Trend Micro Releases Video Series Predicting Cultural Impact of Technology by Year 2020
Cinematic vision highlights digital influence on society and cyber security implications
Cinematic vision highlights digital influence on society and cyber security implications
11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。
シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。
この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
図. この脆弱性を悪用する攻撃の分布図
シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。
この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。
いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。
シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。
この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
図. この脆弱性を悪用する攻撃の分布図
シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。
この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。
いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。
シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。
この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
図. この脆弱性を悪用する攻撃の分布図
シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。
この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。
いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On November 27, Microsoft issued a security advisory regarding the recent discovery of a zero-day vulnerability in a kernel component of Windows XP and Windows Server 2003. The advisory states that the Microsoft Windows Kernel ‘NDProxy.sys’ Local Privilege Escalation Vulnerability (CVE-2013-5065) can allow an attacker to execute arbitrary code with kernel-level privileges. Successful exploits will result in the complete compromise of affected computers.
Symantec is aware of the attacks attempting to exploit the vulnerability and confirms the attacks have been active since the beginning of November. The attack arrives as a malicious PDF file with file names such as syria15.10.pdf or Note_№107-41D.pdf, likely by an email attachment, although there is a possibility that targeted users are being enticed to download the malicious file from a website prepared by the attacker.
Upon successful exploitation of the vulnerability, another malicious file, observed since mid-October, is dropped onto the compromised computer which Symantec detects as Trojan.Wipbot. This Trojan collects system information and connects to a command-and-control (C&C) server. Symantec telemetry is currently reporting a small number of detections for malicious PDFs in various countries including India, Australia, United States, Chile, Hungary, Germany, Norway, and Saudi Arabia.
Figure. Distribution of attacks exploiting the vulnerability
Symantec may also detect this attack as Trojan.Pidief and Suspicious.Cloud.7.F. The following antivirus detection and Intrusion Prevention System (IPS) signature has also been added to detect the exploit code and block any downloads:
No patch is available for the Windows vulnerability, however, Microsoft has provided a workaround in its security advisory.
As always, we recommend computers be kept up to date with the latest software patches and to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.
In the past year we have seen a number of security related stories in the Finish media.
Spring saw one of the Nordic region’s largest banks forget to renew the SSL certificate that secured their new online banking site. This unfortunately is not a rare phenomenon ,and companies such as Google , Twitter, and LinkedIn have all experienced similar certificate expiry issues. Consumers are advised, however, to be cautious online and pay heed to warning messages they see in their web browsers, my colleague Andy Horbury wrote about a similar incident recently
Another blunder highlighted in the press happened a few weeks after, when the Certificate Authority used to issue certificates on some local government sites advised users that the site they were visiting was no longer to be trusted. This was simply due to the fact that they had used a CA whose root certificate was not trusted in the Mozilla browser – Firefox. Imagine securing your site with an SSL certificate that works for everyone apart from Firefox users cannot and then compounding that by giving visitors the horrendous advice to ignore any browser warnings they might see when visiting this site. Today this issue has been fixed and the site in question has changed the SSL to a to trusted CA. However, I can’t even imagine how this advice from a powerful entity affected consumers and what this means for trust online if they can simply ignore browser warnings in my opinion and that of any IT professional this is pure nonsense.
Shopping at your own risk
The third incident, in the news coverage was the report regarding the part that Finns were playing in an international group of hackers. The young man in question has hacked sites in relative peace and quiet for the last couple of years beavering away diligently scouring Finnish discussion forums and gaming sites, for user names, passwords and credit card information, as well as anything else he could find. Were the sites he targeted protected by SSL certificates ? Unfortunately, not.
Sadly in too many instances SSL encryption is often forgotten when securing servers and websites. By not taking security as seriously as they should companies are playing a dangerous game with their own brand and reputation. As we saw in the Symantec ISTR report cybercriminals are increasingly targeting not only banks and large organizations but also much smaller businesses because they are viewed as being very attractive and lucrative targets.
Brand building and winning consumer confidence does not happen overnight, but comes as a result of many hours of work , sleepless nights and meetings after meetings… yet all this can be put at risk from the simplest mistake you make. By letting a certificate expire, using a mistrusted CA and even giving the wrong advice about security online you are building your business on foundations of sand.
If they can’t see it, how can they know?
I myself was recently talking about the information security to business students . Before I told them about the existence of SSL certificates I showed them these two sites and asked which of the two sites are safe :
From there, came the reply like from the pharmacy shelf , one of the students pointed the one on the right hand side even thinking about it. When I asked the reasons for the choice he replied : ” Well.. there’s that green address bar there. ” Yes! Too bad I didn’t record this session, I would’ve forwarded the recording to some IT people..
Today’s online consumer , a young student chose the Extended Validation certificate certified site without knowing about all its technical features – intuitively they knew what looked safe and would put their money where their mouth is when it came to purchasing on a site like this.
Customers and the company’s protection of information is not a staggeringly large investment. Creating brand awareness and brand status are key when it comes to maintaining a trustworthy reputation part of the investment in your brand should be to make purchases from reliable partners – the same applies to security contracts. Security should no longer be purchased acquired with “as long as we have something there” attitude. If you feel that you don’t have the knowledge or resources you can always get this from your trusted service providers.
(Finnish) companies should be prouder of their brands – and protect them accordingly.
スイスで、ある裁判官が、ソーシャルネットワークに投稿したコメントについて罰金の支払いを若者に命じる判決がありました。報道によると、この若者はソーシャルネットワーク上の 290 人の友人から自分の誕生日に届いたお祝いのコメントが足りないと感じたと言います。若者が投稿したコメントは、ざっと翻訳するとこんな内容でした。「誰も僕の誕生日を祝ってくれないんだな(中略)みんな、ぶっ殺してやる。今さら後悔しても、もう手遅れだよ。バーン、バーン、バーン」若者は後から、このコメントはただの嫌みのつもりで殺人の意図はなかったと釈明しましたが、裁判官はこのコメントにユーモアを認めず罰金の支払いを命じました。
これは、最近頻繁に起きている偽の脅迫的な投稿のほんの一例にすぎません。なかには、「Facebook で脅迫的な内容」を投稿したとしてテキサス州の 10 代の若者が禁固 5 カ月の判決を受けたように、もっと重い処罰を受けた例もあります。脅迫と受け取られかねないコメントは、たちまち地元当局の目にとまって手痛い結果をもたらす可能性があります。
ウインクの顔文字を付けたところで、冗談だという意図を示すには足りないということを忘れないでください。司法当局は脅迫を冗談とは見なさず、顔文字は通用しません。写真でもコメントでも、ソーシャルネットワークに投稿する前には十分に考慮することが肝心です。
ソーシャルネットワーク上のコンテンツは、またたく間に広まります。たとえば今年の初めにも、人気のスマートフォンアプリに関するデマメールが飛び交いました。デマにはいくつものパターンがありましたが、あるメッセージはコンピュータで生成された音声で「Send this message in the next 20 minutes to 20 friends or you will be dead by tomorrow.(20 分以内に 20 人の友人にこのメッセージを転送せよ。さもないと明日までの命だ)」と告げるものでした。通常であれば、これほど露骨であれば、受信したユーザーは誰も相手にせずメッセージを削除して終わるはずでした。ところが、このとき使われたのは 10 代に非常に人気のあるインスタントメッセージサービスだったため、多くの学生が怖がり、心配して次々とメッセージを転送したのです。ドイツではこのデマが山火事のように広まり、あまりに多くの未成年者の間に広がったため、このデマメールについて警察が警告を始めたほどです。
どのような内容でも、オンラインに投稿する場合にはその影響を考えることが重要です。きわどい冗談は本物の脅迫と受け取られかねないと心得るべきでしょう。投稿内容について自信がない場合には、常に控え目にしておく(あるいは可愛いネコの写真を投稿する)ほうが無難です。もちろん、自信がないのなら、そもそも投稿しないに越したことはありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
シマンテックは、「モノのインターネット」を狙う目的で設計されたと思われる新しい Linux ワームを発見しました。このワームは、従来のコンピュータだけでなく、さまざまな種類の小型のインターネット対応デバイスも攻撃する機能を備えています。家庭用ルーター、セットトップボックス、防犯カメラといったデバイスに通常搭載されているチップアーキテクチャごとに亜種が存在します。このようなデバイスへの攻撃はまだ確認されていないものの、その危険性があることに多くのユーザーは気付いていません。これは、自分が所有するデバイス上で Linux が稼働していることを知らないためです。
ワーム Linux.Darlloz は、PHP の脆弱性を悪用して自身を拡散します。ここで利用されているのは、「PHP の「php-cgi」に存在する情報漏えいの脆弱性」(CVE-2012-1823)で、2012 年 5 月にはパッチが公開されている古い脆弱性です。攻撃者は最近、2013 年 10 月末に公開された概念実証(PoC)コードに基づいてこのワームを作成したようです。
Linux.Darlloz は、実行されるとランダムに IP アドレスを生成し、よく使われている ID とパスワードの組み合わせでデバイス上の特定のパスにアクセスして、HTTP POST 要求を送信します。これが脆弱性を悪用しています。標的にパッチが適用されていない場合には、悪質なサーバーからワームをダウンロードして次の標的を探します。現在、このワームは Intel x86 系システムにしか感染しないようです。というのは、悪用コードのダウンロード URL が、Intel アーキテクチャ用の ELF バイナリにハードコード化されているからです。
Linux は、最もよく知られているオープンソース OS で、各種のアーキテクチャに移植されています。Intel ベースのコンピュータに限らず各種の CPU を搭載した小型デバイス、たとえば家庭用ルーターやセットトップボックス、防犯カメラから、産業用制御システムなどでも稼働しています。デバイスによっては、Apache Web サーバーや PHP サーバーなど、設定や監視に使う Web ベースのユーザーインターフェースも用意されています。
シマンテックは、この攻撃者が、同じサーバー上で ARM、PPC、MIPS、MIPSEL など Intel 以外のアーキテクチャ用の亜種をすでにホストしていることも確認しています。
図. ELF ヘッダーの “e_machine” 値を見ると、このワームが ARM アーキテクチャ用であることがわかる
これらのアーキテクチャのほとんどは、前述したようなデバイスで使われています。攻撃者は、Linux が稼働している各種のデバイスに攻撃範囲を広げることで、感染の可能性を最大限に拡大しようと試みているようですが、PC 以外のデバイスに対する攻撃はまだ確認されていません。
組み込みのオペレーティングシステムとソフトウェアを使うデバイスの製造元では、ユーザーに確認することなく製品を設定しているので、事態が複雑になっています。多くのユーザーは、家庭やオフィスで脆弱なデバイスを使っているとは認識していません。デバイスの脆弱性を仮にユーザーが認識していたとしても、製品によっては製造元から更新版が提供されないという別の問題もあります。これは、デバイスのメモリが不足していたり CPU が低速すぎたりして新しいバージョンのソフトウェアをサポートできないなど、旧式の技術やハードウェアの制限が原因となります。
Linux.Darlloz への感染を防ぐために、以下の処理を実行することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。