Video Screencast Help
Search Video Help Close Back
to help
The Connect servers will be undergoing some maintenance this weekend. During the maintenance windows, users will not be able to log in. More details here.

Security Response

Showing posts in Japanese remove filter
多くの機能を詰め込んだ JavaScript ワーム
Fred Gutierrez | 11 Oct 2012 | 0 comments

日頃の業務の中で、ときとして新しいタイプのマルウェアを発見することがあります。ファイルに感染する、仮想マシンに感染する、あるいは特定の文書を標的にするなど、新しい手法はさまざまですが、その多様性を生んでいるのは、ひとえにマルウェア作成者の想像力です。

JS.Proslikefan にその実例を見ることができます。マルウェアは JavaScript や VBScript などを使って作成できますが、いずれにしても解凍後のサイズは数キロバイトほどしかない場合がほとんどです。ところが JS.Proslikefan は、自己解凍後に 130 キロバイトという法外なサイズになります。上層ではカスタムの不明瞭化と、一般公開されている Dean Edwards JavaScript パッカーが使われています。図 1 に、解凍後のマルウェアの最下層を示します。
 

図 1. 解凍後の最下層
 

このファイルを解析するには、まず変数名と関数名の不明瞭化をすべて解除する必要がありました。これが完了すると、このマルウェアの意図する全体像が少しずつ明らかになってきます。まず、このマルウェアの標的は Windows コンピュータです。Web ブラウザ上でこのマルウェアを実行するには、ブラウザで ActiveX がサポートされている必要があり、通常は Internet Explorer がそれに該当しますが、他のブラウザもプラグインを介して ActiveX をサポートすることはすでに知られています。また、このマルウェアは他の悪質なプログラムによってコマンドラインで実行することもできます。

...
Read more
犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名
Joji Hamada | 11 Oct 2012 | 0 comments

先週末、犯行予告を掲示板に投稿したり電子メールで送信したとして過去数カ月で 3 人が逮捕されていたというニュースが、日本中を賑わせました。さらに、報道によると、この犯行予告に使われたとされるコンピュータはいずれも特定のマルウェアに感染していたことが判明したため、容疑者はその後全員が釈放されたというのです。今回のマルウェアの中には、大量殺人を行うという予告を Web サイトに投稿したケース、爆破予告をインターネット上のフォーラムに書き込んだケース、爆弾を仕掛けるという脅迫メールを送信したケースなどがありました。犯行予告とマルウェアの関係については現在、警察当局が捜査に当たっています。

シマンテックでは、平素より企業や団体、個人のお客様より検体をご提供いただくとともに、インターネット上等で情報収集することで脅威を特定し、それを解析しています。シマンテックが入手した検体の解析で、このマルウェアは侵入先のコンピュータを遠隔操作する機能を持っていることが確認されました。それ自体はマルウェアの世界で目新しいものではありませんが、特定された各種の機能から、作成者はマルウェアに命令して上記のような犯行予告を作成できることがわかりました。また、作成者との暗号化通信の処理に使われる文字列が日本語で書かれており、コードは日本語の Web サイトから取られていることも判明しました。以上のことから、作成者は日本語に精通した人物である可能性が高いとシマンテックは考えています。

図 1. コード中に見つかった日本語

 

シマンテックはこれまでに、このマルウェアの 2 つのバージョンを入手しており、それぞれのバージョン番号は以下のとおりです。

...

Read more
W32.Phopifas、釣りリンクで 250 万回以上のクリックを誘導
Kevin Savage | 11 Oct 2012 | 0 comments

Skype などのインスタントメッセージアプリケーションに対するソーシャルエンジニアリング攻撃が依然として続いていますが、この 1 週間は特に勢いづいています。この攻撃は 9 月 29 日頃に始まったと見られ、現在までに無防備なユーザーを欺いて 250 万回以上クリックさせることに成功しています。攻撃に使われている手口は、インスタントメッセージアプリケーションへのリンクを投稿して潜在的な被害者を誘導するという、典型的なソーシャルエンジニアリングの手法です。この攻撃の手順は、おおよそ以下のシナリオのとおりです。
 

図 1. ソーシャルエンジニアリング攻撃のシナリオ
 

ユーザーが goo.gl リンクをクリックすると、Hotfile.com 上の URL にリダイレクトされます。Hotfile.com サイトでは .zip ファイルをダウンロードするように指示され、この .zip ファイルに、正規のインスタントメッセージファイルを装ったマルウェア W32.IRCBot.NG が含まれます。手動でこのファイルを解凍して実行すると、IRC チャネルに接続してコマンドを受信します。シマンテックが解析したところ、これはさらに別のファイルを Hotfile.com からダウンロードして実行するよう命令するコマンドです。検証したどのテストでも、2 番目にダウンロードされるファイルは W32.Phopifas...

Read more
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2012 年 10 月
Candid Wueest | 09 Oct 2012 | 0 comments

今月のマイクロソフトパッチリリースブログをお届けします。今月は、20 件の脆弱性を対象として 7 つのセキュリティ情報がリリースされています。このうち 1 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 10 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-oct

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS12-064 Microsoft Word の脆弱性により、リモートでコードが実行される

    Word PAPX セクション破損の脆弱性(CVE-2012-0182)MS の深刻度: 重要

    Microsoft Word が、特別に細工された Word ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、...

Read more
Backdoor.Proxybox の首謀者はロシアに住む個人か
Joseph Bingham | 09 Oct 2012 | 0 comments

過去 3 カ月間、シマンテックは年間に何十万というユーザーにマルウェアを送りつけているロシアの攻撃者を調べてきました。調査対象となっているのは Backdoor.Proxybox で、この調査によってブラックハット攻撃の全貌が明らかになっています。このボットネットの仕組みや規模について興味深い情報が得られるとともに、実際の作成者を特定できる情報にもたどり着きました。

プロキシサービス自体は目新しいものではなく、地理的に固定されたコンテンツにアクセスするためや、匿名のトラフィックをリレーするために使われます。proxybox.name では、プロキシ販売業者が世界中のプロキシサーバーに対するアクセス権を販売しています。フロントエンドの Web サイトからすれば、ロシアの正規プロキシサービスであるように見え、何千というプロキシのリスト全体に対するアクセス権が 1 カ月あたりわずか 40 ドルで売られています。これほど多くのサーバーに対するアクセス権を、これほど低価格で売ることができるのはなぜなのでしょうか。
 

図 1. Proxybox のメインの Web サイト(ロシア語から翻訳)
 

脅威のコンポーネント

シマンテックの調査は、まず Backdoor.Proxybox マルウェアのリバースエンジニアリングから始まりました。これは 2010 年の初めに最初に確認された脅威ですが、最近活動が盛んになっていることが判明しています。この脅威は、以下の 3 つのコンポーネントで構成されています。

  1. ドロッパー...
Read more
サッカーとソーシャルメディアのテーマを好む詐欺師
Mathew Maniyara | 30 Sep 2012 | 0 comments

この調査にご協力いただいた Avdhoot Patil 氏に感謝します。

フィッシングの世界では最近、サッカーが大人気のようです。2014 年 FIFA ワールドカップを狙った詐欺の次には、同じくサッカーのリオネル・メッシ選手が利用されています。2012 年 9 月、シマンテックはソーシャルネットワークサイトのさまざまなテーマがフィッシングに使われていることを確認しましたが、その多くでメッシ選手が題材になっているのです。フィッシングサイトは、無料の Web ホスティングサイトでホストされていました。

最初の例では、フィッシングサイトの背景画像にメッシ選手が使われ、FC バルセロナが宣伝されています。しかし、対象となっている正規のソーシャルネットワークサイトに、そういったテーマはいっさいありません。メッシ選手のソーシャルネットワークページにアクセスするためにエンドユーザーはログインを求められますが、もちろんこれは策略であり、ユーザーがフィッシングサイトから得られるものは何もありません。ログイン情報を入力すると、フィッシングサイトから正規のソーシャルネットワークサイトにリダイレクトされます。

別のサイトでは、「Color」という名前の魅力的なテーマが使われていました。フィッシングページに書かれたメッセージによると、ログイン情報を入力すれば、このソーシャルネットワークサイト用プロフィールのテーマを変更できることになっています。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

...

Read more
Adobe コードサイニング証明書の不正使用からも保護するシマンテック製品
Joji Hamada | 30 Sep 2012 | 0 comments

9 月 27 日、Adobe 社は、Windows オペレーティングシステムに対する Adobe コードサイニング証明書の不正使用について調査中であることを同社の Web サイトで発表しました。シマンテックはこの問題を受け、該当する Adobe の証明書を使って署名された不正なファイルを検出する保護を追加しました。これは Trojan.Abe として検出されます。シマンテックは現在、2 つのユーティリティの合計 3 つのファイルが、この証明書を使って署名された特定のソースに由来するものであることを確認しています。ユーティリティの 1 つは、すでに公開されているパスワードダンプツールで、もう 1 つは、Web サーバー上のインターネットトラフィックをリダイレクトする ISAPI フィルタです。ISAPI フィルタは、シマンテックで調査した限りまだ公開されたことはありません。3 つのファイルの詳細を以下に示します。

PwDump7.exe

MD5 ハッシュ値: 130F7543D2360C40F8703D3898AFAC22

署名のタイムスタンプ: 2012 年 7 月 26 日木曜日、太平洋夏時間午後 8:44:40(GMT -7:00)

libeay32.dll

MD5 ハッシュ値: 095AB1CCC827BE2F38620256A620F7A4

署名のタイムスタンプ: 2012 年 7 月 26 日木曜日、太平洋夏時間午後 8:44:13(GMT -7:00)

myGeeksmail.dll

MD5 ハッシュ値: 46DB73375F05F09AC78EC3D940F3E61A

...

Read more
モバイルデバイス上の連絡先を盗む偽ウイルス対策アプリ
Joji Hamada | 26 Sep 2012 | 0 comments

Android.Enesoluty の作成者が、そのレパートリーに新しいアプリを加えました。新しいアプリは「安心ウイルススキャン」という名前で、その名のとおり、ウイルス対策アプリとしての機能を備えていることになっています。もちろん実際には、予想にたがわずウイルス対策の機能などはなく、個人情報を盗み出すだけです。

以前の亜種では、ユーザーのデバイスがこのアプリに対応していないというメッセージが表示されましたが、今回は実際に宣伝どおりに機能しているように見せています。
 

図 1. 悪質なアプリによる偽のスキャン実行画面
 

スキャンが完了するまでの間に、デバイスに保存されているすべての連絡先が外部サイトにアップロードされてしまいます。アプリ自体はもっともらしい作りになっているので、疑わしい点を見出すのは困難です。

他の類似アプリと同様に、このアプリも、スパムメールのリンクをタップするとサードパーティのホスティングサイトからダウンロードされるようになっています。
 

図 2. 悪質なアプリをホストしているサイト
 

これは、詐欺師が連絡先データを盗み出そうとするときに使う手口として、...

Read more
Blackhole 2.0 を悪用する広告
Lionel Payet | 21 Sep 2012 | 0 comments

悪名高い Blackhole 悪用ツールキットの勢いは衰えを知りません。最近も、数々の新機能を搭載するバージョン 2.0 のリリースを作成者が予告し、メディアの注目を集めたところです。先日シマンテックは、Blackhole 悪用ツールキットのバージョン 2.0 らしきものがホストされている Web サイトを発見しました。驚くべき発見ですが、いつものようにすぐに調査を始めたところ、Web サイトに不審な点があることに気がつきました。

図 1. 悪用ツールキットの(不審な)統計ページ

図 1 を見ると、ページの一番下のラベルに「Blackhole v.2.0」とはっきり書かれていることがわかります。ところが、その違いを除けば、ページの残りの部分は旧バージョンとほとんど差がありません。

図 2. 悪用ツールキットの旧バージョンの統計ページ

どちらのページも、メインのコンテンツセクションは同じですが、新しいと称するバージョン(図 1)の上部には、ロシア語が書かれた水色のボックスが表示されています。もともとは[Blackhole]メニューが並んでいる位置です。この部分のテキストの翻訳は、およそ以下のとおりです。

広告: [削除済み] - iframe / javascript コードの暗号化サービス。
広告: シリアにあるデータセンターの専用サーバーを利用、プロジェクトの内容は不問。マーケットでの実績は 6 年以上。品質は保証付き!(^^)
[...

Read more
Trojan.Taidoor: 両天秤の手口
Satnam Narang | 20 Sep 2012 | 0 comments

寄稿: Jeet Morparia

Oracle の Java ランタイム環境に存在するリモートコード実行の脆弱性(CVE-2012-4681)が、Nitro の攻撃者によって標的型攻撃に利用されていることは、何週間か前にこのブログでもご報告しました。最近になってシマンテックは、別のグループがこの脆弱性を悪用しており、被害が出ていることを確認しました。Taidoor を使う攻撃者グループです。

Taidoor の攻撃者がこの脆弱性を利用し始めたのは、概念実証(POC)が公開された頃のことで、シマンテックは 8 月 28 日に、CVE-2012-4681 の脆弱性を悪用する悪質なファイル Ok.jar(Trojan.Maljava!gen24)を確認しています。脆弱性が悪用されると、ペイロードである実行可能ファイル Javaupdate.exe が投下され、それによって侵入先のコンピュータでバックドアが開かれます。これが Trojan.Taidoor です。
 

...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
283,744