本文へジャンプ

セキュリティ情報

セキュリティーニュース解説

2009.11.17

今だつづくウイルス付きスパムの大量配信

前回の報告から、ウイルス付きスパムメールの大量配信が、依然として収まる気配が見られない。
前月中旬頃からMicrosoft社のサポートメールと見間違う内容のウイルス付きスパムメールの配信が多くなっている。
添付ファイルを解凍・実行すると、外部よりマルウェアをダウンロードしユーザのシステム環境にインストールする。

このような送信者詐称メールについては、JPCERT/CCなど、感染の危険性について注意を促す情報公開をおこなっている。
詳細については、下記JPCERT/CC の公開情報を参照のこと。
http://www.jpcert.or.jp/at/2009/at090022.txt

件名が、
「Microsoft Outlook Notification for the XXXX@XXXXXX.jp」
あるいは、
「Conflicker.B Infection Alert」

"Conflicker.B Infection Alert"を件名にする ウイルス付きスパムメールは、現在においても配信が継続されているため、このような件名のメールを受信しても 参照しないように気を付ける必要がある。

上記以外では、前回から引き続き同じ件名のウイルス付きスパムメールが断続的に配信されている。

10/16 ~ 11/16 午前までに配信されたウイルス付きスパムメールでは、以下の内容のサブジェクトが多かった(件数順)。
同じサブジェクトであっても、添付されるウイルスが異なることがあり、件名のみでは、感染の危険度は同じではないので注意が必要だ。

  • get back to my office for more details : 220件
  • Microsoft Outlook Notification for the xxx@xxxx.xxxx : 153件
  • Congratulations : 149件
  • Greetings : 117件
  • Contract of Settlements : 107件
  • Fedex Tracking N5421062126 : 75件
  • DHL Tracking Number : 62件
  • Conflicker.B Infection Alert : 60件
  • UPS Delivery Problem : 57件
  • You've received a postcard : 36件

以下は、ウイルス付きスパムメールに添付されていた圧縮ファイル名の一覧。

  • install.zip : 434件
  • info.zip : 220件
  • contract_1.zip : 214件
  • winner.zip : 150件
  • TR768212.zip : 150件
  • 3YMH6JJY.zip : 146件
  • inv.zip : 114件
  • ecard.zip : 74件

年末年始に向けて、ウイルス付きスパムメールの配信は更に増加する可能性が考えられる。送信元に見覚えのない添付ファイル付きメールや、
個人のメールアドレスを通知していない企業(を語る可能性を感じる場合)からの添付ファイル付きメールは参照しないように気を付ける必要がある。
例年のことではあるが、クリスマスや新年にちなんだ英文のサブジェクトを含むスパムメールにも注意が必要である。

2009.10.21

ウイルス付きスパムメール大量配信の動向

2009年5月はスパムメールの送信(受信)が活性化に転じたと分析するセキュリティアナリストの報告があった。
このような傾向は、botnetの活性化が原因である場合が多い。
9月中旬、15日前後を境にウィルス付きスパムメールが急激に増加し、botnetの一部と見られる世界中のゾンビPCから送信されている。
この状況は現在も継続しており、botnet のゾンビPCが活発に活動していることが考えられる。
ゾンビPCから送出されるウィルスメールのウィルスは、外部へのバックドア作成 → トロイの木馬 のパターンを繰り返す傾向が見られるものもあった。
添付されるウィルスが短期間で変わっていく事も特徴の一つである。
これらの被害にあわないためには、同一のサブジェクトのメールが大量に送られてきた場合、メールを参照しないことが重要。
また、参照してしまった場合でも、添付ファイルは展開しないことが重要。

以下、9/15~10/16の約1ヶ月に弊社に届いたウィルス付きスパムメールの集計結果である。

集計期間:
2009/09/15- 2009/10/16
Subject 分類
  1. (1)Thank you for setting the order No.475456 (861件)
  2. (2)You've received a postcard (228件)
  3. (3)Microsoft Outlook Notification for the xxx@domain (39件)
  4. (4)A new settings file for the xxx@domain has (17件)
  5. (5)DHL tracking number xxxxx (5件)
  6. (6)Western Union! You should receive money! Order NR.5418 (3件)

添付ファイルの内容 (すべてzipファイル)

  1. (1)intsall.zip(358件)
  2. (2)open.zip(295件)
  3. (3)nz.zip(253件)
  4. (4)ecard.zip(211件)
  5. その他 zip(xxx.zip)
検出ウイルスの分類:
  1. (1)Backdoor.Win32.Small.xx (441件)
  2. (2)Trojan-Downloader.Win32.FraudLoad.xx (376件)
  3. (3)Trojan.Win32.Vilsel.xx (288件)
  4. (4)Trojan-Downloader.Win32.Murlo.xx (253件)
  5. (5)Packed.Win32.Krap.xx (130件)
  6. (6)Backdoor.Win32.UltimateDefender.xx (30件)
  7. (7)Trojan.Win32.Inject.xx (27件)
  8. (8)その他
    • Trojan-Spy.Win32.Zbot.xx(4件)
    • Trojan.Win32.BKClient(4件)
    • Trojan.Win32.Tdss.xxf(3件)
    • Backdoor.Win32.Bredavi.xx(1件)
2009.08.19

TwitterをねらったDoS攻撃

マイクロブログサービスの米Twitterや大手ソーシャルネットワーキングサービス(SNS)の米Facebookが8月6日、集中的なサービス妨害(DoS)攻撃を受けて一時的にダウンした。
同時期にGoogle や ブログサイトのLiveJournalも攻撃を受けていたことが報告されている。

同時に広範なDoS攻撃を仕掛けるには、通常ボットネットを利用して無数のコンピュータから攻撃したと考えられる。しかし実際に大規模な攻撃にはそれなりの通信帯域とパワフルなコンピュータを集約するのはむずかしい。

ロシアのセキュリティ企業カスペルスキー社は6日のブログで、このマルウェア攻撃に使われていたKoobfaceが手口を変えて復活したと伝えた。
6月、7月に急激にKoobfaseの亜種が増大しており、今回の攻撃の前兆があったことを報告している。このKoobfaceは Facebook、MySpace、Twitter で増殖しているという。今年はとりわけこの手のサイバー犯罪が増える事を危惧しているようだ。

今回の手口は「My home video :) 」という文面のつぶやきがばらまかれ、悪質なリンクを掲載。これをクリックすると、Facebookそっくりに見せかけたページにつながり、動画を見るためにFlash Playerのアップデートが必要だと称してマルウェアに感染させようとする。

カスペルスキー社は、Twitterが導入した対策で一部の攻撃は食い止められても、問題の根本的な解決にならなかったのは明らかだと指摘している。Koobfaceと今回のDoS攻撃との関連は現時点では不明だが、少なくともKoobfaceが感染拡大のために使っていたURLは遮断されたという。

2009.08.04

セキュリティ10大脅威

IPA の情報セキュリティ白書2009 によると、最近では以下のセキュリティに関する10大脅威があるとの報告があった。

■組織への脅威
  1. 1. DNS キャッシュポイズニングの脅威
  2. 2. 巧妙化する標的型攻撃
  3. 3. 恒常化する情報漏えい
■利用者への脅威
  1. 1. 多様化するウイルスやボットの感染経路
  2. 2. 脆弱な無線LAN 暗号方式における脅威
  3. 3. 減らないスパムメール
  4. 4. ユーザ ID とパスワードの使いまわしによる危険性
■システム管理者・開発者への脅威
  1. 1. 正規のウェブサイトを経由した攻撃の猛威
  2. 2. 誘導型攻撃の顕在化
  3. 3. 組込み製品に潜む脆弱性

総合で第一位であったのが、DNS キャッシュポイズニングの脅威。
最近では、7月29日DoS攻撃対応の緊急パッチが更新された。システム管理者の注意と対策が必要となる。

第二位が正規のウェブサイトを経由した攻撃でSQLインジェクション。
これはアプリケーション作成時の注意なので、WEBサイト構築での十分な検討が必要となる。

第三位は、巧妙化する標的型攻撃。
人間の心理・行動の隙を突くことで情報を不正に取得する「ソーシャル・エンジニアリング」の手口を利用し、ソフトウェアの脆弱性を利用したウイルスなどを配布するなど巧妙な手口が用いられるので特に利用者、システム管理者が注意を払う必要がある。

(出典)

2009.07.10

WEBからの感染に注意

2009年6月 のWebページで検知されたマルウェアおよび Webページからのロードを試みたマルウェアの統計トップ10は以下の通り。

  1. 1 Trojan-Downloader.JS.Gumblar.a 27103
  2. 2 Trojan-Downloader.JS.Iframe.ayt 14563
  3. 3 Trojan-Downloader.JS.LuckySploit.q 6975
  4. 4 Trojan-Clicker.HTML.IFrame.kr 5535
  5. 5 Trojan-Downloader.HTML.IFrame.sz 4521
  6. 6 Trojan-Downloader.JS.Major.c 4326
  7. 7 Trojan-Downloader.Win32.Agent.cdam 3939
  8. 8 Trojan-Clicker.HTML.IFrame.mq 3922
  9. 9 Trojan.JS.Agent.aat 3318
  10. 10 Trojan.Win32.RaMag.a 3302

第1位は、トロイの木馬系ダウンローダである Gumblar.a。このダウンローダの動作メカニズムは、ドライブバイダウンロードの典型的な例と言えます。
Gumblar.a は、容量の小さい、暗号化されたスクリプトで、ユーザを悪意あるサイトに誘導後、システム上の脆弱性を利用し悪意ある実行ファイルをダウンロードし、ユーザの PC にインストールします。実行ファイルはシステム上で実行されると、ユーザの Web トラフィックを操作し、Google の検索結果を改ざんするほか、FTP サーバ用のパスワードを探して FTP サーバに感染します。
結果として、感染したサーバからなるボットネットが構築され、サイバー犯罪者はこのボットネットを通してありとあらゆるマルウェアをユーザの PC にダウンロードさせることができるようになります。感染したサーバは膨大な数に及ぶ上、アンチウイルスにより保護されていないPCの感染が続きます。

同じくドライブバイダウンロードの例として、第三位のトロイの木馬系ダウンローダの LuckySploit.q があります。
これは巧妙に難読化されたスクリプトで、まずユーザが使用しているブラウザの設定情報を入手してから RSA 公開鍵を使用して情報を暗号化したのち、悪意あるサイトに送ります。情報はサーバ上で RSA 秘密鍵を使用して復号化され、割り出された設定情報をもとにスクリプト一式がユーザに送り返されます。スクリプトは PC 上の脆弱性を悪用して、マルウェアをダウンロードします。とりわけ、この複数の通信路の組み合わせが、ブラウザの情報を収集する最初のスクリプトを分析する上で重大な障害となっています。特に、復号化を行うサーバにアクセスできない場合、これらのサーバがどのようなスクリプトを送り返すのかを割り出すのはいかなるケースでも不可能です。

多くのマルウェアが、大手メーカーのアプリケーションの脆弱性を悪用しています。Adobe Flash Player および Adobe Reader がそのターゲットにされています。当然Microsoftの製品も主要なターゲットとされています。

Web サイトを通じて最も多く感染の試みが観測された国の国別シェアでは中国(56%)ロシア(6%),アメリカ(5%)で中国サイトでの感染がダントツ。

(出典)

2009.05.28

多岐にわたるサイバー犯罪の手口

最近はメールよるウイルス感染が激減(2008年11月以降)しており、スパムも減って快適な環境になってきた。
表面的にはセキュリティリスクは低くなっているかのように思えるが、実は潜在的なリスクが高まっていることを警告している記事があった。
これまでの流れから判断すると、近い将来のセキュリティリスク対策につながる糸口がある。

サイバー犯罪者は、ハッキングしたPCから以下の攻撃を仕掛ける。

[ウェブホスト乗っ取りによる利用]
  • フィッシングサイト
  • マルウェアダウンロードサイト
  • 海賊版ソフトウェア、映画のサイト
  • 児童ポルノサイト
  • スパムサイト
[ボットネットのゾンビ利用]
  • 大量スパムメールのリレー配信
  • 大量アクセスDoS攻撃による金銭奪取
  • 広告主から金を取るクリック詐欺
  • ウェブアクセス経路変更するプロキシサーバ
  • キャプチャ(CAPTCHA)技術をつかって、人的操作部分を検知
[電子メール/WEBメール攻撃]
  • 電子メールのアドレス収集(スパム配信、フィッシング攻撃のため)
  • ウェブメールアドレス・パスワードを取得
  • ウェブメールアカウント情報からその友人の関連情報を取得してアカウント情報を取得
  • ウェブメールアカウント情報からその友人に金銭を要求
[アカウント個人情報の奪取]
  • eBay/Paypalなどの個人情報を奪取し偽装オークション出展。Skypeなどの個人情報から犯罪者の位置偽装や情報傍受に利用
  • ウェブサイトの管理者権限を奪取することで、有害なプログラムを実行する
  • 個人情報から、企業の認証情報を奪取する
[ネット取引情報奪取]
  • コンピュータゲームのライセンスキーや、アクセスキーからネット上で金銭を収集
[銀行カードなどの情報奪取]
  • 銀行カードの情報やパスワード情報奪取はまさに氷山の一角で、株の取引や年金などの情報を奪取することが可能

上記のように、インターネットアクセスに必要な情報、個人が保有するパスワードなどの奪取により、なりすましの犯罪が横行していることが伺える。
個人のPCがハックされると、インターネット上で大きな影響が多岐に渡ることが懸念される。また、サイバー犯罪者により、ハックされた無実のPCの情報が加害者になる可能性がある。

(出典)

2009.03.30

迷惑メールが減少、はじめて30%台に

2008年からスパムの数は低減傾向にあったが、2009年の3月初めて40%*を下回り、前月から7%減の34%になった。
スパム配信元は、中国(13%)、日本(11%)、台湾(8%)、韓国(7%)の順となった。
今後は、日本のプロバイダでのスパム対策を期待したいところだ。
景気後退の影響で減ったとは考え難いが、スパムメールに対する認識が定着化したとも考えられる。

  • *総受信メールに占めるスパムメールの割合
  • *上記の情報は当社が調査している日本でのスパムメール配信の解析結果です。
2009.01.19

スパム配信の変化

昨年(2008年)の11月、米国カリフォルニアにある迷惑メール送信業者「マコロ」のインターネット接続がISPに遮断されてから,スパムとボットネットに大きな変化があった。

以下のリストは、日本で受信しているスパム全体で40%以上占める主要国順位である。

  • 2008-06 中国,アメリカ,ロシア,韓国
  • 2008-07 中国,韓国,ロシア,アメリカ
  • 2008-08 中国,アメリカ,韓国、ロシア
  • 2008-09 アメリカ,中国,韓国、ロシア
  • 2008-10 中国,ロシア,アメリカ、韓国
  • 2008-11 イギリス,中国,韓国、ロシア
  • 2008-12 中国,台湾,韓国,ブラジル
  • 2009-01 中国,台湾,韓国,ブラジル

明らかに、昨年11月からアメリカ、ロシアからの配信が減り、台湾、ブラジルが替わりに配信国として日本のユーザに配信している。
同時にボットネット配信拠点の配信国が少なくなり、約30%程縮小化傾向にある。
アジア圏の割合が増えてきているのも特徴で、日本も本年になってスパムの主要な配信国(5位)になった。

  • *上記の情報は当社が調査している日本でのスパムメール配信の解析結果です。
2008.11.14

米国McColo社の接続をISPが遮断

Washington Postのセキュリティブログ「Security Fix」Brian Krebs氏の報告によると、スパムメールやマルウェアを大量に配布していた米国の業者がインターネットサービスプロバイダー(ISP)に接続を遮断され、その結果、スパムメールの流通量が激減した。

接続を遮断されたのは米カリフォルニア州サンノゼのMcColo Corpという業者。

また、スーパースパムボットと言われる「Srizbi」をはじめ全世界のSPAM配信プログラムの80%近くをMcColo が運用していた。以下がその配信リストだ。()内の%は全世界のスパム配信プログラムに占める割合を記載。

  1. (1)Srizbi (36.1%)
    記述:
    配信サイト:
    • 208.66.195.172
    • 208.72.168.144
    • 208.72.169.110
    • 208.72.169.2
    • 208.72.168.85
    • 208.72.169.212
  2. (2)Mega-D/Ozdock (20.7%)
    記述:
    配信サイト:
    • 208.69.32.132
  3. (3)Rustock 17.6%
    記述:
    配信サイト:
    • 208.72.169.54
    • 208.72.169.55
    • 208.66.194.2
    • 208.66.194.14
  4. (4)Pushdo/Cutwail (7.1%)
    記述:
    配信サイト:
    • 208.66.194.232
    • 208.66.194.240
    • 208.66.195.15
    • 208.66.195.71
  5. (5)Warezov
    記述:
    配信サイト:
    • 208.72.169.2
  6. (6)Asprox
    記述:
    配信サイト:
    • 208.69.32.132

また、以下のリストはMcColoが運営していた薬販売偽装サイトの例

  • Ambien-plus.com Canadianpharmacycorp1.com
  • Canadianpharmacycorp10.com Canadianpharmacycorp2.com
  • Canadianpharmacycorp3.com Canadianpharmacycorp4.com
  • Canadianpharmacycorp5.com Canadianpharmacycorp6.com
  • Canadianpharmacycorp7.com Canadianpharmacycorp8.com
  • Canadianpharmacycorp9.com Onlinepharmacysolutions-a.com
  • Onlinepharmacysolutions-b.com Onlinepharmacysolutions-c.com
  • Onlinepharmacysolutions-d.com Rxclubdiscount.net Rxclubdiscount.org
  • Valium-plus.com Xanax-plus.com 5-easysteps.com Ambienplus.com
  • Onlinepharmacyltd-a.com Onlinepharmacyltd-c.com
  • Onlinepharmacyltd-n.com Onlinepharmacyltd-q.com
  • Onlinepharmacyltd-x.com Onlinepharmacyltd-y.com
  • Onlinepharmacyltd-z.com Rx-club.biz Rxclub.biz Rxdiscountcenter.biz
  • Valiumplus.com Vanebol.com Cam2girl.net My-support-area.com
  • My-support-central.com My-support-city.com My-support-clients.com
  • My-support-home.com My-support-house.com My-support-manager.com
  • My-support-page.com My-support-pharmacy.com My-support-place.com
  • My-support-system.com My-support-ticket.com P0llko.com
  • High-quality-viagra.com Online-pills-shop.com Belovedpills.com
  • Choiceforonline.com Desiredmeds.com Easilygenerics.com
  • Easilymeds2.com Mybestdrug.com Openpills.com Pay4pills.com
  • Pills-pay.com Pills24.biz Rxmania.biz Rxmania.com Topqualitymeds.com

(出典)

尚、当社サイトでの2008年11月13日のスパム数をみると、同月平均の58%に激減していることが判った。日本にも影響があったように思える。スパム配信業者はそのうち別なサイトに移動するだろうと思われるので、一時的な現象かもしれないが、しばらくはスパムが減ることは歓迎だ。

2008.10.28

SPAM配信ウイルスが急増中

ウイルスがここにきて急増している。ここ数日当社で検知したウイルスの数は20件以上になる。

集計してみた結果、その種類はわずか5種類と意外に少ない。ほとんどがトロイの木馬である。トロイの木馬は、実行できるプログラムをサイトからダウンロードさせ、ダウンロード先のPCに感染するタイプで、感染すると個人情報やパスワード情報などを外部に流すものが多い。

最近ウイルスの特徴として、スパムの配信ネットが利用されていることだ。同じウイルスが時同じく受信するのはその結果である。ウイルス配信がスパム配信同様に組織だって行われているようである。

ここ数日で送られてきたウイルス名

------------------------------------
Trojan-Downloader.Win32.Agent.algj
Trojan.Win32.Pakes.lin
Trojan-Spy.Win32.Zbot.fql
Backdoor.Win32.Hijack.e
Trojan.Win32.Agent.akoq
------------------------------------

(当社調べ)