パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!8月31日(土)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


2013年7月アーカイブ

Doctor Webは、モバイルデバイス上にAndroid.SmsSendトロイの木馬をインストールする悪意のある複数のプログラムを、Google Play上で発見しました。このトロイの木馬は有料プレミアム番号にSMSを送信し、被害者のアカウントからお金を引き落とします。Doctor WebはGoogle社に対し、このケースに関する報告を直ちに行っています。

Doctor Web のアナリストによって発見されたこれらのプログラムは、ベトナムのデベロッパーAppStore Jscのもので、アダルトコンテンツを表示させるオーディオプレーヤーや動画プレーヤーを装っています。

以下の表は、それらのアプリケーションをインストールしてしまったユーザーの数を、Google Playの統計に基づいて表したものです。

アプリケーション名 - パッケージ名(インストール数)
・Phim Sex - HD-Free phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc(5000-10000)
・Zing MP3 - BXH Music phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot(5000-10000)
・Phim Nguoi Lon - Audio 18+ zingmp3.audio18.truyennguoilon.audiotinhduc(1000-5000)

上記3つのプログラムの合計インストール数は1万1,000~2万5,000件に及んでいます。

これらのアプリケーションは一見無害に見えますが、実際にはAndroid.SmsSendトロイの木馬を含んだapkファイルが組み込まれています。Dr.WebによってAndroid.MulDrop、Android.MulDrop.1、Android.MulDrop.2と名付けられたそれらキャリアーアプリケーションは起動されると、希望するコンテンツをダウンロードするようユーザーに対して促しますが、ユーザーが同意しても目的のファイルはダウンロードされず、代わりに別のアプリケーションのインストールが開始されます。例えば、動画プレーヤープログラムは別のアダルト動画をユーザーに勧めます。

ユーザーがアプリケーションのインストールに同意してしまうと、Android.SmsSend.517トロイの木馬がデバイス上にインストールされ、マルウェアの設定ファイル内で指定された番号8775へ、ユーザーの許可なしにSMSを送信します。このトロイの木馬は、実際にアダルト動画の再生も行うことで、ユーザーからの疑いを逸らすという機能を備えている点に注目する必要があります。

2つ目および3つ目のトロイの木馬キャリアーはAndroid.SmsSend.513.originと名付けられたマルウェアを含んでおり、その動作はAndroid.SmsSend.517とほぼ同じですが、SMS送信先番号をコントロールサーバーから受け取るという点が異なっています。

Dr.Webのウイルスデータベースには、これら悪意のあるプログラムのシグネチャが即座に追加されました。そのため、Dr.Web for Androidユーザーのデバイスに危害が及ぶことはありません。

【ニュースソース】Dr.Web
http://news.drweb.co.jp/show/?i=646&lng=ja&c=2
マカフィーは、同社のエンドポイントセキュリティ製品「McAfee Deep Defender」の新バージョンを発表した。

McAfee Deep Defenderは、インテルとマカフィーの共同開発によるMcAfee DeepSAFEテクノロジーを使ったソリューションで、深層に潜むルートキットなど、OSを越えたシステムの保護が特徴の企業向けのセキュリティ製品。

最新バージョンとなる「v1.6」ではWindows 8をサポートするほか、Windows Server 2008 R2 SP1(64ビット)、Intel Xeon E3、E5、E7シリーズのプロセッサーに対応するなどサーバープラットフォームへの対応が図られている。また、BIOS監視機能が搭載され、従来のカーネルモード・ルートキット、MBR(マスタブートレコード)ルートキットに加えて、BIOSに感染するタイプのルートキット検知も可能になる。

「McAfee Deep Defender」(税別価格4,070円、11から25ライセンス、初年度サポート込み)で7月30日より単体、およびスイート製品として提供される。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130730-00000108-mycomj-sci
So-netをかたるフィッシングサイトが新たに発見されました。

ユーザーIDとパスワードを盗まれると、悪意ある第三者があなたになりすましてメールやサービスを利用したりする可能性があります。

ログインする際には必ず正しいSo-netのサイトであることをご確認いただきますようお願いいたします。

下記にSo-net Webメールへログインする際のご注意を掲載しておりますので必ずご確認ください。

また、So-netの名前をかたってお客さまにメールを送りつけ、フィッシングサイトへ誘導する手口の存在も確認されております。

メール本文中のURL(リンク先)をアクセスする際には、十分ご注意ください。

!So-net Webメールへログインする際にご注意ください!
ログイン画面にて必ずブラウザーのURL欄が以下であることをご確認ください。
https://webmail.so-net.ne.jp/×××/×××/
https://www.so-net.ne.jp/webmail/×××/×××/
※先頭が「http」ではなく「https」です。

万が一アクセスした可能性がある場合はユーザーIDとパスワードの変更を行ってください。
【So-net】ユーザーID・ユーザーIDパスワードの変更、メールアドレス・メールアドレスパスワードの変更、接続用パスワードの変更
http://www.so-net.ne.jp/support/mbr/idchg.html

※参考 【So-net】セキュリティ通信
フィッシング詐欺に注意!
http://www.so-net.ne.jp/security/column/phishing/index.html

 DNSソフトウェア「BIND 9」に、外部からのサービス不能(DoS)攻撃が可能となる脆弱性が発見されたとして、開発元のISC(Internet Systems Consortium)が26日、情報を公開するとともに脆弱性を修正したバージョンの提供を開始した。

 脆弱性は、BIND 9のリソースレコードの取り扱いに不具合があり、不正な形式のRDATAを含む特別に細工されたDNS問い合わせを受信拒否する処理において、namedが異常終了を起こす障害が発生するもの。この脆弱性を利用した攻撃はリモートから可能で、キャッシュDNSサーバーと権威DNSサーバーの双方が対象となる。

 また、この脆弱性はBIND 9に付属のDNSライブラリ内に存在するため、そのライブラリを使用しているnamed以外のプログラムやアプリケーションなどにも影響を及ぼす可能性がある。

 脆弱性は、BIND 9.7.0以降のすべてのバージョンのBIND 9が対象となる。BIND 9.6-ESVおよびBIND 10は脆弱性の対象とはならない。

 ISCでは、脆弱性を修正したバージョン9.8.5-P2またはバージョン9.9.3-P2へのアップデートを呼び掛けている。バージョン9.7系列については、すでにサポートが終了しているため、セキュリティ修正は提供されない。

 日本レジストリサービス(JPRS)では、すでにこの脆弱性による複数の攻撃事例が報告されているとして、該当するBIND 9を利用しているユーザーに対してバージョンアップを強く推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130729_609463.html
独Aviraの国内総代理店であるエクサゴンは、コンシューマー向けセキュリティ対策ソフトの特価セールを開始した。

国内向け公式サイトのリニューアルに伴う販売セールを開始したもの。スイート製品「Avira Antivirus Premium 2013」および、「Avira InternetSecurity 2013」を通常より割引価格で提供しており、3年版は通常より3割以上の割引価格で購入できる。

また、同サイトでは、無料で利用できるMac向けセキュリティ対策ソフト「Avira Free Mac Security」がダウンロードできるほか、Android向けの「Avira Free Android Security」やPC向けの「Avira Free Antivirus」を紹介している。

【ニュースソース】SecurityNEXT
http://www.security-next.com/041794

mac セキュリティソフト

セキュリティソフトといえば、ノートン、カスペルスキー、ウイルスバスター、マカフィーといった有名なソフトを思い浮かべる人が多いだろう。しかし、Androidで提供されているセキュリティソフトでは、Lookoutという無料アプリが一定のシェアを獲得している。

2007年に米国で設立されたLookoutは、Androidスマートフォンに特化したモバイルセキュリティソフト開発会社。世界170カ国、11言語で利用されており、現在のユーザーは4000万人を超え、日本語版ユーザーも100万人を突破したという。

品質の面でも世界でトップクラスの評価を得ており、海外の携帯電話事業者(米T-Mobile、仏Orange、豪Telstraなど)では、自社で提供するAndroid端末にLookoutアプリをプリインストールしている例もある。

○日本のモバイルマルウェア感染率は低いが...

Lookoutでは、アプリ利用者から送信されたデータをもとに、世界におけるモバイルマルウェアの感染率を推計している。米Lookout国際製品担当ディレクターの阿久津 みか氏は「日本のモバイルマルウェア感染率は、世界と比較して低い水準だ」と語る。

イギリスやイタリア、ロシア、中国などの国々ではマルウェア感染率が1%を超えている中で、日本の感染率は0.2%未満という数字にとどまっているという。

しかし、日本人を狙ったマルウェアが決して存在しないわけではなく、Lookoutでは「Eneoutsy」、「LoozFon」といったマルウェアを実際に検出している。

例えば「LoozFon」は、高い配当をうたう「くじ引き」アプリで、アプリ内のリンクを踏むことでくじ引きを行うが、必ず外れてしまう仕組みになっている。そのリンクを踏む際に、連絡先を盗み取り、外部サーバーへと情報を送信するのだという。

Androidマルウェアの特徴としては、それぞれが独特な動きを見せるものが少ない。共通の悪質コードを利用している「ファミリー」というマルウェア群が非常に多く、Lookoutではパターン照合によってマルウェアを特定している。

パターン照合を行う「マルウェアデフィニションリスト」は、数日~1週間程度のスパンで定期的にアップデートが行われるため、最新のマルウェアにも迅速に対応できるという。

○マルウェア対策だけではないLookout

これまで説明してきた従来型のマルウェアブロックだけではなく、スマートフォンではプライバシー管理もセキュリティソフトが持つ重要な役割の一つだ。

Lookoutによると、世界では3秒に1台の頻度でスマートフォンが紛失されており、その数は年間合計で約1000万台にも達する。スマートフォンを紛失したユーザーにとって、一番の心配は「端末に保存された個人情報データが悪用されないか」という点だと思われる。

Androidスマートフォンには「パターンロック」や「パスワードロック」が設定項目に入っているものの、端末を起動するたびに入力するわずらわしさなどから設定していないユーザーも多いという。

その点では、Lookoutアプリを利用することで、普段からロックをかけていない端末でもリモートロックができるほか、「ワイプ」と呼ばれる機能を利用してスマートフォンデータの削除も可能だ(共に有料のプレミアム機能)。

無料機能でも、PCやスマートデバイスのブラウザから端末がどの場所にあるか調べることができるほか、マナーモード中でも大音量で警報を鳴らす機能があり、近くに居る人に端末の場所を知らせることができる。

独自機能として面白いものが「シグナルフレア」と「ロックカメラ」。

「シグナルフレア」は、スマートフォンの電池が切れる直前にデバイスの位置情報を自動的に登録メールアドレスへと送信する。これによって、端末の電池が切れた場合でも発見できる可能性がグッと高まるわけだ。

一方、「ロックカメラ」は、端末をパスワードなどでロックしていた場合に、3回以上パスワードを間違えた瞬間、ロック解除を行っていた人を撮影して登録メールアドレスに画像を送信する。ただし、「撮影画像に写っている人は、スマートフォンユーザー自身のケースが多い」(阿久津氏)といい、自分自身でパスワードを忘れない対策も重要なのかもしれない。

同社では、「認知度が大手ベンダーなどに劣るため、できる限り多くの人に利用してもらう」(阿久津氏)ためとして、機能の大半を無料で提供している。

一方、プレミアム版として悪質サイトをブロックする「セーフブラウジング機能」や、プライバシー保護機能などの一部機能を、月額250円、年額2500円で提供している。

スマートフォンセキュリティを総合的に管理したいユーザーには、おすすめできるアプリに仕上がっているといえるだろう。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130727-00000009-mycomj-sci
 株式会社シマンテックは25日、デジタル署名を無効化することなく正規のAndroidアプリを改変できる、通称「マスターキー」と呼ばれる脆弱性を悪用する事例を確認したとして注意喚起した。

 この脆弱性は、Androidアプリのコードが改変されていないことを証明し、正規のデベロッパーが提供していることを保証するデジタル署名に関するもの。Android 1.6以降の端末に存在するため、市場に出回る99%のAndroid端末に影響すると言われている。

 シマンテックでは今回、病院を検索して予約できる2種類の正規アプリにおいて、この脆弱性が悪用されていることを確認。アプリはどちらも、中国のAndroidマーケットプレイスで公開されている。
脆弱性が悪用されたアプリ

 サードパーティーのアプリサイトでは、同様の攻撃で感染した4つのAndroidアプリが公開されていることも確認。アプリの種類は人気のニュースアプリ、アーケードゲーム、カードゲーム、ギャンブルアプリの4つで、いずれも中国語。

 シマンテックによれば、攻撃者はアプリを取得して、デバイスのリモート制御、IMEIや電話番号といった情報の窃取などを可能にするコードを追加。いくつかの中国製セキュリティアプリがインストールされている場合、ルートコマンドでそれらのセキュリティアプリを無効化することも確認した。

 シマンテックでは、AndroidマーケットプレイスからAndroidアプリを収集して自動的に解析する「ノートンモバイルインサイト」において、脆弱性を悪用されたアプリを発見。同社は問題のあるアプリを「Android.Skullkey」として検出している。

 シマンテックは、攻撃者が今後も、この脆弱性を悪用すると予測。その上で、「アプリは信頼できるAndroidアプリマーケットプレイスからのみダウンロードしてほしい」と呼びかけている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130726_609245.html
 警察が解析したコンピューターの不正プログラム(ウイルス)が1~6月に385件あり、昨年上半期の3.1倍に増えたことが25日、警察庁のまとめで分かった。年間ベースでも2011年の300件と12年の242件を既に上回り、最多となっている。

 機密情報の窃取を狙った「標的型メール」に添付されていたウイルスが昨年同期から倍増して約210件となったほか、インターネットバンキングの不正送金事件で使われたウイルスも0件から約80件に急増した。

 同庁は「事件そのものが増えた上、民間との連携が機能し始めたことや、遠隔操作ウイルスによる誤認逮捕事件の後、感染を確認する警察が増えた影響」とみている。

 一方、最近のウイルスは巧妙化や複雑化が進んでいる。特に、閲覧しただけで感染するプログラムが仕込まれたサイトが少なくとも数千あり、利用者とサイト管理者の両方が気付かない可能性が高いという。同庁は、ウイルス対策を常に最新の状態にすることなどを勧めている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130725-00000035-jij-soci
サイバーディフェンス研究所の福森大喜氏は、ゲストブロガーとして参加するエフセキュアブログで7月25日、日本の安全保障に関する業務に携わる人たちに対してマルウェア付きのメールが届いているとして、その手口を紹介している。

これは、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届くというもの。このファイルを展開すると、テキストファイルへのショートカットが入っている。

プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見える。

しかし、リンク先の欄を左にスクロールしていくと、別の文字列が出てきて、本当のリンク先は%ComSpec% ...であることがわかる。

%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味するので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになる。

今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっていた。

福森氏は、人から送られてきたショートカットはクリックしてはいけないと警告している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130725-00000000-scan-sci

法人および個人向けのセキュリティソフトウェアを提供するESET社は、2013年5月度および6月度のマルウェアランキング(日本版、世界版)を公開した。

日本国内のマルウェアランキング6月のランキング1位だったJS/Iframe.GJは、4月9位、5月5位から検出が増加。

また、4月にトップだったHTML/Phishing.Linkedln.Aが再び2位にランクアップした。

ユーザーは、オンライン上で ■アンチウイルス/アンチスパイウェアソリューションを使用する、 ■評価の高いベンダーからのみソフトウェアをインストールする、 ■最新のセキュリティパッチを適用して、コンピューターを常に最新の状態に保つといった対策を実践する ことで、自身のコンピューターに不正プログラムがインストールされるリスクを最小限に抑えられるので、対策を練っておきたい。

<日本のマルウェアランキング(6月度)>

1.JS/Iframe.GJ[全体の約7.52%] このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトする。プログラムコードは通常、HTMLページに埋め込まれている。

2.HTML/Phishing.Linkedln.A[全体の約4.89%] このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトする。

3.Win32/PSW.Fareit.AF[全体の約4.62%] このトロイの木馬は、パスワードなどの個人情報を盗み出してリモートのコンピューターに送信しようとする。

4.HTML/Iframe.B.Gen[全体の約2.53%] HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトする。

5.JS/Kryptik.ALD[全体の約2.44%] JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりする。

6.JS/Iframe.IB[全体の約2.01%] このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトする。プログラムコードは通常、HTMLページに埋め込まれている。

7.Win32/Kryptik.PVK[全体の約1.87%] このトロイの木馬は、他の悪意のあるURLにブラウザーをリダイレクトする。

8.JS/Kryptik.AKI[全体の約1.77%] JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりする。

9.JS/Kryptik.ALG[全体の約1.66%] JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりする。

10.INF/Autorun.Sz[全体の約1.47%] INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されている。

【ニュースソース】Yahoo!ニュース http://zasshi.news.yahoo.co.jp/article?a=20130726-00000301-dime-sci

6月21日、キエフ(ウクライナ)のペチェールシク地方裁判所は、ロシアとウクライナにおいて悪意のあるプログラムTrojan.Carberpの開発・拡散を行っていた国際犯罪組織のリーダーおよびそのメンバーに対し、懲役5年、執行猶予3年の有罪判決を言い渡しました。2013年3月19日、ウクライナ保安庁(SBU)はロシア連邦保安庁(FSB)との連携で実行された特殊オペレーションによってこの犯罪組織の活動を阻止することに成功し、ここ数年で最も危険な「バンキング」トロイの木馬の1つであるTrojan.Carberpの開発・拡散に関与していた16人が逮捕されました。

過去2年に渡り、ロシアおよびウクライナのRBS(リモートバンキングシステム)利用者に対して大きな被害を与えてきたTrojan.Carberpは、数年前にロシアで開発され、法人と個人の両方から金銭を盗むための強力なシステムにとって重要な要素となっていました。犯罪組織のメンバーである開発者はトロイの木馬を改良するのみでなく、特定の銀行のRBSに対する攻撃を目的とした追加のモジュールの改良をも行い、複数のテスターによってトロイの木馬のRBS上での正常な動作が、また、新しいバージョンにおいてはアンチウイルスプログラムによる検出を防ぐ機能が監視されていました。一方、特別な役割を担うシステム管理者によって組織のメンバー間における連携が保たれ、Trojan.Carberpボットネット全体のインフラ管理が行われていました。

組織のリーダーは、トロイの木馬の使用に対して「パートナー」ライセンス(admin)を販売していました。感染したシステムのユーザーに関する情報がこの"admin"内に集められ、それらに基づいて、被害者のアカウントからの引き落としに関する決定が行われます。引き落とされたお金は組織の傘下にある「偽の会社」へ送られるか、現金として引き出されていました。Trojan.Carberpに感染したゾンビコンピューターから成る数百万ものネットワークを保有していた「パートナー」グループの1つが2012年6月にロシアの警察によって逮捕されたことをきっかけに、組織のリーダー達はロシアからウクライナへと、素早く攻撃の矛先を変えてきました。その結果、2012年8月以降、ウクライナでは銀行の利用者を狙った攻撃により多額の被害が生じています。サイバー犯罪者達は複数のVPN回線や暗号化された通信回線を使用することで追跡の目をくらまし、自分達の住む国の銀行に対して平然と攻撃を仕掛けていました。さらに、この犯罪組織は「パートナー」による被害者を監視し、その中から選り抜いたカスタマーのアカウントからも不正に金銭を盗んでいました。

Doctor Webウイルスラボのスペシャリストは、危険なトロイの木馬の新たな検体の解析や攻撃方法の動向の調査を続け、およそ2年に渡り警察機関に協力して犯罪者の特定に尽力してきました。現在、Dr.Webのウイルスデータベースには1,200種類を超えるこのトロイの木馬が登録されています。Dr.Webの有能なスペシャリスト達によって、Trojan.Carberpに関する多くの事柄が解明され、多数の犯罪者の特定につながりました。また、Doctor Webでは特別なセクションを設置し、これまで幾度もロシアおよびウクライナの銀行と連携して、盗まれた金銭の不正な引出しを防いでいます。

「ここ最近、優秀な若いプログラマーが犯罪の世界へ足を踏み入れるケースが増えています。」と、Doctor WebのCEOであるボリス・シャロフは語ります。「その主な原因として、ウイルスを開発・拡散する犯罪者は比較的捕まりにくいと考えられていることが挙げられます。また、サイバー犯罪組織のリーダー達による、口先だけの寛大で魅力的なオファーに若いプログラマーが惑わされることも少なくありません。今回のTrojan.Carberp開発者のケースでは、以上のことが如実に見て取れます。キエフの裁判所で下された今回の有罪判決が、サイバースペースで楽に稼ごうと考えるプログラマー達の目を覚ます結果になることを望みます。ロシアの警察機関からの報告はまだ行われていませんが、いかなるサイバー犯罪者も必ず罰せられるということを我々は確信しています。」

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=639&lng=ja&c=2
 トレンドマイクロは23日、日本のオンラインバンキング利用者を狙った攻撃が増加しており、国内で2万台以上の感染が確認されたとして、公式ブログで注意を呼び掛けた。

 トレンドマイクロでは、脅威調査機関「Forward-looking Threat Research(FTR)」での調査の中で、日本での被害が96%以上を占めるオンライン銀行詐欺ツールによる攻撃を確認。攻撃は、オンライン銀行のウェブページ上で偽のポップアップ画面を表示し、情報を詐取する手口が中心的で、2012年にもこうした手口が確認されていたが、継続して日本を狙う攻撃が拡大傾向にあるとしている。

 攻撃で利用されたオンライン詐欺ツールは「Citadel」ファミリーと呼ばれるもので、これらのツールが詐取情報をやりとりする遠隔操作用の司令サーバー(C&Cサーバー)についてアクセス状況を監視したところ、96%以上が日本からのアクセスであることが確認されたという。

 C&Cサーバーへアクセスするオンライン銀行詐欺ツール検体と、その設定ファイルの解析から、情報詐取対象の6つの金融機関はすべて日本国内のものであり、アクセス元の情報と併せて、日本のみを狙った攻撃であることは明らかだと分析。また、金融機関以外にも、Gmail、Yahoo!メール、Windows live(Hotmail)など、有名ウェブメールも情報詐取対象となっているという。

 トレンドマイクロが攻撃を確認した16日以降21日までの間に、日本からC&CサーバーへアクセスしたユニークなIPアドレスは2万件を越えており、多くのPCがCitadelに感染していると推測している。アクセス数は若干の減少傾向にはあるが、21日でも高い数値を示しており、今回のオンライン銀行詐欺ツールによる被害はまだ継続している状況だとして、各銀行から出ている注意喚起の内容をよく読み、ログイン以外の目的での認証情報入力に注意してほしいとしている。

 また、今回の攻撃に関連するオンライン銀行詐欺ツールに関しては、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の1つである「ファイルレピュテーション」技術により、「TSPY_ZBOT」などの名称で検出に対応しており、C&Cサーバーなど関連の不正サイトもはすべてアクセスブロックの対応を行っているとして、これらの製品や機能を有効にして対策を強化することを推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130724_608830.html
 トレンドマイクロは7月23日、ネットバンキングなどから情報や金銭を搾取するためのマルウェアに感染したコンピュータが国内で多数見つかったとブログで報告した。マルウェアを使ったサイバー攻撃が国内の利用者を標的にしているとして、セキュリティ対策の強化などを呼び掛けている。

 同社によると、この攻撃では世界各地のオンライン詐欺犯罪などで多用されているマルウェアの「Citadel」ファミリーが使われているとみられる。攻撃者がマルウェアに感染したコンピュータと通信するための「C&Cサーバ」のIPアドレスは9件がみつかり、欧州や米国などに配置しているとみられる。

 マルウェアに感染した国内のコンピュータからC&Cサーバへの通信は16日に確認された。21日までに同社が監視したところでは通信全体の96%以上が国内からであり、感染しているとみられるコンピュータのIPアドレスは2万件以上になっている。マルウェアが情報搾取の対象としているネットバンキングサービスは全て国内の金融機関であり、ネットバンキング以外にもGmailやYahooメール、Hotmailなども情報搾取の対象になっているという。

 トレンドマイクロは、セキュリティ対策製品でマルウェアの検出やC&Cサーバへの通信のブロックといった措置を講じているといい、対策の強化を呼び掛けている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130723-00000087-zdn_ep-sci
Avira 日本販売代理店/株式会社エクサゴンは、2013 年7 月22 日(月)に総合セキュリティソフト開発会社「Avira」の日本公式サイトのリニューアルを実施いたしました。日本公式サイトのリニューアルオープンに伴い、個人向け総合セキュリティソフト「Avira Antivirus Premium 2013」及び「Avira InternetSecurity 2013」が最大37%OFF で購入できるリニューアルセールを開催いたします。

Avira は、自社開発のセキュリティ・ソリューションを法人から個人まで、1億以上のユーザーにお届けしているドイツのセキュリティソフト開発会社です。500 名を超える社員を擁する国際的サプライヤーとして、25 年以上にわたって実績を積んだ、PC セキュリティ分野のパイオニアです。Avira が開発するセキュリティソフトは、Virus Bulletin のVB 100、AV Comparatives のAdvanced+ など、数々の賞を受賞しています。

日本公式ウェブサイトはこちら
http://www.avira-japan.jp/

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/release/20130723_608600.html

Dr.WEB、2013年6月のウイルス脅威

夏はホリデーシーズンでもありますが、ITセキュリティに対する脅威は6月も勢いを緩めませんでした。同月の初めには、Linuxサーバーを標的とした危険なトロイの木馬の新しいバージョンがDoctor Webのウイルスアナリストによって発見され、中旬にはトロイの木馬エンコーダ拡散の新たな波がユーザーを襲いました。また、モバイルデバイスを狙った新たな脅威も多く発見されました。

■ウイルス
Dr.Web CureIt!によって収集された統計によると、2013年6月に最も多く検出された脅威はTrojan.Mods.2で、感染件数全体の3.97%を占めていました。このマルウェアは犯罪者のwebページへとユーザーをリダレクトし、そこで該当するフィールド内に携帯番号と認証コードを入力するように誘導します。それにより被害者は特定のサービスに登録され、アカウントから毎月一定の金額が引き落とされます。

このトロイの木馬ファミリーの以前のバージョンTrojan.Mods.1は1.45%と4番目に多く、その間である2番目と3番目をTrojan.Hosts.6815(2,94%)、Trojan.DownLoader9.19157(1,92%)が占めています。以下の表は、6月にDr.Web CureIt!によって最も多く検出された脅威です。

Name %
Trojan.Mods.2 3.97
Trojan.Hosts.6815 2.94
Trojan.DownLoader9.19157 1.92
Trojan.Mods.1 1.45
Trojan.Hosts.6838 1.44
Trojan.Zekos 1.22
BackDoor.IRC.NgrBot.42 1.18
Trojan.MulDrop4.25343 0.80
Trojan.MayachokMEM.7 0.76
Trojan.Packed.24079 0.75

■ボットネット
6月には、2013年2月にDoctor Webによって報告されているLinux.Sshdkitボットの、新たなバージョンが発見されました。6月27日現在、このボットネットは以前のバージョンのトロイの木馬を使用して構築されており、アクティブなボットは僅か42台のみとなっています。また、6月におけるLinuxサーバーの新たな感染数は8件のみでした。

一方、ファイルインフェクターWin32.Rmnet.12による感染数は増加の一途をたどっています。Doctor WebのアナリストによってC&Cサーバーをコントロールされている2つのサブネットのうち、1つ目のサブネットに含まれるボット数は現在45万9,192台、2つ目のサブネットでは61万3,135台となっています。以下のグラフは、2013年6月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

Win32.Rmnet.16ボットネットに含まれるアクティブなボット数は現在4,674台(5月には5,220台)で、6月の間に新たにネットワークに加わった感染したコンピューター数は僅か239台でした。また、Doctor WebによってTrojan.Rmnet.19と名付けられた悪意のあるモジュールが検出されたシステムの数にも僅かな減少が見られました。5月には2万235台だった、このボットネットに含まれる感染したコンピューター数は、6月27日現在、1万5,611台になっています。ボットネットの拡大速度の減少は以下のグラフからも読み取ることが出来ます。5月には8,447台のコンピューターが新たにC&Cサーバーに接続されているのに対し、6月の17~27日における新たな感染数は僅か738件となっています。

2013年4月の初旬、Doctor Webは悪意のあるプログラムBackDoor.Bulknet.739を使用して構築されたボットネットのC&Cサーバーの乗っ取りに成功したことを報告しましたが、このボットネットもまた縮小傾向にあります。ネットワークを構成する感染したコンピューターの数は5月には1万7,242台であったのに対し、6月には1万6,024台となっています。以下のグラフは6月にC&Cサーバーに接続された新たな感染コンピューター数の推移を表しています。

Mac OS Xを標的としたトロイの木馬BackDoor.Flashback.39に感染したMacの数もまた僅かに減少していますが、その減少速度は期待はずれなものでした。6月27日現在、BackDoor.Flashback.39に含まれる感染したMac数は6万2,069台で、5月に比べ3,918台少なくなっています。

■今月の脅威
6月には、Linuxを標的とする悪意のあるプログラムのファミリーにLinux.Sshdkitの新たな亜種が加わりました。Linux.Sshdkit.6と名付けられたこの新たなバージョンは、これまでのバージョンと同様Linuxサーバーからユーザー名とパスワードを盗むよう設計されていますが、盗んだパスワードがウイルスアナリストによって傍受されないよう複数の変更が加えられています。特に、盗んだ情報の送信先となるサーバーのアドレスを決定するためのルーチンが変更され、128bit RSA暗号化キーを用いて暗号化された文字列が使用されるようになりました。以下のフローチャートはC&Cサーバーアドレスの生成の手順です。

また、コマンド受信のアルゴリズムも変更されています。コマンド実行前に特別なストリングがトロイの木馬によって送信され、そのハッシュ値がチェックされるようになりました。この脅威に関する詳細はこちらの記事をご覧ください。

■エンコーダ再び
トロイの木馬エンコーダは、コンピューターユーザーに大きな被害を与えています。Doctor Webアンチウイルスラボには過去3ヵ月の間に、この悪意のあるプログラムに関する問い合わせが2,800件寄せられており、6月の件数は700件を超えていました。中でも多く拡散されたエンコーダはTrojan.Encoder.225と Trojan.Encoder.94で、これらは電子メールによって配信されています。Trojan.Encoder.225は.doc拡張子付きのRTFドキュメントが添付されたメッセージを含んでシステム内に侵入し、このドキュメントはMicrosoft Officeの脆弱性を悪用します。一方、Trojan.Encoder.94はバックドアBackDoor.Poison によってコンピューター上にダウンロードされ、次に、このバックドアが添付ファイルを含んだ電子メールによって大量配信されます。

アンチウイルスラボに寄せられるリクエスト数の急激な増加に伴い、Doctor Web では2013年6月19日より、上記マルウェアによって暗号化されてしまったファイルの復号化を、Doctor Web製品のユーザー限定のサービスとして開始しました。

■モバイルデバイスに対する脅威
2013年6月は、モバイルデバイスユーザーに対する最も危険な脅威はこれまでと変わらず、アカウント情報やSMS、通話記録などの個人情報を盗むよう設計された脅威であることが示された月でした。これらの目的を達成するために、犯罪者は商用スパイウェアに加えてトロイの木馬を用いています。

この種の脅威の中でも6月に最も目立っていたのは、韓国のAndroidユーザーから機密情報を盗むトロイの木馬Android.Tempur.1.originでした。盗まれた情報にはバンクアカウントに関する詳細を含む機密情報や、受信したSMS、通話に関する情報が含まれていました。このマルウェアは、Dr.WebによってAndroid.MulDrop.8.originとして検出された別のプログラムをキャリアーとして使用し、個別のapk-packageとして拡散されていました。Android.Tempur.1.originはモバイルデバイス上にインストールされると公式バンキングアプリケーションのインターフェースを模倣し、ユーザーに対してアカウントや個人情報の入力を要求します。こうして入手した情報は、傍受したテキストメッセージや通話に関する情報と一緒に犯罪者のリモートサーバーに送信されます。

6月に検出された商用スパイウェアアプリケーションの中では、既知のAndroid スパイウェアの亜種である Android.MobileSpyやAndroid.SpyBubbleのほか、新たなファミリーであるProgram.Highster、BlackBerry を標的とした Program.Stealthgenie、iOSを標的としたProgram.Ownspyが注目すべき脅威として挙げられます。Program.Ownspyおよびそれに類似したアプリケーションは、"jailbreak(脱獄)"されているデバイス(ファイルシステムへのアクセスが可能なデバイス)上でしか動作することが出来ないため、Appleモバイル製品の全てのユーザーが標的となるわけではありません。それにも関わらず、ハッキングされたiOSデバイスを使用しているユーザーの数は非常に多く、そのようなユーザーにとってスパイウェアは危険な脅威となっています。

課金プレミアム番号にSMSを送信し、各種有料サービスにユーザーを登録するAndroid.SmsSendプログラムは、未だAndroidユーザーを悩ませ続けています。6月を通して、これら悪意のあるプログラムの新たな亜種のシグネチャが複数、Doctor Webのウイルスデータベースに追加され、同月の後半には、マルウェアAndroid.SmsSend.465.originがポピュラーなニュースポータルサイト上の広告を介して拡散されていることがDoctor Webのアナリストによって確認されました。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=636&lng=ja&c=2

トレンドマイクロは、複数の国の政府関連機関を狙う標的型攻撃を6月初旬に確認した、と発表した。この標的型攻撃において確認された電子メールは、中華人民共和国国防軍からの送信を装っていたが、実際には無料 Web メールの「Gmail」アカウントから送信されており、送信者の名前は中国名ではなかったという。

問題のメールに添付されていた文書ファイルは、Microsoft Office に存在する脆弱性「CVE-2012-0158」を利用し、バックドア型不正プログラムを作成。Web サイトや電子メールアカウントのログイン情報を Internet Explorer や Microsoft Office から窃取していた。

今回の攻撃では、主にヨーロッパおよびアジアの政府関連機関の職員が狙われており、問題の電子メールは、ヨーロッパ諸国だけでも16人の政府機関職員に送信されていた。一方で中国の報道機関も標的となっており、問題のバックドア型不正プログラムは今回の標的型攻撃に限らず広く感染が確認されており、中国および台湾でも頻繁に感染が確認されているという。

【ニュースソース】japan.internet.com
http://japan.internet.com/busnews/20130719/11.html
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2013年第2四半期(4月~6月)のコンピュータウイルス・不正アクセスの届出(*1)状況および相談受付状況をまとめました。
URL:http://www.ipa.go.jp/security/txt/2013/q2outline.html

1. コンピュータウイルス届出状況 2013年第2四半期[4月~6月]の届出件数は1,734件(内、感染被害届出は0件)と、2013年第1四半期[1月~3月]の1,803件から約4%の減少となりました。また、2013年第2四半期の検出数は67,330個と、2013年第1四半期の56,210個から約20%の増加となりました。
 ウイルス別検出数では、W32/Mydoom、W32/Netskyの増加が目立ちました。

2. 不正プログラム上位10種類の検出状況 2013年第2四半期[4月~6月]の不正プログラム上位10種類の合計検出数は、23,527個と、2013年第1四半期[1月~3月]の28,462個から約17%の減少となりました。特にインターネットバンキングのID/パスワードを窃取するBancosは約64%減少しています。
 その他、正規のソフトウェアなどを装って感染を試みるTrojan/Horse、偽セキュリティソフトの検知名であるFakeav、広告を画面に表示させるAdwareが多く検出されました。

3. コンピュータ不正アクセス届出状況 2013年第2四半期[4月~6月]の届出件数は合計51件(前四半期比約189%)でした。そのうち被害があった件数は50件(前四半期比185%)と全体の約98%を占めています。また、これら実被害があった届出のうち原因が判明しているものは、古いバージョン使用・パッチ未導入が10件、ID・パスワード管理不備が5件、設定不備が1件、などでした。

4. 相談受付状況 2013年第2四半期[4月~6月]のウイルス・不正アクセス関連の相談総件数は3,800件でした。そのうち「ワンクリック請求」に関する相談が843件、「偽セキュリティソフト」に関する相談が230件、「スマートフォン」に関する相談が110件、などでした。

 ◆詳細は以下のURLからご覧ください。
 URL:http://www.ipa.go.jp/security/txt/2013/q2outline.html

【ニュースソース】IPA
http://www.ipa.go.jp/about/press/20130718.html
トレンドマイクロ株式会社は7月16日、思いがけない脅威を組み合わせた珍しい攻撃が確認されたと同社ブログで発表した。この攻撃は、JavaおよびPDFファイルに存在する脆弱性を利用するエクスプロイトコードを含んだエクスプロイトキットを利用し、脆弱性が存在するPCにファイル感染型ウイルス「PE_EXPIRO」をもたらす。この「PE_EXPIRO」は、典型的なファイル感染型ウイルスとは異なり、情報収集機能を備えていることが注目すべき点としている。この「PE_EXPIRO」と呼ばれるファミリは、2010年に初めて注目されている。収集する情報は、WindowsのプロダクトIDやドライブボリュームのシリアル番号、Windowsの種類といったコンピュータの情報やユーザのログイン認証情報。また、FTPクライアント「Filezilla」にログイン認証情報が保存されている場合、そのアカウント情報を収集する。

収集された情報はDLLファイルに保存され、複数のC&Cサーバへアップロードされる。今回の感染確認総数の約70%は米国内で確認された。またこの攻撃は、特定のFTPクライアントを対象としていることから、組織からの情報を収集し、またはWebサイトの改ざんを目的としている可能性があるとしている。脆弱性を利用し、情報収集機能を備えるファイル感染型ウイルスをもたらすといった複数の脅威を組み合わせた攻撃は、非常にまれであり、この攻撃がすぐに入手可能なサイバー犯罪用ツールを利用したものではないことを物語っていると指摘している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130717-00000004-scan-sci
シマンテックは、コンピューターをロックしてアンケートへの入力を強要するマルウェア「Trojan.Shadowlock」について同社オフィシャルブログで解説している。

Trojan.Shadowlockは、既存のTrojan.RansomlockやTrojan.Fakeavlock、Trojan.WinlockなどPCの操作性の自由を奪い金銭の送金などを要求するランサムウェアのような振る舞いを行うが、即座に金銭を要求することはせず、オンラインアンケートへの入力を要求するもので、現在のところそれほど破壊的なものではないとしている。

また、動作には.NET Framework(バージョン2.0以降)が必要で、ブログではその内部のコードの解析も行っており、リバースエンジニアリングで見つかるように、ある種のイースターエッグのような動作が仕組まれていることも発見している。

そこには、映画「未知との遭遇」の有名なメロディの再生、CDトレーを開ける、ハードディスクの空き容量を使い切る、Webサイトへのリダイレクト、などの動作も記述されており、今後の亜種にこういった機能が組み込まれていく可能性も否定できないと考察している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130716-00000144-mycomj-sci
 市場に出回る99%のAndroid端末に影響する深刻な脆弱性が見つかった件で株式会社シマンテックは10日、同社が情報収集する400万件のアプリのうち、この脆弱性を意図して悪用しているものはまだ確認されていないと報告した。ただし、脆弱性を意図せずに利用してしまっているアプリは多数発見されているという。

 「これらのアプリは、広く普及しているビルドツールチェーンを使ってビルドされており、そこに存在するバグのために不正なAPKファイルが生成されている可能性がある。悪いことに、この脆弱性はAndroidデバイスの99%に影響し、デバイスのメーカーやキャリア各社からパッチが提供されるとしても、それには時間がかかりそうだ。」(シマンテック)

 脆弱性は米セキュリティ企業のBluebox Securityが発見したもの。悪用されると、攻撃者は「デジタル署名」を無効化せずに、正規のアプリを改変できる。トレンドマイクロ株式会社によれば、脆弱性はAndroid 1.6以降に影響し、現時点で修正パッチが施されているのは「Samsung Galaxy S4」のみだという。
デジタル署名に「抜け道」、アプリが乗っ取られる恐れ

 脆弱性は、Androidアプリのコードが改変されていないことを証明し、正式なデベロッパーから提供されていることを保証する「デジタル署名」に関連するもの。アプリが更新される際には、同じデベロッパーから発行された署名と照合して合致した場合のみ新しいバージョンに更新される。アプリの署名を有効にするためには、別にそのデベロッパーのみが保持する「署名キー」が必要となる。

 正規のアプリに悪質なコードを書き込む手口は以前から常用されていたが、従来はアプリと発行者の名前を両方とも改ざんし、トロイの木馬を仕掛けたアプリにも独自のデジタル署名を付ける必要があった。そのため、シマンテックでは「アプリの詳細を調べれば、正規の発行者が作成したものではないことがすぐにわかった」としている。

 これに対して今回見つかった脆弱性は、インストールされているアプリのデベロッパーによる署名キーがなくても、攻撃者がそのアプリを改変すると同時にオリジナルの署名が有効であるかのように更新できる「抜け道」が見つかったと、前述のBluebox Securityは指摘する。この抜け道である脆弱性により、インストールされたアプリが乗っ取られ、改変された不正なバージョンに更新されてしまう恐れがあるとしている。
当面の対策はGoogle Play以外からインストールする機能の無効化

 いったん不正なアプリに置き換えられると、他の不正なアプリと同じ振る舞いを実行するが、トレンドマイクロによれば「ユーザーは、完全に正規アプリを使用していると信じて疑わない」という。「例えば、銀行に関連する改変されたアプリやトロイの木馬化したアプリは、通常の機能を維持してユーザーはこれまでどおりに使うことができるが、その裏では、実は、個人情報がサイバー犯罪者に送られていることになっている」。

 トレンドマイクロは、正規のアプリマーケットである「Google Play」からのみアプリを入手するユーザーは、この脅威からのリスクにさらされることはないと説明。また、Googleは脆弱性に対するセキュリティ更新をリリースし、Android端末の各メーカーに配信しているといい、順次アップデートが行われると見ている。ユーザーが使う端末で脆弱性に対処するまでは、Google Play以外からアプリをインストールする機能を無効にすることを強く推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130712_607559.html

アプリの乗っ取りを許すAndroid の脆弱性

 Androidの極めて深刻な脆弱性が、Black Hatカンファレンスを前に、公開されました。この脆弱性を利用すると、攻撃者はデジタル署名を無効化することなく、正規のアプリに悪質なコードをイン ジェクトできます。この脆弱性について詳しくはオンラインですでに公開されていますが、実装はきわめて単純です。

 シマンテックは、この脆弱性に関する検出ロジックをバックエンドのノートンモバイルインサイトシステムにすでに追加していますが、400 万件のアプリのうち、この脆弱性を意図して悪用しているものはまだ確認されていません。ただし、この脆弱性を意図せずに利用しているアプリは多数発見され ています。この脆弱性は Android デバイスの 99% に影響し、デバイスのメーカーやキャリア各社からパッチが提供されるとしても、それには時間が掛かりそうです。

 この脆弱性を悪用する悪質なアプリが見つかった場合でも、ノートンモバイルセキュリティをインストールすることでデバイスを保護することができます。インストール後は、ノートン モバイルセキュリティが定期的に自身を更新するので、今回の脆弱性に対しても今後見つかった脆弱性に対しても、保護対策は継続的に強化されます。シマン テックでは、この脆弱性について次のブログで解説しています。

■ブログ:アプリの乗っ取りを許すAndroidの脆弱性
http://bit.ly/12pUVi6

■関連資料:ノートンモバイルセキュリティ
http://bit.ly/QrHzgS

【ニュースソース】日刊工業新聞
http://www.nikkan.co.jp/newrls/rls20130711o-01.html
 米Adobe Systemsは9日、Flash Playerの3件の脆弱性を修正するセキュリティアップデートを公開した。脆弱性が悪用された場合、任意のコードを実行させられる危険性があり、Adobeでは最新バージョンへのアップデートを推奨している。

 最新バージョンは、Windows版およびMac版が「11.8.800.94」、Linux版が「11.2.202.297」、Android 4.x版が「11.1.115.69」、Android 3.x/2.x版が「11.1.111.64」。

 また、Flash Playerが内蔵されているGoogle ChromeおよびInternet Explorer 10についても、GoogleとMicrosoftからそれぞれアップデートが提供されている。

 Adobeではこのほか、Shockwave Playerの1件の脆弱性を修正するセキュリティアップデート(バージョン12.0.3.133)と、ColdFusion 10/9の2件の脆弱性を修正するホットフィックスを公開している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130710_607082.html
 日本マイクロソフト株式会社は10日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が6件、2番目に高い"重要"が1件。各修正パッチにより、合計34件の脆弱性を修正する。

 最大深刻度が"緊急"のセキュリティ情報は、「MS13-052」「MS13-053」「MS13-054」「MS13-055」「MS13-056」「MS13-057」の6件。

 「MS13-052」は、.NET FrameworkおよびSilverlightに関連する7件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを閲覧した際に、コードを実行させられる危険性がある。影響を受けるソフトは、Windows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003の各環境にインストールされている.NET Frameworkと、Silverlight 5。なお、MacにインストールされているSilverlight 5にも影響がある。

 「MS13-053」は、Windowsカーネルモードドライバーに関連する8件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたTrueTypeフォントを含むウェブページなどを閲覧した際に、コードを実行させられる危険性がある。影響を受けるソフトは、Windows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003。

 「MS13-054」は、GDI+に関連する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたTrueTypeフォントを含む共有コンテンツを表示した際に、コードを実行させられる危険性がある。影響を受けるソフトは、Windows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003、Office 2010/2007/2003、Visual Studio .NET 2003、Lync 2013/2010。

 「MS13-055」は、Internet Explorer(IE)に関する17件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを開いた際に、コードを実行させられる危険性がある。影響を受けるソフトは、IE 10/9/8/7/6。

 「MS13-056」は、DirectShowに関連する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工された画像ファイルを表示した際に、コードを実行させられる危険性がある。影響を受けるソフトは、Windows 8/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003。

 「MS13-057」は、Windows Mediaランタイムフォーマットに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたメディアファイルを開いた際に、コードを実行させられる危険性がある。影響を受けるソフトは、Windows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003。

 このほか、最大深刻度が"重要"の修正パッチとして、Windows Defenderの脆弱性を修正する「MS13-058」を公開している。また、Windows 8/RT向けのIE 10については、内蔵のFlash Playerをアップデートするための更新プログラムも公開している。

 マイクロソフトでは、企業などで修正プログラムの適用順序を検討する場合には、「MS13-053」「MS13-055」の2件が最優先で適用を検討する必要があるとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130710_607064.html
 マカフィーのセキュリティ研究機関であるMcAfee Labs(マカフィーラボ)は、2013年第1四半期の脅威レポートを発表した。

 レポートによれば、SNSを標的にした「Koobface」ワームの事例が増えており、スパムも大幅に増大している。

 「Koobface」ワームは、2008年の発見以降、過去1年間はあまり目立った動きがなかったが、2013年の第1四半期には3倍に増加し、過去最高の水準となっている。これは、サイバー犯罪者のコミュニティが、SNS利用者にターゲット候補が数多く存在すると考えていることを意味する。

 全世界のスパムの量は3年以上ぶりに増加に転じており、「pump and dump」詐欺に加えて、成長ホルモンの広告や新興市場におけるスパム広告の急増が原因とみられる。

 トロイの木馬「Citadel」の最新の解析結果によれば、犯罪者は銀行口座を狙った脅威を転用し、非金融企業内のターゲットに正確に狙いをつけ、個人情報を盗もうともくろんでいる。産業界は、今後さらに多くの銀行マルウェアが非金融企業や、政府機関を狙ったサイバースパイ活動に転用されることを予期しておく必要がある。

 MBR関連の脅威は、第1四半期に30%増加し、「StealthMBR」「TDSS」「Cidox」「Shamoon」というマルウェアが検出されている。MBRは、攻撃者にシステム制御、長期潜伏や深い侵入を可能にするための幅広い手段を提供し、過去2四半期で記録的な伸びをみせている。

 マルウェアの主な配布手段としてボットネットがあまり利用されなくなる一方で、不審なURLは12%増加した。ドライブ・バイ・ダウンロードを仕込んだ不正なウェブサイトはより小回りが利き、司法当局による取り締まりを受けにくい。

 モバイルマルウェアの増加率がわずかに鈍化しているものの、Androidマルウェアはいまだに40%増加している。また、PCを対象としたマルウェアの新しいサンプルは28%増加し、1億2000万件以上のユニークサンプルが収集されているマカフィーのデータベースに、さらに1400万件の新規サンプルが追加された。 (BCN)

【ニュースソース】読売新聞
http://www.yomiuri.co.jp/net/security/s-news/20130708-OYT8T00362.htm
トレンドマイクロは7月5日、同社ブログで、「ネット選挙解禁の参院選スタート:早くもネット上の選挙活動を狙った不審な動きを確認 」と題する記事を公開しました。

7月4日に公示された参議院議員選挙は、インターネット上での選挙活動を認めた初の国政選挙となります。同社によると、早くもインターネット上の選挙活動を巡って不審な活動が確認されたとのことです。

まず1つめは、ソーシャルメディア上の「なりすまし」で、同社が与党自民党の総裁「安倍晋三」のキーワードでTwitterアカウントの検索を行ったところ、16のアカウントが確認されたとしています。そのなかには、安倍総裁本人の顔写真を使い、本人と混同させる意図を感じさせるアカウントも多数含まれていました。なお、Twitterでは、なりすましアカウント対策として、認証済みアカウント(本人アカウント)には青色のマークを付けています。ちなみに、アカウントのなりすましは公選法に抵触するため、2年以下の禁固または30万円以下の罰金、さらに選挙権・被選挙権の停止が科せられる場合があります。

もう1つは、「選挙関連のアンケートを装った不審なメール」で、支持政党などをアンケートするメールが出回っているとのことです。メールには、アンケート専用サイトへのリンクが記述されており、そこで回答するとともに、名前、メールアドレス、住所などを登録すると、現金10万円などが当選するという仕組みとなっています。

しかしトレンドマイクロが確認したところ、このアンケートサイトがホストされているサーバは、悪質なスパム業者が運営している不正サーバだったとのこと。同社では、このアンケート自体が情報詐取目的の攻撃と考察しています。現時点で情報詐取後の最終的な攻撃目的は断定できませんが、トレンドマイクロではこの不正サーバの活動監視を強めていくとしています。

【ニュースソース】トレンドマイクロ
http://is702.jp/news/1389/partner/12_t/
 マカフィーは、2013年6月のサイバー脅威の状況を発表した。ドライブ・バイ・ダウンロード攻撃を実行する脅威が急増している。

 ウイルスに関しては、検知会社数トップ10のうち8件がドライブ・バイ・ダウンロード攻撃に使われる不正なJavaScriptを対象とした検知だった。検知マシン数のランキングも同様の結果で、ドライブ・バイ・ダウンロード攻撃の急激な増加が明らかになった。

 ドライブ・バイ・ダウンロード攻撃の詳細はツールキットによって異なるものの、多くの場合、Adobe Reader(PDF)、Adobe Flash、JRE(Java Runtime Environment)の脆弱性攻撃を経て、最終的に「ZeroAccess」「Zbot」「Ransomware」、あるいは偽のセキュリティソフトに感染する。このうち、JREの脆弱性を狙った攻撃は活発で、Internet Explorerの脆弱性への攻撃もみられる。

 ドライブ・バイ・ダウンロード攻撃に対しては、アプリケーションの脆弱性対策が欠かせず、マカフィーでは対策を呼びかけている。

 マイクロソフトのOffice製品の脆弱性に対する攻撃はいまだに続いており、脆弱性対策が行われていない場合には「Backdoor」などのトロイの木馬に感染する恐れがある。機密情報の漏えいなど深刻な被害につながる可能性があるため、不正な添付メールへの対策と合わせて脆弱性の修正を呼びかけている。

 PUP(不審なプログラム)は、従来と比べて大きな変化はなく、全体の件数は前年から大きく低下している。PUPはインターネットからダウンロードしたフリーウェアなどに付加されていることが多いことから、マカフィーはフリーウェア利用に関して注意を呼びかけている。

【ニュースソース】BCNランキング
http://bcnranking.jp/news/1307/130708_25829.html
 過去4年間に販売されたAndroid端末にきわめて深刻な脆弱性が存在することが判明した。すべてのデジタル署名されたアプリをマルウェアに改変し、アプリに付与された特権を利用し、スマートフォンを支配下に置くことが可能になるという深刻さだ。

 脆弱性はAndroid OS 1.6(コードネームDonut)以後のOSに存在しており、現時点で利用されているAndroidスマートフォンの99%が影響を受けるという。

 この脆弱性は、米国サンフランシスコにあるモバイルセキュリティベンチャーBluebox Security社研究者が発見し、7月27日から米国ラスベガスで開催される「Black Hat USA 2013」セキュリティー会議にて技術的詳細が発表される予定だ。

 Bluebox Security社はすでにGoogleに対して「Android security bug 8219321」として2013年2月に報告している。

 Bluebox Security社CTOのJeff Forristal氏は、詳細を発表する前に公式ブログにて脆弱性の概要について説明し、ことの重大さについて、「Blueboxのセキュリティ研究チームは、ハッカーがアプリケーションの暗号署名を壊すことなくAPKコードを改変し、アプリストアにも、キャリアにも、エンドユーザーにも全く気づかれずに、任意の正当なアプリを悪意のあるトロイの木馬に改変できる、Androidセキュリティモデルの脆弱性を発見した」と説明する。

 さらに最も深刻なこととして、「端末メーカー(例えばHTC、サムスン、モトローラ、LG)や端末メーカーと協力するサードパーティー(例えばCiscoのAnyConnect VPN)によって開発されるアプリケーションは、Android内で特別昇格権限、特にシステムUIDへのアクセスが付与されていることを考慮するとき、このリスクは倍増する」と指摘する。

 Bluebox Security社では、システムファームウェアに登録されている「Baseband Version」の文字列を「Bluebox」に改変したスクリーンショットをブログに掲載し、事態の深刻さをアピールしている。

 この脆弱性が悪用された場合、「アプリケーションは任意のアプリケーションデータ(電子メール、SMSメッセージ、文書など)を読み取る能力を持っているだけでなく、保存されているすべてのアカウントサービスのパスワードを取得し、それは本質的には携帯電話の通常機能を乗っ取り、いかなる機能(任意の電話をかける、任意のSMSメッセージを送信する、カメラの電源を入れる、通話を録音する)をも制御できることになる。」

 さらに最も不安なこととして「常時電源が入っていて、常時接続され、いつも移動している(そのため検出が困難)であるという、"ゾンビ"モバイルデバイスの性質を、ハッカーが活用してボットネットを作成すること」を挙げている。

 脆弱性の存在はすでにGoogleに通知されているが、ファームウェアアップデートは各端末メーカーや携帯キャリアに依存している。端末の種類とAndroidバージョンの多さによって速やかなアップデートは難しい点は、これまでもセキュリティ関係者によって批判されてきた。

 Bluebox Security社では現時点で可能な3つの対策を挙げている。

(1)デバイスの所有者は、ダウンロードしたいアプリの発行元をこれまで以上に注意して識別する必要がある。

(2)BYODポリシーを持つ企業は、全ユーザーが自分のデバイスのアップデートを更新するよう注意を喚起し、自分のデバイスを絶えず最新の状態に保つことの重要性を強調すること。

(3)IT部門は既存の端末管理の枠を超え、よりきめ細かくデバイスの整合性チェックと企業データの安全性確保に注力する。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130705_606538.html

 日本マイクロソフト株式会社は5日、7月10日に公開を予定している月例のセキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報について、事前通知を公開した。

 公開を予定しているセキュリティ情報は7件で、脆弱性の最大深刻度は4段階で最も高い"緊急"が7件、2番目に高い"重要"が1件。

 最大深刻度"緊急"の6件のうち3件は、対象OSがWindows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003と、現在サポートされているすべてのWindowsに影響がある。また、Internet Explorer(IE)に関する修正も、IE 6~10の全バージョンに影響がある。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130705_606543.html

マカフィー株式会社は7月3日、2013年6月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、6月は、検知会社数のトップ10のランクのうち8件がドライブ・バイ・ダウンロード攻撃に使われる不正なJavaScriptを対象とした検知であった。

これは検知マシン数のランキングにおいても同様で、ドライブ・バイ・ダウンロード攻撃は以前から増加の傾向を示していたが、ここまで増えたのは初めてとしている。

ランクインしている検知名は攻撃の初段階で悪用されるファイルを対象としたものだが、実際の攻撃は多段であり、複数のマルウェアおよび脆弱性攻撃が関与している。

詳細はドライブ・バイ・ダウンロード攻撃に使われるツールキットにより異なるが、特にJREに対する脆弱性攻撃は活発で、最近ではCVE-2012-1723、CVE-2013-0431、CVE-2013-1493、CVE-2013-2423などが悪用されている。

また、Internet Explorerの脆弱性であるCVE-2013-1347の攻撃も見られるほか、MicrosoftのOffice製品の脆弱性CVE-2012-0158に対する攻撃も未だ続いている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130704-00000002-scan-sci
 Webサイトなどからコンピュータに不正プログラムを送り込む「ドライブ・バイ・ダウンロード(DBD)攻撃」が猛威を振るっている。マカフィーが7月3日に発表した6月のサイバー脅威状況によると、企業で検知されたウイルスのトップ10のうち8件がDBD攻撃に使われる不正なJavaScriptだった。

 この状況は検知マシン数のランキングも同様にあった。McAfee Labs東京の本城信輔主任研究員は、「DBD攻撃は以前から増加傾向を示していたものの、ここまで増えたのは初めてだろう」と指摘する。

 ランキングにある検知名称は、攻撃の初段階で悪用されるファイルであり、実際の攻撃では多段かつ複数のマルウェアや脆弱性攻撃が関与しているという。中身はDBD攻撃に使われる攻撃ツールによって異なり、多くの場合はAdobe ReaderやFlash、JRE(Java Runtime Environment)などの脆弱性を悪用する攻撃を踏まえて、最終的にユーザーを「ZeroAccess」や「Zbot」「Ransomware」、偽セキュリティソフトなどのマルウェアに感染させる。

 このうちJREの脆弱性悪用攻撃が活発に行われているほか、Internet Explorerの脆弱性を悪用する攻撃もみられている。DBD攻撃に対してはアプリケーションの脆弱性対策が不可欠であり、マルウェアに感染しないためにも、脆弱性を解決しておくなどの対策が必要だとアドバイスしている。

 さらに同社によれば、ランキング外ながらOffice製品の脆弱性を悪用する攻撃も続いている。脆弱性が修正されていない場合、バックドアなどのトロイの木馬に感染して機密情報が漏えいするなど深刻な被害に遭う可能性があり、不正な添付メールの対策や脆弱性の修正対応などを実施しておくべきだという。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130703-00000018-zdn_ep-sci
 米Appleは2日、Mac OS Xの脆弱性を修正する「Security Update 2013-003」を公開した。メニューの「ソフトウェア・アップデート」またはMac App Storeからアップデートできる。対象となるOSは、OS X 10.8.4(Mountain Lion)、OS X 10.7.5(Lion)、Mac OS X 10.6.8(Snow Leopard)。

 Security Update 2013-003では、QuickTime関連の3件の脆弱性を修正。いずれの脆弱性も、細工された悪意のある動画ファイルを開いた場合、任意のコードを実行させられる危険性がある。

URL
Security Update 2013-003に関する情報(英文)
http://support.apple.com/kb/HT5806

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130703_606200.html
 モバイルアプリのパーミッションについてユーザーがほとんど注意を払わない現状に付け込んで、マルウェアをインストールさせる手口が増えているという。セキュリティ企業の米McAfeeが6月27日に発表したモバイルセキュリティ報告書で明らかにした。

 同報告書ではMcAfeeのネットワークなどを通じて収集したモバイルアプリを分析し、課金用の番号にSMSを送信してしまうマルウェアや、Google Playのレーティングを5つ星にしてしまうマルウェアの事例について報告している。レーティング詐欺アプリは米国やインドほか64カ国でユーザーをだます目的で使われているという。

 特に無料ゲームアプリはこうしたマルウェアが仕込まれているケースが多いとMcAfeeは報告。ダウンロード数の多いマルウェア感染アプリ上位20本の分類では、ゲームを筆頭に、パーソナライゼーション、音楽、アダルトといった分野が大半を占めた。

 「ほとんどのコンシューマーはアプリのパーミッションのことが分かっていないか、気にかけていない。サイバー犯罪集団がその状況に付け込んで、モバイルマルウェアを配布する手段としてアプリのパーミッションを悪用するケースが増えている」とMcAfeeは警告している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130702-00000026-zdn_ep-sci
安倍内閣は2日の閣議で、政府機関へウイルスを仕込んだメールを送りつけ、情報を抜き取ろうとする「標的型メール攻撃」が、2009年度と比較して昨年度は約5倍の415件に増えたとする政府答弁書を決定した。

長妻昭元厚生労働相(民主党)の質問主意書への答弁書によると、「標的型メール攻撃」は09年度78件、10年度118件、11年度209件、12年度415件だった。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130702-00000040-asahi-pol
 独立行政法人情報処理推進機構(IPA)は1日、企業などのウェブサイト改ざんの被害が依然として相次いでいるとして、ウェブサイトの管理者に対して管理の再検討を呼び掛けている。

 2009年から2010年にかけて頻発した「Gumblar(ガンブラー)」によるウェブサイト改ざんでは、まずクライアントPCがウイルスによって狙われ、このPCに保存されていたFTPサーバーのIDとパスワードなどがウェブサイトの改ざんに利用された。

 現在、被害が相次いでいるウェブサイト改ざんでは、このガンブラーの手口とともに、「ウェブサーバーの脆弱性」や「簡単なFTPパスワード」を狙って侵入するという手口が加わっていることで、被害が拡大しているという。

 IPAに届けられた被害事例としては、ウェブアプリケーション(Apache Struts 2)のバージョンが古かったため脆弱性を悪用された例や、コンテンツマネージメントシステム(CMS)に容易に推定できる管理者パスワードを設定していた例、管理PCにウイルスが感染してパスワードが漏えいしたと推測される例などが挙げられている。

 IPAでは、ウェブサーバーの脆弱性に対する攻撃への対策としては、サーバーで稼働するすべてのプログラムを最新の状態に保つことを挙げ、サーバーにインストールされている主要なソフトウェア製品のバージョンが最新であるかを確認できる無償ツール「MyJVNバージョンチェッカ(サーバー用)」の利用を呼び掛けている。

 また、CMSを利用している場合にはプラグイン(拡張機能)も含めて最新にすること、Paralles Plesk Panelなどのサーバー管理ツールを利用している場合には他のプログラムが付随してインストールされている場合もあるため、それらすべてを最新にするよう注意している。

 クライアントPCを狙った攻撃への対策としては、管理用PCのOSやソフトウェアを最新状態にすることを挙げ、特にJavaやFlash Player、Adobe Readerは狙われやすいため、更新通知が表示されたら速やかに更新することや、自動更新機能を利用することを推奨している。

 また、セキュリティソフトやパーソナルファイアウォールを利用するとともに、ウェブサイトを更新できる場所(IPアドレス)を限定することや、ウェブサイトを更新するための専用PCの導入を検討することを対策として挙げている。

 サイト管理者用FTPのパスワードについては、文字種を組み合わせることや、少なくとも8文字以上にすること、辞書に載っているような単語や人名を含めないといった注意点を挙げるとともに、管理者アカウントやパスワードを複数人で共有しないよう呼び掛けている。

 ウェブ改ざんの被害が発生した際には、まずウェブサイトの公開を停止するとともに、FTPのパスワードを変更。これまでウェブサイトの管理に利用していたPCにはウイルス感染の可能性があるとして、別のPCから操作することを推奨している。また、利用者向けには別にウェブサイトを立てるなどして、調査状況の説明や問い合わせ窓口を設けるなど随時情報提供に努めてほしいとしている。

 その後、保管しておいたファイルとウェブサーバー上のファイルの比較などで、すべての改ざん個所の洗い出しの調査を実施。ウェブサイトを再公開する場合には、改ざんの事実の説明や、利用者が改ざんされたページを閲覧した場合に想定される被害、ウイルスのチェック方法、問い合わせ窓口の連絡先などを告知することを勧めている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130701_605921.html