APT

攻撃方法について知る

潜む影:BYODならぬBYOVD攻撃とは?

- デバイスの脆弱性を利用した新たな脅威近年、多くの企業で、従業員の利便性向上と業務効率化のために、私物のパソコンやスマートフォンなどを業務に利用することを許可するBYOD(Bring Your Own Device)が導入されています。このBYODは、従業員にとって柔軟な働き方を促進するメリットがある一方で、企業のセキュリティ対策担当者にとって頭を悩ませる新たなリスクをもたらす可能性も孕んでいます。その新たな脅威の一つとして、「BYOVD攻撃」が近年、注目されています。BYOVD攻撃とは、「Bring Your Own Vulnerable Driver攻撃」の略で、攻撃者が標的のデバイスに潜む脆弱性を持つデバイスドライバを悪用して、企業のシステムへの侵入を試みる攻撃手法です。デバイスドライバとは、パソコンやスマートフォンなどの機器に接続された周辺機器(プリンターやカメラなど)と、機器本体のOS(オペレーティングシステム)との間でデータのやり取りを仲介するソフトウェアのことです。このBYOVD攻撃では、攻撃者はまず、標的となる企業の従業員が業務で使用しているデバイスに、脆弱性を持つデバイスドライバが存在するかどうかを調べます。そして、脆弱性が見つかった場合、その脆弱性を突くように細工された悪意のあるプログラムを送り込みます。このプログラムを通じて、攻撃者は、本来アクセスできないはずの企業システムに不正に侵入し、機密情報窃取やシステムの破壊といった深刻な被害を与える可能性があります。BYODの導入が進む一方で、従業員が業務で使用するデバイスのセキュリティ対策は企業にとって大きな課題となっています。BYOVD攻撃のような巧妙化する脅威から企業システムを守るためには、従業員へのセキュリティ意識向上のための教育や、デバイスの脆弱性を定期的に検出して修正する対策など、多層的なセキュリティ対策を講じることが重要です。
マルウェア対策

Fortinet機器を狙う新たな脅威:BOLDMOVEとは

- 高度なバックドア型マルウェア近年、情報セキュリティの分野では、国家の支援を受けた高度な技術を持つサイバー攻撃集団による脅威が増大しています。特に、特定の組織や企業に侵入し、長期にわたって機密情報を窃取する「持続的標的型攻撃(APT)」と呼ばれる攻撃手法が深刻化しています。今回取り上げる「BOLDMOVE」も、APT攻撃に用いられる高度なバックドア型マルウェアの一つです。このマルウェアは、ネットワーク機器大手のフォーティネット社製の製品に存在する脆弱性を突いて、組織内部のネットワークに侵入します。そして、外部からの遠隔操作を可能にすることで、攻撃者に機密情報へのアクセスを許してしまう危険性があります。BOLDMOVEの特徴は、プログラミング言語Cで開発されている点です。C言語は処理速度が速く、コンピュータの資源を効率的に利用できるため、マルウェア開発においては高度な技術を持つ攻撃者に好んで用いられます。セキュリティ企業マンディアント社の調査によると、BOLDMOVEは2022年以降、ヨーロッパの政府機関やアフリカの通信サービス事業者に対するサイバー諜報活動に利用されていることが明らかになっています。さらに、中国を拠点とするAPT集団との関連性も指摘されており、国家の支援を受けた組織的な攻撃活動の一端を担っている可能性が懸念されます。このような高度なバックドア型マルウェアの脅威から組織を守るためには、最新の情報に注意し、セキュリティ対策ソフトの導入や脆弱性の解消など、多層的な対策を講じることが重要です。
マルウェア対策

防衛産業を狙う脅威:BLINDINGCANとは

近年、特定の国家の支援を受けたサイバー攻撃が世界中で猛威を振るっています。様々な国がサイバー空間を新たな戦場として認識し、力を注いでいることがうかがえます。中でも、北朝鮮のハッカー集団「Lazarus(ラザルス)」による攻撃は、その高度な技術と執拗さで国際社会から注目を集めています。 Lazarusは、金銭を目的とした攻撃から、国家機密の窃取、さらには標的とする組織のシステム破壊活動まで、多岐にわたる目的でサイバー攻撃を仕掛けているとみられています。彼らが用いる手口は巧妙化しており、標的とする組織のシステムに気づかれずに侵入する能力は、非常に高いレベルにあります。さらに、Lazarusは攻撃目標を達成するために、数か月、あるいは数年単位で入念に準備を行うなど、長期にわたって執拗に攻撃を継続する特徴も持っています。 このようなLazarusの活動は、世界中の企業や組織にとって大きな脅威となっています。彼らに対抗するためには、最新のセキュリティ対策技術の導入だけでなく、従業員に対するセキュリティ意識向上のための教育なども必要不可欠と言えるでしょう。
攻撃方法について知る

Axie Infinity:NFTゲームの光と影

- NFTゲームの代表格 「アクシー・インフィニティ」は、ベトナムのゲーム開発会社スカイメイビスが作り出した、NFT(代替不可能なデジタル資産)を基盤としたオンラインゲームです。 プレイヤーは、アクシーと呼ばれる個性豊かなモンスターを育て、他のプレイヤーと対戦したり、力を合わせて冒険に出かけたりすることができます。 このゲームの最も注目すべき点は、ゲーム内で手に入るアイテムやキャラクターがNFTとして売買できることです。プレイヤーはゲームを楽しむことで報酬を獲得できるだけでなく、NFTを売買することで利益を得ることも可能です。 この「遊んで稼ぐ」ことができる仕組みは、世界中で大きな話題となりました。 アクシー・インフィニティは、NFTゲームの可能性を世界に示し、多くの人々に新しい収益の形を提供しました。 しかし、ゲームの成功は、投機的な目的での参加者を増やす結果にもつながりました。ゲーム内通貨の価値変動や、新規参入者の減少など、課題も浮き彫りになっています。 アクシー・インフィニティは、NFTゲームの進化における重要な一歩であると同時に、その未来を考える上での課題も提示しています。 今後のNFTゲームは、持続可能な経済圏の構築や、ゲームとしての面白さの追求など、さらなる進化が求められています。
セキュリティ評価

守るべき価値を明確に:クラウンジュエルとは

企業にとって、その事業の根幹を支え、将来を左右する重要な情報資産が存在します。それは、まるで王冠に飾られた宝石のように、かけがえのない価値を持つことから「クラウンジュエル」と例えられます。 クラウンジュエルは、具体的には企業の機密情報、顧客情報、財務データ、技術情報などを指します。これらの情報は、企業の競争優位性を築き、事業を成長させるための源泉となるものです。顧客情報はその企業に対する信頼の証であり、技術情報は長年の研究開発の成果と言えるでしょう。財務情報は企業の健全性を示す重要な指標であり、これらが外部に漏洩してしまうと、企業は経済的な損失を被るだけでなく、社会的信用を失墜させ、顧客や取引先からの信頼を失ってしまう可能性があります。 近年、サイバー攻撃の巧妙化が進み、企業の情報資産を狙った攻撃は後を絶ちません。そのため、クラウンジュエルを適切に保護することは、企業にとって喫緊の課題となっています。企業は、ファイアウォールや侵入検知システムなどのセキュリティ対策を導入するだけでなく、従業員へのセキュリティ意識向上研修などを実施し、組織全体で情報セキュリティ対策を強化していく必要があります。
組織・期間

サイバー空間の特殊部隊:CyberSpetsnazとは

2022年、世界中がロシアによるウクライナ侵攻の衝撃に震撼する中、電脳空間にも新たな脅威が出現しました。それは「サイバースペツナズ」、別名「レギオン・サイバースペツナズ」と呼ばれる集団です。突如として姿を現した彼らは、高度な技術と明確な目的を持つ集団として、国際社会から大きな注目を集めています。 サイバースペツナズは、その名の通りロシア語で特殊部隊を意味する「スペツナズ」になぞらえられた名称です。彼らは、ウクライナ侵攻を支持する立場を明確にしており、高度なサイバー攻撃能力を駆使して、ウクライナ政府や西側諸国の政府機関、企業などを標的にした攻撃を仕掛けています。具体的には、ウェブサイトの改ざんやサービスの妨害といった攻撃に加え、機密情報の窃取や重要インフラの機能停止を狙った攻撃なども報告されています。 彼らサイバースペツナズの攻撃の特徴は、その高度な技術力と組織力にあります。従来のハッカー集団とは一線を画す、綿密な計画と周到な準備に基づいた攻撃を特徴としており、その背後には、国家レベルの支援があるのではないかとの見方も出ています。 サイバースペツナズの出現は、国際社会に大きな課題を突きつけています。それは、サイバー空間における脅威が、従来の国家間の武力衝突とは異なる次元で、より複雑化・深刻化しているという現実です。見えざる敵である彼らに対抗するためには、国際社会が協力して、サイバーセキュリティ対策を強化していくことが不可欠となっています。
マルウェア対策

サイバー攻撃の脅威:Cyclops Blinkとは?

サイバー空間における脅威は日々深刻化しており、国家の支援を受けたハッカー集団の存在はその最たる例と言えるでしょう。中でも「サンドワーム」というコードネームで知られる集団は、世界中のセキュリティー専門家を長年に渡り翻弄し続けてきました。 サンドワームは、ロシア軍参謀本部情報総局(GRU)の指揮下にあると強く疑われており、これまでに数々の悪質なサイバー攻撃に関与してきたとされています。彼らの標的は極めて広範囲に及び、政府機関や重要な社会インフラはもちろんのこと、民間企業もその例外ではありません。攻撃の目的も、機密情報の窃取やシステムの破壊、さらには社会的な混乱を引き起こすことなど、多岐に渡ると考えられています。 そして、サンドワームが新たに開発し、世界中のセキュリティー機関から警戒されているのが、「サイクロプス・ブリンク」と呼ばれるマルウェアです。このマルウェアは、感染した機器をひそかに乗っ取り、外部からの指示で様々な活動を autonomously に行うことが可能です。その挙動は極めて巧妙であり、発見と駆除が非常に困難であることから、世界中の組織にとって深刻な脅威となっています。
攻撃方法について知る

オーロラ作戦:国家規模のサイバー攻撃の実態

- はじめにと題して 2010年に世界を震撼させたサイバー攻撃、「オーロラ作戦」。高度な技術を用い、国家の関与も噂されるこの事件は、世界中に衝撃を与え、サイバーセキュリティの重要性を改めて認識させる大きな転機となりました。 一体どのような事件だったのでしょうか。 標的となったのは、世界中の企業や政府機関、そして重要なインフラを支えるシステムでした。高度な技術を駆使した攻撃は、機密情報の盗難やシステムの破壊など、甚大な被害をもたらしました。 この事件は、サイバー攻撃が単なるいたずらや嫌がらせではなく、国家レベルの安全保障や経済活動にも影響を及ぼす重大な脅威となりうることを世界に知らしめました。 事件の背景には、国際的な政治対立や経済的な利益相反などが複雑に絡み合っていると言われています。 オーロラ作戦は、サイバー空間における攻防が激化する現実を突きつけると共に、私たち一人ひとりがサイバーセキュリティについて真剣に考える必要性を突きつけたと言えるでしょう。
攻撃方法について知る

攻撃の道具となるRemCom:その脅威を理解する

- RemComとは RemCom(RemoteCommandExecutor)は、遠く離れた場所にあるWindowsパソコンを操作できる、無料で誰でも使えるツールです。 -# システム管理の効率化を目的としたツール RemComは、本来、システム管理者が複数のコンピュータを効率的に管理するために開発されました。離れた場所からコマンドを実行することで、例えば、ソフトウェアのインストールやアップデート、ファイルの転送などを、それぞれのコンピュータに直接アクセスすることなく、一括で行うことができます。 -# 利便性の裏に潜む悪用のリスク しかし、このように便利な機能を持つRemComは、悪意を持った第三者に悪用される危険性も孕んでいます。もし、悪意のある第三者がRemComを不正に利用した場合、離れた場所からあなたのコンピュータを自由に操作されてしまう可能性があります。 -# セキュリティ対策の重要性 このようなリスクからコンピュータを守るためには、ファイアウォールやセキュリティソフトを導入し、常に最新の状態に保つことが重要です。また、不審なメールに記載されたリンクをクリックしたり、信頼できないウェブサイトにアクセスしたりしないなど、自らの行動にも注意が必要です。 RemComは便利なツールですが、その使用には十分な注意が必要です。セキュリティ対策を万全にし、安全に利用しましょう。
攻撃方法について知る

APT:知られざる脅威の実態

近年、企業や組織を狙った悪意のある攻撃は、より巧妙さを増しています。従来の手口では考えられないような、高度な技術が使われることも珍しくありません。中でも、企業や組織にとって深刻な脅威となっているのが、「APT(高度な執拗な脅威)」と呼ばれる攻撃です。 APTは、高度な知識や技術、豊富な資金力を持つ集団や個人が、特定の標的を狙って、執拗に攻撃を仕掛けてくることを指します。目的を達成するために、数週間、数ヶ月、あるいは数年にわたって、ひそかに攻撃を継続するケースも少なくありません。 従来型の攻撃は、システムのセキュリティホールを突いて、短期間で不正アクセスを試みるものがほとんどでした。しかしAPTは、特定の組織の内部に侵入することを目的としています。そのため、メールやWebサイトなどを悪用し、組織の関係者をだまして、コンピュータウイルスに感染させるなど、人の心理的な隙を突いて侵入を試みます。そして、侵入に成功すると、情報を盗み見するためのプログラムを埋め込んだり、システムを自由に操作できるようにしたりして、機密情報を探し出します。 APTは、その特性上、被害に気づくのが遅れてしまい、大きな損害を受けてしまう可能性があります。そのため、企業や組織は、APTの脅威を正しく認識し、対策を講じていくことが重要です。
組織・期間

APT10: 日本を狙うサイバースパイ集団

現代社会において、情報通信技術は私たちの生活に欠かせないものとなり、企業活動もその影響を強く受けています。それと同時に、目に見えない電子の世界における脅威、いわゆるサイバー攻撃の危険性も増大しています。特に、国家の支援を受けた高度な技術を持つサイバースパイ集団による攻撃は、私たちの想像をはるかに超える深刻な被害をもたらす可能性があります。 彼らは、高度な知識と技術を駆使し、機密情報の窃取や重要インフラの破壊、企業活動の妨害など、国家の安全保障や経済に大きな影響を与えることを目的としています。 中でも、日本への攻撃が目立つAPT10と呼ばれる集団は、その活動の活発さと攻撃対象の広範さから、大きな脅威として認識されています。彼らは、日本の政府機関、民間企業、研究機関など、幅広い組織に対して、執拗なサイバー攻撃を仕掛けています。 今回は、このAPT10について、その特徴や手口、そして私たちが取るべき対策について詳しく解説していきます。
組織・期間

APT-C-23: イスラエルを狙うサイバー脅威

- APT-C-23とは APT-C-23は、高度な技術と戦略を用いて、特定の標的に対し長期間にわたり執拗なサイバー攻撃を仕掛ける集団に付けられた名称です。このような集団は、国家の支援を受け、高度な持続的脅威(APT)を実行していると考えられています。APT-C-23は、中東地域、特にイスラエルの組織や企業を狙った攻撃で知られています。 APT-C-23は、標的に侵入するために、巧妙に偽装したメールや悪意のあるソフトウェアを使用します。標的のシステムに侵入すると、情報を盗み出したり、システムを破壊したりするなどの活動を行います。彼らの攻撃は、その持続性と高度な技術により、発見が難しく、大きな被害をもたらす可能性があります。 APT-C-23の攻撃対象は、政府機関、軍事機関、防衛産業、金融機関など、機密情報や重要なインフラストラクチャを持つ組織に及びます。彼らの目的は、金銭の窃取や政治的な目的達成など、様々であると考えられています。 APT-C-23の攻撃から身を守るためには、セキュリティ対策ソフトウェアの導入、従業員へのセキュリティ意識向上のための教育、怪しいメールやリンクを開かないなど、多層的な対策が必要です。
組織・期間

APT37:北朝鮮のサイバー攻撃部隊の実態

北朝鮮政府とつながりがあるとされる、高度で継続的な脅威を与える集団であるAPT37は、様々な別名で呼ばれています。セキュリティ企業からは、リコシェ・チョリマ、インキー・スクイッド、スカークルフト、リーパーなど、様々な名前で呼ばれており、混乱を招きがちです。これは、サイバーセキュリティ業界において、攻撃者を特定し、その活動を追い続けるために、様々な命名規則や分析手法が用いられているためです。このような状況は、セキュリティ対策を講じる側にとって、情報共有や対策の連携を難しくする要因の一つとなっています。 APT37は、高度な技術力と執拗な攻撃で知られており、標的は韓国の政治、軍事、経済に関連する組織や個人に集中しています。彼らが使う手口は、スピアフィッシングメールや悪意のあるウェブサイトを通じて、標的のコンピュータにマルウェアを感染させるというものです。そして、盗み出した情報を元に、更なる攻撃を仕掛けたり、偽情報の発信による混乱を狙ったりします。APT37は、国際社会の平和と安全を脅かす存在として、各国政府やセキュリティ機関から警戒されています。
組織・期間

APT29: その実態と脅威

- APT29とはAPT29は、国家の支援を受け、高度な技術と戦略を用いて、長期にわたり執拗なサイバー攻撃を仕掛ける集団です。この集団は、ロシア対外情報庁(SVR)との関連が強く疑われており、その活動は世界中に及びます。APT29の主な標的は、西側諸国の政府機関や重要なインフラを管理する組織、防衛産業、シンクタンク、メディアなど多岐に渡ります。彼らの目的は、機密情報の窃取や諜報活動、場合によっては破壊活動を行うことだと考えられています。この集団は、IRONRITUALやCozyBear、NOBELIUMなど、様々な別名で呼ばれており、これは彼らの活動の広範さと、相手に痕跡を残さず身元を隠す高度な能力を示しています。APT29は、Spear Phishingと呼ばれる、特定の個人や組織を狙った巧妙なメールを用いて攻撃を開始することで知られています。これらのメールには、悪意のあるソフトウェアへのリンクや添付ファイルが含まれており、これを開くことで標的のシステムに侵入します。APT29は、侵入に成功すると、検知を回避するために高度な技術を用いながら、長期間にわたり潜伏します。そして、機密情報を探し出し、それを盗み出すために、システムやネットワーク内を自由に移動します。APT29の活動は、国家安全保障や経済に深刻な脅威を与える可能性があります。そのため、世界中の政府やセキュリティ機関が、彼らの活動を監視し、対策を強化しています。
組織・期間

APT28: 国家の支援を受ける高度なサイバー攻撃集団

- APT28とはAPT28は、高度な技術と潤沢な資金を持つサイバー攻撃集団であり、国家の支援を受けていると強く疑われています。標的に気づかれることなく、長期間に渡って潜伏し、機密情報を盗み出す能力を持っていることから高度な持続的脅威(APT)と呼ばれています。数々のサイバー攻撃に関与してきたとされており、その背後にはロシア軍参謀本部情報総局(GRU)の存在が疑われています。GRUは、ロシア軍の諜報機関であり、APT28はそのサイバー攻撃能力を駆使して、ロシア政府にとって有益な情報を収集していると見られています。APT28は、その高度な技術力と豊富な資源を駆使し、標的組織のネットワークに侵入するために、様々な手口を用います。特に、標的型攻撃メールを用いることが多く、受信者をだまして悪意のある添付ファイルやリンクを開かせることで、コンピュータにマルウェアを感染させます。一度、標的組織のネットワークに侵入すると、APT28は検知を回避しながら、長期に渡って潜伏します。そして、機密情報が保存されているシステムを探し出し、機密情報や知的財産などを盗み出します。APT28は、世界中の政府機関、軍事機関、民間企業などを標的にしており、その活動は、国際社会にとって大きな脅威となっています。
マルウェア対策

RansomBoggs:ウクライナを標的とする新たな脅威

- RansomBoggsとはRansomBoggsは、2022年12月に初めて確認された、比較的新しいランサムウェアです。ランサムウェアとは、感染したコンピュータ内のファイルを暗号化し、その復号と引き換えに金銭を要求する悪意のあるソフトウェアです。暗号化されると、ファイルは利用できなくなり、攻撃者は被害者に対してファイルのロックを解除する復号鍵と引き換えに身代金を要求します。RansomBoggsは、その出現から間もなく、ウクライナの複数の組織を狙って攻撃を仕掛けていることが確認されました。これは、世界情勢を鑑みると、RansomBoggsが政治的な動機を持つ攻撃者に利用されている可能性を示唆しています。RansomBoggsは、他のランサムウェアと同様に、スパムメールや悪意のあるウェブサイトを通じて拡散すると考えられます。具体的には、これらのメールには、悪意のある添付ファイルが含まれている場合や、だまされてクリックすると悪意のあるウェブサイトに誘導されるリンクが含まれている場合があります。また、ソフトウェアの脆弱性を悪用して拡散する可能性もあります。RansomBoggsの攻撃から身を守るためには、不審なメールの添付ファイルを開封しない、信頼できないウェブサイトにアクセスしないなど、基本的なセキュリティ対策を徹底することが重要です。さらに、OSやソフトウェアを常に最新の状態に保つことで、脆弱性を悪用されるリスクを低減できます。RansomBoggsは、まだ新しいランサムウェアであるため、その全体像は明らかになっていません。しかし、その攻撃の手口や標的の選び方から、非常に危険なランサムウェアであると言えるでしょう。
組織・期間

ウクライナを狙うAPT集団 Gamaredon

- GamaredonとはGamaredonは、ウクライナに対して長年にわたって執拗なサイバー攻撃を仕掛けてきた、高度な技術と組織力を持つサイバー攻撃集団です。別名としてShuckwormやArmageddonとも呼ばれており、その活動は2014年、ロシアによるクリミア半島占領が開始された頃から確認されています。Gamaredonの主な標的はウクライナ政府やその関連組織、そして重要インフラです。具体的には、政府機関、軍事組織、航空宇宙産業、エネルギーセクターなどが標的となっており、ウクライナの安全保障と社会の安定を揺るがすことを目的としていると見られています。彼らは、標的に侵入するために、巧妙に偽装したメールや悪意のあるソフトウェアを使用します。特に、標的となる組織の関係者を装ったメールを送り付け、添付ファイルを開かせたり、偽のウェブサイトに誘導したりすることで、コンピュータに侵入を試みます。そして、侵入に成功すると、情報を盗み出したり、システムを破壊したりするなど、様々な攻撃を行います。Gamaredonは、その高度な技術力と執拗な攻撃によって、ウクライナにとって重大な脅威となっています。ウクライナ政府は、Gamaredonの攻撃に対抗するために、国際的な協力体制を築きながら、セキュリティ対策の強化に取り組んでいます。
攻撃方法について知る

サイバー攻撃の兆候?ビーコンを見つける

- ビーコンとはビーコンという言葉は、もともと船舶などが安全な航行のために位置や危険を知らせる、灯台や信号火のようなものを指します。しかし、情報セキュリティの分野では、これとは少し異なる意味合いで使われています。サイバー攻撃において、攻撃者は侵入したコンピュータを自由に操るために、悪意のあるプログラムを埋め込みます。このプログラムは、まるで密かに敵地に築かれた拠点のように、攻撃者の指令を待ち受け、情報を外部に送信する役割を担います。そして、この拠点構築のために用いられるプログラムの一つが、ビーコンと呼ばれているのです。ビーコン型攻撃の特徴は、潜伏性の高さにあります。感染したコンピュータは、一見すると普段と変わらないように動作するため、ユーザーは異常に気づくことができません。その間に、ビーコンは外部のサーバーと断続的に通信を行い、攻撃者の指示を待つのです。指示の内容は、機密情報の窃取や、他のコンピュータへの攻撃など、多岐にわたります。近年では、このビーコンを用いた攻撃が巧妙化しており、検知がより困難になっています。そのため、セキュリティ対策ソフトの導入や、最新の情報へのアップデートなど、日頃からの対策を怠らないことが重要です。
組織・期間

日本を狙う新たな脅威:MirrorFaceとは

- サイバー攻撃集団MirrorFaceの概要近年、高度な技術と組織力を駆使し、特定の標的に対して長期にわたって執拗に攻撃を仕掛けるサイバー攻撃集団の存在が確認されています。こうした集団は「APT(持続的標的型攻撃)」と呼ばれ、世界中の企業や組織にとって大きな脅威となっています。 セキュリティ企業ESETによって発見された「MirrorFace」も、こうしたAPTの一つと考えられています。MirrorFaceは、その活動拠点が中国にあるとみられ、主に日本を含むアジア太平洋地域の国々に対して、機密情報や知的財産の窃取を目的とした攻撃を仕掛けているとESETは分析しています。 MirrorFaceの特徴として、ESETは別のサイバー攻撃集団である「APT10」との関連性を指摘しています。APT10は、これまでに世界中の企業や政府機関に対して、大規模なサイバー攻撃を仕掛けてきたことで知られています。ESETは、MirrorFaceが使用する攻撃手法やツールが、APT10が過去に使用したものと酷似していることから、両者が同一の組織によって運営されているか、あるいは密接に連携していると推測しています。 MirrorFaceによる被害を防ぐためには、彼らがどのような手口で攻撃を仕掛けてくるのかを理解し、適切な対策を講じることが重要です。特に、MirrorFaceは標的となる組織のネットワークに侵入するために、巧妙に偽装したメールや悪意のあるソフトウェアを使用することが知られています。そのため、不審なメールを開封しない、信頼できないソフトウェアをインストールしないなど、基本的なセキュリティ対策を徹底することが重要です。
組織・期間

Emotetを操る影の集団: MummySpider

- EmotetとはEmotetは、世界中で猛威を振るう、悪意のあるソフトウェアです。まるで本物のメールのように装って送られてくることが多く、うっかり添付ファイルを開いたり、本文中の偽のリンクをクリックしたりしてしまうと、コンピュータに感染してしまいます。Emotetに感染すると、コンピュータに保存されているパスワードやクレジットカード情報などの重要な個人情報が盗み取られたり、知らないうちに他の悪意のあるソフトウェアを拡散させる手助けをさせられてしまうことがあります。さらに、感染したコンピュータを外部から操作して、まるで自分がそのコンピュータを使っているかのように操られてしまう危険性もあります。Emotetは、その巧妙な手口と高い危険性から、世界中のセキュリティ関係者から非常に警戒されています。Emotetから身を守るためには、不審なメールを開かない、安易に添付ファイルを開いたりリンクをクリックしたりしないなど、日頃から注意を払うことが大切です。また、セキュリティ対策ソフトを導入し、常に最新の状態に保つことも重要です。
攻撃方法について知る

WebShell:見えない侵略者

- WebShellとは WebShellとは、WebサイトやWebアプリケーションを不正に操作するために仕込まれた悪意のあるプログラムのことです。例えるならば、本来入ることを許されていない人間が密かに作った合鍵のようなもので、この合鍵を使うことで、攻撃者はシステムに侵入し、情報を盗み出したり、システムを改ざんしたりすることができます。 WebShellの厄介な点は、PHPやJSPといったWeb開発で一般的に使用されるプログラミング言語で記述されているため、発見が非常に困難なことです。一見すると、通常のプログラムと見分けがつかず、セキュリティ対策ソフトでも検知が難しい場合があります。 攻撃者は、WebShellを仕込むことで、まるで自分が管理者であるかのようにシステムを自由に操作できるようになり、機密情報の窃取、Webサイトの改ざん、他のシステムへの攻撃など、様々な悪事を働くことが可能になります。そのため、WebShellの存在は、企業や組織にとって大きな脅威となります。
データベースセキュリティ

標的は機密情報!NTDSを狙った攻撃の脅威

- 重要な認証情報データベースNTDSとはNTDS(エヌティーディーエス)は、「ネットワークディレクトリサービス」の略称で、Windows Active Directoryと呼ばれる、マイクロソフト社が提供するディレクトリサービスの中核を担う重要なデータベースです。 ディレクトリサービスとは、組織内のユーザーやコンピューター、その他のリソースに関する情報を一元的に管理し、アクセス制御や認証を行うための仕組みです。NTDSは、企業や組織内で利用されるユーザーアカウントやパスワード、所属グループといった機密性の高い情報を格納しています。 これらの情報は、「ドメインコントローラー」と呼ばれる専用のサーバー上に、「ntds.dit」というファイルとして保存されます。 ドメインコントローラーは、組織全体の認証システムを支える重要な役割を担っており、ユーザーがネットワークにログインする際などに、NTDSに格納された情報を利用して認証を行います。NTDSは、組織内のあらゆる情報システムと連携し、一貫したセキュリティポリシーを適用することで、情報資産を保護する役割を担います。 そのため、NTDSはサイバー攻撃の標的となる可能性も高く、適切なセキュリティ対策を講じる必要があります。 具体的には、ドメインコントローラーへのアクセス制限や、定期的なバックアップ、脆弱性対策などが重要となります。
攻撃方法について知る

Windowsエラー報告の悪用にご用心

パソコンを快適に使う上で、動作の安定性は欠かせません。マイクロソフト社が提供するウインドウズエラー報告は、システムの安定化に大きく貢献しています。この機能は、エラー発生時に自動的にマイクロソフト社に情報が送られることで、問題解決や機能改善を迅速に行うことを可能にしています。 しかし、便利な機能には、思わぬ落とし穴が潜んでいることがあります。このエラー報告機能も例外ではありません。悪意を持った利用者が、この機能を悪用する可能性も考えられます。 例えば、エラー報告に偽装して、パソコンに保存されている個人情報や重要なファイルが外部に送信されてしまうかもしれません。また、エラー報告の内容を操作することで、システムを不安定にさせたり、動作を停止させたりといった攻撃を受ける可能性も考えられます。 このような事態を防ぐためには、セキュリティ対策が重要になります。信頼できるセキュリティソフトを導入し、常に最新の状態に保つことが大切です。また、不審なエラーメッセージが表示された場合は、安易に情報を入力したり、指示に従ったりせず、公式なサポート窓口に相談することが重要です。便利な機能を安全に利用するためにも、セキュリティ意識を高め、適切な対策を講じることが重要です。
組織・期間

WizardSpider: ランサムウェア開発の影に潜む脅威

- WizardSpiderとはWizardSpiderは、サイバーセキュリティの世界において、高度な技術と組織力を駆使し、特定の標的に対して長期にわたって執拗なサイバー攻撃を仕掛ける集団を指す、持続的標的型脅威(APT)グループの一つです。このグループは、特に身代金要求型ウイルスの開発と運用に長けており、その活動は世界中の企業や組織に深刻な被害をもたらしています。WizardSpiderは、標的のネットワークに侵入するために、巧妙なフィッシング詐欺やソフトウェアの脆弱性を突くなど、様々な攻撃手法を用います。いったんネットワークに侵入すると、WizardSpiderは長期間にわたって潜伏し、機密情報を探したり、重要なシステムにアクセスしたりします。そして、その間に得られた情報を基に、身代金要求型ウイルスを仕掛け、金銭を要求します。WizardSpiderの攻撃は非常に巧妙で、検知が困難であることが知られています。そのため、企業や組織は、WizardSpiderの脅威から身を守るために、最新のセキュリティ対策を導入するだけでなく、従業員へのセキュリティ意識向上トレーニングを実施するなど、多層的な対策を講じることが重要です。