パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2013年11月アーカイブ

米Microsoftは27日、Windowsカーネルに新たな脆弱性が見つかったとして、セキュリティアドバイザリ(2914486)を出した。Windows XPとWindows Server 2003に影響するもので、この脆弱性の悪用を試みる限定的な標的型攻撃がすでに確認されているという。

 Windowsカーネルの脆弱性により、特権が昇格されるというもの。攻撃に成功するとカーネルモードで任意のコードを実行できるため、攻撃者がプログラムをインストールしたり、データの閲覧・変更・削除、あるいはフル管理権限を持つアカウントを新しく作成するといったことが可能になる。

 ただし、この脆弱性を悪用するには、攻撃者が有効な資格情報を所有し、ローカルでログオンできることが条件となる。リモートから、または匿名ユーザーによって悪用されることはないと思われるとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131128_625555.html

株式会社シマンテックは26日、ジャストシステムの「一太郎」シリーズに存在する脆弱性について、実際に動作する悪用コードが確認されたとして、早急にアップデートモジュールを適用するようユーザーに呼び掛けた。

 この脆弱性は、「一太郎2006」以降の一太郎シリーズなどに存在するもので、特別な細工がされたファイルをユーザーが開くことで、任意のコードを実行させられる危険がある。対象製品は、一太郎2013/2012/2011/2010/2009/2008/2007/2006、一太郎Pro 2/Pro、一太郎Government 7/6、一太郎ガバメント2010/2009/2008/2007/2006、一太郎ポータブル with oreplug、一太郎ビューア。これらの製品を含むSuite製品、パック製品も対象となる。

 シマンテックの公式ブログによると、脆弱性が確認された時点では攻撃コードはうまく機能せず、実際にPCへの侵入はなかったが、その後、攻撃者の意図通りに動作する悪用コードが複数の事例で確認された。悪用コードは、標的型攻撃でよく使われているバックドアを利用して標的のPCに侵入できるもので、脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式だという。

 悪質な文書ファイルには、「Backdoor.Korplug」「Backdoor.Misdat」「Trojan Horse」として検出されるバックドア型のマルウェアを投下するシェルコードが含まれる。「Backdoor.Korplug」は2012年に出現して以来、標的型攻撃で頻繁に利用されており、「Backdoor.Misdat」は2011年に米国や日本に拠点を置く組織が狙われた際に主に確認されたが、最近の攻撃ではあまり使われていないとしている。

 シマンテックでは、当初の攻撃では悪用の試みに失敗していたが、その後は戦術を変え、各種のバックドアを使うようになり、悪用に成功するようになっていると説明。また、今回の攻撃では標的が広がり、より多くの組織が狙われるようになっていることも確認しており、攻撃者がテスト運用の段階を終え、実害のある攻撃を仕掛ける段階に入ったのではないかと推測している。

 ただし、今回の脆弱性については、修正用のアップデートモジュールが既に公開されているため、大騒ぎをする必要はないとして、ユーザーに対してアップデートモジュールを直ちに適用することを呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131127_625256.html

Dr.WEB、2013年10月のモバイル脅威

Doctor Webでは2013年より新しいシステムを導入し、Android搭載のモバイルデバイスを狙った悪意のあるアプリケーションに関する統計情報を収集しています。10月に収集されたデータの解析結果から、9月にはDr.Web for Androidのファイルモニターによって1100万件を超える脅威が検出され、ユーザーによるスキャンでは400万件を超えるマルウェアが検出されていることが明らかになりました。

Doctor Webのアナリストによると、2013年10月1~31日の間にDr.Web for Androidスキャナーがユーザーによって起動された回数はおよそ2300万回でした。ファイルモニターがマルウェアおよび望ましくないアプリケーションを検出した回数は9月の1150万回をやや上回る1184万671回となり、ユーザーによるスキャンでは9月とほぼ同じ447万6437件の脅威が検出されていました。

Dr.Web for Androidファイルモニターによって検出された悪意のあるプログラムの数が最も多かった国はロシア(391万4680件)、次いでサウジアラビア(161万2518件)、イラク(160万8631件)となっています。詳細については以下の表をご覧ください。

1. Russia 3 914 680
2. Saudi Arabia 1 612 518
3. Iraq 1 608 631
4. Ukraine 668 589
5. Kazakhstan 583 072
6. Turkey 538 370
7. Oman 231 933
8. Belarus 224 807
9. India 171 682
10. Iran 136 050

ロシア、サウジアラビア、イラクはまた、スキャナーによって検出されたマルウェアの数が最も多かった国でもあります。

1. Russia 1 186 227
2. Saudi Arabia 789 091
3. Iraq 599 592
4. Ukraine 148 359
5. Turkey 147 712
6. Malaysia 130 543
7. India 129 248
8. Kazakhstan 103 009
9. Iran 85 841
10. Thailand 85 517

最も感染件数の多かった都市は、モスクワ、リヤド、バグダード、ジッダ、キエフ、サンクトペテルブルク、ロストフ・ナ・ドヌ、エカテリンブルクでした。

全体として、モバイルデバイスは依然としてウイルス開発者の格好の的であり、Androidモバイルデバイスに対する脅威は着実に増加を続けていることが分かります。また、その標的としてはロシアおよびその旧独立国家共同体(CIS)が最も多いことが見て取れます。

脅威からの保護には、全ての機能をご利用いただける有償版Dr.Web for Androidの使用を推奨します。

Doctor Webでは、今後もAndroidを狙った脅威に関する状況を注意深く監視していきます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=684&lng=ja&c=2

ウイルス対策ソフト会社になりすましたメールを使って受信者のコンピュータをマルウェアに感染させる攻撃が広がっているという。米Symantecが11月26日にブログで報告し、注意を呼び掛けた。

 このメールは、ウイルス対策ソフト会社から送信されたように偽装され、「各自で重要なシステム更新をインストールする必要がある」と記載されている。メールに添付されたファイルは、ウイルス対策ソフトの修正パッチを思わせるファイル名になっているが、これを開くとマルウェアに感染する恐れがある。このマルウェアは外部サイトからさらに別のマルウェアを呼び込むという。

 攻撃メールで社名などを悪用されたウイルス対策ソフト会社は、Symantecの他にAvira、Avast、AVG、Baidu、ESET、Kaspersky、McAfee、Trend Microなど。件名にはいずれも「重要なシステム更新のお知らせ」「緊急に対応が必要」といった文言が使われていた。

 この手口についてSymantecは、ウイルス定義ファイルが用意されていない未知の脅威に対するユーザーの不安につけ込み、「修正パッチと称する不審なファイルを開かせてマルウェアをインストールさせようとしている」と解説する。

 こうした攻撃を回避するには、メールの中の疑わしいリンクをクリックしないことや、知らない相手から送信されたメールの添付ファイルを開かないこと、フィッシングやソーシャルネットワークでの詐欺から保護するセキュリティソフトウェアの利用などを推奨している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131126-00000027-zdn_ep-sci

Doctor Webは、SAPエンタープライズソフトウェアを標的とする悪意のあるプログラムについてユーザーの皆様に警告します。このプログラムは、個人情報だけでなくユーザーが入力したパスワードをも盗む、Trojan.PWS.Ibankと名付けられ広く拡散されているバンキングトロイの木馬ファミリーに属しています。

Doctor Webアナリストによる詳細な解析の結果、この脅威はTrojan.PWS.Ibankファミリーの他のマルウェアと異なり、ボットの構造に変更が加えられていることが明らかになりました。そのIPC(Inter-Process Communication)ルーチンは改変され、SOCKS5サブルーチンは削除されています。一方で、このトロイの木馬の内部暗号化ルーチンは従来のままです。また、そのペイロードも他のTrojan.PWS.Ibankプログラム同様、別々のダイナミックリンクライブラリに含まれ、犯罪者のC&Cサーバーとの通信にも同じプロトコルが使用されています。

このトロイの木馬のインストーラーは、デバッガまたは仮想マシン環境で起動されているかどうかを検出する機能によって解析を妨げ、また、Sandboxie環境で起動されているかどうかの確認も実行します。32ビット版および64ビット版いずれのWindows上でも動作することができ、異なるプラットフォームに対してそれぞれ異なる感染手法を用います。メインモジュールの実行するコマンドには、バンキングクライアントソフトウェアの動作をブロックする機能をトグルオン/オフするコマンド、C&Cサーバーからの設定ファイルをプログラムに与えるコマンドが追加され、従来のTrojan.PWS.Ibankプログラムに比べて2つ多くなっています。

Trojan.PWS.Ibankプログラムは、実行中の様々なプロセス内に自身のコードを挿入する機能を備えていますが、さらに、今回の新しいバージョンでは実行中のアプリケーションの名前を判別するルーチンが追加されています。そのようなアプリケーションの1つにSAPエンタープライズソフトウェアがあります。売上や税金などを管理するための多くのコンポーネントが組み込まれたこのソフトウェアは、結果として大量の機密情報を扱います。感染したシステム内でSAPソフトウェアを検出するこのトロイの木馬の最初のバージョンは、6月には既にインターネット経由で拡散されており、Trojan.PWS.Ibank.690としてDr.Webウイルスデータベースに追加されています。また、最新の亜種はTrojan.PWS.Ibank.752として追加されました。Trojan.PWS.Ibankプログラムは、次の悪意のある動作を実行します。

・ユーザーの入力したパスワードを盗み、データを犯罪者に送信する
・アンチウイルス会社のwebサイトへのアクセスをブロックする
・C&Cサーバーから受け取ったコマンドを実行する
・感染したコンピューター上でプロキシサーバーやVNCサーバーを起動させる
・OSやブートセクターに対し、修復不可能なダメージを与える

セキュリティエキスパートは、SAPソフトウェアおよびERPソフトウェアに対するウイルス開発者の関心が高まりつつあることに警戒心を抱いています。それらのソフトウェアが扱うビジネス上の機密情報が犯罪者によって盗まれてしまう恐れがあります。

現在までのところ、SAPソフトウェアに対するTrojan.PWS.Ibankプログラムの動作は、感染したシステム内にSAPが存在するかどうかを確認する、動作中のプロセスに自身のコードを挿入する、の2つに限られ、大きな損害は発生していません。しかし、ウイルス開発者は来たるべき攻撃の実行に備えて下準備を進めている段階であるという可能性も否定できません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=685&lng=ja&c=2

今年1月から11月22日までに県警が把握したインターネットバンキングによる不正送金の被害は100件に上り、昨年1年間の33倍に達することが、県警への取材で分かった。被害総額も72倍の約1億150万円と激増。県警は「新たなウイルスや手口によって被害が拡大する恐れがある」と警戒を強めている。

 ネットバンキングは、ネット上で振り込みなどができる金融機関のサービス。利用者のパソコンをウイルスに感染させてIDやパスワードを盗み、預金を別口座に不正送金する手口で被害が広がっている。

 県警サイバー犯罪対策課によると、県警が把握した被害は統計を取り始めた2011年が8件で計約800万円、12年は3件で計約140万円だった。今年に入って被害が激増している原因については、犯行グループの増加や新しいウイルスの開発などを挙げる。

 現金を引き出す「出し子」役などの末端グループは、海外に拠点を置く中核グループに安価な報酬で雇われ指示を受けているとみられる。盗まれた預金が海外に送金されるケースも多い上、その際に第三者を介在させる新たな手口「マネーミュール」も確認されるなど、全容解明の障害にもなっている。警察庁によると、不正送金に使われる口座の7割が中国人名義という。

 同課は「ウイルスに感染しないようパソコンのセキュリティーを常に最新に保ってほしい」と注意を呼び掛けている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131123-00000007-kana-l14

【Dr.WEB】2013年10月のウイルス脅威

2013年の秋には、トロイの木馬エンコーダーの急増が見られました。10月には、システムがエンコーダーに感染してしまったユーザーからの何百件もの問い合わせがDoctor Webテクニカルサポートサービスに寄せられ、また、Androidを狙った新たな悪意のあるプログラムも出現しました。

■ウイルス
Dr.Web CureIt!によって収集された統計によると、2013年10月に最も多く検出された脅威はダウンローダーTrojan.LoadMoney.1で、その亜種の1つTrojan.LoadMoney.76も上位に含まれました。hostsファイルを改変してユーザーのブラウザを詐欺サイトやフィッシングサイトへリダレクトするTrojan.Hosts.6815も多くのコンピューターを感染させ、ダウンローダーTrojan.InstallMonster.28やアドウェアTrojan.Lyrics.11も多く検出されました。以下の表は、10月にDr.Web CureIt!によって最も多く検出された脅威です。

Name Quantity  %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

■ボットネット
ファイルインフェクターWin32.Rmnet.12に感染したコンピューターから成るボットネットは9月と同じ速度で拡大を続けています。1つ目のサブネットに新たに追加されるコンピューターの数は1日に平均15,000台、2つ目のサブネットでは11,000台となっています。以下のグラフは、2013年10月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

一方、Trojan.Rmnet.19に感染したコンピューターの数は10月の初めには4,640台、同月の末には3,851台と減少を続けています。

BackDoor.Bulknet.739ボットネットの規模には変化は見られず、10月28日の時点で1,539台の感染したコンピューターが含まれています。

また、BackDoor.Flashback.39に感染したMacの数は徐々に減少しており、9月末の38,288台から31,553台になっています。

■Androidに対する脅威
10月、Android ユーザーから個人情報を盗む新たな悪意のあるアプリケーションが複数、Doctor Web のアナリストによって発見されました。そのうち、Android.Spy.40.origin、Android.Spy.49.origin、Android.SmsForward.14.originは韓国のユーザーを標的としていました。これらのトロイの木馬は、悪意のあるapkファイルをダウンロードするためのリンクを含んだSMSによって拡散されています。この拡散手法は犯罪者によって長い間利用されてきたものですが、現在でも衰えることのない人気から、その効率の良さが伺えます。

同種の他の悪意のあるプログラム同様、これらのトロイの木馬は受信するSMSメッセージを傍受します。そのようなメッセージには、個人的なやり取りやビジネスでのやり取り、銀行アカウント情報、オンラインバンキングの取引認証に使用されるmTANコードなどの重要な情報が含まれている場合も少なくありません。中でも特に注目に値するのは、Androidの脆弱性を悪用することでアンチウイルスによるスキャンから逃れるです。この目的を果たすために、犯罪者はこのトロイの木馬のapkファイルを改変しています。この脅威に関する詳細はこちらの記事(http://news.drweb.co.jp/show/?i=680&lng=ja&c=2)をご覧ください。

また10月には、ポピュラーなゲームの一部として中国のサイトから拡散され、Android.Zoo.1.originと名付けられた、複数のタスクを実行するトロイの木馬も発見されています。モバイルデバイス上に侵入を果たすと、Android.Zoo.1.originはアドレス帳に登録された情報を盗み、それらをリモートサーバーに送信します。さらに、別の悪意のあるアプリケーションをダウンロード・インストールし、高額な番号にSMSを送信、ブラウザでwebページを開きます。

その他、高額な番号にSMSを送信するAndroid.SmsSendおよびAndroid.SmsBotの新たな亜種も発見されました。Dr.Webウイルスデータベースには、ここ数か月間にこれらのファミリーに属するマルウェアが複数追加されており、中にはポピュラーなアプリケーションやそのインストーラーを装って拡散されるAndroid.SmsSend.853.origin、Android.SmsSend.888.origin、Android.SmsBot.7.originが含まれています。

■その他の脅威
●バンキングトロイの木馬Gameover ZeuSと共にCryptoLockerを拡散するUpatre
10月10日、Dell SecureWorksは、トロイの木馬ダウンローダーを利用して拡散されているGameover ZeuSについての報告を行いました。その後、感染したシステム上のデータを復号化するためにユーザーからお金を脅し取るCryptoLockerもまた、このダウンローダーによって拡散されていることがセキュリティエキスパートによって明らかになりました。

Trojan.DownLoadファミリーに含まれるこのプログラムは、感染したコンピューター上に別のマルウェアをダウンロードするだけの機能を持ち、zipファイルやpdfファイルを装ってスパムメッセージの添付ファイルとして拡散されます。ユーザーが添付ファイルを開くと同時にマルウェア(Zbot/ZeuSトロイの木馬およびCryptoLocker)がコンピューター上にダウンロードされます。このエンコーダーはシステムへのアクセスをブロックするだけでなく、ファイルを復号化するためにユーザーから金銭を要求します。

セキュリティエキスパートによる解析の結果、添付ファイルに含まれたTrojan.DownLoadによってTrojan.PWS.Pandaがダウンロードされ、次にこのTrojan.PWS.PandaがCryptoLockerをダウンロードしているということが確認されました。

その結果、これらの悪意のあるプログラムに感染してしまったコンピューターのユーザーは、オンラインバンキングのアカウント情報を盗まれ、不正な送金による金銭的被害を受けるだけでなく、CryptoLockerによってファイルを暗号化されてしまいます。マルウェアが暗号化に使用する手法の複雑さが、ユーザーによる自力でのファイルの復元を不可能にしています。

CryptoLockerはDr.Web によってTrojan.Encoder.304として検出されます(2013年10月25日にDr.Webウイルスデータベースに追加されました)。

Dr.Webソフトウェアのインストールされているシステムは、これらの脅威から保護されています。しかし、受ける被害の深刻さから、ユーザーの皆様には、信頼できない送信元から受け取ったメールの添付ファイルを開かない、チェックされていないリンクを開かない、定期的にファイルのバックアップをとる、合法ソフトウェアを使用しそれらをアップデートする、などのルールを守り、警戒を怠ることのないよう推奨します。

●Dexter:カード所有者を狙った新たな脅威
Dexterマルウェアの新たなバージョンの登場により、南アフリカの銀行では数百万ドルの損害が生じ、何百万というクレジットカードやデビットカードが被害を受けました。Dexter は小売店やレストランのPOS端末に接続されたコンピューターを感染させ、そのメモリからカードデータを盗みます。データは暗号化され、犯罪者のサーバーへと送信されます。

セキュリティエキスパートによると、Dexterは2012年には既に確認されており、その亜種はAlina、BlackPOS、Vskimmerとしても知られています。数か月の間に40カ国で何百台もの端末が感染し、それらの多くは北アメリカおよびイギリスのものでした。

このマルウェアはDr.Web によってTrojan.Packed.23683、Trojan.Packed.23684、Trojan.Packed.23685として検出されます(2012年9月27日にDr.Webウイルスデータベースに追加されました)。

●スパムメールを拡散するP2P Zeus
10月の初旬、スパムやフィッシングメールをトラッキングするwebサイトの多くが、マルウェア(バンキングトロイの木馬P2P Zeusであると考えられています)の新たなバージョンがスパムメールを利用して拡散されていることについて報告しています。オーストラリアのメジャーなサイトによると、それらのスパムの数は135,000件を超えています。

スキャマーはSMTPプロトコルを利用して偽のアドレスからメールを送信していますが、実際のメールアドレスはfraud@aexp.com、IPアドレスは190.213.190.211で、そのサーバーはトリニダード・トバゴにあると考えられます。政府機関や銀行からのものを装ったメッセージのヘッダには金融取引やセキュリティ警告などに関する言葉が含まれ、損失を恐れた被害者が添付ファイルを開くよう仕組まれています。

メールに添付されたファイル(*. zipファイルや*. pdfファイルを装っています)は実行ファイルで、ユーザーに開かれるとTrojan.DownLoad3.28161、Trojan.DownLoader10.16610、Trojan.Inject1.27909(2013年10月9~10日にDr.Webウイルスデータベースに追加されました)がダウンロードされます。

これらのマルウェアによって、バンキングトロイの木馬P2P Zeusが被害者のコンピューター上にダウンロードされていると考えられます。

P2P ZeusはDr.Webによって Trojan.PWS.Panda.4379として検出されます。このトロイの木馬は、バンキングアカウント情報を犯罪者に送信し、様々なプログラムのキーやパスワードを盗み、ユーザーによるキーボード入力を記録し、スクリーンショットを撮り、感染させたシステムをボットネットに加え、犯罪者のサーバーから受け取ったコマンドを実行し、個人情報を盗むための偽のサイト(フィッシングサイト)へと被害者をリダレクトします。ユーザーの皆様には、信頼できない送信元から受け取ったメールの添付ファイルを開かない、チェックされていないリンクを開かない、アンチウイルスを使用してお使いのデバイスを保護し、インストールしたアンチウイルスのアップデートを行うことを推奨します。

■10月にメールトラフィック内で検出されたマルウェアTop20
 01.10.2013 00:00 - 31.10.2013 23:00  
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

10月にユーザーのコンピューター上で検出されたマルウェアTop20
 01.10.2013 00:00 - 31.10.2013 23:00  
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=683&lng=ja&c=2

独立行政法人 情報処理推進機構(IPA)は11月20日、マイクロソフト社が提供する「Microsoft Office」などの脆弱性を悪用する国内の組織に対する標的型攻撃を確認したとして、注意喚起を発表した。この脆弱性(CVE-2013-3906)を悪用する標的型メール攻撃は、件名、本文、添付ファイル名などには日本語が使われており、「履歴書.zip」という名称の添付ファイルを解凍して得られるWordファイルを開くことで、PCがマルウェアに感染する。

この攻撃は、業務上、添付ファイルを開いて内容を確認する必要がある、組織外向けの問い合わせ窓口へのメールを装うという手口が使われていた。IPAでは、今後発生しうる他の攻撃に対しても有効であることは保証できないものの、IPAが入手した攻撃メールに添付されていた検体については、マイクロソフト社が公開している「Fix it 51004」を適用した環境では攻撃が失敗する(攻撃メールに添付された文書ファイルを開いてもマルウェアに感染しない)ことを確認している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131121-00000001-scan-sci

独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は20日、オープンソースのショッピングサイト構築システム「EC-CUBE」に計6件の脆弱性が見つかったことを公表した。同システムの運用者に対して、開発者である株式会社ロックオンが提供する情報をもとに、最新版へのアップデートもしくは修正ファイルの適用を行うよう呼び掛けている。

 今回公表されたのは、クロスサイトスクリプティング(XSS)の脆弱性が2件、情報漏えいの脆弱性が3件、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が1件。影響を受けるバージョンなどの詳細は、IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」や、ロックオンが運営するEC-CUBEのウェブサイトで公開している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131120_624363.html

コミュファ光 Webメールをかたるフィッシングメールが出回っています。

■メールの件名
親愛なる顧客

■概要
1. 2013/11/19 14:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2.このようなフィッシングサイトにてアカウント情報 (メールアドレスやメールパスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■フィッシングサイトノURL
http://www.commufa-jp-protection-activation-●●●●.tk/
http://commufa-jp-protection-activation-html.●●●●.com/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/commufa20131119.html

トレンドマイクロ株式会社は11月15日、新たな活動をする従来型の不正プログラムによる攻撃を同社「TrendLabs(トレンドラボ)」が確認したと同社ブログで発表した。この不正プログラムは、トレンドマイクロの製品では「BKDR_SINOWAL.COP」として検出され、特にセキュリティベンダ「Trusteer」のオンライン銀行向けのセキュリティソフトである「Trusteer Rapport」の無効化を試みる。「Trusteer Rapport」は、フィッシング攻撃および「Man in the Browser(MitB)攻撃」からユーザを守るソフトウェア。

トレンドラボは、この脅威についてTrusteerと連絡を取っており、攻撃者が「Trusteer Rapport」の無効化には成功していないことを確認している。しかし、「BKDR_SINOWAL.COP」は自身ではMitB攻撃を実行する機能を備えていない。つまりこの不正プログラムは、この種の攻撃を成功させるためにプラグインコンポーネントや他の不正プログラムを必要とする。それは「BKDR_ANDROM.LSK」として検出される「BKDR_ANDROM」ファミリの亜種が含まれる圧縮ファイルで、メールの添付ファイルとして侵入する。攻撃者は「BKDR_SINOWAL」の特別な攻撃を防ぐソフトウェアを無効化する機能を利用し、オンライン銀行詐欺ツール「ZBOT」のWebサイトへの挿入によるMitB活動の成功率を高める意図があると同社ではみている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131118-00000000-scan-sci

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
三菱東京UFJ銀行ーー安全確認

■詳細
1. 2013/11/18 18:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2.このようなフィッシングサイトにてアカウント情報 (ご契約番号やIBログインパスワード) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■フィッシングサイトのURL
http://www.●●●●.com/images/
http://www.●●●●.com/img/
http://www.●●●●.net/images/index.htm
http://bk.mufg.jp.uaa.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http://bk.mufg.jp.dqi.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001


【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/mufg20131118.html

トレンドマイクロでは、iPhone など iOSデバイスをクラッシュさせ強制的に再起動させるファイルを含む URL が、Twitter 上のツイートや各種メッセンジャーのメッセージなどでイタズラ的に拡散されていることを確認しました。このファイルは拡張子が Mov の動画ファイルとして、URL が拡散されています。この URL に iPhone でアクセスすると、内部的に何らかのエラーが発生し強制的に再起動されます。特に iOS7 では再起動前にブルースクリーン状態となることもあります。

トレンドマイクロでは、この動画ファイルの URL について Twitter 上での拡散状況を確認しました。日本でのこの URL を含む最初のツイートは 11月8日の午後 2時ころと考えられます。その後、本稿執筆中の 11月14日午後 5時の時点までで 196件の日本ユーザによるツイートが確認できました。これらの URL を頒布するツイートのほとんどは一般のユーザによるイタズラ的拡散のようです。このように一般のユーザにより拡散される状況は、今年3月に確認されたブラウザクラッシャー(ブラクラ)の URL拡散と同様であり、明確な攻撃の意図を持っていないユーザの行動によっても、脅威が拡散されてしまうことが、再び証明された事例と言えるでしょう。

トレンドマイクロではこの再起動を引き起こす Movファイルについて解析を行っています。結果、このファイルは拡張子通り、QuickTime形式の動画ファイルであることが確認できました。Mac OS X上でこのファイルを再生した場合、特に問題なく動画が再生されます。

しかし、より詳細にファイル形式を調べた結果、正しいファイル形式と比較してヘッダ構造が一部欠損している破損ファイルとなっていることもわかりました。このヘッダの破損のため、iOS上では再生できず、再起動を誘発しているものと考えられます。また、このファイルは「FFmpeg」という動画変換エンジンにより、動画形式の変換が行われたファイルであることもファイル内のデータから判明しました。これらの解析から、問題の動画ファイルは明確な脆弱性攻撃の意図をもって作成されたものではなく、何らかの変換エラーにより偶然発生したファイルが悪用されているものと思われます。ただし、このような偶発的なエラー発生の確認から新しいエクスプロイト(脆弱性攻撃コード)が作成される可能性もありますので、注意が必要です。

3月のブラクラ事例同様、今回の事例も結果的に深刻な被害に繋がるものではありませんでした。しかし、ソーシャルメディア上で誘導される URL の先に何が待っているかは、アクセス前にはわかりません。より深刻な被害をもたらす脅威である可能性もあります。iOS デバイスでは不正アプリの可能性が低いこともありセキュリティ上の注意が低くなりがちですが、今後はソーシャルメディア上で頒布される URL について安易にアクセスしないこと、また、不審な URL を安易に他者に広めないことを併せて推奨します。

■トレンドマイクロの対策:
トレンドマイクロでは今回の不正動画ファイルの URL を含め、危険度の高い URL へのアクセス遮断を、Webサイトの危険性評価である WRS(Web Reputation Service)機能により実現しています。WRS機能は「ウイルスバスター クラウド」、Android OS用セキュリティソフト「ウイルスバスターモバイルfor Android」、iOS向け無料ツール「Smart Surfing for iPhone OS」などの製品で提供されています。
これらの製品や機能を有効にして対策を強化することを、トレンドマイクロでは推奨します。

※解析およびリサーチ:林 憲明(Forward-looking Threat Research)および 吉川 孝志(Regional Trend Labs)

【ニュースソース】トレンドマイクロ
http://blog.trendmicro.co.jp/archives/8114

ESET割引キャンペーン実施中!

ESET割引キャンペーン実施中!

ESETセキュリティソフトはこんなお客様にオススメです

1.パソコンの動作が重くて悩んでいる方...

パソコン動作を重くする原因の1つに、ウイルス対策ソフトがあげられます。ESETはその存在を忘れるほどの軽量設計になっています。
つまり...... ESETは、「軽い」!!!
    
2.今使っているウイルス対策ソフトの検出力が不安な方...

ESETは定義ファイルにない未知のウイルスを検出する高性能なヒューリスティック機能を備えています。
つまり...... ESETは、「正確」!!!

3.どのウイルス対策ソフトを選ぶと良いか分からない方...

ESETはご利用者向けのアンケートで約95%が「購入に満足」と回答いただきました。また、国際的な第三者機関による評価でも数多くの賞を受賞しております。

つまり...... ESETは、「世界が認めた高性能」!!!

キングソフト(株)は14日、無料で使えるセキュリティ対策ソフト"KINGSOFT Internet Security"シリーズの最新版「KINGSOFT Internet Security 2014」を公開した。最新版の主な変更点は、独自のマルウェアスキャンエンジンに加え、検出精度に定評のある老舗セキュリティベンダーAvira社製のエンジンを搭載し、ダブルエンジンとなったこと。

同社によると、これによりウイルス検出率が大幅に改良されたという。セキュリティソフトの品質テストを行っている第三者機関"AV-Comparatives"による2013年9月の"File Detection Test"では、検出率99.7%というトップクラスの成績を収めている。

 さらに、パソコンを無線LANのアクセスポイント化する"テザリング"機能が搭載された。テザリング機能を利用すれば有線LANしか利用できない環境でも、スマートフォンやタブレットをLAN経由でネットへ接続することが可能。テザリング機能はメイン画面上の[テザリング]ボタンから起動するほか、デスクトップにショートカットを作成して直接起動することもできる。

 そのほか、フィッシング詐欺対策として"セーフアクセス"機能が追加された。セーフアクセス機能では、主要なポータルサイトやショッピングサイト、金融機関などフィッシング詐欺で偽装されがちなWebサイトのリンクが用意されており、このリンクからWebブラウザーを起動することで確実に本物のWebサイトを利用することが可能。

 本ソフトは、64bit版を含むWindows XP/Vita/7/8/8.1に対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。また、1年間980円(税込み)または無期限で1,980円(税込み)のライセンスを購入することで、広告を非表示にすることもできる。

 なお本ソフトのインストール時に、「Yahoo!ツールバー」などのソフトのインストールを勧められるが、拒否することも可能。また、Webページの下部に広告を表示するソフト「Navinow」が同時にインストールされるが、インストール後に「Navinow」だけをアンインストール可能。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131114-00000079-impress-sci

米Adobe Systemsは12日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。ユーザーに対して最新バージョンへのアップデートを推奨している。

 最新バージョンは、Windows/Mac版が「11.9.900.152」または「11.7.700.252」、Linux版が「11.2.202.327」。また、Windows/Mac/Android/SDKなどのAdobe AIRについても、最新バージョン「3.9.0.1210」を提供する。

 Flash Playerを標準で同梱しているウェブブラウザーのGoogle ChromeとInternet Explorer 11/10では、各ブラウザーのアップデートにより自動的にFlash Playerもアップデートされる。

 今回のアップデートで修正する脆弱性は、細工したコンテンツをユーザーに開かせることで、Flash Playerを不正終了させたり、任意のコードを実行させることが可能になるというもの。

 Adobeでは、脆弱性の危険度を、4段階中で最も高い"Critical"とレーティングしている。また、アップデートを適用する優先度は、Windows/Macにおいて3段階中で最も高い"Priority 1"、LinuxとAdobe AIRでは最も低い"Priority 3"。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131113_623376.html

日本マイクロソフト株式会社は13日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報8件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が3件、2番目に高い"重要"が5件。各修正パッチにより合計19件の脆弱性を修正する。

 最大深刻度が"緊急"のセキュリティ情報は、「MS13-088」「MS13-089」「MS13-090」の3件。

 「MS13-088」は、Internet Explorer(IE)に関する10件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、リモートでコードを実行される可能性がある。影響を受けるソフトはIE 11/10/9/8/7/6。

 「MS13-089」は、Graphic Device Interface(GDI)に関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたWriteファイル(.wri)をワードパッドで開いた際に、リモートでコードが実行される可能性がある。影響を受けるOSはWindows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2013 R2/2012/2008 R2/2008/2003。

 「MS13-090」は、脆弱性が確認されたActiveXコントロールの実行を無効にするためのKill Bitを設定する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、リモートでコードを実行される可能性がある。影響を受けるOSはWindows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2013 R2/2012/2008 R2/2008/2003。

 このほか、最大深刻度"重要"のセキュリティ情報として、Office関連の「MS13-091」、Hyper-V関連の「MS13-092」、Windows Ancillary Functionドライバー関連の「MS13-093」、Outlook関連の「MS13-094」、デジタル署名関連の「MS13-095」の5件が公開されている。

 マイクロソフトでは、Windowsの自動更新機能を有効にして、可能な限り早急に修正パッチをインストールすることを求めている。また、企業ユーザーなどで適用に優先付けが必要な場合には、「MS13-088」「MS13-089」「MS13-090」の3件を最優先で検討することを推奨している。

 また、マイクロソフトがセキュリティアドバイザリ(2896666)を11月5日に公開した、グラフィックコンポーネントに関する脆弱性については、今回のセキュリティ更新では修正されない。マイクロソフトでは現在、修正パッチの開発を進めており、準備ができしだい提供するとしている。

 このほか、新規のセキュリティアドバイザリとして、DirectAccessの脆弱性によりセキュリティ機能のバイパスが起こる問題(2862152)や、RC4を無効化するための更新プログラム(2868725)、マイクロソフトルート証明書プログラムでのSHA-1ハッシュアルゴリズムの廃止(2880823)の3件を公開している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131113_623341.html

マカフィー株式会社は11月11日、2013年10月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、前月に続いて脆弱性を悪用したドライブ・バイ・ダウンロード攻撃に関連した脅威がランクインしている。検知会社数のランクには、BlackholeなどのExploit Kitで使われる不正なJavaScriptや設定ファイル等を対象とした脅威が多数見られた。

これらのExploit Kitによって感染させられるトロイの木馬には、オンライン金融サイトのパスワードを盗む「Zeus」(検知名:PWS-Zbot)や、偽セキュリティソフトウェア(検知名:FakeAlert-SecurityToolなど)のほか、ルートキット機能とバックドア機能をもつ「ZeroAccess」などがあり、感染すると深刻な被害に会う可能性がある。これらの感染予防策には、脆弱性対策が最も有効であるとしている。

また、多くの脆弱性攻撃では、マルウェアである実行可能ファイルをいったんTempフォルダに保存してから実行する例が多いため、Tempフォルダの実行可能ファイルの制御することで感染を未然に防ぐことがある程度可能としている。なお11月には、新たにWindowsやOffice製品にTIFFファイルの処理に関する脆弱性(CVE-2013-3906)が発見された。McAfee Labsでは、すでにゼロデイ攻撃が発生していることを確認おり、早急な対応を呼びかけている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131112-00000002-scan-sci

ソースネクスト株式会社は12日、ウイルス対策ソフト「スーパーセキュリティZERO」を無料バージョンアップすると発表した。パスワード管理機能と動作レポート機能を新たに搭載した。

 パスワード管理機能は、個人情報やログイン情報などを暗号化して保存しておける機能。保存内容はマスターパスワード入力時のみ見ることができる。また、ログインが必要なウェブサイトのID・パスワードを登録しておけば、ログイン情報を自動入力可能になる。

 動作レポート機能は、同ソフトの1週間の動作をレポートするものだ。スキャンされたファイルおよびマルウェアとして検知されたファイルの数、スキャンされたウェブページの数などを確認できる。

 スーパーセキュリティZEROは、Bitdefenderのエンジンを使用したウイルス対策ソフトで、Windows 8.1/8/7/Vista/XPに対応。価格は1台用が3800円、3台用(Android用「スマートフォンセキュリティ」1台3年版のライセンスも付属)が7600円。更新料0円で提供しているのが特徴。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131112_623121.html

BBソフトサービス株式会社は、セキュリティソフト「Internet SagiWall」が検出した詐欺サイトについて、10月度のレポートを発表した。

 10月における詐欺サイトの検知数は76万2005件(前月比14.1%増)。内訳は、ワンクリック・不当請求詐欺サイトが88.5%(同9.7ポイント減)、フィッシング詐欺サイトが1.4%(同0.6ポイント増)、マルウェア感染サイト0.1%(同0.2ポイント減)、ボーガスウェア配布サイトが12.2%(同12.0ポイント増)、脆弱性悪用サイトが0.6%(同0.1ポイント増)。ボーガスウェア配布サイトの検知が大幅に増加している。

 ボーガスウェアとは、「ウイルスが見つかりました」といったメッセージを表示して、役に立たない偽セキュリティソフトをインストールさせ、購入を迫る手口。アンインストールしようとしても削除できず、請求画面が出続けるほか、スパイウェアに感染させて情報漏えいを引き起こすようなものも確認されているという。

 BBソフトサービスによると、「ad.yieldmanager.com」というトラッキングCookieのプログラムが詐欺サイトの広告を表示させていた。トラッキングCookie自体は有害なものではないが、表示される広告のランディングページが偽ソフトのダウンロードサイトとなっていた例が、9月から10月にかけて多く見られたという。ただし、現在は終息したとしている。

 10月はWindows 8.1がリリースされたこともあり、Windows製品の偽販売サイトや海賊版販売サイトの検知も増加。Windows 8を格安で購入し、無料アップグレードできると表示していたという。

 BBソフトサービスでは、偽販売サイトの特徴として「新製品など大きな関心を集める商材を絡め、いかにもありそうな偽販売サイトを立ち上げる手口が多く見られる」として、それを見抜くポイントとして、「ページ上の日本語の使い方がおかしい」「商品の発送元が中国やアジアになっている」「実在しない日本の住所を使っている、あるいは実在する住所だが会社が存在しない」「銀行口座の名義が外国人名(中国系が多い)」という点を挙げている。

 ただし、「最近は、一見不審な点が見つからない精巧な作りの偽サイトも出現している」として注意を呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131112_623202.html

株式会社ジャストシステムは12日、「一太郎」シリーズ製品に脆弱性の存在を確認したとして、アップデートモジュールを公開した。

 脆弱性が悪用された場合、細工されたファイルをユーザーが開いた際に、任意のコードが実行される可能性がある。

 対象製品は、一太郎2013/2012/2011/2010/2009/2008/2007/2006、一太郎Pro 2/Pro、一太郎Government 7/6、一太郎ガバメント2010/2009/2008/2007/2006、一太郎ポータブル with oreplug、一太郎ビューア。これらの製品を含むSuite製品、パック製品も対象となる。ジャストシステムでは、アップデートモジュールの適用を強く推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131112_623137.html

日本マイクロソフト株式会社は、11月13日に公開を予定している月例のセキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報の事前情報を公開した。公開を予定しているセキュリティ情報は8件で、脆弱性の最大深刻度は、4段階で最も高い"緊急"が3件、2番目に高い"重要"が5件。

 最大深刻度"緊急"の3件は、Internet Explorer(IE)に関するものが1件、Windowsに関するものが2件。

 IE関連のセキュリティ情報は、マイクロソフトが現在サポートしているすべてのIE(IE6~11)が対象となる。また、Windows関連の2件も、サポート中のすべてのWindows(Windows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が対象となる。

 最大深刻度"重要"の5件では、WindowsやOffice、Outlookなどの脆弱性を修正する。

 なお、Microsoft Security Response Centerによれば、5日に公開したセキュリティアドバイザリ(2896666)で明らかにしたWindows VistaやOffice 2010/2007/2003などに影響のある脆弱性に対する修正は、今回のセキュリティ更新では行われないという。マイクロソフトでは、現在修正パッチの開発を進めており、準備ができしだい提供するとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131108_622707.html

Doctor Webは、モバイルデバイスユーザーを悪意のあるサイトへリダレクトするようなwebサイトが急増していることについてユーザーの皆様に警告します。このようなサイトは、コンピューターからのアクセスに対しては何の危害も加えませんが、Androidデバイスからアクセスした場合は非常に危険です。Doctor Webでは、モバイルサイトのリダレクトについて、またその他URLに関連した最新の脅威についての情報を提供し、モバイルデバイスからそのようなサイトへのアクセスを防止するためにDr.Web URLologistのページを設置しました。

お使いのモバイルデバイスから訪問するサイトは全てよく知られた安全なサイトであると思っていても、その自信からくる油断が甚大な金銭的被害を招いてしまう可能性があります。また、感染しているサイトの所有者や管理者自身が、訪問者に対して危害を加えているということに気が付いていない場合もあります。

多くのwebサイトはCMS(Content Management Systems:コンテンツマネジメントシステム)を使用して管理されています。CMSはコンテンツを編集、配信したり、サイトのデザインや構成を変更したりするためのシステムで、その多くがオープンソースライセンスのもと、つまり無料で提供されているため、そのソースコードは誰でも入手することが可能です。犯罪者は以上の点を利用してCMSコンポーネントの構造を解析し、発見した脆弱性を悪用してサイト(CMSによって管理される)を感染させます。

犯罪者の狙いがAndroidユーザーであった場合、感染したサイトにコンピューターからアクセスしたユーザーに対しては何の危害も与えられません。一方で、犯罪者によってサイト内に埋め込まれたスクリプトによって、Androidデバイスからアクセスしていると判別されたユーザーは、直ちに悪意のあるサイトへとリダレクトされます。リダレクト先のサイトからは悪意のあるソフトウェアがデバイス上への侵入を試み、フィッシング攻撃が実行されることがあります。

感染させたwebサイトを利用して、犯罪者は様々な悪意のあるプログラムを拡散させます。中でも特に多いのはAndroid.SmsSendの亜種で、このトロイの木馬ファミリーは高額な番号に課金SMSを送信し、ユーザーを有料サービスに登録してアカウントから定期的にお金を引き落とします。さらに、感染したデバイス上の個人情報を犯罪者に送信するアドウェア、バンキングトロイの木馬、スパイウェアなどもまた、そのようなサイトからAndroidデバイスに侵入します。

ロシアのインターネット・セグメントのサイトのうち約3% が、危険なソフトウェアを拡散する悪意のあるサイトへAndroidユーザーをリダレクトしていることがDoctor Webアナリストによって明らかになっています。Androidデバイスをトロイの木馬に感染させるサイトは4万5,000を超え、詐欺サイトやフィッシングサイトを含めると、その数は10万、20万にも上ると考えられます。

Doctor Webの新しいページは、これらの危険についての注意喚起を目的としており、特に、デバイス上にアンチウイルスソフトウェアをインストールしていないユーザーにとって有用となるでしょう。ただし、最も効果的なセキュリティ対策は完全なアンチウイルス保護の導入です。このページでは、モバイルデバイスを保護するDr.Webモバイル、コンピューターを保護するDr.Web Security Spaceについての詳細もご覧いただけます。

インターネットサーフィンを楽しむ際には是非Dr.Webをご利用ください!またインターネットサイトの所有者に対しては、訪問者がリダレクト先となるサイトのチェックを行うことが出来るよう、そのwebページ上に該当するオンラインフォームを設置することを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=681&lng=ja&c=2

Microsoft 社の Microsoft Office 等に リモートからコード(命令)が実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。
既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、回避策を適用して下さい。

対象
以下の Microsoft 製品が対象です。

  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Microsoft Office 2003 Service Pack 3
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 1 (32-bit editions)
  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2010 Service Pack 1 (64-bit editions)
  • Microsoft Office 2010 Service Pack 2 (64-bit editions)
  • Microsoft Office Compatibility Pack Service Pack 3
  • Microsoft Lync 2010 (32-bit)
  • Microsoft Lync 2010 (64-bit)
  • Microsoft Lync 2010 Attendee
  • Microsoft Lync 2013 (32-bit)
  • Microsoft Lync Basic 2013 (32-bit)
  • Microsoft Lync 2013 (64-bit)
  • Microsoft Lync Basic 2013 (64-bit)


対策
1.回避策
・Fix it を適用する
Microsoft 社から、本脆弱性を悪用した攻撃コードが実行されないようにする回避策が提供されています。
次のページ内に記載されている「Fix it で解決する」の「この解決策を有効にする」ボタンをクリックし、画面の指示に従い、Fix it 51004 をインストールしてください。
回避策を解除する場合は、同ページ内の、Fix it 51005 をインストールしてください。
Microsoft Security Advisory: Vulnerability in Microsoft graphics component could allow remote code execution
https://support.microsoft.com/kb/2896666

・Enhanced Mitigation Experience Toolkit (EMET) を使用する
EMET は、ソフトウェアの脆弱性が悪用されるのを防止するためのツールです。
導入する際には、次のページを参考にしてください。

Enhanced Mitigation Experience Toolkit
http://support.microsoft.com/kb/2458544/ja

【ニュースソース】IPA
http://www.ipa.go.jp/security/ciadr/vul/20131106-ms.html

米Adobe Systemsのネットワークが不正アクセスされて大量のユーザー情報などが流出した事件で、流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。

 Adobeの情報流出は10月3日に発覚し、影響を受けるユーザーは少なくとも3800万人に上ることが分かっている。同社によると、流出したパスワードは暗号化されていたが、パスワードセキュリティを手掛ける米Stricture Consulting Group(SCG)はこの情報を分析し、使用者数の多かった上位100のパスワードを割り出した。

 集計できた理由としてSCGのジェレミ・ゴスニー最高経営責任者(CEO)は、「Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ」だと説明している。

 SCGの集計で明らかになったトップ10のパスワードと使用者数は以下の通り。

 このほかにも「000000」「abc123」「iloveyou」「aaaaaa」などのパスワードを使うユーザーが多数に上っている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131106-00000063-zdn_ep-sci

キヤノンITソリューションズ株式会社(キヤノンITS)は5日、個人向け総合セキュリティソフト「ESET Personal Security」「ESET Family Security」に含まれるWindows向け総合セキュリティプログラム「ESET Smart Security」の新バージョンについて、無償で利用できるモニター版プログラムの提供を開始した。

「ESET Smart Security」は、ウイルス対策、スパイウェア対策、フィッシング対策機能に加え、不正侵入対策や迷惑メール対策、有害サイトアクセス対策など、幅広いセキュリティ対策機能を搭載した製品。新バージョンでは、多様化、複雑化するサイバー犯罪に対応するため、マルウェア検出力向上を図ったとしている。

モニター版プログラムは、ウェブフォームで申し込み後、ダウンロードして無償で利用できる。製品はインストール後、2013年12月24日まで使用可能。対応OSはWindows 8.1/8/7/Vista/XP。

プログラム提供期間は11月29日まで。評価レポートを提出したユーザーの中から抽選で100人に、「ESET Family Security」の1年間使用権をプレゼントする。評価レポート受付期間は12月6日まで。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131105_622121.html

パソコン使用中に画面を操作不能にした上で、復元名目に金銭を不当に要求する新種のサイバー攻撃が今年5~9月、国内で160件以上も確認されていることが4日、ソフト開発会社「トレンドマイクロ」(東京)の調査で明らかになった。パソコン操作の回復を人質にとる形で金銭を要求する手口から「身代金型ウイルス」と呼ばれ、海外で感染報告が相次いでいる。サイバー犯罪者が日本で稼げるかを試している可能性があるといい、トレンド社は警察当局への調査内容の報告も検討している。

 ウイルス対策ソフト「ウイルスバスター」を手掛けるトレンド社によると、新種のウイルスは主にパソコンの起動直後に発生。突然画面がフリーズし、作動しなくなる。その後、海外の政府組織を装った「違法な行為をしたのでパソコンをロックした。解除するには金が必要」という内容の英語メッセージと、電子マネーでの支払い方法が表示される。電源を落として再起動しても、停止したままで同じメッセージが表示され続けるという。これまで海外では感染報告があったが、日本ではほとんどなかった。

 ところが今年5月以降、日本でも国内の個人のパソコンユーザーの感染が急増。5~9月に160件以上の被害報告がトレンド社に寄せられたという。報告によると、米国政府組織「国土安全保障省」などを名乗るケースが多く、要求額は主に300ドル(約3万円)で、手口から同一の海外犯罪グループが関与している可能性がある。

 新種のウイルスは通常、国内外の企業のホームページ(HP)などに仕掛けられ、閲覧しただけで感染するケースが目立つ。

 ウイルスを解除するには基本ソフト(OS)を入れ直して初期化することが必要で、データ復旧は困難。個人での解除は難しく、金銭を支払ってもウイルスが解除される保証はないという。

 日本での報告例の急増について、トレンド社は「サイバー犯罪者がネットワークの整備された日本に目をつけ、どれだけ稼げるかを試している恐れがある」と指摘する。

 ネットワーク犯罪に詳しい甲南大学法科大学院の園田寿教授(刑事法)は「パソコン操作を"人質"にして身代金を要求する新しい悪質なウイルス。攻撃に備えてデータのバックアップを取るなど自衛手段を講じておくことも重要だ」と話している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131105-00000070-san-soci

NTTレゾナント株式会社とNTTコミュニケーションズ株式会社(NTT Com)は1日、総務省の進める官民連携プロジェクト「ACTIVE(Advanced Cyber Threats response InitiatiVE)」に参画し、マルウェア感染防止に取り組むと発表した。それぞれが提供するツールバーに、ACTIVEに対応する機能を搭載する。

ACTIVEは、ISPやセキュリティベンダーなどが協力して実施してるプロジェクト。マルウェア配布サイトなどの悪性サイトをリスト化し、その情報をISPなどに提供。インターネットユーザーが該当サイトにアクセスしようとした際に注意喚起することで、マルウェア感染を未然に防止しようというもの。

NTTレゾナントでは、WindowsのInternet Explorer向けに提供しているブラウザー常駐型ツールバー「gooスティック」において、マルウェアサイトへのアクセス時にポップアップで傾向を表示する機能を追加した。NTT Comが提供する「OCNツールバー」も基本機能はgooスティックと同等の製品であり、同じくマルウェアサイトの警告表示機能が追加された。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131101_621958.html

「 SNSの友達申請に注意! 」
~ Facebookで乗っ取り被害に遭わないために ~

近年、"Facebook(フェイスブック)"、"Google+(グーグルプラス)"、"mixi(ミクシィ)"などのSNSや、"Twitter(ツイッター)"などのミニブログサービスが人気です。これらのサービスは、同じ趣味や考えを持つ利用者同士の交流の場として活用できることや、いま現在の自分の行動や考えを簡単に発信できることが特徴となっており、多くの利用者を集めています。

その一方で、これらのサービスが悪意ある者から狙われるようになりました。IPAの安心相談窓口※1にも「第三者に自分のSNSアカウントが不正ログインされ、勝手に投稿された」、「不正ログインされ、自分になりすまして友達申請された」といった相談が続いており、特にFacebookに関する相談が多い状況です(図1参照)。実際に、Facebookにおいてアカウントを乗っ取られたという相談は2013年7月から9月に4件寄せられています。

情報セキュリティの一部の専門家の間では、2年ほど前から、Facebook の偽アカウントを3つ用意して乗っ取りに用いる方法が話題となっていました。それに対して、Facebook社は「信頼できる連絡先」機能※2で対策を講じていますが、利用者がうっかりしていると、依然として同じような方法で被害に遭う恐れがあります。

そこで今月の呼びかけでは、乗っ取られた場合の被害例とともに、3つの偽アカウントを用いる仕掛けと、それを防ぐための注意点を解説します。

(1)Facebookアカウントを乗っ取られた後の被害の例
Facebookのアカウントが乗っ取られると、どのようなリスクに繋がるのか、例を挙げて示します。
アカウントを乗っ取られると、自分自身だけでなく、Facebook上の友達にまで被害が及ぶ恐れがあります。

【1】情報を窃取される

乗っ取られたアカウントのプロフィールに設定している居住地・職歴・学歴などの個人情報が盗み見されてしまいます。また友達とのメッセージのやり取りも見られてしまうため、そこから友達に関する情報も盗み見されてしまいます。


【2】勝手に「いいね!」をクリックされて、悪意あるサイトの宣伝や誘導に加担させられる

自分のアカウントが乗っ取られたAさんは、悪意あるサイト上で自分をかたって勝手に「いいね!」※3をクリックされてしまいます。すると、「いいね!」をクリックしたことが当該アカウントの友達(例えばBさん)に伝わり、Bさんは"友達Aさんが勧めている"と思い、クリックしてしまうことで悪意あるサイトに誘導される恐れがあります。

【3】友達のウォール※4に勝手に投稿されて、悪意あるサイトの宣伝や誘導に加担させられる

悪意ある第三者はアカウントを乗っ取ったAさんになりすまし、Aさんの友達であるBさんのウォールに投稿することができます。その投稿はBさんだけでなく、他の友達も読むことができます。もし悪意あるサイトへのリンクが仕込まれたURL等をあたかも有益な情報として投稿された場合、そうとは知らずクリックすることでBさんだけでなくBさんの友達も悪意あるサイトに誘導される恐れがあります。

【4】スパムメッセージを勝手に発信させられる

Facebookには、Facebook利用者がFacebook上でメッセージをやり取りする機能があります。この機能は、Facebookの任意のアカウントに対してメッセージを送信できるため、電子メールにおける「スパムメール」と同様に、Facebook上で「スパムメッセージ」を不特定多数に送信することが可能です。
悪意ある第三者がAさんのアカウントを乗っ取ると、Aさんになりすましてスパムメッセージを勝手に送信することができ、そのメッセージに悪意あるサイトに誘導させるURL等を記述すると、それをクリックした受信者が誘導されてしまう恐れがあります。これによりAさん自身の信用が低下する恐れがあります。

(2)乗っ取り手口の概要
SNSなどの多くのサービスでは、利用者がパスワードを失念した場合の策としてパスワードリセット機能が提供されています。Facebookでは2013年10月31日現在、次の方法でパスワードをリセットできます。

① Facebookに自身が保有するメールアドレス(Gmail, Hotmail, Yahoo! 等)でログインする
② 自分が「信頼できる連絡先」に登録した友達の助けを借りる

悪意ある第三者は3つの偽アカウントを作成し、以下の手順で、これらをあなたの「信頼できる連絡先」に設定させようとします。

【1】偽アカウントを使ってあなたと「友達」関係になる
悪意ある第三者は、3つのアカウントから、あなたに対して友人申請をします。
あなたが友人として承認します(後述の「注意点その1」参照)。
その結果Aさんのアカウントは、3つの各偽アカウントとFacebook上で「友達」関係になり、次のステップ【2】に移ることが可能になります。

【2】あなたに、偽アカウントを「信頼できる連絡先」に設定させる
あなたがこれらの友人申請を受諾すると、悪意ある第三者は友人となった偽アカウントで、あなたを「信頼できる連絡先」として設定します。すると、あなたのFacebook画面上で以下の画面(図2)が表示されます(後述の「注意点その2」参照)。
その"お返し"として、あなたがそれぞれを「信頼できる連絡先」として設定します。

(3)SNS利用時における注意点
(1)で挙げたように、Facebook利用中に"うっかり"していると、アカウント乗っ取りの被害に遭う恐れがあります。(1)の例では"安易に友達として承認"してしまうことと"安易にその友達を「信頼できる連絡先」として承認"してしまうことが原因となります。
"うっかり"以外にも、"友達申請してくれた相手に配慮する余り、断りづらく承認"してしまう場合や、"友達の数を増やすために相手を選ばず承認"してしまう場合もあります。
他のSNSでも被害に遭わないよう、利用者として以下の点に注意してください。

① 注意点 その1:安易に「友達」として承認しない
Facebookにおける「友達」や、Twitter上で「フォロー」する人が少ないと、サービスを使う魅力が半減するかもしれませんが、確認もせず承認してしまうと悪意ある第三者を簡単に取りこんでしまう恐れがあります。実際に付き合いのある友人から「友達」申請を受け取っても、まず「その人を騙ったアカウントかもしれない」と疑ってください。
"実際に付き合いのある人、"見ず知らずの人"いずれの場合でも、そのアカウントのプロフィールや過去の投稿内容を必ず確認して、本当にその人かどうかを確認してから「友達」申請を承認してください。

② 注意点 その2:Facebook上で、「信頼できる連絡先」機能を正しく利用する
Facebookにおける「信頼できる連絡先」機能で、"お返し"程度の理由で安易に自分の「信頼できる連絡先」に登録してはいけません。事前にあなたの身元を保証でき、普段から連絡がとりやすい人のアカウントを設定しておくことが、被害を防止するために有効な対策です。

③ 友達リストを非公開にする
Facebookでは、デフォルトで友達リストが公開状態になっているので、公開範囲を"誰にも公開しない"、"友達にだけ公開する"のどちらかを選択し、参照可能な範囲を限定し、自分で把握するようしてください。
Facebook以外にも、SNSによっては友達リストを公開する機能がありますが、公開していると、悪意ある者が、友達リストの内容から共通の知人を推測して、その知人を装って「友達」申請してくる可能性があります。

【ニュースソース】IPA
http://www.ipa.go.jp/security/txt/2013/11outline.html