パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年3月アーカイブ

トレンドマイクロは27日、PC内のファイルを勝手に暗号化してユーザーに金銭の支払いを要求する「ランサムウェア(身代金要求型不正プログラム)」で、日本語での脅迫を行う新種を初めて確認したと発表した。

 トレンドマイクロでは、ユーザーに仮想通貨「Bitcoin」での支払いを要求するランサムウェア「BitCrypt」について、2種類の亜種を確認。1つ目の亜種「TROJ_CRIBIT.A」は、ユーザーに支払いを要求する"脅迫状"が英文のみだが、2つ目の亜種「TROJ_CRIBIT.B」は、脅迫状が日本語を含む10言語に対応する。

 脅迫状には、ファイルの暗号を解くためには指定したサイトへのアクセスが必要だとしてURLを記載しているが、このサイトは匿名ネットワークの「Tor」を利用しないとアクセスできないため、Torへのゲートウェイサービスも紹介している。

 ユーザーがサイトにアクセスすると、ファイルの暗号を解くための代金として0.4Bitcoin(3月27日時点で約2万4000円相当)の支払いを要求される。トレンドマイクロの分析では、被害者の40%は米国のユーザーで、11%が日本のユーザーだという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140328_641886.html

NCSOFTをかたるフィッシングメールが出回っています。

■メールの件名
NCSOFTアカウントーー安全確認

■詳細
1. 2014/03/25 10:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報(登録済みのメールアドレス、アカウント、パスワード、秘密の質問、生年月日)を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://ncsoft.●●●●.cc/www.ncsoft.jp/login
http://ncsoft.●●●●.cc/www.ncsoft.jp/NCsoft.htm
http://ncsoftl-001-site1.●●●●.net/ncsoft.htm

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/ncsoft20140325.html

■概要
Microsoft 社の Word にリモートからコード(命令)が実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。

既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、回避策を適用して下さい。
 
■対象
以下の Microsoft 製品が対象です。
•Microsoft Word 2003 Service Pack 3
•Microsoft Word 2007 Service Pack 3
•Microsoft Word 2010 Service Pack 1
•Microsoft Word 2010 Service Pack 2
•Microsoft Word 2013
•Microsoft Word 2013 RT
•Microsoft Word Viewer
•Microsoft Office Compatibility Pack Service Pack 3
•Microsoft Office for Mac 2011
•Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
•Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
•Word Automation Services on Microsoft SharePoint Server 2013
•Microsoft Office Web Apps 2010 Service Pack 1
•Microsoft Office Web Apps 2010 Service Pack 2
•Microsoft Office Web Apps Server 2013
 
■対策
1.回避策
•Fix it を適用する
Microsoft 社から、本脆弱性を悪用した攻撃コードが実行されないようにする回避策が提供されています。 次のページ内に記載されている「Fix it で解決する」の「この解決策を有効にする」ボタンをクリックし、画面の指示に従い、Fix it 51010 をインストールしてください。
Fix it 51010 を解除する場合は、同ページ内の、Fix it 51011 をインストールしてください。

Microsoft security advisory: Vulnerability in Microsoft Word could allow remote code execution
https://support.microsoft.com/kb/2953095

•Enhanced Mitigation Experience Toolkit (EMET) を使用する
EMET は、ソフトウェアの脆弱性が悪用されるのを防止するためのツールです。
導入する際には、次のページを参考にしてください。

Enhanced Mitigation Experience Toolkit
http://support.microsoft.com/kb/2458544/ja

【ニュースソース】IPA
http://www.ipa.go.jp/security/ciadr/vul/20140325-ms.html

株式会社KADOKAWAは、同社公式サイトへの不正侵入によってサーバーがフィッシングメールの送信に悪用された可能性があるため、サイトを閉鎖して調査を進めていると発表した。

 KADOKAWAによると、個人情報の流出やマルウェアへの誘導を仕組まれた痕跡は現時点では一切見つかっていないが、万全を期すための調査と対策を行うため、しばらくの期間、サイトを閉鎖するとしている。

 KADOKAWAの公式サイトは1月にも不正侵入被害に遭ったばかり。その時は、閲覧者のPCにマルウェア感染を試みる改ざんを受けていた。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140324_640925.html

【Dr.WEB】2014年2月のモバイル脅威

Doctor Webでは、Dr.Web for Androidによって検出された脅威に関するデータの収集を続けています。2014年2月には800万件を超える、望まないプログラムや悪意のあるプログラムが検出されました。

2014年2月1~27日に検出された望まないプログラムや悪意のあるプログラムは合計で831万5374件となっています。そのピークは2月7日の37万4194件で、一方、最も少ない検出数は2月19日に記録された28万3159件でした。

多く検出された脅威の中には、Adware.Airpush.originファミリーに属するAdware.Revmob.1.originが含まれていました。これらのマルウェアは通常、フリーアプリケーションに組み込まれ、広告のリンクを含んだ通知をシステムトレイに表示させます。最も多く検出されたマルウェアはAndroid.SmsSendファミリーおよびAndroid.Spyファミリーに属するものでした。以下の表はDr.Web Anti-virus for Androidによって最も多く検出されたトロイの木馬です。

2014年1月に初のAndroidブートキットとして出現したAndroid.Oldboot.1.originは、2月にも引き続き多く検出されています。Android.Oldboot.1.originは、そのコンポーネントの1つをシステムフォルダ内に置くことで、OSの起動と同時に実行されます。Android.Oldbootのコアモジュールが削除された場合でも、コンポーネントはメモリ内に残り、デバイスが次に起動されると再びマルウェアをインストールしてシステムを感染させます。また、Android.Oldboot.1.originは犯罪者のリモートサーバーから受け取ったコマンドを実行することができます。

Doctor Webでは、感染したデバイスのIMEIを使用して、2014年2月1~27日の間に発生した感染に関する統計を取ることに成功しました。現在、ボットネットには39万6709台の感染したデバイス(2月22~27日に232万5326のユニークなIPアドレスが登録されています)が含まれ、その大半が中国(37万8614台)のものとなっています。また、4,500件の感染がヨーロッパ諸国で検出されています。

【ニュースソース】InternetWatch
http://news.drweb.co.jp/show/?i=716&lng=ja&c=2

Doctor Webは、ブルートフォースを使用してWi-Fiルーターのアクセスパスワードを解読し、デバイスの設定で指定されているDNSサーバーアドレスを変更するマルウェアTrojan.Rbruteを発見しました。
 犯罪者はこのマルウェアを使用して、Win32.Sectorとして知られるファイルインフェクターを拡散していました。

Windowsコンピューター上で起動されると、Trojan.Rbruteはリモートサーバーとの接続を確立し、送られてくるコマンドを待ちます。コマンドの中には、スキャンするIPアドレスの範囲が含まれています。このトロイの木馬がパスワードを解読することのできるルーターのモデルは次のとおりです:D-Link DSL-2520U、DSL-2600U、TP-Link TD-W8901G、TD-W8901G 3.0、TD-W8901GB、TD-W8951ND、TD-W8961ND、TD-8840T、TD-8840T 2.0、TD-W8961ND、TD-8816、TD-8817、TD-8817 2.0、TD-W8151N、TD-W8101G、ZTE ZXV10 W300、ZXDSL 831CII。このトロイの木馬は次の2つのコマンドを実行することができます。

1.指定されたIPアドレスの範囲を使用してネットワークをスキャンする
2.辞書攻撃を行う

これら2つのコマンドはそれぞれ独立したもので、トロイの木馬によって別々に実行されます。ネットワークスキャンによってアクティブなルーターが見つかった場合、Trojan.Rbruteはデバイスからwebページを抜き取り、タグ『realm=\"』を使用してデバイスモデルを判別し、リモートサーバーへ報告を送信します。

このトロイの木馬は、ルーターに対する辞書攻撃も実行することができます。コマンドには、ターゲットとなるIPアドレス、置き換えるDNSサーバーアドレス、パスワード辞書など攻撃に必要なデータが全て含まれています。Trojan.Rbruteはログインに『admin』または『support』を使用しています。

試行したパスワードの組み合わせによって認証を突破すると、トロイの木馬はハッキングに成功した旨をリモートサーバーに通知し、DNSサーバー設定で指定されているアドレスを変更するようルーターに指示を出します。その結果、ブラウザでサイトを開こうとしたユーザーは、犯罪者の作成した別のサイトへとリダレクトされます。現在、この手法はWin32.Sectorボットネットを拡大するために使用されています。

感染の手法は以下のとおりです。
1.すでにWin32.Sectorに感染しているコンピューター上で、Win32.SectorがTrojan.Rbruteをダウンロードする。
2.Trojan.RbruteはWi-Fiルーターを検索するためのコマンドと辞書パスワードをリモートサーバーから受け取る。
3.成功すると、Trojan.RbruteによってルーターのDNSサーバー設定が変更される。
4.別の「感染していない」コンピューターのユーザーが感染したルーター経由でインターネットに接続を試みると、犯罪者によって作成されたwebページへとリダレクトされる。
5.そのページからWin32.Sectorがダウンロードされ、コンピューターを感染させる。
6.続けて、感染したコンピューター上にWin32.SectorがTrojan.Rbruteをダウンロードし、このサイクルが繰り返される。

Dr.WebウイルスデータベースにはTrojan.Rbruteのシグネチャが既に追加されています。また、Wi-Fiルーターを使用されているユーザーの方には、そのデフォルトの設定を変更し、ブルートフォース攻撃によって突破されないような、より堅固なパスワードを使用することを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=715&ln

【Dr.WEB】ATMを狙うTrojan.Skimer.19

Doctor Webのウイルスアナリストは、ATMを感染させる新たなマルウェアTrojan.Skimer.19を発見しました。
 このTrojan.Skimer.19に関連した攻撃は現在も続いています。

このトロイの木馬のメインペイロードは、Dr.WebにTrojan.Starter.2971として検出される別の悪意のあるプログラムのNTFS代替データストリームに内に潜むダイナミックリンクライブラリに格納されています。

また、感染したシステムがNTFSファイルシステムを使用していた場合、Trojan.Skimer.19はそのログをデータストリーム内に格納します。それらのファイルには入手した銀行キャッシュカード情報や情報を復号化するためのキーが含まれています。

ATMのOSを感染させると、Trojan.Skimer.19は暗号化PINパッド(EPP:Encrypted Pin Pad)への入力を監視し、特定の組み合わせが入力されると、犯罪者からのコマンドを実行します。それらのコマンドには以下のものがあります。

・ログファイルをチップカード上に保存、PINコードを復号化する。
・トロイの木馬ライブラリおよびログファイルを削除し、ホストファイルを「修復」、システムを再起動させる(犯罪者はATMに対して2回コマンドを送信します。最初のコマンドが送られてから2つ目のコマンドが送られるまでに10秒かかります)。
・トランザクション数、カードやキーなどの統計情報を表示する。
・ログファイルを全て削除する。
・システムを再起動させる。
・チップカードからトロイの木馬をアップデートする。

このトロイの木馬ファミリーのこれまでのバージョンと同様、Trojan.Skimer.19はATMキーパッドへのコードの入力によってのみでなく、特別なカードを使用してもアクティベートされます。

盗んだデータを復号化するために、Trojan.Skimer.19はログファイル内に格納してある盗んだ暗号化キーを利用しますが、その際に、ATM上にインストールされたソフトウェアか、または独自の暗号化アルゴリズムDESを使用します。

Doctor Webでは、それぞれ異なる機能を持った複数のバージョンの悪意のあるライブラリを確認しています。Dr.Webアンチウイルスソフトウェアは、それらの全てを検出・駆除することに成功しています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=714&lng=ja&c=2

Mozillaは18日、ウェブブラウザー「Firefox」の最新版となるバージョン28の正式版を公開した。Windows版、Mac版、Linux版がMozillaのサイトからダウンロードできる。

 Firefox 28では、VP9でエンコードされた動画の再生や、WebM形式の動画でOpus音声コーデックに対応。HTML5のvideo要素やaudio要素では音量を調節できるようになった。通信高速化プロトコルのSPDYについてはSPDY 3のみのサポートとなり、SPDY 2はサポート終了となった。Mac版では、通知センターがWeb Notifications APIに対応した。

 また、Firefox 28のベータ版にはWindows 8のタッチ操作に対応したユーザーインターフェイスが搭載されていたが、ユーザーが少ないことなどから正式リリースは中止となった。

 セキュリティ面では、計18件の脆弱性を修正した。脆弱性の重要度は、4段階で最も高い"最高"が5件、2番目に高い"高"が3件、3番目に高い"中"が7件、最も低い"低"が3件。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140319_640352.html

Googleは14日、ウェブブラウザー「Google Chrome」の最新安定版を公開した。バージョン番号はWindows版が33.0.1750.154、Mac版およびLinux版が33.0.1750.152。Googleのサイトからダウンロードでき、利用中のユーザーには自動的にアップデートが適用される。

 今回のアップデートは、カナダで開催されたセキュリティカンファレンス「CanSecWest 2014」内のハッキングコンテスト「Pwn2Own」で指摘された4件の脆弱性を修正するもの。脆弱性の危険度はいずれも4段階で上から2番目の"High"。

 セキュリティ企業VUPEN Securityのチームが発見した2件の脆弱性については10万ドル、匿名の参加者が発見した2件の脆弱性については6万ドルの賞金がそれぞれ贈られている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140317_639949.html

トレンドマイクロ株式会社は13日、モバイル向け不正サイトが過去2年間で約14倍の7万3000件に急増したとの調査結果を発表した。その大半が、フィッシングや架空請求など「オンライン詐欺」に関するものだったという。

この調査結果は、トレンドマイクロが展開しているクラウドベースのセキュリティサービス「Trend Micro Smart Protection Network(SPN)」で収集した情報を元に発表した。同サービスでは、不正サイトをURL単位でブロックする機能があるが、このうち「/mobile/」「/sp/」「sp.」「m.」など、モバイル向けで使われやすいURL文字列が含まれるサイトを抽出したところ、2012年1月の5300件に対し、2013年1月は2万件、2014年1月が7万3000件と急増していた。

PC向け不正サイトの増加率は過去2年で4倍のため、モバイル向け不正サイトの増加が際立っているという。

モバイル向け不正サイトとして実際に確認されたものの多くが、フィッシング詐欺、ワンクリック詐欺(架空請求)、出会い系詐欺(サクラサイトなど)、偽サイト(偽ブランド販売、ショッピング詐欺)、スケアウェア詐欺(脅迫、偽セキュリティ)、金銭/儲け話関連(ギャンブル、未公開株、ドロップシッピング、キャッシング)のいずれかに属していた。Twitter、Facebook、Google Playなどを偽るサービスもあった。

また、SPNを通じて実際に不正サイトブロックが行われた回数は、日本国内ユーザーだけに絞った場合でも、2013年12月~2014年2月の3カ月間で2500万回。月平均10万台程度のモバイル端末が、実際に不正サイトへアクセスしてしまっていた。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140314_639679.html

マカフィー株式会社は3月13日、同社が発表した2014年2月のサイバー脅威について、ブログでサマリーを紹介している。PCウイルスについては、リムーバブルメディア経由で感染を広げる種類のワームが多くランクインし(検知会社数1位と10位)、不正なautorun.infを悪用して感染を広げるタイプのワームが非常に多いことを示唆している。

また、従来のAutorunを使った感染手法のほか、偽装したショートカットを悪用する手法が検出されており、リムーバブルメディアに存在するショートカットファイルに対しても引き続き一層の警戒が必要。さらに2月には、Adobe Flashに対するゼロデイ攻撃やInternet Explorerの対する攻撃が発見されており、各社からリリースされた回避策やセキュリティパッチによる早急な対策が必要であるとしている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20140314-00000002-scan-sci

日本のオンラインストアの管理者に狙いを絞り、マルウェアを添付したスパムメールを送信する攻撃が、3月7日以降、確認されているという。

 株式会社シマンテック公式ブログの12日付記事によると、このスパムメールは、例えば「商品破損」という件名で、本文には「注文した商品がこのように破損していました。至急交換してください。」とあり、ファイルが添付されている。あるいは、株取引自動売買ソフトが出来上がったとして、添付したソフトの確認を求めるものものある。

 このように数行の文章と添付ファイルがあるだけで、詐欺の手法としては手が込んだものではなく、いずれも添付ファイルは.exeファイルだ。画像ファイルなどに偽装しているわけでもないため、シマンテックでは、「攻撃者は、ごく一部のコンピューターに侵入することだけを狙っていたか、あるいは騙されやすいユーザーがあちこちにいると期待したに違いない」と分析。オンラインストアの運営者は、不明な送信者からの迷惑メールの取り扱いに注意するよう呼び掛けている。

 添付されたマルウェアは、シマンテックでは「Infostealer.Ayufos」として検出しているもので、感染したPC内で情報を窃取するための基本的なトロイの木馬だという。日本のオンラインショップを狙う亜種のほか、英語圏のショップを標的とする亜種も見つかっているとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140313_639572.html

米Adobe Systemsは11日、「Flash Player」のセキュリティアップデートを公開した。クリップボード内のコンテンツが読まれてしまう脆弱性など、2件の脆弱性を修正している。Adobeでは、ユーザーに対して最新バージョンへのアップデートを推奨している。

 最新バージョンは、Windows/Mac向けが「12.0.0.77」、Linux向けが「11.2.202.346」。なお、Windows/Macにおいてバージョン12系列を導入できないユーザーのために、バージョン11系列で脆弱性修正を行った「11.7.700.272」も用意されている。

 Flash Playerを標準で同梱しているWindows 8.1向けのInternet Explorer 11、Windows 8向けのInternet Explorer 10、Windows/Mac/Linux向けのGoogle Chromeでは、各ブラウザーがそれぞれ最新バージョンに自動アップデートされるのと同時にFlash Playerも「12.0.0.77」にアップデートされる。

 Adobeでは、今回修正した脆弱性の緊急度を、4段階中で2番目に高い"Important "とレーティングしている。また、アップデートを適用する優先度は、Linuxについては3段階中で最も低い"Priority 3"、それ以外は2番目に高い"Priority 2"とのレーティングだ。

 "Priority 2"は、「過去に攻撃リスクが高いとされたことのある脆弱性」を修正するものだが、現時点では攻撃対象になっているとの報告はなされておらず、過去の実績からみて今後悪用されることにはならないとAdobeが判断したもの。「近い将来に(例えば30日以内)適用すること」が推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140312_639242.html

日本マイクロソフト株式会社は12日、3月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報5件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、上から2番目の"重要"が3件。

 "緊急"のセキュリティ情報は、「MS14-012」「MS14-013」の2件。

 「MS14-012」は、IEに関する計18件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、IE 11/10/9/8/7/6。

 修正する18件の脆弱性のうち1件の脆弱性(CVE-2014-0322)は、IE10を標的にしたゼロデイ攻撃が発生しているとして、マイクロソフトが2月20日にセキュリティアドバイザリ(2934088)を公表していたもの。特に日本を狙った攻撃が多く発生していることを、Symantecなどが報告していた。

 「MS14-013」は、DirectShowに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工された画像を開いた際に、リモートでコードが実行される可能性がある。影響を受けるソフトはWindows 8.1/8/7/Vista/XPおよびWindows Server 2012 R2/2012/2008 R2/2008/2003。

 このほか、最大深刻度"重要"のセキュリティ情報として、Sliverlightに関する「MS14-014」、Windowsカーネルモードドライバーに関する「MS14-015」、Security Account Manager Remote(SAMR)プロトコルに関する「MS14-016」の3件を公開した。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140312_639208.html

さくらインターネット株式会社は10日、レンタルサーバーサービス「さくらのレンタルサーバ」「さくらのマネージドサーバ」「さくらのメールボックス」において、海外から多発する不正なアクセスを防ぐため、国外IPアドレスからのアクセスを制限する「国外IPフィルタ設定」機能の提供を3月13日から順次行うと発表した。

 提供開始時の「国外IPアドレスフィルタ」はデフォルト設定で有効となっており、必要に応じて無効化することもできる。適用開始は3月13日~19日で、ユーザーごとに作業日時が異なる。詳細についてはメールで通知する。

 制限範囲は、FTP、SSH、SMTP(SMTP認証、POP before SMTP時)、WebDAVと、HTTPおよびHTTPSのうち「/wp-admin/」「/phpmyadmin/」「wp-login.php」「mt.cgi」「admin.cgi」「php.cgi」などのアドレス。HTTPとHTTPSの詳細な適用範囲については、機能提供後、オンラインマニュアルで案内する。
 
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140311_639137.html

日本マイクロソフト株式会社は日本時間の3月12日、計5件の月例セキュリティ更新プログラム(修正パッチ)を公開する。修正される脆弱性の最大深刻度は、4段階中で最も高い"緊急"が2件、2番目に高い"重要"が3件。

 7日付で公開した事前情報によると、"緊急"の2件は、WindowsおよびInternet Explorer(IE)6~11に影響するものが1件、Windowsに影響するものが1件で、いずれもリモートでコードが実行される恐れがあるもの。"重要"の3件は、Windowsに影響するものが2件、Silverlight 5(Windows用およびMac用)に影響するものが1件。

 今回の月例パッチでは、マイクロソフトが2月20日にセキュリティアドバイザリ(2934088)として公表したIEのゼロデイ脆弱性を修正する。

 この脆弱性については、IE10を標的にした攻撃がすでに確認されており、特に日本のサイトを狙った攻撃が多く発生していることをSymantecなどが報告していた。2月に改ざん被害を受けた「はとバス」と「ヤマレコ」のサイトに仕掛けられていたのも、このIEのゼロデイ脆弱性を悪用したものとみられている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140307_638586.html

Androidファームウェアと共に拡散される悪意のあるプログラムの存在は、情報セキュリティスペシャリストにとっては新しいものではありません。しかし、これらの脅威の駆除は複雑な上に、保証の無効化やデータの破損、デバイス動作の妨害を伴う危険性があります。また、ファームウェアのアップグレードを装ってデバイス上に侵入するのみでなく、新しいデバイスにプリインストールされた形で拡散されることに気を付ける必要があります。後者のパターンが多くのユーザーを悩ませています。

Android.SmsSend.1081.originとしてDr.Webウイルスデータベースに追加された悪意のあるプログラムは、オーディオプレーヤーとしてAndroidファームウェアに組み込まれていました。このオーディオプレーヤーは中国のオンライン音楽サービスにユーザーを登録するために、ユーザーのIMSIを指定された番号へ送信する機能を持っています。しかしその際、デバイスの位置を確認したり、プレーヤーの再生時に送信するメッセージの数を制限したりすることがなく、このバグによって、例えばロシアのユーザーでは1通のSMSにつき5~7ルーブルの損害が発生しています。そのため、当初は便利であると思われていたこのプログラムは次第に望まれないプログラムとなり、ウイルスアナリストによってトロイの木馬として分類されるに至りました。

OSファームウェアに含まれているこのトロイの木馬は決して多く拡散されているわけではありませんが、アプリケーション提供元から配信されている他の多くの悪意のあるプログラムと同様に危険であるということに注意する必要があります。Doctor Webでは、最近発生したそのようなトロイの木馬の拡散について1月に報告しています。このAndroid.Oldboot.1は1月の間に数百万台のモバイルデバイス上で検出されています。このマルウェアは様々なプログラムをインストール・削除する機能をもち、また、その悪意のあるコンポーネントはメモリ内に置かれ、デバイスが起動される度にシステムを感染させます。その後、デバイスのIMEI情報を含んだSMSを特定の番号へ送信する機能を備えたまた別のトロイの木馬がDr.Webウイルスデータベースに追加されました。SMSを送信する標準的なマルウェアの亜種であるこの脅威はDr.Web for AndroidによってAndroid.SmsSend.1067.originとして検出されます。

これらの悪意のあるプログラムの最も危険な点は、それらの持つ機能とは別に、従来の手法では削除することができないという特徴にあります。ユーザーはOS機能およびシステムファイルに対するアクセス権限(ルートアクセス)を取得するか、またはプログラムを含んでいないクリーンなファームウェアを再インストールする必要があります。ファイルシステムの改変を伴うこのような手法は、保証の無効化やデータの損失、デバイスの破損を招く危険性があります。

被害を最小限に防ぐため、疑わしいファームウェアのインストールを避け、未知の提供元からデバイスを購入しないようにすることを推奨します。万一被害に遭ってしまった場合は以下の方法をお試しください。

ファームウェアがデバイスの製造元から提供されたオリジナルのものであるかどうかを確認します。製造元のサポートサービスなどにお問い合わせください。ファームウェアが製造元とは別のサードパーティから提供されたものであった場合、デバイス製造元のOSイメージをインストールしてください。
ご自身でサードパーティ製ファームウェアをインストールし、それにトロイの木馬が含まれていた場合、製造元のファームウェアに切り替えてください。
製造元のファームウェアを使用しているが、それにトロイの木馬が含まれていた場合、製造元に連絡して指示を仰いでください。
十分な技術的知識とスキルをお持ちの場合、ルートアクセスを取得して悪意のあるプログラムをご自身で削除することもできます。ただしこの場合、保証の無効化やデバイスの破損といったリスクを伴うことを理解したうえで行う必要があります。
使用しているファームウェアに悪意のあるプログラムが含まれている場合、その無効化を試みることができます。アプリ管理画面で該当するアプリケーションを選択し「無効にする」をタップします。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=713&lng=ja&c=2

Doctor Webのウイルスラボに提供されるマルウェアの多くはシンプルな設計のもので、複雑なマルチコンポーネントプログラムはあまり多くありません。しかし今回発見されたTrojan.PWS.Papras.4は後者に属し、複数の悪意のある機能を備えています。例として、このトロイの木馬はパスワードを盗み、ユーザーがwebフォームに入力したデータを犯罪者に送信して感染したコンピューターをリモートでコントロールすることを可能にします。

Trojan.PWS.Papras.4はRAT(リモートアクセスツール)に分類されるプログラムで、犯罪者がユーザーに気づかれずに感染したコンピューターにアクセスすることを可能にします。このトロイの木馬には複数のコンポーネントが含まれており、その1つであるドロッパーは起動されるとまた別のコンポーネントを抜き出し、ユーザーアカウントが十分な権限を持っていた場合はWindowsレジストリを改変して、このインジェクターモジュールが自動的に起動されるようにします。

起動されたインジェクターはトロイの木馬のメインモジュールをアンパックし、Windowsの動作に関係したものを除く動作中の全てのプロセスにそれらのコードを挿入します。Trojan.PWS.Papras.4は32ビット版および64ビット版のいずれのプロセスも感染させることができます。

このトロイの木馬は感染したコンピューター上で複数のモジュールを動作させます。そのうちの1つはVNCサーバーとして機能し、もう1つはSOCKSプロキシサーバーとして動作します。また別のモジュールは悪意のあるコードをwebページに埋め込みます(webインジェクション)。グラバー(モジュールの1つ)は、Microsoft Internet Explorer、Mozilla Firefox、Google Chromeのwebフォーム内にユーザーが入力したデータを犯罪者に送信し、StealerモジュールはメールクライアントやFTPクライアントなどのポピュラーなアプリケーションによって保存されたパスワードを盗みます。Backconnectモジュールは、犯罪者が感染したコンピューターを、それらがゲートウェイやファイアウォールに保護されている場合でも、コントロールすることを可能にします。Trojan.PWS.Papras.4は以下のコマンドを実行することが出来ます。
指定されたプログラムをダウンロード、保存、起動
マルウェアをアップデート
Microsoft Internet Explorer、Mozilla Firefox、Google ChromeのブラウザCookieをリモートサーバーへ送信
感染したコンピューター上で見つかったデジタル署名をエクスポートし、リモートサーバーへ送信
実行中のプロセスのリストをリモートサーバーへ送信
感染したコンピューター上のCookieを削除
ログに記録を追加
プロキシサーバーを起動
VNCサーバーを起動
デジタル署名を持ったマルウェアのアップデートをインストール
プログラムを起動
レジストリに値を追加、またはレジストリから値を取得
感染したコンピューター上でファイルを検索
 
個人情報を盗む機能を持つこの悪意のあるプログラムは、それらのデータを悪用した犯罪者による感染したコンピューターへの不正なアクセス、webサイトオンラインアカウントのハッキングを可能にしてしまうことから、非常に危険な脅威であると言えます。Dr.Web 製品ではTrojan.PWS.Papras.4の検出・削除に成功しています。Dr.Webユーザーのコンピューターに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=712&lng=ja&c=2

日本アイ・ビー・エム株式会社(日本IBM)は5日、東京セキュリティーオペレーションセンター(TokyoSOC)で2013年下半期(7月~12月)に観測された脅威動向などをまとめた「2013年下半期TokyoSOC情報分析レポート」を発表した。

 2013年下半期には、改ざんされたウェブサイトの閲覧でマルウェアに感染させる「ドライブバイダウンロード攻撃」が1922件確認された。2013年上半期の3972件からは減少したものの、2012年下半期の956件と比べると約2倍で、攻撃の成功率も12.2%(234件)と高い水準にある。

 また、2013年下半期には日本国内の特定組織を標的としたドライブバイダウンロード攻撃(水飲み場型攻撃)が複数報告されていると指摘。TokyoSOCで確認した事例でも、2014年1月上旬には「GOMPlayer」のアップデートでマルウェアに感染させられる事例があったが、TokyoSOCでGOMPlayerのアップデート通信が確認された23組織のうち、1組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされている実態が浮かび上がったとしている。

 サーバーに対する攻撃としては、ウェブアプリケーションフレームワークやCMSの脆弱性を狙ったウェブサイトの改ざんが増加。特に、ApacheStruts2の脆弱性を狙った攻撃は、2013年上半期の3万425件から、2013年下半には6万8527件と2.3倍に増加している。

 TokyoSOCでは、こうした攻撃の状況の分析から、攻撃者は攻撃の効率をより強く意識しており、攻撃司令サーバーとの通信にTorネットワークを利用するマルウェアが出現するなど、攻撃の「見えない化」が進んでいると指摘。こうした攻撃を発見するには、セキュリティ機器のアラート情報を分析するだけでなく、脅威の仕組み(シナリオ)を理解した上で、システム横断的にログを収集してセキュリティ機器のアラート情報との相関分析を行うことが重要だとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140305_638188.html

Googleは3日、ウェブブラウザー「Google Chrome」の最新安定版となるバージョン33.0.1750.146を公開した。Windows版、Mac版、Linux版がGoogleのサイトからダウンロードできる。利用中のユーザーには自動的にアップデートが適用される。

最新版では、計19件の脆弱性を修正。ソフトウェアレンダリングのヒープバッファーオーバーフローの脆弱性や、SVG画像の解放済みメモリ使用の脆弱性などの発見者に対して報奨金が支払われているほか、内部調査などにより発見された脆弱性を修正している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140304_638040.html

【Dr.WEB】2014年1月のモバイル脅威

Doctor Webでは、昨年に引き続きDr.Web for Androidから収集された統計のモニタリングを行っています。2014年1月にモバイルデバイス上で検出された、望まないプログラムや悪意のあるプログラムは1106万3873件で、その大半がアドウェアでした。

1月の1日~30日にDr.Web for Androidによって検出された望まないプログラムや悪意のあるプログラムは1106万3873件で、1日に平均して約30万件となっています。1月11日の土曜日に最も多い58万9172件が記録され、最も少ない検出数は1月1日の29万3078件でした。

最も多く検出された望まないアプリケーションはAdware.Revmob.1.origin(126万374件)で、Adware.Airpush.7.origin(101万6462件)、Adware.Airpush.21.origin(68万3738件)が続いています。最も多く検出された悪意のあるプログラムは、高額な番号に有料SMSを送信するAndroid.SmsSend.749.originでした。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/?i=709&c=1&lng=ja&p=0

警察庁は27日、2013年のサイバー攻撃の情勢と対策の推進状況を公表した。2013年は情報窃取を企図したとみられる標的型メール攻撃が引き続き発生するとともに、水飲み場型攻撃を国内で初めて確認するなど、手口が巧妙化、多様化していると分析している。

 標的型メール攻撃については、2013年に警察が把握した件数は492件で、2012年に比べると517件減少。手口としては、同一内容のメールを多数の宛先に送付する「ばらまき型」攻撃が大幅に減少。一方で、採用活動や取り引きなどの業務との関連を装った通常のメールのやりとりを事前に行い、添付ファイル付きのメールが送られても不自然ではない状況を作った上で、不正プログラムを添付したメールを送りつける「やりとり型」攻撃が、2012年の2件から2013年には37件と大幅に増加した。

 標的型メール攻撃で添付されたファイルの傾向は、確認された453個のファイルのうち、ZIP形式の圧縮ファイルが全体の約6割(266個)を占め、その他の圧縮ファイルを含めると全体の約8割(346個)となり、圧縮ファイルの割合が増加傾向にある。

 標的型メール攻撃の事例としては、攻撃先の関係者が利用しているグループメールサービスに潜入し、名簿やメールアドレスなどの情報を事前に準備した上で攻撃に及ぶなど、周到な準備に基づく計画的な攻撃や、東京オリンピック・パラリンピックのボランティア募集に関する情報提供を装った攻撃、スマートフォンへの不正プログラムの感染を狙った攻撃などを挙げている。

 また、新たな攻撃の手口としては、攻撃先の職員が頻繁に閲覧するウェブサイトを改ざんし、閲覧者のPCに不正プログラムを感染させようとする「水飲み場型攻撃」(ウェブ待ち伏せ型攻撃)と呼ばれる手法が、国内で初めて確認されたことを紹介。国内で確認された攻撃では、改ざんされたサイトを特定のIPアドレスから閲覧した場合にのみ、不正プログラムを感染させる仕組みとなっており、標的を絞ることで発覚を免れようとする巧妙な手口だったという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140228_637405.html