Category Archives: Security Response News

Ransomware Abusing Norton Logo

      No Comments on Ransomware Abusing Norton Logo

There are reports in the media of a particular ransomware, a type of malware, using the official Symantec Norton logo to dupe victims into believing the ransomware is verified by Symantec. This is a common social engineering technique used by malware a…

????????????????

      No Comments on ????????????????

読者のみなさんにお聞きします。ブラウザで表示される警告メッセージ、本当に読んでいますか。フィッシングサイトの警告や SSL 証明書不一致のダイアログを読み飛ばしてクリックしていませんか。ほとんどのユーザーはこうした警告に無頓着で、すぐにクリックして閉じてしまう傾向があるようです。警告の内容を覚えていたり、毎回その重要性を熟考したりする人がいるとは思えません。

Google 社とカリフォルニア大学バークレー校は、Google Chrome と Mozilla Firefox で表示された 2,540 万回の警告を分析するという興味深い研究を実施しました。その調査によると、平均して 15.1% のユーザーがマルウェア感染サイトの警告を無視してクリックしています。そのなかでは、何でもすぐクリックしてしまうユーザーの率が、Windows 版 Mozilla Firefox では 7.1% にとどまっているのに対して、Windows 版 Google Chrome では 23.5% と、実に 3 倍以上に達していることが注目に値します。

フィッシングサイトの警告の場合、無視してクリックする率は平均で 20.4% ですが、Linux ユーザーに限っては 32.9% と、他のプラットフォームより高くなっています。おそらくこれは、Linux ユーザーのほうが技術に詳しいため、操作に自信があるからでしょう。この研究で分析の対象になったのは、無視して続行するオプションがある警告だけで、そのような警告が表示される場合にはたいてい誤認の可能性があります。したがって、警告が表示されたからといって必ずしも悪質なことが行われるとは限りません。

SSL 警告の場合、結果の数値はもっと高く、無視してクリックする率は Google Chrome で 73.4%、Firefox で 36.7% となっています。Chrome ユーザーのほうが 2 倍も警告を無視する傾向がありますが、その理由については不明です。もちろん、SSL 警告も常に悪意の存在を意味するとは限らず、ユーザーが自宅では自己署名証明書を使っていることもあれば、サーバーの設定に問題があるだけのこともあります。したがって、クリックしたからといって警告を無視しているわけではなく、十分な知識に基づく判断で素通りしたのかもしれません。

それでも、多くのユーザーがこうした警告メッセージに飽き飽きし、無視し始めているのだという懸念を研究者は抱いています。これは、かつて初期のウイルス対策ソリューションでお馴染みだった現象です。「svchost.exe がインターネットにアクセスすることを許可するかどうか」という確認ダイアログにユーザーはうんざりさせられたものでした。警告は重要な機能ですが、うまく使う必要があるということです。

このような警告を無視することが習慣化してしまうと、悪質な Web サイトに引っかかりやすくなり、たとえば空港やレストランの無料ホットスポットで典型的な中間者(MITM)攻撃に狙われたりします。あらゆるサイトに対して自己署名証明書として機能する悪質なアクセスポイントを設定している攻撃者もいるということを、多くのユーザーは知りません。この証明書を受け入れてしまうと攻撃者にトラフィックを傍受され、オンラインサービス用のパスワードを読み取られる可能性もあります。Google が導入したような認証のピンニングを使うと、主な Web サイトでユーザーが警告を無視できなくなるので、MITM 攻撃対策に有効です。調査結果でも、Chrome の SSL 警告のおよそ 20% はユーザーが無視できないものでした。この比率は、MITM 攻撃に由来するものでしょう。

マルウェア警告を無視するのは、賢明でもありません。シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)によると、感染した Web サイトの 61% は、正規の Web サイトが乗っ取られたものでした。つまり、過去にアクセスしたことがある既知のサイトだからといって安全とは限りません。前回のアクセス以降に感染し、今では悪用を通じてマルウェアに利用されているかもしれないからです。

ブラウザの警告は必ず読み、真剣に受け止めることをお勧めします。読んで内容を理解したうえで、その Web サイトにセキュリティ上のリスクがないことがわかっているのであれば、クリックすればいいのです。ろくに確かめもせず、やみくもに警告を無視してクリックしてしまうことだけは避けてください。

Dont ignore 1.png

図. Firefox のマルウェア感染サイト警告

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android APK ???????????????????????????

先日のブログでお伝えしたように、Java で記述されているために複数のオペレーティングシステムで実行できるリモートアクセスツール(RAT)の活動が活発化しています。Android オペレーティングシステムが急速に普及している状況で、Android OS が最新の標的となり、RAT に対して無防備なのは当然です。アンダーグラウンドフォーラムでは、昨年の終わり頃から AndroRAT(Android.Dandro)として知られる無償の Android 版 RAT が公開されています。そして最近、AndroRAT を使って簡単に正規のアプリを再パッケージ化し、トロイの木馬を仕掛けることのできるツールが初めて登場しました。アンダーグラウンド経済がサイバー犯罪者の需要に応えようとすることを考えれば、これも当然の流れでしょう。
 

figure1.png

図 1. 世界最初のバインダを謳ってアンダーグラウンドで販売されている「バインダ」ツール

オープンソースの Android 版 RAT である AndroRAT が公開され、インターネット上で誰でも入手できるようになったのは、2012 年 11 月のことです。他の RAT と同様に AndroRAT でも、攻撃者はわかりやすいコントロールパネルを使って侵入先のデバイスを制御できます。たとえば、デバイス上で実行されている AndroRAT は、電話をかけたり監視したりするほか、SMS メッセージを送信する、デバイスの GPS 座標を取得する、カメラとマイクを有効化して利用する、デバイスに保存されたファイルにアクセスするといったことが可能です。
 

figure2_HL.png

図 2. AndroRAT のコントロールパネル
 

RAT は、Android の標準アプリケーションフォーマットである APK の形で提供されます。AndroRAT APK バインダと組み合わせて使えば、専門知識の乏しい攻撃者でも AndroRAT を使って簡単に、正規の Android アプリに感染するプロセスを自動化し、トロイの木馬を仕掛けることができます。トロイの木馬を仕掛けられた正規のアプリがデバイスにインストールされると、ユーザーは何も知らずに、目的の正規アプリとともに AndroRAT もインストールすることになります。攻撃者は、ユーザーを欺いて Android セキュリティモデルの機能をすり抜けられるわけです。シマンテックは現在までに、人気のある 23 種類の正規アプリが AndroRAT によって実際にトロイの木馬を仕掛けられていることを確認しています。

これに続いて、シマンテックは有償版の Java RAT も確認しています。これが Adwind(Backdoor.Adwind)で、すでに複数のオペレーティングシステムに対応しているうえに、AndroRAT のオープンソースコードに基づいて Android モジュールを取り込みつつあるようです。有償版のこの RAT にも、リモートで RAT を管理制御できるグラフィカルユーザーインターフェースが装備されています。

 

figure3LOB.png

図 3. Adwind のメインコントロールパネル
 

Adwind が Android で動作するところを解説したデモンストレーション用ビデオでも、感染したデバイス上に AndroRAT が存在していることが示され、Adwind の作成者が AndroRAT ツールをカスタマイズして Adwind に取り込んでいる可能性が示唆されています。AndroRAT のコードが、カスタマイズして新しい脅威やツールを簡単に作成できるというオープンソースの性質を備えている以上、こうした展開もなんら不思議なことではありません。
 

figure4_HL_600pxw.png

図 4. 感染したデバイス上に AndroRAT が存在することを示す Adwind のビデオからのスクリーンショット

シマンテックの現在の遠隔測定によると、米国とトルコが最も頻繁に Android.Dandro の標的になっています。感染数は全世界でも数百件どまりですが、遠隔測定では、最近になって感染数が増えていることも報告されています。AndroRAT 用のツールがますます流通し高機能になっていることを考えれば、増加傾向は今後も続くものとシマンテックは予測しています。
 

figure5LOB.png

図 5. 感染の分布図
 

リモートアクセスツールの進化が Android プラットフォームに向かうことは、以前から予期されていました。AndroRAT は今のところ、それほど高機能ではなさそうですが、コードがオープンソースであり人気も高くなっている以上、さらに深刻な脅威に発展する恐れは十分にあります。

この脅威を Android.Dandro として検出する、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Don’t Ignore the Warnings

      No Comments on Don’t Ignore the Warnings

Be honest. Do you really read the warning messages that your browser displays to you? Or do you blindly click the phishing site warnings or the SSL mismatch dialog away? Apparently most users don’t seem to care too much about those warnings and c…

Phishers Pursue More Victims by Urging Users to Spam

Improving effectiveness of phishing bait is always at the top of any phishers’ agenda. They prefer to use bait that reflects enticing subjects in order to catch the attention of as many users as possible. Recently, we have seen phishers moving one step ahead. In addition to having eye-catching bait, they are compelling users to spread the word. In today’s example, phishers used free cell phone airtime as the phishing bait.

The phishing site requested Indian Facebook users to verify their account by entering their login credentials in order to get the fake offer of free cell phone airtime. But phishers, not content with just duping one user and eager to target even more, start off by saying the offer is only valid after posting this same offer on the profile pages of a number of friends. Phishers devised this strategy because obviously receiving messages from friends is more convincing than from unknown sources. The method phishers are using in effect enlists unsuspecting users into spamming for them.
 

image1_4.jpeg

Figure 1. Facebook account verification
 

image2_2.jpeg

Figure 2. “Like us” enticement
 

image3_1.jpeg

Figure 3. Sharing enticement
 

image4_1.jpeg

Figure 4. Sharing enticement and personal information request
 

The first page of the phishing site asked users to verify their Facebook account. Users were then alerted that all information should be entered correctly. The second page of the phishing site displayed an image of a selection of Indian cell phone network operators. The phishing page stated that free airtime worth “Rs. 500” is available from the offer after following four additional steps. The steps were essentially to like, subscribe, share, and post the offer to at least 10 friends. Finally, in order to complete the process, the phishing site asked users for personal information including name, email address, cell phone number, network operator, and cellular zone. If any user fell victim to the phishing site, phishers would have successfully stolen personal user information for identity theft.

Users are advised to follow best practices to avoid phishing attacks:

  • Do not click on suspicious links in email messages
  • Do not provide any personal information when answering an email
  • Do not enter personal information in a pop-up page or screen
  • Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https,” or the green address bar when entering personal or financial information
  • Use comprehensive security software such as Norton Internet Security or Norton 360, which protects you from phishing scams and social network scams
  • Report fake websites and email (for Facebook, send phishing complaints to phish@fb.com)

Remote Access Tool Takes Aim with Android APK Binder

In a previous blog, we talked about the rise of remote access tools (RAT) written in Java that are capable of running on multiple operating systems. With the growing popularity of the Android operating system, it comes as no surprise that the Android O…

???????????????????????????

      No Comments on ???????????????????????????
クラウドベースのオンラインサービスは、チーム間の協力、情報の共有、グループ内のディスカッションなどに利用でき、多くの企業にとって便利なツールとなっています。しかし、ビジネス上の重要な内容を話し合ったり機密データをアップロードしたりする前に、オンラインサービスのプライバシー設定をどのように管理するかについて明確に意識しておく必要があります。
 
日本の多くの官公庁や企業は、このことを苦い経験から学んだようです。各紙の報道によると、Google グループをデフォルトのプライバシー設定で使っていたために、官公庁や民間企業で内部情報が公開されていた事例が 6,000 件以上も確認されたと言います。デフォルト設定のままにしておくと、事前に承認したメンバーだけでなく、誰でも自由にディスカッションのスレッドを閲覧できてしまいます。病院や学校で患者や生徒の情報が公開されていたケースのほか、支持者の一覧表が公開されていた政党が少なくとも 1 つあったと報じられました。それどころか、自社の記者が同じ失敗を犯したと認めている新聞社もあり、報道記事の下書きやインタビュー原稿が漏えいした可能性も否定できないと指摘しています。
 
日本政府は、職員が誤って内部メモを一般に公開したことを認めており、これは Google グループのオンラインディスカッションでプライバシー設定を誤ったことが原因だとしています。公開された内容には、水銀の輸出入に関する国際条約についての協議予定や、その問題をめぐってスイスとノルウェーの環境相間で交わされた議論なども含まれていました。環境省の担当者は、この内部メモは極秘のものではなかったが、同様の漏えいを防ぐ対策をすでに講じたと述べています。
 
クラウドサービスプロバイダがデフォルト設定を「非公開」にしている場合でも、誤って「公開」に設定してデータを公開してしまうという類似の事例がこれまでにも発生しています。このときも、12,000 以上のデータバケットが漏えいし、そのうち 2,000 近くが一般ユーザーの目に触れる結果になりました。これらのバケットは 1,260 億ファイルに相当し、その中にはソーシャルネットワークのデータや売上記録、ビデオゲームのソースコード、暗号化されていてないデータベースのバックアップデータまで含まれていました。
 
こうした事例は、悪質な攻撃がなくても人的エラーだけで機密データがいとも簡単に漏えいしてしまうことを如実に示しています。このようなエラーが至るところに見られたというのは、憂慮すべき事実であり、多くのユーザーが、コミュニケーションが非公開になっていると疑わず、自分自身では設定を確認していないことが示唆されます。コミュニケーションツールを使う際には、あらゆる情報が保護されるようにプライバシー設定を必ず確認してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。