トレンドマイクロ:ウィルス検出時の対応 その1
今回は、トレンドマイクロのブログで何度かシリーズとなっているウィルス検出時の対応をまとめます。
まずはアンチウィルスソフトでウィルス検出したときのログの見方や判断基準について記載されている、2つの記事をまとめてます。
すぐ役立つ!ウイルス検出時の対処法 検出ログからの危険度判断1
ウィルス検出したときにまずやることは?
・検出ログの確認で危険度の高い検出を特定する
重要なのは、「検出ファイル名とフルパス」、「検出種類」、「処理結果」
・同じコンピュータで日時の近い処理は1つの検出に対する処理の流れと判断
・「検出種類」は、リアルタイム検索とマニュアル検索
・「処理結果」は、隔離、削除、駆除、アクセス拒否、DCSなど
・「処理結果」で失敗していれば、不正プログラムが活動していると考えられる
マニュアル検索による場合は、以前から存在していたので他の不正プログラムが考えられる
・「検出種類」、「処理結果」から不正プログラムの侵入のどの段階にあるかと現在までの活動状態について推測が可能となる
続きを読む
Symantec: 金融機関を狙うトロイの木馬は引き続き脅威
Trend、McAfeeと来たので、今回はSymantecのブログから。
ここ一週間くらいの記事を確認。
金融機関を狙うトロイの木馬の 2014 年における概況: 摘発作戦によって感染件数は 53 % 減少したものの脅威は引き続き蔓延 | Symantec Connect
Is IoT in the Smart Home giving away the keys to your kingdom? | Symantec Connect
Microsoft Patch Tuesday – March 2015 | Symantec Connect
MSのパッチチューズデイも気になりましたが、やはり日本語のほうがわかりやすいので、金融機関を狙うトロイの木馬をまとめ。
・金融機関を狙ってオンラインバンキングセッションから取引を傍受し、リダイレクトするトロイの木馬について
・2014年、感染件数は53%減少
・Trojan.Shylock などの脅威ファミリーがほとんど姿を消した一方で、新しく派生した Infostealer.Dyranges などの脅威が増加
・法執行機関とセキュリティ業界が協力して実行した摘発作戦が減少の理由
また、たいしたことは書いてないが、下記に気をつけましょうとのこと。
- 迷惑メールや身に覚えのない不審な電子メールが届いたら警戒する
- ウイルス対策ソフトウェアとオペレーティングシステムを常に最新の状態に保つ
- 二要素認証などの高度なアカウントセキュリティ機能を利用できる場合は有効にする
- すべてのアカウントに強力なパスワードを設定する
- オンラインバンキングセッションが完了したら必ずログアウトする
- アカウントへのログイン通知を利用できる場合は有効にする
- 銀行の取引明細を定期的にチェックして不審な取引がないか確認する
- 金融機関のサービスを利用しているときに不審な動作があった場合は金融機関に報告する
日本の被害は2013年の2位から5位になった。
マルウェアが起因になった日本での被害はそれほど多くないと思ったが、意外と多いんですね。
Symantecブログでは、1枚の絵でよくまとめてますよね。
結構視覚的にまとまっていて、結構好きです。
それでは。
Intel Security(McAfee):2015年脅威レポート
ハーイ、てくりちです。
今日は、Intel Security(McAfee)が公開した2015年脅威予測のレポートをまとめます。
http://www.mcafee.com/jp/resources/reports/rp-quarterly-threat-q3-2014.pdf
2015年の脅威を下記のようにIntel Securityは予測しています。
・BERserkというRSA署名検証の脆弱性を活用した被害
・ユーザの信用を悪用した攻撃による被害
・サイバースパイ活動が増加
金融機関の利用者の認証情報を盗み出して攻撃
小売店の戦略、運営方法などの情報を盗み出して売買
・IoTデバイスに対する攻撃の増加(防犯カメラに侵入して乗っ取りが可能であることが証明されている)
・モバイル端末を狙うランサムウェアの拡大
・モバイル端末のマルウェアの増加
・NFC技術の脆弱性を活用したPOSへの攻撃
・Shellshockを活用したWindows以外のシステムを狙うマルウェアの増加
・アプリケーションサンドボックスの回避技術がサイバー犯罪者の手に渡り、活用され始める
※BERserk
マカフィーが昨年9月に発見した脆弱性で、RSAの秘密鍵を知らなくてもRSA署名の生成が可能になる(=RSA証明書を偽造できる)
※ランサムウェア
ファイルなどを暗号化して利用者が参照できないようにし、暗号化解除のために身代金を要求するようなマルウェア
また、マルウェアの統計情報もレポートされてました。
ついにマルウェアの合計は3億に。いくらでも亜種を作れる今では、あまり意味のある情報ではないかもしれませんね。
そして数年前はそれほど多くなかったモバイルマルウェアも500万とかなり存在感を示してきてます。
新しい不審なURLは四半期に3千万件。急激に伸びてるように見えます。
そして最後にネットワーク攻撃の割合。
DoS/DDoSが増えてきているとは聞いてますが、そんな傾向ですね。
SSLはHeatbleedの影響だとか。
TrendMicroブログピックアップ:SSL/TLS通信時の脆弱性「FREAK」
今回はTrendMicroのブログから。
1週間のタイトルを確認してみると、下記3件。
SSL/TLS通信時の脆弱性「FREAK」、その影響度は? | トレンドマイクロ セキュリティブログ
データベース「MongoDB」の管理ツール「phpMoAdmin」に存在するゼロデイ脆弱性の解析 | トレンドマイクロ セキュリティブログ
Linux用ファイル共有サービス「Samba」に存在する脆弱性「CVE-2015-0240」 | トレンドマイクロ セキュリティブログ
今、脆弱性情報としてホットになっているFREAKの記事のポイントをまとめます。
・SSL/TLS通信にて暗号化強度の弱い暗号を使用させることができる
・攻撃成功には条件あり
①中間者攻撃(MITM攻撃)が可能
②接続元クライアントが脆弱性を受けるソフトを使用
③接続先サーバが「RSA Export Suites」をサポート
・信頼性の高いWebサイトも該当。bloombergなどのサイトも該当しているとか
・サーバ側の対策としては、「RSA Export Suites」を使用しないようにすること
なお、記事にSSLサイトの脆弱性をチェックするサイトがあったので載せておきます。
SSL Server Test (Powered by Qualys SSL Labs)
攻撃のハードルは高いですが、脆弱性があるかチェックができてしまうので、サーバ側での対策は検討すべきかと思います。
これが記念すべき初回となります。
正確性に欠けることもありますので、気になった方はサイトを確認いただければと。
セキュリティねたのピックアップ&まとめブログ
このブログでは、セキュリティねたを書いていきます。
このブログのルールは、
・匿名で
・セキュリティねたを
・週に1回以上公開する
ということで考えてます。
というのも、私はとある企業のIT関連部門にて、セキュリティ製品を取り扱っている技術部門におります。
私は特定のベンダーの製品を扱っており、そのベンダーの悪口は言えないし、競合ベンダーを褒めると、かなり問題になります。
しかもそれがインターネットに公開されているとなると、さらにまずい。
ただ、そんな窮屈な記事は書きたくないので、『匿名』ということで進めたいと考えてます。
また、セキュリティ製品を取り扱っていて、セキュリティのニュースなどを日々気にかけなければならないのですが、情報量が多すぎて、正直ほぼ追えていないです。
でも、きっと同じようなかたはたくさんいらっしゃるはず。
私自身がセキュリティの情報を定期的にチェックしながら、それをある程度まとめたものを記事にすれば、きっと同じような境遇の人に役立つはず。
そんなわけで、セキュリティねたとなります。
なお、セキュリティねたでも特に考えているのは、セキュリティベンダーのブログのまとめです。今考えているのは、
の研究者のブログ。
セキュリティを担当していれば、上記のブログを日々チェックしよう!という想いを持ったことがある人は多数いるはず。
でも結構大変です。あまり続けられている人はいないのではないか・・・と思ってます。
これらのブログから面白そうな記事をピックアップして、まとめたものをブログにしていく、というのがこれからやろうとしていることです。
なお、最近では新たなセキュリティベンダーもでてきています(PaloAltやFireEyeなど)。
いい企業のブログなどあれば、それも対象にしていきたいと考えてます。
最後に、週に1回以上というのをがんばりたいと思います。
では、これからよろしくお願いします。
P.S.
IDは、techrity = Technical + Securityで名づけました。
日本語で『てくりち』というハンドルネームとして活動していきたいと思います。