2017 年 10 月 19 日(現地時間)、IoT 機器を狙う「Reaper(リーパー、「ELF_IOTReaper.A」として検出)」が確認されました。報道によると、100 万以上の法人ネットワークに感染し、引続きその感染を拡大しています。Reaper を確認したセキュリティ企業「Check Point」および「Qihoo 360 Netlab」のリサーチャによると、Reaper で構成されるIoTボットネットは、2016 年末に確認された、Linux を搭載した IoT 機器を狙う「Mirai」よりも巧妙な手口を利用しており、潜在的な危険度も高いとのことです。事実、Reaper は Mirai のソースコードの一部を利用していますが、機器に感染する手法は異なります。
続きを読むモバイル端末の性能は、ある程度の仮想通貨を実際に発掘するには不十分だという疑いがあります。しかし、機器の消耗、電池の短命化、通常よりも重たい動作など、感染端末がユーザに与える影響は明確です。
トレンドマイクロは、2017年10月中旬、不正に仮想通貨を発掘する能力を備えたアプリを Google Play 上で確認しました。これらのアプリは、検出を逃れるために、JavaScript を動的に読み込み、ネイティブコードを追加する手法を利用します。トレンドマイクロは、これらの不正アプリを「ANDROIDOS_JSMINER(ジェイエスマイナー)」および「ANDROIDOS_CPUMINER(シーピーユーマイナー)」として検出しています。
続きを読む北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでしょうか。本記事では、これらの問いについて調査することにより、北朝鮮によるものだと考えられていた攻撃について得られた知見を解説します。
続きを読む
新しい暗号化型ランサムウェア「Bad Rabbit」(「RANSOM_BADRABBIT.A(バッドラビット)」として検出)が確認され、ロシアおよび東欧の各国で拡散活動が確認されています。トレンドマイクロの「XGen™セキュリティ」は Bad Rabbitを「TROJ.Win32.TRX.XXPE002FF019」として検出。2017 年 6 月に欧州の国々に影響を与えた「PETYA(ペトヤまたはペチャ)」の攻撃から、当初は、「PETYA」の亜種と考えられていました。
第一報では、主な被害はウクライナとロシアの輸送システムとメディアとされています。ウクライナの「コンピュータ緊急事態対策チーム(CERT-UA)」はさらなるランサムウェアの攻撃に注意喚起するための勧告を公開しています。
トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計では、24 日中に Bad Rabbit と推測される不正活動をロシア国内で 100 件以上ブロックしたことが分かっています。また、日本への影響に関しては、Bad Rabbit を拡散する改ざんサイトへの日本からのアクセスは 90 件以下、そこから誘導されるダウンロードサイトへのアクセスも数件のみに留まっており、現時点では限定的であったものと考えられます。
■初期解析
図 1:「Bad Rabbit」の感染チェーン
(さらに…) 続きを読む
韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読むインターネット上で世論を操作する「サイバープロパガンダ」や、社会的および政治的な主張のもとでハッキングなどの手段を使って行動する「ハクティビズム」に関して、
- 誰が
- どこで関連ツールを入手し、技術を取得して
- どんな手口を使うのか
といった疑問が挙がってくるでしょう。その回答の 1つとして、少なくとも従来のサイバー犯罪者が関与していることは疑いの余地はありません。
トレンドマイクロは、リビアに拠点を置くサイバー犯罪者が、通常のサイバー犯罪と同時にサイバープロバガンダの活動も実行している事例を確認し、本稿で報告します。
続きを読む2017年10月15日(現地時間)、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が同月16日に公開されました。報道によると、これら脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、「概念実証(Proof of Concept、PoC)」の攻撃コード(現時点で非公開、参考動画)により WPA2 の暗号化の仕組みを侵害します。
WPA2 は、安全な暗号化通信を実現するための Wi-Fi認証のセキュリティプロトコルです。今回はこの WPA2 の鍵管理に脆弱性が確認されました。攻撃者は KRACK を悪用して Wi-Fi端末機器と Wi-Fi のアクセスポイントの通信を傍受したり、場合によっては通信を乗っ取ることが可能となります。
今回の脆弱性のポイントは、以下の通りとなります。
- WPA2 のプロトコル自体の脆弱性であり、特定のオペレーションシステム(OS)などに依存せず影響がある
- 攻撃者は、これら脆弱性を利用して以下を実行することが可能である。
・通信の傍受、盗み見
・通信の乗っ取り、改ざん - 脆弱性の利用には、物理的に Wi-Fi に接続できる必要がある。多くの場合、中間者となることも必要。
「Dnsmasq」は、小規模サーバや組み込み機器に DNS/DHCP サーバを構築するために利用される事実上の標準ソフトウェアです。2017 年 10 月 2 日、Google のセキュリティリサーチャ がバージョン 2.78 より前の Dnsmasq に存在する7 つの脆弱性を確認しました。特定のオプションでDnsmasq を実行している場合、これらの脆弱性は、「遠隔でのコード実行(Remote CodeExecution、RCE)」、情報流出、「Denial of Service(DoS、サービス拒否)攻撃」を可能にします。
続きを読むプロパガンダ(宣伝工作)は、一般大衆の意見を誘導し世論を操作するために、国家や組織によって古くから利用されてきた効果的な手法です。冷戦時代には、欧米の各ラジオ局が欧米支持のメッセージを東欧諸国に向けて放送し、プロパガンダのツールとして利用することに成功しました。また、東西ドイツを再統一に導いた決定的な要因は、欧米のテレビ放送であったと考えられていることは、視覚媒体が持つ影響力の証拠となっています。テレビは、東欧の生活とはかけ離れた欧米の理想的な生活を見せつけました。プロパガンダを成功させるための重要な要因は、概して2つあります。1つは、価値のある有意な情報を収集すること、そしてもう1つは、強力な伝達経路を利用することです。メッセージが一般大衆に届かなければ、プロパガンダは成功しません。
続きを読む