PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/
 2013・3・1〜3/15
 迷惑メール対策団体のスパムハウスに過去最大級のDDoS攻撃

Computerworld 3月29日



 欧州の非営利のスパム(迷惑メール)対策団体Spamhausが、同団体にとって過去最大規模のサイバー攻撃を受け、その影響で広範囲にわたるWebトラフィックの混雑が発生している。

 Spamhausは、スパム業者が大量メール配信に使っているサーバのブラックリストを作成し、電子メール・プロバイダーに提供している。プロバイダーはこれらのリストを使ってユーザーのためにスパム・フィルタリングを行っている。Spamhausは最近、オランダのWebサイト・ホスティング会社CyberBunkerとその傘下のISPであるA2B Internetをブラックリストに追加した。

 3月18日にDDoS攻撃が始まり、Spamhausのサイトは停止を余儀なくされた。Spamhausは、米国CloudFlareのセキュリティ・チームの助けを借りてサイトを復旧させた。CloudFlareは3月20日にこの攻撃の技術的詳細を公式ブログで報告し、27日に追加報告を行った。

 報告によると、攻撃者は現在も最大300Gbps規模のトラフィックをSpamhausサイトに送りつけている。一般的なWebサイトは50Gbps規模の攻撃でダウンすることがある。攻撃トラフィックは世界中のサーバから送信されている。

 この大規模攻撃の犯人を特定するのは困難だ。だが、New York Timesの3月26日付けの記事によると、攻撃者の広報担当を名乗るスベン・オラフ・カンフイス(Sven Olaf Kamphuis)氏はオンライン・メッセージで、「この攻撃は、これまでに公表された中で最大級のDDoS攻撃だ」との認識を示し、CyberBunkerは、Spamhausによる「影響力の乱用」に報復していると述べたという。

 CyberBunkerはWebホスティングにおいて、児童ポルノとテロ関連を除けば、どのような内容のサイトも受け入れている。

 CyberBunkerは、Spamhouseとの対立に関する説明を自社サイトに掲載し、「複製品の販売とTorrentトラッカー・サービスを手がける中国の顧客」がSpamhouseの怒りを買ったと主張している。だが、CyberBunkerがやり玉に挙げられるのは今回が初めてではなく、同社がホスティングするサイト群は悪の温床となっている。

 ロシアのセキュリティ・ベンダーのKaspersky Labによると、今回のような攻撃は、規模も頻度も増大しているという。

 「こうした攻撃によるデータ・フローは中間のネットワーク・ノードを通過する際に、それらのノードに影響するかもしれない。そうなれば、SpamhausやCyberBunkerと無関係なWebサービスにも支障が生じかねない」と、Kasperskyのグローバル研究/分析チームは声明で述べている。

 「このため、こうしたDDoS攻撃は一般のユーザーにも影響する可能性がある。ネットワークの速度が低下したり、特定のWebリソースが利用できなくなったりするのがその典型的なケースだ。攻撃がエスカレートして、大規模でさらに深刻な障害につながることもありうる」(同チーム)
(Caitlin McGarry/PC World米国版)
 
 過去最大のDDoS攻撃は「防止できたはず」と専門機関、世界的影響は否定

ITmedia エンタープライズ 3月29日


 スパム対策組織などを標的として過去最大級のサイバー攻撃が発生したと伝えられた問題で、米セキュリティ機関のSANS Internet Storm Centerは3月28日、事実関係を整理するとともに、今回のような攻撃が可能になった原因を指摘してネットワーク管理者に対策を促した。

 報道によれば、今回の攻撃はスパム対策組織のSpamhausがオランダのWebホスティング業者Cyberbunkerを遮断リストに加えたことを発端とする報復攻撃として発生。英BBCや米紙New York Timesは、この影響で世界のインターネットに影響が及んだと伝えていた。

 これについてSANSのセキュリティ専門家は、攻撃の規模が300Gbpsに達し、これまでに記録された分散型サービス妨害(DDoS)攻撃としては最大だったことは事実だと指摘した。この攻撃には、DNSの再帰的クエリ機能を利用したDNSオープンリゾルバの問題が使われ、SpamhausとCloudFlareに大きな影響を与えたという。

 DNSオープンリゾルバの問題では、適切なアクセス制限を行っていないDNSサーバがDDoS攻撃の踏み台として使われる可能性が以前から指摘されている。今回の攻撃では、DNSリクエストに対する反応を増幅させる「DNS増幅攻撃」という手法を用いて、偽のDNSリクエストを被害者のIPアドレスから既知のオープンリゾルバに送りつける手口で、300Gbpsの攻撃を発生させたとされる。

 一方でSANSは、「インターネットがダウン寸前の状態になった事実はなく、被害者およびインターネット上で被害者に近い距離にあった関係者以外には、実質的な影響は出なかった」と述べ、メディアが伝えたような世界的影響はなかったと断定した。

 DNSオープンリゾルバの問題については「以前から知られていた問題であり、今回のようなDDoS攻撃は防ぐことができたはず」だとSANSは指摘。攻撃が仕掛けられたネットワーク側の問題点として、まず第1に、偽装トラフィックがフィルタリングされていなかったこと、第2の問題として、ネットワーク上に再帰的DNSオープンリゾルバが存在していたことを挙げた。

 そのうえで、「一般的に、ほとんどのDNSサーバは再帰的クエリを実行する必要はない」と述べ、管理者へのアドバイスとして、再帰機能を無効にし、もしローカルクライアントのために再帰機能が必要な場合は自社のネットブロック内に制限するよう助言している。
 
 エバーノートがマルウェアの保管場所に――トレンドマイクロが発見

Computerworld 3月29日



 セキュリティ・ベンダーのTrend Microが、米国Evernoteの情報クリッピング・サービスがマルウェアからの攻撃命令をやりとりする場所として利用されていることを発見した。

 マルウェアは、ハック済みのコンピュータに対して攻撃者がさまざまな行動を実行できるように、バックドアを提供するソフトウェアだ。Trend Microによると、あるマルウェアが新たな指令を受け取るために、Evernoteに接続を試みていることが判明したという。


 Trend Microの脅威対応エンジニア、ニッコー・タマナ(Nikko Tamana)氏は「このバックドアは、さらに盗み出した情報を保存場所としてEvernoteアカウントを利用している可能性がある」と述べた。

 マルウェアの追跡をより困難にするため、あるいは不審なプログラムであることを疑われないように、ハッカー達が正規サービスを悪用してマルウェアを設計する例は、いくつか報告されている。過去にも、ボットネットに対する指示を投稿するためにTwitterやGoogle Docsなどがハッカーに利用された。

 「こうした偽装を行う攻撃は“ステルス”と呼ばれる。Evernoteのような正規サービスの利用は、攻撃者の痕跡を隠しセキュリティ研究家達の対策から逃れる最適の方法だ。」(タマナ氏)

 Trend Microが「BKDR_VERNOT.A」と名付けたこのマルウェアは、Evernoteアカウント内のノートから、指示を受け取ろうとするものだ。ところがTrend Microがテストを行った際はなぜか、マルウェア内に埋め込まれていたログイン情報ではアクセスできなかったという。

 タマナ氏にはこれについて、「最近生じたハッキング事件を受けてEvernoteが取ったセキュリティ対策が、その要因である可能性もある」と指摘した。

 今月初め、ハッカーがEvernoteへの不正アクセスに成功し、ユーザー名や電子メールアドレス、暗号化されたパスワードが流出した後、同社は5,000万人の全ユーザーを対象にパスワードの強制リセットを実行した。

 なお、今回の件についてEvernoteにコメントを求めたが、原稿執筆時までに回答は得られていない。
(Jeremy Kirk/IDG News Serviceシドニー支局)
 
 過去最大規模のDDoS攻撃が発生、ピーク時には300Gbps以上のトラフィック

@IT 3月28日

 3月18日から22日ごろにかけて、スパム対策組織「Spamhaus」をターゲットにした大規模なDDoS攻撃が発生していた。Spamhausと連携して対策に当たった米国のセキュリティ企業、CloudFlareによると、ピーク時にはトラフィックが300Gbpsに達するなど、過去最大級の規模だったという。

 Spamhausは、スパムメールの送信元となっているIPアドレスを収集し、ブロックリストを作成して公開しているスパム対策組織だ。DDoS攻撃を受けることになったきっかけは、オランダのWebホスティング業者をこのブロックリストに加えたことだったという。

 この結果、3月18日からSpamhausをターゲットにしたDDoS攻撃が開始されることになった。SpamhausではCloudFlareの手を借りながら対処に当たった。

 当初のトラフィックは10Gbps程度だったが、19日以降拡大し、30Gbpsからピーク時には90Gbpsにまで達した。さらに22日には120Gbpsを記録したが、CloudFlareは持ちこたえた。

 これを見て、攻撃者側は別の方法を取ることにした模様だ。Spamhaus/CloudFlareを直接攻撃するだけでなく、CloudFlareが接続しているインターネットエクスチェンジ(IX)やTier1プロバイダーに攻撃対象を広げた。この結果、ロンドンやアムステルダム、フランクフルト、香港のIXに大量のトラフィックが押し寄せ、IXにつながっている多数のネットワークにまで影響を及ぼした。この影響を被ったある大手Tier 1プロバイダーでは、一時期、最大で300Gbpsのトラフィックを記録したという。

●オープンリゾルバ対策を

 一連のDDoS攻撃の多くは、外部からの再帰検索を許可しているDNSサーバ(オープンリゾルバ)を悪用したものだった。

 具体的には、オープンリゾルバに対して、送信元を偽装したクエリを投げ、大量の応答をターゲットに送りつけるというDNSリフレクション攻撃(DNS amp)によるものだ。この攻撃手法では、攻撃者が最初に送るクエリパケットを何倍ものサイズのパケットに増幅させ、標的に大量のトラフィックを送りつけることができてしまう。

 これを踏まえてCloudFlareは、オープンリゾルバの閉鎖が必要だと指摘。「Open Resolver Project」などを使って、設定が不適切な状態になっていないかどうか確認し、オープンリゾルバをシャットダウンすべきと述べている。

 もし、管理しているネットワーク内にオープンリゾルバが残っていることが判明した場合は、アクセス制御を適切に実施し、再帰検索機能の提供範囲を必要な範囲のみに限定し(基本的には外部からの問い合わせには応えない)、DNS ampの踏み台として使われないようにする。さらに、送信元IPアドレスを偽装(IPスプーフィング)したパケットを破棄するよう設定する、DNSトラフィックにレートリミットを設けるといった対策も推奨されている。
 
 スマートフォン対策も可能な「スーパーセキュリティ ZERO 3台用」が発売

マイナビニュース 3月28日

ソースネクストは、3台までインストールでき、スマートフォンのウイルス対策も可能な製品「スーパーセキュリティ ZERO 3台用」を4月12日より価格7,980円で発売する。対応OSは、Windows XP(SP3) / Vista(SP2 32/64ビット) / 7(SP1 32/64ビット) / 8(32/64ビット)。

製品は、ビットディフェンダー社のセキュリティエンジンを搭載し、3台までインストール可能な更新料0円のセキュリティソフト。新ラインナップでは、Android端末のセキュリティ対策を行う「スマートフォンセキュリティ3年版」も付属する。オンライン決済を安全に行う専用ブラウザ「決済ブラウザ」を搭載し、ネットバンキングやインターネット上での決済を保護する機能も提供する。

同社では、発売の経緯として、従来の1台版が好評でユーザーから3台版のラインナップやスマートフォンでのウイルス対策の要望が多かったことを挙げている。
 
 メール本文のリンク先と添付文書双方にマルウェア--標的型攻撃事例を公開(IPA)

ScanNetSecurity 3月28日




調査レポート「脆弱性を利用した新たなる脅威に関する調査」

独立行政法人情報処理推進機構(IPA)は3月27日、脆弱性を利用した脅威の実態把握と対策促進を目的とした調査レポート「脆弱性を利用した新たなる脅威に関する調査」報告書をIPAのWebサイトで公開した。近年はウイルスの持つ機能が複雑化しつつあり、またウイルス本体の機能だけでなく人間の心理や行動の隙を突くことで情報を不正に取得する手段(ソーシャルエンジニアリング)等を利用するなどの手口も巧妙化している。

他の写真を見る

特に標的型攻撃メールにおいては、ソフトウェアなどの脆弱性を狙った攻撃も多く、情報漏えいなどの被害の発生原因となっている。昨今では、官公庁や金融業、重工業を狙った攻撃が顕在化している。そこでIPAでは、2つの標的型攻撃の事例を公開した。このうちひとつの事例は、メールの本文に記載されているリンク先のWebサイトと、添付ファイルの両方にウイルスが仕込まれている標的型攻撃。ひとつのメールに複数の罠を仕込むことで、攻撃の成功率を高めていると見られる。これらについて分析を行い、対策情報をまとめている。
 
 Darkleech Apache Moduleマルウェアに感染注意

マイナビニュース 3月28日

トレンドマイクロは、Trend Micro Security Blogの記事「国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害」において、Apache HTTPd Serverに不正なモジュールを仕込んで動的にコンテンツを改ざんする被害が国内外で発生していることを報告した。改ざんを受けたサーバは以後も発見が続いている。

この問題では、コンテンツ自身を直接改ざんするのではなく、Apache HTTPd Serverに不正なモジュールを仕込んで、Webブラウザからアクセスがあった段階で動的にコンテンツを改ざんするという方法が取られている。このため、管理しているサーバが改ざんを受けたと認識することが難しいという問題がある。不正なモジュールの名称は一定ではなく、複数のそれらしい名前が使われているため判断しにくい。

改ざんされたコンテンツは、アクセスしてきたユーザを不正なサイトへ誘導。最終的に既存のプロダクトのセキュリティ脆弱性を利用するように仕込まれている。自衛策としてOS、ブラウザ、プラグイン、セキュリティソフトを常に最新版へアップグレードすることが推奨される。サーバ管理側には、管理下のApache HTTPd Serverが改ざんを受けていないか確認することが強く推奨される。
 
 SpamhausとCloudFlare、最大規模のDDoS攻撃にオープンリゾルバ問題を指摘

マイナビニュース 3月28日

The Spamhaus Projectと米CloudFlareが、3月18日から大規模なDDoS攻撃を受けていたことが明らかになった。両者は3月27日と28日、それぞれのWebサイトでDDoS攻撃に関する情報を公開した。それによると攻撃者は手法を変えて、サイトを攻撃する代わりにネットワークプロバイダもターゲットにしていたという。

Spamhausは、スパム配信に関連するIPアドレスをISPやセキュリティ企業などに提供する非営利団体で、CloudFlareは性能・セキュリティ企業。

CloudFlareによると、3月18日にSpamhausのWebサイトを狙った攻撃がスタートし、Spamhausの援助要請を受けてCloudFlareが攻撃を緩和した。当時トラフィックにして10Gbps程度の攻撃だったが、3月19日には最大で90Gbpsに拡大した。この時点ですでに最大級の攻撃だったという。

少しの休止を経た後、22日に再開された攻撃ではピーク時に120Gpbsに。CloudFlareは分散技術を利用して攻撃に耐えた。

だがCloudFlareによると、攻撃者はその後戦術を変え、サイトを直接狙うのではなく、CloudFlareが帯域を利用するプロバイダーを攻撃した。Tier 1プロバイダーの中にはこの攻撃に関連したトラフィックを300Gbps以上観測したところもあったという。さらには、相互接続ポイントのインターネットエクスチェンジ(IX)にも攻撃が及んだという。ロンドン、フランクフルト、香港などのIXが標的になり、最大の影響を受けたと見られるロンドンIX(LIX)の場合トラフィック量が急速に減少したことがモニタリングからわかったという。この結果、ロンドンベースのCloudFlareの顧客から接続が断続的になるなどの問題が報告された。

Spamhausによると、現在攻撃の規模は縮小しているが、攻撃者についてはさまざまな指摘があり誰が行ったのかはわからないとしている。

SpamhausとCloudFlareは今後の対策として、1)DNSリフレクション攻撃を防止するようネットワークを安全にすること、2)OpenDNSリゾルバのロックダウンによる安全確保を業界に呼びかけている。
 
 スマホのウイルス対策もできる更新料0円「スーパーセキュリティZERO3台用」

Impress Watch 3月28日



 ソースネクスト株式会社は、スマートフォン向けアプリ「スマートフォンセキュリティ(3年版)」を同梱したPC用セキュリティソフト「スーパーセキュリティZERO3台用」のパッケージ版を4月12日に発売する。価格は7980円。対応OSはWindows 8/7/Vista/XP。

 スーパーセキュリティZEROは、対応するOSのサポート期間は更新料0円で利用できる点が特徴。Windows 7は2020年1月14日まで、Windows 8は2023年1月10日まで、毎年の更新料なしで使い続けられる。Windows 7からWindows 8に乗り換えた場合も引き継いで使える。

 ウイルス対策には、ルーマニアのBitDefenderのエンジンを採用。機能面ではオンライン決済を行うための専用ブラウザー機能「決済ブラウザ」や、PCの盗難対策機能、製品状態がわかるウィジェットなどを備える。

 スマートフォン向け「スマートフォンセキュリティ(3年版)」は、BitDefenderのエンジンを搭載したアプリ。ウイルス対策に加えて、スマートフォンの位置をウェブから調べたり、遠隔操作でアラームを鳴らす紛失・盗難対策も行える。Android 2.2以降に対応し、1台で利用できる。
 
 
過去最大級のDDoS攻撃が発生、世界のネットインフラに影響

ITmedia エンタープライズ 3月28日



 スパム対策組織とWebホスティング業者の争いが発端となって過去最大級のサイバー攻撃が発生し、インターネットが一時的につながりにくくなるなど世界のネットインフラに影響が及ぶ事態に発展した。各国のメディアが3月27日に伝えた。

 英BBCや米紙New York Timesの報道によると、発端はスパム対策組織のSpamhausが、オランダのWebホスティング業者Cyberbunkerを遮断リストに加えたことだった。

 これに対してSpamhausのDNSサーバを狙った大規模な分散型サービス妨害(DDoS)攻撃が発生。SpamhausはBBCに対し、攻撃の規模はピーク時で300Gbpsに達したと話している。

 New York Timesは攻撃側の広報を名乗る人物の話として、CyberbunkerがSpamhausに対して報復攻撃を仕掛けたと報道。この人物は「Spamhausが影響力を悪用した」と主張しているという。

 この攻撃がインターネットの中核的なインフラであるドメイン名システム(DNS)に及び、何百万人という一般ユーザーがネットに接続しにくくなったり、Webサイトがつながりにくくなったりするなどの影響が出た。

 今回の攻撃に関連して米セキュリティ企業CloudFlareは、3月18日にSpamhausから「Webサイトが攻撃されている」と連絡を受け、対応に当たったことを明らかにした。

 攻撃のトラフィック規模は当初10Gbps程度だったのが、21日にかけて30〜90Gbpsに拡大。22日にはCloudFlareのネットワークが120Gbpsのトラフィック攻撃に見舞われた。それでもCloudFlareがダウンしなかったことから攻撃側は手口を変え、CloudFlareに大域幅を提供しているネットワークプロバイダーを標的にし始めたという。

 この攻撃の影響が、インターネットの中心的存在として世界中のプロバイダーとつながっているTier 1プロバイダーに及んだ。大手Tier 1プロバイダーの1社はCloudFlareに対し、「この攻撃に関連した攻撃トラフィックは300Gbpsを超えていた」と語ったという。これは過去最大級といえる攻撃規模だとCloudFlareは解説する。

 さらに、インターネットサービスプロバイダー(ISP)同士の相互接続ポイントであるインターネットエクスチェンジ(IX)も攻撃された。ロンドン、アムステルダム、フランクフルト、香港のIXが攻撃を受けてトラフィックを処理し切れなくなり、これらIXにつながっている多数のネットワークに影響。欧州を中心に、SpamhausやCloudFlareに無関係なサービスやサイトが遅延などの問題に見舞われたという。

 CloudFlareはIXやDNSの構造的な問題も指摘し、「インターネット全体が現在直面している脅威に対峙できるよう、関係者やパートナーと協力して取り組む」と述べている。
.
 
 ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに

Impress Watch 3月28日



 今週多くの人は何も気がつかなかったが、「インターネットが破壊される瀬戸際」に追い込まれる程の攻撃、史上最大規模のDDoS攻撃が行われていたことが明らかになった。

 スパム対策組織Spamhausと、同組織を支援した米セキュリティ企業Cloudflare社が発表し、発表内容をもとに米ニューヨーク・タイムズや英BBCが27日に大きく取り上げたことで、世間に広く知られるようになった。Cloudflare社は「ネットを崩壊の瀬戸際に追い込んだ」と攻撃を評している。

 この攻撃は、欧州を中心としたインターネットに渋滞を引き起こし、ウェブサイトや動画ストリーミングサービスの使用が難しくなる時期があったが、現時点ではだいたい解決の方向に向かいつつあるという。しかし根本的問題は解決されておらず、様々な企業や組織がこの問題の根本的解決のために立ち上がっている。

 攻撃が始まったのは3月19日。Spamhausのサーバーに対するDDoS攻撃はあまりにも強力だった。そのためSpamhausは米セキュリティ企業Cloudflareに攻撃緩和の支援を求めた。当初は攻撃の規模を別にすれば、攻撃手法は通常とさほど変わったものではなかった。

 Spamhausをダウンさせたものの、Cloudflareが耐えたことを見て取るや、攻撃者たちは攻撃手法を変える。Cloudflareの発表によれば、新たな攻撃の大部分はDNSアンプ攻撃またはDNSリフレクション攻撃と呼ばれるものだ。これは世界各地の何千ものオープンDNSサーバーが、確認もせずにすべてのリクエストに応答してしまうという既知の問題だ。これで攻撃者は攻撃規模を増幅できる。

 なおもCloudflareに対抗できないことを察知した攻撃者たちは戦略を変え、今度はCloudflareが使用する帯域を提供しているプロバイダーに標的を合わせた。CloudflareはロンドンIX、アムステルダムIX、フランクフルトIXなど、欧州で最も強力なIXと接続していた。Cloudflareは100GbpsのDDoS攻撃に耐えたが、その後はこれらの直接のピア接続相手が攻撃を受けた。これらもまた攻撃に耐えると、次はTire1プロバイダーが攻撃を受けた。Cloudflareによれば、「最大で300Gbpsを観測した」とTier1プロバイダー関係者が述べたという。その結果、主に欧州地域でインターネットの渋滞がみられ、何億人もの人々が影響を受けたと考えられている。

 今回の攻撃について、Cloudflareはある「インターネットの巨人」からのメールを披露した。この人物は「わたしが常々言ってきたことだが、最大級の攻撃に備えて準備する必要はない。インターネットが他への大規模な巻き添え被害を発生させずに送信できる最大級の攻撃に向けて準備する必要があるのだ。今回、あなた方が受けた攻撃はそのレベルに達したように見えますので……おめでとうございます!」と述べたという。これはこの攻撃規模の巨大さと、今後起こりうる事態を示唆している。

 Cloudflareは、問題の根幹がこのDNSのオープンリゾルバー問題であると考えている。今回問題を解決するために「Open Resolver Project」が設立され、問題となっているDNSサーバ2170万台すべてのリストが公開された。リストは攻撃者の手に渡ることを恐れ、これまで公開されなかったものだという。今回の事件により、攻撃者たちがこのリストを入手していることが明確になったため、リスト公開に踏み切り、早急に問題を解決する必要があるとの共通認識が生まれたという。
トレンドマイクロ、標的型攻撃に対処する「カスタムディフェンス」を発表

ITmedia エンタープライズ 3月27日



カスタムディフェンスのシステム面のイメージ。5月から製品連携を強化し、例えば、組織に侵入したマルウェアが通信するC&Cサーバの情報を迅速に製品へ反映して情報漏えいなどを遮断する。サービスでは専門家チームによるインシデント対応や脅威解析、対策のコンサルティングといったメニューを提供する

 トレンドマイクロは3月27日、2013年の企業向けビジネスでの事業戦略を発表した。「標的型攻撃」「ITのコンシューマ化」「クラウド・仮想化」に着目した多数の新商品を投入する計画。特に標的型攻撃では「カスタムディフェンス」という新たなソリューションを展開する。

 会見した共同創設者兼CEOのエバ・チェン氏は、企業を取り巻くIT環境や脅威の変化に触れ、従来のオンプレミスを主体とするセキュリティ対策を、クラウドなどを活用する「スマートな防御」に発展させるべきと説明。対策の主眼をPCやサーバなどのデバイスから情報やデータに置き、製品連携による多層的な防御システム、リアルタイム性や柔軟性に優れた集中管理、拡張性のあるエコシステムによって実現していく。

 新たに発表したカスタムディフェンスは、なりすましメールや未知のマルウェア、攻撃者サーバ(C&Cサーバ)など、さまざまな手法を組み合わせて展開される標的型攻撃の迅速な発見と被害の抑止、将来におけるリスクの低減を目指す。

 具体的には、同社の脅威情報の収集・分析基盤となる「スマートプロテクションネットワーク(SPN)」と、サードパーティを含めたセキュリティ製品群、専門家によるサービスを組み合わせる。「脅威の検知」「分析」「適応」「対処」というライフサイクルに照らしながら、顧客企業に応じて最適化されたセキュリティ対策環境の構築、運用を支援していくという。

 チェン氏は、「昨今の標的型攻撃は非常に高度で洗練化しており、特別な対応が必要。当社だけでなくセキュリティ他社を始めとする広範なパートナーとの連携を通じて対策を提供したい」と表明。協業では例えば、不正サイトを閉鎖させる取り組みでEMC(RSA)と、統合ログ管理・分析などによるセキュリティインテリジェンス製品では日本HPのArcSightや日本IBMのQRadarと連携している。

 取締役副社長の大三川彰彦氏は、国内での提供体制について、システム/ネットワークインテグレータ、ハードウェアベンダー、サービスプロバイダーとの協業を通じて行うと説明。同社ではインシデント対応に専任であたる10人規模の「サイバー攻撃レスポンスチーム」を既に設置し、国内の脅威分析にあたる「リージョナルトレンドラボ」、国内外での将来の脅威動向を予測する「フォワードルッキングスレッドリサーチ」部門と連携して活動する。パートナー企業にも約700人の認定技術者がおり、さらに拡充を図る。

 「ITのコンシューマ化」に向けては、先行してクラウド型セキュリティサービスの新ブランドを立ち上げている。このサービスを拡充するほか、第3四半期以降に企業向けデータ保護・共有サービスの提供と、モバイルデバイス管理(MDM)製品での不正アプリ対策機能の提供を予定する。

 「クラウド・仮想化」向けには、統合型サーバセキュリティ製品「Trend Micro Deep Security」の機能強化や、VMware vCloud Directorとの連携強化、クラウド向けデータ暗号化製品でのAmazon Web Servicesとの連携強化を推進していく。このほか、第3〜4四半期にかけては制御システムや組み込みシステム、オフラインコンピュータ向けセキュリティ製品群の機能拡張なども予定している。
トロイの木馬型Androidマルウェアをばらまく標的型電子メール攻撃が登場

Computerworld 3月27日



 ウイルス対策ベンダーのロシアのKaspersky Labは3月26日、人権活動家や政治活動家を狙い、情報を盗み出す機能を持つトロイの木馬型Androidマルウェアをばらまく標的型電子メール攻撃を発見したと報告した。

 報告によると、3月24日に有名なチベット人活動家の電子メール・アカウントがハッキングされ、その連絡先リストに含まれるメール・アドレスにスピア・フィッシング(特定の標的に狙いを定めたフィッシング)メールを送信するのに使われた。この攻撃は、トロイの木馬型Androidアプリがこうした標的型攻撃に使われた証拠が記録された最初の事例だと、Kaspersky Labの研究者は公式ブログで述べている。

 この攻撃で送信された電子メールには、apkファイル(Androidアプリケーション・パッケージ)が添付されていた。送信に使われた連絡先リストには、他の多くの活動家が含まれている可能性が高い。

 受信者をだますために、このメールの本文では、世界ウイグル会議(WUC)がスイスのジュネーブで今月開催した中国の人権問題に関する会議がテーマとなっていた。

 この会議は、複数の活動家グループを狙って3月に仕掛けられた別の電子メール攻撃でも、メール本文で取り上げられていた。ただし、この攻撃はWindowsユーザーを標的に、不正なExcelファイルをばらまくものだった。

 今回の電子メール攻撃のメール本文には、添付ファイル「WUC's Conference.apk」に、会議主催者からの手紙が含まれていると記されている。攻撃者は、多くの受信者がこのメールをAndroidスマートフォンで読み、このapkファイルをクリックしてインストールすると想定していると、Kaspersky Labのシニア・マルウェア・アナリスト、デニス・マスレニコフ(Denis Maslennikov)氏は述べている。

 このapkファイルは、「Conference」というトロイの木馬アプリをインストールする。このアプリは、WUC幹部のものとされるメッセージを表示するとともに、バックグラウンドで、米国でホストされているC&C(指令)サーバに感染の成功を報告し、各種データのアップロードを指示するSMSコマンドを待つ。アップロードされる各種データには、連絡先の詳細、通話ログ、テキスト・メッセージ、地理位置情報、電話ID情報などが含まれる。

 さまざまな証拠から、この電子メール攻撃の犯人は中国語を話す可能性が高いと、マスレニコフ氏は指摘した。例えば、このマルウェアでは、中国語の記述を含むさまざまな関数が使われているほか、C&Cサーバで稼働するWindows Server 2003は、中国語のロケールを使って構成されており、同サーバ上で見つかったあるWebページは、ランダムな中国語テキストを含んでいるという。

 チベット人やウイグル人の活動家は従来、WindowsやMac用のリモート・アクセス・ツール(RAT)を使った高度で執拗なAPT(Advanced Persistent Threat)型攻撃の標的になってきた。今後、Androidユーザーを狙って今回のような新手の標的型攻撃が横行するかもしれないと、Kasperskyの研究者は述べている。

 今回の攻撃では、ソーシャル・エンジニアリングによってAndroidマルウェアがばらまかれたが、Kasperskyの研究者は、攻撃者が今後、Androidデバイスにマルウェアを感染させるために、ゼロデイ脆弱性を悪用する手口などを使うようになると予想している。

 「エクスプロイト・コードを使って、ユーザーの介在なしでマルウェアをAndroidデバイスに感染させる攻撃が2013年に登場することを、われわれはほぼ100%確信している」(マスレニコフ氏)
(Lucian Constantin/IDG News Serviceルーマニア支局)
PC遠隔操作事件】報じられない捜査の問題


江川 紹子 | ジャーナリスト
2013年3月27日



PC遠隔操作事件は、大阪の男性のパソコンから日本航空に爆破予告のメールを送った件などで、逮捕・勾留されていた片山祐輔被告が起訴されたことで、新たな段階に入った。とはいえ、捜査側は他の三重県警が扱った伊勢神宮への爆破予告など、警察が誤認逮捕した他の事件についての捜査を続けていて、捜査終結には今なお時間がかかりそうだ。現時点では、片山被告は否認を続けているうえ、捜査側から伝わってくる情報も断片的。弁護人に証拠が開示され、裁判が始まって事件の全体像が私たちの目に見えてくるのは、まだだいぶ先のことになる。

今回の捜査は、誤認逮捕した人を虚偽の自白に追い込んだ警察が汚名返上すべく取り組んでいるのだから、よほどしっかりした証拠があるに違いない、と見る向きもある。確かに、誤認逮捕4事件の轍は踏まない、という意気込みで捜査に当たっているとは思う。だが、今回の捜査で、もしかしたら捜査機関にとって、後々致命的になるかもしれない問題点が潜んでいることは、全く報じられていないのも気になる。

なぜ本件では事前にPCを調べないのか

それは、警察の強制捜査着手が、見切り発車だった可能性がある、ということだ。

誤認逮捕の4事件では、警察はいずれもIPアドレスから脅迫メールの発信元となったパソコンを特定し、任意提出を求めたり、差し押さえを行った。逮捕前に、その所有者に対して任意で事情を聞いている。結局、4人の否認供述は耳を傾けてもらえず、2人は虚偽の自白に追い込まれたのだが、少なくともいきなり逮捕したわけではなく、一応はパソコンの確認作業が先行している。

佐藤弁護士は3月21日に東京地裁で行われた勾留理由開示公判の中で、この点を挙げ、次のように述べた。

「本件で、片山さんに一定の嫌疑があったとして、何故、同じように、片山さんの自宅からパソコンを押収し、その解析結果に基づいて、片山さんを任意で取調べなかったのかということです」

警察は、片山被告を尾行し、スマートフォンをショップで売った際には、すばやく回収。だが、本人には逮捕の日まで任意の事情聴取は行っておらず、自宅のパソコン類が押収されたのも逮捕当日だった。また、FBIの分析でアメリカのサーバーにあった遠隔操作ウイルスから彼の派遣先のパソコンで作られた「痕跡」が見つかったと報じられているが、その派遣先からパソコンなど15台を押収したのも、逮捕の後だった。

誤認逮捕があった後の捜査ということを考えればなおのこと、まずは自宅と派遣先のパソコンを最初にしっかり分析し、事件との関連を調べ、任意での事情聴取を重ねて、供述と物証の矛盾などを検討したうえで強制捜査に入るのが筋ではないのか。それがなかったためか、逮捕当初の報道では、神奈川・江ノ島の監視カメラの映像が「決め手」とされ、「リアル捜査実る」(スポーツニッポン)などと従来の捜査手法が被疑者の特定につながった、とされてきた。

警察は、なぜ、パソコンの押収や解析を先行させなかったのか。

事前の情報漏れが目に余った警察

自らの問いに自問自答する形で、佐藤弁護士は次のように指摘した。

「答えは、本件に関する報道が教えています。片山さんの逮捕の前から、マスコミには片山さんが本件の容疑者であることが広く知れ渡り、警察が、マスコミに知られないで、片山さんの自宅からパソコンを押収したり、任意で取り調べたりすることは不可能な状況が現出していたからです」

本件では、まさに目に余るような事前の情報漏れがあった。

片山被告が外を出歩いたり、猫カフェで猫を抱く様子は、逮捕と同時に多くのマスメディアが報じている。こんなにもゾロゾロつけ回していたにも関わらず、片山被告自身はまったく気付かなかったようだ。

この状況について、2月20日の週プレニュースは次のように報じている。

〈NHKによる盗撮など各メディアの取材は日を追うごとに過激になり、最終的にはかなりバレバレの尾行をする記者もいたという。

「結果的には片山容疑者が驚くほど鈍感だったのが幸いした。逮捕前の数日間、警察は大胆すぎる一部の記者にかなりいら立っていた。おそらく警察からすれば、最後は片山容疑者との闘いではなく暴走するメディアとの闘いだったはず」(某新聞社社会部記者)〉

このままでは、記者たちに知られずにパソコンを押収するどころか、本人が気がついて逃走したり、パソコンを破壊するなどの証拠隠滅を図るのでは…と捜査の担当者は危機感を募らせたことだろう。そのため、逮捕が見切り発車になった、ということはないのだろうか。

記者たちが片山被告が捜査のターゲットであることを知る情報源は、警察以外には考えられない。現場の捜査員が情報を漏らす自分たちの首を絞めるような行為をするとは考えにくいとしても、現場から遠い幹部などから相当な情報漏れがあったのではないか。

情報漏れがもたらす捜査陣へのプレッシャー

そのことがもたらした弊害について、勾留理由開示公判の意見陳述で佐藤弁護士は、たたみかけるようにこう述べた。

〈私は、足利事件で、警察庁がDNA鑑定の導入のために管家さんの任意同行の情報をリークしたために、管家さんに対する取調べに無用の圧力が掛かり、管家さんの虚偽自白を生み出したことを指摘してきました。本件でも、捜査当局の情報管理の不手際が冷静沈着であるべき捜査を狂わせてしまったのです。〉


DNA鑑定の結果釈放されてすぐの菅家さんと佐藤弁護士
足利事件の捜査を行っていたのは栃木県警。DNA型が一致するとの鑑定書はあったものの、他の状況証拠が弱く、同県警は菅家利和さんの逮捕をためらっていた。小林篤さんの『幼稚園バス運転手は幼女を殺したか』(草思社)には、こんな同県警幹部の本音が紹介されている。

「菅家の犯行を裏付ける目撃者が1人でも現れてくれたら、令状(逮捕状)請求もできたんですが…。かといって、もうこれ以上捜査をしても、時間がたつばかりだった…。菅家を任意で取り調べて、自供がとれてから逮捕する。落ちなければ、帰すことにした」

ところが任意同行の当日、1991年12月1日の朝刊各紙が大々的に次のような記事を報じた。

〈元運転手、きょうにも聴取 現場残存資料、DNA鑑定で一致〉(1991年12月1日付毎日新聞社会面)

〈幼女殺害の容疑者浮かぶ 45歳の元運転手、DNA鑑定で一致/栃木・足利〉(読売新聞一面)

〈重要参考人を近く聴取 毛髪の遺伝子ほぼ一致 足利市の保育園児殺し〉(朝日新聞社会面)

小林さんの著書によれば、毎日新聞の単独スクープになるところを、読売、朝日が追いついたようだ。同書には、こんな県警幹部の言葉も紹介されている。

「もちろん、本庁と相談のうえでの決定でした。この情報は、絶対に漏らしてはならない保守厳守のはずだったんですが…」

「(県警)本部長は怒ってたよ。地元紙には出なかったろ。俺たちはやんないさぁ。苦しい人は言えない。関係ない人が言うんですよ」

情報はおそらくは警察庁から記者に伝わったのだろう。「絶対に漏らしてはならない」はずなのに、少なくとも3社には漏れていたのだ。

その朝、捜査本部のある足利署の前には、未明から50人を超す報道陣が集まり、東京からテレビの中継車までが詰めかけていた、という。

〈これから重要参考人の事情聴取を極秘で行う予定でいた捜査本部へのプレッシャーは、否応なく増した〉

プレッシャーをかけられた捜査陣はどうなっただろうか…。

報道陣の列に送られるような格好で出かけていった捜査員は、菅家さんに同行を求め、そしてその日のうちに自白させる。無実が明らかになった後の菅家さんのインタビューでは、はなから犯人と決めつけ、強圧的な取り調べが行われた、という。

「自信」の根拠は何か…

警察は、この冤罪事件と同じ過ちを繰り返してはいないのか?いったい警察の情報管理はどうなっているのだろう。

勾留理由開示公判では、こうした重要な問題が指摘されたのだが、警察が情報管理を厳しくすれば、マスメディアへの取材対応にも影響が出るからだろう、全く報じられていない。

菅家さんが逮捕された時とは違い、今回は早くに弁護団が組まれ、連日のように接見したり、取り調べの可視化を要求したり、捜査機関からの情報を元にした報道についての反論を行ったりといった弁護活動を強力に展開している。そのため、可視化を嫌う捜査機関は、実質的な取り調べはほとんど行えないまま起訴に至った。

警察がもう少しきちんとした情報管理を行い、強制捜査の前にパソコンの解析や任意の事情聴取を丹念に行っていれば、捜査のあり方はもっと違った展開になったのではないか。

起訴を伝える報道では、改めて警察の「自信」のほどが伝えられた。ただ、その「自信」の根拠はあまり報じられていない。確かに、「怪しい」と思える情報はたくさんある。が、肝心の片山被告が使っていたパソコンに問題のウイルスを開発する環境が整っていたのか、など、一番大事な情報は伝わってこない。

それについては、警察が(現場捜査官が上司にも報告しないなどの方法で)厳重管理したのか。それとも…。

今のところは、捜査の行方を見守るしかない。ただ、裁判で真相に近づくことができるよう、検察側には捜査が終結した後には、できる限り広範な証拠開示を行うよう求めていくほか、それぞれの手続きが、公正に行われるよう、注視し続けていきたい。
シマンテック、Android.Enesoluty の新しい不正アプリを発見

シマンテック は、昨年の夏以来活発な活動を見せているマルウェアグループ Android.Enesoluty の悪質なアプリ「Lime Pop」を新しく発見した。


Android.Enesoluty のこれまでの悪質なアプリと同様、アプリページへのリンクが掲載されたスパムメールがユーザーに送られる。 Lime Pop を起動するとゲームサーバーへの接続を試行中であるというメッセージが表示されるが、次の瞬間には「通信状況を確認してください」という指示に変わる。この時点ですでに、連絡先のデータは詐欺 グループのサーバーにアップロードされている。

シマンテックはこのような詐欺の被害に遭わないために、信頼できないサイトからアプリをダウンロードしたり、メールや SMS メッセージのリンクを不用意にタップしないよう、注意を促している。また、デバイスにセキュリティアプリをダウンロードすることも有効だという。
シマンテック、名称が酷似している「LIME POP」に注意喚起--個人情報盗み取りのマルウェア
クリップする
CNET Japan2013/3/26



 シマンテックは3月25日付けの日本語版セキュリティレスポンスブログにて、人気ゲーム「LINE POP」に名称が酷似しているマルウェア「LIME POP」について注意喚起を行っている。

 ユーザーには、はじめにアプリページへのリンクが掲載されたスパムメールが送りつけられる。リンクをクリックすると、「LIME POP」のダウンロードページにたどり着き、ページの最後に利用規約へのリンクが表示される。その内容は、LIME POPがデバイスから個人情報をアップロードするという説明だが、シマンテックでは「利用規約が掲載されているのは、法律上の抜け道を作る目的と思われます」としている。

 ダウンロードしアプリを起動すると、ゲームサーバーへの接続を試行中であるというメッセージが表示されるが、次の瞬間には「通信状況を確認してください」という指示に変わる。この時点ではもう、連絡先のデータが詐欺グループのサーバーにアップロードされてしまっているという。

 同社では、アプリを探すときには、必ず信頼できるサイトからダウンロードするようにするとともに、アプリのダウンロードを誘う電子メールやSMSのリンクをタップする前に、一度立ち止まって再考するように呼びかけている。
.
AMDの新GPU、Radeon HD 7790発表(3月18日〜3月24日)

マイナビニュース 3月25日





3月18日〜3月24日までの1週間に発表された、PC関連の注目ニュースをダイジェストでお届けする。

【拡大画像や他の画像】

先週は22日にAMDからミドルレンジの新GPU「Radeon HD 7790」が公開された。各ベンダによる正式な製品投入は4月上旬頃からだが、現時点での性能が気になるユーザーは、大原雄介氏の15ページにわたる詳細レポートをチェックしておくと良いだろう。

○注目ニュース

先週はセキュリティ関連のニュースが多い印象。シマンテックのマルウェアアプリは、「デバイス搭載のカメラで服が透けて見える」という、ついクリックしてしまいそうなAndroid向けのマルウェアアプリ「Infrared X-Ray」への注意を促すもの。

iOSのアップデートではロック画面回避バグや地図アプリが改善された。また、米アップルはGoogle同様、2段階認証を米国含む海外5カ国に導入。順次対象地域を広げていくという。

ほか、セガからは「メガドライブ」「セガサターン」「ドリームキャスト」などの同社ゲーム機を模したノートPCが目標予約数に達すると商品化される。天板デザインや壁紙、ゲームタイトル音などがカスタマイズされており、歴代ファンには嬉しい仕様だ。
時限起動マルウェアがMBR破壊、トレンドマイクロの韓国サイバー攻撃調査結果

Impress Watch 3月25日

 トレンドマイクロ株式会社は、韓国の銀行や放送局で多くのPCが起動不能に陥ったサイバー攻撃について、情報収集と追跡調査から推測した攻撃の全体像を公表した。

 トレンドマイクロでは、これまでに収集した情報から、ソーシャルエンジニアリングを悪用したメールが、今回の標的となった組織への侵入のきっかけになっている可能性があると推測している。また、侵入後、ネットワーク内のコンピューターを管理するために使われる「集中管理ツール」を使ってマスターブートレコード(MBR)を上書きし、PCを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」を配信したことも判明している。

 今回の攻撃の全体的な流れとしては、攻撃者はまず、なりすましメールを使って不正プログラムを送信し、これをユーザーが開くことで感染。次に、偽のサイトを表示して正規サイトにアクセスしているかのように見せかける裏で、不正なURLに接続。接続した不正URLから別の不正プログラムをダウンロードしている。

 さらに、何らかの手法を使って集中管理ツールのサーバーにアクセスし、「TROJ_KILLMBR.SM」を用意。集中管理ツールを使ってネットワーク上のWindows端末に「TROJ_KILLMBR.SM」を配布し、すべてのファイルを消去して、MBRをごみデータで上書きする。

 また、ネットワーク上のLinuxまたはUNIXサーバーを探し、AIX、Solaris、HP-UXを見つけるとMBR情報をごみデータで上書き。Linux、Solarisの場合には、重要なディレクトリを削除する。

 今回の攻撃の特徴としては、最近よく使われている手法である「身代金要求型不正プログラム(ランサムウェア)」に似ているが、MBRを上書きして起動不可能にするという攻撃は、まだインターネットが普及していない1990年代に流行していた、システム領域感染型ウイルスを彷彿とさせると指摘。当時はフロッピーディスクを経由して感染が広がっていたが、今回の事例では大量被害を可能にする集中管理ツールを使っていることで、感染の速度と規模が格段に違うとしている。

 また、不正プログラムが3月20日の午後2時まで潜伏し、「時限爆弾」のように発症してPCを起動不能にさせる挙動も、特定の日付にハードディスク上のデータを消去し、BIOSチップを破壊しコンピューターを起動不可能にする「PE_CIH(通称:チェルノブイリ)」など、1990年代に流行していた不正プログラムのいくつかを彷彿とさせるとしている。

 大量被害を引き起こすために使われた集中管理ツールは、企業においては従業員が使う多数のコンピューターに更新プログラムを配信したり、設定を統一したりするためにIT管理者が使うもので、今回はこの集中管理ツールが何らかの形で乗っ取られ、不正プログラムの配布に使われた。こうしたケースはこれまでもセキュリティ業界ではその可能性が議論されており、トレンドマイクロでは持続的標的型攻撃などでこうした事例を確認しているという。

 今回の攻撃では、Windowsだけではなく、Linux、Solaris、HP-UX、AIXといったプラットフォームを標的とし、Windows向けの不正プログラムにそれが機能として搭載されていることも特徴的だと指摘。また、MBRの上書きなどに用いられた「HASTATI.」「PRINCPES」「PR!NCPES」といった文字列は、それぞれ古代ローマ軍制の「ハスタティ」「プリンキペス」という第一軍隊、第二軍隊を意味する単語で、現時点では推測の域を超えないものの、これらに使われている文字列には何らかの意図がある可能性も否定できないとしている。

 トレンドマイクロでは今回の攻撃から学ぶべき教訓として、一斉に大量のPCが麻痺したことによるインパクトは極めて大きく、集中管理ツールのようなものが不正プログラムの配信に悪用されたり、LinuxやUNIXも攻撃対象になるといったことは想定外と考えていた人たちもいるかもしれないと指摘。こうした攻撃は、規模だけを見て例外的な事例として捉えずに、同様の攻撃は技術的にも可能で、起こりうるものであるという前提でセキュリティ対策を行わなければならないとしている。

 また、こうした攻撃の被害に遭わないためにも、OSやアプリケーション、ウイルス対策製品などは最新の状態で使用すること、不審なウェブサイトや不審なメールを開かないといった、従来からの基本対策をしっかりと行った上で、不正プログラムの侵入を前提とした対策を行うことが重要だとしている。


【INTERNET Watch,三柳 英樹】
韓国でサイバー攻撃の可能性――放送局と銀行で大規模なネットワーク障害
韓国政府では北朝鮮によるサイバー攻撃の可能性も視野に
(2013年03月21日)



 3月20日、韓国の銀行や放送局など複数のコンピュータ・ネットワークがサイバー攻撃とみられる攻撃を受けた、と複数のメディアが報じている。

 警察当局に被害を報告した放送局3社と銀行2社は、現地時間の午後2時ごろ、原因不明の障害によりコンピュータ・ネットワークが完全停止したという。韓国のYonhap News Agencyが警察関係者の話として伝えた。

 警察当局では、サイバー攻撃も含めた、あらゆる可能性を考慮して捜査を進めていくとしている。

 Yonhapはまた、KBS(韓国放送公社)の関係者の話として、コンピュータ・ネットワークが利用不能になったことで、あらゆる業務に支障をきたしている、と報じている。

 Yonhapの報道によると、韓国大統領府のCheong Wa Dae氏は、今回の障害に関して、北朝鮮によるサイバー攻撃の可能性も視野に入れているという。また、ネットワーク停止の原因としてマルウェアの可能性も言及している。
PCの中身を全削除し、起動不能にするWindowsマルウェアが出現
石油会社を狙った標的型攻撃の一部か
(2012年08月17日)




▲Symantecは同社の公式ブログで注意を呼びかけている

 Windowsベース・コンピュータが突然起動しなくなったら、それはマルウェアの仕業かもしれない。コンピュータの中身(ドキュメント、画像、動画など)を削除し、起動できなくするマルウェアが登場している。

 このマルウェア(米国McAfeeは「W32/DistTrack」、米国Symantecは「W32.Disttrack」と呼んでいる)は、攻撃に使われた例が見つかったばかり。研究者は、このマルウェアは注目に値すると述べている。このように個人ファイルを削除して被害者を困らせるマルウェアは、かなり昔に横行したからだ。

 Symantecの研究者、リアム・オー・マーチュー(Liam O Murchu)氏は、「10年前には、こうした純粋な悪意による脅威が見られた」と述べている。現時点では、このマルウェアがどのように拡散するかについては、わからない部分があるという(このマルウェアは実行可能ファイルであるため、「電子メールの添付ファイルとして送信され、受信者が開くと、脆弱なコンピュータに感染する」といった拡散の仕方が考えられる)。

 いずれにしても、感染してコンピュータが起動しなくなれば、大問題なのは確かだ。これまでのところ、このマルウェアは、エネルギー企業に対する標的型攻撃の一部である可能性があると見られるという。

 Symantecは、このマルウェアによる攻撃を「Shamoon攻撃」と呼んでおり、オー・マーチュー氏は、コンピュータにこの攻撃が仕掛けられた場合に起こることは、「再現するのが難しい」としている。被害にあった場合に予想される状況は、必要なファイルが消去されたために、コンピュータが起動できないというものだ。

 その場合、リカバリ・サービスの経験があるIT専門家の助けが必要になりそうだ。MBR(マスター・ブート・レコード)を交換したり、ハード・ドライブを別のコンピュータにつないで、そこから損傷した内容にアクセスしたりする必要があるかもしれないと、同氏は付け加える。

 しかし、Shamoon(この名前は、このマルウェアのコンポーネントの1つに残されていた文字列(デバッグ・シンボルの位置を示すフルパス)に含まれるフォルダ名に由来する)攻撃のマルウェアは、広くばらまかれているわけではないようだ。

 「この攻撃は、特定企業に的を絞って行われているかもしれない」とオー・マーチュー氏。現時点でSymantecは、Shamoon攻撃では石油会社が狙われている可能性があると考えている。
マイクロソフトにもサイバー攻撃――アップルやフェイスブックに続き
数台のコンピュータがマルウェア感染、現在のところ顧客情報流出の形跡はなし
(2013年02月25日)



 米国Microsoftは2月22日、社内調査の結果、同社を狙ったサイバー攻撃が行われていたことが判明したと発表した。先日来、AppleやFacebookなどの米国企業を狙ったサイバー攻撃が相次いで明らかになっているが、それらと同種の攻撃手法だという。

 「調査したところ、Mac事業部門で使われている数台のコンピュータがマルウェアに感染していることが確認された。このマルウェアは、他の企業(AppleやFacebook)で確認されたものと同じ(攻撃)テクニックを使ったものだ」(同社『Security Response Center』ブログ、22日付投稿より)

 Microsoftによれば、これまでに顧客データへの影響(不正なアクセスや情報漏洩)の痕跡は見つかっていない。同社では調査を継続すると述べている。

 先日来、FacebookやApple、Twitter、New York Times、Wall Street Journalなどが相次いでサイバー攻撃のターゲットになったことを公表しており、Microsoftも今回、そのリストに加わることになった。

 Facebook、Appleのケースでは、「Java」プラットフォームの脆弱性を突く攻撃が実行されており、Microsoftに対しても同種の攻撃が展開されたと見られる。

 「この種のサイバー攻撃は、Microsoftにとっても他の企業にとっても驚きではなく、我々は攻撃者に対して断固、継続的に立ち向かっていかなければならない」(ブログ投稿より)

 New York Times、Wall Street Jounal、そしてAppleはそれぞれ、攻撃元は中国国内であると指摘している。Twitterは攻撃元について言及していないが、ユーザー25万人のパスワードをリセットしなければならなかった。

 中国政府はこれらのサイバー攻撃への関与を否定している。

(James Niccolai/IDG News Serviceサンフランシスコ支局)
弁護人が冤罪を主張するこれだけの理由―PC遠隔操作事件


楊井 人文 | 日本報道検証機構代表・弁護士
2013年3月24日



湾岸警察署前で記者会見を行う佐藤博史弁護士

弁護側主張を正確に伝えないメディア

いわゆるPC遠隔操作事件で、片山祐輔氏が3つの事件に関わったとしてハイジャック防止法違反、威力業務妨害、偽計業務妨害の罪で東京地検に起訴された。片山氏は逮捕直後から一貫して否認、録画・録音を条件に取調べを拒否している中、勾留理由開示手続きの公判が2度開かれ、事実上の「被疑者質問」により冤罪を主張する展開となった。

起訴を受け、主要各紙は、捜査当局が客観的な証拠を積み上げて有罪の確証を得るに至ったなどと報道。中でも、産経新聞は3月23日付朝刊で、「弁護側主張 不自然さも」という記事を掲載し、弁護人の主張に「多くの不自然さが残る」と指摘している。しかし、弁護人の主張を正確に理解し、検討したうえでの指摘とは到底いえない。

産経の記事は、「不自然」な弁護人の主張を2つ挙げている。1つは、片山氏が遠隔操作ウイルスの作成に使われたプログラム言語「C♯(シー・シャープ)」を使う能力がないという主張。もう1つは、大阪府の男性のPCが遠隔操作され、大阪市のホームページに無差別殺人予告が送られた当日は日曜日で、片山氏が派遣先に出勤していなかったという点だ。
<PC遠隔操作>類似の別ウイルス確認

毎日新聞 3月23日



 パソコン(PC)の遠隔操作事件で、片山祐輔容疑者(30)の勤務先のPCから、一連の事件で使われた遠隔操作ウイルス「iesys.exe」と類似する別のウイルスが見つかっていたことが、捜査関係者への取材で分かった。「iesys」と同様に「C#」というコンピューター言語で作られており、他人のPCを遠隔操作するための機能があった。東京地検は22日、一連の事件で初めて同容疑者を起訴。警視庁などの合同捜査本部は残る事件の捜査を進める。

 捜査関係者によると、類似の遠隔操作ウイルスは押収したPCの解析で確認された。合同捜査本部は、片山被告が試作段階のウイルスを削除し忘れていたとみている。

 また、大阪の男性のPCから殺人予告などが送信された事件では、片山被告が事件の数日前の昨年7月下旬に勤務先のPCなどを使ってウイルスの動作確認をしていた疑いがあることも分かった。

 事件に使われたレンタル掲示板サイトに動作テストのためとみられる暗号化された複数の書き込みがあった。IPアドレスを調べたところ、発信元は勤務先や都内のネットカフェだったことが判明。カフェには当時、片山被告が来店しており、発信元のPCがある個室を利用していたことも確認された。
<PC遠隔操作>ウイルス動作、事前確認の疑い

毎日新聞 3月23日



 大阪府の男性のパソコン(PC)から殺人予告が書き込まれるなどした事件で、片山祐輔被告(30)が事件の数日前、勤務先やネットカフェのPCを使ってウイルスの動作確認をしていた疑いがあることが捜査関係者への取材で分かった。

 捜査関係者によると、昨年7月下旬、事件に使われたレンタル掲示板サイトに、遠隔操作ウイルスの動作テストのためとみられる暗号化された複数の書き込みがあった。警視庁などの合同捜査本部がIPアドレスを調べたところ、書き込みの発信元は片山被告の勤務先や都内のネットカフェと判明。カフェには当時、片山被告が来店しており、発信元のPCがある個室を利用していたことも確認された。
 東京地検「有罪の確証得た」 弁護側主張に不自然さも 片山容疑者起訴(1)(2)(MSN産経ニュース2013/3/22

産経新聞2013年3月23日付朝刊29面
「他の言語が使えれば応用で使えるはず」との匿名コメント

1つ目の「C♯を使う能力がない」という主張は、弁護側が当初から強調してきた点だ。これに対し、産経の記事は、片山氏がIT関連の専門学校に通い、他のプログラム言語を使えることを指摘したうえで、「他の言語が使えれば、応用でC♯も使えるはず」との「ネットセキュリティー会社の関係者」なる匿名のコメントを根拠にして、不自然さを指摘する。

片山氏がIT関連の専門学校に通い、Java、C、C++といったプログラム言語を使う能力があることは事実だ。しかし、C♯については「他人がC♯で作成したプログラムを実行できるかどうかテストしたことはあるが、C♯を用いてプログラムを書くことはできない」と主張。片山氏は勤務先でC♯について研修を受けたことがあるものの、勤務先の社長は、片山氏のC♯の実力は今回の遠隔操作ウイルスのようなプログラムを作成することは困難だと証言しているという。(*1)

もちろん、片山氏はJavaなどのプログラム言語を使うことができる以上、そのスキルを応用して勉強すればC♯を使うこともできるようになるであろう。ただ、「持ち前のスキルを応用する」にしても、今回の遠隔操作ウイルスを作成するだけのレベルに達するには実際にプログラミングしてそれをテストするなど、一定の試行錯誤が必要となる。C♯に習熟するために試行錯誤をしていれば、自宅か派遣先のPCにその痕跡が残るはずで、そのような痕跡を残さずに密かにC♯のプログラム能力を習熟させることはできない、というのが弁護側の主張だ。

「片山氏がC♯を習得しようとしていたことを裏付ける証拠」があるのであれば「C♯を使えない」という主張は不自然だと指摘し得る。しかし、産経の記事はそのような証拠を何も示していない。真犯人がもっている能力を自分はもっていないとの訴えを、単に「他の言語が使える」というだけで「不自然」と一蹴する方が、むしろ不自然ではないのか。 

プログラム使用「能力」の影で看過されている「環境」

そもそも、片山氏が真犯人だというためにはプログラム使用「能力」とともに「環境」も必要だ。弁護側は「C♯を使えない」という主張だけでなく、「派遣先PCにも自宅PCにもC♯を作成するためのソフトがインストールされていなかった」と強調している。つまり、遠隔操作ウイルスを作成するための開発環境がなかったというのだ。

今回の遠隔操作ウイルスは「Visual Studio 2010」で作成されたとされるが、それは派遣先PCにも自宅PCにもインストールされていなかった。しかも、片山氏が使用していた派遣先PCには、犯人も用いたとされる接続匿名化ソフト「Tor」(トーア。以下「トーア」と表記)を使用した痕跡が残っている。真犯人ならVisual Studioだけ消去してトーアの痕跡を残すという不合理な行動をとるはずがない、とも指摘している。

産経だけでなく、どの主要メディアも「ウイルスを作る能力がない」「C♯を使えない」という弁護側主張は取り上げている。しかし、「そもそも開発環境がない」という主張はなぜか全く取り上げていない。この指摘は、3月21日の2回目の勾留理由開示手続き公判での佐藤弁護士の意見陳述および同日付検察官宛て意見書(一部メディアが「不起訴を求める意見書」と報じたもの)でも強調されていたにもかかわらず、である。そこで、「GoHoo」でこの問題を取り上げ、注意報を出した。

■【注意報】遠隔操作ウイルス試作痕跡 「開発環境なし」と指摘(3月23日付)

アリバイ主張ができない事態を皮肉った指摘

2つ目の「大阪市に無差別殺人予告が送られた当日に派遣先に出勤していなかった」という点について、産経の記事は「どこからでも遠隔操作は可能だ」と、弁護側があたかも無意味なアリバイ主張をしているかのように指摘する。

3月21日の勾留理由開示手続き公判で、弁護人の質問に答える形でなされた片山氏の意見陳述。そのときの弁護人の質問に、大阪市のHPへの無差別殺人予告の書込みがあった日に片山氏が派遣先の会社に出勤したかどうかが含まれていた。しかし、この質問は、片山氏がアリバイを主張したくてもできないことを浮き彫りにするために行われたもので、冤罪を証明するためのものではなかった。

そもそも、遠隔操作の犯行が、いつ、どこで、行われたのか、捜査当局も裁判所もこれまで全く明らかにしていない。それどころか、どのような方法で行われたのか、いわゆる遠隔操作により犯行が行われたことを示唆する記載すらない(この点、各紙は、被疑事実に「遠隔操作」という犯行の手法が明記されているかのように報じているが、そのような記載はなく不正確である)。

大阪市HPの事件についていえば、平成24年7月29日午後9時45分頃に大阪にあるパソコンを使用して書込みが行われたと、勾留状の被疑事実には記載されている。しかし、「書込み」が行われた日時が特定されているだけで、犯人が書込みの「指令」を行った日時や場所は特定されていない。このように被疑事実が特定されていないと、防御に著しい不利益があり、勾留は不適法だと弁護側は主張していた。(*2)

勾留理由開示手続きの公判で、被疑事実に記載された「書込み」日時に派遣先に出勤していなかった事実を明らかにしたのは「被疑者の防御に著しい不利益が生じていることを示すためで、それ以上でもそれ以下でもない」(佐藤弁護士)という。(*3) 犯行の日時・場所が特定されずアリバイ主張の道を封じられた不合理さを訴えようとした弁護側の真意を理解しようともせず、「不自然」と決め付ける方が、むしろ不自然ではないのか。

メディアが取り上げない弁護側の主張・反論の数々

主要メディアは、捜査側が片山氏と犯人を結びつける「有力な間接証拠」を伝えることはあっても、弁護側の主張を伝えることはほとんどない(弁護人が指摘した3つの誤報疑惑―PC遠隔操作事件も参照)。たとえば、「派遣先PCがパスワードなどで管理され、片山氏しか使用できない状態だった」といった情報(産経新聞2013年3月13日付)についても、パスワードは同僚に知られ、片山氏しか使用できない状態にはなく、PC画面は誰からも見られる状況にあった、と弁護側は指摘しているが、取り上げられていない。

■【注意報】遠隔操作 「PCを使えるのは片山氏だけ」に反論(3月24日付)

佐藤弁護士らは、片山氏の弁護人に就任以来、連日会見を開き、異例の頻度と量をもって情報発信してきた。弁護側の主張が不合理、不自然であれば、メディアが入手した捜査側の情報を突き付けて、いつでも指摘、反論してほしい、と報道陣に呼びかけていた。しかし、弁護側の主張を正確かつ公平に伝えた上で、捜査側の情報と比較したり、弁護側の主張に裏付けがあるのかどうか吟味して冷静に評価する報道は、(逮捕から1ヶ月以上もたった)今もって確認されていない。

弁護側がこれまで冤罪を主張してきた理由を箇条書きすると以下のとおり(全てではない。順不同)。これらは全てメディアに公開された情報だが、ほとんど報じられていないものばかりである。

?被疑者が使用していたプログラミング言語はJavaであり、C♯により遠隔操作ウイルス「アイシスエグゼ」を作成する能力がなかった
?C♯のプログラミング技術を身につけるには試行錯誤を繰り返す必要があり、PCにその痕跡が残るはずである
?被疑者の自宅及び派遣先PCから遠隔操作ウイルスやそれを作成した形跡が見つかっていない
?被疑者の派遣先PCにも自宅PCにもC♯のプログラムを作成するためのソフト(Visual Studio)がインストールされていなかった
?被疑者の業務は正規のプログラム開発であり、ウイルス関連の業務には従事しておらず、セキュリティ対策ソフトも導入していなかった
?被疑者は平成24年8月当時プログラムが読めない、書けないというスランプに陥り、休職して通院していた
?前回起こした事件と本件を比較すると、本件の手口の方が格段に技術を要する
?派遣先PC画面は日中誰からも見られる状況にあった
?派遣先PCのパスワードは同僚に知られていた
?米国連邦捜査局(FBI)により提供されたとされる情報は、そもそも存在自体が疑わしいし、存在したとしても信用性に乏しい
?携帯電話で保存されていた猫の映像は、被疑者がニュースサイト等を閲覧した際に取り込まれたものである
?雲取山で写真を撮影したときのデジタルカメラはタイ旅行で紛失したが、それを探し出そうとしていた
?真犯人が報道機関に送り付けた犯行声明メールに添付された雲取山の画像は偽造の可能性がある
?真犯人が元旦未明のメールを送信した当時、自宅で母親とテレビで紅白歌合戦などを視聴していた
?元旦未明のメールは接続匿名化ソフト「Tor」(トーア)が使用されていたが、自宅PCではトーアを使用していなかった
?犯行声明メールのパズルに用いられた題材は被疑者が何ら関心がなかった
?本件犯行が可能な人物は他に存在する
?江の島の防犯カメラ上も被疑者が首輪をつけた映像はない
?前回起こした事件については真摯に反省し、警察・検察には恨みをもっていない
?社交的な性格で、周囲の人も本件犯行を起こすとは思えないと話している

(*1) 平成25年2月28日付東京地方検察庁宛て弁護人意見書。

(*2) 平成25年3月8日付東京地方裁判所宛て準抗告。平成25年3月13日付最高裁判所宛て特別抗告。

(*3) 平成25年3月21日付勾留理由開示手続に公判における竹田真弁護士の意見陳述からもその趣旨は明らかである。

(*) 2段落目で「中でも、産経新聞は3月22日付朝刊で、「弁護側主張 不自然さも」という記事を掲載し、…」とあるのは「3月23日付朝刊で」の誤りでしたので訂正しました。記事の写真説明は間違いありません。ニュースサイトの記事は22日に掲載されています。(2013/3/25 18:00追記)
 
 韓国企業へのサイバー攻撃、マルウェアはディスクを消去し起動不能に

Computerworld 3月22日




各セキュリティ・ベンダーにより徐々に攻撃の実態が明らかになっている(画面はMcAfeeブログ)

 韓国で3月20日に発生した複数の銀行、メディアでの大規模なコンピュータ障害について、セキュリティ・ベンダー各社が原因となったマルウェアの分析結果を発表した。Windowsに感染してディスク上のデータを破壊すると同時に、Linux/UNIXマシンへも攻撃を仕掛けるものだったという。

【詳細画像を含む記事】

 McAfeeやSymantec、Trend Microなどは、ともに21日付ブログ投稿において、同マルウェアがどのような動きをするのかを説明している。以下、各社の解説をまとめる。

Windowsマシンのディスク消去、起動不能に

 McAfeeによると、このマルウェアはネットワークを介してほかのマシンに感染を拡大する機能を持っておらず、「攻撃の目的は、ターゲットとしたコンピューターを使用不可能にすることのみに限っている」(McAfee)ように見られるという。

 このマルウェアはWindowsマシンに感染すると、まず2つの韓国製アンチウイルス製品(Ahnlab、Hauri)のプロセスを強制的に停止する。

 次に、感染したWindowsマシンのMBR(マスターブートレコード、マシンの起動コードやディスクのパーティション情報を記録する領域)を、特定の文字列で上書きし破壊する。加えて、ファイルシステムも部分的に上書きし、一部のファイルが復元できないようにする。これはマシンの起動ドライブだけでなく、接続しているすべてのドライブに対し行われる。

 そののちに、マルウェアはリブート・コマンドを実行してマシンを強制的に再起動させるが、すでにMBRやファイルシステムが破壊されているためマシンは起動できない。

 Symantecでは、ディスクを消去するマルウェア自体は目新しいものではなく、例えば昨年8月には中東で多数の組織が同様の攻撃を受けたと指摘している。

外部のLinux/UNIXマシンへも攻撃を試みる

 感染したWindowsマシンへの攻撃は上述のとおりだが、さらにこのマルウェアは外部のLinux/UNIXマシンへのアクセスと攻撃も試みるという(正確に言えば、上述とは別のマルウェアが攻撃を実行する)。

 具体的には、感染マシン上でWindows用のSSHクライアント・ソフトウェア「PuTTY」や、SSH接続などの一元管理ツール「mRemote」の設定ファイルを検索する。それらの設定ファイルが見つかれば、そこから「root」ユーザーの接続情報を抜き出し、SSH経由で外部システムでのコマンド実行(ディレクトリ作成)を試みる。

 リモート・マシンアクセスが可能で、ディレクトリ作成に成功した場合は、LinuxおよびUNIX(HP-UX、SunOS、AIX)を攻撃するbashシェルスクリプトを実行する。このスクリプトは実行されたLinux/UNIXのパーティション情報への上書き消去を試み、それができない場合は複数の重要なディレクトリ(/kernel、/usr、/etc、/home)を削除しようとする。どちらかの攻撃が成功すれば、当該Linux/UNIXマシンも事実上、動作不可能になる。

 McAfeeによれば、過去に発見されたマルウェア・サンプルの中に、今回のマルウェアと同じ基本構造を持つものが見つかったという。ただし、今回のマルウェアのほうがより多機能になっており、「こういったマルウェア・サンプルは今回の攻撃には関連していないものの、攻撃者がMBRを破壊するコードを作成するために使用したものと同じマルウェア・スタブである」と分析している。

攻撃発信源や感染経路はいまだ不明

 なお、今回の攻撃の発信源やマルウェアの感染経路については、現在のところ各社とも継続調査中であり、断定できる情報はないとしている。

 ただし、今回のマルウェアが標的としたアンチウイルス・ソフトの開発元であるAhnlab、Hauriではいずれも、クライアントPCへマルウェアを配布したのは各企業内に設置された「資産管理サーバ」であり、サーバの管理者アカウントが奪取されて悪用されたという見解を示している。

 また、同日に韓国国内の複数のWebサイトで発生していたサイト改竄との関連について、Trend Microでは「これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります」とコメントしている。
(Computerworld.jp)
 
韓国サイバー攻撃、セキュリティー更新を悪用?

読売新聞(ヨミウリオンライン) 3月22日










20日の韓国サイバーテロで使われたウイルスは、ハードディスクの起動時に読み込まれる部分を、関係のない文字列で上書きしてしまう(マカフィーによる)

セキュリテイーのパッチ管理サーバーが感染源か

 20日に韓国で起きた大規模なサーバー攻撃は、セキュリティー対策ソフトの更新プログラム(パッチ)管理サーバーを悪用した可能性が出てきた。

 3月20日に起きた韓国のサイバーテロは、今までに例のない大規模かつ同時発生のサイバー事件となっている。韓国のテレビ局(KBS、MBC、YTN)、銀行(新韓銀行、農協など)など計6社が狙われ、合計で3万2000台のパソコンとサーバーが被害に遭った。社内のパソコンが再起動したり、ブルースクリーンが出て使えなくなる、ATMがストップするなどの被害が出た。この事件は20日の午後2時頃、同時に起こったもので、このような「国家レベルの大規模、かつ同時発生」というサイバー事件は珍しいものだ。

 今回の事件の最大の特徴は、侵入の手口が巧妙であること。セキュリティー対策が厳重なはずのテレビ局や銀行が被害に遭った理由は、セキュリティー対策システムそのものにあったようだ(報道と筆者の推測によるもの。確定ではないことにご注意いただきたい)。

 韓国インターネット振興院(KISA)の21日の発表によれば、各企業が利用していたセキュリティー対策ソフトの、更新プログラム(パッチ)を管理するサーバーに原因があったとのことだ。

 企業のセキュリティー対策ソフトでは、私たちが使っているウイルス対策ソフトと同じように、更新プログラムが毎日動作している。日々増えるウイルスなどに対応するためだ。この更新プログラムを、社内で使っているパソコンに対して一斉に送り込むための管理サーバーが、社内もしくは社外に存在している。

 今回の事件は、この大元のサーバーがやられてしまったようだ。推測になるが、この管理サーバーからパソコンにウイルスが送り込まれ、20日午後2時頃、事件が同時発生したのではないか。この方法なら、大規模かつ同時発生する理由も説明できる。犯人は、とても巧妙かつ、大胆な手段をとったと言えるだろう。

 ただし20日の時点では、韓国のセキュリティー企業が否定したとの報道もあり、原因が確定したわけではないことに注意したい。


パソコン起動不能&データ消去の手口

 今回のサイバーテロの原因となるウイルスについては、解明が進んでいる。各国のセキュリティー企業がウイルスの検体を入手しており、それによると、パソコンの起動に使われる重要な部分が削除されてしまうようだ。

 マカフィーのブログ記事「韓国の銀行、メディアに対するサイバー攻撃事件について」によると、起動時に読み込むハードディスクのMBR(マスターブートレコード)を、関係のない文字列に書き換えてしまうのとのこと(右の画像)。MBRはハードディスクが最初に読み込む部分で、ここが壊れていると、ハードディスクのデータを読み出せなくなる。つまりパソコンが起動しなくなるわけだ。

 マカフィーによれば、今回のサイバーテロに使われたウイルスは以下のような動作をする。

・韓国のセキュリティー対策ソフト、アンラボとハウリを作動不能にしようとする
・ハードディスクの起動部分(MBR)を上書きする
・パソコンを再起動させる
・パソコンが起動不能になる、もしくはハードディスクのデータを消去しようとする

 ただし、最近のウイルスによくあるデータを外部に送信する機能や、潜伏する機能はなかったようだ(マカフィーによる分析)。一言でまとめると、「パソコンを起動不能にする」ことに限ったウイルスだと言えるだろう。

 さらに、シマンテックのブログ記事「韓国でのサイバー攻撃で、リモートの Linux Wiper 見つかる」によれば、Windows 7やWindows XPだけでなく、サーバーなどで使われているLinuxなども被害に遭うとのこと。大規模にサイバーテロを行うために、Windowsだけでなくサーバー用のマシンも狙っていたのかもしれない。
.

犯人を北朝鮮と断定するのは早計

 一部のメディアは「北朝鮮のサイバー攻撃部隊が関与しているのではないか」としているが、まだ証拠は見つかっていない。21日の時点でわかっているのは、

・被害に遭った農協銀行のパッチ更新管理サーバーが、中国のIPアドレスに接続してウイルスを作成していたことを確認(韓国インターネット振興院(KISA)による発表)
・韓国政府が「北朝鮮による攻撃の可能性は排除できない」としていること

 のみである。以前に北朝鮮から韓国へのサイバー攻撃(とされているもの)はあったが、今回は証拠がそろっていないので、まだ断定はできない。

 このサイバー攻撃とほぼ同時に、韓国のウェブサイトの書き換え事件も起きている。「Whois Team」と名乗るグループが、韓国の通信会社のトップページを書き換えて、犯行声明を出した。北朝鮮ではなく、このクラッカーグループによる犯行という可能性もある。国家規模の大きな事件だけに、事件の究明を見守り、日本が狙われた場合のことも考えておきたい。
韓国の大規模なシステム障害、攻撃者の目的は「システムダウン騒ぎ」か

ITmedia エンタープライズ 3月22日



 3月20日に韓国のメディアや金融機関などで大規模なシステム障害が発生した事件について、セキュリティ企業各社が、この原因になったみられるマルウェアの解析作業を進めている。各社の見解によれば、攻撃者は少なくともシステムダウンを狙った可能性が高いという。

 事件に使われたとみられるマルウェアを解析したシマンテックやフォティーンフォティ技術研究所(FFR)によると、このマルウェアは、韓国のセキュリティベンダーのアンラボやハウリの製品の「pasvc.exe」「clisvc.exe」というタスクを強制終了させる。

 また、感染したコンピュータのマスターブートレコード(MBR)とそこのデータに対して、「PRINCPES」もしくは「HASTATI.」という文字列を7万回以上も上書きする。さらにコンピュータを強制的に再起動させるが、MBRの情報が失われているために、起動できなくなってしまう。攻撃を受けたコンピュータに接続されたり、マップされたりしている別のドライブに同様の処理を行う場合もあるという。

 このほかに、別のプログラムなどを呼び込む「ドロッパ」機能を備えるが、このドロッパはLinuxのコンピュータを遠隔で攻撃する機能を備えていた。ネットワーク上にあるLinuxのコンピュータを探し出し、見つけ出したコンピュータのディレクトリの一部「/kernel」「/usr」「/etc」「/home」を、SolarisやAIX、HP-UXのコマンドを使って消去してしまう。

 マカフィーやFFRによれば、現時点でこのマルウェアが標的のコンピュータを起動不能にさせる以外の攻撃は行わず、外部の攻撃者のコマンド&コントロールサーバとの通信も確認されていない。

 こうした特徴からセキュリティ各社は、この攻撃が韓国のシステムに標的を絞り、システムダウンを目的としている可能性が高いとの見解を発表。シマンテックは米韓軍事演習による政治的緊張の高まりを背景に、「不法な攻撃の一環か、民族主義的なハクティビストによる悪用と考えられる」と予想する。なお、現時点で攻撃の発生源や感染ルートなどの詳細は分かっていない。

 20日にはシステム障害と同時に、一部のインターネットサービスプロバイダーや企業のWebサイトも改ざんされる事件も発生。攻撃を受けたWebサイトには、閲覧者の端末をバックドア型のマルウェアに感染させるためのコードが埋め込まれていたが、トレンドマイクロによれば、システム障害事件との関連性は現時点で認められず、「同時期に発生したのは単なる偶然の可能性もある」としている。
韓国企業へのサイバー攻撃、マルウェアはディスクを消去し起動不能に

Computerworld 3月22日





各セキュリティ・ベンダーにより徐々に攻撃の実態が明らかになっている(画面はMcAfeeブログ)

 韓国で3月20日に発生した複数の銀行、メディアでの大規模なコンピュータ障害について、セキュリティ・ベンダー各社が原因となったマルウェアの分析結果を発表した。Windowsに感染してディスク上のデータを破壊すると同時に、Linux/UNIXマシンへも攻撃を仕掛けるものだったという。


 McAfeeやSymantec、Trend Microなどは、ともに21日付ブログ投稿において、同マルウェアがどのような動きをするのかを説明している。以下、各社の解説をまとめる。

Windowsマシンのディスク消去、起動不能に

 McAfeeによると、このマルウェアはネットワークを介してほかのマシンに感染を拡大する機能を持っておらず、「攻撃の目的は、ターゲットとしたコンピューターを使用不可能にすることのみに限っている」(McAfee)ように見られるという。

 このマルウェアはWindowsマシンに感染すると、まず2つの韓国製アンチウイルス製品(Ahnlab、Hauri)のプロセスを強制的に停止する。

 次に、感染したWindowsマシンのMBR(マスターブートレコード、マシンの起動コードやディスクのパーティション情報を記録する領域)を、特定の文字列で上書きし破壊する。加えて、ファイルシステムも部分的に上書きし、一部のファイルが復元できないようにする。これはマシンの起動ドライブだけでなく、接続しているすべてのドライブに対し行われる。

 そののちに、マルウェアはリブート・コマンドを実行してマシンを強制的に再起動させるが、すでにMBRやファイルシステムが破壊されているためマシンは起動できない。

 Symantecでは、ディスクを消去するマルウェア自体は目新しいものではなく、例えば昨年8月には中東で多数の組織が同様の攻撃を受けたと指摘している。

外部のLinux/UNIXマシンへも攻撃を試みる

 感染したWindowsマシンへの攻撃は上述のとおりだが、さらにこのマルウェアは外部のLinux/UNIXマシンへのアクセスと攻撃も試みるという(正確に言えば、上述とは別のマルウェアが攻撃を実行する)。

 具体的には、感染マシン上でWindows用のSSHクライアント・ソフトウェア「PuTTY」や、SSH接続などの一元管理ツール「mRemote」の設定ファイルを検索する。それらの設定ファイルが見つかれば、そこから「root」ユーザーの接続情報を抜き出し、SSH経由で外部システムでのコマンド実行(ディレクトリ作成)を試みる。

 リモート・マシンアクセスが可能で、ディレクトリ作成に成功した場合は、LinuxおよびUNIX(HP-UX、SunOS、AIX)を攻撃するbashシェルスクリプトを実行する。このスクリプトは実行されたLinux/UNIXのパーティション情報への上書き消去を試み、それができない場合は複数の重要なディレクトリ(/kernel、/usr、/etc、/home)を削除しようとする。どちらかの攻撃が成功すれば、当該Linux/UNIXマシンも事実上、動作不可能になる。

 McAfeeによれば、過去に発見されたマルウェア・サンプルの中に、今回のマルウェアと同じ基本構造を持つものが見つかったという。ただし、今回のマルウェアのほうがより多機能になっており、「こういったマルウェア・サンプルは今回の攻撃には関連していないものの、攻撃者がMBRを破壊するコードを作成するために使用したものと同じマルウェア・スタブである」と分析している。

攻撃発信源や感染経路はいまだ不明

 なお、今回の攻撃の発信源やマルウェアの感染経路については、現在のところ各社とも継続調査中であり、断定できる情報はないとしている。

 ただし、今回のマルウェアが標的としたアンチウイルス・ソフトの開発元であるAhnlab、Hauriではいずれも、クライアントPCへマルウェアを配布したのは各企業内に設置された「資産管理サーバ」であり、サーバの管理者アカウントが奪取されて悪用されたという見解を示している。

 また、同日に韓国国内の複数のWebサイトで発生していたサイト改竄との関連について、Trend Microでは「これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります」とコメントしている。
(Computerworld.jp)
韓国サイバー攻撃―HDD 内のデータを全消去したのは「Jokra」類似のマルウェアか?

japan.internet.com 3月22日



韓国の放送局や銀行が20日、大規模なサイバー攻撃を受けた。このサイバー攻撃で使用されたマルウェアは、感染したコンピューターに接続された HDD 内の全データを消去するタイプのもの。セキュリティ企業 Symantec はこのマルウェアが機能的には「Jokra」に類似しているとコメントしている。

Washington Times はこの件を次のように伝えた。

「ハッカーは、韓国の主要な銀行や放送局に対し高度なオンライン攻撃を仕掛けた。銀行の Web サイトはダウンし、ATM は数時間に渡って使用不能となった。≪中略≫ ATM は数時間で復旧し、テレビ放送が中断することもなかったが、今回の攻撃は、コンピューターネットワークの脆弱性と、アタッカーが匿名で何の前触れもなくネットワークを攻撃できる能力を保有しているという事実を強調するものとなった」

eWeek は、今回の攻撃に使用されたマルウェアが「Jokra」に類似していると伝えている。

「3月19日に韓国で大きな被害を与えたマルウェアは、2012年8月、中東の石油コングロマリットで数万のコンピューターのデータを削除するのに使用されたものと機能的に似ていると、IT セキュリティ企業 Symantec がコメントした。同社が『Jokra』と呼ぶこのマルウェアは、感染したコンピューターに接続されたすべての HDD 内データを消去する。≪中略≫ Symantec のマネジャー Liam O Murchu 氏は次のように述べている

『ハードディスクを消去しても、アタッカーには何のメリットもない。もしアタッカーが何らかの情報、例えばクレジットカード情報や知財などを盗みたいのであれば、もっと良い方法が他にある』

だが、今回のケースでは、攻撃の狙いはコンピューターをオフラインにし、混乱を生じさせることだったのではないかと O Murchu 氏は推測している」

同日は、他にも大規模なサイバー攻撃が行われていたことが明らかになっている。だがこちらは実質的な被害はほとんどなかったようだ。BBC News が伝えている。

「BBC Weather の Twitter アカウントが、『Syrian Electronic Army』と呼ばれるグループによってハイジャックされた」

これにより、木曜の午後から、中東地域の気象状況に関する偽の情報が投稿された。偽の投稿には例えば、『サウジアラビアの測候所が、ラクダによる正面衝突で、利用不能』や『天の川から距離を置くとする政府の決定により、レバノンの気象予測は混乱状態』といったものがあったという。

Mac OS Xを狙うアドウェアが増加、ディスプレイ広告を勝手に挿入

ITmedia エンタープライズ 3月22日




アドウェアによる広告(Doctor Webより)

 Mac OS Xを狙うアドウェアが2013年に入ってから増え続け、ユーザーが閲覧したWebページに広告を挿入してしまうトロイの木馬などが横行しているという。ロシアのセキュリティ企業Doctor Webが3月19日に伝えた。

 Doctor Webがこうしたアドウェアの典型として挙げたトロイの木馬「Yontoo.1」は、感染したシステムにWebブラウザ用プラグインをインストールして、ユーザーが見ているWebサイトに広告を挿入してしまう。

 ユーザーを感染させる手段としては、映画の予告編サイトなどを利用。プラグインの導入を促してインストールボタンをクリックさせ、別のWebサイトにリダイレクトして、Yontoo.1をダウンロードさせる。予告編サイトのほかにも、メディア再生ソフトやビデオ品質向上プログラム、ダウンロード高速化プログラムなどを装う手口があるという。

 Yontoo.1を起動すると、「Free Twit Tube」というプログラムのインストール画面が現れる。ここで「Continue」ボタンを押すとトロイの木馬がダウンロードされて、Safari、Chrome、Firefoxの各ブラウザ向けプラグインがインストールされる。

 このプラグインは、ユーザーが閲覧したWebサイトの情報を外部のサーバに送信して、不正なコードを仕込むためのファイルを受け取り、ユーザーが閲覧したWebページに広告を挿入してしまう。

 Doctor Webのサイトには、この手口でディスプレイ広告が仕込まれた米Appleのサイトのスクリーンショットが掲載されている。

 こうした手口はWindowsでも横行しているが、「アフィリエート広告で稼ぐ犯罪集団は、Appleコンピュータへの関心を日増しに高めている」とDoctor Webは警告している。
韓国が受けた大規模サイバー攻撃、Linux PCを消去する機能を確認(シマンテック)

ScanNetSecurity 3月22日


リモートの Linux コンピュータを標的にする bash wiper スクリプト

株式会社シマンテックは3月21日、韓国の銀行と放送局が受けたサイバー攻撃の続報として、Linux PCを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されたとブログで発表した。複数のOSで動作するコンポーネントが確認されることは珍しく、今回のようにLinux PCを消去するコンポーネントがWindowsマルウェアの内部に仕掛けられているのは異例のこととしている。

他の写真を見る

「Trojan.Jokra」のドロッパーに含まれるこのモジュールは、Windows 7とWindows XPのPCで「mRemote」というアプリケーションを探す。mRemoteは、複数のプロトコルに対応したオープンソースのリモート接続マネージャ。ドロッパーは、mRemoteが管理する、接続を保存する設定XMLファイルを解析し、ルート権限でSSHプロトコルを使う接続を探す。そして、その接続で使われているパラメータを抽出、新しいスレッドを生成し、bashスクリプトを投下する。bashスクリプトは、任意のLinuxディストリビューションで動作するように設計されたwiperの一種。SunOS、AIX、HP-UXの各ディストリビューションで特定のコマンドを使って実行される。これにより、/kernel、/usr、/etc、/home の各ディレクトリが消去される。
検出不可? Javaの脆弱性を突く「ファイルなしボット」

TechTargetジャパン 3月21日



 Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。

※関連記事:「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
→http://techtarget.itmedia.co.jp/tt/news/1302/26/news03.html

 仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?

 2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。

 数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。

●ファイルなしボットの仕組み

 ファイルなしボットは、以下の5つのステップで情報を盗み出す。

○第1段階

 ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ(マスターサーバ)へリダイレクトされる。

○第2段階

 マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス(javaw.exe)に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する(これについては後述する)。

○第3段階

 ファイルなしボットが、ユーザーのコンピュータとマスターサーバ間の通信を確立する。マスターサーバに送信される情報には、感染マシンの技術的詳細が含まれる。この点においてファイルなしボットは、他の一般的なボットと変わらない。だがファイルなしボットは、ファイルを持たず完全にメモリ内で実行される。

○第4段階

 ファイルなしボットは、不正侵入防止のためのセキュリティコンポーネント「ユーザーアカウント制御」(UAC)を無効化する。次いで、さらに堅牢な種類のマルウェアをインストールするために必要な許可を取得する。ロシアで発生した事例の場合、ダウンロードされたマルウェアはトロイの木馬「Lurk」だった。Lurkは、主にオンラインバンキングサービスにアクセスする目的で重要情報を盗み出す。

○第5段階

 Lurkが獲物を手に入れる。

●Javaの脆弱性

 前述の通り、ファイルなしボットは、既知のJavaの脆弱性(CVE-2011-3544)を悪用する。ロシアでは、犯罪集団がこの脆弱性を突いてWindowsマシンを攻撃した。だがMac OSもJavaをサポートしていることから、米Appleのコンピュータにも同じ脆弱性が潜んでいる。幸いなことに、米Oracleは2011年10月にパッチを公開しており、この脆弱性の影響を受けるのは更新が適用されていないコンピュータに限られる。

※関連記事:Mac安全神話を崩した「クロスプラットフォーム型マルウェア」
→http://techtarget.itmedia.co.jp/tt/news/1211/20/news03.html

 コンピュータにパッチが適用されていなければ、信頼されているJavaプロセスにボットを仕込むのは容易だ。しかも多くの場合、ウイルス対策ソフトウェアはボットの存在に気付かない。実際のところ、ボットは実質的に目に見えない。

 サイバー犯罪集団は、この攻撃を仕掛けるために、AdFoxの顧客のアカウントを利用して、ロシアのWebサイトに表示されるバナーコードを書き換えた。具体的には、iframeタグをコードに追加した。iframeタグは、1つの文書内に別のHTMLファイルを読み込ませるインラインフレームを実現する。このインラインフレームの中に暗号化されたリンクを組み込み、EUドメインにあるマスターサーバにリダイレクトする。同サーバは、HDDに物理ファイルを作成せず、コンピュータのメモリにDLLを挿入する。

●ファイルを持たないマルウェアが引き起こすトラブル

 ロシアの集団攻撃は比較的まれなケースだが、同様の攻撃は過去にも発生している。特筆すべきは、ワームの「Code Red」「SQL Slammer」だろう。両ワームが利用した既知のバッファオーバーフローの脆弱性でも、今回ロシアで起きたようなファイルなし攻撃を仕掛けることが可能だ。

 この種の攻撃がこれまでに何度も起きたことを考えると、今後起きないと言い切れる理由はない。ロシアだけで発生するとも、Windowsマシンだけが標的になるとも限らず、Lurkばかりが使われるとも限らない。他の国やOSも同様に脆弱であり、他のマルウェアも同じくらい容易に増殖する。

 幸い、ファイルなしボットはメモリだけに存在するため、システムを再起動すれば問題は解決される(手遅れになっていなければだが)。ユーザーが同じ感染サイトや別の感染サイトを閲覧しない限り、以後問題が生じることはない。だがもちろん、コンピュータにあるJavaは確実に最新の状態に保ち、最新のセキュリティパッチを適用しておく必要はある。そうすれば、少なくともロシアを襲ったようなボットから身を守ることはできる。

 だがどんな種類のマルウェアであっても、状況は変化し続けている。最先端のファイルなし攻撃からユーザーを守ることができたとしても、誰もが安全だという保証はない。ロシアで起きた事態は、ロシアのみにとどまらないかもしれない。
韓国サイバー攻撃に使われたマルウェア、MBRを上書きし起動不能に

@IT 3月21日



 韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、韓国インターネット振興院(KISA)は3月21日、専用の駆除ツールを開発し、配布を開始した。またセキュリティ企業も、原因となったマルウェアについての情報を公開し始めている。

 この事件は2013年3月20日14時過ぎに発生した。KBSやMBC、YTNといった放送局と新韓銀行などの金融機関でコンピュータネットワークがダウンし、ATMが使えなくなるなど、業務に支障が生じた。韓国政府の放送通信委員会ではこれを受け、官民軍合同の対策チームを立ち上げ、対策と攻撃元の調査に当たっている。

 KISAによると、被害に遭った機関から収集したマルウェアは、2013年3月20日14時に動作するようスケジュールされていた。この結果、複数のPC/サーバのシステムブート領域(Master Boot Record:MBR)が破壊され、システムのダウンにつながったと見られる。

 アンラボのレポートによれば、このマルウェアは、バックドア経由でほかのマルウェアをダウンロードさせる「ドロッパ」と複数のファイル破壊型マルウェアで構成されており、Windowsシステムだけでなく、SolarisやAIX、HP-UX、およびLinuxのシステムをターゲットにした破壊コードも含まれていた。またシマンテックによれば、マルウェアは韓国のウイルス対策/セキュリティ製品が利用する「pasvc.exe」「clisvc.exe」というプロセスも停止させるという。

 ドロッパがダウンロードしたマルウェアの中には、Windows XPやWindows 2003 Server、Windows VistaといったWindows系のOSをターゲットに、MBRやVBRなどのブート領域と論理ドライブを「PRINCPES」「HASTATI」といった無意味な文字列で上書きしてしまうマルウェアと、リモートのUNIX系OSをターゲットにddコマンドでディスクの内容を「0」で上書きしたり、Linuxの/kernelや/usr、/etc、/home以下の領域を削除してしまうマルウェアが含まれていた。

 KISAによるとマルウェアは、パッチ配布のための「更新管理サーバ」(Patch Management System)を介して流通したという。また、被害に遭った農協のシステムを分析した結果、更新管理サーバに接続し、悪意あるファイルを作成したアクセス元は、中国のIPアドレス(101.106.25.105)だったことも確認したという。
「作ってない」遠隔操作容疑者の男改めて無実主張

テレビ朝日系(ANN) 3月21日



 遠隔操作ウイルス事件で、再逮捕された男が「ウイルスを作っていない」と改めて無実を主張です。

 片山祐輔容疑者(30)は去年、大阪府の男性のパソコンを遠隔操作し、大阪市のホームページに殺人予告を書き込んだほか、日本航空に旅客機の爆破を予告するメールを送り、運航を妨害した疑いで3日に再逮捕されました。21日に片山容疑者の勾留理由を開示する手続きが行われ、東京地裁は「証拠隠滅と逃亡を疑うに足りる理由がある」と説明しました。一方、片山容疑者は、「ウイルスを作ったり使ったりしていない」と改めて無実を主張しました。また、「早く自由になりたい」と話し、弁護側も釈放するよう求めました。
韓国の“サイバーテロ”に使用されたマルウェア、セキュリティ各社が分析

Impress Watch 3月21日

 韓国の銀行やテレビ局などのPCが一斉にシャットダウンし、起動不能となった問題に関し、セキュリティ企業各社がこの攻撃に使われたとみられるマルウェアについて報告している。

 McAfeeによると、このマルウェアが実行されると、PCのマスターブートレコード(MBR)を、「PRINCPES」「PR!NCPES」「HASTATI.」といった文字列で上書きする。さらに、ファイルシステムの一部も同様の文字列で上書きし、いくつかのファイルを再現不可能にする。その後、システムを強制的にリブートするが、MBRが書き換えられているためにOSが起動しなくなる。

 MBRを上書きする前には、韓国の2社(AhnLabとHauri)のウイルス対策製品を作動不能にしようと試みる。このマルウェア自体は外部と通信する機能は持たず、システム内にファイルを置いたり、レジストリキーを変更したりといった動作もしていないため、標的としたPCを使用不能にすることのみを目的としているように見受けられると分析している。

 このマルウェアをPCにダウンロードして起動させるドロッパーも見つかっているが、この攻撃のためのオリジナルのようだとしている。ドロッパーは、「AgentBase.exe」という名前でMBRを不能にするモジュールを%TEMP%フォルダーにダウンロードし、実行させる。

 さらに、ドロッパーは外部のサーバーに対しても攻撃を行おうとする。PC内のファイルシステムからSSHクライアントの設定ファイルをスキャンし、設定ファイルを見つけるとそのシステムにアクセス可能かどうかを調べ、Linux、HP-UX、SunOSのパーティションにダメージを与えようとするBASHスクリプトをダウンロードする。

 McAfeeでは、マルウェアサンプルのデータベースで関連ファイルを探してみたところ、以前のサンプルと同じ構造を持つものを2つ見つけたが、MBRを破壊する機能は持っていなかったという。これらのサンプルは2012年10月に見つかっており、今回の攻撃には関連していないものの、攻撃者がMBRを破壊するコードを作成するために使用したものと同じマルウェアスタブであると分析している。

 韓国のAhnLabでは障害の中間分析として、このマルウェアの流通には企業内部の資産管理サーバー(AhnLab製品ではAPCサーバーと呼んでいるサーバー)が利用されたと説明。攻撃者が持続的標的型攻撃(APT:Advanced Persistent Threat)により、サーバーのアカウントを奪取したものとみられるとしている。

 KasperskyやSymantecでは、韓国のISPや通信会社のサイトに対して、「Whois Team」と称するグループによるウェブページの改ざんが行われたことを紹介している。また、Symantecでは、MBRを破壊する攻撃としては、2012年8月にも「Disttrack」あるいは「Shamoon」と呼ばれるマルウェアにより中東地域で多くの組織が同様の被害に遭ったことを指摘。今回の攻撃の本当の動機は不明だが、最近になって朝鮮半島の政治的緊張が高まってきていることから、今回の攻撃は秘密裏に行われた攻撃か、国家主義的ハクティビストによる活動の一環ではないかとしている。

ネットバンキングで相次ぐ被害 「第2暗証」は全て入れない

産経新聞 3月21日



 インターネットバンキングの預貯金が不正に盗まれるケースが相次いでいる。最近、目立っているのは、ログイン後に偽画面を出すウイルス。偽画面と気づかずに第2暗証(乱数表)などを入力すると、大事な預貯金が他人口座に送金される危険性が高くなる。自己防衛で守りたい。(清水麻子)

 ◆迷ったら相談を

 警察庁によると、近年、インターネットバンキングを狙った犯行が目立ち、昨年6月から12月までの間に、三井住友▽みずほ▽三菱東京UFJ▽ゆうちょ▽楽天−の5金融機関の計64口座が被害に遭った。他人口座に不正送金された被害総額は約4860万円。今年に入ってからの被害総額も約3千万円に及ぶ。

 電子メールを送り付け、IDやパスワードなどの認証情報を入力させて個人情報を盗むフィッシング詐欺もある。しかし、昨年10月以降は、ログイン後に本物そっくりの偽画面を表示されるウイルスが目立つ。

 ウイルス対策ソフト会社「カスペルスキー」(東京都千代田区)によると、この手のウイルスは「バンキング・トロジャン」と呼ばれ、約4年前に欧米で大流行。昨秋、日本に上陸し、現在は日本国内に亜種が数多く出回る。

 「独立行政法人情報処理推進機構(IPA)」(文京区)は「ログイン後の表示のため、利用者が信用し、情報を入力することで被害が広がったと推測される」。

 しかし、「金融機関が第2暗証全ての入力を求めることはない」(三菱東京UFJ銀行)という。このため、各銀行は「第2暗証を偽画面に入れないで」とホームページなどで注意を促している。

 画面が複数回にわたって表示されるケースもあり、次々に入力していくと結果的に全ての暗証番号を入力してしまうことにもなり、注意が必要だ。偽画面かどうか迷ったら、利用前に各銀行のコールセンターなどに電話をして相談した方がいい。

 ◆個人情報保存は×

 必要なのがウイルス対策ソフトの導入だ。銀行関係者によると、ウイルス対策ソフトを入れていない人が被害に遭った事例が報告されている。カスペルスキーの前田典彦さんは「パソコンの状態とウイルスソフトは常に更新し、期限切れもチェックしてほしい」。ウイルス対策ソフトは、カスペルスキーのほか、トレンドマイクロ▽シマンテック▽マカフィー−などの会社が開発・販売している。

 前田さんは「パソコンがインターネットにつながっている以上、メモ帳で作ったデータでも読み取られる可能性がある。個人情報をパソコンの中に保存しないなど注意したうえでネットバンキングを利用してほしい」とアドバイスしている。
韓国のサイバー攻撃はもしかしたら防ぐことができたかもしれないという話


山本 一郎 | 個人投資家

2013年3月21日





やまもといちろうです。今度は膝だけではなく腰が痛くなってきました。保証期間内であれば無償修理をお願いしたいレベルです。

ところで、韓国の銀行やテレビ局で大規模なITシステムの障害事故が起こり、サイバー攻撃ではないかということで騒がれております。

韓国TV局・銀行にサイバー攻撃か 北朝鮮関与の見方も(朝日新聞 2013/3/20)

韓国 テレビ局や銀行にサイバー攻撃か(NHKニュース 2013/3/20)

韓国の放送局・銀行にハッカー攻撃、軍は警戒レベル高める(ロイター 2013/3/20)

韓国で大規模サイバー攻撃か、放送局や銀行のシステムがダウン(ITpro 2013/3/20)

新聞、テレビ、通信社、IT情報サイトと、ほとんど全ての報道メディアが取り上げるほどの大ニュースでした。

第一報の多くでは、北朝鮮からのサイバー攻撃の可能性が示唆されながらも、韓国の「警察と政府当局者は北朝鮮の関与について憶測を控えた」とあります。

当初、国内のネット界隈では、Windowsの不正アクティベーションが原因のトラブルではないかという憶測もありましたが、さすがにその可能性は低いのではないでしょうか。事態の原因追及という点においては、非常に微妙な内容が数多くあるようです。

韓国での「サイバー攻撃」の簡単なまとめ(Fat Old Sun 2013/3/20)

実は今回の事件が起きる前の3月15日に、北朝鮮が他国からサイバー攻撃を受けており、その報復措置を示唆しているという報道がありました。

北朝鮮にサイバー攻撃? 朝鮮中央通信「執拗なウイルス攻撃」(MSN産経ニュース 2013/3/15)
シマンテック、同一集団の不正アプリ10種を確認 - "服透けて見える"など

マイナビニュース 3月20日

シマンテックは、Android.Uractoとして検出するAndroidマルウェアアプリについて調査を進めたところ、同じ詐欺グループが複数のアプリを用意していることが判明したと同社公式ブログ上で公表した。このうちのひとつには「Androidデバイス搭載のカメラで衣服が透けて見えるアプリ」を謳い文句にした不正アプリ「Infared X-RAY」も含まれている。

シマンテック公式ブログでは、詐欺グループが管理しているとみられるいくつかの専用ドメインに、計10種のアプリがホストされていることを確認したと報告している。ドメインのホストに使われているサーバーはシンガポールと、米国ジョージア州に置かれ、記事を執筆した19日時点でもまだ有効になっているという。

計10種類のアプリは、母親向けの子育て支援アプリ、ビデオゲームのエミュレータ、占いアプリ、アダルト系の動画ビューア、デバイスのカメラで服が透けて見えるを謳うアプリなどが該当。見かけはバラバラだが、同社では、基本的には以下の3つの亜種に分類可能としている。

・デバイスの連絡先に登録されているデータを盗み出す
・連絡先情報を盗み出すことに加えて悪質なアプリのダウンロードリンクを含むSMSメッセージをすべての連絡先に送信する
・連絡先情報を盗み出しつつ被害者を欺き偽のサービス利用料金を支払わせようとする

Androidデバイスユーザーが上記のサイトに誘導される経路については、執筆時点で明確になっていないが、同社ではスパムが使われたものだと推測している。

同ブログでは、もうひとつの注目点として、現在盛んに活動を続けているAndroid MaistealerやAndroid.Enesolutyと同一のコードを共有していることを挙げており、これらのプロトタイプとして作成されたと同社では考えているという。
「カメラで服が透ける」 - シマンテック、マルウェアアプリに注意喚起

マイナビニュース 3月20日



「デバイス搭載のカメラで服が透けて見える」――。シマンテックは19日、そんな言葉でSMSにスパムメッセージを送るマルウェアアプリ「Infrared X-Ray」への注意を喚起した。

Android向けのマルウェアアプリ「Infrared X-Ray」に感染すると、デバイス内の電話番号宛に「このアプリは服が透けて見える」という紹介で、アプリへのダウンロードURLを含んだメッセージを自動的に通知。リンク先には、"なんと洋服が透けて見えちゃう夢の様なアプリ"などのうたい文句とともに、アプリダウンロード用ボタンが表示される。だが、ダウンロードしたアプリを実行すると、デバイス内の連絡先情報が所定のサーバに自動的に送信される仕組みだ。

同アプリには、数種類の亜種も存在する。その中の1つはアダルトサイトをホストするWebサイトの登録情報をダウンロードして表示し、「サービス利用料金」が29,000円の料金請求を表示する。

そして、支払い方法が書かれたSMSには、「利用料金」を支払わなければ連絡先リストの友人や知人に連絡するという脅しも書かれているという。アプリをアンインストールするとメッセージの表示や、連絡先リストへのSMSの送信が停止する。

同社では、「友人から勧められたアプリなら、ひとまず試してみるくらいの気にはなるもの。だが、知人からの送信でも、疑わしいメールやSMSなどに記載されているリンクをクリックすることは避けてほしい」としている。
サイバー攻撃で狙われるのは個人のスマホだ

週プレNEWS 3月19日




スマホのアプリに“時限爆弾方式”のウイルスを埋め込んで大量にばらまき、警察や救急などのインフラを無力化する方法もあるという


中国によるアメリカへの「サイバー攻撃」問題により、これまで以上に世界中の企業でセキュリティ対策が重要視されている。しかし、サイバー攻撃で狙われる可能性があるのは、大きな組織だけではない。高い技術力を持つ日本の中小企業も警戒する必要があるのだ。

セキュリティ対策を専門に行なう、ラック社の広報担当、飯村正彦氏はこう語る。

「以前、東京都内の町工場から、熟練職人が作った設計図面のデータがすべて盗まれたという事案を耳にしました。設計データを盗めば、技術も、品質も、それがもたらす経済効果も、すべて盗んだのと同じことを意味します。世界的に開放されたマーケットの中で、日本企業が莫大な投資と技術の蓄積によって生み出した製品とまったく同じ機能を持った製品を、技術情報を盗んだ海外の企業が廉価で売りまくる。その一方で本来、世界にはばたくはずだった日本の企業は次々と潰されていく……ということにもなりかねません」

このケースが中国発と特定されたわけではないが、あらゆるコピー製品を生み出している中国の現状を考えると、同じような事例は山ほどあると見て間違いない。

さらに、技術や情報のみならず「人材」までも、サイバー攻撃を利用して流出させられているという。飯村氏が続ける。

「企業の人事情報をウイルスなどで盗み取り、そこから高い技術力を持つ職人、定年退職や早期退職間近のエンジニアなどをピックアップして、自国企業に引き抜く。中国や韓国のメーカーに日本の優秀な技術者が流出するケースが増えていますが、その背景にサイバー攻撃があった可能性も十分に考えられます」

われわれ一般市民だってサイバー攻撃とは無関係ではない。そのツールとなるのが、昨年爆発的な勢いで利用者が増えたスマートフォンだ。

例えば、1000円で売られている人気のゲームアプリをダウンロードし、「ある一定の日時に、自動的に110番通報させる」時限爆弾のようなウイルスを仕込む。それを閲覧者が多いネット掲示板などに「無料で差し上げます」とアップしたら……。

陸上自衛隊システム防護隊の初代隊長で、現在はラック社のサイバーセキュリティ研究所で所長を務める伊東寛氏はこう警告する。

「1万人のスマホユーザーがそのアプリをダウンロードし、同時にウイルスが作動したら、警察の指令室はパニックに陥ります。どれが本当の110番通報かわからず、パトカーを出動させることもできない。交換機もコンピューターで管理されているので、いずれシステムダウンを起こす。そのとき、街はいったいどうなっているでしょうか?」

その日時をあらかじめ知っている者にとっては、やりたい放題の無法地帯になるということだ。

国家や公的機関だけでなく、民間企業、果ては個人まで否応なく巻き込まれる「世界サイバー戦争」。その火ぶたは、すでに切られている。

(取材・文/本誌軍事班[協力/世良光弘]、興山英雄)
PCだけを守る時代は終わった。新たなセキュリティの形「ノートン 360 マルチデバイス」

1 ノートン 360 マルチデバイスとウイルスや脅威の歴史


c-bou  [2013/03/18]

PC、スマホ、タブレットをまとめて保護!ノートンなら、¥3,000キャッシュバック
PC、スマホ、タブレットが狙われている!?進化するネット犯罪をノートンで徹底ブロック



ノートン 360 マルチデバイス

近年、プライベート、ビジネスのいずれにおいてもスマートフォンなどに代表される携帯端末の普及が急速に進んでいる。それまでの携帯電話と異なり、まさに携帯する PC ともいえる機能を有している。多くの個人情報、ビジネスデータなどを保存する。それが悪意を持った攻撃者にとって格好の攻撃対象となっている。一方、PC でも、標的型攻撃といった個人を執拗に狙う攻撃、オンライン取引を狙う攻撃など、脅威のレベルが大きく高まっている。

では、それらの脅威にどう対応していくのか?従来のセキュリティモデルでは、守りきれない。そこで、登場したのが、複数デバイスを守るという「マルチデバイスの保護」である。セキュリティベンダーとして、実績の高いシマンテックの「ノートン 360 マルチデバイス」を紹介しよう。




増大する脅威がより身近に

2012年、マスコミなどで大きく取り上げられた事件があった。遠隔操作ウイルスiesys である。掲示板の紹介から、インストールしたソフトを経由して、PC が遠隔操作されたのである。さらに脅迫メールや書き込みを行ったとして、PC のユーザーが誤認逮捕されたのである。被害者のはずが、いつの間にか加害者とされてしまったのである。オンライン取引を狙った被害も多発し、ネットの脅威が非常に身近になったといえる。そして、iesys の例のように、巧みに掲示板やSNSを悪用することも多い。iesysでは、質問に答えるという手口が使われた。

質問をした側には、感謝の気持ちが優先し、疑いなどはなかっただろう(こういった手口をソーシャルエンジニアリングという )。このように、脅威はもはや注意力だけでは防ぐことができなくなっている。オンラインバンキングを狙うトロイの木馬も、数多く報告されている。これまでは、日本国内ではその被害を免れてきた。その理由は、言葉の問題と推察されている。スパムも英語であれば注意力が働きやすいといったこともあった。それが、最近、一変しつつある。オンラインバンキング利用者を狙うトロイの木馬に Zeus(Trojan.Zbot)がある。これまでは、日本ではあまり検出されることがなかった。しかし、図2のように日本だけを狙い始めた。




この攻撃では、日本 5 大銀行のみを標的としていた。これらの銀行にアクセスしようとするWebブラウザを監視し、次のような日本語のメッセージを表示する。「もっと良いサービスを提供するため、当行の個人ネット銀行機能のアップデートをさせて頂いていますので、この間ネット銀行機能を使ったら、新規登録する時ご入力した情報をもう一度入力をいただき、アップデートを完了させて頂くようお願い申し上げます」

こうしてパスワードなどが詐取されるのである。この文面からは、攻撃者に日本語ネィティブ近い人間が含まれると思われる。もはや、日本は安全とはいえなくなっているのだ。Zeusの感染には、Blackholeというツールキットが使われる。Blackholeが仕込まれたWebサイトを閲覧するだけで、Zeusなどのウイルスが強制的にダウンロード(ドライブバイダウンロード攻撃と呼ぶ)される。こうした脅威が急激に増加している。さらに、未知の脅威、脆弱性の悪用、Android を狙った攻撃、従来の対策だけでなく多角的な防御が求められているのだ。ノートンの歴史と評判まず、これまでのウイルスや脅威の歴史を振り返ってみたい。



シマンテック・コーポレーション(Symantec Corporation)設立



1986

コンピューターウイルスの発生

世界初のウイルス [Brain:ブレイン(1986年)]、[Morris:モーリス ワーム(1998年)] が生まれる



1991

破壊的なコンピュータウイルスの発生

[Michaelangelo:ミケランジェロ] がハードディスクの起動する部分、MBRに感染、データを上書きする



1993

脆弱性がオープンな話題となる

「BugTraq(バグトラック掲示板)」にて、管理者、セキュリティ専門家、攻撃者が脆弱性と悪用コードの情報を交換



1995

マクロウイルスの発生

MS Officeに向けたコンセプトウイルスとして発生



1995

アドウェアの発生

アドウェア [Aureate:オーリエート/Radiate:ラジエート(1995年)]、[Conducent TimeSink: コンデュセントタイムシンク(1999年)] の発生



1995

フィッシング

米国の大手インターネットプロバイダーのユーザーからログイン情報を集める。



1996

トラッキングクッキーの登場

オンラインの広告会社、トラッキングクッキーを初めて使用



1997

ボット&ボットネットの発生

ボット&ボットネット[Trinoo:トリノー(1997年)]、[Tribal Flood:トライバルフラッド(1998年)] の発生



1999

大量メール送信型ワームの発生

大量メール送信型ワーム [Melissa: メリッサ (1999年)]、[Love Letter: ラブレター(2000年)] の発生



2000

DDoS攻撃の発生

ボットを使った攻撃が本格化。アメリカの大手Webサイトが何時間も使用不能に



2001

スパイウェアの発生

スパイウェア [Comet Curser:コメットカーソル] の発生



2001

ネットワークワームの発生

ネットワークワーム[Code Red:コードレッド/Nimda:ニムダ(2001年)]、[Blaster:ブラスター/Welchia:ウェルチア(2003年)]、[MyDoom: マイドゥーム(2004年)] などの発生



2002

スパムの激増

おそらくボットネットの利用したスパム送信の増加が原因でスパムが激増



2002

ボットの激増

[RD Bot:RDボット(2002年)]、[Spybot:スパイボット(2003年)]、[Gaobot:ガオボット(2004年)] などのボットが激増



2003

スパイウェア&アドウェアの激増

ブラウザ脆弱性を悪用した「ドライブバイダウンロード/インストール」の激増



2004

フィッシングの激増

犯罪組織によるオンライン詐欺が増える



2005

報酬を伴う脆弱性研究がスタート

攻撃側、防御側ともに脆弱性情報を買うようになる



2005

ルートキットの増加

日本の大手レコード会社の著作権保護技術や、[Elitebar:エリートバー] など、ルートキットを使うマルウェアの増加



2005

ゼロディ悪用コード&脅威の発生

未知の脆弱性をアクティブに悪用してアドウェア、スパイウェアボット、クライムウェアをインストールする、WMFが発生(2005年)。MS Office悪用コード&トロイの木馬の発生(2006年)



2006

オンラインゲームのアカウント盗用を狙う攻撃が増加

オンラインゲーム内の仮想通貨やアイテムと実貨幣とを交換取引する市場 「RMT (リアルマネートレード)」の成長を背景に、オンラインゲームのアカウント奪取を目的としたウイルスが多発



2006

ゼロデイ脆弱性が多数発見

2006年9月に4件ものゼロデイ脆弱性が検出、最高の検出数となる



2007

プロ用の攻撃キットが流通

ユーザーのPCにウイルスを侵入させる攻撃ツール 「MPack」が流通。スキルがなくてもネットの詐欺を仕掛けることができるようになり、「オンライン詐欺の闇市場化」が進む



2008

金銭的な利益を目的にした攻撃が増加

クレジットカード情報やオンライン銀行口座のID、パスワードなどが盗まれる事件が多発。盗まれた情報を売買する「闇市場 (アンダーグラウンドエコノミー)」 に関与する組織的な犯罪が増加



2009

Web攻撃の増加

ブラウザやPDFファイルを開くアプリケーションなど、普及率の高いものの脆弱性を悪用したウェブ攻撃が多発



2009

企業を狙う標的特定型攻撃が発生

[Hydraq Trojan:ハイドラック トロイの木馬 (別名 Aurora)] の攻撃により多数の大手企業が脅威にさらされる



2010

モバイルの脅威の増大

スマートフォンなどのモバイルデバイスの普及が進み、攻撃の標的になる



2011

標的型攻撃の発生件数が大幅に増加

大規模な企業や重要性の高い原子力燃料核施設などを標的とした大々的な攻撃が発生([Hydraq:ハイドラック]、[Stuxnet:スタックスネット(2010年)]、[Duqu:ドゥク(2011年)])。人を欺して何かを行わせるソーシャルエンジニアリング技法を使用した機密情報への不正なアクセスが発生



2011

ポリモーフィック型マルウェア攻撃の急増

特にウェブ攻撃キットでの攻撃や、電子メールを媒介とするマルウェアを使用したソーシャルエンジニアリング攻撃でこのタイプのマルウェアが頻繁に使用される



2012

Android端末を標的にしたモバイルマルウェアの急増

スマートフォンを狙う「ワンクリック詐欺」アプリが多発。スマートフォンを狙うことで端末から電話番号などの個人情報を抜き出すなど、さらに悪質化



2012

遠隔操作ウイルスの発生

「なりすましウイルス」「遠隔操作ウイルス」などの、PCユーザーに気付かれず遠隔操作が可能なウイルスが増加



2012

ネットバンキング利用者を狙うウイルスの増加

日本でネットバンキングの利用者を狙い、不正な入力画面を表示して情報を入力させるウイルスが多発


冒頭でふれた「遠隔操作ウイルス」など記憶に新しいものから、黎明期のウイルスまで実にさまざまである。これらとの対決がノートンの歴史といってもよいだろう。最初のノートン製品はノートン アンチウイルスというウイルス対策ソフトで、1990年に発売された。当時のPCのOSは、MS-DOSであった。この頃のウイルスといえば、愉快犯的なものが多く、脅威というレベルではなかった。実際に、世界初ウイルスのブレインでは、作成者の住所や電話番号まで書かかれているという、ゆるいウイルスであった。2000年に、ノートン インターネットセキュリティ(以下、NISと略記)が登場する。

これはノートン アンチウイルスに、スパム対策やファイアウォールといった機能を盛り込んだものである。総合セキュリティ対策ソフトと呼ばれるものだ。この頃から、ウイルスの脅威が具体的になりつつある。また、その数年前から急激にインターネットや電子メールの普及が進む。これらを悪用して 、ウイルスの感染が拡大することがしばしばあった。この頃のウイルスで注目したいのが、図 3 のラブレターというワームの一種である。




手口は「恋文」と二重拡張子である。特に前者が効果的であった。知り合いからのラブレターというだけで警戒心が緩み、メールを読み、添付ファイルを開いてしまったのである。結果、爆発的に感染が拡大した。現在でも、同じような手口が使われ、感染の原因になっている。また、ウイルスの目的も金銭詐取が明確になってきた。一般ユーザーにも、この頃からセキュリティ対策の重要性が高まってきたといえる。

その後、ウイルスだけでなく、スパイウェア、アドウェア、フィッシング詐欺など、脅威も多様化していく。セキュリティ対策ソフトも、それに合わせ変化していった。 2007 年には、基本機能となるノートン アンチウイルスの性能強化が行われた。セキュリティ対策ソフトにも、快適さが求められるようになったといえる。その後、今も搭載する機能が追加されていく。その中で注目したいのが、ノートン ID セーフである。





オンライン取引に限らず、ID やパスワードを入力する機会は多い。ここで、セキュリティ対策の 1 つが、同じパスワードを使い回さないである。さらに、個々のパスワードが辞書にあるような文字列ではないものが好ましいとされる。1つ2つで、しかも毎日使うのであれば、記憶することも難しくない。月に1回程度のパスワードであると、たいていの人が記憶することは難しい。では、メモに記しておくか?厳重な管理がされていればよいが、セキュリティ上、問題あることがほとんどだ。ノートン ID セーフは、IDとパスワードを一括して管理する仕組みである。保存されたパスワードは、入力するような場面で自動的に入力される。2012 以降では、クラウド上の保存し、共有することも可能である。

さらに、パスワードだけでなく、クレジットカードの番号なども保存できる。実際の入力では暗号化され、攻撃者に傍受される心配もない。




非常に便利な機能で、この機能を使いたくてノートンを選んだというユーザーも少なくない。また、同じような機能でも、他のセキュリティ対策ソフトと比較して、より進化しているものもある。たとえば、ノートン ファミリーである。





一般的には、ペアレンタルコントロールなどといわれる機能である。多くのセキュリティ対策ソフトでは、使用時間、時間帯、フィルタリングという機能で終わる。ノートン ファミリーでは、たとえば、親によってブロックされたサイトを子供が閲覧しようとしたら、当然、ブロックされる。しかし、そのタイミングで子供から親に対し、メールを送ることができる。このサイトをどうして閲覧する必要があるのかを申し立てることができるのだ。シマンテックでは、それで許可するもよいが、こういうことをきっかけにして、親子でセキュリティ意識を確認する機会としてほしいとのことだ。また、子供が最近どういう検索を行っているかを調べることで、悩みに応えることもできるとしている。従来のペアレンタルコントロールでは、頭ごなし感がいなめない。高圧的に対処すると、子供はなんとか抜け道を探そうとする。結果、意味がなくなってしまうことも少なくない。親子がともに納得し、実行可能な体制を構築して安全が保たれるのである。
「カメラで服が透ける」 - シマンテック、マルウェアアプリに注意喚起

マイナビニュース 3月20日

「デバイス搭載のカメラで服が透けて見える」――。シマンテックは19日、そんな言葉でSMSにスパムメッセージを送るマルウェアアプリ「Infrared X-Ray」への注意を喚起した。

Android向けのマルウェアアプリ「Infrared X-Ray」に感染すると、デバイス内の電話番号宛に「このアプリは服が透けて見える」という紹介で、アプリへのダウンロードURLを含んだメッセージを自動的に通知。リンク先には、"なんと洋服が透けて見えちゃう夢の様なアプリ"などのうたい文句とともに、アプリダウンロード用ボタンが表示される。だが、ダウンロードしたアプリを実行すると、デバイス内の連絡先情報が所定のサーバに自動的に送信される仕組みだ。

同アプリには、数種類の亜種も存在する。その中の1つはアダルトサイトをホストするWebサイトの登録情報をダウンロードして表示し、「サービス利用料金」が29,000円の料金請求を表示する。

そして、支払い方法が書かれたSMSには、「利用料金」を支払わなければ連絡先リストの友人や知人に連絡するという脅しも書かれているという。アプリをアンインストールするとメッセージの表示や、連絡先リストへのSMSの送信が停止する。

同社では、「友人から勧められたアプリなら、ひとまず試してみるくらいの気にはなるもの。だが、知人からの送信でも、疑わしいメールやSMSなどに記載されているリンクをクリックすることは避けてほしい」としている。
バレンタインデーに便乗するスパム − シマンテックレポート


c-bou  [2013/03/01]




シマンテックは、1月のインテリジェンスレポートを公開した。レポートと合わせてSecurity Responceのバレンタインデーに便乗するスパム攻撃を紹介しよう。

1月の全体的な傾向

まずは、全メールに占めるスパムの割合である。12月から6.5%減少し、64.1%(メール1.56通に1通)となった。これまで増加傾向にあったが、一転、減少となった。1位は、82.7%を占めたサウジアラビアとなった。以下、2位がカタール(70.8%)、3位がハンガリー(70.8%)となった。発信元は、1位が米国で11.6%、以下、インド(7.0%)、ブラジル(6.2%)と続いている。




続いて、1月のフィッシング活動である。12月より0.068%増減少し、508.6通に1通の割合(0.197%)となった。1位は南アフリカで、114.3通に1通の割合となった。2位にイギリス(250.5通に1通)、3位にノルウェー(335.7通に1通)となった。フィッシングサイトの分布は、1位が米国で36.9%、以下、イギリス(33.6%)、ドイツ(10.8%)となった。イギリスでのフィッシング活動が増加している。





メールトラフィックに占めるメール感染型ウイルスの割合は、400.0通に1通(0.25%)の割合となり、一段と減少した。1位は、104.3通に1通でハンガリーとなった。2位は南アフリカ(110.1通に1通)、3位はイギリス(236.2通に1通)となった。発信元は、1位がイギリスで48.6%、以下、米国(38.7%)、南アフリカ(2.3%)と続いている。また、危険なWebサイトへのリンクが含まれているメール感染型マルウェアは33.5%と、12月より6.3%増加している。




上述のように、ウイルスを含んでいた電子メールは400通に1通となった。この数字は、2009年以来の低いレベルとなっている。2012年12月の分析では、無差別型の攻撃から標的型に移行しているのではないかと推察した。シマンテックでは、電子メールウイルスの配布者が休暇シーズン後で一休みしている、または悪質なペイロード配信目的の選択肢として、電子メールから乗り換えが続いていることを示している可能性があると分析している。今後も、どうなるか注意深く見守るとのことである。

バレンタインデーに便乗したスパム

バレンタインデーは、世界的なイベントといってもよいであろう。そのイベントもスパマーの格好の標的となっている。まずは、1月から2月にかけてのバレンタインスパムの推移である。



明らかに、増加傾向が見てとれる。バレンタインスパムといっても、さまざまな種類がある。まずは、「片思いの人」から届く、まさに告白メールもあるだろう。ここで、知り合いなどを装うことで、受信者の警戒心を緩める。また、交際相手へのプレゼントとして、格安な宝石類、豪華なディナー、高価なギフト商品のカタログであったりもする。メッセージには、以下のような組み合わせが使われる。
Find-Your-Valentine(恋人さがし)
eCards-for-Valentine(バレンタインデー向けの電子カード)
Valentine's-Day-Flowers(バレンタインデーに花束を)



このスパムには、ValentineCard4you.zipというファイルが添付されている。この添付ファイルを開くと、トロイの木馬のBackdoor.Trojanがダウンロードされるという、危険なものである。図6は、無料を装う電子カードスパムの例である。



上述した偽の商品カタログや広告では、不正なWebサイトへ誘導し、個人情報や口座番号などを詐取しようとする。スパムの件名には、次のようなものがある。
Pre Valentine Discount Code(バレンタインデー前日までのディスカウントコード)
Pre Valentine Day discounts(バレンタインデー前日までのディスカウント)
Valentines Day is Getting Closer! Order Flowers for Her Right Now!(バレンタインデーはもうすぐ! 彼女に贈る花束のご注文は今すぐ!)
Someone sent you a Valentine Message(バレンタインのメッセージが届いています)
Best Valentine's Day Bouquets on Sale!(バレンタインデーにいちばん素敵な花束を。特別セール中!)
Don't go Broke over Valentines Day, Quick and Easy Loans Here(バレンタインデーで財布が空っぽというあなたに、お手軽キャッシング)
You Will Lose 28 Lbs Of Fat By Valentines Day(バレンタインデーまでに12キロ痩せる)
Send FREE eCards this VALENTINES DAY(今年のバレンタインデーには、無料の電子カードを贈ろう)

こうして、実にさまざまな手口を使い、好奇心を煽りユーザーを騙そうとしている。シマンテックでは、この時期のこのような電子メールの多くは予期しない恋物語ではなく、偽の掘り出し物、フィッシング詐欺、さらに悪質なコードにつながるものと、警告している。
シマンテック、一太郎の脆弱性攻撃を確認 - Symantec Official Blog


  [2013/02/26]


シマンテックは、一太郎の脆弱性攻撃を既に日本国内において確認しているとして、同社オフィシャルブログにレポートを掲載している。

同社ブログによると、シマンテックでは1月中頃に脆弱性の悪用を確認しており、被害は日本のユーザーに限られている。この攻撃では通常、圧縮ファイルを伴った形で行われ、正常な一太郎文書(.jtdファイル)、改改変された隠しファイル属性のJSMISC32.DLL、.jtd拡張子の付いた悪質なDLLファイル(隠しファイル属性設定)が含まれる。一太郎文書を開くと、通常はインストールパスかシステムディレクトリに存在するJSMISC32.DLLをフォルダ内で実行し、同じフォルダにある悪質な.jtdファイルをロードすることで悪用へとつながる。シマンテックでは、攻撃に利用されているファイルを含む圧縮ファイルを「Bloodhound.Exploit.489」として検出するとしている。

なお、ジャストシステムでは、Webサイトにて今回の脆弱性回避のためのアップデータを公開しており、アップデータの適用、セキュリティソフトを最新の状態に保つよう、改めて呼びかけている。

サイバー攻撃で狙われるのは個人のスマホだ

週プレNEWS 3月19日




スマホのアプリに“時限爆弾方式”のウイルスを埋め込んで大量にばらまき、警察や救急などのインフラを無力化する方法もあるという


中国によるアメリカへの「サイバー攻撃」問題により、これまで以上に世界中の企業でセキュリティ対策が重要視されている。しかし、サイバー攻撃で狙われる可能性があるのは、大きな組織だけではない。高い技術力を持つ日本の中小企業も警戒する必要があるのだ。

セキュリティ対策を専門に行なう、ラック社の広報担当、飯村正彦氏はこう語る。

「以前、東京都内の町工場から、熟練職人が作った設計図面のデータがすべて盗まれたという事案を耳にしました。設計データを盗めば、技術も、品質も、それがもたらす経済効果も、すべて盗んだのと同じことを意味します。世界的に開放されたマーケットの中で、日本企業が莫大な投資と技術の蓄積によって生み出した製品とまったく同じ機能を持った製品を、技術情報を盗んだ海外の企業が廉価で売りまくる。その一方で本来、世界にはばたくはずだった日本の企業は次々と潰されていく……ということにもなりかねません」

このケースが中国発と特定されたわけではないが、あらゆるコピー製品を生み出している中国の現状を考えると、同じような事例は山ほどあると見て間違いない。

さらに、技術や情報のみならず「人材」までも、サイバー攻撃を利用して流出させられているという。飯村氏が続ける。

「企業の人事情報をウイルスなどで盗み取り、そこから高い技術力を持つ職人、定年退職や早期退職間近のエンジニアなどをピックアップして、自国企業に引き抜く。中国や韓国のメーカーに日本の優秀な技術者が流出するケースが増えていますが、その背景にサイバー攻撃があった可能性も十分に考えられます」

われわれ一般市民だってサイバー攻撃とは無関係ではない。そのツールとなるのが、昨年爆発的な勢いで利用者が増えたスマートフォンだ。

例えば、1000円で売られている人気のゲームアプリをダウンロードし、「ある一定の日時に、自動的に110番通報させる」時限爆弾のようなウイルスを仕込む。それを閲覧者が多いネット掲示板などに「無料で差し上げます」とアップしたら……。

陸上自衛隊システム防護隊の初代隊長で、現在はラック社のサイバーセキュリティ研究所で所長を務める伊東寛氏はこう警告する。

「1万人のスマホユーザーがそのアプリをダウンロードし、同時にウイルスが作動したら、警察の指令室はパニックに陥ります。どれが本当の110番通報かわからず、パトカーを出動させることもできない。交換機もコンピューターで管理されているので、いずれシステムダウンを起こす。そのとき、街はいったいどうなっているでしょうか?」

その日時をあらかじめ知っている者にとっては、やりたい放題の無法地帯になるということだ。

国家や公的機関だけでなく、民間企業、果ては個人まで否応なく巻き込まれる「世界サイバー戦争」。その火ぶたは、すでに切られている。

(取材・文/本誌軍事班[協力/世良光弘]、興山英雄)
環境省のサイトが改ざんされ、閲覧者がウイルス感染の可能性

フジテレビ系(FNN) 3月18日



環境省のインターネットのサイトが改ざん、閲覧した人がウイルス感染した可能性があることがわかった。
改ざんされていたのは、家庭のCO2(二酸化炭素、2は下つき文字)排出量がわかる「CO2みえ〜るツール」という環境省のサイトで、3月3日から15日まで、閲覧した人が別のサイトに誘導され、ウイルス感染した可能性があるという。
この間の閲覧回数は、884回にのぼっているという。