Does your organization prioritize mobile security? According to recent news, even the U.S. Department of Defense (DOD) is concerned about mobile security and the ability to securely transfer information between mobile devices. This is no small task for the DOD: according to the American Forces Press Service, the DOD has over 600,000 commercial mobile devices Read more…
You know just what a boon SSL can be to your business when it comes to keeping your transactions safe, ensuring that your sensitive information – such as credit card numbers, social security numbers and login credentials – is transmitted se…
Recently, a story ran in CNNMoney.com about the cyberattack experience of a small online retailer. Not only was their site victimized once, but twice in the span of four years. Over 1,000 dollars later, the owners were able to get back on their feet, but many other small businesses won’t be so lucky. Today, cyberattacks Read more…
寄稿: 篠塚大志
マルウェアの作成者は、より巧妙な手口を求めて常に新しい方法を模索しています。サイバー犯罪者の前にはシマンテック保護技術がいくつも立ちふさがり、ユーザーのセキュリティ意識も高くなっているため、彼らの攻撃が成功することはますます難しくなってきました。
最近の調査で、シマンテックは Word13.exe という変わった名前のサンプルを発見しました。外見だけからすると、デジタル署名された Adobe 社製のファイルのように見えます。
図 1. Adobe 社の署名の付いた Word13.exe ファイル
図 2. 偽のデジタル署名のプロパティ
しかし、よく調べてみると、実に興味深い点に気づきます。
図 3. 偽の署名と証明書
これが偽物であることは、[発行者]フィールドに「Adobe Systems Incorporated」と書かれていることでわかります。Adobe 社は VeriSign 製品の顧客だからです。また、証明書の情報を見ると、CA ルート証明書を信頼できないこともわかり、これも決定的な証拠になります。
図 4. Adobe 社の正規の署名と証明書
シマンテックは、このファイルに対する保護対策を提供しており、Backdoor.Trojan として検出します。
Backdoor.Trojan は、自身を実行して iexplore.exe または notepad.exe にインジェクトし、バックドア機能を開始します。
作成される可能性があるファイルは、以下のとおりです。
また、ポート 3337 で以下のコマンド & コントロール(C&C)サーバーに接続します。
そのうえで、このトロイの木馬は以下の処理を実行する可能性があります。
このマルウェアの被害を受けないように、ウイルス対策定義を常に最新の状態に保ち、ソフトウェアも定期的に更新するようにしてください。ダウンロードの URL が提示された場合には、必ずその URL を再確認し、必要に応じて念のために証明書と署名を確認してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Hiroshi Shinotsuka
Malware authors are always seeking new ways to hone their craft. As cybercriminals are facing a multitude of preventative technologies from Symantec and users are becoming more security conscious, it is becoming increasingly difficult for the bad guys to win.
Recently, during research, we came across an oddly named sample, Word13.exe. Upon first glance, it appears to be a digitally signed file from Adobe.
Figure 1. Fake digital signature properties
But upon closer inspection we found something very interesting.
Figure 2. Fake signature and certificate
It’s fake, as the “Issued By” field says “Adobe Systems Incorporated” – Adobe is a VeriSign customer. Also, in the certificate information, we see that the CA Root certificate is not trusted – another dead giveaway.
Figure 3. Legitimate Adobe signature and certificate
Symantec has protection in place and detects this file as Backdoor.Trojan.
Backdoor.Trojan will execute and inject itself into iexplore.exe or notepad.exe and start a back door function.
It may create following files:
It connects to the following command-and-control (C&C) server on port 3337:
This back door may then perform the following actions:
To ensure that you do not become a victim of this threat, please ensure that your antivirus definitions are always up-to-date and that your software packages are also regularly updated. Always double check the URL of the download that is being offered and, if applicable, check the certificate and signature just to be safe.
Question of the week: Is it possible to change the woman’s voice to a man’s in AVAST? One of the most commented upon features of avast! Antivirus is the female voice of our notifications. The familiar message AVAST virus database has been updated is heard by nearly 200 million AVAST users around the world every […]
Mention PKI or ‘Client Certificates’ to many people and it may well conjure up images of businesses busily protecting and completing their customers’ online transactions, yet such certificates are to be found throughout our daily live…
国際クリケット評議会(ICC)のチャンピオンズトロフィー 2013 が、現在イングランドとウェールズで開催されています。グループマッチはすでに始まっており、決勝戦は 6 月 23 日に予定されています。これまでにもシマンテックは、ICC ワールドトゥエンティ 20 やクリケットワールドカップを狙ったさまざまなスパムメールを確認しています。予想どおり、ICC チャンピオンズトロフィー 2013 の詐欺メールが、Symantec Probe Network で検出され始めています。
419 詐欺(ナイジェリア詐欺)は、テキストベースの電子メール、.doc ファイル、PDF ファイルの形で届きます。今回の詐欺メッセージは、ICC UPDATE.doc という名前の .doc ファイルとして添付されており、カムリソラーラの新車、85,000 ユーロ相当が当選したと書かれています。これは典型的な 419 詐欺です。この詐欺メールによると、当選者の電子メールアドレスはある福引きで集められ、日本にある本部で行われた最終抽選に送られたことになっています。賞品を手に入れるためと称して、ユーザーは名前、電話番号、住所、職業などの個人情報の入力を要求されます。
図 1. .doc ファイルが添付された 419 詐欺メール
図 2. 詐欺メールの添付ファイルの内容
図 3. 賞品を受け取るために個人情報を入力するよう誘導する 419 詐欺
送信元が正規のものでない限り、このような電子メールの中の URL はクリックしないようにしてください。スパム対策シグネチャを定期的に更新して、個人情報が漏えいしないよう保護することも忘れないようにしてください。シマンテックでは、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、スポーツイベントにちなんだスパム攻撃を監視しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
脆弱性が発見されてから悪用が出現するまでの時間は、ますます短くなっています。ときには、数時間ということさえあります。そのため、IT マネージャは実働システムへのパッチ適用を急がされ、品質保証に必要な設定管理やベストプラクティスに抵触してしまいます。新しいパッチや更新を常にリリースし続けることに四苦八苦している企業も少なくありません。
今月の第 2 火曜日、2013 年 6 月 11 日に、Microsoft 社は多くの脆弱性を対象とするセキュリティ情報(MS13-051)を公開しました。報告によると、その脆弱性のひとつが標的型攻撃に悪用されています。攻撃者は、スピア型フィッシング攻撃の一環として、特別に細工した添付ファイルを送信してこの脆弱性を悪用できてしまいます。
Microsoft Office の PNG ファイルに存在するバッファオーバーフローの脆弱性(CVE-2013-1331)、すなわち Microsoft Office に存在するリモートスタックベースのバッファオーバーフローの脆弱性によって、リモートでコードが実行されます。これは、Microsoft Office 2011 for Mac と、全 Windows プラットフォーム向けの Microsoft Office 2003 に影響することが確認されています。
シマンテックは現在、この脆弱性に対して以下の検出定義を用意しています。
ウイルス対策定義
侵入防止シグネチャ
シマンテックは保護対策を強化するために、この脅威を継続的に監視し、対応ができしだい、該当の更新を提供する予定です。ウイルス定義対策を定期的に更新し、以下の Microsoft 製品の最新パッチをインストールすることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。
このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。
App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。
図 1. 英語版の App Store
一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。
図 2. 日本語版の App Store
アプリをインストールして起動すると、そのデザインは App Store に似ています。
図 3. ダウンロード可能なように見えるアプリ
デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。
図 4. デバイスがネットワークに接続されていないときの表示
このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。
図 5. 詐欺で使われた出会い系の「サクラ」サイト
サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。
この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。
以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。
<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。