3)侵入したネットワークに潜伏し執拗に攻撃を仕掛ける – 持続的標的型攻撃を知る | トレンドマイクロ セキュリティブログ
トレンドマイクロでは、本ブログを通じて、Forward-looking Threat Research チームの Nart Villenueveによるリサーチペーパー「Trends in Targeted Attacks(英語情報)」をもとに、持続的標的型攻撃の各攻撃ステージについて、これまで以下のように報告してきました。 持続的標的型攻撃の各攻撃ステージを6段階に分類 – 持続的標的型攻撃を知る ”狙った獲物” に精通する攻撃者 – 持続的標的型攻撃を知る 持続的標的型攻撃を仕掛ける攻撃者は、一旦標的とするネットワークに侵入すると、その機会を最大限に活用します。この標的型攻撃で利用される不正プログラムは、侵入したネットワーク内で攻撃者の目となり耳となる役割を果たすことになります。このため、攻撃者は、不正プログラムとの通信手段を確立し、その不正プログラムがネットワーク内の有益な情報を確実に
「Gauss」攻撃、国家が関与か? 銀行関連の情報を狙う | トレンドマイクロ セキュリティブログ
トレンドマイクロでは、「Gauss」と呼ばれる攻撃についての問い合わせを受けました。Gauss は、かつて話題になった「Flame」とも比較され、メディアの注目を大きく集めています。この Gauss は、コンピュータに関連する情報から、オンライン銀行やソーシャル・ネットワーキング・サービス(SNS)、Eメール、インスタントメッセンジャ(IM)などの個人情報の収集に及びます。また「TrendLabs(トレンドラボ)」の解析者は、本攻撃が、2010年に確認された「STUXNET(スタクスネット)」をも彷彿させ、一連の国家レベルの攻撃では最新のものであると、推測しています。 ■「Flame」との共通点 「Flame」が「スパイ活動」を主な目的としたサイバー攻撃で利用される「スパイツール」であり、スクリーンショットの取得やマイクを利用した音声の記録などを含む複数の情報を収集することは、周知の事実で
2)”狙った獲物” に精通する攻撃者 – 持続的標的型攻撃を知る | トレンドマイクロ セキュリティブログ
トレンドマイクロでは、本ブログを通じて、持続的標的型攻撃の各攻撃ステージを以下の6段階に分類していることをお伝えしました。 事前調査 初期潜入 C&C通信 情報探索 情報集約 情報送出 今回は、第1段階の「事前調査」および第2段階の「初期潜入」を取り上げます。持続的標的型攻撃では、特定の組織に狙いを定めて用意周到な準備の上で攻撃を仕掛けるため、緻密な調査を事前に実施するのが特徴のひとつですが、攻撃者は、この調査にあたり、一般に公開されている情報を利用します。 ■事前調査:公開情報が狙われる。用意周到に予備調査する攻撃者 今日、どの業種の企業も、円滑な事業運営を維持しつつ同業他社に競い勝つためには、自社Webサイトでの広報活動やサービス・製品の紹介、ソーシャルメディアを活用したマーケティング活動など、いわゆるインターネットを活用した事業活動が不可欠となっています。こうした状況のなか、各企業は
乗り越えた「インターネット最後の日」 | トレンドマイクロ セキュリティブログ
2012年7月9日、約30万人ものユーザが、インターネットに接続できなくなりました。というのも、「DNS 設定の変更を行なうトロイの木馬型の不正プログラム(DNS チェンジャー)」を削除していなかったからです。2011年11月8日、エストニアを拠点とするサイバー犯罪組織「Rove Digital」によって運営されていたネットワークのインフラが閉鎖されました。その直後、米連邦捜査局(FBI)は、DNS チェンジャーによる感染被害者の救済のために安全な DNS サーバを設置しました。しかし、この代替サーバは、3カ月(その後6カ月に延長)の期間内に感染コンピュータから DNS チェンジャーを除去するための一時的な解決策でした。 実際、DNS チェンジャーに感染した何十万もの被害者が、インターネットへ接続できなくなるといった深刻な状況は、以前にも発生しており、2008年の秋、サンフランシスコに拠点
1)持続的標的型攻撃の各攻撃ステージを6段階に分類 – 持続的標的型攻撃を知る | トレンドマイクロ セキュリティブログ
トレンドマイクロは、「持続的標的型攻撃(APT)」について継続的に調査・監視しており、3月にインドや日本を狙うキャンペーン「Luckycat」、5月にキャンペーン「IXESHE」のリサーチペーパーを公開。また、本ブログにおいて、持続的標的型攻撃の可能性のある事例として、チベット関係者を狙う標的型攻撃(1・2・3)や無料 Webメールの脆弱性を利用した攻撃などを報告しています。 今回、攻撃者がどのような流れで持続的標的型攻撃を仕掛けるのか、6段階に分類した各攻撃ステージについて、4回にわたってお届けします。 弊社では、こうした持続的標的型攻撃を次のように説明しています。 標的型攻撃の中でも特に、時間・手法・手段を問わず、目的達成のために特定の組織に特化し、執拗に行われる攻撃です。特定の標的に対して執拗に攻撃、侵入を行い、標的のネットワーク内部に潜伏し続けるため、縦横無尽に動き、データを流出さ
スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も | トレンドマイクロ セキュリティブログ
成人向けコンテンツの閲覧を装い「利用料金」と称して金銭を要求する「ワンクリック詐欺」。2011年からスマートフォンに特化したワンクリック詐欺サイトの出現を確認していますが、新たに不正プログラムとして侵入し金銭を請求する手口が明らかになりました。 Webサイト訪問時の不用意なクリックなどにより誘導され、主に成人向けコンテンツの閲覧を装い、「入場します」や「登録する」といったボタンをクリックしてしまうと利用料金と称し金銭の振込を要求されてしまう「ワンクリック詐欺」。近年は PC向けに不正プログラムを用いてデスクトップに請求画面を貼り付ける手口が横行しています。 普及が進むスマートフォンもこの詐欺被害と無縁とは言えず、2011年にはスマートフォンに特化したワンクリック詐欺の Webサイトを複数確認しています。そして2012年1月、PC と同様に不正プログラムを用いたワンクリック詐欺が行われている
「mstmp」は「ガンブラー」? Adobe製品へのゼロデイ攻撃ふたたび!-2010年10月の脅威動向を振り返る |
「mstmp」は「ガンブラー」? Adobe製品へのゼロデイ攻撃ふたたび!-2010年10月の脅威動向を振り返る 先月より開始した「インターネット脅威レポート」の解説。10月のトピックからいくつかご紹介するとともに、10月下旬より確認されている新たな Adobe の脆弱性に関しても注意喚起致します。 2010年10月は正規サイトの改ざんがきっかけと見られる通称「mstmp」が猛威をふるった1ヶ月だったといえるでしょう。すでに本ブログでも解析者から注意喚起と解析結果を紹介していますので、今回は少し別の視点で見てみましょう。 インターネット脅威レポート 2010年10月 トレンドマイクロ・セキュリティブログ「国内100社以上で感染被害を確認。”mstmp””lib.dll”のファイル名で拡散する不正プログラム」 トレンドマイクロ・セキュリティブログ「アフィリエイトによる金銭取得が目的か!? -
マルウェア解析の現場から-04 スクリプトボット | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
前回のブログを書いてから随分と間隔が空いてしまいましたが、マルウェア解析の現場は止まっているわけではありません。むしろ進化し続けるマルウェアを利用した攻撃の実体を明らかにするためのマルウェア解析の需要は増す一方であり、「虫の目」による解析力と「鳥の目」による分析力を兼ね備えた解析エンジニアの育成は喫緊の課題です。そんな状況の中、解析結果としてのマルウェアの動作だけでなく、解析の雰囲気を知っていただくことで一人でも多くの方がマルウェア解析に興味を持つことを目的の一つとして、このブログをお送りします。さて、今回のマルウェアは・・・。 ■スクリプト 「このマルウェアは『bootstrap』というJScriptで書かれたファイルをダウンロードしているようだが、JScriptを利用して何をしているのか調べて欲しい。」 そんなお客様からの依頼を受け、このマルウェア「BKDR_GOOTKIT.A」の解析
国内のWebサイトの改ざんが拡大中 |
現在、国内の正規 Webサイトが不正プログラムによって改ざんされる事象が相次いでいます。 改ざんされた Webサイトを閲覧すると、FTPアカウント情報(サーバアドレス、アカウント、パスワードなど)を盗む不正プログラムに感染します。さらに攻撃者は感染PC から盗んだ FTPアカウント情報を使用して、別の Webサイトを改ざんするなど、複数の Webサイトが連鎖的に被害にあう可能性があります。 トレンドラボでは、これらの一連の改ざんの流れにおいて、アプリケーションの脆弱性を利用して感染する不正プログラムなど、複数の不正プログラムがインストールされることを確認しています。これらは通称「ガンブラー」と呼ばれている脅威です。 ■「ガンブラー」によるWebサイト改ざんから感染までの流れ Webサイトが改ざんされてから、閲覧ユーザが感染に至るまでは、以下のような流れであると考えられます。 改ざんされたW
HTAを利用したワンクリックウエアの新たな手口 |
この事例に関するサポートページが公開されました。インストールした覚えのないアプリケーションのポップアップウィンドウが繰り返し表示される問題に遭遇されているユーザは、以下のサポートページをご参照ください。 「不正なポップアップウィンドウが表示される問題の解決方法」 Windows XP の場合 http://esupport.trendmicro.co.jp/pages/JP-2079453.aspx Windows Vista/Windows 7 の場合 http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx 「作業を専門家に依頼する場合」 おまかせ!不正請求クリーンナップサービス http://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/ s
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を |
USBメモリなどを媒体として感染を拡げるウイルス報告(いわゆるUSBワーム)が後を絶ちません。 トレンドマイクロに寄せられたMAL_OTORUN1(* 注釈1)報告件数は7月141件、8月143件、9月347件、10月471件、11月611件と右肩上がりとなっており、被害報告件数は2008年2月から4ヶ月連続、8月から4ヶ月連続一位となっています。 * 注釈1. Mal_Otorun1は不正な「Autorun.inf」に対する検出名です。文中ではMal_Otorun1を利用するウイルスをUSBワームと総称・記載します。 トレンドマイクロでは昨年度よりその脅威について言及してきましたが、AP通信社発、テクノバーン株式会社 11月21日付け報道(「米国防省、USBドライブの使用を突然禁止 中国からのサイバー攻撃?」)によれば、アメリカ国防総省(DoD:Department of Defense
Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威 | トレンドマイクロ セキュリティブログ
※この記事にはその後判明した事実に基づく統括情報を公開しております。こちら からご参照ください。 リージョナルトレンドラボは10月24日、マイクロソフト株式会社のServerサービスに存在する脆弱性(MS08-067:CVE-2008-4250)を悪用し、Webサイトから不正プログラムをダウンロードする「WORM_GIMMIV.A(ギミブイ)」と、「WORM_GIMMIV.A」によりダウンロードされ、実被害を及ぼすトロイの木馬型スパイウェア「TSPY_GIMMIV.A」の被害報告を受信いたしました。 ※当初本記事中において、「TSPY_GIMMIV.A」自体に脆弱性(MS08-067:CVE-2008-4250)を悪用するかのような表現がありましたが、リージョナルトレンドラボのその後の調査により、「TSPY_GIMMIV.A」自体に脆弱性を悪用するコードが含まれていないことを確認いたしまし
ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威 | トレンドマイクロ セキュリティブログ
ホームページに脆弱性を突いた不正なスクリプトが埋め込まれる事例が相次いでいます。 TrendLabs Malware Blog:「Total Recall: The Month of Mass Compromises」(2008年5月30日付け) その埋め込み手法は様々です。これまで、バックエンドにデータベースサーバを抱えた環境が標的となり、SQLインジェクションにより埋め込まれた事例に関心が高まっていました。しかしながら、バックエンドにデータベースサーバを抱えていない環境においても、不正なスクリプトの埋め込み脅威にさらされています。 今回は日本国内にて確認されたホスティング業者のネットワーク機器:ルータがハイジャックされ、ホームページ改ざんを幇助した事例について紹介いたします。 ■相互通信と機器の役割 今回の攻撃を理解するには、ネットワークにおけるデータ取り扱いの背景を知る必要があります
インターネット検索エンジンから流出する機密情報 | トレンドマイクロ セキュリティブログ
2月25日、「中国雅虎(Yahoo!)」が提供するメールサービスにおいて、個人情報の一部が不特定多数の人によりアクセスが可能な状態であったことが報じられています(参考情報1)。 今回の被害にて注目すべき点は、被害発覚に至った経緯です。 被害はインターネットのサービスとしてもはや欠かせないものと進化した「検索エンジン」により、発覚しています。 図1 中国市場の検索エンジン「搜狗(Sogou)」により 「中国雅虎(Yahoo!)」メールサービスの個人情報漏洩発覚(出典:TechWeb) ロボット型検索エンジンはロボットまたは、クローラーやスパイダーと呼ばれるプログラムがインターネット上のWEBページを巡回、データを収集し、データベースに蓄積していきます。 プログラムが人の手を介すことなく収集される情報には、ノイズとも言える雑多な情報が数多く含まれています。この雑多な情報の中には時にセンシティブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
