Category Archives: Security Response News

????????????? 2013 ??????

      No Comments on ????????????? 2013 ??????

寄稿: Vivek Krishnamurthi

国際的なダンス競技会である「ダンスグランプリヨーロッパ」が 6 月 12 日からスペインで開催されます。この競技会は、さまざまなダンススクールのトップダンサーを披露することを目的として開催される大きなイベントであり、世界中のダンサーたちを惹きつけてやみません。スパマーも同じようにこの舞台に注目し、詐欺メールを拡散する機会を狙っています。
 

image1_0.jpeg

図 1. ダンスグランプリヨーロッパ 2013 を利用したスパム
 

ユーザーの関心を引こうとして、スパムメールでは、このイベントで人気を呼びそうな内容を紹介したうえで、参加費用は「格安」で追加料金もいっさい不要と謳っています。URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。
 

dancescam-fake2.png

図 2. 海賊版の Web サイト。正規サイトと似ているが、連絡先情報(緑の線で囲まれた部分)が異なる
 

dancescam-real.png

図 3. オリジナルの正規のイベント Web サイト
 

注目に値するのは、偽の Web サイトに信憑性を持たせるために、オンラインの訪問者を観測するウィジェットをページの左下に追加し、オンラインユーザー数と称してランダムな数字を表示している点です。このスパム攻撃の主な動機は、ユーザーを誘い出してその個人情報や口座情報を手に入れることにあります。十分に注意を払い、リンクはクリックしないようにしてください。

このスパム攻撃で確認されている件名の例を以下に挙げます。

  • 件名: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.(ダンスグランプリヨーロッパ、2013 年 6 月 12 日から 16 日まで開催。世界中のダンススクールやグループが競う)
  • 件名: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.(グランプリはスペインで開催。ダンススクールとグループのための競技会、2013 年 6 月 12 日から 16 日まで)
  • 件名: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!(ダンスグランプリヨーロッパ、2013 シーズン開幕のお知らせ! ホリデーシーズンを前に、記念すべき「2013 ダンス年」を祝してあなた自身にも、スクールやグループにも贈り物はいかがですか。ヨーロッパダンス競技会の参加予約は、今すぐ!)

ダンスグランプリヨーロッパ 2013 にちなんだ迷惑メールや心当たりのない電子メールの扱いには注意して、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでも、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、24 時間 365 日の態勢でスパムを監視しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Now Target Real Madrid Fans

Contributor: Avdhoot Patil
It seems that targeting football clubs, football celebrities, and football events has become a habit for phishers. They continue their uncivilized activities and in particular single out football. Now, phishers have set their…

??????????????

      No Comments on ??????????????

贈り物を準備しながら、父親に感謝と親愛の気持ちを伝える日を指折り数えて待っている人も多いことでしょう。今年の父の日は 6 月 16 日です。先月は「母の日を悪用するスパムが今年も登場」と題するブログを公開しましたが、今度は父の日に向けて、Symantec Probe Network でスパムメッセージが検出され始めています。スパムメールのほとんどは、お買い得商品、偽アンケート、高級腕時計のコピー商品などでユーザーを誘おうとするものです。スパムメッセージに含まれている URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

Figure1_1.png

図 1. ギフト広告スパム

Figure2_0.png

図 2. 父の日を利用した商品広告スパム

スパマーはいつでも無防備なユーザーの隙を狙い、偽広告で宣伝されている商品を購入するためと称して個人情報を入力させようとします。最近も、URL に .pw を含むスパムメッセージが増加していることをお知らせしたばかりですが、大きなイベントやフェスティバル、祝祭日の前後には、.pw のトップレベルドメイン(TLD)を含むメッセージの増加が今もなお確認されています。父の日スパムでは、URL に .pw を使った差出人として以下のような例が確認されています。

  • 差出人: “Personalized Father’s Day Gifts”(名前入りの父の日ギフト)<support@[削除済み].pw>
  • 差出人: Quick Father Gifts(お手軽な父の日ギフト)<cigarformen@[削除済み].pw>
  • 差出人: Cigars for Dad(お父さんに葉巻を贈ろう)<cigarformen@[削除済み].pw>
  • 差出人: Fathers Day Cigars(父の日の葉巻)<cigarformen@[削除済み].pw>

Figure3_0.png
図 3. 父の日を餌に利用した偽ディスカウントスパム

スパマーは、宣伝されている商品を偽のクーポンコードで購入できると誘い、「オリジナルと同じ素材を使用」などという売り文句でユーザーを欺きます。このスパム攻撃で使われているディスカウントコードは、dad[ランダムな数字] や father[ランダムな数字] などの形式で、父の日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

Figure4_0.png

図 4. 偽のディスカウント商品で誘うスパム

シマンテックでは、父の日にちなんだスパム量が増えていることを確認しています。次のグラフをご覧ください。

Figure5.png

図 5. 父の日スパムの件数の傾向

最近のスパム攻撃で使われている件名の例を以下に示します。

  • 件名: 15 Cigars for 29.95 (68% off Fathers Day sale!)(15 本入り葉巻が 29.95 ドル(父の日限定 68% オフ!))
  • 件名: The perfect gift for Fathers day only costs 32% of the original price!(父の日に最高のギフトが、元値のたった 32% !)
  • 件名: Regarding Father’s Day orders(父の日のご注文について)
  • 件名: Personalized Gifts for All The Dads In Your Life(お父さんに名前入りのギフトを)
  • 件名: Top Personalized Fathers Day Gifts(父の日の名前入りギフト)
  • 件名: Get relief from chronic spine conditions. Father’s Day Discount Available(慢性的な背中の痛みにさようなら。父の日ディスカウントあり)
  • 件名: Don’t forget your father(お父さんのことを忘れないで)
  • 件名: Don’t forget about your father(たまには、お父さんのことを思い出そう)
  • 件名: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card(父の日アンケートに答えて、25 ドル相当の xxx ギフトカードをもらおう)
  • 件名: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available(頸椎手術や脊椎に代わる内視鏡が登場。父の日の割引特典あり)

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、父の日スパムの厳重な監視を続けています。

どうぞ、素晴らしい父の日を安全にお迎えください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???: ?????????????

      No Comments on ???: ?????????????

竜船祭は、端午節とも呼ばれ、中国をはじめとする東アジア各地で 2,000 年以上前から伝統的に祝われてきた重要な祝日です。人々はこの日、象徴的な一連の行事によって夏の伝染病や悪霊を追い払います。古来、夏というのは重い病気をもたらす病害虫や蛇、ノミの季節であると考えられてきたからです。

竜船祭の日には、竜船(ドラゴンボート)競技を開催するほか、蒸したもち米を竹の皮で包んだもの(ちまき)を食べる、薬用酒(雄黄酒)を飲む、生薬を使った香り袋を身に着けるなど、さまざまな伝統儀式があります。こうした行事の多くは商業的な要素を含んでいるため、スパマーもひと儲けするチャンスを抜け目なく狙っています。

今年は 6 月 12 日が竜船祭に当たっており、それに先立つ期間にシマンテックは、竜船祭に関係するスパムを大量に遮断しています。

dragon_boat_spam.png

図. 竜船祭にちなんだサンプルスパムメール

疑わしいリンクが掲載されている迷惑メールの扱いには、改めてご注意ください。終わることのないスパムの処理に閉口している方には、受信ボックスに届く前に迷惑メールを遮断する、シマンテックの最新のスパム対策製品をお勧めします。スパムに悩まされることなく、楽しい竜船祭をお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.
 

image1_0.jpeg

Figure 1. Dance Grand Prix Europe 2013 spam
 

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.
 

dancescam-fake2.png

Figure 2. Pirated website looks like original, changed contact information (green box)
 

dancescam-real.png

Figure 3. Original and legitimate event website
 

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

  • Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
  • Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
  • Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.

Beware of Fake Gift Offers for Father’s Day

A lot of people are counting down the days until they can express their appreciation and love towards their dads by giving them gifts for Father’s Day, which is celebrated on June 16. Last month we published a blog called Spammers Continue to Exploit Mother’s Day, now it’s the turn of Father’s Day, as spam messages have started flowing into the Symantec Probe Network. Most of the spam emails attempt to encourage users to take advantage of product offers, fake surveys, and replica watches. Clicking the URL contained in the spam message automatically redirects the user to a website containing a bogus offer.

Figure1_1.png

Figure 1. Gift offer spam

Figure2_0.png

Figure 2. Product spam related to Father’s Day

Spammers will always try to take advantage of unsuspecting users by asking them to input personal information to avail of bogus offers for purchasing products. Symantec recently blogged about the rise of .pw URLs in spam messages and we are currently observing an increase in spam messages containing the .pw top-level domain (TLD) URLs in and around the times of major events, festivals, and holidays. Below are some examples of the From header, using .pw URLs, that have been observed in Father’s Day spam:

  • From: “Personalized Father’s Day Gifts” <support@[REMOVED].pw>
  • From: Quick Father Gifts <cigarformen@[REMOVED].pw>
  • From: Cigars for Dad <cigarformen@[REMOVED].pw>
  • From: Fathers Day Cigars <cigarformen@[REMOVED].pw>

Figure3_0.png
Figure 3. Fake discount spam using Father’s Day as a lure

Spammers invite users to purchase the advertised product with a bogus coupon code and make false promises such as claiming the “materials used are the same as original.” The discount codes used in the spam attacks, such as dad[RANDOM NUMBERS] and father[RANDOM NUMBERS], attempt to lure users into clicking a link in order to take advantage of the Father’s Day offer.

Figure4_0.png

Figure 4. Fake product discount spam

Symantec is observing an increase in spam volume related to Father’s Day, which can be seen in the following graph.

Figure5.png

Figure 5. Volume trend of Father’s Day spam

Below are some of the subject lines used in this latest spam campaign:

  • Subject: 15 Cigars for 29.95 (68% off Fathers Day sale!)
  • Subject: The perfect gift for Fathers day only costs 32% of the original price!
  • Subject: Regarding Father’s Day orders
  • Subject: Personalized Gifts for All The Dads In Your Life
  • Subject: Top Personalized Fathers Day Gifts
  • Subject: Get relief from chronic spine conditions. Father’s Day Discount Available
  • Subject: Don’t forget your father
  • Subject: Don’t forget about your father
  • Subject: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card
  • Subject: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available

Symantec advises users to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Father’s Day spam attacks to ensure that users are kept up to date with information on the latest threats.

Have a safe and happy Father’s Day!

Dragon Boat Festival: Now Driving Away Spam Too

The Dragon Boat Festival, also known as the Duanwu Festival, is an important traditional holiday that has been celebrated by Chinese people as well as other people in East Asian societies for nearly 2,000 years. It is a day for people to drive away epi…

????????????EFS???????????????????? Backdoor.Tranwos

最近シマンテックは、暗号化ファイルシステム(EFS)を悪用する脅威(Backdoor.Tranwos として検出されます)を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。

この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。
 

backdoor tranwos 1 edit.png

図 1. フォルダを作成して暗号化
 

セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。

この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。
 

backdoor tranwos 2.png

図 2. wow.dll ファイルのパス
 

この脅威が実行されると、暗号化されたフォルダとファイルはエクスプローラで緑色で表示されます。

この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。

このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????

      No Comments on ???????????????

ウェアラブル技術、つまり身に着けて生活を快適にするための技術について、多くのハイテク企業が研究を進めています。この種の技術のコミュニティを最近最も賑わせているのがスマートグラスであり、なかでも話題の中心になっているのが Google Glass です。拡張現実(AR)を利用した視覚支援という機能は魅力的に思えますが、プライバシーの観点からどこまでを許可するかという議論も巻き起こっています。友人を撮影するときに必ず通知する必要があるとしたら、おそらく、録画中は Google Glass で赤い LED を点滅させるべきでしょう。「邪視(Evil Eye)」という言葉の意味も変わってきます。Google Glass の組み込み機能を拡張しようとしているユーザーを Web で検索してみると、ありとあらゆる統合機能について面白いアイデアが見つかります。そのひとつが、議論を呼んでいる顔認識機能です。

しかし、注目に値するウェアラブルデバイスは、Google Glass だけではありません。スマートブレスレットやインテリジェントシューズから、他のデバイスと通信できる腕時計まで、購入可能なデバイスすべてがそうです。先日開催された「D: All things Digital」カンファレンス(D11)でも、試作品が何点か公開されました。

たとえば Motorola 社は、鍵と同じように個人の認証に使える電子タトゥーを実演したほか、さらに一歩進んで、飲み込むと身体の中から信号を発信する錠剤まで発表しました。どちらも、人間の身体をいわばパスワードトークン(身元を保証するもの)と見なし、認証の目的に利用するという発想です。

もちろん、似たような技術はすでに使われています。RFID カードもポケットに入れれば身に着けられますし、生体認証は言うまでもありません。指を押し当てるだけで魔法のようにドアが開く自動車も登場しています。自分の指紋も、言ってみれば常に身に着けているようなものです。残念ながら、指紋読み取り機は非接触式ではないため、無線技術ほど便利ではありません。一方、信号を送信する方式には必ず、プライバシーと追跡に関する問題がつきまといます。RFID 式のパスポートを導入した国のほとんどで、このことが問題視されています。チップから秘密鍵を抜き出して他人になりすますことはできないとしても、デジタル指紋の応答を生成することは可能なので、追跡プロファイルは作成できることになります。不正な RFID 読み取りを防ぐために、ファラデーケージ(電磁シールドの一種)を利用して財布を保護している人が多いのは、このためです。さすがに、T シャツをファラデーケージで保護しなければならない日がすぐに来るとは思いませんが、ウェアラブルな認証トークンを広く普及させようと考えたときには、これも解決しなければならない課題のひとつです。

とは言え、これは興味の尽きない分野であり、特にパスワードを忘れがちな人には間違いなく便利なものでしょう。もっとも、錠剤タイプの場合、飲み忘れてしまったら同じことですが。そもそもデフォルトで強力なパスワードなので、脆弱なパスワードという問題も解決されますし、パスワードマネージャのマスターパスワードとして使うこともできます。しかし、このコンセプトがどのように実装されるか、人々がこのようなデバイスを受け入れるかどうかは、今後の様子を見守る必要があります。実装の状況によっては、システムに対する攻撃が依然として可能な場合や、完全にパスワードを無視して認証済みのセッションを盗み出すことも可能かもしれません。

いずれにしても、シマンテックはこうした技術の推移に注目しており、詐欺メールの厳重な監視を続けています。安価な薬の宣伝に代わって、ユーザーの認証用錠剤を送るように指示する詐欺メールが出現するかもしれません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Tranwos Abuses EFS to Prevent Forensic Analysis

Recently, we discovered a threat that abuses the Encrypting File System (EFS), which Symantec detects as Backdoor.Tranwos. Not only is it trivial for program code to use EFS, it’s also very effective at preventing forensic analysis from accessing…