Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

「Red October」に対するシマンテックの保護対策

Created: 17 Jan 2013 05:44:14 GMT • Translations available: English, Español
Symantec Security Response's picture
0 0 Votes
Login to vote

大規模なサイバースパイ活動が、大手企業や政府機関を狙っていることが明らかになりました。この活動で主に使われているのは、スピア型フィッシング攻撃です。

今回のスピア型フィッシングメールには、Word 文書や Excel スプレッドシートが添付されており、3 つの既知の脆弱性を悪用してコンピュータに感染します。この 3 つの脆弱性は以下のとおりです。

さらに、Oracle Java SE の Rhino スクリプトエンジンに存在するリモートコード実行の脆弱性(CVE-2011-3544)を悪用する攻撃も存在し、これは以下の名前で検出されます。

この脅威は、以下の侵入防止シグネチャ(IPS)でも遮断されます。

当初このマルウェアのサンプルは、Backdoor.Trojan として検出されていましたが、シマンテックは最近になって、以下の検出定義を新たに追加しました。

図 1. Backdoor.Rocra の拡散状況
 

図 2. Backdoor.Rocra の標的
 

この攻撃に使われるスピア型フィッシングメールの例を以下に示します。このようなメールは、Symantec Mail Security for Microsoft Exchange によって遮断されます。
 

図 3. Backdoor.Rocra で使われるスピア型フィッシングメールと添付ファイル
 

図 4. Backdoor.Rocra によるスピア型フィッシングメールに添付された悪質なファイル
 

大規模な攻撃活動にスピア型フィッシングメールが使われるのは今回が初めてではありません。むしろ常套手段とも言えるので、これが最後になるとも考えられませんが、最近は「水飲み場」型攻撃(標的組織によってアクセスされる可能性が高い特定の Web サイトに侵入する攻撃)を使う活動も増加傾向にあります。「水飲み場」型攻撃について詳しくは、ホワイトペーパー「The Elderwood Project」(英語)をご覧ください。

お使いのオペレーティングシステムとソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないにしてください。

「Red October」活動についてさらに詳しい情報をお求めの場合は、Kaspersky 社が公開している「"Red October" Diplomatic Cyber Attacks Investigation」というホワイトペーパーを参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。