Tag Archives: Endpoint Protection (AntiVirus)

Protecting Cloud Services, Applications and Storage with Symantec Protection Engine

Hacker Medic May 15, 2012 No Comments

Did you see my session at Symantec Vision 2012? If not, you missed me talk about how you need your very own Robocop to protect services, applications and storage that accept and distribute files.

His prime directives align very well with how you should approach your service and infrastructure security:

1. Serve the public trust – Your users will TRUST your service. They’ll ignore warnings and common sense because YOU are giving them access to something.

2. Protect the innocent – Your users are unlikely to be as security-aware as you are, they may not understand risks and they certainly shouldn’t be trusted to protect themselves 🙂

3. Uphold the law – You need to be able to set and enforce policies and you need to do this at your application or storage level.

{If you’re a fan of Robocop, as I am, just ignore the “Classified” 4th directive… It doesn’t quite fit the metaphor 🙂 }

Symantec Protection Engine gives you the ability to do just that.

It gives you out-of-the box integrations with almost all storage vendors, many applications and services. Oh and we’ll also give you access to our SDK so you can embed our industry leading threat detection technology DIRECTLY INTO YOUR OWN APPLICATIONS.

BETA

I’m delighted to announce that we’re now accepting registrations for the Symantec Protection Engine 7.0 beta program.
This major release is the next generation of the technologies currently sold as Symantec Scan Engine and Symantec AV for NAS/Messaging/Caching.

For more information about this new release and the benefits of participating in our beta program, use this link: https://symbeta.symantec.com/callout/default.html?callid=7E4530E666124B0A80EFBF428FE32301

Symantec Email Submission Client (SESC) 1.0: NOW AVAILABLE

Hacker Medic March 20, 2012 No Comments

Hi!

My last post back in October 2011 introduced the beta program for a new application for our messaging security customers.

I’m delighted to announce that we achieved our Generally Available (GA) milestone yesterday on March 19th meaning that the Symantec Email Submission Client is now available for all of our customers to download and install. This is my first “1.0” product release so I’m particularly excited to see this product ship 🙂

Did I mention that this is provided at no extra charge? Yup, free.

We had some excellent beta participants in this cycle, ranging from large enterprise customers to small businesses and we got some fantastic real world feedback which helped us ship an even better product than we originally scoped.

So, what is SESC?

The Symantec Email Submission Client (SESC) enables messaging administrators to streamline their process and procedures around one of the highest help desk call generators – missed spam.

Without blocking ALL email, no mail security vendor can claim to have a 100% catch rate. Despite having an externally verified and market leading catch rate, Symantec understands that customers want to be able to report missed spam to us so that we are able to prevent the same spam attack hitting them again.

The SESC has been designed with the end user in mind, with the goal of making it SIMPLE TO SUBMIT.

Awesome! How does it work?

SESC integrates with Microsoft Exchange Server 2007 and 2010, utilising the flexible Exchange Web Services (EWS) platform to provide native support for all rich Exchange clients including Outlook, Outlook:Mac, OWA and Exchange enabled mobile devices.

By integrating directly with the backend of the messaging system, customers can avoid the costly admin overhead associated with deploying a plug-in or client to endpoint devices.

Because of the way EWS works, we are able to recommend that SESC is installed to a non-Exchange server so that there is no additionaly CPU burden placed on your mission critical infrastructure. You can run SESC on any Windows 2008 R2 server, both physical or virtual (VMware ESX/ESXi or MS Hyper-V) are supported too.

What about the user experience?

Like I said, we want this to be as simple as possible and actually aimed to make it easier than deleting an item from your Exchange client.

To submit missed spam (aka false negatives) to Symantec, end-users simply move the offending message to an special folder in their mailbox.

This folder name is fully configurable by Administrators, who also have absolute control over which users are enabled for submissions. Using their existing Active Directory infrastructure, Administrators can use pre-existing or new Groups or OU’s as well a providing a custom LDAP query to opt-in the users.

There are two working modes for SESC, Moderated Submissions and Direct Submissions.

With Direct Submission mode, every message moved to the submission folder by an end-user is submitted to Symantec.

With Moderated Mode, Administrators can delegate an approval process to one or more users. In this mode, the end-user moves the message to the submission folder as normal. This message is then made available to the ‘approval’ user who can decide whether the message should be submitted to Symantec or not.

This is particularly useful where data privacy may be a concern.

With SESC, customers no longer have to use the existing and rather convoluted method of submission; which involves supplying the entire missed spam message as an RFC822 attachment to ANOTHER email and sending it to the correct email address at Symantec.

The Symantec Email Submission Client is available today for the following products:

Symantec Messaging Gateway
Symantec Mail Security for Exchange

Simply sign into http://fileconnect.symantec.com and download the installer.

Note: Symantec Protection Suite Enterprise Edition customers will be able to download SESC from Fileconnnect from April 2012.

There are some really fantastic extensions to our submissions process coming in the next release of Symantec Messaging Gateway which not only extend the functionality of SESC but also help to improve your protection even more. What’s more, the beta for Symantec Messaging Gateway 10 is due to kick off in May 2012 – if you are interested in participating please get in touch either in the comments below or you can email me ian_mcshane@symantec.com.

I’m excited to get more feedback as we start to think about the next releases of SESC so please do download, install it, check it out and let me know what you think either in the comments or directly by email.

Cheers!

Ian McShane

Senior Product Manager | Messaging & Web Security

Endpoint & Mobility | Symantec

?????????????Microsoft Patch Tuesday?- 2012 ? 2 ?

Hacker Medic February 15, 2012 No Comments

今月のマイクロソフトパッチリリースブログをお届けします。今月のパッチリリースは規模が大きく、21 件の脆弱性を対象として 9 件のセキュリティ情報がリリースされています。

このうち 6 件が「緊急」レベルであり、Internet Explorer、.NET、Windows、GDI がその影響を受けます。その他の脆弱性は、Internet Explorer、Windows、Visio、SharePoint に影響します。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
未知の、または疑わしいソースからのファイルは扱わない。
整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

MS12-010 Internet Explorer 用の累積的なセキュリティ更新プログラム（2647516）

CVE-2012-0010（BID 51931）Microsoft Internet Explorer のコピーと貼り付けの操作にクロスドメインの情報漏えいの脆弱性（MS の深刻度: 警告/シマンテックの重大度: 6.7/10）

Internet Explorer におけるコピーと貼り付けの操作に影響する、クロスドメインでの情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、攻撃者自身が制御するページのコンテンツを標的となるページにコピーすることができます。漏えいした情報は、さらに別の攻撃に利用されることがあります。

対象: Internet Explorer 6、7、8、9

CVE-2012-0011（BID 51933）Microsoft Internet Explorer（CVE-2012-0011）にリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

対象: Internet Explorer 7、8、9

CVE-2012-0012（BID 51932）Microsoft Internet Explorer の Null バイト処理に情報漏えいの脆弱性（MS の深刻度: 重要/シマンテックの重大度: 6.7/10）

プロセスメモリが適切に保護されないことにより Internet Explorer に影響する、情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。漏えいした情報は、さらに別の攻撃に利用されることがあります。

対象: Internet Explorer 9

CVE-2012-0155（BID 51935）VML にリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

対象: Internet Explorer 9
MS12-016 .NET Framework と Microsoft Silverlight の脆弱性により、リモートでコードが実行される（2651026）

CVE-2012-0014（BID 51938）Microsoft Silverlight と .NET Framework のアンマネージオブジェクトにリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.5/10）

アンマネージオブジェクトが適切に処理されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。

CVE-2012-0015（BID 51940）Microsoft Silverlight と .NET Framework にヒープ破損によるリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.5/10）

バッファのサイズが適切に計算されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。
MS12-013 C ランタイムライブラリの脆弱性により、リモートでコードが実行される（2654428）

CVE-2012-0150（BID 51913）Microsoft Windows の ‘Msvcrt.dll’ にリモートバッファオーバーフローの脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

ユーザー指定の入力が適切にバウンドチェックされないことが原因で msvcrt DLL ライブラリに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、特別に細工されたメディアファイルを開かせるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
MS12-008 Windows カーネルモードドライバの脆弱性により、リモートでコードが実行される（2660465）

CVE-2011-5046（BID 51122）Microsoft Windows の ‘win32k.sys’ にリモートからのメモリ破損の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 9.2/10）

Windows カーネルの GDI コンポーネントに影響する、リモートコード実行の脆弱性がすでに知られています（2011 年 12 月 19 日）。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質な Web ページを閲覧させたり悪質な電子メールを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルのコンテキストで実行されてしまいます。これによって、システムが完全に危殆化する場合があります。

CVE-2012-0154（BID 51920）Microsoft Windows カーネルの ‘Win32k.sys’ によるキーボードレイアウトにローカル特権昇格の脆弱性（MS の深刻度: 重要/シマンテックの重大度: 6.6/10）

一部のキーボードレイアウトの管理方法が原因で、Windows カーネルに影響するローカル特権昇格の脆弱性が存在します。ローカルの攻撃者はこの脆弱性を悪用して、カーネルレベルの特権で任意のコードを実行できる場合があります。これによって、システムが完全に危殆化する場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

SMS ?????????? Android ?????????

Hacker Medic February 13, 2012 No Comments

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

しかし、このページは本物ではなく、このページからダウンロードされるアプリももちろん本物ではありません。以下に示したのは、同一のアプリケーションを数分間隔で 3 回ダウンロードした結果です。ファイルサイズが大きく異なることに注目してください。このサイトが、セキュリティソフトウェアによる検出をすり抜けるために、サーバーサイドポリモーフィズムを利用してパッケージの内容を変更していることが、この事実からわかります。3 つのファイルごとに差があるだけではなく、3 つのファイルのいずれも以前の亜種よりサイズがはるかに大きくなっていることも興味深い点です。以前の亜種は、サイズがおよそ 50 ～100 KB 程度でしたが、この図でわかるとおり、現在のファイルサイズは 1 MB 前後に膨らんでいます。サイズを大きくすることも、正規のアプリケーションらしく見せる手口と考えられます。機能の点では以前の亜種とまったく変わりがないので、ではいったいサイズが大きくなった原因は何なのでしょうか。

その犯人は、”resraw” フォルダに含まれるファイルです。以下の図に示したとおり、まったく同一の 24 KB のファイルが無数に存在し、それがパッケージを膨らませています。24 KB とは、ファイルをパッケージ解除した後のサイズである点に注意してください。3 つのパッケージの “resraw” フォルダに含まれるファイルの数は、それぞれ 3,544、3,748、2,664 でした。このファイル数にファイルサイズを掛け、圧縮解除の比率で計算すれば、各ファイルについて前述のようなファイルサイズになるということです。したがって、これらのパッケージが相互に一意性を持つ原因は、ひとえに “resraw” フォルダに含まれているファイル数の違いということになります。

しかも、これらのファイルには、以下の図のように意味のないテキストしか含まれていません。

SMS 詐欺に利用される悪質な Android アプリケーションの常套として、このマルウェアも SMS メッセージを送信する機能の許可を求めてきます。アプリケーションの実際の名前は、ダウンロードページにあるアプリケーション名ではなく “Installer” です。これも、この種のマルウェアに共通する特徴です。”Installer” という名前、あるいはこの単語のロシア語訳を見かけた場合や、アプリケーションが SMS 送信の許可を求める場合には、せっかく入手したはずのアプリケーションが正規のものではない可能性が高いと言えます。

今回のアプリケーションは、ロシア語を読めるユーザーを標的にしていますが、各種のマーケットやファイル共有サービスに混入したり、メールの添付ファイルとして利用されたりする可能性も、わずかながら残っています（あるいは最終的にそうなります）。したがって、スマートフォンにアプリケーションをインストールするときには常に注意が必要です。いつものことですが、アプリケーションは信頼できるソースからダウンロードするようにし、アプリケーションのインストール時に要求される許可にも注意を払うようにしてください。シマンテックのノートンモバイルセキュリティをお使いであれば、Android.Opfake としてブログで報告されている亜種からは保護されます。

Waledac ???? 2012 ?????????????????

Hacker Medic February 13, 2012 No Comments

最近、あるボットネットの亜種（Kelihos）が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログやホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合（例外もあります）悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

メールの翻訳（概要訳）

「Rospres は今年、開設 5 周年を迎えます。

私たちは一貫して、入手できるかぎりの最新情報を完全な形でお伝えしようと努めてきました。今後も愛読者のみなさまのために尽力するつもりです。これからも当社 Web ポータルへのアクセスをお忘れなく。http://www.rospres.com/ へのアクセスを心より歓迎します。

みなさまのご多幸をお祈りします、Rospres より」

スパムメールに書かれている Rospres.com のリンク先は、Rospres.com のサイトに掲載されている、以下の図のような中傷記事です。このスパムメールに書かれたリンクが脅威の拡散に使われているという証拠は見つかっていません。Rospres.com のサイトには、政治家や財界人などロシア国内の著名人について中傷的と思える記事が多数掲載されています。

この記事で取り上げられているのは、オリガルヒ（ロシア新興財閥）のひとりに数えられる資本家であり、今年 3 月のロシア大統領選の無所属候補でもあるミハイル・プロホロフ氏です。今回の Waledac スパムによる攻撃が、Rospres.com サイトの宣伝を目的としているのか、それとも大統領選候補の個人的な中傷を狙っているのかは明確になっていませんが、W32.Waledac.C の亜種を操っているマルウェア集団の正確な動機を曖昧にする機能は果たしているようです。

Office ????????????????

Hacker Medic February 10, 2012 No Comments

寄稿者: 中山雄克

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db を使う理由は、サムネイルビューの使用時に Windows によって作成される共通ファイルがこのファイル名であるためです。また、このファイルは、デフォルト設定ではコンピュータの標準ビューに表示されません。

シマンテックでは、この文書ファイルを Trojan.Activehijack として検出しています。この攻撃で悪用されている脆弱性についての詳細がわかり次第、その更新情報を提供する予定です。ユーザーの方々は、特に理由がない限り、電子メールに添付された .dll ファイルには用心してください。また、標的型攻撃を受けるリスクを低減するため、MS11-073 のパッチと最新のパッチをすべて適用することをお勧めします。

Symantec Web Gateway 5.0 – Forward Thinking Protection against Advanced Threats

Hacker Medic July 12, 2011 No Comments

I am pleased to announce that Symantec Web Gateway 5.0 is now available! Nearly half of our production deployments have already upgraded to the new version and the software is now available to all customers.
This release brings not only a s…

???????????????

Hacker Medic March 31, 2011 No Comments

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services（UPS カスタマーサービス）”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983（UPS 通知 40983）
件名: Delivery Status（配送状況）
件名: UPS: Your Package（UPS: 荷物）
件名: United Parcel Service notification（UPS 通知）
件名: United Postal Service Tracking Nr.（UPS 追跡番号）

差出人: “Post Express Support（Post Express サポート）” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information（Post Express 情報）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report（Post Express レポート）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office（Post Express オフィス）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information（Post Express 情報）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>

件名: Post Express Office. Package is available for pickup. NR03909（Post Express オフィス: 集荷準備中 NR03909）
件名: Post Express Office. Delivery refuse. NR4245855（Post Express オフィス: 配送拒否 NR4245855）
件名: Post Express Office. Track your parcel. NR06678（Post Express オフィス: 荷物追跡 NR06678）
件名: Post Express Office. Error in the delivery address. NR4061172（Post Express オフィス: 送付先住所の間違い NR4061172）
件名: Post Express Office. Get the parcel NR31215（Post Express オフィス: 荷物 NR31215 をお受け取りください）

受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。

UPS tracking number.exe（Trojan.FakeAV として検出）
UPS notify.exe（Backdoor.Cycbot として検出）
Post_Express_Label.exe（Trojan.Sasfis として検出）

以下に、スパムの例を 2 つ示します。

シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。

上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。

?????????????????? Android ???

Hacker Medic March 31, 2011 No Comments

Android.Walkinwat は、非正規のサイトから不正にファイルをダウンロードしたユーザーを懲らしめようとする脅威です。この種の脅威がモバイル環境で確認されたのは初めてです。

図 1: トロイの木馬によって表示されるメッセージ

Android.Walkinwat は、Android マーケットで入手できる「Walk and Text」というアプリケーションの、存在しないバージョン（V 1.3.7）として公開されており、北米とアジアの有名なファイル共有 Web サイトで見つかっています。このアプリケーションがこれらの地域で意図的に拡散されたのは、脅威の作成者がダウンロード数を増やし、少しでも多くのユーザーにメッセージを送るためだったとも、Walk and Text の発行者を非難するためだったとも考えられます。

このアプリケーションを実行すると、アプリケーションに対する侵入とクラッキングが進行中であるかのように見えるダイアログボックスが表示されますが、実際にはその間に、重要なデータ（名前、電話番号、IMEI 情報など）を収集して外部サーバーに送信しようとしています。

図 2: バックグラウンドで実行される処理

また、リストにあるすべての連絡先に、次のような SMS メッセージを送信します。

図 3: リストのすべての連絡先に送信される SMS メッセージ

注目すべきなのは、このトロイの木馬が Android.Walkinwat の LicenseCheck と呼ばれるルーチンで上記の処理を実行しているということです。これは本来、正規のアプリケーションがライセンス管理に使うルーチンであり、海賊版を排除するために Android プラットフォームで利用できるライセンス検証ライブラリ（Licensing Verification Library）と組み合わせて使われます。悪質なコードの作成者は、海賊版を防ぐために推奨されている別の対応策も使い、アプリケーションを不明瞭化するという手間もかけています。

図 4: LicensingService ルーチンと LicenseCheck ルーチン

アプリケーションは最後に、電話料金の請求書を忘れずに確認するようにというメッセージを表示し、Android マーケットからこのアプリケーションの正規版を購入するオプションも提示します。

図 5: 脅威によって表示される最後のメッセージ

海賊版防止のメッセージを送信する手段として、正義による制裁という形が使われるケースは初めてではありませんが、モバイル機器では初めての出現例となりました。

Facebook ??????????????? XSS ???

Hacker Medic March 30, 2011 No Comments

Facebook で新しく見つかったクロスサイトスクリプト（XSS）の脆弱性は、パッチ修正されないまま現在も広く悪用されており、ユーザーのウォールに自動的にメッセージが投稿されています。この脆弱性は、これまでも小規模に使われていましたが、今ではさまざまなグループに広く使われはじめ、特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されています。

この脆弱性は、JavaScript のフィルタリングが十分でないことが原因で、モバイル API バージョンの Facebook に存在します。悪質な意図で作成した iframe 要素に JavaScript を埋め込むか、http-equiv 属性の refresh 値を利用して、JavaScript を含む URL にブラウザをリダイレクトするなどの方法で Web サイトに組み込むことができます。Facebook にログインしたユーザーが、このような要素を含むサイトにアクセスすると、任意のメッセージがそのユーザーのウォールに自動的に投稿されます。ユーザー自身の操作はまったく必要なく、クリックジャックのような仕掛けもありません。感染した Web サイトにアクセスするだけで、攻撃者が選んだメッセージが投稿されてしまいます。このようなメッセージが Facebook 全体にごく短時間で広まってしまったのも当然と言えるでしょう。なかには、感染した Web サイトへのリンクを投稿し、ユーザー間に XSS ワームを拡散するメッセージもあります。

悪いことに、この攻撃は簡単に作り変えることができるため、すでに何十という模倣犯が異なるメッセージで新しい攻撃を開始していることが確認されています。

この問題は Facebook のセキュリティチームに報告済みであり、修正対応が進められています。

この攻撃は、Facebook で SSL オプションが有効でも無効でも動作するので、今のところ、使わないときは Facebook からログアウトするか、セキュリティツールを使って保護するか、または感染サイトへのアクセスを遮断するようにしてください。たとえば、Firefox ブラウザの NoScript 拡張機能を使うと、この XSS ワーム攻撃を検出することができます。

更新: この XSS 脆弱性に対するパッチ修正を実施したと Facebook から報告がありました。また、Facebook は現在、この攻撃によって生じた損害の修復も進めているところです。