PCへのリモートによるセキュリティ管理アクセスソリューションの最新版(マカフィー)

ScanNetSecurity 11月30日



マカフィー株式会社は11月30日、「McAfee ePO Deep Command(ePO Deep Command)」を機能強化した最新バージョンを同日より提供開始したと発表した。本製品は、電源が入っていないか、または正常に機能していない可能性があるPCに対して、リモートによるセキュリティ管理アクセスを提供するソリューション。同社とインテルが共同で取り組む、ハードウェアの性能とソフトウェアの柔軟性を組み合わせた技術およびソリューション開発の成果としている。

最新バージョンでは、インテル アクティブ・マネジメント・テクノロジー(AMT)のプロビジョニング機能簡略化、KVM(キーボード-ビデオ-マウス)機能のフルサポート、AMTを利用して「McAfee Endpoint Encryption 7.0(2012年12月末国内リリース予定)」で暗号化されたPCの起動と管理を行えるなどの新機能が追加された。ePO Deep CommandとインテルAMTの組み合わせにより、OSを超えた管理が実現し、セキュリティの最適化と管理コストの削減が可能になるとしている。
 
 「Facebook」を介して拡散するワームの亜種を複数確認(トレンドマイクロ)

ScanNetSecurity 11月30日



トレンドマイクロ株式会社は11月29日、「Facebook」を介して拡散する「WORM_VOBFUS」のいくつかの亜種の出現を確認しているとブログで注意喚起を発表した。「WORM_VOBFUS」は、WindowsのAutoRunを利用し、リムーバブルドライブおよびマッピングされたネットワークドライブ上にコピーを作成する。また、このワームは他の不正プログラムのファミリによってダウンロード、また作成されることでもコンピュータに侵入する。さらに、悪意あるWebサイトにユーザが誤ってアクセスしてしまった結果として、「WORM_VOBFUS」の亜種をがユーザが気づかないところでダウンロードされてコンピュータに侵入する場合もある。

「WORM_VOBFUS」は亜種が相次いで登場しているが、今回確認された複数の亜種は、Facebook上で拡散していることが報告されており、その多くがアダルトコンテンツを示唆するファイル名を利用し、ユーザの興味をあおる。現時点での解析の結果、この問題となっている「WORM_VOBFUS」の亜種は、これまでと変わった不正活動は行わないという。しかし、感染力の強いワームであるため、同社では感染防止対策として、ユーザはAutoRunを無効にしたり、セキュリティソフトを最新のパターンに更新しておくといったことを実施するよう勧めている。
 
 JAXA、職員のPC端末がウイルス感染……「イプシロンロケット」の情報が漏えいか?

RBB TODAY 11月30日





 宇宙航空研究開発機構(JAXA)は30日、職員の端末1台がコンピュータウイルスに感染し、各種情報が外部に漏洩した可能性があることを発表した。11月28日に判明したもので、来年の打ち上げを目指して開発中の「イプシロンロケット」に関する情報も含まれているという。


 漏洩した可能性があるのは、イプシロンロケットの仕様や運用に関わる情報、イプシロンロケット開発に関連するM-Vロケット、H-IIAロケットおよびH-IIBロケットの仕様や運用に関わる情報となっている。「イプシロンロケット」は、2006年に廃止されたM-Vロケットの後継として開発されている固体ロケット。さまざまな新技術を導入することで、コストパフォーマンスを改良した機体として、2013年度に実証機「E-X」、2017年度以降に改良型「E-I」が打ち上げられる計画となっている。

 JAXAでは、11月21日に当該端末でウイルスを検知し、直ちにネットワークから切り離し調査したところ、11月26日に当該端末がウイルスに感染していることが確認された。さらに調査を進めたところ、11月28日にウイルスによる情報収集がなされていた痕跡、および外部との通信も確認されたとしている。現在、JAXAでは漏洩した可能性のある情報内容の特定および原因究明に取り組んでいるとのこと。
 
 マカフィーがPCセキュリティ管理製品の最新版、vPro連携を強化

ITmedia エンタープライズ 11月30日


 マカフィーは11月30日、企業向けのPCセキュリティ管理製品の最新版「McAfee ePO Deep Command 1.5」を発売した。インテル vPro プロセッサを搭載するPCをリモート管理するための機能を強化している。

 最新版ではPCを遠隔から管理、制御するための「Active Management Technology(AMT)」の設定操作をePO Deep Commandから実行できるようにしたほか、ヘルプデスクなどで対象PCを管理者が遠隔操作するための「KVM」機能をフルサポートした。

 また、国内で12月末に発売予定の暗号化製品「McAfee Endpoint Encryption 7.0」による暗号化を実施したPCに対して、リモートからPCの起動や管理が可能になる。セキュリティのアップデート作業や暗号化製品のパスワードリセットの依頼対応などが簡素化されるという。
 
 宇宙機構のPCにウイルス、ロケット情報流出か

読売新聞 11月30日



 宇宙航空研究開発機構は30日、男性職員のパソコン1台がコンピューターウイルスに感染し、来夏の初打ち上げを目指して開発中の小型ロケット「イプシロン」などの技術情報が流出した可能性がある、と発表した。

 職員は筑波宇宙センター(茨城県つくば市)に勤務し、「イプシロン」の技術開発を担当。今月21日にパソコンのウイルス検出ソフトを更新したところ、ウイルスが検知された。ネットワークから切り離して調べ、感染が判明した。専門機関に調査を依頼したところ、データを収集したり、外部と通信させたりする複数の新種ウイルスに感染していることが確認された。

 感染が確認されたパソコンには、イプシロンのほか、大型ロケットH2A、H2Bの技術情報も含まれており、同機構では流出の可能性と感染経路について調べている。
 
 宇宙機構のPCがウイルス感染=ロケット情報など漏えいか

時事通信 11月30日



 宇宙航空研究開発機構は30日、筑波宇宙センターの業務用パソコン(PC)1台がコンピューターウイルスに感染し、開発中の小型固体燃料ロケット「イプシロン」の仕様などに関する情報が外部に漏えいした可能性があると発表した。感染経路や時期、流出先などを詳しく調べる。
 機構によると、今月21日、社内ネットワークに接続された業務用PCでウイルスを検出。詳しく調べたところ、イプシロンロケットや、H2A、H2Bロケットなどの情報をウイルスが収集し、外部と通信した形跡が見つかった。
 ネットワークは一般業務用で、ロケットなどの運用に直接使われたり、高度な機密情報を取り扱ったりするものではないという。 
 
 JAXAでウイルス感染、ロケット開発情報などが流出か

ITmedia エンタープライズ 11月30日



再びウイルス感染被害が発生したJaxa


 宇宙航空研究開発機構(JAXA)は11月30日、職員のコンピュータがウイルスに感染してロケット関連の情報が外部に漏えいした可能性があると発表した。これが判明したのは28日だったという。

 JAXAによると、漏えいした恐れのある情報はイプシロンロケットの仕様や運用に関わる情報と、イプシロンロケット開発に関連したM-Vロケット、H-IIA、H-IIBロケットの仕様や運用に関わる情報だという。21日にコンピュータでウイルスを検知し、ネットワークから分離して調査した結果、26日にウイルス感染が認められた。詳細調査でウイルスがコンピュータ内部の情報を収集していた痕跡や外部と通信を行っていたことが28日に判明したとしている。

 現時点で情報漏えいが実際に起きたかや被害の範囲、ほかのコンピュータでの感染の有無を調査中だという。

 JAXAでは今年1月にも標的型サイバー攻撃が原因とみられるウイルス感染が発生し、メールアドレスなどの情報が漏えいする事件が起きたばかり。
 
 サイバー攻撃対策で新組織 NEC、セキュリティー企業4社と連携

SankeiBiz2012/11/28



 NECは27日、企業や官公庁を狙ったサイバー攻撃が増えていることを受けて、セキュリティー対策の専門組織「サイバーセキュリティ・ファクトリー」を約30人体制で発足させたと発表した。
.

 新組織は、サイバー攻撃対策システムの導入から問題の調査・解析、システムの運用までのサービスなどを総合的に提供する。トレンドマイクロやラックなどのセキュリティー企業4社とも連携し、各社の情報や技術を活用し、サイバー攻撃の迅速な発見と対策の構築につなげる。攻撃に対し効果的なウイルス対策ソフトや設備の組み合わせ方なども提案する。
.

 顧客の企業内でセキュリティー対策を支援するサービスや、情報システム担当者を訓練するサービスも2013年度から始める。17年度に150〜160社・団体からの受注、100億円の売上高を目指す。企業や官公庁へのサイバー攻撃はこの数年で急増。知らないうちにウイルスで情報を流出させ、被害の痕跡を残さないなど手口も巧妙化している。発見が遅れることで、被害が拡大するケースも後を絶たない。
.

 昨年9月には、三菱重工業などの防衛関連企業が攻撃を受けたほか、政府が沖縄県・尖閣諸島の国有化を決定した今年9月以降は、省庁や金融機関でサイトが一時閲覧できなくなったり、改竄(かいざん)される被害があった。
 
 サイバー攻撃対策へ結束 NECなど5社が新組織

朝日新聞デジタル 11月28日



 NECは27日、ウイルス対策などの専門会社4社と共同で、企業や官庁へのサイバー攻撃に対抗する組織「サイバーセキュリティ・ファクトリー」を立ち上げたと発表した。45人の精鋭が集まり、巧妙化する国内外の攻撃情報を共有。被害を防ぐ技術を開発し、NECのシステムを使う企業など各社の顧客に提供する。組織を置く場所は「都内だが、詳しくは安全上の問題で言えない」(NEC)という。参加するのはNECのほかサイバーディフェンス研究所、トレンドマイクロ、フォティーンフォティ技術研究所、ラックの4社。
 
 ウイルス感染から身を守る「セキュリティ対策 五箇条」 - マカフィー

マイナビニュース 11月27日





マカフィーは、同社ブログにおいて、あらためてセキュリティ対策を見直すための基本五箇条「セキュリティ対策 五箇条」を掲げている。

ブログでは、誤認逮捕やオンラインバンキングにおける不正送金など日本国内においても被害が大きな問題になるなか、あらためてセキュリティをしっかり見直そうと5つの基本的な項目を掲げている。五箇条は以下の通り。

一.OSやソフトウェアは常に最新パッチを適用すべし!
一.ウイルス対策ソフトを導入しただけで安心するべからず!
一.身に覚えのないメールは開くべからず!
一.怪しいWEBサイトは閲覧するべからず!
一.拾い食いはするべからず!

各項目は、脆弱性の悪用やフィッシング、USBメモリからの感染など基本的なセキュリティ上の注意点ではあるものの、いまだによく悪用されるものを五箇条としてまとめている。"一.OSやソフトウェアは常に最新パッチを適用すべし!"の項目では、あらためてWindows Updateの確認を行うよう、Windows XP / Vista / 7 / 8と各Windowsのバージョンごとのリンクも用意してある。
 
 次世代ネットワークセキュリティに対応する4種類の新製品を発表(パロアルトネットワークス)

ScanNetSecurity 11月27日



パロアルトネットワークス合同会社は11月26日、次世代ネットワークセキュリティ市場における同社のリーダーシップを強化する数種類の新製品を発表した。これらの新製品は、仮想化環境と物理環境が混在する今日のエンタープライズ ネットワークに対応し、モダンマルウェアの検出はもちろん、その防止も可能にするソリューションとなっている。

同日に発表されたのは、次世代ネットワーク セキュリティを仮想化データセンター環境にもたらす次世代の仮想化ファイアウォール プラットフォーム「VM-Series」、新しいミッドレンジの次世代ファイアウォール ハードウェア プラットフォーム「PA-3000シリーズ」、専用のハイパフォーマンス管理アプライアンス「M-100アプライアンス」、1時間以内のレスポンスタイムによるモダンマルウェア シグネチャ配信と統合ロギングおよびレポート機能を提供する「WildFireモダンマルウェア防御サブスクリプション」の4製品。すべての製品は、同日より提供が開始された次世代ファイアウォール向けの最新OS「PAN-OS 5.0」をサポートする。
 
 パロアルト、仮想環境向けファイアウォールなど4製品を発表

Computerworld 11月27日



▲パロアルトネットワークス合同会社で技術本部長を務める乙部幸一朗氏


▲パロアルトネットワークス合同会社で技術本部長を務める乙部幸一朗氏

 パロアルトネットワークスは11月26日、仮想化データセンターおよびクラウド環境向け仮想化ファイアウォール・ソリューション「VM-Series」を含む4つの新製品を発表した。

【詳細画像を含む記事】

 今回発表されたのは、「VM-Series」をはじめ、ミッドレンジの次世代ファイアウォール ハードウェア・プラットフォームである「PA-3000シリーズ」、専用ハイパフォーマンス管理アプライアンスである「M-100アプライアンス」、モダンマルウェア・シグネチャ配信と統合ロギング/レポート機能を提供する「WildFire モダン・マルウェア防御サブスクリプション」。パートナー販社を通じ、すでに提供が開始されているという。

 同社では、「これらの新製品は、仮想化環境と物理環境が混在するエンタープライズ・ネットワークに対応するものであり、モダン・マルウェアの検出や感染防止も有用なソリューションだ」としている。

 VM-Seriesは、仮想環境で動作するOS(PAN-OS 5.0)上のすべての次世代ファイアウォール機能を提供する。VM間通信に対する可視化と制御を実現する「ダイナミックアドレス・オブジェクト」も追加された。これにより、ポートやプロトコルに関係なく、アプリケーションやユーザー単位でホスト間におけるデータセンター・アプリケーションの安全な使用許可を実現するという。なおライセンス体系は、CPU単位ではなくキャパシティ(同時に処理できるセッションの数など)に応じたものになる。

 PA-3000シリーズは、パロアルトネットワークスの既存のデータセンターおよびリモートオフィス・ソリューションと同じレベルのアプリケーション、ユーザー、およびコンテンツ・ベース・コントロール性能を備える。PA-3000シリーズはPA-3020とPA-3050次世代ファイアウォールで構成され、最大4GbpsのApp-IDスループットによる次世代ファイアウォールの機能を備提供する。

▲「PA-3000シリーズ」とそのパフォーマンス

 WildFireモダン・マルウェア防御サブスクリプションは、30分ごとのWideFireシグニチャの配信、統合化されたログ&レポーティング、XML APIによる外部システムからのアップロードと検査機能を新たに提供する。従来のWildFire機能は無償提供されていたが、WildFireモダン・マルウェア防御サブスクリプションは、有償サービスとなる。

 説明に登壇したパロアルトネットワークスで技術本部長を務める乙部幸一朗氏は、「30分ごとのWideFireシグニチャの配信により、ゼロデイ攻撃や標的型攻撃に起因する被害を軽減できる。モダン・マルウェアは最初に発見されてから24時間以内に侵入する可能性が高い。30分ごとのWideFireシグニチャの配信であれば、感染リスクも低減できる」と語った。
(Computerworld.jp)
 
 ウイルス感染から身を守るための「セキュリティ対策五箇条」を公開(マカフィー)

ScanNetSecurity 11月27日



マカフィー株式会社は11月26日、「あなたは大丈夫?セキュリティ対策を見直そう! 〜 ウイルス感染から身を守るための「セキュリティ対策五箇条」〜」をブログで公開した。セキュリティ脅威を意識してインターネットを利用しているユーザーは多くなく、同社が今年5月に発表した「個人ユーザのPCセキュリティ状況グローバル調査結果」では、個人ユーザの17%はウイルス対策ソフトをインストールしていないか、無効化されていたことが明らかになっている。また日本では、19.35%もの個人ユーザが未対策となっており、国別ランキングでも24カ国中19位と下位にランクされた。インターネットには多くの危険が潜んでいることを利用者一人一人がしっかりと認識し、被害に遭わないために必要なセキュリティ対策を確実に実施することが重要としている。「五箇条」は以下の通り。

一、OSやソフトウェアは常に最新パッチを適用すべし!
一、ウイルス対策ソフトを導入しただけで安心するべからず!
一、身に覚えのないメールは開くべからず!
一、怪しいWEBサイトは閲覧するべからず!
一、拾い食いはするべからず!
 
 「2ちゃん」関係先捜索 遠隔操作の真犯人の通信記録捜査

産経新聞 11月27日



 遠隔操作ウイルス事件で、インターネット掲示板「2ちゃんねる」に真犯人が直接書き込んだ形跡があるとして、警視庁など4都府県警の合同捜査本部は26日、威力業務妨害容疑で、掲示板のサーバーを管理するIT関連会社「ゼロ」(札幌市)を家宅捜索した。通信記録を差し押さえ、送信元の特定を進める。

 誤認逮捕された4人のうち3人が掲示板に書き込まれたアドレスからソフトを取り込み、遠隔操作ウイルスに感染していた。合同捜査本部は掲示板の運営者側に任意で通信記録などの開示を要請していたが拒否されており、真相解明には強制捜査の必要があると判断したとみられる。

 捜査関係者によると、掲示板に8月28日、事件で使われた遠隔操作ウイルス「iesys.exe(アイシス・エグゼ)」を含んだソフトを配布する書き込みがあった。アイシスは新種のウイルスで、真犯人が書き込んだ可能性が高い。

 真犯人は掲示板に書き込みをする際、通信記録を消し去る匿名化ソフト「Tor(トーア)」を使い、第三者に書き込みの代行を依頼していたが、この書き込みだけは匿名化ソフトを使わずに直接掲示板に書き込んだとみられる。
 
 会員データなど差し押さえ=2ちゃんねる捜索で―PC遠隔操作事件・警視庁

時事通信 11月26日



 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告が書き込まれた事件で、警視庁などの合同捜査本部は26日、書き込みなどに使われたインターネット掲示板「2ちゃんねる」のサーバー管理会社(札幌市)の家宅捜索で、有料会員のデータや投稿マニュアルなどを差し押さえた。27日以降も捜索して、書き込みの通信記録が残っていないか詳しく調べる。
 捜査関係者によると、捜査本部は犯行予告やウイルスを仕込んだソフトが公開された際の書き込みの通信記録保全を同社に要請していた。サーバーは米国にあるが、同社のPCからアクセスできるため、記録が残っている可能性があるという。
 犯人は、ウイルスを仕込んだソフトを公開する際などに送信元の特定を困難にする匿名化ソフトを使っていたが、8月下旬に2ちゃんねるに書き込んだ際には、このソフトが使われていなかった。このため、捜査本部は通信記録を解析すれば書き込みに使用したPCを特定できる可能性があるとみて調べている。 
 
 PC遠隔操作事件 犯人検挙に結びつく有力情報に報奨金を検討

フジテレビ系(FNN) 11月26日

遠隔操作されたパソコンによる犯行予告メール事件で、警察庁が犯人検挙に結びつく有力な情報に対して、公的な報奨金を出すことを検討していることがわかった。
「捜査特別報奨金」は、殺人や強盗など「被害者の生命・身体に重大な損害を及ぼした犯罪」が対象とされている。
一連の遠隔操作ウイルスによる事件は、報奨金の対象とはならないが、警察庁は要綱を改正して、犯人検挙に結びつく有力な情報に対して、報奨金を出すことを検討しているという。
一方、警視庁は26日、インターネット掲示板「2ちゃんねる」の北海道・札幌市のサーバー管理会社を家宅捜索した。
この事件では、真犯人が2ちゃんねるの掲示板にウイルスを仕込んだ無料ソフトを公開し、それをタウンロードした人のパソコンが遠隔操作される仕組みとなっていた。
2ちゃんねる側は、これまで通信記録の開示に応じておらず、警視庁は今回押収した資料を分析して、送信元の特定につなげたいとしている。
 
 PC遠隔操作、2ちゃんねる関係会社捜索

TBS系(JNN) 11月26日


 遠隔操作ウイルスによる犯行予告事件で、インターネット掲示板「2ちゃんねる」に真犯人が直接書き込んだ形跡が見つかり、警視庁など合同捜査本部は2ちゃんねるのサーバー管理を代行するIT関連会社を威力業務妨害の疑いで家宅捜索しました。

 また、警察庁はこの事件を捜査特別報奨金の対象とする方向で検討を始めました。現在の報奨金は生命や身体に重大な損害を及ぼす犯罪などが対象で、警察庁は要綱の改正などを検討しています。
 
 PC遠隔操作、「2ちゃん」サーバー会社を捜索

読売新聞 11月26日


 遠隔操作型ウイルスに感染したパソコンから犯行予告が相次いで書き込まれるなどした事件で、警視庁などの合同捜査本部は26日午後、インターネット掲示板「2ちゃんねる」のサーバーを管理する札幌市厚別区のコンピューター関連会社に、威力業務妨害容疑で捜索に入った。

 掲示板にウイルスを仕込んだ無料ソフトを公開し、感染させた人物を特定するためで、通信記録などを押収する方針。

 捜査本部は2ちゃんねる側にソフトが公開された時間帯の通信記録などを開示するように繰り返し要請したが、拒否しているため、強制捜査に踏み切った。
 
 遠隔操作PC犯行予告 「2ちゃんねる」サーバー管理会社を捜索

フジテレビ系(FNN) 11月26日


遠隔操作されたパソコンによる犯行予告メール事件で、警視庁は通信記録を調べるため、ウイルス感染に使用されたネット掲示板「2ちゃんねる」のサーバー管理会社を家宅捜索した。
威力業務妨害の容疑で警視庁が家宅捜索したのは、北海道・札幌市の「2ちゃんねる」のサーバー管理会社。
一連のパソコン遠隔操作による犯行予告メール事件では、「2ちゃんねる」の掲示板に、ウイルスが仕組まれた無料ソフトなどのリンク先が書き込まれていたため、警視庁は、通信記録を差し押さえ、解析を進め、送信元を特定したいとしている。
一連の事件では、主に匿名化ソフトが使われているが、一部で匿名化ソフトを使っていない可能性があるため、警視庁は、通信記録の分析を急ぐ方針。
 
 “遠隔操作” 2ちゃんねる関係会社捜索

TBS系(JNN) 11月26日


 遠隔操作ウイルスによる犯行予告事件で、インターネット掲示板「2ちゃんねる」に真犯人が直接書き込んだ形跡が見つかり、警視庁などの合同捜査本部は2ちゃんねるのサーバー管理を代行する会社の家宅捜索をしています。

 威力業務妨害の疑いで家宅捜索を受けているのは、札幌市にある「2ちゃんねる」のサーバー管理を代行するIT関連会社です。

 遠隔操作ウイルスによる犯行予告事件では、真犯人を名乗る人物のメール送信やインターネット掲示板への書き込みは匿名化ソフト「Tor(トーア)」を使って行われていましたが、合同捜査本部によりますと、8月下旬に「2ちゃんねる」に直接書き込みがされた可能性があるということです。

 警視庁などの合同捜査本部は通信記録を差し押さえて解析を進め、送信元の特定を急ぐ方針です。
 
 PC遠隔操作 2ちゃんねるサーバー管理代行会社を捜索 真犯人が直接書き込みか

産経新聞 11月26日




 遠隔操作ウイルス事件で、インターネット掲示板「2ちゃんねる」に真犯人が直接書き込んだ形跡があるとして、警視庁など4都府県警の合同捜査本部は26日、威力業務妨害容疑で、同掲示板のサーバー管理を代行するコンピューター関連会社「ゼロ」(札幌市)を家宅捜索した。

 誤認逮捕された4人のうち3人が同掲示板に記されたURL(ウェブサイトのアドレス)からソフトをダウンロードして遠隔操作ウイルスに感染しており、合同捜査本部は通信記録を差し押さえ、送信元の特定を進める。

 同掲示板には8月28日、事件で使われたのと同じ遠隔操作ウイルスを含んだソフトを配布する書き込みがあり、合同捜査本部は真犯人が書き込んだ可能性があると判断した。真犯人は通常、書き込んだ人物を分かりづらくする匿名化ソフト「Tor(トーア)」を使って書き込んでいたが、8月28日の書き込みだけは匿名化ソフトを使っていなかったとみられる。

 合同捜査本部はこれまで、同掲示板の運営者側に通信記録などの開示を任意で要請していたが、運営者側は拒否していた。合同捜査本部は、事件の解明のためには通信記録の分析が不可欠と判断、家宅捜索に踏み切ったとみられる。
 
 唯一の「ミス」突破口になるか=犯人、匿名化せず書き込み―2ちゃんねる家宅捜索

時事通信 11月26日



 遠隔操作ウイルスによる犯行予告事件で、警視庁などの合同捜査本部がインターネット掲示板「2ちゃんねる」管理会社の家宅捜索に踏み切った。犯人の書き込みのうち、一度だけ匿名化ソフトなどが使われなかった書き込みが掲示板にあったためで、これを足掛かりにし、発信元の特定につなげるのが狙いだ。 
 
 <パソコン遠隔操作>警視庁が「2ちゃんねる」捜索

毎日新聞 11月26日



 パソコンが遠隔操作され4人が誤認逮捕された事件で、警視庁などの合同捜査本部は26日、威力業務妨害容疑の関連先として、インターネット掲示板「2ちゃんねる」のサーバー管理を代行しているとされる札幌市の会社を家宅捜索した。2ちゃんねるには犯罪予告や、ウイルス感染につながるアドレスなどが書き込まれており、サーバーに残されたログなどを差し押さえ、「真犯人」につながる情報がないか調べる。

 一連の事件で、真犯人は無料ソフトを紹介する「URL」を2ちゃんねるに書き込み、誤認逮捕された男性らを別のサイトに誘導させ、遠隔操作ウイルスに感染させていた。また、アイドルグループへの襲撃予告なども2ちゃんねるに書き込んでいた。

 捜査本部はこれまで、2ちゃんねるの運営者側にIPアドレスなどの通信記録の開示を要請していた。しかし、運営者側は応じておらず、家宅捜索に踏み切った。
 
 「2ちゃんねる」管理会社捜索=PC遠隔操作で書き込み―威力業務妨害容疑・警視庁

時事通信 11月26日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれ、男性4人が誤認逮捕された事件で、警視庁などの合同捜査本部は26日、威力業務妨害容疑で、ウイルスを感染させる手段に使われたインターネット掲示板「2ちゃんねる」のサーバー管理会社(札幌市)を家宅捜索した。
 男性らは2ちゃんねるで紹介されていた無料ソフトをパソコンに取り込んだ際、ソフトに仕込まれたウイルスに感染したとみられており、捜査本部はウイルス作成者が紹介を書き込んだとみて2ちゃんねる側に情報の開示を求めたが、拒否されていた。
 捜査関係者によると、犯人は2ちゃんねるに投稿する際、他人に書き込みの代行を依頼する専用掲示板を利用して身元を隠していたが、捜査本部の調べで、犯人が一度だけこの掲示板を使わず、直接書き込みをした痕跡があったことが分かった。
 このため、捜査本部は犯人につながる手掛かりになる可能性があるとみて強制捜査に踏み切り、書き込みの発信元の特定を進める。 
 
 【レポート】報道された遠隔操作ウイルス以外にも注意を − マカフィーレポート

マイナビニュース 11月24日


マカフィーは、2012年10月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。また、マカフィーセキュリティニュースからの話題を紹介しよう。

○ウイルス

全体的な傾向であるが、Blackholeに関連した脅威が10月も多い。Blackholeは脆弱性を悪用し、Webサイトを閲覧しただけでマルウェアを感染させられてしまう危険性がある。この攻撃は「ドライブバイダウンロード」と呼ばれ、世界中で拡大している。対策は、脆弱性の解消がもっとも重要な対策となる。特に、Java Runtime Environment、Flash、Adobe Readerの脆弱性が狙われており、これらの脆弱性が悪用されることが多い。これらを含め、OSやアプリケーションの脆弱性の解消も怠りなく行ってほしい。

10月は、遠隔操作を行うウイルスに関する報道が注目を集めた。この点に関して、McAfee Labs東京主任研究員の本城信輔氏は、「外部との通信を行い、外部からの遠隔操作を可能にするBackdoor(バックドア)機能を有するマルウェアは多数存在しています。今月ランクインしているものの中だけでも、PWS-ZbotとZeroAccesにはBackdoorの機能があります。また、さらに直近では金融サイトを狙ったマルウェアによる攻撃が報道されました。PWS-Zbotはまさにそういったマルウェアの1つですが、日々非常に多くの亜種が作成されています。報道されている事例だけに注目するのではなく、同種のマルウェアが多く存在していることを念頭におき、感染防御対策を実施していただければと思います」と注意喚起している。特に、最後の報道されている事例以外への注意も忘れずに行いたいものだ。

表1 2012年10月のウイルストップ10(検知会社数)
表2 2012年10月のウイルストップ10(検知データ数)
表3 2012年10月のウイルストップ10(検知マシン数)
○PUP

PUP(不審なプログラム)は、ランキング、件数ともにほとんど変動のみられない結果となった。各ランキングとも、5位以下で若干の順位変動があるが、わずかなものである。

表4 2012年10月の不審なプログラムトップ10(検知会社数)
表5 2012年10月の不審なプログラムトップ10(検知データ数)
表6 2012年10月の不審なプログラムトップ10(検知マシン数)
○「無料」や「MP3」で危険率が急増、ネットの音楽や動画のダウンロードに注意を

マカフィーセキュリティニュースでは、マルウェア情報や最新の研究成果などを随時公開している。同様なものにMcAfeeブログがあるが、こちらは初心者にも読みやすいものになっている。10月の最新記事では、ネット上からダウンロードする音楽や動画ファイルの危険性について解説している。

インターネット上には、音楽や動画データなどを含め、さまざまコンテンツが公開されており、誰でも簡単に楽しむことができる。しかし、この状況を悪意を持った攻撃者もまた、しっかりと狙っているのである。こうした手口は、Malvertising(マルバタイジング)と呼ばれ、悪質な広告や動画閲覧ツールなどを併用した攻撃である。さらに、SNSの普及により、このようなコンテンツのアクセス方法も変化してきている。その状況で、音楽や動画を公開するサイトが、マルウェアや危険なURLを配布するための有力な手段になっている。特に注意したいのは、検索語に「無料(Free)」という言葉を含めるだけで、検索結果の危険度が3倍になるとの調査結果もある。同様な検索語に「MP3」があり、「無料 MP3」などで検索した場合には、さらに危険度が増大する。

改正著作権法の施行により、不正と知りつつダウンロードなどを行うと罰則が適用されるようになった。この点も含め、インターネット上の音楽や動画を楽しむ場合には、今一度、注意をしてみてはいかがであろうか。詳細は、マカフィーセキュリティニュースを参照してほしい。
 
 Windows 8を安全に利用するために知っておくべき8つの事実

ITmedia エンタープライズ 11月22日



(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 マイクロソフトが待望のWindows 8をリリースし、タッチベースの操作性と新機能がメディアで大きく取り上げられました。

 Windows 8はWindows 7から比べると改善されているとはいえ、やはり脆弱性を抱えています。文書化されているものもありますが、まだ見つかっていない脆弱性もあります。一般ユーザーがセキュリティを確保し、安心してPCを利用できるように、「Windows 8を安全に利用するために知っておくべき8つの事実」を以下に挙げておきます。

1.詐欺師はWindows 8のお祭りムードに乗じようとしている

 「タダより高いものはない」といわれます。もし、Windows 8を入手するためにあちこちのサイトを見て回り、値段を比べているのであれば、無償版の提供や大幅な値引きをかたる詐欺にだまされないように気をつけてください。詐欺師たちは一般ユーザー向けの新製品のリリースにつけ込み、オンラインでカモを探すのが常であり、Windows 8もその例外ではありません。

 「Windows 8無償版提供!」などとうたっているリンクを見つけてしまうと、クリックしたくなる誘惑に駆られるかもしれません。こういったリンク先には、ウイルスやその他のマルウェアが仕込まれている可能性があることを忘れないでください。また、サイト自体がクレジットカード番号などの個人情報を盗むことを目的とした詐欺サイトである場合もあります。

2.セキュアブートの限界

 Windows 8の新機能であるセキュアブートは、起動時において、事前に承認されたアプリケーションだけを読み込む機能です。つまり、ユーザーが承認したアプリケーションしか読み込まれないということです。

 しかし、セキュアブートにも限界があります。この機能はそもそも、デバイスをロックダウンして、Windows以外のシステム、オープンソースソフトウェア(フリーソフトなど)、マイクロソフトや認定サードパーティ以外によって作成されたアプリケーションを実行できないようにするものなのです。

3.マイクロソフトが承認していないアプリケーションの実行は危険です

 最近ハッカーたちの間では、Adobe Acrobat/ReaderやJavaなど、複数のデバイスで動くアプリケーションをターゲットにすることが通例になっています。せっかくマルウェアを作るのであれば、PC、Mac、スマートフォン、タブレットでも作動するようにして、同じ手間でなるべく大きな成果を上げたいと考えるは当然でしょう。よって、これは理にかなった流れであるといえます。

4.危険なダウンロードの警告は、必ずしも十分な対策にならない

 スマートスキャンは、Windows 8で動く全てのブラウザで使用でき、インターネットからのダウンロードファイルを自動的にチェックして、既知の悪意あるファイルやプログラムではないかどうか判断します。このチェックでは、ダウンロードの履歴や、そのファイルの人気度、評判も考慮されます。ダウンロードファイルの評価が低い場合、スマートスキャンは警告メッセージを出します。

 この機能は役には立ちますが、必ずしもユーザーが警告メッセージに従うとは限りません。システムを無視して疑わしいファイルをダウンロードしてしまえば、スマートスキャンの効果は無くなります。また、スマートスキャンの対応がファイルやWebサイトのレピュテーションのみに限られており、Facebookなどのソーシャルネットワークに仕掛けられる独自のフィッシング詐欺はカバーされていないことにも注意すべきです。マカフィーではソーシャルメディアを使用して悪意ある素材を広めようとしているハッカーが急激に増えていることを確認しており、このことを理解しておくことは極めて重要です。

ピクチャーパスワードは楽しいけれど、それって安全なの?

 数多くあるタッチベースの機能のうち、ピクチャーパスワードは安全にログインするための新しいセキュリティオプションです。ユーザーは画像を選択し、3種類の連続したジェスチャをパスワードとして設定します。

 これは楽しくて覚えるのも楽ですが、肩越しに操作を見ていた人が、あなたのシステムにログインできてしまう可能性があります。

6.Windowsアプリストアのセキュリティ審査

 最近では無数のアプリが出回っており、安全かどうか見分けることは必ずしも簡単ではありません。ハッカーたちは、マイクロソフトが設けているWindowsアプリストア上の基準を理解しており、近いうちに、悪意あるコードやその他の方法を使用して規制をかいくぐり、危険なアプリを使用して詐欺行為を行うようになるでしょう。

7.Internet Explorer 10のセキュリティ

 Internet Explorer 10は、マイクロソフト製のブラウザとしては史上最も安全なブラウザです。しかし、Google ChromeやMozilla Firefoxなどのブラウザ愛用の方にはお気の毒さまですが、マイクロソフトのセキュリティ機能は、他社のブラウザについては一切関知しません。

 さらに、例えInternet Explorer 10のセキュリティ評価がどんなに高くても、常に脆弱性やパッチの必要に迫られるでしょう。

8.マルウェア作成者のターゲット、Windows 8

 マイクロソフトは、さまざまな機能によってWindows 8のセキュリティを強化していますが、依然として、ほかのどの企業よりもマルウェア作成者のターゲットとなっています。その理由は単純で、マイクロソフトのOSが世界で最も広範囲に使用されているからです。Androidを巡る現在の状況も、同様なので、ユーザーの皆さんには注意していただきたいと思います。

 マイクロソフトはWindows 8について、全てのシステムにウイルス対策ソフトを導入し、作動させておくように求めています。このような要求を出していることに賞賛を送りますが、進化を続ける脅威に対して極めて有効な対策を提供してきた実績を持つ、基本的なウイルス対策を超えたセキュリティ機能も備えたソフトウェアを提供するセキュリティベンダーを選ぶことも重要だと考えます。

 Windows 8へのアップグレードを考えている人も、その他のOSを検討している人も、既にWindows 8を使用している人も、Windows 8でセキュリティが向上したとしても、従来のアプリケーションについては、やはり信頼できるセキュリティソリューションを使用して保護することが不可欠であるということに留意してください。
 
 【レポート】脅威をリアルに実感する遠隔操作不正プログラム − トレンドマイクロレポート

マイナビニュース 11月21日


(写真:マイナビニュース)


トレンドマイクロは、2012年10月度のインターネット脅威マンスリーレポートを発表した。まず取り上げているのは、「BKDR_SYSIE.A(シスアイイー)」である。すでに報道されている通り、遠隔操作で犯行予告や脅迫が行われ、誤認逮捕された事件である。改めて、不正プログラムの脅威を知らしめる事件となった。トレンドマイクロでは、この不正プログラム「BKDR_SYSIE.A」の駆除プログラムを18日から提供したところ、10月末までに2万件を超えるダウンロードが行われた。いかに多くの関心を集めていたかが、推察される。

【拡大画像や他の画像】

このような大騒ぎの一方で、攻撃者の活動も続いていた。今月のランキングで注目したいのは、Skypeのインスタントメッセージで広がる「WORM_DORKBOT.DN(ドークボット)」である(国内の不正プログラム検出数ランキングでは8位)。「WORM_DORKBOT」は「これはあなたのプロフィール写真ですか?」というメッセージ内のURLをクリックすると、不正プログラム本体がダウンロードされ感染する。「WORM_DORKBOT」は、ネットバンキングやソーシャルメディアなどのログインパスワードを奪おうとする。メッセージには英語やフランス語など、少なくとも18言語が確認されている。もちろん、感染を拡大が目的である。現在のところ、日本語のメッセージは確認されていない。しかし、日本でもメッセージ内のURLをクリックしたユーザーが多く、検出が増加したとのことである。

○国内で収集・集計されたランキング

Skypeのインスタントメッセージで拡散する「WORM_DORKBOT.DN」が8位にランクインしている。このワームは情報窃取以外にも、感染したPCをDDoS攻撃に悪用する機能を持つ。

表1 不正プログラム検出数ランキング(日本国内[2012年10月度])
○世界で収集・集計されたランキング

国内で1となった「ADW_GAMEPLAYLABS(ゲームプレイラボス)」が、世界でも3位にランクインしている。「ADW_GAMEPLAYLABS」は、フリーソフトと共にインストールされる。フリーソフトの利用には、十分注意してほしい。

表2 不正プログラム検出数ランキング(全世界[2012年10月度])
○日本国内における感染被害報告

ランキングは、圏外からのランクインが多くなった。5位にランクインしている「BKDR_POISON(ポイズン)」は、内閣府を装ったメールに添付されるファイルを実行すると感染する(図2参照)。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年10月度])
○世界の脅威動向を分析した「2012年第3四半期セキュリティラウンドアップ」

10月23日、2012年第3四半期のセキュリティラウンドアップを公開した。全世界のトレンドラボが行った世界規模のセキュリティ動向や傾向の分析である。

そのサマリーを簡単に紹介しよう。

○モバイル

今回のセキュリティラウンドアップでも、Androidの不正アプリの増加を最初に指摘している。これまでに、累計17万5千種を超え、前四半期末から6倍以上となった。不正アプリの多くは、SMSの不正送信による高額請求が実際の攻撃として使われる。ランキングでは、1位が「ANDROIDOS_FAKE」、2位が「ANDROIDOS_BOXER」となった。○サイバー犯罪

第3四半期に全世界で最も多く検出された不正プログラムは「ZACCESS」であった。トレンドマイクロでは、この四半期に900,000以上の「ZACCESS」を検出している。また、Webサイトの閲覧時にぜい弱性を利用して不正プログラムを送り込む攻撃ツール「Blackhole Exploit Kit」の新しいバージョンが確認された。より、精巧なサーバー犯罪ツールが利用されているとのことだ。○スパムメール

スパムメールの多くは、ボットネットから送信されている。なかでも活発な活動をしていたのが、「FESTI」である。このボットネットは、サウジアラビアのISPを使った。結果、この四半期の送信国の1位がサウジアラビア(21%)となった。しかし、攻撃者がサウジアラビアにいるわけではない。○標的型攻撃

持続的標的型攻撃といえば、「Luckycat」が注目を集めている。Luckycat攻撃を行っている攻撃者は、不正なAndroid端末用アプリケーションのAPKファイルを攻撃の材料としている。その他、新たなぜい弱性を利用した侵入手法や、遠隔操作ツールを用いた複数の攻撃が確認された。○ソーシャルメディア

ソーシャルメディアでは、さまざまな個人情報の奪取が行われている。特にミニブログサービス「Tumblr」では、アンケート詐欺を使い情報を詐取しようとした。また、偽のWebアプリ「TumViewer」などが使われた。
 
 サイバー犯罪者の“サラリーマン化” 情報漏洩は月100社超か        SankeiBiz2012/11/21



サイバー攻撃の主な種類



 2011年6月。米中央情報局(CIA)やソニーなどをサイバー攻撃したと主張する首謀者は世界に向けて、こう忠告した。
.

 「犯行を公表しているわれわれではなく、公開されていない事実を恐れるべきだ」 世界中の企業や国の機関をターゲットに、サイバー攻撃を仕掛けることで有名なハッカー集団「ラルズセキュリティー」の挑発的な犯行声明だ。しかし、意外にも同声明に共感した企業関係者は少なくない。
.

 サイバー攻撃は「自覚症状のないがん」に例えられる。日本では、攻撃を受けた側が情報漏洩(ろうえい)など被害に気づかないケースがあるからだ。その点、愉快犯とされるラルズや政府などへの抗議活動のためにサイバー犯罪を引き起こす集団「アノニマス」は、自らの犯行を世間に公表する傾向にあり「ある意味で“親切”な襲い方」(企業幹部)という意見も目立つ。
.

 逆に企業が最も恐れるのは、気づかれずに情報を盗み出す産業スパイによるサイバー攻撃だ。国内最大のサイバーセキュリティー企業、ラック(東京)は今年1〜6月、スパイによって日本企業や官公庁の情報が漏洩されたとみられる事件を21件対応。このうち15件は昨年3〜5月に侵入されていたと推定され、約1年間も情報が盗まれたままだったことが判明した。
.

 独立行政法人・情報処理推進機構(IPA)に報告された8月中の国内企業などのウイルス感染被害件数は0件。しかし、IT企業関係者は「ウイルス感染で情報漏洩を起こす国内企業は月に100社を超えるとも聞く」と危機感をあらわにする。サイバー攻撃が表面化するのはまさに氷山の一角で、日本企業の危機意識の欠如が危ぶまれる。
.

 一方、攻撃を仕掛ける側の特徴や手法は急速に進化している。近年、指摘されるのはサイバー犯罪者の“サラリーマン化”だ。名古屋大学情報基盤センターの高倉弘喜教授は「攻撃する時間が規則的で、昼休みのように休憩時間まで作る犯罪者が増えた」と指摘したうえで、「結果的に、計画性に富んだ組織的な攻撃が多くなった」と分析する。
.


サイバー攻撃の標的も国や企業だけではなく、消費者の手元に届く商品にまで広がりつつある。10月にはスマートフォン(高機能携帯電話)に登録された情報を無断で外部に送信するアプリ(応用ソフト)を公開し、1000件以上の個人情報を流出させた犯人が日本で逮捕され、注目を集めた。
.

 米国は最終的に軍隊の力を示すことでセキュリティーを守れるが、同じ手法が使えない日本はITの技術力で勝負するほかない。国内企業に勤務するハッカーの男性は「漏洩しても困らないデータを“影武者”のように置いて盗ませる高度な防衛方法を磨けば、日本でも必要な情報を守ることができる」と訴える。
.

 同時にサイバー攻撃がどこから攻めてきているのか認識することも重要だ。例えば、アフリカではインターネット環境が急速に整備された半面、ネット関連の犯罪を取り締まる法整備が遅れ、サイバー犯罪者の温床と化している。犯罪組織がナイジェリアなどに潜伏し、受信側の許諾を得ず一方的に配信する広告メールを駆使し、巨万の富を得たという報告もある。
.

 「遠い国の事例だと感じている日本人がほとんどだが、アフリカからのサイバー攻撃は日本にも向けられている」と海外のIT専門家は警鐘を鳴らす。ネットの普及で世界中とつながることが可能になったが、その一方でサイバー攻撃という国境線のない“戦争”に巻き込まれる危険性も高まった。
.

 世界が繰り広げるサイバー空間での攻防戦において後れを取らないためにも、日本は国全体で危機感を共有しながら人材育成などの課題を解決することが求められる。
.
 
 企業システムの潜在リスク診断 ブロードが新ソフト販売

SankeiBiz 11月21日



 ソフトウエア販売のブロード(東京都文京区)は、米ビヨンド・トラスト(カリフォルニア州)が開発したコンピューターシステム用総合セキュリティーパッケージ「レティーナCS」の国内販売を開始した。企業のコンピューターが抱える潜在リスクを総合的に診断し、優先順位を提示するセキュリティーシステムで、サイバーテロやコンピューターウイルスなどさまざまな脅威にさらされている企業や官庁のニーズに応える。

 レティーナCSは、インターネットや市販ソフトウエア、スマートフォン(高機能携帯電話)など企業のコンピューターシステム全体に潜む脆弱(ぜいじゃく)性をきめ細かく分析し、対策の優先順位を提示するとともに、最大200種以上のリポートを出力、脆弱性の改善状況などを担当者に逐次提示する。

 2000年に米イーアイ(今年5月にビヨンド・トラストが買収)が開発、世界で1万社以上が導入しており、米国防総省では900万IDの巨大システムが稼働している。

 ブロードはソフトウエア販売やコンサルティング事業などを主に手がける。

 レティーナCSは256IDが最小構成で、価格はライセンス料が100万〜150万円(別途保守料が必要)。大手、中堅企業を中心に今年度内に10社の販売を見込んでいる
 
 Linuxを狙う新手のrootkit出現、ドライブバイ攻撃の新たな手口を実装

ITmedia エンタープライズ 11月21日



 Linuxを狙った新手のマルウェアが見つかったとして、セキュリティ企業のKaspersky LabやCrowdStrikeがブログで分析結果を紹介している。Webサイトを閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード」の新たな手口を実装しているのが特徴だという。

 このマルウェアについての情報は、セキュリティメーリングリストに11月13日に投稿された。それを分析したKaspersky Labの19日のブログによると、このマルウェアは64ビットのLinuxを標的としたrootkitで、高度な技術を使って身を隠す機能を実装しているほか、攻撃を受けたHTTPサーバ上でホスティングされているWebサイトに不正なiFrameを挿入し、悪質なサイトにトラフィックを誘導する機能を持っていることが分かった。この機能はドライブバイダウンロード攻撃に使われる恐れもあるという。

 このrootkitはまだ開発段階にあるものの、ドライブバイダウンロードの手口は新しいアプローチを採用しており、この手口を使ったマルウェアが今後増えるのは確実だとKasperskyは予想する。

 CrowdStrikeのブログでも、このマルウェアはこれまでに出回っているrootkitに手を加えたものではないと指摘、「iFrameを挿入して脆弱性悪用キットへとトラフィックを誘導するサイバー犯罪の手口が次の段階に入ったようだ」と伝えている。
 
 「HDvM」にDoS攻撃を受ける脆弱性、対策版を公開(HIRT)

ScanNetSecurity 11月21日



株式会社日立製作所ソフトウェア事業部は11月19日、同社のセキュリティ情報サイト「HIRT」において「HS12-025:Hitachi Device Manager Software製品におけるDoS脆弱性」を公開した。これは、Hitachi Device Manager Software(HDvM)が大量のデータを一度に受信した場合に異常終了するというもの。この影響でHDvMが操作不能になる。異常終了した場合は、HDvMのサービスまたはデーモンを再起動することで使用を再開できる。

同社では該当する利用者に対し、対策版の適用を呼びかけている。また、11月16日には「HS12-027:CA ARCserve Backupに関するセキュリティ問題」「HS026:JP1/Automatic Job Management System 3, JP1/Automatic Job Management System 2におけるDoS脆弱性」も公開されている。
 
 逮捕の男女5人、処分保留で釈放 スマホ個人情報流出

産経新聞 11月21日



 スマートフォンのアプリをインターネット上に公開して個人情報約1千万件を流出させた事件で、東京地検は20日、不正指令電磁的記録(ウイルス)供用容疑で逮捕されたIT関連会社「アドマック」の奧野博勝元会長(36)=東京都港区赤坂=ら男女5人全員を処分保留で釈放した。

 奥野元会長の弁護側は、アプリをダウンロードする際に個人情報を読み取る旨の説明が表示されていた点を指摘し、流出は利用者の自己責任だとして、無罪を主張していた。ただ、読み取った個人情報を外部に送信することまでは明示されておらず、地検で捜査を続けている。

 奥野元会長らはアプリ配信サイトに3〜4月、スマホの個人情報を外部に送信させる動画再生アプリを無料配信し、都内の女子大生(20)にダウンロードさせたとして10月30日、警視庁に逮捕されていた。
 
 ウイルスアプリ提供容疑、逮捕の5人を釈放 東京地検

朝日新聞デジタル 11月20日



 スマートフォンにアプリを通じてウイルスを感染させ、個人情報を抜き取った疑いで警視庁に逮捕されたネット関連会社元会長の男性ら5人について、東京地検は勾留期限の20日、処分保留のまま釈放し、発表した。捜査は継続し、処分を決める。

 ウイルスを組み込んだアプリをグーグル社の公式ストアに提供し、ダウンロードした女性のスマホの電話帳に登録されていた約300件の情報を抜き取ったとして、5人は不正指令電磁的記録供用(ウイルス供用)容疑で10月30日に逮捕されていた。

 ダウンロードの際には「連絡先のデータの読み取り」の許可を求めるメッセージが表示されていた。電話帳まで対象になるとは明記されていなかったが、地検は、利用者の意図に反して読み取られたのか慎重に見極める必要があると判断したという。
 
 <流出アプリ>5人を処分保留で釈放…東京地検

毎日新聞 11月20日




「電波改善」などとうたい、ウイルスが仕込まれたアプリのアイコン=府警提供


 スマートフォンから個人情報を無断で外部に流出させるアプリがインターネット上に公開され個人情報が抜き取られた事件で、東京地検は20日、不正指令電磁的記録(ウイルス)供用容疑で警視庁が逮捕したIT関連会社元会長ら5人全員を処分保留で釈放した。理由は明らかにしていない。

 元会長らは、ウイルスを仕込んだアプリをグーグルの公式ストアで無料公開し、インストールした女子大生の電話帳データを無断で自社のレンタルサーバーに送信させたとして、警視庁に先月逮捕された。
 
 スマホ情報流出400万件か 感染アプリ作成・提供容疑

朝日新聞デジタル 11月20日



 スマートフォンの電話帳の内容を盗むウイルスを保管したとしてインターネット関連会社役員の鈴木隆介容疑者(30)=大阪市中央区=ら2人が京都府警に逮捕された事件で、ウイルスに感染したアプリは携帯電話1万数千台にインストールされていたことが、捜査関係者への取材でわかった。抜き取られたメールアドレスなどのデータは400万件に上るとみられるという。

 京都府警は20日、このウイルスを作成・提供したとして、東京都内のコンピューター関連会社に勤める男ら2人を新たに不正指令電磁的記録作成・提供の疑いで逮捕した。

 捜査関係者によると、2人のうち1人がウイルスを作成、もう1人が鈴木容疑者らにウイルスを提供した疑いが持たれている。ウイルスはスマホのアンドロイド用のアプリに組み込まれ、インストールすると、電話帳のメールアドレスなどのデータが抜き取られ、外部のサーバーに送信される仕組み。抜き取られたデータは、出会い系サイトの宣伝などに使われていたという。
 
 情報流出アプリで処分保留=IT元社長ら5人釈放―東京地検

時事通信 11月20日



 スマートフォン(多機能携帯電話)から個人情報を抜き取るアプリ(ソフト)がインターネット上に公開された事件で、東京地検は20日、不正指令電磁的記録(ウイルス)供用容疑で逮捕されたIT関連会社の奥野博勝元会長(36)ら5人を処分保留で釈放した。
 奥野元会長らは3〜4月、スマホの電話帳情報などを外部のレンタルサーバーに勝手に送信するコンピューターウイルスを仕組んだアプリを作成して公開し、都内の女子大生にダウンロードさせたとして、10月30日に逮捕された。
 
 <スマホ情報流出>400万件 ウイルス作成容疑で2人逮捕

毎日新聞 11月20日



 スマートフォン(多機能携帯電話)内の電話帳データを抜き取るウイルスを保管したとして、京都府警が出会い系サイト関連業者ら2人を逮捕した事件で、抜き取られた電話帳データが約400万件に上るとみられることが、捜査関係者への取材で分かった。府警は、このウイルスを作成したなどとして、新たに東京都内の男2人について、不正指令電磁的記録(ウイルス)作成容疑などで逮捕した。また、ウイルスを仕込んだメールを不特定多数に送信したとして、既に逮捕していた業者ら2人を同供用容疑で再逮捕する。

 捜査関係者によると、都内の男らのうち1人は、グーグルの基本ソフト「アンドロイド」を搭載したスマホ向けに、個人情報を抜き取るウイルスを仕込んだ無料アプリケーションソフトを作成した▽もう1人は、このソフトを、先月30日に逮捕された大阪市東淀川区、出会い系サイト関連会社役員、田川和弘容疑者(28)らに提供した−−との疑いが持たれている。

 問題の無料アプリは「電池長持ち」「電波改善」などとうたっているが、ダウンロードしインストールすると、「お使いの機種には対応していません」との表示が出る。一方で、インストール後、スマホ内で個人の電話連絡先などを記録した電話帳データを根こそぎ抜き取るという。

 田川容疑者らは不特定多数にこれらのアプリ入手を勧誘するメールを配信したとされる。府警の調べでは、1万数千人がインストールし、1人で1000件以上のデータを抜き取られた人もいたという。

 データは海外のサーバーに転送されてデータベース化され、出会い系サイトの勧誘に利用されたり、名簿業者に転売された可能性があるという。

 スマホ内の電話帳データを抜き取るウイルスを巡っては、警視庁が先月、ウイルス供用容疑で男女5人を逮捕。1000万件以上のデータが抜き取られたとみられている。
 
 国内ハッカーなぜ人材不足なのか ハイレベルの日本人が海外流出する理由
クリップする
SankeiBiz2012/11/20



日本のハッカーの人材数


 「犯人は、中国人ではないかもしれない」
.[韓国に負けた日本]評価しない…日本人技術者が韓国企業に転職したワケ


 日本政府が尖閣諸島の国有化を閣議決定した9月中旬以降、総務省や最高裁判所など国の中枢機関のホームページ(HP)を標的とするサイバー攻撃が相次いだ。日本人の大半は中国人の関与を信じて疑わないが、海外のIT(情報技術)専門家の間では「中国人になりすました犯行」という分析が多かった。
.

 中国人でも、日本人でもない別の国に身をしのばせた“首謀者”が両国関係の悪化を狙うため、中国内のパソコンを遠隔操作し日本に攻撃を仕掛ける−。
.

 米国の専門家は、そんな可能性も考慮すべきだとした上で、「日本のセキュリティー対策には裏を読む戦略がない」と推察する。急増するサイバー攻撃を重くみた米国防総省は昨年7月、サイバー空間を陸・海・空・宇宙に次ぐ「第5の戦場」と定義し、攻撃を受けた場合、敵の拠点を攻撃するなどの報復方針を明確にした。国や経済の機密情報を盗まれたり、破壊されたら戦争を起こす覚悟を示す米国に比べ、日本では緊迫感が欠如した事例が多く報告される。
.

 尖閣諸島国有化の閣議決定後、サイバー攻撃で中国国旗がはためく画像に改竄(かいざん)された、最高裁判所が運営する全国の裁判所のHP。被害後、約1週間も閲覧不能の状態が続いた。「法治国家であるにもかかわらず、裁判所のデータが閲覧できない状況がこれほど続けば、世界から“IT後進国”と笑われてもおかしくはない」。元陸上自衛官で、陸自のサイバー戦部隊隊長を務めた関係者は指摘する。万が一、米国で中枢機関にかかわるHPが閲覧不能になれば「ほぼ1日で元に戻す」(専門家)ためだ。
.

 日本の“脇の甘い”IT対策は、サイバー事件が起こったときの犯人特定・原因究明のレベル低下にもつながった。遠隔操作ウイルスに感染したパソコンから犯行予告・脅迫のメールの書き込みが繰り返された事件で、警察は誤認逮捕を連発。このウイルスは、初歩的なプログラミング技術で簡単にできてしまうにもかかわらず、前代未聞の不祥事を引き起こしてしまうという日本の警察の深刻な課題を浮き彫りにした。
.

 各国がサイバー武装する中、日本のセキュリティー意識が低いのはなぜか? それはハッカーの人材不足と無関係ではない。ハッカーといえば、ネットに侵入して悪事を働くイメージが強いが、実は高度なネットワーク技術を持つコンピューター専門家を指す。国内で唯一、ハッカーを専門的に養成する情報セキュリティ大学院大学(神奈川県)。担当教授が作成したウイルスを生徒が解析する実習を行うなどの先進的な教育で有名だが、今春の受験者はわずか約40人にとどまった。
.

 独立行政法人・情報処理推進機構(IPA)によると、従業員100人以上の国内企業に勤めるハッカーは約23万人。IPAは、このうち半数以上は技術力が足りず、2万人以上の人材が不足していると分析する。「日本企業は給料が安く出世できない」。国内企業に勤めるハッカーの20代男性はこう打ち明ける。
.

 米国企業はハッカーの雇用に前向きで、高額の報酬を得る者も存在する。これに対し、日本は逆で、セキュリティー部門の人間が出世する実例は少なく、レベルの高い日本人ハッカーが海外に流出しつつある。米ラスベガスで年に1度開催されるハッカーが技術を競い合うコンテスト。入賞者は企業や政府から高収入で引き抜かれるといわれ、最近は日本人の出場者が急増している。サイバー攻撃から日本を守る“駒”はあまりにも少ない。
 
 
トレンドマイクロ、制御システムセキュリティ事業を立ち上げ

Impress Watch 11月19日

 トレンドマイクロ株式会社は19日、制御システムセキュリティ事業を立ち上げると発表した。「日本で事業を立ち上げ、2013年下期より海外展開する」(取締役副社長の大三川彰彦氏)。第一弾として、制御システム向けホワイトリスト型セキュリティ対策ソフト「Trend Micro Safe Lock」の受注を2013年1月7日より、出荷を1月31日より開始。すでにリリース済みのオフライン向けウイルス検索・駆除ツール「Trend Micro Portabel Security」、USBストレージ保護ツール「Trend Micro USB Security」と合わせて、堅牢な制御システムセキュリティを実現する。

【拡大画像や他の画像】

 昨今、制御システムのセキュリティインシデントが発生している。原子力発電所の遠心分離器の破壊を狙った「STUXNET」、自動車組立工場に13の生産ラインを停止させた「WORM_ZOTOB」、鉄鋼プラントを狙い蒸気タービン制御システムをダウンさせた「WORM_DOWNAD」などだ。この背景には、制御システムのオープン化や外部ネットワークとの接続が進み始めていることがある。今までクローズドに運用されていた制御システムがオープン化することで、外部からの標的となりつつあるのだ。

 制御システムの特徴としては、24時間365日の可用性重視、10〜20年の運用期間、ひとたびインシデントが発生すると社会機能の停止や生産停止といった甚大な被害が生じてしまう、管理者は情報システム部門ではなく現場の技術部門、といった点が挙げられる。

 このような制御システムのセキュリティ対策上の要件は、「システムを停止させない」「パフォーマンス劣化は最小限」「クローズドな環境でもセキュアな状態を保つ」「パッチ適用困難な環境でもセキュアな状態を保つ」「導入・運用が容易」であると執行役員 事業開発本部長の斧江章一氏。

 これら要件を満たすため、Safe Lock、Portable Security、USB Securityの3製品を投入する。

 Safe Lockは、制御システムの稼働を監視するHMI(Human Machine Interface)、スイッチ・ポンプ・バルブなどの装置を制御する機器のプログラムを更新するEWS(Engineering Work Station)、生産計画・工程管理といった生産管理を行う端末など、制御システム内にある特定用途の端末を対象にしたホワイトリスト型セキュリティ対策ソフト。

 許可リストにあらかじめ登録したアプリケーションのみ実行を許可することで、不正プログラムの実行を防止する。インターネットを介した定期的なパターンファイルの更新が不要なため、オフライン環境の端末を保護することが可能。また、USBメモリなどの外部記憶媒体から不正プログラムが自動実行されることや、脆弱性を利用したネットワーク経由の攻撃パケットを遮断する。

 併せて、USBメモリ型ウイルス検索・駆除ツールのPortable Securityを併用することで、Safe Lockの導入時や定期点検時に不正プログラムを検出・駆除できる。

 残るUSB Securityは、USBストレージそのものにウイルス対策機能を搭載させる。すでにアイ・オー、エレコム、バッファローなどのベンダーからOEM製品が出荷されている。

 新製品となるSafe Lockは2013年1月に提供を始める。Portable Security、USB Securityと併せて制御システムセキュリティ事業として展開。対象となる顧客は、製造業(製造管理システム)、電力・ガス・水道(供給監視システム)、石油・化学(生産制御システム)、ビル(空調設備監視システム)などだ。

 価格は、クライアントOS向けライセンスが初年度保守込みで1万1000円(税別)、次年度以降保守費用は2220円(同)。サーバーOS向けライセンスが初年度保守込みで7万2800円(同)、次年度以降保守費用は1万4560円(同)。

 大三川氏は「制御システム向けの製品開発を今後も続け、制御システム専門ベンダーへのOEM提供、共同製品開発、あるいは既存パートナーの制御システム部門との連携による販売推進を行う。パートナー向けにはセールス支援を、顧客向けにはプレミアムサポートで包括的な支援を行い、当社によるハイタッチ営業による初期案件の創出にも励む。また、政府・業界団体との連携も進める方針。すでに経済産業省 制御システムセキュリティ検討タスクフォースに参画しており、今後、技術研究組合 制御システムセキュリティセンター、産業技術総合研究所 セキュアシステム研究部門といった関係団体との協力関係構築を進めていきたい」と事業推進の方向性を語った。
 
 日本にとうとう上陸したMITB攻撃に対策、FFRIが新製品

@IT 11月16日



 フォーティンフォティ技術研究所(FFRI)は2012年11月16日、最近発覚した、国内金融機関のインターネットバンキング利用者を狙った攻撃でも利用されているMITB(Man in the Browser)攻撃対策として、「FFRI Limosa」を発表した。金融機関のWebサーバからセキュアモジュールを配布し、マルウェアによるWebブラウザへの介入をブロックする仕組みだ。

 MITB攻撃は、ユーザーのPCに感染したマルウェアがWebブラウザの挙動を監視し、インターネットバンキングなどの利用時に、振込先や振込額の書き換えといった不正な処理を行うというものだ。同社執行役員 技術戦略室長の村上純一氏は、「MITB攻撃は『Operation High Roller』でも使われ、ドイツやイタリアなどでも大きな被害を及ぼしている。いよいよその波が日本にも及んできた。最近のインターネットバンキングでの不正の手口は、ほとんどがWebブラウザに干渉して画面をポップアップさせるMITB攻撃といっていい」と指摘する。

 MITB攻撃では、いったん認証を経て正規のサイトにアクセスした後に不正が行われるため、ユーザーが気付くのは難しい。また、ワンタイムパスワードをはじめ、キーロガーなどによるID/パスワード盗み見対策として導入されてきた認証強化手段でも、対応は困難という。

 これに対しFFRI Limosaでは、トランザクションを行うたびにセキュアブラウザをダウンロードして利用することで、MITB攻撃が付け入る余地をなくす。

 FFRI Limosaを導入した金融機関などのWebサイトにアクセスし、認証を行うと、コードインジェクション対策を施したFFRI Limosaがダウンロードされる。以降の処理は保護されたブラウザで行うため、仮にマルウェアに感染していた場合でも、画面や通信内容の改ざんなどを防ぐ。

 FFRI Limosaは、Webサーバ側にファイルを設置するだけで導入でき、システム改修などの手間は不要だ。またユーザー側に負担を掛けずにすむこともメリットという。

 「『ユーザー自身の注意』だけに頼らない、事業者側ができる対策だ」(村上氏)

 村上氏によると、マルウェア作成ツールキット「SpyEye」が日本の銀行を狙ったバージョンを出してきた約1週間後に、インターネットバンキングでの被害が報じられたという。

 「とうとう日本にもMITB攻撃が上陸してきた。だが、これはまだ第一波にすぎず、今後、より洗練され巧妙になっていく可能性がある。MITB攻撃が『当たり前』になった世界での対策が必要だ」(同氏)

 FFRIでは主に金融機関向けにFFRI Limosaを販売していくが、将来的にはWebサービス企業全般に拡大していく考えもあるという。2012年11月20日に出荷を開始する。
 
 ネットバンキングマルウェアの介入攻撃を遮断、FFR研究所が対策製品を発売

ITmedia エンタープライズ 11月16日



FFRI Limosaの仕組み


 フォティーンフォティ技術研究所は11月16日、セキュリティソフトウェア製品「FFRI Limosa」を発表した。オンラインサービスでのIDやパスワードの盗聴、マルウェアが通信内容に介入する「MITB(Man-in-the-Browser)攻撃」からユーザーを保護するもので、オンラインサービス提供企業向けに20日から販売を開始する。

 MITB攻撃ではマルウェアに感染したコンピュータでユーザーがオンラインサービスにログインすると、マルウェアが通信内容に介入して、密かに画面情報の一部や送受信される内容を改ざんする。攻撃者はユーザーのログイン情報を盗み取ったり、送金先を変更して不正に金銭を搾取したりできてしまう。

 この攻撃は、ユーザーが正規サイトにログインしているために、マルウェアの介入に気付くのが難しく、二要素認証などの対策では防ぎ切れないとされる。最近は、欧州を中心に発生した「Operation High Roller」事件でネット詐欺グループが検挙されており、10月には国内でも複数のオンランバンキングサービスで、MITB攻撃とみられる事件が発生するなど、世界的な問題になっていた。

 FFRI Limosaは、マルウェアなどの介入を防ぐ技術を施した「セキュアブラウザ」の中で取引処理を行う仕組みを提供する。ユーザーがオンラインサービスにログインすると、オンラインサービスのサイトからセキュアブラウザのモジュールがユーザーのコンピュータにダウンロードされ、Webブラウザに組み込まれる。以降の処理はセキュアブラウザの内部で行われ、マルウェアが介入できなくなる。オンラインサービスの提供企業ではFFRI Limosaをユーザーにダウンロードしてもらう仕組みを追加するだけでよく、Webサイトなどを大規模に改修する必要はないという。

 IDやパスワードの盗聴対策ではワンタイムパスワードやセキュアトークンなどを使う二要素認証などがあるが、MITB攻撃の場合はウイルス対策ソフトなどで不正プログラムを検知できなければ、ユーザーの「感覚」に頼らざるを得ないのが実情。同社は、「ユーザーに依存することなくセキュリティレベルの高められる仕組みを、少ないコストで利用できるように目指してきた」と開発のコンセプトを説明している。
 
 進化論をたどるマルウェア作成ツール

@IT 11月15日



 マカフィーは11月14日、プライベートカンファレンス「FOCUS JAPAN 2012」を開催した。イベントに合わせて同社は、マルウェア作成用ツールキットの報道関係者向けハンズオンを実施。非エンジニアのメディア関係者でも、GUI上で何回かクリックし、必要事項を入力するだけで、遠隔操作可能なトロイの木馬を簡単に作成できることを体験するという内容だ。

 ワークショップは、VMware上に攻撃者と被害者の仮想マシンを構築して行われた。マルウェア作成に利用したのは、「Shark」というトロイの木馬作成ツールだ。いくつか項目を入力するだけで、C&Cサーバからコントロール可能なトロイの木馬ができあがる。ワークショップでは省略していたが、マルウェアが自身の痕跡を消し、対策ソフトによる検出を逃れるためのオプションも用意されている。

 このシナリオでは、できあがったトロイの木馬を、マカフィーに見せかけた偽のWebサイト(「MacFee」という紛らわしいドメイン名で用意)に仕込み、「無料のウイルス対策ソフトを提供」といった電子メールで被害者を誘導し感染させる。ウイルス対策ソフトと信じてこのトロイの木馬を実行してしまうと、被害者のPCは乗っ取られてしまう。攻撃者側マシンの管理コンソールからは、対象PCのリソースやインストールされたアプリケーション一覧の確認にはじまり、レジストリの編集やコマンドの実行など、あらゆる操作がリモートから行える。キーロガーを通じて、パスワードを盗み見ることも可能だ。

 こうしたマルウェア作成ツールは、ペネトレーションテストによるセキュリティチェックのために使われている。だが一方で、マルウェア作成に使われていることも事実だ。「無償で提供されているオープンソースのツールもあり、容易に入手できる。誰でもマルウェアを手軽に作成できるという意味で危険だ」と、米マカフィー テクニカル・ソリューションズ ディレクター ブルース・スネル氏は説明した。

 スネル氏によるとこれらツールキットは、主にロシアなど、エンジニアが豊富にいる地域で開発され、ブラックマーケットで高値で取引されている。「Operation High Roller」をはじめ、金融機関を狙ったオンライン詐欺で利用されている「SpyEye」の場合、基本キットは2000ドル。加えて「FirefoxのWebインジェクションが2000ドル」「Socks5での接続が1000ドル」といった具合に、商用ソフトウェア顔負けのオプションが用意されている。なお、無償版のSpyEyeも流通しているそうだが、「こうしたツールにはマルウェアが仕込まれており、かえって攻撃される」(スネル氏)。

 スネル氏によると、このSpyEyeやワークショップで用意したSharkのほか、「Zeus」、あるいは「BackTrack」など、数十種類のマルウェア作成ツールキットが確認できている。「ツールキットの世界も進化論と同じ。使いにくいものは廃れ、使いやすいものが登場するとそれが広く使われる」(同氏)。

 ツールで作成されたマルウェアは、さまざまな手段で被害者のPCに感染を試みる。中でも最も頻繁に用いられるのがソーシャルエンジニアリングで、メールのほか、TwitterやFacebookなどのソーシャルネットワークもたびたび使われる。「Facebookはマルウェアや悪意あるリンクが最も多く仕込まれているサイトではないかと思う。知っている人から送られてきたリンクは、思わずクリックしてしまうものだからだ」(同氏)。また中には、C&Cサーバから直接命令を下す代わりに、Twitterのつぶやきをコマンドとして利用するマルウェアも現れているという。

 ますます巧妙化するマルウェアに対し、企業ならばある程度の対策は可能だが、個人ユーザーの場合は難しいと同氏。ウイルス対策ソフトを導入してアップデートし、Windows Updateを実行してパッチを適用するといった基本を必ず徹底するとともに、「リンクをクリックする前に、一呼吸置いて考えてほしい。怪しいと思ったら確認する習慣を」と述べている。
 
 マカフィー、個人向けセキュリティ製品群の最新版をリリース

ITmedia エンタープライズ 11月15日



 マカフィーは11月15日、個人向けセキュリティソフト製品における機能強化を発表した。PC、Mac、Androidで利用可能な「マカフィー オール アクセス 2013」や、PC向けの「マカフィー トータル プロテクション 2013」「マカフィー インターネット セキュリティ 2013」「マカフィー アンチウイルス プラス 2013」が対象となる。

 各製品ではMicrosoft Windows 8に対応したほか、タッチパネル式デバイスでも利用できるようホーム画面のデザインを一新した。マルウェア対策機能では新たなスキャンエンジンを採用して、パフォーマンスの向上と電力消費を改善したという。

 またデバイスやアプリケーションの脆弱性検出や攻撃からの保護、レポート提供を行う「脆弱性スキャナー」や、SNS内のリスクをユーザーに色別で通知する「McAfee SiteAdvisor Social」などの機能を搭載する。マカフィー オール アクセス 2013には、Android端末に保存されたプライバシー情報を保護する「モバイルプライバシー機能」も追加した。
 
 5人に1人が危険に遭遇=ネットバンクの民間調査

時事通信 11月15日



 インターネット専業銀行のジャパンネット銀行が15日まとめたネットバンキングに関する意識調査によると、偽メールの受信やパソコンのウイルス感染など、利用者の5人に1人が何らかのネットバンク犯罪に遭遇していることが分かった。
 調査では、「被害や危険な目に遭った経験はあるか」との質問に対し、「ある」との回答が19.4%に上った。事例としては、「フィッシングメールの受信」「パソコンなどのウイルス感染」「個人情報や口座情報の流出」が多かった。
 また、「セキュリティーに不安を感じるか」の問いには、「感じる」が14.5%、「どちらかといえば感じる」が45.2%で、全体の6割を占めた。同行は「最近の犯罪被害の増加や手口の多様化が影響している」(企画部)とみている。 
 
 30分でできるサイバー犯罪体験――トロイの木馬でPCを乗っ取ってみた

ITmedia PC USER 11月15日





本物そっくりの偽のサイトを立ち上げ、ここにマルウェアを配置


McAfee FOCUS JAPAN 2012:
 マカフィーは11月14日、サイバー攻撃やセキュリティリスクを解説する同社主催のセキュリティカンファレンス「McAfee FOCUS JAPAN 2012」を開催した。その中でちょっとユニークなセッションが行われていたので紹介しよう。

【30分でできるサイバー犯罪体験:トロイの木馬でPCを乗っ取ってみた】

 「MALWARE EXPERIENCE」(マルウェア体験)と名付けられたそのセッションでは、参加者の前に用意されたPCを使って、実際にマルウェアがどのように作られ、どのように動作するのかを学習することができる(参加者は攻撃者と被害者の双方を体験する)。サイバー犯罪の手口を実際に体験することで、被害者にならないための知識を獲得し、セキュリティ意識を高めることが目的だ。

 今回の具体的なシナリオは、RAT作成キットで知られる「SharK」を使ってトロイの木馬を作成し、ターゲットのPCに感染させ、制御下に置いたターゲットのPCを遠隔でコントロールするというものだ。なおこのデモは、1台のPC内で3台の仮想マシンを実行し、1台のサーバと2台のワークステーションで構成される、完全に独立した仮想ネットワーク上で行われる(The-Webが攻撃者、Victimが被害者)。

 ちなみに、記者はこれまでマルウェアの作成に関わったこともなければ、そうした専門知識も持たない、どこにでもいるごく一般的なインターネットユーザーだ。ツールキットの登場によって、「誰もがマルウェアを作成できるようになった」と言われるが、この体験プログラムで用意された時間は約30分ほどしかない。果たして無事(?)にターゲットのPCをコントロールできるのだろうか。

 まずはダウンロード(正確には最初からPC内にあった)したSharK.exeを実行してサーバを設定する。このオプションで、ターゲットに送り込んだトロイの木馬やボットがC&Cサーバを見つけられるようにする(Addをクリックして攻撃者側のサーバのIPアドレスを指定)。なお、SharKは古くからあるツールキットだが、GUIベースの管理画面はシンプルで見やすく、ボタンやチェックボックス、プルダウンメニュー操作で作業が行える。まったく知識がない記者でも画面を見ればなんとなく分かるものだ。

 次に正規のプログラムに組み込むトロイの木馬を作成する。ここでは埋め込み先にStinger(スタンドアロン型のウイルススキャンツール)を用いているが、これはターゲットにマルウェアを実行させる際、正規のウイルススキャンツールをインストールしていると思わせるためだ。

 画面の左にあるメニューバーを見ると、「Stealth」(マルウェア実行時に実行ファイルを削除する、ユーザーに隠れてマルウェアを実行する)や、「Blacklist」(感染したマシン上のセキュリティソフトなどを無効化するリスト)といった項目が並び、作成するトロイの木馬にさまざまな動作オプションを設定できることが分かる。満足のいく設定ができたら、ファイル名にvirusscanなどの“それらしい”名前をつけ、実行ファイルとしてコンパイルする。これでひとまずは完成だ。

 次のステップでは、ターゲットのマシンをトロイの木馬に感染させる。これには色々な方法があるが、今回はソーシャルエンジニアリングを使った古典的な手法を使う。具体的な手順は、正規のWebサイトのURLに似せたURLで、本物そっくりの偽サイトを立ち上げ、第一段階で作成したトロイの木馬を配置し、偽装した電子メールをターゲットに送ってこの偽のWebサイトに誘導、そこでマルウェアをダウンロードさせるという流れだ。

 まず攻撃側のPCでセキュリティベンダーを装ったメールを作成し、ターゲットに送信。今度はターゲット側(被害者)でメールを受信する。体験セッションでは自分が攻撃者と被害者の1人2役を演じるので、「ん? セキュリティベンダーからメールが来たぞ? ほうほう無料のアンチウイルスソフトか。さっそくゲットだぜ!」などと頭の中で小芝居を打ってみたりする。

 あくまで体験会であるこのセッションでは、(被害者が)受信したメールのリンクからプログラムをダウンロードし何の疑いもなく実行する、という攻撃者側とってやや都合のいい想定だが、例えそうしたセキュリティ意識の低いユーザーが実際にはほとんどいなくても、無料のセキュリティソフトを探している人に向けて、何万通のメールが送信されればひっかかってしまう人はいるかもしれない。また、人気のある正規のWebサイトそのものを改ざんして悪意のあるコードを仕込み、そのWebサイトにアクセスしただけで感染させるような場合は、セキュリティソフトを導入せず、アプリケーションのパッチもあてていないユーザーの大きな脅威になる。それこそ、自分の知らないあいだにPCが乗っ取られていても不思議ではないだろう。

●ターゲットのPCを遠隔操作してみる

 うまくターゲットのPC(Victim)にトロイの木馬を仕込むことができた。こうなればSharKの管理コンソールからターゲットのPCをほぼ無制限にコントロールできるようになる。Victimのマシンスペックをはじめ、インストールされているアプリケーションや、現在実行されているプロセス/サービスも確認できるうえ、ファイルはもちろん、レジストリへのフルアクセスも可能だ。

 画面左の「DOS Shell」では、ターゲットのCMDシェルにアクセスできる。試しに「start notepad」「start calc」などと打ち込んでみると、Victim側のデスクトップでメモ帳と計算機が起動する。きちんと動作しているようだ。

 このように、マシンの制御を完全に奪われた状態では、自分(被害者)のPCがさまざまなサイバー犯罪に利用されてしまう。ここでは、オンラインショッピングなどで利用するアカウントを盗むために、キーロガーを使ってみた。Victim(被害者)側でWebブラウザを立ち上げ、架空のオンラインバンキングにアクセスし、アカウントとパスワードを入力。すると、攻撃者のコンソールにはどのキーが押されたのかが記録されていく。このほか、被害者側のPCに表示されている画面をキャプチャしたり、PCにWebカメラが搭載されていれば、使用者のリアルな顔写真を記録することさえできる(今回のデモは仮想環境だったのでWebカメラのドライバがなくて断念)。

 また、ダウンローダーで、いつでもトロイの木馬に新しいウイルスを追加できるのもポイントだ。ソフトウェアがバージョンアップするように、マルウェアもバージョンアップし、常に最新で効果的な攻撃が行える。とりあえず潜伏させておけば、繰り返し預金を盗む、攻撃の踏み台にする、あるいは誰かになりすますなど、攻撃者の目的にあわせてマルウェアを送り込めるというわけだ。

 以上、ここまでの体験プログラムは約30分ほどで終了した。環境の構築などはお膳立てされていたものの、ツールキットを使った操作という点では、通常のソフトウェアを使うのと変わらない印象だ。ブルース・スネル氏は「このようにサイバー犯罪が容易にできるようになったのも、現在の深刻な状況を生んでいる要因の1つだ」と指摘し、ある程度セキュリティへの投資ができる企業ではなく、個人においてこそリスクは高まっていると警鐘を鳴らす。

 こうした被害にあわないためには、「どんなに面倒でもアプリケーションのパッチをあて、Windows Updateを実行し、セキュリティソフトを必ず更新すること。そして何よりも重要なのは、セキュリティ意識を高めるための教育、啓蒙だ」と語った。

 
 “なりすまし”メール添付画像に改ざんの可能性?

テレビ朝日系(ANN) 11月15日

 遠隔操作ウイルスによる犯行予告事件で、真犯人を名乗るメールに添付された画像は、本来、記録されるはずのデータの一部がなく、改ざんされた可能性の高いことが分かりました。

 「真犯人です。私の負けのようです」などと書かれたメールには、自殺をほのめかしているとみられる画像も添付されていました。撮影場所は横浜市保土ケ谷区内の団地周辺とみられ、警視庁などは、14日に引き続いて15日も聞き込みを続けています。その後の捜査関係者への取材で、画像には本来、撮影した際に記録される方角などのデータがなく、改ざんされた可能性の高いことが分かりました。警視庁などは、真犯人を名乗る人物が捜査のかく乱を狙ってメールを送った可能性が高いとみて調べています。
 
 真犯人名乗るメール、独のサーバー経由

TBS系(JNN) 11月15日


 遠隔操作ウイルスによる犯行予告事件で、13日、TBSなどに再び届いた真犯人を名乗るメールは、ドイツのサーバーを経由して送信されていたことが警視庁など合同捜査本部への取材で新たにわかりました。

 この事件では13日夜、TBSなどに「真犯人です」「ゲームは私の負けのようです」などと書かれたメールが送られました。

 添付された写真の位置情報が横浜市保土ヶ谷区などを示していたことから、合同捜査本部はこの周辺を調べましたが、有力な情報はなく、位置情報が意図的に改ざんされた疑いが強まっています。

 一方で、このメールは匿名化ソフトが使われていて、ドイツのサーバーを経由していたことが合同捜査本部への取材で新たにわかりました。このため合同捜査本部は、真犯人が捜査のかく乱を狙った疑いがあるとみて、さらにメールの解析を進めています。
 
 写真の記録情報を削除=自殺予告メール、捜査かく乱目的か―PC遠隔操作事件

時事通信 11月15日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、「真犯人」を名乗る人物から弁護士らに送られたメールに添付された写真は本来記録されているはずの情報が削除されていたことが15日、捜査関係者への取材で分かった。
 専門ソフトを使うと情報の削除や改ざんが可能といい、警視庁などの合同捜査本部は、犯人が捜査のかく乱を目的にメールを送った疑いがあるとみている。
 捜査関係者などによると、メールと写真は13日深夜に落合洋司弁護士(東京弁護士会所属)や一部の報道機関などに届き、「真犯人です。ゲームは私の負けのようです。捕まるのがいやなので今から首つり自殺します」などと記載されていた。先月9〜10日に同弁護士らに送られた犯行声明とみられるメールと同じアドレスから送信されていた。
 写真には13日付の神奈川新聞朝刊が写っており、記録された位置情報から横浜市保土ケ谷区などが撮影場所として浮上したが、捜査本部が聞き込みなどをしたところ手掛かりになる情報はなかった。また、写真には撮影した方角や海抜などが本来記録されるが、これらの情報が削除されていたという。
 メールは送信元の追跡を困難にする匿名化ソフトを使って送られており、捜査本部は犯人が捜査かく乱を狙って情報を改ざんした写真を添付したとみて調べている。 
 
 <ネット殺人予告>PC遠隔操作 位置情報、改変か 自殺予告メール、捜査かく乱狙い

毎日新聞 11月15日



 遠隔操作ウイルスによる犯罪予告事件で、「真犯人」を名乗る人物から自殺を示唆するメールが報道機関などに届いたことを受け、警視庁などの合同捜査本部は14日、添付画像の位置情報で割り出した横浜市保土ケ谷区の県営住宅団地を集中的に調べた。15日以降も聞き込みを続ける方針だが、送信元の特定には至っていない。「真犯人」が捜査のかく乱を目的に、意図的に位置情報を改変していた疑いも浮上している。

 メールには、スマートフォンで撮影した画像が添付され、13日夜に報道機関など7カ所に一斉送信された。

 位置情報が示していたのは横浜市保土ケ谷区にある団地の一角。敷地内には7棟計186戸あり、14日朝から警視庁や神奈川県警の捜査員約30人が、戸別に家族構成、スマートフォンの所有の有無、パソコンのプロバイダー、購読紙などについて調べた。14日夕までに、ほぼ確認を終えたが、自殺者や送信元に関する情報は得られなかったという。

 スマートフォンで撮影した画像データには全地球測位システム(GPS)の位置情報が記録されるが、情報セキュリティーの専門家は、簡単に変更が可能と証言する。今回のメールについて、当初、捜査本部内には「自分の居場所を早く探してほしいというメッセージ」との受け止め方があった。しかし、送信の際に匿名化ソフトが使われていたことが判明、位置情報が書き換えられていた疑いが浮上したことから、自殺の意図などはなく、捜査のかく乱を目的にしたものと見ている。
 
 なりすましウイルス 敗北宣言の理由は…匿名化ミス、迫る捜査の現実に耐えられず?

産経新聞 11月15日





「真犯人」のメールの送信先(写真:産経新聞)


 遠隔操作ウイルス事件の「真犯人」とみられる人物は、ウイルスを配布する際に一度だけ匿名化ソフトを使わずにインターネット掲示板「2ちゃんねる」へ書き込こんでいたとみられている。警視庁など合同捜査本部は、真犯人がメールに「ミスしました」と記したのは、この書き込みの可能性があるとみている。

 捜査関係者によると、「2ちゃんねる」で8月28日、文字編集ソフトを求める書き込みに対し、「C#で作ってみた」「直したのでこっちで」との返答とともに、一連の事件で使われたウイルス「iesys.exe(アイシス・エグゼ)」を仕込んだソフトのアドレスが書き込まれた。

 真犯人は匿名化ソフトを使いウイルスを配布していたが、「C#で作ってみた」との書き込みだけは匿名化ソフトが使われていなかった。真犯人が匿名化を怠るミスをした疑いがあり、合同捜査本部が通信履歴から送信元をたどれる可能性が浮上していた。

 同事件では、三重県警に誤認逮捕された男性(28)のパソコンが9月10日にウイルス感染した直後、異変に気づいてウイルスのプログラムを停止させたことから、真犯人が遠隔操作を続けられなくなり、ウイルスを削除できなかった可能性も指摘されている。

 誤認逮捕された4人のうち、三重の男性のパソコンにだけウイルスが残されており、犯行声明には「わざとウイルスを消さないでおきました」と記載されていたが、合同捜査本部はウイルスの停止で遠隔操作できなくなり、ウイルスを削除できなかった可能性に着目。犯行声明の「わざと消さなかった」とする記述や、犯行目的が「無実の人を陥れて陰でほくそ笑むことではない」とした記述は嘘で、ウイルスが見つからなければ、犯行声明を出さないまま、冤罪を作り出そうとしていた疑いも浮上していた。

 捜査関係者は「遠隔操作の疑いが明らかになり、9月21日に三重と大阪の男性が釈放されるまでは、真犯人も遊び半分で名乗り出る気などなかったのではないか。その間、ミスを繰り返していたとすれば、思うほど緻密な犯罪者ではない可能性もある」と指摘。

 新たなメールについて新潟青陵大大学院の碓井真史教授(社会心理学)は「完璧な犯罪を行おうとしたが、できなかったので、『僕の負けでいいですよ』とかっこよくまとめようとしているようにみえる」とした上で、「警察や検察をあざ笑うつもりだったが、現実は厳しいと感じたのではないか。迫る捜査に耐えられないが、耐えられないのを素直に表現できずに、こういう芝居じみたセリフになったのではないか」と分析している。
 
 
遠隔操作ウイルスはツールで簡単に作成可能、マカフィーが報道陣向け体験会

Impress Watch 11月15日

 マカフィー株式会社は14日、プライベートカンファレンス「FOCUS JAPAN 2012」を東京都内で開催した。

【拡大画像や他の画像】

 午前中に行われた基調講演には、マカフィー代表取締役社長のジャン・クロード・ブロイド氏が登壇。マカフィーのエンタープライズセキュリティ戦略について語った。

 ブロイド氏は、日本においても標的型攻撃や遠隔操作ウイルスが話題となり、オンラインバンキングを狙った攻撃も巧妙化するなど、脅威が現実のものになっていると説明。マカフィーでは、コンシューマーから中堅企業、大企業といったあらゆる顧客層に対して、ネットワークセキュリティやエンドポイントセキュリティ、データ保護・情報セキュリティ、セキュリティ統合管理など幅広い製品ラインナップを、PCメーカーやISPなど多様なパートナーとの協調により提供しており、こうした範囲の広さがマカフィーの強みだとアピールした。

 米McAfee製品開発担当エグゼクティブバイスプレジデントのブライアン・リード・バーニー氏は、米IntelによるMcAfeeの買収は「私としてはとても良いことだと思っている」と語り、IntelとMcAfeeは互いの製品を良くすることを目標としており、両社の組み合わせにより「Intelのチップセットを業界で最もセキュアなものにしていく」とした。

 バーニー氏は、「第一世代の製品ではPCのみを保護すれば良かったが、次世代のエンドポイントセキュリティにはスマートフォンやタブレット端末などのあらゆるデバイスや、クラウドも保護することが求められている」として、McAfeeとIntelの取り組みではマスターブートレコード(MBR)感染型を含むゼロデイルートキットに対する検知可能範囲が大幅に広がるなど、すべての範囲をカバーするセキュリティを提供できると語った。

 このほか基調講演では、慶應義塾大学教授でグローバルセキュリティ研究所所長の竹中平蔵氏が経済のグローバル化とリスク管理について、総務省大臣官房審議官の谷脇康彦氏が情報セキュリティ政策の動向について、インテル株式会社代表取締役社長の吉田和正氏がコンピューティングとセキュリティの融合についてそれぞれ講演。インテルの吉田社長も、インテルとマカフィーとの組み合わせはすべてのレイヤーを保護でき、自由で安心なコンピューティング環境を提供していくとアピールした。

● ツールがあれば誰にでも作れるマルウェア、ユーザーはまず基本的な対策の徹底を

 午後には報道陣向けに、仮想環境上で実際にマルウェアの作成を体験するセッションが開催された。

 米McAfeeテクニカルソリューションズディレクターのブルース・スネル氏は、マルウェア作成ツールや脆弱性悪用コードが闇市場で高値で販売されている現状を紹介。こうしたツールは主にロシアなどの犯罪組織が購入しており、ネットバンキングの不正送金などに悪用されているという。

 今回行われたセッションは、インターネットから切り離されたマシンの仮想環境上に、攻撃者側と犠牲者側の2台の仮想マシンが用意され、ツールを使ってマルウェアを作成し、これを実行した犠牲者がどのような被害に遭うかを体験するもの。

 使われたツールはトロイの木馬作成キット「SharK」で、指定した実行ファイルにトロイの木馬を組み込めるものだ。セッションでは、古いウイルススキャンツールにトロイの木馬を組み込んだが、ツールを使えば誰にでもできる作業でトロイの木馬入り実行ファイルが完成した。

 このファイルを「無料のウイルス対策ソフトをダウンロードできる」と謳ったウェブサイトに設置し、サイトへのリンクを含むメールを犠牲者に送信する。メールを受け取った犠牲者がファイルをダウンロードして実行すると、表面上はウイルススキャンツールが実行されているが、裏側ではトロイの木馬に感染している。

 感染したマシンを制御するためのツールも用意されており、攻撃者は感染しているマシンをリアルタイムに確認できる。制御ツールからは、指定したマシンに対して任意のコマンドを実行させることや、キー入力の内容を記録して参照できるキーロガー機能、URLを指定してファイルをダウンロードさせて実行させることなどが可能で、感染したマシンは攻撃者に都合よく操作されてしまう。

 スネル氏は、「今やこうした攻撃は非常に容易にできるという点がより深刻な問題だ」と語り、こうしたサイバー犯罪を防ぐためにはまずユーザーに啓発していくことが一番重要として、セキュリティ対策ソフトやOS、アプリケーションを最新の状態にしておくことに加えて、メールやSNSなどで送られてきた不審なリンクはクリックしないといった基本的な対策の徹底を呼びかけた。


 
 
遠隔操作型ウイルスはツールで簡単に作成可能、マカフィーが報道陣向け体験会

Impress Watch 11月15日




 マカフィー株式会社は14日、プライベートカンファレンス「FOCUS JAPAN 2012」を東京都内で開催した。



 午前中に行われた基調講演には、マカフィー代表取締役社長のジャン・クロード・ブロイド氏が登壇。マカフィーのエンタープライズセキュリティ戦略について語った。

 ブロイド氏は、日本においても標的型攻撃や遠隔操作ウイルスが話題となり、オンラインバンキングを狙った攻撃も巧妙化するなど、脅威が現実のものになっていると説明。マカフィーでは、コンシューマーから中堅企業、大企業といったあらゆる顧客層に対して、ネットワークセキュリティやエンドポイントセキュリティ、データ保護・情報セキュリティ、セキュリティ統合管理など幅広い製品ラインナップを、PCメーカーやISPなど多様なパートナーとの協調により提供しており、こうした範囲の広さがマカフィーの強みだとアピールした。

 米McAfee製品開発担当エグゼクティブバイスプレジデントのブライアン・リード・バーニー氏は、米IntelによるMcAfeeの買収は「私としてはとても良いことだと思っている」と語り、IntelとMcAfeeは互いの製品を良くすることを目標としており、両社の組み合わせにより「Intelのチップセットを業界で最もセキュアなものにしていく」とした。

 バーニー氏は、「第一世代の製品ではPCのみを保護すれば良かったが、次世代のエンドポイントセキュリティにはスマートフォンやタブレット端末などのあらゆるデバイスや、クラウドも保護することが求められている」として、McAfeeとIntelの取り組みではマスターブートレコード(MBR)感染型を含むゼロデイルートキットに対する検知可能範囲が大幅に広がるなど、すべての範囲をカバーするセキュリティを提供できると語った。

 このほか基調講演では、慶應義塾大学教授でグローバルセキュリティ研究所所長の竹中平蔵氏が経済のグローバル化とリスク管理について、総務省大臣官房審議官の谷脇康彦氏が情報セキュリティ政策の動向について、インテル株式会社代表取締役社長の吉田和正氏がコンピューティングとセキュリティの融合についてそれぞれ講演。インテルの吉田社長も、インテルとマカフィーとの組み合わせはすべてのレイヤーを保護でき、自由で安心なコンピューティング環境を提供していくとアピールした。

■ツールがあれば誰にでも作れるマルウェア、ユーザーはまず基本的な対策の徹底を

 午後には報道陣向けに、仮想環境上で実際にマルウェアの作成を体験するセッションが開催された。

 米McAfeeテクニカルソリューションズディレクターのブルース・スネル氏は、マルウェア作成ツールや脆弱性悪用コードが闇市場で高値で販売されている現状を紹介。こうしたツールは主にロシアなどの犯罪組織が購入しており、ネットバンキングの不正送金などに悪用されているという。

 今回行われたセッションは、インターネットから切り離されたマシンの仮想環境上に、攻撃者側と犠牲者側の2台の仮想マシンが用意され、ツールを使ってマルウェアを作成し、これを実行した犠牲者がどのような被害に遭うかを体験するもの。

 使われたツールはトロイの木馬作成キット「SharK」で、指定した実行ファイルにトロイの木馬を組み込めるものだ。セッションでは、古いウイルススキャンツールにトロイの木馬を組み込んだが、ツールを使えば誰にでもできる作業でトロイの木馬入り実行ファイルが完成した。

 このファイルを「無料のウイルス対策ソフトをダウンロードできる」と謳ったウェブサイトに設置し、サイトへのリンクを含むメールを犠牲者に送信する。メールを受け取った犠牲者がファイルをダウンロードして実行すると、表面上はウイルススキャンツールが実行されているが、裏側ではトロイの木馬に感染している。

 感染したマシンを制御するためのツールも用意されており、攻撃者は感染しているマシンをリアルタイムに確認できる。制御ツールからは、指定したマシンに対して任意のコマンドを実行させることや、キー入力の内容を記録して参照できるキーロガー機能、URLを指定してファイルをダウンロードさせて実行させることなどが可能で、感染したマシンは攻撃者に都合よく操作されてしまう。

 スネル氏は、「今やこうした攻撃は非常に容易にできるという点がより深刻な問題だ」と語り、こうしたサイバー犯罪を防ぐためにはまずユーザーに啓発していくことが一番重要として、セキュリティ対策ソフトやOS、アプリケーションを最新の状態にしておくことに加えて、メールやSNSなどで送られてきた不審なリンクはクリックしないといった基本的な対策の徹底を呼びかけた。

 
 
アンドロイド標的…不正アプリ急増 20万本超、自衛策が緊急課題に
クリップする
SankeiBiz2012/11/15


不正アプリの例(2012年)


 米グーグルの基本ソフト(OS)「アンドロイド」を搭載したスマートフォン(高機能携帯電話)を狙った不正アプリ(実行ソフト)が10月末時点で20万本を超えたことが、セキュリティー大手トレンドマイクロの調べで分かった。12月末には25万本を超えると予測され、スマホ利用者の自衛策が緊急の課題として浮かび上がっている。
.

 不正アプリの手口は巧妙化している。従来はアダルトや出会い系で利用者を誘導し、不当に料金請求する「ワンクリック詐欺」が主流だったが、最近は利用者の電話帳など個人情報を狙ったウイルスが目立ってきた。
.

 スマホの欠点改善をうたった「電池長持ち」「電波改善」などのアプリをダウンロードすると、「ダウンロード中」に電話帳などの個人データが抜き取られる手口があるという。また、無料のセキュリティー対策アプリを装い、個人データを抜き取るアプリも見つかっている。
.

 オープンな開発環境が特徴のアンドロイドは、有用なアプリを開発しやすいメリットがある一方、悪質な不正アプリが増える恐れも強い。10月30日には警視庁サイバー犯罪対策課が、アンドロイドの不正アプリで住所録などを抜き取った疑いで、開発したIT関連会社の元経営者ら5人を逮捕するなど、警察が取り締まりに乗り出している。
.

 しかし、スマホ利用者のセキュリティーに対する意識は低い。不正アプリの対策を取る利用者は全体の2〜3割程度と推測されている。アンドロイド搭載スマホを販売する携帯電話事業者が抜本的なセキュリティー対策を講じなければ、被害に歯止めをかけることは難しい。
.

 NTTドコモやKDDI、ソフトバンクモバイルなどは、不正アプリや危険なサイトを知らせてくれる機能を持ったセキュリティーサービスを提供しているが、有料サービスの利用者は思うように増えていない。
.

 約1400万人のスマホ利用者を抱えるドコモは、無料と有料のセキュリティーサービスを提供。ウイルスなどを検出する無料サービスについては約700万人が利用している。一方、セキュリティー機能が高く、個人データを抜き取られる可能性のあるアプリを知らせてくれるサービスは有料(月額210円)のため、利用者は10万超にとどまる。KDDIとソフトバンクのセキュリティーサービスは有料(月額315円)のみだ。
.

 グーグルによると、アンドロイド用アプリは70万本に達し、アップルの「iPhone」用アプリに並んだ。非公式サイトには、不正アプリが今も氾濫している。携帯電話事業者は、利用者層が安心してスマホを利用できるように、セキュリティー対策の抜本強化策が欠かせない。高機能なセキュリティーサービスの標準装備を急ぐべきだ。(松元洋平)


 
 
独自のセキュリティ技術でユーザの銀行口座を保護する新機能(エフセキュア)

ScanNetSecurity 11月15日



エフセキュア株式会社は11月13日、オンラインバンキングのトランザクションに対するセキュリティおよび信頼性を提供する拡張レイヤーを実現する「バンキング プロテクション」について発表した。本機能は、独自のセキュリティ技術でユーザの銀行口座を保護するもの。「エフセキュア インターネット セキュリティ2013」の新機能であり、通信事業者が提供するSafe Anywhere PCのアドオンでもある。本機能は、オンラインバンキングのセッションをトロイの木馬から保護し、セッションのセキュリティを脅かす可能性のあるコネクションをすべてブロックする。

バンキングセッションを妨害することなく動作し、エフセキュアによって安全であることが確認されたサイトへのアクセスはそのまま許可される。特別なソフトウェアをインストールする必要がなく、アプリケーションやブラウザを追加する必要もない。「エフセキュア インターネット セキュリティ2013」の既存ユーザであれば、2013年第1四半期の自動アップデートでバンキング プロテクションがインストールされるが、それ以前に導入したい場合はサイトからアップデートをすぐにダウンロードできる。また、バンキング プロテクションは、エフセキュアのSafe Anywhere PCへのアドオンサービスとして、通信事業を展開するパートナーから入手可能だ。
 
 
<PC遠隔操作>位置情報を改変か…自殺示唆メール

毎日新聞 11月14日


 遠隔操作ウイルスによる犯罪予告事件で、「真犯人」を名乗る人物から自殺を示唆するメールが報道機関などに届いたことを受け、警視庁などの合同捜査本部は14日、添付画像の位置情報で割り出した横浜市保土ケ谷区の県営住宅団地を集中的に調べた。15日以降も聞き込みを続ける方針だが、送信元の特定には至っていない。「真犯人」が捜査のかく乱を目的に、意図的に位置情報を改変していた疑いも浮上している。

 メールには、スマートフォンで撮影した画像が添付され、13日夜に報道機関など7カ所に一斉送信された。

 位置情報が示していたのは横浜市保土ケ谷区にある団地の一角。敷地内には7棟計186戸あり、14日朝から警視庁や神奈川県警の捜査員約30人が、戸別に家族構成、スマートフォンの所有の有無、パソコンのプロバイダー、購読紙などについて調べた。14日夕までに、ほぼ確認を終えたが、自殺者や送信元に関する情報は得られなかったという。

 スマートフォンで撮影した画像データには全地球測位システム(GPS)の位置情報が記録されるが、情報セキュリティーの専門家は、ネット上に出回っているソフトなどで簡単に変更が可能と証言する。

 今回のメールについて、当初、捜査本部内には「自分の居場所を早く探してほしいという真犯人からのメッセージ」との受け止め方があった。しかし、送信の際に匿名化ソフトが使われていたことが判明、位置情報が書き換えられていた疑いが浮上したことから、自殺の意図などはなく、捜査のかく乱を目的にしたものと見て、データの解析などを進めている。

 
 
PC遠隔操作 襲撃予告の真犯人は保土ケ谷? 捜査員「パソコン持ってますか」

産経新聞 11月14日



メールが発信されたとみられる地域。捜査員らしい2人組が聞き込みに回る姿が見られた=14日午後、横浜市保土ケ谷区(荻窪佳撮影)(写真:産経新聞)


 「パソコンに詳しい人知りませんか」−。遠隔操作ウイルス事件で、「真犯人」からのメールに添付されていた画像が撮影されたとみられる横浜市保土ケ谷区の団地では14日、県警や警視庁など4都府県警の合同捜査本部の捜査員が聞き込みに回った。捜査員の突然の来訪に、住民は一様に驚いた様子だった。

【フォト】 なりすましウイルス 真犯人、海外接続で誤認逮捕誘導

 画像の撮影地として全地球測位システム(GPS)で位置情報が特定されたのは同区内の団地の一棟。周囲に学校や公園などがある住宅地で、早朝から捜査員が一世帯ずつ訪問して聞き込みを開始した。

 「パソコン持ってますか」「引きこもりみたいな人知りませんか」

 捜査員らは家族構成なども確認。特定された棟だけでなく、周辺の棟にも範囲を広げて聞き込みは夜まで続けられたが、「真犯人」につながる手がかりは得られなかった。

 ある捜査幹部は、「真犯人」の身体的特徴などが分からないため、「聞き込みだけで特定していくのは難しい」と話す。また、別の幹部は位置情報が書き換えられている可能性を指摘し、「もてあそばれているだけかもしれない」と「真犯人」からのメールの内容に疑問を抱く。

 この団地は、一連の犯行予告・脅迫のメールや書き込みが繰り返された事件の中で、最初の予告として6月29日に書き込まれて標的となった小学校の近く。来年4月からその小学校に通う予定の長男を持つ男性(43)は「怖い。メールだけで済めばいいが」と眉をひそめた。団地に住む別の男性(70)は「この辺に犯人がいるかもしれないなんて嫌だよ。考えられない」と話していた。
 
 
高度化・巧妙化するセキュリティリスクに次なる一手を――McAfee首脳陣

ITmedia エンタープライズ 11月14日


ジャン・クロード・ブロイド氏


 マカフィーは11月14日、ユーザー向けの年次カンファレンス「McAfee FOCUS JAPAN 2012」を東京・大手町のパレスホテル東京で開催した。基調講演には同社首脳陣やインテルの吉田和正代表取締役社長らゲストスピーカーが登壇し、高度化、巧妙化が進むサイバー攻撃やセキュリティリスクへの対応について語った。

 まず登壇したマカフィー 代表取締役社長のジャン・クロード・ブロイド氏は、昨今話題となった「遠隔操作ウイルス」事件やマルウェアによるネットバンキング詐欺、さらには、重要インフラに対するサイバー攻撃の拡大などを取り上げた。個人から企業、組織までがこうしたセキュリティリスクに晒されるようになり、サイバー攻撃は世界規模で展開される。同氏は「グローバル標準のセキュリティを実現していかなければならない」と提起した。

 サイバー攻撃が社会問題化し、官民を挙げ対策への取り組みも進む。しかしブロイド氏は、「英米に比べると日本は遅れている」とも指摘した。同氏によれば、米国のITセキュリティ分野における国家予算規模は年間約7500億円に上り、日本の5.4倍になる。「GDP(国内総生産)比でみても2倍の開きがある。米国には産業分野ごとにセキュリティの規制があり、これがベストプラクティスにもなっている。日本はセキュリティ分野に対する投資と環境整備をより進めるべき」とした。

 こうしたセキュリティリスクの現状を踏まえ、マカフィーは「Security Connected」というコンセプトを掲げる。各種のセキュリティ対策を統合的に機能させることでセキュリティリスクの全体像を可視化し、積極的な対応を取れるようにするものだという。具体的に同社は「Global Threat Intelligence(GTI)」という仕組みを構築。世界中に張り巡らしたセンサやユーザーからのフィードバック、セキュリティ機関で共有している情報などを全て集約し、専門家による分析を経て脅威情報としてデータベース化している。

 「日本でも警察庁がサイバー攻撃に関する情報の分析や蓄積への取り組みを推進している。こうした取り組みがさまざまな地域、場所に広がっていくことを期待したい」とブロイド氏。同社顧客に対しては、GTIとネットワークやエンドポイントにおける対策製品との連携を通じて最新の脅威から保護していく取り組みを、パートナーと協調しながら進めていくと表明した。

 ブロイド氏に続いて登壇した米McAfee 製品開発担当エグゼクティブバイスプレジデントのブライアン・リード・ハニー氏は、Intelとの協業や直近の製品戦略を紹介した。McAfeeは2010年に、Intelによる買収でIntelのソフトウェア&サービスグループに加わった。

 両社はハードウェアのチップセットにセキュリティソフトウェアを組み込む「ハードウェア支援型セキュリティ」の実現に取り組む。「プロセッサのチップ上に保護されたユーザー情報や電子証明、コードなどを実装することで、あらゆるトランザクションを安全なものにしていく。情報を守り、個人や家族、組織を守ることが両社の使命」(ハニー氏)と述べている。

 同社が直近でリリースを予定する新製品群は、ブロイド氏が紹介した「Security Connected」をより具体化したものになるという。「今後の製品の一例では、IT管理者が許可しないようなアプリケーションの実行、GTIが提供する脅威などをネットワークとエンドポイントの対策機構が協調してブロックする。さまざまな対策を調和させていく」とした。

 ハニー氏は、同社製品だけでなくサードパーティー製品を含めた統合型のセキュリティプラットフォームの実現に注力すると表明。「こうした包括的なアプローチができるのは当社だけだ」と協調した。

 基調講演の最後に登壇したインテルの吉田氏は、同社が製品戦略で重点とする「電力効率と性能」「ネットワークへの接続性」「セキュリティ」において、特にセキュリティが重要になるとし、「ハードウェア支援型セキュリティ」への取り組みを説明した。

 「IT管理者の57%がコンプライアンスに抵触するとしてクラウドの利用を断念したという調査結果もある。クラウドコンピューティングやモバイルデバイスの普及において安全性を確保していくことがインテルの役割」(吉田氏)

 既に両社による「ハードウェア支援型セキュリティ」ではOSの深部で行動するrootkit対策の「Deep Defender」を製品化しているほか、Intel SSDやインテルセキュリティIPなどの製品で具体化しつつある。吉田氏は、McAfeeとの協業を通じてより広範なソリューションを展開していくと語った。

 
 
PC遠隔操作事件 真犯人を横浜で捜査

TBS系(JNN) 11月14日

 遠隔操作ウイルスによる犯行予告事件です。13日夜、真犯人を名乗る人物から再びTBSにメールが届きました。「私の負け」と書き自殺をほのめかすメールには、わざと自分の居場所を知らせるような痕跡が残されていました。

 「午前7時です。捜査員が一軒一軒を訪問し、居住者の確認を行っています」(記者)

 14日朝、横浜市保土ヶ谷区の団地で、2人組の捜査員が1軒1軒聞き込み捜査を行っていました。

 「スマートフォンですか?普通の携帯ですか?(と聞かれて)普通の携帯ですよと」
 「新聞は何とっていますかって聞かれて(Q.何て答えた?)新聞の名前を言いました」(聞き込みを受けた住民)

 捜査員の目的は、遠隔操作ウイルス事件の真犯人です。

 購読している新聞を気にかけ、潜伏している可能性があるとしてこの団地を捜査する理由。それは13日夜、TBSの記者などに送られて来たメールです。

 タイトルは「真犯人です」とあります。饒舌だった前回と異なり、本文はわずか80文字しかありません。

 「おひさしぶりです。真犯人です」(TBSの記者などに送られてきたメール)

 メールには写真が添付されていました。LANケーブルで作った輪っかの中に、アニメのキャラクターの人形が置かれています。これは人気アニメ、「魔法少女まどか☆マギカ」の主人公です。人形は、去年8月に発売された人気商品だといいます。

 「(購入者の)9割くらいは男性。10代後半から20代前半くらい。ネットでも秋葉原でも、買えるお店はたくさんあります」(フィギュアショップの店員)

 人形の下には新聞が敷かれています。13日付けの神奈川新聞です。この写真から、さらに、撮影された詳しい位置情報も分かるといいます。

 「スマートフォンで撮った写真には大抵位置情報がついているので、それを読むことができれば簡単にこの人がどこにいたかを把握することはできる」(ITジャーナリスト・石川 温氏)

 今回の写真にも、確かに緯度・経度の詳しい位置情報が付いています。こうして浮上したのが、保土ヶ谷区の団地です。

 「捜査開始から3時間が経ちました。現在も警視庁の捜査員らによる聞き込みが続いています」(記者)

 真犯人が告白した一連の犯行予告のうち、大学生が誤認逮捕された事件で、襲撃の対象とされた小学校も保土ヶ谷区にあります。これは偶然の一致でしょうか?

 「わざと自分の場所を知らせている可能性もあるし、あえて違う場所を設定して捜査をかく乱させる可能性もある」(ITジャーナリスト・石川 温氏)

 13日夜のメールには、さらに気になる文言があります。

 「ミスしました。ゲームは負けのようです」(TBSの記者などに送られてきたメール)

 これまで、真犯人を名乗る人物のメールの送信やネット掲示板への書き込みは、複数の海外サーバーを経由させる匿名化ソフト「Tor」を使って行われています。そのため追跡が難しいとされていますが、合同捜査本部によると、1度だけこの「Tor」を使わず、ネット掲示板に書き込まれた可能性があるといいます。これを「ミス」と考えているのでしょうか。

 「捕まるのがいや。楽しいゲームでした。さようなら。また来世ーーー」(TBSの記者などに送られてきたメール)

 メールには、このように自殺をほのめかす文言もあります。このメールも「Tor」を使って送信されていました。

 合同捜査本部は今回のメールの解析を進めるとともに、先月の犯行予告メールについても、アメリカのFBI=連邦捜査局に捜査員を派遣し、捜査しています。
 
 
メール送信直前に写真撮影か=位置情報書き換えの可能性も―PC遠隔操作事件

時事通信 11月14日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、「真犯人」を名乗る人物から13日深夜に弁護士らに送られたメールに添付されていた写真は、メールの送信直前に撮影されたとみられることが14日、捜査関係者などへの取材で分かった。
 写真に記録された位置情報から、横浜市保土ケ谷区の団地や千葉県鎌ケ谷市で撮影された可能性があるとみられ、警視庁などの合同捜査本部が周辺を捜査したが、送信した人物に関する手掛かりは得られなかったという。
 位置情報は専用ソフトなどを使って書き換えることが可能なため、捜査本部は別の地点で撮影された疑いもあるとみて、詳しい解析を進めている。 

 
 
メールに人気アニメ「まどか☆マギカ」人形 パソコン乗っ取り「真犯人」のメッセージとは

J-CASTニュース 11月14日



 遠隔操作ウイルスを使い他人のパソコンを乗っ取り、犯罪予告のメールや掲示板への書き込みを行った事件で、「真犯人」を名乗る人物から2012年11月13日夜に「ゲームは負けのようです」「今から首吊り自殺します」と書かれたメールと写真がTBSや、朝日新聞記者、弁護士など7箇所に送られた。

 添付されていた写真には大ヒットアニメ「魔法少女まどか☆マギカ」と思われる人形が写っているため、ネットでは「犯人はアニオタ(アニメオタク)だと主張しているのか?」「いや、何か重要なメッセージがあるはずだ」などといった議論になっている。

■「楽しいゲームでした。さようなら。また来世」

 2012年6月頃から、東京の大学生や、大阪のアニメ演出家などが無差別殺人や襲撃の予告をしたとして次々に逮捕されたが、実は無実で、遠隔操作ウイルスを使った何者かの仕業だということがわかった。その「真犯人」を名乗る人物は10月、弁護士などにメールで今回の犯行手口を公開し、「あそんでくれてありがとう」などとあざ笑うような文言で、この犯行の目的は警察・検察の捜査レベルを探ること、などと説明した。

 警視庁など合同捜査本部は犯人の割り出しを進め、米連邦捜査局(FBI)に通信記録の解析を求めるため、米国に警視庁の捜査員ら5人を派遣した、という。犯行声明メールは世界中の複数のサーバーを経由して送られていて、最後に米国と欧州を経由していたことがわかったからだ。

 13日夜に「真犯人」を名乗る人物は複数のメディアと弁護士宛に、

  「ミスしました。ゲームは私の負けのようです。捕まるのが厭なので、今から首吊り自殺します。楽しいゲームでした。さようなら。また来世」

などと書かれたメールを送った。

 そしてなぜか、広げた神奈川新聞の上に、人形と、LANケーブル、ガムテープ、カッターが置かれた写真を添付していた。

 この人形は劇場公開されている大ヒットアニメ「魔法少女まどか☆マギカ」の主人公、「鹿目まどか」。丸く輪にしたLANケーブルは、「まどか」を囲うように配置していて、首吊りをイメージしているかのようだ。

■写真の隠されたメッセージは「生き残る」?

 「魔法少女まどか☆マギカ」の最も衝撃的なシーンは、主要キャラが頭から「魔女」に食われるというもので、首から下が地面に落ちる。この写真を見て、「真犯人」は自殺を示唆するためこの人形を持ってきたのではないか、と想像している人もいる。

 一方、ネットの一部では「まどか」の人形が使われていることについて悲鳴が上がった。

  「マスコミが『犯人はアニメオタク』といった報道をしたら、またアニオタの肩身が狭くなる」

というのだ。一方、首から上を「魔女」に食われたのは「まどか」ではなく「巴マミ」だから、実はアニオタではないのかもしれない、とし、

  「おそらく、アニオタを装い、捜査をミスリードさせる目的なのだろう」

と考える人もいる。さらに、テレビ版の「魔法少女まどか☆マギカ」で「まどか」は死を逃れている。今回の写真の隠されたメッセージは「生き残る」だとし、これからも「真犯人」と警察との戦いは続くはずだ、との見方も出ている。

 
 
ドラッグに武器、殺人容疑…まるでハリウッド映画 ウィルス対策の「天才」マカフィー氏の逃亡人生

J-CASTニュース 11月14日



 ウィルス対策ソフトマカフィーの生みの親、ジョン・マカフィー氏(67)が殺人容疑で指名手配された。中米・ベリーズの地元警察が行方を追っている。

 シリコンバレーで名声を誇ったマカフィー容疑者は、会社の経営を退いてからは悪い噂も多く、5月にも逮捕されたという。

 現在は「潜伏中」の身だが、米メディアの取材に応じて無罪と主張し、ハリウッド映画ばりの「逃走劇」を明かしていた。

■金融資産1億ドルから400万ドルに

 2012年11月12日(現地時間)、中米・ベリーズの警察のギャング対策部隊は、近所に住む米国人のグレゴリー・フォール氏(52)を射殺した容疑でマカフィー氏を、指名手配した。米ABCはじめ主要メディアが相次いで報じた。

 名前からもわかる通り、世界でもっとも有名なウィルス対策ソフトウェアの生みの親だ。

 イギリスで生まれ、米国バージニア州で育った。大学では数学を専攻、NASAの研究所でプログラマーとして働いた。ウィルス対策ソフトウェアの開発をはじめたのは、ロッキードに勤めていた1980年代で、きっかけは自分のコンピュータがウィルスに感染したことだった。

 1987年に設立した米McAfee Associates(マカフィーアソシエイツ)は、セキュリティ対策のリーディングカンパニーとして成長し、マカフィー氏の個人金融資産は一時1億ドルを超えた。

 1994年に同社の持ち株を売却して退職した後も、さまざまな事業に携わり、順調だった。

 転落の契機となったと見られるのが2008年のリーマンショックだ。金融資産は400万ドルにまで激減、さらに、手がけていた事業の「エアロトレッキング」で死亡事故が発生し、多額の損害賠償を請求された。

 アメリカからベリーズに移住したのは、この賠償金逃れのためとの報道も一部では出ていた。ベリーズはリゾートのほか、タックス・ヘイヴン(租税回避地)としても知られる。

■「段ボール箱を頭にかぶり、砂のなかに隠れていた」

 移住後は、現地のドラッグ犯罪組織との関わりもたびたび指摘された。本人もロシアのドラッグ掲示板に200件以上の書き込みをしていて、バスソルト(新型のLSD)中毒だったという話もある。

 2012年5月には、ベリーズ警察のギャング対策部隊が、自宅に強行突入し、銃器不法所持とドラッグ製造で、容疑者と関係者を逮捕したこともあった。

 そして今回もギャング対策部隊から、指名手配が発表された。米メディアWIRED(ワイアード)などの報道では、フォール氏殺害は、容疑者の犬をめぐるトラブルが原因との見方が強い。2人のあいだに争いがあったという現地住民の証言も伝えられた。

 容疑者がサン・ペドロ市の自宅で飼っていた6頭の犬は、フォール氏や近隣住民からよく吠え掛かると苦情が出ていた。市長に対して、正式な訴えもあったという。

 渦中のマカフィー容疑者は現在、行方不明とされている。だが、指名手配後に、ワイアードの電話取材に応じていた。記者に対し、警察が自宅の捜査に入った際には、庭で「呼吸ができるように段ボール箱を頭にかぶり、砂のなかに隠れていた」と明かした。捕まると殺されると思っているため、居場所は4時間おきにかえているそうだ。

 ただ、容疑については「何も知らない」と無罪を主張した。また、「ベリーズ警察は自分を嫌っているため国から追い出そうとしている」と主張、「犬たちは9日夜にすべて毒殺された」「(真犯人はフォール氏を)私と間違えたのではないかと思う」などと話していた。

 ベリーズ警察当局は現在も行方を捜索中だ。

 
 
トレンドマイクロ、「ウイルスバスター クラウド」の更新プログラムを公開

Impress Watch 11月14日


 トレンドマイクロ(株)は14日、セキュリティソフト「ウイルスバスター クラウド」を対象としたアップデートプログラムの配布を開始した。本ソフトの自動アップデート機能を介して順次配信される予定。

 今回配信されるアップデートプログラムでは、Windows 8でIPv6接続を利用している場合に、本ソフトの“Web脅威対策”機能が動作しない問題と、同梱の「Trend ツールバー」が“Gmail”上のURLを評価できない問題が修正される。


 
 
複雑化するサイバー攻撃には、セキュリティの全体最適化が不可欠――マカフィー、企業セキュリティ戦略を説明

Computerworld 11月14日




 マカフィーは11月14日、東京都内においてプライベート・コンファレンス「FOCUS JAPAN 2012」を開催した。基調講演に登壇した同社代表取締役社長のジャン・クロード・ブロイド(Jean-Claude Broido)氏は、「標的型攻撃や遠隔操作ウイルスなど、今年はセキュリティ脅威が数多く報じられた。特に重要インフラに対する標的型攻撃の顕在化や、ネットバンキングでのフィッシング詐欺手法の巧妙化など、企業にとっての課題が浮き彫りになった」と語り、企業におけるセキュリティ対策の重要性を改めて訴えた。

 また同氏は、米国のセキュリティ投資額は金額ベースで日本の5.4倍、GDPベースでは2倍であることを挙げ、「日本は欧米と比較し、セキュリティ・ガイドラインが未整備。それぞれの業界で、顧客情報をどのように守るか決めるべきだ」と指摘した。

 マカフィーは現在、エンタープライズ市場において、「Security Connected(結合されたセキュリティ)」戦略を打ち出している。これは、「エンドポイント」「ネットワーク」「サーバ」といったそれぞれのレイヤーを、「ナレッジ」「プロセス」「プロダクト」の統合を通じて、セキュリティ管理全体を最適化するというものだ。

 ブロイド氏は、「われわれはコンシューマーから大規模企業、ISPや政府機関の環境まで保護できる製品群を揃えている」と語り、すべてのセキュリティ・カテゴリで製品/サービスを提供できる強みをアピールした。

▲米国McAfeeで製品開発担当エグゼクティブ・バイスプレジデントを務めるブライアン・リード・バーニー (Bryan Reed Barney) 氏

 次に登壇した米国McAfeeで製品開発担当エグゼクティブ・バイスプレジデントを務めるブライアン・リード・バーニー (Bryan Reed Barney) 氏は、米国Intelによる同社買収のメリットを強調した。

 McAfeeは2011年2月、76億8,000万ドルでIntelに買収され、完全子会社化されている。バーニー氏は、「Intelはわれわれを買収したことで、チップセット業界においても、(Intelの製品が)セキュアであることを訴求できた」と語り、買収は両社にとってメリットがあることを強調した。

 さらに同氏は、「過去においてIT管理者は、デスクトップ製品だけを見ていればよかった。しかし、今後はさまざまな環境をカバーしなければならない。ユーザーは複数のデバイスを利用してデータにアクセスする。われわれの次世代エンドポイント・セキュリティは、(インテルチップの中にある)ハードウェアレベルからのセキュリティを実現する」と、その優位性を語った。

 
 
<PC遠隔操作>匿名化ソフト使用 「自殺予告」メール

毎日新聞 11月14日

落合洋司弁護士


 遠隔操作ウイルスによる犯罪予告事件で、「真犯人」の可能性のある人物から13日夜、報道機関や弁護士事務所などに届いたメールは、送信する際に匿名化ソフト「Tor」が使われ、海外サーバーを経由していたことが捜査関係者への取材で分かった。添付された写真には横浜市保土ケ谷区内で撮影されたことを示す記録があり、警視庁などの合同捜査本部は周辺の聞き込みを続けるとともに、メールの解析や発信元の特定を進めている。

【「私が負けました」】PC遠隔操作 「真犯人」自殺予告メール 弁護士などへ

 警視庁などによると、「真犯人です」というタイトルのメールは、先月、犯行声明が送られた落合洋司弁護士を含め計7カ所に送られ、いずれも13日午後11時55分ごろに受信していた。メールには「ミスしました。ゲームは私の負けのようです。捕まるのが厭(いや)なので今から自殺します」「さようなら。また来世−−−」などと記載されていた。 添付された写真は同11時12分に撮影したとみられ、13日付の神奈川新聞の上にパソコンケーブルと人形が写っていた。7通とも同じ内容とみられる。

 また、落合弁護士からメールの任意提出を受けた警視庁が写真に付随する「位置情報」を確認したところ、横浜市保土ケ谷区を示していたことが判明。警視庁と神奈川県警の捜査員が周辺を調べているが、自殺者や送信元に関連する情報はないという。保土ケ谷区には「真犯人」が横浜市のホームページ(HP)に襲撃予告をした小学校もある。

 このメールをめぐっては、Torが使われていたことなどから捜査関係者からは「本当に自殺しようとする人が送信元を隠すだろうか」と疑問の声も上がっている。
 
 
なりすましウイルス 画像から位置情報特定 横浜市内の団地周辺を捜索

産経新聞 11月14日


 遠隔操作ウイルス事件で、警視庁など4都府県警の合同捜査本部は14日、落合洋司弁護士などに13日夜に届いた「真犯人」を名乗るメールに添付された画像の撮影場所を横浜市保土ヶ谷区内の団地周辺と特定し、捜査員らが捜索している。

 捜査関係者によると、画像は13日付の神奈川新聞の上に人形が置かれ、周りをパソコン用のケーブルで囲われているもので、位置情報から撮影場所が特定されたという。

 団地の約500メートル東には、神奈川県警に誤認逮捕された男子大学生(19)のパソコンから横浜市のホームページに送られた襲撃予告で標的にされた市立小学校がある。

 
 
遠隔操作PC犯行予告 真犯人名乗る人物がフジテレビなどにメール

フジテレビ系(FNN) 11月14日(水)11時57分配信
遠隔操作されたパソコンによる犯行予告メール事件で、真犯人を名乗る人物から、13日夜、フジテレビなどに対して、「ミスしました。ゲームは私の負けのようです。今から自殺します」などのメールが送られていたことがわかり、警視庁は確認を進めている。
フジテレビは、真犯人を名乗る人物からの「犯行声明メール」のアドレスに対し、質問取材を行ったところ、13日夜、同じアドレスから、匿名化ソフトを使ってメールが送られてきた。
この、フジテレビや弁護士などに、13日午後11時54分に送られたメールには、件名に「真犯人です」と書かれ、「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです。捕まるのが厭(いや)なので今から首吊(つ)り自殺します。楽しいゲームでした。さようなら。また来世ーーー」と書かれていた。
また、メールに添付された写真には、13日付の新聞紙の上に、パソコンのLANケーブルを輪っか状にしたものの中に、人形が置かれていた。
添付された写真を撮影した際の位置情報が、神奈川県内の可能性があることから、警視庁などは捜査員を派遣し、周辺で確認作業を行っている。
また警視庁は、ミスをしたことや自殺をほのめかしている今回のメールについて、関連は不明としながらも、真犯人とみられる人物が、ネット掲示板「2ちゃんねる」で、ウイルスが仕込まれた無料ソフトを配布する際、1度だけ匿名化ソフトを使わずに書き込んだ可能性があることから、慎重に調べる方針。
一方、アメリカに派遣された警視庁の捜査員は、現地時間13日、ワシントンの司法省やFBI(アメリカ連邦捜査局)本部を訪れ、捜査協力の要請や、今後の捜査方針について協議したものとみられる。
捜査員は今後、犯行声明メールが送付された際に経由されたサーバーがあるサンフランシスコに移動し、現地のFBIと具体的に協議する予定。.
 
 
真犯人?から「自殺します」…遠隔操作PC

読売新聞 11月14日



 遠隔操作型ウイルスに感染したパソコンから犯行予告が相次いで書き込まれるなどした事件で、真犯人を名乗る人物から13日深夜、東京都内の弁護士や複数の報道機関などにメールが届いていたことが、捜査関係者への取材でわかった。

 自殺を予告する内容で、写真も添付されていた。警視庁など4都府県警の合同捜査本部は、送信元のメールアドレスが、先月、弁護士らに送信された犯行声明メールと一致していることなどから、真犯人の可能性が高いとみて捜査している。

 捜査本部が添付写真の情報を解析したところ、全地球測位システム(GPS)の位置情報が記録されており、撮影場所は横浜市保土ヶ谷区内の住宅街とみられるという。14日朝から現場に捜査員を派遣し、周辺の聞き込みを始めた。

 捜査関係者によると、メールの送信先は、東京弁護士会所属の落合洋司弁護士や、新聞、テレビ、ラジオなど7か所。13日午後11時55分頃に一斉送信され、メールアドレスは先月9、10日に落合弁護士らに送られた犯行声明メールと同じ「onigoroshijuzo……」だった。

 メール本文は「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです」「捕まるのが厭なので今から首吊り自殺します。楽しいゲームでした。さようなら。また来世――」とわずか5行だった。
.
 
 
米マカフィー創業者、殺人で指名手配 米誌インタビューに「命をねらわれている」

AFP=時事 11月14日



米カリフォルニア州の店頭に並ぶインターネット・セキュリティー大手マカフィーのアンチウイルス・ソフト(2010年8月19日撮影)。


【AFP=時事】中米ベリーズの警察当局は12日、米インターネット・セキュリティー大手マカフィー(McAfee)の創業者ジョン・マカフィー(John McAfee)容疑者(67)を、米国人男性殺害容疑で手配したと発表した。

IT富豪をめぐる事件にはこんなものも:「カスペルスキー」創設者の息子が誘拐される

 ベリーズ警察組織犯罪対策部のマルコ・ビダル(Marco Vidal)部長によると、警察は11日夜、ベリーズ北東部沖のカリブ海に浮かぶ島アンバーグリス・キー(Ambergris Caye)にあるマカフィー容疑者の邸宅を家宅捜索。米フロリダ(Frolida)州出身のグレゴリー・フォール(Gregory Faull)さん(52)殺害に関して事情聴取を試みたが、マカフィー容疑者の姿は見当たらず、殺人容疑で指名手配したという。

 フォールさんは11日朝、自宅で首を撃たれて死亡しているのを家事手伝いの女性に発見された。ベリーズ公共安全省のラファエル・マルティネス(Rafael Martinez)報道官によると、現場には9ミリ拳銃弾の薬きょう1個が落ちており、フォールさんの首の傷と一致したという。警察発表によればフォールさん宅に何者かが押し入った形跡はなく、また現場からはノートパソコンと携帯電話が持ち去られていたという。

■2人の間にいさかい? 

 アンバーグリス・キーはスキューバダイビングや釣りで有名なリゾート地で、米国人居住者のコミュニティーがあることでも知られている島。地元住民はITブログサイト「ギズモード(Gizmodo)」に対し、最近フォールさんとマカフィー容疑者の間でいさかいがあったと語った。

 匿名でギズモードの取材に応じた住民の1人は、マカフィー容疑者が次第に常軌を逸した行動を取るようになり、米国人コミュニティーとは疎遠になっていたと述べた。同サイトは、マカフィー容疑者が向精神薬を試していたとも伝えている。

■「警察に命をねらわれている」と主張

 一方、マカフィー容疑者は米ハイテク情報誌「ワイアード(Wired)」の取材に、11日の捜索当時は自宅敷地内で砂の中に体を埋め、息をするため頭だけ出して段ボールをかぶって隠れていたと説明。「とんでもなく苦しかったが、見つかったら殺されるからだ」と述べた。

 隣人が射殺された事件について問われるとマカフィー容疑者は、フォール氏が撃たれたということ以外「何も知らない」と答え、フォール氏殺害犯は実は自分を探していたのではないかと心配しているとコメント。その上で次のように主張した。

「どんな状況であろうと、この国の警察にはこちらから相談しようとは思わない。被害妄想だと言われるかもしれないが、でも彼らは私を殺そうとしているんだ。間違いない。彼らはずっと、私を何か月も拘束しようとしている。私を黙らせたいんだ。首相にも好かれていない。誰にとっても私はしゃくに触る存在なんだ」

 マカフィー容疑者は創業したアンチウイルス・ソフトウエアの会社を1990年代前半に売却し、大富豪となった。最近4年間は旧英植民地のベリーズに在住している。

 ベリーズ警察は数か月前にも武器とドラッグ所持に関連してマカフィー容疑者の家宅捜索を行い、同容疑者を数時間拘束した。マカフィー容疑者はこの件について、地元政治家への献金を拒んだために逮捕されたと主張している。【翻訳編集】 AFPBB News
 
 
なりすましウイルス 「ミス。私の負け」 真犯人がメール 自殺ほのめかす?

産経新聞 11月14日



 遠隔操作ウイルス事件で、「真犯人」を名乗って「ミスしました。私の負けです」などと書かれたメールが、10月に犯行声明メールが送られた落合洋司弁護士や一部報道機関に届いていたことが14日、分かった。犯行声明で使われたメールアドレスと同一だったことなどから、警視庁など4都府県警の合同捜査本部は、真犯人からのメールの可能性が高いとみて送信元の特定を進める。

 落合弁護士の短文投稿サイト「ツイッター」によると、メールが届いたのは13日午後11時54分。タイトルに「真犯人です」とあり、「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです」と書かれていた。

 また、「楽しいゲームでした。さようなら」などと自殺をほのめかす文面もあり、13日付の新聞紙の上に人形が置かれ、周りをひものようなもので囲んだ写真が添付されていた。新聞紙は神奈川県内で発行されているものだった。

 捜査関係者によると、今回のメールは犯行声明と同様、送信元の痕跡を消し去る匿名化ソフト「Tor(トーア)」が使われているとみられる。

 一方、一度だけトーアを使用せずにウイルスを配布した形跡が見つかっており、真犯人がミスを犯した可能性がある。また、犯行声明では三重の男性のパソコンに「わざとウイルスを消さないでおいた」としていたが、実際には男性がウイルスの動作を停止させていたことが判明している。
 
 
「真犯人」から再びメール=横浜で撮影の写真添付、弁護士らに―PC遠隔操作事件

時事通信 11月14日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、犯行声明とみられるメールが送付された弁護士などに、犯人を名乗る人物から再度メールが届いたことが14日、捜査関係者などへの取材で分かった。
 メールには写真が添付され、自殺をほのめかす内容もあったという。写真の撮影場所は横浜市保土ケ谷区の団地とみられ、警視庁などの合同捜査本部は犯人が送った可能性もあるとみて、団地周辺を捜索するとともに、メールの解析を進めている。
 捜査関係者などによると、メールは13日深夜、東京弁護士会所属の落合洋司弁護士や一部の報道機関などに届いた。「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです」などと記載され、「今から首つり自殺します。さようなら。また来世」とも書かれていた。
 犯行声明メールと同じフリーメールのアドレスから送られ、同日付の新聞朝刊の上に置かれた人形の写真が1枚添付されていた。 

 
 
シマンテック、ネット環境監視拠点

SankeiBiz2012/11/14



 ウイルス対策ソフト大手のシマンテックは13日、世界中のインターネット環境の保護監視を行う拠点となる「セキュリティーオペレーションセンター(SOC)」を東京都内に開設した。同社のSOC設立は米英などに次いで5カ所目で、14日から運用を始める。同社のセキュリティー専門家が常駐し、リアルタイムで企業・団体の情報管理やシステム運用の脅威となるサイバー攻撃などを分析。日本の顧客企業の特徴や動向に合わせて脅威の傾向や対策について情報を提供する。
 
 
<PC遠隔操作>「真犯人」自殺予告メール 弁護士などへ

毎日新聞 11月14日



「真犯人」を名乗る人物が犯行声明で関与したとされた犯罪予告。犯行声明は10月にメールで送られてきた


 遠隔操作ウイルスによる犯罪予告事件で、「真犯人」の可能性のある人物から13日夜、東京都内の弁護士に新たな電子メールが送られていたことが分かった。「今から首つり自殺します」「さようなら」と自殺をほのめかす内容で、弁護士から連絡を受けた警視庁などが確認を急いでいる。

【PC遠隔操作】自白強要する捜査当局からの「護身術」とは

 メールは落合洋司弁護士宛てに届いた。落合弁護士には先月9日にも「真犯人」を名乗る人物から犯行声明のメールが届いており、先月のメールと同じアドレスだったという。メールは5行程度。自殺をほのめかす内容のほか「私が負けました」などと書かれていた。ロープとみられる写真も添付されていた。メールは落合弁護士のほか、TBSや新聞社など5〜6カ所が宛先として指定されていた。

 先月送信された犯行声明は「私が真犯人です」というタイトルで13件の犯罪予告を実行したことを明らかにしていた。秘密の暴露や警察しか把握していない情報が多く含まれ、警視庁などは犯行声明の送信者が「真犯人」とみて調べていた。
 
 
イスラエル警察のコンピュータがマルウェアに集団感染

ITmedia エンタープライズ 11月13日


 イスラエルで10月に警察のコンピュータがマルウェアに集団感染する事件が発生したと報じられている。セキュリティ企業のTrend MicroやNormanは、この攻撃に使われたマルウェアを突き止めたと報告。イスラエルやパレスチナを標的とするスパイ活動が、1年ほど前から進行していたことが分かったと伝えている。

 Trend Microによると、イスラエル警察の集団感染は、同国国防相から届いたように見せかけたメールが発端となって発生した。メールの添付ファイルを使ってバックドア型のマルウェア「Xtreme」に感染させる仕掛けで、このマルウェアは情報を盗み出したりコンピュータを遠隔操作したりする機能を持っていたという。

 Normanによれば、Xtremeには偽のデジタル証明書を使った署名が入っていた。メールは英語またはヘブライ語でイスラエル国防省の活動やパレスチナへの攻撃について伝えるなど、受信者が興味を持ちそうな情報を盛り込んでクリックを仕向ける内容だった。

 さらに調べたところ、攻撃側はイスラエル以前にパレスチナを標的としていたことも判明した。Normanは、Xtremeを使ったスパイ活動は少なくとも1年前から進行しており、途中でパレスチナからイスラエルへと標的を切り替えたようだと推定。これは政治状況の変化によるものか、あるいは前半の活動によって何かが判明し、標的をシフトするに至った可能性もあると推察している。

 
 
年末商戦期のオンライン詐欺にご用心――マカフィーが警告

Computerworld 11月13日



 サイバーセキュリティ・ベンダーの米国McAfeeがWebユーザーやオンライン・ショッピングをする人々に対し、まもなくやってくる年末年始の商戦期には新タイプの詐欺に注意すべしと警告を発した。これらの攻撃の一部は、モバイル・デバイス利用者を狙っているという。

 McAfeeが11月12日に公開した「The Top 12 Scams Of Christmas To Watch Out For(クリスマスに注意すべき12の詐欺)」リストに含まれる詐欺の大半は目新しいものではなく、昔からある攻撃の新たなバリエーションだと、McAfeeのオンライン・セキュリティ専門家であるロバート・シシリアーノ(Robert Siciliano)氏は述べた。


 犯罪者らは、従来の詐欺にちょっとしたひねりを加え、新しいデバイスやオペレーティング・システムをターゲットにしているという。「彼らにとって、詐欺の手順を一から組み立て直すのはナンセンスだ」(シシリアーノ氏)

 今年最大の脅威となるものの1つは、「Google Play」以外のAndroidアプリ・ストア経由で配信されるプログラムをはじめとする、悪質なモバイル・アプリだという。サードパーティ・ストアが扱うモバイル・アプリは安全性が確認されていない場合が多々あると、シシリアーノ氏は指摘した。

 McAfeeは、2012年にスマートフォンからオンライン・ショッピングをするモバイル・デバイス・ユーザーの割合を全体の約4分の1と予想している。

 以前からあるインスタント・メッセージング詐欺は、今では「Skype」メッセージ詐欺として進化を遂げた。詐欺師がSkypeから、「Lol is this your new profile pic?(これがキミの新しいプロフィール写真? 笑えるね)」というメッセージを送ってくるのだという。

 Skypeユーザーが問題のメッセージに含まれるリンクをクリックすると、ハードドライブにトロイの木馬がダウンロードされ、当該ユーザーの連絡先すべてに同じリンクが送信される仕組みだ。破損したファイルに再びアクセスできるようにするのと引き換えに、詐欺師がPCユーザーに金を要求したケースも確認されている。

 シシリアーノ氏は同Skype攻撃について、「複数の異なる古い詐欺に比較的新しい手法を付け足したもの」と説明した。「これが現在主流の手口のようだ。多種多様なデバイスを消費者が使用するようになった今日、犯罪者が悪用できるチャンスはそこら中に転がっている」(シシリアーノ氏)

 多くの世帯がいくつものデバイスを所有し、それぞれが違ったオペレーティング・システムを利用しているうえ、そのほとんどが適切なパッチで修正されていないか、ウイルス対策プログラムやその他のセキュリティ・ソフトウェアによる安全化がなされていないとシシリアーノ氏は言う。「子どもにモバイル・デバイスを持たせ、自分たちはPCを使っている家庭はよく見られるが、彼らはそうした機器の安全対策をおざなりにしている。犯罪者は古くから存在する詐欺を総動員し、これらを少しずついじって新たな姿に生まれ変わらせている」(シシリアーノ氏)

 このほかMcAfeeのリストには、「Facebook」および「Twitter」に掲載されるディスカウント品の偽広告、マルウェアへのリンクが張られた電子グリーティング・カード、激安価格の電子機器など人気ギフトの広告リンクなどが含まれている。あまりにも安すぎる商品を見かけたときは、詐欺の可能性が高いと思ったほうがよいだろう。

 シシリアーノ氏は、最新のウイルス/フィッシング/スパイウェア対策ソフトウェアとファイアウォールを導入し、OSを最も安全な状態に保つようインターネット・ユーザーにアドバイスした。また、犯罪者は常に戦術を変えてくるので、今現在確認されている詐欺にだけ注意するのでは不十分だという。
(Grant Gross/IDG News Serviceワシントン支局)

 
 
ウイルス対策分野のパイオニア、ジョン・マカフィー氏がベリーズで殺人事件の容疑者に

Computerworld 11月13日



 ウイルス対策分野のパイオニアとして知られるジョン・マカフィー(John McAfee)氏が、11月11日にベリーズのサンペドロタウンで米国市民を射殺した容疑をかけられ、手配中だという。

 Gizmodoは、マカフィー氏がグレゴリー・ファウル(Gregory Faull)氏射殺事件の第一容疑者にあげられていると報じた。ファウル氏はフロリダ出身の国外居住者で、近所でも人気のある建設業者だった。


 マカフィー氏とファウル氏は11日の事件に至る過去数週間、仲違い状態にあったことが明らかになっている。銃撃のわずか数日前には、マカフィー氏の発砲や“ごろつきのような”態度に関してファウル氏が訴えを起こしていた。犬をめぐる言い争いが、今回の事件につながった可能性があるという。

 11日朝に家政婦が頭部に銃弾を受けたファウル氏の遺体を発見し、警察に通報した。Gizmodoによれば、ベリーズ警察のマルコ・ビダル(Marco Vidal)ギャング対策班班長はマカフィー氏が同殺人事件の容疑者だと話しているもよう。警察は現在、マカフィー氏の所在を捜索している。

 ベリーズ警察に取材を試みたものの、回答は得られていない。現状では、同事件の詳細を独自に確認することは不可能だ。

 マカフィー氏は1987年にMcAfeeを創設した人物だが、今はIntelの子会社となっている同社とはこのところまったくかかわっていなかった。同容疑者は数年前にベリーズへ移住し、Quorum Exという製薬会社を興した。

 Gizmodoは先週、近年にかけて奇行が目立つようになったマカフィー氏に関し、長文の特集記事を掲載したばかりだった。マカフィー氏本人へのインタビューを基にした同記事には、裕福な企業家からベリーズでのさまざまな違法行為を疑われる世捨て人へ容疑者がいかにして転落したかが描かれている。

 4月30日、ベリーズ警察は覚せい剤製造の疑いでマカフィー氏の住居を家宅捜索した。その結果、現金2万ドルと複数のショットガンおよびピストル、さらにはおびただしい量の銃弾が発見されたものの、マカフィー氏が作っていたのは抗菌作用のある薬草化合物だったことがわかった。見つかった銃器類もすべて届け出がなされていた。
(Jaikumar Vijayan/Computerworld米国版)
.
 

 [セキュリティ]マカフィー、10月のサイバー脅威の状況を発表、今月も「Blackhole」関連の脅威がランクイン

BCN 11月13日



 マカフィーが、10月のサイバー脅威の状況を発表した。脆弱性を悪用し、ウェブサイトを閲覧しただけでPCにマルウェアを感染させる恐れのあるドライブ・バイ・ダウンロード攻撃の一つ、「Blackhole」に関連した脅威が今月もランクイン。世界中で拡大している。

 日本では遠隔操作ウイルスによる犯罪が問題になったが、こうした外部との通信を行い、遠隔操作を可能にするバックドア機能を有するマルウェアは多数存在する。今月、ランクインしているだけでも、「PWS-Zbot」と「ZeroAcces」にはバックドアの機能がある。また、金融サイトを狙ったマルウェアの攻撃が報道されたが、「PWS-Zbot」は、まさにバックドア機能をもつマルウェアの一つで、日々多くの亜種が作成されている。

 「Blackhole」では、JRE(Java Runtime Environment)やFlash、Adobe Readerの脆弱性が悪用されている。これらの脆弱性が未修正の場合は感染する可能性が高いので早急な対応が必要。また9月に発見されたInternet Explorerの脆弱性も、使用しているシステムで修正されていることを確認するように呼びかけている。

 PUP(不審なプログラム)はこれまでと大きな変化はなく、全体的な件数も先月とほとんど変わりない。PUPは、インターネットからダウンロードしたフリーウェアなどに付加されていることが多いことから、フリーウェアの利用には十分な注意が必要だ。

 
 
<ネット犯罪>警察庁の有識者会議が対策部会設置

毎日新聞 11月12日



 インターネットに絡む犯罪対策などについて話し合う警察庁の有識者会議「12年度総合セキュリティ対策会議」が12日、東京都内で開かれ、「サイバー犯罪捜査の課題と対策」をテーマとする新部会を設置した。遠隔操作による犯罪予告で4人が誤認逮捕された事件を受けて設置を決めた。新種のコンピューターウイルスや匿名化技術対策に関し、官民の連携を強化して捜査に活用する仕組みなどを検討し、来年3月をめどに報告書をまとめる。

 警察庁の岩瀬充明・生活安全局長は冒頭のあいさつで「(警察への)信頼が大きく傷付くと共に、匿名化技術を悪用する卑劣な犯行の増大が予想され、危機感を抱いている」と説明。「警察の責務を果たすには課題の克服が必要だが、高い技術を持つ民間の支援と協力があって初めて可能になる」と述べた。

 会議はネット関連事業者や学者、弁護士など約20人で構成している。
 
 
匿名化の対策、急きょ議論=PC遠隔操作―警察庁懇談会

時事通信 11月12日



 4人が誤認逮捕されたパソコン遠隔操作事件で、遠隔操作のウイルス感染や犯行予告の書き込みに匿名化の技術が使われたことを受け、警察庁の有識者懇談会「総合セキュリティ対策会議」は12日、「サイバー犯罪捜査の課題と対策」を検討テーマに急きょ加え、会議を開いた。実行者の特定を難しくする匿名化の問題を中心に議論し、来年3月末に報告書をまとめる。
 警察庁の岩瀬充明生活安全局長は会議で、「事件で、サイバー犯罪捜査への信頼は大きく揺らいだ」とした上で、「匿名化を悪用した犯行の増大に強い危機感を抱いている。克服には民間の支援と協力があって初めて可能となる」と述べた。 
 
 
遠隔操作型ウイルス事件、警察庁が対策会議

読売新聞 11月12日



 遠隔操作型ウイルスに感染したパソコンから犯行予告が相次いで書き込まれるなどした事件で、警察庁の有識者会議「総合セキュリティ対策会議」(委員長=前田雅英・首都大学東京教授)は12日、新設された部会「サイバー犯罪捜査の課題と対策」の初会合を開いた。

 警察が捜査を進める上で、ウイルスに関する情報や技術を持つ民間会社と連携する方策を話し合い、今年度末に報告書をまとめる。

 部会は、警視庁などが事件に関連して男性4人を誤認逮捕し、真犯人を特定できていない事態を重くみて設置された。委員には、ウイルス対策ソフトを製造する情報セキュリティー会社の幹部らが就いた。

 一連の事件では、通信記録の追跡を困難にする匿名化技術が使われた。警察庁の岩瀬充明生活安全局長は会合の冒頭で、「高い技術を有する民間の支援と協力があって初めて、警察の責務を果たすことが可能になる」と述べた。
 
 
報道されている以外にも多数の同種マルウェアが存在--10月度レポート(マカフィー)

ScanNetSecurity 11月12日



マカフィー株式会社は11月12日、2012年10月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、10月も「Blackhole」に関連した脅威がランクインしている。また、日本では遠隔操作ウイルスの被害が問題になったが、こういった外部との通信を行い、外部からの遠隔操作を可能にするバックドア機能を有するマルウェアは多数存在している。

今月ランクインしているものの中だけでも、「PWS-Zbot」と「ZeroAcces」にバックドア機能がある。また、直近では金融サイトを狙ったマルウェアによる攻撃が報道された。「PWS-Zbot」はまさにそういったマルウェアのひとつだが、日々非常に多くの亜種が作成されている。報道されている事例だけに注目するのではなく、同種のマルウェアが多く存在していることを念頭におき、感染防御対策を実施するよう呼びかけている。
 
 
警察庁がサイバー犯罪対策会議 民間との連携強化へ

朝日新聞デジタル 11月12日



 4人を誤認逮捕した遠隔操作パソコンからの犯罪予告事件を受け、警察庁はサイバー犯罪捜査で民間との連携を強化することを決め、12日に民間の専門家を交えた会議を開いた。ネット上の匿名化技術や新型ウイルスについて議論し、今年度末までに報告書をまとめる。

 ウイルス対策ソフト会社役員や法科大学院教授らが参加し、警察から捜査幹部や情報解析担当者が加わった。岩瀬充明・生活安全局長は「匿名化技術を悪用する者の増大が予想され、強い危機感を抱いている」と述べた。
 
 
Windows 8 をセキュリティの観点で解説した技術白書を公開、トレンドマイクロ

japan.internet.com 11月10日



Windows 8 をセキュリティの観点で解説した技術白書を公開、トレンドマイクロ


トレンドマイクロは、Windows 8 を利用する上でのセキュリティについて解説した「ウイルスバスター クラウド×Window 8 技術白書」を公開した。

同書は、Windows 8 をより安全に利用できるように、セキュリティの観点で解説した技術白書。Windows 8 のシステム構造や強化されたセキュリティ機能を解説するとともに、「ウイルスバスタークラウド」と Windows 8 の連携についての説明も行っている。

また、Windows ストアで公開中の同社の無料アプリ「セキュリティ脅威マップ」「リモートアラーム」「あんしんブラウザ」についても説明している。
 
 
セキュリティ対策、Windows 8で変わることと変わらないこと

@IT 11月12日



 トレンドマイクロは11月9日、Windows 8利用時のセキュリティ上の留意事項を解説した「ウイルスバスター クラウド×Windows 8技術白書」を公開した。

 この日行われた説明会において、同社の塩田行宏氏(マーケティング本部 コンシューママーケティング部 プロダクトマネジメント課 シニアプロダクトマネージャー)は、「Windows 8のデスクトップユーザーインターフェイスは今までのWindows環境と互換性を維持しており、アプリケーションなどがそのまま使える一方で、マルウェアも同じ書き方で製造できてしまう」と述べ、Windows Updateやアカウント管理といったセキュリティの基本を、Windows 8においても引き続き徹底すべきだと説明した。

 Windows 8では同じカーネルの上に、WinRTとWin32という2つの実行体系が構築されている。このうちWinRTアプリケーションはサンドボックスを採用しており、マイクロソフトによる審査を経ない「野良アプリ」は排除される仕組みだ。ほかにも、UEFI(Unified EFI)やELAM(Early Load Antimalware)の搭載によるセキュアブート、悪意あるサイトへの接続を遮断する「SmartScreen」のデスクトップレベルでの実装、暗号化関連機能のネイティブサポートなど、セキュリティ面でも機能強化が図られている。

 一方で、Win32上に構築されるデスクトップUIについては下位互換性が高く、これまでのWindows同様、不正プログラムへの警戒が必要だと塩田氏は述べた。現に10月下旬のWindows 8発売に合わせたタイミングで、Windows 8向けに作られた偽のセキュリティソフトが流通していることを確認したという。

 ただ、ユーザーの利便性を高めるために加わった機能が、セキュリティ上注意すべきポイントになることもある。

 例えばWindows 8では、3Gなど従量課金制の回線を利用している場合には、Windows Updateが手動に切り替わる。このまま使い続けていると脆弱性を残した状態となるため、注意が必要だ。また、Windows 8ではMicrosoftアカウントでのログインが可能になった。「クラウドサービスとシームレスに使えるよう高度に統合された半面、リスクは高まる。アカウント情報が第三者に漏れないよう、管理には注意が必要だ」(塩田氏)。さらに、Windows 8の新しいUIで動作するIEでは、コンテンツを全画面で表示し、基本的にアドレスバーは見えない状態となる。「一見して怪しいURLに気付くのが難しくなるかもしれない」(同氏)。また、まだ直接的な脅威があるわけではないが、位置情報の利用にも注意が必要だとした。

 加えて、人間をだまして悪意あるソフトウェアをダウンロードさせようとする「ソーシャルエンジニアリング」となると、「OSに関係なく人間の弱点を突いてくる」(塩田氏)。これまでと同様に、「ソフトウェアのダウンロードは信頼できるサイトから行い、普段行かないサイトからのダウンロードには注意を」(同氏)という。
 
 
PC遠隔操作ウイルス事件が社会に突きつけた「課題」【第2回】
手口から考察する犯人像
(2012年11月06日)



「PC遠隔操作ウイルス事件」をひもときつつ、同事件が社会に突きつける課題について考察する本連載。第2回目はこの事件で使われた「手口」に焦点を当ててみたい。



二木真明/アルテア・セキュリティ・コンサルティング


■ウイルス(マルウエア)から考察する犯人像
――懸念は模倣犯の出現

 第1回でも言及したが、PCを遠隔操作するマルウエアを使った攻撃手法自体は、何年も前から広く使われている。今回もそうした手法を、特定の目的に応用したに過ぎない。そういう意味では、手法として特に新しいものはないと言える。

 では、こうした攻撃は、また起こりうるのだろうか。模倣犯の出現も気になるところだが、このような攻撃を実行するための“ハードル”は高いのだろうか――。

 まず、マルウエアそのものだが、今回、真犯人が犯行声明で述べているように、マルウエアを1から自作するためには、基本的なプログラミング・スキルが必要だ。また、何を行うか、どの程度汎用性を持たせるかによって構成が異なるため、単なるプログラミングではなく、要件定義から基本的な設計に関するスキルも重要になる。

 最近の開発環境では、プログラミング自体は比較的容易にできる。それは、開発のためのフレームワークや「統合開発環境(IDE)」と呼ばれるものがそろっているからである。むしろ、それらを使って何を作るかをきちんと決めることが重要だ。

 こうした状況から、今回の真犯人はこうしたスキルを持っている人物だろうと推測できる。おそらく自らプログラミング経験を持つと同時に、システムエンジニア(SE)としての経験もあるのかもしれない。発覚を防ぐ仕組みも必要だ。こうした部分の設計には、昨今のマルウエアなどの挙動についての知識も必要となる。だが、今回のウイルスではこうした仕組みは実装されていなかったようである。検知回避の実装には検知技術に関する深い知識も必要だ。従って、実用的なレベルでのマルウエア製作の技術的ハードルは、そこそこ高いと言ってよいだろう。今回のマルウエアは明らかにこのレベルには達していなかったようだ。

 だが、もう少し簡単にマルウエアを作る方法もある。それは、ネット上で流通しているツールキットを利用する方法だ。これなら、マルウエアとして必要な基本機能がフレームワークとして用意されている。しかし、こうしたものを利用すれば、それだけ検知される可能性も高まると考えてよい。

 もちろん、検知を逃れる仕組みも実装されてはいるが、こうしたフレームワークを使ったマルウエアは、どうしてもその特徴がどこかに出てしまうことが多い。また、こうしたツールキット自体が(攻撃者にとって)信頼できる物かどうかという点にも保証がない。もしかしたら、バックドアが仕込まれていて、自分自身が踏み台にされたり、ほかのもっと重大な犯罪に荷担させられたりしてしまう可能性もある。ミイラ取りがミイラになってしまうわけだ。

 こうした点まで考慮するならば、ツールキットを使う場合でも、違う意味での“ハードル”がある。むしろ、「攻撃手法やさまざまなセキュリティ関連の手法に精通していないと、こうしたツールを使いこなすのは難しいのではないか」というのが筆者の考え方だ。

 気になるのは、こうした問題を深く考えずに、おもしろ半分に模倣しようとする者が、今後現れないかということである。こうした単純な模倣犯は、(おそらく)比較的簡単に捕まってしまう。だが、そのことによって、より深刻な問題が隠れてしまう恐れもある。くれぐれも安易な模倣はやめてもらいたい。結果は、自分自身にとっても悲惨なものになるだろうから。

 
 
PC遠隔操作ウイルス事件が社会に突きつけた「課題」【第1回】
セキュリティ専門家が警鐘を鳴らす、「他人事ではない、PC悪用の恐怖」とは
(2012年10月31日)



このところメディアを賑わせている「PC遠隔操作ウイルス事件」。実はこうした事件が発生する可能性は、以前から情報セキュリティの専門家たちによって指摘されていた。今回、それが現実に起きたことで、あらためてその深刻さが浮き彫りとなった。本連載では今回の事件をひもときながら、それが社会に突きつける課題について考察してみたい。



二木真明/アルテア・セキュリティ・コンサルティング


■誰でも「犯人」にされる可能性がある

 PCの制御を乗っ取りや外部から操作できるようにする手法は、古くから存在する。「トロイの木馬」と呼ばれるマルウエアがそれにあたる。

 これらの多くは、フリーソフトなどに見せかけた形で流布され、それをインストールした人のPCに入り込む。中には、PCのマイクやカメラの機能を制御して会話を盗聴したり、ようすを盗み見たりするような機能を持つマルウエアもある。PCの内部に保存されている情報を収集し、外部に送り出すようなことも可能だ。

 マルウェアに感染させる手段は複数存在する。一般のウイルスのように、メール添付ファイルに仕掛けることもできるし、不正なWebサイトに誘導し、いつのまにかダウンロードさせてしまうという手段もある。ここ数年、猛威をふるっている「ボット」と呼ばれるマルウエアは、感染したPCを使って不正なネットワーク(ボットネット)を構成し、攻撃者の指令で一斉に不正な動作を行うものだ。

 通常ボットが行うのは、スパムメールの送信や、特定の相手方に対するアクセス集中によるサービス妨害(いわゆるDDoS攻撃)などである。時には数千台、数万台の感染PCを同時に操れるボットネットは、インターネットにおける主要な脅威のひとつであり、各国の関係機関が連携しながら、指令サーバの停止など対応を進めているのが現状である。

 今やボットネットは、闇市場で“レンタル”され、犯罪組織の資金源になっているとも言わている。その“繁殖力”は強く、一つ潰してもまたすぐに別のボットネットが立ち上がるといった、モグラ叩きの状況が続いている。日本国内でも、一般ユーザーや中・小規模業が保有するPCを中心に、かなりの数のPCがボットネットに感染しているとされる。
 
 
マカフィー、10月のサイバー脅威の状況を発表

Computerworld 11月12日



▲2012年10月におけるウイルス検知会社数


 マカフィーは11月12日、2012年10月におけるサイバー脅威の状況を発表した。同調査は同社のデータセンターで把握している情報をもとに、脅威のトップ10を算出/分析したもの。



 それによると、ウイルスでは「Blackhole」に関連した脅威が、先月に引き続きランクインした。Blackholeは脆弱性を悪用し、Webサイトを閲覧しただけでPCにマルウェアを感染させられてしまう恐れのある「ドライブ・バイ・ダウンロード」攻撃の一つで、世界中で拡大している脅威として知られている。Webの不正なリダイレクトを行うJS/Exploit-Blacoleなど、最終的にダウンロードされるZeroAccessやPWS-Zbotがランクインしている。

 また、最近表面化している遠隔操作ウイルス関連では、同操作を可能にするBackdoor機能を持つウイルスもランクインした。特に今月ランクインしたPWS-ZbotとZeroAccesには、Backdoor機能が備わっている。PWS-Zbotは、先月から多数報道されている金融サイトを狙ったマルウェアで、多くの亜種が作成されているという。

 なおBlackholeでは、JRE(CVE-2012-1723, CVE-2012-4681)やFlash(CVE-2012-1535)、Adobe Readerの脆弱性が悪用されている。同社では、「これらの脆弱性が未修正の場合は、感染する可能性が高い。早急に対応してほしい。さらに2012年9月に発見されたIEの脆弱性(CVE-2012-4969)も、使用しているシステムで修正されているかどうかを確認してほしい」と呼びかけている。
 
 
パソコン遠隔操作 捜査員を米国に派遣

日本テレビ系(NNN) 11月12日

 遠隔操作できるウイルスに感染したパソコンを通じ、脅迫メールなどが送られた事件で、警視庁などは12日、メールの発信元を特定するため、アメリカに捜査員を派遣した。

 この事件をめぐっては、「真犯人」を名乗る人物からのメールが東京都内の弁護士などに送りつけられ、そのメールはアメリカ・サンフランシスコにあるサーバーを経由して送られていたことがわかっている。

 警視庁などの合同捜査本部は12日、メールの発信元を特定するため捜査員5人をアメリカに派遣し、司法省や連邦捜査局(FBI)に通信記録の開示などの捜査協力を求める予定。

 また、サーバーのあるサンフランシスコでもFBIの捜査班と協議する方針。

 
 
“遠隔操作”メール事件で捜査員を米国へ派遣

テレビ朝日系(ANN) 11月12日

 一連のなりすましメール事件で、遠隔操作ウイルスの発信元がアメリカ国内のサーバーだったことが分かり、警視庁などはアメリカに捜査員を派遣しました。

 脅迫メールを送ったとして誤認逮捕された男性らは、インターネット掲示板「2ちゃんねる」を通じて遠隔操作ウイルス「iesys.exe」に感染したとみられています。その後の捜査関係者への取材で、ウイルスの発信元がアメリカ・サンフランシスコのサーバーだったことが分かりました。都内の弁護士事務所に送られた犯行声明のメールもアメリカを経由して送られていて、警視庁などは、FBI=米連邦捜査局などと協議し、サーバーの通信記録の開示などを求めることにしています
 
 
PC遠隔操作、捜査員をアメリカに派遣

TBS系(JNN) 11月12日

 遠隔操作ウイルスによる犯行予告メール事件で、警視庁など合同捜査本部は送信元を特定するため、捜査員らをアメリカに派遣しました。

 この事件では、TBSと東京の落合洋司弁護士に犯行声明のメールが届き、このうち、落合弁護士へのメールはアメリカのサーバーを経由していたことがわかっています。

 合同捜査本部は、ワシントンなどを訪れ、現地のFBI=連邦捜査局や司法省に通信記録の開示など捜査協力を求める方針です。
 
 
昨年発生した情報漏洩事件における外部攻撃の割合は…… - JNSA 園田氏

マイナビニュース 11月12日

○昨年発生した情報漏洩事件全般における外部攻撃の割合は?

突然だが、皆さんに質問である。



日本ネットワークセキュリティ協会(JNSA)の調査によると、昨年1年間で発生した情報漏洩事件は1551件。これらのうち、不正アクセスやワーム/ウィルスといった外部攻撃が原因となった事件は何件だったか、おわかりなるだろうか?

――答えは、不正アクセスが18件、ワーム/ウィルスが6件の合計24件。割合にすると、2つ合せてもわずか1.6%である。

「JNSAの調査では、1位が『誤操作』で539件、2位が『管理ミス』で497件。この2つだけで69%を占めます。メディアで報道される情報漏洩事件は、派手なもの、大規模なものばかりなので、どうしてもそちらの印象が強くなりますが、実際は従業員の"足元"から漏洩しているケースが多いわけです」

こう語るのは、JNSAで研究員を務める園田道夫氏だ。サイバー大学 IT総合学部准教授、情報処理推進機構 セキュリティ技術ラボラトリー 研究員などの肩書も持ち、セキュリティの識者として知られる同氏に、本誌は国内情報漏洩事件の実態と対策について話を聞いたので、その概要をお伝えしよう。

プロフィール

○園田道夫(SONODA Michio)

日本ネットワークセキュリティ協会(JNSA) 研究員、サイバー大学 IT総合学部准教授、情報処理推進機構 セキュリティ技術ラボラトリー 研究員などの肩書を持ち、セキュリティ業界において広く活躍する。書籍や雑誌における執筆経験多数。TV番組でも活躍中。

2003年よりJNSA 主催のインターネット安全教室で講師を務め、2004年より情報処理推進機構(IPA)にて企業向けセミナー講師を担当する。同年より、経済産業省主催セキュリティキャンプ(現セキュリティ&プログラミングキャンプ)の企画、講師、主査、実行委員なども担当するほか、サイバー犯罪に関する白浜シンポジウム危機管理コンテストでは、2007年より実行委員、審査委員も務める。

情報処理推進機構では、「脆弱性関連情報の届出」制度などを構築。2008年には、経済産業省商務情報政局長表彰を受賞している。バラエティ番組『ホンマでっか!? TV』に評論家として出演している。

11月16日(金)に開催される『情報漏洩 “総合” 対策セミナー』にて講演予定。

<img src="images/702.jpg" border="0">


―「ホンマでっか!? TV」出演の園田氏が基調講演―

○外部攻撃とメール対策、どちらが大切?

アノニマスによる国内Webサイトへの攻撃が話題になって以降、そちらの対策を急ぐ企業が増えている。しかし、上記のような調査結果を冷静に見直すと、本来優先すべきはメールの誤送信対策や、情報の持ち出し対策などになる。特に、Webサイトに顧客データや重要データがない中堅/中小企業であればなおさらと言えるだろう。

「『社外秘メールを誤って外部に送信してしまった』といった類の話は、だれしも聞いたことがあるのではないでしょうか。また、家で作業ができるよう個人用のWebストレージに保存していたドキュメントが一般公開されていたというのもよくある話です。そういった事件は日常的に発生しているわけですから、対策を行っていない企業は、運用ルールも含めて何らかの対策を行うことが急務と言えます」(園田氏)

もっとも、誤操作や管理ミスの対策を行えば、外部攻撃を放っておいてよいというわけではない。大切なのは「事業形態に合わせた総合的な対策」(園田氏)だという。

外部攻撃は、「1件あたりの被害が大きい」(園田氏)のが特徴。例えば、先のJNSAの調査結果でも、件数で集計した結果では1.2%(12件)と非常に割合の小さい「不正アクセス」だが、個人情報の漏えい人数で集計すると20.9%(約628万件のうち約131万人)にも上る。

1件あたりでみると平均1万1381人。ひとたび被害にあうと、甚大な損害を受けることになる。大量の顧客情報を持つWebサイトを運営しているのであれば、当然ながら、こちらの対策をおろそかにするわけにはいかない。

○セキュリティリスクと対策費用感をマッピングして解説

さて、上記のとおり、情報漏洩はさまざまな経路から発生するため、対策としては、すべての穴を埋めることが理想と言える。しかし、現実を考えると、費用の問題が絡むため、"すべて"というのは難しい。特に予算の確保が厳しい中堅/中小企業においては、対策を施せるのがごく一部に限られてしまうケースも多いだろう。

では、こうした状況にある企業では、どの部分を優先するべきなのか。

そのあたりの詳細を、11月16日(金)に開催する無料セミナー『情報漏洩"総合"対策セミナー』の基調講演で園田氏が解説する。

当日は、セキュリティリスクを大きく分類したうえで、各セキュリティリスクの大きさと、その対策手段や費用感をマッピングして紹介していく予定である。セキュリティ対策の指針をお探し中の皆さんには、必ずや参考になるはずので、ぜひとも足を運んでほしい。
 
 
PC遠隔操作事件 警視庁など、発信元特定のためアメリカに捜査員

フジテレビ系(FNN) 11月12日

パソコン遠隔操作ウイルスによる犯行予告メール事件で、警視庁などは、発信元の特定を進めるため、アメリカに捜査員を派遣した。
FBIなどと協力し、送信元の特定を進めるため、警視庁の捜査員らがアメリカへ向けて出発した。
一連の遠隔操作ウイルス事件で、東京都内の弁護士に届いた犯行声明のメールは、アメリカ・サンフランシスコのサーバーを経由していたという。
このため、警視庁などの合同捜査本部は、捜査員5人をアメリカに派遣し、今後、アメリカ司法省やFBIに通信記録の開示などの捜査協力を求めるとともに、経由されたサーバーのあるサンフランシスコでも、FBIの捜査班と協議する方針。
 
 
バラクーダがWAF製品の新版、DDoS攻撃対策を強化

ITmedia エンタープライズ 11月12日



 バラクーダネットワークスジャパンは11月12日、Webアプリケーションファイアウォール製品の最新版「Barracuda Web Application Firewall 7.7」を発表した。DDoS(分散型・サービス拒否)攻撃への対策機能を強化したという。

 同製品は、クライアントが位置する地域や任意のプロキシからのアクセスかどうかなど、クライアントのIPのレピュテーション(評価)に基づいてアクセスの可否を管理者が判断できるほか、管理者がサービスごとのデータフローのレートに基づいてアクセスを判断し、トラフィックに優先順位を付けられるようにした。

 また、ハッカー集団Anonymousの攻撃手法の一つとされる「スロークライアントアタック」の対策機能も搭載。この攻撃はコネクションのタイムアウトを回避してサーバとのコネクションを維持するために、低速でHTTPヘッダやPOSTリクエストを大量に送りつける。正常なHTTPリクエストでありネットワークへの圧迫が小さいことから、従来の対策では防御が難しいという。同製品はこうしたリクエストをプロキシアーキテクチャでバッファし、監視することでブロックするとしている。

 Barracuda Web Application Firewallの販売価格は128万5000円から。
 

 ドッペルゲンガー・ドメインのもう一つの脅威

ScanNetSecurity 11月12日



皆さんはドッペルゲンガー・ドメインが何かをご存じないかもしれませんが、まず確実に一度は訪れたことがあると思います。gmail.comでメールを読むために、「gmial.com」と入力し間違えたことがありますか?私は何度もありますが、それに気づくのはいつも何かを売りつけようとするサイトが表れた時です。もちろんもっとずっとひどいケースもあります。ドメイン名を入力し間違えると、ウイルスに感染されたサイトや、あるいはフィッシングサイトにいとも簡単に行き着くこともあり得ます。そしてそれらはあなたの口座番号やパスワードを奪うために正規のサイトに似せてデザインされています。

ドッペルゲンガー・ドメインの課題は、与えられたドメイン名の入力間違いの潜在的な数がほぼ無限だということです。企業が、アクセスしようとするユーザがこの手の活動に対して無防備にならないように全てを吸収してしまうことは非常に難しいことです。

この手のドメインに関連して、他にも重要な脆弱性が研究者によって見つけられています。彼らは多くの偽サイトを作り、そのドメイン宛にメールが来るのを待ちました。完全な詳細についてはこの記事を参照下さい。

この研究者たちが様々な企業のドッペルゲンガー・アカウントを30個設定したところ、6ヶ月の調査期間に12万通のメールがそのアカウントに引っかかったことがわかりました。これらのサイトに来たメールは以下のような潜在的に脆弱な情報を含むものです。

・大手ITコンサルティング企業の外部Ciscoルーターの詳細設定情報とアクセス用パスワード

・あるヨーロッパの国の主要な有料道路を支えるシステムのVPNフルアクセスのためのパスワード

・多量の雑多な請求書、契約書および報告書。

研究者たちは実質何もせずに6ヶ月で合計20GBのデータを集めたのです。

これは特別に致命的なリスクと思われます。それはこのリスクが非常に高いからという主な理由からではなく、スペル間違いのドメイン名にやって来るメールを捕まえるのは第三者にとってそれほど難しくないという理由からです。しかしながら、このような攻撃は時々突然現れ、セキュリティ管理者が自分たちの情報をリスクにさらす新手で創造的な方法に対して常に警戒する必要があるということを再確認するのに役立つだけです。

(Sumner Blount)

著者略歴:25年にわたり、エンタープライズ向け大手IT企業でソフトウェア製品の開発およびマーケティングを行ってきました。現在は、CAのセキュリティ・ビジネスユニットでディレクタを務めています。

(ScanNetSecurity)
 
 
遠隔PC犯罪予告事件 アメリカに捜査員派遣し、発信元特定へ

フジテレビ系(FNN) 11月12日
遠隔操作ウイルスによる犯行予告メール事件で、警視庁などは12日、アメリカに捜査員を派遣し、発信元の特定を進める方針。
一連の事件では、東京都内の弁護士に犯行声明のメールが届いていて、このメールは、アメリカのサーバーを経由していたという。
警視庁などは12日、捜査員をアメリカに派遣し、通信記録の開示など、司法省やFBI(アメリカ連邦捜査局)に捜査協力を求める方針。
 

 FBIに捜査協力要請へ=米に捜査員派遣―PC遠隔操作・合同捜査本部

時事通信 11月12日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、警視庁などの合同捜査本部は12日、犯行声明とみられるメールが経由したサーバーのある米国に捜査員を派遣する。現地の司法省や連邦捜査局(FBI)に捜査協力を求め、送信元の特定を進める方針。
 犯人を名乗る人物は、東京都内の弁護士に犯行予告メールを送る際、送信元が特定されないよう「Tor」と呼ばれる匿名化ソフトを使用。送信者の情報を暗号化した上、世界中から無作為に選ばれた中継地点を経由してメールが送られる仕組みだが、捜査本部の調べで、メールが最後に経由したのは米国のサーバーだったことが分かった。
 捜査関係者によると、派遣されるのは合同捜査本部や警察庁の5人で、現地当局に通信記録の開示などを求める。TBSに届いた犯行声明メールも同様にヨーロッパなどの海外サーバーを経由して送られており、捜査本部は今後、米国以外の国にも捜査員を派遣して送信経路の解明を急ぐ。 
 
 
中傷メール送られたライター サイバーポリス初体験の顛末記

NEWS ポストセブン 11月11日



 ウィルスで他人のパソコンを乗っ取り犯行予告を重ねた「PC遠隔操作」事件で、警察庁は4人の男性の誤認逮捕を認めた。しかし依然、真犯人は謎のままだ。誤認逮捕の背景には、ハイテク犯罪に対する警察官の捜査能力に疑問を指摘する声も多い。ネット犯罪に巻き込まれた経験のあるフリーライター神田憲行氏が考察する。

 * * *
 今から15年ほど前になるが、「ネットアイドル」という女性たちを夕刊紙で連載していた。HPを立ち上げている女性にメールで連日取材申し込みをしていたある日、編集者からとんでもない電話が来た。

「神田さんが取材申し込みした女性から、変な人じゃないかって問い合わせが編集部に来てるよ」

 なんでも私が取材申し込みのメールを送ったあと、すぐ彼女のところに不審者からメールが届いたというのだ。私は取材申し込みのメールには私の自宅住所と電話番号のほかに、担当編集者の名前と電話番号も記していた。それで彼女は怯えて編集者に連絡したわけだ。

 編集者に間に入って彼女に誤解を解いてもらい、不審者からのメールを転送してもらった。このような文面だった。

《昨日、日刊新聞の記者と名乗る人物からメールをうけとったと思います。その人物は僕の友人で、悪巧みのためにあなたにメールしました。ネットアイドルとかの取材と偽り、みだらな行為をしその写真を無理やりとって、お金を要求するつもりです。ですから絶対この取材を受けてはいけません。断ってください。この忠告を信じずに来た場合は、僕はあなたを犯さなければならなくなります》

 もちろん根も葉もない中傷である。不思議なのは、なぜ不審者が私が彼女に取材申し込みのメールを送ったことを知っているのか、ということだった。取材申し込みは編集者も知らない、私と彼女だけが知っていることである。

 私か彼女のパソコンがハッキングされて、覗かれているのか。私のパソコンは元からウィルス・チェックソフトをインストールしていたし、念のため別のチェック・ソフトでスキャンしてもそれらしきプログラムは発見されなかった。変なサイトにアクセスした覚えもない。さらに今まで取材したネットアイドルの女性たち30人ぐらいに、恥を忍んで経過を説明して「あなたのところに不審なメールが来ていませんか」と問い合わせしたところ、全員から「来ていない」という返事が来た。今まで取材した中には匿名で自分のヌード写真をアップしている女性がいて、私のHDDには彼女の名前も連絡先も残っていた。もし不審者が私のパソコンを覗いているなら、そんな「お宝情報」を見逃すはずがない。

 不審メールを受け取った女性に心当たりがないか訊ねてみると、「知らない人からメールが来て添付ファイルをクリックしたがよくわからない」というではないか。しかも彼女はウィルス・チェックをかけていなかった。私からの連絡の後、彼女はその不審なソフトをアンインストールしたので「現物」は入手できなかったが、それがハッキングソフトだと思われた。

 警察に行くことにして、ネット問題を扱う弁護士をしている大学の先輩に相談すると、

「偽計業務妨害にあたると主張しろ。あと警察はネットのことなんか知らへんから、プレゼンテーションは丁寧に準備していけ」

 10ページくらいのプレゼンテーション資料を準備して、地元の所轄署に赴いた。被害相談で対応してくれた刑事は背中の筋肉が盛り上がり、肩周りががっしりした、いかにも「柔・剣道有段の猛者」という感じの人だった。

「失礼ですが、お巡りさんはネット関係はお詳しいですか」
「自分、切ったはった専門なんで、そっちはサッパリです」

 暴行や強盗事件ばかり追いかけている人に「ハッキング」とか説明してもわからない。プレゼンの途中から目がうつろになってきた「猛者」に、助っ人で今度は神経質そうな細身の刑事も加わったが、「ようするになんなの」と、被害者のはずが逆に責められる。それでも一応、「捜査」はしてくれることになった。

「捜査終了」を伝える電話は、10日ほどたった朝にかかってきた。

「サイバーポリスの佐藤と申しますが」

 サイバーポリスができたことも知っていたし、広報レベルで取材もしたことがあったが、本人と直接話をするのは初めてだ。職業的に思わず「下のお名前は」と聞くと「それはご勘弁」と言われた。彼の説明によると、不審者は海外のサーバーをいくつか通して、匿名アドレスが簡単に取得できるところからメールを送信しているという。「サーバーを叩いて」などの言葉遣いにプロっぽさを感じた。結局、サーバーを管理しているアメリカまで捜査員を派遣すればこの先まだ情報を得られるかもしれないが、そこまでは……というニュアンスだった。

 私のケースでは自分が被害者だったので所轄も話を聞いてくれて、サイバーポリスも動いてくれた。だがこれが被疑者だったらどうだろう。PC遠隔操作による誤認逮捕では、現場の刑事が強引な取り調べをしたことも原因のひとつのようだ。サイバーポリスのような専門家集団は別として、現場は15年前の「猛者」から進化していないのではないだろうか。
 
 
ソウル大融合科学技術大学院長(韓国大統領候補) 安 哲秀−「癒やし系」候補は日韓関係を癒やすか

プレジデント2012/11/10 1






 ソウル大融合科学技術大学院長(韓国大統領候補)安 哲秀(アン・チョルス)
1962年、釜山生まれ。ソウル大学医学部在籍中、コンピュータウイルス対策ソフトを開発。95年にソフト会社を起業し、ワクチンを無料配布して話題を集めた。その後米ウォトン・スクールでMBA取得。2008年大統領直属未来企画委員。11年より現職。

 きらきらしている。出馬表明演説の最後、「未来はすでにここにある。ただ行きわたっていないだけだ」と、SF作家のウイリアム・ギブスンの言葉を引用した。臆面もなく未来と希望を語り、対立候補に政策統合を呼びかける。引退した大統領が自殺したり投獄されたりしてきた韓国政治の陰湿さを微塵も感じさせない、青臭いまでの清潔さ、輝かしさが格差の底辺であえぐ若者たちの心をつかんだ。政治家としてはズブの素人でありながら、与党候補で韓国初の女性大統領候補・朴槿恵候補の前に立ちはだかる。

 釜山の裕福な医師家庭に生まれ、自らもソウル大学医学部で学位をとり医師となった。病院勤務の傍らアンチウイルスソフトを研究開発、退職してコンピュータセキュリティ企業アンラボを起業。米国でMBAも取得した。医師、起業家、経営者。10冊以上の著作も出版し、慈善活動家でもある。野党票を分ける民主統合党の文在寅候補と候補一本化で合意を得れば、ここに政治家の肩書が加わるはずだ。

 「既成政党政治からの脱皮」を掲げる点が共通していることから、一部日本メディアは「韓国の橋下徹」とも呼ぶ。しかし独裁的リーダーシップを訴える保守派の橋下氏とキャラクターは全く違う。安氏は育ちのよさを滲ませるインテリ然としたリベラル派の穏やかな言葉を使い、韓国メディアが「癒やし系」と形容するソフトな語り口で、「分裂より統合」「専門家を糾合する水平的リーダーシップ」を訴える。

 対北朝鮮政策も対話重視、盧武鉉時代に輪をかけた対北包容政策となる。当然、そのアマチュアリズムと軟弱さが危ういと評する声もある。だが、日韓関係の冷え込みに苦しむ日本にとっては、彼の未来志向こそ、関係改善の鍵と期待を寄せるのだ。
.
 
 
PC遠隔操作、米に捜査員派遣へ

TBS系(JNN) 11月10日
 遠隔操作ウイルスによる犯行予告メール事件で、警視庁など合同捜査本部が捜査員5人を来週、アメリカに派遣することになりました。

 この事件ではTBSと東京の落合洋司弁護士に真犯人を名乗る犯行声明のメールが届いていますが、このうち落合弁護士に送られたメールについてはアメリカのサーバーを経由して送られたことがわかっています。

 警視庁など合同捜査本部は現地のFBI・連邦捜査局や司法省に通信記録の開示など捜査協力を求め、送信元の特定を急ぐ方針です。
 
 
Windows 8 をセキュリティの観点で解説した技術白書を公開、トレンドマイクロ

japan.internet.com 11月10日




Windows 8 をセキュリティの観点で解説した技術白書を公開、トレンドマイクロ


トレンドマイクロは、Windows 8 を利用する上でのセキュリティについて解説した「ウイルスバスター クラウド×Window 8 技術白書」を公開した。

同書は、Windows 8 をより安全に利用できるように、セキュリティの観点で解説した技術白書。Windows 8 のシステム構造や強化されたセキュリティ機能を解説するとともに、「ウイルスバスタークラウド」と Windows 8 の連携についての説明も行っている。

また、Windows ストアで公開中の同社の無料アプリ「セキュリティ脅威マップ」「リモートアラーム」「あんしんブラウザ」についても説明している。
 
 
<PC遠隔操作>米に捜査員派遣…合同捜査本部

毎日新聞 11月9日


 ウイルスに感染したパソコン(PC)などから犯罪予告が書き込まれた事件で、警視庁などの合同捜査本部が、真犯人が送った犯罪予告や「犯行声明」メールの送信元などを調べるため、経由したサーバーがある米国に12日から捜査員5人を派遣することが分かった。

 捜査関係者によると、警視庁捜査1課の警視らが渡米。現地捜査当局の協力を得てサーバーの通信記録を調べる。犯罪予告や犯行声明は米国や欧州のサーバーを経由していたことが判明していた。
 
 
週明けにも米に捜査員派遣へ=犯行声明メールが経由―PC遠隔操作・合同捜査本部

時事通信 11月9日




 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、警視庁などの合同捜査本部は9日、東京都内の弁護士に届いた犯行声明とみられるメールが経由したサーバーのある米国に、12日にも捜査員を派遣する方針を固めた。
 弁護士やTBSに送られた犯行声明メールは、送信元の情報を残さない匿名化ソフトを使い、米国や欧州など複数の国を経由して送られたことが分かっている。合同捜査本部は現地当局と情報交換して通信記録の解析を進め、送信元の特定を急ぐ。 
 
 
トレンドマイクロ、Windows 8利用時のセキュリティ面での注意点を解説

Impress Watch 11月9日




 トレンドマイクロ株式会社は9日、Windows 8を利用する上でのセキュリティについて解説した「ウイルスバスター クラウド×Windows 8技術白書」を公開した。PDFファイルをトレンドマイクロのサイトで閲覧できる。

【拡大画像や他の画像】

 白書は、10月26日に一般発売されたWindows 8を使い始めるユーザーが、より安全にWindows 8を利用できるよう、トレンドマイクロがセキュリティの観点で解説したもの。Windows 8に新たに搭載されたセキュリティ関連の機能の紹介や、ユーザーインターフェイス(UI)の変更に伴う注意点などについてまとめられている。さらに、トレンドマイクロのセキュリティ対策ソフト「ウイルスバスター クラウド」とWindows 8の連携についての説明や、Windowsストアで公開中のトレンドマイクロの無料アプリも紹介している。

 9日には白書に関する説明会を開催し、トレンドマイクロマーケティング本部コンシューママーケティング部プロダクトマネジメント課シニアプロダクトマネージャーの塩田行宏氏が概要を説明した。

 塩田氏は、Windows 8で強化された点として、1)Windowsストアで配布されるアプリがサンドボックス化され、マイクロソフトによる審査と署名により“野良アプリ”は排除される、2)UEFIとELAMにより、OSの起動そのものとOS起動時に信頼できるプログラムシステムを起動し、不正プログラムのチェックが可能となる「セキュアブート」、3)インターネットからダウンロードしたアプリを実行する際にチェックする「SmartScreen」機能が、従来のInternet Explorer(IE)のみの実装からデスクトップレベルでの実装となり、ブラウザーによらず利用可能となった――といった機能を挙げ、セキュリティ面でも多数の強化が図られているとした。

 ユーザーがWindows 8を利用する際の注意点としては、Windows Updateはこれまでと同じように重要だが、Windows 8には接続している回線を自動判別する機能があり、3Gなどの従量課金回線ではアップデートが自動で行われないため、その点には注意する必要があるとした。

 Windows 8で取り入れられた新たな仕組みとしては、Microsoftアカウントとの連携が図られ、様々なクラウドサービスとも連動するようになったが、利便性が高くなる一方でアカウント管理の重要性は増すことになったとして、便利なサービスに直結しているアカウント情報の管理には引き続き注意が必要だとした。

 また、新しいUI上のIEではプラグインが基本的に動作しないため、プラグインを用いた不正な活動に対しては一定の安全性が保たれるが、一方でフィッシングサイトなど不正なサイトへの対策は引き続き必要だと説明。特に、新しいUIのIEでは全画面でコンテンツを表示するため、アドレスバーが基本的に常時見えない状態となっており、不審さに気付きにくいことが考えられるため要注意だとした。

 さらに、ソーシャルエンジニアリングを悪用した攻撃の場合は、OSに関係なくこれまでと同様に注意が必要だとして、すでにWindows 8をターゲットにした偽セキュリティソフトや、「Windows 8のプレミアム版」がダウンロードできると称したメールが出回るといった実例も出ていることを紹介。個人情報やID・パスワード情報を安易に入力しないことや、ソフトウェアは信頼できるサイトからダウンロードするといった、これまでと同様の注意が必要だとした。

 Windows 8では、従来はスパイウェアへの対策機能だけだった「Windows Defender」に、ウイルスなどマルウェア対策の機能が追加され、標準でも最低限の保護がされるようになった。また、セキュリティソフトが有効期限切れになった場合は、有効期限が切れているというメッセージを15日間ユーザーに表示した後、Windows Defenderのマルウェア対策機能を有効にするかをダイアログでユーザーに提示する形となっている。

 トレンドマイクロのWindows 8対応としては、最新版の「ウイルスバスター クラウド」がWindows 8に対応しており、新しいUIのIE10もサポートし、ウェブレピュテーションやURLフィルタリング、ペアレンタルコントロールなどの機能が利用できると説明。また、新しいOS機能もサポートし、ELAMによるOS起動時のスキャンにも対応する点をアピールした。

 旧バージョンのソフトでは、「ウイルスバスター2012 クラウド」はWindows 7からWindows 8へのアップグレードのみに対応し、Windows 8への新規インストールは不可能。「ウイルスバスター2011 クラウド」はWindows 8に非対応となっている。トレンドマイクロでは、契約期間中であれば最新版への無料バージョンアップを提供しているため、旧製品のユーザーには無料バージョンアップを利用してほしいとした。

 また、トレンドマイクロでは、セキュリティバスター クラウドと連携する「セキュリティ脅威マップ」、アプリをインストールしたマシンの位置を探すことができる「リモートアラーム」、リンク先の安全性を色別に表示するとともに不正なサイトへのアクセスをブロックする「あんしんブラウザ」の3つのアプリを現在Windowsストアで提供しており、Windows 8の新しいUIに対応した「パスワードマネージャー」アプリも11月中旬に公開予定となっている。

 さらに、Windows 8ユーザー向けに、ウイルスバスターのインストールやWindows 8の初期設定、データ移行を代行する有償サービスを12月初旬に開始する予定だとして、今後もWindows 8ユーザーを支援するサービスを提供していくとした。

 
 
バラクーダがWAFアプライアンスを強化、「ゆっくりDoS攻撃」に対策

@IT 11月9日



 バラクーダネットワークスジャパンは、Webアプリケーションファイアウォール(WAF)製品の新バージョン、「Barracuda Web Application Firewall(WAF)7.7」の販売を開始した。通常の通信を装ってWebサーバのコネクションを占有するDDoS攻撃への対策などを実装していることが特徴だ。

 Barracuda WAFは、SQLインジェクションやクロスサイトスクリプティング、クロスサイトリクエストフォージェリ、セッション改ざんといったWebアプリケーションを狙う攻撃からシステムを保護するアプライアンス製品だ。プロキシとして動作し、HTTP/HTTPSのトラフィックを精査してWebアプリケーションの脆弱性を突こうとする攻撃を検出する。

 WAFというと導入時にWebアプリケーションに合わせたチューニングが求められ、手間が掛かるもの、という印象を持たれることもある。しかしBarracuda WAFは、基本的にシグネチャに基づいて攻撃を検出するため、手間を掛けることなく導入、運用できる点がメリットという。シグネチャといっても、「機械的に判断するのではなく、攻撃パターンの情報に基づいて検出を行う。単純に『union』や『select』といった文字列で引っかけるものでもない」(同社 シニアセールスエンジニア 佐藤英治氏)。このため例えば「Union Jack」といった文字列で誤検知が生じることもないという。

 さらに、管理ツールだけでなく内部処理も日本語に対応。Shift-JISなどの文字コードを使っていると、バックスラッシュやパイプ、バッククォートといった特殊文字が誤って解釈され、攻撃がすり抜けてしまうことがあるが、Barracuda WAFではエンコードを指定することでこの種の問題に対処できる。

 バージョン7.7で加わった主な機能としては、DDoS対策が挙げられる。SYN Floodのような単純なDoS攻撃や、パスワードを総当たり式に破ろうとするブルートフォース攻撃はもちろん、正常な攻撃に見せかけてコネクションを占有し、Webサーバのリソースを浪費させようとするSlowloris、R.U.D.Y(R.U.Dead.Yet)、Slow Read DoSといった、これまでは対処の難しかった手法(同社はこれらを「スロークライアントアタック」と表現)も検出できる「アダプティブ・タイムアウト・アルゴリズム」を実装した。

 アダプティブ・タイムアウト・アルゴリズムでは、ウィンドウサイズを少しずつ縮めながら想定されるデータ転送量と実際のデータ量を比較。通常の通信か、それとも正常なアクセスに見せかけた攻撃かを見極める。「たまたまモバイル環境でアクセスしていて通信品質などが悪い場合と攻撃による通信とを見分けることができる」(佐藤氏)。

 ほかに、IPレピュテーション技術と連携し、アクセス元IPアドレス情報から割り出した地域情報に基づいてアクセスを制御できるようにした。また、アプリケーションごとのレートコントロールやSIEMツールとの連携などもサポートしている。

 Barracuda WAFには、スループットやハードウェア性能に応じて「360」「460」「660」「860」「960」の5モデルが用意されている。価格は、Barracuda WAF モデル 360が128万5000円から。サポートサービスの「エネルギー充填サービス」に加入している場合は無償でバージョン7.7にアップグレード可能だ。
.
 
 
アドビ、「Flash」「AIR」の深刻な脆弱性6件を修正する最新版リリース
1週間に2回目のアップデート、任意のコード実行など危険度は最高レベル
(2012年08月23日)



 米国Adobe Systemsは8月21日、「Flash」および「AIR」ランタイムに関連する深刻な脆弱性6件を修正した、それぞれの最新バージョンをリリースした。そのうち5件は、リモートから任意のコード実行を許す危険性があるという。

 Adobeのセキュリティ・アドバイザリによると、今回のアップデートで影響を受けるFlash/AIRは、Windows、Mac、Linux、Google Chrome、Androidに対応する各バージョンだ。

 メモリ破損を生じさせる3件の脆弱性(CVE番号:CVE-2012-4163、CVE-2012-4164、CVE-2012-4165)、および整数オーバーフローを起こす脆弱性(CVE-2012-4167)、クロスドメインの情報漏洩に関する脆弱性(CVE-2012-4168)が存在するという。

 Adobeでは、「今回のアップデートにより、システムが強制終了する、または攻撃者によって(不正に)制御される可能性のある脆弱性が修正される」と説明している。

 WindowsおよびMacユーザー向けのFlash Player最新バージョンは「11.4.402.265」、Linuxの最新版は「11.2.202.238」となる。またAdobe AIRランタイムについては、最新バージョン「3.4.0.2540」(Windows/Mac用)のインストールを推奨している。

 Adobeは1週間前にも、Flashの脆弱性(CVE-2012-1535)を修正するパッチをリリースしたばかりだが、その際同社はこの脆弱性を悪用した攻撃が一部に発生していることを確認したと明らかにした。攻撃を受けた場合Flashが強制終了する、また最悪のケースでは第三者にシステムをコントロールされる可能性があるという。

 この攻撃手法は、攻撃者が悪意のあるWord形式の添付ファイルを送信するもので、Windows版Internet Explorer(IE)のFlash Player ActiveX版が攻撃の対象だ。セキュリティ・ベンダーの米国Symantecが8月21日に発表した報告によると、8月10日以降、同脆弱性を利用した1,300件の攻撃を検知/防御したという。

(Jeremy Kirk/IDG News Serviceシドニー支局)

 
 
Adobe Reader X/XIのゼロデイ脆弱性を突くPDFエクスプロイトが出現

Computerworld 11月9日



 ロシアのセキュリティ企業であるGroup-IBは11月7日、サイバー犯罪者がバンキング・マルウェアをインストールするため、Adobe Reader XやXIのサンドボックス・セキュリティ機能を回避する新しいPDFエクスプロイトを使っていると報告した。

【詳細画像を含む記事】

 このゼロデイ・エクスプロイト(これまで知られていなかった未パッチの脆弱性を突くエクスプロイト)は、市販のWebベース攻撃ツールキット「Blackhole」を改変したバージョンに統合されていると、Group-IBは述べている。

 Group-IBの国際プロジェクト部門責任者で、同社のComputer Emergency Response Team(CERT-GIB)のCTO(最高技術責任者)を務めるアンドレー・コマロフ(Andrey Komarov)氏は、11月8日に電子メールで、このエクスプロイトは闇市場で推計3万~5万ドルで売られており、銀行の顧客を狙った標的型攻撃に使われていると説明した。だが、このエクスプロイトは理論上、一般的にサイバースパイ攻撃と関連しているAPT(Advanced Persistent Threat:高度かつ継続的な脅威)の拡散にも使われる可能性があるという。

 このエクスプロイトによる攻撃で最も興味深い点は、Adobe Reader XやXIのサンドボックス保護機能(「保護モード」や「保護されたビュー」)をすり抜けることだ。この保護機能はこれまで、任意のコード実行を可能にする既知のPDFエクスプロイトをブロックしてきた。

 さらに、この新しいエクスプロイトは、Adobe ReaderでJavaScriptサポートが無効にされている場合でも動作する。既知のAdobe Readerエクスプロイトの大部分は、悪意あるPDFファイルに埋め込まれたJavaScriptコードを使用する。このため、これらのエクスプロイトが動作するには、Adobe ReaderでのJavaScriptサポートが必要だ。

 コマロフ氏によると、新しいエクスプロイトは、Internet ExplorerやMozilla Firefox経由でAdobe Readerを狙う攻撃に使える。だが、このエクスプロイトを使ったGoogle Chrome経由での攻撃は失敗するとのことだ。同氏によると、Chromeは、Adobe Readerコンポーネントの保護機能を提供しているという。
(Lucian Constantin/IDG News Serviceルーマニア支局)


 
 
Windows 8をセキュリティの観点で解説した技術白書を公開(トレンドマイクロ)

ScanNetSecurity 11月9日


トレンドマイクロ株式会社は11月9日、「ウイルスバスター クラウド×Windows 8技術白書」を同日より公開したと発表した。本書は、マイクロソフトより10月26日に発売されたWindows 8を使い始めるユーザが、より安全に利用できるよう同社がセキュリティの観点で解説した技術白書。Windows 8のシステム構造や強化されたセキュリティ機能を解説するとともに、ウイルスバスター クラウドとWindows 8の連携についての説明や、同社がWindowsストアで公開している無料アプリ「セキュリティ脅威マップ」「リモートアラーム」「あんしんブラウザ」も紹介している。

他の写真を見る

Windows 8では、技術的にはWindows7の延長線上にあるWindowsのカーネルに、これまでと同じ環境の実行環境(Win32 環境)と併存する形で、新しいユーザインタフェースに対応したアプリの実行環境(WinRT)が存在し、WinRT/Win32は相互に直接関連することはできない。また、WinRTの実行系はサンドボックス(AppContainer)やマイクロソフトが事前にアプリを審査することから、従来のWindowsのアプリケーション環境と比較して、セキュリティリスクが軽減されたといえる。ただし、デスクトップのアプリケーションはこれまでと同様にOSカーネルなどへのアクセスが可能であるため、マルウェアのリスクも従来と同じく発生することが考えられる。

一方、マルウェア対応のための新しい機能ELAM(Early Launch Anti-Malware)が実装された。これにより、信頼される発行元から発行されたアンチマルウェアのためのフィルタドライバ(スキャンを行うドライバ)をOSの起動時に読み込むことで、アンチマルウェア機能をより早期の段階で有効化できる。トレンドマイクロは、Windows 8への対応の一環としてELAMドライバを提供することでOSの起動の初期にほかのドライバに対するスキャンを行うことが可能となり、一歩進んだマルウェア対策を実現している。本書ではこのほか、Windows 8のプロトコル解析や通信料制御機能、Windows Defenderの機能なども紹介している。
 
 
トレンドマイクロ、Windows 8のセキュリティ機能を解説する「ウイルスバスター クラウド×Windows 8技術白書」を公開

ITmedia PC USER 11月9日



 トレンドマイクロは11月9日、Windows 8を利用する上でのセキュリティについて解説した「ウイルスバスター クラウド×Windows 8技術白書」の無償公開を開始した。

 セキュリティの観点からWindows 8を解説したPDF文書で、Windows 8のシステム構造の基礎、およびセキュリティ機能について解説。また同社製セキュリティソフト「ウイルスバスタークラウド」との連携や、無料アプリ「セキュリティ脅威マップ」「リモートアラーム」「あんしんブラウザ」の紹介などもあわせて行われている。

 
 
トレンドマイクロ、「ウイルスバスター クラウド×Windows 8技術白書」

マイナビニュース 11月9日



<table border="0" cellpadding="0" cellspacing="1" class="Photo1" width="50"<img src="images/001.jpg" border="0">「ウイルスバスター クラウド×Windows 8技術白書」

トレンドマイクロは9日、Windows 8を利用する場合のセキュリティに関する技術白書「ウイルスバスター クラウド×Windows 8技術白書」を公開した。

「ウイルスバスター クラウド×Window 8技術白書」は、先月26日に発売された新たなOSであるWindows 8をセキュリティの観点から、より安全に利用するための解説書。Windows 8の強化されたセキュリティ機能、Windows Defenderのアンチマルウェア機能の分析、引き続き注意を要するセキュリティ上のポイント、同社セキュリティソフト「ウイルスバスター クラウド」のWindows 8上での動作などを日本語で解説している。
 
 
ネットバンク不正送金事件 預金者PCから「Zbot」ウイルス

フジテレビ系(FNN) 11月9日
インターネットバンキングのウェブサイトに偽の画面が表示され不正に現金が送金された事件で、預金者のパソコンから、「Zbot(ゼットボット)」とみられる種類のウイルスが検出されていたことがわかった。
この事件は、7つの金融機関のネットバンキングなどのウェブサイトに利用者がログインすると、暗証番号などの入力を求める偽の画面の表示が329件発生し、これに入力してしまった一部の利用者の口座から、現金が不正送金されていたもの。
警察庁によると、偽の画面が表示された複数の預金者のパソコンから、「Zbot」とみられる種類のウイルスや、それに類似したウイルスが検出されていたことがわかった。
警察当局は、ウイルスの解析を進め、不正送金との関連を調べている。.
 
 
必須! セキュリティ用語解説 第2回 遠隔操作ウイルス

マイナビニュース 11月9日



「遠隔操作ウイルス」とは、他人のPCへ不正に侵入し、外部から遠隔操作するウイルスのこと。同様の意味で「なりすましウイルス」とも呼ばれている。2012年、インターネット掲示板を通じて「遠隔操作ウイルス」に感染したPCから、犯罪予告の書き込みなどが行われる事件が発生。PCの所有ユーザーが次々と誤認逮捕されたことで、大きな社会問題となった。

「遠隔操作ウイルス」が登場したのは90年代末と言われており、脅威の手口としては特段目新しいものではない。いわゆる「BOT」と呼ばれる悪質なプログラムと同等の手口と考えていいだろう。PCが「BOT」に感染すると、第三者によって、犯罪予告の書き込みや迷惑メールの送信、コンピュータウイルスの配布、特定サーバーへの攻撃などが行われてしまう。つまり、自分の所有するPCが「踏み台」となって、さまざまな迷惑行為を拡散してしまうのだ。

2012年に発生した事件では、インターネット掲示板に書き込まれたリンクから無償ソフトをダウンロードしたことで、「iesys.exe」という名の「遠隔操作ウイルス」に感染した疑いが強いという。さらに犯人は、無作為に複数国のサーバーを経由する「The Onion Router(Tor)」と呼ばれる暗号化ソフトを使って遠隔操作を行ったとして、IPアドレスからの身元の特定を難しくしている。

「遠隔操作ウイルス」から身を守るためには、出どころが不明なURLのリンクを不用意にクリックしないことが重要だ。また、安全が確認されないフリーソフトは安易にファイルを開いたりダウンロードしたりしないようにしたい。すぐに行える対策としては、ウイルス対策ソフトを導入して定義ファイルを常に最新の状態に保つほか、セキュリティホールを修復するためにOSのアップデートを定期的に行うことが挙げられる。

「遠隔操作ウイルス」による一連の事件によって、さまざまなセキュリティの課題が浮かび上がった。自分の身を守れるのは自分しかいない。個人ユーザーにとっても、「遠隔操作ウイルス」の仕組みを理解したうえで、徹底したセキュリティ対策を施す必要があるだろう。

(オフィスマイカ)
 
 
遠隔操作の誤認逮捕、補償金支払いへ

TBS系(JNN) 11月9日



 東京地検が補償金を支払うことを決めました。

 パソコンの遠隔操作ウイルスによる誤認逮捕問題で、東京地検は誤認逮捕された福岡市の男性(28)について、補償金を支払うことを決めました。

 東京地検は男性に支払う金額は明らかにしていませんが、男性が勾留されていた27日間について最高で1日につき1万2500円を支払うということです。

 男性は、東京都内の幼稚園に脅迫メールを送ったとして警視庁に逮捕されていましたが、その後、真犯人を名乗る男がTBSなどにメールを送ってきたことで無実が証明され、嫌疑なしで不起訴処分となっていました。
 
 
「徹底検証と意識改革を」=圧力と絶望の中で「自供」−検察警察批判・少年の父親




 横浜市のホームページに小学校襲撃予告が書き込まれた事件で誤認逮捕され、保護観察処分が取り消された少年の父親は30日、「当人の強い否認にもかかわらず取り調べが続き、保護観察処分となった。このようなことが二度と起きないよう徹底的な検証と意識改革をすべきだと思います」とのコメントを発表した。
 父親はコメントの中で、「息子は警察、検察双方からの不当な圧力を受け、家族への配慮と自分の将来を考え、絶望の中で事実を曲げ『自分がやった』という自供をした。息子の心情を思うとやりきれない」などと記した。その上で「保護処分取り消しという結果にはなったが、逮捕されてからの息子本人と家族の苦悩と心の痛みは決して癒えることはありません」と心情をつづった。
 
 
ウイルス解析、一元管理=難事案は選抜職員に−警察庁




 コンピューターウイルスの解析体制を強化するため、警察庁は1日、不正プログラム解析センターを設置した。全国の警察が扱う解析をセンターが一元管理した上、能力に秀でた職員を選抜して難しい事案を任せる。
 昨年6月の法改正でウイルスの作成、提供、取得、保管を処罰できるようになったほか、4人の誤認逮捕を招いたパソコンの遠隔操作事件も発生。解析の重要性が増す中、情報を集め、「縦割り」を改めることで効率と迅速さを向上させる。
 ウイルスの解析はこれまで、管轄する各都道府県警が行い、警察庁には事後報告していた。難しい案件は解析に失敗した段階で同庁などに委託したため、時間も余計にかかっていた。
 1日からは全ての事案を一度センターに集約。難易度や類似性を見極めた上で割り振りを決め、データベースも構築する。また、優れた解析能力を持つ地方の職員を中旬までに10人程度選び、「解析官」に指定。高度な技術が必要な事案を、管轄に関係なく任せる。
 
 
裏付け捜査の徹底指示=誤認逮捕受け警察庁−乗っ取りウイルス




 遠隔操作ウイルスに感染したパソコンから書き込まれた犯行予告で4人が誤認逮捕された事件を受け、警察庁は7日、裏付けの徹底といった捜査上の注意点をまとめ、全国の警察に通達を出した。これまでもサイバー犯罪の担当部署には会議などで伝えていたが徹底されていないため、全ての捜査部門に文書で周知した。
 通達では、容疑者を特定する際、インターネット上の住所に当たるIPアドレスに頼り過ぎず、遠隔操作の可能性を想定。供述の信用性、アリバイや動機の有無、パソコンの操作能力を吟味し、裏付けを取るよう指示した。ウイルス感染の確認は、パソコン本体だけでなく周辺機器も対象とし、最新の対策ソフトを使うことも求めた。
 
 
福岡の男性に刑事補償=遠隔ウイルスで誤認逮捕―東京地検

時事通信 11月8日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、お茶の水女子大付属幼稚園に脅迫メールを送ったなどとして誤認逮捕され、嫌疑なしの不起訴処分とされた福岡市の男性(28)に対し、東京地検は8日、刑事補償する決定をしたと発表した。
 逮捕、勾留された容疑者を嫌疑なしの不起訴処分などとした場合、検察官は身柄拘束に対する補償をしなければならない。地検は補償額を明らかにしていないが、男性は27日間拘束されており、最高で33万7500円が支払われる。


 
 
流行語大賞 スギちゃんの「ワイルドだろぉ?」などノミネート

フジテレビ系(FNN) 11月8日


「2012ユーキャン新語・流行語大賞」の候補となる、50の言葉が明らかになった。それらの言葉は、2012年の日本を象徴する、さまざまなニュースとともにあった。
毎年12月に発表される流行語大賞。
その候補に選ばれた50個の流行語を街頭で予想してもらうと、「スマホとか、そういう。iPhoneとか。iPhone 5」、「やっぱり、中国との問題が一番気になります」、「オバマ大統領の再選が、つい最近のことで、印象に残っています」などの声が聞かれた。
フジテレビ報道センターの各部署に、2012年の流行語を聞いてみた。
事件・事故などを扱う社会部の上野浩之デスクは「ことしの社会部のワードは、オウム特別手配犯逮捕にともなう『オウム事件の解決』と、他人に『なりすまして脅迫メール』を送るという、新たな『サイバー犯罪』の発生です」と話した。
「なりすまし」は、「遠隔操作ウイルス」としてノミネートされた。
このほか、気象庁が新たな表現として使い始めた、「これまでに経験したことのないような雨」や、「爆弾低気圧」がノミネートされた。
そして、こちらも明るいニュースが決して多くはなかった経済部。
経済部の大山 泰部長は「反日デモなどで、これまでとは違う状況に入ったと思われる『チャイナリスク』です。ことしの9月以降は、日本製品とか、日本の企業に対する感情的な反感など、そういうのも出てきてしまったので、ちょっとこれまでとは違う、中国のリスクというものは、日本経済にとっても、すごく大きなものとなってきたというふうに思っています」と話した。
「チャイナリスク」はノミネートされず、さらに、意外にも「尖閣・竹島問題」などもノミネートされなかった。
代わりに、2012年に一気に増えた格安航空会社の「LCC」や「原発ゼロ」がノミネートされた。
そして、政治部の三嶋唯久デスクは「政治部のことしの流行語は、『近いうち』。野田総理が近いうち解散を表明して、きょうで、ちょうど3カ月になるんですが、この間、この解散の時期をめぐって、激しい攻防が続いてきました。しかし、いまなお『近いうち』は『近いうち』です。そして、もう1つの流行語『第3極』。解散をにらんで、こちらも目が離せません」と話した。
「近いうち」とはいつなのか、年末に向けても、さらに一波乱ありそうな政局。
「近いうちに解散」、「第3極」のどちらもノミネートされた。
そして、「決められない政治」や、さらに、第3極の鍵を握るといわれている「維新の会」もノミネートされている。
2012年に行われたロンドンオリンピックからは、北島康介選手(30)を思い、松田丈志選手(28)が言った「手ぶらで帰らせるわけにはいかない」がノミネートされた。
そして、銅メダルを獲得した入江陵介選手(22)が語った「もっといい色のメダル」も、ノミネート。
ボクシングの村田諒太選手(26)の「金メダルに負けない人生」も、ノミネートされた。
一方、街で聞いて一番多かった答えは、お笑い芸人スギちゃんの「ワイルドだろぉ?」だった。
11月8日は「いい歯の日」ということで、「ベストスマイル・オブ・ザ・イヤー」に選ばれたスギちゃん。
流行語大賞にノミネートされたことについて、スギちゃんは「(流行語大賞にノミネートされたが?)絶対にとってやるぜぇ、ワイルドだろぉ。さっき、ほかの(候補を)見たんですけど、とれるぜ!! (ノミネートされると、翌年消えるというジンクスがあるが?)それを覆さないように頑張るぜ...。消えてやるぜ」と話した。
芸能界からは、ローラさんの「オッケ〜」もノミネートされた。
そして、自立型鉄塔として世界一の高さを記録し、予想を大幅に超える入場者数を記録した「東京スカイツリー」は、意外にもノミネートされなかった。
代わりに、スカイツリーに併設された商用施設「東京ソラマチ」は、ノミネートされた。
2012年にノミネートされた言葉を見た街の人は「あ、スカイツリーないんだ...」と話した。
もちろん、ノーベル賞を受賞した「iPS細胞」、そして、世紀の天体ショーとなった「金環日食」なども、ノミネートされた。
まさしく、その年の世相を反映する流行語。
2012年の大賞をとるのはどの言葉なのか、注目の発表は12月3日となっている。

 
 
2012年の新語・流行語大賞候補が発表、「遠隔操作ウイルス」「ステマ」も

Impress Watch 11月8日



 株式会社ユーキャンと株式会社自由国民社は8日、「2012年『現代用語の基礎知識』選 ユーキャン新語・流行語大賞」の候補となる50語を発表した。ITやネット関連では「遠隔操作ウイルス」「ステマ」「ソー活」「いいね!」などが選ばれている。大賞およびトップ10の発表は12月3日に行われる。

 時事用語年鑑「現代用語の基礎知識」で知られる自由国民社が1984年から主催しているイベント。2011年の年間大賞は「なでしこジャパン」だった。

 今回発表された2012年の候補は「オスプレイ」「原発ゼロ」「iPS細胞」などのニュース用語のほか、「ワイルドだろぉ?」「金メダルに負けない人生」「東京ソラマチ」「金環日食」など、さまざまなジャンルから選ばれた。

 ネット関連では「ネトウヨ」「ナマポ」「キンドル」も候補に挙がっている。

 
 
ネットバンキング不正、情報をウクライナに送信

読売新聞 11月8日





ゆうちょ銀行のサイトで表示される偽画面と改ざんされたプログラムの一部(画像は一部修整しています)


 インターネットバンキングのサイトに偽の画面を表示して識別情報を打ち込ませる不正送金事件で、ゆうちょ銀行で使われたウイルスは、盗み出した情報をウクライナ国内のサーバーに送信する仕組みになっていたことが情報セキュリティー会社の解析でわかった。

 また、このウイルスは、クレジットカード情報を盗む偽画面にも簡単に作り替えられる構造になっていることも判明。専門家は「今後、この手口が様々な金融サービスで悪用される恐れがある」と警戒を呼びかけている。

 情報セキュリティー会社「セキュアブレイン」(東京都)が、ゆうちょ銀行を狙ったウイルスを解析した。

 同行のネットバンキングでは、このウイルスに感染したパソコンでログインすると、「詐欺を防ぐために、我々はあなたの身分を確かめなければいけません」とのメッセージとともに偽画面を表示。「子供の頃に憧れた人の名前は何ですか?」など三つの質問に対する合言葉とインターネット用の暗証番号の入力を求められる。

 解析の結果、合言葉や暗証番号を入力後、「完了」ボタンをクリックすると、その情報が暗号化されて外部送信される仕組みであることが判明。送信先のIPアドレス(ネット上の住所)はウクライナ国内のサーバーのものだったが、既にそのサーバーはアクセスできない状態になっていた。
 

 <サイバー捜査>ウイルス感染も視野に 警察庁が全国通達       毎日新聞 11月7日



 遠隔操作されたパソコン(PC)などから犯罪予告が書き込まれ4人が誤認逮捕された事件を受けて、警察庁は7日、容疑者を特定する際、IPアドレスに過度に依存せず、コンピューターウイルスの感染なども視野に慎重な裏付け捜査をするよう全国に通達した。

 一連の事件では、IPアドレスに頼った捜査の問題やサイバー関連の知識・技術力の向上の必要性が指摘されている。警視庁など4都府県警が捜査の検証を進めているほか、警察庁などはサイバー犯罪捜査の強化策を検討している。

 サイバー犯罪捜査は通常、各警察本部の生活安全部門の専門部署が担当。解析などを情報技術部門が支援し、犯罪予告による威力業務妨害事件などは刑事部門も捜査を行う。4都府県警の捜査はそれぞれ、普段は殺人事件や少年事件を担当する部署が行った経緯もあり、今回の指示は全ての捜査部門が対象。サイバー犯罪について、全捜査部門に向けた通達を出すのは初。

 通達では、捜査対象者のPC操作技能や動機の有無などの観点からも供述内容を検討するなど裏付け捜査の徹底を求めた。解析については、PCに限らずUSBといった外部記録媒体などを含めて実施し、最新のウイルス対策ソフトも活用するとした。
 

 さまざまなネット上の脅威が改めて注目された10月--脅威レポート(トレンドマイクロ)        ScanNetSecurity 11月7日


トレンドマイクロ株式会社は11月7日、2012年10月度の「インターネット脅威マンスリーレポート」を発表した。10月度の脅威状況では、多数のサイバー犯罪に関連した報道がなされ、さまざまなネット上の脅威が改めて注目された。不正プログラムの遠隔操作によって掲示板に犯罪予告を書き込まれたとみられる事件や、スマートフォンの不正アプリによる情報詐取、ネットバンキングを狙った不正プログラムに関連したニュースが連日報道され、多くのユーザの関心を集めている。同社では、遠隔操作で犯罪予告を行う不正プログラム「BKDR_SYSIE.A」の専用駆除ツールを10月18日に公開した。実際の検出はほとんどないものの、10月末までのダウンロード数は2万件を超えた。

一方、複数の企業あてに内閣府を装ったメールにバックドア型不正プログラムを添付されて送信された事例や、「Skype」のインスタントメッセージで広がる「WORM_DORKBOT.DN」が多数検出されている。WORM_DORKBOTは「これはあなたのプロフィール写真ですか?」というメッセージ内のURLをクリックすると不正プログラム本体がダウンロードされ感染する。実行されるとネットバンキングやソーシャルメディアなどのログインパスワードを収集する。感染を広げるためのメッセージは少なくとも18言語が確認されている。

日本国内の不正プログラム検出状況では、Skypeのインスタントメッセージで拡散するWORM_DORKBOT.DNが8位にランクインしている。全世界の不正プログラム検出状況では、国内1位の「ADW_GAMEPLAYLABS」が世界でも3位にランクインした。日本国内の問い合わせ状況では、5位にランクインしている「BKDR_POISON」は、内閣府を装ったメールに添付されるファイルを実行すると感染する。ファイルを実際に開いてしまったというユーザの報告も受けているという。
 
 
Kindsight Security Labs調査】


世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染
米国単独で68万5,000のホーム・ネットワークが感染        (2012年11月05日)



 2012年第3四半期では、北米におけるホーム・ネットワークの約13%がマルウェアに感染し、その半数は“深刻”な脅威であるという。フランスの通信システム企業、Alcatel-Lucent傘下のセキュリティ企業、Kindsightが明らかにした。

 Kindsight Security Labsでは、この数値は前四半期の14%からわずかに改善が見られたとしている。

 サービス・プロバイダーから集計した情報から、Kindsightは、ホーム・ネットワークの6.5%がボットやルートキット、銀行系トロイの木馬といった高リスクの脅威に感染していると報告した。

ZeroAccessボットネット

 報告書の推計によると、世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットによって制御されるマルウェアに感染している。米国単独で68万5,000のホーム・ネットワークが感染しているという。

 Kindsightのセキュリティ・アーキテクト兼ディレクターのケビン・マクナミー(Kevin McNamee)氏は「ZeroAccess.netは著しい成長を遂げ、今年もっとも活発なボットネットになっている」と声明で述べた。


世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染

 マクナミー氏は続けて「サイバー犯罪では主に、感染PCを乗っ取りクリック詐欺を行うために利用されている」と述べ、「ZeroAccessを使えば、人の行動を模倣し、クリック詐欺を仕掛けることができる。これが数百万ドルの詐欺へとつながる」と語った。

 Kindsightでは、オンライン広告業者はZeroAccessによる詐欺によって、毎日90万ドルの損失を被っていると推計している。

サイバー犯罪者らの収益源

 リポートによると、スパム、広告クリック・マルウェア、銀行系トロイの木馬、ID窃盗、偽セキュリティ・ソフトウェアは、サイバー犯罪者らにとって大きな収益源になっているという。

 Kindsightはまた、第3四半期にAndroidマルウェアのサンプル数が165%増となったと報告する。しかしながら、スパイウェア・アプリやマルウェアの成長にもかかわらず、大規模なマルウェア流行には至っていないという。

 Kindsightによると、“積極的なアドウェア(Aggressive Adware)”はAndroid市場において、引き続き問題となっている。全モバイル端末のうち3%がこうした何らかのソフトウェアに寄生されていると推定している。

 積極的なアドウェアを取り除くためのセキュリティ・ソフトウェアが市場に出回ってきているが、こうした問題を軽減するのにどれほど効果的からまだ分からないとリポートでは述べている。

 Windows環境においても、これまでにスパイウェア問題を解決するため、同様の取り組みがあった。しかしながら、Androidの環境では状況が異なるようだ。「AndroidとWindowsとの環境の違いは、AndroidではアプリがGoogle Play App Storeで配布されている点だ。こうしたストアでは合法的に見えてしまう」とリポートは述べる。

 
 
3QにAndroidマルウェアが急増、グーグルによる対策の効果は限定的      Computerworld 11月7日



 米国GoogleのモバイルOS「Android」は、2012年に公式アプリ・ストアのセキュリティ対策が進んだが、同OSを狙った脅威は依然として世界的に急増している。フィンランドのF-Secureが11月5日に発表した第3四半期のモバイル脅威レポートでわかった。

【詳細画像を含む記事】

 レポートによると、F-Secureは第3四半期にAndroidマルウェアのサンプルを5万1,447件検出した。第2四半期の5,000件超、第1四半期の3,000件程度と比べて顕著な増加となっている。

 また、第3四半期に見つかったこれらのAndroidマルウェア・サンプルから、Androidマルウェアの新しいファミリーと既存ファミリーの新しい亜種が合計42種類特定された。このことは、同じ種類のマルウェアを使って行われる攻撃の数が大幅に増えたことを示している。

 F-Secureは、Androidマルウェア・サンプルの検出数の急増は、Androidスマートフォン・ユーザーが世界的に急速に増え続けていることの結果かもしれないと説明している。例えば、第2四半期に米国を抜いて世界最大のスマートフォン市場となった中国では、Androidスマートフォンは81%の市場シェアを占めていると、同社は述べている。

 Googleは2012年、Androidアプリ・ストア「Google Play」(3月に「Android Market」から改称された)のセキュリティ対策を強化するため、Google Playアプリをスキャンしてマルウェアを検出する「Bouncer」システムを導入し、一定の成功を収めた。しかし、Androidアプリを入手できるサイトはほかにも多数あり、攻撃者はそれらを使ってマルウェアをばらまいている。

 F-Secureは、Android市場の拡大に伴い、安全性の低いサードパーティ・アプリ市場も拡大しており、このことも、第3四半期にマルウェア・サンプルの検出数が大幅に増えた一因かもしれないと述べている。

 さらにF-Secureは、第3四半期に検出された新しいAndroidの脅威の過半数は、SMS送信か、あるいは感染デバイスで見つかった情報の悪用により、利益をあげるように設計されていると報告している。また、Androidマルウェアは、モバイル・マルウェアの66%を占めているという。

 Androidマルウェアは、不正なアプリ配布サイトが多いと見られている中国やロシアのユーザーだけが心配すべき問題ではない。英国では5月にラトビアの企業が、人気ゲーム「Angry Birds」などを装う“ラッパ”アプリでユーザーをだましたとして罰金を科された。SMSメッセージを使ったこの企業の手口にだまされたスマートフォン・ユーザーは1,400人近くに達した。

 一方、F-Secureは、世界市場で4.4%のシェアを占めるにすぎないSymbianデバイスを狙ったマルウェアが、モバイル・マルウェアの30%程度を占めることも報告した。第3四半期に検出されたSymbianマルウェアの新しいファミリーと亜種は21種類で、第2四半期より17%増えたという。
(John E Dunn/Techworld.com)

 
 
Skypeワームや内閣府を装うメール攻撃が多発――トレンドマイクロ      ITmedia エンタープライズ 11月7日



内閣府を装うメール


 トレンドマイクロは11月7日、10月度の「インターネット脅威マンスリーレポート」を発表した。Skypeで拡散するワームや内閣府を装ったサイバー攻撃の検出が目立ったという。

 Skypeで拡散するワーム「WORM_DORKBOT.DN」は、インスタントメッセージを通じて感染する。ユーザーに「これはあなたのプロフィール写真ですか?」という英文などのメッセージとURLが通知され、このリンクをクリックすると、WORM_DORKBOT.DNが仕掛けになっていた。これを実行してしまうと、オンラインバンキングやソーシャルメディアなどのログインパスワードが盗聴されてしまうという

 一方、内閣府を装うサイバー攻撃は、送信元が内閣府に偽装されて複数の企業に送り付けられた。メールには「エネルギー.zip」というファイルが添付されていたが、実際にはバックドア型不正プログラムだった。

 同社では10月18日に、「遠隔操作ウイルス」事件で使われた不正プログラム「BKDR_SYSIE.A」を駆除する専用ツールを公開。実際に検出されたケースはほとんど無かったという。
.
 
 
シマンテックの複数のウイルス対策製品に脆弱性、アップデートを呼びかけ(JVN)        ScanNetSecurity 11月7日



独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は11月6日、Symantec製の複数のアンチウィルス製品にCABファイルの処理が原因で脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

「Symantec Endpoint Protection 11」および「Symantec Scan Engine 5.2」には、CABファイルの展開時に使用されるコンポーネントに脆弱性(CVE-2012-4953)が存在する(その他のSymantec製品も本脆弱性の影響を受ける可能性がある)。この脆弱性が悪用されると、リモートの攻撃者にSYSTEM権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに製品をアップデートするよう呼びかけている。
 

 上半期 サイバー犯罪多かったのは      2012.08.17





最新クレジットカードランキングcreditcard.zaitsu-labs.com日本最大級クレジットカード比較!自分に最適なカードが必ず見つかる!自動車保険比較でプレゼントinsurance.rakuten.co.jpどれを選ぶ!?マックカード、図書カードなど4種から選べるプレゼント
インタレストマッチ - 広告掲載について


警視庁「情報セキュリティ広場」では、全国各地の「サイバー事件簿」も
※この画像はサイトのスクリーンショットです

警視庁は14日、「2012年の サイバー犯罪対策課 相談受理状況(上半期)」を公表した。

それによると、上半期に一番多かった相談は「詐欺・悪質商法等による被害に関するもの(インターネットオークションを除く)」(35.9%)で、2位は「名誉毀損・誹謗中傷、脅迫、個人情報の流布に関するもの」(20.6%)、

3位は「不正アクセスによる被害、ネットワークセキュリティ、ウィルスによる被害に関するもの」(9.4%)だった。

一番相談が多かった詐欺のなかで、警視庁は、振り込め詐欺及び振り込め類似詐欺についての警告ページを設けており、詐欺の手口や対策などを一覧にしている。そのなかで公開されている被害状況によると、振り込め詐欺のなかで「オレオレ」詐欺は昨年7月末に比べて24%減っているものの、「還付金等」詐欺が昨年7月末の約63倍と大幅に増加。手口の変化が見られた。

また、「振り込め詐欺」の被害額は昨年よりも28.6%増の26億2110万円。未公開株、ギャンブルなどの「振り込め類似詐欺」では昨年の約4.6倍の13億3680万円となっている。

なお、警視庁のサイバー犯罪対策課では、サイバー犯罪についての相談や情報提供を電話やメールで受け付けている。ただ、相談窓口への連絡は被害届にならないため、実際に被害にあった場合は、地元警察署を訪れる必要があることに注意したい。

 
 
判別困難なマルウェア予防策は?      web R25 11月7日




太陽光で充電できる!と謳いつつ、実は個人情報を収集していたマルウェア『Power Charge』(画面左)。ご丁寧にニセのユーザーレビューページまで用意されていた(画面右) ※画像提供:トレンドマイクロ


スマートフォンの劇的な普及に比例し、ますます身近な脅威となってきたのがマルウェア(悪意あるプログラム)による被害。電話帳など個人情報がたっぷりと詰まっているだけに、マルウェアを使ってしまった場合の被害は、パソコン以上に深刻化する可能性が高い。

「弊社の調査によると、Android端末を標的としたマルウェアは、2012年9月時点で累計17万5000種も確認されています。『バッテリーの持ちが良くなる』など、実用アプリを装ったものが最近のトレンド。Facebook経由で、マルウェアのダウンロードへと導くURLが出回ったほか、『Google Play』のような公式マーケットでも、マルウェアが確認されているため、今後はより一層の注意が必要でしょう」(トレンドマイクロ/鰆目順介氏)

「あやしいサイトのアプリをダウンロードしない」「そのアプリに関する評判を事前に検索する」といった用心なら誰でもできるが、公式マーケットのアプリにもマルウェアが含まれているとなると、素人が危険性をかぎ分けるのは難しそう。とはいえ、鰆目氏によれば、インストール前のちょっとした確認が、マルウェアの被害予防につながるという。

「インストール前にアプリがどのような振る舞いをするかを教えてくれる画面(『許可(アクセス許可)』という項目があるページ)が表示されます。バッテリーの持ちを良くするアプリなのに、連絡先データや端末の各種情報の読み取りを求めるなど、不自然な記述がある場合は要注意。<個人情報>や<電話/通話>などの項目に、アプリの概要からは考えにくい振る舞いが書かれていたら、マルウェアの可能性が高いといえます」

とはいえ、こうした項目の確認だけでは判断できないマルウェアもある。また、Webページを利用した詐欺行為などマルウェア以外の脅威も増えているため、やはりセキュリティ対策アプリを導入するのが無難。マルウェアの被害に遭うと、知人や会社関係にも迷惑をかけるおそれがあるだけに、少なくともアプリをインストールする前の確認くらいはしておくべきだろう。
 
 
なりすましウイルス 安倍総裁殺害予告、自民党HPにも15件       産経新聞 11月6日



 警察庁などのホームページ(HP)に10月、自民党の安倍晋三総裁の殺害予告の脅迫メールが相次いだ事件で、同党のHPにも同月1〜17日に同様の書き込みが15件あったことが6日、捜査関係者への取材でわかった。警察庁などのHPには同月30〜31日に新たに8件の殺害予告があり、安倍総裁への殺害予告は計65件に上っている。

 また、殺害予告と同じサーバー経由で個人が開設しているブログにも「子供を殺してやる」などの書き込みが4件あったことが判明。警視庁捜査1課は同一犯とみて調べている。

 同課は送信元を特定し、今月1日に20代の男性と両親が使用していた5台のパソコン(PC)を押収。その後は殺害予告は届いていないという。PCを使用していた3人は関与を否定しており、同課はPCがウイルスに感染し、遠隔操作されていた可能性もあるとみている。

 
 
トレンドマイクロ、「ウイルスバスター2012 クラウド」の更新プログラムを公開        Impress Watch 11月6日



 トレンドマイクロ(株)は6日、セキュリティソフト「ウイルスバスター2012 クラウド」を対象としたアップデートプログラムの配布を開始した。本ソフトの自動アップデート機能を介して順次配信される予定。なお、アップデート完了後にWindowsの再起動が必要になる場合があるとのこと。

 今回配信されるアップデートプログラムを適用することで、「ウイルスバスター2012 クラウド」がWindows 8に対応する。また同梱の「Trend ツールバー」がIE10および「Firefox 14」に対応する。なお執筆時現在「Firefox」の最新版はv16.0.2。

 そのほか、ウイルス検索エンジンおよびトロイの木馬検索エンジンのアップデートが行われる。
 

 【レポート】「濡れ衣を着せられないよう自己防衛を!」− IPAの今月の呼びかけ

マイナビニュース 11月5日




IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、すでにご存じの方も多いと思うが、いわゆる"なりすまし"による犯罪予告や脅迫などが、本人の意思と無関係に行われた遠隔操作ウイルスを取り上げている。これまでも、ウイルス感染により、踏み台にされたり、事件の濡れ衣を着せられてしまう危険性を指摘してきたが、まさにそれが現実の脅威となったといえるだろう。

【拡大画像や他の画像】

○どうして感染したか?

このウイルスは、外部から遠隔操作を行うものである。IPAによれば、図1のステップで感染が行われたとのことである。

ステップ【1】ウイルス配置
攻撃者は、誰でもアクセスが可能なインターネット上のサーバーにウイルスを仕込んだフリーソフトを配置。この際に、追跡を困難にするため、複数のサーバーを経由する。ステップ【2】誘導の書き込み
さらに、多くのユーザーが利用する掲示板(2ちゃんねるなど)に、ユーザーからの要望に応えるふりをして、【1】のアドレスを書き込む。ここでも、追跡を困難にするために、複数のサーバーを経由する。ステップ【3】閲覧、ダウンロード
掲示板の攻撃者の書き込みを読んだユーザーは、リンク先からフリーソフトをダウンロードする。この時点では、感染は発生していない。ステップ【4】実行
ダウンロードしたフリーソフトを実行することで、遠隔操作ウイルスに感染。
○遠隔操作の仕組み

上述のように、ユーザーのPCに感染した遠隔操作ウイルスが、実際にどのような活動をするかを説明したのが、図2である。こちらもステップごとに解説しよう。

ステップ【1】指令の書き込み
攻撃者が別の掲示板に、ウイルス感染PCへの指令となる文字列を書き込む。ここでも攻撃者は、追跡を困難にするために複数のサーバーを経由していると推察される。ステップ【2】指令の読み取り
遠隔操作ウイルスは、定期的に指定された掲示板をチェックする。ステップ【3】指令の実行
攻撃者からの指定の文字列を発見すると、指令を実行する。
○IPAによるウイルスの簡易調査

IPAでは、同じ遠隔操作を行うウイルスchikan.zipを入手し、その解析を行った。その結果が、図3である。

chikan.zipであるが、文字置換を行うソフトとしてアップロードされていた。ダウンロードして解凍すると、

・chikan.exe
・data

の2つのファイルが現れる。ここで実行形式のchikan.exeを実行すると、さらに

・iesys.exe
・cfg.dat

の2つのファイルが生成される。ここで、2つの活動を行う。

・解凍されたchikan.exeを削除
・解凍されたdataをchikan.exeにリネーム

iesys.exeが、遠隔操作ウイルスの本体である。iesys.exeは、cfg.datに記録された掲示板を読みにいく(図2のステップ【2】を行う)。当然のことながら、攻撃者はiesys.exeが参照する掲示板を知っているので、掲示板に書き込みを行うことで、感染したPCが犯罪予告や脅迫文を書き込む(図2のステップ【3】)。

さらに、注目したいのが、cfg.datは、攻撃者によって任意に書き換えることができることだ。つまり、参照先を変更しウイルスを別のユーザーにダウンロードさせることで、攻撃者は対象者を特定した形で、用途と目的に応じて指令を出すことが可能となる。また、リネームされたchikan.exeは、文字変換を正しく行う。これにより、ユーザーがウイルスに感染したことを気付かせないようにしている。

○ウイルスに感染しないための対策は?

IPAでは、今月の呼びかけの冒頭で「ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます」としている。実際の被害、そして感染経路などを分析すると、まさに基本的な対策こそが求められているといえよう。では、その具体策である。

・出所不明なファイルはダウンロードしない
・安易にURLなどのリンクをクリックしない

改めて、これらについて説明することもないであろう。しかし、再度、図1に戻ってほしい。掲示板で「こんなソフトはないですか?」という質問に対し、攻撃者の「これでどうですか」という答えとリンク先に騙されてしまったのである。誰しも親切に回答をもらえば、疑いを持つことは難しいであろう。しかし、そこが落とし穴であり、IPAが「原点」という理由が存在するのである。さらに、

・脆弱性の解消
・セキュリティ対策ソフトの導入し、つねに最新の状態に保つ

といったことも行うべきである。また、パーソナルファイアウォールを設定することで、このような攻撃者からの指令を防ぐこともでき、ウイルスの存在に気が付く可能性もあるとのことだ。また、iesys.exeは自身を消去する機能を持っていた。消去することで、外部からの遠隔操作である証拠すら残さないのである。逆にいえば、ユーザーが犯行予告や脅迫を行ったと判断されてしまうのである。これについては、Windowsファイアウォールや、セキュリティ対策ソフトのログ機能などを用いることである程度の記録を残すこともできる。可能な限り対策をしておきたい。

(c-bou)

 
 
ネットバンキング利用者を狙ったウイルスを確認、警察庁が注意を呼び掛け

Impress Watch 11月5日



 警察庁は4日、インターネットバンキングの利用者を狙い、不正な入力画面を表示して情報を入力させようとするウイルスを検出したとして、利用者に注意を促した。

 このウイルスは、利用者がインターネットバンキングの正規のページからログインすると、「システムのメンテナンスや機能の向上のためにお客様情報の再入力をお願いします」といった記載とともに、第二暗証番号や質問、合言葉、インターネット用暗証番号などの入力フォームを表示するもの。

 不正な入力画面の表示が確認されているのは、金融機関が住信SBIネット銀行、みずほ銀行、三井住友銀行、三菱東京UFJ銀行、ゆうちょ銀行、楽天銀行の各行、クレジットカード会社が三菱UFJニコス。各金融機関などには、11月2日19時現在で、288件の相談などが寄せられている。

 警察庁の不正プログラム解析センターでは、利用者のPCを解析した結果、不正な入力画面を表示するとみられるウイルスを検出した。また、当該ウイルスは、マカフィーの「トータルプロテクション」、シマンテックの「ノートンインターネットセキュリティ」、カスペルスキーの「アンチウイルス2013」で、それぞれ最新の定義ファイルに更新した状態で駆除可能であることが判明したとしている。シマンテックでは、該当ウイルスは「Trojan.Zbot」として検出することが確認できたという。

 警察庁では、1)ウイルス対策ソフトによりウイルスを駆除すること、2)不審なサイトにアクセスしないこと、見に覚えがないメールのURLはクリックしないこと、3)不必要なプログラムや信頼のおけないサイトからプログラムをダウンロードしないこと、4)不正な入力画面などが表示された場合は、個人情報を入力せず金融機関などに通報すること――の4点を利用者に講じてもらいたい対策として呼び掛けている。
 
 
送信元PC2台から遠隔操作ウイルス検知せず 安倍自民総裁への脅迫メール事件 

産経新聞 11月5日



 警察庁などのホームページに10月、自民党の安倍晋三総裁の殺害予告メールが相次いで送られていた事件で、警視庁捜査1課が送信元から押収したパソコン(PC)5台のうち2台からは、遠隔操作ウイルス事件で使われたウイルス「iesys.exe(アイシス・エグゼ)」が検出されなかったことが5日、捜査関係者への取材で分かった。

 2台は送信元の20代男性が常時使用し、そのうち1台は約1カ月前にネット掲示板で無料ソフトを取り込んだところ、PCの動作が遅くなったという。同課は、ほかのウイルスに感染し遠隔操作されたか、感染後に削除された可能性もあるとみて調べるとともに、残りの3台の解析も進める。

 捜査関係者によると、送信元は男性と両親の3人暮らし。3人は「身に覚えがない」と関与を否定しているという。

 アイシス・エグゼは誤認逮捕された大阪や三重の男性のPCから見つかり、「真犯人」を名乗る犯行声明でも「私が一から開発した」と言及されていた。

 
 
世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染

Computerworld 11月5日




世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染


 2012年第3四半期では、北米におけるホーム・ネットワークの約13%がマルウェアに感染し、その半数は“深刻”な脅威であるという。フランスの通信システム企業、Alcatel-Lucent傘下のセキュリティ企業、Kindsightが明らかにした。

【詳細画像を含む記事】

 Kindsight Security Labsでは、この数値は前四半期の14%からわずかに改善が見られたとしている。

 サービス・プロバイダーから集計した情報から、Kindsightは、ホーム・ネットワークの6.5%がボットやルートキット、銀行系トロイの木馬といった高リスクの脅威に感染していると報告した。

ZeroAccessボットネット

 報告書の推計によると、世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットによって制御されるマルウェアに感染している。米国単独で68万5,000のホーム・ネットワークが感染しているという。

 Kindsightのセキュリティ・アーキテクト兼ディレクターのケビン・マクナミー(Kevin McNamee)氏は「ZeroAccess.netは著しい成長を遂げ、今年もっとも活発なボットネットになっている」と声明で述べた。

世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染

 マクナミー氏は続けて「サイバー犯罪では主に、感染PCを乗っ取りクリック詐欺を行うために利用されている」と述べ、「ZeroAccessを使えば、人の行動を模倣し、クリック詐欺を仕掛けることができる。これが数百万ドルの詐欺へとつながる」と語った。

 Kindsightでは、オンライン広告業者はZeroAccessによる詐欺によって、毎日90万ドルの損失を被っていると推計している。

サイバー犯罪者らの収益源

 リポートによると、スパム、広告クリック・マルウェア、銀行系トロイの木馬、ID窃盗、偽セキュリティ・ソフトウェアは、サイバー犯罪者らにとって大きな収益源になっているという。

 Kindsightはまた、第3四半期にAndroidマルウェアのサンプル数が165%増となったと報告する。しかしながら、スパイウェア・アプリやマルウェアの成長にもかかわらず、大規模なマルウェア流行には至っていないという。

 Kindsightによると、“積極的なアドウェア(Aggressive Adware)”はAndroid市場において、引き続き問題となっている。全モバイル端末のうち3%がこうした何らかのソフトウェアに寄生されていると推定している。

 積極的なアドウェアを取り除くためのセキュリティ・ソフトウェアが市場に出回ってきているが、こうした問題を軽減するのにどれほど効果的からまだ分からないとリポートでは述べている。

 Windows環境においても、これまでにスパイウェア問題を解決するため、同様の取り組みがあった。しかしながら、Androidの環境では状況が異なるようだ。「AndroidとWindowsとの環境の違いは、AndroidではアプリがGoogle Play App Storeで配布されている点だ。こうしたストアでは合法的に見えてしまう」とリポートは述べる。
(John P. Mello Jr./PC World米国版)

 

 口座狙うウイルス「スパイアイ」か ネット銀行の偽画面

朝日新聞デジタル 11月5日




「スパイアイ」ウイルスの手口


 【須藤龍也】インターネットバンキングで偽の画面が表示され、不正に送金された事件で、金融機関を標的にした「Spy Eye(スパイアイ)」と呼ばれるウイルスの一種が使われた疑いの強いことが、複数のウイルス対策会社の分析でわかった。こうしたウイルスは海外で猛威をふるい、昨年ごろから国内でも目立っており、専門家は注意を呼びかけている。

 複数のウイルス対策会社の分析によると、今回使われたウイルスは、感染したパソコン(PC)のネット閲覧を「傍受」し、データを改ざんしたり抜き取ったりする機能がある。

 事件では、ネットバンキングの利用者がPCでアクセスすると、ログイン画面に本来求められない暗証番号や契約者情報を入力する項目を追加したり、偽の画面を表示させたりしていた。振込先を、利用者が指定したのとは別の口座に置き換え、送金手続きする機能もあるという。

 
 
警察庁、“偽画面表示”ウイルス特定

日本テレビ系(NNN) 11月5日

 インターネットバンキングの偽画面で暗証番号などが抜き取られて不正送金された事件で、警察庁は、偽画面を表示させたとみられるウイルスを特定し、このウイルスを削除できる対策ソフトを公表した。

 この事件では、ネットバンクを利用する人のパソコンがウイルスに感染し、偽画面が表示されたとみられている。警察庁は、不正プログラム解析センターでパソコンを調べていたが、偽画面を表示させたとみられるウイルスを特定した。

 また、このウイルスを削除できる3つの対策ソフトを公表した。マカフィーの「トータルプロテクション」、シマンテックの「ノートンインターネットセキュリティ」、カスペルスキーの「アンチウイルス2013」で削除できるという。

 警察庁によると、「みずほ銀行」など7つの金融機関で確認されている偽画面に暗証番号などを入力したという利用者からの相談は247件に上り、不正送金は3件確認されている。
 
 
<不正送金>原因ウイルス検出…警察庁、駆除ソフトを公表

毎日新聞 11月4日



 インターネットバンキングのホームページ(HP)に表示された偽の画面に暗証番号などを入力した顧客の口座から現金が不正送金された事件で、警察庁は4日、複数の顧客パソコン(PC)から、原因とみられるコンピューターウイルスを検出したと発表した。同庁はウイルスの検体を民間セキュリティー会社に提供。3種類の対策ソフトを使えばウイルスを検知、駆除できるとしている。
 警察庁によると、同庁の不正プログラム解析センターが、偽の画面が表示された複数の顧客のPCを解析し、IDやパスワードを盗み取る機能をもつ共通のウイルスを検出した。

 偽画面を表示させる新種のウイルスとみて分析するとともに、感染ルートの特定を進めている。

 同庁が検体を提供した結果、問題のウイルスを検知、駆除できるとしている対策ソフトは▽マカフィー社「トータルプロテクション」▽シマンテック社「ノートンインターネットセキュリティ」▽カスペルスキー社「アンチウイルス」−−の各最新版。いずれも各社のHPから無料でダウンロードでき、一定期間は無料利用できるという。

 事件を巡っては、銀行やクレジットカード会社に「偽画面に暗証番号などを入力した」といった相談・通報が計247件寄せられているという。
 
 
偽ネットバンキング、情報窃取型ウイルスを検出

読売新聞 11月4日



 インターネットバンキングのサイトに識別情報を入力させる偽画面が表示される不正送金事件で、警察庁は4日、複数の利用者のパソコンを解析した結果、同種の「情報窃取型ウイルス」を検出したと発表した。

 ウイルス対策会社3社の無料体験版ソフトなどを使って駆除できることから、同庁で注意を呼び掛けている。

 発見されたウイルスは、既存のものを一部変えただけの「亜種」ではなく、独自にプログラミングされた「新種」。感染するとパソコン内の情報を外部に送信する機能があり、偽画面の表示もこのウイルスが原因とみられる。

 偽画面に入力した情報だけでは不正送金できないことが多いことから、別の手口で識別情報を盗んでいた可能性もある。警視庁などではウイルスの解析を進め、感染経路や盗まれた情報の送信先などを調べる。

 偽画面の被害は、今月2日時点で6銀行とクレジットカード会社で確認されている。このうち、三井住友、みずほ、楽天の3行では不正な送金や引き出しの被害があった。

 今回のウイルスは、警察庁が検体を提供するなどしたウイルス対策会社3社のソフトで駆除できるという。各社のホームページなどから無料体験版ソフトが利用できることから、警察庁で利用を呼びかけている。

 各社の対策ソフトは次の通り。

 ▽マカフィー「トータルプロテクション」▽シマンテック「ノートンインターネットセキュリティ」▽カスペルスキー「アンチウイルス」
 
 
ネットバンキング偽入力画面事件 預金者のPCがウイルス感染

フジテレビ系(FNN) 11月4日

インターネットバンキングのウェブサイトに偽の画面が表示され、暗証番号などを入力した預金者の口座から不正に現金が送金された事件で、預金者のパソコンがウイルス感染していたことがわかった。
この事件は、7つの金融機関のネットバンキングなどのウェブサイトに利用者がログインすると、暗証番号などの入力を求める偽の画面が表示され、これに入力してしまった一部の利用者の口座から、現金が不正送金されていたもの。
警察庁によると、偽の画面が表示された複数の預金者のパソコンが、個人情報を盗み取るタイプのウイルスに感染していたという。
このウイルスは現在、最新のウイルス対策ソフト、マカフィー社の「トータルプロテクション」、シマンテック社の「ノートンインターネットセキュリティ」、カスペルスキー社の「アンチウイルス2013」で駆除できるという。.

 
 
被害PCからウイルス検出=ネットバンク偽画面―警察庁

時事通信 11月4日



 インターネットバンキングの利用者に、偽の画面を使ってセキュリティー情報を入力させる不正送金事件で、偽画面が現れる被害が出た複数のパソコン(PC)から同一のウイルスが検出されたことが4日、分かった。事件はウイルスによって引き起こされた可能性が非常に高まり、警察庁は「最新の対策ソフトで駆除してほしい」と呼び掛けている。
 同庁不正プログラム解析センターが、偽画面に情報を入力してしまった複数の利用者からPCの提供を受けて調査。PCはいずれも、偽画面の表示機能を持つとみられる同一のウイルスに感染していた。
 警察庁は対策会社に情報を提供。各社は最新ソフトで駆除できるよう改めている。同庁によると、30日間の無料体験版で駆除可能なソフトは、4日時点で少なくとも▽マカフィー社「トータルプロテクション」▽シマンテック社「ノートンインターネットセキュリティ」▽カスペルスキー社「アンチウイルス2013」―の三つ。
 警察庁はネットバンク利用者に、対策ソフト利用のほか、不審なサイトやプログラムを使わないよう呼び掛けている。 
 
 
ネットバンキング偽画面、ウイルス確認

TBS系(JNN) 11月4日

 インターネットバンキングのホームページ上にIDなどを求める偽の画面が表示された事件で、警察当局は、犯行に使われたとみられるコンピューターウイルスを確認しました。

 警察庁によりますと、ネットバンキングで偽画面が表示される事件では、これまでにあわせて7つの銀行やクレジットカード会社で偽の画面が出ていて、そのうち、みずほ銀行では、利用者の口座から預金が不正に送金され、現金20万円が引き出される被害が出ています。

 警察当局は、利用者のパソコンがウイルスに感染していたとみて解析したところ、3日、犯行に使われたとみられる新種のウイルスを確認しました。

 警察庁は、3つのウイルス解析ソフトで対策が可能としていて、ソフトを利用するなどして対策を行うよう呼びかけています。
 
 
警察庁がウイルス検出、ネットバンク事件 対策ソフトで駆除可能

産経新聞 11月4日




 三井住友銀行などのインターネットバンキングの口座から預金が相次いで不正送金された事件で、警察庁は4日、暗証番号の入力を求めるなどの不正画面を表示する原因とみられるウイルスを検出したと発表した。ウイルスは一部のセキュリティー会社の対策ソフトで駆除可能なことも判明、警察庁はソフトの利用で不正送金の防止を呼びかけている。

 警察庁によると、不正画面の表示が確認されているのは三井住友銀行やみずほ銀行、クレジットカード大手の三菱UFJニコスなど7社。これまで288件の相談が寄せられ、警察庁が相談者の一部からパソコンの提供を受けて解析したところ、不正画面の原因となるウイルスを検出した。

 ウイルスはネットセキュリティーを手がけるマカフィー社の「トータルプロテクション」▽シマンテック社の「ノートンインターネットセキュリティ」▽カスペルスキー社の「アンチウイルス2013」の3種類の各最新ウイルス対策ソフトで駆除できるという。

 警察庁幹部は「ソフトの利用で対策を取ってほしい」としている。
 
 クリックだけで勝手に書き込み…「CSRF脆弱性」とは?





.
 一連のPC遠隔操作事件では、「CSRF脆弱ぜいじゃく性」が使われていた。CSRF脆弱性
とは、クリックしただけで他のサイトの書き込みが行われる問題点のことで、防止する
のが難しい。


遠隔操作ウイルス事件の犯行声明全文が公開


真犯人と思われる人物から落合洋司弁護士に送られた犯行声明メール(落合弁護士のブ
ログによる)

 遠隔操作ウイルスなどを使ってなりすまし、大阪、三重、横浜などで犯行予告の書き
込みを行った事件で、犯人のものと思われる犯行声明メールが公開された。先週の記事
「犯行予告事件、身元隠す『Tor(トーア)』の悪用と犯人像」で取り上げた落合洋司弁
護士のもとに届いた犯行声明メールを、落合弁護士がブログで公開したものだ(遠隔操
作事件・真犯人と称する者からのメール全文)。


 この犯行声明メールや、今まで起きた事件の経緯を見ると、犯人は二つの手口を使っ
ている。一つは先々週の記事「遠隔操作ウイルスはオリジナル? 作者は腕の立つ人物
か」で紹介したように、トロイの木馬だ。トロイの木馬とは、相手のパソコンに忍び込
み、外部から遠隔操作などをする不正なプログラムのこと。


 もう一つは「CSRF脆弱性」である。CSRFとは「クロスサイト・リクエスト・フォージ
ェリ(Cross Site Request Forgeries)」の略で、「フォージェリ(Forgery)」は「偽
造」という意味。別のサイトにリクエストを送り、偽の書き込みができてしまう問題点
、と考えればいい。真犯人はこのCSRF脆弱性を、横浜市の事件で使っていた。


 横浜市の事件では、市のウェブサイトに小学校への無差別殺人予告を書いたとして、
大学生が誤認逮捕された。この大学生が行ったことは「リンクをクリックした」だけだ
った。リンクをクリックしただけで、犯罪予告が書き込まれて、逮捕されてしまったの
だから、ひどい話である。


 警察の捜査にも問題があった。誤認逮捕された大学生の通信記録には、CSRF脆弱性の
可能性がある記録が残っていた。約250文字の殺人予告の書き込みが行われていたのだが
、この書き込みにかかった時間はわずか2秒。2秒で書き込むのは難しいと、警察は考え
るべきだったが、放置されていたのである。実際には、CSRF脆弱性を使った自動書き込
みだからこそ、2秒で書き込めていたのだ。


書き込みの流れと手口

 犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。

1:真犯人がCSRF脆弱性のあるサイトを探す


CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横
浜市の掲示板はCSRF脆弱性を持っていた(現在は対策済み)。


2:CSRF脆弱性を攻撃するページを作成


真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対
象の掲示板・SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。


3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む


真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事
件では、ソフトウエアのダウンロードリンクとして書き込まれたようだ。


4:被害者がリンクをクリックしてしまう


被害者がリンクをクリックし、攻撃用ページを開いてしまう。


5:対象の掲示板・SNSに勝手にメッセージが書き込まれる


開いただけで別のサイト(この場合は横浜市へのホームページ)への書き込みが行われ
る。被害者が気づく可能性はほとんどない。


 ちょっと複雑に思えるが、被害者の行動は「クリックする」という1アクションだけ
。被害者が気づかないうちに、勝手にメッセージが書き込まれてしまうのである。


 真犯人が用意した攻撃ページは、見かけ上は問題のないページだ。しかし、実際には
インラインフレーム(別のページを表示するしくみ)やimgタグ(画像表示)などを使っ
て、見えない形で攻撃が行われる。ページのソースを見れば確認できるが、表示した時
点で攻撃が行われているので、ソースを確認するのは無意味と言ってもいいだろう。


 根本的な問題は、書き込まれる掲示板・SNS側にある。ログインせずに書き込めるペー
ジや、自動ログインが有効でCSRF脆弱性が残ったままの掲示板・SNSでは、悪意のある攻
撃ページから勝手に書き込まれる可能性があるのだ。数年前にはCSRF脆弱性による攻撃
で、大手SNSのmixiが被害に遭ったこともあった。


 掲示板・SNS側ができる対策は、画像によるチェックコードを入力させる「トークン」
と呼ばれるランダムな文字列で自動書き込みを防いだり、パスワード入力を毎回させた
りする方法がある。掲示板・SNSの運営者は、今すぐにCSRF脆弱性への対策を行うべきだ



ユーザー側の対策は困難、「クリックしない」が原則

 では、ユーザー側の対策はあるのだろうか。残念ながら、根本的な対策はない。SNSな
どログインの必要なサービスでは、毎回ログアウトするなどの対策があるものの、現実
的ではない。どこに書き込まれるのかわからない上に、ログインなしのページであれば
無意味だからだ。


 唯一の対策は「クリックしない」ことだろう。信頼できる友人・サービスなどによる
リンクだけを信頼し、それ以外のリンクをクリックしないこと。たとえば2ちゃんねる
などの掲示板、SNSやTwitter、Facebookでのリンクは、信頼できると確証が持てるもの
だけをクリックする。また、メールにあるリンクは、たとえ友人のものであっても警戒
すること。トロイの木馬や、ウイルスによるなりすましが考えられるからだ。「クリッ
クする」ことが犯罪につながる可能性があることを頭に入れ、慎重に行動したい。
 
 不正送金事件、正規のネットバンキングで暗証盗み取り





.
 三井住友銀行などネットバンキングの不正送金事件では、正規のサイトを表示してい
るのに、不正なパスワード入力画面が表示された。「中間者攻撃」という手口を使った
ウイルスの可能性が高い。


銀行の正規サイトで偽のポップアップ画面


三井住友銀行サイトでの不正なポップアップ画面の例(三井住友銀行のウェブサイトに
よる)

 まずはこの画像を見てほしい。三井住友銀行が自社のインターネットバンキングで、
警告として出している画像だ(警告ページ)。中央に大きく見えているのは、第二暗証
(乱数表)や第三暗証(第二暗証で指定された番号)の入力画面。ポップアップで表示
されている。そして、背景として左右に三井住友銀行のネットバンキングの画面が見え
ている。

▼背景=正規の三井住友銀行ネットバンキング
 三井住友銀行の正規サイト。フィッシングなどの偽サイトではなく、利用者は正規の
三井住友銀行のネットバンキングにアクセスしている。

▼中央のポップアップ=ウイルスによる表示
 ポップアップで中央に表示されているのは、ウイルスによるもので強制的にポップア
ップで表示された画面。利用者のパソコンがウイルスに感染しており(推測)、このポ
ップアップで暗証番号などを盗み取ろうとしている。


 デザインもそっくりで、しかも正規サイトで表示されたように見えるので、暗証番号
を入力してしまう人も出てしまうだろう。実際にこの不正表示にあった人のうち、少な
くとも196件では、利用者が暗証番号や本人確認用の合言葉などを入力していた(1日現
在、警察庁による)。


ゆうちょ銀行サイトでの不正なポップアップ画面の例。本人確認のための質問と答えを
入力させて盗み取ろうとしている(ゆうちょ銀行のウェブサイトによる)

 被害は三井住友銀行で200万円の不正送金が確認されているほか、みずほ銀行でも数十
万円、楽天銀行でも被害が出ている模様だ。銀行だけでなく、クレジットカード会社に
も被害が及んでいる。2日12時現在で、不正表示が出るサイトとして報道されているのは
以下の通りだ。これ以外の銀行・カード会社のオンラインサービスでも、表示が出る可
能性はあるので十分な注意が必要だ。

▼ウイルス感染で不正なポップアップが出る可能性のあるサイト
 三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行、三菱
UFJニコス、ゆうちょ銀行


 この強制ポップアップを表示させる手口の詳細は現時点ではわかっていないが、コン
ピュータウイルスである可能性が高い。複数の銀行で不正表示が出ていること、銀行側
のサイトに問題点が見つかっていないことから、利用者のパソコンがウイルス感染して
いると考えていいだろう。


常駐するウイルスによる「中間者攻撃」か

 今回の事件は、利用者のパソコンがウイルス感染していることが原因だと思われる。
被害の状況などから想像する流れは以下の通りだ。


 1:利用者のパソコンが、何らかの方法でウイルスに感染
 2:ウイルスが常駐し、表示するウェブサイトを監視している
 3:利用者が正規のオンラインバンキングのサイトにログイン
 4:ウイルスがログインを検知して、偽のポップアップを表示させる
 5:偽のポップアップで暗証番号・乱数表・質問と答えなどを入力させる
 6:入力したデータを犯人が盗み取る
 7:盗み取ったデータを使って、犯人が用意した口座に不正送金


 問題のポップアップでは、暗証番号や本人確認用の質問と答えなど、すべてのデータ
を入力させていた。たとえば三井住友銀行では、乱数表と呼ばれる数字が書かれたカー
ドが個別に配布されている。送金時には、このカードに書かれた番号を入力するが、そ
の度に使う場所の番号を入力させることで安全性を高めていた。しかし、今回の不正な
ポップアップでは、乱数表カードの全データを入力させている。このデータがあれば、
犯人はどこへでも送金できてしまうのである。


 この手口についてセキュリティー大手・トレンドマイクロは「国内オンラインバンキ
ング利用者を狙った攻撃、トレンドマイクロが注意喚起」という注意喚起の記事を出し
ている。それによると、今回の手口は「中間者攻撃(Man-In-The-Middle攻撃)」の可能
性があるとしている。


 中間者攻撃とは、ウイルスが正規のサイトにアクセスしたことを検知し、ブラウザー
が表示する内容を書き換えるなどして、情報を盗み取る手口のこと。今回の事件では、
ポップアップ表示によって暗証番号などを盗み取っている。


 今回の事件の最大の原因は、やはり利用者のパソコンがウイルス感染していると思わ
れることだろう。ウイルス感染したままのパソコンを使っている利用者は、セキュリテ
ィーに対する知識が低く、警戒心も薄いと思われる。そんな利用者がだまされて、ポッ
プアップを本物だと信じ、暗証番号などを入力して被害に遭ってしまっているのだ。


口座の持ち主を逮捕、利用者側の対策は?

 犯人はまだ逮捕されていないが、送金された口座の持ち主は特定されており、口座名
義人の男が愛知県警に逮捕されている。報道によれば「口座は中国人の男に売った」と
供述している模様だ。口座の持ち主が犯人である可能性は低いので、犯罪グループが他
にあると考えていいだろう。


 利用者側の対策としては、ウイルスに感染しないようにセキュリティー対策をしっか
りする、自分のパソコンが感染していないか日頃からチェックする、という基本対策が
必要だ。ウイルス対策ソフトを入れること、ブラウザーやFlashなどの関連ソフトを自動
更新で常に最新版にするといったことが欠かせない。


 また、ネットバンキング利用の基本として、以下のことも覚えておきたい。

全データを入力させることはない
 銀行のサイト上で、第二暗証などの乱数表カード、質問と答えなどのデータを「すべ
て」入力させることはない。「セキュリティーの再確認のため」と称した表示が出たら
、偽の表示だと考えよう。

怪しい表示が出たらウイルス感染を疑う
 本来なかったポップアップ画面、データを全入力させる画面などが出たら、偽の表示
・偽のサイトの可能性がある。パソコンがウイルス感染している可能性があるので、す
ぐにパソコンの利用をストップすること。セキュリティー対策ソフトを導入し、初期化
するなどして復旧しよう。

ログイン履歴・口座明細を確かめる
 ネットバンキング利用時は、前回のログイン日時を毎回チェックし、不正なログイン
がないか確かめる。また不正送金が行われていないか、口座を毎回確かめよう。


 犯人はまだ捕まっていないので、今後も同じような被害が出る可能性がある。家族や
友人にも警戒を呼びかけてほしい。
 
 販売サイトで不正利用続発 パスワード管理に注意





.
 大手ショッピングサイトで、ID・パスワードが盗み取られたことが原因だと思われる
不正利用が起きている。

 原因はウイルスだけではなく、人間の安易な行動が被害につながっている場合が多い
。(ITジャーナリスト・三上洋)


大手ショッピングサイトで4000件の被害

 IPA・情報処理推進機構が、「『ぼくだけの ひみつのかぎさ パスワード』〜インタ
ーネットサービスの不正利用がないか確認を〜」という注意呼びかけを出している(IPA
・コンピュータウイルス・不正アクセスの届出状況[11月分]について)。


 それによると11月に大手ショッピングサイトで大規模な不正利用事件が発生したとい
う報道があり、7月から約4000件の被害が発生しているとのこと。身に覚えがない商品購
入の被害に遭うもので、以前にも起きている事件だ。原因はわからないが、IPAでは「ID
/パスワードが窃取されて悪用された可能性が高い」としている。


 2011年にはこのほかにも不正利用事件が度々起きている。IPAが例として挙げているの
は以下の通り。

・大手インターネットサービスプロバイダーでの、第三者のなりすましによる、商品に
交換できるポイントの盗難(2011年5月)
・日本国内の大手・地方銀行のインターネットバンキングにおける不正利用(2011年6月
〜7月)
・科学雑誌出版社のウェブサイトへの不正アクセスに起因した、個人情報・カード情報
の漏えいと不正利用(2011年8月)


 このうちインターネットバンキングでの不正利用は、以前の記事「三菱東京UFJ銀行を
かたる偽メールで300万円被害」で詳しく紹介している。これは偽メールを送信してID・
パスワードを入力させるフィッシング詐欺だが、同様の詐欺は三菱東京UFJ銀行だけでは
なく、三井住友銀行や地方銀行の名前でも行われている。2011年は不正利用の件数が以
前に比べて目立っている。


パスワードの使い回し、詐欺、ウイルス感染が原因


パスワードの使い回しで、不正利用の被害が拡大する例(IPAによる)

 不正利用の原因はいくつかあるが、ID・パスワードがすべてに関わっている。IPAでは
五つの理由を挙げているが、前半の三つはウイルスが原因だ。

1:ウイルス入りファイルが添付されたメールを介して感染

 ウイルス添付ファイルを開くことで感染し、パソコンのデータを盗み取られたり、キ
ーボード入力を記録して犯人に送信されてしまうパターン。衆議院、省庁、防衛関連企
業などが被害に遭っている標的型攻撃もその一例だ。パソコンで利用するサイトのID・
パスワードを犯人に抜き取られてしまう(参考記事:三菱重工サイバー攻撃と標的型メ
ール)。

2:ウェブサイトの閲覧を介してウイルスを感染させる"ドライブ・バイ・ダウンロード
"攻撃で感染

 正規のウェブサイトを閲覧しただけで感染したり、メール・Twitter・Facebook・mixi
などからの誘導でサイトを閲覧して感染するパターン。利用者のパソコンのOSやアプリ
ケーションなどが古いことが原因でウイルスに感染する。このウイルスによりID・パス
ワードが流出してしまう(参考記事:ドライブ・バイ・ダウンロードとは?)。

3:USBメモリーなどの外部記憶媒体を介してウイルスに感染

 最近ではあまり報道されなくなったが、USBメモリー経由でのウイルス感染で、ID・パ
スワードが流出する場合もある。デジカメや音楽プレーヤーによる感染もあるので注意
が必要だ。


 ここまではウイルスによるID・パスワード流出だが、残りの二つは人間の行動が原因
となるもの。詐欺に直結するものなので、注意が必要だ。

4:フィッシング詐欺

 フィッシング詐欺とは、銀行やクレジットカード会社に装った偽メールを送り、利用
者を偽のサイトに誘導。偽サイトでID・パスワードを入力して、現金などを盗み取るも
のだ。最初から現金などを盗み取るのが目的なので、大きな被害が出やすい。IPAでは「
最近では既知のフィッシングの手口に、ウイルスを組み合わせた新しい攻撃手法も出現
しており、注意が必要」として注意を呼びかけている。

5:ID/パスワードの使い回し

 実は予想外に多いと思われるのが、ID・パスワードの使い回しだ。1か所で流出した
だけで、他のサービスでも被害が出てしまう。具体的な例としては、ショッピングサイ
トでパスワード流出→IDが無料メールサービスのもの→同じパスワードで無料メールサ
ービスにもログイン→同社の他のサービスを悪用、というパターンがあった。オークシ
ョン詐欺で目立つパターンだ。


IDとパスワード管理と、カード明細のチェック

 多くの原因・手口があって戸惑う人がいるかもしれない。中には知識がある人でさえ
、だまされてしまう巧妙な手口もあり、「完全な防御策はない」と考えたほうがいい。
パソコンとインターネットを使う限り、何らかの流出は起きるものと頭に入れておこう
。流出した場合に被害を抑える準備や、被害を監視する方法を覚えておきたい。


 IPAでは、ID・パスワードを適切に管理する方法として、以下の三つを紹介している。

・パスワードの強化…使用できる文字種(大小英文字、数字、記号)全てを組み合わせ
、8文字以上のパスワードとする。辞書に載っているような単語や人名を避ける。
・パスワードを適切に保管…記憶するのが大変なパスワードの場合は、紙にメモしても
構わないが、その際、IDとパスワードは別々の紙にメモするなどして保管する。
・パスワードの適切な利用…自分が管理していないパソコン(例えばネットカフェなど
の不特定多数が利用するパソコン)では、インターネットサービスにログインしない。
ワンタイムパスワードなど(二要素認証、二段階認証等)を採用しているサービスを利
用する。


 これに加えて、パスワードの使い回しをしないことが大切だ。二次的な被害を防ぐた
めに、できるだけ使い回しは避けよう。また不正利用を監視するために、以下の3ポイン
トは定期的に監視したい。

・クレジットカードの利用明細
・オンラインバンキングの口座明細
・オンラインサービスのログイン履歴


 特に三つ目のログイン履歴は重要で、他人が勝手にログインしていないか監視するこ
とで、不正利用をチェックすることが可能だ。オンラインバンキング、ウェブメール、
SNS、クラウド系サービスなどでは、前回のログイン履歴を常に見るクセを付けよう。具
体的な防御策は、IPAの記事にまとまっているので参考にしてほしい。
 
 銀行などに偽装した詐欺サイト増加





.

JPCERTによる2010年10〜12月のカテゴリ別インシデント件数



フィッシングサイトのブランド別件数。金融機関がもっとも狙われている

 国内金融機関を狙ったフィッシングサイトが増加している。手を替え品を替え、金銭
を盗み取ろうとしているので警戒が必要だ。(ITジャーナリスト・三上洋)


フィッシングサイトが増加

 日本のセキュリティー対策組織・JPCERTコーディネーションセンターが、昨年10月か
ら12月までのインシデント報告対応レポートを発表した。インシデントとは、セキュリ
ティー上のトラブル・事件のことで、JPCERTでは3か月おきに国内の状況をまとめている
。具体的には右の表のように、フィッシングサイト、ウェブサイト改ざん、マルウエア
サイトなどの事例がある。


 この3か月でもっとも目立ったのは、国内金融機関を装ったフィッシングサイトだ。フ
ィッシングサイトとは、正規のサイトとそっくりなものを作り、訪れたユーザーのパス
ワードや個人情報などを盗み取るもの。ネットバンキングを狙ったものでは、お金を引
き出されるなどの被害が出ている。


 3か月で報告が寄せられたフィッシングサイトの件数は314件で、前四半期より39%増
加した。この数字は前年同期よりも減少しているものの、国内のサイトを狙ったものは
増えている。国内ブランドを装ったフィッシングサイトは65件で、前年同期の31件の2倍
以上となっている。


 特に狙われているのが金融機関だ。この連載でも「三菱東京UFJ銀行をかたる偽メール
で300万円被害」や、「暗証番号を入力させる銀行フィッシングサイト」などの記事で繰
り返し紹介してきた。昨年後半になって、三菱東京UFJ銀行や三井住友銀行、また複数の
地方銀行のサイトを装ったフィッシングサイトが目立ってきた。それまでのフィッシン
グサイトは、海外のブランドが多かったが、日本の金融機関を狙うものが特に増えてき
た。暗証番号を入力してしまい、お金を盗み取られた事例もある。


 JPCERTによれば「国内金融機関を装ったフィッシングでは、以下のようにフィッシン
グの手法を変えてアカウント情報を詐取しようとしていることを確認している」とのこ
と。具体的には以下の通りだ。

・メールに実行ファイル形式のマルウエアを添付し、金融機関のアカウント情報を詐取
しようとする手法(8月、三菱東京UFJ銀行や三井住友銀行はこのパターン)
・第三者の Web サイトを改ざんしてフィッシングサイトを設置し、そこにユーザを誘導
する手法(9月)
・海外のレンタルサーバ上にフィッシングサイトを設置し、ダイナミックDNSサービスを
組み合わせる手法


 JPCERTによれば「数週間ごとに標的とする国内金融機関が移り変わっていく現象が見
られ、同一の攻撃者ないしグループの関与がうかがえました」としている。ターゲット
や手法を変えながら、国内のユーザーを狙っている模様だ。


WordPress利用サイトの改ざんも

 この3か月で目立ったもう一つの現象は、人気のブログ構築プログラム・WordPressを
狙ったウェブサイト改ざんが増えたこと。WordPressはサーバー上にブログなどを作るプ
ログラムで、個人だけでなく企業で多く使われている。


 このWordPressで使われていたプラグイン(拡張プログラム)に脆弱(ぜいじゃく)性
(ソフトウエアの問題点)があって攻撃された。攻撃によって改ざんされ、他のサイト
へ飛ばすスクリプトが埋め込まれていたようだ。このページを閲覧したユーザーは、ア
プリケーションの脆弱性を攻撃するサイトに転送され、ウイルスなどに感染してしまう
。WordPressは比較的小規模なサイトで使われているため、管理が甘い場合が多く、それ
が被害を広げる原因の一つとなった。


 12月上旬には、10月に公開されたJavaの新しい脆弱性を使用してマルウエアをインス
トールさせようとする攻撃サイトが出現しているとのことなので、今後も警戒が必要だ



 このように国内金融機関を狙ったフィッシングサイトと、ウェブサイトの改ざんが続
いている。私たちユーザーは、以下のことを守りたい。

・ブラウザー、PDF表示、FLashなどは必ず最新版を利用する
・ウイルス対策ソフトを導入し、最新のウイルス定義ファイルを自動更新する
・メールの添付ファイルは原則として開かない、URLもクリックしない


 当たり前のことのようだが、古いパソコンや子供が使っているパソコンでは見逃され
ていることもある。改めてパソコンのセキュリティーを再点検しよう。
 
 ゆうちょ銀行の偽サイトに注意





.
 ゆうちょ銀行を装ったフィッシングサイト(偽サイト)が出現している。IDやパスワ
ードを盗まれ、口座からお金を取られる可能性があるので注意しよう。(ITジャーナリ
スト・三上洋)


■「ゆうちょ銀行から大切なお知らせ」として偽サイトへ誘導


ゆうちょ銀行を装ったフィッシング詐欺メールのイメージ(ゆうちょ銀行による)



犯人が用意した偽サイト。暗証番号やパスワードを盗み取ろうとしている(ゆうちょ銀
行による)

 ゆうちょ銀行は、オンラインバンキングサービス「ゆうちょダイレクト」を装ったフ
ィッシングサイトを発見したとして、1日にウェブサイトで注意を呼びかけた(【重要】
ゆうちょダイレクト(ゆうちょ銀行)を装ったフィッシングサイトにご注意ください)
。フィッシングサイトとは金融機関などを装った偽サイトで、ユーザーのパスワードな
どを盗み取るもの。


 それによると、まず右の画像のようなメールが送られてくる。「ゆうちょ銀行より大
切なお知らせです」と書かれた画像を使ったメールだ。内容は以下の通り。

「この度、ゆうちょダイレクトを装ったフィッシングサイトやウイルスの報告を受けま
したので、ゆうちょダイレクトのお客様の口座に異常が発生していないかを確認します
ので必要事項を記入し送信してください」


 と書かれている。安全のためにアクセスせよ、というのはフィッシングサイト誘導の
常套(じょうとう)手段だが、フィッシングの問題を書きながらフィッシングサイトへ
誘導しているのだからひどい話だ。しかも「確認を怠るとネット取引が3日から5日使用
できなくなる可能性があります」と、脅しの文面まで入っている。ゆうちょダイレクト
と同じデザインだということもあって、だまされる人もいそうだ。


 ここにあるリンクをクリックすると、右の画像のような偽サイトが表示される。やは
りゆうちょダイレクトと同じデザインを使っており「お客さま番号」「ログインパスワ
ード」「インターネット暗証番号」の記入欄がある。さらにパスワードを忘れた場合の
質問と合言葉まで記入させようとしている。


 もしだまされて、ここにデータを記入してログインした場合、パスワードや暗証番号
がすべて犯人に向けて送られてしまう。勝手に送金されて金銭の被害が出ることも考え
られる。


■国内銀行を狙ったフィッシングサイトが続出

 今回のフィッシングサイトは以下のようなURLを使っていた(3月2日には停止が確認さ
れている:フィッシング対策協議会による)。

http://yubinbank.●●●●●.com/index.asp
http://yubin-bank.●●●●●.com/index.asp


 海外のサーバーを使ったものと思われるが、URLの一部に「yubinbank」などを入れて
偽装している。また元のメールの差出人も「郵便事業株式会社お客様サービス相談セン
ター」などとなっているので、だまされる人もいるかもしれない。今後も似たようなフ
ィッシングサイトが登場する可能性があるので注意が必要だ。


 このようなフィッシングサイトは、ゆうちょ銀行だけではなく、国内の都市銀行など
を装ったものも登場している。以前の記事「三菱東京UFJ銀行をかたる偽メールで300万
円被害」で取り上げたように、三菱東京UFJ銀行などの大手銀行、またウイルス「SpyEye
」で地方銀行を狙う事件も起きている。特に昨年の夏から、日本のオンラインバンキン
グを狙うものが増えているため、今後も警戒すべきだろう。


 政府はフィッシング対策として、不正アクセス禁止法改正を目指している。フィッシ
ングサイトを開設しただけで処罰できるようにし、フィッシングサイトへの規制を強化
する。しかしながら法律改正だけでフィッシングサイトが減るとは思えないので、だま
されないようにユーザー側がしっかり対策する必要がある。


 対策としては、フィッシング対策協議会がまとめている「フィッシング対策の心得」
が参考になる。以下のポイントを頭に入れておこう。

▼銀行・カード会社・保険会社などが、メールで口座番号・暗証番号・個人情報を問い
合わせることはない。これらの項目をメールで尋ねてきたら、フィッシング詐欺と断定
する
▼メールに書かれているリンクではアクセスしない。金融機関から通知を受けているURL
をブラウザーから直接入力してアクセスすること
▼万が一、入力してしまった場合には、コールセンターに電話で問い合わせた上で、ロ
グインパスワード・合言葉・インターネット用暗証番号を変更する


 併せてセキュリティー対策の基本である「ウイルス対策ソフトを導入し、最新のパタ
ーンファイルにする」「FlashやPDF表示などのソフトを最新版にする」も重要だ。オン
ラインバンキングは金銭の被害に直結するので、しっかりと安全対策を取ろう。
 
 架空請求サイトのブラックリスト





.
 高額な料金請求を送りつける詐欺メールの被害が今も続いている。たとえ「身に覚え
があっても」払わずに無視するのが重要。ブラックリストも利用したい。(ITジャーナ
リスト・三上洋)


架空請求のブラックリストを東京都が更新


東京都くらしWEBで公開されている架空請求業者のブラックリスト

 東京都の情報サイト「東京くらしWEB」では、架空請求をしてくる悪質業者の一覧ブラ
ックリストとして公開している(東京都消費生活条例第27条に基づくもの)。そのブラ
ックリストが5月下旬に更新された。

 

 このブラックリストは「架空請求業者一覧」と「架空請求サイト一覧」に分かれてい
る。「架空請求業者一覧」では、アイウエオ順に会社名、請求メールなどの内容(電話
番号などを含む)が書かれており、「架空請求サイト一覧」では、業者のメールアドレ
スがまとめられている。


 たとえば5月23日に追加されたブラックリストでは

「(株)ITF調査事務所 (PDF, 61KB)」
「(株)ジャパンプライム (PDF, 68KB)」
「(株)高木リサーチ (PDF, 64KB)」


 が架空請求業者として新たに登録されており、勝手に送ってくる脅しのメール文面も
公開されている。


 これらの架空請求・高額請求メールの手口は、一言でまとめれば「脅し」だ。月額料
金や情報サイト利用料の支払いがないために、サイトから委託を受けて料金徴収を行っ
ている、今すぐ連絡を取るか支払わないと裁判にするぞ、という脅しのメールを送って
くる。メールアドレスはランダム、もしくは名簿屋と呼ばれるメールアドレスの販売業
者のデータから送ってくるもの、また無料サイトから流出したメールアドレスデータを
悪用する場合もある。


 最近のパターンとしては、直接振り込ませるのではなく、まずは電話をさせる手口が
多いようだ。電話をさせることで、被害者予備軍の電話番号を収集し、そこから脅迫的
な請求電話を何度もかけてお金を巻き上げようとする。


「身に覚えのある」ターゲットを釣りあげる手口

 なぜ先に電話をさせるのか。それは「身に覚えのある」ターゲット(被害者)を探す
ためだ。多くの人は、このような請求が来ても詐欺や架空請求だと思って無視するだろ
う。しかしアダルトサイトを見たことがある、出会い系サイトに登録したことがある、
または高額請求のポップアップ画面を開いたことがある、という人は「もしかして、あ
の時の請求?」と思ってしまう。これこそが犯人の狙いなのだ。

「身に覚えのある」人は、まずいと思ったり、払わなくてはいけないのかと思って、電
話をしてしまう可能性が高い。請求メールに対して電話をしてしまう人=お金を巻き上
げられるカモだと犯人は見て、何度もしつこく電話で請求してくるわけだ。


 請求のパターンとしては、以下のような手口が横行している


Android向けのアダルト詐欺サイト。不正アプリを導入させ、電話番号を盗み取って請求
する悪質な手口だ

 
メールとSNS
メールで無差別に送ってくるもの。また電話番号で文字メッセージを送ることができる
SNSを使って脅しをかけてくるものもある

ワンクリック詐欺・アダルトサイト詐欺
パソコンのアダルトサイトでよくあるパターン。ポップアップ画面などを出して高額な
請求をしてくる

ウイルス(マルウエア)を使った悪質パターン
ウイルス(マルウエア)に感染させて、高額請求の脅し画面を何度も繰り返し表示させ
るタイプ

 
Androidなどのスマートフォンを狙うパターン
スマートフォン向けのサイトで高額&架空請求を行うもの。以前の記事「電話番号を読
み取られるAndroidワンクリック詐欺」参照

無料出会い系サイト関連
無料の出会い系サイトに登録したら、別の有料出会い系サイトから勝手に高額&架空請
求が来るパターン。同じ業者が運営しており、最初から詐欺を目的としている場合が多



 最近では特にAndroidを狙った高額&架空請求が増えている。この手の詐欺に免疫のな
い中高校生、高齢者などがダマされてしまうことが多い。高額&架空請求メールは、以
前からある古い詐欺の手口ではあるが、スマートフォンを初めて持つ中高校生などにと
っては初めての経験だろうから、だまされないように注意する必要がある。


「絶対に連絡しない」「絶対に払わない」が鉄則


東京都くらしWEBが提供しているワンクリック詐欺のサンプルサイト

 この手の高額・架空請求メールへの対策としては、「身に覚えのない請求は無視しま
しょう」とよく言われる。しかしながら、これは間違いだ。そうではなくて「身に覚え
があっても、高額の後払い請求は無視せよ」が正解。アダルトサイトや無料出会い系サ
イトを見たり、登録したりしたことがあっても、後から勝手に請求してくるものは無視
していい。前述したように、犯人の狙いは「身に覚えのある」人からお金を巻き上げる
ことだからだ。


 改めて対策をまとめておこう。

1:身に覚えがあっても、後払いの高額請求・架空請求は無視する

2:不安になったらGoogleなどで電話番号・業者名を検索する(ブラックリストや掲示
板などで架空請求業者だとわかる)

3:電話やメールでこちらから連絡してはいけない

4:何があっても払ってはダメ(払ってしまうとカモと認定されて別の請求が来る)

5:脅しの電話が来るようならば、国民生活センター、もしくは警察に相談


 東京都では、アダルトサイトのワンクリック詐欺サンプルサイトを用意している。高
額請求・架空請求のサンプルとして体験してみて、だまされないように注意したい
 
 ネットバンク不正送金から身を守る5つの対策





.
 個人や企業のネットバンキング口座から、勝手に現金を盗み取る事件が起きている。
被害額はわずか半年で2億6500万円を超えた。追跡を逃れるための巧妙な手口をつかって
いるのが特徴だ。(ITジャーナリスト・三上洋)


中国人容疑者を逮捕でわかった不正送金の巧妙な手口

 警視庁は19日、不正アクセスで盗み取った金の一部を送金したとして、東京都葛飾区
の運送会社アルバイト薛章文容疑者を詐欺容疑で逮捕した。薛容疑者は8月31日に、葛飾
区内の都銀窓口で、別の中国人名義の口座から、現金10万円を不正に引き出した疑い
。この都銀の口座には、渋谷区内の通販サイト運営会社が開設した地銀のインターネッ
トバンキングの口座から、100万円が勝手に送金されていたという。薛容疑者は翌日
に、もう一度口座の金を引き出しに訪れところで逮捕されている。薛容疑者は「金は下
ろしたが、親戚の中国人の男に頼まれただけだ」と容疑を否認しているとのことだ。

 不正アクセスと現金の動きを簡単にまとめてみよう。

1:無関係の東京都内の会社員のパソコンを乗っ取り(ウイルス感染でID・パスワード
が流出)
2:通販サイト運営会社社長のネットバンキングの契約者番号・暗証番号を盗み取る(
ウイルス感染による)
3:1で乗っ取ったパソコンを使って、2のネットバンキングにアクセス
4:犯人グループが勝手に100万円を、別の口座に送金
5:その口座から「出し子」である薛容疑者が現金10万円を引き出す


 現金を引き出した薛容疑者は、いわゆる「出し子」と呼ばれる役割だろう。「出し子
」とは振り込め詐欺や不正アクセスによって得た現金を、口座から引き出す役割のこと
。最終的に現金を引き出す役割のため、変装するなどして口座から現金を引き出す。薛
容疑者は2度も同じ口座から引き出そうとしたため逮捕された。

 なぜ通販サイト運営会社の口座から不正送金が行われたのだろうか。理由は通販サイ
ト運営会社の社長のパソコンがウイルスに感染していたため。ウイルス感染によって契
約者番号・暗証番号(パスワード)を読み取られてしまった。犯人グループはこの情報
を基にネットバンキングに不正アクセスし、犯人グループが用意したと思われる口座に
勝手に送金した。

 犯人グループは、追跡逃れと思われる手法を使っている。一つは複数の口座に分散し
て送金していること。薛容疑者が引き出した口座の他に、3口座に400万円が送金さ
れていた。摘発を逃れて現金を引き出すために、分散させた可能性がある。また、口座
への不正アクセスは、別の男性会社員が行ったように偽装されていた。この男性会社員
のパソコンもウイルスに感染しており、パソコンを乗っ取られて不正アクセスに利用さ
れたと思われる。偽装のためにウイルス感染した無関係の人間のパソコンを乗っ取り、
不正送金の操作をしていたのだ。


不正アクセスでネットバンキングから2億6000万円以上の被害


ネットバンキング不正アクセスで使われたウイルス・SpyEyeは、ウイルス作成ツールで
大量の亜種が作られている

 このようなネットバンキングの不正送金事件は、今年の春から急増している。警察庁
によれば今年の4月以降、33都道府県で91件の不正送金があり、被害額は約2億6
500万円にも上っている。他人の契約者番号や暗証番号・パスワードを使った不正ア
クセスは、51金融機関で121件あり、このうち91件で不正送金が行われていた。
2000万円を超える送金も確認されているなど、かなり大きな被害が出ている。


ウェブサイトを表示しただけでウイルス感染する「ドライブ・バイ・ダウンロード」の
手口

 警察庁が被害者のパソコンを調べたところ、IDやパスワードを盗み取るウイルス(ス
パイウェア)に感染していた。さらに上記で紹介したように、第三者のパソコンを経由
することで追跡を逃れようとしている。ウイルス感染した無関係のパソコンをネット経
由で乗っ取り、そのパソコンからネットバンキングにアクセスして不正送金する手口だ


 IPA・情報処理推進機構によれば、主に「SpyEye(スパイアイ)」というウイルスの感
染被害で起こった可能性が高いとのこと。「SpyEye(スパイアイ)」には日本の銀行を
不正利用する機能が含まれていた(IPAの記事「あなたの銀行口座も狙われている!?
― SpyEye(スパイアイ)ウイルスに注意! ―」参照)。

 SpyEyeはウイルス作成ツールで作ることのできるウイルスで、比較的簡単に機能の異
なる亜種を作成できてしまう。主に英語圏で2010年ごろに出回った「Zeus(ゼウス
)」と呼ばれるウイルスの発展形だと考えられている。SpyEyeに感染すると以下のよう
な被害が出る。

・被害者のパソコンに常駐し、閲覧中のウェブサイトで入力するID・パスワードを窃取
・窃取した情報をインターネット経由でウイルス作成者が管理しているサーバーに送信
・被害者のパソコンを外部から遠隔操作できる(ボットネット機能)


 最後のボットネット機能によって、犯人は感染パソコンのウイルスを自由に置き換え
ることができる。IPAによれば「ウイルス対策ソフトで検知できない新種ウイルスに置き
換え続けることで、より見つかりにくく、長い期間感染させて必要な情報を窃取できる
ため、利用者にとって重大な脅威となるウイルスといえます」としている。

 SpyEyeの感染ルートは主に2つある(IPA・情報処理推進機構による)。

1:ウェブサイト表示での感染(ドライブ・バイ・ダウンロード)

 ウェブサイト表示だけで感染させる方法。ブラウザーやFlash・PDFなどを表示するア
プリケーションの脆弱(ぜいじゃく)性を使って感染させるものだ。被害者が古いバー
ジョンのブラウザーやアプリケーションを使っているために感染する。
2:メールで送りつける方法

 文書などに偽装したウイルス添付メールを送信する方法。社内連絡や話題となってい
る事件などのメールに偽装することで、添付ファイルを開かせようとする。

 2番目のメール添付は、以前の記事「三菱重工サイバー攻撃と標的型メール」で紹介
した手口と同じものだ。二つとも被害者側に問題がある。一つ目はセキュリティー対策
が甘いことが原因だし、二つ目は被害者の不注意によるものだ。

 また、ウイルス感染だけでなく、偽サイトに誘導してID・パスワードを盗み取るフィ
ッシング詐欺による被害も確認されている。警察庁によれば4月以降で計12件、15
00万円の被害が出ているとのこと。フィッシング詐欺によるネットバンキング不正送
金については、前回の記事「暗証番号を入力させる銀行フィッシングサイト」で詳しく
取り上げている。


不正送金被害を防ぐセキュリティー対策

 多発するネットバンキング不正送金被害に遭わないように、すべてのユーザーがセキ
ュリティー対策を見直すべきだ。IPA・情報処理推進機構による対策を基にポイントを紹
介する。

1:ブラウザーやアプリケーションソフトの脆弱性を解消する

 OS(基本ソフト)、ブラウザー、FlashやPDF文書を表示するアプリケーションソフト
は常に最新版にすること。脆弱性を突く攻撃でのウイルス感染を防ぐためだ。最新バー
ジョンにするには、「MyJVNバージョンチェッカ(IPA)」を使おう。

2:ウイルス対策ソフトは絶対必要

 ウイルス対策ソフトを導入し、最新のパターンファイルを導入すること。1年更新の
ウイルス対策ソフトなら、毎年必ず契約して最新のパターンファイルにすること。無料
ソフトは機能が低いものが多いので、できるだけ毎年更新の総合セキュリティーソフト
を導入したい。

3:メール添付ファイルを開かない

 添付ファイル付きのメールは、たとえ友人からのものであっても警戒する。安易に開
かずに、ウイルスであることを前提として慎重に扱おう。

4:IDとパスワードを流用しない。可能ならワンタイムパスワードを

 重要なパスワードは、必ず別のものにすること。ネットバンキング、クレジットカー
ドなどのパスワード・暗証番号は、一つずつ別のものにしよう。覚えきれない場合は、
紙にメモして自宅保管することを勧めたい。またネットバンキングでは、その度に異な
るパスワードを発行・利用するワンタイムパスワードの利用を勧めたい。不正アクセス
を防ぐためだ。

5:口座やカード利用明細を定期的に確認。アクセス利用履歴もチェック

 ネットバンキングやクレジットカードのネットサービスでは、最低でも1週間に1度
程度は明細をチェックすること。不正送金や不正利用がないか確認したい。「前回のア
クセス日時」も確認して、不正なアクセスがないか見ることも大切だ。

 ネットバンキングの不正アクセスは、他のウイルス被害とは異なり、金銭的な損害を
こうむるのでダメージが大きい。改めて上記の五つのポイントをチェックし、不正送金
の被害に遭わないようにしたい。
 
 ネットバンキング不正送金事件…正規サイトで暗証盗み取り?!

読売新聞(ヨミウリオンライン) 11月2日



三井住友銀行サイトでの不正なポップアップ画面の例(三井住友銀行のウェブサイトに
よる)


 三井住友銀行などネットバンキングの不正送金事件では、正規のサイトを表示してい
るのに、不正なパスワード入力画面が表示された。「中間者攻撃」という手口を使った
ウイルスの可能性が高い。

■銀行の正規サイトで偽のポップアップ画面

 まずはこの画像を見てほしい。三井住友銀行が自社のインターネットバンキングで、
警告として出している画像だ(警告ページ)。中央に大きく見えているのは、第二暗証
(乱数表)や第三暗証(第二暗証で指定された番号)の入力画面。ポップアップで表示
されている。そして、背景として左右に三井住友銀行のネットバンキングの画面が見え
ている。

▼背景=正規の三井住友銀行ネットバンキング
 三井住友銀行の正規サイト。フィッシングなどの偽サイトではなく、利用者は正規の
三井住友銀行のネットバンキングにアクセスしている。

▼中央のポップアップ=ウイルスによる表示
 ポップアップで中央に表示されているのは、ウイルスによるもので強制的にポップア
ップで表示された画面。利用者のパソコンがウイルスに感染しており(推測)、このポ
ップアップで暗証番号などを盗み取ろうとしている。

 デザインもそっくりで、しかも正規サイトで表示されたように見えるので、暗証番号
を入力してしまう人も出てしまうだろう。実際にこの不正表示にあった人のうち、少な
くとも196件では、利用者が暗証番号や本人確認用の合言葉などを入力していた(1日現
在、警察庁による)。

 被害は三井住友銀行で200万円の不正送金が確認されているほか、みずほ銀行でも数十
万円、楽天銀行でも被害が出ている模様だ。銀行だけでなく、クレジットカード会社に
も被害が及んでいる。2日12時現在で、不正表示が出るサイトとして報道されているのは
以下の通りだ。これ以外の銀行・カード会社のオンラインサービスでも、表示が出る可
能性はあるので十分な注意が必要だ。

▼ウイルス感染で不正なポップアップが出る可能性のあるサイト
 三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行、三菱
UFJニコス、ゆうちょ銀行

 この強制ポップアップを表示させる手口の詳細は現時点ではわかっていないが、コン
ピュータウイルスである可能性が高い。複数の銀行で不正表示が出ていること、銀行側
のサイトに問題点が見つかっていないことから、利用者のパソコンがウイルス感染して
いると考えていいだろう。

■常駐するウイルスによる「中間者攻撃」か

 今回の事件は、利用者のパソコンがウイルス感染していることが原因だと思われる。
被害の状況などから想像する流れは以下の通りだ。

 1:利用者のパソコンが、何らかの方法でウイルスに感染
 2:ウイルスが常駐し、表示するウェブサイトを監視している
 3:利用者が正規のオンラインバンキングのサイトにログイン
 4:ウイルスがログインを検知して、偽のポップアップを表示させる
 5:偽のポップアップで暗証番号・乱数表・質問と答えなどを入力させる
 6:入力したデータを犯人が盗み取る
 7:盗み取ったデータを使って、犯人が用意した口座に不正送金

 問題のポップアップでは、暗証番号や本人確認用の質問と答えなど、すべてのデータ
を入力させていた。たとえば三井住友銀行では、乱数表と呼ばれる数字が書かれたカー
ドが個別に配布されている。送金時には、このカードに書かれた番号を入力するが、そ
の度に使う場所の番号を入力させることで安全性を高めていた。しかし、今回の不正な
ポップアップでは、乱数表カードの全データを入力させている。このデータがあれば、
犯人はどこへでも送金できてしまうのである。

 この手口についてセキュリティー大手・トレンドマイクロは「国内オンラインバンキ
ング利用者を狙った攻撃、トレンドマイクロが注意喚起」という注意喚起の記事を出し
ている。それによると、今回の手口は「中間者攻撃(Man-In-The-Middle攻撃)」の可能
性があるとしている。

 中間者攻撃とは、ウイルスが正規のサイトにアクセスしたことを検知し、ブラウザー
が表示する内容を書き換えるなどして、情報を盗み取る手口のこと。今回の事件では、
ポップアップ表示によって暗証番号などを盗み取っている。

 今回の事件の最大の原因は、やはり利用者のパソコンがウイルス感染していると思わ
れることだろう。ウイルス感染したままのパソコンを使っている利用者は、セキュリテ
ィーに対する知識が低く、警戒心も薄いと思われる。そんな利用者がだまされて、ポッ
プアップを本物だと信じ、暗証番号などを入力して被害に遭ってしまっているのだ。

■口座の持ち主を逮捕、利用者側の対策は?

 犯人はまだ逮捕されていないが、送金された口座の持ち主は特定されており、口座名
義人の男が愛知県警に逮捕されている。報道によれば「口座は中国人の男に売った」と
供述している模様だ。口座の持ち主が犯人である可能性は低いので、犯罪グループが他
にあると考えていいだろう。

 利用者側の対策としては、ウイルスに感染しないようにセキュリティー対策をしっか
りする、自分のパソコンが感染していないか日頃からチェックする、という基本対策が
必要だ。ウイルス対策ソフトを入れること、ブラウザーやFlashなどの関連ソフトを自動
更新で常に最新版にするといったことが欠かせない。

 また、ネットバンキング利用の基本として、以下のことも覚えておきたい。

◆全データを入力させることはない
 銀行のサイト上で、第二暗証などの乱数表カード、質問と答えなどのデータを「すべ
て」入力させることはない。「セキュリティーの再確認のため」と称した表示が出たら
、偽の表示だと考えよう。

◆怪しい表示が出たらウイルス感染を疑う
 本来なかったポップアップ画面、データを全入力させる画面などが出たら、偽の表示
・偽のサイトの可能性がある。パソコンがウイルス感染している可能性があるので、す
ぐにパソコンの利用をストップすること。セキュリティー対策ソフトを導入し、初期化
するなどして復旧しよう。

■ログイン履歴・口座明細を確かめる

 ネットバンキング利用時は、前回のログイン日時を毎回チェックし、不正なログイン
がないか確かめる。また不正送金が行われていないか、口座を毎回確かめよう。

 犯人はまだ捕まっていないので、今後も同じような被害が出る可能性がある。家族や
友人にも警戒を呼びかけてほしい。
 
 濡れ衣を着せられないよう自己防衛を! - IPAがウイルス対策を呼びかけ

マイナビニュース 11月2日


情報処理推進機構(IPA)は11月1日、「11月の呼びかけ」として、コンピュータウイルス
に対する注意勧告を発表した。今回の発表は、ウイルス感染によって自治体のWebサイト
や掲示板サイトに対して勝手に殺人予告や破壊予告などが投稿されるという一連の事件
が発生していることを受け、ウイルス感染から身を守るための対策を改めて呼びかける
内容となっている。

【拡大画像や他の画像】

ウイルスによって掲示板サイトなどへの書き込みが行われた場合、PCの持ち主が書き込
んだものと疑われる可能性もあるため、十分に注意する必要がある。IPAによると、この
ような遠隔操作ウイルスは、まずインターネット上にある複数のサーバーに仕掛けられ
る。そして攻撃者が掲示板などにウイルスの場所(URL)を書き込み、これをクリックさせ
ることでウイルスを拡散させる。クリックしたユーザーがPCに保存されたファイルを実
行すると、ウイルスに感染してしまうという仕組み。

IPAは、一連の事件で使用されたものと同じと思われる遠隔操作ウイルス(chikan.zip)を
入手・分析しており、調査の結果、攻撃者が感染PCを直接操作するものではなく、間接
的に操作を行うタイプのウイルスであることがわかったという。遠隔操作ウイルスは感
染したPCから掲示板サイトの特定のページを定期的にチェックするようになっており、
攻撃者はウイルス感染PCへの指令に相当する文字列をその掲示板ページに書き込むこと
で、遠隔操作を行っていた。

なお、chikan.zipは「文字置換ソフト」を装って配布されており、これを解凍すると
「chikan.exe」と「data」という2つのファイルが生成される。chikan.exeを実行すると
さらに「iesys.exe」と「cfg.dat」というファイルが生成され、ウイルスに感染する。

cfg.datにはウイルスが指令を読み取るために掲示板サイトのどのページを参照するかが
記述されており、cfg.datの内容を書き換えることで、ウイルスが指令を読み取りに行く
ページを簡単に変更できるようになっていたという。

IPAはこのような遠隔操作ウイルスに感染しないための心がけとして、「出所の不明なフ
ァイルをダウンロードしたり、ファイルを開いたりしない」こと、「安易にURLリンクを
クリックしない」ことが重要だとしている。また、基本的な対策として、「使用してい
るパソコンのOSやアプリケーションなどの脆弱性を解消する」「ウイルス対策ソフトを
導入し、ウイルス定義ファイルを最新に保ちながら使用する」ことを呼びかけている。

さらに一歩進んだ対策として、適切に設定されたパーソナルファイアウォールの利用も
推奨されている。パーソナルファイアウォールを使い、ユーザーが許可したプログラム
だけを通信可能な状態にすることで、万が一ウイルスに感染した場合でも、ウイルスの
存在に気付きやすくなり、また、そのウイルスが外部と通信することを防げるという。

IPAはこれらの基本的な対策のほか、自分のPCから遠隔操作ウイルスによる自動書き込み
が行われてしまった場合に備えて、PCの動作記録を保存しておくことも提案している。
PC上のすべての動作を記録することは難しいものの、Windows OSの標準機能のひとつで
ある「Windowsファイアウォール」や、セキュリティ対策ソフトのログ機能などを用いる
ことで、ある程度の記録を取得・保存できるという。
 
 みずほ・楽天銀も被害か ネット不正送金 同一犯で捜査

産経新聞 11月2日



 三井住友銀行のインターネットバンキングで顧客の口座から無関係の別口座に不正送金された事件で、みずほ銀行や楽天銀行でも不正送金の被害があったことが1日、分かった。いずれも顧客のパソコンがウイルス感染して個人情報を盗み取られた可能性があり、警察当局は同一グループの犯行とみて捜査している。

 みずほ銀行によると、10月29日に首都圏の顧客から「数十万円が不正に送金された」と相談が寄せられた。顧客が同行のネットバンキングにログインした際に不正画面が表示され、IDやパスワードなどを入力した後、別の口座に現金が送金されたという。

 三井住友銀行の場合と同じく、送金先の口座は中国人名義とみられる。口座はすでに凍結された。

 楽天銀行でも顧客から同様の被害の届け出があり、同様の手口とみられる。

 警察庁によると、ゆうちょ、三井住友、三菱東京UFJの3銀行では1日までに229件の不正画面の表示があり、うち196件で顧客が暗証番号などを入力していた。

 住信SBIネット銀行や、クレジットカード大手の三菱UFJニコスでも同様の不正表示があるといい、被害がないか確認している。
 

<安倍氏殺害予告>発信PC特定 所有者は否認

毎日新聞 11月1日



 安倍晋三自民党総裁の殺害予告メールが警察庁などに相次いで届いた事件で、警視庁などの合同捜査本部は1日、発信元の個人宅を特定し、20代男性とその両親から事情を聴いた。3人はメールについて「まったく身に覚えがない」と話したという。同本部は遠隔操作された疑いもあるとみて、偽計業務妨害容疑で3人のパソコン(PC)計5台を押収し、ウイルス感染の有無について解析を進める。
 同本部によると、男性は「約1カ月前に2ちゃんねるから無料ソフトをダウンロードした後、PCの動作が極端に遅くなった」と説明。その後、本人がPCを調べたところ、「自分でインストールした覚えのないプログラムが入っていた」と話したという。捜査関係者によると、一連のPC遠隔操作事件で使われたウイルスとは別の名前だった。同本部はそのプログラムが原因でPCが感染した疑いがあるとみて調べる。

 殺害予告メールは10月1〜17日、警察庁や首相官邸などに計42通が送り付けられた。そのうち、同2日から9日までに首相官邸に届いた6通についてIPアドレスを調べたところ、いずれも同じ発信元だったことが判明し、男性らから事情を聴いた。

 残りのメールも国内の同じプロバイダー(通信事業者)が利用されており、同じ発信元の可能性があるとみられるという。

 メールには、遠隔操作されたPCから犯罪予告が送られた事件の一部について「やったのは俺たち」などと記されていた。また、一連の事件が報道される前から「他人のPCを踏み台にしている」と、遠隔操作を示唆する表現もあり、同本部が関連を調べていた。

PC所有者「身に覚えない」=安倍総裁脅迫メール、遠隔操作か―警視庁

時事通信 11月1日



 安倍晋三自民党総裁の殺害予告メールが送信された事件で、警視庁などの合同捜査本部が、メール送信元のパソコン(PC)を所有する男性一家から事情聴取したことが1日、捜査関係者への取材で分かった。一家は「身に覚えがない。インターネット掲示板で無料ソフトをダウンロードしたら動作が遅くなった」などと話しており、捜査本部はPCがウイルスに感染し、遠隔操作された疑いがあるとみて、解析を進めている。
 捜査関係者によると、メールは10月2日以降、警察庁や国家公安委員会、首相官邸などに計42通が届き、国内のインターネット接続業者(プロバイダー)を経由していた。
 うち6通が同じ個人宅から送信されており、捜査本部が一家から事情を聴いたところ、20代の息子が「1カ月ぐらい前にネット掲示板『2ちゃんねる』で無料のゲームソフトをダウンロードしたら動作が遅くなった」と説明。その後、PCを調べると、覚えのないソフトが起動していたという。 

警察庁 誤認逮捕受け、ウイルス情報DB化

日本テレビ系(NNN) 11月1日


 警察庁は、パソコンの遠隔操作事件で4人を誤認逮捕したことなどを受けて、コンピューターウイルスの情報を一元管理して、データベース化することを決めた。

 データベースは、警察庁が新設する不正プログラム解析センターが運用し、全国の各警察に新たなウイルスなどの情報を提供する方針。

ウイルス情報共有へDB創設、民間にも提供検討

読売新聞 11月1日

読売新聞


 警察庁は1日、サイバー犯罪の捜査で得たコンピューターウイルスの情報を一元管理するデータベース(DB)を創設した。

 男性4人を誤認逮捕したパソコン遠隔操作事件を教訓に、ウイルスの性質や類似性を迅速に把握して捜査に生かすのが狙い。DBの運用は新設の「不正プログラム解析センター」で行う。

 登録されるのは、ウイルスの機能や特徴、プログラム内容の詳細など。類似するウイルス情報などを検索して、全国の警察に提供する。早急な対策が必要な新種のウイルスなどについては、民間のウイルス対策会社への情報提供も検討するという。

 対象は、事件捜査で発見したウイルスのほか、標的型攻撃で情報共有の協力関係を結んでいる防衛や先端技術関連の企業約4800社から提供されたウイルス。こうしたウイルスは昨年1年間に約150件あった。これまで、ウイルスの解析は各都道府県に設置された警察庁の情報通信部の技官が当たり、東京の同庁の情報技術解析課に報告する決まりになっていた。ただ、明確な取り決めがなく、報告する内容や時期にはばらつきがあった。

 大阪、警視庁、三重などの都府県警で発生したパソコン遠隔操作事件では、迅速な情報共有ができなかったことが誤認逮捕を招いたとの見方もあり、警察庁ではDB創設と共に、解析前の事前報告を都道府県に指導する。
.

ロシアのサイバー攻撃にグルジアがマルウェアで反撃、「ハッカー」の写真を公表

ITmedia エンタープライズ 11月1日





グルジアがハッカーと名指しした男の所在マップも(Sophosより)


 ロシアからサイバー攻撃を受けたと訴えているグルジア政府が、この攻撃への関与が疑われる男のコンピュータにマルウェアを仕込み、Webカメラで写真を撮影することに成功したとして、男の顔写真を公表した。セキュリティ企業の英Sophosがグルジア政府緊急対策チーム(CERT)の報告書を引用して10月31日のブログで伝えた。

 それによると、2011年初めにグルジアのニュースサイトがハッキングされ、重要情報を盗み出すマルウェアがグルジア国内でまき散らされた。このマルウェアは感染したPCのWebカメラを使って会話を盗み聞きする機能も持っていたとされ、政府機関や銀行、重要インフラなどのコンピュータが被害に遭ったという。

 これに対する反撃として、グルジアCERTは意図的に自分たちのPCをこのマルウェアに感染させ、「Georgian-Nato Agreement」という名称のZIPファイルを置いて、攻撃側の目に留まるよう仕向けた。

 ハッカーは狙い通りにこのファイルを盗み、グルジアCERTがファイルに仕込んでおいたマルウェアを実行。これでグルジアCERTはハッカーのPCを乗っ取ることに成功し、Webカメラを使って、PCの前にいた男の写真を撮影した。

 男のコンピュータからは、マルウェアの使い方について説明したロシア語の電子メールなどが見つかったほか、男の所在地、ISP、メールアドレスといった情報も入手。男が使っていたドメインは、モスクワのロシア内務省の関連施設の住所で登録されていて、ロシアの情報機関、ロシア連邦保安庁(FSB)の所在地と近いことも分かったとしている。

 さらに、グルジア国内の感染コンピュータ制御用に使われていたWebサイトは、悪名高いロシアの犯罪集団「Russian Business Network」(RBN)と関係していることも分かったという。

 グルジアとロシアの間では、2008年にグルジアの南オセチア自治州をめぐって武力衝突が起き、この衝突に関連した「サイバー戦争」の発生も伝えられていた。
.

[新製品]マカフィー、NetApp製NAS向けのマルウェア対策製品「McAfee VirusScan Enterprise On-Board for NetApp」

BCN 11月1日



 マカフィーは、10月31日、NetApp製のネットワークストレージ(NAS)向けマルウェア対策製品「McAfee VirusScan Enterprise On-Board for NetApp」を、日本で発売した。税別価格は、1ライセンス127万9200円(1〜2ライセンス/初年度サポート料込み)〜89万1340円(101ライセンス〜)の範囲。

 マザーボード上に搭載するオンボードのセキュリティで、NetAppストレージシステムをリアルタイムで脅威から保護し、脅威がミッションクリティカルなデータに到達する前に阻止する。クラスターモードの「NetApp Data ONTAP 8.1」と完全に統合することによって、インストールやダウンタイム、ハードウェアのメンテナンスは不要。

 スキャン機能をハードウェアプラットフォームに組み込み、個別のスキャンサーバーを使用しないことで、パフォーマンスが向上。スキャンしたファイルの情報を維持し、変更されたファイルだけをスキャンするので、オンアクセスのスキャン中のロードは不要。スキャン方法は、自動またはオンデマンドアクセスから選択でき、いつでもストレージハードウェアのバックアップと復元ができる。

<サイバー犯罪対策>警察庁が「解析センター」新設

毎日新聞 11月1日




 新種のコンピューターウイルスに感染したパソコン(PC)から遠隔操作で犯罪予告が書き込まれるなど多様化・高度化するサイバー犯罪に対応するため、警察庁は1日、「不正プログラム解析センター」を新設した。これまで各都道府県警が行っていたウイルスなどの解析業務を一元管理して情報共有し、捜査の迅速化を図る。
 警察庁によると、犯罪に使われたサーバーやPCのデータ解析は、全国の管区警察局や各都道府県警の情報技術部門に配属されている専門職員約700人が担当。ウイルスなどの不正プログラムの解析件数は年々増加しており、昨年は150件だったのが、今年は9月末時点で既に160件。今後も増加が予想される。

 これまでの解析は原則として各都道府県警が個別に行い、解析結果を全国で共有する仕組みもなく「地域によって職員の技術的な格差がある」と指摘されてきた。遠隔操作で犯罪予告が書き込まれ4都府県警が4人を誤認逮捕した事件で、警察本部間の連携強化の必要性もクローズアップされた。

 こうした現状を踏まえて新設する不正プログラム解析センターでは、過去の実績から高度な技術を持つと判断された各地の専門職員約10人を「不正プログラム解析官」として新たに指定。捜査部門からの解析要請を同センターがすべて把握し、ウイルスの難易度などを分析。得意分野に応じて全国の各解析官に割り振る。

 さらに解析結果を集約したデータべース(DB)端末を、同センターに設置。ウイルスの機能やファイル名、識別情報などを登録し、全国からの問い合わせに応じて情報共有や捜査支援を進める。警察庁幹部は「能力の高い人材を有効活用することで不正プログラムの巧妙化、解析作業の増加に対応したい」と話している。

 遠隔操作事件では新種のウイルスが見つかったほか、最近発覚したインターネットバンキングの不正送金事件や、昨年あった三菱重工へのサイバー攻撃でもウイルスが使われたとみられている

ウイルス解析、一元管理=難事案は選抜職員に―警察庁

時事通信 11月1日



 コンピューターウイルスの解析体制を強化するため、警察庁は1日、不正プログラム解析センターを設置した。全国の警察が扱う解析をセンターが一元管理した上、能力に秀でた職員を選抜して難しい事案を任せる。
 昨年6月の法改正でウイルスの作成、提供、取得、保管を処罰できるようになったほか、4人の誤認逮捕を招いたパソコンの遠隔操作事件も発生。解析の重要性が増す中、情報を集め、「縦割り」を改めることで効率と迅速さを向上させる。
 ウイルスの解析はこれまで、管轄する各都道府県警が行い、警察庁には事後報告していた。難しい案件は解析に失敗した段階で同庁などに委託したため、時間も余計にかかっていた。
 1日からは全ての事案を一度センターに集約。難易度や類似性を見極めた上で割り振りを決め、データベースも構築する。また、優れた解析能力を持つ地方の職員を中旬までに10人程度選び、「解析官」に指定。高度な技術が必要な事案を、管轄に関係なく任せる。 


自民総裁殺害予告:「犯行声明」後もメール 同一人物か?

毎日新聞 2012年10月24日


 安倍晋三自民党総裁の殺害予告メールが警察庁などに送りつけられた事件で、パソコンの遠隔操作事件の「犯行声明」が今月9、10日にTBSなどに送信された後も、殺害予告メールが連日のように送られていたことが23日、捜査関係者への取材で分かった。メールには「他人のパソコンを踏み台にしている」などと、遠隔操作した「真犯人」と同様の手口を記しており、同一人物が関与した疑いがあるとみて、警視庁などの合同捜査本部は関連を調べている。

 警視庁によると、殺害予告メールは警察庁や国家公安委員会など4機関に今月1日から同17日までに計42通が送られていた。そのうち12日から17日までの間に15通が送信されていたという。

 メールの内容はいずれもほぼ同じで、大阪や三重の「なりすまし事件」が報道される前から、「他人のパソコンを踏み台にしているから無能なお前らには捕まえられない」などと遠隔操作を示唆する文章が含まれていた。一連の事件の「真犯人」は「犯行声明」後は沈黙を続けているとされるが、合同捜査本部はその後も脅迫メールを送信していた可能性があるとみて捜査を続けている。

犯行予告事件、身元隠す「Tor(トーア)」の悪用と犯人像





.
 遠隔操作ウイルス(なりすましウイルス)を使って、犯行予告を行った事件が拡大し
ている。真犯人は通信ルートを巧妙に隠す手段を使っており、警察の捜査の問題もあっ
て、逮捕には時間がかかりそうだ。


犯行声明メールで10件以上の余罪が判明

 遠隔操作ウイルス(なりすましウイルス)事件の全貌がようやくわかってきた。先週
の記事「遠隔操作ウイルスはオリジナル? 作者は腕の立つ人物か」でも手口を詳しく取
り上げたが、さらに犯人のものと断定できる犯行声明メールが届いたことで、余罪があ
ることが判明している。


 犯行声明メールは、テレビで事件を解説していた落合洋司弁護士に届き、さらに、落
合弁護士がTBSラジオの番組「ニュース探究ラジオDig」に出演している生放送の最中に
、TBSにも届いた。筆者は偶然にも、この番組に落合弁護士と共にゲスト出演し、手口や
犯人像を解説していた。生放送の本番中に、堂々とメールを送ってくることからも、犯
人がいかに自分の技術に自信があるか、身元を隠す手口にたけているかがわかる。


 犯行声明のメールや今までの手口などから、犯人像が見えてきている。筆者が考える
犯人像を挙げてみよう。


筆者のイメージする犯人像

 ・「男性」
 犯行声明の書き方、内容を見ると男性である可能性が強い。


 ・「30歳代」
 比較的古いネットのマニアがよく使う「したらば掲示板」を利用すること、2ちゃん
ねるを足場に使うこと、Winnyでの暴露ウイルスの手口を参考にしていると思われる節が
あることなどから、10代や20代である可能性は低いと思う。逆に脅迫手口に出てくるア
ニメの知識などを考えると、40代以上とも考えにくい。30歳代と考えていいのではない
か。


 ・「警察・検察に恨みがある」
 犯行声明のメールだけでなく手口からしても、警察・検察をバカにするような動きを
している。繰り返し同じような手口で、なりすましの脅迫を行っていることからも、「
捕まえてみろよ」と言わんばかりの行動が目立つ。警察に逮捕・事情聴取されたことが
あって恨みがある、もしくは、警察に何かを訴えたが相手にされずに悔しい思いをした
、などの経験があるのではないか。


 ・「プログラミングの知識があるマニア」
 犯人はプログラミングの知識があり(最低でもスクリプトを自分で書ける)、インタ
ーネットのプロトコルに理解がある。先週の記事「遠隔操作ウイルスはオリジナル? 作
者は腕の立つ人物か」、および犯行声明メールを見ても明らかだ


匿名システム「Tor(トーア)」利用が濃厚


Tor(トーア)のウェブサイト。本来はプライバシー保護・検閲回避のために使われるが
、犯人が身元を隠すのに使った可能性が高い

 今回の事件については、犯人は様々な痕跡を残している。トロイの木馬、掲示板での
指令、メール送受信など、通常であれば犯人逮捕につながるような情報を出している。
なぜ平気でメールを送ることができるのだろうか。それは、身元を隠すためのシステム
を使っていると思われるからだ。


 犯人が使っていると思われるのは、「Tor(トーア)」と呼ばれる中継システムだ。ト
ーアとは、通信ルートを秘匿するためのソフトやシステムのこと。Tor=トーアは、The
Onion Routerの略で、Onionはタマネギ。タマネギのように皮がいくつも重なる形、言い
換えると、多重に覆い隠すことでインターネット上のルートを隠す。


 トーアではネット上の複数ユーザーがお互いに接続し、P2Pネットワーク(ユーザー間
ネットワーク)の形で動いている。いくつものユーザーを、ルートがわからない形で中
継するため、大元の発信者が誰かわからないようになっている。インターネットでは、
プロキシと呼ばれる中継サーバーがよく使われるが、このプロキシを多重に使い、かつ
複数をランダムに使うシステムだと考えてもいいだろう。


 Torは米軍が開発したものだが、現在ではプライバシーの保護や、ネット検閲を避ける
手段として利用されることが多い。たとえば、中国で規制されたネットサービスにアク
セスする際に、トーアを利用する場合が多いと言われている。


 このトーアを使うと、発信元へのルートを追跡するのが非常に困難になる。アクセス
ログは残っていないし、そもそも経由されたサーバーがどこにあるのかすらも、判明し
ないからだ。犯人はトーアを使うことで「身元がたどれないだろう」と考えているはず
で、だからこそ犯行声明メールを堂々と送ってくるのだろう。


 TBSラジオに送られてきた犯行声明メールは、ヨーロッパやアメリカのサーバーを経由
していることが判明している。しかしながら、これもトーアの末端のサーバーが、ヨー
ロッパやアメリカにあるというだけの話で、そこから先をたどることが非常に難しい。
捜査は難航するだろう。


自分の技術を過信する犯人。小さなミスを追跡するしかない

 今回の事件では、警察側の対応が大きな問題となっている。足場として遠隔操作に利
用されたパソコンの持ち主4人を誤認逮捕しており、そのうちの少なくとも2人を「自白
」させていること。これは、自白強要があったと考えるしかないだろう。また、捜査の
時点でネットに対する知識が少なすぎて、IPアドレスだけで逮捕してしまっていること
。県警・府警単位で動いているために、事件の全体像をつかむのが遅れていることなど
、警察の問題が大きい。


 犯人は警察・検察をバカにするような行動を取っており、誤認逮捕の汚名を返上する
ためにも、警察は必死になって捜査するだろう。


 前述したように、犯人は追跡されにくい巧妙な手段を使っている。しかしながら筆者
が考えるに、犯人は「自分の技術・身元隠匿に自信を持ちすぎている」面があるようだ
。堂々と犯行声明メールを送ってくることからも、自分の技術を過信している。過信し
すぎて、小さな落ち度があるかもしれない。文章の表現、サーバー接続の時間帯、掲示
板利用のクセ、といった面から何かのヒントがあるのではなかろうか。トーアについて
も、国内のトーアのサーバーを全調査すれば、何らかのヒントがあると思われる(犯人
自体もトーアのサーバーを動かしている可能性があるため)。


 警察・検察は、誤認逮捕と自白強要について謝罪するとともに、迅速に捜査を進める
べきだ。ようやく19日になって合同捜査本部ができているが、この対応からして遅すぎ
る。合同捜査本部の人数を増やす、専門家を投入するなどの方法で、早く遠隔操作ウイ
ルスの真犯人をつきとめてほしい。(ITジャーナリスト・三上洋)
PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/