DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/
 2013・6・16~6・30
 
 【PC遠隔操作事件】捜査終結。裁判に臨む検察の陣容は、まるで大疑獄事件?!


江川 紹子 | ジャーナリスト 2013年6月29日


東京地検は、PC遠隔操作事件で勾留中の片山祐輔氏について、神奈川県警から追送検されていた横浜市内の小学校襲撃の脅迫メールを送ったとする威力業務妨害事件や遠隔操作ウィルスを6人にダウンロードさせたウィルス供用罪など3件を追起訴。一連の捜査が終結したと発表した。2月10日の片山氏逮捕から139日。片山氏の身柄も、警視庁湾岸署から東京拘置所に移され、事件は舞台を完全に裁判所に移す。

「自信」を語る検察だが…

6月28日午後4時から行われた地検の記者会見は、カメラ禁止、録音禁止の状態で行われた。稲川龍也次席検事は、自信ありげにこう語った。
東京地検
「4人を誤認逮捕した経緯もあり、特に慎重に事案の解明を進めてきた。これがまた誤認となる事態は避けたい、ということをテーマにして、警察と一体となって捜査を行った。予断と偏見を持たずに証拠を見れば、誰でも片山さんが犯人と考えるはず。彼が犯人ではないとは考えられない。彼のPCが遠隔操作をされていたとも考えられない」

とはいっても、稲川次席が証拠について、どの程度理解しているかは疑問。彼自身、「(サイバー犯罪は)目に見えない、というのが難しい。ログの解析結果などは見てもよく分からない」と認めている。「我々の古い捜査では、ここまでできなかったろう。すごい時代になったな、と思う。本件が、今後のサイバー事件捜査の出発点になる」とも述べており、その自信の源は、自分で確認した事実というより、警察と部下の報告に対する信頼、ということではないのか。

しかも、今回の追起訴でも、犯行の場所は「東京都内又はその周辺」、使われたPCは「被告人が使用するインターネットに接続されたコンピュータ」としか書かれていない。今後、公判前整理手続きや裁判で詳細を明らかにする用意があるのかどうか、何度問われても、稲川次席は「具体的には差し控える」として明らかにしなかった。その稲川次席自身、「公訴事実は起訴状でできるだけ特定する。(犯行場所などは)起訴状で明らかにするのが望ましい」とも述べており、こういう曖昧な表現にとどめざるをえないのは、彼自身、本当は忸怩たる思いなのだろう。

また、ウイルス作成が立件できなかったことについては、「今ある証拠から立証が可能だということで、供用罪を選んだ。確実に立証できるものを選んでいる。第三者のPCを通じて犯行を行った、という点にスポットを当てた」と苦しい弁明。片山氏がウイルスを作成した証拠の薄弱さを認めた格好だ。

録音をめぐる不明朗

本件の捜査では、片山氏側は録音もしくは録画を行えば黙秘権を行使せずに取り調べに応じるとしたのに、捜査機関がそれを受け入れず、結局途中から取り調べができなくなった。取り調べは自白を求めるためだけに行われるわけではなく、被疑者自身からできるだけ多くの情報を引き出し、客観証拠と照らし合わせるなどして、検察の見立てを補強したり修正したりするためでもある。それを行わなかった理由や結果について尋ねると、稲川次席は以下のように語った。

「録音録画については、現在検察庁の試行対象事件は決まっていて、この事件は対象ではない。ただし、法制度上は(録音録画は)可能。本人の弁解は弁録や勾留理由開示公判など聞く機会はあった。我々は聞く姿勢は常に持っていた。弁解があるなら言って下さいという態度だった。被疑者は取り調べ受忍義務があるが、留置場の房から引っ張り出して(取り調べを)やるか、ということについては、誤認逮捕の4人の中には自白の強要があったんじゃないかと言われているものもあり、客観証拠に重点を置いた」

これでは回答になっていない。弁護人は検察官の取り調べについては、録画までしなくても録音さえしてくれれば応じると提案したのに、検察側から拒否されたために取り調べに応じられなかった、としている。客観証拠に重きをおきつつ、録音を録って取り調べをするという選択もあったのではないか。そう重ねて問うと、稲川次席はこう言った。

「我々は録音してない、とは言っていません」

聞かれたことに答えず、聞かれてないことを述べるちぐはくなやりとり。稲川次席は、別の記者の質問にも、やはり聞かれてもいないのに、「録音していない、とは言っていない」と繰り返した。実際に録音したかどうかは、「弁護人が証拠開示請求するだろうから、その過程で明らかになる」と言葉を濁した。

これは、何を意味するのだろう。

検察は、2回目の逮捕の後、片山氏が弁解録取のために検察庁に赴いた際に、3時間半近く、事実上の取り調べを行っている。録音の要求が拒否された以上、弁解録取後の取り調べは拒否すると通告していた弁護側は、「だまし討ちだ」と激怒した。検察官はこの時に、弁護人にも片山氏に告げないまま、録音をしていたのではないか。もしそうであれば、なぜ堂々と弁護人や被疑者本人に録音していることを告げて行わないのか。検察のフェアネスが疑われる事態だ。

ただ、弁護側がすべての場面における録音を開示するように求めたのに対し、検察側は「録音は存在しない」と文書回答している。本当に存在しないのだとしたら、稲川次席の思わせぶりな発言は何なのだろうか…。4人の誤認逮捕を出した本件ではなおのこと、捜査はきちんと検証が可能な状態でなければならないはず。にもかかわらず、こういう不明朗さなことでは、再び捜査への不信を惹起しかねない。

検察は5人態勢、しかも2人は専従

今回の捜査は、警視庁、神奈川県警、大阪府警、三重県警の合同捜査本部が行い、検察側は東京地検の検事が3人で対応した。今後の裁判には、なんと公判部副部長以下5人態勢で臨む、という。それも、2人はこの事件だけを担当する専従(うち1人は捜査も担当した検事)。秘書3人を起訴した陸山会裁判より多い。まるで大疑獄事件並みの陣容だ。
佐藤弁護士
これには、午後6時半過ぎから記者会見を行った弁護団は、相当驚いたらしい。

「参ったね。こっちは、この事件に専従できる弁護士は一人もいない。一人回して欲しいよ」と軽口を叩きながらも、佐藤博史弁護士の顔は紅潮していた。「5人もいるのは、自信のなさの現れだろう。5人合わせて一人前なのではないか?」

〆切りギリギリの検察側書面

検察は、主張の詳細を記した証明予定事実記載書面を、

1)被害状況

2)「犯人」の行動

3)被告人が犯人であること

という3部構成にして、順次提出する、としてきた。この日は、2)の書面の締め切り日。

佐藤弁護士によると、午前中に電話した時には、まだ「(書面は)まだ決裁が降りておらず、最終形になっていない」と告げられた。検察官請求の証拠についても、「今一生懸命整理しているところなんです」と言われた。結局、書面が実際に弁護側に渡されたのは午後5時過ぎ。夏休みの宿題を徹夜で仕上げるかのように、〆切りギリギリまで検討せざるをえない状態らしい。これは、検察の余裕のなさを示しているのではないか、と佐藤弁護士は見る。

弁護団によれば、この日の書面では、問題のウイルスを作成したプログラム言語はC#であることは明記されていた。「これで、検察は、片山さんがC#を使えることを証明しなければならなくなった」(佐藤弁護士)。

ところが、「犯人」の行動について明らかにするはずのこの書面には、「犯人」がウイルスを他人のPCに感染させ、脅迫メールなどを送らせるための操作を行った場所や使用したPCについては、まったく記載がない、という。あるのは、ネットカフェでウイルスの動作チェックをした、という点くらい。

それどころか、「犯人」が雲取山でUSBメモリを埋めたこと、江ノ島の猫にSDカード付きのピンクの首輪を取り付けたことも、首輪を購入した店についても、この書面には一切書かれていない、とのこと。こうした行為を「犯人」が行ったという証拠を、検察は持っていない、ということなのだろうか。それとも、次に提出予定の書面、つまり「犯人」が片山氏であるとの主張を明らかにする時まで先送りしたのだろうか…。だとしたら、なぜ…。

今回の書面を一読した印象を、佐藤弁護士はこう語った。

「暴走極まれり、だ。検察は立ち止まることも引き返すこともできず、最後まで行き着いてしまった」

検察側が片山氏を「犯人」とする根拠を明らかにする書面は、7月10日までに示されることになっている。



メディアと検察との関係

ところで、東京地検の記者会見ではこんなことがあった。稲川次席と並んで、4月から捜査の主任検事を務めた倉持俊宏検事が同席。質問によって稲川次席に必要な情報をささやいたり、自身も捜査を終えた感想などを語った。

すると、一人の新聞記者がこんな質問をしたのである。

「あの~、倉持さんのお名前を出してもいいでしょうか。それとも出されたくないでしょうか」

起訴は検察組織としての判断であるとはいえ、起訴状には倉持検事の名前が記されている。片山氏は倉持検事によって、訴追された。組織の一員として名前を出さずにおくか、強大な権限を行使した検察官として名前を出すかは、自分で、あるいは自社で考えて決めたらどうか。いちいち検察にお伺いを立てるようなことではあるまい。

稲川次席も、この質問にはちょっと戸惑ったよう。しばし言いよどんでから、「名前はできれば出さずに…」と答えた。

このやりとりは、検察とマスメディアの記者との関係を象徴的に現してはいないだろうか。

2月10日の逮捕以来、マスメディアを通じて、捜査機関から漏れたと思われる情報がたくさん報じられた。今回の追起訴についても、産経新聞が事前に報道。佐藤弁護士が検察に抗議をすると、「情報がうち(検察)から出たとは限らない。警察かもしれない」と反論した、という。

佐藤弁護士は、記者会見で報道陣に次のように注文をつけた。

「片山さんが犯人かどうかは分からないのだから、権力の情報を垂れ流しではなく、もっと情報を批判的に見ないと。4人の誤認逮捕があった事件であり、また同じことが起きているのではないかという疑いを持って臨んで欲しい」

 
 公的機関は「ダミーデータ」の活用を


山本 一郎 | 個人投資家 2013年6月29日


山本一郎です。我が国の伝統芸能である、発言権のない会議に出席させられて静かに座っているだけという置物文化をいまに伝える有技能者です。お陰で黒服がすっかり板につくようになってきました。

ところで、最近はビッグデータやらオープンデータという言葉が流行し、もちろん有意義であるがゆえに政府もこれをおおいに活用して行政手続きの簡略化、合理化を行って国民がより良い公的サービスを受けられたり、第三者機関などが公的情報を使ってより専門的で具体的な分析ができるようにしましょう、という議論が花盛りになっています。私としても、総論としてはおおいに賛成です。

具体的にオープンデータが何に使われるのかというと、役所はどう思っているか知りませんが、地方自治体の経済再生や将来の福祉事業へのコスト割り出しなどを検討する際に、マスク化され不可逆となっている公的情報を一部利用して、新たに行う公共事業その他のフィージビリティスタディ(実現可能性調査)をやる、ということがあり得ます。例えば、北陸某県では、頑張って取り組んだコンパクトシティ構想がイマイチであったため、改めて住民情報を属性のところだけ回収し、高齢者がこのぐらい点在して住んでいるから、都市中心部に程近いコレクティブハウスなどの施設に移住してもらい、僻地に医師がいかなければならないような社会コストの低減を図るために老人を一箇所に住まわせようであるとか、上水道下水道電気ガスその他インフラが人の住んでない地域で充実しててもしょうがないでしょ的な議論となるわけです。

また、一歩踏み込んでマイナンバーについても議論が進んでいますが、ひとつのコードにその人の公的情報や医療情報がぶら下がるほうが、確かに効率としては素晴らしいわけですね。いやまったく。

もちろん、その情報が流出しちゃったらどうするの、という話は当然つきまといます。例えば、取り返しのつかない情報がマイナンバーにぶら下がり、それがデータ保管受託先であったNTTコミュニケーションズやGMOクラウドのデータセンターが物理的に爆発炎上するなどして情報流出して、中国の情報当局にデータごと全部もっていかれたらどうするのだ、という議論があります。

そんな大事な情報ないじゃん、と思う人もいるかもしれないんですが、絶対にその人にとって一生モノのデータとして、遺伝子情報と医療カルテがあります。要するに、その人の遺伝子情報が将来的にこれらのシステムに紐づき、特定遺伝子の保有者であることが分かってしまったら、その人の知らないところで情報が流通することによって生命保険の掛け金が変わってしまったり、転職のときに不利となったり、結婚しても子供は生むべきではないという情報が業者の間で出回ることになるわけです。

ありえねーよ、という話が実際に起きたのがエストニアで、実際に全国民130万人あまりのうち、何割かの情報が常に危機に晒されている可能性を鑑み、それであれば国民の選択的に遺伝子情報を医療機関や製薬会社に販売することを認めるかどうかの議論が進んでおります。先進的過ぎて何も言えませんが、どうせ流出して取り返しのつかないことになるようであれば、個人のリスクで個人情報を売る制度作りをしましょうという話になっておるわけですね。さすがソ連に運命を翻弄され続けたバルト三国の諦観にも似た割り切りを感じさせます。

日本の場合は、絶対安全の要望が強い国民性ですから、一足飛びに「どうせ漏れるんだから、金出してもらえるところに売っちまえよ」という議論にはなかなかならんでしょう。国民の情報は断固死守すべしといっている議員がその自分のサイトをFC2に置いてたりして失笑するわけなんですけれども、漏れないような万全の対策は業者が適切に打つものとして、それでもアタックされましたクラックされました情報漏れましたというのは絶対ないとは言い切れません。

ただ、どこに漏れていったのか、何が漏れたのかを察知することはとても重要な事柄です。例えば、中国の情報機関が、農林水産省の要人に食い込んで日中間事業から得た関係者のメールアドレスに標的型マルウェアを仕込んで旅券情報を含むマイナンバーを確保するとして、それが全部真正のデータであったなら、農林水産省はどこに情報が出て行ってしまったのか分からんまま犯人探しに右往左往することになります。必要なことは、アクセス権を制限することだという議論は一部正しくて、一部酷い話です。本人がスパイ活動をしているつもりはなくとも、外部から操作されてしまった自分のPCからアクセス権のある局長に標的型マルウェアを送ることだってあり得るわけですから。

これへの対策として、例えばアメリカのように情報要員が足りないから4,000人ほど追加しましたとか、あるいはアメリカのように安全保障の枠内でトラフィックを全て監視できるシステムを同盟国との間で構築してみましたとか、ないしはアメリカのように軍人や公務員育成し直していたんじゃ要員確保どころか技術的キャッチアップも難しいから民間企業に特殊公務員の資格を与えて業務委託契約出して2,000人確保しましたとか、我が国では無理なわけです。富士通とかNECなど発注こなくて情報部門が潰れそうなんですよ。情報部門が総出を挙げて確保した猫好きのゆうちゃんさえ摘発できなかったかも、とか言っているレベルです。駄目だ、悪いということではなく、日本とアメリカでは前提条件が違いすぎます。国益のためにこれが必要だ、といっても沖縄にオスプレイ置くだけですったもんだする国ですよ。

なので、せめてトレーサブルな仕組みは考えておくべきです。どこに、どの粒度で、何が漏れたか、外形的にすぐに判明がつくような簡単な仕組みで良いので、スパイの自白に基づかなくても良い仕組みです。誰がその情報を確保したのかが分かれば、牽制することもできますし、場合によっては摘発まで持っていくことも可能になるかもしれません。そのもっとも効果的で、望ましい方法は、ダミー情報を混ぜておくことです。ビッグデータで使う場合は誤差で弾けるけど、安全保障上重要な内容であればダミー情報を元に接触を図ってきて工作が露顕するような、そういう仕組みです。

馬鹿正直に、真面目にデータベースを組む必要はないのです。やっても構わないんですが、純度の高いデータほど流出したときのダメージはでかい。例えば某庁の協力者データに、全体のほんの1%でいいから大物駐日外交官の名前を混ぜておくとか、そういう最低限のレベルです。上杉隆でも雇って、ちゃんとしたデータにガセネタを混ぜておくのが一番効果的なこともあるんですよ、どうせ流出を万全に防ぐ予算なんて当面出ないんですから。

平井卓也先生が党首討論で野次っていたようですが、もう少し襟を正すよう心がけていただかないことには、たぶんこの辺の国民の情報漏洩はもう抑えられないと思います。何か出るにしても、おそらく選挙後にはなるだろうけれども。
 
 記者の「不正アクセス」事件で議論

web R25 6月29日




記者の不正アクセス容疑について説明する朝日新聞。同社は「不正アクセス禁止違反の犯罪は成立しないことが明らか」と判断している ※この画像はサイトのスクリーンショットです


警視庁は6月25日、遠隔操作ウイルス事件の「真犯人」を名乗る人物のメールアカウントに承諾なしにログインしたとして、朝日新聞の記者3人と共同通信の記者2人を不正アクセス禁止法違反の容疑で書類送検した。

書類送検された記者がアクセスしたのは、2012年10月から11月に「真犯人」がマスコミに向けて犯行声明メールを送った際に使用したフリーメールのアカウント。「真犯人」は10月の犯行声明メールの中で、自分が「真犯人」であると証明するため、8月に遠隔操作で犯行予告メールを送った別のアドレスのパスワードを「犯人にしか分からない秘密」として公開していた。そして、犯行声明メールのアカウントでも同じパスワードが使われており、記者はその事実を推察したうえでログインしたようだ。

また、このパスワードは報道されており、犯行声明メールのアドレスもネット上では出回っているため、新聞記者でなくとも、多くの人がアクセスできる状態であったともいえる。

このような状況での「不正アクセス事件」について、朝日新聞と共同通信がともに正当な取材行為だったと説明すると、ネット住民の間で議論が巻き起こった。2ちゃんねるの「【社会】取材なら『不正アクセス』許されるのか 共同・朝日記者送検でネットに疑問の声[06/25]」というスレッドでは以下のような意見が交わされている。

「仮にパスワードが書いてあったとしても『パスワード使ってアクセスしていいよ』と書いてなかったら不正アクセスだろ
家の前に落ちてる鍵を拾って住居侵入するのと変わらん」
「取材のために不正アクセスしたって強弁してるけど、この種の
『目的が正しければ、違法な行為も合法になる』『目的が手段を浄化する』
という議論はまさに言い逃れ、口先だけの詭弁に過ぎない。ならぬものはならぬ!」

などと、取材行為とはいえ、承諾なしに他人のアカウントにアクセスしたことは違法行為であるという主張が多かった一方で、

「送信先をマスコミと弁護士に限定したメールに
堂々とパスワードを記載しているわけだし、
送信先には当該アカウントにアクセスすることを許可している
という解釈は妥当だろう。まあ無罪だな」
「不正アクセス禁止法って運用に疑問符がある部分がかなりあるからなあ
これを馬鹿の一つ覚えみたく不正アクセスだ!と糾弾するのもどうかと思うわ」

と、一概に違法だとは言えないのではないかという意見も、わずかだがあった。

どのような状況で「不正アクセス」が行われたかという点について、正確な情報が出ていないということもあり、この件に関する議論はまだまだ続きそうだ。
(R25編集部)
 
 Operaに標的型攻撃、デジタル証明書が盗まれ、マルウェア配布に悪用

Impress Watch 6月28日

 ノルウェーのOpera Softwareは26日、社内ネットワークに標的型攻撃があり、同社のインフラがマルウェアの配信に悪用された可能性があることを明らかにした。

 Opera Softwareでは6月19日にこの攻撃を発見し、停止したが、同社の期限切れのコードサイニング証明書を攻撃者が入手できる状態だったという。これを悪用することで、Operaブラウザーなど同社が配布しているプログラムを装ってマルウェアを配布できることになる。

 Opera Softwareによると、協定世界時の6月19日1時00分から1時36分(日本時間の同日10時00分から10時36分)までの間にOperaを使用していた数千のWindowsユーザーが、マルウェアを自動受信してインストールしてしまった可能性があるとしている。Opera Softwareでは、新しい証明書でサインしたバージョンにOperaをアップデートするとしており、ユーザーに対して、リリース後できるだけ早くアップデートすることなどを強く求めている。

 一方、Trend Microが入手したこのマルウェアのサンプルは、Opera Softwareの言うように、Operaのアップデートを装っていたという。Trend Microではこのマルウェアを「TSPY_FAREIT.ACU」として検出するが、実行されると、特定のFTPクライアントからサーバー名やパスワードを含む情報を窃取するほか、OperaやFirefox、Google Chromeを含むウェブブラウザーからも情報を収集するとしている。
 
 pera社内から証明書流出、ユーザーのマシンにマルウェアが侵入か

ITmedia エンタープライズ 6月28日



 ノルウェーのOpera Softwareは6月26日、同社の社内ネットワークインフラが標的型攻撃を受けてコード署名証明書が盗まれ、Operaブラウザのユーザーにマルウェアが配布された可能性があると明らかにした。

 Operaのブログによると、社内ネットワークインフラに対する標的型攻撃は6月19日に発覚して対処した。当局と協力して攻撃の出所などを調べているが、現時点でユーザー情報が流出した形跡はないとしている。

 しかしこの攻撃で、期限切れのOperaコード署名証明書が盗まれ、マルウェアへの署名に使われたことが判明した。Opera Software製のソフトウェアやOperaブラウザのように見せかけて、マルウェアが配布された恐れがあるという。

 この影響で、協定世界時(UTC)6月19日午前1時~1時36分(日本時間19日午前10時~10時36分)の間にOperaを使っていたWindowsユーザー数千人が、自動的にマルウェアをインストールしてしまった可能性があるという。

 同社は対策として、新しいコード署名証明書を使ったOpera更新版のリリースを予定しており、ユーザーに対し、更新版がリリースされ次第アップグレードするよう強く推奨している。
.
 
 スマートフォン/タブレット向けウイルス対策ソフト「Dr.Web」の法人向けライセンスを販売

japan.internet.com 6月27日


スマートフォン/タブレット向けウイルス対策ソフト「Dr.Web」の法人向けライセンスを販売

ディーアイエスソリューション(DiS)はロシア IT セキュリティ対策の Doctor Web 日本法人である Doctor Web Pacific と提携し、1,500万人以上が利用するスマートフォン/タブレット向けマルウェア対策ソフト「Dr.Web Anti-Virus」の法人向け製品「Dr.Web モバイル 法人向けライセンス」の独占販売を開始する。

同製品は、Android スマートフォンやタブレット、その他のモバイルデバイスを保護するセキュリティソリューション。ウイルス対策だけではなく、盗難/紛失対策や、Web フィルターなどのセキュリティ機能を搭載している。また、設定や利用方法などを一元管理する管理ツールがライセンスに含まれている。

DiS はグループ会社であるダイワボウ情報システムの販路を活用した全国展開により、3年間で3万ライセンスの販売を見込んでいるという。
 
 株価つり上げが目的のスパム攻撃の復活やSNSターゲットのワームの増加 - マカフィー、2013年第1四半期の脅威レポートを発表

マイナビニュース 6月26日

マカフィーは、2013年第1四半期の脅威レポートを発表、TwitterやFacebookなどSNSを対象としたワームの流行、株価の上昇で一儲けしようと投資を考えるユーザーをターゲットにした「Pump and Dump」の復活など、いくつかのトピックスも挙げている。同社Webサイトからダウンロードできる。

レポートは、2013年第一四半期のセキュリティにおける傾向を同社が分析したもので、PDF形式で35ページのボリュームとなる。傾向としてモバイルマルウェアは着実に増加しているが、一年以上減少傾向を見せていたスパムメールがこの四半期に倍増しており、あわせて一般的なマルウェアも急増しているとしている

同社が挙げているトピックスには、"銀行取引"を対象とするマルウェア「Zeus」の亜種「Citadel」が、さらに機能拡張して広がることに対する懸念やFacebookユーザーを対象としたワーム「Koobface」が前四半期の3倍のサンプルが検出されたことなどを挙げている。またSNS利用者を狙ったワームの流行はピークとも言える状態ともしているほか、北米におけるスパム増加の要因として、株価上昇で一儲けしようとしている人をターゲットにした「Pump and Dump」と呼ばれる株価つり上げが目的のスパム攻撃の復活も挙げている。

[マイナビニュース]
 
 シマンテック、Android 端末を人質に取る偽ウイルス対策アプリに注意喚起

japan.internet.com 6月26日



シマンテック、Android 端末を人質に取る偽ウイルス対策アプリに注意喚起

シマンテックは、Android 端末を狙った偽ウイルス対策ソフトウェア「Android Defender」について、同社の公式ブログ上で注意を促した。

Android Defender は、コンピュータのセキュリティ状態について意図的に誤った情報を表示する、ウイルス対策をかたった詐欺ソフトウェア。実際には存在しないマルウェアやセキュリティリスクの警告を表示し、端末から削除するためのアプリケーションをユーザーに購入させようとする。

さらに、支払いが完了するかマルウェアが削除されるまで、警告のポップアップメッセージを端末へ表示し続ける。その間端末はロックされ、人質にとられたようになってしまうことが特徴だ。

被害内容はインストールした端末の種類によっても異なるが、多くのユーザーに共通して、他のアプリケーションの起動が妨害されたり、該当のアプリケーションをアンインストールできなくなったり、OS の設定が変更されたりするという。また、場合によっては端末のデータリセットさえ実行できず、ハードウェアリセットでしか修復できなくなることもあるようだ。

同社は、こうした不正なアプリケーションは一度インストールされてしまうと削除が難しいため、信頼できるセキュリティソフトやダウンロードサイトを使用し、そもそも端末に入り込まないよう未然に防ぐことが安全対策として重要だとしている。

 
 多彩な検知技術や製品連携が強み、マカフィーの提唱する標的型サイバー攻撃対策とは

RBB TODAY 6月26日



「検知テクノロジーは適材適所の有効活用が鍵」マカフィー株式会社 プロダクトマーケティング部 中村 穣 氏

 マカフィーは、新たに強化された次世代IPSである「McAfee Network Security Platform(NSP)」の提供を開始した。マルウェアの多段検出が可能で、高い精度で入口対策、出口対策の双方に対応する。今回、同社のプロダクトマーケティング部、シニアプロダクトマーケティングスペシャリストである中村穣氏に、最新のサイバー攻撃対策や新製品などについてうかがった。

他の写真を見る


――標的型サイバー攻撃が従来の攻撃と本質的に異なる点は何でしょう?

 標的型サイバー攻撃には、攻撃者の技術力や組織力が向上しているという共通点があるものの、人によって捉え方が違います。そもそも従来のサイバー攻撃をどう定義しているか、という点から違うためです。金銭目的や企業の重要情報を狙う攻撃は従来からありましたし、本気で攻撃する際に攻撃対象について周到な調査を行うケースは以前からありました。また、そのための対策を進めている人もいました。
もしかすると変わったのは我々の視点かもしれません。これまでは、マスメーラーのような派手で分かりやすい攻撃ばかりが注目されました。しかし最近は、企業の重要な情報を盗んだり、制御システムにダメージを与えるような、複雑で入り組んだ攻撃でも注目され理解されるようになりました。

――そういった標的型サイバー攻撃に対し、マカフィーはどのような対策を提供しますか?

 標的型サイバー攻撃への対策というと、すぐに新しい製品が注目されますが、まずは基本的な対策をしっかり見直すことが大事です。OSやアプリケーションのパッチの適用、アカウント管理などをしっかり実施した上で、「エンドポイント」と「ネットワーク」、「入口対策」と「出口対策」をバランス良く行うべきでしょう。特に出口対策は注目されていますが、「外へ出て行く通信を止める」ということは有効ではあるものの、そもそも「すでに内部に脅威が蔓延している」点には注意が必要です。

 出口対策も考慮しつつ可能な限り入口で標的型サイバー攻撃を止めることは、最終的に運用負担を下げることにつながります。その代表的な製品が、今回提供を開始した次世代IPSである「McAfee Network Security Platform(NSP)」です。

 マカフィーは、ネットワークやエンドポイントを含め多様な製品と、世界中の脅威の情報を相互分析するインテリジェンス「McAfee Global Threat Intelligence(GTI)」の連携によって、多様な顧客に最適なソリューションを提案できることも最大の強みです。

――NSPについて、従来のIPSとどう違うのか教えてください

 従来のIPSと大きく異なる点は、通信の詳細な可視化が可能であること、サーバの手前でエクスプロイトから守るというだけでなく、マルウェアのチェックやボットネットの検出も強化され、入口対策と出口対策の双方を実現します。

 可視化においては、およそ1,500のアプリケーションを可視化できます。例えば「Skype」を使っている場合に、通信先国等の情報とともに、意図しない通信を可視化して検出できるので、不要な通信のコントロールが可能になります。また、DoS/DDoS攻撃対策、エクスプロイト対策、マルウェア対策、ボット対策が可能です。これらは常にGTIの情報も活用するので、素早く攻撃に対応します。

 マルウェア対策では、シグネチャ、カスタムフィンガープリント、ファイルレピュテーション、非シグネチャファイル解析、PDFエミュレーションなど、多段のエンジンにより対策を行います。特に他のマカフィー製品でゼロディ攻撃に有効性を発揮していた、「Gateway Anti-Malware Engine」をベースにしたエミュレーション、非常に強力なビヘイビアベースのエンジンも活用できます。このエンジンを用いた製品は過去の第三者機関のテストで、特にゼロデイ対応の成績が他社より頭ひとつ抜け出ていたことも機能追加に至った大きな理由でした。

 NSPでは、どの脅威をどのエンジンが見つけたのかを、担当者がダッシュボードで確認することができ、その次のアクションを素早く実施することができます。また、それぞれのエンジンの検出強度やアラートの感度を個別に設定できるほか、検査対象をどの機能で検査するかの設定も可能です。自社への攻撃傾向から、「ここを特にしっかり見たい」「特に強化したい」あるいは「このアラートのみ通知して止めないようにして欲しい」といったニーズに応えるカスタマイズが可能になっています。

 これらの機能に加え、マカフィーはValidEdgeテクノロジーを買収しており、その技術を搭載したサンドボックス製品の提供準備も進めています。サンドボックスは不審なファイルを実際に実行させ、結果を知ることができるので、標的型サイバー攻撃に有効な場合もあります。ただし、結果を確認できるまでに、実行ファイルによって数分程度かかるケースが多いため、サンドボックスだけに頼ると処理時間やリソースを消費して非効率になるケースがあります。また、サンドボックスでは既知のマルウェアに振り回されてしまうこともあり、リアルタイム性の高い防御を目指す場合に非効率な面もあるのです。

 そのためNSPでは、基本的にシグネチャやエミュレーション、ファイルレピュテーション、非シグネチャ解析などを活用した上で、必要なものだけを追加の静的解析を実施したり、サンドボックスで検査するように連携するというスタンスをとります。

 出口対策となるボットネット対策では、「Advanced Botnet検知」という、ボットのふるまいのセットからボットを検出する機能が搭載されています。ボットが社内でやりそうなこと、つまり、サーバへのアクセスや、認証や通信エラーの発生、外部への暗号化通信で抜けようとすること、メールの発信等々のふるまいを検知したら、総合的に判断して検知及び遮断します。外に出るところを止めるのも重要ですが、社内で何が起きている状況を把握して検知に役立てます。

――NSPの新製品である「NSシリーズ」について教えてください

 NSシリーズは、10年前からマカフィーが提供しているIPS製品の第三世代となる次世代IPSの新製品で、マカフィーとインテルが協調して開発しました。7月から提供する最上位モデルは、最大40Gbpsに対応するモデルで、従来は17Uを必要としましたが新モデルは4Uへダウンサイジングし、価格は従来の半分以下になっています。また、今後はSSL、暗号化通信の処理が重要になるので処理性能も更に強化しました。これもインテルとの共同開発の大きな成果であり、ソフトの強化とともにハードの強化も継続しています。

 お客様に説明すると、「IPSでここまでできるとは知らなかった」と言われます。IDS/IPSに対して、専門家でないとチューニングできないなどといった「IDSのトラウマ」を持つお客様が少なくないようです。NSPは、10年間にわたって磨き上げてきた「デフォルト設定の強さ」があります。第三者機関のテストでも、他社のチューニング後よりNSPのデフォルトのままの方が、いいスコアになることもあります。昔は「膨大なシグネチャから選ぶ」から始まりましたが、今はそういう時代ではありません。NSPもさまざまなテクノロジーを搭載しながらも使いやすさの向上も実現しているのです。

――今後の展開について教えてください

 まずは、先ほどお話ししたサンドボックスを含むステルスマルウェア対策製品を近々提供開始し連携強化を進めます。サンドボックスのいいところを最大限に活かせるよう、強力な静的解析と組み合わせて開発を進めています。また、別のアプローチとして、「SIEM:Security Information and Event Management」との有効な連携も実現しています。攻撃を受けたときに企業がまず考えるのは、「誰がどんな方法で攻撃したか」ばかりでなく、まずは組織への影響や対応方法を見極めることです。適切な対応、被害の拡大を最小化、システムへの影響がビジネスにどう影響するかを把握するといったことを素早く把握できることも重要です。

 そのためには、社内にあるさまざまな機器の異なる形式のログを、ひとつのプラットフォームで一元的に、同じ切り口で素早く把握できるSIEMが重要になるでしょう。IPS側でも、イベント情報だけでない連携も進めていきます。
 
 マカフィー、2013 Q1脅威レポートを発表 - SNS利用者を狙ったワームが流行

マイナビニュース 6月26日

マカフィーは6月25日、2013年第1四半期の脅威レポートを発表した。同レポートによると、FacebookやTwitterなどのSNS利用者をターゲットとした「Koobfaceワーム」の事例が急増しているほか、ここ3年間増加することのなかったスパムメールの件数も増加しているという。

「Koobfaceワーム」は、Facebookを利用したトロイの木馬型ワームとして2008年に発見された。手口としては、ソーシャルエンジニアリングの手法で、ウォールに動画リンクを投稿する。クリックすると、動画プレーヤーのアップデートを促され、実行ファイルのダウンロードを行うが、このファイルがKoobfaceワームでありPCを攻撃するというもの。

過去1年間の検知件数には目立った動きが見られなかったが、第1四半期に前年同期比の3倍まで増加し、過去最高の検出数を記録した。マカフィーはKoobfaceの増加について、攻撃者がSNS利用者を格好の標的と捉えていることを示していると分析している。

ほかに、スパムメールが約3年ぶりに顕著な増加を示し、2011年5月以来のメール数に達した。新興市場においてスパム広告が急増しているほか、pump and dump詐欺メールも確認されている。pump and dumpは、投資家を騙すスパムメールで、虚偽のインサイダー情報メールを不特定多数の人物へ大量にばらまくことで株価をつり上げ、攻撃者は利益を得る。

ほかにも、モバイルマルウェアが前年同期比で40%増加していることやマスターブートレコード(MBR)に対する攻撃が過去2四半期で記録的な増加を示していることが報告されている。

同レポートは、「McAfeeセキュリティ研究レポート」よりダウンロードできる。

[マイナビニュース]
 
 Dr.WEB、Android向けウィルス対策ソフトの法人向けライセンス

マイナビニュース 6月26日

Doctor Web Pacificは2013年6月25日、ディーアイエスソリューションと提携し、スマートフォン・タブレット用セキュリティ対策ソフト「Dr.WEB Anti-Virus」の法人向け製品「Dr.WEB モバイル 法人向けライセンス」を発売した。

Dr.WEB モバイル 法人向けライセンスは、Androidスマートフォンやタブレット、その他のモバイルデバイスを保護できるセキュリティソリューション。ウイルス対策だけではなく、盗難・紛失対策やWEBフィルタリングなどのセキュリティ機能を搭載しており、設定や利用方法などを一元管理できるツール「Dr.WEB Control Center」も含まれる。

同製品では、ディーアイエスソリューションが独占的な国内一次代理店となり、当面は同社のグループ会社であるダイワボウ情報システムの販路を活用して販売される。1ライセンス1,500円/年で、最小購入台数は20。100ライセンスで9万8,000円、1,000ライセンスで74万8,000円など、ボリュームディスカウントも用意されている。

Doctor Web Pacific 代表取締役の菅原修氏は「Androidスマートフォンやタブレットの業務利用が増加する中、それに伴うセキュリティリスクの増大も、組織の課題となっている。特に、社員個人のデバイスを活用するBYOD環境においては、セキュリティ対策が個人に委ねられているケースも多く、管理者が把握していないセキュリティホールが増えている」と製品提供の背景についてコメントしている。

[マイナビニュース]
 
 共同・朝日の記者、書類送検 遠隔操作 取材で不正接続容疑

産経新聞 6月26日



 遠隔操作ウイルス事件で、真犯人を名乗る人物の犯行声明に使われたメールのサーバーに不正ログインしたとして、警視庁は25日、不正アクセス禁止法違反容疑で共同通信社(東京都港区)の記者2人と朝日新聞社(中央区)の記者3人を書類送検した。任意の事情聴取に対し、いずれも容疑を認めている。

 送検容疑は、両社の記者は昨年10~11月、犯行声明の送信元に使われたメールのインターネットサイトに1~3回、無断でアクセスしたとしている。ユーザー名は犯行声明に使われたメールアドレスと同じで、パスワードはメールの内容から類推したという。

 警視庁などの合同捜査本部がメールへのアクセス記録を解析したところ、真犯人とみられる匿名化サーバーからの接続のほか、両社に関連するIPアドレスから接続された履歴が見つかっていた。

 朝日新聞社東京本社の森北喜久馬社会部長は「正当な取材の一環で法律上も報道倫理上も問題ないと考えます」、共同通信社の石亀昌郎社会部長は「法律に抵触する可能性がありますが、事件の真相に迫るための取材行為でした」とのコメントを出した。
 
 一般的なマルウェアが急増、スパムも勢いを取り戻す--四半期レポート(マカフィー)

ScanNetSecurity 6月25日



「McAfee脅威レポート:2013年第1四半期」

マカフィー株式会社は6月25日、「McAfee脅威レポート:2013年第1四半期」を発表した。これによると第1四半期は、モバイルマルウェアは着実に増加しており、Facebookの脅威であるKoobface、オートランマルウェア、マスターブートレコード(MBR)を攻撃するステルスマルウェアなど、一般的なマルウェアが急増している。また、世界規模で展開されるスパムがこの四半期で倍増、1年以上減少が続いていたが、勢いを取り戻している。標的型攻撃では、特定の被害者を攻撃するためにトロイの木馬「Citadel」をカスタマイズする例も見られた。

他の写真を見る

モバイルマルウェアのサンプル数は、ほぼAndroid OSのみであるが急増し続けている。また、全モバイルマルウェアの約30%がこの四半期に出現した。悪意のあるスパイウェアや対象を絞った攻撃が、モバイルフォンに関する最新の攻撃として目立っている。Webの脅威の分析では、新たに出現した疑わしいURLの大半は米国内に存在しており、この四半期に12%増加した。フィッシング詐欺の新たな攻撃対象は、主にオンラインオークションや金融関係となっている。

(吉澤亨史)
 
 共同、朝日記者5人を書類送検=不正アクセス容疑―PC遠隔操作事件取材で・警視庁

時事通信 6月25日



 遠隔操作ウイルス事件で、「真犯人」を名乗る人物が犯行予告などを送信するのに使ったフリーメールのサーバーに不正にアクセスしたとして、警視庁サイバー犯罪対策課は25日、不正アクセス禁止法違反容疑で、共同通信社と朝日新聞社の記者計5人を書類送検した。
 同課によると、書類送検されたのは共同通信社社会部の記者2人と、朝日新聞東京本社の記者3人。任意の聴取に対していずれもアクセスしたことを認め、「取材目的だった」などと話しているという。
 送検容疑は昨年10~11月、遠隔操作事件で使われたメールアドレスのサーバーに、犯人が設定したとみられるアカウント名とパスワードを勝手に入力して不正にアクセスした疑い。 
 
 シマンテック、偽ウイルス対策アプリ「Android Defender」に注意呼びかけ

マイナビニュース 6月25日

シマンテックは24日、Android端末に影響を及ぼす偽ウイルス対策アプリが登場したとして、同社公式ブログ上で注意を呼びかけた。

同社が発見したのは「Android Defender」と呼ばれる偽ウイルス対策アプリ。同アプリを実行すると、実際には存在しないマルウェアやセキュリティリスクが表示され、それらをデバイスから削除するために、ユーザーに金銭が要求される。そして、金銭の支払いを行わない限り、偽のセキュリティ警告が表示され続けるという。

対策として、同アプリのアンインストールが必要になるが、同社ブログ上では、悪質なアプリがインストールされても、デバイスの種類によって、互換性に問題があり、ユーザーが受ける被害は一様ではないとしている。

多くのユーザーの共通事項として、マルウェアにより他のアプリの起動が妨害され、アンインストールができなくなる症状が発生したり、OSの設定変更が行われるという。場合によっては向上出荷時のデータリセットが実行できず、ハードウェアリセットしか手段がなくなることもある。同社ではこうしたアプリが端末に入り込まないよう、日頃からのセキュリティ対策の重要性を訴えている。

[マイナビニュース]
 
 【レポート】ノートンのキャンペーン用ARシューティングゲーム「ウイルス スカウター」の舞台裏

マイナビニュース 6月25日

ノートンは、スマートフォン、タブレット向けに開発したシューティングゲームを使った「アプリでネットの平和を守れ!」キャンペーンを6月21日より開始した。キャンペーンのために開発されたゲーム「ウイルス スカウター」は、iPhone、Androidで動くアプリで、AR(拡張現実)に対応しており、カメラを通してモニターに写る現実の映像をバックにウイルス型の敵を破壊していくシューティングゲームだ。キャンペーン用途のゲームではあるが、充分に楽しめる。

【拡大画像や他の画像】

今回のキャンペーンは、このアプリ「ウイルス スカウター」で高得点を出した上位10名に毎週1,000円分の電子マネーギフトをプレゼントするというもの。また、期間中ノートン製品購入者に抽選で100名に1,000円分の電子マネーギフトが当たるキャンペーンも同時展開する。キャンペーン期間は9月30日まで、日本在住で18歳未満の場合は、保護者の同意が必要になる。詳細はWebサイトで確認しよう。

「ウイルス スカウター」は、量販店に設置してある店頭ポップのQRコードをスキャンして、サイトにアクセスすることでダウンロードできる。それ以外にもAPPストア、Google Playから直接ダウンロードすることができる。利用条件は、iOS5.0以上、iPad / iPad mini iOS:5.1以上、Android 4.0以上、また、機種によっては正常に作動しない場合もある。詳細はWebサイトで確認しよう。

○ノートン ブラスターを発射してウイルスを撃破!

今回、ノートンがキャンペーン用に開発したシューティングゲーム「ウイルス スカウター」は、AR(拡張現実)を利用したアプリだ。このゲームでは、カメラ機能を使ってモニターに実際の背景を取り込み、その上にウイルス型の敵が表示される。モニター内のレーダー部分に表示されたウイルスを画面に捕らえるためデバイスを上下左右に動かす。中央のスコープに標準を合わせて、ノートン ブラスター(弾)を発射して駆除するものだ。制限時間内にできるだけ多くのウイルスを撃退してそのスコアを競う。

ウイルスを攻撃する弾丸であるノートンブラスターには弾数に限りがある。弾丸の補充方法は様々だが、ウイルス スカウターが他のゲームと違う点は、ノートン製品の現物パッケージをスキャンすることで弾丸を補充する方法をとっている点だ。つまり、ノートンのパッケージBOXがないユーザーは、規定の弾丸しか利用できないため高得点はなかなか厳しい。ハイスコアを出すためには、ノートンパッケージを購入するか、店頭に行かなければならない。

ゲーム終了後、自身のハイスコアが表示されるのでそれをランキングに登録する。ランキングは、毎週火曜日に集計発表されるまで何度でもチャレンジできる。発表されたランキングで上位10以内にランクインしていれば、電子マネー1,000円分をゲットできる。

○「アプリでネットの平和を守れ!」キャンペーン、その狙いは ?

「アプリでネットの平和を守れ!」キャンペーンについてシマンテック コンシューマ マーケティング部 統括本部長の岩瀬晃氏は、最近の消費の流れについて、店舗で商品を確認してからネットで購入するという「店舗のショールーム化」を指摘した。そして、現状に対して、「人々の消費行動において店舗は「買う」ためから「見る」ためにシフトしている」と分析、店舗に積極的に顧客を誘導するために「店舗誘致、購買の動機付けのプランが必要」と語り、今回のキャンペーンを企画するにいたった経緯を語った。

具体的な対策として「AR(拡張現実)」と「O2O(Online to Offline)」の二つのキーワードを挙げ、これを柱に今回のキャンペーンを企画したという。「ウイルス スカウター」では、弾丸のチャージに現物のパッケージが必要になる。ゲームで高得点を出そうと思えば、必然的に購入するか店舗に赴くしかないという仕組みだ。

「O2O(Online to Offline)」に関しては、ユーザーが参加してハイスコアを競い、結果として商品を得るという活動を通してFacebookやTwitterなどのソーシャルメディアを利用することで話題性を高めている。これは、より多くの新規ユーザーをゲームに参加させて店舗に顧客を誘導することを狙っている。

ネット通販の普及など、店舗にとっては厳しい状況にある中、スマートフォンやタブレットなど携帯性の高いツールを使ってユーザーに行動を促すというゲーム性の高いプロモーションがどのような効果をあげられるか興味深いところだ。
 
 シマンテック、偽ウイルス対策アプリ「Android Defender」に注意呼びかけ

マイナビニュース 6月25日(

シマンテックは24日、Android端末に影響を及ぼす偽ウイルス対策アプリが登場したとして、同社公式ブログ上で注意を呼びかけた。

同社が発見したのは「Android Defender」と呼ばれる偽ウイルス対策アプリ。同アプリを実行すると、実際には存在しないマルウェアやセキュリティリスクが表示され、それらをデバイスから削除するために、ユーザーに金銭が要求される。そして、金銭の支払いを行わない限り、偽のセキュリティ警告が表示され続けるという。

対策として、同アプリのアンインストールが必要になるが、同社ブログ上では、悪質なアプリがインストールされても、デバイスの種類によって、互換性に問題があり、ユーザーが受ける被害は一様ではないとしている。

多くのユーザーの共通事項として、マルウェアにより他のアプリの起動が妨害され、アンインストールができなくなる症状が発生したり、OSの設定変更が行われるという。場合によっては向上出荷時のデータリセットが実行できず、ハードウェアリセットしか手段がなくなることもある。同社ではこうしたアプリが端末に入り込まないよう、日頃からのセキュリティ対策の重要性を訴えている。

[マイナビニュース]
 
 朝日・共同の記者が犯行声明メールに不正アクセス 遠隔操作事件 書類送検へ

産経新聞 6月25日



 遠隔操作ウイルス事件で、真犯人を名乗る人物の犯行声明に使われたメールのサーバーに不正ログインしたとして、警視庁が不正アクセス禁止法違反容疑で共同通信社(東京都港区)と朝日新聞社(中央区)の複数の記者を、近く書類送検する方針を固めたことが25日、捜査関係者への取材で分かった。任意の事情聴取に対し、いずれも容疑を認めている。

 捜査関係者によると、両社の複数の記者は昨年10~11月、犯行声明の送信元として使われたフリー(無料)メールのインターネットサイトに1~3回、無断でアクセスした疑いがもたれている。

 ユーザー名は犯行声明に記載されたメールアドレスと同じで、パスワードはメールの内容から類推して入力したという。

 警視庁などの合同捜査本部がメールへのアクセス記録を解析したところ、真犯人とみられる匿名化サーバーからの接続のほか、共同通信社や朝日新聞社に関連するIPアドレスから接続された履歴が見つかっていた。
 
 Android端末を強制ロックする偽ウイルス対策アプリが登場 - シマンテック

マイナビニュース 6月25日

シマンテックは6月24日、Android端末を強制的にロックしてしまうランサムウェア型偽ウイルス対策アプリが見つかったことを発表した。

偽ウイルス対策アプリは、PCやスマートフォンのセキュリティ状態について意図的に誤った情報を表示するマルウェア。

実際にはコンピューターウイルスに感染していない状態でも感染していると表示し、ウイルスを除去するためには完全版のソフトウェアを購入しなければならないと表示し続けることでユーザーを騙し、ソフトウェア代金の支払いを強要するという。

ランサムウェアはマルウェアの一種で、ファイルなどへのユーザーアクセスを拒否し、デバイスを"人質"に取る形で身代金を要求する。

PCの偽ウイルス対策アプリは、アプリをアンインストールするか、実際に代金を支払うまでポップアップメッセージを表示し続ける。

今回発見されたAndroidの偽ウイルス対策アプリ(パッケージ名:com.android.defender.androiddefender)は、他のアプリの起動を妨害し、マルウェア自体のアンインストールも不可能になる。

また、OSの設定も変更され、場合によっては工場出荷状態に戻すことさえできなくなるため、シマンテックでは、このようなアプリをインストールしないことが一番の対策になるとしている。
 
 マカフィー、悪質なアダルト出会い系アプリ急増で注意呼びかけ
6月25日


サポート終了までわずか! Windows XPからデスクトップ仮想化へ
モバイルを安全に!セキュリティと利便性を両立するワンタイムパスワード認証とは
タブレット端末を差別化する付加価値とは?新レグザタブレットで魅せた東芝のこだわり
サイバー攻撃の変遷と標的型攻撃から企業を守る有効なセキュリティ技術とは!?


マカフィーは、悪質なアダルト出会い系アプリが5月以降、複数のアプリが毎日のようにアップロードされ急増しているとして、公式ブログ上で注意を呼びかけた。同時に悪質アプリの例についても紹介している。


悪質なアダルト出会い系アプリの例


マカフィー公式ブログによると、4月初めから6月7日までに累計約600個のワンクリック詐欺アプリをGoogle Play上で確認したという。悪質なアダルト出会い系アプリもGoogle Play上で増加しており、6月7日時点で400個以上のアプリが公開され、そのうち約130個は現在もなおGoogle Play上に存在していると報告した。現存する悪質な出会い系詐欺アプリのダウンロード総数は9万~31万回に上り、既に削除済みのアプリのダウンロードも含めるとそれ以上になると推測している。


アプリ起動時に表示されるWebページ


同ブログでは、悪質なアダルト出会い系アプリの例についても言及。これらのアプリは既存の悪質な出会い系Webサイトをアプリ上のWebViewコンポーネントで表示したり、端末のWebブラウザを起動して、それらのサイトを表示したりするだけの実装をしているケースが多く、詐欺集団がより簡単・迅速・大量に詐欺アプリを開発・公開することが可能になっているという。


記事まとめサイトのリンクをたどって出会い系サイトに誘導された例


形態としては、悪質な出会い系Webサイトを表示する以外に、悪質サイトへの広告もどきのリンクを張っているもの、出会い系サイトの紹介リンク集を実装し、比較的安全とされているその他の出会い系サイトとともに悪質サイトも紹介しているもの、某有名オンライン掲示板のまとめアプリとして実装し、偽の記事スレッドにより読者を悪質サイトへ誘導するもの、などがあるという。


Google Playに模した悪質な出会い系サイトのランディングページ


また、悪質な出会い系サイトのランディングページには、Goolge Playのアプリ説明ページを模したものも多く、ユーザーを安心させて登録に導くといった細工も施されている。

これら一連のアプリ自体は個人情報を収集したり、スパムメールやSMSを送信したりすることはなく、単にWeb上の悪質な出会い系サイトへの誘導にとどまるものの、サービス登録をすると、 異性に出会い、連絡をとるために金銭の支払いを要求されるようになる。さらに、登録したサービス以外の提携サイトに芋づる式に自動登録されることで、大量のスパムメールが届き、ひどい場合は、1分に2~3件というケースもあり、1日に1,000件以上も受け取る羽目になる人もいるという。
 
 共同、朝日記者ら書類送検へ=メール不正アクセス容疑―PC遠隔操作取材で・警視庁

時事通信 6月25日



 遠隔操作ウイルス事件で、「真犯人」を名乗る人物が犯行予告などを送信するのに使ったフリーメールのサーバーに、パスワードなどを不正に入力してアクセスしたとして、警視庁が不正アクセス禁止法違反容疑で、共同通信社と朝日新聞社の複数の記者を近く書類送検する方針を固めたことが25日、捜査関係者への取材で分かった。
 捜査関係者によると、両社の記者は昨年10月~11月ごろ、遠隔操作事件で使われたメールアドレスのサーバーに、犯人が使用したとされるアカウント名とパスワードを入力し、不正にアクセスした疑いが持たれている。
 警視庁などの合同捜査本部がサーバーへのアクセス履歴を調べたところ、匿名化ソフトが使われた真犯人のものとみられるアクセスの他に、両社のパソコンなどからのアクセスが見つかり、経緯を調べていた。
 共同通信社は4月、社会部の複数の記者が管理画面にアクセスし、メールの送受信記録などを閲覧したとする記事を配信。「真犯人に近づく目的だったが、取材上、行き過ぎがあった」としていた。一方、朝日新聞社はこれまで記者がアクセスしたことを明らかにしていなかった。 
 
 セコム子会社と協定締結=サイバー犯罪捜査で協力-警視庁

2013/06/24


サイバー犯罪対策に関する協定を締結したセコムトラストシステムズの伊藤博社長(左)と警視庁の石田高久生活安全部長=24日午後、警視庁本部

 インターネットを使った不正アクセスなどの事件を迅速に捜査するため、警視庁は24日、大手警備会社セコムの子会社「セコムトラストシステムズ」(東京)と、サイバー犯罪捜査や被害拡大防止の協力に関する協定を締結した。
 セコムトラストシステムズ社は企業のサーバーを預かるデータセンター事業などを手掛けている。警視庁は、サイバー犯罪に関する協定を、金融機関やオンラインゲーム会社など30社と締結しているが、データセンター分野での締結は初めて。警視庁の石田高久生活安全部長は「サイバー犯罪に対する共同対処の輪を広げ、連携して犯罪に立ち向かいたい」と話した。
 
 Android端末を“人質”にとる偽ウイルス対策アプリが出現

Impress Watch 6月24日


 株式会社シマンテックは24日、Android端末を狙った偽ウイルス対策ソフトが出現しているとして、公式ブログで注意を促した。

 偽ウイルス対策ソフトは、「端末がウイルスに感染している」といった警告を表示し、感染を除去するにはソフトの完全版を購入する必要があるなどと称して、ユーザーから金銭をだまし取る詐欺の一種。この詐欺はこれまで主にPCを標的としてきていたが、現在ではAndroid端末を狙うようになっているという。

 シマンテックが発見した「Android.Fakedefender」もこうした偽ウイルス対策ソフトの亜種だが、端末をロックして“人質”にとり、解除のためとして金銭を要求する「ランサムウェア」と呼ばれるマルウェアと同様に、端末をロックしてしまうという特徴があるという。

 アプリをインストールした場合、端末の種類によって互換性の問題があるため被害は一様ではないが、多くのユーザーに共通している被害としては、インストールすると他のアプリの起動が妨害され、アプリがアンインストールできなくなる。OSの設定も変更され、場合によっては端末の工場出荷時データリセットさえ実行できず、ハードウェアリセットしか手段がなくなることもある。

 シマンテックでは、PCの場合と同様に、Androidを狙う偽ウイルス対策ソフトが深刻な問題になるのも時間の問題だと指摘。こうした脅威は、いったんインストールされてしまうと削除が難しいため、そもそも端末に入り込まないようにすることが重要だとして、「ノートンモバイルセキュリティ」などのセキュリティアプリをインストールすることを推奨している。
 
 Android端末を人質に取る“偽”ウイルス対策アプリが出現

ITmedia エンタープライズ 6月24日



見つかった偽アプリ(Symantecより)

 端末がウイルスに感染していると思わせて有料ソフトを買わせようとする「偽ウイルス対策ソフト」や、コンピュータや情報を人質に取って身代金を要求する「ランサムウェア」の手口が、Android端末を標的にし始めているという。米Symantecが6月21日のブログで伝えた。

 こうした手口では、これまで主にデスクトップPCが標的とされてきた。しかしSymantecによると、今回見つかった「Android Defender」という名称の悪質アプリは、ランサムウェアのように、Android端末をロックしてしまうという。

 このマルウェアはほとんどの場合、いったんインストールするとアンインストールできなくなり、ほかのアプリの起動を妨害したり、OSの設定を変更したりするという。

 起動するとまず、トライアルバージョンで「端末のスキャン」と称する動作を開始し、「あなたの端末上に重大な脅威が発見されました」と表示して、マルウェアの名称や説明を列挙する。

 続いてフルバージョンのインストール画面が現れるが、操作しようとすると、バグや互換性問題が原因で端末がクラッシュするという。リブート後は、端末を操作しようとするたびにポップアップがしつこく表示されるようになり、このアプリを削除することも、ほかのアプリを開くこともできなくなって、端末が完全にロックされた状態になる。

 Symantecはこうしたマルウェアの出現を受け、「Androidプラットフォーム上の偽ウイルス対策ソフトは、コンピュータと同様に、近いうちに深刻な問題になるだろう」と予想し、アプリは信頼できる場所からダウンロードするよう促している。ただし今回のアプリがどこで発見され、どの程度流通しているのかについては明記していない。
 
 Android端末を人質に、「身代金」を要求する偽ウイルス対策アプリ……シマンテックが警鐘

RBB TODAY 6月24日




アプリを起動しようとしても、×印が表示されロックがかけられる(解説動画より)

 シマンテックは24日、Androidデバイスを人質に取る“偽ウイルス対策アプリ”に関する情報を公開した。コンピュータのセキュリティ状態について、意図的に誤った情報を表示するマルウェアを使った詐欺に関するものだ。

[Android用の偽ウイルス対策アプリのスクリーンショット]

 この詐欺は、実際には感染していないにもかかわらず、「感染を除去するには完全版のソフトウェアを購入する必要がある」とユーザーに思い込ませようとする。そして、支払いが完了するかマルウェアが削除されるまで、デスクトップにポップアップメッセージを表示し続けるという。

 従来はPCを標的にしていたが、最近ではAndroidデバイスもターゲットになっており、シマンテックでは、「Android.Fakedefender」として検出される偽アプリを発見したとしている。この偽アプリは、ランサムウェアのようにデバイスを人質に取り、「身代金」の支払いを要求するものだ。このアプリをインストールしてしまった場合、他のアプリを起動しようとすると、邪魔なポップアップが表示され、起動できなくされてしまう模様だ。

 さらに、オペレーティングシステムの設定が変更され、デバイスの工場出荷時データリセットさえ実行できなくなる場合もあるとのこと。
 
 殺人に関与? 疑惑のMcAfee創業者逮捕 不法入国で



殺人に関与した疑惑があるMcAfeeの創業者、ジョン・マカフィー容疑者が、中米グアテマラで不法入国の疑いで逮捕された。


[ITmedia]6月21日





 殺人の疑いがかけられているセキュリティソフト会社米McAfeeの創業者、ジョン・マカフィー容疑者(67)が、中米グアテマラで不法入国の疑いで逮捕された。海外メディアが報じている。

 マカフィー容疑者はグアテマラの隣国ベリーズで11月、隣人の男性が殺害された事件に関与した疑いがあるとして同国の警察当局が行方を追っていた。マカフィー容疑者はCNNのインタビューに対し、人は殺していないが“事情が変わるまで”逃げ続けるなどと語っていた。

 グアテマラには政治亡命を求めて入国したらしい。AFPによると、グアテマラ当局は今後、ベリーズに送還するか、国籍のある米国に送るかを決めるという。

 マカフィー氏は1987年に同社を創業し、94年に株式を売却。最近は同社とは何の関係もなくなっている。
 
 ジョン・マカフィー氏が謎の「McAfeeのアンインストール方法」動画

ITmedia ニュース 6月21日

 殺人容疑で追われたり、その顛末を冒険譚として公開したりとエキセントリックな行動でITmedia ニュースにもたびたび登場している米McAfee創業者のジョン・マカフィー氏が、YouTubeで「McAfeeアンチウイルスのアンインストール方法」というタイトルの約4分30秒の動画を公開した(通勤中やオフィスでの視聴はお勧めしない)。

 シルクのガウンをまとったマカフィー氏が「あのセキュリティ企業とは15年以上かかわりがないのに、いまだに『どうすればMcAfeeアンチウイルスを削除できますか?』というメールがくる」ので説明動画を作ったと語る。

 だが画面には意味もなくセクシーな女性が登場したり、白い粉をストローで吸ってみたりと荒唐無稽。動画のカテゴリは「コメディ」になっている。
 
 ノートン、AR対応シューティングゲーム「ウイルス スカウター」を公開 - 「アプリでネットの平和を守れ!」キャンペーン

マイナビニュース 6月19日

シマンテックは同社のノートン製品において「アプリでネットの平和を守れ!」キャンペーンを6月21日より開始、AR(拡張現実)対応のシューティングゲーム「ウイルス スカウター」で点数を競うユニークなものとなる。

【拡大画像や他の画像】

キャンペーンは、6月21日から9月30日の期間中にスマートフォンおよびタブレット向けのキャンペーンシューティングゲームアプリ「ウイルス スカウター」をダウンロードし、スコアランキングで上位10位以内の入賞者に毎週1,000円分の電子マネー(EJOICA)が当たる。また、期間中にノートンセキュリティ製品(パッケージ版)を購入したユーザーを対象に、抽選100名に10,000円分の電子マネーギフトが当たる。詳細はキャンペーン特設サイトに掲載してある。

「ウイルス スカウター」は、ARを利用した本格的なもので、背景に出現するウイルスをカメラ機能が搭載された"ウイルス スカウター"を使い、探知レーダーに反応するウイルスを駆除していくことで、得点をゲットする。駆除には"ブラスター弾"を用いるが、起動時のブラスター弾数は限られており、少なくなるとアラートが点滅。ユーザーは、ノートンブラスターを補充しなければならない。画面内の製品BOXをスキャンしチャージャーを立ち上げ、ブラスター弾を補充するという仕掛け。

「ウイルス スカウター」は、店頭POPのQRコードかApp StoreやGoogle Playからダウンロードできる。対応OSは、 iOS5.0以上(iPhone4S以降)、iPad / iPad mini iOS:5.1以上(iPad2以降)、Android 4.0以上。
 
 マイクロソフト主導の大規模テイクダウン、他国への影響は微少か(日本IBM)

ScanNetSecurity 6月19日




Citadel感染ホストとC&Cサーバーとの通信の検知件数の推移

日本アイ・ビー・エム株式会社(日本IBM)は6月18日、「Operation b54」による日本国内への影響について、Tokyo SOCでの検知状況をもとに紹介している。Operation b54とは、今月初めに米国内においてMicrosoftの主導によって実施された「Citadelボットネット」の大規模テイクダウンの作戦名。CitadelはZeus/Zbotをベースに開発されたマルウェア。Webブラウザのプロセスに侵入し、正規サイトとの通信から情報を盗み取り、C&Cサーバに送信する機能を持つ。主にオンラインバンキングのアカウント情報を盗み出すことを目的としており、正規のオンラインバンキングサイトにアクセスした際に偽の画面を表示させ、入力させた情報を盗む。

他の写真を見る

Microsoftでは、Operation b54を実施した旨を6月5日に発表している。そこでCitadelに感染したホストが発生させた通信の検知件数の推移をみると、Tokyo SOCでの検知件数に減少は認められなかった。また、Citadelに感染したホストがアクセスしたC&CサーバをIPアドレスの割当国を基に半月毎に集計したものでは、米国のC&Cサーバとの通信は、5月は非常に多く検知していたが、6月に入ると減少している。これはOperation b54による影響の可能性があるとしている。ただし、6月は米国の代わりにブラジルやトリニダード・トバゴなどの他の国のC&Cサーバと通信が増加しているため、全体的な検知数の減少にはつながっていないとしている。
 
 【レビュー】Windows 8のスタート画面からセキュリティ状況を制御する「ノートン スタジオ」

マイナビニュース 6月19日

セキュリティ対策ソフトのノートン 360などは、Windows 8にも対応している。しかし、メイン画面などは、デスクトップ環境で実行される。ノートン セキュリティ製品には、基本的なスキャンやふるまい検知といったウイルスを防ぐ機能以外にも、オンラインで提供されるサービスもある。それらの機能を効率よく使うためのWindows 8用のアプリがノートン スタジオである。



前提として、ノートンのセキュリティ製品がインストール済みとなっている必要がある。対応する製品は、

・ノートン アンチウイルス
・ノートン インターネットセキュリティ
・ノートン 360

である。以下に、システム要件などをあげる。CPUが、ARMに対応していない点のみ注意したい。

○ノートン スタジオのインストール

では、早速インストールしてみよう。[無料アプリをダウンロード]をタップすると、ブラウザ上でWindowsストアのページが表示される(図3)。

ここからはインストールできないので、[Windowsストアで表示]をタップすると、ストアアプリが起動する(図4)。

[インストール]をタップしてインストールを行う。途中、Microsoftアカウントが必要になる(図5)。

もし、ない場合はこちらで作成しておいてほしい。インストールが完了すると、スタート画面にノートン スタジオのタイルが配置される(図6)。

起動後は、各デバイスのセキュリティ状況などがライブタイルで表示される(図7)。

○ノートンス タジオを使ってみる

ノートン スタジオを最初に起動すると、まず、ノートン アカウントの作成、もしくはサインインとなる(図8)。

ノートン製品をインストール済みであるならば、すでにノートン アカウントは作成しているだろう。[次へ]で図9のサインイン画面となる。もし、作成していない場合は、画面の指示に従いノートン アカウントをここで作成してほしい。ノートン アカウントは、ライセンスの管理やバックアップストレージなどで使用するので、不可欠のものだ。もしないのであれば、これを機会に作成しておこう。

こうしてノートン スタジオを起動すると、ノートン製品がインストールされたPCやデバイスを検索し、表示される(図10)。

現在のセキュリティ状況などもわかりやすく表示される。この例では、あえて定義ファイルなどの更新などを行わない状態で試したものである。「セキュリティ警告」という表示とともに、オレンジ色で警告を発している。また、ライセンスの更新・延長などを一括して行うことができる。さらに右側にスワイプすると、タイルに似たメニューが表示される(図11)。

ここから、各種オンラインサービスを起動する。用意されているのは、

・バックアップ
・アンチセフト
・管理
・IDセーフ
・モバイル
・アップデートセンター
・ノートン ファミリー

である。いずれかのボタンをタップすると、ブラウザ(Windowsアプリ版)経由で起動する(図12)。

冒頭にもふれたように、ほとんどの操作を図11から行うことができる。タブレット端末などでは、デスクトップ環境を起動しなくて済むので、使いやすい。たんなるフロントエンドではなく、内部的にも改良が施されており、動作も高速化されている。かつて、ノートン製品のメイン画面には、世界の脅威動向をリアルタイム地図で表示する機能があった。ノートン スタジオにも、同様の機能があった時期もあるようだが、できればこの表示機能も復活してほしいと感じている。

(c-bou)

[マイナビニュース]
 
 パロアルト、サンドボックス型マルウェア検知システムのアプライアンス発表

マイナビニュース 6月19日

パロアルトネットワークスは6月18日、これまでクラウドサービスとして提供されてきたWildFireが、プライベートクラウド環境でも利用できるWildFireアプライアンス「WF-500」の販売開始を発表した。

【拡大画像や他の画像】

WildFireは、ファイルを実行し、ファイルの挙動を監視することで未知のマルウェアを検知する、クラウドサービス型の仮想サンドボックス環境。今回、マルウェアとは関係のないファイルをクラウド上に送信したくない顧客やサンドボックスの運用を自社で行いたい顧客の希望に応えるために、オンプレミス向けアプライアンスとしてWF-500の提供を始める。

WF-500では、マルウェアの検出、分析をアプライアンス上で行い、マルウェアと判定されたファイルをクラウドに送信する。クラウド側のWildFireでは、送信されたマルウェアからシグネチャを生成。パロアルトのファイアウォール(PAシリーズ)にシグネチャを最短30分で配信するという。

価格は販売店への問い合わせが必要で、購入時にWildFireサブスクリプションの契約も必要。WildFireサブスクリプションは年間契約で、価格はPAシリーズの本体価格の20%を予定しているという。

○韓国の大規模サイバー攻撃も事前に検知

同日、都内で記者発表会が行われ、パロアルトネットワークス 技術本部長 乙部 幸一朗氏がWildFireのサービスと製品説明を行った。

既に提供されているクラウドサービス型WildFireは、1700社以上の企業に利用されているという。5月の1ヶ月間でスキャンされたファイル総数は50万5439個にのぼり、新たに発見したマルウェアの数は2万9719個となった。そのうち、主要アンチウイルス製品が検知できなかったマルウェアは約50%の1万4751個に達したという。

乙部氏は、3月に韓国で発生した大規模サイバー攻撃"MBR Wiper"を例に挙げ、「事件発生の約3週間前からWildFireで関連するマルウェアを検知していた」と語る。多い日で20種類、合計80種類以上のマルウェアを検知したWildFireは、検知後30分~60分でシグネチャ配信も行ったという。

WF-500は、同社が次世代ファイアウォールとして提供しているPAシリーズと組み合わせることで効果を発揮する。PAシリーズはホワイトリスト形式で安全と定義されたファイルなどを通過させ、信頼できないIPなどからの未知のファイルをWF-500に送信する。WF-500を導入するために必要なPAシリーズの要件として、「PAN-OS 5.0.3以降」「WildFireサブスクリプション」がある。

WF-500は、サンドボックス環境でファイルの実行を行い、マルウェアと判定したファイルをクラウドのWildFireへ送信するが、社内のセキュリティポリシーなどでクラウドにファイルを送信したくない顧客は、送信しないように設定することも可能だという。

また、最近はサンドボックス型のマルウェア検知技術を利用した製品が増えてきたことで、「サンドボックス環境ではマルウェアとして動作しないように設計されたマルウェアが増えつつある」と乙部氏は語る。

サンドボックス環境の中には、インターネットへの接続を行わない製品があり、アンチサンドボックス型マルウェアはインターネットに接続できない場合、活動を行わないものがあるという。WildFireでは、サンドボックス環境でもインターネット接続に対応しており、アンチサンドボックス型マルウェアにも対処できる。

WF-500は、18インスタンスの仮想環境(Windows XPのみ)で1日に4500ファイルを処理することができ、サンドボックス構成や検知ロジックはクラウド型のWildFireと同等としている。

○サンドボックスは万能ではない

乙部氏は製品の説明を行ったのちに「サンドボックス型マルウェア検出製品を万能なものとして考えている人も多いが、標的型攻撃対策=サンドボックス専用製品ではない。例えば、Flameを代表とするファイル容量が大きいマルウェアは解析が難しいし、Skypeなどの暗号化された通信も検査できない」と語る。

USBメモリなどのメディアを通した感染もサンドボックス型では対処できないため、「ファイアウォールやアンチウイルスとの併用することで、総合的にセキュリティを行うことが重要」と乙部氏は述べた。
 
 職員PC、ウイルス感染 勝手に迷惑メール送信 浜松の県施設

産経新聞 6月19日



 県は18日、浜松工業技術支援センター(浜松市北区)の40代の男性職員のパソコンがコンピューターウイルスに感染し、勝手に迷惑メールを送信していたと発表した。

 遮断されて自動返信された迷惑メールが大量に届いたことから、職員が感染に気付いた。返信メールだけで約8千通あったことや、勝手に送られた迷惑メールには、受信者が自分の意思と関係なく迷惑メールの送り手となってしまうウイルスも添付されていたことから、影響は数万件に上る可能性もある。

 会見した県経済産業部の川和田篤総務監によると、男性職員が14日にメールソフトを確認したところ、13日の午後7時以降、職員のアドレスから送信された迷惑メールが受信者の対策ソフトなどによって自動で送り返されたものが、約8千通届いていたという。

 その後、職員はメールのパスワードを変更。ウイルス対策ソフトを更新するなどの対処をとったが、メールアドレスのほか、職員が企業の業務支援のために行う打ち合わせの日時などの個人情報も漏れた可能性が高いという。

 県では関係先に謝罪するとともに原因究明を行う方針。
 
 セキュリティー会社と協定=警視庁

時事通信 6月18日

サイバー犯罪への対応力を強化するため、警視庁は18日、「シマンテック」「トレンドマイクロ」「マカフィー」の情報セキュリティー会社3社と、コンピューターウイルスの情報共有などに関する協定を締結した。
 
 セキュリティー会社と協定=サイバー犯罪対策で情報共有―警視庁

時事通信 6月18日



 サイバー犯罪への対応力を強化するため、警視庁は18日、「シマンテック」「トレンドマイクロ」「マカフィー」の情報セキュリティー会社3社と、コンピューターウイルスの情報共有などに関する協定を締結した。
 同日午後の協定締結式には、3社の代表と警視庁の石田高久生活安全部長らが出席。石田部長は「サイバー犯罪に対して一層の連携を図り、サイバー空間の安全、安心を確かなものにしたい」と話した。 
 
 コンピューターウイルスで危険にさらされる患者たち

ウォール・ストリート・ジャーナル 6月18日



 米食品医薬品局(FDA)は、心電図モニターやマンモグラフィー撮影装置をはじめとする無数の医療機器メーカーに対し、医療機器がコンピューターウイルスに感染し、患者を危険にさらしかねないと警告している。

 FDAの機器部門の幹部であるビル・マイセル氏は「マルウェア(悪意のあるソフトウエア)に感染した数百台の医療機器について、私たちは把握している」と述べた。FDAはこれによる死亡や負傷の例については把握していないが、同氏は「こうした種類の出来事がいかに患者に害を与え得るかは容易に想像できる」と話した。

 FDAは初めて、医療機器メーカーがFDAに製品の認可を申請する際に、サイバー攻撃を防ぐセキュリティー上の計画を提出することを勧告した。また、FDAは病院に対し、サイバーセキュリティー上の障害についての報告を抜かりのないように実施するよう、忠告した。こうした障害を発見するのは容易なことではない。

 病院や診療所でのコンピューターウイルスの感染リスクは、健康管理をデジタル化し、「よりスマートな」医療機器を開発する努力の副作用の1つと言える。重要な医療システムでのマルウェアは広がっているものの、ほとんど理解されていない。エンジニアや病院幹部へのインタビューに加え、ウォール・ストリート・ジャーナル(WSJ)が閲覧した政府資料で明らかになった。

 例えば、これまで未公表だった米退役軍人省の記録では、2009年以降、米国の国立病院である在郷軍人(VA)病院で少なくとも327の装置がマルウェアに感染した。40種類以上のウイルスが、ゼネラル・エレクトリック(GE)やフィリップス、シーメンスといったメーカー製のエックス線機器や実験室設備を含む装置に被害を与えた。

 VA病院関係者の話によると、あるケースでは、VA病院のカテーテル検査室が2010年1月に一時的に閉鎖された。ニュージャージー州にあるこの施設では、心臓発作後に閉鎖した動脈を開く処置に必要なコンピューター端末がマルウェアに感染したことが記録で示されている。これとは別に、ボストンの民間病院では機器がウイルスに感染、患者の秘密情報が外部サーバーに送られることによって流出しかねない事態が起きた。

 VA病院の医療情報セキュリティー担当者、リネット・シェリル氏は「非常に複雑な問題で特効薬はない」と述べた。同氏は、VA病院や他の病院は機器の安全性の改善をメーカーに求めてきたと話した。

 専門家らは、こうしたトラブルによって、コンピューター化された医療システムの重大な弱さが露呈されていると指摘する。2009年の景気刺激策の一環として医療記録の電子化に300億ドル(約2兆8500億円)を支出した米政府の取り組みをはじめとする、急激なヘルスケアのデジタル化で、病院のネットワークを結ぶ機器の相互接続の網が生じてきた。病院のネットワークはインターネットに接続している。

 現在まで、医療機器の安全性をめぐる国民の認識はおおむね、少数の非常に専門的な研究者と同様、フィクションの分野にとどまっていた。例えば、テレビ番組「Homeland」(ホームランド)ではペースメーカーを付けた架空の米副大統領に対するハッキング攻撃が描かれた。

 現実社会では、病院のハイテク機器は何年も使用され、ソフトウエアが時代遅れになっていることもある。一部のケースでは、病院自体はシステムへの直接的なアクセスがなく、機器メーカーや販売企業からの援助なしにはソフトウエアを更新できなくなっている。

 これまで文書で記録されたコンピューター感染の大半は、5年間ほどネット上で感染拡大している1つの悪名高いソフトウエア、コンフィッカーといったマルウェアによって引き起こされている。こうした不慮の感染によって、機器の処理力が奪い取られて一時的に効力を失わせることができる。患者名のほか、患者が受けた治療といった個人情報を拡散する可能性もある。

 感染拡大に及んだ1つのケースでは、マイクロソフトのウィンドウズで稼働するシステムを標的とするコンフィッカーのいくつかのバージョンがフロリダ州タンパのジェームズ・A・ハイリー・ベテランズ・ホスピタルの104台の装置で発見された。それは2012年2月下旬から3週間に及んだ。原因ははっきりしないが、感染の大半は、販売会社がソフトウエアを更新するために使った、サムドライブ(親指大の小型メモリー)が原因だった。それが既にウイルス感染していた。退役軍人健康庁の情報技術担当者、クリ スチャン・ホウターマン氏が明らかにした。

 同氏によると、機器は患者の治療に間に合うように修理された。同氏は、VA病院の機器が全般にインターネットのアクセスからブロックされている、と述べた。

 ウイルスに感染したシステムの中には、GE製の精密MPIX線機器やホロジック製のマンモグラフィー観察機器、核医学研究用のシーメンス製ガンマカメラシステムe.camなどがある。

 シーメンスのヘルスケア・ノースアメリカのグレッグ・ソレンセン最高経営責任者(CEO)は「ウイルスが当社機器に問題を起こし得ることは知っている」と述べた。CEOはセキュリティー強化に向け、同社が国防総省とVAと協力していると述べた。

 ホロジックは、特定の感染によって「最小限の動作不能時間が結果として起きた」と説明した。また、VAがその時点で同社とのサービス契約がなかったことを明らかにした。VAの説明によると、病院側がメーカー各社とサービス契約を結んでいるかどうかに関わらず、機器を守るため、メーカー側がパッチ(リリースされたソフトで発見されたセキュリティー上の脆弱(ぜいじゃく)性に対する修正モジュール)の承認することが必要だという。
 
 Adobe製品になりすましたマルウェア、デジタル署名を偽造

ITmedia エンタープライズ 6月18日




Adobe発行に見せかけたデジタル証明書と署名(シマンテックより)

 シマンテックは6月17日、「Word13.exe」というAdobe Systemsの製品に見せかけた 「Word13.exe」という不審なファイルを発見したとしてブログで注意を呼び掛けた。

 同社によると、この実行形式のファイルには、Adobe Systemsの発行と記されたデジタ ル証明書が付属していた。Adobe製品のように思えるが、AdobeはVeriSignが発行する証明 書を利用しており、そもそもAdobeが発行すること無い。CAルート証明書も信頼できない ものだった。

 このファイルを同社では「Backdoor.Trojan」として検出している。実行してしまうと 、Internet Explorerやノートパッドのファイルに不正コードを挿入してバックドアを作
成、ポート3337を通じて攻撃者が設置したとみられる外部のコマンド&コントロールサー バに接続する。

 同社の分析ではマルウェアがユーザーや感染したコンピュータ、Skypeの情報を盗み出 したり、スクリーンショットの取得やマウス機能のエミュレート、また、ファイルの作成 やダウンロード、削除、移動、実行などをしたりする恐れのあることが分かった。

 マルウェア被害を回避するにはウイルス対策定義を常に最新し、ソフトウェアも定期的 に更新する。ダウンロードのURLが提示された場合には必ずURLを再確認して、念のために 証明書と署名も確認すべきとアドバイスしている。
 
 トレンドマイクロ、オンライン銀行詐欺ツール「ZBOT」のUSBワーム化を確認

マイナビニュース 6月17日

トレンドマイクロは、オンライン銀行詐欺ツール「ZBOT」に自己更新機能、USBドライブなどリムーバブルドライブを介して他のPCへと感染するワーム機能を備えた亜種が確認されたとして、オフィシャルブログで警鐘を鳴らしている。


同社のブログによると、「ZBOT」の亜種(WORM_ZBOT.GJ)は、売上送り状を装うPDFファイルを使い侵入を試みる。これをユーザーが開くと、ポップアップウィンドウと同時にプログラムが実行される。従来のZBOTと異なる点は2つあり、第1にサーバーにアクセスし、自身のコピーの更新版をダウンロード、実行する自動更新機能を備えていること、第2にUSBドライブなどリムーバブルドライブを介して、他のコンピューターへと感染しようとするUSBワームの活動も行うとしている。

「ZBOT」の亜種は、2月初旬から急増しており、オンライン銀行の認証情報を収集する。同社ではUSBワームとWebからの脅威をあわせ持つこの種のプログラムは、継続して感染増加していくことが十分に考え得るとして注意を促している。

[マイナビニュース]
 
 標的型攻撃、遠隔操作事件、不正送金--2012年の脅威を総括(ラック)

ScanNetSecurity 6月17日


「JSOC侵入傾向分析レポートVol.19」

株式会社ラックは6月14日、「JSOC侵入傾向分析レポートVol.19」を発表した。本レポートは、同社JSOCのセキュリティ監視サービスにおいて蓄積されたIDS、IPS、ファイアウォールのログに基づいて、攻撃者の侵入傾向を分析したレポート。2012年1月~12月にわたり集計したネットワークセキュリティ動向のサマリとなっている。JSOCの調べでは、特にApache Struts2、Tomcat、JBoss といったミドルウェアの脆弱性や設定不備を狙った攻撃が増加し、実際に被害を受けたケースがあった。組織内部におけるウイルス感染では、高度な機能を持つリモート制御プログラムや潜伏能力に長けたウイルスによる被害が増加している。これらのウイルスは、組織を狙った標的型メール攻撃や攻撃ツールキットを用いたドライブバイダウンロード攻撃で感染を広げており、ウイルス対策ソフトウェアでは感染を発見できないことが多い状況となっている。

他の写真を見る

個人のインターネット利用においては、遠隔操作事件やオンラインバンキングの不正送金に関連するウイルスが非常に注目を集めた。これまで国外で発生していたセキュリティ犯罪のターゲットが、日本国内の個人ユーザにも及んでいると指摘している。企業や組織においては、ユーザに同意を得ない個人情報や属性情報の収集、データセンタにおける管理のあり方などが、セキュリティ上の問題として注目を集めた。さらに2012年は、インターネット上での抗議活動に伴うサイバー攻撃が国内でも大きな話題となった。「Anonymous」に代表されるハクティビストたちが抗議活動として行うDDoS攻撃やWebサイトの改ざんといった攻撃は、企業や組織における新たなリスクとなっている。レポートでは、これらの脅威についての傾向とともに、対策についても詳しく紹介している。
 
 医療機関サイト、改ざんの被害拡大-「トロイの木馬」仕掛け閲覧者誘導

医療介護CBニュース 6月17日



閲覧者にウイルススキャンを呼び掛ける神奈川県保険医協会のサイト

 病院や医療関連団体のウェブサイトが改ざんされる被害が拡大している。5月下旬から被害が相次ぎ、東大病院や日本赤十字社、神奈川県保険医協会などのサイトが第三者の不正アクセスによって改ざんされたことが判明。今月11日にも湘南鎌倉総合病院のサイトが不正アクセスを受けた。いずれも閲覧者のパソコンがコンピューターウイルスに感染する恐れがあるとしている。

■一部ページに「トロイの木馬」

 「サイトの停止期間中、皆様にはご迷惑をおかけしたことをお詫び申し上げます」。不正アクセスによる被害を受けた神奈川県保険医協会は、サイト上に謝罪文とコンピューターウイルスに感染した経緯などを公表した。

 同協会によると5月27日午前零時ごろ、ウェブサイトを管理している会社のパソコンを経由し、サイト用サーバーに不正アクセスがあり、一部のページに「トロイの木馬」と呼ばれるコンピューターウイルスが仕掛けられ、閲覧者を別の有害サイトに誘導しようとしていたという。

 同日午前10時ごろにサイトの異変に気付いた同協会は、サイト全体を再構築するなどの応急対応を実施。「感染被害の阻止、原因究明と本格的な復旧作業が必要」と判断し、同日午後3時からサイトの公開を停止した。ウイルスが仕掛けられたとみられる27日午前零時から午後3時までの間にサイトを閲覧した人を対象に、ウイルス対策ソフトなどによるチェックを勧めている。

■海外では病院のネットワーク遮断も

 トロイの木馬は、気付かない間にパソコンに侵入し、ファイルの外部流出のほか、データの消去や他のコンピューターへの攻撃などを行うプログラム。侵入されたパソコンは、ウイルスを仕掛けた第三者に操られる恐れもある。海外では、保健機関のコンピューターシステムにトロイの木馬が仕掛けられ、管轄の病院がネットワークからの遮断を余儀なくされたケースも報道されている。

 今月11日に不正アクセスを受けた湘南鎌倉総合病院は、被害を受けたサイトは患者の個人情報を管理している情報システムとは独立しているとして、個人情報の流出を否定。同病院のウェブサイトを閲覧した人に対し、▽ウイルス駆除ソフトを最新の状態にして感染の確認と駆除作業を行う▽セキュリティー対策ソフトを使用していない場合、無料のオンラインスキャンを利用する―などと呼び掛けている。
 
 「シャラップ!」より問題なのは


山口 浩 | 駒澤大学グローバル・メディア・スタディーズ学部教授
2013年6月16日




最近はネットのおかげか暴言ネタに事欠かない(ちっともありがたくないが)。暴言に対して本当に怒ったり悲しんだりしている人もたくさんいるのだろうが、どうも見ていると、ネタとして消費されている場合の方が多いような風情が感じられなくもない。「他人の不幸は蜜の味」などというが、他人の暴言も、何の味かはともかく、人々がおいしく召し上がるもののようだ。特に有名人やら政治家やら官僚やらの暴言は、ひときわ美味らしい。昨今の「大漁」ぶりにマスメディアの方々も笑いが止まらないのではないかと想像する。

都知事の件、大阪市長の件がネタとして消費され尽くした後の暴言界で今、話題の中心となっているのはおそらく、復興担当だった官僚のツイッター発言炎上事件だろう(この件)。しかし、それにやや隠れたかたちになってはいるものの、私としてはむしろ、こちらに注目したい。


「日本の人権大使が国連で暴言 「シャラップ」」(共同通信2013年6月14日)

【ジュネーブ共同】国連の人権条約に基づく拷問禁止委員会の対日審査が行われた5月22日、日本の上田秀明・人権人道担当大使が英語で「黙れ」を意味する「シャラップ」と大声で発言していたことが13日までに分かった。「シャラップ」は、公の場では非礼に当たる表現。

人もすなる暴言吊し上げ合戦を我もしてみんとて、というわけではないが、この件ではどうしても気になることがある。

この件について報道では、総じて「シャラップ!」(Shut up!)ということばに関心が集まっているようだ。もちろん、これはああいう場では言語道断の暴言であって、これを大使自身が逆ギレして口にしたなんていうのは頭を抱えたくなる事態だ。ダメダメであることは一目瞭然だし、インパクトも強いから見出しにもうってつけだしというわけで、これを中心に取り上げたくなるのはビジネスとしてやってるメディアならむしろ当然かもしれない。


「「人権人道担当大使」国連で大失態!日本批判に「何がおかしい。シャラップ!」」(J-Cast news2013年6月12日)

「国連で「シャラップ」日本の人権大使、場内の嘲笑に叫ぶ」(産経新聞2013年6月13日)

「日本の大使が「シャラップ!」=国連拷問禁止委で暴言」(時事通信2013年6月14日)

「日本の人権大使、国連委員会で苦笑に「黙れ」」(読売新聞2013年6月14日)

「外相 日本の立場 丁寧に説明を」(NHK2013年6月14日)

「日本人権大使ブチ切れ!国連で暴言「シャラップ」」(サンケイスポーツ2013年6月15日)

実際、YouTubeに上がっている動画を見ると、これはひどいといわざるを得ない。この会合の性格やこの人物の職責を考えれば、同じ国の人間であることが恥ずかしくなる。「ロンパールーム」ならCM明けにクマのぬいぐるみに差し替えられるレベル(古いね)、などと冗談かましたいところだが、この暴言自体よりもっと懸念すべきことがあるように思うのでそうも言っていられない。

それは、この大使が「我々は、この分野(人権問題)において最も進んだ国家である」と発言したことだ。動画では確かにこう言っている。


"Certainly, Japan is not in the middle age. We are one of the most advanced country in this field."

報道では、「日本の刑事司法制度は自白に頼りすぎており、中世のようだ」との指摘に対しての発言、とされている。「中世」(Middle Ages)を「中年」(middle age)と言い間違えているところはまあご愛嬌。動画は1分程度しかない(元動画をざっくり探してみたが該当部分は見つからなかった)ので、ここでいう「this field」が何を指すかについては報道に従うこととする。この会合を傍聴していた弁護士の方のブログ記事もあるのでご参照。


「日本の刑事司法は『中世』か」(小池振一郎の弁護士日誌)

「中世」かどうかはともかく、少しでも事情を知っている人なら、この発言は「えええええ」となるのではないだろうか。

この委員会は、日本だけではなく、各国の状況について定期的に勧告を出しており、それに対して各国政府が回答している。今回の会合に基づく日本への指摘事項はここに出ているが、かなり多岐にわたっているのがわかる。項目だけ以下に挙げるが、この中で太字のものについては、委員会は「deeply concerned」ないし「seriously converned」と言っている。

Definition of torture

Statute of limitations

Non-refoulement and detention pending deportation

◎Daiyo Kangoku(代用監獄)

◎Interrogation and confessions(尋問と自白)

Complaint mechanism

Conditions of detention

◎Solitary confinement(独房への監禁)

◎Death penalty(死刑)

Training

Redress, including compensation and rehabilitation

◎Victims of military sexual slavery(戦時性奴隷被害者)

Violence against women and gender-based violence

Trafficking

Psychiatric health care

Corporal punishment

Other issues

これらの問題の多く、特に委員会が特に深い懸念を示した太字の項目は、国内でも日本の制度の問題点として挙げられ、以前から議論がなされてきた。もちろん、日本が世界有数の「安全な国」であることは誰しも認めるところだし、人権全般についていうなら、少なくとも「one of the most advanced」という大使の発言(後でそう言い直した)は、大筋でまちがっていないだろうが、少なくとも上記の領域で「most advanced」であると考える人はあまりいないだろう。

たとえば最近でも、いわゆるパソコン遠隔操作ウィルス事件における誤認逮捕があった。この件で最大の問題点は、警察が誤認逮捕をしたことではない。無実の人間が複数、警察の取り調べに対して、やってもいないことをあたかも自分でやったかのように、詳細に渡る「手口」まで含めて「自白」させられてしまった、ということだ。これは誰がどうみても、警察が自白内容を誘導しているとしか考えられない。


「PC遠隔操作:「謝罪じゃ足りない」誤認逮捕大学生の父」(毎日新聞2013年6月4日)

神奈川県警などの説明によると、男性は当初は否認したが、逮捕の3日後には容疑を認める上申書を提出。その後また否認に転じたものの、再び容疑を認めたという。

その後、遠隔操作事件の「真犯人」として逮捕した被告に対しては、可視化すれば取り調べに応じるとした申し出を拒否し、2月の逮捕以来ここまで勾留を長引かせてきた。苦し紛れではあるだろうが、見方によってはやりたい放題だともいえる。彼が真犯人であるかどうかに関わらず、これは大きな問題だと思う。


「AKB襲撃予告容疑など追送検 PC遠隔操作事件」(朝日新聞2013年6月10日)

パソコン(PC)遠隔操作事件で、警視庁などの合同捜査本部は10日、アイドルグループ「AKB48」の襲撃予告を書き込んだとする威力業務妨害容疑と、6人のPCに遠隔操作ウイルスを感染させたとする不正指令電磁的記録供用容疑で、元IT会社員片山祐輔容疑者(31)=ハイジャック防止法違反罪などで起訴=を追送検し、発表した。捜査本部として最後の立件となる。

無実の被疑者に「自白」をさせた例は、他に志布志事件などが知られているし、いわゆる痴漢冤罪事件などでは否認する被疑者を長期勾留し、「罪を認めた方が軽くすむ」などと自白を強いていたケースがいくつもある。このようなやり方が取り調べの現場で広範かつ日常的に行われているであろうことは、警察や検察が取り調べの可視化に対して頑強に抵抗していることからも伺える。だからこそ、委員会は前回と同じ、以下のような指摘を再び日本政府に対して出しているのだろう。


(a) The State party’s justice system relies heavily on confessions in practice, which are often obtained while in the Daiyo Kangoku without a lawyer present. The Committee has received reports about ill-treatment while interrogated, such as beating, intimidation, sleep deprivation, and long periods of interrogations without breaks;

(b) It is not mandatory to have defence counsel present during all interrogations;

(c) The lack of means for verifying the proper conduct of interrogations of detainees while in police custody, in particular the absence of strict time limits for the duration of consecutive interrogations;

(d) None of 141 complaints concerning interrogations filed to the public prosecutors by suspects and their defence counsels resulted in a lawsuit.

このように考えてくると、この件で何が最も深刻な問題かがわかる。「シャラップ」は確かに暴言だがそれ自体は大使個人の失態であり、その恥は本人とその任命者が負えばいい。しかしこの会合で問われたのは、日本という国が人権というものをどう扱っているかだった。それに対して政府は、上のリンク先文書で見る限り、基本的には多くの重要とされた指摘に対してことごとく後ろ向きの回答をしている。この姿勢は、たとえば次のような記事をみれば、大使個人の問題ではなく、組織としてのものであることが容易に推察できる。


「取り調べ可視化を再議論 法制審「司法取引」も検討」(日本経済新聞2013年6月14日)

この日の議論では、取り調べの可視化について「対象事件を拡大すべきだ」との意見が出る一方、警察関係の委員は「捜査への支障が避けられない」と指摘。

通信傍受拡大を巡っても「乱用を防ぐため第三者機関を設けるべきだ」との意見に対し、「現行のチェック体制で何が足りないのか論証しないと議論が進まない」と反論が出る場面があった。

個々の点についてはいろいろ議論もあろうが(特に慰安婦関連については異論をお持ちの方もいるだろうが話がずれそうなので本稿では論点としない)、国内でも政府のこのような態度に対する懸念の声が少なからずあったことは、事情を少しでも知る人ならわかるだろう。実際、弁護士の接見が制限される日本の被疑者取り調べは、日米地位協定改訂の際の障害にもなったと聞く(参考)。実害は少なからず明らかになっているわけだ。しかし、ポジショントークもあるとはいえ、政府はこうした国内外の声を否定するかのような強弁を続けている。件の会合で大使が「笑うな!」と怒鳴りつけた失笑は、そうした実態を知るからこそ出たものだろう。

その意味で、あの場で日本国政府を代表する立場である大使自身が「シャラップ!」と逆ギレしたことは、政府の聞く耳持たない姿勢とあまりにも整合的であったために、それをはからずも最もかっこ悪いやり方で根拠づけたかたちとなった。日本は国内外が「深く懸念」する人権侵害の状況をそうだとはまったく認めず、むしろこれを「世界最先端」だと言い張り、批判者を怒鳴りつけて黙らせる国ということになってしまったわけだ。

しかし、この問題は笑えない。「彼ら」だけの問題ではないからだ。こうした政府の姿勢は、単に官僚や政治家が人権を無視しているというより、国民の間にそれを容認、あるいは望む風潮があることが背景にある。実際、警察に対して、悪い奴ら(実際には「自分の目には悪そうに見える奴ら」だ)を徹底的に取り締まってほしい、犯罪をとことん減らしてもっともっと「安全安心」な社会にしてくれといった期待が寄せられている。彼らは、当然組織エゴのようなものもないではないだろうが、むしろ誠実に、責任感を持って、こうした「国民の声」に応えようとしているという要素の方が強いのではないかと思う。

もちろん、犯罪に巻き込まれ、被害者となってしまった人たちの声には真摯に耳を傾けるべきだろう。あのとき警察がきちんと対応してくれていれば被害に遭わずにすんだとか、なんで警察はあんな悪い奴らを野放しにしておくだとかいう話はあちこちでよく聞く。しかし、だからといって、そのためには無辜の者が逮捕され連日の取り調べによってやってもいない犯罪を「自白」してしまう事態が起きてもかまわない、ということにはならない。どちらもあってほしくないが、捜査や取り調べの際のルールをどのくらい厳しくするかという点では、残念ながらこの両者にはトレードオフ関係が成立する。はっきりいえば、日本に住む私たちが享受する「安全安心」は、冤罪を含む人権侵害によって支えられているのではないかという疑いがあるのだ。

自分や身近な人が犯罪被害者となることを恐れる人は、同じくらい、自分や身近な人が無実にもかかわらず被疑者となってしまうかもしれない恐れへの想像力を持ってほしい。警察や検察に「しっかりやれ」と言うなら同じくらい、それを実行するために彼らが持とうとする捜査や取り調べの際のフリーハンドにも警戒の目を向けるべきだ。警察というサービスは「無料」で利用できるが、同時にさまざまな社会的コストを伴うことを知らなければならない。

大使の「シャラップ!」を恥じたり笑ったりする前に、日本が人権に関して大きな課題を負っていることを憂うのがスジというものだろう。民主主義社会では、それらは主権者たる私たち自身の問題でもあり、現在の状況は、大きな意味では私たち自身が選びとった結果だからだ。どう変えようとも(変えなくても)、誰かが笑い、誰かが泣く結果となろう。だからこそ憂うべきなのであり、だからこそ真剣に取り組むべき課題なのだ。

恥ずかしいということでいうなら、むしろ、こういう根っこにある大事な問題を素通りしてただこれを政権叩き、官僚叩きのネタとして消費するだけの、わかりやすい「弱者の味方」ポジションを飯の種にしているメディアとか(もしそんなところがあるなら(棒読み))の方がよほど恥ずかしい。いっちゃ悪いがチョー恥ずかしい。

 
 
 
 Google Playで80以上のワンクリック詐欺アプリが存在、マカフィーが警告



サポート終了までわずか! Windows XPからデスクトップ仮想化へ
モバイルを安全に!セキュリティと利便性を両立するワンタイムパスワード認証とは
タブレット端末を差別化する付加価値とは?新レグザタブレットで魅せた東芝のこだわり
サイバー攻撃の変遷と標的型攻撃から企業を守る有効なセキュリティ技術とは!?




マカフィーは4月4日、同社ブログにおいて、米Googleが提供するアプリ配信サービス「Google Play」上に日本のユーザーをターゲットとした複数のトロイの木馬が発見されており、これらがAndroid端末を対象としたワンクリック詐欺と同じ系列であると報告している。同社では、マルウェア拡散を目的とした複数のディベロッパーアカウントを特定しており、現段階で少なくとも80種のアプリケーションがGoogle Play上に存在するとしている。

ワンクリック詐欺は10年以上存在する日本に特有の手法で、これを用いるサイバー犯罪者は現在モバイル分野の開拓に熱心に取り組んでいるという。
 
 Google Play上に存在する詐欺アプリ


同社の調査では、これらのアプリはワンクリック詐欺の新しい亜種で、「2クリック詐欺」または「3クリック詐欺」といった手法のもの。2つ以上のクリック操作をユーザーに要求することで、被害者が自分の意志で詐欺のサービスに登録したように信じ込ませることができ、架空の請求を支払わせたり、詳細な個人情報を提供させたりすることができるという。

また、これらの詐欺を仕掛ける攻撃者は、Google Play上で複数のディベロッパーアカウントを使用しており、どのアカウントでもほとんど同じ表現でアプリを紹介しているという。これは、簡単に詐欺アプリの亜種を作成・拡散することが可能であることを示しており、実際、攻撃者はマルウェア報告で自分のアカウントが使用できなくなると、新しいアカウントを作成し、新しいアカウントで同様のアプリを配信している。加えて、この手法の詐欺はAndroidアプリからWebサイトに誘導する仕様になっているため、Google Playからアプリが削除された後も、Webブラウジングを介して犠牲者の数が増加するリスクがあるとしている。

マカフィーではGoogle Play Securityに詐欺を働くディベロッパーアカウントを報告しており、調査とアプリの取り下げを依頼している。また同社のセキュリティーアプリでこのマルウェアを「Android/OneClickFraud」とし認識し、同系列のオンライン詐欺で使用されているURLへのWebアクセスも検知することができると紹介している。