2009/05/17~2009/05/25
「THREAT」とは、「脅威」を意味する英単語です。サイバー空間では今日も世界中でさまざまな問題が報告されています。
本連載では、情報セキュリティ関連情報収集の効率化を目的として英語ブログ「TrendLabs Malware Blog」が今週1週間に配信した記事へのリンクを要約とともにお届けしています。国外の事例を知ることは、先進的な自衛策を検討する上で、有効な情報源の一つになり得ます。是非、英文記事にもアクセスしてみてください。
■2009/05/22 Fake Videos Lead to Fake Flash Player
http://blog.trendmicro.com/fake-videos-lead-to-fake-flash-player/
非常に巧妙な手口で、正規の “Adobe Flash Player” インストーラになりすまし、実際に、偽の “Adobe Flash Player” をインストールする新たな亜種「TROJ_SMALL.UY」について報告されている。「TROJ_SMALL.UY」は、「TROJ_DLOADER.ZEK」として検出されるDLLファイルを作成。作成されたファイルは不正なダウンローダーであることから、ユーザは、他の不正な脅威にさらされることが予想できる。
■2009/05/22 Gumblar Finds Successor, Continues Info Stealing Spree
http://blog.trendmicro.com/gumblar-finds-successor-continues-info-stealing-spree/
感染したWebサイトにアクセスしたユーザは、不正プログラムのダウンロードを促す “Martuz.<省略>” にリダイレクトされることが確認された。この攻撃では、“Adobe PDF” および “Adobe Flash player” の脆弱性を利用してコンピュータのアクセス権が取得される。不正プログラム「TSPY_INFOSTEA.BB」はパスワード収集機能が実装されており、収集された情報は、ユーザのWebサーバファイルを不正操作するために利用される。これによりWebサーバファイルにJavaScriptが挿入され、新たなリダイレクトに用いられる。こうして悪質な情報収集のサイクルが続くことになる。また、不正プログラムは、感染したユーザのコンピュータのGoogle検索結果を不正操作してさらなる不正サイトに導びく。トレンドマイクロは、リダイレクトするスクリプトを「HTML_JSREDIR.AE」および「HTML_REDIR.AC」として検出する。
■2009/05/20 German Job Offers Used for Nigerian Scam
http://blog.trendmicro.com/german-job-offers-used-for-nigerian-scam/
ドイツ人ユーザを標的にした「格別の」リクルートがメールで行われている。メールは、アジアのIT会社とされる「IT Electronics」からとされ、電話と銀行口座さえ持っていれば、1日2~3時間働くだけで週に300~500ユーロの収入が得られる、とユーザを誘う。会社の顧客からの支払いを自分の銀行口座で受け取り、会社の銀行口座に移すだけで手数料がもらえるはずだが、ユーザは、知らないうちに違法なマネーローンダリングに加担することになる。メールは、おそらく、ボットネットを利用して送信されている。
■2009/05/20 Koobface Worm Alive and Wriggling
http://blog.trendmicro.com/koobface-worm-alive-and-wriggling/
人気のSNS(ソーシャルネットワーキングサイト)、Tagged、FriendsterおよびMySpaceなどを標的にした「Koobface」による攻撃が確認された。実行されると、ワーム「Koobface」は、コンピュータ上でSNSのクッキーを検索し、ユーザ情報を入手する。さらにリモートサーバから、自身のコピーへ誘導するリンクを含むメッセージを受信し、それをユーザのコンタクト先へと送信して感染活動を行う。トレンドマイクロでは、この攻撃に関連している不正プログラムを、「WORM_KOOBFACE.ET」、「WORM_KOOBFACE.EY」および「WORM_KOOBFACE.EX」として検出する。
■2009/05/18 Mediterranean Hacktivism on the Rise
http://blog.trendmicro.com/mediterranean-hacktivism-on-the-rise/
最近、地中海地域の攻撃者によるWebサイト改ざん事件が頻発している、と報告している。最新の事例では、トルコ人によりニュージーランドのWebサイトが改ざんされ、「Stop the War Israel」といった政治メッセージやビル・ゲイツの画像が表示された。複数の事例を検証すると、非常に組織化されている。この背景として、この地域(モロッコ、アルジェリアまたはチュニジアなど)では、近年、急速にブロードバンド環境が広がっていることが考えられる、と説明している。
■2009/05/14 CVE-2009-0556 Vulnerability Patched
http://blog.trendmicro.com/cve-2009-0556-vulnerability-patched/
今月12日、マイクロソフト社は先月初めに攻撃されたPowerPointのセキュリティホールに対するパッチをついに公開。このセキュリティ更新プログラムは14個あり、そのうち、11個は「緊急」と判断され同社の脅威ランキングで上位にランキングしている。ただし、今なお危険にさらされているMac用Office 2004および2008に関してはまだ公開されていない、と報じている。このセキュリティホールは、利用者が細工されたPowerPointファイルを開くことで攻撃が成立する。このセキュリティホールが利用されると、特定のIPアドレスに感染コンピュータのリストを送信するなど、不正活動をするウイルス「KUPS」を作成する。TrendLabsでは、セキュリティ更新プログラムの適用を呼びかけている。なお、Macユーザに対しては、発信元が定かでないメールに添付されているPowerPointファイルや、インターネットからのPowerPointファイルをダウンロードしないよう注意喚起している。
■2009/05/14 Happy Birthday, AMTSO!
http://blog.trendmicro.com/happy-birthday-amtso/
AMTSO(Anti-Malware Testing Standards Organization)とは、世界の主要セキュリティベンダーなどが参加して、ウイルス対策製品のテスト基準およびガイドラインの標準化を目指し2008年2月に発足された団体。トレンドマイクロ社も発足時より積極的に同団体に参加している。今回、現在のWeb脅威の状況を踏まえて、改めて、同団体の意義を説明している。検証機関およびセキュリティベンダーと共に、サイバー空間で頻発する不正行為に対抗し、公平な製品レビュー結果の公開を目指すことを報告している。
特集:Pushdo/Cutwail ファミリに関する記事
■2009/05/21 Pushdo/Cutwail – Traditional AV is Useless (Part 5 of 5)
http://blog.trendmicro.com/pushdocutwail-%e2%80%93-traditional-av-is-useless-part-5-of-5/
■2009/05/20 Pushdo/Cutwail – Sniffing for the Win (Part 4 of 5)
http://blog.trendmicro.com/pushdocutwail-%e2%80%93-sniffing-for-the-win-part-4-of-5/
■2009/05/18 Pushdo/Cutwail – Can’t Touch This (Part 3 of 5)
http://blog.trendmicro.com/pushdocutwail-%e2%80%93-can%e2%80%99t-touch-this-part-3-of-5/
リージョナルトレンドラボでは、「Pushdo/Cutwail」に関する5回連載記事の翻訳文掲載を予定しています。