パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年2月アーカイブ

「ゆうちょ銀行」をかたるフィッシングメールが出回っているとして、フィッシング対策協議会が先週20日に緊急情報を出したが、そのバリエーションと言えそうなフィッシングメールも出回っており、他の銀行のオンラインサービスユーザーも注意が必要だ。

 27日に確認されたのは「楽天銀行」をかたるバージョン。件名は「【重要】楽天銀行からのご連絡」、本文には「楽天銀行カスタマーセンターでございます。インターネットバンキングの不正送金に伴い、セキュリティーの強化を致します。お客様のメールアドレスを下記サイトより設定してください」とあり、「.com」ドメインの偽ログインサイトへ誘導する。

 この偽サイトには「ログイン画面が新しくなりました」との説明があり、「ユーザーID」「ログインパスワード」「暗証番号」を入力させるようになっていた。

 楽天銀行では、フィッシング対策協議会に連絡。同日17時過ぎまでに、この偽サイトは閉鎖が完了した。

 フィッシング対策協議会によると、このパターンのフィッシングメールは一般からの報告件数は多くないとしている。

 ただし、ゆうちょ銀行、楽天銀行以外の銀行をかたるバージョンも、27日時点で実際に出回っている模様だ。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140227_637351.html

Symantecは25日、Internet Explorer 10(IE10)の未修正の脆弱性を悪用するゼロデイ攻撃が拡大しており、特に日本のサイトを狙った攻撃が多く発生しているとして、注意を喚起した。

 この脆弱性は、米国の海外戦争復員兵協会のサイトを狙った攻撃の中で発見された「CVE-2014-0322」。サイトは何らかの方法で改ざんされており、IE10でこのサイトを閲覧したユーザーのPCに脆弱性を悪用して不正プログラムを感染させるコードが埋め込まれていた。

 Symantecでは、この脆弱性を悪用する攻撃が2月22日から大幅に増加し始めており、特に日本のサイトが標的にされていると説明。CVE-2014-0322の悪用コードを検出したPCの地域分布では、日本が世界全体の89.3%を占めているという。

 Symantecでは、攻撃を受けたサイトとして以下の6件を挙げている。攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたと考えられるとしている。

・登山者を対象としたコミュニティサイト
・出会い系アダルトサイト
・言語教育を推進するサイト
・金融市場の情報を提供するサイト
・オンラインショッピングサイト
・日本の旅行代理店のサイト

 これらのサイトには、改ざんによりIEの脆弱性を悪用して不正プログラムをインストールさせるためのコードが埋め込まれていた。不正プログラムは、日本のインターネットバンキング利用者を狙う不正プログラム「Infostealer.Bankeiya」で、ゆうちょ銀行とみずほ銀行のオンラインバンキングへのアクセスを監視し、アクセス時に偽のログイン画面を表示し、IDやパスワード、第2暗証番号などの情報を盗もうとするものだという。

 被害に遭ったと思われるサイトとしては、株式会社はとバスが26日、サイトが改ざんされていたことを公表している。はとバスに確認したところ、IE10の未修正の脆弱性を狙った悪用コードが改ざんにより埋め込まれていた可能性が高いという。また、登山者向けのコミュニティサイト「ヤマレコ」も、同様の攻撃と思われるサイト改ざんがあったことを公表している。

 マイクロソフトでは、この脆弱性に関するセキュリティアドバイザリを公開しているが、現時点でセキュリティ更新プログラムは提供していない。セキュリティ更新プログラム提供までの攻撃への対策としては、脆弱性の影響を受けないIE11へのアップデートや、攻撃の影響を緩和するための設定を行うツール「Fix it」の適用、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することを推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140226_637153.html

トレンドマイクロ株式会社は24日、Internet Explorer(IE)に影響する未修正の脆弱性を悪用するゼロデイ攻撃が、日本国内のウェブサイト改ざん事例で確認されたとして、注意を喚起した。

 この脆弱性は、米国の海外戦争復員兵協会のウェブサイトを狙った攻撃の中で11日に発見された「CVE-2014-0322」。サイトは何らかの方法で改ざんされており、この脆弱性を悪用して閲覧者のPCに不正プログラムを感染させるコードが埋め込まれていた。

 トレンドマイクロでは、この攻撃につながるウェブサイト改ざん事例が、日本国内のウェブサイトでも複数発生したことを確認。今回確認された事例では、脆弱性を攻撃するためのHTMLファイル、Flashファイル(SWF)、Javaアーカイブファイル(JAR)が改ざんサイト内に設置されていたことが共通していたという。

 脆弱性は、IE10およびIE9のみに影響があり、IE11およびIE8/7/6には影響がない。現時点で、マイクロソフトからこの脆弱性を修正するセキュリティ更新プログラムは提供されていないが、脆弱性の影響を緩和するためのツール「Fix it」が提供されている。トレンドマイクロでは、最新のIE11であればこの脆弱性の影響を受けないため、IE11にアップデートすることを推奨している。
 
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140225_636782.html

【Dr.WEB】2014年1月のウイルス脅威

2014年最初の月は、初のAndroidブートキットの発見を始めとする、セキュリティイベントの相次ぐ月となりました。1月の末には、このマルウェアを利用して構成されるボットネットには85万台の感染したデバイスが含まれており、Doctor Webのアナリストは現在もこのボットネットの監視を続けています。また、1月にはWindowsを狙った新たな悪意のあるプログラムもDr.Webウイルスデータベースに追加されました。

◆ウイルス
Dr.WebCureIt!によって収集された統計によると、2014年1月に最も多く検出された脅威はTrojan.Packed.24524でした。このトロイの木馬はアドウェアやその他の疑わしいアプリケーションをインストールし、合法ソフトウェアを装って拡散されます。次にTrojan.LoadMoney.1およびTrojan.InstallMonster.38が続き、BackDoor.Bulknet.1329や、BitcoinをマイニングするTrojan.BtcMine.221も多く検出されています。

◆ボットネット
バックドア機能を備え、様々なアプリケーションからパスワードを盗むファイルインフェクターWin32.Rmnet.12を利用して構成されるボットネットは徐々に拡大を続けています。Doctor Webによってコントロールされる1つ目のサブネットには、1日に平均して約1万8000台の新たな感染したコンピューターが追加されています。以下のグラフは、2014年1月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

◆新たな広告トロイの木馬
1月、Doctor WebはFacebookを介して拡散される新たな広告トロイの木馬Trojan.Zipvideom.1について報告しました。このトロイの木馬は複数のコンポーネントから成り、そのうちの1つによってMozilla FirefoxおよびGoogle Chrome向けの悪意のあるプラグインがコンピューター上にダウンロード・インストールされます。

◆Androidに対する脅威
2014年1月には、Androidを狙った初のブートキットの出現がありました。Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬は、感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬を完全に削除することを困難にしています。Android.Oldboot.1は起動されると、そのコンポーネントの1つをシステムフォルダ内に置き、Androidアプリケーションとしてインストールさせます。Dr.Web for AndroidによってAndroid.Oldboot.2およびAndroid.Oldboot.1.originとして検出される、それらトロイの木馬コンポーネントは、リモートサーバーに接続し、受け取ったコマンドを実行(特定のアプリケーションをダウンロード・インストール・削除するなど)します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/?i=710&c=1&lng=ja&p=0

米Adobe Systemsは20日、Flash Playerのセキュリティアップデートを公開した。3件の脆弱性を修正するもので、うち1件については既に悪用が確認されており、Adobeではユーザーに対してアップデートを推奨している。

 公開された最新版のFlash Playerのバージョン番号は、Windows/Mac版が12.0.0.70、Linux版が11.2.202.341。また、Flash Playerを内蔵しているGoogle ChromeとWindows 8.1/8向けのInternet Explorer 11/10についても、それぞれアップデートの提供が開始された。

 また、Adobe AIR(Windows/Mac/Linux版)についても、同様の脆弱性を修正するアップデート(4.0.0.1628)が公開された。

 修正する3件の脆弱性のうち、ダブルフリーの脆弱性(CVE-2014-0502)は既に悪用が確認されている。米FireEyeによると、特定の3つの非営利団体を狙った標的型攻撃の中で、この脆弱性が悪用されていることを発見したという。

 Flash Playerについては、2月4日にも悪用が確認された脆弱性を修正するアップデートが公開されており、今月2度目のアップデートとなった。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140221_636313.html

ゆうちょ銀行をかたるフィッシングメールが出回っています。

■メールの件名
【重要】ゆうちょ銀行からのお知らせ

■詳細内容
1. 2014/02/20 11:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2.このようなフィッシングサイトにてアカウント情報 (お客様番号、合言葉、ログインパスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://jp-direct.●●●●●.pn/direct_jp-bank_login.html

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/20140220jpbank.html

米Microsoftは19日、Internet Explorer(IE)に新たな脆弱性が発見され、既にこの脆弱性を悪用する限定的な標的型攻撃も確認されているとして、セキュリティアドバイザリ「2934088」を公開した。

 脆弱性は、IE10とIE9のみに影響があり、最新のIE11および以前のIE8/7/6には影響がない。脆弱性が悪用された場合、特別に細工されたページを閲覧した際に、任意のコードを実行させられる可能性がある。

 この脆弱性については、Windows 7上のIE10を狙った標的型攻撃が発生しているとして、FireEyeやSymantecが注意喚起を行っている。

 Microsoftでは、調査が完了次第、セキュリティ更新プログラムの提供など適切な措置を行うと説明。また、セキュリティ更新プログラムを提供するまでの対策としては、攻撃の影響を緩和するための設定を行うツール「Fix it」を適用するか、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することを推奨している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140220_636133.html

米FireEyeは、Internet Explorer 10(IE10)のゼロデイ脆弱性を悪用する標的型攻撃を確認したとして、注意喚起を行った。現時点で、この脆弱性を修正するセキュリティ更新プログラムは提供されていない。

 FireEyeでは、米国の海外戦争復員兵協会のウェブサイトを狙った攻撃の中で、新たな脆弱性を発見。このサイトを訪問するユーザーを標的とした水飲み場型攻撃(ウェブ待ちぶせ攻撃)とみられ、サイトを閲覧すると攻撃者によって埋め込まれたiframeにより悪質なFlashのファイルが読み込まれ、脆弱性が悪用されることで最終的にマルウェアを実行させられる。

 また、今回の攻撃で利用されたインフラは、過去に米国の政府機関や日本企業、防衛産業などを狙った標的型攻撃を行ったグループと共通性があるという。

 Symantecによると、今回の攻撃は32bit版Windows 7のIE10を標的にしており、その他のブラウザーには影響がなく、マイクロソフトが提供している脆弱性緩和ツール「EMET」を適用している環境にも影響はないという。このことから、今回の攻撃の影響を緩和する対策としては、別のブラウザーを使うかIE11にアップグレードすること、またはEMETをインストールすることを挙げている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140217_635594.html

OMC Plus をかたるフィッシングメールが出回っています。

■メールの件名
【セディナ】OMC Plusカードご利用

■詳細内容
1. 2014/02/17 11:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (クレジットカード番号やセキュリティコード、ログインID、パスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://www.●●●●●.com/register/xt_issue_user_input.aspx#caut

ハンゲームをかたるフィッシングメールが出回っています。

■メールの件名
ハンゲームアカウントーー安全確認

■詳細
1. 2014/2/10 18:30 現在 フィッシングサイトの停止を確認しておりますが、類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトでアカウント情報 (IDやパスワード) などを絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
 http://●●●●.cf/hangame.co.jp/login/
 http://hangame.●●●●.net/hangame.co.jp/login/
 http://●●●●.tk/www.hangameco.jp/login
 (表示されているURLはhttp://top.hangame.co.jp/login/)
 http://eles.●●●●.com/top.hangame.co.jp/login/
 (表示されているURLはhttp://●●●●.gd/VxfXIp)

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/hangame20131210.html

ハンゲームをかたるフィッシングメールが出回っています。

■メールの件名
ハンゲームアカウントーー安全確認

■詳細
1. 2014/2/10 18:30 現在 フィッシングサイトの停止を確認しておりますが、類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトでアカウント情報 (IDやパスワード) などを絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
 http://●●●●.cf/hangame.co.jp/login/
 http://hangame.●●●●.net/hangame.co.jp/login/
 http://●●●●.tk/www.hangameco.jp/login
 (表示されているURLはhttp://top.hangame.co.jp/login/)
 http://eles.●●●●.com/top.hangame.co.jp/login/
 (表示されているURLはhttp://●●●●.gd/VxfXIp)

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/hangame20131210.html

日本マイクロソフト株式会社は日本時間の2月12日、計5件の月例セキュリティ更新プログラム(修正パッチ)を公開する。修正される脆弱性の最大深刻度は、4段階中で最も高い"緊急"が2件、2番目に高い"重要"が3件。

 6日付で予告情報を公開した。これによると、"緊急"の2件はいずれもリモートでコードが実行される可能性があるもの。影響を受けるソフトウェアは、1件めがWindows 8.1/8/7とWindows RT 8.1/RTおよびWindows Server 2012 R2/2012/2008 R2、もう1件がForefront Protection 2010 for Exchange Server。

 "重要"の3件は、.NET Frameworkにおける特権の昇格、Windows 8.1/8/7/Vista/XPとWindows RT 8.1/RTおよびWindows Server 2012 R2/2012/2008 R2/2008/2003における情報漏えい、Windows 8/RTおよびWindows Server 2012におけるサービス拒否の脆弱性をそれぞれ修正するもの。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140207_634306.html

被害にあわれたかどうかの確認方法

株式会社LACから発表された「正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について」の中の確認方法により、被害にあわれたかどうか確認可能であることを弊社でも確認いたしました。(以下、引用)

GOM Playerの設定ファイルに記載されているURLを確認します。
 確認内容:インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、
VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
 (当社確認内容。これ以外にも正規の内容が存在している可能性があります。)
 確認内容:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

※DOWN_URLの項目はPATH_REGの前までです。(2/3 追記)

上記はGOM Playerがインストールされている状態での確認方法です。GOM Playerをすでにアンインストールされた場合に確認する方法については、調査途中の現段階(2/3 18時現在)では、ご案内できかねます。

【ニュースソース】グレテックジャパン
http://www.gomplayer.jp/player/notice/view.html?intSeq=289

eoWEBメールをかたるフィッシングメールが出回っています。

■メールの件名
緊急の更新アラート

■内容
1. 2014/02/06 18:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報(メールアドレスやメールパスワード)を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■フィッシングサイトURL
http://zippytoys.●●●●.ar/img/prod/eonet.html

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/eoweb20140206.html

Kaspersky Labは、4日に修正されたFlash Playerの脆弱性について、修正される前の時点で11件の悪用コードが確認され、ウェブサイトのアカウント窃取を狙う攻撃などに利用されていたと発表した。

 Kasperskyのブログによると、KasperskyではFlash Playerの脆弱性を狙った攻撃を発見したが、悪用された脆弱性を特定できず、Adobeに報告したところ、未修正の脆弱性を悪用するゼロデイ攻撃であることが判明したという。

 Adobeでは4日にこの脆弱性を修正するセキュリティアップデートを公開したが、既にこの脆弱性を悪用する攻撃コードが11件確認されているという。これらの攻撃コードはOSのバージョンチェックを行うなど共通の特徴があり、標的となるPCにSWFファイルを展開する。

 SWFファイルはWord(.docx)ファイルに埋め込まれており、韓国語のファイル名が確認されている。ファイル名は機械翻訳すると「最新の日本のAVリストおよびtorrentsの使い方」といったものだったという。

 これらの攻撃コードは3台のマシンから発見されており、2台のWindows 7環境ではブラウザーのキャッシュから、1台のMac OS X 10.6.8環境ではメールの添付ファイルとして検出された。IPアドレスから判断すると、これらのマシンはすべて中国にあったという。

 攻撃コードによりインストールされる悪用プログラムのうち、「Spy.Win32.Agent.cjuj」として検出するトロイの木馬は、FoxmailやOperaMailなどさまざまなプログラムからメールボックスのパスワードを盗むとともに、Twitter、Facebook、Yahoo!、Googleなど各種サイトのログインページの情報を盗み出す。対象となるページの中には、Yahoo! JAPANのログインページも含まれている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140206_634177.html

アドビシステムズ社の Adobe Flash Player に、ウェブを閲覧することで DoS 攻撃や、任意のコード(命令)を実行される可能性がある脆弱性(APSB14-04)が存在します。

この脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりする可能性があります。

既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、修正プログラムを適用して下さい。
 
■対象
次の Adobe 製品が対象です。
•Adobe Flash Player 12.0.0.43 およびそれ以前のバージョン Windows版およびMacintosh版
•Adobe Flash Player 11.2.202.335 およびそれ以前のバージョン Linux版
 
■対策
脆弱性の解消 - 修正プログラムの適用

アドビシステムズ社から提供されている最新版に更新して下さい。
•Flash Player のバージョンを確認

次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認する。
http://www.adobe.com/jp/software/flash/about/

Flash Playerが上記対象のバージョンの場合は、アップデートが必要です。 なお、一つのOSにおいて複数のブラウザ(*1)で、それぞれFlash Playerを利用している場合は、各ブラウザ毎に、Flash Player のバージョンを確認してください。

修正プログラムの適用方法
•1.Flash Player のアップデート方法
 
次の URL にアクセスし、Flash Player の最新版をインストールする。(Flash Player 12.x 系の最新版になります)
http://get.adobe.com/jp/flashplayer/
•2.Google Chrome のアップデート方法
 
Google Chrome は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
 次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
http://support.google.com/chrome/bin/answer.py?hl=ja&answer=95414
•3.Internet Explorer のアップデート方法

Windows 8 用 Internet Explorer 10 および Windows 8.1 用 Internet Explorer 11 は、Flash Player の機構を統合しており、Adobe Flash Player 単独でのアップデートはできません。
 次の URL を参考に、最新版にアップデートをするなどの対処を実施してください。
http://technet.microsoft.com/ja-jp/security/advisory/2755801

【ニュースソース】IPA
http://www.ipa.go.jp/security/ciadr/vul/20140205-adobeflashplayer.html

Doctor Webは、Androidを狙った危険なトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬は感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬がデバイスのファイルシステムを改変する前に削除される可能性を非常に低くしています。

現時点で、スペイン、イタリア、ドイツ、ロシア、ブラジル、アメリカ、および東南アジア数か国を含む様々な国で35万台のモバイルデバイスが感染しています。

Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬を拡散させるために、犯罪者は珍しい手法を用いています。

トロイの木馬のコンポーネントの1つをファイルシステムのブートセクター内に置き、OSコンポーネントを起動するためのinitスクリプトを改変するというものです。


モバイルデバイスが起動されると、このスクリプトによって悪意のあるLinuxライブラリimei_chk(Dr.Web Anti-virusによってAndroid.Oldboot.1として検出されます)が起動され、このimei_chkがlibgooglekernel.so (Android.Oldboot.2)ファイルとGoogleKernel.apk(Android.Oldboot.1.origin)ファイルを抜き取り、それぞれ/system/libおよび/system/appに置きます。

こうして、トロイの木馬Android.Oldbootの一部がAndroidアプリケーションとしてインストールされてシステムサービスとして動作し、その後、libgooglekernel.soライブラリを使用してリモートサーバーに接続し、様々なコマンド(特定のアプリケーションをダウンロード・インストール・削除するなど)を受け取ります。

犯罪者は、トロイの木馬の動作に必要なルーチンを含むよう改変したファームウェアをデバイス上にインストールしていると考えられます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/?i=705&c=1&lng=ja&p=0