Tag Archives: Security Response

????????????????

Hacker Medic October 2, 2013 No Comments

PC の「P」は「パーソナル」の意味です。今ではもうそれをあまり意識しなくなりましたが、IBM が PC を発表した 1981 年当時には、それは大変なことでした。机の上や足元に置くことができて、誰とも共有しない、完全に自分だけの 1 台だったのです。

そうなるはずでした。

率直に言って、私たちが PC との間に本当に「パーソナル」な関係を築いたかどうかは疑問です。しかし、スマートフォンとは文字どおりパーソナルな関係が成立しています。実際、「2013 Norton Report（2013 年版ノートンレポート）」（英語）によれば、48% のユーザーが、寝るときに手の届くところにスマートフォンを置いています。25% のユーザーが、友人との食事中でもスマートフォンを確認しています。そして、スマートフォンを忘れて出掛けてしまうと落ち着かないという人も 49% にのぼります。

PC を必ず枕もとに置いて寝るという人はまずいませんが、スマートフォンユーザーはデバイスをまるで愛する人のように扱います。それは、PC のセキュリティリスクを知り尽くしている賢明なユーザーが、PC での教訓をスマートフォンに置き換えて考えていないからかもしれません。ノートンレポートによれば、ユーザーは PC に対するサイバー犯罪のリスクを理解しており、PC 上で自分を保護するための基本的なセキュリティ対策（ベストプラクティス）にも従っています。ところが、ハンドバッグやポケットに入れている、あるいは枕もとに置いているデバイスについては、月面に宇宙船を着陸させるのに要するよりも高度な処理能力を持ち、PC よりはるかに高機能であるにもかかわらず、ユーザーは基本的なセキュリティ対策すら実施していません。半数近くの人は、パスワードやセキュリティソフトウェア、ファイルのバックアップといった基本的な保護対策も講じていないのです。

モバイルデバイスの悪用は、攻撃者にとっては見逃せない絶好のチャンスです。攻撃者はこれまで何十年もの間、お金儲けのために PC を攻撃してきました。いち早く PC を使っている人の多さに気が付き、後はただ攻撃の方法を考えるだけでお金が転がり込んできたのです。それと同じ状況がモバイルデバイスにも生まれています。しかも、PC ユーザーに対する長年の攻撃から教訓を得ているので、攻撃者はその経験も活かしてモバイルに移行しています。ノートンレポートによれば、38% のスマートフォンユーザーがすでに何らかのサイバー犯罪をデバイス上で経験しています。

モバイルデバイスに対する攻撃は、かつての PC に対する攻撃ほどまだ激しくはありませんが、そうなるのも時間の問題です。片時も手元から離さないほどパーソナルな存在である以上、モバイルデバイスは、しかるべき保護対策を実施するに値する存在であることをすべての人が認識する必要があります。

これは、本年度のノートンレポートで報告されている興味深い内容の一部に過ぎません。詳しくは、こちらをクリックしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ZeroAccess ?????????

Hacker Medic October 2, 2013 No Comments

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール（C&C）通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉

今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。

こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。

ZeroAccess: ペイロード配信機能

その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、（攻撃者の視点に立つと）生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。

クリック詐欺

シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック（PPC）によるアフィリエイト方式の支払い対象になります。

Bitcoin マイニング

仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。

ZeroAccess の経済的側面

好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。

テストコンピュータの仕様:

モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB（最大 TDP 95W）

測定された消費電力/時間: 136.25 W（マイニング中）

測定された消費電力/時間: 60.41 W（アイドル時）

MHash/秒: 1.5

Bitcoin については以下の条件を想定:

Bitcoin/米ドル交換レート: 131

Bitcoin 難易度係数: 86933017.7712

Bitcoin マイニング

Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。

クリック詐欺

クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした（1 日当たり 1,008 件）。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。

こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。

電力コスト

ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。

マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日

アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日

差異: 1.82 KWh/日

これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。

KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh（3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります）にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力（2,484 MW、1 日当たりの電気料金 560,887 ドル）よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。

P2P ボットネットの停止は困難だが不可能ではない

今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。

その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。

詳細情報

シマンテックのロス・ギブ（Ross Gibb）とヴィクラム・タクール（Vikram Thakur）が、2013 年 10 月 2 日から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。

ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。

Does My Smartphone Count as Extended Family?

Hacker Medic October 1, 2013 No Comments

The P in PC stands for personal. We don’t think of that much anymore. It was a big deal in 1981 when IBM introduced the PC and it sat on your desk or underneath it. You didn’t share it with anyone. It was personally yours.
Kinda.
Frank…

.avi ? .mp3 ???????????????

Hacker Medic October 1, 2013 No Comments

ランダムな YouTube リンクを電子メールの本文に記載し、その URL で .avi または .mp3 の拡張子を使って YouTube を悪用する、新しいスパムの手口が確認されています。以前に「YouTube を騙る医薬品スパマー」というブログでお伝えしたように、医薬品業界もこのスパムの標的になっています。

今回の新しいスパムでリンクをクリックすると、偽の医薬品販売サイトにリダイレクトされます。シマンテックが調べたスパムサンプルからは、.avi と .mp3 の拡張子を使った以下のような URL が確認されています。

http://www.[削除済み].com/Fox.avi

http://www.[削除済み].com/Yamamoto.avi

http://www.[削除済み].vn/Larue.avi

http://www.[削除済み].com/McAlear.avi

http://www.[削除済み].ru/87342.mp3

http://www.[削除済み].ru/327182.mp3

http://www.[削除済み].fr/472738.mp3

http://www.[削除済み].com/165137.mp3

図 1: .avi 拡張子を使ったスパムメール

図 2: .mp3 拡張子を使ったスパムメール

図 3: 偽の医薬品販売サイト

今回のスパム攻撃で使われている件名の例を以下に示します。

件名: Here Comes the Sun 1969（ヒア・カムズ・ザ・サン、1969 年）
件名: Soldier of Love (Lay Down Your Arms) 1963（ソルジャー・オブ・ラヴ（レイ・ダウン・ユア・アームズ）、1963 年）
件名: For No One 1966（フォー・ノー・ワン、1966 年）
件名: Misery 1963（ミズリー、1963 年）
件名: Lucy in the Sky with Diamonds 1967（ルーシー・イン・ザ・スカイ・ウィズ・ダイアモンズ、1967 年）
件名: From Me to You 1963（フロム・ミー・トゥ・ユー、1963 年）
件名: Look! I found this!（ほら、見つけたよ!）

ドメインはヨーロッパで登録されたもので、サーバーの所在地はウクライナでした。スパム攻撃の YouTube リンクでこのような拡張子を使っているのは、フィルタをすり抜けたうえで、拡張子が表す種類のファイルが開くものと期待させてユーザーを欺くためです。

迷惑メールや心当たりのない電子メールには注意し、ウイルス対策のシグネチャを定期的に更新して個人情報が漏えいしないように保護することをお勧めします。シマンテックでは、最新の脅威に関する情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。

Use of .avi & .mp3 Extension Leads to Pharmacy Spam

Hacker Medic September 30, 2013 No Comments

Symantec has observed a new spam tactic targeting YouTube using .avi and .mp3 extensions in URLs by placing a random YouTube link in the email content. This spam threat is also targeting the pharmaceutical industry, as we have previously observed in th…

Grappling with the ZeroAccess Botnet

Hacker Medic September 30, 2013 No Comments

The ZeroAccess botnet is one of the largest known botnets in existence today with a population upwards of 1.9 million computers, on any given day, as observed by Symantec in August 2013. A key feature of the ZeroAccess botnet is its use of a peer-to-pe…

Seguidores de ‘Breaking Bad’ son Blanco de Spam en Twitter

Hacker Medic September 26, 2013 No Comments

Constantemente los spammers buscan diferentes formas de llamar la atención y llegar a los usuarios de Twitter. En esta ocasión, aprovechándose del gran interés y la creciente expectativa creada alrededor de la serie ‘B…

Craigslist ????? SMS ?????

Hacker Medic September 25, 2013 No Comments

Craigslist はこれまでも常に、詐欺師が好んでソーシャルエンジニアリングに使う題材でしたが、シマンテックは同サイトの人気を悪用する新たな SMS スパム活動が発生していることを確認しています。この詐欺は、Craigslist の広告に掲載されている電話番号を悪用して、ユーザーを欺いて無償で正規のオープンソースソフトウェアをコンピュータにインストールさせます。このソフトウェアには別のソフトウェアもバンドルされており、詐欺師はこれを利用してアフィリエイトプログラムによって金銭を獲得します。

図. SMS スパムによってリダイレクトされたユーザーがオープンソースソフトウェアをダウンロードさせられる仕組み

この詐欺の第 1 段階では、被害者のデバイスに SMS のテキストメッセージが送信されます。オンラインの調査によると、詐欺師は Craigslist サイトの投稿から電話番号を直接収集し、この詐欺行為に利用しているようです。電話番号の収集を自動化できるスパムツールや収集ツールはアンダーグラウンドのフォーラムで販売されており、珍しいものではありません。

SMS に記載されているリンクをたどると、「Device not compatible. Please view from a desktop or laptop computer.（デバイスが対応していません。デスクトップまたはラップトップコンピュータで閲覧してください）」という情報が表示されます。指示されたとおりに PC からリンク先にアクセスすると、正規のオープンソースソフトウェアである GIMP Viewer をインストールする必要があると説明されます。GIMP をインストールしようとしても、GIMP の公式 Web サイトには移動しません。代わりに別の Web サイトに移動しますが、そこで提供されている GIMP のインストールでは、別のいくつかのソフトウェアと一緒にインストールするオプションが付いています。こういった別のソフトウェアがインストールされると、詐欺師はアフィリエイトの手数料として金銭を獲得できるのです。

今回の詐欺では、ユーザーを欺いて不要なソフトウェアをコンピュータにインストールさせて、アフィリエイトプログラムプログラムを悪用しているだけですが、詐欺師はいつでも手口を変える可能性があり、被害者を騙してマルウェアをインストールさせようとするかもしれません。

このような詐欺の被害に遭わないように、迷惑 SMS メッセージを受信した場合には注意してください。また、信頼できる公式のサイト以外からソフトウェアをダウンロードしたりインストールしたりすることは避けてください。どのようなデバイスにも、ノートンモバイルセキュリティやノートンアンチウイルスといった、モバイル用のセキュリティアプリや PC 用のウイルス対策ソフトウェアをインストールすることをお勧めします。

Craigslist SMS Spam Scam, with a Twist

Hacker Medic September 24, 2013 No Comments

While Craigslist has always been a favorite social engineering theme for scammers, Symantec has identified another on-going SMS spam campaign abusing Craigslist’s popularity. The scam tricks users into installing free and legitimate open source software on their PC by leveraging phone numbers posted on Craigslist ads. The software comes bundled with additional software that will allow scammers to make money through affiliate programs.

Figure. How the SMS spam redirects users to download open source software

The first stage of the scam involves the victim receiving an SMS text message on their device. Online research suggests that the scammers are harvesting phone numbers directly from online Craigslist postings for this scam campaign. The sale of spamming and harvesting tools, which automate the harvest of phone numbers, is common on underground forums.

When a user follows the link provided in the SMS sent to them they are informed: “Device not compatible. Please view from a desktop or laptop computer.” If a user then navigates to the link from their PC, they are informed that they need to install the GIMP Viewer legitimate open source software). Attempting to install GIMP does not take the user to the official GIMP website, but instead to a different website offering to install GIMP with the option to install several other pieces of software. If the additional software is installed, the scammers make money from affiliate commissions.

In this scam users are being tricked into installing unwanted software onto their computers and affiliate programs are being abused by scammers. The scammers could also easily switch tactics and trick victims into installing malware on their computers.

To avoid being a victim of this and other scams, be cautious when receiving any unsolicited SMS text messages and avoid downloading and installing any type of software unless it comes from an official and reputable site. Symantec also recommends users everywhere install a mobile security app and desktop antivirus protection, such as Norton Mobile Security and Norton antivirus.

??????????????????? Twitter ??????

Hacker Medic September 24, 2013 No Comments

AMC の人気テレビドラマ『ブレイキング・バッド』のファンは、シリーズ最高の評価を得たエピソードの放映直後から、同作についてツイートすると新たな手口の Twitter スパムに狙われるようになっているようです。

これまで何年間も、スパマーや詐欺師は Twitter の返信機能を悪用してきましたが、今度は Twitter ユーザーの注目を引く新しい方法を探してきました。現在使われている最も新しい手口は、リストスパムと呼ばれるものです。

Twitter のリストは、Twitter ユーザーが集約されたグループで構成され、ユーザーは自分でリストを作成したり、他のユーザーが作成した既存のリストを購読したりできます。スパマーは、この機能を利用して Twitter ユーザーの注意を引き付けようとしているのです。

最近の Twitter リストスパムでは、有名人の電話番号から無料のギフトカード、デバイス、テレビゲームまで、さまざまなワナが使われています。

図 1. 『ブレイキング・バッド』を悪用する Twitter スパムアカウント

この週末には、『ブレイキング・バッド』の今シーズン最終話直前のエピソードである「Granite State」が放映されます。『ブレイキング・バッド』は非常に好評で、筆者のようなファンは放送日である日曜日を指折り数えて待っています。スパマーはその人気に便乗し、ユーザーを欺いて次回エピソードの海賊版コピーをダウンロードさせようと試みます。

図 2. 『ブレイキング・バッド』スパムで使われている Twitter リスト

Twitter リストスパムは、すでに多数のユーザーが登録されているリストに登録されるところから始まります。このタイプのスパムでは、リスト作成者のページにアクセスしてスパムリンクを閲覧する必要がありますが、今回はリストの説明文中に URL が示されています。

図 3. Pastebin にファイルホスティングサービスへのリンクが記載されている

その URL は Pastebin にリンクしており、そこに別のファイルホスティングサービスへの URL が記載されていてエピソードをダウンロードできるようになっています。

図 4. 『ブレイキング・バッド』のエピソードがアップロードされているファイルホスティングサービス

このファイルホスティングサービスに、ユーザーがダウンロードできる 280MB のファイルがあります。また、P2P ダウンロードを使ってエピソードを入手するための torrent ファイルをダウンロードするオプションも使えます。

図 5. アーカイブに含まれているファイル

ダウンロードした Zip には、2 つのファイルが含まれています。「How To Open – READ FIRST.txt」という名前のテキストファイルと、サイズの大きいファイル（300MB 近い）です。

図 6. Readme テキストファイルに短縮 URL に記載されている

大きい方のファイルを開くために、ユーザーは最新バージョンの 7-Zip をダウンロードするように指示されます。そのリンクからは、アフィリエイトプログラムを通じてサイトに誘導されます。詐欺師が金銭を獲得する仕組みは、これだったのです。アフィリエイトプログラムは、他のアプリケーションにバンドルされているインストーラにユーザーを誘導しますが、ユーザーはそのアプリケーションをインストールしない選択もできます。

図 7. 『ブレイキング・バッド』シーズン 5、エピソード 12

最終的にこのファイルのインストールは必要ありません。ビデオファイルは他のメディアプレイヤーでも再生できるからです。また、結局ダウンロードされるのは、このシーズンの前半のエピソードですが、これも特に驚くことではありません。

図 8. Twitter 社にスパムアカウントを報告

Twitter リストスパムは新しいトレンドですが、急速に広まりつつあります。自分が Twitter リストに追加されていることがわかった場合には、そのリストを所有しているユーザーを報告すれば、リストから自分を削除することができます。