Video Screencast Help
Search Video Help Close Back
to help
Not able to make it to Vision this year? Get a sampling in the Best of Vision on Demand group.

Security Response

Showing posts in Japanese remove filter
チベット問題を利用するマルウェアに侵された正規のアプリケーション
Symantec Security Response | 23 hours 13 min ago | 0 comments

解析担当: 篠塚大志

チベット関連の問題を餌として使った最近のマルウェア攻撃は広く知られているので、チベット問題を題材として、悪質な Word 文書を使った新しい攻撃が登場しても特に驚くには当たりません。この攻撃に使われている電子メールは英語で書かれており、米国の衣料品会社に宛てて送信されていました。

チベットに関係のある組織から送信されたように見えますが、メールのヘッダーを見れば、ロシアにあるメールサーバーから送信されていることがわかります。

今回発見されたファイルが他のマルウェアと異質なのは、有名なグラフィックカードメーカーの正規の署名があるプログラムを攻撃経路に使っているという点です。

添付された文書ファイルを開くと脆弱性(CVE-2012-0158)が悪用され、悪用に成功すると NvSmart.exe、NvSmartMax.dll、boot.ldr という 3 つのファイルが投下されます。この 3 つのファイルのうち、NvSmart.exe はデジタル署名されたプログラムです。

解析を始めた時点では、NvSmart.exe ファイルの署名はおそらくはどこかで盗み出されたものだろうと考えられましたが、解析を進めていくと、実際には正規のファイルであることが判明しました。

...

Read more
ZTE Score: いとも簡単に権限昇格が可能
Val S | 24 May 2012 | 0 comments

寄稿者: Branko Spasojevic

Pastebin への最近の投稿により、ZTE 社製の Score 携帯端末は、簡単なコマンドだけで root アクセスが可能になることが明らかになりました。この権限昇格を利用すると、Android 2.3.4(Gingerbread)を搭載している ZTE Score M 携帯端末の完全な制御が可能になります。シマンテックは、この端末の MetroPCS 版と Cricket Wireless 版を解析し、権限昇格の再現に成功しました。

Android セキュリティモデルは、アプリケーションが他のアプリケーションと対話できないように、また特定の権限がない限りシステムレベルのコマンドを直接実行できないように、アプリケーションをサンドボックス化して、悪影響を防いでいます。権限昇格を使うと、このようなデフォルトの Android セキュリティモデルをすり抜け、デバイス上で任意のコードを実行して自由に改変することが可能になります。

このデバイスの場合、権限昇格はコード上のバグではなく、通信キャリアによる管理あるいはトラブルシューティングを目的とした設計上の機能だと考えられます。どんな理由でこのコードが含まれていたにせよ、残念ながら任意のアプリケーションに root シェル(システムレベル権限)の取得を許可すれば、悪質なアプリケーションも root シェルを利用できることになり、本来は Android セキュリティモデルによって阻止されるはずの悪質な行為さえ実行できるようになるのです。

通信機器メーカーである ZTE 社は、この問題に対応するパッチがあることを発表し、近日中にリモート配信する予定としています。

この問題が存在するのは、システムシェル(/system/bin/sh)をスーパーユーザー権限で実行する機能を持つ、インストール済みの実行可能ファイルでした。この実行可能ファイルは、まず引数の最初の部分が "ztex" に等しいかどうかをチェックします。このチェックに成功すると、今度はユーザー引数(argument[4:])の 2 番目の部分が "1609523" という数値に等しいかどうかをチェックします。...

Read more
少しのスペースもスパマーに譲らないために
Paresh Joshi | 22 May 2012 | 0 comments

スパム対策ソフトウェアでコンテンツベースのフィルタを使ってスパムを遮断するのは特に難しいことではありません。そのためスパマーは、URL ベースのフィルタをすり抜けるためにさまざまな不明瞭化の手法を編み出しています。以前このブログで取り上げたソフトハイフン(shy(シャイな)文字)の挿入もそのひとつですが、最近では、従来のスパム対策技術に見られるごく小さな盲点を狙って利益を得ることも試みられています。スパマーが試しているのは、大きさの異なるスペース(空白)文字を挿入する、あるいは通常の「.」(ドット)文字を「。」(句点)に置換することによってスパムメッセージ中の URL を不明瞭化しようという方法です。

具体的にはどうするのか、そのテクニックを紹介しましょう。

HTML では、大きさの異なるスペース文字を使えます。ほとんどの言語では単語の区切りにスペースを使いますが、スペース文字の大きさは言語によって異なります(詳しくはこちらを参照)。Unicode では、字体のデザインに応じてさまざまな幅のスペース文字を使うことができます。次の表に、スペース文字の一部をまとめました。

スパマーは、このようなスペース文字をメッセージ本文中の URL に挿入して、スパム対策フィルタをすり抜けようとします。ふつうに表示すると、この URL は次の画像のように見えます。

...

Read more
Facebook の IPO を悪用する 419 詐欺
Nick Johnston | 21 May 2012 | 0 comments

現地時間の 5 月 18 日、ソーシャルネットワークサイトの Facebook は待望の IPO(新規株式公開)を果たしました。株式の需要が発行株数を大幅に上回っていたので、この IPO は応募超過になるとたびたび予測されていました。

これほど注目を集めている IPO が、いわゆるナイジェリアの手紙詐欺や「419」詐欺といった先払い詐欺を狙う犯罪者の目にとまらないはずがありません。簡単に再確認しておくと、この種の詐欺は何らかの支援を要請し、その見返りとして莫大な資金を約束するというのが常套手段です。ただし、約束された金額を受け取るためには、あの手この手で求められる料金や手数料を前払いしなければなりません。請求は続きますが、約束された資金が現実化することは決してありません。

シマンテックは最近、「FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL(Facebook の IPO 共同購入のご案内)」と称した 419 詐欺を確認しました。見出しをすべて大文字で書くのは、この手の 419 詐欺でおなじみの特徴です。

メッセージでは世界中にいくつもの拠点を持つ金融会社から送信していると謳っていますが、詐欺の真意は不明です。詐欺の本文では、「ソフトな」つまり条件のゆるい貸し付けを受けて Facebook 株を購入し、元の購入額より高い価格で金融会社に売り戻すという方法が紹介されています。

この金融会社はロンドン、香港、ドバイにオフィスを構えているとも書かれていますが、メッセージの本文に書かれた電話番号は、カリフォルニア州サクラメントにある電話応答代行サービスのもので、この会社の Web サイトを見ると、その登録オフィスはウェールズのカーディフにあります。

これが詐欺であることの最大の証拠は、返信を促しているその宛先のメールアドレスです。Web ベースの無料メールプロバイダによくある、まるで素人のようなアドレスです。正規の企業であれば、無料 Web メールのアドレスなどではなく、独自ドメインのメールアドレスを使うのが普通でしょう。メッセージの「差出人」ヘッダーに書かれたメールアドレスと名前も、メッセージ本文で使われているアドレスや名前と一致していません。...

Read more
SNS サイトに投稿し、他の脅威を攻撃するワーム
Takashi Katsuki | 21 May 2012 | 0 comments

W32.Wergimog はリムーバブルドライブを介して拡散し、バックドアを開こうとするワームです。その亜種を調べているときに興味深いサンプル(W32.Wergimog.B と命名)が見つかりました。どちらも同じソースコードをベースにしていますが、.B 型の亜種にはさらに注目すべき機能が含まれていたので、ここで詳しくお伝えしたいと思います。
 

正規のアプリケーションに対する攻撃

W32.Wergimog.B は、Internet Explorer や Mozilla Firefox などの正規のアプリケーションに自身をインジェクトします(図 1)。
 

図 1: W32.Wergimog.B は特定のアプリケーションに自身をインジェクトしてインターネットに接続する
 

インジェクト先のアプリケーションにネットワーク接続機能があることを確認すると、W32.Wergimog.B は以下にまとめた一連の機能を実行します。
 

ソーシャルネットワークサービス(SNS)サイトへの投稿

W32.Wergimog.B には、ユーザーが以下のいずれかの SNS サイトにアクセスしたときにチャットメッセージ、...

Read more
Google Play 上の無料アプリに対して料金を請求するマルウェア
Joji Hamada | 20 May 2012 | 0 comments

Android.Opfake は、モバイルデバイスの所有者を騙して、少額ながらアプリの料金を支払わせようとするマルウェアです。そのために、Android デバイスからプレミアム SMS メッセージを送信するという手口を使っています。Android.Opfake は成長を続け、今やロシア語圏で相当数の Android ユーザーに影響を与えかねない脅威へと進化しています。インターネットをちょっと検索しただけでも、人気のあるアプリの専用サイトなど、さまざまなアプリを入手できるアプリマーケットを装ったサイトが何百と見つかります。こうしたサイトでホストされている Android.Opfake の中には、犠牲者を最初に引き込むときの手法も、詐欺に用いる手順も異なる亜種がいくつか存在しています。

最近でも、実に興味深い方法で処理を実行する亜種が確認されています。最終的な結果を見れば Android.Opfake が詐欺であることは明白ですが、デバイスの所有者を Google Play に誘導し、すでにインストールが済んでいるにもかかわらずアプリをインストールさせようとする手口です。この場合、アプリは専用のサイトにホストされていることも、偽アプリマーケットにホストされていることもありますが、これは Android.Opfake では一般的です。人気のあるアプリをホストしているサイトの一例を次に示します。
 

ダウンロードとインストールが終わってアプリを起動すると、再度インストールが実行されるように見えます。
 

...

Read more
韓国のユーザーを狙うフィッシング攻撃
Mathew Maniyara | 18 May 2012 | 0 comments

共同執筆者: Avdhoot Patil

フィッシング攻撃者は、さまざまな業種にわたり、また多くの言語を使って世界中でブランドを騙っています。2012 年 4 月以降、韓国語のフィッシング攻撃が勢いを増しており、英語以外の言語による全フィッシングサイトのうち 0.5% を占めています。なかでも増えているのが、韓国に拠点を置く銀行を狙った攻撃です。こうした攻撃の最大の動機は、おおかたのフィッシング攻撃と同様、金銭の詐取です。シマンテックが確認したフィッシングサイトの一部を以下に紹介します。

1 つ目の例では、ユーザーの名前、住民登録番号、携帯電話番号、銀行口座番号とそのパスワード、振込パスワードを入力するよう求められています。所定の情報を入力するとページがリダイレクトされ、セキュリティカードシリアル番号を入力するよう要求されます。そのうえで、フィッシングサイトは正規のサイトにリダイレクトされます。

図 1: ユーザーの個人情報を求めるフィッシングサイト

 

図 2. フィッシングサイトは、セキュリティカードシリアル番号を入力するページにリダイレクトされる

 

別のフィッシングサイトの場合、名前と住民登録番号を求められます。個人情報を入力するには、その前に利用規約を承諾する必要があります。必要な情報を入力すると、さらに詳しい情報を要求するページにリダイレクトされます。このページには、最初のページで入力した住民登録番号があらかじめ表示されています。その他の必要情報としては、引き落とし口座の番号、そのパスワード、...

Read more
Andoid.Opfake の徹底調査
Masaki Suenaga | 18 May 2012 | 0 comments

Android.Opfake は、それが現在標的としている多くのモバイルプラットフォームよりも以前から存在し、かつて標的としていたいくつかのモバイルプラットフォームよりも長く存続しています。モバイル環境をめぐる脅威の世界で執拗に生き延びつづける性質を持ち、その姿は核戦争後の世界に生息するゴキブリさながらです。ブラックマーケットとの連携網を利用するビジネス手腕と、セキュリティベンダーによる予防策に短時間で対抗する能力とを併せ持つ Opfake は、何年間もこの世界を生き抜いてきただけではありません。今や Opfake 一族は、モバイルマルウェアの歴史そのものとさえ言えます。

これまでに発見されてきた多くのトロイの木馬と同様、Android.Opfake は正規のアプリケーションに偽装しています。実際シマンテックは、Web ブラウザ Opera のインストーラからポルノ動画に至るまで、実に多様なアプリやコンテンツに身を潜めた Opfake の亜種を多数確認しています。この悪質なプログラムの内部コードを解析すると、より真相に近いその本質が見えてきます。正規のアプリケーションではありえない、疑わしい機能がいくつも存在します。たとえば、自身の設定ファイルを暗号化している点などには、その動作を隠そうという意図が明白です。あるいは、デバイスから詳しい連絡先情報を収集する機能もありますが、これはまっ先に情報窃盗が疑われます。

こうした疑わしい動作などについては、最近のホワイトペーパー『Android.Opfake In-Depth』(英語)で詳しく取り上げています。

 

* 日本語版セキュリティレスポンスブログの RSS...

Read more
OSX.Flashback - ボットネットが利益を上げるための手口
Symantec Security Response | 17 May 2012 | 0 comments

OSX.Flashback ボットネットの解析を進めていくにつれ、この手のボットネットの収益性はかなり高いことが明らかになりつつあります。以前の記事では、感染したコンピュータ上で広告を表示することによって、OSX.Flashback が作成者の儲けにつながっていることを指摘しましたが、その後、この攻撃で表示された広告の件数と、その広告からもたらされた金額について、さらに具体的な実態がわかってきました。

シマンテックの解析によれば、4 月の最初からの 3 週間でこのボットネットは侵入先のコンピュータ上で 1,000 万件を超える広告を表示しましたが、実際にリンクをクリックして広告を目にしたユーザーはごく一部であり、およそ 400,000 件の広告がクリックされました。この 3 週間のクリック数から攻撃者は 14,000 ドルを稼いだことになりますが、稼ぐことと実際にその金額を手にすることは別であり、回収に至るまでの道のりはかなり困難です。PPC(ペイパークリック)プロバイダの多くは詐欺対策の手段を講じており、支払い前のアフィリエイト検証プロセスも実施しているからです。幸い、今回の攻撃者は受け取りに必要な手順を完了できなかったようです。

Flashback の広告クリック処理コンポーネントが実際にインストールされたのは、感染した 600,000 台以上のコンピュータのうち約 10,000 台にすぎないと推測されます。言い換えれば、ボットネット全体の 2 % たらずを利用するだけでも、攻撃者は 3 週間で 14,000 ドルを稼いだことになるわけで、もしボットネットすべてを利用できたとしたら、1 年間で何百万ドルという稼ぎになる可能性を秘めています。

この規模のボットネットを操る者にとって、選択肢はさまざまです。最近は、偽の広告を使って攻撃者の利益を生み出すボットネットが数多く登場しており、...

Read more
Temple Run も悪用する Android.Opfake の次の一手
Irfan Asrar | 16 May 2012 | 0 comments

Opfake の攻撃者集団については、いろいろな呼び方ができそうですが、少なくとも彼らを「なまけ者」とは呼べません。私たちが暮らすこのデジタル時代にあって、彼らはソーシャルエンジニアリングというアナログな技術を新たな次元で駆使しています。最近も、人気ゲームタイトルの偽アプリを拡散する窓口として機能するダミーサイトをいくつも作り出しています。

フロントエンドのサイトはすべて中央のバックエンドサイトにリダイレクトされ、このバックエンドがファイルジェネレータまたはリポジトリとして機能します。これまでに確認されているフロントエンドのサイトの一部を挙げます。

  • [http://]www.fruitninjaandroid-apk.ru
  • [http://]www.flashplayerandroid-apk.ru
  • [http://]www.cuttherope-android-apk.ru
  • [http://]www.cuttherope-experiments-apk.ru
  • [http://]www.cuttherope-apk.ru
  • [http://]www.angrybirds-android-apk.ru
  • [http://]www.jellydefense.ru
  • [http://]www.templerun-android.ru

 

 

正規のゲームであると信じ込ませるために、...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
269,997