三井物産セキュアディレクション セキュリティ診断なら

MBSD Blog (サイバーインテリジェンスグループ, Cyber Intelligence Group)

 先進あるいは新解釈に基づくサイバーセキュリティ動向を当社スペシャリストがわかりやすく解説します。
 MBSD's cyber-experts discuss the latest or a new interpretation of cyber security trends.

title1

file2017.11.02

Bad Rabbit の横展開に関わるワーム活動において、セキュリティベンダー各社とも当初は脆弱性を利用しないものと想定していましたが、10/26になりTalos(Cisco)からEternalRomanceを利用しているという情報(※1)が発信されました。
我々は、実際の挙動として脆弱性が利用されていることを確認する為、十分強固なユーザー名及びパスワードの設定、かつ、パスワードダンプツールによって盗み取られる認証情報ではログインできない環境を作成し横展開に関する実検証を行ったところ、該当環境においてもネットワークを介しBad Rabbit に感染する状況を確認しました。さらに同一環境に対しMS17-010の更新プログラムを適用した後に再度検証を実施した結果、横展開による感染が行われなくなったことも併せて確認しました。

file2017.10.27

2017年10月24日頃からウクライナやロシアを中心に「Bad Rabbit」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。
結論から述べると、「Bad Rabbit」はNotPetyaのように横展開を行うワーム挙動を持ち、ファイルの暗号化の他、ディスクも暗号化対象に含むランサムウェアとなります。この、ディスクの暗号化や、認証情報/パスワードを利用して横展開するワーム活動を行う挙動を持つ点等はNotPetyaと同じであり、NotPetyaと同様の注意や対策が必要です。

file2017.10.18

「ランサムウェア」という言葉はWannaCryの事件以降、一般にもそれなりに広く浸透したものと思われますが、「スクリーンロッカー(Screen Locker)/偽ランサムウェア」(※)という言葉はあまり知られていないのではないでしょうか。
世の中には「ランサムウェア」と関係・類似していながら「ファイルを暗号化しない」という共通点を持つ脅威が存在します。さらに、ランサムウェアそのものであっても(攻撃者の意図は別として)「ファイルを暗号化しない」種類が存在します。

file2017.10.12

弊社マルウェア解析チームでは日々多くのランサムウェアを収集・分析していますが、今年9月上旬に確認された「HkCrypt」と呼ばれるランサムウェアが複数のUAC回避テクニックを使用し権限昇格を実現していることを確認しました。

file2017.07.11

 6月末にウクライナを中心とし海外で被害を拡大させた「Petya」「GoldenEye」「NotPetya」などと呼ばれるMBR破壊型ワームランサムウェアですが、攻撃発覚後しばらく経過してもこうしてランサムウェアの名前が未だに統一されないのは、複数のランサムウェアやマルウェアに類似する特徴やコードがあるものの、それらが微妙に異なっており、同種と言いきれないような状態にある点がその要因の一つと考えられます。
 弊社マルウェア解析チームでは、継続した調査を実施した結果、このMBR破壊型ワームランサムウェアにさまざまな工夫や独自性があることを確認しており、作成者像としては、近年のマルウェアやランサムウェアの有効な機能をうまく取り入れ効果的に組み合わせられる高度な技術を持った者(または組織)であると想定しています。

file2017.06.30

現在、ウクライナを中心に「GoldenEye」「Petya」「PEtrwrap」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。
この記事では弊社マルウェア解析チームが現時点までに調査した調査内容を掲載します。
はじめに脅威の全体像を簡潔に記載した上で、後半ではより細かい分析結果を中心に解説していきます。

file2017.06.29

 WannaCry 2.0の騒動が発生してから一ヶ月半程が経過しました。騒動の発生時からWannaCry 2.0が利用する「EternalBlue」および「DoublePulsar」について繰り返し報道されてきたこともあり、これら2つのキーワードはかなり認知され耳に残る単語になったのではないかと思います。
 他方で、この2つがどのように機能しWannaCry 2.0のワーム活動が構成されているか、すなわちEternalBlueとDoublePulsarの役割や境界線について、詳細な情報はありつつも断片的なものが多く、整理し終えないまま話題として収束しつつあるように感じています。
 本記事では検証と解析を通じて事実を整理するとともに、ワーム活動におけるフローに焦点を当てつつ、WannaCryによって設置されるDoublePulsarが持つリスクについて言及します。

file2017.06.07

弊社では、前回のブログ記事において、一連のWannaCry攻撃の中で利用されたワーム型マルウェアのリソースファイルを改変した亜種の出現可能性について注意喚起を行っていましたが、今回、それに該当する亜種を確認しました。
(WannaCryは前回のブログで言及した通り、ワーム機能とランサムウェアの機能が分離していることから、ワーム機能を持つバイナリをドロッパー①、ランサムウェアの機能を持つバイナリをドロッパー②として以降記載します)

file2017.05.18

ここ連日ランサムウェア「WannaCry」が世間を騒がせています。
弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。
本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。

file2017.04.06

世界で多くのランサムウェアが日々出現している中、他のランサムウェアと比較すると突出して洗練されている印象を受けるのが「Cerber」と呼ばれるランサムウェアです。「Cerber」は2016年初頭に出現して以来、音声による脅迫や不正広告を介した拡散など、常に新しい技術を挑戦的に取り入れてきたことで知られています。
今回弊社が調査した最新の「Cerber」では、過去に「Gumblar(ガンブラー)」や「Downadup(ダウンアド)/Conficker(コンフィッカー)」等世界的に感染を拡大させたマルウェアなども利用していた「サーバサイドポリモーフィズム」の手法を利用していることを確認しました。

file2017.03.31

ランサムウェアの新種の出現はもちろんですが、亜種の出現に関しても日々絶えることはありません。ここ最近では、国外で「AngleWare」と呼ばれるランサムウェアが発見されたという情報が流れています。
 弊社のマルウェア解析チームにて「AngleWare」の検体を入手し解析を行った結果、過去にオープンソースとしてgithubに公開されたことで有名な「Hidden Tear」のコードと酷似する点が複数あることを確認しました。

file2017.03.24

 ランサムウェアの脅威は収まる気配なく、日々新たなランサムウェアが増え続けています。
 弊社では、昨年度にランサムウェアの検知および防御に関する国内初の特許を取得しており、その特許技術を搭載したランサムウェア対策専用ソフトウェア「MBSD Ransomware Defender(仮)」を現在開発しており、日々新たに出てくるランサムウェアに対応できていることを確認済みです。

file2016.10.06

 ランサムウェアの急増に関する記事が連日世界中で掲載されています。
 既存のアンチウィルス製品では高度な検知機能により、ある程度ランサムウェアを防ぐことができる場合もありますが、高度化するランサムウェアを完全に防ぎきることはできない状況となっています。
 そのため、ランサムウェア感染に対する有力な対策方法として「事前にバックアップを取得しておく」方法が強く謳われていますが、ランサムウェアによるファイルの「暗号化」自体を防御する方法についてはあまり取り上げられておらず、深く議論されていないように感じます。

ページトップにページトップへ


執筆者一覧 (Authors)


space

執筆者一覧 (Authors)


space

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171