パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2014年8月アーカイブ

現代におけるITの世界では、あるOS向けに設計されたアプリケーションやゲームが、後に別のOSに適用される例がしばしば見受けられます。一方で、そのようなケースはマルウェアにおいては非常にまれであり、中でもLinux向けに設計されたマルウェアがWindowsを感染させる例はほとんど見られませんでした。しかしながら、近頃Doctor Webによって解析された検体は、そのような事例を代表するものでした。

2014年5月、Doctor WebではDDoS攻撃を行うLinuxトロイの木馬について報告しました。解析を行ったウイルスアナリストによって、このトロイの木馬は中国のウイルス開発者によって設計されたものであることが明らかになり、さらに、ここ最近発見された新たな亜種には従来のものと大きく異なる変更が加えられていることが確認されました。それらの亜種はWindowsに対してDDoS攻撃を行います。

そのようなプログラムの1つであるTrojan.DnsAmp.1は、実際のところ、Windowsと互換性のあるLinux.DnsAmpです。このトロイの木馬はWindowsサービス Test My Test Server 1.0を装ってシステム上にインストールされ、その実行ファイルはvmware-vmx.exeという名前でシステムフォルダ内に保存されます。起動されるとTrojan.DnsAmp.1は感染させたコンピューターに関する情報を犯罪者のサーバーに送信し、DDoS攻撃を実行するためのコマンドを待ちます。また、悪意のある別のプログラムをダウンロード・実行する機能も備えています。Doctor Webのリサーチャーによって解析されたコードから、Trojan.DnsAmp.1はLinux.DdoSおよびLinux.BackDoor.Gatesの開発者によって製作されたものであることが示唆されています。Trojan.DnsAmp.1の動作についての詳細はこちらの記事をご覧ください。

Doctor Webウイルスアナリストによって取得されたデータによると、6月5日から8月13日の間に、このトロイの木馬ファミリー(主にLinux.BackDoor.Gates)によって行われたDDoS攻撃の数が最も多く確認された国は中国(2万8,093件)、次いで米国となっています。以下の図はその地域別分布を表しています。

Dr.Webウイルスデータベースには既にこの脅威のシグネチャが追加されているため、Dr.Webアンチウイルスに保護されたシステムに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=769&lng=ja&c=2

サイバー犯罪者は利益を得るために、一般的な詐欺からトロイの木馬の拡散、個人情報の窃盗およびそれらの不正使用まであらゆる手段を尽くしています。これらサイバー犯罪の中でも特徴的なものとしてクリック詐欺があげられますが、今回、 Trojan.Click3.9243などの特別なマルウェアが使用されていることが確認されました。

クリック詐欺の多くは、本物のユーザーがサイトを訪れてペイパークリック広告をクリックしたように装い、広告主から支払いを得るというものです。このような詐欺には、標的となるコンピューター上に密かにインストールされた特別なソフトウェアが使用される場合があります。今回Doctor Webによって発見されたそのようなプログラムの1つにTrojan.Click3.9243があります。

このトロイの木馬は、ウイルス開発者との連携によってセキュリティエキスパートの間で悪名高いInstallmonster(別名Zipmonster)からAd Expert Browserを装って拡散されています。その使用許諾契約には、ユーザーがネットサーフィンを行っている間にAd Expert Browserによって広告が表示される場合がある旨が記載されていますが、Trojan.Click3.9243の本当の目的を考えるとその可能性は低いことが分かります。

感染させたコンピューター上で起動されると、Trojan.Click3.9243は隠されたWindowsデスクトップを作成し、様々なwebページを開いて広告をクリックするために必要なプロセスを開始します。

このトロイの木馬は、その動作が実際の人物によって行われた操作であるかのように装う機能を持っています。そのような動作には、サイト内のスクロールやマウスポインターの動きがあり、さらに、埋め込まれたコードを使用して動画を再生すると、本物のユーザーの操作を妨げないよう音声を無効にします。

また、Trojan.Click3.9243は動作の過程で、感染したコンピューター上で実行中のプロセスのリスト、およびシステムのCPU負荷についての情報を犯罪者のサーバーへ送信します。

このトロイの木馬のデジタル署名について解析を行った結果、Trojan.Click3.9243の開発にはTrojan.Zadved.1の開発者が関わっている可能性があるとウイルスアナリストによって結論付けられました。Trojan.Zadved.1についてはこちらのウイルスレビューをご覧ください。

Doctor Webでは、疑わしいサイトからソフトウェアをインストールせず、最新のアンチウイルスを使用することを推奨しています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=764&lng=ja&c=2

トロイの木馬ブロッカーは、その出現頻度および種類の増加と共にAndroidデバイスユーザーにとって深刻な脅威となりつつあります。これらのマルウェアは感染させたモバイルデバイスやタブレットをロック、ファイルを暗号化し、解除するために数百ドルの金銭を要求します。しかし、今回Doctor Webによって発見されたランサムウェアは、実際に金銭の支払いが行われたかどうかを確認せずにロックを解除するという一風変わった特徴を備えていました。

Android.Locker.27.originとしてDr.Webウイルスデータベースに追加された新たなトロイの木馬は、アンチウイルスソフトウェアを装って拡散されています。起動されるとウイルススキャンの進捗状況を画面上に表示させ、悪意のあるプログラムが検出されたという警告を出します。

その後、このマルウェアは管理者権限を要求し、ユーザーの操作に関係なくデバイスをロックします。画面には、違法な行為が検出された旨の警告が表示されます。

デバイスのロックを解除し、違反を取り下げるために、ユーザーはGreenDot MoneyPakに500ドルをチャージし、カード番号を犯罪者に提供するよう促されます。

しかし、その他の同種のマルウェアと異なり、Android.Locker.27.originは支払いの確認を行わないという弱点を持っています。このトロイの木馬は入力されたコードが14桁であり、「00000」「11111」から「99999」や「12345」などの予測しやすい組み合わせでないことのみを確認します。それらの基準を満たしたコードは犯罪者のサーバーへ送信され、Android.Locker.27.originはデバイスロックを解除し、自身を削除します。そのため、ユーザーはあらゆる組み合わせの14桁コードを入力することで、この脅威を簡単に削除することができます。

この無害なトロイの木馬とは異なり、そのほか多くのマルウェアはAndroidデバイスに対して深刻な危害を加えます。信頼性の高いアンチウイルスソフトウェアを使用してデバイスを保護することが推奨されます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=763&lng=ja&c=2

米McAfeeは、Android OSに最近発見された"Fake ID"と呼ばれる脆弱性について、脆弱性を悪用するアプリを検出するツール「Fake ID Detector」を公開した。

 Fake ID脆弱性は、セキュリティ企業の米Blueboxが7月29日に報告した、不正アプリが正規アプリになりすますことができるAndroidの脆弱性。個々のアプリは固有の識別情報(電子証明書)を持っているが、攻撃者は別のアプリの電子証明書をコピーし、新しいアプリの電子証明書と組み合わせて証明書チェーンを作成することで、正規アプリのふりをすることが可能になる。

 Fake ID脆弱性は、Android 2.1からAndroid 4.3までの広い範囲に影響があり、脆弱性が悪用された場合には、端末からデータが漏えいしたり、悪意ある行為が行われたりする可能性がある。

 McAfeeでは、Fake ID脆弱性を悪用するアプリを検出するアプリ「Fake ID Detector」を無料で公開した。

 McAfeeではFake ID脆弱性への対策として、Android端末を最新OSのバージョン4.4.4に更新することを挙げているが、これは端末メーカーや通信キャリアの対応に依存する。このため、OSを最新バージョンに更新できない場合には、Fake ID Detectorを利用してほしいとしている。

 また、アプリは信頼できる場所からのみインストールすることが重要であり、Googleは既にこの脆弱性攻撃をアプリが含むかどうかを、アプリ公開前にチェックする仕組みを用意していると説明。信頼できないアプリストア、特にメールやSMSメッセージなどのリンクからアプリをインストールすることは避けるよう、注意を促している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140819_662675.html

米Adobe Systemsは13日、「Flash Player」と「Adobe Reader」「Acrobat」に関するセキュリティアップデートを公開した。

 Flash Playerについては、計7件の脆弱性を修正。脆弱性が悪用された場合、特別に細工されたコンテンツを開いた場合、任意のコードを実行させられる可能性がある。公開された最新バージョンは、WindowsおよびMac向けが14.0.0.179、Linux向けが11.2.202.400。また、Flash Playerを内蔵しているInternet Explorer 11/10とGoogle Chromeでは、各ブラウザーのアップデートにより、修正版(14.0.0.176または14.0.0.177)に自動的に更新される。

 このほか、Adobe AIRについても、同様の脆弱性を修正した最新版となる14.0.0.178(Windows/Mac向け)および14.0.0.179(Android向け)が公開された。

 脆弱性の緊急度は、4段階中で最も高い"Critical"。アップデートを適用する優先度は、Linux版とAdobe AIRは3段階中で最も低い"Priority 3"、それ以外は最も高い"Priority 1"。

 Adobe Reader/Acrobatについては、サンドボックス機能を回避される可能性のある脆弱性1件を修正した。公開された最新バージョンは、Adobe Reader/Acrobat XI系列が「11.0.08」、Adobe Reader/Acrobat X系列が「10.1.11」。いずれもWindows/Macに対応する。緊急度のレーティングは最も高い"Critical"。適用優先度も最も高い"Priority 1"。

 この脆弱性については、既にAdobe Readerを狙った脆弱性を悪用する限定的な攻撃が確認されており、Adobeでは早急にアップデートを行うよう呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140813_662087.html

 日本マイクロソフト株式会社は13日、8月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報9件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が7件。

 最大深刻度"緊急"のセキュリティ情報は、「MS14-043」「MS14-051」の2件。

 「MS14-043」は、Windows Media Centerに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたOfficeファイルを開いた場合に、リモートでコードを実行さ れる可能性がある。影響を受けるソフトは、Windows 8.1/8/7およびWindows Media Center TV Pack for Windows Vista。

 「MS14-051」は、Internet Explorer(IE)に関する26件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、リモートで コードを実行される可能性がある。影響を受けるソフトは、IE 11/10/9/8/7/6。

 修正する26件の脆弱性のうち、1件(CVE-2014-2817)についてはこの脆弱性を悪用しようとする限定的な攻撃が確認されている。また、別の1件(CVE-2014-2819)については、セキュリティ情報の公開以前に情報が一般に公開されていた。

 この更新により、IEに古いActiveXコントロールの起動をブロックする仕組みが導入される。対象となるのはWindows 7のIE 8~11およびWindows 8以降のデスクトップ版IE。当初は古いバージョンのJavaのみが対象となる。ただし、現時点で規定では有効化されておらず、米国時間9月9日からブ ロックが開始される予定。

 このほか、最大深刻度"重要"のセキュリティ情報として、SQL Serverに関する「MS14-044」、カーネルモードドライバーに関する「MS14-045」、.NET Frameworkに関する「MS14-046」、リモートプロシージャコール(LPRC)に関する「MS14-047」、OneNoteに関する 「MS14-048」、Windows Installerサービスに関する「MS14-049」、SharePoint Serverに関する「MS14-050」の7件が公開された。

 マイクロソフトでは、企業ユーザーでパッチの適用に優先付けが必要な場合には、最大深刻度"緊急"の「MS14-043」「MS14-051」と、最大深刻度"重要"の「MS14-048」の計3件を優先的に適用することを推奨している。

 また、今月のアップデートから、Windows Server Update Services(WSUS)などで更新を管理している企業ユーザーについても、Windows 8.1環境では4月に公開された「Windows 8.1 Update」(2919355)を適用していることが必須となった。Windows Server 2012 R2についても同様に、「Windows Server 2012 R2 Update」(2919355)の適用が必須となる。

【ニュースソース】InternetWatch
http://mskot.xsrv.jp/mt/mt.cgi?__mode=view&_type=entry&blog_id=14

セゾンNetアンサーをかたるフィッシングメールが出回っています。

■メールの件名
【重要:必ずお読みください】セゾンNetアンサーご登録確認

■詳細内容
1. 2014/08/12 10:30 現在 フィッシングサイトの停止を確認しておりますが、類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトにてアカウント情報 (クレジットカード番号、有効期限、生年月日、セキュリティコード、メールアドレス、NetアンサーID、Netアンサーパスワード) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■フィッシングサイトのURL
http://www.●●●●.com/WebPc/USA0202UIP01SCR/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/saison20140811.html

独立行政法人情報処理推進機構(IPA)は6日、夏休みの長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。システム管理者や企業内の一般利用者、家庭での利用者、スマートフォンやタブレットの利用者向けに、休暇中や休暇明けに注意すべき点や対策を紹介している。

システム管理者向けの対策としては、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、デバイスの盗難・紛失時の連絡体制などの対応手順が明確になっているかを再確認することを挙げている。

また、管理しているサーバーやPCについて、OSやソフトウェアに修正プログラムを適用し、最新のバージョンに更新することや、セキュリティソフトの定義ファイル(パターンファイル)を最新の状態にすることを求めている。8月13日には、マイクロソフトの月例セキュリティ更新プログラムが公開される予定となっている。

このほか、業務用のPCやスマートフォン、タブレットを組織外に持ち出す場合のルールを明確にして従業員に再徹底すること、組織の情報システムにアクセスできる権限が適切に割り当てられているかを再確認すること、業務関係の情報取り扱いルールを徹底すること、業務で使用しているID・パスワードを他のサービスで使い回していないかを確認することなどを対策として挙げている。

企業など組織内の一般利用者に対しては、インターネットバンキングにおいてウイルス感染による法人口座の不正送金被害が急増しているとして、OSやソフトウェア、セキュリティソフトを常に最新の状態に保つことを挙げている。特に、休暇中に電源を切っていたPCは、セキュリティソフトの定義ファイルが古いままになっていることがあるため、メールの送受信やウェブの閲覧前に、定義ファイルを更新することを求めている。

また、特定の企業や組織を装ってウイルスメールを送りつける標的型攻撃も多発しているため、少しでも不自然だと感じたメールの添付ファイルやリンクは開いたりクリックしたりしないよう注意している。

家庭でPCを使用する際の対策としては、企業内での利用と同様にウイルス感染によるインターネットバンキングの不正送金被害が増えているため、OSやソフトウェア、セキュリティソフトを常に最新の状態に保つとともに、乱数表などの第二認証情報をすべて入力するよう求める画面には情報を入力しないよう注意している。

また、自身が管理していないUSBメモリなどの外部記憶媒体は自身のPCに接続しないことや、必要なデータはバックアップしておくこと、業務関係のデータを扱ったことのあるPCでファイル共有ソフトを使わないこと、SNSなどでリンクや短縮URLを不用意にクリックしないこと、複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更することなどを対策として挙げている。

スマートフォンやタブレットを利用する際の対策としては、アプリの中には内部の情報を窃取するものが存在するため、個人利用のデバイスを業務に利用している場合は、所属する組織の業務規程に従うことや、アプリインストール時のパーミッションの一覧に必ず目を通すこと、パスワードロック機能を有効にすること、セキュリティアプリを導入することなどを求めている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140808_661477.html

トレンドマイクロ株式会社は4日、実在のECサイトになりすまして詐欺行為を働く「なりすましECサイト」の活動が活発化し、SNSのアカウント乗っ取りによりこうしたサイトに誘導しようとする宣伝活動が行われているとして、注意を促した。

トレンドマイクロによると、2013年には犯罪者は偽ブランド品のオンライン販売に力を入れており、海外高級ブランド名に「激安」と加えて検索すると、2013年8月には上位100サイトのうち半数以上が偽ブランド品の販売を行うサイトに誘導されていたという。

2014年現在、この傾向は沈静化しつつあるものの、代わって「なりすましECサイト」と呼ばれる手口が増加。犯罪者は実在する店舗のロゴマークやデザイン、商品写真などを無断でコピーするようになり、より悪質な事例では実在する店舗の連絡先を転記する行為や、URL中に実在する店舗の名称を含めるケースなどが報告されている。こうした偽サイトは、2014年上半期(1~6月)には約5600件確認されている。

なりすましECサイトでは、利用者の元に何も届くことはなく、商品の代金と称して金銭をだまし取られる可能性がある。また、クレジットカード情報など個人情報の入力が求められ、だまし取られる可能性もあり、被害者が実害に気付くまでに時間を要するような場合もあるという。

犯罪者は、なりすますECサイトや画像などの素材を国内の大手ショッピングモールから集めており、オンラインショッピングモールが発表している店舗ランキングに注目して決定していると考えられるという。このため、ランキング上位のサイトがなりすましの対象として狙われる傾向が高く、季節性のあるシーズン商品や日用品、趣味嗜好品などを販売する専門店舗もなりすましの対象となっていることも確認されている。

また、こうした偽サイトへの誘導方法としては、Facebookアカウントを乗っ取り、そのアカウントに対して「アルバム」を作成する形で宣伝広告を投稿する手口が確認されている。写真にはタグ付けを行うことで、タグ付けされた友達のアカウントのウォール上にも宣伝広告を表示させるといった手法を用いているという。

トレンドマイクロが調査した例では、誘導に用いられた短縮URLは7月4日に作成され、7月30日までの間に2294回クリックされたことが確認され、8月1日現在でもそのクリック回数は増え続けているという。短縮URLの先は、改ざんされたブログページになっており、このページにアクセスすると偽サイトに誘導されるようになっていた。

8月1日現在、この手口により転送されるオンライン店舗のドメイン名は500件以上確認されており、今後もこの数が増加することが見込まれている。これらのドメイン名は一定の規則性をもって連番で取得されており、犯罪者はURLフィルタリング製品による検出を回避する目的で、こうしたドメイン名を大量に取得していると分析している。

トレンドマイクロではこうした状況を受け、警察庁との連携を行っており、各都道府県警察が受理した偽サイトなどにかかわるURL情報の提供を受け、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」に反映していると説明。一方で、犯罪者は次々と新しい詐欺サイトを設置し、違法な営業活動を続ける工夫を施しているため、ブラックリスト方式による警告表示のみでは予防効果が十分と言えなくなっているという。

こうしたことから、利用者が安全にオンラインショッピングを楽しむためには普段の「こころがけ」が重要だとして、個人情報や決済などに関わる情報など大切な情報を入力する時には、最後にもう一度立ち止まって考える習慣を身に付けるべきだとしている。

また、被害に遭った場合には、最寄りの専門窓口への相談を勧めるとともに、特に金銭的な被害が発生した場合は、金融機関と警察のサイバー犯罪相談窓口に相談してほしいとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140805_661058.html