Wireshark は無料で利用できるプロトコル アナライザです｡ Wireshark を使うとネットワーク トラフィックをキャプチャしたり､キャプチャしたパケットを表示させることができます｡そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが､Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます｡

パロアルトネットワークスの脅威インテリジェンスリサーチチームUnit 42は定期的にEメールリンク分析(ELINK)システム を見直しています。収集したデータを調べると、よく見られるWebの脅威を識別するのに役立つパターンと傾向がわかります。このブログは、年間を通じてWebベースの脅威、特に悪質なURL、ドメイン、エクスプロイトキット、およびCVEに関する統計を追跡している一連の記事の第3回(2018年第3四半期)にあたります。

11月8日、日本の気象庁は、同庁の警報を装った偽の迷惑メールに関して報道発表を行いました。本ブログでは、Unit 42によるSmoke Loaderと気象庁を装った攻撃に関する分析について解説します。

Unit 42は、今月初めに石油・ガス組織に影響を及ぼしたShamoon 3攻撃の調査を続けてきました。継続調査中、悪名高いDisttrackトロイの木馬を使うインシデントに関連している可能性のある､別のワイパー型トロイの木馬を特定しました。このワイパー型トロイの木馬は、オープンソースSuperDeleteツールに変更を加えた亜種で､そのソース コードは Githubから容易に入手できます。

パロアルトネットワークスは、今後クラウドから提供されるセキュリティサービスがますます増加すると考えています。そして、脅威を防ぐために、機械学習と人工知能 (AI) が、セキュリティの中で大きな役割を占めていくことも明らかです。

1.仮想通貨マイニングを最終的な目的とする攻撃の増加 昨年末に大幅な増加が観測され、この傾向は2018年を通じて続きました。仮想通貨マイニングは、ビットコインなどの通貨を作成するためのプロセスです。「マイニング」プロセスには、一連の計算を実行し、暗号化の問題を解決するための競争が伴います。競争に勝った人に一定量のコインが与えられ、計算により多くのCPUパワーを投入できる人ほど、勝利する確率が高くなります。これは、攻撃者にとって、お金を稼ぐために非常に安全な方法となりました。これが急激に増加するとは予測しませんが、脅威環境内で継続的に発生し、個人や企業が同様に認識する必要があることは確かです。

Sofacyグループ(別名Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)は、2018年10月半ばから2018年11月半ばにかけて、世界中の政府機関や民間組織を継続的に攻撃しています。元ソビエト連邦諸国の一部も標的になっていますが、標的の多くはNATO加盟国です。攻撃では、主に弊社が以前に分析したZebrocyツールの亜種が利用されています。

パロアルトネットワークス脅威インテリジェンスチームUnit 42の調査結果やパロアルトネットワークスのセキュリティソリューションをもとに、国内外のサイバー脅威について振り返りつつ、2019年にはどのようなサイバー脅威に対して注意を払うべきか解説します。

クラウドへの移行が企業にもたらす利点は明白で、柔軟性、俊敏性、拡張性の劇的な向上とコスト削減です。しかし、パブリック クラウド インフラストラクチャを採用することは、セキュリティ リスクやコンプライアンス問題の拡大につながる可能性があります。弊社は、Unit 42から最新のレポート「クラウド セキュリティの傾向とヒント: AWS、Azure、Googleクラウド環境を保護するために学ぶべき主要事項」を公開しました。このレポートで、Unit 42は、2018年5月下旬から9月上旬にかけてクラウド セキュリティに対する新しい脅威と従来から存在する脅威を考察し、企業がリスクと効率性のバランスをとる上でどのような取り組み状況にあるかを分析しています

12月10日、Disttrackマルウェアの新しい亜種がVirusTotalに提出されました。VirusTotalでは、弊社が以前にこことこことここで公開した2016年と2017年のShamoon 2攻撃で使用されたDisttrackマルウェアを含め、かなりの量のコードが共有されています。

パロアルトネットワークスは、公共機関を対象に、仮想化次世代ファイアウォール「VM-Series」を導入いただきやすい特別価格でご提供するプログラムを開始します。

サイバーセキュリティの世界的リーダーであるパロアルトネットワークスは、「Security Operating Platform」にて、クラウドセキュリティ提供の一貫として、この1年でアメリカ政府のクラウド調達のセキュリティ基準FedRAMPの「Ready」ステータスをはじめとした国際的なセキュリティ基準の認証を取得しました。

Unit 42は、これまでに報告されていないカスタマイズされたドロッパを活用したキャンペーンを明らかにしました。このドロッパは、主に韓国および北朝鮮地域に関係したルアー(わな)を配信するために使用されます。これらのルアーは、さまざまな仮想通貨、仮想通貨交換所、政治情勢などの、一連の話題を扱っています。このドロッパ内に発見されたさまざまな情報から、Unit 42はこのマルウェア ファミリをCARROTBATと呼んできました。

早くも2016年には観測されていたAzorultは、トロイの木馬ファミリであり、スパム キャンペーンを介して、またはRIGエクスプロイト キット キャンペーンの2次ペイロードとして、悪意のあるマクロベースの文書で配信されてきました。2018年10月20日、弊社は、新しいAzorultの亜種が、Falloutエクスプロイト キットを使用した新たな継続中のキャンペーンで、1次ペイロードとして使用されたことを確認しました。弊社は、このキャンペーンを「FindMyName」と命名しました。最後のエクスプロイト ページがすべてfindmyname[.]pwというドメインに行き着くためです。このような新しいAzorultサンプルの亜種は、アンチウイルス製品を回避するため、APIフラッディングや制御フローの平坦化など、高度な難読化技法を使用します。また、Azorultはさらなる進化を遂げており、弊社が捕捉したサンプルは、以前のバージョンよりも多くのブラウザ、アプリケーション、仮想通貨ウォレットの機密情報の窃取をサポートしていることがわかりました。

2018年10月後半および11月初め、パロアルトネットワークス脅威インテリジェンスリ調査チームUnit 42が傍受した一連の文書は､悪意のあるマクロを含むテンプレートをリモートからロードする技法で兵器化されていました。 この種類の文書が兵器化されること自体はとくに珍しくありませんが､モジュールを自由に組み換えて使えるという性質上､自動分析システムによるマルウェア判定がより困難になります。この技法の特徴は、実行時にC2サーバーが使用可能でない場合、悪意のあるコードを取得することができず、配信された文書の大半が無害と判定されることです。

攻撃者の作戦がどのようなスピードで展開されていくかを攻撃ライフサイクルの初期段階で考察するにはかなりの困難がともないます。偵察・兵器化のような攻撃の初期段階では､標的に直接働きかける配信段階と比べると、リサーチャーが分析に使えるデータがまだあまりないからです。 しかしながら､BONDUPDATERを配信した中東の政府機関に対する2018年8月の攻撃を継続調査するなかで、Unit 42リサーチャーは、OilRigによるテスト段階の活動を観測することができました。またこのテスト段階の活動が､続く攻撃で使用された兵器化済み配信文書の作成につながったことを確信するにいたりました。

皆さまとコミュニケーションする場、Palo Alto Networks Day

インセプション攻撃者の動きは､遅くとも2014年以降活発化しており、これまでにもBlue CoatとSymantecによってドキュメント化されてきました。過去の攻撃では､カスタム マルウェアが多様なプラットフォームに対して使用され､ロシアを中心とする世界各国で幅広い業種が標的となっています。本ブログでは、2018年10月に確認されたヨーロッパを標的とする攻撃について説明します。これらの攻撃はCVE-2017-11882と新しいPowerShellバックドアを使用しており、後者については、PowerShellで作成されたマルウェアと同時に自分の痕跡も消去する特徴に注目して、私たちはPOWERSHOWERと呼んでいます。

昨今の熟練した攻撃者は､商用ツールや商用マルウェアをつかい､初回配信の手段もシンプルなものを利用します｡その目的は､自身の行動を目立たせず､犯行と結び付けられるリスク(帰属リスク)を容易に回避することです｡とくによく見られる手口の1つがSNSや一般的なエクスプロイト(CVE-2017-0199やThreadKitビルダーなど)を悪用したスピアフィッシングメールを目的の組織の従業員に送る方法です｡こうした初期段階の感染に成功してはじめて高度なカスタムマルウェア､ツール､侵害環境にもとから存在するツール (PowerShellやCMSTP、Regsvr32など)を利用した攻撃をはじめるのです。

米Palo Alto Networksは、Gartner, Inc.が2018年に発行したエンタープライズ・ネットワーク・ファイアウォール部門のマジック・クアドラントのレポートにて、7年連続で「リーダー」として評価されました。

弊社は、お客様環境を保護し、攻撃の成功を阻止する新しい方法の発見に日々取り組んでいます｡最近、そのための新たな調査手法を確立しました。 膨大なドメイン情報のデータセットにたいし、教師なし機械学習を援用する手法です。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、2018年8月上旬、正規Adobe Flashインストーラーが表示するポップアップ通知を真似た、複数の偽装Flash更新プログラムサンプルを発見しました。

Unit 42リサーチャーは、LinuxおよびMicrosoft Windowsサーバーを標的にした新しいマルウェア ファミリを発見しました。弊社は、このマルウェアをXbashと命名し、これまでランサムウェア攻撃で知られた脅威攻撃者グループであるIronグループの仕業と判断しました。

Unit 42は、よく知られているIoTボットネットMirai、Gafgytの亜種を新たに発見しました。これは、2016年11月以降の前例のないDistributed Denial of Service (DDoS)攻撃に関わりのあるIoTボットネットです。これらの亜種は、次の2つの理由から注目に値します。(1) 新しいMiraiは、2017年にEquifaxのデータ漏洩を引き起こしたものと同じApache Strutsの脆弱性を標的にしている (2) 新しいGafgytは、SonicWallのサポート期限が切れた旧バージョンのGlobal Management System (GMS)に作用する、新たに発見された脆弱性を標的にしている

Unit 42は最近、ロシア語およびカンボジア語を話す個人または組織を標的とする、政治的な動機付けを持つルアー(わな)を含む攻撃で使用されたNOKKIマルウェア ファミリを紹介しました。この調査の一環として、Reaperと呼ばれる脅威グループとの興味深いつながりが発見されました。

2018年初めに、Unit 42はこれまで報告されていないマルウェア ファミリを利用した一連の攻撃を観測し、このマルウェア ファミリを「NOKKI」と命名しました。問題のマルウェアは、以前に報告されているKONNIという名前のマルウェア ファミリと関係がありますが、慎重な検討の結果、別のマルウェア ファミリ名を与えるに足る十分な相違点があると確信しました。KONNIとの密接な関係を反映させるため、KONNIのNとKを入れ替えて、NOKKIという名前を選択しました。

パロアルトネットワークスは、2015年より日本で年次イベント「Palo Alto Networks Day」を行っています。より安全に、安心してこのデジタル時代を生き抜くために必要な、新しいセキュリティへの発想の転換や、具体的な方法について最新情報をお届けしております。 今年もまもなく、Palo Alto Networks Day 2018が開催されます。今年6月に就任した新会長兼最高経営責任者（CEO）のニケシュ・アローラも登壇予定です。現在YouTubeでもご紹介しています。

パロアルトネットワークスの次世代エンドポイントセキュリティ製品 Traps™ Advanced Endpoint Protection は、何重ものマルウェア対策、エクスプロイト対策で複雑な脅威からお客様環境を保護します。本記事では、現在もインターネット上で利用されているInternet ExplorerにおけるVBScriptゼロデイ攻撃のTrapsで防止しうるポイントについて解説しています。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、電子メールのリンク解析「Email Link Analysis (ELINK)」による2018年4月から6月(第2四半期)の統計データを分析しました。

パロアルトネットワークスは、パブリッククラウドにおける包括的セキュリティとコンプライアンスの確保を実現するクラウドインフラサービスプロテクション「Evident」を、9月3日より日本市場で提供開始します。