WPA2の脆弱性「KRACKs」、ほぼすべてのWi-Fi通信可能な端末機器に影響 |
2017年10月15日(現地時間)、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が同月16日に公開されました。報道によると、これら脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、「概念実証(Proof of Concept、PoC)」の攻撃コード(現時点で非公開、参考動画)により WPA2 の暗号化の仕組みを侵害します。 WPA2 は、安全な暗号化通信を実現するための Wi-Fi認証のセキュリティプロトコルです。今回はこの WPA2 の鍵管理に脆弱性が確認されました。攻撃者は KRACK を悪用して Wi-Fi端末機器と Wi-Fi のアクセスポイントの通信を傍受したり、場合によっては通信を乗っ取る
ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る |
国内でも大きな話題となっているランサムウェア「WannaCry」ですが、5月12日の世界的な大規模拡散以降、その侵入と拡散について大きな疑問符が付いたままとなっていました。トレンドマイクロでは侵入と拡散の手法について探るため、WannaCry のワーム活動について徹底解析を行いました。WannaCry はワーム活動としては Windows の「MS17-010」の脆弱性の利用を確認していますが、この解析では同時にバックドアツール「DoublePulsar」を利用する詳細な活動内容が確認できました。 トレンドマイクロの解析の結果、以下のワーム活動のフローが明らかになりました。 攻撃対象のスキャン: 1.1 ローカルネットワーク内の端末を列挙しスキャンする 1.2 グローバル、ローカル含め、無作為なIPアドレスに対してもスキャンする スキャン対象の端末に SMB の 445番ポートで接続し、「
大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 |
トレンドマイクロは、深刻な暗号化型ランサムウェアが世界各国で攻撃を行っている事実を確認しました。この攻撃は、2017年3月および 4月に明らかになったセキュリティ上のリスクが組み合わされて実行されました。これら2つのリスクの内 1つは、Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」で Microsoft の3月のセキュリティ情報により明らかになり、同社は問題の脆弱性に対する更新プログラムを公開しました。もう1つは、暗号化型ランサムウェア「WannaCry/Wcry」で、同年4月に DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして確認されました。 今回の攻撃で使われた暗号化型ランサムウェア「WannaCry/Wcry」は、「RANSOM_WANA.A(ワナ)」および「RANSOM_WCRY.I(ダブリュークライ)」として検出され
脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 |
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
法人ネットバンキングを狙う電子証明書窃取攻撃を解析 |
昨年 2013年を通じ日本国内において最大の脅威となったのは、「オンライン銀行詐欺ツール」でした。その傾向は現在も続いており、もたらされる脅威はさらに凶悪化し拡大しています。これまで、ネットバンキングを通じた不正送金を狙う攻撃は多くが個人を標的としたものとみられてきましたが、現在では法人に対する被害も確認されています。 多くの法人向けネットバンキングでは、認証強化のために「電子証明書」による SSL/TLSクライアント認証が導入されています。正しいクライアントからのアクセスであることを認証できなければネットバンキングの操作が行えないため、法人向けネットバンキングは非常にセキュアであると考えられていました。しかし、現在日本国内で流行しているオンライン銀行詐欺ツール「ZBOT」ファミリ、「VAWTRAK」ファミリの一部はこの電子証明書を盗む機能を持っていることが、トレンドマイクロの調査解析によ
Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を |
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア
YouTube上の偽広告からランサムウェア感染へ誘導 |
トレンドマイクロは、2014年10月、偽広告を利用し、利用者を不正プログラムに感染させようとする攻撃を YouTube 上で新たに確認しました。偽広告は、不正なコードを含む Webサイトにユーザを誘導するためによく利用される手法ですが、今回の確認された偽広告は、最終的に利用者をランサムウェアに感染させようとするものでした。 トレンドマイクロでは、過去数カ月間に渡り、さまざまな不正 Webサイトにユーザを誘導する偽広告を利用した不正活動を監視してきました。その結果、米国のユーザが圧倒的に影響を受けており、米国だけで 30日間で 11万3千人のユーザが影響を受けたことを確認しました。 今回確認された偽広告は、YouTubeのサイト上に表示されただけでなく、1,100万回以上再生された動画上でも表示されました。具体的には、有名なレコードレーベルがアップロードしたミュージックビデオでした。 弊社が
Bashに存在する「Shellshock」脆弱性についての注意喚起 |
Linux などで使用されるオープンソースプログラム「bash」に存在する脆弱性「Shellshock」(CVE-2014-6271)が明らかになりました。 bashは Linux、BSD、Mac OS X などの OS で使われる「シェル」と呼ばれるコマンドシェルの1つです。一般ユーザレベルではOSの一部としてみなされることが多いと思われます。 ■「Shellshock」脆弱性(CVE-2014-6271)とは? この脆弱性は、Linux などの OS で使用されるシェル「bash」の環境変数処理における脆弱性です。この脆弱性が悪用されると、bash を使用している Webサーバが改ざんされたり、Linuxサーバなどが遠隔操作されたり、不正プログラムに感染してしまう危険性があります。 ■影響のある環境は? bashが実装されているOS環境に影響があります。特に、各種 Linuxディストリ
Operation Huyao:多数のなりすましフィッシングサイト確認 |
西暦931年の辞書『和名抄』には、「狐」は変化の術を使い人を騙す獣であると記されています。それは「狐妖」(こよう、huyao フーヤオ)と呼ばれ恐れられてきました。現代のサイバー空間においてフーヤオのように、変化の術を使い1つのサイトで多数の ECサイトに変幻可能なフィッシングサイトが確認されています。 我々はこれを「Operation Huyao(フーヤオ作戦)」と呼びます。 サイバー犯罪者は日本国内のオンラインショッピングモールに出店している店舗になりすますことで、オンライン決済に関わる機微な情報を詐取しようと企てています。 ■オンラインショッピングモールの構造 オンラインショッピングモールは各店舗にあたる ECサイトの集合体です。あるオンラインショッピングモールでは、次のようにドメインの配下に各店舗のパス(Path)を用意することで統一性のある仮想の商店街を形成しています。 Oper
ルータに存在する脆弱性、DNSポイズニングに誘導 |
トレンドマイクロでは、外出先で安全にネットワークに接続することの難しさについて取り上げてきました。このことは、特に休暇中に当てはまるでしょう。滞在先を探す際、インターネットアクセスがあるかどうかが、最も重要な要素となっています。実際、多くのホテルや宿泊施設では、Wi-Fi が使用できることは、不可欠なサービスの 1つです。楽しく穏やかな休暇を目の前にして、インターネットは安全にアクセスできて当然と考えるのも無理はありません。 これから話すことは、まさにこのような状況下で起きたことでした。私は休暇中で、提供されたインターネットアクセスを利用していたところ、スマートフォンの Facebookアプリが接続を拒否しました。しかし、他のアプリや Webサイトには問題なく接続できました。 モバイル端末のブラウザを使用して Youtube へアクセスを試みたところ、図1 の警告文が表示されました。 An
脆弱性「Heartbleed」、トップ100万ドメインから選別されたTLDの5%に影響 |
トレンドマイクロは、OpenSSL に存在する脆弱性「Heartbleed」の影響を測定するため、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ 100万ドメインから、特定の国々のトップレベルドメイン(TLD)名を抽出しスキャニング調査しました。弊社は、SSL を使用する Webサイトを区別し、また「脆弱」もしくは「安全」に分類しました。このスキャニング調査により得られた情報から、いくつかの興味深い事実が明らかになりました。 2014年4月11日現在、脆弱性「CVE-2014-0160」の影響を受けた Webサイトが全体の約 5% であることを確認しています。脆弱性を抱える Webサイトの割合が最大の TDL は、「.KR」と「.JP」でした。興味深いことに、米国の連邦政府機関のための TLD である「.GOV」を使う Webサイトは、図1 のリストの第 5位に順位
日本国内で特定銀行を狙う集中的なフィッシングサイト作成を確認 |
トレンドマイクロでは、2014年2月末から日本のインターネットサービスプロバイダ(ISP)が管理するサーバ上で、日本国内の特定の銀行を狙ったフィッシングサイトの作成を連続して確認しました。昨年来、ネットバンキングを狙う脅威としてはオンライン銀行詐欺ツールが猛威を振るっていますが、従来のフィッシング詐欺も継続して確認されておりますので、ご注意ください。 トレンドマイクロの脅威リサーチ機関である「Forward-looking Threat Research(FTR)」では継続した脅威の分析を行っています。そのリサーチの中で、2014年2月27日から 3月4日までの丸5日間に、 30以上の日本国内の特定の銀行を狙ったフィッシングサイトが、日本の大手 ISP 2社が管理するサーバ上で集中して作成されていることを確認しました。今回確認されたものと同様の手口によるフィッシングサイトの攻撃は、昨年 1
新バックドア型不正プログラム「BLYPT」を確認 Javaを狙うエクスプロイトコードから誘導 | トレンドマイクロ セキュリティブログ
トレンドマイクロは、2013年9月初旬、新しいバックドア型不正プログラム「BLYPT」を確認、この検証結果を今回ご報告します。このファミリは、暗号化とともに、データベースシステムで使用されるデータ型の 1つである「バイナリ・ラージ・オブジェクト(BLOB)」を利用していることからこの名が付けられました。なお、このBLOB情報はレジストリ内に保存されています。現時点での検証では、このバックドア型不正プログラムは、Java の脆弱性を突くエクスプロイトコードを介してインストールされ、このエクスプロイトコードを拡散するために利用される「ドライブバイダウンロード」攻撃あるいは改ざんされた Webサイトのどちらかを経由して感染PC上に侵入することが判明しています。また、今回のバックドア型不正プログラムの検証の結果、攻撃に関連するサーバは、ルーマニアおよびトルコを中心に拠点を置いていることが明らかにな
偽装ヘッダ、不正プログラムとの通信を隠ぺい |
DNS、正規の Eメール通知、IP、アドレスバーといった形態にかかわらず、これらの偽装は、Webの一般的な脅威の1つとなっています。トレンドマイクロでは、これらの幾度にも渡って繰り返す脅威を過去に確認していますが、2013年 7月中旬、従来とは異なる方法で検出を逃れる「偽装ヘッダ」という手法を確認しました。 偽装ヘッダは、特定のドメインに関連していそうな URL を表示しますが、実際は異なるドメインへ接続されており、多くの場合は不正なドメインが使われています。他の偽装の手法とは異なり、偽装ヘッダは、コンピュータやファイルの変更をせずにネットワークパケットを変更して偽装されます。つまり、不正プログラムがサーバに接続しデータを送信する直前に、リクエストされるヘッダにドメインが新たに追加されます。この挙動については、Jessa dela Torre のリサーチ・レポート「StealRat bot
国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害 |
国内外においてWebサーバ(Apache)の不正モジュールを使った改ざん被害が報告されています。これまでの改ざん手口とどのような点が異なるのでしょうか。また、改ざんサイトを入口としてはじまる「Black Hole Exploit Kit(BHEK)」による攻撃の連鎖についても注意が必要です。過去24時間でもっとも感染連鎖の入口となっている不正URL にアクセスしている地域は日本でした。そこでこの記事ではシステム管理者、利用者それぞれの立場で注意すべき点についてお伝えします。 ■感染の発端は迷惑メールから改ざんサイトへ 既に我々のブログ記事「Black Hole Exploit Kit による攻撃、問題のJavaの脆弱性を利用」でもお伝えしているとおり、オンライン決済サービス「PayPal」を装った迷惑メールの被害報告が連日寄せられています。同迷惑メールはメッセージ内に表示される商品番号をク
国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓 |
2013年6月4日のブログでお伝えした国内で発生している正規Webサイトの改ざん被害について、詳しい攻撃手法などの解析を行った上で得られた調査結果を続報としてお伝えします。国内の正規Webサイト改ざん被害ケースは、つい先週の 5月30日のブログ、また、3月18日のブログでもお伝えしていますが、これらのケースとの類似性はあるのでしょうか。 ■以前のケースとの類似性、相違点 まず初めに言えるのは、6月4日に報告したケースが先週お伝えした 5月のケースとはまったく異なる攻撃であるということです。5月のケースは、明確にハクティビズム目的の攻撃であり、改ざん被害を受けたことが表面的にわかるものでした。しかし、今回のケースは、表面的にはわからない形でコンテンツ内に埋め込まれたスクリプトにより、他の不正サイトへ誘導される攻撃となっていました。改ざんされたサイトを閲覧したユーザは、気づかないうちに不正サイ
パスワード保護されたアーカイブファイル内に自身のコピーを作成するワーム |
一般的にユーザがファイルを圧縮ファイルを作成する際は、便宜上、複数のファイルを1つのファイルにひとまとめにするか、または単に格納スペースに保存します。しかし、「TrendLabs(トレンドラボ)」は、パスワード保護された圧縮形式の圧縮ファイル内にさえ自身のコピーを作成するワームを確認しました。 トレンドラボは、特定の WinRAR のコマンドライン(図1参照)を利用して感染活動を行うワームの検体を入手。このワームは、トレンドマイクロの製品では、「WORM_PIZZER.A」として検出されます。コマンドが実行されると、このワームは、特に ZIP や RAR、RAR の 自己解凍型ファイル(拡張子SFX)などといった圧縮されたファイルの中に自身のコピーを作成することが可能になります。しかしこのワームは、圧縮ファイルからパスワードを取得することはありません。このコマンドラインは、通常のものであり
“Evernote” をC&Cサーバとして利用するバックドア型不正プログラムを確認 |
“Evernote” は、その豊富な機能性とアクセスのしやすさがユーザに人気のクラウドサービスです。トレンドマイクロでは、このユーザにとって便利なクラウドサービスである Evernote が、サイバー犯罪者の攻撃インフラとして悪用された事例を確認しました。 「TrendLabs(トレンドラボ)」は、2013年3月15日、コマンド&コントロール(C&C)サーバとして Evernote を利用していると思われる不正プログラムを確認し、「BKDR_VERNOT.A」として検出対応いたしました。この不正プログラムは正規の Webサイト「https://evernote.com/intl/zh-cn」を介して Evernote への接続を試みていました。 トレンドラボが入手した検体によると、この不正プログラムに作成された不正DLLファイルが正規のプロセスに組み込まれ、そしてこの不正DLLファイルによ
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは? |
韓国の主要企業がサイバー攻撃を受け、多くのコンピュータが起動不能に陥るという甚大な被害がもたらされました。トレンドマイクロでは、継続して情報収集と追跡調査を行っており、このブログ記事では、そこから明らかになってきた全体像とともに、今回の攻撃から導き出せる教訓がなにかを議論します。 ■韓国企業に対してどのような攻撃が行われたのか? これまでトレンドマイクロが独自に収集している情報から、ソーシャルエンジニアリングを悪用したメールが、標的となった組織への侵入のきっかけになっている可能性があると推測しています。また、侵入後、ネットワーク内のコンピュータを管理するために使われる「集中管理ツール」を使って、「マスター・ブート・レコード(MBR)」を上書きしてコンピュータを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」を配信したことも分かっています。 今回の攻撃の全体的な流れとしては、
ソーシャルエンジニアリングのさまざまな手口:米国セキュリティベンダのサイバー攻撃レポートを偽装した標的型攻撃 |
「TrendLabs(トレンドラボ)」では、脅威を調査する過程で、恐怖や喜びといった異なる感情につけこむ複数のソーシャルエンジニアリングの手口を確認してきました。過去のさまざまな事例に見られたように、これらの手口は、多くの場合において効果的です。しかし、最近の事件や季節の行事といったよく知られたテーマが頻繁に利用されるため、容易に見分けられます。 この他にも、より慎重な手口を用いる別の手法もあります。これらの手口は、不安をあおることを目的としておらず、むしろ警戒心を与えないようにしています。そして対象とするユーザの日常の行動に溶け込もうとしたり、ユーザの興味を利用したりしようとします。こうした手口は、用いられているメッセージを見ると危険性が少ないように見えますが、この手口に気付くのが難しく、より悪意がある場合があります。 米国のセキュリティ会社「Mandiant」は、2013年2月19日(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
