タグ

ブックマーク / blog.trendmicro.co.jp (47)

  • ウクライナ危機とサイバー攻撃

    オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら

    ウクライナ危機とサイバー攻撃
  • 家庭用ルータのDNS設定変更を行う不正プログラムを確認 |

    家庭用ルータを悪用して個人情報を窃取することは可能ですが、この事実は、まだほとんどの人に知られていません。サイバー犯罪者は、「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」を利用することで、あまり目立たないルータ関連のネットワークさえも、有効な手口として駆使する手立てを見出したようです。 トレンドマイクロでは、DNSサーバに不正な設定が施された状態で出荷される可能性のあるルータの事例はすでに確認しています。しかし今回の事例は、DNSチェンジャーという不正プログラムが、ルータおよびその DNS設定を変更します。これにより、正規の銀行関連サイトもしくは攻撃者に指定されたその他の Webサイトを閲覧した場合、ユーザは、この不正プログラムによって不正な Webサイトに誘導される可能性があります。そして誘導先の Webサイトでサイバー犯罪者により、ユーザのアカウント認

  • 不正プログラムに利用されるステガノグラフィ:その目的と手法 |

    検出回避する脅威は、現在直面している最も危険な種類の脅威の 1つです。また、標的型サイバー攻撃やゼロデイ脆弱性を利用した攻撃など、最も対応が困難な攻撃事例で利用されます。検出回避は攻撃の成功の鍵となるため、攻撃者はそれをどう実現できるかを常に考えています。今回は、検出や解析を回避するためにサイバー犯罪者が利用する手法の 1つ、「steganography(ステガノグラフィ)」について取り上げます。 ステガノグラフィとは、ある情報を他の情報の中に埋め込んで存在を隠ぺいすることです。「steganos」とは、ギリシャ語で「隠された」を意味します。不正プログラムは気付かれずに何かを隠ぺいすることを好みます。そのため、サイバー犯罪者にとって、不正プログラムとステガノグラフィは最高の組み合わせです。今回、トレンドマイクロは、「ステガノグラフィ」とは何かを説明し、それが現在どのように不正プログラムに導

  • マクロを利用する不正プログラムの復活 Part1 |

    マクロを悪用した不正プログラムは、古くから利用されてきました。しかし、2014年後半以降、この不正プログラムを利用した攻撃が目立ってきています。図1は、Microsoft の Wordファイルに表示されるセキュリティの警告です。マクロは初期設定で無効になっています。今回は、この警告がなぜ重要なのかを考える良い機会になるでしょう。 私は何人かの同僚に質問しました。「影響力の大きい、マクロを悪用する不正プログラムと言えば、真っ先に何を思い浮かべる? できれば感染経路が Eメールのもので」。最初に返ってきた共通の回答は「メリッサ(「W97M_MELISSA.A」などとして検出)」でした。在職期間の長い同僚からは、「WM Concept」や「LAROUX」といった名前が挙がりました。さらに、2005年から 2008年頃に多く確認されたマクロを悪用する不正プログラムを別の同僚に挙げてもらったところ、

  • 日本語対応したCryptoランサムウェアを国内で確認 |

    「ランサムウェア」とは、侵入したコンピュータを使用不能にする、コンピュータ内のデータを暗号化する、などの方法を用いてコンピュータ使用者に「身代金」を要求する脅迫的活動を行う不正プログラムの総称です。トレンドマイクロでは特にデータを暗号化する手法のものを「Cryptoランサムウェア」と呼んで区別しています。弊社では日語表示に対応した Cryptoランサムウェア「TROJ_CRYPWALL.XXQQ」が、2015年4月17日前後から国内インターネット利用者の環境で検出されていることを確認しました。この「TROJ_CRYPWALL.XXQQ」は実行されるとコンピュータ内のファイルを暗号化し、次に暗号化したファイルを元に戻すにはどうすればよいかを示す「脅迫メッセージ」を表示します。この際、感染PC が日語環境だった場合、日語でメッセージが表示されます。 検出が確認された環境では “sting

  • WebサイトをOSごと強制終了させる攻撃コードを確認(MS15-034) |

    2015年4月15日に公開された Microsoftセキュリティ更新プログラムリリース「2015年4月の Microsoft セキュリティ情報の概要」では、4件の脆弱性が深刻度「緊急」とされました。その「緊急」の 1つである「MS15-034「MS15-034 HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)」の脆弱性(CVE-2015-1635)に対し、早くも Webサーバをオペレーティングシステム(OS)ごと強制終了させる攻撃が可能な実証コード(PoC : Proof of Concept)が公開されました。この実証コードは攻撃が非常に容易である危険性が高いものであるため、特に脆弱性に該当する Windows で Webサイトを運営、管理されている管理者の方は、速やかにアップデートを行うことを推奨します。 この MS15-034 の脆弱性は、Win

  • 2014年に日本国内で確認された標的型サイバー攻撃を分析 |

    トレンドマイクロでは、2014年に確認した日国内における「標的型サイバー攻撃」に関しての分析を行いました。この分析では標的型サイバー攻撃を、「初期潜入」から「端末制御」までの「侵入時活動」と、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階に分けて、その傾向を明らかにしています。 「侵入時活動」の傾向 標的型サイバー攻撃で使用された不正プログラム、特に外部からの遠隔操作に使用される遠隔操作ツール(RAT)の分析から、その活動傾向を明らかにしました。2014年には「水飲み場型攻撃」や「正規ソフトウェアの侵害」など新たな攻撃手法での攻撃も確認されています。しかし、侵入時活動で使用される攻撃手法は、依然として標的型メールが中心と考えられます。 標的型メールにおいては、標的となる受信者をだますソーシャルエンジニアリングの巧妙化が進んでいます。特に新しい手法は確認されていませんが、実行

  • サポート終了から1年、いまだ多くの企業で利用されるWindows XP |

    2014年4月9日にサポートが終了した MicrosoftWindows XP は、世界中の企業で長期に渡って幅広く使用されてきました。そのため、どの基準から見ても、最も影響力の大きい Windowsのオペレーティングシステム(OS)の 1つです。しかし、そのサポートの終了を明確な契機にして、ユーザや企業は速やかに新しい OS へ移行すべきだったでしょう。 サポート終了から 1年、Windows XP はまだ明らかに使用されています。その正確なマーケットシェアは調査によって異なっており、「Net Market Share」の情報では、2015年3月時点で、約 17% と推定しています。また、「StatCounter」では、その数字を 11%以上としています。米国政府の Webサイトを訪問したユーザを分析した情報から推測することも可能でしょう。ここでは、Windows XP が市場に占

  • 考察:企業の「取引先」に対するセキュリティ対策について |

    企業のセキュリティ対策は、その企業だけでなく、供給業者や請負業者といった取引先のセキュリティ対策も大きく影響します。そのため、取引先のセキュリティ対策が万全でない場合、それが企業のセキュリティ上の弱点となることがあります。稿では、「企業」、その取引相手を「取引先」と呼びます。 より大規模な企業を攻撃するために、その取引先が利用された事例は過去にもありました。例えば、米国大手小売業「Target」の情報漏えい事例は、冷暖房空調設備を納品していた請負業者への攻撃から始まりました。2011年に確認された軍事企業「Lockheed Martin」への攻撃も、RSA社の「SecurID」のトークンから漏えいした情報がその原因の一部でした。また、「HAVEX」は産業制御システムへの攻撃と関連していました。 こうして報告された事例は氷山の一角にすぎません。取引先の多くはセキュリティに注力できるだけの十

  • 家庭用ルータを攻撃してネットワークを探索する不正プログラムを確認 |

    トレンドマイクロは、家庭用ルータの脆弱な部分を突いた攻撃に関する報告を多数確認しています。弊社の調査によると、2008年には早くも、ルータを不正操作する不正プログラムがユーザを別の Webサイトに誘導する事例を確認しました。また、UDP ポートを開放した状態にするルータの不具合や、ホストに合わせた IPアドレスに変更することで他のホストにアクセスする「DNSリバインディング」といった事例も確認しています。こうした事例における攻撃の意図や目的は、非常にわかりやすいものです。 ■ネットワークの探索 弊社は、2015年3月、「TROJ_VICEPASS.A」として検出される不正プログラムを確認しました。Adobe Flash Player の修正プログラムを装ったこの不正プログラムは、実行されると、家庭用ルータに接続し、ネットワークに接続された機器を検索します。その後、情報収集するために機器にロ

  • Microsoft Officeの機能「挿入とリンク」を悪用した攻撃を確認 |

    トレンドマイクロは、標的型サイバー攻撃の可能性のある脅威を日々監視しています。弊社は、2015年3月、匿名の受信者に送信された標的型メールを確認しました。この Eメールに添付された 3つのファイルは、いずれも無害なように思われました。 弊社は、添付された 1つ目のファイル “AlSajana Youth Center financial Report.docx” を解析しました。会計報告書と名付けられたこのファイルは、不正なものではないことが判明しました(図1)。 しかし、他の 2つの添付ファイルは不正なように思われました。この 2つのファイルは以下のとおりです。 u0627u0644u0645u0639u062Fu064429u0.docx u0625u0646u062Cu0644u064Au0632u0649.doc 弊社がこれらのファイルを開封すると、予想した通り、「hxxp://w

  • Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を |

    Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア

  • 2014年顕著だった情報セキュリティ事故は? |

    2014年も国内、海外で実にさまざまな情報セキュリティの事故が起きた 1年でした。組織内部にある情報が標的型サイバー攻撃や内部犯行によって狙われ窃取された事件や、Webサイトやサービスへの不正ログインによって個人情報が窃取されたり、詐欺メッセージが送信されたりと、実にさまざまな事故や被害が明らかになった 1年でした。もしかすると、2014年は過去に例を見ないくらい情報セキュリティの事故があった 1年かもしれません。 ■「個人情報」が狙われ、標的がボーダーレス化した 1年 2014年に確認されたさまざまな情報セキュリティの事故や傾向を見てみると、全体的に見てみると法人を狙っているもの、個人を狙っているもの、いずれにおいても「個人情報」が狙われる中で、攻撃の対象が拡大した 1年だったといえます。例えば、ネットバンキング利用者を狙ったサイバー犯罪のように、これまでは個人利用者を中心に狙っていた脅

  • 企業内からの脅威:その基本的な対策 |

    2014年に米国と日で起きた内部関係者による情報漏えい事例は、すべての IT管理者にその対策を見直させる契機となりました。内部からの脅威は、その性質上、取り組みに必要な考え方がそれぞれ異なるため対処が難しい問題となっています。 内部からの脅威は、以下の 3つの論点に分けられます。なぜ内部犯行者となるのか、内部犯行者はどのような被害を与えるのか、どのように内部からの脅威を防ぐことができるか、です。 ■なぜ人々は内部犯行者になるのか 内部犯行を実行する人々の動機を理解することは難しいかもしれません。こうした人々は、自身が所属する(した)組織に不利になることを行い、自身の利益と反することを間接的に行います。 動機を調査するために利用できる 1つの例は諜報活動でしょう。内部犯行は諜報活動ほど大掛かりではありませんが、基的な考え方は同じです。諜報員になろうとする人の動機は、しばしば「MICE」と

    klim0824
    klim0824 2014/12/11
    ”諜報員になろうとする人の動機は、しばしば「MICE」という頭文字で表されます””M – Money(金銭) I – Ideology(イデオロギー) C – Coercion(強制力) E – Ego(自尊心)”
  • 欧州の電気通信企業への標的型攻撃で使用された不正プログラム「Regin」、その手法を解説 |

    2014年11月下旬、「Regin」として知られる巧妙な不正プログラムを利用した標的型攻撃が各国で確認されたという報告がありました。「Regin」は非常に高度な不正プログラムであり、侵害したネットワーク内に長期間潜伏し、監視を行うよう設計されています。 「Regin」の活動開始時期ははっきりとわかっていません。「Regin」に関連したファイルのタイムスタンプによると、攻撃開始は 2003年と考えられますが、2006年とする情報や、2008年から 2011年の間とする情報もあります。この標的型攻撃の被害を受けた企業の 1つがベルギーの通信企業であったことが、この攻撃の背後にいる攻撃者の推測につながっています。報告によれば、「Regin」の作成者は政府機関とされており、主な標的は電気通信企業であると考えられています。 「Regin」は精巧に細工され、巧妙に設計された攻撃と言われていますが、トレ

  • 潜在する脅威の顕在化-2015年以降の脅威を予測 |

    2014年もさまざまな技術が登場しました。このような技術は、個人ユーザや企業の手に渡り、これまで不可能と思われていたようなことを可能にします。しかし、これはサイバー犯罪者に関しても同様のことが言えます。つまり、サイバー犯罪者は従来から持っていた攻撃手法を補完しながら、これまで想像もしなかったような手法を使って脅威がやってくることになります。 今年もあと 2カ月弱で終わりますが、国内、海外において様々なセキュリティ事故が発生した 2014年となっています。例えば、小売・サービス業が利用する POS(Point-of-Sales)システムに感染する不正プログラムを利用したクレジットカード情報を狙ったサイバー攻撃は、北米を中心に猛威を振るっています。一方、これまでアメリカやヨーロッパ諸国を中心に長年被害が続くインターネットバンキング利用者を狙ったサイバー犯罪も、日国内に定着するだけでなく世界的

  • 巧妙化するフィッシング詐欺、Googleドライブの偽サイトを利用して情報収集 |

    サイバー犯罪者や攻撃者は、監視の目を逃れ、検出を回避するために、Googleドライブの Webサイトや知名度を利用します。トレンドマイクロでは、ユーザから情報を窃取する手段として Googleドライブを利用した標的型攻撃に関するブログ記事を公開しました。今回の攻撃では、正規の Googleドライブのログインページに手を加え、Eメールの個人情報を収集するために利用されました。これは、2014年5月に実行された複数の Eメールアドレスを狙った攻撃の改良版だと考えられています。 ■Googleドライブの偽サイト ユーザが受け取る Eメールには、Googleドライブの Webサイトになりすました偽サイトに誘導するリンクが記載されています(図1)。

  • SSL 3.0 の脆弱性「POODLE 」とは?

    オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら

    SSL 3.0 の脆弱性「POODLE 」とは?
  • 「Shellshock」:どのように被害をもたらすか |

    Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」が確認されたすぐ直後に、トレンドマイクロでは、この脆弱性を利用した攻撃を複数確認しました。それは、「分散型サービス拒否(DDoS)攻撃」を行う不正プログラムを Linuxシステム上に侵入させるものでした。しかし、この脆弱性の重大性を考えると、さらに大規模で、より深刻な被害をもたらす攻撃を確認することになるのは、ほぼ間違いないと思われます。いったい、どのようなシナリオが想定されるでしょうか。 ■シナリオ1:サーバ 「Shellshock」を利用した攻撃を受ける危険性が最も高いのは Webサーバです。現時点では CGIスクリプティングが、この脆弱性を利用した攻撃に最も利用されやすいと言われています。これまでの記事で述べたように、弊社ではこの手法を利用し

  • Apple ID詐取を目的とした「フィッシングサイト構築キット」を確認 |

    トレンドマイクロの脅威リサーチ部門であるフォワードルッキングスレットリサーチでは、「Apple ID」の詐取を狙うフィッシングサイトを構築する「フィッシングサイト構築キット」の存在を確認しました。Apple ID は、iTunes Store での購入、iCloud の使用、Appleサポートへのアクセスなど、Apple のすべてのサービスで利用可能なユーザアカウントであり、サイバー犯罪者にとって魅力的な情報の 1つと言えます。現に我々はこれまで幾度も、Apple ID を狙うフィッシングサイトの存在について確認してきました [1][2][3] 。 また、9月4日のブログ記事では、iCloud からの情報漏えい事例の原因の 1つとしてフィッシング詐欺の可能性を挙げていますが、実際に Apple ID など Apple 関連の情報を狙うフィッシング詐欺事例は 2014年に入り急増しています。