PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/
 2013・4・1〜4・15
 
 [市況]セキュリティソフトに新たな流れ、多様化するライセンス形態と対応デバイス

BCN 4月15日



定番ソフトとして売れ続けているセキュリティソフト

 パソコンでインターネットを安全に利用するには、コンピュータウイルスの検知・駆除、フィッシング詐欺サイトなど危険なウェブサイトへのアクセスの遮断、不正侵入防止などの機能を備えた「セキュリティソフト」の利用が欠かせない。

【図表データ入りの記事】

 セキュリティソフトは、定番ソフトとして、一見あまり変わっていないように見えるが、パソコン・インターネットを取り巻くトレンドやユーザーの利用形態の変化にあわせ、進化し続けている。スマートフォンの普及を受けて、1本でパソコンとスマートフォンをまとめて保護するマルチデバイス(マルチプラットフォーム)対応タイプが登場するなど、新たな動きも出てきた。最新のトレンドをまとめよう。

●メーカー別トップ3は、トレンドマイクロ・シマンテック・ソースネクスト

 現在、国内では、数社・数ブランドのセキュリティソフトが出回っている。通常、CD/DVD、USBメモリなどのメディアにソフトを収録したパッケージ版よりもダウンロード版のほうが安いが、パソコン本体との同時購入割引キャンペーンや店舗独自の値下げが反映された実際の販売価格を比較すると、パッケージ版のほうが安い場合もある。基本的に中身は同じなので、価格はもちろん、ライセンス番号の保管のしやすさ、購入からインストール完了までにかかる時間・手間、決済方法などを考慮して、自分に合うほうを選ぼう。

 家電量販店の実売データを集計した「BCNランキング」によると、2013年1〜3月の3か月の累計で、セキュリティソフトのメーカー別販売本数1位は、「ウイルスバスター クラウド」シリーズのトレンドマイクロだった。シェアは36.9%。以下、シマンテック(24.8%)、ソースネクスト(22.4%)、Kaspersky Lab(9.1%)、キヤノンITソリューションズ(4.6%)の順だった。上位5社だけで、セキュリティソフトの販売本数の95%以上を占め、残りの数%を十数社で分け合っている。なお、「BCNランキング」の集計対象は、量販店の店頭とネットショップで販売するパッケージ版だけで、ダウンロード版は含んでいない。

 ウイルス対策をはじめ、さまざまな機能を搭載した総合セキュリティソフトとして、現在、シマンテックは「NORTON INTERNET SECURITY(ノートン インターネットセキュリティ)」と「NORTON 360 マルチデバイス」、ソースネクストは更新料0円の「ウイルスセキュリティZERO」と、同じく更新料0円でビットディフェンダーのエンジンを使用した上位版「スーパーセキュリティZERO」の2シリーズを販売している。シマンテックは、「ノートン インターネットセキュリティ」が9割弱、ソースネクストは「ウイルスセキュリティZERO」が8割弱を占め、ともに以前から取り扱っていたほうが多く売れている。

●セキュリティソフトも「マルチデバイス対応」があたりまえに?

 Wi-Fiやモバイルネットワーク経由でパソコンと同じようにインターネットを利用できるスマートフォンの普及は、それまでパソコン専用だったセキュリティソフトにも影響を与えた。1本のソフトでWindows、Mac、スマートフォン(Android)など、複数の環境(OS)に対応する「マルチデバイス(マルチプラットフォーム)対応」をうたう製品が登場し、元来、別のジャンルだったパソコンとスマートフォンの垣根はなくなりつつある。

 トレンドマイクロの「ウイルスバスター クラウド」、シマンテックの「ノートン 360 マルチデバイス」、Kaspersky Labの「カスペルスキー 2013 マルチプラットフォーム セキュリティ」、キヤノンITソリューションズの「ESET ファミリー セキュリティ/ESET パーソナル セキュリティ」、マカフィーの「マカフィー オール アクセス 2013」は、Windowsに加え、Macにも対応。「ノートン 360 マルチデバイス」や「カスペルスキー 2013 マルチプラットフォーム セキュリティ」など一部のソフトは、さらにAndroid搭載スマートフォン・タブレット端末にも対応する。

 ただし、マルチデバイス/マルチプラットフォーム対応といっても、デバイスやOSによって利用できる機能に差があるので注意しよう。例えば、キヤノンITソリューションズの「ESET ファミリー セキュリティ/ESET パーソナル セキュリティ」は、ライセンス数に応じ(ファミリー セキュリティは5、 パーソナル セキュリティは1)、Windows/Mac/Androidの各種OS向けのプログラムから利用したいプログラムを自由に選ぶ方式。「ノートン 360 マルチデバイス」「カスペルスキー 2013 マルチプラットフォーム セキュリティ」も同様の方式で、「ノートン 360 マルチデバイス」の場合、Windows向けの「ノートン 360」、Mac向けの「ノートン インターネット セキュリティ Mac版」、Android向けの「ノートン モバイルセキュリティ」を1本にまとめ、それらから最大3台まで自由に組み合わせて使用し、一つのプロダクトキーで管理できる。これに対してソースネクストの「スーパーセキュリティZERO 3台用」は、パッケージ版に限って、単体で販売しているAndroid向けセキュリティ対策アプリ「スマートフォンセキュリティ」(1台用・3年版)が付属する。この場合、スマートフォン向けアプリは、特典(オマケ)とみなしたほうがいい。

●使用期間・台数・適用条件……ますます多様化するライセンス形態

 もう一つ、最近の新しい傾向として、ライセンス形態の多様化が挙げられる。かつて、セキュリティソフトは、1本につき1ライセンスで、1年に一度、更新する必要があった。しかし、2006年7月に、対応するOSの公式サポート終了まで更新料不要で継続して使い続けられる「ウイルスセキュリティZERO」をソースネクストが発売し、ソフト自体の安さと「更新料0円」のインパクトで人気を集めると、トレンドマイクロはライセンス形態を見直し、1本のソフトで3ライセンスまで使えるようにした。その後、他社も追従し、一時は最大3台のパソコンにインストールできる「3ライセンス」が標準になった。

 ただし、3ライセンスだと、一人暮らしの学生・社会人など、1台しかパソコンを持っていないユーザーにとっては割高感が出てしまうので、現在は使用台数に応じて選べるように1〜3台版を併売しているケースが多い。また、Kaspersky Labは、2012年10月発売の最新バージョン「カスペルスキー 2013 マルチプラットフォーム セキュリティ」から、従来の1台版・3台版に加え、同一ユーザーが私的に使う端末なら無制限にインストールできる「プライベート版」を用意。2013年1月〜3月の累計では、「3年プライベート版」がシェア41.9%を占め、同社のセキュリティソフトで一番人気になった。3年版と1年版を合算すると「プライベート版」のシェアは49.0%となり、ほぼ半数を占める。

 定義ファイルの更新などを受けられる期間(使用期間)は、更新料0円タイプを除くと、1年〜3年が多い。長期割引が適用されるので、1年/1か月あたりの費用は、3年版が最もリーズナブルだ。パッケージ版、ダウンロード版とも、キャンペーンとして、使用期間が数か月分プラスされる場合もある。その場合、1か月あたりの費用は通常よりさらに安くなる。

 ライセンス数や使用期間の違い、優待の有無などによって別々にカウントしたセキュリティソフトの2013年3月の製品別ランキングでは、トレンドマイクロの「ウイルスバスター クラウド PC同時購入用 3年版」がシェア17.1%で1位、ソースネクストの「ウイルスセキュリティZERO Windows 8対応版」がシェア16.4%で2位だった。

 トップ10のうち、ソースネクストの「ウイルスセキュリティZERO」「スーパーセキュリティZERO」以外は、すべて更新料が必要なタイプ。パソコン本体の買い替え時にセキュリティソフトを入れ替えるなら、更新料0円にこだわる必要はなく、1年版に比べて割安で手間がかからない3年版で十分と考える人が多いようだ。また、使用台数が多い場合、Kaspersky Labが導入した新しいライセンス形態「プライベート版」のほうが安く済むかもしれない。

 各社とも、購入前に機能を無料で試すことができる「試用版」を用意している。売れ行きと、セキュリティソフトとしての性能・信頼性は、必ずしもリンクしない。少々面倒だが、試用版をインストールして動作状況を確認してから選ぶといいだろう。(BCN・嵯峨野 芙美)


*「BCNランキング」は、全国の主要家電量販店・ネットショップからパソコン本体、デジタル家電などの実売データを毎日収集・集計している実売データベースで、日本の店頭市場の約4割をカバーしています。

 
 ドライブ・バイ・ダウンロード攻撃が猛威--3月度レポート(マカフィー)

ScanNetSecurity 4月15日




3月における検知会社数

マカフィー株式会社は4月15日、2013年3月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、3月も脆弱性を悪用したドライブ・バイ・ダウンロード攻撃に関連した脅威がランクインした。不正なリンクやリダイレクトを対象とした「JS/Redirector.ar」「JS/IFrame.gen.k」「JS/IFramge.gen.j」「JS/Exploit-Blacole」が検知会社数の5位から8位までを占めている。

他の写真を見る

また、その後ダウンロードされるFlash Playerの脆弱性攻撃である「SWF/Exploit-Blacole(同4位)」や、最終的にダウンロードされるトロイの木馬のひとつである偽セキュリティソフトウェア「FakeAlert-WinWebSec!env.h(同3位)」などもランクインしている。つまり、検知会社数でのトップ10のうち、6つの脅威がドライブ・バイ・ダウンロード攻撃に関連しており、この脅威が非常に活発であるということを示している。これは、日本だけでなく世界中で見られる傾向だという。先日韓国で発見されたMBRを攻撃するトロイの木馬や関連する脅威については、攻撃手法や脅威の特徴は特殊なもので一般的ではないため、日本のユーザが同様のマルウェアに感染する心配はないとしている。ただし、万一に備えてデータのバックアップやシステム復旧方法など、被害緩和策を講じておくことを勧めている。
 
 ドライブ・バイ・ダウンロード攻撃が引き続き横行――マカフィーの月例レポート

ITmedia エンタープライズ 4月15日



 マカフィーは4月15日、3月度のサイバー脅威の状況を発表した。Webサイトなどからマルウェアを送り込んで感染させる「ドライブ・バイ・ダウンロード」攻撃が引き続き横行していると報告した。

 それによると、3月は脆弱性を悪用するドライブ・バイ・ダウンロード攻撃に関連した脅威が多数検知された。不正なリンクやリダイレクトを対象とした「JS/Redirector.ar」「JS/IFrame.gen.k」「JS/IFramge.gen.j」「JS/Exploit-Blacole」が検知会社数の5位から8位までを占めていた。これらは、Flash Playerの脆弱性攻撃「SWF/Exploit-Blacole」(同4位)をダウンロードさせるほか、最終的にトロイの木馬の一つである偽セキュリティソフトウェアの「FakeAlert-WinWebSec!env.h」(同3位)をダウンロードさせる。

 同社は、この脅威が非常に活発であるとし指摘。日本だけでなく世界中で見られる傾向だという。ランク外だが、Java関連の脆弱性攻撃も世界的に多発しており、JavaやAdobe Reader、Flash Player、Internet Explorerなどのソフトウェアが最新の状態に更新されているか確認すべきとアドバイスしている。

 また、3月に韓国でメディアや金融機関のシステムダウン騒動を招いたマルウェアの攻撃について、「攻撃手法や脅威の特徴は特殊なものであり、一般性があるわけではない」との見解を紹介。日本で同様のマルウェアに感染する心配をする必要はないものの、いったん感染してしまうとシステムに破壊的な影響を及ぼす点には注目する必要があるという。

 他国ではオフィスファイルに感染して実行ファイル化するランサム型(脅迫マルウェア)の脅威も多く存在し、これらの脅威に備えてデータのバックアップやシステムの復旧方法といった被害緩和策を講じておくべきとしている。
 
 【レポート】偽セキュリティ対策ソフトの相談が増加 − IPAの今月の呼びかけ

マイナビニュース 4月15日

IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、偽セキュリティ対策ソフト型ウイルスについて、注意喚起を行っている。

【拡大画像や他の画像】

○偽セキュリティ対策ソフトの相談が急増

これまでも紹介してきたが、IPAではウイルス感染や不審な事態に遭遇した際に相談できる窓口を開設している。図1のように2月に入り、偽セキュリティ対策ソフトの相談が急増している。2月は「Disk Antivirus Professional」、3月中旬からは「AVASoft Professional Antivirus」が顕著である。

○ウイルスの感染までの挙動

IPAでは、偽セキュリティ対策ソフト型ウイルスにどう感染するかを説明している。ここでは、簡単に紹介しよう。

攻撃者は、正規のWebサイトなどを改ざんし、不正なWebサイトへ誘導する。そこで、脆弱性などを悪用し、ウイルスに感染させる。もしくは、別のウイルスに感染させ、PCに偽セキュリティ対策ソフトウイルスをダウンロードさせることもある。ウイルスに感染すると、図3のようなスキャンを行う。

そして、ウイルスが見つかったと警告する(図4)。

もちろん、まったくのでたらめである。ウイルスを駆除するには、有償の製品を購入するようにせまる(図5)。

さらに、デスクトップのアイコンを消したり、ファイルを見えなくする。これは、実際に削除するのではなく、不可視状態にしている。

○実際の被害は ?

さて、偽セキュリティ対策ソフト型ウイルスに感染すると、どのような被害が想定されるであろうか。順に見ていきたい。まず、感染すると、偽のスキャンを繰り返す。これだけでも相当にわずらわしい。そして、このウイルスを削除しようとしても、一般的な方法ではできないこともある。

上述したが、HDDのファイルやアイコンなどを不可視状態にする。これは、ある程度知識があれば、元に戻すことは不可能ではない。しかし、駆除ができていないと同じような作業を繰り返すことになる。必要なファイルがある場合には、まずはバックアップを行う。次に、ウイルスの駆除を行うなどの作業をする(実際には、正しいセキュリティ対策ソフトを使い、駆除を行うのがよいだろう)。しかし、普通の方法では、ウイルスを駆除できない場合もある。

IPAでは、システムの復元を試してみてほしいとのことだ。そして、バックアップが終わったら、できればPCの初期化を行ってほしいとのことだ。その理由であるが、この種のウイルスに感染していると、別のウイルスをダウンロードしてくることもある(先に感染したウイルスが偽セキュリティ対策ソフト型ウイルスをダウンロードした可能性もある)。つまり図2が表示された時点で、別のウイルスに感染している可能性がかなり高いのである。ウイルスによっては、個人情報などを奪取するようなものもあり、別の被害も想定される。

もう1つの被害は、図5などで購入してしまうことである。ここでは、2つの被害が発生する。1つは、カード番号などの個人情報を知られてしまうことである。図5ではメールアドレスはないが、もしある場合、スパムなどの可能性も否定できない。そして、具体的な金銭被害である。これについてIPAは、代金返金などについて、クレジットカード会社や近所の消費生活センターに相談するように勧めている。

○感染する前の対策が必要

さて、偽セキュリティ対策ソフト型ウイルスに感染してしまった場合、感染前の状態に戻すのは状況によっては難しいこともある。偽セキュリティ対策ソフト型ウイルスしか見えていないが、背後では別のウイルスが潜伏して悪しき活動している可能性が十分にあるからだ。IPAでは寄せられた相談に対し、PCの利用状況を確認した。そこで浮かび上がったのは、次の事実である。

・PC上のアップデートなどはいっさい行っていなかった
・検索結果を片っ端からクリックした

これまでも、IPAの今月の呼びかけでは、脆弱性は速やかに解消すべきと喚起していた。それを怠るとどのようになるのか、改めてその危険性を認識してほしい。そして、有名な検索サイトといえども、その検索結果は安全とは限らないのである。この対策として有効なのが、Webサイトの評価機能である。検索結果に、わかりやすく、安全か危険かのアイコンなどを表示してくれる。ブラウザによっては、アドオン形式で無料で提供されるものもある。

WOTアドオンは、著名なブラウザに対応しているWebサイトの評価機能を持つ。こういったものを活用するのも手だろう。当然のことだが、正規のセキュリティ対策ソフトでは、この機能を持つものが多く、また偽セキュリティ対策ソフト型ウイルス自体を防ぐ機能を持つので、より強固に守られる。

偽セキュリティ対策ソフト型ウイルスは、頻繁に亜種が作成されるのも特徴の1つである。今回紹介したウイルスも、見た目を変えて次々と出現する。正規のセキュリティ対策ソフトで、きちんと対策を施したい。
 
 パロアルト、クラウド型マルウェア検出サービスを国内データセンターで提供

マイナビニュース 4月15日


パロアルトネットワークスは、国内企業向けに、クラウドベースのマルウェア防御サービス「WildFire」をNTTコミュニケーションズの国内データセンターを用いて提供開始した。

WildFireは2011年11月に同社から発表されたサービスであり、従来は米国のデータセンターで運用されていた。しかし、国外へ機密性の高いデータを送付することを懸念する企業・組織向けに、国内データセンターの活用が採択された。1つの国・地域で完結するマルウェア検出サービスを提供することは、米国以外では初めての取り組みであるという。既存のWildFireユーザーは、追加費用なしで新しいサービスを利用できる。

WildFireは、高度化し続ける"モダンマルウェア"に対抗するために開発されたサービスで、例えば、マルウェアと疑わしい実行ファイルについては、クラウド内の仮想化環境で実際に稼働させ、その挙動から悪意のある活動を識別することができる。そのため、従来のマッチング型のマルウェア対策では検出できない、まったく新しいマルウェアであっても特定できるというのが特長。
 パロアルト、標的型攻撃対策のクラウドサービス「WildFire」を国内データセンターより提供

Impress Watch 4月15日


 パロアルトネットワークス合同会社(パロアルト)は15日、クラウドベースのマルウェア防御サービス「WildFire」を、NTTコミュニケーションズ株式会社(以下、NTT Com)が運営する国内データセンターを利用して提供開始したと発表した。

 WildFireは、実行形式のファイルをクラウド上の仮想環境で実行し、その動作を観察してファイルに潜む脅威を識別するマルウェア検知・防御サービス。まだサンプルが見つかっていないマルウェアについても、実際に実行してどんな影響をおよぼすかを見ることで影響範囲を確認できるため、マルウェア検体が出回りにくい、標的型攻撃に利用されるマルウェアについても効果がある。

 すでに、2011年11月よりサービスが提供されてきたが、従来、WildFireは米国のデータセンター上のクラウド環境で提供されていたため、機密性の高いデータを国外に送信することに対し、一部の顧客からはセキュリティや法的な面で懸念を持たれていた。今回、そうした声に応える形で、国内データセンターでのサービス提供が実現したという。

 なお、すでにWildFireを利用しているユーザーは、追加費用なく利用できる。
 
スマホ情報流出:不正アプリ保管の被告に有罪−−地裁判決 /京都

毎日新聞 4月13日



 スマートフォン(多機能携帯電話)に記録された電話帳データを抜き取るコンピューターウイルスを保管したとして、不正指令電磁的記録(ウイルス)保管、同供用罪に問われた大阪市東淀川区、無職、田川和弘被告(28)の判決公判が12日、京都地裁であった。宮端謙一裁判官は「多数の携帯電話からデータを抜き取ろうとした組織的、計画的な犯行は看過できない」として、懲役1年6カ月、執行猶予3年(求刑懲役2年)の有罪を言い渡した。
.

 判決などによると、田川被告は、大阪市中央区、会社役員、鈴木隆介被告(30)=同罪などで公判中=と共謀。12年6〜8月、検索大手「グーグル」の携帯電話基本ソフト「アンドロイド」を搭載したスマートフォンに、電話帳データを抜き取るウイルスに感染する不正アプリをダウンロードさせた。
 宮端裁判官は「被告は従属的な立場で酌むべき事情がある」として執行猶予を付けた。
遠隔操作事件の取材で共同記者が“不正アクセス”か
(金)18時46分配信
 遠隔操作ウイルス事件の取材で、共同通信の記者が不正アクセスの疑いです。

 去年10月、遠隔操作ウイルス事件の真犯人を名乗る人物から、最初の犯行声明メールが送られました。共同通信によりますと、取材にあたっていた社会部の記者が、メールの文章を手がかりにパスワードを打ち込んだところ、犯行声明の送信元のメールにアクセスできたということです。その後、11月にかけて社会部の複数の記者がメールの送受信記録を閲覧しました。警視庁は、閲覧した記者から事情を聴く方針です。共同通信は、この取材をもとに記事は書いていないとしていて、「取材上、いき過ぎがあったとみている。厳正に指導する」とコメントしています。.
日本と韓国を標的にした偽ブランドアプリを確認

ITmedia エンタープライズ 4月12日(




偽の日本語版Vertuアプリ

(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 日本と韓国のユーザーを標的にした新たな脅威が出てきました。この攻撃は、最近ニュースになっているような、政治的信念など極端な思想を動機としたものではなく、単純に昔からある私利私欲によるものです。「Vertu」(Nokia傘下の高級携帯電話端末ブランド)の持ち主や、Android用の日本語版・韓国語版Vertuテーマを探している人は、アプリなどをダウンロードするときは十分に気を付けるべきでしょう。マカフィーでは、Vertuのアップデートやテーマを偽った「Android/Smsilence」の新しい亜種を確認しています。

 このマルウェア「Android/Smsilence.C」は、インストール時にロード中のスクリーンを表示しますが、バックグラウンドではHTTP POSTリクエストを送信して、外部サーバー[XXX.XX.24.134]に端末の電話番号を記録しています。そして、このマルウェアは、ローカル端末上にインターネットフィルタを登録した後、全ての着信メッセージはトロイの木馬によって処理され、上記の外部サーバに転送されます。ロード中を示すスクリーンはしばらくすると変わり、日本語または韓国語で「サービスを中断しました。再度お試しください」というメッセージに変わります。

 この攻撃で使用している制御管理システムを調べたところ、マルウェアを拡散するために複数の偽装が使用されており、また同じサーバーに向けた複数のドメインが使用されていることがわかりました。コーヒーやファストフードに始まり、Google Playにアップされた後削除された韓国製アンチウイルス製品まで、20ほどの偽ブランドアプリが使われています。「Android/Smsilence」は、ほかのモバイルボットネットと比較するとそれほど洗練されてはいないものの、私たちの分析では5万から6万人のモバイルユーザーに感染を広げています。

 新しい亜種は日本にも広がっています。今年出てきた日本をターゲットとしている脅威は、ワンクリック詐欺(スケアウェアとも呼ばれています)のマイナーなバリエーションで、この種類の脅威は2004年から存在しています。「Android/Smsilence.C」に感染すると、より多くの情報を外部に送信することが可能で、さらにスパイウェアもダウンロードされます。

 日本のキャリアは、テキストメッセージにCMAILプロトコルを使用しているものもあり、国外からモバイルボットネットをコントロールし、維持するのは簡単なことではありません(日本のキャリアが搭載しているセキュリティ機能により)。もしかしたら、感染した端末の拡散やコントロールを手助けしている共犯者がいるのかもしれません。そうだとしたら、ボットネットコントローラーによるオンデマンドによって感染した端末にダウンロードされる第2弾のパッケージの機能に関する説明がつきます。このパッケージは、テキストメッセージの送信にとどまらないスパイウェア機能を持っています。

 この新しい系列に関するもっとも奇妙な部分はここからで、アンチマルウェアのリサーチ分野における限界を浮かび上がらせるようなものです。Androidのトロイの木馬やStuxnetのような複雑な脅威にせよ、時間さえ十分にあれば、どんなコードであっても基本的な要素に分解することができます。しかし、時々どんなに時間を使っても、マルウェア作者の考えていることが理解できないことがあります。今回のケースについては、マルウェアの中でパッケージハッシュを変えるファイルが見つかっています。これは、サーバサイドのポリモーフィズムを付け加える回避技術で、アンチウイルスベンダーの検知を回避するためのものです。こういった技術が東ヨーロッパの脅威ファミリー以外で使用されているのを見るのは初めてですが、この技術自体に困惑しているわけではありません。なんとも奇妙なのは、回避技術の重要なコンポーネントである選ばれたファイルがボリス・ジョンソン ロンドン市長の写真であったことです。
.
2013年はMBRへの攻撃が増加、脅威はボットネットからURLへ〜McAfeeが予想

Impress Watch 4月12日



 Androidなどのモバイルマルウェアが引き続き増加・進化する一方で、2013年はマスターブートレコード(MBR)への攻撃が増加するのではないかと、マカフィー株式会社が予想している。これは、米McAfee Labsがとりまとめた2012年第4四半期の脅威レポートによるもの。日本語版は、マカフィーのウェブサイトからPDFでダウンロードできる。

 同レポートでは2012年第4四半期に確認した主な傾向として、パスワード盗用型トロイの木馬が入手しやすくなり、他の脅威に組み込まれるようになったことで、もともとは金融業界を標的としていた高度な攻撃が、他の業界にも拡大していると指摘。また、マルウェアの主な配信方法として、ボットネットに代わってURLが増えているとしている。同四半期において、不審なURLは1カ月平均で新たに460万件が検出されているという。

 標準的なウイルス対策ソリューションでは検知できない“OS下層領域の感染”が増加している傾向も挙げている。マスターブートレコード(MBR)に関連したマルウェアが27%増加し、四半期ベースで過去最高を記録した。McAfee Labsでは、「MBR攻撃はPCを対象としたマルウェア全体から見ると一部に過ぎないが、2013年に主要な攻撃ベクトルになる」としている。

 モバイルマルウェアは引き続き増加・進化しているという。2012年にMcAfee Labsが発見したモバイルマルウェアのサンプル数は、前年の44倍に急増。また、2012年第4四半期だけで、Androidをターゲットとしたマルウェアのサンプル数が85%増加したとしている。PCプラットフォームにはない新たな“ビジネスチャンス”があるとして、サイバー犯罪者がAndroidプラットフォームへの攻撃に注力しているという。
共同通信記者が犯人のメール閲覧=PC遠隔操作取材で複数回接続

時事通信 4月12日



 遠隔操作ウイルス事件で、共同通信社(東京都港区)の記者が昨年10〜11月ごろ、「真犯人」を名乗る人物が犯行予告などを送信するのに使ったフリーメールの管理サイトに、パスワードなどを入力してアクセスしていたことが11日、捜査関係者への取材で分かった。
 不正アクセス禁止法は他人のIDやパスワードなどを勝手に利用することを禁じており、警視庁は詳しい経緯を調べている。
 捜査関係者によると、この記者は犯行声明の内容などを基にパスワードを推測し、何度か試しに打ち込んでいるうちに、偶然アクセスに成功したとみられる。管理サイトに複数回アクセスし、メールの送受信履歴などを閲覧した形跡があったという。
 共同通信の吉田文和編集局長は「真犯人に近づく目的だったが、取材上、行き過ぎがあった。厳正に指導する」としている。 
パスワード盗用型トロイの木馬が72%増加--四半期レポート(マカフィー)

ScanNetSecurity 4月11日




McAfee脅威レポート:2012年第4四半期

マカフィー株式会社は4月11日、「McAfee脅威レポート:2012年第4四半期」を発表した。これによると、第4四半期には「PCに保存されている最も価値ある知的財産は、ほとんどのケースでユーザ認証情報」であるとの認識から、ユニークなパスワード盗用型トロイの木馬のグループが72%増加した。また、マルウェアの主な配信方法として、ボットネットに代わり不審なURLが勢いを増し続けている。同四半期、不審なURLの数は新しく70%増加した。不審なURLは1カ月平均で460万件新たに検出されており、これは過去2四半期の1カ月平均である270万件のほぼ倍に相当する。これらURLの95%には、コンピュータへの不正侵入を目的に設計されたマルウェア、エクスプロイトまたはコードが存在していることが確認されている。

他の写真を見る

同四半期、マスターブートレコード(MBR)に関連したマルウェア数が27%増加し、四半期ベースで過去最高を記録した。このような脅威は標準的なウイルス対策ソリューションでは検知できない。いったん組み込まれてしまうとユーザ情報を詐取するだけでなく、悪意ある他のソフトウェアをダウンロードしたり、感染したPCを利用して他のPCやネットワークに攻撃を仕掛けたりする。モバイルマルウェアでは、2012年に発見したモバイルマルウェアのサンプル数は、2011年に比べて44倍に急増した。つまり、全モバイルマルウェアサンプルの95%が2012年の1年間のうちに出現したことになる。サイバー犯罪者は現在、モバイル向けAndroidプラットフォームへの攻撃に注力しており、第4四半期単独でAndroidをターゲットとしたマルウェアの新サンプル数は85%増加している。
片山被告を3回目の逮捕 誤認逮捕の幼稚園襲撃予告で

産経新聞 4月11日



 遠隔操作ウイルス事件で、福岡市の男性のパソコン(PC)を遠隔操作して、東京都内の芸能事務所や幼稚園に襲撃・殺害予告のメールを送ったとして、警視庁などの合同捜査本部は11日、威力業務妨害と脅迫の疑いで、IT関連会社社員、片山祐輔被告(30)=ハイジャック防止法違反罪などで起訴=を再逮捕した。逮捕は3度目。

 合同捜査本部によると、「身に覚えがありません」と容疑を否認している。

 再逮捕容疑は、昨年8月27日午後5時20分〜同40分ごろ、ウイルス感染させた男性のPCを遠隔操作し、都内の芸能事務所に所属する女性タレントの殺害予告メールを送ったほか、お茶の水女子大付属幼稚園に「刃物で無差別に刺す」などと襲撃を予告するメールを送信したとしている。

 男性は昨年9月に威力業務妨害などの疑いで逮捕されたが、PCからウイルスに感染した痕跡が見つかり、遠隔操作されていたことが判明。メールが送られる前日の同年8月26日にインターネット掲示板で無料ソフトをダウンロードした際にウイルスに感染していたことも分かった。警視庁は誤認逮捕を認め、男性に謝罪していた。
 
 片山容疑者を3度目逮捕=誤認逮捕の幼稚園襲撃予告で―PC遠隔操作・警視庁など

時事通信 4月11日



 遠隔操作ウイルス事件で、警視庁などの合同捜査本部は11日、福岡市の男性(28)のパソコン(PC)を遠隔操作して幼稚園や子役タレントの事務所に襲撃予告メールを送ったとして、威力業務妨害と脅迫の疑いで、IT関連会社社員片山祐輔容疑者(30)=ハイジャック防止法違反罪などで起訴=を再逮捕した。同容疑者の逮捕は3回目。
 捜査本部によると、「身に覚えがない」と否認している。この事件をめぐっては、警視庁が昨年9月に男性を誤認逮捕し謝罪、東京地検は不起訴とした。
 逮捕容疑は昨年8月27日午後、ウイルスに感染した男性のPCを遠隔操作し、お茶の水女子大付属幼稚園(東京都文京区)に「始業式を狙って園児を襲う」とするメールを送って業務を妨害したほか、都内の芸能事務所に対し、子役タレントを誘拐して殺害するとの脅迫メールを送信した疑い。 
 
 幼稚園に襲撃予告の疑い 片山被告、きょう3度目逮捕へ

産経新聞 4月11日



 4人が誤認逮捕された遠隔操作ウイルス事件で、福岡市の男性のパソコン(PC)を遠隔操作し、お茶の水女子大付属幼稚園(東京都文京区)に襲撃予告メールを送るなどした疑いが強まったとして、警視庁などの合同捜査本部がIT関連会社社員、片山祐輔被告(30)=ハイジャック防止法違反罪などで起訴=を威力業務妨害と脅迫の容疑で、11日に再逮捕する方針を固めたことが10日、捜査関係者への取材で分かった。

 片山被告の逮捕は3度目となり誤認逮捕事件では2度目。合同捜査本部は三重県の男性が誤認逮捕された事件についても、片山被告が関与した疑いが強いとみて今後、立件する方針だ。

 一方、片山被告は一貫して事件への関与を否認し、取り調べを拒否している。捜査関係者によると、片山被告は昨年8月27日、ウイルスに感染させた福岡市の男性のPCを遠隔操作し、同幼稚園に襲撃予告メールを送信したなどの疑いが持たれている。
 
 情報抜き取りアプリ保管、渋谷のIT企業を捜索

読売新聞 4月10日



 メールアドレスなどスマートフォン(高機能携帯電話)の個人情報を抜き取るプログラムが組み込まれたアプリを保管した疑いが強まったとして、千葉県警は10日、東京都渋谷区のIT関連会社を不正指令電磁的記録(ウイルス)保管容疑で捜索した。

 県警への取材でわかった。県警は、このアプリにより抜き取られた個人情報が、別の会社が運営する出会い系サイトに誘導するために使われていたとみて、捜索を受けた会社との関連を調べている。

 捜査関係者によると、この会社は昨年12月、米グーグルの基本ソフト「アンドロイド」を搭載したスマホ向けに、個人情報を抜き取るプログラムが組み込まれたアプリを、海外のサーバーに保管した疑いが持たれている。
 
 <スマホウイルス>保管容疑で家宅捜索 千葉県警

毎日新聞 4月10日



 スマートフォン内の電話帳データを抜き取るコンピューターウイルスを保管したとして千葉県警市原署は10日、東京都渋谷区のIT関連会社や関係先など11カ所を不正指令電磁的記録(ウイルス)保管容疑で家宅捜索した。

 捜査関係者によると、同社は不特定多数にウイルススキャンのアプリを無料で提供するとしてメールを送信、ダウンロードさせ、スマートフォンの電話帳から情報を抜き出すウイルスを配布、個人情報を集めたとしている。
 
 幼稚園襲撃予告で再逮捕へ=PC遠隔操作で片山容疑者―警視庁など

時事通信 4月10日



 遠隔操作ウイルス事件で、警視庁などの合同捜査本部は9日、福岡市の男性のパソコン(PC)を遠隔操作してお茶の水女子大付属幼稚園(東京都文京区)の襲撃予告メールを送ったなどとして、威力業務妨害容疑でIT関連会社社員片山祐輔容疑者(30)=ハイジャック防止法違反罪などで起訴=を近く再逮捕する方針を固めた。
 この事件をめぐっては、警視庁が男性を誤認逮捕し謝罪。誤認逮捕事件で片山容疑者が立件されるのは、大阪府の男性の事件に続いて2回目となる。
 片山容疑者は一連の事件への関与を一貫して否認している。
 捜査関係者によると、片山容疑者は昨年8月、ウイルスに感染した男性のPCを遠隔操作し、同幼稚園に「始業式を狙って園児を襲撃する」とする脅迫メールを送るなどした疑いが持たれている。 
 
 【インタビュー】 DDoS攻撃は「サーバが身動きできなくなること」、ボリュームではない

RBB TODAY 4月9日









アーバーネットワークス株式会社 SEマネージャー 佐々木 崇 氏

 2000年に設立された米Arbor Networks社は、DDoS攻撃対策ソリューションを中心に展開するセキュリティ企業だ。

 全世界の3割以上のトラフィックを把握することで、DDoS攻撃を初期段階で検知し、対策する独自のテクノロジーを持つ。アーバーネットワークスはArbor Networks社の日本法人であり、2004年に設立されている。今回、同社のSEマネージャーである佐々木崇氏に、DDoS攻撃の変遷や手法、対策方法などについて話を聞いた。


──3月末には、スパム対策組織のSpamhausが規模の大きいDDoS攻撃を受けました。

 我々アーバーネットワークスは、DDoS攻撃の報道に偏りがあると感じています。スパム対策の団体に対して行われたDDoS攻撃は多くのニュースになりましたが、たとえば、2012年の秋にUSの大手金融機関を標的として行われたDDoS攻撃は、長期間にわたって継続し、無視できない悪影響を及ぼしましたが、日本ではごく一部の方をのぞいてあまり知られていないと思います。

──ScanNetSecurityでは、そうした現状に一石を投じるために、過去に起こったDDoS攻撃をふりかえるDDoS攻撃年表を4月から公開しました。そもそものDDoS攻撃の定義を教えてください

 DDoS攻撃とは、サービスを利用不能にすることを目的とした攻撃です。たとえば標的型攻撃は、ボットを操ってデータを盗む攻撃ですが、DDoS攻撃はサイトを使えなくすることを目的としています。最近では韓国や米国が被害を受けたDDoS攻撃が話題になっていますが、日本では国内外のサイバー攻撃は話題になりますが、特に国内のDDoS攻撃についてはあまり認識されていません。

──DDoS攻撃の方法について教えてください

 攻撃手法の一つとして一般的に使用されているのは「SYN flooding攻撃」と呼ばれるものです。この攻撃はTCPの仕組みを悪用するため、10年以上前からある手法です。SYNのパケットを大量に送りつけることで、サーバリソースの枯渇やネットワークの帯域を圧迫し、最終的にサーバを動作不能にします。SYN flooding攻撃のパケットは通常64バイトですが、1,500バイトのSYNを送る手法もあり、より容易に帯域を圧迫することができます。

 攻撃そのものはボットの場合もありますし、人間の操作による場合もあります。その際には「踏み台」を使うことで攻撃元をわからなくします。

 SYNパケットは攻撃かどうかの見分けがつかないことが特徴で、攻撃を受けている側が、攻撃だと気づかないケースもあります。

 SYNパケットではなく、UDPパケットによるflooding攻撃もあります。UDP flooding攻撃は一方通行の通信で、大きいパケットを送れるという特徴があります。また、ICMPのflooding攻撃もあります。こういった「パケットを大量に送りつける」という攻撃は、基本は変わっていませんが、そのボリュームは年々大きくなっています。

──ボリュームが大きくなる理由はなんでしょう?

 一つの理由はボットネットだと思います。最近では、個人のPCではなく、データセンターのサーバすらボットに感染するケースが増えています。感染したサーバとデータセンターの帯域はPCの比ではない大量のトラフィックを生み出します。昨年米国ではこれらの要因により大きな被害を生み出しました。
また、DNSのオープンリゾルバに対する問題は以前より指摘されていますが、今回のSpamhausに対するDNSアンプ攻撃は過去最大のものとなり、DNSに対するセキュリティ対策が進んでいないことが要因となっています。

──DDoS攻撃に新しい傾向はありますか

 L4やL7といったアプリケーションレイヤでのDDoS攻撃が増加しています。場合によってはそのコネクション数によってファイアウォールやIPSのテーブルを埋めてしまうということもあります。

 たとえば本当の端末に見せかけて存在しないURLのリクエストを送りつけるわけです。具体的には商品情報などになりますが、それを検索させることでデータベースを動作不能にします。DDoS攻撃はボリューム攻撃という認識が一般的になっていますが、そうではなく「サーバを身動き取れなくする」攻撃であるという認識が必要です。

──DDoS攻撃はどんな目的で行われるのでしょうか

 DDoS攻撃を仕掛ける理由には、社会的なものと営利的なものがあります。最近では「政治、イデオロギー」「ハクティビズム、バンダリズム」といった目的によるDDoS攻撃が増えています。

 営利目的は全体の約3分の1を占めますが、表に出てこないことが多く、実情を把握しづらいのが現状です。「サービスを不能にされたくなければお金を払え」と脅すわけですが、請求される金額が小さい場合は表沙汰にしたくない心理が働いてお金を払ってしまうケースも多いようです。

──DDoS攻撃のツールについて教えてください

 DDoS攻撃に使用されるツールには、「HOIC(High Orbit Ion Cannon)」や「LOIC(Low Orbit Ion Cannon)」をはじめ多数存在し、そして日々進化しています。表向きはトラフィックジェネレータやサーバのセキュリティチェックツールなどとうたっていますが、実態はその機能を使ってDDoS攻撃に用いられています。攻撃者はDDoS攻撃の効果をモニタしながら、効果がないと分かると次々にツールを変えて攻撃し続けます。

 DDoS攻撃は驚くほど簡単で、効果が高いことも特徴です。韓国では小学生がゲーム規制に反抗してDDoS攻撃を行ったというケースもありますし、ボットネットを時間貸しするサービスも存在しています。

──DDoS攻撃の攻撃インフラについてはいかがでしょう

 DDoS攻撃用のインフラは拡大しています。アーバーネットワークスでは、ワールドワイドで導入されている弊社Peakflow製品からのフィードバックと、Darknet(アサインされているが使われていないネットワーク)に設置されたセンサーにより、ボットネットの解析を行っています。

──最近の被害事例について教えてください

 最近では、米国の金融機関が攻撃を受けた事例があります。この攻撃は5週間という長期間にわたり、しかも攻撃手法がボリューム攻撃からアプリケーションレイヤ攻撃へとどんどん変化していったことも特徴的でした。算定がむずかしいですが、機会損失による金銭的な被害も膨大だと思われます。また、意外に知られていないのが、復旧のためのコストが馬鹿にならないことです。

──アメリカ合衆国がDDoS攻撃のターゲットになりやすい理由は何でしょう? また、今後日本が狙われる可能性はあるでしょうか?

 政治的な面も大きいと思いますが、何より英語ベースのサイトであることが大きな理由だと思います。最も影響力のある言語圏への影響が大きいので、攻撃の対象になりやすいのです。

 もちろん、だからといって日本が狙われないという理由にはなりません。DDoS攻撃はハクティビストが行うことが多いので、どんな企業や組織も対象になる可能性はあります。

 日本は近隣国との緊張が高まっていると思います。現在はDDoS攻撃のターゲットが公共機関や政府などですが、今後は金融や、巨大ショッピングモールなどのEコマース、クラウドサービス、データセンターが狙われる可能性があるでしょう。こういったサービスが本気で標的とされたら、現状の対策ではひとたまりもないと思います。いずれもエンドユーザが深刻な被害を受けると思われますので、DDoS対策はもちろん、実際にDDoS攻撃を受けたときの対処法も確立しておく必要があります。

──DDoS攻撃への対策はどのように行えばいいでしょう

 DDoS攻撃対策でまず大事なことは、「今あるものでやるべきことをやる」ということです。たとえばWebサーバで、80番ポートしか使用しないのであれば、他のポートはすべて閉じるべきです。また、国内のみにサービスを提供しているのであれば、ソースアドレスで国外からのアクセスをフィルタリングします。L3レベルでできる対策は多いので、まずはそこの対策をきちんとやることが基本です。それができていないと、いきなりDDoS攻撃対策を導入しても十分な効果が得られません。

 その上で、次のステップとしてDDoS攻撃専用の対策を行います。DDoS攻撃は外からやってくるわけですから、なるべく上流で止めることが重要です。つまり、ISPやキャリアで止めるわけです。ISPやキャリアがサービスとしてDDoS攻撃対策を導入することは非常に有効ですし、サービスの提供側、利用者側の双方にメリットがあります。しかし、アプリケーションレイヤでのDDoS攻撃は、場合によっては、自衛しなければなりません。

 アプリケーションレイヤでのDDoS攻撃対策は、ファイアウォール、IPSのひとつ上段で対策を行うことが有効です。ボリュームが少ないので、直前で止めることができます。ファイアウォールやIPSにも、特定のDDoS攻撃を止める機能はあります。しかし完全とはいえません。これらはL4以上のコネクションをコネクションテーブルで管理しながら監視しますが、実際にDDoS攻撃が来るとそのテーブルが簡単にあふれてしまい、対策が間に合いません。

──アーバーネットワークスのDDoS攻撃対策ソリューションについて教えてください

 代表的なものとして、「Peakflow SP/TMS」と「Pravail APS」があります。「Peakflow SP/TMS」はサービスプロバイダやキャリア向けのソリューションで、ネットワークをモニタリング、可視化して異常なトラフィックを検出します。DDoS攻撃を検出したときにはアラートが上がり、誰をターゲットにしているのかが分かるので、その情報を基に網内でDDoSの緩和が可能になります。

 また「Pravail APS」は企業やデータセンターなどのインターネットの入口にインラインで設置するソリューションで、ISPやキャリアでは検知しづらいアプリケーションレイヤでのDDoS攻撃も検知できます。この二段構えの対策によって、DDoS攻撃からの保護を実現します。

 Pravail APSの価格は最小構成で数百万円からといったところですが、たとえばEコマースサイトがDDoS攻撃によって丸1日落ちてしまったら、機会損失や復旧のための費用は莫大なものになります。それを考えたら決して高い投資ではないでしょう。

 また日本では被害が公表されないので、DDoS攻撃の脅威自体が認識されていませんが、くり返しDDoS攻撃を受けてしまい、ISPから閉め出されて転々とするケースもあります。ISP目線ではオペレータが大変な思いをしているという現状もあるので、そこも軽減できればと考えています。

 
 スマートフォン:「フェイスブックスマホ」になる新アプリ発表

2013年04月05日


 米Facebook(フェイスブック)は4日(日本時間5日)、アンドロイドOSのスマートフォンのホーム画面アプリ「Facebook Home」を発表した。アプリを起動させなくても、ホーム画面やロック画面で、フェイスブックに投稿された友人のコメントや写真を見ることができる「カバーフィード」機能や、他のアプリを利用しながら、友人とチャットをする「チャットヘッド」機能などがある。

 「Facebook Home」は、米国で12日からアプリマーケット「グーグルプレイ」でダウンロードできる。日本など米国以外の国でも順次、ダウンロード可能になる予定。利用は無料。対応機種はHTCの「One X」「One X+」とサムスン電子の「GALAXY S3」「GALAXY Note2」の4機種。近日に発売されるHTCの一部機種にはプリインストールされる予定。同社日本法人(広報担当)によると、日本ではサムスン電子の2機種が対応している。OS(基本ソフト)の仕様を変更する必要があるため、対応機種以外では利用できないという。
 
INASOFT、誤検知問題で更新を停止している「すっきり!! デフラグ」の更新を一時再開

Impress Watch 4月8日



写真:Impress Watch

 デフラグ支援ソフト「すっきり!! デフラグ」の最新版v4.78.17が、6日に公開された。同ソフトは、トレンドマイクロ製セキュリティソフト「ウイルスバスター」が相次いで「すっきり!! デフラグ」をスパイウェアと誤認定したことに抗議するも、一向に改善がみられなかったことを受け、昨年10月に更新の停止とサポートの縮小が宣言されていた。

 作者であるINASOFTの矢吹拓也氏によると、公開中のフリーソフトに関する利用規約に、トレンドマイクロ社のセキュリティソフト「ウイルスバスター」がインストールされた環境での利用を禁止する条項と、トレンドマイクロ社の社員や従業員とその家族による利用を禁止する条項を追加しているとのこと。編集部にて「すっきり!! デフラグ」に同梱されている文書“SDEFRAG.TXT”に上記に当たる規約が追加されていることを確認した。

 矢吹氏によると、トレンドマイクロ社の社員などの利用を禁止する条項は、“トレンドマイクロ社員に訴えかけ、内部から問題解決を促すこと”を目的とした処置であるという。

 そのほか最新版では、環境情報を表示する機能を担うライブラリが更新されるなどの変更が施された。

 「すっきり!! デフラグ」は、Windows XP/Vista/7/8および同64bit版に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロード可能。

 また、「すっきり!! デフラグ」のほか、「いじくるつくーる」「マウスのお供」などほかのINASOFT製ソフトも次々と更新されており、上記の規約が追加されている。なお、現在もINASOFTのWebサイトには依然、誤検知問題と作者疲労のため全ソフトの更新を休止し、サポートを縮小している旨が掲載されており、今後の更新は不確実と思われる。

 さらに矢吹氏は、トレンドマイクロ製品のレジストリ項目を認識してインストールを拒否する仕組みを、インストーラーに組み込むことも検討しているという。
【レポート】EvernoteをC&Cサーバーとして悪用する不正プログラムを検知 - トレンドマイクロセキュリティブログ

マイナビニュース 4月8日



トレンドマイクロセキュリティブログでは、世界中に存在するウイルス解析などを目的としたリージョナルトレンドラボの解析者による最新情報が提供される。日本における動向分析においては、国内事情を反映したレポートが行われる点にも注目したい。



○Evernoteが攻撃インフラに

トレンドラボは、EvernoteをC&Cサーバーとして悪用するバックドア型不正プログラム「BKDR_VERNOT.A」を検出した。その本体の解説の前に、背景となったEvernoteやボットネットについて紹介しておこう。

まず、Evernoteであるが、クラウド上に各種データを保存するシステムである。有料版と無料版があるが、無料版でもかなりのことができるので、利用者も増加している。ノートブックというサブジェクト単位で、データを管理する。保存されたデータは、共有することもできる。ボットネットは、攻撃者が不正プログラムなどで乗っ取ったPCで構成されたネットワークである。スパムメールの配信、DDoS攻撃など、さまざまな攻撃に使われる。そのボットネットを統制するのが、C&C(コマンド&コントール)サーバーである。ここからの指令に従い、乗っ取られたPCが攻撃活動を行う。なぜ、この2つが結び付いたのか、順を追ってみていこう。

今回、検出されたBKDR_VERNOT.Aは、正規のを介してEvernoteへの接続しようとしていた。

少し細かいが、「」といった文字列があるのがわかる。さらに、Evernoteにログインしようとしているのが、図3である。

BKDR_VERNOT.Aによって作成された不正なDLLは、正規のプロセスに組み込まれ、バックドアとしての活動を開始する。仕込まれていたバックドア活動は、以下の通りである。

・ファイルのダウンロードや実行
・ファイル名の変更

さらに、感染したPCからは、OS、タイムゾーン、ユーザー名、PC名、登録された所有者や組織名などが送信される仕組みになっていた。

○Evernoteを隠れ蓑に

BKDR_VERNOT.Aは、バックドアコマンドを問い合わせる際、Evernoteアカウントに保存されているノートブック上の情報を利用し、EvernoteをC&Cサーバーとして悪用しようとしていた。さらに、収集した情報を送信するための場所としてもEvernoteを使うようになっていた。ボットネットのC&Cサーバーもまた、攻撃者が乗っ取ったPCが使われることが多い(通信にはIRCなどが利用される)。では、なぜ、Evernoteが使われたのであろうか。

トレンドラボによれば、不正活動を隠すことが目的とのことだ。Evernoteの正規のサービスを悪用することで、攻撃活動の痕跡を隠ぺいし、さまざまなセキュリティ対策から逃れることが可能となる。さらに、C&Cサーバーとの通信は、特殊な方法やポートを使って行われることがある。セキュリティ対策ソフトは、それを検知し、不正プログラムと判断する。しかし、Evernoteを使う限り、不正な行動と判断するのは不可能に近い。Evernoteは、個人だけでなく、企業や組織などでも利用される。このようなケースでは、より対応は難しいといえるだろう。

○実際には、Evernoteを悪用できず

ブログの追加情報によれば、BKDR_VERNOT.Aは、Evernoteに実際にはアクセスできていない。本体にハードコード化されていた認証情報が不適当であったとのことだ。したがって、EvernoteのC&Cサーバー化やEvernote上の個人情報の詐取などは行われなれなかった。

とはいえ、もし、実行されていたら、かなりの被害が想定されたであろう。トレンドラボでは、対策は馴染みのないWebサイトは訪問しない、不審なメールは開かないといった対応してほしいとのことだ。あたりまえなことであるが、今一度、確認しておきたい。さらに、トレンドラボによれば、過去においてはGoogleドキュメントを悪用した同様な手口もあったとのことである。決して、目新しいものではなく、今後もこのような手口は発生すると思われる。

この記事が投稿される3週間ほどまえに、米国Evernoteのすべてのユーザーのパスワードをリセットするという事件が起きた。大規模なハッキング攻撃が行われたことによるものだ。BKDR_VERNOT.Aとは直接の関係は不明であるが、つねに攻撃に晒されているという事実は浮かび上がる。パスワードの管理についても、改めて見直しておきたい。

(c-bou)
Skypeで悪質リンクが横行、CPUリソースを“使い尽くす”ケースも

ITmedia エンタープライズ 4月8日



 Skypeでメッセージを送りつけて悪質なリンクをクリックさせ、仮想通貨Bitcoinの不正な生成に加担させるマルウェアなどに感染させる手口が急浮上しているという。ロシアのセキュリティ企業Kaspersky Labが4月4日のブログで伝えた。

 それによると、Skypeを使って英語やスペイン語で「この写真を見たら眠れなくなると思う」「私が好きなあなたの写真です」といった内容のメッセージを大量に送りつけ、短縮URLのリンクをクリックさせる手口が横行。ユーザーがだまされてリンクをクリックすると、さまざまなマルウェアに感染するという。

 この不正なリンクのクリック数は4月4日の時点で激増しており、ウイルス対策ソフトによる検出率は低いという。

 このうちスペイン語のメッセージを使った攻撃でインストールされるマルウェアの中には、感染マシンのCPUを使用して、犯罪目的のBitcoin生成に加担させる機能を持つものも見つかったとKasperskyは報告。もしも自分のマシンのCPUが使い尽くされるような状態になったら、このマルウェアに感染している可能性もあると指摘している。
官民連携で「ウェブ感染」対策=アクセス時に注意喚起へ―総務省

時事通信 4月7日



 総務省は、国内のインターネット接続各社と連携し、閲覧するだけでウイルスに感染する悪質なウェブサイトに関するデータベースを構築する。悪質なサイトに接続しようとした利用者に、画面上で注意喚起するサービスも今秋をめどに開始する方針だ。高度化、複雑化するサイバー攻撃に対する個人レベルでのセキュリティー強化を目指す。 
冤罪防止ソフト、サイバー攻撃保険…お守りまで

読売新聞 4月7日




神田明神で人気の「IT情報安全祈願」のお守り(6日、東京都千代田区で)

 「サイバー攻撃保険」に「冤罪防止ソフト」――。

 ハッキングされて情報を盗まれたり、遠隔操作ウイルスに感染して誤認逮捕されたりと、インターネット犯罪の脅威が身近になる中、その対応商品が人気を呼んでいる。とはいえ、絶対の安全はないのがネットの世界。不安を反映してか、神頼みの「ITお守り」までが売れている。

 ◆高まる需要

 「先月下旬に韓国がサイバー攻撃を受けてから、問い合わせが殺到して……」と話すのは、保険商品「サイバーエッジ」を昨年12月に発売したAIU保険(東京)の担当者。企業がサイバー攻撃で被害に遭った際の費用を補償する保険だ。例えば、侵入経路を特定するためのデジタル鑑識の作業費や、情報漏えいで損害賠償を請求された場合の支払金、業務が中断した期間の逸失利益――などが補償される。

 補償限度額を5億円に設定した場合の保険料は年400万円前後で、通常の損害保険の3倍近いが、「それでも需要はあるはず」と担当者。2011年に最大1億人分の個人情報が流出したソニーの場合、補償などの費用に100億円がかかっており、いったん被害が発生すればその金額は莫大(ばくだい)になる。「今年中に100件の契約が目標」と、担当者の鼻息は荒い。
コンピューターウイルス:いしかわ動物園HPに 閲覧者、感染の恐れ /石川

毎日新聞 4月6日



 いしかわ動物園(能美市)を運営する「県民ふれあい公社」は5日、何者かにより同園のホームページ(HP)にコンピューターウイルスが仕込まれ、閲覧した人のパソコンに感染した恐れがあると発表した。同公社は、閲覧した人にウイルスのチェックを呼びかけている。
.

 同公社によると、ウイルス感染の恐れがあるのは、先月25〜31日、同園HP内の「情報BOX」の項目を閲覧し、ファイルをダウンロードしたパソコン。6475件のアクセスがあった。このウイルスに感染すると、パソコン内の個人情報などが外部に漏れる恐れがある、という。HPのウイルス対策は先月31日までに完了したとしている。
 同公社のHP担当者が内容を更新する際、見慣れないファイルがあることに気づき、調査でウイルスと判明したという。
【PC遠隔操作事件】猫の首輪は付けかえられていた!


江川 紹子 | ジャーナリスト
2013年4月6日

ウイルスの情報を入れた記憶媒体付きの首輪をつけられていた江ノ島の猫






犯人が送った写真
まずは、この写真を見ていただきたい。

これは、PC遠隔操作事件の「真犯人」が1月5日未明に報道機関などに送ってきた挑発的なメールに示されたクイズを解いて出てきた映像。「真犯人」は、この猫の首輪に、遠隔操作ウイルスのデータを保存した記憶媒体をつけた、としていた。

マスメディアでも、何度も報じられたこの写真だが、注目していただきたいのは、首輪の状態。折り返しの部分から、裏返しの状態で首にまかれていることが分かる。

犯人が使ったのと同じ首輪。小型犬用で暗がりでステッチが光るのが特徴
ちなみに、この首輪と同じ物はこちら(右の写真)。裏側に同じ大きさの記憶媒体をつけて撮ってみた。写真の色調で若干現物の方が色が薄く見えるかもしれないが、留め具やステッチの状況などから、同じものと分かっていただけるだろう。犯人の挑発メールの首輪が裏返しに装着されていることは、左側留め具の先の折り返し部分を見れば一目瞭然。

ところが…。

首輪はつけ直されていた
ロケットニュース24より
猫から首輪が回収される直前の猫の写真がこれだ。ここでは、外側のステッチがはっきり見え、首輪は表を外に向けた普通の形で巻かれている。

この写真が掲載されているロケットニュース24の記事を読むと、撮影時刻は1月5日午前9時30分から10時の間と分かる。



首に巻いたままの首輪が、人が猫をなでたり首のあたりをかいたりしただけでひっくり返るとは考えられない。猫が自分でひっくり返すこともありえない。誰かが、人為的に(おそらくは首輪をつけ直すという形で)直したのだ。

いったい、いつ?誰が?何のために?

いつ、首輪の状態は直されたのか

インターネット上で、ピンクの首輪を巻かれた猫の写真を探してみた。

すると、1月3日の午後2時台に撮られたこの猫の写真には首輪はなく、午後4時以降の写真には首輪が巻かれている。そのうち、首輪の状態がよく見えるものでは、このブログがある。午後4時13分に撮影された写真に首輪が写っている。現物と比べながらよく見ると、布の折り返しやステッチの糸の反射具合から、首輪が裏返しに巻かれていることが確認できた。

さらに、こちらのブログ。3枚目に猫の写真があるが、これはピントも鮮明で、拡大してみると、バックルから首輪の布が出ている状況から、裏返しになっていることが分かる。ブログの文章によれば、この写真が撮られたのは1月4日の午後2時25〜30分頃だ。

それ以降に撮られた写真も見てみたが、肉眼で見るだけでは、首輪が表か裏かは断定できなかった。

それでも、裏返し状態が確認できた写真が複数あることから、犯人は、あらかじめ裏返し状態の写真を撮って用意しておいたわけではなく、1月3日午後2時43分以降に裏返しで装着し、写真を撮り、そのまま立ち去ったのだろう。そして、1月4日午後2時半までは、猫は裏返しの首輪をつけ続けていたのだ。

裏返し状態での放置はありえない

ただ、そうなると1つひっかかることが出てくる。ウイルスに関する情報が入った記憶媒体(マイクロSDカード)取り付けられていた位置だ。

ロケットニュースの写真でも分かるように、警察が首輪を回収した時、記憶媒体は首輪の内側についていた。神奈川新聞の上に置かれた、「真犯人」からのメールにあった写真も同じだ。
挑発メールの中の一枚。神奈川新聞の上に載せてある首輪に記憶媒体が…
ということは、首輪を裏返しで猫に装着すれば、記憶媒体は表側に来る。首輪をつけた後、留め具はちゃんとはまっているか、首輪が緩すぎたりきつすぎたりしないかくらい確かめるだろうから、犯人が裏返しになっていることに気がつかなかった、ということは、ちょっと考えにくい。気づいたのにそのまま放置する、とも考えられない。

そもそも「真犯人」は、雲取山に埋めたとした記憶媒体が発見されなかったことから、「ちゃんと登山口から登頂したのにオオカミ少年みたいに思われているのが不本意」だとして、猫作戦を実行することにした、というのだ。雲取山の一件を「詰めが甘かった」と悔やんでいるとすれば、今度こそ失敗は許されない、という気持ちでいただろう。作戦遂行には慎重にも慎重を期したに違いない。

マイクロSDカードは、接着剤で首輪につけられていると考えられるが、接着剤を塗れる面積は、金属のピン部分を除くと1cm×1cm程度しかない。しかも、首輪は凹凸に富んだ布製だ。SDカードが外側になっていると、猫がすりすりしたり体位を変えたりした時に、剥がれ落ちる危険性がある。ピンがある端4mmは接着剤を塗れないから、猫が自分の首をかいている間に爪がそこに引っかかれば、外れてしまうかもしれない。
犯人はこんな風に記憶媒体を外側に向けたまま猫を放置しただろうか?
それ以前に、慣れない首輪をつけられた猫が、嫌がって外そうとしているうちに、首輪そのものが脱げてしまう可能性も考えられるのではないか。

雲取山では掘った穴が浅かったと”反省”している犯人にとって、報道陣や警察が猫にたどり着いた時に首輪に何もついていなかったとか、そもそも首輪すらしていなかった、などいう事態は、何としても避けたいはずだ。そんなことになったら、今度こそ「オオカミ少年」状態になってしまう。

犯人は雲取山には行っていないのではないか、と考える人たちもいる。その説に従って、もしあのメールで嘘の情報を投げて警察やマスコミの動きを監察することが目的だった考えたとしても、相当に注意深い人物だと思われ、やはり、裏返しの首輪に気がつかず、そのまま放置していたとは考えにくい。

犯人の行動を推理する

では、犯人はどうしたのだろう。

念のため、猫が嫌がって首輪を外したりせずにいてくれるかどうか、まずは確かめたのではないか。そのために、3日の午後、何もつけていない首輪を装着。記憶媒体がついてないので、この時に裏返しにしているのに気がつかなかったのだろう。そのまま写真を撮り、猫を放置したのではないか。1日様子を見て、4日になっても猫が首輪を外していないことを確認したうえで、いったん首輪を外し、記憶媒体を取り付け、4日付神奈川新聞の上で写真を撮り、再び猫に装着。今度は、記憶媒体がついていることもあり、表と裏を間違えることはなかった。そして、あらかじめ撮ってあった裏返しの写真と共に、報道機関などに送りつけた…。こう考えると、首輪を2つ用意する必要はない。

あるいは、こうも考えられる。首輪を2つ用意し、1つは3日に(裏返しで)装着して写真を撮り、猫が外さないかどうかを確かめるために一晩そのままにした。4日の午後、記憶媒体をつけたもう1つの首輪を神奈川新聞の上に載せて写真を撮り、現場に行ってすばやく交換した。このやり方なら、短時間で首輪を付けかえられるうえ、4日に現場に行くのは1回で済む。

「真犯人」からの挑発メールが送られたのは、1月5日の未明。犯罪予告情報共有サイト「予告.in」などで知られる矢野さとる氏のブログによれば、同氏に届いたメールの発信時刻は0時34分となっている。この時刻以降は、犯人は猫に触れていないだろう。

以上をまとめると、こうなる。

犯人は3日の午後に猫に首輪をつけたが、そこには問題の記憶媒体はついていなかった。4日の午後2時半以降、挑発メールを送るまでの間に、犯人はいったん首輪を外し、記憶媒体をつけて再び装着するか、用意してあった別の記憶媒体付きの首輪をつけた。

こう考えると、この状況がすんなり説明できるのではないか。

検察は合理的な説明を求められる

もちろん、これは1つの仮説に過ぎない。

ただ、

1)犯人が送りつけてきたメールの写真の首輪が裏返しであること、

2)3日から4日にかけて首輪は裏返しの状態でつけられていたこと、

3)それが5日の朝には表向きになっていたこと、

この3点ははっきりしている。片山祐輔氏を起訴した検察側は、今後の裁判の中で、この問題についての合理的な説明を求められるだろう。

ちなみに、片山氏の弁護人である佐藤博史弁護士は、「片山さんが4日に江ノ島に行ったことはない」と断言している。それを裏付ける事実があるとすれば、検察側は具体的な事実をもって、裏返しだった首輪が表向きになった理由を明らかにしなければならない。さもなければ、検察の主張には重大な疑いが生じることになるだろう。

犯人以外の者が、首輪をひっくり返した、と考える人がいるかもしれない。だが、その可能性はどれほどあるだろうか。

この首輪は一枚の布でできている。表と裏で見た目や手触りに大きな違いがあるというわけではなく、表裏の違いは気づきにくい。だからこそ、この首輪が回収された1月5日以降、3か月も経っているのに、誰も問題にしてこなかったのだろう。

にも関わらず、わざわざ表裏が逆になっていることに気づいて逆転させた人が犯人以外にいるなら、問題の猫とよほど濃厚なふれあいをしているのだろうし、首輪についている記憶媒体にも気づいていたはずだ。当然、監視カメラに映っていて、とっくに調書もできているだろう。そうでなければ、やはり犯人が首輪をつけかえた、と考えるべきだろう。

報道では、

〈捜査幹部は「複数の証拠がある」と自信を見せる〉(3月2日付読売新聞)

と報じられてきたが、証拠は必ずしも万全ではなさそうだ。

弁護人が家族との面会を可能にする接見禁止解除を申し立てたのに対し、検察側は強く反対。裁判所に出した意見の中で、片山氏が自宅や派遣先のパソコンの関連データを「ほぼ完全に消去」するなどの「罪障隠滅工作を図った」と主張。「PC内に残っていた記録やその痕跡、インターネットサイトのログ、被告人の友人・元勤務先同僚らの供述などの細かい間接事実・間接証拠の積み重ねによる立証を余儀なくされている」と、立証の苦しさを訴えている。

まだ、公判前整理手続きが行われる以前の段階であり、今後、追起訴もありうる状況なので、検察側はまだ何ら手の内を明かしていない。だから、接見問題での意見が本音かどうかは分からないが、検察が裁判所に対して平然と大嘘をついているのでないとすれば、片山氏と事件を結びつける有力な証拠には乏しいのだろう。状況証拠を積み重ねる立証方法を強いられているとすれば、この首輪つけかえ問題は、検察にとって決して軽くない課題になるはずだ。

検察は、警察の報告を鵜呑みにするのではなく、公訴維持に拘泥するのではなく、4日の午後の監視カメラ映像をチェックするなど、証拠の見直しを行うべきだ。

いったい誰が首輪を付けかえたのか。それを一番よく知っているのは、あの江ノ島の猫なのだが…。
もうこうゆうことに巻き込まないで欲しいにゃ〜。情報ある人は江川に教えてやってにゃ〜


(お願い)

'''この事件に関する情報を求めています。特に、4日の午後2時半以降に撮影したもので、首輪の表裏が分かるこの猫の写真をお持ちの方は、ぜひご連絡ください。

情報は、areyakoreya21@yahoo.co.jp までお願いします。'''
 相次ぐ国内サイトへのサイバー攻撃……今度はNTT東「フレッツ光」会員サイトに不正アクセス

2013年4月5日


東日本電信電話による発表(全文)



 東日本電信電話(NTT東日本)は4日、同社が運営するフレッツ光の会員制プログラム「フレッツ光メンバーズクラブ」の会員サイトに対して、不正アクセスを検知したため、アクセス遮断等を実施したことを発表した。

 3日にはNTTレゾナントの「goo」、4日にはヤフーの「Yahoo! JAPAN」に対する不正アクセスも報告されており、ここ最近、国内をターゲットにした不正アクセス事案が連続している。

 NTT東日本の発表によると、4日12時47分以降、特定のIPアドレスから断続的に大量の不正アクセスがあり、遮断、調査を開始したところ、不正ログインを試みた痕跡等を確認したとしている。その結果、フレッツ光メンバーズクラブの30アカウントについて、不正ログインされニックネームと保有ポイント数が閲覧された可能性があるとのこと。

 会員情報登録ページ(お客様の「連絡先電話番号」「性別」「郵便番号」「eメールアドレス」などが登録されているページ)へのアクセスは確認されていない。

 NTT東日本では、不正ログインされた可能性のあるアカウントをログインロックした。これに加え、現在、暫定的にフレッツ光メンバーズクラブの会員サイトへのログインを規制している。不正ログインされたユーザーには個別に連絡し、状況の説明、パスワードの変更要請などを行っているという
 
マカフィー、Google Play上で80種のマルウェアアプリを確認

マイナビニュース 4月4日

マカフィーは4日、Google Playの日本のユーザーをターゲットとした攻撃が続いていると、同社ブログ「McAfee Blog」にて発表した。合わせて少なくとも80種のアプリがGoogle Playに存在したと警告している。

【拡大画像や他の画像】

同社が調査したところ、拡散しているアプリはAndroidのワンクリック詐欺の亜種。ワンクリック詐欺とは、Webサイトを閲覧中に画像や年齢認証ボタンなどをクリックすると、会員登録料などの名目で、一方的に高額な料金が請求されるもの。アプリでは1クリックだけでなく、2クリック、3クリックと、ユーザーがアプリを数度操作しない限り詐欺アプリだとわかりにくいという。

同社では、端末に対し実際に詐欺行為を行うのは、アプリでのクリックによりダウンロードされるWebコンテンツとなり、アプリでのマルウェア検知が難しいと説明する。また、2クリック以上の操作をユーザーに要求することで、より自分の意思でサービスに登録したように思い込ませられるため、実際に不当な料金支払ったり、詳細な個人情報を提供させたりするという。

同社ではGoogle Play Securityにマルウェアアプリを配布するディベロッパーアカウントについて報告し、調査とアプリの取り下げを依頼している。

[マイナビニュース]
Google Playで80以上のワンクリック詐欺アプリが存在、マカフィーが警告

マイナビニュース 4月4日



マカフィーは4月4日、同社ブログにおいて、米Googleが提供するアプリ配信サービス「Google Play」上に日本のユーザーをターゲットとした複数のトロイの木馬が発見されており、これらがAndroid端末を対象としたワンクリック詐欺と同じ系列であると報告している。同社では、マルウェア拡散を目的とした複数のディベロッパーアカウントを特定しており、現段階で少なくとも80種のアプリケーションがGoogle Play上に存在するとしている。

ワンクリック詐欺は10年以上存在する日本に特有の手法で、これを用いるサイバー犯罪者は現在モバイル分野の開拓に熱心に取り組んでいるという。

同社の調査では、これらのアプリはワンクリック詐欺の新しい亜種で、「2クリック詐欺」または「3クリック詐欺」といった手法のもの。2つ以上のクリック操作をユーザーに要求することで、被害者が自分の意志で詐欺のサービスに登録したように信じ込ませることができ、架空の請求を支払わせたり、詳細な個人情報を提供させたりすることができるという。

また、これらの詐欺を仕掛ける攻撃者は、Google Play上で複数のディベロッパーアカウントを使用しており、どのアカウントでもほとんど同じ表現でアプリを紹介しているという。これは、簡単に詐欺アプリの亜種を作成・拡散することが可能であることを示しており、実際、攻撃者はマルウェア報告で自分のアカウントが使用できなくなると、新しいアカウントを作成し、新しいアカウントで同様のアプリを配信している。加えて、この手法の詐欺はAndroidアプリからWebサイトに誘導する仕様になっているため、Google Playからアプリが削除された後も、Webブラウジングを介して犠牲者の数が増加するリスクがあるとしている。

マカフィーではGoogle Play Securityに詐欺を働くディベロッパーアカウントを報告しており、調査とアプリの取り下げを依頼している。また同社のセキュリティーアプリでこのマルウェアを「Android/OneClickFraud」とし認識し、同系列のオンライン詐欺で使用されているURLへのWebアクセスも検知することができると紹介している。
Facebookのセキュリティチェックを装うサイトに誘導するマルウェア(トレンドマイクロ)

ScanNetSecurity 4月4日



偽Facebook のセキュリティページ

トレンドマイクロ株式会社は4月3日、「Facebook」において2013年3月下旬、新たに注目されたフィッシング詐欺についてブログで解説している。これは、同社TrendLabsが「TSPY_MINOCDO.A」として検出される不正プログラムを確認したというもの。この攻撃の最終目的は、Facebookを閲覧するユーザをある偽サイトへと誘導すること。この偽サイトは、Facebookのセキュリティチェック機能の一部であるかのように装い、「Security checks help keep Facebook trustworthy and free of spam(このセキュリティチェックで、Facebook を安心かつスパムのない状態に維持することができます)」というタグラインを掲げている。

他の写真を見る

この不正プログラムは、感染コンピュータのHOSTファイルを利用することにより、「facebook.com」および「www.facebook.com」へのすべてのトラフィックを偽Facebookのセキュリティチェックページ「http://<省略>ernothing.net/fb」へと誘導する。なお、正規のFacebookにアクセスしているとユーザに思わせるため、この不正なページのアドレスバーには、「http://facebook.com/<省略>nge」と表示される。Facebookに早くログインしたいユーザは、「セキュリティチェック」というのが文字通りの価値を持っているものだと考え、この策略の罠にはまってしまう可能性がある。そして、ユーザは結果的に個人情報を入力することとなり、そして自身のクレジットカードアカウントをサイバー犯罪者にさらしてしまうことになる。
企業は平均3分に1度もマルウェアと接触、FireEye報告書

ITmedia エンタープライズ 4月4日



 セキュリティ企業のFireEyeが4月3日に発表した2012年下半期のセキュリティ動向報告書で、企業が頻繁にマルウェア攻撃に見舞われている実態が浮き彫りになった。

 同社の調査では、不正なファイルやリンクを仕込んだ電子メールが届いたり、マルウェアが外部の制御サーバと通信したりした「マルウェア事例」8900万件あまりについて分析した。

 その結果、こうしたマルウェア事例は1組織当たり平均3分に1回の頻度で起きていることが判明した。この頻度は業界によって差があり、特にIT業界では1分に1回の頻度だったという。IT企業がマルウェアに狙われるのは、知的財産が集中しているためだと同社は分析している。

 マルウェア感染の発端は、特定の標的を狙って不正なメールを送りつけるスピアフィッシングの手口が依然として最多を占める。こうしたメールは添付ファイルなどの名称に一般的なビジネス用語を使ってユーザーを信頼させ、ファイルを開くように仕向けてマルウェアに感染させる。マルウェアはZIPファイルに仕込まれているケースが全体の92%を占めた。

 マルウェア感染用のファイルは、検出されやすい「.exe」に代わって、DLLファイルが使われるケースが増加。ほかにも検出を免れる機能は高度化が進み、セキュリティ対策機能のサンドボックスをかわすためにユーザーがマウスを動かした時にのみ実行される仕組みや、仮想マシンを検出する仕組みなどが実装されているという。
マカフィー、IPSアプライアンスにサンドボックス技術も統合へ

@IT 4月2日



 マカフィーは4月2日、不正侵入防御(IPS)アプライアンス「McAfee Network Security Platform」に関する戦略説明会を開催した。

 2013年5月には40GbEインターフェイスを搭載したハイエンドモデルを投入するほか、第3四半期中に、買収した米ValidEdgeのサンドボックス技術を統合した新製品を提供する予定で、「進化する新しい攻撃に対処すべく、新しいメカニズムを追加していく」(米マカフィー プロダクトマネジメント シニアディレクター ヴィネイ・アナンド氏)という。

 同社のIPSアプライアンスは、伝統的なシグネチャベースの検知に加え、ファイルの振る舞いを解析するアノーマリ検知、クラウドベースの脅威情報データベース「Global Threat Intelligence(GTI)」を参照するファイルレピュテーションなど、複数の手法を組み合わせてマルウェアをチェックすることが特徴だ。

 特に、近年増加している標的型攻撃への対策という意味合いからも力を入れているのが、「アプリケーションの可視化と制御」「ボットネット検知」「マルウェア検知」という3つのテクノロジだという。

 アプリケーションの可視化/制御は、いわゆる次世代ファイアウォールでも実装されている機能だ。どのようなアプリケーションが利用されているかを把握し、サービスごとに利用の可否や帯域上限などを制御する。「Facebook自体の利用は許可しても、ゲームは禁止する」といったきめ細かな制御を実施できることが特徴だ。また、そもそも平常時に、どんなアプリケーションがどのように利用しているかを理解していなければ、「何が異常か」を判断するのは困難であり、その意味からも重要な機能だという。

 ボットネット検知では、同社リサーチラボで収集した情報を元にボットネットのリストを作成し、更新するほか、「Multi-Attack correlation」という独自技術によって振る舞いを解析し、新たなボットの発見に取り組み、いち早い検出を支援する。

 マルウェア検知では、前述のようにシグネチャやレピュテーションなど、複数の手法を組み合わせてファイルをチェックし、マルウェアを検出する。新たに、JavaScirptのエミュレータも実装しており、昨年多く観測されたPDFファイルにJavaScriptを仕込む攻撃なども検出できるようにしたという。

 アナンド氏は、「マルウェアに対抗するには、複数のテクノロジを組み合わせた多層防御が必要だ」と述べ、これらの取り組みに加え、「サンドボックスという新しいメカニズムを追加することによって、マルウェアの検知率を99%にまで高めていく」とした。

 またそれに先立ち、性能をさらに向上させた新モデル「NS-9100」と「NS-9200」を5月に発表する予定だ。いずれも40GbEインターフェイスを搭載し、スループットはNS-9100が最大10Gbps、NS-9200は最大20Gbpsとなる予定で、サーバなどを高密度に収容するデータセンターなどを対象に提供する。
.
サイバー特捜隊を発足、警視庁

産経新聞 4月2日



 警視庁は公安部内にインターネット経由のサイバー攻撃を専従で捜査する「サイバー攻撃特別捜査隊」を発足した。従来の捜査態勢に専門知識を持った捜査員ら22人を増員して独立させ、三菱重工業など防衛関連企業にウイルスを仕込んだ標的型メールが送られた事件などの捜査にあたる。

 1日付で13都道府県警に新設された部隊の一つ。2日の発足式で、石川正一郎公安部長は「行政機関や企業の本社機能が集中する東京でサイバーテロが起きれば、国民生活に甚大な影響を及ぼす。攻撃の手口は年々巧妙化しており、専門の捜査力を高め、対策を推進してほしい」と訓示した。

 隊長の戸田和雄警視は「情報収集や被害の未然防止、捜査に全力を尽くす」と宣誓した。
多層防御の一角を担うIPS、マカフィーがロードマップを説明

ITmedia エンタープライズ 4月2日



国内でマルウェア解析を担当している本城信輔氏

 マカフィーは4月2日、IPS(不正侵入防御システム)製品に関するメディア向け説明会を開催し、セキュリティ対策機能での取り組みや今後のロードマップなどについて紹介した。ロードマップでは5月に40ギガビットイーサ(GbE)対応モデルを発売し、第3四半期にマルウェア解析のためのサンドボックス機能の実装も予定する。

 説明会では、企業や組織を狙う標的型サイバー攻撃対策でのIPSの役割などを説明した。まず、マーケティング本部氏シニアプロダクトマーケティングスペシャリストの中村譲氏が、「Security Connected」という同社の戦略を紹介。脅威の分析や情報を活用するための「インテリジェンス」、インテリジェンスの仕組みを生かす「製品連携」、効率的な対策を可能にする「運用プロセス」の3つの軸を組み合わせ、「セキュリティの最適化とコスト削減の両立を支援していく」(同氏)としている。

 中村氏によれば、標的型サイバー攻撃は高度で巧妙化された手法を幾つも用いることから、シグネチャを使う従来型対策が通用しないという意見も聞かれようになったという。これに対して同氏は、「確かに単一製品では防御が難しい。しかし、多層的な仕組みを講じることが重要で、製品を適材適所で組み合わせて統合的に運用し、それぞれの機能の力を引き出せるようにしていくべきだ」と話す。

 IPSはこれまでネットワーク外部からの攻撃を遮断することが中心だったが、近年はネットワークでのワームの拡散を遮断する用途に使われている。同社ではIPSの防御能力を継続的に強化することで、標的型サイバー攻撃のような脅威にも対応していくという。

 また、サイバー攻撃で頻繁に用いられるマルウェアの検知技術についてMcAfee Labs東京 主任研究員の本城信輔氏が解説した。同氏によると、解析作業ではコードの解析、仮想環境(サンドボックス)での動作解析、実環境での動作解析といった方法を使い分ける。検知手法としては、マルウェアを特定するシグネチャ型から、ファイルの特定パターンをみる方法、マルウェアに共通した振る舞いなどをみる方法、リスクの評価スコアを使うレピュテーションなど複数ある。

 シグネチャ型ではマルウェアをほぼ確実に特定し、コンピュータへの負荷が小さいものの、未知のマルウェア(シグネチャ化されていない不正プログラム)は検知できない。一方、振る舞いなどから検知する非シグネチャ型は、未知のマルウェアの検知する可能性を高める。だが、多角的に分析する必要性からコンピュータへの負荷が大きく、誤検知が発生する場合がすくなからずある。

 本城氏は、「どちらの検知技術が優れているのかということでは無く、使い分けることが大切であり、複数の技術が連携する仕組みが必要になっている」と述べた。

 今後のロードマップについては、米McAfee ネットワークセキュリティ プロダクトマネージメント シニアディレクターのヴィネイ・アナンド氏が発表。40GbEインタフェースを搭載する新モデル「NS-9100」「同9200」の2製品を5〜6月に国内で発売する。また、同社は2月にサンドボックス技術を手掛ける米ValidEdgeを買収。ValidEdgeのサンドボックス技術を実装したIPSを第3四半期以降に投入し、未知のマルウェアをIPSで解析することで、マルウェアの侵入を迅速に防御できるようにする。IPS以外の製品への実装も計画しているという。
.
サイバー攻撃対策強化のため、全国13の警察に専門部隊発足

フジテレビ系(FNN) 4月2日
国や自治体、民間企業などの内部情報を盗み出そうとするサイバー攻撃への対策を強化するため、全国13の警察に専門部隊が発足した。
4月から全国13の都道府県警察に発足した、サイバー攻撃特別捜査隊は、専門技術や語学にたけた捜査員や、民間企業の技術者から転職した警察官を含む、140人態勢で捜査や分析にあたる。
警視庁サイバー攻撃特別捜査隊長・戸田和雄警視は「これまでのサイバー攻撃対策につきましては、やはり、人員的にも専門官がいなかったり、脆弱(ぜいじゃく)なところがあったと思います」と述べた。
特別捜査隊設置の背景には、サイバー攻撃の手口が年々巧妙化していることや、都道府県、また官と民の垣根を越えての即応態勢が必要とされていることにある。
2012年の1年間に、内部情報を盗み取るために、民間企業などに送られた「標的型メール」は、1,009件にのぼっている。
このうち、何度かメールをやり取りして、相手を信用させたあとに、ウイルスに感染させるなど、新たな手口も出てきている。
また、尖閣諸島問題をめぐって、ウェブサイトの改ざんが相次いだ。
さらに、遠隔操作ウイルス事件のように、警察が把握していないウイルスで攻撃を仕掛けてくる可能性も十分にある。
特別捜査隊がない県で被害が確認された場合は、直ちに応援態勢をとることとしているが、官民挙げての対処能力の底上げが緊急の課題といえる。.
「サイバー攻撃特捜隊」4月創設 13都道府県警 民間技術者も登用
配信元:
2013/03/28


この記事に関連するフォト・情報記事本文 政府機関などへのサイバー攻撃が急増しているため、警察庁は28日、警視庁や大阪府警など全国の13都道府県警に「サイバー攻撃特別捜査隊」を創設することを明らかにした。警察庁幹部は「サイバーテロに関する専門の捜査員を配置することで、高度な情報収集や捜査を行いたい」と話している。

 サイバー特捜隊が設置されるのは警視庁、大阪府警のほかに北海道、神奈川、愛知、兵庫、福岡など13警察本部。全国で約140人体制になる見通し。サイバー攻撃に対する捜査技術を身に付けている捜査員のほか、一部は民間企業の技術者を中途採用する。4月1日に発足させる。

 主な任務は、サイバー攻撃についての情報収集や被害を未然に防止する活動、攻撃が行われた場合には実態解明を進める捜査を行うことで、国民の安全を図るとしている。

 サイバー攻撃をめぐっては、国内では昨年の沖縄・尖閣諸島の国有化以降、政府機関や裁判所などに大規模な攻撃が加えられたほか、韓国では今月、同様の攻撃を受けたテレビ局や金融機関のコンピューターが一斉にダウンする問題が起きている。

偽セキュリティ対策ソフト、なぜインストールされるのか……IPAが解説

RBB TODAY 4月1日




過去にIPAに相談があった「偽セキュリティ対策ソフト」型ウイルスの画面(一部)

 IPA(情報処理推進機構)技術本部セキュリティセンターは1日、今月の呼びかけ「どうして偽セキュリティ対策ソフトがインストールされるの?」を公開した。偽の警告画面を表示し、有償版製品の購入を迫る「偽セキュリティ対策ソフト」型ウイルスを解説する内容となっている。

他の写真を見る

 “ウイルスに感染している”“ハードディスク内にエラーが見つかりました”といった偽の警告を表示し、解決策として有償版製品の購入を迫るが、これらを購入してもトラブルは解決しないという詐欺だ。クレジットカード番号などを入力させて金銭を騙し取ることも行われる。

 具体的なソフト名としては、「Disk Antivirus Professional」「AVASoft Professional Antivirus」に関する相談が増加しているとのこと。これらのウイルスが侵入すると、ブラウザなどのプログラムが正常に動作しなくなったり、ファイルが見えなくなったりする。

 感染する経路としては、セキュリティ対策が実施されていないパソコンで、悪意あるサイトを閲覧した場合などに、ウイルスが自動的にダウンロードされて感染することが考えられる。IPAが、被害者に感染した時の状況を聞いたところ、「パソコン上のプログラムの更新を一切していなかった」「大手検索サイトで検索した結果を片っ端からクリックした」といったケースが多いという。

 そのためIPAでは、基本的なセキュリティ対策を漏れなく実施することが重要だと指摘している。また、「偽セキュリティ対策ソフト」型ウイルスに感染してしまった場合、第一の対処方法としてパソコンの初期化が推奨されるため、重要なデータを定期的にバックアップすることも問題発生時の対策になりうるとのこと。


情報処理推進機構:情報セキュリティ:2013年4月の呼びかけ
http://www.ipa.go.jp/security/txt/2013/04outline.html