「サービスとしてのランサムウェア(Ransomware as a Service、RaaS)」として「Encryptor RaaS」(「RANSOM_CRYPRAAS.SM(クリプラース)」として検出)が初登場したのは、2015年7月にさかのぼります。この RaaS は、同じく金銭の窃取が目的の「Tox」や「ORX Locker」のような RaaS に匹敵するか、あるいは後継種になるかと予測されました。「Encryptor RaaS」は複数のオペレーティングシステム(OS)に対応し価格設定が手頃であったため、新参のサイバー犯罪者が初めて利用するには好都合であったことなどから、影響範囲が拡大する恐れがありました。この RaaS は、購入者によるカスタマイズによって攻撃手法が多様に変化する、という特徴から、ユーザや企業にとって軽視できない脅威となりました。
続きを読むクラウド市場が急速に成長し、企業のサーバ環境が次々とクラウド環境へ移行してきています。企業がクラウド環境を利用する場合、クラウド事業者とユーザそれぞれの責任範囲を理解し、クラウド事業者がどういったセキュリティ機能を提供しているかを確認することが重要です。例えば、市場シェアを大きく占めている「アマゾン ウェブ サービス(AWS)」では、「責任共有モデル」によってユーザが対応すべき箇所を明確にしており、セキュリティ機能についても複数提供しています。ここでは、企業がこうした AWS環境を利用して公開サーバを構築する際に検討すべき対策について紹介します。
■ AWS が提供する責任共有モデルとは?
AWSの「責任共有モデル」を分かりやすく学ぶため、AWS環境に公開サーバを1台構築した場合を例に見ていきましょう。AWS の責任共有モデルでは、AWS から公開サーバを構築するために必要なインフラが提供されており、インフラのレイヤについては AWS の責任範囲です。
米国インターネット検索大手「Yahoo」は、2016年9月22日(米国時間)、不正アクセスにより約 5億件のユーザ情報が流出したことを発表しました。影響を受けるアカウントは、「Yahoo Mail」、「Yahoo Finance」、「Yahoo Fantasy Sports」、および写真共有サイト「Flicker」となります。テクノロジー関連大手の同社は、最高情報セキュリティ責任者 Bob Lord氏により、この事件の概要および対応計画を同社の「Tumblr」にて迅速に公開しました。そして、この事件については捜査中であること、今後の管理保護計画、そしてセキュリティ上必要な対応について説明しています。また、今回のアカウント情報の流出は2014年後半に発生していたことも認めており、ユーザの氏名、Eメールアドレス、生年月日、パスワード、セキュリティーの質問と答えなどのアカウント情報が窃取されたと報告しています。一方 Lord氏は、現時点において、ユーザの決済カード情報または銀行口座情報などが窃取された証拠は認められておらず、これら情報を保有しているシステムは今回の情報流出の影響を受けていないと言及しています。
続きを読む2016年9月12日、MySQL に存在する深刻な脆弱性が個人のリサーチャーにより公表されました。MySQL は、オープンソースで公開されているデータベース管理システム(Database Management System、DBMS)で、多くの企業や組織がバックエンドデータベースや Webサイトの管理に使用しています。公表の際、脆弱利用の概念実証(Proof of Concept、POC)コードも提供されました。
この脆弱性は、今回確認された2つの深刻な欠陥の内の1つで、「CVE-2016-6662」として識別されています。この脆弱性が悪用されると、攻撃者は、権限を取得せずに MySQLの環境設定ファイルを作成でき、効率的なサーバ乗っ取りが可能になります。もう1つの脆弱性「CVE-2016-6663」の詳細はまだ公表されていません。
続きを読むトレンドマイクロは、不正広告キャンペーン「AdGholas(アドゴラス)」について、ProofPoint の Kafeine氏と共に調査してきました。そして、ProofPoint は、2016年7月末、この調査結果を同社ブログ上にて報告しました。問題の不正広告キャンペーンは、2015年に開始され、最も活発な時には 1日当り百万人にものユーザに影響を及ぼし、その後 2016年に入り活動停止しました。この一連の不正広告活動において、エクスプロイトキット「Angler Exploit Kit(Angler EK)」と「Neutrino Exploit Kit(Neutrino EK)」が利用され、また、画像の中に不正コードを埋め込み隠ぺいする、「steganography(ステガノグラフィ)」の手法が利用されていました。
続きを読む本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。
サイバー犯罪者の視点で考えた場合、現在、金銭を狙う攻撃として最も成功している攻撃手法は「ランサムウェア」であることは間違いありません。2016年9月現在、PC におけるランサムウェアによる被害は増加の一途を辿っていますが、サイバー犯罪者にとって成果を上げやすい攻撃手法は、より対象を拡大させていく傾向にあります。既に3月18日のブログ記事で紹介しているように、ランサムウェアの攻撃は PC の利用者に加え、スマートフォンやタブレットといったモバイル端末利用者へも範囲を拡大させています。
続きを読む偽アプリで利益を上げるためには、まず、ユーザに偽アプリをインストールさせなければなりません。偽アプリの作成者は、人気のある正規アプリに、不必要なコンテンツや、あるいは不正なプログラムさえ埋め込み、正規のアプリを偽装します。そうしたリパックアプリは通常、サードパーティのアプリストアで、無防備なユーザに配布されています。
トレンドマイクロは、そのようなアプリストアを確認しました。中国を拠点とする、iOS向けサードパーティのアプリストア「Haima」は、YouTube、Facebook、Google+、Twitterなどのソーシャル・ネットワーキング・サイトで、リパックアプリを積極的に宣伝していました。彼らは Minecraft、Terraria、また Instagram のようなゲームやアプリの人気に便乗することによってユーザをおびき寄せ、リパックアプリをダウンロードさせます。
続きを読むコマンド&コントロール(C&C)のサーバに正規サービスを利用することは、検出を回避するためによく利用される手法です。ランサムウェアは、通常、収集した情報を自身のC&Cサーバへそのまま送信しますが、中にはそうでないファミリも存在します。例えば、暗号化型ランサムウェア「cuteRansomware(キュートランサムウェア)」は、ユーザの PC から収集した情報を送信するために、Google の文書・表計算・プレゼンテーション作成アプリケーション「Googleドキュメント」を利用します。
続きを読む