オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
![知らないとマズい - 最大約 26 億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間](https://cdn-ak-scissors.b.st-hatena.com/image/square/100412155b97519f7e7427dceeb0dfb28354d5aa/height=288;version=1;width=512/https%3A%2F%2Fwww.trendmicro.com%2Fcontent%2Fdam%2Ftrendmicro%2Fglobal%2Fja%2Fresearch%2Fblog-thumbnails-for-old-articles%2Fspring4shell-tb.jpg)
トレンドマイクロは、2018 年 3 月 31 日午後 1 時(UTC)から 4 月 3 日午前 0 時(UTC) 12:00 am にかけて、中国を発信源とする「Mirai」に似たネットワークスキャン活動を確認しました。弊社のネットワーク監視システムにより、3,423 個の IP アドレスからの大量のトラフィックが検出されています。ルータやネットワークカメラ(IP カメラ)のようなインターネットに接続された機器をスキャンするこの攻撃はブラジルを狙ったものと考えられています。 この攻撃は、「モノのインターネット(Internet of Things、IoT)」機器をボット化するマルウェア「Mirai」の挙動に似ています。Mirai は、脆弱な可能性のある機器をインターネット上で検索し、初期設定の認証情報を利用して機器を乗っ取ります。一方、今回の攻撃では、過去の Mirai による攻撃では確
2008年に初めて確認されたワーム「DOWNAD(ダウンアド)」(「DOWNAD」ファミリとして検出)は、当時最も破壊的なマルウェアの1つとされ、900万台に及ぶコンピュータを感染させて世界的に有名になりました。全盛期は過ぎ去ったとはいえ、DOWNAD(別名:CONFICKER)による被害はいまだに続いています。発見から 9年が経過した現在の DOWNAD の活動状況と、なぜ依然として世界で最もまん延しているマルウェアの 1つであるのかを解説します。 ■統計が示す DOWNAD の活動状況 全盛期に猛威を振るった DOWNAD の全世界における推定感染数は、9百万に達しました。その 4年後の 2012年、DOWNAD は依然として年間第1位のマルウェアで、検出数は世界中で 256万4,618 に上りました。2013年における検出数は、第1四半期の 74万1千から第4四半期の 22万9千へと
「Patchwork(別名:Dropping Elephant)」は、外交機関や政府機関、企業等を標的とするサイバー諜報活動集団です。Patchwork という名称は、自身の活動のために既製のツールやマルウェアを修正して利用することに由来しています。ゼロデイ脆弱性を利用し対象に合わせて戦術を調整するその他の集団とは異なり、利用する手法は目新しいものではないかもしれません。しかし、さまざまな感染経路やマルウェアを駆使する Patchwork の攻撃は確かな脅威となっています。 トレンドマイクロは、2017 年に確認された Patchwork の活動を追跡しました。彼らが利用するソーシャルエンジニアリングの手法、攻撃手順、バックドア型マルウェアはそれぞれ多岐にわたります。他にも、「Dynamic Data Exchange(動的データ交換、DDE)」と「Windows Script Compo
トレンドマイクロは、2017年9月の記事で、当初オンライン銀行詐欺ツール(バンキングトロジャン)であった「EMOTET(エモテット)」が、さまざまなマルウェアを拡散するマルウェアに進化して再活発化し、金融機関以外の業界や新しい地域へと攻撃を拡大した事例について報告しました。今回は、従来の挙動にさらに変更を加え、サンドボックス検出やマルウェア解析を回避するための新しいルーチンを取り入れた亜種(「TSPY_EMOTET.SMD10」として検出)について解説します。 EMOTET にはこれまで、解析回避のために RunPE技術が利用されていましたが、今回確認された亜種では「CreateTimerQueueTimer」関数の利用へ変更されています。CreateTimerQueueTimer は、タイマキュータイマを作成する Windows API です。タイマは、指定された時刻にコールバック関数を
トレンドマイクロは、2017 年 7 月、本ブログにて標的型サイバー攻撃キャンペーン「ChessMaster」の諜報活動について解説しました。ChessMaster は、「ChChes」、「RedLeaves」、「PlugX(※1)」のような「Remote AccessTool(RAT)」をはじめ、さまざまなツールやマルウェアを利用し、主に日本の法人を標的として攻撃します。2017 年 9 月下旬、トレンドマイクロはChessMasterによる新しい活動を確認しました。利用されたツールと手口は注目すべき変化を遂げており、以前の攻撃では確認されていないものでした。弊社の調査によると、ChessMasterはオープンソースのツールと自ら開発したツールを利用し、おそらく攻撃者の特定を逃れるために、その手法を変化させ続けています。ChessMasterによる攻撃キャンペーンのこれまでの経緯を踏まえ
北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでし
プロパガンダ(宣伝工作)は、一般大衆の意見を誘導し世論を操作するために、国家や組織によって古くから利用されてきた効果的な手法です。冷戦時代には、欧米の各ラジオ局が欧米支持のメッセージを東欧諸国に向けて放送し、プロパガンダのツールとして利用することに成功しました。また、東西ドイツを再統一に導いた決定的な要因は、欧米のテレビ放送であったと考えられていることは、視覚媒体が持つ影響力の証拠となっています。テレビは、東欧の生活とはかけ離れた欧米の理想的な生活を見せつけました。プロパガンダを成功させるための重要な要因は、概して2つあります。1つは、価値のある有意な情報を収集すること、そしてもう1つは、強力な伝達経路を利用することです。メッセージが一般大衆に届かなければ、プロパガンダは成功しません。 現代のプロパガンダは、新しい伝達経路をいち早く採用するとともに、その伝達経路が持つセキュリティの脆弱さを
トレンドマイクロは、2017年8月中旬、「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)を起点とする「ファイルレス活動」を利用した一連のマルウェア感染について報告し、この脅威について継続して監視してきました。そして今回、USB がこの一連のマルウェア感染の感染経路であることを確認しました。 この脅威は、さまざまな Windows の正規機能を悪用することで、物理的にファイルを利用せずに侵入した PC にバックドア型マルウェア「BKDR_ANDROM.ETIN」を最終的にインストールします。弊社は、前回の報告時点では、感染 PC 内において「JS_POWMET」をダウンロードするためにレジストリ値が既に変更されているところまで確認しており、感染経路の特定に至っていませんでした。そのため、継続して監視した結果、8 月下旬、USB に混入したマルウェア「TROJ_A
トレンドマイクロは、2017 年 7 月、ファイルを利用せずに感染する新しい仮想通貨発掘マルウェア(「TROJ64_COINMINER.QO(コインマイナー)」として検出)を確認しました。物理的なファイル感染しない手法は、今回確認されたコインマイナーのように、検出およびフォレンジック解析をより困難にするため、新しく確認されるマルウェアのますます多くがこの手法を利用しています。 問題の「TROJ64_COINMINER.QO」は、2017 年 7 月、アジア太平洋地域で初めて確認され、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の検出数から世界全体での検出数のおよそ 8 割が同地域で確認されていることが判明しています。同地域において、日本が 43 %となり、続いて、インドネシア、台湾となっています。世界
暗号化型ランサムウェア「CERBER」は、次々と新しい機能を追加しているランサムウェアファミリとして知られています。2017年5月24日の記事では、バージョン1から6へと新しい手法を取り入れながら更新を繰り返す CERBER の変遷を解説しました。それから数カ月後の現在、CERBER は再び更新されたようです。今度は仮想通貨の窃取機能が追加されています。これにより攻撃者は、身代金とは別にビットコインも窃取するという一石二鳥を狙えることになります。 感染経路は、従来の CERBER と同様に Eメールの添付ファイルです。「JS_NEMUCOD.SMGF2B」として検出される JavaScript の添付ファイルとして侵入し、次に「RANSOM_HPCERBER.SMALY5A」として検出される CERBER の亜種がダウンロードされます。この亜種の挙動は、2017年5月に確認されているバージ
2016年は「サイバー脅迫元年」の年となり、ランサムウェアが全世界中で猛威を振るいました。国内でも沢山の被害が発生しており、早急にランサムウェア対策を進めてきた企業も少なくないでしょう。しかし、そうした企業の努力とは裏腹に、2017年1月から3月にかけて国内の企業を襲った脅威は、ランサムウェアではなく、公開サーバの脆弱性を狙ったサイバー攻撃でした。 ■公開サーバの脆弱性が狙われたインシデントが続発 2017年1月1日から3月14日までの期間で、公開サーバが攻撃を受けたインシデント事例はすでに40件以上報道されており、そのうち脆弱性が原因と確認されている事例は20件ありました。 これは月約7件の被害が報道されていることになり、潜在的にはさらに多くの企業で同様のインシデントが発生している可能性があります。 ■2月、3月と深刻な脆弱性が立て続けに発覚 こうした脆弱性を狙ったサイバー攻撃の被害が拡
トレンドマイクロでは 2016年12月初旬から、「DreamBot(ドリームボット)」(「TSPY_URSNIF」などとして検出)による、国内ネットバンキングを狙った攻撃を確認しています。「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF(アースニフ)」(別名:Gozi)の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。しかし、匿名ネットワークである「Tor」の利用により C&C通信を隠ぺいする活動が追加されており、「DreamBot」の最大の特徴として挙げられます。警視庁や日本サイバー犯罪対策センター(JC3)からも注意喚起が出されており、今後の被害拡大に注意が必要です。 ■「DreamBot
2016年9月から10月にかけて、IoT機器にも感染可能なボット「Mirai」による大規模な 「分散型サービス拒否(DDoS)」攻撃が大きな被害を発生させました。それ以来、インターネット上に存在するスマートデバイスやルータを含めた IoT機器を乗っ取る手法について注目が集まっています。12月21日の記事でも取り上げているように、既にルータや IoT機器の「ゾンビ化」「ボット化」させることで攻撃に利用する事例も次々に確認されています。この 11月末にはソニー製の業務用ネットワークカメラ製品の脆弱性が公表され、大きく報道されました。 ■「Mirai」が示した管理用機能の悪用手法 これまで確認された事例から、「モノのインターネット(Internet of Things、IoT)」機器の乗っ取りを可能にする手法として、本来機器の管理やメンテナンスのために用意されていた管理用機能を悪用する手法がわか
現在の脅威状況で最も暗躍している脅威は、ランサムウェアです。最近のランサムウェア攻撃事例から、教育機関、政府関連組織、電力や水力会社、医療機関、金融機関などさまざまな業界のデータやシステムがランサムウェアによる暗号化の被害に遭っています。典型的なランサムウェアの拡散方法は2つあり、1つはスパムメールの添付ファイルによるもので、これが最も多く見られます。そして、もう1つ代表的なものがエクスプロイトキットです。 エクスプロイトキットは、ソフトウェアおよびオペレーションシステム(OS)が抱える脆弱性を確認するツールやその脆弱性を悪用するツールなどを1つにまとめ、サイバー犯罪用に作成されたツールキットです。ランサムウェアを利用する攻撃者は、サイバー犯罪初心者も含め、アンダーグラウンドのフォーラムやマーケットプレイスでこのようなエクスプロイトキットを購入またはレンタルし、自身でカスタマイズしたマルウ
Cryptoランサムウェア(暗号化型ランサムウェア)に狙われる医療機関の報道が最近、複数報告されています。トレンドマイクロでは、この脅威に関して多くの問い合わせを受けています。暗号化型ランサムウェアを含むランサムウェアは、特に新しい脅威でなく、かつての「偽セキュリティソフト(FAKEAV)」から進化したものです。サイバー犯罪者にとっては利用しやすい攻撃であるため、現在では広くまん延しています。加えて、ファイルの暗号化機能により 暗号化型ランサムウェアは特に厄介な脅威へと変貌することになりました。 弊社では暗号化型ランサムウェアの増加を確認しています。実際、この脅威が 2016年に急増することを弊社の最高技術責任者である Raimund Genes は予測しており、2016年に入り 2カ月目にしてその予測は実証されつつあるようです。この脅威の増大の原因は以下にあると考えられます。 サイバー犯
インターネットには「Tor」に代表される一般の方法ではアクセスできない匿名ネットワークが存在しています。これらのネットワークは「Dark Web」とも呼ばれ、本来の目的とは別にサイバー犯罪者たちが使用するインフラともなっています。トレンドマイクロではこのような「Dark Web」を中心とした日本に関連するサイバー犯罪アンダーグラウンドの実態を調査しました。 ダウンロードはこちら:リサーチペーパー:「日本のサイバー犯罪アンダーグラウンド」 今回の調査では、サイバー犯罪などにより日本国内のユーザから窃取/詐取された情報が、実際に世界のアンダーグラウンドマーケットで売買されている実態が確認できました。確認された日本のクレジットカード情報の平均売価60$ は、米国などの他国と比べても最高値となっていました。 しかし、日本国内のサイバー犯罪者はそれほど多くないのかもしれません。日本国内のアンダーグラ
ホーム » 不正プログラム » 「Hacking Team」、BIOSやUEFIに感染するルートキットを利用して自社製品のエージェントをPCに常駐 「Hacking Team」から漏えいした情報の調査が進められていますが、さらに重大な発見がありました。それは、Hacking Team が、自社製品「Remote Control System (RCS)」のエージェントを、対象とする PC にインストールさせるため、BIOS や UEFI に感染するルートキットを利用していたことです。つまり、ユーザがハードディスクの初期化や、OS の再インストール、新しいハードディスクの購入をしたとしても、Microsoft Windows が起動し実行されると、エージェントもインストールされることになります。 BIOS や UEFI は、PC がハードウェアを制御するためのプログラムです。
トレンドマイクロではこの 6月17日前後に、複合機からの通知を偽装したメールによる不正プログラム頒布の攻撃を、世界的に確認しました。これは複合機からのスキャンデータ送信を偽装したマクロ型不正プログラムを含む Word文書ファイルが添付された攻撃メールが広まっているものです。トレンドマイクロのクラウド型セキュリティ技術基盤である「Trend Micro Smart Protection Network(SPN)」の統計データによれば、6月17日に 2000件以上の攻撃メールを集中して確認しています。その攻撃対象は海外が中心ですが、日本でも法人利用者から数十件の問い合わせを受けています。今後も同様の手口の攻撃が発生する可能性がありますので、対策のためにも攻撃について情報共有いたします。 ネットワーク接続の複合機では、スキャナ機能を使用した場合にスキャン画像を送信するなど、メールで利用者に通知す
マクロを悪用した不正プログラムは、古くから利用されてきました。しかし、2014年後半以降、この不正プログラムを利用した攻撃が目立ってきています。図1は、Microsoft の Wordファイルに表示されるセキュリティの警告です。マクロは初期設定で無効になっています。今回は、この警告がなぜ重要なのかを考える良い機会になるでしょう。 私は何人かの同僚に質問しました。「影響力の大きい、マクロを悪用する不正プログラムと言えば、真っ先に何を思い浮かべる? できれば感染経路が Eメールのもので」。最初に返ってきた共通の回答は「メリッサ(「W97M_MELISSA.A」などとして検出)」でした。在職期間の長い同僚からは、「WM Concept」や「LAROUX」といった名前が挙がりました。さらに、2005年から 2008年頃に多く確認されたマクロを悪用する不正プログラムを別の同僚に挙げてもらったところ、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く