当社脅威分析チームでは、台湾を主な標的として活動するBlackTech(ブラックテック)と呼ばれる攻撃者グループが日本の特定組織に対しても攻撃を行っていることを、2017年12月以降確認しています。攻撃で使用されたマルウェアは、「PLEAD(プリード)」と呼ばれるRATであり、BlackTechが標的型攻撃で使用するマルウェアの1つです。そこで今回は、日本の組織を狙った際に用いられた「PLEAD」に焦点を当てその攻撃手口を紹介します。 「PLEAD」を使った標的型攻撃の手口 「PLEAD」を展開する攻撃手口は、確認できた限りでも、図1に示すようなDLLファイルの内包、シェルコードの利用など複数存在し、共通してDLLまたはシェルコードをメモリ上に展開して実行することで、RAT機能を持つ「PLEAD」に感染させます。 以降では、それぞれの攻撃手口について詳しく見ていきます。 図1 「PLEAD
JSOC INSIGHTは、JSOCのセキュリティアナリストによる日々の分析結果に基づき、日本における不正アクセスやマルウェア感染などのセキュリティインシデントの発生傾向を分析したレポートです。JSOCのお客様で実際に発生したインシデントのデータに基づき、攻撃の傾向について分析しているため、世界的なトレンドだけではなく、日本のユーザが直面している実際の脅威を把握することができる内容です。 JSOC INSIGHT vol.19の内容 Oracle WebLogic Serverの任意コード実行の脆弱性 送信元を秘匿した攻撃通信の増加 マルウェア感染を誘導する不審メールの増加 目次 はじめに エグゼクティブサマリ JSOCにおけるインシデント傾向 3.1 重要インシデントの傾向 3.2 注意が必要な通信について 今号のトピックス 4.1 Oracle WebLogic Serverの任意コー
当社サイバー救急センターの脅威分析チームでは、JPCERT/CCが2017年1月12日の分析だよりで報告※1している Poison IvyのAPI Hashコードを利用したPlugX(以下、PIPX)による標的型攻撃を、2017年10月頃から複数確認しています。今回は、このPIPXを分析する中で見えた、マルウェアを使用する攻撃者グループについて紹介します。PIPXの詳細な機能についての解説は、前述したJPCERT/CCの分析だよりにありますので、そちらをご覧ください。 PIPXの共通点 脅威分析チームで確認できたPIPXにはいくつかの共通点がありました。その一部を説明します。 1. ファイル情報および実行方法 PIPXをドロップ(インストール)する実行ファイルは、図1および図2に示すような、アイコンリソース情報を持つ RAR の自己解凍形式(SFX)を使用します。また、実行ファイルは、3つ
世界中でランサムウェア「WannaCry(ワナクライ)」による被害が報告されていますが、日本ではインターネットバンキングマルウェア「DreamBot(ドリームボット)」による攻撃キャンペーンも継続しています。2017年3月、日本サイバー犯罪対策センター(JC3)より、DreamBotに関する注意喚起が発表されましたが、その後も攻撃キャンペーンは継続し、2017年5月現在も週に数回「DreamBot」に感染させるための、日本語のばらまき型メールを確認しています。 図1は、5月15日と5月18日に届いた日本語のばらまき型メールの一例です。 添付ファイルは、どちらもzip形式で圧縮されており、zipファイルの中身は、実行形式のファイル(DreamBot)と「DreamBot」を不正サイトからダウンロードするjsファイルを埋め込んだ文章ファイルでした。 今回は、この日本語のばらまき型メールを利用し
ラックは、救急対応サービスを提供する専門組織「サイバー救急センター」を運営しており、24時間態勢でサイバー攻撃被害への対応支援を行っています。 本情報は、セキュリティ修正プログラムの公開・適用前にサイバー攻撃を受けていたことが原因で、プログラムを適用した後も継続して遠隔操作ウイルスによる侵入を許した事案を踏まえて、組織内部の通信を棚卸し調査する必要性を注意喚起するものです。 2016年中にサイバー救急センターが調査依頼を受けた中で、遠隔操作ウイルスに侵入されてから数カ月、長いものでは2年を超える期間発見されなかった事案が確認されています。 このうちの何件かは、Sky株式会社が2016年12月21日に公開した「SKYSEA Client View」の脆弱性が悪用されたことが確認されています。被害に遭った組織は、「SKYSEA Client View」のセキュリティ修正プログラムが公開された後
2016年10月頃から実在する組織や人物になりすまし、国内の組織に対して標的型メールが送信されていることが、JPCERT/CCより報告されました。 Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26) PowerSploitを悪用して感染するマルウエア(2017-02-10) メールの添付ファイルはzipファイルであり、解凍するとOffice文章ファイルにアイコンを偽装した悪性の実行ファイル(以降、アイコン偽装の実行ファイル)またはショートカットファイル(.lnk)が出てきます(図1)。いずれのファイルも実行するとChChesと呼ばれるボット機能を有するマルウェアに感染します。 図1アイコン偽装の実行ファイルとショートカットファイルの一例 弊社サイバー救急センターでも、この標的型メールに関して数件問い合わせがあり、マルウェアを解析しつつ、攻撃
更新情報 よく寄せられる質問へのリンクを追加しました。 お客様からお問い合わせをいただきましたので、弊社で検証した環境情報を追記しました。本文中「(2014/04/25追記)」とある部分をご覧ください。 推奨する対策に含まれる正規表現の記載を修正しました。本文中「(2014/04/25修正)」とある部分をご覧ください。 今回の脆弱性を悪用した攻撃を検知しました。 よく寄せられる質問を追加しました。 Struts 2の脆弱性を修正したバージョン2.3.16.2がリリースされたことを追記しました。 新たに割り当てられた共通脆弱性識別子CVEを追記しました。 株式会社ラック サイバー・グリッド研究所は、Apache Struts 2 に存在するとされた、リモートの第三者による任意のコード実行を許す脆弱性(CVE-2014-0094)と同様の問題がApache Struts 1 においても存在して
KDDI株式会社との事業拡大に向けた業務・資本提携の強化についてのお知らせ 2013年12月 9日 | プレス 当社は、2013年12月9日開催の取締役会において、KDDI株式会社(代表者:代表取締役社長 田中 孝司、以下、KDDIという。)との間で、事業拡大に向けた業務・資本提携の強化について決議いたしました。 なお、今回の業務提携の実効性を高めるため、KDDIは当社の筆頭株主であり主要株主である有限会社コスモス(本社:千葉県船橋市、以下、コスモス社という。)の取得を通じて、当社株式(6,889,800株、所有割合:25.8%)を間接的に追加取得し、当社との資本提携を強化するものであります。 記 1. 業務・資本提携の理由 当社とKDDIは、2007年11月にセキュリティ・ソリューション分野での業務提携を開始し、また、両社の協業を一層強固なものとするために資本提携を行いました。これにより
2013年09月25日更新 多くの通信機器がインターネットに接続され私たちの生活を便利で豊かにしてくれる一方で、国や企業等の組織に対する抗議行動の一つとして、インターネットに接続された対象組織が運営するサービスに対して、様々な攻撃行為が行われていることは皆様ご存じのとおりです。 例年9月18日前後に、このような攻撃行為が増加する傾向にあります。 攻撃件数の増加について(2012年9月18日発表、2012年9月24日更新) https://www.lac.co.jp/lacwatch/alert/20120918_000158.html 9月18日は、満州事変の発端となった事件が発生した日で、抗議活動を扇動する人がネット上の掲示板などに抗議活動に関する呼びかけを書き込み、それに呼応した人々によってサイバー攻撃が行われるといわれています。これにより、攻撃を受けたサービスの運営が停止したり、企業
セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。 本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。 本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
