パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!8月31日(土)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


2012年12月アーカイブ

 米マカフィーは、2013年のサイバー攻撃などセキュリティに関する予測を発表した。

発表によると、モバイル端末への攻撃は引き続き増大するほか、インフラへの攻撃が増加していくという。2012年もモバイル端末へのマルウエアを使った攻撃が目立ったが、2013年は新たな特徴としてモバイル端末にロックをかけ、復旧と引き換えに金銭を要求するマルウエア「ランサムウエア」が増加すると予想を示している。

また、2012年に情報流出事件や犯行予告などで話題となったハッカー集団「アノニマス」については、攻撃技術の高度化が止まり成功率が低下、一方で政府や軍などがサイバー攻撃の被害者になるケースが増加すると見方を示した。

MdN Design Interactive
http://www.mdn.co.jp/di/newstopics/27296/?rm=1
シマンテックは年末年始に旅行に出かける人に向けて、インターネットのセキュリティアドバイスを紹介している。

年末年始の休暇中に旅行する際、同社が推奨しているセキュリティ対策は以下の通り。

■出発前のアドバイス
・一時的な電子メールアカウントの利用
ディナーの予約、観光予約、無料のWi-Fiアカウントなどに利用するために、一時的な電子メールアカウントを作成する。

・自宅のすべてのデバイスの電源を切り、パスワードで保護
万が一、留守中に泥棒が入った場合のことを考え、PCやタブレットなど、自宅のすべてのデバイスの電源を切り、パスワードで保護する。

・いざという時のバックアッププランを検討する
保険証 / パスポート / 予約確認書 / 航空券 / 盗難時の連絡先 / 緊急連絡先のコピーに加え、旅先で撮った写真を保管するためのクラウドストレージを用意する。

・SNSのプライバシーレベルを上げる
自宅を留守にしていることや休暇中であることを、望ましくない人に知られてしまわないように、すべてのSNSのプライバシー設定を最高レベルに設定する。

・インターネットセキュリティ製品を使用して保護する
インターネットセキュリティ製品を利用する。また、スマートフォンやタブレットを保護するために、複数デバイスに対応するセキュリティ製品の導入を検討する。

■旅行中のアドバイス
・無料のWi-Fiスポット利用時に注意
どのようなデバイスを使っている場合でも、公共のWi-Fiスポットに接続するときは細心の注意を払う。

・インターネット上での支払時には細心の注意を
インターネット上で金銭関連の情報を入力する際は、ブラウザのSSL暗号化対応表示などをもとに、そのWebサイトが安全であることを確認する。

・共有のPCを使い終わったら必ずサインアウトする
インターネットカフェやホテルでコンピューターを利用したら、退席する前に必ずログアウトする。

・クラウドに思い出を保管する
貴重な写真はクラウドストレージにアップロードしておく。

■帰宅後のアドバイス
・ゴミを捨てる
一時的な電子メールアカウントを使用した場合や、海外の情報購読サービスに登録した場合は、必要がなくなったら忘れずにアカウントを削除する。

・鍵を交換する
旅行中に使用したすべてのWebサイトとサービスのパスワードを変更する。

マイナビニュース
http://news.mynavi.jp/news/2012/12/27/070/
 今年は、ホリデーシーズンにおけるオンラインショッピングの購入額が、米国だけで12.1%増の960億ドルになると見込まれています。また、人々とつながる手段として、これまで以上に多くの人がソーシャルメディアや携帯デバイスを使用しています。複数のデバイスを使用するということは、それだけサイバー犯罪者に、個人情報やファイルといった貴重な「デジタル資産」にアクセスする手段を与えることになります。デバイスの保護が不十分な場合は、なおさらその危険が高まります。

 MSI Internationalとマカフィーによるグローバル調査によると、一般ユーザーは複数のデジタルデバイスに平均37,438ドル相当の「デジタル資産」を保管していながら、3分の1以上の人がどのデバイスにも保護を導入していないことが明らかになっています。

 というわけで、このお休み中、コンピューターに向かうときには十分注意しましょう。マカフィーでは、楽しいホリデーシーズンをお過ごしいただくために、以下の通り「2012年版12のオンライン詐欺」を発表しています。

オンライン詐欺1:ソーシャルメディア詐欺
オンライン詐欺2:不正なモバイルアプリ
オンライン詐欺3:旅行詐欺
オンライン詐欺4:ホリデーシーズンのスパム/フィッシング
オンライン詐欺5:iPhone 5、iPadMiniなど人気商品のギフト詐欺
オンライン詐欺6:Skypeメッセージの恐怖
オンライン詐欺7:偽のオンラインギフトカード
オンライン詐欺8:ホリデースミッシング
オンライン詐欺9:偽のネット通販業者
オンライン詐欺10:チャリティフィッシング詐欺
オンライン詐欺11:危険な電子グリーティングカード
オンライン詐欺12:偽の三行広告


 「2012年版 12のオンライン詐欺」詳細は、こちらをご覧ください。また、ホリデーシーズンおよび年間を通して詐欺から身を守る方法を以下に挙げておきます。

1) 警戒を怠らない
 人気の商品やギフトカード、またホテルや航空券などの価格について、あまりにうますぎる話には用心しましょう。また、本物の銀行は、テキストメッセージで個人情報を提供するように求めることはありません。

 ショップや旅行会社、銀行や慈善団体からの電子メールやウェブサイトについて、低い解像度の画像、スペルミス、文法の間違い、不自然なリンクなど、偽物である可能性を示す証拠がないか、常に確かめるようにしてください。また正規のウェブサイトを訪問したり、直接問い合わせて、案内の内容を確認しましょう。ただ、届いたスパムに返信してはいけません。

 eカードは、メールに記載されたリンクのドメイン名をチェックして、有名なeカードのサイトから送られたものであることを確認してから開くようにしましょう。

2) アプリのダウンロード注意する
 スマホのアプリは公式のアプリストアからダウンロードするようにしましょう。また実際にダウンロードする前には、他のユーザーのレビューやアプリのパーミッションポリシーを確認してください。セキュリティソフトも、危険なアプリから身を守るのに役立ちます。

3) 安全なウェブ閲覧の方法を実践する
 クリックする前に、マカフィー サイトアドバイザー(McAfee SiteAdvisor®)といったセーフサーチのプラグインを使用して、閲覧しようとするウェブサイトが危険なサイトである可能性を確認してください。サイトアドバイザーは、検索結果に赤、黄、緑のわかりやすいチェックマークを付けて、そのサイトを評価する機能です。

4) 安全なショッピングの方法を実践する
 信頼できるeコマースサイトを利用するように心がけ、McAfee SECUREなど、サイトが信頼できる第三者によって検証済みであることを示す証明マークを確認してください。また、ブラウザのアドレスバーに錠前のマークが表示され、URLの先頭が(単なる"http"ではなくて)"https"になっていることを確認してください。これは、そのサイトが暗号化を使用しており、あなたのデータが保護されていることを示しています。

また、何らかのサイトを初めて利用するときには、他のユーザーのレビューをチェッ クし、掲載されている電話番号が正規のものであることを確認しましょう。支払いについて、何らかの品物を購入する場合は現金払いとし、絶対に商品到着前に代金を前払いする契約をしてはいけません。

5) 強力なパスワードを使用する
 パスワードが8文字以上で、数字、文字、記号などの異なる文字種が使用され、特定の単語のスペルになっていないことを確認してください。複数の重要なアカウントに同一のパスワードを使用するのは避け、パスワードは絶対に他人に教えないでください。

6) クリックするときには注意する
 知らない人から送られてきたメッセージに含まれているリンクはクリックしないでください。短縮URLの場合は、クリックする前に短縮URL展開ツールを使用して、リンク先を確認してください。

7) 総合的なコンピューターセキュリティを使用する
 ウイルス対策、スパイウェア対策、スパム対策、ファイアウォールを搭載した総合的なセキュリティプログラムを導入し、常に最新の状態にしておく必要があります。マカフィー オール アクセスなどのオンラインセキュリティ安全対策ソフトウェアは、PC、Mac、スマートフォン、タブレットといった、あらゆる種類のデバイスを、クリスマス関連のマルウェア、フィッシング、スパイウェア、およびその他の既知および新規の脅威から保護してくれます。

8) 自ら学ぶ
 攻撃の危険を回避できるように、サイバー犯罪者が使用している最新の詐欺や罠について学んでください。このMcAfee Labs Blogやセキュリティ・ニュースには、有益な情報が掲載されています。

※本ページの内容はMcAfee Blogの抄訳です。
原文:The Top 12 Scams Of Christmas To Watch Out For

■関連サイト

McAfee Blogのエントリー
McAfee Blog Central(英語)
McAfee Blog(日本語)
※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。

http://ascii.jp/elem/000/000/753/753905/
株式会社アンラボは12月26日、強力な機能で金融情報を盗むマルウェア「Citadel」の分析結果を発表、ユーザに注意を呼びかけている。分析の結果、Citadelの機能は全体的に「Zeus」と類似した傾向が見られた。Citadelは、マルウェアに感染したPCのネットワークであるボットネットを構成するための機能に加え、ユーザのオンラインバンキング情報、Webブラウザ内の保存情報、SNSの個人情報など、さまざまなデータを盗む機能を持つ。また、攻撃者のC&Cサーバから偽セキュリティソフトなどをダウンロードさせ、ユーザに直接金銭を要求することもある。

Zeusの場合は、銀行の認証情報を盗む前に、OSの情報やWebブラウザの情報、ユーザが設定したPC名など、感染PCの基本的な情報だけを集めて攻撃者に送信する。一方Citadelは、基本的な情報に加えてAPT攻撃を実行するためのネットワーク情報まで収集する。たとえば、ローカルネットワークのドメイン情報、データベースのサーバリスト、Windowsユーザ情報、グループのアカウント情報、さらにはWebブラウザ上のホームページに設定された情報まで収集する。
Citadelは「Citadel ストア」というサイトで販売されており、マルウェアを生成するビルダーと管理者用パネル、あらかじめ構築されたボットネットの毎月の使用料、セキュリティを回避するためのサービス、アップデート使用料など、細分化した販売方針で運営されているという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121227-00000006-scan-sci
マカフィーは、年末年始などのホリデーシーズンは、デバイスを起動して贈り物を注文したり、旅行の計画をしたりとオンラインショッピングの機会も増えるとして、ブログ上で注意を促している。

同社ブログによると今年は米国のホリデーシーズンにおけるオンラインショップでの購入額が年々増加していること、従来以上にソーシャルメディアやスマートフォンが使われていることなどリスクの増加を指摘している。

また、ユーザーが複数のデジタルデバイスに平均37,438ドル相当の「デジタル資産」を保管していながら3分の1のユーザーがどのデバイスにも保護、対策を導入していないとして、ホリデーシーズンおよび年間を通して詐欺から身を守るための心構えを改めて、掲示している。

警戒を怠らない- 人気の商品やギフトカード、またホテルや航空券などの価格について、あまりにうますぎる話には用心しましょう。また、本物の銀行は、テキストメッセージで個人情報を提供するように求めることはありません。

アプリのダウンロード注意するスマホのアプリは公式のアプリストアからダウンロードするようにしましょう。また実際にダウンロードする前には、他のユーザーのレビューやアプリのパーミッションポリシーを確認してください。セキュリティソフトも、危険なアプリから身を守るのに役立ちます。

安全なウェブ閲覧の方法を実践するクリックする前に、マカフィー サイトアドバイザーといったセーフサーチのプラグインを使用して、閲覧しようとするウェブサイトが危険なサイトである可能性を確認してください。サイトアドバイザーは、検索結果に赤、黄、緑のわかりやすいチェックマークを付けて、そのサイトを評価する機能です。

安全なショッピングの方法を実践する信頼できるeコマースサイトを利用するように心がけ、McAfee SECUREなど、サイトが信頼できる第三者によって検証済みであることを示す証明マークを確認してください。また、ブラウザのアドレスバーに錠前のマークが表示され、URLの先頭が(単なる"http"ではなくて)"https"になっていることを確認してください。これは、そのサイトが暗号化を使用しており、あなたのデータが保護されていることを示しています。

強力なパスワードを使用するパスワードが8文字以上で、数字、文字、記号などの異なる文字種が使用され、特定の単語のスペルになっていないことを確認してください。複数の重要なアカウントに同一のパスワードを使用するのは避け、パスワードは絶対に他人に教えないでください。

クリックするときには注意する知らない人から送られてきたメッセージに含まれているリンクはクリックしないでください。短縮URLの場合は、クリックする前に短縮URL展開ツールを使用して、リンク先を確認してください。

総合的なコンピューターセキュリティを使用するウイルス対策、スパイウェア対策、スパム対策、ファイアウォールを搭載した総合的なセキュリティプログラムを導入し、常に最新の状態にしておく必要があります。マカフィー オール アクセスなどのオンラインセキュリティ安全対策ソフトウェアは、PC、Mac、スマートフォン、タブレットといった、あらゆる種類のデバイスを、クリスマス関連のマルウェア、フィッシング、スパイウェア、およびその他の既知および新規の脅威から保護してくれます。

自ら学ぶ攻撃の危険を回避できるように、サイバー犯罪者が使用している最新の詐欺や罠について学んでください。このMcAfee Labs Blogやセキュリティ・ニュースには、有益な情報が掲載されています。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121226-00000044-mycomj-sci

フジテレビのサーバーに不正侵入

フジテレビは27日、社内ネットワークが何者かに侵入され、情報が漏えいした可能性があると発表した。

同社によると、11月2日に社内ネットワークへの不正アクセスの痕跡が見つかったため調査したところ、メールサーバーに数回にわたり侵入され、メール情報の一部が外部に流出した恐れがあると分かった。

4月に社内端末で特定のサイトを閲覧した際、コンピューターウイルスに感染したとみられる。

視聴者に関する個人情報の漏えいや、持ち出された情報が悪用された痕跡はないという。

同社は警視庁東京湾岸署に被害を報告した。 

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121227-00000077-jij-soci
警視庁は12月21日、いわゆる「遠隔操作ウイルス」真犯人に関する情報提供についてのページをアップデートするとともに、Facebookページを新設したと発表した。情報提供のページでは、従来の概要や犯人の特徴、ウイルスの特徴といった情報に加え、新たに「犯行時間帯」「犯行予告」「犯行声明メール」「ウイルス情報」のコンテンツを追加した。

犯行時間帯においては、ほとんどの犯行が平日、特に月曜日と水曜日の昼間帯に集中して敢行されており、この時間帯に自宅や会社などでコンピュータを使用することができる生活をしていると思われること、逆に週末は主だった動きが見られないことから、週末(土曜日および日曜日)にはコンピュータをほとんど使用しない生活環境にあると思われるとしている。Facebookページにおいても、情報提供のページと同様の内容が公開されている。なお、Facebookページでは情報提供を受け付けていない。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121225-00000004-scan-sci
トレンドマイクロはこのほど、日本国内における2012年度のインターネット脅威に関するレポートを公開した。

レポートでは不正プログラムに関するランキングや、Android端末に感染する不正アプリ数の推移などが公開されている。日本の検出数ランキングでは、ユーザーがアクセスしたWebサイトをトラッキングして広告を表示するアドウェア「ADW_GAMEPLAYLABS」が1位になっている。2位もアドウェアの「ADW_INSTALLCORE」で、3位は世界的に流行しているワーム「WORM_DOWNAD.AD」。

また、日本国内の感染被害報告数ランキングでは、感染すると不正なWebサイトにアクセスする不正プログラム「TROJ_SIREFEF」が1位になっている。

グローバルの不正プログラム検出数ランキングでは、日本では3位だった「WORM_DOWNAD.AD」が昨年に引き続き1位になった。2位はクラッキングツールの「CRCK_KEYGEN」、3位はファイル感染型に分類される「PE_SALITY.RL」となっている。

また同レポートでは「2012年度の脅威傾向と今後の予測」として、以下の5つのトピックを挙げている。

・トピック1 スマホ向け不正アプリの増加とソーシャルエンジニアリングの変化
2012年下半期には、セキュリティソフトを装ったものなど、不正アプリが偽装するカテゴリが増加し、ユーザを騙すソーシャルエンジニアリングの手法が広がった。
・トピック2 国や地域に特化した脅威
日本語の開発言語「プロデル」で作成された「TROJ_DELETER.AF」など、英語以外の言語を用いて特定の国や地域のみで流行する脅威が増加傾向にある。
・トピック3 持続的標的型攻撃のキャンペーン
持続的標的型攻撃に分類される「Luckycat」によって行われた攻撃も、2012年のトピックとして取り上げられている。これは日本やインド、チベット人の活動家などの標的に対して行われたもので、それぞれの不正プログラムにはキャンペーンを示す固有のコードが含まれており、どの不正プログラムによる攻撃でどの標的が感染したかを追跡できるようになっている。
・トピック4 ソーシャルメディアが攻撃の入口に
FacebookやTwitterだけでなく、PinterestやInstagramといったSNSを利用してユーザーに攻撃を仕掛ける手法が確認されており、今後SNSを入口にしてスマホに不正アプリを感染させる攻撃が増加する可能性があるという。
・トピック5 PC向けアドウェアのリバイバル
2003年頃に流行していた広告目的のグレーウェアであるアドウェアが再び流行している。日本国内の不正プログラム検出数ランキングで「ADW_GAMEPLAYLABS」が1位になったが、他にも多数のアドウェアが確認されている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121225-00000001-mycomj-sci
 トレンドマイクロは12月21日、2012年のインターネット脅威レポートの速報版を発表した。不正なモバイルアプリの増加や日本に特化した脅威の出現、サイバー犯罪の高度化などが注目された。

 Androidの不正アプリは、2010年8月に初めて確認され、2012年11月には31万4000個まで増加。この1年で300倍近く急増したという。ユーザーに不正アプリを使わせる手口でも、2012年前半ではゲームやアダルトの動画再生プレーヤーになりすますものが出現したが、後半には電波やバッテリの状況を改善すると称するアプリが登場。配布サイトで偽の口コミ情報を掲載するなど、だましのテクニックが巧妙化している。

 日本を狙うセキュリティ脅威では日本語のフィッシングサイトが多数出現し、「遠隔操作ウイルス」や日本語のプログラミング開発言語で作成されたマルウェアも見つかった。企業や組織にしつこく攻撃を続ける脅威(持続的標的型攻撃)ではサイバー攻撃者グループが複数の企業や組織に対して識別可能なコードで対象を管理し、継続的に攻撃を行う動きが複数確認されたという。

 同社は、サイバー犯罪を取り締まる法令が強化されたことで、犯罪抑止力の高まりが期待されるものの、サイバー犯罪者は十分に整備されていない地域に拠点を移すだろうと予想している。

ITmedia
http://www.itmedia.co.jp/enterprise/articles/1212/21/news068.html
 コンピューターウイルスからパソコンを守る"必需品"のウイルス対策ソフトだが、健全なサイトを「危険」「詐欺」などと誤検知し、パソコンで閲覧できなくしてしまうケースが多発している。

 激増する新種ウイルスに対応するため、数年前から導入され始めた自動判定システムが主な原因で、対策ソフト会社は「未知の脅威に対抗するには誤検知も仕方ない」と主張する。だが、誤検知された側からは「ネット社会で信用を失ってしまう」との困惑の声が上がる。

 ◆長年人気でも◆

 「何度、苦情を申し立てても改善されない。もう疲れた」。さいたま市のシステムエンジニア矢吹拓也さん(33)は10月、10年以上続けてきた新作ソフトの無料提供を中止した。パソコンの処理能力を高めるソフトなどを開発しては公開していた矢吹さんのサイトは、毎月、数万件がダウンロードされるほど人気だった。

 ところが、今年5月から急に、「アクセスしようとすると『詐欺サイト』と警告された」との問い合わせが相次ぐように。いずれも同じウイルス対策ソフトの警告だったため、製造元に問い合わせたところ、誤検知と判明。「詐欺指定」を解除してもらったが、その後も誤検知は10回以上繰り返された。誤検知の原因は今も説明されていない。矢吹さんは「利用者の信用を失ってしまった」とため息をつく。

 ◆高齢者交流の場も◆

 神奈川県藤沢市の女性(77)らが運営する高齢者のための交流サイトも8月、「危険」認定されてしまった。趣味の会話やグループの活動報告が投稿されているだけだが、女性は「私たちを詐欺団体と思った人もいるかも」と不本意そうだ。

 今月11日には、スマートフォンの安全対策を啓発する「日本スマートフォンセキュリティ協会」のサイトまでもが「有害コンテンツの配布サイト」扱いに。協会は調査のためサイトを一時閉鎖した。

 2年前、宣伝用ソフトがウイルスと誤判定された静岡県のソフト開発業社アプリテックの創業者、対馬靖人さん(68)は「弁護士に交渉してもらったが、解消に1年以上かかり、顧客開拓に支障が出た」と憤る。

 ◆数年前から◆

 対策ソフト会社は件数を明らかにしていないが、誤検知は増加しているという。約1000本の無料ソフトなどを自社サイト「窓の杜」で公開しているインプレスウォッチ(東京)の中村友次郎編集長(35)によると、5年前は年に数件だった同サイトでの誤検知が、現在は年間50~60件に増えた。「まさに『冤罪(えんざい)』。しかも、その後も名誉回復のための措置さえとられない」と問題視し、「サイト管理者への通知や信頼回復の仕組みを考えるべきだ」と話す。

 背景には、各社が2006年頃から本格的に導入を始めたシステムがある。かつては、ウイルスや危険なサイトを確認の上、リスト化する「ブラックリスト方式」が主流だった。しかし、近年、年に数億種と言われるほど新種ウイルスが増え、リスト化が追いつかないため、ファイルの動き方などの「振る舞い」から危険を予測したり、ソフトの利用者数などの「評判」を数値化したりして安全性を自動的に判定する仕組みが取り入れられるようになった。

 ある対策ソフト会社は「未知の脅威に対処するには誤検知ゼロは難しい」とした上で、「誤検知例を全世界で集積してデータベース化し、検知の精度を高めている」と話している。

読売新聞
http://www.yomiuri.co.jp/national/news/20121221-OYT1T00817.htm?from=ylist
 情報処理推進機構(IPA)は19日、年末年始における情報セキュリティに関する注意喚起を発表した。

 一般ユーザー向けには、パソコンのOSやアプリケーションを最新のバージョンにするとともに、ウイルス対策ソフトの定義ファイルを常に最新の状態にして使用するよう呼びかけている。

 また、過去を含めて業務関係のデータを扱ったパソコンでWinnyなどのファイル共有ソフトを使わない、SNSにおいて他人のページなどに書かれているURLを不用意にクリックしない、といったことも注意事項として挙げている。

 スマートフォンやタブレットに関しては、アプリをインストールする際に表示される「パーミッション」の一覧に必ず目を通し、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合には、アプリのインストールを中止するよう注意を促している。

 企業内のパソコンに関しては、休暇明けにOSやアプリケーションの修正プログラムの有無を確認するとともに、ウイルス対策ソフトの定義ファイルを最新の状態に更新し、必要な修正プログラムを適用するように促している。

 企業のシステム管理者向けには、不測の事態が発生した場合に備えて、緊急連絡体制や対応の手順を休暇前に明確にしておくとともに、業務用のパソコンやデータなどを組織外に持ち出す場合のルールを従業員に徹底するよう呼びかけている。

 また、管理しているサーバーやパソコンのOS、アプリケーションソフトに修正プログラムを適用するとともに、サーバーやパソコンで使用しているウイルス対策ソフトの定義ファイルを最新バージョンに更新することなどを注意事項として挙げている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121221_579793.html
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、最新の情報セキュリティ関連の被害実態および対策の実施状況等を把握し、情報セキュリティ対策を推進するため、「2011年度 情報セキュリティ事象被害状況調査」を実施し、その報告書を2012年12月20日(木)から、IPAのウェブサイトで公開しました。

 組織の情報資産をターゲットとした攻撃は年々巧妙になってきており、国内の大手企業や国家機関が保有する情報を狙ったサイバー攻撃も発生しており、組織の持つ情報資産は危険にさらされています。このような状況の中、IPAでは、最新の情報セキュリティ被害の動向や対策の実施状況を把握し、適切な普及・啓発活動に役立てるため、「2011年度 情報セキュリティ事象被害状況調査」を実施しました。本調査は、1989年度から毎年行っており、今回で23回目になります。
 調査概要は下記のとおりです。
  (1) 調査対象:業種別・従業員数別に抽出した12,000企業
  (2) 調査期間:2012年8月~10月(調査対象期間:2011年4月~2012年3月)
  (3) 調査方法:郵送調査法
  (4) 回収結果:1,767件(有効回収率14.7%)
  (5) 主な調査項目
    (A) 回答企業の概要
    (B) 情報セキュリティ対策の現状
    (C) コンピュータウイルス・サイバー攻撃・内部者の不正による被害状況

 1. 調査結果のポイント
  (1) ウイルス遭遇率が増加、Webサイト閲覧や電子メール経由の感染に注意
    ウイルス遭遇率は近年減少傾向にありましたが、今回は68.4%と前回調査(約49%)から約19ポイントの増加となりました。しかし、ウイルスに感染した割合は16.9%と、前回調査より約3ポイントの増加に留まり、遭遇率ほどの増加にはなりませんでした。遭遇率が上昇した明確な要因は不明ですが、「他社のセキュリティ事故をきっかけにセキュリティ対策の必要性を感じた」とする回答が増えており、大手企業や国家機関へのサイバー攻撃の報道などにより、回答企業のセキュリティ意識が向上したことが一因として想定されます。また、感染率の上昇が限定的であったのは、効果的な対策が実施されており、ウイルスに遭遇しても感染には至らなかったものと推測されます。
ウイルスの侵入経路としては、Webサイト閲覧と電子メールによるウイルスの侵入経路がそれぞれ約8ポイント上昇し、前回増加したUSBメモリ経由は約10ポイントの減少となりました。侵入の経路や手口は日々変化する可能性があるため、基本的な対策を継続して実施することが必要です。

  (2) 深刻な被害をもたらす内部者の不正による被害
    内部者の不正による被害の発生要因を探ると、「情報管理のルールが整備されていなかった」(30.4%)、「人事・処遇に不満があった」(26.1%)の回答が多くありました。また、データ持ち出しや個人の意識・モラルに関する問題点が挙げられ、対策が困難であると認識されています。さらに、被害が発生した場合に想定している影響として、「自社の経営・事業に影響を及ぼしうる」、「取引先・関係先に影響を及ぼしうる」といった回答が多く、一度被害が起きた際の深刻な影響の発生が懸念されています。
このような状況を受け、IPAでは、内部者の不正行為による情報セキュリティインシデントを防止するためのガイドラインの公表を2013年3月に予定しており、内部犯行を防止する対策の普及に努めていきます。

  (3) スマートフォン等へのセキュリティ対策が進展するもなお不十分
    スマートフォン等でのセキュリティ対策の実施率は前回調査からすべての項目で上昇しました。しかし、企業情報を保持している端末でありながら、「端末のパスワード設定」が約74%、「紛失・盗難時のデータ消去」が約40%と、データを保護するための対策が十分ではない結果となりました。スマートフォンは「パソコンに電話機能がついたもの」といえ、パソコンと同様のより一層のセキュリティ対策の実施が求められます。

IPA
http://www.ipa.go.jp/about/press/20121220.html
 シマンテックは12月20日、2012年のインターネットセキュリティ脅威の総括と2013年の予測に関する説明会を開催した。同社 セキュリティレスポンス シニアマネージャの浜田譲治氏は、2013年には、PCそのものを使用できない状態にして金銭を脅し取る「ランサムウェア」の増加をはじめ、「破壊型」のマルウェアに注意が必要だと述べている。

 浜田氏が2012年のトピックとして挙げた脅威は5つある。「標的型攻撃」、Androidを狙う「モバイルマルウェア」、誤認逮捕で話題となった「遠隔操作マルウェア」、金銭を狙う「オンライン・バンキング マルウェア」、そして「Mac向けウイルス」だ。

 標的型攻撃自体は以前から存在する手法だが、「2012年は少し形が違って、破壊的活動を行う攻撃が目立った」(浜田氏)という。標的のシステムに忍び込んで気付かれないように情報を盗み取る「スパイ型」も依然として横行しているが、「Shamoon」や「Disttrack」のように対象システムを破壊し、回復不能な状態に追い込む攻撃が確認された。

 またモバイルマルウェアは、数の増加、攻撃の高度化がともに進んだ。12月18日時点で218種類、前年比3倍以上のAndroidマルウェアが確認されており、亜種も増加。さらに、ダウンロードされるたびに異なるファイルを生成してウイルス対策ソフトの検知をかいくぐろうとする「ポリモーフィック型」や、二要素認証の情報を盗聴して不正送金を行うモバイルマルウェアが検出されたという。

 同時に、ワンクリック詐欺アプリや、「電池長持ち」など別の目的でユーザーをだまして個人情報を収集するアプリも続々登場。「2012年は、日本人を標的にしたモバイルマルウェアが生まれた年だった」(浜田氏)。

 2013年も、モバイルをターゲットとした攻撃の危険性はますます高まるだろうという。同氏は来年の予測として、「ソーシャルネットワークの悪用」「サイバー紛争の日常化」とともに、「モバイル アドウェア(MAD)の台頭」「攻撃のモバイルやクラウドへの移行」といったトピックを挙げている。

 中でも注目しているのが、デバイスの利用そのものを不可能にしてしまう破壊型のマルウェアだ。ロシアや米国などでは数年前から、PCを勝手にロックし、「元の状態に戻したければ送金するように」と脅すランサムウェアが確認されているが、2012年に入り、その数や亜種が急増しているという。

 「標的型攻撃でも『破壊型』が確認されている。ユーザーをだまして金銭を送らせる『偽セキュリティソフト』が減少し、威圧的に金銭を脅し取るランサムウェアが増えていくのではないか」(同氏)。

 なおこの日は、シマンテック 代表取締役社長の河村浩明氏も登壇し、2013年度の注力分野について説明を行った。2012年11月に発表した「Managed Security Service」や、モバイル活用を支援する「Symantec App Center」といった対策に加え、2013年2月には、新たなクラウド認証基盤「Symantec O3」を提供する計画だ。O3は、同社傘下に加わったベリサインとの初の「フュージョン製品」(河村氏)であり、パブリッククラウドとプライベートクラウドにまたがる認証とアクセスコントロールを提供するという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121220-00000096-zdn_ait-sci
マカフィー株式会社は18日、サイバー金融詐欺の現状について報道関係者向けの説明会を開催した。PCにマルウェアを侵入させたり、ユーザーのアカウント情報を窃取するために使われるソーシャルエンジニアリング攻撃の手法について、米McAfeeのブルース・スネル氏(テクニカル・ソリューションズディレクター)が攻撃ツールのデモを交えながら解説した。

 スネル氏がデモしたのは、「BackTrack」のソーシャルエンジニアリングツールを使って、バックドアを仕掛けたPCを遠隔操作するというもの。バックドアに感染させるための実行ファイルはUSBメモリに保存し、それを人目に付く場所にわざと落としておくことで、それを拾った人がPCに接続して感染するよう仕向ける。

 スネル氏によると、駐車場やロビー、あるいはソファのすき間などに置かれていることが多いという。また、USBメモリ本体には意図的に「Do Not Touch」などと書いておき、逆に中身を見たくなるよう細かい工夫を施す。イランの重要インフラを狙った「Stuxnet」の攻撃も最初はUSBメモリだったとしている。

 PCにUSBメモリを接続すると、自動再生のオプションを選択させる通常のウィンドウが開くが、「プライベートなファイルをアンロックする」といった好奇心をそそるようなオプションが表示されるようになっており、このオプションをクリックするとUSBメモリ内の実行ファイルが起動してしまうというわけだ(スネル氏はデモにあたり、PCのウイルス対策ソフトをオフにした。以前、オンにしたままデモを行ったところ、USBメモリ内のマルウェアを検知して削除してしまったからだという)。

 さて、攻撃コードが実行されると、遠隔の攻撃者が感染PCをのっとることが可能になる。スネル氏は攻撃者のPC上のツールからさまざまコマンドを実行し、任意の文章を書いたテキストファイルを感染PCのデスクトップに作成したり、それを削除する操作などを簡単にやってみせた。

 また、ツールにはさまざま組み込みコマンドがあり、例えば「ハッシュダンプ」という機能を実行することにより、WindowsのSAMデータベースからすべてのユーザーパスワードのハッシュ情報が収集される様子を紹介したほか、最後に攻撃者が操作した痕跡をすべて消去することも可能だとした。

 もう1つのソーシャルエンジニアリングの手口は、攻撃者が公開したウェブページ上に仕掛けたある"機能"によるものだ。

 スネル氏によると、大量のアカウント情報やクレジットカード情報を窃取することに成功した攻撃者は往々にして、それらのリストをウェブページ上で公開することがあるという。これは、流出元となった企業の評判を落とすという意図があると同時に、一般ユーザーが自分のアカウントやクレジットカードの情報が含まれていないかどうか確認するために、リストを掲載したページにアクセスしてくることも想定している。

 そうしたリストに含まれる情報は膨大な件数に上るため、ユーザーは自身のカード番号と掲載されている番号を1つ1つ突き合わせていくといったことはしない。通常はウェブブラウザーの検索機能を使い、自分のアカウントの文字列やクレジットカード番号をキーワードにしてページ内を全文検索することになる。

 このソーシャルエンジニアリング攻撃は、こうした行動につけ込んだものだ。ページの閲覧者が全文検索しようとCtrl+Fのショートカットキーを押すのをトリガーして、偽の検索バーをJavaScriptでポップアップ表示するという。使用しているウェブブラウザーを認識し、正規の検索バーが表示される位置に合わせて、デザインのそっくりな偽入力フォームが手前に表示されるため、ユーザーはそこに自分のカード番号などを入力してしまう。しかし、それはブラウザーの検索機能ではなく、入力した文字列が攻撃者の元へ送信されるようになっている。

 スネル氏によると、コードをインジェクションすることもなく、ウェブページ側のHTMLのみを細工することで仕掛けられる攻撃である点が問題だとしている。デモで再現したのは、Google Chromeのアドレスバーの右下に表示される検索バーを装ったものだったが、よく見るとアドレスバーとの間に境界線が入っている点で本物と異なるが、よほど注意深くなければこの策略にはまってしまうとスネル氏は指摘した。

 なお、大きな被害につながったわけではないが、実際にこの手口での実例があったという。Anonymousを騙る攻撃者が、ツイートで流出カード番号リストのページへ誘導。転売目的でカード番号情報を窃取していたとみられている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121220-00000033-impress-sci
 トレンドマイクロは19日、マスターカードを装った日本語のフィッシングサイトを、同日正午までに152件確認したと発表した。12月3日ごろから急増しており、トレンドマイクロが最近1週間に確認した44件のURLを分析した結果、計988件のアクセスがあり、99%が日本国内からのものだったという。同社は、日本人を狙った可能性があるとして注意を呼びかけている。マスターカードもホームページで注意を呼びかけている。

 トレンドマイクロによると、URLはいずれも「mastercard」という文字列が含まれ、末尾が/account.php で終わる。152のURLに対し、ドメイン、IPアドレスとも計三十数件しかないため、同一犯がなんらかのツールを使って開設したとみられる。アクセスすると、「Update Your Credit Card Online」と書かれた入力フォームが開く。カード上の名前や、住所などを書く欄があり、入力すると、情報を盗まれる危険がある。メールで送られてくるケースもあるという。【岡礼子】

毎日新聞
http://mainichi.jp/select/news/20121219mog00m020061000c.html
11月はマルウェア配布サイトが、10月から倍増したことがシマンテックの調査によりわかった。1日あたり914件増加したという。

同社が、11月に同社が検知したウイルスやスパムの状況についてレポートとして取りまとめたもの。11月に同社があらたに観測したマルウェア配布サイトは、1日あたり1847件にのぼり、前月の933件からほぼ倍増した。

一方あらたに確認したドメインのうち、ブロック対象となった悪質なドメインは33.3%で、前回から5.2ポイントの減少。またマルウェアの11%は、ウェブベースのマルウェアだった。

ウイルス感染を目的としたメールの割合は、前月から0.05ポイント減となる0.39%。255.8通に1通の割合で送信されている。そのうち悪質なサイトへのリンクが貼られたメールは13%で、前月から10.6ポイント縮小した。

メール感染型マルウェアでもっとも多く検知されたのは、前月と変わらず「Suspicious.JIT.a-SH」で、全体の15.42%を占める。ポリモーフィック型マルウェアが占める割合は15.2%で前月から大きな変化はなかった。

スパムメールの割合は全流通メールの68.8%で、2011年後半から続く世界的な減少傾向の歯止めになるものではないが、前月より4ポイント増加した。悪質な添付ファイルやリンクを含むスパムの割合も上昇している。フィッシングメールの割合は0.23%で、前月より0.12ポイント減少した。

Security NEXT
http://www.security-next.com/036061
 スパマーがマルウェアに感染したAndroidスマートフォンを使って、SMSスパムを配信するボットネットを構築したことが報告された。このボットネットでは、被害者がスパム配信コストを負担することになる。

 セキュリティ・ベンダーの米国Cloudmarkが12月16日に報告したこの新動向は、携帯事業者に新たな問題をもたらしている。自分の端末がSMSスパム配信に使われているスマートフォン・ユーザーは、端末がマルウェアに感染しているのを知らないことが多い。こうしたユーザーは、端末の不正使用を検出した事業者に、アカウントを突然閉鎖されるおそれがある。

 「携帯事業者は、この問題への対処方法を模索しているところだと思う。これかはなり新しい問題だ」と、Cloudmarkの主席ソフトウェア・エンジニア、アンドルー・コンウェイ(Andrew Conway)氏は語った。

 Cloudmarkは、Androidの人気ゲーム「Angry Birds Star Wars」と「The Need for Speed Most Wanted」をホストしている香港にある1台のサーバが、SMSスパム配信ボットネットの構築に使われていることを発見した。このサーバでホストされているこれらのゲームは、実際はマルウェアであり、ユーザーのスマートフォンを、モバイル・スパム配信の指示を行う不正なサーバに接続するようになっている。

 この不正な指令(C&C)サーバに接続されると、被害者のスマートフォンは、スパムのテキストと50程度の電話番号のリストを受け取ると、コンウェイ氏は述べた。

スマートフォン上のマルウェアは、メッセージを1秒強の間隔で送信する。リスト上の番号すべてに送信すると、不正サーバにチェックインし、新しい番号リストを取得する。

 スマートフォンの電源がオフにされ、再びオンにされると、マルウェアは再起動し、自身をサービスとしてスマートフォンにインストールすると、Cloudmarkは説明している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121219-00000009-cwj-sci
 マカフィーは12月18日、不正なポップアップ画面や「SpyEye」や「Zeus」といったマルウェアを用いたサイバー金融詐欺の現状に関する説明会を開催した。

 米マカフィーのテクニカル・ソリューションズ ディレクター ブルース・スネル氏は、こうした金融詐欺に使われる手法は「攻撃のたびにカスタマイズされており、既存のセキュリティ製品では検知できないよう巧妙化、高度化が進んでいる。その数も、マカフィーのデータベースへの登録件数は1億を超えるほど増加している」と指摘。攻撃の深刻さが増していると警告した。

 マカフィーのサイバー戦略室兼グローバル・ガバメント・リレイションズ 室長 本橋裕次氏によると、サイバー金融詐欺の手法は、当初の「キーロガー」から徐々に進化しているという。

 日本では2012年後半、金融機関のWebサイトにアクセスすると偽のポップアップ画面を表示し、ユーザーIDやパスワードなどの情報を盗み取る「Webインジェクション」という手口による被害が複数報告された。「無料のウイルス対策ソフトウェア」といった宣伝文句でユーザーをだましてマルウェアをインストールさせ、そのマルウェアが偽のポップアップ画面を表示させて情報を外部に送信する。攻撃者はこうして得た情報を用いて、手動で金銭を詐取するという手法だ。

 一方海外では、攻撃のさらなる「効率化」を求め、自動化が進んでいるという。

 2012年初めにヨーロッパで始まった大規模な金融詐欺、「Operation High Roller」では、「Man-in-the-Browser(MITB)攻撃」という手法が使われた。銀行などのサイトにアクセスすると、表ではそれに応じた画面を表示させつつ、バックグラウンドでマルウェアがさまざまな不正な処理を行うというものだ。通信内容を改ざんし、画面の一部を書き換えてフォームを追加しユーザーの入力を促したり、「処理中」と偽のページを表示しておいて、攻撃者が用意した口座に勝手に振り込みを行ってしまったりする。

 二要素認証などを採用していても、MITB攻撃への対策は難しい。また「中には、検索で見つけ出した文面をコピーし、『処理が完了しました』という銀行からのメール通知を送って隠蔽を図るケースもあり、ユーザーはなかなか気付きにくい」(スネル氏)。

 スネル氏によると、さらに「Automated Transaction Server(サーバサイド自動不正送金)」という手法が登場しているという。偽の画面を表示させるところまではクライアント側で実行するものの、それ以降の不正送金処理などはすべて、攻撃者のサーバ側で実行してしまうという方法で、攻撃のあくなき効率化を求めての「進化」だという。

 スネル氏は、OSなどのセキュリティ対策が進化し、攻撃を食い止める手段が実装されるにつれて、好奇心や同情心をくすぐって「人」という脆弱性を狙うソーシャルエンジニアリングが使われるようになってきたと指摘。OSのアップデートやウイルス対策ソフトの導入と更新という基本的な対策を取るとともに、「何かをクリックする前に、一呼吸置いてよく考える癖をつけてほしい」と呼びかけた。

 なお、最近はハクティビストによる攻撃も目立つようになった。中には、「企業から盗み出したクレジットカード情報」とされるデータがWebで公開されることもある。しかし「こうした行為が悪用される可能性もある。公開情報と称するサイトにユーザーを誘導し、自分のクレジットカード情報が含まれていないかどうか検索して確かめるためにCtrl+Fを押してブラウザに表示された偽の検索バーにカード番号を入力させ、情報を盗むケースもある」(スネル氏)ため、安易に「確認サイト」を信用しないよう注意が必要だという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121218-00000103-zdn_ait-sci
 米Oracleは、Java SEのアップデートとなる「Java SE 7 Update 10」を公開した。

 今回のアップデートでは、Windows版のセキュリティ設定機能を強化。Javaのコントロールパネルの「セキュリティ」タブに「ブラウザでJavaコンテンツを有効にする」というチェックボックスが追加され、このチェックボックスをオフにするとブラウザー上でJavaアプリが動作しないようになる。

 Javaコントロールパネルの「セキュリティ」タブ
  また、同じ「セキュリティ」タブには、セキュリティレベルを4段階で設定できる機能も追加。標準のセキュリティレベルは「中」で、無署名のJavaアプリが古いバージョンのJavaでの実行を要求した場合、警告を表示する。セキュリティレベルを「高」にすると無署名のJavaアプリについてはすべて警告を表示するようになり、セキュリティレベルを「非常に高」にするとすべてのJavaアプリの実行時に警告を表示する。

 このほか、Javaが最新の状態でない場合などに警告を表示する機能を追加。また、今回のアップデートから、OS X 10.8(Mountain Lion)とWindows 8のデスクトップモードが正式に動作環境に追加された。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121219_579446.html
 トレンドマイクロは12月19日、マスターカードを名乗るフィッシングサイトが大量に出現したとブログで伝えた。日本のマスターカード利用者を標的にしたフィッシング詐欺攻撃とみられている。

 トレンドマイクロが確認したフィッシングサイトのURLは19日現在で152件、利用されているドメインの数は34件に上る。だが、URLの末尾には共 通のパターンが存在し、1つのドメインに複数のフィッシングサイトが設置されていることから、同一犯による可能性があるという。

 44件のURLについて直近一週間のユーザーのデータを分析したところで、合計で998件のアクセスがあり、99%が日本国内からだった。フィッシング サイトは日本語で表示され、カード情報や個人情報を入力させるようになっていることから、歳末商戦に合わせて日本のクレジットカード利用者を狙った攻撃を 推測している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121219-00000087-zdn_ep-sci
マカフィーは、2012年11月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目のトップ10を算出したものだ。また、2012年第3四半期の脅威レポートの一部を紹介しよう。

○ウイルス

今月も、脆弱性を利用する攻撃ツールであるBlackhole関連が多い。McAfee Labs東京主任研究員の本城信輔氏は「Blackholeは、世界中で大流行している脅威であり、その傾向については日本も例外ではありません。マルウェアの感染を防ぐために、Blackhole対策や脆弱性対策は急務です。特にJREの脆弱性はここ最近活発に攻撃されているので、十分に警戒するようにお願いします」と注意喚起している。

最近は、このような新手のマルウェアが注目されがちである。しかし、この数年、猛威をふるったリムーバブルメディアを感染経路とするマルウェアもしっかりランクインしている。Generic!atr、Generic Autorun!inf、W32/Conficker.worm!infなどである。これらのマルウェアは、自動実行に使われる設定ファイルであるautorun.infを悪用する。今のところ日本国内ではそれほど検知されていないが、海外では感染時にフォルダと同じ名称を持つ感染ファイルを作成したり、フォルダ偽装を行うタイプのマルウェアが増えているとのことである。マカフィーでは、リムーバブルメディアのセキュリティ対策を今一度見直すようにとしている。

表1 2012年11月のウイルストップ10(検知会社数)
表2 2012年11月のウイルストップ10(検知データ数)

表3 2012年11月のウイルストップ10(検知マシン数)
○PUP

PUP(不審なプログラム)は、検知会社数と検知マシン数で下位のランキングで、少し変動がみられる。件数に関しては、いずれも大きな変動はなかった。フリーソフトのダウンロードなどに、注意をしてほしい。

表4 2012年11月の不審なプログラムトップ10(検知会社数)
表5 2012年11月の不審なプログラムトップ10(検知データ数)
表6 2012年11月の不審なプログラムトップ10(検知マシン数)
○2012年第3四半期の脅威レポート

マカフィーは、12月4日、2012年第3四半期の脅威レポートを発表した。

その一部を紹介したい。特徴として、モバイル端末を攻撃対象としたマルウェアが約2倍に増え、データベースのセキュリティ侵害が過去最高を記録した。Macを狙うマルウェアも増加している。今回のレポートでは、ランサムウェアの急増についても指摘している。ランサムウェアは、PCのファイルを勝手に暗合化し、元に戻すために金銭(身代金)を要求するものである。マカフィーによれば43%増加し、急増している脅威の1つとのことだ。感染は、メールやSNSのリンク、ドライブバイダウンロードなどである。一例では、不正なWebサイトを閲覧したためPCをロックすると脅す。当然、身代金を要求するが、要求に応じて金銭を渡しても、システムが完全に復元されるとは限らない。また、レポートでは、サイバー金融詐欺のオペレーションハイローラーについても詳しく分析をしている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121218-00000063-mycomj-sci
 オンラインバンキングを狙ったネット犯罪がどのように行われるのか――マカフィーは12月18日、セキュリティに関するメディア向け説明会を開き、その手口や対策のアドバイスなどを紹介した。ユーザーへの周知と注意喚起を行っている。

 国内ではこれまでも、なりすましメールや偽装サイトでオンラインバンキングのユーザー情報などを盗み取るフィッシング詐欺が度々発生している。だが今年に入り、マルウェアを使ってより巧妙な手口でユーザーをだます事件が発生。事件の高度化が進みつつある。

 最近の動向について同社サイバー戦略室兼グローバル・ガバメント・リレイションズの本橋裕次室長は、「キーボートなどの入力情報を盗み取るケースから、正規サイトの画面にポップ画面を不正に埋め込んで情報を盗む『Webインジェクション』が使われるようになった。海外ではマルウェアを使って不正送金までも自動化する手口が出現している」と解説する。

 本橋氏によれば、欧米では今年初めに「Operation High Roller」と呼ばれる大規模なネット詐欺事件が発生した。通常のネット詐欺では著名な銀行のオンラインバンキングサービスが狙われるが、この事件では規模に関係なく、60以上の金融機関のサービスの利用者が標的になった。同社の調査では被害額が最低でも6000万ユーロ、最大で20億ユーロに達するという。この事件では高機能のマルウェアが使われていた。

 米McAfee テクニカル・ソリューションズ ディレクターのブルース・スネル氏によると、Operation High Rollerには「Man-In-The-Browser(MITB)」と呼ばれる手口が使われた。MITBでは従来と同様になりすましメールをオンラインバンキングユーザーに送り付け、不正サイト経由でマルウェアをダウンロードさせる。このマルウェアは「BlackHole」などと呼ばれ、侵入したコンピュータに存在する悪用可能な脆弱性などを調べて、攻撃者の指令サーバに連絡する。すると、攻撃者の指令サーバから詐欺行為を働くマルウェア「Zeus」や「SpyEye」などが送り込まれる。

 ZeusやSpyEyeは、ユーザーがオンラインバンキングサービスの利用を始めると密かに起動し、ユーザーとオンラインバンキングサイトとの通信を盗聴する。接続先のオンラインバンキングサイトを確認して、各サイトに応じた不正行為を働く。具体的には正規サイトの画面の一部を改ざんしたり、通信内容を不正に書き換えたりする。

 この間にマルウェアはユーザーの利用情報を盗み取り、場合によってはユーザーに「処理中」といったメッセージを表示してだましながら、攻撃者が用意する不正な銀行口座へ勝手に入金する。これらは非常に巧妙に行われるため、ユーザーが気づくのは難しいという。

 また、ここ数年はハッカー集団が企業サイトに侵入して情報を盗み取り、別のWebサイトで公開する事件も多発する。これらは企業などへの不満から実行されることが多い。一見するとネット詐欺とは関連性が薄いが、ハッカー集団が公開したクレジットカード番号を確認するためにサイトを訪問したユーザーの行動(文字列検索など)を監視し、実際にどの番号を悪用できるかを犯罪者がチェックしていたケースもあるとのことだ。

 スネル氏は「ウイルス対策ソフトを最新の状態で使い、OSもアップデートするという基本的な対策に加え、クリック操作をする前によく考えてみることが重要だ」とアドバイスする。通常の利用時とは違うわずかな点を見抜けるかが、被害防止のうえで重要だとしている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121218-00000051-zdn_ep-sci
マカフィー株式会社は12月18日、「サイバー金融詐欺 国内外における現状と傾向」を発表した。これは、同社のサイバー戦略室 兼 グローバル・ガバメント・リレイションズの室長である本橋裕次氏、米McAfee社のテクニカル・ソリューションズのディレクターであるブルース・スネル氏によって行われた記者発表によるもの。2012年には、利用者が正規のインターネットバンキングのサイトにログインした際に不正な入力画面がポップアップ表示され、第2認証・質問、合い言葉・インターネット用暗証番号などの入力を求める被害が発生している。この事例は、9種類の金融機関やクレジットカード会社などにおいて329件の相談が寄せられている。

また、非常に巧妙な金融サービス詐欺「オペレーション・ハイ・ローラー」がグローバルな規模で展開されており、これまで少なくとも60以上の銀行から最低限でも6,000万ユーロ(7,800万USドル:約65億円)の不正送金が企てられたと推計している。仮にすべての送金が成功した場合、不正送金の額は20億ユーロに上るという。この詐欺はまた、すべての規模の金融機関が標的になることを示唆している。さらに、キーロガーから不正ポップアップ(Web Inject)、MITB(クライアントサイド自動不正送金)と進化してきたサイバー金融詐欺の技術は、ATS(Automated Transaction Server:サーバサイド自動不正送金)へと進化しつつあり、現在の日本は不正ポップアップのレベルであるとした。

記者発表では、MITBによるポップアップやUSBメモリからの感染、「Zeus」による遠隔操作などのデモも実施した。またハクティビストによる情報漏えい事件に関連し、Twitterでの漏えい情報へのリンクが不正なサイトになっており、自分のアカウントがないかを検索するためにユーザが検索した文字列を盗み出す手法も紹介された。

ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2012/12/18/30656.html
 コンピュータのデータを消去してしまう新手の標的型マルウェアがイランで見つかった。同国のセキュリティ機関の報告を引用して、セキュリティ企業のSymantecやKaspersky Labが12月17日のブログで伝えた。

 イランCERTが16日付で公開した情報によれば、このマルウェアは設定された日付になると、各種ドライブに保存されたファイルを消去する機能を持っていた。単純な設計ながら効率性が高く、ウイルス対策ソフトに検出されることなくディスクパーティションやユーザープロファイルディレクトリなどを消去するという。

 SymantecとKaspersky Labもこのマルウェアのサンプルを入手して分析した結果、イランの報告通りの機能を確認したと伝えた。イラン以外の国で出回っている形跡はないとしている。

 イランは過去にも、米政府などの関与が指摘される極めて高度なマルウェア「Stuxnet」「Flame」などの標的となってきた。しかし、今回見つかったマルウェアは非常に単純で、過去の高度な攻撃との類似性は見られないとの見方で各社は一致している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121218-00000007-zdn_ep-sci
 いわゆる"遠隔操作ウイルス"事件を捜査している警視庁や三重県警察などで構成する合同捜査本部が12日、報償金300万円を設定して一般からの情報提供の受付を開始したのにともない、警視庁のサイトに事件の経緯や犯人の特徴などを説明するページを開設。犯人が同ウイルスの遠隔操作のために使っていた掲示板のURLなども掲載し、「どんな些細なことでも結構です。情報をお寄せください」と協力を呼び掛けている。

 一連の事件で、他人になりすまして犯行予告の投稿などを行うのに使われた遠隔操作ウイルス「iesys.exe」は、被害者のPCに侵入した後、「livedoorしたらば掲示板」の書き込みを介して攻撃者と通信する仕組みだったことがわかっている。警視庁のサイトでは、判明している3つの板のURLを掲載。それらのウェブページを保存した人からの情報を求めている。

 また、横浜市のサイトに犯行声明が投稿された事件では、iesys.exeではなく、クロスサイトリクエストフォージェリ(CSRF)という攻撃手法が使われており、それを仕掛けたリンクが「2ちゃんねる」掲示板に書かれていた。警視庁のサイトではそのリンクのURLも掲載しており、これをクリックした人や画面を保存した人からの情報を求めている。

 livedoorしたらば掲示板のサービスを運営しているNHN Japan株式会社によると、ユーザーが板を閉鎖すると、それから一定期間後に、その板のデザインや記述、投稿などの内容はサーバーから削除されるという(具体的な期間は開示していない)。

 また、3つの板以外に、iesys.exeの遠隔操作のために犯人が使用していたと思われる板がなかったのかどうかについては、「(ユーザーが開設した板が)利用規約で定めている禁止行為に抵触していないかということは、弊社のカスタマーセンターで常にチェックをしている。現在、そのような疑いのある掲示板の存在は確認されていない」としている。

 警察が広く情報提供を求めている3つの板のデータがNHN Japan側に残っているかどうかについては回答は得られなかったが、「捜査機関からの正当な要請があれば、ログを開示するなど粛々と対応していく」としている。
 
 遠隔操作ウイルスの犯人は掲示板への書き込みの際、通信経路を匿名化するツール「Tor」を使用していたとされており、通信元IPアドレスから特定していくアプローチは困難ではないかとみられている。実際、報償金を出して情報提供を求めることになったのも、そうしたアプローチでは捜査が手詰まりになったからだとも考えられる。

 しかし、株式会社ラック専務理事の西本逸郎氏は、「(犯人が)自分の身だけ隠していれば捕まらないということは全くない」と強調する。今回の一連の事件では、通信元IPアドレスにはたどり着けないまでも、ネット上の各所に活動の跡が残されている。2ちゃんねるへの書き込みを代行する「シベリア郵便局」を使用していたことなどもわかっており、合同捜査本部でも犯人の特徴としてそれを公表している。

 また、犯人の手製とされるiesys.exeというプログラムの検体も残っており、プログラミング言語「C#」で開発された点も犯人の特徴とされている。

 「どのような情報を公表するかは難しい面もあり、警察も苦労していると思うが、iesys.exeの検体の一部を公開することで、広く情報を求める方法もあるのではないか。(ソースコードの特徴など)何か別の情報から犯人に近づくすべが出てくることも考えられる。」(西本氏)

 警察は今回、特別報償金制度の要綱を改定までして、サイバー犯罪の捜査において同制度を適用した情報提供の呼び掛けを行うに至った。西本氏は国の動きとしては迅速だったと評価しており、「ネットユーザーやさまざまなサービス提供者が『ひょっとしてあの人ではないか』といった情報を提供してくるなどして、少なくとも、何か犯人につながるヒントが出てくれば一歩前進だ」と述べている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121214_578876.html
 トレンドマイクロ株式会社は14日、「パスワードのログインが求められるWebサイトの利用に関する調査」の結果を発表した。調査は11月26日・27日にインターネットで実施し、パスワードのログインが必要なウェブサイトを利用している18~59歳の男女316名が回答したもの。

 パスワードの使い分けについては、1種類のパスワードでほぼすべてのウェブサイトを利用しているとした人が13.9%、2~3種類が55.4%となり、約7割の人が3種類以下のパスワードを複数のウェブサイトで使い回していることがわかった。利用するサイトすべてで異なるパスワードを使っているとした人は7.9%だった。

 パスワードの文字数は、4~5文字が2.2%、6~7文字が24.1%、8~9文字が54.7%、10~15文字が16.8%、16~20文字が1.9%、21文字以上が0.3%。

 パスワードの平均的な変更頻度は、ほぼ毎日変更している人から1年に1回未満の頻度の人まで含めても「変更している」とした人は合計で半数おらず、「ほぼ変更しない」人が50.6%を占めた。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121217_579042.html
 McAfeeは12月14日、モバイル・デバイス向けセキュリティ製品の「Mobile Security」の新版を発表した。新たにアプリのロック機能が搭載されている。

 ユーザー・インタフェース(UI)も改良された。同社は、「この機能強化により、Android搭載のスマートフォンやタブレットのユーザーは、モバイルアプリに保存された個人情報の流出を防止できる」としている。

 今回追加されたアプリのロック機能は、Facebook、LinkedIn、GmailといったWebサービスのプライバシーのリスクに対応する。通常、こうしたWebサービスは、ログイン情報を記憶し、起動ごとのログインを要求しない。

 ロック機能は、Mobile Securityのアカウントに関連づけられているものと同一のPINによってインストール済みのアプリをロックし、不正使用を防止するという。

 UIの変更では、操作性の向上や保護効率を改善する機能が追加された。マカフィーのコンシューマ向け製品と共通の操作性が確保され、色分けされた表示で脅威のスキャンといった各機能が利用できるようになっている。また、バッテリ使用効率の改善やファイルサイズの圧縮なども追加された。

 価格は2,980円(税込)で、同社のMobile Securityを利用しているユーザーは無償アップデートが可能となっている。対象OSは、Android(2.1以降)、BlackBerry(4.5以降)Symbian S60(3rd以降)。
(Computerworld.jp)

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121214-00000009-cwj-sci

OCN をかたるフィッシング

OCN をかたるフィッシングサイトの報告を受けています。

1. 2012/12/14 16:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにて個人情報(ログインIDやパスワード)を入力したりしないように注意してください。

3. 類似のフィッシングサイトなどを発見した際は、フィッシング対策協議会(info@antiphishing.jp)までご連絡ください。

フィッシングサイトのURL
http://www.●●●●.net/forums/albums/AuthLoginDisplay.html
http://stefanie-●●●●.de/login.ocn.ne.jp.htm
http://annedore-●●●●.de/login.ocn.ne.jp.htm
http://users2.●●●●.com/solay9/login.ocn.ne.jp.htm
http://users2.●●●●.com/solay6/login.ocn.ne.jp.htm
http://users2.●●●●.com/securejp01/Jplogin.html
http://file2.●●●●.de/012483/85/html/jplogin.html
http://file2.●●●●.de/012445/67/html/login.html
http://bizzu.●●●●.br/sitte/wp-includes/images/crystal/AuthLogin.html
http://www.●●●●.com/wp-content/plugins/akismet/login.html 
 大阪地検は14日、インターネット関連犯罪を捜査する「サイバー係」を刑事部に新たに設け、同日付で検事2人と検察事務官4人を配置したと発表した。地検は「これまで犯罪に関する情報収集が十分でなく、体制整備が必要と考えた」としている。

 地検によると、今後はサイバー係検事が大阪府警や最高検などとサイバー犯罪の情報を交換しながら、捜査にあたるという。

 上野友慈(ゆうじ)次席検事は「公訴取り消しに至った事件が起きたことを真摯(しんし)に受け止め、府警や上級庁と緊密に連携し適正に対処したい」としている。

 事件では、地検は10月19日にアニメ演出家の男性の起訴を取り消し、11月5日に男性に直接謝罪した。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121214-00000566-san-soci
株式会社Doctor Web Pacific(Dr.WEB)は12月13日、「2012年11月のウイルス脅威」をまとめ発表した。11月は、ウイルスでは数カ月前まで多数検出されていた、感染したコンピューター上のインターネットアクセスをブロックする悪意のあるプログラム「Trojan.Mayachok.1」が12位に転落した。1位となったのは、その亜種である「Trojan.Mayachok.17994」であった。検出された感染数におけるランキングの上位には「BackDoor.IRC.NgrBot.42」が含まれている。このトロイの木馬ファミリーはIRCプロトコル経由でリモートサーバとのやり取りを行い、犯罪者からの多岐にわたるコマンドを実行することができる。マルウェアの整合性が失われた際にブートレコードを破壊することができ、アンチウイルス会社のwebサイトへのアクセスをブロックし、またさまざまなオンラインリソースにログインするためのログインおよびパスワードを傍受する。

ボットネットでは、「Win32.Rmnet.12」に感染したPCで構成されるボットネットが拡大を続け、11月にはさらに545,000台の増加が見られ、合計600万台を超えた。11月の最も目立った傾向のひとつに、マルチロッカーと呼ばれるトロイの木馬ブロッカーの大規模な拡散がある。従来のランサムウェアに加え、11月には、悪意のあるダウンローダーからなるボットネットによって拡散されるこの種類の脅威への移行が見られた。感染したシステムへのマルチロッカーのダウンロードには「BackDoor.Andromeda」プログラムが広く使用されていた。Androidに対する脅威では、新たな商用スパイウェアに関する脅威が確認された。この脅威には「Program.Jianspy.1.origin」や「Program.Spyera.1.origin」などが含まれる。これらの脅威はこの種のプログラムに典型的なタスク、つまりSMS送受信および通話に関する情報の収集、デバイスのロケーションの特定を実行する。

yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121214-00000003-scan-sci
インターネットサービス「OCN」をかたるフィッシングサイトが報告されているとして、フィッシング対策協議会が注意を呼び掛けている。

14日16時現在、フィッシングサイトは稼働中だという。 このフィッシングサイトは「OCNメール」の偽ログインページで、メールアドレス(OCN ID)とパスワードを入力させるフォームがある。

OCNのロゴなども複製しているが、ドメイン名が正規サイトとは異なるという。

「.de」「.com」「.net」「.br」ドメインのURLの計10個のフィッシングサイトが公表されており、このようなサイトでログインIDやパスワードを入力しないよう注意を呼び掛けている。

OCNも、新たにフィッシングサイトの出現を確認したと12日付で告知していた。OCNでは、ログイン時における正規サイトの確認方法なども紹介している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121214_578882.html

2012年11月のウイルス脅威

2012年の11月には、新たなタイプのトロイの木馬ブロッカーであるマルチロッカーの大規模な拡散が見られました。このトロイの木馬は、ロックしたコンピューターのスクリーン上に表示するための画像やテキストを含んでいません。

■ウイルス
数か月前まで多数検出されていた、感染したコンピューター上のインターネットアクセスをブロックする悪意のあるプログラムTrojan.Mayachok.1ですが、2012年11月にDr.Web CureIt!によって最も多く検出されたマルウェアの中では12位に落ちています。一方で、群を抜いて首位を飾っているのはその亜種であるTrojan.Mayachok.17994で、このバージョンのトロイの木馬は、以前にも報告したTrojan.Mayachok.17727の発達における次の段階にあたります。

検出された感染数におけるランキングの上位にはBackDoor.IRC.NgrBot.42が含まれています。このトロイの木馬ファミリーはIRCプロトコル経由でリモートサーバーとのやり取りを行い、犯罪者からの多岐にわたるコマンドを実行することができます。BackDoor.IRC.NgrBot.42はその悪意のあるペイロードによって、マルウェアの整合性が失われた際にブートレコードを破壊することができ、また、アンチウイルス会社のwebサイトへのアクセスをブロックし、様々なオンラインリソースにログインするためのログイン及びパスワードを傍受することが可能です。

BackDoor.IRC.NgrBot.42はその実行ファイルをRecycle Binフォルダ内に置くことで、コンピューターに接続する全てのリムーバブルデータストレージデバイスを感染させます。次に

BackDoor.IRC.NgrBot.42は感染させたデバイス上のフォルダを隠し、代わりに該当するファイル名の付いたショートカットを作成しておきますが、このショートカットがトロイの木馬の実行ファイルへとリンクされています。その結果、感染したデバイス上にあるいずれかのフォルダを開こうとしたユーザーは、悪意のあるアプリケーションを起動させてしまうことになります。さらに、このトロイの木馬はデバイスのルートフォルダ内にautorun.infファイルを置くことができ、それにより、デバイスがコンピューターに接続されると同時に自身も自動的に起動されるようにします。

また、Dr.Web CureIt!によって収集された感染統計情報にはTrojan.Carberp、Trojan.SMSSend 、Trojan.DownLoaderマルウェアファミリーのサンプルも含まれていました。下の表は11月にDr.Web CureIt!によってコンピューター上で最も多く検出された脅威のTop10です。

Threat  %
Trojan.MayachokMEM.5 1,94%
Trojan.Mayachok.17994 1,58%
Exploit.CVE2012-1723.13 1,17%
BackDoor.IRC.NgrBot.42 1,13%
Trojan.StartPage.48148 1,13%
Java.Downloader.697 1,10%
BackDoor.Butirat.201 1,10%
Trojan.SMSSend.2363 1,00%
Trojan.Carberp.789 1,00%
Win32.HLLP.Neshta 0,99%

■ボットネット
Doctor Webは、世界中のコンピューターを巻き込んで活動中のボットネットに対する監視を続けています。Win32.Rmnet.12に感染したコンピューターで構成されるボットネットは2012年11月の間も着実に拡大を続けています。そのボット数には更に545,000台の増加が見られ、合計は600万台を超えました。下のグラフは、2012年11月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

一方、Win32.Rmnet.16ボットネットの拡大にはいくらか陰りが見えてきました。11月の間にこのボットネットに新たに加わった感染したコンピューター数は5,011台のみで、10月に比べ70%減少しています。ただし、11月の後半には感染率は再び増加傾向を見せています。下のグラフは、このボットネットの拡大推移を表しています。

今年の春に世界中で800,000台を超えるMac OS Xコンピューターを感染させた悪名高いBackdoor.Flashback.39に関しては、そのホスト数は急速に減少していることが確認されました。11月26日の時点でBackdoor.Flashback.39ボットネットを構成するコンピューター数は僅か90,947台のみとなり、先月に比べ14%減少しています。同時に、このボットネットの拡大は実質上停止した形となりました。

■マルチロッカー
2012年11月の最も目立った傾向の1つに、マルチロッカーと呼ばれるトロイの木馬ブロッカーの大規模な拡散があります。従来のランサムウェアに加え、11月には、悪意のあるダウンローダーから成るボットネットによって拡散されるこの種類の脅威への移行が見られました。感染したシステムへのマルチロッカーのダウンロードにはBackDoor.Andromedaプログラムが広く使用されていました。

Trojan.Winlock.7372はこの種のランサムウェアの典型的な代表格です。その詳細についてはDoctor Webの最近のニュースでも紹介しましたが、他のランサムウェアとは異なり、マルチロッカーはWindowsブロック時に脅迫メッセージを表示させるために必要な画像やテキストリソースを含まず、必要なエレメントをリモートサーバーからダウンロードします。このようなブロッカーの亜種の中にはWindowsファイアーウォールをすり抜け、感染したコンピューター上でのユーザーによるアプリケーションの実行を妨げるものもあります。そうしたアプリケーションにはタスクマネージャー、メモ帳、レジストリエディタ、コマンドプロンプト、システム設定、Internet Explorer、Google Chrome、Mozilla Firefox、Opera、アプリケーションではProcessHacker、Process Monitorが含まれています。

11月の末、Doctor Webのアナリストはコンピューターに接続されたwebカメラから画像を盗むTrojan.Winlock.7372を発見しました。被害者のスクリーン上には警察機関からのメッセージを装ったテキストが表示され、そこには、ユーザーのコンピューター上での活動が全て記録され、webカメラから入手した顔写真が以後の認証および更なる個人情報の取得のために保存されるという内容が記載されています。

コンピューターのロックを解除するために、ユーザーはバウチャーペイメントシステムのコードを入力するよう要求されます。入力されたコードは犯罪者のコントロールサーバーへ送信され、その真偽が確認されます。支払が確認されると、コンピューターのロックを解除するコマンドがコントロールセンターからトロイの木馬へ送信されます。要求される金額は100ユーロまたは150ドルとなっています。詳細についてはこちらの記事をご覧ください。

マルチロッカーによる感染数の増加によって示唆される背景は、その多くがウイルス作成ツールキットを使用して製作される、標準的構造を持った従来のWindowsロッカーから離れつつある犯罪者達が、次第により複雑なペイロードを取り入れる傾向へと移行しているということです。Doctor Webの収集した統計情報によると、マルチロッカーは主にアメリカ及び西ヨーロッパで拡散されています。

■今月の脅威:Trojan.Gapz.1
Trojan.Gapz.1については既に以前より知られていましたが、今回注目を集めたのはこのトロイの木馬を感染したシステム内にインストールするプラグインTrojan.Winlock.7384でした。

Trojan.Gapz.1は32ビット版および64ビット版いずれのWindows上でも動作することが可能であり、また、システム内での実行ファイルの不正起動を防ぐUACをすり抜けることができます。次に、Trojan.Gapz.1は感染したコンピューターのハードドライブの構造を解析し、特別なイメージを作成してディスクの予約セクター内に書き込みます。次いでシステムローダーをロードさせ、悪意のあるアプリケーションを実行させます。

Trojan.Gapz.1の主要な目的は、複数のモジュールを含んだバイナリイメージをディスクからロードするための環境を整えることにあります。それらのモジュールはそれぞれ異なるペイロードを持ち、そのうちの1つは悪意のあるUCashアプリケーションです。Trojan.Gapz.1に関する詳細についてはこちらの記事こちらの記事をご覧ください。

■危険なダウンローダー
11月21日、Doctor WebはTrojan.DownLoader7.21125と名付けられた危険なトロイの木馬ダウンローダーについてユーザーの皆様に警告しました。このプログラムは、感染したコンピューター上に他のマルウェアをダウンロードすることができます。現在のところ、このTrojan.DownLoader7.21125が感染させたコンピューター上にダウンロード・インストールするのは、電子通貨Bitcoinのマイニング(採掘)プログラム、リパックされた自身のコピー、及び以下のマルウェアです。

BackDoor.Andromeda.22-同様に、感染したコンピューター上に他のマルウェアをダウンロード・インストールすることの出来る、広く拡散されているトロイの木馬ダウンローダーです。
Trojan.Rodricter.21-アンチデバッギング機能を搭載したドロッパーを持つマルチコンポーネントルートキットです。OSの脆弱性を悪用して自身の権限を高め、32ビット版および 64ビット版Windowsのユーザーアカウント制御(UAC)を無効にし、Mozilla Firefox及びInternet Explorerの設定を変更します。そのコアモジュールの主な機能は、感染させたコンピューター上のトラフィックを傍受することです。
Trojan.PWS.Multi.879-ICQ、Yahoo! Messenger、FTP Commander、Paltalk、AIM、Google Talk、MSN Messenger、Miranda、Trillianなどのポピュラーなアプリケーションからパスワードを盗む悪意のあるプログラムです。
BackDoor.HostBooter.3-DDoS攻撃を実行し、コントロールサーバーからのコマンドに従ってファイルをダウンロード・実行するよう設計されたプログラムです。
Trojan.DownLoader7.21125に関する詳細についてはこちらの記事をご覧ください。

■Androidに対する脅威
11月、Dr.Webウイルスデータベースにはまた別の商用スパイウェアに関するレコードが追加されました。この脅威はすぐにAndroid OSに対するその他の主要な脅威の一員に加わり、それらの中にはProgram.Jianspy.1.originやProgram.Spyera.1.originなどが含まれています。これらの脅威はこの種のプログラムに典型的なタスク、つまりSMS送受信および通話に関する情報の収集、デバイスのロケーションの特定を実行します。

高額な有料メッセージを送信することでユーザーのアカウントからお金を引き落とす、よく知られたAndroid.SmsSend プログラムの新たなバージョンは未だ出現を続けています。そのようなアプリケーションはDoctor Webのアナリストによって頻繁に発見され、即座にウイルスデータベースへと追加されています。

■11月にメールトラフィック内で検出されたマルウェアTop20
 01.11.2012 00:00 - 30.11.2012 23:00  
1 JS.Redirector.162 1.13%
2 Trojan.Winlock.6049 1.06%
3 Trojan.PWS.Stealer.946 0.96%
4 JS.Redirector.166 0.96%
5 Trojan.Necurs.97 0.74%
6 Trojan.PWS.Panda.2401 0.74%
7 JS.Redirector.168 0.67%
8 Trojan.Oficla.zip 0.59%
9 Trojan.PWS.Mailer.26 0.52%
10 Win32.HLLM.MyDoom.54464 0.50%
11 BackDoor.Andromeda.22 0.50%
12 BackDoor.IRC.NgrBot.146 0.41%
13 Trojan.DownLoad3.17685 0.41%
14 Trojan.PWS.Panda.786 0.33%
15 Trojan.Packed.196 0.33%
16 SCRIPT.Virus 0.28%
17 Trojan.DownLoad3.17030 0.28%
18 Win32.HLLM.MyDoom.33808 0.26%
19 Win32.HLLM.Beagle 0.24%
20 Trojan.PWS.Panda.655 0.24%

11月にユーザーのコンピューター上で検出されたマルウェアTop20
 01.11.2012 00:00 - 30.11.2012 23:00  
1 Adware.Downware.533 0.69%
2 SCRIPT.Virus 0.60%
3 Tool.Unwanted.JS.SMSFraud.26 0.57%
4 JS.IFrame.356 0.52%
5 Adware.Downware.179 0.44%
6 Tool.Unwanted.JS.SMSFraud.10 0.42%
7 Tool.Skymonk.6 0.37%
8 Adware.Downware.426 0.33%
9 Win32.HLLW.Shadow 0.30%
10 Win32.HLLW.Autoruner.59834 0.30%
11 Adware.Downware.498 0.30%
12 Trojan.Fraudster.296 0.29%
13 Trojan.Fraudster.329 0.29%
14 Trojan.Fraudster.344 0.27%
15 Adware.InstallCore.53 0.27%
16 Adware.Downware.540 0.26%
17 Adware.Webalta.9 0.25%
18 Adware.Downware.316 0.25%
19 Trojan.SMSSend.2363 0.24%
20 JS.Redirector.153

Dr.WEB
http://news.drweb.co.jp/show/?i=589&lng=ja&c=2
 Web解析企業の英国Spider.ioは12月12日、米国MicrosoftのInternet Explorer(IE)6~10に影響するセキュリティ脆弱性について報告した。この脆弱性が悪用されると、ブラウザ・ウィンドウが最小化されている場合も含めて、マウス・カーソルの動きが監視される恐れがあるとしている。

 このことは、パスワードやPIN(暗証番号)が画面上の仮想キーボードでタイプされると、キャプチャされる危険があることを意味すると、Spider.ioは述べている。同社は名指しはしていないが、すでに2つのディスプレイ広告ネットワークがこの脆弱性を悪用しているという。


 「この脆弱性を悪用する広告を表示しているページが開かれている限り、そのページがバックグラウンドのタブで開かれていても、また、Internet Explorerが最小化されていても、マウス・カーソルが画面全体にわたって追跡されてしまう」(Spider.io)

 Spider.ioは、この脆弱性を10月1日にMicrosoftに通報した。Microsoft Security Research Centerはこの脆弱性の存在を認めているが、パッチを提供する計画は当面ないとしていると、Spider.ioは述べている。

 この脆弱性はIEのグローバルなEventオブジェクトに関連しており、Spider.ioは、この脆弱性を突くエクスプロイトの技術的詳細も解説している。また、この脆弱性を悪用して仮想キーボードによるユーザー入力を監視する方法を紹介するゲームも公開している。

 「Internet Explorerのイベント・モデルは、マウス・イベントに関連する属性を持つグローバルなEventオブジェクトを生成する。生成すべきでない状況においてもだ。これに加えて、fireEvent()メソッドを使ってイベントを手動でトリガできることから、任意のWebページ(または任意のWebページ内の任意のインラインフレーム)内のJavaScriptが、マウス・カーソルの画面上の位置をいつでも問い合わせて調べることが可能だ」(Spider.io)
(Jon Gold/Network World米国版)

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121213-00000008-cwj-sci
 マカフィーは12月13日、ホリデーシーズンに横行することが予測される「12のオンライン詐欺」を発表した。クリスマスから年末年始に向けてオンラインショッピングの需要が高まる中、ユーザーに注意を呼びかけている。

 同社が「特に危険なオンライン詐欺」として挙げたのは、(1)ソーシャルメディア詐欺、(2)不正なモバイルアプリ、(3)旅行詐欺、(4)ホリデーシーズンのスパム/フィッシング、(5)iPhone 5、iPad miniなど人気商品のギフト詐欺、(6)Skypeメッセージの恐怖、(7)偽のオンラインギフトカード、(8)ホリデースミッシング、(9)偽のネット通販業者、(10)チャリティーフィッシング詐欺、(11)危険な電子グリーティングカード、(12)偽の3行広告。その内容は以下の通りだ。

ソーシャルメディア詐欺
 メールやWebサイトで消費者を騙す手口と同様に、FacebookやTwitterを悪用するオンライン詐欺。ソーシャルメディア上の懸賞や広告などから、正規のサイトに見える偽のWebサイトにユーザーを誘導し、クレジットカード情報やメールアドレス、電話番号、住所といった個人情報を要求する。

不正なモバイルアプリ
 ユーザーの個人情報を盗み出し、本人の知らないうちに高額な請求金額を課す電話番号向けにテキストメッセージを送信するよう設計された悪意あるアプリケーション。

旅行詐欺
 偽の旅行代理店のWebページを用意して、金融機関の情報を引き出そうとする詐欺。きれいな写真や「非常に安い料金」でユーザーを誘ったり、ユーザー自身が使っている旅行代理店になりすますこともある。

ホリデーシーズンのスパム/フィッシング
 ホリデーシーズンに関連するタイトルを付けたスパムメールやフィッシングメール。プレゼント向け商品として、高級腕時計の安売りセールや医薬品を宣伝するメールが出回る可能性もある。

iPhone 5、iPad miniなど人気商品のギフト詐欺
 人気が高いApple製品を"エサ"にしたオンライン詐欺。「iPad無料プレゼント」といった偽のコンテンツやフィッシングメールなどを通じ、ユーザーに個人情報を提供させたり、マルウェアをPCやモバイル機器にダウンロードする危険なリンクをクリックさせたりする。

Skypeメッセージの恐怖
 PCやモバイル端末を感染させ、端末内のファイルを"人質"に取ろうとする新手のSkypeメッセージ詐欺。

偽のオンラインギフトカード
 オンライン上で偽のギフトカードを売りつけて利益を得ようとする詐欺。カード発行会社以外の売り手から購入する際は注意が必要という。「義理の母親に贈ったギフトカードが偽物だったら、どんなに気まずい思いをするか想像してみてください」(同社)

ホリデースミッシング
 SMSテキストによるフィッシング詐欺(SMiSishing)。電子メールによるフィッシングと同様に、実在する企業を語って個人情報を提供させたり、ユーザーが通常なら行わないような行動を実行させようとする。

偽のネット通販業者
 本物のネット通販サイトに見せかけてユーザーを誘い、クレジットカードの番号やその他の個人情報を入力させようとする詐欺。「お買い得商品」でユーザーを勧誘することが多いという。

チャリティーフィッシング詐欺
 偽のチャリティーを広告する迷惑メールを送りつける詐欺。「毎年ホリデーシーズンに現れるもっとも大きな詐欺」(同社)

危険な電子グリーティングカード
 不正なカードを用い、ユーザーが文面を見ようとリンクをクリックした際にスパイウェアやウイルスをPCにダウンロードする詐欺。

偽の3行広告
 ユーザーに個人情報を必要以上に要求したり、送金を求めたりしてくる偽のオンライン広告。こうした広告の多くは「詐欺である可能性が高い」という。

ITmedia
http://www.itmedia.co.jp/enterprise/articles/1212/13/news115.html
サイバネットシステム株式会社
~スマートデバイスの企業利用に不可欠なMDM(スマートデバイス管理)とマルウェア対策を一括提供~

サイバネットシステム株式会社(本社:東京都、代表取締役社長:田中 邦明、以下「サイバネット」)は、サイバネットクラウドサービスで提供している「PC&モバイル管理サービス」のオプションサービスに新たにAndroid向けセキュリティ対策サービスを追加し、2013年12月13日より販売開始することをお知らせいたします。

スマートフォンやタブレット端末などの浸透にともない、それらを攻撃対象としたマルウェアによる被害が急増しております。特に、Android端末を対象としたマルウェアは急増しており、Google Play Storeからダウンロードしたアプリでさえ、安心とはいえません。これらセキュリティ脅威からスマートデバイスを守る必要があります。

サイバネットクラウドサービス上で提供しております「PC&モバイル管理サービス」は、Windows PCやMac、スマートデバイスを一元管理できるサービスです。インベントリ情報の収集から、盗難・紛失対策に不可欠なリモートワイプ/ロックの機能を備えております。

今回、シマンテックが企業向けに提供しているAndroid向けセキュリティ対策「Symantec Mobile Security(SMS)」を新たに「PC&モバイル管理サービス」のオプションサービスに追加いたします。本サービスを利用することで、管理サーバを用意することなく、スマートデバイスの企業利用に不可欠なスマートデバイス管理(MDM)とセキュリティ対策を一括して導入・管理することが可能となります。

サイバネットクラウドサービスは、今後もクライアント端末の導入や運用の管理工数削減及びコストの削減に貢献するサービス・機能を順次拡大する予定です。

===================================================
シマンテック社のコメント
河村 浩明氏(代表取締役社長)
===================================================

「シマンテックは、このたび、サイバネットシステム株式会社様の「PC&モバイル管理サービス」における当社"Symantec Mobile Security"のオプション提供開始を心より歓迎いたします。
シマンテックのAndroid向けセキュリティ対策製品「Symantec Mobile Security」は、マルウェア対策、Webプロテクション機能、および盗難・紛失対策等を備えており、企業で利用するAndroidデバイスなどにある機密情報を、悪意のあるアプリケーションやインターネット上の脅威等から保護します。こうしたセキュリティ対策アプリは、今後、企業が業務の効率向上を狙ってモバイル機器を導入する上で不可欠なものになる、と認識しています。
シマンテックは、サイバネット様とのパートナーシップをより強化し深めていくことで、企業におけるモバイル活動の取り組み促進に貢献するとともに、さらに幅広いお客様のニーズを満たす最適なモバイルセキュリティソリューションを提供してまいります。」

===================================================
Android向けシマンテック・セキュリティ対策オプションの概要
===================================================

■ 主な機能

・ マルウェア対策
デバイスやmicro SD/SDHCカード内にインストールされた全てのアプリケーションを自動でスキャンし、悪質なアプリケーションやスパイウェアを削除するため、ユーザーが使用する Android 端末や SD カードへのマルウェア感染を未然に防ぎます。また、「ブラックリスト」「ホワイトリスト」機能を利用することで、アプリケーションの使用を禁止/許可することも可能です。

・ Webプロテクション
悪質なWebサイトへの接続を検出し、アクセスを制限いたします。

・ 盗難・紛失対策
紛失や盗難にあった端末をGPS 機能が有効であればリモート検索機能により、場所を特定することができます。今回のリリースではベータ提供とし、2013年初夏頃をめどに、位置情報サービスを提供する予定です。

・ 管理機能
PC&モバイル管理サービスの管理サーバから各端末への定義ファイル配信状況管理など、企業におけるモバイルのセキュリティの向上を支援いたします。

■ 提供価格

 月額: 350円(税抜、1デバイスあたり)

 ※本サービスは、「PC&モバイル管理サービス」のオプションとして提供されます。
 ※本サービスの利用には、「PC&モバイル管理サービス」の申込が必要となります。

===================================================
PC&モバイル管理サービスの概要
===================================================

Windows PCやMac、AndroidやiOSのスマートデバイスを一元管理できる機能をクラウド経由で提供するサービスです。端末の設定やアプリケーションの起動制御などを提供するほか、万が一、スマートフォンやタブレット端末の盗難や紛失した際には、リモートロックや初期化などで情報漏えいを防ぐ機能により、企業活動における効率的なIT資産管理とセキュリティ対策を支援いたします。

■ 特長
・ Windows OS / Mac OS / Android / iOS を同一コンソールで一元管理
・ 管理サーバ、専任の管理者が不要なため、ノンオペレーション管理を実現
・ 本社・国内外拠点・出張先・自宅など、デバイスの場所を問わない管理が可能
・ クライアント環境・管理者環境が日本語・英語・中国語の3ヶ国語に対応
・ 法人向け総合セキュリティ対策ソフトウェア「Symantec(TM) Endpoint Protection 12」を提供(オプション)

サイバネットクラウドサービスの詳細については、下記Webサイトをご覧ください。
 http://www.cybernet.co.jp/saas/

商標について
※Androidは、Google Inc.の商標です。
※Symantec、Endpoint Protection、Network Access Control、および Symantec ロゴ は、Symantec Corporation の米国およびその他の国における商標または登録商標です。 他の名称は、それぞれ各社の商標です。

トレンドマイクロ株式会社は12月12日、同社Trend Labsが写真共有サイト「Instagram」の人気に便乗および悪用する「Facebook」でのクリックジャック攻撃を確認したとブログで紹介している。ユーザは、Facebook上の連絡先の誰かが投稿した写真にタグ付けされることによってこの脅威に遭遇する。この投稿には、Facebook上のプロフィールを誰が訪問したか、どの程度の頻度で訪問したかユーザが知ることができると記載されている。また、この投稿はInstagramを介して投稿された写真も含んでいる。

Trend Labsでは、「Recent Profile Views」で利用されている写真と名前が他の攻撃でも繰り返し利用されていることを確認している。ユーザがリンクを誤ってクリックすると、認証コードを生成方法について説明するページへと誘導される。このページは、実際はFacebookアプリのInstagramであるポップアップウィンドウを表示し、ユーザに「Go to App」ボタンをクリックするよう求める。このウィンドウは、偽のFacebookページへユーザを誘導する。ここでアルバムが作成されるが、アルバムには拡散活動を担う不正なリンクも含んでいる。こういった手法はこれまでオンラインゲームに悪用されたが、それがSNSへと拡大しているとして注意を呼びかけている。

ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2012/12/13/30622.html
株式会社オプティムは、最近話題となっているPC遠隔操作ウイルス対策として不正遠隔制御対策ソフト「Optimal Guard」を2013年1月下旬より提供する。価格は9800円(税別)。

 同製品では、これまで対策が難しいとされていた、クロスサイトリクエストフォージェリ(CSRF)対策を実装したのが特長。CSRFは、ユーザーに攻撃用Webページ内のリンクを踏ませることで、攻撃者が用意した任意のHTTPリクエストを送信させられる攻撃。掲示板に意図しない書き込みをさせられたり、オンラインショップで知らぬ間に買い物させられたりするなどの被害が生じる。

 このほか、機密情報漏えいにつながるPC画面の盗み見、不正遠隔操作をリアルタイムで監視する不正遠隔制御対策機能も実装した。

 不正遠隔制御盗み見対策として、遠隔操作ウイルスが画面を転送することを監視し、不正な第三者への送信を防止する。

  また、不正キーロガー対策として、キーボード操作が記録されることを検知し、不正な第三者への送信を防止する。

  CSRF対策(不正POST送信対策)としては、POST内容の辞書検索を活用。不正な書き込みが行われるかを自動で監視し、ユーザーの意図しない不正な書き込みを防止する。

  また、冤罪対策として、パケットログ保存も実施。不正プログラムが行った通信を記録することで、身に覚えのないPC操作を明らかにする。

  一般的にウイルス対策ソフトは既知のウイルスの特徴を記したパターンファイルと検査対象ファイルを照合し、一致した場合は検査対象ファイルがウイルスであると判断するが、パターンファイルにないものには対応できない。一方、Optimal Guardは、不正な遠隔操作や意図しないキーボード操作といったウイルスソフトそのものの挙動に対応するため、ウイルス対策ソフトが検出できない未知のウイルスに対しても有効という。

クラウドWatch
http://cloud.watch.impress.co.jp/docs/news/20121213_578484.html
 米ネットワークセキュリティ企業のFireEyeでセキュリティ技術者を務めるアレックス・ランスティン氏は、「標的型サイバー攻撃ではあらゆる政府や企業が狙われる。当社は1人だけ、あるいは、1社だけに送り付けられるマルウェアの脅威から保護することに着目している」と話す。

 2004年設立のFireEyeは、標的型サイバー攻撃に特化した対策アプライアンス「FireEye Malware Protection System(MPS)」などのソリューションを展開する。

 同氏によれば、マルウェアの99%は個人情報やクレジットカード情報を盗み出すものだが、1%は企業や組織の機密情報を狙う標的型マルウェア。攻撃者の意図がケースバイケースであり、例えば、中東の国ならイスラエルの政府や企業の機密情報を狙い、ロシアのエネルギー資源に関する情報を狙う国もあるという。

 「企業の場合、例えば世界の自動車市場を席巻したいという中国メーカーが日本の自動車メーカーを狙う。日本の自動車は燃費に優れるのでエンジン周りの技術情報を入手したいと考えるだろう。同じく日本の自動車は衝突事故で搭乗者を保護することにも優れている。ライバルはどんな材料を使っているのを知ろうと、鉄鋼メーカーにもマルウェアを送り込む」(ランスティン氏)

 1%の標的型マルウェアは、ごく一部の組織や人間のマシンにだけ感染する。99%のマルウェアを防ぐための従来型のマルウェア対策では検知することが非常に難しく、同社はここで検知できないマルウェアの発見と侵入阻止に注目しているという。

 MPSではインバウンドのWebやメールの通信による挙動をアプライアンス内の仮想マシンで実行し、詳細に解析することでマルウェアを検知する。また、組織内からのアウトバウンドの通信も監視してマルウェアと外部サーバとの通信や情報漏えいを遮断する。仮想マシンはWindowsなど複数のOSやさまざまなアプリケーションに対応し、できる限り実際のクライアントに近い環境を実行して不審な通信による挙動を解析するという。メールなど大量のトラフィックなら同時に数百台規模の仮想マシンを実行して対応するとしている。

 標的型マルウェアの頻度はまちまちであり、「APT」と呼ばれるタイプの攻撃は長期にわたって継続的に行われるが、年に1、2回という場合もある。いずれの場合でも侵入を許せば、その存在に気付くのは困難だという。標的型攻撃対策では侵入の阻止も、侵入後の情報漏えいも防ぐことが求められるため、ランスティン氏は同社のソリューションだけで標的型攻撃を防げるわけではないとも語る。

 「あくまでもウイルス対策ソフトやファイアウォール、IPSなど既存の対策では補えない部分を当社が担うという立場だ。逆に言えば、自宅や喫茶店のインターネット環境で仕事をするといった、当社が監視していないネットワークでは何もできない。標的型攻撃の対策には従来型対策と当社の対策を組み合わせた多層的な防御システムをお勧めする」(ランスティン氏)

 従来型対策の多くは、ある程度の規模の脅威を防ぐことが役割であるため、1つの組織や人間だけを狙う攻撃にはどうしても限界があるとランスティン氏はみる。ただし、わずかな標的を突く脅威であっても、その侵入を許せば甚大な被害を受ける企業や組織では同社のような対策を必要とされるとのこと。同社のユーザーは、実際に標的型攻撃を受けた経験を持つ組織が大半だという。

 「企業のネットワークに到達する脅威を徹底して防ぐのがわれわれの立場だ」とランスティン氏は繰り返し強調する。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121213-00000080-zdn_ep-sci
 ロシアのセキュリティ企業Doctor Webは、ユーザーをだましてトロイの木馬をインストールさせようとするマルウェアに、Macを狙った亜種が見つかったと伝えた。このマルウェアはWindows版が大量に出回っているが、Mac版が見つかったのは初めてだという。

 Doctor Webによると、問題のマルウェア「SMSSend」は正規のソフトウェアのインストーラを装って、さまざまなサイトで大量に出回っている。インストールの過程で携帯電話番号を入力させ、SMSを使って有料サブスクリプション契約の申し込みをさせる手口を使っており、ユーザーの携帯電話アカウントには定期的に料金が加算されるようになる。

 今回見つかったのはこのマルウェアのMac版の亜種「SMSSend.3666」で、ロシアの人気SNSで音楽を聴くためのアプリ「VKMusic 4 for Mac OS X」に見せかけて、「アフィリエートプログラム」として流通しているという。

 インストールの過程で携帯電話の番号を入力させたり、SMSの送信を要求してくるプログラムは注意が必要だとDoctor Webは指摘している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121213-00000078-zdn_ep-sci
【概要】
アドビシステムズ社の Adobe Flash Playerに、ウェブを閲覧することでDoS攻撃を受けたり、任意のコード(命令)を実行される可能性がある脆弱性(APSB12-27)が存在します。

この脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。

アドビシステムズ社からは攻撃された場合にリスクが高い脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用して下さい。

【対象】
次の Adobe 製品が対象です。

Adobe Flash Player 11.5.502.110 およびそれ以前のバージョン Windows版およびMacintosh版
Adobe Flash Player 11.2.202.251 およびそれ以前のバージョン Linux版
Adobe Flash Player 11.1.115.27 およびそれ以前のバージョン Android 4.x版
Adobe Flash Player 11.1.111.24 およびそれ以前のバージョン Android 3.x版およびAndroid 2.x版
Adobe AIR 3.5.0.600 およびそれ以前のバージョン Windows版およびMacintosh版
Adobe AIR 3.5.0.600 およびそれ以前のバージョン SDK版(iOSのAIRに含まれる)
Adobe AIR 3.5.0.600 およびそれ以前のバージョン Android版

【対策】
脆弱性の解消 - 修正プログラムの適用 -
アドビシステムズ社から提供されている最新版に更新して下さい。

■Flash Player のバージョンを確認
次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認する。
http://www.adobe.com/jp/software/flash/about/

Flash Playerが上記対象のバージョンの場合は、アップデートが必要です。 なお、一つのOSにおいて複数のブラウザ(*1)で、それぞれFlash Playerを利用している場合は、各ブラウザ毎に、Flash Player のバージョンを確認してください。

■修正プログラムの適用方法
1.Flash Player のアップデート方法
次の URL にアクセスし、Flash Player の最新版をインストールする。(Flash Player 11.x 系の最新版になります)
http://get.adobe.com/jp/flashplayer/

2.Google Chrome のアップデート方法
Google Chrome は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
http://support.google.com/chrome/bin/answer.py?hl=ja&answer=95414

3.Internet Explorer 10 のアップデート方法
Internet Explorer 10 は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
http://technet.microsoft.com/ja-jp/security/advisory/2755801

IPA
http://www.ipa.go.jp/security/ciadr/vul/20121212-adobeflashplayer.html
シマンテックが先日のブログで言及したマルウェアグループが、マルウェア配信アプリサイトに利用規約を追加した。

Android マルウェアの開発と拡散に携わったとされるグループが、証拠不十分で釈放されたことに対し、シマンテックが先日ブログ(「生存を続ける日本の Android マルウェア」)で警告したが、ブログのなかでも注目していたのが、Android.Enesoluty というマルウェアグループだった。

ところが、ブログ掲載の数日後には、Android.Enesoluty マルウェアを配信するアプリサイトに、利用規約が追加されたという。

シマンテックは新たなブログで、「これは明らかに、アプリを合法なものに見せかけ、最終的には逮捕や起訴を回避しようという試み」だと指摘している。

というのも、最近まで、Android.Enesoluty をホストしているアプリページには、アプリの偽の説明文、偽のダウンロード件数、偽のレビュー投稿、アプリのダウンロードリンクしかなく、利用規約などはいっさいなかったからだ。

現在では、今までと同様の偽情報に加えて、どのページにも利用規約へのリンクが表示されているという。

アプリが合法かどうかの判定に関して、シマンテックは、「このアプリの唯一の目的は連絡先情報をアップロードすることだが、それがユーザーに示されていない」、「広告どおりに機能しない偽のアプリであり、その事実が開発者によって告知されていない」、「アプリのページ自体に虚偽の情報が含まれている」、「アプリが偽の Google Play ページで公開されている」などの理由から、これらのアプリはマルウェアだとしている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121212-00000010-inet-sci
 米Adobe Systemsは11日、Flash Playerの複数の脆弱性を修正するセキュリティアップデートを公開した。

 最新版では、計3件の脆弱性を修正。脆弱性が悪用された場合、特別に細工されたコンテンツをブラウザーで閲覧した際などに、Flash Playerが不正終了させられたり、任意のコードを実行させられる可能性がある。

 公開された最新版のバージョン番号は、Windows版が11.5.502.135、Mac版が11.5.502.136、Linux版が11.2.202.258、Android 4.x版が11.1.115.34、Android 3.x/2.x版が11.1.111.29。これ以前のバージョンを利用している場合、脆弱性の影響を受ける可能性があるため、Adobeでは最新バージョンへのアップデートを推奨している。

 また、Internet Explorer 10(IE10)とGoogle Chromeには、標準でFlash Playerが同梱されているため、IE10についてはWindows Updateで、Google Chromeについては最新版でそれぞれFlash Playerのアップデートが提供される。

 Adobe AIRについても、同様の脆弱性を修正した最新版(Windows版はバージョン3.5.880、Mac版はバージョン3.5.0.890)を公開している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121212_578354.html
 Googleは11日、ウェブブラウザー「Google Chrome」のセキュリティアップデートを公開した。バージョン番号は23.0.1271.97。既存ユーザーには自動的にアップデートが適用される。

 Google Chromeの最新版では不具合の修正のほか、計6件の脆弱性を修正。うち1件は脆弱性の危険度が4段階で最も高い"Critical"とされている。また、ブラウザー内蔵のFlash Playerについても、脆弱性の修正を行った最新版へのアップデートが行われている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121212_578368.html
 日本マイクロソフト株式会社は12日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が5件、2番目に高い"重要"が2件。

 最大深刻度が"緊急"のセキュリティ情報は、「MS12-077」「MS12-078」「MS12-079」「MS12-080」「MS12-081」の5件。

 「MS12-077」は、Internet Explorer(IE)に関する3件の脆弱性を修正する。対象となるソフトウェアはIE 6/7/8/9/10。このうち、Windows 7/Vista上のIE 9と、Windows 8/RT上のIE 10のみが最大深刻度"緊急"となっており、リモートでコードを実行させられる危険がある。

 「MS12-078」は、Windowsカーネルモードドライバーに関する2件の脆弱性を修正する。対象となるOSはWindows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003。OpenTypeまたはTrueTypeフォントの解析について脆弱性が存在するもので、悪意のあるフォントを埋め込まれたウェブページを閲覧した場合などに、リモートでコードを実行させられる危険がある。また、OpenTypeフォントの解析に関する脆弱性については、修正パッチの提供前に脆弱性情報が一般に公開されている。

 「MS12-079」は、Wordに関する1件の脆弱性を修正する。対象となるソフトウェアはWord 2010/2007/2003、Word Viewer、Office互換機能パック。また、サーバーソフトのSharePoint Server 2010、Office Web Apps 2010も影響を受ける。脆弱性を悪用された場合、特別に細工されたRTFファイルを開いたり、Outlookでプレビュー表示した際などに、リモートでコードを実行させられる可能性がある。

 「MS12-080」は、Exchange Serverに関する3件の脆弱性を修正する。対象となるソフトウェアはExchange Server 2010/2007。3件のうち、2件はOracle Outside Inに関するもので、WebReadyドキュメント表示機能によりリモートでコードを実行させられる可能性がある。Oracle Outside Inの脆弱性については、修正パッチの提供前に脆弱性情報が一般に公開されている。

 「MS12-081」は、Windowsファイル操作コンポーネントに関する1件の脆弱性を修正する。対象となるOSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。特別に細工された名前のファイルまたはサブフォルダーが含まれるフォルダーを参照した場合、リモートでコードを実行させられる可能性がある。

 また、最大深刻度が"重要"のセキュリティ情報として、DirectPlay関連の脆弱性を修正する「MS12-082」、IP-HTTPSコンポーネントの脆弱性を修正する「MS12-083」が公開されている。

 このほか、特定のデジタル証明書に関する問題への対応などで、「MS12-043」「MS12-050」「MS12-057」「MS12-059」「MS12-060」の5件が再リリースされている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121212_578316.html
 Android 4.2(Jelly Bean)に搭載された不正アプリチェック機能の「Verify Apps」で検出できるのは、既知のマルウェアの約15%どまり――。米ノースカロライナ州立大学コンピュータサイエンス学部の准教授のチームがそんな検証結果を発表した。

 Verify Appsの機能は、Googleが11月にリリースしたAndroid最新バージョンの4.2に、セキュリティ機能強化の一環として搭載された。この機能を有効にすると、アプリをインストールする前に有害な挙動がないかどうかをチェックして、マルウェアなどが見つかった場合はインストールを阻止する。

 この機能の導入に伴い、サードパーティのセキュリティアプリは不要になったのではないかとの疑問も浮上したことを受け、研究チームではVerify Apps機能の仕組みを調べ、既存のウイルス対策エンジンと比べてどの程度効果があるかを検証した。

 実験は11月30日に実施し、研究者の間で広く共有されているマルウェアのサンプル1260件について、Android 4.2を搭載したタブレット端末「Nexus 10」を使って検出率を調べた。その結果、検出できたのは1260件中の193件のみで、検出率は15.32%にとどまった。

 さらに、無作為に抽出したマルウェアのサンプルの検出率を、主要セキュリティソフトメーカーのウイルス対策エンジン(Avast、AVG、TrendMicro、Symantec、BitDefender、ClamAV、F-Secure、Fortinet、Kaspersky、Kingsoft)と比較した結果、主要メーカーのウイルス対策エンジンは51.02~100%の確率でマルウェアを検出できたのに対し、Verify Appsの検出率は20.41%だった。

 この結果を受けて研究チームは、「Googleのサービスはまだ未熟であり、改善の余地がある」と結論付けている。具体的には、Verify Appsのサービスがアプリのハッシュ値(SHA-1)とパッケージ名を使って危険性があるかどうかを判断していることを挙げ、この仕組みは脆弱で、簡単にかわされてしまうと指摘した。

 さらに、マルウェアかどうかの判断の大部分を、Googleクラウドのサーバコンポーネントに頼っていることも問題として挙げ、既知の全マルウェアのサンプルがサーバサイドに存在していると想定するのは現実的ではないと解説。Googleが買収したVirusTotalをVerify Appsに統合すれば、検出率の改善に役立つはずだと提言している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121211-00000094-zdn_ait-sci

Dr.Web CureIt! 8.0をリリース

Doctor Webは、Dr.Web CureIt!のバージョン8.0をリリースしました。このユーティリティは、他のアンチウイルス製品がインストールされているコンピューターであっても、そのスキャン及び修復を行うことができるよう設計されています。新しいバージョンではスキャンのスピードがより速くなった一方で、より詳細なスキャンを実行することが可能になりました。

Dr.Web CureIt! 8.0は、CPUコア間でタスクを分散するためにマルチスレッドスキャンを使用することにより、著しく向上したスキャン速度を誇ります。この機能は既にDr.Web for Windows 7.0 及び 8.0 に搭載されています。また、Dr.Web Security Space、Dr.Web for Windows 7.0 及び 8.0において既に使用されている新たなアンチルートキットが加わりました。

カスタムスキャンモードではメモリ、ブートセクター、オートランオブジェクト、およびその他のオブジェクトのスキャンを実行するかどうかを個別に選択することが可能になりました。

さらに、スキャンの実行中にネットワークへのアクセスをブロックするオプションが追加され、これによりシステムのウイルススキャン中に再感染または悪意のある活動が発生することを防ぎます。また、スキャンの完了後にコンピューターを自動的にシャットダウンすることも可能になりました。

Dr.WEB
http://news.drweb.co.jp/show/?i=586&lng=ja&c=2
 家庭でも一般的になったインターネットには、便利なツールとしての利用価値がある反面、ウイルスやワンクリック請求、フィッシングといった様々な脅威が存在しています。例えば、フィッシングによるインターネットバンキングの不正送金やウイルスに感染したことによるパソコンの不正利用といった被害が一般のインターネット利用者にも発生しています。身近にあるこれらの被害を防ぐため、インターネットの利用時には、情報セキュリティ対策の実施が必須となっています。
 「情報セキュリティの脅威に対する意識調査」は、インターネット利用者へのウェブアンケートを通じて、脅威に対する認知度、対策の実施状況等の実態を把握し、IPAが行う情報セキュリティに関する活動に役立てることを目的として2005年度から実施しており、今回で通算11回目となります。
 本年は、2011年度に実施した調査項目を継承し、パスワードの設定・管理を含む情報セキュリティ対策の実施状況やインターネット上での行動に関する認識などについて調査しました。

1. 調査概要
(1) 調査方法:ウェブアンケート
(2) 調査対象:15歳以上の PC インターネット利用者
(3) 調査期間:2012年10月12日~10月15日
(4) 有効回答数:5,000名(男性2,587名[51.7%]、女性2,413名[48.3%])

2. 調査結果のポイント
(1)適切なパスワードの設定がされていない
 パスワードを設定する際、「誕生日などの推測されやすいものを避けて設定」(48.5%)、「わかりにくい文字列を設定」(43.3%)している利用者は半数に満たない。また、「サービス毎に異なるパスワードを設定」しているのは約2割に留まる。

(2)スマートフォンの利用率は増加しているがウイルス対策実施率は低い
 「OSのアップデート」(58.1%)、「信頼できる場所からアプリをインストールする」(53.5%)といった対策の実施率は他項目と比較して高い。一方、「セキュリティソフトの導入」(36.2%)、「アプリをインストールする前にアクセス許可を確認する」(26.8%)といったウイルス感染を防止する対策の実施率は低い結果に。

(3)問題意識があっても対策に反映されていない
 情報セキュリティ上危険な行為について、「セキュリティパッチを適用しないで使い続けること」を問題であると認識している利用者は約8割。しかし、「セキュリティパッチの更新」を実施しているのは約6割に留まり、問題と認識していても対策に反映されていない。

(4)若年層や初心者のセキュリティ意識の向上が求められる
 10代や初級・中級レベルの利用者は、パスワードの設定方法やセキュリティパッチの更新など、情報セキュリティ対策の実施率や意識がその他の層に比較して全体的に低い傾向にある。若年層や初心者に対する教育が重要であり、セキュリティに対する意識向上が求められる。

IPA
http://www.ipa.go.jp/security/fy24/reports/ishiki/index.html
 IPA(独立行政法人情報処理推進機構)は12月11日、インターネット利用者を対象とした「2012年度 情報セキュリティの脅威に対する意識調査」の報告書をウェブサイト上で公開した。

 「情報セキュリティの脅威に対する意識調査」は、インターネット利用者へのウェブアンケートによって調査。脅威に対する認知度、対策の実施状況等の実態把握を目的として、2005年度からIPAが継続的に実施しており、今回で通算11回目となる。

 今回の2012年度調査では、2011 年度に実施した調査項目を継承し、パスワードの設定・管理を含む情報セキュリティ対策の実施状況やインターネット上での行動に関する認識などについて調査した。調査は、ウェブアンケートによって15歳以上のPCインターネット利用者を対象として、10月12日から10月15日まで3日間にわたって実施。有効回答数は5000名、うち男性51.7%、女性48.3%。

 報告書では、パスワード管理については、適切なパスワード管理がされていないと指摘。パスワードを設定する際、「誕生日などの推測されやすいものを避けて設定」は48.5%、「わかりにくい文字列を設定」43.3%で、これらの基本的なルールを守っている利用者は半数に満たないとした。また、「サービスごとに異なるパスワードを設定」しているのは約2割に留まった。

 また、スマートフォンの利用率は増加しているが、ウイルス対策実施率は低いことを指摘している。「OS のアップデート」は58.1%、「信頼できる場所からアプリをインストールする」は53.5%などの項目については、対策の実施率は5割を超えており多項目に比べて高いが、一方で「セキュリティソフトの導入」は36.2%、「アプリをインストールする前にアクセス許可を確認する」26.8%などの対策の実施率は低い。

 情報セキュリティ上危険な行為については、「セキュリティパッチを適用しないで使い続けること」が問題であると認識している利用者は約8割と高いものの、「セキュリティパッチの更新」を実施しているのは約6割に留まるなど、問題と認識していても対策の実行に至らないユーザーが2割と少なからず存在することもわかった。

 またレポートでは利用層による違いについて、10代や初級・中級レベルの利用者では、パスワードの設定方法やセキュリティパッチの更新など、情報セキュリティ対策の実施率や意識がその他の層に比較して全体的に低い傾向にあると指摘。「若年層や初心者に対する教育が重要であり、セキュリティに対する意識向上が求められる」とよりいっそうの啓蒙活動が必要であることを訴えている。

利用実態についても調査。インターネットの利用時間では、10代~60代まですべての世代で、1日あたり1時間以上~3時間未満が4割を超えるなど、インターネット利用が日常生活の一部となっていることが伺える。

 また、インターネットの利用用途は「検索サイト・ポータルサイト」が88.0%でトップ。続いて「インターネットショッピング」78.9%、「ニュースサイト」68.0%、「電子メール」67.8%と続く。

 話題になることの多いSNSは25.9%、Twitterなどのマイクロブログは16.3%で、検索やメールに比べるとまだ利用者が一部に限られていることがわかる。

 また、YouTubeなどの動画共有サイトは、2010年10月調査で44.4%から2011年10月調査には47.5%と増加していたが、今回の2012年調査では42.7%と約5%ほど利用率が落ちている。関連性は明らかではないが、YouTube上では2012年から動画広告が開始されており、動画広告の一時的な影響があるのかどうか、来年度以後の推移が注目されるところだ。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121211_578229.html
 シマンテックは11日、Android端末の連絡先を読み取るマルウェアの配布サイトに、アプリを合法なものに見せかけようとする「利用規約」が追加されたとして、注意を呼び掛けた。

 シマンテックが「Android.Enesoluty」と命名したマルウェアグループは、「電波改善」「安心スキャン」「電池改善アプリ」などの名称で配布されているAndroidアプリ。インストールしてもアプリの説明文にあるような効果はなく、実際には端末に保存されている連絡先情報を外部のサーバーに送信することが目的となっており、こうした収集されたメールアドレスには様々なスパムメールが送られてくることが確認されているという。

 また、これらのアプリを配布しているのはGoogle Playに似せたデザインの別のサイトで、このページにはアプリの偽の説明文、偽のダウンロード件数、偽のレビュー投稿、アプリのダウンロードリンクしかない状態だったが、最近になってこのページに「利用規約」へのリンクが表示されるようになった。

 シマンテックでは、こうした対応はアプリを合法なものに見せかけ、最終的には逮捕や起訴を回避しようという試みだと推測。たとえ利用規約を追加したとしても、これらのアプリはあくまでもマルウェアと見なすとしている。

 マルウェアと判断している理由については、1)このアプリの唯一の目的は連絡先情報をアップロードすることだが、それがユーザーに示されていない、2)広告どおりに機能しない偽のアプリであり、その事実が開発者によって告知されていない、3)アプリのページ自体に虚偽の情報が含まれている、4)利用規約へのリンクがページの最下部にあり、気付きにくい、5)アプリが偽のGoogle Playページで公開されている――といった点を挙げ、これらのアプリをマルウェアとして検出することに疑問の余地はないとしている。

 シマンテックでは、法律に関してはAndroid.Enesolutyに関与しているグループを逮捕・起訴できる十分な法整備が整う日が来ることを願うばかりだとして、悪質なアプリの開発を理由として実際に処罰される例が現れるまで、この手の詐欺が今後も続くと予測。アプリは信頼できる既知のアプリベンダーからダウンロードすることと、「ノートン モバイルセキュリティ」などのセキュリティアプリをインストールすることを推奨している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121211_578271.html
 Googleが先月公開したAndroid 4.2の新しいマルウェアアプリ検知機能では、既知のマルウェアですらごく一部しか検知できないことが米セキュリティー研究者の報告によって明らかになった。

 このテストでは既知マルウェアの15%しか検知できず、サードパーティーのアンチウイルスアプリより検知率が大幅に劣ることが判明した。一方、Googleが既に保有する技術によって改良できる余地があることも判明した。

 現時点でユーザーはこの新機能に依存しないことが肝要と言えそうだ。

 この実験を行ったのは、ノースカロライナ州立大学(NC State University)コンピューターサイエンス学科准教授のXuxian Jiang氏だ。行われた2つの実験では、同学科プロジェクトが既に収集しているAndroidマルウェアのサンプルと、Android 4.2を搭載した「Nexus 10」タブレットを使用して半自動的に実施された。

 Google Play登録アプリについては既に2月以来マルウェア検知サービスがマーケット上で実施されているが、この新機能ではそれとは別に、Google Play以外のサードパーティー製マーケットや手動でサイドインストールするアプリがマルウェアかどうかを検知できることになっている。

 1つ目の実験では、Android4.2に組み込まれたマルウェアアプリ検知機能が試されたが、1260のマルウェアサンプルのうち、検知できたのはわずか193であり、検知率が15.32%だったとしている。

 2つ目の実験は、Googleが2012年9月に買収したVirusTotalサービスの検知率を測定するものだ。VirusTotal社のサービスはまだAndroidに組み込まれていない。テストは10種類のサードパーティー製アンチウィルスエンジンと検知率を比較する形式だ。アンチウイルスエンジン名は特定せずに検知率だけが明らかにされているが、これらサードパーティ製品の検知率は51.02%から100%まで。それに対して、VirusTotalの検知率は20.41%だったとしている。

 この結果を受けてJiang氏は問題点を2つ挙げる。1つ目は、このサービスがマルウェアを検知するためにハッシュ値(SHA1)とパッケージ名を使用していることだ。この方法は簡単に回避できることが知られているという。効率よく検知するためには、対象アプリ情報がさらに必要だが、プライバシーの問題などから、どのように情報を収集するのかについては難しい議論になりそうだ。 2つ目の問題は、サービスがマルウェアを検知するためにサーバー側に強く依存しすぎていることを挙げた。現時点でクライアント側には検知機能が実装されていない。ここに改良の余地があると指摘する。

 その上で、Googleが買収したVirusTotalサービスはAndroid 4.2で実装されたマルウェア検知機能より高い検知率を示したことを指摘。これはGoogleが9月に買収しているものの、まだ新機能としては統合されていないため、Google側にはまだ改良の余地があるとしている。

 Xuxian Jiang氏はこの結果について「新しいアプリ検知サービスをAndroid 4.2に導入することにより、GoogleはAndroidのセキュリティを改良し続けるという約束を守っていることを示した。しかしながら、我々の検証結果を見るに、サービスはまだ生まれたばかりであり、改良の余地があると感じている」とコメントしている。

 Xuxian Jiang氏の研究対象はセキュリティーであり、スマートフォン、マルウェア検知など様々な研究を行い、学会発表を行ってきた実績を持つ。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121211_578149.html
 セキュリティ・ベンダーのTrend Microが12月10日、トロイの木馬プログラム「Reveton」の新たな亜種について報告した。Revetonは被害者のコンピュータを使用不能にし、法執行機関を装った偽メッセージを表示するが、新たな亜種はローカライズされた音声メッセージを使って被害者をだまし、罰金と称して金銭を詐取しようとするという。

 「TROJ_REVETON.HMとして検出されたこのプログラムは、感染システムをロックするが、画面にメッセージを表示するのではなく、音声メッセージで金銭を支払うよう促す」と、Trend Microの脅威リサーチ・マネジャーのアイバン・マカリンタル(Ivan Macalintal)氏は、同社のSecurity Intelligence Blogの12月10日付けの記事で述べた。「このマルウェアは、感染ユーザーの現在地の国の言語で音声メッセージを流すため、ユーザーはその内容を理解できる」


 Revetonは、OSの特定機能をブロックしたり、個人ファイルを暗号化したりして、システムを正常に復旧させる費用と称して被害者に金銭を要求するランサムウェアというマルウェアのカテゴリに属する。

 Revetonはまた、"ポリス・ランサムウェア"とも呼ばれる。各国の法執行機関を装った偽の警告を表示し、コンピュータによる違法コンテンツの利用または保存に対する罰金を支払うよう被害者に指示するからだ。

 Revetonは感染コンピュータの現在地の国を識別し、その国の言語で、現地の法執行機関を装ったメッセージを表示する。最初に現れたのは2011年で、ドイツ、スペイン、フランス、オーストリア、ベルギー、イタリア、英国など、西欧諸国にあるコンピュータに感染が広がった。

 2012年5月には、米国とカナダのコンピュータ・ユーザーを狙った亜種が初めて登場した。米国連邦捜査局(FBI)と全米ホワイトカラー犯罪センター(NW3C:National White Collar Crime Center)が共同で設立したインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center )は11月末に、FBIおよびNW3Cと共同で、「Revetonは、オンライン・バンキング・ユーザーを狙うトロイの木馬プログラム『Citadel』によって配布されており、IC3の名前をかたった偽の警告を表示する」と注意を呼びかけた。

 スロバキアのウイルス対策ベンダーであるESETのシニア・リサーチ・フェロー、デビッド・ハーリー(David Harley)氏は12月10日、電子メールで次のように述べた。「現地化され、疑似パーソナライズされた音声メッセージを使うマルウェアは、私には初耳だ」

 ハーリー氏は、Revetonの今回の亜種の音声メッセージをまだ聞いていないが、この手口がうまく使われていれば、例えば、FBIをかたったメッセージに東欧の強いなまりなどがなければ、一部の人は本物と信じ込んであわててしまうだろうと述べた。

 しかし同氏は、このマルウェアは新手の音声機能により、一部のユーザーに対しては多少威力を発揮するかもしれないが、こうした偽メッセージにきちんと注意を払っている人はだませないだろうとも指摘した。

 セキュリティ・ベンダーの米国Symantecの最近の報告によると、ランサムウェアには16種類のファミリーがあり、それぞれ異なるサイバー犯罪組織が管理している。10月に6万8,000台のコンピュータに感染したあるランサムウェアによる攻撃に使われた指令サーバ(C&Cサーバ)を調査したところ、被害者の3%がサイバー犯罪者に要求された金銭を支払い、それらの犯罪者が10月に39万4,000ドルを稼いだ可能性があることが分ったという。

 ハーリー氏は、こうして金銭を支払っても、犯罪者が感染コンピュータを正常に復旧させる保証はないと述べた。金銭の要求に応じるべきではなく、ヘルプデスクか、利用しているウイルス対策ソフトウェアのベンダーに連絡すれば、ランサムウェアを特定し、駆除方法を教えてくれる可能性があると、同氏はアドバイスしている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121211-00000010-cwj-sci
トレンドマイクロ株式会社は12月7日、オンラインゲーム利用者のPCを破壊する「偽チートツール」に対し注意喚起をブログで発表した。今回確認されたのは、「CSO(カウンターストライクオンライン)」「WarRock」「Minecraft」やNEXONポイント利用者を狙った偽チートツールで、日本国内の掲示板を使って感染を試みる不正プログラム。チートツールを偽って掲示板に公開されているファイルをユーザが自らダウンロード、インストールすることで不正プログラムに感染する。同社ではこの感染方法が、今年に入って国内で確認されているスマートフォンを標的にした「便利ツール」を偽った不正アプリと似ていると指摘している。

今回確認された不正プログラムのファイル名は「自作Minecraft.exe」「ネクソンポイント増やせます.exe」「UnlimitedHackTool.exe」「64bit版 WH+AA+加速+Qkonline+観戦殺人.exe」の4種類。特に「自作Minecraft.exe」というファイル名で公開されている不正プログラム(「TROJ_DELETER.AF」として検出)をインストールすると、PC内のファイルを次々と削除していく。ファイルが削除された後にはポップアップ画面が表示されるが、さらにWindowsの再起動時には、OS起動に必要なファイルが削除されてしまったためにWindowsが再起動不能な状態になってしまう。

また「ネクソンポイント増やせます.exe」(「TSPY_PWSTEAL.J」として検出)では、ブラウザやFTPクライアントに保存されているパスワードを窃取したり、キー入力情報を窃取することが可能で、窃取した情報をメールで送信したり、リムーバブルメディアを経由して拡散をする機能も搭載されている。今回確認されている不正プログラムは、いずれも利用者がより楽しくオンラインゲームを利用したいという心理を悪用し、それを可能にする「チートツール」を偽装してインターネット掲示板上で公開されている。同社では、出所や作成者が不明なアプリケーション、プログラムをむやみやたらにインストールしないことを推奨している。

RBBTODAY
http://www.rbbtoday.com/article/2012/12/10/99185.html
 現在のマルウェア脅威に対抗するうえで、アンチウイルス・ソフトウェア(ウイルス対策ソフトウェア)はそれほど有効ではなく、多くの企業において"セキュリティ予算のむだ遣い"になっている可能性がある――。データ・セキュリティ企業の米国Impervaは、11月に発表した分析リポートでそう主張している。

 Impervaがテルアビブ大学の協力を受け調査実施したリポート「アンチウイルス・ソリューションの有効性を検証する」では、近ごろセキュリティ研究者の間でも議論になっている、アンチウイルス・スイートの保護機能の価値に疑問を投げかけている。

 研究チームでは「VirusTotal」サイトを使い、入手した82個の新しいマルウェア・ファイルを40の各社アンチウイルス製品(有償製品、無償製品を含む)で検知できるかどうかを確認した(※注:VirusTotalは、あるファイルがマルウェアかどうかを各社アンチウイルス・ソフトウェアでまとめて検査できるサイト)。その結果、マルウェア発生直後の初期段階では、検知率は5%未満だった。

 さらに、1週間ごとに同じマルウェア・ファイルの検査を繰り返した結果、最も良い結果を出した製品でさえ、未知のマルウェア・サンプルがデータベースに追加されるまでに少なくとも3週間かかったと報告している。

 初期段階で検知率の低かった12のマルウェア・ファイルは、時間が経過したあともおよそ半数のアンチウイルス製品で検知できなかったという。また検知はできたものの「分類不能のマルウェア」としか判断できず、駆除においては有効性が低いような製品もあったという。

 今回の調査だけでは、単純にどの製品が良く、どの製品が悪いかと判断することは難しい。だが少なくとも、製品の人気や知名度、価格と、マルウェア検知率には何の関係もないことが明らかになっている。

 Impervaでは、企業はコンプライアンス要件として定められているがゆえに、アンチウイルス・ソフトウェアのライセンスを購入し続けていると指摘する。こうした規定を緩和して無償アンチウイルス製品の導入を許可し、代わりにその予算をほかのセキュリティ対策に割り当てるようにすることを同社は推奨している。

 「(主張を)明確にしておくが、ウイルス対策をやめることを勧めているのではない。だが、今日のセキュリティ脅威(の内容)に見合うように、セキュリティ予算(の使いみち)のバランス見直しと近代化を進めるよう推奨する」(リポートより)

 Gartnerのデータに基づき、Impervaではソフトウェア・セキュリティ支出の3分の1は、そのリターン(効果)に見合わないアンチウイルス・ソフトウェア購入に費やされていると試算している。

 ImpervaのCTO、アミチャイ・シュルマン(Amichai Shulman)氏は、「エンタープライズ・セキュリティは、アンチウイルス・ソリューションによって架空の防御ラインを引いているが、新たに作成されるあらゆるウイルスはそうしたソリューション(の防御線)を難なく突破するというのが現実だ」と述べている。

 「"セキュリティ幻想"を提供する(だけの)アンチウイルス・ソリューションに、何十億ドルも投資し続けることはできない。特に、無償ソリューションが有償製品をしのぐほどの(効果を発揮している)場合には」(シュルマン氏)

 もっとも、企業導入にあたっては別の視点も必要だろう。例えば、無償のアンチウイルス製品はコンシューマー向けのものが大半であり、企業で必要とされる一括導入や管理の機能がほとんど提供されていないという問題がある。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121210-00000009-cwj-sci

未知のウイルス・マルウェアに強いのは?→

 トレンドマイクロは6日、「Yahoo!」が11月30日に発表した、Yahoo!メッセンジャーの今後の更新スケジュールに便乗して、不正なYahoo!メッセンジャーを公開しているサイバー犯罪者を確認したことを発表した。

 この偽アプリは、一見すると正規のYahoo!メッセンジャーのファイルを装っており、「TROJ_ADCLICK.TNH」として検出されるという。また、このファイルのプロパティを確認すると、プログラミング言語「AutoIt」でコンパイルされたファイルであることも確認されている。

 ユーザがファイルをダウンロードすると、ファイルは、"C:\Program Files\Yahoo Messenger.exe" として保存され、実行されると、Googleに「Ping」コマンドを送信することでインターネット接続が利用可能であるかを確認する。さらに不正プログラムは、0ではない値が返された場合、ユーザの既存のインターネットブラウザを確認。そのうえでWebサイト「http://○○ly/2JiIW」および「http://○○bd.linkbucks.com」にアクセスし、サイトを表示するという。

 トレンドラボのArabelle Ebora氏によると、これらのWebサイトはさらに、複数またほぼ無限に別のサイトにユーザを誘導してしまうとしている。つまりこの不正プログラムは、「クリック報酬型(ペイ・パー・クリック)」に関連するWebサイトに接続することでアフィリエイト収入を得るのが目的の、古典的なクリック詐欺であると推測されている。

RBBTODAY
http://www.rbbtoday.com/article/2012/12/07/99006.html
 10月26日に登場し、話題となっているWindows8はタイル型のスタート画面といったユーザーインターフェースの大きな変更が目を引くが、実は標準で備えているセキュリティー機能もパワーアップしている。その中心が『Windows Defender』だ。

「Windows Defender!? あんなのスパイウェアぐらいしか防げない、オマケみたいなものでしょ」と鼻で笑ったアナタ、それはWindows7版までの話である。Windows DefenderはWindows8版から、マイクロソフトのウィルス対策ソフト『Microsoft Security Essentials』の機能が合体し、統合セキュリティーソフトとして生まれ変わった。市販のセキュリティーソフトと同様に、パソコン全体のウィルス検知や駆除が可能。新たに登場したウィルスのパターンファイルも自動更新され、ウィルスやスパイウェアといった悪意あるソフト(以下、マルウェア)の脅威を総合的に防いでくれるスグレモノのソフトなのだ。

 また、新たにELAM(Early Load Antimalware)ドライバーと呼ばれる機能が搭載されている。この機能は、PCが起動する際にほかのどのソフトよりも早くウィルス対策ソフトを起動し、マルウェアの脅威を未然に防ぐ役割を持っている。

 Windows8は、マイクロソフトが提供するストアから新しいUIに対応したアプリをインストールできるのも特徴だ。そうした新しいUI上での脅威の対策もきっちり取られている。新しいUI上でアプリは、"AppContainer"と呼ばれる保護された領域(サンドボックス環境)で動作する。そのため、システムが不正に操作される危険性を防げる。

 ほかにもInternet Explorer9より導入されている、危険なサイトなどを開く際に警告を表示する"SmartScreen"など、ネット上での危険に対する保護機能もあり、Windows8はある程度外部からの脅威に対抗できる手段を有していると言える。

●8の機能だけで安全と過信は禁物

 とはいえ、Windows8の標準機能だけで、あらゆる脅威から守りきれるとは限らない。最近の大きな事件と言えば、遠隔操作ウィルスだ。感染して犯人に乗っ取られたパソコンから、犯罪予告を書き込まれてしまった結果、いわれのない逮捕や冤罪事件にまで発展したのは記憶に新しいところだろう。

 オンラインバンキングのニセ画面を装い、暗証番号などを盗み取るマルウェアも、ご存じの方は多いのではないだろうか。本物のオンラインバンキングにアクセスすると、その上にニセ画面が開くため、ついつい信じてしまうだろう。また、知り合いや取引先や公的機関などを装ったニセメールを送りつけ、添付したマルウェアを開かせるという標的型攻撃も世間を賑わせている。これらの被害はどれも明日は我が身、ガクブルしてしまうばかりだ。

 さらには、感染経路も日に日に多様化しているからタチが悪い。最近では、TwitterやfacebookといったSNS経由での感染が増えている。たとえばTwitterなら、リツイートなどでタイムラインに流れてきた知らない人のつぶやきに貼り付けられたURLを思わずクリックしたら感染なんてことも。Facebookに投稿されたURLも、知り合いだからといって、100パーセント安全とは限らない。

 このような手の込んだウィルスの被害に遭わないためには、自己防衛も不可欠だ。たとえば、海外のアヤシイWebサイトからファイルをむやみにダウンロードしてダブルクリックしない、メールやSNSの投稿内のURLを脊髄反射でクリックしないなどである。もちろん、OSはじめ各ソフトを常にアップデートし、セキュリティーホールをマメに修正することも必要だ。

 そういった「Windows Defender+自己防衛が難しい!」という人には、有料の市販セキュリティーソフトはまだまだ必要だ。市販セキュリティーソフトは、ファイル単位でのウィルススキャンを右クリックからできたり、USBメモリ挿入時の自動スキャンができたりと、Windows8の標準機能ではできないこともカバーしてくれる。はたまた、パソコン付属のウェブカメラを乗っ取り、のぞき見するウィルスなど、ある機能を狙い撃ちしたマルウェアに対応したソフトもある。

 近年マルウェアの脅威は、Androidなどのスマホやタブレットへと急速に広がっている。Macも人ごとではなく、『Flashback』というウィルスが世界中で猛威をふるっている。そうした、ウィンドウズ以外の脅威もまるごと防ぐことも考え、その他のセキュリティーソフトの追加導入を考えてみるのも、自分を守る手段のひとつだということを覚えておこう。

週刊アスキー
http://weekly.ascii.jp/elem/000/000/119/119563/

 シマンテックは、12月5日、個人向けモバイルセキュリティソフト「ノートンモバイルセキュリティ」の最新版を発売した。一部機能がiOSに対応するほか、危険度がマルウェア未満のマッドウェアを検出する機能を搭載した。

 悪質サイトへのアクセス遮断やアプリのウイルススキャン、端末紛失時の遠隔ロック/データ消去などの機能を備えたモバイルセキュリティソフト。新バージョンは、マルウェアだけでなく、マッドウェアの検出機能を備える。マッドウェアとは、端末から個人情報を抜き取ることに特化したモバイルアドウェアで、感染すると身に覚えのない迷惑なアラート通知が届くようになったり、着信音を乗っ取られたり、テキスト広告が表示されたりする。

 スマートフォン内の連絡先や電話帳のデータをクラウド経由でバックアップ/復元する機能も搭載。電話帳については、端末にプリインストールされているものだけに対応し、GooglePlayやAppStoreからダウンロードした電話帳アプリは対象外になる。また、OSが異なる複数端末間の連絡先同期機能で、iOS端末内のアドレス帳をクラウド上にバックアップしてAndroid端末に復元することができる。

 端末の紛失・盗難時に備える機能も充実した。Android端末の紛失時、探しやすいように警報音を鳴らす「スクリーム警報」機能や、ウェブ上の管理画面から端末の現在地を表示する機能を搭載する。iOS版アプリには、まず連絡先バックアップ機能と端末検索機能のみを提供し、今後、セキュリティ対策機能などを随時追加していく。

 価格は1年版が2980円、2年版が5480円。直販サイトと全国の家電量販店で販売する。(情報提供:BCNランキング)

Searchina
http://news.searchina.ne.jp/disp.cgi?y=2012&d=1207&f=business_1207_146.shtml
  Trend Micro のサポートセンター TrendLabs は、Windows 8 向け「キージェネレータ」のアプリケーションとしてパッケージされた2つの検体を入手したという。

 キージェネレータはシリアル番号を生成するもので、通常、有償ソフトウェアの海賊版コピーに利用される。TrendLabs の解析よると、確認したアプリケーションは不正なアプリケーションだった。Trend Micro 製品では、それぞれ「ADW_SOLIMBA」および「JOKE_ARCHSMS」として検出される。

 ADW_SOLIMBA は、実行されると偽のメッセージを表示し、「OK」をクリックすると、Web ブラウザから Windows 8 をダウンロードするよう、ユーザに促す。一方、JOKE_ARCHSMS は Windows 8 を有効にする「アクティベータ」を装っている。どちらのアプリケーションも画像を表示し、特定の番号へテキストメッセージを送信すると Windows 8 を起動することができる、とユーザーに思わせる。さらに、JOKE_ARCHSMS は Web サイトに誘導し、クリック詐欺を働く。

 これらの不正プログラムの作成者は、Windows 8 に対するユーザーの関心に乗じようとしている。過去にも同様に、Trend Micro では、Facebook が Instagram を買収した際、偽アプリが出回った事例を報告している。

 サイバー犯罪者は、ユーザーが何を望んでいるかを把握したうえで、それを悪用する。同社は、ユーザーはどのサイトから何をダウンロードするかについて慎重になるべき、と警告している。(インターネットコム)

読売新聞
http://www.yomiuri.co.jp/net/security/s-news/20121206-OYT8T00950.htm
 日本マイクロソフト株式会社は7日、12月12日に公開を予定しているセキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が5件、2番目に高い"重要"が2件。

 最大深刻度"緊急"の5件は、WindowsおよびInternet Explorer、Office、サーバーソフトウェアに影響のあるもので、いずれもリモートでコードが実行される危険がある。最大深刻度"重要"の2件はWindowsに影響がある。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121207_577724.html
 スロバキアのセキュリティ企業、ESETは12月5日、2013年に向けた戦略に関する記者説明会を開催した。

 同社は、コンシューマー向けウイルス対策/統合セキュリティソフト「ESET NOD32 ANTIVIRUS」「ESET SMART SECURITY」と、企業向けの「ESET Endpoint アンチウイルス」「ESET Endpoint Security」を提供している。ヒューリスティック技術によって高精度でマルウェアを検出できること、動作が軽快なことなどが特徴だ。

 ESETのCEO、リチャード・マルコ氏は、日本でもまもなくリリース予定のESET NOD32 ANTIVIRUS/ESET SMART SECURITYの新バージョンにおいて、ソーシャルメディア、特にFacebookを介したマルウェア感染をチェックする「Social Media Scanner」やフィッシング対策の強化などを図ったと説明。さらに、Mac OS XやAndroidをはじめとするモバイル環境など、Windows以外のプラットフォームにも保護を提供していくと説明した。

 日本の販売代理店であるキヤノンITソリューションズでは、2013年早々に、これら新バージョンをリリースする予定だ。また、スマートフォンの著しい普及を踏まえ、モバイルデバイス向けのセキュリティ製品も投入。企業向けには、「MDM製品と組み合わせた新しいソリューションを提供できないか検討している」(キヤノンITS、執行役員 楢林知樹氏)という。

Windows以外のプラットフォームがターゲットに 説明会では、同社ウイルスラボの総責任者を務めるCRO(Chief Research Officer)、ユライ・マルホ氏が、今年から来年に掛けての脅威の動向について説明した。金銭を目的としたトロイの木馬やボット、スパイ活動/情報詐取を狙う標的型攻撃のまん延に加え、Windows以外のプラットフォームをターゲットにする脅威が増えているという。

 その一例がMac OS Xを狙った「Flashback」だ。「Flash Playerのインストーラを装ってユーザーをだますソーシャルエンジニアリングのテクニックを使うなど、Windowsを狙うマルウェアと同じように振る舞っている」(マルホ氏)。

 Androidも例外ではない。SNSメッセージを悪用して課金させるトロイの木馬やアドウェアといった、従来から存在していた典型的なモバイルマルウェアに加え、PC向けのものに似た「従来型マルウェア」も発見されるようになったという。中には、二要素認証をバイパスする機能を備え、オンラインバンキングを狙う「SpitMo」「ZitMo」といったトロイの木馬も存在する。

 2013年もこの傾向は変わらないだろうとマルホ氏は予測した。「ほかのプラットフォーム、特に急速に普及したAndroidをターゲットにしたマルウェアが増えるだろう」(同氏)。

 また、PC内のデータを勝手に暗号化するなどして、「元に戻したければ振り込みを」と金銭を要求する「ランサムウェア」も、ロシアやウクライナといった地域だけでなく、世界中に広がる兆しがあるという。ただ件数が増えているだけでなく、要求される金額も高額化しているそうだ。

 気になるのは、マルウェアと正規ソフトウェアの間に位置する、グレーゾーンのソフトウェアが増えていること。正規のソフトウェアを装って情報を盗み取ったりするこの手のソフトは、検出自体は簡単でも、いわゆるマルウェアとは異なり、悪意あるものとして排除すべきかどうかの判断を下すのが難しいという。最近では、ほかのソフトウェアに「寄生」する「バンドルウェア」といったものも登場しており、ESETのソフトまで悪用されているそうだ。


 マルホ氏は、このように脅威はますます高度化し、新たなプラットフォームに広がってているが、ヒューリスティック技術の改善やレピュテーションデータベースの「LiveGrid」などを活用しつつ、守る側の技術も高めていきたいと述べた。

@IT
http://www.atmarkit.co.jp/ait/articles/1212/06/news115.html
 マカフィーは、12月5日、2012年11月のサイバー脅威の状況を発表した。

 世界的な「Blackhole」の大流行を受けて、「Blackhole」自体への対策とともに、「Blackhole」が攻撃に利用するアプリケーションの脆弱性対策、とりわけJava Runtime Environment(JRE)への対策を訴えている。

 PCを標的にしたウイルスに関しては、10月と同様に脆弱性を利用する攻撃ツール「Blackhole」関連の脅威がランクインした。「Blackhole」は世界中で大流用しており、日本も例外ではない。

 「Blackhole」によるドライブ・バイ・ダウンロード攻撃の最初のステップで使われる不正なスクリプト「JS/Exploit-Blacole」は、Adobe Reader、JRE、Flashなどの脆弱性を悪用する、不正なファイルをダウンロードする。

 リムーバブルメディア経由で感染する「W32/Autorun.worm」に関連した脅威も引き続きランクインしている。「Generic!atr」「Generic Autorun!inf」「W32/Conficker.worm!inf」は、リムーバブルメディア利用時の自動実行に使用する設定ファイル「autorun.inf」が攻撃の対象になる。マカフィーは、「W32/Autorun.worm」に関連した被害を防ぐために、リムーバブルメディアのセキュリティ対策の見直しを求めている。

 PUP(不正なプログラム)については大きな変化はなく、全体的な件数も10月と変わらない。PUPはインターネットからダウンロードしたフリーウェアなどに付加されていることが多いので、マカフィーはフリーウェア利用に対して、十分な注意が必要だとしている。(BCN)

読売新聞
http://www.yomiuri.co.jp/net/security/s-news/20121206-OYT8T00957.htm
12月5日、キヤノンITソリューションズは2013年早々にリリース予定の「ESETセキュリティソフトウェア シリーズ」次期バージョンの紹介も兼ねた説明会を開催した。ESETからはCEOおよびCRO(Chief Research Officer)が来日し、同社のビジネスの現況や最新のセキュリティ動向などについて説明が行なわれた。

国内でユーザー満足度トップ
 まず登壇したESETのCEOのリチャード・マルコ氏は、同社がウィルス対策を開始して今年が25周年に当たることを紹介し、「ウィルスの創成期から世界のウィルス対策を牽引」して来たことを紹介した。

 全世界での拠点数や従業員数、売上高なども順調に成長しているという。技術面での評価としては、第三者による検証としてよく知られる"Virus Bulletin"によるテストではウィルス検出率100%の製品に贈られる"VB100 Award"を業界最多となる76回受賞しており、さらに直近の10年は連続でVB100 Awardを取り続けているという。

 同氏はグローバルでの同社製品のシェアの高さについて、「中央/東ヨーロッパや中南米、香港ではトップシェアだ」と紹介する一方で、英仏独米日といった競合も多い地域ではまだトップではないもののシェアが伸びているとした。特に日本については、アスキー総研が実施したユーザー満足度調査の結果を紹介し、さまざまな評価項目で高評価を得て総合トップになったのみならず、2位に17ポイント弱の差を付けたことで「抜きんでて高い評価が得られた」としている。

 続いて同氏はWindows版、Mac版、Android版それぞれの最新機能構成について紹介を行なった。主な強化点は、モバイルデバイスのみではなく、PCまでカバーするようになった「Anti-Theft」(盗難防止)や「Anti-Phishing」(フィッシング対策)、Facebookを対象とした「ESET Social Media Scanner」などだ。

セキュリティ対策の有無で感染率は異なる
 続いて、ESETの研究開発部門を統括するユライ・マルホ氏がマルウェア脅威の現状と2013年以降の予測について講演を行なった。

 同氏は、2012年のホットトピックとして、経済的な利益を狙ったボットやRAT(リモートアクセスツール)のほか、PCを操作不能状態にした上で解除のための"身代金"を要求する"Lockscreen"や"Ransomware"が出現したことや、企業ユーザーを対象とした情報の盗み出しやサボタージュと言った攻撃、またMacやAndroidを対処とした脅威の増大などが見られたと語った。

 また、同氏はユーザーが"気づいた"マルウェアの種類やシェアのリストを紹介し、国ごとにセキュリティ対策の普及度合いが異なることから、実際にマルウェア被害に遭ったユーザーの数がずいぶん違うことを紹介した。具体的には、日本でトップシェアのマルウェアはユーザーベースのシェアで0.05%なのに対し、インドネシアでは1.32%となっており、25倍以上の比率となっているという。とはいえ、一方で"Win32/Rabasheeta.A"と呼ばれるリモートアクセスツールではソースコード内に日本語の記述が見つかることから日本製と目されており、日本国内は安全、というわけではないことも指摘した。

 最後に、「ESET セキュリティソフトウェア シリーズ」の事業戦略について、キヤノンITソリューションズの執行役員 プロダクトソリューション事業本部長の楢林 知樹氏が紹介を行なった。同氏は、ESETビジネスが2008年頃から顕著な成長を遂げており、年平均売上成長率は141%というハイペースであることを紹介し、今年11月にはキャンペーンの効果もあってコンシューマ市場でシェア10%を超えるまでに至ったという。

 同氏は、「成熟市場と言われるセキュリティソフトウェア市場でも、やりようによっては大きな需要が掘り起こせることが分かった」という。同氏は今後の製品計画について、次期バージョンであるV6ではマルチプラットフォーム対応を強化し、プラットフォームによらず合計利用台数でライセンスをカウントするユニライセンス方式を導入する計画であることも明らかにした。また、2013年早々のリリースに向けて、同日から12月27日までの同社のWebサイト上でモニタープログラムの提供を開始することも発表した。

ASCII.jp
http://ascii.jp/elem/000/000/749/749172/
 シマンテックは2012年12月5日、Android搭載機器向けセキュリティ製品「ノートン モバイルセキュリティ」の新版を発表した。ウイルス(マルウエア)検出機能に加えて、迷惑な動作をする可能性がある「グレーウエア(グレーなアプリ)」を検出する機能も備えた。また、一部機能については、iPhoneなどのiOS搭載機器にも対応した。新版は、Google PlayあるいはApp Storeで11月20日から既に提供されている。

 ノートン モバイルセキュリティは、Android搭載スマートフォンやタブレット向けの統合セキュリティアプリ。ウイルス検出や紛失盗難対策、危険なWebサイトへのアクセスを遮断する機能などを備える。

 新版では、ウイルスとは呼べないものの、ユーザーによっては迷惑だと思う動作をするアプリ(同社では「グレーウエア」や「その他のリスク」としている)を検出する機能を備えた。

 例えば、Androidの通知領域に広告を出すアプリや、Webブラウザーのブックマークやホームページを勝手に変更するアプリ、表示画面にアイコンを勝手に追加するアプリなどが、グレーウエアに該当するという。

 同社では、グレーウエアだと考えられるアプリを定義ファイルに事前に登録。ノートン モバイルセキュリティは、定義ファイルと照合することで、検査対象のアプリがグレーウエアかどうかを判断する。グレーウエアとして登録されている場合には、そのアプリの詳細を表示し、ユーザーにアンインストールするかどうかを尋ねる(図)。ウイルスを検出した場合とは異なり、自動的には削除しない。

 今回の新版では、連絡先あるいは電話帳のデータをバックアップする機能を備えた。シマンテックのサーバーに自動的にバックアップを保存し、いつでも復元できるようにした。

 iPhoneなどのiOS搭載機器に対応したことも新版の特徴。ただし、連絡先のバックアップ機能と紛失盗難対策機能しか備えない。ウイルス対策や危険なWebサイト対策などの機能はない。「今後、機能を増やしていきたいと考えている」(シマンテック リージョナルプロダクトマーケティング シニアマネージャの吉田一貫氏)。

 製品の利用に必要なアカウント(コード)は、同社オンラインストアや量販店で購入する。価格はオープン。同社オンラインストアでの価格は、有効期間が1年の製品が2980円、2年の製品が5480円。アプリ本体は、Google PlayあるいはApp Storeからダウンロードする。

ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20121206/442341/
 トレンドマイクロはKDDIに米グーグルの基本ソフト(OS)「アンドロイド」搭載端末用セキュリティー対策ソフトウエア1万5000台を納入したと5日発表した。

KDDIは従業員のスマートフォン(多機能携帯電話)、携帯電話販売店の接客用タブレット端末(携帯型情報端末)、企業への営業用タブレット端末の各5000台に、トレンドマイクロのソフト「モバイルセキュリティ」を導入した。

朝日新聞
http://www.asahi.com/digital/nikkanko/NKK201212060013.html
Doctor Webのスペシャリストは、新たな手法でWindowsを感染させるトロイの木馬Trojan.Gapz.1によって感染したコンピューター上にインストールされるプラグインの1つについて解析を行いました。その結果、このプラグインには、感染させたコンピューターのwebカメラから画像を傍受することの出来るトロイの木馬ブロッカーが潜んでいることが明らかになりました。

その拡散について以前にも報告したトロイの木馬Trojan.Winlock.7372の場合と同様、Trojan.Winlock.7384としてウイルスデータベースに追加されたこのトロイの木馬もまた画像やテキストを含まず、Windowsがブロックされた旨を表示するウィンドウの作成にはリモートコントロールサーバーから取得したXMLフォーマットのファイルを使用します。

感染したコンピューター上で起動されるとTrojan.Winlock.7384は、対応している国およびペイメントシステムについて記録された自身の設定ファイルを復号化します。

多くの場合、それらはUkash、Moneypack、Paysafecardのバウチャーペイメントシステムです。次に、悪意のあるプログラムはコンピューターのハードウェア設定に応じてユニークなIDナンバーを生成し、感染したコンピューターに関するその他の情報と共にそれらをリモートコマンドサーバーへ送信します。その応答としてTrojan.Winlock.7384は感染したコンピューターのIPアドレスに関するWHOIS情報を受け取り、その中には被害者のロケーションを特定するものが含まれています。トロイの木馬はそれらの情報と自身の設定ファイル内にあるリストを照らし合わせ、感染したコンピューターがカナダ、スペイン、ドイツ、フランス、イタリア、ポルトガル、オーストリア、スイス、イギリス、オーストラリア、アメリカにある場合のみそれらをブロックします。これらのチェックが完了すると、Trojan.Winlock.7384は新たなリクエストを送信し、応答としてコントロールサーバー上へのボットの登録確認を受け取ります。最後に、コマンドセンターからXMLファイルがいくつかダウンロードされ、それを基にWindowsのブロックに関するテキスト及び画像が適切な言語で作成されます。

このバージョンのWindowsロッカーにおける注目すべき特徴は、感染したコンピューターのwebカメラから画像を傍受することができ、ユーザーを脅す目的でそれらの画像をWindowsブロックに関するウィンドウ内に表示するという機能にあります。警察機関からのメッセージを装ったテキストには、ユーザーのコンピューター上での活動が全て記録され、webカメラから取得した顔写真が以後の認証および更なる個人情報の取得のために保存されるという内容が記載されています。

コンピューターのロックを解除するために、ユーザーはバウチャーペイメントシステムのコードを入力するよう要求されます。このコードは通常、決済端末によって発行されるレシートに記載されています。入力されたコードは犯罪者のコントロールサーバーへ送信され、その真偽が確認されます。本物であることが確認された場合、コンピューターのロックを解除するコマンドがコントロールセンターからトロイの木馬へ送信されます。要求される金額は100ユーロまたは150ドルとなっています。

ここ最近Doctor Webアンチウイルスラボに送られた脅威の解析の結果、犯罪者は次第に標準的な「コンストラクター」を使用した従来のWindowsロッカーから、様々な機能を持ったより複雑なトロイの木馬ブロッカーの開発へと移行していることが明らかになっています。

Dr.WEb
http://news.drweb.co.jp/show/?i=585&lng=ja&c=2
暴露ウイルスやスカイプウイルスの問題が知られていたり、無料版などもあるのでウイルス対策ソフトを導入している人は多いと思う。こうしたウイルス対策ソフトは、ネットからダウンロードしたファイルにコンピューターウイルスが入っているかどうかを調べるソフトだ。

一般的なウイルスはこれらのソフトの定義ファイルを定期的に更新することで防げるが、最近増えているインターネットの詐欺サイトは防ぐことができない。

そうしたネット詐欺、特に日本人に向けた特有の詐欺サイトなどを防ぐソフトが「Internet SagiWall」(詐欺ウォール)だ。

■ネット上に増えつつある詐欺サイト
世の中には、結婚詐欺や、電話などによるオレオレ詐欺などあらゆる詐欺が存在するが、インターネット上の詐欺も最近増えているという。

あたかも本物に見える偽のインターネトバンキングサイトなど、本物に見せかけた詐欺サイトから、一見普通のインターネットショッピングに見せかけた偽ブランド品の販売サイト、昔からおなじみのクリックしただけで課金したと見せかけるワンクリック詐欺サイト、IDやパスワードを収集するサイトなど、ありとあらゆる詐欺サイトがある。

多くのサイトはURLを確認したり、明らかに怪しいデザインだったりして、ITスキルのある人が見ただけでそれとわかるサイトが大半なのだが、何が詐欺で、なにが詐欺ではないのかの判断は難しいし、よくわからないサイトが多いのが実情だ。

■ネットの知識がそれほどない人を守るには?
特に子供や高齢者、インターネットにそれほどなれていない人にとってそれらの判断は困難だろう。

家族がパソコンを使う際にそのような詐欺にあわないように、スキルを高めるための教育は常に必要で、基本と言える対策だが、それだけでは完全に防ぐことは難しい。

そのような環境にInternet SagiWallのようなソフトは偽サイト対策としては非常に有効といえる。

BBソフトサービスが販売するWindows版のInternet SagiWallはInternet Explorerに対応し、詐欺サイトなどに接続した際に警告が出て、それが詐欺サイトだと誰でもわかるため、うっかり接続してしまうようなミスも防げる。
また、そもそもそうしたサイトに接続できなくなるため、不要な情報を入力するなど、詐欺の被害に遭うようなこともなくなる。

Windows版に加え、Android版も用意され、この11月末にはあんしんWeb by Internet SagiWall iPhoneも期間限定ながら無料で配信されている。

Internet SagiWall
http://www.sagiwall.jp/

ガジェット通信
http://getnews.jp/archives/277012
 無償で使えるウイルス対策ソフト「Panda Cloud Antivirus」の最新版v2.1.0が、3日に公開された。

 本バージョンでは、ゼロデイ脆弱性を悪用するマルウェアの振る舞いを検出し、パソコンに感染する前にマルウェアを無力化する機能が追加された。また、Windows ストアアプリのリアルタイム保護機能が追加されたほか、ユーザーインターフェイスの改良および不具合修正が施されている。

 「Panda Cloud Antivirus」は、Windows XP/Vista/7/8および64bit版のVista/7/8に対応し、個人および非営利団体に限り無償で利用可能。現在、本ソフトの公式サイトからダウンロードできる。

ソフトウェア情報
「Panda Cloud Antivirus」Free Edition
【著作権者】Panda Security 2012
【対応OS】Windows XP/Vista/7/8/Vista x64/7 x64/8 x64
【ソフト種別】フリーソフト(個人および非営利団体での利用のみ)
【バージョン】2.1.0(12/12/03)
URL
Panda Cloud Antivirus - Download the best free antivirus and the first free antivirus from the cloud
http://www.cloudantivirus.com/en/#!/free-antivirus-download
関連記事
無償で使えるウイルス対策ソフト「Panda Cloud Antivirus」v2.0が公開
Windows 8との互換を図ったほか、インターフェイスの一新など(2012/07/17)(加藤 達也)

Twitter Facebook この記事に対する「Facebookコメント」
Facebook:窓の杜ページ

窓の杜
http://www.forest.impress.co.jp/docs/news/20121205_577432.html
フィッシング対策協議会(運営・事務局:一般社団法人JPCERTコーディネーションセンター)は、「消費者向けフィッシング詐欺対策ガイドライン」を公開いたしました。

協議会では、消費者向け啓発教材として「STOP!フィッシング詐欺」を作成、提供してまいりましたが、近年においては、インターネットを利用したサービスも増え続けており、そういったサービスを利用する消費者がフィッシング詐欺の被害に合うという報道も後をたちません。

その被害は金融機関やクレジットカード会社、SNS、オンラインゲーム、Webメールサービスなど多岐にわたります。平成24年に入っても、その傾向が引き続き見られることから、消費者側での対策を呼び掛けることが、フィッシング詐欺被害の拡大抑制に必要との認識に至り、「消費者向けのフィッシング詐欺対策」として、本ガイドラインを策定いたしました。

主な内容は以下のとおりです。

1.フィッシングとは ~あなたのパスワードが狙われている~
2.フィッシング対策3つの心得
3.今すぐできるフィッシング対策
4.フィッシング対策協議会と本ガイドラインの位置づけ

詳細は以下URLをご覧ください。
https://www.antiphishing.jp/report/guideline/consumer_guideline.html

 日本原子力研究開発機構は5日、茨城県東海村の本部のパソコン3台がコンピューターウイルスに感染し、情報が漏えいした疑いがあると発表した。パソコンは研究上の不正の告発を受け付ける業務用。感染後、約1300回、インドとメキシコのサイトに接続履歴があったという。告発者の個人情報が流出した可能性がある。核物質の情報は含まれていない。

 機構によると、11月14日、告発窓口を確認する問い合わせメールがあり、職員がアドレスを返信すると、添付ファイル付きのメールが送られてきた。職員がファイルを開いた際に感染したという。職員が情報共有のためにメールを転送した別のパソコン1台も感染。これと別に、機構のアドレスにも同様のメールが届き感染した。同29日にセキュリティー業者から指摘があり発覚した。【野田武】

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121205-00000073-mai-soci
 DNSソフトウェア「BIND」のバージョン9.8.0~9.8.4および9.9.0~9.9.2において、DNS64の実装上のバグによる脆弱性が見つかった。同ソフトウェアの開発元であるISC(Internet Systems Consortium)から4日、技術情報が公開されるとともに、この問題を解決するアップデートバージョンとして9.9.2-P1および9.8.4-P1が提供されている。

 これを受けて株式会社日本レジストリサービス(JPRS)や社団法人日本ネットワークインフォメーションセンター(JPNIC)でも、DNSサーバー運用者に対して注意を喚起している。

 DNS64とは、IPv6/IPv4変換を行う仕組みで、BINDではバージョン9.8.0以降でサポートしている。今回の脆弱性は、DNS64機能が有効になっている場合、細工を施したクエリを送信することでnamedが異常終了するというもの。DNS64が無効になっている場合(デフォルトでは無効)や、DNS64が実装されていない9.7以前のバージョンでは、この脆弱性の影響は受けないとしている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121205_577423.html
 シマンテックは、モバイル機器向けのセキュリティ製品「ノートン モバイルセキュリティ」最新版の提供を開始した。家電量販店やオンラインストアで取り扱われ、価格は1年版が2980円、2年版が5480円。既存ユーザーは新機能を無料で利用できる。

 最新版の「ノートン モバイルセキュリティ」では、ウイルススキャンなど従来の機能に加えて、以下の3つの機能が新たにサポートされた。

・電話帳のバックアップ
・個人情報を抜き取るようなグレーウェアを検出
・iOS対応。iPhone、iPadでも位置検索と連絡先のバックアップが可能に

 iOS対応および電話帳バックアップにより、バックアップ→復元を経てAndroidとiOSの間で電話帳データを移行することもできる。バックアップデータは逐次記録され、誤操作で大切なデータを消しても、いくつか前のデータをロールバックして、削除前の状態に戻すこともできる。このほか、Web上からのロックなどリモートコントロール、紛失対策としてのデバイス位置検索が可能になった。またGoogle Playからダウンロードできるようになり、「提供元不明のアプリ」のチェックを入れずとも利用できる。

 InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121205_577462.html
 キヤノンITソリューションズは12月5日、ESET社のセキュリティソフト新バージョンのモニター版プログラムの無償公開を開始した。ESET公式サイトで簡単なアンケートに答えることで無料ダウンロードできる。モニター版プログラムのダウンロードができるのは12月5日から12月27日まで。ダウンロードしたモニター版は2013年2月21日まで利用できる。

 今回無料ダウンロードできるモニター版は、2013年1月に発表予定のWindows用の総合セキュリティソフト「ESET Smart Security V6.0」と、Mac用総合セキュリティソフト「ESET Cyber Security Pro」の2製品。

 V6.0の新機能となる、GPSを搭載していないパソコンでも、盗難・紛失したパソコンの監視や位置特定が行える「盗難対策(アンチセフト)機能」や、Facebookのプロフィールを検査し、悪意のあるリンクや有害コンテンツについて通知する「ESET Social Media Scanner」などが試用できる。

 SNS対策機能となる「ESET Social Media Scanner」は、SNSを介してマルウェアを仕込んだサイトにアクセスさせたり、フィッシングサイトにアクセスさせたりする攻撃が増加していることを受けて、ESET社が開発した新機能となる。

 なお、モニター版のため、使用して不都合があった場合もサポート対象とはならず、損害についても保証は受けられない。また、マニュアルも提供されないため、ソフトに内蔵されたヘルプ機能を利用することになる。

 他社のセキュリティソフトやWindows標準のファイアウォール以外がインストールされたパソコンでは、既存のセキュリティソフトをアンインストールしてから導入する必要がある。また、インストールは管理者権限があり、アカウント名に半角英数字以外を利用していないユーザーで行う必要がある。また、Windows 8の場合は、パーソナルファイアウォールの設定内容に関わらず、既定値ですべての通信が許可される。

 リリースノートおよびインストール・アンインストール手順が公開されており、キヤノンITソリューションズでは必ずインストール前に目を通してから導入するよう呼びかけている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121205_577447.html
ITセキュリティ企業の英Sophosは12月4日(現地時間)、最新のITセキュリティ事情をまとめた「Security Threat Report 2013」を公開した。同ページからPDF版がダウンロード可能になっている。最新版では急増しつつあるスマートフォンやMac向け攻撃の話題にフォーカスが当てられており、特にAndroidデバイスが最大のターゲットとなりつつあることが指摘されている。

Sophosによれば、2012年第2四半期だけで1億台以上のAndroidスマートフォンが出荷され、米国では2012年9月時点でスマートフォン全体の52.2%のシェアを獲得しているという。当然、この巨大市場を悪意のある第三者が狙わない理由がなく、今日において最大の攻撃ターゲットの1つとして注目されつつあるという。典型的な攻撃の1つは本物の著名ゲームやユーティリティに偽装した偽のアプリをユーザーにダウンロードさせ、そこから有料SMSにメッセージを送信して金銭を直接手に入れたり、システム上の穴を突いてルート権限を奪取、そこから追加のマルウェアをバックグラウンドで導入してボットネット化するといった形だ。実際、Angry Birds SpaceやInstagramを偽装した偽アプリのケースでは、1391の英国ユーザーが有料SMS送信の被害に遭っており、政府が運営事業者の業務と金融取引を停止させ、全員への返還を命じる事件が起きている。同件での英国の被害者は世界全体の1割程度で、18カ国にまたがる被害が出ているとの話だ。

このほか、SophosがサンプリングしたAndroidマルウェアでの最大勢力はAndr/Boxerと呼ばれるもので、魅力的な女性画像を餌にウクライナにホスティングされたロシアドメインのサイトに被害者を誘導し、OperaやSkypeといった一般ユーザーがごく自然にインストールしているアプリのアップデートを装い、マルウェアのインストールを促す形態をとっているという。これらマルウェアは一度インストールされると、以後はバックドアを開いて追加のマルウェアをダウンロードする余地を作っているという。バックエンドで交換されるメッセージを傍受しているケースもあり、このあたりはPCでのケースと大差ない。Sophosによれば、Androidマルウェアは多くのケースで洗練されたものではないものの、金銭目的に直結する傾向があるという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121205-00000003-mycomj-sci
アーバーネットワークス株式会社は12月4日、DDoS攻撃のトレンドと同社の対策ソリューションについて記者発表を行った。米Arbor Networks社のマット・モイナハン氏によると、これまで狭い範囲で発生していたDDoS攻撃はさまざまな業界に広がり、毎秒ギガビットクラスの攻撃も発生しているという。また目的も政治的、意思表示、自己顕示欲的なものからビジネスと結びついたものが多くなり、企業のビジネス継続性を狙うものが増えた。少数で大規模サーバを狙うケースやミドルサイズの攻撃も増えている。

また、最近のDDoS攻撃は高度化、複雑化も進んでおり、アプリケーションレイヤでの攻撃も目立つという。毎秒2,500万回という攻撃や、5週間にわたり継続した攻撃も確認されている。こうした状況から、ISPやエンタープライズ企業における従来のDDoS攻撃対策では守り切れなくなっているとして、米Arbor Networks社のジェフ・リンドホルム氏は、脅威の可視化とインテリジェンスを提供する「Pravail NSI」およびDDoS攻撃をはじめとする脅威から保護する「Pravail APS」を紹介した。同社では世界の約3割のトラフィックを把握しており、検知されたDDoS攻撃が企業などに届く前に保護することを可能にする。また、標的型攻撃やBYODにも有効だという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121204-00000002-scan-sci
マカフィー株式会社は12月4日、2012年第3四半期の脅威レポートを発表した。これによると、モバイル端末を狙うマルウェアの数が2倍に増え、データベースのセキュリティ侵害は過去最高を記録した。また、この四半期はユーザを脅迫して金銭を奪い取るランサムウェアや署名付きバイナリなど、一部のマルウェアが急増した。ルートキットとMacを狙うマルウェアも引き続き増加し、パスワード盗用型トロイの木馬とAutoRunマルウェアも衰えを見せていない。

今期、マルウェアの増加傾向は落ち着きを見せているものの、データベースに登録されたマルウェアの件数は1億件を突破した。またモバイル端末を狙うマルウェアは前四半期の2倍を記録している。最も狙われたプラットフォームは依然としてAndroidであった。現在、McAfee Labsでは1日平均10万件の新種のマルウェアを確認しているという。さらに、データベース侵害が過去最高になった。2012年の現時点までに発生したデータ漏えいの件数は、2011年度全体の数字をすでに上回っている。本年度、開発元が発表、または言及せずにパッチを適用したデータベース関連の新たな脆弱性は100件近くに上っている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121204-00000001-scan-sci
 ソーシャルブログサービスの米Tumblrは12月3日、ウイルス感染によるものと思われる投稿がTumblr内で大量に出回っていることをTwitterで確認し、対応に当たっていることを明らかにした。

 同社のツイートでは「ウイルス投稿攻撃により、数千件のTumblrブログが影響を受けた。Tumblrのエンジニアが問題を解決した」と説明している。

 セキュリティ企業の英Sophosによると、感染したTumblrのブログには、すべて同じ内容の投稿が掲載された。投稿は男性の写真入りで「Dearest `Tumblr' users」という一文から始まり、人種差別的な内容や、Tumblrユーザーのブログを中傷するような内容が含まれている。

 問題の投稿は、Tumblrの「リブログ」機能を使ったワーム感染によって広がったとみられる。投稿内には、暗号化されたJavaScriptをiFrameに隠す形で悪質なコードが仕込んであり、ログオンしているユーザーがこれを閲覧すると、自動的に問題の投稿を自分のTumblrでリブログしてしまう仕掛けになっていたという。

 この手口についてSophosでは、「本来ならこうした不正なコードをTumblrに投稿することはできないはずだが、攻撃者はBase64エンコードを使って自分たちのコードの正体を隠し、データURIにそれを組み込む方法で、Tumblrの対策をかわしたと推定される」と解説している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121204-00000039-zdn_ep-sci
 NTTコミュニケーションズ(NTT Com)は3日、Webサイトのログイン時に必要な複数のID・パスワードを、クラウド上で一括管理し自動ログインを可能とする、パスワード管理サービス「マイパスワード」を、トレンドマイクロと連携し、提供を開始した。

 「マイパスワード」では、複数のID・パスワードを暗号化し、マスターパスワード1つで管理。Webサイトへの初回ログイン時にID・パスワードをクラウド上に自動で保存し、二回目以降はID・パスワードを入力することなく自動でログイン可能とする。クラウド上に保存するため、パソコンやスマートフォン、タブレットなどデバイスを問わず利用することが可能。

 登録したサイトに遷移した際に、ポップアップが表示されIDとパスワードをWebに入力することなくログインできる(設定でポップアップ非表示も可能)。スマートフォンでは、登録したサイトの一覧がブックマークのように表示されるので、ログインしたいサイトの項目をタップすると自動ログインが可能となる。

 利用料金(税込)は、登録サイト数5つまで無料、登録サイト数無制限、および電話によるサポートが150円/月となる。利用にはソフトウェアのインストールが必要。Windows XP SP2以上/Vista SP2以上/Windows 7 SP1以上/Windows 8、タブレット版アプリ(Android3.0以上)、スマートフォン版アプリ(Android 2.1以上)に対応する。iOS対応アプリは2012年度第4四半期リリース予定。

RBB TODAY
http://www.rbbtoday.com/article/2012/12/03/98706.html
■ すでに対策済みにも関わらずマルウェアが蔓延した背景に注目

 「Windows AutoRun」ソフトウェアに存在し、DVDもしくはUSBデバイス上でプログラムを自動実行するのに悪用される有名なバグを介してコンピュータに感染するマルウェアが蔓延していると、ウイルス対策ベンダーらが顧客に対して警告を発した。

 ただWindows 7およびWindows 8 PCは「autorun.inf」ファイルを起動しない。また、それより古いシステムに関してはMicrosoftが2つのパッチをすでに提供しているため、こうした感染を深刻化させた原因には識者らの関心が集まっている。セキュリティ専門家は、パッチを適用していないコンピュータ、共有フォルダおよびファイル、ソーシャル・メディアといった要素が絡み合い、感染が広がっているのではと推測している。


 問題のマルウェアが仕込まれたUSBドライブやメモリ・スティックをマシンに挿入すると、パッチ未適用の場合はこれに感染する。ほかにも、ネットワークを共有したり、感染ファイルあるいはフォルダを誰かがクリックしたりすることで同マルウェアに感染してしまうケースがあるそうだ。Trend Microは、「Facebook」サイト上でこのマルウェアが拡散していると述べている。

 Facebook上で同マルウェアをクリックすると、企業ネットワークにある共有フォルダへの"近道"が必ず開かれると、Sophosの上級セキュリティ・アドバイザーを務めるチェスター・ウィスニースキー(Chester Wisniewski)氏は説明した。

■ Microsoftは2009年にパッチをリリース

 Microsoftは2009年にAutoRunのパッチをリリースしている。US-CERT(U.S. Computer Emergency Readiness Team)が、Windows 2000およびXP、Windows Server 2003が同機能を適切に無効化できないと警告した1カ月後のことだった。同社はその前年にも、Windows Vista、Windows Server 2008のAutoRunバグにパッチをあてていた。

 悪名高い「Stuxnet」マルウェアもautorun.infファイルを自ら作成し、USBドライブ経由でコンピュータに感染する。

 最新版の同マルウェアは、元のファイル名やフォルダ名を隠し、書き込み可能なネットワーク・シェアやリムーバブル・デバイス内の別のファイルもしくはフォルダを装う。また、「porn」「sexy」といった名称の実行ファイルや、「passwords」と名付けられたフォルダを作り、ユーザーがこれらをクリックするよう誘導しているとSophosは語った。

 同マルウェアはレジストリ・キーを追加するため、PCのブートと同時に自分自身を起動できる。一部の亜種には、Windows Updateを無効にして、標的ユーザーが同マルウェアを無力化するパッチをダウンロードしないよう画策するものもあるそうだ。

 PCに一度感染すると、当該のマルウェアは同種の悪質なソフトウェアに典型的な行動を取る。まずはC&C(command-and-control)サーバに接続して指示を受け、別のアプリケーションを取得してくるのだ。Sophosによれば、それらの中にはオンライン・バンキング情報を盗む「Zeus/Zbot」ファミリのトロイの木馬も含まれているという。

 同マルウェアを阻止するには、あらゆるWindowsオペレーティング・システム搭載システムでAutoRunを無効にし、ファイル・シェアへの書き込みに制限を設けるのがよいとセキュリティ専門家らはアドバイスしている。ウイルス対策ベンダーによってこのマルウェアの名称は異なっており、現状では「W32/VBNA-X」「W32/Autorun.worm.aaeb」「W32.ChangeUp」「WORM_VOBFUS」などと呼ばれている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121203-00000004-cwj-sci
 独立行政法人情報処理推進機構(IPA)は3日、12月のユーザーへの呼び掛けとして、インターネットバンキングの利用者を狙い、不正なポップアップ画面を表示させる手口が発生しているとして、ユーザーに注意を喚起した。

 この手口は、ユーザーのPCをあらかじめ何らかの方法でウイルスに感染させ、そのPCでインターネットバンキングの正規のサイトにログインする際に、乱数表や合言葉などの入力を促す偽のポップアップ画面を表示するもの。10月以降、複数の金融機関で同様の手口が発生しており、各金融機関や警察庁などが注意を呼び掛けている。

 不正なポップアップ画面を表示させる手口のイメージ
  IPAでは、従来のフィッシング詐欺では「見た目はそっくりだが、完全に別のサイト」にユーザーを誘導して情報を入力させようとするのに対して、今回の手口は「本物のサイトにアクセスしたら、途中から偽の画面が出現する」という点が異なっていると指摘。本物のサイトへのログイン後の表示であるため、ユーザーが信用してしまい、被害が広がったと推測している。

 また、IPAではこのタイプのウイルスと思われるプログラムを入手して検証したところ、特定の銀行にログインする際に、実際に不正なポップアップ画面が表示されることを確認。ウイルスに感染している状態で銀行のログイン画面にアクセスすると、通常とは少し異なる画面が表示されるものの、URLは同じであるためURLからは不正なページであることは判断できないという。さらにこの画面からログインすると、ユーザーがあらかじめ設定している「質問」と「合言葉」の入力が要求されるポップアップ画面が表示され、これらの情報が盗まれてしまうと考えられる。

 IPAでは、一般ユーザーがこうしたウイルスに感染させられた経緯は不明だが、PCをウイルスから防御しつつ、インターネットバンキング利用時に注意を払うことで、被害に遭わずに済んだ可能性は高いと指摘。ウイルスに感染しないためには、使用しているOSやアプリケーションを最新の状態にする、ウイルス対策ソフトを導入して定義ファイルを最新に保ちながら使用するという、基本的な対策の徹底を求めている。

 また、インターネットバンキング利用時の注意点としては、乱数表や合言葉などは複数の情報の中から一部だけを使って本人確認を行うもので、これらを「すべて」入力するように金融機関が求めることは通常ないため、乱数表や合言葉などの全項目の入力を求めるような画面が表示された場合には、絶対に情報を入力しないよう注意を求めている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121203_577066.html

【関連記事】IPA、「 ネット銀行を狙った不正なポップアップに注意! 」~ "乱数表"や"合言葉"の正しい使われ方を知り、自己防衛を ~
 パソコンでインターネットバンキングにログインしようとすると、ウイルスが不正なポップアップ画面を表示して、合言葉や乱数表を利用者に入力させ、これらの情報を窃取しようとする新たな手口の犯行が発生しているとして、警察庁と各金融機関が注意を呼び掛けています。

 従来のフィッシング詐欺は、利用者を「見た目はそっくりだが完全に別の偽サイト」へ巧みに誘導して、個人情報や金銭に関わる情報を窃取するケースが大部分でした。また2011年9月には、銀行を装った偽メールにウイルスが添付されていて、そのウイルスを実行するとログイン情報や乱数表の内容の入力を促す偽の画面が出現するといった手口も出現しました。

 今回の新たな手口では、「本物のサイトにアクセスしたら、"途中から"偽の画面が出現する」という点で、今までのフィッシング詐欺の手口と決定的に異なります。本物のサイトのログイン後の表示であるために利用者が信用してしまい、情報を入力して被害が広がったと推測されます。

 IPAではこのウイルスの動作確認を行いました。その手口と動作を解説し、被害に遭わないための対策を紹介します。

●対策1 ウイルスに感染しないために
 ・使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する
 使用しているパソコンのOSやアプリケーションなどの脆弱性(ぜいじゃくせい:セキュリティ上の弱点)を悪用されると、ウェブサイトを閲覧しただけで、ウイルスに感染する可能性があります。
 OSや、インストールされているアプリケーションソフトウェアには、最新の更新プログラムを適用して、脆弱性を解消してください。定期あるいは緊急に更新プログラムが公開されますので、公開された場合にはすぐに更新プログラムを適用してください。
 IPAでは、利用者のパソコンにインストールされている主なソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認できるツール「MyJVNバージョンチェッカ」を公開しています。是非ご利用ください。
  ・MyJVNバージョンチェッカ(IPA)
   http://jvndb.jvn.jp/apis/myjvn/vccheck.html

 ・ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちながら使用する
 ウイルス対策ソフトは万能ではありませんが、重要な対策の一つです。ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入してしまったウイルスを駆除することができます。近年のウイルスは、パソコン画面の見た目や動作からでは感染していることが分からないものも多いため、ウイルスの発見と駆除には、ウイルス対策ソフトが必須です。
 一般利用者向けのウイルス対策ソフトとしては、ウイルスの発見と駆除だけでなく、危険なウェブサイトを閲覧しようとした時にブロックを行う機能などを備える、「統合型」と呼ばれるものを推奨します。

●対策2 インターネットバンキング利用時の注意点
 ・乱数表や合言葉などを一度にすべて入力しない
 インターネットバンキングなどの金融機関が第二認証情報(乱数表や合言葉など)すべての入力を求めることは通常ありません。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないようにしてください。
 通常利用する時と異なる入力の要求があった場合は、入力せずに、サービス提供元に確認をしてください。

IPA
http://www.ipa.go.jp/security/txt/2012/12outline.html
■セミナータイトル
Dr.Web CureNet! マルウエア解析パック発売記念!
「The Study7」
"知られざるマルウェアの脅威とその対策"

■日時
2012年12月18日(火) 14:30~17:30 受付は14:00より

■場所  
ダイワボウ情報システム株式会社 東京支社1Fセミナールーム
東京都品川区大井1-20-10 住友大井町ビル南館1F

最寄駅からの所要時間:
(1)JR・東急大井町線「大井町駅」より 徒歩約5分

■参加費  
無料[事前登録制]

■内容
 14:30-14:40  はじめに
                       ディーアイエスソリューション株式会社
   
 14:40-15:20 【基調講演】暗躍するウイルスと如何に対峙するか
 
 大きく情報技術に依存した現在。従来、他人事だったサイバー攻撃や事件。
 これらは犯罪なのか、軍の関与なのか、そもそも攻撃と言っていいものかすら
 も分からないまま、事件として発生しています。
 それは、世界中の国々・犯罪者・主義主張者も日本を明確にターゲットにして
 いると考えられる。一方、日本での受け皿も国際化し準備が完了したといえます。
 さらに人間の行動そのものも、情報技術への依存度は急激に上昇している関係
 で、実社会で起きた事件もサイバー空間にひも解くヒントや記録が多く存在す
 るようになっています。
 そのような中で、まずは事実を認識し事業継続を図っていく体制の整備が重要だと
 いわれています。それを支えるチームがCSIRT(コンピュータセキュリティ
 インシデントレスポンスチーム:シーサート)です。
 CSIRTで必要なのは、制度的、組織的、法的な専門手腕に留まらず、特に重要
 なのが技術的な見識です。
 多くの事件に関与しているのがコンピュータウイルス。従来のように見つけて
 駆除すれば良かった牧歌的な時代は終焉し、現在では深く組織に潜行するウイ
 ルスの活動を捉え、掘り出し、分析していく必要があります。
 本公演では、最新のサイバー攻撃をひも解き、どのように対抗していくか、分
 かりやすく説明します。
                       株式会社ラック 専務理事 西本 逸郎 氏
   
 15:20-15:50 Dr.Web CureNet!マルウェア解析パックのご紹介
    ~年間600万人以上が利用、マルウェア対策におけるセカンドオピニオンの必要性~
                 株式会社Doctor Web Pacific 代表取締役 菅原 修 氏
   
 16:00-16:30 標的型攻撃 (APT) 対策ソリューションのご紹介
                シスコシステムズ合同会社 ボーダレスネットワーク事業
               シニアプロダクトセールススペシャリスト 櫻井 仁史 氏
   
 16:30-17:00 JSOCインシデント傾向について(2012年上半期)
                        株式会社ラック セキュリティ事業本部
                        営業統括部JSOC営業部 佐藤 崇行 氏
   
 17:00-17:30 本日のセミナーのまとめ
                       ディーアイエスソリューション株式会社
                      第1事業部ネットワークソリューション1課
                               マネージャ 柴山 裕之
■申込
ディーアイエスソリューション株式会社のホームページから
http://www.si-jirei.jp/seminar/semi20121218_121.php?mkr=c120

トレンドマイクロ株式会社は11月29日、「Facebook」を介して拡散する「WORM_VOBFUS」のいくつかの亜種の出現を確認しているとブログで注意喚起を発表した。「WORM_VOBFUS」は、WindowsのAutoRunを利用し、リムーバブルドライブおよびマッピングされたネットワークドライブ上にコピーを作成する。また、このワームは他の不正プログラムのファミリによってダウンロード、また作成されることでもコンピュータに侵入する。さらに、悪意あるWebサイトにユーザが誤ってアクセスしてしまった結果として、「WORM_VOBFUS」の亜種をがユーザが気づかないところでダウンロードされてコンピュータに侵入する場合もある。

「WORM_VOBFUS」は亜種が相次いで登場しているが、今回確認された複数の亜種は、Facebook上で拡散していることが報告されており、その多くがアダルトコンテンツを示唆するファイル名を利用し、ユーザの興味をあおる。現時点での解析の結果、この問題となっている「WORM_VOBFUS」の亜種は、これまでと変わった不正活動は行わないという。しかし、感染力の強いワームであるため、同社では感染防止対策として、ユーザはAutoRunを無効にしたり、セキュリティソフトを最新のパターンに更新しておくといったことを実施するよう勧めている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121130-00000000-scan-secu
トレンドマイクロ株式会社は11月29日、「Facebook」を介して拡散する「WORM_VOBFUS」のいくつかの亜種の出現を確認しているとブロ グで注意喚起を発表した。「WORM_VOBFUS」は、WindowsのAutoRunを利用し、リムーバブルドライブおよびマッピングされたネット ワークドライブ上にコピーを作成する。また、このワームは他の不正プログラムのファミリによってダウンロード、また作成されることでもコンピュータに侵入 する。さらに、悪意あるWebサイトにユーザが誤ってアクセスしてしまった結果として、「WORM_VOBFUS」の亜種をがユーザが気づかないところで ダウンロードされてコンピュータに侵入する場合もある。

「WORM_VOBFUS」は亜種が相次いで登場しているが、今回確認された複数の亜種は、Facebook上で拡散していることが報告されており、その 多くがアダルトコンテンツを示唆するファイル名を利用し、ユーザの興味をあおる。現時点での解析の結果、この問題となっている「WORM_VOBFUS」 の亜種は、これまでと変わった不正活動は行わないという。しかし、感染力の強いワームであるため、同社では感染防止対策として、ユーザはAutoRunを 無効にしたり、セキュリティソフトを最新のパターンに更新しておくといったことを実施するよう勧めている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121130-00000000-scan-secu
 BBソフトサービス株式会社は29日、iPhone向けの詐欺対策機能付きブラウザーアプリ「あんしんWeb by Internet SagiWall」の提供を開始した。App Storeからダウンロードできる。12月末まではリリース記念として無料で提供される。

 「あんしんWeb」は、BBソフトサービスがWindowsやAndroid向けに提供しているオンライン詐欺対策ソフト「Internet SagiWall」のエンジンを搭載した、iPhone向けのブラウザーアプリ。

 日本で発生する詐欺サイトの構造や特徴、コンテンツ内容をリアルタイムに解析するヒューリスティック検知エンジンを搭載しており、ブラックリスト方式だけでは対応できない詐欺サイトに対しても、危険なサイトであるかを自動的に判断して警告を表示する。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121130_576149.html