Displaying 1 to 30 of 248

Tokyo 2020までにサイバーセキュリティスキルのギャップを埋めるための日本の指針

2020年の東京夏季オリンピック競技大会まで3年しか残されていない中、日本はサイバーセキュリティ分野の人材不足に直面しています。経済産業省(METI)によると、想定される可能性に対する現在のITプロフェッショナルの不足は132,060人で、2020年にはさらに193,010人に増加します。エンドユーザ企業の約半分が、ITセキュリティ関連の従業員が不足していると確信しており、これらの役割に十分な人材がいると思っているのは26%のみです。

  • 0
  • 16

継続は力なり:ダウンローダー Nemucod、進化しつつ認証情報窃取を試みる

Palo Alto Networks の脅威インテリジェンスチーム Unit 42 は、直近で一連の Nemucod (リンク先英語)ダウンローダー マルウェアについての調査を重ねていました。本マルウェアは兵器化された文書を利用してエンコード化・高度な難読化を施した JavaScript を展開することにより、最終的には被害者にさらなるペイロードを配布するものです。ヨーロッパ、米国、日本での攻撃が目立ちます。

  • 0
  • 19

脅威の概要: WanaCrypt0r について判明していること

本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。

Rick Howard, Palo Alto Networks,
  • 0
  • 1132

WanaCrypt0r ランサムウェア攻撃に対するTrapsによるプロテクション

2017年5月12日金曜日に始まったWanaCrypt0rランサムウェア攻撃は、世界中の公的組織および民間組織のシステムに影響を与え続けています。この記事では、次世代 エンドポイント セキュリティTrapsが提供する今回のランサムウェア攻撃に対する保護と、お客様がWanaCrypt0rに対してセキュリティを強化するために取るべき対策の概要を説明します。 ランサムウェア:WanaCrypt0r ランサムウェア WanaCrypt0r (別名WannaCryまたはWCry)の最初の感染ベクターはまだ調査中ですが、これまで多くの攻撃が確認されています。これらの攻撃は、Microsoft WindowsシステムのSMBプロトコルの脆弱性CVE-2017-0144(「EternalBlue」と呼ばれる)を使って、ネットワーク上の感染したエンドポイントから、他のシステムに感染を拡大していきます。Microsoftは、2017年3月にこの脆弱性に対するパッチを発行し、セキュリティ パッチの提供対象ではなくなっているWindows XPなどのシステムに対しても特別にパッチの提供をしました。 SMBプロトコルの脆弱性が利用される可能性のあるパッチ未適用のWindowsシステムでは、最初に感染したエンドポイントから、WanaCrypt0rがターゲットのシステムにリモートで感染し、マルウェアを実行します。新しく感染したエンドポイントは、ネットワークで接続されているその他のホストにこのサイクルを繰り返し、攻撃を拡散していきます。感染した各エンドポイント上のデータ ファイルは、身代金を引き出すために、暗号化されます。 WanaCrypt0rに対するTrapsによるプロテクション Trapsの複数メソッドによる防御アプローチにより、WanaCrypt0r攻撃の初期の段階でマルウェアの実行をブロックします。最初のマルウェアがうまくエンドポイントに侵入した場合(当社の次世代セキュリティ プラットフォームがこれを阻止できるしくみを以下に示しています)、Trapsは、WanaCrypt0rマルウェアを実行しようとする攻撃者の試みを自動的にブロックします。 ランサムウェアWanaCrypt0rの実行を阻止 Trapsのほぼ全てのお客様は、WanaCrypt0r攻撃を防ぐためにデフォルトのポリシーと設定を変更する必要はありません。Traps v4.0 (2017年5月にリリース)およびv3.4 (2016年8月にリリース)は、以下のマルウェア防御メソッドを使用して、Windows端末上でのWanaCrypt0rの実行を阻止します。 脅威インテリジェンスクラウドWildFire: WildFireは、当社の脅威インテリジェンス パートナー、サードパーティ フィード、およびWildFireに登録している15,500のお客様によって確認されたWanaCrypt0rのすべてのサンプルをマルウェアとして自動的に見極めます。世界中でこのマルウェアの新しいサンプルが発見されたら、WildFireは、Trapsによって保護されているエンドポイントでそれらの亜種をブロックするため、更新済みの制御を自動的に作成および配信します。Trapsでは、このマルウェア防御機能はデフォルトで有効になっており、お客様が、この保護機能を無効にしない限り、ポリシー設定を変更することなく保護されます。 機械学習機能を利用したローカル解析: ローカル解析マルウェア防御機能は、WanaCrypt0rの新しい亜種およびこれまで確認されていない亜種にエンドポイントが感染する前にその実行をブロックします。ローカル解析はウイルス シグネチャを使用せず検出できるため、Trapsのお客様は、金曜日に表面化したこのランサムウェア攻撃の最初の報告より前から保護されていました。また、このマルウェア防御機能はデフォルトで有効になっているため、お客様は、この保護機能を無効にしない限り、ポリシー設定を変更することなく自動的に保護されます。 WildFireクラウドベースの詳細解析: Trapsは、ローカル解析と組み合わせて、より詳細な解析を行うために、クラウド脅威解析WildFireに未知の実行可能ファイルを自動的に送信します。これを受けてWildFireは、自動的に新しい防御制御を作成して、Traps (およびPalo Alto Networksの次世代セキュリティ プラットフォームのその他のコンポーネント)と共有します。これは、自動で、わずか5分で実行できます。このマルウェア防御機能では、WanaCrypt0rの新しい亜種と未知の亜種だけでなく、その他のマルウェアも識別できます。さらに、Trapsのお客様は、WildFire判定が出るまで、未知のプログラムの実行を防ぐように簡単に設定することができます。この追加の制御は、Traps v3.4およびv4.0ではデフォルトでONにはなっていませんが、基本的に、WanaCrypt0rランサムウェアのブロックには不要です。 実行制御: 実行制御によって、WanaCrypt0rがターゲット マシン上の一時フォルダに作成するマルウェア プログラムを実行しないようにできます。実行制御は、デフォルトで使用可能なWildFireおよびローカル解析防御機能を補完する追加の防御層として機能します。セキュリティ要件が高度なTrapsのお客様は、この防御機能によってデフォルトの防御を強化することを選択できます。ただし、この機能は手動で設定する必要があります。現在、WanaCrypt0rに関連する既知の場所および実行可能ファイルの立証済みの包括的な一覧がないので、Trapsのお客様は状況に応じて新しい実行制御を追加することを検討する必要があります。 WanaCrypt0rマルウェア拡散の阻止 前述のマルウェア防御機能に加えて、Traps v4.0で導入された子プロセス保護は、WanaCrypt0rで使用されるいくつかの手法で被害者のネットワーク全体に拡散しないように防止します。Palo Alto Networksは、Traps v4.0で、特定の子プロセス保護ポリシーの適用プロセスを自動化するコンテンツ更新(#15-1078、お客様はサポート ポータルから入手可能)をリリースしました。お客様は可能な限り、この更新を適用することをお勧めします。 Trapsおよび次世代セキュリティ プラットフォーム Trapsプロテクションは、Palo Alto Networksの次世代セキュリティ プラットフォームを構成する重要なコンポーネントです。次世代セキュリティプラットフォームで使われるされる脅威インテリジェンスによって防御力が強化され続けます。スタンドアロン導入(その他のPalo Alto Networksテクノロジを導入していない)でTrapsを使用しているお客様は、他のお客様によって先に検出されたWanaCrypt0rの亜種の情報が共有されることで感染を防ぐことができるメリットがあります。 次世代セキュリティ プラットフォームのその他のコンポーネントと共にTrapsを導入しているお客様は、これらの強力な標準防御機能に加えて、複数の補完的な防御と制御によって、攻撃のライフサイクル全体にわたって、WanaCrypt0rランサムウェアをブロックできます。これらの補完的な防御と制御については、ブログ記事「Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks」(WanaCrypt0rランサムウェア攻撃に対するPalo Alto Networksによる防御)で概要を説明しています。 WanaCrypt0rランサムウェア攻撃は進化を続けています。このランサムウェアの新しい亜種や更新された亜種が近い将来に発見される可能性があります。新しい情報が入り次第、Trapsに関する追加の詳細でこの記事を更新する予定です。

  • 0
  • 435

Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

  • 0
  • 2454

Dimnie: ありふれた場所に潜む

2017 年の 1 月半ば、パロアルトネットワークスの脅威インテリジェンス チーム「Unit 42」のリサーチャーはオープンソース開発者が悪意のある電子メールを受信しているという報告があることに気づきました。Dimnie というのが PowerShell スクリプトによりドロップされるバイナリの一般的な呼び名ですが、このバイナリは数年来出回っているものです。パロアルトネットワークスでは 2014 年の始め頃からこれと同一のコマンド&コントロールメカニズムを利用する検体を観測してきました。このマルウェア ファミリはダウンローダとして使われているもので、様々な情報窃取機能をモジュールとして組み込めるよう設計されています。

  • 0
  • 176

Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。

  • 0
  • 620

Android アドウェアの新しい傾向: Android のプラグインフレームワークの悪用

正当なモバイルアプリが広告用 SDK やほかのアプリのプロモーションを組み込むのはよくあることです。広告を表示し、ほかのアプリのプロモーションすることで、正当なアプリの開発者は収入を得ているからです。しかしながら、最近モバイルアプリコミュニティにおいて警戒すべき傾向が観測されるようになってきました。すなわち、Google Play ストアのアドウェア プログラムが Android 上でサードパーティの DroidPlugin フレームワーク を悪用し、より攻撃的になってきているという傾向です。

  • 0
  • 194

MinecraftやSteamなどのゲームの認証情報を狙う、新しいクラウド型キーロガー「NexusLogger」が登場

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、「NexusLogger」という名の新たなキーロガーを発見しました。この攻撃は不完全なもので、未遂に終わりました。このNexusLoggerはクラウド型のキーロガーで、Microsoft .NET Frameworkを利用し、機能の発達度に関しては低レベルです。NexusLoggerは、キーストローク、システム情報、保存されているパスワードを収集し、スクリーンショットを撮ります。またとりわけ、UPlay、Minecraft、SteamおよびOrigin用のゲーム関連の認証情報の収集を行います。

  • 0
  • 148

Palo Alto NetworksのUnit 42脆弱性リサーチ2017年3月の発表

Palo Alto NetworksのUnit 42が現在行っている脅威リサーチの一環として、Adobe Flashに影響を及ぼすコード実行の脆弱性を3個(APSB17-07)、Unit 42リサーチャーが発見したことをお知らせします。これらの脆弱性はAdobeの月例セキュリティ更新のリリースにより修正済みです。

  • 0
  • 118

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。

  • 0
  • 193

電力・エネルギー分野のサイバーセキュリティと情報共有

パロアルトネットワークス株式会社の最高セキュリティ責任者(CEO)の松原実穗子が、3月10日発行の「エネルギー・資源 Vol.38 No 2 (2017)」で、「電力・エネルギー分野のサイバーセキュリティと情報共有~重要インフラ防御の観点から~」という論文を発表しました。ぜひご覧ください。

  • 0
  • 309

Palo Alto NetworksのUnit 42脆弱性リサーチ2017年2月の発表

Palo Alto NetworksのUnit 42が現在行っている脅威リサーチの一環として、Adobe Flashに影響を及ぼすコード実行の脆弱性を2個(APSB17-04)、Unit 42リサーチャーが発見したことをお知らせします。これらの脆弱性はAdobeの月例セキュリティ更新のリリースにより修正済みです

  • 0
  • 67

Gamaredonグループのツールセットの進化

私たちはこの脅威グループにGamaredonグループと名付けましたが、私たちのリサーチからGamaredonグループが少なくとも2013年以降活動していることが分かりました。

  • 0
  • 54

日本の学術研究者と 組織を狙った新たな攻撃

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、2016年の9月から11月にかけて、「menuPass」として知られる攻撃グループによるAPT攻撃(持続型の標的型攻撃)が、日本の学術研究者および製薬企業、米国に子会社を置く製造業を対象にしていたことを確認しました。この攻撃では、トランプ氏の選挙での勝利に便乗した件名などを使用した、スピアフィッシング攻撃が用いられています。

  • 0
  • 516

StegBaus: XORだけでは不十分なこともあるので...

特別仕様のステガノグラフィーの使用、および埋め込み型DLLの中に見られるPDB文字列に因んで、私たちはこの悪意のあるローダーをStegBausと呼んでいます。

  • 0
  • 55

複数のマルウェア ファミリを導入する特異なOfficeローダー

先日、Palo Alto Networksは、悪意のあるマクロを利用する、Microsoft Office用の特異なローダーについて分析しました。このローダーは、多数のマルウェア ファミリの導入に使われ続けており、最初、2016年12月初旬に目撃されました。それ以降、650個を超える一意のサンプルが確認されています。

  • 0
  • 52

XAgentOSX: SofacyのXAgentにmacOS版亜種

Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」は、継続中のSofacyのKomplexトロイの木馬に関するリサーチにおいて、SofacyのWindows版トロイの木馬XAgentのmacOS版の新たな亜種を発見しました。このバックドア型トロイの木馬は、macOSシステムを使っている個人を標的にする際にSofacyグループが使用しているものと考えられます。作成者は、XAgentOSXと名前を付けました。

  • 0
  • 51

銀行を狙うトロイの木馬:日本の感染者を踏み台に世界中に攻撃を行う、Ursnifによる配信ネットワークが明らかに

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、日本の銀行を狙うトロイの木馬「Ursnif(別名Gozi)」を分析する中で、感染者を踏み台にさまざまな国へ攻撃を行う配信ネットワークを突き止めました。

  • 0
  • 241

サウジアラビアを標的にするMagic Hound攻撃活動

Palo Alto NetworksのUnit 42脅威インテリジェンス チームは、持続型攻撃活動が主に中東で行われているのを発見しましたが、この攻撃活動は少なくとも2016年中頃までに遡ります。私たちはこの活動をMagic Houndと命名しました。

  • 0
  • 75

パロアルトネットワークス、 日経コンピュータ パートナー満足度調査2017 不正侵入/情報漏洩対策製品部門 第1位獲得

パロアルトネットワークスは、株式会社日経BP(本社:東京都、社長:新実 傑氏、以下日経BP社)の発行する日経コンピュータ誌(2017年2月2日号)にて実施した「日経コンピュータ パートナー満足度調査 2017」の「不正侵入/情報漏洩対策製品部門」で1位を獲得しました。

  • 0
  • 65

DowneksおよびQuasar RATを使用した、政府機関に対する最近の標的型攻撃

先日、Palo Alto Networks Trapsアドバンスト エンドポイント プロテクションが、DustySkyと関連した攻撃活動の一部と考えられる最近の攻撃を阻止しました。DustySkyは他社がGazaサイバーギャング グループの関与を指摘している攻撃活動であり、同グループはGaza地区の政府関係者を標的にしています。

  • 0
  • 84

“Blank Slate”攻撃活動、ランサムウェア配信にホスティング プロバイダを悪用

この数か月間、私たちは有害なスパム(malspam、マルスパム)攻撃活動を追跡していますが、この攻撃活動では、空メッセージの電子メールが使われており、それにはランサムウェアの拡散を目的とするzipアーカイブが添付されています。私たちはこの攻撃活動に“Blank Slate”というニックネームを付けました。それは、このマルスパムのメッセージが空欄(ブランク)になっていて有害な添付ファイルに関する説明がないからです。

  • 0
  • 84

中東の政府機関を政治目的で攻撃する標的型ランサムウェア

先日、Palo Alto Networksの脅威インテリジェンスチームUnit 42は、中東の複数の政府機関が、これまで見たことのないランサムウェア ファミリを使った攻撃を受けているのを目撃しました。このマルウェア内に埋め込まれている文字列に基づき、私たちはこのマルウェアを「RanRan」と命名しました。マルウェアが提供する身代金要求文が標的型の類であること、およびこのマルウェア ファミリのサンプルのセットが小規模であることから、私たちはこの攻撃が本質的に攻撃型であったと信じています。私たちの分析では、この攻撃と最近のShamoon 2攻撃との間に何の関係も見られません。

  • 0
  • 34
Displaying 1 to 30 of 248