フィッシング対策協議会は5月20日、「Carview（カービュー）」を騙って偽サイトに誘導しようとするフィッシングメールを確認したとして注意喚起を発表しています。 　報告によれば、攻撃はフィッシングメールを端に発するもので、巧みなうたい文句でフィッシングサイトへ誘導しようと試みています。 図1. 「Carview（カービュー）」に見せかけた偽サイト。ユーザ名やパスワードを入力させようとする。

　ボーランド社のプログラム開発環境「Delphi（デルファイ）」がウイルス「TROJ_INDUC.AA」により汚染される事例が相次いで報告されています。 　リージョナルトレンドラボでは、汚染された環境にて作成（コンパイル）され、ウイルス化した（汚染環境にてコンパイルした際に悪意あるコードが組み込まれた）プログラム「PE_INDUC.A」について多数報告を受けており、その一部はオンラインソフトとして正規に配布されているものであることを特定しています。 図1 「TROJ_INDUC.AA」によって汚染された「Delphi」にて作成された「PE_INDUC.A」 　攻撃の発端は、プログラム作成者の開発環境「Delphi」が「TROJ_INDUC.AA」により汚染されることにはじまります。「TROJ_INDUC.AA」は「Delphi」でプログラムを作成する際に使用するライブラリ「SysConst.dcu」（特定の機能をもったプログラムを再利用可能な形で部品化したもの）を「TROJ_INDUC.AA」と置き換えます。この置き換え行為をここでは、「Delphi開発環境への汚染」と呼んでいます。 $(DELPHI)\lib にある「SysConst.pas」ファイルに悪意あるコードをコピーする。 正規の「SysConst.dcu」を「SysConst.bak」という名前に変更する。 悪意あるコードを含む「SysConst.pas」をコンパイルすることで、新たな「SysConst.dcu」（「TROJ_INDUC.AA」）を作成する。 作成後、元の「SysConst.pas」ファイルは削除する。 この汚染は、Delphiバージョンが4.0、5.0、6.0、7.0の場合に発生します。

TrendLabs | Malware Blog 「More Zero-Day Exploits for Firefox and IE Flaws」より Jul 21, 2009　Jovi Umawing 　トレンドラボのシニア・ウイルス解析者 Joseph Reyes は、“Mozilla Firefox” および “Microsoft Internet Explorer（ActiveXコントロール）”のセキュリティホールを利用する不正スクリプトを確認しました。トレンドマイクロではこれら不正スクリプトをウイルスとして、以下のように警告を行っています。 ウイルス名 概要 JS_DIREKTSHO.B このウイルスは”Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される（972890）：CVE-2008-0015”のセキュリティホールを利用し、ほかのウイルスをダウンロードします。 JS_FOXFIR.A このウイルスは、Webサイトにアクセスし、「JS_SHELLCODE.BV」をダウンロードします。また、”Mozilla Firefox バージョン3.5” のセキュリティホール「Mozilla Foundation Security ...

TrendLabs | Malware Blog 「MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites」より Jul 9，2009　JM Hipolito 　米国・韓国の大手Webサイトを襲った今回の分散型サービス拒否（DDoS）攻撃では、メールを介して感染活動を行うワームが、攻撃の主役となりました。 　このワームは、トレンドマイクロの製品では「WORM_MYDOOM.EA」として検出され、メールの添付ファイルとして感染ユーザの受信箱に侵入します。ワームは、実行されると、自身をシステムサービス（WMI Performance Configuration および WmiConfig）として登録し、Windows起動時に確実に実行されるように設定します。そして、ワームは、コンポーネントファイルを作成し、このファイルをDDoS攻撃の標的リストと共に複数の感染コンピュータに拡散します。 　次に、ワームは、感染コンピュータ上のIE（Internet Explorer）の＜Temporary Internet Files＞フォルダ内にある全ファイルからメールアドレスおよびドメイン名を収集します。ワームは、また、収集したドメイン名の先頭に、andrew、brenda、david、georgeといったユーザ名（詳細についてはこちら）を追記し、さらにメールアドレスを作成、追加します。このワームの脅威は、これだけではありません。ワームは、メールアドレス収集・追加作成だけにとどまらず、メール・サーバ・アドレスをも収集します。このサーバアドレスもメールアドレス同様、集めたドメイン名の先頭に特定の文字列を追記し、これにより、サーバアドレス収集が可能となります。ワームは、自身のSMTPエンジンを介してメールを送信する機能を備えており、自身のコピーをメールに添付し、上記の方法で作成したアドレスに送信することにより感染活動を実行します。ただし、コードには、「WORM_MYDOOM.EA」がメールにより拡散するように仕組まれていることが判明されていますが、トレンドラボでは、未だこのメールによる感染活動が成功裏に終わった検体を取得できていません。 　トレンドマイクロのウイルス解析チームは、この不正プログラムおよび関連コンポーネントの正体を見破るために分析を続けており、有益な情報が入り次第、改めて投稿する予定です。 　ワームは、ネットワーク分析ツールに関連したファイルを削除します。これにより、感染ユーザに気づかれることなく、DDoS攻撃ツールとして活動でき、標的とするWebサイトへのDDoS攻撃が可能となります（図１参照）。

　リージョナルトレンドラボでは4月13日に、三菱UFJニコス株式会社及びUFJカードグループが発行するUFJカード（UFJ Card）を騙る日本語のWebサイトが開設されていること、同サイトへ誘導する英語のスパムメールの流通を確認しており、14日午前時点も未閉鎖/稼働中であることを警告するとともに、注意喚起いたします。 図1 UFJカードを騙るフィッシングサイト（偽サイト）

この事例に関するサポートページが公開されました。インストールした覚えのないアプリケーションのポップアップウィンドウが繰り返し表示される問題に遭遇されているユーザは、以下のサポートページをご参照ください。 「不正なポップアップウィンドウが表示される問題の解決方法」 Windows XP の場合http://esupport.trendmicro.co.jp/pages/JP-2079453.aspx Windows Vista／Windows 7 の場合http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx 「作業を専門家に依頼する場合」 おまかせ！不正請求クリーンナップサービスhttp://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/　service/index.html?cm_sp=Sup-_-Consoma-_-securityblog_omakase_top 　ワンクリック詐欺は、従来からインターネット上の脅威の一つとして認識されていますが、年月と共にその騙しのテクニックもより巧妙となってきています。　ワンクリック詐欺に引っかかってしまうのはその存在を知らないという大前提もありますが、手口をよく知らないという側面も問題として考えられます。 　今回はより巧妙化している現在のワンクリック詐欺サイトについて、最新事例を取り上げ、技術的な側面からその巧妙な手口をレポート致します。

　リージョナルトレンドラボは4月2日、マイクロソフト株式会社の「Microsoft PowerPoint」に存在する未知の脆弱性に対してゼロデイ攻撃（修正プログラム未公開のセキュリティホール：脆弱性を悪用する攻撃）を仕掛けるトロイの木馬「TROJ_PPDROP.AB」の報告を受信いたしました。既に日本国内のお客様からも検体提供いただいております。 ※「TROJ_SHELLCOD.GO」の検出名より「TROJ_PPDROP.AB」へ変更いたしました。

　明日は4月1日、春の転勤、異動、新入学など大きな変化を迎えようとしている人も数多いのではないでしょうか。今年はサイバー空間も例外では無いようです。予てより悪意ある活動を展開している「WORM_DOWNAD」（ダウンアド、別名：「W32.Downadup」または「Win32/Conficker」）ファミリの亜種「WORM_DOWNAD.KK」が2009年4月1日に発症日を控え、カウントダウンを開始しています。 　様々な憶測が広まっている「WORM_DOWNAD.KK」によるエイプリルフールアタックですが、ネットワークに参加する一人一人が主体的に自衛策を事前に施しておけば、恐るるに足りない脅威です。今回はホワイトボックス解析の結果得られた情報から、「WORM_DOWNAD.AD」との比較を行い、ダウンアドに備えた主体的な自衛策について考えていきます。

　リージョナルトレンドラボは3月11日、株式会社ジャストシステムのワープロソフト「一太郎」に存在する未知の脆弱性に対してゼロデイ攻撃（修正プログラム未公開のセキュリティホール：脆弱性を悪用する攻撃）を仕掛けるトロイの木馬「TROJ_TARODROP.BA」の報告を受信いたしました。

　リージョナルトレンドラボは2月、マイクロソフト株式会社のMicrosoft Excelの脆弱性に対して攻撃を仕掛けるXLSファイル（Excelウイルス）「TROJ_MDROPPER.XR」の被害報告を受信いたしました。既に日本国内のお客様からも検体提供いただいております。