Category Archives: Security Articles

Phishers Now Target Real Madrid Fans

Hacker Medic June 10, 2013 No Comments

Contributor: Avdhoot Patil
It seems that targeting football clubs, football celebrities, and football events has become a habit for phishers. They continue their uncivilized activities and in particular single out football. Now, phishers have set their…

??????????????

Hacker Medic June 10, 2013 No Comments

贈り物を準備しながら、父親に感謝と親愛の気持ちを伝える日を指折り数えて待っている人も多いことでしょう。今年の父の日は 6 月 16 日です。先月は「母の日を悪用するスパムが今年も登場」と題するブログを公開しましたが、今度は父の日に向けて、Symantec Probe Network でスパムメッセージが検出され始めています。スパムメールのほとんどは、お買い得商品、偽アンケート、高級腕時計のコピー商品などでユーザーを誘おうとするものです。スパムメッセージに含まれている URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

図 1. ギフト広告スパム

図 2. 父の日を利用した商品広告スパム

スパマーはいつでも無防備なユーザーの隙を狙い、偽広告で宣伝されている商品を購入するためと称して個人情報を入力させようとします。最近も、URL に .pw を含むスパムメッセージが増加していることをお知らせしたばかりですが、大きなイベントやフェスティバル、祝祭日の前後には、.pw のトップレベルドメイン（TLD）を含むメッセージの増加が今もなお確認されています。父の日スパムでは、URL に .pw を使った差出人として以下のような例が確認されています。

差出人: “Personalized Father’s Day Gifts”（名前入りの父の日ギフト）<support@[削除済み].pw>
差出人: Quick Father Gifts（お手軽な父の日ギフト）<cigarformen@[削除済み].pw>
差出人: Cigars for Dad（お父さんに葉巻を贈ろう）<cigarformen@[削除済み].pw>
差出人: Fathers Day Cigars（父の日の葉巻）<cigarformen@[削除済み].pw>

図 3. 父の日を餌に利用した偽ディスカウントスパム

スパマーは、宣伝されている商品を偽のクーポンコードで購入できると誘い、「オリジナルと同じ素材を使用」などという売り文句でユーザーを欺きます。このスパム攻撃で使われているディスカウントコードは、dad[ランダムな数字] や father[ランダムな数字] などの形式で、父の日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

図 4. 偽のディスカウント商品で誘うスパム

シマンテックでは、父の日にちなんだスパム量が増えていることを確認しています。次のグラフをご覧ください。

図 5. 父の日スパムの件数の傾向

最近のスパム攻撃で使われている件名の例を以下に示します。

件名: 15 Cigars for 29.95 (68% off Fathers Day sale!)（15 本入り葉巻が 29.95 ドル（父の日限定 68% オフ!））
件名: The perfect gift for Fathers day only costs 32% of the original price!（父の日に最高のギフトが、元値のたった 32% !）
件名: Regarding Father’s Day orders（父の日のご注文について）
件名: Personalized Gifts for All The Dads In Your Life（お父さんに名前入りのギフトを）
件名: Top Personalized Fathers Day Gifts（父の日の名前入りギフト）
件名: Get relief from chronic spine conditions. Father’s Day Discount Available（慢性的な背中の痛みにさようなら。父の日ディスカウントあり）
件名: Don’t forget your father（お父さんのことを忘れないで）
件名: Don’t forget about your father（たまには、お父さんのことを思い出そう）
件名: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card（父の日アンケートに答えて、25 ドル相当の xxx ギフトカードをもらおう）
件名: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available（頸椎手術や脊椎に代わる内視鏡が登場。父の日の割引特典あり）

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、父の日スパムの厳重な監視を続けています。

どうぞ、素晴らしい父の日を安全にお迎えください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????EFS???????????????????? Backdoor.Tranwos

Hacker Medic June 9, 2013 No Comments

最近シマンテックは、暗号化ファイルシステム（EFS）を悪用する脅威（Backdoor.Tranwos として検出されます）を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。

この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。

backdoor tranwos 1 edit.png

図 1. フォルダを作成して暗号化

セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。

この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。

backdoor tranwos 2.png

図 2. wow.dll ファイルのパス

この脅威が実行されると、暗号化されたフォルダとファイルはエクスプローラで緑色で表示されます。

この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。

このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。

???????????????

Hacker Medic June 9, 2013 No Comments

ウェアラブル技術、つまり身に着けて生活を快適にするための技術について、多くのハイテク企業が研究を進めています。この種の技術のコミュニティを最近最も賑わせているのがスマートグラスであり、なかでも話題の中心になっているのが Google Glass です。拡張現実（AR）を利用した視覚支援という機能は魅力的に思えますが、プライバシーの観点からどこまでを許可するかという議論も巻き起こっています。友人を撮影するときに必ず通知する必要があるとしたら、おそらく、録画中は Google Glass で赤い LED を点滅させるべきでしょう。「邪視（Evil Eye）」という言葉の意味も変わってきます。Google Glass の組み込み機能を拡張しようとしているユーザーを Web で検索してみると、ありとあらゆる統合機能について面白いアイデアが見つかります。そのひとつが、議論を呼んでいる顔認識機能です。

しかし、注目に値するウェアラブルデバイスは、Google Glass だけではありません。スマートブレスレットやインテリジェントシューズから、他のデバイスと通信できる腕時計まで、購入可能なデバイスすべてがそうです。先日開催された「D: All things Digital」カンファレンス（D11）でも、試作品が何点か公開されました。

たとえば Motorola 社は、鍵と同じように個人の認証に使える電子タトゥーを実演したほか、さらに一歩進んで、飲み込むと身体の中から信号を発信する錠剤まで発表しました。どちらも、人間の身体をいわばパスワードトークン（身元を保証するもの）と見なし、認証の目的に利用するという発想です。

もちろん、似たような技術はすでに使われています。RFID カードもポケットに入れれば身に着けられますし、生体認証は言うまでもありません。指を押し当てるだけで魔法のようにドアが開く自動車も登場しています。自分の指紋も、言ってみれば常に身に着けているようなものです。残念ながら、指紋読み取り機は非接触式ではないため、無線技術ほど便利ではありません。一方、信号を送信する方式には必ず、プライバシーと追跡に関する問題がつきまといます。RFID 式のパスポートを導入した国のほとんどで、このことが問題視されています。チップから秘密鍵を抜き出して他人になりすますことはできないとしても、デジタル指紋の応答を生成することは可能なので、追跡プロファイルは作成できることになります。不正な RFID 読み取りを防ぐために、ファラデーケージ（電磁シールドの一種）を利用して財布を保護している人が多いのは、このためです。さすがに、T シャツをファラデーケージで保護しなければならない日がすぐに来るとは思いませんが、ウェアラブルな認証トークンを広く普及させようと考えたときには、これも解決しなければならない課題のひとつです。

とは言え、これは興味の尽きない分野であり、特にパスワードを忘れがちな人には間違いなく便利なものでしょう。もっとも、錠剤タイプの場合、飲み忘れてしまったら同じことですが。そもそもデフォルトで強力なパスワードなので、脆弱なパスワードという問題も解決されますし、パスワードマネージャのマスターパスワードとして使うこともできます。しかし、このコンセプトがどのように実装されるか、人々がこのようなデバイスを受け入れるかどうかは、今後の様子を見守る必要があります。実装の状況によっては、システムに対する攻撃が依然として可能な場合や、完全にパスワードを無視して認証済みのセッションを盗み出すことも可能かもしれません。

いずれにしても、シマンテックはこうした技術の推移に注目しており、詐欺メールの厳重な監視を続けています。安価な薬の宣伝に代わって、ユーザーの認証用錠剤を送るように指示する詐欺メールが出現するかもしれません。