Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト
ESETアイルランド
Urban Schrottは先日、次のような記事を執筆しました。「 …インド洋大津波やハリケーンカトリーナ、ハイチ地震、今年に入ってはニュージーランドのクライストチャーチ地震など、大規模災害の発生後にオンライン詐欺が大量出現する現象が最近では常体化しています。先日、東日本に壊滅的な被害をもたらした地震と津波もやはり例外ではありません」。
David Harleyも震災後すぐにブログに、今回の大災害に便乗して義援金を募るふりをして金銭を搾取しようとするソーシャルエンジニアリングの手法を利用した犯罪は避けられないと記しており、ほどなくして有用な情報源を各種揃えたリソース集を紹介しています。後々の参考のため、日付の新しい順に表示されるブログ記事から情報源を一部ピックアップして、その概要をタイプ別にまとめておきます。
現在までに報告されているさまざまな義援金詐欺の被害に遭わないための有用なリソース:
- Charity Navigatorによる慈善団体の独立した評価結果
- IRSが提供するオンラインの慈善団体検索サービス
- Mashableに掲載されているBen Parr氏によるシンプルな支援活動に関する記事「Japan Earthquake & Tsunami: 7 Simple Ways to Help」
- FTC(米連邦取引委員会)で公開している慈善活動をする際のチェックリスト
災害情報ページおよび関連記事:
- Google Crisis Response(災害情報特設サイト)
- GoogleのPeople Finder(消息情報)サービス
- Microsoftの救援活動の支援など被災地支援活動のページ
- Microsoftの支援活動に関するMicrosoft Technetのブログ記事「Microsoft Supports Relief Efforts in Japan」
- Phil Muncaster氏によるソーシャルメディアが提供する支援サービスに関する記事「Google, Twitter and Facebook step up to help Japan earthquake survivors」
- USA.answers.govが提供している日本の被害状況に関する記事「Current Situation in Japan」
今回の災害に関連すると見られる特定の脅威に対する警告や分析:
- stopmalvertising.comのKimberley氏は、震災後すぐに確認されたブラックハットSEO(検索エンジン最適化)の手口に関する記事を執筆し、偽のマルウェア警告が表示されるサイトへとユーザーを誘導する一連の流れを説明しています。リンクをクリックして誘導されたサイトでは、「あなたのPCはウイルスに感染しています」というメッセージが表示され、偽のアンチウイルス製品をダウンロードするようユーザーに促します。ただし、日本の震災を利用して拡散するソーシャルエンジニアリング型マルウェアは、この類の製品以外でも検出されています。例えば似たような不正広告も、アドウェアなど他の好ましくないコンテンツをユーザーにダウンロードさせるために利用されています。
- spamwarnings.comでは、今回の災害に便乗したスパムメールの例を紹介しています。
- 中には建物が飲み込まれる瞬間など、津波関連の衝撃的な動画を掲載するサイトもありました。ソーシャルメディアサイト(特にFacebook)でも、センセーショナルな見出しが付けられた同様の動画が宣伝されています。通常、表示されたリンクをクリックするとアンケート詐欺のページに誘導されます。すなわち動画を閲覧するために、まずアンケートに回答するよう要求してくるのです。しかし、たいていの場合は動画は存在しません。それどころか、入力した情報がクリック詐欺で一儲けを企む詐欺師に悪用されてしまいます。そのうえ、勝手に自分の名を騙って不正サイトへのリンクをクリックするよう促すメールを友人達に送信されてしまう場合もあります。Facecrooksや他のリソースでは、「町を襲う大津波の一部始終」、「カメラがとらえた津波の衝撃映像」、「日本を襲った巨大地震。大津波に船が飲み込まれる瞬間」のような人目を引くタイトルの動画が並びました。詳細については、http://esetireland.wordpress.com/2011/03/15/cyberthreats-daily-as-predicted-japan-disaster-scams-in-abundance/をご覧ください。
- ナイジェリアのラゴスに住む少年達も当然、このチャンスを見逃すはずがありません。その手口は寄付を懇願する詐欺メールが大半を占めますが、古典的な遺産相続詐欺も多く確認されています。ユーザーに対し、「あなたを故人の相続人として遺産の請求手続きを取りたい。その方は遺言状を残しておらず、身寄りもないが、あなたが最近親者であると判明した」と持ちかけてくるのです。もちろん、被相続人は今回の地震または津波で亡くなったことにされています。赤十字社をはじめ救済機関の支部であると騙り、支援を募る手口も大量に発生しています。ナイジェリア詐欺のような明確な特徴はなく、どちらかと言えば典型的なフィッシングメールのようです。
- フィリピンや香港ではSMSでデマメールが出回っていると報じられました。福島からの放射線がまもなく世界各地にも飛散するというのです。AVIEN(Anti Virus Information Exchange Network)のサイトでは原子炉冷却作業などの復旧情報へのリンクを多数掲載しており、最近の報道でもチェルノブイリ級の被害に発展する可能性は低いとされています。参考として、http://www.theregister.co.uk/2011/03/21/fukushima_after_weekend_2/をご覧ください。
一般的なアドバイス:
- BBCやCNNなど、信頼できるニュースサイトで確認できないようなニュースは鵜呑みにしないでください(ただし、偽の動画がCNNなどでも提供されている可能性がある点にも留意してください)。よく知らないサイトや安全を容易に確認できないサイトへのリンクはクリックしない方が賢明です。悪意を持ったハッカー、ブラックハットは、GoogleやBingなどで検索する際にユーザーがどのようなキーワードを入力するか的確に候補を推測し、検索結果ページの上位に不正リンクを掲載させる能力に非常に長けています。しかも「奇跡の救出劇」や「放射線関連のニュース」といった関心を引くようなタイトルを付けるなど、巧妙にリンクを作成しています。
- Facebookのようなサイトで、たとえ大親友からであってもセンセーショナルな見出しが付いた話題の動画のリンクが送られてきたら注意してください。他者に危害を与える意思がないと断言できる場合でも、興味本位で不正リンクをクリックしてしまい、アカウントを乗っ取られてマルウェアを拡散させてしまう可能性があります。
- あるサイトにクリックして、「Your system is infected(システムが感染しています)」、または「you have some system problem not related to the type of site you're accessing(現在アクセスしているサイトのタイプとは関係のないシステム障害が発生しました)」というメッセージが表示された場合は警戒が必要です(ESETが提供しているようなオンラインウイルススキャナで、「you have an infection(あなたのPCは感染しています)」と警告が出る場合は別問題ですが、ニュースサイトやYouTubeでも確認できたからといって、絶対に正しいと決めつけるのは危険です)。
- 検討中の慈善団体や災害救済機関が信頼できると十分な確証が得られないようであれば、金銭やクレジットカード情報は送らないでください。赤十字社と名乗るだけなら、だれにでもできるからです。「japanese_disaster_relief_scam.comならば信頼できる」と安易に判断せず、また高認知度で十分な実績のある救済機関であっても、Charity Navigatorのようなリソースを利用してひととおり確認するようにしてください。
さらに有益な情報を掲載している総合的なリソース:
- Securiteamに掲載されているRobert Slade氏による過去の災害からの教訓に関する記事
- Internet Storm CenterのGuy Bruneau氏が執筆した記事
- 日付は古いものの的確な情報が盛り込まれた、PCWorldに掲載されている災害詐欺に関する記事
- US-CERTのサイトに掲載されている、偽のアンチウイルス製品による感染の判断基準などの文章へのリンク
- Government Security Newsに掲載されているMark Rockwell氏による記事をはじめとする、FBIや全米災害詐欺情報センターからの適切なアドバイス
わたし達にとっての「春」と言えば、もちろん英国ロンドンのアールズコートにて4月19日~21日に開催されるInfoSecurity Europeの年次エキスポです。例年どおり、今年もさまざまなプレゼンテーションやワークショップが盛りだくさんの充実した教育プログラムとなる見込みです。ESETのシニアリサーチフェローのDavid Harleyは4月19日12時より、Business Strategy Theatreにて「Infrastructure Attacks - The Next Generation」と題した講演を行います。講演では、SCADAシステムや広範なビジネス界がStuxnetから学ぶべき本当の教訓、そしてStuxnetが一体何をもたらしたかについて焦点を合わせます。
Davidは5月も精力的に活動します。まず、チェコのプラハで開催されるAMTSO(Anti-Malware Testing Standards Organization)の次回ワークショップに、ESETの代表、AMTSOの理事として出席します(同じ会場で行われるCAROワークショップにも続けて出席予定です)。次回のAMTSOワークショップは、会費を抑えた新しい会員資格やWebフォーラムの開催などいくつかの重要な改定が進行中なので特に注目が集まりそうです。それから休む暇もなく、EICARカンファレンスでも壇上に上がり、「Security Software and Rogue Economics」と題した講演を行います。セキュリティソフトウェアが偽物か合法か区別するのはなぜ困難であるのかについてスピーチする予定です。はたしてその一因はセキュリティ業界にあるのでしょうか?わたし達がかえって問題を煩雑にしてしまっているのでしょうか?
2010年10月、ESETの研究者であるTasneem Patanwalaはブログで、ESETのフラッグシップ製品の1つであるSmart Securityと名乗る明らかな偽物が出回っていると執筆しました。Randy Knoblochも3月に、さらに露骨な模倣品について情報を提供しました。問題のマルウェアは「E-Set Antivirus 2011」と自称します。わたし達のブランド名からするとなかなか興味深い亜流ですが、そのような名称の製品はもちろん関係がありません。このマルウェアを送り込むサイトでは、「アクティブなマルウェアまたはキーロガーに感染している」、「ライセンスが付与されていないソフトウェアがシステム上で見つかった」、「システムがランダムなIPアドレスによる攻撃を受けている」などのメッセージが表示されます。妙な偶然ですが、セキュリティ専門家でセキュリティ製品の評論家、そしてAMTSO諮問委員会のメンバーを務めるNeil Rubenking氏から後日、フィッシング情報のPhishtankがマークしていたあるサイトで同一のマルウェアがドロップされていたとコメントが寄せられました。
このマルウェアに関するTasneemのブログはこちらからご覧いただけます。また、ESETでは詳細な情報を公開しています。Cristian Borghelloによる論文「Free but Fake: Rogue Anti-malware」も参照してください。
ESET UKのMark JamesとESET北米チームのDavid Harleyは、IT Proに掲載されたTom Brewster氏の記事「Five IT Sectors Staring Into The Abyss」で詳述されている「ファイアウォールの終焉」についてコメントを求められました。Davidは後日、次のように述べています。
1990年代前半には「完璧なソリューション」と称えられたファイアウォールですが、実際は過大評価に過ぎませんでした。もちろん、「完璧なアンチウイルス製品など存在しない」と考える方もいるでしょう。とはいえファイアウォールが長い時間を経て、基本的なパケットフィルタリングという枠を越えて進化し続け、多種多様な製品に組み込まれるようになったのは紛れもない事実です。そのため、この先、基本的なデスクトップファイアウォール(機能に制限があるか、ユーザーが日常的に使用するには複雑すぎるもの)や、ゲートウェイやDMZ周辺の強力なデバイスをあまり目にすることもなくなりそうです。しかし、今後はより汎用的な侵入防御としての役割も備えた新しいファイアウォールが、システム内のレイヤーで保護を提供し続けるでしょう。
企業内か家庭内か、あるいはデスクトップ、境界、クラウド環境であるかに関係なく、1つのレイヤーではなく、複数のレイヤーで保護が提供されるようになっています(これが本来あるべきかたちです)。「従来のファイアウォールはもう用無しだ」と言ってのけるISPもいるかもしれません。
ESET北米チームのテクニカルエデュケーション担当ディレクターであるRandy Abramsは、サンフランシスコで発覚したATM(現金自動預け払い機)を利用した詐欺で判明した興味深い手口を指摘しました。ATMでのスキミング被害と言えば、狭いスペースにあるATMのカードの差し込み口にカードリーダーを設置するのが一般的な手口で、ピンホールカメラを使って暗証番号を不正に入手したり、もっとシンプルに肩ごしに覗かれたり(ショルダーハッキング)する場合もあります。詳細はhttp://chainmailcheck.wordpress.com/2011/03/10/atm-attacks-glued-to-the-screen/をご覧ください。
しかしCBSによると、このサンフランシスコの窃盗団は、銀行などの金融機関の外に設置されているATMのClear、Enter、Cancelの各ボタンを瞬間接着剤で固めて機能しないようにするという、奇抜でローテクな手法を使っていました。カードを挿入した利用者が暗証番号を入力し、次のボタンを押そうとしても当然動きません。そこで仕方なく、カードを取り出してもらおうと銀行内の行員を呼びに行きます。こうして無人となったATMに窃盗団が侵入し、利用者が行員に状況説明している間にタッチスクリーンを操作して現金の一部を引き落とすのです。もちろん、すべてのATMがタッチスクリーン機能を備えているわけではないので、この種の犯罪は一部の地域に限定されます。もしATMの使用時にボタンが機能しないと判明したら、行員に助けを求めようとその場を離れるのではなく、タッチスクリーンを操作してみる方がリスクは少なくなります。また、すべてのATMで可能ではないとしても、Randyが提案するように、暗証番号を入力する前にボタンが機能するか確認するのが賢明かもしれません。
偶然にも、セキュリティ専門家であるBrian Krebs氏も最近、ATMでのスキミング犯罪に関する記事「Green Skimmers Skimming Green」を投稿しています(こちらは従来の手口について説明しています)。しかしDavid Harleyがコメントしたように、この記事のコメント欄で議論されたICチップとPINを組み合わせた「Chip and Pin」カードの導入は、ヨーロッパをはじめとする地域で一定の成果を見せたものの、クレジットカード犯罪を完全に撲滅する策とは言えず、絶対に安心であるとは保証できないのです。
この問題の詳細については、次のリンクをご覧ください。
- http://blog.eset.com/2010/02/18/pin-money
- http://chainmailcheck.wordpress.com/2011/03/10/atm-attacks-glued-to-the-screen/
- http://www.eset.com/threat-center/blog/2010/02/12/has-chip-pin-had-its-chips
そしてDavidが執筆した「The Hole in the Wall Gang」も参照してください。ちなみにこのブログ記事のタイトルは、米国ワイオミング州ホール・イン・ザ・ウォール(Hole in the wall=壁の穴)にあやかっています。かつては無法者達の活動拠点であり、1960年後半のアメリカ映画「明日に向って撃て!」の題材となったブッチ・キャシディやサンダンス・キッドら悪名高いブラックハット(ここでは元々の意味である悪役を指します)が、隠れ家として利用していました。
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:10位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
前回の順位:23位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。このファイル単体では脅威にはなりませんが、バイナリファイルと組み合わさって拡散機能を持つようになります。
前回の順位:6位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:32位
前回の順位:8位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年3月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.79%を占めています。