SOMPO CYBER SECURITY
WinRAR(うぃんらー)は広く利用されているWindows向けファイル圧縮・解凍ツールです。ファイルの高速な圧縮・解凍、暗号化の利用、RARファイルの作成といった機能を保有しています。
WinRARは世界中で利用されるツールであるため、サイバー犯罪者のターゲットとなる傾向にあります。2019年、ゼロデイ脆弱性(CVE-2018-20250)が公開され、並行して攻撃者によるエクスプロイトの開発や悪用が確認されました。
2023年にもゼロデイ脆弱性(CVE-2023-38831)が公開・修正されましたが、既に数か月にわたって攻撃者が悪用していることが判明しました。この脆弱性はWinRARのZIPファイル・フォーマット処理に起因するもので、攻撃者が特殊なRARあるいはZIPアーカイブを作成することで、リモートコード実行を可能にします。
メディアやセキュリティベンダーGroup-IBによる調査では、攻撃者は作成したフォルダ内におとり用の無害なファイルと、フォルダと同名の悪性ファイル(jpgファイルを装った悪性スクリプト)を格納します。ユーザーが無害ファイルを開くと、代わりに悪性スクリプトが実行され、DarkMeやGuLoader、RemcosRAT等がインストールされます。
一連のゼロデイ攻撃は金銭的な動機によるものと推定されており、投資家向けフォーラムにおける悪性ZIPアーカイブの拡散が確認されています。
セキュリティ対策を実施する上では、脅威情報を活用し、想定される攻撃やリスクを特定することが重要とされています。このような脅威インテリジェンスを支援するプラットフォームが多くのベンダーによって開発されており、SOMPO CYBER SECURITYでもサイバー先進国である以色列発の脅威インテリジェンス・プラットフォームであるCognyteや、米国製のKryptosLogicを提供しています。 一方、...
・ アイランドホッピング攻撃(Island Hopping Attack)は、軍事における飛び石作戦に由来する攻撃手法です。現在普及しているアイランドホッピング攻撃の一般的な定義は、脆弱な関連会社やパートナーを侵害し、本来のターゲットに移行するサプライチェーン攻撃に似た意味で用いられています。 .scope_blog .cover { margin: 80px auto 18px!importan...
・ アカウント乗っ取り(Account Take Over、ATO)は、金融サービスやSNS、Webアプリ等のアカウントを不正に乗っ取ることで、詐欺や金銭窃取を含む様々な悪意ある活動を実行する行為です。 個人の口座アカウントやWebサービスから、企業や著名人のSNSアカウントまで、乗っ取りの対象は様々です。 ターゲットのアカウントを乗っ取る手段としては、フィッシングやソーシャルエンジニアリング、ビ...
・ アクセシビリティ・サービス(Accessibility Service)は、障害を持つユーザーが快適に情報端末デバイスを利用するために、プラットフォーム企業が開発しているサービスです。 例えば、視覚障害、運動障害、聴覚障害のためにアクセスできないウェブページやアプリケーションを、スクリーンリーダー、音声ベースの入力システム、点字ベースのアクセスシステム、スイッチベースの入力システムなどでアクセ...