UnderForge of Lack

ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策
2008年4月16日、IPAセキュリティセンターを騙り、マルウェアの仕掛けられたファイルが添付された「なりすましメール」が出回ったことを確認し、IPAでは「重要なお知らせ」として注意喚起を行いました。
これは、アプリケーションの脆弱性とソーシャル・エンジニアリングを巧みに利用した標的型攻撃であり、このような場合、メールの受信者が受信したメールから攻撃の存在を推測することは非常に困難であるため、事前の対策および脅威の可視化が重要です。
今回公開した「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」（全8ページ）は、このケースと同様の攻撃への対策を促進するため、攻撃の概要、分析結果、対策等をまとめたものです。

ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 － 脆弱性を狙った脅威の分析と対策について－ (427KB)

現在のIPAがそうかどうかはともかく（笑）
「信頼のおける会社名・組織名」を騙ったメールで悪意サイトへの誘導を行う例は枚挙に暇がありません。

-------------------
本日、このようなメールがきました
突然のメールで失礼致します。
早速ですが、本題に入らさせて頂きます。 現在お客様がご使用中の携帯電話端末より、認証ネットワーク事業者センターを介し、発信者端末電子名義認証を行い以前にお客様がご登録されました『有料情報サイト』『懸賞つきメルマガ』『音楽ダウンロードサイト』等における無料期間内等で退会手続が完了されていない為、ご登録料金及びご利用料金が発生しており現状で料金未払いとなった状態のまま長期間の放置が続いております。現在調査保留中の額面にて、処理をご希望であれば早期に精算・退会処理データ抹消手続きをお願いします。本通知メール到達より翌営業日営業時間内までにご連絡を頂けない場合には、ご利用規約に伴い①個人調査の開始悪質な場合は身辺調査の開始、②各信用情報機関に対して個人信用情報の登録、③法的書類を準備作成の上、即刻法的手続（強制執行対象者等）の開始。ご返信によるメールでの手続きは受付できません。尚ご連絡なき場合は上記手続きに自動的に移行されますのでご了承下さい。
ご連絡先TEL xx-xxxx-xxxx
受付時間 月曜～金曜 午前9時～午後6時迄 (土曜日休み）（株）スクウェア・エニックス 調査事業部 担当者山下
enix99ssxxxx@gmail.com

いろいろツッコミどころが多いのは判ってますが・・・（笑）

スクウェア・エニックスの見解
架空請求メールについてのご注意
2009年2月ごろより、弊社（株）スクウェア・エニックスの社名および「調査事業部」等の架空の部署名を使用し、『有料情報サイト』『懸賞つきメルマガ』『音楽ダウンロードサイト』などの利用料金支払いに関する請求・督促メールが携帯電話に送られてくるという、悪質な行為を確認しております。

弊社および弊社グループ会社からこのような請求行為は行っておらず、一連の請求・督促メールについて、弊社および弊社グループ会社とは一切関係がございません。

なお、本件に関し、弊社から警察当局への連絡も行っております。

このような心当たりのない請求・督促メールに書かれた電話番号には、絶対に連絡しないようご注意いただき、最寄りの警察や消費生活センターへご相談、お問合せくださいますようお願いいたします。


-------------------
上述のIPAの例ではPDFのセキュリティホールを悪用した攻撃が行われています。

1. Adobe Acrobat Readerを最新版にする

2. WindowsXP SP2 以降の方はデータ実行防止機能を使用する。

3. Acrobat Reader の JavaScriptを OFF にする。



現時点ではこのような対策が有効です。


一番の対策は不用意にファイルを開かないことですけどね～

マイクロソフト セキュリティ情報の事前通知 - 2009 年 2 月
Microsoft定例のセキュリティパッチが予告されました。

建国記念の日

Obama Worm: So Old, It’s New Again
After a malware dubbed as the “Obama worm” was found circulating within an Illinois elementary school’s network, security researchers traded opinions on the threat it brings about.

Most reports mainly circulated on the issue of whether the file was malicious or not, considering that it has no malicious payload other than showing the following image of the president:

However, we find it more interesting how these reports are leaning towards the conclusion that a student in the affected school may have triggered the “attack,” and that it may have been done through playing around with a malware kit.
イリノイ州の小学校の学内ネットワークにおいて「Obama Worm」と命名されたマルウェアが蔓延しているケースに関して、セキュリティ研究者の意見交換が行われました。


ほとんどの意見は、そのマルウェアに大統領の画像を表示する以外の悪意の活動の兆候が無く、単に蔓延している点が問題だと指摘しました。
しかし、この事態は興味本位が更なる「攻撃」の引き金になったかもしれないと分析し、恐らくは学生がマルウェア作成キットのようなソフトウェアで遊んでいた結果であると推測しています。

'Obama worm' probably a student prank, experts say

Obama worm? ... nah, surely not
＃表現的にヤバイ部分あるので翻訳できないヨ！


DIY Malware Kits（日曜マルウェア工作キット）って何だ？って思ったわけですが
Google先生に尋ねると、うじゃーっと出てきてびっくり（本体も転がっててヤバい・・・）

小学生が最初にコンピュータに興味を持った先がMalware作成とか、笑えない事態ですね（でも笑）

AVGが簡易アプリケーション作成ツールをマルウェアと誤検知しただけってオチは無い？（笑）

Google Japan の新しいホームページ　Version 2
新しいホームページでは、Google の理念である検索への迅速なアクセスは保ちながら、「Google 急上昇ワード」という、検索数が急上昇している検索キーワードをホームページ上に表示しています。
日本独自で開発したGoogle 急上昇ワードは、必要な情報を探してアクセスするだけではなく、世の中のトレンドを検索キーワードで表示し、思いもよらぬ情報との出会いを楽しんでいただく機能です

機能的にはいいんです

が、

仕事中に検索している人には
「脇道の機会が増えた！」
ってことにならなければいいのですがねぇ（笑）

＃え？既にテオクレですかそうですか・・・

インターネット脅威マンスリーレポート - 2009年1月度
1月の不正プログラム感染被害の総報告数は4972件で、先月12月の4732件から微増しており、2008年9月以来の減少傾向から増加に転じました。不正プログラム感染被害報告数ランキング（表1）では、USBメモリ関連の不正な設定ファイル「MAL_OTORUN（オートラン）」が2008年8月以来6ヶ月連続で1位となっていますが、2008年2月以来、最も報告数の多かった12月の640件から減少しています。
また、感染被害ランキングでは、「WORM_DOWNAD（ダウンアド）」が2位に入っており、前月の123件から増加しています。2008年末から「WORM_DOWNAD」の機能拡張が見られ、従来の脆弱性を利用してコンピュータに侵入する手法のほかに、辞書攻撃による共有ネットワーク経由やUSBメモリなどのリムーバブルメディア経由での感染手法を使用する亜種が確認されています。これらの亜種は、脆弱性の有無に関わらず感染する可能性があるため、注意が必要です。

トレンドマイクロ版です
（当然ですけど）あまり代わり映えは無いかも

--------------------
MAL_OTORUN（オートラン）
Trojan-Downloader.Win32.Todon.v (Kaspersky)
W32/Webbew.worm (McAfee)
W32.Dotex (Symantec)
TR/Agent.28829 (Avira)
Mal/SillyFDC-A (Sophos)
Worm:Win32/Autorun.NZ (Microsoft)

参考：
USB (flash memory)
USB AutoRun :: should be killed completely


--------------------
WORM_DOWNAD（ダウンアド） -- MS08-067
ダウンアドは二重構造なので、検体チェックも２倍の手間かかって各社ともグチャグチャな状況です（笑）

Arpoc：脆弱性を持つPCを探しGimmivをインストールするトロイの木馬
TrojanSpyWin32-Arpoc.A
WORM_GIMMIV.A
Bloodhound.Exploit.212
Spy-Agent.da


Gimmiv：情報を収集するトロイの木馬
TrojanSpy:Win32/Gimmiv.A
TSPY_GIMMIV.A
Trojan.Gimmiv.A
Spy-Agent.da

最初の検体 MD5:ccbb73c5f137335fa2a49d7f79722a6c 対応状況
（注意：亜種多いのであまり参考にはなりません）

当時の混乱が良く分る記事：
まっちゃだいふくの日記★とれんどふりーく★ -- 2008年10月24日


--------------------
Malwareで出てきた
TSPY_ONLINEG.MCL

PWS-Mmorpg.gen!853448AE
MD5:abf976346536fc18f68b3d190bb69ac5 対応状況
PWS-Mmorpgの亜種群の１個ですね

--------------------
スパムマップ配信国ランキング（2009年1月）
ワーストTOP5を見ると、昨年から引き続いている脅威傾向が見られます。依然、アメリカは20%以上のスパムメール発信元となっており目立った存在です。また、ブラジルの活性化傾向も継続しています。
6位にオランダ（先月6【位】）、7位にドイツ（先月7【位】）、8位に中国（先月2【位】）、9位にイギリス（先月9【位】）、10位にポーランド（先月10【位】）が続いています。

WORM_WALEDACファミリがスパムメールによる拡散を広げています。ニューイヤーカード（年賀状）に米バラク・オバマ大統領の関連サイト、バレンタインデーカードなどに便乗した内容で受信者の警戒心を解こうとしています。

イスラエルのガザ地区への攻撃報道を装い、偽のCNNニュース動画サイトへ誘導。動画再生に必要なソフトウェアとして、ダウンロード型のウイルス「TROJ_DLOADR.QK」を侵入させようとする事例を確認しました。

個人情報を狙う攻撃者も感心の高い話題にいち早く便乗します。英文で「2010年FIFAワールドカップのオンライン宝くじで85万ドルが当たりました」というメールを確認しました。攻撃者は当選金を受け取るためと称して氏名、電話番号、職業といった個人情報を提供するよう促しています。
　
折からの金融不況で財布の紐が固くなり個人消費が冷え込んでいます。そこで消費喚起を促そうとクーポン券の発行を新たなビジネス戦略として採る企業が増えています。攻撃者はこうした動向も見逃しません。「イケア（IKEA）」、「ジャックダニエル（Jack Daniel’s）」、「ブリティッシュ・エアウェイズ（British Airways）」など著名企業がクーポン券発行を知らせるメールを装い、ウイルス配布サイトへの誘導を試みています。こうした手口では、ウイルス侵入のみならず、個人情報の搾取にも応用できるため、今後も注意が必要といえます。

今回紹介の事例はいずれも英語圏での出来事です。しかしながら、いずれも模倣容易なものであり、今後国内にて同様の事例が発生する危険性も考えられます。

Botnetの遮断から時間が経過しましたので、また新たなspam networksが稼動しつつあります。
中国が落ち込んでいるといっても、comやbiz, infoドメインの詐称で、実際は中国国内にあることが多いのも事実です。

日本が発信源のspamメールはあまり聞きませんが、ワンクリ詐欺を中心としたscam mailは相変わらずのようです。

もっとも・・日本の詐欺メールはぁゃしぃサイトをウロツカナケレバ滅多にヒットしないんですけどね（笑）


--------------------
他の１月レポート
参考：
Kaspersky ()

Fortinet()