オバマ米大統領は、2011年5月1日夜(日本時間 2日午後)、緊急演説を実施。世界中の注目を集めました。パキスタンの首都イスラマバード郊外にある Abbottabad(アボタバード)で、国際テロ組織アルカイダの最高指導者ウサマ・ビンラディン容疑者が米国の特殊部隊との銃撃戦により殺害されたと発表しました。
続きを読む米Adobeは、2011年3月21日、深刻な脆弱性「APSA11-01」に対応する修正パッチを公開。この脆弱性は、それまで未修正の状態で、実際の悪用事例が報告されていました。それからわずか数週間後の 4月11日、”Adobe Flash Player” に新たなゼロデイ脆弱性が確認されました。
同社が公開したセキュリティ情報によると、この脆弱性は「APSA11-02」として識別され、この脆弱性を悪用する不正な ShockWave Flashファイル(拡張子SWF)を埋め込んだ MS Office の Wordファイルが拡散しているとのこと。また、問題となる Wordファイルは、Eメールに添付され、この添付ファイルを開くと不正プログラムに感染すると報告しています。「TrendLabs(トレンドラボ)」では、現在、この攻撃で侵入経路となっているメールの詳細情報を確認中です。
続きを読むトレンドマイクロでは、2010年6月10日から、「open.htm」というファイルを添付し、不正サイトへと誘導するスパムメールが世界的に流通しており、日本国内においても多数の企業で受信していることを確認しています。
弊社にて確認しているスパムメールの件名にはいくつかのバリエーションがみられます。このうち、「Microsoft Outlook Setup Notification」の件名は2009年にも確認した手口です。(Trend Micro Security Blog:2009年6月15日「国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃」)
Outlook利用者を狙ったケース | World Cup South Africaに便乗 |
図1. 件名「Outlook Setup Notification」 | 図2. 件名「FIFA World Cup South Africa… bad news」 |
JPCERT コーディネーションセンターは6月1日、「社内 PC のマルウエア感染調査を騙るマルウエア添付メールに関する注意喚起」を発表しました。
今回はこのインシデントにおける添付ファイル「Virus Check.zip」に注目し、その脅威について報告いたします。
|
|
TrendLabs | Malware Blog
「FAKEAV Uses Conficker Worm as Bait」より
Oct 21, 2009 Robby Dapiosen
サイバー犯罪者は、ごく最近、マイクロソフトをかたりユーザを罠におびき寄せようとする新たな手段を見つけました。
図1:スパムメールのサンプル |
TrendLabs | Malware Blog
「9/11 Pentagon Conspiracy Theory Spam Leads to Malware」より
Oct 17, 2009 JM Hipolito
世界的なニュースは、悲劇的であればなおさら、「どうしてそんなことが?」という疑問を抱く人々の関心の的になります。そして、そのような出来事は、いろいろな意味で多くの人々に影響を与え、これといった明らかな理由もなしにそのような悲劇が起こったとは思えなくなるのです。
続きを読むTrendLabs | Malware Blog
「MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites」より
Jul 9,2009 JM Hipolito
米国・韓国の大手Webサイトを襲った今回の分散型サービス拒否(DDoS)攻撃では、メールを介して感染活動を行うワームが、攻撃の主役となりました。
このワームは、トレンドマイクロの製品では「WORM_MYDOOM.EA」として検出され、メールの添付ファイルとして感染ユーザの受信箱に侵入します。ワームは、実行されると、自身をシステムサービス(WMI Performance Configuration および WmiConfig)として登録し、Windows起動時に確実に実行されるように設定します。そして、ワームは、コンポーネントファイルを作成し、このファイルをDDoS攻撃の標的リストと共に複数の感染コンピュータに拡散します。
次に、ワームは、感染コンピュータ上のIE(Internet Explorer)の<Temporary Internet Files>フォルダ内にある全ファイルからメールアドレスおよびドメイン名を収集します。ワームは、また、収集したドメイン名の先頭に、andrew、brenda、david、georgeといったユーザ名(詳細についてはこちら)を追記し、さらにメールアドレスを作成、追加します。このワームの脅威は、これだけではありません。ワームは、メールアドレス収集・追加作成だけにとどまらず、メール・サーバ・アドレスをも収集します。このサーバアドレスもメールアドレス同様、集めたドメイン名の先頭に特定の文字列を追記し、これにより、サーバアドレス収集が可能となります。ワームは、自身のSMTPエンジンを介してメールを送信する機能を備えており、自身のコピーをメールに添付し、上記の方法で作成したアドレスに送信することにより感染活動を実行します。ただし、コードには、「WORM_MYDOOM.EA」がメールにより拡散するように仕組まれていることが判明されていますが、トレンドラボでは、未だこのメールによる感染活動が成功裏に終わった検体を取得できていません。
トレンドマイクロのウイルス解析チームは、この不正プログラムおよび関連コンポーネントの正体を見破るために分析を続けており、有益な情報が入り次第、改めて投稿する予定です。
ワームは、ネットワーク分析ツールに関連したファイルを削除します。これにより、感染ユーザに気づかれることなく、DDoS攻撃ツールとして活動でき、標的とするWebサイトへのDDoS攻撃が可能となります(図1参照)。