トレンドマイクロでは、2014年2月末から日本のインターネットサービスプロバイダ（ISP）が管理するサーバ上で、日本国内の特定の銀行を狙ったフィッシングサイトの作成を連続して確認しました。昨年来、ネットバンキングを狙う脅威としてはオンライン銀行詐欺ツールが猛威を振るっていますが、従来のフィッシング詐欺も継続して確認されておりますので、ご注意ください。 トレンドマイクロの脅威リサーチ機関である「Forward-looking Threat Research（FTR）」では継続した脅威の分析を行っています。そのリサーチの中で、2014年2月27日から 3月4日までの丸5日間に、 30以上の日本国内の特定の銀行を狙ったフィッシングサイトが、日本の大手 ISP 2社が管理するサーバ上で集中して作成されていることを確認しました。今回確認されたものと同様の手口によるフィッシングサイトの攻撃は、昨年 1

トレンドマイクロでは、本ブログを通じて、Forward-looking Threat Research チームの Nart Villenueveによるリサーチペーパー「Trends in Targeted Attacks（英語情報）」をもとに、持続的標的型攻撃の各攻撃ステージについて、これまで以下のように報告してきました。 持続的標的型攻撃の各攻撃ステージを６段階に分類 – 持続的標的型攻撃を知る ”狙った獲物” に精通する攻撃者 – 持続的標的型攻撃を知る 持続的標的型攻撃を仕掛ける攻撃者は、一旦標的とするネットワークに侵入すると、その機会を最大限に活用します。この標的型攻撃で利用される不正プログラムは、侵入したネットワーク内で攻撃者の目となり耳となる役割を果たすことになります。このため、攻撃者は、不正プログラムとの通信手段を確立し、その不正プログラムがネットワーク内の有益な情報を確実に

他人の ID やパスワードの使用などを規制する不正アクセス禁止法について、「なりすまし」等の不正な手段を用いて ID やパスワードなどの情報を取得する行為を罰する改正案が 2012年3月30日に可決、成立しました。 「phishing（フィッシング）」は実在する組織のメールや Webサイトなどに偽装してユーザをだまし、ID やパスワードなどのアカウント情報、暗証番号など個人を識別できる情報を盗みとる攻撃と定義されています。日本の法規制においてフィッシング行為を取り締まる「不正アクセス禁止法」では、不正に入手した ID やパスワードなどの情報を使用して本人になりすます行為を処罰対象としていたものの、情報の入手や、情報を第三者に提供する行為は規制の対象とされていませんでした。 2009年以降、日本国内においてフィッシングによる金銭詐取や情報流出の被害が顕在化しています。フィッシングを含むサイバ

米Google は、2012年3月7日より、Android向けアプリ配信ストア「Androidマーケット」を音楽・映画・電子書籍・モバイルアプリなどの配信Webサイト「Google Play」に統合したばかりですが、既にサイバー犯罪者はこの新しいサービスに目をつけたようです。「TrendLabs（トレンドラボ）」は、Google Play の URL を装う新たなドメインを確認。このドメインの Webサイトには不正なアプリが含まれています。 この不正な WebサイトのURL「http://＜省略＞ay-google.ru」は、偽のロシア版 Google Play の Webサイトを表示します。この Webサイトに記載されている文章を英語に翻訳してみると、次のようなもっともらしい文章が記載されていることが分かります。日本語訳は、以下のとおりとなります。 日本語訳： 「Google Play

トレンドマイクロは、中国のWebサイトでモバイル端末のスパイサービスが提供されていることを確認しました。標的のモバイル端末を不正プログラムに感染させることにより、端末でやりとりされているテキストメッセージや端末のGPS情報などを外部から不正に収集します。 トレンドマイクロは、Android OS を搭載したモバイル端末（以下、Android端末）を標的とした不正プログラムについて注意喚起を続けています。特に 2011年8月上旬からさまざまな活動を監視する機能を備えた「NICKISPY」に注目しています。この「NICKISPY」は、 ユーザの通話内容を記録 SMSのメッセージ（以下、テキストメッセージ）を収集 ユーザの位置情報（GPS情報）を監視 といった機能を備えていますが、サイバー犯罪者が収集したこれらの情報をどのように金銭的な利得につなげているかは明らかになっていませんでした。しかし、

2011年7月末、韓国「SK Communications」のユーザ約3500万人の個人情報が漏えいした事例について多数の報道がなされました。SK Communicationsは、ソーシャル・ネットワーキング・サービス（SNS）やモバイル通信サービス、インスタント・メッセージ・サービスなどを提供する韓国最大のオンライン・サービス・プロバイダです。今回の情報漏えいでは、同社が運営するポータルサイト「Nate」とSNS「CyWorld」のユーザが影響を受けているようです。 ■SK Communicationsからの情報漏えい 同社は、提供するサービスの幅広さから、ユーザを守るセキュリティ対策の実施が必要とされ、そのためには、他の多くのサービスプロバイダよりも機密性の高い個人情報を保護しユーザのアカウントを取りまとめることが求められてきました。しかし残念なことに、こうしたセキュリティ対策の最も重

2009年から猛威をふるった「ガンブラー」攻撃以降、正規Webサイトの改ざんを通じたサイバー攻撃が後を絶ちません。現時点では日本国内で大規模な被害を確認していませんが、新たな手法として電子商取引（eコマース）システムの脆弱性を悪用した正規サイト改ざん事例を、2011年7月の脅威傾向とともに紹介します。 2011年7月は日本において「ウイルス作成罪」が施行、さっそく「保管」の容疑で初の逮捕者が出るなどサイバー犯罪対策においては歴史的な月になりました。 「ウイルス作成罪」を初適用～ファイル共有ソフト利用の再検討を /archives/4397 日本国内の脅威傾向に大きな変動はありませんが、先月本ブログを通じて注意喚起したいわゆる「ワンクリック詐欺」に関連する不正プログラム「HTML_HTAPORN（エイチティーエーポルン）」の感染数がランキング入りするなど増加の傾向を見せています。 インターネ

「独立行政法人情報処理推進機構（IPA）」は、2011年8月3日、「国内のインターネットバンキングで不正アクセスが相次いでいる」として不正プログラムや迷惑メールに対する注意喚起を行いました。本記事では2000年代中盤から主にインターネットバンキングを標的とした攻撃を行い、海外で多くの被害を生み出している通称「Zeus」や「SpyEye」に関連するトピックを中心にインターネットバンキングを標的とした攻撃を解説します。 自宅や勤務先など、インターネットにつながっていれば容易に振込手続きや残高確認が行えるインターネットバンキング。多くの金融機関において、インターネット経由の取引に手数料を優遇していることもあり、多くのユーザが活用しています。 しかし反面、口座番号に該当するユーザIDと暗証番号に当たるパスワードが流出してしまうと自分の銀行口座の情報が漏れるどころか、知らないうちに第三者へ振り込まれ

2011年8月2日、本ブログ上で報告した7月末に確認された韓国「SK Communications」の大規模個人情報が漏えい事件。その後この事例について調査していく過程で、新たな情報が明らかになりました。8月4日に、セキュリティソフトや圧縮・解凍ソフトなどのソフトウェア開発を手がける韓国企業「ESTsoft」が、同社のアップデートサーバの 1つが改ざんされていたことを公表したのです。このことから、今回の大規模情報漏えいに関する攻撃で対象となった企業は、当初の報告よりも広範囲に及ぶのではないかと考えられます。 ■「ESTsoft」提供のアップデートサーバ改ざんが今回の大規模情報漏えい事件の発端か ESTsoft からの報告によると、DLL のアップデートモジュール内に脆弱性が存在しており、サイバー犯罪者はこの脆弱性を利用して、感染コンピュータに不正なファイル（「BKDR_SOGU.A」として

「TrendLabs（トレンドラボ）」は2011年8月3日、Android OS搭載のモバイル端末（以下、Android端末）でユーザの通話を記録する不正プログラムを確認し、「Malware Blog（英語情報）」上で報告しました。トレンドラボでは、この不正プログラムを「ANDROIDOS_NICKISPY.A」または「ANDROIDOS_NICKISPY.B」として検出し、中国に拠点を置くアプリケーション配布サイトで確認しました。 そしてトレンドラボは、その約1週間後の8月12日、「ANDROIDOS_NICKISPY.A」に関連する他のスパイツールを確認（「ANDROIDOS_NICKISPY.C」として検出）。このAndroid端末を狙う不正プログラムは、招待制にもかかわらずユーザ数の急増で話題を呼んでいるソーシャル・ネットワーキング・サービス（SNS）「Google+」を装うことが

トレンドマイクロは、2011年5月13日、「TrendLabs Malware Blog」上で「Hotamail」を介した攻撃を確認した、と第一報を報告。その後、5月23日、同ブログ上で続報を報告しています。この攻撃は、従業員に個人の Webメール閲覧を許可している企業に大きなリスクをもたらす可能性があります。 この攻撃は、台湾のリージョナルトレンドラボに所属するエンジニアが、自身の Webメールアカウントで特別に細工されたメールを受信したことから明らかになりました。今回用いられた手口は、メールを開いて本文に埋め込まれたリンクをクリックさせたり、添付ファイルを実行させるような典型的なものとは異なり、ユーザが受信したメールをプレビューで表示するだけで不正プログラムに感染してしまいます。 トレンドマイクロは、さらなる解析の結果、この攻撃では、Microsoft の無料Webメール「Hotmai

■第１位－産業システムを標的とする「STUXNET」 「STUXNET」は、複雑かつ巧妙に作られた不正プログラムであるということ、また、制御目的で利用されたという点で「異例の」不正プログラムであったと言えるでしょう。この「STUXNET」は、一部報道によると、イランの原子力施設を狙ったサイバー攻撃と言われています。しかし、産業用施設を標的にした攻撃や制御目的のサイバー攻撃は目新しいことでなく、もちろん、今後も、こういった用途の他の不正プログラムが登場してくる可能性はあります。それよりも、今回、Windows の複数の脆弱性を同時に悪用して攻撃をしかけたという点が重要視され、第1位にランクインしました。 関連記事： サイバー攻撃に利用！？　USB悪用の新たな脅威「スタクスネット」 /archives/3711 Threat Encyclopedia：STUXNET Malware Targe

トレンドマイクロでは、「PlayOnline（プレイオンライン）」の管理者（Game Master、ゲームマスター）を装い偽サイト（フィッシングサイト）へ誘導する攻撃を確認しました。ここにその詳細について紹介します。 PlayOnlineは、「スクウェア・エニックス（SQUARE ENIX CO., LTD.）」が提供するネットワークサービスです。今回確認された脅威は、同サービスにおいて提供されているゲーム「ファイナルファンタジーXI」のユーザを狙ったものでした。 「ファイナルファンタジーXI」では、ゲーム内でメッセージをやり取りできるチャット機能で、「Tell」と呼ばれるコマンドが提供されています。今回、悪意ある攻撃者はこのコマンドを悪用し、管理者（Game Master）になりすました上で、次のようなメッセージを送り、ユーザを偽サイトへと誘導する活動が確認されています。

今回発見された「TROJ_TARODROP.BA」は、電子メールや悪意のあるWebサイトを介して侵入したものと推測されます。攻撃ファイルの名前は「{日本語の文字列}.jtd」です。 回を増すごとに洗練している攻撃手法 一太郎の脆弱性を狙った攻撃が初観測されたのは2006年8月の「TROJ_MDROPPER.BL」でした。それ以後、新たな脆弱性が探し出される度に攻撃は仕掛けられ、その内容を洗練させてきています。 これまでの攻撃において攻撃者は実質的な不正活動を行うプログラムをドロップ/自動実行させるために文書アプリケーションの脆弱性を衝いてきています。「TROJ_TARODROP.BA」の攻撃シナリオも例外ではありません。攻撃シナリオを追ってみたいと思います。 影響下にある一太郎を使い、一太郎ウイルス（脆弱性を衝く攻撃ファイル、JTDファイル）を開くと、「＜ランダムな文字列＞.tmp」を生成