PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/
 
 トレンドマイクロ、コンシューマ事業の戦略を発表

Computerworld 7月31日



▲トレンドマイクロ取締役副社長グローバル コンシューマ ビジネス担当の大三川彰彦氏


▲トレンドマイクロ取締役副社長グローバル コンシューマ ビジネス担当の大三川彰彦氏

【詳細画像を含む記事】

  トレンドマイクロは7月31日、コンシューマ事業戦略に関する記者会見を行い、今後は同事業を「デバイス」「データ」「プライバシー」「ファミリー」の4領域に分け、包括的なセキュリティとサービスを提供していくことを明らかにした。

 冒頭、同社取締役副社長グローバル コンシューマ ビジネス担当の大三川彰彦氏は、「コンシューマ市場おいてわれわれは、PC向けウイルス対策ソフトを軸に事業を推進してきた。しかし、今後はウイルス対策ソフトにだけではなく、ユーザーの不便や不安を解消するため、ソフトとハード、そしてサービスを組み合わせたデジタルライフ支援サービスに事業を拡大していく」と語った。

 デバイス分野では、PCやスマートフォン、タブレット端末など、さまざまな端末を保護するソリューションを提供する。またプライバシー分野では、デバイスやクラウド・サービスへのログイン・パスワードを管理する新サービスを、2012年第3~第4四半期中に提供する予定だという。

 ファミリー分野では、フィルタリング機能やワンクリック詐欺などのポップアップを削除する「不正請求クリーンナップサービス」のほか、位置情報を利用した家族の安全保護サービスなどの提供を企画している。

▲今後の製品/サービスロードマップ

 グローバルコンシューマ事業の中期目標としては、総売上高を2011年の実績から3年後の2014年には25%増の550億円超に、5年後の2016年には45%増の650億円の成長を目指すという(受注ベースの売上高目標)。

 地域別の方針としては、日本が継続してPC向けセキュリティソフトのビジネスを維持しつつ、新分野のビジネスの開拓を行い、他地域を牽引するとしている。

 国・欧州の先進国市場では、通信・サービス事業者とのアライアンスを軸にした新規チャネル開拓と、サービス型(サポート型)ビジネスを推進する。また、アジア太平洋・南米の新興国市場では、モバイル・ネットワーク利用の普及で拡大した新規顧客の獲得をねらうという。

 組織面では、日本市場を基盤にグローバルで新たな事業を推進する体制として、大三川氏が全世界のコンシューマビジネスを統括する。さらにPC向けセキュリティソフトに集中してきたグローバルでの製品開発体制を、「インターネットセキュリティ(Windows/Mac)」、「モバイル」、「新規(ホーム&データマネジメント)」に分割し、「新規」分野に約100名の開発人員を割り当てるという。
(Computerworld.jp)
 
 [経営戦略]トレンドマイクロ、「セキュリティソフトの会社」から「セキュリティを簡単にする会社」へ

BCN 7月31日




「パスワードマネージャー」のデモンストレーション


 トレンドマイクロは、7月31日、グローバルコンシューマ事業の刷新を発表した。これまでのPC向けウイルス対策ソフトに主軸を置いた事業展開から、ソフト・ハード・サービスを組み合わせ、ユーザーの不便・不安を解消するデジタルライフ支援サービスへ事業を拡大していく。

【写真入りの記事】

 発表会で大三川彰彦副社長は、「これまでPCが中心だったデジタルライフが、いまやPC、スマートフォン、タブレット端末が中心になってきた。スマートフォンやタブレット端末が普及したことで、データを簡単にSNSやクラウドにアップすることができ、いつでもどこでもデータにアクセスすることができる。しかしその反面、データが各デバイスやSNS、クラウドに分散してしまっている。また、デバイスの紛失や情報の流出などのリスクも高まっている」と、デジタルライフの状況の変化を説明した。

 こうした現状を踏まえ、トレンドマイクロは、事業領域をこれまでのPC向けウイルス対策ソフトに主軸を置いた戦略から「デジタルライフ支援」へと拡大する。具体的には、デバイス、データ、プライバシー、若年層やシニア層を守るソリューションを展開する。大三川副社長は、「コンシューマビジネスの世界総売上高を、2014年には2011年実績の25%増の550億円に、2016年には45%増の650億円まで引き上げる」とした。

 執行役員兼ホーム&データマネジメント製品企画・開発の吉田健史統轄部長は、具体的な製品・サービスのロードマップを説明。今秋発売予定のパスワード管理ソフト「パスワードマネージャー」の簡単なデモンストレーションを行った。

 吉田統轄部長は「自分が使っているさまざまなパスワードを、すべて管理するのは大変だ。『パスワードマネージャー』は、パスワードをクラウドで安全に管理し、簡単にログインできるようにする。そうすることで『覚えられないから』という理由で同じパスワードを使い回すリスクを回避できる。これまでトレンドマイクロはウイルス対策ソフトの会社だと思われていたが、これからは複雑なセキュリティを簡単にする会社だと思われたい」と話した。
 
 「あなたの写真?」と問いかける悪質ツイート、Twitterで大量に流通

ITmedia エンタープライズ 7月30日



 ユーザーをだましてマルウェアに感染させようとする悪質なスパムツイートがTwitterで大量に出回っているとして、セキュリティ企業の英Sophosが7月27日のブログで注意を促している。

 それによると、問題のツイートは「It's you on photo?」(写真に写っているのはあなたですか?)という一文でユーザーの関心を引き、リンクをクリックするよう仕向けている。「It's about you?」という文言を使ったバージョンも出現しているといい、今後さらに別の文言に切り替わる可能性もある。

 これらツイートは、攻撃目的で開設されたアカウントや、乗っ取られたアカウントから発信されているとみられる。ユーザーがだまされてリンクをクリックすると、ロシアのWebサイトに誘導され、「Blackhole」という悪名高い脆弱性悪用ツールキットを使ってWindowsPCがマルウェアに感染させられる恐れがあるという。

 特にセキュリティ対策が不十分なPCではコンピュータや個人情報が危険にさらされる恐れがあるとSophosは指摘し、Twitterでこのようなツイートを見かけても、リンクをクリックしてはいけないと呼び掛けている。
 
 トレンドマイクロ、PCやスマートフォンを一元管理するSaaS型セキュリティサービス

BCN 7月27日



 トレンドマイクロ(エバ・チェン社長兼CEO)は、8月25日、中小企業向けSaaS型セキュリティサービス「ウイルスバスター ビジネスセキュリティサービス(VBBSS)5.0」を発売した。税抜価格は1クライアント年間8000円で、今後1年間で5億円の売り上げを見込む。

 PC、スマートフォン、タブレット端末など、マルチデバイスのセキュリティの一元管理を実現。管理サーバーをトレンドマイクロのデータセンターに設置し、ユーザーはクラウド上の管理画面にログインすることで、パターンファイルの更新状況、ウイルス検索の履歴、不正なウェブサイトへのアクセス履歴を確認できる。自社にサーバーを設置する必要がないので、申込みから最短1日で利用でき、管理者の負担や運用コストの削減に寄与する。

 Windows OSだけでなく、Android、Mac OSにも対応。Android向けにはウイルス対策と不正なウェブサイトへのアクセスを防止するウェブレピュテーションを、Mac OS向けにはウイルス対策とウェブレピュテーション、スパイウェア対策を提供する。
 
 [新製品]マカフィー、インテルと共同開発した次世代セキュリティ製品「McAfee Deep Defender」など、8月1日発売

BCN 7月26日



 マカフィーは、ネットワークにつながるあらゆるデバイスを保護する次世代エンドポイントセキュリティ製品「McAfee Deep Defender」「McAfee ePO Deep Command」を、日本市場で8月1日に発売する。

 「Deep Defender」は、OSを超えて未知の脅威に対応する業界初のハードウェア支援型セキュリティ製品。デスクトップPCやノートPC、サーバー、スマートデバイス、POSやATMなどの組み込みシステムなど、次世代エンドポイントのセキュリティソリューションとして、インテルと共同で開発した。

 「ePO Deep Command」は、次世代エンドポイントソリューションの管理性を向上するセキュリティ管理ソリューション。マカフィー製品の一元的統合管理ソリューション「McAfee ePolicy Orchestrator」の拡張機能として、電源が入っていない状態や機能していない可能性のあるPCへのリモートアクセスを提供し、セキュリティの運用コスト低減と管理の最適化を実現する。

 「Deep Deefender」の価格は、11〜25ライセンスが1ライセンスあたり4070円(税別)、1万ライセンス超が1ライセンスあたり1340円(税別)。「ePO Deep Command」は、11〜25ライセンスが1ライセンスあたり2620円(税別)、1万ライセンス超が860円(税別)。
 
 ハードウェア支援型のPCセキュリティ、マカフィーとインテルが共同開発製品を発売

ITmedia エンタープライズ 7月25日




エンドポイントを狙ったマルウェアの発生が毎年急増しているという


 マカフィーは7月25日、インテルと共同開発したPC向けセキュリティ製品「McAfee Deep Defender」および「McAfee ePO Deep Command」を8月1日に発売すると発表した。企業ユーザー向けに提供する。

 両製品は、インテルのチップセットに内蔵された機能を利用する世界初の「ハードウェア支援型セキュリティ対策」が特徴という。Deep Defenderは、OSの深層に潜入して活動するrootkitの検出・駆除を行う。ePO Deep Commandは、「インテル vPro テクノロジー」のAMT(Active Management Technology)を利用して、マカフィーのセキュリティ統合管理ツールから遠隔操作で管理対象のPCの電源操作やセキュリティアップデートなどを行えるようにする。

 動作環境は、Deep DefenderではOSがWindows 7 Home Premium以上のエディション、CPUがインテル Core iシリーズ、ePO Deep CommandではOSがWindows XP/Vista/7/Server 2003/2008、PCのCPUがCore i 5/7 vPro。

 価格はDeep Defenderが1ライセンス当たり年間4070円(税別、11〜25ライセンス時)、ePO Deep Commandが同2620円(同)。両製品とも別途、マカフィーの企業向けウイルス対策製品やePOを含んだセキュリティスイート製品が必要になる。

 両製品は、Intelが2010年にMcAfeeを買収してから初めての共同開発製品となる。McAfee エンドポイントセキュリティ担当バイスプレジデント兼ゼネラルマネージャーのキャンディス・ウォーリー氏は、「エンドポイントの定義がPCからモバイル、さらには組み込み機器へと広がり、マルウェアを中心とする脅威も拡大している。定義ファイルを用いる伝統的な対策では難しくなりつつあり、新たなアプローチが求められている」と述べた。

 例えば、Deep DefenderではインテルのCPUに搭載されている仮想化支援機構のVT-xを利用し、PC起動時にOSを読み込む際にrootkitの活動を監視することを可能にした。従来のrootkit対策ではOS上で動作するセキュリティソフトの定義ファイルを利用しなくてはならず、OSの深部で活動するrootkitの監視には限界があったという。

 ePO Deep CommandではIT管理者のクライアント管理業務を効率化することに重点が置かれている夜間などにPCの管理業務をリモートで集中的に行えるようにすることで、管理者が現場に出向く負担や時間を軽減でき、作業の漏れを解消する効果も期待されるとしている。

 一方、インテル 副社長の宗像義恵氏はMcAfee買収の狙いについて、セキュリティ脅威への対応基盤となる「Global Treat Intelligence」や統合管理ツール、広範なパートナー体制を挙げた。「当社の製品開発では高い電力効率や性能、ネットワークへの接続性、セキュリティを重視する。特にセキュリティ面ではマカフィーの存在が不可欠であり、日本の企業ユーザーが安心して利用できる製品を提供していきたい」と語った。

 両社では今後、モバイル端末や車載装置、組み込み機器などの分野にもセキュリティソリューションを展開していくという。
 
 マカフィー、インテルと共同開発した次世代セキュリティ製品の国内販売を開始

RBB TODAY 7月25日


「Deep Defender」では、CPUとOSの間に配置されたMcAfee DeepSAFEテクノロジーで脅威を監視


 マカフィーは25日、次世代エンドポイントセキュリティ製品「McAfee Deep Defender」および「McAfee ePO Deep Command」の日本国内での正式発売を発表した。8月1日より販売を開始する。

【画像】「ePO Deep Command」の概要、パッケージイメージ

 「Deep Defender」は、インテルとマカフィーが共同開発した。業界初のハードウェア支援型セキュリティ製品。次世代エンドポイントにおける、OSに依存しない新しいセキュリティソリューションとして開発された。OS上で動作し定義ファイルに依存する従来型のウイルス対策製品では、従来のアプローチを回避する新種のルートキットをリアルタイム検知することが困難だが、Deep Defenderでは、OSより深いレベルでの監視を行うMcAfee DeepSAFEテクノロジー、独自のヒューリスティック型検出エンジンなどにより、リアルタイムに検知可能としている。

 同時発売の「ePO Deep Command」は、OSの階層を超えたレベルでエンドポイントと通信するセキュリティ管理ソリューション。マカフィー製品の一元的統合管理ソリューション「McAfee ePolicy Orchestrator(ePO)」の拡張機能として、インテルvPro テクノロジーのインテル アクティブ・マネジメント・テクノロジーを利用して、電源が入っていない状態や機能していない可能性のあるPCへのリモートアクセスを提供する。

 価格は、Deep Deefenderが1ライセンス4,070円(税抜、11〜25ライセンス、初年度サポート料込)〜1,340円(税抜、1万ライセンス超)。ePO Deep Commandが1ライセンス2,620円(税抜、11〜25ライセンス、初年度サポート料込)〜860円(税抜、1万ライセンス超)。両製品ともに、別途マカフィーのウイルス対策製品およびePOを含むスイート製品が必要になる。
 
  [セキュリティ]マカフィー、エネルギー分野産業用制御システムのセキュリティに関するレポートを発表

エネルギー分野産業用制御システムにおける、機能と適用性の技術セキュリティ評価


 マカフィーは、6月18日、米エネルギー省(DOE)の連邦請負業者パシフィック・ノースウェスト国立研究所(PNNL)と共同で、「エネルギー分野産業用制御システムにおける機能と適用性の技術セキュリティ評価:McAfee Application Control、Change Control、Integrity Control」レポートを発表した。

【画像入りの記事】

 重要インフラに迫るサイバー脅威への課題や、主要リソース、リスクや脆弱点の特定に関する調査を行った初めてのレポート。産業用制御システム環境の安全確保に関して、国家的なセキュリティミッションをサポートするソリューションの価値や効果についての分析を行った。

 レポートでは、活発で強力な「APT(Advanced Persistent Threat)」と呼ばれる脅威に対して、ガバナンスや技術の視点から書く制御システムの安全を効果的に確保することが、重要インフラやエネルギー業界にとっての大きな課題であるとしている。

 PNNLとDOEは、制御システム環境での脆弱点として、スマートグリッドのデバイスやシステムに接続している通信ネットワークが各デバイスへのアクセスポイントを多数設けたことによる潜在的攻撃への露出の増加、通信ネットワークの相互接続が増えたことによるシステムの露出の増加、サブシステムの増加を原因とする複雑性、自動化によって大量に収集したデータの不適切な利用への懸念を挙げる。

 新技術がエネルギー分野に与える影響についても考察し、通信技術が進化し、電力系統の運用や計画機能に組み込まれることによってスマートグリッドが実現した一方で、サイバーセキュリティを考慮した設計が行われていない点を指摘する。

 制御システムの脆弱性を回避し、攻撃を軽減する方法として、動的ホワイトリスト、メモリ保護、ファイル整合性モニタリング、書込み保護、読取り保護の、五つのソリューションを挙げている。
 
 [販売戦略]マカフィー、「ドコモ あんしんスキャン powered by McAfee」が1年間で500万ダウンロード達成

BCN 7月24日



 マカフィーは、NTTドコモが提供するAndroidスマートフォンユーザー向けセキュリティサービス「ドコモ あんしんスキャン powered by McAfee」が、1年間で500万ダウンロードを達成したと発表した。

 マカフィーのセキュリティソリューションを用いた「ドコモ あんしんスキャン powered by McAfee」は、2011年7月1日に提供を開始し、7月20日時点で500万ダウンロードを達成した。Android OSを搭載したスマートフォンをさまざまなマルウェアの脅威から守り、ユーザーが安心してスマートフォンを使える環境を提供する。ユーザーがインストールするアプリやmicroSDカードなどに潜むマルウェアをスキャン・検知し、削除することができる。

 マルウェアを検知するための定義ファイルのアップデートや端末のスキャンなどは自動で行うので、常に最新のマルウェア対策でスマートフォンを安全な状態に保つことができる。、危険サイト対策機能「セーフブラウジング」を利用することで、フィッシングサイトなどの危険なウェブサイトへのアクセスを防ぐことができる。

 
 トレンドマイクロが中小企業向けセキュリティサービスを強化、MacやAndroidに対応

ITmedia エンタープライズ 7月24日



 トレンドマイクロは7月24日、中小企業向けのSaaS型セキュリティサービスの最新版「ウイルスバスター ビジネスセキュリティサービス5.0」を8月25日から提供すると発表した。

 同サービスはWindows PCでのウイルス定義ファイルの更新状況やウイルス検索の履歴、不正なWebサイトへのアクセス履歴などを確認できるもの。ユーザー企業では管理用サーバを自前で保有する必要がなく、管理者は同サービスのWebサイト上で自社のPCのセキュリティ状況を把握できる。

 8月から提供する最新版ではWindows PCに加えて、AndroidとMacの両端末にも対応した。Androidでウイルス対策とWebレピュテーション、Macではウイルス/スパイウェア対策、Webレピュテーションの機能を利用できるようになる。

 利用申し込みは同社の認定パートナーかトレンドマイクロダイレクトストアから。参考標準価格は1クライアント当たり年間8000円(税別)となる。
.
 
 トレンドマイクロ、PCとスマホを一元管理するSaaS型サービスを提供開始

Computerworld 7月24日



 トレンドマイクロは7月24日、中・小規模企業向けSaaS型セキュリティサービス「ウイルスバスター ビジネスセキュリティサービス5.0」(以下、VBBSS 5.0)を8月25日より提供開始すると発表した。

 VBBSS 5.0はPC、スマートフォン、タブレット端末などのセキュリティを、SaaS型で一元管理できるセキュリティサービス。同社では今後一年間の販売目標を5億円としている。


 VBBSS 5.0は各デバイスを管理するサーバをトレンドマイクロのデータ・センターに設置し、ユーザーはクラウド上の管理画面にログインすることで、パターンファイルの更新状況、ウイルス検索の履歴、不正なWebサイトへのアクセス履歴などを確認できる。

 同社では「自社に管理サーバの設置が不要なため、サーバ運用にかかる費用や管理者の労力を低減することが可能。また、申し込みから最短1日で利用可能なため、早期にセキュリティ対策を開始できる」としている。

 VBBSS 5.0ではWindows OSのほか、Android OS、Mac OSに対応。Android OS向けには、ウイルス対策と不正なWebサイトへのアクセスを防止するWebレピュテーションを、Mac OS向けにはウイルス対策、スパイウェア対策、Webレピュテーションをそれぞれ提供する。

 参考標準価格は8,000円(税抜、1CL/年)で、同社の認定パートナー、またはトレンドマイクロダイレクトストアから購入できる。
(Computerworld.jp)
 
 「ドコモ あんしんスキャン powered by McAfee」が500万ダウンロード達成

+D Mobile 7月23日



 マカフィーがNTTドコモのAndroidスマートフォン向けに提供しているセキュリティソリューション「ドコモ あんしんスキャン powered by McAfee」(以下、あんしんスキャン)のダウンロード数が、7月20日に500万件を達成した。

 2011年7月1日に提供を開始したあんしんスキャンは、ユーザーがインストールするアプリやmicroSDカードなどに潜むマルウェアをスキャンして検知し、削除することができるアプリ。端末スキャンやマルウェアを検知する定義ファイルのアップデートは自動で行われるため、常に最新の状態でマルウェア対策が行える。

 さらにマカフィーは、フィッシングサイトなどの危険なウェブサイトへのアクセスを防ぐ危険サイト対策機能(セーフブラウジング)を5月28日から提供しており、マルウェア対策と合わせてより安全にスマートフォンを利用できる。
 
 Android端末を狙う不正プログラム内に、中国広東省の電話番号が記載

RBB TODAY 7月23日



テキストメッセージの送信に関するコード内に電話番号が記載されていた


 トレンドマイクロは20日、Android端末を狙う不正プログラム3個を分析した結果を公表した。この不正プログラムは、正規の天気予報ツール「GoWeather」をトロイの木馬化したアプリで、7月初旬より流行の兆しを見せている。

【画像】トロイの木馬のコード内容など

 これらの不正プログラムは、トレンドマイクロ製品で「ANDROIDOS_TROJMMARKETPLAY」として検出される。ベータ版ビルドと考えられる「ANDROIDOS_TROJMMARKETPLAY.B」は、インストールされると、携帯電話のデータ通信で必要となる接続先を指定する文字列「アクセス・ポイント・ネーム(APN)」を「CMWAP」に変更する。この変更により、携帯端末は、自動的に非公式のアプリ配信ストア「M-Market」に自動的にログインし、有料のアプリやメディアファイルを検索・ダウンロードするという仕組みだ。

 トレンドマイクロは、解析を通して、テスト用コードや「ANDROIDOS_TROJMMARKETPLAY.B」を操作するサイバー犯罪者についての情報を確認したことから、「ANDROIDOS_TROJMMARKETPLAY.B」は、ベータ版ビルドであると推定したという。同社が把握した情報には、テキストメッセージの送信機能を含むテスト用コード、プライベートのIPアドレス、さらに電話番号が含まれていた。「●●●●23046」「●●●●56246」「●●●●30884」といった電話番号だが、これらは、中国の広東省広州に関連するものだった。

 なお、この不正プログラムに関連するサイバー犯罪者たちがここを拠点としていたかの十分な証明はできていないとのこと。ただし、そのうちの1つ、「●●●●56246」は、いまだサイバー犯罪者によってテキストメッセージの送信や初期化のために利用されている

 また、「yunkong」という言葉がコード内に頻繁に使われていることも確認されている。この言葉は、これら不正プログラムに関連する“特定の人物”または“組織の名前”を示していると推測されている。
 
 スマートグリッドにもサイバー攻撃の危機 送電網が“人質”

ITmedia エンタープライズ 7月20日



 セキュリティ企業の米McAfeeは、送電網の制御に使われるスマートグリッドの弱点を指摘する報告書を発表した。都市機能を担う送電網がサイバー攻撃の標的になりかねない現状に警鐘を鳴らしている。

 McAfeeは報告書の中で、送電網が攻撃されれば家庭用の照明や家電から防空システムに至るまであらゆる分野に被害が及び、都市機能がマヒする恐れもあると解説。何者かが電力会社などのシステムに不正侵入して破壊能力を誇示し、金銭を脅し取ろうとした事件が各国で報告されているという。さらに金目当てや情報目当てのスパイ活動や妨害工作などの恐れもあるとした。

 スマートグリッドの弱点としてはまず、既存の電力網の推定70%は30年以上前のものであり、これを近代化する過程で古いシステムを暗号化しないままインターネットに接続するなど、セキュリティ対策が後手に回りがちだと指摘した。

 さらに、電力網を遠隔コントロールするためのオートメーション化によって、外部からシステムにアクセスできる状態になったことも挙げている。

 だが最も危険なのは恐らく、送電網に組み込まれたソフトウェアやデバイスの汎用化が進み、相互運用性が高まっている点だとした。これが弱点となって、不正侵入や破壊活動の格好の標的になりかねないと警告している。

 こうした弱点に対処してサイバー攻撃を食い止めるため、「グリッドコンポーネントは計画・設計段階からセキュリティを組み込む必要がある」とMcAfeeの専門家は強調している。
 
 ネットワーク不正侵入防止ソリューションの最新版を発表 マカフィー

ITmedia エンタープライズ 7月19日



 マカフィーは7月19日、データセンター向け次世代ネットワーク不正侵入防止ソリューションの最新版「McAfee Network Security Platform XC-240 Load Balancer」を国内で発売すると発表した。7月20日から販売開始する。

 新製品は、最大80GbpsのIPSソリューション「XC Cluster」を搭載することで、物理、仮想化、クラウド環境における高度な脅威対策を提供するほか、データセンター、通信企業のコアネットワーク、サービスプロバイダーのネットワークにおけるプライベートクラウドのニーズに対応する。

 オプションの仮想アプライアンス「McAfee Network Threat Behavior Analysis (NTBA) Virtual Appliance」と組み合わせることで、レイヤー7の情報など、ネットワークのフローデータを活用してIPSの可視化機能を強化する。複数のネットワークアプリケーションフローを関連付け、ネットワーク内の脅威をより詳しく把握することで、脅威やアプリケーションの動作を時間ベースで分析できるという。
 
 マカフィー、最大80Gbpsまで拡張可能な新IPSを発表

@IT 7月19日



 マカフィーは7月19日、負荷分散機能を備えた不正侵入防止システム(IPS)「McAfee Network Security Platform XC-240 Load Balancer」(XC-240 Load Balancer)を発表した。「McAfee Network Security M-8000XC Sensor Appliance」(M-8000XC Sensor)と組み合わせることで、データセンターをはじめ、高いパフォーマンスが要求される環境に20Gbpsから最大80Gbpsの性能を提供するという。

 McAfee Network Security Platformは、かつて「IntruShield」の名称で販売されていたIPS製品だ。シグネチャやビヘイビア分析を用いてワームやボットといったマルウェアや不正アクセス、P2P通信などを検知し、ネットワークをリアルタイムに防御する。

 新製品のXC-240 Load Balancerは、「XC Cluster」という負荷分散機能によって、必要に応じてスループットを拡張できることが特徴だ。M-8000XC Sensorを2台から最大8台まで追加することで、環境に応じたパフォーマンスを提供できる。

 また、オプションとして提供される仮想アプライアンス「McAfee Network Threat Behavior Analysis(NTBA)Virtual Appliance」を組み合わせれば、スイッチやルータから得られるフローデータやNetwork Security Platformからの情報を基にネットワークトラフィックの状況を可視化できる。これにより、未知の攻撃やアプリケーションレベルの攻撃を検出しやすくなるという。

 XC-240 Load Balancerの価格は675万円で、Network Security Platformのサポート料金は年額135万円。NTBA Virtual Applianceは無償でバンドルされる。7月20日から販売を開始する。
 
 [新製品]マカフィー、DC向け次世代ネットワーク不正侵入防止ソリューションを発売

BCN 7月19日



 マカフィーは、データセンター(DC)向けの次世代ネットワーク不正侵入防止ソリューション「McAfee Network Security Platform XC-240 Load Balancer」を、7月20日に発売する。

 高性能で高度な拡張性をもつIPSソリューション「XC Cluster」を搭載。物理・仮想化・クラウド環境で高度な脅威対策を提供し、DCや通信企業のコアネットワーク、サービスプロバイダのプライベートクラウドのニーズに対応する。

 オプションで提供する仮想化アプライアンス「McAfee Network Threat Behavior Analysis(NTBA) Virtual Appliance」は、レイヤー7の情報などネットワークのフローデータを活用して、IPSの可視化機能を強化。複数のネットワークアプリケーションフローを関連づけして、脅威をより詳しく把握することができる。「M-8000XC Sensor」(最小2台)と同時に使用することで、最大8台/80Gbpsまでの拡張に対応する。

 また、スイッチやルータからのフローデータや「Network Security Platform」からの情報をもとに、ネットワークデータに潜む重要な情報を可視化。「McAfee Network Security Platform」と統合連携した高次元のセキュリティ管理・運用ができる。
.
 
 マカフィー、IDC向け不正侵入防止「McAfee Network Security Platform」新モデル発売

RBB TODAY 7月19日



XC-240 Load Balancer


 マカフィーは19日、データセンター向け次世代ネットワーク不正侵入防止ソリューションの新モデル「McAfee Network Security Platform XC-240 Load Balancer」を発表した。7月20日より国内販売を開始する。

【画像】導入イメージ、M-8000XC Sensorなど

 「McAfee Network Security Platform」は、公開サーバーへの攻撃対策、内部ネットワークの重要サーバーセグメントの脆弱性予防のほか、ワーム、ボット、P2Pなどの通信をネットワーク上でリアルタイムに検知、予防するネットワークIDS/IPSアプライアンス。この新モデルは、既存製品で最も性能の高いネットワークIPSソリューションと比較してさらに高性能かつスケーラブルで、最大80GbpsのIPSソリューションXC Cluster(XC クラスター)が搭載されている。XC Clusterにより、物理、仮想化、クラウド環境における高度な脅威対策を提供し、データセンター、通信企業のコアネットワーク、サービスプロバイダーのネットワークにおけるプライベートクラウドのニーズに対応する。

 今回販売開始する新モデルはM-8000XC Sensor(最小2台)と共に使用することで、最大8台および80Gbpsまで、ビジネスの規模に合わせて拡張可能な超高速のIPSソリューションとなっており、2012年ラスベガスで開催されたINTEROPにてセキュリティ部門賞(best of INTEROP Awards)を受賞している。

 また、同時に新しい仮想アプライアンス「McAfee Network Threat Behavior Analysis (NTBA) Virtual Appliance」をオプションとして提供開始する。「McAfee NTBA Virtual Appliance」は、ネットワークトラフィックの傾向を基にした未知の攻撃対策や、アプリケーションレベルのネットワークデータの可視化を実現し、「McAfee Network Security Platform」と統合連携した高次元のセキュリティ管理、運用が可能だ。複数のネットワークアプリケーションフローを関連づけ、ネットワーク内の脅威をより詳しく把握することにより、脅威やアプリケーションの動作を時間ベースで分析可能。
 
 マカフィー、ロンドン・オリンピックに関連した詐欺メールに注意喚起

Computerworld 7月18日



 McAfeeは7月18日、同社の公式ブログにおいて、「ロンドン・オリンピックに関連した詐欺メール」に対する注意を呼びかけた。こうした詐欺メールは、オリンピックやワールドカップなど、大規模なイベント前には必ず登場する。

【詳細画像を含む記事】

 McAfeeによると、以下のような文面のメールが、すでに出回っているという。

おめでとうございます!

2012年ロンドン・オリンピック プロモーションから、あなたが幸運な当選者であることをご連絡いたします。あなたは95万ポンド(約1億1,700万円※)を当選されました。

今回、オリンピック120回を記念するイベントにおける抽選につき、当団体では2012年ロンドン・オリンピック プロモーションと人道支援の促進のために、2,650万ポンド以上を展開いたします。

参加者はオーストラリア、ニュージーランド、北アメリカ、南アメリカ、ヨーロッパにおける45のモバイルやEメールのネットワークから、コンピューターによる投票システムによって選考されました。(※は編集部注釈)

▲実際に出回っている詐欺メール(出典:McAfee公式ブログ)

 米国McAfeeのSenior Threat Researcherであるフランソワ・パジェット(Francois Paget)氏は、「こういったメールは、受信者が多額の賞金を獲得したと伝える。信じたユーザーが偽りの管理者に連絡を取ると、賞金を受け取るため、手数料や振込手数料を支払うように促される。(中略)またパスポートや運転免許証、その他の身分証明書のコピーを求められるケースもある。このような個人情報が引き出されてしまえば、成り済ましの犠牲者になるのは確約されたようなものだ」と注意を呼びかけている。
(Computerworld.jp)
 
 中東の政府や公益企業を狙うマルウェア「Madi」出現、国家の関与は不明

ITmedia エンタープライズ 7月18日



 中東各国の政府機関や公益企業などを標的として、コンピューターシステムをマルウェアに感染させて情報を盗み出そうとする攻撃が広がっているという。ロシアのセキュリティ企業Kaspersky LabとSeculertが7月17日のブログで伝えた。

 それによると、この攻撃は「Madi」というマルウェアを使い、イラン、イスラエル、アフガニスタンなどのインフラ運営企業や政府機関、金融機関、学術機関を標的として、職員の通信内容の監視などを行っていた。

 感染には主にソーシャルエンジニアリングの手口が用いられ、自然や宗教などをテーマとしたPowerPointのスライドショーにMadiのダウンローダーを仕込んだり、jpgファイルに見せかけた実行可能ファイルをクリックさせるといったやり方で、約800台のシステムをマルウェアに感染させていたという。

 システムに潜入したマルウェアは、キーロガーやスクリーンショットのキャプチャなどを通じて情報を収集。HTTPを介して複数のWebサーバと通信し、情報を送信していた。

 Seculertでは「この攻撃に国家が関与しているのかどうかはまだ不明」だとしながらも、こうした攻撃には多額の投資と金銭面のバックアップが必要だと指摘している。

 攻撃は現在も続いており、Kasperskyなどは被害組織に協力してマルウェア駆除などの対策に当たっているという。
 
 Windows、Linux、Mac OS を狙うクロスプラットフォームのマルウェアに注意

japan.internet.com 7月13日



セキュリティ企業であるフィンランドの F-Secure の研究者が非常に珍しいクロスプラットフォームのマルウェアを報告している。今回報告されたのは、Java アプレットマルウェアで、ユーザーがそのアプレットを実行することで感染が拡大するもの。Windows、Mac OS、Linux の3つのプラットフォームに感染するのが特徴だ。F-Secure の Karmina Aquino 氏は次のように説明した。

「JAR ファイルが、利用者のマシンで稼働しているのが Windows なのか、Mac なのか、Linux なのかを確認し、検出されたプラットフォームにあわせたファイルをダウンロードする」

クロスプラットフォームのマルウェアはまれではあるが、過去にまったく例がなかったわけではない。また、今回のマルウェアはそれほど巧妙な仕組みを持っているわけではないようだ。セキュリティベンダー Intego の Lysa Myers 氏は次のように語った。

「このマルウェアのコンポーネントは、TrustedSec の『Social Engineering Toolkit』と『MetaSploit』をベースに作成されている。自らのアイディアで作成したものではなく、他人の作ったツールを組み合わせただけのものだ。OS X 向けコンポーネントが最新のハードウェアに対応できていないことから考えても、このマルウェアを作成した人物はそれほど技術に詳しいわけではないと考えられる」
 
 ファイルを勝手に暗号化して“身代金”を要求するランサムウェア、国内でも感染報告

Computerworld 7月11日




 セキュリティ・ベンダーのトレンドマイクロは7月10日、2012年上半期および2012年6月のインターネット脅威に関するリポートを発表した。


 それによると、2012年上半期は、シリアルナンバーを生成するクラッキングツールが多く検出されたという。また世界全体で見ると、Windowsに存在する脆弱性を悪用して感染を広げる「WORM_DOWNAD.AD(ダウンアド)」が、猛威をふるっていた実態が明らかになった。

 2012年上半期は、1月にアダルトサイトによるワンクリック詐欺の容疑者が逮捕され、6月にはスマートフォン向けワンクリック詐欺サイトを運営し、不正アプリを配布していた容疑者が逮捕された。

 こうした状況についてトレンドマイクロでは、「直接的に金銭をねらうネット詐欺は後を絶たないが、容疑者の検挙により犯罪の抑止につながることが期待される。ユーザーはこうした不正Webサイトをブロックするセキュリティ対策を講じることが重要だ」とコメントしている。

 標的型攻撃では、過去に多く見られた、アドビのPDFやマイクロソフトのOfficeに存在する脆弱性に対する攻撃ではなく、不正なDLLファイルを組み合わせて攻撃する手法も複数確認されたという。

 日本国内の不正プログラムでは、正規のプログラムを不正利用するツールの流通が目立った。不正プログラム検出数ランキング上位10種のうち、4種類が正規のプログラムを不正に利用するハッキングツールやクラッキングツールが含まれていた。

 日本国内の不正プログラム感染被害報告数ランキングでは、「TROJ_SIREFEF(サーエフエフ)」が1位となった。「TROJ_SIREFEF」は駆除しても繰り返し発見されることが多いため、他の不正プログラムが感染を引き起こしている可能性も考えられるという。トレンドマイクロでは、「PCからTROJ_SIREFEFで発見された場合は、他の不正プログラムに感染していないか確認してほしい」としている。

 一方、2012年6月の脅威状況では、海外で流通しているランサムウェアの感染報告が国内でも確認されたという。

 ランサムウェアは、コンピュータ内に侵入し、ファイルやシステムを使用不能にして、その復旧と引き換えに金銭を要求する(暗号解除アプリケーションを売りつける)という不正プログラム。海外では不正請求の手口の典型として被害が拡大している。

 今回日本で発見されたランサムウェアは、ユーザーのコンピュータ内の特定のファイルに対し、特殊な拡張子を追加することが特徴だ。このような拡張子が追加されたファイルには、同時にファイルの暗号化が施されており、暗号化を解除しないかぎりはファイルを開くことができない。

▲感染ファイルクリック時の画面(出典:トレンドマイクロ)

 また、6月における日本国内の不正プログラム検出状況では、ユーザーのWeb閲覧情報が送信される、「アドウェア」が上位3位を独占した。中でも2位となった「ADW_OPTMEDIA(オプトメディア)」(検出数1万4,124台)は画面上に広告を表示するアドウェアである。5月に日本国内で1位だった「ADW_GAMEPLAYLABS(ゲームプレイラボズ)」と同様に、ユーザーのWeb閲覧の状況を監視し、その情報を外部へ送信するものだ。

 ちなみに、1位は「ADW_INSTALLCORE(インストールコア)」(同1万4,473台)、3位は「ADW_GAMEPLAYLABS」(同5,162台)。なお、日本国内の6月における不正プログラム感染被害の総報告数は1,178件だった。
(Computerworld.jp)
 
 ネット検索で日本人が注意したいこと、セキュリティ研究者がアドバイス

ITmedia エンタープライズ 7月11日



可視化したマルネットの世界。グラフィックスはディズニー映画のシュレックなどでCGを手掛けたスタッフが作成した


 インターネットやメールなどの利用には常にマルウェア感染の危険がつきまとう。米Blue Coat Systemsのシニア・マルウェア・リサーチャー、クリス・ラーセン氏は、脅威の実態を可視化することでユーザーが取り得る対応策が見えてくると話す。

 ラーセン氏は、数年来にわたってインターネットベースのマルウェア攻撃がどのような仕組みで行われるのかを可視化する研究に取り組んできたという。一般的にこの種の攻撃は、スパムメールに記されたリンクやインターネット検索の結果からユーザーを不正サイトに誘導、マルウェアをダウンロードさせて感染を試みる。感染後はコンピュータから機密情報を抜き取って闇市場で売りさばいたり、コンピュータを不正に操作して別のコンピュータへサイバー攻撃を仕掛けたりすることが知られている。不正サイトなどは常に変化するため、対策が後手になってしまう。

 「攻撃を部分的にとらえることはできるが、これではシグネチャを使った部分的な対策しかできない。攻撃の全体構図を明らかにして攻撃者側の弱点が分かれば、もっと効率的で効果的な対策が打てるようになる」(ラーセン氏)

 ラーセン氏はマルウェアの通信ログから不正サイトや攻撃指令サーバ、中継サーバなどによるマルウェア配信のための攻撃インフラ(「マルネット」と命名)の構成がどうなっているかを調べた。不正サイトなどはセキュリティベンダーによる検知を逃れるために変化するが、マルネットの一部では攻撃者の都合で変化が少ないところがあるという。この点を明らかにするべく、同氏はマルネットをグラフィックで可視化することを試みた。

●マルネットの大半は海外に

 可視化したマルネットの中から大規模な5つのマルネットについて解析を進めた。その結果、「Shnakule」というマルネットはノードの約73%が米国のIPアドレスだったが、欧州やアジアにも広く分布していることが分かった。一方、3つのマルネットは全ノードがそれぞれイタリア、米国、中国に所在していた。「Naargo」というマルネットはイスラエルとロシア、オランダの3カ国に分散していた。日本のIPアドレスを持つノードは見つからなかったという。

 マルネットを構成するマルウェア配信サーバや攻撃指令サーバ、中継サーバといった役割別で各ノードの所在をみても、大半が日本以外の国や地域に分散していた。なお、日本語の攻撃サイトは幾つか見つかった。

 攻撃の手口を言語で分析してみると、検索結果に不正サイトを表示させてユーザーを誘導する「検索エンジンポイズニング」の場合では82%が英語だった。18%はスペイン語やポルトガル語、中国語などその他言語だが、日本語のものはみられなかったという。

 こうした分析結果からラーセン氏は、「絶対に安心というわけではないが、少なくとも日本語だけを使う環境の中であれば、ユーザーがこうした脅威に晒される心配は少ないといえる。だが、日本語環境から飛び出した時は警戒すべきだ」とアドバイスする。つまり、日本語以外の言語のキーワードで検索する場合は、検索エンジンポイズニングに巻き込まれる可能性が一気に高まる。

 検索エンジンポイズニングでは時事ネタや有名人の話題に便乗する手口が多い。直近ではロンドン五輪に関するキーワードが検索エンジンポイズニングに悪用される可能性も想定される。時事ネタや有名人の話題以外では、例えば、「英文メールのサンプル」といったキーワード検索にも注意が必要。

 またラーセン氏は、FacebookやTiwtterのように海外のソーシャルネットワークサービスでも同様の危険性が高まっていると警鐘を鳴らしている。
.
 
 ファイルを“人質”に金を要求するランサムウェアが国内にも出現

ITmedia エンタープライズ 7月10日



国内で見つかったランサムウェア


 トレンドマイクロは7月10日、6月度および2012年上半期のインターネット脅威レポートを発表した。海外で流通している「ランサムウェア」の感染報告が国内でも確認されたという。

 ランサムウェアは、コンピュータ内のファイルやシステムを暗号化などの手口で使用不能にさせ、「元に戻すには金銭を払え」と恐喝する悪質なプログラム。海外では不正請求の典型的な手口として広まっている。

 国内で見つかったランサムウェアは、特定のファイルに対して特殊な拡張子を追加するのが特徴という。また同時にファイルも暗号化がされてしまい、暗号化を解除しない限りファイルを開けなくなるものだった。同社の解析で復号鍵がランサムウェア内部に含まれていた。海外では含まれないケースもあり、復号化は非常に困難だとしている。

 2012年上半期の同国では前年同期と比べて。上位10種のうち8種類が新規のものだった。正規プログラムを利用するためにシリアルナンバーを生成するクラッキングツールが多く検出された。世界の検出状況では2008年に発見されたWindowsの脆弱性を悪用する「WORM_DOWNAD.AD(別名:Confikcerワーム)がトップだった。
.
 
 「DNSChanger」問題でDNSサーバの暫定運用が終了、残る感染マシンは21万台以上か

ITmedia エンタープライズ 7月10日


DNS Changer Working GroupのWebサイトにアクセスしてこの画像が表示されれば、DNSChangerに感染していない可能性が高い


 DNS設定を書き換えるマルウェア「DNSChanger」に感染したコンピュータへの対応をめぐり、米連邦捜査局(FBI)らによる対策組織DNS Changer Working Group(DCWG)が暫定的に行ってきたDNSサーバの運用が7月9日(米国時間)に終了した。感染状態にあるコンピュータは、インターネットに接続できなくなったとみられる。

 DNSChangerは2011年に世界中で数百万台のコンピュータに感染を拡大。FBIが2011年11月に犯行グループを検挙するとともに、犯行に使われていた不正なDNSサーバを押収して100台以上のサーバで構成されていたマルウェア制御用のインフラをダウンさせたという。だが、そのままではDNSChangerに感染したユーザーがインターネットに接続できなくなってしまうことから、DCWGが不正なサーバをクリーンなサーバに入れ替えて暫定的に運用していた。

 暫定運用は3月8日で終了する予定だったが、米政府の要請を受けて7月9日まで延長する措置を取っていた。FBIは7月6日付のブログでサイバー犯罪担当者のコメントとして、この措置を9日以降も継続する考えは無いとしている。

 DCWGによれば、7月8日現在でDNSChangerに感染しているみられるコンピュータのIPアドレスが21万851件になるという。国別で最も多いのは米国の4万1557件で、日本も5522件が見つかっている。

 SANS Internet Storm Centerは9日付のブログで、9日以降もDNSChangerの影響を受けた一部のシステムやルータが残ったままになるとコメント。DNSChangerを駆除してもDNSの設定を復旧していない場合もインターネットに接続できなくなる可能性がある。

 DNSChangerでは主要国のサイバーセキュリティ当局やセキュリティベンダーが、感染の検査や駆除手段を提供してきた。GoogleやFacebookは感染が疑われるユーザーに警告を発する措置を取っていた。

 SANSでは「世界の約20億人のネット人口に占める感染率は約0.01%で、見方によっては非常に少ないともいえ、感染状態にあるユーザーはこれまでに発せられたさまざまな警告を無視しているのかもしれない。Googleの警告を見ていないなら感染の心配は無用」と言及している。
 
 「DNSChanger」問題でDNSサーバの暫定運用が終了、残る感染マシンは21万台以上か

ITmedia エンタープライズ 7月10日



DNS Changer Working GroupのWebサイトにアクセスしてこの画像が表示されれば、DNSChangerに感染していない可能性が高い


 DNS設定を書き換えるマルウェア「DNSChanger」に感染したコンピュータへの対応をめぐり、米連邦捜査局(FBI)らによる対策組織DNS Changer Working Group(DCWG)が暫定的に行ってきたDNSサーバの運用が7月9日(米国時間)に終了した。感染状態にあるコンピュータは、インターネットに接続できなくなったとみられる。

 DNSChangerは2011年に世界中で数百万台のコンピュータに感染を拡大。FBIが2011年11月に犯行グループを検挙するとともに、犯行に使われていた不正なDNSサーバを押収して100台以上のサーバで構成されていたマルウェア制御用のインフラをダウンさせたという。だが、そのままではDNSChangerに感染したユーザーがインターネットに接続できなくなってしまうことから、DCWGが不正なサーバをクリーンなサーバに入れ替えて暫定的に運用していた。

 暫定運用は3月8日で終了する予定だったが、米政府の要請を受けて7月9日まで延長する措置を取っていた。FBIは7月6日付のブログでサイバー犯罪担当者のコメントとして、この措置を9日以降も継続する考えは無いとしている。

 DCWGによれば、7月8日現在でDNSChangerに感染しているみられるコンピュータのIPアドレスが21万851件になるという。国別で最も多いのは米国の4万1557件で、日本も5522件が見つかっている。

 SANS Internet Storm Centerは9日付のブログで、9日以降もDNSChangerの影響を受けた一部のシステムやルータが残ったままになるとコメント。DNSChangerを駆除してもDNSの設定を復旧していない場合もインターネットに接続できなくなる可能性がある。

 DNSChangerでは主要国のサイバーセキュリティ当局やセキュリティベンダーが、感染の検査や駆除手段を提供してきた。GoogleやFacebookは感染が疑われるユーザーに警告を発する措置を取っていた。

 SANSでは「世界の約20億人のネット人口に占める感染率は約0.01%で、見方によっては非常に少ないともいえ、感染状態にあるユーザーはこれまでに発せられたさまざまな警告を無視しているのかもしれない。Googleの警告を見ていないなら感染の心配は無用」と言及している。
.
 
 [セキュリティ]マカフィー、トロイの木馬「DNS Changer」感染診断サイトを開設、設定修復ツールを無料提供

BCN 7月9日

「DNS Changer」感染診断サイト


 マカフィーは、7月5日、PCがトロイの木馬の一種「DNS Changer」に感染しているかどうかを診断するウェブサイトを開設した。診断の結果、感染していた場合は、インターネット設定を修復するソリューションツールを無料でダウンロードできる。



 「DNS Changer」は、ユーザーのインターネットトラフィックをリダイレクトして別のウェブサイトに誘導し、広告によって利益を上げることを目的としている。7月9日以降、「DNS Changer」に感染しているPCは、ウェブサイトやメール、オンラインチャットやFacebookなどのソーシャルネットワーキングサイトにアクセスできなくなる。

 診断サイトでは、「Check Now」ボタンをクリックすることでPCが「DNS Changer」に感染しているかどうかをチェックでき、感染していない場合は「Congratulations, you are OK」というメッセージを表示する。また、感染を確認した場合には、インターネット設定を修復する無料のソリューションをダウンロードするよう、ユーザーに促す。

 
 チェック・ポイント、ボット対策標準装備のアプライアンスを発表

japan.internet.com 7月9日



ネットワーク セキュリティ技術のチェック・ポイント・ソフトウェア・テクノロジーズは2012年7月6日、ボットおよび新種マルウェアなど標的型攻撃対策に有効なセキュリティ機能を一括して搭載する、ボット対策標準装備のアプライアンス新モデルを発表した。

ボットは、感染してもマシンの動作などに変化が少なく、ユーザーが気づきにくいことから、対策が急がれる脅威のひとつ。

発表したアプライアンス新モデルは、「Check Point 4809/12209/12409/12609」。Firewall、VPN、Mobile Access、Identity Awareness、Advanced Networking、Acceleration & Clustering のほか、Anti-Bot Software Blade、Antivirus Software Blade、IPS Software Blade、URL Filtering Software Blade を標準で搭載している。

Anti-Bot Software Blade は、感染したボットの存在を検知し、被害を最小限に食い止めるもので、Check Point アプライアンスに初めて搭載された。複数のリスク要因を相関分析してボットを検出、感染したホストと遠隔地にいるボット管理者との通信を遮断する。

Antivirus Software Blade は、マルウェアが外部から侵入したり、内部から拡散するのを阻止するもの。IPS Software Blade は、既知/未知の攻撃からネットワークを防御するもの。URL Filtering Software Blade は、マルウェアに感染する可能性があるサイトへのアクセスを防止するもの。

また、今回の新モデルでは、他の組織ネットワークとセキュリティ情報を共有できる業界初の脅威情報配信サービス「Check Point Threat Cloud」に対応しており、最新情報がゲートウェイに自動的にアップデートされる。

Anti-Bot Software Blade と Antivirus Software Blade は、ThreatCloud からの最新セキュリティ情報により強化され、マルウェア攻撃の傾向などリアルタイム情報を把握したうえで、予防措置などをタイムリーに講じることができる。

価格は456万円(Check Point 4809 の場合、税別)から。
 
 被害額60億〜2000億円か? サイバー金融詐欺「High Roller」の日本語報告書が公開

RBB TODAY 7月9日


不正送金実行サーバーがホスティングされている場所


 McAfee Inc.の日本法人であるマカフィーは9日、McAfee Inc.とオンラインバンキングセキュリティの米Guardian Analytics社が6月26日に共同で発表した報告書「分析:Operation High Roller」の日本語版を公表した。

【画像】米国ターゲットの攻撃展開、感染PCの画面、「報告書」表紙など

 「Operation High Roller」は、12以上のグループから成り立つサイバー犯罪者の組織によって行われている、高度なサイバー金融詐欺だ。グローバル規模で銀行システムにアクセスし、残高の多い個人や企業の口座に対して、不正に自動化された高額な取引を仕掛けており、信用協同組合、グローバル銀行、地方銀行など、何千にも上るさまざまな金融機関に影響を与えているという。

 報告書では、詐欺に関わった60台に及ぶ不正サーバのログを調査。被害額としては、少なくとも60行以上の銀行から、6,000万ユーロから20億ユーロ、日本円にして約60億円から2,000億円の不正送金が行われたと推定している。

 最初のターゲットは、知名度の高いイタリアのある銀行と、その消費者および企業顧客のアカウントだった。その攻撃では、SpyEyeとZeusマルウェアを使用して、口座の金銭が個人名義のミュールアカウントあるいはプリペイドのデビットカードに金銭を送り、そこから犯罪者がすぐに匿名で引き出せるようになっていた。一度攻撃パターンがわかってからは、欧州や中南米の銀行でも同様の攻撃の証拠が見つかるようになった。2012年になると、ドイツやオランダでまったく同じ攻撃が発見されているという。

 さらに、米国を狙った攻撃も登場。オランダの攻撃に使用されたカリフォルニア州サンノゼのプロバイダーが
管理しているサーバーが、米国の銀行をターゲットとした詐欺行為に関与していることが確認された。ここでは、1つの革新として、ターゲット企業の法人貯蓄から当座預金口座に自動振替する手口が使われていたとのこと。
 
 「Androidボットネット出現」は本当か――迷惑メールの出所めぐり論議

ITmedia エンタープライズ 7月9日



 Android端末上のボットネットを操って送信された迷惑メールが見つかったと米Microsoftが伝えた問題で、この攻撃が本当にAndroidに感染するマルウェアの仕業なのかどうかをめぐる論議が浮上している。

 Microsoftのセキュリティ担当者は問題のメールについて、文末に全て「Sent from Yahoo! Mail on Android」の一文が入っていることなどを根拠に、Android端末から送信されたメールだと判断。スパム業者がAndroid端末を制御し、ユーザーのYahoo Mailのアカウントにログインしてスパムを送信したとの見方を示していた。

 同様のメールはセキュリティ企業の英Sophosも傍受したといい、有料アプリの海賊版にトロイの木馬を仕込んだ不正Androidアプリをユーザーがダウンロードした可能性が大きいと解説している。

 これに対してGoogleは、メールの内容が改ざんされていた可能性もあると反論しているという。また、AndroidではなくWindows PCに感染したマルウェアがYahoo Mailに接続してメッセージIDを書き換え、文末に「Yahoo Mail for Android」の一文を追加した可能性も指摘されている。

 Sophosも実際にAndroidマルウェアのサンプルを入手したわけではなく、この攻撃に使われているマルウェアを見つけるまで謎は解けないと認めている。

 ただ、これがAndroidマルウェアの仕業であることを強く示唆する証拠がある一方で、Googleの見方を裏付ける証拠は存在しないと指摘。もしもPCマルウェアだった場合、Android端末経由で送信されたように見せかけることがスパム業者のメリットになるとは思えないと述べ、Microsoft研究者の見方を支持するとした。

 Microsoft研究者もこのスパムについて報告した時点で両方の可能性を考えたが、Sophosと同じ理由でAndroidマルウェアによる攻撃と判断したという。
 
 「App Store初のマルウェア」は本当にマルウェアか――セキュリティ企業の見解分かれる

ITmedia エンタープライズ 7月9日



 iOS用のアプリを販売するAppleのApp Storeで初のマルウェアが見つかったと伝えられたことをめぐり、セキュリティ企業の英Sophosは7月6日のブログで、「問題のアプリはマルウェアと断定できるのかどうか」という疑問を投げかけている。

 問題になっているのはAppleのApp StoreとGoogle Playの両方で見つかった「Find and Call」というアプリ。ロシアのセキュリティ企業Kaspersky Labは、同アプリがユーザーのアドレス帳をリモートのサーバに送信し、アドレス帳に登録された全連絡先にSMSスパムを送信していることが分かったとして、マルウェアと断定した。

 Google Playへの不正アプリ混入は過去に何度も発覚しているが、App Storeは審査の厳しさで定評があり、マルウェアや不正アプリとはこれまでほぼ無縁だった。

 しかしSophosの研究者は、Find and CallがマルウェアだというKasperskyの見方には完全には同調できないとの意見だ。同アプリがスマートフォンから収集した連絡先情報をアップロードし、サーバサイドコードを使って各連絡先あてに同アプリのダウンロードサイトのURLが入ったリンクをSMSで送信する機能を持つことはSophosも確認し、「これは非常に醜悪な行為だ」と批判している。

 一方で、同アプリがほかにも多数の機能を持っていることなども指摘し、純粋なマルウェアだったとすれば、こうした余分な機能を持たせることに意味はないとした。その上で、GoogleやFacebookなどの企業もユーザーの情報を貴重なリソースとしていると述べ、「恐らくこのアプリの開発者も、マーク・ザッカーバーグ氏のような人たちと同じような意見を持ち、ユーザーはプライバシーのことを大して気にしていないと信じているのだろう」と述べている。

 ただ、これがマルウェアと言えるのかどうかという論議はさておいて、ウイルス対策製品ではこうしたアプリを確実に検出する必要があると判断し、Sophosの製品でもFind and Callを検出できるようにしたという。
 
 7月9日までに必ずチェックを! DNS Changer マルウェア感染確認に関する注意喚起      ねとらぼ 7月3日(火)



 JPCERT/CCでDNS Changer マルウェアの感染を確認できるwebサイトが公開されている。

 DNS Changerは、感染したPCのDNS設定を書き換えてしまうマルウェア。感染するとwebの検索結果を改ざんされたり、悪意あるソフトウェアをインストールされたりしてしまう。

 現在、感染したPCをコントロールするためのDNSサーバはFBIによって差し押さえられ、以後は正常なDNSサーバーに置き換えられて運用中。このため感染していても実害はないが、JPCERT/CCによると、このDNSサーバが7月9日で運用終了予定とのこと。以降、DNS Changerに感染しているPCは、webサイトの閲覧やメールの送信ができなくなる可能性があるとして、感染確認の注意が促されている。

 確認方法は、DNS Changer マルウエア感染確認サイトにアクセスするだけ。もしも「感染の可能性がある」と表示された場合は、同サイトの案内に沿って対策を実施する必要がある。

 DNS Changer マルウエアは2007年から活動が観測されており、現在でも世界で35万台の感染PCが確認されている。

(http://nlab.itmedia.co.jp/nl/articles/1207/03/news129.html)
 
 
マカフィー、危機が迫る「DNS Changer」の感染を診断し修復するツールを無償提供 RBB TODAY 7月6日(金)


「www.mcafee.com/dnscheck」にアクセスすると、判定を行うように促される


 マカフィーは5日、トロイの木馬「DNS Changer」への対策として、一般ユーザー向けに感染を診断し、DNSの設定を復旧させる無料ツールの提供を開始した。これにより、「DNS Changer」に感染していても、「7月9日」以降のネット利用が可能となる。


 「www.mcafee.com/dnscheck」にあるボタンをクリックすると、DNS Changerに感染しているかどうかを簡単に判定でき、感染していた場合は、サイト上でインターネット設定を修復する無料のソリューションをダウンロードするよう促される。

 「DNS Changer」は、サイバー犯罪者によって作成されたトロイの木馬。不正なドメイン・ネーム・システム(DNS)サーバーを利用することで、ユーザーがインターネットを利用しようとすると、別のウェブサイトに誤誘導する。そこで広告によって利益をあげるという仕組みだ。しかし「7月9日」に、FBIが誤誘導のために利用されているサーバーをシャットダウンするため、以降、誤誘導されることはなくなるが、DNSChangerに感染したコンピュータは、ウェブサイト、eメール、オンラインチャットやFacebookなどの利用が不可能になるとされている。

 ネットが利用できなくなってからだと、復旧するのが、かなり面倒なことになる。7月9日のエックスデイを迎える前に、一度チェックを行うことをお勧めしたい。
 
 アドレスバーにある URL のドメイン名に注意―IPA が喚起

japan.internet.com 7月6日


トレンドマイクロが2012年7月5日に発表したところによると、情報処理推進機構(IPA)が4日、2012年6月および2012年上半期のコンピュータウイルス/不正アクセス届出状況をまとめた資料を公開した。

資料によると、IPA に寄せられた6月のウイルス/不正アクセス関連の相談総件数は1,097件で、そのうち319件は「ワンクリック請求」。5月の243件から増加した。そのほか、「偽セキュリティソフト」が10件(5月21件)、「Winny」が3件(5月3件)、「情報詐取を目的として特定の組織に送られる不審なメール」が1件(5月3件)。

また、IPA は今回、「パスワードリスト攻撃」を大きく取り上げている。

「パスワードリスト攻撃」は、インターネットユーザーの多くが複数のサービスで同一 ID とパスワードを使っている状況を悪用し、不正に取得した ID とパスワードのリストから不正アクセスを試みるもの。

IPA では、ID やパスワードを盗み取る手口として、金融機関などを装った偽メールから偽の Web サイトに誘導、情報を窃取する「フィッシング」の手口を解説している。

IPA では、パスワードの窃取やフィッシングの被害に遭わないようにするために、複数のサービスで同一の ID やパスワードを使わないこと、不審なファイルが添付されたメールは開封せず、削除すること、URL のドメイン名に注意すること、をあげている。

ID やパスワード、暗証番号などを入力する場合、接続する Web サイトの本当のアドレスとブラウザのアドレスバーに表示された URL のドメイン名が一致しているかどうか確認することが重要、と指摘している。
 
 マカフィーがDNSChanger対策ツールを無償公開、FBIの緊急措置終了までに対応を

ITmedia エンタープライズ 7月6日



 マカフィーは7月6日、DNSを勝手に書き換えてユーザーを不正サイトに誘導するマルウェア「DNSChanger」の検出と駆除、修復ができるツールを無償公開した。同社サイトから入手できる。

 DNSChangerは2007年ごろに出現し、米連邦捜査局(FBI)によれば、世界100カ国以上の400万台以上のコンピュータが感染したとされる。2011年11月には、DNSChangerに関わったとしてエストニアなどで7人が逮捕された。FBIは、DNSChangerに使われていた不正なサーバを押収、クリーンなサーバに入れ替えて運用しているが、7月9日に運用を終了することにしている。

 DNSChanger対策ではマカフィー以外にも、GoogleやFacebookが感染ユーザーに警告を発する措置を講じるなど、対応を進めているところ。DNSChanger対策団体の「DNSChanger Working Group(DCWG)」は、感染ユーザー数がいまだ35万以上になるとしている。
 
 マカフィー、危機が迫る「DNS Changer」の感染を診断し修復するツールを無償提供

RBB TODAY 7月6日



「www.mcafee.com/dnscheck」にアクセスすると、判定を行うように促される


 マカフィーは5日、トロイの木馬「DNS Changer」への対策として、一般ユーザー向けに感染を診断し、DNSの設定を復旧させる無料ツールの提供を開始した。これにより、「DNS Changer」に感染していても、「7月9日」以降のネット利用が可能となる。

【画像】無事だった場合の画面表示

 「www.mcafee.com/dnscheck」にあるボタンをクリックすると、DNS Changerに感染しているかどうかを簡単に判定でき、感染していた場合は、サイト上でインターネット設定を修復する無料のソリューションをダウンロードするよう促される。

 「DNS Changer」は、サイバー犯罪者によって作成されたトロイの木馬。不正なドメイン・ネーム・システム(DNS)サーバーを利用することで、ユーザーがインターネットを利用しようとすると、別のウェブサイトに誤誘導する。そこで広告によって利益をあげるという仕組みだ。しかし「7月9日」に、FBIが誤誘導のために利用されているサーバーをシャットダウンするため、以降、誤誘導されることはなくなるが、DNSChangerに感染したコンピュータは、ウェブサイト、eメール、オンラインチャットやFacebookなどの利用が不可能になるとされている。

 ネットが利用できなくなってからだと、復旧するのが、かなり面倒なことになる。7月9日のエックスデイを迎える前に、一度チェックを行うことをお勧めしたい。
 
 [セキュリティ]マカフィー、6月のサイバー脅威の状況を発表、依然として続く「Blackhole」の脅威

BCN 7月6日



 マカフィーは、7月5日、2012年6月のサイバー脅威の状況を発表した。

 PCを標的にした脅威のうちウイルスについては、先月に引き続いてJRE(Java Runtime Environment)やAdobe Flash、Adobe Readerなどの脆弱性を利用してさまざまなマルウェアに感染させるドライブ・バイ・ダウンロード攻撃の一種「Blackhole」関連の脅威がランクインした。

 「Blackhole」関連の脅威では、ドライブ・バイ・ダウンロードの最初の段階で不正なサイトにリダイレクトするJavaScript「JS/Blacole-Redirect.i」が2位に、Adobe Flashの脆弱性攻撃を行う「SWF/Exploit-Blacole」が8位に入っている。また、5位の「ZeroAccess」は「Blackhole」がインストールするトロイの木馬の一つで、高度なルートキット機能をもち、偽のセキュリティソフトをダウンロードしてしまう。

 マカフィーは、「Blackhole」関連の脅威がしばらくは継続して出現すると考えており、JREやdobe Flash、Adobe Readerなど「Blackhole」による攻撃の起点となるアプリケーションに対する脆弱性対策の徹底を求めている。

 このほか、比較的古いものの、最近新たな亜種が発見されたExcelのマクロウイルスや、リムーバブルメディアで感染する「Generic!atr」「Generic Autorun.!inf.G」といったAutorunワーム、さらにAutorunワームがインストールするオンラインゲームのパスワードスティーラー「Generic PWS.ak」がランクインした。

 リムーバブルメディアで感染するワームは、登場から数年たつにもかかわらず、依然として感染報告が多く、減少傾向がみられないことから、マカフィーはリムーバブルメディアのセキュリティの確認や感染対策を呼びかけている。

 なお、PUP(不審なプログラム)については、従来と比較して大きな変化はない。
 
 AppleのApp Storeに不正アプリ、Kasperskyが“初のマルウェア”と断定

ITmedia エンタープライズ 7月6日



 ロシアのセキュリティ企業Kaspersky Labは7月5日のブログで、ユーザーの連絡先にSMSスパムを送信するマルウェアアプリがAppleとGoogleの公式サービスで配布されているのが見つかったと伝えた。iOS用のアプリを販売するAppleのApp Storeでマルウェア混入が確認されたのは初めてだとしている。

 同社によると、問題のアプリは「Find and Call」という名称で、AppleのApp StoreとGoogle Playの両方から見つかった。ユーザーのコメント欄には、同アプリからSMSスパムが送信されてしまうという苦情が相次いでいるという。

 同社が調べたところ、Find and Callはユーザーのアドレス帳をリモートのサーバに送信し、アドレス帳に登録された全連絡先にSMSスパムを送信するトロイの木馬だったことが判明した。

 アプリによるユーザーの個人情報流出が問題になることは過去にもあったが、Kasperskyが同アプリをマルウェアと分類したのは、流出した情報が実際に悪用されていたことによる。「Google Playへのマルウェア混入は今に始まったことではないが、Apple App Storeでマルウェアが発見されたのは今回が初めて。iOS Apple App Storeは5年前のサービス開始以来、これまでマルウェア問題が発生したことはなかった」とKasperskyは伝えている。

 AppleとGoogleは通報を受けて、間もなく問題のアプリをストアから削除したという。
.
 
 トレンドマイクロ、ウイルスバスターで使えるPCの節電ツールを提供

ITmedia エンタープライズ 7月5日



 トレンドマイクロは7月5日、企業向けセキュリティ製品「ウイルスバスターコーポレートエディション」の有償の節電プラグインとなる「Trend Micro Power Management オプション」を17日に発売すると発表した。

 Trend Micro Power Management オプションは、Windows XP/Vista/7のPCを対象に電源設定を適用するもの。ディスプレイやHDD、スタンバイ、休止状態などの時間を事前に設定し、ウイルスバスターの管理サーバから各PCに配信して利用する。設定プランを適用したPCを一覧で把握したり、稼働時間や消費電力などをグラフで確認したりできるほか、コストの算出や比較もできるようになっている。

 標準価格は100ユーザー版が23万円(税別)、500ユーザー版が42万円(同)など。7月19日から9月30日までは販売価格を標準価格から30%割り引く。
 
 「Sykipot」マルウェアで航空宇宙産業を狙う標的型攻撃が発生

Computerworld 7月5日



 航空宇宙産業などを標的とする新たな電子メール攻撃が、機密情報を窃取するマルウェア「Sykipot」の新たな亜種を拡散していると、セキュリティ企業AlienVaultの研究者らが警告している。

 AlienVault Labsのマネージャーを務めるジェイム・ブラスコ(Jaime Blasco)氏は7月2日、「過去数週間にわたって実行されてきた新種のSykipot攻撃を確認した。この新しいSykipot攻撃と以前の攻撃にはいくつかの相違点がある」と、ブログに記している。

 同氏が7月4日に述べたところによれば、100%の確証は得られないものの、これらの攻撃元が中国であることを示す手がかりがあるという。

 新たな攻撃では、「Adobe Reader」や「Microsoft Excel」「Internet Explorer」の脆弱性を突いてSykipotをインストールする悪質なファイルをメールに添付する手法は見られない。

 その代わり、電子メールには、「2011 Flash Player」の脆弱性や、パッチが適用されていない「Microsoft XML Core Services(MSXML)」の脆弱性を悪用してSykipotマルウェアをインストールする、攻撃者サイトへのリンクが含まれている。

 MSXML脆弱性は今年(2012年)6月に攻撃に利用されたと言われており、これを受けてGoogleは「Gmail」ユーザーに国家が支援する攻撃に注意するよう警告を発した。Microsoftは6月12日に同脆弱性を手作業で修正するパッチをリリースしている。

 とはいえ、MSXML脆弱性を突いた攻撃が急増しているため、ブラスコ氏は「Microsoftはなるべく早く正式な自動セキュリティ・パッチを配布すべきだ」と提言している。

 トロイの木馬プログラムであるSykipotは2011年を通して、米国の連邦機関や防衛関連企業など、コンピュータ・システムに機密情報を保持している組織を対象とした数々の攻撃に使用されてきた。

 新しいSykipot攻撃のうちの1つは、「2013 IEEE Aerospace Conference」への参加を計画している組織を狙うものだった。同コンファレンスは、航空宇宙の専門家や学者、軍事関係者や業界のリーダーに向けたイベントだ。

 ブラスコ氏によれば、Sykipotの亜種はそれぞれ特定のターゲット・グループごとに向けてカスタマイズされていたという。例えば1月には、AlienVaultの研究者らが、「PC/SC x509」スマート・カードをベースとする2要素認証を迂回するようデザインされた亜種を見つけた。この認証方式は、アクセス管理のため防衛セクターでしばしば利用されている。

 最近の攻撃で拡散されたSykipot亜種がコンフィギュレーション・ファイルやSSL経由でのC&C(コマンド&コントロール)サーバとの通信に使用しているスクリプトは、難読化に多少の変更が加えられているという。また、マルウェアがアクセスを図るC&Cサーバのドメインは、先月登録されたばかりのものだとブラスコ氏は説明した。
(Lucian Constantin/IDG News Serviceルーマニア支局)
 
 「不正利用」によるトラブルの経験(法人規模別)


 ネットスターは4日、第十回「組織でのインターネット管理実態調査」の結果を公表した。同調査は、法人(職場)でのインターネットの管理・利用実態などを調べるもので、調査期間は4月27日〜5月8日。

【グラフ】セキュリティ対策導入の目的、商品選定のポイント、対策の必要性など

 第十回となる今回は、スマートデバイスとフィルタリングを導入している法人に勤めるシステム管理者591人から有効回答を得ている。

 まず、「スマートデバイスで利用しているOS」は、タブレット端末でiOS(41.6%)が、スマートフォンでAndroidOS(41.1%)がそれぞれ最多となった。導入しているセキュリティ対策は「ウイルス対策」(45.3%)、「盗難・紛失対策」(41.3%)、「URLフィルタリング」(39.8%)の順となっている。

 ただしOS別に見ると、iOSでは「盗難・紛失対策」、AndroidOSでは「ウイルス対策」が1位になるなど、違いが見られた。なおセキュリティ対策導入の目的では「不正コード侵入防止」(69.9%)と「情報漏えい防止」(64.4%)に、商品選定のポイントでは「使い勝手」(43.9%)と「多機能」(41.8%)に回答が集まるなど、OS別での差異はなかった。

 また、セキュリティ対策をしていないシステム管理者の7割以上が「スマートデバイス向けセキュリティ対策は必要」と考えているものの、「導入台数が少ない」や「導入したいサービスがない」などの理由で導入が遅れていることが見て取れた。

 さらに、「JailBreakしたスマートデバイスやウイルス感染したスマートデバイスを利用しトラブルにあった」と、12%の法人が回答した。OS別で見るとスマートフォンではiPhone(13.7%)、タブレット端末ではAndroidOSタブレット(17.6%)が最多となっている。
 
 7月9日までに必ず確認を―DNS Changer によるD-Day が目前に

japan.internet.com 7月4日



DNS Changer マルウェア感染確認サイト 感染していなければこの画面が表示される


あなたの使用している PC は DNS Changer に感染してはいないだろうか?いますぐに確認することをお勧めする。7月9日以降、感染した PC はインターネットにアクセスできなくなるからだ。

【画像が掲載された記事、より大きな画像、その他の画像など】

DNS Changer はその名の通り、感染した PC の DNS 設定を書き換えてしまう。DNS は、重要なインターネット技術で、「internet.com」などのドメイン名と、実際のサーバーの存在場所を示す IP アドレスのマッチングを行っている。DNS 情報が書きかえられてしまえば、利用者は目的のサイトとは異なるサイトへと誘導されてしまう。

DNS Changer をコントロールしていたインフラは、2011年11月に FBI により制圧された。それ以降、裁判所の命令によりインターネットシステムズコンソーシアム(Internet Systems Consortium:ISC)が、代替 DNS サーバーを運用してきたが、その命令は2012年7月9日で失効する。この時点で、感染した PC は深刻な問題に直面することになる。

Symantec のセキュリティレスポンス情報センター主任リサーチマネージャである Vikram Thakur 氏は、InternetNews.com に対し次のように語った。

「7月9日には裁判所の命令は失効し、ISC は代替サーバーをオフにする。DNS Changer に感染し、その代替サーバーを DNS サーバーとして使ってきた PC は、DNS からの応答を得られなくなり、Web アドレスの名前解決ができなくなる。Google にも Facebook にも接続できなくなるし、ウィルス対策ソフトを入手するために Symantec.com に接続することもできなくなる」

DNS Changer に対する警告は、今年に入り様々な方面から実施されてきているが、それでも未だ数十万台の PC が感染しており、7月9日以降にインターネット接続ができなくなるという脅威にさらされている。インターネットセキュリティ企業 IID によれば、Fortune 500にランキングされる企業のうち、少なくとも60社が現在も DNS Changer に感染しているという。この数字は驚くべきものだが、2012年の1月には50%にあたる250社が感染しており、それを考えれば大きな進歩とも言える。また、米国政府機関に関しては、2012年の1月時点では49%が感染していた。だが、6月の調査では、感染は4%にまで減少しているという。

感染を確認するには?

利用している PC が DNS Changer に感染しているかどうかについては、DNS Changer Working Group(DCWG)が、多くのリソースを紹介している。また、JPCERT コーディネーションセンターによる「DNS Changer マルウェア感染確認サイト」 は、訪問するだけで感染の有無がわかる便利な Web サイトだ。

Sean Michael Kerner は、InternetNews.com の主任編集者。

(本記事は、7月4日付けの英文記事を japan.internet.com 編集部が翻訳編集したものです)






「JailBreakやウイルス感染した端末で、トラブルにあった法人」、1割を超える……ネットスター調べ
 
 indowsの脆弱性を突いて印刷を実行するワーム出現、パッチ適用でも「副作用」

ITmedia エンタープライズ 7月4日


 米Symantecは、ネットワークプリンタに意味不明の文書を印刷させてしまう新手のワームが見つかったと伝えた。このワームはWindowsの印刷スプーラーサービスに存在する既知の脆弱性を悪用しているという。

 印刷スプーラーサービスの脆弱性は2010年に発覚し、Microsoftが同年9月の更新プログラム(MS10-061)で修正済み。それにもかかわらずSymantecには複数の顧客から、ネットワークプリンタで文書が勝手に印刷されるとの報告が寄せられているという。

 Symantecはこのワームを「Printlove」と命名。更新プログラム適用の有無による動作の変化を検証する目的で、2台のコンピュータがネットワークプリンタを共有するネットワークを構築し、2台のうち1台をPrintloveに感染させて実験を行った。

 その結果、2台のうち1台が更新プログラムを適用していない場合、Printloveは脆弱性を突いてそのコンピュータ上でリモートからコードを実行することに成功した。一方、2台とも更新プログラムが適用されている場合は脆弱性を悪用することができず、その「副作用」として意味不明の文書が印刷されることが分かった。

 Printloveは定期的にリモートのコンピュータに接続して感染を試みるため、ネットワークから完全に駆除しない限り、コンピュータが再感染する恐れがあるという。

 Symantecは先に、紙が尽きるまで印刷を続けるマルウェア「Milicenso」の出現も報告している。PrintloveとMilicensoは関連している可能性もあるが、まだ確認はできておらず、調査を続けているという。
.
 
 OpJapan(オペレーションジャパン)から学ぶサイバー攻撃への備え

ITmedia エンタープライズ 7月3日




(このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。)

●1.日本が標的に? 突然宣告された攻撃予告

 先週6月26日、日本の官公庁関連の一部Webサイトが書き換えられたり、複数のWebサイトが一時閲覧しづらい状態に陥ったりするなどの被害が発生し、日本のメディアでも「Anonymous(アノニマス)が日本にサイバー攻撃か?」と大きく取り上げられました。

 これら一連の被害は、Anonymousと呼ばれる集団によって宣言された「#OpJapan(オペレーションジャパン)」と呼ばれる攻撃作戦に端を発したサイバー攻撃によるものです。

 Anonymousは6月25日、インターネットを通じて声明文を出しており、その中で日本政府や日本レコード協会への攻撃予告を行っていました。

 日本のメディアでは、「国際的ハッカーグループ」といった呼び方で取り上げられているAnonymousですが、一体どういうグループなのでしょうか。

●2.ハクティビスト

 Anonymousに代表されるような「言論の自由、情報公開の自由」に対して、インターネット上で社会的な抗議活動を行う人は「ハクティビスト」、その行動や主義は「ハクティビズム」と呼ばれます。

 ハクティビストとは、インターネットにおけるハッキング行為などを手段として、政治的あるいは社会的な主義・主張を訴える人のことを指します。この言葉は、「ハッカー(Hacker)」と積極的な社会活動家を表す「アクティビスト(Activist)」を組み合わせた造語です。

 マカフィーが昨日発表したレポート「ハクティビズム――政治的発言の新たな媒体となったサイバー空間」によると、「この言葉が最初に登場したのは1995年で、Jason SackがInfoNationに投稿した映画製作者Shu Lea Cheangの記事の中で使われた」「米国のハッカー集団Cult of the Dead Cow(cDc)のメンバーが1996年にネット上に掲載した記事にも登場する」とあり、決して新しい言葉ではないことがうかがえます。

 一般的に、ハクティビストは、言論の自由、情報公開の自由といった自由主義的な思想のもと、「インターネットは自由であるべき」という主張を繰り広げます。そのため、彼らは、インターネット上における情報統制や利用規制、プライバシー侵害といった「インターネットの自由を脅かすもの」に対して、徹底的に抗議活動を行います。また、インターネットは、世界中で接続され利用されるグローバルなものであるため、彼らの活動は、国の概念にとらわれず、国際的に活動を展開しています。

●3.Anonymous

 Anonymousは、「インターネット上の言論の自由を守るために戦うハッカー集団」と言われることが多くハクティビストの象徴のような集団ですが、これら集団を統率する明確なリーダーは存在せず(特定の作戦におけるリーダーは存在することもあります)、誰かが呼びかけた行動に対する目的や動機に共感した人は誰でも自由に参加できる緩いコミュニティーで形成されているため、これら集まりは、「集団」というよりはインターネットミームと呼ばれる「概念」に近いと言えます。インターネットミームとは、ミームの社会学的概念で、個人の行動によって他社に電波する認識可能な文化的要素のことです。

 Anonymousの活動は、さまざまな人がさまざまに行っており、その行動手法もさまざまです。決まりきった概念だけでは理解できるほどシンプルなものではなく、状況に応じて複雑に形を変え、新しい活動形態も生まれてくることもあるため、彼ら自身の中にも、その全容を正確に把握している人物はいないと思われます。

 また、活動に参加する全ての人が高度なITスキルを持った「ハッカー」という訳でもなく、活動で利用するツールなどは、非常に平易なものであったり、利用手順も丁寧なガイドが用意されたりするなど、ITスキルがそれほど高くない人でも活動に参加できるように考慮されているということもあります。

 Anonymousは、作戦実行のために攻撃にさまざまなツールを使いますが、LOIC(Low Orbit Ion Canon)やHOIC(High Orbit Ion Canon)と呼ばれるDDoS攻撃用のツールは好んで良く使われます。こういったツールは、本来Webサイトなどの負荷測定を目的としたものですが、大量のトラフィックを生成することが可能なことから、DDoS攻撃などに悪用されることがあります。

 今回のOpJapanでは、HOIC(図)がDDoS攻撃のツールとして利用されました。HOICはBoosterと呼ばれる設定ファイルを取得することで、ユーザー個々で攻撃サイトを指定しなくても、その設定ファイルに記載されたターゲットサイトに対して、自動的に大量の通信トラフィックを送り付けます。

 ハクティビストやAnonymousの起源や活動については、前述のマカフィーレポートでも詳しく紹介されています。

●4.なぜ日本がターゲットに? Anonymousの目的とは?

 ハクティビストであるAnonymousは、何に対する抗議活動として今回の行動を起こしたのでしょうか。なぜ日本に対して、OpJapan(オペレーションジャパン)と呼ばれる一連のサイバー攻撃が実施されたのでしょうか。

 Anonymousの声明文には、6月20日に衆議院本会議で可決・成立した「違法ダウンロードの罰則化を盛り込んだ改正著作権法」に対する抗議が今回の攻撃理由である旨が記載されています。この改正著作権法は、十分な議論が行われず、わずか5日で成立してしまったことに対して、日本国内でもインターネット利用者を中心に批判の声が挙がっていたものですが、Anonymousも同様に批判の声を挙げ、実際に行動を起こしたのがOpJapanとなったわけです。

 日本の国会議員や日本国民としては、なぜ日本の法律に対する抗議活動として海外からのサイバー攻撃を受けるのかという点で、違和感を覚えるかもしれません。しかしハクティビストであるAnonymousにとって国の枠組みは関係なく、広く「インターネットの自由を規制するもの」に対して抗議を起こしている例の一つといえます。

 インターネットによって、ネットワークシステムだけでなく、人や情報の流れ、コミュニティー、企業活動など、あらゆるものがグローバル化してきている今日、日本国内の情勢だけにとらわれず、常に視野を広く持ち、世界とのつながりを意識することが重要と考えます。またハクティビストの攻撃には明確な理由や目的があるため、サイバー攻撃の被害や攻撃手法だけに注目せず、なぜ、彼らが行動を起こしているのか? 彼らの主張は何なのか? といったことを理解しようとすることも重要になります。

●5.サイバー攻撃に対する重要な意識

 ハクティビストによる攻撃は、平易なツールを用いたDDoS攻撃や既知の脆弱性を利用した攻撃によってWebサイトを書き換えられたりすることが多いですが、システムへの不正侵入により情報搾取されてしまうケースもあります。

 Anonymousによる活動も、特定の作戦活動に参加する人がどんどん増加し、さまざまな議論が行われる中で、本来意図していなかった方向へ徐々に流れてしまったり、個々の勝手な判断によって、本来の攻撃対象以外にも攻撃が発生したりと、予想外の事態を引き起こすこともあります。緩いコミュニティーで形成されているが故、徐々に「祭」と化して暴走し、その活動が制御できなくなってしまうこともあります。

 そのため、攻撃予告されたターゲットでなくとも(通常のサイバー攻撃では攻撃予告はなく、ある日突然、静かにやってきます)、常日頃からサイバー攻撃がいつやってきてもおかしくないという危機感を持ち、他人事ではなく「自分事」としてセキュリティ脅威を意識することが重要です。また今回のようなハクティビストによる攻撃は、世界的には頻繁に発生しており、これからも日本に対して攻撃が行われることは十分に考えられます。

 現在、運用しているシステムにおいて保護されていない脆弱性はないか? など、セキュリティ点検を常に実施するとともに、IT資産の把握やそれらに対するリスク分析、それらリスクを保護するセキュリティ製品の実装など、日頃からの点検と備えが大切です。
 
 [新製品]ジャングル、セキュリティ対策ソフト「G Data 2013」シリーズ、オンラインバンキングやSNSを狙った攻撃も99%検出

BCN 7月2日(月)



「G Data 2013」シリーズ


 ジャングルは、G Data Softwareのアンチウイルスソフトと統合セキュリティソフトの最新版「G Data 2013」シリーズを、7月6日に発売する。ラインアップは、「G Data アンチウイルス 2013」「G Data インターネットセキュリティ 2013」「G Data トータルプロテクション 2013」の3種類で、それぞれダウンロード版とパッケージ版がある。オンラインショップ「G Dataストア」では、現在キャンペーン特価で提供している。


 「G Data 2013」シリーズは、新たにオンラインバンキングのデータ送信内容やSNSなどのログイン情報などを盗みだそうとするマルウェア「MITB(Man-In-The-Browser attacks)」の活動を瞬時に阻止する「Bank Guard」を搭載した。

 「G Data アンチウイルス 2013」は、2種類の異なるウイルススキャンエンジンを備え、さらに論理的検出方法である「ヒューリスティックスキャン」「ふるまい検知」、クラウド技術を活用した「アウトブレイクシールド」「ファイルクラウド」を多重に組み合わせることで、既知のウイルスだけでなく、未知のウイルスにも対応する。

 また、ホワイトリスト方式でスキャンの不要なファイルをスキップし、ユーザーがPCを操作していない間だけスキャンする「アイドリングスキャン」によって、PCを快適に使うことができる。

 Android搭載端末に対応するマルウェア対策アプリ「G Data モバイルセキュリティ」を、購入ライセンス台数分まで無料で利用できる。ダウンロード版の価格は、「G Data アンチウイルス 2013 1年3台」が2980円、「2年3台」が4480円、「3年3台」が5980円。パッケージ版の「G Data アンチウイルス 2013 2年2台」の価格はオープンで、オンラインショップ「G Dataストア」での価格(キャンペーン特価)は2529円。

 「G Data インターネットセキュリティ 2013」は、「G Data アンチウイルス 2013」の機能に加え、外部からの不正侵入を防御するファイアウォールと、有害ウェブサイトの閲覧を防ぐフィルタリング機能を搭載する。

 ダウンロード版の価格は、「G Data インターネットセキュリティ 2013 1年1台」が2980円、「2年1台」が4480円、「3年1台」が5980円、「1年3台」が3480円、「2年3台」が5280円、「3年3台」が6980円、「1年5台」が9980円、「1年10台」が1万7360円。

 パッケージ版の価格はオープンで、オンラインショップ「G Dataストア」での価格は、「G Data インターネットセキュリティ 2013 1年1台」が3380円、「1年1台 ダブルパック」が4230円、「3年1台」が5930円。

 「G Data トータルプロテクション 2013」は、「G Data アンチウイルス 2013」と「G Data インターネットセキュリティ 2013」の機能に加えて、「フルバックアップ」「ファイルバックアップ」「チューニング」「データセーフ」「クローンドライブ作成」「仮想ドライブ作成」「デフラグ」機能など、PCの総合管理機能を備える。

 ダウンロード版の価格は、「G Data トータルプロテクション 2013 1年1台」が3980円、「2年1台」が5480円、「3年1台」が6980円。パッケージ版の「G Data トータルプロテクション 2013 1年1台」の価格はオープンで、オンラインショップ「G Dataストア」での価格(キャンペーン特価)は4230円。

 対応OSはWindows 7(32/64ビット)/Vista(32/64ビット)/XP(SP2以降)で、Windows 8への対応も予定している。また、ライセンス有効期間中に次期バージョンが発売になった場合はアップデートできる。
.
 
 
「DNS Changer」に感染していませんか? 2012/05/25



 JPCERTコーディネーションセンター(JPCERT/CC)は今週、「DNS Changer」ウイルスに感染しているかどうかを調べるWebサイトを公開し、注意を呼びかけた。米Googleも、Google検索にDNS Changerをチェックする機能を追加。このように相次いで注意喚起がなされているのは、DNS Changerに感染していると、7月以降、Webサイトにアクセスできなくなるなどのトラブルが発生する可能性があるからだ。

 DNS Changerは、DNS設定を不正に変更するウイルス(マルウエア)だ。世界100カ国、感染パソコン400万台以上という史上最大規模のサイバー犯罪によって、世界中にバラまかれた。この犯罪グループは、2011年11月に逮捕・起訴されている。にもかかわらずDNS Changerが問題になっているのは、いまだに、世界中に35万台の感染パソコンが存在すると言われているからだ。当然、日本国内でも多数のパソコンが感染している可能性がある。

 DNSは、いわゆる「名前解決」を実現する仕組み。DNSサーバーと、OSなどが備えているリゾルバーと呼ばれるプログラムが通信することで、URLやメールアドレスに含まれるドメイン名からIPアドレスを調べる。 ところがDNS Changerに感染すると、インターネットサービスプロバイダ(ISP)が所有するDNSサーバーではなく、犯罪グループが用意した全く別のDNSサーバーを使わされることになる。そしてそのDNSサーバーには、特定のドメインが全く関係のない不正なIPアドレスに関連付けられるよう細工が施されていたのだ。

 犯罪グループが逮捕されたことにより、この不正なDNSサーバーは米連邦捜査局(FBI)が差し押さえ、正しい動きをするDNSサーバーに置き換えられた。これにより、DNS Changerに感染したユーザーも、現在は問題なくインターネットを利用できている。ただし、このDNSサーバーが運用されるのは2012年7月9日までとなっている。

 当初、この置き換えられたDNSサーバーは2012年3月9日に停止することになっていた。しかし感染パソコンが多く、停止による影響が大きいという判断から、運用を7月9日まで延長した。こうした経緯があるため、再度の期間延長の可能性もなくはない。とはいえ、いつまでも通常とは異なる仕組みでインターネットを運用し続けるわけにもいかない。DNS Changerに感染したユーザーは、いずれ、確実にインターネットをまともに使えなくなる日がやってくる。

 冒頭に記したように、JPCERT/CCなどがDNS Changerの感染の有無を調べるサイトを公開している。インターネットを利用しているユーザーは、念のため、DNS Changerに感染しているかどうかを調べてみたほうが良いだろう。
 
 検索結果に「感染してますよ」、グーグルが「DNS Changer」対策 感染パソコンはネットに接続できなくなる恐れあり2012/05/24

Googleで表示される警告メッセージの例(米グーグルの情報から引用)
[画像のクリックで拡大表示] 米グーグルは2012年5月22日、「DNS Changer」ウイルス(マルウエア)に感染していることを知らせる機能を、同社の検索サイト「Google」に追加したことを明らかにした。感染パソコンでGoogleを利用すると、検索結果画面の上部に警告が表示される(図)。

 DNS Changerは、パソコンのDNS設定を変更するウイルス。感染すると、攻撃者が用意するDNSサーバーを参照させられる。これにより、知らないうちに悪質サイトに誘導されたり、攻撃者が意図したコンテンツをWebブラウザーに表示されたりする恐れなどがある。

 現在では、米国連邦捜査局(FBI)が悪質なDNSサーバーを差し押さえ、正常なDNSサーバーに置き換えたため、DNS Changerに感染していても実害はない。

 しかしながら、この正常なDNSサーバーは2012年7月9日に運用が終了する予定になっている。このため同日以降は、感染パソコンでは名前解決ができなくなり、Webサイトやメールサーバーなどにアクセスできなくなる恐れがある。

 そこで今回、グーグルでは、感染パソコンのユーザーに警告する機能を用意した。DNS Changerに感染したパソコンでGoogleを利用すると、検索結果画面の上部に「あなたのコンピューターは感染しています。近日中に、インターネットに接続できなくなる恐れがあります」といった内容の警告が表示される。

 表示される警告メッセージには、DNS Changerの駆除方法を解説するページへのリンクも記載されている
 
 ネット接続できなくなる「DNS Changer」ウイルス、感染確認サイトが公開 サイトにアクセスするだけで感染の有無を判定、JPCERT/CCが構築2012/05/23




DNS Changerに感染している場合の「DNS Changerマルウエア感染確認サイト」の表示例(JPCERTコーディネーションセンターの情報から引用)
[画像のクリックで拡大表示] 国内のセキュリティ組織JPCERTコーディネーションセンター(JPCERT/CC)は2012年5月22日、世界中で猛威を振るっている「DNS Changer」ウイルスに感染しているかどうかを調べるWebサイトを公開した。同サイトにアクセスするだけで、感染の有無を確認できる。

 DNS Changerは、パソコンのDNS設定を変更するウイルス(マルウエア)。Windowsで動作するウイルスに加え、Macで動作するウイルスも出現している。

 2007年に出現して感染を拡大。現在も、世界中に35万台の感染パソコンが存在し、日本国内でも多数のパソコンが感染しているという。

 DNS Changerに感染すると、パソコンのDNS設定を変更されて、攻撃者が用意するDNSサーバーを参照させられる。これにより、知らないうちに悪質サイトに誘導されたり、攻撃者が意図したコンテンツをWebブラウザーに表示されたりする恐れなどがある。

 ただし現在では、DNS Changerに感染しているパソコンでも、悪質なDNSサーバーを参照させられることはない。2011年11月、米国連邦捜査局(FBI)が悪質なDNSサーバーを差し押さえ、正常なDNSサーバーに置き換えたためだ。

 当初、この正常なDNSサーバーは2012年3月9日に停止する予定だった。このDNSサーバーが停止すると、感染パソコンでは名前解決ができなくなり、Webサイトやメールサーバーなどにアクセスできなくなる恐れがある。

 しかしながら、2012年3月時点では多数のパソコンが感染していたことから、米国連邦地方裁判所の判断により、DNSサーバーの運用が4カ月延長。2012年7月9日まで運用されることになった。

 運用が再度延長されない限り、7月9日以降、感染パソコンではインターネットに接続できなくなる。そこでJPCERT/CCでは、DNSサーバーの運用停止に先駆けて、DNS Changerに感染しているかどうかをチェックするためのWebサイト「DNS Changerマルウエア感染確認サイト」を公開した。このサイトにアクセスするだけで、感染の有無を確認できる。

 感染している場合には、「DNS Changerマルウエアに感染している可能性があります」といったメッセージが表示される(図)。その場合には、JPCERT/CCのWebページで紹介されているウイルス駆除ツール(ウイルス駆除サイト)などを使って、DNS Changerを駆除する。

 なお、同サイトの運用期間は、該当のDNSサーバーが停止される2012年7月9日までを予定している。