QRコードは、日常生活のあちこちにあります。ドリンクのラベルに付いていたり、美術館の展示に添えられていたり。用途もさまざまで、Webサイトを開くためのもの、アプリのダウンロード用、ポイント登録用、料金の支払いや送金、募金にも使われます。使いやすくて実用的なQRコードは、サイバー犯罪にも便利に使われています。今回は、QRコードを悪用した詐欺行為について、そしてQRコードを安心して使うための方法について取り上げます。 QRコードとは何か、どう使われるのか 最近は、ほぼ誰でもスマートフォンを持っています（英語記事）。最新機種の多くはQRコード読み取りアプリが初めから入っていますが、そうではない機種の場合でも、カメラ機能を使用するか、QRコードを読み取るアプリをインストールして使えば問題ありません。QRコードなら何でも読み取れるアプリと、特定の用途に限定されたQR読み取りアプリ（例えば、美術館の説

ビジネスメール詐欺（BEC）の攻撃を仕掛ける場合、攻撃者は入念に下準備を行う傾向にあります。送金や機密情報の送信が認められている人物になりすますに当たり、メールは可能な限り正当なものに見えなければなりません。細部が肝心なのです。 先日我々が対応した中に、興味深い例がありました。とある企業の社員に送られた、連絡を促す内容のメールです。 —– （メール本文抄訳） 都合の良い時をお知らせいただけますか。お願いしたいことがあります。 今から会議なので、とりあえずこのメールに返信をお願いいたします。 よろしくお願いします。 ※送信者の名前 iPhoneから送信 —– BECのメールにしては、簡潔で味気ない内容です。攻撃者は、このメールを送った人物が会議中で、メール以外の連絡手段では対応できないということを明確にしています。こうして、メールの署名にあるとおりの人物から送られたメールなのかを確認するアク

オンラインでコミュニケーションを取る機会が増える中、この状況をサイバー犯罪者が利用する動きが見られています。 ソーシャルディスタンスの動きが広まり、多くの人々が自宅にとどまっています。人々が安全で快適なコミュニケーションを取れる状況にあるのかどうかを知るため、Kasperskyのエキスパートは、今年の初めに調査した2019年（2020年1月を含む）のオンライン会議用アプリケーションを取り巻く脅威について振り返りました。著名なオンライン会議アプリケーションに見せかけた悪意あるファイルは以前から存在しており、このような脅威の存在を皆様に知っていただくことがいま重要であると私たちは考えています。 直接会ってのコミュニケーションが取れない現在、ビデオや音声またはチャットを通じたコミュニケーションの手段として、オンライン会議用アプリケーションの需要が高まっています。しかし一方で、この事実を容赦なく利

SMBv3にリモートコード実行の脆弱性（CVE-2020-0796）が見つかりました。Microsoftより修正パッチが提供されています。 ※2020年3月13日更新：Microsoftより修正パッチがリリースされました。「対策」セクションにリンクを追加しました。 Windows 10およびWindows Server にリモートコード実行の脆弱性（CVE-2020-0796）が存在し、Microsoft Server Message Block 3.1.1（SMBv3）が影響を受けることが判明しました（英語）。Microsoftによると、この脆弱性を利用してSMBサーバーまたはSMBクライアントで任意のコードが実行可能となります。サーバーに対しては、特別に作成したパッケージをサーバーへ送るだけで攻撃可能であり、クライアントに対しては、悪意あるSMBv3サーバーを構成してそのサーバーへアク

Chaos Communication Congressでの講演で、リサーチャーのファビアン・アイシング氏がPDFの暗号化強度の限界を示しました。 PDFは、仕様書によるとCipher Block Chaining（CBC）モードでAESアルゴリズムを使用した暗号化に対応しています。したがって、少なくとも理論上は、暗号化されたPDFファイルの中身を見ることができるのはパスワードを知っている人だけであるはずです。ドイツの複数大学のリサーチャーから成る調査チームは、PDFのセキュリティに関する研究の一環として、PDF形式での暗号化実装の信頼性をテストしました。ミュンスター応用科学大学のファビアン・アイシング（Fabian Ising）氏によって発表された研究結果は残念なものでした。 暗号化されたPDFファイルを企業が使用するのはどういう状況かと言えば、安全対策がされていない経路や信用できない経

ランサムウェア開発者の間では、身代金の支払いを拒否した企業のデータを公開することが新しいトレンドになっているように見受けられます。 データのバックアップ。手間はかかりますが、暗号化型ランサムウェアからデータを守る効果的な対策の1つです。しかし近年、身代金の支払いを拒否する企業に対し、盗んだデータをインターネットに公開するという力技に出るサイバー犯罪者が現れています。 「データ公開」が脅しではなく現実に 「機密情報を公表する」という脅しは、以前からありました。たとえば、2016年にサンフランシスコ市営鉄道のシステムが暗号化型ランサムウェアに感染した際、この攻撃を仕掛けた攻撃グループは、身代金要求に応じなければ機密情報を公開するとの脅しをかけました（英語記事）。このときは、実際に公開されはしませんでした。 始まりはMazeだった 昨年後半にランサムウェアMazeを使って攻撃を仕掛けた犯罪者グル

フィッシング攻撃やビジネスメール詐欺（BEC）に使われる偽メール。なぜ、攻撃者は説得力のあるメールを簡単に作ることができるのでしょうか？ フィッシングメールは、「差出人」フィールドを確認するだけで見破れることもあります。しかし、いつもそうだとはかぎりません。実際、本物と見分けのつかない偽メールは作れます。そんなものを作れる攻撃者に標的とされたなら、たまったものではありません。上司や重要な顧客から届いたように見えるメールにリンクやファイルが添付されていたら、ほとんどの人は深く考えずにクリックするのではないでしょうか。クリックした人を責めるのは酷な話です。メールが偽物だと見分ける方法がないとすれば、特に。 しかし、そもそもなぜ、完璧な偽メールを作り上げることが可能なのでしょうか？第36回Chaos Communication Congressでアンドリュー・コンスタンティノフ（Andrew K

Web経由の脅威は、標的型攻撃で活発に使用されています。このような脅威の無害化は、APTからの防御戦略において不可欠です。 サイバー犯罪者はどのようにして企業インフラへ侵入するのでしょうか？映画で見かける「感染したUSBメモリをその辺に置いておく」仕掛けは現実世界でも見られますが、そうしょっちゅう起きることではありません。過去10年にわたり、脅威が運ばれる主な経路は、概してメールや悪意あるWebサイトでした。メールの場合、メールサーバーに適切なフィッシング対策とウイルス対策を施すことで、ほとんどの脅威を解消できます。これに比べ、Webを通じて侵入してくる脅威には、あまり注意を向けられないことが多いものです。 サイバー犯罪者は、あらゆる種類の攻撃でWebを利用してきました。オンラインサービスのログイン情報を盗むフィッシングページや、ブラウザーの脆弱性を利用する悪意あるWebページに限らず、特

製品のライフサイクルが長ければ、持続可能性がある。短ければ、サポートコストを抑えられる。どちらを選ぶべきでしょうか？ 製品のライフサイクルは、どのくらいの長さであるべきでしょうか？当然ながら製品によります。自動車は何年も、時には何十年も使われますが、歯ブラシは数か月もすれば交換です。 ここに条件を1つ加えてみましょう。「ネットワークに接続する」製品のライフサイクルは、どのくらいの長さであるべきでしょうか？ネットワーク接続する製品が増える一方の今、答えに行き着くのは容易なことではありません。ケンブリッジ大学のロス・アンダーソン（Ross Anderson）教授は、第36回Chaos Communication Congress（36C3）の講演で、このトピックに触れました。私たちはそれをさらに少しばかり掘り下げてみたいと思います。 インターネット接続しない製品は、インターネット接続する製品よ

Chaos Communications Congressでの講演で、オープンソースハードウェアを使用してハードウェアの信頼問題を解決できるかどうかの検討が行われました。 オープンソースソフトウェアは市販のソフトウェアよりも安全である。このように考える人は多く、最近はハードウェア開発にも同様の理論を当てはめようという動きが見られるようになりました。しかし、先月行われた第36回Chaos Communication Congress（36C3）では、アンドリュー・”バニー”・ホアン（Andrew “bunnie” Huang）氏、ショーン・”xobs”・クロス（Sean “xobs” Cross）氏、トム・マーブル（Tom Marble）氏が、オープンソース開発の採用でハードウェアの信頼問題を十分に解決できるだろうかとの疑問を提起しました（リンク先はいずれも英語）。スピーカーとして登壇したの

仮想通貨ではなくプリペイドカードでの支払いを要求する恐喝犯が現れています。何にせよ、支払う必要はありません。 「ポルノを見ている様子をハッキングして動画に収めた」と脅してお金を要求するのは、セクストーション詐欺のおなじみのパターンですが、時にひねりを加えたバージョンが出てきます。最近では、違法性のあるアダルト動画を見たのを知っているぞ、という脅しにCIAの名前を出すことで信憑性を持たせる事例がありました。こういった虚偽の主張は、相手をパニックに陥れて送金させることを目的としています。 ほとんどの場合、サイバー犯罪者は要求した金額を暗号資産（仮想通貨）で支払うように要求します。仮想通貨による取引は匿名で行われ、追跡は極めて困難ですから。仮想通貨の送金に必要なウォレットのアドレスは、電子メールの本文に書かれているのが一般的です。しかし、最近観測したセクストーション詐欺メールでは、そのようなアド

ある調査チームが、署名の効力はそのままに、署名付きPDFファイルの内容を書き換えられるかどうかを調査しました。 PDFファイルは、ほとんどの企業や政府機関で使用されています。PDF形式の文書の真正性を保証するのには、デジタル署名がよく使われます。デジタル署名付きのファイルをPDFビューアーで開くと、この文書が署名されていることを示す目印と署名した個人や団体の名称が表示され、署名の妥当性を検証するためのメニューにアクセス可能となります。 さて、ドイツの複数大学のリサーチャーから成る調査チームが、PDF署名の堅牢性テストを実施しました。Chaos Communication Congress（36C3）では、ルール大学ボーフム校のウラジスラフ・ムラデノフ（Vladislav Mladenov）氏が、その成果を披露しました（英語）。 調査チームが調査したのは「署名付きPDF文書の内容を、署名を無

Kasperskyは、WizardOpiumの攻撃活動を調査する中で、Windowsのゼロデイ脆弱性を新たに発見しました。 ゼロデイ脆弱性とは、ソフトウェアに存在する、これまで知られていなかったバグです。最初に見つけたのが犯罪者であった場合、長期にわたって気付かれないまま犯罪行為が行われ、予想外の深刻な損害がもたらされる可能性があります。認知されていない脅威の場合、通常のセキュリティソリューションでは感染を感知できず、保護を講じることができません。 Kasperskyのリサーチャーは、Windowsのゼロデイ脆弱性を新たに発見しました。発見のきっかけとなったのは、当社が以前検知した別のゼロデイ脆弱性です。2019年11月、当社製品のほとんどに搭載されている脆弱性攻撃ブロック機能により、Google Chromeに存在するゼロデイ脆弱性を悪用するエクスプロイトが検知されました。このエクスプロ

当社のICS CERTチームは、4つのVNC実装に37の脆弱性を発見しました。ほとんどの脆弱性は修正されましたが、すべてではありません。 リモートアクセスは便利であり、どうしても必要な場合もあります。マイナス面は、企業インフラへの侵入口となってしまう可能性があることで、リモートアクセスツールに脆弱性がある場合はなおさらです。 VNCの脆弱性 KasperskyのICS CERTでは、Virtual Network Computing（VNC）の実装をいくつか調査しました。 VNCは、技術サポート、機器の監視、通信教育その他の目的で広く採用されている、一般的なリモートアクセスシステムです。これらの実装には合計で37の脆弱性が発見され、そのうちのいくつかは1999年以降検知されずにいました。 VNCシステムを使用するデバイスの数を正確に示すのは困難ですが、Shodanのデータから判断すると、オ

カスペルスキーが大学などの教育機関を狙ったフィッシングサイトについて報告したのは、2018年10月でした（英語記事）。教員や学生のIDやメールのパスワードを狙ったフィッシングサイトは、海外だけではなく日本の大学を装うものも見つかっており、カスペルスキーでは確認次第、速やかに検知できるよう当社のデータベースへ登録しています。 つい先日見つかった、日本の大学を装うフィッシングサイトが設置されたWebサーバーには、「フィッシングキット」（Phishing kit、Phish kit）と呼ばれるパッケージが残されていました。 フィッシングキットとは、サイバー犯罪者がフィッシングサイトを設置するために利用するファイルをまとめたアーカイブのことです。海外のフィッシングサイトの事例では、攻撃者がフィッシング攻撃に使うWebサーバーにフィッシングキットを展開後、アーカイブをそのまま放置していることがよくあ

他人のコンピューターに入り込んで重要な情報を盗む方法として、何らかの口実をつけてリモートアクセス用のツールを入れさせるという手口があります。具体例を見てみましょう。 他人のコンピューターへのアクセス権を手に入れる一番単純な方法は、丁寧にお願いすることかもしれません。あなたのコンピューターへの侵入をもくろむ者は、さまざまな口実でコンタクトしてきます。それこそ、技術的なトラブルシューティングから、（皮肉なことに）サイバー犯罪の捜査まで。では、具体的にどんな手口が使われる可能性があるのか、なぜ信用してはいけないのかを見ていくことにしましょう。 偽のテクニカルサポート ある日、大手ソフトウェア会社のテクニカルサポート担当者を名乗る者が、あなた宛てに電話をかけてきました。「あなたのコンピューターに重大な不具合があることが分かりました。今すぐ対処が必要です」とのことです。不具合を修正するため、あなたは

世界各地に利用者を抱える巨大SNSプラットフォーム、Facebook。近年はプライバシーに関するさまざまな問題が指摘され、利用者の個人情報の取り扱いを巡って連邦政府の捜査を受けています（英語記事）。こうした事態へ至ったこれまでの問題とはどのようなものだったのか、順番に振り返ってみます。 1. Cambridge Analytica：すべての始まり すべてはCambridge Analyticaのスキャンダルから始まりました。2018年初め、私たち利用者がFacebookでシェアしているデータや意見を第三者が無断で使用可能であることが、初めて明るみに出ました。Cambridge AnalyticaがFacebook利用者5,000万人のデータを収集して政治的支援活動に使用していたことは、世界に衝撃を与えましたが、それは始まりにすぎませんでした。この件の詳細については、こちらの記事にまとまって

最近ニュースを見ていると、プライバシー、情報漏えい、スパイ活動などに関する話題を多く目にします。現在ほとんどのコミュニケーションはオンライン、または少なくとも電子デバイス上で行われており、私たちは大切な情報を自ら守る方法について知っている必要があります。これは大企業だけでなく、日常的にコンピューターを使用するすべての人に当てはまることです。どんな人にもプライベートで守るべき情報があり、オンライン上でのコミュニケーションも避けられません。そんなとき、PGPは非常に強力でありながら簡単に使えて、オンラインコミュニケーションにセキュリティを追加してくれます。 フィル・ジマーマン（Phil Zimmermann）氏が開発したPretty Good Privacy（PGP）は、プライバシーを保護し、コミュニケーションに安全性を追加して、電子メッセージの真正性を保証してくれるコンピュータープログラムで

『アベンジャーズ／エンドゲーム』のフル視聴ができる、とうたうWebサイトが多数存在します。これらの多くは、パスワードやクレジットカード情報を集めるのが目的です。 ストリーミング配信の開始は、映画公開よりも後になるのが常です。デジタル版がリリースされるまでには、何か月もかかる可能性があります。映画の興行成績がよいと、配給会社は映画館での収入を見込むので、デジタル版のリリースはさらに遅くなるものです。 それでもなお、映画が公開されると（公開前からも）多くの人がオンライン版を探し始めます。当然、正規版は手に入りません。しかし、詐欺師が用意する偽物なら話は別です。むしろ、詐欺師の方から「最新映画が手に入りますよ」と言ってくるかもしれません。最近公開されたばかりの『アベンジャーズ／エンドゲーム』をめぐる状況がまさにそうなっています。 「『アベンジャーズ／エンドゲーム』のフルバージョンを今すぐダウンロ

過去10年以上にわたって標的型攻撃を分析し続ける中で、繰り返し見られるのは「標的となった人がフィッシングメールを開いたところからすべてが始まった」という状況です。スピアフィッシングメールはなぜ、こんなに効果的なのでしょうか？それは、特定の相手や状況に合わせてカスタマイズされているからです。 情報源としてよく使われるのは、標的となる人のSNSです。気になるのは、サイバー犯罪者は狙った人のアカウントをどのようにして突き止めるのか、というところですが、大部分はその人がどのくらい世間に露出しているかによります。その人の詳しい経歴とLinkedInプロフィールへのリンクが勤務先のWebサイトに公開されていれば、突き止めるのはとても簡単です。しかし、メールアドレスしか分からない場合、話はかなり複雑です。さらに、標的とする企業のオフィスに入って行くところを撮影した写真だけが手がかりだったら、その人のプロ