドマイクロは、不正広告キャンペーン「AdGholas(アドゴラス)」について、ProofPoint の Kafeine氏と共に調査してきました。そして、ProofPoint は、2016年7月末、この調査結果を同社ブログ上にて報告しました。問題の不正広告キャンペーンは、2015年に開始され、最も活発な時には 1日当り百万人にものユーザに影響を及ぼし、その後 2016年に入り活動停止しました。この一連の不正広告活動において、エクスプロイトキット「Angler Exploit Kit(Angler EK)」と「Neutrino Exploit Kit(Neutrino EK)」が利用され、また、画像の中に不正コードを埋め込み隠ぺいする、「steganography(ステガノグラフィ)」の手法が利用されていました。
続きを読む2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読む2016年5月18日(米国時間)、暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)が活動を停止し、復号に必要なマスターキーが無料で公開されました。このランサムウェアに関連する脅威状況の一大事件の裏で、CRYPTESLA が利用していた手口を再利用しようとするサイバー犯罪者がいるようです。この事例に先立って、4月に、従来のランサムウェア「REVETON」の背後にいるサイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
続きを読む「身代金要求型不正プログラム(ランサムウェア)」は、今日の脅威状況では既に目新しい脅威ではありません。そして、継続して機能を拡充して被害を拡大させています。「PETYA」「Mischa」「Locky」「7ev3n」「TrueCrypter」といった新しい暗号化型ランサムウェアによる攻撃が日常的にニュースとなっています。しかし今回、興味深い事実が確認されました。暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)の作成者が活動停止を決め、復号のためのマスターキーを無料で公開したのです。
続きを読むボットネットやコマンド&コントロール(C&C)サーバが閉鎖されたとしても、サイバー犯罪活動が一掃されるわけではありません。2013年12月5日のボットネット「ZeroAccess」の閉鎖は、ボットネットのクリック詐欺活動に影響を与えはしたものの、感染の確認は続きました。DRIDEX についても同様で、2015年10月13日、複数の C&Cサーバが閉鎖されたにも関わらず、現在も企業や組織に大きな影響を与える脅威です。トレンドマイクロでは、この DRIDEX の2015年脅威状況について「2015年 年間セキュリティラウンドアップ」で報告しています。
続きを読む