イタリア企業「Hacking Team」から漏えいしたとされる情報からこれまで未確認だった脆弱性が多数確認されています。中でも、Adobe Flash Player に関する脆弱性については、日本を狙う改ざんWebサイト経由での標的型サイバー攻撃で利用されていた事例を7月14日付の本ブログ記事でお伝えしています。そして今回トレンドマイクロでは、この Adobe Flash Player の複数の脆弱性の利用した攻撃が、日本国内の改ざんされたWebサイト経由で継続して行われている事を確認しました。
続きを読む7月5日、イタリア企業「Hacking Team」から漏えいした情報からエクスプロイトコードが複数確認されたことは既に本ブログでもお伝えした通りです。トレンドマイクロでは、すでにこのエクスプロイトコードがさまざまなエクスプロイトキットに取り込まれていることなどを確認しています。そして、さらに今回トレンドマイクロでは、これらの脆弱性に含まれる「CVE-2015-5119」が日本国内において標的型攻撃の一種である水飲み場型攻撃に悪用されている実態を確認しました。
続きを読むゼロデイ脆弱性を利用した攻撃は、ソフトウェア企業から修正プログラムが公開されておらず、効果的に攻撃できるため、標的型サイバー攻撃で利用され続けています。トレンドマイクロは、標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」に対する継続した調査、監視の中で、Java の脆弱性をホストした不正な URL を確認しました。そして、この不正な URL で使用されている脆弱性に対する修正プログラムは Oracle社からまだ公開されていない未修整状態であること、つまり、ゼロデイ脆弱性であることも確認しました。Java に存在する新たなゼロデイ脆弱性が確認されたのは、約 2年ぶりです。
続きを読むトレンドマイクロは、2015年7月7日以降、イタリア企業「Hacking Team」への攻撃により漏えいした機密情報から確認された脆弱性を利用する攻撃や関連事例などを報告しています。
- 伊企業「Hacking Team」の情報漏えい事例:Flash Playerに存在する未修正の不具合を確認
/archives/11851 - 「Hacking Team」の漏えい事例:Open Typeフォントマネージャの脆弱性の検証
/archives/11866 - 「Hacking Team」の情報漏えい事例:Flash Playerのゼロデイ脆弱性「CVE-2015-5119」、複数のエクスプロイトキットで追加を確認
/archives/11877 - 「Hacking Team」の情報漏えい事例:Flashゼロデイ脆弱性、発覚前に韓国と日本で被害発生か
/archives/11884 - 新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認
/archives/11903
2015年7月、イタリア企業「Hacking Team」が攻撃を受け、大量の機密情報が漏えいした事例により、2つのゼロデイ脆弱性が続けて確認されました。そして、7月10日、さらに別の 2つの Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2015-5122」と「CVE-2015-5123」が確認されました。新たに確認された 2つの脆弱性も「CVE-2015-5119」と同じオブジェクト関数「valueOf」を悪用するものです。また、この 2つの脆弱性に関しては、現時点でまだ修正プログラムが公開されていないゼロデイ脆弱性の状態となっています。
トレンドマイクロでは「CVE-2015-5123」のゼロデイ脆弱性を Adobe社に報告し、同社は、この脆弱性の緊急度を「クリティカル」としてセキュリティ情報をすでに公開しています。この脆弱性は、Windows、Mac および Linux 上のAdobe Flash Player のすべてのバージョンに影響し、攻撃者は、この脆弱性を利用した攻撃により感染した PC を制御下に置くことが可能となります。また、「CVE-2015-5122」に関してはこの後に公開するブログ記事で詳細をお伝えします。
続きを読むソーシャルメディアで多くのフォロワーを持つ「インフルエンサー」は、その信頼性や影響力をブランディングや事業に役立てています。しかしそのような人気アカウントはサイバー脅迫の格好の標的ともなっています。写真共有サービス「Instagram」で15,000人のフォロワーを持つ写真家のアカウントが乗っ取りに遭い、サイバー脅迫による戦利品がハッカー集団内でシェアされていました。
この事例を詳細に調査した結果、ハッカーはフィッシングによってアカウントに侵入したことが判明しました。それなりに単純な攻撃のように見えるものの、Instagramの人気アカウントを狙う手口はトルコ語を使用するあるハッカー集団の定番のやり口になっています。この集団は、アカウント復旧手順を悪用し、本来の所有者が復旧手順に従ったとしても乗っ取ったアカウントを保持し続けます。トレンドマイクロが確認した事例では、フォロワー数が15,000から70,000に及ぶ、有名な俳優/歌手、写真撮影機材をレンタルするスタートアップ企業のオーナーなどのアカウントがハッキングを受け、元の所有者の手に戻らないままとなっています。
続きを読む2017 年 5 月、サイバー犯罪者の活動を支援する不正なウイルス検索サービス「Scan4You」を運営していた主犯格の 2 名、Ruslans Bondars および Jurijs Martisevs 両容疑者がラトビアで逮捕され、米連邦捜査局(FBI)によって米国に送還されました。この逮捕の後、Scan4You はサービスを停止しています。ヴァージニア州連邦裁判所は、2018 年 5 月、この 2 名に対し有罪判決を下しました。
トレンドマイクロの脅威リサーチ部門「Forward-Looking Threat Research(FTR)チーム」は、2012 年に Scan4You の調査を開始し、2014 年以降は、この件を担当する FBI の捜査官と密に連絡を取り合ってきました。弊社は、問題のサービスが停止するまで、調査から得られた知見を 5 年以上にわたって FBI に提供してきました。
続きを読む2018年4月16日(米国時間)、米国の国土安全保障省(Department of Homeland Security 、DHS)および「連邦捜査局(FBI)」、英国の「国家サイバーセキュリティセンター(National Cyber Security Centre、NCSC)」は、ルータや侵入検知システムなどネットワークインフラ機器を狙う攻撃について共同で警告を発表しました。これ以外にも Mirai や Hajime など「モノのインターネット(Internet of Things、IoT)」のデバイスを狙う攻撃の報道は跡を絶ちません。
現在、PC と周辺機器の接続、サーバ間あるいはサーバとクライアント間通信、ネットワークへの接続など、ますます接続しやすくなっている「コネクティビティ」な環境が定着しています。こうした環境を考慮すると、インターネットへの接続を念頭に設計された IoTデバイスが狙われるのも理解できるでしょう。そして、インターネットと企業ネットワークあるいはホームネットワークへの出入り口となるのが「ルータ」です。サイバー犯罪者は、企業や家庭のネットワークへの突破口として「ルータ」をまず狙ってきます。
続きを読むトレンドマイクロは、これまで ATMマルウェアについて継続的に調査および解析をしており、2017年9月に欧州警察組織「Europol」と共同でリサーチペーパーを公開しました。今回報告する「PRILEX(プリレックス)」および「CUTLET MAKER(カツレツメーカー)」は、10月に新しく報告された ATMマルウェアです。この最新の ATMマルウェアについて、トレンドマイクロの解析に基づいて詳細を報告します。
続きを読むトレンドマイクロでは、2015年第3四半期(7~9月)における国内外の脅威動向についての分析を行いました。この第3四半期、特に日本では「正規サイト汚染」を発端とした「脅威連鎖」による被害が顕著化しています。この「脅威連鎖」では、「不正広告」もしくは「Web改ざん」により、利用者を「脆弱性攻撃サイト」へ誘導し、金銭目的の不正プログラムを感染させます。
図1:不正広告による攻撃の概念図