Quick update….

      No Comments on Quick update….

I’d like to share two webinars with you that we delivered this week

The first was Attack of the Cyber Spies a webinar delivered as part of BrightTALK’s Hackers Summit which you can access here.

The second is the December update of the regular webinar series I do with my colleague Andrew Shepherd: Website Security Threats: December Update

I’ve also posted both webinar slide decks to Slideshare here

Finally, I’d also like to share this blog posted by Tom Powledge who is the VP of the Website Secuirty Solutions division here at Symantec Keeping Your Data Safe with SSL

We’ll be back next week with some new blogs.

Keeping Your Data Safe with SSL

      No Comments on Keeping Your Data Safe with SSL

There’s been plenty in the news recently regarding encryption and SSL – which has led some people to wonder how safe the technology really is.  As the leader of Symantec’s Trust Services Products & Services organization, I want to assure you that SSL is safe.  Below is some information that may help you understand why, and also inform you about the current state of SSL security.

First, the fundamental key strength of RSA 2048-bit certificates is solid and without question.  Independent cryptography experts have confirmed this, and highly-respected publications such as the MIT Technology Review have published articles on the subject.  As always, organizations that use SSL should make sure they use the strongest algorithms available.

Customers of SSL certificates should take specific actions to safeguard the security of their server-side private keys.  They should put in place powerful network protections and should never utilize tools where private keys are revealed to third parties.  Symantec never takes possession of any customer’s SSL private keys.

Lastly, and perhaps most importantly, Certificate Authorities that issue SSL certificates must never share the private keys of their roots. The trust in SSL by everyone – from end-users, to the companies that they communicate with, to the browsers that enable secure connections – all depend on Certificate Authorities to provide unequivocal security of their root keys.  

As the world’s largest and most trusted Certificate Authority, we use best-in-class security processes to protect our roots.  We do not share our private keys with any third-party company, government, organization or individual.  To repeat: We never share our root keys, and never will.  Period. 

We are committed to ensuring our customers can use SSL safely and we recommend that customers take important, but simple steps to proactively protect their private keys.  To learn more about Symantec’s SSL offerings, please go to http://go.symantec.com/ssl.

?????????????????????????? Neverquest ?????????

      No Comments on ?????????????????????????? Neverquest ?????????
最近、オンラインバンキングを狙う新しいトロイの木馬のことがメディアで報じられています。このトロイの木馬は、報道では Neverquest と呼ばれています。コンピュータが Neverquest に感染すると、特定のブラウザでオンラインバンキングの Web サイトを開いたときにコンテンツが改ざんされ、サイトに不正なフォームがインジェクトされます。そうなると、攻撃者はユーザーからログイン情報を盗み出せるようになり、さらには VNC(Virtual Network Computing)サーバーを利用して、侵入先のコンピュータを制御できるようにもなります。Neverquest は自身を複製するために、ログイン情報を盗み出して Neverquest ドロッパーをスパムで送りつけるか、FTP サーバーにアクセスして資格情報を取得したうえで Neutrino 悪用ツールキットによってマルウェアを拡散するか、またはソーシャルネットワークのログイン情報を取得して侵入先の Web サイトへのリンクを拡散します。
 
シマンテックがトロイの木馬 Neverquest を解析したところ、これはシマンテックが Snifula として検出するマルウェアグループの進化形であることがわかりました。Snifula が初めて出現したのは 2006 年のことですが、Neverquest のコードを解析した結果、Snifula グループの古いサンプル(Backdoor.Snifula.D)との類似点が確認されたのです。また、Snifula によって以前に使われていたことが判明しているネットワークのインフラは、Neverquest と密接に関係があることも確認されています。この新しい脅威に対しては、2013 年 4 月中頃に初めて確認されたときから、さまざまな汎用検出名ですでに保護対策が実施されています。その後、検出定義を分類化したので、現在この脅威は Trojan.Snifula として検出されます。
 
類似点
前述したように、Trojan.Snifula(通称 Neverquest)のコードには、Snifula グループの古いサンプルとの類似点が認められます。2 つの脅威の実行可能ファイルは、構造と機能こそ異なっているものの独特なコードの一部を共有しており、そこに両者の関連性が見て取れます。たとえば以下の画像を見ると、8 バイトのデータをネットワーク上に送信するコードがあり、そのうち最初の 4 バイトに「26A6E848」という特殊なマーカーが含まれていることがわかります。
 
figure1_5.png
図 1. Trojan.Snifula(Neverquest)でネットワークトラフィックを送信するコード
 
figure2_2.png
図 2. Backdoor.Snifula.D で使われている図 1 と同じコード
 
コードはほぼ同一で、マーカーも共通です。つまり、このコードは一般に入手できるソースから採用されたものではないことになります。もちろん類似点はこれだけではなく、ほかにも多くの共通点を見出すことができます。
 
figure3_2.png
図 3. Trojan.Snifula(Neverquest)で現在のプロセス ID を記録するコード
 
figure4_1.png
図 4. Backdoor.Snifula.D の同じコード
 
このコードは、悪質なプロセス ID を現在時刻とともにログに記録します。コードも文字列も 2 つの脅威で同一であり、CRC アルゴリズムと Aplib アルゴリズム、そしていくつかの共通の文字列が使われています。
 
コマンド & コントロールのインフラ
シマンテックは、Trojan.Snifula(Neverquest)で使われているコマンド & コントロール(C&C)ネットワークのインフラを調べて、両者の間に関連性の手掛かりがあることも解明しています。Trojan.Snifula は、C&C サーバーとして IP アドレス 195.191.56.245 を使っていました。その IP アドレスでホストされていることがわかっているドメインは 2 つしかなく、その 1 つが FyXqgFxUmihXClZo.org です。このドメインは Aster Ltd が所有していることがわかっており、Aster Ltd が所有しているドメインは、以下の 26 個であることも確認されています。
  • accman.com.tw
  • afg.com.tw
  • amosw.com.tw
  • aster.net
  • asterdon.ru
  • asterltd.com
  • astervent.ru
  • bestsid.com.tw
  • countdown.com.tw
  • durpal.com.tw
  • facestat.com.tw
  • fforward.com.tw
  • fyxqgfxumihxclzo.org
  • geobiz.net
  • makumazna.com.tw
  • maskima.com.tw
  • maxward.com.tw
  • miison.com.tw
  • mssa.com.tw
  • parti.com.tw
  • pluss.com.tw
  • sparkys3.com
  • sparkys3.net
  • tdaster.ru
  • thehomeofficecatalogue.net
  • thehomeofficecatalogue.org
 
Aster Ltd のドメインのうち Pluss.com.tw と Countdown.com.tw は、IP アドレス 195.210.47.173 でホストされています。シマンテックは 2013 年の 2 月と 3 月に、Backdoor.Snifula.D で使われたアクティブな C&C サーバーとこの IP アドレスとの関連性を特定しています。Sparkys3.net や Facestat.com.tw など、Aster Ltd が所有するその他のドメインは、IP アドレス 195.137.188.59 でホストされており、これも Trojan.Snifula の C&C サーバーが使う IP アドレスとして確認されているものです。
 
Snifula グループ
シマンテックは、過去数年間で Snifula グループのさまざまな新種を確認しています。今回の Trojan.Snifula は、さらに高度な技術を利用して成長しており、情報を盗み出しますが、その出現は Snifula グループの歴史上、予測された進化です。Snifula グループが何年も掛けて進化し成長してきたことから、このマルウェアが今すぐ脅威を取り巻く世界から姿を消すとは考えられません。
 
この脅威から保護するために、シマンテックは以下の侵入防止システム(IPS)シグネチャを提供しています。
  • System Infected: Trojan.Snifula Activity
 
シマンテックは、この脅威に対して最善の保護対策を提供できるように、今後も Snifula グループの監視を続けます。このような攻撃から保護するために、ノートン インターネットセキュリティSymantec Endpoint Protection を使用することをお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Recommend avast! Antivirus and win…CASH!

      No Comments on Recommend avast! Antivirus and win…CASH!

Creativity takes courage ~ Henri Matisse When in 2001 AVAST Software co-founders, Mr. Eduard Kučera and Pavel Baudiš, decided to offer avast! Antivirus for free, it was one creative and brave decision. No one expected that this would change the future of the entire company and that 12 years later avast! Antivirus would protect 200 million […]

Bitcoin ?????????????

      No Comments on Bitcoin ?????????????

仮想通貨 Bitcoin は、過去数週間で価値が急騰していますが、同時にバブルを懸念する声も大きくなっています。投資家が押し寄せるようになった今、不安材料は価値の崩壊だけではありません。この数週間で、Bitcoin ウォレットとオンラインバンキングのサービスが攻撃を受け、数百万ドル相当の仮想通貨が盗まれるという事件が相次いでいます。
 

Bitcoin Thefts 1.png

図 1. 最近発生した Bitcoin 盗難の被害額(11 月 29 日時点の米ドル換算額)
 

数百万ドル規模の盗難

現在まで続く攻撃の波が始まったのは 11 月 7 日のことで、オーストラリアの Bitcoin ウォレットサービスである Inputs.io が 2 度にわたって攻撃を受け、業務を閉鎖したと発表しました。被害総額は 4,100 Bitcoin(このブログの執筆時点で 434 万ドル相当)にも及んでいます。Inputs.io によると、攻撃者はサーバーホスト側の欠陥を突いて 2 要素認証をすり抜けました。この攻撃によって、Inputs.io のサイトはユーザーの預金を返還できない状態になっています。

人々はなぜ Inputs.io に Bitcoin を預けていたのでしょうか。Inputs.io には、「ウォレットを混在させて」ユーザー間で Bitcoin を交換するサービスがあります。実質的には匿名化サービスの一種であり、Bitcoin 取引の追跡を難しくするものです。しかし、Bitcoin ウォレットに対してこのレベルのアクセスが可能だったことこそ、Inputs.io が攻撃に対して脆弱だった原因かもしれません。

Inputs.io の経営者は、TradeFortress という別名で知られる若いオーストラリア人です。盗難事件後、オーストラリア ABC ニュースのインタビューに応じた同氏は、Bitcoin を盗んだのは自分ではないと主張していますが、不思議なのはこの事件を警察に届けるつもりがないと語っていることです。「Bitcoin が相手では、警察でも一般ユーザー以上の情報は入手できません。Bitcoin は自分自身で預金を管理するものだと主張する人もいるでしょう」と TradeFortress 氏は述べています。

その数日後には次の事件が、今度は中国で発生しました。Bitcoin 取引所の GBL が 11 月 11 日に突然サイトを閉鎖し、投資家の資金 1,270 万ドルもサイトとともに姿を消してしまったのです。詳しく調査したところ、GBL は詐欺だったことが判明しました。GBL は香港政府による認可を受けていると称していましたが、単に事業所として登録されているだけで、金融サービス業としての営業認可は受けていなかったことが判明しています。

この事件のすぐ後に続いたのが、チェコの Bitcoin 取引所 Bitcash.cz に対する攻撃の報道です。この事件ではおよそ 4,000 人が被害を受け、被害総額は 51 万 4,000 ドルに達しました。ところが、これだけ儲けても満足しなかったと見える攻撃者は、Bitcash.cz の電子メールアドレスを利用して同サイトのユーザーに電子メールを送信し、米国の回収会社を使って盗まれた資金を取り戻そうとしていると謳い、そのコストとして各ユーザーに 2 Bitcoin ずつを負担するよう求めました。

最も新しい事件では、デンマークの Bitcoin 決済処理業兼ウォレットプロバイダである BIPS 社が被害を受けましたが、これは組織的な攻撃に狙われてシステムが侵害された結果であったことが今週になって確認されました。同社によると、何件かのコンシューマ向けウォレットが侵入を受け、この攻撃でおよそ 1,295 Bitcoin(約 137 万ドル相当)が盗み出されたと推定されますが、盗まれた Bitcoin の大部分は顧客ではなく BIPS 社が所有するものでした。攻撃を受けた後、BIPS 社はコンシューマ向けウォレットサービスを終了し、商取引向け処理に専念すると発表しています。
 

資産を保護するために

Bitcoin は安全であると一般的に言われていますが、それはあくまでも偽造が不可能という意味です(いつまでも不可能とは限りませんが)。最近の盗難事件で明らかになったように、盗まれないという意味で安全なのではありません。

では、Bitcoin の盗難を防ぐためにどのような対策が取れるのでしょうか。これまでに確認された攻撃の種類から考えると、Bitcoin を保管する場所に相当の注意を払うことが最優先です。たとえば、GBL は香港政府の認可を受けていると称していましたが、事実ではありませんでした。同様に、Inputs.io のウォレット混在サービスもプライバシー重視の利用者には魅力的だったかもしれませんが、利用者の資金にアクセスできるレベルがセキュリティ上のリスクになった可能性もあります。

Inputs.io が攻撃を受けた後で、経営者の TradeFortress 氏はこう述べています。「インターネットに接続したコンピュータからアクセスできるような形で Bitcoin を保存することはお勧めしません」。BIPS 社に対する攻撃で、同社 CEO のクリス・ヘンリクセン(Kris Henriksen)氏も、即座にオンラインウォレットのセキュリティについて認識を改めたうえ、従業員にもオンラインウォレットをいっさい使わないよう忠告したほどです。

Bitcoin を保管できる場所はオンラインの仮想ウォレットだけであると多くの人々が思い込んでいますが、実際にはオフラインで保管することも可能です。これには、まず USB メモリなどのオフラインのデバイスに保存するウォレットを作成し、次にこのウォレットのアドレスに Bitcoin を送信します。推奨方法とは言え、オフラインウォレットを作成する手順は少々煩雑ですが、少なくとも理論上は、オンラインストレージよりも安全です。技術的には、Bitcoin 自体はオンラインのままであり、Bitcoin へのアクセス手段である秘密鍵がオフラインになるだけです。

オフラインストレージをさらにもう一歩進めれば、電子的なデバイスをまったく介在させず紙のウォレットを作成するという方法も可能です。ただし、紙ベースのウォレットは現金と同じリスクを伴うことになるので、どこか安全な場所に保管しなければなりません。

オンラインサービスプロバイダも、それぞれセキュリティの強化に乗り出しています。世界有数の Bitcoin 取引所である Mt.Gox は、ワンタイムパスワード(OTP)カードを導入することで追加のセキュリティ層を実装しており、このカードはただちに全ユーザーに送付される予定です。Mt.Gox によれば、このカードは単独で使うことも、他の 2 要素認証方式と組み合わせて使うこともできます。たとえば、身元確認のために差し込む USB キーの Yubikey などに対応しています。

Mt.Gox で環境設定にこのカードを入力すれば、ログイン時に追加のパスワードが必要になるようにアカウントを設定できます。カード上のボタンを押すと、ログインごとに一意のパスワードが生成されます。
 

Bitcoin の通貨価値の急騰

Bitcoin 盗難の急増は、Bitcoin の通貨価値がこの数週間で急騰したという事実に間違いなく関係しています。このブログの執筆時点で、1 Bitcoin はおよそ 1,060 ドルに相当します。その価値は今年に入ってから 45 倍にも達していますが、その高騰の大半は過去数週間に起きています。1 カ月前、Bitcoin は 190 ドル前後で取引されていました。

こうした急騰の結果、少額の Bitcoin しか所有していなかったとしても、今ではそれが高額になっています。これを何より端的に物語っているのが、廃棄したラップトップコンピュータの中に、7,500 Bitcoin 分のウォレットが入ったままだったことに気付いた IT 専門家のエピソードでしょう。これは 2009 年に自分でマイニングした Bitcoin であり、その当時には数ドル程度の価値しかありませんでした。
 

Bitcoin Thefts 2.png

図 2. 過去 6 カ月間における Bitcoin – 米ドルの為替レート(データ出典: bitcoincharts.com
 

その後 Bitcoin の価値は、時折下落しながらも大幅に上昇し続けています。10 月初めにアンダーグラウンドのドラッグ販売サイト Silk Road が FBI によって閉鎖に追い込まれたときには、Bitcoin の価値が急落するのではないかという憶測が流れました。Bitcoin はアンダーグラウンドで広く使われているからです。この閉鎖劇の直後には、確かに Bitcoin 売りも見られましたが、数日のうちには回復基調となり、Bitcoin はまた高騰し始めました。

この急騰の原因としては、規制当局が Bitcoin を真剣に考え始めたという事実も関係しているかもしれません。たとえば、米国上院の国土安全保障・政府問題委員会は先週、仮想通貨に関する公聴会を開き、司法省の代表が Bitcoin を「合法的な交換手段である」と述べました。これに対し、同委員会のトム・カーパー(Tom Carper)委員長は、議会と政府が仮想通貨について「賢明で良識的、かつ効果的な政策」を決定する必要があると述べています。

一方で、Bitcoin の急騰がバブルを生み出すのではないかという懸念も広がりつつあります。対ドル為替レートのグラフを見ると、すぐに思い当たる疑問点があります。Bitcoin を決済方法として認める企業の数は明らかに増えていますが、その増え方は通貨価値の高騰に追いついていないということです。どちらかといえば、現在の高騰をもたらしている大きい原因は思惑買いだと考えられ、歴史が証明しているとおり、そのような熱狂的な買いは不幸な結果に終わることが少なくありません

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?? Twitter ??: Twitter ????????????

      No Comments on ?? Twitter ??: Twitter ????????????

12 月 2 日、多くの Twitter ユーザーが騙されて、@VerifiedReport または @MagicReports という名前の偽の Twitter アカウントをフォローしてしまうという事例がありました。どちらも、ユーザーと報道機関やジャーナリストとの間で Twitter 社が行っている実験の一部であると称し、多数の Twitter ユーザーをフォローしながら次のようにツイートしています。「This is a Twitter experiment. We are changing the way users interact with journalists and news organizations.(これは Twitter 実験です。ユーザーとジャーナリストや報道機関との対話方法を変えようと試みています。)」
 

Twitter Exp 1.png

図 1. @VerifiedReport に関する MagicRecs からの通知
 

多くの場合、この 2 つのアカウントがユーザーの目にとまったきっかけは、@MagicRecs という正規の Twitter アカウントからの通知でした。
 

Twitter Exp 2.png

図 2. Twitter の実験的アカウント MagicRecs
 

MagicRecs は、Twitter 社が作成した実験的アカウントであり、「ユーザーのネットワークで何か興味をそそることがあったとき、個別対応したお勧め情報をダイレクトメッセージ(DM)として送信」します。このサービスは、Twitter のモバイルアプリの機能として最近統合され、Twitter 社によると「フォローしているお友達が立て続けに、ある人をフォローしたり、特定のツイートをお気に入りに登録したりリツイートした場合に、その動きを知らせるプッシュ通知を受け取ることが可能になりました」

@MagicRecs を利用したことがあるユーザーはそれを信頼しているので、詐欺師が正規サービスの信用を利用して偽の実験をでっちあげようとするのは当然のことと言えます。

なかには、この 2 つのアカウントが正規のものかどうか疑ったユーザーもいましたが、それ以外のユーザーは、特に @MagicRecs にお勧めされた後では、Twitter 社の従業員まで含めてこのアカウントをフォローしてしまいました。

 

.@verifiedreport は、セレブの電話番号を教えてくれるためのものなの? pic.twitter.com/gyZW16gbtX

— Taylor Lorenz (@TaylorLorenz) 2013 年 12 月 2 日

 

Twitter 社はその後、この 2 つのアカウントを停止しましたが、他にもまだ疑わしいアカウントが残っていて活動を続けています。@MagicFavs、@MagicSmacks、@MagicSext などがそれで、いずれも @MagicRecs によってお勧めされ、1,000 人近いフォロワーがいます。

シマンテックは、どちらのアカウントも DM を通じてリンクを送信しようとは試みていないことを確認しています。これらのアカウントが作成された意図は依然として不明ですが、少なくとも、新たな手口を試し続ける詐欺師が存在するということを思い出させる役には立っています。その新たな手口で、詐欺師は無警戒な Twitter ユーザーを欺いてリンクをクリックさせ、ログイン情報を盗み出したり、アフィリエイトプログラムの手法を利用して金銭を詐取したりすることを狙っているのです。

@MagicRecs のような正規のサービスを利用する場合でも、フォローするアカウントについては注意してください。特に Twitter 社が所有するアカウントであると称している場合には、Twitter で認証済みのアカウントかどうかを確認する必要があります。疑わしい様子がある場合、不正なアカウントである確率はやはり高いということを忘れないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

PAYING THE PRICE FOR SUCCESS: CYBERCRIME AND THE MIDDLE EAST

      No Comments on PAYING THE PRICE FOR SUCCESS: CYBERCRIME AND THE MIDDLE EAST

As we wrote in our previous blog The Middle East and North Africa (MENA) region is basking in the joys of booming economic growth.

These are exciting times however, that said, such success also has its downsides. While e-commerce is on a rapid upward trajectory – particularly in the banking and travel sectors – it has made many MENA businesses highly attractive to the cybercriminals, who are out to cash in on any vulnerabilities they can exploit.

Just how open to the cybercriminals the region is can best be exemplified by the targeting of its oil and gas sector. Last year, it was the victim of a hacker attack known as Shamoon (aka W32.Disttrack), which is capable of wiping files and rendering several computers on a network unusable. Saudi Arabia’s national oil company Saudi Aramco itself came under fire, with 30,000 of its computers knocked out, resulting in its own network being taken offline. Only a few days later, in Qatar, computer systems at energy firm RasGas, one of the world’s largest producers of liquid petroleum gas, were also taken offline by a similar attack.

What exactly can Shamoon do, once it gets inside an organisation? A great deal of damage, is the answer. Using bespoke malware written to run on both 64bit and 32bit systems, it is able to:

  • Disseminate malware over the network
  • Pass data to the attackers
  • Erase disks of infected machines.

But the level and scale of attacks go way beyond that. In some cases, they are designed to cause maximum disruption for political reasons. In other cases, it’s all about inflicting brand damage or manipulating the market. But mostly these assaults are driven by financial motives. And they are only increasing. As the MENA region’s economy prospers, the cybercriminals are out to do the same.

One favoured method of trapping the unsuspecting is by means of what is known as a ‘Watering hole’ web attack. Just as a lion will lurk unseen waiting for its prey when it comes out into the open to drink, believing it is safe, so, too, do the hackers seek out those with their guard down (Indeed one particularly successful (for the perpetrator that is) waterhole attack infected 500 organisations in a single day). Moreover, the intended victims that the attackers seek out are particular individuals or groups (organisation, industry or region, such as MENA) and then: Identifying which websites are used most often

  • Exploiting a website vulnerability and infecting one or more of these sites with malware
  • Ensuring as a result that some member of the targeted group will also get infected.

Once that process is complete, the trap is sprung and the defenceless victim ensnared. Google, Apple, Twitter and Facebook have all been victims of such attacks after employees visited a site popular with iOS app developers.

For those intent on enjoying a share of MENA’s burgeoning prosperity, while avoiding the damage inflicted by the cybercriminals, it is vital that anyone who engages with your business remains safe and secure, particularly when conducting on line transactions. And the way to make certain of this is by using SSL and a trust mark such as the Norton Secured Seal

In fact, SSL certificates should be the starting point for any ecommerce site or anyone else that asks customers to submit personal information. Equally, for companies that don’t ask for personal information from visitors, SSL is still an absolute must, as it acts as a powerful protective barrier on line, keeping the cybercriminals at arm’s length. So, if you are operating in the region or looking to do so, you need to put a series of ‘Best Practice’ measures in place, such as:

Advanced Reputation Security: Detect and block new and unknown threats based on global reputation and ranking

Layered Endpoint Protection: use more than just AV – use full functionality of endpoint protection including heuristics, reputation-based, behaviour-based and other technologies; restrict removable devices and turn off auto-run to prevent malware infection

Layered Network Protection: Monitor globally for network intrusions, propagation attempts and other suspicious traffic patterns, including using reputation-based technologies; network protection is more than just blacklisting

Security Awareness Training: ensure employees become the first line of defence against socially engineered attacks, such as phishing, spear phishing, and other types of attacks.

Website Security Solutions from Symantec: SSL certificates with added website malware scans and web vulnerability assessment to ensure your site cannot be compromised by hackers.

Most of all, you need to create and enforce security policies, so that all confidential information is encrypted – and monitor globally for network intrusions, propagation attempts and other suspicious traffic patterns, including using reputation-based technologies.

On which note, according to a survey carried out recently by the independent web research organisation Baymard Institute, in conjunction with Google, the Norton Secured Seal is by far the most trusted – nearly 13% ahead of its nearest rival (http://baymard.com/blog/site-seal-trust). It was shown to be the seal that gave customers the strongest sense of trust when purchasing online, making it the de facto choice.

For any business intent on capturing and keeping customers in the MENA region by establishing the highest levels of trust and trustworthiness, such reassurance will play a major role in the days ahead, as the internet spreads its reach even farther and e-commerce gathers ever greater momentum.

To learn more please visit go.symantec.com/ssl

Dangerous New Banking Trojan Neverquest Is an Evolution of an Older Threat

      No Comments on Dangerous New Banking Trojan Neverquest Is an Evolution of an Older Threat

There has been recent media coverage around a new online banking Trojan, publicly known as Neverquest. Once Neverquest infects a computer, the malware can modify content on banking websites opened in certain Internet browsers and can inject rogue forms…

???????: Snapchat ????????????????????????

      No Comments on ???????: Snapchat ????????????????????????
この 1 週間というもの、フォトメッセージアプリ Snapchat のユーザーは、スパムスナップ(Snapchat では写真をスナップと呼ぶ)の数が急増したことにお気付きのことでしょう。Snapchat サービスには現在、無数のスパムアカウントが入り込んでいて、胸を露出した女性のスパムスナップがばらまかれています。
 
figure1_4.png
図 1. Snapchat 上のスパムアカウント
 
Snapchat ユーザーの元には今、「[女性の名前]snap_####」という形式の似たような名前のアカウントから次々と申請が届いています。どの申請にも、スパムアカウントから保留中のスナップが添付されています。Snapchat アプリにはプライバシー設定があり、友人からのスナップのみを受け付ける設定も可能ですが、それでも不明なユーザーから追加申請は届きます。シマンテックが確認した一部の Snapchat ユーザーからも、この 1 週間でこうした申請が増えたという指摘がありました。
 
figure2_1.png
図 2. 胸を露出した女性が写っているスパムスナップの例
 
このような申請を承認すると、裸の女性のスパムスナップが送られてきます。写真は同じではありませんが、どのスナップにも「Add me on KIK for nudes swap(Kik に私を追加して、ヌード写真を交換しましょう)」というコメントがあり、モバイルデバイス用のインスタントメッセージアプリ Kik Messenger のユーザー名が添えられています。
 
Kik Messenger に切り替えると、スパマーにポルノボットを利用する隙を与えてしまいます。これは、ヌード写真をもっと送ると約束する所定のセリフを使ってユーザーとのつながりを持とうとするスパムアカウントです。
 
ポルノボットが謳っているヌード写真を見るためには、先にモバイルアプリをインストールするためのリンクをタップしなければなりません。ユーザーが間違いなくそのアプリをインストールしたことを確かめるために、ボットは、写真を送る前に証拠としてアプリのスクリーンショットを送信するよう求めてきます。
 
figure3_1.png
図 3. Kik Messenger 上のポルノボットの例
 
リンクをタップすると、アフィリエイトプログラムを通じて何回かリダイレクトが発生し、最終的には Apple 社の iOS App Store や Google Play ストアに登録されているゲームのページに移動します。移動先のアプリのひとつに、Snapchat スパムについて言及しているレビューがありました。
 
figure4_0.png
図 4. App Store のレビューで指摘されている Snapchat スパム
 
これらのスパムは、インストールが実行されるたびに報酬が支払われるアフィリエイトプログラムを通じて儲けを上げる仕組みになっています。チャットのセリフの中でポルノボットがインストールの証拠を求めているのもこのためです。シマンテックの調査によると、複数の短縮 URL で少なくとも 30,000 件のクリックスルーが発生しましたが、複数の短縮 URL を使って複数の攻撃が行われている可能性を考えると、この数字はさらに多くなるかもしれません。
 
以前のブログ(リンク 1リンク 2)でも指摘したように、サービスの人気が上がると、スパマーはそれを見逃しません。Snapchat では毎日 3 億 5,000 万件ものメッセージが送信されているので、スパマーが狙うのも当然です。
 
ポルノスパムとは別に、「secret admirer(隠れファン)」というエサを使って Snapchat ユーザーを狙い、SnapCrush という Web サイトに誘導しようとするスパム攻撃も出現しています。この Web サイトはユーザー名を収集し、同じように一連のアフィリエイトプログラムを通じてユーザーをリダイレクトします。ユーザーを欺いてモバイルアプリをインストールさせるという目的も同じです。
 
figure5.png
図 5. Snapchat 上の新たなスパム攻撃
 
今のところ、Snapchat ユーザーがアプリ内からこのようなアカウントをスパムとして報告できる機能はありません。当面の間、スパムアカウントを報告するには、Snapchat のサポートサイトで「Report Spam」セクションを利用してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。