マルウェア

OSAMiner: The Apple cryptojacker that hid for five years

OSAMinerの真の目的

この新しいスクリプトは確かに興味深いものですが、パズルの1ピースにすぎません。OSAMinerの主な目的はクリプトジャッキングです。検知を回避するのに加えて、OSAMinerはオープンソースのMoneroMinerである「XMR-STAK-RX」をダウンロードして実行します。また、感染したシステムがスリープモードになるのを別のスクリプトが阻むため、OSAMinerは与えられた処理能力を最大限に活かせるようになります。つまり、攻撃者の利益が最大化されるということです。OSAMinerがいったんインストールされ、実行されると、感染したシステムでアクティビティモニターアプリを開きにくくなったり、CPU使用率が高くなったりするだけでなく、システムがクラッシュしたりする可能性もあります。

OSAMiner: The Apple cryptojacker that hid for five years

実行専用の埋め込みAppleScriptの分析

OSAMinerに関連付けられているファイルのうち、いくつかは拡張子が「.plist」のプロパティリストファイルでしたが、正しいプロパティリストファイルは1つのみだったため、調査はこのファイルから開始しました。単純なファイルでしたが、このクリプトジャッキング攻撃で使用された重要なファイルの配布に関わっていました。

Filename: com.apple.FY9.plist
MD5: 414205439abd5751c0d410fa2ccd539b
SHA-256: 9ad23b781a22085588dd32f5c0a1d7c5d2f6585b14f1369fd1ab056cb97b0702

OSAMiner - code capture 1

Acronis secure software development lifecyle

SolarWinds社のビジネス用ソフトウェアOrionが、マルウェアの「SUNBURST」によるサプライチェーン攻撃で悪用されました。このマルウェアは配布された後、ネットワークトラフィック管理システムに侵入して昇格された資格情報を入手し、サイバーセキュリティ企業のFireEye社、および米国の複数の政府機関を標的とした攻撃に使用されました。この攻撃の詳細は、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のページでご確認ください。

アクロニスの対応

今回は影響を受けませんでしたが、アクロニスのサイバーセキュリティアナリストはこの攻撃を調査し、当社でのソフトウェア開発のプロセスと管理の安全性をさらに強化しました。

アクロニスでは今回のインシデントへの対応として、当社の取引先とお客様のセキュリティを確保するために、以下を行いました。

 

Acronis Now Offers Backup for G Suite and Cryptomining Protection for Businesses

 

新たにリリースされた2つのアップデートにより、アクロニスの企業向けサイバープロテクションの能力は驚異的なレベルに達しました。IT担当者や企業の責任者は、優先すべき他の業務に集中し、データの安全性に関してさらに大きな安心感を得られるようになります。最新のアップデートでは、20を超えるプラットフォームに対するバックアップおよびリカバリサービスに、統合型のG Suite保護を追加しました。さらに、最も増加が著しいマルウェアの1つ、クリプトジャッキングに対する対策も組み込まれています。

それでは、アクロニスのクラウド製品、Acronis Backup ServiceとAcronis Backup Cloudの長所を生かした企業向けサイバープロテクションの能力が、アクロニスによってどれだけ強化されたか詳しく見ていきましょう。

Windows 10の更新というと、PCユーザーは常に「良い知らせと悪い知らせ」の両方を経験します。

ご存知ない方のために補足しますが、マイクロソフトはユーザーに対し、Windows10May 2019 Update(バージョン1903)でを実行する前に、問題が発生する可能性があると注意喚起を行いました。マイクロソフトによると、USB接続の外付けデバイスやSDカードが取り付けられていることによる「不適切なドライブの再割り当て」のせいで、更新プログラムがブロックされて完了できないかもしれないというのです。これは、多くの人に関わりのある話です。

それに、もしそれだけなら大丈夫だとしても、マイクロソフトはさらに、コンピュータ内のハードドライブにも問題が発生する可能性があると付け加えているのです。これが、悪い知らせなのです。

一方、良い知らせというのは、マイクロソフトが積極的に問題について知らせてくれるおかげで、アップデートを始める前に問題に備えることが可能になったことです。専門家全員が勧めるとおり、システムのアップデート前にバックアップを取って、データを守ればいいのです。

 

2019年5月8日(水)~10日(金)、東京ビッグサイト西展示棟で「第21回データストレージEXPO(2019 Japan IT Week春 後期)」が開催されました。このイベントにアクロニスはニューテックと共同で出展、「Newtech Cloud powered by Acronis」を展示しました。ニューテックは1982年の創業以来、RAIDコントローラーの自社開発など企業向けの高信頼性ストレージ製品を開発・販売してきた企業です。アクロニスは2019年4月、同社とサービスプロバイダー契約を締結、Acronis Cyber Cloudを活用したクラウドバックアップシステム「Newtech Cloud powered by Acronis」の提供を5月から開始しました。

展示ブースでは、ニューテックのストレージ製品の他、Newtech Cloudのコーナーも設けられ、簡単で効率的、セキュアなクラウド型バックアップの仕組みを紹介しました。また、アクロニスとニューテックの担当者がブースプレゼンテーションを行いました。

最初にデータの管理に焦点を当てて話したのがアクロニス セールスエンジニア マネージャーの佐藤匡史です。佐藤は「デジタル化が進む中で、重要になっているのがデータの活用です。世界の精密なデジタル化は膨大なデータを生み出します」と語りました。そこで問題になるのが企業は複数のクラウドサービスを使い、個人もスマートフォンで複数のクラウドにアクセスすることで、データが散在し、それ自身での統一管理が難しくなることです。 

 

Protect infrastructure by blocking obvious vulnerabilities

本稿は、2019年4月3日、『Homeland Security Today』に掲載されたアクロニスのサイバープロテクションディレクター、ジェイムズ・R・スラビー(James R. Slaby)の寄稿記事の抄訳です。

1966年、ロバート・F・ケネディはスピーチの中で中国の古いまじないの文句を引用しました。「面白い時代を生きられますように」。そのあと彼はこう続けます。「好むと好まざるとにかかわらず、私たちは面白い時代に生きています。危険で不確かな時代ですが、同時にまた人類史上かつてないほど創造性に富む時代でもあります」。

半分になったグラスを「もう半分」と「まだ半分」の両方の視点から見るこの慎重な姿勢は、2019年にインフラストラクチャの脆弱性について考察するうえで役立つ視点と言えるでしょう。

 

多様な脅威

企業がますますクラウドをITニーズに迅速かつ効率的に対応できる手段とみるようになっていることは間違いありません。企業の58%がハイブリッドなIT環境へと移行し、18%が完全にクラウド化する方向に動いています(451 Researchの調査結果)。これはつまり、マネージドサービスプロバイダー(MSP)がライバルに差をつけて生き残り、顧客のためにクラウド化のプロセスを促進し、推定1,864億ドルのクラウドコンピューティング市場のいくらかを掴み取るには、それにふさわしいツールが必要になるということを意味しています。

3月下旬に開催された、クラウドフェス2019でアクロニスは世界のクラウド、ホスティング、サービスプロバイダー業界の7,000人のプロに加わり、差し迫った複雑な顧客問題をMSPが解決できるようにするITソリューションを紹介しました。本ブログではその内容の一部をご紹介しましょう。

 

Celebrating Advanced Tech and the Differentiation Paradox at CloudFest 2019

 

 

2018年を振り返ると、ランサムウェアなど、大きな脅威に対する対策として一部にAI(人工知能)や機械学習(ML)が導入され、マルウェアとの戦いに微かな希望の光が見えました。

しかし、2019年の見通しはあまり明るいとは言えません。悪意のある国家組織やサイバー犯罪者が、混乱を起こして他人の犠牲のもとに利益を得ようと、新たなツールや技術を用意して戦いに備えているからです。

ITセキュリティご担当者の皆さん。2019年のマルウェア対策は、かなり苦難の道のりになりそうです。今から傾向をご説明いたしますので、しっかり気を引き締めてご確認ください!

 

サイバー犯罪に国家組織がますます関与

国民国家が、サイバー戦争を地政学的・経済的競争における費用対効果の高い要素として見るようになってきています。これから数か月のうちに、資金力のあるさまざまな国家情報機関が、敵対する政府とその重要なインフラ(電力、水、通信など)ばかりでなく、それらの国の企業や市民を攻撃する新たなマルウェアを開発するでしょう。

そして、サイバー犯罪者が世の中に混乱を起こし、知的財産を盗み、個人データを破壊して詐欺や強請を行って利益を得ることに、多くの人々が加担し、資金を提供することになるでしょう。そうして引き続き、盗聴と攻撃の罠がチップセットやファームウェア、アプリケーション、コミュニティのソフトウェア開発ハブに組み込まれ、マルウェアがテクノロジーのサプライチェーンに紛れ込むことになるはずです。