オンラインバックアップサービス企業Backblazeは3月11日(米国時間)、「Cryptowall Ransomware: How to Recover」において、自社の経理担当者がランサムウェアに感染した経緯を説明した。Backblazeでは、同左ービスにおいてこの感染による影響はないこと、暗号化されてしまった経理担当者のデータも同社のバックアップサービスによって復旧できたと説明している。同社の経理担当者はメールに添付されていたファイルを経由してランサムウェアに感染したようだ。担当者はWebブラウザ経由で利用するオンラインの電子メールサービスを利用しており、オンラインのメールサービス、Webブラウザ、PCにインストールされたセキュリティソフトウェアのどの段階でもランサムウェアとして検出されることがなく、最終的にファイルを経由して感染してしまったとしている。ランサムウェアは勝手にファイルを暗号化して、復号化してほしい場合にはBitcoinなどを経由して金銭の支払いを要求するマルウェアの一種。ランサムウェアによって暗号化されたファイルを復号化する手段は存在せず、仮に支払いを済ませたとしても復号化される保証はないとされている。ランサムウェアへの対策としては、定期的なバックアップを実施することが有効とされている。発見される脆弱性は増加する傾向を見せているが、こうした脆弱性はサイバー攻撃の手段として利用されている。しかし、脆弱性が放置されたままのソフトウェアは世界中に存在しており、注意が必要だ。
2016年03月15日キヤノンITソリューションズが運営する「マルウェア情報局」は14日、ランサムウェア感染を狙った不審メールが1週間で20万件以上確認されたとして、注意を喚起した。3月上旬、「TeslaCrypt」および「Locky」というランサムウェア(身代金要求型マルウェア)感染を狙った"一週間の攻撃キャンペーン"が展開されたという。TeslaCryptは日本でも2015年12月、感染後にファイル拡張子が.vvvに変更されデータが閲覧できなくなる「vvvウイルス」として話題になった暗号型ランサムウェア。Lockyは2016年2月に注目された新種のランサムウェアで、この2つの亜種がばらまき型メールに添付された。ESETでは、2016年3月2日から同年3月9日までの約一週間の間に、20万件以上のTeslaCryptやLockyが、ZIP形式で添付された不審メールを確認。日本では、ESETが検出した全マルウェアのうち、この2種のランサムウェアが50%以上を占めたとする。ESETでは今後も亜種によるメール攻撃が継続されるとみて、メールの取り扱いに注意を喚起している。
2016年03月15日キヤノンITソリューションズが販売代理店をつとめるESETは3月14日、「TeslaCrypt」「Locky」のランサムウェア感染を狙った不審なメールが3月2日~9日に20万件以上確認されたとして注意喚起を行った。TeslaCryptは2015年12月上旬に日本で広まったランサムウェアで、ファイルを暗号化して拡張子を「.vvv」に書き換える特徴を持つことから「vvvウイルス」としてネット上で知られている。初期バージョンは同2月に登場したが、バージョンが更新されるごとに攻撃手法が洗練され、日本も攻撃の対象に加わった。ESETによると、3月2日~9日の一週間の攻撃キャンペーンは、TeslaCryptと、2月に新種として登場したLockyランサムウェアの両方の亜種を用いたものだという。実際に送られたメールに添付されていた脅威は、2015年12月に対応した「JS/TrojanDownloader.Nemucod」の亜種で、TeslaCryptやLockyランサムウェアをダウンロードする。不審なメールに添付されているzipファイルは名称が複数あるが、「INVOICE(請求書)」などの英語名+ランダムな数値のケースが多く、通常のメールでは考えにくいファイル名となっている。これらのファイルを展開するとJavascriptが実行される。国別の検出マルウェアに占める割合では日本がトップとなっており、Lockyランサムウェアのバラマキ型メール攻撃が行われた先月と比較しても2倍以上の検出率だという。日本での検出率のピークは3月8日だったが、依然として高い数値で数値が続いていることから、メールの取り扱いを注意するほか、「ランサムウェア対策として重要データは定期的なバックアップ」を行うようにESETは呼びかけている。
2016年03月14日200年前にタイムスリップしてしまった従軍看護婦のヒロインが、そこで出会った戦士との恋に揺れる姿を描く「アウトランダー」。このほど、本作の主演を務めるサム・ヒューアンが初来日を果たすことが明らかとなった。累計2,500万部を超える世界的大ベストセラーを記録したダイアナ・ガバルドンのファンタジー・ロマンスをドラマ化した本作。テレビドラマ史上最も官能的だと称されたラブシーンや、舞台となったスコットランドの雄大な自然などが話題を集め、世界100か国以上で放送されるほどの人気を博している。つい先日英国での撮影が終了したばかりの第2シーズンでは、従軍看護婦のクレア(カトリーナ・バルフ)とジェイミー(サム・ヒューアン)が、チャールズ・スチュアート王子率いるジャコバイトの反乱軍に潜入し、カロデンの戦いを食い止めようとフランスに到着する場面で幕を開ける。地元でワイン商を営むジェイミーのいとこジャレドの助けを借りたジェイミーとクレアは、フランス社交界に身を投じる。そこは謀略とパーティー三昧の華麗な世界だったが、政治的に得るものは少なかった。歴史を変えてしまうことは、2人の関係性の本質をも危うくしてしまうことを意味する。クレアとジェイミーは、未来に関する知識を武器に、失敗する運命にあるハイランドの蜂起を食い止め、彼らの知るスコットランドの暮らしを消滅から守らなければならない…。本作でクレアと恋に落ちる18世紀のスコットランドの戦士ジェイミー・フレイザーを演じたサムは、放送直後から人気が瞬く間に急上昇。昨年実施されたテレビ俳優の人気投票「Alpha Male Madness 2015」では、630万票を集めて1位に輝き、全米をはじめ世界中の視聴者のハートを射止る人気ぶりを示した。そしてこの度、サムの初来日が決定。ファンがサムと直接触れ合えるイベントの開催もあわせて決定し、「アウトランダー」のファンサイトから応募することができる。「アウトランダー」シーズン2は、4月22日(金)より「Hulu」にて配信開始。6月に海外ドラマ専門チャンネル「AXN」にて放送開始。(text:cinemacafe.net)
2016年03月11日3月8日、チェック・ポイント・ソフトウェア・テクノロジーズは同社のSMB向けディストリビューターを対象とした「中小企業向け 最新ITセキュリティセミナー」を開催した。セミナーでは、船井総合研究所 サイバーセキュリティチーム チームリーダー チーフ経営コンサルタントの那須 慎二氏が「日本の中小企業をサイバーセキュリティ被害から守るために、IT企業が取り組むべきこと」と題した特別講演を行った。○中小企業に対して平易な言葉で脅威を説明し、理解してもらえることを期待那須氏が執筆した中小企業向けのセキュリティ解説書は初版4000部が即日完売、現在4刷目に入っているという。同書が売れている理由について、「中小企業の担当者が必要な情報を網羅しており、かつ具体的な対策方法が含まれていてわかりやすいからでは」と分析していた。同氏がディストリビューターに対して望む中小企業へのセキュリティ啓蒙の要点は「セキュリティの実態を伝え、誤った考え方を正す」ことだという。「IPAなどの公的機関は中小企業のセキュリティ対策の実態をつかみ切れておらず、セキュリティに関する資料や啓蒙活動も行き届いていない。この状況を打破しなければならない」(那須氏)その上で、那須氏は注意すべき脅威として、以下の3つを挙げた。ネットバンキングの不正送金マルウェア情報を暗号化して使い物にならなくした上で金品を要求するランサムウェア場合によっては加害者と見なされてしまうボット不正送金は警察庁の取りまとめで、2014年に29億円、2015年には30億円の被害額が明らかになっており、メガバンクだけでなく、地方銀行や信用金庫といった地方の中小企業が利用している金融機関にも被害が波及している状況にある。その上で万が一被害を受けた場合、原則的に「法人に対する不正送金の補てんはない」と、那須氏は盲点になりがちなポイントを指摘する。ある金融機関では、500万円の不正送金被害にあったことで500万円の資金調達を行い、負債を増やしてしまったこともあるという。続くデータベースを暗号化するランサムウェアに関しては「身代金を払ったとしてもデータが元に戻る保証はなく、事前のバックアップがなければ事実上アウト」にもかかわらず、コトが起こってから"問題化"したケースが多いため「バックアップに関する周知・啓蒙」を行うよう呼びかけた。ボットについては「PCが2台しかない代理店に警察が踏み込んできた」という事例を紹介。明らかにボットが悪さをしていたものの、代理店が攻撃を行ったと判断され、事情聴取などで半年ほど仕事にならなくなったと説明していた。一方で、中小企業が行える対策は人的リソースおよび費用の面で限られているため、OSやJava/Flash Playerといった使用頻度の高いアプリケーションの定期的なアップデートや、統合セキュリティ対策ソフトのアップデート、重要なファイルのバックアップとUTMの導入を推奨している。そして、那須氏はディストリビューターは単にセキュリティ対策商品を売れば良いのではなく、「なぜその対策が必要なのか」をユーザー企業に平易な言葉で説明することでニーズを顕在化させる必要があると語った。その上で、(なかなか表に出てこない地元企業の)具体的な被害例で緊急性を理解させ、専門家としての対応策を提案することが重要だとした。
2016年03月09日トレンドマイクロは7日、Android端末を狙うモバイル不正アプリが累積1,000万個を突破したとして、改めて注意を喚起した。同社は2015年の国内外脅威動向分析レポートを、2016年2月29日に公開済み。この中で、Android端末向けのモバイル不正アプリが累積1,000万個を突破したことを報告した。2010年8月に最初の不正Androidアプリ「AndroidOS_DROIDSMS」を確認してから、2015年までにおよそ430万個を検出。2015年の1年間で、それまでの5年分の不正アプリを超える、およそ630万個を検出したという。不正アプリ急増の背景として、PCを攻撃対象としていた犯罪者が、iOSと比べ自由度の高いAndroidデバイスを新たな標的とし、攻撃を拡大していることが挙げられるとする。同社がPC向けに検出する不正プログラムの割合は、85%がアドウェア。犯罪者にとっては、ネット広告やPPIなど正規アフィリエイトプログラムを利用することで、安定した金銭利益を得られると同時に、利用者に明らかに不利となる活動を避けることで、追求を逃れやすいメリットがある。この流れはAndroid不正アプリにも波及しており、2015年の国内Android不正アプリ検出数の約80%を、アドウェアが占めている。一方で、アドウェアに比べると数は少ないものの、情報窃取やバックドアによるAndroid端末への直接攻撃は被害が大きく、ワンクリック詐欺といったネット詐欺アプリも一定の被害が確認されているという。同社は今後、オンライン銀行詐欺ツールや、ランサムウェア関連のアプリが本格化するとみて注意を喚起する。また、Androidにおける脆弱性攻撃についても警告。Android機器のアップデートは開発元のGoogleだけでなくベンダー側の対応も必要になるほか、一般のユーザーはOSバージョンアップの必要性を認識していないことが多く、適用が遅れがちだと指摘している。
2016年03月08日Palo Alto Networksは3月6日(現地時間)、「New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer」において、Mac OS X向けのランサムウェア「KeRanger」を検出したと報告した。Mac OS Xで動作するランサムウェアとしては2014年にKaspersky Labsが発見したFileCoderが存在しているが、発見段階でFileCoderはまだ不完全な作りになっており、完全に動作するランサムウェアでMac OS X向けに開発されたものは今回の「KeRanger」が初めてと指摘している。説明によれば、攻撃者は「KeRanger」を3月4日時点でBitTorrentクライアントであるTransmission version 2.90に感染させており、Transmissionのサイトからダウンロードできる状態になっていたという。同社は、Transmissionのサイトが何者かによって侵入され、配布物がこのランサムウェアの混入されたバージョンに差し替えられたのではないかと指摘している。感染済みのTransmissionは公式の証明書で署名されているため、AppleのGatekeepr機能で検出することができない。これに気がつかずにソフトウェアをインストールしてしまうと、3日間の潜伏期間後にTorの匿名ネットワーク経由でコマンドおよび制御サーバに接続。特定のファイルを暗号化し、ユーザに対して復号化の対価としてBitcoinで400ドルほど支払うように要求してくるとしている。しかもこのランサムウェアは現在アクティブな開発段階にあり、バックアップデータからファイルの復元を実施できないようにTime Machineのバップアックに関しても暗号化を試みるようだとも指摘がある。Palo Alto Networksはすでにこの問題をAppleに報告しており、Appleは該当する証明書を無効化。同様に、Transmissionプロジェクトにも問題は報告済みで、ランサムウェアを含んだ配布物はすでに削除されている。ランサムウェアに感染したバージョンが配布されていた期間は短いと見られるが、該当する期間に該当するアプリケーションをダウンロードしている場合は注意が必要。問題の特定と対象ファイルを削除する方法が解説されていることから、該当している場合には掲示されている対処を実施することが望まれる。
2016年03月07日日本IBMは2月29日、「2015 Securing the C-Suite(2015 IBMセキュリティー・スタディー)」と「2015年下半期Tokyo SOC情報分析レポート」を発表した。○2015 IBMセキュリティー・スタディー2015 IBMセキュリティー・スタディーでは、世界28カ国18業種、702名のCEOやCOO、CFO、CIO、CMOなどのCレベルを対象にセキュリティに関する調査を行った。CISOを調査対象から除外しており、セキュリティ専門ではない経営層の傾向を掴めるとしている。これによると80%の経営層は、2年以内に自社でサイバーセキュリティ事故が起こる可能性を「50%以下」と回答した。ただ、CEOのうち、セキュリティ対策に自信を持っていると回答した割合は51%にとどまり、これはほかの経営層と比較しても低い数字にとどまったという。経営層が最大の脅威としてあげていた対象は「悪意を持った個人・組織・ハッカー」で70%を占めたものの、これらの対象は専門家の意見は「脅威レベルは低い」ものだという。一方で、脅威レベルが高くなりやすい「組織化された犯罪集団」は54%、「外国政府の攻撃」は19%にとどまるなど、脅威に対する認識の相違が見られたとしている。○2015年下半期Tokyo SOC情報分析レポート2015年下半期Tokyo SOC情報分析レポートは、東京など全世界10カ所のIBM SOCで観測したセキュリティイベント情報をまとめている。これによると、次の3点の傾向が見られたという。1. 約74%の組織でドライブバイダウンロード攻撃を確認ドライブバイダウンロードの攻撃検知数は依然として増加傾向で、攻撃の9割はAdobe Flash Playerの脆弱性を悪用していた。2. 不特定多数を狙ったメール攻撃は短期集中型で使い捨て不特定多数を狙ったメール攻撃は、2015年10月以降に多数観測されており、Tokyo SOCが最初に観測したとあるメールから2時間以内にほとんどのメールが送信されていた。3. ランサムウェアを利用した攻撃活動が増加ランサムウェアも2015年11月以降に、攻撃活動を継続的に観測しているという。IBMでは「ドライブバイダウンロード攻撃や不正メールの増加との関連性が見られる」としている。
2016年03月01日第88回アカデミー賞の授賞式が29日(現地時間28日)、アメリカ・ロサンゼルスのドルビー・シアターで開催され、サム・スミスが歌う『007 スペクター』の主題歌「ライティングズ・オン・ザ・ウォール」が歌曲賞に輝いた。授賞式では、歌曲賞にノミネートされたサム・スミス、レディ・ガガらがステージで楽曲を披露。圧巻のパフォーマンスで拍手喝采を浴びた。ノミネート5曲の中で歌曲賞に輝いたのは、サム・スミスが歌う『007 スペクター』の主題歌「ライティングズ・オン・ザ・ウォール」。スミスは、共に作詞作曲を手掛けたジミー・ネイプス氏と抱き合った喜んだ。そして、スミスは「呼吸さえできないんです」と初のオスカーに感激。「ほかの候補者のみなさんも素晴らしいです。レディー・ガガもすばらしい」と栄冠を争った候補者たちに向けて称賛の言葉も述べた。さらに、同性愛者であることを公言しているスミスは、「これは、世界中のLGBTのみなさんにささげたい。私は同性愛者として誇りを持っています。そして台頭に立つことを願っています」と熱く語った。WOWOWでは、2月29日21時から同授賞式の字幕版を放送。3月5日にはダイジェスト版も放送する。SPECTRE(C)2015 Metro-Goldwyn-Mayer Studios Inc., Danjaq, LLC and Columbia Pictures Industries, Inc. All rights reserved
2016年02月29日ESET製品を提供するキヤノンITソリューション(キヤノンITS)はこのほど、Windows搭載のPCを狙った新種のランサムウェア「Locky」の感染が国内で急増していると公表した。同社は2月14日~17日にかけて、メールを利用したばらまき型攻撃と思われるキャンペーンを確認。問題のメールは請求書の内容を偽装したもので、誤って添付ファイルを開くと、PCがLockyに感染する恐れがある。感染した場合、文書などのデータが暗号化されて所有者が開けない状態になり、復号化するために身代金を要求される。具体的には、請求書を偽造したメールにMicrosoft Word形式のファイルが含まれており、ファイルを開いてWord上でMSO形式でのマクロを実行してしまうと、MIMEデコードで展開された4つのファイルによってマルウェアの「VBA/TrojanDownloader.Agent.ASL(ESETでの検出名)」がダウンロードされる。その後、マルウェアがさらにLockyをダウンロードして感染させる。2016年2月17日時点では、世界中でLockyが検出されている。国別で見てもESET製品で検知されたマルウェアの約3~5件の内1件は、このマルウェアを検出しており、大量にばらまかれていたことがわかる。同社のサポートセンターへの問い合わせも増加している。Lockyは、FileCoder.Lockyと呼ばれる新しいタイプのランサムウェア。日本語文書による身代金要求文書がフォルダごとに生成、デスクトップ背景に同様の要求文書が差し替える、ユーザのデータは暗号化した上で拡張子を「.locky」に書き換えるといった特徴を持つ。同社は、今後も亜種によるメール攻撃が継続されると想定しており、メールの取り扱いを注意するように呼び掛けている。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策をすることも重要だとしている。
2016年02月24日マカフィーは2月19日、セキュリティブログで、ユーザーのファイルを暗号化し身代金を要求するマルウェアであるランサムウェアが次の標的として狙っているシステムについて解説した。ランサムウェアに感染したユーザーがロックを解除するには、金銭を支払って暗号化キーを入手しなければならないのだが、今のところ上々の成果を上げているという。犯罪者は当初、消費者を標的としていたが、今や、企業や政府機関に対し、より価値の高いデータに対して高額な身代金を要求している。ランサムウェアはあまりにも巧妙なため、「ともかく身代金を支払うよう被害者に勧めることもよくある」というFBI捜査官の発言さえあるくらいだ。同社によると、ランサムウェアは現在、規模の拡大から標的の絞り込み段階への移行中で、配信メカニズムの機能を高度化し、被害者から金銭を得るためのより有効な方法を探しているところだそうだ。ランサムウェアは他のマルウェアと違い、感染すると復旧するためのクリーニングや除去ツールを実行できないため、防御側はランサムウェアが動作する前にそれを特定しなければならない。ただし、オフラインでのバックアップは予防措置として妥当かつ有効で、ランサムウェアの大半の機能を無力化できるという。そのため、ランサムモデルはデータをわずか1ステップで暗号化するように変化しつつあるようだ。攻撃者は、社内から送信されたように見える電子メールなど、標的を絞った攻撃を利用して、脆弱なシステムに悪意のある暗号化ツールを埋め込む。その後、ファイルまたはデータストリームを暗号化したら、貴重な財務情報であれ、不都合な内容の電子メールであれ、ユーザーが金銭を払ってでも秘密にしておきたいデータを公表すると脅迫する。Anti-Botnet Advisory Centre(ボットネット対策相談センター)によると、ドイツで最近発生した攻撃では、「Chimera」というランサムウェアが、ユーザーが600ユーロを超える身代金を支払わなければそのファイルを公開すると脅迫しているそうだ。Chimeraが実際にユーザーのファイルをエクスポートし、脅迫した内容を実行できるかどうかは不明だが、同社は「もしできなかったとしても、次に現れるランサムウェアは実行できる」とコメントしている。同社は、ランサムウェアが次に向かう先として、スマートTVや会議用機器、あるいはセキュリティで保護されていないその他のデバイスなど、よりセキュリティが弱いシステムを挙げている。また、攻撃が規模の拡大を狙ったモードから標的を絞ったモードに移行した場合は、ネットワーク全域およびクラウド全域において複数の地点で攻撃を検出できる、共通の情報戦略が必要だと指摘されている。攻撃者の人物像を理解しておくと、貴重かつ脆弱なデータを特定し、セキュリティ対策の優先順位を付ける際に役立つそうだ。
2016年02月19日情報処理推進機構(IPA)は2月15日、「情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構」において、2015年に発生したセキュリティインシデントおよび見識者による検討の結果を経て、「情報セキュリティ10大脅威 2016」を発表した。総合ランキングのほか、組織および個人で見た場合の10大脅威がまとめられている。発表された10大脅威は次のとおり。【総合】第1位 インターネットバンキングやクレジットカード情報の不正利用第2位 標的型攻撃による情報流出第3位 ランサムウェアを使った詐欺・恐喝第4位 Webサービスからの個人情報の窃取第5位 Webサービスへの不正ログイン第6位 Webサイトの改竄第7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ第8位 内部不正による情報漏洩第9位 巧妙・悪質化するワンクリック請求第10位 対策情報の公開に伴い公知となる脆弱性の悪用増加【組織】第1位 標的型攻撃による情報流出第2位 内部不正による情報漏洩第3位 Webサービスからの個人情報の窃取第4位 サービス妨害攻撃によるサービス停止第5位 Webサイトの改竄第6位 対策情報の公開に伴い公知となる脆弱性の悪用増加第7位 ランサムウェアを使った詐欺・恐喝第8位 インターネットバンキングやクレジットカード情報の不正利用第9位 Webサービスへの不正ログイン第10位 過失による情報漏洩【個人】第1位 インターネットバンキングやクレジットカード情報の不正利用第2位 ランサムウェアを使った詐欺・恐喝第3位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ第4位 巧妙・悪質化するワンクリック請求第5位 Webサービスへの不正ログイン第6位 匿名によるネット上の誹謗・中傷第7位 Webサービスからの個人情報の窃取第8位 情報モラル不足によるサイバー犯罪の低年齢化第9位 職業倫理欠如による不適切な情報公開第10位 インターネットの広告機能を悪用した攻撃総合と個人で第1位となった「インターネットバンキングやクレジットカード情報の不正利用」は昨年も第1位であり、2014年下半期に一旦減少したが、2015年上半期にはターゲットが信用金庫や信用組合など地域の金融機関に拡大し、被害はさらに増大したという。ウイルスやフィッシング詐欺により、インターネット・バンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正利用されてしまう。
2016年02月16日身長188cmで大柄なサム・スミス。昨年3月に2週間で6kgほどの減量に成功、それ以降も徐々に痩せていく様子が彼のインスタグラムの写真を見ても明らかだったのだが、先日投稿したボーダー柄の半袖ニットを着た姿のサムが、あまりにも以前と違い、ファンのみならずセレブも反応するほどの激ヤセぶりだ。「サムの減量は伝説級。ダイエット本を書くべき」とテイラー・スウィフトの彼氏カルヴィン・ハリスも思わずツイートしたくらい劇的な変化を遂げたサム。ダイエットへのやる気を奮い立たせたものは何だったのだろうか。昨年、オーストラリアのテレビ番組「60 minutes」(原題)のインタビューに応じたサムは、「僕はゲイだし、ゲイである自分を受け入れ誇りにも思っている。だからゲイと呼ばれても特に問題はない。でも、デブって言われると…太っているのは変えられることだから、変わりたいって思うよね」と発言。結果、約20kg痩せて身体も顔もシャープになった。そもそも食べ物が大好きで、食べることでストレスを発散していたというサムが痩せたきっかけは、「Eat. Nourish. Glow.」という本に出会ったこと。「自分と食べ物との関係が完全に変化した」と著者のアメリア・フリーアに感謝しているサムは、ファンにも「ぜひ本をチェックして健康的な生活を始めて!」と勧めている。(Hiromi Kaku)
2016年02月15日IPA(独立行政法人情報処理推進機構)は15日、2015年に発生したセキュリティ脅威のなかで、社会的に影響が大きい10事件を「情報セキュリティ10大脅威 2016」として選出した。情報セキュリティ分野の研究者、企業の実務担当者など69組織108名による選考会の審議、投票を経て、19の候補から決定されたもの。従来、総合順位のみを発表していたが、今回から総合順位に加え、脅威の影響が異なることから、影響を受ける対象を[個人]と[組織]に分けた10大脅威も選出した。「情報セキュリティ10大脅威 2016」の総合順位は下記の通り。1位は「インターネットバンキングやクレジットカード情報の不正利用」で、2014年下半期に一旦減少したものの、2015年上半期には、信用金庫や信用組合等地域の金融機関に拡大し、被害が増大した。2位は、攻撃が巧妙化してきている「標的型攻撃による情報流出」。2015年6月に発生した日本年金機構の情報漏えいが代表的な事件となった。「情報セキュリティ10大脅威 2016」の個人・組織別順位は下記の通り。[個人]の1位は、総合1位と同じ「インターネットバンキングやクレジットカード情報の不正利用」。被害が信用金庫や信用組合など、地域の金融機関に拡大していることを受けて1位となった。[個人]2位は、「ランサムウェアを使った詐欺・恐喝」がランクイン。2015年の11位から急上昇したもので、国内での感染被害件数が急増したことが理由。
2016年02月15日デルはこのほど、Cylanceの人工知能を活用したセキュリティ技術を採用したエンドポイント向けマルウェア対策スイート「Dell Data Protection | Endpoint Security Suite Enterprise」と、法人向けPC用の「POST(Power On Self Test)ブート BIOS 検証ソリューション」を発表した。Cylanceは、人工知能を活用したセキュリティ技術を開発しており、APT攻撃やゼロデイ攻撃で使用されるマルウェア、スピアフィッシング、ランサムウェアに対する防御機能を持つ。同社の技術を採用したエンドポイント向けのセキュリティ・ソリューションは「Endpoint Security Suite Enterprise」が初めてだという。Cylanceの検証では、99%のマルウェアとAPT攻撃を組織できるとしている。同ソリューションでは、ウイルス定義ファイルの定期的な更新が不要であるほか、管理者が単一のコンソールですべてのコンポーネントを管理できるため、エンドポイントセキュリティの管理に必要となる時間やリソースが削減できるという。一方のPOST(Power On Self Test)ブート BIOS 検証ソリューションでは、クラウド環境下で、個別のBIOSイメージをデルのBIOSラボの公式基準値と比較検証し、ブートイメージに脅威が入り込んでいないかを検知できる。このBIOS検証機能は、デルが提供する第6世代インテル Core プロセッサーを搭載した法人向けPCで利用できる。
2016年02月09日JPCERTコーディネーションセンター(JPCERT/CC)は2月4日、インターネット定点観測レポートの2015年10月~12月版を公開した。同レポートは不特定多数に向けて発信されるパケットを収集して、宛先ポート番号や送信元地域ごとに分類。脆弱性情報やマルウェア、攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉を行っている。今月の宛先ポート番号トップ5は以下の通り。「53413/UDP」が前四半期のトップ10圏外から3位まで順位を上げている。トップ5の宛先ポート番号ごとのパケット観測数の推移では、53413/UDPが乱高下を見せており、1位の23/TCP (telnet)は平均して観測されていることがわかる。送信元は中国と米国がワンツーで、前四半期と同じだ。JPCERT/CCの分析では、53413/UDPが探索されている理由は、同ポートを標準ポートとして使用するNetis/Netcore製のルータ製品を探索する目的の可能性が高いという。送信元は中国が多いものの、日本において同ポートを使用する製品はあまりない。Netis/Netcore製ルータには脆弱性が発見されており、この脆弱性を突くために探索している可能性があるようだ。探索パケットの中には、マルウェアに感染したWebカメラやセットトップボックス(STB)など、PCではない機器から送信された事例があり、一部は国内に存在するIoT端末のIPアドレスもあったという。PCではない組込み機器がマルウェアに感染してボット化している事例として、注意が必要と思われる。また、11月中旬以降に、「9600/TCP」宛のパケット数の一時的な増加が数回発生している。同ポート番号は、一般的に使用されるソフトウェアのサービスで使用されるポート番号ではないためJPCERT/CCが調査したところ、国内制御機器ベンダーのマニュアルに同ポートの記載があったことを確認した。この例で問題となるのは、海外のセキュリティ研究団体が、制御システムのセキュリティ問題に関する記述と、実証目的のコンセプトコードをWebサイトに公開しており、その公開時期が"パケット数が増加した時期"と重なるというものだ。12月20日頃からは、パケット数だけでなく、送信元IPアドレス数も増加しており、公開されたWebサイトの閲覧者からの探索も含まれていると推察されるという。研究目的でのセキュリティ情報の公開は、慎重さが求められる。トレンドマイクロが先日発表した「教育目的でランサムウェアのソースを一般公開も、攻撃者が即悪用する惨事に」では、Github上でランサムウェアのソースコードを公開したところ、見事に悪用されてしまった。同社は「サイバー犯罪者に利用される恐れのある情報を公開する際は十分に注意する必要がある」と結論付けており、セキュリティにかかわる事業者には慎重な対応を求めたいところだ。
2016年02月04日マカフィーは2月1日、セキュリティブログにおいて、最新のRovnixダウンローダーにコントロールサーバーのシンクホールのチェック機能が搭載されていると明かした。これにより、ふるまい検知システムを利用したマルウェアの検知が難しくなるという。Rovnixは、VBR(IBM PC互換機で導入されたブートセクタ)やNTLDR (Windows NT系の標準ブートローダ)に感染するマルウェアで、2011年から確認されている。端末が感染した場合は、ブラウザに保存されていた銀行情報を盗まれたり、さまざまなパスワードを盗まれたりする恐れがある。シンクホールは、マルウェアによるコントロールサーバへのDNSリクエストを偽造アドレスによって防ぐセキュリティ対策の手法。トロイの木馬、ボットネット、ランサムウェアなどの攻撃をブロックできる。具体的には、以下のような防御機能を搭載する。標的のシステム上で実行するコマンドをダウンロード標的のシステム上で実行する新しいモジュールやマルウェアをダウンロード標的のシステムから盗んだデータを外部へ持ち出し自身のステータスをコントロールサーバへ提供システム統計値(システムのタイプ、マルウェア対策のインストール状況など)をコントロールサーバへ送信コントロールサーバから暗号化キーをダウンロード。これによって、標的とするファイルの暗号化を防止新たに見つかったRovnixは、シンクホールを検知する機能を搭載する。これにより、コントロールサーバがシンクホールされていた場合、発見されるのを回避するために悪意のあるコードを実行せずに潜伏する。また、攻撃実行の適切なタイミングを測るためのチェック機能も搭載する。ブログでは、Rovnixがシンクホールを回避する際の具体的な挙動を解説している。まずRovnixは、これから侵入を試みるコントロールサーバのDNSネームサーバレコードを入手(フェッチ)する。次に、入手したネームサーバの値を、コントロールサーバのDNSネームサーバレコードがシンクホールされたことを示すキーワードのリストと照合し、特定のキーワードが含まれているかどうかをチェックする。キーワードは、control、sink、hole、dynadot、block、trojan、abuse、virus、malw、hack、black、spam、anti、googlがある。チェックによってDNSネームサーバに問題がないと判明した場合、Rovnixは情報を盗み出すための準備をするため、モジュールをダウンロードする。この時、リストの最初のドメインにコンタクトを試みて、最初のサーバにコンタクトできない場合は、次々と別のモジュールへコンタクトを実行する。ドメインのリストには次のようなものがある。transliteraturniefabriki.com:通信と追加のプラグインのダウンロードのための最初のコントロールサーバtornishineynarkkek2.org:バックアップ用のサーバupmisterfliremsnk.net:バックアップ用のサーバitnhi4vg6cktylw2.onion:他のコントロールサーバにアクセスできない場合、onionアドレスで接続を確立するためのサーバ時間チェック機能は、標準のNetwork Time Protocol(NTP)サーバを使用して時刻をチェックし、攻撃を実行するかを判断する。このチェックによって、コントロールサーバから受信した時刻と公開タイムサーバから受信した時刻を比較し、経過時間が特定のしきい値を超えた場合は、スリープ状態で一定の時間を過ごしてからもう一度時刻をチェックする。マカフィーは、公開NTPサーバを使用した時刻チェックは比較的新しい機能であり、多くの動的なマルウェア検知システムで使用されているローカルシステムの時刻の偽装に対抗するものだと説明している。
2016年02月02日カスペルスキーは1月28日、Kaspersky Labが2015年12月15日に発表した、グローバル調査分析チーム(Global Research and Analysis Team:GReAT)によるサイバー脅威の状況を総括したレポート「Kaspersky Security Bulletin:2015年脅威の統計概要」の抄訳を公開した。このレポートでは、新たなトレンドして、Androidを狙うモバイルバンキング型トロイの木馬の2つのファミリー(FaketokenとMarcher)が、金融系マルウェアファミリーのトップ10に初めてランクインしたことを挙げている。Faketokenファミリーの代表的なマルウェアは、コンピュータに感染するトロイの木馬と連携して動作する。ユーザーが、感染したコンピュータからオンラインバンキングにアクセスすると、取引の安全性を確保する名目でAndroidアプリをスマートフォンにインストールすることを要求するが、このアプリはワンタイムパスワード(mTAN)を傍受する。Marcherファミリーに属するマルウェアは、感染したAndroidデバイスで、欧州系銀行のモバイルバンキングアプリとGoogle Playの起動をトラッキングし、Androidデバイスから決済情報を盗み取る。Google Playを起動すると、Marcherはクレジットカード情報の入力を求める偽のウィンドウを表示し、そこに入力された情報を犯罪者に送信する。モバイルバンキングアプリを起動した場合も、同様の手口でユーザー情報を窃取する。○ZeuSは下火?無数の亜種が開発され、最も広く利用されていたマルウェアファミリーであるZeuSに代わり、2015年は、Dyre/Dyzap/Dyrezaが主流になった。2015年のバンキング型トロイの木馬の攻撃は、40%以上がWebインジェクション方式によりデータを窃取し、オンラインバンキングシステムにアクセスするDyrezaによるものだった。このような新しいトレンドもあるものの、「従来型」のサイバー金融犯罪が減少したわけではない。2015年に、同社製品はコンピュータ上でオンラインバンキングから金銭を窃取するマルウェアの起動を196万6324回ブロックしたが、これは2014年の191万520回からも微増している数字だ。○Androidランサムウェアがトレンドにまた、2015年は、ランサムウェアの感染がAndroidデバイスで急速に拡大したことを、憂慮すべきトレンドとして取り上げている。2014年にKaspersky Labが初めてAndroid向けランサムウェアを発見してからわずか1年で、6件に1件(17%)の割合でAndroidデバイスが狙われる事態となっている。2015年にランサムウェアでは、2つの大きなトレンドがあった。その1つは、暗号化ランサムウェアの標的となったユーザー数が約18万人に上り、2014年に比べて48.3%増となったこと、2つ目は、暗号化プログラムがマルチモジュール化され、暗号化機能に加えて、標的コンピューターからデータを窃取する機能を搭載しているものが多く見られるようになったことだ。その他のトレンドとして、サイバー犯罪者が、マルウェアによる攻撃から、アドウェアの積極的な配信に方向転換していることがあげられる。これは、刑事告発のリスクを最小限に抑えるためだという。2015年の統計でアドウェアは、Webベースの脅威の上位20件中12件を占め、アドウェアとそのコンポーネントがインストールされたユーザーコンピューターは、全体の26.1%にのぼる。さらに同レポートでは、サイバー犯罪者が指令サーバーを隠すために、匿名化テクノロジーTorを積極的に利用し、取引にはBitcoinを利用していることも指摘されている。○米国、ドイツ、オランダの経由の攻撃が8割に2015年、同社の製品は約200万台のコンピューターで、オンラインバンキングを標的にするマルウェアの起動をブロックした(2014年比2.8%増)。また、ユーザーのコンピューターで検知した、悪意あるオブジェクトと不審なオブジェクトは400万種類(2014年は184万種類)、ユーザーのコンピューター、ハードディスク、リムーバブルメディアの67.7%に少なくとも1つの悪意あるオブジェクトを発見したという(2014年は58.7%)。オンライン攻撃で使用されたスクリプト、エクスプロイト、実行可能ファイルなど悪意あるオブジェクトは、2014年比1.4%減となる12億種類を検知している。無害化されたオンライン攻撃の80%は、米国(24.2%)、ドイツ(13%)、オランダ(10.7%)をはじめとする10か国に置かれた悪意あるオンラインリソースによって実行された。上位3か国は2014年と同じで、サイバー犯罪者がホスティング市場が発達している国でのサービスを好んで利用する傾向を示している。
2016年02月01日シマンテックはこのほど、Android端末を狙った新たなランサムウェア「Android.Lockdroid.E」を確認したとセキュリティブロブで明かした。このランサムウェアは、マルウェアを端末内に侵入させて、管理者権限を取得しようとするもの。管理者権限を取得すると、端末内のファイルを暗号化したり、デバイスをロックして暗証番号を変更したりする。また、出荷時設定にリセットして、ユーザーデータをすべて削除する。マルウェアは「Porn ‘O’ Mania」という名前のアダルト系アプリの中に含まれている。アプリは、サードパーティのアプリストア、フォーラム、torrentサイトなどで公開されている。端末の所有者が悪質なアプリをインストールすると、端末内にマルウェアが侵入する。アプリを起動した後、システム権限付与のダイアログ上で、Googleのサービスに関連するパッケージをインストールように促される。マルウェアは、ダイアログを表示している間にバックグラウンドで、外部ストレージで見つかったファイルをすべて暗号化して、端末内の重要な情報を収集する。このマルウェアは、TYPE_SYSTEM_ERRORウィンドウを使い、本来のデバイス管理者権限付与のダイアログを隠せる。その代わりに、パッケージのインストールに必要なコンポーネントの展開に関係するメッセージダイアログを表示する。インストールの完了画面では、TYPE_SYSTEM_OVERLAYウィンドウを表示する。このウィンドウによって、実際に見えているボタンなどを押しても操作は受け付けなくなるため、ユーザーの操作では何も入力ができなくなる。しかし実際には、ユーザーが見えない位置にデバイス管理者権限付与のダイアログを表示している。偽の[インストールが完了しました]ダイアログと、デバイス管理者権限付与のダイアログとを比較すると、[続行]ボタンがちょうど[Activate(有効にする)]ボタンの位置と重なっている。シマンテックの説明では、ユーザーが[続行]ボタンを押すと、実際には[有効にする]ボタンを押すことになる。この手法をクリックジャックと呼ぶ。クリックジャックの手法は、ルート権限の管理ツールへの対策にも使われている。ルート権限管理のツールは、権限を昇格してルート権限を取得しようとするアプリがないかどうかシステムを監視し、処理の続行を許可する前に、そのアプリに代わって許可を求めるダイアログを表示する。今回のマルウェアの手口は、偽のウィンドウを重ねることで管理機能を巧みに回避している。影響を受けるAndroidのバージョンは、Android 5.0(Lollipop)より前のバージョン。5.0以降は、システム権限付与のダイアログの上に偽のダイアログを重ねて表示できない。5.0より前のバージョンを搭載する端末の利用率は、Androidユーザー全体の67%だという。なお、端末内にGoogle Playをインストールしている場合は、Google Play以外のアプリストアでダウンロードしても「Verify Apps」によって保護される。
2016年02月01日ウォッチガード・テクノロジー・ジャパンとアクロニス・ジャパンは1月20日、都内で記者会見を開き、ランサムウェア対策においてアライアンスを締結することを発表した。冒頭にウォッチガード・テクノロジー・ジャパン 社長執行役員の根岸正人氏が2016年のセキュリティ動向予測について「ハッカーが新たな攻撃対象としてランサムウェアを中心に学校、iPhone、IoTを狙うほか、スピアフィッシングからIoT、マルバタイジング(マルウェア+アドバタイジング=悪意のある広告)など新たなセキュリティ脅威対策が必要になる。中でもランサムウェアによる被害が拡大し、これまでWindowsを中心としていたが、AndroidやAppleなど、ほかのプラットフォームでも動作するものが出現していくだろう」と指摘した。ランサムウェアは、PCやサーバを感染させることにより、コンピュータ内のファイルを暗号化し、ファイルの復元と引き換えにランサムウェアの作者が感染したコンピュータの所有者に対して身代金を要求する恐喝型のウイルス。2015年12月頃から日本でも被害が拡大しているランサムウェア「CrypTesla」はファイルを暗号化したうえでファイル拡張子を「.vvv」に変えることから、「vvvウイルス」という呼び名がメディアを通じて広まった。当初は日本での被害は限定的という見方があったが、個人ユーザーや企業ユーザーからの被害報告が日々増加している状況だという。ランサムウェアに感染したPCだけでなく、そのPCが接続しているファイルサーバやNASなどに保存されているファイルにも被害が及ぶなど、実害が深刻化。さらに、感染するプラットフォームもWindows環境から、Android、iOSなどに拡大しており、被害の急激な増加が懸念されている。そのうえでランサムウェアへの対策として「セキュリティソフトの導入、OSおよび利用ソフトウェアを最新状態にする、重要なファイルを定期的にバックアップすることだ。簡単なことではあるが、セキュリティモラルなどを周知徹底したとしても、対策をとらないこともある」と根岸氏は語った。そして、両社がアライアンスに至った背景として同氏は「共通のユーザーでランサムウェアの被害が発生したほか、復旧時間の短縮や新たなセキュリティ脅威対策(ライセンス追加)、中小企業への注意喚起・啓蒙活動などを図り、将来的にはクラウド、モビリティサービスに展開していきたいと考えているため」と述べた。次にアクロニス・ジャパン 代表取締役の大岩憲三氏が同社が強みとするシステム(イメージ)バックアップについて「システムバックアップはOSやシステムの環境、各種設定を含め、ディスク全体のバックアップが可能だ。最近のランサムウェアの攻撃は拡張子の数が300を超えており、システムに影響する拡張子にも影響を与えている。そのため、ファイルバックアップだけでは対応が困難になっており、システムバックアップすることでランサムウェアに対応できる」と説明した。今後、中堅・中小企業を中心に両社のソリューションによるランサムウェアへの効果的な対策と感染時のデータ消失のリスク削減を啓発するほか、データ保護とセキュリティの観点からランサムウェア対策のソリューションを企業に対し、提案していく方針だ。
2016年01月20日トレンドマイクロは1月14日、教育目的で開発されたオープンソースのランサムウェアを利用した攻撃事例を確認したと、セキュリティブログで明かした。ランサムウェアを開発したのは、トルコのセキュリティリサーチャー「Otku Sen」で、ソースコードをGithub上で公開した。Otku Senはソースコードの公開にあたり、Hidden Tearをランサムウェアとして悪用しないように注意喚起した。しかし、残念ながら注意喚起は守られなかった。トレンドマイクロは、Webサイト上で「Hidden Tear」のコードを利用したランサムウェアを確認。悪用したのはブラジルのサイバー犯罪者と見られている。Webサイトには、偽のAdobe Flash PlayerをダウンロードできるURLのリンクが貼り付けられており、ユーザーがリンク先からダウンロードしてしまうと、Flash Player内に組み込まれていたランサムウェアに感染する。感染後は、仮想通貨のビットコインで2000ブラジルレアル相当の身代金を要求されるが、支払った場合も暗号化の解除は難しい。復号鍵は用意されているが、感染と同時に復号鍵も暗号化してしまう。トレンドマイクロは、ランサムウェアのソースコードをオンライン上で公開したことが適切ではなかったと指摘している。たとえ教育目的だとしても、被害を与え得る情報を公開する前に、その危険性について慎重に評価しなければならない。サイバー犯罪者に利用される恐れのある情報を公開する際は十分に注意する必要がある。
2016年01月15日マカフィーは1月14日、2015年第3四半期の脅威レポートを発表した。レポートでは、2015年Q3はモバイル端末を狙った攻撃が拡大し、クラウド上に保存されたデータ流出の危険性が増していると指摘している。また、ソーシャルエンジニアリングの手法を使って、企業の内部システムへの侵入を試みるマクロ・マルウェアも増えている。マクロ・マルウェアは近年減少傾向にあったが、第3四半期はマクロ・マルウェアによる攻撃回数は過去6年間で最高水準となった。新たな攻撃手法としては、従来の脅威検知技術を回避するファイルレス攻撃が発生している。ファイルレス・マルウェアの攻撃は、ルートキットによる攻撃に取って代わりつつある。これについては、カスペルスキーも同様の指摘を行っている。それ以外にもレポートでは、脅威データの統計を公開。データは、マカフィーの脅威データベース「GTI(Global Threat Intelligence)」で収集したものとなる。これによると、第3四半期は毎分平均327件(毎秒5件以上)の新種の脅威を検出したそうだ。ユーザーをだまして、メールやブラウザ上の検索などを経由して危険なWebページに接続させようとする攻撃が740万件以上、顧客ネットワークをターゲットにしたマルウェア入りのファイル配布が350万件以上、不審なプログラム(PUP)が740万件確認されている。ほかにも、モバイル端末を狙ったマルウェアが、第2四半期から第3四半期にかけて16%増加し、前年同期比で81%の増加となった。新種のモバイル・マルウェアの数は、5四半期連続で増加している。また、Mac OSを狙ったマルウェアが増加傾向にあり、第3四半期は第2四半期の4倍に増えた。増加したマルウェアの大半は、同一種類の脅威だったという。2015年に流行したランサムウェアは、第2四半期から第3四半期にかけて18%増加しており、1年間通して見ると155%の増加になる。一方でルートキット・マルウェアは65%減少し、2008年以来最も低い水準となった。減少した理由は、Windowsの64ビット版が増えたことが考えられる。64ビット版は、ドライバーの署名を強制してPatch Guardを導入するなど、攻撃者のカーネル悪用が非常に困難な設計になっている。
2016年01月15日JPCERTコーディネーションセンター(JPCERT/CC)は1月14日、2015年度第3四半期(10月~12月)のインシデント報告の統計・事例をまとめた「インシデント報告対応レポート」を公開した。これによると、前四半期と比較して報告件数は17%減少し、調整件数も0.3%減少した。前年同期比でも、総報告数が45%減少、調整件数は12%減少となっている。この四半期に発生したインシデントの種別では、スキャン(システムの弱点探索)が48.2%を占め、Webサイト改ざんが26.1%、フィッシングサイトのインシデントが15.0%だった。それぞれのインシデントの具体的な傾向を見ていこう。○スキャンは減少スキャンの件数は1526件で、前四半期の1985件から23%減少。スキャン対象となったポートで、特に頻繁にスキャンされたものは、HTTP(80/TCP)とSMTP(25/TCP)、SSH(22/TCP)だった。○Webサイト改ざんが増加、CMSが狙われる続くWebサイト改ざんは、報告件数が826件で、前四半期の592件から40%増加だった。この四半期は、「改ざんサイトへアクセスした際に、セキュリティ製品がランサムウェアのダウンロードを検知した」という報告が複数寄せられたという。改ざんの具体的な手法としては、bodyタグの直後やページの最上部に、難読化されたコードが埋め込まれるケースが多かったようだ。CMSを活用しているWebサイトの改ざんが特に多く見られており、「WordPress」「Joomla」「Drupal」などのCMSを活用しているサイト運営者は注意が必要となる。実際にJPCERT/CCが、改ざんされたWebサイトの管理者からサイトコンテンツをもらい受けて調査したところ、CMSのデフォルトのファイルに「//istart」「//iend」などの文字列を含む不正なコードが埋め込まれていた。このことから、CMS本体やテーマ、プラグインの脆弱性を悪用する攻撃や管理者のパスワードを盗みとって攻撃者が改ざんした可能性を指摘している。改ざんされたサイトでは、不正なコードによって攻撃サイトへ誘導し、Adobe Flash PlayerやInternet Explorerなどの脆弱性を悪用した攻撃によってマルウェアのダウンロード・実行が行われている。サイト運営者だけでなく、サイト訪問者にも広範囲に影響が及ぶため、注意が必要だ。○フィッシングサイトは前期比で減少も、前年同期比では増加フィッシングサイトの報告数は474件で、前四半期の522件から9%減だった。また、前年同期は406件だったため、17%の増加となっている。この四半期は国内のブランドを装ったフィッシングサイトが124件で、前四半期比10%の増加、国外ブランドは250件で7%の減少だった。また、偽装された業界では、金融機関のWebサイトが49.1%、Eコマースサイトが16.4%となっている。○マルウェアサイトは大幅減なお、この四半期で報告されたマルウェアサイトは84件で、前四半期の119件から29%減少となっている。
2016年01月15日セキュリティベンダーのソフォスが、ブログで連載としてさまざまなランサムウェアを紹介しているが、今回は「VirLock」を取り上げている。VirLockはそれほど知られていないかもしれないが、高度なランサムウェアだという。2014年後半に報告されたが、バイナリ形式など、多くのファイルの種類に感染し、ユーザーのデスクトップをロックするというものだ。VirLockファミリーは、アンチウイルス・ソフトによる検出を回避するポリモーフィック型ウイルスであるだけでなく、2層目の暗号技術としてxorやxor-rolを用いてエンコードするなど、複数の層で保護コードを持つ。これにより、通常のアンチウイルス・エミュレーションは、実際のウイルスコードに達してホストファイルをクリーンにする前にエミュレーションに失敗してしまう。また、ドキュメントや画像が関連したファイルに加えて、バイナリファイルにも影響を及ぼすのが特徴だ。実行されると、複数の自身のコピーをさまざまな目的で起動する。Windowsサービスとしてレジストリして永続的に動かそうとしたり、ファイルインフェクターのスレッドを動かしたり、過去に起動したプロセスをモニタリングして、プロセスが他のプロセスにより終了させられた場合に再起動を試みたりするものもある。また、taskmgr.exeをモニタリングして終了させ、explorer.exeを無効化して他のアプリケーションも終了させる。ほかのランサムウェアとの違いは、バックアップに利用するボリュームシャドウコピーは削除せず、身代金を要求する脅迫状がないことだ。支払いを促すGUIを表示し、ほかのランサムウェアと同様に、ビットコインでの支払いを求める。通貨はユーザーのマシンの位置情報に基づいた地元の通貨となり、英国ではファイルの復号に250ポンド(約4万2000円)を要求している。ソフォスはランサムウェア対策として、以下の7点を講じるように呼びかけている。ファイルのバックアップをとるWindowsやその他のソフトウェアを定期的に最新版にする信頼できない電子メールのリンクや添付ファイルをクリックしないMicrosoft OfficeアプリケーションのActive Xコンテンツを無効化するファイアウォールをインストールし、TorとI2Pを遮断リモートデスクトップ接続を無効化%APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断
2016年01月14日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて取り上げている。○ランサムウェアとはランサムウェアであるが、本書でもその脅威と対策を紹介してきた。改めてその挙動であるが、感染したユーザーのPCを使用不能な状態にして、身代金を請求するというトロイの木馬である。初期には、PCを再起動すると起動画面を乗っ取り、その後の操作を不能にするというものが多かった。図1では米国の操作機関であるFBIを騙っている。同じように、警察署などの捜査機関、裁判所などを騙ることもあった。もちろん、その目的はいかにも公的な機関であることを装い、身代金を不正にユーザーから奪いやすくすることが目的であった。そして、その状況に変化が見られたのは、クリプト型のランサムウェアの登場である。上述した起動画面を乗っ取るランサムウェアならば、感染後も状況によっては、ウイルスの駆除などが可能なこともあった。しかし、クリプト型の最大の特徴は、ユーザーのデータを暗号化してしまうことである。つまり、ランサムウェアが駆除できたとしても、ユーザーデータのほとんどを失うことになり、実質的には使用不能な状況に陥ることになる。こういった状況を作成し、身代金を奪い取ろうとするという、非常に悪質なウイルスといえるだろう。さらに、個人用のPCだけでなく、組織や会社のサーバーに侵入し、共有データを暗号化するといった事例も報告されちている。いずれのランサムウェアでも、身代金を支払ったとしても、PCが復元できる可能性は低い。それどころか、連絡したクレジットカードを悪用される危険性すら存在する。最近では、仮想通貨のビットコインなどを身代金として請求されることが多い。悪意を持った攻撃者に送金をしても、身元の追跡は非常に難しいといえるだろう。○国内におけるランサムウェアの被害状況これまで、IPAではランサムウェアについて、注意喚起を行ってきた。しかし、図2を見てほしい。IPAによれば、かなり正確な日本語表示を行うランサムウェアが確認されたのは、2015年4月であった。その後、急速にIPAへの相談件数が増加している。その後は、沈静化もみられた。しかし、2015年秋以降、相談件数が急増している。その理由であるが、IPAでは、10月:ウイルス感染を目的としたWebサイトの改ざん12月:ランサムウェア感染を目的としたメールのばら撒きといった事例をあげている。いずれの相談においても、ファイルが使用不能になる点は共通の被害であった。結果として、多くの組織や企業において、業務に著しい影響を与えることになった。IPAでは、ランサムウェアの対策は、定期的なバックアップとしている。○ランサムウェアの感染経路では、どのようにランサムウェアに感染するのか。IPAの分析結果を紹介したい。他のウイルスと同じく、メールとWeb経由の2つがある。まず、メール経由である。メール本文中のURLにアクセスすることで感染メールの添付ファイルを開くことで感染IPAが確認したものでは、請求書の確認を促すような英語の文面で、zipファイルが添付されていた。このzipファイル内に、ランサムウェアをダウンロードするように細工された別の不正プログラムがあり、最終的にランサムウェアに感染してしまった。次に、Webサイト経由である。改ざんされた正規のWebサイトや細工された不正広告を閲覧することで感染Webサイトからダウンロードしたファイルを開くことで感染一般的なウイルスなどでも使われる手口である。さらには、Webサイトを閲覧しただけで感染した事例もあるとのことだ。○もっとも効果的な対策は、日々のバックアップクリプト型のランサムウェアに感染してしまうと、ユーザーデータやHDDのデータをもとの状態に戻すことは、きわめて難しい(高度な暗号化方式が使われている)。したがって、ランサムウェアへの対策として、バックアップがもっとも効果的となる。つまり、ランサムウェアに感染しても、感染する以前の状態に戻すことができれば、データを失うことはないのである。IPAでは、バックアップを行ううえでの注意事項として、以下をあげる。バックアップに使用する装置・媒体は、バックアップ時のみPCと接続するバックアップに使用する装置・媒体は複数用意し、バックアップするバックアップから正常に復元できることを定期的に確認するここで重要なのは、1番目である。常時、PCやサーバーに接続していると、ランサムウェアに感染した時点で、外付けのHDDなども暗号化されてしまう。つまり、バックアップとして使えなくなってしまう。そこで、バックアップを作成する(その時点で、ランサムウェアに感染していなければ正しく行えるハズだ)際にのみ、PCやサーバーに接続するのである。さらに複数のバックアップ装置を用意することで、もし、ランサムウェアに感染したとしても、被害を最小限に防げる可能性もある。そして、ドライブバイダウンロードなどの攻撃に遭わないために。OSやアプリケーションの脆弱性の解消安易にリンク先をクリックしないセキュリティ対策ソフトの導入といった基本的な対策も必須となるだろう。
2016年01月08日Sophosブログではランサムウェアを取り上げる特集を展開しているが、今回はTeslaCryptについて見てみたい。TeslaCryptはEccKryptとも言われるもので、一部のユーザーのファイルを暗号化し、解読に身代金を要求する。ほかのランサムウェアと同様、暗号化にはAES対称キー暗号化を利用する。TeslaCryptは、Anglerエクスプロイトキットやその他の既知のエクスプロイトキットを経由して幅広く広がっている。Anglerを利用して、Adobe Flashの脆弱性(CVE-2015-0311)を悪用し、成功するとTeslaCryptをペイロードとしてダウンロードする。Anglerは、感染したWebサイトから挿入されたiflame経由で悪用される。難読化コードとアンチVMテクニックを含むランディングページにリダイレクトし、アンチウイルスソフトやマルウェア解析ツールの存在を調べる。それぞれの難読化コードに対し、同じWebページに難読解除スクリプトが含まれている。実行後、ファイルを暗号化すると、Torプロキシサーバー経由でbase-64で暗号化されたパラメーターとして詳細とともにネットワークC&Cサーバーに接続する。その後GUIウィンドウを起動、ユーザーにファイルが暗号化されたことを通知し、支払方法を表示する。さらには、ファイルを1つだけ無料で解読するオプションも提供する。これは、すべてのファイルを復元するために支払うよう推奨するのが目的だ。支払いには、Bitcoin、PaySafeCard、Ukashなどを利用できる。GUIは英語のみで、英語以外のユーザーをターゲットとした例は、まだ確認されていないという。TeslaCryptはCryptoWallに次いで、世界各国で被害が報告されている。Sophosは、アンチウイルスソフトを最新のものにする以外の対策として、以下の対策を推奨している。ファイルのバックアップをとるWindows OSとソフトウェアを定期的に最新のものにする信頼できない電子メールのリンクや添付ファイルをクリックしない「Microsoft Office」アプリケーションのActiveXコンテンツを無効化するファイアウォールをインストールし、TorとI2Pを遮断して特定のポートを制限するリモートデスクトップ接続を無効化する%APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断する
2016年01月08日情報処理推進機構(IPA)が毎月発表している「今月の呼びかけ」。1月は、拡大の一途を見せているランサムウェアの注意喚起が行われている。同機構によると、2015年4月より、日本語で表示されるランサムウェアの相談が増加し、被害拡大の懸念から6月に注意喚起を行った。その後、一時沈静化を見せていたものの、10月最終週以降に相談件数が増加した。要因としては、ウイルス感染を目的としたWebサイトの改ざんが相次いだことや、12月にもランサムウェア感染を目的としたメールのばらまきがあるという。特に12月は「vvvウイルス」として広く一般に知れ渡ったことを覚えている読者も多いだろう(関連記事「vvvウイルスは日本を狙ったもの?」「vvvウイルスは"騒ぎすぎ"も、ランサムウェアには注意」)。ランサムウェアは暗号化手法や感染経路こそ異なるものの、「ファイルが開けなくなる」という特徴は共通しており、ファイルを開きたいのであればランサム(身代金)を払えという要求が来る。こうしたランサムウェアから身を守るための対策として、IPAは、OSやソフトウェアのアップデート、セキュリティソフトの導入と定義ファイルの更新、メールやSNSのファイル・URLへの注意という一般的なセキュリティ対策を呼びかけている。また、特に効果的な対策として「定期的なバックアップ」を挙げている。バックアップには加工や編集をあまり行わない写真・音楽などのマルチメディアファイルと、編集をよく行うドキュメントファイルでバックアップ手法を変えるように推奨している。これに加えて、バックアップ時の注意点として「バックアップ時のみPCと接続する」ようにすべきとする。理由としては、接続したままの外付けHDDのファイルが暗号化されたことから、バックアップの意味をなさなかったケースがあるようだ。これ以外にも、バックアップに利用する装置を複数用意するほか、バックアップしたファイルが正常に使えるのか定期的な確認を行うように呼びかけている。
2016年01月08日BetaNewsは1月3日(米国時間)、「Ransom32 is JavaScript-powered ransomware affecting Windows, Mac and Linux」において、「Ransom32」と呼ばれるJavaScriptベースのランサムウェアが発見されたと伝えた。Ransom32はNW.jsプラットフォームで動作するNode.jsランタイム上で実行される仕組みになっており、対象となるオペレーティングシステム上のファイルにアクセスして暗号化を実施する。影響を受けるオペレーティングシステムとしてWindows、Mac OS X、Linuxが挙げられている。Ransom32はNW.jsで動作することから複数のオペレーティングシステムで動作することが可能。Ransom32の感染経路も影響を受けたシステムで実施する動作も既存のランサムウェアによく似ているが、クロスプラットフォームで動作するのみならず、自身の検出を困難にしているほか、サービスとしてランサムウェアが実行されるという状況を生み出している点で注意が必要。通常、ランサムウェアはユーザーの意思に関係なくファイルを勝手に暗号化し、復号化してほしい場合はビットコインなどを使って入金するように求めてくる。入金しても暗号化されたファイルが復号化される保証はなく、現状ではランサムウェアに感染した場合を想定してバックアップを取ることが効果的な対応とされている。
2016年01月05日日本IBMは12月22日、11月より確認しているランサムウェアへの感染を狙った攻撃が、12月に入ってからも行われていると同社のセキュリティブログで解説した。ランサムウェアの動向は、IBMの東京セキュリティー・オペレーション・センター(東京SOC)が確認したもの。攻撃経路の主流は、Web経由でのドライブ・バイ・ダウンロード攻撃と不正なファイルが添付されたメールを使ったものの2つ。メールによる攻撃は、添付された不正なJavaScriptを実行するもので、Wordファイル内に組み込まれた不正なマクロを実行すると、外部からマルウェアがダウンロードされる。一方のドライブ・バイ・ダウンロード攻撃は、Angler Exploit Kitを利用してAdobe Flash Playerの脆弱性を悪用するものであった。12月を週ごとに区切ると、12月7日の週は攻撃の発生件数が数件程度だったが、12月14日週は発生件数が増加している。攻撃サーバーへの誘導手法は、Webサイトが改ざんされ、ユーザーがページを閲覧すると不正なスクリプトが読み込まれ、バックグラウンドで攻撃サーバーに誘導されるものであった。改ざんに用いられた攻撃手法や脆弱性はわかっていないが、改ざんされたWebサイトはいずれもWordPressを使用しているサイトであった。そのため、Tokyo SOCではWordPress本体やプラグインの脆弱性を悪用して改ざんが行われている可能性が高いと推測している。ランサムウェア攻撃を防ぐためには以下の対策を推奨している。バックアップの定期的な取得アンチウィルスソフトの導入と、最新の定義ファイルへの更新心当たりのない不審なメールのリンクをクリックしない、添付ファイルを開かないブラウザのプラグイン無効化や、Click-to-Play機能の有効化OSやブラウザ、Microsoft Office、Adobe Flash Player、Adobe Reader、Java Runtime Environmentなどの修正プログラム(パッチ)適用Adobe Flash Playerの脆弱性への攻撃は今後も続くと予想されることから、Flashコンテンツの表示が必要でない環境ではAdobe Flash Playerのプラグイン無効化にするよう呼びかけている。一方でFlashコンテンツを表示させる必要のある環境では、リスクの緩和策としてFlashコンテンツの再生にユーザーのクリックが必要となるClick-to-Play機能を利用するように推奨している。万が一ランサムウェアへ感染した場合は、組織内のファイルサーバーが暗号化され、事業継続に影響を与える恐れがある。そのため、クライアントPC内のファイルのバックアップ先を常時接続されたファイルサーバーにしないなど、マルウェア感染を想定した対策が必要だという。また、感染時にネットワークドライブや外付けストレージのファイルまで暗号化されることを防ぐためには、該当のクライアントPCをネットワークから切り離したり、外付けストレージを取り外しておくことが有効だという。
2015年12月24日勝手にファイルを暗号化し、復号化するために身代金を要求するランサムウェア「CryptoLocker」が問題となったのは2013年9月のことだ。その後、CryptoLockerのサーバーインフラは2014年に一掃されたものの、マルウェアの製作者は新たな変種を生み出していると、セキュリティベンダーのソフォスが指摘している。このブログでは、ファイル暗号化ランサムウェア「TorrentLocker」を取り上げている。TorrentLockerは地理的に明確にターゲットを絞ることで知られており、スパムメールのキャンペーンを展開する。特徴の1つが、ターゲットとする地域にローカライズしたメッセージを出しておびき寄せること。観測では、TorrentLockerがターゲットにした地域は、かなりの範囲に及ぶ。このマルウェアは、AESを利用してさまざまな種類のファイルを暗号化し、復号化するためにビットコインによる支払いを要求する。さらには、犠牲者のマシンからの電子メールアドレス情報を収集して、拡散に利用する。TorrentLockerへの感染経路は、スパムメールから始まる。ソフォスはTorrentLocker実行ファイルが直接メールメッセージに添付されたものや、TorrentLockerファイルをダウンロードして実行するマクロを組み込んだオフィスドキュメントが添付されたスパムメールを観測している。このほかには、クリックするとTorrentLockerファイルのダウンロードを開始してしまうリンクを含むメールもある。感染が最も多いのは米国で44%だが、さまざまな国で被害が報告されている。これはTorrentLockerがローカライズされたキャンペーンを展開している点と関係があると言える。感染の疑いがある場合はTorrentLockerに対応しているマルウェア対策プログラムを利用して削除しよう。暗号化されてしまったファイルは、残念ながら身代金を支払わないと回復できない可能性が高いという。アンチウイルスソフト以外の対策としては、以下の作業を行うよう推奨している。ファイルのバックアップをとるWindowsやその他のソフトウェアを定期的に最新版にする信頼できない電子メールのリンクや添付ファイルをクリックしないMicrosoft OfficeアプリケーションのActive Xコンテンツを無効化するファイアウォールをインストールし、TorとI2Pを遮断するリモートデスクトップ接続を無効化%APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断
2015年12月24日