トレンドマイクロでは、2016年第3四半期(7~9月)における国内外の脅威動向について分析を行いました。その結果、2016年を通じインターネット利用者にとって最も大きな脅威となっている、身代金要求型不正プログラム(ランサムウェア)は、この第3四半期にその攻撃規模をますます拡大させていることが確認できました。
図1:国内でのランサムウェアの検出台数推移
Adobe は、2016年10月26日(米国時間)、同社製品 Flash Player に存在するゼロデイ脆弱性「CVE-2016-7855」に対応する定例外更新プログラムを緊急に公開しました。同社セキュリティ情報「APSB16-36」によると、問題の脆弱性の影響を受けるバージョンは、今月11日にリリースされた 23.0.0.185、およびそれ以前のバージョンとなります。詳細は、以下の通りとなります。
影響を受ける OS:Windows、Macintosh、Linux、Chrome OS
23.0.0.185 以前のバージョン
- Adobe Flash Player Desktop Runtime
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11
- Adobe Flash Player for Google Chrome
11.2.202.637 以前のバージョン
- Adobe Flash Player for Linux
同社製品の利用者は、直ちに更新プログラムを適用してください。
続きを読むフィッシング対策協議会は5月20日、「Carview(カービュー)」を騙って偽サイトに誘導しようとするフィッシングメールを確認したとして注意喚起を発表しています。
報告によれば、攻撃はフィッシングメールを端に発するもので、巧みなうたい文句でフィッシングサイトへ誘導しようと試みています。
 |
| 図1. 「Carview(カービュー)」に見せかけた偽サイト。ユーザ名やパスワードを入力させようとする。 |
ボーランド社のプログラム開発環境「Delphi(デルファイ)」がウイルス「TROJ_INDUC.AA」により汚染される事例が相次いで報告されています。
リージョナルトレンドラボでは、汚染された環境にて作成(コンパイル)され、ウイルス化した(汚染環境にてコンパイルした際に悪意あるコードが組み込まれた)プログラム「PE_INDUC.A」について多数報告を受けており、その一部はオンラインソフトとして正規に配布されているものであることを特定しています。
 |
|
|
攻撃の発端は、プログラム作成者の開発環境「Delphi」が「TROJ_INDUC.AA」により汚染されることにはじまります。「TROJ_INDUC.AA」は「Delphi」でプログラムを作成する際に使用するライブラリ「SysConst.dcu」(特定の機能をもったプログラムを再利用可能な形で部品化したもの)を「TROJ_INDUC.AA」と置き換えます。この置き換え行為をここでは、「Delphi開発環境への汚染」と呼んでいます。
|
この汚染は、Delphiバージョンが4.0、5.0、6.0、7.0の場合に発生します。 |
TrendLabs | Malware Blog
「More Zero-Day Exploits for Firefox and IE Flaws」より
Jul 21, 2009 Jovi Umawing
トレンドラボのシニア・ウイルス解析者 Joseph Reyes は、“Mozilla Firefox” および “Microsoft Internet Explorer(ActiveXコントロール)”のセキュリティホールを利用する不正スクリプトを確認しました。トレンドマイクロではこれら不正スクリプトをウイルスとして、以下のように警告を行っています。
|
ウイルス名 |
概要 |
|
このウイルスは”Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される(972890):CVE-2008-0015”のセキュリティホールを利用し、ほかのウイルスをダウンロードします。 |
|
|
このウイルスは、Webサイトにアクセスし、「JS_SHELLCODE.BV」をダウンロードします。また、”Mozilla Firefox バージョン3.5” のセキュリティホール「Mozilla Foundation Security Advisory 2009-41:Mozilla Firefox の JavaScript エンジン(Tracemonkey コンポーネント)に任意のコードが実行される脆弱性:CVE-2009-2477」を利用し、「WORM_KILLAV.AKN」をダウンロードします。 |
|
|
このウイルスは、「JS_FOXFIR.A」のコンポーネントです。ウイルスは、エクスプロイトコード(セキュリティホールの存在を実証するためのプログラム)を含み、Webサイトにアクセスして、「WORM_KILLAV.AKN」をダウンロードします。 |
|
|
このウイルスは、リモートサイトにアクセスして、「JS_SHELLCODE.BV」をダウンロードします。また、”Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される(973472):CVE-2009-1136” のセキュリティホールを利用します。 |
TrendLabs | Malware Blog
「MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites」より
Jul 9,2009 JM Hipolito
米国・韓国の大手Webサイトを襲った今回の分散型サービス拒否(DDoS)攻撃では、メールを介して感染活動を行うワームが、攻撃の主役となりました。
このワームは、トレンドマイクロの製品では「WORM_MYDOOM.EA」として検出され、メールの添付ファイルとして感染ユーザの受信箱に侵入します。ワームは、実行されると、自身をシステムサービス(WMI Performance Configuration および WmiConfig)として登録し、Windows起動時に確実に実行されるように設定します。そして、ワームは、コンポーネントファイルを作成し、このファイルをDDoS攻撃の標的リストと共に複数の感染コンピュータに拡散します。
次に、ワームは、感染コンピュータ上のIE(Internet Explorer)の<Temporary Internet Files>フォルダ内にある全ファイルからメールアドレスおよびドメイン名を収集します。ワームは、また、収集したドメイン名の先頭に、andrew、brenda、david、georgeといったユーザ名(詳細についてはこちら)を追記し、さらにメールアドレスを作成、追加します。このワームの脅威は、これだけではありません。ワームは、メールアドレス収集・追加作成だけにとどまらず、メール・サーバ・アドレスをも収集します。このサーバアドレスもメールアドレス同様、集めたドメイン名の先頭に特定の文字列を追記し、これにより、サーバアドレス収集が可能となります。ワームは、自身のSMTPエンジンを介してメールを送信する機能を備えており、自身のコピーをメールに添付し、上記の方法で作成したアドレスに送信することにより感染活動を実行します。ただし、コードには、「WORM_MYDOOM.EA」がメールにより拡散するように仕組まれていることが判明されていますが、トレンドラボでは、未だこのメールによる感染活動が成功裏に終わった検体を取得できていません。
トレンドマイクロのウイルス解析チームは、この不正プログラムおよび関連コンポーネントの正体を見破るために分析を続けており、有益な情報が入り次第、改めて投稿する予定です。
ワームは、ネットワーク分析ツールに関連したファイルを削除します。これにより、感染ユーザに気づかれることなく、DDoS攻撃ツールとして活動でき、標的とするWebサイトへのDDoS攻撃が可能となります(図1参照)。
 |
リージョナルトレンドラボでは4月13日に、三菱UFJニコス株式会社及びUFJカードグループが発行するUFJカード(UFJ Card)を騙る日本語のWebサイトが開設されていること、同サイトへ誘導する英語のスパムメールの流通を確認しており、14日午前時点も未閉鎖/稼働中であることを警告するとともに、注意喚起いたします。
 |
|
|
|
この事例に関するサポートページが公開されました。インストールした覚えのないアプリケーションのポップアップウィンドウが繰り返し表示される問題に遭遇されているユーザは、以下のサポートページをご参照ください。 http://esupport.trendmicro.co.jp/pages/JP-2079453.aspx http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx http://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/ service/index.html?cm_sp=Sup-_-Consoma-_-securityblog_omakase_top |
ワンクリック詐欺は、従来からインターネット上の脅威の一つとして認識されていますが、年月と共にその騙しのテクニックもより巧妙となってきています。 ワンクリック詐欺に引っかかってしまうのはその存在を知らないという大前提もありますが、手口をよく知らないという側面も問題として考えられます。
今回はより巧妙化している現在のワンクリック詐欺サイトについて、最新事例を取り上げ、技術的な側面からその巧妙な手口をレポート致します。 (さらに…)
続きを読む リージョナルトレンドラボは4月2日、マイクロソフト株式会社の「Microsoft PowerPoint」に存在する未知の脆弱性に対してゼロデイ攻撃(修正プログラム未公開のセキュリティホール:脆弱性を悪用する攻撃)を仕掛けるトロイの木馬「TROJ_PPDROP.AB」の報告を受信いたしました。既に日本国内のお客様からも検体提供いただいております。
※「TROJ_SHELLCOD.GO」の検出名より「TROJ_PPDROP.AB」へ変更いたしました。 (さらに…)
