Tightly targeted cyber-espionage attacks designed to steal intellectual property are hitting the manufacturing sector and small businesses with ever greater venom, with the latter, highly vulnerable, organisations the target of 31% of such attacks &nda…
Users of social networks save and share huge amount of data and become a favorite target of potential attacks. Therefore we, at AVAST Software educate You about online security and how to protect your privacy on social media. Therefore we recommend you to advantage of a new security feature recently introduced by Twitter. With a growing […]
HTTP session hijacking, better known as “sidejacking”, poses a major threat to all internet users. This is due to the common use of Wi-Fi networks, which are inherently unsecure, but also because of the wide-spread misplaced trust in the sa…
金融機関を狙ったマルウェアの様相は常に変化しています。サイバー犯罪者は金融業界についてますます詳しくなり、攻撃も巧妙になる一方です。最近シマンテックは、「The World of Financial Trojans(金融機関を狙うトロイの木馬の状況)」(英語)と題するレポートを公開し、オンラインバンキングを狙うマルウェアの特徴や手口を紹介しました。マルウェアの作成者がどのような手口や機能を選択するかは、資金力や市場に関する知識によって異なるようです。
金融機関を狙うマルウェアでは、ほとんどの場合、感染経路として悪用ツールキットが好んで利用されます。過去数カ月の間シマンテックが監視を続けてきた悪用ツールキットは Gongda と呼ばれ、主として韓国を狙っています。この悪用ツールキットによる拡散が確認されている Castov というマルウェアには要注意です。韓国の特定の金融機関とその顧客を標的としていますが、Castov を使うサイバー犯罪者は、韓国のオンライン金融サービスの状況について調べ尽くしているからです。
図 1. 2013 年 5 月における Gongda の IPS 検出の分布図(分布の 98% が韓国)
この脅威の第 1 段階に当たるのが Downloader.Castov です。Delphi でコンパイルされており、ウイルス対策ソフトウェアを停止させる機能を持っています。ひとたびコンピュータに侵入すると、コマンド & コントロール(C&C)サーバーに感染を報告し、暗号化されたファイルをダウンロードします。このファイルが、第 2 段階に当たる Infostealer.Castov です。
Infostealer.Castov は正常な DLL のリスト(いずれも韓国のオンラインバンキングのソフトウェアとセキュリティに関係しています)で特定のオフセットを調べて OP コード(演算コード)命令があるかどうか確認し、その命令を書き換えます。このときインジェクトされるコードが、パスワードや口座情報、取引情報などと思われる文字列を調べます。見つかったデータは収集され、リモートサーバーに送信されます。
表 1. 狙われる DLL と、実行される処理
さらに Infostealer.Castov は、侵入先のコンピュータの NPKI ディレクトリ(%ProgramFiles%\NPKI)に保存されているデジタル証明書も収集します。これは韓国で広く利用されているデジタル証明書で、銀行やクレジットカード、保険などの金融サービスで汎用的に(個人、法人とも)発行されています。ユーザーごとに重複がなく、有効期間は 1 年間です。
スクリーンショット、パスワード、デジタル証明書を組み合わせれば、サイバー犯罪者はユーザーの金融口座にアクセスできるようになります。
図 2. 2013 年 1 月から 5 月にウイルス対策で検出された Castov の分布図
シマンテックは、Castov と Gongda への対策として以下の検出定義ファイルを提供しています。
ウイルス対策:
侵入防止シグネチャ:
保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently I wrote a blog post about a legitimate website spreading Sirefef malware. Then I continued with a deeper analysis and noticed that it uses an interesting cryptor. Malware authors spread many new variants of malware every day. These variants often look completely different at the first glance. That’s why regular updates of your antivirus […]
The financial malware landscape is constantly evolving, cybercriminals are becoming more knowledgeable about the financial sector, and attacks are becoming more sophisticated. We’ve recently released a report, “The World of Financial Trojan…
As the eCommerce industry continues to grow, online merchants need ways to differentiate themselves from the competition. In 2012 alone, global eCommerce sales topped $1 Trillion for the first time, and they’re showing no sign of slowing down. Aside from products and content, one of the best ways to ensure that your business stays ahead Read more…
We are excited to share news with you. Our social media team has added additional, professional support. Marcus Taveira, our Latino sunshine, joins Peter Bucek to help our community by responding to technical and customer care enquiries on Facebook and Twitter. Marcus responds in Portuguese and English. We are pleased to welcome Marcus to our […]
Part 3 – what you should look for when choosing a cloud security provider.
In the first two parts of this 3-part blog we highlighted the importance of choosing a financially secure and stable organisation; one that you can trust with your data an…
寄稿: Binny Kuriakose
サイバー空間は、表現の自由を隠れ蓑にした匿名性が横行し、明確な法律も欠如しているため、セキュリティの観点から見ると混沌としています。各国とも、サイバー空間に巣くう犯罪者を管轄当局が逮捕して処罰するために法律の整備が必要であると自覚しつつあるものの、犯罪者は実に巧妙です。
スパマーが絶妙な手口でスパムを拡散することは知られていますが、最近ではスパム攻撃を仕掛けるためにスパム対策の法律すら悪用し始めました。今回のブログでは、スパム対策法の実効性を吟味するのではなく、電子メールで法律を引用してスパムの信憑性を装う手口について説明したいと思います。
なかには、スパムと正規メールのどちらともつかない「グレーゾーン」の電子メールもあり、あまりに微妙な言い回しのために、受信したユーザーがその判断を誤ってしまう場合も少なくありません。電子メールの本文中でスパム対策法を引用し、その法律に従った電子メールであると主張するのは、こうした「グレーゾーン」のスパムをシロに見せかけるための常套手段です。
CAN-SPAM 法(ポルノおよび広告の迷惑メールによる攻撃の取締法)- 公法 108-187(米国、英語)
図 1 に示したサンプルでは、CAN-SPAM 法、すなわち米国におけるスパム対策法の規定に従っていると書かれています。電子メールの最後に免責条項のセクションがあり、この法律について説明されています。
図 1. スパム対策法を本文中に引用したスパムのサンプル
このスパムの問題点
このサンプルの違法性は、スパマーが提示している「受信拒否(オプトアウト)」のオプションが偽ものだという点にあります。受信を拒否しても、別のメール送信対象者リストにアドレスが移し替えられるだけです。これに類するスパムには必ず、法律を引用したうえで「購読解除」または「受信拒否(オプトアウト)」のオプションが用意されているので、その信憑性に被害者は引っかかってしまいます。
スパムで「悪用」が広く確認されている他の法律
これまでに最も多く悪用されている法律的な記述は、米国の「Bill S.1618 Title III」、通称「MURK」という法案です。スパムに関連しているものの、この法案は上下両院で否決されたため、制定には至っていません。したがって、「Bill S.1618 Title III に従っている」と書かれていたら、その言葉自体に嘘があることになり、まず疑ってかかる必要があります。この法案を引用したスパムメールは、同法案が提出された 1998 年から確認されています。
図 2. Bill S.1618 Title III を引用したスパムの免責事項
さらに不愉快なのは、スパマーがこの引用を盾にとって、ユーザーを脅迫までしていることです。
図 3. Bill S.1618 を引用して脅迫するスパム
ところが、この事例は米国の国境を越えて広まっています。同じ引用が、ポルトガル語やスペイン語など他の言語でも見つかっているからです。
図 4. Bill S.1618 Title III を引用したスペイン語のスパムでの免責事項
ヘイビアスデータ法は、アルゼンチンにおいて商用電子メールのガイドラインを定めた法律です。同種の他の法律と同じく、ヘイビアスデータ法でも、個人情報をデータベースから削除するよう請求する権利をユーザーに保証しています。
スペイン語やポルトガル語のスパムメール攻撃でこの法律が引用され、また本物らしく見せるために受信拒否(オプトアウト)のオプションも使われています。受信拒否(オプトアウト)オプションが偽ものである点は変わらず、受信されるスパムが減るわけではありません。
図 5. ヘイビアスデータ法を引用したスパムの免責事項
No. 28493 / 29246 / D. S. 031-2005-MTC はペルーの法律で、当然スペイン語で書かれています。他の国や地域から送信されたスペイン語のメールでも、この法律を引用して合法性を主張するものがあります。以下のサンプルでは、登録解除オプションとして Web メールに返信するように説明されています。
図 6. ペルーの法律 No. 28493 / 29246 を引用したスパムの免責事項
商用メールに関するフランスの 2 つの法律がスパムで確認されていますが、この例では適切な受信拒否(オプトアウト)オプションがユーザーに示されていません。受信拒否(オプトアウト)リンクがある場合には、ユーザーの個人情報が削除されるというメッセージの書かれた Web ページにリダイレクトされるのが一般的です。もちろん、実際に削除が実行されることはありません。
図 7. フランスの CNIL No 1291376 を引用したスパムの免責事項
まとめ
以上のサンプルから、スパマーが法律を都合よく利用してスパムを糊塗し、偽の合法性を演出しようとしていることは明らかです。残念ながら、受信したユーザーは今でもこの手口の犠牲になっています。
個人がいかなる通信についても受信を拒否する権利と、個人情報をデータベースから削除するよう請求する権利は、多くの国や地域で認められています。しかし、リストからの登録解除だけではなく、リストへの登録そのものを取り締まる強力な法律も同じくらい必要であることが、今回の事例から明らかになりました。スパマーは、登録を解除しても、別の送信リストに加えるだけだからです。ユーザー側でも、スパム対策の各法律によって個人にどのような権利が付与されるのか知っておくべきでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。