エフセキュアブログ

2010年04月

Windowsには何故ネイティブのPDFリーダ・サポートが無いのか?

Microsoft御中

  我々は貴社のWindows OS用に、PDFリーダの開発を検討して頂きたいと考えています。

  Appleのプレビューのようなものが良いでしょう:

Apple's Preview

  「PDFファイルを閲覧するには、ダブルクリックしてプレビューで開くだけです」から。

  MacはPDFを閲覧するのに、サードパーティのアプリケーションを必要としません。ならば何故、Windowsには必要なのでしょう?

  OSに組み入れる必要さえありません。貴社のOffice用「Save As PDFアドイン」のように、オプションでダウンロードできるようにすれば良いのです。

Save As PDF

  分かっています。Adobe Systemsにロイヤリティを払う必要無く、PDFファイルの読み書きができるアプリケーションを作成することが許されたとしても、あなた方がそうはできないことは承知しています… 貴社はあまりにも巨大であり、Adobeを恐れさせることなく、アドオンPDF機能を提供することはできないでしょうから。

  ですが…

  貴社はもう気にすべきではないのです。彼らを恐れさせれば良いのです。

  貴社のカスタマはエクスプロイトに、そして今日のPDFリーダの多くに伴う複雑さにうんざりしています。

  我々はPDFが読みたいだけです。実行ファイルをローンチしたり、ビデオやオーディオをプレイしたり、JavaScriptを動作させたいわけではありません。我々が欲しているのは単に、PDF/A標準の基本的な機能を提供するビューアなのです。これはそんなに無理なお願いでしょうか?

  この件について考慮して頂ければ幸いです。

敬白
エフセキュア・ラボ

Windowsには何故ネイティブのPDFリーダ・サポートが無いのか?

注記:技術的問題により、この記事は改めて別途掲載した

追記(Microsoftが「MS10-025」を取り下げ)

2010年4月23日にポストされたヒリアチ・アリアの記事「Microsoftが「MS10-025」を取り下げ」の末尾に追記が記載されましたのでお知らせいたします。

ボットネット・アフィリエイトは登場するか? 【脅威の将来予測】

  オプトイン・ボットネットについてDancho Danchevが興味深い考察をポストしています。 "Attack of the Opt-In Botnets"

  今までは一般的に、ボットネットはそれを構成するためのマルウェアに感染させられた多数の一般ユーザーのPCによりできていると考えられています。この場合は、マルウェアはユーザー本人の意思に反してインストールされたものであり、ユーザー本人は不利益を被っていることになります。しかし、もしユーザー本人が希望してマルウェアをインストールしボットネットに自分のマシンを接続したらどうなるでしょうか?

  「オプトイン」とは本人が自分で選択することですが、Dancho Danchevはそのようなケースを「オプトイン・ボットネット」と呼び、"Attack of the Opt-In Botnets"の中で、過去にすでに起きている事例を挙げて検討しています。

  このオプトイン・ボットネットの例として挙げられているものでは、中国、グルジア、イラン、イスラエルのDDoSの例など、ユーザーが政治的モチベーションに基づき参加してきたものがほとんどです。たしかに思想・信条・政治・宗教に基づく主張から、このような集団行動のひとつとして多数のユーザーが賛同してくることはありますが、金銭的利益に基づいて行動する場合はありえないのでしょうか?

  オプトイン・ボットネットについてその方向で思索を巡らせてみると、ブログなどソーシャルメディアで一般的になっている、「アフィリエイト」の仕組みがボットネットと組み合わせられる可能性に気がつきます。ボットネットを運営する犯罪者は、SPAM配信や時間貸しDDoSなどで利益を上げています。ここでもし、マルウェアをインストールしたユーザーに対しその利益の一部を還元する仕掛けがあると、ユーザーには積極的にマルウェアをインストールする金銭的インセンティヴが発生します。そのため、今までは不利益を被っていたと考えられていたユーザーが、犯罪者の擁護に回る可能性もあります。もしマルウェアの存在が法執行機関から特定されたとしても、アフィリエイト報酬の支払ルートがマルウェア本体とは分離されていれば、ユーザーは「知らない間に感染した」という主張を続けることが比較的容易にできるでしょう。

  ソーシャルメディアでのアフィリエイトで高い報酬を得るのはなかなか難しいですが、G20国とは物価の差が10倍以上の開きがある発展途上国から見たら、その価値はまったく違います。そこにボットネットのアフィリエイト・スキームが普及してしまったら、かなりの悪夢になるでしょう。さらに犯罪者は、普及のためにネズミ講的な仕掛けを含められるかもしれません。そこではアンチウィルス・ソフトウェアはユーザーが買うものではなく、犯罪者より高い金額をユーザーに払ってインストールしてもらう必要が出て来るかもしれません。

「CARO 2010」の登録締め切り迫る

caro 2010

  まもなく5月がやってくる。「CARO 2010 Technical Workshop」もまもなくヘルシンキで開催される。

  素晴らしい催しになりそうだ。既に世界中から、130人以上の人々が登録している。

  同ワークショップへの登録は、2週間で締め切られる。

  最終的なプログラムがオンラインで確認できる。概要を含めた全プログラムは以下のサイトで確認可能だ:http://caro2010.org 以下にも発表のタイトルを掲載しておく:

基調講演
Dr. Alan Solomon

ウイルスおよびアンチ・ウイルス・プログラムに関する有用、無用な統計
Maik Morgenstern and Hendrik Pilz, AV-Test.org

マルウェア・コレクションおよびサンプル・シェアリングの現状
Dmitry O. Gryaznov, McAfee Labs

サンプル・シェアリング・イニシアチブ
Righard Zwienenberg, Norman

バーチャル・マシン・プロテクション技術とAV産業
Zhenxiang Jim Wang, Microsoft

1年に40Mの新規サンプルが集まる時代のファイル分析およびアンパック
Mario Vuksan and Tomislav Pericin, ReversingLabs

高速検索のための大規模バイナリ・コンテンツのインデキシング
Tim Ebringer and Marius Gheorghescu, Microsoft

最小のポリモーフィック・パートの検出がもたらすもの
Roel Schouwenberg, Kaspersky Lab

シーケンス以降
Gabor Szappanos, Virusbuster

グローバルな影響を与えた標的型攻撃の分析
Cristian Craioveanu, Microsoft

デンマークのPatcherケース
Peter Kruse and Dennis Rand, CSIS

署名されているのだからクリーン、でしょう?
Jarno Niemelä F-Secure

MonkeyWrenchによる悪意あるWebページの検出
Armin Büscher, G Data

メタモーフィック・マルウェア・サンプルの分類での選択値群分析の利用
Felix Leder, Bastian Steinbock and Peter Martini, University of Bonn

BredolabのArcanesへの不敬なる侵入
Anoirel issaPpic, Symantec

Kernel-22:分析ツール作成のフレームワーク
Mike McCarl, ICSALabs

IDA Pro用のSWF逆アセンブラ・プラグイン
Marian Radu, Microsoft

  ではヘルシンキで!

Microsoftが「MS10-025」を取り下げ

  Microsoftがこのほど、「MS10-025」セキュリティ・アップデートを取り下げたことを発表した。同アップデートが、フィックスしようとしていた問題に、十分に対処できていなかったことが原因だという。

  同アップデートおよびその後の取り下げが影響を与えるのは、オプションの「Windows Media Service」がインストールされたWindows 2000サーバのみだ。

  パッチの再公開は、来週中に予定されている。再公開されるまで、エフセキュアの脆弱性データベースから、同脆弱性用のシグネチャを取り下げる。

  さしあたり、「MS10-025」に記載されている軽減と回避方法については、現在も有効であると思われる。


- - - - -

2010年4月28日追記:「MS10-025 Security Update」が再リリースされた。デフォルトでないWindows Media ServicesをインストールしているWindows 2000サーバのユーザは、この最新アップデートをインストールすることをお勧めする。

トロイの木馬でリモート脆弱性を見つける

  多くの読者が「Poison Ivy」をご存じだろう。様々な攻撃、特に標的型のスパイ攻撃でよく使用されるリモート・アクセス型トロイの木馬(Remote Access Trojan:RAT)だ。このようなRATアプリケーションの詳細については、この記事を参照して欲しい。

  Poison Ivy RATは、「Shapeless」という名のスウェーデンのコーダにより開発された。

Shapeless

  我々はちょうど、Signal11のAndrzej Dereszowskiによる新たなレポートを読んだところだ。

Signal11

  Andrzejはある標的型攻撃を調査し、標的からデータを盗み出すのに「Poison Ivy」が使用されたことを発見した。このことから彼は、多くの研究者がInternet ExplorerやAdobe PDF Readerから脆弱性を発見しようとしている事実について考えることになった。何故、「Poison Ivy」から脆弱性を探そうとしないのだろう?

  そして彼はまさにこれを行った。「Poison Ivy」にリモート・コード実行の脆弱性を発見し、被害者が攻撃者に攻撃を仕返すことを可能にしたのだ。

Signal11

  素晴らしい仕事だ!

  完全なレポートはここにある。

「callservice.biz」事件

  先週、ベラルーシのハッカー2人が逮捕された。これは「callservice.biz」という名のWebサイトに関連した逮捕で、同サイトは数年間運営されていた。

  起訴状によれば、このサービスの背後にいた人物は、Dmitry NaskovetsとSergey Semashkoだという。サーバ自身はリトアニアで稼働していた。

callservice.biz

  「callservice.biz」では、英語もしくはドイツ語を話す人々による、偽の確認電話が注文できるオンライン・フォームを提供していた。このような確認電話は、大きな現金取引や口座の詳細変更を確認するため、銀行がしばしば利用するものだ。オンライン犯罪者は、このような通話を本物らしくする方法が必要であり、ここで「callservice.biz」が登場することになる。

callservice.biz

  彼らの詳細ページを翻訳すると:サービスに登録して下さい…次に通話のオーダー・フォームに記入し…我々が24時間以内に電話をかけます…通話が成立しなければ、料金はお返しします…英語での価格は1通話につき10ドル。

  以下は、同サービスに関連した現金取引について、犯罪者たちがやりとりしているオンライン・チャットの断片だ:

callservice.biz

  同サイトは現在ダウンしている。「callservice.biz」を訪問すると、以下のページが表示される:

callservice.biz

  「Wired」のKim Zetterによる記事に詳細がある。

FirefoxがセキュアでないJavaプラグインをブロック

  Mozilla Firefoxにはプラグイン・チェック機能がある。今日Mozillaは、セキュアでないプラグインからのブラウザ保護に向けさらに一歩踏み出した。

  Firefoxは現在、ユーザに以下のようなブロックのプロンプトを表示している:

Firefox: Add-ons May Be Causing Problems

  現在ブロックされている全プラグインのリストは以下にある:http://www.mozilla.com/en-US/blocklist/

Firefox: Add-ons Blocklist

CNN.comにリダイレクトするスケアウェア・リンク

  多くの不正なSEO攻撃サイトは、そのリファラがGoogleクエリからのものである時のみ作用する。

  他のソースからそのURLにアクセスされた場合、潜在的な被害者はスケアウェアとは違う方向に追いやられる。では現在、悪党連中はGoogle経由ではないビジターをどこに転送しているのだろうか? CNN.comだ。

  以下のビデオは、最近のGoogle trendを使用したデモだ:


エフセキュアのYouTubeチャネルを介した「CNN.comにリダイレクトする不正サイト

オンライゲームのアカウントの価値について

下記の記事を読んでコメントします。

ヘルシンキ発  by:ショーン・サリバン
バーチャルなアカウントの価値が法的に認められたという事は、今後もネット上のバーチャルなモノの価格が換算できるようになるという事になります。 現在、日本ではオンラインゲーム会社の資産に、ユーザーのアカウントの価値や、アイテムの価値などは入っていませんが、そのうち資産計上しなければならないかもしれないという可能性があります。

「WoW」は日本ではあまりブームではないのですが、おそらく、世界で最も人気があるオンラインゲームです。日本で盛り上がっていないのは、日本語サイトが無いからです。(言い切って良いのかは分かりませんが。)
 
ところで、このアカウントハッキングですが、昔から良くありました。
WoWのアカウントがお金になると気がついた犯罪者が、ユーザーから不正に取得したアカウントをRMTに販売しています。
問題を複雑にしているのは、RMTサイトで販売したアカウントが、RMTサイトとユーザーは、正規に販売したものか、ユーザーから不正に取得したものか?が分からないというものでした。
今回の法的な判決での金額は、今までのRMTでのアカウント売買実績があったので、金額を算定できたのでは?と思います。
現在でも「RMT WoW」で検索すると、とんでもない数の検索数が表れますので、一度検索してみてください。

「World of Warcraft」アカウントにはどんな価値があるか?

  あなたはヴァーチャルなものの金銭的価値について、どのように考えているだろうか? オンライン・ゲーム・アカウントは、いくらの価値があるのか?

  Hannu Aholaにとっては4000ユーロだった。

  エフセキュアの「Safe and Savvy」ブログ寄稿者であるMarjaが、「Helsinki Sanomat」(フィンランド語)で昨年11月、Hannuに関する記事を読んだ。

Hannu Ahola, http://safeandsavvy.f-secure.com/2010/04/16/dont-do-it-not-even-in-a-virtual-world/picb-2/

  Marjaは彼のケースに興味を持ち、最近、フィンランドのHannuが暮らしている地域に行った際に訪問して、詳しい情報を聞いてきた。

  この話は4年前、Hannuが知人から「World of Warcraft」のアカウントを購入した時に始まる。彼はその後、このゲームに自分の時間と労力をかけ、強力なキャラクターを生み出した。彼にとって残念なことに、彼の成功は気づかれずには済まなかった。彼にアカウントをゆずった知人は、WoWアカウントを取り戻したいと考え、ログインしてHannuのキャラクターをハイジャックした。

  さて、ヴァーチャルな世界で誰かに何かを奪われたら、皆さんはどうするだろうか?

  このようなケースを刑事事件にすることは非常に難しい。しかしHannuはあきらめることなく、何らかの罰を与えたいと考えた。彼はTurre Legalに助けを求め、リサーチャーのVili Lehdonvirtaの援助を得て、WoWのアカウントは4000ユーロの価値があるという判決を勝ち取った。

  我々のラボは、WoWフィッシング・サイトやPassword Trojanを良く見かけるが、アカウント・ホルダが相手方を知っている事は滅多に無いので、これは非常に興味深いケースと言える。

  伝えられるところによれば、「World of Warcraft」は現在、1150万人のメンバーを擁している。1つのアカウントが4000ユーロとすれば、かなりの現金価値を持ち始めていることになる。オンライン・ゲームが、オンライン犯罪者たちの格好の標的となっているのも不思議はない。

  Marjaの記事については「Safe and Savvy」ブログを参照して欲しい。

タックス・デイ・フリービー

  Googleの「Online Security Blog」に昨日、偽のアンチ・ウイルスに関する非常に興味深い記事が掲載された。Googleは彼らが最初に偽のAVを発見した2007年3月から、ユーザを保護する取り組みを行っている。(エフキュア、そして他のセキュリティ・ベンダは、少なくとも2006年7月からこの問題について報告してきた。)

  Googleは13カ月研究を行い、「偽AVの配布に関連する11,000以上のドメイン、あるいは(同期間に検出された全)マルウェア・ドメインのおよそ15パーセントを発見」した。

  うまくいけばこのリサーチが、現在Googleのリアルタイム検索を悩ませている、偽アンチ・ウイルス・サーチエンジン最適化(SEO)攻撃に対抗する役に立つだろう。

  今日はたとえば4月15日、アメリカ合衆国のタックス・デイ(確定申告締切日)だ。Googleを使って「tax day freebies 2010」を検索すると、どうなるだろうか?

  そう。検索結果の1ページ目から、詐欺や偽のアンチ・ウイルス攻撃が登場する。

  以下は、我々が作成した、この問題のデモ用Flashビデオだ:

tax day freebies 2010" (管理人註:Flashビデオはリンク先でご覧下さい)

  通常、「Google Trends」のリンクをどれでもクリックすれば、偽アンチ・ウイルスを簡単に見つけることができる。

  13カ月にわたる研究を行ったわけではないが、Bingの検索結果の方がより安全と思われる

Bing's tax day freebies 2010

RIP Windows Vista RTM

  「Microsoft Support Lifecycle Blog」の熱心な読者は(当然そうだと思うが)昨日、4月13日にWindows Vista RTM(別名Windows Vista SP0)のサポートが終了したことをご存じだろう。

  Vista RTMを懐かしく思うと言いたい。そう言いたいのだが…

Ctrl+Alt+Del
Ctrl+Alt+Del - The Upgrade

  これに関連して、「Windows XP Service Pack 2 (SP2)」のサポートは、この7月13日に終了する。主にセキュリティを重視したという理由で、XP SP2にはよりポジティブな思い出がある。

  しかしながら、セキュリティの重視には代償があった。Microsoftの開発リソースはVistaから流用され、XP SP2に提供されたのだ。皮肉なことだろうか? いずれにせよ、Vista RTMもしくはXP SP2を所有しているなら、Microsoft Download Centerにアクセスし、すぐにでも最新のサービスパックに更新する必要がある。

  気になっているかもしれないので申し上げておくと、Windows 7は2015年1月13日までサポートされる。

自動アップデート

  毎月やってくる例の時期となった。

  ここにMicrosoftのセキュリティ情報がある。今日発表される多数のフィックスを含む11の情報がある。

  リリース予定のアップデートを含む「Adobe Security Advisory」も公開された。

  やや興味深いのは、今日のAdobeのアップデートが、Readerの新しい自動アップデータを利用することだろう。

ICPP著作権財団は偽物

  新たな身代金型トロイの木馬が出回っている。

  このトロイの木馬は、「著作権者への罰金」をカバーするため、「公判前の示談」の支払いを行うよう脅すことで、犠牲者の金を盗もうとするものだ。

  犠牲者は「反海賊行為財団スキャナ」が、システムから違法なTorrentファイルを発見したと告げられる。もし400ドル(クレジットカード・トランザクションを通じて)支払わなければ、懲役刑と莫大な罰金を科せられる可能性があるという。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  そしてこの警告は消えない。システムを再起動するたびに、再び現れるのだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらすべては完全に偽物だ。「ICPP財団」などというものは存在しないし、このメッセージは、違法なファイルをまったく含んでいない場合でも表示される。

  もっとも重要なのは:こんな道化連中への支払いは拒否すること! もし支払いを行えば、問題がより大きくなるだけのことだ。

  この件の背後にいるグループは、「icpp-online.com」に公式サイト風のWebサイトを準備してさえいる。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ドメインは「Shoen Overns」氏の名で登録されている。「ovenersbox@yahoo.com」という電子メールアドレスは、ZeusおよびKoobfaceスキャムに関連して、以前、他のさまざまなドメインで見掛けたものだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同アプリケーションが示す「Reports」をクリックすると、以下のようなページが現れる:

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ページにリストアップされている(イタリアの)番号に電話を掛けてみた:+39 (06) 9028 0658 当然のことながら、つながらなかった。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらのページは「91.209.238.2」でホストされており、WHOISによれば「高度に保護されたソマリアネットワーク」である「EBUNKER-NET」に属している。これはモルドヴァで運営されている。

  支払いページは以下の通り:

iccp7

  同サイトに接続するはっきりとしたクレジット・カード支払いシステムは存在しない。クレジット・カード情報を集め、保存しているようだ。

  もし皆さんが、このトロイの木馬に遭遇しても、「支払ってはいけない」。その代わり、トロイの木馬を除去するため、これを検出できるアンチ・ウイルス・プログラムを使用すること。「エフセキュア アンチウイルス」はこれを「Rogue:W32/DotTorrent.A」として検出している。ols.f-secure.comにある無料の「エフセキュア オンライン スキャナ」を使用して、システムのチェックを行うことができる。

  同マルウェアは一般に「c:\documents and settings\USERNAME\application data\IQManager\iqmanager.exe」に位置する。2つの異なるバージョンが見つかっている。これらのMD5ハッシュは「cedc2c35bf967027d609df13e937946c」と「bca3226cc1cfea416c0bcf488082e5fd」だ。

トロイの木馬化された携帯電話ゲームで高額な通話料が発生

  我々は、影響を受けたユーザがかなりの電話料金を請求される、悪意あるWindows Mobileゲームの報告を受けとった。

  問題のゲームは、「3D Anti-terrorist action」という名称で、中国のBeijing Huike Technologyにより制作されたものだ。

3D Anti-terrorist animation

  同ゲーム自身は、3Dのファーストパーソン・シューティングゲームだ。

3D Anti-terrorist animation

  どうやらロシアのマルウェア作者が、同ゲームをトロイの木馬化した。そしてトロイの木馬化したバージョンを、いくつかのWindows Mobileフリーウェア・ダウンロード・サイトにアップロードした。

  人々は、電話が勝手に高額な通話をしているということを、かなり早くから報告し始めた。

  以下はXDA-Developersフォーラムのスレッドの一例だ:

3D Anti-terrorist

  トロイの木馬化されたゲームのコードを分析すると、通話がどのように開始され、通話が進行するのを待つかということが簡単に分かる。これらの通話は分単位で課金される。

3D Anti-terrorist

  トロイの木馬がダイヤルするナンバーは以下の通り:
  • +882346077
  • +17675033611
  • +88213213214
  • +25240221601
  • +2392283261
  • +881842011123
  しかし、このような国際的課金番号がどのようにして機能するのだろうか?

  遠方の国々に、高価な国際的割増料金番号を提供することを収入源としている、いくつかの企業があることが分かった。不思議だ。

Maxtis

  このケースは、6年前、Symbian端末で似たような事件(「Case Mosquitos」)があったことを思い出させる。

  「エフセキュア モバイル セキュリティ」はこのゲームのトロイの木馬版を検出し、ブロックする。

偽AVローカライゼーションのミス

  昨日、ブラックリストに記載されたドメインをいくつか調査している時、単一のURLからホストされている5つの偽スキャニングUIに遭遇した。

  それは1つ分の価格で購入できる5つのスキャムで、我々はブラウザを再読み込みするだけで良い。以下のスクリーンショットはすべて、Linuxが動作するコンピュータからとったものだ。

  最初のものは「AntivirusPlus」と称するもののスクリーンショットで、「Erase infected」により犠牲者に、「感染を削除」させようとする。
Antivirus Plus


  次に、再読込すると、他のバージョンの「AntivirusPlus」(赤と白のエンブレム)が犠牲者に「Protect now」として、保護するかどうかをたずねてくる。
Antivirus Plus


  もう一度再読込すると、「XPert Antivirus」と表示される(再び赤と白のエンブレム)。
Antivirus Plus


  しかし、再び再読込をして「AntivirusPlus」に戻ると、今回は親しみやすい「7」が左サイドに現れ、「Turn on」(オンにする)というオプションが表示される。
Antivirus Plus


  そして最後に、クラシックなWindows XPのルック&フィールが現れる。
Antivirus Plus


  XP UIがローンチされる前に、以下のプロンプトが表示される:
Antivirus Plus


  うーん… キャンセル・ボタンが妙なのにお気づきだろうか? これについて言うべき事は一つだ。

  ありがとう。必要ありません。(ロシア語)

片山昌憲さん:エフセキュアブログメンバーご紹介

本日、高間さん星澤さん岩井さん、そして福森さんにつづいて、エフセキュアブログの新しいオフィシャルコメンテータをご紹介いたします。

ポータルサイトでWebセキュリティ業務に携わっていらっしゃる片山昌憲さんに、本日から当ブログのオフィシャルコメンテータとしてご参加いただけることになりました。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、片山さんのご紹介を申し上げたいと思います。

4月初旬、恵比寿の片山さんのオフィスでお話をお聞きすることができました。

●片山昌憲さん

片山 昌憲(かたやま まさのり)
エキサイト株式会社 戦略ビジネス室 室長

専門領域:
電子決済、マーケティング、Webセキュリティ、システム開発、コンサルティング

寄稿記事:
2008 オンラインゲーム白書
2007 ゲーム白書
など

講演実績:
APWG CeCOS II 東京
オンラインゲーム&コミュニティサービスカンファレンス 2008 など複数

セキュリティの情報源としているブログ、Webサイト:
ScanNetSecurity


フリーコメント:
サイト運営者として、日常的にWebセキュリティの仕事に従事しています。Webセキュリティと経済の関連性分析などを得意としています。どうして、このマルウェアが流行っているのか? などを解説したいと思っています。どうぞよろしくお願いします。


歌い手のエクスプロイト・キット バージョン CVE-2010-0806

  やれやれ… どうやら誰かが、Internet Explorerの脆弱性に対応するエクスプロイトのコーディングを行いながら、Jay Chowの歌にあわせて歌っているようだ。同脆弱性は「Microsoft Security Bulletin MS10-018」で対処されたものだ。同エクスプロイトは、IEでPeer Objectコンポーネント(iepeers.dll)を標的とするもので、今日、クライアント・ブラウザで利用されようとしていた際に検出された。

  シェルコードから解読した後、これはペイロードをダウンロードし、「Trojan:W32/KillAV.LD」として検出される。

  この脆弱性を利用するのに用いられるJavaScriptは以下の通り:



  よく見ると、変数およびファンクション名が、実は特定の意味を持ついくつかの漢字を示していることが分かるだろう。これらは子供の歌と台湾の歌手Jay Chowの歌にある歌詞をミックスしたものだ。



  いつも通り、このようなエクスプロイトはエフセキュアのブラウザ保護によりブロックされており、皆さんは安心してブラウジングすることができる。

  投稿はJaan YehとChu Kianによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード