トレンドマイクロは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性が、Miraiの新しい亜種「Yowai」および「Gafgyt」の亜種「Hakai」によって利用されていることを確認しました。これらのマルウェアは初期設定の認証情報を利用した辞書攻撃や脆弱性攻撃によって侵入し、感染したデバイスをボット化して「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用します。YowaiおよびHakaiによる攻撃の急増が2019年1月11日から17日にかけて確認されています。
続きを読むトレンドマイクロは、2018 年 9 月 18 日、本ブログで 8 月 29 日に解説したメモリ解放後使用(Use After Free、UAF)の脆弱性「CVE-2018-8373」を利用する別の攻撃を確認しました。CVE-2018-8373 は、比較的新しいバージョンの Windows に搭載された Internet Explorer(IE)の VBScript エンジンに影響を与えます。Microsoft はすでに、2018 年 8 月の月例セキュリティ更新プログラムにおいて、CVE-2018-8373 を修正しているため、この脆弱性攻撃は、更新済みの IE に対して無効です。影響を受けるバージョンの詳細はこちらを参照してください。
続きを読むトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、2018 年 7 月 11 日、Internet Explorer(IE)の危険度の高い脆弱性が実際の攻撃で利用されていることを確認しました。これは、Microsoft の 7 月の月例セキュリティ更新プログラム公開のちょうど翌日のことでした。ZDI は、脆弱性の修正を支援するためにすぐに詳細情報を Microsoft に通知しました。問題の脆弱性には「CVE-2018-8373」という識別番号が割り当てられ、8 月の月例セキュリティ更新プログラムにて修正されています。CVE-2018-8373 は、IE でメモリ内のオブジェクトを処理する VBScript エンジンにおける脆弱性です。影響を受ける IE のバージョンは、IE9、IE10、および IE11 です。ただし、Windows 10 Redstone 3(RS3) の IE11 は、初期設定で VBScript が無効化されているため影響を受けません。影響を受けるバージョンの詳細はこちらを参照してください。
ZDI は、CVE-2018-8373 を利用した不正な Web トラフィックを確認しました。図 1 は問題の URL です。
図 1:CVE-2018-8373 を利用する不正な Web サイトの URL
仮想通貨発掘量の決め手となる計算能力が比較的低い「モノのインターネット(Internet of Things、IoT)デバイス」上での発掘は実用的ではありません。にもかかわらず、IoT デバイスを狙って仮想通貨を発掘する攻撃や、IoT デバイスを対象とする仮想通貨発掘マルウェアがアンダーグラウンド市場で販売されていることが確認されています。
トレンドマイクロは、「Secure Shell(SSH)」、「Telnet」、および「File Transfer Protocol(FTP)」サービスをエミュレートするように設計したハニーポットを通して、IP アドレス「192[.]158[.]228[.]46」から送信されたボットによる攻撃を確認しました。この攻撃は、22 番、2222 番、そして 502 番を含め、SSH や IoT デバイスに関連したポートを検索していました。特に今回の攻撃では、SSH サービスが使用する 22 番ポートが利用されました。SSH サービスを実行しているすべてのサーバおよび IoT デバイスが今回の攻撃の対象になり得ます。
続きを読む2017 年にも頻繁に確認された情報漏えい事例は、2018 年 5 月 25 日施行予定のヨーロッパ連合(EU)による「一般データ保護規則(General Data Protection Regulation、GDPR)」と合わせて、企業がユーザ情報の取り扱い規定を厳格化する契機となっています。その結果、多くの企業がユーザに対して、登録情報の更新やセキュリティの強化を呼びかけるメールを送信しています。
通常、企業からのこのようなメールは、標準的な挨拶やポリシー更新事由の説明、視認性の良いボタン等が含まれる似通った構成になっており、企業間でそれほど大きな差異は見られません。サイバー犯罪者はこのような性質を利用し、主要な企業によるポリシー更新メールになりすましたフィッシングメールを送信します。メールによるフィッシングは依然として効果的な手口であり、個人情報、銀行口座情報、企業の機密情報、あるいは単に対象企業のネットワークに侵入するための情報等の窃取に利用されています。
トレンドマイクロは、2018 年 4 月 30 日、Apple ID の詐取を狙う新しいフィッシング詐欺を確認しました。このフィッシング詐欺では、何らかの操作を行わなければサービスを停止すると言ってユーザの不安をあおる典型的なソーシャルエンジニアリングの手法が利用されていました。さまざまなサービスに連携した Apple ID の利用価値は高く、サイバー犯罪者の格好の標的になっています。今回確認されたフィッシングサイトは 2018 年 5 月 10 日時点でアクセス不可となっています。
続きを読む2018年4月16日(米国時間)、米国の国土安全保障省(Department of Homeland Security 、DHS)および「連邦捜査局(FBI)」、英国の「国家サイバーセキュリティセンター(National Cyber Security Centre、NCSC)」は、ルータや侵入検知システムなどネットワークインフラ機器を狙う攻撃について共同で警告を発表しました。これ以外にも Mirai や Hajime など「モノのインターネット(Internet of Things、IoT)」のデバイスを狙う攻撃の報道は跡を絶ちません。
現在、PC と周辺機器の接続、サーバ間あるいはサーバとクライアント間通信、ネットワークへの接続など、ますます接続しやすくなっている「コネクティビティ」な環境が定着しています。こうした環境を考慮すると、インターネットへの接続を念頭に設計された IoTデバイスが狙われるのも理解できるでしょう。そして、インターネットと企業ネットワークあるいはホームネットワークへの出入り口となるのが「ルータ」です。サイバー犯罪者は、企業や家庭のネットワークへの突破口として「ルータ」をまず狙ってきます。
続きを読むインターネットに接続されたデバイスで確認されてきた大規模な攻撃から得られる知見は、「モノのインターネット(Internet of Things、IoT)デバイス」にも多くの脆弱性が存在するということです。今回トレンドマイクロが実施した調査でも、デバイスまたはサービスへの攻撃やボットネットの構築に利用可能な脆弱性が確認されました。
弊社は 、2017 年、世界中で利用されている IoT デバイスのセキュリティについて詳細な調査を実施しました。さまざまな地域の Amazon で販売され、日本市場でも広く利用されている製品を含む複数のデバイスを選択し、「遠隔でのコード実行(Remote Code Execution、RCE)」の可否を確認しました。その結果、予想以上のことが明らかになりました。
続きを読むトレンドマイクロは、感染端末の計算能力を盗用して仮想通貨「Monero(XMR)」を発掘する Android 端末向け不正アプリ「HIDDENMINER(ヒドゥンマイナー)」(「ANDROIDOS_HIDDENMINER」として検出)を確認しました。この不正アプリは、ユーザが感染に気付かないように自身を隠ぺいし、管理者権限を悪用することによって活動を継続する機能を備えています。管理者権限の悪用は、「SLocker」のような Android 端末向けランサムウェアでよく確認されていた手法です。
HIDDENMINER をさらに詳しく解析したところ、この不正アプリに関連する発掘プールとウォレットアドレスを確認することができました。あるウォレットアドレスからは 26 XMR(2018 年 4 月 2 日時点で約 495,000 円)の Monero が引き出されていたことも判明しています。ウォレットアドレスの利用状況から、感染端末を利用した非常に活発な仮想通貨発掘活動が行われていることが分かりました。
HIDDENMINER は端末の CPU の計算能力を利用して Moneroを発掘しますが、発掘活動を停止する機能は無く、制御や最適化も行いません。そのため、端末のリソースを消費し尽くすまで発掘を続けます。これによって端末が過熱し、場合によっては物理的な損傷が発生する可能性もあります。
続きを読む仮想通貨人気の高まりに伴い仮想通貨発掘ツールを悪用した攻撃も増加しています。トレンドマイクロは、比較的一般的なデータベース管理システム「Apache CouchDB」の 2 つの脆弱性を突き、仮想通貨「Monero」を発掘するマルウェア(「HKTL_COINMINE.GE」、「HKTL_COINMINE.GP」、「HKTL_COINMINE.GQ」として検出)を拡散する新しい攻撃を確認しました。Apache CouchDB は、拡張可能なアーキテクチャと利便性の高いインターフェイスを組み合わせたオープンソースのデータベース管理システムです。
今回攻撃に利用された脆弱性は以下の 2 つです。
- Apache CouchDB の JSON 形式データの取り扱いにおける遠隔からの権限昇格脆弱性「CVE-2017-12635」
- Apache CouchDBの設定変更機能における「遠隔でのコード実行(Remote Code Execution、RCE)」脆弱性「CVE-2017-12636」
トレンドマイクロは、2017 年末から、Android 端末ユーザを標的とする諜報活動を確認してきました。今回報告する攻撃では、インドのユーザを狙った Android 端末向け不正アプリが利用されており、その背後には、以前政府職員を標的とした攻撃で確認されたハッカー集団がいると考えられます。弊社は当該アプリを「PORIEWSPY(ポリュースパイ)」と名付け、「ANDROIDOS_PORIEWSPY.HRX」として検出対応しています。共通のコマンド&コントロール(C&C)サーバを利用していることから、同集団は、「DroidJack/SandroRAT」(「ANDROIDOS_SANRAT.A」として検出)を元に作成された不正アプリも利用してると考えられます。DroidJackは感染した Android 端末を完全に操作することのできる「Remote Access Tool(RAT)」です。
これらの不正アプリの背後にいる攻撃者は、2016 年に報告されたサイバー諜報活動集団と関連しているかもしれませんが、この集団が以前の活動とは関係の無い別の攻撃を開始している可能性もあります。
続きを読む