パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年5月アーカイブ

ブログサービス「JUGEM」のサイトで発生していたのと同じマルウェア攻撃が、旅行会社の株式会社エイチ・アイ・エス(H.I.S.)のウェブサイトや、動画サイト「PANDORA.TV」でもあったことが分かった。株式会社シマンテックが30日、公式ブログで伝えた。

 この攻撃は、Flash Playerの脆弱性(CVE-2014-0515)を突くもの。ただし、すでにAdobe Systemsが4月末に公開したセキュリティパッチで修正済みであるほか、シマンテックなどのセキュリティソフトでもこの脆弱性を突く攻撃の検知に対応している。最新バージョンのFlash Playerを使用し、セキュリティソフトを適切に使用している環境では、攻撃は遮断できたもとのみられる。

 一方、Flash Playerが古いバージョンのままで、セキュリティソフトも適切に使用していない場合には、上記のサイトを閲覧することで悪質なコードが実行され、インターネットバンキングの口座情報を盗み取るマルウェアに感染した可能性がある。

 JUGEMを運営するGMOペパボ株式会社ではすでに28日の時点で、このような攻撃が仕掛けられていたことを発表(本誌5月28日付関連記事を参照)。30日までに対処を完了したとしている。

 H.I.S.でも30日付で告知を出した。5月24日から26日の期間に「his-j.com」のサイトを閲覧した人に対して、セキュリティソフトを最新状態にした上でスキャンを行うよう呼び掛けている。

 H.I.S.によると、同サイトで使用していた外部サービスのJavaScriptが改ざんを受けていたことが原因。H.I.S.では、この外部サービスを提供していた株式会社リクルートマーケティングパートナーズから29日に報告を受け、30日に公表に至った。

 なお、H.I.S.ではリクルートマーケティングパートナーズから報告を受けるより前の段階で、サイト閲覧時にセキュリティソフトの警告が出る原因がこのJavaScriptであることを特定。これを呼び出すタグを、26日18時の時点でサイトから除去していたという。

 シマンテックによると、CVE-2014-0515を突く攻撃は4月当初、標的を特定組織・業界に絞り込んだ"水飲み場型攻撃"に悪用されていた。しかし、4月末にセキュリティパッチが公開され、さらに数週間経過すると、インターネットユーザーを幅広く狙う攻撃に用いられるよう変わってきたという。

 しかも9割以上が日本を標的としている。シマンテックのセキュリティ製品のユーザーにおいて、5月16日ごろからこの攻撃の遮断が検知され始め、5月24日ごろから急激に増加。5月26日には7000件を超えた。5月27日までの検知数は累積で1万9000件を超えている。

 最初はPANDORA.TVあたりが悪用されたことで少しずつ攻撃を受けたユーザーが現れ、5月24日ごろからはJUGEMやH.I.S.といったユーザーの多いサイト経由でも攻撃が仕掛けられ、一気に攻撃の検知件数が増加したものとみられる。
日本のユーザーを狙う攻撃件数の推移(シマンテック公式ブログより)

 なお、前述のようにH.I.S.のサイト経由の攻撃は、リクルートマーケティングパートナーズが提供する外部サービスのJavaScriptが改ざんを受けていたことが原因だ。JUGEMでも同様に、使用していた外部サービスのJavaScriptが改ざんされ、悪意のあるサイトからコードを読み込むようになっていたという。GMOペパボではセキュリティの観点からこの外部サービスの具体名を公表していないが、リクルートマーケティングパートナーズではないとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140530_651100.html

Appleは21日、OS X向けウェブブラウザー「Safari」のアップデートとなるSafari 7.0.4およびSafari 6.1.4を公開した。

新バージョンでは、メモリ破損に関する21件の脆弱性と、URL中のUnicode文字列の取り扱いに関する1件の脆弱性を修正。脆 弱性が悪用された場合、悪意をもって細工されたウェブサイトを閲覧した際に予期しないアプリケーションの終了や任意のコード実行につながるおそれなどがあ る。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140522_649750.html

米HPのZero Day Initiative(ZDI)は21日、Internet Explorer 8(IE8)に未修正の脆弱性が存在するとして、脆弱性情報を公開した。

ZDIによると、脆弱性はCMarkupオブジェクトの処理に起因し、メモリ解放後使用の問題が発生するもの。脆弱性が悪用された場合、特別に細工されたページを閲覧した際に、任意のコードを実行させられる危険がある。

ZDIでは、2013年10月11日にこの情報をMicrosoftに通知したが、ZDIが修正期限としている180日を過ぎても脆弱性が修正されなかったため、情報を公開する旨を5月8日にMicrosoftに通告。今回、脆弱性情報を一般に公開した。

ZDIでは攻撃の回避策として、インターネットオプションでインターネットゾーンのセキュリティレベルを「高」に設定することや、ア クティブスクリプトの実行前にダイアログを表示するか、インターネットおよびローカルイントラネットゾーンでアクティブスクリプトを無効にすること、 Microsoftが配布している脆弱性緩和ツール「EMET」をインストールすることなどを挙げている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140522_649702.html

ESETは21日、Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスが日本国内で多く確認されているとして、注意を呼び掛けた。

ウイルスは、CVE-2014-0515を悪用するトロイの木馬およびその亜種で、日本では5月20日に感染が増加したことが確認されている。ESET製品では「SWF/Exploit.CVE-2014-0515」として検出する。

CVE-2014-0515は、4月28日に修正されたFlash Playerの脆弱性で、脆弱性の修正前に攻撃が発生する"ゼロデイ攻撃"に悪用されていたことが確認されている。ESETではウイルスに感染しないための対策として、ウイルス定義データベースを最新にアップデートすることや、OSやソフトウェアのアップデートを行い、セキュリティパッチを適用することなどを呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140521_649487.html

 株式会社セキュアブレインは16日、国内で被害が発生したインターネットバンキングのワンタイムパスワードを盗むMITB(Man-In-The-Browser)攻撃ウイルスの解析結果を発表した。メガバンクを含む国内5行への攻撃を確認したとしているが、具体的な名称は公表していない。

 感染したPCでは、攻撃対象の複数のインターネットバンキングサイトにアクセスした際に、正規サイトから受信したHTMLが改ざんされ、外部サーバーから取得したJavaScriptによって偽の入力画面の表示や入力されたID情報の外部送信が行われるケースも確認されているという。金融機関ごとに別のJavaScriptが取得・実行されるが、それらはすべて同一のサーバーから取得されていたとしている。

  ワンタイムパスワードや暗証番号を入力した後、複数の金融機関の改ざんで「アカウントデータがロードされるまでしばらくお待ち下さい」という同じ文言・デザインの偽画面を表示する機能が存在していたという。金融機関ごとにJavaScriptは異なるものの、プログラムの部品の共通化が行われていることも判明したとしている。

 セキュアブレインでは、インターネットバンキングで使用するPCは常にクリーンな状態に保つ必要があると説明。防御策としては、ウイルス対策ソフトを使用し、定義ファイルを最新の状態にすることに加えて、「使用している銀行の正しい操作画面を把握し、異変に気が付くよう警戒心を持ってください」としている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140516_648894.html

日本マイクロソフト株式会社は14日、5月の月例セキュリティ更新プログラム(修正パッチ)8件の提供を開始した。同社ソフトウェア製品の脆弱性を修正するもので、WindowsやInternet Explorer(IE)、Officeなどが対象となるが、すでに4月9日でサポートが終了したWindows XPおよびOffice 2003に対してはもう用意はされていない。

  • MS14-022:Microsoft SharePoint Serverの脆弱性により、リモートでコードが実行される(2952166)
  • MS14-023:Microsoft Officeの脆弱性により、リモートでコードが実行される(2961037)
  • MS14-024:Microsoftコモンコントロールの脆弱性により、セキュリティ機能のバイパスが起こる(2961033)
  • MS14-025:グループポリシー基本設定の脆弱性により、特権が昇格される(2962486)
  • MS14-026:.NET Frameworkの脆弱性により、特権が昇格される(2958732)
  • MS14-027:Windowsシェルハンドラーの脆弱性により、特権が昇格される(2962488)
  • MS14-028:iSCSIの脆弱性により、サービス拒否が起こる(2962485)
  • MS14-029:Internet Explorer用のセキュリティ更新プログラム(2962482)


 8件のうち、最大深刻度のレーティングが4段階で最も高い"緊急"となっているのは「MS14-029」と「MS14-022」の2件で、残りの6件は2番目に高い"重要"。

 「MS14-029」は、特別に細工されたウェブページをIEで閲覧することで、リモートでコードが実行される可能性があるというもの。悪用された場合、攻撃者によってユーザーと同じ権限が取得される可能性がある。具体的には、2件のメモリ破壊の脆弱性(CVE-2014-0310、CVE-2014-1815)が含まれ、このうちの1件(CVE-2014-1815)はすでに悪用が確認されているという。Windows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2上のIE 6/7/8/9/10/11が影響を受け、Windowsのクライアント版OS上でこれらを使用している場合に深刻度が最高の"緊急"となる。一方、サーバー版OSでは危険性を低減させる機能により、深刻度は上から3番目の"警告"とのレーティングだ。

 なお、「MS14-029」は、5月2日に定例外で公開されたIEの臨時パッチ「MS14-021」を置き換えるパッチとなっており、「MS14-021」で修正されたIEのメモリ破壊の脆弱性(CVE-2014-1776)の修正も含まれている。すなわち、「MS14-029」には計3件の脆弱性修正が含まれるており、「MS14-021」をまだ適用していなかったPCでも「MS14-029」だけを適用すればよい。だたし、過去のパッチをまとめた累積的なパッチというわけではないため、それよりも前に公開されたパッチは別途、適用する必要がある。

 また、前述の通り、Windows XPはサポート期間終了のため、「MS14-029」はもう用意されてはいない。臨時パッチの「MS14-021」が未適用の場合は、「MS14-021」でCVE-2014-1776のみを修正するかたちとなる。

 もう1件"緊急"となっている「MS14-022」は、SharePoint SharePoint Server 2007/2010/2013、Office Web Apps 2010/2013、SharePoint Server 2013 Client Components SDK、SharePoint Designer 2007/2010/2013が影響を受けるものだ。SharePointページコンテンツの脆弱性(CVE-2014-0251)、SharePoint XSSの脆弱性(CVE-2014-1754)、Web Applicationsページコンテンツの脆弱性(CVE-2014-1813)という3件の脆弱性の修正が含まれる。これらの中で最も深刻な脆弱性では、認証された攻撃者が細工されたページコンテンツを標的となるSharePoint Serverに送信した場合に、リモートでコードを実行される可能性があるとしている。

 "重要"の6件がそれぞれ影響するソフトウェアは、「MS14-023」「MS14-024」がOffice 2007/2010/2013/2013 RT、「MS14-025」がWindows Vista/7/8/8.1およびWindows Server 2008/2008 R2/2012/2012 R2、「MS14-026」が.Net Framework 1.1/2.0/3.5/3.5.1/4.0/4.5/4.5.1、「MS14-027」がWindows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2、「MS14-028」がWindows Server 2008/2008 R2/2012/2012 R2。

 なお、「MS14-025」については、Windows UpdateおよびMicrosoft Updateからの配信は行わない。これは、このパッチがグループポリシーの設定の機能の一部を削除するために、事前検証や追加設定が必要になるためだ。企業向けということもあり、自動更新による配布は不要と判断した。MicrosoftダウンロードセンターまたはMicrosoft Updateカタログからパッチを入手してインストールするかたちとなる。なお、クライアントシステムでは、リモートサーバー管理ツールをインストールしている場合にのみ脆弱性を受けるとしている。

 日本マイクロソフトでは、個人ユーザーに対しては、Microsoft Updateの自動更新により該当するパッチが自動的に適用されると説明。自動更新機能を無効にしているユーザーには、有効にするよう呼び掛けている。一方、企業ユーザーでパッチのインストールに優先付けが必要な場合は、「MS14-024」「MS14-025」「MS14-029」を優先的にインストールするよう案内している。

 今月の月例パッチは、Windows XPおよびOffice 2003のサポート期間が終了後、初めての定例パッチとなる。各パッチで修正する脆弱性の影響を受けるソフトウェアとしてはサポート中の製品しか明示されないため、そこにリストアップされていないからといってWindows XPやOffice 2003が脆弱性の影響を受けないというわけではもちろんない。例えば今回、Windowsのより新しいバージョンに見つかった脆弱性が、Windows XPでも同様に影響を受ける可能性は十分に考えられるわけだ。日本マイクロソフトでは「Windows XPはサポート外のため、影響がにあるともないともコメントできない」というスタンスだが、「過去数年の傾向から、Windows XPが攻撃を受ける可能性は高い」とし、「より安全性の高い最新のシステムに移行してほしい」と呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140514_648342.html

株式会社三井住友銀行は12日、インターネットバンキング(SMBCダイレクト)の利用者の情報を盗み取ろうとするウイルスを使った新たな手口が発生しているとして、ユーザーに注意を呼び掛けた。

 被害に遭った顧客から報告された新たな手口は、ユーザーがSMBCダイレクトにログインした後に、「ダウンロード中です」「読込中です」といった偽画面が表示され、その偽画面上で送金などの取引に必要となる暗証番号の入力を求めるもの。

 ユーザーが偽画面による誘導に従って暗証番号を入力してしまうと、通常表示されるはずの取引内容の確認画面が表示されることなく、直ちに不正な取引が実行されてしまう。

 三井住友銀行では、銀行側のサーバーには異常がなく、一部ユーザーのPCにしか不正な画面が表示されていないことから、ユーザーのPCがウイルスに感染していることが原因と考えられると説明。SMBCダイレクトでは、取引内容の確認画面を表示せずに暗証番号の入力を求めることはないため、こうした画面が表示されても、暗証番号の入力は絶対に行わないよう注意を呼び掛けている。

 また、別の例としては、ログイン後に不正な画面やポップアップ画面が表示され、暗証カードの数字の入力を求めるものがある。ユーザーが数字を入力してしまうと、その数字が不正に利用され、不正出金がされてしまう。

 この場合、SMBCダイレクトでは、暗証カードの乱数表のうち2カ所のみを指定するため、3カ所以上を指定する画面が表示されても、暗証番号などの情報の入力は絶対に行わないことを求めている。

 三井住友銀行では、SMBCダイレクトのログイン後に不正な画面が表示されたり、画面に暗証番号などを入力してしまった場合には、フリーダイヤルに電話をして、SMBCダイレクトの利用停止登録などの手続きを行ってほしいとしている。

 また、被害に遭わないための対策としては、ウイルス対策ソフトの利用や、振込上限金額の指定、取引受付完了の連絡メールの利用を呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140513_648040.html

スクウェア・エニックス(FINAL FANTASY XIV)をかたるフィッシングサイトの報告がありました。

1. 2014/05/08 13:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2.このようなフィッシングサイトにてアカウント情報 (スクウェア・エニックスID、スクウェア・エニックスパスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://squareenix-●●●●●.com/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/square_enix20140508.html

インターネットバンキングの利用者が送金などする際、パソコンをウイルスに感染させてIDやパスワードを盗み取る新たな手口の被害が急増している。兵庫県内の不正送金による被害は、4月末時点で昨年1年間を上回る約1億円に上る。以前は偽サイトに誘導する手口が主流だったが、被害の多くがウイルスによるものとみられ、県警は巧妙化する手口に警戒を強める。(奥平裕佑)
 

 県警などによると、新たな手口は、他のサイトなどに潜ませていたウイルスを感染させ、銀行などのホームページにログインした際、偽画面が表示され情報が抜き取られる。
 
 以前は金融機関を装い送られたメールで偽のサイトに誘導する手口が主流だったが、昨年春ごろからウイルス型が確認され始めた。昨年末以降、全国で被害が急増している。
 
 対策ソフト販売会社「セキュアブレイン」(東京)の調査では、今年3月までの約1年間で、同社のソフトを利用する約250万台のうち約3万9千台でウイルスを検知した。
 
 県警によると、県内で先月2日、ネットバンキングをしていた男性が、サイトに表示された偽画面に暗証番号などを入力後、知らない女性名義の口座に20万円が送金された。男性はパソコンの基本ソフト(OS)を更新せず、ウイルス対策ソフトもなかったという。
 
 県内の昨年の不正送金被害は74件約8500万円。今年は4カ月間で55件約1億円に上っており、大半がウイルス感染で被害に遭ったとみられる。
 
 大手銀行などは、一定時間で暗証番号が変わる「ワンタイムパスワード」を表示する小型端末の配布、対策ソフトの無料提供など対策に躍起だ。ゆうちょ銀行は昨年8月からホームページで対策ソフトを提供。「費用を負担してでも、顧客のセキュリティーを高める必要がある」とする。
 
 県警も啓発を強めるが、「パソコンの動作が重くなる」などを理由にソフトを活用していないなど、利用者の意識は希薄という。
 
 神戸大大学院の森井昌克教授(情報通信工学)は「利用者が対策を強めなければ、被害は増え続ける」と指摘する。
 
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20140506-00000001-kobenext-l28

 米Microsoftは1日、Internet Explorer 6以上の全バージョンに影響する深刻な脆弱性に関して、定例外セキュリティー更新プログラム提供を開始した。

 ユーザーが設定を自動更新にしていれば、Windows Update、Microsoft Updateを介して自動的に該当更新プログラムが適用されるため、特別な作業はユーザーに求められていない。

 この脆弱性に関しては4月26日に脆弱性が発見されて以来、米国、英国政府などがInternet Explorerの一時使用停止を呼びかけていた。

 注目されるのは、4月9日(日本時間)にサポートが終了したWindows XPユーザーに対しても、更新プログラムが提供されたことだ。これまでMicrosoftは「製品サポート終了に伴い、対象製品へのセキュリティ更新プロ グラムの提供も終了する」と何度も言明してきた。今回Microsoftは「例外」を設けたことになる。

 この決定理由について、米Microsoftトラストワーシーコンピューティング担当ゼネラルマネージャーAdrienne Hall氏は「我々はWindows XPのサポート終了後まもないことを考慮し、この例外を設けた」と説明した。また、この脆弱性発見のタイミングがWindows XPサポート終了時期と重なり、メディアによって大きく報じられたことも関係していることを示唆した。

 今回は例外的な措置であることを説明し、Windows XPユーザーに対しては、Windowsのより新しいバージョンに移行するよう重ねて要望している。新しいOSはより安全に設計されており、その上で動作 する新しいInternet Explorerの安全性やパフォーマンスも向上しているからだ。

 今回の脆弱性を悪用した攻撃について、Microsoftでは「Windows XPを含め、本脆弱性を悪用する攻撃が広まっている状況ではありません」と説明。セキュリティ企業Kasperskyでも、「セキュリティチームたちは、 これが広まっている様子を見ておらず、我々のいかなる顧客システムに対しても使用されたことを発見できていない」とおおむねMicrosoftの見解に同 意している。

 同時にKasperskyでは、「ひとたび更新プログラムおよびソースコードが解析されれば、待ち構えている大規模サイバー犯罪ネッ トワークへ供給が始まるだろう」と指摘。修正プログラム配布は犯罪者たちとの新たな戦いの始まりでもあることを強調した。脆弱性を発見した米 Fireeye Research Labsでも、犯罪者たちのターゲットはこれまでの防衛、金融産業から政府、エネルギー関連産業に拡大してきていると指摘している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140502_646872.html

三井住友カードをかたるフィッシングサイトの報告がありました。

■メールの件名
三井住友カード【重要】

■詳細
1. 2014/4/30 17:30 現在、フィッシングサイトの停止を確認しておりますが、類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトにてアカウント情報 (会員番号、カード有効期限、3桁の番号、生年月日、電話番号など) を絶対に入力しないように注意してください。

3.誤ってアカウント情報を入力した場合には、三井住友カードの問い合わせ先にお問い合わせください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://www.●●●●.com/jp/
http://www.smbc-card.com.●●●●.com/vp/create/create_user.html

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/smbc_card20140430.html

Googleは24日、ウェブブラウザー「Google Chrome」の最新版を公開した。バージョン番号は、Windows版およびMac版が34.0.1847.131、Linux版が34.0.1847.132。既存ユーザーには自動的にアップデートが適用される。

 最新版では、計9件の脆弱性を修正。また、内蔵のFlash Playerについても、脆弱性を修正した最新版(バージョン13.0.0.26)へのアップデートが行われている。
 
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140430_646602.html

米Adobe Systemsは28日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。脆弱性は既に悪用が確認されているため、Adobeではユーザーに対してアップデートを推奨している。

 最新バージョンは、Windows/Mac版が「13.0.0.206」、Linux版が「11.2.202.356」。Flash Playerを内蔵しているGoogle ChromeおよびWindows 8.1/8向けのInternet Explorer 11/10も、それぞれアップデートの提供を開始した。

 今回のアップデートでは、バッファオーバーフローにより任意のコードを実行させられる危険のある脆弱性「CVE-2014-0515」を修正する。

 この脆弱性を報告したKaspersky Labによると、悪用コードのサンプルを最初に受け取ったのは4月14日で、4月16日にも同じサンプルを受け取った。ヒューリスティック検知の状況を確認したところ、4月9日に最初の悪用が記録されており、多数の悪用が確認されたという。

 Kasperskyが確認した攻撃は、Windowsユーザーを標的としており、OSがWindows 8である場合には攻撃を変化させる仕組みも備わっていた。サイトには「movie.swf」「include.swf」という2種類のFlash動画ファイルとして設置されていた。

 「movie.swf」は、さらに別の悪用コードをダウンロードする目的のものだが、既にリンク切れとなっていたため、どのようなコードであったかは調査できていないという。もう1つの「include.swf」は、Flash PlayerのActiveXとCiscoのウェブ会議システム「MeetingPlace Express」用のアドオンがインストールされている環境でのみ動作するもので、こちらについても完全な悪用コードは入手できていないという。

 Kasperskyによると、これら2つのファイルはシリア司法省のサイトに設置されていたことが確認されており、市民が違法行為などに抗議するためのオンラインフォームに攻撃が仕掛けられていたことから、攻撃はシリア反体制派を標的としたものだと分析している。Kaspersky製品によるこの攻撃に関する検知件数は30件で、うち7件がシリア国内のものだった。また、攻撃を受けたすべてのユーザーは、Firefoxを利用していたという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140430_646579.html