分散型のデジタル通貨 Bitcoin に対する関心が高くなっているのは確かです。しかし、注目を集めるものの常として、Bitcoin は詐欺師の関心も集めています。これまでの数年間に、Bitcoin ウォレットを盗むトロイの木馬がいくつか発見されています。また、Bitcoin マイナーをインストールするトロイの木馬も、もはや珍しくはありません。先週確認された例からも、犯罪者の Bitcoin に対する関心の高さがうかがえます。世界最大の Bitcoin 取引サイト Mt.Gox になりすましたフィッシングサイトについても報告されるようになっています。Mt.Gox に対する攻撃はすでに前例があります。たとえば、分散サービス拒否(DDoS)攻撃を受けたり、米国の捜査当局によって一時的に Mt.Gox の資金の一部が差し押さえられたりしたこともあります。
もちろん、フィッシングサイトのご多分にもれず、これは正規のサイトとはまったく無関係な偽の詐欺サイトです。詐欺師はセカンドレベルドメイン(SLD)名として “mtgox” を使うだけでなく、トップレベルドメイン(TLD)を変更して、たとえば .org、.net、.de、.co.uk などのドメインを使っています。詐欺サイトは、マルウェアをダウンロードしてインストールするようにユーザーを誘導します。このマルウェアには MTGOX_Wallet.exe というもっともらしいファイル名が付いており、シマンテックはこれを Downloader.Ponik として検出します。
図 1. 別の TLD を使うフィッシングサイト
図 2. フィッシングサイト
このフィッシングサイトは、Microsoft の広告ネットワークなど代表的なオンライン広告サービスを利用した宣伝まで行っています。これも、できるだけ多くのアクセスを獲得するためで、詐欺広告が多くの有名サイトでも表示される結果になっています。
広告は、「New Century Gold: BITCOIN Protect your money – Buy Bitcoin(21 世紀のゴールド。BITCOIN があなたのお金を守ります – Bitcoin を購入しよう)」という宣伝文句でユーザーを誘っています。広告からリンクする詐欺サイトには、人のお金を守ること以外のありとあらゆるものが揃っていると考えれば、まったく正反対の広告です。
このフィッシングサイトでは一般的なセキュリティプロトコルである Secure Sockets Layer(SSL)が使われていません。その一点だけでも疑ってかかるには十分です。扱われている通貨の種類にかかわらず、どんな金融サービスでも、アクセス先が正規の Web サイトであることを確認してから情報を入力するように注意を払う必要があります。今回の場合は、フィッシングサイトの HTML 内にはさらに別の手掛かりも残されていました。好奇心の強いユーザーなら気づくかもしれませんが、正規サイトには記載されているパスワード変更の注意書きが隠されているのです。
図 3. フィッシング詐欺師が書き換えた HTML
Mt.Gox をお使いの場合は、必ずパスワードを変更しアカウントを確認することをお勧めします。Mt.Gox でもメンバーの検証プロセスを強化し始めており、預け入れも引き出しも、検証済みのアカウントでしか行えません。Mt.Gox は、マネーロンダリング対策法を遵守するために最大限の努力を払っているように見えます。5 月に連邦検察官によって閉鎖に追い込まれた Liberty Reserve と同じ過ちを繰り返さないためでしょう。Bitcoin は分散型の P2P 構造になっているので、Liberty Reserve とは大きく異なり、またそれゆえに閉鎖することは難しいのですが、それでもサービスを保護するために万全を尽くすのはビジネスとして賢明でしょう。
シマンテックは最近、マルウェアにつながる広告をユーザーの目に触れる前に遮断するクラウドベースの Symantec AdVantage をリリースしました。Web サイトに広告を掲載しているサイト所有者に対しては、OTA(Online Trust Alliance)が推奨するマルバタイジング(悪質な広告)対策のガイドライン(英語)をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
If you are like most parents, the “no texting and driving” comment is a daily exchange before your teen heads out the door, car keys in hand. A 2012 U.S. National Highway Traffic Safety Administration (NHTSA) survey found that drivers 18 to 20 showed the highest level of mobile phone involvement in crashes or near-crashes. Read more…
You have gone over the basics of online safety and even posted a Family Game Plan next to the computer. You are doing fantastic. However, there are still some critical rules (some even laws) your kids could be breaking online that have ethical, even legal, consequences. (We know—just when you thought you could relax right?) Read more…
I will be the first to confess that sometimes when I look at my kids, my eyes do not work. Seriously. They recalibrate to another version of reality; the comfortable one. Sometimes when I look at my kids, a soft focus frames the picture and butterflies and sunshine fill in around their little faces. Nope, Read more…
Few people understand the power of the ‘location services’ option on their smart phones. The service, which uses GPS to pin point your location, is impressive when it comes to many of the downloadable apps that require your “location” to bring up things such as nearby coffee spots, restaurants, coupons, or check-in options. Often the Read more…
When police in Oregon recently arrested a teenager for his Facebook post, it became a vivid reminder to teens everywhere, that every single thing posted on social media channels is public—and can have real consequences. When the teen boasted about driving drunk and hitting a vehicle on New Year’s Eve, one of his Facebook friends Read more…
If you are a parent you are likely familiar with the 24/7 critic that silently (and relentlessly) loops in your head. You know the one: Its intensity varies depending on the day. It accuses you of not doing enough for your kids, of doing too much for them, and then it convinces your overwhelmed self Read more…
Protecting private information is sure to be an even hotter topic in 2013, with the recent conviction of hacker Christopher Chaney. Chaney hacked into the online accounts of celebrities Scarlett Johansson, Christina Aguilera and other women and posted revealing photos on the Internet. A judge sentenced him to 10 years in prison for his crime. Read more…
Okay, let’s just say it: The topic of Internet safety is not exactly glamorous. It rarely makes headlines until after a safety breech rattles your family. Moreover, the topic is loaded with ever-evolving tech terms that can leave your head spinning. Still the fact remains that understanding Internet safety in today’s wired world is just Read more…
Simple words such as “like,” “comment,” and “in a relationship,” have taken on new—and arguably more powerful meanings—with the explosion of social networking in the past several years. Have you stopped to teach your kids the value and power of their digital clicks? The “Like” Button In the past, if you “liked” pepperoni pizza or Read more…