Tag Archives: Endpoint Protection (AntiVirus)

?? Facebook ??????????????????????

      No Comments on ?? Facebook ??????????????????????
寄稿: Daniel Regalado Arias
 
フィッシング詐欺師は、フィッシングの餌に目新しさを加えるために偽のアプリケーションを導入することがよくあります。フィッシング詐欺で使われている、ある新しい偽アプリを調べてみることにしましょう。この事例でも詐欺師はログイン情報を盗み出そうとしていましたが、データ窃盗の手段として、フィッシングの餌だけではなくユーザーの個人情報を収集するマルウェアも使われていました。フィッシングサイトは Facebook のログインページに偽装しており、無料の Web ホスティングサイトをホストとして利用していました。
 
figure1_0.png
図 1: Facebook ログインページの外観と同じように見せかけているフィッシングサイト。
 

サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。

 

シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。

  1. マルウェアは 2 つの実行可能ファイルで構成され、どちらも同じ処理を実行する。
  2. ファイルはレジストリの run キーに追加され、再起動のたびに実行される。
  3. マルウェアはキーロガーを仕掛け、被害者の入力をすべて追跡しようとする。
  4. 次に、www.google.com に ping を送ってインターネット接続があるかどうかを確認する。接続がある場合、マルウェアは収集したすべての情報を攻撃の電子メールアドレスに送信する。
  5. シマンテックが確認したところ、このアドレスは 3 カ月前から無効になっているため、マルウェアは現在、攻撃者に更新情報を送信できない状態である。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするとき、アドレスバーの URL を確認し、間違いなく目的の Web サイトのアドレスであることを確かめる。
  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL 証明書で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????? Internet Explorer ???????????

      No Comments on ?????????????????????? Internet Explorer ???????????

Microsoft は 2013 年 10 月の月例パッチを公開し、一部の標的型攻撃で活発に悪用されている「緊急」レベルの 2 つの脆弱性に対応する MS13-080 をリリースしました。Internet Explorer に存在する 1 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)」で、これについては先日のシマンテックブログでお伝えしました。

 

Internet Explorer に存在する 2 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)」です。Microsoft はブログ記事の中で、これが CDisplayPointer における解放後使用の脆弱性であると述べ、onpropertychange というイベントハンドラによって実行される過程を説明しています。同ブログによると、JavaScript のヒープスプレーを使って、アドレス 0x14141414 付近に小さい ROP チェーンが割り当てられるということです。被害が確認されたエクスプロイトは、韓国語または日本語圏のユーザーを対象に、Windows XP 上の Internet Explorer 8 のみを標的にするよう設計されていました。シマンテック製品をお使いのお客様については、この攻撃に対して以下の保護対策がすでに実施されています。

 
ウイルス対策
 
侵入防止システム
 

シマンテックの遠隔測定によると、CVE-2013-3897 を悪用する攻撃が始まったのは 2013 年 9 月 11 日前後です。また、エクスプロイトをホストしているサイトにユーザーをリダイレクトする際、韓国の人気ブログサイトの Web ページが利用されていることから、主な対象は韓国のユーザーであることも判明しています。

 

シマンテックは、最善の保護対策を提供できるように、現在もこの攻撃の調査を続けています。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

 

New Internet Explorer Zero-day Targeted in Attacks against Korea and Japan

      No Comments on New Internet Explorer Zero-day Targeted in Attacks against Korea and Japan

In Microsoft’s Patch Tuesday for October 2013, the company released MS13-080 to address two critical vulnerabilities that have been actively exploited in limited targeted attacks. The first critical vulnerability in Internet Explorer, the Microso…

Phishers Use Malware in Fake Facebook App

      No Comments on Phishers Use Malware in Fake Facebook App

Contributor: Daniel Regalado Arias
 
Phishers frequently introduce bogus applications to add new flavor into their phishing baits. Let’s have a look at a new fake app that phishers are leveraging. In this particular scam, phishers were tryin…

?????????????Microsoft Patch Tuesday?- 2013 ? 10 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2013 ? 10 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、26 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 16 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 10 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Oct

The following is a breakdown of the issues being addressed this month:

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-087 Silverlight の脆弱性により、情報漏えいが起こる(2890788)

    Silverlight の脆弱性(CVE-2013-3896)MS の深刻度: 重要

    Silverlight がメモリ内の特定オブジェクトを処理する方法に、情報漏えいの脆弱性が存在します。

  2. MS13-080 Internet Explorer 用の累積的なセキュリティ更新プログラム(2879017)

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3871)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3872)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3873)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3874)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3875)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3882)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3885)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3886)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  3. MS13-082 .NET Framework の脆弱性により、リモートでコードが実行される(2878890)

    OpenType フォントの解析の脆弱性(CVE-2013-3128)MS の深刻度: 緊急

    Windows が特別に細工された OpenType フォント(OTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    エンティティ拡張の脆弱性(CVE-2013-3860)MS の深刻度: 緊急

    .NET Framework にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、サーバーまたはアプリケーションがクラッシュするか、応答しなくなる可能性があります。

    JSON 解析の脆弱性(CVE-2013-3861)MS の深刻度: 緊急

    .NET Framework にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、サーバーまたはアプリケーションがクラッシュするか、応答しなくなる可能性があります。

  4. MS13-085 Microsoft Excel の脆弱性により、リモートでコードが実行される(2885080)

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3890)MS の深刻度: 重要

    Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3889)MS の深刻度: 重要

    Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  5. MS13-086 Microsoft Word の脆弱性により、リモートでコードが実行される(2885084)

    メモリ破損の脆弱性(CVE-2013-3892)MS の深刻度: 重要

    Microsoft Word ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    メモリ破損の脆弱性(CVE-2013-3891)MS の深刻度: 重要

    Microsoft Word ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  6. MS13-084 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される(2885089)

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3889)MS の深刻度: 重要

    影響を受ける Microsoft Office Services と Web Apps が、特別に細工されたファイルの内容を処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    パラメーターインジェクションの脆弱性(CVE-2013-3895)MS の深刻度: 重要

    Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。

  7. MS13-083 Windows コモンコントロールライブラリの脆弱性により、リモートでコードが実行される(2864058)

    Comctl32 の整数オーバーフローの脆弱性(CVE-2013-3195)MS の深刻度: 緊急

    Windows コモンコントロールライブラリがデータ構造にメモリを割り当てる方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、影響を受けるシステムで稼働している ASP.NET Web アプリケーションに対して、特別に細工された Web 要求を攻撃者が送信すると、リモートでコードが実行される場合があります。

  8. MS13-081 Windows カーネルモードドライバの脆弱性により、リモートでコードが実行される(2870008)

    OpenType フォントの解析の脆弱性(CVE-2013-3128)MS の深刻度: 緊急

    Windows が特別に細工された OpenType フォント(OTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    Windows USB 記述子の脆弱性(CVE-2013-3200)MS の深刻度: 重要

    Windows USB ドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    Win32k の解放後の使用方法に脆弱性(CVE-2013-3879)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    アプリコンテナの特権の昇格の脆弱性(CVE-2013-3880)MS の深刻度: 重要

    Windows アプリコンテナに、特権昇格の脆弱性が存在します。

    Win32k NULL ページの脆弱性(CVE-2013-3881)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    DirectX グラフィックカーネルサブシステムにダブルフェッチの脆弱性(CVE-2013-3888)MS の深刻度: 重要

    Microsoft DirectX グラフィックカーネルサブシステム(dxgkrnl.sys)がメモリ内のオブジェクトを適切に処理しない場合に、特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    TrueType フォントの CMAP テーブルの脆弱性(CVE-2013-3894)MS の深刻度: 緊急

    Windows が特別に細工された TrueType フォント(TTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – October 2013

      No Comments on Microsoft Patch Tuesday – October 2013

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 26 vulnerabilities. Sixteen of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the October releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Oct

The following is a breakdown of the issues being addressed this month:

  1. MS13-087 Vulnerability in Silverlight Could Allow Information Disclosure (2890788)

    Silverlight Vulnerability (CVE-2013-3896) MS Rating: Important

    An information disclosure vulnerability exists in how Silverlight handles certain objects in memory.

  2. MS13-080 Cumulative Security Update for Internet Explorer (2879017)

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3871) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3872) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3873) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3874) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3875) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3882) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3885) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3886) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3897) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  3. MS13-082 Vulnerabilities in .Net Framework Could Allow Remote Code Execution (2878890)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Entity Expansion Vulnerability (CVE-2013-3860) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

    JSON Parsing Vulnerability (CVE-2013-3861) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

  4. MS13-085 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2885080)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3890) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

  5. MS13-086 Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2885084)

    Memory Corruption Vulnerability (CVE-2013-3892) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

    Memory Corruption Vulnerability (CVE-2013-3891) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

  6. MS13-084 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2885089)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Office Services and Web Apps parse content in specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Parameter Injection Vulnerability (CVE-2013-3895) MS Rating: Important

    An elevation of privilege vulnerability exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks and run script in the security context of the logged-on user.

  7. MS13-083 Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2864058)

    Comctl32 Integer Overflow Vulnerability (CVE-2013-3195) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the Windows common control library handles allocating memory for data structures. The vulnerability could allow remote code execution if an attacker sends a specially crafted web request to an ASP.NET web application running on an affected system.

  8. MS13-081 Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2870008)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Windows USB Descriptor Vulnerability (CVE-2013-3200) MS Rating: Important

    An elevation of privilege vulnerability exists when Windows USB drivers improperly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Win32k Use After Free Vulnerability (CVE-2013-3879) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    App Container Elevation of Privilege Vulnerability (CVE-2013-3880) MS Rating: Important

    An elevation of privilege vulnerability exists in the Windows App Container.

    Win32k NULL Page Vulnerability (CVE-2013-3881) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    DirectX Graphics Kernel Subsystem Double Fetch Vulnerability (CVE-2013-3888) MS Rating: Important

    An elevation of privilege vulnerability exists when the Microsoft DirectX graphics kernel subsystem (dxgkrnl.sys) improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    TrueType Font CMAP Table Vulnerability (CVE-2013-3894) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted TrueType fonts (TTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

Microsoft Patch Tuesday – October 2013

      No Comments on Microsoft Patch Tuesday – October 2013

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 26 vulnerabilities. Sixteen of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the October releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Oct

The following is a breakdown of the issues being addressed this month:

  1. MS13-087 Vulnerability in Silverlight Could Allow Information Disclosure (2890788)

    Silverlight Vulnerability (CVE-2013-3896) MS Rating: Important

    An information disclosure vulnerability exists in how Silverlight handles certain objects in memory.

  2. MS13-080 Cumulative Security Update for Internet Explorer (2879017)

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3871) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3872) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3873) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3874) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3875) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3882) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3885) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3886) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3897) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  3. MS13-082 Vulnerabilities in .Net Framework Could Allow Remote Code Execution (2878890)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Entity Expansion Vulnerability (CVE-2013-3860) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

    JSON Parsing Vulnerability (CVE-2013-3861) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

  4. MS13-085 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2885080)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3890) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

  5. MS13-086 Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2885084)

    Memory Corruption Vulnerability (CVE-2013-3892) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

    Memory Corruption Vulnerability (CVE-2013-3891) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

  6. MS13-084 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2885089)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Office Services and Web Apps parse content in specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Parameter Injection Vulnerability (CVE-2013-3895) MS Rating: Important

    An elevation of privilege vulnerability exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks and run script in the security context of the logged-on user.

  7. MS13-083 Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2864058)

    Comctl32 Integer Overflow Vulnerability (CVE-2013-3195) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the Windows common control library handles allocating memory for data structures. The vulnerability could allow remote code execution if an attacker sends a specially crafted web request to an ASP.NET web application running on an affected system.

  8. MS13-081 Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2870008)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Windows USB Descriptor Vulnerability (CVE-2013-3200) MS Rating: Important

    An elevation of privilege vulnerability exists when Windows USB drivers improperly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Win32k Use After Free Vulnerability (CVE-2013-3879) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    App Container Elevation of Privilege Vulnerability (CVE-2013-3880) MS Rating: Important

    An elevation of privilege vulnerability exists in the Windows App Container.

    Win32k NULL Page Vulnerability (CVE-2013-3881) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    DirectX Graphics Kernel Subsystem Double Fetch Vulnerability (CVE-2013-3888) MS Rating: Important

    An elevation of privilege vulnerability exists when the Microsoft DirectX graphics kernel subsystem (dxgkrnl.sys) improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    TrueType Font CMAP Table Vulnerability (CVE-2013-3894) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted TrueType fonts (TTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

????????????????

      No Comments on ????????????????

PC の「P」は「パーソナル」の意味です。今ではもうそれをあまり意識しなくなりましたが、IBM が PC を発表した 1981 年当時には、それは大変なことでした。机の上や足元に置くことができて、誰とも共有しない、完全に自分だけの 1 台だったのです。

そうなるはずでした。

率直に言って、私たちが PC との間に本当に「パーソナル」な関係を築いたかどうかは疑問です。しかし、スマートフォンとは文字どおりパーソナルな関係が成立しています。実際、「2013 Norton Report(2013 年版ノートン レポート)」(英語)によれば、48% のユーザーが、寝るときに手の届くところにスマートフォンを置いています。25% のユーザーが、友人との食事中でもスマートフォンを確認しています。そして、スマートフォンを忘れて出掛けてしまうと落ち着かないという人も 49% にのぼります。

PC を必ず枕もとに置いて寝るという人はまずいませんが、スマートフォンユーザーはデバイスをまるで愛する人のように扱います。それは、PC のセキュリティリスクを知り尽くしている賢明なユーザーが、PC での教訓をスマートフォンに置き換えて考えていないからかもしれません。ノートン レポートによれば、ユーザーは PC に対するサイバー犯罪のリスクを理解しており、PC 上で自分を保護するための基本的なセキュリティ対策(ベストプラクティス)にも従っています。ところが、ハンドバッグやポケットに入れている、あるいは枕もとに置いているデバイスについては、月面に宇宙船を着陸させるのに要するよりも高度な処理能力を持ち、PC よりはるかに高機能であるにもかかわらず、ユーザーは基本的なセキュリティ対策すら実施していません。半数近くの人は、パスワードやセキュリティソフトウェア、ファイルのバックアップといった基本的な保護対策も講じていないのです。

モバイルデバイスの悪用は、攻撃者にとっては見逃せない絶好のチャンスです。攻撃者はこれまで何十年もの間、お金儲けのために PC を攻撃してきました。いち早く PC を使っている人の多さに気が付き、後はただ攻撃の方法を考えるだけでお金が転がり込んできたのです。それと同じ状況がモバイルデバイスにも生まれています。しかも、PC ユーザーに対する長年の攻撃から教訓を得ているので、攻撃者はその経験も活かしてモバイルに移行しています。ノートン レポートによれば、38% のスマートフォンユーザーがすでに何らかのサイバー犯罪をデバイス上で経験しています。

モバイルデバイスに対する攻撃は、かつての PC に対する攻撃ほどまだ激しくはありませんが、そうなるのも時間の問題です。片時も手元から離さないほどパーソナルな存在である以上、モバイルデバイスは、しかるべき保護対策を実施するに値する存在であることをすべての人が認識する必要があります。

これは、本年度のノートン レポートで報告されている興味深い内容の一部に過ぎません。詳しくは、こちらをクリックしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ZeroAccess ?????????

      No Comments on ZeroAccess ?????????

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール(C&C)通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉
今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。
 
こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。
 
ZeroAccess: ペイロード配信機能
その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、(攻撃者の視点に立つと)生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。
 
クリック詐欺
シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック(PPC)によるアフィリエイト方式の支払い対象になります。
 
Bitcoin マイニング
仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。
 
ZeroAccess の経済的側面
好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。
 
テストコンピュータの仕様:
モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB(最大 TDP 95W)
測定された消費電力/時間: 136.25 W(マイニング中)
測定された消費電力/時間: 60.41 W(アイドル時)
MHash/秒: 1.5
 
Bitcoin については以下の条件を想定:
Bitcoin/米ドル交換レート: 131
Bitcoin 難易度係数: 86933017.7712
 
Bitcoin マイニング
Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。
 
クリック詐欺
クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした(1 日当たり 1,008 件)。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。
 
こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。
 
電力コスト
ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。
 
マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日
アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日
差異: 1.82 KWh/日
 
これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。
 
KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh(3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります)にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力(2,484 MW、1 日当たりの電気料金 560,887 ドル)よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。
 
P2P ボットネットの停止は困難だが不可能ではない
今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。
 
その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。
 
詳細情報
シマンテックのロス・ギブ(Ross Gibb)とヴィクラム・タクール(Vikram Thakur)が、2013 年 10 月 2 日 から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。
 
ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。
 
zeroaccess_blog_infographic.png
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Does My Smartphone Count as Extended Family?

      No Comments on Does My Smartphone Count as Extended Family?

The P in PC stands for personal. We don’t think of that much anymore. It was a big deal in 1981 when IBM introduced the PC and it sat on your desk or underneath it. You didn’t share it with anyone. It was personally yours.
Kinda.
Frank…