米Microsoftは12月16日、マルウェアフィルタリングの「SmartScreen」を強化してドライブバイダウンロード攻撃から保護できるようにしたと発表した。11月の「Windows 10」のアップデートに含まれるWebブラウザ「Edge」と「Internet Explorer 11」で利用できる。SmartScreenはMicrosoftのマルウェアフィルタリング技術で、Windows OSとEdge、IEに統合されている。URLの評定に基づき、フィッシングやソーシャルエンジニア攻撃に対してWindowsデバイスを保護したり、遠隔からの測定、グループポリシーといった機能がある。今回の発表では、これまでの保護に加えて、ユーザーが気がつかないうちにWebブラウザ経由で悪意あるソフトウェアを勝手にインストールする「ドライブバイダウンロード攻撃」からの保護にも対応した。悪意あるWebコンテンツを検出・保護するために、レンダリングが始まる前にSmartScreenサービスが小容量のキャッシュファイルを作成する。ブラウザはこのキャッシュファイルを定期的に更新し、ページに悪意あるコンテンツが含まれている可能性が高いと考えられる場合にSmartScreen機能を呼び出す。悪意あるWebサイトと判断した場合は、赤い画面で警告する。また、安全ではない広告など、悪意あるフレームについても警告するという。ユーザーは設定により、Microsoftにレポートできる。
2015年12月21日シマンテックは12月16日、ランサムウェアの「TeslaCrypt」が作成者によって改良を続けられ、攻撃が活発化しているとセキュリティブログで明かした。TeslaCryptは、マルウェアの強力な暗号化機能を使い、感染させたコンピュータ内のファイルを暗号化するランサムウェア。以前から確認されているランサムウェアであるが、作成者はマルウェアを日々改良し、新たな拡散の手法を実行しており、ランサムウェアの中でも危険な存在となっている。シマンテックの観測によると、12月になってからTeslaCrypt攻撃が増加している。攻撃の手法は、マルウェアを仕込んだ大量のスパムメールを送り付け、受信者を巧みに誘導してメールを開封させようとする。スパムメールで使われている件名の例は以下の通り。[ID:<ランダムな数字>]Would you be so kind as to tell me if the items listed in the invoice are correct?(お手数をおかけして恐縮ですが、請求書に記載の項目をご確認いただけますでしょうか)[ID: <ランダムな数字>] Please accept our congratulations on a successful purchase and best wishes.(このたびは、ご購入おめでとうございます。お礼申し上げます)[ID<ランダムな数字>] Would you be nice enough to provide us with a wire transfer confirmation.(お手数ですが、電信送金についてご確認ください)これらのスパムメールに共通する特徴は、添付されているファイルの拡張子が「.zip」となっているか、拡張子がない状態になっていること。添付ファイルは、正規の文書のように見せかけているが、実際はJavaScriptファイルであり、悪質なコードが含まれている。ユーザーが添付ファイルを開くと、自動的にTeslaCrypt がダウンロードされ、コンピュータにインストールされる。TeslaCryptの最新バージョンは2.2で、ユーザーのファイルを暗号化して拡張子を追加する。拡張子はバージョンアップにより変更されており、バージョン2.1では「.CCC」であったが、2.2では「.VVV」となった。TeslaCryptはファイルを暗号化すると同時に、プレーンテキストとHTMLファイルを作成する。どちらも身代金を払って暗号鍵を受け取る手順が書かれており、匿名のWebブラウザ Torをインストールし、TorのWebサイトにアクセスして詳細を確認するよう書かれている。TeslaCrypt はマルウェアとして商品化されており、アンダーグラウンドのブラックマーケットで販売されている。複数の攻撃グループは、TeslaCryptの作成者にプラットフォームの使用料を支払い、スパムボットネットや悪用ツールキットなどの利用料を支払っていることがおおよそわかっている。作成者は、TeslaCryptを購入しているグループに対し、購入したバージョンで重複しないID番号を割り振っている。シマンテックは、最近のTeslaCrypt攻撃の増加は、ブラックマーケットで購入した特定のグループによるものだと見ている。このグループは、主な拡散方法としてスパムメールを利用している。TeslaCrypt攻撃が活発化したことで、企業も警戒する必要がある。シマンテックはセキュリティ・ソフトウェアを定期的に更新し、差出人に見覚えのないメールは開かず、コンピュータに保存しているファイルはこまめにバックアップするといった対策を行うよう呼びかけている。
2015年12月18日警察庁は12月15日、インターネットに接続されたデジタルビデオレコーダなどのLinuxを搭載したIoT機器(組み込み機器)を標的とした攻撃を観測したと発表した。今回の観測は、宛先ポート「23/TCP」へのアクセス増加をきっかけとしたもの。23/TCPは通常、ネットワークに接続された機器を遠隔で操作するTelnetで利用されているが、2014年になってからアクセスが極端に増え、2015年になってからも高い水準で推移している。アクセス元は、インターネットに接続されたルータ、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダなどのLinuxが組み込まれたIoT機器であることがわかっている。不正なプログラムは、「ARM」「MIPS」「PowerPC」「SuperH」といったCPUを搭載する機器が感染するもので、これらのCPUは組み込み機器で多く搭載されている。このことから、攻撃者がインターネットに接続された組み込み機器を標的とした不正活動が明らかとなった。なお、一般のコンピュータで広く採用されているCPU「X86」で動作するコンピュータには感染しない。不正プログラムに感染した機器は、TelnetやHTTPによってC&C(Command and Control)サーバに接続を行い、攻撃者からの命令に基づいて動作する「ボット」として動作する。ボット化した機器は、攻撃者による感染拡大を狙ったさらなる探索(Telnet探索、宛先ポート53413/UDPに対するアクセス)のほか、DDoS攻撃やスパムメールの送信などで悪用される恐れがある。警察庁は「組み込み機器が何らかの手法により、攻撃者に乗っ取られ、攻撃の踏み台として悪用されている」とコメントしており、攻撃者の活動意図などはわかっていない。現在利用している機器について、最新のセキュリティ情報を確認することを推奨している。
2015年12月18日警察庁は15日、ルータやWebカメラ、NAS、レコーダーなど、インターネットに接続されたLinux OS搭載のIoT機器を狙った攻撃に注意を喚起した。利用者が知らない間に機器が攻撃者に乗っ取られ、攻撃の踏み台に悪用されているという。IoT機器を狙った攻撃では、ルータやWebカメラ、NAS、レコーダーなどのIoT機器に不正プログラムがダウンロードされ、攻撃者の命令でサーバ攻撃などを行なう"bot"となる。不正プログラムに感染した機器は、感染拡大のため、インターネットに接続されたテレビやスイッチングハブといった他の機器を探索したり、DDoS攻撃やスパムメールの送信などに悪用されたりする恐れがある。この不正プログラムは、一般的なPCで使われるx86系CPUでは感染せず、IoT機器で多く利用されるARMやMIPS、PowerPC、SuperHなど、特定のCPUで動作するLinuxに感染することが確認されているという。IoT機器では処理能力の低下など、機器の異常に利用者が気付きにくいため、不正プログラムの感染や攻撃を受けている状況を把握しにくい。このため警察庁では、利用中のIoT機器について、最新のセキュリティ情報を確認すること、脆弱性対策がなされないサポート終了製品を使い続けないことなどを推奨している。
2015年12月16日JPCERT/CCは12月2日、分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」を公開した。発表では、攻撃者が侵入したWindows上で使用するコマンドを明らかにするとともに、攻撃による影響を低減する方法を示している。JPCERT/CCによると、攻撃者が感染端末の情報収集によく使用するコマンドのうち、最も多かったのは「tasklist」だったという。攻撃者は、tasklistやver、ipconfig、systeminfoなどのコマンドにより、ネットワーク情報やプロセス情報、OS情報などを収集して、どのような端末に感染したのかを調査している。また、機密情報の探索やネットワーク内のリモート端末の探索においては、dirが最もよく使用されていることがわかった。攻撃者は、ファイルを探索するためにdirおよびtypeを使い、ネットワークの探索にはnetコマンドが使っている。ネットワーク内のリモート端末への侵入・感染を拡大するフェーズでは、atが最もよく使われている。atやwmicは、リモート端末上でマルウエアを実行するために利用され、wmicコマンドで引数を指定することにより、リモート端末上のコマンドを実行することができる。こうしたWindowsのコマンドの中には、ユーザーが使用しないコマンドが含まれている。そうしたコマンドをAppLockerやソフトウェア制限ポリシーを用いて実行を制限することで、攻撃者の活動を抑えることができるという。AppLockerを有効にすると、設定で指定されたWindowsコマンドが実行された、または実行しようとして拒否された事象がイベントログに記録されるようになり、マルウェアに感染した後に攻撃者が実行したWindowsコマンドを調査することにも活用できる。
2015年12月03日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。○探索活動(上位10コマンド)
2015年12月02日ペンタセキュリティシステムズは11月20日、Webアプリケーションへの脆弱性および脆弱性攻撃をまとめた月例レポート「EDR-Report」の10月版を公開した。これによると、Webアプリケーションを狙った脆弱性攻撃の10月の件数は23件で、9月より9件減少したという。内訳は、SQLインジェクションが最も多く、15件と半分以上を占めた。そのほかは、クロスサイト スクリプティングが3件、ローカルファイル挿入が2件、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロードが各1件だった。さらに、各攻撃を危険度別に分類しているが、最も危険度が高い「早急対応要」が8件(35%)、次に高い「高」が15件(65%)と、10月は危険度の高い攻撃のみの検出となった。万が一「早急対応要」の攻撃を受けた場合、Webアプリを経由して端末のシステムに侵入される恐れがある。「高」の場合は、システム情報を取得されるか、クライアントに2次被害を与える恐れがある。攻撃の危険度が高まっていることに加えて、攻撃を容易にする攻撃ツールの開発が進み、攻撃者にとって有利な環境が整いつつある。EDB-Reportは、見つかった攻撃を実行の難易度ごとに分類しており、最も攻撃が難しい「難」が7件(30%)、次に難しい「中」が7件(30%)、最も簡単な「易」が9件(39%)であった。攻撃を受けたソフトウェア別の件数は、Joomlaが9件、Pliggが4件、RealtyScriptが2件、ManageEngine、ElasticSearch、Kerio、JIRA、PHP-Fusion、Oxwall、Zope、Dreamが各1件であった。今回のレポートの結果を受けて、ペンタセキュリティは「10月はSQLインジェクション攻撃に関する脆弱性が非常に多く、その中でも世界中で利用されているCMSのJoomlaでSQLインジェクション攻撃が多いことがわかった。Joomlaはコンポーネントに対して当該脆弱性が数多く見つかっており、セキュリティパッチを適用すべき」と呼びかけた。また、CMSのPliggは、特定パラメータキーの配列を操作して攻撃に成功するといった、通常とは異なるタイプのSQLインジェクション攻撃が見つかった。脆弱性の発見されたページが管理者ページと見られており、関連セキュリティパッチが出るまで当該ソースコードの迅速な対応が必要だとしている。
2015年11月25日サイバーセキュリティクラウドは10月26日、外部公開サーバへのあらゆる攻撃をリアルタイムに可視化するWebサービス「攻撃見えるくん」の無料提供を11月11日に開始すると発表した。同社によると、リアルタイム可視化製品で無償提供のものは日本初だという。自社に対するサイバー攻撃がどこからどの程度行われているかを測るツールは今までもあったが、サーバのログをまとめて解析する形式のものが多く、実際に攻撃を受けた時間からタイムラグが生じていた。また、ログデータを解析するための時間も必要だった。「攻撃見えるくん」はどこからどのような攻撃を受けているかを地図上に視覚的に表し、自動でグラフ化するため、ページを開くだけで攻撃の傾向がわかる。常にリアルタイムで表示されるため、今どのような攻撃を受けているかを即時に確認できる。「攻撃見えるくん」の提供に合わせて、攻撃遮断製品の「攻撃遮断くん」もバージョンアップ。こちらは、サーバへのあらゆる攻撃を遮断するIPS+WAFクラウド型サーバセキュリティとなる。クラウド(IaaS)を含むほぼすべてのサーバに対応し、ネットワーク、OS、Webアプリケーションに対する攻撃を防ぐ。バージョンアップでは、「攻撃見えるくん」による攻撃の可視化に加え、「過去の攻撃データからの分析」「監視センターとの接続状況確認」に対応。さらに、24時間365日サービスの申し込みができるようになった。最短5分、24時間以内で利用を開始でき、顧客に合わせたフルカスタマイズ機能(攻撃遮断くんのみ)も用意する。また、データセンターは国内に設置した。「攻撃遮断くん」の基本料金はIP単位で4万円/月。従量課金プランでは5000万リクエストごとに10万円/月で、追加費用は5000万リクエストごとに10万円/月。また、攻撃ログ最新表示件数は、「攻撃見えるくん」が1000件、「攻撃遮断くん」は1万件で、表示数追加には1万件で5000円/月が必要となる。現在、サービスの事前登録を受け付けている。
2015年10月28日PFUは10月28日、標的型サイバー攻撃対策として新たな検知技術を開発したと発表した。新技術は、多くの技術が採用している、マルウェア自身の特性や振る舞いに基づくものではなく、攻撃者の行動に着目したものだという。標的型サイバー攻撃は一般的に、侵入前に標的組織の情報を入手する「情報収集」から、標的型メールのURLをクリックさせることで、ツールをダウンロードさせて遠隔操作し、情報を窃取する「組織内部侵入」といったプロセスを踏む。これに対して同社の研究チームは、組織内部侵入における攻撃者の行動プロセスに着目した「攻撃者行動遷移モデル」を構築した。このモデルを利用したものが、標的型サイバー攻撃の検知を実現する新たな検知技術「Malicious Intrusion Process Scan」となる。複数の協力組織において実証実験を重ねており、セキュリティ対策が施された実際の業務環境(合計約10万端末)における複数の標的型サイバー攻撃を検知し、効果を確認しているという。検知技術は「リアルタイム把握」と攻撃者行動遷移モデルを特徴としている。攻撃者は標的とした端末と通信して攻撃活動を行うため、端末の通信を監視する。エージェントレスで監視することで、攻撃者に気づかれることなくリアルタイムに攻撃者の行動を把握できるとしている。攻撃者行動遷移モデルでは、前述の攻撃行動の通信が通常の業務上行われる通信を装っているケースがあり、正しく検知できないことがありうるという。そのため、侵入直後から攻撃行動に移るまでの流れを「攻撃者行動遷移モデル」と照合し、検知精度を高める。この新技術は、千葉県・幕張で行われる情報セキュリティEXPOのPFUブースで公開される。
2015年10月28日データを盗み取る攻撃者のもっとも一般的な攻撃方法は何か? マカフィーが10月19日、同社ブログで解説している。調査レポートでは、2015年の第1四半期に発生した約5500万件の攻撃の大部分を構成する5つの攻撃方法について説明している。レポートによると、ネットワークリソースの悪用が最も簡単な方法であることから、インターネットサービスの中断またはアクセス拒否が、すべての攻撃の40%以上を占め、従来から引き続きナンバーワンの攻撃方法となっている。DDoS攻撃に対する防御は大幅に向上しているものの、DDoSフラッド攻撃の開始を特定するには、通常のボリュームおよびパターンを確実に理解する必要がある。また、不正なパケットの性質を理解するには、ディープパケットおよびSSLインスペクションが必要で、インターネットリソースからそれらの不正なパケットを遠ざけるには強力なフィルタリングが必要になる。窃盗者は実際に内部に侵入するために弱点としてユーザーに焦点を当てる。フィッシングメールやソーシャルエンジニアリング、または不正アクセスであるかどうかを問わず、昨年1年間で疑わしいURLは87%増加し、今ではブラウザベースの攻撃が攻撃全体の35%超を占めているという。これらは多くの場合、窃盗者は特定の部門または数名の重要人物に焦点を当て、必要なワンクリックが得られるまでその部門や重要人物を継続的に標的にするという。さらに、窃盗者はAdobe FlashやJavaScriptなどの機能豊富なコンテンツにマルウェアを隠すことで、静的フィルタによる検出を困難にしているので、ユーザーは、ブラウザの機能を代行できる知的なコンテンツフィルタリングを追加して保護を強化する必要がある。攻撃の大半は正面からの侵入や、ますます高度化するWebによる誘導でユーザーを騙そうとするものだが、他にもこっそり忍び込んだり、防御をうまく回避したり、暗号化されたストリームに混じって防御をすり抜けしようとするものもある。攻撃者にとっての大きな利点の1つは、顧客の防御のあらゆる側面を分析し、さまざまな製品をテストし、どの方法で侵入できるかを把握するために繰り返し試行できる点だ。攻撃者は、後で組み立て直すためにマルウェアを小さな部分に分割し、サンドボックスでの検査時にはマルウェアを休止状態にし、コールバックアドレスをランダム化して取り消す準備を行う。そのため、これらの不正な攻撃を見つけるには、防御機能のすべてが連携し、悪意のあるアクティビティをノイズの中から識別する必要がある。
2015年10月20日米Facebookは17日(現地時間)、Facebook利用者のアカウントに対するサイバー攻撃が、国家の支援によるものと疑われる場合、攻撃を受けたアカウントのトップページに警告を表示すると発表した。同社では、攻撃を受けたアカウントをセキュアに保つ措置を常に講じており、今回、アカウントへの攻撃が政府支援によるものと強く疑われる場合、その旨を該当アカウントのデスクトップ版トップページ上に警告することを決断したという。この種の攻撃は、より危険な方向へ進化する傾向があり、攻撃された人々が、自身の情報をセキュアに保つため必要な行動を起こすよう促すねらいだ。表示される警告はFacebookのシステムとは関連しておらず、攻撃を受けたアカウントは、PCやモバイルデバイスが既にマルウェアなどに感染している可能性もあると指摘。同社は、「警告のメッセージが表示されたユーザーは、自分のPCやデバイスのシステムを再構築したり、交換するなど気を配るべきだ」と注意を喚起している。
2015年10月20日トレンドマイクロは10月14日、Adobe Flash Playerのゼロデイ攻撃を最新の標的型サイバー攻撃キャンペーン「Pawn Storm作戦」で確認したとセキュリティブログで明かした。同社は「Pawn Storm 作戦」を仕掛ける攻撃者がFlash Playerに存在するゼロデイ脆弱性を利用していることを確認。このゼロデイ脆弱性は2014年に初めて見つかっている。「Pawn Storm 作戦」による攻撃は現在でも多発しており、直近で複数の国の外務省が標的型メールを利用した攻撃の被害を受けている。このケースでは、メールの本文内に最新ニュースに関する情報を示すページのリンクが含まれており、受信者がリンク先を誤って開いてしまうと、脆弱性を利用するエクスプロイトコードが組み込まれたWebサイトに誘導されてしまう。この攻撃は標的型メールのトピックとして以下の内容が利用されている。Suicide car bomb targets NATO troop convoy KabulSyrian troops make gains as Putin defends air strikesIsrael launches airstrikes on targets in GazaRussia warns of response to reported US nuke buildup in Turkey, EuropeUS military reports 75 US-trained rebels return Syria同社は、今回の攻撃で注視すべき点として、エクスプロイトコードが組み込まれたURLを挙げている。このURLは、4月に起きた北大西洋条約機構(NATO)やアメリカ大統領官邸(ホワイトハウス)を標的にした攻撃に利用されていたURLと類似しているという。各国の外務省も「Pawn Storm 作戦」の標的となっており、不正プログラムによる攻撃以外にも、偽の「Outlook Web Access(OWA)」が標的となる複数の省庁に対して設置されていた。攻撃を受けた場合は、個人情報が窃取されるほか、受信メールの DNS設定が改ざんされるケースがあることもわかっている。問題のAdobe Flash Playerのゼロデイ脆弱性は、同ソフトウェアのバージョン19.0.0.185および19.0.0.207が影響を受ける。現時点で開発元のAdobeから更新プログラムがリリースされていない。同社は、確認したゼロデイ脆弱性を開発元のAdobeに報告しており、今後も標的型サイバー攻撃への調査を続けるとしており、最新情報をブログなどで公開するとしている。
2015年10月15日ラックは10月14日、標的型攻撃の脅威への対策として、企業・組織内のシステムがマルウェアに侵入されたことを想定した耐性検証を行うAPT攻撃耐性診断サービス「APT先制攻撃」の提供を開始した。同社は、標的型攻撃の対策において重要なことは、標的型攻撃により境界防御を破られてマルウェアの侵入を許した場合に、それを既存のセキュリティ対策施策で発見、攻撃の無効化、被害予測を事前に行っておくこと考えており、今回、独自開発した擬似攻撃マルウェアを企業・組織内部に放つことで、企業・組織が標的型攻撃に対してどの程度の耐性があるのかを調べる同サービスを開発した。同サービスは、同社の緊急対応サービスである「サイバー救急センター」が実際に調査した被害実例から、標的型攻撃に見られる攻撃手法や被害発生内容を分析し、この攻撃を再現する無害な擬似攻撃マルウェアを使用し、企業・組織内のシステムに擬似的な攻撃を安全に行う。同サービス向けに開発された擬似攻撃マルウェアは、システムにはダメージを与えずに、マルウェアの感染活動への耐性、権限昇格の耐性、重要情報へのアクセスと窃取に関する耐性に代表される項目の評価を行う。同社のエンジニアは、擬似攻撃マルウェアの実行結果と企業・組織内に残されたログをもとに、標的型攻撃への耐性を評価して具体的な弱点を報告する。診断を受けた企業・組織は、すでに導入されているセキュリティ対策や標的型攻撃対策が有効に機能しているかを評価でき、具体的な弱点への対策を行うことが可能となる。標的型攻撃の脆弱性診断に必要なヒアリングなどの事前準備から、擬似攻撃による診断作業、実施結果の分析を経て報告会まで、約三カ月を必要とする。価格は、診断準備から、診断の実施、分析と報告までを含むパッケージとして600万円からとなっている(税別)。
2015年10月15日日立製作所は10月13日、標的型サイバー攻撃の拡散活動を検出する技術を開発したことを発表した。同技術は、攻撃者に侵入された可能性がある端末を検出し、別の端末に侵入していく過程の端末間の関係を可視化することで、標的型攻撃を検知。アンチウイルス・ソフトウェアなど従来の対策を補完し、端末を個別に分析するだけでは検知が難しいステルス型マルウェアなどによる標的型攻撃の早期検知が期待される。今回、端末の通常動作の特徴を機械学習によりモデル化し、普段利用されないプログラムの起動や普段アクセスしない端末への通信などを不審動作として特定する6種類のセンサーを開発した。同センサー群が観測した不審動作の発生頻度をもとに、社内ネットワークに設置した分析サーバーが不審端末を検出する。同社は不審端末間のアクセスタイミングを分析して端末間の関係を可視化する技術も開発。不審端末と判定された端末が、過去数時間内に他の不審端末からアクセスされた履歴があるかどうかをもとに、端末間の関係を攻撃経路を示すグラフとして可視化する。同技術により、関係がある端末群の数が一定以上になると拡散活動が行われていると判断し、端末の不審動作や関係を元に各端末が受けた攻撃内容や攻撃経路を分析できるため、攻撃の全容解明や対策立案などにも役立てることができる。同社は、今回開発した技術の性能を測定するため、過去に発生した攻撃事例やセキュリティベンダーの報告、学術論文などをもとに代表的な標的型攻撃を模擬した攻撃シナリオを策定し、実証実験を社内で実施した。その結果、一般的に想定される標的型攻撃の検知率97%を達成し、誤検知が発生する頻度を従来のホワイトリスト型対策の10分の1に削減したことを確認したという。
2015年10月14日米Palo Alto Networksは、ジェイルブレイクされていないiOS端末も攻撃するマルウェアを発見した模様。「YiSpecter(イースペクター)」と命名されたこのマルウェアは、iOSシステム内でプライベートAPIを不正使用していることが分かっている。主に中国本土と台湾のiOSユーザーが本マルウェアに感染していると報告しており、全国的なISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散といった手法で拡がっている模様である。YiSpecterは10か月以上インターネット上に存在しているとのことだが、無料検査サービス「VirusTotal」で調査したところ、セキュリティベンダー57社のうち、マルウェア検出できたは10月4日の時点で1社だけだった。YiSpecterはエンタープライズ証明書で署名された4つのコンポーネントから構成されていて、プライベートAPIを悪用することで、コマンドアンドコントロール (C2) サーバーからこれらのコンポーネントを互いにダウンロードおよびインストールする。コンポーネントのうち3つは、ユーザーの発見による削除を防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工を施す。また、これらのコンポーネントはiOS上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用している。感染したiOS端末においては、任意のiOSアプリをダウンロード/インストール/起動、ダウンロードしたアプリと既存アプリとの置き換え、広告表示のために他のアプリ実行の乗っ取り、Safariにおけるデフォルトの検索エンジン/ブックマーク/開いたページの変更、C2サーバーへの端末情報のアップロードといったことが実行される恐れがある。被害者の報告では、過去数カ月にわたる攻撃でこれらすべての挙動が確認されている。非ジェイルブレイクのiOS端末でも感染することが分かっており、手動で削除してもまた出現したり、通常のアプリを開くとフルスクリーン広告が表示されたりといった報告が寄せられている。エンタープライズ証明書を悪用することで非ジェイルブレイクiOS端末をマルウェア感染させる手法、プライベートAPIを不正使用する手口の存在は以前から知られていたが、その二つを組み合わせたマルウェアの存在が確認されたのは今回が初めてのことである。Palo Alto Networksは、広範なユーザーに被害を及ぼすもので、これはiOSセキュリティの障壁を一歩後退させるものであると声明を発している。
2015年10月06日マクニカネットワークスは10月1日、標的型サイバー攻撃対策向け製品ラインナップを補完するサービスとして「クイックトリアージサービス(Quick Triage Service)」の提供を開始した。価格は年間120万円(税別)。初年度販売目標は100社。新サービスは、ユーザー企業の環境でマルウェアを検知した際、同社がマルウェア解析ツールおよび、インテリジェンスやセキュリティデータベースとの照合を行い、マルウェアの緊急度を一定時間内に判定するとともにマルウェアの動作を調査し、マルウェアの概略および解析結果を迅速に報告するもの。新サービスの導入により、検知したマルウェアが自社を標的にした攻撃の一部など緊急度の高い脅威となり得る攻撃なのかどうかを知ることができ、その脅威の影響度を詳細に調査(マルウェアの静的解析やインシデントレスポンスサービスなどによる調査)する必要性を迅速に判断し、適切な初動対応を可能としている。また、サービスの提供範囲を初動判定に限定することで従来のインシデントレスポンスサービスと比べ、低料金を実現した。なお、同サービスにおけるマルウェアの検体は年間30個まで。
2015年10月02日ファイア・アイは9月16日、北朝鮮からの脅威が疑われる「ハングルワードプロセッサー(HWP)」に対する最新ゼロデイ攻撃について解説した。HWPは、韓国企業の「Hancom」が開発した韓国語に対応したワードプロセッサ・ソフトウェアで、韓国の政府機関や公共機関などで広く利用されている。今回のゼロデイ攻撃では、HWPに未知の脆弱性(CVE-2015-6585)を悪用した複数の悪意ある文書が見つかった。悪意のある文書は、北朝鮮の脅威アクターと疑われる関連性あると見られている。HPWの「HWP 2014」バージョンでは、韓国産業規格のKS規格で標準化されたHWPファイル形式(HWPX)のサポートをしている。HWPX形式の文書が初期設定で使用するファイル拡張子は.hwpxであるが、従来のHWPファイルである.hwpが使用することもできる。新たな形式であるOWPML(Open Word-Processor Markup Language)は、zipアーカイブ内でXMLファイルを使用する。HWP文書とHWPX文書の構造的な違いは、Microsoft Wordの.docファイルと.docxファイルのそれに類似している。段落テキストは、データ記録型として本文の各段落の内容を保存している。.hwpxファイル内の段落テキストのタグを解析すると、hwpapp.dllの論理エラーにより、型の取り違えのシナリオが発生する。こうした脆弱性とヒープ・スプレー攻撃を組み合わせることで、コードの実行に影響を及ぼすことが可能となる。HWPXファイルの構造は、一連のディレクトリやXMLファイルを格納するアーカイブ(zip)ファイルに類似している。「Contents」ディレクトリ内のXMLは、HWPXファイルが格納するデータと、データのレンダリング方法を定義している。Contents/section1.xmlには、脆弱性を発動させるXMLが格納されている。パーサーは、linesegアイテム用のオブジェクトを作成し、その中の属性を解析・保存する。hp:tエレメントには、数字、Unicodeキャラクター、タブ、改行が格納されおり、Unicodeは、型の取り違えが発生した後の実行ファイルのリダイレクトに使用される。これは、メモリの中に段落テキストを構成している。このコンテンツの定義にlinesegアレイが含まれているため、パーサーはlinesegオブジェクトを複製し、段落テキストの末尾に追加する。その場所はptrParaText+10*4で、linesegの属性に基づき、段落テキストをさらに解析している。2番目のlinesegのtextpos属性は「5」であるため、パーサーはオフセット5から始まる段落テキストの解析を行い、これによってパーサーは、SECTION_COLUMN_DEF(0002)制御文字の中央にジャンプする。この結果、121c1000はオブジェクト・ポインタとして扱われる。ヒープ・スプレー攻撃により、エクスプロイトは同アドレスで偽のクラスを提供する。HWPがこの偽のクラスを使用すると、エクスプロイトによって提供されたアドレスが呼び出される。これは、下図のシェルコードを示している。このシェルコードは、ヒープスプレー・データ内でタグ(SVCHSVCH)を検索し、悪意あるペイロードを見つけ出したあと、シンプルなXOR(排他的論理和)でデコードを行い、「%temp%\svchost.exe」にドロップしたうえで実行する。悪意あるHWPX文書は「HANGMAN」と呼ばれるバックドアの類似コピーをインストールする。HANGMANは、ファイル、プロセス、ファイルシステム管理のアップロードとダウンロード、システム情報の収集、構成のアップデートを行うことが可能。このバックドアは、通信プロトコルとしてSSLを採用しており、通信を開始する際に、コマンド&コントロール(C2)サーバに正規のSSLハンドシェイクを送信する。次に、SSLヘッダ・メッセージを使用して通信を継続するが、メッセージのペイロードはカスタム・バイナリ・プロトコルとなる。HANGMANのサンプルはいずれも、PEインポート・ハッシュ、コンパイル日時(2015年8月18日15:08:28)、C2に使用されるハードコードIPアドレスが同一のものであった。C2用IPアドレスの1つは、コンパイル日時が4カ月早い(2015年4月8日00:53:29)MACKTRUCKバックドアの亜種でも使用されたもの。MACKTRUCKはこれまで、北朝鮮の関与が疑われる脅威アクターの標的型攻撃で使用されていた。HWPX文書がドロップするHANGMANの亜種で使用される関数は、私たちがPEACHPITと呼ぶバックドアなど、北朝鮮の関与が疑われるアクターで使用された他のマルウェア・ファミリーに見られるものと非常によく似ている。PEACHPITとHANGMANのいずれも、WindowsコマンドがリモートC2サーバからバックドアに渡される関数を採用している。渡されるコマンドにリダイレクト文字(>)が含まれるかを確認した後、感染したホストマシン上では、以下の形式のいずれかにより、コマンドが実行される。cmd.exe /u /c [PASSED_COMMAND] >[RESULT_PATH] 2>&1cmd.exe /u /c [PASSED_COMMAND] 2>[RESULT_PATH]次に、感染したホストマシン上では、コマンドの実行結果が%tmp%/[hexdecimal].tmpに保存される。上の関数は、これまでの他のマルウェア・ファミリーでは広く観察されてはおらず、比較的独自性が高いものと思われる。この事実は、PEACHPITとHANGMANの作成者が同じ開発者グループであるか、少なくとも同一のソースコードを一部共有していることを暗示している。PEACHPITなどのバックドアの使用の観察例が極めて限定的であることを考えると、両バックドアは開発履歴が共通なだけでなく、同一もしくは緊密な関係にある脅威アクターによって使用された可能性があると、結論づけるのが妥当であるとまとめている。
2015年09月18日アシストは9月17日、標的型攻撃への対策を支援するために内部対策を重視した各種の施策を「標的型攻撃対策ソリューション」として体系化し、提供開始した。具体的には、マルウェアの侵入の予兆や状況の把握のため定期的なモニタリングを実施する「BlackDomainSensor」、内部対策として、特権IDを奪取されたとしてもデータを持ち出させず持ち出されても意味が無いようにするための多重対策として「マルウェア遮断ソリューション」「ダブルブラウザソリューション」「特権ID管理ソリューション」「ファイルサーバ情報漏洩防止ソリューション」の全5ソリューションを展開する。このうち、「マルウェア遮断ソリューション」は2015年10月に新設予定であり、「ダブルブラウザソリューション」は同月に機能強化版を提供開始する予定だ。BlackDomainSensorはセキュリティ・ログ分析エンジンを使い、インターネットのアクセス・ログとC&Cサーバのリストを突合せた結果と、Active Directoryに特権IDを模したトラップ・アカウントを仕掛け、おとりに引っ掛かったマルウェアの認証失敗ログを抽出したレポートを出力する。マルウェアによるC&Cサーバへ通信している端末の発見や、マルウェアによる特権ID奪取の挙動の発見に有効という。マルウェア遮断ソリューションは2015年10月に新設予定であり、マルウェアが侵入している可能性のある端末をネットワークから遮断する。遮断は管理者がリモートから実施可能。該当端末のC&Cサーバへの不正な通信のブロックや、データの不正な持ち出し・侵害拡大の防止に有効としている。ダブルブラウザソリューションは、インターネット・アクセス用のブラウザを仮想環境で提供し、業務用端末から外部へのインターネット・アクセス(HTTP通信)を禁止させ、業務用端末のインターネット・アクセスを分離する。なお、2015年10月に機能強化版のリリースを予定している。同ソリューションにより、マルウェアが侵入したとしても、標的型攻撃の出口となるC&Cサーバとのインターネット・アクセスを禁止することで攻撃を無効化できるとのこと。特権IDはワークフローにて申請を行い、承認を受けた場合のみ利用できるように制御する。また、重要サーバへはワークフロー経由の自動ログインのみを許可し、自動ログイン以外のローカル・ログインなどは全て禁止する。同ソリューションにより、ワークフローを経由しない重要サーバへのログインを一切禁止することで、万が一標的型攻撃によって特権IDを奪取された場合でも、不正なアクセスを防止できるという。ファイルサーバ情報漏洩防止ソリューションは、ファイル・サーバのデータを暗号化し、Windowsのアクセス権限とは別に独自のアクセス権を設定。また、ファイル・サーバに対してアクセスできるのは、専用クライアントを導入している端末のみに限定する。同ソリューションでは、独自のアクセス権限設定により専用端末以外からのデータ持ち出しを防止すると共に、Windowsの特権IDを奪取された際もデータの持ち出しリスクを軽減できるという。また標的型攻撃によりデータが直接持ち出された際も、データは暗号化された状態を維持するとのこと。
2015年09月18日2歳後半になり、いろいろおしゃべりができるようになってきたお子さんを持つお父さんとお母さんから、お子さんが「なんで」「どうして」という質問ばかりしてくるという話をよく伺います。今回は、何かするたび出てくる「なんで?」「どうして?」のメカニズムとその対処法をご紹介したいと思います。みなさんは、お子さんの言葉数が増えると対等に会話をしてしまうことありませんか? 早い子では1歳頃から言葉数も増え、「こういう言い回しをするってことはもう大体わかっているんだな」と思うこともありますよね。でも、相手はまだ生まれてから1、2年しか経っていません。生後20年、30年、40年も生きている大人と対等に会話することは不可能です。そのため、私たちに必要なことは“汲んであげること”です。たとえば「にゃんにゃんがいるよ」と子どもの一言があったとします。でも、これはいろいろパターンを考えることができます。「にゃんにゃんがいるよ」→(大きい)にゃんにゃんが(目の前に)いるよ→(茶色い)にゃんにゃんが(向こうに)いるよこの2つの文章にあるかっこの中を子どもは求めて大人に話をしていることがあります。子どもが何か言ったら補足してオウム返ししてあげることが言葉の発達につながります。アウトプットすることでインプットできる脳の仕組みを活用してみてください。だいたいここまでが1歳~2歳手前の子どもにできる大人のフォローです。そして次からが本題。もう少しおしゃべりが上手になった2歳以降の子どもたちへの対応方法をお伝えします。1.疑問の「なんで」「どうして」子どもが「なんで」「どうして」と聞く理由は大きく分けて2パターンあります。まず1つ目は、疑問に感じたから聞いているというパターン。「これはなんでだろう」「どうしてだろう」と、ただ疑問に感じただけ…。とはいえ、これが否応なしに月齢が上がるにつれ加速していくので、大人は「めんどくさいなぁ」「うっとうおしいなぁ」と感じてしまいますが、もうそれは耐えるしかありません(笑)。ただ、頑張って応える必要はないのです。こういうときには大人の「めんどくさい」「うっとうしい」という感情を教えてあげるきっかけにもなります。「ママにもわからないことがあるからそんなに質問されると困っちゃう」とか「んーわからないから一緒に考えてみよう・調べてみよう」なんていう対応が理想です。2.確認の「なんで」「どうして」文頭で書いたように子どもは頭の中で考えていることを全部言葉にはできません。語彙力や表現方法の知識が追いつかないからです。そのため、頭の中で思っていること、浮かんでいる言葉をなんと表していいのか探すために「なんで」「どうして」を使って大人から言葉を引き出そうとします。母「今日は雨だから傘さしていこうね」子「なんで?」母「(雨だからって言ってんじゃん!!)だーかーらー」なんてことありませんか?このような状況を解説すると、母「雨だから傘さしていこうね」子「(傘をさすのは雨だからなのかな)なんで?」と、こんな感じです。子どもは、自分の耳に入ってきた情報が正しいか否かを確認するために「なんで?」「どうして?」と聞き返しています。この場合はきちんと答えてあげることが必要ですが、「なんでだと思う?」と聞き返してあげるのがおすすめです。このように確認のために「なんで」「どうして」を用いる子は実際分かっているけど自信がないという場合がほとんど。母「雨だから傘さしていこうね」子「(傘をさすのは雨だからなのかな)なんで?」母「どうしてだと思う?」子「雨?」母「そう! 大正解! 雨だから傘さすんだよね」と対応してあげることで、自尊心が高まり語彙が増え一石二鳥!自信をつけるためには間違えを恐れずに勇気を出して一歩前に出ることが必要です。うっとおしく感じる子どもの「なんで」「どうして」をうまく利用し、母子ともに自信をつけてみてはいかがでしょうか。(ポセイドン・ヨーコ)
2015年09月18日トレンドマイクロは9月2日、日本における不正広告による被害に関する調査を報告した。これによると、Web経由の攻撃ではエクスプロイトキットを設置した脆弱性攻撃サイトへの誘導が主要な攻撃手法となっているという。攻撃者は、利用者が攻撃サイトにリダイレクトする仕掛けを改竄サイトなどに設置し、利用者が気づかないうちに誘導を行っている。日本国内でも、オンライン銀行詐欺ツールやランサムウェアなど多くの不正プログラム被害が確認されており、こうした脆弱性攻撃サイトへの誘導経路のうち、34%が不正広告だという。不正広告の攻撃には大きく分けて2種類ある。1つは正規の広告が侵害され不正コンテンツが含まれてしまう場合、もう1つは攻撃者自らが広告料を払い不正コンテンツを含んだ広告を出稿する場合だ。いずれにせよ、インターネット利用者が Webサイト上で目にする広告が脅威への誘導経路となる。今回のトレンドマイクロの調査では、海外の4つのホスティング業者が管理する6つのドメインにホストされた複数の広告コンテンツが、脆弱性攻撃サイトへの誘導経路となっていたことを確認した。一般の正規サイトの改竄では、攻撃の影響範囲は直接アクセスした訪問者のみだ。しかし、不正広告の場合アドネットワークなどのネット広告の仕組みに乗ることで、より多くの正規サイトへ不正広告が配信され、利用者に影響を与える可能性がある。SPNの統計では、これらの不正広告をホストした7つのサーバに対し、7月1日~8月21日までの1カ月半で、日本から900万件以上のアクセスがあったことを確認している。また、いずれのサーバも、日本からのアクセスが全体の5割から8割を占め、日本をターゲットにしていたことがわかる。不正広告が配信されたと推測される正規サイトには、アダルトサイトやまとめサイトなどに加えて、各種メディアのサイトや、動画やポイントなどの各種Webサービス、オンラインゲーム、ソフトウェアベンダーなど、一部著名な日本向けの正規サイトが含まれていた。不正広告が表示される広告枠は、アクセスした利用者の属性を反映して表示される場合が多いので、不正広告の存在を調査しにくい。また攻撃自体が短期間で移動していくので、調査が進められない場合も多い。さらに不正広告から誘導される先の脆弱性攻撃サイトも、同一のIPから複数回アクセスがあった場合は脆弱性攻撃を発動しないなどの仕掛けがあり、調査はより困難になるという。攻撃者にとって有利な誘導手段である不正広告は今後も増加が予測される。今回の調査で最終的に侵入する不正プログラムが確定できたケースの41%は「ZBOT」などのオンライン銀行詐欺ツールだった。また。26%は「CRYPWALL」などの暗号化型ランサムウェアだ。この状況から、不正広告においても攻撃者の最終的な狙いは金銭だと言える。これらの脆弱性攻撃サイトによる被害を回避するには、 Internet ExplorerIE)、Java、Adobe Flash、Adobe Reader、SilverlightやActive Xなどで脆弱性が発見された場合、すぐに最新バージョンにアップデートすることが重要だという。
2015年09月04日マカフィーは8月31日、ランサムウェアによる攻撃手法がフランチャイズ化していると、セキュリティブログで明かした。フランチャイズ化とは、本部(ランサムウェアの作成者)と契約を結んだ使用者(攻撃者)が商品(ランサムウェア)やノウハウを受け取り、攻撃を成功したときの報酬の一部を上納金として本部に納める仕組みだ。一般的な飲食店やコンビニエンスストアなどで言われるフランチャイズと同じと考えて良い。サイバー犯罪者の中には、金銭目的などで開発した攻撃ツールを第三者に提供することもある。いわゆる「サービスとしてのランサムウェア(ransomware-as-a-service)」 モデルによって、最近のランサムウェア攻撃の急増につながっている。ブログでは、代表的なランサムウェアである「CTB-Locker」と「Tox」のフランチャイズ化のモデルケースを紹介している。CTB-Lockerランサムウェアの作成者は、アフィリエイトプログラムを使用しており、アフィリエイトに登録した攻撃者はツールを入手できる。攻撃者は、ツールを使って企業にランサムウェア攻撃を仕掛け、成功時の収益の70%を取得し、残りは作成者が受け取る。Toxのケースは、作成者が金銭目的でランサムウェアを配布している。使用者の技術的なスキルをほとんど必要とせず、誰でも簡単に利用できるのが特徴だ。Toxの利用者は、身代金の額を自分で設定し、総額の20%を攻撃者に支払う。CTB-LockerとToxにおいて、攻撃者と使用者の金銭のやり取りには、ビットコインなどの仮想通貨が使われている場合が多い。ビットコインは、金銭の受け取り手の匿名性が守られているためだ。攻撃者は、より高額の身代金を得られることを期待し、消費者のシステムから企業のシステムへと標的を移行している。マカフィーでは、多くの組織がデータを取り戻すために身代金を支払う傾向にあり、モデルの有効性が裏付けられたことで、さらなる攻撃の増加につながっていると分析している。
2015年09月01日日立ソリューションズは8月31日、企業のセキュリティ対策の現状分析や運用体制の確立において、グローバルセキュリティエキスパート(GSX)と連携し、「サイバー攻撃対策ソリューション」のコンサルテーションメニューを9月1日から強化する。これにより、企業は、専門のコンサルタントによるセキュリティレベルの現状分析や脆弱性診断に基づき、より的確な情報システムの導入に加え、標的型メール訓練をはじめとする教育やセキュリティポリシーの策定など、情報セキュリティマネジメントの運用体制を強化することで、有効な多層防御を実現する。今回の両社の連携により、企業は、より的確な情報システムの導入が可能となるとともに、標的型メール訓練やマルウェア感染調査、CSIRTの設置支援など、情報セキュリティマネジメントの運用体制を強化することで、サイバー攻撃に対する有効な多層防御を実現する。また、両社は今回のコンサルテーション強化だけでなく、システム構築や運用支援についても、企業のセキュリティ強化をサポートするために協力していく。
2015年08月31日シマンテックは同社のセキュリティブログにおいて、Internet Explorerなどの脆弱性を突く「Sundown悪用ツールキット」の動向を述べている。攻撃の影響を受ける地域としては、北米大陸、南米大陸、ユーラシア大陸といったように、世界で広く分布。中でも日本の割合が高く、約50%を占める。日本のユーザーが狙われていること、そしてセキュリティが甘いと認識されていることが見て取れる。Sundown悪用ツールキットは、攻撃者がさまざまなWebサイトに仕掛けている罠。正規のWebサイトが改ざんされ、Sundown悪用ツールキットが忍び込んでいるケースも多い。そして、アクセスしてきたユーザーのPC環境を調査し、各種ソフトウェアの脆弱性やセキュリティソフトの存在を確認する。攻撃の対象になり得ると判断すると、ユーザーのPCにマルウェア(バックドア型トロイの木馬)を送り込んで感染させる仕組み。マルウェアに感染したユーザーのPCは、攻撃者からリモートコントロールされたり、情報を盗み出されたりする。シマンテックによると、Sundown悪用ツールキットは、Internet Explorerの脆弱性「CVE-2015-2444」を攻撃する悪用コードをいち早く統合。悪用コードが公開されたのは2015年8月12日で、同日から翌日にはすでに実際の攻撃に使われた。Microsoftも緊急のセキュリティ更新プログラム(MS15-079)を同日に配布済みだが、この悪用スピードに関して、シマンテックは「異例の速さ」としている。上記の「CVE-2015-2444」以外に、Sundown悪用ツールキットが攻撃するソフトウェアの脆弱性は以下の通り。各ソフトウェアとセキュリティソフトは常に最新の状態に保つようにしていただきたい。Adobe Flash Player Use After Free Memory Corruption Vulnerability (CVE-2015-0311)Adobe Flash Player APSB15-06 Multiple Remote Code Execution Vulnerabilities (CVE-2015-0359)Adobe Flash Player Remote Code Execution Vulnerability (CVE-2015-0313)Adobe Flash Player and AIR Unspecified Heap Based Buffer Overflow Vulnerability (CVE-2014-0556)Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6332)Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2013-7331)
2015年08月27日人間関係に悩みはつきものだけれど、ことにややこしいのが女同士の付き合い。特に群れを作りたがったり、噂話をしたりする攻撃的な女子が周りにいると困りもの。どうしたらこの女子を逆なでせずに手なずけることができる?精神科医の水島広子さんに聞くと、「女の持つ嫌な面は、一般的に女性が“男性から選ばれる性”であることに端を発したもの。“選ばれなかった”ことによる嫉妬や攻撃を回避するには、適切に対処をする必要があります」とのこと。この時にベースとなるのが、水島さんの推奨するアティテューディナル・ヒーリング(AH)。攻撃に対して応戦するのではなく、相手の“選ばれなかった”という傷を癒すため、3つのステップで攻撃に対応していく。「最初のステップは、巻き込まれないこと。一歩引いた場所から問題を捉えることが大切です。次が、自分を守るということ。相手をバカにすると攻撃の対象になるので、見下さないことが重要に」ここまでのステップだけでも問題を回避することはできるけれど、より本質的な解決を望むなら最後のステップは不可欠。「最後は、相手の困った面を癒してあげましょう。攻撃してくる女性はどこか傷ついていることが多いもの。人格的に相手を認めて、その女性の心が少しずつ癒えていく様子を見守って」◇みずしま・ひろこ精神科医。対人関係療法専門クリニック院長。『女子の人間関係』(サンクチュアリ出版)をはじめ、対人関係に関する著書多数。※『anan』2015年8月26日号より。イラスト・いぬんこ取材、文・真島絵麻里写真・dolgachov
2015年08月21日カスペルスキーは20日、日本を狙った標的型攻撃「Blue Termite(ブルーターマイト)」の攻撃が拡大しているとして、改めて注意を喚起した。ブルーターマイトとは、国内組織に標的を絞ったAPT(Advanced Persistent Threat)攻撃を指す。APT攻撃は、特定の標的に対して持続的に潜伏・攻撃し、スパイ行為や妨害活動をする攻撃の総称。カスペルスキーの調査分析チームGReATによると、2015年7月頃からブルーターマイトが活発化しており、従来から感染手法やマルウェアが変化しているほか、感染被害も拡大しているという。従来、ブルーターマイトの主な感染手法は標的型攻撃メールだったが、2015年7月に改竄サイトにマルウェアを設置したドライブバイダウンロードや水飲み場型攻撃が取り入れられていることを確認した。感染組織も拡大しており、攻撃者の指令サーバーと、感染したとみられる端末との通信数の推移によると、2015年6月時点では固有IPアドレス数が300、1日当たり最大通信数は約140だったのに対し、2015年7月では固有IPアドレス数が3倍以上の1,000、通信数は約280となっている。同社は感染組織が広がった要因として、前述の感染手法が広がったこと、マルウェアの変化により感染した組織が被害に気づきにくくなっていることを指摘している。ブルーターマイトは、感染により収集した情報を元に次の標的を狙っており、被害組織の業種も広がっている。従来は政府や行政機関を中心に、地方自治体、大学、銀行、自動車分野などで感染を確認していたが、7月から医療や不動産、半導体、食品、建設などでも感染を確認しているという。同社は、ブルーターマイトの攻撃が侵攻しており、情報漏えいを含む被害拡大を予想。国の機関や大企業でも侵入・漏えい被害が発覚していることから、対策の見直しと、インシデント情報の共有および有効活用の仕組みを整えることを推奨している。
2015年08月21日カスペルスキーは8月20日、同社の調査分析チーム(GReAT)が日本を狙った標的型攻撃(APT)「Blue Termite:ブルーターマイト」の新たな動きを観測したことを明らかにした。今回、観測された変化の1点目は感染の手法で、これまでの標的型攻撃メールに加えて、ドライブバイダウンロードの利用を確認した。2点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されていることがわかった。3点目は、感染被害が数の上でも範囲においても拡大していること。「ブルーターマイト」とは、日本国内の組織に標的を絞った攻撃で、通常は国外に設置されている攻撃者の指令サーバのほとんどが国内に設置されているのも特徴的。主な感染手法は、これまでは標的型攻撃メールだったが、7月には、Hacking Team社から流出したAdobe Flash Playerのゼロデイ脆弱性を悪用し、複数の改竄サイトにマルウェアを設置したドライブバイ・ダウンロードの利用のほか、水飲み場型攻撃が取り入れられていることを確認した。同社は、攻撃を段階ごとに分析しており、各段階で目的を達成するために用いられるマルウェアやツール類が異なることを確認している。第1段階では、ソーシャル・エンジニアリングやそれまでに窃取した情報をもとに標的を定め、メールやドライブバイ・ダウンロードを駆使して「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバの配下におく。第2段階では、「Emdivi t17」を経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースもある。第3段階では、感染先の端末内で収集した機密情報や重要情報を窃取する。収集ならびに窃取した情報をもとに、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバとしてのインフラの構築も行われる。攻撃者の指令サーバと感染したと見られる端末との通信数の推移を見ると、2015年6月時点での固有のIPアドレス数は300を数え、1日当たり最大の通信数は約140だったという。しかし、7月に入ると固有のIPアドレス数は3倍以上の1000まで急増し、通信数は約280と倍増したとのことだ。指令サーバとの通信数が倍増した主な要因としては、新たにドライブバイダウンロードが感染手法として利用されたこと、マルウェアのカスタマイズが進み、感染した組織が被害に気づきにくくなっていることが挙げられている。
2015年08月21日ファイアアイはこのほど、米国セキュリティ侵害の実例から見る最新のサイバー攻撃の現状と効果的なインシデント対応に関する記者説明会を行った。○中国が支援するサイバー攻撃者がアメリカのヘルスケア企業から個人情報窃取ファイア・アイは、新たなセキュリティサービス「FireEye as a Service」を発表した。高度なサイバー攻撃の検知と、セキュリティ侵害が起きた際の迅速な対応を支援するもので、国内のパートナー企業を介して提供する。このサービス提供にあたって、ファイア・アイのコンサルティング事業部であるMandiant(マンディアント:ファイア・アイが買収)のバイスプレジデント、チャールズ・カーマカル氏が、「世界のセキュリティ脅威状況」というレクチャーを行った。カーマカル氏は脅威の一例として、中国政府が支援するサイバー攻撃をとりあげた。中国政府の支援を受けた攻撃者の目的は、主に4つあると言う。知的財産の窃取:技術開発のコストをかけずに、特許情報や技術、設計図などを入手することが目的内部情報の入手:貿易交渉、合併・買収などに関する内部情報入手が目的アメリカの重要なインフラに対しての攻撃:ガスのパイプラインなど。インフラ破壊ではなく、情報を収集している状態政治的理由:民主化運動の妨害・情報入手などこのうち内部情報の入手では、中国の攻撃グループがアメリカのヘルスケア企業から大量の個人情報を盗み取る事件が起きている。狙われたのは、アメリカの病院や医療保険事業者で、米病院ネットワーク経営大手のコミュニティー・ヘルス・システムズ(Community Health Systems・CHS)や、医療保険大手のAnthemやCareFirstも含まれている。攻撃者は被害企業のVPNとバックドアを使って、被害企業のネットワークに継続的にアクセスしていた。データを盗みとられた形跡があるシステムは、マルウェアに感染せずに盗みとられており、ネットワークに深く継続的に侵入していることが伺える。カーマカル氏によれば「被害企業の多くは、Mandiantが侵害を知らせるまで、何ヶ月にもわたり侵害の事実を知らなかった」とのことだ。○POSマルウェアでの大手小売企業侵害に見る高度な攻撃ライフサイクル次にカーマカル氏は、大手小売企業に対するセキュリティ侵害の例をとりあげた。2013年から問題になっているPOSマルウェアの被害では、小売企業の取引先がセキュリティ侵害を受けて乗っ取られたことが起点だ。乗っ取った取引先を経由して、大手小売企業のCitrixサーバーにアクセス。システムに侵入し、本来は隔離されているシステムにアクセスできる権限を取得している。これによって攻撃者は、ドメインコントローラとWindowsドメインに対する特別なアクセス権を取得し、マルウェアに感染させた。その結果、POS端末8000台のメモリからクレジットカード情報を盗み取ったほか、保存されていた暗号化ファイルを入手している。数千万件のクレジットカード情報が闇市場で売買されるなど、大きな被害を出した。この例でわかるのは、企業が利用している正規のルートが、攻撃に利用されているということだ。たとえば、企業が利用する正規のVPNやCitrixを使ってアクセスし、2要素認証であっても突破する。またベンダー各社から盗み出した正規のデジタル証明書を、攻撃に使う不正なソフトウェアで使っている。また正規のウェブサイトを乗っ取ることで、標的の企業ユーザーがアクセスしたときのみマルウェア感染させる水飲み場攻撃を行っている。正規のウェブサイト改ざんについては、7月末に大きな問題となったFlashの脆弱性をついた攻撃についても取り上げた。国内の2組織のウェブサイトが改ざんされ、Flash Playerの脆弱性(CVE-2015-5122)を突いて、閲覧者にマルウェアを感染させるものだ。カーマカル氏は「これらの改ざんにより、日本の2つのハイテク企業もセキュリティ侵害を受けており、合わせて4つの日本の組織が被害を受けている」と分析した。○専門家の常時監視とインシデント対応による「FireEye as a Service」このような高度なセキュリティ侵害では、企業は被害に気付かないままでいることが多いという。ファイア・アイのシニアディレクター、ワイアス・イサ氏によると「標的型攻撃に対応した組織を調べたところ、攻撃者は平均205日も内部に潜伏していた」とのこと。イサ氏によれば「標的型攻撃の犯人は、多くが国家の支援を受けたプロフェッショナル。攻撃の段階別に分業制を採用し、資金も豊富で高度な戦術を利用している。また長期的に潜入することを狙っており、撃退してもまた戻ってくるなど執拗な攻撃を行う」としている。そこでファイア・アイでは、個別の企業に合わせたセキュリティ監視サービスとして「FireEye as a Service」を発表した。従来のセキュリティ対策に加えて、インシデント対応、復旧、攻撃者のプロファイリングなどを行うものだ。具体的には、ファイア・アイの脅威専門解析チームが24時間体制でネットワークとエンドポイントを監視し、セキュリティ侵害の兆候を見つけ出す。もし侵害の痕跡がみつかった場合は、詳細な解析を行い、具体的な対策を提示するという。これは、ホストの隔離、解析、回復などのインシデント対応を行うものだ。単なるセキュリティ監視だけでなく、緊急対応までを密着して行ってくれるサービスと言えるだろう。これにより攻撃の検知・インシデント対応にかかる時間を大幅に削減でき、従来のアプローチと比較して10分の1の時間で、検知・防御・解析・解決ができるサービスだとしている。この「FireEye as a Service」は、国内の協業パートナーから提供される。伊藤忠テクノソリューションズ、インターネットイニシアティブ、NTTコミュニケーションズ、ソフトバンク・テクノロジー、日立製作所、マクニカネットワークス、ラックなどから「FireEye as a Service」をベースにしたサービスが提供される見込みだ。価格や提供方法は追って発表されるが、2015年以内に提供される見込みとなっている。
2015年08月01日ラック(LAC)は7月28日、標的型攻撃対策専門組織の設置と、経営者や事業責任者、IT技術者向けの「標的型攻撃 対策指南書(第1版)」の無償公開を発表した。同社はこれまでにも、セキュリティインシデント対応サービスの「サイバー救急センター」を提供してきたが、情報漏洩やウイルス感染など、被害対応の相談が増加していたという。相談対応状況を精査すると、被害企業の業種に偏りはなく、攻撃者の狙いも「個人情報の窃取」から「脅迫行為」まで多岐にわたり、特に標的型攻撃が多くなっている現状があった。このような現況から、同社は「標的型攻撃対策本部」と呼ぶ企業の標的型攻撃対策の支援組織を社長直下に設置。同本部の本部長には、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が就任する。この組織では、企業や団体が行うべき標的型攻撃対策について、様々な関連情報を公開。実際の対策を支援するソリューションやサービスの提供も行っていく。対策チームの設立とともに、同時に公開された標的型攻撃の"対策指南書"では、標的型攻撃がどのように行われるのか、具体的な防御法と復旧までにどのような行動を取ればよいのかが解説されている。○中小企業や地方公共団体の"模範書"に同日、ラックは記者会見を開き、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が説明を行った。西本氏によると、今回の専門組織の設置と指南書の作成は、中堅中小企業や地方公共団体など、標的型攻撃対策が必要であるものの、大企業や中央官庁などのような"高度なセキュリティが要求されない企業"を対象とした施策だという。ラックではセキュリティコンサルティングや監視業務が主な事業となっているが、その一方で年金機構のサイバー攻撃後に問い合わせが急増。「6月1日以降では、それ以前と比較して5倍の問い合わせ」(同社広報部)がある状況で、企業への対応が遅れるケースも目立ってきたという。こうした標的型攻撃対策へのニーズの増大と、サイバー攻撃の急増から、「専門組織の設置と対策指南書の提供により、サイバー攻撃対策全体のアプローチをはかる」目的があると西本氏。標的型攻撃メールの対策訓練や監視といった単機能のニーズだけでなく、ラックが個々に取り扱う標的型攻撃対策製品のパッケージ販売を指南書に合わせて行っていき、従来手が回りづらかった地方へのアプローチも、パートナー企業の参加を代理店に呼びかけることで増やしていくという。「今後は、内部不正対策ソリューションなども統合していきたい。標的型攻撃対策製品の売上では、2割程度のアップを目指していく」(西本氏)指南書は、標的型攻撃の「教科書的に作った」(西本氏)ものであり、ここから標的型攻撃に対する知識を得て、実際の対策に繋げてもらう算段だ。経営層はセキュリティに対する知識が劣る可能性もあるため、「エグゼクティブサマリーを別途作成する予定」(西本氏)としている。なお、ラックが提供する製品・ソリューションに沿った細かい個別対策指南書の提供や、指南書に基づいたサービスの提供を行う代理店の募集などは、お盆明けとなる8月25日より行う予定だ。今後は、先日子会社化を発表したネットエージェントのラボと、ラックの緊急対応部隊を連携し、標的型攻撃対策製品の新規開発を加速するとしている。
2015年07月28日複数のメディアがOpenSSHに総当たり攻撃を引き起こす可能性がある脆弱性が存在すると伝えた。これらの報道はKingcopeという名で知られるセキュリティ研究者が自身のブログに掲載した「OpenSSH keyboard-interactive authentication brute force vulnerability (MaxAuthTries bypass)」の発表に基づいたもの。この脆弱性を悪用されると、総当たり攻撃を通じてシステムにログインされる危険性があり注意が必要。OpenSSHはデフォルトでは認証に6回失敗するとコネクションを閉じる設定になっている。しかし今回、キーボード・インタラクティブ認証の設定が有効になっている場合、この規制が適用されないという実装上のバグがあることが判明した。このバグにより、ログイン猶予期間(デフォルトでは2分間)が過ぎるまでパスワードを入力できてしまうことになる。同記事では、キーボード・インタラクティブ認証がデフォルトで有効になっているFreeBSDを引き合いに出し、最新リリース版となるFreeBSD 10.1およびかなり古いバージョンであるFreeBSD 6.2の双方でこの脆弱性を悪用した攻撃を確認できたと指摘している。この脆弱性はFreeBSDのみならず、OpenSSHサーバを動作させている多くのLinuxサーバが影響を受ける可能性がある。システムやパッケージの提供しているデフォルト設定のままOpenSSHサーバを運用している場合は注意が必要。OpenSSHプロジェクトから公開されているパッチの適用や、設定の変更や総当たり攻撃を検知する機能の導入などを実施し対策を取ることが推奨される。
2015年07月24日NECは7月17日、東京品川区の標的型攻撃等に対するセキュリティ対策検討にあたり、同社の「サイバー攻撃自動防御ソリューション」をもとに実証実験を実施したと発表した。実証実験では、NECのSDN対応製品によるネットワーク制御機能とトレンドマイクロのセキュリティ脅威検知/解析製品を組み合わせることで、サイバー攻撃検出時の状況に合わせた初動対応の自動化を検証した。これまで、品川区ではウイルスを検知した端末に対し、職員が手動で物理的に通信を切断し、影響度の調査と必要な対策を行っていたが、今回の実証実験では、攻撃を検知した場合、NECのSDN対応製品により、対象端末の通信を制御し、自動で通信の遮断や、検疫ネットワークへの経路変更を実施することで、職員による物理的な通信切断等の作業を不要にした。さらに、PC管理ソフトの通信のみを許可することで、ウイルス対策ソフトの検知ログや感染・駆除の状況を確認した。初動対応の自動化により、従来約30分を要していた攻撃の発生から初動対応までの作業に即時対応することが可能になったという。また従来、ウイルス検知時は、土日・夜間を含め、職員が端末の隔離や影響度の調査を行っていたが、自動化することでこれらの対応も大幅に削減できることを検証したという。NECは今後も、「サイバー攻撃自動防御ソリューション」のメニュー拡充を図り、自治体向けに拡販していくという。
2015年07月17日