ウイルス解析担当者ブログ

2008年4月度アプリケーションの脆弱性に関するラウンドアップ

2008-05-16T01:21:40Z

この投稿では、2008年4月度に観測されたアプリケーションの脆弱性を悪用したウイルスまたは攻撃コードに対する、ベンダ発表とトレンドマイクロ製品による緩和策についてお知らせします。 ■4/1(火)～4/30(水) のセキュリティ関連情報　目次 GDI の脆弱性により、リモートでコードが実行される Zenturi ProgramChecker ActiveXバッファオーバフローの脆弱性 ■GDI の脆弱性により、リモートでコードが実行される攻撃タイプベンダ発表（発表日：2008/04/09）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動マイクロソフト株式会社 (948590) GDI の脆弱性により、リモートでコードが実行される CVE-2008-1083 CVE-2008-1087 9.3（危険） 9.3（危険）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/04/14時点）ウイルスパターンファイル 5.213.00 EXPL_NEVAR.B スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-04-21 TrendLabs Malware Blog「Tibetan Issues Take Heavy Casualties in Malware and Exploits」 2008-04-14 TrendLabs Malware Blog「EXPL_NEVAR: Another Post-Disclosure Exploit」目次に戻る ■Zenturi ProgramChecker ActiveXバッファオーバフローの脆弱性攻撃タイプベンダ発表（発表日：—-/–/–）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動 Zenturi, Inc. N/A 現時点における公式発表なし CVE-2007-2987 9.3（危険）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/04/14時点）ウイルスパターンファイル 5.183.00 JS_AGENT.IGF ActiveXコントロールの動作停止を推奨します。クラス識別子（CLSID）： 048313BB-3B82-47A8-8164-533F1D7C7C9D 0FA0B4FF-1A6F-4D89-995C-29FFD33F4EE0 59DBDDA6-9A80-42A4-B824-9BC50CC172F5 66C7B32A-9642-41A4-BCF7-A166D1547770 6754F588-E262-42D2-A6BC-3BB400ACFEED 7D6B5B24-FC7E-11D1-9288-00104B885781 A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1 スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 Microsoftサポート技術情報：240797「Internet Explorer で ActiveX コントロールの動作を停止する方法」 2008-04-02 TrendLabs Malware Blog「Old, Known Bugs Exploited by Neosploit」目次に戻る補足1. 深刻度はCVSS基本値に基づき3段階のレンジが設定されてます。深刻度 CVSS基本値レベルIII（危険） 7.0～10.0 レベルII（警告） 4.0～6.9 レベルI（注意） 0.0～3.9 補足2. パトランプは緩和策となるパターンファイルがリリースされている場合、点灯します。緩和策となるパターンファイルがリリースされていない場合、消灯しています。 ■関連情報 2008年4月度アプリケーションの脆弱性に関するラウンドアップ 2008年3月度アプリケーションの脆弱性に関するラウンドアップ 2008年2月度アプリケーションの脆弱性に関するラウンドアップ 2008年1月度アプリケーションの脆弱性に関するラウンドアップ

スパムマップ配信国ランキング（2008年4月）

2008-05-08T20:17:44Z

スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。 ■集計対象期間：2008年4月1日～2008年4月30日順位（平均）国名世界に占める割合（平均）先月割合（平均）先月順位先月順位比【1位】アメリカ 12.34% 14.33% 【1位】 → 【2位】ロシア 8.24% 7.92% 【2位】 → 【3位】ブラジル 5.99% 5.55% 【3位】 → 【4位】中国 4.46% 4.59% 【7位】 ↑ 【5位】イタリア 5.35% 5.70% 【4位】 ↓ 　4月度は、上位5カ国からのスパムメールの発信量が全流通量の約36.4％を占めています。　上記の5カ国に、6位にイギリス（先月8【位】）、7位にトルコ（先月9【位】）、8位にポーランド（先月5【位】）、9位にスペイン（先月10【位】）、10位にフランス（先月6【位】）が続いています。　1、2、3月度と続いてきたアメリカ、ロシアのワースト1、2傾向に対し、ゆらぎを与える、中国の配信量急増が見られます。　アメリカにおけるスパム業者に対する規制強化は、配信に占める割合の低下として、確実にその効果が現れてきています。その一方で、規制から逃れようとするスパム業者により、ランキングの傾向に大きなゆらぎが生じてきています。　中国においては、インターネット接続に対し「互聯網信息管理方法」（国務院令第292号）をはじめとする法令により政府管理下に置かれています。このため、国ぐるみの対策が直ちに効果が現れるのではとする見方もあります。　いずれにせよ、スパム業者は国境を越え、対策の甘いメールサーバに巣食うことは間違いないと言えそうです。図1 2008年4月度におけるワースト5配信国なお、10位以下の場合、スパム配信率のデータプロットは行われていません。 ■2008年4月度のスパムメールハイライト　目次　ここでは、2008年4月にTrendLabsにて確認したスパムメールの事例をご紹介します。ストームワーム、エイプリルフールに再びソーシャルエンジニアリング効果を狙った米国税金還付を詐称したスパムメールマイクロソフトセキュリティ更新プログラムを詐称するスパムメールスパマーが注目するセレブ回顧主義なスパマーによる後方散乱（backscatter）スパムメールクレジット会社の信頼を逆手に取ったスパムメール MSNアカウントを狙うスパムメール「デジタル証明書」を装ってウイルスインストールを促すスパムメール ■ストームワーム、エイプリルフールに再び　2008年3月31日、2008年4月1日に確認されたのが、エイプリルフールにちなんだ文面でウイルス感染サイトへ誘導するスパムメールでした。　ウイルス感染サイトにて拡散されていたウイルスは、2007年1月以降猛威を振るっている「Storm Worm（ストームワーム）」の亜種です。　彼らは今年2月にも、バレンタインデーのグリーティングカードを装い、ウイルス感染サイトへ誘導するスパムメールを拡散していることが確認されています。　メール記載のURLへアクセスすると、エイプリルフールにちなんだ画像が表示されます。その背後では、「funny.exe」と名づけられたファイル（ストームワーム）がダウンロードされ、感染活動が開始されます。ファイル名は定期的に変更され、「foolsday.exe」/「Kickme.exe」と名づけられたものも確認されています。図2 ウイルス感染サイトに掲載されていたエイプリルフールにちなんだ画像　TrendLabsの調べによれば、ウイルス感染サイトにて表示される画像は「Google」の画像検索において、「April Fools」で検索されると最初に表示される画像であることを確認しています。　これは、ウイルス感染サイト作成にかかる工数の短縮化、SEO（Search Engine Optimization：サーチエンジンオプティマイゼーション＝検索エンジン最適化）効果を狙ってのGoogle検索結果の流用と推測されます。　5月には、「母の日（Mother’s day）」が控えています。2000年には、スクリプト型ウイルス「VBS_LOVELETTER」の亜種が、母の日にちなんだ内容にて拡散されていたことが報告されています。　「母の日」のように、ギフトが絡むイベントではオンラインショッピング詐欺と連動したスパムメール拡散なども予測されます。ご注意ください。 * 参考情報1. TrendLabs Malware Blog「April Fool’s: The Joke’s on You」 * 参考情報2. Trend Micro Security Blog「スパムマップ配信国ランキング（2008年2月） | やっぱり狙われたバレンタインデー」 * 参考情報3. ニュースリリース - 2000/5/6「「VBS_LOVELETTER」変種・亜種続々発生」目次に戻る ■ソーシャルエンジニアリング効果を狙った米国税金還付を詐称したスパムメール　2008年3月28日に確認されたのが、メールと電話を併用したビッシング（vishing：voice phishing）と呼ばれる手口を使用した、米国税庁（IRS：Internal Revenue Service）からの税金還付通知を詐称したスパムメールでした。　手口もさることながら、注目すべきは米国内における背景です。　米国においては、「景気刺激策（Economic Stimulus Act of 2008）」いわゆる所得税還付法案が2月に成立しています。独身者で最高$600還付される同法案は兼ねてより話題となっていました。IRSでは同法案成立を「郵送」にて、「Economic Stimulus Payment Notice（PDF）」として2007年度の確定申告者に告知を行っています。また、同法案による還付を受けるには、4月15日までに確定申告を済ませる必要があります。確定申告を済ませようとする人たちにより、郵便局が混雑している様子が、連日映像とともにニュースにて報じられていました。　このような背景において確認されたのが今回のスパムメールです。　還付金詐欺は古典的な詐欺手法であり、多くの人はその情報に対して慎重です。しかし、今年度に至っては先の背景により、情報の真偽への注意力が低下していたものと推測されます。また、期限が迫られたこの時期にスパムメールを配信することで、スパム送信者（スパマー）は考える余裕を与えさせないソーシャルエンジニアリング効果を狙ったものと推測されます。図3 事例1：税制に関する政府機関を装ったスパムメール記載された悪意ある電話番号へ誘導しています。　IRSは電子メールによる通知は行わないとして繰り返し注意を呼びかけています。　仮に信頼に足りる内容が電子メールに記載されてあったとしても、自ら正規サイトへアクセスし、メールで連絡された事実があるかどうか確認することがこの種の攻撃に対して有効です。　米国税金還付情報はウイルス拡散手段としても悪用が報告されています。2008年4月9日に確認されたのが、「TROJ_DELF.HAV」であるMicrosoft Word文書を添付したスパムメールです。　同事例においては、メールの件名に信頼性を高める工夫が確認されています。 Re:tax contract for [会社名], Inc.（訳：[会社名]社における税契約）図4 IRSを詐称するスパムメールに名づけられていた件名　標的とする企業にあわせて、件名の[会社名]箇所を変更して配信されていたことが確認されています。　メールの信憑性を判断する手法の一つとして、パーソナライゼーション（個人の特定）有無を確認することが挙げられます。今回の事例はその裏をかいた手法といえます。　組織名は容易に詐称できるパーソナライゼーションです。また、規模の大きな組織では、顔が見えない相手とのコミュニケーションが必要とされることもあるかと思います。今回の事例を通じて、詐称に強いポリシー（パーソナライゼーションの判断基準）作りと、その啓蒙活動を進めていくことが有効な対策になると思われます。図5 事例2：税制に関する政府機関を装ったスパムメール添付ファイル「incomplete_contract.doc」はウイルス「TROJ_DELF.HAV」。 * 参考情報1. TrendLabs Malware Blog「Phishers Raise Their Voices」 * [...]

イタリアを標的とした大規模な正規サイトに対する改ざん

2008-05-04T00:28:29Z

2007年6月、イタリアにホスティングされている1万以上の正規サイトが改ざんされる大規模攻撃を確認いたしました。これまでに見られないケタ違いの改ざんサイトの増加に筆者は攻撃動向の大きな変化を感じました。あれから1年経過しようとしています。悲劇が再び現実のものになろうとしています。　TrendLabsは2008年5月2日 12:30（GMT）、イタリアにホスティングされている複数の正規サイトで改ざん被害が急増していることを確認いたしました。攻撃者は再び、第一言語をイタリア言語とするインターネットユーザを標的に攻撃を仕掛けていると推測されます。　今回は、再び発生したイタリアを標的とした、大規模な正規サイトに対する改ざん攻撃について分析を行っていきます。 ■改ざんと不正JavaScript、IFRAMEタグによる攻撃フロー　改ざんされたウェブサイトでは、悪意あるサイトのURLへ転送するJavaScriptコード（「JS_AFIR.A」として検出）が仕掛けられています。なお、「Webレピュテーションサービス」を含む製品をご利用いただいている場合、同機能によって、2008年4月27日より接続は拒否されています。 http://{BLOCKED}f.com/cgi-bin/index.cgi?grobin 図1 「JS_AFIR.A」によって転送されるURL 同URLへの接続は「Webレピュテーションサービス」によって、拒否されます。　「JS_AFIR.A」には環境を確認する機能が備わっています。ウイルスはMicrosoft Internet Explorer のバージョンと言語環境（イタリア言語）であることを確認します。同機能から標的攻撃であることが推測されます。　「JS_AFIR.A」の転送先である悪意あるサイトでは、IFRAMEタグの埋め込みが行われていることを確認しています。これにより、更なる悪意あるサイトへの転送されます。 http://{BLOCKED}r.com/cgi-bin/index.cgi?grb&js=1 図2 転送先に仕掛けられているIFRAME攻撃による転送　IFRAMEタグの脅威とは、隠ぺいにあります。ウェブページ上には直接見えない形でコンテンツ、すなわちウイルスの埋め込みが行われます。　本来、IFRAMEタグはブラウザでウェブページを表示させる際に、画面を複数に区切り（フレームを作成し）、それぞれのフレームに別のウェブページを表示させるために用意されている機能です。　攻撃者は1つのウェブページに複数サイトのウェブページが表示できるという機能に注目し、フレームのサイズを幅0、高さ0にし、直接見えない形で悪意あるサイトに仕組んだウイルスの表示を実現させています。　前述の2つの悪意あるサイトはそのIPアドレスから、カルフォルニア、サンディエゴにホスティングされているウェブサーバであることが確認されています。　悪意あるサイトの同一ドメインより、「TROJ_SINOWAL.CB」のダウンロードが確認されています。　また、「TROJ_SINOWAL.CB」は「TROJ_SINOWAL.CI」をドロップし、自身の活動を隠ぺいするため、ルートキットコンポーネントを感染コンピュータへ展開します。　同ルートキットコンポーネントは、ウイルス対策ソフトウェアによる検出、その復旧を困難なものにするため、MBR（マスターブートレコード：ハードディスクの先頭セクタ）に感染することを確認しています。　多くのウイルス対策ソフトウェアでは、アプリケーションがファイルをディスクから読み取る際に使用されるドライバ「DRIVER.SYS」を監視することでウイルスを検出する技術を採用しています。　攻撃者はこの仕組みを想定し、MBR領域に感染するルートキットコンポーネントの採用に至ったものと推測されます。　今回の攻撃フローについて図解しました。図3 イタリアを標的とした大規模改ざんと不正JavaScript、IFRAMEタグによる攻撃フロー　現時点で一連の攻撃には、2つの形態が確認されています。難読化されたスクリプトによって悪意あるサイトに転送非難読化状態のIFRAMEタグによって、難読化スクリプトと同様に悪意あるサイトに転送図4 現在確認されている攻撃形態　一連の攻撃は、イタリア国内のあるプロバイダにホストされているウェブサーバに被害が集中していることが確認されています。それらはいずれも正規のウェブサイトです。 ■改ざんが確認されている主要な正規サイトジョニー・デップ（Johnny Depp：米国俳優）のファンサイトモニカ・ベルッチ（Monica Bellucci：イタリア女優）の公式サイトイタリアメルセデス・ベンツクラブ（メルセデス・ベンツ公認）サイトパール・ジャム（Pearl Jam：米国ロック・バンド）のファンサイトサブリナ・サレルノ（Sabrina Salerno：：イタリア歌手）の公式サイト図5 事例：モニカ・ベルッチ（Monica Bellucci：イタリア女優）の公式サイト図6 事例：イタリアメルセデス・ベンツクラブ（メルセデス・ベンツ公認）サイト図7 事例：サブリナ・サレルノ（Sabrina Salerno：：イタリア歌手）の公式サイト ■攻撃に対する対応　トレンドマイクロでは、一連の攻撃脅威から保護する技術を既に投入しています。　「Webレピュテーションサービス」では、2008年4月27日より当該サイトを悪意あるページとしてその接続を拒否する機能を提供しています。 ■Webレピュテーションサービスの搭載製品製品名対策場所 InterScan Gateway Security Appliance ゲートウェイ（アプライアンス） InterScan Web Security Appliance ゲートウェイ（アプライアンス）ウイルスバスターコーポレートエディションサーバ／クライアントウイルスバスタークライアント ※InterScan Web Security Suiteは次期バージョンで対応予定です。※製品によって、対応している機能が異なります。　「ルートキットバスターバージョン 2.2 Build 1014」では、一連の攻撃に悪用されているルートキットコンポーネントの検出に対応しています。図8 ルートキットバスターのバージョン確認画面　正規サイトが改ざんされるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころといえます。現時点において、標的はイタリアではありますが、日本に波及する可能性は否定できません。　ゴールデンウィークの半ば、セキュリティ対策ソフトウェアの状態を最新にし、引き続き安全なインターネット環境でお楽しみください。 ■関連情報 TrendLabs Malware Blog：「One Year Later, Italian Job Still Working Overtime」セキュリティ動向：「Webからの脅威：攻撃例の紹介」 Trend Micro Security Blog : 「ヨーロッパで大規模な「Webからの脅威」」（2007年06月18日付け）トレンドマイクロのウイルス解析/防御技術「Webレピュテーションサービス」「ルートキットバスター」【訂正と追記】 2008/05/09 05:12 ウイルス名の改称に伴い、修正いたしました。「BKDR_SINOWAL.CF」は、ウイルスパターンファイル 5.254.06より「TROJ_SINOWAL.CI」に改称

大衆化しているコンピュータ犯罪

2008-04-24T23:05:01Z

国内外において、不正アクセスによる個人情報の漏洩・流用・改ざん等が立て続いて報告されています。　従来、不正アクセスにより得られた個人情報の多くは、運営期間の短い掲示板やIRCなどいわゆる闇市場を通じて取引されていることが報告されています。　しかしながら昨今、こうした流れとは別に、表舞台とも言えるサイトを通じての不正取引が確認されています。筆者はこのような取引の傾向を「犯罪の大衆化」の兆しであると分析しています。　今回は、2008年2月に本ブログでも紹介させていただきました「韓国のハッキング被害事例」に関する追跡調査より確認された、「犯罪の大衆化」現状についてレポートさせていただきます。 ■流出した個人情報の数は1,000万件以上　韓国最大手のネットオークション会社「株式会社オークション（www.auction.co.kr）」（以下 Auction社）にて発生した個人情報の漏洩は、その後の調査により、1081万人に上ることが明らかにされています。Auction社の会員数は1800万人を越えると発表されているため、半数以上の会員情報が流出被害に遭遇したこととなります。　韓国国内の著名サイトにおける最大規模の情報漏洩事件発生とその詳細が明らかになったことにより、社会不安は今なお高まっている状況です。損害賠償請求訴訟を提起しようとするグループが現れるなどより具体的な行動への発展にまで至っています。 ■ポータルサイトで告知された個人情報売買　こうしたさなか、中国国内のインターネット・ポータルサイト「O2SKY」上のフリーマーケットページにて、「ネイバー（* 韓国の著名ポータルサイト）、Auction社のIDを安値で売ります」という件名の投稿が3月29日 17:51、4月11日 16:33の2度に渡り掲載されました。同書き込みには、販売者のメールアドレス、電話番号が掲載されていることを確認しています。図1 フォーラム上に投稿されていたIDを安値で売りますとの投稿　O2SKYは、中国・吉林省の延辺（ヨンビョン）網公社が運営するインターネットポータルサイトです。中国に拠点を置く会社ではありますが、延辺という地理的特性から、第一言語を韓国語とするインターネットユーザを対象として配信された情報であると推測されます。　同サイトの投稿情報について更に分析した結果、不正アクセスを勧誘するような投稿についても確認しています。不正アクセス技術をもった技術者に対し、高収益を保証し、雇用しようとする広告です。Webサイト、データベースへの不正アクセス技術をもつ技術者を雇用する意思があることを宣言しています。図2 不正アクセス技術をもった技術者を高収益で雇用しようとする広告 ■大衆化しているコンピュータ犯罪　先に紹介した2つの事例は、組織化されたプロの犯罪者による犯行とは推測できない痕跡が見られます。　不特定多数の人が閲覧しうるフォーラム上にて、自身の特定につながるような情報を堂々と掲載している点がその根拠となります。　では、どのような人物がこのような投稿を行っているのでしょうか。いくつか可能性が推測されます。スクリプトキディ（Script Kiddie）と呼ばれるような公開されているクラックツールを使用して得た個人情報を販売している人物。実際に不正アクセスを行った人物（高度技術をもつ犯罪者）から譲り受けた情報を転売しようとしている人物。報道から情報を得て、実際に販売する情報がないにもかかわらず販売している人物。報道から犯行を思いつき、模倣犯になろうと計画している人物。　潜在的脅威として無視できないのが、スクリプトキディの存在です。公開されている不正アクセス技術は年々高度化していっています。技術革新によって、人の手による不正アクセス、自動化された不正アクセスの区別は困難になっていくことが予測されます。　また、今は模倣犯でしかないスクリプトキディ、いわばアマチュアである彼らも、不正アクセスを繰り返し試みていく過程で、高度技術を積極的に吸収しプロフェッショナル化していく道も予測されます。 ■犯罪の大衆化に対する防衛術　「犯罪の大衆化」に対する防衛術として、「倫理あるハッカー（Ethical Hacker）」を雇用し、組織におけるセキュリティ強化に尽力させようという動きがあります。これは、攻撃者がどういう思想、視点、手法により攻撃しかけてくるのか知ることで、はじめて見えてくる対処法に対し、手を打とうとするセキュリティ戦術といえます。　「知彼知己、百戰不殆（彼を知り、己を知れば、百戦して殆うからず）」。孫子の兵法「謀攻篇」の行（くだり）です。孫子はどうすれば戦いに勝ち、どうすれば負けるかを法則としてまとめました。　「デジタル情報を安全にやり取りできる世界」を実現する戦いを制するため、あなたの組織では、どのような一手を防衛術として打ちますか。 ■関連情報 Trend Micro Security Blog : 「韓国のハッキング被害から学ぶセキュリティ対策」（2008年02月18日付け） TrendLabs Malware Blog : 「Barefaced Cyber Crime」（2008年05月01日付け）

2008年3月度アプリケーションの脆弱性に関するラウンドアップ

2008-04-15T03:54:05Z

この投稿では、2008年3月度に観測されたアプリケーションの脆弱性を悪用したウイルスまたは攻撃コードに対する、ベンダ発表とトレンドマイクロ製品による緩和策についてお知らせします。 ■3/1(土)～3/31(月) のセキュリティ関連情報　目次 WordPress 2.3.3 に任意の JavaScript を挿入される脆弱性 Microsoft Jet Database Engine の脆弱性によりリモートで任意のコードを実行される脆弱性再掲載：Microsoft Excel におけるメモリ破壊の脆弱性再掲載：2Wire製ルータにおけるクロスサイトリクエストフォージェリの脆弱性 ■WordPress 2.3.3 に任意の JavaScript を挿入される脆弱性攻撃タイプベンダ発表（発表日：—-/–/–）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動 wordpress.org N/A 現時点における公式発表なし N/A N/A トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/04/14時点）ウイルスパターンファイル N/A コメント登録機能の一時的な無効化を推奨します。また、WordPressと併用するサードパーティプラグ印の信頼性確認を推奨します。スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-03-31 TrendLabs Malware Blog「WordPress 2.3.3 Invaded by Wily JavaScript」目次に戻る ■Microsoft Jet Database Engine の脆弱性によりリモートで任意のコードを実行される脆弱性攻撃タイプベンダ発表（発表日：2008/03/22）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動マイクロソフト株式会社 (950627) Microsoft Jet Database Engine (Jet) の脆弱性によりリモートでコードが実行される CVE-2008-1092 9.3（危険）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/04/14時点）ウイルスパターンファイル 5.183.00 TROJ_EMBED.AA TROJ_MSJET.C スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-03-27 TrendLabs Malware Blog「Zero-Day Exploits Target Microsoft Jet Flaw」目次に戻る ■再掲載：Microsoft Excel におけるメモリ破壊の脆弱性攻撃タイプベンダ発表（発表日：2008/01/16）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動マイクロソフト株式会社 (947563) Microsoft Excel の脆弱性により、リモートでコードが実行される CVE-2008-0081 10.0（危険）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/04/14時点）ウイルスパターンファイル 5.144.11 TROJ_MDROP.AH スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-03-12 マイクロソフト「セキュリティ情報 MS08-014 - 緊急」 2008-04-08 Trend Micro Security Blog [...]

スパムマップ配信国ランキング（2008年3月）

2008-04-08T00:03:52Z

スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。 ■集計対象期間：2008年3月1日～2008年3月31日順位（平均）国名世界に占める割合（平均）先月割合（平均）先月順位先月順位比【1位】アメリカ 14.33% 14.37% 【1位】 → 【2位】ロシア 7.92% 8.01% 【2位】 → 【3位】ブラジル 5.55% 5.66% 【3位】 → 【4位】イタリア 5.70% 5.42% 【4位】 → 【5位】ポーランド 5.32% -.–% 【9位】 ↑ 　3月度は、上位5カ国からのスパムメールの発信量が全流通量の約38.8％を占めています。　上記の5カ国に、6位にフランス（先月【7位】）、7位に中国（先月【11位】）、8位にイギリス（先月【5位】）、9位にトルコ（先月【7位】）、10位にスペイン（先月【8位】）、が続いています。　1、2月度と同様に、ワースト1のアメリカをワースト2のロシアが追い続ける構図が続きました。　今月は5位以下のランキングに大きな変動が見られます。2月【9位】のポーランドは4ステップアップの【5位】に。2月【11位】の中国も同じく4ステップアップの【7位】にランキングされています。　依然と上位2カ国からの発信量は高いものの、急激な増加が見られる発信国についても、その警戒を強めていく必要があるといえます。図1 2008年3月度におけるワースト5配信国＋中国のスパム配信率推移なお、10位以下の場合、スパム配信率のデータプロットは行われていません。 ■2008年3月度のスパムメールハイライト　目次　ここでは、2008年3月にTrendLabsにて確認したスパムメールの事例をご紹介します。捏造ニュースを報じるスパムメールでトロイの木馬に誘導罪悪感、恥じらいを嘲笑う「偽セキュリティ対策ソフト」スパムメールにて北京五輪関連のExcelファイルを装ったウイルスを拡散無料スクリーンセーバ配布と偽り、ワーム配布を行うサイトの広告スパムメール「the King of Spam」が消えても減ることのないスパムメールスパムメールにて受取人のスケジュールを予約オンラインデートサービスに関するスパムメール中国発、携帯電話ユーザ2億人の個人情報が掌握され配信されるスパムメール Googleの広告サービス「AdWords」を詐称したスパムメールオンライン決済サービスを繰り返し標的とするスパムメール ■捏造ニュースを報じるスパムメールでトロイの木馬に誘導　2008年3月1日に確認されたのが、「カストロ国家評議会議長重態」捏造ニュースで好奇心を煽り、ウイルス感染サイトへ誘導するスパムメールでした。　キューバの最高指導者フィデル・カストロ（Fidel Castro）国家評議会議長（81）は2月19日、党機関紙グランマ（Granma）のウェブサイトを通じ、国家元首に当たる議長職と軍最高司令官を退く意向を表明しました。　約半世紀続いた「カストロ時代」の幕がウェブサイトを通じて閉じられたことに、あらゆる情報の伝達がアナログからデジタルに移行していることを改めて感じました。　この発表以前に、カストロ氏はすでに健康上の問題から議長職を暫定委譲していました。このため、その引退に当たってはさまざまな憶測も報じられています。　確認されたスパムメールはその憶測に便乗し、情報を捏造したものでした。メールの件名にはスペイン語で「Mala noticia（日本語訳：訃報）」と書かれています。図2 カストロ国家評議会議長重態の捏造ニュースを報じるスパムメール　悪意あるユーザはトロイの木馬「TROJ_AGENT.FRV」を設置したウェブサイトへ誘導するために、安置されているカストロ氏の側でベネズエラのチャベス大統領が嘆くビデオがあると、URLのクリックを促しています。　捏造ニュースを報じるスパムメールによるウイルス感染サイトへの誘導攻撃は続きました。　2008年3月7日に確認されたのが、3月1日に発生したコロンビア空軍が左翼ゲリラ「コロンビア革命軍（Revolutionary Armed Forces of Colombia、FARC）」の潜伏場所を空爆し、FARCナンバー2のラウル・レジェス（Raul Reyes）司令官を殺害した事件に便乗するスパムメールでした。図3 エル・ティエンポ紙が報じるニュースであるかのように装ったスパムメール　スパムメールは、コロンビアの新聞紙であるエル・ティエンポ（EL TIEMPO）紙からの情報であるかのように装い、ウイルス感染サイトへ誘導しています。情報を信頼し、そのリンクをクリックした場合には、「TROJ_AGENT.LAM」のダウンロードが行われ、ウイルス感染症状が発症することになります。　いずれの事例もその手口は先月の「「月食ビデオ」の案内で知的好奇心を煽る」と同様です。また、情報の信憑性を高めるため、実際の事件背景を詳しく分析し、一見すると掲載情報の真偽について判定することが困難な作りとなっています。　悪意あるユーザが、手間をかけ、捏造ニュースをウイルス感染サイトへの誘導材料として利用する背景には、ユーザの動向変化を敏感に捉えた結果であると推測されます。この種の誘導手法の成功率の高さを裏付ける調査結果も発表されています。　米インターネットマーケティング調査会社のヒットワイズ社（Hitwise）は、時事問題について知りたいときアメリカ人が訪れる主なインターネットサイトが検索エンジン、ビデオ共有サイト、そしてゴシップサイトであるとの調査結果を発表しています。　また、米Pew Internet & American Life Projectは、新聞やTVといった既存メディアよりも、インターネットを主要なニュースソースとして、チェックしているユーザが増えているとの調査結果を発表しています。　これら調査結果から、ユーザは既存メディアとは異なる角度の情報を求めており、その結果、ユーザ参加型のニュースサイトなどに期待が高まっていることが推測できます。　ユーザ参加型ニュースサイトはユーザの期待に応える一方で、真偽が十分に検証されていない情報や、時にはウイルス誘導サイトのように危険を伴う情報が公開されていることがあります。　こうした危険性を理解したうえで、新しいメディアの利用を検討していく必要があるといえそうです。 * 参考情報1. TrendLabs Malware Blog「Cuba’s Castro: Critical Condition to Concocted Casualty」 * 参考情報2. GRANMA「Mensaje del Comandante en Jefe」 * 参考情報3. TrendLabs Malware Blog「FARC Leader Killing Leads to Farce Email Messages」 * 参考情報4. Hitwise「News and Media Traffic to Video [...]

2008年2月度アプリケーションの脆弱性に関するラウンドアップ

2008-03-17T01:06:30Z

この投稿では、2008年2月度に観測されたアプリケーションの脆弱性を悪用したウイルスまたは攻撃コードに対する、ベンダ発表とトレンドマイクロ製品による緩和策についてお知らせします。 ■2/1(金)～2/29(金) のセキュリティ関連情報　目次複数のVMware製品にディレクトリトラバーサルの脆弱性 Adobe ReaderおよびAdobe Acrobatの検索パスの不備による任意のコードを実行される脆弱性 Yahoo! Music Jukeboxの複数のActiveXコントロールにバッファオーバーフローの脆弱性 Lianzong Gameプラットフォーム（Ourgame GLWorld 2.x）にバッファオーバーフローの脆弱性 SkypeのSkypeFindサービスにローカルゾーンでのスクリプト実行を許す脆弱性 MySpaceやFacebookで使われているUploader ActiveXコントロールにバッファオーバーフローの脆弱性 ■複数のVMware製品にディレクトリトラバーサルの脆弱性攻撃タイプベンダ発表（発表日：2008/02/27）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動ヴイエムウェア株式会社 1004034 Critical VMware Security Alert for Windows-Hosted VMware Workstation, VMware Player, and VMware ACE CVE-2007-1744; CVE-2008-0923 6.3（警告） 6.9（警告）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/03/17時点）ウイルスパターンファイル N/A 共有フォルダ機能を無効にするなど、製造元が推奨する回避策に従うことを推奨します。スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-02-28 TrendLabs Malware Blog「VMWare Bug Provides Escape Hatch」目次に戻る ■Adobe ReaderおよびAdobe Acrobatの検索パスの不備による任意のコードを実行される脆弱性攻撃タイプベンダ発表（発表日：2008/02/07）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動アドビシステムズ株式会社 APSA08-01 Security update available for Adobe Reader and Acrobat 8 CVE-2008-0655 9.3（危険）トレンドマイクロ製品による脆弱性緩和策　ソリューションバージョン検出名、検出別名（2008/03/17時点）ウイルスパターンファイル 4.991.00 EXPL_PIDIEF.O スパイウェアパターンファイル N/A N/A ネットワークウイルスパターンファイル N/A N/A セキュリティ診断パターンファイル N/A N/A 関連する記事一覧 2008-02-15 TrendLabs Malware Blog「Adobe Exploit Overtakes Patch」目次に戻る ■Yahoo! Music Jukebox の複数の ActiveX コントロールにバッファオーバーフローの脆弱性攻撃タイプベンダ発表（発表日：2008/02/05）脆弱性情報会社名識別番号情報のタイトル CVE（JVN）深刻度受動 Yahoo, Inc. - Yahoo! Music [...]

スパムマップ配信国ランキング（2008年2月）

2008-03-10T03:52:43Z

スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。 ■集計対象期間：2008年2月1日～2008年2月29日順位（平均）国名世界に占める割合（平均）先月割合（平均）先月順位先月順位比【1位】アメリカ 14.37% 15.91% 【1位】 → 【2位】ロシア 8.01% 7.60% 【2位】 → 【3位】ブラジル 5.66% 5.36% 【4位】 ↑ 【4位】イタリア 5.42% 5.98% 【3位】 ↓ 【5位】イギリス 4.48% -.–% 【8位】 ↑ 　2月度は、上位5カ国からのスパムメールの発信量が全流通量の約38％を占めています。　上記の5カ国に、6位にフランス（先月【7位】）、7位にトルコ（先月【5位】）、8位にスペイン（先月【10位】）、9位にポーランド（先月【6位】）、10位にドイツ（先月【9位】）、11位に中国（先月【12位】）、12位に韓国（先月【11位】）、が続いています。　また、先月より引き続き、アメリカはワースト1にとどまり続けました。図1 2008年2月度におけるワースト8配信国のスパム配信率推移 ■2008年2月度のスパムメールハイライト　目次　ここでは、2008年2月にTrendLabsにて確認したスパムメールの事例をご紹介します。 22億通もの迷惑メールを送信した男性を逮捕殺人代行業者が身代金を要求そのフィッシング警告、本当に信頼できますか。やっぱり狙われたバレンタインデーメールと電話を併用したビッシング攻撃「月食ビデオ」の案内で知的好奇心を煽る税の還付金を理由とした詐欺に注意 ■22億通もの迷惑メールを送信した男性を逮捕　2006年5月から2007年12月の約1年半の間に、およそ22億通もの迷惑メール（スパムメール）を送信した男性が逮捕されました。逮捕容疑は、特定電子メール法（特定電子メールの送信の適正化等に関する法律）違反。　この容疑者は、送信元のアドレスを偽り、出会い系サイトや競馬情報サイトなどの広告・宣伝メールを合計9回送信し、その合計は22億通を越えるとのこと。スパムメールの送信には、送信者情報を架空アドレスに書き換えたうえで、配信を行ったとのこと。　容疑者はインターネットを通じて、送信先アドレス約80万件を10万円で購入し、送信相手がサイトに登録すれば、1件ごとに1,500～2,000円の成果報酬を受け取り、「広告主から約2,000万円の謝礼を受け取った」と供述しています。　初期投資の少なさに対する、利益率の高さから、スパム配信ビジネスの拡大危険性が推測されます。　日本国内では、2002年に「特定電子メールの送信の適正化等に関する法律」が制定され、迷惑メール送信業者が摘発されたのはこれが4例目にあたります。 * 参考情報1. インターネット・セキュリティ・ナレッジ「22億通もの迷惑メールを送信した男性を逮捕」 * 参考情報2. 警視庁ハイテク犯罪対策総合センター「ハイテク事件簿：発信元を偽り、迷惑メール約22億通送信した男を逮捕」（2008年2月6日付け）目次に戻る ■殺人代行業者が身代金を要求　2008年2月10日に確認されたのが、殺人代行業者が身代金を要求するというスパムメールでした。　この種のスパムメールは、2007年4月にもその流通が確認されています。今回はその第2波と呼べるものでした。　凶悪犯罪活動など、世界的に見られる政治・社会情勢の不安が、このようなスパムメールの信憑性を高めるに結果につながっているものと推測されます。図2 殺人代行業者が身代金を要求するスパムメール　不安を煽り、金銭を要求する手口は古典的なものです。しかしながら、その不安に駆られ金銭を支払う被害事例は後を絶ちません。　このようなメールを例え受信したとしても、毅然とした態度で拒否し、公的機関に相談を行ってください。 * 参考情報1. TrendLabs Malware Blog「“Live or Die” - Part 2」目次に戻る ■そのフィッシング警告、本当に信頼できますか。　2008年2月11日に確認されたのが、新たな手口の「フィッシング詐欺」メールでした。　「フィッシング詐欺」とは、悪意あるユーザが金融機関などからのメールを装い、住所、氏名、口座番号、クレジットカード番号、パスワードなどの個人情報を不正入手する手口です。近年は国外のみならず、日本国内においてもその脅威が高まっています。　こうした最中、新手の詐欺手法が確認されました。　偽メールには、「『ユーザー情報を更新しないと口座を閉鎖する』といったメールはフィッシング詐欺なので、相手にしないように」との警告文が記載されています。図3 英NatWest銀行からの警告文かのように詐称されたフィッシングメール　「援助」を申し出て、心理的な隙を作りだし、最終的に標的の個人情報の漏洩を狙うことは悪意あるユーザの常套手段となっています。　フィッシングからの攻撃を身を守る対策として、4つ紹介させていただきます。メールで送られてくるウェブサイトのリンクは極力クリックしない。対象のサイトへ直接訪問し確認を行う。利用対象の金融機関サイトにアクセスできていることを、毎回ブラウザのアドレスバーより確認する。金融機関のサイトへ確実にアクセスするため、アドレスバーにアドレスを直接入力または、ブラウザのブックマーク機能を利用する。 Webサイトの安全性を評価する「Trend プロテクト」を利用する。 * 参考情報1. Trend Micro Security Blog : 「Phishing vs. Phishing」目次に戻る ■やっぱり狙われたバレンタインデー　2008年2月13日に確認されたのが、かねてより懸念されていたバレンタインデーのグリーティングカードを装った、ウイルス感染サイトへ誘導するスパムメールでした。図4 不正サイトからのダウンロード画面例　もはや、解説するまでもなく、オンライングリーティングカードはメールを介したウイルス拡散の代表的な手口として知られています。　グリーティングカードやオンライン写真アルバムなど、ごく親しい友人や家族とやりとりされるデジタル情報は利用者の警戒心をゆるめます。　こうした攻撃は近年、インターネットユーザの行動の地域化を受け、地域特有のイベントを標的とした攻撃も報告されています。　2007年9月14日付けの中国日報では、ウイルスに感染した中秋節を祝う電子版「月餅（moon cakes）」グリーティングカードの流通が報じられています。　日本国内においても、同様に国内独自のイベントを標的とした攻撃の発生が予測されます。 * 参考情報1. Trend Micro Security Blog「やっぱり狙われたバレンタインデイ」 * 参考情報2. TrendLabs Malware Blog「Storm Sure Loves Everybody」 * 参考情報3. 中国日報「Experts warn of infected e-cards」（2007年9月14日付け）目次に戻る ■メールと電話を併用したビッシング　2008年2月20日に確認されたのが、メールと電話を併用したビッシング（vishing：voice phishing）と呼ばれる新たな手口のスパムメールでした。　小規模金融機関（KFCU：Keesler Federal Credit Union）のサイトに、フィッシング詐欺に関する注意喚起が掲載された事実を悪用した攻撃でした。　2月11日の手口と同様に、「援助」を申し出ることで、心理的な隙を作りだしています。　「安全のためあなたの口座を一時的に停止しました。この問題を解決するため、KFCUにご連絡ください」とメールで通知し、文末に記載された悪意ある電話番号へ誘導しています。図5 KFCUからの警告文かのように詐称されたフィッシングメール　悪意あるユーザはメールの信憑性を高めるため、メール本文中のURLすべてを正規サイトのものを使用しています。　偽りの電話番号へかけると自動応答、すなわちボイスメール（留守番電話）となります。ボイスメールでは、個人情報の開示を電話で求めることは無いことを宣言した上で、口座番号と暗証番号を聞き出そうとします。　偽メール、偽サイトに対する警戒ももちろんですが、今回の事例から偽のボイスメールに対する警戒も必要であるといえます。　金融機関各社は、キャッシュカード裏面に「お問い合わせ先」を掲載しています。こうした、確実に信頼のおける電話番号へ連絡をすると共に、公的証明書の要求無く、重要情報を開示すべきではありません。 * 参考情報1. TrendLabs [...]

インターネット検索エンジンから流出する機密情報

2008-03-03T06:39:02Z

2月25日、「中国雅虎（Yahoo!）」が提供するメールサービスにおいて、個人情報の一部が不特定多数の人によりアクセスが可能な状態であったことが報じられています（参考情報1）。　今回の被害にて注目すべき点は、被害発覚に至った経緯です。　被害はインターネットのサービスとしてもはや欠かせないものと進化した「検索エンジン」により、発覚しています。図1 中国市場の検索エンジン「搜狗（Sogou）」により「中国雅虎（Yahoo!）」メールサービスの個人情報漏洩発覚（出典：TechWeb） ■検索エンジンの情報収集方法　脆弱な状態のサーバ発見に至ったカギは、検索エンジンによる情報収集方法にあります。　注目するのは、ロボット型と呼ばれる情報収集手法です。図2 ロボット型検索エンジンの仕組み　ロボット型検索エンジンはロボットまたは、クローラーやスパイダーと呼ばれるプログラムがインターネット上のWEBページを巡回、データを収集し、データベースに蓄積していきます。　プログラムが人の手を介すことなく収集される情報には、ノイズとも言える雑多な情報が数多く含まれています。この雑多な情報の中には時にセンシティブな情報が含まれていることがあります。 ■ノイズから抽出されるセンシティブな情報　便利な道具は使う人次第で道具にも凶器にもなります。悪意あるユーザは強力な情報収集力をもつ、検索エンジンに注目しています。　読者の中にも「自分自身の名前」を検索キーワードとして、検索エンジンに入力した経験がある方がいらっしゃるのではないでしょうか。中には、検索結果として意外な情報が出力され、驚いた方もいるのではないでしょうか。　悪意あるユーザも同じ着想で、偵察活動を行います。巧みな彼らは、雑多な情報から必要な情報のみ抽出するフィルタの作成方法を知っています。彼らはWEBサイトの構造パターンを熟知した上で、予測し、検索補助コマンド（参考情報2、参考情報3）を使用することで絞り込みを行っています。コマンド検索内容 site: 特定のドメインのみを検索対象に指定 link: 指定したページにリンクするページのみを検索対象に指定 cache: 検索エンジンにキャッシュされているページを表示（Googleにて利用可能） filetype: ファイルの拡張子を指定し、特定の拡張子のみを検索対象として指定（Googleにて利用可能） filter:blog ブログやブログの記事を除いて検索結果を確認（Yahoo!にて利用可能）　検索補助コマンドを使うことで、単純な単語よりもはるかに強力なフィルタ効果を得ることができます。「中国雅虎（Yahoo!）」の事件においても、「site:」コマンドを使用した絞り込みにより、被害発覚に至ったことが報じられています。　このように、検索エンジンのデータベースからノイズを取り除き、センシティブな情報を抽出するテクニックは、この分野の第一人者であるJohnny Long氏により、「GHDB：Google Hacking Database」として公開され、注意喚起が行われています。ここでは、公開されているカテゴリーのいくつかを紹介します。バナー情報から既知の脆弱性を抱えているサーバを探し出すエラー情報からサーバに登録されているサービスを探し出すユーザ名、パスワードなどを探し出すログインページを探し出すファイアウォールやIDSなどセキュリティ製品のログを探し出すセンシティブな情報を格納しているディレクトリを探し出すオンラインショッピングの情報（顧客データ、クレジットカード情報など）を探し出すネットワーク接続されているプリンターやカメラなどのハードウェアを探しだす　これらカテゴリからも、検索エンジンからセンシティブな情報にアクセスできる可能性を推測できるのではないでしょうか。 ■ウイルスへの検索エンジンハッキング実装　検索エンジンを利用した偵察行為を「検索エンジンハッキング」または「Googleハッキング」と呼んでいます。2003年頃より、その危険性が指摘され始め、年々その勢いは高まっています。　検索キーワードを工夫するだけという手軽さ、増え続ける情報に追いつくことのない管理者側の管理体制などがその要因と推測されます。　ハッキングテクニックの多くは、ウイルスに実装されることがあります。「検索エンジンハッキング」もその例外ではありません。　2004年にマスメーリング型ウイルスである「WORM_MYDOOM.M」が、自身の拡散先（メールアドレス）を探索する方法として、複数の検索エンジンを使用していることが確認されています。　公開Webサーバの調査などを実施している英国のインターネット・サービス会社ネットクラフト（Netcraft）の発表によれば、流行当時、各検索サイトの応答速度に問題を及ぼすほどの検索クエリが発行されたことが報じられています。　ウイルスは更に進化していきます。同年の12月には「WORM_SANTY.A」が確認されています。同ウイルスはサーバソフトウェアPHP Bulletin Board（phpBB）の脆弱性を突いて拡散するものでした。脆弱なバージョンを使用しているサイトを探し出すために、Googleを悪用していることを確認しています。 ■グーグルが進めるハッキング対策　検索エンジン各社は、自社の技術が悪用されていることを好ましく感じていません。特に、ロボット型検索エンジンの雄である米グーグル社は対策に力を入れています。　グーグル社では過去報告されている検索エンジンを悪用した攻撃手法をパターン化し、一致した振る舞いが確認された場合、次のようなエラー画面を表示させ、認証要求を行うことで対策を講じています。人の手による検索であればCAPTCHA認証（画像にて表示された文字列の入力）により、エラーを回避することができます。図3 グーグル社が実施している検索エンジンハッキング対策　もし、読者の方でこのような画面が表示された際には、ウイルス対策ソフトまたは、弊社の「オンラインスキャン」にて安全性の確認を行うことをお勧めします。 ■WEB管理者に求められる対策　WEB管理者にとって、管理するサイトを検索結果の上位に表示させることは大きな課題であると思われます。検索エンジンハッキングに対する対策は、時に検索結果のランキングに影響を与えかねるため、慎重な対策が必要となります。　最も効果的な対策は「必要のないファイルをWEBサーバから除去する」ということです。公開期限の切れた情報をサーバから除去することなく、リンクの除去のみで済ましているケースが見られます。このような方法では、検索エンジンハッキングの手法により本来閲覧を望まない情報が特定される場合があります。公開データの取り扱いについて、適切なポリシーを策定し、遵守する必要があります。　WEBアプリケーションにおいては、適切なセキュリティ設定がなされていない場合、意図せず情報が漏洩する可能性があります。これまで、日本国内においても、懸賞サイトやアンケートサイトなどにおいて、セキュリティ設定の考慮不足により個人情報が流出した事件が数多く報告されています。　管理者に向けた対策として、3つ紹介させていただきます。「robots.txt」を設置し、ロボットの巡回を拒否する METAタグにより、閲覧に制限をかける監査ツールを利用し、検索エンジンの検索結果を確認する「robots.txt」の設置　次のような内容を記述したテキストファイルを公開ディレクトリの最上位に配置することで、検索エンジンの自動巡回を禁止することができます。 User-Agent: * Disallow: / 図4 「robots.txt」の内容　「User-Agent:」では制限したい検索エンジンを指定することができます。「*」はワイルドカードを意味し、すべての検索エンジンが対象となります。Googleのみを対象とする場合には「Googlebot」、Yahoo!のみを対象とするなら「Yahoo! Slurp」と記載する必要があります。　「Disallow:」は、制限ディレクトリを指定することができます。上記の例では「/」が指すルートディレクトリ以下のすべてのディレクトリやファイルに対するロボットの閲覧を禁止しています。 METAタグによる閲覧制限　HTMLテキスト中の<head>～</head>範囲に以下のようなタグを記載することでロボットの収集を制限することができます。 <head> <meta name=”robots” content=”noarchive”> </head> 図5 METAタグの指定例　「content」属性には、カンマ「,」記号を使用することにより、複数の値を設定することができます。値による効果は下記の表をご確認ください。属性値指定効果 noindex 検索エンジンにインデックスさせず、検索結果に一切表示させない。 nofollow 検索エンジンにそのリンクの価値を消失させる。 noarchive 検索エンジンにページをキャッシュさせない。 nosnippet 検索エンジンに要約文を表示させず、同時にキャッシュも保管させない。（Googleのみに有効） noodp Open Directoryプロジェクトの説明文の引用を行わない。 noydir Yahoo!カテゴリの説明文の引用を行わない。検索エンジンの検索結果を確認　前述の「1.」、「2.」の対策は検索サービス提供者の紳士協定に基づく物です。主要な検索サービスでは、紳士協定が遵守されていますが、完全な物ではありません。　このため、対策の効果を確認する監査テストを行うことが望まれます。「site:」検索補助コマンドにて自社サイトを指定し、表示された検索結果を監査するだけでもその効果は期待できます。　より精度の高い監査を行うには、前日の「GHDB」に記載された検索クエリをカスタマイズし、実施することも有効です。　監査を支援するツールもいくつかリリースされています。先月もハッカーグループの「Cult of the Dead Cow（cDc）」が「Goolag Scan」と呼ばれる一括検索アプリケーションをリリースしています。図6 「Goolag Scan」の実行画面　自社に適したツールを探し出し、効率的に監査を行うことをお勧めいたします。　第2次大戦中トルーマン大統領は「アメリカの秘密情報の95％は公開情報で得られる」と述べています。現代社会でもその状況に大きな変化はありません。悪意あるユーザは、公開情報の丹念な下調べによって、攻撃の下地を作っていくことが知られています。　攻撃の布石となる情報が外部に公開されていないか、この機会に確認してみてはいかがでしょうか。 * 参考情報1. TechWeb : 「搜狗涉嫌泄露用户个人信息雅虎邮箱受到质疑」（2008年02月25日付け） * 参考情報2. Google Help Center : 「Advanced Operators」 * 参考情報3. Yahoo!検索ヘルプ : 「コマンド（link:, site: など）の使い方」 * 参考情報4. johnny.ihackstuff.com : 「GHDB：Google Hacking Database」 * 参考情報5. Netcraft : 「MyDoom Spread Illustrates [...]

韓国のハッキング被害から学ぶセキュリティ対策

2008-02-18T03:07:45Z

2月5日、韓国国内のネットオークションサイトにて、ハッキング被害により個人情報が流出したことが明らかとなりました。　今回は、この事件を振り返り学ぶべき教訓について考えてみたいと思います。 ■ネットオークション　一般消費者の電子商取引市場は年々拡大しています。　経済産業省の「平成18年度電子商取引に関する市場調査」（参考情報1.）によると、日本の消費者向け電子商取引の市場規模は、4兆3,910億円（前年比27.1%増）。この中で特に「消費者間電子商取引市場」いわゆる、ネットオークションと呼ばれる分野に注目が高まっていることが報告されています。　インターネット利用者のうち31.1%はネットオークションの利用経験があると回答しています（総務省「平成18年度版　情報通信白書」：参考情報2.）。図1 ネットオークションの利用状況（総務省「平成18年度版　情報通信白書」より抜粋）　こうした背景には、ネットワークの進展とオークションサイト運営者の努力による、オンライン取引の信頼性向上が寄与しているものと推測されます。 ■韓国ネットオークションサイトのハッキング被害　韓国においても、日本同様にネットオークションが盛んです。1998年にサービスを開始した「株式会社オークション（www.auction.co.kr）」は、会員数1800万人を越えるオークションサイトです。　今回、同サイトにて外部からのハッキング攻撃により、会員の個人情報と払い戻し情報の一部が流出したことが明らかとなっています。図2 ハッキング被害を伝える「（株）オークション」のニュースリリース ■大規模なハッキングも発端は小さな脆弱箇所　公式発表ではハッキングシナリオを公表していません。このため、シナリオの真偽は定かでありませんが、報道機関から漏れ伝わってくる攻撃シナリオは攻撃の原則に則したものでした。　朝鮮日報（参考情報4.）によると、悪意あるユーザが「（株）オークション」の従業員に対し、ウイルスを含むスパムメールの大量配信を実施、開封を行った従業員からユーザID/パスワードを不正入手。それを切り口に個人情報を含むデータベースに対するハッキングが行われたと報じています。図3 悪意あるメールを発端とするハッキング攻撃の概念図　巧みな悪意あるユーザであれば、本来目的とする最重要機密情報（データベース）へアクセスするようなことはありません。組織に存在する小さな亀裂ともいえる脆弱箇所を探し、そこから本来の目的に向けて切り開いていきます。　こうすることで、多段に構成された防御壁を突破し、侵入の痕跡を最小限にすることで、侵入の事実把握を困難なものにします。　このシナリオではスパムメールによって、脆弱箇所の探索が行われています。従業員のリテラシーを信頼した対策に限界があることが見えてきます。　また、別の報道（参考情報6.）では、「SQLインジェクション」の可能性も報じられています。同攻撃手法は2005年に日本国内においても大きな個人情報漏洩被害が報告されています。情報処理推進機構が発表する「情報セキュリティ白書 2006年度版」（参考情報5.）において、2005年セキュリティ10大脅威の第1位として報告されています。日本国内の開発関係者にとっても、その対策に苦慮されている攻撃手法なのではないでしょうか。　「SQLインジェクション」はデータベースと連携するウェブアプリケーションからの命令文において、組み立て方法に十分な考慮がなされていれば防ぐことのできる攻撃手法です。このシナリオも開発工程における小さな考慮不足から大規模なハッキングに至ったといえるのではないでしょうか。 ■心配される二次被害　公式発表によれば、クレジットカード情報、パスワード情報は安全に保護されているとされています。氏名、住民登録番号、メンバーID、住所、電子メール、電話番号といった個人情報が流出の被害対象とされています。　大規模な個人漏洩被害が発生した場合、心配されるのが二次被害です。直接的に金銭につながる情報が流出していないとしても、悪意あるユーザは大量に得た個人情報を悪用し、次のようなことを試みます。攻撃手法詳細 JOEアカウントの特定、侵入「JOEアカウント」とは、ユーザ名とパスワードが一致しているアカウントを指す用語です。昨今のWEBサービスではアカウント作成時にパスワードの強度を確認し、JOEアカウントのような脆弱な登録をブロックしているケースもあります。しかしながら、そうしたチェックが行われていないところでは、いまだ脆弱なアカウントが氾濫しているのが実情です。辞書攻撃ランダムに並べられた数字やアルファベットからなるパスワードを記憶するのは、難しいものです。このため、意味ある情報を組み合わせてパスワードを作成することが多いです。今回漏洩被害が報告されている個人情報は組み合わせの基とする可能性の高い情報です。悪意あるユーザの間では、辞書に載っている言葉を片っ端から試してパスワードを解析するソフトウェアが流通しています。こうしたソフトウェアに与える辞書として、今回のハッキング攻撃で入手した個人情報を利用することにより、より高い確率でパスワード認証を突破することが可能となります。特定したパスワードを使用し、他のサイトへの侵入最近は至るところでパスワードの登録を求められます。何十ものサイトでログインの際に入力を求められるパスワードを使い回しているケースも考えられます。こうした背景から、一つのサービスに対する被害を契機に、他のサービスに対する侵入被害に至る危険性も考えられます。スパム配信名簿の作成最近は、スパムメール対策のため複数の電子メールアドレスを使い分けているケースも見られます。そういった対策を講じている場合においても、今回のように金銭の受け取りが発生するサービスに登録してある電子メールアドレスは重要度の高いものと考えられます。今回流出した情報から作成されるスパム配信名簿はスパム配信業者にとって価値の高いものになると考えられます。 ■学ぶべき教訓とは　今回のハッキング被害を通じて学ぶべき教訓とは何でしょうか。管理者向け、利用者向けそれぞれについて紹介させていただきます。管理者向け対策期待される効果組織における脅威の傾向を把握し、異常を早期に検出異常を早期に検出するには、定常状態を把握しておく必要があります。セキュリティ対策製品による検出結果数の推移に注目することで傾向を知ることができます。最小限の特権管理（Least Privilege administration）これは、許可された作業を実行するために必要最小限の特権だけを各ユーザに与える管理手法です。特権を絞り込むことで、不正利用が起こりにくくなり、セキュリティコストの削減効果も期待できます。また、ウイルスがシステムに与える影響範囲の縮小効果も期待できます。開発段間からのセキュリティ対策を実施 SQLインジェクションには、SQL文の組み立てにエスケープ処理を実装することが有効です。また、データベースが返答するエラーメッセージの出力を抑制することも予防策となります。これら対策を実施するには開発段階からセキュリティ対策を考慮する必要があります。利用者への啓蒙活動技術による対策が進んだと言え、利用者への啓蒙活動は軽視すべきではありません。利用者すべてが組織のセキュリティポリシーを共通認識とすべく、周知徹底する必要があります。利用者向け対策期待される効果安易なパスワードを使用しない JOEアカウントや誕生日、電話番号、名前、英単語など意味ある言葉の組み合わせはパスワードとして避けてください。これにより、辞書攻撃に対する耐性を高めることができます。パスワードの使い回しをしないすべてのサービスが高いセキュリティレベルで保護されているとは限りません。使い回しをしている場合、万が一盗まれたり破られたりすると、すべてのサービスに危険を及ぼす可能性があります。サービス毎にパスワードを変えることで、被害を最小限にすることができます。　強固なパスワードを複数生成することは、管理者、利用者共に難しい課題です。そこで最後に米ブログメディア「Lifehacker」、インターネット・セキュリティ・ナレッジに掲載されているテクニックを紹介したいと思います。パスワードづくりの例ベースパスワード + サービス名の最初の子音2つ + サービス名の最初の母音2つ図4 パスワードづくりの例　ベースとなる文字列を基に、対象となるサービスの一部を使って変形させます。このルールを使えば一つのベースパスワードを記憶することで、サービス毎にユニークなパスワードを生成することができます。　このルールでは強固なベースパスワードを選択することが重要です。ベースパスワードを選ぶ方法を併せて紹介いたします。ベースパスワードの作り方何らかの言い回しや歌の繰り返し部分など頭の5文字を使う。（例：「トレンドマイクロは1988年ロサンゼルスにて創業」→「T88LS」）覚えやすい言葉を選んだ後、キーボード上で指を一列上にずらして同じ語を入力する。（例：「VIRUS」→「F847W」）図5 ベースパスワードの作り方　インターネットの世界に国境はありません。韓国で発生した被害が明日、日本で発生するかも知れません。今回の事件を振り返り、得られた教訓からセキュリティ対策を見直してみてはいかがでしょうか。 * 参考情報1. 経済産業省：「「平成１８年度電子商取引に関する市場調査」について」 * 参考情報2. 総務省：「情報通信白書平成18年版　HTML版」 * 参考情報3. 中央日報：「オークション、ハッキングで顧客情報流出」（2008年02月08日付け） * 参考情報4. 朝鮮日報：「人気サイトがハッキング被害…中国人の犯行か（上）」（2008年02月06日付け） * 参考情報5. 朝鮮日報：「人気サイトがハッキング被害…中国人の犯行か（下）」（2008年02月06日付け） * 参考情報6. Boannews：「」（2008年02月12日付け） * 参考情報7. 情報処理推進機構：「情報セキュリティ白書2006年度版のダウンロードページ」 * 参考情報8. インターネット・セキュリティ・ナレッジ：「わかりやすいパスワードは要注意！」 * 参考情報9. lifehacker：「Geek to Live: Choose (and remember) great passwords」