コラム
今月のコラム
今月のコンテンツ
【 ダークウェブ 相手を知って、慌てずもっとウイルス対策 】
ダークウェブというものをご存知でしょうか。一言で表すと、インターネット上で個人情報等の売買が行われている闇市のようなものです。
近年、ダークウェブに個人情報が流出している話題が多くなり、プライベートでの電話番号や
メールアドレスだけではなく、業務上で利用している電話番号やメールアドレス等、
ご自身の個人情報が流出しているのではないかと不安を持たれている方も多いと存じます。
しかしながら、セキュリティ対策を行う事で、個人情報が流出する可能性を下げる事は
可能となります。
セキュリティ対策の一例として下記点がございます。
・不審なサイトにアクセスをしない、個人情報を入力しない
・スパムメールや差出人が不審なメールは開封しない
・セキュリティ対策ソフト導入し、適切な設定を行う
・常に脆弱性の対策を行い、導入しているソフトを最新の状態にする
・万が一ウイルスに感染してしまった場合、LANケーブルやWi-Fiを離線する
・業務利用している端末が感染した場合、管理者へ報告する
セキュリティ対策の基本に立ち返る事で、
外部からの悪意に対して予防することが可能となります。
次週より新年度と節目を迎えますため、
今一度セキュリティ意識を見直してみてはいかがでしょうか。
ウイルス情報
【 ウイルス対策機能、FW機能の無力化を行い、情け容赦なく情報を盗むAmadey bot 】
■ウイルス名Trojan.Win32.AMADEY.YXECWZ、Trojan:Win32/Casdet!rfn、UDS:DangerousObject.Multi.Generic、A Variant Of MSIL/Kryptik.ALFV 等
■概要
本ウイルスはPowershellを悪用したり正規プログラムに不正コードを注入することで
端末の監視や有益な情報を盗み外部に送信を行う動作などが確認されています。
感染後、PowerShellを用いて自身のコピーファイルの複製や正規OSプログラムになりすました
検体ファイルの作成を行います。
この際、利用者や導入した監視機器から不審なものとして発見を逃れるため
ウィンドウを非表示にする細工が組み込まれています。
特定のEPP(エンドポイント)の権限を奪うことで、ウイルスが作成した他のウイルスファイルや
フォルダの除外登録を行います。
▼除外登録されたパス
C:\Users\<ユーザプロファイル>\AppData\Local
C:\Users\<ユーザプロファイル>\AppData\Local\Temp\
また、正規OSプログラムに不正なコードの注入(インジェクション)を行うことで著名なオンライン
ストレージサービスやインストールされたWebブラウザソフトのプロセスの監視を行うようになります。
外部URLへの通信の一部として、端末の位置情報を特定するサイトへのアクセス、
侵害されたサーバへ有益な情報のアップロード、
無料のダイナミックDNSサービスにアクセス、感染した端末に特定のドメイン名を関連付けることで
遠隔で操作を利用できるようにする手法が確認されています。
本ウイルスは予めファイヤーウォールの設定変更を行い外部通信におけるウイルスの通信を
バイパス化することで回避します。
その他にも感染や攻撃を行うにあたり特定の不要となるタスクの無効化や、永続的に活動するために
自動実行のレジストリを追加します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。
・OSのシステム情報
・プロバイダの情報
・Webブラウザ(Edge、Google Chrome等)の情報
・メールソフトの資格情報
・クリップボードのデータ 等
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
・難読化処理
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。
過去のコラムにつきましては、サポートメールのバックナンバーをご覧下さい。