2009/06/08~2009/06/15
「THREAT」とは、「脅威」を意味する英単語です。サイバー空間では今日も世界中でさまざまな問題が報告されています。
本連載では、情報セキュリティ関連情報収集の効率化を目的として英語ブログ「TrendLabs Malware Blog」が今週1週間に配信した記事へのリンクを要約とともにお届けしています。国外の事例を知ることは、先進的な自衛策を検討する上で、有効な情報源の一つになり得ます。是非、英文記事にもアクセスしてみてください。
■2009/06/15 Another Google Search Feature Abused
http://blog.trendmicro.com/another-google-search-feature-abused/
Googleの「site: 」クエリを使用したURLを含むスパムメールについて報じている。
攻撃者の狙いは、Googleの結果ページからスパムサイト直接的に接続させることが目的と考えられる。また、昨年スパム業者がGoogleの「I’m feeling lucky」ボタンを乱用していた注意すべき事実があるが、今回の方法が、それと同じレベルの悪用方法となるかはまだわからない、と結論付けている。
■2009/06/15 Spammers Ride on H1N1 Global Pandemic
http://blog.trendmicro.com/spammers-ride-on-h1n1-global-pandemic/
世界保健機関(WHO)は新型インフルエンザ(H1N1)に対し、警戒レベルを世界的な流行を意味する「フェーズ6」に引き上げると宣言した。これを受け、再びサイバー空間において新型インフルエンザに関する悪質な活動が活発化している。TrendLabsでは、特に「is-the-boss.com」ドメイン上のコンテンツに注意を呼びかけている。ウイルスをはじめとする悪質なコンテンツがアップロードされており、インターネット検索エンジンから悪質サイトへと誘導する手口であるSEOポイズニングによって、利用者に罠を掛けようとしている実体が報じられている。
■2009/06/11 The Good and the Bad of Being A New Spam Bot
http://blog.trendmicro.com/the-good-and-the-bad-of-being-a-new-spam-bot/
新たに確認されたスパムボット「TROJ_PROXY.AIF」について報じている。
ボットネットに指令を出すコンピュータとの通信「C&C(コマンド・アンド・コントロール)」は暗号化されておらず、近年報告されているボットと比較するとその技術程度は低いといえる。その一方で、ボットから配信されるスパムメールにはスパムフィルター回避を狙った工夫が施されている。1通のメールに対し、5人の受信者に宛てて送信していることを確認している。通常一対一のスパムメール送信が多く、これは際だった特徴と言える。
このほか、メール本文中にGoogleグループを介したリンクを含めるといった偽装工作も確認されている。
「TROJ_PROXY.AIF」は開発の初期段階にあるスパムボットである可能性がある。今後更なる進化を遂げ、被害を及ぼす可能性について注意喚起している。
■2009/06/11 Botnet Research on WALEDAC and PUSHDO
http://blog.trendmicro.com/botnet-research-on-waledac-and-pushdo/
TrendLabsでは、ボットネットに関する2種類のホワイトペーパをリリースいたしました。
ホワイトペーパ:「Infiltrating WALEDAC Botnet’s Covert Operations(PDF、英語情報)」 ホワイトペーパ:「A Study of Pushdo / Cutwail(PDF、英語情報)」
これらホワイトペーパを含む、過去リリースした内容については こちら よりご確認いただけます。
■2009/06/10 Stolen FTP Credentials Key to Gumblar Attack
http://blog.trendmicro.com/stolen-ftp-credentials-key-to-gumblar-attack/
数千の正規ウェブサイトが改ざんされたGumblar攻撃(訳注:活動の拠点となっているサイトのドメイン名から名付けられた一連の攻撃に関する通称)は、SQLインジェクションによるものではないと報じている。
一連の攻撃においては、攻撃の末端にあるウイルスの振る舞いによって、FTP認証情報が収集され、正規ウェブサーバのファイルへアクセスを許し、改ざんが行われている。
その感染の連鎖は、改ざんサイトに仕組まれた「HTML_JSREDIR.AE」、「HTML_REDIR.AC」スクリプトによって、「TSPY_KATES.G」がダウンロードされ、システムに感染。「TSPY_KATES.G」はドライバとしてシステムに常駐し、ネットワークトラフィックを監視することでFTP認証情報のデータ漏えいを試みている。
FTP認証情報を通じての改ざんは、通常のウェブサイト管理者が有しているアクセス権と同レベルの権限を攻撃者が得ることとなり、危険性が高いことを注意喚起している。
■2009/06/09 June 2009 Microsoft and Adobe Security Updates
http://blog.trendmicro.com/june-2009-microsoft-and-adobe-security-updates/
マイクロソフト社は6月10日、6月のセキュリティ更新プログラム 10件を公開した。10件の最大深刻度は、4段階中で最も高い“緊急”が6件、2番目に高い“重要”が3件、3番目に高い“警告”が1件。最も低い“注意”はリリースされていません。
また同日、米Adobe Systems社はJBIG2フィルタに存在する脆弱性など、これまでに確認されている合計12件の脆弱性の修正を対象としたセキュリティアップデート公開した。同社は予てより、四半期ごとに定例のセキュリティアップデートを公開する計画を発表しており、今回がこの計画に沿った初の定例アップデートとなる。
■2009/06/09 Beware of Repackaged HijackThis Downloads
http://blog.trendmicro.com/beware-of-repackaged-hijackthis-downloads/
※トレンドマイクロ セキュリティ ブログ「「HijackThis? のダウンロード」を悪用した手口 」
■英語セキュリティ・ブログ紹介 国内メディア
https://www.netsecurity.ne.jp/1_13439.html