Tag Archives: Security Response

‘Xin Nian Kuai Le’: Spammers Say Happy New Year

      No Comments on ‘Xin Nian Kuai Le’: Spammers Say Happy New Year
China is gearing up to usher in the Year of the Horse, which begins with the new moon on January 31 this year. With more than a billion people worldwide preparing to celebrate the new year for the lunar calendar, the celebration this year promises more color than ever before.
 
Chinese New Year, also known as the spring festival, is a day for reunion and thanksgiving, where exchanging gifts is at the heart of the celebration. Friends, family, colleagues and even businesses exchange gifts to show love, respect and loyalty. Business owners often send gifts to their customers and shops offer gifts and discounts to show their gratitude. However, spammers are all too aware of this practice.
 
The spammers and fraudsters are known to capitalize on special occasions and exploit the noble gesture of giving gifts in order to send out spam. They are known to pose as friends and business owners and send emails promising gifts and financial offers to attract unsuspecting victims. 
 
We’ve observed spam that exploits Chinese New Year by pretending to be from a reputed company. The spam message appeals to the recipient’s benevolence, asking them to give the company’s products as gifts to loved ones.
 
Sample
translated.png
Figure 1. The subject of the spam message
 
Translation
Subject: [COMPANY NAME] wish users, a happy new year.
 
 
email_0.png
Figure 2. Preview of the Chinese spam email related to the Year of the Horse
 
Translation
Greeting all customers,
 
As the year of the golden snake is coming to an end, year of lucky horse right at our door steps! It’s the beginning of a new year, everything is a new start! As we are about to approach the new year, [PRODUCT NAME] would like to send our greeting to you and your family with utmost respect and well wishes! We wish you a happy and healthy new year!
 
Thanks for your continuous support to the company. We wish you a great Year of the Horse. Happy New Year!
 
[COMPANY NAME]
2014 January
 
The spam sample in discussion has the subject line greeting the customers on behalf of the company. The body contains an image preview which looks cheerful to spread the holiday feeling. The message tries to make the name of the company linger in the minds of the readers so that they may consider its products while gift shopping.
 
In previous years, Symantec had observed a variety of Chinese New Year spam. The most prominent among them promoted fake gift offers and discounts. Scams formed another significant spam category, which included loan offers and job offers, making people think they can pay off any debt they may have and get a good start in the new year. All these spam emails were devised to exploit the strong traditions and values of the Chinese community worldwide.
 
The Chinese New Year festivities commence on January 31 and will continue for 15 days until the full moon, when Lantern Festival is celebrated. We can expect more spam of a similar nature during this  time.
 
The New Year festival is a good opportunity for the spammers to target users. The best practice to avoid falling into the spammers’ traps is to be wary of opening unsolicited new year themed emails.
 
We wish you all the very best in the Year of the Horse!

???????????????????????

      No Comments on ???????????????????????

2013 年、ユーザーを詐欺サイトに誘導する何千ものアプリが Google Play で公開されました。日本では、この形態の詐欺は通常「ワンクリック詐欺」と呼ばれています。2013 年 1 月に初めての亜種が出現して以来、何日間も生き残る詐欺アプリはほんのひと握りですが、2013 年の 1 年間に公開された詐欺アプリは、合計すると 3,000 種以上にものぼることが確認されました。昨年の 10 月までに詐欺師たちは、新しい亜種を Google Play で公開することをやめていますが、その理由はわかっていません。

figure1_12.png
図 1. ワンクリック詐欺サイトに誘導するアプリが 2013 年中に Google Play で公開された総数

詐欺サイトに被害者を誘い出すアプリは、Google Play でこそ公開されなくなりましたが、最近は被害者を詐欺サイトに誘導するために別の経路が使われています。たとえば、それはスパムなどです。

この詐欺は携帯電話、特にスマートフォンに届いたスパムから始まるのが一般的です。スパムメッセージには、アダルト動画サイトへのリンクが掲載されています。そのサイトでは、動画を無料で鑑賞できると謳われています。

figure2_13.png
図 2. この詐欺の過程で届くスパムメッセージの例

figure3_8.png
図 3. スパムメッセージからリンクされているアダルト動画サイト

動画を見るためには、電話を掛けてサイトに登録しなければならないと指示されます。被害者がサイトで指定されている番号に電話を掛けると、自動システムが電話を受け、被害者のモバイルデバイスの電話番号を保存します。次に、サイトにアクセスするために電話番号を入力するよう求められます。

figure4_6.png
図 4. 動画を見るためにサイトに登録するよう指示される

サイトへの登録を済ませて動画をクリックすると、別の Web ページが開きます。このページを注意深く読むと、「無料」という単語が完全に消えていて、購読料金に関する小さな注意書きが追加されていることに気が付きます。

figure5_4.png
図 5. 購読料金の詳しい案内が載ったアダルト動画サイト

この注意書きを見逃してダウンロードボタンをタップすると、有料サービスに登録したことになり、約 10 万円という法外な料金を請求されてしまいます。実際に 2 つのアダルト動画ページの URL を比較してみれば、ドメインが違うことがわかるはずです。ユーザーは元のサイトから別のサービスにリダイレクトされています。動画を無料で見られるのは元のサイトだけですが、実際には動画は見つかりません。リダイレクト先のサイトには動画がありますが、それは無料ではないのです。

figure6_0.png
図 6. 購読料金を請求するサイトの登録ページ

元のサイトの利用規約を読むと、そのサイトにあるすべてのコンテンツには無料でアクセスできるが、リンク先の他のサービスは有料の場合があると書かれています。

サイトの Q&A ページに、詐欺師からの電話に引っかかって動画サービスの料金を請求されることがあるという警告文が書かれているのは、何とも皮肉です。このページでは、料金の支払いには注意する必要があるとも指導しています。実際に、期日までに料金が支払われないと、詐欺師は督促電話を掛けてきます。

figure7_0.png
図 7. 詐欺に関する警告文が書かれた Q&A ページ

こうした詐欺は毎日のように発生しており、オペレーティングシステムの種類を問わず、スマートフォンを持つユーザーが狙われています。引き続きワンクリック詐欺には警戒して、迷惑メール(スパムメッセージ)のリンクは絶対にクリックしないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ancient Japanese Click Fraud Still Healthy and Alive

      No Comments on Ancient Japanese Click Fraud Still Healthy and Alive

In 2013, scammers published thousands of apps on Google Play that led to fraudulent sites. This form of scam is typically called “one-click fraud” in Japan.  The very first variant appeared in January and while only a handful of these fraudulent apps survive for a few days at most, we confirmed that, in total, more than 3,000 apps were published on the market in 2013. By October, scammers for the most part have stopped publishing new variants of the fraudulent apps on Google Play for unknown reasons.

figure1_12.png
Figure 1. Total number of apps leading to one-click fraud sites published on Google Play throughout 2013

While apps that lure victims to fraudulent sites may no longer be available on Google Play, there are currently other vehicles leading victims to these sites, such as spam. 

This scam typically begins with spam that has been sent to a mobile phone, ideally a smartphone. The spam message contains a link to an adult video website. The site claims that videos can be viewed free of charge.

figure2_12.png
Figure 2. Example of the spam message sent as part of this scam

figure3_7.png
Figure 3. The adult video site linked in the spam message

To view a video, the visitor is instructed to make a phone call in order to register for the site. Once the user calls the number provided on the site, an automated system will accept the call and save the phone number of the victim’s mobile device. The visitor will then be prompted to input their telephone number in order to access the site.

figure4_4.png
Figure 4. The site instructs the user to register to access the videos

When the user clicks on a video after they’ve registered for the site, another Web page opens. If you read the page carefully, you will notice that the term “free” has completely disappeared and a tiny note about a subscription fee has been added.

figure5.png
Figure 5. The adult video site with details of a subscription fee

If the visitor fails to notice this detail and clicks the download button, they will end up registering for the paid service and will be charged the hefty price of about US$1,000. If you actually compare the URL of the two adult video Web pages, you will notice that the two sites have different domains. The original site redirects the visitor to a different service and allows free videos to be viewed only on its own site, but no videos can be found. There are videos on the second site, but they are not available for free.

figure6.png
Figure 6. Registration page for the site that charges a subscription fee

The end-user agreement on the original site states that all content on the site can be accessed free of charge, however, other services linked to the site may not be free.

Interestingly, the site’s Q&A page warns visitors that they may receive phone calls from scammers asking them to pay for video services. The Web page instructs users to be carefully about making payments. The scammers do follow up by calling the visitors if the fee is not paid by the deadline.

figure7.png
Figure 7. The Q&A page with a warning about scammers

These scams occur on a daily basis and affect users with smartphones that run any type of operating system. Users should remain vigilant of one-click fraud scams and should avoid clicking on links received through unsolicited spam messages.

??????????????

      No Comments on ??????????????

エンターテインメントシステムなどの多数の家庭用デバイスや、さらには冷蔵庫までがスパムを送信していたという、Proofpoint 社による調査に基づいた報道をご覧になった方もいるでしょう。こうしたネットワーク対応デバイスの集まりは、「モノのインターネット(IoT)」と呼ばれています。もともと、この調査レポートには証拠が伴っていなかったため、シマンテックはその内容を裏付けることができませんでしたが、新たな詳細情報が公開されたことにより、最近のスパム攻撃が、冷蔵庫などの IoT デバイスから送信されたものではないことを確認できました。

シマンテックは、一般に公開された情報から、今回のスパムが Windows コンピュータの感染に起因する典型的なボットネットによって送信されていることを突き止めました。シマンテックは、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなど、多様なソースから遠隔測定データを受信しています。そうしたすべてのソースからスパムを追跡したところ、複数の Windows コンピュータに辿り着きましたが、その一部は W32.Waledac(Kelihos)に感染していました。このスパムが Windows 以外のコンピュータシステムから発信された例は今までになく、使途不明の大量スパムが他のソースから発信されていることも確認されていません。

今回の冷蔵庫は無実でしたが、IoT デバイスからのスパム送信がありえないというわけではありません。シマンテックは最近、IoT に対する初めての脅威である Linux.Darlloz を発見しました。Linux.Darlloz は、ルーター、カメラ、エンターテインメントシステムといった Linux ベースの IoT デバイスに感染します。Darlloz で注目すべき点は、IoT デバイスに感染するだけでなく、Linux.Aidra という別の脅威との間でワーム戦争を巻き起こしていることです。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合にはそのデバイスから Aidra を削除します。

これは、ワーム作成者が IoT という縄張りを争っていることが確認された初めての例であり、2004 年のワーム戦争を連想させます。対象となるデバイスの処理能力もメモリも限られていることを考えると、同様の縄張り争いは今後も起きると予想されます。

IoT デバイスを狙うマルウェアはまだ生まれたばかりですが、IoT デバイスはさまざまなセキュリティ問題に影響されやすいという性質を持っています。したがって、近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではありません。PC の場合と同様に、IoT デバイス上のソフトウェアも最新の状態に保ち、ルーターの内側にデバイスを置いて、デフォルトのパスワードはすべて安全性の高いパスワードに変更してください。

ところで、冷蔵庫が悪質化してスパムの送信を始めたという誤った結論はどこから導き出されたのでしょうか。

あいにく、インターネット上の実際の物理デバイスについて製造元やモデルを特定することは容易ではありません。多くの家庭用デバイスはホームルーターの内側に置かれており、ネットワークアドレス変換(NAT)を利用しています。外部から見ると、ルーターの内側に置かれているデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルーターの内側に置かれているデバイスなのか、またはルーター自体なのかを判断するのは困難です。しかも、ルーターで開いているポートを調べる場合、ルーターがポート転送を採用していると、ルーターの内側に置かれている 1 つ以上のデバイスが公開されることがあります。たとえば、外出中にテレビ番組を録画できるようにインターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスへのリモートアクセスが可能なようにルーター上でポート転送が有効になっている場合があります。その場合、ルーターが存在していることさえ気付かず、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思い込んでしまう恐れがあります。

Refrigerator Spam 1.png

図. 見た目と実際は同じではない

今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルーターの内側に置かれていました。感染したコンピュータがボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルーターを通過し、特定の IP アドレスから送られたように見えます。その IP アドレスを調べると、感染したコンピュータには到達せず、ルーターに辿り着きます。

また、冷蔵庫がポート転送という機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できることになります。外部から見ると、目に見えているのは冷蔵庫だけで、そこにルーターが存在していることや、感染したコンピュータなどその他の多くのデバイスがルーターの内側に存在する可能性に気付かないかもしれません。こうした誤解こそ、冷蔵庫がスパムを送信していたと報告された理由なのです。事実としては、冷蔵庫が、感染したコンピュータとたまたま同じネットワーク上にあったに過ぎません。

今回どのような経緯で誤解が生じたかを検証するために、シマンテックは Waledac に感染したコンピュータのパブリック IP アドレスを調べました。予想どおり、検証で何度も最終的にエンターテインメントシステムやその他の家庭用デバイスに到達しましたが、それらはたまたまルーターを介して公開され、Waledac に感染したコンピュータと同じネットワークを共有していただけでした。

今回 IoT デバイスの罪は晴れましたが、将来的にはスパム送信の元凶となる恐れがあると思われます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Malware de Windows Trata de Infectar los Dispositivos Android

      No Comments on Malware de Windows Trata de Infectar los Dispositivos Android

Hemos visto en otras ocasiones que el malware para Android intenta infectar los sistemas de Windows. Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf  y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.

Curiosamente, ahora Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.

La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto:

Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada:

  • %Windir%\CrainingApkConfig\AV-cdk.apk

El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).

Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android  conectado a la computadora afectada:

figure1_11.png

Figura 1. Comando para instalar el APK malicioso

Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.

El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.

figure2_10.png

Figura 2. APK malicioso simulado en la tienda de aplicaciones de Google.

Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:

figure3_6.png

Figura 3. Fragmento del código APK malicioso

Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:

  • Desactivar la depuración USB de su dispositivo Android cuando no la utilice.
  • Ser cauteloso cuando conecte su dispositivo móvil a computadoras no confiables.
  • Instalar software de seguridad confiable, como Norton Mobile Security.
  • Visitar la página de Symantec Mobile Security para obtener más información sobre seguridad.

 

Android ???????????? Windows ?????

      No Comments on Android ???????????? Windows ?????

Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Claco は、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。

シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。

感染の段階は、Trojan.Droidpak という名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL(これも Trojan.Droidpak として検出されます)を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。

  • http://xia2.dy[削除済み]s-web.com/iconfig.txt

次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。

  • %Windir%\CrainingApkConfig\AV-cdk.apk

DLL は、Android Debug Bridge(ADB)などの必要なツールもダウンロードします。

次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。

figure1_11.png

図 1. 悪質な APK をインストールするコマンド

接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。

この悪質な APK は Android.Fakebank.B の亜種であり、Google App Store という名前のアプリに偽装しています。

figure2_10.png

図 2. Google App Store という名前に偽装した悪質な APK

実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。

  • http://www.slmoney.co.kr[削除済み]

figure3_6.png

図 3. 悪質な APK のコードの抜粋

この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • Android デバイスで USB デバッグを使わないときには機能を無効にしておく。
  • 信頼できないコンピュータにモバイルデバイスを接続する場合には注意する。
  • ノートン モバイルセキュリティなど、信頼できるセキュリティソフトウェアをインストールする。
  • モバイルセキュリティの Web サイト(英語)で、安全性に関する一般的なヒントを参照する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Despite the News, Your Refrigerator is Not Yet Sending Spam

      No Comments on Despite the News, Your Refrigerator is Not Yet Sending Spam

You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.

From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.

Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.

This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.

While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.

So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?

Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.

Refrigerator Spam 1.png

Figure. What you see is not what you have

In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.

In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.

To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.

So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.

Windows malware attempts to infect Android devices

      No Comments on Windows malware attempts to infect Android devices

We’ve seen Android malware that attempts to infect Windows systems before. Android.Claco, for instance, downloads a malicious PE file along with an autorun.inf file and places them in the root directory of the SD card. When the compromised mobile device is connected to a computer in USB mode, and if the AutoRun feature is enabled on the computer, Windows will automatically execute the malicious PE file.

Interestingly, we recently came across something that works the other way round: a Windows threat that attempts to infect Android devices.

The infection starts with a Trojan named Trojan.Droidpak. It drops a malicious DLL (also detected as Trojan.Droidpak) and registers it as a system service. This DLL then downloads a configuration file from the following remote server:

http://xia2.dy[REMOVED]s-web.com/iconfig.txt

It then parses the configuration file in order to download a malicious APK to the following location on the compromised computer:

%Windir%\CrainingApkConfig\AV-cdk.apk.

The DLL may also download necessary tools such as Android Debug Bridge (ADB).

Next, it installs ADB and uses the command shown in Figure 1 to install the malicious APK to any Android devices connected to the compromised computer:

figure1_11.png

Figure 1. Command to install the malicious APK

The installation is attempted repeatedly in order to ensure a mobile device is infected when connected. Successful installation also requires the USB debugging Mode is enabled on the Android device.

The malicious APK is a variant of Android.Fakebank.B and poses as a Google APP Store application.

figure2_10.png

Figure 2. Malicious APK posing as Google APP Store

However, the malicious APK actually looks for certain Korean online banking applications on the compromised device and, if found, prompts users to delete them and install malicious versions. Android.Fakebank.B also intercepts SMS messages on the compromised device and sends them to the following location:

http://www.slmoney.co.kr[REMOVED]

figure3_6.png

Figure 3. Malicious APK code snippet

To avoid falling victim to this new infection vector, Symantec suggests users follow these best practices:

  • Turn off USB debugging on your Android device when you are not using it
  • Exercise caution when connecting your mobile device to untrustworthy computers
  • Install reputable security software, such as Norton Mobile Security
  • Visit the Symantec Mobile Security website for general safety tips

??????????: ???????????????????????

      No Comments on ??????????: ???????????????????????

Internet of Things Header.jpg

ベビーモニターが覗き見に悪用されるということはありえるでしょうか。テレビがユーザーの視聴傾向を監視したり、自動車が悪質な攻撃者によってハッキングされたりする可能性はあるでしょうか。はたまた、セットトップボックスやインターネットルーターのようにどう見ても無害そうなデバイスが、ホームコンピュータへの侵入口として利用されることはありえるでしょうか。

「モノのインターネット」(IoT)が実現するとともに、セキュリティ上の脅威の標的になるデバイスはますます増え続けています。「モノのインターネット」とは何でしょうか。簡単に言えば、インターネットに接続されているのがコンピュータだけではなくなる時代に向かっているということです。家電製品やセキュリティシステム、暖房、照明器具、そして自動車まですべてがインターネットに対応しつつあります。ほとんどあらゆるモノがインターネットに接続される世界という壮大な構想、それが「モノのインターネット」です。

刺激的で新しい変化が今まさに起ころうとしています。インターネットに対応した住宅では、終業後に会社を出る前にホームネットワークにログオンし、セントラルヒーティングやオーブンの電源を入れておくことができます。夜間の外出中にアラームが鳴り出した場合でも、スマートフォンからホームセキュリティシステムにログオンすれば、防犯カメラを確認し、異常がなければアラームをリセットすることが可能です。

問題なのは、新しいテクノロジの発展があるところには必ず、セキュリティ上の新しい脅威も生まれてくるということです。今や多くの消費者は、コンピュータがマルウェアの標的になりえることを強く認識しています。新世代のスマートフォンが攻撃に対して脆弱であるという認識も浸透しつつあります。しかし、それ以外のデバイスに対する脅威を認識している人はほとんどいません。

Linux ワーム

モノのインターネットはまだ生まれたばかりですが、脅威はすでに存在しています。たとえば、シマンテックの研究員である林薫は最近、Linux オペレーティングシステムが稼働しているコンピュータを標的にする新しいワームを発見しました。Linux に触れたことがある人は多くないかもしれませんが、Linux はビジネスの世界では大きな役割を果たしており、Web サーバーやメインフレームなどの運用に広く利用されています。

このワーム Linux.Darlloz に、当初それほど特異な点があるようには見えませんでした。Linux.Darlloz は、スクリプト言語 PHP に古くから存在する脆弱性を利用してコンピュータにアクセスし、一般によく使われている一連のユーザー名とパスワードを組み合わせて管理者権限の取得を試みたうえ、他のコンピュータを検索して自身を拡散します。侵入先のコンピュータでバックドアを開くので、攻撃者はそのコンピュータに対してコマンドを発行できるようになります。

このワームが悪用していたのは PHP の古い脆弱性であり、拡散するためにはパッチが適用されていないコンピュータを見つけなければなりません。機能がこれだけであれば特筆すべき点は何もありませんが、林がさらに Linux.Darlloz を調べた結果、興味深い事実が判明しました。実際に活動が確認されたバージョンは、PC やサーバーで広く使われている Intel x86 系のチップアーキテクチャを採用したコンピュータのみに感染するように設計されていましたが、その後、そのワームと同じサーバー上で、ARM、PPC、MIPS、MIPSEL の各チップアーキテクチャ用に設計されたバージョンがホストされていることが確認されました。これらのアーキテクチャのほとんどは、ホームルーター、セットトップボックス、防犯カメラといったデバイスや産業用制御システムで利用されています。つまり、攻撃者はいつでも、これらのデバイスに対する攻撃を開始できる状態だったことになります。

このワームの機能で注目に値するのが、Linux.Aidra という他の Linux ワームが存在しないかスキャンすることです。このワームに関連付けられているファイルが見つかると、Linux.Darlloz はそれらを削除しようとします。また、Linux.Aidra が使う通信ポートも遮断しようとします。他のワームを削除している背景に利他的な動機はありません。おそらく Linux.Darlloz を操る攻撃者は、Linux.Aidra に感染するようなデバイスはメモリも処理能力も制限されていることを知っており、そうしたリソースを他のマルウェアに使われたくはないと考えたのでしょう。

Linux.Darlloz が駆逐しようとしている Linux.Aidra 自体も、同じ新世代を代表する脅威です。シマンテックが発見した Darlloz の一部の亜種と同様に、Linux.Aidra は小型デバイス、具体的にはケーブルモデムや DSL モデムを標的にします。Linux.Aidra が小型デバイスをボットネットに追加すると、攻撃者はそれを利用して分散サービス拒否(DDoS)攻撃を実行できます。Darlloz の作成者が誰であれ、すでに感染が広がっている Aidra が Darlloz にとって脅威になる可能性があると判断したことは明らかです。

この手の脅威で特に懸念されるのは、デバイスで稼働しているオペレーティングシステムに対しても攻撃の恐れがあるという事実に、多くのエンドユーザーがまったく気付いていないことです。これは、ソフトウェアがデバイス上では目に見えないことがほとんどだからです。製造元によっては更新版が提供されないという別の問題もあります。これは、新しいバージョンのソフトウェアを実行できないなど、旧式の技術やハードウェアの制限が原因です。

脆弱な防犯カメラ

Linux.Darlloz も、モノのインターネットを取り巻くセキュリティ上の新たな脅威が際立った一連の事案のうち、最新の一例にすぎません。今年に入ってすぐ、米国連邦取引委員会は TRENDnet 社に対する訴えを和解で解決しました。同社は、インターネット対応の防犯カメラとベビーモニターを製造しているメーカーです。TRENDnet 社は安全性を謳って製品を販売していましたが、「実際には、同社のカメラはソフトウェアに問題があったため、カメラのインターネットアドレスさえわかればオンラインで自由な閲覧と、場合によっては傍聴も可能な状態だった。そのような欠陥があるため、数百人もの消費者のプライベートなカメラ映像がインターネット上で公開されるに至った」と FTC は指摘しています。

2012 年 1 月にあるブロガーがこの欠陥を公表したところ、700 台近いカメラのライブ映像のリンクが公開されてしまいました。「映像には、ベビーベッドで眠っている乳児や遊んでいる子どもの姿だけでなく、大人の日常生活まで写っていた」と FTC は述べています。FTC との調停の一環として、TRENDnet 社はデバイスのセキュリティ強化を余儀なくされ、今後の販促資料でセキュリティについて誤解がないよう図る旨を確約しました。

TRENDnet 社の事案で特筆すべきなのは、標的となったデバイスが何のマルウェアにも感染していなかったという点です。セキュリティ設定が原因で、方法さえわかれば誰でもアクセスできる状態になっていただけです。しかも、事案はこれだけで終わってはいません。今では、インターネット対応のさまざまなデバイスを検索できる SHODAN という検索エンジンまで登場しています。

SHODAN が検索するのは、Web サイトではなくモノです。防犯カメラなどの家庭用デバイスだけでなく、ビルの暖房制御システム、水処理プラント、自動車、信号、胎児の心音モニター、発電所の制御系まで検索することができます。SHODAN で検索できたからといって、必ずしもそのデバイスが脆弱であるとは限りませんが、このようなサービスがあれば、攻撃者は脆弱性の存在をつかんでいるデバイスをさらに容易に発見できるようになります。

あらゆるモノがつながる世界

懸念されるのは、セキュリティ上の脆弱性だけではありません。インターネット対応のテレビは今やごく一般的であり、ストリーミングビデオサービスや Web ブラウザなど便利な付加機能が豊富に用意されています。電子機器メーカーの LG 社は最近、同社のテレビのうち一部のモデルがユーザーの視聴状況を追跡し、集計データを同社に送信していることを認めました。LG 社は、ユーザーに提供する広告をカスタマイズすることが目的であると説明しましたが、この機能がオフになっていてもデータが収集され続けたことについては、システムに問題があったためとしています。同社によると、この問題を修正するファームウェア更新は現在準備中です。

Internet of Things 1.png

図 1. 全世界のインターネット対応デバイスの増加予測(出典: Cisco 社)

モノのインターネットは、依然として黎明期にありますが、インターネット対応のデバイスは爆発的に増えつつあります。Cisco 社によれば、地球上には現在 100 億台を超えるインターネット対応デバイスが存在しています。世界の人口は 70 億を少し超えたところなので、今や人間の数よりインターネット対応デバイスのほうが多いということです。インターネット対応デバイスの数を記録してきた Cisco 社は、その数が 2020 年までに 500 億に達すると予測しています。注目すべきは、その増加のうちほぼ半数が、予測期間の最後の 3 年間に集中していることです。

これまでにも、さまざまな種類のインターネット対応デバイスが登場しています。たとえば、ただのサーモスタットでさえ今では Web 対応です。電球も同様で、スマートフォンで照明を調節できるようになりました。自動車業界もこの動向に大きく注目しており、リアルタイム情報のストリームを受信できるインターネット対応車の開発を確約しています

これほどの爆発的な増加をもたらしている要因は何でしょうか。簡単に言うと、インターネット上に「余裕」が生まれ、デバイスの製造原価が下がり続けていることです。インターネットに接続されるどのデバイスも、他のデバイスと通信するためにはアドレスが必要です。これが、いわゆるインターネットプロトコル(IP)アドレスです。現行の IP アドレスシステムである IPv4(Internet Protocol Version 4)で使用できるアドレスはほぼ枯渇しており、現在は新しい IPv6 の採用が進んでいるところです。IPv6 では IP アドレスの数が膨大になり、地球上の 1 人 1 人に何十億もの IP アドレスを割り当てることができます。

その他の規格も進化が進んでいます。たとえば、無線通信の Bluetooth 規格を管理している業界団体は最近、Bluetooth の最新版を発表しました。同団体によれば、Bluetooth はモノのインターネットの発展も考慮に入れて進化しています。新しい Bluetooth 規格では、環境がますます輻輳する中でデバイス間の検出と通信が今より容易になるとされています。また、Bluetooth 対応のデバイスが IPv6 規格のインターネットにリンクするのも簡単になります。

このようにネットワーク空間が広がるとともに、インターネット対応デバイスの製造も容易になりつつあります。広く知られているとおり、ムーアの法則によればプロセッサの処理能力は 2 年ごとに 2 倍になります。必然的に、処理能力の低いチップは製造原価が常に安くなっていきます。Wi-Fi チップセットなど他の技術も、ここ数年で価格が大幅に下がっています。こうした要因がすべて重なり合った結果、インターネット対応デバイスの製造は容易に、しかも安価になっているのです。

安全のために

  • 所有しているデバイスの点検を実施してください。デバイスに画面やキーボードがないからといって、攻撃に対して脆弱でないとは言えません。
  • 所有しているデバイスがホームネットワークに接続されている場合には、インターネットを介してアクセスできる可能性があり、保護することが必要です。
  • デバイスを購入したときには、そのセキュリティ設定に注意を払ってください。リモートアクセスが可能であれば、必要でない限り無効にします。デフォルトのパスワードは自分しか知らないパスワードに変更し、「123456」や「password」といった誰でも簡単に推測できるパスワードは使わないでください。文字、数字、記号を組み合わせて長くすれば、パスワードの強度が上がります。
  • 製造元の Web サイトを定期的にチェックして、デバイスのソフトウェアの更新版がないかどうか確認してください。セキュリティ上の脆弱性が見つかった場合、通常は、脆弱性を解決する新しいソフトウェア更新が製造元から公開されます。

多くのデバイスはホームネットワークにつながっており、そのホームネットワークはインターネットにつながっています。ルーターやモデムは、デバイスと外の世界との間に置かれるデバイスであり、保護することが特に重要です。通常はファイアウォール機能が付随しているので、機能を有効にして適切に設定するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????: ?????????????????

      No Comments on ???????????????: ?????????????????

スパマーにとって、成功を収めるには 2 つの要因があります。

  1. スパムメッセージがスパムフィルタをすり抜けて、相手の受信ボックスに届くこと
  2. 受信者が思わず開封し、コールトゥアクション(リンクをクリックする、添付ファイルを開く、など)を実行したくなるようなメッセージを作成すること

スパマーは、巧妙なバランスでこの 2 つを両立させます。どちらか一方に偏ってもう一方を軽視すれば、スパム攻撃は失敗してしまうからです。たとえば、件名も本文もランダムなものにすればスパムフィルタをすり抜けることは可能ですが、それではどんなに不用心なユーザーにも露骨なスパムとして無視されてしまいます。逆に、際立って魅力的なメッセージを作成すれば電子メールの開封率は上がりますが、大部分のメッセージはスパムフィルタによって遮断されてしまいます。スパマーにもそれなりに厄介な課題があるということです。

そうした課題に対処するために、スパマーは今まで以上にコンテンツの真意をユーザーから隠そうとしています。定番の各種医薬品を件名に挙げて(もっと露骨な場合もあるかもしれません)オンラインの医薬品販売サイトにアクセスさせようとするスパム攻撃は今でも後を絶ちませんが、スパムらしからぬ説得力のあるコンテンツを利用した高度なスパム攻撃も増えてきています。頻繁に使われているのが、有名人や重要人物の死亡記事、あるいは天災のような最新のニュースや事件を利用する手口です。スパムメッセージは、報道機関から送信された正規の電子メールを装い、最新のニュース記事を掲載していますが、実際にはスパム Web サイトにリンクしています。このようなスパム戦略は、マルウェアを拡散するスパムメッセージで一般的です。

コールトゥアクションが実行される確率を上げるうえでは、スパム専用のドメインを登録するのが効果的ではないことにスパマーも気付いています。特定のドメインは、スパム対策ソフトウェアによって簡単に遮断されてしまうからです。スパム対策機能に対抗するために最近スパマーの間で広まっているのが、乗っ取った URL(所有者には知られずにスパムコンテンツをホストしているだけで本来は正規のサーバー)を利用する手法や、コールトゥアクションのリンク先を不明瞭化する短縮 URL を利用する手法です。

メッセージの配信率と電子メールの開封率をどちらも増やすために、スパマーがスパムのコンテンツを変更し、状況に対応してきた 6 週間の変遷の実例を見てみましょう。

この変遷の最初は、有名な音声メールサービスのブランドを詐称するメッセージでした。

Case Study 1.png

図 1. 悪質なスパムメッセージ

[Play](再生)ボタンをクリックすると、以下の URL に移動します。

http://[ドメイン]/message/i9X8PSVcFk0n0QqhGNTJmh8e3/XSunSgPKMsrzQ7Y7s=/play

実際には、音声メールが再生されるどころか、マルウェアがコンピュータにダウンロードされます。

12 月 19 日になると、スパマーはコンテンツの形式として音声メールをやめて、大手小売業者を騙った偽の配達不能通知に切り替えました。これが同一犯による攻撃であると判明したのは、メッセージにいくつかの手掛かり(同種の URL 乗っ取りが使われていたことなど)があったからですが、特に目立ったのはスパマーが犯した失敗でした。最初のサンプルと同じヘッダーを使ってしまったため、件名は音声メールの送信エラーとなっていながら、メッセージ本文には小売業者からの配達不能通知と書かれていたのです。

Case Study 2.png

図 2. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが発覚

この間違いにはスパマーの側もすぐに気付いたようで、コンテンツはたちまち修正されました(4 分後、またはもっと短時間で)。

Case Study 3.png

図 3. 修正後のスパムメールの件名

この一連のスパム攻撃では、ほかにも 2 つの小売業者が詐称されています。メッセージの構成は変わりませんが、コールトゥアクションのリンク先として、ディレクトリパスを変えながらさまざまな URL が乗っ取られ、悪用されています。このスパム攻撃は、ディレクトリの第 1 階層を次々と変えることでスパムコンテンツを秘匿していましたが、最終的には一定期間で使われたディレクトリの数は限られています。

Case Study 4.png

図 4. スパマーが利用している複数のコンテンツディレクトリ名の変遷

このスパマーは、同時に複数のディレクトリパスでスパムを拡散するのではなく、あるひとつの特定のディレクトリパスをしばらく使ってから次のディレクトリパスに移るという特徴があります。

次に変化が見られたのは 1 月 7 日、ホリデーシーズンが終わってショッピング熱も収まってきた頃です。スパマーは、大手小売業者からの配達不能通知をやめて、今度は大手電力会社を詐称する手口に切り替えました。

Case Study 5.png

図 5. 詐称する相手が小売業者から電力会社に変わったスパム攻撃

スパマーはまたしても、電子メールの件名で同じミスを犯します。件名では小売業者を騙りながら、メッセージ本文には電力会社からの通知を載せてしまったのです。

Case Study 6.png

図 6. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが再び発覚

お粗末な失敗ですが、今回も件名はすぐに修正されました。

Case Study 7.png

図 7. 修正後のスパムメールの件名

スパムコンテンツとして、このスパマーが電力会社を選んだのはなぜでしょうか。クリスマスシーズンで電気料金が相当かさんでしまったかもしれないという消費者の不安を煽って、スパムメッセージから誘導されるクリック数を増やそうとしたのかもしれません。スパムメッセージにはかなり大きな請求額が記載されているため、受信したユーザーは関心を持たざるをえません。そうなればスパムとしてはもう成功したも同然です。

小売業者に偽装したスパムは 1 月 12 日に急増していますが、これは電力会社に偽装したスパムに移行してからしばらく経ってからのことです。このときのメッセージは、全体的にそれまでの攻撃と同じ構成を維持しながら、クリスマスシーズンに関する言及はなくなっていました。

Case Study 8.png

図 8. クリスマス後の配達不能通知スパム

上記の例から明らかなように、スパマーは常にスパムフィルタの検出をすり抜けようと試みています。また、信憑性を持たせるためにスパムの文面が正規のコンテンツであるという偽装も忘れません。今回の場合は、リンクをクリックすると .zip ファイルがダウンロードされ、そこに Trojan.Fakeavlock というマルウェアが含まれています。

日常生活でオンラインへの依存度が高くなるほど、スパマーがスパムメッセージでクリックを誘う手口も多様化します。今回と同様のスパム戦略も続くでしょう。残念ながら、Web を利用するときにはスパムに対する厳重な警戒を今後も続けなければならないということです。こうした攻撃から保護するために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策のシグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。