I am pleased to announce that Symantec Web Gateway 5.0 is now available! Nearly half of our production deployments have already upgraded to the new version and the software is now available to all customers.
This release brings not only a s…
One of the most prevalent families of recent Trojans is called fake alerts. These Trojans generate fake warning screens that look like they were generated by legitimate security or anti-malware software. The majority of malware within this family attempts to con users by convincing them that their systems are at risk and that they should purchase Read more…
We’ve been holding off on the news, but as many of you have realized, Symantec Messaging Gateway 9.5 (formerly Symantec Brightmail Gateway) is now available – in fact, over 1,800 customers have already upgraded to the new release. We mentio…
2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。
このスパム攻撃で確認されたヘッダーの例を以下に示します。
差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services(UPS カスタマーサービス)”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)
差出人: “Post Express Support(Post Express サポート)” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report(Post Express レポート)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office(Post Express オフィス)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
件名: Post Express Office. Package is available for pickup. NR03909(Post Express オフィス: 集荷準備中 NR03909)
件名: Post Express Office. Delivery refuse. NR4245855(Post Express オフィス: 配送拒否 NR4245855)
件名: Post Express Office. Track your parcel. NR06678(Post Express オフィス: 荷物追跡 NR06678)
件名: Post Express Office. Error in the delivery address. NR4061172(Post Express オフィス: 送付先住所の間違い NR4061172)
件名: Post Express Office. Get the parcel NR31215(Post Express オフィス: 荷物 NR31215 をお受け取りください)
受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。
UPS tracking number.exe(Trojan.FakeAV として検出)
UPS notify.exe(Backdoor.Cycbot として検出)
Post_Express_Label.exe(Trojan.Sasfis として検出)
以下に、スパムの例を 2 つ示します。
シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。
上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Android.Walkinwat は、非正規のサイトから不正にファイルをダウンロードしたユーザーを懲らしめようとする脅威です。この種の脅威がモバイル環境で確認されたのは初めてです。
図 1: トロイの木馬によって表示されるメッセージ
Android.Walkinwat は、Android マーケットで入手できる「Walk and Text」というアプリケーションの、存在しないバージョン(V 1.3.7)として公開されており、北米とアジアの有名なファイル共有 Web サイトで見つかっています。このアプリケーションがこれらの地域で意図的に拡散されたのは、脅威の作成者がダウンロード数を増やし、少しでも多くのユーザーにメッセージを送るためだったとも、Walk and Text の発行者を非難するためだったとも考えられます。
このアプリケーションを実行すると、アプリケーションに対する侵入とクラッキングが進行中であるかのように見えるダイアログボックスが表示されますが、実際にはその間に、重要なデータ(名前、電話番号、IMEI 情報など)を収集して外部サーバーに送信しようとしています。
図 2: バックグラウンドで実行される処理
また、リストにあるすべての連絡先に、次のような SMS メッセージを送信します。
図 3: リストのすべての連絡先に送信される SMS メッセージ
注目すべきなのは、このトロイの木馬が Android.Walkinwat の LicenseCheck と呼ばれるルーチンで上記の処理を実行しているということです。これは本来、正規のアプリケーションがライセンス管理に使うルーチンであり、海賊版を排除するために Android プラットフォームで利用できるライセンス検証ライブラリ(Licensing Verification Library)と組み合わせて使われます。悪質なコードの作成者は、海賊版を防ぐために推奨されている別の対応策も使い、アプリケーションを不明瞭化するという手間もかけています。
図 4: LicensingService ルーチンと LicenseCheck ルーチン
アプリケーションは最後に、電話料金の請求書を忘れずに確認するようにというメッセージを表示し、Android マーケットからこのアプリケーションの正規版を購入するオプションも提示します。
図 5: 脅威によって表示される最後のメッセージ
海賊版防止のメッセージを送信する手段として、正義による制裁という形が使われるケースは初めてではありませんが、モバイル機器では初めての出現例となりました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Facebook で新しく見つかったクロスサイトスクリプト(XSS)の脆弱性は、パッチ修正されないまま現在も広く悪用されており、ユーザーのウォールに自動的にメッセージが投稿されています。この脆弱性は、これまでも小規模に使われていましたが、今ではさまざまなグループに広く使われはじめ、特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されています。
この脆弱性は、JavaScript のフィルタリングが十分でないことが原因で、モバイル API バージョンの Facebook に存在します。悪質な意図で作成した iframe 要素に JavaScript を埋め込むか、http-equiv 属性の refresh 値を利用して、JavaScript を含む URL にブラウザをリダイレクトするなどの方法で Web サイトに組み込むことができます。Facebook にログインしたユーザーが、このような要素を含むサイトにアクセスすると、任意のメッセージがそのユーザーのウォールに自動的に投稿されます。ユーザー自身の操作はまったく必要なく、クリックジャックのような仕掛けもありません。感染した Web サイトにアクセスするだけで、攻撃者が選んだメッセージが投稿されてしまいます。このようなメッセージが Facebook 全体にごく短時間で広まってしまったのも当然と言えるでしょう。なかには、感染した Web サイトへのリンクを投稿し、ユーザー間に XSS ワームを拡散するメッセージもあります。
悪いことに、この攻撃は簡単に作り変えることができるため、すでに何十という模倣犯が異なるメッセージで新しい攻撃を開始していることが確認されています。
この問題は Facebook のセキュリティチームに報告済みであり、修正対応が進められています。
この攻撃は、Facebook で SSL オプションが有効でも無効でも動作するので、今のところ、使わないときは Facebook からログアウトするか、セキュリティツールを使って保護するか、または感染サイトへのアクセスを遮断するようにしてください。たとえば、Firefox ブラウザの NoScript 拡張機能を使うと、この XSS ワーム攻撃を検出することができます。
更新: この XSS 脆弱性に対するパッチ修正を実施したと Facebook から報告がありました。また、Facebook は現在、この攻撃によって生じた損害の修復も進めているところです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
シマンテックセキュリティレスポンスは最近、一見して無害そうなプログラムがさまざまな URL でホストされていることを確認しました。このプログラムファイルが異例だったのは、多くのシマンテックユーザーが同じファイルを解析のために送信してきたという事実です。
このプログラムの基本的な動作は、職業適性アンケートに回答させたうえで、次のいずれかの URL にユーザーをリダイレクトするというものです。
hxxp://groupinc-upland.biz/registration/1
hxxp://artby-group.biz/registration/1
hxxp://artby-gorup.net/registration/1
hxxp://callisto-ltdco.net/registration/1
hxxp://kresko-group.biz/registration/1
hxxp://kresko-group.net/registration/1
hxxp://targetmarket-groupllc.net /registration/1
hxxp://neoline-llc.net/registration/1
hxxp://neoline-groupco.cc/registration/1
適性テストのダウンロードと回答を行わずに、これらのページをただ閲覧することはできません。
このプログラムは、登録ページにアクセスするための一意の URL を生成します。
このプログラムで気になる点は、入力を求められる情報の仔細さです。
100 ドルの特典と引き換えに、オンラインバンキングの口座情報として URL、ログイン名、パスワードまで要求されます。
最後のステップでは、入力したアドレスに電子メールが送信され、契約に合意したうえで身分証明か公共料金請求書のスキャンコピーをアップロードするように求められます。
契約書には、この仕事の目的が次のように記載されています。
「The Contractor undertakes the responsibility to receive payments from the Clients of the Company to his personal bank account, withdraw cash and to effect payments to the Company’s partners by Western Union or MoneyGram money transfer system within one (1) day(契約者は、当社の顧客からの支払いを個人の銀行口座で受け取り、現金を引き出したうえで、Western Union または MoneyGram の送金システムを利用して 1 日以内に当社のパートナーへの支払いを実効させる責任を負うものとする)」
また報酬についても触れられています。
「The Contractor is engaged by the Company on terms of thirty-days (30) probationary period. During the probationary period the Company undertakes to pay to the Contractor the base salary amounting to 2300 USD per month plus 8% commission from each payment processing operation. After the probationary period the Company agrees to revise and raise the base salary to 3000 USD.(契約者は、30 日間の試用期間を条件として当社と契約する。試用期間中、当社は 1 カ月当たり 2,300 米ドルの基本給と、支払い処理操作 1 件ごとに 8% の手数料を契約者に対して支払うものとする。試用期間の終了後には、3,000 米ドルを上限として基本給の見直しと昇給を行うことに当社は合意する。)」
そして、オンラインバンキングの口座情報を入力すると特典の 100 ドルが手に入るということを思い出してください。
いわゆるマネーミュールは、取引の分け前を手に入れ、残りの現金を第三者の口座に送金します。このような行為は不正であり、これまでにも多くの例で、法的に責任を問われる結果になっています。
http://www.theregister.co.uk/2010/09/30/zeus_money_mules_charged/
http://www.wired.com/beyond_the_beyond/2010/10/the-zeus-money-mules-the-federal-complaints/
この詐欺行為が行われている間、重要な情報はすべて HTTPS ではなく HTTP で送信されているので、銀行口座情報は平文で送信されている点にも注意が必要です。
一般的に、ユーザー自身が意図して取引を開始した場合を除いて、個人情報(パスワードや銀行口座などの情報)は誰とも、またどんなサイトでも共有すべきではありません。個人情報の入力が必要なページにアクセスする場合でも、URL に HTTPS が含まれているかどうかを調べて、サイトが暗号化を利用していることを確認してください。また、ブラウザに鍵マークが表示されていれば、SSL が使われていることがわかります。
シマンテックでは、このアンケートアプリケーションを Fakesurvey として検出します。
http://jp.norton.com/security_response/writeup.jsp?docid=2011-032307-1016-99&tabid=2
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
I can’t believe we’re already one month in to the new year! It has been a busy January for the Mail & Web Security business at Symantec, as we plan for a full slate of product releases in the coming months. We have releases planned for all three of our Brightmail products, our web gateway solution, and our groupware products planned in 2011. We also have follow-on releases planned for our exciting new Next Generation Network Protection platform for service providers.
The threat landscape continues to evolve in dynamic and unexpected ways. We saw a remarkable drop in spam levels right after Christmas when some major botnets stopped sending out spam for a few weeks. The botnets did not go away, however, and we’ve seen spam bounce back in recent weeks. Check out www.symantec.com/brightmail/iqservices to see a clear illustration of this drop and recover, as well as a number of recent blog postings on threats. Don’t forget our monthly State of Spam & Phishing Report, which is posted to www.symantec.com/spam. And don’t forget our more general blog on the threat landscape from the Symantec Security Response team, posted here on Connect at https://www-secure.symantec.com/connect/symantec-blogs/sr.
Stay tuned for some exciting announcements about our portfolio in the coming months. If there any questions you would like us to tackle on this blog, please drop us a note in the comments below – we look forward to continuing the dialogue!
On behalf of the entire mail and web security product team at Symantec, I wanted to wish you all a very Happy New Year – we may be a bit late for the traditional New Year holiday, but we are just in time for the Chinese New Year – gong hay fat choy!
The Symantec Enterprise Security team is now accepting applications to participate in the Symantec Brightmail Gateway 9.5 Beta program. Symantec Brightmail Gateway is also part of the Symantec Protection Suites.
The beta process is a great way for participants to get an early look at exciting new features in our upcoming release, and also get direct access back to the product development team on product feedback.
The 9.5 release includes:
Quality is one of the key Symantec deliverables and we strive to deliver a first class product with every release. So we want to get as much customer feedback as possible before we ship. By participating in this beta program, you can help to ensure this release is as successful as possible.
All participants must be members of the Customer Advisory Program, which is free to join for all customers entitled to support and maintenance.
http://www.symantec.com/connect/groups/symantec-customer-advisory-program-enterprise-security
Applying for the beta is simple, once you’ve registered for the CAP just complete the registration form at the following link.
https://symbeta.symantec.com/callout/default.html?callid=57918D6D4DCA486B86B16D586405477B
This is a great opportunity to receive an early release in order to plan your implementation and provide us with feedback to ensure issues are prioritized. We hope you can join us as we prepare for this exciting product release!
Welcome to the new Mail & Web Security Blog! Brightmail isn’t going away, but we wanted to expand our coverage to include news about our complete email and web security portfolio, including the Brightmail products (Brightmail Gateway, Brightmail Message Filter, and Brightmail Traffic Shaper), the Mail Security products (Mail Security for Microsoft Exchange and Mail Security for Domino), and Symantec Web Gateway.
In addition, Symantec’s messaging and web security products are core components of the Symantec Protection Suites.
Stay tuned for more updates, including an expanded cast of authors as we grow our coverage across a broader slice of the Symantec portfolio.
