Tag Archives: Endpoint Protection (AntiVirus)

Android ???????????? Windows ?????

      No Comments on Android ???????????? Windows ?????

Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Claco は、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。

シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。

感染の段階は、Trojan.Droidpak という名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL(これも Trojan.Droidpak として検出されます)を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。

  • http://xia2.dy[削除済み]s-web.com/iconfig.txt

次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。

  • %Windir%\CrainingApkConfig\AV-cdk.apk

DLL は、Android Debug Bridge(ADB)などの必要なツールもダウンロードします。

次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。

figure1_11.png

図 1. 悪質な APK をインストールするコマンド

接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。

この悪質な APK は Android.Fakebank.B の亜種であり、Google App Store という名前のアプリに偽装しています。

figure2_10.png

図 2. Google App Store という名前に偽装した悪質な APK

実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。

  • http://www.slmoney.co.kr[削除済み]

figure3_6.png

図 3. 悪質な APK のコードの抜粋

この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • Android デバイスで USB デバッグを使わないときには機能を無効にしておく。
  • 信頼できないコンピュータにモバイルデバイスを接続する場合には注意する。
  • ノートン モバイルセキュリティなど、信頼できるセキュリティソフトウェアをインストールする。
  • モバイルセキュリティの Web サイト(英語)で、安全性に関する一般的なヒントを参照する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Despite the News, Your Refrigerator is Not Yet Sending Spam

You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.

From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.

Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.

This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.

While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.

So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?

Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.

Refrigerator Spam 1.png

Figure. What you see is not what you have

In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.

In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.

To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.

So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.

Windows malware attempts to infect Android devices

We’ve seen Android malware that attempts to infect Windows systems before. Android.Claco, for instance, downloads a malicious PE file along with an autorun.inf file and places them in the root directory of the SD card. When the compromised mobile device is connected to a computer in USB mode, and if the AutoRun feature is enabled on the computer, Windows will automatically execute the malicious PE file.

Interestingly, we recently came across something that works the other way round: a Windows threat that attempts to infect Android devices.

The infection starts with a Trojan named Trojan.Droidpak. It drops a malicious DLL (also detected as Trojan.Droidpak) and registers it as a system service. This DLL then downloads a configuration file from the following remote server:

http://xia2.dy[REMOVED]s-web.com/iconfig.txt

It then parses the configuration file in order to download a malicious APK to the following location on the compromised computer:

%Windir%\CrainingApkConfig\AV-cdk.apk.

The DLL may also download necessary tools such as Android Debug Bridge (ADB).

Next, it installs ADB and uses the command shown in Figure 1 to install the malicious APK to any Android devices connected to the compromised computer:

figure1_11.png

Figure 1. Command to install the malicious APK

The installation is attempted repeatedly in order to ensure a mobile device is infected when connected. Successful installation also requires the USB debugging Mode is enabled on the Android device.

The malicious APK is a variant of Android.Fakebank.B and poses as a Google APP Store application.

figure2_10.png

Figure 2. Malicious APK posing as Google APP Store

However, the malicious APK actually looks for certain Korean online banking applications on the compromised device and, if found, prompts users to delete them and install malicious versions. Android.Fakebank.B also intercepts SMS messages on the compromised device and sends them to the following location:

http://www.slmoney.co.kr[REMOVED]

figure3_6.png

Figure 3. Malicious APK code snippet

To avoid falling victim to this new infection vector, Symantec suggests users follow these best practices:

  • Turn off USB debugging on your Android device when you are not using it
  • Exercise caution when connecting your mobile device to untrustworthy computers
  • Install reputable security software, such as Norton Mobile Security
  • Visit the Symantec Mobile Security website for general safety tips

??????????: ???????????????????????

      No Comments on ??????????: ???????????????????????

Internet of Things Header.jpg

ベビーモニターが覗き見に悪用されるということはありえるでしょうか。テレビがユーザーの視聴傾向を監視したり、自動車が悪質な攻撃者によってハッキングされたりする可能性はあるでしょうか。はたまた、セットトップボックスやインターネットルーターのようにどう見ても無害そうなデバイスが、ホームコンピュータへの侵入口として利用されることはありえるでしょうか。

「モノのインターネット」(IoT)が実現するとともに、セキュリティ上の脅威の標的になるデバイスはますます増え続けています。「モノのインターネット」とは何でしょうか。簡単に言えば、インターネットに接続されているのがコンピュータだけではなくなる時代に向かっているということです。家電製品やセキュリティシステム、暖房、照明器具、そして自動車まですべてがインターネットに対応しつつあります。ほとんどあらゆるモノがインターネットに接続される世界という壮大な構想、それが「モノのインターネット」です。

刺激的で新しい変化が今まさに起ころうとしています。インターネットに対応した住宅では、終業後に会社を出る前にホームネットワークにログオンし、セントラルヒーティングやオーブンの電源を入れておくことができます。夜間の外出中にアラームが鳴り出した場合でも、スマートフォンからホームセキュリティシステムにログオンすれば、防犯カメラを確認し、異常がなければアラームをリセットすることが可能です。

問題なのは、新しいテクノロジの発展があるところには必ず、セキュリティ上の新しい脅威も生まれてくるということです。今や多くの消費者は、コンピュータがマルウェアの標的になりえることを強く認識しています。新世代のスマートフォンが攻撃に対して脆弱であるという認識も浸透しつつあります。しかし、それ以外のデバイスに対する脅威を認識している人はほとんどいません。

Linux ワーム

モノのインターネットはまだ生まれたばかりですが、脅威はすでに存在しています。たとえば、シマンテックの研究員である林薫は最近、Linux オペレーティングシステムが稼働しているコンピュータを標的にする新しいワームを発見しました。Linux に触れたことがある人は多くないかもしれませんが、Linux はビジネスの世界では大きな役割を果たしており、Web サーバーやメインフレームなどの運用に広く利用されています。

このワーム Linux.Darlloz に、当初それほど特異な点があるようには見えませんでした。Linux.Darlloz は、スクリプト言語 PHP に古くから存在する脆弱性を利用してコンピュータにアクセスし、一般によく使われている一連のユーザー名とパスワードを組み合わせて管理者権限の取得を試みたうえ、他のコンピュータを検索して自身を拡散します。侵入先のコンピュータでバックドアを開くので、攻撃者はそのコンピュータに対してコマンドを発行できるようになります。

このワームが悪用していたのは PHP の古い脆弱性であり、拡散するためにはパッチが適用されていないコンピュータを見つけなければなりません。機能がこれだけであれば特筆すべき点は何もありませんが、林がさらに Linux.Darlloz を調べた結果、興味深い事実が判明しました。実際に活動が確認されたバージョンは、PC やサーバーで広く使われている Intel x86 系のチップアーキテクチャを採用したコンピュータのみに感染するように設計されていましたが、その後、そのワームと同じサーバー上で、ARM、PPC、MIPS、MIPSEL の各チップアーキテクチャ用に設計されたバージョンがホストされていることが確認されました。これらのアーキテクチャのほとんどは、ホームルーター、セットトップボックス、防犯カメラといったデバイスや産業用制御システムで利用されています。つまり、攻撃者はいつでも、これらのデバイスに対する攻撃を開始できる状態だったことになります。

このワームの機能で注目に値するのが、Linux.Aidra という他の Linux ワームが存在しないかスキャンすることです。このワームに関連付けられているファイルが見つかると、Linux.Darlloz はそれらを削除しようとします。また、Linux.Aidra が使う通信ポートも遮断しようとします。他のワームを削除している背景に利他的な動機はありません。おそらく Linux.Darlloz を操る攻撃者は、Linux.Aidra に感染するようなデバイスはメモリも処理能力も制限されていることを知っており、そうしたリソースを他のマルウェアに使われたくはないと考えたのでしょう。

Linux.Darlloz が駆逐しようとしている Linux.Aidra 自体も、同じ新世代を代表する脅威です。シマンテックが発見した Darlloz の一部の亜種と同様に、Linux.Aidra は小型デバイス、具体的にはケーブルモデムや DSL モデムを標的にします。Linux.Aidra が小型デバイスをボットネットに追加すると、攻撃者はそれを利用して分散サービス拒否(DDoS)攻撃を実行できます。Darlloz の作成者が誰であれ、すでに感染が広がっている Aidra が Darlloz にとって脅威になる可能性があると判断したことは明らかです。

この手の脅威で特に懸念されるのは、デバイスで稼働しているオペレーティングシステムに対しても攻撃の恐れがあるという事実に、多くのエンドユーザーがまったく気付いていないことです。これは、ソフトウェアがデバイス上では目に見えないことがほとんどだからです。製造元によっては更新版が提供されないという別の問題もあります。これは、新しいバージョンのソフトウェアを実行できないなど、旧式の技術やハードウェアの制限が原因です。

脆弱な防犯カメラ

Linux.Darlloz も、モノのインターネットを取り巻くセキュリティ上の新たな脅威が際立った一連の事案のうち、最新の一例にすぎません。今年に入ってすぐ、米国連邦取引委員会は TRENDnet 社に対する訴えを和解で解決しました。同社は、インターネット対応の防犯カメラとベビーモニターを製造しているメーカーです。TRENDnet 社は安全性を謳って製品を販売していましたが、「実際には、同社のカメラはソフトウェアに問題があったため、カメラのインターネットアドレスさえわかればオンラインで自由な閲覧と、場合によっては傍聴も可能な状態だった。そのような欠陥があるため、数百人もの消費者のプライベートなカメラ映像がインターネット上で公開されるに至った」と FTC は指摘しています。

2012 年 1 月にあるブロガーがこの欠陥を公表したところ、700 台近いカメラのライブ映像のリンクが公開されてしまいました。「映像には、ベビーベッドで眠っている乳児や遊んでいる子どもの姿だけでなく、大人の日常生活まで写っていた」と FTC は述べています。FTC との調停の一環として、TRENDnet 社はデバイスのセキュリティ強化を余儀なくされ、今後の販促資料でセキュリティについて誤解がないよう図る旨を確約しました。

TRENDnet 社の事案で特筆すべきなのは、標的となったデバイスが何のマルウェアにも感染していなかったという点です。セキュリティ設定が原因で、方法さえわかれば誰でもアクセスできる状態になっていただけです。しかも、事案はこれだけで終わってはいません。今では、インターネット対応のさまざまなデバイスを検索できる SHODAN という検索エンジンまで登場しています。

SHODAN が検索するのは、Web サイトではなくモノです。防犯カメラなどの家庭用デバイスだけでなく、ビルの暖房制御システム、水処理プラント、自動車、信号、胎児の心音モニター、発電所の制御系まで検索することができます。SHODAN で検索できたからといって、必ずしもそのデバイスが脆弱であるとは限りませんが、このようなサービスがあれば、攻撃者は脆弱性の存在をつかんでいるデバイスをさらに容易に発見できるようになります。

あらゆるモノがつながる世界

懸念されるのは、セキュリティ上の脆弱性だけではありません。インターネット対応のテレビは今やごく一般的であり、ストリーミングビデオサービスや Web ブラウザなど便利な付加機能が豊富に用意されています。電子機器メーカーの LG 社は最近、同社のテレビのうち一部のモデルがユーザーの視聴状況を追跡し、集計データを同社に送信していることを認めました。LG 社は、ユーザーに提供する広告をカスタマイズすることが目的であると説明しましたが、この機能がオフになっていてもデータが収集され続けたことについては、システムに問題があったためとしています。同社によると、この問題を修正するファームウェア更新は現在準備中です。

Internet of Things 1.png

図 1. 全世界のインターネット対応デバイスの増加予測(出典: Cisco 社)

モノのインターネットは、依然として黎明期にありますが、インターネット対応のデバイスは爆発的に増えつつあります。Cisco 社によれば、地球上には現在 100 億台を超えるインターネット対応デバイスが存在しています。世界の人口は 70 億を少し超えたところなので、今や人間の数よりインターネット対応デバイスのほうが多いということです。インターネット対応デバイスの数を記録してきた Cisco 社は、その数が 2020 年までに 500 億に達すると予測しています。注目すべきは、その増加のうちほぼ半数が、予測期間の最後の 3 年間に集中していることです。

これまでにも、さまざまな種類のインターネット対応デバイスが登場しています。たとえば、ただのサーモスタットでさえ今では Web 対応です。電球も同様で、スマートフォンで照明を調節できるようになりました。自動車業界もこの動向に大きく注目しており、リアルタイム情報のストリームを受信できるインターネット対応車の開発を確約しています

これほどの爆発的な増加をもたらしている要因は何でしょうか。簡単に言うと、インターネット上に「余裕」が生まれ、デバイスの製造原価が下がり続けていることです。インターネットに接続されるどのデバイスも、他のデバイスと通信するためにはアドレスが必要です。これが、いわゆるインターネットプロトコル(IP)アドレスです。現行の IP アドレスシステムである IPv4(Internet Protocol Version 4)で使用できるアドレスはほぼ枯渇しており、現在は新しい IPv6 の採用が進んでいるところです。IPv6 では IP アドレスの数が膨大になり、地球上の 1 人 1 人に何十億もの IP アドレスを割り当てることができます。

その他の規格も進化が進んでいます。たとえば、無線通信の Bluetooth 規格を管理している業界団体は最近、Bluetooth の最新版を発表しました。同団体によれば、Bluetooth はモノのインターネットの発展も考慮に入れて進化しています。新しい Bluetooth 規格では、環境がますます輻輳する中でデバイス間の検出と通信が今より容易になるとされています。また、Bluetooth 対応のデバイスが IPv6 規格のインターネットにリンクするのも簡単になります。

このようにネットワーク空間が広がるとともに、インターネット対応デバイスの製造も容易になりつつあります。広く知られているとおり、ムーアの法則によればプロセッサの処理能力は 2 年ごとに 2 倍になります。必然的に、処理能力の低いチップは製造原価が常に安くなっていきます。Wi-Fi チップセットなど他の技術も、ここ数年で価格が大幅に下がっています。こうした要因がすべて重なり合った結果、インターネット対応デバイスの製造は容易に、しかも安価になっているのです。

安全のために

  • 所有しているデバイスの点検を実施してください。デバイスに画面やキーボードがないからといって、攻撃に対して脆弱でないとは言えません。
  • 所有しているデバイスがホームネットワークに接続されている場合には、インターネットを介してアクセスできる可能性があり、保護することが必要です。
  • デバイスを購入したときには、そのセキュリティ設定に注意を払ってください。リモートアクセスが可能であれば、必要でない限り無効にします。デフォルトのパスワードは自分しか知らないパスワードに変更し、「123456」や「password」といった誰でも簡単に推測できるパスワードは使わないでください。文字、数字、記号を組み合わせて長くすれば、パスワードの強度が上がります。
  • 製造元の Web サイトを定期的にチェックして、デバイスのソフトウェアの更新版がないかどうか確認してください。セキュリティ上の脆弱性が見つかった場合、通常は、脆弱性を解決する新しいソフトウェア更新が製造元から公開されます。

多くのデバイスはホームネットワークにつながっており、そのホームネットワークはインターネットにつながっています。ルーターやモデムは、デバイスと外の世界との間に置かれるデバイスであり、保護することが特に重要です。通常はファイアウォール機能が付随しているので、機能を有効にして適切に設定するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????: ?????????????????

      No Comments on ???????????????: ?????????????????

スパマーにとって、成功を収めるには 2 つの要因があります。

  1. スパムメッセージがスパムフィルタをすり抜けて、相手の受信ボックスに届くこと
  2. 受信者が思わず開封し、コールトゥアクション(リンクをクリックする、添付ファイルを開く、など)を実行したくなるようなメッセージを作成すること

スパマーは、巧妙なバランスでこの 2 つを両立させます。どちらか一方に偏ってもう一方を軽視すれば、スパム攻撃は失敗してしまうからです。たとえば、件名も本文もランダムなものにすればスパムフィルタをすり抜けることは可能ですが、それではどんなに不用心なユーザーにも露骨なスパムとして無視されてしまいます。逆に、際立って魅力的なメッセージを作成すれば電子メールの開封率は上がりますが、大部分のメッセージはスパムフィルタによって遮断されてしまいます。スパマーにもそれなりに厄介な課題があるということです。

そうした課題に対処するために、スパマーは今まで以上にコンテンツの真意をユーザーから隠そうとしています。定番の各種医薬品を件名に挙げて(もっと露骨な場合もあるかもしれません)オンラインの医薬品販売サイトにアクセスさせようとするスパム攻撃は今でも後を絶ちませんが、スパムらしからぬ説得力のあるコンテンツを利用した高度なスパム攻撃も増えてきています。頻繁に使われているのが、有名人や重要人物の死亡記事、あるいは天災のような最新のニュースや事件を利用する手口です。スパムメッセージは、報道機関から送信された正規の電子メールを装い、最新のニュース記事を掲載していますが、実際にはスパム Web サイトにリンクしています。このようなスパム戦略は、マルウェアを拡散するスパムメッセージで一般的です。

コールトゥアクションが実行される確率を上げるうえでは、スパム専用のドメインを登録するのが効果的ではないことにスパマーも気付いています。特定のドメインは、スパム対策ソフトウェアによって簡単に遮断されてしまうからです。スパム対策機能に対抗するために最近スパマーの間で広まっているのが、乗っ取った URL(所有者には知られずにスパムコンテンツをホストしているだけで本来は正規のサーバー)を利用する手法や、コールトゥアクションのリンク先を不明瞭化する短縮 URL を利用する手法です。

メッセージの配信率と電子メールの開封率をどちらも増やすために、スパマーがスパムのコンテンツを変更し、状況に対応してきた 6 週間の変遷の実例を見てみましょう。

この変遷の最初は、有名な音声メールサービスのブランドを詐称するメッセージでした。

Case Study 1.png

図 1. 悪質なスパムメッセージ

[Play](再生)ボタンをクリックすると、以下の URL に移動します。

http://[ドメイン]/message/i9X8PSVcFk0n0QqhGNTJmh8e3/XSunSgPKMsrzQ7Y7s=/play

実際には、音声メールが再生されるどころか、マルウェアがコンピュータにダウンロードされます。

12 月 19 日になると、スパマーはコンテンツの形式として音声メールをやめて、大手小売業者を騙った偽の配達不能通知に切り替えました。これが同一犯による攻撃であると判明したのは、メッセージにいくつかの手掛かり(同種の URL 乗っ取りが使われていたことなど)があったからですが、特に目立ったのはスパマーが犯した失敗でした。最初のサンプルと同じヘッダーを使ってしまったため、件名は音声メールの送信エラーとなっていながら、メッセージ本文には小売業者からの配達不能通知と書かれていたのです。

Case Study 2.png

図 2. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが発覚

この間違いにはスパマーの側もすぐに気付いたようで、コンテンツはたちまち修正されました(4 分後、またはもっと短時間で)。

Case Study 3.png

図 3. 修正後のスパムメールの件名

この一連のスパム攻撃では、ほかにも 2 つの小売業者が詐称されています。メッセージの構成は変わりませんが、コールトゥアクションのリンク先として、ディレクトリパスを変えながらさまざまな URL が乗っ取られ、悪用されています。このスパム攻撃は、ディレクトリの第 1 階層を次々と変えることでスパムコンテンツを秘匿していましたが、最終的には一定期間で使われたディレクトリの数は限られています。

Case Study 4.png

図 4. スパマーが利用している複数のコンテンツディレクトリ名の変遷

このスパマーは、同時に複数のディレクトリパスでスパムを拡散するのではなく、あるひとつの特定のディレクトリパスをしばらく使ってから次のディレクトリパスに移るという特徴があります。

次に変化が見られたのは 1 月 7 日、ホリデーシーズンが終わってショッピング熱も収まってきた頃です。スパマーは、大手小売業者からの配達不能通知をやめて、今度は大手電力会社を詐称する手口に切り替えました。

Case Study 5.png

図 5. 詐称する相手が小売業者から電力会社に変わったスパム攻撃

スパマーはまたしても、電子メールの件名で同じミスを犯します。件名では小売業者を騙りながら、メッセージ本文には電力会社からの通知を載せてしまったのです。

Case Study 6.png

図 6. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが再び発覚

お粗末な失敗ですが、今回も件名はすぐに修正されました。

Case Study 7.png

図 7. 修正後のスパムメールの件名

スパムコンテンツとして、このスパマーが電力会社を選んだのはなぜでしょうか。クリスマスシーズンで電気料金が相当かさんでしまったかもしれないという消費者の不安を煽って、スパムメッセージから誘導されるクリック数を増やそうとしたのかもしれません。スパムメッセージにはかなり大きな請求額が記載されているため、受信したユーザーは関心を持たざるをえません。そうなればスパムとしてはもう成功したも同然です。

小売業者に偽装したスパムは 1 月 12 日に急増していますが、これは電力会社に偽装したスパムに移行してからしばらく経ってからのことです。このときのメッセージは、全体的にそれまでの攻撃と同じ構成を維持しながら、クリスマスシーズンに関する言及はなくなっていました。

Case Study 8.png

図 8. クリスマス後の配達不能通知スパム

上記の例から明らかなように、スパマーは常にスパムフィルタの検出をすり抜けようと試みています。また、信憑性を持たせるためにスパムの文面が正規のコンテンツであるという偽装も忘れません。今回の場合は、リンクをクリックすると .zip ファイルがダウンロードされ、そこに Trojan.Fakeavlock というマルウェアが含まれています。

日常生活でオンラインへの依存度が高くなるほど、スパマーがスパムメッセージでクリックを誘う手口も多様化します。今回と同様のスパム戦略も続くでしょう。残念ながら、Web を利用するときにはスパムに対する厳重な警戒を今後も続けなければならないということです。こうした攻撃から保護するために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策のシグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Internet of Things: New Threats Emerge in a Connected World

Internet of Things Header.jpg

Could your baby monitor be used to spy on you? Is your television keeping tabs on your viewing habits? Is it possible for your car to be hacked by malicious attackers? Or could a perfectly innocent looking device like a set-top box or Internet router be used as the gateway to gain access to your home computer?

A growing number of devices are becoming the focus of security threats as the Internet of Things (IoT) becomes a reality. What is the Internet of Things? Essentially, we are moving into an era when it isn’t just computers that are connected to the Internet. Household appliances, security systems, home heating and lighting, and even cars are all becoming Internet-enabled. The grand vision is of a world where almost anything can be connected—hence the Internet of Things.

Exciting new developments are in the offing. A connected home could allow you to logon to your home network before you leave work in the evening to turn on your central heating and your oven. If your alarm goes off while you are out in the evening, you could logon to your home security system from your smartphone, check your security cameras and reset your alarm if there isn’t a problem.

Unfortunately, every new technological development usually comes with a new set of security threats. Most consumers are now very aware that their computer could be targeted with malware. There is also growing awareness that the new generation of smartphones are also vulnerable to attack. However, few people are aware of the threat to other devices.

Linux worm

The Internet of Things may be in its infancy but threats already exist. For example, Symantec investigator Kaoru Hayashi recently discovered a new worm that targeted computers running the Linux operating system. Most people have probably never come across Linux, but it plays a big role in the business world and is widely used to run Web servers and mainframes for example.

The worm, Linux.Darlloz, initially appeared to be nothing out of the ordinary. It utilizes an old vulnerability in scripting language PHP to gain access to a computer; attempts to gain administrative privileges by trying a series of commonly-used usernames and passwords and propagates itself by searching for other computers. The worm leaves a back door on the infected computer, allowing the attacker to issue commands to it.

Since the worm exploits an old vulnerability in PHP, the threat relies on finding computers that haven’t been patched in order to spread. If this was all that the worm did, it would be fairly unremarkable. However, as Kaoru investigated the threat further, he discovered something interesting. The version circulating in the wild was designed to infect only computers running Intel x86 chip architectures, which are usually found on personal computers and servers. Kaoru then discovered versions designed for the ARM, PPC, MIPS and MIPSEL chip architectures hosted on the same server as the original worm. These architectures are mostly found in devices such as home routers, set-top boxes, security cameras and industrial control systems. The attacker was in a position to begin attack these devices at a time of their choosing.

One of the interesting things this worm does is scan for instances of another Linux worm, known as Linux.Aidra. If it finds any files associated with this threat, it attempts to delete them. The worm also attempts to block the communications port used by Linux.Aidra. There is no altruistic motive behind removal of the other worm. The likelihood is that the attacker behind Linux.Darlloz knows that the kinds of devices infected by Linux.Aidra have limited memory and processing power, and does not want to share them with any other piece of malware. 

Linux.Aidra, the malware that Linux.Darlloz attempts usurp, also exemplifies this new generation of threats. Like some of the variants of Darlloz discovered by Symantec, Linux.Aidra targets smaller devices, specifically cable and DSL modems. The worm adds them to a botnet, which can be utilized by the attackers to perform distributed denial-of-service (DDoS) attacks. Whoever authored Darlloz obviously believed that Aidra infections were so widespread that it posed a potential threat to their own malware.

What is particularly worrisome about these kinds of threat is that, in many instances, the end-user may have no idea that their device is running an operating system that could be attacked. The software is, by and large, hidden away on the device. Another potential issue is that some vendors don’t supply updates, either because of hardware limitations or outdated technology, such as an inability to run newer versions of the software.

Vulnerable security cameras

This worm is just the latest in a series of incidents highlighting the emerging security threat around the Internet of Things. Earlier this year, the US Federal Trade Commission settled a case against TRENDnet, a firm that makes Internet-enabled security cameras and baby monitors. The FTC said that TRENDnet had marketed the cameras as being secure. “In fact, the cameras had faulty software that left them open to online viewing, and in some instances listening, by anyone with the cameras’ Internet address,” the FTC said. “As a result of this failure, hundreds of consumers’ private camera feeds were made public on the Internet”.

In January 2012, a blogger made the flaw public and this resulted in people publishing links to the live feeds of nearly 700 of the cameras. “The feeds displayed babies asleep in their cribs, young children playing, and adults going about their daily lives,” the FTC said. As part of the company’s settlement with the FTC, the firm had to beef up the security on its devices and promising not to misrepresent their security in future promotional material.

What is notable about the TRENDnet incident is that the devices targeted were not infected with any form of malware. Their security configuration simply allowed anyone to access them if they knew how. This was not an isolated incident. There is now even a search engine called Shodan that allows people to search for a range of Internet-enabled devices.

Shodan searches for things rather than websites. Aside from security cameras and other home devices, Shodan can also find building heating control systems, water treatment plants, cars, traffic lights, fetal heart monitors and power plant controls. If a device is simply found using Shodan, it does not mean a device is vulnerable. However, services such as Shodan do make it easier for devices to be discovered if attackers know of vulnerabilities in them.

The connected world

Not all concerns relate to security vulnerabilities. Internet-enabled televisions are now quite common and offer a number of useful additional features such as access to video streaming services and Web browsing. Recently, electronics manufacturer LG confirmed that several of its television models track what people watch and send aggregate data back to the company. The company said that it did this in order to customize advertising for its customers. However, an error in the system meant that the television continued to collect data even when the feature was turned off. The company has said a firmware update is being prepared that will correct this problem.

Internet of Things 1.png

Figure 1. Estimate on the growth in the number of connected devices in the world (Source: Cisco)

The Internet of Things is still only in its early stages. The number of Internet-enabled devices is beginning to explode. According to Cisco, there are now more than 10 billion connected devices on the planet. Given that the world’s population is just over 7 billion, that means that there are now more connected devices than there are people. Cisco, which has been keeping tabs on the numbers of devices, now believes that the number of connected devices will hit 50 billion by 2020. Interestingly, the company believes that around 50 percent of the growth will occur in the last three years of this decade.

Within the past number of years, we have seen a huge range of connected devices emerge. For example the humble thermostat is now Web-enabled. So too is the light bulb, which can now be controlled with a smartphone. Even the automotive industry is sitting up and paying attention, promising connected vehicles that can receive a stream of real-time information.

What is driving this explosion? Simply put, there is now more “room” on the Internet and devices are becoming cheaper to manufacture. Every device connected to the Internet needs an address in order to communicate with other devices. This is known as an Internet Protocol (IP) address. The number of available addresses under the current system of addresses, Internet Protocol Version 4 (IPv4), has been almost exhausted. A new system, IPv6, is currently being adopted. It can provide a vastly larger number of IP addresses, billions upon billions for every single person on the plant.

Other standards are also evolving. For example, the industry charged with overseeing the Bluetooth standard for wireless communications recently announced the latest version of the technology. The group said that Bluetooth is evolving to take into account the development of the Internet of Things. The new Bluetooth standard will make it easier for devices to find and talk to each other in an increasingly crowded environment. And it will now be easier for Bluetooth-enabled devices to link up with an IPv6-enabled Internet.

In tandem with this increase in network space, Internet-enabled devices are becoming easier to manufacture. Many people may be aware of Moore’s law, the axiom that predicts that that the computing power of processors will double every two years. A corollary is that lower powered chips are becoming cheaper to manufacture all of the time. Other technologies, such as Wifi chipsets, have dropped significantly in price over recent years. All of these factors are combining to mean that it’s becoming easier and cheaper to produce Internet-enabled devices.

Staying protected

  • Perform an audit of what devices you own. Just because a device doesn’t possess a screen or a keyboard, doesn’t mean that it isn’t vulnerable to attacks.
  • If something you own is connected to your home network, there is a possibility that it accessible over the Internet and thus needs to be secured.
  • Pay attention to the security settings on any device you purchase. If it is remotely accessible, disable this feature if it isn’t needed. Change any default passwords to something only you know. Don’t use common or easily guessable passwords such as “123456” or “password”. A long combination of letters, numbers and symbols will generate a strong password.
  • Regularly check the manufacturer’s website to see if there are updates to the device’s software. If security vulnerabilities are discovered, manufacturers will often patch them in new updates to the software.

Many of your devices are attached to your home network, which is in turn connected to the Internet. Your router/modem is what stands between your devices and the wider world. Securing it is of paramount importance. Most come equipped with a Firewall, so ensure that it is turned on and properly configured.

Case Study from the Spammer’s Perspective: Crafting Spam Content to Increase Success

Spammer success is dependent on two factors:

  1. Evading spam filters so the spam message arrives in the recipient inbox
  2. Crafting messages so that the recipient is enticed to open and perform desired call-to-actions (click on the link, open attachment, etc.)

Spammers walk a fine line to balance these two aspects; relying heavily on one factor and ignoring the other will make the spam campaign fail. For example, spammers can evade spam filters by randomizing the subject and body of the message, however such randomization is likely to be ignored by even the most unsophisticated user as obvious spam. Similarly, crafting stand-out enticing messages to increase the email open rate often results in spam filters blocking the message. Spammers have a tough challenge.

Rising up to meet this challenge, spammers are now hiding the true content from the user more than ever before. While there are still spam campaigns with links to online pharmacies with subject lines mentioning a variety of popular Rx names—can it be more obvious?—more sophisticated spam campaigns now use enticing email content unrelated to the spam. One of the most popular methods is to use current events and news, such as the death of a celebrity or major figure or even a natural disaster. A spam message may look like a legitimate email from a news organization containing an article about current events, but actually links to a spam website. This spam strategy is common for spam messages that spread malware.

To increase the success of the call-to-action, spammers have realized that registering a domain for their spam has become less effective as it was too easy for anti-spam software to simply block that particular domain. To counter anti-spam efforts, spammers may now use hijacked URLs (otherwise legitimate servers hosting spam content without the owner’s knowledge) or URL shorteners that obfuscate the destination as call-to-action.

Let’s take a look at how spammers adapted and changed their content through a six-week period to increase their success in both message delivery and email open rates.

We begin this journey with a message that spoofs a well-known voicemail service brand.

Case Study 1.png

Figure 1. Malicious spam message

Clicking the Play button leads to the following URL:

http://[DOMAIN]/message/i9X8PSVcFk0n0QqhGNTJmh8e3/XSunSgPKMsrzQ7Y7s=/play

Instead of playing the voicemail, malware is actually delivered to the computer.

On December 19 spammers changed their content template from voicemail to a fake delivery failure notification from large retailers. How do we know this as the same attack? There are various clues in the message (including same type of hijacked URLs being used), but most obvious is the mistake the spammer made by using the same header as the first sample, indicating a missed voicemail, while the body of the message indicates a delivery failure notification from a retailer.

Case Study 2.png

Figure 2. Wrong spam email subject reveals single spam campaign

Oops! This was obviously a mistake on the spammer’s part as the content was quickly fixed (in four minutes, or possibly sooner).

Case Study 3.png

Figure 3. Fixed spam email subject

Two additional retailers were also spoofed as part of this particular spam campaign. The structure of the messages remained the same, but the spammers used a variety of hijacked URLs as a call-to-action, which changed the directory paths. This spam campaign hid the spam content in various first directories, but eventually used several directories over time.

Case Study 4.png

Figure 4. Spammer uses various content directory names over time

This spammer preferred to use one particular directory path at a time, and then move on to the next one, rather than distributing the spam across multiple options all at once.

Another change occurred on January 7, when holiday shopping activity had presumably declined. Rather than using fake delivery notification from a large retailer, the spammers switched to spoofing a large utility company.

Case Study 5.png

Figure 5 Spam campaign switches from retailer to utility company spoofing

The spammer made the same mistake once again with an email subject header that indicates a delivery notification from a retailer, but a body message showing an energy utility statement.

Case Study 6.png

Figure 6. Another wrong spam email subject reveals single spam campaign

Oops again! This mistake was soon fixed with a corrected email subject.

Case Study 7.png

Figure 7. Fixed spam email subject

Why did these spammers chose to use utility statements for their spam content? They may be leveraging consumer fear of a large electricity bill due to the Christmas holiday period to make their spam message more enticing to click on. The spam message contains a large bill, and that piques the recipient’s interest enough to make the spam campaign a success.

There was a small spike in retailer-spoofed spam on January 12, well after the utility spam increased in volume. Those messages, while retaining the overall structure of the previous campaigns, dropped the reference to the Christmas holiday.

Case Study 8.png

Figure 8. Post-Christmas delivery notification spam

As the above examples have demonstrated, spammers are always attempting to make their spam messages undetectable by spam filters. They also want to appeal to recipients by pretending the spam contains some legitimate content. In this particular case, clicking on the link leads to a .zip file download containing Trojan.Fakeavlock malware.

There will be more avenues for spammers to entice recipients to click on spam messages as we live more of our lives online. These same spam strategies will continue. Unfortunately, this means that Web users must continue to be on high alert for spam and observe the following best practices to stay protected:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

Snapchat ???: ????????????????????????????????

このブログで、Snapchat ユーザーを狙うポルノスパムと「隠れファン」スパムを取り上げてから数週間が経過しましたが、今度は性的に思わせぶりな写真に加えて、危殆化したカスタム URL を使う新しいスパム攻撃が Snapchat 上で出回っています。
 

image1_21.png

図 1. Snapchat スパム
 

スパムメッセージにはそれぞれ、モバイルデバイス用 Kik インスタントメッセージアプリ上の特別に細工されたユーザー名と、「Add my kik(Kik を追加)」というリンクが含まれています。
 

image2_12.png

図 2. デジタルカメラを構えた Snapchat は罠
 

Kik Messenger でこのようなスパムボットに応答すると、このスパム攻撃では昨年の夏頃にシマンテックが Tinder で発見したのと同じようなスパムチャットボットのセリフが使われます。
 

image3_12.png

図 3. Kik と同様のチャットのセリフを使うスパムボット
 

この攻撃で確認された興味深い特徴として、小規模な Web サイトや人気ブランドが所有しているカスタム URL が危殆化して利用されているという点が挙げられます。スパマーは、ユーザーに偽の安心感を植え付けるために、ブランド名の入った短縮ドメインを使って独自のリンクを作成するという方法を使用しているのです。
 

image4_6.png

図 4. 有名ブランド名の入った短縮ドメインがユーザーをスパムに誘導
 

危殆化したブランド名入りの短縮ドメインとして、これまでに特定されている例を以下に示します。

  • usat.ly(USA Today)
  • cbsloc.al(CBS Local)
  • on.natgeo.com(National Geographic)
  • nyp.st(New York Post)
  • on.mktw.net(Marketwatch)
  • mirr.im(Daily Mirror)
  • red.ht(Red Hat)
  • invstplc.com(Investorplace)
  • mitne.ws(MIT News)

image5_4.png

図 5. 危殆化した短縮 URL の統計ページ
 

ブランド名の入ったカスタム URL にはアフィリエイトマーケティング用のリンクが設定されており、ユーザーはアダルト向け Web カメラサイトの登録ページに誘導されます。

シマンテックは Bitly 社と緊密に連携して、ブランド名の入った短縮 URL のスパム利用を調査し、見つかりしだい停止しています。Bitly 社によると、さまざまなブランドに帰属する Bitly API キーを入手したスパマーが存在するのは間違いないということです。影響を受けているブランドの一部は、AddThis というソーシャルブックマークサービスを利用していました。AddThis は、最近になって AddThis Web サイト埋め込みコードの一部として API キーを平文で公開するようユーザーに求めることを中止しています。
 

image6_1.png

図 6. API キーの安全性に関する AddThis サポートページの注意書き
 

API キーを一般に公開すると、誰でもアカウントを危殆化できるようになり、この場合には他者のドメインを使って短縮 URL を作成できることになります。

AddThis サービスをお使いの場合は、こちらのサポート記事で API キーの保護方法を参照してください。Bitly をお使いの場合は、Bitly API のベストプラクティスに従って、API キーのセキュリティを保証する必要があります。

Snapchat ユーザーを標的とする最近のスパム活動は、特に驚くことでもありません。詐欺師やスパマーは、人気のある新しいアプリをいつでも狙っています。Snapchat も同様で、ユーザー規模が十分に大きくなれば、たちまち標的になります。Snapchat のフィードにスパムスナップが表示されないようにするには、Snapchat のプライバシー設定を変更してスナップを「My Friends(友人)」からのみ受け取るようにすることをお勧めします。もちろん、迷惑メッセージや友人申請を受け取ったときには十分に注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????

      No Comments on ?????????

ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。

Facebook RIP scam 1.png

図 1. ソーシャルメディアサイトで共有されている偽動画詐欺

最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、以下の例に挙げたフィッシング Web サイトは、あまり出来がよくなく、ブラウザによってはレイアウトが崩れてしまいます。

Facebook RIP scam 2.png

図 2. レイアウトが崩れた偽の Facebook ログインページ

リダイレクトされるときに、悪質な URL に関する Facebook の警告が表示されないこともあるので注意が必要です。ユーザーが Facebook の投稿にあるリンクをクリックすると、ブラウザは転送スクリプトにリダイレクトされます。Facebook が転送先の URL を不審と判断した場合には警告が表示され、ユーザーはその情報を基に投稿をスパムとして報告することができます。Web ページは警告の下にある iframe で表示されるため、ごくまれに、詐欺師が自動的にユーザーを新しいサイトへリダイレクトできる可能性もあります。そのため、悪質な Facebook アプリケーションのページに移動する前にユーザーが警告メッセージを目にするのは、1 秒にも満たない一瞬だけです。また、最終ページに行き着くまでに何度もリダイレクトが繰り返される場合もあります。

Facebook RIP scam 3.png

図 3. リンクのリダイレクト警告

ユーザーが悪質なアプリケーションをインストールしようとすると、ユーザーのデータを読み取ってタイムラインに投稿する許可が求められます。詐欺師の最大の目的は、被害者に知られないうちにユーザーの Facebook アカウントからメッセージを投稿し、この詐欺に騙される人を増やすことです。アプリケーションのインストールが終わると、詐欺メッセージがユーザーのタイムラインに投稿され、アンケート詐欺の Web ページにリダイレクトされます。

1 時間に数百人ものユーザーがいずれかのリンクをクリックしており、実際にアプリケーションをインストールした人もいます。言うまでもなく、Facebook は悪質なリンクを遮断し、悪質なアプリケーションをできるだけ早く削除することに尽力していますが、厄介なのは、犯人がスクリプトを自動化していることです。解析した各ドメインは、悪質な Facebook アプリケーションのコピーを 2,000 以上もホストしています。それぞれ名前が少しずつ異なっているため、あるアプリケーションが遮断されたら、詐欺師は悪質なリンクを変更するだけです。

Facebook RIP scam 4.png

図 4. 許可を求める詐欺アプリケーション

いつものことですが、インターネットを利用する場合は、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • ソーシャルメディアサイトで衝撃的な話を読んだときは用心し、疑ってかかる。
  • 信頼できないサイトからプラグインやツールをインストールしない。
  • コンテンツにアクセスするためのアンケートについては、回答する前に再考する。
  • ソーシャルアプリケーションをインストールするときは、要求される許可が本当に必要かどうかを確認する。

シマンテック製品をお使いのお客様は、さまざまな IPS シグネチャと URL 評価遮断サービスによって、この手の攻撃から保護されています。

Facebook で何らかの詐欺を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この手の詐欺への対策を講じており、新しい脅威が登場するたびに遮断し、削除しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????Microsoft Patch Tuesday?- 2014 ? 1 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、6 件の脆弱性を対象として 4 つのセキュリティ情報がリリースされています。6 件すべてが「重要」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Jan

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される(2916605)

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0258)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0259)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0260)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  2. MS14-002 Windows カーネルの脆弱性により、特権が昇格される(2914368)

    カーネルの NDProxy の脆弱性(CVE-2013-5065)MS の深刻度: 重要

    ユーザーモードからカーネルに渡される入力が正しく検証されないことが原因で、Windows カーネルの NDProxy コンポーネントに特権昇格の脆弱性が存在します。この脆弱性により、攻撃者がカーネルモードでコードを実行できる可能性があります。攻撃者がこの脆弱性の悪用に成功すると、特別に細工されたアプリケーションを実行し、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

  3. MS14-003 Windows カーネルモードドライバの脆弱性により、特権が昇格される(2913602)

    Win32k のウィンドウハンドルの脆弱性(CVE-2014-0262)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のウィンドウハンドルスレッドが所有するオブジェクトを正しく使用しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。

  4. MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる(2880826)

    クエリーフィルタ DoS の脆弱性(CVE-2014-0261)MS の深刻度: 重要

    Microsoft Dynamics AX にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、Dynamics AX サーバーが応答しなくなる可能性があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。