- 別れた恋人の近況はSNSでチェック?
- サポート詐欺とFacebook、「いいね!」の過信は禁物
- オンラインで安全にホリデーギフトを購入するためのヒント
- ロシアで急拡大するWin32Carberp
- 数字で見るアイルランドのサイバー犯罪とユーザーの実態
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
♪別れても好きな人♪。歌の歌詞にもあるように、昔の恋人は忘れがたいものなのでしょうか。アイルランドユーザーを対象とした調査によると、別れた恋人にSNSで嫌がらせをするとの回答はわずか1%、連絡先を削除するという回答が8%である一方、未練なく割り切る人は4人に1人もいないようです。実に25%以上が別れた後も友だち関係を維持し、SNSで相手の近況をチェックしています。
世界のネットワーク化に伴い、わたし達の社会的慣習は日々変化しています。ビジネス上のコミュニケーション手段として革新をもたらしたのが電子メールなら、プライベートでの付き合い方に新しいスタイルを持ち込んだのはソーシャルネットワーキングです。今や恋人達の出会いから別れにおいても大きな影響力を持っています。
オンライン上での不正アクセス、不正利用は衰えを知らず、セキュリティ専門家の間でソーシャルメディアは、常に分析や調査の対象となっています。その分野は、ユーザー同士の膨大なデータのやり取りからあやふやなプライバシー意識まで多岐に渡ります。法的にもコンピューターを悪用するあらゆる不正行為はサイバー犯罪とみなされ、わたし達も注視しています。最近では、多発するネット上での誹謗中傷、オンライン上の脅威、攻撃に対する懸念がますます高まっており、対策(緊急時用の「Panic Button」の導入など)を講じる必要性が指摘されています。
こうした背景の下、ESETアイルランドはAmarach Researchに調査を委託。アイルランドユーザー850人を対象に、恋人との破局のようなストレスが溜まりやすい局面の後に、ユーザーがオンライン上およびソーシャルメディア上でどのような行動をとるか調べてみました。
まず胸をなでおろしたのは、(法的措置を講じる可能性のある)悪質な行為や攻撃をするという回答がわずか1%に収まったことです。8%は怒りが解けず相手の連絡先を削除している一方、11%がオンライン上で引き続き連絡を取り合っており、さらに15%が相手のプロフィールを定期的にチェックしていました。後半2つに該当するユーザーを合わせると、アイルランドユーザー4人に1人が相手との関係を完全に絶てずにいると結論できます。嫉妬深さのあまり、相手に新しい恋人ができたか気になってプロフィールをつい覗いてしまうのでしょうか。相手の交際ステータスが新たに「交際中」となるのを恐れているのでしょうか。それとも、もう未練はないけれど義理で気にかけているだけなのでしょうか。
調査の対象者をユーザー層別に見ていくと、アイルランドの4地域間で興味深い事実が浮き彫りになりました。例えば、別れた恋人に不快な感情を示した割合が一番高かったのは南西部マンスター在住のユーザーで、11%がすぐに連絡先を消去すると回答したのに対し、西部コノートと北部のアルスターのユーザーではわずか4%と最も低く、寛大さが読み取れます。年齢も同様に大きな要因です。最も若い年齢層である15~24歳のグループがオンラインでは最も行動的かつ感情の起伏が大きく、上述のカテゴリーのすべてに最大で26%も該当している一方、最も年配のグループは非常に受身で、55歳以上ではいずれのカテゴリーでも6%を上回りませんでした。
調査対象の70%以上となる大多数のユーザーは、これまで一度も恋人と別れた経験がない、またはソーシャルネットワーキングを利用していない、あるいは利用しているがまだ破局を迎えていないかのいずれかに該当します。それでも、1%の情緒不安定な元パートナーからひどい仕打ちを受ける気の毒な被害者のためにいくつかアドバイスを送ります。
ソーシャルメディアの多くは、自分宛のあらゆるアクセスをブロックできるオプションを提供しています。望ましくない行為が発生した場合は、相手を遮断することを真っ先に検討してください。また、ほとんどのソーシャルメディアでは報告機能もオプションで利用できます。ソーシャルメディア上で不正行為をを見つけたら、管理者に報告しましょう。その犯罪者が常習犯である場合は、サービスの利用を禁止されることもあります。直接的な攻撃や恐喝メールなど、極めて悪質な行為が確認されるケースでは、お住まいの地域の警察署や関連する機関に相談するのが一番良いでしょう。オンライン犯罪にも対応しており、役に立つアドバイスやしかるべき措置が期待できます。
ありもしないマルウェアなどの問題をでっち上げて修復を申し出るサポート詐欺が大量に出回っているようです。わたしも最近ESETのブログで取り上げており、SC Magazineにもこの問題に関する記事を寄稿しました。しかし、Virus BulletinのMartijn Grooten氏が解説した、PCサポートを装ってユーザーを信じ込ませようとするサイトで使用されるいくつかのテクニックには思わず目が留まりました。もちろん、すべてのサポートサイトが詐欺であると言うつもりはありません。しかし、Martijn氏、そしてこの分野に精通しているSteve Burn氏と共同で実施した調査では、こうした正当かどうか疑わしい行為を支援するサイトの存在が明らかになっています。
ブログ記事「Facebook Likes and cold-call scams」では、何とも不穏な雰囲気を醸し出すeFIXというオンラインでPCサポートサービスを提供している会社に注目しています。同社が特に問題のないPCにまでサポートを持ちかける「売り込み電話」を実際に行っているかはひとまず別問題としています。
同社のWebページによると、正式な社名は「eFIX Ltd.」。英国グラスゴーに所在しており、正式な住所は「8901 Marmora Road, Glasgow, D04 89GR」となっています。ところが、英国の会社登記所で検索してみると、似たような社名でいくつか引っかかるものの、グラスゴー市内には同名の会社は見つかりませんでした。つまりこの住所は偽物だったのです。実際、住所をそのまま入力してみたところ、デザインコンサルティング会社から、音楽会社、会計事務所、レストランまで、さまざまな会社やお店がヒットしたことから、特定のテンプレートまたはボイラープレートが使用されていると考えられます。また、本当の所在地を意図的に隠すPCサポート会社が他にも存在していることも示唆されます。
eFIXの本社はロンドンになっており、英国の0800で始まる連絡先電話番号を所有しています。しかし、このWebサイトはインドのハリヤーナー州グルガーオンに所在するImpeccable Solutionsが登録したものであることが判明しました。登録されている情報は米国で事業展開するFusoftという会社の情報とほとんど一致しています。2つのサイトは実に多くのボイラープレートを共有しているようです。しかし、Fusoftは米国の0800で始まる番号を問い合わせ用として記載していますが、本社はグルガーオンにあるとしています。少しGoogleで検索してみると、同じ登録者が他のサポートサイトとも関連していることも示唆されています。調査は今も継続していますが、類似したサイトが複数登録されていることから、近い将来に1つのサイトの閉鎖が予想されます。実際、今日のサポート詐欺では、疑わしいサイトやドメインは閉鎖してもすぐに別の名前で再び現れるという傾向がよく見られます。
eFIXは「数年」前から運営しているとしていますが、サイトは2011年の9月末に作成されたようです。創業からずっと後になってWebサイトが作成された可能性もありますが、それではいくつかの不可解な疑問が残ります。
eFIXのFacebookページの1つには、「お客様の声」、すなわち同社のサービスを賞賛する書き込みが多数掲載されています。これらのメッセージの日付は10月3日になっており、本物のFacebookユーザーから投稿されたようにも見えますが、そのエントリーの多くで、偶然と片付けにくいほど似たような文の調子、言い回し、つづりの間違いが確認されました。さらに、一部のエントリーは、売り込み詐欺をバックアップする目的でeFIXのFacebookページが使用されていることを明確に示しています。
Fusoft.orgのFacebookページからは、http://fixinternetbrowser.blogspot.com/や
http://windowsxptechsupport.blogspot.comのようなブログサイトへのアクセスできるようになっています。サイトに掲載されているブログ記事はCNETのようなソースからコンテンツをスクレイピングしたものですが、こうした行為は通常許可されます(あなたが今開いている他のサイトも該当するとは限りませんが、「オリジナルのコンテンツ」だと思っていたら、実はずいぶん昔の関連性のないソースやリソースから持ってきたものだったということもあります)。
この調査では、他のサポートサイトにも目を向けています。こうしたサイトは、コンテンツの独創性は高いものの、アドバイスの質には疑問が感じられます。というのも、検証済みの解決手段を段階的に説明するのではなく、解決は困難であるとして、「コンピューター技術サポートプロバイダー」や「Dell技術サポート」、「Linksysサポート」といったサイトへのリンクを大量に掲示し、ユーザーにアクセスするように促すのです。いずれも同じサポートサイトに誘導されます。
欠点だらけのマーケティング技術は、明らかな悪事(具体的に何を指すかは環境によって異なります)よりも追跡が簡単です。しかし、膨大な数の会社やサイトがサポートを提供しているのも明白な事実です。サポート詐欺を働く輩が毎回同じではないとしても(場合によってはまずあり得ませんが)、彼らは「誠意」を持ってユーザーに自分達のサイトを紹介してきます。口では何とでも言えてしまうだけに見極めが難しく厄介です。新しいFacebookアカウントとページを複数設定することはそれほど難しい作業ではありません。残念ながら、どのアカウントが製品やサービスを宣伝するために作成されたまったくの「ダミー」であるか、見分けるシンプルかつ確実な手段がないのです。アカウントが本物のように程よく使い込まれているように見えるサイトでは、ユーザーが偽のサービスだとは気づかずに、詐欺目的で設置された「いいね!」をクリックしてしまうことは十分にあり得ます。だれにでもストックフォトと適当な名前を使って「お客様からの賞賛のメッセージ」を捏造できてしまうからです。嘆かわしいことですが、叩けば簡単に埃が出てきそうなWebサイトに信ぴょう性を加えるために、スクレイピングしたコンテンツ、あるいはあからさまな嘘偽りの情報をねじ込んだFacebookページやブログページが今後も次々と見つかると予想されます。しかし、ソーシャルメディアサイトの背後にあるアカウントを追跡し検証するのは、登録されたドメインよりも困難です。しかも登録されたドメインですら、容易というわけではありません。
何はともあれ、この調査はユーザーに統計情報や連絡先情報、「いいね!」、「独立したレビュー」の信頼性に対して慎重になる必要性を突きつけた形になります。「あなたのPCはウイルスに感染しています」と電話してきた会社が、同社のFacebookページで「いいね!」をクリックするようにすすめてきたら警戒すべきかもしれません。
インターネットは素晴らしいものですし、Facebookも魅力的です。しかし、オンラインで見つかる情報が本当に信頼できるか確かめないのはあまりにも能天気と言えます。どちらかと言えば、詐欺師にとっては現実の世界よりもオンライン上での方が騙しやすいのです。本物のFacebookユーザーでさえ、意図せず友人達を間違った方向へと導いてしまう可能性があります。
以下のリンクも参考にしてください。
http://www.crn.com.au/News/274273,indian-partner-fingered-for-microsoft-pc-support-scam.aspxhttp://securitygarden.blogspot.com/2011/09/microsoft-removes-gold-certified.html
http://nakedsecurity.sophos.com/2011/09/21/microsoft-dumps-partner-telephone-support-scam/
http://it.slashdot.org/story/11/09/21/2237207/Microsoft-Dumps-Partner-For-Fake-Support-Call-Scam
http://blog.eset.com/2011/07/19/support-desk-scams-clsid-not-unique
https://www.infosecisland.com/blogview/15066-Cyber-Criminals-Just-Came-A-Callin-At-My-House.html
http://blog.eset.com/2011/06/24/giving-cold-callers-the-cold-shoulder
http://www.microsoft.com/Presspass/press/2011/jun11/06-16MSPhoneScamPR.mspx
http://www.virusbtn.com/virusbulletin/archive/2011/01/vb201101-hello
http://www.iia.net.au/index.php/all-members/869-get-ready-for-icode-in-force-1-december-2010.html
http://www.symantec.com/connect/blogs/technical-support-phone-scams
http://nakedsecurity.sophos.com/2010/11/04/sick-of-call-centres
http://blogs.protegerse.com/laboratorio/2010/11/16/llamadas-desde-el-falso-soporte-tecnico/
http://blog.eset.com/2010/06/23/support-scam-info-some-more-links
http://www.securityweek.com/fake-av-fake-support
ホリデーシーズンが間もなくやってきます。そこで、この時期必読の安全にオンラインショッピングを楽しむための10のヒントをご紹介しましょう。今年のホリデーシーズンは昨年よりはるかにオンラインショッピングが盛んになる見込みで、消費者のお金で自分の買い物を済ませようとする詐欺師も比例して一段と多くなると予想されます。もしかしたら、あなたの財布が狙われるかもしれません。つまり、犯罪者自身のギフト購入にあなたのクレジットカードや銀行口座が利用されたり、あなたの個人情報を窃盗、売却して一儲けされたりする可能性があるのです。
素敵なホリデーギフトがないかあれこれ物色している間に詐欺に巻き込まれることのないように、Cameron CampをはじめとするESETの研究者が以下にオンラインショッピングを頻繁に利用するユーザー向けにヒントをまとめています。
- PCをショッピングモードに設定:
ホリデーギフトを車に積んで遠く離れた実家へ里帰り。そんなときは事前に車のメンテナンスが欠かせません。オンラインショッピングだって同じです。安全に買い物できるように少しばかりPCのお手入れをしてあげることが大切です。使用しているブラウザーやオペレーティングシステム、セキュリティーソフトウェア一式のアップデート、パッチの適用を実施してセキュリティーを向上させましょう。面倒とは思いますが年に一度ですから辛抱してください。パッチを適用すれば、マルウェア感染や詐欺サイトなどの危険回避に役立つだけではく、コンピューターの動作も快適になります。無料ですから使わない手はありません。 - 購入は評判の良いサイトで:
購入は他のユーザーからの評価が高いサイトを選んだ方が安全です。「商品に関する情報が正確」、「配送時の状態が良好だった」、「指定した時間に届いた」といった声を参考にしてください。配配送が間に合わないからと慌てて、友人や家族が望まないギフトを贈るのは避けたいですね。ときとして、何も贈らない場合よりも事態が悪化しかねません。 - おいしい話にはご用心:
話がうますぎるように思える場合、例えば「今シーズンで一番の人気商品を驚きの価格で提供」なんて触れ込みを目にしたら、「何か裏があるのでは」と考えて間違いありません。非常に魅力的に見えますが、信じられないほどの低価格で商品やサービス、ギフトカードを提供するサイトへのリンクは、リスクが高いと相場が決まっています。クリックしない方が安全です。とはいえ、こうした売り込みがすべて詐欺につながるとは限りません。リスクを背負ってまで購入する価値があるかどうか繰り返し自分自身に問いただしてみてください(あるいはGoogleでその商品や販売サイトに対する他のユーザーの評価を調べてみるのも有効です)。 - 取引は安全な方法で:
商品の注文手続き時にそのWebサイトでSSLが使用されているかを確認してください。SSLは安全な取引を保障するプロトコルで、いくつかの方法で確認できます。例えば、URLの先頭にhttpではなくhttpsまたはshttpという文字列が表示されているはずです。または錠前や鍵のアイコンがブラウザーのウインドウ内に表示される場合もあります。SSLを使用すると、クレジットカード情報などの情報は送信時に暗号化されますので、たとえ犯罪者の手に渡っても読み取られることはありません。疑わしく思える場合は、Googleでそのサイト名と一緒に「詐欺」や「犯罪」といったキーワードを入力して簡単に検索してみることをおすすめします。過去にどのような問題が発生したか把握できるでしょう。 - 十分に検討してから行動を:
件名に「URGENT(大至急)」などと記載された大量送信メールや、ソーシャルネットワーキングサイトの友達と称する相手からのメールには気をつけてください。ユーザーの母国語を問わず、でたらめな文章が本文に表示されたりどうも怪しく思える場合は、一層の警戒が必要です。取引が本物であると確信できるときは、ブラウザーを開いて、アドレスバーにWebサイトの名前を直接入力してください。サイバー犯罪者が作成した偽のWebサイトへのリンクに引っかかることも防げます。彼らはユーザーの情報を収集して、盗み出された個人データが売買される闇市場へと送り、一儲けを企んでいるのです。
ホリデーシーズン向けの安全なオンラインショッピングの10のヒントの続きは、ESETのブログ「Cyber Monday Safety: 10 tips for safer holiday shopping online」でご覧いただけます。印刷して友人や家族と共有する場合は、PDF版の「The ESET Guide to Safer Cyber-Shopping: 10 Tips for Happier Holidays」にアクセスしてください。
今月、ESETロシアのラボでは、同国で最も広範囲に感染を広げている悪意のあるプログラムの1つ、トロイの木馬ファミリー「Win32/TrojanDownloader.Carberp」の修正版を発見しました。
Carberpの背後にいる犯罪者達は、銀行をターゲットとする詐欺グループの中では最大規模です。このグループは1週間で平均約数百万ドルを荒稼ぎします。さらにHodprotの進化状況から、マルウェア開発には相当な金額が投資されていることが伺えます。Carberpトロイの木馬がbootkit機能を備えるようになったのもその結果なのでしょうが、今のところはまだテストモードで動作しています。
Carberpの新しいバージョンを分析したところ、このbootkitがRovnixのbootkitとほぼ同一であるということが明らかになったのですが、インストーラーは変更されています。今回のケースでは、bootkitをインストールし、複数の脆弱性を悪用して権限を昇格させようとします。また、サンドボックスやその他の監視ソフトウェアによる保護機能を回避するため、トロイの木馬またはbootkitをインストールする直前にシステムルーチンのリストからさまざまなフックを削除します。
詳細は、Carberpの進化について解説したDavid Harleyのブログ記事をご覧ください。
アイルランド報告および情報セキュリティーサービス(Irish reporting and information security service:IRISSCERT)は、ダブリンで開かれた会議において、2011年に441件のセキュリティーインシデントの報告を受けたと発表しました。そのうちの92%は、無用心なユーザーを欺くフィッシングサイトをホスティングする犯罪者に不正侵入された、アイルランドのWebサイトとの関連性も発覚しています。
今月号の特集記事でも触れましたが、ESETアイルランドでは独自の調査も実施しており、ユーザーの被害経験の有無を調査したプロジェクトからは次のような結果が得られています。
- アイルランドのユーザーの4人に1人は、すでにウイルスなどのマルウェアによって自分のコンピューターがクラッシュしたり、ダメージを受けた経験がある。
- 5人に1人は、コンピューターの感染やデータの窃盗に遭遇した経験がある。
- 14%はハッキングされ、所有するソーシャルメディアアカウントが乗っ取られた。
- 約10%は犯罪者の罠にはまり、クレジットカード情報や個人情報が悪用された、あるいは知らない間に自身のPCからスパムメールを送信された。
いずれの割合もユーザーの行動改善で減少すると見られますが、オンラインでの安全な行動への心がけに対するユーザーの消極的な姿勢がはっきりと表れています。調査対象のユーザーの約34%は、アンチマルウェアソフトウェアからの警告を無視していると回答しています。
このプロジェクトで良かった点を挙げるとすれば、アイルランドのユーザーのパスワードに対する意識が全世界の平均と比べて高かったことです。ユーザーの3分の1以上が、アルファベットまたは数字の単純な羅列ではなくそれぞれをランダムに組み合わせたパスワードを設定していたのです。それでも、調査対象の5分の1(コノートとアルスターではさらに多く)のユーザーの間では、相変わらず簡単なパスワードの使用が浸透しています。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティーを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
また、EXEファイルとSCRファイルを改ざんし、セキュリティーソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティー脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年11月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.38%を占めています。
ESETは、セキュリティーソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティーソリューションとして、常に高い評価を受けています。
セキュリティー脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティーに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティーに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。