?????????????????????????????

      No Comments on ?????????????????????????????
3442719_-_mobile_device_grayware_concept.png
モバイルセキュリティで非常に厄介なのが、「グレイウェア」をめぐる問題です。正規のソフトウェアとマルウェアとの間に明確な境界線はなく、グレイウェアは概ねその曖昧な領域に存在します。グレイウェアとは、明らかにマルウェアと言えるものを隠し持っているとは限らないものの、何らかの形でユーザーにとって有害または迷惑なアプリのことです。たとえば、ユーザーの所在や Web ブラウズの習慣を追跡する、望まない広告をしつこく表示するといった動作をします。多くの場合、グレイウェアの作成者はソフトウェアライセンス契約の中に小さな文字でアプリの機能概要を示して正規のアプリを装います。
 
グレイウェア自体は目新しい存在ではなく、無償アプリケーションにスパイウェアなどの余計なものが含まれているとして議論の対象になり始めたのはもう 10 年以上も前のことです。PC ユーザーのスキルが上がり、インストールされるものに関して敏感になるとともに、その議論は下火になりましたが、スマートフォンという新しい環境が登場するようになると、まったく新しいソフトウェアマーケットが生まれました。スマートフォンのユーザーは、まるで 10 数年前の PC 環境に対するのと同じような不用心さで、モバイルソフトウェアマーケットに接しています。多くの場合、ユーザーは、機能の全容をほとんど、あるいはまったく知らないままモバイルアプリをインストールしているのです。
 
これは深刻な問題です。シマンテックが集めたデータでは、モバイルアプリの 3 分の 1 以上がグレイウェアと見なせると示唆されています。ノートン モバイルセキュリティの新バージョンが発表された昨年までに、シマンテックのアプリ解析ツール、ノートン モバイルインサイトは、400 万以上のアプリを解析してきましたが、そのなかでグレイウェアに分類できるものは 150 万にのぼりました。これは、マルウェアに分類されるアプリの 30 万という数字と比べると相当な数です。
 
グレイウェアの形態は、ユーザーのプライバシーをもてあそぶアプリから、さらに手の込んだアプリまでさまざまです。たとえば、シマンテックが最近発見したグレイウェアアプリは、「いいね」やフォロワーの数を増やすためとして Instagram ユーザーにユーザー名とパスワードを共有するよう誘導します。これは InstLike というアプリで、Apple 社の App Store でも Google Play でもしばらくの間ダウンロードできましたが、その後どちらからも削除されました。
 
このアプリは、フォロワーと「いいね」の数を無料で増やせると謳っていますが、実際にはユーザーの Instagram ログイン情報を要求します。この要求に応じると、アプリはユーザーの Instagram アカウントを制御できるようになり、ユーザーが操作しなくても写真に自動的に「いいね」を付けます。
 
モバイルグレイウェアのうち、ここ数年で増加しているカテゴリのひとつが「マッドウェア」です。マッドウェアとは、攻撃的な広告ライブラリを使うアプリのことを指します。広告ライブラリは、ターゲット広告を表示するためにユーザーに関する情報を収集できるアプリのコンポーネントです。収入を広告に依存することが多い無料アプリではよく使われる機能ですが、一部には、個人情報を漏えいする、通知バーに広告を表示する、広告用のアイコンを作成する、ブックマークを変更するといった迷惑な手法を採用している広告ライブラリもあります。
 
シマンテックが最近実施した調査では、既知の広告ライブラリ 65 個のうち、半数以上がマッドウェアに分類できることが判明しました。マッドウェアを使うアプリの比率は、一貫して上昇傾向にあります。たとえば、Google Play で公開されたアプリのうちマッドウェアと見なすことができるものは、2010 年の 5% 未満から昨年には 23% に増えています。
 
では、グレイウェアに対してどのように対処すればいいのでしょうか。不正と見なされる境界線は越えていないため、通常、ウイルス対策企業はこれらを遮断することができません。App Store や Google Play のような公式のモバイルマーケットから、利用規約に反しているとして削除されるものもあります。
 
最大の防衛手段は知識です。PC ユーザーが、コンピュータにインストールするものに関して以前より用心深くなったように、スマートフォンユーザーも、ダウンロードする対象には注意し、アプリが求める許可も確認する必要があります。
 
スマートフォンを勝手に操作しようとするアプリを識別できるツールもいろいろと公開されています。たとえば、ノートン スポットは Android デバイスをスキャンして、スパム攻撃に利用される攻撃的な広告ライブラリを見つけ出し、関連するアプリを特定します。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Security Advisory (2871690): Update to Revoke Non-compliant UEFI Modules – Version: 2.0

      No Comments on Microsoft Security Advisory (2871690): Update to Revoke Non-compliant UEFI Modules – Version: 2.0

Severity Rating: Revision Note: V2.0 (February 27, 2014): Revised advisory to rerelease update 2871690. The rereleased update addresses an issue where specific third-party BIOS versions did not properly validate the signature of the original update. Cu…

????????? 10 ????

      No Comments on ????????? 10 ????
mwc_10years_tube_map_infographic.png
図. モバイルマルウェアの歴史
 
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
 
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる Trojan.Mos が、バックグラウンドでプレミアムテキストメッセージを送信する仕組みで、金銭的な儲けに特化したモバイルマルウェアが広く確認された最初のケースです。今でも、トロイの木馬が仕掛けられた何百という Android 用ゲームで同様の手口が使われており、インストールすると高額のテキストメッセージが送信されます。Trojan.Mos のすぐ後には、Skull の最初のバージョンが出現しました。Skull というのは、メインのペイロードにちなんだ命名で、ほとんどのアプリのアイコンがガイコツの画像に置き換えられたからです。また、システムファイルやアプリファイルも置き換えられたため、ファイルの機能が無効になり、携帯電話はほぼ使用不能に陥りました。幸いなことに、この当時ランサムウェアはまだ一般的ではありませんでしたが、そうでなければ、ユーザーのデータやモバイルデバイスそのものを人質に取ろうとするマルウェアも出現していたに違いありません。その状況が変わったのは、2013 年にモバイルデバイスを狙うランサムウェアの最初のサンプルが確認されたときのことです。ランサムウェアでは、データではなく携帯電話そのものを人質に取ることに主眼が移っています。デバイスが頻繁に同期され、データは自動的にクラウドにアップロードされるようになって、ユーザーにとってバックアップの利便性が高まったためです。
 
2005 年になると SymbOS.CommWarrior.A が登場し、連絡先に載っている番号に次々と MMS メッセージを送信するなど、感染経路が広がりました。このマルウェアは大きな成功を収め、CommWarrior という亜種はその後何年間も携帯電話のネットワークにはびこっています。2006 年に現れた Trojan.RedBrowser.A は、プレミアムテキストメッセージを他のオペレーティングシステムに送信するという形で脅威の範囲を広げました。これが、J2ME を標的とし、複数の携帯電話プラットフォームに感染する最初のトロイの木馬でした。
 
それから 1 年も経たないうちに、モバイルデバイスは PC を狙う定番マルウェアと似たようなマルウェアへの対処を迫られるようになります。ワーム、データの窃盗や金銭を狙うトロイの木馬、他のファイルに感染するウイルスなどです。それだけでなく、アドウェアやスパイウェアの流行も携帯電話を見逃しはしませんでした。2006 年にリリースされた販売向けの Spyware.FlyxiSpy は、侵入したモバイルデバイスのあらゆる活動を監視することに大きく成功します。配偶者のデバイスを盗み見たいユーザーにとってのベストソリューションとまで宣伝されるほどでした。類似の脅威がそれに続き、あらゆる操作を追跡できる進化形も現れました。
 
オンラインバンクの多くが帯域外の SMS 送信による認証方式を採用するようになると、犯罪者もそれに追随しました。その結果 2010 年に登場したのが SymbOS.ZeusMitmo です。侵入先のモバイルデバイスから、銀行口座の取引情報をテキストメッセージで攻撃者に転送する機能があったため、攻撃者はそれを利用してオンラインバンキング詐欺を実行し続けることができました。これも大きな成果を上げたため、iOS を除く主要なモバイル OS のすべてに、オンラインバンキングサービスを標的とするモバイルマルウェアが出現しました。
 
2011 年、Android が最大の携帯電話プラットフォームになると、マルウェアの作成者もそれに注目するようになります。攻撃者は、トロイの木馬を仕掛けたアプリを拡散経路として選び、ソーシャルエンジニアリングの技術を駆使してユーザーがそれをインストールするように誘導を試みます。たとえば、Android.Geinimi はモバイルデバイス向けのボットとして早期に成功した例ですが、実用的なアプリに偽装していました。それ以来、モバイルボットネットは広がり続け、クリック詐欺やプレミアムテキストメッセージ詐欺にもたびたび使われるようになっています。
 
Android.Rootcager が登場したのも同じ 2011 年のことで、これは悪用コードを利用して特権を昇格する最初の Android マルウェアです。モバイルマルウェアと PC 向けマルウェアとの違いは少なくなりましたが、そのひとつを備えているのが Android.Rootcager です。Windows コンピュータでは、悪用コードを使って自身を侵入先のコンピュータにインストールするマルウェアは珍しくありません。実際、悪質な Web サイトによるドライブバイダウンロード型の感染は、感染経路のトップになっています。一方で、携帯電話でドライブバイダウンロードが見られるのはごくまれであり、ほとんどの場合、アプリそのものをインストールさせるにはユーザーを欺く必要があります。ただし、モバイル OS に脆弱性が皆無ということではありません。脆弱性は実際に多く存在しますが、攻撃者が脆弱性の悪用をまだそれほど必要と思っていないだけのことです。2010 年には、iPhone のジェイルブレイクを扱う Web サイトで、脆弱性を悪用した攻撃がどのように行われるか実証されました。このサイトは、PDF のフォント解析に存在する脆弱性を悪用して、秘かにカスタムのソフトウェアをインストールしていました。その後、すべてのモバイル OS でセキュリティが強化されたため、マルウェアによる脆弱性の悪用はさらに難易度が高くなっています。
 
過去 2 年間では、モバイルデバイスを狙うトロイの木馬とアドウェアの顕著な進歩が確認されていますが、これは主に Android 携帯が中心です。今では、標的型攻撃でも、スパイ活動の目的にモバイルマルウェアが使われるようになっています。こうした傾向を考えると、モバイルマルウェアはすでに現実的な脅威となっており、まだ今後もさらに警戒が必要です。実際、将来的に携帯電話が本人確認のためのトークンや決済手段として使われるようになれば、モバイルの脅威は遠からず新たな進化を遂げるだろうと思われます。
 
今後も、不明なソースからアプリをインストールしないよう警戒を怠らず、強力なパスワードを使ってデバイスやサービスを保護することをお勧めします。シマンテックは、モバイルデバイスでこうした脅威を遮断する各種のセキュリティ製品を提供しており、次世代の保護対策をお届けするために常に努力を続けています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Lost your phone? avast! Anti-Theft helps get it back!

      No Comments on Lost your phone? avast! Anti-Theft helps get it back!

Our AVAST mobile security developers labored over an ingenious feature that we hope you will never have to use. Losing your mobile phone may cause you to have a panic attack and cry uncontrollably, but if it happens to you, you can dry your tears because you have tools to find your phone when you […]

Why you should join the AVAST Business Partner Program.

      No Comments on Why you should join the AVAST Business Partner Program.

Most of you know avast! Antivirus as a free antivirus solution that provides comprehensive protection for consumers. With over 211 million users, including small companies up to enterprise using avast! Endpoint Protection, avast! is the most trusted antivirus protection in the world. AVAST business product facts: AVAST has over 3,000 business partners worldwide and the […]

Grayware: Casting a Shadow over the Mobile Software Marketplace

      No Comments on Grayware: Casting a Shadow over the Mobile Software Marketplace
3442719_-_mobile_device_grayware_concept.png
One of the most problematic areas in mobile security today is “grayware.” The dividing line between legitimate software and malware is not clearly drawn and grayware often occupies this murky middle ground. Grayware is applications that may not have any recognizable malware concealed within them but can nevertheless be in some way harmful or annoying to the user. For example, it might track their location, Web browsing habits or serve up unwanted ads. In many cases, grayware authors often maintain a veneer of legitimacy by outlining the application’s capabilities in the small print of the software license agreement. 
 
Grayware is not a new phenomenon and it first began to attract attention well over a decade ago when unwanted extras, such as spyware, were often packaged with free applications. As PC users became more savvy and aware of what they install, the controversy died down. However, the arrival of the new generation of smartphones has created a brand new software market. Consumers are prone to treat the mobile software market with the same degree of naivety that they may have treated the desktop space ten or fifteen years ago. Mobile apps are often installed with little or no consideration of what they may be capable of.
 
How big is the problem? Data collected by Symantec suggests that over a third of all mobile apps can be regarded as grayware. By the time the new version of Norton Mobile Security launched last year, Norton Mobile Insight, Symantec’s app analysis tool, had analyzed more than four million apps and found that 1.5 million could be classed as grayware. This compares to 300,000 apps that were classed as malware. 
 
Grayware can be anything from an app that plays fast and loose with the user’s privacy to something far more elaborate. For example, Symantec recently discovered a grayware app that encouraged Instagram users to share their usernames and passwords in order to increase likes and followers. The app, known as InstLike, was for a time available on the Apple App Store and the Google Play Store, but both companies have since removed it. 
 
The app claimed that it could provide people with followers and likes for free. However, it demanded a user’s login credentials for Instagram. The app was then given significant control of a user’s Instagram account, automatically liking photos without any user interaction.
 
One class of mobile grayware that has grown in recent years is what’s known as “madware.” This refers to apps that use aggressive ad libraries. An ad library is a component of an app that can collect information about the user for the purposes of displaying targeted advertising. It is a common feature of free apps, which usually rely on advertising for revenue. However, some ad libraries adopt aggressive tactics, such as leaking personal information, displaying ads in the notification bar, creating icons for ads or changing bookmarks. 
 
Recent research by Symantec found that of the 65 known ad libraries, over 50 percent can be classified as madware. The percentage of apps that utilize madware has risen steadily. For example, 23 percent of apps on the Google Play store last year can be considered as madware, up from less than 5 percent in 2010. 
 
What can be done about grayware? Because it doesn’t cross the bounds of illegality, antivirus firms usually can’t block it. Occasionally it is removed from official mobile marketplaces such as the Apple App Store or Google Play because it violates terms and conditions. 
 
Knowledge is the best defense. In the same way that PC users are now a little bit more wary about what they install on their computers, smartphone users should take a moment to consider what they’re downloading and look into what permissions the app is seeking. 
 
There are also a number of tools you can use to help identify which apps may be taking liberties with your smartphone. For example, Norton Spot will scan your Android phone for aggressive ad libraries that may spam your device and identify the apps associated with them. 

??????????????????????? Internet Explorer 10 ????????

      No Comments on ??????????????????????? Internet Explorer 10 ????????

先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT(Advanced Persistent Threat)に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。

シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。

IE 10 zero day 1.png

図 1. CVE-2014-0633 を悪用する攻撃の分布図

特に、日本のサイトにアクセスするユーザーが標的となっています。これは、複数のサイトが侵害され、ドライブバイダウンロードのホストとして利用されていることが主な原因です。今回の攻撃では、以下のサイトが侵入を受けています。

  • 登山者を対象としたコミュニティサイト
  • 出会い系アダルトサイト
  • 言語教育を推進するサイト
  • 金融市場の情報を提供する Web サイト
  • オンラインショッピングサイト
  • 日本の旅行代理店の Web サイト

攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたものと考えられます。

IE 10 zero day 2 edit.png

図 2. CVE-2014-0322 悪用コードの標的になったコンピュータの地域分布

これらの Web サイトは、Internet Explorer のゼロデイ脆弱性に対する悪用コードをホストするように改ざんされたか、悪用コードをホストしている別の侵入先サイトにリダイレクトする iframe が挿入されて更新されていました。攻撃に成功すると、悪用コードによって、オンラインバンキングを狙うトロイの木馬が投下され、これがみずほ銀行とゆうちょ銀行のログイン情報を盗み出そうとします。シマンテックは、この脅威を Infostealer.Bankeiya として検出します。

IE 10 zero day 3.png

図 3. トロイの木馬が表示する、みずほ銀行の偽の画面(ログイン後)

 

yuucho.png

図 4. トロイの木馬が表示する、ゆうちょ銀行の偽の画面(ログイン後)

 

今回の攻撃への対応策

この脆弱性を修正するセキュリティ更新プログラムはまだ提供されていませんが、Microsoft 社は、この脆弱性を悪用する攻撃からコンピュータを保護するために、以下の対応策を推奨しています。

また、関連するパッチが公開され次第、速やかに適用することもお勧めします。シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

この脆弱性を悪用する攻撃は今後も増加傾向が続くと予測されるため、ただちに対策を実施するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Mobile Security: Your best protection is constant protection

      No Comments on Mobile Security: Your best protection is constant protection

More than one billion people nowadays use smartphones devices and this number is growing rapidly. With the growing numbers of mobile users accessing the internet on Android smartphones and tablets, and iOS iPhones and iPads, the number of mobile threats and attacks is rising progressively. Mobile users store sensitive data, and engage in online banking operations, […]