Football is fun! It’s exciting, it brings us together… to share, to enjoy, to be proud (or ashamed?) of our favorite teams. Simply put, it creates a spirit of community. And we at AVAST Software realize how important community is. We also know that AVAST has a community of 22,000,000 users in Brazil. Given the […]
2013 年 6 月 26 日、Opera ブラウザの開発元である Opera 社は、同社が不正侵入を受けたと発表しました。原因は同社のインフラストラクチャに対する標的型攻撃でしたが、これは普通の標的型攻撃とは異なっていました。今回使われた攻撃は知的財産を盗み出そうとするものではなく、Opera の自動更新機能を利用して、一般的には金融機関を狙うトロイの木馬に関連付けられるマルウェアを拡散しようとするものだったからです。
Opera 社のネットワークへの不正侵入があったのは 2013 年 6 月 19 日頃のことで、まず同社の失効したコードサイニング証明書が盗まれてマルウェアの署名に使われました。署名されたマルウェアは Opera の自動更新機能を介して拡散できるため、ユーザーはブラウザ更新の一部としてマルウェアを受信することになります。問題のマルウェアは Downloader.Ponik というダウンローダ型のトロイの木馬であり、金融機関を狙うトロイの木馬や Infostealer といったサイバー犯罪に関係するマルウェアの拡散に利用されるのが一般的です。
Opera 社は今回の発表の中で、01:00 から 01:36 の間に数千人のユーザーがマルウェアを自動受信した恐れがあると推測しています。同社はすでに不正侵入を特定しており、それ以上のマルウェアの拡散は食い止めることに成功しました。攻撃の時間が短かったため、成功した件数は限られていました。Opera 社のネットワークにもっと長時間アクセスできていたら、はたして成功率は上がっていたでしょうか。
Opera 社のサーバーに、攻撃者がもっと長時間アクセスしていたら、マルウェアの拡散はもっと多くのユーザーに広がっていたはずですが、そのような攻撃は非常に目立ち、セキュリティ企業の関心もひくため、すぐに保護対策がとられ、コマンド & コントロール(C&C)サーバーを停止するために協力態勢がとられることでしょう。こうしたことすべてが、マルウェアを確実に無効化します。これで思い出されるのは Conficker です。数百万のコンピュータに拡散した脅威で、2009 年 4 月 1 日にはペイロードを実行することになっていましたが、そのときまでには、セキュリティ各社とホスティングプロバイダが協力して、C&C サーバーを管理下に置くことができたというケースです。この脅威は厳密に監視されたため、攻撃者は起動する隙がありませんでした。
積極的な拡散の手段に出ようとすると、攻撃者は拡散の成功に足をすくわれることになります。今のところ今回の攻撃は無効化されていますが、ブラウザを更新し、今後の攻撃に対しても事前対応的に備えることを Opera 社は推奨しています。シマンテックは、今回の Downloader.Ponik に対する保護対策を提供していますが、影響を受けた恐れのあるユーザーはパスワードをリセットすることもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Last week, McAfee’s Foundstone Incident Response team got hold of a piece of malware that was sent out during a phishing campaign. The campaign targeted several companies and institutes in the United Arab Emirates, Oman, Bahrain, and a couple of Caribbean islands. The executable that was sent with the email was called emiratesstatement.exe and the Read more…
寄稿: Avdhoot Patil
以前からお伝えしているように、フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例は後を絶ちません。フィッシングサイトで偽のソーシャルネットワークアプリケーションが使われるのも、今では当たり前になってきました。フィッシング詐欺師は、重要な情報を収集する目的で新しい偽アプリケーションを次々と作り出しています。
過去 6 カ月間で見ると、ソーシャルメディアサイトでのフィッシング攻撃は、フィッシング活動全体のうちで 6.9% を占めました。ソーシャルメディアを標的としたフィッシングサイトのうち 0.9% は、アダルトビデオやビデオチャット、アダルト用チャット、携帯電話の無料通話といった機能を謳う偽アプリケーションでした。
2013 年 5 月、Facebook ファンページを保護し、ひいてはユーザープロフィールの「ソーシャル上のセキュリティ」を強化すると称する偽のセキュリティアプリケーションがフィッシングサイトに登場しました。Facebook ファンページは公開プロフィールとして重要な意味を持ち、有名人や企業が利用するほか、Facebook をよく使うユーザーがファンページやコミュニティページを作成するときにも使われます。有名人や企業は、Facebook ファンページを使って訪問者を増やし、世界中の人とつながることができます。このフィッシングサイトは、米国カリフォルニア州のサンフランシスコにあるサーバーをホストとして利用していました。
図 1. ログイン情報の入力を求めるフィッシングサイト
図 1 のように、フィッシングページには「Ensuring Social Security(ソーシャル上のセキュリティを強化)」というタイトルが付けられています。ページに書かれたメッセージによれば、これはファンページの検証プロセスの一環であり、ソーシャル上のセキュリティを強化する新しい機能です。また、このプロセスは必須であり、「2013 年 5 月 30 日まで利用可能」としたうえで、この期日までに検証されないファンページはすべて完全に閉鎖されると警告します。フィッシングページの中央には、「New Facebook Guidelines(Facebook の新しいガイドライン)」と称したログインフォームが表示されます。ログオンフォームには、以下のフィールドがあります。
ログインフォームにはセキュリティコードについての説明もあり、10 桁の数字を入力し、かつ紙にも書きとめておくようにという指示があります。セキュリティコードは非常に重要であり、管理権限を委譲する場合や、新しい管理者または運営者を追加する場合に必要になるというのがその理由とされています。ログイン情報を入力して[Submit]ボタンをクリックすると、「Thank You. Your Fan Page is being verified and we will notify you within 48 hours when the process is completed.(ありがとうございます。ファンページは検証中です。処理が終わったら、48 時間以内にご連絡いたします)」という確認メッセージが表示されます。
図 2. フィッシングサイトの確認メッセージ
言うまでもなく、ユーザーを欺くことがこのサイトの目的であり、ソーシャルネットワークサイトのログイン情報を入力すればアカウントが保護されると思い込ませることが狙いです。実際には、保護されるどころではありません。ログイン情報を入力すると確認メッセージが表示されますが、その裏ではユーザーのアカウント情報がフィッシングサイトに送信されてしまうからです。
このフィッシングサイトは SSL で保護されていました。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Migrating certificates during a major key size migration can be difficult at best. I’m going to give you some background, share a great video we have produced, as well as share seven steps to aid in this migration.
Background – Key Sizes Change w…
In China, there is a saying: “道高一尺,魔高一丈,” meaning “The law is strong, but the outlaws are sometimes stronger.” In the last few weeks, a new Android malware we’re calling Android/Obad.A has appeared. It uses a number of techniques that have rarely been seen before in mobile malware. Android/Obad.A requests the victim to authorize its Device Read more…
A few weeks ago, we told you about Obad, a backdoor Trojan that targets the Android operating system (OS). What differentiates a Trojan from a traditional virus is that this type of software attempts to masquerade as something useful in order to trick users into opening the file and then leaves a backdoor open so Read more…
A few weeks ago, we told you about Obad, a backdoor Trojan that targets the Android operating system. This Trojan affects all Android OS users, and it is strongly recommended that you address this flaw immediately! What does Obad do? Essentially, Obad enables the downloading of malicious apps onto your Android device right under your Read more…
On June 26 2013, browser manufacturer Opera announced that they had been breached as a result of a targeted attack against their infrastructure. However, this was no ordinary targeted attack. The attackers in this case weren’t looking to steal intellectual property. They wanted to use Opera’s auto-update mechanism in order to propagate a piece of malware normally associated with financial Trojans.
When attackers breached the Opera network sometime around June 19 2013, they first stole an expired Opera code signing certificate to sign a piece of malware. Signing the malware allowed them to distribute it via Opera’s auto-update mechanism. Users would receive the malware as part of a browser update. The malware in question is Downloader.Ponik, a downloader Trojan typically used to propagate cybercrime-related malware, such as financial Trojans and infostealers.
Opera, in their statement, estimates that a few thousand users may have automatically received the malware sometime between 01:00 and 01:36. Opera spotted the breach and were able to halt any further propagation of the malware. As the attackers only had a small window in which to operate they had limited success. Had they had more prolonged access to the Opera network they would have been much more successful. Or would they?
Had the attackers had access to the Opera servers for a longer period they would have been able to propagate their malware to a much larger number of users. However, such an attack would be very noisy, drawing the attention of security companies who would quickly provide protection and lead a concerted effort to take down command-and-control (C&C) servers. All of this would render the malware effectively useless. This is reminiscent of Conficker, a threat which spread to millions of computers and was due to trigger a payload on April 1, 2009. However, by that time, security organizations and hosting providers had worked together to take control of the C&C servers. The threat was being so closely monitored that the attackers were unable to leverage it.
When attackers try aggressive propagation methods they become victims of their own success. For now this attack has been neutralized. Opera recommends that users update their browsers as proactive measure against further attacks. Symantec provides protection for this as Downloader.Ponik. We also recommend that users who think they may have been affected reset their passwords.
Success of the last Hashtag challenge, available across the social media platforms, convinced us to continue with this idea. This weekend, we want to introduce you to a new one. Utilize the following Hashtag: “#withoutProtection” to let everybody know what would you never do #withoutProtection. Would that be: sunbathing, travelling, leaving your kids, or maybe risking to leave […]