「ランサムウェア」という聞き慣れないウイルスですが、「データに対して承諾なしの暗号化などを行い、その復元に対して金銭を要求する悪質なソフトウェア」ということらしいです。対策としては、「Adobe Reader、Java、Quicktime Player、Flashなどの脆弱性を利用」ということですから、常に最新のバージョンにアップデートしておくことが必要です。
データを勝手に暗号化する「ランサムウェア」、危険度の高い新種が発生 -INTERNET Watch
株式会社Kaspersky Labs Japanは3日、「ランサムウェア」型ウイルスの新種2種が発見されたと発表した。感染するとPC上のデータが消失する可能性もあるため、注意を呼びかけている。なお、カスペルスキーのウイルス対策製品で最新版定義ファイルを適用していれば、今回のウイルスからは完全に保護されるとしている。
ランサムウェアは、ユーザーのデータに対して承諾なしの暗号化などを行い、その復元に対して金銭を要求する悪質なソフトウェア。今回発見された新種の1つは、2004年に検知された「GpCode」と呼ばれるウイルスの亜種。Kaspersky Labsでは「Trojan-Ransom.Win32.GpCode.ax」と呼称、11月29日付でデータベース登録している。
何やら新たな攻撃が始まっているようです。特徴を掴まえておこう。「Javaの脆弱性を悪用している」とありますから、Javaを最新のものにしておいた方がいいかもしれません。
国内100社以上で感染、「mstmp」などのファイル名で拡散する不正プログラム -INTERNET Watch
トレンドマイクロ株式会社は22日、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムが出回っているとして注意喚起した。同社には14日以降、日本国内の企業100社以上から感染被害の報告が寄せられており、日本を標的とした攻撃である可能性も考えられるという。
トレンドマイクロによれば、攻撃の大まかな流れは以下の通り。
1)ユーザーが改ざんされた正規ウェブサイトを閲覧
2)正規サイト内に仕掛けられたコードによって不正サイトへリダイレクト
3)不正サイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
4)「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
5)「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
6)「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリーの不正プログラムをダウンロード
7)「TROJ_DROPPER」ファミリーの不正プログラムが「TROJ_EXEDOT.SMA」を作成
8)さらに、「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信
「配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性がある」ということです。最近、この手の攻撃・トラブルを何回か見たような気がします。管理会社にはしっかり管理してもらいたい。「SecurityTool」に感染というのは、前に このブログで取り上げ ています。
マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響 -INTERNET Watch
株式会社マイクロアドは25日、同社の広告配信サーバー「VASCO」の一部バージョンが外部からの攻撃を受けて改ざんされ、配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性があると発表した。
マイクロアドによると、該当する広告配信サーバーは100社以上が導入しているが、影響を受けた企業やユーザー数については現在調査中であるという。また、導入企業については非公開としているが、27日午後1時現在、毎日.jp、Impress Watch、GIGAZINE、Slashdotなどのウェブメディアが改ざんの影響を受けたと発表している。
広告配信サーバーが改ざんされていたのは9月24日21時半ごろから9月25日1時過ぎごろまで。この間、広告が含まれるページを閲覧したユーザーは、悪意のあるサイトに誘導され、偽セキュリティソフト「SecurityTool」に感染した恐れがあるという。
SecurityToolはインストールされると、正規のセキュリティソフトのような画面を表示し、大量のウイルスが検出されたように見せかける。駆除しようとするユーザーに対しては有料会員への登録を促し、クレジットカード情報などを入力させようとする。
マイクロアドは該当するユーザーに対して、ウイルス対策ソフトを最新の状態にしてスキャンを実施するか、セキュリティ各社のホームページにあるオンラインスキャンを利用するよう呼びかけている。
例えば、トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。
正規のウェブサイトの改ざんによる「ガンブラー攻撃」でダウンロードされることが確認されている、ということで、ガンブラー攻撃が引き続き行われていることに注意です。偽セキュリティソフト「SecurityTool」の画像を良く確認しておくことが大事です。
日本語など25言語で表示する偽セキュリティソフトが見つかる -INTERNET Watch
日本語を含む25言語の表示に対応した偽セキュリティソフト「SecurityTool」が見つかった。トレンドマイクロ株式会社が5日に発表した、7月の「インターネット脅威マンスリーレポート」で明らかにした。
SecurityToolは、コンピューターの言語環境に合わせて表示言語が変わるのが特徴。メイン画面だけでなく、Windowsのバルーンチップの内容も変化するなど、「手の込んだものとなっている」。
偽セキュリティソフトは以前より、英語版が流通してから、さまざまな言語に翻訳されたものが出回る傾向があった。SecurityToolについても、英語版が2010年1月に確認されていた。
トレンドマイクロによれば、SecurityToolは、正規のウェブサイトの改ざんによって不正プログラムに感染する、いわゆる「ガンブラー攻撃」でダウンロードされることが確認されているという。
なお、SecurityToolは、セキュリティソフトを装うトロイの木馬「TROJ_FAKEAV」として検知されている。トレンドマイクロが発表する不正プログラム感染被害報告数ランキングでは、3月から5カ月連続でTROJ_FAKEAVがランクインしている。7月には17件の感染被害が報告された。
「料金請求画面が数分おきに表示される」というのも困ったものですね。どういう画面か1度見ておくと非常に参考になります。特徴は「「はい」「いいえ」のボタンが強調されている画面」です。
この画面が表示されたら要注意! ワンクリック請求の代表的な画面例9種 -INTERNET Watch
独立行政法人情報処理推進機構(IPA)は4日、同機構の窓口に寄せられたワンクリック請求に関する相談が、6月で累計2万件を超えたと発表した。2010年に入ってから毎月600件以上で推移しており、6月には805件に上った。
被害が減らないのは、ワンクリック請求という罠が存在することを知らないPC利用者がいまだ多数存在しているためだとIPAではみており、その手口を説明するとともに、代表的な画面も提示して注意を呼び掛けている。
IPAによると、被害のほとんどがアダルトサイトの動画コンテンツのページ。無料の動画を見るつもりでリンクをクリックし、表示されるダイアログを不用意にクリックして進んでいくと、マルウェアをインストールされてしまい、料金請求画面が数分おきに表示されるなどの現象が発生する。
IPAでは、マルウェアがインストールされる前に表示される特徴的な画面として、「はい」「いいえ」のボタンが強調されている画面を紹介。そのような画面を見た際には、「もしかして、罠ではないか?」と疑いを持つ慎重さが求められるとしている。
また、「セキュリティの警告」ウィンドウが表示された場合は、何らかのプログラムがダウンロードされ、実行されようとしている時だと説明。動画を見ようとしただけで「セキュリティの警告」ウィンドウが表示された場合は、「実行」「保存」ボタンはクリックすべきではないとしている。
IPAでは、相談があったもののうち9サイトの特徴的な画面例を公開。今後も似たサイトが出現してくることが予想されるとし、画面の特徴をつかんでおき、不用意な行動は慎むよう呼び掛けている。
なお、万一、料金請求画面が表示されるようになっても、絶対にその業者に連絡をとったりせずに、最寄りの消費生活センターなどに相談することを勧めている。
「gredでチェック」を、私はしばしば利用して重宝しています。「企業のウェブサイト改ざんが続いている」ということですから、個人のサイトも危ないところは相当数あると予想されます。WordPress のフォーラムを覗いていても、それらしき疑いのあるサイトが散見されているように、私は感じています。
ウェブ改ざんの手口に変化、対策の“逆”を突くスクリプト埋め込みも -INTERNET Watch
株式会社セキュアブレインは30日、無料のウェブセキュリティサービス「gred(グレッド)でチェック」が6月に収集したデータをとりまとめた。ウェブサイトを改ざんして悪意のあるスクリプトを埋め込み、サイト閲覧者に不正プログラムを感染させる「ドライブバイダウンロード型」の攻撃に変化が見られたと報告している。
従来のウェブサイト改ざんの手口は、悪意のあるスクリプトを「難読化」することで、セキュリティ対策システムからの検知や、管理者による発見を逃れる傾向があった。しかし6月には、あえて難読化されていないスクリプトが埋め込まれており、ソースコードを確認すれば容易にその内容が理解できる事例が確認されたという。
セキュアブレインによれば、この新たな攻撃手口のスクリプトの一部には、通常の文面または、コンピューターのOSや機種の名称など、よく知られている固有名詞が使われており、これによりセキュリティ対策システムが「悪質ではない」と判断したり、難読化されていないため、逆に管理者が気付かない可能性があるとして、注意を喚起している。
「広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていた」ということで、普段、インプレスのサイトを頻繁に閲覧しているわたしとしては驚いています。今回も、Internet Explorer を使っていてはダメということを再確認させられました。
インプレスビジネスメディア、バナー広告改ざんでウイルス感染の恐れ -INTERNET Watch
株式会社インプレスビジネスメディアは21日、同社の広告配信システムが外部からの攻撃を受け、不正なコードを埋め込まれたバナー広告がサイト上に表示されていたことを明らかにした。このバナー広告を閲覧した一部のユーザーは、トロイの木馬型ウイルスに感染した可能性があるとしている。
改ざんされた広告が表示されていたのは19日23時22分から翌20日0時25分まで。この間、同社が運営する「Think IT」「Web担当者Forum」「IT Leaders」「データセンター完全ガイド」「レンタルサーバー完全ガイド」のいずれかに Internet Explorer でアクセスし、かつウイルス対策ソフトをインストールしていないユーザーは、ウイルスに感染した恐れがあるという。
ウイルス感染の恐れがあるユーザーに対しては、ウイルス対策ソフトを最新の状態にして、ウイルススキャンを実施するように呼びかけている。また、ウイルス対策ソフトをインストールしていないユーザーに対しては、シマンテックやトレンドマイクロ、マカフィーが提供する無料ウイルス駆除ツールを紹介している。
なお、今回の障害は、社内でのシステムチェックにより発見され、約1時間後に広告表示の停止による緊急対応を行い、すでにサービスは復旧済み。なお、攻撃を受けた広告配信システムには個人情報は含まれておらず、情報漏えいの可能性はないとしている。
正式版が出たらインストールしても良いな、と思っています。「32ビット版と64ビット版がダウンロード可能」なんだし、無料だし、性能も各種のテストでそこそこ良いし、なによりも Windows のメーカー製だし、という理由からです。
Microsoft、「Security Essentials」次期ベータ版を公開 -INTERNET Watch
米Microsoftは20日、セキュリティ対策ソフト「Security Essentials」の次期バージョンのベータ版を公開した。対応OSはWindows 7/Vista/XPで、32ビット版と64ビット版がダウンロード可能。ダウンロードにはWindows Live IDが必要となる。現時点では米国、イスラエル、ブラジルのユーザーが対象で、中国語版も年内に公開予定としている。
Security Essentialsは、Microsoftが無料で提供しているセキュリティ対策ソフト。新バージョンでは、新しい保護エンジンによりマルウェアの検知や駆除のパフォーマンスを向上するとともに、ウェブベースの脅威からの保護機能を強化。インストール時に、Windowsファイアウォールを有効にできる機能も追加した。
また、ネットワーク監視エンジンを新たに搭載し、ネットワークベースの攻撃からの保護機能を備えた。ただし、この機能はWindows 7/Vistaのみが対象となっており、Windows XPでは利用できない。
不審なメールというのは、毎日、何百と来ます。これらは、まとめてバッサリ削除しています。しかし、これらを削除しないで開いてしまう人もいるのだろう。脆弱性をふさぐ努力をしなければなりませんが、今日(2010/06/30)も Adobe Reader の最新版が出ましたので、アップデートしておきました。
Adobe Readerのゼロデイ脆弱性を悪用、日本国内を狙った攻撃を確認 -INTERNET Watch
日本アイ・ビー・エム株式会社(日本IBM)は、日本国内の企業や組織を狙って、Adobe Reader/Acrobatのゼロデイ脆弱性を悪用する攻撃が確認されたとして、注意を呼びかけた。
日本IBMの東京セキュリティ・オペレーション・センター(Tokyo SOC)では、6月21日12時頃から15時頃にかけて不正なメールを検知。メールは政府系機関関係者を差出人として詐称しているもので、「最近の日米経済関係について」といった件名で、PDFファイルが添付されている。このPDFファイルに、Adobe Reader/Acrobatの脆弱性を悪用するコードが含まれていた。
攻撃で用いられている脆弱性は、現時点で修正パッチが公開されておらず、Adobeでは米国時間6月29日にアップデートを公開するとしている。Adobeではアップデート公開までの回避策として、Adobe Reader/Acrobatの特定のファイル(Windows版Adobe Reader 9.0の場合は「C:Program FilesAdobeReader 9.0Readerauthplay.dll」)をリネームまたは削除することを挙げている。ただし、回避策を実行した場合には、Flashコンテンツを含むPDFファイルを開いた際に、強制終了またはエラーメッセージが表示される。
日本IBMでは、今回のメールは21日以降は検知されておらず、攻撃の被害も確認されていないが、今後も同様の攻撃が行われる可能性があるとして、不審なメールを開かないよう注意を呼びかけている。
「Webサイトを閲覧しただけでウイルスに感染する危険のある攻撃」ということで Flash Player をアップデートしておかないと非常に危険です。現在、Flash Player の最新バージョンは10.1ということです。バージョンの確認とアップデートの仕方は、こちら を参照して下さい。
Flash Playerの脆弱性を悪用、改ざんサイト訪問でウイルス感染の危険 -INTERNET Watch
日本アイ・ビー・エム株式会社(日本IBM)は18日、Flash Playerの脆弱性を悪用して、Webサイトを閲覧しただけでウイルスに感染する危険のある攻撃が行われているとして、注意を呼びかけた。
日本IBMの東京セキュリティ・オペレーション・センター(Tokyo SOC)によれば、6月7日頃からマイクロソフトのウェブサーバー「IIS」を狙ったSQLインジェクション攻撃が増加。この攻撃は「Gumblar」型の攻撃と同様に、ウェブページの改ざんを狙ったもので、攻撃に成功した場合にはウェブページにスクリプトタグが挿入される。
挿入されたスクリプトタグによって、ページにアクセスしたユーザーは「2677.in」「4589.in」というドメイン名のサイトに誘導される。誘導先のサイトには、Adobeが6月10日に修正したばかりのFlash Playerの脆弱性を狙った攻撃コードが設置されていたという。
日本IBMのTokyo SOCでは、今回のFlash Playerの脆弱性は今後も悪用される可能性が高いため、Flash Playerを最新版(10.1)にアップデートするよう呼びかけている。