Urban Schrottは先日、次のような記事を執筆しました。「 …インド洋大津波やハリケーンカトリーナ、ハイチ地震、今年に入ってはニュージーランドのクライストチャーチ地震など、大規模災害の発生後にオンライン詐欺が大量出現する現象が最近では常体化しています。先日、東日本に壊滅的な被害をもたらした地震と津波もやはり例外ではありません」。

David Harleyも震災後すぐにブログに、今回の大災害に便乗して義援金を募るふりをして金銭を搾取しようとするソーシャルエンジニアリングの手法を利用した犯罪は避けられないと記しており、ほどなくして有用な情報源を各種揃えたリソース集を紹介しています。後々の参考のため、日付の新しい順に表示されるブログ記事から情報源を一部ピックアップして、その概要をタイプ別にまとめておきます。

現在までに報告されているさまざまな義援金詐欺の被害に遭わないための有用なリソース：

• Charity Navigatorによる慈善団体の独立した評価結果
• IRSが提供するオンラインの慈善団体検索サービス
• Mashableに掲載されているBen Parr氏によるシンプルな支援活動に関する記事「Japan Earthquake & Tsunami: 7 Simple Ways to Help」
• FTC（米連邦取引委員会）で公開している慈善活動をする際のチェックリスト

災害情報ページおよび関連記事：

• Google Crisis Response（災害情報特設サイト）
• GoogleのPeople Finder（消息情報）サービス
• Microsoftの救援活動の支援など被災地支援活動のページ
• Microsoftの支援活動に関するMicrosoft Technetのブログ記事「Microsoft Supports Relief Efforts in Japan」
• Phil Muncaster氏によるソーシャルメディアが提供する支援サービスに関する記事「Google, Twitter and Facebook step up to help Japan earthquake survivors」
• USA.answers.govが提供している日本の被害状況に関する記事「Current Situation in Japan」

今回の災害に関連すると見られる特定の脅威に対する警告や分析：

• stopmalvertising.comのKimberley氏は、震災後すぐに確認されたブラックハットSEO（検索エンジン最適化）の手口に関する記事を執筆し、偽のマルウェア警告が表示されるサイトへとユーザーを誘導する一連の流れを説明しています。リンクをクリックして誘導されたサイトでは、「あなたのPCはウイルスに感染しています」というメッセージが表示され、偽のアンチウイルス製品をダウンロードするようユーザーに促します。ただし、日本の震災を利用して拡散するソーシャルエンジニアリング型マルウェアは、この類の製品以外でも検出されています。例えば似たような不正広告も、アドウェアなど他の好ましくないコンテンツをユーザーにダウンロードさせるために利用されています。
• spamwarnings.comでは、今回の災害に便乗したスパムメールの例を紹介しています。
• 中には建物が飲み込まれる瞬間など、津波関連の衝撃的な動画を掲載するサイトもありました。ソーシャルメディアサイト（特にFacebook）でも、センセーショナルな見出しが付けられた同様の動画が宣伝されています。通常、表示されたリンクをクリックするとアンケート詐欺のページに誘導されます。すなわち動画を閲覧するために、まずアンケートに回答するよう要求してくるのです。しかし、たいていの場合は動画は存在しません。それどころか、入力した情報がクリック詐欺で一儲けを企む詐欺師に悪用されてしまいます。そのうえ、勝手に自分の名を騙って不正サイトへのリンクをクリックするよう促すメールを友人達に送信されてしまう場合もあります。Facecrooksや他のリソースでは、「町を襲う大津波の一部始終」、「カメラがとらえた津波の衝撃映像」、「日本を襲った巨大地震。大津波に船が飲み込まれる瞬間」のような人目を引くタイトルの動画が並びました。詳細については、http://esetireland.wordpress.com/2011/03/15/cyberthreats-daily-as-predicted-japan-disaster-scams-in-abundance/をご覧ください。
• ナイジェリアのラゴスに住む少年達も当然、このチャンスを見逃すはずがありません。その手口は寄付を懇願する詐欺メールが大半を占めますが、古典的な遺産相続詐欺も多く確認されています。ユーザーに対し、「あなたを故人の相続人として遺産の請求手続きを取りたい。その方は遺言状を残しておらず、身寄りもないが、あなたが最近親者であると判明した」と持ちかけてくるのです。もちろん、被相続人は今回の地震または津波で亡くなったことにされています。赤十字社をはじめ救済機関の支部であると騙り、支援を募る手口も大量に発生しています。ナイジェリア詐欺のような明確な特徴はなく、どちらかと言えば典型的なフィッシングメールのようです。
• フィリピンや香港ではSMSでデマメールが出回っていると報じられました。福島からの放射線がまもなく世界各地にも飛散するというのです。AVIEN（Anti Virus Information Exchange Network）のサイトでは原子炉冷却作業などの復旧情報へのリンクを多数掲載しており、最近の報道でもチェルノブイリ級の被害に発展する可能性は低いとされています。参考として、http://www.theregister.co.uk/2011/03/21/fukushima_after_weekend_2/をご覧ください。

一般的なアドバイス：

• BBCやCNNなど、信頼できるニュースサイトで確認できないようなニュースは鵜呑みにしないでください（ただし、偽の動画がCNNなどでも提供されている可能性がある点にも留意してください）。よく知らないサイトや安全を容易に確認できないサイトへのリンクはクリックしない方が賢明です。悪意を持ったハッカー、ブラックハットは、GoogleやBingなどで検索する際にユーザーがどのようなキーワードを入力するか的確に候補を推測し、検索結果ページの上位に不正リンクを掲載させる能力に非常に長けています。しかも「奇跡の救出劇」や「放射線関連のニュース」といった関心を引くようなタイトルを付けるなど、巧妙にリンクを作成しています。
• Facebookのようなサイトで、たとえ大親友からであってもセンセーショナルな見出しが付いた話題の動画のリンクが送られてきたら注意してください。他者に危害を与える意思がないと断言できる場合でも、興味本位で不正リンクをクリックしてしまい、アカウントを乗っ取られてマルウェアを拡散させてしまう可能性があります。
• あるサイトにクリックして、「Your system is infected（システムが感染しています）」、または「you have some system problem not related to the type of site you're accessing（現在アクセスしているサイトのタイプとは関係のないシステム障害が発生しました）」というメッセージが表示された場合は警戒が必要です（ESETが提供しているようなオンラインウイルススキャナで、「you have an infection（あなたのPCは感染しています）」と警告が出る場合は別問題ですが、ニュースサイトやYouTubeでも確認できたからといって、絶対に正しいと決めつけるのは危険です）。
• 検討中の慈善団体や災害救済機関が信頼できると十分な確証が得られないようであれば、金銭やクレジットカード情報は送らないでください。赤十字社と名乗るだけなら、だれにでもできるからです。「japanese_disaster_relief_scam.comならば信頼できる」と安易に判断せず、また高認知度で十分な実績のある救済機関であっても、Charity Navigatorのようなリソースを利用してひととおり確認するようにしてください。

さらに有益な情報を掲載している総合的なリソース：

• Securiteamに掲載されているRobert Slade氏による過去の災害からの教訓に関する記事
• Internet Storm CenterのGuy Bruneau氏が執筆した記事
• 日付は古いものの的確な情報が盛り込まれた、PCWorldに掲載されている災害詐欺に関する記事
• US-CERTのサイトに掲載されている、偽のアンチウイルス製品による感染の判断基準などの文章へのリンク
• Government Security Newsに掲載されているMark Rockwell氏による記事をはじめとする、FBIや全米災害詐欺情報センターからの適切なアドバイス

わたし達にとっての「春」と言えば、もちろん英国ロンドンのアールズコートにて4月19日～21日に開催されるInfoSecurity Europeの年次エキスポです。例年どおり、今年もさまざまなプレゼンテーションやワークショップが盛りだくさんの充実した教育プログラムとなる見込みです。ESETのシニアリサーチフェローのDavid Harleyは4月19日12時より、Business Strategy Theatreにて「Infrastructure Attacks - The Next Generation」と題した講演を行います。講演では、SCADAシステムや広範なビジネス界がStuxnetから学ぶべき本当の教訓、そしてStuxnetが一体何をもたらしたかについて焦点を合わせます。

Davidは5月も精力的に活動します。まず、チェコのプラハで開催されるAMTSO（Anti-Malware Testing Standards Organization）の次回ワークショップに、ESETの代表、AMTSOの理事として出席します（同じ会場で行われるCAROワークショップにも続けて出席予定です）。次回のAMTSOワークショップは、会費を抑えた新しい会員資格やWebフォーラムの開催などいくつかの重要な改定が進行中なので特に注目が集まりそうです。それから休む暇もなく、EICARカンファレンスでも壇上に上がり、「Security Software and Rogue Economics」と題した講演を行います。セキュリティソフトウェアが偽物か合法か区別するのはなぜ困難であるのかについてスピーチする予定です。はたしてその一因はセキュリティ業界にあるのでしょうか？わたし達がかえって問題を煩雑にしてしまっているのでしょうか？

2010年10月、ESETの研究者であるTasneem Patanwalaはブログで、ESETのフラッグシップ製品の1つであるSmart Securityと名乗る明らかな偽物が出回っていると執筆しました。Randy Knoblochも3月に、さらに露骨な模倣品について情報を提供しました。問題のマルウェアは「E-Set Antivirus 2011」と自称します。わたし達のブランド名からするとなかなか興味深い亜流ですが、そのような名称の製品はもちろん関係がありません。このマルウェアを送り込むサイトでは、「アクティブなマルウェアまたはキーロガーに感染している」、「ライセンスが付与されていないソフトウェアがシステム上で見つかった」、「システムがランダムなIPアドレスによる攻撃を受けている」などのメッセージが表示されます。妙な偶然ですが、セキュリティ専門家でセキュリティ製品の評論家、そしてAMTSO諮問委員会のメンバーを務めるNeil Rubenking氏から後日、フィッシング情報のPhishtankがマークしていたあるサイトで同一のマルウェアがドロップされていたとコメントが寄せられました。

このマルウェアに関するTasneemのブログはこちらからご覧いただけます。また、ESETでは詳細な情報を公開しています。Cristian Borghelloによる論文「Free but Fake: Rogue Anti-malware」も参照してください。

ESET UKのMark JamesとESET北米チームのDavid Harleyは、IT Proに掲載されたTom Brewster氏の記事「Five IT Sectors Staring Into The Abyss」で詳述されている「ファイアウォールの終焉」についてコメントを求められました。Davidは後日、次のように述べています。

1990年代前半には「完璧なソリューション」と称えられたファイアウォールですが、実際は過大評価に過ぎませんでした。もちろん、「完璧なアンチウイルス製品など存在しない」と考える方もいるでしょう。とはいえファイアウォールが長い時間を経て、基本的なパケットフィルタリングという枠を越えて進化し続け、多種多様な製品に組み込まれるようになったのは紛れもない事実です。そのため、この先、基本的なデスクトップファイアウォール（機能に制限があるか、ユーザーが日常的に使用するには複雑すぎるもの）や、ゲートウェイやDMZ周辺の強力なデバイスをあまり目にすることもなくなりそうです。しかし、今後はより汎用的な侵入防御としての役割も備えた新しいファイアウォールが、システム内のレイヤーで保護を提供し続けるでしょう。

企業内か家庭内か、あるいはデスクトップ、境界、クラウド環境であるかに関係なく、1つのレイヤーではなく、複数のレイヤーで保護が提供されるようになっています（これが本来あるべきかたちです）。「従来のファイアウォールはもう用無しだ」と言ってのけるISPもいるかもしれません。

ESET北米チームのテクニカルエデュケーション担当ディレクターであるRandy Abramsは、サンフランシスコで発覚したATM（現金自動預け払い機）を利用した詐欺で判明した興味深い手口を指摘しました。ATMでのスキミング被害と言えば、狭いスペースにあるATMのカードの差し込み口にカードリーダーを設置するのが一般的な手口で、ピンホールカメラを使って暗証番号を不正に入手したり、もっとシンプルに肩ごしに覗かれたり（ショルダーハッキング）する場合もあります。詳細はhttp://chainmailcheck.wordpress.com/2011/03/10/atm-attacks-glued-to-the-screen/をご覧ください。

しかしCBSによると、このサンフランシスコの窃盗団は、銀行などの金融機関の外に設置されているATMのClear、Enter、Cancelの各ボタンを瞬間接着剤で固めて機能しないようにするという、奇抜でローテクな手法を使っていました。カードを挿入した利用者が暗証番号を入力し、次のボタンを押そうとしても当然動きません。そこで仕方なく、カードを取り出してもらおうと銀行内の行員を呼びに行きます。こうして無人となったATMに窃盗団が侵入し、利用者が行員に状況説明している間にタッチスクリーンを操作して現金の一部を引き落とすのです。もちろん、すべてのATMがタッチスクリーン機能を備えているわけではないので、この種の犯罪は一部の地域に限定されます。もしATMの使用時にボタンが機能しないと判明したら、行員に助けを求めようとその場を離れるのではなく、タッチスクリーンを操作してみる方がリスクは少なくなります。また、すべてのATMで可能ではないとしても、Randyが提案するように、暗証番号を入力する前にボタンが機能するか確認するのが賢明かもしれません。

偶然にも、セキュリティ専門家であるBrian Krebs氏も最近、ATMでのスキミング犯罪に関する記事「Green Skimmers Skimming Green」を投稿しています（こちらは従来の手口について説明しています）。しかしDavid Harleyがコメントしたように、この記事のコメント欄で議論されたICチップとPINを組み合わせた「Chip and Pin」カードの導入は、ヨーロッパをはじめとする地域で一定の成果を見せたものの、クレジットカード犯罪を完全に撲滅する策とは言えず、絶対に安心であるとは保証できないのです。

この問題の詳細については、次のリンクをご覧ください。

• http://blog.eset.com/2010/02/18/pin-money
• http://chainmailcheck.wordpress.com/2011/03/10/atm-attacks-glued-to-the-screen/
• http://www.eset.com/threat-center/blog/2010/02/12/has-chip-pin-had-its-chips

そしてDavidが執筆した「The Hole in the Wall Gang」も参照してください。ちなみにこのブログ記事のタイトルは、米国ワイオミング州ホール・イン・ザ・ウォール（Hole in the wall＝壁の穴）にあやかっています。かつては無法者達の活動拠点であり、1960年後半のアメリカ映画「明日に向って撃て！」の題材となったブッチ・キャシディやサンダンス・キッドら悪名高いブラックハット（ここでは元々の意味である悪役を指します）が、隠れ家として利用していました。

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年3月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.79%を占めています。

• ESETのホワイトペーパー
• ESETブログ
• ESETポッドキャスト
• 独立テスト機関によるベンチマークテスト結果
• アンチマルウェアソフトウェアのテストと評価について