【フィッシング対策協議会】Facebook をかたるフィッシング

Facebook をかたるフィッシングサイトの報告がありました。

1. 2014/10/07 15:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (メールアドレス、電話番号、パスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://●●●●.93.119/facebook.com/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/facebook_20141007.html

偽ECサイトが半年で5600件、乗っ取ったFacebookアカウントから誘導する手口も

トレンドマイクロ株式会社は4日、実在のECサイトになりすまして詐欺行為を働く「なりすましECサイト」の活動が活発化し、SNSのアカウント乗っ取りによりこうしたサイトに誘導しようとする宣伝活動が行われているとして、注意を促した。

トレンドマイクロによると、2013年には犯罪者は偽ブランド品のオンライン販売に力を入れており、海外高級ブランド名に「激安」と加えて検索すると、2013年8月には上位100サイトのうち半数以上が偽ブランド品の販売を行うサイトに誘導されていたという。

2014年現在、この傾向は沈静化しつつあるものの、代わって「なりすましECサイト」と呼ばれる手口が増加。犯罪者は実在する店舗のロゴマークやデザイン、商品写真などを無断でコピーするようになり、より悪質な事例では実在する店舗の連絡先を転記する行為や、URL中に実在する店舗の名称を含めるケースなどが報告されている。こうした偽サイトは、2014年上半期(1~6月)には約5600件確認されている。

なりすましECサイトでは、利用者の元に何も届くことはなく、商品の代金と称して金銭をだまし取られる可能性がある。また、クレジットカード情報など個人情報の入力が求められ、だまし取られる可能性もあり、被害者が実害に気付くまでに時間を要するような場合もあるという。

犯罪者は、なりすますECサイトや画像などの素材を国内の大手ショッピングモールから集めており、オンラインショッピングモールが発表している店舗ランキングに注目して決定していると考えられるという。このため、ランキング上位のサイトがなりすましの対象として狙われる傾向が高く、季節性のあるシーズン商品や日用品、趣味嗜好品などを販売する専門店舗もなりすましの対象となっていることも確認されている。

また、こうした偽サイトへの誘導方法としては、Facebookアカウントを乗っ取り、そのアカウントに対して「アルバム」を作成する形で宣伝広告を投稿する手口が確認されている。写真にはタグ付けを行うことで、タグ付けされた友達のアカウントのウォール上にも宣伝広告を表示させるといった手法を用いているという。

トレンドマイクロが調査した例では、誘導に用いられた短縮URLは7月4日に作成され、7月30日までの間に2294回クリックされたことが確認され、8月1日現在でもそのクリック回数は増え続けているという。短縮URLの先は、改ざんされたブログページになっており、このページにアクセスすると偽サイトに誘導されるようになっていた。

8月1日現在、この手口により転送されるオンライン店舗のドメイン名は500件以上確認されており、今後もこの数が増加することが見込まれている。これらのドメイン名は一定の規則性をもって連番で取得されており、犯罪者はURLフィルタリング製品による検出を回避する目的で、こうしたドメイン名を大量に取得していると分析している。

トレンドマイクロではこうした状況を受け、警察庁との連携を行っており、各都道府県警察が受理した偽サイトなどにかかわるURL情報の提供を受け、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」に反映していると説明。一方で、犯罪者は次々と新しい詐欺サイトを設置し、違法な営業活動を続ける工夫を施しているため、ブラックリスト方式による警告表示のみでは予防効果が十分と言えなくなっているという。

こうしたことから、利用者が安全にオンラインショッピングを楽しむためには普段の「こころがけ」が重要だとして、個人情報や決済などに関わる情報など大切な情報を入力する時には、最後にもう一度立ち止まって考える習慣を身に付けるべきだとしている。

また、被害に遭った場合には、最寄りの専門窓口への相談を勧めるとともに、特に金銭的な被害が発生した場合は、金融機関と警察のサイバー犯罪相談窓口に相談してほしいとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140805_661058.html

【Dr.WEB】Adobe Flash Playerを装いFacebookから拡散されるトロイの木馬

Doctor Webは、Facebookを介して拡散されているTrojan.Zipvideom.1についてユーザーの皆様に警告します。 このトロイの木馬は感染したコンピューター上にMozilla FirefoxおよびGoogle Chromeブラウザ向けのプラグインをインストールし、これらのプラグインによって不快な広告が表示されます。

Trojan.Zipvideom.1はAdobe Flash Playerのアップデートを装ってコンピューター上に侵入します。ユーザーから収集されたデータによると、このトロイの木馬は2014年の初めにFacebookスパムによっても拡散されていました。また、このトロイの木馬の開発者はトルコ語を話す人物であると考えられます。

ユーザーがAdobe Flash Playerのアップデートに同意してしまうと、トロイの木馬の1つ目のコンポーネントであるFlashGuncelle.exeがコンピューター上にダウンロードされ、同時に、偽のAdobe Flash Playerインストール進捗ウィンドウが表示されます。

次に、FlashGuncelle.exeは犯罪者のサーバーに接続し、トロイの木馬のまた別のコンポーネントであるドロッパーをダウンロードします。このドロッパーによって、さらに別のコンポーネントが複数インストールされ、起動されます。その中の1つに、アプリケーションの自動実行に関与するシステムレジストリブランチに変更を加え、Mozilla FirefoxおよびGoogle Chromeブラウザ向けのプラグインをダウンロード・インストールするFlash_Plugin.exeがあります。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=704&lng=ja&c=2

【Dr.WEB】Skypeによるバンキングトロイの木馬の大拡散

Doctor Webは、BackDoor.Caphawファミリーに属するトロイの木馬がSkypeを利用して大拡散されていることについてユーザーの皆様に警告します。その拡散は2013年11月の前半にピークに達しました。BackDoor.Caphaw はリモートバンキングソフトウェアによって保存されたアカウント情報や、感染したシステム上に保存されたその他の個人情報を盗みます。

BackDoor.Caphawトロイの木馬によるコンピューターの感染は、昨年の間も1年を通して確認されています。このトロイの木馬は主にBlackHole exploit packなどのエクスプロイトを利用して拡散されており、リムーバブルメディアやネットワークドライブ上に自身をコピーする機能を持っています。2013年10月の後半にはSkypeを利用したBackDoor.Caphawの拡散が目立つようになり、この傾向は11月の5~14日にピークに達しました。犯罪者は、既に感染しているシステムのユーザーアカウントを使用してメッセージを送信しています。メッセージにはinvoice_XXXXX.pdf.exe.zip(XXXXXは任意の数字です)という名前のついたアーカイブへのリンクが含まれ、このアーカイブに含まれている実行ファイルがBackDoor.Caphawトロイの木馬です。

感染したシステム内で起動されたトロイの木馬は、ランダムな名前を付けたファイルとして自身のコピーをアプリケーションフォルダの1つに置き、アプリケーションの自動実行を司るシステムレジストリを改変します。また、解析から逃れるために、仮想マシン上で起動されているかどうかを判別する機能を備えています。

インストールされると、BackDoor.Caphawトロイの木馬は実行中のプロセス内に自身のコードを挿入し、犯罪者の管理するサーバーに接続します。このトロイの木馬はユーザーのアクティビティをモニターし、リモートバンキングシステムに接続しているかどうかを確認します。接続していた場合、ユーザーの開いたwebページ内に任意のコンテンツを埋め込み、webフォーム内に入力されたデータを盗みます。

このバックドアは感染したコンピューター上でストリーミング動画を録画し、それらをRARアーカイブとして犯罪者のサーバーへ送信します。また、それぞれ異なる機能を実行する追加のモジュールをリモートサーバーからダウンロードし、実行することができます。そのようなモジュールには、FTPクライアントによって保存されたパスワードを検索して犯罪者に送信するモジュールやVNCサーバーを設置するモジュール、さらに、マスターブートレコードを感染させるためのブートキットモジュールや、Skype経由で悪意のあるリンクを送信するためのモジュールがあります。

Dr.Webアンチウイルスは、侵入を試みるBackDoor.Caphawを検出し駆除しますが、ユーザーの皆様には警戒を怠らず、Skypeで受け取ったメッセージに含まれるリンクをクリックしないよう推奨します。例えメッセージが信頼できる人物からのものであっても、送信元のコンピューターが既にBackDoor.Caphawに感染してしまっている可能性もあるため、注意が必要です。お使いのシステムが感染してしまった場合、Windowsをセーフモードで起動し、無償の修復ユーティリティDr.Web CureIt!を使用してシステムのフルスキャンを実行するか、Dr.Web LiveCDを使用することを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=688&lng=ja&c=2

SNSのアカウントを乗っ取るブラウザの偽プラグイン(トレンドマイクロ)

トレンドマイクロ株式会社は8月1日、「Google Chrome」または「Mozilla Firefox」のいずれかのユーザを狙う、SNSに潜む脅威を改めて確認したと同社ブログで発表した。この脅威は、これら両方のブラウザの偽の拡張機能を使いユーザのコンピュータに侵入したり、特に「Facebook」や「Google+」、「Twitter」といったSNSのアカウントを乗っ取るというもの。偽の動画プレイヤーの更新をインストールするようユーザに促すが、実際には「TROJ_FEBUSER.AA」として検出される不正ファイルであり、感染ユーザが使用しているブラウザに応じてプラグインをインストールする。

同社では、Google Chrome用のひとつ前のバージョンを「JS_FEBUSER.AA」として検出しており、「Chrome Service Pack 5.0.0」という名称が使われている。一方、Mozilla Firefox用の偽プラグインは「Mozilla Service Pack 5.0」であった。問題の更新バージョンは、「F-Secure Security Pack 6.1.0」(Google Chrome用)と「F-Secure Security Pack 6.1」(Mozilla Firefox用)という名称が利用されている。この不正なプラグインは、一旦インストールされると、不正なWebサイトにアクセスし、設定ファイルをダウンロードする。そして、ダウンロードした設定ファイルの詳細を利用し、ユーザに気づかれることなくSNSアカウントを乗っ取る。その後、以下の動作を実行する。

・ページに「いいね!」をする
・投稿をシェアする
・グループに加わる
・友達をグループに招待する
・友達とチャットをする
・コメントを投稿する
・ステータスを更新

【ニュースソース】ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2013/08/01/32197.html

ネット選挙に便乗した不審な動き、なりすましなどに注意呼びかけ ― トレンドマイクロ

トレンドマイクロは7月5日、同社ブログで、「ネット選挙解禁の参院選スタート:早くもネット上の選挙活動を狙った不審な動きを確認 」と題する記事を公開しました。

7月4日に公示された参議院議員選挙は、インターネット上での選挙活動を認めた初の国政選挙となります。同社によると、早くもインターネット上の選挙活動を巡って不審な活動が確認されたとのことです。

まず1つめは、ソーシャルメディア上の「なりすまし」で、同社が与党自民党の総裁「安倍晋三」のキーワードでTwitterアカウントの検索を行ったところ、16のアカウントが確認されたとしています。そのなかには、安倍総裁本人の顔写真を使い、本人と混同させる意図を感じさせるアカウントも多数含まれていました。なお、Twitterでは、なりすましアカウント対策として、認証済みアカウント(本人アカウント)には青色のマークを付けています。ちなみに、アカウントのなりすましは公選法に抵触するため、2年以下の禁固または30万円以下の罰金、さらに選挙権・被選挙権の停止が科せられる場合があります。

もう1つは、「選挙関連のアンケートを装った不審なメール」で、支持政党などをアンケートするメールが出回っているとのことです。メールには、アンケート専用サイトへのリンクが記述されており、そこで回答するとともに、名前、メールアドレス、住所などを登録すると、現金10万円などが当選するという仕組みとなっています。

しかしトレンドマイクロが確認したところ、このアンケートサイトがホストされているサーバは、悪質なスパム業者が運営している不正サーバだったとのこと。同社では、このアンケート自体が情報詐取目的の攻撃と考察しています。現時点で情報詐取後の最終的な攻撃目的は断定できませんが、トレンドマイクロではこの不正サーバの活動監視を強めていくとしています。

【ニュースソース】トレンドマイクロ
http://is702.jp/news/1389/partner/12_t/

ソーシャルネットワーク、ハッカーの標的に マカフィー調査

米インターネット・セキュリティーソフト大手マカフィー(McAfee)のマカフィーラボ(McAfee Labs)は3日、米SNSフェイスブック(Facebook)や米マイクロブログのツイッター(Twitter)などのソーシャルネットワークからパスワードを盗み出すことを狙った「悪意のあるソフトウェア」が今年1~3月に急増したと発表した。

 マカフィーラボが四半期に1度発表する「マカフィー脅威レポート(McAfee Threats Report)」によると、2013年第1四半期(1~3月)にかけて、「クーブフェース(Koobface)」と呼ばれるソーシャルネットワークサービスを悪用するプログラムの検出数が前期比で3倍と「大幅に急増」した。また、スパムメール(迷惑メール)も「劇的に増加」したという。

 クーブフェースは、感染したユーザーのソーシャルネットワーク上の友人にメッセージを送り、友人に悪意のあるプログラムをダウンロードさせてソーシャルネットワーク上で拡散する。感染したPCは、ハッカーたちが悪意のある目的のために利用することができる。

 マカフィーラボのビンセント・ウィーファー(Vincent Weafer)上級副社長は「サイバー犯罪者たちは、個人情報や団体情報こそがハッカー社会における通貨であることをついに理解した」と述べ、「クーブフェースの復活は、ソーシャルネットワークが今もなお、個人情報を盗み出す機会を提供していることを確認させるものだ」と述べた。

 また、13年第1四半期には、ここ3年ほど沈静化していた迷惑メールが急増した。特定の株式を購入するよう人々を誘導することで株価を意図的につり上げる「風説の流布」の手口が急増しているという。(c)AFP

【ニュースソース】AFP BB News
http://www.afpbb.com/article/environment-science-it/it/2947830/10848577

mixiを騙るフィッシング詐欺が出現......運営を名乗って情報詐取

 mixi運営事務局は8日、mixiのメッセージを利用した悪質なフィッシング詐欺が出回っているとして、その内容を公表した。

 いくつかのバリエーションがあるが、基本的にメッセージはmixi運営事務局からの連絡を装い、ログイン情報を聞き出そうとする。いずれも、偽アカウントの多発などを理由にして、ユーザーのIDとパスワードを返信させようとする内容だ。ちなみに、正式な組織名は「mixi運営事務局」だが、犯罪者側は「mixi運営部」と微妙に異なる名称を名乗っている点も共通している模様。

 ミクシィは「不審なメッセージを受け取ったら決して返信されないようお願い申し上げます」「大変悪質な行為であり、弊社といたしましても然るべき対応を進めている状況です」としている。なお今後異なる文言や手法の出現も有り得るので、見知らぬアカウントからのmixiメッセージには、いましばらく注意が必要だろう。

【ニュースソース】RBBTODAY
http://www.rbbtoday.com/article/2013/04/09/106029.html

Skypeで悪質リンクが横行、CPUリソースを"使い尽くす"ケースも

Skypeでメッセージを送りつけて悪質なリンクをクリックさせ、仮想通貨Bitcoinの不正な生成に加担させるマルウェアなどに感染させる手口が急浮上しているという。ロシアのセキュリティ企業Kaspersky Labが4月4日のブログで伝えた。

それによると、Skypeを使って英語やスペイン語で「この写真を見たら眠れなくなると思う」「私が好きなあなたの写真です」といった内容のメッセージを大量に送りつけ、短縮URLのリンクをクリックさせる手口が横行。ユーザーがだまされてリンクをクリックすると、さまざまなマルウェアに感染するという。

この不正なリンクのクリック数は4月4日の時点で激増しており、ウイルス対策ソフトによる検出率は低いという。

このうちスペイン語のメッセージを使った攻撃でインストールされるマルウェアの中には、感染マシンのCPUを使用して、犯罪目的のBitcoin生成に加担させる機能を持つものも見つかったとKasperskyは報告。もしも自分のマシンのCPUが使い尽くされるような状態になったら、このマルウェアに感染している可能性もあると指摘している。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130408-00000013-zdn_ep-sci

Twitter、フィッシングメール対策としてDMARCを採用

 米Twitterは21日、Twitterから送信するメールを騙るフィッシングメールへの対策として、DMARCを採用したことを明らかにした。

 DMARCは、GoogleやFacebook、Microsoft、Yahoo!などが参加するワーキンググループによりまとめられた、メールの正当性を送信者と受信者の間で確認するための技術仕様。既存の認証プロトコル(DKIMとSPF)に基づいて構築されており、ドメインを詐称したメールをブロックするための仕組みをメールサービスのプロバイダーに提供する。

 Twitterでは、毎日多数のメールをユーザーに対して送信しているが、一方ではメールを悪用してユーザーアカウントや個人情報を盗もうとするフィッシング攻撃も数多く発生していると説明。DMARCは既にAOL、Gmail、Hotmail/Outlook、Yahoo! Mailに採用されており、さらに多くのプロバイダーが採用することでユーザーの保護につながることが期待できるとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130222_588966.html