Microsoft Security Advisory (2506014): Update for the Windows Operating System Loader – Version: 1.0

Revision Note: V1.0 (April 12, 2011): Advisory published.
Summary: Microsoft is announcing the availability of an update to winload.exe to address an issue in driver signing enforcement. While this is not an issue that would re…

???????????????

      No Comments on ???????????????

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services(UPS カスタマーサービス)”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)

差出人: “Post Express Support(Post Express サポート)” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report(Post Express レポート)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office(Post Express オフィス)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>

件名: Post Express Office. Package is available for pickup. NR03909(Post Express オフィス: 集荷準備中 NR03909)
件名: Post Express Office. Delivery refuse. NR4245855(Post Express オフィス: 配送拒否 NR4245855)
件名: Post Express Office. Track your parcel. NR06678(Post Express オフィス: 荷物追跡 NR06678)
件名: Post Express Office. Error in the delivery address. NR4061172(Post Express オフィス: 送付先住所の間違い NR4061172)
件名: Post Express Office. Get the parcel NR31215(Post Express オフィス: 荷物 NR31215 をお受け取りください)

受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。

UPS tracking number.exeTrojan.FakeAV として検出)
UPS notify.exeBackdoor.Cycbot として検出)
Post_Express_Label.exeTrojan.Sasfis として検出)

以下に、スパムの例を 2 つ示します。


 

シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。

上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????? Android ???

      No Comments on ?????????????????? Android ???

Android.Walkinwat は、非正規のサイトから不正にファイルをダウンロードしたユーザーを懲らしめようとする脅威です。この種の脅威がモバイル環境で確認されたのは初めてです。

図 1: トロイの木馬によって表示されるメッセージ

Android.Walkinwat は、Android マーケットで入手できる「Walk and Text」というアプリケーションの、存在しないバージョン(V 1.3.7)として公開されており、北米とアジアの有名なファイル共有 Web サイトで見つかっています。このアプリケーションがこれらの地域で意図的に拡散されたのは、脅威の作成者がダウンロード数を増やし、少しでも多くのユーザーにメッセージを送るためだったとも、Walk and Text の発行者を非難するためだったとも考えられます。

このアプリケーションを実行すると、アプリケーションに対する侵入とクラッキングが進行中であるかのように見えるダイアログボックスが表示されますが、実際にはその間に、重要なデータ(名前、電話番号、IMEI 情報など)を収集して外部サーバーに送信しようとしています。

図 2: バックグラウンドで実行される処理

また、リストにあるすべての連絡先に、次のような SMS メッセージを送信します。

図 3: リストのすべての連絡先に送信される SMS メッセージ

注目すべきなのは、このトロイの木馬が Android.Walkinwat の LicenseCheck と呼ばれるルーチンで上記の処理を実行しているということです。これは本来、正規のアプリケーションがライセンス管理に使うルーチンであり、海賊版を排除するために Android プラットフォームで利用できるライセンス検証ライブラリ(Licensing Verification Library)と組み合わせて使われます。悪質なコードの作成者は、海賊版を防ぐために推奨されている別の対応策も使い、アプリケーションを不明瞭化するという手間もかけています。

図 4: LicensingService ルーチンと LicenseCheck ルーチン

アプリケーションは最後に、電話料金の請求書を忘れずに確認するようにというメッセージを表示し、Android マーケットからこのアプリケーションの正規版を購入するオプションも提示します。

図 5: 脅威によって表示される最後のメッセージ

海賊版防止のメッセージを送信する手段として、正義による制裁という形が使われるケースは初めてではありませんが、モバイル機器では初めての出現例となりました。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Facebook ??????????????? XSS ???

      No Comments on Facebook ??????????????? XSS ???

Facebook で新しく見つかったクロスサイトスクリプト(XSS)の脆弱性は、パッチ修正されないまま現在も広く悪用されており、ユーザーのウォールに自動的にメッセージが投稿されています。この脆弱性は、これまでも小規模に使われていましたが、今ではさまざまなグループに広く使われはじめ、特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されています。

この脆弱性は、JavaScript のフィルタリングが十分でないことが原因で、モバイル API バージョンの Facebook に存在します。悪質な意図で作成した iframe 要素に JavaScript を埋め込むか、http-equiv 属性の refresh 値を利用して、JavaScript を含む URL にブラウザをリダイレクトするなどの方法で Web サイトに組み込むことができます。Facebook にログインしたユーザーが、このような要素を含むサイトにアクセスすると、任意のメッセージがそのユーザーのウォールに自動的に投稿されます。ユーザー自身の操作はまったく必要なく、クリックジャックのような仕掛けもありません。感染した Web サイトにアクセスするだけで、攻撃者が選んだメッセージが投稿されてしまいます。このようなメッセージが Facebook 全体にごく短時間で広まってしまったのも当然と言えるでしょう。なかには、感染した Web サイトへのリンクを投稿し、ユーザー間に XSS ワームを拡散するメッセージもあります。

悪いことに、この攻撃は簡単に作り変えることができるため、すでに何十という模倣犯が異なるメッセージで新しい攻撃を開始していることが確認されています。

この問題は Facebook のセキュリティチームに報告済みであり、修正対応が進められています。

この攻撃は、Facebook で SSL オプションが有効でも無効でも動作するので、今のところ、使わないときは Facebook からログアウトするか、セキュリティツールを使って保護するか、または感染サイトへのアクセスを遮断するようにしてください。たとえば、Firefox ブラウザの NoScript 拡張機能を使うと、この XSS ワーム攻撃を検出することができます。

更新: この XSS 脆弱性に対するパッチ修正を実施したと Facebook から報告がありました。また、Facebook は現在、この攻撃によって生じた損害の修復も進めているところです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

      No Comments on ???????????????????

シマンテックセキュリティレスポンスは最近、一見して無害そうなプログラムがさまざまな URL でホストされていることを確認しました。このプログラムファイルが異例だったのは、多くのシマンテックユーザーが同じファイルを解析のために送信してきたという事実です。

このプログラムの基本的な動作は、職業適性アンケートに回答させたうえで、次のいずれかの URL にユーザーをリダイレクトするというものです。

hxxp://groupinc-upland.biz/registration/1
hxxp://artby-group.biz/registration/1
hxxp://artby-gorup.net/registration/1
hxxp://callisto-ltdco.net/registration/1
hxxp://kresko-group.biz/registration/1
hxxp://kresko-group.net/registration/1
hxxp://targetmarket-groupllc.net /registration/1
hxxp://neoline-llc.net/registration/1
hxxp://neoline-groupco.cc/registration/1

適性テストのダウンロードと回答を行わずに、これらのページをただ閲覧することはできません。

このプログラムは、登録ページにアクセスするための一意の URL を生成します。

このプログラムで気になる点は、入力を求められる情報の仔細さです。

100 ドルの特典と引き換えに、オンラインバンキングの口座情報として URL、ログイン名、パスワードまで要求されます。

最後のステップでは、入力したアドレスに電子メールが送信され、契約に合意したうえで身分証明か公共料金請求書のスキャンコピーをアップロードするように求められます。

契約書には、この仕事の目的が次のように記載されています。

「The Contractor undertakes the responsibility to receive payments from the Clients of the Company to his personal bank account, withdraw cash and to effect payments to the Company’s partners by Western Union or MoneyGram money transfer system within one (1) day(契約者は、当社の顧客からの支払いを個人の銀行口座で受け取り、現金を引き出したうえで、Western Union または MoneyGram の送金システムを利用して 1 日以内に当社のパートナーへの支払いを実効させる責任を負うものとする)」

また報酬についても触れられています。

「The Contractor is engaged by the Company on terms of thirty-days (30) probationary period. During the probationary period the Company undertakes to pay to the Contractor the base salary amounting to 2300 USD per month plus 8% commission from each payment processing operation. After the probationary period the Company agrees to revise and raise the base salary to 3000 USD.(契約者は、30 日間の試用期間を条件として当社と契約する。試用期間中、当社は 1 カ月当たり 2,300 米ドルの基本給と、支払い処理操作 1 件ごとに 8% の手数料を契約者に対して支払うものとする。試用期間の終了後には、3,000 米ドルを上限として基本給の見直しと昇給を行うことに当社は合意する。)」

そして、オンラインバンキングの口座情報を入力すると特典の 100 ドルが手に入るということを思い出してください。

いわゆるマネーミュールは、取引の分け前を手に入れ、残りの現金を第三者の口座に送金します。このような行為は不正であり、これまでにも多くの例で、法的に責任を問われる結果になっています。

http://www.theregister.co.uk/2010/09/30/zeus_money_mules_charged/

http://www.wired.com/beyond_the_beyond/2010/10/the-zeus-money-mules-the-federal-complaints/

この詐欺行為が行われている間、重要な情報はすべて HTTPS ではなく HTTP で送信されているので、銀行口座情報は平文で送信されている点にも注意が必要です。

一般的に、ユーザー自身が意図して取引を開始した場合を除いて、個人情報(パスワードや銀行口座などの情報)は誰とも、またどんなサイトでも共有すべきではありません。個人情報の入力が必要なページにアクセスする場合でも、URL に HTTPS が含まれているかどうかを調べて、サイトが暗号化を利用していることを確認してください。また、ブラウザに鍵マークが表示されていれば、SSL が使われていることがわかります。

シマンテックでは、このアンケートアプリケーションを Fakesurvey として検出します。

http://jp.norton.com/security_response/writeup.jsp?docid=2011-032307-1016-99&tabid=2

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege – Version: 1.1

Severity Rating: Revision Note: V1.1 (March 8, 2011): Revised advisory FAQ to announce updated version of the MSRT and added Forefront Security for Exchange Server to the list of non-affected software.Summary: Microsoft is releasing this security advis…

Microsoft Security Advisory (2491888): Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege – Version: 1.1

Severity Rating: Revision Note: V1.1 (March 8, 2011): Revised advisory FAQ to announce updated version of the MSRT and added Forefront Security for Exchange Server to the list of non-affected software.Summary: Microsoft is releasing this security advis…

Microsoft Security Advisory (2491888): Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege – Version: 1.1

Revision Note: V1.1 (March 8, 2011): Revised advisory FAQ to announce updated version of the MSRT and added Forefront Security for Exchange Server to the list of non-affected software.
Summary: Microsoft is releasing this secur…