PRIVACY. It’s the word of the year from dictionary.com. With reports of the NSA turning the internet into a vast surveillance platform, FBI agents and hackers monitoring citizens through home appliances, web-browser tracking cookies multiplying like rabbits, and information you post to social networking sites yourself, the loss of individual’s online privacy and the extensive […]
最近、デバイスが「Trojan: MobileOS/Tapsnake」という脅威に感染していると思い込ませてユーザーを脅そうとする一連のモバイル広告が確認されています。
図 1. Tapsnake への感染を通知する偽の警告
このマルウェア感染警告は偽物です。Tapsnake は Android を狙う比較的古い脅威(シマンテックでは 2010 年にブログでこの脅威について報告しており、Android.Tapsnake として検出します)で、この種の広告の信憑性を高めるために、広告の中でたまたま名前が使われているだけです。シマンテックでは、新品の Android デバイスを使って、この広告を提供するサイトにアクセスしてみました。このデバイスは初期インストールの状態で、他に何も追加されていませんでしたが、それでもこの警告が表示されました。この脅威は iOS デバイスを標的にはしていませんが、Apple 社の iPhone ユーザーからも Tapsnake 警告が表示されたという報告があります。
図 2. Android ユーザーを標的にしたスケアウェアの手口
この種の警告はたいてい、元々 PC を狙っていたスケアウェアに関連しています。スケアウェアの Web サイトにアクセスすると、コンピュータやデバイスがマルウェアに感染しているという警告が表示されます。このようなスケアウェアサイトが、偽のウイルス対策ソフトウェアの無料ダウンロードを提供している場合もあります。
これはすべて、ユーザーにアプリをダウンロードさせるための策略です。
図 3. Android 用の偽ウイルス対策アプリの提供
信頼できるアプリストア以外からアプリをインストールしないようにしてください。また、Google Play アプリストアで提供されているノートン モバイルセキュリティなど、有名なセキュリティソフトウェアだけを信頼してください。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently we have observed a series of mobile ads intended to scare users into believing that their device is infected with a threat called “Trojan: MobileOS/Tapsnake”.
Figure 1. Fake Tapsnake infection warnings
The malware alert is fake. Tapsnake is an older Android threat (we blogged about it in 2010 and detect it as Android.Tapsnake) that just happens to be mentioned in these ads to make them appear more authentic. We visited a site serving these ads using a brand new Android device with a fresh install and nothing on it and still received this alert. Users of Apple’s iPhone have also reported seeing Tapsnake alerts, despite the fact that the threat doesn’t target iOS devices.
Figure 2. Scareware tactics target Android users
This type of warning is commonly associated with scareware, which originated on PCs. When users visit scareware websites, they are shown a warning that claims their computer or device is infected with malware. These scareware sites may then offer free downloads of fake antivirus software.
This is all a trick designed to convince the user to download an application.
Figure 3. Android Antivirus app offer
Symantec Security Response advises users not to install applications outside of trusted app stores. Instead, users should only trust well-known and reputable security software, such as Norton Mobile Security available on the Google Play app store. For general safety tips for smartphones and tablets, visit the Symantec Mobile Security website.
Recently we have observed a series of mobile ads intended to scare users into believing that their device is infected with a threat called “Trojan: MobileOS/Tapsnake”.
Figure 1. Fake Tapsnake infection warnings
The malware alert is fake. Tapsnake is an older Android threat (we blogged about it in 2010 and detect it as Android.Tapsnake) that just happens to be mentioned in these ads top make them appear more authentic. We visited a site serving these ads using a brand new Android device with a fresh install and nothing on it and still received this alert. Users of Apple’s iPhone have also reported seeing Tapsnake alerts, despite the fact that the threat doesn’t target iOS devices.
Figure 2. Scareware tactics target Android users
This type of warning is commonly associated with scareware, which originated on PCs. When users visit scareware websites, they are shown a warning that claims that their computer has been infected with malware. These scareware sites may then offer free downloads of fake antivirus software.
This is all a trick designed to convince the user to download an application.
Figure 3. Android Antivirus app offer
Symantec Security Response advises users not to install applications outside of trusted app stores. Instead, users should well-known, reputable security software, such as Norton Mobile Security available on the Google Play app store. For general safety tips for smartphones and tablets, visit the Symantec Mobile Security website.
If you use SSL certificates on intranet sites with internal server names, they may not work from 1 November 2015. For companies with complex infrastructures, the change may be challenging but now is the time to start getting ready.
「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。
同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。
金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、攻撃者にとって金銭的な儲けを生むのであればあらゆるものが標的になっていることが明白です。
最も頻繁に攻撃されているのは米国内の銀行で、調査したトロイの木馬の設定ファイルのうち 71.5% に出現していました。標的となった上位 15 の銀行はすべて、設定ファイルのうち 50% 以上で見つかっており、2 つに 1 つのトロイの木馬が上位の銀行の少なくとも 1 行を狙っていることになります。このように高い数値が表れているのは、トロイの木馬とともに売られている基本ツールキットの一部に、標的となる URL がサンプルとして存在するためかもしれません。あるいは、トロイの木馬が依然としてこうした企業に対して有効だからという理由も考えられます。金融機関の一部はいまだに強力な認証を採用していないからです。もちろん、大部分の金融機関はこうしたサイバー犯罪の推移を意識しています。また、このような攻撃を遮断する新しい保護対策も講じているのですが、残念なことに、新しいセキュリティ対策を始動するには時間も費用も掛かり、攻撃者は常に新しい攻撃の経路を生み出しています。結局のところ、ソーシャルエンジニアリング攻撃は依然として機能し続けることになります。巧妙な作り話に引っ掛かってしまう人というのは、後を絶たないからです。オンラインバンキングのサービスを狙う攻撃は、来年も続くものとシマンテックは予測しています。
金融機関を狙うトロイの木馬の状況について詳しく知りたい方のために、このトピックを扱ったホワイトペーパーの最新版を公開しました(英語)。
金融機関を狙う脅威の 2013 年における概況については、以下の解説画像も参考にしてください。
Browlock ランサムウェア(Trojan.Ransomlock.AG)は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AE のように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolocker のようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。
図 1. 違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア
驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65 万件以上も遮断しましたが、同じ傾向は 12 月も続いています。22 万件を超える接続が、12 月に入ってからわずか 11 日間で遮断されているのです。追跡を開始した 9 月からの合計では、約 180 万件の接続が遮断されていることになります。
悪用ツールキットやトラフィックリダイレクトシステムをよく知っている方には、こうした数字もとりたてて大きくは見えないかもしれませんが、これはシマンテック製品のユーザーに限った数字です。11 月に検出された 65 万という接続数はごく一部にすぎず、実際の数字はもっと大きい可能性があります。
図 2. 2013 年 11 月と 12 月における Browlock ランサムウェアの活動状況
上に示した数字は、1 日あたりに検出された活動の総数です。攻撃は断続的に発生しており、特に際立っているのは 11 月 3 日と 11 月 16 日です。11 月 16 日には、13 万以上のコンピュータが Browlock の Web サイトへのリダイレクトを遮断されています。
Browlock を使う攻撃者は、さまざまなアクセスを悪質な Web サイトにリダイレクトするトラフィックを購入している節があります。ここで使われているのがマルバタイジング(悪質な広告)です。マルバタイジングは、正規のネットワークからの広告購入を伴うアプローチとして広がりつつあります。広告先はアダルトサイトと思しきページで、そこから Browlock の Web サイトにリダイレクトされます。
Browlock の攻撃者が購入するトラフィックのソースは何種類かありますが、中心となるのはアダルト広告ネットワークです。Malekal や Dynamoo など、複数のセキュリティ研究者が過去数カ月にわたってこの活動を追跡しています。
最近の例では、攻撃者は広告ネットワークで複数種類のアカウントを作成し、支払い金を預けてから、オンラインチャットフォーラムに類似した名前の Web サイトにユーザーをリダイレクトするトラフィックを購入し始めていました。ユーザーがこのページにアクセスすると、Browlock のサイトにリダイレクトされます。実際、攻撃者はランサムウェアサイト自体と同じインフラに、正規のように見えるドメイン名をホストしています。
被害者が Browlock の Web サイトにリダイレクトされる際に、被害者と、その被害者の国や地域の法執行機関ごとに固有の URL が生成されます。たとえば、米国からアクセスしたユーザーは次のような URL に誘導されます。
fbi.gov.id693505003-4810598945.a5695.com
この URL には特徴的な要素が 2 つあります。fbi.gov という値と、実際のドメインである a5695.com です。fbi.gov という値は、明らかに米国の法執行機関を表しています。シマンテックは、およそ 25 の地域における 29 種類の法執行機関を表す値を特定しました。次のグラフは、特定された法執行機関のうち上位 10 位までについて接続の比率を示したものです。米国からのトラフィックが最も多く、ドイツ、ユーロポール(欧州警察組織)がそれに続いています。ユーロポールは、特定のイメージテンプレートが作成されていないときの欧州各国が対象です。
図 3. Browlock の標的となった上位 10 の機関
次に問題となる値はドメインです。追跡を開始して以来、196 のドメインが確認されています。ドメインはいずれも、アルファベット 1 文字に 4 桁の数字が続き、.com で終わるという形式です。実際のドメインは、過去 4 カ月にわたって何種類もの IP アドレスでホストされています。
最も活動的な自律システム(AS)は AS48031 – PE Ivanov Vitaliy Sergeevich で、これは過去 4 カ月のどの月にも使われていました。攻撃者は、この AS で 7 種類の IP アドレスを順に使っています。
Browlock ランサムウェアの戦術は、単純ですが効果的です。攻撃者は、悪質な実行可能ファイルを使わず、また悪用ツールキットにもアクセスしないことで予算を節約しています。被害者はブラウザを閉じさえすれば Web ページから逃れることができるので、誰も支払いなどしないとも考えられます。しかし、Browlock の攻撃者がお金を払ってトラフィックを購入しているのは明らかである以上、その投資を回収していることは確実です。アダルトサイトのユーザーを狙って、被害者の困惑につけ込むという通常のランサムウェアの手口も依然として続いており、それも成功率に貢献していると思われます。
シマンテックは、IPS とウイルス対策のシグネチャでお客様を Browlock から保護しています。
AS24940 HETZNER-AS Hetzner Online AG
AS48031 – PE Ivanov Vitaliy Sergeevich
AS3255 – UARNET
AS59577 SIGMA-AS Sigma ltd
Nigeria Ifaki Federal University Oye-ekiti
AS44050 – Petersburg Internet Network LLC
AS31266 INSTOLL-AS Instoll ltd.
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Web カメラを通じて無防備な被害者を監視するクリープウェアについては、先日のブログでお伝えしました。名前が示すとおり、その性質は実に厄介です。残念ながら、インターネット上には類似の脅威がほかにも存在します。今年大きく蔓延しているもうひとつの詐欺行為は、Web カメラによる脅迫です。こちらの場合、詐欺師は Web カメラを利用しているという事実を隠そうとしません。
この詐欺はまず、ソーシャルネットワークや出会い系サイトでの友達申請から始まります。申請を送信してくるのは見るからに詐欺師のプロフィールで(女性を装っています)、申請の送信先は独身男性というのが相場です。しばらく会話を続けると、詐欺師は男性のプロフィールを好きになった理由を説明し始めますが、会話は次第にもっと性的な話題へと移っていきます。詐欺師はビデオチャットを求めて服を脱ぎ始め、相手の男性にも同じようにしてほしいと誘ってきます。男性が誘いに乗ると、詐欺師によって不名誉な動画の録画が始まり、最終的には十分違法性のある画像が残されてしまいます。動画が録画されると詐欺師はまた話題を一転し、支払いを拒否した場合にはこの動画をアップロードして、被害者の友達と共有すると脅してきます。
この詐欺には、複数の手口が存在します。たとえば、動画の代わりに写真を要求するものや、あらかじめ録画されたストリップ動画で被害者を誘惑するものがあります。また、インターネット接続や Web カメラの画質向上を謳って金銭を要求する手口もあり、送金すれば動画の画質が向上すると約束しますが、金銭を送ったが最後、約束が果たされることはありません。さらに質の悪い場合は、詐欺師は被害者が子どもとチャットしていたと主張し、小児性愛の証拠を添付して送りつけてきます。共有してしまった個人情報も、動画と一緒に公開されます。場合によっては、被害者のコンピュータにトロイの木馬を仕掛けるために、感染した Web サイトへのリンクが送信されてきます。詐欺の背後にある原理は常に同じであり、いずれにしてもソーシャルネットワークや出会い系サイトを使うときには用心が必要です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently, we wrote about creepware and how people use it to spy on unsuspecting victims through webcams. As the name implies, this is really creepy. Unfortunately, there are other similar threats on the Internet. Another scam that has become very popular this year is webcam blackmailing. In these cases, the scammers don’t hide the fact that they are using the webcam.
The scam starts with a simple contact request on a social network or dating site. In general, the profile sending the request appears to be the scammer (posing as a woman), and the request is sent to single men. After a bit of small talk, the scammer explains why she fell in love with the man’s profile picture and then changes the topic to one of a more sexual nature. The scammer asks the man to video chat with her, starts stripping, and encourages the man to do the same. If the man joins in, the compromising video is recorded by the scammer until enough incriminating material has been gathered. Once enough video has been recorded, the scammer changes the topic again and indicates that the video will be publicly uploaded and shared with his friends on social networks if he does not pay.
Multiple variations of this scam exist. For example, some scammers ask for photos instead of videos, some use a previously recorded video of a woman stripping to entice the victim, and others ask for money for a better Internet connection or webcam. The scammer promises better video quality if money is sent, they pocket the money right away, and never buy better equipment. To make it even worse, scammers will claim that the victim was chatting with a child, attaching the stigma of pedophilia to the victim. Any personal information that was shared is published along with the video. In some cases a link to a compromised website is sent in order to infect the victim’s computer with a Trojan. The principle behind the scam is always the same. In any case, users should stay vigilant when using social networks or dating sites.
