ビデオヘルプ
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
日本語の記事を表示中
Dinesh Theerthagiri | 13 Feb 2014 06:57:50 GMT

今月のマイクロソフトパッチリリースブログをお届けします。今月は、31 件の脆弱性を対象として 7 つのセキュリティ情報がリリースされています。このうち 25 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-010 Internet Explorer 用の累積的なセキュリティ更新プログラム(2909921)

    Internet Explorer の特権昇格の脆弱性(CVE-2014-0268)MS の深刻度: 重要

    ローカルファイルインストールを検証するとき、またはレジストリキーを安全に作成するときに、Internet Explorer に特権昇格の脆弱性が存在します。

    ...
Eric Park | 12 Feb 2014 11:51:50 GMT

スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。

一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。

  • 差出人: [削除済み] <Leila.Day@[削除済み]>
  • 差出人: [削除済み] <CharlotteTate@[削除済み]>
  • 差出人: [削除済み] <Diana.Pope@[削除済み]>
  • 差出人: [削除済み] <SamuelLambert@[削除済み]>
  • 差出人: [削除済み] <Jackson.Garza@[削除済み]>
  • 差出人: [削除済み] <JohnathanParsons@[削除済み]>
  • 差出人: [削除済み] <EliasTaylor@[削除済み]>

これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。

...

Stephen Doherty | 12 Feb 2014 07:04:14 GMT

 

The Mask 1.png

最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask(ザ・マスク)」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。

The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。

活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。

標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV(履歴書)や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。

...
Christian Tripputi | 10 Feb 2014 11:05:22 GMT

史上最悪の銀行強盗は、2005 年にブラジルで起きたものです。この事件で、銀行強盗団は鋼鉄と強化コンクリートでできた厚さ 1.1m もの壁に穴を開け、紙幣が保管されている 3.5 トンものコンテナを運び出しました。このとき、約 1 億 6,000 万ブラジルドル(3 億 8,000 万米ドル相当)が盗み出されています。

一方、最近の強盗は壁に穴を開けたりせずに金銭を盗み出します。自宅でコンピュータの前でくつろぎながら銀行を襲えるのです。サイバー犯罪によって、企業は百万ドル単位の財政的な損害を被っています。シマンテックのホワイトペーパー「State of Financial Trojans 2013(金融機関を狙うトロイの木馬の 2013 年における概況)」(英語)でも、オンラインバンキングを狙うトロイの木馬の急増が指摘されています。ZeusSpyeye などの一般的なマルウェアを別にすると、サイバー犯罪者がオンラインバンキングを狙って最近よく使っているのは、...

Satnam Narang | 10 Feb 2014 09:12:47 GMT

safer_internet_day.png

10 月の全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month)や、2 月のインターネット安心デー(Safer Internet Day)に限らず、日常的にオンラインの安全性を意識することは常に大切です。日常生活へのテクノロジの浸透が進み続けている今、自身の情報やデジタル ID を確実に管理するためのセキュリティ機能や設定を使用してください。

時代はソーシャル
今日のインターネットで最も大きい潮流は、ソーシャルです。今この瞬間にも私の友人たちは、Pinterest に結婚式のアイデアをピンする、Instagram にカフェラテの写真を投稿する、Snapchat で今日の服装を送る、Foursquare でレストランにチェックインする、Vine で飼い猫の動画を投稿する、Facebook で赤ちゃんの写真を共有する、Twitter で『ウォーキング・デッド』プレミアの予想を投稿するといった行為に勤しんでいます。こういったサービスは、人気が高くなればなるほど、詐欺やスパム、フィッシング攻撃の標的となる頻度も高くなります。

設定の確認
シマンテックセキュリティレスポンスは、各種のソーシャルネットワークやソーシャルアプリのプライバシー設定とセキュリティサービスを十分に理解しておくことを推奨しています。

  1. 公開か非公開か。デフォルトでは、多くのソーシャルサービスでは更新情報を公開するよう推奨されています。プロフィールを公開にするか非公開にするかを全体設定として選択するサービスがほとんどですが、...
Gavin O Gorman | 10 Feb 2014 04:49:05 GMT

Figure_2.png

1 月 23 日、CERT Polska はブログを投稿し、ポーランドのユーザーを標的として最小限の労力でオンラインバンキングを狙うマルウェアについて報告しました。同ブログでは、このマルウェアの一部のサンプルで使われていたハッシュも紹介されています。シマンテックはこれを受けて、今回のマルウェアの新しい名前を Trojan.Banclip として用意しました。シマンテックの遠隔測定結果を見ると、このマルウェアの拡散状況と、攻撃者のそれ以外の目的について詳しく理解することができます。これはまた、マルウェアスキャンサービスに関する誤解を解くきっかけにもなります。

関連する活動
2014 年 1 月 14 日、シマンテックは、Trojan.Banclip の亜種がポーランドの Web サイト zeus[削除済み].cba.pl からダウンロードされていることを記録しました。その後、少なくとも 6 つのマルウェアサンプルがこの Web サイトからダウンロードされています。次のグラフは、拡散されたマルウェアの 1 日当たりの検出数です。

Figure1_8.png

図. zeus[削除済み].cba.pl...

Joseph Graziano | 07 Feb 2014 09:07:32 GMT

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

figure1_16.png
図 1.
悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 30 日付)

...

Satnam Narang | 05 Feb 2014 10:00:28 GMT

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

...

Christopher Mendes | 05 Feb 2014 09:01:03 GMT

寄稿: Sean Butler

サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。

嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。

詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。

シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。

この電子メールのヘッダーは以下のとおりです。

差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com

件名: Copa do Mundo FIFA 2014

このヘッダーを翻訳すると次のようになります。

差出人: Congratulation you were...

Orla Cox | 05 Feb 2014 04:27:48 GMT

POS_concept.jpg

サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙われやすい標的が POS システムです。小売店の店頭レジ端末(POS)システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から保護する方法については、「Attacks on Point of Sales Systems(POS システムに対する攻撃)」と題したホワイトペーパー(英語)を参照してください。

今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2...