2009/04/02~2009/04/10
「THREAT」とは、「脅威」を意味する英単語です。サイバー空間では今日も世界中でさまざまな問題が報告されています。
本連載では、情報セキュリティ関連情報収集の効率化を目的として英語ブログ「TrendLabs Malware Blog」が今週1週間に配信した記事へのリンクを要約とともにお届けしています。国外の事例を知ることは、先進的な自衛策を検討する上で、有効な情報源の一つになり得ます。是非、英文記事にもアクセスしてみてください。
■2009/04/09 Adobe Acrobat/Reader getIcon() Vuln Exploit in the Wild
http://blog.trendmicro.com/adobe-acrobatreader-geticon-vuln-exploit-in-the-wild/
4月9日、米アドビシステムズ(Adobe Systems)の「Adobe Reader」と「Acrobat」のgetIcon()関数に存在する脆弱性 CVE-2009-0927 を衝いたウイルス「TROJ_PIDIEF.OE」の存在が確認された。アドビシステムズ社によれば、CVE-2009-0927はAdobe Reader 9.1およびAcrobat 9.1、Acrobat 8.1.4、Acrobat 7.1.1により解決済みと発表されている(APSB09-04)。トレンドラボでは脆弱性に対する速やかな修正を推奨している。
■2009/04/07 Tax Season is Phishing Season
http://blog.trendmicro.com/tax-season-is-phishing-season/
確定申告シーズン(米国は4月15日)の到来とともにそれに便乗した攻撃が増加傾向にあるという。昨年は米国税庁(IRS:Internal Revenue Service)を詐称し、税金還付を装ったメッセージでウイルス配布が行われていた(関連情報)。それに対し、今年の傾向は米国税庁を詐称せず、確定申告書類作成にかかる費用を軽減させるサービスであると称して個人情報を集めようとするフィッシング詐欺の手法が顕著であると報じている。
■2009/04/03 New Exploit Takes on MS PowerPoint
http://blog.trendmicro.com/new-exploit-takes-on-ms-powerpoint/
4月3日、マイクロソフト株式会社の「Microsoft PowerPoint」に存在する未知の脆弱性に対してゼロデイ攻撃を仕掛けるウイルス「TROJ_PPDROP.AB」の存在が確認された。マイクロソフト社は、本脆弱性に対するアドバイザリを発表している(969136)。なお、セキュリティ更新プログラムは4月10日時点で「検討中」となっている。
※トレンドマイクロ セキュリティ ブログ 「再びMicrosoft Office製品が狙われる、今度は「PowerPoint」」
■2009/04/02 Waledac Spamming Image Hosting and Italian Job Offers
http://blog.trendmicro.com/waledac-spamming-image-hosting-and-italian-job-offers/
「WORM_WALEDAC」ファミリによるスパムメール拡散事例として、容量無制限のオンラインアルバムサービスを詐称した事例、イタリア語で記載された求人広告の事例を報じている。
特集:WORM_DOWNAD ファミリに関する記事
■2009/04/08 Counter Measures(Trend Micro Europe) New Downad/Conficker variant spreading over P2P
http://countermeasures.trendmicro.eu/new-downadconficker-variant-spreading-over-p2p/
■2009/04/08 DOWNAD/Conficker Watch: New Variant in The Mix?
http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/
■2009/04/08 New MS08-067 Exploit Creeps in During DOWNAD Frenzy
http://blog.trendmicro.com/new-ms08-067-exploit-creeps-in-during-downad-frenzy/
■2009/04/04 Downad.KK/Conficker.C p2p Port Generation Code Exposed
http://blog.trendmicro.com/downadkkconfickerc-p2p-port-generation-code-exposed/
■2009/04/03 A Look Inside Conficker P2P Traffic
http://blog.trendmicro.com/a-look-inside-conficker-p2p-traffic/
■2009/04/02 More DOWNAD/Conficker Questions After April 1st
http://blog.trendmicro.com/more-downadconficker-questions-after-april-1st/
今週は相次いで「WORM_DOWNAD」(ダウンアド、別名:「W32.Downadup」または「Win32/Conficker」)ファミリに関する記事が複数投稿されている。4月7日付け最新記事では、ワームがP2P型の通信による新たな活動を開始したことを報じている。7日夜、WindowsのTempフォルダに新しいファイルの作成を検出。韓国内に位置する「WORM_DOWNAD」のP2Pを使用したIPノードから、暗号化されたTCP通信を確認した。この通信はワームのアップデートに用いられ、アップデートされたワームは「WORM_DOWNAD.E」として検出対応済みである。また、「WORM_DOWNAD」が別のワーム「WORM_WALEDAC」ファミリによるボットネットとの通信についても確認。ファイルのダウンロードが行われている。「WORM_DOWNAD」と「WORM_WALEDAC」の連携についてはまだ調査が必要な段階であり、「WORM_WALEDAC」対策団体である「Conficker Working Group」とも協調し、引き続きの調査を行っていくことを報じている。
■英語セキュリティ・ブログ紹介 国内メディア
http://japan.cnet.com/news/sec/story/0,2000056024,20391368,00.htm
http://internet.watch.impress.co.jp/cda/news/2009/04/09/23093.html
http://www.itmedia.co.jp/news/articles/0904/09/news022.html
http://www.itmedia.co.jp/news/articles/0904/06/news022.html