トレンドマイクロは、暗号化型ランサムウェア「qkG」(「RANSOM_CRYPTOQKG.A(クリプトキューケージー)」として検出)の興味深い検体をいくつか確認しました。qkG は「Visual Basic for Applications(VBA)」のみで作成された従来型のマクロマルウェアで、Microsoft Word の全文書対象の標準テンプレート “normal.dot” に感染します。
続きを読む暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」の亜種による大規模な攻撃が、欧州を中心に確認されています。トレンドマイクロではこの亜種が、攻撃経路において脆弱性攻撃ツール「EternalBlue」と「PsExec」の両方を利用することを確認するとともに、「RANSOM_PETYA.TH627」、「RANSOM_PETYA.SMA」などとして既に検出対応しています。法人および個人の皆さんは、下記の対策を取り、感染拡大を防ぐようお願いします。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus(エレブス)(「RANSOM_ELFEREBUS.A」として検出)」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。
NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin(ビットコイン、BTC)」で 550BTC(162万米ドル)にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC(2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当)に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。2次のサーバのいくつかではデータベース(DB)エラーが発生しているとのことです。1 次と 2 次のサーバ復旧が成功した後で、3回目の支払いが行われる予定です。
金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。
2016年9月に初めて確認されたErebusは、「malvertisement(不正広告)」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control(UAD)」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus(エレブス)」(「RANSOM_ELFEREBUS.A」として検出)の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。
続きを読む
2017年5月12日夜(日本時間)から世界各地で急速に感染拡大した暗号化型ランサムウェア「WannaCry」の被害は、この暗号化型ランサムウェアが持つ「kill switch 」のドメイン登録によって軽減されました。しかし、他のサイバー犯罪者による類似マルウェアが出現するのは時間の問題でした。暗号化型ランサムウェア「UIWIX(「RANSOM_UIWIX.A」として検出)」や感染PCを利用して仮想通貨の発掘を行うトロイの木馬型マルウェア「Adylkuzz(「TROJ_COINMINER.WN」として検出)」の出現はその良い例です。
続きを読むトレンドマイクロは、深刻な暗号化型ランサムウェアが世界各国で攻撃を行っている事実を確認しました。この攻撃は、2017年3月および 4月に明らかになったセキュリティ上のリスクが組み合わされて実行されました。これら2つのリスクの内 1つは、Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」で Microsoft の3月のセキュリティ情報により明らかになり、同社は問題の脆弱性に対する更新プログラムを公開しました。もう1つは、暗号化型ランサムウェア「WannaCry/Wcry」で、同年4月に DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして確認されました。
今回の攻撃で使われた暗号化型ランサムウェア「WannaCry/Wcry」は、「RANSOM_WANA.A(ワナ)」および「RANSOM_WCRY.I(ダブリュークライ)」として検出されます。このランサムウェアの脅迫状によると、300米ドル(約3万4千円、2017年5月13日時点)相当の身代金をビットコインで要求しています。なお、この身代金額は、前回の攻撃より約100米ドル安くなっています。また、英国での攻撃が確認されたのに加えて、同国以外にも世界各国での攻撃が確認されています。
続きを読む「CERBER」は、2016年初期に出現して以来、随時斬新な手法を取り入れることで知られる暗号化型ランサムウェアのファミリです。これまで、音声による脅迫、クラウドサービスの悪用、データベースの暗号化、「malvertising(不正広告)」を利用した拡散、Windows スクリプトファイルの利用、各種のエクスプロイトキットなどを機能に取り入れ、時とともに改善してきました。目立って広く利用されている理由の1つは、CERBER はロシアのアンダーグラウンド市場で販売されているため、各方面のサイバー犯罪者にとって入手しやすいことにあるかもしれません。CERBER は日本国内でも拡散が確認されており、国内で 2016年10~12月に確認したランサムウェアを感染させる脆弱性攻撃サイトのうち、9割以上が「CERBER」を拡散させていたことは以前の記事で報告の通りです。
しかし、トレンドマイクロは、これまでとは異なる不正活動を見せる亜種(「RANSOM_CERBER.F117AK」として検出)を確認しました。この亜種は、セキュリティ対策ソフトウェアを暗号化対象ファイルから除外するため、一見無意味な骨折りをしています。
続きを読む世界190カ国以上に9,300万人以上の加入者を持つ動画配信サービス「Netflix」から、サイバー犯罪者が分け前を得ようと考えても不思議ではありません。彼らは、Netflix会員の認証情報を窃取しアンダーグラウンドで金銭に換える、あるいは Netflixアプリの脆弱性を悪用する、また、最近では、会員の金融関連その他の個人情報を窃取するマルウェアを PCに感染させる、などの不正活動を行ないます。
窃取された Netflix の認証情報は、他の目的のためにも利用されます。例えば、サイバー犯罪者間の交渉で、取引材料とされることがあります。さらに悪質な場合、ユーザにマルウェアをインストールさせるための餌とし、金銭をだまし取るために利用されることがあります。つまり、Netflix で好きな番組を「タダ見」しようとしたユーザの PC がランサムウェアに感染し、ファイルが人質にとられてしまう、ということがあり得ます。
(さらに…)
家庭でインターネットに接続するスマートデバイスの活用が拡大しています。ルータは、通常そのような各家庭の唯一の門番と言えます。ルータ内蔵型のノートパソコンまたはデスクトップPC を利用している場合、あるいは雑多なデバイスがネットワークに接続されている場合も、セキュリティ上のリスクは同様です。トレンドマイクロの調査によれば、家庭用ルータは、「クロスサイトスクリプティング(XSS)」や PHP を狙う任意のコードインジェクション攻撃の影響を最も受けやすく、DNSオープンリゾルバを悪用する「DNS Amp」手法を利用した「分散型サービス拒否(DDoS)攻撃」に悪用されています。
「スマート」ではあっても安全ではないデバイスをインターネットに接続することは、例えるなら、詮索好きで悪意を持つかもしれない客を家に招き入れてしまうことによく似ています。その対策には、普通の鍵を玄関に取り付けても意味がありません。最近の家庭用ネットワークへの侵入事例を見ると、「悪意を持つ人」であるサイバー犯罪者は常に玄関を開ける方法を探しています。サイバー犯罪者は、スマートデバイスにマルウェアを感染させ、自身の指示通り動く「ゾンビ」に変えます。スマートデバイスを「ゾンビ化」、つまり「ボット化」して利用した攻撃の例として、最近発生した DNSプロバイダ「Dyn」や Brian Krebs への攻撃、あるいは特定の Netgear製ルータに確認されたコマンドインジェクションの脆弱性を狙った攻撃が挙げられます。
続きを読む