現在、ほとんどのマルウェアはWindows OS環境を狙ったものです。このため、LinuxやmacOSなど、Windows以外のOSは安全だというイメージを持たれている方も多いかもしれません。しかし実際には、サイバー犯罪者は金銭利益を得られるのであれば攻撃対象を選びません。自身の利益が期待できる攻撃手法をサイバー犯罪者が見出した場合には、Windows以外の環境も危険にさらされることになります。今回トレンドマイクロでは、macOS向け取引ソフト「Stockfolio」を偽装する攻撃を確認しました。
(さらに…)
5月中旬に確認された「CVE-2019-0708」の脆弱性(通称「BlueKeep」)はWindowsのリモートデスクトッププロトコル(RDP)の脆弱性であり、本ブログの記事でもその詳細について解説しています。この脆弱性の危険性については、Microsoftが「WannaCry」のような強力なワームの登場に繋がりかねないとして、既にサポート終了済みのWindows XP以前のOSに対しても更新プログラムを公開したほどでした。そして公表から5か月近くが経過した11月頭、ついにこの脆弱性を利用する攻撃が実際に発生していることが初めて報告されました。この攻撃の存在はリサーチャが運用するハニーポットネットワークのクラッシュにより、観測されたものです。「BlueKeep」脆弱性に関しては既に6月の時点で複数のセキュリティ団体により攻撃方法が確認されており、実際の攻撃は時間の問題とされていました。攻撃に関する報告では、更新プログラムがまだ適用されていない多くのレガシーシステムが、「BlueKeep」を悪用する攻撃キャンペーンのターゲットになっていることが明らかにされており、実被害としては、コインマイナーの侵入による不正マイニングが行われていました。
続きを読むGoogleは、今年2019年に入ってAndroidアプリのアクセス権限のリクエストに関するデベロッパーポリシーを更新しました。中でも、「通話履歴に関する権限グループ」と「SMS に関する権限グループ」への制限は、不正アプリがアクセス権限を利用することにより、マルウェアの拡散や個人情報の窃取といった不正活動を行うことを抑止するために設けられました。しかしサイバー犯罪者は、制限があればその回避方法を見つけるなどして攻撃を巧妙化させ、常に利益を追って活発に活動しています。その典型的な例が、最近トレンドマイクロが確認した、美しく撮れるカメラアプリを偽装し不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」です。
(さらに…)
トレンドマイクロでは2019年第3四半期(7~9月)における国内外での脅威動向について分析を行いました。この第3四半期、国内ではECサイトやクラウドサービス等で利用される認証や決済に関連した脅威が複数顕著化しました。特に、国内ネットバンキングの二要素認証の突破を狙うものと考えられるフィッシングサイトの攻撃が9月に拡大、また、脆弱性を利用したECサイト改ざんを発端に利用者のクレジットカード情報が詐取される被害事例の公表も相次ぎました。
図1:メールで通知されるワンタイムパスワードを入力させる
フィッシングサイトの例(2019年8月確認)
ChaosCCというハッキング集団によって送信されたとされるセクストーション(性的脅迫)スパムが報告され話題になりました。彼らは、「ユーザの端末を乗っ取った上で、ユーザがアダルトコンテンツを閲覧している様子を録画した」と主張します。Bleeping Computerの報告によると、このセクストーションによって、ユーザにビットコインで700米ドル(約76,000円、2019年10月28日現在)相当の支払いを要求します。
図1:ChaosCCのセクストーションメール(出典:Michael Gillespie)
(さらに…) 続きを読む
中国のセキュリティリサーチ組織「QAX-A-Team」は、2019年9月、UNIX用のメール転送エージェント(MTA)「Exim」上に存在する脆弱性「CVE-2019-16928」を確認しました。市場調査によると、2019年9月の段階でEximはインターネット上で確認可能なメールサーバの50%以上を占めており、広範的な影響が懸念されます。この脆弱性が悪用されると、以下の2つの攻撃が実行される可能性があります。また、脆弱性の深刻度は「緊急」に分類されています。
- サービス拒否(DoS、Denial of Service)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)攻撃
この脆弱性はEximの以下のバージョンに存在し、これ以前のバージョンへの影響は確認されていません。
- 4.92
- 4.92.1
- 4.92.2.
Eximの脆弱性に関しては2019年6月にも「CVE-2019-10149」が公表されており、実際に脆弱性を攻撃するワームが登場しています。今回の脆弱性も遠隔からのコード実行が可能であり、同様の攻撃が発生する可能性は高いものと言えます。この脆弱性「CVE-2019-16928」は、ヒープ領域型のバッファオーバーフローによりEximプロセスの実行制御が可能になります。本記事ではその詳細を解説します。
(さらに…)