エクスプロイトキットは2015年の脅威状況において、脅威連鎖の中核的存在でした。新たな脆弱性を素早く攻撃可能にすると同時に、「malvertisement(不正広告)」や改ざんされたWebサイト経由で広範囲に攻撃が拡散されていました。本ブログでは、これらのエクスプロイト動向についてトレンドマイクロが行った分析について2回に分けて報告いたします。第1回の今回は、新たに確認された脆弱性からエクスプロイトキットを利用した攻撃の一部として用いられた新しい手法など2015年におけるエクスプロイトキットの「改良」について、第2回は、トレンドマイクロのクラウド型対策技術基盤「Smart Protection Network(SPN)」から のフィードバックをもとに、エクスプロイトキットが与えた影響の規模、また、最も影響を受けた国や地域について報告します。
続きを読むトレンドマイクロは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックにより、「Angler Exploit Kit」および「Nuclear Exploit Kit」が、「Hacking Team」の情報漏えい事例で確認された Adobe Flash Player のゼロデイ脆弱性を利用するエクスプロイトコードを追加し、更新していたことを確認しました。さらに、セキュリティリサーチャーの Kafeine氏によると、「Neutrino Exploit Kit」も、このゼロデイ脆弱性を利用したエクスプロイトコードを追加したようです。
続きを読む先日公開した「2015年第1四半期 セキュリティラウンドアップ」でも言及している通り、身代金要求型不正プログラムである「ランサムウェア」の中でも「Cryptoランサムウェア」が活発化しています。従来型との大きく異なるのが「感染した PC のファイルを暗号化」することです。そして復号のために金銭の支払いを要求します。
続きを読むインターネット利用者にウイルス感染させる目的の Web改ざん攻撃が後を絶ちません。この Web改ざんを起点とした脅威連鎖において、常套手段として利用されているのが「脆弱性攻撃キット(Exploit Kit)」と呼ばれる攻撃ツールです。攻撃者は改ざんした正規Webサイトから用意した不正サイトへ利用者を誘導しますが、脆弱性攻撃キットにより攻撃者はクライアントの脆弱性を攻撃する不正サイトを簡単に構築することができます。今回トレンドマイクロで国内からのアクセスが確認された脆弱性攻撃サイトに対し調査を行った結果、特にインターネット上で一般的に利用されている、Java、Adobe Flash、Silverlightといった技術の脆弱性が特に狙われている実態が明らかになりました。
続きを読む「Yahoo!」は、2014年1月10日(米国時間)、年末から年始にかけて、自社のさまざまな Webサイトで不正な広告が掲載され、ヨーロッパのユーザが感染の被害にあったことを発表しました。この攻撃について、主に次の 2点が報道されました。1つは「何百万人」というユーザが感染の被害にあったこと、もう 1つは、感染した PC が電子通貨「Bitcoin(ビットコイン)」を「発掘(マイニング)」するために悪用されたということです。どちらも少し誇張されているかもしれませんが、メディアも、より具体的な全体像をつかむことができなかったと考えられます。
続きを読む本ブログで 2017 年 2 月に解説したように、2016 年には、主要な脆弱性攻撃ツール(エクスプロイトキット、EK)の活動停止や減少が確認されました。しかし、エクスプロイトキットの活動は完全に停止したわけではありません。「malvertisement(不正広告)」や、スパムメール内の不正リンク、あるいは侵害した Web サイトのように、以前と同様の手口の利用を続けているものの、最近再び脅威状況の中で重要な位置を占めるようになってきました。「Rig EK」、「GrandSoft EK」、そして非公開の「Magnitude EK」がその良い例です。これらのエクスプロイトキットは、比較的最近確認された脆弱性を利用し、仮想通貨発掘マルウェアやランサムウェア、ボットのローダ、そしてオンライン銀行詐欺ツール(バンキングトロジャン)などのマルウェアを送り込みます。
続きを読む前回、サイバー犯罪集団「Lurk(ラーク)」が利用する痕跡を残さない手法、2011年から2014年までの活動について報告しました。今回、2014年から関係者50人が逮捕され活動停止するまでの2016年の活動、そして、こうした脅威の被害に遭わないため対策などについて報告します。
- 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
- 2011年から 2012年初期:Lurk、活動を開始
- 2012年中頃から 2014年中頃:マルウェアの向上、組織化した犯罪集団に
第2回 攻撃の拡大と組織の消滅:
- 2014年から 2016年:不正活動を世界に拡大
- 2016年:Lurk の消滅
- 被害に遭わないために
「脆弱性攻撃ツール(エクスプロイトキット)」の脅威状況は、2016年後半に大きく変わりました。それまで非常によく利用されていたエクスプロイトキットが突然減少する、あるいはサイバー犯罪者がその運用方法を切り替える、などの変化が見られました。「Angler Exploit Kit(Angler EK)」は、2015年以来、最も活発なエクスプロイトキットでしたが、突然活動を終了しました。2016年第1四半期に検出された 340万件のAngler EKの攻撃について、トレンドマイクロが追跡調査したところ、2016年後半、攻撃率は「0」にまで急低下しました。
続きを読む2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読む