121ware 閉じる


ウイルスバスター in 121ware

セキュリティニュース

●サイバー犯罪志望者向けに売り出されるランサムウェア

2016/7/29

トレンドマイクロは7月28日、公式ブログで「暗号化型ランサムウェア『STAMPADO』の価格設定から考える「Ransomware as a service」のビジネス」と題する記事を公開しました。

ここ最近、知識を持つサイバー犯罪者が、ランサムウェアの自作サービスを販売する「Ransomware as a Service(RaaS)」という動きが見られます。

2016年7月中旬、「STAMPADO(スタンパド)」と名付けられた、まったく新しい暗号化型ランサムウェアが、ディープWebで宣伝されていました。価格は39ドル(約4千円)で、サイバー犯罪の新人や志望者向けに、材料キットの形で売り出されており、作成者によって「使用方法は簡単、無期限有効」といった特徴がアピールされていました。

その後の解析により、「STAMPADO」は「JIGSAW」を模倣していることがわかりました。「JIGSAW」は身代金を払わせるため、一定時間経過の後ランダムにファイルを削除していくことで知られています。「STAMPADO」も同じ仕組みをとっていました。一方で、プログラミングが洗練されていない、身代金の支払い方法が不明瞭、限られたファイルしか暗号化しない、など、異なる点も多数見つかっています。

2012年時点で、ロシアのサイバー犯罪アンダーグラウンドで販売されていた、ランサムウェアを利用したサービス(現在のRaaSに相当)は、わずか10ドル(約1060円)〜20ドル(約2120円)でした。しかしその後のランサムウェアの流行とともに価格は上昇。2015年には、ブラジルのアンダーグラウンド市場で、複数OS対応のランサムウェアが3千ドル(約31万7千円)で提供されています。現在は、サービスを販売するサイバー犯罪者たちが増えたことで、RaaSの価格は再び低下しているとのことです。

トレンドマイクロは、「STAMPADO」について「人気亜種の粗悪な模造品」と考察しています。しかし、必要最低限の機能があり手早く稼げるなら、そのようなRaaSでも売れる可能性があると指摘しています。


ディープWebで確認された「STAMPADO」の広告

ディープWebで確認された「STAMPADO」の広告

暗号化型ランサムウェア「STAMPADO」の価格設定から考える「Ransomware as a service」のビジネス | トレンドマイクロ セキュリティブログ

●本人が知らないうちに「なりすましメール」多発

2016/7/29

独立行政法人情報処理推進機構(IPA)は7月26日、本人が気づかないまま「なりすましメール」が友人や知人に送りつけられている被害が、昨年より多発しているとして、注意を呼びかけました。「パスワードの使い回し」を狙った新たな手口が登場している模様です。

それによると、フリーメールサービスのログイン履歴に不審な記録は見られず、ログインパスワードも変更したのに、なりすましメールが知人に送信されているという相談が、2015年6月以降、IPAの窓口に多く寄せられるようになっているとのことです。

そのため、犯人は何度も不正ログインしているのではなく、メールの情報(受信トレイにある友人たちの送信元アドレスなど)を窃取したうえで、別のメールサーバから、窃取したアドレス宛に改めてなりすましメールを送信していると、IPAは推測しています。

何度も不正ログインを行ってメールを送信していると、履歴も残りますし、いずれ利用者に発覚しパスワードを変更され、盗んだアドレスを犯人が使えなくなる可能性があります。別のメールサーバを利用することで、こうした事後対策を困難にするのが、犯人側の狙いと思われます。

この手法でも、最初は「フリーメールサービスへの不正ログイン」がきっかけとなっており、その原因としては、「推測が容易なパスワードの利用」「パスワードの使い回し」などが考えられます。そのため、こういった行為を避け、適切なパスワードを設定・運用するよう、IPAでは呼びかけています。また万が一被害に遭った場合は、メールアドレスを変更するとともに、古いアドレスを迷惑メールとして処理するよう、友人・知人に依頼するのが望ましいでしょう。

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構

●ダークWeb内の「オンライン賭博場」を初確認

2016/7/26

トレンドマイクロは7月21日、公式ブログで「UEFA欧州選手権に便乗する仏アンダーグラウンド賭博『French Dark Bets』を確認」と題する記事を公開しました。フランスの有名なサイバー犯罪アンダーグラウンド市場「FDN」が、違法賭博にも利用されている事例が、初めて確認されたとのことです。

インターネットには、さまざまなアンダーグラウンドサイトやサービスが存在しますが、そのなかには、検索エンジンでは発見できないものが存在します。これが「Deep Web(ディープWeb)」です。そのなかでも、アクセスする際の匿名性保持や追跡回避、さらにサイト自体の匿名性を確実にする手法で構築されているのが、「Dark Web(ダークWeb)」「darknet(ダークネット)」と呼ばれるものです。具体的なサービスとしては、「TOR」「Freenet」「I2P」などが挙げられます。

ダークWebは、基本的にサイバー犯罪者が利用するもので、一般に宣伝されるようなことはありません。しかし、トレンドマイクロは7月1日、フランスのダークWebに存在する、最大級のアンダーグラウンド市場「French Dark Net(FDN)」が一般公開され、YouTubeで宣伝されているのを発見しました。同社は「驚きとともに確認した」と表現しています。

「FDN」は、フランスの有名なサイバー犯罪アンダーグラウンド市場で、合法違法を問わず、何でも販売されているのが特徴。動画でも、ドラッグなどの違法薬物、オンラインアカウント認証情報、クレジットカード番号、ハッキングマニュアルなどの“商品”が紹介されていました。

さらに今回、FDN内にオンライン賭博場「French Dark Bet(FDB)」の存在も確認されました。旧来のサイバー犯罪者の市場が、違法賭場にも利用されている事例は、初めてと見られています。この賭博場では、新製品の発売日や選挙の結果などが、賭けの対象になっていました。一番人気は、やはりスポーツ賭博で、先頃開催されたサッカーのUEFA欧州選手権「UEFA EURO 2016」では、すべての試合に賭けることが可能でした。なお、FDBも含めFDNでの支払いは、すべて仮想通貨「Bitcoin(ビットコイン)」が利用されています。

現在はまだ、FDBの利用者は多くありませんが、今後もFDNは宣伝を継続し、アンダーグラウンド市場の利用者拡大を図るだろうと、トレンドマイクロは予測しています。

UEFA欧州選手権に便乗する仏アンダーグラウンド賭博「French Dark Bets」を確認 | トレンドマイクロ セキュリティブログ

●「振込受付完了」を告げる不審なメール

2016/7/22

東京都消費生活総合センターは7月21日、「銀行の振込受付完了のお知らせを装ったメールに注意!〜コンピュータウイルスに感染する可能性があります〜」と題する情報を公開し、注意を呼びかけました。

この記事では、「大手銀行の名前で『振込受付が完了した』というメールが届いたが、振込は依頼していないし、逆にお金が振り込まれた形跡もない。架空請求だろうか」という相談事例が紹介されています。この事例は、個人情報などを詐取する不正ソフトに感染させるのが狙いと思われます。

こうしたメールには、Word文書や圧縮ファイルなどが添付されていることが多く、これらのファイルを開いた場合、不正ソフトに感染する可能性があります。またメール本文中のURLから、不正なサイトや改ざんしたサイトに誘導する、といった手法も考えられます。

東京都消費生活総合センターでは、こういったケースへの対策として、「不審なメールは開けない」「メールを開けてしまった場合も、添付ファイルは絶対に開けない」「本文中のリンク(URL)は絶対にクリックしない」といった注意点をあげています。万が一の場合は、消費者センターや大手銀行の窓口に相談するのも有効でしょう。

銀行の振込受付完了のお知らせを装ったメールに注意!〜コンピュータウイルスに感染する可能性があります〜 | 東京くらしWEB

●Javaに新たな脆弱性、攻撃時の影響「大」

2016/7/21

独立行政法人情報処理推進機構(IPA)は7月20日、「Oracle Javaの脆弱性対策について(CVE-2016-3587等)」と題する文章を公開し、注意を呼びかけました。

それによると、オラクルのJavaに新たな脆弱性「CVE-2016-3587」が発見されました。攻撃者に悪用されると、任意のコードが実行され、コンピュータを乗っ取られる可能性があります。この脆弱性についてオラクルは、「攻撃された場合の影響が大きい脆弱性」だとしており、早急に更新するのが望ましいでしょう。

すでに同社からは、修正済みプログラム(Version 8 Update 101)が公開されています。また、サポートが終了しているJava SE JDK/JRE 6、7も脆弱性の影響を受けるとのことです。

脆弱性が存在するのは、以下のバージョンです。
・JDK and JRE(Oracle Java SE)8 Update 92およびそれ以前のバージョン
・JDK and JRE(Oracle Java SE)7 Update 101およびそれ以前のバージョン
・JDK and JRE(Oracle Java SE)6 Update 115およびそれ以前のバージョン
・JDK and JRE(Oracle Java SE Embedded)8 Update 91およびそれ以前のバージョン

なおIPAでは、Javaをはじめとする各種ソフトウェアが最新版かどうか確認できるツール「MyJVNバージョンチェッカ for .NET」を提供しています。こういったツールの導入もお勧めです。

Oracle Java の脆弱性対策について(CVE-2016-3587等):IPA 独立行政法人 情報処理推進機構

●「ポケモンGO」に便乗するサイバー攻撃を複数確認

2016/7/21

トレンドマイクロは7月21日、公式ブログで「最新モバイル脅威事情号外:「Pokémon GO」の話題性を悪用する攻撃者」と題する記事を公開しました。2016年7月6日に一部地域で先行公開され、世界的な注目を集めている「ポケモン(Pokémon)GO」に便乗した複数の脅威について報告しています。

記事によると、7月20日時点で、「Pokémon GO」のアプリ名が付いた19種の不正・迷惑Androidアプリを確認したとのことです。中には、感染した端末を遠隔操作可能にする機能を持つ悪質なバックドア型の不正アプリも確認されています。これらの不正・迷惑アプリはすべて公式マーケットである「Google Play」以外のサードパーティマーケットやインターネット上のダウンロードサイトで配布されていました。

確認された不正・迷惑アプリの多くは、正規の「Pokémon GO」では不要であるはずのデバイスの管理権限をインストール時に要求します。そして最終的に不要な広告を表示するアドウェアや他の不正アプリのインストール、利用者の許可なく不要な正規ファイルのインストール(アフィリエイト収入目的)を行うのです。


図1:ニセ「Pokémon GO」がインストール時に表示するデバイス管理者権限の要求画面例

図1:ニセ「Pokémon GO」がインストール時に表示するデバイス管理者権限の要求画面例


また、不正アプリだけでなく、まだ「Pokémon GO」が公開されていない日本の利用者を狙い偽のキャンペーン情報へ利用者を誘導する事例も確認されました。この事例では、掲示板風のサイト表示により、偽のキャンペーン情報へ利用者を誘導します。表示上はキャンペーンのURLはオフィシャルサイトのURLのように見えますが、実際のリンク先はいわゆるポイントサイト(お小遣いサイト)への誘導となっていました。このような表示内容とは異なるリンク先へ誘導する手口は一般的ですが、特にモバイル端末の場合パソコンとは異なり、リンク先を確認しにくかったり、そもそも利用者の注意が薄いなどの理由から不審なURLへアクセスしてしまうことが多いようです。


図2:不審な掲示板風サイト上での「Pokémon GO」関連の表示例 オフィシャルサイト上には該当の URL のページは存在しない

図2:不審な掲示板風サイト上での「Pokémon GO」関連の表示例 オフィシャルサイト上には該当のURLのページは存在しない


被害を防ぐためには、正規のAndroid向けアプリマーケットである「Google Play」や携帯電話事業者の運営する信頼できるサードパーティのマーケットからのみアプリをインストールすること、Android OSのセキュリティ設定にある「提供元不明のアプリのインストールを許可する」の項目は普段は無効にしておき、信頼できるマーケットからのインストール時のみ意識的に有効にすることを推奨します。

また、不正サイトに誘導されることを防ぐため、表示されるURLと実際のURLのリンク先が異なっていないかを意識的に確認しましょう。セキュリティソフトによる不正サイトのブロック機能の利用も有効です。

最新モバイル脅威事情号外:「Pokémon GO」の話題性を悪用する攻撃者| トレンドマイクロ セキュリティブログ

●国内で増加中のネットバンキングを狙うウイルス「BEBLOH」

2016/7/14

トレンドマイクロは7月13日、公式ブログで「オンライン銀行詐欺ツール『BEBLOH』に誘導するスパムメール、日本に拡大」と題する記事を公開しました。2009年から確認されているネットバンキングを狙うウイルス「BEBLOH(べブロー)」の最新状況について報告しています。

それによると、今年5月ごろより猛威を振るっているネットバンキングを狙うウイルス「URSNIF(アースニフ)」でも、ダウンローダーとして利用されていた「BEBLOH」が、改めてネットバンキングを狙うウイルスとしても利用されていることが判明しました。「BEBLOH」が、日本の17の銀行および金融機関を監視していることも、明らかとなっています。

「URSNIF」の拡散では、スパムメールに添付されている「NEMUCOD」「PAWXNIC」、そして「BEBLOH」などを経由して、最終的にURSNIFが拡散される手口が使われていました。そのときは、URSNIFを呼び込む“きっかけ”として「BEBLOH」が利用されていましたが、今回の手口では、「BEBLOH」本体がネットバンキングを狙うウイルスとして機能しています。

トレンドマイクロによると、「BEBLOH」は、2015年11月まで日本でほとんど検出されていませんでした。しかし、日本での活動が2015年12月に確認され、このときは324件が検出されました。そして2016年3月には、2,562件まで増大しました。

「BEBLOH」は、個人ユーザおよび企業の従業員の両方を攻撃対象にしています。「Process Hollowing」と呼ばれる手法で、不正プロセスを隠ぺいするほか、更新頻度も高く、セキュリティ製品などによる検出を困難としています。また、スパムメールの件名も、ローン、ショッピングや配達など個人的なものから、人事関連など専門的なものまで多様で、拡散が拡大しているとのことです。


個人や組織に送信されるスパムメールの例

個人や組織に送信されるスパムメールの例

オンライン銀行詐欺ツール「BEBLOH」に誘導するスパムメール、日本に拡大 | トレンドマイクロ セキュリティブログ

●東京都が「SNS東京ノート」の配布を開始

2016/7/7

東京都教育委員会(教育庁)は7月5日、情報モラル教育補助教材「SNS東京ノート」の配布を開始しました。

東京都教育委員会では、いじめ等のトラブルや犯罪に、児童・生徒が巻き込まれないようにし、学習への悪影響を防ぐため、以下の5項目からなる「SNS東京ルール」を2015年11月に策定しています。

1. 一日の利用時間と終了時刻を決めて使おう。
2. 自宅でスマホを使わない日をつくろう。
3. 必ずフィルタリングを付けて利用しよう。
4. 自分や他者の個人情報を載せないようにしよう。
5. 送信前には、相手の気持ちを考えて読み返そう。

「SNS東京ノート」は、「SNS東京ルール」推進の一環で制作され、都内公立学校の全児童・生徒向けに、約100万部が配布されました。授業中に使用することを想定しており、小学校1〜3年生向け・4〜6年生向け・中高校生向けの3種類があります。

「SNS東京ノート」では、情報モラルについて考える事例を紹介するとともに、考えを書き込む欄を用意。教室での話し合い活動などが行える作りになっています。また家庭に持ち帰った際に、保護者らと確認し合う欄も用意されています。内容面も工夫されており、ただ直接的にSNSやインターネットを説明するのではなく、たとえば低学年では「留守番していたときに、電話がかかってきたらどうするか」「友達のうわさを聞いたときに、どういうことを感じるか」など、より身近な出来事をあげて考えさせる内容になっています。

「SNS東京ノート」および活用の手引きは、東京都教育委員会サイトよりPDFファイルがダウンロード可能です。


「SNS東京ノート」の内容の例(出典:東京都教育委員会サイトより)

「SNS東京ノート」の内容の例(出典:東京都教育委員会サイトより)

「SNS東京ノート」を配布します:東京都教育委員会

●不正アプリが正規アプリになりすます手口

2016/7/6

トレンドマイクロは7月5日、公式ブログで「最新モバイル脅威事情:不正アプリの侵入は月12万件超、特に偽アプリに注意」と題する記事を公開しました。モバイル端末の利用における注意点として、不正アプリが正規アプリになりすます手口を紹介しています。

それによると、モバイル利用者を狙ったサイバー脅威は「Web経由の誘導」が最も多く、不正アプリ、迷惑アプリ、不必要な正規アプリの侵入が、頻繁に行われているとのこと。トレンドマイクロの調査によると、日本国内のモバイル端末の場合、2016年1〜4月の期間に、約318万件・3万6000種の不正アプリ・迷惑アプリが検出されています。このうち、約8割が迷惑アプリで、残り約2割が不正アプリとなっており、不正アプリの割合自体は高くありません。ただし、絶対数で計算すれば50万件を超えており、不正アプリの侵入が毎月12万件以上も発生していることになります。

不正アプリ・迷惑アプリの侵入手口ですが、前提として、ユーザに「アプリのインストールの承諾」を行わせます。そのために、「偽のセキュリティ警告」「画像表示や動画再生に必要という、偽のお勧め」などを表示し、ユーザを騙そうとします。2016年1〜4月に検出された不正アプリ・迷惑アプリでは、アプリ名称に「Music」「Movie」「MP3」といった単語を含んでいるなど、メディア・動画・音楽関連アプリに見せかけたものが、全体の38%を占めていました。

さらに巧妙な手口としては、有名な正規アプリの本体ファイル(APK形式の圧縮ファイル)を改造し、不正アプリに作り替える「リパック」という手法が紹介されています。APKファイルを作り替えた場合、通常は、本来の開発者によるデジタル署名が無効化されますが、「リパック」では、不正なデジタル署名を流用することで、インストール可能なアプリとして配布を可能にします。

こうした不正アプリ・迷惑アプリのほとんどは、正規マーケットではなく、不審なサードパーティマーケットから配布されています。Google Play、あるいは携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみアプリをインストールするよう、心掛けてください。

最新モバイル脅威事情:不正アプリの侵入は月12万件超、特に偽アプリに注意 | トレンドマイクロ セキュリティブログ

●暗号化型ランサムウェアの侵入方法とは

2016/7/4

トレンドマイクロは7月1日、公式ブログで「暗号化型ランサムウェアの侵入方法およびその対策について」と題する記事を公開しました。ここ最近猛威を振るっている「暗号化型ランサムウェア」について、その侵入方法に焦点を当て、対策を含め解説しています。

同記事では、暗号化型ランサムウェアの典型的な侵入方法として「(1)スパムメールによる拡散」と「(2)Webサイト経由での拡散」という2つの方法をあげています。いずれも古典的な手段ですが、効果をあげているのが現状です。一方、トレンドマイクロの解析では、暗号化型ランサムウェアの多くが、WebサイトやEメールのフィルタリングで阻止できることも判明しています。

「スパムメールによる拡散」では、実行型プログラムファイル、マクロ、JavaScriptなどを利用した不正ファイルが、添付ファイルとして送られてきます。これらのファイルが、ランサムウェア本体のダウンローダとして機能するとのこと。とくに一部ファイルは、サンドボックス技術による検出を回避するために、マクロを悪用しようとします。

こうしたスパムメールでは、「履歴書」「請求書」「配送情報」「アカウントの凍結」など、ありふれた事項のメール件名が利用されています。一方で、標的とする地域の言語を利用し、具体的な地元企業になりすましているケースも増えています。一見重要そうなメールに見えても、添付ファイルは、安易に開かないことが重要です。

「Webサイト経由での拡散」では、改ざんされた正規のWebサイト、あるいはエクスプロイトキットが組み込まれた不正なWebサイトなどが利用されます。サイバー犯罪者は、こうしたサイトが見抜かれたりブロックされたりしないよう、さまざまな手法を用いてきます。またエクスプロイトキットについても、状況に応じて使い分けていることが判明しています。

こうしたサイトに誘導されたユーザが、脆弱性を抱えたPCを使用していた場合、ランサムウェアに感染してしまいます。OSやソフトに更新プログラムを適用し、最新状態を保っておくことが対策として有効です。不正なURLをブロックするセキュリティソフトも合わせて利用しましょう。

暗号化型ランサムウェアの侵入方法およびその対策について | トレンドマイクロ セキュリティブログ

●ネットバンキングを狙うウイルスが日本語メールで急拡散

2016/7/1

トレンドマイクロは、6月以降活動を強めているネットバンキングを狙うウイルス「URSNIF(アースニフ)」のメールを通じた拡散が6月27日よりさらに急増していることを受け注意喚起を行っています。
6月27日からの2日間で4万件以上の該当のウイルス付迷惑(スパム)メールが拡散されています。

今回の「URSNIF」の拡散を狙ったウイルス付迷惑メールでは、日本語の件名で「保安検査」、「宅急便お届けのお知らせ」、「商品お届けのご案内」、「作業日報」、「経理処理について」、「ご確認」といった多様な種別が確認されており、攻撃者が手を変え品を変え攻撃を行っている様子です。内容的にも実際に企業が送っている通知の内容をコピーして使用する、実際の企業のメールアドレスや国内の有名プロバイダのメールアドレスを送信元として偽装するなど、一見して不審と見抜けない手口が使われています。


図1:「作業日報」を偽装したウイルス付メールのイメージ例

図1:「作業日報」を偽装したウイルス付メールのイメージ例


図2:「ご確認」の件名で拡散されたウイルス付メールのイメージ例

図2:「ご確認」の件名で拡散されたウイルス付メールのイメージ例


該当の迷惑メールの添付ファイルを実行するとダウンローダが活動し、最終的に「URSNIF」に感染します。感染した状態でネットバンキングサイトへアクセスすると、偽画面を表示するなどの方法で認証情報が盗まれます。今回確認した「URSNIF」は2007年以前から存在するバックドア型のウイルスですが、2016年ネットバンキングを狙うウイルスの機能を備えて再度悪用されています。

今回に限らず、昨今のウイルスを拡散する事例では、電子メール経由と正規のWebサイト経由での脆弱性攻撃が主な侵入手法となります。OSやソフトにセキュリティ更新プログラムを適用し、脆弱性対策を行うと同時に、セキュリティソフトを常に最新の状態で利用するよう心がけてください。また、不用意に電子メールの添付ファイルを開かないことも被害に遭わないために重要な対策となります。

ウイルスバスター クラウド 10をはじめとするトレンドマイクロ製品をご利用のお客様は本事例で拡散される不正プログラムの脅威に対し、「Trend Micro Smart Protection Network(SPN)」の技術によって守られています。

国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散 | トレンドマイクロセキュリティブログ

●電力自由化など新制度に便乗する詐欺事例

2016/7/1

独立行政法人国民生活センターは6月30日、「消費者トラブルメール箱」について、2015年度のデータや事例を取りまとめた内容を発表しました。

「消費者トラブルメール箱」(トラブルメール箱)は、インターネットを利用した情報収集コーナーとして、2002年4月に、同センターのサイト内に開設。さまざまな報告や相談を、メールフォームで受け付けています。

2015年度の受信件数は9,122件で、2014年度の1万3,721件から大幅に減少。「トラブルメール箱」ページへのアクセス件数も前年度から4割以上減少し、16万2,707件となりました。ただし、これはトラブル自体の減少を示すものではないので注意が必要でしょう。送信者の年代を見ると、40歳代(30.7%)、30歳代(27.0%)で全体の約6割を占めていますが、2015年度は40歳代が減少し50歳代が増加しました。

2015年度に寄せられた主な内容は、「インターネット通販に関するトラブル」「オンラインゲームやアプリに関するトラブル」「携帯電話(スマートフォン)・タブレット端末、光回線サービスの卸売に関するトラブル」「架空請求・不当請求関連のトラブル」「新しく始まる制度に関連したトラブル」の5つに大別されています。

「トラブルメール箱」では、インターネット経由で情報を収集しているため、とくにネット通販に関する情報提供が多いのが特徴ですが、2015年度は「マイナンバー」「電力自由化」など、新制度に関するトラブル情報も寄せられました。マイナンバーにおいては「フィッシングサイトへの誘導」、電力自由化においては、「便乗した商品の勧誘」「電力会社を騙った情報詐取」などがあった模様です。なお、生死に関わるような事案も10件ほど寄せられたとのことです。

「消費者トラブルメール箱」2015年度のまとめ(発表情報)_国民生活センター




トレンドマイクロ・オンラインショップはこちら


NEC Copyright(C) NEC Personal Computers, Ltd.