トレンドマイクロでは、新たな ATMマルウェアファミリ「Alice」を確認しました。「Alice」は、弊社がこれまでに確認した ATMマルウェアファミリの中でも、機能を必要最小限に絞った点が特徴的です。他の ATMマルウェアファミリと異なり、現金自動預け払い機(Automatic Teller Machine、ATM端末)のテンキーを介した操作もできず、情報窃取機能も備えておらず、ATM端末から現金を窃取することだけが目的のようです。弊社ではこの ATMマルウェアファミリを「BKDR_ALICE.A」として検出対応しています。
続きを読む家庭でインターネットに接続するスマートデバイスの活用が拡大しています。ルータは、通常そのような各家庭の唯一の門番と言えます。ルータ内蔵型のノートパソコンまたはデスクトップPC を利用している場合、あるいは雑多なデバイスがネットワークに接続されている場合も、セキュリティ上のリスクは同様です。トレンドマイクロの調査によれば、家庭用ルータは、「クロスサイトスクリプティング(XSS)」や PHP を狙う任意のコードインジェクション攻撃の影響を最も受けやすく、DNSオープンリゾルバを悪用する「DNS Amp」手法を利用した「分散型サービス拒否(DDoS)攻撃」に悪用されています。
「スマート」ではあっても安全ではないデバイスをインターネットに接続することは、例えるなら、詮索好きで悪意を持つかもしれない客を家に招き入れてしまうことによく似ています。その対策には、普通の鍵を玄関に取り付けても意味がありません。最近の家庭用ネットワークへの侵入事例を見ると、「悪意を持つ人」であるサイバー犯罪者は常に玄関を開ける方法を探しています。サイバー犯罪者は、スマートデバイスにマルウェアを感染させ、自身の指示通り動く「ゾンビ」に変えます。スマートデバイスを「ゾンビ化」、つまり「ボット化」して利用した攻撃の例として、最近発生した DNSプロバイダ「Dyn」や Brian Krebs への攻撃、あるいは特定の Netgear製ルータに確認されたコマンドインジェクションの脆弱性を狙った攻撃が挙げられます。
続きを読む2016年も残すことわずか10日となりました。2016年を振り返ると、加速するランサムウェアの脅威について第3四半期の脅威動向で報告しました。また、直近では、12月15日(米国時間)、 今年 2回目のYahoo の情報漏えい事例が明らかになったところです。今回、2回に分けて、2016年に発生した主要なセキュリティ事例について振り返ります。
- 第1回
- 最も持続可能なサイバー犯罪:ランサムウェアによる攻撃
- Yahoo! を襲った史上最大の情報漏えい
- Microsoft の月例修正プログラムのリリース数が最大に
- 予期しなかった Apple製品のゼロデイ脆弱性
- 絶えることのない Adobe Flash Player の脆弱性
2016年10月、Linux に存在する脆弱性「Dirty COW」が公開されました。この脆弱性には CVE識別子「CVE-2016-5195」が割当てられており、悪用された場合攻撃者がシステム管理者の権限を取得することが可能となります。「Dirty COW」は、Linux カーネルの開発者である Linus Torvalds 氏が「昔から存在していた不具合」と説明していたもので、公表後すぐに更新プログラムが公開されています。ほとんどの Linuxディストリビューションから、直ちに更新プログラムを適用するようユーザに注意喚起されています。
SELinux のポリシーによって攻撃可能な範囲は限定されているとはいえ、Android にも問題の脆弱性「Dirty COW」が存在します。トレンドマイクロは、すでに報告されている攻撃とは異なる Dirty COW を利用した別の攻撃手法を確認しました。弊社が確認した攻撃手法では、不正なコードを直接プロセスに書き込むことが可能になるため、攻撃者は狙った端末のほぼすべてが制御可能となります。現時点で、すべてのバージョンの Android がこの問題の影響を受ける可能性があります。
続きを読む本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。不正/迷惑アプリをスマートフォンに侵入させようとする場合、最初の段階では利用者にアプリのインストールを承諾させる必要があります。サイバー犯罪者は利用者をだまし不正/迷惑アプリをインストールさせようと様々な手口を施してきますが、特に利用者が欲しがる人気アプリに偽装する手口がよく見られます。以前の記事でも「ポケモン Go」の話題性に便乗した手口をお伝えしていますが、今回は「スーパーマリオブラザーズ」などのゲームで世界的な人気を誇るキャラクター「マリオ」で検証します。
続きを読む欧州刑事警察機構(ユーロポール)は、2016年12月1日(現地時間)、米連邦捜査局(FBI)やドイツの警察など各国の法執行機関の共同作戦によって、世界的サイバー犯罪に利用されるボットネットを閉鎖したと発表しました。このボットネット・インフラは、「Avalanche」と呼ばれるコンテンツ配信および管理プラットフォームで、「防弾ホスティングサービス(bulletproof hosting service、BPHS)」を利用したボットネットを提供するために設計されていました。このプラットフォームは、20余りの異なるマルウェアを利用し、30カ国に及ぶ対象を攻撃するために利用されていました。ここ数年で最も成功を収めた法執行活動の1つとなるこのAvalancheの解体は、サイバー犯罪に対し、非常に大きな打撃を与えました。
続きを読む米国の「サンフランシスコ市交通局(San Francisco Municipal Transport Agency、SFMTA)」は、2016年11月28日(現地時間)、ランサムウェアの攻撃を受けたことを公表しました。SFMTA の説明によると、11月25日にランサムウェアによる感染を確認し、当初約900台の PC が影響を受けたとのことです。また、暗号化されたデータの回復のために 100BTC(ビットコイン、2016年12月6日時点で日本円にして 9百万円前後)を要求されており、要求に応じない場合、収集した 30GB分のデータを公開する、との脅迫を受けているとの報道もあります。トレンドマイクロでは、この攻撃で使用されたランサムウェアは 2016年9月に登場した暗号化型ランサムウェア「HDDCryptor(エイチディーディークリプタ)」の新しい亜種であり、ばらまき型の攻撃ではなく、ネットワークの侵入により SFMTA 内に感染したものと推測しています。
続きを読むトレンドマイクロは、2016年10月に史上最大の「分散型サービス拒否(DDoS)」攻撃を引き起こした「Mirai」の新たな亜種(「ELF_MIRAI.A」として検出)による tcp/7547への攻撃を確認しました。日本でも 11月26日ころより tcp/7547へのポートスキャンの増加が観測され注目されていましたが、これは特に日本にのみ向けられたものではなく世界的に発生しているものでした。米 SANS Internet Storm Center の観測では、それまでの 3週間には最大で1日2,700件弱だった通信量が、ピークの 11月27日には 110万件以上と、400倍以上の急増が確認されています。特にドイツの大手 ISP「Deutsche Telekom(ドイツテレコム)」では自社顧客のルータが攻撃を受け、大きな通信障害が発生したことを公表しています。
![図1:](/wp-content/uploads/2016/12/161202comment01.png)
図1:ポート7547の通信量推移(米 SANS Internet Storm Center による)