Webサイトスキャンサービス経由による情報漏えいの実態調査 | セキュリティ研究センターブログ
はじめに 近年、BoxやGoogle Drive等のようなオンラインストレージサービスを利用するケースが増えています。 それに伴い、オンラインストレージサービス特有の機能による情報漏えい事件も増加しています。 下記のような「個人情報漏えいのお詫び」を皆さんも目にされたことがあるのではないでしょうか。 個人情報漏えいのお詫びクラウドサービス上で作成したファイルで個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の個人情報がインターネット上において閲覧できる状態でありました。 対応状況個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。 このようなオンラインストレージサービス特有の情報漏えいが生じる要因は様々ありますが、
マルウェア解析奮闘記: コマンド実行のエラー文が日本語でないと動作しないマルウェア | セキュリティ研究センターブログ
要約 Windows OSが日本語設定である場合のみ次のステージに進むマルウェアを観測しました。 このマルウェアの日本語設定の確認方法として、コマンドのエラー文を用いるという過去見られなかった手口が利用されていました。 マルウェア概要 弊社では領収証に偽装したマクロが付いたWordドキュメントファイルを用いた攻撃を観測しました。この攻撃で利用されたマルウェアの動作に過去見られなかった手口が存在しました。本記事ではその手口について解説いたします。 このWordドキュメントファイルは「領収証.doc」という名前でメールを用いてユーザーに配送されました。この「領収証.doc」を開くと、マクロを有効にすることを促す文面が表示されます。 図 「領収証.doc」を開いたところ マクロを有効にすると以下のようなエラーダイアログが表示されます。 図 「領収証.doc」のマクロを有効にした際のエラーダイアロ
VirusTotalへアップロードされる機微情報
標的型攻撃等に対する警戒心の高まりから、以前にも増して、VirusTotalを活用される企業が多くなっているかと思います。疑わしいファイルを無料で分析できるため、気軽に使える反面、機微な情報を含むファイルをアップロードしてしまった場合、他の組織に入手されてしまうリスクがあります。いったんVirusTotalにアップロードしてしまったファイルは、それがマルウェアか否かに関係なく、VirusTotal Intelligence(有償サービス)の契約ユーザが自由に入手できることを意味します。 アンチウイルスベンダーをはじめ、多くのセキュリティベンダーは、VirusTotal Intelligenceを契約し、VirusTotalにアップロードされるマルウェア検体を分析することで、脅威の動向を把握しようと努めています。弊社も、特に日本からアップロードされるマルウェア検体を入手することで、脅威の動向
マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ | セキュリティ研究センターブログ
先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。 ■JScriptとは JScriptはスクリプト言語であり、ファイルをダブルクリックした場合はWindows Script Hostがその実行エンジンとなります。そのため、Windows環境は標準でJScriptファイルを実行する事ができます。厳密にはJavaScriptと異なるのですが、JavaScriptが読める方であれば、何をしているかはきっと理解できます。 アイコンは以下の通りです。 図1、JScriptのアイコン ■検体の調査 検体をテキストエディタで開くと以下の通りとなっておりました。 図2、検体のソースコードの一部 一見すると解析を諦めたくなるような綺麗
脆弱性を突かないエクスプロイト-マクロウィルス再び- | セキュリティ研究センターブログ
最近のOSやアプリケーションは脆弱性を悪用しにくい仕組み(DEP、ASLR、サンドボックスなど)を実装しており、それらの機能を回避して脆弱性を突くことはどんどんと難しくなっています。そのため、攻撃者は脆弱性を突かずに、いろいろと工夫をしはじめております。 アイコン擬装、拡張子擬装、ショートカット攻撃など様々な攻撃が編み出されていますが今回は「マクロ」を利用した攻撃について解説します。 マクロウィルスというと死語と思われる方もいるかもしれませんが、最近になっても標的型攻撃で使われるケースが見られたりしています。 ■警告画面の無視によるマクロ発動 インターネットやメールから入手したOffice文書を開くと、非マクロファイルも含めて、警告が出るようになったため、警告を無視してマクロを有効にしてしまうことが増えています。 通常、メールの添付ファイルやインターネットからダウンロードしたファイルは以下
マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ | セキュリティ研究センターブログ
5月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール(VirusTotal、サンドボックス、IDA Proなど)の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。 その解析の流れと結果を書きます。 ■バイナリエディタで目grep まずはファイルタイプの調査から開始しました。 図1、バイナリエディタ 見ての通り、PEファイルです。ただし、後半部分に白い線がたくさん入っていたり(NULLバイトが連なっている)、中盤が赤い(ASCIIコードが多い)割には意味のありそうな文字列は見当たらなかったりと難読化、暗号化が施されているPEファイルではないかと推測しました。 ちなみにVirusTotalにアップロードした結果、検出率は5/52と低めで、ここでもファイルが壊れている旨の検知結果
無償のマルウェア検知ツール「CrowdInspect」を使ってみた | セキュリティ研究センターブログ
凌(しのぎ)です。 CrowdInspectは米国のCrowdStrike社がリリースしている無償のツールで、感染の疑いのある端末でマルウェアを見つけたい時に役立ちそうだということで試してみました。プロセスインジェクションの有無、クラウド上のレピュテーションなどにより、実行されているプロセスで怪しいプロセス(マルウェア)を見つけてくれます。 ■ダウンロード&インストール 以下のページからダウンロードできます。 http://www.crowdstrike.com/community-tools/ インストールは不要で単体のEXEで実行できます。 【システム要件】 ・Windows XP以上 (32bit / 64 bitいずれも可) ・インターネットに接続できること ■使い方 ダウンロードしたEXEを実行すると以下の画面が立ち上がります。 図1)CrowdInspect起動後の画面 実行中
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MNCTF2016 WriteUp 解答例 | セキュリティ研究センターブログ
MNCTF2015 WriteUp 回答案 | セキュリティ研究センターブログ