???????????????????? Apple OS ????
Mac OS X と iOS にパッチ未公開の脆弱性が存在し、悪質なアプリがセキュリティをくぐり抜けて資格情報を盗み出す恐れがあります。
Read More
Tag Archives: app
Apple vulnerabilities pose serious threat to passwords and credentials
Unpatched vulnerabilities in Mac OS X and iOS allow malicious apps to bypass security and steal credentialsRead More
???????: Snapchat ????????????????????????
この 1 週間というもの、フォトメッセージアプリ Snapchat のユーザーは、スパムスナップ(Snapchat では写真をスナップと呼ぶ)の数が急増したことにお気付きのことでしょう。Snapchat サービスには現在、無数のスパムアカウントが入り込んでいて、胸を露出した女性のスパムスナップがばらまかれています。
図 1. Snapchat 上のスパムアカウント
Snapchat ユーザーの元には今、「[女性の名前]snap_####」という形式の似たような名前のアカウントから次々と申請が届いています。どの申請にも、スパムアカウントから保留中のスナップが添付されています。Snapchat アプリにはプライバシー設定があり、友人からのスナップのみを受け付ける設定も可能ですが、それでも不明なユーザーから追加申請は届きます。シマンテックが確認した一部の Snapchat ユーザーからも、この 1 週間でこうした申請が増えたという指摘がありました。
図 2. 胸を露出した女性が写っているスパムスナップの例
このような申請を承認すると、裸の女性のスパムスナップが送られてきます。写真は同じではありませんが、どのスナップにも「Add me on KIK for nudes swap(Kik に私を追加して、ヌード写真を交換しましょう)」というコメントがあり、モバイルデバイス用のインスタントメッセージアプリ Kik Messenger のユーザー名が添えられています。
Kik Messenger に切り替えると、スパマーにポルノボットを利用する隙を与えてしまいます。これは、ヌード写真をもっと送ると約束する所定のセリフを使ってユーザーとのつながりを持とうとするスパムアカウントです。
ポルノボットが謳っているヌード写真を見るためには、先にモバイルアプリをインストールするためのリンクをタップしなければなりません。ユーザーが間違いなくそのアプリをインストールしたことを確かめるために、ボットは、写真を送る前に証拠としてアプリのスクリーンショットを送信するよう求めてきます。
図 3. Kik Messenger 上のポルノボットの例
リンクをタップすると、アフィリエイトプログラムを通じて何回かリダイレクトが発生し、最終的には Apple 社の iOS App Store や Google Play ストアに登録されているゲームのページに移動します。移動先のアプリのひとつに、Snapchat スパムについて言及しているレビューがありました。
図 4. App Store のレビューで指摘されている Snapchat スパム
これらのスパムは、インストールが実行されるたびに報酬が支払われるアフィリエイトプログラムを通じて儲けを上げる仕組みになっています。チャットのセリフの中でポルノボットがインストールの証拠を求めているのもこのためです。シマンテックの調査によると、複数の短縮 URL で少なくとも 30,000 件のクリックスルーが発生しましたが、複数の短縮 URL を使って複数の攻撃が行われている可能性を考えると、この数字はさらに多くなるかもしれません。
以前のブログ(リンク 1、リンク 2)でも指摘したように、サービスの人気が上がると、スパマーはそれを見逃しません。Snapchat では毎日 3 億 5,000 万件ものメッセージが送信されているので、スパマーが狙うのも当然です。
ポルノスパムとは別に、「secret admirer(隠れファン)」というエサを使って Snapchat ユーザーを狙い、SnapCrush という Web サイトに誘導しようとするスパム攻撃も出現しています。この Web サイトはユーザー名を収集し、同じように一連のアフィリエイトプログラムを通じてユーザーをリダイレクトします。ユーザーを欺いてモバイルアプリをインストールさせるという目的も同じです。
図 5. Snapchat 上の新たなスパム攻撃
今のところ、Snapchat ユーザーがアプリ内からこのようなアカウントをスパムとして報告できる機能はありません。当面の間、スパムアカウントを報告するには、Snapchat のサポートサイトで「Report Spam」セクションを利用してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Spamchat: Snapchat Users Subjected to Porn and Secret Admirer Spam
Over the past week, users of the photo messaging application Snapchat have seen an increase in the number of spam snaps (Snapchat pictures). The service is now being infiltrated by a myriad of fake accounts sending spam snaps of topless women.
Figure 1. Spam accounts on Snapchat
Snapchat users are currently receiving requests from accounts named similarly, using the following format: “[GIRL’S NAME]snap_####”. Each request features a pending snap from these spam accounts. Despite the app offering privacy settings to only allow snaps from friends, users can still receive add requests from unknown users. Some Snapchat users we spoke to have noticed an increase in these requests over the last week.
Figure 2. An example of a spam snap with a topless woman
If a user accepts one of these requests, they will receive a spam snap of a nude woman. While the photo may vary, each snap includes the caption, “Add me on KIK for nudes swap ;)” along with a username on Kik Messenger, an instant messaging application for mobile devices.
Moving to Kik Messenger gives spammers the opportunity to leverage porn bots, fake accounts that engage with users by using a predefined script that promises more nude photos.
The porn bot offers more nude photos, but only if the user clicks on a link to install a mobile application first. To make sure the user installs the application, the bot requires proof and requests a screenshot from the app before sending more nude photos.
Figure 3. An example of a porn bot on Kik Messenger
If a user clicks on the link, a series of redirects occurs through affiliate programs, leading to games hosted on Apple’s iOS app store or the Google Play store. We have found that reviews of one of the applications mention the spam from Snapchat.
Figure 4. App store review highlighting Snapchat spam
The way these spammers make money is through affiliate programs that pay for each successful installation. This is why porn bots ask for proof of installation in the chat script. From our research, there were at least 30,000 clicks through multiple short URLs, though this number may be higher when considering that there could be multiple campaigns with different short URLs in operation.
As we’ve highlighted in previous examples, once a service becomes popular, the spammers are never far behind. With 350 million messages sent on Snapchat on a daily basis, it is no surprise that spammers have honed in on the service.
Other than porn spam, Snapchat users are also being targeted by a new campaign that uses a “secret admirer” lure in order to direct them to a website called SnapCrush. This website harvests usernames and directs users through a similar chain of affiliate programs with the same intention: to convince users to install a mobile application.
Figure 5. A new spam campaign on Snapchat
Currently, there is no way for Snapchat users to report these accounts as spam within the application itself. For now, users can report spam accounts to the service through the Report Spam section of the Snapchat support site.
??????????????????????????? Instagram ????
シマンテックセキュリティレスポンスが確認したところ、「いいね」やフォロワーの数を増やすために、ボットと思われるアプリに対してユーザー名とパスワードを進んで共有してしまっている Instagram ユーザーが少なくないようです。
図 1. InstLike アプリの最初のログイン画面
InstLike というアプリは、iOS 版と Android 版の両方が利用可能でした。Apple 社の App Store と Google Play ストアの両方で公開されていましたが、その後どちらのストアからもこのアプリは削除されています。モバイル版のオンラインアプリもあります。
InstLike では、ユーザーが「いいね」とフォロワーの数を無料で獲得できると謳われています。しかし、以前にも警告したように、ソーシャルネットワーク向けに「無料」を謳うこの手のサービスが本当に無料ということはありません。InstLike の場合も、ユーザーは Instagram のログイン情報を入力するよう求められます。本来であれば、Instagram アカウントとのやり取りを必要とするアプリは、ログイン情報を要求するのではなく、Instagram API を使うべきです。
自動プロモーションを目的に Instagram アカウントが乗っ取られる
InstLike サービスに登録すると、自動的に「いいね」を押したり自動的に他のユーザーをフォローしたりする目的のために、Instagram アカウントの外部制御を許可することになります。シマンテックがこのアプリをテストしたところ、テストに使った Instagram アカウントはたちまち、ユーザーによる同意や操作も行われないまま写真に「いいね」を付け始めました。
Instagram で売買される「いいね」とフォロワーの数
InstLike アプリは仮想通貨システムを利用しており、現実世界の通貨で購入するコインと引き換えに Instagram の「いいね」とフォロワーの数を売り込もうとします。コインは、一定金額の米ドルで購入できます。
| コイン | 価格 |
| コイン 100 枚(最小単位) | 1.00 米ドル |
| コイン 5,000 枚(最大単位) | 50.00 米ドル |
図 2. InstLike では Instagram の「いいね」とフォロワーの数が現実世界の通貨で売買される
Instagram の写真に対する 1 回の「いいね」がコイン 1 枚分、1 人のフォロワーがコイン 10 枚分に相当します。
| サービス | コスト |
| 1 回の「いいね」 | コイン 1 枚 |
| 1 人のフォロワー | コイン 10 枚 |
| 1 日の有料サービス | コイン 20 枚 |
コイン 20 枚に当たる InstLike の有料サービスでは、独自のハッシュタグを利用して自動的に写真に「いいね」を付けることが可能になるなど、自動の「いいね」機能をさらに細かく調整できます。ただし、ボット的な活動として Instagram から利用停止措置を受けないように、InstLike はハッシュタグの「いいね」を故意に遅らせます。
InstLike アプリをインストールしているかどうかにかかわらず、どの Instagram ユーザーでも、InstLike の特定のコメント文字列を使えば特別に 20 個の「いいね」を獲得することができます。
図 3. コメントを監視することで InstLike が「いいね」を付ける
他のユーザーに InstLike を紹介してコインを稼ぐこともできます。また、コインをさらに増やすために偽の Instagram アカウントを作成する方法までが、YouTube にチュートリアルとしてアップロードされています。
Instagram の実際の数値は自動の「いいね」によってゆがめられている
Instagram 上にある写真のうち 50 万枚近くには、#instlike_com というハッシュタグが含まれており、その結果 900 万以上の「いいね」が自動的に付けられています。ただし、「いいね」の数が上限の 20 に達するとユーザーは InstLike のハッシュタグコメントを削除できるので、InstLike が自動的に付けた「いいね」の総数はもっと多い可能性があります。
Google Play ストアによると、InstLike のインストール数は 100,000 から 500,000 の間でした。Apple 社の App Store では統計が示されていませんが、InstLike アプリは、アプリ内課金によって iOS アプリのトップセールスランキングで 145 位に入っています。比較対象として、人気ゲーム「Temple Run 2」でも iOS アプリのトップセールスランキングで 181 位です。
図 4. iOS アプリのトップセールスランキングに入っている InstLike
Instagram ユーザーが積極的にソーシャルボットネットの一部に
人気歌手のジェイ・Z も言ったように、ソーシャルメディアでは数字は嘘をつきません(Numbers don’t lie)。ユーザーが獲得した「いいね」とフォロワーの数は、ソーシャルネットワークにおける成功や影響力を示すひとつの指標です。「いいね」やフォロワーの数を増やしたいという心理的な欲求は強く、InstLike のようなサービスはまさにその目的に適っていますが、その代償として多大なセキュリティ上のコストが掛かります。ユーザーは自ら進んで、不正なサービスに詳細なログイン情報を提供しており、事実上ソーシャルボットネットの一端を担う結果になっています。
以下のように、InstLike は Instagram の利用規約にも API 利用規約にも違反しています。
- You agree that you will not solicit, collect or use the login credentials of other Instagram users.(利用者は、他の Instagram ユーザーのログイン認証情報を請求、収集、利用しないことに同意します。)
- You shall not use the Instagram APIs to post automated content to Instagram, including likes and comments that were not initiated and entered by an Instagram user.(Instagram API を利用して、自動化されたコンテンツを Instagram に投稿してはなりません。Instagram ユーザーによって設定または入力されていない「いいね」やコメントなどもこれに含みます。)
お使いのデバイスに InstLike アプリをインストールしている場合には、速やかにアンインストールし、Instagram のパスワードを変更してください。Instagram のパスワードを変更しないかぎり、「いいね」とフォロワーの数の自動追加のためにアカウントが利用されてしまいます。
アカウント情報は、サードパーティ製のいかなるアプリやサービスとも共有しないようにしてください。サードパーティ製のアプリやサービスがアカウント情報やユーザー情報へのアクセスを必要とするのであれば、正規の API と認証プロトコル(OAuth 2.0 など)を利用するべきなのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Instagram Users Compromise Their Own Accounts for Likes
Symantec Security Response has discovered many Instagram users have willingly shared their usernames and passwords to a bot-like app in order to increase likes and followers.
Figure 1. InstLike application welcome and login
The applica…
?? Facebook ??????????????????????
寄稿: Daniel Regalado Arias
フィッシング詐欺師は、フィッシングの餌に目新しさを加えるために偽のアプリケーションを導入することがよくあります。フィッシング詐欺で使われている、ある新しい偽アプリを調べてみることにしましょう。この事例でも詐欺師はログイン情報を盗み出そうとしていましたが、データ窃盗の手段として、フィッシングの餌だけではなくユーザーの個人情報を収集するマルウェアも使われていました。フィッシングサイトは Facebook のログインページに偽装しており、無料の Web ホスティングサイトをホストとして利用していました。
図 1: Facebook ログインページの外観と同じように見せかけているフィッシングサイト。
サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。
シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。
- マルウェアは 2 つの実行可能ファイルで構成され、どちらも同じ処理を実行する。
- ファイルはレジストリの run キーに追加され、再起動のたびに実行される。
- マルウェアはキーロガーを仕掛け、被害者の入力をすべて追跡しようとする。
- 次に、www.google.com に ping を送ってインターネット接続があるかどうかを確認する。接続がある場合、マルウェアは収集したすべての情報を攻撃の電子メールアドレスに送信する。
- シマンテックが確認したところ、このアドレスは 3 カ月前から無効になっているため、マルウェアは現在、攻撃者に更新情報を送信できない状態である。
この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
- アカウントにログインするとき、アドレスバーの URL を確認し、間違いなく目的の Web サイトのアドレスであることを確かめる。
- 電子メールメッセージ中の疑わしいリンクはクリックしない。
- 電子メールに返信するときに個人情報を記述しない。
- ポップアップページやポップアップウィンドウに個人情報を入力しない。
- 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL 証明書で暗号化されていることを確認する。
- ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
- 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Phishers Use Malware in Fake Facebook App
Contributor: Daniel Regalado Arias
Phishers frequently introduce bogus applications to add new flavor into their phishing baits. Let’s have a look at a new fake app that phishers are leveraging. In this particular scam, phishers were tryin…
Amazon Android ??????????????
以前のブログでもお伝えしたように、アプリストアから悪質なアプリを除外するのはなかなか難しい目標です。特に、偽アプリやミスリーディングアプリは特定が容易ではありません。これは、謳っているとおりの機能を実行するかどうかが常に明確に判断できるわけではないためです。
シマンテックの自動システムによって、明らかに悪質なミスリーディングアプリが Amazon Android アプリストアで公開されていた例が見つかっています。
これは「Password Wifi Hacker Plus」という名前で、付近の Wi-Fi ネットワークのパスワードをクラックできると謳っていますが、実際には、そのように動作すると見せかけて、偽のダイアログボックスを表示するだけです。
図. Password Wifi Hacker Plus の偽ダイアログボックス
さらに、このアプリには 6 種類のネットワーク広告コンポーネントもバンドルされ、その一部はきわめて攻撃的なものです。これらの広告コンポーネントは、ユーザーの所在地などの情報を漏えいするほか、通知パネルに広告を表示し、ホーム画面にアイコンを作成します。また、ブックマークを追加して頻繁にポップアップ広告を表示します。
シマンテックから Amazon 社に対して、Amazon アプリストアにこのアプリが公開されていることを通知済みです。
ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、今回のアプリを Android.Fakeapp として検出します。
スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Fake Application Found on Amazon Appstore for Android
Keeping an app store free of malicious applications can be a hard task as we have discussed in our previous blogs. Fake or misleading applications, in particular, are often the hardest to spot because it is not always obvious whether they do what they …