???????: ???????????????

      No Comments on ???????: ???????????????

creepware_title_banner.png

ラップトップコンピュータの Web カメラに目隠しを貼っている人がいます。皆さんも案外そうかもしれません。果たして、それは用心しすぎ、被害妄想、あるいはちょっと変わった行為なのでしょうか。それとも、そこまでする理由があるのでしょうか。自分のコンピュータで行動を見張られていた、あるいは Web カメラがいつの間にか侵入を受け、恥ずかしい映像や違法な動画を盗み出されて恐喝のネタにされたという話を聞いたことのある人も多いでしょう。そうした体験談は本当なのか、そして被害妄想と思えるくらい用心するのも無理もないことなのかと問われれば、残念ながら答えはイエスです。こうした行為に対する警戒は必要であり、この手の悪質な行為やもっと悪質な活動に利用できるプログラムは無数に出回っています。リモートアクセス型のトロイの木馬(RAT)は、被害者の知らないうちにインストールされるプログラムで、これにより攻撃者は侵入先のコンピュータにリモートからアクセスして、制御することができます。最近では、いつの間にか忍び寄る(Creep)その性質からクリープウェア(Creepware)とも呼ばれています。

今回のブログでは、このクリープウェアについて解説します。クリープウェアの実態と機能、これまでの被害の実状や今後、そして被害者と加害者について解明するとともに、アンダーグラウンド市場でのソフトウェアの流通から被害者の売買まで、クリープウェアの経済的側面にも検証します。最後に、クリープウェアの拡散方法と自衛手段についてもお伝えします。

詳しい説明を進める前に、まずはこちらの動画(英語)をご覧ください。この動画では、深刻化するクリープウェアの問題について知っておかねばならない内容をご紹介しています。

creepware_play_vid.png

図 1. この画像をクリックしてクリープウェアに関する動画を見る
 

クリープウェアとは

RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。

  • リモートアクセス/管理ツール(Remote Access/Administration Tool)
  • リモートアクセス型/管理型のトロイの木馬(Remote Access/Administration Trojan)

「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。

クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。
 

何が問題なのか

以前はクリープウェアもまだそれほど使われていませんでしたが、残念ながら現在では珍しくもなくなりました。クリープウェアのユーザーは、脅迫や詐欺で金儲けを狙うものから、無害な娯楽やいたずら程度にしか考えていないものまでさまざまです。両者の行為はまったく別物のように思えるかもしれませんが、どちらもコンピュータに不正にアクセスするという点では、倫理的に間違っているだけでなく、重大犯罪であることに変わりはありません。

特に懸念されるのは、クリープウェアのユーザーにモラルの欠如が感じられることです。クリープウェア専用のセクションが設けられた多数のオンラインフォーラムをざっと見れば、その傾向が如実に表れています。

creepware_blog_fig1.png

図 2. 「シャレでやっているだけ」

creepware_blog_fig2.png

図 3. 被害者に対する脅迫

こうしたフォーラムには、そもそもモラルなど持ち合わせていないユーザーが多いようですが、一部には物事の善悪についてひどく歪んだ考え方をするものもいます。あるスレッドには、クリープウェアによる RAT 行為を正当化するユーザーも存在し、信頼できない場所からプログラムをダウンロードしたりインストールしたりするほうが悪いと言って憚りません。

creepware_blog_fig3.png

図 4. 被害者に対する暴言

また別のフォーラムには、何も気付いていない被害者をただ眺めているだけなら実害はないだろうと考えているユーザーもいます。

creepware_blog_fig4.png

図 5. プライバシーの侵害を正当化

クリープウェア(リモートアクセス型のトロイの木馬)に関連する無数の投稿を見ていると、ソフトウェアをセットアップして RAT 行為を始めるための助言を求めるユーザーが果てしなく湧いて出てくるように思えます。自分たちの行為に多少なりとも罪悪感を抱いているものは少数派であり、圧倒的多数は他人のプライバシーに立ち入ることが悪いとは微塵も思っていません。それどころか、RAT 行為によって金銭を得ることさえ悪事だとは見なしていないようです。「Morals of messing with people(いたずらのモラル)」というスレッドには、自分たちの行為が正しいのか仲間の意見を求めているユーザーがいました。

creepware_blog_fig5.png

図 6. モラルをめぐる悩み

寄せられた回答は、予想どおりの内容でした。

creepware_blog_fig6.png

図 7. 「モラルなんて知るものか」

嘆かわしいことですが、クリープウェアのユーザーは被害者の受ける痛みがわからないか、あるいは気にもしていないようです。何も知らずにクリープウェアの犠牲になる人は多く、心に深い傷を負ったり、もっとひどい目に遭った人もいます。覗き行為を元に代償を求める手段のひとつが性的脅迫行為(Sextortion)で、これは身体的危害を加えない脅迫手段によって、被害者に性的な行為を強要するものです。

2013 年 8 月には、ミスティーン USA に選ばれた 19 歳のキャシディ・ウルフ(Cassidy Wolf)さんがクリープウェアの被害を受ける事件が発生しました。犯人は高校の同窓生で、彼女が寝室で着替えているところをクリープウェアを使って盗撮したのです。犯人は、その画像をインターネット上に公開すると脅して、もっと露骨な写真の撮影を強要しようとしましたが、彼女が警察に通報したことで、この高校生は逮捕され、他の国も含めて二十数人の女性たちをハッキングしていたことを認めました。

クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。

あいにく、こうした事件も、クリープウェアが実際の被害をもたらした事例のうち氷山の一角に過ぎません。被害者の多くはこの手の犯罪被害を届け出ることがなく、犯人が法の網に掛からないためです。攻撃者は盗み出したコンテンツや盗撮した画像をオンラインに公開すると言って被害者を脅迫するので、もしそうなったら一生噂がつきまとう可能性があります。一般に、このような嫌がらせやネットいじめは持続性があり、被害者が自殺に追い込まれることさえありえます。クリープウェアは、サイバーいじめにとっては理想的なツールと言えるようです。

クリープウェアと RAT は今や世界的な問題であり、世界中で悪質な目的に利用されています。

creepware_country_stats_600x600_mk2.png

図 8. 過去 6 カ月間に RAT の活動が確認された上位 5 カ国
 

クリープウェアの機能

では実際、クリープウェアを使って何ができるのでしょうか。アンダーグラウンド市場にはクリープウェアプログラムが溢れています。いくつか名前を挙げるだけでも、Blackshades(W32.Shadesrat)、DarkComet(Backdoor.Breut)、Poison Ivy(Backdoor.Darkmoon)、jRAT(Backdoor.Jeetrat)などがあり、その多くは同様の機能セットを中核に備えています。ここでは、その中から Pandora RAT(シマンテック製品では Trojan.Pandorat として検出されます)を詳しく取り上げます。

Pandora RAT を使うと、攻撃者は侵入先のコンピュータで以下のものにアクセスすることができます。

  • ファイル
  • プロセス
  • サービス
  • クリップボード
  • アクティブなネットワーク接続
  • レジストリ
  • プリンタ

加えて、攻撃者は以下のような活動を実行することも可能です。

  • 侵入先のコンピュータのデスクトップをリモートから制御する
  • スクリーンショットを取得する
  • Web カメラで映像を記録する
  • 音声を録音する
  • キーストロークを記録する
  • パスワードを盗み出す
  • ファイルをダウンロードする
  • Web ページを開く
  • 画面にメッセージを表示する
  • テキスト読み上げ機能を使って音声メッセージを再生する
  • 侵入先のコンピュータを再起動する
  • タスクバーを隠す
  • デスクトップアイコンを隠す
  • システムエラーやブルースクリーンを発生させる

使いやすさと美しいグラフィカルユーザーインターフェース(GUI)は、デザイン重視の現在では重要な要素ですが、クリープウェアでもそれは例外ではありません。Pandora RAT は、他の RAT と同じく、専門家だけでなく初心者でもすぐにマスターできる、使いやすい GUI を採用しています。かつては凄腕のハッカーしか使えなかったクリープウェアが、今やスクリプトキディからまったくの素人まで誰にでも手が出せるツールになってきたのです。

creepware_screen_shots_600x600_mk2.png

図 9. Pandora RAT のわかりやすいユーザーインターフェース

クリープウェアの使用目的は多種多様です。

  • 盗撮
    被害者の Web カメラやマイクを使って、密かに録音や録画を行う。
  • 情報やファイルの窃盗
    銀行口座やパスワードといった情報、画像や動画などのファイルをコピーまたは削除する。
  • 恐喝/性的脅迫行為
    コンピュータから盗み出した、または Web カメラを使って撮影した画像や動画を使って被害者を脅迫し、もっと露骨な画像や動画を撮影するためにポーズを取ることや性的な行為を強要したり、金銭を要求したりする。
  • 荒らしや煽り
    アダルト系やショッキングな Web サイトを開く、罵倒するメッセージを表示する、システムに損害を与えるなど、コンピュータに異常な動作を起こさせて、ただそれを見て楽しむ。
  • コンピュータを利用して DDoS 攻撃などを仕掛ける
    侵入先のコンピュータを利用して、分散サービス拒否攻撃(DDoS)や Bitcoin マイニングなど、被害者のリソースを悪用することで利益を得る何らかの行為を実行する。
     

クリープウェアの経済的側面

アンダーグラウンド経済においてクリープウェアは大きな市場であり、ソフトウェア販売を中心に急成長を遂げています。クリープウェア自体は、開発者自身の Web サイトや、ハッキング関連フォーラムに掲載されている広告から購入できます。そうしたフォーラムでは、FUD クリプターや JDB ジェネレータ、あるいはスレーブの広告がいくらでも見つかります。ここで挙げている用語を見慣れていない方は、定義を以下にまとめましたのでご覧ください。

  • FUD: 完全に検出不可(セキュリティベンダーによっても)。
  • クリプター: 実際のバイトをスクランブル化して検出されにくいようにファイルを再編成するツール。
  • JDB: Java ドライブバイ。Java アプレットを Web サイトに配置し、ユーザーがそのサイトにアクセスするとポップアップを表示してユーザー権限を要求する。権限が付与されると、クリープウェアがダウンロードされる。
  • スレーブ: クリープウェアに感染したコンピュータ。

難しそうに見えるかもしれませんが、クリープウェアをセットアップしたいと思ったら誰でも、作業代行を引き受ける「専門家」を見つけ出せば、それで済みます。サービスによって価格は大きく異なります。無料のクリープウェアや RAT も見つかりますが、有償版でも上限は 250 ドルほどで、FUD 暗号化やセットアップ費用といった追加コストが 20 ドルから 50 ドルです。しかし昨今のご多分に漏れず、オンラインで質問すれば無償で助言や説明を入手することができます。クリープウェアに関連するツールやヒント、手口などについて自分の知識を他人に伝えたいと考えているユーザーはたくさんいます。
 

自衛のために何ができるか

コンピュータをクリープウェアに感染させるには、以下の手法が考えられます。

  • ドライブバイダウンロード: Web サイトにアクセスすると、知らない間にクリープウェアがコンピュータにダウンロードされる。
  • 悪質なリンク: ドライブバイダウンロードをホストしている Web サイトにユーザーを誘導する悪質なリンク。ソーシャルメディア、チャットルーム、掲示板、スパムメールなどを使って拡散される。また、ユーザーアカウントを乗っ取って、友人から送信されたリンクのように見せかけたり、魅力的なメッセージで被害者を誘ったりする。
  • 悪用ツールキット: 感染した Web サイトにアクセスしたり、悪質なリンクをクリックしたりすることで、悪用ツールキットがホストされている Web サイトにリダイレクトされる。そこで、どの悪用コードを利用できるかを判別するスクリプトが実行され、悪用が可能な場合、クリープウェアに感染し攻撃者に通知される。
  • ピアツーピアファイル共有/torrent: クリープウェアサーバーのインストーラが、人気のあるプログラムやゲームクラックなどのファイルにパッケージ化され、共有サイトで共有される。このファイルを実行すると、クリープウェアサーバーモジュールがインストールされる。

クリープウェアから保護するために、シマンテックは以下のことを推奨します。

  • ウイルス対策定義、オペレーティングシステム、ソフトウェアを常に最新の状態に保つ。
  • 不明な送信者からの電子メールは開かず、疑わしい添付ファイルもクリックしない。
  • 電子メールやインスタントメッセージで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • ファイルは、信頼できる正規のソースだけからダウンロードする。
  • Web カメラが想定外の動作をしたら警戒する。Web カメラを使わない場合にはシャッターを閉じる。シャッターがなければ、使わないときにはテープなどで Web カメラをふさぐ。

現在、コンピュータは生活の中で大きな役割を占めています。これほど普及しているツールが、攻撃者の道具となって私たちのプライバシーを脅かすというのは、考えるだけでも恐ろしいことです。クリープウェアには確かに甚大な被害を及ぼす機能がありますが、しかるべき対策を講じることで自衛することが可能です。セキュリティソフトを常に最新の状態に保ち、基本的なセキュリティ対策に従っていれば、コンピュータにクリープウェアが忍び寄る心配はありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Default Chromeless Player

avast! File Server Security wins Virus Bulletin award with ease

Our high-performance avast! File Server Security software continues its run of perfect detection rate scores and excellent performance in the latest Virus Bulletin test concluded in October 2013. The experts at VB’s labs said, “Avast hasn’t missed a VB100 comparative since 2007, and has maintained an impressive level of passes as well as keeping the […]

Previsões da Symantec para 2014

      No Comments on Previsões da Symantec para 2014

O segredo para qualquer previsão no segmento de segurança virtual é procurar ouvir o sussurro ou ver aquilo que parece estar escondido. Veja abaixo as quatro tendências de segurança apontadas pela companhia para 2014:

As Pessoas Finalmente Tomarão Medidas Para Manter Suas Informações Seguras

Durante este ano, questões relacionadas à privacidade foram manchete e serviram para despertar as pessoas e empresas sobre a quantidade de informações compartilhadas pela Web todos os dias e no mundo todo. Por isso, será comum encontrar softwares de segurança – novos ou já existentes – que contemplem a proteção de informações pessoais como uma característica principal do produto. Além disso, como parte da precaução online, a Symantec aponta um aumento no número de usuários adotando codinomes e nomes falsos em redes sociais. Neste contexto, os adolescentes liderarão este comportamento e facilitarão o encontro na obscuridade da Internet.

Nenhuma Rede Social é Pequena Demais Para Ser Ignorada Pelos Criminosos

Qualquer rede social que atraia usuários também chamará atenção dos golpistas e criminosos virtuais. Infelizmente, os usuários não estão protegidos completamente em meios colaborativos, por mais que acreditem estar se relacionando apenas com parentes e amigos. É muito importante que as pessoas sempre sigam as boas práticas de segurança, inclusive nas mídias sociais. Por exemplo, verificar a procedência da rede social antes de oferecer qualquer tipo de informação; manter o nome completo e endereço em sigilo quando acessa um perfil social; e antes de postar qualquer tipo de informação pessoal ou profissional e fotos pessoais pense duas vezes, afinal, nunca sabemos quem está vendo a sua identidade virtual.

A Internet Nas Coisas Se Torna Alvo Das Vulnerabilidades

A adoção crescente de dispositivos móveis conectados à Internet é o imã para os cibercriminosos. Este cenário faz com que pesquisadores na área de segurança descubram ataques recentes contra TVs inteligentes, equipamentos médicos e câmeras de segurança, por exemplo, todos conectados à Web. No mundo real, babás eletrônicas foram alvos e houve relato de que o tráfego foi interrompido em um importante túnel de Israel por conta de hackers que teriam acessado sistemas online a partir de câmeras de segurança.

Por isso, fornecedores de software de segurança alertam constantemente às empresas e pessoas que além de construírem redes integradas de comunicação e conectividade, é importante que haja a proteção destes ambientes virtuais aliados a comportamentos virtuais seguros. Afinal, qualquer vulnerabilidade basta para uma invasão cibernética.

Aplicativos Móveis Podem Trair o Usuário

Os smartphones fazem parte da vida dos usuários, tanto que, segundo o Norton Report 2013, 48% das pessoas dorme com seus dispositivos. A importância é tamanha que as pessoas podem ser facilmente enganadas por eles. Recentemente, a Symantec relatou que um App garantiria, supostamente, a maior quantidade de “curtir” em publicações no Instagram. Bastava que o usuário oferecesse o login e senha a um cibercriminosos russo. Ao todo, mais de 100 mil pessoas não viram problema nenhum neste comportamento. Esta alta confiabilidade dos aparelhos móveis será o foco dos criminosos virtuais em 2014.

Infografico Previsoes 2014 FN PORT.jpg

Christmas time! Do you want a malware present?

      No Comments on Christmas time! Do you want a malware present?

Christmas time is essentially connected with buying presents. There’s a lot of stuff to be done and a lot of opportunities to buy a present in an e-shop to save time. Who doesn’t know someone who buys a Christmas gift online? The malware authors know and are very keen to take advantage of it. We […]

EASTERN EUROPE, CYBERCRIME – AND WHY CODE SIGNING IS VITAL

More and more software developers in the UK and US are looking to Eastern Europe to get their code written. After all, it can be done far more cheaply there, as well as offering an abundance of choice. Indeed, code writing ‘houses’ in Eastern Europe are proliferating in response to this demand – from one-man bands to sizeable operations. So any developer intent on keeping their costs down, and often along with the promise of a quick turnaround, has the perfect scenario for having their software code written there, right?

Not necessarily. Because cheap is not good if the code that’s written becomes compromised in any way. And when you, the developer, are possibly thousands of miles away from whoever is writing your code, you need to be even more sure of those into whose hands you are entrusting this process.

Certainly, there are many highly reputable enterprises in Eastern Europe that provide this service and deliver to the highest standards. But this is also a region where, not unlike other areas of the world, cybercrime has soared with the rapid growth of ecommerce and emergence of a more stable, faster Internet. Software that has not been adequately protected is an irresistible target for them, as indeed it is wherever cybercrime rears its head.

No doubt we can all recall incidents where the cybercriminals have struck hard. There was the ‘Zeus’ virus scam, used to steal around £675,000 from the bank accounts of some 3,000 on-line UK customers, while, earlier this year, US federal authorities charged three men with building and disseminating a virus that crippled NASA computers and brought in tens of millions of dollars for the East European-based cybercriminals.

And then there’s Alexsey Belan, for whom the FBI is offering a reward of up to $100,000 for information leading to his arrest. Belan is alleged to have penetrated the computer networks of three major US-based e-commerce companies, stealing their user databases and the encrypted passwords of millions of accounts, and then selling these on. Only look on the FBI’s website listing of ‘Cyber’s Most Wanted’ and you will find many more such examples of cybercriminals active in the region.

“Global cybercrime is arguably the biggest underworld industry of our times,” said Nir Kshetri, in the  report, ‘Cybercrime and Cybersecurity in the Global South’[1]. “Global forces and technologies such as mobile phones, social media and cloud computing are shaping the structure of the global cybercrime industry, estimated at US$1 trillion. Many of the economies in the Former Soviet Union and Central and Eastern Europe (FSU&CEE) have become top cybercrime hotspots.

“Cybercrime rings in these economies have mastered complex tricks and have increased pervasiveness and sophistication of cyberfrauds. Sophisticated frauds, such as cyberextortion, distributed denial-of-service (DDoS) attacks and hijacking users’ searches and clicks, involve a complex fusion of strategy, technology, processes and people,” he states.

“Corruption, the lack of sufficiently high penalties, ineffective, inefficient, inadequate and weak legislation and lax law enforcement have fuelled cybercrime,” Kshetri adds.

So, no matter how compelling your latest application or functionality may be, any vigilant customer will be aware of such dangers and see potential risk in installing your code, fearful that they might be putting malware on their computers, smartphones and other devices. Once unleashed, malicious code can wreak havoc, stealing personal and financial data, damaging files and systems, and compromising confidential information. Malware also poses a serious threat to the mobile environment, slipping into application stores and becoming a threat to anyone who downloads such infected applications.

Fixing the damage can exact a huge toll on those stores – in terms of time, money and disruption. And the damage goes deeper. Because, when application stores lose the trust of their customers, wireless providers and device manufacturers can lose customers, too. The ‘domino’ effect hurts everyone.

So, any developer keen to reap the upsides of Eastern Europe needs to be mindful of the downsides and ensure that the systems to protect their applications are in place. And that brings us to the good news. Software vendors and developers can digitally sign and timestamp the software they distribute over the Internet – known as ‘Code Signing’ – to demonstrate that their applications are safe, secure and trustworthy.

With code signing, everything starts from a position of trust – trust that the apps and downloads that customers install are free from viruses, spyware, or any other alteration or tampering that might compromise or damage their systems. And that isn’t all that’s at stake. Get it wrong and your hard-won brand and reputation could soon be in tatters.

This is where code signing solutions from Symantec come in to play, creating what is essentially a ‘digital shrink wrap’ for secure distribution of code and content over the Internet. Not only does this protect your software, but also it gives customers all the information they need to download and install your software with complete confidence.

Here’s how it works. When you are ready to publish new software and make it available on line, Symantec’s solutions enable you sign and timestamp your code, using a secure private key and digital certificate. The latter includes an encryption hash that allows customers to see all of the information in your digital certificate when they download your application, verifying your identity as the publisher, and confirming the integrity and trustworthiness of your software.

Also, Symantec fully supports multiple computing and mobile platforms, including an EV (Extended Validation) code signing solution that enhances the levels of trust on the latest operating systems, browsers and security software. Another plus for developers is that Symantec has partnered with Microsoft to integrate EV Code Signing certificate status with its SmartScreen reputation services in Internet Explorer and Windows 8. That means programs signed by an EV Code Signing certificate can immediately establish reputation with Microsoft’s SmartScreen, even if no prior reputation exists for that file or publisher; so, potentially there will be fewer warning messages flagged up when a user tries to run your application.

Ensuring that your software has these highest levels of authentication in place protects your brand every time and strengthens the trust relationships that make your business successful.

And with such protections in place, looking to Eastern Europe for the many code writing advantages it promises may well be a move that allows you to sleep that much easier at night.

 

??????????????????????

      No Comments on ??????????????????????

ロシア語のスパムに見られる最新の傾向として、スパマーは一攫千金話の手口を使い始めています。今回のサンプルでは、バイナリオプション取引で簡単にお金が儲かるという謳い文句が使われています。

シマンテックが確認したサンプルには、人目を引く件名を使うという典型的なスパムの特徴が見られます。毎月膨大な金額を稼いでいる人がいると煽って、スパムを受け取ったユーザーの注意を引きつけようとしています。

このスパムは、ロシアで最大の無料電子メールサービス mail.ru から送信されており、アカウント名は、件名に関連している人物の年齢を示唆しています。ヘッダーを翻訳すると次のような内容です。

件名: $3700 a month – this retiree making more than you?(毎月 3700 ドル。定年退職しているのに、あなたより稼いでるって?)
差出人: pensioner.vladimir @mail.ru

これは特に、多くの人々が散財しがちなホリデーシーズンには巧妙な手口です。

figure_0.jpg

図. 年金生活者が大金を稼いでいると謳うスパムメールのサンプル

電子メールの本文には、サマラ地区の年金生活者がバイナリオプションを使って膨大な収入を得ているという広告が掲載され、詳しいことを知りたい場合はハイパーリンクをクリックするように書かれています。リンク先は実際には乗っ取られたドメインであり、2008 年に maxuz.com という Web デザイン会社によって登録されたものでした。このドメインは、主に他のドメインへのリダイレクトに使われています。binarytraders.ru という別のドメインはもっと新しく、2013 年 8 月に登録されたばかりです。この手のスパム専用に作成されたと思われます。このドメインのメインページには、バイナリオプション取引の魅力が書かれ、詳しい手順を説明するビデオも紹介されています。そのうえで、バイナリオプションは今インターネット上で利用できる最も有利な金儲けの手段であると付け加えています。

シマンテックはこのスパムを遮断していますが、ユーザーの皆さんもクリスマスシーズンにはいつも以上に警戒し、一攫千金話の手口にはくれぐれもご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Browser Ransomware tricks revealed

      No Comments on Browser Ransomware tricks revealed

It’s not surprising that scared people are the most vulnerable to attacker’s traps, and there is no reason to think it will work differently with computer users. Using this psychology, cybercrooks show an unaware victim an alert page claiming to have found that banned pornography was viewed or stored on their computer. The message goes […]

Spammers leverage Binary Options trading hype

      No Comments on Spammers leverage Binary Options trading hype

The latest trend in Russian language spam shows that spammers have started promoting MMF (Make Money Fast) schemes where money can easily be made with the use of Binary Options trading.

The sample observed by Symantec has the usual, spam traits including a “catchy” subject which highlights a large sum of money someone is making every month, to grab the attention of spam recipient.

The spam is sent from mail.ru, the largest free email service in Russia, with the account name stating the age of the person linking it to the subject line. The header is as followed when translated into English: 

Subject: $3700 a month – this retiree making more than you?
From: pensioner.vladimir@mail.ru

This is quite a good trick especially before the festive season when many people are stretched with finances.

figure.jpg

Figure. A sample of spam email which highlights a pensioner making a lot of money

The body of the message advertises Samara region pensioner’s high income made with the help of Binary Code, and the user is then asked to click on hyperlink to get more information. The hyperlink is in fact a hijacked domain, registered in 2008 which belongs to web design company maxuz.com. It is mainly used for redirection to another domain.

The other domain named binarytraders.ru is registered more recently in August 2013 and is likely to have been created specifically for this kind of spam. The domain’s main page has a list of advantages on why one should be involved in Binary Code trading along with a video with full instructions. It also adds that Binary Options is currently the biggest money making tool available on the internet.

Symantec has blocked this spam, but we wish to remind users to be more alert this Christmas season and beware of quick money schemes.

?????????????Microsoft Patch Tuesday?- 2013 ? 12 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、24 件の脆弱性を対象として 11 個のセキュリティ情報がリリースされています。このうち 10 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 12 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Dec

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-102 Windows のローカルプロシージャコールの脆弱性により、特権が昇格される(2898715)

    LPC サーバーのバッファオーバーランの脆弱性(CVE-2013-3878)MS の深刻度: 重要

    Microsoft ローカルプロシージャコール(LPC)に特権昇格の脆弱性が存在します。攻撃者が特別に細工した LPC ポートメッセージを使うと、LPC クライアントまたはサーバー上でスタックベースのバッファオーバーフロー状態が発生します。

  2. MS13-097 Internet Explorer 用の累積的なセキュリティ更新プログラム(2898785)

    Internet Explorer セキュリティ機能回避の脆弱性(CVE-2013-5045)MS の深刻度: 重要

    Internet Explorer に特権昇格の脆弱性が存在します。ローカルファイルインストールを検証するとき、またはレジストリキーを安全に作成するときに、Internet Explorer の拡張保護モード制限が回避されます。

    Internet Explorer セキュリティ機能回避の脆弱性(CVE-2013-5046)MS の深刻度: 重要

    Internet Explorer に特権昇格の脆弱性が存在します。ローカルファイルインストールを検証するとき、またはレジストリキーを安全に作成するときに、Internet Explorer の拡張保護モード制限が回避されます。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-5047)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-5048)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-5049)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-5051)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-5052)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  3. MS13-100 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される(2904244)

    SharePoint ページコンテンツの脆弱性(CVE-2013-5059)MS の深刻度: 重要

    Microsoft SharePoint Server には、リモートコード実行の脆弱性が存在します。認証された攻撃者がこれらの脆弱性の悪用に成功すると、W3WP サービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。

  4. MS13-104 Microsoft Office の脆弱性により、情報漏えいが起こる(2909976)

    トークンのハイジャックの脆弱性(CVE-2013-5054)MS の深刻度: 重要

    悪質な Web サイト上にホストされている Office ファイルを開こうとしているとき、影響を受ける Microsoft Office ソフトウェアが特別に細工された応答を適切に処理できない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となる SharePoint または他の Microsoft Office サーバーサイトで現在のユーザーの認証に使うアクセストークンを確認できる場合があります。

  5. MS13-096 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(2908005)

    Microsoft Graphics コンポーネントのメモリ破損の脆弱性(CVE-2013-3906)MS の深刻度: 緊急

    影響を受ける Windows コンポーネントや、影響を受けるその他のソフトウェアが特別に細工された TIFF ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、共有コンテンツ内の TIFF ファイルをユーザーが表示した場合に、リモートでコードが実行される場合があります。

  6. MS13-101 Windows カーネルモードドライバの脆弱性により、特権が昇格される(2880430)

    Win32k のメモリ破損の脆弱性(CVE-2013-3899)MS の深刻度: 重要

    Win32k.sys カーネルモードドライバがメモリ内のアドレス値を検証する方法が原因で、特権昇格の脆弱性が存在します。

    Win32k の解放後使用の脆弱性(CVE-2013-3902)MS の深刻度: 重要

    Microsoft Windows カーネルに、特権昇格の脆弱性が存在します。この脆弱性は、Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に起こります。

    TrueType フォントの解析の脆弱性(CVE-2013-3903)MS の深刻度: 重要

    Microsoft Windows カーネルに、サービス拒否の脆弱性が存在します。この脆弱性は、特別に細工された TrueType フォントファイルを Windows カーネルが正しく処理しない場合に起こります。

    Port-Class ドライバのダブルフェッチの脆弱性(CVE-2013-3907)MS の深刻度: 重要

    Windows オーディオの Port-Class ドライバ (portcls.sys) がメモリ内のオブジェクトを処理する方法が原因で、特権昇格の脆弱性が存在します。

    Win32k の整数オーバーフローの脆弱性(CVE-2013-5058)MS の深刻度: 重要

    Win32k.sys カーネルモードドライバがメモリ内のオブジェクトを処理する方法が原因で、サービス拒否の脆弱性が存在します。

  7. MS13-099 Microsoft Scripting Runtime オブジェクトライブラリの脆弱性により、リモートでコードが実行される(2909158)

    Microsoft Scripting Runtime オブジェクトライブラリの解放後使用の脆弱性(CVE-2013-5056)MS の深刻度: 緊急

    メモリ内のオブジェクトを処理する際のメモリ破損エラーが原因で、Microsoft Scripting Runtime オブジェクトライブラリにリモートコード実行の脆弱性が存在します。

  8. MS13-106 Microsoft Office 共有コンポーネントの脆弱性により、セキュリティ機能が回避される(2905238)

    HXDS ASLR の脆弱性(CVE-2013-5057)MS の深刻度: 重要

    Address Space Layout Randomization(ASLR)を適切に実装しない Office 共有コンポーネントに、セキュリティ機能回避の脆弱性が存在します。

  9. MS13-103 ASP.NET SignalR の脆弱性により、特権が昇格される(2905244)

    SignalR XSS の脆弱性(CVE-2013-5042)MS の深刻度: 重要

    ASP.NET SignalR に特権昇格の脆弱性が存在するため、攻撃者は標的となるユーザーのコンテキストでリソースにアクセスできる場合があります。

  10. MS13-098 Windows の脆弱性により、リモートでコードが実行される(2893294)

    WinVerifyTrust Signature Validation の脆弱性(CVE-2013-3900)MS の深刻度: 重要

    WinVerifyTrust 機能がポータブル実行可能(PE)ファイルに対する Windows Authenticode Signature Verification を処理する方法に、リモートコード実行の脆弱性が存在します。

  11. MS13-105 Microsoft Exchange Server の脆弱性により、リモートでコードが実行される(2915705)

    MAC 無効の脆弱性(CVE-2013-1330)MS の深刻度: 緊急

    Microsoft Exchange Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Outlook Web Access(OWA)サービスアカウントのコンテキストで任意のコードを実行できる場合があります。

    OWA XSS の脆弱性(CVE-2013-5072)MS の深刻度: 緊急

    Microsoft Exchange Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Outlook Web Access(OWA)サービスアカウントのコンテキストで任意のコードを実行できる場合があります。

    Oracle Outside In に悪用される恐れのある複数の脆弱性(CVE-2013-5763)MS の深刻度: 緊急

    Exchange Server 2007、Exchange Server 2010、Exchange Server 2013 に、WebReady ドキュメント表示機能によるリモートコード実行の脆弱性が存在します。この脆弱性により、特別に細工されたファイルをユーザーが Outlook Web Access を使ってブラウザで参照した場合に、LocalService アカウントとしてリモートでコードが実行される可能性があります。

    Oracle Outside In に悪用される恐れのある複数の脆弱性(CVE-2013-5791)MS の深刻度: 緊急

    Exchange Server 2007、Exchange Server 2010、Exchange Server 2013 に、WebReady ドキュメント表示機能によるリモートコード実行の脆弱性が存在します。この脆弱性により、特別に細工されたファイルをユーザーが Outlook Web Access を使ってブラウザで参照した場合に、LocalService アカウントとしてリモートでコードが実行される可能性があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – December 2013

      No Comments on Microsoft Patch Tuesday – December 2013

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eleven bulletins covering a total of 24 vulnerabilities. Ten of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the December releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Dec

The following is a breakdown of the issues being addressed this month:

  1. MS13-102 Vulnerability in Windows Local Procedure Call Could Cause Elevation of Privilege (2898715)

    LPC Server Buffer Overrun Vulnerability (CVE-2013-3878) MS Rating: Important

    An elevation of privilege vulnerability exists in Microsoft Local Procedure Call (LPC) where an attacker uses a specially crafted LPC port message to cause a stack-based buffer overflow condition on either the LPC client or server.

  2. MS13-097 Cumulative Security Update for Internet Explorer (2898785)

    Internet Explorer Security Feature Bypass Vulnerability (CVE-2013-5045) MS Rating: Important

    An elevation of privilege vulnerability exists within Internet Explorer, which bypasses Internet Explorer Enhanced Protected Mode restrictions during the validation of a local file installation and during the secure creation of registry keys.

    Internet Explorer Security Feature Bypass Vulnerability (CVE-2013-5046) MS Rating: Important

    An elevation of privilege vulnerability exists within Internet Explorer, which bypasses Internet Explorer Enhanced Protected Mode restrictions during the validation of a local file installation and during the secure creation of registry keys.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-5047) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-5048) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-5049) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-5051) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-5052) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  3. MS13-100 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2904244)

    SharePoint Page Content Vulnerabilities (CVE-2013-5059) MS Rating: Important

    Remote code execution vulnerabilities exist in Microsoft SharePoint Server. An authenticated attacker who successfully exploited these vulnerabilities could run arbitrary code in the security context of the W3WP service account.

  4. MS13-104 Vulnerability in a Microsoft Office Could Allow Information Disclosure (2909976)

    Token Hijacking Vulnerability (CVE-2013-5054) MS Rating: Important

    An information disclosure vulnerability exists when the affected Microsoft Office software does not properly handle a specially crafted response while attempting to open an Office file hosted on the malicious website. An attacker who successfully exploited this vulnerability could ascertain access tokens used to authenticate the current user on a targeted SharePoint or other Microsoft Office server site.

  5. MS13-096 Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution (2908005)

    Microsoft Graphics Component Memory Corruption Vulnerability (CVE-2013-3906) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the affected Windows components and other affected software handle specially crafted TIFF files. The vulnerability could allow a remote code execution if a user views TIFF files in shared content.

  6. MS13-101 Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2880430)

    Win32k Integer Overflow Vulnerability (CVE-2013-3899) MS Rating: Important

    An elevation of privilege vulnerability exists in the way that the Win32k.sys kernel-mode driver validates address values in memory.

    Win32k Use After Free Vulnerability (CVE-2013-3902) MS Rating: Important

    An elevation of privilege vulnerability exists in the Microsoft Windows kernel. This vulnerability is caused when the Windows kernel improperly handles objects in memory.

    TrueType Font Parsing Vulnerability (CVE-2013-3903) MS Rating: Important

    A denial of service vulnerability exists in the Microsoft Windows kernel. This vulnerability is caused when the Windows kernel improperly processes a specially crafted TrueType font file.

    Port-Class Driver Double Fetch Vulnerability (CVE-2013-3907) MS Rating: Important

    An elevation of privilege vulnerability exists in the way that the Windows audio port-class driver (portcls.sys) handles objects in memory.

    Win32k Integer Overflow Vulnerability (CVE-2013-5058) MS Rating: Important

    A denial of service vulnerability exists in the way that the Win32k.sys kernel-mode driver handles objects in memory.

  7. MS13-099 Vulnerability in Microsoft Scripting Runtime Object Library Could Allow Remote Code Execution (2909158)

    Use-After-Free Vulnerability in Microsoft Scripting Runtime Object Library (CVE-2013-5056) MS Rating: Critical

    A remote code execution vulnerability in the Microsoft Scripting Runtime Object Library that occurs due to a memory-corruption error when handling an object in memory.

  8. MS13-106 Vulnerability in a Microsoft Office Shared Component Could Allow Security Feature Bypass (2905238)

    HXDS ASLR Vulnerability (CVE-2013-5057) MS Rating: Important

    A security feature bypass exists in an Office shared component that does not properly implement Address Space Layout Randomization (ASLR).

  9. MS13-103 Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244)

    SignalR XSS Vulnerability (CVE-2013-5042) MS Rating: Important

    An elevation of privilege vulnerability exists in ASP.NET SignalR that could allow an attacker access to resources in the context of the targeted user.

  10. MS13-098 Vulnerability in Windows Could Allow Remote Code Execution (2893294)

    WinVerifyTrust Signature Validation Vulnerability (CVE-2013-3900) MS Rating: Important

    A remote code execution vulnerability exists in the way that the WinVerifyTrust function handles the Windows Authenticode signature verification for portable executable (PE) files.

  11. MS13-105 Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2915705)

    MAC Disabled Vulnerability (CVE-2013-1330) MS Rating: Critical

    An elevation of privilege vulnerability exists in Microsoft Exchange Server. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the Outlook Web Access (OWA) service account.

    OWA XSS Vulnerability (CVE-2013-5072) MS Rating: Critical

    An elevation of privilege vulnerability exists in Microsoft Exchange Server. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the Outlook Web Access (OWA) service account.

    Oracle Outside In Contains Multiple Exploitable Vulnerabilities (CVE-2013-5763) MS Rating: Critical

    Remote code execution vulnerabilities exist in Exchange Server 2007, Exchange Server 2010, and Exchange Server 2013 through the WebReady Document Viewing feature. The vulnerabilities could allow a remote code execution as the LocalService account if a user views a specially crafted file through Outlook Web Access in a browser.

    Oracle Outside In Contains Multiple Exploitable Vulnerabilities (CVE-2013-5791) MS Rating: Critical

    Remote code execution vulnerabilities exist in Exchange Server 2007, Exchange Server 2010, and Exchange Server 2013 through the WebReady Document Viewing feature. The vulnerabilities could allow a remote code execution as the LocalService account if a user views a specially crafted file through Outlook Web Access in a browser.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.