AVAST experts present at Virus Bulletin 2013

One of the most anticipated anti-malware conferences of the year is being held this week in Berlin, Germany. AVAST Software is proud to be there among 370 of the most knowledgeable specialists from the security industry. AVAST experts will be speaking every day, plus we are proud sponsors of the beer bar for all conference […]

Free for Education protects almost 200 universities and colleges

The AVAST Free for Education is not only available for schools, school districts and libraries in the US, but also for US universities! To date, 200 universities and colleges across 47 different states benefit from AVAST’s FREE business-grade antivirus. This means that a total of almost 450,000 university computers are being protected, for FREE. We […]

Spammers Take Advantage of US Government Shutdown

The latest news making headlines around the world is about the partial shutdown of the US government, which failed to agree on a new budget. Ever quick to take advantage of a situation, cybercriminals have begun to send various spam messages related to…

????????????????

      No Comments on ????????????????

PC の「P」は「パーソナル」の意味です。今ではもうそれをあまり意識しなくなりましたが、IBM が PC を発表した 1981 年当時には、それは大変なことでした。机の上や足元に置くことができて、誰とも共有しない、完全に自分だけの 1 台だったのです。

そうなるはずでした。

率直に言って、私たちが PC との間に本当に「パーソナル」な関係を築いたかどうかは疑問です。しかし、スマートフォンとは文字どおりパーソナルな関係が成立しています。実際、「2013 Norton Report(2013 年版ノートン レポート)」(英語)によれば、48% のユーザーが、寝るときに手の届くところにスマートフォンを置いています。25% のユーザーが、友人との食事中でもスマートフォンを確認しています。そして、スマートフォンを忘れて出掛けてしまうと落ち着かないという人も 49% にのぼります。

PC を必ず枕もとに置いて寝るという人はまずいませんが、スマートフォンユーザーはデバイスをまるで愛する人のように扱います。それは、PC のセキュリティリスクを知り尽くしている賢明なユーザーが、PC での教訓をスマートフォンに置き換えて考えていないからかもしれません。ノートン レポートによれば、ユーザーは PC に対するサイバー犯罪のリスクを理解しており、PC 上で自分を保護するための基本的なセキュリティ対策(ベストプラクティス)にも従っています。ところが、ハンドバッグやポケットに入れている、あるいは枕もとに置いているデバイスについては、月面に宇宙船を着陸させるのに要するよりも高度な処理能力を持ち、PC よりはるかに高機能であるにもかかわらず、ユーザーは基本的なセキュリティ対策すら実施していません。半数近くの人は、パスワードやセキュリティソフトウェア、ファイルのバックアップといった基本的な保護対策も講じていないのです。

モバイルデバイスの悪用は、攻撃者にとっては見逃せない絶好のチャンスです。攻撃者はこれまで何十年もの間、お金儲けのために PC を攻撃してきました。いち早く PC を使っている人の多さに気が付き、後はただ攻撃の方法を考えるだけでお金が転がり込んできたのです。それと同じ状況がモバイルデバイスにも生まれています。しかも、PC ユーザーに対する長年の攻撃から教訓を得ているので、攻撃者はその経験も活かしてモバイルに移行しています。ノートン レポートによれば、38% のスマートフォンユーザーがすでに何らかのサイバー犯罪をデバイス上で経験しています。

モバイルデバイスに対する攻撃は、かつての PC に対する攻撃ほどまだ激しくはありませんが、そうなるのも時間の問題です。片時も手元から離さないほどパーソナルな存在である以上、モバイルデバイスは、しかるべき保護対策を実施するに値する存在であることをすべての人が認識する必要があります。

これは、本年度のノートン レポートで報告されている興味深い内容の一部に過ぎません。詳しくは、こちらをクリックしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ZeroAccess ?????????

      No Comments on ZeroAccess ?????????

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール(C&C)通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉
今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。
 
こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。
 
ZeroAccess: ペイロード配信機能
その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、(攻撃者の視点に立つと)生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。
 
クリック詐欺
シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック(PPC)によるアフィリエイト方式の支払い対象になります。
 
Bitcoin マイニング
仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。
 
ZeroAccess の経済的側面
好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。
 
テストコンピュータの仕様:
モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB(最大 TDP 95W)
測定された消費電力/時間: 136.25 W(マイニング中)
測定された消費電力/時間: 60.41 W(アイドル時)
MHash/秒: 1.5
 
Bitcoin については以下の条件を想定:
Bitcoin/米ドル交換レート: 131
Bitcoin 難易度係数: 86933017.7712
 
Bitcoin マイニング
Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。
 
クリック詐欺
クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした(1 日当たり 1,008 件)。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。
 
こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。
 
電力コスト
ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。
 
マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日
アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日
差異: 1.82 KWh/日
 
これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。
 
KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh(3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります)にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力(2,484 MW、1 日当たりの電気料金 560,887 ドル)よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。
 
P2P ボットネットの停止は困難だが不可能ではない
今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。
 
その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。
 
詳細情報
シマンテックのロス・ギブ(Ross Gibb)とヴィクラム・タクール(Vikram Thakur)が、2013 年 10 月 2 日 から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。
 
ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。
 
zeroaccess_blog_infographic.png
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Does My Smartphone Count as Extended Family?

The P in PC stands for personal. We don’t think of that much anymore. It was a big deal in 1981 when IBM introduced the PC and it sat on your desk or underneath it. You didn’t share it with anyone. It was personally yours.
Kinda.
Frank…

Cybersecurity is Our Shared Responsibility

      No Comments on Cybersecurity is Our Shared Responsibility

AVAST is a proud champion of National Cyber Security Awareness Month (NCSAM) and European Cyber Security Month (ECSM) recognized this October. The month begins with the awareness that no individual, company, or government is solely responsible for securing the internet – it is Our Shared Responsibility. Individual computer users are the first line of defense […]

.avi ? .mp3 ???????????????

      No Comments on .avi ? .mp3 ???????????????
ランダムな YouTube リンクを電子メールの本文に記載し、その URL で .avi または .mp3 の拡張子を使って YouTube を悪用する、新しいスパムの手口が確認されています。以前に「YouTube を騙る医薬品スパマー」というブログでお伝えしたように、医薬品業界もこのスパムの標的になっています。
 
今回の新しいスパムでリンクをクリックすると、偽の医薬品販売サイトにリダイレクトされます。シマンテックが調べたスパムサンプルからは、.avi と .mp3 の拡張子を使った以下のような URL が確認されています。
 
http://www.[削除済み].com/Fox.avi
http://www.[削除済み].com/Yamamoto.avi
http://www.[削除済み].vn/Larue.avi 
http://www.[削除済み].com/McAlear.avi
http://www.[削除済み].ru/87342.mp3
http://www.[削除済み].ru/327182.mp3
http://www.[削除済み].fr/472738.mp3
http://www.[削除済み].com/165137.mp3
 
figure1.png
図 1: .avi 拡張子を使ったスパムメール
 
figure2.png
図 2: .mp3 拡張子を使ったスパムメール
 
figure3.png
図 3: 偽の医薬品販売サイト
 
今回のスパム攻撃で使われている件名の例を以下に示します。
  • 件名: Here Comes the Sun 1969(ヒア・カムズ・ザ・サン、1969 年)
  • 件名: Soldier of Love (Lay Down Your Arms) 1963(ソルジャー・オブ・ラヴ(レイ・ダウン・ユア・アームズ)、1963 年)
  • 件名: For No One 1966(フォー・ノー・ワン、1966 年)
  • 件名: Misery 1963(ミズリー、1963 年)
  • 件名: Lucy in the Sky with Diamonds 1967(ルーシー・イン・ザ・スカイ・ウィズ・ダイアモンズ、1967 年)
  • 件名: From Me to You 1963(フロム・ミー・トゥ・ユー、1963 年)
  • 件名: Look! I found this!(ほら、見つけたよ!)
ドメインはヨーロッパで登録されたもので、サーバーの所在地はウクライナでした。スパム攻撃の YouTube リンクでこのような拡張子を使っているのは、フィルタをすり抜けたうえで、拡張子が表す種類のファイルが開くものと期待させてユーザーを欺くためです。
 
迷惑メールや心当たりのない電子メールには注意し、ウイルス対策のシグネチャを定期的に更新して個人情報が漏えいしないように保護することをお勧めします。シマンテックでは、最新の脅威に関する情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。
 
 
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Use of .avi & .mp3 Extension Leads to Pharmacy Spam

Symantec has observed a new spam tactic targeting YouTube using .avi and .mp3 extensions in URLs by placing a random YouTube link in the email content. This spam threat is also targeting the pharmaceutical industry, as we have previously observed in th…

Grappling with the ZeroAccess Botnet

      No Comments on Grappling with the ZeroAccess Botnet

The ZeroAccess botnet is one of the largest known botnets in existence today with a population upwards of 1.9 million computers, on any given day, as observed by Symantec in August 2013. A key feature of the ZeroAccess botnet is its use of a peer-to-pe…