日本IBMは9月4日、東京を含む全世界10拠点のIBMセキュリティー・オペレーション・センター(SOC)で2015年上半期(1月-6 月)に観測したセキュリティー・イベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた「2015年上半期Tokyo SOC情報分析レポート」と「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期」を発表した。IBM SOCは130カ国以上、約4,000社の顧客のシステムに対し、セキュリティー・イベントを分析することによりセキュリティー対策を支援しており、10年以上蓄積してきたセキュリティー・インテリジェンスを相関解析エンジン(X-Force Protection System)へ実装し、1日あたり200億件(毎秒約23万件)以上の膨大なデータをリアルタイムで相関分析を実施。Tokyo SOC 情報分析レポートは、この解析結果を日本国内の動向にフォーカスして独自の視点で分析・解説したものを半年ごとに公表している情報分析レポートだ。2015年上半期の同レポートでは「メール添付型のマルウェアの多数検知」「約40パーセントの組織でドライブ・バイ・ダウンロードの攻撃を確認」「相次ぐ脆弱性と継続する過去の脆弱性への攻撃」の3点が挙げられた。日本年金機構の報道でもメール経由でのマルウェア感染が大きく取りあげられたが、Tokyo SOCでもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知している。標的型攻撃に対して防御だけを目的とした既存の対策に限界がある一方、ばらまき型のメールウィルスに関しても不審なメールを開封しないようにコントロールすることが難しいため、感染を想定した運用管理体制の構築が急務となっている。また、2014年下半期に減少していたドライブ・バイ・ダウンロード攻撃は増加傾向を示し、攻撃が確認された組織は前期の16.9%から40.5%に増加。誘導元として改ざんされたWebページ以外に広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られたという。観測されたドライブ・バイ・ダウンロード攻撃の90%以上がAdobe Flash Playerの脆弱性を悪用するものだった。さらに、GHOSTやFREAK、Logjam、VENOMといった新たな脆弱性が発見されるとともに、2014年のShellShockやHeartbleedも継続して攻撃を検知。脆弱性の公開直後から攻撃が発生する傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識された。一方、IBM X-Forceは民間セキュリティー研究開発チームの一つとして、膨大な量のイベントやマルウェアのサンプルをリアルタイムで相関分析し、脅威や脆弱性の研究と監視に取り組んでいる。また、これらの脅威に対する企業システムの保護を支援するため、IBMのセキュリティー製品群への脆弱性に関する情報の反映や、Tokyo SOCをはじめとしたSOCにて提供するマネージド・セキュリティー・サービスなどとの連携を図っている。IBM X-Force 脅威に対するインテリジェンス・レポートは、これらの活動に基づいたセキュリティー脅威の動向に関する調査として四半期毎に発行している。同レポートの2015年第3四半期では「ランサムウェアの進化」「Tor(トーア)が不正目的に使用される」「2015年上半期は4,000件を上回る脆弱性が公表される」とした。ランサムウェアは価値の高いコミュニティーを攻撃するために、特定のファイル形式をターゲットにするように進化。例えば、TeslaCryptはオンライン・ゲームに関連したユーザー・ファイルを狙うことで、オンライン・ゲーマーをターゲットにしている。また、大規模なサイバー脅威を引き起こす犯罪者たちは、匿名で通信することができるTorを使用していることが判明し、Torが提供する攻撃基盤により匿名の攻撃者として悪意のあるボットネットの操作を、悪質なネットワークや転送に利用することが可能という。Torを難読化すると不法行為者の匿名性をさらに強化することになるほか、攻撃の物理的な出どころをわかりにくくし、特定の地域から攻撃しているように見せかけている。そのほか、2015年上半期は4,000 件をわずかに上回る新しいセキュリティーの脆弱性が報告されており、現在の傾向が続けば予想される脆弱性の公表件数は合計で約8,000件となり、2011年以来最も低い数値となる。
2015年09月07日トレンドマイクロは9月2日、日本における不正広告による被害に関する調査を報告した。これによると、Web経由の攻撃ではエクスプロイトキットを設置した脆弱性攻撃サイトへの誘導が主要な攻撃手法となっているという。攻撃者は、利用者が攻撃サイトにリダイレクトする仕掛けを改竄サイトなどに設置し、利用者が気づかないうちに誘導を行っている。日本国内でも、オンライン銀行詐欺ツールやランサムウェアなど多くの不正プログラム被害が確認されており、こうした脆弱性攻撃サイトへの誘導経路のうち、34%が不正広告だという。不正広告の攻撃には大きく分けて2種類ある。1つは正規の広告が侵害され不正コンテンツが含まれてしまう場合、もう1つは攻撃者自らが広告料を払い不正コンテンツを含んだ広告を出稿する場合だ。いずれにせよ、インターネット利用者が Webサイト上で目にする広告が脅威への誘導経路となる。今回のトレンドマイクロの調査では、海外の4つのホスティング業者が管理する6つのドメインにホストされた複数の広告コンテンツが、脆弱性攻撃サイトへの誘導経路となっていたことを確認した。一般の正規サイトの改竄では、攻撃の影響範囲は直接アクセスした訪問者のみだ。しかし、不正広告の場合アドネットワークなどのネット広告の仕組みに乗ることで、より多くの正規サイトへ不正広告が配信され、利用者に影響を与える可能性がある。SPNの統計では、これらの不正広告をホストした7つのサーバに対し、7月1日~8月21日までの1カ月半で、日本から900万件以上のアクセスがあったことを確認している。また、いずれのサーバも、日本からのアクセスが全体の5割から8割を占め、日本をターゲットにしていたことがわかる。不正広告が配信されたと推測される正規サイトには、アダルトサイトやまとめサイトなどに加えて、各種メディアのサイトや、動画やポイントなどの各種Webサービス、オンラインゲーム、ソフトウェアベンダーなど、一部著名な日本向けの正規サイトが含まれていた。不正広告が表示される広告枠は、アクセスした利用者の属性を反映して表示される場合が多いので、不正広告の存在を調査しにくい。また攻撃自体が短期間で移動していくので、調査が進められない場合も多い。さらに不正広告から誘導される先の脆弱性攻撃サイトも、同一のIPから複数回アクセスがあった場合は脆弱性攻撃を発動しないなどの仕掛けがあり、調査はより困難になるという。攻撃者にとって有利な誘導手段である不正広告は今後も増加が予測される。今回の調査で最終的に侵入する不正プログラムが確定できたケースの41%は「ZBOT」などのオンライン銀行詐欺ツールだった。また。26%は「CRYPWALL」などの暗号化型ランサムウェアだ。この状況から、不正広告においても攻撃者の最終的な狙いは金銭だと言える。これらの脆弱性攻撃サイトによる被害を回避するには、 Internet ExplorerIE)、Java、Adobe Flash、Adobe Reader、SilverlightやActive Xなどで脆弱性が発見された場合、すぐに最新バージョンにアップデートすることが重要だという。
2015年09月04日McAfee Labs(マカフィー ラボ)は9月1日、2015年第2四半期の脅威レポートを発表した。レポートでは、GPUを利用したマルウェアの検証や、サイバー犯罪者がデータを引き出すために最も多く用いる手法の調査などの、ここ5年間の脅威の進化について解説している。これによるとサイバー犯罪は、サプライヤーや市場、サービスプロバイダー、資金調達手段、取引システム、ビジネスモデルが広く普及したことで、成熟産業へと成長している。一方で企業や消費者は、サイバー資産や物理資産を保護するためのアップデートやパスワードによるセキュリティ、デフォルト設定といった簡単で重要な手段を十分に実践しているとはいえない状態にあるという。これに加え、インターネットの重大な脆弱性の発見と悪用が基礎的な技術に対する資金と人材が不足している。しかしながら、サイバー犯罪の抑止に向けて、セキュリティ業界と学術機関、警察、政府の間で良好な協力関係も拡大しているとしている。冒頭のGPUを利用したマルウェアの検証では、概念検証(PoC)を行った結果、攻撃者がGPUの処理効率を利用して従来のマルウェア対策を回避し得ることが確認されたという。その他2015年第2四半期のその他の脅威動向としては、ランサムウェアの急激な拡大、モバイルマルウェアへの感染率がほとんどの地域で減少したこと、ボットネット「Kelihos」の活動停止によってボットネットで生成されるスパムの量の減少傾向が続いていることなどが挙げられている。また、この第2四半期に、同社の顧客を電子メールやブラウザ検索などから危険なURLに接続させようとする攻撃が、毎時670万回以上あったこと、同社の顧客ネットワークに毎時1,920万以上の感染ファイルが出現したこと、同社が保護するネットワーク上で毎時700万の不審なプログラム(PUP)がインストールまたは起動を試みたことも報告されている。「McAfee Labs Threats Report: August 2015(McAfee Labs脅威レポート:2015年8月)」の日本語版全文が同社Webサイトで公開されている。
2015年09月03日マカフィーは8月31日、ランサムウェアによる攻撃手法がフランチャイズ化していると、セキュリティブログで明かした。フランチャイズ化とは、本部(ランサムウェアの作成者)と契約を結んだ使用者(攻撃者)が商品(ランサムウェア)やノウハウを受け取り、攻撃を成功したときの報酬の一部を上納金として本部に納める仕組みだ。一般的な飲食店やコンビニエンスストアなどで言われるフランチャイズと同じと考えて良い。サイバー犯罪者の中には、金銭目的などで開発した攻撃ツールを第三者に提供することもある。いわゆる「サービスとしてのランサムウェア(ransomware-as-a-service)」 モデルによって、最近のランサムウェア攻撃の急増につながっている。ブログでは、代表的なランサムウェアである「CTB-Locker」と「Tox」のフランチャイズ化のモデルケースを紹介している。CTB-Lockerランサムウェアの作成者は、アフィリエイトプログラムを使用しており、アフィリエイトに登録した攻撃者はツールを入手できる。攻撃者は、ツールを使って企業にランサムウェア攻撃を仕掛け、成功時の収益の70%を取得し、残りは作成者が受け取る。Toxのケースは、作成者が金銭目的でランサムウェアを配布している。使用者の技術的なスキルをほとんど必要とせず、誰でも簡単に利用できるのが特徴だ。Toxの利用者は、身代金の額を自分で設定し、総額の20%を攻撃者に支払う。CTB-LockerとToxにおいて、攻撃者と使用者の金銭のやり取りには、ビットコインなどの仮想通貨が使われている場合が多い。ビットコインは、金銭の受け取り手の匿名性が守られているためだ。攻撃者は、より高額の身代金を得られることを期待し、消費者のシステムから企業のシステムへと標的を移行している。マカフィーでは、多くの組織がデータを取り戻すために身代金を支払う傾向にあり、モデルの有効性が裏付けられたことで、さらなる攻撃の増加につながっていると分析している。
2015年09月01日Androidのマルウェアのニュースが相次いだが、今回はiOSのマルウェア「KeyRaider」が報告された。米Palo Alto Networksが8月30日に明らかにしている。過去最大という22万5,000件のAppleアカウントの窃盗に成功しているという。「脱獄」したiPhoneをターゲットとしており、日本でも被害が出ている模様だ。同社と提携するWeip Techが挙動の不審なiOSアプリを調べたところ、盗まれた22万5,000件のパスワード付きAppleアカウントをサーバー上に発見。両社共同で詳細を調べたところ、最新のiOSマルウェアの新しいサンプル92種を発見した。これらを分析した結果、被害者のパスワード、非公開鍵、証明書などを襲う(raid)性質を持つことから、「KeyRaider」と名付けられた。Palo Alto Networksは、「これまでで最大規模のAppleアカウント窃盗」事件としている。KeyRaiderは主として、Appleが意図しない改変「Jailbreak」(通称=脱獄)したiOSデバイスをターゲットとしており、脱獄したiOS上で利用できるアプリケーションディレクトリのCydiaを経由して拡散されていた様子。中国を中心に、日本、米国、韓国など18カ国のユーザーが影響を受けたと報告している。このマルウェアは、サードパーティ開発者がランタイムパッチを提供するためのCydiaのフレームワーク「MobileSubstrate」より、iTunesトラフィックを傍受してAppleアカウントのユーザー名、パスワード、デバイスGUID(Globally Unique Identifier)などの情報を収集する。また、Appleのプッシュ通知サービスの証明書、非公開鍵などの情報を不正入手し、App Storeでの購入情報を共有するほか、ローカルおよびリモートのアンロック機能の無効化なども行うという(iPhoneおよびiPadが対象)。これにより、端末をロックして人質にとるランサムウェアとしての側面も持つ。マルウェアの作者の目的は、脱獄したiPhoneユーザーが公式のApp Storeのアプリを入手可能にし、App Storeにあるアプリ内課金型の有料アプリを無料で利用できるようにすることという。iOSでは通常不可能な行動が可能となり、アプリ購入リクエストを乗っ取って盗んだアカウントや購入レシートをコマンド&コントロールサーバーからダウンロードし、iTunesのプロトコルをエミュレートしてAppleのサーバーにログオンし、アプリを購入することなどが可能という。ダウンロード回数は2万回を超えており、2万人のユーザーが22万5,000件の盗んだアカウントを不正利用可能であると考えられる、とPalo Alto Networksは述べている。
2015年09月01日シマンテックは8月25日、Androidを狙うランサムウェア(身代金型ウイルス)が検出をすり抜け解析を回避する手口を同社ブログで解説した。ランサムウェアの多くは、Androidスマートフォンなどのモバイルデバイスへの攻撃として使われており、セキュリティベンダーが使う静的解析ツールや静的シグネチャシステムによって検出されにくい傾向がある。同社は、Android.LockdroidとAndroid.Simplockerのマルウェアファミリーを分析。この2つは以前、コードやデータが同じにならないよう意図して亜種を作りながら、画像やアイコンなどのリソースファイルの一部を変更しなかった。その後、変化が定着し始めると、新しい亜種は画像も変えてくるようになった。新しい亜種は、画像をアプリのパッケージに格納するのをやめて、データURI(Uniform Resource Identifier)スキームで画像を埋め込むようにした。データURIスキームを使うと、まるで外部リソースのようにWebページにインラインでデータを埋め込むことができる。こうすることで、Base64でエンコードされたデータに画像をインラインで保存することができる。ランサムウェアは、スキャンツールの解析を回避するため、データの文字列を操作し、別のプログラムに見せかけている。文字列の操作にはいくつか方法がある。1つは、文字列を逆順の形式で格納し、実行時に正しい形を構築して利用するというもので、実際の文字列は静的解析のときまで判明しない。2つ目は、実際の文字列の先頭や末尾に、連続したゴミ文字を埋め込むというもの。完成した文字列をBase64によるエンコードを実行し、マルウェアのコードで使う。その後、プロセスを逆に実行して、実際の文字を取得する(まず文字列をBase64デコードを実行し、次に先頭または末尾に追加された連続のゴミ文字を削除すれば、実際の文字列が得られる)。3つ目は、ハードコードされた暗号鍵を使い、文字列をAESで暗号化するというもの。文字列を暗号化すると静的な解析ツールには無意味に見えることになる。マルウェアが動作し、文字列が復号されて初めて文字列は意味を成すようになる。4つ目は、特定の文字列を検索されないようにするために、空白やカンマを付け加えたり、Unicodeに変換したりする方法。例えば、「Child’s」という単語を「Child\u2019s」と表すことで検索を回避できる可能性がある。上に挙げた手法は、1つしか選べないわけではないので、複数の手口を組み合わせているランサムウェアもある。○変数名を故意にあいまいにするまた、ランサムウェアは、静的解析ツールやフレームワークの動作を遅らせる各種の手法を利用することもある。これは、同じ名前の複数のフィールドを持つクラスファイルを生成することを狙った手口となる。実行するには、DEXファイル(Dalvik実行可能ファイル)形式でfieldid構造を操作し、すべての変数で同じstringidエントリを指すようにname_idxフィールドの値を変更する。操作された変数は、すべて同じ名前でデコンパイル/逆アセンブルされた出力が作られ、あいまい性が生じて平均的な静的アナライザでは判断できなくなる。○複数の関数呼び出しがあるスパゲッティコードほかの手口でWindowsマシン向けに設計されたマルウェアから借用したものがある。通常のコードフロー中に意味のないゴミ関数が呼び出されると、スパゲッティ構造が生じる。こうなると、コードの一部から別の部分に多数の分岐が発生してコードが意味もなくらせん状になり、結果的に解析が遅くなる。○コードの全体で無意味な算術 null 計算を使う続く手口は使われていない複数のゴミ算術演算を実行するというもの。静的なコード解析にかかる時間を引き延ばすための命令が書かれている。○DEXファイルを動的に読み込み、データを.apkリソースに格納するまた、比較的最近に出てきた亜種では、メインペイロードのコードが暗号化された1つ以上のDEXファイルとして、アセットフォルダ内に格納されている。実行時にアセットファイルが復号され、DexClassLoaderによって動的に読み込まれ、ペイロードが実行される。URLその他の文字列データをAndroidパッケージファイル(.apk)のリソースに格納し、実行時にはコードとデータのブリッジ(R.java)を使ってそれにアクセスするという手口もある。特定のデータを.apkリソースに隠すことによって、マルウェアの作成者は解析手法を回避しようとしている。同社は、ユーザーがランサムウェアからの攻撃からモバイルデバイスを守るために、見たことのないサイトからアプリをダウンロードすることは避け、信頼できるサイトからだけダウンロードするよう呼び掛けている。また、アプリがリクエストする許可の種類にも注意が必要だという。デバイスとデータを保護するため、ノートンなどの適切なモバイル用セキュリティアプリをインストールすることを推奨している。
2015年08月27日マカフィーは8月24日、同社のセキュリティブログでランサムウェアのアフィリエイトプログラムが活発化しているとして注意喚起を行った。ランサムウェア作成者は、リスクを抑えて利益を上げるために、ランサムウェアキャンペーンの利権を購入するアフィリエイトプログラムを提供し始めたという。収益分配モデルはさまざまだが、同社では、80対20および75対25モデルでは大きい分配率がアフィリエイト、小さい分配率がランサムウェアインフラストラクチャーの作者/所有者であることを確認している。作者/所有者の取り分が少ない理由は、彼らが最低限のリスクしか負いたくないからだという。それとは対照的に、アフィリエイト側は、カスタムパッカー/クリプタを作成 or 購入する必要があり、ほかにも、セキュリティソリューションを迂回する方法やメールアドレスリストを購入するといった、さまざまな労力をかける必要がある。さらに、アフィリエイトは、キャンペーンが成功しているかの情報や、最も売上が高い国などの情報を得ることができる。このような監視データが、次のリリースでサポートする言語(売上が好調なX国の言語)を決定する上で非常に有益となる。最近のランサムウェアの作者は自らの評判を維持したいらしく、かつては身代金を支払っても常に秘密鍵が届けられていたわけではなかったが、ここのところは鍵が届けられないケースはほとんど"ない"という。また、ランサムウェアの作成のためにサービスやコードを提供している人も多い。例えばシアのハッカーグループは、「1つ0.5 BTC(ビットコイン)のカスタムランサムウェアウイルス」「ランサムウェア送信先となるBTCアドレスと支払までの期間のメールによる通知」「カスタマイズしたCTBロッカーウイルス」などを提供していた。
2015年08月25日アミューズメントパーク「さがみ湖リゾートプレジャーフォレスト」(神奈川県相模原市)は11月7日、同園にてランニングイベント「サバラン」を開催する。○仲間とミッションをクリア同イベントは、今回が2回目の開催。雄大な自然を肌で感じながら楽しめるランニングイベントとなる。サバランの"サバ"には、アウトドアからイメージする"サバイバル"体験や、フランス語の挨拶"サヴァ"(参加者同士が声をかけ合ったり応援したりする)などの意味が込められているとのこと。参加者は、約4kmのコースをランニングしながら、途中にいくつかあるミッションをクリアしていく。ミッションは決してハードなものではなく、タイムの計測や順位もないため、女性や子供、普段運動をしない人でも十分に楽しめる内容だという。ランの後には、フェスティバル会場で同時開催するフードフェスや手ぶらで楽しめるバーベキュー、特設ステージでの音楽などが1日中楽しめる。また、遊園地内のアトラクションや温浴施設「うるり」を利用できるほか、日没後にはイルミネーションのイベント「さがみ湖イルミリオン」も楽しめるとのこと。参加資格は、小学生以上の健康な男女。定員は5,000人。参加料は、一般が5,000円、保護者+小学生~高校生が2人1組となるファミリー割が7,000円、4人以上7人までのグループ割が1人4,000円、学割が1人4,500円(いずれも税・入園料込)となる。
2015年08月24日●ランサムウェアとは?シマンテックは8月21日、記者向けに「ランサムウェア」に関するラウンドテーブルを開催した。米Symantecでノートン事業部のEVPを務めるFran Rosch氏がランサムウェアの現状とこの先の見通しを語った。○数%のユーザーが騙されれば"ビジネス"が成立する「ランサムウェア」そもそも「ランサムウェア」という言葉自体が聞きなれない人もいるだろう。ランサムウェアは、自分のデジタルデバイスに保存しているファイルを"人質"にとって金銭を要求するマルウェアで、かねてより存在していたものの、ここ数年の金銭目的のサイバー犯罪でその被害が急拡大している存在だ。最初こそ、"不正アプリ"としてシステムに異常が出たとポップアップする形態をとっていたが、ユーザーの多くが「これは偽のポップアップだ」と判断して金銭要求に対して"NO"を突きつけていた。また、その後も2010年頃に偽のアンチウイルスソフトとして「デバイスがマルウェアに感染している。駆除したければお金を払え」として同様にポップアップ通知を行っていたが、これもまた「偽物」として多くのユーザーがスルーしていた。ここで問題なことは、多くのユーザーが「スルー」していても、そのうちの数%でも金銭の支払いが行われてしまえば"ビジネス"が成立してしまう点だ。「ランサムウェア攻撃者からすれば、世界中に攻撃対象者がいる。そのうちの一部、5%~10%が引っかかれば"良い"ビジネスとなる」(Rosch氏)これらのユーザーは年齢層が高い、ネットに精通していない人が多く、日本をはじめとする"経済的に裕福な"国が狙われている。日本はネット人口も多く、格好の標的のようだ。「お金を払えばいいという話は絶対にない。偽アンチウイルスソフトの例で言えば、お金を払っても解決策は提示されない。なぜなら、元々そのデバイスに問題はないのだから」(Rosch氏)その一方で、不正アプリから偽アンチウイルスソフトへとその形態が変遷したことには理由がある。それは、近年の「ロック型ランサムウェア」、そして直近、今後も拡大するとみられる「暗号化ランサムウェア」にも表れている。「コンシューマーもこうした攻撃を理解するようになり、どんどん(攻撃が)通用していかなくなる。これは、攻撃者からすれば売り上げダウンになるわけです。そこで、攻撃者も真剣に新たな手法を考えだした。それが『お金を払わないと使えなくなるぞ』というロックアップするランサムウェアであり、暗号化ランサムウェアなのです」(Rosch氏)近年のランサムウェアの特徴は2つある。それが「お手軽な料金」と「カスタマーサービス」だ。身代金というと大層なことのように思えるが、その金額はたったの300ドル(国内では3万円が相場)。先進諸国のネットユーザーであれば、多少痛い出費であっても決して払えない金額ではないことから支払う人物が出てくる相場で、「攻撃者側も様々な調査から価格帯を抑えている」(Rosch氏)ようだ。一方の「カスタマーサービス」では、"電話サポート"も行っているようだ。「"身代金"の支払いはプリペイドカードかビットコインが主流で、ビットコインは特に利用者の追跡が難しいことから攻撃者が好んで利用している。ただ、ビットコインは新しい通貨のため、使い勝手が複雑だ。そこで、多くのコンシューマーはカスタマーサービスを利用して使い方を尋ねる。そのためにカスタマーサービスを用意している。日本においても同様に窓口が用意されており、日本人が雇われている。ただの"犯罪"というよりも、もはや一種の"ビジネス"を構築しているといってもいいだろう」(Rosch氏)●ランサムウェアが狙う次は「ウェアラブルデバイス」そんなランサムウェアの行く先は、現在のモバイルデバイスの潮流に合わせるように「ウェアラブルデバイスに行くだろう」とRosch氏は話す。「現在登場しているスマートウォッチはスマートフォンやタブレット端末などと同期して情報をすぐに見られる。消費者からすれば、その"同期"に利便性が高いと感じている。ただ、この利便性の高さは多くの優良アプリと同様にマルウェアでも同じこと」(Rosch氏)シマンテックでは、Android Wearを狙ったランサムウェアを"試作"し、Androidアプリの実行ファイル(.apk)をスマートフォンからスマートウォッチへ仕込んだ。この実験では、スマートウォッチへの通知を一秒ごとに行い、「金銭を支払え」と常に通知して事実上、使えなくしたという。現状のテストでは初期化すれば問題ないものの、常に通知が来て「使いものにならない」状況のスマートウォッチとなれば、そのまま破棄する人も出てくることだろう。なお、Rosch氏によるとiOS端末やApple Watchについてはいわゆるホワイトリスト方式のアプリストアであるため、こうしたランサムウェアが入る余地はほぼ皆無のため、Androidに限って注意した方が良いとした。また、ウェアラブルデバイスに限らず、ネットに繋がるテレビ、ネットに繋がる"家"など、いわゆる「IoT」の領域は急速に拡大している。これらのセキュリティは、セキュリティベンダーとしてどのように保つのだろうか?「家庭内には非常に多くのIoTデバイスが存在するようになった。もちろん、iOS端末のように一部はセキュリティが高いものもあるが、ほかは決して高いとはいえない。こうした環境でセキュリティを保つためには、ネットとのゲートウェイに位置する"ルーター"はいい着眼点だと思う。ノートンとしては、これまでも様々な(ハードウェア)パートナーと連携しながらセキュリティに対する取り組みを進めてきた。私たちからいつか、ハードウェアパートナーにそうしたオファーはするかもしれないが、今はソフトウェアに注力する。ただ、次に私が来日する時は、この分野(IoT)に関する発表をやるかもしれない(笑)」(Rosch氏)
2015年08月24日トレンドマイクロは、2015年第2四半期セキュリティラウンドアップを発表した。これは、2015年4月から6月までの日本国内および海外のセキュリティ動向を分析したものである。このなかから、いくつかの事例を紹介したい。○「気づけない攻撃」が多数発覚今回のセキュリティアラウンドで、まずもって目を引いたのが「気づけない攻撃」である。これは、6月以降に発覚した情報流出事件といった15件の事例で、9割以上が外部からの指摘によって初めて確認されたことによる。つまり攻撃を受けていた組織側では、攻撃を受けていたことをまったく認識していなかったのである。すでに標的型攻撃や標的型メールという言葉は、目新しいものではなくなっている。しかし、実際に自分が被害者であるという認識はきわめて低いレベルにとどまっているといえるだろう。その原因の1つが、標的型メールの8割が送信者を実在の組織を騙るなどの手口が使われているためだ。トレンドマイクロによれば、ネットワークの監視を行った組織のうち、「気づけない攻撃」で使用される遠隔操作ツールの外部への通信が発見された事例の割合は、2014年も2015年もおよそ4件に1件と変わっていないとのことである。大きな被害事例の発覚などをきっかけに、これまで気づけていなかった攻撃が表面化しただけと分析する。再度、これらの攻撃事例の特徴をまとめると、以下の3点になる。気づけない攻撃:15件中14件で外部からの指摘や指示により調査を行った結果、被害が発覚したと公表。被害組織自身ではそもそも攻撃に遭ったこと自体に気づいていない侵入方法は標的型メール:15件中12件で侵入経路は標的型メールであることが判明主な被害は個人情報:15件中8件で流出した情報が特定されており、そのすべてで個人情報の被害が発生実際に使われた標的型メールの一例を紹介しよう。標的型攻撃の手順であるが、ますは図3のような標的型メールを送信することから始まる。メールには、RAT(攻撃者が外部からの遠隔操作を実現するために使用するツールの総称。Ramote Access Trojan、遠隔操作ツールとも呼ばれる)が仕込まれており、攻撃対象の組織に侵入すると、C&Cサーバー(攻撃者がRATに遠隔操作のコマンドを送るために使用するサーバー)と通信を開始する。結果、攻撃者の遠隔操作によって個人情報などが窃取されるのである。トレンドマイクロによれば、RATの1つとして「EMDIVI」ファミリーが使われている。その検出数の推移が図4である。従来のウイルスや不正プログラムなどと比較すると、桁違いに少ないと思われるかもしれない。しかし、RATの多くは限定された範囲でのみ使われる。さらに、標的に特化して使用されるため、毎回そのプログラムや構造を変化させる(これが、従来のパターンマッチングでは、検出不可能な理由である)。したがって、ウイルスのような規模で検出されることはない。しかし、6月に表面化した情報流出事例は、数か月前から侵入を受けていた点を踏まえると、「気づけない攻撃」がこれまで認識されてきたよりも広い範囲に対し行われていること、また、標的型メールによる侵入自体に気づけていないケースがある可能性を示唆しているとトレンドマイクロでは、分析している。「システムは侵入されるもの、情報は流出するもの」という前提での対策が求められる。さらに、その組織に保存される情報の価値や優先度なども事前に検討する必要があるだろう。そして、情報流出が発生(発覚)した際の対応も、事前に準備する必要があるだろう。○法人を狙ったランサムウェアが急増ランサムウェアは、なんらかの方法によりPCの利用をできないようにする不正プログラムである。ランサムウェアの多くは、回復するためにと称し、金銭(身代金)などを要求するものが多い。最近、急増しているのが、Cryptoランサムウェアである。これは、PC内のデータやファイルを暗号化し、元に戻すために身代金を要求するものである。もともと英語圏で、被害が発生していた。しかし、明らかに日本を攻撃対象としたランサムウェアも登場している(図5)。感染した環境が日本語だと、図5のように日本語で要求メッセージが表示される。これを見ると、かなりこなれた日本語となっている。かつては自動翻訳などにより、不自然な日本語が多かった。このあたりも、明確に日本を攻撃対象としていることがうかがえる。さて、Cryptoランサムウェアの暗号化であるが、かなり強力であり、自力で元に戻すことは不可能に近い(この点もやっかいなポイントである)。そのランサムウェアが、個人ではなく法人を攻撃目標としている。図6は、法人からの調査検体におけるランサムウェアの数推移である。前年同期比4.2倍となっている。トレンドマイクロのサポートセンターに寄せられた日本国内の法人ユーザーからのランサムウェアの問い合わせ数の推移が図7である。過去1年間は、ほぼ3か月に1件程度で推移していた。しかし、第2四半期だけで17件と急増している。このことからも、法人を攻撃対象としたランサムウェア攻撃の増加が見てとれる。法人を攻撃目標とする場合、共有フォルダなどのデータやファイルが狙われることが多い。状況によっては、甚大な被害となることがある。このようなランサムウェアへの対策であるが、まずは脆弱性の解消である。ランサムウェアの感染経路であるが、改ざんされたサイトや不正広告を悪用して、脆弱性攻撃ツールであるエクスプロイトキットを設置した不正なWebサイトへ誘導して、感染させるパターンが確認されている。したがって、脆弱性の解消が重要な対策となる。上述のように、共有フォルダが暗号化されることもある。こまめなバックアップもいざというときの重要な防御策となるだろう。グローバルセキュリティラウンドアップでも、ランサムウェアの脅威は指摘されており、今後も続くと予想される。他にもネットバンキングを狙ったフィッシング詐欺の拡大といったことも指摘されている。時間に余裕があるならば、ぜひ、読んでもらいたい。
2015年08月21日マカフィーは8月17日、同社公式ブログで一般ユーザーが利用できる無料のランサムウェア「Tox」に関する記事を公開した。ランサムウェア「Tox」は、サイト登録だけで無料入手でき、TORとBitcoinを活用しているため、ある程度の匿名性を確保している。さらに、Toxに標準搭載されているマルウェア対策の回避機能はかなり高レベルとのことで、このマルウェアのターゲットが防御するためには、「HIPS」や「ホワイトリスト」「サンドボックス」といった追加対策が重要になるという。製品Webサイトでは、登録後に「ランサム(身代金)の額」と「cause(理由)」を入力。「CAPTCHA(認識した文字列)を送信する」の3ステップで.scrファイルを装った約2MBの実行ファイルが作成される。このマルウェアは、実行されると犠牲者のデータを暗号化し、データを利用したければ身代金を払うように犠牲者に要求し、送金先のBitcoinアドレスを通知する。マカフィーは、暗号化と回避技法がより高度なマルウェアと亜種が開発される可能性があると警鐘を鳴らしている。
2015年08月19日チョコラン実行委員会は2016年1月31日、愛知県名古屋市の庄内緑地にて「チョコラン2016愛知大会」を開催する。「チョコラン」は、チョコ菓子を食べながら楽しく走ることを趣旨としたランイベント。コース上には給水所ならぬ「給チョコ所」を設け、参加者は高級チョコを含んだチョコ菓子を食べられる。子どもやランニング初心者でも楽しんで走れるよう、2.5km、5km、10kmの3コースを用意しているとのこと。子供と保護者1人ずつで参加できる"親子ラン"なども実施する。参加費用は1,500円(早割・税込)~ 。定員は先着2,040人(各コース合計)を予定している。なお、エントリーは、8月13日14時から公式サイトにて受け付ける。コースごとの参加費用などの詳細も、公式サイトにて公開されている。
2015年08月12日ESETは8月7日、Windows 10へのアップグレードを装ったランサムウェアを確認したと明かした。ランサムウェアとは、ファイルを暗号化して開くことができない状態にしたうえで、復号するための身代金を要求するマルウェア。今回、Windows 10へのアップグレードの案内を装い、添付されているランサムウェア(別名:CTB-Locker)の実行を促すメールが確認された。偽装メールは、差出人欄が「Microsoft<updateアットマークmicrosoft.com>」、件名が「Windows10Free Upgrade」、添付ファイルの名前が「Win10Installer.zip(Win10Installer.exe)」となっている。同社では、偽装メールを受信した場合、添付されているファイルを実行しないように注意喚起している。万が一ランサムウェアに感染した場合に備え、定期的にデータをバックアップすることも重要だという。ESET製のセキュリティソフトは、2015年7月30日(日本時間)にウイルス定義データベースが更新されており、利用者はアップデートすることで、このランサムウェアの侵入を防ぐことが可能。同社は、確認されているウイルスの亜種が発生する可能性があるとして、ウイルス定義データベースは常に最新の状態するよう呼び掛けている。
2015年08月10日キヤノンITソリューションズは7日、「ESETセキュリティ」シリーズのWebコンテンツとして提供している「マルウェア情報局」にて、Windows 10へのアップグレードを装ったランサムウェアへの注意をうながした。この情報は米Cisco Systemsによるもので、ランサムウェアを添付した偽の「Windows 10アップグレード案内」メールが出回っている。ランサムウェアを実行すると、PC内の様々なファイルが勝手に暗号化され、復号化のために身代金を要求されてしまう。たとえ身代金を支払ったとしても、暗号化が解除される保証はない。現状で確認されている偽装メールは、差出人、件名、添付ファイルが以下のようになっている。From : Microsoft件名 : Windows 10 Free Upgrade添付ファイル : Win10Installer.zip(Win10Installer.exe)英語メールなので日本のユーザーは騙されにくいかもしれないが、いつ日本語の偽メールが届くかわからない。改めて、メールの添付ファイルには日ごろから十分な注意が必要だ。
2015年08月07日8月3日(米国時間)、Threatpostに掲載された記事「Windows 10 Upgrade Spam Carries CTB-Locker Ransomware|Threatpost|The first stop for security news」が、Windows 10のアップグレードに関するメールに偽装してマルウェアへ感染させようとする動きが活発化していると伝えた。マルウェアをメールに添付する形での感染経路を持っており、添付ファイルを実行するとマルウェアに感染するという。今回指摘されている不正な動きは、メールに添付されているzipファイルを展開して内部のファイルを実行するとCTB-Locker系と見られるランサムウェアに感染するというもの。このランサムウェアはドキュメントを暗号化してしまい、復号してほしければ96時間以内にBitcoin経由で送金するように身代金を要求するとのことだ。CTB-Locker系のランサムウェアが提示する時限としては短いほうだとも説明されている。Windows 10への無償アップデートの提供が開始されたことで、最新技術やソフトウェアの最新バージョンに関心の高いユーザの心理状況を悪用して感染を広げているようだ。Windows 10のアップデートがメール経由で提供されることはなく、ダウンロードを通じて提供されるため、メールによるアップデート作業の指示などが含まれたメールを受信した場合、スパムやフィッシングメールとして適切に対処することが望まれる。
2015年08月05日“理想の学校”設立の夢を実現させるために奮闘する若者たちを描いた映画『サムライフ』のブルーレイ&DVDが本日リリースされ、メイキング映像の一部が公開された。本作は、社会を本気で変えようとした若者たちが小さな町で起こした奇跡の実話がもとになっている。その他の写真『サムライフ』は、長野県上田市に認定NPO法人 侍学園スクオーラ・今人を開校させるまでを描いた長岡秀貴氏の同名自伝小説が原作。主人公の元高校教師・ナガオカが、貯金725円から学校設立のため資金を集め、夢に賛同する4人の若者たちと「“自分で生き方を決める学校”をつくる」ために奮闘する青春物語。『許されざる者』や『永遠の0』など話題作への出演が相次ぐ三浦貴大が主演を務め、松岡茉優や加治将樹、柾木玲弥、山本涼介らが出演し、上田市でオールロケが敢行された。このほど公開されたメイキング映像には、クランクインの模様や、劇中に登場する“赤い鉄橋”(上田電鉄・別所線の上田駅と城下駅の間に位置する千曲川橋梁)での撮影の様子、三浦、松岡らが共演者について楽しそうに語る姿が収められている。ブレーレイ&DVDの豪華初回特典・特典映像にはメイキング映像のほか、未公開シーンや舞台あいさつが収録されており、封入特典としてオリジナルブックレットと、長野県上田市ロケーションマップが付いてくる。『サムライフ』発売中ブルーレイ:5000円+税DVD:4000円+税発売元:アットムービー販売元:ポニーキャニオン
2015年08月04日チョコラン実行委員会は2016年1月、夢の島公園(東京都江東区)と服部緑地(大阪府豊中市)にて「チョコラン2016」を開催する。「チョコラン」は、チョコ菓子を食べながら楽しく走ることを趣旨としたマラソン大会。コース上には給水所ならぬ「給チョコ所」を設け、参加者は高級チョコを含んだチョコ菓子を食べられる。子どもやランニング初心者でも楽しんで走れるよう、2.5km、5km、10kmの3コースを用意しているとのこと。参加費用は1,500円(早割・税込)~。東京大会は1月23日、大阪大会は1月17日に開催する。定員は先着4,000人。詳細は公式サイトにて。
2015年07月19日イギリスのシンガーソングライター、SAM SMITH(サム・スミス)が11月24日(火)東京・国立代々木競技場第一体育館、11月25日(水)兵庫・ワールド記念ホール(神戸ポートアイランドホール)で来日公演を開催する事が決定した。【チケット情報はこちら】今年の5月に予定されていた初の単独来日公演を、喉の不調によりキャンセルしていたサム・スミス。活動を休止し静養していたが、今月よりライブを再開。それに伴い来日公演の開催が決まった。サム・スミスは2014年にリリースしたデビューアルバム『In The Lonely Hour』が、全英アルバムチャートで初登場1位を記録。現在までに同作の売上枚数は800万枚を突破。今年の2月に発表された第57回グラミー賞において「最優秀新人賞」を含む4つの賞を獲得するなど、今注目を集める海外アーティストのひとり。チケットの一般発売は9月5日(土)午前10時より。■SAM SMITH(サム・スミス)来日公演11月24日(火)国立代々木競技場第一体育館(東京都)11月25日(水)ワールド記念ホール(神戸ポートアイランドホール)(兵庫県)料金:VIP指定席 14000円 ※グッズ付 / S指定席 8000円(オールスタンディング・税込・別途1ドリンク)※4歳以上はチケット必要。★★以下のリンクより「SAM SMITH(サム・スミス)」をお気に入り登録して、情報をゲット!
2015年07月16日八景島ファンラン実行委員会は8月22日・23日、横浜・八景島シーパラダイスにて「WATER SPLASH RUN(ウォータースプラッシュラン)in 横浜・八景島シーパラダイス」を開催する。同イベントは、今年初の登場となる"水"を使ったアトラクションのなかを走るファンランイベント。施設内に設けた2.5kmの特設コースには、ウォーターキャノンやウォーターミスト、シャボン玉マシーンなどを設置し、参加者はその中をずぶ濡れになりながら走り抜ける。そのほか、スーパー水鉄砲でランナーを狙ってくるウォーターガールや、同施設に夏に現れる水かけ仕掛け人「シーパラン」も登場。走るだけではなく、歩いたり写真を撮ったりなどさまざまな楽しみ方ができる。ランのあとは、イベント広場に集まったランナーを対象にステージからの大放水なども予定。DJも登場し、ステージを盛り上げる。チケットには横浜・八景島シーパラダイスのワンデーパスが付いているため、イベント終了後は水族館やプレジャーランドのアトラクションも楽しめる。参加料は6,950円(税込)。エントリーは7月10日の12:00より、チケットぴあなどのプレイガイドで受け付ける。先着は各日6,000人(合計1万2,000人)。
2015年07月10日スポーツワンはこのほど、ラグーナビーチ(愛知県蒲郡市)にて開催するファンランイベント「バブルラン2015 in愛知」の追加開催を決定した。「バブルラン」では、「ラグーナビーチ」内の全長約3kmに及ぶコース上に"バブルマシン"を設置し、大量の泡を放出。参加者は泡まみれになりながらゴールを目指す。ゴール後には、人気のアーティストやダンサー、DJらによるパフォーマンスとバブルマシンを組み合わせ、参加者が踊りながら泡まみれになる野外「バブルパーティー」も開催されるとのこと。同イベントは9月12日の開催を予定していたが、募集開始1週間でエントリーが1万人を超える好評を受けて、翌日の9月13日にも追加開催することを決定。現在公式サイトにて参加申し込みを受け付けている。なお、9月13日分の参加料金は、バブルランオリジナルサングラスが付く「プレミアエントリー」が7,500円(6月26日~7月5日)、「早割エントリー」が6,500円(6月26日~7月5日)、「通常エントリー」が7,200円(7月6日~7月26日)となる。また、7月6日~7月26日には、9月12日分の「通常エントリー」(7,200円、いずれも税込)も受け付ける。
2015年07月01日6月19日(米国時間)、Threatpostに掲載された記事「FBI Says Cryptowall Cost Victims $18 Million Since 2014|Threatpost|The first stop for security news」において、ランサムウェアの一種であるCryptoWallに関する被害総額がこの1年で1800万米ドル(22億円)以上に達していることを伝えている。ランサムウェアが要求してくるファイルに対する身代金の平均金額は1件当たり200米ドルから10000米ドル(2万円から120万円ほど)だが、こうした直接的な被害以外にもランサムウェアに感染したことで発生する生産性の低下、ネットワークにおける防衛措置の導入、モニタリングサービスの導入などの追加の費用が発生し、これらの経費を含んだ被害総額が、2014年4月から2015年6月までの期間で合計1800万米ドル(22億円)を超えていると説明されている。ランサムウェアはユーザが作成した文書やスプレッドシートといったファイルを勝手に暗号化し、復号化してほしければ対価を支払うように求めてくる。支払いをしても確実に復号化が実施されるとは限らず、ツールなどを使って復号化することもほぼ不可能と見られている。このため、ランサムウェアに対抗するには、通常のマルウェアに対する措置に加え、ファイルのバックアップを定期的に取る必要があるとされている。
2015年06月24日参加型スポーツイベントの企画・運営を行うスポーツワンは9月12日、ラグーナビーチ(愛知県蒲郡市)にてファンランイベント「バブルラン2015 in愛知」を開催する。同イベントでは、「ラグーナビーチ」内の全長約3kmに及ぶコース上に"バブルマシーン"を設置し、大量の泡を放出。参加者は泡まみれになりながらゴールを目指す。ゴール後には、人気のアーティストやダンサー、DJらによるパフォーマンスとバブルマシーンを組み合わせ、参加者が踊りながら泡まみれになる野外「バブルパーティー」も開催されるとのこと。「バブルラン」は2015年4月に「バブルラン2015 in千葉(幕張海浜公園)」として日本で初開催され、2日間で約2万人が参加。参加者によるInstagramの投稿(#バブルラン)が6,000を超えるなど、好評を博したという。また、2015年8月29日・30日には舞洲スポーツアイランド(大阪府大阪市)にて「バブルラン2015 in大阪」の開催を予定している。なお、「バブルラン2015 in愛知」へのエントリー受付は6月16日14時よりバブルラン公式ウェブサイトにて開始する。料金は、バブルランオリジナルサングラスが付く「プレミアエントリー」が7,500円(6月16日~6月25日)、「早割エントリー」が6,500円(6月16日~6月25日)、「通常エントリー」が7,200円(6月26日~7月15日、いずれも税込)となる。募集期間は6月16日~7月15日で、募集人数は1万5,000人。※画像は「バブルラン2015 in千葉」の様子
2015年06月15日Zscalerは6月4日(米国時間)、「Zscaler Research: Signed CryptoWall 3.0 variant delivered via MediaFire」で、最近のスパムキャンペーンにおいて、複数のデジタル署名を含んだランサムウェア「CryptoWall 3.0」が、ファイルホスティングサービス「MediaFire」を経由してダウンロードされながら広がっていることが確認されたと伝えた。このランサムウェアはCryptoWallの亜種だが、適切なデジタル署名を含んでいることが問題を難しくさせていると説明がある。セキュリティ・ソフトウェアでもマルウェアとしての検出が難しく、対処できないことがある。記事ではこうしたタイプの脅威に対応するには、複数のレイヤにまたがっていくつかの方法を組み合わせて対応をする必要があると指摘するほか、ランサムウェアに対しては定期的にバックアップを取ることが依然として重要だとしている。ランサムウェアは、ユーザが作成したファイルを暗号化し、復号化して欲しければ送金しろという要求を出すマルウェア。送金にはBitcoinが使われるケースが多い。ランサムウェアの被害が大きい国と比較すると日本での被害は小さいが、今後日本国内でも被害の拡大が予測されている。送金しても復号化されるとは限らないため、ランサムウェアに対する効果的な方法は別の媒体にファイルを定期的にバックアップすることだとされている。CryptoWallはCryptoLockerと呼ばれるランサムウェアの後継に近い位置づけにあり、広く出回っているランサムウェアの1つ。CryptoLockerは3カ月の活動で2700万ドルを世界中の感染者から収集したとされており、2013年後半以降、CryptoLockerのコピーおよび亜種が増加している。
2015年06月05日トレンドマイクロは、2015年第1四半期セキュリティラウンドアップを発表した。これは、2015年1月から3月までの日本国内および海外のセキュリティ動向を分析したものである。すべてを紹介することは紙数の関係で不可能なので、興味深い事例をいくつか紹介したい。○検出台数が前年同期比1.5倍増ネットバンキング被害これまでのセキュリティラウンドアップでも指摘されてきたが、国内のネットバンキング被害が常態化してきている。2015年第1四半期の主要オンライン銀行詐欺ツールの検出台数は8300件となった。2014年の同時期では、5600件と比較すると1.5倍となる。トレンドマイクロでは、一向に収束する気配がないと注意喚起している。また、これらのオンライン銀行詐欺ツールを感染させる方法として、マルウェアスパムマルバタイジング(不正広告)などがある。まず、マルウェアスパムであるが、ウイルスなどの頒布を目的としたものである。その1つにWERDLODがある。WERDLODは、大手オンラインショッピングモールからの請求書を装う。invoice_10_02_2015.rtfが添付されている(図2)。この添付ファイルを実行すると、WERDLODに感染する。攻撃方法であるが、従来のオンライン銀行詐欺ツールと異なり、プロキシ設定を改変し中間者攻撃(MitM=Man in the Middle:通信の途中に割り込み二者間の通信内容を盗聴する)を行う(図3)。このように難読化されているのも特徴である。ある設定ファイルには、日本国内の金融機関が15件含まれていた。さらに悪質な点は、不正なルート証明書を感染したPCにインストールし、正しいSSL通信が成立しているように見せかける。結果、従来のZBOTやVAWTRAKが行うWebインジェクション攻撃と比較し、発見されにくい。また、WERDLOD自体を削除しても、改変されたプロキシ設定が残る間、中間者攻撃が継続する。後者では、アダルトサイト上の広告コンテンツが改ざんされ、脆弱性攻撃サイトへ誘導するスクリプトが仕込まれていた(図4)。トレンドマイクロでは、今後も被害の拡大が予想されると指摘する。全国銀行協会の公表によると、2015年1月~3月における個人口座からの不正送金被害は過去最高の2億7900万円となったとのことだ。そして、攻撃対象が、大手銀行だけでなく、中小規模の金融機関も対象となっている。これは、セキュリティのあまい点を狙ってのことと推察される。また、海外で使われた手口が日本でも使われる可能性も指摘する。たとえば、WERDLODは2014年9月にスイス、オーストリアなどで確認された(スイスで確認されたことからエンメタル作戦と呼ばれる)。同じように、金融機関のシステム自体に侵入して不正送金を行うような標的型サイバー攻撃も、日本で発生する可能性を指摘する。○フィッシング詐欺は前年同期比2.8 倍増フィッシング詐欺も増加している。図5は、フィッシング詐欺サイトをアクセスブロックした推移を表したものである。2014年の同時期の2.8倍となっている。トレンドマイクロでは、さらに、どのようなブランドやサービスを標的としているかを調査した。標的となったブランドやサービスが特定できたおよそ9 万5千件のフィッシング詐欺サイトのうち、44%がネットショッピング関連であった。以下、オンラインゲーム関連(29%)、Apple関連(12%)と続く(図6)。フィッシング詐欺というと、一昔前に流行った攻撃というイメージがある。この点についてトレンドマイクロでは、攻撃者がユーザーの認証情報を窃取するために、フィッシング詐欺は、まだまだ有効な攻撃と認識していると分析している。特に、パスワードの使い回しなども多く、一度でも認証情報が詐取されると、大きな被害に繋がりかねない。国内で、ネットショッピングやオンラインゲームが多数を占めたのは、国内でのユーザーが多いことが原因と推察される。こうして、攻撃者はその地域や国などの状況に合わせた攻撃を行ってきている。このあたりにも注意が必要であろう。○海外では、企業を標的にしたCryptoランサムウェアの急増ランサムウェアは、身代金要求型不正プログラムと呼ばれるもので、画面をロックしたりして、解除するためには金銭を支払わせるものだ(支払っても直る可能性は低い)。Cryptoランサムウェアは、画面ロックではなく、ファイルを暗号化してしまう。非常に悪質な行為を行う。図7は、ランサムウェアに感染したPCの推移をグラフにしたものである。Cryptoランサムウェアの比率が急増している。そして、2015年には攻撃対象に大きな変化が見られた。一時期、猛威をふるったCryptoLockerを模倣したCryptoランサムウェアに、CryptoFortressがある。このCryptoFortressは、共有フォルダ内のファイルを暗号化する。つまり、企業などを標的にしているのである。また、Webサーバーの各種データベースを暗号化するCRYPWEBのようなCryptoランサムウェアも検出された。Cryptoランサムウェアへの対策であるが、かなり強固な暗号が使われており、ファイルを元に戻すことは非常に難しい。となると、唯一の対策はバックアップとなる。一方で、攻撃者は、亜種や暗号化モジュールを加えるだけで簡単にCryptoランサムウェアを作成できる。多くの被害をもたらすことになる。図8は、国別のランサムウェアの感染数を比較したものである。現時点では、米国での感染数1位となって、他の国との差も大きい。日本に目をむければ、(Crypto型も含め)いくつかのランサムウェアは検出されている。CRYPWEBに関しては、日本トレンドマイクロのサポートセンターで、被害に関する法人からの問い合わせを3月中に3件受けている。すでに国内にも侵入している。上述したオンライン銀行詐欺ツール同様、国内でもいつ大流行するかわからない。またトレンドマイクロでは、、共有ネットワーク上のファイルが暗号化されることで、特に法人ユーザーにとっては大きな問題となることが予想されると注意喚起している。今回のセキュリティラウンドアップのサブタイトルには、「マクロ型の復活」という言葉が含まれていた。これはOfficeなどのマクロ機能を悪用した手口が復活してきていることを意味する。マクロ型ウイルスは過去において、かなりの猛威をふるった。しかし、最近ではほとんど使われることがなかった。そのため、今のユーザーには知らない脅威、つまり無防備な状態となった。そこを攻撃者が狙ったのである。ほかにも、興味深い事例もある。ぜひ、一読してほしい。
2015年06月03日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて注意喚起を行っている。まずは、ランサムウェアであるが、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。決して目新しいものではなく、米国などでは警察、裁判所、司法関係、公的機関を名乗り、画面をロックし、PCを使えない状態にする。「罰金払え」といった名目で金銭を詐取することを目的としている。PC乗っ取り型(デスクトップロッカー型とも呼ばれる)ランサムウェアである。ユーザーを信用させるために、それらしい理由などが記載されている。当然ながら、英語圏以外では、翻訳の作業が必要になる。したがって、日本ではランサムウェアの攻撃者らにネイティブレベルで日本語を使えることが必要となる。これは、ランサムウェアに限ったことではないが、言語の壁が防波堤となり、ウイルスや不正プログラムへの自然な防御策ともなっていた。偽セキュリティ対策ソフトなどでも、不自然な日本語が使われており、注意力を働かせることができた。○クリプト型ランサムウェア最近になり、異なる種類のランサムウェアが登場してきた。PC内のユーザーデータを暗号たするランサムウェアである。PC内に保存してある文書、写真などのデータを暗号化する。そして、元に戻す(復号キーを入手)ためには、金銭を払えと脅してくるのである(もちろん、支払っても戻る可能性はない)。PC乗っ取り型では、ランサムウェアを駆除することで解決する。しかし、クリプト型ランサムウェアでは、駆除しても暗号化されたデータは元に戻ることはない。最近の暗号化はAES-265やRSA暗号などが使われ、復号キーを入手する以外に元に戻す方法はないといってもいいだろう。この点が、非常に悪質なところである。そして、IPAが警告するのは、流暢な日本語が使われている点である。図3は、IPAに寄せられたランサムウェアに関する相談数の推移である。初めてIPAに寄せられたランサムウェアに関する相談は、2011年7月とかなり以前であった。当然ながら、その頃の脅迫文は英語であった。ところが、2014年12月に日本語のランサムウェアの相談が寄せられるようになった。2015年4月には日本語によるランサムウェアの相談が6件となった(そのうちの1件は、企業から寄せられた相談であった)。要求される身代金は、数万円程度である。さらに、支払い方法にビットコインが指定されていた。日本国内では、ビットコインはそれほど流通しておらず、このことが障壁となって被害が拡大することがないだろうと、IPAでは予測している。しかし、最初は機械翻訳したような日本語から、ネイティブのような日本語に変化してきたように、金銭を奪う方法も変化することは十分に考えられる。一方で、ランサムウェアに対する認知度も、IPAの2014年10月に実施した意識調査では2割程度とかなり低い。対策や危機意識が乏しい状態では、被害が急激に拡大する危険性もある。この点にも、IPAでは懸念を表明している。○ランサムウェアの感染経路さて、ランサムウェアの感染経路についても、IPAでは調査を行っている。基本的には、他のウイルスなどと同様に、メール添付、メール内のURLのクリック、攻撃者の作成したWebサイトへ誘導されることで感染する。しかし、今回の相談では、特にそのような行為を行った形跡はみられなかった。よく確認してみると、怪しいとは思えないブログを閲覧した後で、身代金を請求されるようになったとのことだ。IPAでは、PCにインストールされているアプリケーションなどの脆弱性を悪用し、ドライブバイダウンロード攻撃が行われたと推測する。ドライブバイダウンロード攻撃は、そのWebサイトを閲覧しただけで、ウイルスなどに感染してしまうものだ。したがって、注意力で防ぐことは、非常に難しい。○ランサムウェアへの対策上述のように、ランサムウェアには感染しないことが、最大の防御となる(感染したら、データが暗号化されてしまう)。そこで、以下の対策をあげている。セキュリティ対策ソフトを導入するOSおよびアプリケーションを最新の状態にする重要なファイルを定期的にバックアップするいずれも基本的な対策であるが、怠りなく実施する必要があるだろう。そして、バックアップである。2014年10月に実施した意識調査では、定期的にバックアップをとっているユーザーは5割程度である。IPAでは、ランサムウェア以外にも、PCの故障などにも有効な対策となるので、ぜひバックアップを定期的に行うようにと推奨している。
2015年06月02日情報処理推進機構(IPA)は6月1日、「2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構」において、4月に情報処理推進機構の情報セキュリティ安心相談窓口にランサムウェアの被害と見られる相談が増えたとして、ランサムウェアの流行に注意するように呼びかけた。ランサムウェアはファイルを暗号化し、復号化したければ金銭を支払えという要求をするマルウェア。現在のところ、ビットコイン経由での支払いを要求することが多く、日本国内ではまだそれほど被害が発生していないと言われている。セキュリティ・ソフトウェアを使って駆除したとしても、暗号化されたファイルは復号されず、金銭の支払いに応じた場合も復号できるとは限らないため、バックアップを確実に取っておくといった対策が必要になるとされている。情報処理推進機構は、ランサムウェアへの対策として、セキュリティ・ソフトウェアを導入すること、オペレーティングシステムやアプリケーションを常に最新版へアップグレードし続けること、重要なファイルは定期的にバックアップを取ることなどを挙げている。
2015年06月02日トレンドマイクロは5月27日、「2015年第1四半期セキュリティラウンドアップ:「新旧手法を脅威拡散に利用する攻撃者~不正広告の台頭、マクロ型の復活~」を公開した。日本国内と海外のセキュリティ動向を分析した報告書で、これによると2015年第1四半期は、不正広告や不正プログラム攻撃が顕著だったという。具体的には、広告配信会社のサーバを改ざんし、広告配信先の正規サイトにアクセスしたユーザを不正サイトに誘導する事例や、ソフトウェアの開発元から修正プログラムが提供されていない「ゼロデイ脆弱性」を組み合わせた攻撃が新たな攻撃手法として確認されている。これらを組み合わせて、不特定多数への攻撃に用いることは、攻撃者にとって非常に重要な攻撃手段であると言える。他にも、アプリケーションの拡張機能であるマクロを悪用する「マクロ型」不正プログラムの検出数が、全世界で前年同期比約4.7倍に増加していることも分かった。確認された事例では、マクロを利用してユーザーを巧みにファイルへ誘導する手口などがある。ファイルに誘導されたユーザーは、結果としてオンライン銀行詐欺ツールを呼び込む攻撃を受けている。マクロ型不正プログラムは、2000年頃流行した古い攻撃手法だが、有効な攻撃手段として洗練されてきている。また、不正プログラム「ランサムウェア」の検出のうち法人ユーザからの検出台数が、前期比約1.6倍に増加し、2015年1月~3月の全検出台数の約4割を占めていることも報告された。ランサムウェアとは、感染したPC全体やPC内のファイルを暗号化し、復旧の代わりに金銭を要求する身代金要求型不正プログラムだ。被害が拡大する中、感染したPCがアクセス可能なファイルや、Webサーバ内のファイルを探索して暗号化するランサムウェアも今回初めて確認された。これらは、ネットワーク上で多くのファイルが共有されている企業・組織を狙ったものと推測される。現在は、英語で金銭要求を行うランサムウェアが海外を中心に広がっている。その一方で、日本の法人ユーザーへの攻撃も確認されているので、今後日本語で攻撃を行うランサムウェアが広がる可能もある。ほかに、インターネットバンキング利用者の情報を狙うオンライン銀行詐欺ツールも、国内の検出台数が前年同期比で約1.5倍に増加している。また、その拡散方法として、アダルトサイト上で表示される不正広告が悪用された事例も確認された。更に、昨年からその攻撃対象に地方銀行や信用金庫が主に利用している共通金融業務自動化サービスのWebサイトが含まれていることも確認されており、被害が拡大する可能性が高まっている。さらに、PC感染後にオンライン銀行詐欺ツール自身が削除されても情報窃取を可能にする、新たなオンライン銀行詐欺ツール「WERDLOD(ワードロッド)」が、2014年12月より国内で確認されている。トレンドマイクロは、国内では2015年1月~3月で400件以上の検出を確認しており、さらなる注意が必要になると指摘する。
2015年05月27日JPCERT コーディネーションセンター(JPCERT/CC)は5月26日、ランサムウエア感染に関する注意喚起を行った。JPCERT/CCは、いわゆるランサムウエアと呼ばれるマルウエアを用いて端末内のファイルを暗号化し、復号の為に金銭等を要求する攻撃の被害を多数確認しているという。これらの攻撃では、攻撃者は何らかの手法でWebサイトのコンテンツを改ざんし、サイトを閲覧したユーザを攻撃用ツールキットを設置したサイト(攻撃サイト)に誘導する。攻撃サイトに誘導された場合、OS、または、Adobe Flash Playerや Javaなど各種ソフトウエアの脆弱性を用いた攻撃が行われ、ユーザのPCに脆弱性が存在した場合、ランサムウエアに感染するおそれがある。ランサムウエアの感染被害に関して確認している脆弱性は、「CVE-2015-0313(Adobe Flash Player)」と「CVE-2014-6332(MS14-064)」の2つで、Microsoft Windows、Adobe Flash PlayerなどのOSやソフトウエアを最新版に更新することを推奨している。JPCERT/CCは対策として、Webサイト管理者に対しては、「使用しているOSやソフトウェアのバージョンを最新版にする」「Webサイトのコンテンツ更新は、感染していないことを確認した特定のPCや場所(IP アドレスなど) に限定する」の2点を勧めている。またユーザーに対しては、利用中のソフトウエアを最新版に更新することと、暗号化された場合に備え、定期的なバックアップデータ取得を推奨している。
2015年05月27日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は26日、国内でのランサムウェア感染が増加していることに関して、注意を呼びかけた。ランサムウェアはマルウェア(悪意あるプログラム)の一種で、感染した端末内のデータを勝手に暗号化し、元に戻すには金銭が必要とユーザーに要求する。これまでは諸外国で多数の被害が確認されていたが、最近は日本国内でも感染事例が急増中だ。ランサムウェアに感染し、犯人に対して仮に金銭を支払っても、暗号化されたデータが元に戻るとは限らない。JPCERT/CCによると、攻撃者は何らかの方法を用いてターゲットにしたWebサイトを改ざんし、アクセスしてきたユーザーを別の攻撃用サイトへと誘導。そこには攻撃用のツールキットが仕込まれており、ユーザーのPCに存在する脆弱性を狙ってランサムウェアを感染させようとする。JPCERT/CCの調査では、以下の脆弱性が攻撃に使われていることを確認した。CVE-2015-0313 (Adobe Flash Player)CVE-2014-6332 (MS14-064)なお、ユーザーの環境によっては、攻撃に悪用される脆弱性が異なる可能性がある。JPCERT/CCでは「Microsoft Windows、Adobe Flash Playerをはじめ、Java、Internet ExplorerなどのOSやソフトウエアを最新版に更新することをお勧めします」としている。
2015年05月26日スポーツワンは8月29日と30日、舞洲スポーツアイランド(大阪府大阪市)にて、ファンランイベント「バブルラン2015in大阪」を開催する。バブルランは、2015年4月に千葉県で初開催したランイベント。コース上に設置されたバブルマシーンから大量の泡が放出され、参加者たちはその中を泡まみれになって走る。千葉開催時は2日間で約2万人が参加し、参加者によるインスタグラムの投稿(#バブルラン)が6,000を超えるなど、大変話題となった。今回の会場となるのは、大阪市の舞洲スポーツアイランド。全長約3kmのコースを、泡だらけになってゴールをめざす。ゴールの後には人気アーティストやダンサー、DJなどによるパフォーマンスとバブルマシーンを組み合わせ、参加者が踊りながら泡まみれになる野外「バブルパーティー」を開催する。参加費用は、プレミアエントリーが7,500円(5月28日~6月1日)、早割エントリーが6,500円(6月2日~11日)、通常エントリーが7,200円(6月12日~30日)。5月28日から開始するプレミアエントリーの先着1,000名には、バブルランオリジナルサングラスをプレゼントする。価格は税込。
2015年05月22日