本文へジャンプ

セキュリティ情報

セキュリティーニュース解説

2012.06.21

驚異的な Flame ウイルスがサイバー攻撃に使われた

Kaspersky Lab は2012年5月28日、非常に高度なマルウェアによる攻撃がイランなど中東の数カ国で確認されたと発表した。
ITU と共同でリサーチしていた Kaspersky はこの驚異的なサーバ攻撃型ウイルスを、Flame と命名した。

Flame に感染すると、キーボード入力ログ、画面情報、システム情報、ファイル、顧客情報、会話音声などの情報を盗みとり作成者 (C&Cサーバ) に情報を送信する、サイバースパイ活動を行う。

Kaspersky では、従来の Stuxnet や Duqu と同様、攻撃ターゲットの地理的特徴や、特定のソフトの脆弱性を使用すること、そして限られたコンピュータだけがターゲットになっていたことから、Flame は高度な"ス-パーサイバー兵器"と定義している。上記のウイルスと異なり、Flame はプリンタの脆弱性や、USB感染を使って、ローカルネットワークで複製を行う。

さらに、米紙 Washington Post は6月19日、この Flame ウイルスについて、イランの核開発計画を遅らせる目的で米国とイスラエルが開発したものだったと報じた。これに先立ち New York Times も、両国がマルウェア「Stuxnet」の開発にかかわっていたと伝える。

高度にセキュアなネットワークに侵入し、ターゲット組織内の機密情報を入手し実際にコンピュータ制御を操る、このような見えざるサーバー攻撃が政府によって実施されたことは驚きでもあり、国家的レベルでサイバー攻撃にたいする対策を真剣に考える必要があると思う。

企業レベルでは、USBなどのリムーバブルメディアは、不用意に使わないことや、リムーバブルメディアの利用規定などで防御するなどが肝要だ。

(出典)

2012.02.01

Webサイト改ざんが倍増 JPCERT

JPCERTはWebサイトの改ざん件数が倍増していることを報告している。
特に、WordPressで構築したサイトが対象となっており、TimThumbプラグインの脆弱性を使った攻撃で、その結果マルウェア感染することが確認されている。

WordPressのサイトで当該脆弱性の対策アップグレードが公開されているので、パッチを当てる必要がある。既知の脆弱性に関して、たえず新しいパッチをあてることを面倒でもルーティンワークにしてほしい。

JPCERT/CC インシデント報告対応レポート [ 2011年10月1日~2011年12月31日 ]
(下記リンク先のPDFファイル)
http://www.jpcert.or.jp/ir/report.html

Timthumb Vulnerability Scanner
http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

2011.06.14

IMFにもサイバーアタック

最近大規模なサイバーアタックが世界中で報告されている。
フィッシングアタックにあったソニーに次いで、6月3日イギリスのゲーム開発会社Codemastersが攻撃され、個人情報が流出した。被害は数十万ユーザ以上に及ぶだろうと予測している。

サーバアタックは金融機関にも広がり、アカウント情報取得を目的に、アメリカの銀行Citibank、IMFにも攻撃があったと6月12日付のWall Street Journalは報じた。
また、Googleにもアメリカの政府関係者のメールアカウントを奪取する攻撃があったことを報じている。同じころ、ベトナムでも政府のウェブサイトを始め、200以上のウェブサイトが攻撃され、インドでも政府関連のウェブサイトの改ざんや、攻撃が報告されている。
世界中のサイトで個人情報が脅威にさらされている。

最新のセキュリティパッチ適用や各種セキュリティ情報に基づく、基本的な対策が最も重要である。

情報インフラが攻撃される脅威は社会的影響が大きいため、通信の暗号化、やりとりするデータの暗号化、さらに認証の手続きを怠らないよう注意を喚起したい。

(出典)

2011.03.07

米国、韓国で大規模DDos攻撃発生

今年に入って、メール経由でのウイルスが激減した(当社観測記録による)。最近のウイルス配信は、スパム配信サイトからおこなわれるので、スパム配信ボットネットが消滅したかのようにみうけられた。しかし、ボットネットから新たな攻撃を開始していることが報じられた。それは米国と韓国で同時期に起こった。

米国ブログホスティング大手WordPress.comは、米国時間3月3日の朝、同サービスの歴史上最大のDDoS攻撃(Distributed Denial of Service attack,分散型サービス拒否攻撃)を受けた("毎秒数ギガビットで毎秒数千万パケット")。その回復後、米国時間3月4日の早朝また攻撃され、最終的には翌日3時頃に沈静化した。

WordPress.comは3000万あまりのブログをホストし、攻撃のターゲットとなったサイトの一つがWordPress.com上で運営している中国語のサイトで、当該サイトは中国の大手検索エンジンBaidu(百度)でもブロックされているようだ。

同時期(3月4日)午前10:00に、韓国大統領府を含む、韓国国内の29のサイトに対するDDoS攻撃が発生した。原因は、韓国内のあるP2Pサイトが攻撃され、そのP2Pサイトからダウンロードされたファイルに、マルウェアが仕組まれていたためと報じられた。

セキュリティベンダのアンラボ社によると、韓国内で7,000台弱のパソコンに当該マルウェアの感染が確認された。

ボットネットからの大規模なDDoS攻撃を防御するには、 グローバルなネットワーク上で監視する必要がありそうだ。現時点では、日本から大規模なDDoS攻撃の報告はない。

(出典)

2011.02.04

Twitterワームに注意

Kaspersky Lab は、ユーザを偽のアンチウイルスプログラムにリダイレクトする、新種の Twitter ワームを検知したことを報告した。

Kaspersky Lab は、Google の URL 短縮サービス「goo.gl」を悪用し、急速に拡散している新種の Twitter ワームを検知。

この悪質な URL をクリックすると、ユーザは複数のリダイレクトページを経由して「セキュリティシールド」という偽のアンチウイルスプログラムを配布するWebページにリダイレクトされます。

感染した Web ページにリダイレクトされると、疑わしいアプリケーションが PC で実行されているという警告が表示され、『セキュリティシールド』という偽のアンチウイルスプログラムのダウンロードを勧められます。そのプログラムをダウンロードすると PC がマルウェアに感染します。

カスペルスキーの製品は、ヒューリスティックアナライザによりこのワームを検知します。

(出典)

2010.11.30

36億スパム配信ボットネットの解体

セキュリティ・エヴァンジェリストである、エディ・ウィレムスが参加している、オランダ国家犯罪対策局のハイテク犯罪チーム(THTC)が、3000万以上のコンピュータを感染させていた凶悪ボットネットを破壊した、と2010年10月25日に宣言した。

このボットネットを仕掛けた犯罪者が使用したウイルスは「ブレードラボ」(Bredolab)と呼ばれ、トロイの木馬の一種だ。日本ではガンブラー(Gumblar)として知られる攻撃で使用されたウイルス。犯罪者は、このウイルスを使用して、メールの添付ファイルの開封もしくは感染サイトを閲覧することによってコンピュータに侵入しコンピュータを「ボット」化した。

コンピュータを乗っ取り、スパムメールを送ったり、個人情報を盗み出したり、特定のサーバーへの攻撃を行うなど、さまざまな犯罪行為を行っていた。

2009年の終わりには、毎日、36億通ものブレードラボが添付されたメールが送信された。このTHTCチームによって、悪用された143のコンピュータサーバが見つけ出され、ボットネットワークの解体を行った。

ガンブラー攻撃の沈静化につながれば幸いだが、さらにはボットネット拡散の抑止に繋がってほしいものだ。

(出典)

(参考)

2010.10.13

新たなるワームの脅威(Stuxnet)

Stuxnet ワームは攻撃ターゲットが限定されているため、ウイルス感染報告の上位ではないものの、影響力は非常に大きく潜在的な脅威になっている。

Stuxnet ワームは6月中旬に発見されたのち、9月にマスコミで話題になった。このワームは 4つのゼロデイ脆弱性を悪用するほか、Realtek および Jmicron が発行する有効な証明書を悪用する。

Stuxnet がここまで騒がれた理由は、その攻撃になるターゲットにある。
Stuxnet の目的は、スパムの配信やユーザの個人情報の盗用ではなく、産業システムのシステム制御の攻撃である。従来のプログラムとは根本的に異なる次世代のワームが登場したことにより、サイバーテロの可能性を示唆している。

2010.05.11

日本ではGumblar感染の危険性は去った

Kaspersky Lab のVitalyK氏によると、日本はすでにGumblar感染の危険性は無くなったとの報告があった。

報告の主旨は以下の通りである。

2009年の春から、Gumblar感染の危険性が騒ぎになっていた。
とりわけ日本は

(1)Gumblar感染で世界でトップ5に登録されていた。
(2)他国に比べれば、日本ではローカルなウイルス感染が比較的少ないため、
Gumblar感染が即時に広まり注目を浴びた。

しかし、最近のGumblarスクリプトを解析した結果、IPが日本であれば、 感染しないようにコードが記述されていることが判った。
同様に、FTPサーバへの感染の危険性が全く無くなった。

人騒がせなGumblarもしばらくは安心らしい。

(出典)

2010.02.16

Gumblar 亜種に続くPegel対策

Gumblar亜種に続くPegelの感染が報告された。

Gumblar攻撃に続き、Web誘導型のマルウェアPegelによる国内大手企業サイトへの感染が確認されています。
改竄された正規サイトを閲覧した場合、不正なサイトに誘導しGumblarより感染拡大がより強いのが特徴。

[感染後の挙動]
  • FTP アカウント情報の取得
  • BotNet への参加
  • 偽アンチウイルスソフトウェアのインストールによるクレジットカード情報などの窃取
  • スパムメールの送信
  • マルウェア自体のアップデート
  • ルートキットによる隠ぺい
[対策]
  • Windows のアップデート
  • Adobe 製品のアップデート
  • IE での JavaScript、ActiveX の OFF
  • Adobe Reader での Acrobat JavaScript の OFF
  • 対応しているアンチウイルスソフトウェアの導入
  • JRE の最新版へのアップデート、JRE が必要ない場合は明示的なアンインストール

(出典)

2010.01.07

GUMBLAR 攻撃の猛威

最近相次いで GUMBLAR による被害が報告されている。

クライアントが感染したWEBサイトのページを開いたことで、JavaScriptを実行しAdobe PDF/Flashの脆弱性を使って、FTPのパスワードや個人情報をとりだす。

この情報からWEBサイトが改竄され、自分のサイトがGUMBLARを配布するサイトになる可能性がある。

これまでにもセキュリティガイドラインで指摘されていた事ではあるが、WEBサイトが改竄される可能性として、FTPやTELNETなどのサービスを使う場合は限定的にするか使わないのが好ましいとされてきた。敢えてセキュリティリスクがあるサービスはサーバ運用上極力制限するのが好ましい。

GUMBLAR ウイルスに感染する一次感染経路がWEBアクセスというのも最近のトレンドになってきており、見知らぬサイト、スパムメールで誘導されるサイト、ブラウザなどで警告があったサイトなどはアクセスしないことが推奨されます。

GUMBLARにより改竄されたWEBサーバで、アクセスしてきたユーザを他のサイトに誘導するコード(Java Script)に関してはKaspersky エンジンで検出可能です。

PDF/Flashファイルの感染を検知(Kaspersky)した例を下記に掲載します。

PDFファイル
http://www.virustotal.com/analisis/ee7bb464c400ee733f64fee49a97e75de96ca200875d96df874ff54675ca47b0-125680823

FLASHファイル
http://www.virustotal.com/analisis/aeda3d51f836218877db1788e5ab256828f7ac7ae0ae651a44b4e591098fc3f3-125680839

(出典)