パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


セキュリティ関連調査の最近のブログ記事

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
緊急通知
本人認証サービス

■詳細内容
1. 2015/04/15 10:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IBログインパスワードなど) を絶対に入力しないように注意してください。

3. 誤ってアカウント情報を入力した場合には、三菱東京UFJ銀行の 「パスワードを入力してしまった」 「身に覚えのない出金があった」 などの緊急連絡先 (インターネットバンキング不正利用ご相談ダイヤル:0120-111-082) にお問い合わせください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
転送元URL
http://www.●●●●.net/js/
http://www.●●●●.com/js/

転送先URL
http://bk.mufg.jp.zat.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/mufg20150415.html

OMC Plus をかたるフィッシングメールが出回っています。

■メールの件名
OMC Plus(オーエムシープラス)ご登録確認

■詳細内容
1. 2015/03/30 11:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (クレジットカード番号やセキュリティコード、OMC Plus ID、パスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://plus.●●●●.com/register/xt_issue_user_input.aspx

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/omc_plus_20150330.html

欧州刑事警察機構(ユーロポール)による大規模なオペレーションによりRmnetボットネットは活動を停止したというニースの報道にも関わらず、Doctor Webではその活動が未だに確認されています。メディアの報道によると、サーバー犯罪に取り組む英国の捜査機関がドイツ、イタリア、オランダと連携し、Rmnetの主要なC&Cサーバーを停止させたということです。

ニュースレポートによると、2015年2月24日、複数の機関が連携しRmnetボットネットのC&Cサーバーを停止させました。このオペレーションにはユーロポールの欧州サイバー犯罪センター、EU機関のコンピューター緊急対応チーム(Computer Emergency Response Team:CERT-EU)、シマンテック、Microsoft、AnubisNetworks、そのほかの欧州機関が協力しています。ユーロポールのwebサイトでは、悪意のあるプログラムによって生成されるC&Cサーバーのインターネットドメインアドレス約300を取り締まったと報告され、ロイター通信社によると、オペレーションによって7台のC&Cサーバーを停止させたとしています。シマンテックでは、このオペレーションにより350,000台の感染したデバイスから成るボットネットを徐々に停止へと追い込んだとし、Microsoftでは、その合計台数は500,000台にも及んでいる可能性があるとしています。

Doctor Webのセキュリティリサーチャーは異なるバージョンのRmnetファイルインフェクターを使用して構成された複数のボットネットのサブネットに対する監視を行っています。2011年9月に発見されたWin32.Rmnet.12と呼ばれる亜種は複数のモジュールから成るマルチコンポーネントファイルインフェクターです。このプログラムは自己複製機能を持ち、犯罪者から受け取ったコマンドを実行し、ロードされたwebページ内にコンテンツを埋め込み(これにより犯罪者が被害者のバンクアカウント情報を得ることが論理的には可能になります)、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのポピュラーなFTPクライアントプログラムによって保存されたクッキーやパスワードを盗みます。

次に登場した亜種Win32.Rmnet.16は、C&Cサーバーを選択する際にデジタル署名を使用するなど、Win32.Rmnet.12とは異なる機能を備えていました。このウイルスはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。さらにモジュールは一般に広く普及しているアンチウイルスプログラムのプロセスを停止させる機能を備えています。Win32.Rmnet.12と同様、Win32.Rmnet.16もMBRを改変し、そのファイルを暗号化してディスクの最後に保存することができます。

オペレーションによってRmnetボットネットの活動を停止させたという多くのニュースレポートにも関わらず、Doctor Webではアンチウイルスラボによって監視が続けられているボットネットの活動に何らの減少も確認されませんでした。現在のところ、C&Cサーバーのドメイン生成にアルゴリズムを使用するRmnetの少なくとも12のサブネット、および自動ドメイン生成を使用しないWin32.Rmnet.12の少なくとも2つのサブネット(シマンテックでは前者のカテゴリに属するシード79159c10のサブネット1つのみがブロックされています)の活動がDoctor Webセキュリティリサーチャーによって確認されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=836&lng=ja&c=2

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
本人認証サービス

■詳細内容
1. 2015/01/23 11:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IB ログインパスワードなど) を絶対に入力しないように注意してください。

3. 誤ってアカウント情報を入力した場合には、三菱東京 UFJ 銀行の 「パスワードを入力してしまった」 「身に覚えのない出金があった」 などの緊急連絡先 (インターネットバンキング不正利用ご相談ダイヤル:0120-111-082) にお問い合わせください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://www.●●●●.com/puls/i/index.htm
http://www.kmjyd.●●●●.cn/js/
http://bk.mufg.jp.twe.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/ufj20150123.html

スクウェア・エニックス(ドラゴンクエストX)をかたるフィッシングサイトの報告がありました。

1. 2015/01/08 17:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (スクウェア・エニックス ID、スクウェア・エニックスパスワード、ワンタイムパスワード) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://dqx.●●●.com/
http://hiroba.dqx.●●●.com/

2014年の秋はゲーマーを標的とするマルウェアが多く登場する結果となりました。9月、Doctor WebではDota 2のユーザーから貴重なゲームアイテムを盗むTrojan.SteamBurglar.1について報告しました。犯罪者による攻撃はこれだけに止まることはなく、今回、Trojan.SteamLogger.1と名付けられた新たなマルウェアがDoctor Webのウイルスアナリストによって発見されました。このプログラムはTrojan.SteamBurglar.1と類似した機能を持ち、複数のマルチプレイヤーゲームのユーザーを標的としています。

Trojan.SteamLogger.1はDota 2、Counter-Strike: Global Offensive、Team Fortress 2のユーザーからアイテムを盗むほか、キーストロークを記録して犯罪者に送信します。このトロイの木馬もTrojan.SteamBurglar.1同様、フォーラムやSteamライブチャットを利用してゲームアイテムの売買や交換を持ちかけることで拡散されていると考えられます。

この悪意のあるプログラムは3つのモジュールで構成され、最初の1つはボディからメインモジュールおよびサービスモジュールを抽出し復号化するドロッパーです。サービスモジュールはUpdate.exeとして一時フォルダ内に保存された後に起動され、メインモジュールはシステムルーチンを利用して感染したシステムのメモリ内にロードされます。次にサービスモジュールは犯罪者のサイトから画像をダウンロードし、それらを一時フォルダ内に保存して画面上に表示させます。

サービスモジュールはProgram Filesフォルダ内にサブディレクトリCommon Files\Steam\が存在するかどうかを確認し、存在しなかった場合はそれを作成します。続けてSteamService.exeという名前で自身をフォルダ内にコピーし、実行ファイルに"system"および"hidden"属性を設定します。続けてレジストリブランチ内に自身を登録することでSteamService.exeが自動実行されるようにします。その後、犯罪者のサイトにクエリを送信し、"OK"コマンドが返ってこなかった場合はトロイの木馬のボディに組み込まれたプロキシサーバーのリストを用いてC&Cサーバーへの接続を試みます。Trojan.SteamLogger.1は、OSバージョン、プラットフォーム、Cドライブのあるハードディスクのシリアル番号から算出されたユニークなIDなどの、感染したコンピューターに関する情報をリモートサーバーに送信します。さらに、サービスモジュールをアップデートするためのコマンドを受け取ることもできます。

Trojan.SteamLogger.1のメインモジュールは、起動されると感染したシステムメモリ内でSteamプロセスを検索し、ユーザーがアカウントを使用してSteamサーバー上にログインしているかどうかを確認します。ログインしていない場合、プレイヤーがサーバーに認証されるまで待ち、Steamユーザーアカウントに関する情報(SteamGuardが有効かどうか、Steam ID、セキュリティトークン)を盗んで犯罪者に送信します。その応答としてTrojan.SteamLogger.1は、被害者から盗んだアイテムの送信先となるアカウントのリストを受け取ります。収集されたデータを全て犯罪者のサーバーへ送信した後、トロイの木馬はSteam設定内で自動認証が有効になっているかどうかを確認し、無効になっていた場合は別のスレッドを作成してキーロガーを起動させます。記録されたキーストロークは15秒間隔で犯罪者に送信されます。

貴重なゲームアイテムを判別するためにTrojan.SteamLogger.1は「Mythical」、「Legendary」、「Arcana」、「Immortal」、「DOTA_WearableType_Treasure_Key」、「Container」、「Supply Crate」などのキーワードを使用しています。このことから、このトロイの木馬は最も価値のあるアイテムであるchestやchest keyを盗もうとしていることが分かります。また、Trojan.SteamLogger.1はプレイヤー自身によるアイテムの売買をモニタリングし、プレイヤーがアイテムを売ろうとした場合は該当するアイテムをリスト上から削除することでそれを妨げます。

Trojan.SteamLogger.1は現時点でDota 2、Counter-Strike: Global Offensive、Team Fortress 2を標的としていますが、他のゲームからアイテムを盗むよう改良される可能性もあります。盗まれた仮想アイテムは全てC&Cサーバーからのコマンドに従って犯罪者のアカウントに送られます。その後、犯罪者は特別に設計されたオンラインストアを使用して、盗んだアイテムの中で最も安いDota 2のchest keyを売ろうとします。chest key以外のアイテムを換金する方法については明らかになっていません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=798&lng=ja&c=2

トレンドマイクロ株式会社は6日、UNIXベースのOSで広く利用されているシェル「bash」に見つかった脆弱性「Shellshock」(CVE-2014-6271)に対応する診断ツール2種を、IT管理者向けに無料公開した。

「ShellShock」脆弱性検出ツールは、自身の管理するウェブサイトにこの脆弱性があるかどうかを遠隔から診断できるツール。脆弱性の有無を判定することで、対策が必要なサーバーを割り出せるとしている。

「BashLite」不正プログラム検出ツールは、この脆弱性を突いてLinuxシステムに侵入する不正プログラム「BashLite」の感染の有無を診断するツール。感染していた場合は、すでに攻撃を受けており、早急な対処が必要だと判断できるという。

なお、トレンドマイクロでは、これらの無料ツールは、自分が所有するシステムに対するテスト用途にのみ使用することとしており、自分が所有しないシステムへの利用は禁止するとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20141007_670292.html

現在も急成長を続けるオンラインゲーム市場は年間数十億ドルを売り上げ、高度な「仮想世界」を持つ多くのマルチプレイヤーゲームが世界各地のユーザーを惹きつけています。このような仮想世界ではプレイヤーがゲームアイテムを売買または交換する際に独自のシステムを使用することが多く、それらアイテムを実際の現金に交換することが可能なケースも見られます。Doctor Webは、ゲームプラットフォームSteamのプレイヤーからアイテムを盗む悪意のあるプログラムを発見しました。

Valve社によって運営されるゲームプラットフォームSteamでは、インターネット経由でゲームをダウンロード、アクティベートすることができ、またユーザーは、それらゲームのアップデートやその他のオンラインゲームに関するニュースを受け取ることができます。配信されるゲームアプリケーションには、Valve社によって開発されたもののみでなく、サードパーティの開発者によるものも含まれています。Steam上で提供されている多くのゲームでは、キャラクターの外見を変更するためのアイテムやプレイヤーが有利になるようなアイテムといった様々な仮想アイテムが使用され、それらの中にはSteamプラットフォーム向けの特別なサービス経由で現金と交換することが可能なものもあります。

2014年8月末、貴重なゲームアイテムが消えてしまったと訴えるユーザーからの書き込みが複数のゲームフォーラムで確認されるようになり、これらはTrojan.SteamBurglar.1としてDr.Webウイルスデータベースに追加されたトロイの木馬による被害であることが明らかになりました。このマルウェアはSteam上のチャットやフォーラムから、武器や購入可能なその他アイテムのスクリーンショットを開くよう促すメッセージと共に拡散されていました。メッセージの例として"Hello. I like your weapon. Can you swap for my knife + weapon? (Look screenshot my knife + weapon)"(「ハロー、いい武器だね。僕のナイフ+ウェポン(スクリーンショットを見てね)と交換しない?」)などがあり、スクリーンショット画像はTrojan.SteamBurglar.1によってユーザーのコンピューター上に表示されます。同時に、トロイの木馬はシステムのメモリ内でsteam.exeプロセスを探し出し、ゲームアイテムに関する情報を取得します。続けて'rare'、'immortal' 、'legendary'などのキーワードを使用して貴重なアイテムを識別してそれらを盗み、転売します。盗まれたアイテムは犯罪者の使用するSteamアカウントへ送られます。

Dr.Webウイルスデータベースには既にTrojan.SteamBurglar.1のシグネチャが追加されています。そのためDoctor Webアンチウイルスによって保護されたコンピューターに危害が及ぶことはありませんが、ゲームアイテムを売買するプレイヤーは、例えそれが数十ドルを払って魔法の剣を手に入れるだけであっても、未知の相手からの提案には十分に注意するようにしてください。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=779&lng=ja&c=2

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
本人認証サービス

■詳細内容
1. 2014/09/19 14:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IB ログインパスワードなど) を絶対に入力しないように注意してください。

3. 誤ってアカウント情報を入力した場合には、三菱東京 UFJ 銀行の 「パスワードを入力してしまった」 「身に覚えのない出金があった」 などの緊急連絡先 (インターネットバンキング不正利用ご相談ダイヤル:0120-111-082) にお問い合わせください。
4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://bk.mufg.jp.cff.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/ufj20140919.html

Club NTT-Westをかたるフィッシングの報告を受けています。

1. 2014/09/05 16:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトにてご契約回線名義、郵便番号や回線IDなどの情報を入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://clube-●●●●.com/cn-w/entryLogin/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/clubnttwest20140905.html