Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。
もしまだなら、そのアップデートをすぐに適用すべきだ。
何故か?
何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。
我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。
このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。
我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。
2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。
そして2010年の最初の2カ月はどうだろう?
そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。
Adobe Readerを標的とする割合は増え続けている。
以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

もしまだなら、そのアップデートをすぐに適用すべきだ。
何故か?
何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。
我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。
このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。
我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。
2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。
そして2010年の最初の2カ月はどうだろう?
そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。
Adobe Readerを標的とする割合は増え続けている。
以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

Darkmarketのオンライン犯罪者の一人である「JiLsi」が先週、約5年の懲役という判決を受けたため、我々はこの事件に関して、メディアからの質問を受けた。
特に、JiLsi(別名Renu Subramaniam)、Matrix001(別名Markus Kellerer)、Cha0(別名Cagatay Evyapan)がDarkmarketフォーラムに投稿を行っていた際、彼らがどのようだったかについて、一人のジャーナリストが知りたがった。
そこで私はメモをチェックし、この連中の投稿の例を、彼らのアバター・アイコン付きで掘り起こした。おそらくこれらは「News from the Lab」ブログ読者の皆さんにも、興味深いものではないだろうか。




ありがとう
ミッコ
特に、JiLsi(別名Renu Subramaniam)、Matrix001(別名Markus Kellerer)、Cha0(別名Cagatay Evyapan)がDarkmarketフォーラムに投稿を行っていた際、彼らがどのようだったかについて、一人のジャーナリストが知りたがった。
そこで私はメモをチェックし、この連中の投稿の例を、彼らのアバター・アイコン付きで掘り起こした。おそらくこれらは「News from the Lab」ブログ読者の皆さんにも、興味深いものではないだろうか。




ありがとう
ミッコ
誰かが我々のふりをしようとしている。皆さんが以下のようなメールを見掛けたら、無視して欲しい:
From: security@f-secure.com
Reply-To: securitysupport@hotxf.com
Subject: Security Maintenance.F-Secure HTK4S
Date: Fri, 5 Mar 2010 18:11:05 -0000
To: undisclosed-recipients:;
Dear Email Subscriber,
Your e-mail account needs to be improved with our new
F-Secure HTK4S anti-virus/anti-spam 2010-version.
Fill in the columns below or your account will be
temporarily excluded from our services.
E-mail Address:
Password:
Phone Number:
Please note that your password is encrypted
with 1024-bit RSA keys for increased security.
Management.
Copyright 2009. All Rights Reserved.
皆さんに聞かれる前に申し上げておくなら、いや、我々は「F-Secure HTK4S anti-virus」なんてものも、いまだかつて聞いたことがない。
From: security@f-secure.com
Reply-To: securitysupport@hotxf.com
Subject: Security Maintenance.F-Secure HTK4S
Date: Fri, 5 Mar 2010 18:11:05 -0000
To: undisclosed-recipients:;
Dear Email Subscriber,
Your e-mail account needs to be improved with our new
F-Secure HTK4S anti-virus/anti-spam 2010-version.
Fill in the columns below or your account will be
temporarily excluded from our services.
E-mail Address:
Password:
Phone Number:
Please note that your password is encrypted
with 1024-bit RSA keys for increased security.
Management.
Copyright 2009. All Rights Reserved.
皆さんに聞かれる前に申し上げておくなら、いや、我々は「F-Secure HTK4S anti-virus」なんてものも、いまだかつて聞いたことがない。
Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…
凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。

そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。

3時間後… Googleはまだ、そのファイルがPDFだとしている。Brod(エフセキュアのいかれた面々の一人)は、この件についてGoogleのキャッシュに原因があると考えている。

しかし、今回、本当にPDFなのだろうか?

それはモーフィングしたのだから! そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる:

少なくとも、それが変化するまでの2、3時間の間は…

悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。
投稿はChristineとMinaによる。
凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。
そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。
3時間後… Googleはまだ、そのファイルがPDFだとしている。Brod(エフセキュアのいかれた面々の一人)は、この件についてGoogleのキャッシュに原因があると考えている。
しかし、今回、本当にPDFなのだろうか?
それはモーフィングしたのだから! そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる:
少なくとも、それが変化するまでの2、3時間の間は…
悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。
投稿はChristineとMinaによる。
一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。

SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた… そして我々は以下のようなものを見た:

OK、これだけかもしれない。そこで我々は他のサイトをチェックした:

そしてラボでは通例のマニアックなやり方で…我々は興奮した。
解凍すると、このSWFには以下が含まれていた:

多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。
このSWFはもちろん、以下のことを始めるためのキーだ:



悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。
おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。
これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。
投稿はChristineとMinaによる。
SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた… そして我々は以下のようなものを見た:
OK、これだけかもしれない。そこで我々は他のサイトをチェックした:
そしてラボでは通例のマニアックなやり方で…我々は興奮した。
解凍すると、このSWFには以下が含まれていた:
多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。
このSWFはもちろん、以下のことを始めるためのキーだ:
悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。
おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。
これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。
投稿はChristineとMinaによる。
先週、Microsoftが277のWaledacドメインに対して取った行動をご記憶だろうか? あれも、ボットネットを追い詰める一つの方法だ…
ボットネットをシャットダウンする他の方法は? ボットマスターたちを逮捕することだ!
「Mariposa」ボットネットを使用したかどで、スペイン国籍の3名が逮捕された。この3名は、伝えられるところでは前科は無く、ハッキング技術は限られたものだという。MariposaはButterfly Kitベースのボットネットで、同キットはすでに販売されていない。
詳細についてはBBCおよびThe Registerを参照のこと。今回の逮捕の関係者に賞賛を送りたい。
ボットネットをシャットダウンする他の方法は? ボットマスターたちを逮捕することだ!
「Mariposa」ボットネットを使用したかどで、スペイン国籍の3名が逮捕された。この3名は、伝えられるところでは前科は無く、ハッキング技術は限られたものだという。MariposaはButterfly Kitベースのボットネットで、同キットはすでに販売されていない。
詳細についてはBBCおよびThe Registerを参照のこと。今回の逮捕の関係者に賞賛を送りたい。
バックナンバー
新着記事
新着トラックバック
2chサーバのデータセンター、「サイバーテロ」として米機関に調査依頼へ【ネットを使って中学生でも稼ぐ】 (http://worldnavigation.biz/)
ガンブラー対策「.htaccess」にも注意!
ガンブラー対策「.htaccess」にも注意!
セキュリティ関連リンク
セキュリティ機関
政府関連
セキュリティ関連団体
研究機関・大学
人気記事と参照元様一覧
詳細カテゴリ
エフセキュアブログメンバー
- ミッコ・ヒッポネン

- エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
- フェイ・ウィン・チア

- エフセキュア セキュリティレスポンス部部長(クアラルンプール)
(Twitterアカウント)
- 高間 剛典

- メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
(人物紹介)
- 星澤 裕二

- 株式会社セキュアブレイン 先端技術研究所 チーフセキュリティアーキテクト
(公式ブログ)
(人物紹介)
- 福森 大喜

- 株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
- 八木沼 与志勝

- エフセキュア株式会社 テクノロジー&サービス部長
- 富安 洋介

- エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
- 尾崎 リサ

- エフセキュアブログ管理者 エフセキュア株式会社 マーケティング部
(管理人Twitterアカウント)
(エフセキュアブログ公式Twitterアカウント)
- 中野 恵美子
海外記事翻訳
ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。
エフセキュア関連リンク
エフセキュアブログQRコード













