FFR yaraiがバンキングマルウェア「SHIFU」を検知・防御 〜パターンファイルに依存せず、最新のマルウェア動向研究の知見を活かして〜
[15/10/14]
提供元:DreamNews
提供元:DreamNews
サイバーセキュリティ領域において国内で独自の研究開発活動を展開している株式会社FFRI(本社:東京都渋谷区、代表取締役社長:鵜飼裕司、以下 FFRI)は、2015年10月14日、標的型攻撃対策ソフトウェア「FFR yarai」および個人・SOHO向けセキュリティソフト「FFRI プロアクティブ セキュリティ(製品愛称:Mr.F)」がバンキングマルウェア「SHIFU」をリアルタイムに検知・防御が可能であったことをご報告いたします。
バンキングマルウェア「SHIFU」 vs. FFR yarai
2015年10月8日、“特定の組織からの注文連絡”や“複合機からの自動送信”を装ったWord文書ファイルが添付された不審なメールに関する相談が相次ぎ、IPAからの注意喚起がなされています。IPAによると、添付のWord文書ファイルはマクロ(※1)を実行してマルウェアをダウンロードする機能を有しており、このWord文書ファイルを開いた場合にはマルウェア感染の可能性があることがわかりました。
※1 ソフトウェア内で使用される複数のコマンドをまとめて実行する機能。マクロを実行してマルウェアに感染させる攻撃手法は2014年後半から増加傾向にあり、バンキングマルウェア「DRIDEX」(2015年3月)も同様の攻撃手法を使っています。
身に覚えのない不審なメールを受信した場合は、添付ファイルを開いたり実行したりしないようご注意ください。
これらの偽装メールに添付されたWordファイルに含まれる不正マクロは、当初からマクロが有効になっている場合、もしくはマクロを有効化してしまった場合に実行されます。近年はMicrosoft Officeのマクロ機能がデフォルトで無効化されていますが、業務の必要性から有効にしているユーザーも存在していると思われます。ユーザーの皆様には今一度デフォルト設定の見直しを強く推奨いたします。
このたび悪用された不正マクロは、「SHIFU」と呼ばれるバンキングマルウェアをダウンロードするものです。「SHIFU」は今年4月ごろから広がり始め、日本の銀行14行を攻撃対象としていたことが報道されています。
FFRIでは今回問題となっているWord文書ファイルを入手し、検証を行った結果、下記の2製品で「SHIFU」を検知・防御できることを確認いたしました。
■検証環境
Windows 7 Pro 64bit × FFR yarai 2.6.1294(2015年6月4日リリース)
Windows 7 Pro 64bit × FFRI プロアクティブ セキュリティ 1.1.345(2015年7月21日リリース)
■検証した検体のハッシュ値(SHA-256)
7c2f867cbca04c854ce43085e24c7f2e9b934a2165928d6e528bfb97f4840bb1
検証結果は、画面キャプチャのとおり、FFR yaraiの5つのヒューリスティックエンジンの中の動的解析を担うHIPSエンジンがマルウェアを検知してシステムを保護しています。
今回の検証で使用した FFR yarai 2.6.1294は、2015年6月4日にリリースしており、本製品をご利用いただいていた場合、今回同様の手法を用いた攻撃を未然に防ぐことができたといえます。
FFRIは、今後も独自の調査・分析を行い、脅威を先読みすることで真に価値のある対策を社会に提供できるよう日々精進していく所存です。
◎法人向け
【製品名称】
FFR yarai
http://www.ffri.jp/products/yarai/index.htm
【FFR yaraiの防御実績】 これまでに防御した攻撃・マルウェア一覧
http://www.ffri.jp/products/yarai/defense_achievements.htm
◎個人・SOHO向け
【製品名称】
FFRI プロアクティブ セキュリティ (製品愛称:Mr.F)
http://www.ffri.jp/online_shop/proactive/index.htm
■標的型攻撃対策ソフトウェア「FFR yarai」とは
FFR yaraiシリーズは、従来のセキュリティ対策で用いられているシグニチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を5つのヒューリスティックエンジンにより、様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御します。純国産の技術で開発した製品で、厳格なセキュリティ対策が求められる官公庁や重要インフラ企業、金融機関での採用実績が多数あります。
韓国の放送局や銀行などがシステムダウンした韓国サイバー攻撃(2013年3月)、ソニー・ピクチャーズエンターテイメント社に対する一連のサイバー攻撃に関連するシステム破壊型マルウェア(2014年12月)、Adobe Flash Playerの脆弱性(2015年1月)、ハードディスクのファームウエアの書き換えを行うHDDファームウェア感染マルウェア(2015年2月)、ネットバンキングユーザーを狙ったバンキングマルウェア(2015年3月)、日本年金機構を狙ったマルウェア「Emdivi」(2015年6月)等、これまでに防御した攻撃・マルウェアを防御実績としてFFRIホームページにて公開しています。
■株式会社FFRIについて
当社は2007年、日本において世界トップレベルのセキュリティリサーチチームを作り、コンピュータ社会の健全な運営に寄与するために設立されました。現在では日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいます。研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けておりますが、これらの研究から得られた知見やノウハウを製品やサービスとしてお客様にご提供しています。主力製品となる、「FFR yarai」はミック経済研究所調べ(※2)によるエンドポイント型標的型攻撃対策分野における出荷金額においてNo.1を獲得しております。
※2 出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2014【外部攻撃防御型ソリューション編】」
本件に関するお問い合わせ先
写真・資料等がご入用の場合もお問い合わせください。
株式会社FFRI
経営管理本部 PR担当
TEL:03-6277-1811
E-Mail:pr@ffri.jp URL:http://www.ffri.jp
「FFRI」、「FFR yarai」は、株式会社FFRIの登録商標です。
その他すべての社名、製品・サービス名は、各社の商標または登録商標です。
出典資料の引用等、調査会社の著作物を利用する場合は、出典元にお問い合わせください。
バンキングマルウェア「SHIFU」 vs. FFR yarai
2015年10月8日、“特定の組織からの注文連絡”や“複合機からの自動送信”を装ったWord文書ファイルが添付された不審なメールに関する相談が相次ぎ、IPAからの注意喚起がなされています。IPAによると、添付のWord文書ファイルはマクロ(※1)を実行してマルウェアをダウンロードする機能を有しており、このWord文書ファイルを開いた場合にはマルウェア感染の可能性があることがわかりました。
※1 ソフトウェア内で使用される複数のコマンドをまとめて実行する機能。マクロを実行してマルウェアに感染させる攻撃手法は2014年後半から増加傾向にあり、バンキングマルウェア「DRIDEX」(2015年3月)も同様の攻撃手法を使っています。
身に覚えのない不審なメールを受信した場合は、添付ファイルを開いたり実行したりしないようご注意ください。
これらの偽装メールに添付されたWordファイルに含まれる不正マクロは、当初からマクロが有効になっている場合、もしくはマクロを有効化してしまった場合に実行されます。近年はMicrosoft Officeのマクロ機能がデフォルトで無効化されていますが、業務の必要性から有効にしているユーザーも存在していると思われます。ユーザーの皆様には今一度デフォルト設定の見直しを強く推奨いたします。
このたび悪用された不正マクロは、「SHIFU」と呼ばれるバンキングマルウェアをダウンロードするものです。「SHIFU」は今年4月ごろから広がり始め、日本の銀行14行を攻撃対象としていたことが報道されています。
FFRIでは今回問題となっているWord文書ファイルを入手し、検証を行った結果、下記の2製品で「SHIFU」を検知・防御できることを確認いたしました。
■検証環境
Windows 7 Pro 64bit × FFR yarai 2.6.1294(2015年6月4日リリース)
Windows 7 Pro 64bit × FFRI プロアクティブ セキュリティ 1.1.345(2015年7月21日リリース)
■検証した検体のハッシュ値(SHA-256)
7c2f867cbca04c854ce43085e24c7f2e9b934a2165928d6e528bfb97f4840bb1
検証結果は、画面キャプチャのとおり、FFR yaraiの5つのヒューリスティックエンジンの中の動的解析を担うHIPSエンジンがマルウェアを検知してシステムを保護しています。
今回の検証で使用した FFR yarai 2.6.1294は、2015年6月4日にリリースしており、本製品をご利用いただいていた場合、今回同様の手法を用いた攻撃を未然に防ぐことができたといえます。
FFRIは、今後も独自の調査・分析を行い、脅威を先読みすることで真に価値のある対策を社会に提供できるよう日々精進していく所存です。
◎法人向け
【製品名称】
FFR yarai
http://www.ffri.jp/products/yarai/index.htm
【FFR yaraiの防御実績】 これまでに防御した攻撃・マルウェア一覧
http://www.ffri.jp/products/yarai/defense_achievements.htm
◎個人・SOHO向け
【製品名称】
FFRI プロアクティブ セキュリティ (製品愛称:Mr.F)
http://www.ffri.jp/online_shop/proactive/index.htm
■標的型攻撃対策ソフトウェア「FFR yarai」とは
FFR yaraiシリーズは、従来のセキュリティ対策で用いられているシグニチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を5つのヒューリスティックエンジンにより、様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御します。純国産の技術で開発した製品で、厳格なセキュリティ対策が求められる官公庁や重要インフラ企業、金融機関での採用実績が多数あります。
韓国の放送局や銀行などがシステムダウンした韓国サイバー攻撃(2013年3月)、ソニー・ピクチャーズエンターテイメント社に対する一連のサイバー攻撃に関連するシステム破壊型マルウェア(2014年12月)、Adobe Flash Playerの脆弱性(2015年1月)、ハードディスクのファームウエアの書き換えを行うHDDファームウェア感染マルウェア(2015年2月)、ネットバンキングユーザーを狙ったバンキングマルウェア(2015年3月)、日本年金機構を狙ったマルウェア「Emdivi」(2015年6月)等、これまでに防御した攻撃・マルウェアを防御実績としてFFRIホームページにて公開しています。
■株式会社FFRIについて
当社は2007年、日本において世界トップレベルのセキュリティリサーチチームを作り、コンピュータ社会の健全な運営に寄与するために設立されました。現在では日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいます。研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けておりますが、これらの研究から得られた知見やノウハウを製品やサービスとしてお客様にご提供しています。主力製品となる、「FFR yarai」はミック経済研究所調べ(※2)によるエンドポイント型標的型攻撃対策分野における出荷金額においてNo.1を獲得しております。
※2 出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2014【外部攻撃防御型ソリューション編】」
本件に関するお問い合わせ先
写真・資料等がご入用の場合もお問い合わせください。
株式会社FFRI
経営管理本部 PR担当
TEL:03-6277-1811
E-Mail:pr@ffri.jp URL:http://www.ffri.jp
「FFRI」、「FFR yarai」は、株式会社FFRIの登録商標です。
その他すべての社名、製品・サービス名は、各社の商標または登録商標です。
出典資料の引用等、調査会社の著作物を利用する場合は、出典元にお問い合わせください。