PFUは10月28日、標的型サイバー攻撃対策として新たな検知技術を開発したと発表した。新技術は、多くの技術が採用している、マルウェア自身の特性や振る舞いに基づくものではなく、攻撃者の行動に着目したものだという。標的型サイバー攻撃は一般的に、侵入前に標的組織の情報を入手する「情報収集」から、標的型メールのURLをクリックさせることで、ツールをダウンロードさせて遠隔操作し、情報を窃取する「組織内部侵入」といったプロセスを踏む。これに対して同社の研究チームは、組織内部侵入における攻撃者の行動プロセスに着目した「攻撃者行動遷移モデル」を構築した。このモデルを利用したものが、標的型サイバー攻撃の検知を実現する新たな検知技術「Malicious Intrusion Process Scan」となる。複数の協力組織において実証実験を重ねており、セキュリティ対策が施された実際の業務環境(合計約10万端末)における複数の標的型サイバー攻撃を検知し、効果を確認しているという。検知技術は「リアルタイム把握」と攻撃者行動遷移モデルを特徴としている。攻撃者は標的とした端末と通信して攻撃活動を行うため、端末の通信を監視する。エージェントレスで監視することで、攻撃者に気づかれることなくリアルタイムに攻撃者の行動を把握できるとしている。攻撃者行動遷移モデルでは、前述の攻撃行動の通信が通常の業務上行われる通信を装っているケースがあり、正しく検知できないことがありうるという。そのため、侵入直後から攻撃行動に移るまでの流れを「攻撃者行動遷移モデル」と照合し、検知精度を高める。この新技術は、千葉県・幕張で行われる情報セキュリティEXPOのPFUブースで公開される。
2015年10月28日データを盗み取る攻撃者のもっとも一般的な攻撃方法は何か? マカフィーが10月19日、同社ブログで解説している。調査レポートでは、2015年の第1四半期に発生した約5500万件の攻撃の大部分を構成する5つの攻撃方法について説明している。レポートによると、ネットワークリソースの悪用が最も簡単な方法であることから、インターネットサービスの中断またはアクセス拒否が、すべての攻撃の40%以上を占め、従来から引き続きナンバーワンの攻撃方法となっている。DDoS攻撃に対する防御は大幅に向上しているものの、DDoSフラッド攻撃の開始を特定するには、通常のボリュームおよびパターンを確実に理解する必要がある。また、不正なパケットの性質を理解するには、ディープパケットおよびSSLインスペクションが必要で、インターネットリソースからそれらの不正なパケットを遠ざけるには強力なフィルタリングが必要になる。窃盗者は実際に内部に侵入するために弱点としてユーザーに焦点を当てる。フィッシングメールやソーシャルエンジニアリング、または不正アクセスであるかどうかを問わず、昨年1年間で疑わしいURLは87%増加し、今ではブラウザベースの攻撃が攻撃全体の35%超を占めているという。これらは多くの場合、窃盗者は特定の部門または数名の重要人物に焦点を当て、必要なワンクリックが得られるまでその部門や重要人物を継続的に標的にするという。さらに、窃盗者はAdobe FlashやJavaScriptなどの機能豊富なコンテンツにマルウェアを隠すことで、静的フィルタによる検出を困難にしているので、ユーザーは、ブラウザの機能を代行できる知的なコンテンツフィルタリングを追加して保護を強化する必要がある。攻撃の大半は正面からの侵入や、ますます高度化するWebによる誘導でユーザーを騙そうとするものだが、他にもこっそり忍び込んだり、防御をうまく回避したり、暗号化されたストリームに混じって防御をすり抜けしようとするものもある。攻撃者にとっての大きな利点の1つは、顧客の防御のあらゆる側面を分析し、さまざまな製品をテストし、どの方法で侵入できるかを把握するために繰り返し試行できる点だ。攻撃者は、後で組み立て直すためにマルウェアを小さな部分に分割し、サンドボックスでの検査時にはマルウェアを休止状態にし、コールバックアドレスをランダム化して取り消す準備を行う。そのため、これらの不正な攻撃を見つけるには、防御機能のすべてが連携し、悪意のあるアクティビティをノイズの中から識別する必要がある。
2015年10月20日米Facebookは17日(現地時間)、Facebook利用者のアカウントに対するサイバー攻撃が、国家の支援によるものと疑われる場合、攻撃を受けたアカウントのトップページに警告を表示すると発表した。同社では、攻撃を受けたアカウントをセキュアに保つ措置を常に講じており、今回、アカウントへの攻撃が政府支援によるものと強く疑われる場合、その旨を該当アカウントのデスクトップ版トップページ上に警告することを決断したという。この種の攻撃は、より危険な方向へ進化する傾向があり、攻撃された人々が、自身の情報をセキュアに保つため必要な行動を起こすよう促すねらいだ。表示される警告はFacebookのシステムとは関連しておらず、攻撃を受けたアカウントは、PCやモバイルデバイスが既にマルウェアなどに感染している可能性もあると指摘。同社は、「警告のメッセージが表示されたユーザーは、自分のPCやデバイスのシステムを再構築したり、交換するなど気を配るべきだ」と注意を喚起している。
2015年10月20日トレンドマイクロは10月14日、Adobe Flash Playerのゼロデイ攻撃を最新の標的型サイバー攻撃キャンペーン「Pawn Storm作戦」で確認したとセキュリティブログで明かした。同社は「Pawn Storm 作戦」を仕掛ける攻撃者がFlash Playerに存在するゼロデイ脆弱性を利用していることを確認。このゼロデイ脆弱性は2014年に初めて見つかっている。「Pawn Storm 作戦」による攻撃は現在でも多発しており、直近で複数の国の外務省が標的型メールを利用した攻撃の被害を受けている。このケースでは、メールの本文内に最新ニュースに関する情報を示すページのリンクが含まれており、受信者がリンク先を誤って開いてしまうと、脆弱性を利用するエクスプロイトコードが組み込まれたWebサイトに誘導されてしまう。この攻撃は標的型メールのトピックとして以下の内容が利用されている。Suicide car bomb targets NATO troop convoy KabulSyrian troops make gains as Putin defends air strikesIsrael launches airstrikes on targets in GazaRussia warns of response to reported US nuke buildup in Turkey, EuropeUS military reports 75 US-trained rebels return Syria同社は、今回の攻撃で注視すべき点として、エクスプロイトコードが組み込まれたURLを挙げている。このURLは、4月に起きた北大西洋条約機構(NATO)やアメリカ大統領官邸(ホワイトハウス)を標的にした攻撃に利用されていたURLと類似しているという。各国の外務省も「Pawn Storm 作戦」の標的となっており、不正プログラムによる攻撃以外にも、偽の「Outlook Web Access(OWA)」が標的となる複数の省庁に対して設置されていた。攻撃を受けた場合は、個人情報が窃取されるほか、受信メールの DNS設定が改ざんされるケースがあることもわかっている。問題のAdobe Flash Playerのゼロデイ脆弱性は、同ソフトウェアのバージョン19.0.0.185および19.0.0.207が影響を受ける。現時点で開発元のAdobeから更新プログラムがリリースされていない。同社は、確認したゼロデイ脆弱性を開発元のAdobeに報告しており、今後も標的型サイバー攻撃への調査を続けるとしており、最新情報をブログなどで公開するとしている。
2015年10月15日ラックは10月14日、標的型攻撃の脅威への対策として、企業・組織内のシステムがマルウェアに侵入されたことを想定した耐性検証を行うAPT攻撃耐性診断サービス「APT先制攻撃」の提供を開始した。同社は、標的型攻撃の対策において重要なことは、標的型攻撃により境界防御を破られてマルウェアの侵入を許した場合に、それを既存のセキュリティ対策施策で発見、攻撃の無効化、被害予測を事前に行っておくこと考えており、今回、独自開発した擬似攻撃マルウェアを企業・組織内部に放つことで、企業・組織が標的型攻撃に対してどの程度の耐性があるのかを調べる同サービスを開発した。同サービスは、同社の緊急対応サービスである「サイバー救急センター」が実際に調査した被害実例から、標的型攻撃に見られる攻撃手法や被害発生内容を分析し、この攻撃を再現する無害な擬似攻撃マルウェアを使用し、企業・組織内のシステムに擬似的な攻撃を安全に行う。同サービス向けに開発された擬似攻撃マルウェアは、システムにはダメージを与えずに、マルウェアの感染活動への耐性、権限昇格の耐性、重要情報へのアクセスと窃取に関する耐性に代表される項目の評価を行う。同社のエンジニアは、擬似攻撃マルウェアの実行結果と企業・組織内に残されたログをもとに、標的型攻撃への耐性を評価して具体的な弱点を報告する。診断を受けた企業・組織は、すでに導入されているセキュリティ対策や標的型攻撃対策が有効に機能しているかを評価でき、具体的な弱点への対策を行うことが可能となる。標的型攻撃の脆弱性診断に必要なヒアリングなどの事前準備から、擬似攻撃による診断作業、実施結果の分析を経て報告会まで、約三カ月を必要とする。価格は、診断準備から、診断の実施、分析と報告までを含むパッケージとして600万円からとなっている(税別)。
2015年10月15日日立製作所は10月13日、標的型サイバー攻撃の拡散活動を検出する技術を開発したことを発表した。同技術は、攻撃者に侵入された可能性がある端末を検出し、別の端末に侵入していく過程の端末間の関係を可視化することで、標的型攻撃を検知。アンチウイルス・ソフトウェアなど従来の対策を補完し、端末を個別に分析するだけでは検知が難しいステルス型マルウェアなどによる標的型攻撃の早期検知が期待される。今回、端末の通常動作の特徴を機械学習によりモデル化し、普段利用されないプログラムの起動や普段アクセスしない端末への通信などを不審動作として特定する6種類のセンサーを開発した。同センサー群が観測した不審動作の発生頻度をもとに、社内ネットワークに設置した分析サーバーが不審端末を検出する。同社は不審端末間のアクセスタイミングを分析して端末間の関係を可視化する技術も開発。不審端末と判定された端末が、過去数時間内に他の不審端末からアクセスされた履歴があるかどうかをもとに、端末間の関係を攻撃経路を示すグラフとして可視化する。同技術により、関係がある端末群の数が一定以上になると拡散活動が行われていると判断し、端末の不審動作や関係を元に各端末が受けた攻撃内容や攻撃経路を分析できるため、攻撃の全容解明や対策立案などにも役立てることができる。同社は、今回開発した技術の性能を測定するため、過去に発生した攻撃事例やセキュリティベンダーの報告、学術論文などをもとに代表的な標的型攻撃を模擬した攻撃シナリオを策定し、実証実験を社内で実施した。その結果、一般的に想定される標的型攻撃の検知率97%を達成し、誤検知が発生する頻度を従来のホワイトリスト型対策の10分の1に削減したことを確認したという。
2015年10月14日米Palo Alto Networksは、ジェイルブレイクされていないiOS端末も攻撃するマルウェアを発見した模様。「YiSpecter(イースペクター)」と命名されたこのマルウェアは、iOSシステム内でプライベートAPIを不正使用していることが分かっている。主に中国本土と台湾のiOSユーザーが本マルウェアに感染していると報告しており、全国的なISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散といった手法で拡がっている模様である。YiSpecterは10か月以上インターネット上に存在しているとのことだが、無料検査サービス「VirusTotal」で調査したところ、セキュリティベンダー57社のうち、マルウェア検出できたは10月4日の時点で1社だけだった。YiSpecterはエンタープライズ証明書で署名された4つのコンポーネントから構成されていて、プライベートAPIを悪用することで、コマンドアンドコントロール (C2) サーバーからこれらのコンポーネントを互いにダウンロードおよびインストールする。コンポーネントのうち3つは、ユーザーの発見による削除を防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工を施す。また、これらのコンポーネントはiOS上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用している。感染したiOS端末においては、任意のiOSアプリをダウンロード/インストール/起動、ダウンロードしたアプリと既存アプリとの置き換え、広告表示のために他のアプリ実行の乗っ取り、Safariにおけるデフォルトの検索エンジン/ブックマーク/開いたページの変更、C2サーバーへの端末情報のアップロードといったことが実行される恐れがある。被害者の報告では、過去数カ月にわたる攻撃でこれらすべての挙動が確認されている。非ジェイルブレイクのiOS端末でも感染することが分かっており、手動で削除してもまた出現したり、通常のアプリを開くとフルスクリーン広告が表示されたりといった報告が寄せられている。エンタープライズ証明書を悪用することで非ジェイルブレイクiOS端末をマルウェア感染させる手法、プライベートAPIを不正使用する手口の存在は以前から知られていたが、その二つを組み合わせたマルウェアの存在が確認されたのは今回が初めてのことである。Palo Alto Networksは、広範なユーザーに被害を及ぼすもので、これはiOSセキュリティの障壁を一歩後退させるものであると声明を発している。
2015年10月06日マクニカネットワークスは10月1日、標的型サイバー攻撃対策向け製品ラインナップを補完するサービスとして「クイックトリアージサービス(Quick Triage Service)」の提供を開始した。価格は年間120万円(税別)。初年度販売目標は100社。新サービスは、ユーザー企業の環境でマルウェアを検知した際、同社がマルウェア解析ツールおよび、インテリジェンスやセキュリティデータベースとの照合を行い、マルウェアの緊急度を一定時間内に判定するとともにマルウェアの動作を調査し、マルウェアの概略および解析結果を迅速に報告するもの。新サービスの導入により、検知したマルウェアが自社を標的にした攻撃の一部など緊急度の高い脅威となり得る攻撃なのかどうかを知ることができ、その脅威の影響度を詳細に調査(マルウェアの静的解析やインシデントレスポンスサービスなどによる調査)する必要性を迅速に判断し、適切な初動対応を可能としている。また、サービスの提供範囲を初動判定に限定することで従来のインシデントレスポンスサービスと比べ、低料金を実現した。なお、同サービスにおけるマルウェアの検体は年間30個まで。
2015年10月02日ファイア・アイは9月16日、北朝鮮からの脅威が疑われる「ハングルワードプロセッサー(HWP)」に対する最新ゼロデイ攻撃について解説した。HWPは、韓国企業の「Hancom」が開発した韓国語に対応したワードプロセッサ・ソフトウェアで、韓国の政府機関や公共機関などで広く利用されている。今回のゼロデイ攻撃では、HWPに未知の脆弱性(CVE-2015-6585)を悪用した複数の悪意ある文書が見つかった。悪意のある文書は、北朝鮮の脅威アクターと疑われる関連性あると見られている。HPWの「HWP 2014」バージョンでは、韓国産業規格のKS規格で標準化されたHWPファイル形式(HWPX)のサポートをしている。HWPX形式の文書が初期設定で使用するファイル拡張子は.hwpxであるが、従来のHWPファイルである.hwpが使用することもできる。新たな形式であるOWPML(Open Word-Processor Markup Language)は、zipアーカイブ内でXMLファイルを使用する。HWP文書とHWPX文書の構造的な違いは、Microsoft Wordの.docファイルと.docxファイルのそれに類似している。段落テキストは、データ記録型として本文の各段落の内容を保存している。.hwpxファイル内の段落テキストのタグを解析すると、hwpapp.dllの論理エラーにより、型の取り違えのシナリオが発生する。こうした脆弱性とヒープ・スプレー攻撃を組み合わせることで、コードの実行に影響を及ぼすことが可能となる。HWPXファイルの構造は、一連のディレクトリやXMLファイルを格納するアーカイブ(zip)ファイルに類似している。「Contents」ディレクトリ内のXMLは、HWPXファイルが格納するデータと、データのレンダリング方法を定義している。Contents/section1.xmlには、脆弱性を発動させるXMLが格納されている。パーサーは、linesegアイテム用のオブジェクトを作成し、その中の属性を解析・保存する。hp:tエレメントには、数字、Unicodeキャラクター、タブ、改行が格納されおり、Unicodeは、型の取り違えが発生した後の実行ファイルのリダイレクトに使用される。これは、メモリの中に段落テキストを構成している。このコンテンツの定義にlinesegアレイが含まれているため、パーサーはlinesegオブジェクトを複製し、段落テキストの末尾に追加する。その場所はptrParaText+10*4で、linesegの属性に基づき、段落テキストをさらに解析している。2番目のlinesegのtextpos属性は「5」であるため、パーサーはオフセット5から始まる段落テキストの解析を行い、これによってパーサーは、SECTION_COLUMN_DEF(0002)制御文字の中央にジャンプする。この結果、121c1000はオブジェクト・ポインタとして扱われる。ヒープ・スプレー攻撃により、エクスプロイトは同アドレスで偽のクラスを提供する。HWPがこの偽のクラスを使用すると、エクスプロイトによって提供されたアドレスが呼び出される。これは、下図のシェルコードを示している。このシェルコードは、ヒープスプレー・データ内でタグ(SVCHSVCH)を検索し、悪意あるペイロードを見つけ出したあと、シンプルなXOR(排他的論理和)でデコードを行い、「%temp%\svchost.exe」にドロップしたうえで実行する。悪意あるHWPX文書は「HANGMAN」と呼ばれるバックドアの類似コピーをインストールする。HANGMANは、ファイル、プロセス、ファイルシステム管理のアップロードとダウンロード、システム情報の収集、構成のアップデートを行うことが可能。このバックドアは、通信プロトコルとしてSSLを採用しており、通信を開始する際に、コマンド&コントロール(C2)サーバに正規のSSLハンドシェイクを送信する。次に、SSLヘッダ・メッセージを使用して通信を継続するが、メッセージのペイロードはカスタム・バイナリ・プロトコルとなる。HANGMANのサンプルはいずれも、PEインポート・ハッシュ、コンパイル日時(2015年8月18日15:08:28)、C2に使用されるハードコードIPアドレスが同一のものであった。C2用IPアドレスの1つは、コンパイル日時が4カ月早い(2015年4月8日00:53:29)MACKTRUCKバックドアの亜種でも使用されたもの。MACKTRUCKはこれまで、北朝鮮の関与が疑われる脅威アクターの標的型攻撃で使用されていた。HWPX文書がドロップするHANGMANの亜種で使用される関数は、私たちがPEACHPITと呼ぶバックドアなど、北朝鮮の関与が疑われるアクターで使用された他のマルウェア・ファミリーに見られるものと非常によく似ている。PEACHPITとHANGMANのいずれも、WindowsコマンドがリモートC2サーバからバックドアに渡される関数を採用している。渡されるコマンドにリダイレクト文字(>)が含まれるかを確認した後、感染したホストマシン上では、以下の形式のいずれかにより、コマンドが実行される。cmd.exe /u /c [PASSED_COMMAND] >[RESULT_PATH] 2>&1cmd.exe /u /c [PASSED_COMMAND] 2>[RESULT_PATH]次に、感染したホストマシン上では、コマンドの実行結果が%tmp%/[hexdecimal].tmpに保存される。上の関数は、これまでの他のマルウェア・ファミリーでは広く観察されてはおらず、比較的独自性が高いものと思われる。この事実は、PEACHPITとHANGMANの作成者が同じ開発者グループであるか、少なくとも同一のソースコードを一部共有していることを暗示している。PEACHPITなどのバックドアの使用の観察例が極めて限定的であることを考えると、両バックドアは開発履歴が共通なだけでなく、同一もしくは緊密な関係にある脅威アクターによって使用された可能性があると、結論づけるのが妥当であるとまとめている。
2015年09月18日アシストは9月17日、標的型攻撃への対策を支援するために内部対策を重視した各種の施策を「標的型攻撃対策ソリューション」として体系化し、提供開始した。具体的には、マルウェアの侵入の予兆や状況の把握のため定期的なモニタリングを実施する「BlackDomainSensor」、内部対策として、特権IDを奪取されたとしてもデータを持ち出させず持ち出されても意味が無いようにするための多重対策として「マルウェア遮断ソリューション」「ダブルブラウザソリューション」「特権ID管理ソリューション」「ファイルサーバ情報漏洩防止ソリューション」の全5ソリューションを展開する。このうち、「マルウェア遮断ソリューション」は2015年10月に新設予定であり、「ダブルブラウザソリューション」は同月に機能強化版を提供開始する予定だ。BlackDomainSensorはセキュリティ・ログ分析エンジンを使い、インターネットのアクセス・ログとC&Cサーバのリストを突合せた結果と、Active Directoryに特権IDを模したトラップ・アカウントを仕掛け、おとりに引っ掛かったマルウェアの認証失敗ログを抽出したレポートを出力する。マルウェアによるC&Cサーバへ通信している端末の発見や、マルウェアによる特権ID奪取の挙動の発見に有効という。マルウェア遮断ソリューションは2015年10月に新設予定であり、マルウェアが侵入している可能性のある端末をネットワークから遮断する。遮断は管理者がリモートから実施可能。該当端末のC&Cサーバへの不正な通信のブロックや、データの不正な持ち出し・侵害拡大の防止に有効としている。ダブルブラウザソリューションは、インターネット・アクセス用のブラウザを仮想環境で提供し、業務用端末から外部へのインターネット・アクセス(HTTP通信)を禁止させ、業務用端末のインターネット・アクセスを分離する。なお、2015年10月に機能強化版のリリースを予定している。同ソリューションにより、マルウェアが侵入したとしても、標的型攻撃の出口となるC&Cサーバとのインターネット・アクセスを禁止することで攻撃を無効化できるとのこと。特権IDはワークフローにて申請を行い、承認を受けた場合のみ利用できるように制御する。また、重要サーバへはワークフロー経由の自動ログインのみを許可し、自動ログイン以外のローカル・ログインなどは全て禁止する。同ソリューションにより、ワークフローを経由しない重要サーバへのログインを一切禁止することで、万が一標的型攻撃によって特権IDを奪取された場合でも、不正なアクセスを防止できるという。ファイルサーバ情報漏洩防止ソリューションは、ファイル・サーバのデータを暗号化し、Windowsのアクセス権限とは別に独自のアクセス権を設定。また、ファイル・サーバに対してアクセスできるのは、専用クライアントを導入している端末のみに限定する。同ソリューションでは、独自のアクセス権限設定により専用端末以外からのデータ持ち出しを防止すると共に、Windowsの特権IDを奪取された際もデータの持ち出しリスクを軽減できるという。また標的型攻撃によりデータが直接持ち出された際も、データは暗号化された状態を維持するとのこと。
2015年09月18日ボーイングは現地時間の9月15日、ワシントン州レントン工場で737 MAX 8初号機の最終組み立てを開始したことを発表した。初となる737 MAXの胴体は8月21日に工場へ到着し、飛行システムや断熱材の搭載が進められていた。最終組み立てとして、胴体と737 MAXの特徴でもあるウィングレットを備えた主翼の接合が行われた。このウィングレットにより燃費効率が1.8%向上するという。レントン工場では737 MAX用にもう1ラインを拡張し、2本のラインを設ける。737 MAX初号機は2015年末までにロールアウトし、2016年初めに初飛行を予定している。ローンチカスタマーはサウスウェスト航空で、初号機の引き渡しは2017年第3四半期となる。737MAXファミリーは現在、58の航空会社から2,869機を受注している。
2015年09月16日トレンドマイクロは9月2日、日本における不正広告による被害に関する調査を報告した。これによると、Web経由の攻撃ではエクスプロイトキットを設置した脆弱性攻撃サイトへの誘導が主要な攻撃手法となっているという。攻撃者は、利用者が攻撃サイトにリダイレクトする仕掛けを改竄サイトなどに設置し、利用者が気づかないうちに誘導を行っている。日本国内でも、オンライン銀行詐欺ツールやランサムウェアなど多くの不正プログラム被害が確認されており、こうした脆弱性攻撃サイトへの誘導経路のうち、34%が不正広告だという。不正広告の攻撃には大きく分けて2種類ある。1つは正規の広告が侵害され不正コンテンツが含まれてしまう場合、もう1つは攻撃者自らが広告料を払い不正コンテンツを含んだ広告を出稿する場合だ。いずれにせよ、インターネット利用者が Webサイト上で目にする広告が脅威への誘導経路となる。今回のトレンドマイクロの調査では、海外の4つのホスティング業者が管理する6つのドメインにホストされた複数の広告コンテンツが、脆弱性攻撃サイトへの誘導経路となっていたことを確認した。一般の正規サイトの改竄では、攻撃の影響範囲は直接アクセスした訪問者のみだ。しかし、不正広告の場合アドネットワークなどのネット広告の仕組みに乗ることで、より多くの正規サイトへ不正広告が配信され、利用者に影響を与える可能性がある。SPNの統計では、これらの不正広告をホストした7つのサーバに対し、7月1日~8月21日までの1カ月半で、日本から900万件以上のアクセスがあったことを確認している。また、いずれのサーバも、日本からのアクセスが全体の5割から8割を占め、日本をターゲットにしていたことがわかる。不正広告が配信されたと推測される正規サイトには、アダルトサイトやまとめサイトなどに加えて、各種メディアのサイトや、動画やポイントなどの各種Webサービス、オンラインゲーム、ソフトウェアベンダーなど、一部著名な日本向けの正規サイトが含まれていた。不正広告が表示される広告枠は、アクセスした利用者の属性を反映して表示される場合が多いので、不正広告の存在を調査しにくい。また攻撃自体が短期間で移動していくので、調査が進められない場合も多い。さらに不正広告から誘導される先の脆弱性攻撃サイトも、同一のIPから複数回アクセスがあった場合は脆弱性攻撃を発動しないなどの仕掛けがあり、調査はより困難になるという。攻撃者にとって有利な誘導手段である不正広告は今後も増加が予測される。今回の調査で最終的に侵入する不正プログラムが確定できたケースの41%は「ZBOT」などのオンライン銀行詐欺ツールだった。また。26%は「CRYPWALL」などの暗号化型ランサムウェアだ。この状況から、不正広告においても攻撃者の最終的な狙いは金銭だと言える。これらの脆弱性攻撃サイトによる被害を回避するには、 Internet ExplorerIE)、Java、Adobe Flash、Adobe Reader、SilverlightやActive Xなどで脆弱性が発見された場合、すぐに最新バージョンにアップデートすることが重要だという。
2015年09月04日マカフィーは8月31日、ランサムウェアによる攻撃手法がフランチャイズ化していると、セキュリティブログで明かした。フランチャイズ化とは、本部(ランサムウェアの作成者)と契約を結んだ使用者(攻撃者)が商品(ランサムウェア)やノウハウを受け取り、攻撃を成功したときの報酬の一部を上納金として本部に納める仕組みだ。一般的な飲食店やコンビニエンスストアなどで言われるフランチャイズと同じと考えて良い。サイバー犯罪者の中には、金銭目的などで開発した攻撃ツールを第三者に提供することもある。いわゆる「サービスとしてのランサムウェア(ransomware-as-a-service)」 モデルによって、最近のランサムウェア攻撃の急増につながっている。ブログでは、代表的なランサムウェアである「CTB-Locker」と「Tox」のフランチャイズ化のモデルケースを紹介している。CTB-Lockerランサムウェアの作成者は、アフィリエイトプログラムを使用しており、アフィリエイトに登録した攻撃者はツールを入手できる。攻撃者は、ツールを使って企業にランサムウェア攻撃を仕掛け、成功時の収益の70%を取得し、残りは作成者が受け取る。Toxのケースは、作成者が金銭目的でランサムウェアを配布している。使用者の技術的なスキルをほとんど必要とせず、誰でも簡単に利用できるのが特徴だ。Toxの利用者は、身代金の額を自分で設定し、総額の20%を攻撃者に支払う。CTB-LockerとToxにおいて、攻撃者と使用者の金銭のやり取りには、ビットコインなどの仮想通貨が使われている場合が多い。ビットコインは、金銭の受け取り手の匿名性が守られているためだ。攻撃者は、より高額の身代金を得られることを期待し、消費者のシステムから企業のシステムへと標的を移行している。マカフィーでは、多くの組織がデータを取り戻すために身代金を支払う傾向にあり、モデルの有効性が裏付けられたことで、さらなる攻撃の増加につながっていると分析している。
2015年09月01日日立ソリューションズは8月31日、企業のセキュリティ対策の現状分析や運用体制の確立において、グローバルセキュリティエキスパート(GSX)と連携し、「サイバー攻撃対策ソリューション」のコンサルテーションメニューを9月1日から強化する。これにより、企業は、専門のコンサルタントによるセキュリティレベルの現状分析や脆弱性診断に基づき、より的確な情報システムの導入に加え、標的型メール訓練をはじめとする教育やセキュリティポリシーの策定など、情報セキュリティマネジメントの運用体制を強化することで、有効な多層防御を実現する。今回の両社の連携により、企業は、より的確な情報システムの導入が可能となるとともに、標的型メール訓練やマルウェア感染調査、CSIRTの設置支援など、情報セキュリティマネジメントの運用体制を強化することで、サイバー攻撃に対する有効な多層防御を実現する。また、両社は今回のコンサルテーション強化だけでなく、システム構築や運用支援についても、企業のセキュリティ強化をサポートするために協力していく。
2015年08月31日シマンテックは同社のセキュリティブログにおいて、Internet Explorerなどの脆弱性を突く「Sundown悪用ツールキット」の動向を述べている。攻撃の影響を受ける地域としては、北米大陸、南米大陸、ユーラシア大陸といったように、世界で広く分布。中でも日本の割合が高く、約50%を占める。日本のユーザーが狙われていること、そしてセキュリティが甘いと認識されていることが見て取れる。Sundown悪用ツールキットは、攻撃者がさまざまなWebサイトに仕掛けている罠。正規のWebサイトが改ざんされ、Sundown悪用ツールキットが忍び込んでいるケースも多い。そして、アクセスしてきたユーザーのPC環境を調査し、各種ソフトウェアの脆弱性やセキュリティソフトの存在を確認する。攻撃の対象になり得ると判断すると、ユーザーのPCにマルウェア(バックドア型トロイの木馬)を送り込んで感染させる仕組み。マルウェアに感染したユーザーのPCは、攻撃者からリモートコントロールされたり、情報を盗み出されたりする。シマンテックによると、Sundown悪用ツールキットは、Internet Explorerの脆弱性「CVE-2015-2444」を攻撃する悪用コードをいち早く統合。悪用コードが公開されたのは2015年8月12日で、同日から翌日にはすでに実際の攻撃に使われた。Microsoftも緊急のセキュリティ更新プログラム(MS15-079)を同日に配布済みだが、この悪用スピードに関して、シマンテックは「異例の速さ」としている。上記の「CVE-2015-2444」以外に、Sundown悪用ツールキットが攻撃するソフトウェアの脆弱性は以下の通り。各ソフトウェアとセキュリティソフトは常に最新の状態に保つようにしていただきたい。Adobe Flash Player Use After Free Memory Corruption Vulnerability (CVE-2015-0311)Adobe Flash Player APSB15-06 Multiple Remote Code Execution Vulnerabilities (CVE-2015-0359)Adobe Flash Player Remote Code Execution Vulnerability (CVE-2015-0313)Adobe Flash Player and AIR Unspecified Heap Based Buffer Overflow Vulnerability (CVE-2014-0556)Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6332)Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2013-7331)
2015年08月27日人間関係に悩みはつきものだけれど、ことにややこしいのが女同士の付き合い。特に群れを作りたがったり、噂話をしたりする攻撃的な女子が周りにいると困りもの。どうしたらこの女子を逆なでせずに手なずけることができる?精神科医の水島広子さんに聞くと、「女の持つ嫌な面は、一般的に女性が“男性から選ばれる性”であることに端を発したもの。“選ばれなかった”ことによる嫉妬や攻撃を回避するには、適切に対処をする必要があります」とのこと。この時にベースとなるのが、水島さんの推奨するアティテューディナル・ヒーリング(AH)。攻撃に対して応戦するのではなく、相手の“選ばれなかった”という傷を癒すため、3つのステップで攻撃に対応していく。「最初のステップは、巻き込まれないこと。一歩引いた場所から問題を捉えることが大切です。次が、自分を守るということ。相手をバカにすると攻撃の対象になるので、見下さないことが重要に」ここまでのステップだけでも問題を回避することはできるけれど、より本質的な解決を望むなら最後のステップは不可欠。「最後は、相手の困った面を癒してあげましょう。攻撃してくる女性はどこか傷ついていることが多いもの。人格的に相手を認めて、その女性の心が少しずつ癒えていく様子を見守って」◇みずしま・ひろこ精神科医。対人関係療法専門クリニック院長。『女子の人間関係』(サンクチュアリ出版)をはじめ、対人関係に関する著書多数。※『anan』2015年8月26日号より。イラスト・いぬんこ取材、文・真島絵麻里写真・dolgachov
2015年08月21日米Googleの先進技術・サービス開発チーム「ATAP(Advanced Technology and Projects)」が進める組み立てスマホの開発プロジェクト「Project Ara」が遅延している。2015年に端末を市場テストする予定だったが、公式Twiterアカウントから2016年にずれ込んだことを公表した。「Project Ara」で開発する端末は、ディスプレイ、バッテリー、カメラ、スピーカーなどのパーツをフレームにはめ込むことで完成するスマートフォン。好みのパーツを利用できるほか、ディスプレイが破損するなど一部のパーツが壊れても、それを容易に取り替えられるなど、既存のスマートフォンにはないメリットがある。エントリーモデルでは50ドルから100ドルになるとしている。当初の計画では、プエルトリコでパイロットテストが行われる予定だったが、8月13日に「Market pilot re-route.」とテストの見直しを述べるコメントが投稿された。そして、8月17日には「When? 2016.」とし、当初の計画から遅れが生じていることが確認できる。現在は、米国の複数エリアでのテストを試みることを明らかにしている。When? 2016. #yeswearelate #ProjectAra— Project Ara (@ProjectAra) 2015, 8月 17遅延の理由について、Twitter公式アカウントは多くを語っていない。一時は端末の落下試験でパーツが外れてしまうことが原因と推測されたが、これについては、ジョークであると否定している。それ以外の要因としては、パーツの取りつけ、取り外しのための署名機能のテストを繰り返していること、永久磁石は採用しないなど、現状の断片を述べるにとどまっている。
2015年08月21日カスペルスキーは20日、日本を狙った標的型攻撃「Blue Termite(ブルーターマイト)」の攻撃が拡大しているとして、改めて注意を喚起した。ブルーターマイトとは、国内組織に標的を絞ったAPT(Advanced Persistent Threat)攻撃を指す。APT攻撃は、特定の標的に対して持続的に潜伏・攻撃し、スパイ行為や妨害活動をする攻撃の総称。カスペルスキーの調査分析チームGReATによると、2015年7月頃からブルーターマイトが活発化しており、従来から感染手法やマルウェアが変化しているほか、感染被害も拡大しているという。従来、ブルーターマイトの主な感染手法は標的型攻撃メールだったが、2015年7月に改竄サイトにマルウェアを設置したドライブバイダウンロードや水飲み場型攻撃が取り入れられていることを確認した。感染組織も拡大しており、攻撃者の指令サーバーと、感染したとみられる端末との通信数の推移によると、2015年6月時点では固有IPアドレス数が300、1日当たり最大通信数は約140だったのに対し、2015年7月では固有IPアドレス数が3倍以上の1,000、通信数は約280となっている。同社は感染組織が広がった要因として、前述の感染手法が広がったこと、マルウェアの変化により感染した組織が被害に気づきにくくなっていることを指摘している。ブルーターマイトは、感染により収集した情報を元に次の標的を狙っており、被害組織の業種も広がっている。従来は政府や行政機関を中心に、地方自治体、大学、銀行、自動車分野などで感染を確認していたが、7月から医療や不動産、半導体、食品、建設などでも感染を確認しているという。同社は、ブルーターマイトの攻撃が侵攻しており、情報漏えいを含む被害拡大を予想。国の機関や大企業でも侵入・漏えい被害が発覚していることから、対策の見直しと、インシデント情報の共有および有効活用の仕組みを整えることを推奨している。
2015年08月21日カスペルスキーは8月20日、同社の調査分析チーム(GReAT)が日本を狙った標的型攻撃(APT)「Blue Termite:ブルーターマイト」の新たな動きを観測したことを明らかにした。今回、観測された変化の1点目は感染の手法で、これまでの標的型攻撃メールに加えて、ドライブバイダウンロードの利用を確認した。2点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されていることがわかった。3点目は、感染被害が数の上でも範囲においても拡大していること。「ブルーターマイト」とは、日本国内の組織に標的を絞った攻撃で、通常は国外に設置されている攻撃者の指令サーバのほとんどが国内に設置されているのも特徴的。主な感染手法は、これまでは標的型攻撃メールだったが、7月には、Hacking Team社から流出したAdobe Flash Playerのゼロデイ脆弱性を悪用し、複数の改竄サイトにマルウェアを設置したドライブバイ・ダウンロードの利用のほか、水飲み場型攻撃が取り入れられていることを確認した。同社は、攻撃を段階ごとに分析しており、各段階で目的を達成するために用いられるマルウェアやツール類が異なることを確認している。第1段階では、ソーシャル・エンジニアリングやそれまでに窃取した情報をもとに標的を定め、メールやドライブバイ・ダウンロードを駆使して「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバの配下におく。第2段階では、「Emdivi t17」を経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースもある。第3段階では、感染先の端末内で収集した機密情報や重要情報を窃取する。収集ならびに窃取した情報をもとに、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバとしてのインフラの構築も行われる。攻撃者の指令サーバと感染したと見られる端末との通信数の推移を見ると、2015年6月時点での固有のIPアドレス数は300を数え、1日当たり最大の通信数は約140だったという。しかし、7月に入ると固有のIPアドレス数は3倍以上の1000まで急増し、通信数は約280と倍増したとのことだ。指令サーバとの通信数が倍増した主な要因としては、新たにドライブバイダウンロードが感染手法として利用されたこと、マルウェアのカスタマイズが進み、感染した組織が被害に気づきにくくなっていることが挙げられている。
2015年08月21日エアバス(本社:仏トゥールーズ)は現地時間の8月18日、A350-1000初号機の主翼の組み立てが英国北ウェールズのブロートン工場で開始されたことを発表した。A350-1000の主翼の設計と開発は現在、英国フィルトンにあるエアバスの施設で行われている。片翼で長さ32m・幅6mのA350-1000の主翼はすでに商業運航されているA350-900と同様の長さではあるが、ペイロードと航続距離能力の増強のため、部品の90%が変更され後に縁が延長されている。なおA350-1000の主翼は、炭素繊維複合材で製造される単一部品としては最大となる。
2015年08月19日ファイアアイはこのほど、米国セキュリティ侵害の実例から見る最新のサイバー攻撃の現状と効果的なインシデント対応に関する記者説明会を行った。○中国が支援するサイバー攻撃者がアメリカのヘルスケア企業から個人情報窃取ファイア・アイは、新たなセキュリティサービス「FireEye as a Service」を発表した。高度なサイバー攻撃の検知と、セキュリティ侵害が起きた際の迅速な対応を支援するもので、国内のパートナー企業を介して提供する。このサービス提供にあたって、ファイア・アイのコンサルティング事業部であるMandiant(マンディアント:ファイア・アイが買収)のバイスプレジデント、チャールズ・カーマカル氏が、「世界のセキュリティ脅威状況」というレクチャーを行った。カーマカル氏は脅威の一例として、中国政府が支援するサイバー攻撃をとりあげた。中国政府の支援を受けた攻撃者の目的は、主に4つあると言う。知的財産の窃取:技術開発のコストをかけずに、特許情報や技術、設計図などを入手することが目的内部情報の入手:貿易交渉、合併・買収などに関する内部情報入手が目的アメリカの重要なインフラに対しての攻撃:ガスのパイプラインなど。インフラ破壊ではなく、情報を収集している状態政治的理由:民主化運動の妨害・情報入手などこのうち内部情報の入手では、中国の攻撃グループがアメリカのヘルスケア企業から大量の個人情報を盗み取る事件が起きている。狙われたのは、アメリカの病院や医療保険事業者で、米病院ネットワーク経営大手のコミュニティー・ヘルス・システムズ(Community Health Systems・CHS)や、医療保険大手のAnthemやCareFirstも含まれている。攻撃者は被害企業のVPNとバックドアを使って、被害企業のネットワークに継続的にアクセスしていた。データを盗みとられた形跡があるシステムは、マルウェアに感染せずに盗みとられており、ネットワークに深く継続的に侵入していることが伺える。カーマカル氏によれば「被害企業の多くは、Mandiantが侵害を知らせるまで、何ヶ月にもわたり侵害の事実を知らなかった」とのことだ。○POSマルウェアでの大手小売企業侵害に見る高度な攻撃ライフサイクル次にカーマカル氏は、大手小売企業に対するセキュリティ侵害の例をとりあげた。2013年から問題になっているPOSマルウェアの被害では、小売企業の取引先がセキュリティ侵害を受けて乗っ取られたことが起点だ。乗っ取った取引先を経由して、大手小売企業のCitrixサーバーにアクセス。システムに侵入し、本来は隔離されているシステムにアクセスできる権限を取得している。これによって攻撃者は、ドメインコントローラとWindowsドメインに対する特別なアクセス権を取得し、マルウェアに感染させた。その結果、POS端末8000台のメモリからクレジットカード情報を盗み取ったほか、保存されていた暗号化ファイルを入手している。数千万件のクレジットカード情報が闇市場で売買されるなど、大きな被害を出した。この例でわかるのは、企業が利用している正規のルートが、攻撃に利用されているということだ。たとえば、企業が利用する正規のVPNやCitrixを使ってアクセスし、2要素認証であっても突破する。またベンダー各社から盗み出した正規のデジタル証明書を、攻撃に使う不正なソフトウェアで使っている。また正規のウェブサイトを乗っ取ることで、標的の企業ユーザーがアクセスしたときのみマルウェア感染させる水飲み場攻撃を行っている。正規のウェブサイト改ざんについては、7月末に大きな問題となったFlashの脆弱性をついた攻撃についても取り上げた。国内の2組織のウェブサイトが改ざんされ、Flash Playerの脆弱性(CVE-2015-5122)を突いて、閲覧者にマルウェアを感染させるものだ。カーマカル氏は「これらの改ざんにより、日本の2つのハイテク企業もセキュリティ侵害を受けており、合わせて4つの日本の組織が被害を受けている」と分析した。○専門家の常時監視とインシデント対応による「FireEye as a Service」このような高度なセキュリティ侵害では、企業は被害に気付かないままでいることが多いという。ファイア・アイのシニアディレクター、ワイアス・イサ氏によると「標的型攻撃に対応した組織を調べたところ、攻撃者は平均205日も内部に潜伏していた」とのこと。イサ氏によれば「標的型攻撃の犯人は、多くが国家の支援を受けたプロフェッショナル。攻撃の段階別に分業制を採用し、資金も豊富で高度な戦術を利用している。また長期的に潜入することを狙っており、撃退してもまた戻ってくるなど執拗な攻撃を行う」としている。そこでファイア・アイでは、個別の企業に合わせたセキュリティ監視サービスとして「FireEye as a Service」を発表した。従来のセキュリティ対策に加えて、インシデント対応、復旧、攻撃者のプロファイリングなどを行うものだ。具体的には、ファイア・アイの脅威専門解析チームが24時間体制でネットワークとエンドポイントを監視し、セキュリティ侵害の兆候を見つけ出す。もし侵害の痕跡がみつかった場合は、詳細な解析を行い、具体的な対策を提示するという。これは、ホストの隔離、解析、回復などのインシデント対応を行うものだ。単なるセキュリティ監視だけでなく、緊急対応までを密着して行ってくれるサービスと言えるだろう。これにより攻撃の検知・インシデント対応にかかる時間を大幅に削減でき、従来のアプローチと比較して10分の1の時間で、検知・防御・解析・解決ができるサービスだとしている。この「FireEye as a Service」は、国内の協業パートナーから提供される。伊藤忠テクノソリューションズ、インターネットイニシアティブ、NTTコミュニケーションズ、ソフトバンク・テクノロジー、日立製作所、マクニカネットワークス、ラックなどから「FireEye as a Service」をベースにしたサービスが提供される見込みだ。価格や提供方法は追って発表されるが、2015年以内に提供される見込みとなっている。
2015年08月01日マウスコンピューターは25日、告知のあったとおり、同社のパソコン生産拠点である長野県。飯山市の飯山工場にて、「親子パソコン組み立て教室」を開催した。工場の見学やPCの組み立てを体験することで、PCに親しんでもらうことを狙いとしたイベントだ。同社の組み立て教室は、毎年夏に行われる恒例イベント。2015年で6回目の開催となる。会場である長野県・飯山市のマウスコンピューター「飯山工場」は、一部特殊な製品を除いた同社製品の生産を一手に担う拠点で、同社製品の特徴である「高品質」を支える屋台骨だ。2015年3月に北陸新幹線が開通し、関東圏や上越、富山、石川からのアクセスが非常に良くなった。イベント先立ち、マウスコンピューター 代表取締役社長の小松永門氏は「普段見ている動画や静止画といったコンテンツはPCで製作していることが多く、仕事では必ずPCを使うことになる。組み立てを通じて、PCに興味を持ってもらい、PCを好きになってほしい」と挨拶した。組み立て教室では、はじめに概要を説明したあと、生産ラインなど工場の内部を見学しつつ、組み立てるPCのパーツをピッキングし、実際の組み立てとなる。組み立てをサポートする"先生役"は、飯山工場でPCの生産に携わるプロのスタッフが担当する。マウスコンピューターが行う組み立て教室の特徴として、オーダーメードのBTO方式を再現し、決められたスペックのPCではなく、参加者が好みのスペックのPCを組み立てられるという点がある。PCの組み立て教室というイベント自体は、さまざまなPCメーカーが実施しているが、事前の準備や指導のしやすさなどから、全員が同じ仕様のPCを組み立てるというケースが多い。マウスコンピューターの組み立て教室では、デスクトップPCやノートPCというくくりだけでなく、デスクトップPCであれば、ミドルタワーモデルやスリムモデルとフォームファクタを選ぶことができるうえ、中身のパーツもある程度自由に選択することができる。今回は、小学6年生の児童とその保護者のペアを対象に、日本全国から参加者を募集し、30組の親子がPCの組み立てを体験した。長野県内に加えて、東京や神奈川といった首都圏からの参加が中心だが、特急しなので長野までアクセスしやすいためか、愛知や岐阜、三重からの参加者もいた。また、遠いところでは石川県からの参加も。すでに夏休みに入っている参加者が多く、何名かは自由研究としてPCの組み立てに挑戦するとのことだった。組み立て終わると、ソフトウェアインストール、動作チェックを経て、晴れて完成となる。電源を入れて、画面にマウスコンピューターのロゴが表示されると完成があがる。何より組み立てをサポートするスタッフの方たちがそれぞれ「ホッ」とした表情を見せていたことが印象的だった。参加した子どもたちの多くにとって、今回組み立てたPCが自分で自由にさわれる「はじめてのPC」になるようだ。組み立てたPCで「マインクラフト」といったゲームをプレイしたいという子もいれば、インターネットで動画を見たいという子、これから考えるという子も。どの参加者も笑顔で組み立てたPCを持ち帰っていた。○ワケありセールも開催もう1つ、飯山工場で恒例となっているのは「ワケありセール」と題されたアウトレットセールだ。わずかな擦り傷やへこみがある製品や、化粧箱が汚れた製品を再整備し、動作確認ができた「訳あり品」などを特別価格で提供する名物セールだ。PC本体に加え、iiyamaブランドのディスプレイなどが、通常では考えられない大幅値引きで販売されるため、開始前から行列ができるほどの人気となっている。今回も開始前から大行列が形成され、午前8時のセール開始時間を10分早めることとなったという。
2015年07月30日ラック(LAC)は7月28日、標的型攻撃対策専門組織の設置と、経営者や事業責任者、IT技術者向けの「標的型攻撃 対策指南書(第1版)」の無償公開を発表した。同社はこれまでにも、セキュリティインシデント対応サービスの「サイバー救急センター」を提供してきたが、情報漏洩やウイルス感染など、被害対応の相談が増加していたという。相談対応状況を精査すると、被害企業の業種に偏りはなく、攻撃者の狙いも「個人情報の窃取」から「脅迫行為」まで多岐にわたり、特に標的型攻撃が多くなっている現状があった。このような現況から、同社は「標的型攻撃対策本部」と呼ぶ企業の標的型攻撃対策の支援組織を社長直下に設置。同本部の本部長には、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が就任する。この組織では、企業や団体が行うべき標的型攻撃対策について、様々な関連情報を公開。実際の対策を支援するソリューションやサービスの提供も行っていく。対策チームの設立とともに、同時に公開された標的型攻撃の"対策指南書"では、標的型攻撃がどのように行われるのか、具体的な防御法と復旧までにどのような行動を取ればよいのかが解説されている。○中小企業や地方公共団体の"模範書"に同日、ラックは記者会見を開き、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が説明を行った。西本氏によると、今回の専門組織の設置と指南書の作成は、中堅中小企業や地方公共団体など、標的型攻撃対策が必要であるものの、大企業や中央官庁などのような"高度なセキュリティが要求されない企業"を対象とした施策だという。ラックではセキュリティコンサルティングや監視業務が主な事業となっているが、その一方で年金機構のサイバー攻撃後に問い合わせが急増。「6月1日以降では、それ以前と比較して5倍の問い合わせ」(同社広報部)がある状況で、企業への対応が遅れるケースも目立ってきたという。こうした標的型攻撃対策へのニーズの増大と、サイバー攻撃の急増から、「専門組織の設置と対策指南書の提供により、サイバー攻撃対策全体のアプローチをはかる」目的があると西本氏。標的型攻撃メールの対策訓練や監視といった単機能のニーズだけでなく、ラックが個々に取り扱う標的型攻撃対策製品のパッケージ販売を指南書に合わせて行っていき、従来手が回りづらかった地方へのアプローチも、パートナー企業の参加を代理店に呼びかけることで増やしていくという。「今後は、内部不正対策ソリューションなども統合していきたい。標的型攻撃対策製品の売上では、2割程度のアップを目指していく」(西本氏)指南書は、標的型攻撃の「教科書的に作った」(西本氏)ものであり、ここから標的型攻撃に対する知識を得て、実際の対策に繋げてもらう算段だ。経営層はセキュリティに対する知識が劣る可能性もあるため、「エグゼクティブサマリーを別途作成する予定」(西本氏)としている。なお、ラックが提供する製品・ソリューションに沿った細かい個別対策指南書の提供や、指南書に基づいたサービスの提供を行う代理店の募集などは、お盆明けとなる8月25日より行う予定だ。今後は、先日子会社化を発表したネットエージェントのラボと、ラックの緊急対応部隊を連携し、標的型攻撃対策製品の新規開発を加速するとしている。
2015年07月28日ファイナルオーディオデザインは8月1日、東京・秋葉原のヨドバシカメラ・マルチメディアAkiba店で、イヤホン組み立て教室「自作イヤホンで音のチューニングを楽しもう!~イヤホン組立体験~」を開催する。参加費は12,800円(税込)。ファイナルオーディオデザイン恒例のイヤホン組み立てイベント。今回組み立てるイヤホンは、φ8.5mmのダイナミック型ドライバと、リケーブル可能なMMCX端子を搭載したモデル。ハウジングはステンレス削り出しで、組み立て後も開閉が可能なネジ式となっている。イヤホンにはチューニングの幅が広がる低音可変システムを採用している。イベントは1回50分間で、10時を初回として5回開催する。各回とも先着6名まで参加可能。申込受付は当日、会場にて9時30分から開始する。なお、MMCXタイプのケーブルは別売。詳細は、イベントWebサイトを参照のこと。
2015年07月27日複数のメディアがOpenSSHに総当たり攻撃を引き起こす可能性がある脆弱性が存在すると伝えた。これらの報道はKingcopeという名で知られるセキュリティ研究者が自身のブログに掲載した「OpenSSH keyboard-interactive authentication brute force vulnerability (MaxAuthTries bypass)」の発表に基づいたもの。この脆弱性を悪用されると、総当たり攻撃を通じてシステムにログインされる危険性があり注意が必要。OpenSSHはデフォルトでは認証に6回失敗するとコネクションを閉じる設定になっている。しかし今回、キーボード・インタラクティブ認証の設定が有効になっている場合、この規制が適用されないという実装上のバグがあることが判明した。このバグにより、ログイン猶予期間(デフォルトでは2分間)が過ぎるまでパスワードを入力できてしまうことになる。同記事では、キーボード・インタラクティブ認証がデフォルトで有効になっているFreeBSDを引き合いに出し、最新リリース版となるFreeBSD 10.1およびかなり古いバージョンであるFreeBSD 6.2の双方でこの脆弱性を悪用した攻撃を確認できたと指摘している。この脆弱性はFreeBSDのみならず、OpenSSHサーバを動作させている多くのLinuxサーバが影響を受ける可能性がある。システムやパッケージの提供しているデフォルト設定のままOpenSSHサーバを運用している場合は注意が必要。OpenSSHプロジェクトから公開されているパッチの適用や、設定の変更や総当たり攻撃を検知する機能の導入などを実施し対策を取ることが推奨される。
2015年07月24日NECは7月17日、東京品川区の標的型攻撃等に対するセキュリティ対策検討にあたり、同社の「サイバー攻撃自動防御ソリューション」をもとに実証実験を実施したと発表した。実証実験では、NECのSDN対応製品によるネットワーク制御機能とトレンドマイクロのセキュリティ脅威検知/解析製品を組み合わせることで、サイバー攻撃検出時の状況に合わせた初動対応の自動化を検証した。これまで、品川区ではウイルスを検知した端末に対し、職員が手動で物理的に通信を切断し、影響度の調査と必要な対策を行っていたが、今回の実証実験では、攻撃を検知した場合、NECのSDN対応製品により、対象端末の通信を制御し、自動で通信の遮断や、検疫ネットワークへの経路変更を実施することで、職員による物理的な通信切断等の作業を不要にした。さらに、PC管理ソフトの通信のみを許可することで、ウイルス対策ソフトの検知ログや感染・駆除の状況を確認した。初動対応の自動化により、従来約30分を要していた攻撃の発生から初動対応までの作業に即時対応することが可能になったという。また従来、ウイルス検知時は、土日・夜間を含め、職員が端末の隔離や影響度の調査を行っていたが、自動化することでこれらの対応も大幅に削減できることを検証したという。NECは今後も、「サイバー攻撃自動防御ソリューション」のメニュー拡充を図り、自治体向けに拡販していくという。
2015年07月17日日本IBMとトレンドマイクロは7月7日、標的型攻撃をはじめとするサイバー攻撃対策として、製品連携を強化すると発表した。両社は、QRadarとDDIを組み合わせたソリューション展開を推進、対応するビジネスパートナーの拡充を図るという。多種多様な機器からの脅威情報をリアルタイム検知して高度な相関分析を行うIBMのソフトウェア「IBMSecurity QRadar(QRadar)」とトレンドマイクロのネットワーク監視製品「Deep Discovery Inspector(DDI)」の連携を強化ビジネスパートナーの第一弾としては、SCSKが7月7日より、同ソリューションのシステム構築サービス「DDI×QRadar連携サービス」の提供を行なっている。この製品連携強化により、脅威の早期発見と早期対処を支援する高度なログ分析が可能となる。具体的には、トレンドマイクロのセキュリティリスク分析基準をQRadarにテンプレートで搭載。これにより、セキュリティ専門家の知見を活用し、QRadarが自動的にリスク分析を実施。より高度なログの相関分析が可能になる。また、企業IT管理者の監視運用の工数を低らすことや、脅威の早期発見や対処につながるメリットもある。今後、日本IBMとトレンドマイクロは、総合サーバセキュリティ対策製品「Trend Micro Deep Security」や、企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」などとの連携も進め、組織内ネットワークにおける各層のセキュリティログを集約し管理する多層防御の実現を目指すという。
2015年07月08日エアバス(本社:仏トゥールーズ)は現地時間の7月6日、キャセイパシフィック航空のA350-900初号機に関して、トゥールーズの最終組み立てラインにて順調に進んでいることを発表した。胴体の接合に続いて、主翼、尾翼、テールコーンが胴体に接合されており、これより、構造完成作業や地上テスト、客室装備作業に移行する。同機は2016年初旬に納品される予定。キャセイパシフィック航空には現在、A350-900を22機、A350-1000を26機、合計48機を発注しており、全て中長距離路線での運用を予定している。A350XWBは現在、11社の主要航空会社から合計781機の受注を獲得しており、そのうち244機はアジア太平洋地域の航空会社からとなっている。
2015年07月08日ESETは7月6日(現地時間)、「400GB of info leaked from Hacking Team」において、セキュリティ企業であるHacking Teamが攻撃を受け、400GBを超える機密情報が漏洩したと伝えた。こうしたサイバー攻撃による機密情報の漏洩は毎日のように世界中で起こっているが、今回はセキュリティ企業で起こった点で他の事件よりも重大と指摘されている。今回の情報漏洩のきっかけは強度の弱いパスワードを使っていたことにあるという。盗まれた情報の中にはHacking TeamのTwitterのアカウント情報も含まれており、攻撃者はHacking TeamのTwitterアカウントを乗っ取って機密情報のバラマキに使用している。ESETは今回の事件を受けて、セキュリティレベルが高いであろうはずの企業であっても、弱いパスワードを使っていただけで壊滅的な事態を引き起こす可能性を持っており、どんな会社であってもこうした危険性から逃れることはできないと指摘している。
2015年07月07日ファイア・アイは7月1日、Adobe Flash Playerの脆弱性「CVE-2015-3113」を悪用したフィッシング攻撃の詳細を公開した。アドビは、すでにCVE-2015-3113用のパッチを公開し、Adobe Flash Playerのユーザーには、早急に最新版へアップデートするようにと呼び掛けている。同社によると、CVE-2015-3113への脆弱性攻撃に関与しているのは、中国の脅威グループ「APT3(別名「UPS)」であることがわかっている。同社がAPT3を特に危険視する脅威グループとしており、日頃から動向を追っている。近年のAPT3の動向は、大規模で組織的なフィッシング攻撃を展開しており、「航空宇宙・防衛」「建設・土木」「ハイテク」「通信」「運輸」といった業種を標的としている。Adobe Flash Playerの脆弱性攻撃では、標的とされた組織がフィッシングメールに記載されているURLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクトされる。その後、標的とするホストのプロファイリングが完了すると、悪意のあるSWFファイルとFlash Video(FLV)ファイルがダウンロードされ、専用のバックドアであるSHOTPUTが被害者のシステムに送り込まれる。ペイロードはXORエンコードを用いて難読化されており、有効なGIFファイルに付与される。APT3が今回の攻撃で使用したフィッシングメールは巧妙に作られており、一見しただけでスパムメールと判断が付かないという。今回の攻撃で悪用されているのは、Adobe Flash PlayerがFLVファイルを解析する際のゼロデイ脆弱性。脆弱性を悪用した攻撃は、一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回し、リターン指向プログラミング(ROP)を用いてデータ実行防止(DEP)機能を迂回するというもの。ROP手法の巧妙なトリックにより、脆弱性の攻撃は容易になっており、一定のROP検知手法も回避できるという。シェルコードは、復号時に使用する鍵と一緒にパックされたAdobe Flash Playerのエクスプロイト内に保存されており、ペイロードはXORで暗号化され、画像内に隠されているという。Adobe Flash Playerのエクスプロイトは、シンプルなRC4パッカーでパックされている。RC4の鍵と暗号データは、BinaryDataブロブに格納されており、パッカーがレイヤー2のAdobe Flash Playerファイルを復号するのに使用する。復号が完了すると「loader.loadBytes」によってレイヤー2が実行される。レイヤー2は、Adobe Flash Playerのベクトル破壊手法を用い、ヒープ破壊の脆弱性を利用し、ActionScript3のメモリ空間を読み書きする。この手法は、攻撃者がAdobe Flash Playerのベクトルにヒープ・スプレー攻撃を行い、ActionScript3に書き込み可能な脆弱性を利用することで、ベクトルの1つについてサイズの変更を行う。次に、破壊したベクトル・オブジェクトに対して当初割り当てられていたメモリの境界外に、ActionScript3経由でその後の読み書きを行う。攻撃者は、メモリへの制限付き読み書きアクセスを得ると、第2ベクトルを破壊しアクセスする範囲を「0x3fffffff」バイトへ拡張させる。この第2ベクトルは、その後のエクスプロイトで使用されている。攻撃者はROPチェーンを用いてkernel32!VirtualAllocを呼び出し、自らのシェルコードを実行可能にした後、シェルコードにジャンプする。その際、シェルコードやペイロードと一緒にROPチェーンをヒープに書き込むのではなく、別の手法が用いられているという。エクスプロイトの開発者は、これまでSoundオブジェクトなどAdobe Flash Playerの組み込みオブジェクトを破壊させるのが一般的であったが、最近ではByteArrayオブジェクトを用いControl Flow Guard (CFG) をバイパスすることもあるという。しかし、今回の攻撃者は、以下のように多数の引数を持つ関数を使用し、ActionScript3内で自らのクラスを定義する方法を選んでいる。スタック・ポインタを加算し、ROPへとリターンするガジェットにより、攻撃者は関数ポインタを簡単に上書きできるようになる。その際、ROPチェーンの絶対アドレスを特定し、一般的なxchg reg32, espピボット用にレジスタに保存する必要はないという。さらに、スタック上にROPチェーンを保存することで、スタック・ポインタがスレッドのスタック領域外を指定する際の検知に関するROPの検知メカニズムを回避できる。VirtualAlloc呼び出し後のROPチェーンにはROPsledが含まれている。同社は、開発時の中間生産物の可能性もあれば、VirtualAllocの呼び出しときに、限られた深さでリターンアドレスの有効性を検証する検知メカニズムを迂回するために作られた可能性もあると指摘している。
2015年07月03日