Tag Archives: security

Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains

      No Comments on Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains

A few weeks after our blog post about porn and secret admirer spam targeting Snapchat users, a new spam campaign using sexually suggestive photos and compromised custom URLs is circulating on the photo messaging app.
 

image1_21.png

Figure 1. Snapchat spam
 

Each of these spam messages includes a request to “Add my kik”, along with a specially crafted user name on the Kik instant messaging application for mobile devices.
 

image2_12.png

Figure 2. Snapchat with a digital camera? It’s a trap!
 

After engaging these spam bots on Kik Messenger, this spam campaign is using a type of spam chat bot-script we discovered on Tinder last summer.
 

image3_12.png

Figure 3. Spam bot using a familiar chat script on Kik
 

An interesting discovery from this campaign is the use of compromised custom URLs belonging to small websites and popular brands. Spammers have found a way to create their own links using branded short domains in order to entice users into a false sense of security.
 

image4_6.png

Figure 4. Well-known branded short domain directs users to spam
 

The following are some of the compromised branded short domains we identified:

  • usat.ly (USA Today)
  • cbsloc.al (CBS Local)
  • on.natgeo.com (National Geographic)
  • nyp.st (New York Post)
  • on.mktw.net (Marketwatch)
  • mirr.im (Daily Mirror)
  • red.ht (Red Hat)
  • invstplc.com (Investorplace)
  • mitne.ws (MIT News)

image5_4.png

Figure 5. Stats page for compromised short URL
 

Hidden behind the branded customized URLs are affiliate marketing links directing users to sign-up for adult webcam sites.

Symantec has been working closely with Bitly to investigate and shut down any spammer use of branded short URLs. Bitly has confirmed that some spammers obtained Bitly API keys belonging to various brands. Some of the brands affected used the AddThis social bookmarking service who recently stopped requiring users to reveal their API key in plain text as part of the AddThis website embed code.
 

image6_1.png

Figure 6. Note from AddThis support page regarding API key safety
 

Public exposure of API keys gives anybody the ability to compromise accounts and, in this case, create short URLs using other people’s domains.

Users of the AddThis service should refer to this support article on how to secure API keys. Bitly javascript:void(0);users should follow Bitly API best practices to ensure the security of API keys.

The recent spam campaign targeting Snapchat users should not be surprising. Scammers and spammers will always target new and popular apps—like Snapchat—as soon as they gain a large enough user base. To prevent spam snaps from appearing in your Snapchat feed, Symantec recommends users change their Snapchat privacy settings to receive snaps from “My Friends” only and use caution when receiving unsolicited messages or friend requests.

.Zip Attachment Spam Makes a Grand Return

      No Comments on .Zip Attachment Spam Makes a Grand Return
After a long hiatus, spammers are once again using an old trick, where they attach a .zip file to trick the user into executing the compressed malware. The chart below shows the number of spam messages with .zip attachments over the last 90 days in Symantec’s Global Intelligence Network (GIN).
 
figure1_6.png
Figure 1. Spam messages with .zip attachments over the last 90 days
 
On January 7, 99.81 percent of the .zip attachment spam that came into Symantec’s GIN had the file name “BankDocs-”  followed by 10 hexadecimal characters.
 
figure2_7.png
Figure 2. Email with “BankDocs-” .zip attachment
 
On January 8, 99.34 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Invoice-E_” followed by 10 hexadecimal characters.
 
figure3_3.png
Figure 3. Email with “Invoice-E_” .zip attachment
 
On January 9, 98.94 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Early2013TaxReturnReport_” followed by 10 hexadecimal characters.
 
figure4_2.png          
Figure 4. Email with “Early2013TaxReturnReport_” .zip attachment
 
On January 10, 98.84 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “[BRAND NAME REDACTED]_December_2013_” followed by 10 hexadecimal characters.
 
figure5_0.png
Figure 5. Email with “[BRAND NAME REDACTED]_December_2013_” .zip attachment
 
While these examples have different file names and MD5s, they all carry the same malware, identified by Symantec as Trojan.Zbot. This Trojan has primarily been designed to steal confidential information from the compromised computer. 
 
It appears that the large attack has subsided for now, as the spam volume returned to normal levels after January 10, but it is just a matter of time before spammers organize another large campaign. Users should keep their antivirus software up-to-date and should not open attachments from unknown sources.

????????? Web ???? Gongda ??????????????

      No Comments on ????????? Web ???? Gongda ??????????????

シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。

確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。

 figure1_6.png
図 1. 出版社のサイトで確認された悪質な iframe

この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。

ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。

•    Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
•    Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
•    Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
•    Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
•    Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)

figure2_4.png
図 2. 攻撃のシナリオ

脆弱性の悪用に成功すると、Infostealer.Torpplar がダウンロードされます。これは、日本のユーザーから情報を盗み出すために作成されたマルウェアで、以下のサイトを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視します。
•    2 つのオンラインバンキングサイト
•    3 つのオンラインショッピングサイト
•    3 つの Web メールサイト
•    3 つのゲーム/動画 Web サイト
•    14 のクレジットカードサイト

注目に値するのは、オンラインバンキングサイトが 2 つしか標的になっていない点で、そのうち 1 つは地方銀行です。ほとんどの銀行は、Trojan.Zbot といった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装しています。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられます。

盗み出された情報は、あらかじめ定義された Web サイトに平文で送信されるため、傍受されると容易に読み取られてしまいます。

この攻撃で使われている Gongda 悪用ツールキットによって試みられる悪用を遮断するために、シマンテックは以下の IPS シグネチャを提供しています。
 
•    Web Attack: Gongda Exploit Kit Website
•    Web Attack: Gongda Exploit Kit Website 2

Infostealer.Torpplar の検出定義だけでなく、この攻撃に伴うファイルに対して以下のウイルス検出定義も用意しています。

•    Trojan.Webkit!html
•    Trojan.Malscript
•    Trojan.Maljava
•    Trojan.Swifi

このような攻撃から保護するために、最新のパッチを適用し、ウイルス検出定義と IPS 定義を常に最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Exploit Vacation Hangover with Malware Attacks

      No Comments on Scammers Exploit Vacation Hangover with Malware Attacks

It is not surprising to see scammers exploiting the laxity of Internet users.

Symantec has observed another malware wave over the past few days following the holiday season, as many users check their utility and official emails post-vacation to see if they missed out important ones. This is where spammers take their chances that users will click on malicious links in their emails.

In this wave of attacks, spammers are taking advantage of users’ urgency to open a link and respond to the email instantaneously. When this happens, the malware infects users’ computers and extracts confidential data.

Last week, I too, received some delivery failure notification emails that claim to be from well-known stores with an online presence, stating that I missed out a couple of parcels while I was away on vacation.

At first, I wondered how it happened since I did not place any orders, and the thought that they might be surprise gifts also crossed my mind.

However, just before clicking the link, I checked the status bar only to find that the link had been spoofed. This raised my level of suspicion, which was further confirmed by the language and grammatical errors used in the email, as shown in the following figure:

figure1_10.png

Figure 1: A spam email with grammatical errors and a malicious link

Similarly, there was an email in which the spammer masquerades another well-known brand, making the message appear to be a statement, while embedding a malicious link.

Fortunately, there was a goof-up between the template used by the brand and the email headers which belonged to another email, with no association between both. Upon further inspection, it was found that the embedded link contained a malware.

The spam run also used a hijacked URL as shown in the following figure:
 
figure2_9.png
Figure 2. Another spam email on delivery failure

I bumped into another email which invited me to attend the funeral of someone I did not know. I began to check if I knew the family by any chance, or if it was a college friend, or a neighbor, but then discovered that the link in the email was malicious.

figure3_5.png
Figure 3: A spam email on a funeral notice

Such spam emails require users to adopt a two pronged approach–to be on guard while sieving through emails, and be able to see through the mistakes made by scammers.

Some of which could be a coercion to click on a link immediately, but they are full of grammatical errors, faulty sentence structures, tactical errors of spoofing one retail operator and associating the email headers with a competitor. Another tactic employed in such spams is the use of hijacked domains and URLs which are rotated and recycled over time, but have no association with the brands or entity.

While you are overcoming your post-holiday blues, Symantec recommends that you exercise diligence when dealing with your emails, and not let scammers exploit your vacation hangover.

Rest in Peace Scams

      No Comments on Rest in Peace Scams

The rise of “rest in peace” scam messages on social media sites continues. Jackie Chan, Morgan Freeman, Will Smith, Keanu Reeves, and Rihanna are only a few of the celebrities that have been proclaimed dead in recent scams. The sensational messages usually include links to a video. Before the user gets to see the video, they are tricked into manually sharing the bait message with all of their family and friends in order to spread the scam further. Even after sharing the post, the user will still not be able to see the fake video. Rather, they will be redirected to a site with advertisements that asks the user to fill out a survey. The ads and surveys generate revenue for the scammer. Other variants of the scam ask the user to download a malicious browser extension or application. This kind of scam is not new, but as long as they make money, they will continue.

Facebook RIP scam 1.png

Figure 1. Fake video scam shared across social media sites

Some scammers are currently focusing on Paul Walker and Roger Rodas, who both recently died in a car accident. Even though the base of the story is true, the scammers are using these tragic deaths to try to promote fake videos which claim to include unseen footage of the crash. One scam group has specialized in the use of malicious Facebook applications to boost the reach of the scam. With a simple geo IP location JavaScript, the scammers can determine the user’s location and redirect their browser to a site that suits their region. This is straight forward and common behavior nowadays. The redirects can point to malicious Facebook apps, remotely hosted scams sites, or phishing sites. Luckily, in this example, the phishing website does not look very convincing, as some browsers break the layout of the site.

Facebook RIP scam 2.png

Figure 2. Fake Facebook login Web page with broken layout

Unfortunately, the redirects can sometimes skip one of Facebook’s warnings about malicious URLs. Whenever a user clicks on a link in a Facebook post, the browser will get redirected to a transfer script. If Facebook thinks that the destination URL is suspicious, a warning message is displayed, informing the user and allowing them to report the post as spam. Since the Web page is shown in an iframe below the warning, it is possible, in some rare cases, that the scammer could automatically redirect the user to a new site. As a result, the user will only see the warning message for less than a second before they are sent to the malicious Facebook application page. Often, multiple redirects are involved until the final page is reached.

Facebook RIP scam 3.png

Figure 3. Link redirection warning

If a user attempts to install a malicious application, the app asks for permission to read the user’s data and to post in their timeline. The scammer’s main goal here is to post the message through the user’s Facebook account without the victim’s knowledge so that more people fall for the scam.  Once the user installs the application, the scam message is posted to their timeline and the user is redirected to the survey scam Web pages.

A few hundred people per hour have clicked on each of these links and some have installed the application. Of course, Facebook is doing its best to block the malicious links and remove the applications as fast as possible. Unfortunately the bad guys have automated scripts on their side. Each of the analyzed domains hosted more than 2,000 copies of the malicious Facebook application, each under a slightly different name. This allows the scammers to rotate the malicious links once the app is blocked.

Facebook RIP scam 4.png

Figure 4. Scam application asking for permissions

As always, Internet users are advised to follow best practices:

  • Be vigilant and skeptical when reading sensational stories on social media sites
  • Do not install plugins or tools from untrusted sites
  • Think twice before filling out verification surveys in order to access content
  • When installing social applications, verify that the requested permissions are really required

Symantec customers are protected against these types of attacks by various IPS signatures and our URL reputation blocking service.

Symantec would like to encourage Facebook users to report any scams that they encounter to Facebook. The Facebook security team is currently working on this particular scam and they are blocking and removing the threat as new versions appear.

Microsoft Patch Tuesday – January 2014

      No Comments on Microsoft Patch Tuesday – January 2014

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing four bulletins covering a total of six vulnerabilities. All six of this month’s issues are rated ’Important’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the January releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Jan

The following is a breakdown of the issues being addressed this month:

  1. MS14-001 Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2916605)

    Memory Corruption Vulnerability in Microsoft Word (CVE-2014-0258) MS Rating: Important

    A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights.

    Memory Corruption Vulnerability in Microsoft Word (CVE-2014-0259) MS Rating: Important

    A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights.

    Memory Corruption Vulnerability in Microsoft Word (CVE-2014-0260) MS Rating: Important

    A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights.

  2. MS14-002 Vulnerability in Windows Kernel Could Allow Elevation of Privilege (2914368)

    Kernel NDProxy Vulnerability (CVE-2013-5065) MS Rating: Important

    An elevation of privilege vulnerability exists in the NDProxy component of the Windows kernel due to the improper validation of input passed from user mode to the kernel. The vulnerability could allow an attacker to run code in kernel mode. An attacker who successfully exploited this vulnerability could run a specially crafted application and take complete control of an affected system. The attacker could then install programs, view, change, or delete data, or create new accounts with full administrator rights.

  3. MS14-003 Vulnerability in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2913602)

    Win32k Window Handle Vulnerability (CVE-2014-0262) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly uses window handle thread-owned objects in memory. An attacker who successfully exploited this vulnerability could execute arbitrary code with elevated privileges.

  4. MS14-004 Vulnerability in Microsoft Dynamics AX Could Allow Denial of Service (2880826)

    Query Filter DoS Vulnerability (CVE-2014-0261) MS Rating: Important

    A denial of service vulnerability exists in Microsoft Dynamics AX that could allow an attacker to cause a Dynamics AX server to become unresponsive.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

????????????

      No Comments on ????????????
エネルギーは、現代の生活になくてはならないものです。憂慮すべきことに、エネルギーを供給する企業や産業に対する攻撃未遂の報告は毎年増加しています。2013 年の上半期には、全世界で標的となった業界のうちエネルギー業界が上位 5 位を占め、サイバー攻撃全体の 7.6% に当たりました。したがって、2013 年 5 月に米国国土安全保障省が、エネルギー企業における工程の妨害を目的とした攻撃が増加傾向にあると警告したのも当然です。シマンテックの調査でも、産業施設の妨害が可能な Stuxnet や Disttrack/Shamoon などによって発生しうるシナリオについて、旧来のエネルギー企業は特に懸念しているという結果が出ています。
 
またシマンテックは、エネルギー業界を狙う攻撃者が、風力発電や太陽光発電などの新技術、あるいはガス田探査地図といった知的財産も盗み出そうとしていることも突きとめています。データ窃盗事案は、企業にとってすぐさま壊滅的な緊急事態になるとは限りませんが、長期的な戦略上の脅威となる恐れがあります。盗み出された情報は、今後さらに破壊的な活動を行うために利用されかねません。
 
攻撃の動機も発生源も多種多様です。競合他社が、不正に有利な立場に立とうとしてエネルギー企業に対する攻撃を仕掛ける可能性もあれば、Hidden Lynx グループのような「雇われハッカー」グループが、この手の活動に血道を上げている場合もあります。国家の支援を受けたハッカーが重要なインフラを停止させようとしてエネルギー企業を狙うこともある一方、ハックティビストグループが自らの政治的目標を達成するために企業を狙う場合もあります。シマンテックの調査では、こうした脅威は世界中の至るところで発生しており、ときには企業内に端を発しているケースもあることが判明しています。システムに精通したインサイダーであれば、恐喝、収賄、報復のために攻撃を実行することもできます。そして、設定の不備やシステム上の欠陥のような偶発事故が起きるだけでもシステムは停止に追いやられます。たとえば 2013 年5 月には、オーストリアの電力網が設定上の問題のためにブラックアウト寸前の事態になりました
 
シマンテックが調査したとおり、現在のエネルギーシステムは複雑化の一途をたどっています。従来のセキュリティウォールの外部には、SCADA(Supervisory Control And Data Acquisition)や、産業用制御システム(ICS)が控えています。その一方で、スマートグリッド技術は勢いが衰えず、新しいエネルギーシステムがますますモノのインターネットにつながるようになれば、接続される無数のデバイスに関連して新たなセキュリティ上の脆弱性も生まれてくるでしょう。しかも、多くの国や地域でエネルギー市場が開放され、自家用の水力発電、風力発電、太陽光発電など、電力グリッドには小さな企業が増えつつあります。こうした小規模な施設は電力網のごく一部にすぎませんが、分散型の電力供給は、限られた IT リソースで管理すべきひとつの課題と言えます。グリッドの広域にわたってドミノ倒しのような影響を及ぼしかねないため、わずかな停止も発生しないよう慎重に監視を行う必要があります。
 
IT と産業向けセキュリティを組み合わせて産業情報を保護する協力的なアプローチが必要であることは明白です。そうした取り組みに関与するために、シマンテックは過去 12 カ月間にエネルギー業界を狙って発生した攻撃について詳しい調査を実施しました。この調査では、エネルギー業界を狙う攻撃についての事実やデータが示され、攻撃の手法、動機、経緯なども明らかにされています。
 
 
以下の解説画像では、エネルギー業界の企業を標的とする攻撃について重要なポイントをまとめています。
 
AttacksAgainstEngerySectorInfoGraphic2014.png
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Popular Japanese Publisher’s Website led to Gongda Exploit Kit

      No Comments on Popular Japanese Publisher’s Website led to Gongda Exploit Kit

We recently encountered a website of a major Japanese book publisher and distributor, of books, magazines, comics, movies, and games, injected with a malicious iframe leading to another website hosting an exploit kit.

As far as we know, at least three files on the book publisher’s site were compromised.

 figure1_6.png
Figure 1. Malicious iframe found on publisher’s site

The malicious iframe was present across multiple pages including the homepage. Our telemetry shows the first potential victim visited the site at approximately 22:00 PST on January 5, 2014 (15:00 JST on January 6, 2014). The security issue was not fixed until late on January 8, PST (in the evening of January 9, 2014 JST).

The malicious iframe loads another website, hosting an exploit kit, as soon as a user visits the book publisher’s site. The exploit kit has been identified as Gongda exploit kit, which in this particular attack served exploits for the following five vulnerabilities:

•    Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)
•    Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
•    Oracle Java Runtime Environment Multiple Remote Code Execution Vulnerabilities (CVE-2013-0422)
•    Adobe Flash Player Remote Memory Corruption Vulnerability (CVE-2013-0634)
•    Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)  

figure2_4.png
Figure 2. Attack scenario

Upon successful exploitation of the vulnerabilities, Infostealer.Torpplar is downloaded. This malware is tailored to target Japanese users for information stealing purposes. The malware monitors open windows for a list of Japanese websites that include the following:
•    2 online banking sites
•    3 online shopping sites
•    3 Web mail sites
•    3 gaming/video websites
•    14 credit card sites

It is interesting that the malware targets only two online banking sites, one of which is merely a regional bank. Most banks are aware that they are a target of sophisticated malware such as Trojan.Zbot and have implemented additional layers of protection and verification for their online customers. We believe the attacker knows this and intentionally targeted other financially viable sites that have only basic security measures in place.

The stolen information is sent to a predefined website in plain text, which can be easily read if intercepted.

We have the following IPS signatures in place to block exploit attempts dished out by the Gongda exploit kit used in the attack:
 
•    Web Attack: Gongda Exploit Kit Website
•    Web Attack: Gongda Exploit Kit Website 2

In addition to the Infostealer.Torpplar detection, the following AV detections are available for the files associated with this attack:

•    Trojan.Webkit!html
•    Trojan.Malscript
•    Trojan.Maljava
•    Trojan.Swifi

To stay protected, Symantec recommends users to apply the latest patches and keep AV and IPS definitions up-to-date.

?????????????????????????????

      No Comments on ?????????????????????????????

日本のアニメーションは「アニメ(Anime)」として、漫画は「マンガ(Manga)」として知られており、過去 20 年間で漫画アニメ産業は世界中で人気を博するようになりました。そうした最新の流行を利用するのが、ひと儲けする方法として手っ取り早いことはよく知られており、合法的にも非合法的にもその手法は広く利用されています。アニメと漫画の流行も、マルバタイジング(悪質な広告)やモバイルリスクなどを通じてサイバー犯罪者が無防備なファンにマルウェアの脅威をもたらす新たな手口を生み出しています。

1990 年代に、日本の漫画は米国の市場で大ブームとなり、大手書店の本棚にも並ぶようになりました。日本語のわからないファンが読むためには、漫画の翻訳を待たねばなりません。公式に翻訳される漫画の数は増えていますが、ファンを満足させるにはまだまだ足りないようです。しかも、翻訳対象になるのは人気の高い作品に限られています。

漫画産業が直面している問題のひとつが、日本語を母語としないファンに評価される作品をどう選ぶかということです。その判断基準として、読者コミュニティが非常に有効であることが判明しています。読者コミュニティのなかには、日本の漫画をスキャンして翻訳版を制作するグループも存在し、そのような行為はスキャンレーション(Scanlation)またはスキャンスレーション(Scanslation)と呼ばれています。

公式の出版社はそうした読者コミュニティに注目し、その動きに合わせて事業の方向性を決めていましたが、それが裏目に出てしまいました。90 年代の終わりにはインターネットにアクセスするユーザーが急増し、巨大なスキャンレーションサイトがオンラインで無料の漫画を提供するようになったため、日本の漫画アニメ産業は顧客を失い始めたのです。

この数年間に、スキャンレーションサービスを展開する複数の Web サイトやコミュニティが、著作権者の許可を得ていないため著作権違反であるとして訴えられています。

スキャンレーションには多くの作業が必要であり、そのチームには以下のようなメンバーが存在します。

  • 翻訳者
  • クリーナー
  • 校正者
  • 植字工
  • リライター

チームのメンバーはほとんどが自主的に参加しているため、新しい作品を定期的に出版し続けるには、何らかの収益化が必要であり、また広告も無視できない収入源となります。

悪用ツールキットとマルバタイジング
こうしたサイトでは、1 章分のページに平均 10 個の広告が表示され、場合によっては 11 の広告プロバイダが利用されています。マルバタイジングや悪用ツールキット、先日公表された「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-2551)について実施した最近の調査でも、多くのスキャンレーションサイトが、マルバタイジングや悪用コードによって悪質なリダイレクト先にリンクされていることが確認されました。図 1 のグラフは、2013 年 7 月から 2014 年 1 月初めにかけて確認された各種マルウェアの検出状況を示しています。

chart1.png

図 1. スキャンレーションサイトでの IPS 検出状況(2013 年 7 月から 2014 年 1 月)

2013年 12 月に CVE-2013-2551 が公表され、Blackhole 悪用ツールキットが停止されると、傾向が一変しました。Trojan.FakeAV を送りつけるマルバタイジングタイプの攻撃が急増しています。最近のマルバタイジングの場合、悪質なコードに直接感染していたのはスキャンレーションサイトではなく、広告プロバイダでした。この場合、スキャンレーションサイトのユーザーを標的とした広告が多用されるため、スキャンレーションサイトのユーザーも被害を受けます。図 2 に、2013 年 10 月から 2014 年 1 月初めに確認されたスキャンレーションサイトでの IPS 検出状況を示します。

chart2.png

図 2. スキャンレーションサイトでの IPS 検出状況(2013 年 10 月から 2014 年 1 月)

読書形態の変化
スマートフォンやタブレットが人々の生活にとって欠かせないものになる一方で、紙の本や PC の利用度は少なくなってきました。大部分の Web サイトでは、モバイルアクセスが容易になるように、モバイル向けのコンテンツも公開されています。

シマンテックは、モバイルのブラウズテストを実施し、最近公開された漫画のページをランダムに読み込んだとき、読者がどのようにリダイレクトされるのかを調べました。その結果、次のページに移動しようとすると強制リダイレクトが発生する場合もあることがわかりました。リダイレクト先では、APK ファイルをダウンロードするよう指示されます。シマンテックは、「Airpush Adware」というこの Android アプリをセキュリティ上のリスクとして分類しています。Airpush Adware はデバイスの電話番号、電子メールアドレス、アプリのリストを収集して第三者に送信する可能性があり、電子メールや SMS を介してスパムが届く原因にもなりかねないからです。

Fig3_4.png

図 3. Airpush のプライバシーポリシーと広告規約

さまざまなスキャンレーションサイトから漫画を収集するモバイルアプリが大量に出回り始めています。こうしたアプリは、オンラインでもオフラインでも 10,000 冊以上の漫画を複数の言語で楽しめると謳っています。ダウンロード率もインストール率も高いことから、このようなアプリは悪質な便乗攻撃や、トロイの木馬による攻撃の格好の標的です。たとえば、漫画購読サービスを謳いながら、実際はプレミアム SMS を利用させるアプリがサードパーティのマーケットで配布されていることも確認されています。シマンテックは、この脅威を Android.Opfake として検出します。

世界中に広がるスキャンレーション熱
2013 年 7 月から 2014 年 1 月にかけて、このようなスキャンレーションサイトで収集された検出データには定期的に急上昇が見られます。これが『NARUTO -ナルト-』、『BLEACH』、『ONE PIECE』、『FAIRY TAIL』、『キングダム』といった人気漫画の新刊が公開されたタイミングであることは明らかです。

スキャンレーションサイトで確認されたマルバタイジングの分布図を見ると、読者率が最も高いのは米国であり、ヨーロッパ、オーストラリアがそれに続いていることがわかります。漫画の読者は中東やブラジルにも広がっており、スキャンレーショングループは現在、漫画を 6 言語(英語、ドイツ語、イタリア語、スペイン語、ロシア語、フランス語)に翻訳しているようです。

Fig4_2.png

図 4. スキャンレーションサイトでの IPS 検出状況とマルバタイジング(2013 年 7 月から 2014 年 1 月)

出版されている漫画の数は膨大ですが、新刊漫画のうち圧倒的多数は日本語を理解できなければ読むことができず、そうでなければ公式の翻訳を待つしかありません。

新人の漫画家は、ファンの人気を獲得したいあまり、スキャンレーションサービスを許す、あるいは見て見ぬふりをする傾向があります。そのため、スキャンレーションサービスは本質的に法律上の問題や著作権侵害をないがしろにしがちです。そして、スキャンレーションサービスの人気が高くなるほど、サイバー犯罪者の注目も集めるようになっています。

ソフトウェアは脆弱性の悪用を防ぐために、常に最新の状態に保つことをお勧めします。また、アプリケーションは信頼できるアプリストアだけからインストールするようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Attacks Against the Energy Sector

      No Comments on Attacks Against the Energy Sector
Energy is crucial to our modern lifestyle. Disturbingly, reports of attempted attacks against the companies and industries that supply it are increasing every year. In the first half of 2013, the energy sector was the fifth most targeted sector worldwide, experiencing 7.6 percent of all cyberattacks. So, it’s not surprising that in May 2013, the US Department of Homeland Security warned of a rising tide of attacks aimed at sabotaging processes at energy companies. At Symantec, our researchers are finding that traditional energy utility companies are particularly concerned about scenarios created by the likes of Stuxnet or Disttrack/Shamoon which can sabotage industrial facilities. 
 
We are also learning that aggressors who target the energy sector also try to steal intellectual property on new technology, like wind or solar power generators or gas field exploration charts. While data theft incidents may not pose an immediate and catastrophic threat to a company, they can create a longer term strategic threat. Information stolen could be used in the future to perform more disruptive actions. 
 
The motivations and origins of attacks can vary considerably. A competitor may commission actions against energy companies to gain an unfair advantage. There are “hackers for hire” groups such as the Hidden Lynx group, who are more than willing to engage in this type of activity. State-sponsored hackers could target energy firms in an attempt to disable critical infrastructure. Hacktivist groups may also victimize companies to further their own political goals. Symantec researchers know these threats can originate from all over the world and sometimes from within company walls. Insiders who are familiar with the systems can carry out attacks for extortion, bribery or revenge. And disruptions can simply happen by accident such as a misconfiguration or a system glitch. For example, in May 2013, the Austrian power grid nearly had a blackout due to a configuration issue.
 
Our research has found that modern energy systems are becoming more complex. There are supervisory control and data acquisition (SCADA) or industrial control systems (ICS) that sit outside of traditional security walls. And as smart grid technology continues to gain momentum, more new energy systems will be connected to the Internet of Things, which opens up new security vulnerabilities related to having countless connected devices. In addition to this, many countries have started to open the energy market and add smaller contributors to the electric power grid, such as private water power plants, wind turbines or solar collectors. While these smaller sites make up only a small portion of the grid, the decentralized power input feeds can be a challenge to manage with limited IT resources and need to be carefully monitored to avoid small outages that could create a domino effect throughout the larger grid. 
 
We see the need for a collaborative approach combining IT and industrial component security to protect the industry’s information. To partner in this effort, Symantec has conducted an in-depth study into attacks focused on the energy sector that took place in the past 12 months. This research presents the facts and figures, and covers the methods, motivations, and history of these attacks. 
 
 
The following infographic illustrates some of the key points around attacks against the industries in the energy sector.
 
AttacksAgainstEngerySectorInfoGraphic2014.png