モバイルデバイスから連絡先を盗む偽ウイルス対策アプリ―シマンテックが注意喚起

japan.internet.com 9月28日






モバイルデバイスから連絡先を盗む偽ウイルス対策アプリ―シマンテックが注意喚起


シマンテックは2012年9月26日、「安心ウイルススキャン」という名前の偽ウイルス対策アプリに関する Blog を公開した。

【画像が掲載された記事、より大きな画像、その他の画像など】

このアプリは、ウイルス対策アプリ機能があることになっているが、実際はそのような機能はなく、個人情報を盗み出すものだそうだ。

これまでの偽アプリでは、ユーザーのデバイスがこのアプリに対応していない、というメッセージを表示していたが、今回は、機能しているように見せている。しかし、実際は、スキャン画面を表示している間に、デバイスに保存されているすべての連絡先を外部サイトにアップロードする。

アプリ自体がそれらしく作られているため、偽アプリかどうかを判断するのは難しいそうだ。また最近、このアプリを作った詐欺師は偽の Google Play ページを作成、アプリをホストする、という新たな手の込んだ手口も使っている。

同社では、スマートフォンユーザーは送信者が不明な電子メールにアプリのダウンロードリンクが掲載されているなどの手口を見かけた場合には、アプリをダウンロードしないよう、注意を喚起している。
 
 ウイルス作成:高校生ら3人、容疑で逮捕 ハッカー集団を解体−−府警 /京都

毎日新聞 9月28日



 コンピューターウイルスを作成したとして府警は27日、佐賀県みやき町、高校1年の男子生徒(15)ら3人を不正指令電磁的記録作成等(ウイルス作成)などの疑いで逮捕した。3人は同じハッカー集団のメンバーで、府警は集団の代表者に同日までに解散届を提出させた。ハッカー集団の解体は全国的にも珍しいという。
 他に逮捕されたのは▽大分県佐伯市の高校3年の男子生徒(19)▽大阪府高槻市の無職少年(18)。容疑は、今年5月〜7月、感染するとファイルを削除したり、パソコンが起動しなくなるウイルスを作成したとされる。また、佐賀県の少年は、感染すると相手の個人情報を抜き取るウイルスを作成し、埼玉県の少年2人のパソコンからオンラインゲームのパスワードやID計8個を抜き取ったとされる。
 府警によると、3人は有名オンラインゲームを有利に進めるためのアイテムを独自に作成して販売し、月数万円の売り上げがあった。しかし、最近になってネット上に同様のアイテムが無料で出回り始めたため、無料アイテムを使っている人を狙ってウイルスを送りつけていたという。
 高槻市の少年は「無料アイテムは怖いと思わせるためにウイルスを送りつけた」などと供述しているという。
 
 
ウイルス作成容疑で少年ら逮捕 不正ツール「無料で出回り困った」

産経新聞 9月27日


 オンラインゲームのパスワードなどを盗み出すコンピューターウイルスを作成したとして、京都府警サイバー犯罪対策課などは27日、不正指令電磁的記録作成容疑などで、佐賀県内の高校1年の男子生徒(15)ら15〜19歳の少年3人を逮捕した。いずれも容疑を認めている。府警によると、パソコンから個人情報を抜き取るウイルス作成の摘発は全国で初めて。

 3人の逮捕容疑は今年4〜7月、パソコン内に保存されたオンラインゲームのIDやパスワードの個人情報を抜き取り、男子生徒が運営するサーバーに送信させるウイルスを作成するなどしたとしている。

 府警によると、男子生徒らは、ハッキング方法などの情報交換をするネット掲示板「ばぁすと」のメンバー。男子生徒らは、オンラインゲームで不正をするツールを開発して販売していたが、「最近は無料で出回っていて困っていた」などと供述。自身が開発した商品を購入せずに、無料で手に入れようとする利用者を狙っていたという。
 
 高1ら、ウイルス送り他人のID抜き取り

読売新聞 9月27日



 オンラインゲーム利用者にコンピューターウイルスをメールで送りつけ、パソコンからIDやパスワードを抜き取ったとして、京都府警は27日、佐賀県みやき町の高校1年の男子生徒(15)を不正指令電磁的記録(ウイルス)作成と不正アクセス禁止法違反の疑いで逮捕した。

 府警によると、ウイルス付きメールで個人情報を抜き取る行為の摘発は全国初という。

 府警は同日、この生徒にウイルス作成を持ちかけたとして、大分県佐伯市の高校3年の男子生徒(19)も同作成容疑で逮捕した。

 発表では、2人は5〜7月、ハードディスクに保存されたデータを抜き取るウイルスを作成。佐賀県の生徒が、埼玉県内の男子専門学校生(18)ら2人のパソコンにウイルスを添付したメールを送りつけ、ハードディスク上のオンラインゲームのIDとパスワード計8組を抜き取り、自分のUSBメモリーに保管した疑い。

 男子生徒2人は容疑を認めているという。USBメモリーには、ほかに26組のIDとパスワードがあり、府警は余罪を調べる。

 2人は、オンラインゲームのキャラクターをレベルアップさせる有料の不正プログラムをネット上で販売するハッカー集団のメンバー。ウイルスを送った相手は無料の不正プログラム利用者とみられ、府警は、プログラム販売の邪魔になるため標的にしたとみている。
 
ウイルス作成容疑、少年3人逮捕=IDなども盗む―京都府警

時事通信 9月27日



 コンピューターウイルスを作成し、他人のIDやパスワードを不正に取得したとして、京都府警サイバー犯罪対策課は27日、不正指令電磁的記録作成などの容疑で、佐賀県みやき町の高校1年の男子生徒(15)と大分県佐伯市の高校3年の男子生徒(19)、大阪府高槻市の無職少年(18)の3人を逮捕した。いずれも容疑を認めているという。
 逮捕容疑では、高1生徒は高3生徒から依頼を受け、5月20日から7月30日までの間に、IDとパスワードの抜き取りやパソコンを動かないようにするソフトを作成。高1生徒は自分のUSBメモリーに不正取得した埼玉県の少年2人のIDとパスワード各8件を保有したとされる。無職の少年は4月4日、パソコンを動かなくするウイルスを作成した疑い。
 同課によると、3人はハッカーの掲示板などで知り合い、オンラインゲームで得点を上げるソフトを作成して販売。しかし無料ソフトが出回ったため、ウイルスを仕込んで利用者に無料は危険だと思わせようとしたという。 
.
中国電力、原子力関連含む業務情報が流出、社員の個人PCがウイルス感染

Impress Watch 9月27日


 中国電力株式会社は26日、同社社員の個人PCがウイルスに感染し、保存されていた業務情報がネットワーク上に流出したと発表した。

 流出した情報は、業務引継書、庶務関係資料、人事・労務関係資料など。原子力に関連する情報も含まれていたが、発電所のセキュリティなどにかかわる機密情報は含まれていないとしている。また、同社および他電力会社社員の連絡先名簿が含まれていたが、顧客情報は含まれていないことを確認しているという。

 21日、業務情報がネットワーク上に流出しているとの連絡が外部からあり判明した。同社では、社員用の業務用PCについては、会社が管理していない外部記憶メディアへの書き出しを防ぐセキュリティ対策を講じていた一方で、共用の業務用PCではこの対策が講じられていなかったため、個人PCへの持ち出しが行われてしまったという。
「Trend Micro Control Manager」にSQLインジェクションの脆弱性(JVN)

ScanNetSecurity 9月27日



独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月27日、トレンドマイクロ株式会社が提供する、同社ウイルス対策製品をひとつの拠点から集中管理できるソフトウェア製品「Trend Micro Control Manager」にSQLインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

「Trend Micro Control Manager 5.5.0.1823(日本語版)より前のバージョン」「Trend Micro Control Manager 5.5.0.1823(英語版)より前のバージョン」「Trend Micro Control Manager 6.0.0.1449(英語版)より前のバージョン」には、アドホッククエリのモジュールの問題が原因でSQLインジェクションの脆弱性(CVE-2012-2998)が存在する。この脆弱性が悪用されると、当該製品が使用しているデータベース上で任意のSQLコマンドが実行される可能性がある。JVNでは、開発者が提供する情報をもとに対応するパッチを適用するよう呼びかけている。
中国電力:原子力部門情報、ネット上に流出 /広島

毎日新聞 9月27日



 中国電力は26日、本社電源事業本部原子力部門の管理職社員が持ち出した業務情報が、ファイル共有ソフトを通じてインターネット上に流出したと発表した。データを保存していた個人パソコンがウイルス感染したため。同社や関係会社の計約1100人分のメールアドレス、電話番号なども含まれていた。顧客情報や核物質防護に関する機密情報はないという。
 同社によると、社員は昨年2月以降、自宅で仕事をするため、持ち出し禁止の業務引継書や労務関係資料、名簿などをUSBメモリーに移し、個人パソコンに保存していた。今月21日に外部流出情報が寄せられ、調査していた。
 社員各自の業務用パソコンはセキュリティー対策を講じた記憶媒体しか使えないが、この社員はこうした制限のない共有パソコンから、データを個人のUSBメモリーにコピーしていた。
 同社広報は「関係する方々にご迷惑をおかけしおわびする。厳正に対処する」とコメントした。今後は共有パソコンの利用目的の調査や、記憶媒体の使用制限など再発防止策を講じる。
この画面に注意!「安心ウイルススキャン」は悪質な偽アプリ……シマンテックが注意喚起

RBB TODAY 9月27日




悪質なアプリによる偽のスキャン実行画面


 シマンテックは26日、トロイの木馬「Android.Enesoluty」の作成者が、新しい偽アプリを流通させているとして注意喚起する文章を公開した。

【画像】その他の偽アプリ、偽Google Playの画面など

 このAndroid端末向けアプリは「安心ウイルススキャン」という名称となっており、一見正常に動作しているように見えるが、実際にはウイルス対策の機能はなく、個人情報を盗み出すものとなっている。

 このアプリを起動すると、定義ファイルをダウンロードし、ウイルススキャンを実行する画面が表示されるが、そのとき実際には、デバイスに保存されているすべての連絡先が、外部サイトにアップロードされてしまうという。

 このアプリは、送られてきたスパムメールのリンクに記載された、Google Playではない非正規サードパーティサイトで公開されている。不明なアドレスから送信されたメールとして受信者が警戒しないように、送信者はメールアドレスを変えているという報告もあるとのこと。さらに最近のサイバー犯罪者は、偽のGoogle Playページを作成して、アプリをホストするという新たな手口も使っている模様だ。そこには「SUN POWER」「電池持ち改善」「電波改善!」といったアプリも掲載されているが、これらもトロイの木馬が組み込まれたアプリとみられる。
偽ウイルス対策ソフトがAndroidにも、シマンテックが警告

@IT 9月26日



 シマンテックは9月26日、「電池長持ち」「電波改善」など、ユーザーに便利な機能をうたって個人情報を盗み出す悪質なAndroidアプリに続き、今度は、ウイルス対策アプリを装う悪質アプリが登場したとして、ブログで注意を呼び掛けた。

 PCの世界で広く被害を及ぼしていた偽のセキュリティ対策ソフトが、Androidにも登場したことになる。

 同社によると、この悪質アプリの名称は「安心ウイルススキャン」。インストールすると、定義ファイルをダウンロードし、あたかもAndroid端末内をスキャンしているかのような画面が表示されるが、これはただのおとりで、実際にはウイルス対策の機能などは備えていない。

 むしろその間に、デバイスに保存されているすべての連絡先が外部サイトにアップロードされてしまう。だが「アプリ自体はもっともらしい作りになっているので、疑わしい点を見出すのは困難」(同社)という。

 シマンテックによればこの悪質アプリは、過去の類似アプリと同様に、スパムメール経由で拡散している。また、偽のGoogle Play風ページを作成してアプリをホストし、ユーザーをだまそうとする手口も見つかったという。

 これを踏まえて同社は、知らない送信者から、アプリのダウンロードリンクが載っているメールが送られてきた場合などは注意し、安易にそこで紹介されているアプリをダウンロードしないよう勧めている。
ウイルス対策ソフトを装うAndroidの不正アプリに注意、シマンテックが警告

Impress Watch 9月26日




 シマンテックは26日、Android端末の連絡先を盗み出す悪質なアプリに、ウイルス対策ソフトを装う新たなアプリが登場したとして、注意を呼び掛けた。

【拡大画像や他の画像】

 アプリは「安心ウイルススキャン」という名称で、ウイルス対策ソフトを装っているもの。実際にはウイルス対策などの機能はなく、端末に保存されているすべての連絡先を外部のサイトにアップロードする。

 これまでにも、「電池長持ち」「電波改善」といった名称で同種の不正アプリが確認されているが、これまでのアプリは起動すると「デバイスがこのアプリに対応していない」といったメッセージを表示していたのに対し、今回のアプリはスキャンを行なっているように見せかけている。

 他の類似アプリと同様に、今回のアプリもスパムメールのリンクからアプリのダウンロードページに誘導されるようになっている。また、最近では、偽のGoogle Playページを作成してアプリをホストする、新たな手口が用いられるようになっているという。

 シマンテックでは、不明な送信者からのメールにアプリのダウンロードリンクが載っているなど、この種の手口を見かけた場合には、紹介されているアプリをダウンロードしないよう注意を呼び掛けている。
スマホにも偽ウイルス対策アプリ出現、電話帳データを盗む

ITmedia エンタープライズ 9月26日




不正アプリを紹介する配布サイト。Google Playサイトに似せた内容でユーザーをだます意図が見受けられるという(シマンテックより)


 シマンテックは9月26日、「ウイルス対策アプリ」と称してスマートフォンなどから電話帳データを盗み取る不正なAndroidアプリが見つかったとブログで伝えた。

 同社によると、このアプリは「安心ウイルススキャン」という名前で、外部サイトで配布されていた。インストールすると、定義ファイルのアップデートやウイルススキャンの実行、スキャン結果などに見せかけた画面を表示するが、実際には端末に登録されている電話帳データを外部のサーバに送信する。

 不正なAndroidアプリをめぐっては、以前から電波品質やバッテリ駆動時間などを改善すると称するアプリがスパム経由で外部サイトから配布されており、今回のアプリと同様に、正規の機能を実行しているようにユーザーに見せかけて個人情報を盗み取る行為が確認されていた。アプリ自体は“もっともらしい”作りになっているため、疑わしい点を見つけるのが困難だという。

 同社は、不明な送信者からの電子メールにアプリのダウンロードリンクが載っているなどの場合、紹介されているアプリをダウンロードしないよう注意を呼び掛けている。セキュリティ対策ソフトになりすました不正プログラムは、PCでは以前から横行しており、世界中で被害が報告されている。
.
原発情報など7000点ネット流出か 中国電の社員PCウイルス感染

産経新聞 9月26日



 中国電力(広島市)は26日、同社社員の個人所有のパソコンがコンピューターウイルスに感染し、パソコン内に保存されていた業務情報のファイル約7千点がインターネット上に流出した可能性があると発表した。

 同社によると、21日に外部からの指摘で流出が発覚。調査したところ、電源事業本部の管理職社員の個人パソコンがウイルスに感染していたことが分かった。同社は業務用パソコン以外への業務情報の持ち出しを禁止しているが、社員は無断で小型記憶媒体で情報を持ち出し、自宅で作業をしていたという。

 流出したファイルには同社や関係会社の社員約1100人分の電話番号などの個人情報のほか、原子力部門の資料も含まれていたが、庶務関係の資料などで、セキュリティー上の機密資料は含まれていなかったという。

 同社は「情報流出が発生したことを重く受けとめ、今後、情報管理を一層徹底し、再発防止に全力で取り組む」としている。
.
【レポート】スマートフォンなど複数デバイスを守る「ノートン 360 マルチデバイス」

マイナビニュース 9月21日


シマンテックは19日、新たなセキュリティ対策製品群を発表した。1本でWindows、Mac、Androidの各デバイスをカバーする「ノートン 360 マルチデバイス」のほか、ノートン360、ノートンインターネットセキュリティ、ノートンアンチウイルスなど各新バージョン。今回の新製品群では、従来からライセンス形態などが大きく変更された。なお、同社では30日間の体験版も公開している。

【拡大画像や他の画像】

まず、メインストリームとなるのは、「ノートン 360 マルチデバイス」である。ノートン 360 マルチデバイスは、ノートン 360 プレミアム(Windows版)、ノートン モバイルセキュリティ(Android版)、ノートン インターネット セキュリティ(Mac版)の組み合わせとなる。一般的なデバイスのセキュリティ対策をトータルに可能とするものだ。もちろん、その背景には、普及が進むスマートフォンなどがある。Windowsを2台でAndroidを1台、Macを1台でAndroidを2台などひとつのプロダクトキーで自由に組み替えられる。また、ノートン 360 マルチデバイスでは、25GBのオンラインストレージが追加される。

個々の対応OSは、ノートン 360がWindows XP SP2以降、ノートン インターネット セキュリティMac版はMac OS X 10.7/10.8、ノートン モバイルセキュリティはAndroid 2.2から4.0まで対応する。1年間の使用期間内に、PC、Mac、スマートフォンの任意の3台までインストールできる。ダウンロード版は9月19日より、パッケージ版は9月20日より発売で、価格は8,980円である。

他のラインナップには、ノートンインターネットセキュリティが、1年3台で6,480円。ノートンアンチウイルスが、1年3台で4,980円となっている。従来のノートン 360は、ダウンロード販売のみとなった(1年3台で、8,480円)。また、今回のリリースから製品名に「2013」といった年号表示がなくなった。シマンテックによれば、バージョンレスにより、つねにユーザー環境では最新の状態に維持され、特に再起動の必要もなく、使い勝手が向上するとのことである。

○新機能や強化ポイントは3つのキーワードから

今回の新機能や強化ポイントをまとめると、

1. より安全に
2. より簡単に
3. より使いやすく

の3つに集約される。まず、安全であるが、新機能としてWebインサイトが搭載された。個人情報を入力するようなWebサイトでは、本当に安全なWebサイトかどうか、見た目では判断することが難しい。そこで、新しいサイトか、ユーザー数やノートンコミュニティの評価などから判断し、事前に確認画面を表示する機能である。これにより、詐欺行為などから守ることができる。Facebookなどソーシャルネットワークの保護機能も加えられている。

簡単では、メイン画面が非常にシンプルになった。2012であったリアルタイムでの脅威状況の表示もそれなりに興味深いものであったが、それらが廃止され図5のようになった。

そして、使いやすさでは、Windows 8への対応があげられる。もちろん、タッチパネルにも対応している。10月にリリース予定のWindows 8でも、安心して利用できるだろう。

シマンテックによれば、これまではノートンインターネットセキュリティは秋、ノートン360は春とほぼ半年の差でリリースされてきた。今後は、バージョンレスということもあり、必ずしもそうならないとのことである。

(c-bou)
Sophosのウイルス対策ソフトで誤検知発生、自社ファイルも「マルウェア」と認識

ITmedia エンタープライズ 9月21日



 英セキュリティ企業Sophosのウイルス対策ソフトが、無害なファイルを誤ってマルウェアと認識し、隔離してしまう問題が発生した。同社は日本時間9月20日に勧告を出し、各国で多数の顧客やパートナーに混乱が生じているとして謝罪。問題解決のための方法を紹介している。

 Sophosによると、日本時間の20日未明、同社の製品が、膨大な数の実行可能ファイルを誤ってマルウェアの「Shh/Updater-B」として検知してしまう問題が発生した。誤検知されたファイルの中には、Sophos自身のものも含まれていたという。

 この影響で、Shh/updater-Bが検出されたというアラートが表示され、エンドポイント側ではSophos製品および他社製品の自動更新機能が正常に作動しなくなる現象が起きている。影響を受けるのはWindowsのみ。Sophosでは、「日本時間の20日未明に発生したShh/updater-Bの検知は誤検知で、ウイルス/マルウェア感染ではない」と説明している。

 原因は、SophosがLive Protectionシステムで使用するために配信したウイルス定義ファイルが、アップデート機能を備えた多数のバイナリをマルウェアと認識してしまったことにあるという。

 同社は既に誤検知を食い止めるための対策を講じたといい、ライブスキャンを有効にしていれば、誤検知はストップする。ライブスキャンを有効にしていない場合でも、日本時間の20日早朝に配信された「javab-jd.ide」がダウンロードされれば、誤検知は出なくなるという。

 マルウェアと認識されたファイルは、ユーザーが移動または削除する設定にしていない限り、隔離されただけの状態になっている。Sophosはアドバイザリーの中で、問題を解決するための方法を紹介している。
9・18の中国からの攻撃は収束傾向も、今後も同様の攻撃が続く可能性(日本IBM)

ScanNetSecurity 9月20日


日本アイ・ビー・エム株式会社(日本IBM)は9月19日、東京SOCにおいて中国からの攻撃の増加を9月13日頃から確認していると発表した。この攻撃は、日本のWebサイトに対して攻撃を行うように中国のインターネットコミュニティ上で呼びかけが行われ、国内のWebサイトに対して局所的な被害が発生しているというもの。確認された攻撃は、主に既知のWebアプリケーション脆弱性を悪用するような攻撃(Nmapやw3afなどツールを利用した自動的な攻撃)やDoS攻撃で、特に高度な攻撃は確認されなかった。

東京SOCで確認した、中国からのブラインドSQLインジェクション攻撃の送信元IPアドレス数は、9月16日にピークを迎えたあとは減少傾向にある。昨年は9月18日のみに攻撃が集中する傾向にあったが、今年は9月13日頃から攻撃の増加が確認されており、長い期間にわたって攻撃が続いている。このような攻撃の増加は8月16日、17日頃にも確認しており、現在のところ中国からの攻撃は収束傾向にある。ただし、今後も同様の攻撃が続く可能性はあるとしている。
平成24年上半期のサイバー犯罪、ウイルスや児童買春・ポルノが大幅に増加(警察庁)

ScanNetSecurity 9月20日



警察庁は9月20日、「平成24年上半期のサイバー犯罪の検挙状況等について」を発表した。これによると、平成24年上半期の「サイバー犯罪」の検挙件数は3,268件で、前年同期比で755件、30.0%の増加となった。このうち「ネットワーク利用犯罪」は2,930件と同569件、24.1%と半期統計で過去最高となった。特に「児童買春・児童ポルノ法違反(ポルノ)」が530件で同177件、50.1%と大幅に増加したことが要因となっている。

不正アクセス禁止法違反は243件で、同144件、145.5%と倍増した。コンピュータまたは電磁的記録を対象とした犯罪は95件で、同42件、79.2%と大幅に増加した。また、平成22年上半期に都道府県警察の相談窓口で受理したサイバー犯罪等に関する相談件数は39,150件で、同1,493件、13.4%の減少となった。ただし、「迷惑メール」に関する相談は6,569件で同909件、16.1%の増加となり、さらに「コンピュータ・ウイルス」に関する相談は285件で、129件、82.7%と大幅に増加している。同庁では今後の対策として、「改正不正アクセス禁止法の的確な運用」「不正指令電磁的記録犯罪(ウイルス罪)への的確な対処」「違法情報等の取締りの強化」「被害防止対策の推進」「サイバー犯罪に関する相談窓口の充実強化」を挙げている。
フォーティネット、無線LAN搭載のオールインワンUTM

マイナビニュース 9月20日


フォーティネットは、無線LANアクセスポイントとIPSec/SSL VPN、ウイルス対策などのUTM機能を1つの筺体に統合したアプライアンス「FortiWiFi-40C」および「FortiWiFi-60C」の日本での販売を開始した。同社ではこれまで、無線LANコントローラを搭載したUTM「FortiGate」を発売しているが、今回はさらに無線LANアクセスポイントも統合した。

【拡大画像や他の画像】

「FortiWiFi-40C」は200Mbps、「FortiWiFi-60C」は1Gbpsのファイアウォールを搭載する。主にSOHOや大企業の拠点での利用を想定している。

参考価格は、「FortiWiFi-40C」が11万3,000円(初年度メーカ保守料込、2年目以降は1万4,000円)で、ウイルス対策、スパム対策、不正侵入検知/防御(IPS)などが利用できる初年度バンドルサービス込みの場合は、14万2,000円(2年目以降は4万3,000円)。

一方、「FortiWiFi-60C」は17万3,000円(初年度メーカ保守料込、2年目以降は2万2,000円)で、初年度バンドルサービス込みの場合は、22万7,000円(2年目以降は7万6,000円)。

インタフェースは、「FortiWiFi-40C」が10/100/1000 WANインタフェース×1、10/100/1000 DMZ/LANインタフェース×5、シリアル×1、USB×1。「FortiWiFi-60C」が10/100/1000 WANインタフェース×1、10/100/1000 DMZインタフェース×1、10/100/1000 LANインタフェース×5、シリアル×1、USB×1、Express Cardスロット×1。いずれも、対応無線LAN規格はIEEE802.11a/b/g/n。

また、FortiWiFiは、別のFortiWiFiを無線LAN子機(クライアントモード)として利用することが可能なほか、USBやExpress Cardスロットを使って、バックアップ回線として移動体通信サービスが利用できる。

マーケティング プロダクトマネージメントディレクター 根岸正人氏は、「新製品の特徴を一言で表現するとすれば、Wi-Fiを統合したオールインワンアプライアンスだ。最近は、モバイルデバイスだけでなく、倉庫などのハンドセットや医療用デバイスもワイヤレス化され、業界が急速に無線化に動いている」と新商品発売の背景を説明。

さらに、企業ポリシーでスマートデバイスの利用を禁止されていても、使用したいと考えるユーザーは4割にのぼるという、同社独自の調査結果も公表。企業のセキュリティリスクが増大している点を指摘した。

そのため、セキュリティを確保することが企業の大きな課題になっており、根岸氏はこの課題を解決する際に考えるべきポイントとして、スマートデバイス自体、VPN、ゲートウェイセキュリティ、無線LANアクセスからのトラフィックの4つを挙げた。そして同氏は、これらの課題を解決するのが今回の新製品だと説明した。

新製品では、Wi-Fi機能、無線LANコントローラ、UTMセキュリティゲートウェイのほか、ユーザー数無制限のリモートアクセス「SSL−VPN」や証明書認証(OTP認証)機能も持ち、証明書を持ったデバイスだけを利用可能にすることも可能だという。

リモートアクセスでは、今回、iOSおよびAndroidに対応した新バージョンのFortiClientアプリをリリース。これらは無料で提供され、FortiGateアプライアンスにSSL VPNトンネルモードおよびIPSec VPNでの接続が可能になる。また、iOS版FortiClientは、WebモードのSSL VPN機能が追加された。

また、同社は今回、企業内設置用の無線LANアクセスポイントの新機種「FortiAP-221B」の発売開始も発表した。「FortiAP-221B」は、IEEE802.11a/b/g/nに対応しており、今回新たにDFS(Dynamic Frequency Selection)に対応した。参考価格は11万9,000円(初年度メーカ保守料込、2年目以降は1万5,000円)。
MITB の脅威と対策 前編

ScanNetSecurity 9月20日



●MITBとその脅威

Man-in-the-Browser (MITB) とはコンピュータに感染したマルウェアが、ブラウザの拡張機能を用いるなどしてブラウザを乗っ取る攻撃を指します。これによって、ユーザーは本物のWebサイトにアクセスしているように見えるのにも関わらず背後で悪意ある活動が行われてしまう、というのがこの攻撃の恐ろしいところです。

●MITBによって考えられる攻撃

MITBを利用することによって考えられる攻撃は様々なものがありますが、類似手法と併せて見ると、次のような可能性が考えられます。

(1) 認証情報の窃盗
特定のIDとパスワードを入力するWebページを書き換えたりWebサーバー間で行われる通信を仲介したりすることによって、IDやパスワードを盗み取る攻撃が考えられ、実際に行われています。

(2) セッションの乗っ取り
ユーザーがオンラインバンキングなどを利用している背後で悪意ある活動 (例えば不正送金) を紛れ込ませる手段です。ユーザー自身がログインしている状態をマルウェアが悪用することによって、Webサイト側ではこの攻撃が行われていることに気づきにくくなってしまいます。これは今年明らかになったOperation High Rollerという攻撃において用いられました。

(3) 広告の書き換えや悪意あるサイトへの誘導

これは後述するGumblarや、技術的な手段はMITBではないものの2011年に犯罪グループが摘発されたことなどで話題となったDNS Changerが用いた攻撃です。このケースでは、攻撃者はWebサイトに表示されている広告を書き換える、Webサイトに悪意あるリンクを表示するなどの手口で利益を得ようとします。

●オンラインバンキングのセキュリティ対策とMITB

ここで、MITBが古典的な攻撃――特にオンラインバンキングを狙うもの――と何が違うのかについて見てみましょう。古典的な攻撃として広く用いられたものは、キーロガーなどによる認証情報 (ユーザーIDとパスワード) の窃盗と、偽サイトによるフィッシングです。これらの手法が広く用いられるようになってから、オンラインバンキングを運営する銀行は様々な対策を講ずるようになってきました。例をふたつ見てみましょう。

幾つかのオンラインバンキングにおいては、専用のソフトウェアキーボードを表示するようになっています。これはマウスを用いてユーザーIDやパスワードを入力することによって、キーロガーによって直接キーボード入力が読み取られないようにする対策です。

また特に偽サイトを通じた認証情報の窃盗を防ぐ、または継続的な被害を防止するために、二要素認証と呼ばれる追加の認証機構も導入されるようになってきています。日本のオンラインバンキングにおいては振込などの操作を行う際、専用のカードに記されている乱数表から特定の位置にある数字を入力させる例が代表的です。この対策を行うことによって今までの認証情報だけでは振込などの重要な操作を行うことができなくなるほか、仮に攻撃者が二要素認証の情報を抜き取ることに成功してもそれらを再利用することが難しくなります。

一方MITBを用いたオンラインバンキングへの攻撃はユーザーが実際に利用しているブラウザを乗っ取ってしまっているため、これらの対策をすべて無効化することができてしまいます。なぜなら、このような攻撃が行われている状況では本物のオンラインバンキングにおけるすべてのページがマルウェアによって書き換えられる可能性があるからです。

例えば本物のログイン画面やそのページが持つソフトウェアキーボードのプログラムを書き換えることによって入力されたIDやパスワードを盗むことができますし、本物の送金画面を書き換えて攻撃者の保有する不正な口座に書き換えたり、あるいはセキュリティ強化の名目で本物のURL上で二要素認証情報を盗む偽画面を表示したりすることすらできてしまうのです。

このような攻撃に気付こうとしても、MITB攻撃が行われているときユーザーのブラウザに表示されているのは本物のWebサイト (ただユーザーがそれを表示するブラウザ内で書き換えられているだけ) であるため気づくことは困難なのです。

MITBという攻撃はオンラインバンキングに特化したものではないのですが、先ほど挙げたオンラインバンキング側の対策をほとんど無効化できるという性質、またZeuSやSpyEyeといった有名な攻撃ツールがMITB機能を追加したことから近年攻撃に利用されるようになってきました。
Windows、Mac、Androidをまとめて保護する「ノートン 360 マルチデバイス」が公開

Impress Watch 9月19日



 (株)シマンテックは19日、セキュリティ対策ソフト「ノートン 360 マルチデバイス」の提供を開始した。また同日、「ノートン 360」「ノートン インターネット セキュリティ」「ノートン アンチウイルス」の最新版も提供が開始されている。

 「ノートン 360 マルチデバイス」は、Windows、Mac、Androidといった異なるデバイスを3台までまとめて保護することが可能。さらに、25GBのオンラインストレージを使用することが可能となっている。なお、価格はダウンロード1年版が8,980円(税込み)。

 「ノートン 360 マルチデバイス」をはじめとする最新版のノートンシリーズは、Windows 8に対応。また、“Facebook”や“mixi”といったSNSの保護機能など安全性が強化された。そのほか、各種デバイスにおける起動・シャットダウンの高速化や、消費電力の削減が図られている。

 「ノートン 360」「ノートン インターネット セキュリティ」「ノートン アンチウイルス」については、同社のWebサイトで30日間の無償体験版が公開されている。対応OSはWindows XP/Vista/7/8および64bit版のVista/7/8となっている。
ビジネスセキュリティ機能強化の第1弾となるメール自動暗号化製品を発売(ギデオン)

ScanNetSecurity 9月19日



株式会社ギデオンは9月19日、メール自動暗号化製品「ギデオン AutoCrypto」を同日より販売開始すると発表した。本製品は、同社のビジネスセキュリティ機能強化の第1弾となるもの。Linuxメールサーバ向けソフトウェアにウイルス対策とメール暗号化機能を搭載する「ギデオン AutoCrypto」、スパム対策機能を加えた「ギデオン AutoCrypto Plus」および「ギデオン ゲートウエイ オートクリプト」、アプライアンスの「ギデオン BLOC system AutoCrypto Plus」をラインアップする。

メール添付ファイルを自動で暗号化するほか、件名や本文に特定の文字を記述することで暗号化、非暗号化の指示が可能。送信アカウントにより暗号化の対象を指定することも可能となっている。また、誤送信防止機能として解凍パスワード送信の承認フローをスマートフォン、タブレットから操作できる。解凍パスワード送信メールのテンプレートは設定画面から編集可能だ。販売価格は、ソフトウェア製品の新規(初年度)ライセンスが132,000円から、更新(次年度)ライセンスが66,000円から。アプライアンス製品の新規ライセンスが408,000円から、更新ライセンスが118,000円から(すべて50ユーザでの価格)。
TIS、マカフィーとパートナー契約 - セキュリティソリューションを強化

マイナビニュース 9月19日



TISは9月18日、マカフィーの認定パートナープログラム「McAfee Security Alliance Program」に最上位のEliteパートナーとして参画し、マカフィーの提供するセキュリティ製品の一次代理店として契約を締結したと発表した。

TISは、情報漏えい対策、データ管理・監視、ネットワークへの不正進入検知・防衛などの個別ソリューションの提案・導入に加え、中長期的にはプライベートクラウドやデスクトップ仮想化(VDI)など、仮想化技術を用いたシステムインテグレーションサービスを補完するプラットフォームとしてマカフィー製品を活用していく。今後、両社は共同でマーケティング活動を実施し、TISの提案力と、マカフィーのセキュリティ分野での導入実績を強みとして、顧客の拡大を図る。

共同マーケティングの第1弾として、マカフィーのIPS(Intrusion Prevention System)製品であるネットワーク不正侵入防止ソリューション「McAfee Network Security Platform」を、直接顧客のネットワーク環境に設置、不正アクセスの実態を調査し、評価レポートを提供する。TISは構成検討、設置から評価レポートの作成までを行う。

この無償トライアルにより、昨今相次ぐサイバー攻撃による外部からの不正な侵入や、ウィルス感染したPCからの情報漏えいの有無など、ネットワークセキュリティの現状を正確に把握するとともに、セキュリティツールとしてのマカフィー製品の性能も併せて評価することができるとしている。
ネットワークに潜むTDL4マルウェア、大手企業など多数に感染被害

ITmedia エンタープライズ 9月19日



 セキュリティ企業の米Damballaは9月17日、高度な機能を持つマルウェア「TDSS/TDL4」の新しい亜種が見つかり、世界各国で大手企業を含む25万台以上のPCに感染していることが分かったと発表した。

 Damballaによると、TDSS/TDL4はマスターブートレコードに感染するマルウェアで、一時は450万台以上のPCに感染し、「破壊不可能」と呼ばれたボットネットを形成していたことで知られる。今回、同社が考案した方法により、同マルウェアに複数のバージョンが存在することが判明。新手の亜種は2012年5月ごろに出現し、Fortune 500社のうちの46社や政府機関なども含め、各国に被害が広がっているという。

 同マルウェアが使っている通信手段は、定義ファイルやブラックリストといった従来型のウイルス対策の手法では検出されにくく、長期間にわたって検出されないまま、企業のネットワークに潜んでいる可能性もあるという。

 Damballaが考案した方法では、ネットワークの挙動を監視することによって、こうしたマルウェアを発見することが可能になったとしている。
TIS、マカフィーとパートナー契約を締結、エンタープライズ向けセキュリティソリューションを強化

BCN 9月18日



 ITホールディングスグループのTIS(桑野徹社長)は、9月18日、マカフィー(ジャン・クロード・ブロイド社長)の認定パートナープログラム「McAfee Security Alliance Program」に、最上位の「Eliteパートナー」として参加し、マカフィーの提供するセキュリティ製品の一次代理店となる契約を締結したと発表した。

 TISは、マカフィーとのパートナー契約によって、エンタープライズ向けのセキュリティソリューションを強化し、顧客に対して情報漏えい対策、データ管理・監視、ネットワークへの不正進入の検知・防衛などの個別ソリューションを提案する。中長期的には、プライベートクラウドやデスクトップ仮想化(VDI)などの仮想化技術を用いたSIサービスを補完するプラットフォームとして、マカフィー製品を活用していく。

 TISとマカフィーは、共同でマーケティング活動を実施する。第一弾として、「不正アクセス監視 無料トライアルキャンペーン」を開始。マカフィーのIPS(侵入防止システム)製品「McAfee Network Security Platform」を、直接ユーザーのネットワーク環境に設置して、不正アクセスの実態調査や評価レポートの提供を行う。
PC、Androidともに脅威が活発化した8月--ウイルス脅威レポート(Dr.WEB)

ScanNetSecurity 9月18日



株式会社Doctor Web Pacific(Dr.WEB)は9月12日、「2012年8月のウイルス脅威」をまとめ発表した。8月は、ウイルス製作者およびインターネット詐欺師達の活動は目に見えて活発化した。「Dr.Web CureIt!」によって収集された統計によると、2012年8月にコンピュータ上で最も多く検出された悪意のあるソフトウェアは引き続き「Trojan.Mayachok.1」で、その検出数は先月に比べ6.5%増加した。2位は「BackDoor.Butirat.91」であったが、検出頻度ではTrojan.Mayachok.1との間に87.1%の差があるものの、「BackDoor.Butirat.91」に感染したコンピュータ数の合計は先月に比べ41.8%増加している。

8月にはGoogle Androidを狙った脅威が数多く見られ、記録的な数のサイトがモバイルプラットフォーム向け悪意のあるプログラムを拡散するサイトへと改変された。犯罪者は、ページを開いたユーザが、Android.SmsSendを拡散する悪質なサイトへとリダレクトされるようWebサイトの設定を変更している。また8月には、Android向けトロイの木馬ダウンローダーも発見され「Android.DownLoader.5.origin」と名付けられた。さらに、日本では多くのAndroidユーザのデバイス上にトロイの木馬が拡散され、ユーザは大量のスパム攻撃を受けた。
マイクロソフト、中国で出荷時からマルウェアを含むPCを発見――工場でプリインストールか?

Computerworld 9月17日



 米国Microsoftは、中国で出荷時のPCに、強力なボットネット・マルウェアがプリインストールされていたという、驚くべき証拠を公開している。

 中国でマルウェアの調査を行う「Operation B70」が開始されたのは2011年8月のこと。Microsoftの文書では、デジタル犯罪ユニット(DCU)が、中国内の様々な地域から20のブランドのPCを購入し調査をしたところ、そのうち4台がプリインストールされたバッグドア型のマルウェアによって感染しており、そのうち一つには既知の「Nitol」と呼ばれるルートキットが含まれていたという。


 調査チームが、Nitolの活動を追跡したところ、C&C(コマンド&コントロール)サーバが存在していることが明らかとなった。このマルウェアに感染させられたPCが、より大きなボット、おそらくDDoS攻撃を仕掛けるために使われることを突き止めたという。

 USBなどのリムーバブルメディアに自分自身のコピーを残すことによりNitolはプリインストールされていたPC以外にも広がっていく。

 NitolによってC&Cサーバでマルウェアをホストされた場合、マルウェア犯罪者たちにとっては、ほぼあらゆる問題行動が可能となる。キーロガや制御ウェブカメラ、検索設定の変更など、様々なことを犯罪者側が遠隔操作で行えるようになる。

 Microsoftは、長い間マルウェアがPCの製造中、もしくは製造後すぐにPCにインストールされているのではないか、という疑いを持っていたと述べている。

 Microsoftは調査結果を紹介したブログのなかで「特に不穏なのが、輸送、企業間移動などサプライチェーンのどこかの時点でPCにマルウェアがインストールされているということだ」と強調する。

 セキュリティ対策を加える前に、誰かが製造時にマルウェアをインストールしているという状況は、工程の後の方でセキュリティ対策を加えるというセキュリティ・システムそのものを見直さなければらならなくなる。

 加えて、エンドユーザーがこれらによるリスクを回避するには、既知の安全なイメージ・ファイルを用いて、オペレーティング・システム(OS)を再インストールするしかないだろう。

 「Operation B70」は、PCのセキュリティ状態が望ましくない状況に置かれている点を指摘しているとともに、サプライチェーンにおけるセキュリティに疑問を投げかけている。

 Microsoftは、すでに先週前半に、Nitolボットネットに指示するために使用されているC&Cサーバを制御するために米国裁判所から許可を取得したという。
(John E Dunn/Techworld.com)
不正ソフトがPCのサプライチェーンに紛れ込む? Microsoftが撲滅作戦

ITmedia エンタープライズ 9月14日


 米Microsoftは9月13日、サプライチェーンの流通過程でマルウェアを仕込んだ海賊版ソフトがコンピュータに搭載されていたことを突き止め、法的、技術的対策を講じてマルウェアとボットネットを阻止したと発表した。

 サプライチェーンのセキュリティの不備を突く形で、複数の小売業者が販売しているコンピュータにマルウェアを仕込んだWindowsソフトの海賊版が搭載されていたことは、Microsoftの独自調査で判明したという。このマルウェアは個人情報を盗んだり、盗んだ情報を利用して友人・知人をだますようなメールの送信やSNSへの投稿を行い、感染をさらに拡散させる機能を持っていた。

 この調査結果を受け、同社デジタル犯罪対策部門はバージニア州の裁判所の許可を得て、マルウェアとそれを操っている「Nitol」と呼ばれるボットネットを撲滅するための法的、技術的措置に乗り出した。Nitolなどのボットネット運営に使われていたドメインを制御することにより、ボットネットを遮断し、500種類以上のマルウェアを阻止したとしている。Microsoftがボットネット撲滅に乗り出したのは過去半年で2度目となる。

 コンピュータのサプライチェーンでは何社もの企業が輸送や販売にかかわっており、どの過程でも海賊版ソフトが紛れ込む可能性はあるとMicrosoftは指摘。サプライチェーンにかかわる流通業者や小売業者は、自分たちが扱うコンピュータやソフトウェアが信頼できる筋から来たものであることを確認するための対策を講じる必要があると提言している。
「Tor」匿名化ネットワークに潜伏、攻撃を指示するボットネットが見つかる

Computerworld 9月13日






今回発見されたボットネットは、Torネットワークにより“身元”を秘匿したC&Cサーバがコントロールしているという(画像はG Dataブログ)


 ドイツのウイルス対策ベンダー、G Data Softwareのセキュリティ研究者らが、身元を秘匿化する「Tor(The Onion Router)」ネットワーク内で稼働するIRC(Internet Relay Chat)サーバからコントロールされているボットネットの存在を確認した。

【詳細画像を含む記事】

 G Dataの研究者は、9月10日付のブログ投稿でその概要を報告した。

 ボットネット運用者にとって一番の利点は、ボットネットに命令を下すC&C(Command and Control)サーバの物理的な場所を特定するのがきわめて困難であるため、警察などの法執行機関やセキュリティ・ベンダーが簡単には遮断できないことだという。

 Torは、インターネット・ユーザーに匿名性を提供するために設計されたソフトウェアだ。Torを利用してインターネット上のリソースにアクセスすると、ユーザーのコンピュータから送信されたリクエストは、ほかのTorユーザーが自発的に運用している複数のノードをランダムに経由し、アクセス先ホストにはリクエスト元がわからない(最後のノードがリクエスト元に見える)仕組みになっている。

 さらに、通信経路上では複数層にわたって暗号化されており、ISP(インターネット・サービス・プロバイダー)レベルで運用されている監視システムでは、Torユーザーが目標としているアクセス先ホストはどこなのかを突き止めるのも非常に困難だ。

 こうした仕組みから、侵入検知システム(IDS)によってトラフィックが遮断されにくい点もTorネットワーク経由でボットネットをコントロールする利点だと、G Dataの研究者らは指摘している。

 IDSは一般的にシグネチャを使用し、ネットワークに存在する感染コンピュータによって生成されたトラフィックを把握している。通常の場合、こうしたシグネチャはトラフィックの宛先や実際のコンテンツを見る。しかし、Torトラフィックは既知の悪質な宛先を直接目指しているわけではなく、さらにはトラフィックの内容も暗号化されているため、当該のトラフィックを“悪質なもの”と判別しにくいのだ。

 G Dataの研究者らが発見したボットネットは、いわゆる「hidden service(秘匿サービス)」として、Torネットワーク内で稼働しているIRCサーバを使用していた。

 Torの「Hidden Service Protocol」を利用すれば、Webサイトやインスタント・メッセージング・サーバなど、Torネットワーク内からのみアクセス可能なさまざまなサービスを実行できる。これらのTorサービスは、実際のIPアドレスではなく「.onion」アドレスからアクセスするため、匿名性が保たれるわけだ。

 Torネットワークは本来、ネットワーク・レベルの監視からユーザーのプライバシーを保護したり、言論や通信の自由が保障されていない国で政治活動やジャーナリスト活動を守るといった目的のために運用されている。だが、乱用される余地もまた作り出してしまった。過去には、Torネットワークの秘匿サービス機能が違法薬物のオンライン売買所をホスティングするのに悪用されたことがある。
(Lucian Constantin/IDG News Serviceルーマニア支局)

自信過剰な人はセキュリティ被害に遭いやすい、IPAが傾向分析

ITmedia エンタープライズ 9月13日


 自信過剰な人はウイルス感染やフィッシング詐欺などの被害に遭いやすい――情報処理推進機構(IPA)は9月13日、情報セキュリティ被害に遭いやすいコンピュータ利用者の属性について分析した結果を発表した。

 この取り組みは、実際にセキュリティ被害に遭う利用者の傾向を明らかにすることで、有効な情報セキュリティ対策の実現に役立てるのが狙い。分析は、IPAが2010年に実施した「情報セキュリティの脅威に対する意識調査」での約5000人のデータを用いて行い、コンピュータの利用傾向やセキュリティ対策への意識、被害経験などと、回答者の年齢などとの関係を調べた。

 その結果によると、「意識的なセキュリティ対策」と「情報収集・処理能力」が、セキュリティ被害に遭う確率を下げる要因であると判明した。一方で自信過剰になると、フィッシングや不正利用といった被害に遭う確率を高まることが分かったという。このほか、ネットオークションやSNS、オンラインゲーム、ファイル交換ソフトの利用者も被害に遭いやすい傾向にあることが明らかになった。

 IPAでは「意識的なセキュリティ対策の浸透や、情報処理・収集能力の向上につながる取り組みを進めることで、被害低減に向けた対策を実施してほしい」としている。
【レポート】画面を太陽光にあてて充電? Androidを狙った攻撃に注意を − トレンドマイクロレポート

マイナビニュース 9月12日


トレンドマイクロは、2012年8月度のインターネット脅威マンスリーレポートを発表した。トレンドマイクロでは、改めてスマートフォンの脅威について注意喚起を行っている。その傾向であるが、攻撃においてユーザーの警戒心を下げるために、アプリの紹介を巧みに行っていることだ。従来は、ゲームや動画コンテンツの再生アプリを偽装するものが主流であったが、ここにきてその手口に変化が見えてきた。一例を紹介しよう。「AndroidOS_Contacts.E」として検出される「Power Charge」は、スマートフォンの画面を太陽光にあてると充電ができるというアプリである。図1は「Power Charge」の配布サイトである。

少し考えれば、このようなアプリがあるはずがないとわかりそうである。しかも、Google Playといった公式なサイトでもない。しかし、ユーザーを欺くために、口コミが使われている(図2)。

いかにも、それらしく評価されている。また、限定公開であるからGoogle Playには、公開していないとも書かれている(さらに、提供元不明の対処法まである)。たったこれだけのことであるが、便利なアプリと信じ込ませている。実際には動作することもなく、画面に「未対応」というメッセージが表示され、電話帳を攻撃者のサーバに不正送信する。この時点で、アプリを削除しても間に合わない。

トレンドマイクロによれば、似たような不正アプリが検知されており、いずれも一部のコードに類似点があったとのことだ。このような攻撃が有効とわかると、同じような手口を使ってくる。まずは、アプリのダウンロードは正規のマーケットからのみ行う、スマートフォン用セキュリティ対策ソフトの導入など、対策をしてほしい。

○国内で収集・集計されたランキング

まず、ランキングで1位となった「ADW_SOMOTO(ソモト)」であるが、ユーザーの意図しない広告を勝手に表示するアドウェアである。いきなりの1位となり、ランキング全体もやや変動の多いものとなった。また、Javaの脆弱性などを悪用しWeb経由で感染する「ZACCESS(ジーアクセス)」関連の不正プログラムも多い。

表1 不正プログラム検出数ランキング(日本国内[2012年8月度])
○世界で収集・集計されたランキング

国内の検出数ランキングで1位となった「ADW_SOMOTO(ソモト)」が全世界でも3位となtっている。世界的には「WORM_DOWNAD.AD(ダウンアド)」が1位を維持している。依然として、大きな脅威といえるだろう。

表2 不正プログラム検出数ランキング(全世界[2012年8月度])
○日本国内における感染被害報告

8月の不正プログラム感染被害の総報告数は846件で、7月の1497件から大きく減少した。感染被害の1位は、検出数でもランクインしている「SIREFEF(サーエフエフ)」が入っている。また、偽セキュリティ対策ソフトの「TROJ_FAKEAV(フェイクエーブイ)」もランクインしている。これらには、今後も注意したい。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年8月度])

(c-bou)
発見されたばかりの脆弱性を悪用する添付ファイルに注意--8月度レポート(マカフィー)

ScanNetSecurity 9月11日

マカフィー株式会社は9月11日、2012年8月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、8月も「Blackhole」が世界、日本ともに流行している。Blackholeはここ数カ月、JREの脆弱性攻撃が活発で、具体的には、「CVE-2012-1723」や先月ゼロデイとして発見された「CVE-2012-4681」など、発見されたばかりの最新の脆弱性が悪用されている。

また、ランクインはしていないがAdobe Flashの脆弱性である「CVE-2012-1535」が標的型攻撃に悪用されていることが確認されている。多くの場合、不正なFlashファイルはWordファイルに含まれて存在しており、この不正なWordファイルがメールの添付ファイルとして狙われたユーザに送られてくる。この脆弱性を修正せずに不正なWordファイルを開いてしまうと、BackDoor型のトロイの木馬に感染し、情報漏えいや感染コンピュータが踏み台になるなどの被害に遭う可能性がある。
カスペルスキー、コンシューマ向けウイルス対策ソフトの新版を発表

Computerworld 9月11日


▲カスペルスキー代表取締役社長の川合林太郎氏


▲カスペルスキー代表取締役社長の川合林太郎氏

 カスペルスキーは9月10日、コンシューマーを対象としたセキュリティ・スイートである「カスペルスキー 2013 マルチプラットフォーム セキュリティ」を発表した。10月11日より販売する。

【詳細画像を含む記事】

 同製品は、Windows OS向けの「カスペルスキー インターネット セキュリティ」と、Mac OS向けの「カスペルスキー セキュリティ for Mac」、Android OSを対象とした「カスペルスキー モバイル セキュリティ 」(スマートフォン版/タブレット版)で構成される。

 同社代表取締役社長の川合林太郎氏は、「デジタル・デバイスとプラットフォームの多様化で、1ユーザーが複数のデバイスを持つようになった。われわれは『ユーザーの情報全体を守る』というコンセプトで、プラットフォームに依存しないライセンス体系で製品を提供する」と語った。

 ライセンスは「1年プライベート版」「3年プライベート版」「1年3台版」「3年3台版」の4種類で、プライベート版では、個人が使用するデバイス10台ぶんのライセンスが提供される。また3台版は、どのような組み合わせで利用してもよい。

▲「カスペルスキー 2013 マルチプラットフォーム セキュリティ」の製品ラインナップと価格

 同社によると2012年はモバイルOS――特にAndroid OS――をターゲットとしたマルウェアが急増しているという。川合氏は、「2011年12月では1万以下だったモバイル向けマルウェアの検体数は、2012年6月には3万超に急増した。スマートフォンにもセキュリティ・ソフトをインストールすることが重要だ。われわれはユーザーに、『これさえあれば、インターネットを利用できる』といった安心感を提供する」と語り、「ユーザーセントリック」で情報を守る姿勢を強調した。

 インターネット セキュリティには新機能として、「脆弱性攻撃ブロック機能」と 「ネット決済保護機能」、「入力情報漏洩防止機能」が搭載された。

 脆弱性攻撃ブロック機能は、Adobe Reader、Internet Explorer、Microsoft Officeなど、頻繁に狙われるアプリケーションを監視するものである。不審な実行ファイルやコードを起動すると、セキュリティ・チェックが実行され、アプリケーションを制御する。さらに、起動の試行前動作の監視や、コード起点の追跡などの機能も提供するという。

 ネット決済保護機能は、同製品の“目玉”とも言える機能だ。これは、オンライン・バンキングなどの利用時に、個人情報を保護するものである。ユーザーがオンライン決済システムのWebサイトにアクセスすると、接続先のURLを確認し、自動的に「ネット決済保護モード」の専用ブラウザが立ち上がり、同ブラウザで実行されるすべてのオンライン操作に対して、独自のセキュリティ機能が追加されるという。同社では、「これにより、サイバー犯罪者の偽装サイトを排除することが可能となる」としている。

 入力情報漏洩防止機能は、物理キーボードで直接入力した情報を保護し、キーロガーなどによる個人情報の漏洩を防止する。また機能強化としては、Windows 8に対応するとともに、GUIが改善され、インストールやスキャン、保護状態の確認などの操作がさらに簡単なった。

 セキュリティ for Macの新機能としては、セキュリティ・キーボードのほか、保護者による管理機能が搭載された。さらにUIの改善のほか、OS X Mountain Lion(OS X 10.8)に対応したという。

▲モバイル セキュリティ(スマートフォン版/タブレット版)の搭載機能一覧

 販売目標について川合氏は、「日本における市場シェアは、2年前は1ケタ台だったが、2011年には14.5%を獲得した。今回の製品投入で、20%~30%のシェアを獲得したい」と語った。

 なお、同社は新たなプロモーションキャラクターとして「グリーンベア」を起用することも明らかにした。川合氏は、「グリーンは世界的に安全を意味する色であり、熊は幸福の象徴として認知されている。昨年までのAKB 48とはかなり異なるが浸透させていきたい」と述べた。

▲「グリーンベア」(♂)。ゆるキャラと呼ぶにはちょっと無理がある
(Computerworld.jp)
2012年の「最も危険なセレブ」はエマ・ワトソン、McAfeeランキング

ITmedia エンタープライズ 9月11日



 セキュリティ企業の米McAfeeは9月10日、マルウェアを仕込んだ不正サイトにユーザーをおびき寄せる目的で利用されやすい「危険なセレブ」の2012年版ランキングを発表した。今年の1位は「ハリー・ポッター」シリーズ映画への出演で知られる英女優エマ・ワトソンだった。

 ネット上では有名人の名をかたって不正サイトにユーザーをおびき寄せ、ビデオや写真が見られると称してマルウェアをダウンロードさせるなどの手口が横行している。こうした手口に使われることの多い有名人は、ワトソンに続いてジェシカ・ビール、エヴァ・メンデスの女優3人がトップ3に入った。

 一方、男性で20位以内に入ったのは人気司会者のジミー・キンメル(13位)のみ。McAfeeは「女性は男性よりも危険であることが分かった」と解説している。

 特に「free downloads」「nude pictures」の用語で検索すると、こうした危険な不正サイトに行き着く可能性が高かった。McAfeeの調査では、「エマ・ワトソンの写真」と「ダウンロード」の用語を組み合わせて検索すると、12.6%以上の確率で不正なサイトに行き着くことが分かったという。

 こうした不正サイトの被害に遭わないために、ビデオなどのコンテンツを提供する前提として何かをダウンロードさせようとするWebサイトには警戒する必要があるとMcAfeeは指摘。そうしたコンテンツは評判が確立された大手のWebサイトから入手した方がいいと忠告している。
トレンドマイクロ、非正規マーケットでのアプリダウンロードに注意呼びかけ

マイナビニュース 9月10日


トレンドマイクロは、2012年8月度のインターネット脅威マンスリーレポートを公表した。そのなかで、Android端末向けに提供されているユーティリティアプリを装った不正アプリの存在について触れた。同レポートでは、非正規マーケットからのアプリダウンロードに注意を呼びかけるとともに、セキュリティソフトによる対策の必要性について言及されている。

トレンドマイクロでは8月に「Power Charge」「電池長持ち」「電波改善」「app電話帳リーダー」「無料電話」といったユーティリティアプリを装って配布される不正アプリの例を複数確認。これらは非正規のマーケットではなく攻撃者の作成した悪意のサイトで配布され、ユーザーの警戒をとくために、アプリの紹介方法が巧妙なものになっていると指摘した。

一例として、不正アプリ「Power Charge」では、スマホの画面を太陽光に当てると充電できるアプリとして紹介されており、サイト上にはユーザによる評価として口コミのコメントも併記。同アプリにはそのような機能はなく、画面上に「未対応」というメッセージが表示されるのみで、ダウンロード後にアプリを起動すると電話帳を攻撃者のサーバに不正送信されてしまうという。

同社では、今回、発見した不正アプリの一部には、コードにおいて類似点が確認されており、同一犯の可能性について指摘した。また、一定の効果が確認された手法は次々に模倣され、さらに巧妙になることが懸念され、アプリを非正規のマーケットからダウンロードする際に警戒するとともに、スマートフォンにはセキュリティソフトを導入し、不正な活動がないかチェックする必要があるとまとめている。

(記事提供:AndroWire編集部)
Google、マルウェア検出サービスのVirusTotalを買収

ITmedia ニュース 9月10日


Chrome向け拡張機能「VTchromizer」はChrome Web Storeからダウンロードできる


 米Googleは、スペインのセキュリティ企業VirusTotalを買収した。VirusTotalが9月7日(現地時間)に公式ブログで発表した。買収総額などの詳細は公表されていない。

 VirusTotalは2004年創業の、アンダルシア州マラガに拠点を置く非公開企業。複数のウイルス対策エンジンとWebサイトスキャナーによってファイルやURLを分析し、ウイルスやワームなどのマルウェアを検出する無償のサービスを提供する。このサービスをWebブラウザで利用するための拡張機能が、GoogleのChromeの他、MozillaのFirefox、米MicrosoftのInternet Explore(IE)、ノルウェーOperaのOpera向けに公開されている。

 VirusTotalは買収完了後も独立した傘下企業として運営され、従来のサービス提供を継続するという。同社は発表文で「われわれの目標はWeb上でユーザーを安全に保つことだが、小規模な企業にとってそれは難しいことだった。従って、長年のパートナーであるGoogleがわれわれを買収するのは喜ばしいことだ。この買収はユーザーにとっては素晴らしく、マルウェア作者にとっては悪いニュースだ」と語った。

 Googleは詳細を発表していないが、ネットワーク管理者向け不正サイト報告サービス「Safe Browsing」やAndroidアプリストア「Google Play」のマルウェア対策機能「Bouncer」などの強化が狙いとみられる。
米グーグル、セキュリティーのウイルストータルを買収

ロイター 9月10日

[サンフランシスコ 7日 ロイター] インターネット検索大手の米グーグル<GOOG.O>は7日、コンピューターセキュリティー関連サービスのウイルストータルを買収したと発表した。買収金額は公表していない。

ウイルストータルは、感染が疑われる文書やサイトについて入手可能なあらゆるウイルス対策ソフトを駆使してチェックし、その結果をウイルス対策ソフト会社に報告する。その際にソフト会社は問題となった文書やサイトの情報も報告するため、新手の脅威や攻撃の標的になっているサイトを把握する上で価値の高い情報と考えられている。グーグルとしてはウイルストータルの買収によりメールサービスの「Gメール」やソーシャルサービスである「グーグル+」でのウイルス感染の防止を大幅に強化できる。

ウイルストータルは声明で、グーグルによる買収後も独立企業としてサービスを提供すると強調した。
増加するAndroid向け不正アプリ、見かけは便利ツールでも実態は…

Computerworld 9月7日


▲日本国内における8月の不正プログラム検出状況(出典:トレンドマイクロ)


 トレンドマイクロは9月7日、2012年8月度のインターネット脅威リポートを公開した。それによると、新たなAndroid端末向けの不正アプリが複数確認されたという。

【詳細画像を含む記事】

 トレンドマイクロによると、8月に確認された不正アプリは、「Power Charge」「電池長持ち」「電波改善」「app電話帳リーダー」「無料電話」などで、便利ツールを装って配布されるものが多かったという。これらの不正アプリは正規のマーケットではなく、攻撃者が作成した悪意のサイトで配布されていたが、ユーザーの警戒を避けるため、アプリを紹介する方法に手が込んでいる点が特徴だ。

 例えば、「Power Charge」と名付けられたアプリ(「AndroidOS_Contacts.E」として検出)は、スマホの画面を太陽光に当てると充電できるアプリとして紹介され、サイト上にはユーザーによる評価として口コミのコメントも併記されていた。しかし実際には動作せず、画面に「未対応」というメッセージが表示され、ダウンロード後にアプリを起動すると電話帳を攻撃者のサーバに不正送信するというものだ。

 また、「電池長持ち」という名称のアプリは、「わんこアプリ」と称して、Facebookの愛犬家のコミュニティにURLが紹介されていた。こちらも、偽の口コミが複数投稿されていたという。ほかにも同社では、「当たるかな??」というアプリ(「AndroidOS_Loozfon.A」として検出)が、女性を対象に高収入の副業を紹介するサイト上で配布されていたことを確認している。

 トレンドマイクロは、「今回、発見した不正アプリの一部には、コードにおいて似た点が確認されており、同一犯の攻撃である可能性も示唆される。不正アプリによる攻撃の常として、一定の効果が確認された手法は次々に模倣され、さらに巧妙化が進むことが懸念される」と指摘。「マーケット以外からダウンロードする際には特に警戒を高めるとともに、デバイスにはセキュリティソフトを導入し、不正な活動がないかチェックすることが大切だ」としている。

 日本国内における8月の不正プログラム検出状況は下表のとおり。

▲日本国内における8月の不正プログラム検出状況(出典:トレンドマイクロ)

 また、不正プログラム感染被害報告数(国内)は846件で、7月の1497件から減少した。被害数が一番多かったのはトロイの木馬型「TROJ_SIREFEF」で45件。2位はJava Scripの「JS_BLACOLE」(21件)、3位はバックドアの「BKDR_ANDROM」(15件)だった。

 BKDR_ANDROMは英語のスパムメールに添付されて広まる不正プログラムで、運送会社を装ったメールや、Faxの不達を知らせるメールで確認されたという。
(Computerworld.jp)
個人向け2013年版セキュリティソフト4製品を発表(マカフィー)

ScanNetSecurity 9月7日


マカフィー株式会社は9月6日、個人向け2013年版セキュリティソフト「マカフィー オール アクセス 2013」「マカフィー トータルプロテクション 2013」「マカフィー インターネットセキュリティ 2013」「マカフィー アンチウイルス プラス 2013」の4製品の店頭販売を9月21日より開始すると発表した。「マカフィー オール アクセス」は、ひとりのユーザが所有し使用する全てのデバイスに台数の制限なく同社のセキュリティ製品をインストールすることができるユーザ数ベースのマルチデバイス向けセキュリティ製品。オフィス利用も想定されている。

各製品の価格は以下の通り。

マカフィー オール アクセス (5ユーザ1年版、オフィス・家族向け):14,800円
マカフィー オール アクセス (1ユーザ1年版):9,980円
マカフィー トータルプロテクション 2013(3台1年版):8,280 円
マカフィー インターネットセキュリティ2013(3台2年版):9,780円
マカフィー インターネットセキュリティ2013(3台1年版):6,980円
マカフィー アンチウイルス プラス 2013(1台1年版):4,280円
[新製品]マカフィー、マルチデバイス向け「マカフィー オール アクセス 2013」など個人向けセキュリティソフト

BCN 9月7日

マカフィー オール アクセス 2013


 マカフィーは、個人向けセキュリティソフトの最新版「マカフィー オール アクセス 2013」「マカフィー トータルプロテクション 2013」「マカフィー インターネットセキュリティ 2013」「マカフィー アンチウイルス プラス 2013」の店頭販売を9月21日に開始する。

【写真入りの記事】

 「マカフィー オール アクセス 2013」は、Windows PC、Mac、モバイル端末に対応するマルチデバイス向けのセキュリティ製品。1ユーザーが持っているすべてのデバイスで、台数の制限なく利用できる。

 「マカフィー トータルプロテクション 2013」は、Windows OS搭載PC向けの総合セキュリティ対策製品。インターネットの危険から子どもを守る機能も備える。「マカフィー インターネットセキュリティ 2013」は、ウェブ閲覧から電子メールまでインターネットを幅広く利用するユーザー向け。「マカフィー アンチウイルス プラス 2013」は、ウイルス対策に特化している。

 これらの個人向けセキュリティ製品には、新しい機能がリリースされると製品を自動アップデートし、常に最新の機能を使用することができるサブスクリプションモデルを採用。日々増え続けるさまざまな脅威に対して、最新のセキュリティ対策をリアルタイムで提供する。

 価格は、「マカフィー オール アクセス(1ユーザー1年版)」が9980円、「マカフィー トータルプロテクション 2013(3台1年版)」が8280円、「マカフィー インターネットセキュリティ2013(3台1年版)」が6980円、「マカフィー アンチウイルス プラス 2013(1台1年版)」が4280円。
マカフィー、「マカフィー オール アクセス 2013」など個人向け製品

マイナビニュース 9月6日


マカフィーは、同社の2013年版個人向けセキュリティソフトのパッケージ製品を9月21日より店頭にて販売する。製品は、「マカフィー オール アクセス 2013」(5ユーザー1年版 価格14,800円)、「マカフィー オール アクセス 2013」(1ユーザー1年版 価格9,980円)、「マカフィー トータルプロテクション 2013(3台1年版)」(価格8,280円)、「マカフィー インターネットセキュリティ 2013(3台2年版)」(価格9,780円)、「マカフィー インターネットセキュリティ 2013(3台1年版)」(価格6,980円)、「マカフィー アンチウイルス プラス 2013(1台1年版)」(価格4,280円)。



製品は、PCからMac、スマートフォンやタブレットと保有台数に関わらず、ユーザーを保護する「マカフィー オール アクセス 2013」、Webの脅威からのリアルタイム保護、ファイアウォール機能、暗号化されたストレージやオンラインバックアップ機能など総合的にユーザーを守る「マカフィー トータルプロテクション 2013」、アンチウイルス機能やWebからの脅威に対するリアルタイム保護、迷惑メール対策、保護者機能などを提供する「マカフィー インターネットセキュリティ 2013」、ウイルス対策にファイアウォール、デジタルデータの抹消、USBやリムーバブルドライブを保護する「マカフィー アンチウイルス プラス 2013」と用途に応じたラインナップを揃える。

同社の個人向けセキュリティ製品は、サブスクリプションモデルを採用しており、期間内に新機能がリリースされると製品が自動アップデートされ、タイミングに合わせたセキュリティ機能を享受できる。なかでも、「マカフィー オール アクセス」は、WindowsからMac、スマートフォンなどのモバイル端末まで台数を問わずにユーザー単位でセキュリティ対策を行うことができる製品となる。
【レポート】明確に日本人を狙う攻撃など個人情報を抜き取る不正アプリ − IPAの今月の呼びかけ

マイナビニュース 9月6日



IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンから個人情報を抜き取る不正アプリを紹介している。IPAではこれまでも、スマートフォンを狙った脅威とその対策などを紹介してきた。今回、取り上げる不正なアプリは、日本語のメールで誘導していた。つまり、明確に日本人を狙った攻撃といえる。IPAでは、この不正アプリを入手し、その攻撃手法などを分析した。その手口を紹介したい。



○メールで不正アプリのダウンロードを誘導

今回の不正アプリでは、ダウンロードをさせるためにメールが使われた。実際には、図1、2のような内容であった。

いずれも、不正アプリをダウンロードさせるリンクが仕込まれている。この手口は、PCでウイルスに感染させる手口と同じものである。さらに図2では、「Google play」を騙り、本物と信用させようとしている。

○SNSも悪用

今回は、メール以外にもSNS(ソーシャルネットワークサービス)も使われた。

アプリの紹介とともに、ダウンロードさせるリンクが仕込まれている。SNSは、知り合い・友人といったコミュニティで形成されることが多い。つい安心してしまい、注意力が働かないことがある。そんな油断を狙っているのである。

○不正アプリのインストール

上述のような手口を使うことで、ユーザーを不正なサイトへと誘導する。実際にダウンロードを行い、不正アプリのインストールを開始すると、図4のような権限の確認がでる。

「個人情報」にアクセスする許可が与えられる。実際にインストールすると、図5のようになる。

本来の動作をせずに、個人情報を抜き取る

さて、図5でアイコンをタップすると、この不正アプリが起動する。

画面には、初期設定中と表示されるが、必ず図7のように「未対応で利用できない」と表示される。

実は、図6から図7への間に、電話帳の内容を外部のサーバに送信しているのである。その送信内容の例は、以下の通りである。

test = 1%3A%E3%81%84%E3%81%B1 %E6%AC%A1%E9%83%8E%3A999-
9999%3Ajiro.t01c%4Ovirus.ipa.go.jp%2F2%3A5E5%B1%B1%E7%94%BO
%E5%A4%AA%E9%83%8E%3A888-8888%3Ayamada.taro.t01c%40virus.ipa.go.jp%2F

IPAがこの内容を解読したのが、以下である。

test = 1:いば 次郎:999-9999:jiro.t01c@virus.go.jp/2:山田 太郎:888-
8888:yamada.taro.t01c@virus.ipa.go.jp/

「:」で区切られた名前、電話番号、メールアドレスが見てとれる。このようにして、スマートフォンから、個人情報が窃取されるのである。

○不正アプリ対策

IPAでは、このような不正アプリに、以下のような対策をすべきとしている。

信頼できる場所からアプリをインストールする
AndroidであればGoogle play、iPhoneであればApple Store、また、通信事業者が公式に運営するサイトといった信頼できる場所からダウンロードをすることをIPAでは勧めている。これらのサイトでは、事前にアプリの審査を行い、不正アプリをダウンロードできないようにしている。決して、素性がはっきりしないようなサイトからダウンロードしないことである。

Android端末では、インストール前の許可を確認する
Android端末では、インストールの際に、どのような権限が必要になるかの確認が行われる(図4)。ここで、インストールしようとするアプリに不適切な許可を求めている場合、不正アプリの可能性が高い。そのような場合は、インストールを中止すべきである。インストール時には、必ず確認したいことである。

セキュリティ対策ソフトの導入
セキュリティ対策ソフトの導入することで、不正なアプリのインストールを防ぐことが可能である。上述の対策は、人間の注意力に頼るものである。しかし、図3のように、注意力を低下させるような手口が頻繁に使われている。もはや、注意力だけでは防ぎきれないといってもよい。すみやかに、導入を検討してほしい。

(c-bou)
マカフィー、「マカフィー オール アクセス 2013」など個人向けセキュリティソフト4製品を発表

ITmedia PC USER 9月6日



 マカフィーは9月6日、“2013年版”となる個人向けセキュリティソフト計4製品「マカフィー オール アクセス 2013」「マカフィー トータルプロテクション 2013」「マカフィー インターネットセキュリティ 2013」「マカフィー アンチウイルス プラス 2013」を発表、9月21日に販売を開始する。



 製品ラインアップは2012年度シリーズに準じており、Windows/Macおよびモバイル端末の保護が可能な「マカフィー オール アクセス」、ホームネットワーク保護やオンラインバックアップ機能などを備えた統合型セキュリティソフト「マカフィー トータルプロテクション」、フィルタリング機能などを備えた「マカフィー インターネットセキュリティ」、ウイルス対策ソフト「マカフィー アンチウイルス プラス」の計4シリーズを用意した。
[セキュリティ]マカフィー、2012年第2四半期の脅威レポートを発表、Android向けのマルウェアが引き続き増加

BCN 9月6日(木)



 米マカフィーが、2012年第2四半期の脅威レポートを発表した。Android向けのマルウェアが引き続き増加しているほか、Twitterを使用した新たな脅威などが確認された。

 2012年第1四半期にモバイルマルウェアが爆発的に増加して以来、Androidをターゲットにしたマルウェアの勢いは衰える気配がない。2012年第2四半期に検出された新種のマルウェアは、ほとんどすべてがAndroidプラットフォームをターゲットにしたもので、その内訳は、SMSを不正に送信するマルウェア、モバイルボットネット、スパイウェア、破壊的なトロイの木馬だった。

 また、ウェブサイトを閲覧しただけでウイルスなどに感染するモバイル版「ドライブ・バイ・ダウンロード」、Twitterを使用したモバイルボットネットのコントロール、データの回復のために身代金を要求するモバイル版「ランサムウェア」など、新しい脅威を確認した。

 さらに、USBドライブに感染するマルウェアやパスワードを盗むマルウェアが大幅に増加。AutoRunワームは、120万件近い新規サンプルが検出された。
IPA、8月分のコンピュータウイルスと不正アクセスの届出状況を公開

マイナビニュース 9月6日




独立行政法人 情報処理推進機構(IPA)は9月5日、8月のコンピュータウイルスおよび不正アクセスの届出状況を公開した。発表によると、8月に同機構が検出報告を受けたウイルスの総数は2万4189個で、前月比5.1%減。届出件数は、前月より9.6%多い961件となっている。



ウイルス検出数の内訳は「W32/Mydoom」が全体の63.8%で、「W32/Netsky」が24.3%、その他のウイルスが11.9%となっている。

コンピュータウイルス以外の「不正プログラム」の検出数は2万1437個で、前月の10万367個から一気に減少した。検出数のトップ3は、1位が偽セキュリティソフトの「Fakeav」で2504個、2位はPCに不正アクセスのための侵入経路を仕掛ける「Backdoor」で1850個、3位は宅配会社の伝票情報に見せかけることで感染を試みる「Invo」で1710個。

このほか、不正アクセスの届出件数は9件で、被害の内訳は「侵入」6件、「なりすまし」2件、「DoS攻撃」1件となっている。

また8月のウイルス・不正アクセス関連の相談総件数は980件だったという。内訳はワンクリック請求に関する相談が255件、偽セキュリティソフトに関する相談が41件、ファイル共有ソフト「Winny」に関連する相談が9件などとなっている。

(Sherpa)
マルウェア検出数が過去最高、ほぼすべてがAndroid向け--四半期レポート(マカフィー)

ScanNetSecurity 9月5日


データベースに登録されたマルウェアの合計数。急激な増加がわかる


マカフィー株式会社は9月5日、「McAfee脅威レポート:2012年第2四半期」を発表した。これによると、マルウェア検出件数の増加が過去4年間で最高になった。McAfee Labsでは2012年第1四半期と比較して150万件のマルウェア増加を検出しており、さらにモバイル版「ドライブ・バイ・ダウンロード」、Twitterの使用によるモバイルボットネットのコントロール、モバイル版「ランサムウェア」などの新しい脅威を確認している。



2012年第2四半期に検出された新種のマルウェアは、ほとんどすべてがAndroidプラットフォームをターゲットにしたものであり、その内訳はSMSを不正に送信するマルウェア、モバイルボットネット、スパイウェア、破壊的なトロイの木馬であった。ユーザはモバイルでも厳重な警戒が必要としている。ランサムウェアもこの四半期で確実に増加しており、データを喪失したり金銭を要求されるなど被害は個人から大企業まで及んでいる。また、リムーバブルメディア(USBドライブ)に感染するマルウェアやパスワードを盗むマルウェアは、第2四半期に大幅に増加した。特に「AutoRun」ワームは120万件近い新規サンプルが検出された。
スマートフォンの個人情報を盗む不正アプリに注意--8月度ウイルス届出状況(IPA)

ScanNetSecurity 9月5日



独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは9月5日、2012年8月度の「コンピュータウイルス・不正アクセスの届出状況」を発表した。また今月の呼びかけとして、「情報を抜き取るスマートフォンアプリに注意! 〜スマートフォンの中の個人情報が狙われています〜」を挙げている。8月は、スマートフォン(Android OS)の電話帳の中身を窃取する不正なアプリの情報が多く見受けられた。これは、攻撃者が不正なアプリをダウンロードさせるリンク先が書かれたメールを不特定多数の利用者にばら撒いていたため。



アプリ名やメールの内容が日本語であったことから、日本人を狙った攻撃だと考えられる。しかし発見当初、セキュリティ対策ソフトを導入していても検知されないことがあり、インストール後に起動してしまうと情報窃取の被害に遭ってしまった。IPAでは、この不正なアプリを入手し解析した結果から得られた、攻撃者が不正なアプリを利用者のスマートフォンへインストールさせるまでの手口と、解析結果をもとに不正なアプリの動作の一例を解説し、被害に遭わないための対策を紹介している。

8月のコンピュータウイルス届出状況では、ウイルス検出数は24,189個と、7月の25,487万個から5.1%の減少となった。届出件数は961件となり、7月の877件から9.6%増加している。コンピュータ不正アクセス届出状況では、8月の不正アクセス届出件数は9件で、そのすべてに何らかの被害があった。相談件数は44件で、このうち13件が何らかの被害に遭っている。被害届出の内訳は、侵入6件、なりすまし2件、DoS攻撃1件であった。ウイルス・不正アクセス関連相談総件数は980件で、このうち「ワンクリック不正請求」に関する相談が255件(7月は216件)、「偽セキュリティソフト」に関する相談が41件(7月は23件)、Winnyに関連する相談が9件(7月は4件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が3件(7月は3件)などとなっている。
情報を抜き取るスマホアプリに注意……8月のウイルス・不正アクセス状況[IPA]

RBB TODAY 9月5日



8月のウイルス検出数とウイルス届出件数


 情報処理推進機構(IPA)は3日、2012年8月のコンピュータウイルス・不正アクセスの届出状況、および「今月の呼びかけ」を取りまとめた文書を公開した。

【グラフ、画像】不正なアプリの画面例など

 それによると、8月のウイルスの検出数は2万4189個で、7月の2万5487個から5.1%の減少となった。届出件数は961件で、7月の877件から9.6%の増加となった。検出数1位はW32/MyDoomで15,441個 、2位がW32/Netskyで5,888個、3位がW32/Mytobで966個となった。8月の不正プログラムの検出数は、2万1437個と、7月の10万0367個から78.6%の減少となった。

 不正アクセス届出は9件であり、そのすべてで被害が発生した。8月のウイルス・不正アクセス関連相談総件数は980件。そのうち「ワンクリック請求」に関連する相談が255件(7月:216件)、「偽セキュリティソフト」に関連する相談が41件(7月:23件)、「Winny」に関連する相談が9件(7月:4件)などとなった。

 またIPAでは今月の呼びかけ「情報を抜き取るスマートフォンアプリに注意!〜スマートフォンの中の個人情報が狙われています〜」として、攻撃者が不正なアプリを利用者のスマートフォンへインストールさせるまでの手口、解析結果をもとにした不正アプリの動作などを解説いている。不正アプリは「メールから不正なアプリのダウンロードを誘導する手口」「SNS(ソーシャルネットワーキングサービス)を悪用する手口」の2つがあり、実際にはなんの機能もないのに、便利ツールやゲームを騙ってインストールさせるという。そのうえで、電話帳の内容を窃取したり、個人情報を抜き取ったりするとのこと。対策としては「信頼できる場所からアプリをインストールする」「インストールする前に、アクセス許可を確認する」「セキュリティソフトを導入する」といったものが紹介されている。
マルウェア検出数が過去4年で最大の増加――McAfeeが報告

ITmedia エンタープライズ 9月5日




モバイルマルウェアの動向。上段は検体数の累計、下段は四半期ごとに見つかった新規マルウェア(McAfeeより)


 セキュリティ企業の米McAfeeは9月4日、2012年第2四半期のセキュリティ動向報告書を発表した。この期間に検出されたマルウェアの件数は、過去4年間で最大の増加を記録したと伝えている。

 それによると、McAfeeが第2四半期に検出したマルウェアのサンプル数は、前期に比べて150万件増えた。1日当たり10万件近いペースでマルウェアが発見されているという。

 これまでPCを主な標的としていたマルウェアが、他のデバイスを狙う傾向も鮮明になった。その一例として、Macを狙ったマルウェア「Flashback」や、金銭を脅し取ろうとする「ランサムウェア」のモバイル版の出現、携帯端末を狙った「ドライブバイダウンロード」の手口などを挙げている。

 特にGoogleのAndroid OSを狙うマルウェアは第1四半期に急増し、第2四半期に入っても勢いが衰える気配はないとした。第2四半期に検出された新手のモバイルマルウェアは、ほぼ全てがAndroidを標的としており、SMSの送信、モバイルボットネット、スパイウェア、トロイの木馬などの機能を実装しているという。

 コンピュータやデータを人質に取るランサムウェアは前期比で増加を続け、大企業でもデータが暗号化されて金銭を要求される被害が発生しかねない状況だという。マルウェアに感染したコンピュータで構成するボットネットも猛威を振るい、モバイルボットネットの制御にTwitterを利用するなど新しい手口も見つかった。

 このほかUSBメモリなどから感染するマルウェアや、パスワードを盗み出すマルウェアなども増加。攻撃の手口も巧妙化が進み、盗んだり偽造したりした証明書を使って検出を免れようとするマルウェアは、1月に比べて倍増したと伝えている。
.
Facebookをはじめとするチャット機能を介して広がるボットを確認(マカフィー)

ScanNetSecurity 9月4日



マカフィー株式会社は9月4日、同社McAfee Labsが最近、攻撃者がさまざまなメッセンジャーを介して被害者のマシンにコマンドを拡散するボットネット型のマルウェアを発見したとブログで公開している。これは、被害者となるユーザの画面に、知らない人物からのチャットウインドウが開くというもの。メッセージには「面白いビデオのリンク」というタイトルのURLが記載されており、ユーザがリンクをクリックするとマルウェアがダウンロードされ、マシンが感染する。これはマルウェアの作成者が使用する典型的な手口だ。

他の写真を見る

マルウェアが実行されるとファイアウォールを迂回し、それぞれのサービスに対して、あるルーチンを実行し無効にする。さらにInternet Expolorerのスタートページを変更し、ChromeやFirefoxのプリファレンスファイルを変更する。さらにマルウェアは、ユーザのマシンにあるチャットウインドウを洗い出し、おとりとして面白いビデオのリンクを仕掛ける。同社では、チャットの送信者を確認するとともに、メッセージ内のリンクのクリックに注意するよう呼びかけている。
チャットで広がるFacebookボット

ITmedia エンタープライズ 9月4日



(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 マルウェア作成者はソーシャルネットワークサービスを使用して、自作の巧妙なマルウェアを拡散することを好みます。McAfee Labsでは最近、攻撃者がさまざまなメッセンジャーを介して被害者のマシンにコマンドを拡散するボットネット型のマルウェアを発見しました。

 大概これらのボットはPicturexx.JPG_www.facebook.comといったファイル名がついています。また、ICQ、Skype、Gtalk、Pidgin、MSN、YIMやFacebookのWebチャットといった、様々なメッセンジャーサービスのウインドウにダウンロード用のURLを載せる仕組みになっています。

感染経路

 被害者となるユーザーの画面に、知らない人物からのチャットウインドウが開きます。メッセージには、「面白いビデオのリンク」というタイトルのURLが記載されてあり、ユーザーがリンクをクリックするとマルウェアがダウンロードされ、マシンが感染します。これはマルウェアの作成者が使用する典型的な手口です。

リアルなチャットウインドウ。

ビヘイビア解析

 被害者のマシンにマルウェアが展開されると、次の2つの方法でファイアウォールを迂回します。

・"netsh firewall allowedprogram"のコマンドラインにより、直接netshを介して迂回
・ファイアウォールのポリシーを変更し、レジストリを変更してマルウェアを許可されたプログラムとして追加

 Windowsフォルダにはsystem、hidden、read-only属性でマルウェアサンプルがコピーされます。その際、以下のいずれかのパスでコピーされます。

 また、マシンが再起動した際もサンプルが確実にリロードされるよう、Run エントリが作成されます。

 ネットワークコネクションは以下です。

 このマルウェアは、アンチマルウェアスキャナ、Windowsアップデート、Yahooアップデートなどの一連のサービスをチェックします。

 それぞれのサービスに対して、マルウェアはあるルーチンを実行し、無効にします。さらにInternet Expolorerのスタートページを変更し、ChromeやFirefoxのプリファレンスファイルを変更します。

 このボットでは、攻撃者が遠隔からコマンドを送信します。Windowsフォルダに落とされたサンプルコピーはmdm.exeです。下の画像は、攻撃者からリモートで送付されたコマンドと、そのコマンドの意味を示しています。攻撃者はこういったコマンドを使用して、チャットウインドウからマルウェアを拡散するのです。

 マルウェアはユーザーのマシンにあるチャットウインドウを洗い出し、おとりとして面白いビデオのリンクを仕掛けます。 Skypeやその他のウインドウを見つけ、PostMessageAを使ってメッセージを掲載するのです。

 以下は、POST /ajax/chat/buddy_list.phpによってFacebookのチャットウインドウ上のチャットリクエストをするために、マルウェアから要求が送付される様子を示しています。

 このワームはajaxコマンドによってチャットウインドウに現れ、Facebook中に広がっています。被害者は、メッセージが自分の連絡先からやってきたものだと信じてしまいます。

 幸いにして、被害者のマシンからこのワームを除去するのは比較的簡単です。プロセスエクスプローラかタスクマネージャを使用して、作動中のワームを除去できます。再起動後に再度リロードしてしまうことを防ぐため、マルウェアが作成したスタートアップエントリは必ず削除します。

 マカフィーのスキャン&修復ツールが感染したマシンをチェックしてこのマルウェアを除去します。ウイルス対策ソフトは常にアップデートし、知らないリンクをむやみにクリックしないように気を付けましょう。

 なお、Facebookのセキュリティチームは、このボットの追跡に積極的に取り組んでおり、感染したユーザーに対してはマカフィーのウイルス対策ソリューション(Scan and Repair)を提供しています。

 また、ここで紹介しているマルウェアサンプルは既に使用されておらず、現在のバージョンは別の動きをとっています。このマルウェアに感染してしまったユーザーは、Facebook内の自己診断ツール(http://on.fb.me/infectedMcA)を利用してください。
Linuxユーザーのパスワードをねらうトロイの木馬「Wirenet」が登場

Computerworld 9月4日



 マルウェア制作者たちがとうとうLinuxに目をつけた。ロシアのセキュリティ企業Dr Webの報告によると、OS Xに加え、オープンソース・プラットフォームであるLinuxからもパスワードを盗もうとする謎のトロイの木馬が見つかったという。

 新たに確認されたマルウェア「Wirenet.1」の挙動や拡散方法など、技術的な詳細はまだほとんどわかっていないが、同バックドア・プログラムは「Opera」「Firefox」「Chrome」「Chromium」に代表されるブラウザや、「Thunderbird」「SeaMonkey」「Pidgin」といったアプリケーションのパスワードを標的としているとDr Webは説明した。


 Wirenet.1はLinuxプラットフォーム下で、「~ / WIFIADAPT」ディレクトリにみずからをコピーする。その後、AES暗号化チャネルを使用し、「212.7.208.65」にホスティングされているC&C(command and control)サーバへ接続を試みる。これだけでも、当該マシンの通信を簡単な方法で妨害したり、ペイロードを増やしたりすることが可能になる。

 Dr Webは今年の初めにも、かつてない大規模なスケールでMacユーザーを襲った悪名高いトロイの木馬「Flashback」を発見して名を挙げた。

 Wirenetのクロス・プラットフォーム機能がWindowsシステムも標的に含めているのかどうかは不明だが、セキュリティ企業各社の監視の目をかいくぐるため、Microsoftのオペレーティング・システムを対象から外したということは十分に考えられる。

 クロス・プラットフォーム型のマルウェアは希少だが、これまで存在しなかったわけではない。標的になりそうなOS Xユーザーを探すため、Javaへ接続するのにクロス・プラットフォーム・テクニックがしばしば使われてきた。

 一方、Linuxシステムから信用情報を盗むことに特化したマルウェアは前代未聞と言ってもよいが、今回こうして実物が発見されたからには、これから少しずつ増えていくのかもしれない。

 Dr Webのアナリスト、イゴール・ズドブノフ(Igor Zdobnov)氏はわれわれの取材に対し、「Wirenet.1がJavaを利用している明白な証拠はつかめておらず、わたしの知っているかぎりでもそうした形跡はない。同マルウェアのファイルは『Virustotal』(フリーのウイルス・チェック・サービス)から取得したものだ」と語っている。
(John E Dunn/Techworld.com)
Webチャットで広がるボット型マルウェアが出現、マカフィーが注意喚起

Computerworld 9月4日




▲McAfeeが公開した感染経路(出典:McAfee)


 米国McAfeeは9月4日、チャットを介してのボットネット型マルウェアが発見されたとして注意を呼びかけた。同社の公式ブログによると、ターゲットにされたユーザーの画面には、知らない連絡先からのチャット・ウインドウがポップアップされ、動画へのリンクを装ったURLが表示される。そして、そこからマルウェアをダウンロードさせる手口だという。



 これらのボットは「Picturexx.JPG_www.facebook.com」といったファイル名が付けられている。また、ICQ、Skype、Gtalk、Pidgin、MSN、YIMやFacebookのWebチャットといった、さまざまなメッセンジャー・サービスのウインドウにダウンロード用のURLを載せる仕組みになっているとのことだ。

 McAfeeが公開した感染経路は以下のとおり。

▲McAfeeが公開した感染経路(出典:McAfee)

 McAfeeによるとFacebookのセキュリティ・チームは、このボットの追跡に取り組んでおり、感染したユーザーに対してはMcAfeeのウイルス対策ソリューション「Scan and Repair」を提供しているという。

 Scan and Repairはマルウェアを駆除する、ブラウザベースの無料のウイルス・スキャンツールである。なお、McAfeeでは同マルウェアに感染してしまったユーザーに対し、Facebook内にある自己診断ツール(http://on.fb.me/infectedMcA)を利用するよう呼びかけている。
(Computerworld.jp)
プライバシーリスクが確認できる新機能を搭載「ウイルスバスター モバイル for Android」

ITmedia Mobile 9月3日

「ウイルスバスター モバイル for Android」


 トレンドマイクロが9月7日から、Androidスマートフォン向けセキュリティアプリの最新版「ウイルスバスター モバイル for Android」の販売を開始する。価格はオープンで、同社直販サイトでの価格は1年版が2980円、2年版が5480円。

【他の画像】

 最新版のウイルスバスター モバイル for Androidでは、アプリのプライバシーリスクが一目で確認できる「プライバシースキャン」を搭載した。アプリをインストールする際に自動検査するほか、すでにインストールしているアプリをマニュアルで検査して、該当のアプリに存在するプライバシーリスクをユーザーに知らせる。

 この機能は、独自のクラウド型セキュリティ技術基盤「スマートプロテクションネットワーク」のモバイルアプリ評価システム「Trend Micro Mobile App Reputation(MAR)」と連携。モバイルアプリの収集・分析・評価を自動で行うMARにより、アプリの挙動、アプリの配信元、通信先のURL情報、アプリの署名などを解析して対象アプリのプライバシーリスクを包括的に評価するという。

 動作環境は、対応OSがAndroid OS 2.2/2.3/3.0/3.1/3.2/4.0で、11Mバイト以上の空き容量が必要。メモリは12Mバイト以上(Android OS 2.x)もしくは22Mバイト以上(Android OS 3.x/4.x)となっている。
フランケンシュタイン・ウイルスがやってくる

WIRED.jp 9月3日



無害な人間の器官を組み合わせて恐ろしく危険な存在となった、メアリー・シェリーの創造した怪物、フランケンシュタインのようなウイルス


コンピューターを保護する目的で、科学者たちは最悪のコンピューターウイルスを考案した。「フランケンシュタイン」と呼ばれ、善良なコードシーケンスが、よからぬ振る舞いをするようになるという。

画像付き元記事はこちら



ある研究室で「フランケンシュタイン」という名の新しいコンピューターウイルスがつくり出された。このウイルスは、ごく普通のコードシーケンスを組み合わせるだけで、強力で洗練されたマルウェアに変身させることができる。

まさに、無害な人間の器官を組み合わせて恐ろしく危険な存在となった、メアリー・シェリーの創造した怪物、フランケンシュタインのようなウイルスだ。

小説のなかのフランケンシュタインは、その外見のために人目を引かずにはいられないが、このマルウェアを発見することは、いわゆる通常のセキュリティシステムには難しい。

というのも、大部分のアンチウイルスソフトは、「フランケンシュタイン」によってつくり出された変異シーケンスを悪質なものと認識できないからだ。それらを組み合わせるとマルウェアになるにもかかわらずだ。

「フランケンシュタイン」は、テキサス大学の情報学研究者のグループの作品だ。研究者たちが論文で説明しているように、普通のソフトウェアの中に潜入して、「ガジェット」と呼ばれるコードの断片を探す。例えばInternet Explorerの中に侵入して、単純な複製をつくるというような機能をもつさまざまなガジェットを集めて利用することができる。

この時点でこのコンピューターウイルスは、2つのシンプルなアルゴリズムの姿をしたマルウェアのコードを組み上げることができる。そしてこのメカニズムによって、新しいコンピューターを侵食するたびに異なるガジェットを用い、メタモーフィック(変形型)と定義できるプロセスによって、生み出すマルウェアの姿をその都度変えていく。

対策をするべきだろうか? 答えは、NOだ。というのも、研究を行った人々は、本当のマルウェアをつくったわけではなく、たんにマルウェアをつくり上げることのできる部品を作成したにすぎないからだ。

「善良なプログラムコードの部品3つをスキャンするだけで、わたしたちは、マルウェアを組み立てる出発点となる材料として機能しうる10万以上のガジェットを見つけることができる」と、情報学者たちは書いている。
 
なんにせよ、研究の目的はわたしたちのコンピューターを「フランケンシュタイン」に感染させることではなく、「フランケンシュタイン」のような最新世代のコンピューターウイルスからの攻撃を阻止することができる強力な武器をつくることだ。いまは、その試験管の蓋が封をされたままであることを願おう。

TEXT BY ALICE PACE
TRANSLATION BY TAKESHI OTOSHI
PHOTO : “Frankenstein” BY Rubin 110 (CC:BY-NC-SA)
PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/