オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
本記事では、暗号資産採掘ツール(コインマイナー)によりLinux システムのリソース盗用を狙う様々なサイバー犯罪者たちによる、冷酷な「戦争」について説明します。Linuxのエコシステムは、他のオペレーティングシステムと比べて安全で信頼性が高いとされています。しかし残念ながら、Google、NASA、そして米国国防省など知名度の高い企業や組織でLinuxシステムの採用が広まるにつれ、攻撃対象としてLinuxを狙うサイバー犯罪者も多くなっています。 特に、システムのリソース盗用による暗号資産採掘(不正マイニング)による利益を狙うサイバー犯罪者にとって、Linuxは中心的な攻撃対象となってしまっているようです。本記事ではまた、オープンAPIを備えたアプリケーションとDocker環境に対応したエントリポイントの移り変わりを含む、不正マイニングの攻撃チェーンについても解説します。 ■不正マイニング戦
多くの業界においてモバイル化が進む今日、金融業界にも新たな変化が到来しています。2007年11月、ヨーロッパ連合(EU)加盟国の決済サービスの効率化と統合された決済サービス市場を創出することを目的として「決済サービス指令(Payment Service Directive、PSD)」が施行されました。しかしその後、技術の発展に伴い、さらに革新的な決済サービスの実現を目的としてこの法案の見直しが実施され、その結果2019年9月14日にその改訂版である「PSD2」が施行されました。オープンバンキングとも呼ばれるこの新規制は、EUのみならず世界中の金融業界へ影響を及ぼすことが予想されていた通り、すでに米国やアジア各地の銀行でも同等のサービスの適用が開始されています。 オープンバンキングは、金融業界における革新を促し、EU内での銀行取引をより簡単に、安全に、そして費用効率を向上させること目的として
ホーム » 脆弱性 » 「Apache Tomcat」の脆弱性「CVE-2019-0232」を解説、遠隔からコードが実行される恐れ 「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation(ASF)の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages(JSP)」、「Java Expression Language(EL)」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。 セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-
MacOSに対するサイバー犯罪者の関心が高まり続け、さまざまなマルウェアが作成される中、この人気OS(オペレーティングシステム)のユーザを狙う脅威が増加しています。トレンドマイクロは、今回、「Lazarus」と呼ばれるサイバー犯罪集団(以下「Lazarus」)が利用したとされるMacOS向けバックドア型マルウェアの新しい亜種(「Backdoor.MacOS.NUKESPED.A」として検出対応)を確認しました。このマルウェアは、ダミーとして韓国語の歌を含むフラッシュコンテンツを再生するなど、韓国のMacOSユーザを標的にしているものと考えられます。 ■正規のAdobe Flash Playerにより不正活動を隠蔽するバックドア トレンドマイクロでの検体解析の結果、使用するC&Cサーバや感染経路となる不正マクロなど、過去にLazarusが用いていたものと類似した特徴を持つことも明らかになりま
悪名高いサイバー犯罪集団「Magecart」の攻撃が、新たな傾向と共に継続して確認されています。今回は米国のブラックフライデー商戦に便乗する活動が判明しました。本ブログの今年1月の記事などでも報告しているように、MagecartはショッピングサイトなどのECサイトを改ざんし、サイト上で入力されたクレジットカード情報を詐取する攻撃を行います。このMagecartの攻撃手法は「フォームジャッキング」や「Webスキミング」などと呼ばれているほか、特に米国連邦捜査局(FBI)では「E-Skimming(Eスキミング、電子スキミング)」と呼び注意喚起しています。 図1:2019年9月に発覚したMagecartによるホテル予約サイトに対する攻撃の概念図 (さらに…) 続きを読む 個人のお客さま向けオンラインショップ | 法人のお客さま向け直営ストア | 販売パートナー検索 Asia Pacific R
標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者(以下簡略化のためAPT33とします)について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand&Control(C&C)サーバを攻撃に利用していることを確認しました。これはC&Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。 トレンドマイクロでは、A
ホーム » 脆弱性 » BinDiffによる調査で明らかになったInternet Explorerのゼロデイ脆弱性「CVE-2019-1208」を利用するPoCについて解説 2018年6月、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、Internet Explorer(IE)のメモリ解放後使用(Use After Free、UAF)の脆弱性についてMicrosoftに報告しました。深刻度「緊急」に該当する脆弱性とされ、識別番号「CVE-2019-1208」が割り当てられたこの脆弱性に対し、Microsoftは2019年9月のセキュリティ更新プログラムを公開し、対処済みとなりました。ZDIのリサーチャは、この脆弱性をバイナリコード分析ツール「BinDiff」によって発見、解析し、どのようにWindows 10「
トレンドマイクロは、2019年1月下旬から2月上旬にかけて、ハッキングツール「RADMIN」をインストールし、Windowsディレクトリにランダムに命名されたファイルを作成する攻撃の増加を確認しました。また、RADMINに感染した端末のいくつかではマルウェア「MIMIKATZ」も検出されました。当初はこれら2つのマルウェアには関連が無いように思われましたが、解析の結果、最終的に仮想通貨「Monero」を発掘するマルウェアの亜種を送り込む一連の攻撃であることが判明しました。MIMIKATZは、WindowsのSMB Serverの脆弱性を利用して拡散するために、開放された445番ポートをスキャンします。Microsoftは、2017年3月に問題の脆弱性に対する修正プログラム「MS17-010」を公開しています。 MIMIKATZは、以前にもユーザのアカウントおよび認証情報を収集し仮想通貨を不
トレンドマイクロは、2019年1月1日、サイバー犯罪集団「Magecart」による活動の急増を検出しました。Magecartは、電子商取引(eコマース)サイトに不正なコードを注入し、ユーザが入力した支払い情報を窃取する攻撃で知られている集団です。トレンドマイクロは同集団の監視を続けてきましたが、これまで目立った動きは確認されていませんでした。 今回確認された攻撃では、277のeコマースサイトで、ユーザが入力した情報を窃取する「スキミングコード」(「JS_OBFUS.C」として検出)が読み込まれていました。調査の結果、このスキミングコードは対象のWebサイトに直接注入されていたわけではなく、フランスのオンライン広告企業「Adverline」が提供するJavaScriptライブラリに注入されていたことが判明しました。トレンドマイクロは迅速にAdverlineに連絡し、同社はフランスのコンピュー
2018年10月下旬、セキュリティ企業「Cymulate」のセキュリティリサーチャは、Microsoft Officeのオンラインビデオの埋め込み機能を攻撃者に悪用された場合にマルウェアの拡散が可能になる概念実証(Proof of Concept、PoC)を発表しました。トレンドマイクロは、実際にこの手法を利用して、情報窃取型マルウェア「URSNIF(アースニフ)」(「TSPY_URSNIF.OIBEAO」として検出)を拡散するマルウェア(「TROJ_EXPLOIT.AOOCAI」として検出)を、オンラインスキャンサービス「VirusTotal」で確認しました。 ■PoCと実際に検出されたマルウェアの感染の流れ これらの攻撃では特別に細工されたWord文書が利用されるため、Word文書が他のマルウェアにダウンロードされるか、またはスパムメールの添付ファイルやURLリンクを通じてユーザのPC
開放されたポートを狙う攻撃は、多くの IoTデバイスにおいて現在進行中の課題となっています。特に TCP 5555番ポートは以前にも攻撃に利用されており、このポートを開放したまま出荷し端末を攻撃に露出させてしまっていた製造業者も確認されています。 トレンドマイクロは、2018 年 7 月 9 日から 10 日と、15 日の 2 度にわたり、5555 ポートを狙う新しい攻撃を確認しました。この攻撃では、Android 端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されました。ADB は、「Android Software Development Kit(Android SDK)」に含まれており、通常は、アプリのインストールやデバッグなどを行う際に開発者が使用するツールです。弊社のデータによると、確認されたネットワークトラフィックは、第 1 波が主に中国
「脆弱性攻撃ツール(エクスプロイトキット)」の活動は 2016年下半期より、「Magnitude Exploit Kit(Angler EK)」、「Nuclear EK」、「Neutrino EK」、「Neutrino」、「Rig EK」を中心に減少傾向を示しています。しかしこれは、エクスプロイトキット自体が活動を諦めたわけではありません。「Astrum EK(別名:「Stegano EK」)」は、従来から存在するあまり目立たないエクスプロイトキットとして知られていますが、最近トレンドマイクロでは、このエクスプロイトキットの更新を複数回確認しました。 「Astrum EK」は、不正広告キャンペーン「AdGholas(アドゴラス)」だけに利用されるエクスプロイトキットとして知られ、この広告キャンペーンを介したオンライン銀行詐欺ツール「Dreambot/Gozi(別名「URSNIF」、「BKD
2015年1月も半ばを過ぎ、そろそろ今年の計画を立てる時です。しかし、まずは 2014年の脆弱性を振り返り、そこから何を学ぶことができるか、少し考えてみましょう。 毎年、数件のゼロデイ脆弱性と数多くの脆弱性が確認され、各ソフトウェア企業から修正プログラムが公開されます。しかし、2014年は少し状況が異なっていました。 昨年 1年間に確認された脆弱性の総数はおよそ 1万件でした。そのため、CVE の管理団体は CVE識別番号の形式を変更し、最大 100万件までの脆弱性に識別子を毎年割り当てることが可能になりました。 「Heartbleed」や「Shellshock」、「Poodle」、 「WinShock」などの名前が付いた重大な脆弱性が確認され、セキュリティ業界内で広く知られるようになりました。これらの脆弱性は深刻な影響を与え、利用者の多いプロトコルやサービスを攻撃に利用します。また、修正
トレンドマイクロは、2017年6月にイスラエルの病院を標的とする「RETADUP(レタダップ)」を確認し、同月末に報告しました。そして 7月には、諜報活動やサイバー犯罪に利用可能な Android端末向けマルウェアである「GhostCtrl」が、RETADUP の C&Cサーバに格納されていることを確認しています。 以来、トレンドマイクロでは、RETADUP の検体を継続して入手してきました。今回確認された亜種は、南米の特定の産業と政府を標的としていました。弊社は、「RETADUP」のファミリは、ごく少数の限られた攻撃者によって利用されていると考えています。アンダーグラウンド市場やフォーラムで販売または配布されているという証拠が見つかっていないためです。 RETADUP の新しい亜種は、諜報活動ではなく、サイバー犯罪のための機能を備えています。このため、広範な利用が可能になったにもかかわら
ホーム » 対策技術 » 脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を 「BlueBorne」は、iOS、Android、Linux、Windows の Bluetoothの実装における複数の脆弱性の総称です。確認したリサーチャによると、約53億台の Bluetooth搭載機器が BlueBorneの影響を受けると推測されています。現時点(2017年9月20日時点)の対処方法として、以下の対応を検討してください。 幾つかの LinuxベースのOSを除き、各OS は、2017年9月19日時点、同脆弱性に対応する更新プログラムが公開されています。該当の OSの端末機器をご利用の場合、直ちに適用してください。 何らかの理由で更新プログラムが適用できない場合、あるいは更新プログラムが未提供の Linux端末機器をご利用の場合、Blue
ホーム » 不正プログラム » 脆弱性「SambaCry」を利用するLinuxマルウェアを新たに確認。Linux 利用者は至急更新を Linux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されました。2017 年 5 月に更新プログラムがリリースされていますが、この脆弱性を利用した攻撃は現在も続いています。Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を利用することで、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になります。これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。影響を受ける Samba のバージョンは、3
サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。 BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。 本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。 ■
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く