エフセキュアブログ

さよならFLASH!第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

FirefoxのFlashサポート縮小について記事を投稿したところ、Edgeブラウザに関する4月のMicrosoftの発表について指摘するコメントがいくつか寄せられた。これは、Edgeブラウザも「Click To Flash(クリックしてFlashを再生)」方式に変更されるというものだ。発表によれば、ウェブページの中心に配置されていないFlashプラグインは自動的に一時停止されるようになり、ゲームや動画などのコンテンツはこれまで通りに実行されるという。そうしたEdgeの変更はWindows 10のアニバーサリーアップデートで提供される。

もちろん、4月の時点でこのニュースには注目していたし、MicrosoftおよびEdgeチームの英断に対しては賛辞を送りたいと思っていた。

ms-edge-logo
 Microsoft Edgeのロゴ(画像の出典元: microsoft.com)

全文はBusiness Security Insider 日本語版で。 

さよならFlash! 第2弾 – Firefox、Flashのサポートを「縮小」へ

今年初め、当社の「脅威レポート 2015年」でショーン・サリバンが、Chrome、Firefox、およびMicrosoftは、2017年までにブラウザでのFlashのサポートを段階的に縮小していくことを発表するだろうと予言した。当ブログではGoogleによるその発表について取り上げた。

そして7月20日、予言の通りに、Firefox開発者のブログでも同様の発表があった。

firefox-logo
Mozilla Firefoxのロゴ。画像の出典元: https://www.mozilla.org/

 全文はBusiness Security Insider 日本語版で。 

サイバー空間も注目のリオ五輪

リオ五輪ですが開会式を明日に控え、熱を帯びてきていますね。
ブラジル(というより南米)といったら、サイバー犯罪が多いこともあるせいか、サイバー空間での盛り上がりも個人的には注目しています。
#今のところ、被害報告などは特に何もありませんが・・・

こぢんまりとは、動きが出てきているようです。
OpR10

攻撃としては、こちらのDDoSツールの使用を呼びかけていました。(現在、削除済み)
標的は五輪公式ページではなく、政府系のサイトのようです。

Saphyra

ハクティビズムによるものが殆どではないかと思いますが、動向が気になるところです。
#日本は内閣改造による影響が、9.18でどの程度でるかが焦点かもしれませんね。。。


あなたと同じ言語への対応を試みるULTRADECRYPTER

「UltraDeCrypter」と呼ばれる、新種の暗号化ランサムウェアがネット上に出現している。

これは、AnglerエクスプロイトキットがドロップしているCryptXXXの進化形である。当社のテストで、UltraDeCrypterの暗号化解除サービスポータルに、以前にCryptXXXで使った「識別コード」を入力してみたところ、以前のCryptXXXポータルにリダイレクトされた。バックエンドがつながっている証拠だ。

支払いサポートページについて言えば、対応しようとした言語の数の多さが、UltraDeCrypterの野心の大きさを物語っている。

何か月か前のCryptoWallの支払いページがこちら。

crypto-ransomware 
全文はBusiness Security Insider 日本語版で。 

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

興味深いベトナム航空などへのサイバー攻撃報道

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

1937cn_defacement


さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


(補足)
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。
ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

まだまだある、BECの手口

先月、BEC(Business Email Compromise)の典型的な手口を紹介しつつ、注意喚起を行いました。
エフセキュアブログ : 社長のメールは真に受けるな!

このブログ記事のように社長のメールであれば無視しておけば済むんですが、BECというのは、いわゆる詐欺ですから、攻撃者は手を替え品を替え、あの手この手で襲いかかってきます。時に攻撃者はこちらがメールを無視できないという立場を巧みに利用することもあります。

まず攻撃者は企業のウェブサイト内にある問い合わせフォームからメッセージを送ります。問い合わせ内容は、「御社の新製品に興味があるので、カタログを送ってほしい」という感じです。

Contact Form
[一般的な問い合わせフォーム]

当然そういったメッセージを受け取った企業は喜び勇んで返信するでしょう。

Scheme1
[攻撃者が企業からの返信を受信したところ]

ここで、攻撃者は受信したメッセージへリプライしますが、その際にマルウェアを添付します。
Scheme2
[攻撃者がマルウェア付きメールを送信しているところ]

マルウェアの中身はこのように実行ファイル(bat,exeなど)になっています。
Scheme3
[添付ファイルの中身]

担当者は自分で送ったメールに対する返信なので、ついうっかり添付ファイルを開いてしまう・・可能性が高くなるというのが攻撃の手口です。

対策:
実行ファイルをダブルクリックしないように注意するという精神論ではどうしても限界がありますので、不特定多数の顧客から問い合わせを受け付ける人の端末では、実行ファイルの実行をシステム的に制限しておくことをおすすめします。
具体的な方法は過去の記事で紹介しています。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード