The avast! Be Free photo contest has been active for over a week now, and we have received thousands of photos. We asked you to interpret what our slogan Be Free means to you. Here are some of the photos that we think does a good job. Look through the gallery and vote for your […]
シマンテックが検出した Downloader.Liftoh は、ユーザーに気づかれないまま侵入先のコンピュータにマルウェアをダウンロードするトロイの木馬です。
この脅威の新しい亜種が 5 月の初めに発見され、スペイン語圏の中南米諸国で検出されました。Downloader.Liftoh のこの亜種は英語ではなくスペイン語のメッセージを送信しますが、2012 年 10 月にこのブログで取り上げた W32.Phopifas に類似しています。
Downloader.Liftoh の作成者は、中南米でも人気の高い Skype や、他のインスタントメッセージアプリケーションをマルウェアの拡散に利用しています。
この攻撃は、サイバー犯罪者が攻撃に利用している Google 社の URL 短縮サービスを通じて、171,553 回のクリックを獲得したことが確認されています。
図 2. Downloader.Liftoh は、5 月 20 日以降全世界で 171,553 回のクリックを獲得
図 3. 中南米における Downloader.Liftoh のクリック数分布
マルウェアの拡散に、地理的な国境はありません。攻撃者に必要なのは、各言語に合わせてマルウェアのコードを書き換えて、新しい侵入先コンピュータを探すことだけです。個人のコンピュータやネットワークを侵入から保護するために、スパム対策やウイルス対策の機能を備えた統合セキュリティソリューションを導入し、常に最新の状態に保つことをお勧めします。また、たとえ知っている相手から届いた場合でも、疑わしいリンクをクリックしたり、怪しいファイルを開いたりしないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
シマンテックは、URL が含まれるスパムの増加を確認しています。5 月 16 日に 84% から 96% へと 12% の増加を示して以来、URL スパムの比率は 95% から 99% の範囲で推移していました。つまり、この間に配信されたスパムメッセージのうち 95% に、少なくとも 1 つの URL が含まれていたということです。
図 1. URL スパムメッセージの比率
同期間に最も多く使われていたトップレベルドメイン(TLD)は .ru でした。.ru を含むスパムが減少すると、入れ替わるように .com を含むスパムと .pw を含むスパムが増加している点に注目してください(図 2)。TLD に .ru、.com、または .pw を含む URL スパムが、全体の 73% を占めています。
図 2. 上位 3 位までの TLD の比率(過去 7 日間)
表 1. TLD の上位 5 位が URL スパム全体に占める割合
.ru の TLD と、短縮 URL や無料 Web ドメインを組み合わせて使う例も増えています。確認されているスパムサンプルの多くは、一撃離脱タイプのスパムです(「かんじきスパム」とも呼ばれます)。スパムメッセージに記載されている URL をクリックすると、偽の広告や医薬品のオンライン販売サイトにリダイレクトされます。
スパムメールで確認されている件名の例を以下に挙げます。
図 3. URL スパムのメッセージ
URL スパムの急激な増加が見られたのは、2012 年 12 月と今年の 1 月、ちょうどホリデーシーズンを狙うスパムや年末スパムが増加した時期でした。シマンテックは、URL を含むスパムの増加を引き続き監視し、今後もこういった攻撃を遮断するためのフィルタを追加してお客様を保護します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
フィッシング詐欺師は、ユーザーの個人情報を手に入れるチャンスを少しでも増やそうとして、あらゆることを試みます。よく知られているのは、さまざまな偽のソーシャルメディアアプリを使ってユーザーを誘い込む手口です。最近も、新しい偽アプリの例がいくつか見つかっています。
1 つ目の例は、女の子の写真と Facebook の[いいね]ボタンを使ったフィッシングサイトです。ボタンをクリックすると、この写真に「いいね」を付けるために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力するとログインが確認され、もう 1 度[いいね]ボタンをクリックするよう求められます。ボタンの隣には、これまでに付けられた「いいね」の件数も表示されますが、これは偽の数字です。このフィッシングサイトのホストサーバーは、オランダのアムステルダムに置かれていました。
図 1. 女の子の写真と、Facebook の[いいね]ボタン
図 2. 写真に「いいね」を付けるにはログイン情報の入力が必要
図 3. [いいね]ボタンの隣に表示された「いいね」の数
2 つ目の例は Facebook のログインページに偽装したフィッシングサイトで、インドのユーザーに向けて新機能が追加されたと称しています。フィッシングサイトの名前は「Chehrakitab」であり、これはヒンディー語で「Face Book」という意味です。この例のように、インドのユーザーを狙って設計されたフィッシングサイトは、きまって作りがお粗末です。以前に出現した偽の Facebook 2013 デモバージョンがそのいい例でした。フィッシングページに書かれた説明によれば、サイトはまだ作成中だがログインは可能ということになっています。ロゴの下に「ユーザーの時間を無駄にしている」と書かれているところを見ると、このフィッシング詐欺師は Facebook を蔑視しているのかもしれません。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
図 4. インド版の Facebook を装ったフィッシングサイト
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Binny Kuriakose
Anonymity disguised as freedom of expression and lack of clear cut laws makes cyberspace murky from a security point of view. Countries are waking up and realizing that there is a need for laws which enable authorities to c…
Question of the week: First it was Facebook, then Living Social, then LinkedIn, now Twitter accounts have been hacked. How can I keep my business and personal accounts from being hacked, if the big boys can’t even protect theirs? You are right. It seems like every week we hear about another major website or an […]
Downloader.Liftoh is a Trojan horse detected by Symantec that downloads malware onto the compromised computer without the user noticing.
A new variant of this threat, discovered in early May, was identified in some Spanish-speaking countries in Latin A…
Trend Micro’s “What’s Your Story?” contest awards two $10,000 grand prizes to high schoolers in Canada and the U.S., whose videos show the positive impact of the Internet
Symantec is observing an increase in spam containing URLs. On May 16, URL spam volume increased by 12% from 84% to 96% and since then the URL spam volume fluctuated between 95% and 99%. That means 95% of the spam messages delivered during this period has one or more URLs in it.
Figure 1. URL spam message volume
During this period, .ru was the most used top-level domain (TLD). As illustrated in Figure 2, it is interesting to note a drop in .ru spam and a simultaneous rise in .com and .pw spam. Over 73% of the URL spam contained the .ru, .com, or .pw TLDs.
Figure 2. Top 3 TLDs distribution (last seven days)
Table 1. Spam volume of top 5 TLDs that contributed to total URL spam
We are observing an increasing use of shortened URLs and free Web domains with the .ru TLD. The spam examples seen are mainly hit-and-run (a.k.a. snowshoe) spam. The call to action URL in the spam message leads to fake offers or online pharmacy stores.
Below are the Subject lines that may be seen in spam emails.
Figure 3. URL spam message
This sudden rise in URL spam volume was seen in December 2012 and January this year when holiday season spam and year-end spam was on the rise. Symantec will continue to monitor this uptick in spam containing URLs and will keep our customers protected with additional filters to block these attacks.
竜巻や地震などの自然災害は、米国では珍しくはありません。残念なことに、5 月 20 日の月曜日、オクラホマシティ郊外のムーアが巨大竜巻に襲われ、多くの犠牲者を出しました。スパマーは自然災害を利用して詐欺を行います。シマンテックセキュリティレスポンスは、今回の竜巻に関連するスパムメッセージが Symantec Probe Network に届いていることを確認しています。メッセージの見出しに使われている単語の組み合わせとしては、次のものが上位を占めています。
図 1: オクラホマシティの竜巻を悪用したスパム活動
次のようなヘッダーのスパム攻撃が見つかっています。
件名: People Killed After Violent Tornado Hits Oklahoma(凶暴な竜巻がオクラホマ州を直撃し死者が発生)
差出人: Hottestxxx<TornadoHitsOklahoma@[削除済み]>
スパマーは、被災者を支援するよう求めるスパムメールを送信して、支援活動を装っています。大きな事故や事件に関するニュースを探しているときには、十分に注意してください。特に、寄付や救済基金の要請には気を付ける必要があります。信頼できる安全なサイトを利用するようにしてください。
今後数日の間に悪質な攻撃やその他のスパム活動が増えることが予想されます。迷惑メールを受信しても、疑わしいリンクをクリックしたり、添付ファイルを開いたりしないでください。また、ウイルスやオンライン詐欺から個人情報を保護するために、セキュリティソフトウェアを最新の状態に保つようにしてください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でこの傾向の監視を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。