トレンドマイクロは、Android OS を搭載した端末（以下、Android 端末）に存在する脆弱性を利用し、ユーザ端末のルート権限を取得しようとする不正アプリを多く確認してきました。2013年6月に確認した「ANDROIDOS_OBAD」は、そのような脆弱性の利用を強化し、さらに高度な活動を行う不正アプリです。この不正アプリは、端末からのアンインストールを回避する機能を実装しており、またさらに他の不正アプリをユーザにわからないようにダウンロードし実行します。

トレンドマイクロは、2013年2月下旬、「Remote Access Tool（RAT）」である「RARSTONE」について本ブログで報告しました。このRARSTONE は、同RATより古くから知られている「PlugX」と類似した特徴をいくつか備えています。そして、同年4月、ソーシャルエンジニアリングの手口として「ボストン・マラソン同時爆破事件」に便乗した標的型攻撃において、このRATが利用されていました。

「TrendLabs（トレンドラボ）」は、2013年5月29日のブログ記事で、オンライン銀行詐欺ツール「ZBOT」が、この2013年に入って、再来していることを報告しました。「ZBOT」がソーシャル・ネットワーキング・サービス（SNS）「Facebook」を介して拡散しているという報道は、この事実の裏付けの一つと言えます。そして今回、トレンドラボは、自ら拡散機能を備える新たな「ZBOT」の亜種を確認しました。

トレンドマイクロは、「Plesk」の旧バージョンに影響を及ぼすエクスプロイトコード（脆弱性攻撃コード）を監視しています。このエクスプロイトコードは、攻撃者が脆弱性の影響を受けた Webサーバを完全に制御することを可能にするものです。Plesk とは、米「Parallels」の人気ホスティング向けコントロールパネルです。今回の脆弱性の対象となる旧バージョンは、既にサポート期限が切れており、修正プログラムが存在しないゼロデイ攻撃の状態となっています。これはつまり、問題のエクスプロイトコードの影響を受ける Plesk の旧バージョンを利用する、すべての Webサイトが被害を受ける危険性があることを意味します。今回確認されたエクスプロイトコードの影響範囲に関しては、Parallels の情報をご参照ください。

2013年6月4日のブログでお伝えした国内で発生している正規Webサイトの改ざん被害について、詳しい攻撃手法などの解析を行った上で得られた調査結果を続報としてお伝えします。国内の正規Webサイト改ざん被害ケースは、つい先週の 5月30日のブログ、また、3月18日のブログでもお伝えしていますが、これらのケースとの類似性はあるのでしょうか。

人気のサイトを悪用することは、サイバー犯罪者の常とう手段になっていることは言うまでもありません。トレンドマイクロでは、2013年5月末以降、不正な JavaScript である「JS_BLACOLE.SMTT」の挿入による日本国内の Webサイト改ざん事例を複数確認しています。改ざんされたサイトを閲覧した PC では、端末の状態により、脆弱性を利用した攻撃の被害を実際に受ける可能性があります。トレンドマイクロによる確認の結果、少なくとも 6月3日時点で 40のドメインが改ざんの被害に遭っていることが判明しています。また、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、これら改ざんされた 40のドメインに 6月3日時点だけでも、約 6万ものアクセスがあったことを確認しています。

一般的にユーザがファイルを圧縮ファイルを作成する際は、便宜上、複数のファイルを1つのファイルにひとまとめにするか、または単に格納スペースに保存します。しかし、「TrendLabs（トレンドラボ）」は、パスワード保護された圧縮形式の圧縮ファイル内にさえ自身のコピーを作成するワームを確認しました。

トレンドマイクロ・フォワードルッキングスレットリサーチ（FTR）では、さまざまな調査の過程で、複数の日本の Web ページが改ざん被害に遭っている事実を確認しました。これらはすべて海外のハッカーグループによる、日本を標的としたハクティビズム目的の攻撃と考えられます。攻撃者のハッカーグループは、個人レベルの小規模なものと考えられますが、グループチャットを利用した煽動も行われており、より大規模な攻撃に発展する危険性があります。

「オンライン銀行詐欺ツール」として悪名高い不正プログラム「ZBOT」が、急激かつ活発に活動しています。現在活動しているのは、これまでのものとは異なる亜種であることも確認されています。トレンドマイクロは、「2013年の脅威は何か？　トレンドマイクロのセキュリティ予測」のなかで、サイバー犯罪は、従来の脅威が特定の改良や新機能が加えられて再登場してくると予測しました。そして、今年の第1四半期において、「CARBERP」やボットネット「Andromeda」といった脅威に見られるように、この予測が証明されることとなりました。

本ブログでも何度も取り上げているように、現在の攻撃者は、「Twitter」や「Facebook」などに代表されるソーシャルメディアを攻撃対象として狙っています。特に、アカウント情報を窃取、詐取されることによる、「なりすまし」、「アカウント乗っ取り」の被害は後を絶ちません。今回はトレンドマイクロの脅威対策機関である、リージョナルトレンドラボ（RTL）が実際に確認した、Facebookアカウントの乗っ取り事例を紹介します