phishing

決意を持った敵対者と標的型攻撃 その 1 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~

マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要、Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。 前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。                                                            標的型攻撃の実態 SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。 これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。 標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。 未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。 また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。 初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。   標的型攻撃対策の課題 標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。 ○ 悪意のある実行役が多数存在する ○ これら実行役の動機がさまざまである ○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい ○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない   では、実際にはどのような対策を立てることが可能なのか  …

決意を持った敵対者と標的型攻撃 その 1 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~ Read More »

人を見たら泥棒と思え? メールが来たら迷惑メールと思え???

少し前の話ですが、某ソーシャル ネットワーク サービスのアカウント宛に、いわゆる「ともだちリクエスト」なるものが届きました。そのサービスは「本名を公開する」タイプのもので、リクエストの送り主は以前の会社で一緒に働いていた、元同僚でした。 すぐにリクエストを承諾しようと思ったのですが、仕事が忙しかったのでその場では承諾しませんでした。 翌日、別の元同僚で今でも親しくお付き合いしている友人から次のようなメールが届きました。 「○田◇男さんから、ともだちリクエストが来なかった? あれ、偽者だから、注意してね」 えっ、偽者? 一体何のために? 友人によると、その偽者は、私が以前働いていた会社の複数の人たちに「ともだちリクエスト」を送っていたようです。リクエストを受け取ったひとりがたまたま本者の○田◇男さんと食事に出かけ、それを話題にしたことであっけなく偽者の存在が明らかになったのでした。 同様の例はあちこちで発生しているようで、身近にも同じような体験をしている人が複数いることに驚きます。偽者たちの動機はさまざまなのでしょうが、どこかの誰かが自分の名前を勝手に騙って自分の友人知人とネット上でつながろうとしている、というのはそれだけで大変気持ちの悪いものです。   危ない、危ない。知っている人からのリクエスト、ということで大して疑いもしなかった私ですが、友人からの連絡がなければ、承諾してしまっていたかも知れません。素直に信じてしまうのは、自分の警戒心が薄いのか、騙すほうのテクニックが長けているのか(この場合、テクニックというほどのものではありませんが) ? いずれにせよ、次回からはこのようなリクエストが来ても、本人からのものであるという確証が持てるまでは承諾するのは控えようと思いました。   ともだちリクエストの話はさておき、最近、ウイルスを使った新しいフィッシング詐欺が出現し、数百万もの被害が発生しているようです。 先日IPAが注意喚起していましたが、このフィッシング詐欺は、 1) 大手銀行を装った文面で、ウイルスが添付されたメールが送られる 2) メールに従って添付ファイルを開くと、送金手続きに必要な契約者番号やパスワードを入力するように促す画面が現れる 3) 情報を入力して送信すると、外部サーバーに情報入力済み画面が画像データとして送られ、契約者番号、パスワード等を盗まれる というもので、従来のフィッシング手口のように、偽のウェブサイトに利用者を誘導するものとは違い、メールの添付ファイルそのものに情報を入力させるものです。が、手口は非常に単純です。なのに、なぜ引っ掛かってしまうのでしょう? 自分が契約している金融機関からのメール、ということで安易に信用してしまうのでしょうか。 いずれにせよ「自分の知人」「自分の契約している金融機関」という判断をした段階で警戒心をオフにしてしまうボタンが作動することは間違いないようです。 いつも「これって本物?」と考える警戒心を持たなくてはいけないのは、何とも寂しいことですが、必要なことですね。   ところで、昨日、アップル社のスティーブ ジョブス元CEOがこの世を去りました。 IT業界の生みの親のひとりであるジョブス氏の逝去に、私も深い悲しみを覚えています。 ジョブス氏は、ITで人々の可能性を広げ楽しく豊かな世界を築くことを目指していました。 それが実現されたことは、皆さんもご存じのとおりですが、彼がアップルを設立した30数年前、マルウェアやフィッシングが横行するような今日の世の中を予見していたでしょうか?  偉大なるリーダー亡き後も、創造力溢れ楽しく豊かなITの世界が続いていくように、私たちも IT 業界の片隅で「安全なコンピューティング環境」を守るために尽力していきたいと思います。 ありがとう、そして、さようなら、スティーブ ジョブス…

2010 年下半期のセキュリティ脅威の動向

先週の金曜日 (2011/5/13) に、セキュリティ インテリジェンス レポート (SIR) 第 10 版を公開しました。 SIR は、エクスプロイト、脆弱性、マルウェアについて、全世界の 6 億台以上のシステム、インターネット サービス、マイクロソフトのセキュリティ センター (MMPC、MSEC、MSRC) のデータを基に、セキュリティの脅威の動向を分析したレポートです。 半期ごとに公開しているレポートですが、今回で第 10 版目となりました。この第 10 版では、2010 年下半期 (7 月から 12 月) に焦点を当て分析しています。  どういった内容のレポートがされているのか、ほんの一部だけご紹介します。  以下は、2010 年の月別のフィッシングインプレッションの構成比を示しています。フィッシング インプレッションは、Internet Explorer で既知のフィッシングサイトを訪問しようとしてブロックされたユーザーの単一のインスタンスです。 このグラフから、どういった種類のサイトがフィッシング攻撃の標的とされているかがわかります。 フィッシング サイトの種類別のインプレッション (2010 年、各月の構成比)   以前は、金融機関のサイトがフィッシング攻撃の最大の標的となっていました。しかし、2010 年の後半には金融機関のサイトからソーシャル ネットワーク サイトに標的が変化しています。1 月には 8.3% にすぎなかった値が、12 月には 84.5% にまで上昇しました。数の多い金融機関の場合、フィッシング攻撃者は各社サイトをそれぞれフィッシング攻撃用にカスタマイズする必要がありますが、ソーシャルネットワーク サイトの場合、ごく一部の人気サイトに多数のユーザーが集中するため、1 サイトあたりで標的にできる人数が多くなり、効果的な攻撃が可能となります。このため、標的とされることが増加していると考えられています。 日本では、まだソーシャル ネットワーク サイトを標的としたフィッシング …

2010 年下半期のセキュリティ脅威の動向 Read More »

不正なデジタル証明書に関する新規アドバイザリ 2524375 を公開

 本日、マイクロソフトは、不正なデジタル証明書に関する セキュリティ アドバイザリ 2524375 を公開しました。このアドバイザリは、マイクロソフトの製品の問題についてではなく、大手認証機関である Comodo 社より報告を受けた 9 つの不正なデジタル証明書が署名されたことによって、Internet Explorer のユーザーがフィッシング詐欺などの被害に遭う可能性と、Windows ユーザーがこの問題に対しどのように対処すればよいか記述しています。 既に Comodo 社は、不正なデジタル証明書が利用できなくなるよう、デジタル証明書を失効させていますが、コンピューターを利用するネットワーク環境によっては、デジタル証明書の失効処理が正常に動作しない可能性があります。そのため、デジタル証明書の失効確認が正常に動作しなくても、フィッシング詐欺などの被害に遭わないよう、更新プログラム 2524375 をインストールすることをお勧めします。なお、通常、大多数のお客様は自動更新が有効な設定になっており、この更新プログラムが自動的にダウンロードされインストールされますので、このアドバイザリに対する特別な操作は必要ありません。 もし、該当するデジタル証明書が失効されているか確認したい方は、セキュリティ アドバイザリ 2524375 に記載されている「更新プログラムを適用した後、信頼されていない証明書のフォルダー内の証明書をどのように検証することができますか?」の項目をご確認ください。