Tag Archives: Security Response

?????????? Castov

      No Comments on ?????????? Castov

金融機関を狙ったマルウェアの様相は常に変化しています。サイバー犯罪者は金融業界についてますます詳しくなり、攻撃も巧妙になる一方です。最近シマンテックは、「The World of Financial Trojans(金融機関を狙うトロイの木馬の状況)」(英語)と題するレポートを公開し、オンラインバンキングを狙うマルウェアの特徴や手口を紹介しました。マルウェアの作成者がどのような手口や機能を選択するかは、資金力や市場に関する知識によって異なるようです。

金融機関を狙うマルウェアでは、ほとんどの場合、感染経路として悪用ツールキットが好んで利用されます。過去数カ月の間シマンテックが監視を続けてきた悪用ツールキットは Gongda と呼ばれ、主として韓国を狙っています。この悪用ツールキットによる拡散が確認されている Castov というマルウェアには要注意です。韓国の特定の金融機関とその顧客を標的としていますが、Castov を使うサイバー犯罪者は、韓国のオンライン金融サービスの状況について調べ尽くしているからです。

IPS_heatmap.JPG
図 1. 2013 年 5 月における Gongda の IPS 検出の分布図(分布の 98% が韓国)

この脅威の第 1 段階に当たるのが Downloader.Castov です。Delphi でコンパイルされており、ウイルス対策ソフトウェアを停止させる機能を持っています。ひとたびコンピュータに侵入すると、コマンド & コントロール(C&C)サーバーに感染を報告し、暗号化されたファイルをダウンロードします。このファイルが、第 2 段階に当たる Infostealer.Castov です。

Infostealer.Castov は正常な DLL のリスト(いずれも韓国のオンラインバンキングのソフトウェアとセキュリティに関係しています)で特定のオフセットを調べて OP コード(演算コード)命令があるかどうか確認し、その命令を書き換えます。このときインジェクトされるコードが、パスワードや口座情報、取引情報などと思われる文字列を調べます。見つかったデータは収集され、リモートサーバーに送信されます。

Castov table_0.png

表 1. 狙われる DLL と、実行される処理

さらに Infostealer.Castov は、侵入先のコンピュータの NPKI ディレクトリ(%ProgramFiles%\NPKI)に保存されているデジタル証明書も収集します。これは韓国で広く利用されているデジタル証明書で、銀行やクレジットカード、保険などの金融サービスで汎用的に(個人、法人とも)発行されています。ユーザーごとに重複がなく、有効期間は 1 年間です。

スクリーンショット、パスワード、デジタル証明書を組み合わせれば、サイバー犯罪者はユーザーの金融口座にアクセスできるようになります。

AV_heatmap.JPG

図 2. 2013 年 1 月から 5 月にウイルス対策で検出された Castov の分布図

シマンテックは、Castov と Gongda への対策として以下の検出定義ファイルを提供しています。

ウイルス対策:

侵入防止シグネチャ:

保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

South Korean Financial Companies Targeted by Castov

      No Comments on South Korean Financial Companies Targeted by Castov

The financial malware landscape is constantly evolving, cybercriminals are becoming more knowledgeable about the financial sector, and attacks are becoming more sophisticated. We’ve recently released a report, “The World of Financial Trojan…

??????????: ?????????????????????

      No Comments on ??????????: ?????????????????????

寄稿: Binny Kuriakose

サイバー空間は、表現の自由を隠れ蓑にした匿名性が横行し、明確な法律も欠如しているため、セキュリティの観点から見ると混沌としています。各国とも、サイバー空間に巣くう犯罪者を管轄当局が逮捕して処罰するために法律の整備が必要であると自覚しつつあるものの、犯罪者は実に巧妙です。

スパマーが絶妙な手口でスパムを拡散することは知られていますが、最近ではスパム攻撃を仕掛けるためにスパム対策の法律すら悪用し始めました。今回のブログでは、スパム対策法の実効性を吟味するのではなく、電子メールで法律を引用してスパムの信憑性を装う手口について説明したいと思います。

なかには、スパムと正規メールのどちらともつかない「グレーゾーン」の電子メールもあり、あまりに微妙な言い回しのために、受信したユーザーがその判断を誤ってしまう場合も少なくありません。電子メールの本文中でスパム対策法を引用し、その法律に従った電子メールであると主張するのは、こうした「グレーゾーン」のスパムをシロに見せかけるための常套手段です。
 

CAN-SPAM 法(ポルノおよび広告の迷惑メールによる攻撃の取締法)- 公法 108-187(米国、英語)

図 1 に示したサンプルでは、CAN-SPAM 法、すなわち米国におけるスパム対策法の規定に従っていると書かれています。電子メールの最後に免責条項のセクションがあり、この法律について説明されています。
 

Fig1.png

図 1. スパム対策法を本文中に引用したスパムのサンプル
 

このスパムの問題点

このサンプルの違法性は、スパマーが提示している「受信拒否(オプトアウト)」のオプションが偽ものだという点にあります。受信を拒否しても、別のメール送信対象者リストにアドレスが移し替えられるだけです。これに類するスパムには必ず、法律を引用したうえで「購読解除」または「受信拒否(オプトアウト)」のオプションが用意されているので、その信憑性に被害者は引っかかってしまいます。
 

スパムで「悪用」が広く確認されている他の法律

  1. MURK 法案 – Bill S.1618 Title III(米国、英語)

    これまでに最も多く悪用されている法律的な記述は、米国の「Bill S.1618 Title III」、通称「MURK」という法案です。スパムに関連しているものの、この法案は上下両院で否決されたため、制定には至っていません。したがって、「Bill S.1618 Title III に従っている」と書かれていたら、その言葉自体に嘘があることになり、まず疑ってかかる必要があります。この法案を引用したスパムメールは、同法案が提出された 1998 年から確認されています。

    Fig2.png

    図 2. Bill S.1618 Title III を引用したスパムの免責事項

    さらに不愉快なのは、スパマーがこの引用を盾にとって、ユーザーを脅迫までしていることです。

    Fig3.png

    図 3. Bill S.1618 を引用して脅迫するスパム

    ところが、この事例は米国の国境を越えて広まっています。同じ引用が、ポルトガル語やスペイン語など他の言語でも見つかっているからです。

    Fig4.png

    図 4. Bill S.1618 Title III を引用したスペイン語のスパムでの免責事項
     

  1. ヘイビアスデータ法 No. 25、326 Art. 27 Inc. 3(アルゼンチン、スペイン語とポルトガル語)

    ヘイビアスデータ法は、アルゼンチンにおいて商用電子メールのガイドラインを定めた法律です。同種の他の法律と同じく、ヘイビアスデータ法でも、個人情報をデータベースから削除するよう請求する権利をユーザーに保証しています。

    スペイン語やポルトガル語のスパムメール攻撃でこの法律が引用され、また本物らしく見せるために受信拒否(オプトアウト)のオプションも使われています。受信拒否(オプトアウト)オプションが偽ものである点は変わらず、受信されるスパムが減るわけではありません。

    Fig5.png

    図 5. ヘイビアスデータ法を引用したスパムの免責事項
     

  1. 法律 No. 28493 / 29246 / D. S. 031-2005-MTC(ペルー、スペイン語)

    No. 28493 / 29246 / D. S. 031-2005-MTC はペルーの法律で、当然スペイン語で書かれています。他の国や地域から送信されたスペイン語のメールでも、この法律を引用して合法性を主張するものがあります。以下のサンプルでは、登録解除オプションとして Web メールに返信するように説明されています。

    Fig6.png

    図 6. ペルーの法律 No. 28493 / 29246 を引用したスパムの免責事項
     

  1. Déclaration CNIL n°1291376 と Déclaration CNIL n°1181416(フランス、フランス語)

    商用メールに関するフランスの 2 つの法律がスパムで確認されていますが、この例では適切な受信拒否(オプトアウト)オプションがユーザーに示されていません。受信拒否(オプトアウト)リンクがある場合には、ユーザーの個人情報が削除されるというメッセージの書かれた Web ページにリダイレクトされるのが一般的です。もちろん、実際に削除が実行されることはありません。

    Fig7.png

    図 7. フランスの CNIL No 1291376 を引用したスパムの免責事項
     

まとめ

以上のサンプルから、スパマーが法律を都合よく利用してスパムを糊塗し、偽の合法性を演出しようとしていることは明らかです。残念ながら、受信したユーザーは今でもこの手口の犠牲になっています。

個人がいかなる通信についても受信を拒否する権利と、個人情報をデータベースから削除するよう請求する権利は、多くの国や地域で認められています。しかし、リストからの登録解除だけではなく、リストへの登録そのものを取り締まる強力な法律も同じくらい必要であることが、今回の事例から明らかになりました。スパマーは、登録を解除しても、別の送信リストに加えるだけだからです。ユーザー側でも、スパム対策の各法律によって個人にどのような権利が付与されるのか知っておくべきでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Downloader.Liftoh ? W32.Phopifas ????

      No Comments on Downloader.Liftoh ? W32.Phopifas ????

シマンテックが検出した Downloader.Liftoh は、ユーザーに気づかれないまま侵入先のコンピュータにマルウェアをダウンロードするトロイの木馬です。

この脅威の新しい亜種が 5 月の初めに発見され、スペイン語圏の中南米諸国で検出されました。Downloader.Liftoh のこの亜種は英語ではなくスペイン語のメッセージを送信しますが、2012 年 10 月にこのブログで取り上げた W32.Phopifas に類似しています。

Downloader.Liftoh の作成者は、中南米でも人気の高い Skype や、他のインスタントメッセージアプリケーションをマルウェアの拡散に利用しています。

  1. 被害者が、連絡先に登録されていると思われるユーザーからのメッセージを受信します。メッセージは、「esta es una foto muy amable de tu parte(あなたの素敵な写真です)」や「jaja, esta foto extraña de tu perfil(笑える、ほら、あなたの写真だよ)」など似通った内容で、掲載されている URL をクリックさせようと誘うものです。URL は、goo.gl、url9.de、fur.ly、bit.ly、is.gd といった短縮 URL サービスを使って短縮されています。
     
      image1xb.png
     
    図 1. 悪質な Skype メッセージ
     
  2. 短縮 URL をクリックすると、被害者は 4shared.com サイト上の URL にリダイレクトされます。
     
  3. 4shared.com サイトに進むと .zip ファイルをダウンロードするよう要求され、そこに正規のインスタントメッセージファイルに偽装した Downloader.Liftoh が含まれています。
     
  4. このファイルの圧縮を解除すると、中に .exe ファイルがあります。
     
  5. この .exe ファイルを実行すると、Downloader.Liftoh はコンピュータへの侵入に成功します。
     

この攻撃は、サイバー犯罪者が攻撃に利用している Google 社の URL 短縮サービスを通じて、171,553 回のクリックを獲得したことが確認されています。

image2x.png

図 2. Downloader.Liftoh は、5 月 20 日以降全世界で 171,553 回のクリックを獲得
 

image3x.png

図 3. 中南米における Downloader.Liftoh のクリック数分布
 

マルウェアの拡散に、地理的な国境はありません。攻撃者に必要なのは、各言語に合わせてマルウェアのコードを書き換えて、新しい侵入先コンピュータを探すことだけです。個人のコンピュータやネットワークを侵入から保護するために、スパム対策やウイルス対策の機能を備えた統合セキュリティソリューションを導入し、常に最新の状態に保つことをお勧めします。また、たとえ知っている相手から届いた場合でも、疑わしいリンクをクリックしたり、怪しいファイルを開いたりしないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

URL ??????

      No Comments on URL ??????

シマンテックは、URL が含まれるスパムの増加を確認しています。5 月 16 日に 84% から 96% へと 12% の増加を示して以来、URL スパムの比率は 95% から 99% の範囲で推移していました。つまり、この間に配信されたスパムメッセージのうち 95% に、少なくとも 1 つの URL が含まれていたということです。

Figure1_0.png

図 1. URL スパムメッセージの比率

同期間に最も多く使われていたトップレベルドメイン(TLD)は .ru でした。.ru を含むスパムが減少すると、入れ替わるように .com を含むスパムと .pw を含むスパムが増加している点に注目してください(図 2)。TLD に .ru、.com、または .pw を含む URL スパムが、全体の 73% を占めています。

Figure2.png

図 2. 上位 3 位までの TLD の比率(過去 7 日間)

Figure3.png

表 1. TLD の上位 5 が URL スパム全体に占める割合

.ru の TLD と、短縮 URL や無料 Web ドメインを組み合わせて使う例も増えています。確認されているスパムサンプルの多くは、一撃離脱タイプのスパムです(「かんじきスパム」とも呼ばれます)。スパムメッセージに記載されている URL をクリックすると、偽の広告や医薬品のオンライン販売サイトにリダイレクトされます。

スパムメールで確認されている件名の例を以下に挙げます。

  • 件名: Ends Today! Buy One, Get One Free(本日かぎり! 1 つ買えばもう 1 つサービス)
  • 件名: 48 Hours Only | Free Shipping!(48 時間限定。送料無料)
  • 件名: FREE LIFETIME PASS – WHENEVER YOU WANT(生涯無料、いつでもほしいときに)
  • 件名: Are you dreaming about good health?(健康でいたいと思いませんか?)
  • 件名: Satisfy your girl fully(彼女も 100 % 満足間違いなし)
  • 件名: Win your lady’s addiction(奥様も夢中に)
  • 件名: Present your women real care(恋人に本当の愛を贈ろう)
  • 件名: You need Ukrainian woman with beautiful eyes that are ready to talk to private theme?(魅力的なまなざしのウクライナ美女と 2 人だけで会話できる)

Figure4.png

図 3. URL スパムのメッセージ

URL スパムの急激な増加が見られたのは、2012 年 12 月と今年の 1 月、ちょうどホリデーシーズンを狙うスパムや年末スパムが増加した時期でした。シマンテックは、URL を含むスパムの増加を引き続き監視し、今後もこういった攻撃を遮断するためのフィルタを追加してお客様を保護します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????????????

      No Comments on ??????????????????????????

フィッシング詐欺師は、ユーザーの個人情報を手に入れるチャンスを少しでも増やそうとして、あらゆることを試みます。よく知られているのは、さまざまな偽のソーシャルメディアアプリを使ってユーザーを誘い込む手口です。最近も、新しい偽アプリの例がいくつか見つかっています。

1 つ目の例は、女の子の写真と Facebook の[いいね]ボタンを使ったフィッシングサイトです。ボタンをクリックすると、この写真に「いいね」を付けるために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力するとログインが確認され、もう 1 度[いいね]ボタンをクリックするよう求められます。ボタンの隣には、これまでに付けられた「いいね」の件数も表示されますが、これは偽の数字です。このフィッシングサイトのホストサーバーは、オランダのアムステルダムに置かれていました。

Phishers_fake_FB_image1.png

図 1. 女の子の写真と、Facebook の[いいね]ボタン

 

Phishers_fake_FB_image2.png

図 2. 写真に「いいね」を付けるにはログイン情報の入力が必要

 

Phishers_fake_FB_image3.png

図 3. [いいね]ボタンの隣に表示された「いいね」の数

 

2 つ目の例は Facebook のログインページに偽装したフィッシングサイトで、インドのユーザーに向けて新機能が追加されたと称しています。フィッシングサイトの名前は「Chehrakitab」であり、これはヒンディー語で「Face Book」という意味です。この例のように、インドのユーザーを狙って設計されたフィッシングサイトは、きまって作りがお粗末です。以前に出現した偽の Facebook 2013 デモバージョンがそのいい例でした。フィッシングページに書かれた説明によれば、サイトはまだ作成中だがログインは可能ということになっています。ロゴの下に「ユーザーの時間を無駄にしている」と書かれているところを見ると、このフィッシング詐欺師は Facebook を蔑視しているのかもしれません。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

Phishers_fake_FB_image4.png

図 4. インド版の Facebook を装ったフィッシングサイト

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Whitewashed Spam – How Antispam Laws Are Helping Spammers

      No Comments on Whitewashed Spam – How Antispam Laws Are Helping Spammers

Contributor: Binny Kuriakose
Anonymity disguised as freedom of expression and lack of clear cut laws makes cyberspace murky from a security point of view. Countries are waking up and realizing that there is a need for laws which enable authorities to c…

Downloader.Liftoh Cousin to W32.Phopifas?

      No Comments on Downloader.Liftoh Cousin to W32.Phopifas?

Downloader.Liftoh is a Trojan horse detected by Symantec that downloads malware onto the compromised computer without the user noticing.
A new variant of this threat, discovered in early May, was identified in some Spanish-speaking countries in Latin A…

Rise in URL Spam

      No Comments on Rise in URL Spam

Symantec is observing an increase in spam containing URLs. On May 16, URL spam volume increased by 12% from 84% to 96% and since then the URL spam volume fluctuated between 95% and 99%. That means 95% of the spam messages delivered during this period has one or more URLs in it.

Figure1_0.png

Figure 1. URL spam message volume

During this period, .ru was the most used top-level domain (TLD). As illustrated in Figure 2, it is interesting to note a drop in .ru spam and a simultaneous rise in .com and .pw spam. Over 73% of the URL spam contained the .ru, .com, or .pw TLDs.

Figure2.png

Figure 2. Top 3 TLDs distribution (last seven days)

Figure3.png

Table 1. Spam volume of top 5 TLDs that contributed to total URL spam

We are observing an increasing use of shortened URLs and free Web domains with the .ru TLD. The spam examples seen are mainly hit-and-run (a.k.a. snowshoe) spam. The call to action URL in the spam message leads to fake offers or online pharmacy stores.

Below are the Subject lines that may be seen in spam emails.

  • Subject: Ends Today! Buy One, Get One Free
  • Subject: 48 Hours Only | Free Shipping!
  • Subject: FREE LIFETIME PASS – WHENEVER YOU WANT
  • Subject: Are you dreaming about good health?
  • Subject: Satisfy your girl fully
  • Subject: Win your lady’s addiction
  • Subject: Present your women real care
  • Subject: You need Ukrainian woman with beautiful eyes that are ready to talk to private theme?

Figure4.png

Figure 3. URL spam message

This sudden rise in URL spam volume was seen in December 2012 and January this year when holiday season spam and year-end spam was on the rise. Symantec will continue to monitor this uptick in spam containing URLs and will keep our customers protected with additional filters to block these attacks.

?????????????????????

      No Comments on ?????????????????????

竜巻や地震などの自然災害は、米国では珍しくはありません。残念なことに、5 月 20 日の月曜日、オクラホマシティ郊外のムーアが巨大竜巻に襲われ、多くの犠牲者を出しました。スパマーは自然災害を利用して詐欺を行います。シマンテックセキュリティレスポンスは、今回の竜巻に関連するスパムメッセージが Symantec Probe Network に届いていることを確認しています。メッセージの見出しに使われている単語の組み合わせとしては、次のものが上位を占めています。

  • Tornado – hits – Oklahoma(竜巻 – 直撃 – オクラホマ)
  • Massive – Tornado(巨大 – 竜巻)
  • Huge – Tornado(巨大 – 竜巻)
  • Tornado – survivors(竜巻 – 生存者)

Spammers Targetting 1.jpeg

図 1: オクラホマシティの竜巻を悪用したスパム活動
 

次のようなヘッダーのスパム攻撃が見つかっています。

件名: People Killed After Violent Tornado Hits Oklahoma(凶暴な竜巻がオクラホマ州を直撃し死者が発生)

差出人: Hottestxxx<TornadoHitsOklahoma@[削除済み]>

スパマーは、被災者を支援するよう求めるスパムメールを送信して、支援活動を装っています。大きな事故や事件に関するニュースを探しているときには、十分に注意してください。特に、寄付や救済基金の要請には気を付ける必要があります。信頼できる安全なサイトを利用するようにしてください。

今後数日の間に悪質な攻撃やその他のスパム活動が増えることが予想されます。迷惑メールを受信しても、疑わしいリンクをクリックしたり、添付ファイルを開いたりしないでください。また、ウイルスやオンライン詐欺から個人情報を保護するために、セキュリティソフトウェアを最新の状態に保つようにしてください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でこの傾向の監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。