Holiday Shopping Tips
This holiday season, the FBI reminds shoppers that cyber criminals aggressively create new ways to steal money and personal information. Scammers use many techniques to fool potential victims, including conducting fraudulent auction sales, reshipping merchandise purchased with stolen credit cards, and selling fraudulent or stolen gift cards through auction sites… Read more »
??????????? 30 ?????????????????
寄稿: Vijay Thawre
記録史上最大の規模に成長した台風 30 号(ハイエン)が先週フィリピンを襲い、壊滅的な破壊の爪あとを残しました。死者は 10,000 人を超えるとも言われ、世界中からいくつもの NGO や組織が支援に乗り出しています。寄付金の募集も、各種のソーシャルネットワークや有名な Web サイトで始まっています。それと同時に、スパマーもこの事態につけ込んで、寄付金募集を装った電子メールを送り始めました。
図. フィリピンを襲った台風 30 号を悪用する詐欺メール
ここに挙げた例でも、スパマーから送られてくる電子メールは一見してまったく問題がなさそうですが、注意して見てみると「HELP PHILIPPINES(フィリピンの人道支援)」と題したこの電子メールは異なる電子メールアドレスから送信されていることがわかります。
スパマーは、有名なニュース番組のキャスター兼レポーターであると自称しており、この組織はフィリピンで被害の大きかった地域の被災者を支援しているように見えます。また、スパマーが送金機関として指定しているのも名の通った銀行です。今後の連絡先として別の電子メールアドレスも載せていますが、これは無料メールのサービスプロバイダを利用して作成されています。電子メールの全体的な印象や内容はきわめて本物らしく見え、丁寧でもあるため、受け取った人はこれが実際には詐欺メールだと気付かないかもしれません。
このような詐欺の被害に遭わないように、以下の予防対策を講じるようにしてください。
- 迷惑メールを開かないように特に注意する。
- 寄付金を送る場合には、宛先の組織が本物かどうかを確認する。
- 個人情報や機密情報を尋ねてくる電子メールには応答しない。
また、スパム対策シグネチャを定期的に更新することもお勧めします。シマンテックは、台風 30 号を悪用するフィッシング攻撃、マルウェア、ソーシャルネットワーク攻撃などの手口に目を光らせています。最善の保護対策を提供し、最新情報をお届けできるように、こうした攻撃の調査を続ける予定です。
台風の被災者支援は、正規の確実な経路を通じて行うようにしましょう。
このたびの災害で近しい人を亡くされた被災者の皆さまに、心から哀悼の意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
??????????????????????????? Instagram ????
シマンテックセキュリティレスポンスが確認したところ、「いいね」やフォロワーの数を増やすために、ボットと思われるアプリに対してユーザー名とパスワードを進んで共有してしまっている Instagram ユーザーが少なくないようです。
図 1. InstLike アプリの最初のログイン画面
InstLike というアプリは、iOS 版と Android 版の両方が利用可能でした。Apple 社の App Store と Google Play ストアの両方で公開されていましたが、その後どちらのストアからもこのアプリは削除されています。モバイル版のオンラインアプリもあります。
InstLike では、ユーザーが「いいね」とフォロワーの数を無料で獲得できると謳われています。しかし、以前にも警告したように、ソーシャルネットワーク向けに「無料」を謳うこの手のサービスが本当に無料ということはありません。InstLike の場合も、ユーザーは Instagram のログイン情報を入力するよう求められます。本来であれば、Instagram アカウントとのやり取りを必要とするアプリは、ログイン情報を要求するのではなく、Instagram API を使うべきです。
自動プロモーションを目的に Instagram アカウントが乗っ取られる
InstLike サービスに登録すると、自動的に「いいね」を押したり自動的に他のユーザーをフォローしたりする目的のために、Instagram アカウントの外部制御を許可することになります。シマンテックがこのアプリをテストしたところ、テストに使った Instagram アカウントはたちまち、ユーザーによる同意や操作も行われないまま写真に「いいね」を付け始めました。
Instagram で売買される「いいね」とフォロワーの数
InstLike アプリは仮想通貨システムを利用しており、現実世界の通貨で購入するコインと引き換えに Instagram の「いいね」とフォロワーの数を売り込もうとします。コインは、一定金額の米ドルで購入できます。
| コイン | 価格 |
| コイン 100 枚(最小単位) | 1.00 米ドル |
| コイン 5,000 枚(最大単位) | 50.00 米ドル |
図 2. InstLike では Instagram の「いいね」とフォロワーの数が現実世界の通貨で売買される
Instagram の写真に対する 1 回の「いいね」がコイン 1 枚分、1 人のフォロワーがコイン 10 枚分に相当します。
| サービス | コスト |
| 1 回の「いいね」 | コイン 1 枚 |
| 1 人のフォロワー | コイン 10 枚 |
| 1 日の有料サービス | コイン 20 枚 |
コイン 20 枚に当たる InstLike の有料サービスでは、独自のハッシュタグを利用して自動的に写真に「いいね」を付けることが可能になるなど、自動の「いいね」機能をさらに細かく調整できます。ただし、ボット的な活動として Instagram から利用停止措置を受けないように、InstLike はハッシュタグの「いいね」を故意に遅らせます。
InstLike アプリをインストールしているかどうかにかかわらず、どの Instagram ユーザーでも、InstLike の特定のコメント文字列を使えば特別に 20 個の「いいね」を獲得することができます。
図 3. コメントを監視することで InstLike が「いいね」を付ける
他のユーザーに InstLike を紹介してコインを稼ぐこともできます。また、コインをさらに増やすために偽の Instagram アカウントを作成する方法までが、YouTube にチュートリアルとしてアップロードされています。
Instagram の実際の数値は自動の「いいね」によってゆがめられている
Instagram 上にある写真のうち 50 万枚近くには、#instlike_com というハッシュタグが含まれており、その結果 900 万以上の「いいね」が自動的に付けられています。ただし、「いいね」の数が上限の 20 に達するとユーザーは InstLike のハッシュタグコメントを削除できるので、InstLike が自動的に付けた「いいね」の総数はもっと多い可能性があります。
Google Play ストアによると、InstLike のインストール数は 100,000 から 500,000 の間でした。Apple 社の App Store では統計が示されていませんが、InstLike アプリは、アプリ内課金によって iOS アプリのトップセールスランキングで 145 位に入っています。比較対象として、人気ゲーム「Temple Run 2」でも iOS アプリのトップセールスランキングで 181 位です。
図 4. iOS アプリのトップセールスランキングに入っている InstLike
Instagram ユーザーが積極的にソーシャルボットネットの一部に
人気歌手のジェイ・Z も言ったように、ソーシャルメディアでは数字は嘘をつきません(Numbers don’t lie)。ユーザーが獲得した「いいね」とフォロワーの数は、ソーシャルネットワークにおける成功や影響力を示すひとつの指標です。「いいね」やフォロワーの数を増やしたいという心理的な欲求は強く、InstLike のようなサービスはまさにその目的に適っていますが、その代償として多大なセキュリティ上のコストが掛かります。ユーザーは自ら進んで、不正なサービスに詳細なログイン情報を提供しており、事実上ソーシャルボットネットの一端を担う結果になっています。
以下のように、InstLike は Instagram の利用規約にも API 利用規約にも違反しています。
- You agree that you will not solicit, collect or use the login credentials of other Instagram users.(利用者は、他の Instagram ユーザーのログイン認証情報を請求、収集、利用しないことに同意します。)
- You shall not use the Instagram APIs to post automated content to Instagram, including likes and comments that were not initiated and entered by an Instagram user.(Instagram API を利用して、自動化されたコンテンツを Instagram に投稿してはなりません。Instagram ユーザーによって設定または入力されていない「いいね」やコメントなどもこれに含みます。)
お使いのデバイスに InstLike アプリをインストールしている場合には、速やかにアンインストールし、Instagram のパスワードを変更してください。Instagram のパスワードを変更しないかぎり、「いいね」とフォロワーの数の自動追加のためにアカウントが利用されてしまいます。
アカウント情報は、サードパーティ製のいかなるアプリやサービスとも共有しないようにしてください。サードパーティ製のアプリやサービスがアカウント情報やユーザー情報へのアクセスを必要とするのであれば、正規の API と認証プロトコル(OAuth 2.0 など)を利用するべきなのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Hidden Lynx ?????????????????????
11 月 11 日、Microsoft 社は新しいゼロデイ脆弱性「Microsoft Internet Explorer に存在する未解決の情報漏えいの脆弱性」(CVE-2013-3918)に関するブログを公開しました。これは Internet Explorer の ActiveX コントロールに影響する脆弱性で、11 月 8 日に情報が公開されたばかりです。同ブログによると、これは 11月 12日火曜日午前 10:00 頃(太平洋時間)に Windows Update を通じて MS13-090 として公開されたセキュリティ情報で対処が予定されている脆弱性でした。シマンテックは Microsoft Active Protections Program(MAPP)に参加しているため、この脆弱性については確認済みであり、シマンテック製品をお使いのお客様に対して以下の保護対策を提供しています。
ウイルス対策:
Bloodhound.Exploit.519
侵入防止システム(IPS):
Web Attack: Internet Explorer CVE-2013-3918
シマンテックは、このゼロデイ脆弱性が水飲み場型攻撃に悪用されているという公開情報に基づいて、Hidden Lynx(謎の山猫)と呼ばれるグループとの関連性を突きとめることができました。このグループについては、これまでにもブログやホワイトペーパーで詳細をお伝えしています。シマンテックの調査と解析により、今回の攻撃は Hidden Lynx グループとコマンド & コントロールサーバー(IP アドレス 111.68.9.93)を共有しており、公開情報で指摘されたサンプルも、Hidden Lynx グループによって使われている Trojan.Naid の亜種であることが判明しています。以下の解説画像は、多くの被害をもたらしている Hidden Lynx グループについて重要な情報をまとめたものです。
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Instagram Users Compromise Their Own Accounts for Likes
Symantec Security Response has discovered many Instagram users have willingly shared their usernames and passwords to a bot-like app in order to increase likes and followers.
Figure 1. InstLike application welcome and login
The applica…
Microsoft Patch Tuesday – November 2013
Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 19 vulnerabilities. Nine of this month’s issues are rated ’Critical’.
As always, customers are advised to follow these security best practices:
- Install vendor patches as soon as they are available.
- Run all software with the least privileges required while still maintaining functionality.
- Avoid handling files from unknown or questionable sources.
- Never visit sites of unknown or questionable integrity.
- Block external access at the network perimeter to all key systems unless specific access is required.
Microsoft’s summary of the November releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Nov
The following is a breakdown of the issues being addressed this month:
-
MS13-089 Vulnerability in Windows Graphics Device Interface Could Allow Remote Code Execution (2876331)
Graphics Device Interface Integer Overflow Vulnerability (CVE-2013-3940) MS Rating: Critical
A remote code execution vulnerability exists in the way that the Windows Graphics Device Interface (GDI) processes specially crafted Windows Write files in Wordpad. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
-
MS13-088 Cumulative Security Update for Internet Explorer (2888505)
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3871) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Information Disclosure Vulnerability (CVE-2013-3908) MS Rating: Important
An information disclosure vulnerability exists in the way that Internet Explorer handles specially crafted web content when generating print previews. This vulnerability could gather information from any page that the victim is viewing.
Internet Explorer Information Disclosure Vulnerability (CVE-2013-3909) MS Rating: Moderate
An information disclosure vulnerability exists in the way that Internet Explorer processes CSS special characters. An attacker could exploit the vulnerability by constructing a specially crafted webpage that could allow an information disclosure if a user viewed the webpage. This vulnerability could view content from another domain or Internet Explorer zone.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3910) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3911) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3912) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3914) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3915) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3916) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Memory Corruption Vulnerability (CVE-2013-3917) MS Rating: Critical
A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
-
MS13-092 Vulnerability in Hyper-V Could Allow Elevation of Privilege (2893986)
Address Corruption Vulnerability (CVE-2013-3898) MS Rating: Important
An elevation of privilege vulnerability exists in Hyper-V on Windows 8 and Windows Server 2012. An attacker who successfully exploited this vulnerability could execute arbitrary code as System in another virtual machine (VM) on the shared Hyper-V host. An attacker would not be able to execute code on the Hyper-V host, but would be able to on guest VMs on the same host. The vulnerability could also allow a denial-of-service in Hyper-V on the same platforms, allowing an attacker to cause the Hyper-V host to stop responding or to restart.
-
MS13-093 Vulnerability in Windows Ancillary Function Driver Could Allow Information Disclosure (2875783)
Ancillary Function Driver Information Disclosure Vulnerability (CVE-2013-3887) MS Rating: Important
An information disclosure vulnerability exists when the Windows kernel-mode driver improperly handles copying data between kernel and user memory.
-
MS13-095 Vulnerability in XML Digital Signatures Could Allow Denial of Service (2868626)
XML Digital Signatures Vulnerability (CVE-2013-3869) MS Rating: Important
A denial of service vulnerability exists in implementations of X.509 certificate parsing that could cause the service to stop responding. The vulnerability is caused when the X.509 certificate vailidation operation fails to handle a specially crafted X.509 certificate.
-
MS13-094 Vulnerability in Microsoft Outlook Could Allow Information Disclosure (2894514)
S/MIME AIA Vulnerability (CVE-2013-3905) MS Rating: Important
An information disclosure vulnerability when Microsoft Outlook does not properly handle the expansion of S/MIME certificate metadata. An attacker who successfully exploited this vulnerability could ascertain system information, such as the IP address, and open TCP ports, from the target system and other systems that share the network with the target system.
-
MS13-090 Cumulative Security Update of ActiveX Kill Bits (2900986)
InformationCardSigninHelper Vulnerability (CVE-2013-3918) MS Rating: Critical
A remote code execution vulnerability exists in the the InformationCardSigninHelper Class ActiveX control, icardie.dll. An attacker could exploit the vulnerability by constructing a specially crafted webpage. When a user views the webpage, the vulnerability could allow remote code execution. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user.
-
MS13-091 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2885093)
WPD File Format Memory Corruption Vulnerability (CVE-2013-0082) MS Rating: Important
A remote code execution vulnerability exists in the way that affected Microsoft Office software parses a specially crafted WordPerfect document (.wpd) files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Word Stack Buffer Overwrite Vulnerability (CVE-2013-1324) MS Rating: Important
A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted WordPerfect document files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Word Heap Overwrite Vulnerability (CVE-2013-1325) MS Rating: Important
A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted WordPerfect document files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.
Top 3 types of hacks against small websites
This question, from a small-site owner with tens or hundreds of visitors per day, is an unfortunate but all too familiar one. One morning I started getting emails from my customers complaining that their antivirus reported my site as infected and won’t let them in. It must be some mistake because I don’t have an […]
New Zero-day Vulnerability Shares Links to Hidden Lynx
On November 11, Microsoft published a blog post about a new zero-day Microsoft Internet Explorer Unspecified Information Disclosure Vulnerability (BID 63629/CVE-2013-3918) affecting an Internet Explorer Active X Control, that had been publically disclo…
Trend Micro Showcases Comprehensive Security Solution for Amazon Web Services at re:Invent 2013
Innovative offering simplifies cloud security as a part of the AWS shared security model