マルウェア

SWIFT スパム キャンペーンに swift（迅速）な対応を！

執筆者：Warren Mercer 概要 Talos は Zepto ランサムウェアの増加を確認し、その拡散方法がスパム メールであることを特定しました。Locky/Zepto は依然としてよく知られたランサムウェア タイプであるため、Talos はスパム メール キャンペーンを注視しています。直近の 4 日間で、137,731…

続きを読む

注目の調査：Qbot の復活

この投稿の執筆者：Ben Baker Qbot（Qakbot とも呼ばれます）は、少なくとも 2008 年には出回っていましたが、最近になって開発や使用が急増しています。現在の Qbot の主なターゲットは、銀行取引のクレデンシャルのような機密情報になりつつあります。このブログでは、一般にはまだ知られていないこのマルウェアの最近の変化について報告します。 Qbot の主な感染手段は、ブラウザのエクスプロイト キット内のペイロードの形を取ることです。Web サイトの管理者は自分のサーバへのアクセスに FTP を使用する場合が多く、Qbot は FTP のクレデンシャルを盗み、これらのサーバにマルウェアをホスティングするインフラストラクチャを追加しようと試みます。Qbot は SMB を使用して拡散する場合もあります。このため、保護されていないネットワークから…

続きを読む

注目の調査：わずかな小銭で不正が可能

執筆者：Tazz 概要 2 月末に、チームの調査員の 1 人が、ドメイン再販業者から 1 通の勧誘電子メールを受信しました。調査員はその電子メールを 3 月の第 1 週に閲覧しています。この電子メールは Namecheap から送信されたもので、88 セントという破格の値段でドメインを販売していました。電子メールは、これ以上ない皮肉なタイミングで届きました。というのも、マルウェア/フィッシング/スパムに関係のあるドメインの集団とその価格との間に何らかの関係があるかを究明する調査をしていた時期とちょうど重なったのです。この記事では、格安のドメインと不正な活動との関係について説明していきます。この記事中に出てくる「悪意のある」という言葉には、マルウェア/フィッシング/スパムに関する活動が含まれています。

続きを読む

TeslaCrypt 3.0.1 – 暗号化の仕組み

執筆者：Andrea Allievi、Holger Unterbrink 概要 ランサムウェアとは、ユーザのファイル（写真、ドキュメント、音楽など）を身代金目的で暗号化し、その復号のために金銭を要求する、悪意のあるソフトウェアです。ユーザは一般的に、電子メールのフィッシング キャンペーンやエクスプロイト キットを通じてランサムウェアの被害を受けます。TeslaCrypt…

続きを読む

SamSam：治療は身代金を支払った後で

Cisco Talos は、Samas/Samsam/MSIL.B/C ランサムウェアの亜種を利用して広まっている攻撃活動について現在調べています。ほとんどのランサムウェアとは異なり、SamSam はフィッシング攻撃やエクスプロイト キットが利用するような、ユーザを意識した攻撃ベクトルからは起動されません。この特別なファミリは、侵害されたサーバを介して拡散しているようです。そしてそのサーバを足場としてネットワーク中を移動し、別のマシンを侵害します。侵害されたマシンは身代金のために拘束されることになります。なお、医療業界が重点的に攻撃されているようです。 攻撃者は JexBoss（JBoss アプリケーション サーバの開発/テスト用オープンソース ツール）を利用してネットワークに足場を築いていると思われます。一旦ネットワークにアクセスできれば、攻撃者は SamSam を使用して複数の Windows システムの暗号化を始めます。 技術詳細 システムに侵入すると、サンプルは…

続きを読む

ウクライナにおける制御系システムへのサイバー攻撃

2015 年 12 月 23 日、ウクライナ西部で、電力供給会社数社が同時にサイバー攻撃を受け、およそ 80 万世帯で 3 時間から最長 6 時間程度の停電が発生しました。攻撃手法は、マルウェアを含む添付ファイル（Microsoft の Excel ファイル）をメールで送信するスピアフィッシング攻撃で、攻撃者はウクライナ議会の議員に偽装してメール配信をしていたと見られています。 この事件については、すでに様々なセキュリティベンダーや研究機関から状況分析の情報が流れていますが、最新の分析情報によると、マルウェアの感染が停電の直接的な原因ではなく、攻撃者による遠隔から何らかの作用によって停電が発生したと考えられています。ただし、マルウェアの感染によって SCADA（監視制御システム）のサーバ ファイルが削除されたと見られることから、停電に至る一歩手前の状況をマルウェアが引き起こしたのは間違いないようです。SCADA からの制御信号を受け取るフィールドの開閉機は、フェイルセーフ機能が具備されているはずですから、ひょっとしたらマルウェアがファイルを削除したことで制御信号は途絶えたが、開閉機側が（信号断の状態であっても）通電を保持するように制御したために、それ自体では停電しなかったのかもしれません。 実はこのとき、同時に電力会社のコールセンターに対して

続きを読む

高度な脅威に対する継続的分析によりリーダーシップを維持

この記事は、シスコ セキュリティ テクノロジー グループのプリンシパル エンジニアである Jason Brvenik によるブログ「Continuous Analysis Yields Continuous Leadership Against Advanced Threats」（2015/8/5）の抄訳です。 今日の組織は、サイバー セキュリティや IT インフラの拡大など、多くの課題に直面しています。 その背景には、マルウェアによる攻撃の増加と高度化に加え、モビリティ、BYOD、IoT、およびクラウド

続きを読む

マルウェアはウイルスと違うの？

「マルウェアはウイルスと違うものなの？」という質問を耳にすることがあります。これは「ウイルス対策製品のリプレイスは、マルウェア対策製品で可能なのか？」という疑問から出てくる質問なのだと思います。この疑問に答えるなら、マルウェアはウイルス等の不正プログラム全てを指す言葉ですから、「マルウェア対策製品はウイルス対策製品（アンチウイルス製品）の代替となる」ということになります。 以下は代表的な悪意のあるソフトウェアの相関図になります。 バックドア システムが本来は持っていない特殊通信ポートを使って外部からのリモート アクセスを可能にするサーバ プログラム。Apache や bind などと同じような待ち受けポートを作成することで、不正アクセスを受け入れます。 トロイの木馬 システムのなかにあって停止されている標準サービスを、強制的に起動させるプログラム。バックドアと似ていますが、バックドアはそれ自身が通信を待ち受けるのに対して、トロイの木馬は停止されているサービスを管理者の意思に関係なく起動させるという点が異なります。 キーロガー システムにインストールされた後、ユーザのキーボード操作を秘密裏に記録するプログラム。ログイン ID やパスワードを収集するのに使われます。 スパイウェア ブラウザのプラグインに組み込まれることが多い不正プログラム。ブラウザのアクセス履歴や Web 認証における ID／パスワードを収集し、これらの情報をインターネット上のサーバへ利用者に無許可で転送します。

続きを読む

NSS Labs が実施したセキュリティ侵害検出システムのテストにより、継続的な脅威防御が必要な理由が実証される

この記事は、Jason Brvenik によるブログ「NSS Labs Breach Detection Systems Testing Demonstrates Why Threat Protection Must be Continuous」（2013/04/02）を意訳したものです。 シスコの一員となるずいぶん前に、Sourcefire チームはお客様が日々直面する高度なマルウェアの課題に積極的に対応していました。こうした課題に対応する最も効果的な方法は、継続的な高度マルウェア防御（AMP）アプローチであると私たちは信じています。このアプローチにより、ある時点でのマルウェアの追跡だけでなく、監視と保護の適用を徹底的に行うことができます。シスコはこうしたビジョン、つまり、シスコのテクノロジーの組み合わせが非常に強力である理由を発信しています。ネットワークやエンドポイントだけでなく、それらすべてを相互接続し完全な保護を実現することが重要です。 お客様や私たちはそのことについて認識しており、高度な脅威に対応するにあたってこうした継続的なアプローチが最も効果的であることは今や業界全体が確信しています。NSS Labs は、2014

続きを読む

モビリティのビジネス上のリスクはなくなったのか

この記事は、Michael Fuhrman によるブログ「Mobility:No Longer a Risky Business?」

続きを読む