世界の時事問題ニュースに便乗するソーシャルエンジニアリングの手法は、サイバー犯罪者の常とう手段となっているのは周知の事実でしょう。トレンドマイクロでは、2012年4月17日、注目する時事問題が悪用された事例を確認しました。この攻撃の結果、最終的にバックドア型不正プログラムに感染することとなります。
続きを読む間近に迫った「第30回夏季オリンピック(ロンドンオリンピック)」は、2012年、開催が最も待ち望まれているスポーツイベントといっても過言ではないでしょう。もちろん、サイバー犯罪者も同じです。こうした注目を集めるイベントに便乗するソーシャルエンジニアリングの手口は常とう手段と化しています。「TrendLabs(トレンドラボ)」では、2012年4月3日、同オリンピック観戦旅行パックが当選する抽選に参加できると装った事例を確認しましたが、4月20日再び確認。ただし、前回とは少し手口が異なっていました。従来のオリンピック関連の事例では、観戦チケットが得られるように偽装していますが、今回は、注意喚起を装ったスパムメールとして侵入します。
続きを読むトレンドマイクロは、Microsoft による「2012年4月のセキュリティ情報(月例)」の公開後数日も経たぬ間に、このセキュリティ情報に含まれた脆弱性を利用する不正なリッチテキストファイル(拡張子RTF)が世界各地で流布しているのを確認。この不正なRTFファイルは、セキュリティ情報「MS12-027」に含まれる脆弱性「CVE-2012-0158」を利用します。Microsoft の 4月のセキュリティ情報によると、Microsoft Office や Visual FoxPro、Commerce Server、BizTalk Server、さらに Microsoft SQL Server といった多数の同社製品が影響を受けます。
続きを読む2011年はいわゆる「『情報漏えい』の年」とも言えましたが、2012年の第1四半期の動向を振り返ると、その状況は変化しています。「情報漏えい」に代わり「モバイル」に攻撃の狙いが定められたようです。第1四半期に確認されたモバイルの脅威での事例によって、2012年の予測の 1つとして挙げていた「Android OS を搭載したモバイル端末(以下、Android端末)は、サイバー犯罪者にとって格好の攻撃対象となり続ける」ことが裏付けられました。トレンドマイクロでは、実際に 2012年の第1四半期だけでおよそ 5,000個もの新しい不正な Androidアプリを確認しています。この不正なアプリの急増は、Android端末を利用するユーザ数の増加が原因だと考えられます。
続きを読むトレンドマイクロでは、2012年3月、Malware Blog や本ブログ上を通じて、ソーシャルエンジニアリングを使った標的型攻撃の事例について報告してきました。
・チベット問題の関係者を狙う標的型攻撃を確認
/archives/4911
・News of Malicious Email Campaign Used As Social Engineering Bait
http://blog.trendmicro.com/news-of-malicious-email-campaign-used-as-social-engineering-bait
・Game Change: Mac Users Now Also Susceptible to Targeted Attacks
http://blog.trendmicro.com/game-change-mac-users-now-also-susceptible-to-targeted-attacks
2012年3月初旬、改ざんされた WordPress 使用のWebサイトから最終的に情報収集機能を備える「CRIDEX」ファミリに感染する事例を米国に本社を置くセキュリティ企業が報告しました。この攻撃の背後に潜むサイバー犯罪者は、改ざんされたサイトへとユーザを誘導するためにスパムメールを利用。米国の「Better Business Bureau(商事改善協会)」やソーシャル・ネットワーキング・サービス(SNS)「LinkedIn」などから送信されたように見せかけ、正規のメールを装っていました。確認されたこれらのスパムメールは、ユーザの興味や関心を逆手にとるソーシャルエンジニアリングの手法を用いて、メール本文内のリンクをクリックするように促します。
続きを読むトレンドマイクロでは、2012年3月中旬以降、話題になっている時事問題に便乗した特定人物宛のメールを複数確認しており、解析を続けています。確認したメールの 1つには、チベット自治区ラサでの抗議活動に関するドイツ首相の声明が記載されているように装っていました。このメールの送信者欄には、チベット人の人権や民主的自由を支援する非営利団体でオーストラリアを拠点とする「Australian Tibet Council(ATC)」の幹部から送られたように見せかけていました。もちろん、このメールは偽装されたもので、メールアドレスは上述の幹部を装うために作成されたものにすぎません。このメールには、Microsoft の Wordファイルが添付されており、ドイツ首相の声明に関する主要部分が記載されているように見せかけていました。この添付ファイルは、ダウンロードされると、トレンドマイクロの製品では「TROJ_ARTIEF.AE」として検出されます。「TROJ_ARTIEF.AE」は、Wordファイルに存在する脆弱性「CVE-2010-3333」を利用して、異なるファイルを作成します。この作成されたファイルは、「TSPY_MARADE.AA」として検出され、特定のシェルコマンドを実行することで、ネットワークおよびシステムの情報を収集する機能を備えています。こうして収集された情報は、不正な Webサイトにアップロードされます。
続きを読む米Google は、2012年3月7日より、Android向けアプリ配信ストア「Androidマーケット」を音楽・映画・電子書籍・モバイルアプリなどの配信Webサイト「Google Play」に統合したばかりですが、既にサイバー犯罪者はこの新しいサービスに目をつけたようです。「TrendLabs(トレンドラボ)」は、Google Play の URL を装う新たなドメインを確認。このドメインの Webサイトには不正なアプリが含まれています。
続きを読む