Macの開発者や、Xcodeプロジェクトで開発された新しいアプリを使ってみるのが好きな人にとっては、真剣に気をつけなければならないマルウェア「XCSSET」が出てきました。 サイバーセキュリティ企業のトレンドマイクロは、アタッカーがXCSSETを使って、どのようにユーザーのブラウザを乗っ取ったり、個人情報やアカウントのパスワードや保存されている決済情報盗むのかという、詳細なレポート(英文)を公開しました。 新マルウェア「XCSSET」の特徴このマルウェアが深刻なのは、攻撃の重症度によるものだけでなく、これまでにない方法でユーザーのデバイスに侵入するからです。 XCSSETは、Xcodeプロジェクトに隠されたコードを通してインストールされます。 Xcodeというのは、MacでAppleのアプリを作成するために使う無料の開発ツールで、Xcodeプロジェクトは「構築」というプロセスを通して、デバ
セキュリティベンダーのCheck Point Software Technologiesのリサーチ部門であるCheck Point Researchは2022年4月5日(現地時間)、同社のブログで、先日明らかになったJavaアプリケーションフレームワーク「Spring Framework」(Spring)に関するリモートコード実行の脆弱(ぜいじゃく)性(CVE-2022-22965)を悪用したサイバー攻撃が全世界で拡大していると報じた。 Check Point ResearchはSpringの脆弱性を悪用したサイバー攻撃が全世界で拡大していると報じた。今後もサイバー攻撃に使われる危険性が高く、迅速に対策を取ることが望まれる。(出典:Check Point Software TechnologiesのWebサイト)
Android向けの公式アプリストアであるGoogle Playでは、Playアプリ署名を利用することで配布されているアプリやアップデートが安全なものであることを保証します。このアプリ署名鍵は本来非公開であるべきものなのですが、AndroidデバイスのOEMメーカーが使用するアプリ署名鍵が大量に流出し、マルウェアの署名に利用されていたことが明らかになっています。 100 - Platform certificates used to sign malware - apvi https://bugs.chromium.org/p/apvi/issues/detail?id=100 Android OEM key leak means sideloaded "updates" could be hiding serious malware https://www.xda-developers.
話題の生成AI(人工知能)チャットボット「ChatGPT」。質問に答えるだけでなく、プログラムコードなども生成してくれる。このため登場以来、「マルウエアの生成」といったサイバー攻撃への悪用が懸念されている。 対策として、ChatGPTにはコンテンツフィルター機能が実装されている。悪用目的と思われるプロンプト(質問や要求)は拒否する。 例えば「ウイルス対策ソフトに検出されないマルウエアを生成して」などと要求すると、「私たちは、倫理的・法的に正しい行動を促進することを目的としています。そのため、ウイルス対策ソフトに検出されないマルウエアを生成する方法を提供することはできません」などと説教されてしまう。 だが実際には、ChatGPTを使ったマルウエアの生成例が相次いで報告されている。ChatGPTをだまして、まっとうなプログラムだと思わせるのがポイントのようだ。 2023年4月上旬には、米国のセ
MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。 How a Microsoft blunder opened millions of PCs to potent malware attacks | Ars Technica https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/ Microsoft’s out-of-da
2022年5月頃、JPCERT/CCではF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用して日本の組織に攻撃を行う活動を確認しました。攻撃が行われた組織では、BIG-IP内のデータが漏えいするなどの被害が確認されています。この攻撃は、攻撃グループBlackTechの活動と関連しているものと推測しています。今回は、このBIG-IPの脆弱性を悪用する攻撃活動について紹介します。 BIG-IPの脆弱性を悪用する攻撃コード 以下は、今回の攻撃で使用された攻撃コードの一部です。この攻撃ツールを使用することで、BIG-IP上で任意のコマンドを実行することが可能です。 図1: 確認されたBIG-IPの脆弱性を悪用するコードの一部 この攻撃コード内には、図1のように(図1のグレーアウトした部分)複数の国内のBIG-IPのIPアドレスが記載されており、攻撃のターゲットになっていました。 この攻
Macアプリの安全を保証するAppleの「公証」悪用 増えるmacOS狙いのマルウェア:この頃、セキュリティ界隈で(1/2 ページ) ユーザーをだまして不正な手段でインストールさせ、迷惑な広告を執拗に表示させる「アドウェア」。そうした手口を阻止するはずの仕組みを利用して、Appleの「公証」を取得していたアドウェアが見つかった。シェア増大に伴ってmacOSを狙うマルウェアも急増し、「Macはマルウェアが少ないからWindowsより安全」という認識は通用しなくなっている。 公証はmacOS 10.15(Catalina)から必須とされた制度で、Mac App Store以外で配布されるmacOS用ソフトウェアは、全て事前にAppleに提出して公証を受ける必要がある。提出されたソフトウェアは自動スキャンが行われ、セキュリティチェックを通過すれば公証済みの証明チケットが添付される仕組み。この公証
MacやiPhone向けのアプリケーションを開発するための総合開発環境であるXcodeで作成されたプロジェクトを対象としたマルウェアの存在が明らかになっています。 XCSSET Mac Malware: Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits - TrendLabs Security Intelligence Blog https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-z
関連キーワード セキュリティ 前編「『Python』で“スキャン擦り抜けマルウェア”の開発が容易に? 判明した問題は」は、セキュリティに関する研究論文の内容を基に、プログラミング言語「Python」向け開発ツール「PyInstaller」が攻撃者に悪用される可能性を紹介した。PyInstallerは、開発者がPythonで記述したソースコードを、各種OS向けの実行可能ファイルに変換するパッケージツールだ。研究論文によると、PyInstallerで開発可能なペイロードは、主要なマルウェア対策ツールのスキャンを擦り抜け、悪意ある動作を実行することが可能だという。 問題は、PyInstallerがPythonソースコードを実行可能ファイルに変換する方法にある。 併せて読みたいお薦め記事 「Python」についてもっと詳しく Java使いでも「R」「Python」を学びたくなる“納得の理由” 「P
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。Multi
Androidを開発するGoogleは、純正スマートフォンのPixelシリーズおよびAndroidにおいてソフトウェアの悪用に厳格に立ち向かっていますが、Google Playではいまだにマルウェア入りのアプリが配信されており、サードパーティー製のAndroidスマートフォンにも脆弱なものが多いため、Android全体のイメージは悪くなっています。新たに、数百万台のAndroidスマートフォンやAndroid TVデバイスにマルウェアがプリインストールされていることが明らかになりました。 Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-b
ラックの脅威分析チームは、2022年4月頃から、KCPプロトコル※1をC2通信として利用する新たなマルウェア「gokcpdoor」を使用した攻撃活動を日本国内の製造業や学術機関などで確認しています。この攻撃活動は、中国を拠点とする攻撃者グループによるものと見られ、日本国内の組織や海外拠点へ同様の攻撃が行われている可能性がうかがえます。 ※1 GitHub - skywind3000/kcp: :zap: KCP - A Fast and Reliable ARQ Protocol そこで今回は、KCPプロトコルをC2通信として利用するgokcpdoorを利用した一連の攻撃キャンペーンをもとに、背後にある攻撃者像や同様の攻撃に対する検知や防御手法を紹介します。本内容は、2023年10月4日から6日に開催されたセキュリティカンファレンスVirus Bulletin Conference 202
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告:攻撃方法の詳細は分析中 Cisco Systemsは2023年8月24日(米国時間)、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。 VPNの実装、利用において多要素認証(MFA)を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック(総当たり攻撃)により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。 ランサムウェアのAkiraとは Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。A
Microsoftが、「Sourgum」と呼ばれるグループが開発・販売する、Windows 10のゼロデイ脆弱性を攻撃するマルウェア「DevilsTongue」の対策を行ったと発表しました。DevilsTongueによる被害者は政治家や人権活動家など100人以上で、Microsoftとトロント大学のセキュリティ研究組織・シチズンラボは「Sourgumの正体はイスラエルの民間セキュリティ企業だ」と指摘しています。 Fighting cyberweapons built by private businesses - Microsoft On the Issues https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/ Protecting customer
新型コロナウイルスの感染の広がりが続く中、「最恐」とも言われる別のウイルスが、いま、猛威を振るっているのをご存じですか。その名は「Emotet」(エモテット)。あなたが毎日使っているインターネットの話です。 (科学文化部 記者 鈴木有) ある上場企業の社員が出勤してパソコンを開くと、一通のメールが届いていた。 送り主の欄には、取引先の会社の名前。 過去やりとりした件名がそのまま表示されていた。 メール本文には、その取引先と以前やりとりした内容が引用されている。 Zipファイルが添付され、パスワードも書いてあった。 社員は、普段から怪しいメールには注意していた。 しかし、このときは、ついファイルを開いてしまった。 ウイルス対策ソフトが、アラームを発する。 時すでに遅し、不正なプログラムが実行され、パソコンはウイルスに感染していた。 エモテットだった。 数時間後、取引先から、不審なメールが届い
本記事は『今日からできるサイバー脅威インテリジェンスの話-導入編-』の続きであり、具体的なサイバー脅威情報の収集方法やプラットフォームについて紹介する記事です。 『サイバー脅威インテリジェンスって何?』という方がいらっしゃれば前の記事を参考にしてください。 Let's CTI 私が個人レベルでやっている CTI の活動を分類してみると、以下の3つの方法になると思います。 無料で利用できるインテリジェンスサービス・データベースを活用する オンラインサンドボックスを活用する SNS や外部のコミュニティを利用する それぞれ長所やカバーできる領域が異なるので、自分の興味や組織の CTI の目的に合わせてどの方法を取るべきか検討してみると良いでしょう。 では、詳細に説明していきます。 1. 無料で利用できるインテリジェンスサービス・データベースを活用する 世の中には優秀なインテリジェンス分析者がた
■Emotet&IcedID EmotetとIcedIDについての比較において最も注目すべき点は「Execution」の「Command and Scripting Interpreter」でないでしょうか。ここはEmotet及び、IcedIDをドロップする際に利用されるテクニックが挙げられているのですが共通するものが「Visual Basic」です。平たく言うと添付やリンクからエンドポイントに入り込んだOfficeファイル(WordやExcelなど)が開かれた際にマクロが動作し、感染プロセスが開始されることです。昨年は、Emotetの感染被害が多く、話題となりました。亜種も多数存在し、ウイルス対策ソフトではすべてを完全に検知できないという問題もあります。ウイルス対策ソフトやEDRを組み合わせて対応するということも良いのですが、検知するフェーズの前に根本的にブロックする。つまり、ユーザがフ
ANAホールディングス(ANAHD)傘下のPeach Aviation(ピーチ)と日本航空(JAL)傘下のZIPAIR Tokyo(ジップエア)など複数の格安航空会社(LCC)で2021年4月21日朝(日本時間)から発生している予約システムの障害について、予約システムを提供する米ラディックスは4月22日(現地時間)、マルウエアへの感染が原因であると発表した。予約システムは航空券の販売を担い、航空会社の心臓部ともいえる基幹系システムであるだけに、マルウエア感染で丸2日以上正常に使えなくなるという事態はピーチやジップエアに大きな打撃となっている。 システム障害はラディックスが提供する航空会社向けのクラウドサービス「Radixx」のうち、予約・発券などの処理を担う「Radixx Res」で発生。ピーチとジップエアなど、LCCを中心に世界各地の約20の航空会社で航空券の予約・確認・変更などができな
by Tamahikari Tammas ネット上で公開されている数十種類のMODに「Fractureiser」というマルウェアが仕込まれていたことが判明し、提供元のプラットフォームがMODのダウンロードやアップデートをただちに中止するように呼びかけています。 THIS DOC IS OLD, WE HAVE MOVED AGAIN - HackMD https://hackmd.io/B46EYzKXSfWSF35DeCZz9A Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks https://prismlauncher.org/news/cf-compromised-alert/ GitHub - fractureiser-inves
GIFShellというものがあります。 リバースシェルを実現できるマルウェアです。 通常のリバースシェルとは少し異なり攻撃者と被害者の間で通信が直接交換される機能は実現しませんが、コマンドを投入して結果が得られるという意味でシェルとして利用できる機能を実現します。 こんな感じです。 安全でない設計要素/脆弱性を悪用する Microsoft Teamsに存在する7つの安全でない設計要素/脆弱性を攻撃者が悪用します。 攻撃ではMicrosoftのサーバとの通信のみが発生する よくある他の攻撃では攻撃が成り立った後に、なんらかのC2サーバとの通信が発生します。 しかしこのGIFShellではTeamsを構成する機器群との通信しか発生しません。 通信先のIPアドレスを利用した評判情報を攻撃の検出に使用する方式はこのGIFShellには意味を持たないかもしれません。 始まりは添付ファイル 攻撃の流れ
ロシアが『カスペルスキー』経由でサイバー攻撃を行う可能性、ドイツ政府情報セキュリティ庁が警告 (海外の反応)
9月 2024 (4) 8月 2024 (26) 7月 2024 (24) 6月 2024 (27) 5月 2024 (26) 4月 2024 (24) 3月 2024 (24) 2月 2024 (25) 1月 2024 (23) 12月 2023 (28) 11月 2023 (24) 10月 2023 (25) 9月 2023 (26) 8月 2023 (25) 7月 2023 (27) 6月 2023 (28) 5月 2023 (28) 4月 2023 (26) 3月 2023 (29) 2月 2023 (22) 1月 2023 (24) 12月 2022 (26) 11月 2022 (21) 10月 2022 (22) 9月 2022 (21) 8月 2022 (20) 7月 2022 (23) 6月 2022 (23) 5月 2022 (23) 4月 2022 (26) 3月 20
セキュリティ企業のG DATAが、Microsoftのデジタル署名が入った「Netfilter」というドライバーをマルウェアとして検出しました。アラートシステムにより誤検知の可能性が指摘されましたが、検証により陽性(実際にマルウェア)であることがわかったため、Microsoftが調査に乗り出しています。 Investigating and Mitigating Malicious Drivers – Microsoft Security Response Center https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/ Microsoft signed a malicious Netfilter rootkit | G DATA https://www.gdat
Linuxサーバを標的とした「DreamBus」と呼ばれるマルウェアおよびそのマルウェアで構成されるbotネットについてZscalerが注意喚起を発信した。現段階でセキュリティ製品の多くがDreamBusモジュールを検出できていないという。 米国のセキュリティベンダーZscalerは2021年1月22日(現地時間)、Linuxを標的としたマルウェア「DreamBus」およびそのbotネットについて注意喚起を促すレポートを公開した。このマルウェアは一連のELFバイナリ*とシェルスクリプトで構成されたrマルウェア「SystemdMine」の亜種とされている。Zscalerはセキュリティ製品の多くがDreamBusモジュールを検出できないと指摘し、注意を呼びかけている。
カナダのトロント大学を拠点とする研究施設・Citizen Labが、イスラエルのセキュリティ企業であるNSO Group開発のスパイウェア「Pegasus」がイギリス政府のネットワーク内で発見されたと発表しました。 UK Government Officials Infected with Pegasus - The Citizen Lab https://citizenlab.ca/2022/04/uk-government-officials-targeted-pegasus/ No 10 suspected of being target of NSO spyware attack, Boris Johnson ‘told’ | Boris Johnson | The Guardian https://www.theguardian.com/politics/2022/apr/18/
分業化が進んでいたランサムウエア攻撃に新たな動きが出てきた。何と標的とした企業・組織の従業員を実行犯に仕立てるというのだ。 従来の分業体制では、攻撃に必要なランサムウエアなどは、攻撃者グループが運営するクラウドサービス「RaaS(Ransomware as a Service)」が用意。企業や組織に侵入してランサムウエアをまいたりデータを盗んだりするのは、RaaSの利用者である「アフィリエイト」が担当する。被害者から得た身代金の10%から30%をRaaSが取り、残りはアフィリエイトに渡す。
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data The trojanized jQuery attack has been spread on npm, GitHub and elsewhere since May. A trojanized version of jQuery has been spreading on the npm JavaScript package manager, GitHub and elsewhere, for use in a jQuery attack, security researchers have discovered. Phylum researchers said they have been monitoring the “persistent supply chai
「感染予防ねこの手グローブ」はグローブ型になっており、指先をこの中に入れてものに触れることで、素手での対象物への接触を避けることができる。バッグなどにチャームとして装着可能。画像提供/pure bliss 昨年1月後半に新型コロナウィルスの感染が報じられてからは、あっというまに感染の危機感が身近に迫った。飛沫感染、接触感染、連日聞こえてくるコロナの話が常に頭をよぎり、公共の場での人との接触が怖くなった。 コロナ以前から、私は少し潔癖気味だったので、接触に対する感染対策は人より徹底していたように思う。公共の場では、どんなものも直接自分の手では触らなかった。ねこの手の形をしたゴム製のアイテムをチェーンでバッグにとりつけ、コンビニやお店のドアをあけるときも、自分の手は使わずこの”ねこの手”で触る。 それから、エレベーターのボタンやATMの画面を触るとき用に感染防止リングを指先にはめて、指が直接触
京都市や京都府などは業務を委託していた会社のサーバーがコンピューターウイルスに感染し、ワクチン接種や自動車税の納税通知書などに関わる個人情報が相次いで外部に流出したおそれがあると発表しました。 京都市などによりますと、ことし5月、業務を委託するなどしていた市内の会社「イセトー」のサーバーなどが「ランサムウエア」と呼ばれる身代金要求型のコンピューターウイルスに感染しその後、個人情報や企業情報が外部に流出したおそれがあると連絡があったということです。 流出したおそれがあるのは、京都市で令和4年度に作成された新型コロナワクチンの接種券の画像データで、9人の住所や氏名、生年月日など、京都府の自動車税の納税通知書の作成に関わるデータで、159人分の氏名や車両番号、そして、京都商工会議所の会員企業の代表者の氏名や役職、口座情報の一部など、最大で4万件余りだということです。 いずれもこれまでのところ、情
Kaspersky Labは2024年5月30日(現地時間)、「Linux」プラットフォーム向けの無料マルウェアスキャナー「Kaspersky Virus Removal Tool for Linux」(KVRT for Linux)をリリースした。 Linux向け新マルウェアスキャナー、「Kaspersky Virus Removal Tool」 KVRT for Linuxはx86_64アーキテクチャの64bitのOSのみに対応し、LinuxベースのOSを実行するシステムをスキャンして検出された脅威を取り除くことが可能だという。 KVRT for Linuxは攻撃のリアルタイム監視を提供してはいないが、マルウェアやアドウェア、攻撃に利用される可能性のある正規プログラムを検出できる。最新の脅威を認識できるようにするには、毎回最新バージョンのプログラムをダウンロードする必要がある。アプリケ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます メールセキュリティを手掛ける米Cofenseは3月7日、マルウェア「Emotet」の拡散を狙う攻撃メールが米国東部時間の同日午前8時(日本時間同日午後10時)頃から出回り始めたと報告した。マルウェア対策の検知を逃れると見られる新たな手法も確認されたという。 Cofenseによると、攻撃メールには、「INNVOICE」などの名前でパスワードがかけられていないZIPファイルが添付され、マクロを含むOfficeドキュメントが格納されている。 セキュリティ研究者グループのCryptolaemusがこのファイルを分析したところ、マクロを含むOfficeドキュメントのファイルサイズは500MBを超え、ユーザーがOfficeアプリケーションでマクロを
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 最近よく見る偽のエラーメッセージやキャプチャ画面について簡単に紹介します。 セキュリティに関わっていない方でも読みやすいように書いてあります。 ClickFixについて 偽のエラーメッセージやキャプチャ画面を使って、悪意あるコードを実行させようとする手法です。 昨年あたりからよく見かけるようになり、日本語で書かれているものも確認しています。 ClickFixの例 偽のブラウザエラーメッセージ(Chrome) Chromeなどのブラウザのエラーメッセージを装って、悪意あるコードを実行させようとします。 「修正をコピー」をクリックすると、以
Huawei has been secretly funding research in America after being blacklisted
When a company raises $175M at a $3B valuation, it gets your attention. When that startup is a browser company, all the more.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
