エフセキュアブログ http://blog.f-secure.jp/   ja エフセキュアブログ http://blog.f-secure.jp/ http://image.profile.livedoor.jp/icon/fsecure_blog_60.gif worldrofwarcraft.com http://blog.f-secure.jp/archives/50347159.html   「World of Warcraft」オンラインゲームは、世界に1000万人以上のプレイヤーを擁している。  「World of Warcraft」には、これを標的とし、エンドユーザのログイン情報を盗もうとする、何百ものフィッシングWebサイトもある。  以下のようなサイトだ:&n... mikko_hypponen 2010-02-08T22:21:50+09:00 ヘルシンキ発

  「World of Warcraft」オンラインゲームは、世界に1000万人以上のプレイヤーを擁している。

  「World of Warcraft」には、これを標的とし、エンドユーザのログイン情報を盗もうとする、何百ものフィッシングWebサイトもある。

  以下のようなサイトだ:

wow

  これらフィッシング・サイトの多くのドメイン名は、簡単に見抜くことができる(wor1dcfwarcraft.com? 冗談だろう)。しかしその他のサイトは、もう少し手が込んでいる(worldrofwarcraft.com - そう、ここには余分な「R」がある)。

  それで、これらのアカウントは何故、盗まれているのだろうか? 面白半分に? いや、これらが盗まれているのは、バーチャルなゴールドや武器のためだ。盗まれたアカウントは直ぐにカラにされ、グッズはオンラインで本物の金のために売りに出される。

  しかし、ゲーム用のバーチャル・グッズを、本物のキャッシュで購入する人などいるのだろうか? そう、売り手の数を見ると、かなりの数いるようだ。

wow gold


>>原文へのリンク
]]> Gmailフィッシュ http://blog.f-secure.jp/archives/50346977.html   うわさによると、Gmail管理者からの電子メールが送られていることを、取り急ぎ読者の皆さんにお知らせする。エフセキュアのフェローの一人が最近、「Googleメール・チーム」から、「アカウントの匿名による登録」を防止するため、アカウントの詳細を確認するよう求め... hilyati_alia 2010-02-08T10:40:31+09:00 クアラルンプール発
gmail_phishing

  返信先アドレスは「verifyscecssze@gmail.com」と表示されており、これは明らかに公式にGmail管理アカウントではない。一方、ドメイン名「gmeadmailcenter.com」は、ミシガンのカトリック教会に登録されている。

  実に典型的なフィッシング・タイプのメッセージだ。このメールを受け取ったGmailユーザは、(本物の)Gmailチームにアカウント内の「フィッシングをレポート」オプションを利用して報告するか、単に削除することができる。

>>原文へのリンク
]]> サイバー犯罪との戦いをリアルに描く! http://blog.f-secure.jp/archives/50344828.html 今週末、サイバー犯罪者やサイバーテロとの戦いを描く、ネット配信映画の予告編が明らかになりました。 risa_ozaki 2010-02-07T10:11:02+09:00 横浜発 今週末、サイバー犯罪者やサイバーテロとの戦いを描く、ネット配信映画の予告編が明らかになりました。
続きを読む ]]> 新しいFacebookホームページ、重要な新プライバシー・セッティング http://blog.f-secure.jp/archives/50346972.html   Facebookが今日、新しいホームページとナビゲーション・メニューを展開し始めた。  そしてFacebookが新しい機能を追加すると、今回のケースではアプリケーションおよびゲーム・ダッシュボードだが、通常、新しいプライバシー・セッティングも登場する。 ... sean_sullivan 2010-02-05T22:42:03+09:00 ヘルシンキ発 新しいホームページとナビゲーション・メニューを展開し始めた。

  そしてFacebookが新しい機能を追加すると、今回のケースではアプリケーションおよびゲーム・ダッシュボードだが、通常、新しいプライバシー・セッティングも登場する。

  以下は、アプリケーション・ダッシュボードの一部だ。

Facebook Application Privacy

  すべてのFacebookは、ダッシュボードのアウトプットに関し、プライバシー上の懸念をいくつか浮上させている

  皆さんは本当に、全ての「友達」に自分がどんなプリケーションを動作させているか、知らせたいと思いますか?

  そうはしたくない?

  それならば、Facebookが提供する新しいコントロールを見てみたいだろう。

  以下は以前のアプリケーションおよびWebサイト・セッティング・ページだ。

Facebook Application Privacy

  以下が新しいセッティングだ。

Facebook Application Privacy

  新しいプライバシー・オプションは、「友達の最近のアクティビティ、友達のアプリケーション、および友達のゲームセクションで、貴方のアクティビティを見る事ができる人をコントロールする」ことを可能にする。

Facebook Application Privacy

  このコントロール・オプションは、以下の点で見慣れたものであるはずだ。共有は友達のみ、友達の友達、そして全ての人という設定が可能なのだ。

  もちろん、友達リストを利用することで、より洗練された方法でアクセスを制限することができる。

Facebook Application Privacy

>>原文へのリンク
]]> Microsoftアップデートおよび脆弱性 http://blog.f-secure.jp/archives/50346971.html アップデート  2月9日に多数のMicrosoftアップデート、26の脆弱性に関する13の速報が出される。  Windowsの全バージョンが影響を受ける。  忙しい火曜日になりそうだ。  詳細については、Microsoftの「マイクロソフト セキュリティ情報の事前通知 - ... fsecure_response 2010-02-05T21:57:20+09:00 クアラルンプール発 アップデート

  2月9日に多数のMicrosoftアップデート、26の脆弱性に関する13の速報が出される。

  Windowsの全バージョンが影響を受ける。

Microsoft, February 2010

  忙しい火曜日になりそうだ。

  詳細については、Microsoftの「マイクロソフト セキュリティ情報の事前通知 - 2010年2月」をご覧頂きたい。

脆弱性

  「セキュリティ アドバイザリ (980088)」で発表されたInternet Explorerの脆弱性もある。

  Ars Technicaは以下のように説明している:MicrosoftはIEの欠陥を警告し、PCをパブリック・ファイル・サーバに変える。あまり良い感じには聞こえないですよね?

  Microsoft Supportが解決ツールを公開している。

>>原文へのリンク
]]> 詐欺の調査目的でGoogle画像を使用する http://blog.f-secure.jp/archives/50345509.html   エフセキュアのテスト・エンジニアの一人、Samiが最近、Play Station 3を探していた。  そして彼は以下のオファーを、フィンランドのオークション・サイト「Huuto.net」で発見した。  60GBユニット、ゲーム付きで160ユーロ。悪くない。  Samiは、... sean_sullivan 2010-02-04T23:48:05+09:00 ヘルシンキ発
  そして彼は以下のオファーを、フィンランドのオークション・サイト「Huuto.net」で発見した。

PS3 Auction

  60GBユニット、ゲーム付きで160ユーロ。悪くない。

  Samiは、出品者が信用できるか確認したいと考え、写真をリクエストし、以下の画像を受け取った。

PS3 Auction

  この画像のプロパティを調べたところ、Samiはこの写真が2008年に撮られたものであることを発見した。

PS3 Auction

  次に彼は、サイズ・オプションを使用してGoogleの画像検索を行った。スマートだ。

PS3 Auction

  彼は、2008年からのフィンランドのフォーラム・スレッドにこの画像があるのを突き止めた。

PS3 Auction

  これは少々疑わしかったため、彼は出品者に他の写真、PS3と最近の写真が一緒に写っているものを提示してくれるよう頼んだ。

  出品者が拒否した時、もちろん、この取引は不成立に終わった。それほど賢い詐欺師ではないでしょう?

  この出品者は、正しいツールを使えば、インターネット上でどれだけ簡単に物事を発見することができるか、忘れていたようだ。

  自分の調査を文書化し、警察に報告を提出したSamiは賞賛に値する。

>>原文へのリンク
]]> 一日にリンゴ一個 http://blog.f-secure.jp/archives/50345054.html   我々は最近、Macのセキュリティについて、いくつかの質問を受けた。ミッコのコメントはCNETでお読み頂ける。  またAppleのニュースによれば、iPhone/iPod touch OS 3.1.3がリリースされ、セキュリティのフィックスが行われている。  (アップデート中に... sean_sullivan 2010-02-03T23:46:47+09:00 ヘルシンキ発 CNETでお読み頂ける。

  またAppleのニュースによれば、iPhone/iPod touch OS 3.1.3がリリースされ、セキュリティのフィックスが行われている。

  (アップデート中に言及されるわけではない。)

  そしてiPhoneについて言えば、SSLのリモート攻撃に対して脆弱だ

>>原文へのリンク
]]> Texacoが月給8500ポンドで職をオファー http://blog.f-secure.jp/archives/50343973.html   オンライン犯罪者たちは、自分たちが捕らえられないようにするため、金を動かす人々を必要としている。こうした人々はマネーミュールと呼ばれている。  大部分のマネーミュール募集は、架空の会社名で行われるが、詐欺師たちは有名なブランドを利用することも... mikko_hypponen 2010-01-31T02:04:07+09:00 ヘルシンキ発
  大部分のマネーミュール募集は、架空の会社名で行われるが、詐欺師たちは有名なブランドを利用することもある。

  以下は、最近のマネーミュール広告の例で、石油会社Texacoの名で大量送信されたものだ:

texaco

  この電子メールはもともと、ナイジェリアのラゴスにあるIPアドレスから送信された。Texacoはその辺りで掘削をしなければならないのだろう。

  このPDFはエクスプロイトを含んでおらず、以下のように見える:

texaco

  テキストの一部は以下の通り:

  Texaco/Chevron Downstream Europe 
  1 Westferry Circus Canary Wharf
  London E14 4HA 

Dear Job Candidate,

The TEXACO Online Employment System wish to inform you that your posted 
information onlinehas been carefully and confidentially reviewed by our 
Recruitment Team Professionals and we have considered under our current 
vacant opportunities within the Firm to employ you for work in our company.

TEXACO Online Employment System is affiliated to various job recruitment 
websites and your information was submitted to us by our online agent that 
submit job candidate resumes for consideration of employment depending on 
the vacancies we have in any branch of TEXACO Company Worldwide. 

As regards to this, you have been automatically granted this employment to 
work in TEXACO Oil & Gas Field with a monthly salary of Eight Thousand 
Five Hundred Pounds (£8,500).

Kindly acknowledge the content of this message by reconfirming your interest
in working for us and indicating your area of job interest, ensuring that you 
have quoted your vacancy title below or send your CV with a covering letter.

For further details relating to your employment, kindly send an email to 
Texaco/Chevron Downstream Europe H/R Recruitment Service Department 
texaco@post.com / http://texaco.us.ms / http://texaco.com/portal_default.asp/.

  Regards,
  Paul Matins
  HR Recruitment Manager


  「texaco@post.com」や「http://texaco.us.ms」といった、疑わしい連絡先に注意して欲しい。トップレベル・ドメインの「.ms」は、カリブ海の小国モントセラトに属している。

  texaco.us.msのWebサイトは以下のようなものだ:

texaco

  応募してはいけない… サラリーは良さそうだし、自分の興味のある仕事の分野を指定できるとあるが、その仕事には現金をピックアップし、Webmoney、ウェスタン・ユニオン、Fethard Financeで、それを遠くに送金することが含まれているのは間違いないだろう。

>>原文へのリンク
]]> つぶやきウィジェット http://blog.f-secure.jp/archives/50343972.html   私は今日の午後、Twitterのツールで遊んでいた。「Profile Widget」は非常にクールだ。  以下はミッコのつぶやきだ:  これはJavaScriptで、RSS配信から読んでいるなら、ここをクリックして欲しい。サインオフショーン>>原文へのリンク sean_sullivan 2010-01-30T01:04:05+09:00 ヘルシンキ発 Profile Widget」は非常にクールだ。

  以下はミッコのつぶやきだ:


  これはJavaScriptで、RSS配信から読んでいるなら、ここをクリックして欲しい。

サインオフ
ショーン

>>原文へのリンク
]]> ヘルシンキの港に佇むエフセキュア セキュリティ研究所 (フィンランド出張旅行記 その4) http://blog.f-secure.jp/archives/50342696.html エフセキュアの聖地、フィンランドへ出張する際、ミッションのひとつに念願の『セキュリティ研究所を訪れる』というものがありました。 risa_ozaki 2010-01-29T16:57:25+09:00 つぶやき エフセキュアの聖地、フィンランドへ出張する際、ミッションのひとつに念願の『セキュリティ研究所を訪れる』というものがありました。 続きを読む ]]> iPadがFlashをサポートしないのはセキュリティのため? http://blog.f-secure.jp/archives/50342424.html   我々はAppleのiPadに関して、Adobe Flashをサポートしていないのはセキュリティのためなのかといった質問を受けている。  いや、そうは思わない。  確かに、Adobe Flashは過去に悪用されてきたし、今後も間違いなく悪用されるだろうが、我々はセキュリテ... sean_sullivan 2010-01-28T18:21:25+09:00 ヘルシンキ発 AppleのiPadに関して、Adobe Flashをサポートしていないのはセキュリティのためなのかといった質問を受けている。

  いや、そうは思わない。

  確かに、Adobe Flashは過去に悪用されてきたし、今後も間違いなく悪用されるだろうが、我々はセキュリティの問題というよりも、実用性の問題の方が大きいと考えている。

  Flashはプロセッサ、バッテリ、および帯域幅に影響を与える。モバイル・ネットワークやモバイル機器はまだ適切とは言えない。

  Skyfireの最高責任者であるJeff Glueckは、2日前にVentureBeatで非常に上手くこの問題についてまとめている。

Apple's iPad

>>原文へのリンク
]]> 艦隊を沈めるルーズなつぶやき http://blog.f-secure.jp/archives/50342421.html   情報漏洩は大きな問題だ。   特に、軍事機関のようなセキュリティの厳重な組織への影響は大きい。  そして状況は、FlickrやPhotobucket、Facebook、Twitter、Myspaceなどのサービスの登場で、いまだかつて無いほど厳しいものとなっている。  そこ... mikko_hypponen 2010-01-28T00:11:26+09:00 ヘルシンキ発 Loose Tweets Sink Fleets (c) Brian Lane Winfield Moore http://www.flickr.com/photos/doctabu/sets/72157620497679512
  特に、軍事機関のようなセキュリティの厳重な組織への影響は大きい。

  そして状況は、FlickrやPhotobucket、Facebook、Twitter、Myspaceなどのサービスの登場で、いまだかつて無いほど厳しいものとなっている。

  そこで我々はLewis Communicationsと協力し、イギリス国防省に、このような問題を抱えたことがあるかどうか、情報開示を請求した。

  数週間後、回答を得たのだが、それによれば、英国の軍事関係者、国防省スタッフがソーシャル・ネットワーク・サイトやインターネット・フォーラムで機密を漏らしたケースは16回に及ぶという。

  人々は、自分たちが例えばFacebookを使用するとき、友達や家族を信用して秘密を打ち明けると考えるかもしれないが、実際は情報を全ての人に公開しているのかもしれない。

  Sky Newsがこの問題に関する記事を掲載している。

FOIA reply

「Loose Tweets Sink Fleets」ポスター画像のクレジット:Brian Lane Winfield Moore

>>原文へのリンク
]]> Facebook騒動 http://blog.f-secure.jp/archives/50341682.html   Facebookが最近、素晴らしい新機能を発表した:「このステータスについてコメントするため、このメールにリプライする」  皆さんが友達と会話しようとする場合、これは非常に便利な機能に見える。  しかし、安全だろうか?  実際のところ、我々が... sean_sullivan 2010-01-26T23:18:13+09:00 ヘルシンキ発 このステータスについてコメントするため、このメールにリプライする」

  皆さんが友達と会話しようとする場合、これは非常に便利な機能に見える。

  しかし、安全だろうか?

  実際のところ、我々がテストした結果、この「Reply To」アドレスは誰でも、どんなメールアカウントからでも利用できる。

  もちろん、通知リンクはアカウント・ホルダーのメインの電子メールアドレスにのみ送信されるが、我々はみな、電子メール・アカウントがいかにフィッシングされ、ハッキングされているかを知っているのではないだろうか?

Matti Meik?l?inen

  ご自身で試してみて欲しい。件名を入れたメールをこのアドレスに送れば、ここでMattiの名前で投稿された結果を見ることができる。

  コメントがまもなく皆さんの近くにやってくる — 電子メール・リプライ・スパムが。

>>原文へのリンク
]]> プロ用ツールとしてのTwitter http://blog.f-secure.jp/archives/50341681.html   私はソーシャル・ネットワークのファンだったことは一度もない。  Facebookには参加していない。Myspaceにも。LinkedLnにも。  しかし昨年、Twitterとかいうものを見てみようと考えた。  Twitterが有益かどうかを見極めるため、2009年末までの2ヶ... mikko_hypponen 2010-01-26T17:04:16+09:00 ヘルシンキ発
Twitter Logo  Facebookには参加していない。Myspaceにも。LinkedLnにも。

  しかし昨年、Twitterとかいうものを見てみようと考えた。

  Twitterが有益かどうかを見極めるため、2009年末までの2ヶ月間をお試し期間とした。そしてもし、役に立つとは思わなければ、使用するのはやめようと考えた。

  試用期間中、Twitterは他のソーシャル・ネットワークとはかなり異なることが分かった。これはプロフェッショナル・ツールとして、実際かなり有益だ。

  多くの人々は、Twitterが一体何なのか本当には理解していない。これらの人々は、他の人々に自分たちの日々の雑事(「朝食にコーンフレークを食べた!」)について語ることができるシステムだと考えている。これはTwitterの用途ではない。

  Twitterは専門家が自分自身の分野で、重要な展開に対するメモやリンク、示唆などを共有する時、最高の状態となる。

  データ保護の分野では、新たな脆弱性に関するメモかもしれない。突発的な事件。フィッシングの実行。あるいは他の何かかもしれない。

  そして今日では、それについて最初に耳にする場所はTwitterなのだ。ニュースでもなければ、ブログでもない。Twitterだ。

  私自身、Twitterで5000人のフォロワーを獲得しており(ありがとう!)、続けていこうと考えている。

  そしてTwitterで素晴らしいのは、サインアップする必要がないということだ。すべてパブリックなのである。

  皆さんは単に誰かのつぶやきを閲覧するか、search.twitter.comでグローバル・サーチを行えば良い。

  Twitter以前は、何か重要なことが進行している場合、最初の警告とそれに関する最初の議論は、メールや閉鎖的なメーリングリスト、テキスト・メッセージなどを介してプライベートに行われた。現在、多くはTwitterで、パブリックに起きる。そして、それをフォローするのにTwitterアカウントを持つ必要さえ無いのだ。

  例として。仮にTechCrunchのような主要なWebサイトがハッキングされた場合、Twitterで「TechCrunch hacked」と検索することで、一番最初の警告を見、何が起きているのかを読み、専門家の最初の意見を得ることができるだろう。

TechCrunch hacked

  そして最高の側面は、Twitterにはコンピュータ・セキュリティの分野の興味深い人々が大勢いるということだ。

Tweeters

サインオフ
ミッコ

>>原文へのリンク
]]> 「show_ads.js」のアラーム http://blog.f-secure.jp/archives/50341680.html   エフセキュアのアンチウイルス製品のうちいくつかで、今日、短期間の誤警報が出た。このアラートは「show_ads.js」という名の一般的なJavaScriptファイルからのものだった。誤警報は「Trojan.JS.Redirector.ar」というトロイの木馬に対して出された。  誤警報... mikko_hypponen 2010-01-26T03:31:53+09:00 ヘルシンキ発
  誤警報はアップデート「2010-01-25_17」で修正されている。

  これは2009年の製品など、エフセキュアの以前の製品に影響があったのみだ。「エフセキュア インターネット セキュリティ 2010」には問題無かった。

  今回の誤警報について謝罪したい。申し訳ない。

>>原文へのリンク
]]> 書籍:「致命的なシステム・エラー」 http://blog.f-secure.jp/archives/50341275.html   サイバー犯罪に関する新しい本が登場した。著者はJoseph Mennだ。Josephは長年、「Financial Times」や「Los Angeles Times」でコンピュータ・セキュリティの報道に携わってきた。  書籍のタイトルは「Fatal System Error(致命的なシステム・エラー)」だ。 &... mikko_hypponen 2010-01-26T00:19:01+09:00 ヘルシンキ発
  書籍のタイトルは「Fatal System Error(致命的なシステム・エラー)」だ。

Fatal System Error

  この本は、コンピュータ犯罪者に関するいくつかの興味深い、実際のストーリーを詳細にカバーしている。たとえば、Carderplanet、Shadowcrew、DarkMarketといったオンライン犯罪サイトの歴史を扱っている。Albert Gonzalesのクレジットカード窃盗について論じている。また、Ghostnetやニュースになっているいくつかの標的型攻撃についてさえカバーしているのだ。

  そして、「News from the Lab」でも以前言及したことがある、いわゆるBalakov Trioに何が起きたかについて、非常に詳細な報告がなされている。

Fatal System Error

  この本は明日、1月26日に発行される予定だ。

>>原文へのリンク
]]> 追記(Microsoft脆弱性) http://blog.f-secure.jp/archives/50341181.html 1月21日にポストされた記事「Microsoft脆弱性」の本文4行目に、マイクロソフトセキュリティ情報 MS10-002へのリンクが追記されました。 risa_ozaki 2010-01-25T20:58:07+09:00 オフィシャルコメント Microsoft脆弱性」の本文4行目に、マイクロソフトセキュリティ情報 MS10-002へのリンクが追記されました。 ]]> ところで標的型メールってどのくらいくるの? http://blog.f-secure.jp/archives/50339914.html Googleの件で、改めて標的型攻撃が注目されています。しかも、IEのゼロデイが悪用されたとのことですので、狙われた企業はひとたまりもありません。しかも、標的を絞っての攻撃となると、一般に情報が公になるのが遅れますので、対策をうつ事すらできませんので非常に厄介で... hiroki_iwai 2010-01-22T21:00:28+09:00 オフィシャルコメント
セキュリティ担当者の立場からしますと、「そんな攻撃は来てくれるな!」と祈るばかりです。では、この標的型メールとは、一体どの程度届くものなのでしょうか。
(私のところには、まだ日本語の標的型メールが届いたことが無いのでとても不満ちょっと残念です。)

そこで、昨年私の所属する研究所で調査した統計のデータを元にざっくり計算してみました。大体ですが、調査対象全PCに対して標的型メールから被害を受けたPCの率は約0.1%くらいでした。
#サンプル数が10社ですので、正確性に欠けますが、ご愛嬌ということで。。。

人数に換算すると、1万人規模の組織に対して、10人くらい。1000人規模であれば、1人の計算になります。しかし、これは統計情報ですのでそんなに都合よくいくわけがありません。

そこで、実際に被害に遭われている方々に聞いてみました。すると、どうやら一部の部署やチームに届いているようだ、とのことでした。
標的型メールのタイトルも色々あるそうで、昨年ですと、新型インフルエンザの注意喚起を装ったものや、打ち合せ議事録を装ったものさえあったそうです。
これは引っ掛かってしまいそうですよね!

特にGoogleは、知的財産が狙われたとのことですので、盗まれてマズい情報を持っている業種の方は注意が必要です。先ずは重要情報を管理しているサーバのセキュリティ対策を見直すところから初めては如何でしょうか。
#ちなみに、私の経験ではファイルサーバ関連は要注意です。

そうそう、全く話が変わりますが、明日からTBS系で「ブラッディ・マンデイ シーズン2」が始まりますね。
当研究所の茶パンダさん(本人希望でHN)を中心にハッキングシーンを作ってます。所々にコネタを入れているようですので、色々探してみて下さい。(編集でカットされている可能性大ですが・・・)
乞う、ご期待! ]]> 「Operation Aurora」をエサにした標的型攻撃 http://blog.f-secure.jp/archives/50339288.html   ここへ来て興味深い事態の変化が見られた。  「Operation Aurora」攻撃に注目が集まっているさなか、悪意ある添付ファイルを開かせるため、この出来事をエサにした新しい標的型攻撃が登場したのだ!  以下が、我々の確認した電子メールだ:  &... mikko_hypponen 2010-01-22T00:15:55+09:00 ヘルシンキ発
  「Operation Aurora」攻撃に注目が集まっているさなか、悪意ある添付ファイルを開かせるため、この出来事をエサにした新しい標的型攻撃が登場したのだ!

  以下が、我々の確認した電子メールだ:

   From: david????@gwu.edu
   Date: Wed, 20 Jan 2010 09:26:24
   To: (email addresses of the targets)
   Subject: Chinese cyberattack
   
   Colleagues,
   
   Attached is a short piece I just wrote for the Far Eastern Economic Review about Chinese cyberattack.
   I hope you find it interesting.
   
   If you have any good idea / comments, are warmly welcome to feedback.
   
   Best,
   
   David
   Attachment: .pdf Chinese cyberattack.pdf
 
 
  この添付ファイル「Chinese cyberattack.pdf(md5: 238ecf8c0aee8bfd216cf3cad5d82448)」はPDFファイルで、Adobe ReaderのCVE-2009-4324脆弱性(先週修正されたものが再び)を悪用するものだ。

  同エクスプロイトは、「Acrobat.exe(md5: 72170fc42ae1ca8a838843a55e293435)」という名のバックドアをドロップし、実行する。我々はこのエクスプロイトを「32/PoisonIvy.NQ」と、また、同PDFは「Trojan.Script.256073」と検出している。

>>原文へのリンク
]]> 標的型攻撃に狙われた情報産業 http://blog.f-secure.jp/archives/50339286.html   軍事契約企業に対する高度な標的型攻撃について、先日記事を掲載した。  そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。  この攻撃はPDFファイルで実行された。まただ。  これは「CVE-2009-4324」脆弱性を標的にしている。... mikko_hypponen 2010-01-21T23:52:15+09:00 ヘルシンキ発 記事を掲載した。

  そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。

  この攻撃はPDFファイルで実行された。まただ。

  これは「CVE-2009-4324」脆弱性を標的にしている。まただ。

  オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

pdf

  バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。

  さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

ncsi

  うーん。このアジェンダは、どこかで見たような。

  我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。

>>原文へのリンク
]]>