シマンテックは6月17日、「Word13.exe」というAdobe Systemsの製品に見せかけた「Word13.exe」という不審なファイルを発見したとしてブログで注意を呼び掛けた。
同社によると、この実行形式のファイルには、Adobe Systemsの発行と記されたデジタル証明書が付属していた。Adobe製品のように思えるが、AdobeはVeriSignが発行する証明書を利用しており、そもそもAdobeが発行すること無い。CAルート証明書も信頼できないものだった。
このファイルを同社では「Backdoor.Trojan」として検出している。実行してしまうと、Internet Explorerやノートパッドのファイルに不正コードを挿入してバックドアを作成、ポート3337を通じて攻撃者が設置したとみられる外部のコマンド&コントロールサーバに接続する。
同社の分析ではマルウェアがユーザーや感染したコンピュータ、Skypeの情報を盗み出したり、スクリーンショットの取得やマウス機能のエミュレート、また、ファイルの作成やダウンロード、削除、移動、実行などをしたりする恐れのあることが分かった。
マルウェア被害を回避するにはウイルス対策定義を常に最新し、ソフトウェアも定期的に更新する。ダウンロードのURLが提示された場合には必ずURLを再確認して、念のために証明書と署名も確認すべきとアドバイスしている。
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130618-00000012-zdn_ep-sci
トレンドマイクロは、オンライン銀行詐欺ツール「ZBOT」に自己更新機能、USBドライブなどリムーバブルドライブを介して他のPCへと感染するワーム機能を備えた亜種が確認されたとして、オフィシャルブログで警鐘を鳴らしている。
同社のブログによると、「ZBOT」の亜種(WORM_ZBOT.GJ)は、売上送り状を装うPDFファイルを使い侵入を試みる。これをユーザーが開くと、ポップアップウィンドウと同時にプログラムが実行される。従来のZBOTと異なる点は2つあり、第1にサーバーにアクセスし、自身のコピーの更新版をダウンロード、実行する自動更新機能を備えていること、第2にUSBドライブなどリムーバブルドライブを介して、他のコンピューターへと感染しようとするUSBワームの活動も行うとしている。
「ZBOT」の亜種は、2月初旬から急増しており、オンライン銀行の認証情報を収集する。同社ではUSBワームとWebからの脅威をあわせ持つこの種のプログラムは、継続して感染増加していくことが十分に考え得るとして注意を促している。
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130617-00000140-mycomj-sci
本日、フィッシング対策協議会(運営・事務局 一般社団法人JPCERTコーディネーションセンター)は、フィッシング対策協議会のガイドライン策定ワーキンググループにおいて、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた「フィッシングレポート2013 -フィッシング被害の社会問題化-」を公開しました。
2012年のフィッシング件数は年初から前年度のトレンド通り高水準で推移しましたが、4月以降はさらに活発化しており(特にフィッシングサイトの件数)、2013年に入ってさらに件数が増加しています。
フィッシング対策協議会に対するフィッシング情報の報告件数は、2012年度で対前年度で約66%増(2011年度498件から、2012年度828件)、フィッシングサイトの件数は、対前年度で293%増(2011年度582件から、2012年度2286件)となりました。
一方で、フィッシングによりブランド名を悪用された企業の件数は、2012年度は対前年度で20%減少(2011年度147件から、2012年度117件)しています。これは、フィッシングの対象となるブランド数が頭打ちの傾向にあること、つまり犯罪者がターゲットとするブランドが固定化しつつあることを示しており、注意を要します。
本レポートの主な内容は以下のとおりです。
・フィッシングの動向
- 国内の状況
- 海外の状況
・手口の変化・影響の拡大
- 巧妙化するフィッシング手口
- ポップアップを使ったフィッシング詐欺
・その他の攻撃手法
- モバイルフィッシング
- SNS
- QR コード
・コラム
- 株式会社セガにおけるフィッシング対策事例
- スマホアプリの課題~スマートデバイスによるインターネット接続時の留意点
・まとめ
詳細は以下URLをご覧ください。
https://www.antiphishing.jp/report/wg/phishing_report2013.html
コンピューターウイルスやハッキングなど、巧妙になるサイバー犯罪への対応力を強化するため、警視庁は15日までに、情報セキュリティー3社と、ウイルス情報などを相互に提供する協定を締結することを決めた。
協定を結ぶのは「シマンテック」「トレンドマイクロ」「マカフィー」の3社で、18日に締結する。
情報を迅速に共有することで、同庁は最新のウイルス情報に基づいた捜査が可能になる。企業側も、実際のサイバー犯罪情勢に基づいて、被害の拡大防止に素早い対策を講じることにつながる。
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130615-00000009-jij-soci
マカフィー株式会社は15日、顔・音声認証付きの個人向けセキュリティサービス「McAfee LiveSafe(マカフィーリブセーフ)」を発表した。当初は6月以降に出荷するDell製PCにBTOでプリインストールされるほか、2013年秋からは製品単体で7980円で販売する。ライセンス期間は1年間。
LiveSafeは、Windows PC、Mac、Android/iOSスマートフォン/タブレットに、ウイルス対策やマルウェア対策、スパム対策などのセキュリティ機能を台数無制限で提供する。所有する複数のデバイスをウェブベースのダッシュボードから一元的に管理することが可能。紛失したスマートフォンを遠隔操作で位置特定/ロック/ワイプする機能も備える。
米Intelと共同開発したPC向け盗難対策テクノロジー「Anti-Theft(アンチセフト)」を搭載し、ウェブ上からPCをロックしたり、位置を特定できる。PCが手元に戻った際には、あらかじめ設定したパスワードを入力すればロック前の状態に戻せる。同機能はCore i3以上をサポートする。
■ クラウドベースの貸金庫で機密情報を保管
金融機関の記録、運転免許証やパスポートの情報など、機密情報に関するファイルを最大1GBまで保管できるクラウドストレージ「Personal Locker(パーソナルロッカー)」も提供。ファイルを開くにはPINコードを入力した上で、写真撮影による顔認証、声の入力による音声認証が求められる。Windows 8/Android/iOS向けアプリも用意する。
マカフィーによれば、個人向けセキュリティソフトで顔・音声認識を採用したのは業界初。同機能を搭載するパーソナルロッカーを「クラウドベースの貸金庫」と表現している。生体認証の本人拒否率や他人受入率は非公表だが、同社PMマネージャーの小川禎紹氏は「テストした限りではほぼ100発100中」と精度の高さをアピールしている。
このほか、ユーザー名/パスワードを保管し、ワンクリックでログインできるようにする「Safe Key(セーフキー)」、複数のデバイスを管理したり、LiveSafeのさまざまな機能にアクセスできるWindows 8 Modern UIのアプリ「McAfee Central(マカフィーセントラル)」などを備える。
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130614-00000033-impress-sci
マカフィーは、2013年5月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。さらに、今月は、McAfee Blogから「悪質なアダルト出会い系アプリ」について紹介したい。
○ウイルス
5月も脆弱性を悪用したドライブバイダウンロードに関連した脅威が多い。特に、検知会社数のランキングで1位のJS/Redirector.ar、3位のJS/Exploit!JNLP、6位と7位のJS/Exploit-Blacole、8位のJS/IFrame.gen.jと、不正なJavaScriptが半数を占めた。これは、ドライブバイダウンロード攻撃の初期に、JavaScriptによる不正なリダイレクトが使われたからである。いずれにせよ、非常に活発な活動が行われていることがうかがわれる。
これに対し、McAfee Labs東京主任研究員の本城信輔氏は「脆弱性を修正していないシステムを利用していると、ユーザーが気づくことなくいつの間にか感染してしまうことでしょう。特にJREは、最近の6か月でほぼ毎月といっていいほど悪用可能な脆弱性が発見され、実際にさまざまな攻撃に使われています。これらのアプリケーションをつねに最新のものにしておくことを心がけてください」と注意喚起している。
表1 2013年5月のウイルストップ10(検知会社数)
表2 2013年5月のウイルストップ10(検知データ数)
表3 2013年5月のウイルストップ10(検知マシン数)
○PUP
PUP(不審なプログラム)は、めだった変化というほどではないが、ランキングに変化がみられる。検知データ数と検知マシン数では1位が入れ替わっていた。PUPの活動はさほど活発ではないが、フリーウェアの利用に引き続き注意したい。
表4 2013年5月の不審なプログラムトップ10(検知会社数)
表5 2013年5月の不審なプログラムトップ10(検知データ数)
表6 2013年5月の不審なプログラムトップ10(検知マシン数)
○悪質なアダルト出会い系アプリがGoogle Playで急増 - McAfee Blogより
McAfee Blogでは、最新の脅威動向を解説している(図1)。今回は、「悪質なアダルト出会い系アプリ」について紹介したい。
McAfee Mobile Researchによると、悪質なアダルト出会い系アプリが急増しているとのことだ(図2)。日本語であることからも、攻撃対象は日本人であることは明白だ。似たような不正アプリにワンクリック詐欺があるが、McAfeeによれば、同一の開発者によって行われており、出会い系サイトの運営までは確認できないが、アフィリエイトなどなんらかの報酬は得ていると推察される。
まず、これらの不正アプリは、存在する悪質な出会い系Webサイトをアプリ上のWebViewコンポーネントで表示、もしくはWebブラウザで表示したりする程度の機能である(図3)。したがって、容易に開発でき、多数がGoogle Playに登録されたと思われる。
また、有名なオンライン掲示板のまとめアプリとして実装し、偽の記事スレッドによりユーザーを悪質サイトへ誘導する手口なども確認されている(図4)。
これらの誘導アプリでは、図5のように誘導する記事を紛れ込ましている。
こうして誘導された悪質な出会い系サイトのランディングページ (LP)であるが、ここでも騙しの手口が使われている。Google Playのアプリ解説ページをまねるのである。こうして、いかにもこの出会い系サービスが公式アプリケーションストアで公認されているかの印象を与える(図6)。こうしてユーザーを騙しているのである。
このような不正アプリをインストールすることで、個人情報などの収集などは行われない。ユーザー自らに、登録を行わせる(アドレスや電話番号を入力)。すると、サクラの異性会員から、メールが届くようになる。ここまでは無料であるが、実際に紹介などを行う段になると、
・有料会員への登録し、会費の請求
・プレミアム会員に当選したので、初回の登録料の請求
・高額当選を囮に、譲渡手続きのために入会請求
と、金銭を要求される。出会い系サイト自体は10年以上前から存在するが、金銭を騙し取る手口自体は、大きく変わっていない。別な被害として、登録で使用したアドレスに複数の出会い系サイトから多数のスパムが届くようになる(1日1000通以上にもなるとのことだ)。
McAfeeでは対策として、まず会員登録を行わないことが第一とする。もし、登録してしまった場合でも、メールのやりとりは行わず、運営側とも連絡をとらないことが望ましいとしている。McAfeeでは、これらの不正アプリをAndroid/DeaiFraudとして検出する。昔からある手口であるが、その被害はいまだに少なくない。セキュリティ対策ソフトを使い、不正アプリのインストール、さらには不正なWebサイトを事前にブロックすることで、被害を防ぐ方法が確実であろう。
【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130611-00000111-mycomj-sci
政府の「情報セキュリティ政策会議」は10日、サイバー攻撃への対策強化を図る「サイバーセキュリティ戦略」を決定した。
サイバーセキュリティ戦略は、情報ネットワークの利用が進む一方で、サイバー攻撃のリスクも深刻化してきているという状況を踏まえ、「サイバーセキュリティ立国」の実現を目指し、2015年度までの3年間の国家戦略を取りまとめたもの。5月21日に最終案を公表し、パブリックコメント(意見公募)を実施。寄せられた174件の意見を踏まえ、表現などを一部修正した上で戦略として正式に決定した。
戦略には、強靭なサイバー空間の構築に向けた取り組みとして、政府機関、重要インフラ事業者、企業・研究機関におけるそれぞれの取り組みや、「サイバー・クリーン・デー」(仮称)の新設など社会全体が参加した予防的対策の実施などを盛り込んだ。
サイバー犯罪対策としては、日本版NCFTA(National Cyber-Forensics & Training Alliance、サイバー犯罪対策のための産官学連合)の創設や、犯罪者追跡のための通信履歴などログの保存のあり方やデジタルフォレンジックに関する取り組みを促進するための方策について検討していく。
国家レベルでのサイバー攻撃からの防衛策としては、重要インフラなどの情報システムに対する攻撃における自衛隊など非常時における関係機関の役割を整理し、必要な体制・機密情報の共有システムや制度を整備。武力攻撃の一環としてサイバー攻撃が行われた場合には対処する任務を自衛隊が負うとして、「サイバー防衛隊」(仮称)の新設など、能力や態勢を強化するとしている。
このほか戦略には、サイバーセキュリティ産業の国際競争力強化や、セキュリティ技術の研究開発、セキュリティ人材の育成、一般国民のリテラシー向上、国際連携などに関する取り組みを盛り込んでいる。
内閣官房情報セキュリティセンター(NISC)については組織体制を整備し、2015年度をめどとして「サイバーセキュリティセンター」(仮称)に改組・機能強化を行うとしている。
サイバーセキュリティ政策会議では、戦略の正式決定を受け、2013年度に実施する取り組みの年次計画案を公表し、パブリックコメントの募集を開始した。
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130611_603193.html
Doctor Webは、韓国のAndroidユーザーを狙った、悪意のあるプログラムAndroid.Tempur.1.originについてユーザーの皆様に警告します。このトロイの木馬は、銀行口座に関する詳細を含む機密情報や、受信したSMS、通話に関する情報を盗み、さらに、有料のプレミアム番号に対してSMSを送信する機能を持っています。
Android.Tempur.1.originは、5月に情報セキュリティエキスパートによって発見され、その主な機能として、韓国の様々な金融機関から顧客情報を盗むよう設計されたトロイの木馬です。Android.Tempur.1.originの収集する情報は、その亜種バージョンによって異なり、ユーザー名と個人ID、社会保障番号、アカウントパスワード、バンクアカウント、携帯電話番号などが含まれます。
現在までによく知られている、このトロイの木馬の拡散方法の1つに、Android.Tempur.1.originの複数の異なる亜種を中に含んだ特別な悪意のあるプログラムの使用が挙げられます。それらの1つ1つが、韓国の銀行の公式バンキングアプリケーションを模倣しています。偽のSMSメッセージに含まれる、「ドロッパー」のapk-packageをダウンロードするためのリンクによって、ユーザーはcect [xxx]. comドメインへ誘導されます。
【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=627&lng=ja&c=2
Doctor Webは、Dr.Web Security SpaceおよびDr.Web Anti-virus for Windowsのバージョン8.0 に含まれるDr.Web Control Service (8.1.0.05230)、Dr.Web Updater (8.0.4.06031) 、 インストーラーモジュール(8.0.3.05080)をアップデートしました。Dr.Web 7.0 for Windows(Dr.Web for Windowsファイルサーバーを含む)に含まれるDr.Web Updaterもアップグレードされました。また、以下の改良が加えられました。
Dr.Web Control Serviceに関する、起動時にコンポーネントが異常終了するなどの問題が解決されました。
Dr.Web Updaterでは、製品アップデート時にエラーを引き起こす可能性のある問題が修正されました。
インストーラーモジュールで発見された複数のエラーが修正され、コンポーネントの異常終了を引き起こす可能性のあるバグが修正されました。このエラーはインストールディレクトリからの誤ったライセンスキーファイルの削除を引き起こすものでした。
インストールスクリプト(8.0.1.04260)では、製品アンインストールの際にDr.Web Windows Action Centerがエラーをレポートする問題が修正されました。
Dr.Web Security SpaceおよびDr.web anti-virus for Windowsバージョン8.0にカザフ語のヘルプが追加されました。
アップデートは自動で行われますが、システムの再起動が必要です。
【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=626&lng=ja&c=2
ロシアのセキュリティー企業Kaspersky Labsの研究者Roman Unuchek氏は6日、「最も洗練されたAndroidトロイの木馬」を発見したと発表した。
このマルウェアはこれまで知られていなかったAndroidの脆弱性2つと、端末管理者特権昇格脆弱性を悪用。感染後は被害者に知られることなく潜み、攻撃者からのSMSメッセージによって、アドレス帳や残高を含むほぼすべての情報を抜き取ることが可能だという。
このマルウェアは現時点でGoogleプレイなど一般的な場所では見つかってはない。感染は主にロシアを中心とした地域で、SMSスパムを介して広がっている。
しかし、このマルウェアの発見が意味するところは大きい。Androidのマルウェアが急速に凶悪化していることの証拠だからだ。
Kaspersky Labsはこのマルウェアを「Backdoor.AndroidOS.Obad.a」と命名した。
「Backdoor.AndroidOS.Obad.a」は、これまで知られていなかったAndroidのバグ2つを悪用する。1つはAPKファイルをJARに変換するDEX2JARのバグ、もう1つはAndroidManifest.xmlの処理に関するバグだ。さらに、端末管理者特権に昇格できる脆弱性も合わせて突くことで、アプリケーション一覧に表示されることなく潜伏し、バックグラウンドモードで動作する。
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130610_602865.html
