パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!8月31日(土)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


2013年3月アーカイブ

 セキュリティ・ベンダーのTrend Microが、米国Evernoteの情報クリッピング・サービスがマルウェアからの攻撃命令をやりとりする場所として利用されていることを発見した。

 マルウェアは、ハック済みのコンピュータに対して攻撃者がさまざまな行動を実行できるように、バックドアを提供するソフトウェアだ。Trend Microによると、あるマルウェアが新たな指令を受け取るために、Evernoteに接続を試みていることが判明したという。


 Trend Microの脅威対応エンジニア、ニッコー・タマナ(Nikko Tamana)氏は「このバックドアは、さらに盗み出した情報を保存場所としてEvernoteアカウントを利用している可能性がある」と述べた。

 マルウェアの追跡をより困難にするため、あるいは不審なプログラムであることを疑われないように、ハッカー達が正規サービスを悪用してマルウェアを設計する例は、いくつか報告されている。過去にも、ボットネットに対する指示を投稿するためにTwitterやGoogle Docsなどがハッカーに利用された。

 「こうした偽装を行う攻撃は"ステルス"と呼ばれる。Evernoteのような正規サービスの利用は、攻撃者の痕跡を隠しセキュリティ研究家達の対策から逃れる最適の方法だ。」(タマナ氏)

 Trend Microが「BKDR_VERNOT.A」と名付けたこのマルウェアは、Evernoteアカウント内のノートから、指示を受け取ろうとするものだ。ところがTrend Microがテストを行った際はなぜか、マルウェア内に埋め込まれていたログイン情報ではアクセスできなかったという。

 タマナ氏にはこれについて、「最近生じたハッキング事件を受けてEvernoteが取ったセキュリティ対策が、その要因である可能性もある」と指摘した。

 今月初め、ハッカーがEvernoteへの不正アクセスに成功し、ユーザー名や電子メールアドレス、暗号化されたパスワードが流出した後、同社は5,000万人の全ユーザーを対象にパスワードの強制リセットを実行した。

 なお、今回の件についてEvernoteにコメントを求めたが、原稿執筆時までに回答は得られていない。
(Jeremy Kirk/IDG News Serviceシドニー支局)

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130329-00000001-cwj-sci
 ソースネクスト株式会社は、スマートフォン向けアプリ「スマートフォンセキュリティ(3年版)」を同梱したPC用セキュリティソフト「スーパーセキュリティZERO3台用」のパッケージ版を4月12日に発売する。価格は7980円。対応OSはWindows 8/7/Vista/XP。

 スーパーセキュリティZEROは、対応するOSのサポート期間は更新料0円で利用できる点が特徴。Windows 7は2020年1月14日まで、Windows 8は2023年1月10日まで、毎年の更新料なしで使い続けられる。Windows 7からWindows 8に乗り換えた場合も引き継いで使える。

 ウイルス対策には、ルーマニアのBitDefenderのエンジンを採用。機能面ではオンライン決済を行うための専用ブラウザー機能「決済ブラウザ」や、PCの盗難対策機能、製品状態がわかるウィジェットなどを備える。

 スマートフォン向け「スマートフォンセキュリティ(3年版)」は、BitDefenderのエンジンを搭載したアプリ。ウイルス対策に加えて、スマートフォンの位置をウェブから調べたり、遠隔操作でアラームを鳴らす紛失・盗難対策も行える。Android 2.2以降に対応し、1台で利用できる。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130328_593579.html
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。

 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザでは対策が進められていますが、この攻撃への対策はブラウザだけではなくウェブサイトにおいても実施する必要があります。

 そこで、IPAは2013年の2月から3月にかけて、「クリックジャッキング」攻撃の対策が浸透しているかどうかを、ログイン機能を持ちウェブサイト上でユーザ情報の変更等ができるウェブサイト56件を抽出し調査しました。その結果、対策済みだったのは 3サイトで、残り53サイトでは未対策(*1)であることが判りました。本調査では、「クリックジャッキング」攻撃の根本的な対策の一つであるX-FRAME-OPTIONSヘッダを付与していない(*2)ことを未対策の判断基準としています。この対策が進んでない理由として、その仕組みや対策方法が理解されていないことにあるとIPAでは推測しています。

 このため、IPAは「クリックジャッキング」攻撃への対策が進むよう、その仕組みおよび対策について解説したレポートを公表することにしました。本レポートの対象読者は、ウェブサイトの構築や運営に携わる技術者を想定しています。

 本資料が「クリックジャッキング」の理解と対策方針の参考のために活用されることを期待します。

レポートのダウンロード
『クリックジャッキング』に関するレポート (PDFファイル 594KB)
http://www.ipa.go.jp/about/technicalwatch/pdf/130326report.pdf

【ニュースソース】IPA
http://www.ipa.go.jp/about/technicalwatch/20130326.html
Yahoo!メールをかたるフィッシングサイトの報告を受けています。

1. 2013/03/26 9:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにて個人情報(IDやパスワード)を入力しないように注意してください。

3. 類似のフィッシングサイトなどを発見した際は、フィッシング対策協議会(info@antiphishing.jp)までご連絡ください。

フィッシングサイトのURL
http://jpmaills.●●●●.com/news/yahoo/login_verify2.htm

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/yahoo20130326.html
 独立行政法人情報処理推進機構(IPA)は26日、知らないうちにプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況について実施した調査結果と、対策のポイントをまとめた技術レポートを公開した。

 クリックジャッキング攻撃とは、表示しているウェブページとは別のページをiframeなどで読み込み、CSSのopacityプロパティなどを使用して透明にして重ね、透明にしたページのボタンなどをユーザーにクリックさせる手法のこと。SNSなどのサービスにログインした状態でこの攻撃を受けると、非公開にしていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の1つとなる。

 クリックジャッキング攻撃の手法は2008年に指摘され、対策としてHTTPレスポンスヘッダーに「X-FRAME-OPTIONS」が出力された場合には、ウェブブラウザー側でframe要素やiframe要素で表示できる範囲を制限することが提唱された。既にこの仕組みは、Internet Explorer、Safari、Firefox、Google Chrome、Operaなどの主要ブラウザーに採用されている。

 IPAでは2013年2月~3月に、クリックジャッキング攻撃の対策状況について、ログイン機能を持ちウェブサイト上でユーザー情報の変更などができる、日本人向けにサービスを提供していると思われるウェブサイト56件に調査を実施。その結果、対策済みだったのは3サイトのみで、残り53サイトでは未対策であることが判明した。IPAではこれらの未対策のウェブサイト運営者に連絡を行っている。

 調査では、X-FRAME-OPTIONSヘッダーを付与していないことを未対策の判断基準としており、対策が進んでない理由としては、仕組みや対策方法が理解されていないことにあると推測。IPAでは、クリックジャッキング攻撃への対策が進むよう、ウェブサイトの構築や運営に携わる技術者を想定した、仕組みと対策について解説したレポートを公表した。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130326_593244.html
 シマンテックは3月25日付けの日本語版セキュリティレスポンスブログにて、人気ゲーム「LINE POP」に名称が酷似しているマルウェア「LIME POP」について注意喚起を行っている。

 ユーザーには、はじめにアプリページへのリンクが掲載されたスパムメールが送りつけられる。リンクをクリックすると、「LIME POP」のダウンロードページにたどり着き、ページの最後に利用規約へのリンクが表示される。その内容は、LIME POPがデバイスから個人情報をアップロードするという説明だが、シマンテックでは「利用規約が掲載されているのは、法律上の抜け道を作る目的と思われます」としている。

 ダウンロードしアプリを起動すると、ゲームサーバーへの接続を試行中であるというメッセージが表示されるが、次の瞬間には「通信状況を確認してください」という指示に変わる。この時点ではもう、連絡先のデータが詐欺グループのサーバーにアップロードされてしまっているという。

 同社では、アプリを探すときには、必ず信頼できるサイトからダウンロードするようにするとともに、アプリのダウンロードを誘う電子メールやSMSのリンクをタップする前に、一度立ち止まって再考するように呼びかけている。

【ニュースソース】Yahoo!ニュース
http://newsbiz.yahoo.co.jp/detail?a=20130326-35029984-cnetj-nb
Mac OS Xを狙うアドウェアが2013年に入ってから増え続け、ユーザーが閲覧したWebページに広告を挿入してしまうトロイの木馬などが横行しているという。ロシアのセキュリティ企業Doctor Webが3月19日に伝えた。

Doctor Webがこうしたアドウェアの典型として挙げたトロイの木馬「Yontoo.1」は、感染したシステムにWebブラウザ用プラグインをインストールして、ユーザーが見ているWebサイトに広告を挿入してしまう。

ユーザーを感染させる手段としては、映画の予告編サイトなどを利用。プラグインの導入を促してインストールボタンをクリックさせ、別のWebサイトにリダイレクトして、Yontoo.1をダウンロードさせる。予告編サイトのほかにも、メディア再生ソフトやビデオ品質向上プログラム、ダウンロード高速化プログラムなどを装う手口があるという。

Yontoo.1を起動すると、「Free Twit Tube」というプログラムのインストール画面が現れる。ここで「Continue」ボタンを押すとトロイの木馬がダウンロードされて、Safari、Chrome、Firefoxの各ブラウザ向けプラグインがインストールされる。

このプラグインは、ユーザーが閲覧したWebサイトの情報を外部のサーバに送信して、不正なコードを仕込むためのファイルを受け取り、ユーザーが閲覧したWebページに広告を挿入してしまう。

Doctor Webのサイトには、この手口でディスプレイ広告が仕込まれた米Appleのサイトのスクリーンショットが掲載されている。

こうした手口はWindowsでも横行しているが、「アフィリエート広告で稼ぐ犯罪集団は、Appleコンピュータへの関心を日増しに高めている」とDoctor Webは警告している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130322-00000001-zdn_ep-sci
トレンドマイクロは、Twitter上での不審な投稿の増加を確認したとして、同社公式ブログ上で注意を呼びかけた。不審な投稿にはブラウザクラッシャー、通称「ブラクラ」に分類される不正なWebサイトのURLが含まれており、Windows、Androidほか不正プログラムの影響を受けにくいiOSでもブラウザが使用不可になるという。

ブラウザクラッシャーとはブラウザのエラーや脆弱性、無限ループのスクリプトなどを含むWebコンテンツにより、ブラウザやシステム自体をクラッシュさせる迷惑Webサイトのこと。同社公式ブログによると、基本的にはブラウザクラッシャーページを表示したときのみに影響があるものであり、継続的に被害をもたらすものではないとしている。

【ニュースソース】マイナビニュース
http://news.mynavi.jp/news/2013/03/23/069/
 Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。

※関連記事:「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
→http://techtarget.itmedia.co.jp/tt/news/1302/26/news03.html

 仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?

 2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。

 数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130321-00000089-zdn_tt-sci
 インターネットバンキングの預貯金が不正に盗まれるケースが相次いでいる。最近、目立っているのは、ログイン後に偽画面を出すウイルス。偽画面と気づかずに第2暗証(乱数表)などを入力すると、大事な預貯金が他人口座に送金される危険性が高くなる。自己防衛で守りたい。(清水麻子)

 ◆迷ったら相談を

 警察庁によると、近年、インターネットバンキングを狙った犯行が目立ち、昨年6月から12月までの間に、三井住友▽みずほ▽三菱東京UFJ▽ゆうちょ▽楽天-の5金融機関の計64口座が被害に遭った。他人口座に不正送金された被害総額は約4860万円。今年に入ってからの被害総額も約3千万円に及ぶ。

 電子メールを送り付け、IDやパスワードなどの認証情報を入力させて個人情報を盗むフィッシング詐欺もある。しかし、昨年10月以降は、ログイン後に本物そっくりの偽画面を表示されるウイルスが目立つ。

 ウイルス対策ソフト会社「カスペルスキー」(東京都千代田区)によると、この手のウイルスは「バンキング・トロジャン」と呼ばれ、約4年前に欧米で大流行。昨秋、日本に上陸し、現在は日本国内に亜種が数多く出回る。

 「独立行政法人情報処理推進機構(IPA)」(文京区)は「ログイン後の表示のため、利用者が信用し、情報を入力することで被害が広がったと推測される」。

 しかし、「金融機関が第2暗証全ての入力を求めることはない」(三菱東京UFJ銀行)という。このため、各銀行は「第2暗証を偽画面に入れないで」とホームページなどで注意を促している。

 画面が複数回にわたって表示されるケースもあり、次々に入力していくと結果的に全ての暗証番号を入力してしまうことにもなり、注意が必要だ。偽画面かどうか迷ったら、利用前に各銀行のコールセンターなどに電話をして相談した方がいい。

 ◆個人情報保存は×

 必要なのがウイルス対策ソフトの導入だ。銀行関係者によると、ウイルス対策ソフトを入れていない人が被害に遭った事例が報告されている。カスペルスキーの前田典彦さんは「パソコンの状態とウイルスソフトは常に更新し、期限切れもチェックしてほしい」。ウイルス対策ソフトは、カスペルスキーのほか、トレンドマイクロ▽シマンテック▽マカフィー-などの会社が開発・販売している。

 前田さんは「パソコンがインターネットにつながっている以上、メモ帳で作ったデータでも読み取られる可能性がある。個人情報をパソコンの中に保存しないなど注意したうえでネットバンキングを利用してほしい」とアドバイスしている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130321-00000528-san-soci

Dr.WEB、2013年2月のウイルス脅威

2013年の2月は、感染した多くのwebサイトからウイルスが拡散され、Trojan.Hostsによる大規模な感染が発生した月としてITセキュリティエキスパート達の記憶に残るでしょう。また、2月にはLinuxサーバーを攻撃するトロイの木馬も発見されました。

■ウイルス
Dr.Web CureIt!によって収集された統計によると、依然としてTrojan.Mayachok プログラムが最も多く検出され、このトロイの木馬ファミリーの中でも最も高頻度に検出されたのはTrojan.Mayachok.18566 でした。Dr.WebによってTrojan.SMSSend と名付けられた偽のインストーラーも多く検出され、その中ではTrojan.SMSSend.2363 が最も高い頻度で検出されました。

これらのプログラムはアプリケーションインストーラーを装い、有料SMSの送信や特定のサービスへの登録をユーザーに対して促します。このようなインストーラーは、通常、期待されるプログラムを含んでおらず、その上、他のマルウェアの拡散に利用される場合があります。BackDoor.IRC.NgrBot.42、Trojan.Click2.47013、Win32.HLLP.Neshta による感染も多数検出されました。以下の表は2月にDr.Web CureIt!によって検出された脅威の統計です。

■今月の脅威:Linux.Sshdkit
Linuxサーバーを感染させるLinux.Sshdkit は、2月にDoctor Webによって発見された最も特異な脅威であると言えるでしょう。このトロイの木馬はLinuxディストリビューションの32bit版および64bit版で利用可能なライブラリファイルです。インストールされると、自身のコードをsshdプロセスに挿入し、このプロセスの認証ルーチンを使用します。セッションが開始され、ユーザーがログインとパスワードを入力すると、それらがリモートサーバーへ送信されます。コントロールサーバーのIPはマルウェア内にハードコード化されていますが、Linux.Sshdkit は特殊なアルゴリズムを使用して1日おきに新しいコマンドサーバーアドレスを生成します。

Linux.Sshdkitは、このアルゴリズムを使用して2つのDNS名を生成します。これらのDNS名が同一のIPアドレスを参照している場合は別のIPに変換し、盗んだ情報をそこへ送信します。以下のフローチャートは、コマンドサーバーアドレスの生成ルーチンです。

■Trojan.Hostsと感染サイト
2月の終わりから3月の初めにかけて、マルウェアの拡散を目的とした、webサイトに対する攻撃の急激な増加が記録されました。犯罪者達は、盗んだログインとパスワードを使ってFTP経由でwebサイトに接続し、.htaccessファイルを置き換え、コード内に悪意のあるスクリプトを埋め込みます。その結果、そのようなサイトを訪問したユーザーのコンピューターは様々なトロイの木馬に感染する危険に晒されます。この手法は特に、Trojan.Hosts プログラムの拡散に用いられることで知られています。このプログラムは%systemroot%/system32/drivers/hostsファイルを改変し、ブラウザが自動的にユーザーを悪意のあるページへとリダレクトするようにします。(例として、学生の課題を助けるためのサイトが挙げられます。このページを開いたユーザーは感染したwebサイトへとリダレクトされ、そのサイトからTrojan.Hostsや、その他の危険なアプリケーションがコンピューター上にダウンロードされます。

■Androidに対する脅威
2013年2月にはAndroidを狙った脅威も多く見られました。同月の初め、システム最適化ユーティリティとしてGoogle Play経由で拡散されていたトロイの木馬がAndroid.Claco.1.origin としてDr.Webウイルスデータベースに追加されました。デバイス上で起動されると、このトロイの木馬はコマンドに従ってSMSを送信する、指定されたwebサイトをロードする、ユーザーの個人情報(メモリーカードの中身、SMS、写真、アドレス帳の連絡先情報など)をリモートサーバーへアップロードすることが出来ます。しかしながら、Android.Claco.1.origin の最も目立った特徴は、リモートサーバーからデバイスのメモリーカード上に他のマルウェアをダウンロードするという機能にあります。それら悪意のあるプログラムはメモリーカード上からWindows PCを感染させることが出来ます。また、ダウンロードされたファイルには実行ファイル及びautorun.infファイルが含まれており、感染したメモリーカードがコンピューターに接続すると同時にマルウェアが自動的に起動されるようになっています。Windows Vista以降では、自動実行機能はデフォルトで無効になっているため、Android.Claco.1.origin によって深刻な被害を受けることはありません。

その他2月の注目すべきマルウェアには、改変されたアプリケーションに含まれ、中国のwebサイトを介して拡散されたAndroid.Damon.1.origin があります。Android.Damon.1.origin はリモートサーバーからのコマンドに従ってSMSを送信する、通話発信を行う、指定されたwebページをロードすることが出来ます。また、デバイス所有者の個人情報(アドレス帳の中身、通話履歴、GPS位置情報)をサーバーへ送信することも可能です。

また月全体を通して、Android.SmsSend マルウェアファミリーに属する新たな亜種のDr.Webウイルスデータベースへの追加がありました。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=612&lng=ja&c=2
Doctor Webは、広告プラットフォームであるAirPushから、Android.SmsSendトロイの木馬が拡散されていることについてユーザーの皆様に警告します。AirPushは、作成したアプリケーションの収益化を図る目的で多くのデベロッパーに利用されています。このプラットフォームに、ユーザーに対して故意に誤解を抱かせ、悪意のあるソフトウェアをダウンロードさせるメッセージが表示されていました。

Doctor Webウイルスラボでは、Dr.Web for Android によってGooglePlay_install.apk アプリケーション内でAndroid.SmsSend.315.origin トロイの木馬が検出されるという誤検知に関するユーザーからの報告がしばしば記録されていました。この問題について検証した結果、ウイルスアナリストによって、検出結果の正当性が確認されました。このプログラムは、ショートナンバーへ有料SMSを送信することで無料アプリケーションの入手に対して課金する、偽のインストーラーでした。しかし、その後も同様の報告は後を絶たず、調査の結果、このトロイの木馬を拡散させているソースの1つが明らかになりました。それが、広告システムAirPushです。

Android向けゲームやアプリケーションの多くは無料であることは、よく知られています。しかし、開発にかかった費用と時間に見合った収益を得るために、それらプログラム内にネットワークコードを埋め込み、ユーザーに対して広告を表示する特別なシステムを利用するデベロッパーも少なくありません。広告プラットフォームAirPushは、そのようなシステムの1つです。このシステムの典型的な動作アルゴリズムは、アプリケーション内に広告を表示させるというものですが、このモジュールの中には、その起動前にプログラム内で別のダイアログウィンドウを開くことの出来るバージョンが存在します。この場合、ダイアログ内には任意のコンテンツを含むことが出来、この拡散方法を選択した犯罪者にとって有利なものとなります。

こうして開かれたAirPushモジュールのダイアログウィンドウには、ユーザーに対してAndroid OSのアップデートをダウンロードするよう促す内容が表示されることがあります。モバイルデバイスの動作や機能に慣れていないユーザーは、このメッセージをOSからの「公式」メッセージであると簡単に信じてしまう可能性があります。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=611&lng=ja&c=2
中国によるアメリカへの「サイバー攻撃」問題により、これまで以上に世界中の企業でセキュリティ対策が重要視されている。しかし、サイバー攻撃で狙われる可能性があるのは、大きな組織だけではない。高い技術力を持つ日本の中小企業も警戒する必要があるのだ。

セキュリティ対策を専門に行なう、ラック社の広報担当、飯村正彦氏はこう語る。

「以前、東京都内の町工場から、熟練職人が作った設計図面のデータがすべて盗まれたという事案を耳にしました。設計データを盗めば、技術も、品質も、それがもたらす経済効果も、すべて盗んだのと同じことを意味します。世界的に開放されたマーケットの中で、日本企業が莫大な投資と技術の蓄積によって生み出した製品とまったく同じ機能を持った製品を、技術情報を盗んだ海外の企業が廉価で売りまくる。その一方で本来、世界にはばたくはずだった日本の企業は次々と潰されていく......ということにもなりかねません」

このケースが中国発と特定されたわけではないが、あらゆるコピー製品を生み出している中国の現状を考えると、同じような事例は山ほどあると見て間違いない。

さらに、技術や情報のみならず「人材」までも、サイバー攻撃を利用して流出させられているという。飯村氏が続ける。

「企業の人事情報をウイルスなどで盗み取り、そこから高い技術力を持つ職人、定年退職や早期退職間近のエンジニアなどをピックアップして、自国企業に引き抜く。中国や韓国のメーカーに日本の優秀な技術者が流出するケースが増えていますが、その背景にサイバー攻撃があった可能性も十分に考えられます」

われわれ一般市民だってサイバー攻撃とは無関係ではない。そのツールとなるのが、昨年爆発的な勢いで利用者が増えたスマートフォンだ。

例えば、1000円で売られている人気のゲームアプリをダウンロードし、「ある一定の日時に、自動的に110番通報させる」時限爆弾のようなウイルスを仕込む。それを閲覧者が多いネット掲示板などに「無料で差し上げます」とアップしたら......。

陸上自衛隊システム防護隊の初代隊長で、現在はラック社のサイバーセキュリティ研究所で所長を務める伊東寛氏はこう警告する。

「1万人のスマホユーザーがそのアプリをダウンロードし、同時にウイルスが作動したら、警察の指令室はパニックに陥ります。どれが本当の110番通報かわからず、パトカーを出動させることもできない。交換機もコンピューターで管理されているので、いずれシステムダウンを起こす。そのとき、街はいったいどうなっているでしょうか?」

その日時をあらかじめ知っている者にとっては、やりたい放題の無法地帯になるということだ。

国家や公的機関だけでなく、民間企業、果ては個人まで否応なく巻き込まれる「世界サイバー戦争」。その火ぶたは、すでに切られている。

【ニュースソース】Yahoo!ニュース
http://zasshi.news.yahoo.co.jp/article?a=20130319-00000813-playboyz-soci
~約1,800万人が利用する「Yahoo!メール」に3月21日より導入~
 トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、以下
トレンドマイクロ)は、ヤフー株式会社(本社:東京都港区、代表取締役社長:宮坂 学、以下Yahoo! JAPAN)が運営するメールサービス「Yahoo!メール」に、トレンドマイクロのスパムメール(迷惑メール)対策技術「Trend Micro Highly Scalable Anti-Spam Solution」が採用されたことをお知らせいたします。

 Yahoo! JAPANが運営するメールサービス「Yahoo!メール」のシステムにトレンドマイクロのスパムメール対策技術「Trend Micro Highly Scalable Anti-Spam Solution」を3月21日より、約1,800万の「Yahoo!メール」ユーザ向けに導入します。これにより、「Yahoo!メール」ユーザは、特別な申し込みや追加料金を必要とせずに、効果的なスパムメール対策機能を利用できるようになります。

 トレンドマイクロは、Yahoo! JAPANが運営するスマートフォン向けアプリ配信サイト「Yahoo!マーケット」においても、トレンドマイクロのAndroid™端末向けセキュリティ製品「ウイルスバスター モバイル for Android」の販売で協業しています。トレンドマイクロは、ユーザの安心・安全なデジタルライフを実現するため、今後も幅広いセキュリティ分野でYahoo! JAPANと協業を深めて参ります。

◆「Trend Micro Highly Scalable Anti-Spam Solution」について:
 「Trend Micro Highly Scalable Anti-Spam Solution」は、メールサービス事業者様にとって重要な安定的スループットを実現した大規模環境向けトレンドマイクロのスパムメール対策技術です。メール本文内のキーワードや、フィッシング詐欺サイト・不正プログラム配布サイトなどの不正なURLによる検知のほか、画像スパムを検知する独自技術によりスパムメール判定を行います。検知されたスパムメールサンプルは、トレンドマイクロが分析し、トレンドマイクロのクラウド型セキュリティインフラ「Trend Micro Smart Protection Network」のデータベースに反映※1します。トレンドマイクロは、常に最新に保たれているクラウド上のインフラからリアルタイムでセキュリティを提供することで、最新の脅威からユーザを保護します。

※1 検知されたスパムメールは、メール送受信に関する情報のうち送信元メールアドレス以外の情報は削除するなど、「Yahoo!メール」ユーザの個人情報に配慮した形でトレンドマイクロに情報共有されます。

【ニュースソース】トレンドマイクロ
http://jp.trendmicro.com/jp/about/news/pr/article/20130315003316.html
トレンドマイクロは3月15日、同社ブログで、「個人情報とオンラインの詐欺ビジネス 」と題する記事を公開しました。サイバー犯罪者が利用するビジネスモデルや、ユーザはどのようにしてそうした策略から身を守ることができるかについて説明した内容となっています。

ブログ記事によると、サイバー犯罪者のビジネスモデルは、まず「顧客(※犯罪者からみた顧客であり、一般的には被害者)の獲得」と「維持」に専念し、その上で「(犯罪者間の)紹介」を介してさらなる顧客獲得に向かうという意味では、典型的なビジネスモデルと類似しているとしています。トレンドマイクロは、サイバー犯罪の事例においてこの種のビジネスモデルが何度も利用され、2013年も普及し続けていることを確認しています。また、今後も数年にわたりこの種の「ビジネス活動」が展開され続けていくと考察しています。

また個人情報の収集過程については、「不正プログラムに感染したコンピュータ」「サイバー犯罪者が狙いを定めた企業」などさまざまな情報元があるとし、ユーザが、自身の個人情報の公開範囲について注意を払うべきだとしています。

すでに攻撃にさらされた個人情報をユーザ自身だけで守ることは困難ですが、「信頼できるショッピングサイトを利用する」「SSL / TLS接続を使用しているサイトで買い物をする」「"一時的"なクレジットカード番号を使用する」「ホストベースのセキュリティソフトをインストールする」「サービスの提供者側に問い合わせる」「個人情報を投稿しない」「直感を信じる」「認証情報を確認する」といった基本的な注意事項に従うことで、ユーザ自身の個人情報を安全に保つことができると述べています。

【ニュースソース】トレンドマイクロ
http://is702.jp/news/1316/partner/101_g/
環境省のインターネットのサイトが改ざん、閲覧した人がウイルス感染した可能性があることがわかった。

改ざんされていたのは、家庭のCO2(二酸化炭素、2は下つき文字)排出量がわかる「CO2みえ~るツール」という環境省のサイトで、3月3日から15日まで、閲覧した人が別のサイトに誘導され、ウイルス感染した可能性があるという。

この間の閲覧回数は、884回にのぼっているという。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/videonews/fnn?a=20130318-00000385-fnn-soci
Doctor Webは、Trojan.Hostsマルウェアをコンピューター上にダウンロードさせる、感染したwebサイトの増加についてユーザーの皆様に警告します。2013年の初めに、この脅威の大規模な拡散が認められ、その現象は1月から2月の半ばにピークに達し、24時間につき9,500台ものコンピューター感染が記録されていました。3月現在、Trojan.Hostsは1日に約8,000台のコンピューターを感染させています。

犯罪者達は、盗んだログインとパスワードを使ってFTP経由でサーバーに接続し、シェルをアップロードします。次に、そのシェルを使用して.htaccessファイルを改変し、webページ内に悪意のあるスクリプトを埋め込みます。

その結果、ユーザーがサイトを訪問すると、様々な悪意のあるアプリケーションへのリンクを含んだwebページがスクリプトによって表示されます。Trojan.Hostsファミリーは、主にこの手法を用いて広く拡散されるようになってきています。

ただし、このファミリーに属するトロイの木馬は他の方法によっても拡散されます。Trojan.Hostsに感染したシステムのユーザーからの金銭詐取に成功することでサイバー犯罪者から報酬を得ることの出来るアフィリエイトプログラムが複数存在します。つまり、バックドアや悪意のあるダウンローダーの力を借りて、これらのトロイの木馬をコンピューターに侵入させるという手法です。

Trojan.Hostsプログラムは、ホスト名のIPアドレスへのマッピングに使用される、Windowsシステムディレクトリ内のhostsファイルを改変するという点に注意してください。その結果、ポピュラーなサイトを訪問しようとしたユーザーは、犯罪者の作成したwebページへとリダレクトされるようになります。

この脅威の大規模な拡散は2013年の初めに認められ、その現象は1月から2月の半ばにピークに達し、24時間につき9,500台ものコンピューター感染が記録されていました。3月初旬には1日に感染するコンピューター台数に僅かな減少が見られ、例えば、3月11日の感染数は7,658台のみとなっています(この数字は、感染したコンピューター上でトロイの木馬がhostsファイルを改変した件数を表しています)。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=610&lng=ja&c=2
 株式会社カスペルスキーは14日、PC内のウイルス・脆弱性の有無をチェックする無償ソフト「カスペルスキー セキュリティ スキャン」の提供を開始した。Windows 8/7/Vista/XPに対応しており、同社サイトよりダウンロードできる。他社製のウイルス対策ソフトとの共存も可能だとしている。

 スキャン機能は、システムメモリやPCの起動時に自動実行されるオブジェクト/ファイルなど、攻撃に悪用されやすい領域のみをチェックする「クイックスキャン」と、リムーバブルメディアやHDDを含むPCの全領域をチェックする「フルスキャン」がある。

 フルスキャンでは、3段階のスキャンが実行される。まず、PCにウイルス対策ソフトやファイアウォールがインストールされているかどうか、ウイルス対策ソフトが最新の状態にアップデートされ、有効になっているかどうかをチェック。続いて、ウイルス、トロイの木馬、ワーム、その他の悪意のあるプログラムといった既知のマルウェアがPC内に存在するかどうかチェックする。最後に、ソフトの脆弱性などマルウェア以外のセキュリティ上の問題がないかチェックする。

 カスペルスキーによると、マルウェアのチェックには製品版と同じ定義データベースを使用しており、複雑なルートキットを除いて既知のマルウェアはすべて検知されるという。また、Kaspersky Labのクラウド上のサーバーからリアルタイムに情報を入手するため、最新ウイルスや新しい脅威も検知できるとしている。

 なお、スキャン実行後は、見つかった脅威と検知された場所、脆弱性についてのレポートが提供されるが、それらの脅威を駆除したり、セキュリティ上の問題を修正する機能はない。PCを継続的に保護するためには、「カスペルスキー マルチプラットフォーム セキュリティ」などの同社製品または他社セキュリティソフトを使用する必要がある。すでにそうした製品を使用している場合ならば、"セカンドオピニオン"や"ダブルチェック"といった目的でカスペルスキー セキュリティ スキャンを使用するかたちとなる。

ダウンロードページ
http://www.kaspersky.co.jp/security-scan

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130314_591824.html
マカフィーは3月13日、ホワイトリスト型のAndroidベースの組み込みシステム向けセキュリティソリューション「McAfee Embedded Control (マカフィー エンベデッド コントロール)」の提供を開始した。

同ソリューションは、Androidのカーネルに組み込むことができるセキュリティソリューション。OSに内蔵するかたちでとなるため、Androidベースの端末に対する悪意あるアプリケーションのインストールや実行を防ぐことができる。

同社では、Androidのセキュリティアプリケーションはこれまで、ユーザーレベルのみで機能し、端末がシステムレベルの攻撃を受けやすい状態にあったと指摘。OS内蔵型であるMcAfee Embedded Control提供することでこのセキュリティのギャップを埋め、Androidスタック全体を保護することができるとしている。

またMcAfee Embedded Controlでは、未承認のアプリケーションをブロックするほか、小売業の端末や医療端末、工業用制御システム、事務機器、ゲーム端末、車載端末、航空宇宙・防衛業界向け端末など、固定機能のあるPOSインフラが不正にファイルなどを変更されるのを防止することができる。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130314-00000012-mycomj-sci
マカフィー株式会社は3月12日、2013年2月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、2月も「Blackhole」や「RedKit」といった脆弱性を悪用したドライブ・バイ・ダウンロード攻撃とそれらに関係する脅威がランクインしている。これらは不正なJavaScriptによるリダイレクトなどを経由して、JREやAdobe Reader、Flash Playerなどの脆弱性が悪用され、最終的にさまざまなトロイの木馬に感染する。

このうち、JREの脆弱性攻撃はもっとも活発であり、今年入って発見されたCVE-2013-0422やCVE-2013-0431をはじめとして、昨年の脆弱性CVE-2012-1723、CVE-2012-0507が非常に多く使われている。また、Flash Payerの新たな脆弱性CVE-2013-0633やCVE-2013-0634も悪用されている。これらのドライブ・バイ・ダウンロード攻撃で感染するのは、主に偽セキュリティソフトウェア(会社検知数5位)や、高度なルートキット機能をもつバックドアの「ZeroAccess」(同7位)、ランクインしていないが金融機関の認証情報を盗む「Zeus」などであり、同社では脆弱性対策を実施するよう呼びかけている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130313-00000004-scan-sci
 トレンドマイクロ株式会社は13日、同社が解析している約200万個のAndroid向けアプリのうち、29万3091個が「明らかに悪意のあるアプリ」として分類され、さらにそのうちの15万203個が「高リスク」に分類されたとの報告をとりまとめた。Windowsでは、不正なコードの数が15万個に達するまでに14年の年月を要したとしており、Android向けの不正なアプリが急増している様子が伺える。

 トレンドマイクロによれば、明らかに悪意のあるアプリに分類された29万3091個のうち、23%に相当する6万8740個がGoogle Play上で直接提供されていた。「これら不正アプリが提供されたのは、中国やロシアのアプリストアのみではない」。

 また、トレンドマイクロが解析したアプリの23%は、ネットワークやショートメッセージサービス(SMS)、電話を介して、ユーザーの情報を不適切に流出させていたと説明。多くの場合、流出した情報には端末識別番号(IMEI)やSIMカードの固有番号(ICCID)、連絡先情報、電話番号が含まれていた。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130313_591538.html
 米Adobe Systemsは12日、Flash PlayerとAdobe AIRのセキュリティアップデートを公開した。複数の脆弱性を修正したとしており、ユーザーに対して最新バージョンへのアップデートを推奨している。

 今回公開されたFlash Playerの最新バージョンは、Windows版/Mac版が「11.6.602.180」、Linux版が「11.2.202.275」、Android 4.x版が「11.1.115.48」、Android 3.x/2.x版が「11.1.111.44」となっている。

 また、システムなどの都合で最新のバージョン11.x系列へアップデートできないユーザー向けに、1つ前の10.x系列で脆弱性を修正したバージョン「10.3.183.68」のWindows版/Mac版/Linux版も用意している。

 Flash Playerをブラウザーと統合して提供しているWindows版/Mac版/Linux版のGoogle Chromeと、WindowsのInternet Explorer 10では、それぞれブラウザーが最新バージョンにアップデートされることでFlash Playerも最新バージョンの「11.6.602.180」にアップデートされる。

 Adobe AIRは、Windows版/Mac版/Android版、SDKなどを含めて、バージョン「3.6.0.6090」が最新となる。

 修正した脆弱性は、「CVE-2013-0646」「CVE-2013-0650」「CVE-2013-1371」「CVE-2013-1375」の4件で、いずれもコードの実行につながる恐れがあるもの。遠隔の攻撃者が細工を施したコンテンツをユーザーに開かせることで、Flash Playerを不正終了させたり、任意のコードを実行させたりする可能性がある。危険度のレーティングは、4段階中で最も高い"Critical"。

 また、アップデートを適用する優先度については、Windows版のFlash Playerのみが3段階中で最も高い"Priority 1"となっている。これは、「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を修正するもので、「直ちに(例えば72時間以内)適用すること」が推奨されている。

 Mac版のFlash Playerは2番目の"Priority 2"、Linux版/Android版のFlash Playerと、Adobe AIRは一番下の"Priority 3"となっている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130313_591564.html
 日本マイクロソフト株式会社は13日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が4件、2番目に高い"重要"が3件。

 最大深刻度が"緊急"のセキュリティ情報は、Internet Explorer(IE)に関する「MS13-021」、Silverlightに関する「MS13-022」、Visioに関する「MS13-023」、SharePointに関する「MS13-024」の4件。

 MS13-021は、IEに関する9件の脆弱性を修正する。影響を受けるソフトはIE 10/9/8/7/6。ただし、2月26日に公開されたWindows 7およびWindows Server 2008 R2向けのIE 10については、既に脆弱性は修正済みとなっているため、今回の修正パッチの対象とはならない。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、コードを実行させられる可能性がある。

 MS13-022は、Sliverlight 5に関する1件の脆弱性を修正する。Windows版、Mac版ともに影響がある。脆弱性が悪用された場合、特別に細工されたSilverlightアプリケーションを含むウェブページを表示した際に、コードを実行させられる可能性がある。

 MS13-023は、Visioに関する1件の脆弱性を修正する。影響のあるソフトはVisio Viewer 2010、Visio 2010、Office Filter Pack。脆弱性を悪用された場合、特別に細工されたVisioファイルを開いた際に、コードを実行させられる可能性がある。ただし、悪用される危険性があるのはVisio Viewer 2010のみで、その他のソフトは同様のコンポーネントを使用しているため更新プログラムが提供される。

 MS13-024は、SharePointに関する4件の脆弱性を修正する。影響のあるソフトはSharePoint Server 2010、SharePoint Foundation 2010。脆弱性を悪用された場合、標的となるSharePointサイトにユーザーを誘導したり、特別に細工されたURLをユーザーがクリックした場合、特権が昇格される可能性がある。

 最大深刻度が"重要"のセキュリティ情報は、OneNote関連の「MS13-025」、Outlook for Mac関連の「MS13-026」、カーネルモードドライバー関連の「MS13-027」の3件。

 企業などで修正パッチの適用に優先付けが必要な場合には、最大深刻度が"緊急"の「MS13-021」「MS13-022」と、最大深刻度は"重要"だが悪用が容易と考えられる「MS13-027」の計3件を最優先で適用することが推奨されている。

【ニュースソース】InternetWatch
 マカフィーは3月12日、2月度のサイバー脅威状況について発表した。リムーバブルメディア経由で感染するワームの検知数が増加傾向にあり、注意を呼び掛けている。

 それによると、2月は「Blackhole」や「RedKit」と呼ばれる脆弱性を悪用するウイルスの「ドライブ・バイ・ダウンロード」攻撃とそれらに関係する脅威が目立った。これらは、Java Runtime Environment(JRE)やAdobe Reader、Flash Playerなどの脆弱性を悪用してコンピュータに感染。最終的に、偽セキュリティソフトや高度なルートキット機能をもつバックドア「ZeroAccess」、主にオンラインバンキング情報を盗む「Zeus」といったトロイの木馬に感染させようとする。

 リムーバブルメディア経由で感染するワーム「Generic!atr」や「Generic Autorun!inf.g」も多数検知された。最近ではフォルダ偽装するタイプが非常に多いといい、フォルダ型のアイコンをもつ実行ファイルながら、感染すると自身を既存のフォルダと同じ名前をもつ実行ファイルとしてコピーし、さらに、その既存のフォルダを秘匿する。感染したコンピュータでユーザーがフォルダを開くつもりでアクセスすると、ワームが実行されてしまう。

 フォルダ以外にもショートカットに偽造するタイプが存在するほか、従来の「autorun.inf」だけを使う種類も数は減ってはいないという。また、PUP(不審なプログラム)では大きな変化はみられないものの、インターネットからダウンロードするフリーウェアなどに付加されていることが多く、フリーウェアの利用には十分な注意が必要だとしている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130312-00000027-zdn_ep-sci
 独立行政法人情報処理推進機構(IPA)は12日、ウイルスやサイバー攻撃に関する最新事例をまとめた文書「2013年版 10大脅威 身近に忍び寄る脅威」を公開した。全52ページのPDFとなっており、無料でダウンロードできる。

 セキュリティ分野の研究者や実務担当者(合計117名)からなる「10大脅威執筆者会」が2005年以降、毎年公開しているもの。2001年から2012年までのセキュリティの変化を振り返るとともに、社会に影響を与えた脅威をランキング形式で紹介している。ランキングは、10大脅威執筆者会による投票で決定した。

 脅威ランキング1位は「クライアントソフトの脆弱性を突いた攻撃」で、システム内の情報が詐取される被害の可能性があると説明。2位は「標的型諜報攻撃の脅威」で、政府や宇宙航空産業への攻撃があり、機密情報流出が疑われている。3位は「スマートデバイスを狙った悪意あるアプリの横行」で、不正アプリによる電話帳情報の詐取などがあった。

 4位は「ウイルスを使った遠隔操作」、5位は「金銭窃取を目的としたウイルスの横行」、6位は「予期せぬ業務停止」、7位は「ウェブサイトを狙った攻撃」、8位は「パスワード流出の脅威」、9位は「内部犯行」、10位は「フィッシング詐欺」だった。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130312_591459.html

 EMCのセキュリティ部門RSA Securityは3月12日、月例セキュリティレポートを通じて、POS端末からクレジットカード情報などを盗み出す新たなマルウェア「vSkimmer」の開発がアンダーグラウンドで進んでいると報告した。昨年後半に欧米など約40カ国で感染が広がったマルウェア「Dexter」に代わる脅威になるとの見方を示す。

 Dexterは、WindowsベースのPOSシステムに感染するマルウェアで、クレジットカードの磁気ストライプ情報を盗み出すのが特徴。従来は犯罪者が直接POS端末にマルウェアを侵入させるなど手間があったが、Dexterではインターネット経由で感染させることができてしまうという。

 RSAによれば、Dexterは犯罪者が手軽に攻撃を仕掛けられる点が「人気」だったものの、アンダーグラウンドで流通しなかった点が「不満」になっていた。これを受けて「vSkimmer」が登場。既にスターターキットに6000ドルで販売され、メッセンジャーを使った有償サポートも半年間1000ドルで提供される準備が進んでいる。

 vSkimmerは、現時点でDexterほど多様な情報を盗めないものの、機能拡張のための開発が進んでいるという。RSAは、決定からはや2年以上経過した「PCIDSS 2.0」などの情報セキュリティ基準ではPOS端末に対するマルウェア感染の脅威を明示的な脅威として取り上げていないため、対策に漏れが生じる恐れがあると警告している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130312-00000054-zdn_ep-sci
 米Appleは、iOS向けのアプリケーションストア「App Store」で、GoogleのエンジニアであるElie Bursztein氏などが報告していた脆弱性を修正した。

 8日にBursztein氏がブログで明らかにしたところによると、この問題はiOS端末とApp Storeとの間の通信が、一部暗号化されていなかったもの。これにより、公衆無線LANなどの環境からApp Storeに接続した場合、攻撃者によりパスワードを盗まれたり、中間者攻撃により別のアプリを購入させられる、アプリの偽アップデートが通知される、インストールしているアプリの一覧が漏えいするといった危険があったとしている。

 AppleではApp Storeのサーバーについて、デフォルトでHTTPSで通信するように変更。Bursztein氏はこの問題を2012年7月にAppleに報告しており、今回修正されたことを嬉しく思うとコメントしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130311_591251.html
マイクロソフトは3月8日、「マイクロソフト セキュリティ情報の事前通知 - 2013 年 3 月」を公開しました。3月13日に公開が予定されているセキュリティ情報の事前通知となります。

今回公開されたのは全7件で、最も深刻度が高い「緊急」レベルの情報が4件含まれています。残り3件は「重要」に分類されています。

今回「緊急」レベルに分類された情報は、Microsoft Windows、Internet Explorer、Microsoft Silverlight、Microsoft Office、Microsoftサーバーソフトウェアの脆弱性に関するものです。これらの脆弱性が悪用されると、リモートでコードが実行される可能性(Microsoft Windows、Internet Explorer、Microsoft Silverlight、Microsoft Office)および特権が昇格する可能性(Microsoft Office、Microsoftサーバーソフトウェア)があるとのことです。

なお「重要」レベルに分類された脆弱性は、情報漏えい(Microsoft Office)が2つ、特権の昇格(Microsoft Windows)が1つとなっています。

Windowsの自動更新機能を有効にしていれば、自動的に更新プログラムが適用されますが、更新後にはパソコンの再起動が必要になるものが含まれています。

マイクロソフトでは、公開したセキュリティ更新プログラムの概要を、説明用スライドと音声で解説する日本語Webcast情報も3月13日午後に配信する予定です。

【ニュースソース】トレンドマイクロ
http://is702.jp/news/1309/partner/12_t/
チェック・ポイント・ソフトウェア・テクノロジーズは3月8日、未知の脅威やゼロデイ攻撃および標的型攻撃から組織を保護する新たなSoftware Blade製品として、「Threat Emulation Software Blade」を発表した。

Software Bladeは、セキュリティ機能がハードウェアと別に、個々に独立したモジュール型の論理セキュリティ・ビルディング・ブロックで提供され、ユーザーは必要な機能をアプライアンスに個別に導入できる。

導入できるハードウェアは、チェック・ポイントのUTM-1アプライアンスとPower-1アプライアンス、IP Appliance、オープン・サーバ、仮想化環境内など。

Threat Emulation Software Bladeは、不審なファイルを発見後、直ちに実行をエミュレートして不正活動の有無を確認し、ネットワークへの侵入を試みるマルウェアを遮断する。

チェック・ポイント・ソフトウェア・テクノロジーズ 代表取締役社長 藤岡健氏は、「お客様のもっとも大きな課題は、まったく知らない新種のマルウェアをどう防御していくかだ。Threat Emulation Software Bladeは、これを解消する製品だ」と説明。

Threat Emulation Software Bladeでは、まず、8割をファイル内にスクリプトが含まれているか、含まれている場合、どのようなコードが書かれているかといった静的な情報で判断し、実際にエミュレートされるのは残りの2割程度だという。エミュレートはTreat Emulationのサンドボックス内で実行し、不自然なシステム・レジストリ変更やネットワーク接続の確立、システム・プロセスの登録といった活動がないかを分析・監視する。そして、マルウェアだと判断されると、ゲートウェイでブロック。この情報が同社のThreatCloudに報告され、他の顧客のゲートウェイに報告される。

また、未知のマルウェアが既知のものに変化した場合は、以降はIPS側でブロックされるようになるという。

Threat Emulation Software Bladeは、ユーザ環境の要件に合わせ、専用アプライアンスまたはクラウド・サービスのどちらかを選択、導入することができる。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130308-00000083-mycomj-sci
 日本マイクロソフト株式会社は、3月13日に公開を予定しているセキュリティ更新プログラム(修正パッチ)の事前情報を公開した。今回は計7件で、脆弱性の最大深刻度は、4段階で最も高い"緊急"が4件、2番目に高い"重要"が3件。

 "緊急"の4件は、Internet Explorer、Silverlight(Windows版およびMac版)、Visio、SharePoint Server/SharePoint Foundationなどに影響があるもの。"重要"の3件は、OneNote、Mac版Office、Windowsに影響があるものとなっている。

 マイクロソフトではあわせて、「悪意のあるソフトウェアの削除ツール」もアップデートする予定。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130308_590975.html
IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンの不正アプリについて、その実態と注意喚起を行っている。今回は、公式マーケットに登録される不正アプリについての注意喚起だ。

○不正なアプリの実態にせまる

IPAでは、公式マーケットに登録された不正アプリを検出した。この不正アプリは、現時点では削除されたが、50万回以上もダウンロードされた。この不正アプリを使用すると、位置情報やメールアドレスなどが流出する。もちろん、流出した情報が悪用される危険性は、十分考えられる。では、その不正アプリを見ていこう。まずは、アプリの紹介画面である。

アプリ名は「ポルノセクシーなモデルの壁紙」と、興味をひかせるものとなっている。さらに、評価も高く、レビュー数も多い。そして、ダウンロード数は50万回を超えていることがわかる。一般的に、多くのユーザーが利用し、評価の高いアプリは安全であると考えられている。しかし、この考えを逆手にとった手口といえよう。こうなると、評価やダウンロード数を確認するといった防御策も有効とはいえなくなりつつある。そして、この不正アプリのインストールを行おうとすると、図2のように必要となるアクセス権限などが表示される。

ここで注目したいのは、端末情報の読み取りなどを行うことである。壁紙を表示するだけのアプリに必要な機能ではない。こういった、不自然な権限の要求にまずもって注意すべきと、IPAでは注意喚起している。こうしてインストールすると、図3となる。

この動作はごく普通であり、アイコンをタップすると、実際に壁紙が表示される(図4)。

こうして壁紙は表示されるが、この段階でメールアドレスや位置情報などの内容を窃取し、外部の送信しようとする。IPAで試したところ「Connecting ...」と表示され、外部と通信を行おうとするが、接続に失敗し「Connection error」というメッセージが複数回表示されたとのことである。IPAでは、外部に送信しようとした内容を分析したところ、図5のような、内容であった。

メールアドレス、端末識別番号、位置情報が、POSTメソッドにより送信されようとしている。

○より本物に見せかける?

さて、同様な不正アプリについて、IPAでは何度も取り上げている。2012年5月に取り上げた不正アプリでは、有名なアプリ名などを悪用した。これらの不正アプリは動画を使い、壁紙と似たような仕組みである。IPAでは、今回のアプリについて「壁紙を表示させる機能はあるものの、実際には端末情報などを窃取するための不正なアプリ」としている。今後、同様な手法を使うことが予想される。

その一方で、2012年9月に取り上げた不正アプリでは、一見、便利そうな機能を謳うが実際にはまったく動作しなかった。これについて、IPAでは、紹介通りの機能を実現することで、不正なアプリと類推されにくくしていると分析している。

○対策はアクセス権限の確認を

図1のように、ダウンロード数や評価が高いと、不正アプリと疑うことは非常に難しい。また、今回の事例のようにGoogle Playのような公式マーケットでも、不正アプリが登録されることが決して、めずらしくなくなっている。これらを踏まえ、IPAでは、以下をあげている。

・アプリをインストールする前に、アクセス許可を確認
・信頼できる公式アプリマーケットからアプリをインストール
・セキュリティ対策ソフトを導入

2番目であるが、IPAでは、各携帯電話会社が運営するマーケットを利用することを推奨している。これらのマーケットでは、運営者により独自のチェックを行っているからである。と同時に、インストール時のアクセス許可の確認が重要となる。3番目のセキュリティ対策ソフトの導入であるが、不正なアプリの検知だけではなく、アクセス許可の内容をチェックするものもある。こういった機能を活用し、不正アプリを発見することもできる可能性もある。

最後に、こうしてメールアドレスを詐取されてしまった場合、このアドレスはAndroid OSのスマートフォンを初期設定する際に必要となるGoogleアカウントである。スパム対策などで変更したいと思っても、端末の初期化が必要となり、簡単ではないとIPAは警告する。盗まれてからでは、対策が困難になる可能性もある。くれぐれも注意してほしい。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130306-00000169-mycomj-sci
 日本のジャーナリストを標的としたマルウェア攻撃について報告していた米セキュリティ企業のSeculertが、このマルウェアと中国との関係をうかがわせる分析結果を3月5日のブログで方向した。

 日本などを狙ったマルウェア攻撃はSeculertが2月に伝えていたもので、米セキュリティ企業Mandiantの報告書に見せかけたファイルをメールに添付して、マルウェアに感染させる手口が使われていた。

 Seculertがこの攻撃についてさらに分析した結果、このマルウェアは日本の正規のWebサイトと通信する機能を持つ一方で、別のドメインと通信する機能も仕込まれていたことが分かったという。

 問題のドメインは「expires.ddn.dynssl.com」というアドレスで、無料の動的DNSサービスを使って登録され、普段は韓国にある「218.53.110.203」というIPアドレスのサーバにつながっている。ところが、「expires」の部分を除いて「ddn.dynssl.com」というアドレスにすると、中国・山東省の済南にある「123.234.29.35」というIPアドレスのサーバにつながる仕掛けになっていたという。

 Seculertによれば、済南はかつて米Googleなどを狙って発生した「Aurora攻撃」や、大規模な標的型攻撃の「Shady RAT」との関係が取り沙汰されるほか、米企業を狙ったサイバー攻撃への中国の関与を指摘したMandiantの報告書でも言及されているという。

 さらにこのマルウェアは、指定された期間のみ実行される「時限爆弾」方式になっていたことも判明。普段は日本の正規サイトと通信しているが、指定時刻の5日午前8時から午後7時の間は中国のドメインと通信する仕掛けになっていた。この時間の間に新たなマルウェアをダウンロードして実行し、新たな段階の標的型攻撃の実行に備える手口だという。

 問題のドメインは、動的DNSサービスプロバイダーによって「時限爆弾」が発動する前日の4日に中断されており、新たな攻撃開始には至らなかったとSeculertは伝えている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130306-00000002-zdn_ep-sci
トレンドマイクロ株式会社は3月5日、検出を逃れるために特定の手法を駆使する従来の不正プログラムの亜種や脅威である一連の事例について、2月中旬に報告を受けたとブログで公開している。2月7日に確認された「KELIHOS」の特定のバージョンでは、SleepEx関数を起動することで特定の時間は活動を停止し、自身の不正活動を停止しようとする自動検出を防いでいる。

また「TROJ_BANKER.JBR」は、米国のSSL認証局「DigiCert」によって発行された有効なデジタル証明書の悪用が確認された。この不正プログラムはPDFファイルを装っており、デジタル証明書が悪用されていた。さらに、32bit対応の不正プログラムに比べて検出がより困難な、64bit対応の不正プログラム「TROJ64_INSTOL.USR」も確認されている。

こういった事例から、不正プログラムの作成者は新たな脅威を拡散するのではなく、ツールをさらに改良するか、またはどのようにこれらの攻撃を行うかといったことに焦点を当てている。特にセキュリティ研究者やベンダが行っている対策を回避するための隠ぺい手口に特定の進展が見られるとしている。なお、この傾向は同社が2013年に発表した「2013年におけるセキュリティ予測」でも指摘されている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130305-00000002-scan-sci
 セキュリティソフトのライセンス更新通知を装い、ウイルスに感染させようとする手口が依然として使われているようだ。株式会社シマンテックによれば、以前からこの手法は確認されていたが、最近では国内の企業に同様のメールが送られてきているという。

 日本の電力会社や工業系大手企業に送られてきた例では、差出人をセキュリティソフトのメーカーに偽装し、「【重要:ウイルス更新期間間近です】」といった件名でメールを送り付け、添付したZIPファイルを開かせようとしていた。

  ZIPファイルには、Microsoft Wordのアイコンに偽装した「.doc.exe」という拡張子のファイルが含まれ、これを実行するとコンピューターに外部からの侵入を許すバックドア型のトロイの木馬に感染する。その後、コンピューターはコマンド&コントロールサーバーに接続し、情報を盗み出されるなど任意の攻撃を受ける恐れがある。

  さらに、何社かの航空会社に送られてきた別のメールでも、同じ送信元アドレスが使われていた点で、狙われたのは日本人だと見られると指摘。航空会社を標的にした関係で、攻撃者は電子メールに航空機関連の情報を盛り込む工夫も見られたが、「.doc.exe」を使う手口は同じだったとしている。

 「セキュリティソフトウェアを導入し、この手の電子メールがあまり受信ボックスに届かなくなると、かえってセキュリティ上の基本的な習慣を忘れてしまいがち。『天災は忘れた頃にやってくる』という諺を肝に銘じておくようにしましょう。」(シマンテック)

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130305_590407.html
 Googleは4日、ウェブブラウザー「Google Chrome」のアップデートとなるバージョン25.0.1364.152のWindows版とLinux版を公開した。Mac版については不具合修正のため、同バージョンを先行して1日に公開している。

 最新版では、計10件の脆弱性を修正。10件中6件は、脆弱性の危険度を4段階で上から2番目に高い"High"としている。

 また、モバイル版については、2月27日に公開したAndroid版(Chrome for Android)に続き、iOS版も最新版となるバージョン25.0.1364.86を公開。最新版では、「戻る」ボタンを長押しすることでタブ履歴にアクセスできる機能や、メッセージでウェブを共有する機能を追加。また、今後iOS版Chromeを使ってGoogleで検索した際には、検索キーワードをアドレスバーに表示するようになり、検索結果ページにはより多くの情報が表示されるようになるとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130305_590496.html
 米Oracleは4日、Javaの最新アップデートとなる「Java 7 Update 17」を公開した。

 Java 7 Update 17では、2件の脆弱性を修正。このうち1件の脆弱性については、既に攻撃に悪用されていることが確認されており、Oracleでは早急にアップデートを行うよう呼び掛けている。

 Oracleでは2月19日に「Java 7 Update 15」を公開しているが、新たな脆弱性が発見されたことで、再びアップデートを公開した。

 また、Java 6についても同様のアップデートとなる「Java 6 Update 43」を公開した。Appleも、Java 6をバンドルしているMac OS X 10.6向けに「Java for Mac OS X 10.6 Update 14」を公開した。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130305_590379.html
 チェコ共和国のAVAST Software a.s.は2月28日(現地時間)、無償マルウェア対策ソフト「アバスト! 無料アンチウイルス」の最新版v8.0.1482を正式公開した。最新版の主な変更点は、インストールされているソフトのアップデートをチェックして、アップデートを行える"ソフトウェア更新状況"機能が追加されたこと。

 "ソフトウェア更新状況"機能では、対応する有名ソフトの最新バージョンと現在インストールされているバージョンを比較し、インストールされているバージョンが古かった場合に警告を表示できる。また、一部のソフトは本ソフト上から直接アップデートを行ったり、最新版のダウンロードページを開けるほか、アップデート情報ページを表示可能。

 また、IEや「Firefox」「Google Chrome」にインストールされたツールバーなどをアンインストールできる"ブラウザ・クリーンアップ"機能が追加されている。"ブラウザ・クリーンアップ"機能は、単体のソフトとしても提供されており、本ソフト上からダウンロードして利用することも可能。

 さらに、ユーザーインターフェイスが一新され、Windows 8のスタートページを思わせるタイル状のデザインが採用されたほか、ウイルス対策機能のパフォーマンスと安定性や、"自動サンドボックス"機能の性能も向上した。そのほか、2月1日に公開されたベータ版では非対応だったWindows 8に対応している。

 本ソフトは、Windows XP/Vista/7/8および同64bit版に対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130305-00000024-impress-sci
Doctor Webは、Dr.Web for Android Light 7.0のアップデートを公表しました。今回のアップデートでは、製品動作に関して発見されたバグが修正されました。

ブラウザ経由でダウンロードされた悪意のあるファイルを検出しない場合があるという、SpIDer Guardファイルモニターのバグが修正されました。このバグは、Samsungデバイスの特定のモデル上でのみ発生していました。

Dr.Web for Android Lightのユーザーである場合、アップデートは自動的に実行されます。自動アップデートがデバイス上で無効になっている場合はGoogle Playに行き、アプリケーションリストからDr.Webアンチウイルスを選択して「アップデート」をタップしてください。

Dr.Webのサイトからアップデートを行う場合は、新しいディストリビューションファイルをダウンロードする必要があります。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=609&lng=ja&c=2
 日本のネットバンキング利用者もサイバー犯罪者に本格的に狙われ始めた――シマンテックは3月4日、報道機関向けの説明会で、金融機関やその利用者を狙ったマルウェア(バンキングトロイ)の動向や対策について解説した。2月に国内のオンラインバンキングサービス利用者を狙う攻撃も発生している。

 会見したセキュリティレスポンスの林薫氏によると、バンキングトロイが登場してから10年以上が経つ。最近では「Zeus」や「SpyEye」といった高度な機能をマルウェアが台頭し、さらには、これらマルウェアのソースコードが流出したことによって、多種多様な亜種が出回るようになった。

 攻撃の傾向は大きく2つに分かれ、1つは特定の地域や金融機関、利用者に絞り込んで実行される。もう一方は広範囲な地域や多数の金融機関、利用者を狙うケース。それによって使われるバンキングトロイも異なり、前者の場合は、英国の金融機関だけを狙う「SHYLOCK」、後者ではZeusやSpyEyeが代表的という。これまで頻繁に狙われるのは、国民1人あたりの資産が多い先進国であり、かつ、英語圏やスペイン語圏など人口の多い地域が主流だった。

 マルウェアに感染させる方法は、Webサイトに埋め込まれた不正サイトへのリンクを通じて閲覧者にマルウェアを送り付ける「ドライブバイダウンロード」と、メールのファイルや記載されたリンク経由が多い。バンキングトロイの持つ機能には、感染コンピュータに入力された情報やcookie、画面キャプチャなどを盗聴する機能、盗聴した情報を攻撃者サーバに送信する機能、攻撃者サーバから機能を拡張するプログラムをダウンロードして実行する機能、サービス利用中にブラウザの通信や処理内容を不正に改ざんするといった機能がある。

 林氏は、こうしたバンキングトロイの基本的な特徴は今でも通用してしまうために、大きな変化が無いと解説する。だが、例えば、セキュリティ対策ソフトなどに検出されにくくする、あるいは、セキュリティ対策会社に解析されにくくするための機能強化が図られている。攻撃の対象地域もアジアやアフリカ、中東など、これまで被害が少なかった地域に広がっているとのことだ。

 例えば、日本を狙う攻撃は2005年7月に「infostealer.Jginko」というアカウント情報を盗むマルウェアが出現。2011年5月にはSpyEyeの亜種で、日本語メッセージで情報を盗むものが登場した。今年2月に見つかったものはZeusの亜種で、5つの大手銀行のサービスを狙うように設計されていた。「攻撃者は、従来は日本の事情を探る程度だったが、攻撃先として本格的に狙い始めたかもしれない」(林氏)という。

 昨年に国内の多数のオンラインバンキングが狙われた攻撃ではバンキングトロイが、正規サイトの一部を改ざんして偽の画面をポップアップ表示したり、利用者が入力した送金情報を改ざんして犯罪者の口座に振り込ませるなどの手口が注目された。「オンラインバンキングの仕組みは金融機関ごとに異なるのでカスタマイズする必要があるものの、カスタマイズが簡単にできるツールが10~100ドルほどで売買されている」(同氏)

 バンキングトロイへの対策として、同社セールスエンジニアリング本部の谷村徹氏は、統合型セキュリティソフトや、企業ではネットワークに設置しているIPS(不正侵入防御)の活用を勧める。統合型セキュリティソフトには、パターンファイルによるマルウェア検出のほか、IPSやファイルの信頼性などの情報(レピュテーション)、プログラムの不審な挙動を監視する「ふるまい検知」などの機能を備える。機能単体ではマルウェアの侵入や行動を阻止できない場合があるものの、複数の対策機能を併用することで防御できる可能性を高めていける。

 またUA製品本部の坂尻浩孝氏は、サービスを提供する金融機関などにユーザー認証を強化する仕組みの活用を提案しているという。金融機関ではワンタイムパスワードや乱数表といった複数の認証手段を採用しているが、これら以外にもインターネット回線とは異なる携帯電話のショートメッセージでワンタイムパスワードを送信する方法や電子証明書を利用した認証などがある。

 林氏によれば、2月に見つかった攻撃ではマルウェアがどのようにコンピュータに感染したかは不明であるものの、コンピュータにインストールされているセキュリティソフトがマルウェアの不正な通信を検知したことで、感染が分かったという。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130304-00000062-zdn_ep-sci
 2012年4月、スマートフォン(Android OS)アプリの公式マーケットであるGoogle Playから、端末情報や電話帳の中身を外部サーバーに送信するなど、不審な動きをする不正なアプリが多数発見され問題となりました。そのほとんどが「(商標などを含む単語) the Movie」という名称のもので、当時7万回以上ダウンロードされていました。

 このたびIPAでは、同じAndroid OS向けの公式マーケットから、50万回以上もダウンロードされていた不正なアプリを発見しました。その不正なアプリには、個人的嗜好をくすぐるようなアイコンやキーワードが含まれていました。この不正なアプリを実行することで、スマートフォン内の位置情報やメールアドレスなどの情報が外部に送信されてしまうことを確認しています。流出した情報が必ずしも悪用されるとは限りませんが、当然、悪質な行為に利用される危険性はありますので、インストールするべきではありません。

 IPAは、Google Playから「ポルノセクシーなモデルの壁紙」という不正なアプリを入手し、解析しました。なお、これはかつてGoogle Playで無料公開されていましたが、現在は削除されています。

【ニュースソース】IPA
http://www.ipa.go.jp/security/txt/2013/03outline.html
感染するLinux Webサーバー数の増加を受けて、Doctor Webは独自の調査に乗り出しました。その結果、Dr.Web によってLinux.Sshdkitと名付けられたトロイの木馬が、Linuxサーバー上のパスワードを盗む手段の1つとして用いられていることが明らかになりました。

このマルウェアはLinuxディストリビューションの32bit版および64bit版で利用可能なライブラリファイルです。このトロイの木馬の拡散方法については未だ明らかになっていませんが、深刻な脆弱性を悪用して、攻撃対象となるサーバー上にインストールされていると考えられます。Doctor Webに知られているLinux.Sshdkitの最新バージョンは1.2.1で、一方、古いバージョンの1つである1.0.3は長い間拡散され続けています。

インストールされると、このトロイの木馬は自身のコードをsshdプロセスに挿入し、このプロセスの認証ルーチンを使用します。セッションが開始され、ユーザーがログインとパスワードを入力すると、それらがトロイの木馬によってUDPプロトコル経由でリモートサーバーへ送信されます。コントロールサーバーのIPはマルウェア内にハードコード化されていますが、Linux.Sshdkitは特殊なアルゴリズムを使用して1日置きに新しいコマンドサーバーアドレスを生成します。

このアルゴリズムによって、Linux.SshdkitはDNS名を2つ生成します。これらのDNS名が同一のIPアドレスを参照している場合は別のIPに変更し、盗んだ情報をそこに送信します。以下のフローチャートは、コマンドサーバーアドレスの生成ルーチンです。

Doctor Webアナリストはシンクホール手法を使用してLinux.Sshdkitコントロールサーバーの1つを乗っ取ることに成功し、これにより、このトロイの木馬が盗んだログイン及びパスワードをリモートホストへ送信しているという確かな証拠を入手しました。

Linux.Sshdkitのシグネチャは既にDr.Webのウイルスデータベースに追加されています。Linuxサーバー管理者の方には、システムチェックを実行することを推奨します。システム内で/lib/libkeyutils*(20~35KB)ファイルが見つかった場合は感染の疑いがあります。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=608&lng=ja&c=2
 【樫本淳】ウイルスを仕込んだメールを送りつけ、情報を抜き取る「標的型メール攻撃」について、警察庁が国内の企業などを対象に調査したところ、2012年は1009件が確認された。前年より減ったものの、通常のメールのやりとりを繰り返した後に攻撃する「やりとり型」が国内で初めて2件確認されるなど、手口は巧妙化しているという。

 警察庁が28日に発表した。この調査は、自治体や先端技術を扱う民間企業を対象に11年4月に始まり、11年は4~12月だけで1052件が確認されていた。

 今回確認された「やりとり型」の攻撃は、初めはウイルスがないメールを送り、何度かメールのやりとりをして相手を信用させてから攻撃を仕掛けるのが特徴という。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130228-00000017-asahi-soci
株式会社Kaspersky Labs Japan(カスペルスキー)は2月28日、2013年1月度の「スパムレポート」を発表した。レポートによると、1月のスパム総数は予想されていた通り、正月休み後の一時的な休止期間の影響を受けて減少した。1月中旬には、バレンタインデーと国際女性デー(3月8日)というイベントにつけこんだ今年最初の大量メールが確認された。このようなメールはクリスマスや正月をテーマにしたメールの数より少ないものの、製品やサービス広告が非常に多様であった。

一方、毎年恒例の(バレンタインカードを装ったマルウェアの添付された)バレンタインデー・スパムは発見されなかった。例年、バレンタインデーがらみの広告は2月初旬にピークを迎える。1月は、スパムトラフィック内のフィッシングメールや悪性メールの数は引き続き低減した。しかし、オンライン予約サービスの人気につけ込んだクレジットカードの情報を盗む手口は盛んに用いられた。すべてのメールトラフィックにおけるスパムの割合は12月から7.7ポイント減少し月平均58.3%、フィッシングメールの割合は12月から半減して0.003%、検出された悪質なファイルの割合は12月から0.15ポイント減少し3.0%となった。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130228-00000003-scan-sci
 米Lookoutは28日、スマートフォンの紛失・盗難対策やマルウェア対策の機能を提供するセキュリティアプリ「Lookout」のAndroid版をアップデートし、紛失・盗難対策で2つの新機能を追加したと発表した。日本語版も用意されており、Google Playよりダウンロードできる。基本機能は無料で利用可能。端末のリモート管理などの付加機能を備えたプレミアム版は、月額250円または年額2500円。

 Lookoutの紛失・盗難対策機能としては従来より、アドレス帳のクラウドへのバックアップおよび元の端末へのデータ復元機能、PCなど他の端末から「Lookout.com」にログインすることで、端末の位置情報を検索してGoogle マップに表示する機能やリモート操作で端末から警報音を鳴らす「スクリーム」機能などが提供されていた。

 また、プレミアム版では、Lookout.com上からリモートで端末をロックしたりデータを消去できる機能もあるほか、バックアップ機能が通話履歴と写真データにも対応。あわせて、バックアップからのデータ復元も、元の端末だけでなく新しい端末にも行えるなど機能が強化されている。

 今回、紛失・盗難対策機能として追加されたのは、「ロックカメラ」機能と、端末のロック画面へのメッセージ表示機能だ。

 ロックカメラでは、誰かが許可なく端末を操作しようとした際など、端末のロック画面で誤ったパスワードが3回入力されると、自動的にフロントカメラでその操作を行った人物の写真を撮影し、位置情報とともに持ち主にメール送信する機能だ。無料版・プレミアム版ともに搭載されたが、Android 2.3以上が必要。

 メッセージ表示機能は、例えば「お願い! この端末のは私のです! 返却していただけるようお願いします。」といったメッセージ(最大300文字)とともに、連絡先の電話番号やメールアドレスをロック画面に表示するものだ。端末を見つけた人が持ち主に連絡を取りやすくなるほか、さらに謝礼金についても言及すれば端末が戻ってくる確率が上がることも考えられるとしている。この機能はプレミアム版だけでの提供で、メッセージの入力はLookout.comのロック画面管理機能から行う。

ユーザー3000万人のビッグデータでスマートフォンの脅威を検出
 
 Lookoutによると、同社のセキュリティアプリは170カ国・12言語で提供しており、2012年12月時点でユーザーが3000万人に達したという。日本語版は2012年2月にリリースし、それから1年間で100万ユーザーを獲得。英語版に次ぐ規模の利用があるとしてる。

 ウイルスやスパイウェア、不正アプリなどのマルウェア対策面では、今回は新機能の追加はなかったが、Lookoutではこうした世界規模のユーザーベースを生かし、スマートフォンを狙って日々発生している脅威を検出している。スキャン件数は1日あたり5億件に上り、100万種類のアプリをデータベース化しているという。ユーザーがアプリをダウンロードすると、Lookoutがアプリを構成要素に分解。その要素の中に悪質なコードが見つかると、他のアプリの要素ともパターン照合してモバイルマルウェアを特定していく仕組みだ。

 スマートフォンアプリにおける脅威の傾向としては、2011年第3四半期にはスパイウェアが67%を占めて最多だったが、2012年第2四半期には19%にまで低下。これに代わって、SMSメッセージなどを悪用して高額な料金を不正請求する詐欺アプリが62%を占めるまで増加した。人気のある正規のゲームアプリやユーティリティアプリのプログラムに、犯罪者が悪質なコードを追加(リパッケージ)して配布したり、アダルトアプリに悪質なコードがパッケージされて配布されている例が多いという。

 日本ではこうした高額料金を不正請求するスマートフォンアプリは目立っていないようだが、アドレス帳など端末内の個人情報を裏で収集する不正アプリは多く見つかっており、Lookoutでもそれら日本の不正アプリの検出に対応しているとしてる。

 なお、Lookoutでは処理が重い作業はすべてクラウド側で行っているため、端末のバッテリーとメモリに負担をかけないようになっているという。

 紛失・盗難対策の部分でも、バッテリーに配慮した機能を備えているのがLookoutの特徴という。バッテリーの消耗が激しくなる端末のGPS機能を通常はオフにしておき、リモートでオンにした上で位置を検索できるとしている。また、バッテリーの残量がわずかになった時に自動的に端末の位置を検索し、その位置情報を保存しておく「シングルフレア」という機能もあり、バッテリーが切れた場合にも端末を捜索する手がかりを提供する。

日本におけるモバイルマルウェア感染率は比較的低いが......
 
 世界のLookoutの新規ユーザーにおけるモバイルマルウェア感染率は2012年10月時点で1.0%を超えた。国によって大きく差があり、ロシアでは40%という数字も出ているというが、日本は感染率が最も低い国の1つで、0.1%以下。

 一方、Lookout.comからの端末の位置検索は、世界3000万人のユーザーによって3秒に1回のペースで行われており、その内訳は紛失が87%、盗難が13%ほどだとしている。日本はモバイルマルウェアの感染率が低いとはいえ、スマートフォンのセキュリティ上の脅威はそれだけでなく、リスクの種類は異なるものの紛失・盗難という脅威も考慮しなければならない。

 Lookoutでは、「スマートフォンに入っている情報がどれだけ貴重なものかという認識は日本のユーザーは比較的高いが、それをどうやって保護していくかということに対する認識も持ってもらえれば」として、同社のセキュリティアプリをアピールしている。

Lookout
https://www.lookout.com/jp

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130228_589798.html