Microsoft は、2012年6月3日(米国時間)、更新プログラム「セキュリティアドバイザリ2718704」を公開しました。この更新プログラムは、マイクロソフト認証機関が発行する、以下の2つの中間CA証明書を失効させ、サポートされる Windows のすべてのバージョンが影響を受けます。
シリア国内の紛争が続いているなか、インターネットも重要な役割を果たし続けています。英語ブログ「Malware Blog」上で 2012年2月下旬に報告したように、シリア反体制支持派に対して標的型不正プログラム攻撃が仕掛けられています。同国反体制派の活動家たちはソーシャルメディアを活用し続けていることから、同国政府がソーシャル・ネットワーキング・サービス「Facebook」や動画共有サイト「YouTube」などの認証情報を収集するためにフィッシング攻撃を反体制派活動に対して仕掛けていること(Facebook・YouTube)は当然のことでしょう。米国大手メディア「CNN」は、インターネット電話ツール「Skype」を悪用して拡散している不正プログラムについて報告。トレンドマイクロは、この報道をきっかけに Skype を利用した異なる攻撃を確認しました。
続きを読むトレンドマイクロでは、2012年3月、Malware Blog や本ブログ上を通じて、ソーシャルエンジニアリングを使った標的型攻撃の事例について報告してきました。
・チベット問題の関係者を狙う標的型攻撃を確認
/archives/4911
・News of Malicious Email Campaign Used As Social Engineering Bait
http://blog.trendmicro.com/news-of-malicious-email-campaign-used-as-social-engineering-bait
・Game Change: Mac Users Now Also Susceptible to Targeted Attacks
http://blog.trendmicro.com/game-change-mac-users-now-also-susceptible-to-targeted-attacks
2012年3月初旬、改ざんされた WordPress 使用のWebサイトから最終的に情報収集機能を備える「CRIDEX」ファミリに感染する事例を米国に本社を置くセキュリティ企業が報告しました。この攻撃の背後に潜むサイバー犯罪者は、改ざんされたサイトへとユーザを誘導するためにスパムメールを利用。米国の「Better Business Bureau(商事改善協会)」やソーシャル・ネットワーキング・サービス(SNS)「LinkedIn」などから送信されたように見せかけ、正規のメールを装っていました。確認されたこれらのスパムメールは、ユーザの興味や関心を逆手にとるソーシャルエンジニアリングの手法を用いて、メール本文内のリンクをクリックするように促します。
続きを読むトレンドマイクロでは、2012年3月中旬以降、話題になっている時事問題に便乗した特定人物宛のメールを複数確認しており、解析を続けています。確認したメールの 1つには、チベット自治区ラサでの抗議活動に関するドイツ首相の声明が記載されているように装っていました。このメールの送信者欄には、チベット人の人権や民主的自由を支援する非営利団体でオーストラリアを拠点とする「Australian Tibet Council(ATC)」の幹部から送られたように見せかけていました。もちろん、このメールは偽装されたもので、メールアドレスは上述の幹部を装うために作成されたものにすぎません。このメールには、Microsoft の Wordファイルが添付されており、ドイツ首相の声明に関する主要部分が記載されているように見せかけていました。この添付ファイルは、ダウンロードされると、トレンドマイクロの製品では「TROJ_ARTIEF.AE」として検出されます。「TROJ_ARTIEF.AE」は、Wordファイルに存在する脆弱性「CVE-2010-3333」を利用して、異なるファイルを作成します。この作成されたファイルは、「TSPY_MARADE.AA」として検出され、特定のシェルコマンドを実行することで、ネットワークおよびシステムの情報を収集する機能を備えています。こうして収集された情報は、不正な Webサイトにアップロードされます。
続きを読む2012年3月6日(米国時間)、米連邦裁判所は、同国政府の要請を承認し、DNSチェンジャーと呼ばれる不正プログラムによる感染被害者の救済目的で設置した安全な DNSサーバの運用が 120日間延長されることとなりました。米国政府は、当初、不正な DNSサーバを正常な DNSサーバに置き換えることを民間企業に許可する要請について承認を受けていました。この当初の決定では、2012年3月8日までにその代替サーバの運用が停止されることが決められていました。しかし、今回の決定により、これらのサーバがさらに 4カ月間稼働されることとなりました。この期間延長により、DNSチェンジャーの被害者にとっては PC復旧のための時間がさらに猶予されることとなりました。この期間延長については、エストニアの裁判所が「Rove Digital」の子会社である「Esthost」の運営に関与していた 4名の身柄を新たに引渡す承認をした数日後に決定されました。2011年11月に逮捕された 6人の容疑者全員、エストニア政府の承認のもと、米国に引き渡されることになります。
続きを読む「実際に証拠があるなら、法的機関は(我々の逮捕という)行動に出ているはずだ。しかし、その可能性は極めて低いと思うよ」
上記は、Rove Digital および Esthost の広報担当者だった Konstantin Poltev容疑者による、2008年10月13日当時の発言です。
このように、自身の逮捕の可能性がほとんどありえないと自信満々に公言したサイバー犯罪者は過去に何人もいました。しかし、サイバー犯罪者はその考えを改める時期がやってきたことを知るべきでしょう。2011年は、サイバー犯罪摘発に歴史的な一歩を残した一年でした。法的機関とセキュリティ業界が協力して、巨悪ボットネットの閉鎖やそれら関係者の逮捕が実現したのです。今回から3回にわたって2011年のセキュリティ動向を振り返ります。
まず第一回の本記事では、2011年の摘発における成功例の一部を紹介します。
続きを読む2011年11月8日、長らく活動を続けながら 400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、トレンドマイクロおよびその他の多数の業界関係者による協力の下、FBI とエストニア警察の捜査によって閉鎖されました。
FBI が「Operation Ghost Click」と呼ぶこの作戦において、ニューヨークとシカゴのデータセンタに対して強制捜査が実施され、100台以上の C&Cサーバで形成されていたインフラが閉鎖されました。同時に、エストニア第2 の都市タルトゥでこの犯罪活動に関与していた複数のメンバーがエストニア警察により逮捕されました。詳細は、FBI のプレスリリースでも報じられています。
続きを読む