ビデオヘルプ
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response
日本語の記事を表示中
Candid Wueest | 16 Jan 2014 04:55:13 GMT

ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。

Facebook RIP scam 1.png

図 1. ソーシャルメディアサイトで共有されている偽動画詐欺

最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、...

Dinesh Theerthagiri | 16 Jan 2014 02:29:08 GMT

今月のマイクロソフトパッチリリースブログをお届けします。今月は、6 件の脆弱性を対象として 4 つのセキュリティ情報がリリースされています。6 件すべてが「重要」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Jan

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される(2916605)

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0258)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、...

Symantec Security Response | 15 Jan 2014 08:10:34 GMT

シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。

確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。

 figure1_6.png
図 1. 出版社のサイトで確認された悪質な iframe

この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。

ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。

•    Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
•    Microsoft XML...

Candid Wueest | 14 Jan 2014 10:53:40 GMT
エネルギーは、現代の生活になくてはならないものです。憂慮すべきことに、エネルギーを供給する企業や産業に対する攻撃未遂の報告は毎年増加しています。2013 年の上半期には、全世界で標的となった業界のうちエネルギー業界が上位 5 位を占め、サイバー攻撃全体の 7.6% に当たりました。したがって、2013 年 5 月に米国国土安全保障省が、エネルギー企業における工程の妨害を目的とした攻撃が増加傾向にあると警告したのも当然です。シマンテックの調査でも、産業施設の妨害が可能な Stuxnet や Disttrack/Shamoon などによって発生しうるシナリオについて、旧来のエネルギー企業は特に懸念しているという結果が出ています。
 
またシマンテックは、エネルギー業界を狙う攻撃者が、風力発電や太陽光発電などの新技術、あるいはガス田探査地図といった知的財産も盗み出そうとしていることも突きとめています。データ窃盗事案は、企業にとってすぐさま壊滅的な緊急事態になるとは限りませんが、長期的な戦略上の脅威となる恐れがあります。盗み出された情報は、今後さらに破壊的な活動を行うために利用されかねません。
 
攻撃の動機も発生源も多種多様です。競合他社が、不正に有利な立場に立とうとしてエネルギー企業に対する攻撃を仕掛ける可能性もあれば、Hidden Lynx グループのような「雇われハッカー」グループが、この手の活動に血道を上げている場合もあります。...
Lionel Payet | 14 Jan 2014 05:42:11 GMT

日本のアニメーションは「アニメ(Anime)」として、漫画は「マンガ(Manga)」として知られており、過去 20 年間で漫画アニメ産業は世界中で人気を博するようになりました。そうした最新の流行を利用するのが、ひと儲けする方法として手っ取り早いことはよく知られており、合法的にも非合法的にもその手法は広く利用されています。アニメと漫画の流行も、マルバタイジング(悪質な広告)やモバイルリスクなどを通じてサイバー犯罪者が無防備なファンにマルウェアの脅威をもたらす新たな手口を生み出しています。

1990 年代に、日本の漫画は米国の市場で大ブームとなり、大手書店の本棚にも並ぶようになりました。日本語のわからないファンが読むためには、漫画の翻訳を待たねばなりません。公式に翻訳される漫画の数は増えていますが、ファンを満足させるにはまだまだ足りないようです。しかも、翻訳対象になるのは人気の高い作品に限られています。

漫画産業が直面している問題のひとつが、日本語を母語としないファンに評価される作品をどう選ぶかということです。その判断基準として、読者コミュニティが非常に有効であることが判明しています。読者コミュニティのなかには、日本の漫画をスキャンして翻訳版を制作するグループも存在し、そのような行為はスキャンレーション(Scanlation)またはスキャンスレーション(Scanslation)と呼ばれています。

公式の出版社はそうした読者コミュニティに注目し、その動きに合わせて事業の方向性を決めていましたが、それが裏目に出てしまいました。90 年代の終わりにはインターネットにアクセスするユーザーが急増し、巨大なスキャンレーションサイトがオンラインで無料の漫画を提供するようになったため、...

Candid Wueest | 10 Jan 2014 09:02:04 GMT

新しい年が始まりました。多くの人がまだ新年の抱負を抱き続けている時期でしょう。今年こそ運動しようとか禁煙しようという定番のほか、新しいアパートを探そうと計画している方もいるかもしれません。ただし、それは賃貸の手付金詐欺広告も増えるということなので、新居を探すときには注意が必要です。

賃貸の手付金詐欺広告は、ほとんどの国で、ほぼあらゆるプラットフォームで見受けられます。広告はどれも本格的ですが、中には正規のサイトから実際の広告をコピーしてきたものもあります。こうした広告が、定評あるアパート賃貸サイトやオンラインの掲示板、B & B(朝食付き宿泊)の紹介サイト、ときには新聞の三行広告欄にも出現するようになっています。Web サイトの所有者は、偽広告を検出し、できるだけ速やかに削除しようと全力をあげていますが、削除しきれずに新しい広告が出回るケースは後を絶ちません。

この詐欺はいたって単純です。ユーザーが少しでも賃貸物件に興味を示すと、大家と称する人物から連絡が届きます。今は旅行中なので物件を直接お見せすることはできないが、預かり保証金を送ってもらえれば鍵を送るというのです。もちろんこれは典型的な手付金詐欺であり、たいていは銀行からの通常の電信送金とは違う方法で支払いを求めてきます。被害者が送金したとたん、詐欺師は手付金を持って行方をくらまし、二度と姿を現すことはありません。アパートの鍵が届くことはなく、そもそもそんな物件が存在したかどうかさえ怪しくなります。ときには、実際に鍵を送ってくる詐欺師もいますが、被害者が検討しているアパートにその鍵は合いません。おそらくこれも、アパートに合わない鍵だと被害者が気付くまでに足跡を断とうとする時間かせぎの手口でしょう。

また、身元調査を装って被害者の個人情報やパスポート写真を集め、それを悪用して被害者になりすまそうとする詐欺師もいます。

同じような詐欺は別の手口にも使われており、たとえば休暇用アパートのレンタル詐欺が頻発しています。こちらの手口の場合、詐欺師は大家ではなく、間借りに興味を持った人物を装います。細かい内容まで合意が進むと...

Val S | 10 Jan 2014 08:35:36 GMT

2014 年最初の週に、シマンテックは定番とも言えるソーシャルエンジニアリングの手法を使い、被害者に強制的にマルウェアをインストールさせる Web サイトを確認しました。ドメインは http://newyear[削除済み]fix.com で、2013 年 12 月 30 日に登録されています。シマンテックの調査によると、攻撃の 94% は英国のユーザーを狙っているようであり、広告ネットワークと、無料動画ストリーミングサイトやメディアサイトを通じて攻撃が仕掛けられています。

攻撃者は、以下のような手口で被害者を欺こうとします。

  • URL に「new year(新年)」や「fix(修正)」などの語句が含まれる。
  • いかにもそれらしい見かけのテンプレート(Google、Microsoft、Mozilla などの)を使い、システムの正常な動作には緊急の更新が必要であると説明する。
  • ブラウザの種類に応じて、Chrome、Firefox、Internet Explorer の Web ページにユーザーをリダイレクトする。リダイレクト先は偽サイトだが、まるで本物のように見える。
  • JavaScript のループ処理を使って、被害者がしかたなくサイトにとどまるように仕向ける。ブラウザを閉じるには、[Yes/No]オプションを 100 回もクリックしなければならない。

このようなソーシャルエンジニアリング攻撃は、独特ではありますが目新しいものではありません。緊急の更新をインストールしなければならないというユーザーの不安感を狙っています。ドメインは昨年末に登録されたばかりですが、もうホリデーシーズンも終わる時期だったので、攻撃者がこの手法を思いついたのは、ぎりぎり最後のタイミングだったようです。

Web サイトは、ウクライナにホストが置かれ、Apache と Nginx によってセットアップされたデュアルハイブリッド Web サーバーを利用しています。被害者のブラウザを識別してリダイレクトを実行しているのは、このうち Nginx です。

...
Satnam Narang | 24 Dec 2013 06:58:08 GMT

最近、デバイスが「Trojan: MobileOS/Tapsnake」という脅威に感染していると思い込ませてユーザーを脅そうとする一連のモバイル広告が確認されています。
 

image1_20.png

図 1. Tapsnake への感染を通知する偽の警告
 

このマルウェア感染警告は偽物です。Tapsnake は Android を狙う比較的古い脅威(シマンテックでは 2010 年にブログでこの脅威について報告しており、Android.Tapsnake として検出します)で、この種の広告の信憑性を高めるために、広告の中でたまたま名前が使われているだけです。シマンテックでは、新品の Android デバイスを使って、この広告を提供するサイトにアクセスしてみました。このデバイスは初期インストールの状態で、他に何も追加されていませんでしたが、それでもこの警告が表示されました。この脅威は iOS デバイスを標的にはしていませんが、Apple 社の iPhone ユーザーからも Tapsnake 警告が表示されたという報告があります
 

...

Candid Wueest | 19 Dec 2013 08:21:53 GMT

「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。

同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。

金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、...

Gavin O Gorman | 19 Dec 2013 06:14:10 GMT

Browlock ランサムウェア(Trojan.Ransomlock.AG)は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AE のように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolocker のようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。

Browlock 1 edit.png

図 1. 違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア

驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65...