2014/9/15
インターネットバンキングの正規サイトにログインするだけで犯罪者の口座に自動的に不正送金される新種のウイルス。
- ソフト会社、トレンドマイクロ(東京)が販売しているウイルス対策ソフトを使用するパソコンから検出し、近く検出件数などを警察当局に報告する。新種ウイルスは、利用者が正規のネットバンキングのサイトにログインすると、感染したパソコンが検知。自動的に他人名義の口座へ不正送金を命令する仕組み。
5月に初めて国内で検出され、現時点の検出件数は2万件を超えた。一部は感染し、預金を不正送金されたとみられる。5〜8月に日本の検出件数が世界の約80%を占め、「日本を標的にしたサイバー攻撃に間違いない」(トレンド社)。新種ウイルスは、メールの添付ファイルや企業のホームページ(HP)に仕込まれ、開封や閲覧すると感染する恐れがある。
従来の不正送金ウイルスは、感染したパソコンでログインすると偽の画面が表示され、利用者にIDやパスワードの入力を促して盗み取るタイプが主流で、盗んだパスワードやIDを悪用して後で不正送金していた。このため大手銀行が分単位など一定時間で異なるパスワード「ワンタイムパスワード」を顧客に配信する対策を相次ぎ導入。従来型のウイルスで不正送金が難しくなり、ワンタイムパスワードを破る新種ウイルスが出現したとみられる。
さらに4〜6月には、日本での従来タイプを含めた不正送金ウイルスの検出件数が世界の24%に上り、米国(14%)を抜きトップとなった。セキュリティー専門家は「不正送金を狙うサイバー犯罪者が米国から日本に標的を移し、新種ウイルスをまず日本で試したのでは」と分析する。
2014/5/1
「インターネット・エクスプローラー(IE)」に外部から攻撃される脆弱性が見つかった。
- IEの中に外部からウイルスに侵入されてしまう未修正の欠陥が見つかった。この状態で攻撃者が用意した悪意あるサイトを開くとウイルスが入り込み、第三者にパソコンの情報が盗まれ、遠隔操作される可能性がある。MSはIEのバージョン9〜11で被害があったと公表した。6〜11まで未修正の欠陥があるとしている。これを受け、米国土安全保障省がIEを使わないように警告している。日本でも情報処理推進機構(IPA)がIEを利用しないよう注意喚起している。
2014/3/7
中央ヨーロッパの国々を標的として、金融機関や大手企業 PC の感染例が確認されている。
- RSA はトロイの木馬「Zeus」の亜種を発見した。JPEG 形式の画像ファイルにマルウェアの設定情報を隠蔽できるようにカスタマイズされているので、「Stegano-Zeus」(迷彩型ゼウス)と名付けられた。すでに3万5,000台規模のボットネットを構築している事例が確認。
バイナリレベルで解析しても、有効なヘッダ情報と画像情報を含んでおり、疑念を抱かせるものはない。しかし、ファイルの画像データの後には、コメントを装った付加情報が含まれていた。Base-64
という形式で符号化されている画像データと何の関係もないものであり、これこそが Zeus の設定ファイルで、感染ファイルである。ネットワーク監視装置や侵入検知システムやプロキシソフトウェアなど、たいていのツールは、一見して
Web 上の画像をやり取りしている。Zeus の設定データは、画像ファイルのコメントフィールドに格納されている。コメントフィールドはサイズの制約はなく、一般的な画像ビューワからは無視される。亜種が用いる画像ファイルは、JFIF
に則っているが、コメント欄におけるデータ配列には共通性があるという。これまでも有名人のプライベート画像など、人目をひきやすいタイトルで、マルウェアの配布サイトに誘導する手口が頻繁に目撃されたが、今回のようにありきたりの画像ファイルに罠が仕掛けられるとなると、これまで以上に「信頼のおけないサイト、メール、画像には近寄らない」という、基本的なセキュリティ対策の意識が重要になってくるだろう。
2013/2/13
日本の大手銀行5行のオンラインバンキング利用者を標的にしたマルウェア
- 利用者のPCなどから情報を盗み取るが狙いがあるとみられる。
シマンテックによると、見つかったマルウェアは世界的に感染を広げているトロイの木馬「Zeus」の亜種。これを解析したところ、標的とするリストには全て日本の銀行のドメインが記載されていたという。このマルウェアは、感染したコンピュータのWebブラウザを監視し、利用者が標的リストにある銀行のサービスに接続すると、HTMLコードを挿入する。
このコードには日本語の警告メッセージが記載され、利用者にパスワードなどの情報を入力するよう促す。さらにマルウェアは、利用者が入力した情報を不正に記録し、外部の攻撃者のサーバに送信する仕組みになっていた。攻撃者は不正に入手した情報を使って利用者になりすまし、オンラインバンキングサービスを不正に利用する狙いがあるとみられている。
同社は、「マルウェアは電子メールでコンピュータに届く場合もあり、信頼できない送信者から送られてきた電子メールや添付ファイルは開かないようにしてほしい。オンラインバンキングのサイトでいつもと違う情報が要求される場合には疑うことも必要だ」とアドバイスしている。
2012/4/13
身代金要求のランサムウェアが相次ぎ出現
- ファイルやシステムを“人質”に取って身代金を脅し取ろうとする「ランサムウェア」の出現が相次いで報告されている。
セキュリティ企業のTrend MicroやF-Secureが4月12日のブログで伝えた。
Trend Microが発見したランサムウェアの亜種は、Master Boot Record(MBR)を人質に取るという新たな手口を実装。これまでのランサムウェアはファイルを暗号化したりシステムへのアクセスを制限したりするのが常套手段だったが、今回出現した亜種はMBRを上書きして悪質なコードに書き換え、OSの読み込みを阻止してしまうという。 感染したシステムは再起動され、金銭の支払いを要求する画面が表示される。
要求に応じればシステムのロックを解除するためのコードを引き渡す仕組みだという。 一方、F-Secureは、システム上にある文書や画像など全てのファイルを暗号化してしまうトロイの木馬型ランサムウェアが2日前から出回っていると伝えた。
各フォルダには、50ユーロの支払いを要求する内容のテキストファイルが保存される。感染源はフォーラムサイトの投稿などに仕込まれた悪質なコードのようだという。
Trend Microでは、ランサムウェアを使った攻撃は欧州を中心に横行するなど衰える気配を見せていないとして注意を促している。
2010/7/2
McAfeeの偽ソフト「MaCatte」が出現
- マカフィー製品を模倣した「MaCatte製品」に関する情報を公開した。
最近、悪質な偽のウイルス対策ソフトウェアやスパイウェアプログラムが急増しており、そのなかには有名なセキュリティベンダーによる正規の製品を真似たものがあるという。「MaCatte」もそういった製品の1つだ。偽のセキュリティソフトウェアは、”PCが感染しているので有償で問題を解決する必要がある”と警告したりするような手口で、疑いを持たないユーザーを狙うが、MaCatteの場合、「すべての脅威を今すぐ削除する」に同意すると、MaCatte
Antivirusの購入へと誘導される。
Antivirusはウイルス定義ファイル5793で「FakeAlert-MaCatte」という名前で検出される。
2010/2/8
『Firefox』のアドオンでトロイの木馬が検出
2010/4/15
偽ウイルス対策ソフトの攻撃が急増
- Googleが調査報告
偽ウイルス対策ソフトは、偽のウイルス感染警告画面を表示してユーザーを脅し、有料の不正プログラムの購入などを迫る。改ざんによって不正コードが仕込まれたサイトや悪質な広告をユーザーが見ただけで感染する恐れがある。
過去13カ月にわたって2億4000万のWebページを分析し、報告書をまとめた結果。
1万1000強のドメインが偽ウイルス対策ソフトの配布に関係していたことが判明。これは同期間中に検出されたマルウェア関連ドメインの15%を占める。特に広告経由で感染するマルウェアの50%は偽ウイルス対策ソフト絡みだといい、その割合は1年前に比べて5倍に増えた。
また、偽ウイルス対策ソフト配布ドメインの存続期間が大幅に短くなっていることも判明したという。
2010/2/8
『Firefox』のアドオンでトロイの木馬が検出
- AMO』(addons.mozilla.org) サイトで提供していた2つのアドオンから、トロイの木馬が検出されたことを明らかにした。
『Windows』ユーザーがこれらのアドオンをインストールすると、マルウェアに感染し、個人情報を盗まれるおそれがある。
トロイの木馬が検出されたアドオンは、『Sothink Web Video Downloader』のバージョン4.0と、『Master Filer』の全バージョンだ。
「Master Filer あるいは Sothink Web Video Downloader のバージョン4のどちらかがインストールされている場合、脆弱性が生じるのは、Windows
上の Firefox だけだ」と Mozilla はこのセキュリティ問題を説明する Blog 記事のなかで述べている。
問題のアドオンをアンインストールするだけでは、トロイの木馬は削除できない。そのため Mozilla は、影響を受けるおそれのある Windows
ユーザーに対して、ウイルス対策プログラムを使用することを推奨している。
影響を受ける Windows ユーザーは、かなりの数にのぼる可能性がある。
Mozilla によれば、Master Filer は600回、Sothink Web Video Downloader は4000回ほどダウンロードされているという。Master
Filer は2010年1月25日に、Sothink Web Video Downloader は2010年2月2日に AMO から削除されている。
2009/12/14
「Facebook を狙うワーム『Koobface』が攻撃を再開
2009/12/11
「Facebookのパスワード変更」メールに要注意、ウイルスに感染
- 米大手SNSサイトのFacebookは、同社のサポートを名乗ってウイルスに感染させようとするメールが出回っているとして、ユーザーに注意を呼び掛けた。
SANS Internet Storm Centerによると、Facebookをかたるメールは「Facebook Password Reset
Confirmation. Customer Support」という件名で届き、本文は英語で「お客様の安全を守るための措置として、あなたのパスワードが変更されました。新しいパスワードは添付文書をご覧ください」などと書かれている。
ユーザーが添付の「Facebook_Password_833fd.zip」というファイルを開くとマルウェアが展開する仕掛けで、これに感染すると別のマルウェアをさらに呼び込んでしまうという。
トロイの木馬『Buzus』、感染サイトは12万5000以上に
- 11月下旬に始まった極めて複雑な新型 SQL インジェクション攻撃により、すでに12万5000以上の Web サイトが、クレジットカード情報や銀行口座などの情報を収集することで知られるトロイの木馬『Buzus』に感染している。
インターネットのセキュリティおよび監視を手がける企業 ScanSafe によると、この攻撃はまず、埋め込まれた iframe が「318x.com」というサイトから第1段階の悪質なコードを読み込むのだという。その後、ユーザーからは見えない一連の
iframe およびコード リダイレクションが、「windowssp.7766.org」サイトから問題のあるコード「Backdoor.Win32.Buzus.croo」を密かにインストールして完了する。
ScanSafe の上級セキュリティ研究者 Mary Landesman 氏は、9日付の Blog 投稿で次のように述べている。「この攻撃は、未完成の状態だと思われる。われわれは最終段階の攻撃で使用されるマルウェアのスクリプトを監視してきたが、スクリプトの一部には変更や削除が行なわれており、新たに導入されたスクリプトもある」
Landesman 氏によれば、ファイルの多くに「.jpg」という拡張子がついているが、実際は単なる「.js」ファイルだという。さらに「今ではほとんど定番」だと同氏の言う「PDF」形式ファイルの脆弱性を利用した攻撃について、ScanSafe
では今のところその証拠を発見していないとも述べられている。PDF の脆弱性を利用した攻撃は昨今、クラッカーやマルウェア悪用者の間で特に好まれている。
その代わり、攻撃者はさまざまな脆弱性に狙いをつけていると ScanSafe は言う。たとえば、『Adobe Flash Player』における整数オーバーフローの脆弱性、『Microsoft
Office Web Components』の脆弱性、『Internet Explorer』の初期化されていないメモリの破損の脆弱性などだ。
ScanSafe によると、『Buzus』で最も問題なのは、これが通常 IRC バックドアを通じて遠隔操作され、クレジットカードや銀行口座などに関連した情報の窃盗によく利用されていることだという。厄介で壊滅的な被害をもたらす可能性のある
SQL インジェクション攻撃に対して後手後手の対応しかできていない企業にとっては、特に問題となる。
|