ネットセキュリティ研究家

マルウェア

5000ドルで買える脅威:BlackLotus UEFIブートキットの恐怖

- 見えざる脅威 UEFIブートキットとは パソコンの電源を入れると、皆さんは何気なくOSの起動を待っているでしょう。しかし、その裏では、OSよりも先に起動し、コンピューターを動作させるための重要なプログラムが動いています。それがUEFI(Unified Extensible Firmware Interface)と呼ばれるものです。 UEFIは、いわばコンピューターの基礎工事のようなものであり、OSはこの基礎の上で動作します。 しかし、この重要なUEFIが、悪意のある攻撃者によって狙われることがあります。攻撃者は、UEFIに「ブートキット」と呼ばれる悪質なプログラムを仕込むことで、OSが起動する前に悪意のあるコードを実行することが可能になります。 ブートキットは、OSよりも深いレベルで動作するため、セキュリティソフトによる検知が非常に困難です。まるで、家の基礎部分に侵入者が入ってしまっているようなもので、通常の鍵やセキュリティシステムでは太刀打ちできません。 もし、ブートキットに感染してしまうと、攻撃者はシステム全体を掌握し、重要な情報が盗み見られたり、コンピューターを乗っ取られたりする可能性があります。まさに、「見えざる脅威」といえるでしょう。
セキュリティ強化

信頼の証!サーバー証明書で安全なネット利用

今日では、買い物や銀行の手続きなど、多くのことをインターネットを通じて行うようになりました。膨大な情報が飛び交うインターネットの世界で、安心してこれらの活動を行うためには、情報の信頼性を確保することが何よりも重要になります。 例えば、オンラインショッピングの際にクレジットカード情報を入力したり、ネットバンキングで送金手続きを行う場面を想像してみてください。もし、その情報がやり取りされるウェブサイトが信頼できないものであった場合、個人情報が盗み見られ、悪用されてしまうかもしれません。 このような事態を防ぎ、インターネット上の信頼を支えているのが「サーバー証明書」です。サーバー証明書は、ウェブサイトの運営者が信頼できることを証明する、いわばインターネット上の「身分証明書」のようなものです。 サーバー証明書は、ウェブサイトとユーザーの間でやり取りされる情報を暗号化することで、第三者による盗聴や改ざんを防ぎます。私たちが安心してオンラインサービスを利用できるのも、このサーバー証明書が、陰ながら通信の安全を守ってくれているおかげなのです。
マルウェア

巧妙化する脅威!ランサムウェアから身を守る方法

- ランサムウェアとは? ランサムウェアは、まるで誘拐犯のようにあなたの大切なデータを人質に取り、身代金を要求してくる悪質なプログラムです。例えば、旅行の思い出が詰まった写真や動画、仕事で重要なファイルなどが、ある日突然開けなくなってしまうことがあります。そして、パソコンの画面に「データを取り戻したければ、お金を払いなさい」という脅迫メッセージが表示されるのです。 この身代金は、「身代金」を意味する英語の「ランサム(ransom)」が語源となっています。つまり、あなたのデータを取り返すための身代金を要求するソフトウェア、それがランサムウェアなのです。 近年、このランサムウェアの手口はますます巧妙化しており、個人だけでなく、企業や組織もその脅威にさらされています。かつては怪しいメールやウェブサイトから感染することが多かったのですが、最近では巧妙に偽装されたメールや、一見安全そうなウェブサイトにも危険が潜んでいます。そのため、誰もがランサムウェアの被害に遭う可能性があり、対策が急務となっています。
サイバー犯罪

信頼を悪用した攻撃:LOTSとは?

- 身近なサイトからの脅威近年、LOTS(Living off Trusted Sites)と呼ばれるサイバー攻撃手法が目立つようになってきました。LOTS攻撃は、GitHub、Google Drive、OneDrive、Dropbox、Notionなど、多くの人が日常的に利用し、信頼を寄せているウェブサイトを悪用するのが特徴です。これらのサイトは、一般的に安全だと認識されているため、セキュリティ対策ソフトによる検知を回避しやすく、攻撃者は悪意のある活動を容易に行うことができてしまいます。LOTS攻撃では、攻撃者は正規のウェブサイトに、悪意のあるファイルやプログラムをアップロードします。そして、メールやSNSなどを使い、巧妙に偽装したリンクを送りつけ、利用者を誘導します。リンクをクリックした利用者は、正規のウェブサイトにアクセスしたと認識したまま、悪意のあるファイルやプログラムをダウンロードしてしまうのです。その結果、パソコンやスマートフォンがウイルスに感染したり、重要な情報が盗み取られたりするなどの被害に遭ってしまいます。LOTS攻撃から身を守るためには、日頃からセキュリティ対策を意識することが重要です。信頼できるウェブサイトだからといって、安易にファイルやプログラムをダウンロードしないようにしましょう。不審なリンクはクリックせず、アクセスする前に必ずウェブサイトのアドレスを確認することが大切です。また、セキュリティ対策ソフトを導入し、常に最新の状態に保つことも有効な対策です。日頃からこれらの点に注意し、LOTS攻撃から大切な情報資産を守りましょう。
ハードウェア

セキュリティの基礎: TPMとは何か?

- TPMの概要TPMとは、「信頼されたプラットフォームモジュール」を意味する言葉の略称で、コンピューター内部に組み込まれた、セキュリティに特化した小さな装置です。まるで、コンピューターの中にいる小さな用心棒のようなもので、皆さんの大切なデータを守ってくれます。この用心棒TPMは、皆さんが普段使っているパスワードの代わりに、もっと複雑で解読困難な「鍵」を生成し、厳重に保管する役割を担います。この鍵は、データの暗号化やデジタル署名に利用され、第三者による不正アクセスや改ざんから大切なデータを守ります。TPMは、パソコンの心臓部であるマザーボードに直接搭載されることが多く、ハードウェアレベルでセキュリティ機能を提供します。これは、ソフトウェアだけに頼るセキュリティ対策よりも、より強固な防御を実現できることを意味します。例えば、もしも誰かがあなたの大切なデータが入ったパソコンを盗み出したとしても、TPMが守る暗号化されたデータにアクセスすることは非常に困難です。TPMは、まさに皆さんのデジタルライフの安全を守る頼もしい守護者と言えるでしょう。
脆弱性

いまさら聞けない?サーバーサイドリクエストフォージェリ攻撃の脅威

- サーバーサイドリクエストフォージェリとは -# サーバーサイドリクエストフォージェリとは インターネット上で様々なサービスを提供するWebアプリケーションは、利用者の要求に応じて内部のサーバーで処理を実行し、その結果を返します。 サーバーサイドリクエストフォージェリ(SSRF)は、この仕組みを悪用した攻撃手法です。 例えば、Webアプリケーション上で画像を表示する機能を例に考えてみましょう。 この機能は、利用者から指定された場所にある画像データを取得し、Webページ上に表示します。 悪意のある攻撃者は、画像データの場所を偽装することで、Webアプリケーションのサーバーに、本来アクセスすべきでない内部ネットワーク上の機器にアクセスさせることが可能になります。 これは、あたかも会社の郵便室に、外部から偽の指示書を送りつけ、本来開示すべきでない社内機密文書を外部に持ち出させるようなものです。 SSRFの脅威は、機密情報の漏洩に留まりません。 攻撃者は、内部ネットワーク上の機器を不正に操作し、システム全体を乗っ取ってしまう可能性もあります。 Webアプリケーションの開発者は、SSRFの脅威を深く理解し、適切な対策を講じる必要があります。
マルウェア

進化する脅威:BlackByteランサムウェアから企業を守る

- BlackByteランサムウェアとはBlackByteは、2021年10月頃から確認されている比較的新しいランサムウェアですが、その危険性は決して軽くありません。このランサムウェアは、従来のものと同様に、感染したコンピュータ内のファイルを暗号化し、アクセスできない状態にしてしまいます。その上で、「身代金」を支払わなければファイルを元に戻す「復号キー」を渡さないと脅迫します。しかし、BlackByteが特に警戒すべき点は、従来のランサムウェアの手口に加え、盗み出したデータを外部に公開すると脅迫する「二重恐喝」を仕掛けてくる点です。企業が保有する顧客情報や機密情報などを盗み出し、身代金の支払いを拒否した場合、これらの情報をインターネット上に公開すると脅迫してきます。もしBlackByteの攻撃を受け、身代金を支払わなかった場合、企業は二重の危機に直面することになります。一つは、業務データが暗号化されたことで、業務が滞り、その復旧に時間と費用が掛かることです。もう一つは、顧客情報などの漏洩により、社会的信用を失墜させ、顧客離れや取引停止など、事業活動に大きな支障をきたす可能性があることです。
不正アクセス

ネットワーク内部の脅威:ラテラルムーブメントとは

企業の安全を守る対策として、外部からの侵入を防ぐことは非常に重要です。しかし、侵入を完全に防ぐことは難しく、侵入された後の攻撃者の動きにも注意を払う必要があります。攻撃者は侵入に成功すると、その足場を基点に、まるで社内を自由に動き回るように、より重要な情報やシステムへアクセスしようとします。このような、ネットワーク内での水平的な移動を「ラテラルムーブメント」と呼びます。 攻撃者は、パスワードの使い回しや、システムの脆弱性といった弱点を利用し、権限の低いアカウントからより権限の高いアカウントへと、段階的にアクセス権を拡大していきます。そして最終的には、機密情報を含むデータベースや、重要なシステムの制御権限を奪い取ってしまう可能性もあります。 ラテラルムーブメントを防ぐためには、多層的な防御対策が必要です。例えば、強力なパスワードを設定することや、多要素認証を導入すること、ソフトウェアの最新状態を保つことなどが有効です。また、社員一人ひとりがセキュリティ意識を高め、不審なメールを開封しない、怪しいリンクをクリックしないなど、基本的な対策を徹底することも重要です。
脆弱性

TOCTOU攻撃から身を守る!

- TOCTOU攻撃とはTOCTOU攻撃は、「Time of Check to Time of Use」の略で、確認した時と実際に利用する時の間に生じる時間差を突いた攻撃です。オンラインストアでの買い物を例に考えてみましょう。あなたは商品を選び、購入手続きに進みます。この時、システムはあなたの残高が十分かどうかを確認します。しかし、支払いが行われる前のわずかな時間に、攻撃者があなたの残高を不正に操作してしまう可能性があります。これがTOCTOU攻撃です。具体的には、攻撃者は巧妙な方法で、あなたが指定した商品の値段や数量を、チェックの後、支払いの前に変更することがあります。例えば、1,000円の商品を10個注文したつもりが、支払いの段階では10,000円の商品を10個注文させられている、といった状況です。TOCTOU攻撃から身を守るためには、常に最新の情報を確認することが重要です。特に、オンライン取引を行う際には、最終的な確認画面で金額や数量が正しいことを必ず確認しましょう。また、セキュリティ対策のしっかりした信頼できるウェブサイトを利用することも大切です。もし、身に覚えのない請求や取引履歴を見つけた場合は、すぐにサービス提供者に連絡しましょう。
マルウェア

Bloodyランサムウェア:二重恐喝と脆弱性悪用

- Bloodyランサムウェアとは? Bloodyランサムウェアは、2022年頃から活動が確認されている悪質なプログラムです。このプログラムは、従来の身代金要求型のプログラムと比べて、より巧妙で危険な特徴を持っています。 従来のプログラムは、企業の大切な情報を暗号化し、その解除と引き換えに身代金を要求するのが一般的でした。しかしBloodyは、情報を暗号化する前に、その情報を盗み出すという二重の手口を用います。 つまり、企業側はたとえ身代金を支払って暗号化を解除できたとしても、盗み出された情報がインターネット上に公開されてしまう危険性があります。これは企業にとって、金銭的な損失だけでなく、顧客情報流出による信用問題、取引先からの信頼失墜など、計り知れない損害に繋がります。 Bloodyランサムウェアは、その危険性の高さから、企業にとって深刻な脅威となっています。対策としては、セキュリティソフトの導入や最新の状態への更新、従業員へのセキュリティ意識向上のための教育などが重要です。
サイバー犯罪

巧妙化するなりすましメール:ラテラルフィッシングの脅威

- 信頼を悪用する新たな脅威 近年、悪意のある人物によるインターネットを介した攻撃は、より巧妙化しています。 従来の手口では、攻撃者は送信元の電子メールアドレスを偽装していました。 しかし、最近の攻撃では、攻撃者は実在する企業や組織の電子メールアカウントを不正に乗っ取り、そこから攻撃メールを送信してくるケースが増加しています。 このような攻撃は「ラテラルフィッシング」と呼ばれ、受信者は送信元を信頼してしまいやすいため、被害に遭う可能性が非常に高くなります。 例えば、あなたが普段利用している通販サイトのメールアカウントが攻撃者に乗っ取られたとします。 攻撃者は、そのアカウントからあなたへ、会員情報更新や購入履歴確認などを促すメールを送信してきます。 メールには、本物そっくりの偽のウェブサイトへのリンクが貼られており、あなたがそのリンクをクリックし、個人情報やクレジットカード情報を入力してしまうと、攻撃者の手に渡ってしまいます。 ラテラルフィッシングから身を守るためには、以下の点に注意することが重要です。 * 身に覚えのないメールや、不自然な点があるメールは開かない。 * メール本文中のリンクをクリックする際は、送信元やリンク先を十分に確認する。 * 不安な場合は、送信元の企業や組織に直接問い合わせる。 これらの対策を講じることで、ラテラルフィッシングの被害を未然に防ぐことができます。
サイバー犯罪

見過ごされがち!? LOLBinを使った巧妙な攻撃とその対策

- LOLBinとはLOLBinとは、「Living Off the Land Binary」の略称で、直訳すると「その場にあるバイナリで生き延びる」という意味です。これは、OSなどに標準で搭載されている正規のプログラムを悪用した攻撃手法であるLiving Off the Land攻撃(LotL攻撃)において、攻撃者が悪意を持って使用するプログラムのことを指します。これらのプログラムは、システムの管理や運用など本来の目的のために開発されたものであり、Windows OSのPowerShellやLinux OSのBashなどが代表的な例です。攻撃者はこれらのプログラムを悪用することで、セキュリティ対策ソフトによる検知を回避し、システムへの侵入や権限の昇格、情報の窃取などを企みます。正規のプログラムが悪用されるため、セキュリティ対策ソフトはこれらのプログラム自体をブロックすることができません。そのため、LOLBin攻撃に対する防御は容易ではありません。しかし、LOLBin攻撃からシステムを守るためには、いくつかの対策を講じることが重要です。まず、システムの脆弱性を解消し、常に最新の状態に保つことが重要です。また、不必要なプログラムは無効化し、使用できるプログラムを必要最小限に抑えることで、攻撃のリスクを軽減できます。さらに、アプリケーションの動作を監視し、不審な挙動を検知した場合には、速やかに対応することが重要です。LOLBin攻撃は、高度な技術を持たない攻撃者でも比較的容易に実行できる可能性があります。そのため、企業や組織は、LOLBin攻撃に対する脅威を認識し、適切な対策を講じることが重要です。
脆弱性

Webサイトの盲点:サーバーサイドテンプレートインジェクションの脅威

- 動的なWebサイトにおける影の主役 今日のWebサイトは、まるで生きているかのように、私たちユーザーに合わせて姿を変えます。例えば、ニュースサイトを開けば最新の出来事が目に入りますし、お気に入りのECサイトでは、以前見ていた商品に関連したおすすめが表示されたりします。このような、見る人や状況に応じて変化するWebサイトは、「動的なWebサイト」と呼ばれ、現代のインターネットでは当たり前の存在となっています。 では、このような動的なWebサイトはどのようにして実現されているのでしょうか?その裏側で活躍しているのが、「テンプレートエンジン」と呼ばれる技術です。 テンプレートエンジンは、例えるなら、クッキーを作るための型のようなものです。あらかじめクッキーの型を用意しておき、そこに生地を流し込んで焼くことで、同じ形のクッキーをたくさん作ることができます。 Webサイトの場合、この「クッキーの型」に当たるのが「テンプレート」です。テンプレートには、Webページの骨組みとなるHTMLが記述されています。そして、「生地」に当たるのが、データベースから取得した最新のニュース記事や、ユーザーの閲覧履歴に基づいたおすすめ商品などの情報です。 テンプレートエンジンは、この「テンプレート」と「情報」を組み合わせることで、ユーザー一人ひとりに最適化されたページを、まるでクッキーを量産するように、次々と生成していくのです。 このように、テンプレートエンジンは、私たちが意識することなく、Webサイトの裏側で黙々と働き続ける、まさに「影の主役」と言えるでしょう。
セキュリティ強化

TLSフィンガープリンティング:Webの指紋を解読する

- TLSフィンガープリンティングとは インターネット上で情報を安全にやり取りする際には、情報を盗み見たり改ざんしたりすることを防ぐために、暗号化通信が欠かせません。その暗号化通信の手段として広く普及しているのがTLSです。 TLSフィンガープリンティングは、このTLSを用いて、Webサーバーと通信している相手を特定しようとする技術です。TLSでは、通信を始める前に、サーバーとクライアントがお互いの情報を交換しますが、この情報の中に、サーバーの個性と言えるような、特定の組み合わせが含まれていることがあります。 これを利用して、あたかもインターネット上の名札のように、アクセス元の情報を推測するのがTLSフィンガープリンティングです。この技術によって、利用しているブラウザの種類やバージョン、OSの種類などを特定できる場合があります。 TLSフィンガープリンティングは、必ずしも悪用されるものだけではありません。例えば、アクセスしてきたユーザーを特定し、不正なアクセスを防ぐために利用されることもあります。しかし、ユーザーの意図しない情報収集や追跡に利用される可能性もあり、プライバシーの観点からは懸念される技術と言えるでしょう。
クラウド

開発者必見!Bitbucketの脆弱性と対策

- バージョン管理システムBitbucketとは ソフトウェア開発の現場では、プログラムのソースコードは日々書き換えられ、その内容は常に変化しています。 複数の開発者が同時に作業を進める場合、誰がいつ、どの部分を変更したのかを把握することが重要になります。このような状況下で、混乱を防ぎ、効率的に開発を進めるためにバージョン管理システムが活用されています。 Bitbucketは、アトラシアン社が提供するバージョン管理システムの一つです。ソースコードの変更履歴を管理することで、開発チーム全体での作業効率向上を支援します。 Bitbucketの特徴は、Gitという仕組みを採用している点です。 Gitは、ファイルの変更履歴を記録し、過去の状態に戻したり、異なるバージョンを比較したりすることを可能にします。BitbucketはGitの機能をベースに、さらに使い勝手を向上させるための様々な機能を提供しています。 例えば、開発者同士が共同作業を行う際に便利な機能として、コードの共有、変更の追跡、競合の解消などが挙げられます。また、クラウド上で利用できるサービスと、自社のサーバーに構築するオンプレミス型の二つの提供形態から選択できます。 さらに、Bitbucketは、同じくアトラシアン社が提供するプロジェクト管理ツールであるJiraやTrelloと連携できます。 これにより、ソースコードの変更履歴と、課題管理やタスク管理を統合的に管理することが可能になります。
マルウェア

見えない脅威:ラッパーによるマルウェア感染

- ラッパーとはラッパーは、プレゼントを包装紙で包むように、悪意のあるプログラムを無害なファイルに見せかけてしまうソフトウェアです。このソフトウェアは、コンピュータウイルスなどの危険なプログラムを、画像や音楽ファイル、文書ファイルなど、一見安全に見えるファイルの中に巧妙に隠してしまいます。そのため、利用者は、そのファイルに危険が潜んでいることに全く気づかず、うっかり開いてしまうことがあります。ラッパーによって危険なプログラムを仕込まれたファイルを開いてしまうと、コンピュータウイルスに感染してしまい、パソコンの動作が不安定になったり、重要なデータが盗まれたりする危険性があります。 また、知らない間にスパムメールを送信させられたり、他のコンピュータへの攻撃に加担させられたりする可能性もあります。ラッパーは、特にトロイの木馬と呼ばれる種類のコンピュータウイルスを作成する際に頻繁に使用されます。トロイの木馬は、一見役に立つソフトウェアやゲームなどを装っていますが、実際には、パソコンに侵入して悪事を働くことを目的としています。ラッパーは、このトロイの木馬をより巧妙に偽装することで、セキュリティ対策ソフトによる検出を逃れ、ユーザーを欺いて感染を広げようとします。ラッパーによる被害を防ぐためには、怪しいファイルは絶対に開かないようにすることが大切です。また、信頼できるセキュリティ対策ソフトを導入し、常に最新の状態に保つことも重要です。
不正アクセス

潜む脅威:LOLBASとシステム保護

- 悪意のあるソフトウェアの新たな戦術LOLBASとは近年、コンピュータウイルスや不正アクセスといったサイバー攻撃の手口は、日々巧妙化しています。従来のセキュリティ対策では太刀打ちできないケースも増えています。 その中でも特に警戒が必要なのが、「LOLBAS」と呼ばれる攻撃手法です。LOLBASは、「Living Off the Land Binaries and Scripts」の略称で、WindowsなどのOSに標準搭載されている正規のプログラムやスクリプトを悪用して攻撃を行うことを指します。 なぜLOLBASが脅威なのでしょうか?それは、一見すると正規のプログラムを使用しているため、セキュリティソフトの監視をかいくぐって悪意のある活動を実行できてしまう可能性があるからです。セキュリティソフトは、怪しいプログラムを検知してブロックしますが、正規のプログラムが悪用されている場合は、なかなか検知が難しく、攻撃を受けていることに気づくのが遅れてしまう危険性があります。 LOLBASでは、PowerShellやWindows Management Instrumentation(WMI)など、システム管理や自動化に使用される強力なツールが悪用されるケースが多く見られます。これらのツールは、本来はシステム管理者にとって便利な反面、攻撃者にとっても悪用しやすいという側面があります。 LOLBASへの対策としては、セキュリティソフトの最新状態を維持することに加え、PowerShellなどの強力なツールの使用状況を監視することが重要です。
ネットワーク

現代社会を支える縁の下の力持ち: サーバ

- サーバとはインターネットなどのネットワークに接続されたコンピュータの中で、他のコンピュータに対して様々なサービスを提供する役割を担うものを、サーバと呼びます。私たちが普段何気なく見ているウェブサイトや、利用しているアプリケーションも、裏側ではサーバが稼働し、情報を処理したり、配信したりしています。例えば、あなたがウェブサイトを閲覧する際、あなたが使っているコンピュータは「クライアント」と呼ばれ、ウェブサイトのデータを持っているサーバにアクセスします。すると、サーバは要求されたウェブサイトのデータを送信し、あなたのコンピュータ上に表示されます。このように、サーバはクライアントからの要求に応じて、情報を提供したり、処理を行ったりすることで、様々なサービスを支えています。サーバは、インターネット上の様々な場所に設置されており、規模も大小様々です。ウェブサイトを運営するために個人でサーバを所有している場合もあれば、大企業が膨大なデータを扱うために巨大なデータセンターに多数のサーバを設置している場合もあります。サーバは、インターネットという広大な海の底で、私たちを支える縁の下の力持ちと言えるでしょう。
ネットワーク

インターネット時代の必須知識! TLSで通信を守ろう

- TLSとはインターネット上で情報を安全にやり取りするために、TLS(Transport Layer Security)は欠かせない仕組みです。日々の生活で何気なく利用しているウェブサイト、特にネットショッピングやインターネットバンキングのように重要な情報を取り扱う場面において、TLSは重要な役割を担っています。インターネットで情報をやり取りする際、その情報はネットワーク上を様々な経路を通って相手に届けられます。もし、その情報が暗号化されていなかった場合、第三者に盗み見られる危険性があります。TLSは、送信する情報を暗号化することで、第三者による盗聴や改ざんを防ぎます。これにより、個人情報やクレジットカード番号などの重要な情報が、安全に送受信されることが保証されます。具体的には、TLSは二つの主要な機能によって安全性を確保しています。一つは、暗号化です。送信される情報は、解読が非常に困難な暗号によって保護されます。もう一つは、認証です。これは、通信相手が本当に信頼できる相手であるかどうかを確認する仕組みです。これらの機能により、TLSはインターネット上における情報の安全性を確保し、安心してオンラインサービスを利用できる環境を提供しています。TLSは、現代のインターネット社会において、安全な情報社会を実現するための重要な要素と言えるでしょう。
セキュリティ強化

稼働中のシステムを守る!ライブ・フォレンジックのススメ

- ライブ・フォレンジックとは?ライブ・フォレンジックとは、その名前が示すように、コンピュータやシステムが動いている状態のまま、犯罪の証拠となりうる電子データを集め、分析する技術のことです。従来の電子データの解析手法では、調査対象の機器の電源を切り、ハードディスクなどの記録媒体を複製して証拠保全を行う「デッドボックス・フォレンジック」が主流でした。しかし、電源を切ってしまうと、揮発性のデータ、つまり電源を切ると消えてしまうメモリ上のデータは失われてしまいます。そこで、電源を入れたまま、機器を動かした状態を維持したまま調査を行うライブ・フォレンジックが注目されています。 ライブ・フォレンジックでは、揮発性メモリ上に残されたデータ、例えば、現在起動中のプログラム、開いているファイル、ネットワーク接続情報などを収集することができます。これにより、例えば、不正アクセスが行われた際に、攻撃者が使用したツールやアクセス経路、盗み出そうとしたデータなどを特定することができます。 また、マルウェア感染の調査においても、メモリ上に残されたマルウェアのコードや動作状況を解析することで、その種類や感染経路、被害状況などをより詳細に把握することができます。このように、ライブ・フォレンジックは、従来のデッドボックス・フォレンジックでは得られなかった情報を取得できるため、サイバー犯罪の捜査において非常に重要な役割を担っています。
マルウェア

Bloodyランサムウェア:二重の脅威から身を守る

- BloodyランサムウェアとはBloodyランサムウェアは、2022年頃から活動を始めた比較的新しいランサムウェアですが、その手口は巧妙化しており、企業にとって大きな脅威となっています。 Bloodyランサムウェアによる攻撃は、まず企業のシステムに侵入することから始まります。侵入経路は、メールの添付ファイル、ウェブサイトの脆弱性、不正なソフトウェアなど様々です。侵入に成功すると、Bloodyランサムウェアはシステム内部に潜伏し、機密情報など、企業にとって重要なデータを探します。 そして、発見したデータを密かに外部のサーバーへ送信します。これが第一段階の攻撃です。 データの送信が完了すると、Bloodyランサムウェアは次の段階に進みます。それは、システム内のデータを暗号化することです。暗号化されると、データは利用できなくなり、企業は業務に支障をきたすことになります。これが第二段階の攻撃です。 Bloodyランサムウェアは、このようにデータを盗み出した上で暗号化する、二重の手口を用いる点が特徴です。データの暗号化を解除するために身代金を支払ったとしても、盗まれたデータが公開されない保証はありません。このような二重恐喝型のランサムウェアは、企業にとってより深刻な被害をもたらす可能性があります。
認証

見えない鍵?:ゴールデンチケット攻撃からシステムを守る

- ゴールデンチケット攻撃とは企業のネットワークにおいて、社員ひとりひとりのアクセス権を管理し、情報資産を守る上で、Active Directoryと呼ばれるシステムがよく利用されています。このシステムでは、Kerberos認証という仕組みを用いて、アクセスを許可された正当な利用者であるかを判断します。利用者がシステムやサービスを利用しようとするとき、チケットと呼ばれる通行証のようなものが発行され、このチケットを提示することで、初めてアクセスが許可される仕組みです。ゴールデンチケット攻撃は、このKerberos認証の仕組みを悪用した、非常に危険なサイバー攻撃です。攻撃者は、チケットを発行するシステムの中枢を担う「TGTアカウント」のパスワード情報を入手することで、偽のチケットを作り出すことができてしまいます。そして、この偽造チケット、すなわち「ゴールデンチケット」を利用すると、あたかも正規の利用者のように振る舞えてしまうため、Active Directoryで管理されたあらゆる情報にアクセスできてしまう危険性があります。ゴールデンチケット攻撃が恐ろしい点は、一度攻撃が成功してしまうと、攻撃者は最高レベルの権限を手に入れ、ネットワーク上のあらゆる情報を盗み見たり、改ざんしたりできてしまう点にあります。しかも、正規の利用者になりすましているため、不正なアクセスと気付かれにくく、長期にわたって被害が続く可能性もあります。そのため、企業はゴールデンチケット攻撃に対する対策を講じておくことが重要です。具体的には、TGTアカウントのパスワードを定期的に変更したり、多要素認証を導入したりするなど、セキュリティ対策を強化することで、攻撃のリスクを低減できます。
セキュリティ強化

金融機関も注力するセキュリティ対策TLPTとは

- サイバー攻撃の模倣実験TLPTとは -# サイバー攻撃の模倣実験TLPTとは TLPT(Threat-Led Penetration Testing)は、日本語では「脅威ベースのペネトレーションテスト」と呼ばれ、企業や組織のセキュリティ対策が実際にどれくらい有効なのかを確かめるための高度な手法です。従来のペネトレーションテストでは、攻撃者がシステムに侵入する可能性を幅広く調査していましたが、TLPTは一歩踏み込みます。 TLPTでは、現実の世界でサイバー攻撃者が実際に使用している可能性の高い攻撃方法やツール、手順を想定して模倣攻撃を行います。つまり、机上の空論ではなく、現実の脅威に基づいた実践的な攻撃シナリオを使ってテストを行うのです。 これにより、組織が抱えるセキュリティ上の弱点がより明確になり、対策の有効性をより正確に把握することができます。その結果、組織は限られた資源を、より効果的なセキュリティ対策に集中させることができるようになります。
脆弱性

解放済みメモリへのアクセス:ユーズ・アフター・フリーの脅威

コンピュータは情報を処理するために、一時的にデータを記憶しておく場所が必要です。この場所をメモリと呼びます。プログラムはこのメモリを効率的に利用するために、必要な時に必要な大きさの領域を確保し、不要になったら解放するという作業を繰り返しています。 このメモリ管理はプログラムの安定動作に欠かせない重要な処理ですが、適切に行われなかった場合、システムの脆弱性に繋がる可能性があります。 メモリ管理における脆弱性の一つに、「ユーズ・アフター・フリー」と呼ばれるものがあります。これは、プログラムが既に解放されたメモリ領域にアクセスしようとするときに発生します。例えるなら、アパートの部屋を借りていた人が退去した後、大家さんがその部屋を別の人に貸したにも関わらず、最初に借りていた人が鍵を使ってその部屋に入ろうとするようなものです。 このような状況が発生すると、プログラムは予期しない動作を起こしたり、最悪の場合、攻撃者にシステムを乗っ取られる可能性もあります。ユーズ・アフター・フリーは、プログラムの設計ミスや、使用しているプログラミング言語の特性によって発生することがあります。 安全なプログラムを作成するためには、メモリ管理を適切に行うことが非常に重要です。プログラマーは、メモリ領域の確保と解放を適切に行い、解放済みのメモリ領域にアクセスしないように注意する必要があります。