?????????
ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。
図 1. ソーシャルメディアサイトで共有されている偽動画詐欺
最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、以下の例に挙げたフィッシング Web サイトは、あまり出来がよくなく、ブラウザによってはレイアウトが崩れてしまいます。
図 2. レイアウトが崩れた偽の Facebook ログインページ
リダイレクトされるときに、悪質な URL に関する Facebook の警告が表示されないこともあるので注意が必要です。ユーザーが Facebook の投稿にあるリンクをクリックすると、ブラウザは転送スクリプトにリダイレクトされます。Facebook が転送先の URL を不審と判断した場合には警告が表示され、ユーザーはその情報を基に投稿をスパムとして報告することができます。Web ページは警告の下にある iframe で表示されるため、ごくまれに、詐欺師が自動的にユーザーを新しいサイトへリダイレクトできる可能性もあります。そのため、悪質な Facebook アプリケーションのページに移動する前にユーザーが警告メッセージを目にするのは、1 秒にも満たない一瞬だけです。また、最終ページに行き着くまでに何度もリダイレクトが繰り返される場合もあります。
図 3. リンクのリダイレクト警告
ユーザーが悪質なアプリケーションをインストールしようとすると、ユーザーのデータを読み取ってタイムラインに投稿する許可が求められます。詐欺師の最大の目的は、被害者に知られないうちにユーザーの Facebook アカウントからメッセージを投稿し、この詐欺に騙される人を増やすことです。アプリケーションのインストールが終わると、詐欺メッセージがユーザーのタイムラインに投稿され、アンケート詐欺の Web ページにリダイレクトされます。
1 時間に数百人ものユーザーがいずれかのリンクをクリックしており、実際にアプリケーションをインストールした人もいます。言うまでもなく、Facebook は悪質なリンクを遮断し、悪質なアプリケーションをできるだけ早く削除することに尽力していますが、厄介なのは、犯人がスクリプトを自動化していることです。解析した各ドメインは、悪質な Facebook アプリケーションのコピーを 2,000 以上もホストしています。それぞれ名前が少しずつ異なっているため、あるアプリケーションが遮断されたら、詐欺師は悪質なリンクを変更するだけです。
図 4. 許可を求める詐欺アプリケーション
いつものことですが、インターネットを利用する場合は、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
- ソーシャルメディアサイトで衝撃的な話を読んだときは用心し、疑ってかかる。
- 信頼できないサイトからプラグインやツールをインストールしない。
- コンテンツにアクセスするためのアンケートについては、回答する前に再考する。
- ソーシャルアプリケーションをインストールするときは、要求される許可が本当に必要かどうかを確認する。
シマンテック製品をお使いのお客様は、さまざまな IPS シグネチャと URL 評価遮断サービスによって、この手の攻撃から保護されています。
Facebook で何らかの詐欺を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この手の詐欺への対策を講じており、新しい脅威が登場するたびに遮断し、削除しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
?????????????Microsoft Patch Tuesday?- 2014 ? 1 ?
今月のマイクロソフトパッチリリースブログをお届けします。今月は、6 件の脆弱性を対象として 4 つのセキュリティ情報がリリースされています。6 件すべてが「重要」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
- ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
- ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
- 未知の、または疑わしいソースからのファイルは扱わない。
- 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
- 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。
マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Jan
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
-
MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される(2916605)
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0258)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0259)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0260)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
-
MS14-002 Windows カーネルの脆弱性により、特権が昇格される(2914368)
カーネルの NDProxy の脆弱性(CVE-2013-5065)MS の深刻度: 重要
ユーザーモードからカーネルに渡される入力が正しく検証されないことが原因で、Windows カーネルの NDProxy コンポーネントに特権昇格の脆弱性が存在します。この脆弱性により、攻撃者がカーネルモードでコードを実行できる可能性があります。攻撃者がこの脆弱性の悪用に成功すると、特別に細工されたアプリケーションを実行し、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。
-
MS14-003 Windows カーネルモードドライバの脆弱性により、特権が昇格される(2913602)
Win32k のウィンドウハンドルの脆弱性(CVE-2014-0262)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のウィンドウハンドルスレッドが所有するオブジェクトを正しく使用しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。
-
MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる(2880826)
クエリーフィルタ DoS の脆弱性(CVE-2014-0261)MS の深刻度: 重要
Microsoft Dynamics AX にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、Dynamics AX サーバーが応答しなくなる可能性があります。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains
A few weeks after our blog post about porn and secret admirer spam targeting Snapchat users, a new spam campaign using sexually suggestive photos and compromised custom URLs is circulating on the photo messaging app.
Figure 1. Snapchat spam
Each of these spam messages includes a request to “Add my kik”, along with a specially crafted user name on the Kik instant messaging application for mobile devices.
Figure 2. Snapchat with a digital camera? It’s a trap!
After engaging these spam bots on Kik Messenger, this spam campaign is using a type of spam chat bot-script we discovered on Tinder last summer.
Figure 3. Spam bot using a familiar chat script on Kik
An interesting discovery from this campaign is the use of compromised custom URLs belonging to small websites and popular brands. Spammers have found a way to create their own links using branded short domains in order to entice users into a false sense of security.
Figure 4. Well-known branded short domain directs users to spam
The following are some of the compromised branded short domains we identified:
- usat.ly (USA Today)
- cbsloc.al (CBS Local)
- on.natgeo.com (National Geographic)
- nyp.st (New York Post)
- on.mktw.net (Marketwatch)
- mirr.im (Daily Mirror)
- red.ht (Red Hat)
- invstplc.com (Investorplace)
- mitne.ws (MIT News)
Figure 5. Stats page for compromised short URL
Hidden behind the branded customized URLs are affiliate marketing links directing users to sign-up for adult webcam sites.
Symantec has been working closely with Bitly to investigate and shut down any spammer use of branded short URLs. Bitly has confirmed that some spammers obtained Bitly API keys belonging to various brands. Some of the brands affected used the AddThis social bookmarking service who recently stopped requiring users to reveal their API key in plain text as part of the AddThis website embed code.
Figure 6. Note from AddThis support page regarding API key safety
Public exposure of API keys gives anybody the ability to compromise accounts and, in this case, create short URLs using other people’s domains.
Users of the AddThis service should refer to this support article on how to secure API keys. Bitly javascript:void(0);users should follow Bitly API best practices to ensure the security of API keys.
The recent spam campaign targeting Snapchat users should not be surprising. Scammers and spammers will always target new and popular apps—like Snapchat—as soon as they gain a large enough user base. To prevent spam snaps from appearing in your Snapchat feed, Symantec recommends users change their Snapchat privacy settings to receive snaps from “My Friends” only and use caution when receiving unsolicited messages or friend requests.
Win32/64:Blackbeard & Pigeon: Stealthiness techniques in 64-bit Windows, Part 1
At the turn of the year we started to observe a Trojan, not much discussed previously (with a brand new final payload). It has many interesting aspects: It possesses a complex structure containing both 32-bit and 64-bit code; it achieves its persistence with highly invasive methods; and it is robust enough to contain various payloads/functionalites. […]
????????? Web ???? Gongda ??????????????
シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。
確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。
図 1. 出版社のサイトで確認された悪質な iframe
この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。
ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。
• Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
• Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
• Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
• Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
• Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)
図 2. 攻撃のシナリオ
脆弱性の悪用に成功すると、Infostealer.Torpplar がダウンロードされます。これは、日本のユーザーから情報を盗み出すために作成されたマルウェアで、以下のサイトを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視します。
• 2 つのオンラインバンキングサイト
• 3 つのオンラインショッピングサイト
• 3 つの Web メールサイト
• 3 つのゲーム/動画 Web サイト
• 14 のクレジットカードサイト
注目に値するのは、オンラインバンキングサイトが 2 つしか標的になっていない点で、そのうち 1 つは地方銀行です。ほとんどの銀行は、Trojan.Zbot といった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装しています。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられます。
盗み出された情報は、あらかじめ定義された Web サイトに平文で送信されるため、傍受されると容易に読み取られてしまいます。
この攻撃で使われている Gongda 悪用ツールキットによって試みられる悪用を遮断するために、シマンテックは以下の IPS シグネチャを提供しています。
• Web Attack: Gongda Exploit Kit Website
• Web Attack: Gongda Exploit Kit Website 2
Infostealer.Torpplar の検出定義だけでなく、この攻撃に伴うファイルに対して以下のウイルス検出定義も用意しています。
• Trojan.Webkit!html
• Trojan.Malscript
• Trojan.Maljava
• Trojan.Swifi
このような攻撃から保護するために、最新のパッチを適用し、ウイルス検出定義と IPS 定義を常に最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
2916652 – Improperly Issued Digital Certificates Could Allow Spoofing – Version: 2.1
Revision Note: V2.1 (January 15, 2015): Advisory revised to announce a detection change in update 2917500. This is a detection change only. Customers who have already successfully updated their systems do not need to take any action.
Summary: Microsoft is aware of an improperly issued subordinate CA certificate that could be used in attempts to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. The subordinate CA certificate was improperly issued by the Directorate General of the Treasury (DG Trésor), subordinate to the Government of France CA (ANSSI), which is a CA present in the Trusted Root Certification Authorities Store. This issue affects all supported releases of Microsoft Windows. Microsoft is not currently aware of attacks related to this issue.