AVAST is Awarded Best Employer in the Czech Republic

We are proud to announce that AVAST has been named best large-size company employer in the Czech Republic by global HR consulting and outsourcing firm, AON Hewitt. The annual study’s results were evaluated based on the HR policies of the companies, as well as feedback from their employees and leaders. AVAST excelled in all attributes […]

How well do you know AVAST?

      No Comments on How well do you know AVAST?

How well do you know AVAST? avast! Antivirus protects you every day, but what do you know about the company, history, and people behind the most trusted antivirus in the world? To celebrate our 25th anniversary, we offer you a playful AVAST IQ quiz and the chance to win great prizes! Here’s your chance to […]

Cyber Monday Shoppers and Retailers Beware of Scams and Attacks

Contributor: Vivek Krishnamurthi

 
December 2, 2013 marks Cyber Monday, the day when Internet retailers expect to experience a major surge in traffic thanks to people shopping online for the holiday season. The concept of Cyber Monday, or Mega Mo…

?????????????? Blackshades RAT ???

      No Comments on ?????????????? Blackshades RAT ???
2012 年 7 月、有名なリモートアクセスツール(RAT)、Blackshades RAT に関与していた中心人物が逮捕されたと報じられました。主犯格が逮捕され、2010 年にはそのコードが漏えいしたにもかかわらず、Blackshades RAT は今もなお販売され、サイバー犯罪に使われています。それどころか、シマンテックセキュリティレスポンスは、過去 5 カ月の間に Blackshades RAT の使用が増加していることさえ確認しています。
 
Blackshades RAT(シマンテック製品では W32.Shadesrat として検出されます)は、侵入先のシステムからパスワードなどのアカウント情報を収集し、悪質なコマンド & コントロール(C&C)サーバーに送信します。最近の増加傾向を踏まえて、今回の感染活動を管理している C&C サーバーを調査したところ、Cool 悪用ツールキットとの関係が明らかになりました。Cool 悪用ツールキットは W32.Shadesrat やその他のマルウェア群の拡散に使われています。
 
Shadesrat and Cool Exploit 1.png
図 1. 2013 年 7 月以降の Shadesrat の推移
 
最近見つかった脆弱性を悪用して、産業界やシンクタンク、政府機関、一般ユーザーを狙う、Web サーバーへの攻撃がここ数年、目に見えて増加しています。どの場合でも攻撃者の目標は非常にはっきりしており、ユーザーのコンピュータ上で悪質なペイロードを実行することにあります。攻撃者がそのために使っているのが、各種の悪用ツールキットです。
 
W32.Shadesrat による感染件数の増加を調べるなか、シマンテックは感染したコンピュータからアカウント情報を収集する際に使われている数百の C&C サーバーを特定しました。W32.Shadesrat は、電子メールサービス、Web サービス、インスタントメッセージアプリケーション、FTP クライアントなどのさまざまなアカウント情報を狙っています。スパマーが新しい電子メールアカウント情報を求める場合でも、攻撃者が新しいサーバーやサービスへのアクセスを狙ってセキュリティ侵害を試み続けたり、特定の情報の抽出を狙ったりする場合でも、目的はこの手の情報です。
 
シマンテックの調査によると、ほぼすべての C&C サーバーがいずれかの時点で悪用ツールキットをホストしており、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕されるまでは、後者が最も有力でした。これらのツールキットは、ユーザーのコンピュータでさまざまな脆弱性を悪用し、悪質なペイロードを実行して感染を試みます。アンダーグラウンドのグループは、こうした攻撃を実行できるだけの多様なリソースを抱えています。
 
Shadesrat and Cool Exploit 2.png
図 2. 作成者逮捕までの 9 月から 10 月の間に C&C サーバーで使われた悪用ツールキット
 
また、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕された後で、この 2 つの悪用ツールキットがほぼ姿を消し、新たな選択肢として Neutrino が浮上したことも確認されています。
 
Shadesrat and Cool Exploit 3.png
図 3. 作成者逮捕後の 10 月から 11 月の間に C&C サーバーで使われた悪用ツールキット
 
無防備なユーザーが感染してしまうと、複数のペイロードがダウンロードされ、RAT によって制御を乗っ取られるか、ダウンローダによって別の機能を持つ後続のマルウェアがインストールされてしまいます。
 
C&C サーバーは、以下のように他のマルウェアも拡散します。
 
Shadesrat and Cool Exploit 4.png
図 4. 9 月から 10 月の間に C&C サーバーによって拡散された脅威
 
シマンテックは遠隔測定システムを使って、C&C サーバーの所在地と、W32.Shadesrat の感染が多い国や地域を特定しました。
 
Shadesrat and Cool Exploit 5.png
図 5. C&C サーバーの所在地
 
Shadesrat and Cool Exploit 6.png
図 6. W32.Shadesrat の感染状況
 
C&C サーバーのホストが最も多く置かれていたのは、リトアニアと米国です。感染件数が最も多いのはインドで、米国、英国がそれに次いでいますが、W32.Shadesrat の被害は世界中に広がっています。
 
W32.Shadesrat の感染状況を見ると、攻撃者は可能なかぎり多くのコンピュータに感染することを試みているようです。特定のユーザーや企業を標的にしている様子はありません。
 
以上のことから、W32.Shadesrat の完成度の高さと、攻撃者がふんだんに使えるリソースの豊富さがうかがえます。お使いのソフトウェアは常に最新の状態に保ち、ウイルス対策ソリューションについても最新の定義に更新するようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????

      No Comments on ????????????????????
シマンテックは、「複数の一太郎製品に存在する不解決のリモートコード実行の脆弱性」(CVE-2013-5990)として知られる一太郎の新しいゼロデイ脆弱性について、以前ブログでお伝えしました。この時点では、この脆弱性が盛んに悪用されていることは確認されたものの、うまく機能せず実際にコンピュータへの侵入はありませんでした。その 1 週間後、シマンテックは、攻撃者の意図どおりに動作する悪用コードを複数のインシデントで確認しました。この悪用コードは、標的型攻撃でよく使われているバックドアを利用して、標的のコンピュータに実際に侵入することが可能です。脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式で、ジャストシステム社が開発したワープロソフトウェア「一太郎」が標的になっています。
 
悪用が不首尾に終わった前回の攻撃では、悪質な文書に Backdoor.Vidgrab の亜種とシェルコードが埋め込まれていました。このときのサンプルの場合、シマンテックのテスト環境では、シェルコードはバックドアを投下することができませんでした。今回の悪質な文書ファイルには、Backdoor.KorplugBackdoor.Misdat、および Trojan Horse として検出される各種のマルウェアを投下するシェルコードが含まれています。投下されるのはいずれも、標的型攻撃でおなじみのバックドア型のトロイの木馬です。Backdoor.Korplug は 2012 年に出現して以来、標的型攻撃で頻繁に使われています。Backdoor.Misdat は 2011 年、米国や日本に拠点を置く組織が狙われたときに主として確認されましたが、最近の攻撃ではあまり使われていません。
 
ペイロードとして Backdoor.Vidgrab を使い続けていたうちは悪用の試みに失敗していましたが、その後は戦術を変えて各種のバックドアを使うようになり、悪用に成功するようになっています。また、シマンテックは、今回標的が広がってより多くの組織が狙われるようになっていることも確認しています。このことから、攻撃者はテスト運用を行って悪用の成否を確かめる段階を終え、いよいよ一太郎の脆弱性を悪用して実害のある攻撃を仕掛ける段階に入ったのではないかと考えられます。さらに、一太郎の脆弱性を悪用した攻撃を仕掛けるためのツールキットを他の攻撃者と共有し始めている可能性もあります。いずれにしても、この脆弱性を悪用する攻撃が増加していることは確かであり、一太郎をお使いのユーザーはこれらの攻撃に警戒する必要があります。
 
ただし、脆弱性の悪用に成功している攻撃が複数見つかったとしても、一太郎ユーザーが大騒ぎする必要はありません。この脆弱性に対するパッチはすでに公開されており、ダウンロードできるようになっています。まだこのパッチを適用していない場合には、ただちにパッチを適用してください。シマンテックは、今回説明した悪質なリッチテキストファイルを Trojan.Mdropper として検出します。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????????

      No Comments on ???????????????????????????

Fake AV 1 edit.png

寄稿: Joseph Graziano

ソーシャルエンジニアリングスパムの新たな手口として、ユーザーを欺いてコンピュータ上でマルウェアを実行させようとする巧妙な手法が出回っています。今回マルウェア作成者が使っているのは、ウイルス対策ソフトウェア企業からの電子メールに偽装する手口です。エンドユーザー各自で重要なシステム更新をインストールする必要があると説明したうえで、ウイルス対策ソフトウェアの修正パッチを装ったファイルが添付されています。この電子メールは、Cryptolocker Trojan のように最近メディアを賑わせた新しい脅威を特に想定して、検出定義がまだ用意されていないかもしれないというユーザーの不安につけ込みます。この手のソーシャルエンジニアリングは、ユーザーを誘導して添付ファイルを開かせ、実際には何がインストールされるのかを深く考えないまま修正パッチと称するマルウェアをインストールさせようとするのが特徴です。

シマンテックが確認した電子メールの件名は多岐にわたりますが、なかには著名なセキュリティ企業の名前も使われています。

  • AntiVir Desktop: Important System Update – requires immediate action(AntiVir Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avast Antivirus: Important System Update – requires immediate action(Avast Antivirus: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • AVG Anti-Virus Free Edition: Important System Update – requires immediate action(AVG Anti-Virus Free Edition: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avira Desktop: Important System Update – requires immediate action(Avira Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Baidu Antivirus: Important System Update – requires immediate action(Baidu Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Cloud Antivirus Firewall: Important System Update – requires immediate action(Cloud Antivirus Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • ESET NOD32 Antivirus: Important System Update – requires immediate action(ESET NOD32 Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Kaspersky Anti-Virus: Important System Update – requires immediate action(Kaspersky Anti-Virus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • McAfee Personal Firewall: Important System Update – requires immediate action(McAfee Personal Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton AntiVirus: Important System Update – requires immediate action(ノートン アンチウイルス: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton Internet Security: Important System Update – requires immediate action(ノートン インターネットセキュリティ: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton 360: Important System Update – requires immediate action(ノートン 360: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Symantec Endpoint Protection: Important System Update – requires immediate action(Symantec Endpoint Protection: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Trend Micro Titanium Internet Security: Important System Update – requires immediate action(Trend Micro Titanium Internet Security: 重要なシステム更新のお知らせ – 緊急に対応が必要です)

件名は異なっていても、添付された zip ファイルに悪質な実行可能ファイルが含まれている点は変わりません。

マルウェアが実行されると、networksecurityx.hopto.org に接続して別のファイルがダウンロードされます。このマルウェアは、ozybe.exe というプロセスを使ってタスクを実行します。

 

保護対策と基本的なセキュリティ対策(ベストプラクティス)

これらの電子メールや類似の電子メールは、Symantec Email Security.cloud の Skeptic スキャナによって、エンドユーザーに届く前に遮断されます。また、シマンテックは、この攻撃に関連するファイルを以下の定義名で検出します。

ソーシャルエンジニアリングスパムによる攻撃の被害者にならないように、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 知らない相手から送信された電子メールの添付ファイルは開かない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ichitaro Vulnerability Successfully Exploited in the Wild

In a previous blog, Symantec reported a new Ichitaro zero-day vulnerability known as the Multiple Ichitaro Products Unspecified Remote Code Execution Vulnerability (CVE-2013-5990). This flaw was being actively exploited in the wild, but the exploit was…

Blackshades Rat Usage on the Rise Despite Author’s Alleged Arrest

Back in 2012, a key player involved with the prominent Remote Administration Tool (RAT) known as Blackshades RAT was reportedly arrested. Despite his alleged arrest, and with its code leaked in 2010, the tool is still being sold and used in cybercrimin…

????????? 2014 ????

      No Comments on ????????? 2014 ????

大切なのは、ささやき声。

未来を予測する秘訣は、どんなに小さなささやき声にも耳を傾けることです。

大きく明瞭な声になる頃には、それはもう現実になっています。私は 2013 年に聞こえてきた小さな声に耳を傾け続け、2014 年にはそのうちのどれが大きく明瞭なものになるか、かなり確実な感触をつかんでいます。これから耳にするであろう上位トピックについての予測と、それが 2014 年にどのような意味を持つのかを以下にまとめました。

  • 人々がようやく、個人情報の保護に積極的な対策を講じるようになる
  • どんなにニッチで目立たないソーシャルネットワークでも、詐欺師やデータ収集者、サイバー犯罪者のターゲットとなる
  • 「モノのインターネット」が「脆弱性のインターネット」になる
  • モバイルアプリによって「いいね」を自分で過剰に稼ぐようになる

   「ちょっと待ってください。母親よりもインターネットの方が自分のことを詳しく知っているというのでしょうか?」

人々がようやく、個人情報の保護に積極的な対策を講じるようになる

2013 年、プライバシーの問題は、絶えることなくニュースの見出しを賑わせ続けました。膨大な量の個人情報が共有され、病院からソーシャルネットワークまで至るところで日々収集されていることが、人々と企業の懸念点となっています。新製品や既存製品にプライバシー保護機能が搭載されることが予想されるなか、2014 年以降には、こうした機能が本当にプライバシー保護につながるのか、議論が展開されるでしょう。一方で、プライバシー保護のために、オンラインで匿名性を確保できる Tor が、ネットユーザー間で定着したり、SNS 上で別名や偽名を使うユーザーが復活したりすることも考えられます。そうした傾向をリードするのは 10 代の若者です。若者もプライバシーのことをきちんと考えています。しかも、それは親が関心を持つ場所だけではありません。そう考えれば、こっそり友人と過ごそうとして、ニッチな新興のソーシャルネットワークサイトに移るユーザーが増えるでしょう。この点が、次の予測につながります。

   「大人による監視は嫌がられますが、大人の言動が若者をトラブルから守ってくれるかもしれません」

どんなにニッチで目立たないソーシャルネットワークでも、詐欺師やデータ収集者、サイバー犯罪者のターゲットとなる

新しい環境に移れば、それ以前の問題はいっさいなくなる。誰しもそう考えたくなりますが、現実の世界でそのようなことはなく、ソーシャルネットワークでもそれは変わりません。新しいソーシャルネットワークが登場してユーザーを獲得すれば、詐欺師や犯罪者も引き寄せられます。新しいサイトに自分と友人しかいないと思い込んでいるユーザーには、大きな(そして不愉快な)不意打ちが待っています。注意してくれる母親はそこにはいませんので、代わりに警告しましょう。信じられないほど魅力的な話は、ほぼ間違いなく詐欺です。インターネット上のどんな場所であろうと、どんな接続方法であろうと、基本的なセキュリティ対策(ベストプラクティス)を実施して身を守る必要があります。ところで、接続と言えば…

   「トースターは感染しないとしても、防犯カメラに裏をかかれることはあるかもしれません」

「モノのインターネット」が「脆弱性のインターネット」になる

2014 年には、これまで接続されていなかったデバイスがインターネットに接続されてスマート化すると予測されます。膨大な数の組み込みオペレーティングシステムが稼働することになり、これらがハッカーの注目を引くでしょう。なお、セキュリティ研究者はすでに、スマートテレビ医療機器防犯カメラに対する攻撃が可能であることを実証しています。シマンテックもこれまでに、ベビーモニターが攻撃された例を確認しているほか、イスラエルでは幹線道路のトンネルが封鎖されたことがあり、これはハッカーが防犯カメラシステムを介してコンピュータシステムに侵入したことが原因であると報じられています。大手のソフトウェアベンダー各社は、ソフトウェアの脆弱性をユーザーに通知し、パッチを提供する方法を持っていますが、インターネットに接続するガジェットを製造している企業は、セキュリティ上の問題が差し迫っていることを認識すらしていません。こうしたシステムは攻撃に対して脆弱なだけでなく、脆弱性が見つかったときに消費者や取引先に通知する方法も定まっていません。さらに悪いことに、新しい脆弱性に対するパッチをエンドユーザーが適用する方法がありません。このように、新しい脅威が今まで想像もしなかった方法で出現するようになるでしょう。

   「いいね、いいね、いいね… 20 ドルと、ログイン情報、パスワードをご用意ください」

モバイルアプリによって「いいね」を自分で過剰に稼ぐようになる

(例外もあるかもしれませんが)人は寝室を共にする相手を信頼するものです。であれば、48% の人がスマートフォンを枕元に置き、(偽りの)安心感に浸るのも無理はありません。先日ご報告したとおり、2013 年には Instagram への投稿に対して「いいね」を獲得するモバイルアプリが登場しました。ロシアにいる何者かにパスワードを含むログイン情報を渡すだけという手軽さですが、100,000 人以上ものユーザーがそのことに何の疑念も持っていません。私たちはモバイルデバイスやそのアプリを、生活を便利にしてくれる素晴らしいものと信頼しきっています。ポケットやハンドバッグ、枕元にあるデバイスに対しては、いわば疑うことを棚上げにしているわけで、2014 年には犯罪者にこの点をつけ込まれてしまうでしょう。しかもここで問題にしているのは、マルウェアに限ったことではなく、モバイルアプリは、あらゆる種類のデマや詐欺、ペテンにも利用されるでしょう。

以上が 2014 年に向けた私の予測です。もちろん、未来を予測しようとする試みの多くは、予見も想像もできないことに裏切られることがあります。これらの予測は、当たるものもあれば、外れるものもあるでしょう。確かなことは、私は 2015 年に起きることを予測するために、2014 年も新たなささやき声に耳を傾けるだろうということです。

Predictions from Symantec - Infographic_JP_rev1.jpg

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。