今月第2火曜日となった2021年5月11日には、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。
続きを読むトレンドマイクロは、クラウドベースソリューションをバックエンドサーバや内部システムとして活用する企業に対し、想定される脅威とその対策について提言をまとめました。2020年に発生した「SolarWinds」事件のように、サプライチェーンが侵害される重大な被害が表面化しています。このような侵害発生の背景には、クラウドサービスがデジタルトランスフォーメーションやビジネストランスフォーメーションにおいて重要な役割を果たしてきたDevOpsの世界に関連する複数のセキュリティギャップやリスクが存在しています。
続きを読むトレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。
![図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ(Cisco-Talosのレポートに基づく)](https://blog.trendmicro.co.jp/wp-content/uploads/2021/05/図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ(Cisco-Talosのレポートに基づく)-1024x559.png)
(Cisco Talosのレポートに基づく)
トレンドマイクロは「ROS-Iコンソーシアム」に参加し、産業用ロボットによるインダストリー4.0アプリケーションにおける安全な開発促進を支援します。
トレンドマイクロが長年にわたって成功を収めている秘訣の1つとして、新たなセキュリティ脅威がどこからやって来るのかを常に注視している点が挙げられます。こうした点からトレンドマイクロでは、現在、ITおよびOT(Operation Technology)の融合に向けた研究開発に注力しています。急成長を続けているこの分野は、IoTデバイスとしてインターネットに接続される中、特に製造業での進歩が著しく、大きな成果を上げています。しかしこのような飛躍の反面、技術的な各種システムが適切に保護されていないなど、セキュリティ上のリスクも懸念されています。
続きを読む世界中の企業組織は、現在使用できる多種多様なクラウド技術基盤の利用、クラウド環境への移行、あるいはクラウドに関する知識やスキルの習得を開始することで、いわゆるデジタルトランスフォーメーション(DX)市場への取り組みを進めています。クラウドサービスは使いやすく柔軟性に富んでおり、構成や環境設定の変更も任意で行えることが利点です。
しかし、最高セキュリティ責任者(CSO)やクラウドITチーム、あるいは管理者にとって、特定の展開モデルにおけるクラウドコンピューティング環境のセキュリティ管理は、実は骨の折れる作業です。実際、クラウドへの攻撃や設定ミスによる情報漏えいなどの事例は後を絶たず、クラウド利用を進めたい組織に対し、大きな不安を与える要因となっています。
続きを読む今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
続きを読むトレンドマイクロは、シェルスクリプトを使用して不正な活動を行う攻撃を再び確認しました。これらのシェルスクリプトは、公開されているコンテナリポジトリ上のランダムなイメージとして作成されていました。このようなシェルスクリプトにはバックドアなどの不正要素が含まれている可能性があるため、実行することによるセキュリティ上のリスクがあることを認識する必要があります。過去の攻撃では、そのような不正なシェルスクリプトの多くはコインマイナーを展開するために使用されていました。しかし、新しいサンプルを利用した最近の事例では、シェルスクリプトがコインマイナーのダウンローダとしてではなく別の目的を果たしており、どのように開発されているかを明確にしています。トレンドマイクロでは今回の調査により判明したコマンド&コントロール(C&C)サーバのURL、文字列、暗号鍵、サンプルで使用されている言語などの特徴から、この最新の攻撃はハッキング集団「TeamTNT」によるものと推測しています。
![図1:不正シェルスクリプトの機能を示すコード部分の例](https://blog.trendmicro.co.jp/wp-content/uploads/2021/04/図1:不正シェルスクリプトの機能を示すコード部分の例.png)
トレンドマイクロは、台湾の政府機関、研究機関、大学など複数の組織をターゲットとする新しいキャンペーンを確認しました。2019年5月から開始していたこのキャンペーンは、台湾で広く利用されているWebメールのシステムにJavaScriptのバックドアを設置し対象組織のメールを窃取していました。過去に確認されている攻撃グループとの明確な関連性がないことから、トレンドマイクロはこれを実施した攻撃者を 「Earth Wendigo(アース ウェンディゴ)」と名付けました。標的型攻撃においては、台湾で確認された攻撃手法がその後に日本で確認されることも多く、国内利用者も注視すべき事例と言えます。
![図1:Earth Wendigoの攻撃フロー](https://blog.trendmicro.co.jp/wp-content/uploads/2021/04/図1:Earth-Wendigoの攻撃フロー.jpg)
「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革の必要性が叫ばれる中、そのシンプルさと柔軟性の高さからマイクロサービスアーキテクチャを採用する企業や組織が増えています。実際、2019年に行われた調査では、大企業のITリーダの89%は「進化し続けるデジタル世界で企業が競争力を維持するためにはマイクロサービスが不可欠」と考えていることが報告されており、今後より多くの開発者がオンプレミスやクラウドサービス内にコンテナを展開することが予想されます。しかしクラウド上のコンテナではセキュリティ管理の不備により重要データが不用意に露出する可能性があり、攻撃者にとって格好の的となる恐れがあります。具体的には露出したRedisインスタンス内に暗号資産採掘ツール(コインマイナー)が展開されたり、Docker Hub上でコミュニティが共有するコンテナイメージを悪用して不正コンテナが展開されたりするなど、設定に不備のあるサービスを狙った攻撃が継続的に確認されています。また別の事例ではコインマイナーが感染したLinuxシステム内に既存する別のコインマイナーを検索して削除し自身の計算能力を最大化させる動きも確認しました。このコインマイナーはDockerやRedisのプラットフォーム内で露出したアプリケーションプログラミングインターフェース(API)を検索していたことから、攻撃者がこれらのプラットフォームに精通していることが示唆されます。
そして今回トレンドマイクロでは、さらに上記とは異なる攻撃手口を確認しました。この攻撃はいわゆる「コンテナエスケープ」の攻撃手法となっており、ルート権限のすべてを備えたホストマシン上のPrivileged(特権)コンテナからホスト側に「脱出」できるよう特別に作成されたペイロードが利用されました。注意すべき点は、Dockerを利用しているからといって、ユーザが使用するコンテナすべてが自動的に特権コンテナとなるわけではないことです。事実、Dockerユーザの多くは特権コンテナを使用していません。これはすなわち、適切なセキュリティを確保する方法を知らずに特権コンテナを使用することはリスクが高いことを示します。
![図1:Dockerの特権コンテナに内在する脆弱性を攻撃する流れ](https://blog.trendmicro.co.jp/wp-content/uploads/2021/03/図1:Dockerの特権コンテナに内在する脆弱性を攻撃する流れ-1024x838.png)