?????????????Microsoft Patch Tuesday?- 2013 ? 11 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2013 ? 11 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、19 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 9 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 11 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Nov

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-089 Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される(2876331)

    Graphics Device Interface の整数オーバーフローの脆弱性(CVE-2013-3940)MS の深刻度: 緊急

    Windows Graphics Device Interface(GDI)が、特別に細工された Windows Write ファイルをワードパッドで処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  2. MS13-088 Internet Explorer 用の累積的なセキュリティ更新プログラム(2888505)

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3871)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の情報漏えいの脆弱性(CVE-2013-3908)MS の深刻度: 重要

    Internet Explorer が印刷プレビューを生成するとき、特別に細工された Web コンテンツを処理する方法に情報漏えいの脆弱性が存在します。この脆弱性が悪用されると、ユーザーが閲覧している任意のページから情報が収集される可能性があります。

    Internet Explorer の情報漏えいの脆弱性(CVE-2013-3909)MS の深刻度: 警告

    Internet Explorer が CSS の特殊文字を処理する方法に、情報漏えいの脆弱性が存在します。攻撃者が、特別に細工された Web ページを作成してこの脆弱性を悪用すると、ユーザーがその Web サイトを開いたときに情報が漏えいしてしまいます。この脆弱性を悪用すると、他のドメインまたは Internet Explorer ゾーンからコンテンツを閲覧できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3910)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3911)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3912)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3914)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3915)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3916)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3917)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  3. MS13-092 Hyper-V の脆弱性により、特権が昇格される(2893986)

    アドレス破損の脆弱性(CVE-2013-3898)MS の深刻度: 重要

    Windows 8 と Windows Server 2012 の Hyper-V には、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、共有 Hyper-V ホスト上の別の仮想マシン(VM)でシステムとして任意のコードを実行できる場合があります。攻撃者は、Hyper-V ホストでコードを実行することはできず、同じホスト上のゲスト VM でのみ実行できます。この脆弱性により、同じプラットフォーム上の Hyper-V でサービス拒否が発生し、攻撃者が Hyper-V ホストの応答停止や再起動を引き起こす可能性もあります。

  4. MS13-093 Windows Ancillary Function ドライバの脆弱性により、情報漏えいが起こる(2875783)

    Ancillary Function ドライバの情報漏えいの脆弱性(CVE-2013-3887)MS の深刻度: 重要

    Windows カーネルモードドライバがカーネルメモリとユーザーメモリの間のデータコピーを正しく処理しない場合に、情報漏えいの脆弱性が存在します。

  5. MS13-095 XML デジタル署名の脆弱性により、サービス拒否が起こる(2868626)

    XML デジタル署名の脆弱性(CVE-2013-3869)MS の深刻度: 重要

    X.509 証明書解析の実装にサービス拒否の脆弱性が存在するため、サービスが応答しなくなる可能性があります。この脆弱性は、X.509 証明書の検証操作が、特別に細工された X.509 証明書の処理に失敗した場合に起こります。

  6. MS13-094 Microsoft Outlook の脆弱性により、情報漏えいが起こる(2894514)

    S/MIME AIA の脆弱性(CVE-2013-3905)MS の深刻度: 重要

    Microsoft Outlook が S/MIME 証明書メタデータを適切に処理しない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となったシステムや、標的となったシステムとネットワークを共有している他のシステムから IP アドレスなどのシステム情報を確認し、TCP ポートを開くことができます。

  7. MS13-090 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム(2900986)

    InformationCardSigninHelper の脆弱性(CVE-2013-3918)MS の深刻度: 緊急

    InformationCardSigninHelper クラスの ActiveX コントロール(icardie.dll)に、リモートコード実行の脆弱性が存在します。攻撃者は特別に細工された Web ページを作成してこの脆弱性を悪用する可能性があります。ユーザーがこの Web ページを閲覧すると、この脆弱性により、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得する可能性があります。

  8. MS13-091 Microsoft Office の脆弱性により、リモートでコードが実行される(2885093)

    WPD ファイル形式のメモリ破損の脆弱性(CVE-2013-0082)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書(.wpd)ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Word のスタックバッファ上書きの脆弱性(CVE-2013-1324)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Word のヒープの上書きの脆弱性(CVE-2013-1325)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

2013 ???????

      No Comments on 2013 ???????

ことの始まりはたいてい、求人情報へのリンクが掲載された無害そうに見える電子メールです。もしくは、管理職クラスを名乗る相手から突然電話が掛かってきて、電子メールで送られてきた請求書を処理するように依頼される場合もあるかもしれません。さらには、仕事で頻繁にアクセスする Web サイトの背後に潜んでいる可能性もあります。

標的型攻撃は、さまざまな点で実業界を脅かす最大最悪の敵となってきました。攻撃が成功すれば大混乱が起きるという、その恐れだけでも十分な脅威です。知的財産の盗難、顧客からの信用の失墜、単なる迷惑など、どれも標的型攻撃が起こしうる結果のほんの一面にすぎません。

9 月号のシマンテックインテリジェンスレポートでは、2013 年の標的型攻撃を詳しく取り上げています。今年も、脅威を取りまく世界には新しい手口が登場していますが、既存の手法を改良したり、水飲み場型攻撃やスピア型フィッシングといった攻撃方法に新しい工夫を加えたりして、狙った標的が罠に掛かる確率を高くしようという動きも目立っています。

シマンテックは、攻撃者の活動の実態を確実に把握するために、標的型攻撃について過去 3 年間の傾向を分析しました。1 日当たりの攻撃件数は昨年に比べて減少していますが、3 年間で見ると攻撃は 13% 上昇していることがわかります。

また、攻撃の目標にも変化が見られます。2012 年には、製造業に対する攻撃が標的型攻撃全体の 4 分の 1 を占めていましたが、攻撃者はサービス業に狙いを移したようで、今年は標的の 3 分の 1 はサービス業です。

1 年を通じて標的型攻撃の活動が開始される可能性が高い時期や、使われている悪質なペイロードのタイプについても調査しました。たとえば、実行可能ファイルを添付した電子メールは、2013 年にどのくらい効果を上げているでしょうか。数字を見たらきっと驚くことでしょう。

以前、シマンテックにおける脅威研究の第一人者スティーブン・ドハーティ(Stephen Doherty)と一緒に Hidden Lynx(謎の山猫)グループに関する Q&A ディスカッションに参加しました。Hidden Lynx は、世界でも特に防護の強固な企業に対して標的型攻撃を仕掛けて侵入に成功したグループです。シマンテックセキュリティレスポンスは最近、『Hidden Lynx – Professional Hackers for Hire』と題したホワイトペーパー(英語)でこのグループの詳細を報告しています。このときのディスカッションの一部をご紹介します。

“Hidden Lynx グループの活動はまさに最先端を行っている。最新の悪用コードを手に入れ、スピア型フィッシング攻撃を行っていることが確認されているほか、VOHO は大規模な水飲み場型攻撃だ。難しい場所にまで侵入を果たすべく、サプライチェーン攻撃も行っている。”

そして、Hidden Lynx の正体、活動の方法と目的、グループが今後どうなっていくか、といったことについて説明しています。

シマンテックインテリジェンスレポートの 9 月号が皆さまのお役に立つことを期待しています。レポートはこちらからダウンロードいただけます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

AVAST donates to Typhoon Haiyan recovery efforts

      No Comments on AVAST donates to Typhoon Haiyan recovery efforts

The Foundation arm of AVAST Software announced today that it will make a donation of 500,000 CZK (approximately $25,000) to support relief and recovery efforts in the Philippines following Typhoon Haiyan. “The greatest needs are for water, food and hygiene kits, and this will be coordinated through our main partner, People in Need, the biggest humanitarian […]

AVAST helps celebrate Czech company achievements in Silicon Valley

      No Comments on AVAST helps celebrate Czech company achievements in Silicon Valley

AVAST was invited by the Czech School of California to participate in a panel discussion on Saturday 9 November about Silicon Valley Trends for 2014. The panel consisted of three successful Czech companies operating in the US and featured Jonathan Penn, Director of Strategy from AVAST, Martin Viktora from KERIO Technologies, which distributes software that allows businesses to connect, […]

Linux Back Door Uses Covert Communication Protocol

      No Comments on Linux Back Door Uses Covert Communication Protocol

 

In May of this year, sophisticated attackers breached a large Internet hosting provider and gained access to internal administrative systems. The attackers appear to have been after customer record information such as usernames, emails, and passwords. While these internal administrative systems had access to customer records, discovery of the attack and certain security implementations mitigated the scope of the breach. Customer passwords were accessible, but these passwords were hashed and salted making mass password cracking difficult. Customer financial information was also accessible, but encrypted. Unfortunately, access to the encryption key cannot be ruled out. While breaches of organizations and mass customer record dumps are posted almost daily, this particular attack was more sophisticated than we have seen in the past.

The attackers understood the target environment was generally well protected. In particular, the attackers needed a means to avoid suspicious network traffic or installed files, which may have triggered a security review. Demonstrating sophistication, the attackers devised their own stealthy Linux back door to camouflage itself within the Secure Shell (SSH) and other server processes.

This back door allowed an attacker to perform the usual functionality—such as executing remote commands—however, the back door did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the back door code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

After seeing this pattern, the back door would parse the rest of the traffic and then extract commands which had been encrypted with Blowfish and Base64 encoded.

3357137-fig.png

Figure. Example of injected command

The attacker could then make normal connection requests through SSH or other protocols and simply embed this secret sequence within some otherwise legitimate traffic to avoid detection. The commands would be executed and the result sent back to the attacker. This back door code is not similar to any other Linux back door that Security Response has previously analysed.

The fragmented file is a shared library and appears to hook a number of functions (read, EVP_CipherInit, fork, ioctl, etc.). Once the code is activated, it can perform the following actions:

  • Execute any command the attacker submits through;
    exec sh -c ‘[ATTACKER_COMMAND]’ >/dev/null 2>/dev/null
  • Execute one of several preconfigured commands and retrieve output from those commands
  • Retrieve the following data from individual SSH connections:
    • Connecting hostname, IP address, and port
    • Username and password or SSH key
  • Encrypt stolen data or command responses using blowfish, and then send to attacker

To identify the presence of this back door on your network, look for traffic that contains the “:!;.” string (excluding quotes). Traffic which contains this string will not appear in SSH logs. Another identification method is to dump the SSHD process and search for the following strings within the dump (where [VALUE] can be various values):

key=[VALUE]
dhost=[VALUE]
hbt=3600
sp=[VALUE]
sk=[VALUE]
dip=[VALUE]

Symantec protects customers by detecting this back door as Linux.Fokirtor.

Holiday Shopping Tips

      No Comments on Holiday Shopping Tips

This holiday season, the FBI reminds shoppers that cyber criminals aggressively create new ways to steal money and personal information. Scammers use many techniques to fool potential victims, including conducting fraudulent auction sales, reshipping merchandise purchased with stolen credit cards, and selling fraudulent or stolen gift cards through auction sites… Read more »

??????????? 30 ?????????????????

      No Comments on ??????????? 30 ?????????????????

寄稿: Vijay Thawre

記録史上最大の規模に成長した台風 30 号(ハイエン)が先週フィリピンを襲い、壊滅的な破壊の爪あとを残しました。死者は 10,000 人を超えるとも言われ、世界中からいくつもの NGO や組織が支援に乗り出しています。寄付金の募集も、各種のソーシャルネットワークや有名な Web サイトで始まっています。それと同時に、スパマーもこの事態につけ込んで、寄付金募集を装った電子メールを送り始めました。

Figure_0.png

図. フィリピンを襲った台風 30 号を悪用する詐欺メール

ここに挙げた例でも、スパマーから送られてくる電子メールは一見してまったく問題がなさそうですが、注意して見てみると「HELP PHILIPPINES(フィリピンの人道支援)」と題したこの電子メールは異なる電子メールアドレスから送信されていることがわかります。

スパマーは、有名なニュース番組のキャスター兼レポーターであると自称しており、この組織はフィリピンで被害の大きかった地域の被災者を支援しているように見えます。また、スパマーが送金機関として指定しているのも名の通った銀行です。今後の連絡先として別の電子メールアドレスも載せていますが、これは無料メールのサービスプロバイダを利用して作成されています。電子メールの全体的な印象や内容はきわめて本物らしく見え、丁寧でもあるため、受け取った人はこれが実際には詐欺メールだと気付かないかもしれません。

このような詐欺の被害に遭わないように、以下の予防対策を講じるようにしてください。

  • 迷惑メールを開かないように特に注意する。
  • 寄付金を送る場合には、宛先の組織が本物かどうかを確認する。
  • 個人情報や機密情報を尋ねてくる電子メールには応答しない。

また、スパム対策シグネチャを定期的に更新することもお勧めします。シマンテックは、台風 30 号を悪用するフィッシング攻撃、マルウェア、ソーシャルネットワーク攻撃などの手口に目を光らせています。最善の保護対策を提供し、最新情報をお届けできるように、こうした攻撃の調査を続ける予定です。

台風の被災者支援は、正規の確実な経路を通じて行うようにしましょう。

このたびの災害で近しい人を亡くされた被災者の皆さまに、心から哀悼の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????????????? Instagram ????

      No Comments on ??????????????????????????? Instagram ????

シマンテックセキュリティレスポンスが確認したところ、「いいね」やフォロワーの数を増やすために、ボットと思われるアプリに対してユーザー名とパスワードを進んで共有してしまっている Instagram ユーザーが少なくないようです。
 

image1_15.png

図 1. InstLike アプリの最初のログイン画面
 

InstLike というアプリは、iOS 版と Android 版の両方が利用可能でした。Apple 社の App Store と Google Play ストアの両方で公開されていましたが、その後どちらのストアからもこのアプリは削除されています。モバイル版のオンラインアプリもあります。

InstLike では、ユーザーが「いいね」とフォロワーの数を無料で獲得できると謳われています。しかし、以前にも警告したように、ソーシャルネットワーク向けに「無料」を謳うこの手のサービスが本当に無料ということはありません。InstLike の場合も、ユーザーは Instagram のログイン情報を入力するよう求められます。本来であれば、Instagram アカウントとのやり取りを必要とするアプリは、ログイン情報を要求するのではなく、Instagram API を使うべきです。
 

自動プロモーションを目的に Instagram アカウントが乗っ取られる

InstLike サービスに登録すると、自動的に「いいね」を押したり自動的に他のユーザーをフォローしたりする目的のために、Instagram アカウントの外部制御を許可することになります。シマンテックがこのアプリをテストしたところ、テストに使った Instagram アカウントはたちまち、ユーザーによる同意や操作も行われないまま写真に「いいね」を付け始めました。
 

Instagram で売買される「いいね」とフォロワーの数

InstLike アプリは仮想通貨システムを利用しており、現実世界の通貨で購入するコインと引き換えに Instagram の「いいね」とフォロワーの数を売り込もうとします。コインは、一定金額の米ドルで購入できます。

コイン 価格
コイン 100 枚(最小単位) 1.00 米ドル
コイン 5,000 枚(最大単位) 50.00 米ドル

image2_8.png

図 2. InstLike では Instagram の「いいね」とフォロワーの数が現実世界の通貨で売買される
 

Instagram の写真に対する 1 回の「いいね」がコイン 1 枚分、1 人のフォロワーがコイン 10 枚分に相当します。

サービス コスト
1 回の「いいね」 コイン 1 枚
1 人のフォロワー コイン 10 枚
1 日の有料サービス コイン 20 枚

コイン 20 枚に当たる InstLike の有料サービスでは、独自のハッシュタグを利用して自動的に写真に「いいね」を付けることが可能になるなど、自動の「いいね」機能をさらに細かく調整できます。ただし、ボット的な活動として Instagram から利用停止措置を受けないように、InstLike はハッシュタグの「いいね」を故意に遅らせます。

InstLike アプリをインストールしているかどうかにかかわらず、どの Instagram ユーザーでも、InstLike の特定のコメント文字列を使えば特別に 20 個の「いいね」を獲得することができます。
 

image3_8.png

図 3. コメントを監視することで InstLike が「いいね」を付ける
 

他のユーザーに InstLike を紹介してコインを稼ぐこともできます。また、コインをさらに増やすために偽の Instagram アカウントを作成する方法までが、YouTube にチュートリアルとしてアップロードされています。
 

Instagram の実際の数値は自動の「いいね」によってゆがめられている

Instagram 上にある写真のうち 50 万枚近くには、#instlike_com というハッシュタグが含まれており、その結果 900 万以上の「いいね」が自動的に付けられています。ただし、「いいね」の数が上限の 20 に達するとユーザーは InstLike のハッシュタグコメントを削除できるので、InstLike が自動的に付けた「いいね」の総数はもっと多い可能性があります。

Google Play ストアによると、InstLike のインストール数は 100,000 から 500,000 の間でした。Apple 社の App Store では統計が示されていませんが、InstLike アプリは、アプリ内課金によって iOS アプリのトップセールスランキングで 145 位に入っています。比較対象として、人気ゲーム「Temple Run 2」でも iOS アプリのトップセールスランキングで 181 位です。
 

image4_4.png

図 4. iOS アプリのトップセールスランキングに入っている InstLike
 

Instagram ユーザーが積極的にソーシャルボットネットの一部に

人気歌手のジェイ・Z も言ったように、ソーシャルメディアでは数字は嘘をつきません(Numbers don’t lie)。ユーザーが獲得した「いいね」とフォロワーの数は、ソーシャルネットワークにおける成功や影響力を示すひとつの指標です。「いいね」やフォロワーの数を増やしたいという心理的な欲求は強く、InstLike のようなサービスはまさにその目的に適っていますが、その代償として多大なセキュリティ上のコストが掛かります。ユーザーは自ら進んで、不正なサービスに詳細なログイン情報を提供しており、事実上ソーシャルボットネットの一端を担う結果になっています。

以下のように、InstLike は Instagram の利用規約にも API 利用規約にも違反しています。

  • You agree that you will not solicit, collect or use the login credentials of other Instagram users.(利用者は、他の Instagram ユーザーのログイン認証情報を請求、収集、利用しないことに同意します。)
  • You shall not use the Instagram APIs to post automated content to Instagram, including likes and comments that were not initiated and entered by an Instagram user.(Instagram API を利用して、自動化されたコンテンツを Instagram に投稿してはなりません。Instagram ユーザーによって設定または入力されていない「いいね」やコメントなどもこれに含みます。)

お使いのデバイスに InstLike アプリをインストールしている場合には、速やかにアンインストールし、Instagram のパスワードを変更してください。Instagram のパスワードを変更しないかぎり、「いいね」とフォロワーの数の自動追加のためにアカウントが利用されてしまいます。

アカウント情報は、サードパーティ製のいかなるアプリやサービスとも共有しないようにしてください。サードパーティ製のアプリやサービスがアカウント情報やユーザー情報へのアクセスを必要とするのであれば、正規の API と認証プロトコル(OAuth 2.0 など)を利用するべきなのです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Hidden Lynx ?????????????????????

      No Comments on Hidden Lynx ?????????????????????

11 月 11 日、Microsoft 社は新しいゼロデイ脆弱性「Microsoft Internet Explorer に存在する未解決の情報漏えいの脆弱性」(CVE-2013-3918)に関するブログを公開しました。これは Internet Explorer の ActiveX コントロールに影響する脆弱性で、11 月 8 日に情報が公開されたばかりです。同ブログによると、これは 11月 12日火曜日午前 10:00 頃(太平洋時間)に Windows Update を通じて MS13-090 として公開されたセキュリティ情報で対処が予定されている脆弱性でした。シマンテックは Microsoft Active Protections Program(MAPP)に参加しているため、この脆弱性については確認済みであり、シマンテック製品をお使いのお客様に対して以下の保護対策を提供しています。

ウイルス対策:
Bloodhound.Exploit.519

侵入防止システム(IPS):
Web Attack: Internet Explorer CVE-2013-3918

シマンテックは、このゼロデイ脆弱性が水飲み場型攻撃に悪用されているという公開情報に基づいて、Hidden Lynx(謎の山猫)と呼ばれるグループとの関連性を突きとめることができました。このグループについては、これまでにもブログホワイトペーパーで詳細をお伝えしています。シマンテックの調査と解析により、今回の攻撃は Hidden Lynx グループとコマンド & コントロールサーバー(IP アドレス 111.68.9.93)を共有しており、公開情報で指摘されたサンプルも、Hidden Lynx グループによって使われている Trojan.Naid の亜種であることが判明しています。以下の解説画像は、多くの被害をもたらしている Hidden Lynx グループについて重要な情報をまとめたものです。

HiddenLynx-Infographic.png

シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。