シマンテックは同社のセキュリティブログにおいて、Internet Explorerなどの脆弱性を突く「Sundown悪用ツールキット」の動向を述べている。攻撃の影響を受ける地域としては、北米大陸、南米大陸、ユーラシア大陸といったように、世界で広く分布。中でも日本の割合が高く、約50%を占める。日本のユーザーが狙われていること、そしてセキュリティが甘いと認識されていることが見て取れる。Sundown悪用ツールキットは、攻撃者がさまざまなWebサイトに仕掛けている罠。正規のWebサイトが改ざんされ、Sundown悪用ツールキットが忍び込んでいるケースも多い。そして、アクセスしてきたユーザーのPC環境を調査し、各種ソフトウェアの脆弱性やセキュリティソフトの存在を確認する。攻撃の対象になり得ると判断すると、ユーザーのPCにマルウェア(バックドア型トロイの木馬)を送り込んで感染させる仕組み。マルウェアに感染したユーザーのPCは、攻撃者からリモートコントロールされたり、情報を盗み出されたりする。シマンテックによると、Sundown悪用ツールキットは、Internet Explorerの脆弱性「CVE-2015-2444」を攻撃する悪用コードをいち早く統合。悪用コードが公開されたのは2015年8月12日で、同日から翌日にはすでに実際の攻撃に使われた。Microsoftも緊急のセキュリティ更新プログラム(MS15-079)を同日に配布済みだが、この悪用スピードに関して、シマンテックは「異例の速さ」としている。上記の「CVE-2015-2444」以外に、Sundown悪用ツールキットが攻撃するソフトウェアの脆弱性は以下の通り。各ソフトウェアとセキュリティソフトは常に最新の状態に保つようにしていただきたい。Adobe Flash Player Use After Free Memory Corruption Vulnerability (CVE-2015-0311)Adobe Flash Player APSB15-06 Multiple Remote Code Execution Vulnerabilities (CVE-2015-0359)Adobe Flash Player Remote Code Execution Vulnerability (CVE-2015-0313)Adobe Flash Player and AIR Unspecified Heap Based Buffer Overflow Vulnerability (CVE-2014-0556)Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6332)Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2013-7331)
2015年08月27日人間関係に悩みはつきものだけれど、ことにややこしいのが女同士の付き合い。特に群れを作りたがったり、噂話をしたりする攻撃的な女子が周りにいると困りもの。どうしたらこの女子を逆なでせずに手なずけることができる?精神科医の水島広子さんに聞くと、「女の持つ嫌な面は、一般的に女性が“男性から選ばれる性”であることに端を発したもの。“選ばれなかった”ことによる嫉妬や攻撃を回避するには、適切に対処をする必要があります」とのこと。この時にベースとなるのが、水島さんの推奨するアティテューディナル・ヒーリング(AH)。攻撃に対して応戦するのではなく、相手の“選ばれなかった”という傷を癒すため、3つのステップで攻撃に対応していく。「最初のステップは、巻き込まれないこと。一歩引いた場所から問題を捉えることが大切です。次が、自分を守るということ。相手をバカにすると攻撃の対象になるので、見下さないことが重要に」ここまでのステップだけでも問題を回避することはできるけれど、より本質的な解決を望むなら最後のステップは不可欠。「最後は、相手の困った面を癒してあげましょう。攻撃してくる女性はどこか傷ついていることが多いもの。人格的に相手を認めて、その女性の心が少しずつ癒えていく様子を見守って」◇みずしま・ひろこ精神科医。対人関係療法専門クリニック院長。『女子の人間関係』(サンクチュアリ出版)をはじめ、対人関係に関する著書多数。※『anan』2015年8月26日号より。イラスト・いぬんこ取材、文・真島絵麻里写真・dolgachov
2015年08月21日カスペルスキーは20日、日本を狙った標的型攻撃「Blue Termite(ブルーターマイト)」の攻撃が拡大しているとして、改めて注意を喚起した。ブルーターマイトとは、国内組織に標的を絞ったAPT(Advanced Persistent Threat)攻撃を指す。APT攻撃は、特定の標的に対して持続的に潜伏・攻撃し、スパイ行為や妨害活動をする攻撃の総称。カスペルスキーの調査分析チームGReATによると、2015年7月頃からブルーターマイトが活発化しており、従来から感染手法やマルウェアが変化しているほか、感染被害も拡大しているという。従来、ブルーターマイトの主な感染手法は標的型攻撃メールだったが、2015年7月に改竄サイトにマルウェアを設置したドライブバイダウンロードや水飲み場型攻撃が取り入れられていることを確認した。感染組織も拡大しており、攻撃者の指令サーバーと、感染したとみられる端末との通信数の推移によると、2015年6月時点では固有IPアドレス数が300、1日当たり最大通信数は約140だったのに対し、2015年7月では固有IPアドレス数が3倍以上の1,000、通信数は約280となっている。同社は感染組織が広がった要因として、前述の感染手法が広がったこと、マルウェアの変化により感染した組織が被害に気づきにくくなっていることを指摘している。ブルーターマイトは、感染により収集した情報を元に次の標的を狙っており、被害組織の業種も広がっている。従来は政府や行政機関を中心に、地方自治体、大学、銀行、自動車分野などで感染を確認していたが、7月から医療や不動産、半導体、食品、建設などでも感染を確認しているという。同社は、ブルーターマイトの攻撃が侵攻しており、情報漏えいを含む被害拡大を予想。国の機関や大企業でも侵入・漏えい被害が発覚していることから、対策の見直しと、インシデント情報の共有および有効活用の仕組みを整えることを推奨している。
2015年08月21日カスペルスキーは8月20日、同社の調査分析チーム(GReAT)が日本を狙った標的型攻撃(APT)「Blue Termite:ブルーターマイト」の新たな動きを観測したことを明らかにした。今回、観測された変化の1点目は感染の手法で、これまでの標的型攻撃メールに加えて、ドライブバイダウンロードの利用を確認した。2点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されていることがわかった。3点目は、感染被害が数の上でも範囲においても拡大していること。「ブルーターマイト」とは、日本国内の組織に標的を絞った攻撃で、通常は国外に設置されている攻撃者の指令サーバのほとんどが国内に設置されているのも特徴的。主な感染手法は、これまでは標的型攻撃メールだったが、7月には、Hacking Team社から流出したAdobe Flash Playerのゼロデイ脆弱性を悪用し、複数の改竄サイトにマルウェアを設置したドライブバイ・ダウンロードの利用のほか、水飲み場型攻撃が取り入れられていることを確認した。同社は、攻撃を段階ごとに分析しており、各段階で目的を達成するために用いられるマルウェアやツール類が異なることを確認している。第1段階では、ソーシャル・エンジニアリングやそれまでに窃取した情報をもとに標的を定め、メールやドライブバイ・ダウンロードを駆使して「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバの配下におく。第2段階では、「Emdivi t17」を経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースもある。第3段階では、感染先の端末内で収集した機密情報や重要情報を窃取する。収集ならびに窃取した情報をもとに、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバとしてのインフラの構築も行われる。攻撃者の指令サーバと感染したと見られる端末との通信数の推移を見ると、2015年6月時点での固有のIPアドレス数は300を数え、1日当たり最大の通信数は約140だったという。しかし、7月に入ると固有のIPアドレス数は3倍以上の1000まで急増し、通信数は約280と倍増したとのことだ。指令サーバとの通信数が倍増した主な要因としては、新たにドライブバイダウンロードが感染手法として利用されたこと、マルウェアのカスタマイズが進み、感染した組織が被害に気づきにくくなっていることが挙げられている。
2015年08月21日ファイアアイはこのほど、米国セキュリティ侵害の実例から見る最新のサイバー攻撃の現状と効果的なインシデント対応に関する記者説明会を行った。○中国が支援するサイバー攻撃者がアメリカのヘルスケア企業から個人情報窃取ファイア・アイは、新たなセキュリティサービス「FireEye as a Service」を発表した。高度なサイバー攻撃の検知と、セキュリティ侵害が起きた際の迅速な対応を支援するもので、国内のパートナー企業を介して提供する。このサービス提供にあたって、ファイア・アイのコンサルティング事業部であるMandiant(マンディアント:ファイア・アイが買収)のバイスプレジデント、チャールズ・カーマカル氏が、「世界のセキュリティ脅威状況」というレクチャーを行った。カーマカル氏は脅威の一例として、中国政府が支援するサイバー攻撃をとりあげた。中国政府の支援を受けた攻撃者の目的は、主に4つあると言う。知的財産の窃取:技術開発のコストをかけずに、特許情報や技術、設計図などを入手することが目的内部情報の入手:貿易交渉、合併・買収などに関する内部情報入手が目的アメリカの重要なインフラに対しての攻撃:ガスのパイプラインなど。インフラ破壊ではなく、情報を収集している状態政治的理由:民主化運動の妨害・情報入手などこのうち内部情報の入手では、中国の攻撃グループがアメリカのヘルスケア企業から大量の個人情報を盗み取る事件が起きている。狙われたのは、アメリカの病院や医療保険事業者で、米病院ネットワーク経営大手のコミュニティー・ヘルス・システムズ(Community Health Systems・CHS)や、医療保険大手のAnthemやCareFirstも含まれている。攻撃者は被害企業のVPNとバックドアを使って、被害企業のネットワークに継続的にアクセスしていた。データを盗みとられた形跡があるシステムは、マルウェアに感染せずに盗みとられており、ネットワークに深く継続的に侵入していることが伺える。カーマカル氏によれば「被害企業の多くは、Mandiantが侵害を知らせるまで、何ヶ月にもわたり侵害の事実を知らなかった」とのことだ。○POSマルウェアでの大手小売企業侵害に見る高度な攻撃ライフサイクル次にカーマカル氏は、大手小売企業に対するセキュリティ侵害の例をとりあげた。2013年から問題になっているPOSマルウェアの被害では、小売企業の取引先がセキュリティ侵害を受けて乗っ取られたことが起点だ。乗っ取った取引先を経由して、大手小売企業のCitrixサーバーにアクセス。システムに侵入し、本来は隔離されているシステムにアクセスできる権限を取得している。これによって攻撃者は、ドメインコントローラとWindowsドメインに対する特別なアクセス権を取得し、マルウェアに感染させた。その結果、POS端末8000台のメモリからクレジットカード情報を盗み取ったほか、保存されていた暗号化ファイルを入手している。数千万件のクレジットカード情報が闇市場で売買されるなど、大きな被害を出した。この例でわかるのは、企業が利用している正規のルートが、攻撃に利用されているということだ。たとえば、企業が利用する正規のVPNやCitrixを使ってアクセスし、2要素認証であっても突破する。またベンダー各社から盗み出した正規のデジタル証明書を、攻撃に使う不正なソフトウェアで使っている。また正規のウェブサイトを乗っ取ることで、標的の企業ユーザーがアクセスしたときのみマルウェア感染させる水飲み場攻撃を行っている。正規のウェブサイト改ざんについては、7月末に大きな問題となったFlashの脆弱性をついた攻撃についても取り上げた。国内の2組織のウェブサイトが改ざんされ、Flash Playerの脆弱性(CVE-2015-5122)を突いて、閲覧者にマルウェアを感染させるものだ。カーマカル氏は「これらの改ざんにより、日本の2つのハイテク企業もセキュリティ侵害を受けており、合わせて4つの日本の組織が被害を受けている」と分析した。○専門家の常時監視とインシデント対応による「FireEye as a Service」このような高度なセキュリティ侵害では、企業は被害に気付かないままでいることが多いという。ファイア・アイのシニアディレクター、ワイアス・イサ氏によると「標的型攻撃に対応した組織を調べたところ、攻撃者は平均205日も内部に潜伏していた」とのこと。イサ氏によれば「標的型攻撃の犯人は、多くが国家の支援を受けたプロフェッショナル。攻撃の段階別に分業制を採用し、資金も豊富で高度な戦術を利用している。また長期的に潜入することを狙っており、撃退してもまた戻ってくるなど執拗な攻撃を行う」としている。そこでファイア・アイでは、個別の企業に合わせたセキュリティ監視サービスとして「FireEye as a Service」を発表した。従来のセキュリティ対策に加えて、インシデント対応、復旧、攻撃者のプロファイリングなどを行うものだ。具体的には、ファイア・アイの脅威専門解析チームが24時間体制でネットワークとエンドポイントを監視し、セキュリティ侵害の兆候を見つけ出す。もし侵害の痕跡がみつかった場合は、詳細な解析を行い、具体的な対策を提示するという。これは、ホストの隔離、解析、回復などのインシデント対応を行うものだ。単なるセキュリティ監視だけでなく、緊急対応までを密着して行ってくれるサービスと言えるだろう。これにより攻撃の検知・インシデント対応にかかる時間を大幅に削減でき、従来のアプローチと比較して10分の1の時間で、検知・防御・解析・解決ができるサービスだとしている。この「FireEye as a Service」は、国内の協業パートナーから提供される。伊藤忠テクノソリューションズ、インターネットイニシアティブ、NTTコミュニケーションズ、ソフトバンク・テクノロジー、日立製作所、マクニカネットワークス、ラックなどから「FireEye as a Service」をベースにしたサービスが提供される見込みだ。価格や提供方法は追って発表されるが、2015年以内に提供される見込みとなっている。
2015年08月01日ラック(LAC)は7月28日、標的型攻撃対策専門組織の設置と、経営者や事業責任者、IT技術者向けの「標的型攻撃 対策指南書(第1版)」の無償公開を発表した。同社はこれまでにも、セキュリティインシデント対応サービスの「サイバー救急センター」を提供してきたが、情報漏洩やウイルス感染など、被害対応の相談が増加していたという。相談対応状況を精査すると、被害企業の業種に偏りはなく、攻撃者の狙いも「個人情報の窃取」から「脅迫行為」まで多岐にわたり、特に標的型攻撃が多くなっている現状があった。このような現況から、同社は「標的型攻撃対策本部」と呼ぶ企業の標的型攻撃対策の支援組織を社長直下に設置。同本部の本部長には、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が就任する。この組織では、企業や団体が行うべき標的型攻撃対策について、様々な関連情報を公開。実際の対策を支援するソリューションやサービスの提供も行っていく。対策チームの設立とともに、同時に公開された標的型攻撃の"対策指南書"では、標的型攻撃がどのように行われるのか、具体的な防御法と復旧までにどのような行動を取ればよいのかが解説されている。○中小企業や地方公共団体の"模範書"に同日、ラックは記者会見を開き、同社取締役 専務執行役員 最高技術責任者の西本 逸郎氏が説明を行った。西本氏によると、今回の専門組織の設置と指南書の作成は、中堅中小企業や地方公共団体など、標的型攻撃対策が必要であるものの、大企業や中央官庁などのような"高度なセキュリティが要求されない企業"を対象とした施策だという。ラックではセキュリティコンサルティングや監視業務が主な事業となっているが、その一方で年金機構のサイバー攻撃後に問い合わせが急増。「6月1日以降では、それ以前と比較して5倍の問い合わせ」(同社広報部)がある状況で、企業への対応が遅れるケースも目立ってきたという。こうした標的型攻撃対策へのニーズの増大と、サイバー攻撃の急増から、「専門組織の設置と対策指南書の提供により、サイバー攻撃対策全体のアプローチをはかる」目的があると西本氏。標的型攻撃メールの対策訓練や監視といった単機能のニーズだけでなく、ラックが個々に取り扱う標的型攻撃対策製品のパッケージ販売を指南書に合わせて行っていき、従来手が回りづらかった地方へのアプローチも、パートナー企業の参加を代理店に呼びかけることで増やしていくという。「今後は、内部不正対策ソリューションなども統合していきたい。標的型攻撃対策製品の売上では、2割程度のアップを目指していく」(西本氏)指南書は、標的型攻撃の「教科書的に作った」(西本氏)ものであり、ここから標的型攻撃に対する知識を得て、実際の対策に繋げてもらう算段だ。経営層はセキュリティに対する知識が劣る可能性もあるため、「エグゼクティブサマリーを別途作成する予定」(西本氏)としている。なお、ラックが提供する製品・ソリューションに沿った細かい個別対策指南書の提供や、指南書に基づいたサービスの提供を行う代理店の募集などは、お盆明けとなる8月25日より行う予定だ。今後は、先日子会社化を発表したネットエージェントのラボと、ラックの緊急対応部隊を連携し、標的型攻撃対策製品の新規開発を加速するとしている。
2015年07月28日複数のメディアがOpenSSHに総当たり攻撃を引き起こす可能性がある脆弱性が存在すると伝えた。これらの報道はKingcopeという名で知られるセキュリティ研究者が自身のブログに掲載した「OpenSSH keyboard-interactive authentication brute force vulnerability (MaxAuthTries bypass)」の発表に基づいたもの。この脆弱性を悪用されると、総当たり攻撃を通じてシステムにログインされる危険性があり注意が必要。OpenSSHはデフォルトでは認証に6回失敗するとコネクションを閉じる設定になっている。しかし今回、キーボード・インタラクティブ認証の設定が有効になっている場合、この規制が適用されないという実装上のバグがあることが判明した。このバグにより、ログイン猶予期間(デフォルトでは2分間)が過ぎるまでパスワードを入力できてしまうことになる。同記事では、キーボード・インタラクティブ認証がデフォルトで有効になっているFreeBSDを引き合いに出し、最新リリース版となるFreeBSD 10.1およびかなり古いバージョンであるFreeBSD 6.2の双方でこの脆弱性を悪用した攻撃を確認できたと指摘している。この脆弱性はFreeBSDのみならず、OpenSSHサーバを動作させている多くのLinuxサーバが影響を受ける可能性がある。システムやパッケージの提供しているデフォルト設定のままOpenSSHサーバを運用している場合は注意が必要。OpenSSHプロジェクトから公開されているパッチの適用や、設定の変更や総当たり攻撃を検知する機能の導入などを実施し対策を取ることが推奨される。
2015年07月24日NECは7月17日、東京品川区の標的型攻撃等に対するセキュリティ対策検討にあたり、同社の「サイバー攻撃自動防御ソリューション」をもとに実証実験を実施したと発表した。実証実験では、NECのSDN対応製品によるネットワーク制御機能とトレンドマイクロのセキュリティ脅威検知/解析製品を組み合わせることで、サイバー攻撃検出時の状況に合わせた初動対応の自動化を検証した。これまで、品川区ではウイルスを検知した端末に対し、職員が手動で物理的に通信を切断し、影響度の調査と必要な対策を行っていたが、今回の実証実験では、攻撃を検知した場合、NECのSDN対応製品により、対象端末の通信を制御し、自動で通信の遮断や、検疫ネットワークへの経路変更を実施することで、職員による物理的な通信切断等の作業を不要にした。さらに、PC管理ソフトの通信のみを許可することで、ウイルス対策ソフトの検知ログや感染・駆除の状況を確認した。初動対応の自動化により、従来約30分を要していた攻撃の発生から初動対応までの作業に即時対応することが可能になったという。また従来、ウイルス検知時は、土日・夜間を含め、職員が端末の隔離や影響度の調査を行っていたが、自動化することでこれらの対応も大幅に削減できることを検証したという。NECは今後も、「サイバー攻撃自動防御ソリューション」のメニュー拡充を図り、自治体向けに拡販していくという。
2015年07月17日日本IBMとトレンドマイクロは7月7日、標的型攻撃をはじめとするサイバー攻撃対策として、製品連携を強化すると発表した。両社は、QRadarとDDIを組み合わせたソリューション展開を推進、対応するビジネスパートナーの拡充を図るという。多種多様な機器からの脅威情報をリアルタイム検知して高度な相関分析を行うIBMのソフトウェア「IBMSecurity QRadar(QRadar)」とトレンドマイクロのネットワーク監視製品「Deep Discovery Inspector(DDI)」の連携を強化ビジネスパートナーの第一弾としては、SCSKが7月7日より、同ソリューションのシステム構築サービス「DDI×QRadar連携サービス」の提供を行なっている。この製品連携強化により、脅威の早期発見と早期対処を支援する高度なログ分析が可能となる。具体的には、トレンドマイクロのセキュリティリスク分析基準をQRadarにテンプレートで搭載。これにより、セキュリティ専門家の知見を活用し、QRadarが自動的にリスク分析を実施。より高度なログの相関分析が可能になる。また、企業IT管理者の監視運用の工数を低らすことや、脅威の早期発見や対処につながるメリットもある。今後、日本IBMとトレンドマイクロは、総合サーバセキュリティ対策製品「Trend Micro Deep Security」や、企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」などとの連携も進め、組織内ネットワークにおける各層のセキュリティログを集約し管理する多層防御の実現を目指すという。
2015年07月08日ESETは7月6日(現地時間)、「400GB of info leaked from Hacking Team」において、セキュリティ企業であるHacking Teamが攻撃を受け、400GBを超える機密情報が漏洩したと伝えた。こうしたサイバー攻撃による機密情報の漏洩は毎日のように世界中で起こっているが、今回はセキュリティ企業で起こった点で他の事件よりも重大と指摘されている。今回の情報漏洩のきっかけは強度の弱いパスワードを使っていたことにあるという。盗まれた情報の中にはHacking TeamのTwitterのアカウント情報も含まれており、攻撃者はHacking TeamのTwitterアカウントを乗っ取って機密情報のバラマキに使用している。ESETは今回の事件を受けて、セキュリティレベルが高いであろうはずの企業であっても、弱いパスワードを使っていただけで壊滅的な事態を引き起こす可能性を持っており、どんな会社であってもこうした危険性から逃れることはできないと指摘している。
2015年07月07日ファイア・アイは7月1日、Adobe Flash Playerの脆弱性「CVE-2015-3113」を悪用したフィッシング攻撃の詳細を公開した。アドビは、すでにCVE-2015-3113用のパッチを公開し、Adobe Flash Playerのユーザーには、早急に最新版へアップデートするようにと呼び掛けている。同社によると、CVE-2015-3113への脆弱性攻撃に関与しているのは、中国の脅威グループ「APT3(別名「UPS)」であることがわかっている。同社がAPT3を特に危険視する脅威グループとしており、日頃から動向を追っている。近年のAPT3の動向は、大規模で組織的なフィッシング攻撃を展開しており、「航空宇宙・防衛」「建設・土木」「ハイテク」「通信」「運輸」といった業種を標的としている。Adobe Flash Playerの脆弱性攻撃では、標的とされた組織がフィッシングメールに記載されているURLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクトされる。その後、標的とするホストのプロファイリングが完了すると、悪意のあるSWFファイルとFlash Video(FLV)ファイルがダウンロードされ、専用のバックドアであるSHOTPUTが被害者のシステムに送り込まれる。ペイロードはXORエンコードを用いて難読化されており、有効なGIFファイルに付与される。APT3が今回の攻撃で使用したフィッシングメールは巧妙に作られており、一見しただけでスパムメールと判断が付かないという。今回の攻撃で悪用されているのは、Adobe Flash PlayerがFLVファイルを解析する際のゼロデイ脆弱性。脆弱性を悪用した攻撃は、一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回し、リターン指向プログラミング(ROP)を用いてデータ実行防止(DEP)機能を迂回するというもの。ROP手法の巧妙なトリックにより、脆弱性の攻撃は容易になっており、一定のROP検知手法も回避できるという。シェルコードは、復号時に使用する鍵と一緒にパックされたAdobe Flash Playerのエクスプロイト内に保存されており、ペイロードはXORで暗号化され、画像内に隠されているという。Adobe Flash Playerのエクスプロイトは、シンプルなRC4パッカーでパックされている。RC4の鍵と暗号データは、BinaryDataブロブに格納されており、パッカーがレイヤー2のAdobe Flash Playerファイルを復号するのに使用する。復号が完了すると「loader.loadBytes」によってレイヤー2が実行される。レイヤー2は、Adobe Flash Playerのベクトル破壊手法を用い、ヒープ破壊の脆弱性を利用し、ActionScript3のメモリ空間を読み書きする。この手法は、攻撃者がAdobe Flash Playerのベクトルにヒープ・スプレー攻撃を行い、ActionScript3に書き込み可能な脆弱性を利用することで、ベクトルの1つについてサイズの変更を行う。次に、破壊したベクトル・オブジェクトに対して当初割り当てられていたメモリの境界外に、ActionScript3経由でその後の読み書きを行う。攻撃者は、メモリへの制限付き読み書きアクセスを得ると、第2ベクトルを破壊しアクセスする範囲を「0x3fffffff」バイトへ拡張させる。この第2ベクトルは、その後のエクスプロイトで使用されている。攻撃者はROPチェーンを用いてkernel32!VirtualAllocを呼び出し、自らのシェルコードを実行可能にした後、シェルコードにジャンプする。その際、シェルコードやペイロードと一緒にROPチェーンをヒープに書き込むのではなく、別の手法が用いられているという。エクスプロイトの開発者は、これまでSoundオブジェクトなどAdobe Flash Playerの組み込みオブジェクトを破壊させるのが一般的であったが、最近ではByteArrayオブジェクトを用いControl Flow Guard (CFG) をバイパスすることもあるという。しかし、今回の攻撃者は、以下のように多数の引数を持つ関数を使用し、ActionScript3内で自らのクラスを定義する方法を選んでいる。スタック・ポインタを加算し、ROPへとリターンするガジェットにより、攻撃者は関数ポインタを簡単に上書きできるようになる。その際、ROPチェーンの絶対アドレスを特定し、一般的なxchg reg32, espピボット用にレジスタに保存する必要はないという。さらに、スタック上にROPチェーンを保存することで、スタック・ポインタがスレッドのスタック領域外を指定する際の検知に関するROPの検知メカニズムを回避できる。VirtualAlloc呼び出し後のROPチェーンにはROPsledが含まれている。同社は、開発時の中間生産物の可能性もあれば、VirtualAllocの呼び出しときに、限られた深さでリターンアドレスの有効性を検証する検知メカニズムを迂回するために作られた可能性もあると指摘している。
2015年07月03日トレンドマイクロはこのほど、複合機からメールが届いたように巧妙に偽装した、メールによる不正プログラム頒布を確認したとセキュリティブログで明かした。攻撃は、不正なマクロが含まれるWord文書が添付されたメールが送られてくるというもの。メール経由で不正なファイルを送り付けるのは攻撃者の常套手段であるが、今回は発信元のメールアドレスが自社のネットワーク対応の複合機を装っていた。届いたメールの発信元は「scanner@受信者が所属する組織のドメイン」となっていた。ドレンドマイクロ独自の統計データによると、Word文書に不正マクロを仕込んだ攻撃メールは2015年の4月以降に増加を確認している。特に多かったのが6月17日前後で、1日に2000件以上を確認したという。攻撃対象の多くは国外であったが、一部の国内にある法人でも確認されたという。偽装メールは平日に集中し土日が減少することから、土日休みの法人組織への攻撃が多いものと推測できるという。今回の攻撃は、ネットワーク対応の複合機の挙動をすべてコピーしている。一般的にスキャナー機能を利用して原稿を取り込んだ場合、指定のメールアドレスなどにスキャン画像を送信できる。今回の攻撃はその機能を悪用したもの考えられている。偽装であることは明確で、国内の法人へ届いた攻撃メールの送信者のIPアドレスが米国、ブラジル、エクアドル、ベトナム、インドなどとなっていた。また、件名が「Message from アルファベット4文字 C280」、添付ファイルが「S アルファベット4文字 C280 送信日に基づく数字列」で、ここからも複合機の通知を偽装していることがわかる。攻撃メールの受信者は、同じ日本製複合機の利用者かどうかは確認できていないというが、ある程度攻撃対象を絞った攻撃である可能性も考えられると指摘している。今回の攻撃は、以前からあったスキャナー通知型の攻撃とは異なり、不正マクロを含んだWord文書が添付ファイルに利用された。一般的にスキャナ機能では画像ファイルやPDFにして保存するため、攻撃に利用するのもPDFが多く確認されていた。なお、トレンドマイクでは、Microsoft Officeのマクロを利用した不正プログラムを利用した攻撃が2015年より海外で増加していると指摘している。現時点では、マクロ型の攻撃を比較的に簡単に防げる。Microsoft Officeは標準の設定でマクロの実行が無効となっている。無効になっている場合は、不正マクロが含まれるファイルを開いても、ユーザーが手動で実行しなければ直接的な被害を受けることはない。危険なのは、業務の都合などで常時マクロ機能を有効にしているケースだと指摘している。利用者は、自らマクロを有効にすることは、不正プログラム実行の危険性があることに注意が必要だと呼び掛けている。
2015年06月29日トレンドマイクロは6月24日、同社のセキュリティブログでAdobeがFlash Playerへのゼロデイ攻撃発生を受け緊急更新プログラムを公開したことに関する記事を公開した。Adobeは6月23日(米国時間)、Flash Playerのブラウザプラグインに存在するゼロデイ脆弱性「CVE-2015-3113」に対応するセキュリティ情報「APSB15-14」を公開。さらに、この脆弱性が標的型サイバー攻撃ですでに利用されており、「Windows 7およびそれ以前のOS に対応するInternet Explorer(IE)」と「Windows XPのFirefox」が標的となっているとして、注意を促した。この深刻な脆弱性が利用されると、攻撃者により影響を受けるシステムが制御される恐れがあるという。影響を受けるバージョンは「Windows版およびMac版のAdobe Flash Player 18.0.0.161 およびそれ以前のバージョン」「Windows版およびMac版の延長サポートリリースバージョン 13.0.0.292および、13.x以前のバージョン」「Linux版のAdobe Flash Player 11.2.202.466および 11.x以前のバージョン」。同社は、Windows版とMacintosh版のAdobe Flash Playerデスクトップランタイムの最新バージョン「18.0.0.194」でこの脆弱性に対応すると発表。Adobe のWebサイトで、どのFlash Player のバージョンを使用しているか確認できる。なお、Windows 8.1とそれ以降のOSバージョン上のGoogle ChromeとIEで起動するFlash Playerは自動的に最新バージョンに更新される。それ以外のOSバージョン上(Windows XPを含む)で起動する同ソフトウェアについては、Adobe のダウンロードセンターから更新プログラムをダウンロードして更新する必要がある。同社では、Adobe Flash Playerユーザに、自動更新機能を有効にすることを強く推奨している。
2015年06月25日前編では、標的型攻撃メール訓練に潜む落とし穴について説明を行いました(【コラム】セキュリティのトビラ 標的型攻撃メール訓練のトビラ(1))。後編では、訓練に関する"ある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。○問題は?こういった訓練について2011年に興味深い実験結果が報告されているのでそちらを紹介しましょう。これは、現在IBM傘下となったTrusteerが実施したものです。セキュリティ教育を受けたと判断できるユーザー100人に対し、知人がライバル会社に転職したことを知らせるメール(ビジネスSNS「LinkedIn」の通知に偽装)を100人に送信しています。そして、メール内に記述されているリンクをクリックするかどうかを調べるというものでした。7日以内にリンクをクリックした人、クリックしなかった人の結果は以下の通りです。24時間以内にクリック:41人48時間以内にクリック:52人(24時間以内から11人増)7日以内にクリック:68人(48時間以内から16人増)クリックしなかった:32人通常の訓練であればクリックをした方にフォーカスして、何かしらの教育を行うことが多いわけですが、この実験ではクリックしなかった方に「リンクをクリックしなかった理由」を訪ねています。理由とその人数の内訳は以下の3通りです。「(見逃しやスパムフォルダに入って)そのメールを見ていない」:16人「興味を引かなかったためクリックしなかった」:9人「普段からLinkedInの更新メールは読んでいない」:7人合計すると32人になります。以上の結果を踏まえると、セキュリティの教育を十分に受けたと判断できる人でも、偽物のメールであることに気付いた上でリンクをクリックしなかった人は0人であることがわかったわけです。また、それと同時に、開いた人が7割近くいたというケースが存在するということを教えてくれています。それでは、今回の攻撃で日本年金機構に送られてきた攻撃メールの内容を見てみましょう(一部伏字)。件名:「厚生年金基金制度の見直しについて(試案)」に関する意見○ ○様5月1日に開催された厚労省「厚生年金基金制度に関する専門委員会」最終回では、厚生年金基金制度廃止の方向性を是とする内容が提出されました。これを受けて、企年協「厚生年金基金制度の見直しについて(試案)に関する意見」を、5月5日に厚労省年金局企業年金国民年金基金の■■課長に提出いたしました。添付ファイルをご覧ください。(本文内にYahooボックスへのリンクが記載)これが公開アドレスに届いたわけです。公開アドレスというのは、常時不特定多数の方からメールを受け、その内容に目を通して処理することが目的とされているもののはずです。そこにこれだけの文章のものが届いた場合、果たしてどれだけの人が騙されないでいられるでしょうか。もちろん、騙されない方もいるでしょうし、常にそのように対処できるのであれば、それほど素晴らしいことはありません。しかし、現実問題として騙されてしまう人がいると筆者は考えています。さて、訓練に話を戻しましょう。筆者が知人から聞いた"実際の組織で行われた訓練の話"も紹介しておきたいと思います。その組織では各グループごとにセキュリティの窓口の役割を担う方がいるそうです。そして、訓練が行われた際に、そのグループの開封率が"窓口の人の評価"に影響を与えるのだそうです。評価に影響がある人からしたら死活問題ですよね。いつ訓練が行われるか、気が気でなかったことでしょう。そして、その人の取った行動は……。いつ行われるか分からない訓練の実施をいち早く気付くために日々メールをチェック訓練のメールを受信した時には、口頭で「今、訓練が行われているからメールを開かないように」とグループの人に通達これでは身も蓋もありませんね。ここまでの説明して来たこと全てが、訓練の行われ方について筆者が懐疑的になるポイントです。しかし、その一方で、筆者は「訓練そのものが無駄である」とは考えていません。皆さんには、世の中に存在する訓練の意義を今一度考えていただきたいと思います。例えば、火災訓練を思い浮かべてください。火災訓練と聞いて、「火事そのものを起こさないための訓練」を浮かべる方は少ないと思います。おそらく、殆どの人が「火事が発生したことを想定した避難の訓練」を浮かべることかと思います。火事が起きたときの死因として多いものとして一酸化炭素中毒があります。物が燃えることによって発生する煙に視野を奪われ、有毒ガス吸い込んでしまい意識障害を起こし、結果、逃げ遅れて焼死してしまうそうです。火災によって発生する有毒ガスが室内上部に集まりやすいため、火災訓練では姿勢を低くし、ハンカチなどを口に当てて避難する経験があることでしょう。そして、人が避難する際にパニックに陥り、ビルの出口に殺到した時の転倒などによる二次災害を避けるために、慌てずに落ち着いて行動しつつ避難経路を確認するといった行動をしますよね。上記のように頭で分かっていても、いざという時に考えているままの行動を起こすことは難しい。だからある程度、定期的に火災訓練などを行い、"慣れを養う"わけですね。これは標的型攻撃メールの訓練でも同じことが言えるかと思います。もちろん、怪しいメールに遭遇したら添付ファイルを開かず、本文中に記載されたアドレスにアクセスしないに越したことはありません。ただ、人間がすることですから、組織すべての人が常に100%そのように行動することは不可能といっても過言ではないと思います。そうとすれば、火災訓練などと同じように標的型攻撃メールが送られてくること、そして、それを開いてしまうということがありうるという前提で訓練を行う必要があるのではないでしょうか。不審なメールを受け取ったと気付いた時や、マルウェアの感染が疑われる時など、普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。迅速に関係各所に報告することができるかそもそも、その関係各所というのはどこなのか社内のマニュアルではどのように対応することになっているのか。平時にこそ確認して、異常時に備えるために行う訓練であれば筆者はとても有意義なものであると思います。よって、「開いた/開かない」「クリックした/クリックしなかった」ということにのみにフォーカスして、一喜一憂するようなものではないと思います。そうではなく、事が起こったときにきちんとした行動ができるかどうかまでの温度感をはかる。訓練を行った結果、「全体の何人が開いたか」「クリックした/しなかった」に加えて、「全体の何人が正しい行動ができたのか」をはかり、「慣れを身につける」という訓練を行う必要があるのではないでしょうか。少なくとも、訓練は騙されてしまった方を責めるために行うものではありません。セキュリティやそれを実現するための技術や知見は人を守り、安心を与えるために存在するもののはずです。決して、人を傷つけるものではないと思います。また、そのような行い方をすることによって、本当に必要なときに報告が上がってこないといった文化が出来上がり、それが被害の拡大を招く結果が危惧されます。攻撃を行う側は金銭や思想などをモチベーションに連携したり、組織的に攻撃を行ってきています。基本的に、攻撃を行う側の方が有利であり、私たちは防戦一方を強いられます。負けることはあっても勝つことはありません。そうなるとわかっているのですから、守る側の私たちも組織全体で「情報だけではなく、人も守る」という意識を持って取り組んでいかなければならないのだと強く思います。とは言え、セキュリティの専門家だけでは立ち行かない状況になっていると実感しています。守る側の中で吊るしあい、責任の擦り付け合いをしていても仕方ありません。標的型攻撃に対峙する時、悪意を持った敵は外にいます。その相手には社会全体で力を合わせて立ち向かっていくようにならなければ負けっぱなしになってしまいます。そんなのは悔しいじゃないですか。みんなで頑張りましょう。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月24日汗や皮脂など、夏のメイクはとにかく崩れやすい・・・。お肌が溶け出していたり、毛穴の上のフェンデが剥げていたり、メイクがなぜか消えていたり・・・そんな夏の攻撃に屈してはいませんか!?このメイクでは、そんな攻撃を寄せ付けない、完璧ディフェンステクを紹介します。守るだけじゃない。攻めのポイントメイクにも注目です。メイクのコツ・ポイントファンデーションを塗る前に化粧水をつけて、しっかりティッシュオフすることで崩れにくする。マキアレイベルのリキッドファンデーションは本当にヨレないので、もうリピート7本目!クリアラストもパウダーも、カバー力はあるのに重たくなく、キープ力があるから夏にオススメ。ピンクチークで顔の凹凸をハッキリさせる。チークを塗った後に何も付いてないパフで上から軽く押さえることで、落ちにくい。ヒロインメイクのアイライナーは筆先が細いので、繊細な線が簡単に引ける!日常生活にも取り入れ可能なゴールドラメで太陽の光に負けない華やかeyeに。ポイントメイクは攻めの夏メイク!メイクアップフォーエバーのHDパウダーは、皮脂が出ると皮脂に吸着するので、仕上げにふわっと重ねてあげるとメイクモこのメイク動画のノーカット版と使用コスメ詳細を見る
2015年06月20日Palo Alto Networksは6月16日、東南アジア各国の政府や軍事機関を標的としたとみられる一連の国家的サイバー攻撃に関する調査結果を公開した。同社の脅威インテリジェンス調査チーム「Unit 42」によって発見された「オペレーション・ロータス・ブロッサム(Operation Lotus Blossom)」と呼ばれるこの攻撃は、3年前にまで遡り、国家的なオペレーションに関する内部情報の取得を試みていると想定され、香港、台湾、ベトナム、フィリピン、インドネシアが標的とされている。この攻撃には、50回以上の個別攻撃が確認されており、すべて「エリーゼ(Elise)」と呼ばれるカスタマイズされたトロイの木馬を使用している。このマルウェアは標的を絞ったスピアフィッシングメールを配信して、標的システム上で最初の足場を生成するが、Unit 42は、攻撃と無関係なところでも使われていると考えている。Unit 42は、同攻撃に、特注ツールの使用、豊富なリソース、複数年にわたる継続性が確認されていることから、背後に潤沢な資金を持つ組織的な団体が存在すると考え、これらの要素と標的の性質を考慮し、サイバースパイ行為が攻撃の動機であり、背後には東南アジアの地域情勢に強い関心を持つ国家の関与、あるいは資金提供があると推測している。Unit 42チームは、最近発表された同社のサイバー脅威インテリジェンスサービス「AutoFocus」を使用してこの一連の攻撃を発見。AutoFocusにより組織のセキュリティ担当者は、6,000以上の脅威インテリジェンスクラウドWildFire加入者やその他の情報源経由でセキュリティ脅威を相関して検索できるという。Palo Alto Netoworksは、同社の脅威防御およびWildFireのサブスクリプションを持つすべての顧客は、これらの攻撃から自動的に防御されるとしている。サブスクリプションサービスに加入していない場合は、自社ネットワークで侵入の兆候を確認し、関連する指標を自社のセキュリティ制御へ追加することを勧めている。
2015年06月18日ラックは16日、同社「サイバー救急センター」にて対応した標的型サイバー攻撃の調査結果から、日本国内において多数の組織が同様のサイバー攻撃による被害を受けていると判断し、注意喚起を行った。調査で浮上した攻撃マルウェアEmdiviの詳細に関しては、マクニカネットワークスが説明を行った。○日本の組織を幅広く狙うマルウェア「Emdivi」確認された標的型攻撃は、シマンテックが2014年11月に同社ブログで公表したものや、今月6日にカスペルスキーが公開と同じものと言われている。特徴は、日本の組織を幅広く狙っていることと、攻撃指令を出すC&Cサーバーが日本に存在していることで、後者は既に攻撃され支配下にあると推測されている。説明会の冒頭では、ラックの内田法道氏が、企業や官公庁向けの同社緊急対応部署「サイバー救急センター」を紹介するとともに、Emdiviと呼ばれる遠隔操作マルウェアによる攻撃が再度増えつつあることを説明。今回の注意喚起の背景を解説した。○偽装アイコンによるexeファイルで攻撃Emdiviの詳細に関してはマクニカネットワークス セキュリティ研究センターの政本憲蔵センター長が解説した。今回の一連の攻撃ではドキュメントファイルにアイコンを偽装したexeファイルが使われており、このexeファイルの中には「ドロッパー」と呼ばれるマルウェア本体と、偽装のための文書が含まれている。偽装文書はおおむね日本語として意味が通るが、中国語フォントSimsunが使われており、一部の文字が日本語ではないという特徴がある。また、確保したマルウェア(65種類)のファイルの生成日時に注目して調査すると、北京時間の月曜日から金曜日までの9-17時に集中していることがわかったという。○まずは現状を確認する「身体検査」を最後にラック CTOの西本逸郎氏が登壇し、同じようなサイバー攻撃を受けた日本年金機構の個人情報流出事例は、C&Cサーバー側の調査も行われたため、日本で初めて実害が確認された事例と紹介。対策は破られるという認識とその後の対応が重要であり、感染を直前で食い止める"水際作戦"、重要データの情報を撹乱する"無力化作戦"、指令サーバへの通信を遮断する"封じ込め作戦"を一体とした対策が、企業で求められると強調した。
2015年06月16日パロアルトネットワークスは6月12日に、Backdoor.Emdiviを用いた標的型攻撃の解説と、標的型攻撃による被害を出さないためのセキュリティ対策について解説した。これは、6月上旬に発生した100万件を超える規模の個人情報漏えい事件を受けてのもの。この事件は2013年以降に日本の組織を狙った攻撃で利用されているマルウェアBackdoor.Emdiviにより発生したと推測されている。Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの1つだ。改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきた。なお、11日にFFRIが年金機構を狙ったEmdiviを検知したと発表している。Backdoor.Emdiviによる攻撃手法は、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルを、ターゲットとしている組織にメール送信することから始まる。このような経路で端末が感染するとBackdoor.Emdivi本体がインストールされる。その結果、HTTPベースでC&Cサーバーと通信を行い、様々な攻撃が行われる。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴だ。その結果、攻撃が日本に特化した形で行われたと推測される。2014年11月ジャストシステムは一太郎の脆弱性について発表したが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviだった。また、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られた事件が同時期にもあったが、この時標的型攻撃に用いられたのもBackdoor.Emdiviだ。このようにBackdoor.Emdiviを用いた標的型攻撃は、巧妙に進化しながら日本の組織を狙い続け、その被害は後を絶たない。パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国と比べても高く、日本は標的型攻撃が成功しやすいと推測できる。その結果、日本が集中して攻撃グループに狙われている可能性も否定できない現状だ。パロアルトネットワークスによれば、標的型攻撃から個人情報などの重要データを守るためには、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることが重要だという。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがある。感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染侵入:Backdoor.Emdivi (マルウェア)の侵入目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難しかし、攻撃を許してもプロセスを途中で断てば被害には遭わない。それぞれの段階に対抗するソリューションを用意することで被害は抑えられる。しかし、様々なベンダーの単体ソリューションを組み合わせて利用すると、企業のIT投資コストと管理コストを圧迫する恐れがある。様々な対策がある一方で、攻撃を受けながら被害を自覚していない組織の存在も危惧される。日本の組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきだ、とパロアルトネットワークスは指摘している。
2015年06月13日IPA(独立行政法人情報処理推進機構)は10日、標的型サイバー攻撃の被害事案が増えていることを受け、企業・組織の経営者、システム管理者向けに、サイバー攻撃の確認やコンピュータウィルスの感染確認を促す注意喚起を行った。IPAは、サイバー攻撃の確認方法として、ファイアウォールやプロキシサーバーのログ確認を挙げている。数秒、数分間隔で外部C&Cサーバー(感染PCへ命令を送るサーバー)へ継続的に通信するなど、通常では起こりえない通信があるか確認する。合わせて、外部へ接続する際にプロキシサーバーを経由させている場合、直接外部へ接続するといった、業務上想定していない通信がないかを確認する。また、サーバーから外部へ不審な通信がないか、あれば正常な通信か確認すると同時に、想定されていないアカウント、端末やサーバー、管理者からのログインがないかチェックを行う。組織内でActive Directoryサーバーやファイルサーバーなどを利用している場合、見覚えのないタスクがタスクスケジューラーへ登録されていないか、あるいはイベントログに見覚えのないタスクが実行された形跡がないか確認する。上記のポイントを確認し、万が一不審と思われる事柄を発見した際は、被害を最小限に抑えるために、該当端末をネットワークから切り離し、端末や通信ログなどの詳細な調査を行う。加えて、不審な通信先を発見した場合は、さらなる通信を防ぐため、ファイアウォールやプロキシサーバー、Webフィルタリングシステムを用い、不審な通信先とのアクセスをブロックするといった対策が必要となる。該当端末を踏み台にして、既に他の端末へウイルス感染が広がっている可能性も考えられるため、不審な通信を発見した場合はセキュリティベンダをはじめとした専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対策を進めることが重要だとしている。また、一度攻撃を受けて侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も悪用されてしまうため、継続的な脆弱性対策として、クライアント端末だけでなく、サーバーにもソフトウェア更新プログラム(パッチ)の適用を呼びかけている。
2015年06月11日NICTは6月8日、FFRI及びディアイティの協力を得て、標的型攻撃等のサイバー攻撃に対抗するための統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」で機能追加を行ったと発表した。追加された機能は、エンドホスト(PC)の集中制御やマルウェア感染プロセスの特定が可能な「エンドホスト連携機能」、ネットワーク機器と連動して異常な通信の遮断や感染ホストの隔離が可能な「自動防御機能」。これらの機能により、ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、自動的な防御策の展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できるという。エンドホスト連携機能は、FFRIの標的型攻撃対策ソフトウェア「FFR yarai」と連動し、組織内のエンドホスト群の各種情報を収集するとともに、マルウェアプロセスを特定し、そのプロセスの親子関係や通信履歴等をリアルタイムに導出するだけでなく、エンドホスト群のマルウェア検出感度の一斉変更などの集中制御もできるもの。また、ディアイティの協力で開発した自動防御機能は、インシデント発生時に、事前定義したアクチュエーション(動作)ルールに従って、ファイアウォールやスイッチ等のネットワーク機器を自動的に制御し、感染ホストの隔離や異常通信の遮断等が可能とするもの。エンドホスト連携機能と連動し、エンドホスト内の特定プロセスの停止等の精緻な制御もできる。さらに、「NIRVANA改」の可視化機能も強化し、ネットワーク系のドリルダウンに加え、エンドホスト内部にまでシームレスに没入できるようになり、セキュリティオペレーションがより円滑になったという。
2015年06月09日サイバーセキュリティ領域において国内で研究開発活動を展開しているFFRIは6月4日、標的型攻撃対策ソフトウェア「FFR yarai」シリーズのVersion 2.6をリリースしたとを発表した。FFR yaraiは、従来のセキュリティ対策で用いられているシグネチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を複数のプログレッシブ・ヒューリスティック技術を採用。様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する。最新版では、同社が2015年4月にリリースした個人PC向けセキュリティソフト「FFRIプロアクティブ セキュリティ」と同等のエンジンを搭載し、未知マルウェア対策を強化した。さらに、ネットバンキングの不正送金を行うMITB(Man in the Browser)マルウェアに特有の特徴を検知するロジックを追加。その他にもユーザビリティや管理機能の強化・改善を図っているという。
2015年06月05日情報処理推進機構(IPA)は5月27日、メールを利用した標的型攻撃の分析結果を発表した。IPAでは国内のインフラ関連組織を対象に、2012年4月から標的型攻撃メールなどの情報共有を相互に行い、高度な対策に繋げる取り組み「サイバー情報共有イニシアティブ(J-CSIP)」を3年前から運用している。これまでIPAに提供された情報は1,257件で、そのうち標的型攻撃メールとみなしたものは939件であった。分析結果によると、IPAでは攻撃メールの12%に相当する114件が同一の攻撃者(またはグループ)による攻撃と推定した。114件の攻撃メールは、2012年9月から2015年3月まで、31カ月の長期にわたり観測された。また、2014年度は標的型攻撃とみなしたメールの送信元が初めて日本最多であったことや、これまでの観測データは日本国内に重要産業を標的とした攻撃インフラが着々と築かれつつある可能性を示した。IPAでは、J-CSIPの一連の情報共有によって、攻撃者像の推定・攻撃手口の解明など一定の成果を得られたと説明。成果は、今後参加組織での対策として活用される。なお、詳細な分析結果と2014年度の情報共有の運用状況などをまとめた2014年度(2014年4月~2015年3月)の活動レポートをWebページ上で公開した。活動レポートでは、2014年度の年間報告に加え、この推定に至った一連の攻撃を仕掛けている攻撃者の手口などを解説している。
2015年05月28日トレンドマイクロは5月25日、「家庭用ルータを狙って偽の警告文を表示する新たな攻撃を確認|トレンドマイクロ セキュリティブログ」において、自宅のルータのDNSの設定が変更されたという個人的な経験を引き合いに出し、家庭向けのルータをターゲットとした攻撃が実際に起こっていることを明らかにした。書き換えられたDNSサーバのIPアドレスが不正なIPアドレスであったこと、どのような経路でDNSの設定が変更されたかはわからないことなども説明されている。以前から、複数の研究者が家庭向けルータに不正アクセスし、DNSサーバの設定を変更することでサイバー攻撃を実施できるとことを指摘していた。DNSサーバの設定を不正な目的でセットアップされたDNSサーバへ向けられると、このルータ経由でインターネットにアクセスしているユーザはフィッシング詐欺などの被害にあう危険性が出てくる。トレンドマイクロは2014年にルータを悪用した攻撃を確認したと指摘。今年に入ってからは家庭向けルータを攻撃してネットワークを探索する不正プログラムに関しても言及している。今後、サイバー犯罪者はさまざまな方法でルータを狙った攻撃を仕掛けてくるだろうとしたうえで、ルータのログインパスワードを推測されにくいものへ変更すること、セキュリティ・ソフトウェアを使用してマルウェアの感染を防止することなどを推奨している。
2015年05月26日ESETは5月21日(現地時間)、「DDoS attacks have doubled in a year, says Akamai」において、分散型サービス拒否攻撃(DDoS; Distributed Denial of Service attack)が増加傾向にあることを伝えた。Akamaiの発表を引き合いに出し、報告されるDDoS攻撃がこの1年で前年の2倍を超えていると説明している。攻撃方法も変化しており、より長期にわたってDDoS攻撃を実施できるようになってきているほか、これまでよりも大きなダメージを与えられるようになってきていると指摘。先年は短期間で大量のバンド幅を消費するようなDDoS攻撃がメインだったものが、2015年は小さいバンド幅でより長期にわたって攻撃を継続する傾向を示しているという。増加傾向を見せているDDoS攻撃は3つの国からの攻撃開始が全体の過半数を占めているという説明もある。中国が23%で最も多く、これにドイツの17%、米国の12%が続いている。DDoS攻撃の52%が中国、ドイツ、米国から始まっていることになる。
2015年05月23日トレンドマイクロは5月19日、標的型攻撃を防ぐためにはネットワークの「セグメント化」が重要であるとセキュリティブログで解説している。標準的攻撃の手法は、サイバー犯罪者が企業のネットワークに侵入し、1台の端末を足掛かりにして次々と端末を乗っ取るケースが多い。より多くのPCを侵害して情報を引き出すことが成功へのカギとなっている。逆に考えれば、標的型攻撃を防ぐには、乗っ取られる端末を最小限に抑えればよい。セグメントは、ネットワークをアクセスする端末をグループ化できる。セグメント化をしておくことで、特定の端末が乗っ取られた場合でも、同一のセグメント以外に端末が乗っ取られるリスクを減らせる。ブログでは、セグメント化は自社の端末を守るだけではなく、取引先を守る手法でもあると述べられている。最近では、取引先の企業がFTPなどのネットワークを介して、データをやり取りするケースは多い。容量が大きいファイルのやり取りには最適な手段だ。ネットワークを利用するのは自社の社員だけではなく、取引先の企業が自社のネットワークにアクセスすることも多い。ネットワークのセグメント化によって、取引先が必要とするITネットワークだけにアクセスを制限することが重要であるとしている。セグメント化は、社員などからの内部犯行を防ぐ手段としても有効だ。内部犯行の場合、高いアクセス権限がなくても、ネットワーク内の機密事項にアクセスできる可能性がある。また、特定の端末内に保存されている情報を狙うなど、外部からの攻撃とは目的が異なる場合も多い。ネットワーク管理者は、ユーザ権限やネットワークトラフィックを適切に分割することが重要なセキュリテイ対策となる。それにより、企業の機密情報にアクセスする社員を制限できる。セグメント化は、環境構築の難しさが課題となっている。構築方法を誤ると、セグメント化によるセキュリティ効果が望めないだけでなく、ネットワークの利便性が損なわれる恐れもある。そのためには、企業内のネットワークの利用目的を改めて整理しなければならないという。具体的には、企業内の資産がどういった経路でアクセスされているか(HTTP、HTTPS、SMBなど)、どのように保存されているか(SQLデータベース、平文、NSAやSANなど)を特定する。また、過去から現在で確認された攻撃を特定し、現在の脅威活動の基準を確立する必要があるとも指摘している。
2015年05月22日JPCERT/CCは5月13日、Adobe Flash Playerに複数の脆弱性があるとして注意を呼びかけた。発表によると、Webを閲覧することでDoS攻撃や任意のコード(命令)を実行されるおそれがあるという。一方、米Adobe Systemsは5月12日(現地時間)、CVE番号ベースで18件の脆弱性(CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 17.0.0.169 およびそれ以前のバージョンAdobe Flash Player 13.0.0.281 およびそれ以前の 13.x のバージョンAdobe Flash Player 11.2.202.457 およびそれ以前の 11.x のバージョンAIR Desktop Runtime 17.0.0.144 およびそれ以前のバージョンAIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前のバージョン今回発表された脆弱性の深刻度は同社の基準において最高の「Critical」となっている。Adobe Flash Player Desktop Runtime、Adobe Flash Player Extended Support Release、Adobe Flash Player for Google Chrome、Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11については、72時間以内に更新プログラムを適用することが奨励されている。Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1用Internet Explorer 11は、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。
2015年05月13日ソフトバンク・テクノロジー(SBT)は5月11日、外部へ公開しているメールアドレスへの標的型メール攻撃を検知、隔離するクラウド型サービス「Public opened Email Protection(PEP)」の提供を開始すると発表した。メールによるサイバー攻撃は、最も広く使用される攻撃手段の1つ。中でも、特定ターゲットの重要なデータや個人情報を奪おうとする標的型サイバー攻撃「スピア・フィッシング攻撃」は、従来型セキュリティ対策ではカバーしきれないため、サイバー攻撃に多用されている。こうした脅威に対して、特に対策が必要となるのが、広報や人事の問い合わせ窓口や、お客様窓口など、外部へ公開しているメールアドレス。外部公開メールアドレスの多くは、業務上、不特定の社外メールアドレスとのメールのやりとりが発生するため狙われやすく、また、攻撃メールを開きやすいというリスクがある。PEPは、高度な標的型サイバー攻撃から、公開メールアドレスを保護するクラウド型サービスで、対象となる任意のメールアドレスに対し、業界最先端のサンドボックスを利用して標的型メール攻撃を検知し、自動隔離する。SBTのセキュリティ専門のエンジニアによる運用サービスが含まれているため、顧客の手間や負担無く公開メールアドレスのセキュリティを強化することができる。また、クラウド型で、1アドレス単位で利用できるので、要件に合わせて手軽に導入が可能だという。同社はサービス提供開始を記念して「PEPリリースキャンペーン」を実施し、2015年6月末までの申込みで初期設定費用を無料とするという。
2015年05月12日ファイア・アイとPFUは5月12日、エンタープライズ向け次世代サイバー攻撃対策で協業すると発表した。FireEyeでは、入り口・出口対策ソリューションを提供しており、FireEye NXシリーズがマルウェアを検知してアラートを出す。一方で、PFUのiNetSecがそのアラートに基づいて、感染端末からの通信を遮断することで、内部ネットワークにおける感染拡大の防止を行う。PFUはかねてより社内ネットワークのセキュリティ強化ソリューションを提供。北米でもセキュリティアワードを獲得するなど、日本発の数少ないセキュリティベンダーとしても展開している。両社の協業は、日本だけでなく、北米やその他地域においても、5月末より製品の展開を行う。なお、13日から15日に東京・有明の東京ビッグサイトで行われるJapan IT Weekの情報セキュリティExpo(春)でソリューションの参考展示を行う予定。
2015年05月12日カスペルスキーは5月1日、小規模企業がサイバー攻撃を受けた2種類の事例を同社のブログ「Kaspersky Daily」に公開した。○競合企業からマルウェア攻撃を受け、瀕死の状態にとある宝石を販売する企業は、外部からセキュリティ侵害を受け、自社サイトの訪問者が次々とマルウェアに感染する事態に陥った。企業内にマルウェアを対策できるスタッフがいなかったため、外部のITスペシャリストに問題を解決してもらうように依頼した。マルウェアはWebサイトから駆除できたがすぐに復活した。犯人はサイトへのアクセス権を持っていたため、コードを消されても復活できたためだ。そのため、企業は完全復旧までに多くの時間がかかった。検索エンジンのインデックスや検索結果の表示順位を取り戻す必要があったためだ。Googleはこの企業のサイトをマルウェア感染サイトとしてブラックリストに載せ、インデックスから削除した。別の検索エンジンでも同じことが行われていた。その間、企業の業績は大きく落ち込み、感染前まで回復するまでは1年ほどかかったという。調査の結果、最初に感染したのは経営者のPCだったことがわかった。経営者が使っていたのは無料のアンチウイルスソフトで、十分に機能していなかったという。ハッカーは経営者のPCにマルウェアを埋め込み、会社のサイトのアクセス情報を盗み出した。経営者は、競合からの標的型攻撃だと確信していた。経営者はこの経験を通じ、企業データのセキュリティに直接関係すること(パスワードの安全な管理、トラッキングやキー入力監視を行うマルウェアの存在)を数多く学ばならけばならなかった。○暗号化マルウェアに攻撃され、すべてのデータを失うとある会計事務所がランサムウェア「CryptoLocker」の攻撃を受け、すべてのデータに強力な暗号がかけられた。これによりデータにアクセスできなくなり、事業が継続が困難になった。CryptoLockerは、侵入したPCのデータを手当たり次第に暗号化し、暗号解除と引き換えに巨額の身代金を要求してくる。非常に強力な暗号化技術が使われているため、身代金を支払うか、それがダメなら暗号化前のデータをバックアップから復元するしかない。事務所のIT管理者は、ランサムウェアが見つかった途端に社内サーバーのデータをすべて削除した。これにより、ランサムウェアウェアを消去できたものの、重要なデータも一緒に削除されてしまった。結果的に重大なミスをした管理者はクビになってしまった。その後、データ復旧を試みたがすべて失敗に終わり、最終的には事務所は倒産したという。これらのケースはいずれも欧米諸国だが、日本でも中小企業を狙ったサイバー攻撃は増加している。対岸の火事と思わず、対策を講じることが最善の方法だろう。
2015年05月05日トレンドマイクロは4月16日、WebサイトをOSごと強制終了させる攻撃コードを確認したとセキュリティブログで明かした。攻撃は、Windowsの脆弱性を悪用したもので、すでに実証コード(PoC : Proof of Concept)が公開されている。実証コードは、数十文字程度の攻撃コードでWebサーバーをBSOD(Blue Screen of Death)状態で強制終了させることができる。脆弱性は、WindowsでHTTPプロトコルの処理を行う「HTTP.sys」に存在している。攻撃対象は、MicrosoftのWebサーバーのIIS(Internet Information Services)が稼働している場合、「HTTP.sys」を使用するWebサーバーが稼働していることが条件となる。攻撃者は脆弱性を利用し、遠隔からシステムアカウントの権限で任意のコードを実行する。それにより、Webサーバーに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置される恐れがあるという。Microsoftでも脆弱性を認識しており、「緊急」と位置づけ、更新プログラムを4月15日より配布を開始した。更新プラグラムをインストールすることで、今回の攻撃を完全に防げるという。トレンドマイクロは、Windows OS上でWebサーバーを運用する管理者は速やかにアップデートすることを強く推奨している。
2015年04月20日