Linuxの構成管理ツールを用いて感染拡大するコインマイナーを確認 | トレンドマイクロ セキュリティブログ
トレンドマイクロは、2020年5月、Linuxの構成管理ツールを用いて感染拡大するコインマイナー(「Coinminer.Linux.SYSTEMDMINER.C 」として検出)を確認しました。今回確認されたコインマイナーは、Ansible, Chef, SaltStack, pssh といったインフラストラクチャの構成管理ツールを用いて、多数のホストに感染させるためのスクリプトを一斉に実行させます。このため、1台が感染すると、瞬時に内部ネットワークにある他のLinuxホストに感染を広げる可能性があります。 このマルウェアは大きく感染スクリプト、ワーム実行ファイル、マイニング実行ファイルの3つで構成されています。このマルウェアがどのように被害ホストに侵入するかは不明ですが、他のLinuxマルウェアと同じように、ホスト上で動作しているサーバアプリケーションの脆弱性を利用した攻撃や、パスワードブ
標的型攻撃手法解説:Waterbearキャンペーンでの「APIフック」による活動隠蔽 |
「Waterbear(ウォーターベア)」は、2010 年 10 月から活動が確認されているサイバー攻撃キャンペーン、およびキャンペーンで使用されたマルウェアの呼称です。Waterbearの背後にいるとされる攻撃集団「BlackTech(ブラックテック)」は、台湾をはじめとして日本や香港を含む東アジアのテクノロジー企業と政府機関を対象としたサイバー諜報活動を行い、「PLEAD」や「Shrouded Crossbow」などの悪名高い攻撃キャンペーンにも関与しています。以前に確認されたWaterbearは、「ローダ」コンポーネントを用いることによって、最終的な攻撃を実行する「ペイロード」を読み込み実行するものでした。ペイロードは大抵、遠隔から追加のモジュールを受け取り読み込むことのできるバックドア型マルウェア(以下バックドア)でした。しかし、今回確認されたWaterbearでは、APIフックの手
「2018 FIFAワールドカップ」から学ぶ スポーツイベントに便乗する脅威 | トレンドマイクロ セキュリティブログ
ワールドカップのようなイベントではセキュリティ上の問題が発生します。会場から観客、選手やチーム関係者まですべてを物理的に警備するだけでなく、サイバーセキュリティ対策も同様に重要です。 2018年6月14日から7月15日までロシアで開催された第21回目のFIFAワールドカップは、世界人口のほぼ半数が観戦するという、史上最も注目されたスポーツイベントの1つとなりました。数字だけを見てもその注目度がうかがえます。視聴率も驚異的でしたが、このイベントを主催したロシアは推定約120億米ドル(2018年11月20日時点で約1兆3,546億円)を費やし、FIFAや他の関係組織へは数十億米ドル(約数千億円)の収益をもたらしました。規模に関して言えば、この2018 FIFAワールドカップは他のイベントの中でも比類ないスポーツイベントとなりました。 もちろん、これだけ大規模なイベントとなるとセキュリティの問題
検出が困難になる標的型サイバー攻撃に必要な防御アプローチとは? - トレンドマイクロセキュリティブログ
昨今の法人組織を取り巻くサイバー攻撃の脅威は深刻な状況となっており、情報漏えいなどの重大な被害につながる恐れがある標的型サイバー攻撃の手口は巧妙化を続けています。トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018 年版」では、2017 年にトレンドマイクロがネットワーク監視を行った法人組織のうち、「4 組織に 1 組織」で端末を遠隔操作するためのツールである Remote Access Tool(RAT)の活動が確認され、すでに標的型サイバー攻撃に侵入されてしまっていたことが分かっています。この傾向は標的型サイバー攻撃の事例が顕著だった2015年から変動することなく継続しており、表面化していないものの標的型サイバー攻撃は国内の法人組織にとって依然深刻な脅威となっています。 ■検出困難化するRATの侵入活動 「4 組織に 1 組織」が標的型サイバー攻撃に侵入されてしまっ
「正規」を隠れ蓑にする攻撃者-2017年一年間の国内での標的型サイバー攻撃を分析 | トレンドマイクロ セキュリティブログ
トレンドマイクロでは、2017 年の 1 年間に確認した、日本国内における「標的型サイバー攻撃」に関しての分析を行いました。2017 年を振り返ると、標的型サイバー攻撃の重大な被害に関する公表や報道はほとんどありませんでした。この事実だけを見ると、国内での標的型サイバー攻撃の脅威は完全に沈静化しているように思えます。しかし、トレンドマイクロが 2017 年に行ったネットワーク監視の中では、全体の 71%で 標的型サイバー攻撃の疑いが警告されており、攻撃自体は水面下で継続している状況と言えます。 トレンドマイクロが 2017 年に行ったネットワーク監視対応の中では、監視対象組織の 71%で 標的型サイバー攻撃による侵入の疑いが警告されています。また、全体の 26% では、特に標的型サイバー攻撃の遠隔操作を行うための遠隔操作ツール(RAT)が行う C&C 通信や RAT 本体の検出などが検出さ
ルータを狙う攻撃、ブラジルで発生 | トレンドマイクロ セキュリティブログ
2018年4月16日(米国時間)、米国の国土安全保障省(Department of Homeland Security 、DHS)および「連邦捜査局(FBI)」、英国の「国家サイバーセキュリティセンター(National Cyber Security Centre、NCSC)」は、ルータや侵入検知システムなどネットワークインフラ機器を狙う攻撃について共同で警告を発表しました。これ以外にも Mirai や Hajime など「モノのインターネット(Internet of Things、IoT)」のデバイスを狙う攻撃の報道は跡を絶ちません。 現在、PC と周辺機器の接続、サーバ間あるいはサーバとクライアント間通信、ネットワークへの接続など、ますます接続しやすくなっている「コネクティビティ」な環境が定着しています。こうした環境を考慮すると、インターネットへの接続を念頭に設計された IoTデバイス
GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 | トレンドマイクロ セキュリティブログ
GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 2018 年 2 月末に報告された増幅型の「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System(DNS)」、「Universal Plug and Play(UPnP)」、「Session Description Protocol(SDP)」、「Network Time Protocol(NTP)」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータ
ロンドンオリンピックに関連するさらなる脅威 |
2012年7月28日(日本時間)、待ちに待った「第30回夏季オリンピック(ロンドンオリンピック)」が正式に開幕しました。「TrendLabs(トレンドラボ)」では、今回のスポーツイベントを悪用し、チケットを販売すると装う詐欺サイトや、日本のユーザに違法品である改造 B-CASカードを販売する違法品販売サイトだけでなく、動画を生放送で視聴できると装う複数の偽ライブストリーミングサイトを確認しています。 問題のサイトは、以下のとおりです。 http://olympicsopeningceremony2012live.<省略>d.com http://olympicgames2012live.<省略>d.com http://olympics-2012-live-stream.tumblr.com http://olypiccoverage2012.<省略>d.com http://<省略>12
2017 年は「セキュリティの常識を覆すサイバー犯罪の転換期」、2017 年の脅威動向を分析 |
トレンドマイクロでは 2017 年 1 年間における国内外の脅威動向について分析を行いました。結果、2017 年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられる年であったと言えます。 2016 年に過去最大規模の被害を発生させた「ランサムウェア」の攻撃総数は、2016 年のおよそ 10 億件から 2017 年はおよそ6億件へと減少しました。しかし、ランサムウェア自体はサイバー犯罪者にとっての「ビジネス」として完全に定着すると共に、より効果的な攻撃を実現させるための攻撃手法の多様化が見られました。2017 年新たに登場した「WannaCry」は 5 月に脆弱性を利用したネットワークワーム活動を取りいれ、6 月以降も継続して拡散を拡大しています。また、既存の「LOCKY」や「CERBER」のような既存のランサムウェアは度重なる改変による多機能化などから、より攻撃し
コンテキスト情報とレピュテーション技術を利用した新しい脅威の検出 |
サイバー犯罪者は、セキュリティ対策ソフトに対抗して攻撃を成功させるために常に新しい戦略を探求しています。ハッシュ値を変化させるポリモーフィズムやパッキング等の技術を採用するマルウェアの増加によって、従来のようなクライアント側(エンドポイント)におけるシグネチャベースの検出では対処しきれなくなってきています。また、強力な難読化やアンチサンドボックス技術によって動的および静的な解析は制限を受けています。新しく確認される脅威は増加の一途を辿っており、世界中のユーザを守るためにより高速な検出システムが必要とされています。 トレンドマイクロはこのような要望に応えるために、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加え、次世代の AI 技術のひとつである高度な機械学習型検索を活用するソリューションを提供しています。今回はこのトレンドマイクロ
2018年セキュリティ脅威予測-企業を取り巻く脅威に起こる「パラダイムシフト」 |
ランサムウェアの脅威は 2016年の過去最大規模の「急拡大」を過ぎ、2017年には「多様化」の段階を迎えました。5月に発生した「WannaCry」による世界規模の被害は、ランサムウェアの多様化傾向の1つのピークと言えます。トレンドマイクロでは、こうした最新の脅威動向や IT技術を取り巻く市場動向を基に、2018年のセキュリティ脅威予測を行いました。 ■2018年のセキュリティ脅威予測 2017年までの脅威動向や市場動向、2018年に施行される「一般データ保護規則(General Data Protection Regulation、GDPR)」(EU諸国民の個人情報を取り扱う日本企業にも影響します。)を踏まえ、セキュリティの脅威がどのように進展していくのか。トレンドマイクロでは以下のような予測をしています: 1.衰えない「ランサムウェアビジネス」と「ネット恐喝」のさらなる台頭 「ランサムウ
「ATMマルウェア」の実態とその攻撃手口に迫る |
誰もが利用している銀行の現金自動預け払い機(ATM)。その ATM がある日突然スロットマシンのように現金を吐き出す、そんなサイバー犯罪が現実に起こっています。トレンドマイクロでは欧州刑事警察機構(EUROPOL)と協力し、「ATMマルウェア」に代表される ATM を狙った攻撃の実態を調査しました。 ATMマルウェア自体は以前から確認されており、2009年に初めてその存在が報告されています。ATMマルウェアの目的は、 ATM内の金銭を窃取する ATM上で利用されるカード情報や個人情報を窃取する の 2つがありますが、最も狙われているのは「ジャックポット」攻撃とも呼ばれる、不正操作により ATM内の現金を自由に引き出せるようにする攻撃です。 ATMマルウェアの登場から現在に至るまで、ATMマルウェアを ATMに感染させる方法としては、USBデバイスや CD-ROM を ATMに接続するなどの
サイバープロパガンダの基礎知識 |
プロパガンダ(宣伝工作)は、一般大衆の意見を誘導し世論を操作するために、国家や組織によって古くから利用されてきた効果的な手法です。冷戦時代には、欧米の各ラジオ局が欧米支持のメッセージを東欧諸国に向けて放送し、プロパガンダのツールとして利用することに成功しました。また、東西ドイツを再統一に導いた決定的な要因は、欧米のテレビ放送であったと考えられていることは、視覚媒体が持つ影響力の証拠となっています。テレビは、東欧の生活とはかけ離れた欧米の理想的な生活を見せつけました。プロパガンダを成功させるための重要な要因は、概して2つあります。1つは、価値のある有意な情報を収集すること、そしてもう1つは、強力な伝達経路を利用することです。メッセージが一般大衆に届かなければ、プロパガンダは成功しません。 現代のプロパガンダは、新しい伝達経路をいち早く採用するとともに、その伝達経路が持つセキュリティの脆弱さを
脆弱性「BlueBorne」、Bluetooth機器の乗っ取りを可能に |
Bluetooth対応機器を使用しているなら、Bluetooth接続を有効にしておくべきか検討してください。ノートパソコン、スマートフォン、あるいは「モノのインターネット(Internet of Things、IoT)」など機器端末の種類に関わらず、マルウェアによる遠隔操作で乗っ取られる恐れがあります。そして、この攻撃にはユーザ自身の操作を必要としません。 ■「BlueBorne」とは何か IoT のセキュリティ企業「Armis」は、2017年9月12日(米国時間)、Bluetooth の実装に関する複数の脆弱性をまとめて「BlueBorne」と名づけ、詳細を報告しました。この脆弱性は、Android、Linux、iOS、Windows などさまざまなオペレーティングシステム(OS)上の Bluetooth に影響を及ぼします。脆弱性が利用されると、攻撃者は遠隔操作で機器を乗っ取ることが可
すぐ役立つ!フィッシング詐欺を見抜くためのポイントとは?
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
Webサイトを狙ったサイバー攻撃、2016年の公表事例から見る傾向とは? | トレンドマイクロ セキュリティブログ
2017 年 2 月、3 月と Web サイト関連の深刻な脆弱性が立て続けに発覚し、国内外の複数の Web サイトがこれらの脆弱性を狙ったサイバー攻撃の被害に遭いました。国内では複数の Web サイトで大規模な情報漏えいが発生し、トレンドマイクロでも Web サイトのセキュリティ対策強化セミナー(セミナーの内容はこちらを参照してください)を緊急開催するなど、企業に向けて早急な対応を呼びかけていました。 このインシデントの被害事例をきっかけに、自社の Web サイトのセキュリティ対策を見直し始めた企業も少なからずいるかと思います。セキュリティ対策を検討していく上では、過去のインシデント事例を振り返り、サイバー攻撃の傾向を掴むことは非常に重要です。今回、こうした Web サイト等で外部に公開しているサーバ(以下、公開サーバ)を狙ったサイバー攻撃に関し、2016 年の事例を独自に整理し、そこから
国内標的型サイバー攻撃の分析:巧妙化と高度化を続ける「気づけない攻撃」 |
トレンドマイクロでは、2016年に確認した日本国内における「標的型サイバー攻撃」に関しての分析を行いました。この分析では標的型サイバー攻撃を「初期潜入」、「端末制御」までの「侵入時活動」と、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階にわけて分析を行っていますが、表面上は落ち着いているかに見える攻撃は、その内容を巧妙化、高度化させて継続している様が浮かび上がってきました。 ● 「初期潜入」の傾向 「初期潜入」時に主となる侵入手法である標的型メールは一層の巧妙化が続いており、転送や再送を偽装する手法に加え、「なりすましメールに関する問い合わせ」を偽装する手口が見られました。送信元アドレスとしてフリーメールが使用されるケースは継続して見られており、受信者が気づくことのできるポイントの 1つとなっています。しかし、フリーメールアドレスを使用していてもおかしくない、組織外の個人やフ
ランサムウェア「CERBER」、機械学習を利用したセキュリティ対策を回避 | トレンドマイクロ セキュリティブログ
「machine learning(機械学習)」や「AI(人工知能)」によるセキュリティ対策など様々な手法が導入され、セキュリティ対策製品は進化を続けています。しかし、不正プログラム側も進化する対策手法を回避し、自身の検出を困難にさせるための手法を次々と採用しています。トレンドマイクロは、今回、暗号化型ランサムウェア「CERBER」が機械学習によるセキュリティ対策を回避する手法を利用していることを新たに確認しました。確認された CERBERの新しい亜種では自身の不正コードを通常のプロセスに組み込み、プロセス上で実行するように設計されていました。 ■感染の流れおよび不正活動について 暗号化型ランサムウェアは、メール経由での感染経路が常とう手段で、CERBER も例外ではありません。今回の事例においても、さまざまな公共事業からの送信を装ったメールが利用されていました。そして、こうしたメールには
「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動向を予測 |
2016年は、ランサムウェアの被害が増大した年でした。サイバー犯罪者はランサムウェアをさらに凶悪化させ、企業や個人ユーザの重要データを人質にさらに多くの身代金を得ることに成功しました。昨年新たに確認されたランサムウェアは 2016年9月末までの段階で既に 146ファミリに達し、2015年の 29ファミリと比べ大きく増加しています。ランサムウェアの急速な拡大と発展の背景には、プラットフォーム、機能、手法の全ての面で改良に力を注ぐサイバー犯罪者の奔走があります。 既に、モバイルユーザを狙った新しいランサムウェア脅威が確認されています。また、他のオペレーティングシステム(OS)を狙うランサムウェアが作成され、会員仲間や新参サイバー犯罪者向けにアンダーグラウンドで販売されています。Linux システム用に作成された最初のランサムウェアとして知られる「Linux.Encoder」(「ELF_CRYP
痕跡を残さないサイバー犯罪集団「Lurk」の変遷:第1回 組織化とマルウェアの巧妙化 |
2016年6月、サイバー犯罪集団「Lurk(ラーク)」に関連する犯罪者 50人が逮捕されました。Lurkは、遅くとも 2011年から活動を開始し、2016年6月に逮捕されるまで、約4,500万米ドル(約50億円、2017年2月20日現在)相当を窃取しました。私達は、2011年から 2016年中旬まで、Lurk が利用する不正活動のコード解析や、ロシア国内における弊社の侵入検知システムが監視したネットワークトラフィックと URLパターンを分析することにより、このサイバー犯罪集団のネットワークアクティビティを監視、調査してきました。この調査によって収集した情報を元に、逮捕されるまでの約5年間の不正活動の変遷について 2回に分けて報告します。 第1回: 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認 2011年から 2012年初期:Lurk、活動を開始 2012年中頃から 2014年
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
