パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年7月アーカイブ

独立行政法人情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は30日、「Outlook.com」のAndroid版アプリにSSLサーバー証明書の検証不備の脆弱性が存在することを公表した。ユーザーに対しては、最新版へのアップデートを呼び掛けている。

脆弱性が存在するのは、Outlook.comのAndroid版アプリの7.8.2.12.49.7090より前のバージョン。該当バージョンのアプリには、ウェブサーバーから不正なSSLサーバー証明書が送信された場合でも、警告を出さずに接続してしまうという検証不備の脆弱性が存在する。この脆弱性が悪用されることで、中間者攻撃による暗号通信の盗聴などが行われる可能性がある。

対策方法としては、既に脆弱性を修正したバージョンのアプリが公開されているため、最新バージョンへのアップデートが推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140730_660252.html

Doctor Webは、Google Play上で使用されるクレジットカードの情報を盗む新たなトロイの木馬について、Androidユーザーの皆様に警告します。このマルウェアはFlash Playerを装って拡散され、バンクアカウントの情報を入力するようユーザーを誘導します。その結果、犯罪者はそのアカウントから金銭を盗むことが可能になります。

Android.BankBot.21.originとしてDr.Webウイルスデータベースに追加されたこのマルウェアはAdobe Flash Playerを装って拡散され、クレジットカード情報を盗むほかSMSメッセージを傍受します。

インストールされた後に起動されると、このトロイの木馬は管理者権限の取得を試みます。該当する要求画面が0.1秒ごとに表示され、ユーザーはそれらを止めるために権限を与えざるを得なくなります。こうして、このマルウェアは削除される危険性から自身を保護します。

クレジットカード情報を盗むために、Android.BankBot.21.originはGoogle Playアプリケーションウィンドウがアクティブであるかどうかを確認し、アクティブだった場合は、標準的なクレジットカード情報の入力フォームを表示させます。

入力されたカード番号、有効期限、CVCコード、カード所有者の住所や電話番号などは全て犯罪者のサーバーへ送信されます。さらに、デバイスモデル、IMEI、OSバージョン、インストールされているアプリケーションのリスト、SMSのコンテンツなどの、感染したデバイスに関する情報もまた、犯罪者のサーバーへ送られます。

そのほか、vは犯罪者のサーバーから直接、またはSMS経由で受け取った様々なコマンドを実行する機能を備えています。中でも特に受信SMSを傍受し、特定の番号に対してメッセージを送信することができます。

このマルウェアはユーザーのアカウントから金銭を盗む目的で使用される可能性が高いことから、Androidユーザーは十分に注意し、疑わしいアプリケーションはインストールしないことが推奨されます。

この脅威はDr.Web for Androidによって検出・駆除されます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=756&lng=ja&c=2

BBソフトサービスは、オンライン詐欺対策機能を搭載したiPhone向けのブラウザアプ「Internet SagiWall for iOS」の配信を開始した。利用料は月額100円(税込)で、初回インストールから30日間は無料。

 今回提供される「Internet SagiWall for iOS」は、オンライン詐欺対策ソフト「Internet SagiWall」の検知エンジンを搭載するブラウザアプリ。独自のヒューリスティック検知エンジンにより、日本国内で発生する詐欺サイトを自動的に判断して警告を表示する。

 同社はこれまで、同種のアプリを「あんしんWeb by Internet SagiWall for iOS」として期間限定の無料アプリで提供してきたが、商用製品として十分な性能を発揮できることが確認できたとし、後継のアプリとして今回の「Internet SagiWall for iOS」の提供を開始した。

 「あんしんWeb by Internet SagiWall for iOS」は新規の提供を終了するが、すでに利用しているユーザーは2年後の2016年8月31日まで引き続き無料で利用できる。また、パソコンやスマートフォンなど3つのデバイスで利用できる「Internet SagiWall for マルチデバイス」を契約しているユーザーは、ライセンス内であれば追加料金なしで「Internet SagiWall for iOS」を利用できる。

 「Internet SagiWall for iOS」の対象OSはiOS 5.1~、対象端末はiPhone 5s、iPhone 5c、iPhone 5、iPhone 4s、iPhone 4、iPod touch。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140722_658982.html

Doctor Webでは、Dr.Web for Androidによってモバイルデバイス上で検出された脅威について監視と分析を続けています。これまで長い間、様々なトロイの木馬を含むその他の脅威を遥かに引き離す形で、広告モジュールの組み込まれたアプリケーションがモバイルデバイス上で最も多く検出される脅威としての座を占めていました。しかし、ここ最近の統計により、Android.SMSBotプログラムの拡散が急激に増加していることが明らかになりました。その検出数は5月末から227%増加し、6月の合計は67万件を超えています。

Dr.Web for Androidによって収集されたデータによると、5月には23万5,516件のAndroid. SmsBot.120.originが検出され、最も多く検出された脅威として躍り出ています。このマルウェアは6月を通して検出数を伸ばし続け、同月末には5月に比べて227%増加した67万422件が記録されています。その結果、6月に最も多く検出された脅威もまた、全体の11%を占める形でAndroid. SmsBot.120.originとなっています。

このトロイの木馬は、犯罪者からコマンドを受け取り、悪意のある様々な動作を実行する典型的なマルウェアの1つです。中でも特に、Android. SmsBot.120.originはSMSを送信・傍受・削除、ブラウザ内に特定のwebページを表示、デバイスの位置情報を取得、特定のアプリケーションを削除することができます。

多くの場合、このトロイの木馬はアダルト動画を装って拡散されていますが、音声ファイルなどの正規アプリケーションとして拡散される場合もあり、疑わしいコンテンツをダウンロードする際には十分な注意が必要です。Dr.Web for Androidの動作しているデバイスは、この脅威から保護されています。

Doctor Webでは今後もAndroid. SmsBot.120.originの監視を続けていきます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=751&lng=ja&c=2

Eメールによるマルウェアの拡散は、犯罪者によって最もよく使用される手法の1つです。Doctor Webでは、危険なトロイの木馬を含んだEメールの大量送信が2014年6月26~27日に確認され、それらはAmazonからのメールを装ったものでした。

6月26日を境に、多くのユーザーがAmazonからの注文確認メールを装った偽のメールを受け取るようになりました。このメールには、注文の詳細を確認するために添付のファイルを開くよう記載されています。メッセージは英語で書かれ、現在知られている限り、注文日と番号を除いてすべて同じ文面になっています。

Hi,
Thank you for your order. We'll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.

添付されているZIPアーカイブには、ウイルス開発者らによってSmoke Loaderと呼ばれているBackDoor.Tishop.122マルウェアの実行ファイルが含まれています。このトロイの木馬は感染させたコンピューター上に悪意のある別のソフトウェアをダウンロードすることで、アンチウイルスによって保護されていないシステムをマルウェアの巣窟へと変化させます。BackDoor.Tishop.122は起動されると、サンドボックスまたは仮想マシンの存在を確認するためにスキャンを開始し、ハードディスク上のフォルダに自身のコピーを作成します。続けて、自動実行に関与するWindowsレジストリブランチ内に自身を登録し、複数のシステムプロセスに自身のコードを挿入します。さらに、システムがインターネットに接続されている場合は、悪意のある他のプログラムのダウンロードと起動を試みます。

実際に商品を購入していない限り、注文内容の詳細を記載したファイルの添付された、未知の送信者からのEメールを開かないよう十分に注意することが推奨されます。そのようなメールはすぐに削除するようにしてください。BackDoor.Tishop.122はDr.Webアンチウイルスソフトウェアによって検出されるため、Doctor Webのユーザーに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=750&lng=ja&c=2

マルウェア感染を原因とするネットバンキング不正送金事件の多発を受け、総務省は18日、官民連携によるマルウェア対策プロジェクト「ACTIVE」を通じ、注意喚起を実施すると発表した。通信ログをもとにマルウェア感染者を特定し、警告メールをプロバイダー経由で送信するという。

 近年増加している不正送金事件の多くは、「Game Over Zeus(GOZ)」と呼ばれるマルウェアが原因とされている。これに感染したユーザーが正規のオンラインバンキングサイトへアクセスすると、偽のログイン画面が表示され、気付かずに認証を済ませた場合、結果として不正送金が実行されてしまう。また、ボットネットとしての性質も備えている。

 GOZ撲滅に向けては、米国連邦捜査局(FBI)と欧州刑事警察機構(ユーロポール)が共同で作戦を展開。サーバーを押収したり、関係者を起訴するなどの対応を進めている。一方で、被害抑止にあたっては、マルウェアそのものを実際に駆除する必要もある。

 総務省および警察庁によると、FBIなどが開発したシステムを使うことで、GOZ感染端末は特定できるという。総務省ではGOZ撲滅作戦に協力するため、ACTIVEを推進する一般財団法人日本データ通信協会 テレコム・アイザック推進会議と連携。感染者情報をプロバイダーに提供し、個別に駆除要請などを通知する。

 ACTIVEは「Advanced Cyber Threats response InitiatiVE」の略で、国内の大手プロバイダーやセキュリティ企業が参画しているプロジェクト。なお、マルウェア感染通知は、ACTIVEに参画しているプロバイダーの会員に対して実施される。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140718_658699.html

株式会社セキュアブレインは16日、金融機関を狙う不正送金ウイルスにおいて、国内のカード会社を攻撃対象とする更新が行われたことを確認したとして、注意喚起した。

 今回、攻撃対象として確認されたカード会社は、イオンカード、出光カード、NTTグループカード、エポスカード、OMCカード、オリコカード、JCBカード、JP BANKカード、セゾンカード、TS CUBICカード、DCMX、日産カード、ポケットカード、Honda Cカード、三井住友VISAカード、三菱UFJニコス、UCSカード、ライフカード、楽天カード、りそなカードの20社。

 通称「VAWTRAK」または「Papras」と言われるウイルスにおいて、攻撃対象の変化が観測された。このウイルスは、感染したPCから攻撃対象のインターネットバンキングにアクセスがあった場合、画面を改ざんし、情報を窃取する。以前から銀行だけでなくカード会社数社も攻撃対象となっていたが、改ざんを行うJavaScriptの配信元サーバーが停止したため、改ざんや情報の窃取は行われていなかったという。

 しかし今回、ウイルスの設定情報が更新されたことで、国内のカード会社20社が攻撃対象となっていることをセキュアブレインで確認した。感染PCから攻撃対象のページにアクセスすると、偽画面の表示などを行うJavaScriptを読み込み、画面の改ざんや情報の窃取を行う。

 セキュアブレインでは、「銀行だけでなくカード会社も攻撃対象になっていることを認識する必要がある」とし、エンドユーザーにおける防御策として、ウイルス対策ソフトを使用し、ウイルス定義ファイルを最新の状態にすること、また、使用しているカード会社の正規の画面を把握し、異変に気付くよう警戒心を持つことを挙げている。

 なお、このウイルスに感染すると、カード会社のウェブサイトのログインフォームで入力したID・パスワードが攻撃者のサーバーに送信された上で、カード番号、有効期限、セキュリティコードなどを入力させる画面が表示されるという。

 セキュアブレインによれば、カード会社の多くは通常、1つの画面でセキュリティコードまでの入力を求めることはないため、そのような画面が表示された場合は入力を停止すること、また、この画面が出る前に入力したID・パスワードはすでに攻撃者のサーバーに送信されているため、そのような場合はすぐに変更するよう呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140716_658302.html

ODN(Web メールサービス)をかたるフィッシングの報告を受けています。

1. 2014/07/14 14:00 現在 フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. フィッシングメールには2つのタイプが見つかっております。
1つ目はメール本文にEメールやユーザー名、パスワードなどを記入をさせてメールでの返信を促すタイプ(画像1)になります。
2つ目は、フィッシングサイトへ誘導されるタイプ(画像2)になります。メール本文中の「ここで確認」にリンクが張ってあり、フィッシングサイトへの誘導が報告されています。

3. このようなフィッシングサイトにてログインに必要な情報(ログインIDやパスワードなど)を入力しないように注意してください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://8-ktroad-ne-jp.●●●●.com

日本マイクロソフト株式会社は9日、7月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報6件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が3件、3番目に高い"警告"が1件。

 最大深刻度"緊急"のセキュリティ情報は、「MS14-037」「MS14-038」の2件。

 「MS14-037」は、Internet Explorer(IE)に関する24件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、リモートでコードを実行される可能性がある。影響を受けるソフトは、IE 11/10/9/8/7/6。

 修正する24件のうち、EV SSL証明書セキュリティ機能のバイパスの脆弱性(CVE-2014-2783)については、セキュリティ情報の公開以前に情報が一般に公開されていた。攻撃者がこの脆弱性を悪用した場合、ワイルドカード証明書を使用することで、EV SSL証明書ガイドラインをバイパスする可能性がある。ただし、現時点ではこの脆弱性の悪用は確認されていないという。

 「MS14-038」は、Windows Vista以降のOSに標準搭載されている手書きノートソフト「Windows Journal」に関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたジャーナルファイル(.jnt)を開いた際に、リモートでコードを実行される可能性がある。影響を受けるOSは、Windows 8.1/8/7/Vista、Windows Server 2012 R2/2012/2008 R2/2008。

 マイクロソフトでは、企業ユーザーでパッチの適用に優先付けが必要な場合には、「MS14-037」「MS14-038」の2件を優先的に適用することを推奨している。

 このほか、最大深刻度"重要"のセキュリティ情報として、スクリーンキーボードに関する「MS14-039」、Ancillary Functionドライバー(AFD)に関する「MS14-040」、DirectShowに関する「MS14-041」の3件が、最大深刻度"警告"のセキュリティ情報として、Microsoft Service Busに関する「MS14-042」の1件が公開された。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140709_657084.html

米Adobe Systemsは8日、「Flash Player」と「Adobe AIR」のセキュリティアップデートを公開した。3件の脆弱性を修正しており、ユーザーに対して最新バージョンへの更新を推奨している。

脆弱性が悪用された場合、特別に細工したコンテンツを開くことで、任意のコードを実行させられる可能性がある。

公開された最新バージョンは、Flash PlayerのWindows/Mac向けが「14.0.0.145」、Linux向けが「11.2.202.394」。Adobe AIRのAndroid向けおよびAdobe AIR SDKが「14.0.0.137」。

また、Flash Playerを内蔵しているWindows 8.1/8用のInternet Explorer 11/10と、Google Chromeでも、各ブラウザーのアップデートによりFlash Playerが最新版に自動的にアップデートされる。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140709_657116.html

独Aviraは4日、セキュリティ対策ソフトの新バージョンとなる「Avira Free AntiVirus」「Avira Antivirus Pro」「Avira Internet Security Suite」の日本語版をリリースした。

 「Avira Free AntiVirus」は無料でダウンロードが可能。「Avira Antivirus Pro」「Avira Internet Security Suite」は日本販売代理店の株式会社エクサゴンが販売する。価格は、「Avira AntiVirus Pro」の1年1ユーザー版が3200円(税込)、統合セキュリティソフトの「Avira Internet Security Suite」の1年1ユーザー版が4200円(税込)など。対応OSはWindows 8.1/8/7/Vista/XP。

 新バージョンでは、定義ファイルの仕組みを改善することで、ウイルススキャンをこれまでの2倍の速さで実施できるようになった、最高速のマルウェア検出エンジンを搭載。新エンジンにより、システムの起動が高速化したほか、ウイルス定義ファイルのダウンロードサイズ縮小、PCのリソース負担の軽減といった改善が図られた。

 また、新たなマルウェア対策機能として、疑わしいファイルを検出するとフィンガープリントをクラウドに送信し、データベースをもとに検証する「Avira Protection Cloud」、アクセスするサイトに悪意がないかをチェックする「Avira URL Cloud」が搭載された。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140707_656710.html

動画共有サイト「Dailymotion」で6月28日、ページ改ざん事例が確認されたことを、Symantec が自社セキュリティ情報ブログを通じて発表した。 Dailymotionのウェブサイトにアクセスすると、攻撃ツールが設置された外部ページへリダイレクトされ、さらにブラウザーや拡張機能の脆弱性を突かれた場合、マルウェアが強制的にインストールされてしまう可能性がある。なお、7月3日の時点でリダイレクトは発生していないという。

Symantec調べによる国別影響範囲。北米ほどではないものの、日本にも一定の影響があったようだ

Dailymotionは、Alexa調べの著名サイトランキングで100位以内に含まれる。攻撃者は、この人気に乗じたとみられ、米国と欧州において相当の影響があるとSymantecは分析している。

Symantecの分析によると、攻撃者はDailymotionのウェブサイトにiframe要素を潜り込ませ、一般ユーザーを外部サイトへ勝手にリダイレクトさせていた。リダイレクト先のページには「Sweet Orange Exploit Kit」と呼ばれる攻撃ツールが設置されており、表示なども非常に紛らわしいという。

Sweet Orange Exploit Kitはユーザー側の閲覧環境を解析し、脆弱性を探す。ここでInternet Explorer(CVE-2013-2551)、Flash(CVE-2014-0515)、Java(CVE-2013-2460)の脆弱性が発見されると、今度はマルウェアの「Trojan.Adclicker」がユーザー側端末にダウンロードされる。結果、クリック支払い型広告の収益が攻撃者へもたらされることになる。

SymantecではSweet Orange Exploit Kitを2013年に検出しており、ウイルス対策ソフトなどでの対策も完了している。なお、Dailymotionのウェブサイトでは、今回の事例に関する発表は特に行われていない。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140704_656553.html

日本マイクロソフト株式会社は4日、7月の月例セキュリティ更新プログラム(修正パッチ)に関する事前情報を公開した。7月9日に公開を予定しているセキュリティ情報は計6件。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が3件、3番目に高い"警告"が1件。

最大深刻度"緊急"のうち1件は、Internet Explorer(IE)に関する脆弱性を修正する。現在サポートされているすべてのIE(IE11~6)が対象となる。"緊急"のもう1件は、Windowsに関する脆弱性を修正するもので、Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008が対象となる。

最大深刻度"重要"の3件は、いずれもWindowsに関する脆弱性を修正する。"警告"の1件は、Windows Server用のMicrosoft Service Busに関する脆弱性を修正する。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140704_656468.html

Doctor Webでは、幅広い機能を搭載したマルチコンポーネントトロイの木馬Trojan.Tofseeの分析を行いました。このトロイの木馬はスパムを配信する目的で設計されたものですが、そのモジュールの1つは感染させたコンピューターから他のマルウェアを削除するなど、特殊な機能を備えています。

コンピューターを保護するためのアンチウイルスソフトウェアのインストールを怠り、その結果としてシステムがマルウェアに感染してしまうというケースがありますが、そのマルウェアがTrojan.Tofseeであった場合、ユーザーはある意味ラッキーだったと言えるでしょう。このトロイの木馬はスパムを配信するほか、システムから他の脅威を非常に効果的に駆除してくれるからです。

Trojan.Tofseeは Skypeやソーシャルメディアサイト、リムーバブルメディアなど様々な方法で拡散されます。Skypeを使用した拡散では、犯罪者は従来のソーシャルエ ンジニアリング手法を用い、他人には見られたくないようなプライベートな動画や写真がインターネット上で公開されているとユーザーに信じ込ませます。古く から用いられているものであるにも関わらず、現在でも多くのユーザーがこの手口に陥っています。

Trojan.Tofseeは、 SkypeのほかTwitter、Facebook、VKontakteからの拡散を行うための特殊なモジュールを犯罪者のサーバーからダウンロードしま す。モジュールによって送信されるメッセージは設定ファイル内のテンプレートに従って生成されます。ソーシャルネットワーキングサイトのユーザーに対して 送信されるメッセージには、それぞれの国の言語が使用されます。

メッセージには、ユーザーの見られたくない動画や写真にアクセスするためのリンクが含まれています。しかし、このコンテンツを見るためにユーザーはブラウザプラグインをダウンロードするよう促され、実際にはこのプラグインがTrojan.Tofseeです。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=746&lng=ja&c=2