Category Archives: Security Response News

??????????????????????????

      No Comments on ??????????????????????????

フィッシング詐欺師は、ユーザーの個人情報を手に入れるチャンスを少しでも増やそうとして、あらゆることを試みます。よく知られているのは、さまざまな偽のソーシャルメディアアプリを使ってユーザーを誘い込む手口です。最近も、新しい偽アプリの例がいくつか見つかっています。

1 つ目の例は、女の子の写真と Facebook の[いいね]ボタンを使ったフィッシングサイトです。ボタンをクリックすると、この写真に「いいね」を付けるために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力するとログインが確認され、もう 1 度[いいね]ボタンをクリックするよう求められます。ボタンの隣には、これまでに付けられた「いいね」の件数も表示されますが、これは偽の数字です。このフィッシングサイトのホストサーバーは、オランダのアムステルダムに置かれていました。

Phishers_fake_FB_image1.png

図 1. 女の子の写真と、Facebook の[いいね]ボタン

 

Phishers_fake_FB_image2.png

図 2. 写真に「いいね」を付けるにはログイン情報の入力が必要

 

Phishers_fake_FB_image3.png

図 3. [いいね]ボタンの隣に表示された「いいね」の数

 

2 つ目の例は Facebook のログインページに偽装したフィッシングサイトで、インドのユーザーに向けて新機能が追加されたと称しています。フィッシングサイトの名前は「Chehrakitab」であり、これはヒンディー語で「Face Book」という意味です。この例のように、インドのユーザーを狙って設計されたフィッシングサイトは、きまって作りがお粗末です。以前に出現した偽の Facebook 2013 デモバージョンがそのいい例でした。フィッシングページに書かれた説明によれば、サイトはまだ作成中だがログインは可能ということになっています。ロゴの下に「ユーザーの時間を無駄にしている」と書かれているところを見ると、このフィッシング詐欺師は Facebook を蔑視しているのかもしれません。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

Phishers_fake_FB_image4.png

図 4. インド版の Facebook を装ったフィッシングサイト

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Whitewashed Spam – How Antispam Laws Are Helping Spammers

Contributor: Binny Kuriakose
Anonymity disguised as freedom of expression and lack of clear cut laws makes cyberspace murky from a security point of view. Countries are waking up and realizing that there is a need for laws which enable authorities to c…

Downloader.Liftoh Cousin to W32.Phopifas?

Downloader.Liftoh is a Trojan horse detected by Symantec that downloads malware onto the compromised computer without the user noticing.
A new variant of this threat, discovered in early May, was identified in some Spanish-speaking countries in Latin A…

Rise in URL Spam

      No Comments on Rise in URL Spam

Symantec is observing an increase in spam containing URLs. On May 16, URL spam volume increased by 12% from 84% to 96% and since then the URL spam volume fluctuated between 95% and 99%. That means 95% of the spam messages delivered during this period has one or more URLs in it.

Figure1_0.png

Figure 1. URL spam message volume

During this period, .ru was the most used top-level domain (TLD). As illustrated in Figure 2, it is interesting to note a drop in .ru spam and a simultaneous rise in .com and .pw spam. Over 73% of the URL spam contained the .ru, .com, or .pw TLDs.

Figure2.png

Figure 2. Top 3 TLDs distribution (last seven days)

Figure3.png

Table 1. Spam volume of top 5 TLDs that contributed to total URL spam

We are observing an increasing use of shortened URLs and free Web domains with the .ru TLD. The spam examples seen are mainly hit-and-run (a.k.a. snowshoe) spam. The call to action URL in the spam message leads to fake offers or online pharmacy stores.

Below are the Subject lines that may be seen in spam emails.

  • Subject: Ends Today! Buy One, Get One Free
  • Subject: 48 Hours Only | Free Shipping!
  • Subject: FREE LIFETIME PASS – WHENEVER YOU WANT
  • Subject: Are you dreaming about good health?
  • Subject: Satisfy your girl fully
  • Subject: Win your lady’s addiction
  • Subject: Present your women real care
  • Subject: You need Ukrainian woman with beautiful eyes that are ready to talk to private theme?

Figure4.png

Figure 3. URL spam message

This sudden rise in URL spam volume was seen in December 2012 and January this year when holiday season spam and year-end spam was on the rise. Symantec will continue to monitor this uptick in spam containing URLs and will keep our customers protected with additional filters to block these attacks.

?????????????????????

      No Comments on ?????????????????????

竜巻や地震などの自然災害は、米国では珍しくはありません。残念なことに、5 月 20 日の月曜日、オクラホマシティ郊外のムーアが巨大竜巻に襲われ、多くの犠牲者を出しました。スパマーは自然災害を利用して詐欺を行います。シマンテックセキュリティレスポンスは、今回の竜巻に関連するスパムメッセージが Symantec Probe Network に届いていることを確認しています。メッセージの見出しに使われている単語の組み合わせとしては、次のものが上位を占めています。

  • Tornado – hits – Oklahoma(竜巻 – 直撃 – オクラホマ)
  • Massive – Tornado(巨大 – 竜巻)
  • Huge – Tornado(巨大 – 竜巻)
  • Tornado – survivors(竜巻 – 生存者)

Spammers Targetting 1.jpeg

図 1: オクラホマシティの竜巻を悪用したスパム活動
 

次のようなヘッダーのスパム攻撃が見つかっています。

件名: People Killed After Violent Tornado Hits Oklahoma(凶暴な竜巻がオクラホマ州を直撃し死者が発生)

差出人: Hottestxxx<TornadoHitsOklahoma@[削除済み]>

スパマーは、被災者を支援するよう求めるスパムメールを送信して、支援活動を装っています。大きな事故や事件に関するニュースを探しているときには、十分に注意してください。特に、寄付や救済基金の要請には気を付ける必要があります。信頼できる安全なサイトを利用するようにしてください。

今後数日の間に悪質な攻撃やその他のスパム活動が増えることが予想されます。迷惑メールを受信しても、疑わしいリンクをクリックしたり、添付ファイルを開いたりしないでください。また、ウイルスやオンライン詐欺から個人情報を保護するために、セキュリティソフトウェアを最新の状態に保つようにしてください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でこの傾向の監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

      No Comments on ???????????????????

電子メールアカウントを支配できれば、相当に大きな力を手に入れられるのではないでしょうか。他人に私的な電子メールを読まれたからといって気にしない人もいるかもしれませんが、電子メールを読まれることだけが問題なのではありません。もちろん、ハッキングしたアカウントの電子メールを嗅ぎ回って、秘密を明らかにするような攻撃はこれまでもたくさんありました。嫉妬深い配偶者が浮気の証拠を探しているとか、もっとシリアスなケースとしては産業スパイが重要な取引に関する情報を追い求めているとか、攻撃の理由はさまざまです。あるいは、ハッキングしたアカウントを利用して持ち主になりすまし、アカウントに登録されている連絡先にソーシャルエンジニアリングメッセージを送るといった攻撃もあるでしょう。

現在、電子メールアカウントは単に電子メールを送受信するためだけのものではありません。Microsoft 社や Google 社など、無料サービスプロバイダの多くが、電子メールアカウントに付随したサービスを数多く提供しています。こうしたアカウントにアクセスできれば、そこにアップロードされたプライベート写真などにもアクセスできるようになるかもしれません。攻撃者が電子メールアカウントに侵入して裸の写真などを見つけ、持ち主を恐喝したという事件も何件か起こっています。ほとんどの人は、そんな写真をアップロードするほど愚かではないでしょう。しかし、さまざまなサービスを備えた現在の統合クラウドストレージでは、パスワードファイル、ライセンスファイル、税務記録、パスポートのスキャン画像、仕事の書類など、あらゆる種類のファイルが電子メールアカウントの下に格納されている可能性があります。

電子メールの影響力は、対象となる範囲が広い分、これより大きいかもしれません。多くのオンラインサービスでは、電子メールアドレスをユーザー名として使用しています。そのため、電子メールアドレスとパスワードが知られてしまうと、電子メールプロバイダ以外のさまざまなアカウントへのアクセスを攻撃者に許してしまいかねません。複数のサービスでパスワードを使い回していない場合でも、多くのサービスでは、電子メールからパスワードをリセットできる機能が提供されているからです。電子メールアカウントさえ掌握すれば、どのようなパスワードが使われていても、他のサービスのパスワードリセットメールを利用して、別の多くのサービスにアクセスできてしまいます。

データ侵害によって電子メールアドレスやパスワードが漏えいするたびに、他の攻撃者がこの情報を利用して新しい攻撃を仕掛けます。通常、彼らはまず同じパスワードで電子メールアカウントにアクセスできないかどうかを調べます。

もちろん、攻撃者はあらゆるサービスに興味があるわけではありません。ソーシャルメディアアカウントが自由に操られてしまうのは(特に通信社に勤めているような人の場合)、不愉快な事態かもしれません。多くの人にとってはそれほど大きなダメージはないかもしれませんが、企業の場合は話が別です。アカウントに何かあれば、ブランドイメージが損なわれる可能性があります。昨年大きく報道された、Wired のマット・ホーナン(Mat Honan)記者のケースでは、ハッカーによって iCloud アカウントにアクセスされ、Apple 社製の複数デバイスのデータがワイプ(消去)されてしまいました。こうなると面倒ですが、追加のセキュリティ手段を導入すればリスクを軽減することができます。

サービスの中には、攻撃者の興味を引くものもあります。たとえば、商品やサービスをオンラインで注文できる企業の場合、企業は登録済みのクレジットカードに課金したり、アカウント所有者に請求書を送ったりできます。金融サービスやオークション、支払いサービスなどは、ハッカーが真っ先に調べるサービスです。アカウント所有者にとって、他人に操作されたくないサービスはたくさんあります。企業がさまざまな機能を追加すればするほど、電子メールアカウントを保護することはより重要になります。たとえば、Google 社は最近、Google ウォレットを Gmail に統合することを発表しました。これにより、電子メールに画像を添付するように、電子メールアカウントから送金できるようになります。電子メールにお金を添付することも可能です。ということは、攻撃者もそうできる可能性があるのです。

こうした攻撃を防ぐために、Google 社はサービスプロバイダとしては最初期に 2 要素認証を一般に導入しました。続いて、Apple 社を初めとする他のサービスプロバイダも、2 要素認証やアウトオブバンド認証を取り入れ始めました。これらの認証方式では、事前に登録したモバイルデバイスやワンタイムパスワード(OTP)生成アプリケーションにコードが送られます。このソリューションは、パスワードよりも安全にアカウントを保護できるうえ、公開されている情報から簡単に類推できてしまうような「セキュリティの質問」を答えさせる方法よりも格段に優れています。

こういった新しい認証方式が提供されているのに利用しないと、パスワードさえ必要としない攻撃に対して脆弱なままになります。このような攻撃はめったにはありませんが、2013 年に Apple 社のパスワードリセット機能が一時停止されたときのように、問題が生じる可能性は常にあります。このとき、Apple 社は迅速に対応して問題を解決しましたが、2 要素認証に登録していたユーザーはその間、保護されていました。また、攻撃者がクロスサイトリクエストフォージェリ(CSRF)攻撃を使ってアクティブなセッションをハイジャックし、電子メールアカウントを再設定するというケースも何度かあります。たとえば、以前には、ある Web サイトが転送フィルタを Gmail アカウントに追加して、すべての電子メールを別のアドレスに転送するという単純な攻撃がありました。もちろん、Google 社はこの問題を迅速に修正し、アカウントのセキュリティを強化しました。現在では、新しいフィルタが追加されると、警告メッセージが表示されるようになっています。しかし、サービスを使用しない間はアカウントからログアウトするようにというアドバイスは、あまり実効性がないため、ユーザーがこうした攻撃を防ぐのはなかなか難しいでしょう。

メインで使用している電子メールアカウントには、他のサービスに使用していない独自の強力なパスワードを設定してください。また、電子メールアカウントに新しいセキュリティ機能が導入されていないか、常にチェックするようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers’ New Fake Social Media Apps

Phishers are trying everything they can to improve their chances of harvesting user credentials. They are known for experimenting with different fake social media applications in a desperate move to lure users. Recently, we found a few examples of some…

Spammers Targetting Oklahoma Tornado Victims

Natural disasters, like tornadoes and earthquakes, are quite common in the United States of America. Unfortunately, the Oklahoma City suburb of Moore experienced a violent tornado on Monday, May 20, that sadly resulted in dozens of casualties. Spammers…

Why Email is a Key to Your Castle

Having control over an email account can be a lot of power, even though most people would probably say they do not care if someone else is reading their private emails. But it’s not always about reading those private emails. Of course there have …

Operation Hangover の攻撃に関する Q&A

5 月 20 日、Norman 社と Shadowserver Foundation は「Operation Hangover」と題する詳細なレポートを共同で公開しました。このレポートは、インドから発信されていると思われる標的型のサイバースパイ攻撃に関する先日の ESET 社のブログに関連しています。シマンテックも先週この事案について短いブログを公開しましたが、以下の Q&A では、このグループについて特にシマンテックに関連のある追加情報をお届けします。

Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Operation Hangover が関与する攻撃から保護しています。また、Symantec.cloud も、このグループによる標的型電子メールを検出します。

Q: シマンテックは Operation Hangover の活動に気づいていましたか?
はい。前回のブログでも指摘したように、複数のセキュリティベンダーがその活動を追跡していますが、シマンテックは、長年にわたってこのグループに関する情報を捕捉しており、その活動を追跡しています。また、Operation Hangover によって利用されているさまざまな脅威に対して常に最善の保護対策を提供しています。

Q: Operation Hangover という名前の由来は何ですか?
Norman 社と Shadowserver Foundation が Operation Hangover という名前を使ったのは、このグループによって特に頻繁に利用されているマルウェアに、この名前を含むプロジェクトデバッグパスが使われていたからです。

Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。図 1 に、Operation Hangover による攻撃の各段階を示します。

NewHangove_0.png

図 1. Operation Hangover による攻撃

この電子メールには悪質なファイルが添付されており、開くと標的のシステムに感染するか、標的のシステムの脆弱性を悪用しようとします。成功すると、第 1 段階のマルウェアが侵入先のシステムにロードされます。このマルウェアは大部分が、Smackdown として知られる Visual Basic ダウンローダからのものです。

侵入先のシステムの調査を済ませると、攻撃者は第 2 段階のマルウェアをダウンロードするかどうかを決定できるようになります。これは、大部分が C++ で記述された情報窃盗マルウェアで、HangOve というマルウェアグループに属します。HangOve グループでダウンロードされるモジュールはいくつかあり、以下の処理を実行します。

  • キーロガー
  • 逆接続
  • スクリーングラバー
  • 自己複製
  • システム情報収集

Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、この攻撃は主としてパキスタンを標的にしていることが確認されています。一連の攻撃では防衛関連の文書が餌として使われていることから、特に狙われているのは政府のセキュリティ機関と考えられますが、同じグループがパキスタン以外では産業スパイ活動に関与していることも確認されています。

Q: この脅威はどのように拡散するのですか?
図 2 と 3 に示すように、シマンテックの遠隔測定によると、このグループの被害が最も大きいのはパキスタンです。これは、同グループに関する他の調査結果とも一致しています。すでに述べたように、このグループの活動は 1 つの標的または地域に限定されてはいません。

HeatMap.png

図 2. シマンテックの遠隔測定で検出された Operation Hangover 関連の分布図

Pie.png

図 3. シマンテックの遠隔測定で Operation Hangover の攻撃が検出された上位 10 カ国

Q: このグループによって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
シマンテックは、このグループによって利用される脅威に対して以下の名前で検出定義を用意しています。

シマンテック製品をお使いのお客様がこのグループを特定できるように、この攻撃活動の主なコンポーネントは、以下のように再定義されています。

以下の IPS(侵入防止シグネチャ)も用意されています。

  • System Infected: Trojan.Hangove Activity

Q: シマンテック製品やノートン製品は、このグループによって利用されている悪用から保護されていますか?
はい。このグループが悪用している既知の脆弱性と、それに対するシマンテックの保護定義を以下に示します。現時点で、このグループがゼロデイ脆弱性を攻撃に利用している、またはこれまでに利用した形跡はありません。

Table1.png

Q: 今回のレポートは、Operation Hangover を実行しているグループの活動にどう影響するでしょうか?
これまでの例と同様、ここまで情報が明らかになりながらも、Operation Hangover のグループは今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Operation Hangover の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。いつものことですが、このようなグループの攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。