近年、医療機関で電子カルテ化が進み、医療記録および保険などの情報が医療システムで取り扱われるようになりました。米国では、経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH法)によって電子カルテ化が加速しており、日本の医療機関でも政府の取組みとして電子カルテシステムの普及が進んでいます。こうした電子カルテシステムで取り扱われる身体的な情報や過去の病歴など、変更することができない医療記録は、サイバー犯罪者の間で価値が高い情報として取引されており、医療システムはサイバー犯罪者の標的の一つとなっています。
続きを読む2017 年 6 月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。Windows を狙ったこの事例は攻撃の一部に過ぎず、少なくとも対象となるプラットフォームは当初の想定よりも広範であることが判明しました。イスラエルの事例に続き、今回、より多くの機能を備えた Android 端末向け不正アプリが確認されています。
続きを読むLinux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されました。2017 年 5 月に更新プログラムがリリースされていますが、この脆弱性を利用した攻撃は現在も続いています。Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を利用することで、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になります。これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。影響を受ける Samba のバージョンは、3.5.0 以降のすべてのバージョンです。
続きを読むトレンドマイクロでは、日本にも影響が確認されている不正広告キャンペーン「AdGholas(アドゴラス)」に対し、監視と調査を継続しています。そして今回、「AdGholas」関連の攻撃でのみ利用が確認されている脆弱性攻撃ツール(エクスプロイトキット)「Astrum Exploit Kit (Astrum EK)」が不正トラフィックの検出を困難化させるため「Hyper Text Transfer Protocol Secure (HTTPS)」を利用していることを突き止めました。ブラウザとアプリケーション間の接続が「Transport Layer Security(TLS)」で暗号化される HTTPS は、ネットバンキングやオンラインショッピングなどの機密性が必要とされる通信を保護するために使用されていますが、それを悪用した活動と言えます。「Astrum EK」については「ディフィー・ヘルマン鍵交換(DH鍵交換)」を利用し、監視ツールあるいはセキュリティリサーチャによる不正ネットワークトラフィックの解析を阻止する手口が 2017年5月に確認されており、さらなる「改良」が加えられたものです。
続きを読む多くのマルウェアが昨今、自身の攻撃に比較的新しい手法を取り入れている一方で、侵入方法は従来の手法がいまだに採用されています。例えば、暗号化型ランサムウェア、オンライン銀行詐欺ツール(バンキングトロジャン)、標的型攻撃では、不正なマクロやショートカット(LNK)ファイルが依然として利用されています。しかし、効果が実証されているこれらの手法の他に、PowerShell 等の正規ツールや機器を遠隔で操作する不正な字幕用ファイルのような新しい手法の利用も確認されています。
トレンドマイクロは、2017 年 5 月、PowerPoint のスライド上でハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を利用してマルウェアを送り込む新しい手法を確認しました。この手法は、欧州・中東・アフリカ地域で確認されたスパムメール送信活動で利用されたダウンローダ(「TROJ_POWHOV.A」および「P2KM_POWHOV.A」として検出)によって利用されていました。このスパムメール活動では特に、英国、ポーランド、オランダ、スウェーデンにおいて、製造業、機器作製、教育、運輸、花火製造などの業界が影響を受けました。
続きを読む
脆弱性攻撃ツール「EternalBlue」は、2017 年 5 月中旬に世界的に拡散した暗号化型ランサムウェア「WannaCry」の事例で大きく注目されました。「WannaCry」の後には、ファイルを利用しないランサムウェア「UIWIX」、ワーム「EternalRocks」、仮想通貨発掘ボット「Adylkuzz」など、EternalBlue を利用した「模倣犯」が連続して登場しました。
この脆弱性を利用すると、攻撃者は、標的の PC 上で任意のコードを実行できます。この脆弱性は Microsoft のセキュリティ情報「MS17-010」で発表された更新プログラムによって 3 月の時点で既に修正されており、危険度と複雑度はハッキング集団「Shadow Brokers」によって公開されたその他の脆弱性と同様、中~高程度と考えられていました。
世界規模でさまざまな業種の法人に大きな影響を及ぼしたこの脆弱性攻撃ついて、その仕組みのより深い理解に役立つ技術的な情報を提供するため、本稿ではEternalBlue の脆弱性攻撃の詳細を解説します。
続きを読む「PowerShell」 は Microsoft が 開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。
しかし、サイバー犯罪者は Windows ショートカットファイル(「.LNK」拡張子)から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認 されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。
続きを読む