トレンドマイクロでは、2014年2月以降、さまざまなアプリケーションに存在する脆弱性を利用した標的型攻撃により、さまざまな企業・団体への侵入があったとの複数の報告を受けています。今回、弊社が確認した標的型攻撃キャンペーン「Siesta」について本ブログで報告します。この「Siesta」は、2013年5月に報告した標的型攻撃キャンペーン「Safe」(英語情報)と同様に、攻撃が密かに実行され、監視の目をくぐり抜けたようです。「Siesta」を展開した攻撃者は、複数の不正プログラムを利用し、特定の企業・団体を標的にしました。狙われた産業は以下のとおりとなります。
続きを読む2014年2月24日のブログ記事で報告した Internet Explorer(IE)9、10 に影響するゼロデイ攻撃ですが、最終的な被害としてはオンライン銀行の認証情報詐取を行う不正プログラムの感染につながっていることが確認されました。改ざん被害を受けている正規Webサイトも複数確認されており、同様の攻撃が今後も継続される可能性が高くなっておりますので、速やかに IE11 へのアップデートを行うことを強く推奨いたします。
続きを読むトレンドマイクロでは Internet Explorer(IE)9、10 に影響する未修正の脆弱性「CVE-2014-0322」について、2014年2月17日および 2月21日のブログ記事で報告しましたが、今回、このゼロデイ脆弱性への攻撃が、日本国内における正規Webサイト改ざん事例において発生していたことを確認しました。改ざんサイトにアクセスした利用者は、不正プログラム感染の被害を受ける可能性があります。今後も同様の攻撃が継続して発生する可能性がありますので、脆弱性の緩和策について確認し、可能であれば IE11 へのアップデートを行うことを推奨します。
続きを読む特定のバージョンの Internet Explorer(IE)に存在するゼロデイ脆弱性が新たに確認され、標的型攻撃に利用されていることが確認されています。Microsoft は、今のところ、この脆弱性について公式の発表をしていませんが、IE 9 および IE 10 の両バージョンが影響を受けるとの報道がなされています。
続きを読むジャストシステム社は、2014年1月28日、同社製日本語表計算ソフト「三四郎」に関連する脆弱性の情報を公表しています。トレンドマイクロでは、この三四郎の脆弱性を利用する攻撃ファイル(エクスプロイト)を入手し分析を行った結果、ゼロデイの脆弱性であったことを確認しました。トレンドマイクロでは、これらの攻撃に使われるファイルを「TROJ_MDROP.TDB」、「TROJ_DROPPER.TDB」などの名称で検出対応しています。
続きを読むMicrosoft は、2013年11月27日(米国時間)、WindowsXP および Windows Server 2003 に影響する、新たなゼロデイ脆弱性「マイクロソフト セキュリティ アドバイザリ(2914486)」(「CVE-2013-5065」)を公開しました。この脆弱性は、限定的な標的型攻撃において、不正な PDFファイル「TROJ_PIDIEF.GUD」により利用され、感染した PC上にバックドア型不正プログラム「BKDR_TAVDIG.GUD」を作成します。
続きを読む「TrendLabs(トレンドラボ)」は、2013年 9月 4日のブログにおいて、ロシアでの20カ国・地域(G20)首脳会合が標的型メールに利用された事例を報告しました。その 1カ月後、攻撃者たちは、人々の注目を集める政治的会合に再び目をつけ、自らの陰謀に利用したようです。10月 7日および 8日、環太平洋の 21カ国・地域が毎年参加するアジア太平洋経済協力会議(APEC)の首脳会合がインドネシアにて開催。この会合が格好の「エサ」となり、攻撃者たちのなりすましメールに利用されています。
続きを読むトレンドマイクロは、2013年9月初旬、新しいバックドア型不正プログラム「BLYPT」を確認、この検証結果を今回ご報告します。このファミリは、暗号化とともに、データベースシステムで使用されるデータ型の 1つである「バイナリ・ラージ・オブジェクト(BLOB)」を利用していることからこの名が付けられました。なお、このBLOB情報はレジストリ内に保存されています。現時点での検証では、このバックドア型不正プログラムは、Java の脆弱性を突くエクスプロイトコードを介してインストールされ、このエクスプロイトコードを拡散するために利用される「ドライブバイダウンロード」攻撃あるいは改ざんされた Webサイトのどちらかを経由して感染PC上に侵入することが判明しています。また、今回のバックドア型不正プログラムの検証の結果、攻撃に関連するサーバは、ルーマニアおよびトルコを中心に拠点を置いていることが明らかになりました。
2013年9月20日時点において、主に米国のユーザが今回の脅威の影響を受けており、また、産業別では、一般ユーザがもっとも影響を受けていることが判明しています。
続きを読む