Helping organizations securely navigate the cloud, Trend Micro delivers innovative solutions compatible with Amazon Web Services
Imagine this: You’re walking past your favorite store and your phone buzzes to ask you if you like the new spring collection. Or maybe it wants to know what you think about the new running shoes displayed in the storefront just up ahead. Conversations with your phone aren’t just something to imagine anymore; recently companies Read more…
While online-based businesses may not have the long history enjoyed by their brick-and-mortar predecessors, many helped to pioneer the digital shopping experience and make it what it is today. With that goal in mind, eCommerce merchant Batteries4Less.com was one of the first online stores of its kind, a move that has branded them one of Read more…
Introducing advanced elastic security offerings designed for customers using Amazon Web Services (AWS), extending best of breed enterprise security software for organizations realizing the agility and cost effectiveness of cloud computing.
寄稿: Avhdoot Patil
フィッシング詐欺の世界では最近も変わらず、サッカーが大人気のようです。2012 年にも、サッカーを利用したさまざまなフィッシング攻撃が確認されましたが、フィッシング詐欺師は早くも 2014 年の FIFA ワールドカップに熱い視線を注ぎ、有名選手やサッカークラブを狙っています。リオネル・メッシ選手のファンを狙った詐欺や、FC バルセロナを利用した詐欺は、そういったフィッシングの一例です。たくさんのファンが付いている有名選手を利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 4 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。今回のフィッシングサイトは、フランスにある無料の Web ホスティングサイトを利用していました。
このフィッシングサイトでは Facebook のログイン情報を入力するよう要求します。ページにはリオネル・メッシ選手、FC バルセロナ、あるいはクリスティアーノ・ロナウド選手が目立つようにデザインされています。フィッシングページには彼らの画像が掲載され、いずれかの正規の Facebook ページであるかのような印象を与えます。なかには、「first social networking site in the world(世界で最初のソーシャルネットワークサイト)」というタイトルの偽サイトまでありました。ユーザーは、Facebook ページにアクセスするために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力すると、ログインが有効であると思い込ませるようにリオネル・メッシ選手、FC バルセロナ、またはクリスティアーノ・ロナウド選手の正規のコミュニティページにリダイレクトされます。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
図 1. リオネル・メッシ選手の画像が掲載された偽の Facebook ページ
図 2. FC バルセロナの画像が掲載された偽の Facebook ページ
図 3. クリスティアーノ・ロナウド選手の画像が掲載された偽の Facebook ページ
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
シマンテックは、URL のトップレベルドメイン(TLD)に .pw が含まれるスパムメッセージの増加を確認しています。元々はパラオを表す国別コードトップレベルドメインでしたが、現在は Directi 社を通じて、「Professional Web」を意味するドメインとして誰でも利用できます。
図 1. TLD が .pw のスパムメッセージが急増
まず過去 90 日間の状況を見てみると、.pw は TLD 別の分布リストで 16 位でした。
図 2. 過去 90 日間の TLD 別の分布リスト
ところが、直近の 7 日間を見ると、.pw を含む URL が 4 位に急上昇しています。
図 3. 過去 7 日間の TLD 別の分布リスト
Global Intelligence Network で見つかったメッセージを調べたところ、URL に .pw を含むスパムメッセージの大多数は一撃離脱タイプのスパム(「かんじきスパム」とも呼ばれます)であることが判明しました。
.pw を含む URL スパムについて、過去 2 日間の上位 10 件の件名は以下のとおりです。
図 4. .pw を含むスパムメッセージの例
シマンテックでは、引き続きこの傾向を監視し、こういった攻撃を絞り込むためのフィルタの作成を続ける予定です。また、企業や個人ユーザーの皆さまは、シマンテックインテリジェンスレポートに掲載されている基本的なセキュリティ対策(ベストプラクティス)を実施するようお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
きたる 4 月 30 日火曜日、午前 9:00(太平洋標準時)(日本時間の 5 月 1 日水曜日午前 1:00)より、シマンテックセキュリティレスポンスの専門家 Kevin Haley と Paul Wood による Twitter 討論会が開催されます(ハッシュタグは #ISTR)。テーマは、最新の『インターネットセキュリティ脅威レポート』第 18 号(英語)で焦点を当てられている主な傾向についてです。ぜひご参加ください。
今回の『インターネットセキュリティ脅威レポート』では、2012 年にシマンテックが確認した主な脅威の傾向を取り上げ、個人情報や重要な知的財産にアクセスしようとするサイバースパイ活動が著しく増加していること、そしてこうした情報窃盗犯罪の手口がどのように変遷しつつあるかを明らかにしています。2012 年に標的型攻撃が最も増えたカテゴリは、従業員数 250 人未満の企業であり、標的型攻撃の総数のうち 31 パーセントを占めています。2011 年と比べると 3 倍にも達したことになります。
ハッシュタグ #ISTR の Twitter 討論会を今すぐカレンダーに追加し、サイバー犯罪者が企業の知的財産を狙う最新の手口と攻撃経路についての議論にぜひご参加ください。
テーマ: 『インターネットセキュリティ脅威レポート』第 18 号 – データが教えてくれるもの
日付: 2013 年 4 月 30 日火曜日(日本時間 5 月 1 日)
時刻: 午前 9:00(太平洋標準時)(日本時間午前 1:00)より
時間: 1 時間
サイト: Twitter.com。ハッシュタグ #ISTR をフォローしてください。
討論に参加する専門家:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
最近、Microsoft Windows XP 上では動作しないバックドア型のトロイの木馬プログラム(Backdoor.Trojan として検出されます)が確認されました。今回はこの脅威について、なかでもマルウェア作成者がこのトロイの木馬の機能に組み込んだ特殊なテクニックについて詳しく報告しようと思います。このマルウェアを標的型攻撃で使うために設計されたと思われるテクニックです。
この脅威で作成者は fseek 関数を使っています。通常はデータ処理に使われる関数なので、これは異例なことです。たとえば、ファイルの先頭から 100 バイトのデータを読み込むプログラムでは、fseek 関数のプロセスを使って 100 バイトを移動します。
図 1. マルウェアで使われている fseek コードのテクニック
ところが、今回見つかったマルウェアには、ループで連続する 3 つの関数が存在します。
通常、コードは fseek 関数の後でデータを読み書きしますが、このマルウェアの場合にはそのプロセスが発生していません。このような関数がループで記述されているのも奇妙です。
このコードをさらに詳しく見てみると、fseek 関数はファイルハンドルに NULL ポインタを指定して動作していることがわかります。つまり、制御するファイルがないということです。fseek 関数が存在しないファイルを制御するため、このマルウェアは Windows XP 上で実行されるとクラッシュします。
図 2. Windows XP 上で実行されるとマルウェアがクラッシュする
同じファイルを Windows Vista 以降で実行すると、正常に動作します。では、Windows XP と Vista 以降の Windows では何が違うのでしょうか。
Microsoft Visual Studio 2005 以降の MSDN ライブラリによれば、fseek 関数は次のように説明されています。
「stream が null ポインタの場合、または origin が次に説明するいずれの値でもない場合、「パラメータの検証」に説明されているように、fseek および _fseeki64 は無効なパラメータ ハンドラを呼び出します。実行の継続が許可された場合、これらの関数は errno を EINVAL に設定し、-1 を返します。」
しかし、Microsoft Visual Studio .NET 2003 の MSDN ライブラリには、この説明がありません。
以上のことから、NULL ポインタを指定したファイルハンドルをパラメータとして渡されたときの fseek コードの動作が変更されたのだと考えられます。マルウェア作成者は、この変更を意図的に利用して、Windows XP 上では動作しないプログラムを作成したのです。
Windows XP は、2013 年 3 月の時点でもオペレーティングシステム市場において 40% を若干下回る程度のシェアを保っています。Windows XP で動作しないプログラムを作成したら、大量のコンピュータに感染させる絶好のチャンスを逃していることになります。とすれば、わざわざそのようなマルウェアを作成した理由はどこにあるのでしょうか。
1 つ考えられるのは、マルウェアの真の動作がサンドボックスで明らかにされるのを回避しようと試みている可能性です。インターネット上で見つかった 8 つの自動脅威解析システムにサンプルファイルを送信してみたところ、どのシステムでもサンプルファイルの動作はログに記録されませんでした。これは、fseek 関数によるテクニックの後で悪質なコードが見つかったためと考えられます。サンプルのテストに使われるサンドボックスが Windows Vista など、Windows XP よりも新しいオペレーティングシステムで実行されている場合、マルウェアの動作が記録されない可能性があります(セキュリティ企業が自動の脅威解析システムを利用してマルウェアを解析する方法について詳しくは、以前のブログを参照してください)。
有害あるいは破壊的な活動を実行することなく密かに動作するマルウェアは、長期にわたってコンピュータへの侵入を続けることができるので、マルウェア作成者にとってそのメリットは無視できません。
バックドア型のトロイの木馬プログラムは通常、オペレーティングシステムや CPU のクロック数、インストールされているウイルス対策ソフトウェアを調べますが、今回のマルウェアは、以下の情報も収集する点で独特です。
通常、マルウェア作成者はコンピュータ上のバッテリのことまで考えたりしません。ところが、今回のマルウェアの作成者は明らかに、標的企業に強い関心を示しているようです。
このブログの執筆時点で、シマンテックの大口のお客様からこのマルウェアのサンプルが集まったのはわずかに 2 例だけで、大規模な感染は記録されていません。
これまでの解析結果から言えるのは、このマルウェアは標的型攻撃に使われ、作成者は、標的企業のコンピュータで Windows Vista 以降が使われていることを知りつつ、Windows XP では動作しないマルウェアでネットワークへの感染を試みたということです。
標的企業の管理者が、疑わしいファイルの不審な動作に気付き、自動の脅威解析システムでそのファイルをテストしたとしても、テスト段階で悪質な活動は見られず、管理者もこのファイルの本当の動作については何もわからなかった可能性があります。
シマンテックは、今回ご報告した悪質なコードとそのテクニックを引き続き監視していく予定です。疑わしいプログラムは実行しないようにして、オペレーティングシステムやウイルス対策ソフトウェアを最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Nearly every week now we can read about a data breach case somewhere, where millions of user accounts and potential other sensitive data has been compromised. Most people are not even shocked by such news anymore, as it is starting to become humdrum.
O…