Check Point Blog

WannaCry – 新たなキルスイッチ・ドメインでマルウェアの活動を無効化

 
チェック・ポイントの脅威情報およびリサーチ・チームは先ほど、ランサムウェアWannaCryの新亜種の活動を無効化する新たなキルスイッチ・ドメインを登録しました。
登録後の数時間で、1秒あたり膨大な数の接続が確認されています。

WannaCry - 果たしてファイルは復号化できるのか?

 
手っ取り早く、結論から述べましょう。WannaCryの身代金要求には応えるべきではありません。
その理由は以下のとおりです。
WannaCryの身代金支払いに関係する3つのBitcoinアカウントは、本稿の執筆時点で、すでに3万3,000ドルを超える金銭の支払いを受けています。しかしそれにもかかわらず、ファイルの暗号化を解除できたという報告は1件も上がっていません。

ランサムウェア「WannaCry」が世界規模で感染を拡大

 
2017年5月12日、チェック・ポイントのIncident Responseチームは、ランサムウェア「WannaCry」の広範囲にわたる感染拡大を確認し、追跡調査を開始しました。すでに、複数のグローバル組織に対する大規模攻撃の発生が確認されており、SMB経由でネットワーク内部に感染被害が広がっています。

猛威を振るうバンキング型トロイの木馬: 不正送金被害を防ぐには

 
銀行の口座情報を窃取し、不正送金を行うトロイの木馬(バンキング型トロイの木馬)は、完全犯罪を企むサイバー攻撃者にとって最適なツールです。セキュリティに疎い無防備なターゲットの口座から、追跡困難な形で預金を盗み出せるため、身元を特定される心配がほとんどありません。

デジタル化の岐路に立つ金融機関

 
スコットランド銀行が英国初の遠隔取引サービス「ホームリンク」の提供を開始したのは1983年にさかのぼります。現在、広く利用されているオンライン・バンキングの先駆けとなったサービスです。その後、PaypalからApple Payまで、革新的な金融取引サービスが次々登場しており、この分野の進化はとどまるところを知りません。しかし、金融サービス業界が競って進める顧客サービスの強化に伴って、対処すべき課題も急速に増加しています。

チェック・ポイント、WhatsAppとTelegramのアカウント数億件の乗っ取りを可能にする脆弱性を発見

 
内部告発サイトWikiLeaksによる最近の暴露情報のうち、特に懸念されているのは、エンドツーエンドで暗号化されたメッセージング・アプリケーションでのやり取りが、政府機関によって盗み見されている可能性がある、という点です。現在この情報が事実であると立証されているわけではありませんが、WhatsAppやTelegramを利用する多くのユーザは、この指摘に不安を感じていることでしょう。両サービスとも、プライバシー保護のためにエンドツーエンドの暗号化を採用しているからです。エンドツーエンドの暗号化は、本来、メッセージをやり取りする当事者以外はメッセージにアクセスできないようにすることを目的としています。

Check Point vSEC for Google Cloud Platformを提供開始

 
Google Cloud Platform(GCP)にWebサーバなどのワークロードやバックオフィス・アプリケーションを移行する場合は、チェック・ポイントのクラウド・セキュリティ製品「vSEC」をご利用ください。GCPを利用するメリットである即応性やビジネスの弾力性を損なうことなく、短時間で安全な移行が実現します。vSECの高度なセキュリティ機能は、GoogleのAPIを使ってGoogleの環境に実質的に組み込まれます。Googleとチェック・ポイントが連携して提供する多層型のセキュリティ・ソリューションは高度な脅威対策機能を備え、クラウド上の資産やデータを包括的に保護します。

優れた柔軟性とセキュリティを実現するvSECシリーズが新たにGoogle Cloud Platformに対応

 
ITの世界では、ベンダー・ロックイン(特定の機器ベンダーに過度に依存し、他ベンダーへの乗り換えがコストや利便性の面から困難になる現象)は回避せよ、という考えが一般的な経験則としてかなり以前から受け入れられています。これは、特にパブリック・クラウド・プロバイダの場合に当てはまります。ベンダー・ロックインの懸念はたびたび、クラウドのさらなる採用を阻む主要な障害として挙げられています。

WikiLeaksが公開した機密文書に関してチェック・ポイントがコメントを発表

 
内部告発サイトWikiLeaksが3月7日に公開した新たな機密文書では、非常に高度なエクスプロイト・ツールなどの最先端のハッキング技術が、予想を超える容易さで入手可能になっている事実が明らかになっています。各国政府も含め、誰でもたやすく利用できる状況になっているのです。このようなハッキング・ツールは最新の偵察機能を備え、企業や軍事組織のネットワーク、スマートフォン、タブレットのほか、スマート・テレビなどのIoTデバイスにも侵入することができます。

機械学習の誇大宣伝は冷静に受け止めるべき

 
セキュリティ業界のトレンドは目まぐるしく変化します。次世代型ファイアウォールでセキュリティ上の不安をすべて解消できると主張していたのも、それほど昔のことではありません。その後に登場したサンドボックスも、他のソリューションをすり抜ける脅威をもれなく検出できるはずでした。最近は機械学習の進化に期待が高まり、大々的に喧伝されています。しかし、そうした誇大とも言えるアピールに妥当性はあるのでしょうか。

セキュリティ業界連合の新時代: 業界連携と顧客保護の強化に向けて

 
セキュリティ・ベンダーの業界連合であるCyber Threat Alliance(CTA)が、米国RSAカンファレンスにおいて業界史に残る重大な発表を行いました。この発表は、社会全体の利益を見据えた業界連携の新時代を画するものであり、その手段として顧客保護の強化を目的としたベンダー各社による脅威情報の共有促進を掲げています。

チェック・ポイント2017年サイバー・セキュリティ調査: IT担当者の「課題」と「機会」が明らかに

 
RSAカンファレンス2017のテーマは、「The Power of Opportunity(機会を活かす)」です。これは、「最も困難な問題に取り組むときでも、初心の心を忘れてはならない。先入観のない心で新たな可能性に向き合わなければならない」という禅僧・鈴木俊隆の学びに対する姿勢にちなんだものです。

サイバー攻撃の犯人特定に意味はあるのか?

 
「昨年発生した、米民主党全国委員会(DNC)に対するハッキングの背後には、ロシアがいる」。このように主張する報告書が各メディアで大々的に取り上げられています。その対象は、米国土安全保障省が米連邦捜査局(FBI)と共同発表した分析レポートです。同レポートがこのハッキング活動へのロシアの関与を具体的に証明しているわけではありませんが、ロシアの複数の情報機関が米国のさまざまな組織に攻撃を仕掛けた技術的な痕跡が見つかっていると主張しています。

セキュリティ・アーキテクチャの重要性

 
最高水準のセキュリティを維持するという課題は、規模の大小を問わずあらゆる企業にとって重要です。企業によるデータ保護のあり方は、セキュリティ動向の変化とともに進化してきました。従来は境界のセキュリティにさえ気を配っていれば事足りましたが、今日ではあらゆる場所でのセキュリティ確保が欠かせません。境界でのシンプルなアクセス制御から脱却し、環境内の複数地点においてアプリケーション認識とユーザ認識、およびレイヤ7の包括的な脅威対策を実現する必要があります。

チェック・ポイント、世界中に被害が拡大するランサムウェア撲滅に向けたプロジェクトに参加

 
2016年初頭から拡大したランサムウェア攻撃をご存じでない場合はこの記事が大いに役立つことでしょう。ランサムウェアは、企業と一般消費者のいずれにとってもサイバー・セキュリティにおける2016年最大の関心事となりました。2月には、ランサムウェア攻撃を受けた米国カリフォルニア州ハリウッドの大規模病院がシステム復旧のためにBitcoinで17,000ドルの支払いを余儀なくされ、11月の感謝祭の週末に狙われた同州サンフランシスコの市営鉄道が無料乗車状態に陥りました。

クラウドのセキュリティに関する予測と今後の動向

 
誰もが心せく年末年始ですが、筆者は毎年この時期になるとさまざまな出来事を振り返り、翌年に思いを巡らせます。そして新しい年が始まれば、私たちの期待が高まる新たな気運がいくつも誕生します。しかし過去が未来を暗示するものであるなら、セキュリティ脅威動向は新年も目まぐるしく移り変わり、新たな課題を私たちに突きつけることになるでしょう。

100万件以上のGoogleアカウントを侵害した「Gooligan」

 
チェック・ポイントのセキュリティ・リサーチ・チームは今回、非常に深刻な新しいマルウェア攻撃キャンペーンを発見しました。「Gooligan」と名付けられたこのキャンペーンではすでに、100万件以上のGoogleアカウントがセキュリティ侵害を受けており、被害デバイスは1日当たり1万3,000台のペースで増加を続けています。

ソーシャル・メディア上で画像ファイルを通じてマルウェアを配付する新たな手口「ImageGate」を発見

 
チェック・ポイントの研究者は、ImageGateと名付けられた新たな攻撃ベクトルをセキュリティ調査により発見しました。サイバー犯罪者は、悪質なコードを埋め込んだ画像ファイルをソーシャル・メディア・サイトにアップロードし、設定上の問題に起因するインフラの脆弱性を利用して攻撃対象のユーザーにファイルをダウンロードさせることができます。ユーザーがダウンロードされたファイルをクリックすると、デバイスがマルウェアに感染します。

Bitcoinのミキシング・サービス:複雑な取引網を分析

 
チェック・ポイントの脅威情報分析チームは、Bitcoinでの金銭の支払いを要求するサイバー攻撃をしばしば目にしています。その多くは、Cerberなどのランサムウェアを使用してユーザのデータを暗号化した後、データを元に戻すためとして「身代金」を要求します。Bitcoinで金銭を受け取った攻撃者は、さまざまなミキシング・サービスを利用して金銭の流れを隠蔽しようとします。そこで今回の記事では、ミキシング・サービスを分析してその仕組みを把握し、サイバー犯罪の舞台裏で繰り広げられる複雑なプロセスの解明を試みたいと思います。

「攻撃的セキュリティ」の是非

 
米大統領選の話題が続く中、サイバー・セキュリティの関係者にとって興味深いニュースが飛び込んできました。米民主党に関係する個人および団体を狙ったサイバー攻撃が増加しているというのです。米国政府は、選挙の結果に影響を与えようと画策するロシア政府が背後にいると見なし、報復を検討していると伝えられています。CIAの当局者によると、クレムリンへの意趣返しとして、水面下でのサイバー攻撃の実施が議論されているとのことです。

未知の攻撃はSandBlastで阻止できるって本当?その挑戦、受けて立ちます!

 
先ごろ、セキュリティ・ライターのデビッド・ストローム(David Strom)氏が、『Network World』誌上でチェック・ポイントのゼロデイ対策技術をテストしました。その詳細なレビュー記事の中でストローム氏は、包括的なソリューションでありながら管理性に優れたCheck Point SandBlastは、未知のマルウェア対策として十分な投資対効果があると高く評価しています。

視界不良のハイブリッド・クラウドにおけるセキュリティ対策

 
雲が低く垂れ込める中、高架道路や山道をドライブしたことはありますか。運転には慣れているものの、道路標識や対向車、道筋をはっきりと認識できない、という状況を想像してみてください。何かしら手を打たない限り、このままドライブを続けるのは危険です。状況こそ異なりますがこのときの心境は、業務用のアプリケーションやデータをクラウドへ移行しようとしている組織のIT担当者なら理解できるかもしれません。

サービス中断の危機: 世界規模のDDoS攻撃にどう対処すべきか

 
先ごろ、サイバー・セキュリティの重要性を私たちに再認識させる出来事が起こりました。ボットに乗っ取られたWebカメラの大群による攻撃が原因で、TwitterやAmzaon、Spotify、Netflixなどの著名インターネット・サービスが一時的に利用できなくなったのです。この大規模障害を引き起こしたのは、大手DNSサービス会社DYNに対する、世界規模の分散サービス妨害(DDoS)攻撃です。セキュリティ専門家にとって、決して目新しい攻撃手法ではありませんが、インターネットというネットワーク網の脆弱さを改めて浮き彫りにする事件であったといえるでしょう。今回の攻撃では、予想される最悪の事態には至りませんでしたが、それは単なる幸運に過ぎません。

ご用心!エンドポイントを狙うマルウェアが増加中

 
メディア報道からもお分かりのように、2016年のセキュリティ脅威動向は悪化の一途を辿っています。では、どのようなタイプの脅威が猛威を振るい、企業や組織ではどのような対策を講じているのでしょうか。
この問いに対する答えについては、世界各国の企業300社以上を対象にSANS Instituteが実施した詳細調査の結果を見てみましょう。SANS Instituteは、サイバー・セキュリティに関する調査やトレーニングの実施、認定資格の運営を行う組織です。「2016 SANS Threat Landscape Survey」と題するこの調査では、最新のセキュリティ脅威動向とそれらが組織に及ぼす影響について分析しています。特に焦点を合わせているのが、組織を攻撃している脅威の種類と特徴、そして攻撃の手口です。

過去の教訓を生かした有効な対策を

 
2016年のセキュリティ動向はすべて把握できたと思っていましたが、最近起きた事件は私たちに再考を迫っており、年末にかけてまだまだ驚くような事態が待ち受けているかもしれません。ただし、「どんなに変化があっても、本質は変わらない」というのも事実です。攻撃の経路やエクスプロイトは常に進化していますが、その根底にある攻撃の動機はそれほど変わっていません。このような点を念頭に置いて、現在実施している対策の方向性が間違っていないか再検討してみましょう。

フィッシング詐欺の被害防止に役立つ6つのアドバイス

 
C言語やUNIXの研究開発で知られるブライアン・カーニハン氏は、「ウイルスやフィッシングの被害を防ぐには、その仕組みや手口をよく知らなければならない」と話しています。サイバー犯罪の巧妙化が進む今こそ、この言葉を真摯に受け止める必要があります。

ランサムウェア感染に事後対応する4つのヒント

 
「アメリカ建国の父」と呼ばれるベンジャミン・フランクリンは、「予防は治療に勝る」という名言を残しています。サイバー・セキュリティの世界でも、ランサムウェアによるデータの暗号化を未然に防ぐ対策を実施することは非常に重要です。しかし、膨大な費用を投じて入念な対策を実施していても、すべての攻撃を防ぐことはできません。いざというときに備えて、ランサムウェア感染が発生した場合の対応方法をあらかじめ策定し、被害の調査と拡大防止に利用可能なツールを用意するなど、事後対応のための準備を行っているかどうかが、被害をコンピュータ1台だけに食い止められるか、あるいはネットワーク全体に感染が広がり、復旧までに数時間~数週間という時間を費やす結果になるかの分かれ道となります。

サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには

 
10月6日、米国コロラド州デンバーで開催されたVirus Bulletinカンファレンスにおいて、チェック・ポイントの研究者であるスタニスラフ・スクラトビッチとアレクサンドル・シャイリトコがプレゼンテーションを行いました。テーマは、マルウェアが備えるサンドボックス回避手法にいかにして対抗するかです。今回のブログでは、カンファレンスに参加されていなかった読者の方に向けて、プレゼンテーションの概要をご紹介します。

ランサムウェア被害を防ぐ5つのヒント

 
10月6日、米国コロラド州デンバーで開催されたVirus Bulletinカンファレンスにおいて、チェック・ポイントの研究者であるスタニスラフ・スクラトビッチとアレクサンドル・シャイリトコがプレゼンテーションを行いました。テーマは、マルウェアが備えるサンドボックス回避手法にいかにして対抗するかです。今回のブログでは、カンファレンスに参加されていなかった読者の方に向けて、プレゼンテーションの概要をご紹介します。

クラウドの普及:ITセキュリティ担当者の役割を再考する

 
従来から社内のIT担当者が実施してきたサーバの電源交換やデータセンターの空調管理などの作業は、今後、クラウド・コンピューティング・センターのスタッフが担当することになる──。ネットワーク機器最大手Ciscoの予測どおり、2019年までにデータセンター・トラフィックの83%がクラウドに移行すれば、IT担当者の役割は大きく変わることになります。

ガートナー社、調査レポートでモバイル脅威対策の重要性を強調

 
HummingBadやStagefright、QuadRooterなど、モバイル脅威が台頭
ここ1年、モバイル環境におけるマルウェアや脆弱性がメディアで大きく取り上げられており、機密データの窃取を目的とした攻撃がますます一般化している実態がうかがえます。このような傾向はチェック・ポイントのリサーチ・チームも日々目の当たりにしており、ガートナー社の「Market Guide for Mobile Threat Defense Solutions」からも読み取れます。

Ransomware-as-a-Service「Cerber」の詳細分析

 
チェック・ポイントの研究者は先ごろ、Ransomware-as-a-Service(サービスとしてのランサムウェア)である「Cerber」の高度なインフラストラクチャとそのビジネス・モデル、金銭の流れを解明しました。詳細なレポートは、こちらからダウンロードいただけます。

QuadRooter:9億台以上のAndroid搭載デバイスに影響する新たな脆弱性

 
チェック・ポイントは本日、Android搭載デバイスに見つかった新たな脆弱性4件についての詳細情報を開示しました。これらの脆弱性は、Qualcomm®製チップセットを採用する約9億台のAndroid搭載スマートフォンおよびタブレットに影響します。チェック・ポイントのモバイル脅威リサーチ・チームは、一連の脆弱性を「QuadRooter」と名付け、米国ネバダ州ラスベガスで開催されたハッキング・カンファレンス「DEF CON 24」にて詳細を発表しました。

SandBlast、NSS Labsの「推奨」認定を再び獲得

 
チェック・ポイントは本日、Android搭載デバイスに見つかった新たな脆弱性4件についての詳細情報を開示しました。これらの脆弱性は、Qualcomm®製チップセットを採用する約9億台のAndroid搭載スマートフォンおよびタブレットに影響します。チェック・ポイントのモバイル脅威リサーチ・チームは、一連の脆弱性を「QuadRooter」と名付け、米国ネバダ州ラスベガスで開催されたハッキング・カンファレンス「DEF CON 24」にて詳細を発表しました。

すべてのクリックを安全に - Check Point SandBlast™ Agent for Browsers

 
インターネットのユーザは、制約に縛られずほぼ瞬時にWebコンテンツにアクセスしたいと考えています。しかし残念ながら、現代の企業がWebを利用する際には、マルウェアという脅威から目を背けることはできません。マルウェアは、WebからダウンロードしたコンテンツやWebメールの添付ファイルに潜んでいる可能性があります。また、社員がフィッシング詐欺やソーシャル・エンジニアリングなど、社内システムのパスワードや機密データを狙ったマルウェア以外の攻撃にも無意識のうちにさらされている場合があります。社員が業務と無関係の外部Webサービスを利用する際、社内システムのパスワードを何の気なしに再利用するだけでも、組織はリスクにさらされます。

ランサムウェア:押さえておくべきポイント

 
ランサムウェア:押さえておくべきポイント近年、ランサムウェアの攻撃が急増し、セキュリティ・ブログや技術系Webサイト、あるいはニュースなどのいたるところで報告されています。残念なことに、これらの攻撃の勢いが鈍化する気配はなく、むしろ状況はますます悪化の一途を辿っています。

2016年6月のマルウェア・ファミリー上位10種

 
チェック・ポイントは本日、「Threat Index(脅威指標)」の最新版を発表しました。この最新のThreat Indexより、企業ネットワークやモバイル・デバイスを狙う脅威の増加に伴って、2016年上半期にアクティブなマルウェア・ファミリーが60%以上増えている事実が明らかになっています。

ランサムウェアのモットーは「よりシンプルに、より怖く、よりほどほどに」

 
ランサムウェアの隆盛期とも言われる今日、感染件数、亜種数ともに世界全体で増加の一途を辿っています。チェック・ポイントの研究者が約2年にわたって継続しているランサムウェアの調査からは、興味深い実態が明らかになっています。

ポケモン探しの前にまずはセキュリティ対策を

 
新作スマートフォン向けゲーム・アプリ「Pokémon GO」が世界中で大人気となっています。現時点では配信が一部の国に限られているため(7月22日国内配信開始、8月現在一部の国を除く世界中で配信)、Google PlayやApple App Store以外のサイトからダウンロードを試みるユーザもいるかもしれません。

dotmファイル経由で拡散するランサムウェア「Cerber」をSandBlastで詳細調査

 
このブログ・エントリは、Check Point SandBlast Agent のForensics機能によって生成されるレポートを取り上げる新シリーズの第1回目です。そのコンセプトは極めてシンプルで、チェック・ポイントのマルウェア研究機関にて、すべての保護機能を無効にした状態のPC上でマルウェア・サンプルを実行し、SandBlast Agent のForensics機能で自動分析するというものです。このブログに加え、こちらのインタラクティブなフォレンジック・レポートもご覧ください。CISOやセキュリティ管理者、インシデント対応担当者がSandBlast Agent のForensicsを実行した場合にもまったく同じレポートが生成されます。

チェック・ポイントのSandBlastが、拡大するランサムウェア「Cerber」の攻撃からユーザを保護

 
6月22日午前6時44分(UTC -協定世界時間)、チェック・ポイントのパートナーであるAvananは、同社のCloud Security Platformを使用している複数企業に対する大規模なランサムウェア攻撃を検出しました。この攻撃は、ゼロデイの攻撃対策ソリューションであるCheck Point のSandBlastでなければ検出できなかったでしょう。攻撃には、フィッシングメールにより拡散させ、ユーザ・ファイルをAES-265とRSAで暗号化して使用不能にする非常に悪質な「Cerber」と呼ばれるランサムウェアが含まれていました。Cerberはファイルを暗号化した後、ユーザがドキュメントや写真、ファイルへのアクセスを再び可能にするためには、1.24ビットコイン(約500米ドル)の「身代金」を支払うように要求します。

悪名高い「Nuclear Exploit Kit」が活動停止

 
チェック・ポイントが作成した調査レポートが4月に公開された時を同じくして、エクスプロイト・キット「Nuclear Exploit Kit」がそのインフラストラクチャ全体をシャットダウンし、活動を停止にしたことが確認されました。

2016年5月のマルウェア・ファミリー上位10種

 
チェック・ポイントは本日、「Threat Index(脅威指標)」の2016年5月版を発表しました。この最新のThreat Indexより、世界全体のアクティブなマルウェア・ファミリーが15%増加している事実が明らかになっています。同月には、企業ネットワークを攻撃する2,300種類のアクティブなマルウェア・ファミリーが確認されました。これで、50%の増加が報告された3月~4月に続き、2か月連続でマルウェア・ファミリーの種類が増加したことになります。アクティブなマルウェアの亜種が継続的に増えていることからも、組織のネットワークは多種多様な脅威にさらされているだけでなく、重要なビジネス情報を保護するために対処すべき課題の規模が明らかになっています。

メッセージングの未来はどうなるか?

 
チェック・ポイントの研究者は今週初め、Facebookのメッセンジャー・アプリにおいて、攻撃者が会話スレッドを自由に改変できるセキュリティ上の重要な欠陥を見つけました。この脆弱性はチェック・ポイントの責任ある開示によりFacebookに報告され、同社は速やかに修正していますが、これで一軒落着とはいきません。チャット履歴が改変されれば、会話が偽造されて詐欺行為に発展するおそれがあります。法的な観点からも懸念されます。チャットのログは、法的手続きの際に証拠として認められてきたからです。このような脆弱性は、ユーザをマルウェアに感染させる手段としても利用できます。とはいえ、一番の問題は、メッセージング・プラットフォームを標的とした攻撃が現時点でそれほど顕在化していない点にあります。今はまだ、嵐の前の静けさと言えるかもしれません。

Facebookでのチャット内容を改ざんするマルウェア

 
チェック・ポイントは、オンライン版とモバイル・アプリ版の両方のFacebookメッセンジャーで見つかった脆弱性の詳細を公開しました。チェック・ポイントによる責任ある開示に従い、Facebookは問題の脆弱性を直ちに修正しています。

ランサムウェアとウイルスの特徴を併せ持つ「Zcrypt」

 
最近見つかったランサムウェアに大きな関心が集まっています。その理由はこのランサムウェアの特徴にあります。というのも、実際はウイルスであり、USBデバイスを介してユーザのPCに感染することも可能なのです。感染手法自体は目新しくはありませんが、ランサムウェアがこの能力を備えているとなると、ただごとでは済みません。USBなどのポートを保護するソフトウェアを実行していないユーザには、自動実行機能の無効化が推奨されます。

私たちは、Check Point SandBlast Agentによる自動フォレンジック分析を行い、この新しいランサムウェアの実態を明らかにしました。ランサムウェア「Zcrypt」は、USB経由でユーザのPCへの感染を試みます。

エンドポイント保護技術

 
ランサムウェアが、全世界で増加傾向を示しています。チェック・ポイントの調査によると、2016年第1四半期に確認された標的型攻撃のうち、ランサムウェアを利用した攻撃が占める割合は平均で4.5%でしたが、同年4月には5.6%にまで上昇しています。この傾向が特に顕著な国が日本で、第1四半期では標的型攻撃全体の5%だったランサムウェアによる攻撃は、4月には15%にまで急増しています。第1四半期と比較すると、平均して200%の増加となります。

「セキュリティ動向は刻々と変化している、というのは控えめな表現だろう。」
トニー・ジャービス(Tony Jarvis)、チェック・ポイント・ソフトウェア・テクノロジーズ、アジア/中東/アフリカ地域担当チーフ・ストラテジスト

再び脚光を浴びるランサムウェア

 
ここ数か月にわたり、ランサムウェアの活動の着実な増勢が確認されています。金銭搾取を目的とするハッカーたちの間で最も重宝されているマルウェアと言えば、6か月前までは金融機関を狙うトロイの木馬でしたが、今やその地位を引き継いでいるのはランサムウェアです。本記事では、ランサムウェアが突如息を吹き返した理由を簡単に探るとともに、推奨されるセキュリティ対策についてご紹介します。

ランサムウェアが再浮上に至った要因としては、脅威そのものの技術的な進化が挙げられます。かつて、マシンに感染したマルウェアは、ファイルの暗号化に使用する鍵の受け渡しを行うため、指令サーバと通信する必要がありました。しかし、今日の脅威はこのようなアウトバウンド接続を必要としません。目的のホストに到達した後は、すぐに暗号化を開始できます。標的組織のネットワーク内を移動できるため、ネットワーク上の共有ファイルに加え、USBキーやネットワーク接続ストレージなど、ネットワークに接続されているドライブはすべて暗号化されます。

チェック・ポイント脅威アラート: ランサムウェア「CryptXXX」

 
2016年3月にその存在が確認されたランサムウェア「CryptXXX」は、エクスプロイト・キット「Angler」とトロイの木馬「Bedep」を介して拡散します。マシン上のファイルを暗号化するこのランサムウェアは、復元するために身代金として500ドルを要求します。ただし、単一のファイルであれば無料で復号化に応じています。ターゲットには数日の猶予が与えられ、その間に身代金を支払わなければ金額は倍になります。CryptXXXを利用する攻撃グループは、ランサムウェア「Reveton」の背後に潜む攻撃グループと同一のようです。また、感染経路やコードにおける類似性により、この攻撃グループとAngler Exploit Kitのオペレータとの関連も疑われています。Kasperskyは4月26日、Windowsマシン用のファイル復号化ツールをリリースしました。ツールの実行ファイルは、同社のサポート・センターからダウンロードできます。

重要インフラ環境向けのセキュリティ管理

 
産業用制御システム(ICS)の保護は極めて重要であり、ただ単にセキュリティ・ソリューションに任せれば済むという問題ではありません。私たちは、正常に機能する水道や照明、電気、信号機を当たり前のように利用しています。このような生活に不可欠なシステムが中断すると、たとえそれが数時間の場合でも、日常生活に大混乱を引き起こすことになるでしょう。

重要インフラの主な特徴は、情報技術(IT)と運用技術(OT)という、シームレスな運用が難しい2種類の技術が使用されている点です。そのため、IT/SCADA環境のパフォーマンス低下を招かずに、両者のセキュリティ管理を実現することが課題となっています。

チェック・ポイントのアプリケーション・データベース、登録数が7,000を突破

 
セキュリティ管理者は、チェック・ポイントのApplication Control Software Bladeの成長を歓迎しています。事前定義済みでサポート対象となるアプリケーションが7,000種を超えたApplication Control Software Bladeは、組織の規模を問わず導入可能な最強のアプリケーション・セキュリティおよびアイデンティティ制御ソリューションです。Application Control Software Bladeは、Webアプリケーションやネットワーク・プロトコル、その他の非標準的なアプリケーションを識別し、その利用を禁止または制限するきめ細かいポリシーを、ユーザやグループごとに容易に作成できます。

セキュリティ・ルールへ柔軟にポリシーを実施できるアプリケーションの主要なカテゴリには、ビジネス・アプリケーションやソーシャル・ネットワーキング・アプリケーション、ファイル・ストレージ/ファイル共有、メディア共有、アノニマイザー、インスタント・メッセンジャー、P2Pなどが含まれます。

増加するランサムウェアによる攻撃

 
昨今のサイバー攻撃において、最も活躍(暗躍)した脅威は金融機関を狙うマルウェアです。ところが、この6か月間で、セキュリティ脅威の動向に大きな変化が生まれています。それはランサムウェアという新たな脅威で、金融機関を狙う標的型マルウェアの代わりに利用されるケースが増えているのです。ランサムウェアは、世界中のユーザを標的とし、多くの組織に深刻な影響を及ぼしています。以下のグラフからも、この急激な変化が読み取れます。

チェック・ポイント脅威アラート: アーカイブ内の.JSファイルを介してランサムウェアに感染させる攻撃に注意

 
ここ最近、ランサムウェアの攻撃キャンペーンにおいて、検出回避を目的としてアーカイブ内のJavaScriptファイルを使用するケースが大幅に増加しています。さまざまなランサムウェアのペイロードを拡散させるこの種のキャンペーンでは、スピア・フィッシング・メールを無作為に大量送信し、48時間以内に支払うよう受信者に要求します。このようなフィッシング・メールには、不正なJavaScriptコードが含まれているアーカイブ・ファイル(zip/rar)が添付されています。

警戒レベルの低いユーザを狙う、ランサムウェア「TeslaCrypt」の新しい亜種が、うるう日に急増

 
チェック・ポイントの脅威対策クラウド・グループを率いるオムリ・ギヴォニが先日、トラフィックに異常がないか調査していたところ、うるう日である2016年2月29日に突如10万件を超えるイベントが検出されたことが発覚しました。チェック・ポイントでは、このイベントに関連するファイル(SHA1ハッシュ: 7429b5b4c239cb5380b6d7e4ffa070c4f92f3c79)を隔離しています。奇妙なことに、この日の前後には同様のイベントがまったく確認されませんでした。

Lockyランサムウェア

 
「Locky」は被害者のファイルを暗号化し、復号化する見返りとしてビットコインによる身代金(支払)を要求する、新種のランサムウェアです。主な感染経路は、Word 文書を添付した電子メールです。この中には悪意のあるマクロが含まれています。マクロを実行すると、被害者のシステム上にマルウェアの実行ファイルがダウンロード/インストールされます。その後、システム上のファイルがスキャンされ、暗号化されます。