Tag Archives: Security Response

Opera ???????: ????????????????

      No Comments on Opera ???????: ????????????????

2013 年 6 月 26 日、Opera ブラウザの開発元である Opera 社は、同社が不正侵入を受けたと発表しました。原因は同社のインフラストラクチャに対する標的型攻撃でしたが、これは普通の標的型攻撃とは異なっていました。今回使われた攻撃は知的財産を盗み出そうとするものではなく、Opera の自動更新機能を利用して、一般的には金融機関を狙うトロイの木馬に関連付けられるマルウェアを拡散しようとするものだったからです。

Opera 社のネットワークへの不正侵入があったのは 2013 年 6 月 19 日頃のことで、まず同社の失効したコードサイニング証明書が盗まれてマルウェアの署名に使われました。署名されたマルウェアは Opera の自動更新機能を介して拡散できるため、ユーザーはブラウザ更新の一部としてマルウェアを受信することになります。問題のマルウェアは Downloader.Ponik というダウンローダ型のトロイの木馬であり、金融機関を狙うトロイの木馬や Infostealer といったサイバー犯罪に関係するマルウェアの拡散に利用されるのが一般的です。

Opera 社は今回の発表の中で、01:00 から 01:36 の間に数千人のユーザーがマルウェアを自動受信した恐れがあると推測しています。同社はすでに不正侵入を特定しており、それ以上のマルウェアの拡散は食い止めることに成功しました。攻撃の時間が短かったため、成功した件数は限られていました。Opera 社のネットワークにもっと長時間アクセスできていたら、はたして成功率は上がっていたでしょうか。

Opera 社のサーバーに、攻撃者がもっと長時間アクセスしていたら、マルウェアの拡散はもっと多くのユーザーに広がっていたはずですが、そのような攻撃は非常に目立ち、セキュリティ企業の関心もひくため、すぐに保護対策がとられ、コマンド & コントロール(C&C)サーバーを停止するために協力態勢がとられることでしょう。こうしたことすべてが、マルウェアを確実に無効化します。これで思い出されるのは Conficker です。数百万のコンピュータに拡散した脅威で、2009 年 4 月 1 日にはペイロードを実行することになっていましたが、そのときまでには、セキュリティ各社とホスティングプロバイダが協力して、C&C サーバーを管理下に置くことができたというケースです。この脅威は厳密に監視されたため、攻撃者は起動する隙がありませんでした。

積極的な拡散の手段に出ようとすると、攻撃者は拡散の成功に足をすくわれることになります。今のところ今回の攻撃は無効化されていますが、ブラウザを更新し、今後の攻撃に対しても事前対応的に備えることを Opera 社は推奨しています。シマンテックは、今回の Downloader.Ponik に対する保護対策を提供していますが、影響を受けた恐れのあるユーザーはパスワードをリセットすることもお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????????????

      No Comments on ???????????????????????????????

寄稿: Avdhoot Patil

以前からお伝えしているように、フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例は後を絶ちません。フィッシングサイトで偽のソーシャルネットワークアプリケーションが使われるのも、今では当たり前になってきました。フィッシング詐欺師は、重要な情報を収集する目的で新しい偽アプリケーションを次々と作り出しています。

過去 6 カ月間で見ると、ソーシャルメディアサイトでのフィッシング攻撃は、フィッシング活動全体のうちで 6.9% を占めました。ソーシャルメディアを標的としたフィッシングサイトのうち 0.9% は、アダルトビデオやビデオチャット、アダルト用チャット、携帯電話の無料通話といった機能を謳う偽アプリケーションでした。

2013 年 5 月、Facebook ファンページを保護し、ひいてはユーザープロフィールの「ソーシャル上のセキュリティ」を強化すると称する偽のセキュリティアプリケーションがフィッシングサイトに登場しました。Facebook ファンページは公開プロフィールとして重要な意味を持ち、有名人や企業が利用するほか、Facebook をよく使うユーザーがファンページやコミュニティページを作成するときにも使われます。有名人や企業は、Facebook ファンページを使って訪問者を増やし、世界中の人とつながることができます。このフィッシングサイトは、米国カリフォルニア州のサンフランシスコにあるサーバーをホストとして利用していました。

Figure1.jpg

図 1. ログイン情報の入力を求めるフィッシングサイト

図 1 のように、フィッシングページには「Ensuring Social Security(ソーシャル上のセキュリティを強化)」というタイトルが付けられています。ページに書かれたメッセージによれば、これはファンページの検証プロセスの一環であり、ソーシャル上のセキュリティを強化する新しい機能です。また、このプロセスは必須であり、「2013 年 5 月 30 日まで利用可能」としたうえで、この期日までに検証されないファンページはすべて完全に閉鎖されると警告します。フィッシングページの中央には、「New Facebook Guidelines(Facebook の新しいガイドライン)」と称したログインフォームが表示されます。ログオンフォームには、以下のフィールドがあります。

  • Fan Page Name(ファンページ名)
  • Email Address(電子メールアドレス)
  • Password(パスワード)
  • Security Code(セキュリティコード)
  • Confirm Security Code(セキュリティコードの確認)

ログインフォームにはセキュリティコードについての説明もあり、10 桁の数字を入力し、かつ紙にも書きとめておくようにという指示があります。セキュリティコードは非常に重要であり、管理権限を委譲する場合や、新しい管理者または運営者を追加する場合に必要になるというのがその理由とされています。ログイン情報を入力して[Submit]ボタンをクリックすると、「Thank You. Your Fan Page is being verified and we will notify you within 48 hours when the process is completed.(ありがとうございます。ファンページは検証中です。処理が終わったら、48 時間以内にご連絡いたします)」という確認メッセージが表示されます。

Figure2_0.jpg

図 2. フィッシングサイトの確認メッセージ

言うまでもなく、ユーザーを欺くことがこのサイトの目的であり、ソーシャルネットワークサイトのログイン情報を入力すればアカウントが保護されると思い込ませることが狙いです。実際には、保護されるどころではありません。ログイン情報を入力すると確認メッセージが表示されますが、その裏ではユーザーのアカウント情報がフィッシングサイトに送信されてしまうからです。

このフィッシングサイトは SSL で保護されていました。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Opera Breach – When Cybercriminals take on Targeted Attacks

      No Comments on Opera Breach – When Cybercriminals take on Targeted Attacks

On June 26 2013, browser manufacturer Opera announced that they had been breached as a result of a targeted attack against their infrastructure. However, this was no ordinary targeted attack. The attackers in this case weren’t looking to steal intellectual property. They wanted to use Opera’s auto-update mechanism in order to propagate a piece of malware normally associated with financial Trojans.

When attackers breached the Opera network sometime around June 19 2013, they first stole an expired Opera code signing certificate to sign a piece of malware. Signing the malware allowed them to distribute it via Opera’s auto-update mechanism. Users would receive the malware as part of a browser update. The malware in question is Downloader.Ponik, a downloader Trojan typically used to propagate cybercrime-related malware, such as financial Trojans and infostealers.

Opera, in their statement, estimates that a few thousand users may have automatically received the malware sometime between 01:00 and 01:36. Opera spotted the breach and were able to halt any further propagation of the malware. As the attackers only had a small window in which to operate they had limited success. Had they had more prolonged access to the Opera network they would have been much more successful. Or would they?

Had the attackers had access to the Opera servers for a longer period they would have been able to propagate their malware to a much larger number of users. However, such an attack would be very noisy, drawing the attention of security companies who would quickly provide protection and lead a concerted effort to take down command-and-control (C&C) servers. All of this would render the malware effectively useless. This is reminiscent of Conficker, a threat which spread to millions of computers and was due to trigger a payload on April 1, 2009. However, by that time, security organizations and hosting providers had worked together to take control of the C&C servers. The threat was being so closely monitored that the attackers were unable to leverage it.

When attackers try aggressive propagation methods they become victims of their own success. For now this attack has been neutralized. Opera recommends that users update their browsers as proactive measure against further attacks. Symantec provides protection for this as Downloader.Ponik. We also recommend that users who think they may have been affected reset their passwords.

??????????????? Wiper

      No Comments on ??????????????? Wiper

「DarkSeoul」と名付けられたグループによって韓国の Web サイトに対して実行された先日の分散サービス拒否(DDoS)攻撃については、昨日詳しくご報告したばかりです。韓国に対する以前の攻撃も同一のグループによる犯行と特定されており、なかでも 2013 年 3 月の Jokra 攻撃は、韓国の銀行やテレビ局にある膨大な数のコンピュータでハードディスク上のデータが消去されるという破壊的な被害をもたらしました。これらの攻撃についてその後も調査を進めた結果、類似のデータ消去攻撃を仕掛けようとする新しい脅威が確認されました。シマンテックはこれを Trojan.Korhigh として検出します。

韓国に対するこれまでの攻撃でシマンテックが確認した Wiper と同様、Trojan.Korhigh は侵入先のコンピュータで体系的にファイルを削除し、マスターブートレコード(MBR)を上書きしてそのコンピュータを使用不能にするという機能を持っています。Trojan.Korhigh は、侵入先のコンピュータでユーザーのパスワードを「highanon2013」に変更する、あるいは以下のファイルタイプに関連して特定のデータ消去命令を実行する、といった機能を追加するためのいくつかのコマンドラインスイッチを受信します。

  • asp
  • aspx
  • avi
  • bmp
  • dll
  • do
  • exe
  • flv
  • gif
  • htm
  • html
  • jpeg
  • jpg
  • jsp
  • mp4
  • mpeg
  • mpg
  • nms
  • ocx
  • php
  • php3
  • png
  • sys
  • wmv

Trojan.Korhigh は、侵入の証拠としてコンピュータの壁紙を変更する場合もあります。現時点で、攻撃者の正体は特定できていません。
 

111.png

図. Trojan.Korhigh の壁紙
 

また、侵入先のコンピュータについてシステム情報(オペレーティングシステムのバージョン、コンピュータ名、現在の日付など)を収集し、以下の IP アドレスに送信しようとする場合もあります。

  • 112.217.190.218:8080
  • 210.127.39.29:80

シマンテックはこの脅威の解析を続けており、韓国に対する攻撃も引き続き監視しています。保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????

      No Comments on ?????????????????

ドイツの連邦情報セキュリティ庁(BSI)は、Fraunhofer SIT 社および ]init[ 社と共同で、Web サイトに使われている一般的なコンテンツ管理システム(CMS)のリスクに関する研究結果を発表しました。CMS は主に Web サイトの管理に使われており、テキストやその他のコンテンツを簡単に更新できるため、IT の専門家でなくても更新作業をこなすことができます。その反面、Web サーバーへのアクセスを試みようとする攻撃者から見れば、狙いやすい弱点であることも確かです。CMS を制御できれば、攻撃者は Web サイトを改ざんすることができます。これまでにも、パッチ適用されていない CMS の脆弱性によって多くの Web サイトが侵入を受け、コンテンツに悪質な iFrame を挿入されてドライブバイダウンロードのホストサイトとして悪用されてきました。たとえば、昨年出現した Lizamoon のケースでは、数十万の Web サイトが SQL インジェクション攻撃による侵入を受けました。

今回の研究では、Drupal、Joomla!、Plone、TYPO3、WordPress といったオープンソースのコンテンツ管理システムに焦点を当て、それらのシステムで公式に発表されている脆弱性について解析し件数を調べました。平均すると、特定されたすべての脆弱性のうち 75% が、アプリケーションのコアパッケージに追加でインストールされる拡張機能やアドオンモジュールに存在していました。管理者は、メインシステムをアップグレードするときにアドオンモジュールを更新することを忘れがちなため、脆弱性が残ったままになってしまいます。それでも、アドオンが重要な機能を提供する以上、ユーザーはアドオンモジュールの使用をやめないでしょう。たとえば、総当たりによるパスワード推測を防ぐ、遅延や CAPTCHA のような対策が実装されていない CMS もあります。こういった機能は拡張機能で追加することができ、インターネット上をスキャンして脆弱なパスワードを探している攻撃者に対する確実な防御策になります。

Fig1_0.png

図 1. CMS で脆弱性が存在する部分

脆弱性の内訳をタイプ別に見てみると(図 2)、最も一般的な脆弱性は、全体の 65% を占めるクロスサイトスクリプティング(XSS)であることがわかります。さらに、コード実行の脆弱性は平均で 41%、SQL インジェクションは平均で 34% と、どちらも少なくない比率を占めています。SQL インジェクションは、OWASP による上位 10 件の Web 脆弱性リストに何年間もランクインしており、その緩和対策についても情報が広く公開されています。

Fig2.png

図 2. 脆弱性のタイプ別の内訳

この研究の結論として、CMS はデフォルト設定のまま導入しないこと、新しいバージョンが公開されたときには必ずアップグレードすることが推奨されています。相手がいわゆるスクリプトキディ程度であれば、管理フォルダを変更するだけでも十分な対策になることがあります。システムスキャンで見つかる程度の簡単な標的しか狙われない可能性が高いため、システムへのアクセスを防ぐことができるからです。「隠蔽によるセキュリティ」では根本的な解決にはならないことは言うまでもありません。以上のことから、CMS を使う場合には CMS をパッチプロセスに組み入れ、対応するソフトウェアの脆弱性情報を購読することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Chrome ????????????????????

      No Comments on Chrome ????????????????????

Google 社は、Chrome ウェブストアに新しくアップロードされるアプリケーションと拡張機能に対してスキャンを実施するようになりました。Google Play では、すでに類似の機能が導入されています。

悪質な拡張機能にソーシャルネットワークユーザーが欺かれるケースについては、これまでにいくつも紹介してきました。自分のプロフィールに誰がアクセスしたかを確認できるなど、新しい機能をソーシャルネットワークに追加すると謳うのが典型的な手口です。すべてが公式の Chrome ウェブストアで公開されているわけではないので、Google 社の新しいプロセスでも、侵入を果たそうとする悪質な拡張機能をすべて遮断できるわけではありません。それでもなお、悪質な Chrome 拡張機能をできるだけ排除しようとする Google 社の取り組みをシマンテックは歓迎します。また、マルウェアを含む項目の検出率が上がるように自動システムを改善してきた姿勢も評価できます。

悪質なブラウザ拡張機能は、きわめて強力です。拡張機能をインストールしてアクセスを許可すると、ブラウザ内部から悪質なタスクを実行できます。それが、金融業界を狙うトロイの木馬、たとえば Zeus などによる MITB(Man-in-the-Browser)攻撃を引き起こす場合もあり、Web コンテンツを入れ替える、ログインフォームからパスワードを盗み出す、あるいはバックグラウンドでクリック詐欺を実行することも可能になります。現在、こうした悪質な拡張機能はソーシャルネットワーク詐欺としてごく一般的です。Firefox の拡張機能におけるマルウェアの危険性については 2009 年にホワイトペーパー(英語)を公開しましたが、同じ危険性が Chrome の拡張機能にも当てはまります。

Chrome1.jpg

図 1. 新機能を追加すると称する悪質なブラウザ拡張機能

ソーシャルメディアに出現する悪質な拡張機能に関連して、ソーシャルネットワークで無料を謳う商品を見かけたら、特にそれが人気の高い商品であるほど、十分に注意してください。ソーシャルネットワークで現在利用できない機能があるとしたら、利用できないそれなりの理由があるのです。発行元が不明なブラウザ拡張機能はインストールしないようにしてください。無料商品の提供や、未実装の機能の追加を謳っている場合は言うまでもなく、ソーシャルネットワークで盛んに宣伝されている場合には特に疑ってかかりましょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Disk Wiper Found in Korean Attacks

      No Comments on New Disk Wiper Found in Korean Attacks

Yesterday, Symantec published details about a new distributed denial-of-service (DDoS) attack carried out by a gang dubbed “DarkSeoul” against South Korean websites. We identified their previous attacks against South Korea, including the devastating Jokra attacks in March 2013 that wiped numerous computer hard drives at South Korean banks and television broadcasters. As a result of our continued investigations into attacks against South Korea, we have come across a new threat—detected as Trojan.Korhigh—that attempts to perform a similar wiping action.

Similar to previous wipers encountered by Symantec in attacks against South Korea, Trojan.Korhigh has the functionality to systematically delete files and overwrite the Master Boot Record (MBR) on the compromised computer, rendering it unusable. The Trojan accepts several command line switches for added functionality, such as changing user passwords on compromised computers to “highanon2013” or executing specific wipe instructions related to the following file types:

  • asp
  • aspx
  • avi
  • bmp
  • dll
  • do
  • exe
  • flv
  • gif
  • htm
  • html
  • jpeg
  • jpg
  • jsp
  • mp4
  • mpeg
  • mpg
  • nms
  • ocx
  • php
  • php3
  • png
  • sys
  • wmv

The Trojan may also change the computer wallpaper as an indication of compromise. At this time, we cannot confirm the identity of the attackers.
 

111.png

Figure. Trojan.Korhigh wallpaper
 

The threat may also attempt to gather system information about the compromised machine (operating system version, computer name, current date) which it sends to the following IP addresses:

  • 112.217.190.218:8080
  • 210.127.39.29:80

Symantec is continuing its analysis of this threat and is monitoring on-going attacks against South Korea. To ensure the best protection, Symantec recommends that you use the latest Symantec technologies and up-to-date antivirus definitions.

Phishers Ensuring Social Security with Fake Apps

      No Comments on Phishers Ensuring Social Security with Fake Apps

Contributor: Avdhoot Patil
As usual, phishers continue to focus on social networking as a platform for their phishing activities. Fake social networking applications on phishing sites are not uncommon. Phishers continue to come up with new fake applica…

Norton Mobile Insight Discovers Facebook Privacy Leak

      No Comments on Norton Mobile Insight Discovers Facebook Privacy Leak

Today we released a new version of Norton Mobile Security for Android devices that contains our new Norton Mobile Insight technology. Mobile Insight has analyzed over 4 million Android applications and processes tens of thousands of new applications ev…

Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War

      No Comments on Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War

Yesterday, June 25, the Korean peninsula observed a series of cyberattacks coinciding with the 63rd anniversary of the start of the Korean War. While multiple attacks were conducted by multiple perpetrators, one of the distributed denial-of-service (DD…