If you use SSL certificates on intranet sites with internal server names, they may not work from 1 November 2015. For companies with complex infrastructures, the change may be challenging but now is the time to start getting ready.
avast! Mobile Security is the number 1 app you need on your Android phone. Not convinced? If you already have an Android phone in your pocket, or if a new mobile phone or tablet is on your Christmas wish list, read this story shared with us by Jennifer: The number 1 reason Jennifer got […]
「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。
同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。
金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、攻撃者にとって金銭的な儲けを生むのであればあらゆるものが標的になっていることが明白です。
最も頻繁に攻撃されているのは米国内の銀行で、調査したトロイの木馬の設定ファイルのうち 71.5% に出現していました。標的となった上位 15 の銀行はすべて、設定ファイルのうち 50% 以上で見つかっており、2 つに 1 つのトロイの木馬が上位の銀行の少なくとも 1 行を狙っていることになります。このように高い数値が表れているのは、トロイの木馬とともに売られている基本ツールキットの一部に、標的となる URL がサンプルとして存在するためかもしれません。あるいは、トロイの木馬が依然としてこうした企業に対して有効だからという理由も考えられます。金融機関の一部はいまだに強力な認証を採用していないからです。もちろん、大部分の金融機関はこうしたサイバー犯罪の推移を意識しています。また、このような攻撃を遮断する新しい保護対策も講じているのですが、残念なことに、新しいセキュリティ対策を始動するには時間も費用も掛かり、攻撃者は常に新しい攻撃の経路を生み出しています。結局のところ、ソーシャルエンジニアリング攻撃は依然として機能し続けることになります。巧妙な作り話に引っ掛かってしまう人というのは、後を絶たないからです。オンラインバンキングのサービスを狙う攻撃は、来年も続くものとシマンテックは予測しています。
金融機関を狙うトロイの木馬の状況について詳しく知りたい方のために、このトピックを扱ったホワイトペーパーの最新版を公開しました(英語)。
金融機関を狙う脅威の 2013 年における概況については、以下の解説画像も参考にしてください。
Browlock ランサムウェア(Trojan.Ransomlock.AG)は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AE のように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolocker のようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。
図 1. 違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア
驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65 万件以上も遮断しましたが、同じ傾向は 12 月も続いています。22 万件を超える接続が、12 月に入ってからわずか 11 日間で遮断されているのです。追跡を開始した 9 月からの合計では、約 180 万件の接続が遮断されていることになります。
悪用ツールキットやトラフィックリダイレクトシステムをよく知っている方には、こうした数字もとりたてて大きくは見えないかもしれませんが、これはシマンテック製品のユーザーに限った数字です。11 月に検出された 65 万という接続数はごく一部にすぎず、実際の数字はもっと大きい可能性があります。
図 2. 2013 年 11 月と 12 月における Browlock ランサムウェアの活動状況
上に示した数字は、1 日あたりに検出された活動の総数です。攻撃は断続的に発生しており、特に際立っているのは 11 月 3 日と 11 月 16 日です。11 月 16 日には、13 万以上のコンピュータが Browlock の Web サイトへのリダイレクトを遮断されています。
Browlock を使う攻撃者は、さまざまなアクセスを悪質な Web サイトにリダイレクトするトラフィックを購入している節があります。ここで使われているのがマルバタイジング(悪質な広告)です。マルバタイジングは、正規のネットワークからの広告購入を伴うアプローチとして広がりつつあります。広告先はアダルトサイトと思しきページで、そこから Browlock の Web サイトにリダイレクトされます。
Browlock の攻撃者が購入するトラフィックのソースは何種類かありますが、中心となるのはアダルト広告ネットワークです。Malekal や Dynamoo など、複数のセキュリティ研究者が過去数カ月にわたってこの活動を追跡しています。
最近の例では、攻撃者は広告ネットワークで複数種類のアカウントを作成し、支払い金を預けてから、オンラインチャットフォーラムに類似した名前の Web サイトにユーザーをリダイレクトするトラフィックを購入し始めていました。ユーザーがこのページにアクセスすると、Browlock のサイトにリダイレクトされます。実際、攻撃者はランサムウェアサイト自体と同じインフラに、正規のように見えるドメイン名をホストしています。
被害者が Browlock の Web サイトにリダイレクトされる際に、被害者と、その被害者の国や地域の法執行機関ごとに固有の URL が生成されます。たとえば、米国からアクセスしたユーザーは次のような URL に誘導されます。
fbi.gov.id693505003-4810598945.a5695.com
この URL には特徴的な要素が 2 つあります。fbi.gov という値と、実際のドメインである a5695.com です。fbi.gov という値は、明らかに米国の法執行機関を表しています。シマンテックは、およそ 25 の地域における 29 種類の法執行機関を表す値を特定しました。次のグラフは、特定された法執行機関のうち上位 10 位までについて接続の比率を示したものです。米国からのトラフィックが最も多く、ドイツ、ユーロポール(欧州警察組織)がそれに続いています。ユーロポールは、特定のイメージテンプレートが作成されていないときの欧州各国が対象です。
図 3. Browlock の標的となった上位 10 の機関
次に問題となる値はドメインです。追跡を開始して以来、196 のドメインが確認されています。ドメインはいずれも、アルファベット 1 文字に 4 桁の数字が続き、.com で終わるという形式です。実際のドメインは、過去 4 カ月にわたって何種類もの IP アドレスでホストされています。
最も活動的な自律システム(AS)は AS48031 – PE Ivanov Vitaliy Sergeevich で、これは過去 4 カ月のどの月にも使われていました。攻撃者は、この AS で 7 種類の IP アドレスを順に使っています。
Browlock ランサムウェアの戦術は、単純ですが効果的です。攻撃者は、悪質な実行可能ファイルを使わず、また悪用ツールキットにもアクセスしないことで予算を節約しています。被害者はブラウザを閉じさえすれば Web ページから逃れることができるので、誰も支払いなどしないとも考えられます。しかし、Browlock の攻撃者がお金を払ってトラフィックを購入しているのは明らかである以上、その投資を回収していることは確実です。アダルトサイトのユーザーを狙って、被害者の困惑につけ込むという通常のランサムウェアの手口も依然として続いており、それも成功率に貢献していると思われます。
シマンテックは、IPS とウイルス対策のシグネチャでお客様を Browlock から保護しています。
AS24940 HETZNER-AS Hetzner Online AG
AS48031 – PE Ivanov Vitaliy Sergeevich
AS3255 – UARNET
AS59577 SIGMA-AS Sigma ltd
Nigeria Ifaki Federal University Oye-ekiti
AS44050 – Petersburg Internet Network LLC
AS31266 INSTOLL-AS Instoll ltd.
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Web カメラを通じて無防備な被害者を監視するクリープウェアについては、先日のブログでお伝えしました。名前が示すとおり、その性質は実に厄介です。残念ながら、インターネット上には類似の脅威がほかにも存在します。今年大きく蔓延しているもうひとつの詐欺行為は、Web カメラによる脅迫です。こちらの場合、詐欺師は Web カメラを利用しているという事実を隠そうとしません。
この詐欺はまず、ソーシャルネットワークや出会い系サイトでの友達申請から始まります。申請を送信してくるのは見るからに詐欺師のプロフィールで(女性を装っています)、申請の送信先は独身男性というのが相場です。しばらく会話を続けると、詐欺師は男性のプロフィールを好きになった理由を説明し始めますが、会話は次第にもっと性的な話題へと移っていきます。詐欺師はビデオチャットを求めて服を脱ぎ始め、相手の男性にも同じようにしてほしいと誘ってきます。男性が誘いに乗ると、詐欺師によって不名誉な動画の録画が始まり、最終的には十分違法性のある画像が残されてしまいます。動画が録画されると詐欺師はまた話題を一転し、支払いを拒否した場合にはこの動画をアップロードして、被害者の友達と共有すると脅してきます。
この詐欺には、複数の手口が存在します。たとえば、動画の代わりに写真を要求するものや、あらかじめ録画されたストリップ動画で被害者を誘惑するものがあります。また、インターネット接続や Web カメラの画質向上を謳って金銭を要求する手口もあり、送金すれば動画の画質が向上すると約束しますが、金銭を送ったが最後、約束が果たされることはありません。さらに質の悪い場合は、詐欺師は被害者が子どもとチャットしていたと主張し、小児性愛の証拠を添付して送りつけてきます。共有してしまった個人情報も、動画と一緒に公開されます。場合によっては、被害者のコンピュータにトロイの木馬を仕掛けるために、感染した Web サイトへのリンクが送信されてきます。詐欺の背後にある原理は常に同じであり、いずれにしてもソーシャルネットワークや出会い系サイトを使うときには用心が必要です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently, we wrote about creepware and how people use it to spy on unsuspecting victims through webcams. As the name implies, this is really creepy. Unfortunately, there are other similar threats on the Internet. Another scam that has become very popular this year is webcam blackmailing. In these cases, the scammers don’t hide the fact that they are using the webcam.
The scam starts with a simple contact request on a social network or dating site. In general, the profile sending the request appears to be the scammer (posing as a woman), and the request is sent to single men. After a bit of small talk, the scammer explains why she fell in love with the man’s profile picture and then changes the topic to one of a more sexual nature. The scammer asks the man to video chat with her, starts stripping, and encourages the man to do the same. If the man joins in, the compromising video is recorded by the scammer until enough incriminating material has been gathered. Once enough video has been recorded, the scammer changes the topic again and indicates that the video will be publicly uploaded and shared with his friends on social networks if he does not pay.
Multiple variations of this scam exist. For example, some scammers ask for photos instead of videos, some use a previously recorded video of a woman stripping to entice the victim, and others ask for money for a better Internet connection or webcam. The scammer promises better video quality if money is sent, they pocket the money right away, and never buy better equipment. To make it even worse, scammers will claim that the victim was chatting with a child, attaching the stigma of pedophilia to the victim. Any personal information that was shared is published along with the video. In some cases a link to a compromised website is sent in order to infect the victim’s computer with a Trojan. The principle behind the scam is always the same. In any case, users should stay vigilant when using social networks or dating sites.
この週末、写真共有アプリ Instagram で大量のアカウントが削除されるというデマが広がりました。@activeaccountsafe という偽アカウントから、Instagram のプライバシーポリシー変更に関する通知と称する写真が投稿されたのです。この写真は、次のような文面でした。
「On December 20, 2013 we will be randomly deleting a huge mass of Instagram accounts. Many users create multiple accounts and don’t use them all. This cost us $1.1 million to run inactive accounts. These accounts become inactive and then create spams. In order for us to keep al spam off of Instagram we will be randomly deleting accounts. To keep your account active REPOST this picture with @ActiveAccountSafe & #ActiveAccountSafe . We’re doing this to keep active users online.
(2013 年 12 月 20 日に、大量の Instagram アカウントをランダムに削除する予定です。複数のアカウントを作成したまま、まったく使っていないユーザーが多数になり、使われていないアカウントの維持だけで 110 万ドル掛かっています。しかも、使われていないアカウントはスパムに利用されています。ランダムにアカウントを削除するのは、Instagram からスパムを一掃するためです。お使いのアカウントのご利用を続けたい場合には、@ActiveAccountSafe と #ActiveAccountSafe を付けてこの写真をシェアしてください。これはアクティブなユーザーの皆様に今後もサービスをご利用いただくための措置です)」
図 1. デマを拡散する Instagram アカウント @ActiveAccountSafe
このアカウントには 10 万近いフォロワーがおり、ハッシュタグ #ActiveAccountSafe も 15 万近い投稿に付けられていました。
図 2. 15 万近い投稿で使われたハッシュタグ #ActiveAccountSafe
先日も、10 万人の Instagram ユーザーが欺かれてログイン情報を提供してしまうという詐欺がありました。今回は、そのときとは異なり、Instagram のログイン情報を使ってログインするように求める指示はなく、単に写真をシェアするよう求めるだけでしたが、その意図は明白です。ソーシャルネットワークのユーザーは絶えず詐欺やスパム、デマに狙われており、こうした攻撃は成功しています。だからこそ、このような行為は後を絶たないのです。
12 月 20 日に大量のアカウントが削除されるというのはまったくのデマですので、Instagram ユーザーは心配する必要はありません。Instagram は、すでにこの偽アカウントが無効にしており、ハッシュタグも検索できないようになっています。
プライバシーポリシーの変更などがあるか確認するには、公式の Instagram アカウントをフォローし、Instagram のブログで更新情報を確認するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
寄稿: Binny Kuriakose
「Hello world(ハローワールド)」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。
スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。
差出人: Christmas Luxury <[name]@[domain].com>(特別なクリスマス <[名前]@[ドメイン].com>)
件名: A journey of Christmas luxuries(クリスマスに豪華なご旅行を)
図 1. 宿泊施設関連スパムのプレビュー
件名: XMAS PROMOTION!!(クリスマス特集!!)
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>(”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>)
図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー
差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>(”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>)
差出人: Christmas Luxury <mail@[domain].com>(特別なクリスマス <mail@[ドメイン].com>)
差出人: Chocolates Inquiry <mail@[domain].com>(チョコレートをお探しなら <mail@[ドメイン].com>)
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>(”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>)
件名: Exclusively Designed Christmas Ornaments(特別デザインのクリスマス装飾品)
件名: Delicious Christmas Chocolates !(おいしいクリスマスチョコレート!)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: A journey of Christmas luxuries(クリスマスの特別旅行)
件名: as a Christmas gift”[Brand name](クリスマスギフトに “[ブランド名] はいかが)
図 3. 名前入りギフトスパムのプレビュー
差出人: “Early x-mas shopping” <[name]@[domain].com>(”早めのクリスマスショッピング” <[名前]@[ドメイン].com>)
件名: [Brand name] Smart Phone Clearout. 55% off MSRP([ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ)
件名: Thinking about Christmas?(クリスマスのご予定はもうお考えですか)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: Great for Christmas(クリスマスに最適)
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>(”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>)
件名: Christmas coming soon!! . Are you ready for the hot selling reason.(クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス)
差出人: “[Brand name] <[name]@[domain].com>(”[ブランド名] <[名前]@[ドメイン].com>)
図 4. 模造品スパムのプレビュー
図 5. 各種商品関連スパムのプレビュー
件名: BY Christmas Drop 23lbs(クリスマスまでに 10kg 減量)
件名: Look 23lbs thinner Christmas(10kg スリムになってクリスマスを迎えましょう)
件名: Did you see me on television Thursday?(木曜日のテレビはご覧になりましたか?)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
図 6. 医薬品関連スパムのプレビュー
差出人: “Date Someone” <[name]@[domain].com>(”デートの相手を探そう” <[名前]@[ドメイン].com>)
差出人: “Senior Dating” <[name]@[domain].com>(”シニア専用出会い系” <[名前]@[ドメイン].com>)
件名: Find a hot Christian this Christmas in your area(今年のクリスマスは、お近くでホットな出会いを)
件名: Find a local love to cuddle with this Christmas(今年のクリスマスは、地元で見つけた恋人を抱きしめよう)
図 7. 出会い系スパムのプレビュー
差出人: Santa <Santa@[domain].com>(サンタ <Santa@[ドメイン].com>)
件名: Letters from Santa for your child(サンタからお子様への手紙)
図 8. 子ども向けの名前入りギフトカードスパムのプレビュー
図 9. クリスマススパムの件数を示した円グラフ
全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。
電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。
ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。
安全で楽しいクリスマスをお過ごしください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。