エフセキュアブログ : 久々に確認、埋め込みオブジェクトの悪用した攻撃
久々に確認、埋め込みオブジェクトの悪用した攻撃 2016年05月12日08:30 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 3月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。 Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ&ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。 なお、Outlook 2013からのバージョンでは埋め込まれたオブジェクトのコピーを保存することができます。取り出してみると、おなじみの(?)ドキュメントファイルを装った実行ファイルであることがわかります。 ただ、埋め込みオブジェクトであるためか若干
エフセキュアブログ : 受信した新しい電子メールを介して、クリック1回でハッカーの侵入を許した事件
受信した新しい電子メールを介して、クリック1回でハッカーの侵入を許した事件 2015年06月04日08:00 ツイート fsecure_blog ヘルシンキ発 この記事は、実在する人物が現実に金銭的被害に遭った、サイバー防御関連の事件についてお伝えするシリーズの第1回目です。 雨が降る春先のある日、ポーランド西部に位置する小さな町の地方自治体のオフィスで一日が静かに始まろうとしていました。この日の朝もいつもと変わった様子はありません。ですから、どの職員も思ってもいなかったでしょう。こんな平凡な日に、やがて地域全体を揺るがすことになる一連の出来事が起こるとは… その日、この自治体の会計部門のシニアスペシャリストであるヨアンナ・カチュマレク(Joanna Kaczmarek)さんは少し遅刻してオフィスに駆け込んできました。といっても気分は晴れやかでした。コーヒーを入れ、コンピュータで音楽をかけ
エフセキュアブログ : ランサムウェアの密かな流行の背景
ランサムウェアの密かな流行の背景 2015年05月29日08:30 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。 ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。 このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。 � 例1) 下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです 例2) ランサムウェア生成サービスが
エフセキュアブログ : 諜報ツールキットRegin
諜報ツールキットRegin 2014年11月24日07:54 ツイート fsecure_corporation ヘルシンキ発 by:アンティ・ティッカネン Reginは一連の洗練された諜報ツールキットの中で最新のもので、世界中の広範な組織を標的に使用されている。既報の通り、活動中のマルウェア群でさらに複雑なものの1つで、他の数多くのツールキットとまったく同様に背後には長い歴史がある。我々は約6年前の2009年の初頭に初めてReginと遭遇した。北ヨーロッパの顧客の環境にあるWindowsサーバ上にそれが隠れているのを見つけた。 そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はル
エフセキュアブログ : いつのまに上陸!?日本市場にもリーガルマルウェア企業
いつのまに上陸!?日本市場にもリーガルマルウェア企業 2014年11月07日13:00 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 以前、リーガルマルウェアに関する記事を投稿させて頂きました。 その後、様々な調査をしましたが、リーク情報以外にこれといった収穫はありませんでした。 そんな中、とある日本国内のセキュリティイベントへ参加していた際に、見覚えのあるロゴが視界に入りました。 なんと、堂々と日本の関連機関へセールスに来ているではないですか! 中々このような機会はありませんので、早速日本式の挨拶をしまして、関係資料を頂きました。 複数のツールやサービスの紹介資料が同封されていましたが、中でも「Correlation & Data Intelligence」に関する資料は、 ・コミュニケーションパターン ・行動パターン ・ターゲットに関する地理情報 ・隠れた
エフセキュアブログ : ボブとアリスがMacのOPSEC問題を発見
ボブとアリスがMacのOPSEC問題を発見 2014年10月13日22:21 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン これは本当の話だ。ここでは氏名を差し替えているが、関係者の正体については関係ないためだ。 Macユーザとファイルを交換したことのある人なら誰でも、Mac OS Xがさまざまな「隠し」ファイルをUSBドライブにコピーすることを知っている。 興味深い部分はここからだ…。 ボブはこれらのファイルの機能について、疑問に思った(で、なんでこんなに多いのだろう?何をするものだろう?)。ボブはリバースエンジニアリングを行い、当然ながらバイナリエディタでファイルを分析してみた。そしてその時のことだ。メールアドレスや題名の行、一部のケースではアリスのメッセージの冒頭の文が「.store.db」というファイルに含まれていることをボブは知った。 ボブは自分
エフセキュアブログ : フィッシングサイト構築キットの設置者例
フィッシングサイト構築キットの設置者例 2014年09月11日02:01 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 9/9付けのトレンドマイクロ社のブログへの投稿でApple ID詐取を目的とした「フィッシングサイト構築キット」について報告されています。ちょうど、私も類似のキットをネットサーフィン中に発見しましたので便乗させて頂きたいと思います。 キットの内容や対策等は、トレンドマイクロ社の報告にお任せするとして、ここでは設置者について触れてみたいと思います。 現在、Apple ID等を狙った類似のキットの悪用は複数サイトで確認されています。その多くは”apple.zip” といったファイル名で設置されており、利用されている言語も様々です。恐らく、世界各国で悪用されているのでしょう。 いずれのキットも、トレンドマイクロ社の報告にあったように、認証なしで上位
エフセキュアブログ : アイシスを使ってファイルスラックに痕跡を残せるか
アイシスを使ってファイルスラックに痕跡を残せるか 2014年03月19日10:49 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。 【PC遠隔操作事件】不正プログラム「アイシス」の全貌が明らかになった(第3回公判傍聴メモ) これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主
エフセキュアブログ : 私が制御システムに根こそぎ侵入した方法
私が制御システムに根こそぎ侵入した方法 2014年01月20日15:15 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。 会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。 攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認し
エフセキュアブログ : AutoItScript→VBScriptによる検出回避とか
AutoItScript→VBScriptによる検出回避とか 2014年01月09日07:00 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。 下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。 既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、 ・一時的なセキュリティ対策ツールの回避 ・VBScriptなどのスクリプト言語ではエンコード処理が容易 ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待 などが挙げられます。 いずれにせよ、マルウェア開発者側にこのような動きがあるということは
エフセキュアブログ : 暗号化通信サービスが沈黙
暗号化通信サービスが沈黙 2013年08月09日20:44 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン エドワード・スノーデン氏が使っていた、プライバシーに重点を置いたメールサービスが閉鎖された。 オーナー兼オペレータのLadar Levison氏は次のように述べている。 「このような決断につながった出来事について、合法的に皆様と情報共有できるように願っている。」 lavabit.com この声明には以下の発言も含まれている。 この経験は私にとって非常に重要な教訓となった。アメリカ議会の行動や強力な判例がない限り、米国と物理的に繋がっている企業に個人的なデータを預けることは「強く」お勧めしない。 これは強力な声明だ。 で、これは一体どういうことなんだ?Lavabitを停止した決断について、なぜLevison氏は詳細を伝えられないのだろうか?ええと、おそら
エフセキュアブログ : Macのスパイウェア:OSX/KitM(Kumar in the Mac)
Macのスパイウェア:OSX/KitM(Kumar in the Mac) 2013年05月22日21:45 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 新たなBackdoor:OSX/KitM.Aの事例が確認された。 ドイツを拠点とする調査員が、OSX/KitMの件で、昨日当社に接触をしてきた(OSX/KitMについては先週ブログに書いた)。KitMは「Kumar in the Mac」の略で、スパイウェアに与えた当社の記号だ。OSX/FilestealまたはOSX/HackBackとして知られているものに関連があり、Rajinder Kumarという名前の、アップル社のDeveloper IDで署名されている。アップルはその後当該Developer IDを無効にした。 このOSX/KitMの最新版は2012年12月から2013年2月上旬の攻撃期間中、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
