トレンドマイクロでは、日本にも影響が確認されている不正広告キャンペーン「AdGholas(アドゴラス)」に対し、監視と調査を継続しています。そして今回、「AdGholas」関連の攻撃でのみ利用が確認されている脆弱性攻撃ツール(エクスプロイトキット)「Astrum Exploit Kit (Astrum EK)」が不正トラフィックの検出を困難化させるため「Hyper Text Transfer Protocol Secure (HTTPS)」を利用していることを突き止めました。ブラウザとアプリケーション間の接続が「Transport Layer Security(TLS)」で暗号化される HTTPS は、ネットバンキングやオンラインショッピングなどの機密性が必要とされる通信を保護するために使用されていますが、それを悪用した活動と言えます。「Astrum EK」については「ディフィー・ヘルマン鍵交換(DH鍵交換)」を利用し、監視ツールあるいはセキュリティリサーチャによる不正ネットワークトラフィックの解析を阻止する手口が 2017年5月に確認されており、さらなる「改良」が加えられたものです。
続きを読む多くのマルウェアが昨今、自身の攻撃に比較的新しい手法を取り入れている一方で、侵入方法は従来の手法がいまだに採用されています。例えば、暗号化型ランサムウェア、オンライン銀行詐欺ツール(バンキングトロジャン)、標的型攻撃では、不正なマクロやショートカット(LNK)ファイルが依然として利用されています。しかし、効果が実証されているこれらの手法の他に、PowerShell 等の正規ツールや機器を遠隔で操作する不正な字幕用ファイルのような新しい手法の利用も確認されています。
トレンドマイクロは、2017 年 5 月、PowerPoint のスライド上でハイパーリンクが張られた画像やテキストにマウスカーソルを乗せる動作(マウスオーバー)を利用してマルウェアを送り込む新しい手法を確認しました。この手法は、欧州・中東・アフリカ地域で確認されたスパムメール送信活動で利用されたダウンローダ(「TROJ_POWHOV.A」および「P2KM_POWHOV.A」として検出)によって利用されていました。このスパムメール活動では特に、英国、ポーランド、オランダ、スウェーデンにおいて、製造業、機器作製、教育、運輸、花火製造などの業界が影響を受けました。
続きを読むトレンドマイクロは、2017 年 3 月末の時点で、Android 端末向けのバックドア型不正アプリ「MilkyDoor」(「ANDROIDOS_MILKYDOOR.A」として検出)が仕掛けられた 200 個のアプリを「Google Play」上で確認しました。その中には、50万~100万 回インストールされたアプリも確認されています。どこからでも情報にアクセスできる利便性により、ますます多くのモバイル機器がプラットフォームとして利用される中、企業に大きな影響を与えるモバイル端末向け不正アプリによる感染も増加しています。
MilkyDoor は、「Socket Secure(SOCKS)プロトコル」を利用したプロキシを用いて、不正アプリに感染したモバイル端末が接続している内部ネットワークに足掛かりを築くという手法を用います。これは、2016年4月に確認された、企業の内部ネットワーク侵入の足掛かりとなる Android 端末向け不正アプリのファミリ「DressCode(ドレスコード)」(「ANDROIDOS_SOCKSBOT.A」として検出)に類似しています。MilkyDoor は、SOCKS プロキシを設置することによって、企業が予期せぬうちに、サイバー犯罪者がネットワークを偵察し脆弱なサービスにアクセスする手段を提供します。この不正活動はユーザが知らないうちに同意無しで実行されます。
続きを読む2016年は、ランサムウェアの被害が増大した年でした。サイバー犯罪者はランサムウェアをさらに凶悪化させ、企業や個人ユーザの重要データを人質にさらに多くの身代金を得ることに成功しました。昨年新たに確認されたランサムウェアは 2016年9月末までの段階で既に 146ファミリに達し、2015年の 29ファミリと比べ大きく増加しています。ランサムウェアの急速な拡大と発展の背景には、プラットフォーム、機能、手法の全ての面で改良に力を注ぐサイバー犯罪者の奔走があります。
続きを読む世界190カ国以上に9,300万人以上の加入者を持つ動画配信サービス「Netflix」から、サイバー犯罪者が分け前を得ようと考えても不思議ではありません。彼らは、Netflix会員の認証情報を窃取しアンダーグラウンドで金銭に換える、あるいは Netflixアプリの脆弱性を悪用する、また、最近では、会員の金融関連その他の個人情報を窃取するマルウェアを PCに感染させる、などの不正活動を行ないます。
窃取された Netflix の認証情報は、他の目的のためにも利用されます。例えば、サイバー犯罪者間の交渉で、取引材料とされることがあります。さらに悪質な場合、ユーザにマルウェアをインストールさせるための餌とし、金銭をだまし取るために利用されることがあります。つまり、Netflix で好きな番組を「タダ見」しようとしたユーザの PC がランサムウェアに感染し、ファイルが人質にとられてしまう、ということがあり得ます。
(さらに…)
2016年も残すことわずか10日となりました。2016年を振り返ると、加速するランサムウェアの脅威について第3四半期の脅威動向で報告しました。また、直近では、12月15日(米国時間)、 今年 2回目のYahoo の情報漏えい事例が明らかになったところです。今回、2回に分けて、2016年に発生した主要なセキュリティ事例について振り返ります。
- 第1回
- 最も持続可能なサイバー犯罪:ランサムウェアによる攻撃
- Yahoo! を襲った史上最大の情報漏えい
- Microsoft の月例修正プログラムのリリース数が最大に
- 予期しなかった Apple製品のゼロデイ脆弱性
- 絶えることのない Adobe Flash Player の脆弱性
トレンドマイクロでは、2014年5月、Android端末を狙う「身代金要求型不正プログラム(ランサムウェア)」の出現をモバイルの脅威状況を監視する中で確認しました。弊社では、その後、匿名通信システム「The Onion Router(Tor)」を利用し、コマンド&コントロール(C&C)通信を隠ぺいする新たな脅威を確認しています。
続きを読む「TrendLabs(トレンドラボ)」は、2014年第1四半期セキュリティラウンドアップのなかで、ランサムウェア「CryptoLocker」といった複数の「身代金要求型不正プログラム(ランサムウェア)」を取り上げ、新たな不正活動について言及しました。例えば、警告文に複数の言語を利用したり、仮想通貨のウォレットから金銭を窃取したりといった事例でした。また、モバイル版のランサムウェアの登場によって、どのようにこれらの脅威が、時間と共に変化し続けているかが浮き彫りになりました。
続きを読む