エフセキュアブログ

あなたと同じ言語への対応を試みるULTRADECRYPTER

「UltraDeCrypter」と呼ばれる、新種の暗号化ランサムウェアがネット上に出現している。

これは、AnglerエクスプロイトキットがドロップしているCryptXXXの進化形である。当社のテストで、UltraDeCrypterの暗号化解除サービスポータルに、以前にCryptXXXで使った「識別コード」を入力してみたところ、以前のCryptXXXポータルにリダイレクトされた。バックエンドがつながっている証拠だ。

支払いサポートページについて言えば、対応しようとした言語の数の多さが、UltraDeCrypterの野心の大きさを物語っている。

何か月か前のCryptoWallの支払いページがこちら。

crypto-ransomware 
全文はBusiness Security Insider 日本語版で。 

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

興味深いベトナム航空などへのサイバー攻撃報道

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

1937cn_defacement


さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


(補足)
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。
ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

まだまだある、BECの手口

先月、BEC(Business Email Compromise)の典型的な手口を紹介しつつ、注意喚起を行いました。
エフセキュアブログ : 社長のメールは真に受けるな!

このブログ記事のように社長のメールであれば無視しておけば済むんですが、BECというのは、いわゆる詐欺ですから、攻撃者は手を替え品を替え、あの手この手で襲いかかってきます。時に攻撃者はこちらがメールを無視できないという立場を巧みに利用することもあります。

まず攻撃者は企業のウェブサイト内にある問い合わせフォームからメッセージを送ります。問い合わせ内容は、「御社の新製品に興味があるので、カタログを送ってほしい」という感じです。

Contact Form
[一般的な問い合わせフォーム]

当然そういったメッセージを受け取った企業は喜び勇んで返信するでしょう。

Scheme1
[攻撃者が企業からの返信を受信したところ]

ここで、攻撃者は受信したメッセージへリプライしますが、その際にマルウェアを添付します。
Scheme2
[攻撃者がマルウェア付きメールを送信しているところ]

マルウェアの中身はこのように実行ファイル(bat,exeなど)になっています。
Scheme3
[添付ファイルの中身]

担当者は自分で送ったメールに対する返信なので、ついうっかり添付ファイルを開いてしまう・・可能性が高くなるというのが攻撃の手口です。

対策:
実行ファイルをダブルクリックしないように注意するという精神論ではどうしても限界がありますので、不特定多数の顧客から問い合わせを受け付ける人の端末では、実行ファイルの実行をシステム的に制限しておくことをおすすめします。
具体的な方法は過去の記事で紹介しています。

社長のメールは真に受けるな!

BEC(Business Email Compromise)というサイバー犯罪の手口が、昨年から少しずつ話題になりはじめ、FBIからも再三に渡って注意喚起が出されておりまして、先日とうとう合計の被害額が31億ドルを超えたそうです。

Business E-mail Compromise: The 3.1 Billion Dollar Scam
Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

日本ではビジネスメール詐欺と呼ばれていますが、その手口を簡単に紹介します。

犯人は社長(または経理担当者や取引先など)になりすまし、従業員にメールを送ります。
今出先なんだけど、この前話してた業務提携の件で至急この口座に300万円送金してくれ!

普通こんなメールを受け取ったら即スパムフォルダ行きでしょう。
ところが、もし実際に提携話が存在しており、この従業員が社長から、
今度の出張で提携先候補と契約金500万円前後で交渉する。終わり次第結果を連絡する。
というメールを事前に受け取っていたとしたらどうでしょう?

犯人はあらかじめマルウェアやフィッシングなどを利用し、社長のメールボックスを盗み見ていますので、事前の会話内容を把握しタイムリーな話題を使うことが可能なんです。

数週間後には、
従:社長、この前の契約金の領収書が来ないんですが・・
社:契約金?何の?
従:えっ?
社:えっ?
となりそうですが、犯人はメールボックスの監視を続け、なりすましで適当にお茶を濁しながらマネーロンダリングのための時間を稼ぎます。

Stalling
犯人がお茶濁しメールを作成している様子

抄訳
被害者:今日銀行に確認しましたが、まだ入金されていませんでした。再度銀行に確認しますので、送金に使った銀行コードを教えてください。

犯人:ご機嫌いかがですか?健やかにお過ごしのことと思います。
ご参考までにお伝えしておくと、こちらは先日まで休暇をいただいておりまして、本日より業務に復帰したところです。送金に関しては情報をいただけると幸いです。

相手がいくらタイムリーな話題や二人だけの秘密を知っているからといって、信用してはいけません。
社長以外にも、取引ベンダーや経理担当、弁護士などになりすますパターンもありますが、
典型的な手口として、外出先や緊急事態を理由にしてフリーメールで連絡が来ることが多いです。そこで気づければよいのですが、それよりも基本的な対応として、「振込先の変更」や「新規の振込先」などをメールで指示されたとしても必ず電話でも確認する、ということをおすすめします。

今のところはまだ英語での詐欺が主流ですので、海外とのやりとりが多い企業の方は特に要注意です。

#Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー

元NSA契約業者職員だったエドワード・スノウデンに密着取材したドキュメンタリー作品「Citizenfour」が6月11日から日本でもやっと公開される。「Citizenfour」2014年アカデミー賞のベスト・ドキュメンタリー賞として選ばれたことは1年ほど前にエフセキュアブログにも書いたが、アメリカでの初公開から1年半遅れの日本公開となる。
とはいえ6月4日にはJCLUのイベントでネット経由で出演し日本でのメディア報道の自由の状況に警告を発したり、 2013年の暴露以前にNSA内でも問題を指摘しようとしていたことがVICE Newsのアメリカ情報公開法に基づくNSA内部資料入手により明らかになるなど、スノウデンの告発による衝撃はいまでも続いている。 
JCLUイベント  https://www.youtube.com/watch?v=fL3x_9PHrWY 
Exclusive: Snowden Tried to Tell NSA About Surveillance Concerns, Documents Reveal 

日本版トレイラー

(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)
劇場情報はこちらから http://gaga.ne.jp/citizenfour/info/?page_id=20 
 

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード