ビデオヘルプ
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
日本語の記事を表示中
Lionel Payet | 28 Feb 2014 07:29:15 GMT
Java ベースのリモートアクセスツール(RAT)を使った攻撃も、もはや異例ではなくなりました。過去数年間で広がりを見せ、その後も企業と個人の両方を標的にし続けています。こういった攻撃がこれほど一般化したのも、特に驚くことではありません。RAT によってコンピュータへの感染に成功すると、攻撃者はそのコンピュータを完全に制御できるからです。それだけでなく、この攻撃は理論上、Java が稼働しているあらゆるコンピュータを標的にするので、オペレーティングシステムの種類も限定されません。ほんのいくつかの RAT のソースコードがオンラインで公然と共有されているおかげで、攻撃者は Java RAT を容易に利用することができます。
 
シマンテックは今月、Java RAT(JRAT)を拡散する新しいスパム攻撃を確認しました。攻撃が始まったのは 2014 年 2 月 13 日です。スパムメールの送信者は、支払い証明書を添付したと称して、その受信を確認するようユーザーに求めてきます。
 
Capture_email_figure1.png
図 1. 新しい Java RAT 攻撃で使われているスパムメール
 
添付されているのは、実際には悪質な Paymentcert.jar という名前のファイル(Trojan.Maljava として検出されます)です。このトロイの木馬を実行すると、侵入先のコンピュータに JRAT(...
Dick O'Brien | 27 Feb 2014 07:25:34 GMT
3442719_-_mobile_device_grayware_concept.png
モバイルセキュリティで非常に厄介なのが、「グレイウェア」をめぐる問題です。正規のソフトウェアとマルウェアとの間に明確な境界線はなく、グレイウェアは概ねその曖昧な領域に存在します。グレイウェアとは、明らかにマルウェアと言えるものを隠し持っているとは限らないものの、何らかの形でユーザーにとって有害または迷惑なアプリのことです。たとえば、ユーザーの所在や Web ブラウズの習慣を追跡する、望まない広告をしつこく表示するといった動作をします。多くの場合、グレイウェアの作成者はソフトウェアライセンス契約の中に小さな文字でアプリの機能概要を示して正規のアプリを装います。
 
グレイウェア自体は目新しい存在ではなく、無償アプリケーションにスパイウェアなどの余計なものが含まれているとして議論の対象になり始めたのはもう 10 年以上も前のことです。PC ユーザーのスキルが上がり、インストールされるものに関して敏感になるとともに、その議論は下火になりましたが、スマートフォンという新しい環境が登場するようになると、まったく新しいソフトウェアマーケットが生まれました。スマートフォンのユーザーは、まるで 10 数年前の PC 環境に対するのと同じような不用心さで、モバイルソフトウェアマーケットに接しています。多くの場合、ユーザーは、機能の全容をほとんど、あるいはまったく知らないままモバイルアプリをインストールしているのです。
 
これは深刻な問題です。シマンテックが集めたデータでは、モバイルアプリの 3 分の 1 以上がグレイウェアと見なせると示唆されています。ノートン モバイルセキュリティの新バージョンが発表された昨年までに、...
Candid Wueest | 27 Feb 2014 05:50:20 GMT
mwc_10years_tube_map_infographic.png
図. モバイルマルウェアの歴史
 
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
 
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる...
Symantec Security Response | 26 Feb 2014 03:04:45 GMT

先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT(Advanced Persistent Threat)に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。

シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。

IE 10 zero day 1.png

図 1. CVE-2014-0322 を悪用する攻撃の分布図

特に、...

Laura O'Brien | 25 Feb 2014 10:22:59 GMT

figure1_17.png

今年の Mobile World Congress は、2 月 24 日から 27 日の会期で開催されています。スマートフォンやタブレットの最新技術が一堂に会し、それが今後 1 年のうちに私たちの前に姿を現すことでしょう。しかし、モバイルデバイスのメーカーやアプリ開発者が毎年技術を競い合うように、マルウェアの作成者も腕を磨いています。シマンテックは 2013 年、Android モバイルオペレーティングシステムを標的としたマルウェアの新しい亜種を 1 カ月当たり平均 272 種類、新しいマルウェアグループを平均 5 つ発見しました。こうした脅威が、さまざまな手口でモバイルデバイスを標的にしており、個人情報と銀行口座やクレジットカードなどの情報を盗み出すほか、ユーザーを追跡する、プレミアム SMS メッセージを送信する、執拗なアドウェアを表示するなどの攻撃を試みます。これまでに確認された顕著な脅威が先駆けとなって、新しいタイプのモバイルマルウェアが出現するかもしれません。

さらに大胆に財布を狙う Android マルウェア
オンラインバンキングやショッピングにスマートフォンとタブレットを使うユーザーは増え続けています。PewResearch が行った最近の調査によると、米国の成人のうちオンラインバンキングを利用しているのは 51% で、オンラインバンキングに携帯電話を使っている率も 35% に達しています。若い世代ほどモバイルバンキングの利用率が高い傾向があるので、時間が経てばさらに普及率は高くなるでしょう。

オンラインバンキング用のアプリと併せて、モバイルデバイスは 2要素認証(2FA)プロセスにも対応しています。...

Symantec Security Response | 24 Feb 2014 05:46:25 GMT

ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。
 

adobe-zero-day.png

図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃
 

攻撃の手口

今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト(giftserv.hopto.org)にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル(...

Eric Park | 19 Feb 2014 03:15:36 GMT

以前のブログで、成功率を上げるためにスパマーがメッセージを次々と変更している事例についてお伝えしました。その中で解説したように、同じスパム活動で使われるメッセージが、音声メールの通知から、小売業者の配達不能通知へ、さらには電力会社を装った案内へと変更されていたのです。リンクをクリックすると、Trojan.Fakeavlock を含む .zip ファイルがダウンロードされます。しかし、スパマーもこうした攻撃経路ではユーザーがなかなか騙されなくなってきたことに気付いたようで、この攻撃に 2 つの手口を追加しています。最初はランダムで無関係のように見えましたが、目的は明らかに共通しています。

1 つ目は米国各地の裁判所を騙る手口です。

Court Funeral Email 1 edit.png

図 1. 米国の裁判所に偽装したスパムメール

2 つ目は葬儀場を騙る手口です。

Court Funeral Email 2 edit.png

図 2. 葬儀場に偽装したスパムメール

この 2 つの手口に共通するのは、...

Symantec Security Response | 17 Feb 2014 05:12:50 GMT

先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。

ie10_0day-diagram1.png

図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃

攻撃の手口

この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを...

Symantec Security Response | 14 Feb 2014 05:22:56 GMT

シマンテックは現在、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査しています。これは、米国の Web サイトに侵入し、それをホストとして利用した「水飲み場型」攻撃のようです。無警戒なユーザーが水飲み場型攻撃の Web サイトにアクセスすると、ゼロデイ攻撃がホストされている別の侵入先の Web サイトにリダイレクトされます。

シマンテックはこのゼロデイ脆弱性の可能性について、攻撃経路や関連するサンプルの解析を続けています。初期の解析によって、Adobe Flash の悪質な SWF ファイルに、32 ビット版の Windows 7 と Internet Explorer 10 を標的にしていると思われるシェルコードが含まれていることがわかりました。被害者のデスクトップのスクリーンショットを撮り、攻撃者が被害者のコンピュータを制御できるようになるバックドアも特定されています。シマンテックはこのファイルを Backdoor.Trojan として検出します。

また、今回の水飲み場型攻撃に対して以下の IPS 定義も提供しています。

シマンテックセキュリティレスポンスは現在、この問題について Microsoft 社と連携しており、保護対策の更新を予定しています。引き続き、...

Satnam Narang | 13 Feb 2014 10:12:41 GMT

写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。

Snapchat Fruit 1 edit.png

図 1. Snapchat 上のフルーツスパム

シマンテックは数カ前から Snapchat スパム追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。

Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。

frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。

...