パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年6月アーカイブ

三井住友銀行をかたるフィッシングメールが出回っています。

■メールの件名
【三井住友銀行】本人認証サービス

■詳細内容
1. 2014/06/27 16:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (店番号・口座番号、契約者番号、第一暗証、第二暗証など) を絶対に入力しないように注意してください。

3. 誤ってログイン情報を入力した場合には、不正出金ホットラインなどのお問い合わせ先(不正出金ホットライン:0120-322-775)にお問い合わせください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://www.●●●●.cn/k/js
http://www.●●●●.co.kr/js/
http://●●●●.net/images/
http://www.●●●●.com/js/
http://bbs.●●●●.org/static/js/
http://direct.smbc.co.jp.●●●●.co.in/aib/aibgsjsw5001.jsp/
http://●●●●.ppp.●●●●.ne.jp/aib/aibgsjsw5001.jsp/

ウェブマネーをかたるフィッシングメールが出回っています。

■メールの件名
WebMoneyー安全確認
ID.パスワードの管理

■詳細内容
1. 2014/06/26 11:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ウォレットID、パスワード、セキュアパスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL

http://●●●●.tk/service.webmoney.jp/wallet/
http://●●●●.tk/services.webmoney.jp/wallet/
http://●●●●.tk/servioee.webmoney.jp/wallet/
http://●●●●.tk/servioer.webmoney.jp/wallet/
http://service.webmoney.jp.vsjp.●●●●.vu/

動画サイト「niconico」で一時配信されていた不正なネットワーク広告によって、Flash Playerの更新を促す偽メッセージが表示され、Flash Playerの偽インストールサイトに誘導される事象が発生していた件について、セキュリティベンダーのトレンドマイクロ株式会社が24日、調査結果を発表した。

 日本国内からこの偽Flash Playerのサイトへ誘導された件数は、6月19日から23日までの5日間で、少なくとも1万7173件あったことが分かった。これは、トレンドマイクロ製品を導入しているユーザーの環境から同サイトへアクセスがあったのを検知・カウントしたものだ。その期間、全世界では2万4000件以上のアクセスがあったが、その約7割が日本のユーザーに集中していたことになる。

 なお、niconicoでは、この不正な広告を配信していた広告ネットワークを19日正午までに遮断している。一方、トレンドマイクロの集計では、全世界からのアクセス2万4000件以上のうち、ピークだった19日時点では1万4000件以上を検知。残りの約1万件のアクセスは、20日以降に発生していることが分かっている。19日時点では、日本のユーザーをターゲットにniconicoに配信された広告から誘導されたケースが多かったと思われるが、niconicoが問題の広告を遮断した後にも偽Flash Playerサイトへ誘導されるユーザーがあったことになる。niconico以外のサイトにも同様の広告が配信されていたか、あるいはFlash Playerを使用する正規サイトの改ざんなど、広告とは別の手段でも同サイトへの誘導が行われていた可能性が考えられる。

 トレンドマイクロによると、Flash Playerのインストーラーを装って実行されるのはアドウェアの一種。インストール台数に応じてアフィリエイト手数料が得られるPPI(Pay Per Install)の対象ソフトを勝手にインストールするという。今回の場合は、Flash Playerのインストールを装って「FLV Player」のインストール画面が表示されていた。アドウェアが実行された時点で、感染PCのMACアドレスなどの情報を外部へ送信するが、今回の攻撃に関してはクレジットカードなどの重要情報を送信するような活動は確認できなかったとしている。一方で、動画再生プログラムのほか、不審なシステムユーティリティが勝手にインストールされた事例を確認しているという。

 「攻撃者はインターネット利用者が正規サイトを閲覧している際には警戒心が薄れることに付け込み、今回のような『ネット広告』の悪用や『正規ウェブサイト改ざん』の攻撃を実行しています。現在のインターネットは既に、『怪しくないサイト』を見ているときでも、常に注意が必要な状況になっていると言えます。」(トレンドマイクロ)

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140624_654932.html

動画サービス「niconico」において6月19日未明から、Flash Playerの更新を促す通知に見せかけて、マルウェアをダウンロードさせるサイトへと誘導するメッセージが表示される事象が発生していた。株式会社ドワンゴと株式会社ニワンゴが発表した。

 株式会社マイクロアドが提供する広告配信ネットワーク「MicroAd AdFunnel」経由で配信された広告に埋め込まれていた悪意のあるスクリプトが原因。ドワンゴなどによると、19日正午までに同広告ネットワークとの通信を遮断したとしている。
Flash Playerの更新を促すポップアップメッセージ(シマンテック公式ブログから画像転載)

 この事象について、セキュリティベンダーの株式会社シマンテックが同社公式ブログにおいて解説している。niconicoを視聴していると「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」といった怪しいポップメッセージが表示され、「OK」ボタンをクリックすると、偽のFlash Playerのダウンロードサイトへリダイレクト。そこから偽のアップデートをダウンロードしてインストールしてしまうと、PCがマルウェアに感染する。

 このマルウェアは、使用しているウェブブラウザーの情報、PCのGUID、ハードディスクのシリアル番号、MACアドレスなどの情報を収集して外部に送信するほか、別のファイルをPCに投下するものだという。

 シマンテックの公式ブログでは偽ダウンロードサイトの画像も掲載しており、デザインなどは正規サイトに似せてあるが、日本語が怪しいことが分かる。例えば「現在インストールされているFlash Playerのバージョンは低いですので、更新してください」「新しいバージョンのFlash Playerは放送速度はもっと速くて、性能は良いとなります」などだ。また、正規のFlash Playerの最新バージョンは「14.0.0.125」だが、偽ダウンロードページでは「11.9.900.152」と記載されている点も異なる。
誘導先の偽ダウンロードサイト(シマンテック公式ブログから画像転載)

 MicroAd AdFunnelを提供するマイクロアドによると、問題となったスクリプトが仕込まれていた広告は米国の提携事業者から配信されていたもので、19日10時ごろに同事業者からの広告配信は停止したとしている。

 なお、MicroAd AdFunnelは、niconico以外の複数のサイトにも導入されているというが、今回の問題が報告されているのは現時点ではniconicoのみだという。マイクロアドでは、米国の提携事業者より20日中に調査報告を受ける予定だとしており、問題の広告が配信され始めた時期や実際に配信されていたサイトなどの情報も含めて、詳細は追って発表するとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140620_654332.html

スクウェア・エニックス(ドラゴンクエストX)をかたるフィッシングメールが出回っています。

■メールの件名
常確認のお願い
アカウント確認のお願い

■詳細内容
1. 2014/06/11 13:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (スクウェア・エニックスID、スクウェア・エニックスパスワード、ワンタイムパスワード) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://hiroba-dqx.jp.●●●●.pw/index.html
http://hiroba-dqx.jp.●●●●.pw/account/app/svc/login.html

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/square_enix20140611.html

 米Adobe Systemsは11日、「Flash Player」と「Adobe AIR」をアップデートした。脆弱性の修正が含まれており、ユーザーに対して最新バージョンへの更新を推奨している。

 今回公開された最新バージョンは、Flash PlayerのWindows/Mac向けが「14.0.0.125」、Linux向けが「11.2.202.378」。また、Flash Playerが統合されているInternet Explorer 10/11とGoogle Chromeでも、それら各ウェブブラウザーのアップデートによりFlash Playerもバージョン「14.0.0.125」に自動的にアップデートされる。

 Windows/Mac/Android向けのAdobe AIRもバージョン「14.0.0.110」にアップデートしており、Linux版Flash Playerを除き、Flash/AIRがバージョン「14」系列になった。

 修正した脆弱性は、CVE番号ベースで6件。内容は、クロスサイトスクリプティング、セキュリティ機能の回避、メモリ破壊の脆弱性 だ。細工したコンテンツをユーザーに開かせることによって、任意のコードを実行させることが可能な脆弱性だという。脆弱性の緊急度は、4段階中で最も高い "Critical"とのレーティングだ。

 アップデートを適用する優先度は、Flash Playerのバージョン14.0.0.125が最も高い"Priority 1"となっている。「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を修正するもので、「直ちに(例えば72時間 以内)適用すること」が推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140611_652931.html

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
三菱東京UFJ銀行 - メールアドレスの確認

■詳細
1. 2014/06/10 10:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IBログインパスワードなど) を絶対に入力しないように注意してください。

3. 誤ってアカウント情報を入力した場合には、三菱東京UFJ銀行の「パスワードを入力してしまった」「身に覚えのない出金があった」などの緊急連絡先(インターネットバンキング不正利用ご相談ダイヤル:0120-111-082)にお問い合わせください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://www.jxdp.●●●●.cn/css/index.htm
http://www.●●●●.com/Img/
http://www.●●●●.com/images/
http://www.●●●●.com/css/
http://www.mufg.jp.snr.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/mufg20140610.html

Google Playのセキュリティを強固なものにしようというGoogleの努力にも関わらず、マルウェアや潜在的に危険なアプリケーションの出現は後を絶ちません。最近では、SMSを勝手に送信し、他のアプリケーションをダウンロード・インストールするなどの動作を実行するプログラムがDoctor Webのセキュリティリサーチャーによって発見されています。このプログラムのダウンロード件数は100万件を超えており、ここ最近で起こった拡散のうち最も大規模なものの1つとなっています。

このプログラムはデバイスの設定を変更したり、機能の一部へのアクセスを容易にしたりするためのオプティマイザです。中でも特に、アプリケーションマネージャとして動作し(プログラムをインストール・アンインストールする、バックアップを作成するなど)、メモリをクリアしたり、インターネットトラフィックを監視したりすることができます。

これらの機能に加え、このプログラムはユーザーに気づかれずに不正なアプリケーションをダウンロードしたり、高額な課金SMSを送信したりといった動作を実行することが可能です。それらの動作の実行には複数の疑わしいサービスが使用され、それらのサービスはプログラムが実行されると同時に起動します。そのうちの1つはリモートサーバーとの通信に使用され、デバイスに関する情報(IMEIおよびIMSI)を送信し、以下のコマンドを受け取ります。

  • ダウンロードするアプリケーションのリスト
  • SMSメッセージのテキストや送信先番号
  • 傍受する受信メッセージのリスト(送信者の番号とSMSテキスト)


また別のサービスはアプリケーションのインストールに使用されます。このサービスはpm installコマンドを使用し、作成されたapkファイルのリストに基づいてプログラムを密かにダウンロード・インストールします。この動作はルートアクセスを持ったデバイス上でのみ可能となっています。必要な権限を持っていない場合、インストールは通常のモードで行われ、ユーザーの確認を必要とします。

バックグラウンドでのインストール機能は、アプリケーションを1つのモバイルデバイス上から別のモバイルデバイス上へ移す場合などの使用を正規の目的としていますが、同時に、ユーザーの許可なしにプログラムをインストールするために悪用されることがあります。SMSの自動送信に関しては、この機能は直接コントロールセンターからのコマンドによって実行され、ユーザーがコントロールすることはできません。このような危険な機能を持つことから、Doctor Webではこのユーティリティを悪意のあるプログラムであると判断し、 Android.Backdoor.81.originとしてウイルスデータベースに追加しました。

Google Play上で発見された時点で、このプログラムのダウンロード件数は既に100万件を超え、多くのユーザーが高額な課金SMSを勝手に送信されてしまうという被害に遭っていました。5月26日の時点で、このプログラムは未だGoogle Playからダウンロードすることが可能な状態となっています。

悪意のある危険なプログラムによる被害を受けないようにするため、アプリケーションをダウンロードする際には必要とされる権限を確認し、Android向けの最新のアンチウイルスを使用することを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=740&lng=ja&c=2

日本マイクロソフト株式会社は6日、6月11日に公開を予定している月例のセキュリティ更新プログラム(修正パッチ)に関する事前情報を公開した。公開を予定しているセキュリティ情報は計7件。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が5件。

 最大深刻度"緊急"のうち1件は、Internet Explorer(IE)に関するもの。現在サポートされているすべてのIE(IE11~6)が対象となる。米Microsoft Security Response Centerのブログによると、Zero Day Initiativeが情報を公開していたIEの脆弱性についても修正を行うという。

 "緊急"のもう1件は、WindowsとOfficeに関するもの。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)と、Office 2010/2007およびOffice互換機能パックが対象となる。また、リアルタイムコミュニケーション製品の「Lync」も対象となる(Lync 2013/2010、Live Meeting 2007 Console)。

 最大深刻度"重要"の5件は、Windowsに関するものが3件、Officeに関するものが1件、Lyncサーバーに関するものが1件。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140606_652123.htmll

ESETは4日、Android端末を標的にした初のファイル暗号化型ランサムウェア「Android/Simplock.A」を発見したと報告した。

ランサムウェアとは、端末をロックして使用不能にしたり、端末内のファイルを勝手に暗号化するなどして、元に戻すための費用として金銭の支払いを要求する身代金要求型のマルウェアのこと。2013年5月には画面をロックするタイプのAndroid向け偽セキュリティアプリが発見されており、2014年5月にはPC向けのランサムウェア「CryptoLocker」と関連すると思われるAndroid向けのランサムウェアが報告されたが、ファイルを暗号化するものではなかったという。

今回、ESETが発見した「Android/Simplock.A」は、実行するとSDカード内の文書や画像、動画ファイルを検索し、それらのファイルを暗号化してしまう。その上で、これらのファイルの"身代金"として金銭を要求するもので、メッセージはロシア語で表示され、代金にはウクライナ通貨(260UAH、約21ドル)での支払いを要求することから、この地域を標的にしていると考えられると分析している。

また、Android/Simplock.Aは匿名ネットワークの「Tor」を使用している点も特徴で、Android/Simplock.Aが接続するC&Cサーバー(司令サーバー)は、Torネットワーク上のonionドメインで運用されているという。

ESETでは、今回分析したランサムウェアのサンプルは公式マーケットのGoogle Playでは発見されておらず、現時点での感染率は非常に低いと推定。ユーザーに対しては、モバイル向けセキュリティアプリを使うことや、デバイスをバックアップしておくといった予防策を実施することを薦めている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140605_652049.html