パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!11月4日(月)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


2013年9月アーカイブ

Doctor Webは、感染したAndroidデバイスで構成される世界最大規模のボットネットを発見しました。現在までに、20万台を超えるスマートフォンがAndroid.SmsSendプログラムに感染し、ネットワークに追加されています。今回のケースでは、犯罪者の作成したサイトや感染してしまったサイトが主な感染源となっています。感染したデバイス数が最も多かった国はロシアで、次いでウクライナ、カザフスタン、ベラルーシ共和国となっており、被害額は数十万ドルに上ると推定されます。

デバイスを感染させボットネットに加えるために、犯罪者は複数の悪意のあるプログラムを使用してきました。それらのプログラムには、新たに発見されたAndroid.SmsSend.754.origin、モバイルwebブラウザとして拡散され2013年3月にDr.Webによって発見されたAndroid.SmsSend.412、2013年4月に発見されたAndroid.SmsSend.468.origin、2013年6月にDr.Webによって発見されたAndroid.SmsSend.585.originがあります。今回発見されたボットネットに関連するトロイの木馬の最初のバージョンはAndroid.SmsSend.233.originで、2012年11月にDr.Webウイルスデータベースに追加されています。多くの場合、感染源となっているのは犯罪者の作成したwebサイトや、マルウェアの拡散に利用されている感染したサイトです。

Android.SmsSend.754.originトロイの木馬はFlow_Player.apkという名前のapkアプリケーションです。インストールの際に、ユーザーはこのアプリケーションを管理者権限で実行するよう指示され、その結果、アプリケーションは画面のロックおよびロック解除を行うことが可能になります。さらにAndroid.SmsSend.754.originは、インストール後にそのアイコンをホーム画面から消去する機能を持っています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=674&lng=ja&c=2

ソースネクスト株式会社は、Windows用セキュリティソフト「クラウドセキュリティZERO」のパッケージ版を10月4日に発売する。1台用で2980円。

 クラウドセキュリティZEROは、クラウド上のデータベースによりウイルスを検知するタイプのセキュリティソフト。すでに5月にダウンロード版を発売していたが、パッケージ版も販売することとなった。

 ソースネクストでは、いったん購入すれば年間更新料不要で利用できるセキュリティソフトとして、低価格の「ウイルスセキュリティZERO」(1台用は1980円)、多機能な「スーパーセキュリティZERO」(1台用は3990円)もラインナップしている。その中間の価格帯の位置付けとなるのがクラウドセキュリティZEROであり、3製品のパッケージ版が出そろうかたちだ。

 これにともない従来よりパッケージ版を提供している2製品のパッケージを一新。クラウドセキュリティZEROとともに、シリーズ名の「ZERO」を大きくあしらったデザインとし、ソースネクストのセキュリティソフトのシリーズとして統一感を打ち出した。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130926_616935.html

マカフィーは、2013年8月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。さらに、今月は、McAfee Blogから関連する報告を紹介したい。

○ウイルス

今月も、Exploit Kitによるドライブバイダウンロード攻撃に関連した脅威のランクインがめだつ。検知会社数の2位と9位にランクインしているJS/Exploit!JNLPは、JRE(Java Runtime Environment)の脆弱性を攻略するために使われる不正なスクリプトである。このスクリプトは、JREを攻撃する不正なjarファイルのための設定ファイル(JNLPファイル)のダウンロードに使われる。最近、悪用されることが多いとのことだ。

McAfee Labs東京主任研究員の本城信輔氏は「ランクインしていませんが、このドライブバイダウンロード攻撃で最終的にインストールされるトロイの木馬の主なものに、金融機関のアカウント情報を盗むZeusがあります。最近では、日本の金融機関も多く狙われていることから警戒が必要です。感染予防は、脆弱性対策が一番効果的です。各ベンダーが公開しているアドバイザリ情報や、セキュリティパッチを定期的に確認するようにしてください」と注意喚起している。

○PUP

PUP(不審なプログラム)は、めだつほどではないが、ランキングに変化がみられる。検知データ数で、1位のAdware-Bprotectが大きく減少した。PUPの活動はさほど活発ではないが、フリーウェアの利用に引き続き注意したい。

○McAfee Blogより - 2つのExploit Kit

McAfee Blogでは、最新の脅威動向などを解説している。

脅威レポートにあったExploit Kitについての記事を紹介したい。上述したように、Exploit Kitには、StyxやRedKitなどが確認されている。それぞれのExploit Kitの挙動について紹介するものだ。まず、Styxである。Styxは2013年の4月にピークを記録している。その挙動を図示したのが、図2である。

第一段階は、正規のWebサイトからExploitファイルが仕込まれた不正なページへ誘導する。そこでは、さまざまな脆弱性が悪用され、PDFやJARファイルをダウンロードする。攻撃では「__applet_ssv_validated」パラメーターの値をTrueに設定し、Javaセキュリティチェックを回避するといった手口も使われる。最終的には、リモートサーバーから追加のマルウェアを配信するダウンローダがダウンロードされる。

また、この攻撃ではExploitファイルのダウンロードに、以下のような独自のURLパターンが使われる。

したがって、防御策として、この特定のURLをブロックすることが有効となる。McAfeeによると、このようなURLは比較的短期間で変わることが多いが、ほとんどが共通であった。当然のことながら、脆弱性の解消や不審なメールのリンクをクリックしないことが求められる。 次は、RedKitである。この攻撃概要を示したのが図3である。

Exploit Kitによる攻撃は類似したものが多い。RedKitでも、正規のWebページのリンクを改ざんし、RedKitのランディングページへ誘導する。この時点で感染が始まる。改ざんされたWebページのリンクは、ユーザーをだまして有害なリンクをクリックさせるスパムキャンペーンとして、メールで送付されることもある。こちらでも、特徴的なURLが使われる。PDFやJARファイルのダウンロードには、以下のURLが使われる。

防御策は、Styxと同様である。いずれもやや専門的な内容を含むが、興味をもたれたのであれば、ぜひ一読していただきたい。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130925-00000146-mycomj-sci

Doctor Webは、Dr.Web for Mac OS Xのバージョン9.0をリリースしました。新しい機能によってアプリケーションの使いやすさ、プログラムの実行速度と安定性が向上しました。

バージョン9.0では、ウイルススキャンの速度が向上し、スキャン中のシステムリソース消費がより小さくなりました。Dr.Web Anti-virus for Mac OS Xの安定性がより高くなりました。また、アップデートにかかる時間も短くなり効率的になりました。

アプリケーションのインストールおよびアンインストール方法がより簡単になり、dmgイメージ(ディスクイメージ)を/Applicationsフォルダにドラッグして実行するだけでインストールが、またそのディスクイメージをゴミ箱に移動するだけでアンインストールが可能になりました。

インターフェースがさらにユーザーフレンドリーになり、ライセンスマネージャーの使いやすさが向上しました。アンチウイルスの動作に関する各種の通知が画面上に表示されるようになりました。ユーザーは通知の種類を選択することができ、また通知そのものを無効にすることも出来ます。

スペイン語およびイタリア語に対応するようになりました。

バージョン9.0の対応しているOSはMac OS X 10.6以降です。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=672&lng=ja&c=2

エフセキュア株式会社は19日、セキュリティソフトの新製品「エフセキュア インターネット セキュリティ 2014」を発表した。価格は、1年・1台ライセンスの場合、ダウンロード版が3780円、パッケージ版が3980円。Windows 8/7/Vista(SP2以降)/XP(SP3以降)に対応する。ダウンロード版をエフセキュアのオンラインストアで販売するほか、30日間無料評価版も提供する。パッケージ版は、10月17日に出荷開始予定。

 新製品では、オンラインバンキング保護機能を強化。オンラインバンキング使用時のセキュリティ設定レベルを引き上げ、特別な保護機能を提供するという。また、Facebookプロフィール保護の新機能として、プライバシー設定がユーザーの意図した通りになっているか確認できる「Safe Profile」を実装した。このほか、脆弱性を突くエクスプロイトのブロックに特化した技術「ディープガード5」を搭載。よく悪用されるプログラムのプロセスをモニターし、エクスプロイトの試みを示す悪質な振る舞いをブロックするとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130920_616199.html

Android版トロイの木馬に注意

正規のソフトウェアのふりをしてコンピュータへ侵入し、データの消去やファイルの外部流出などの破壊活動を行うプログラム「トロイの木馬」。

最近はPCだけでなく、スマホにまで被害が拡大しているという。

ロシアのセキュリティ企業Kaspersky Labsは今年6月「最も洗練されたAndroidトロイの木馬を発見した」と発表。

この「Androidトロイの木馬」に感染すると、攻撃者からSMSメッセージが送信され、スマホに入っているほぼすべての情報を抜き取られてしまうのだとか。

このような被害に遭わないためには、常にスマホにセキュリティソフトをインストールしておくことはもちろん、不正なアプリやwebサイトには近づかない危機意識が大切だ。

【ニュースソース】Yahoo!ニュース
http://zasshi.news.yahoo.co.jp/article?a=20130920-00000003-rnijugo-sci

アップルが日本時間の19日にダウンロード提供を開始した「iOS 7」では、UIやデザインの刷新および新機能の追加など機能面でのアップデートのほか、脆弱性の修正も多数行われている。

同社が公開したセキュリティ情報によると、修正した脆弱性として「WebKit」「Safari」「Kernel」「CoreGraphics」「libxml」「Passcode Lock」などで41項目がリストアップされており、CVE番号ベースでカウントすると計80件に上る。内容としては、任意のコードの実行、情報漏えい、DoS攻撃などの恐れがあるものだ。

特にWebKitでは多数の修正が含まれており、細工された悪意あるウェブサイトを閲覧することでアプリが不正終了したり、任意のコードを実行される恐れのある脆弱性などを修正した。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130920_616233.html

トレンドマイクロ株式会社は19日、PC用セキュリティソフト「ウイルスバスター クラウド」の最新版を発表した。まずはトレンドマイクロ・オンラインショップで先行販売し、10月3日からは店頭販売なども開始する。

 対応OSは、Windows 8.1/8/7/Vista(SP2以上)/XP(SP3以上)、Mac OS X 10.7 Lion/OS X 10.8 Mountain Lion。価格は、ダウンロード版の1年版が4980円、3年版が1万1800円、パッケージ版の1年版が5980円、3年版が1万2800円など。なお、ウイルスバスター クラウド既存製品の有効期間内のライセンス保有者は無料でアップグレード可能。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130919_616091.html

株式会社シマンテックは、セキュリティ対策ソフトの新製品「ノートン セキュリティ」を9月20日に発売する。推定実売価格は6980円(1年3台版)。

 「ノートン セキュリティ」は、これまでのWindows向け「ノートン アンチウイルス」「ノートン インターネットセキュリティ」と、マルチデバイス対応の「ノートン360」関連製品を統合した新製品。ユーザーは、Windows、Mac、Android、iOS端末の中から最大3台のデバイスを保護できる(iOSは紛失・盗難対策と連絡先のバックアップ機能のみ対応)。

 さらに、25GBのバックアップ機能を備えた「ノートン セキュリティ with バックアップ」も9月20日に発売する。推定実売価格は8980円(1年3台版)。

 新製品では、1台分からのライセンスの追加購入に対応。追加したライセンスの有効期限は本体の有効期限と同じに設定されるため、更新タイミングがバラバラになることがない。ライセンスの追加購入は10月提供予定で、価格は未定。

 旧製品からのアップデートとしては、マルウェアに感染した際の高度な修復機能や、挙動ベースの保護エンジン「SONARエンジン」の強化、マルウェアの攻撃の痕跡を確実に除去してシステムを元の状態に戻す機能、簡単な設定と管理、パフォーマンスの向上、パスワード管理ツールの強化などを挙げている。

 シマンテックでは、「ノートン セキュリティ」の発売に合わせて、「ノートンの輪で、たいせつなキズナを守ろう」をテーマとした「キズナ」キャンペーンを展開。お笑い芸人の鉄拳とのコラボレーション企画として、鉄拳が今回のために描き下した、オリジナルのパラパラ漫画「キズナ」を特別サイトで20日に公開する。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130919_616022.html

日本マイクロソフト株式会社は18日、Internet Explorer(IE)に新たな脆弱性が発見されたとして、攻撃の回避策などを紹介するセキュリティアドバイザリ(2887505)を公開した。すでに、IE8およびIE9に対して、この脆弱性を悪用しようとする標的型攻撃が確認されているという。

 脆弱性が悪用された場合、特別に細工されたウェブページをIEで閲覧した際に、リモートでコードを実行させられる可能性がある。現在サポートされているすべてのIE(IE6~11)がこの脆弱性の影響を受ける。

 マイクロソフトでは、現在この問題について調査を進めており、調査が完了次第、セキュリティ更新プログラム(修正パッチ)の提供など適切な措置を講じるとしている。

 修正パッチ提供までの対策としては、攻撃を回避するためのプログラム「Fix it」を適用するか、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」の利用を推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130918_615777.html

Doctor Webは、ユーザーアカウント制御(UAC: User Account Control)をすり抜ける機能を備えた悪意のあるプログラムBackDoor.Saker.1についてユーザーの皆様に警告します。このプログラムの主な機能は、犯罪者から受け取ったコマンドに従い、ユーザーがキーボードに入力した内容を盗む(キーロギング)というものです。

このトロイの木馬はシステム内に侵入すると、UACをすり抜けるために設計されたtemp.exeファイルを実行します。このファイルはライブラリを抜き取り、explorer.exeプロセス内に自身のコードを挿入します。

この後、ライブラリはシステムフォルダ内に保存され、Trojan.MulDrop4.61259としてDr.Webアンチウイルスに検出された悪意のあるアプリケーションps.exeがSysprep ユーティリティの起動と同時にライブラリコードによって実行されます。

次に、このファイルは別のライブラリを他のフォルダ内に保存します。ライブラリファイルは"Net Security Service"という名前のサービスとしてWindows レジストリに登録され、「システムセキュリティと設定を注意して見てください。

このサービスが停止した場合、保護されたコンテンツはデバイス上にダウンロードされない場合があります。」といった内容の説明が表示されます。このライブラリに、メインとなるバックドアのペイロードが含まれています。

起動されると、BackDoor.Saker.1はWindowsのバージョン、CPU速度、RAMの空き容量、コンピューター名、ユーザー名、ハードディスクのシリアル番号などの感染したシステムに関する情報を収集し、それらを犯罪者に送信します。

次に、システムフォルダ内にファイルが作成され、そこにユーザーのキー入力(キーストローク)が記録されます。その後、バックドアはリモートサーバーからの応答を待ちます。応答には、バックドアが自身を再起動・シャットダウン・削除、シェル経由でコマンドを実行するために別々のスレッドを開始、感染したシステムからファイルをアップロードすることの出来る自身のファイルマネージャを起動、ネットワーク経由でファイルをダウンロード、フォルダを作成、ファイルを削除・移動・実行するためのコマンドが含まれていることがあります。

Dr.WebのウイルスデータベースにはBackDoor.Saker.1のシグネチャが既に追加されているため、この脅威がDoctor Webアンチウイルスのユーザーに対して危害を加えることはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=669&lng=ja&c=2

 Appleは12日、Mac用OS「OS X Mountain Lion」の最新アップデートとなるバージョン「10.8.5」を公開した。安定性と互換性の改善のほか、セキュリティ修正も行われており、すべてのMountain Lionユーザーにアップデートを推奨している。

 セキュリティ修正には、「Apache」「Bind」「Certificate Trust Policy」「CoreGraphics」「ImageIO」「Installer」「IPSec」「Kernel」「Mobile Device Management」「OpenSSL」「PHP」「PostgreSQL」「Power Management」「QuickTime」「Screen Lock」「sudo」という16のコンポーネントについての脆弱性修正が含まれている。

 セキュリティ修正については、旧バージョンの「OS X Lion 10.7.5」と「Mac OS X 10.6.8(Snow Leopard)」向けにも、それぞれ「Security Update 2013-004」が公開された。

 OS X Lion 10.7.5では12のコンポ―ネント、Mac OS X 10.6.8では7つのコンポーネントの脆弱性を修正しており、こちらについてもユーザーに対してアップデートを推奨している。

 このほか、Mac OS X 10.6.8向けにはウェブブラウザー「Safari 5.1.9」も公開された。「JavaScriptCore」の脆弱性を修正している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130913_615466.html

マカフィーは12日、同社の2014年版の個人向けセキュリティ製品のラインナップを発表した。

ラインナップは、「McAfee Total Protection 2014」(マカフィー トータルプロテクション 2014)、「McAfee Internet Security 2014」(マカフィー インターネットセキュリティ 2014)、「McAfee AntiVirus Plus 2014」(マカフィー アンチウイルス プラス 2014)。日本での店頭販売は第4四半期を予定している。

2014年度版では、2013年版のラインナップに搭載されたマルウェアスキャンエンジン"McAfee AM Core"が再設計されており、シグネチャファイルのサイズ縮小とCPU使用率が2013年版との比較において、スキャン速度が約50%向上。高速化と最適化が図られた、エンジンでゼロディ攻撃やキーロガー、トロイの木馬など最新の脅威にも効率的な防御を提供できるとしている。なお、これら機能強化は、顔・音声認識機能を搭載する同社の「McAfee LiveSafe」や「マカフィー オール アクセス」などのラインナップにも取り入れられる。

マカフィーのコンシューマー製品管理担当バイスプレジデント、アラン・ルフォール(Alan LeFort)氏からは発表に際し、以下のようなコメントも出ている。

「マカフィーでは、コンシューマー製品ラインのセキュリティコンポーネントを継続的に強化することにより、お客様のデバイスの速度や性能を維持しながら、続々と登場し蔓延するオンライン脅威に対してお客様の安全を確保できるように努力しています。マカフィーの2014年版の製品ラインアップを通じて、世界中のインターネット接続ユーザーのデジタル生活を有効かつ効率的に保護するという約束を、これまで以上に果たしていきます。」

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130913-00000144-mycomj-sci
 IPA(独立行政法人情報処理推進機構)は、脆弱性を含む古いバージョンのWordPressやMovable TypeなどのCMSを使い続けているウェブサイト運営者に対して、最新バージョンへの更新など早急な対策を行うよう呼びかけている。

 IPAによると、2013年に入ってウェブサイト改ざんの被害が急増しており、改ざんの手口の1つとしてCMSの脆弱性悪用が報告されている。

 IPAの脆弱性届出窓口には、攻撃に悪用された実例のあるCMS「WordPress」および「Movable Type」について、古いバージョンがウェブサイトで使い続けられているという届出が、6月から9月上旬までの約3カ月間で42件寄せられた。

 WordPressやMovable Typeの脆弱性を悪用する攻撃手法や攻撃ツールが出回っており、届出の一部には、データベースが不正に操作されるSQLインジェクションの脆弱性や、第三者にウェブページの編集を可能とするアクセス制限回避の脆弱性が含まれているバージョンの使用が確認されているという。

 IPAでは例年この時期にウェブサイトへの攻撃が多発しているため、脆弱性を放置しているとセキュリティ・インシデントに発展するリスクが高いと警告している。

 9月18日は、満州事変の発端となった柳条湖事件が発生した日で、例年中国からのサイバー攻撃が発生している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130913_615398.html

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」が12日、ウェブブラウザー「Opera」の旧バージョンにクロスサイトスクリプティング(XSS)の脆弱性があることを公表した。

 バージョン「15」より前のバージョンが影響を受けるとしており、対策として最新バージョンへのアップデートを呼び掛けている。なお、Operaの最新バージョンは現在、「16」となっている。

 ページのエンコード設定がUTF-8になっている場合においてXSSの脆弱性が存在し、Operaブラウザー上で任意のスクリプトが実行される可能性があるという。この脆弱性は、IPAの届け出窓口に2010年3月18日に情報が寄せられ、JPCERT/CCがベンダーと調整を行なった上で今回公表したもの。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130912_615287.html
 日本マイクロソフト株式会社は11日、9月の月例セキュリティ情報として公開した「MS13-072」「MS13-073」のセキュリティ更新プログラム(修正パッチ)について、修正パッチのインストール後も、繰り返しインストールを求められる現象が報告されているとして、公式ブログで状況を報告した。

 問題が発生しているのは、Office関連の「MS13-072」とExcel関連の「MS13-073」で提供している、3件の修正パッチ(KB2760411、KB2760583、KB2760588)。修正パッチを正しくインストールしても、繰り返しこれらの修正パッチのインストールを求められる。状況が発生する環境は、Office 2007 Service Pack 3およびOffice互換機能パックService Pack 3。

 現在、マイクロソフトでは調査を進めているが、インストールが必要な修正パッチを検出するロジックに問題があることがわかっており、数日以内に修正を行う予定としている。

 なお、一度修正パッチをインストールした場合は、正しく適用された状態となっているため、修正パッチを再度適用するよう求められても、インストールする必要はないという。

 また、9月のセキュリティ更新プログラムと同時に提供された、Office 2013のアップデートを行う更新プログラム「KB2817630」については、インストール後の不具合が報告されたため、Microsoft Updateを通じた配信を停止した。

 「KB2817630」は、Office 2013の不具合の修正などを行う更新プログラム。セキュリティ更新プログラムとは別に、9月11日に提供が開始されたが、公開直後からOutlook 2013環境でフォルダーペインが見えなくなるなどの不具合がユーザーから報告されたという。なお、この不具合は同じ11日に公開したOutlook関連のセキュリティ更新プログラム「MS13-068」とは関係なく、「KB2817630」に起因するものだとしている。

 問題の原因については、8月に公開した「KB2817347」と、今回の「KB2817630」のどちらか一方のみを適用した場合に、「outlook.exe」と「mso.dll」のバージョンが食い違うことで発生すると説明。対処方法としては、「KB2817347」「KB2817630」のインストールされている方をアンインストールするか、もしくは両方をインストールすることを挙げている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130912_615201.html
 米Adobe Systemsは10日、Adobe Reader/AcrobatのWindows/Mac版について、セキュリティアップデートを公開した。ユーザーに対して最新バージョンへのアップデートを推奨している。

 今回公開された最新バージョンは、Adobe Reader/Acrobat XIがバージョン「11.0.04」、Adobe Reader/Acrobat Xがバージョン「10.1.8」。

 CVE番号ベースで8件の脆弱性を修正する。細工したPDFファイルなどをAdobe Reader/Acrobatで開かせることで、リモートで不正終了を引き起こしたり、任意のコードを実行させたりするのに悪用される可能性があるという。

 脆弱性の危険度は、4段階中で最も高い"Critical"とのレーティングだ。また、アップデートを適用する優先度については、3段階中の2番目になる"Priority 2"となっている。これは、「過去に攻撃リスクが高いとされたことのある脆弱性」を解決するものだが、現時点では攻撃対象になっているとの報告はなされておらず、Adobeでも過去の実績から判断し、今後悪用されることにはならないとの認識。「近い将来に(例えば30日以内)適用すること」を推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130911_614999.html
 米Adobe Systemsは10日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。ユーザーに対して最新バージョンへのアップデートを推奨している。

 Flash Playerの最新バージョンは、Windows/Mac版が「11.8.800.168」または「11.7.700.242」、Linux版が「11.2.202.310」、Android 4.x版が「11.1.115.81」、Android 3.x/2.x版が「11.1.111.73」。また、Adobe AIRの最新バージョン「3.8.0.1430」も提供する。

 標準でFlash Playerを同梱しているウェブブラウザーのGoogle ChromeとInternet Explorer 10についても、GoogleとMicrosoftからそれぞれ提供されるアップデートにより、Flash Playerがアップデートされる。

 今回のアップデートで修正する脆弱性は、CVE番号ベースで4件。これらの脆弱性を悪用する細工を施したコンテンツをユーザーに開かせることで、攻撃者がリモートでFlash Playerを不正終了させたり、任意のコードを実行させる可能性があるという。脆弱性の危険度は、4段階中で最も高い"Critical"とレーティングされている。また、アップデートを適用する優先度は、Flash PlayerWindows/Mac版が3段階中で最も高い"Priority 1"、その他は最も低い"Priority 3"。

 このほかAdobeでは、Shockwave Playerの脆弱性を修正するセキュリティアップデートとしてバージョン「12.0.4.144」を公開。Windows/Macに対応しており、ユーザーにアップデートを推奨している。アップデートを適用する優先度は"Priority 1"。

 "Priority 1"のアップデートは、「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を修正するもので、「直ちに(例えば72時間以内)適用すること」が推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130911_615011.html
シマンテックは10日、日本のユーザーを狙ったワンクリック詐欺アプリが、8月に大量にGoogle Playで公開されていたとして、公式ブログで注意を呼び掛けた。

シマンテックの調査によると、1月から8月末までにGoogle Playで公開されたワンクリック詐欺アプリは合計で約2500個で、8月の1カ月だけで約1000個が公開された。

これらのアプリは、少なくとも累計8500回のダウンロードがあり、大半のアプリは公開の翌朝にはストアから削除されているが、「詐欺師たちにとっては、ダウンロード数を稼ぐのに十分な時間のようだ」と分析している。

最新型の詐欺アプリの例としては、起動するといくつかのアダルト関連動画サイトへのリンクを表示するが、このうち一部が詐欺サイトへの誘導リンクとなっているものを紹介。

他の合法的なリンクに悪質なリンクを紛れ込ませることで、セキュリティチェックを逃れようとするもので、悪質なリンクもリダイレクトを利用することで、詐欺師側がどこに誘導するかをサーバー側で簡単に変更できるようになっているという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130911_615063.html
 日本マイクロソフト株式会社は11日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報13件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が4件、2番目に高い"重要"が9件。各修正パッチにより、合計47件の脆弱性を修正する。

 事前情報では14件のセキュリティ情報が公開予定だったが、緊急度"重要"の1件のセキュリティ情報については不具合が確認されたため公開が延期された。

 最大深刻度が"緊急"のセキュリティ情報は、「MS13-067」「MS13-068」「MS13-069」「MS13-070」の4件。

 「MS13-067」は、SharePoint Serverに関する10件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたパケットを受信することで、リモートでコードが実行される可能性がある。影響を受けるソフトは、SharePoint Portal Server 2003、SharePoint Server 2013/2010/2007、SharePoint Foundation 2013/2010、Office Web Apps 2010。

 「MS13-068」は、Outlookに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたS/MIMEメールをOutlookでプレビュー表示した際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、Outlook 2010/2007。

 「MS13-069」は、Internet Explorer(IE)に関する10件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、IE 10/9/8/7/6。

 「MS13-070」は、Windowsに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたOLEオブジェクトを開いた際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、Windows XPおよびWindows Server 2003。

 このほか、最大深刻度"重要"のセキュリティ情報として、Windowsテーマファイル関連の「MS13-071」、Office関連の「MS13-072」、Excel関連の「MS13-073」、Access関連の「MS13-074」、Office IME(中国語版)関連の「MS13-075」、カーネルモードドライバー関連の「MS13-076」、Windowsサービスコントロールマネージャー関連の「MS13-078」、Active Directory関連の「MS13-079」の計9件を公開している。

 マイクロソフトでは、ユーザーに対しては自動更新を有効にして、可能な限り早期に修正パッチをインストールすることを求めている。また、企業ユーザーなどで適用に優先付けが必要な場合には、「MS13-067」「MS13-068」「MS13-069」の3件を優先的に適用することを推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130911_614965.html

 株式会社三井住友銀行は9日、インターネットバンキングサービス「SMBCダイレクト」のセキュリティ強化として、10月21日からカード型のワンタイムパスワード生成機「パスワードカード」を導入すると発表した。

 現在用いている乱数表による「暗証カード」の新規発行は停止し、既存の利用者についてもパスワードカードへの切り替えを積極的に推奨。現行の乱数表による認証方式は、一定期間経過後に廃止する予定としている。
新たに導入する「パスワードカード」

 三井住友銀行では、インターネットバンキング利用者を狙った犯罪対策として、2013年1月からワンタイムパスワードのパスワード生成機を希望者に無料で提供し、乱数表による暗証カードと併用することでセキュリティ強化を図ってきた。

 今回、さらなる強化策として、厚さ3mmのカード型ワンタイムパスワード生成機「パスワードカード」を導入。インターネットバンキングの新規契約者と、切り替えを希望する利用者にパスワードカードを無料で提供し、パスワードカードの利用者については、振り込みなどの重要取り引き時の本人認証をワンタイムパスワードのみとする。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130910_614804.html

 朝日生命保険相互会社は6日、「第38回アサヒフォトコンテスト」の特設サイトが改ざんされ、閲覧者にウイルス感染の可能性があることが判明したと発表した。

 改ざんされていた期間は、8月19日10時4分から8月31日14時57分まで。この期間中に同サイトを閲覧した場合、ウイルス感染の可能性があるとしており、該当者に対してウイルス対策ソフトでチェックするよう呼び掛けている。朝日生命によると、この間に同サイトにアクセスした人は347人。

 朝日生命では、上記改ざん期間の後、アサヒフォトコンテストのサイトを正常化して応募を受けて受けていたが、万全を期すため閉鎖することにしたという。

 なお、今回の件に伴う顧客の個人情報の流出はなく、同社サイトの他のコーナーへの影響もないとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130909_614634.html
Doctor Webは、Linux.Hanthieと名付けられた、Linuxを狙う新たな悪意のあるプログラムについてユーザーの皆様に警告します。詳細な解析の結果、"Hand of Thief"としても知られるこのトロイの木馬は、幅広い悪意のある機能を実行するだけでなく、アンチウイルスによる検出を避けるためシステム内に自身を隠ぺいすることが可能であるということが明らかになりました。

現在このマルウェアは、アンダーグラウンドでのハッカーフォーラムにて頻繁に売買されています。Linux.Hanthieはアンチウイルスによる検出を妨げるテクノロジーを搭載し、管理者権限を必要とせずユーザーに気づかれることなく起動し、コントロールパネルとの通信に強度の高い暗号化(256-bit)を使用します。また、ボットの設定ファイルには多くのパラメータが含まれ、その柔軟な設定を可能にしています。

このトロイの木馬は起動されると、アンチウイルスソフトウェアおよびそのアップデートをダウンロードするサイトへのアクセスをブロックします。さらに、アンチウイルススキャンを回避し、リモートや仮想での環境で動作することが可能です。

Linux.Hanthieの最新のバージョンは自身を複製する機能を持たないため、開発者は、ソーシャルエンジニアリングの手法を利用してそれらを拡散するよう犯罪者に対して推奨しています。このトロイの木馬はUbuntu、Fedora、Debianなど様々なLinuxディストリビューション上での動作、およびGNOMEやKDEなどの8種類のデスクトップ環境での動作が可能です。

Linux.Hanthi起動後、システム内でこのトロイの木馬のプロセスや仮想マシンが既に動作していないかどうかを、自身のインストーラによってチェックします。次にスタートアップファイルを作成し、そのコピーをディスク上のフォルダ内に置きます。さらに、tempファイル内にライブラリを作成し、実行中の全てのプロセスに対してそのコードの挿入を試みます。失敗した場合、tempファイル内にある、C&Cサーバーとの通信のみを司る別の実行ファイルを起動させ、オリジナルコピーを削除します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=666&lng=ja&c=2
 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、ウェブサイト改ざん被害が急激に増加しているとして、ウェブサイトの運営者や管理者に対して改めて点検と対策を行うよう呼びかけた。

 JPCERT/CCでは、ウェブサイト改ざんの被害件数が2013年6月と7月には1000件を超えるなど、最近になって急激な増加が見受けられると指摘。また、IPAへの被害の届け出も同様の増加が見られるとして、これまでにも注意喚起を行ってきた。

 IPAとJPCERT/CCでは、増加しているウェブサイトへの攻撃の代表的な例として、1)ウェブサイトの管理端末への侵入によるウェブサイト改ざん、2)パスワードリスト攻撃、3)ソフトウェアの脆弱性を狙った攻撃、4)SQLインジェクション攻撃――の4種類を挙げ、それぞれの対策方法を紹介している。

 ウェブサイトの管理端末への侵入によるウェブサイト改ざんへの対策については、管理端末のOSやアプリケーションを最新の状態にすることを挙げている。

 パスワードリスト攻撃への対策としては、IDやパスワードを使い回さないことをウェブサイトの利用者に対して呼びかけるほか、ID・パスワード以外に本人確認の要素を取り入れる「二要素認証」などの導入も検討することを勧めている。

 ソフトウェアの脆弱性を狙った攻撃については、最近の事例として「Apache Struts 2」やWordPress用の「Xhanch - My Twitter」プラグイン、「Parallels Plesk Panel」といった脆弱性が悪用されたケースを紹介。脆弱性修正済みのバージョンへのアップデートを行うとともに、OSやミドルウェアのサーバー製品に関しても可能な限り最新版の利用を推奨するとしている。

 SQLインジェクション攻撃への対策としては、ウェブのアプリケーションを自組織で作成している場合には、IPAが公開している「安全なウェブサイトの作り方」「ウェブ健康診断」などを参考にして、SQLインジェクションの有無の確認やSQLインジェクションの対策を実施すること。コンテンツ管理システム(CMS)などを利用している場合には、できるだけ最新のバージョンを利用することを推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130906_614399.html

 日本マイクロソフト株式会社は6日、9月11日に公開を予定している月例のセキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報について、事前通知を公開した。

 公開を予定しているセキュリティ情報は14件で、脆弱性の最大深刻度は4段階で最も高い"緊急"が4件、2番目に高い"重要"が10件。

 最大深刻度"緊急"の4件は、Internet Explorer(IE)に関するものが1件、Windowsに関するものが1件、Outlookに関するものが1件、SharePointに関するものが1件。いずれも、リモートでコードが実行される可能性のある脆弱性を修正する。

 IE関連のセキュリティ情報は、IE 6~10の全バージョンが対象となっている。Windowsに関するものは、Windows XPおよびWindows Server 2003のみが対象。Outlookに関するものは、Outlook 2010/2007が対象。

 SharePoint関連のセキュリティ情報は、SharePoint Portal Server 2003、SharePoint Services 3.0/2.0、SharePoint Server 2013/2010/2007、SharePoint Foundation 2013/2010、Office Web Apps 2010と多数の製品が対象となる。

 最大深刻度"重要"の10件は、Windows関連が5件、Office関連が5件。リモートでコードが実行される可能性のある脆弱性や、特権の昇格、情報漏えい、サービス拒否につながる脆弱性を修正する。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130906_614318.html

 蘭AVG Technologiesは4日(日本時間)、無償のウイルス対策ソフト「AVG アンチウイルス 2014 無料版」を公開した。現在、同社の日本語公式ページからダウンロード可能。また、上位の有償版「AVG アンチウイルス 2014」(年額2,970円、税込み)および「AVG インターネットセキュリティ 2014」(年額3,360円、税込み)の販売も開始されている。

 「AVG アンチウイルス 2014 無料版」には、ファイルの完全削除機能が追加された。ディスクにファイルの痕跡を残すことなく削除することが可能。また、「AVG インターネットセキュリティ 2014」にはファイルを暗号化する機能が新たに搭載されている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130905-00000104-impress-sci
マカフィーは4日、Android向けの不正アプリに関し、2013年1月から4月までの各月ごとに、最も標的になりやすい国をMcAfee Blogで紹介した。不正アプリは、正規のアプリへの偽装や感染デバイスからの情報送信するものなどが対象。ロシアやインド、アメリカなどが上位となっている。

2013年の1月/2月/3月/4月に検出された不正アプリのトップ10のサンプルには、「正規のアプリケーションを偽装する」、「感染したデバイスから情報を盗み取る」、「勝手に課金SMSメッセージを送信する」、「感染したデバイスからルート権限の奪取を試みる」、「不正なアドウェアを表示する」などの不正プログラムが組まれている。

マカフィーは「国ごとの感染数は毎月変化する可能性があるが、被害が多い上位国はほぼ決まっている」と紹介。2013年1月から4月までの各月における不正アプリ検出国のシェアグラフでは、ロシアが1月/3月/4月で最多。インドは1月/2月/3月で2番目に検出率が高い結果となっている。

また、Android向けのマルウェアについては、各月でロシアが86%~88%を占める。Operaブラウザのインストーラを装い高額のSMSメッセージを送信する「FakeInstaller」がロシアで蔓延しているほか、端末をトロイの木馬化し機密情報を盗み取る「GinMaste」が中国で猛威をふるっているという。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130904-00000150-mycomj-sci
 パソコンなどで金融機関の口座取引をするインターネットバンキング狙いの不正送金事件が、県内で発生していたことが2日分かった。

端末を不正プログラム「ウイルス」に感染させ、口座のパスワードなどを割り出す手口で、今年1~7月末の被害は8件、総額940万円に上る。

県警は不正アクセス禁止法違反や電子計算機使用詐欺などの疑いで捜査に乗り出した。

同様の犯行は全国で急増しており、専門家は「完全に防ぐことは難しいが、ウイルス対策ソフトなどで自己防衛してほしい」と呼び掛けている。 

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130903-00000010-fminpo-l07
ファイア・アイ株式会社は8月30日、FireEye本社が8月20日(米国時間)にレポート「Poison Ivy: Assessing Damage and Extracting Intelligence(Poison Ivy:被害の評価と活動実態の解明)」を公開したと発表した。本レポートは、オリジナル版の登場から8年が経った現在も人気が高く、その効果を保っており、Fortune 1000企業の攻撃にも悪用されたマルウェアであるリモート・アクセス・ツール(RAT)「Poison Ivy」の復活に注目して解説した報告書。また本レポートの発行にあわせ、コンピュータのPoison Ivy感染の有無を検出する無償ツールのパッケージ「Calamine」の提供を開始した。

Poison Ivyは、2011年に発生したRSA SecurityのSecurIDデータに対する攻撃で使用されたことで有名。またPoison Ivyは、同年に行われた、化学メーカーや官公庁、防衛関連企業、人権団体に対する協調攻撃「Nitro」でも使用されていた。レポートではPoison Ivyを使用している複数の国民国家を背景とした攻撃者を特定している。たとえば、2008年から活動しており、金融サービス企業をはじめ通信事業者や官公庁、防衛関連企業などを標的とする「admin@338」。2009年に初めて存在が確認され、高等教育機関やヘルスケア業界を中心に、さまざまな業種の組織へ攻撃している「th3bug」。米国およびその他の国の防衛関連企業を標的にしているものと推定される「menuPass」などを取り上げている。

レポートと同時に公開された「Calamine」パッケージは、Poison Ivyを利用した攻撃の痕跡を探し出すことができるツール。痕跡には、Poison Ivyプロセスのミューテックスとパスワード、外部へのデータ送信やネットワーク内での移動を示すデコードされたC&C用のトラフィック、Poison Ivyのマルウェア活動のタイムラインなどがある。レポートでは、「Calamine」パッケージがどのようにしてこれらの情報と攻撃の別の側面とを結びつけるかについて解説している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130902-00000005-scan-sci
 独立行政法人情報処理推進機構(IPA)は2日、インターネットバンキングの不正送金による被害が増えているとして、インターネットバンキング利用時の注意点などを「今月の呼びかけ」として公表した。

 インターネットバンキング利用者を狙った攻撃としては、利用者のPCにウイルスを感染させることで、不正なポップアップ画面を表示させ、インターネットバンキングのIDやパスワード、乱数表、合言葉などの情報を盗み取るものが従来の手口だった。

 こうした手口への対策としては、ワンタイムパスワードと呼ばれる使い捨てのパスワードを取り引きの度に用いる方法がある。

 しかし、新たな手口では、ウイルスがウェブメールのログイン情報を盗み取る機能も持っており、ワンタイムパスワードをウェブメールで受け取っている場合には、この情報も盗みとられてしまい、認証が破られてしまう危険性があるという。

 なお、ワンタイムパスワードには、トークンと呼ばれる専用の機器やスマートフォンのアプリによりパスワードを生成する方法もあり、これらの方法はこうした攻撃の影響は受けない。

 IPAでは、ワンタイムパスワードを利用することで、過去のフィッシングや不正なポップアップなどを用いた手口などによる不正送金の被害はほとんど防げたと考えられるとして、利用中のインターネットバンキングでワンタイムパスワードが提供されている場合には、積極的に利用することを勧めている。

 ただし、ワンタイムパスワードをメールで受け取る場合には、外部から不正にメールを取得することが難しい、携帯電話会社が提供しているメールアドレスの利用を推奨している。

 インターネットバンキングを利用する際の注意点としては、インターネットバンキングなどの金融機関は、乱数表や合言葉などのすべての入力を求めることはないため、そうした画面が表示された場合には入力せずにサービス提供元に確認することを呼びかけている。

 また、被害を最小限にするために、金融機関が提供している振り込み完了通知などのメールサービスを、常に確認できる携帯電話などのメールアドレスに設定しておくこと。インターネットバンキングなどのサイトはブックマークしておき、ウェブの検索結果やメールのリンクなどからアクセスしないこと。モバイル端末の場合は、インターネットバンキングを利用するための公式アプリが提供されている場合には、それを利用することなどを推奨している。

 さらに、一般的なウイルスに感染しないための対策として、使用しているPCのOSやアプリケーションなどを最新の状態にアップデートすることや、セキュリティソフトを購入してウイルス定義ファイルを最新に保つことを呼びかけている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130903_613722.html
 ネットバンキングのIDやパスワードを盗む目的のウイルスに感染する事件が多発していることから、警視庁は30日までに、ウイルスの発信源を調べるため、不正アクセス禁止法違反容疑で警察庁を通じて米捜査機関に捜査共助を要請した。米司法省は連邦捜査局(FBI)などと調整の上、捜査協力するとみられる。

 捜査関係者などによると、これまでに感染した標的のパソコン(PC)を遠隔操作するC&C(Command and Control、指揮統制)と呼ばれるサーバーが米国と欧州に複数あることが確認された。

 警視庁は7月下旬に米側にサーバーのログ(通信履歴)の保全などを要請した。今後、欧州の捜査当局にも捜査共助を要請することを検討している。

 国内では1万5000台以上のPCがウイルスに感染したことが判明している。

 ウイルスは「シタデル」や「ゼウス」と呼ばれるもので、改ざんされた大手企業や官庁のホームページ閲覧を通じPCに感染。偽のネットバンキングのログイン画面が表示され、IDやパスワードが盗まれ、不正送金の被害に遭う恐れがある。

 感染させるウイルスの種類を変えれば、遠隔操作によりネット上の掲示板に意図しない書き込みをされる危険性もある。 

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130830-00000093-jij-soci
 トレンドマイクロは29日、Java 6に存在する未修正の脆弱性が報告され、この脆弱性を悪用する攻撃も確認されているとして、ユーザーに対して最新版(Java 7)への更新を呼び掛けた。

 問題の悪用コードは、トレンドマイクロのセキュリティ製品では「JAVA_EXPLOIT.ABC」という名称で検出に対応するもので、Oracleが6月のセキュリティアップデートで修正した脆弱性「CVE-2013-2463」を悪用する。この脆弱性は、エクスプロイトキット「Neutrino」でも利用されていることが確認されており、今後はさらに身代金要求型不正プログラム(ランサムウェア)などでも悪用される恐れがあるという。

 この脆弱性は、旧バージョンのJava 6も影響を受けるが、OracleではすでにJava 6のサポートを終了しているため、この脆弱性を修正するアップデートは一般に提供しておらず、Java 7へのアップデートを推奨している。

 トレンドマイクロでは、現在でも50%以上のユーザーがJava 6を使用している状況であり、この脆弱性の悪用コードは深刻な結果を引き起こす可能性があると警告。ユーザーに対して、最新版のJava(8月30日時点ではJava 7 Update 25)に更新するよう呼びかけている。

 なお、Mac OS X向けのJava 6については、Appleが独自バージョンのJava 6を提供していたため、セキュリティアップデートについてもAppleが提供を続けており、6月に公開したセキュリティアップデートで該当の脆弱性は修正済みとされている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130830_613388.html