トレンドマイクロは、2012年上半期(1月~6月)日本国内における持続的標的型攻撃(Advanced Persistent Threats、APT)に関する傾向レポートを公開しました。 |
(さらに…) 続きを読む
トレンドマイクロでは、本ブログを通じて、Forward-looking Threat Research チームの Nart Villenueveによるリサーチペーパー「Trends in Targeted Attacks(英語情報)」をもとに、持続的標的型攻撃の各攻撃ステージについて、これまで以下のように報告してきました。
持続的標的型攻撃を仕掛ける攻撃者は、一旦標的とするネットワークに侵入すると、その機会を最大限に活用します。この標的型攻撃で利用される不正プログラムは、侵入したネットワーク内で攻撃者の目となり耳となる役割を果たすことになります。このため、攻撃者は、不正プログラムとの通信手段を確立し、その不正プログラムがネットワーク内の有益な情報を確実に送信することが必要となります。また、この状態を継続しながら執拗に攻撃を仕掛け続けるためにも、自身の不正活動が検知されないように慎重に動く必要もあります。
続きを読むトレンドマイクロは、2012年5月中旬、Yahoo! Mail のユーザが影響を受けると考えられる脆弱性を確認しました。標的型攻撃に関連するメールを解析した際に、「差出人」の欄に含まれる不正な JavaScript を確認。この JavaScript は、メール受信者に対し「Document Object Model (DOM)」型の「クロスサイトスクリプティング(XSS)」を利用した攻撃を仕掛けるものでした。しかし、トレンドマイクロでは、この脆弱性を突く攻撃を再現することができませんでした。この問題について、Yahoo! に連絡を取っており、Yahoo! もまたこの攻撃の再現を試みましたが、不成功に終わりました。しかし一方でYahoo! は、このような問題からユーザを守るために、この不正な JavaScript を検知するフィルター機能を強化しました。
続きを読むトレンドマイクロでは一連の標的型攻撃「作戦活動(キャンペーン)」を仕掛ける攻撃者たちを監視していますが、前回ブロクで報告したように攻撃が引き続き実行されていることを確認しています。Microsoftは、約2週間前の2012年4月10日(米国時間)に「2012年4月のセキュリティ情報(月例)」を公開したばかりですが、攻撃者たちは、こうした絶好の機会を見逃さず、このセキュリティ情報「MS12-027」に言及されている脆弱性「CVE-2012-0158」を利用して標的とするネットワークに巧みに侵入しているようです。
続きを読むトレンドマイクロは、Microsoft による「2012年4月のセキュリティ情報(月例)」の公開後数日も経たぬ間に、このセキュリティ情報に含まれた脆弱性を利用する不正なリッチテキストファイル(拡張子RTF)が世界各地で流布しているのを確認。この不正なRTFファイルは、セキュリティ情報「MS12-027」に含まれる脆弱性「CVE-2012-0158」を利用します。Microsoft の 4月のセキュリティ情報によると、Microsoft Office や Visual FoxPro、Commerce Server、BizTalk Server、さらに Microsoft SQL Server といった多数の同社製品が影響を受けます。
続きを読むトレンドマイクロでは、2012年3月、Malware Blog や本ブログ上を通じて、ソーシャルエンジニアリングを使った標的型攻撃の事例について報告してきました。