コラム
今月のコラム
今月のコンテンツ
【 ネットワーク機器のファームウェア確認されていますか? 】
昨今、ネットワーク機器の脆弱性を狙って侵入する攻撃が多発しております。会社内で使用しているルータ、UTM、ファイアウォール、無線APなどをはじめとする
ネットワーク機器のファームウェアは管理、更新されていますでしょうか。
ほとんどが設置・安定稼働後はファームウェアのアップデートはされずに
構築時の状態で使用されていませんでしょうか。
アップデートされていない状態は攻撃者にとって格好の侵入口となり得るため
大変危険です。
攻撃を受ける前に使用されているネットワーク機器のサポートページを
定期的に確認し、新しいファームウェアが公開されていれば適用することで
セキュリティを強化することが可能です。
またファームウェア更新サポートが終了している機器については
買い替えをご検討ください。
セキュリティ・ウイルス対策の強化をご検討またご相談されたい場合は
弊社までお問い合わせいただけますと幸いです。
ウイルス情報
【 長期間潜伏し情報を盗み続ける高度な遠隔操作型マルウェア(RAT) 】
■ウイルス名Backdoor:MSIL/Nano、Trojan.MSIL.Agent、Trojan.Nanc、Trojan.TR/Dropper 等
■概要
本マルウェアは、攻撃者が感染したPCに長期間潜伏し、遠隔操作で情報を
盗み続けることが可能な高度機能を備えた多機能型RAT(Remote Access Trojan)です。
侵入に成功するとPowerShellやWMI、WindowsのネイティブAPIなど、
さまざまな方法を使ってコードを実行します。
その後、レジストリやスケジュールタスク、サービスの作成といった複数の仕組みを使って
永続化を行い、再起動をしても自動的に実行されるようにします。
さらに、プロセスインジェクションなどの手法を使って権限昇格や、
正規プロセスに潜り込んで存在を隠します。
ログ削除やコード難読化、ファイルレス実行など、防御回避の仕組みも多く備えており、
セキュリティ製品や解析者に見つかりにくい構造になっています。
内部に潜伏した後は、ユーザ情報やシステム情報、実行中プロセス、
ファイル構造などを調べ、必要なデータを収集します。
収集したデータはZIPなどにまとめて圧縮し、
外部の攻撃者が管理するサーバーへ暗号化された通信を使って送信します。
社内の機密情報や個人情報を外部へ送信できるため、
業務に関わるあらゆるデータが漏えい対象になります。
また、攻撃者は追加のツールを送り込むこともできるため、
キーボード入力の盗み取りや画面の監視など被害が拡大する可能性もあります。
■漏洩する情報
本マルウェアに感染した場合、以下の情報が漏洩する可能性があります:
- OSの資格情報
- システム情報
- 暗号資産ウォレット情報
- 接続中のネットワークや内部ネットワーク構成
- 総合して、企業内の機密情報・個人情報・認証情報など
PC内で取得できるほぼすべての情報が漏えい対象になり得ます。
■リバースエンジニアリング対策
本マルウェアは解析回避のため、以下のような対策を行う可能性があります。
- コード難読化
- ファイルレス実行
- プロセスインジェクション
- ログ・痕跡の削除やレジストリ改ざんによる隠蔽
■想定される侵入経路
以下の経路で侵入する可能性があります。
- フィッシングメールの添付ファイル/悪意あるリンク/マクロ付き文書 等
- 脆弱性の悪用(office/VPN/Adobe 等)
- 不正なソフトウェアやクラックツールのダウンロード
- リモートデスクトップの不正ログイン
過去のコラムにつきましては、サポートメールのバックナンバーをご覧下さい。
