ブログ(脅威調査)

セキュリティ脅威の分析、サイバー攻撃、脅威情報などのトピックについて、FireEye Labsチームが技術的な観点から解説します。


    長期的に活動する脅威グループ「APT10(MenuPass)

    次の日付まで FireEye

    「APT10」(MenuPassグループ)は、ファイア・アイが2009年より追跡している中国のサイバースパイ集団です。このグループはこれまで、米国、欧州、日本の土木建設企業、航空宇宙企業、通信企業、官公庁を標的としてきました。こうした業界が標的となっているのは、重要な軍事諜報情報の入手や、中国企業の支援に向けた機密情報の窃取など、中国の国家安全保障に関わる目的を後押しするためと考えられます。なお、PwCとBAEは最近、共同のブログ記事を発行し、APT10の広範な活動について詳述しています。

    続きを読む...


    最新の攻撃キャンペーンで、DOCMファイルとして拡散されるランサムウェア「LOCKY」を観測

    次の日付まで FireEye

    ファイア・アイでは、今年8月にランサムウェアLOCKYに関する複数の大規模な攻撃キャンペーンを観測しました。多岐にわたる業界が攻撃対象になっているなか、医療業界が最も影響を受けています。

    続きを読む...


    ファイア・アイ ブログ:ランサムウェア「Cerber」のC2サーバー遮断について

    次の日付まで FireEye
    概要 2016年6月10日、ファイア・アイのエンドポイント・セキュリティ製品「FireEye HX」は、ランサムウェア「Cerber」による攻撃キャンペーンを検知しました。その後、ファイア・アイはオランダのCERTとWebホスティングプロバイダーと協力することで、検知から数時間以内にCerberのインストーラーを保有していたC2サーバーを特定し、遮断することに成功しました。 ファイア・アイはCerberが意図的にロシアと旧ソビエト連圏の複数の国を攻撃対象から外していたことから、東ヨーロッパ由来の攻撃であると推測しています。サーバーが遮断された6月10日以降、Cerberへの新たな感染は観測されていませんが、攻撃者が新たなC2サーバーを立ち上げ、攻撃を再開する可能性は否定できません。ファイア・アイでは引き続きCerberの動向に警戒するとともに、包括的なセキュリティ対策でお客様の情報資産を守っていきます。 ランサムウェア「Cerber」について Cerberは電子メールにワードファイルとして添付され、誤って開封すると不正なマクロが実行されます。感染したPCには身代金を要求するメッセージが表示され、暗号化されたファイルを復号するにはビットコインの支払いを求められます。Cerberは日本語を含む12か国語に対応しており、ある攻撃キャンペーンでは5,000にもおよぶインストールが報告されていました。今年5月に「TeslaCrypt」ランサムウェアが突然の終息をむかえて以来、最も活発的なランサムウェアの一つとして世界中で猛威をふるっていました。 <Cerberに感染したPC画面> このたび公開したブログ全文(英語)では、Cerberに関する詳細を解説しています。本件に関するご質問やご不明な点がございましたら下記ご連絡先までお問い合わせください。 続きを読む...


    世界で猛威を振るうランサムウェア「Locky」の再来

    次の日付まで FireEye

    ファイア・アイは、世界で猛威を振るっているランサムウェア「Locky」について、今年3月に顕著な上昇を観察していました。図1の通り、4月から5月にかけては増減を繰り返しながらも活動が途切れることはありませんでしたが、6月1日から3週間近くにわたり一時停止しました。しかし、ファイア・アイのDynamic Threat Intelligence(DTI)は、6月21日に新たな分析・サンドボックス回避機能が追加された「Locky」によるスパム・キャンペーンを検知し、現在の活動量は2016年上半期の水準まで回復しています。

    続きを読む...


    ファイア・アイ、検出が困難で危険なブートキットによりカード決済情報を狙う脅威グループを確認

    次の日付まで FireEye

    ファイア・アイの一部門であるマンディアント・コンサルティングは、今年9月、OS起動前に実行される高度なマルウェアを使用してカード決済情報を狙う、金銭目的の脅威グループを確認しました。この脅威グループは「ブートキット(bootkit)」と呼ばれる極めて特殊な手法を使用し、下位レベルのシステムコンポーネントにマルウェアを感染させるため、その特定・検出が非常に困難です。したがって、この手法が使われると、マルウェア根絶の最も有効な手段として広く認められているOSの再インストールを実施しても、マルウェアを削除できないことになります。

    続きを読む...