トレンドラボでは、Instagram 上でユーザのフォローをリクエストするアカウントを確認しました（図1参照）。Instagram のアカウントを「プライベート設定」している場合は標準でこのように表示されます。これらフォローのリクエストを検証中に、リサーチャーとしての感でいくつかのアカウントに不審な点があることに気が付きました。

この不審な点を実証するため、これら Instagram のアカウントのページを検証したところ、すべての同アカウントのページには、「Get Free Followers!（訳：無料でフォロワーを手に入れよう！）」の写真が投稿されていました。この投稿は、2013年3月2日のブログ記事（英語情報）で紹介した、無料で商品が手に入ると宣伝する「Pinterest」でのアンケート詐欺を想起させます。

今回、この投稿が不審に思われる他の理由として、これらの Instagram のフォロワーは “Tawna Tawna” や “Concetta Concetta” といった同じ言葉を繰り返したアカウント名を持っていることが挙げられます。

図3：スパムを送信するアカウントの例

これらの不審点を払拭するべく、トレンドラボでは、「Get Free Followers!」の写真を検証しました。この写真は、クリックすることが可能であり、クリックすると「Get Followers」と称するアプリを提供するページに誘導されました（図4参照）。このアプリは、不正な Web ページの表示やモバイル端末からのショート・メッセージ・サービス（SMS）の送信に利用される可能性があり、トレンドマイクロでは「ANDROIDOS_GCMBOT.A」として検出されます。

問題のアプリをダウンロードするしないにかかわらず、ユーザは、最終的に典型的なアンケート詐欺に誘導されることとなります。Instagram はPC からもアクセスできるため、トレンドラボでは PC からこの不正なWebサイトおよびアンケート詐欺サイトにアクセスを試みました。その結果、PC では、問題のアンケート詐欺サイトにアクセスすることができませんでした。

サイバー犯罪者は、広告調査サイトを介したアンケート詐欺により利益を得ており、ユーザは実際のアンケートページの前にこれらの広告調査サイトに誘導されます。加えて、サイバー犯罪者たちは、このようなアンケート詐欺により収集したデータを、他のサイバー犯罪者集団へ販売したり次の策略で利用するためにも悪用します。

Facebook や Pinterest （英語情報）、Tumblr そして今回取り上げている「Instagram」。このような詐欺の背後にいる人物たちは、人気のSNSや「Google Glass コンテスト」といったソーシャルエンジニアリングに利用されるトピックに便乗しています。こうしたアンケート詐欺から自身を守るために、友人や家族、知人からの投稿であっても、お使いの SNS のアカウント上での投稿は常に細心の注意を払うべきです。注意こそが最大の防御となります。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。さらなる安全対策として、弊社「ウイルスバスターモバイル for Android」のようなモバイル端末向けのセキュリティ対策アプリをインストールすることをお勧めします。ウイルスバスターモバイル for Android は、「不正アプリ対策」によって不正なアプリや高リスクと判断される Android 向けアプリを検出し、削除します。また、モバイル端末を狙う不正な URL やフィッシングサイトといった脅威に対し、細心の注意を払って下さい。さらにこうした脅威の被害を避けるために、すべてのスマートフォン利用者へ次の対策を講じることを強くお勧めします。

1. セキュリティソフトやサービスを導入し、適切に運用すること
2. Android端末の標準装備のセキュリティ機能を活用すること（「設定」-「現在地情報とセキュリティ」）
3. 「Wi-Fi」の自動接続を無効にすること
4. 公式の Androidマーケットや信用ある Androidマーケット以外を利用しないこと
5. アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューを一読すること
6. ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること

参考記事：

　翻訳：太田　真理（Core Technology Marketing, TrendLabs）

トレンドマイクロでは、まず OpUSA 作戦の一環において攻撃者たちが改ざんしたサイトを検証しました。すぐに、改ざんされた URL には、パターンが存在することが判りました。そのパターンとは、攻撃者たちが、改ざんサイトへ “islam.php” や “muslim.htm”、”jihad.htm”、”usa.htm” などの名前を持つファイルを頻繁にアップロードしていたというものです。これらのURLは、メインのサイトから完全に切り離されており、事実上隠ぺいされていました。そのため、正規のユーザは、これら特定のURLを閲覧することも目にすることはありません。

私たちは、Trend Micro Smart Protection Network から得た情報から注目すべき事柄を確認しました。それは、上述したパターンに相当する URL が、攻撃が仕掛けられたと疑われる5月6日よりも前の日にアクセスされていたということでした。上述したように改ざんサイトは、メインのサイトから完全に切り離されており、隠されているため、正規のユーザは、これらのサイトにアクセスするはずはありません。では、これらのサイトを閲覧したのは一体誰なのでしょうか。

私たちは、他の証拠から、5月7日より少なくとも2日前に改ざんされていた事を決定付けることができました。これは、私たちが確認したトラフィックが不正なものであった可能性を示していました。おそらく攻撃者は（改ざん）サイトがまだ有効であるか確認していたと考えられます。

図1：似通ったドメインを持つ改ざんサイトの例

しかし攻撃者たちは、直接的この確認行為をしていたわけではありません。私たちは、攻撃者たちがプロキシとして利用している感染PCを介してこれを行なっているのだと考えています。これに関して悪用された感染PCの1台を検証してみると、この感染PCには89個の不正、または不正だと疑われるファイルが検出されており、過去30日間において173個の不正な Web サイトへアクセスしていました。つまり、問題のPCが、不正プログラムによって大規模な感染被害を既に受けており、またプロキシとしての用途をも含むあらゆる目的のために攻撃者たちによって利用されていたことを示しています。

図2：検出された不正なファイル数

今回の事例から得られる教訓は、まずユーザは、こういった作戦によってもたらされる被害を疑念を持って対処しなければいけないということです。私たちが確認したことから、攻撃者たちは、彼らがもたらす被害をさらに印象深いものにするために、改ざんサイトの備蓄し、今回のような大規模な作戦が実行されたときに、その備蓄したものを放出することができるということが判ります。

セキュリティ専門家にとっては、OpUSA のような作戦が発生したとしても、これが脅威が泥沼化するといった兆候を示すような指標にいつもなるわけではないということに気付かされます。ユーザは、事前に不正プログラムのよる感染予防を行うことで、攻撃者たちによってこのような周知された作戦の火蓋が切られた時、その火の粉から身をかわすことができます。

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

トレンドラボは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」から得たフィードバックにより、この特定の脅威を確認しました。弊社製品では、「BKDR_TENGO.A」として検出されます。この不正プログラムは、多くの「WINNTI」ファミリの検体が行うように、自身をコンピュータの正規 DLL ファイルである “winmm.dll” として偽装します。トレンドラボは、この DLL 偽装は、解析用正規ツールである、「Aheadlib」を利用して行われていると考えています。Aheadlib は、あらゆる DLL ファイルに対応し、C 言語で書かれたコードを構築し、オリジナルのライブラリによるすべての関数をフックする機能を備えています。不正プログラムの解析においては、大変便利なツールですが、正規のシステムライブラリを偽装するファイルの作成に悪用される可能性もあるツールです。

「BKDR_TENGO.A」のファイルは暗号化されていないにもかかわらず、その解析は非常に困難なものでした。この不正プログラムのメインとなる活動は、コンピュータに挿入された USB ドライブから、Microsoft Office のファイル や PDF ファイル、TIFF ファイルを収集することです。収集されたファイルは、フォルダ “＜システムのルート（通常C：ドライブ）＞\$NtUninstallKB080515$” に保存されます。またこの不正プログラムは、”Usblog_DXM.log” という名前のログファイルも作成します。このログファイルは、その後攻撃者によって取得される可能性があります。またこの他、この不正プログラムは、攻撃者がコンピュータの遠隔操作を可能にするようなさまざまなバックドアコマンドを備えています。

数あるコマンドのうち、「Help」および「MainInfo」というコマンドは、このバックドア型不正プログラムのファイル名、および利用しているコマンド＆コントロール（C&C）サーバを表示させます。「BKDR_TENGO.A」が利用する C&C サーバの IP アドレスおよびサーバ名は、以下のとおりです。

これらの C&C サーバに対し、トレンドマイクロ製品ではすべてアクセスブロックの対応を完了しています。これらの IP アドレスのうち「＜省略＞.＜省略＞.204.62」および「＜省略＞.＜省略＞.145.118」は、特に興味深い事柄が判明しています。この2つの IP の所在地は米国ですが、多くの中国語のドメインがこれら2つの IP にマッピングされていました。

トレンドラボは、「BKDR_TENGO.A」が、標的型攻撃で利用されたのではないかと考えています。標的型攻撃において使用される不正プログラムは、特別高度なものや精巧なものでなくとも、情報収集の目的達成が可能であることも示していると言えるでしょう。

トレンドマイクロ製品をご利用のユーザは、Trend Micro Smart Protection Network によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

トレンドマイクロは、2013年5月、特定の不正な Web サイトを確認。そのサイトは、Android OS を搭載した端末（以下、Android端末）向けの多くのアプリにおいて確認された広告により配信されるものです。問題のアプリのなかには、アプリマーケット「Google Play」からダウンロードされたものや、また一方で、非公式のアプリ配布サイトで確認されたものもありました。このような広告は、罠として「iPhone 5」や「Samsung Galaxy Note II」といった有名ブランドを利用し、破格の値段でこれらの品物を販売しているように装います。ユーザが、広告をクリックすると、上述した端末を購入するためのさまざまな方法を紹介した Web サイトへと誘導されます。

図1：破格の値段で Samsung Galaxy Note II を購入できることを謳う広告

図2：iPhone 5 が安価で購入できると宣伝する広告

誘導先のサイトは、宣伝している通りの販売を行なっていない詐欺サイトです。一般的にこのような詐欺サイトは、ユーザの個人情報やクレジットカードの情報詐取、もしくは別の金銭目的詐欺への誘導を目的としています。

図3：Samsung Galaxy Note II を宣伝する詐欺サイト

図4：iPhone 5 を宣伝する詐欺サイト

これらの広告は、大手の広告ネットワークによって配信されており、9万個以上のアプリで使用されているようです。この攻撃は、現在のところ、中国のユーザに限定されているようですが、この主要広告ネットワーク上の膨大なアプリの数から、この先同様の攻撃が他国のユーザに対して仕掛けられる可能性があります。

トレンドマイクロは、2013年3月19日のブログ記事において、「Google」が広告をブロックするアプリを削除するといった決定事項を発表したこと、またこれにより何も知らないユーザに起こり得る潜在的な危険性についてを取り上げました。Androidプラットフォーム上で広告が十分に審査されないことが、フイッシング攻撃や不正プログラムの拡散といったさらなる不正行為をもたらすと当然考えられます。トレンドマイクロは、広告配信元に対し、さらに厳しい審査方法を規定し、広告を利用した攻撃からユーザを守ることを推奨しています。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。さらなる安全対策として、弊社「ウイルスバスターモバイル for Android」のようなモバイル端末向けのセキュリティ対策アプリをインストールすることをお勧めします。ウイルスバスターモバイル for Android は、「不正アプリ対策」によって不正なアプリや高リスクと判断される Android 向けアプリを検出し、削除します。ユーザは、端末上に表示される広告をクリックする際は、十分に注意して下さい。ユーザの個人情報などが収集される可能性があるからです。また、モバイル端末を狙う不正な URL やフィッシングサイトといった脅威に対し、細心の注意を払って下さい。さらにこうした脅威の被害を避けるために、すべてのスマートフォン利用者へ次の対策を講じることを強くお勧めします。

1. セキュリティソフトやサービスを導入し、適切に運用すること
2. Android端末の標準装備のセキュリティ機能を活用すること（「設定」-「現在地情報とセキュリティ」）
3. 「Wi-Fi」の自動接続を無効にすること
4. 公式の Androidマーケットや信用ある Androidマーケット以外を利用しないこと
5. アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューを一読すること
6. ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること

• インターネット・セキュリティ・ナレッジ
  ・無防備では危ない！　スマートフォンを安全に利用するためには
  　http://is702.jp/special/1090/partner/12_t/
  ・最新版　スマートフォンのセキュリティ対策
  　http://is702.jp/special/991/partner/12_t/

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

■アンダーグラウンドコミュニティでの情報売買の実態
以下は各国のドメインを売買しているスレッドですが、「.com」が $7.99 に対し、日本の「.jp」が $84.95 と非常に高額で取引されていることがわかります。

図１：ドメイン売買スレッドの画面。jpドメインは他のドメインに比べ高額で取引されていることがわかる

「.jp」ドメインより高値がついているのは、「.ag」（アンティグア）、「.fm」（ミクロネシア連邦）、「.hn」（ホンジュラス）など、あまり見かけない小国のドメインである点や、一般的にあまり信頼性が高くない印象のある中国の「.cn」ドメインは売買の対象に入っていない点などは、興味深いところです。

また、以下は、メールアドレスとそのパスワードを高額で買うことを記載したスレッドです。特に「日本」、「韓国」のアドレスは良い値で買い取ることも明記されています。

図2：メールアドレスとパスワードの買い取り画面。日本と韓国のメールアドレスを高値で買い取る旨の記載がある

また、こうしたアンダーグランドのマーケットでは、取引の決済は基本的には電子マネーが利用されているようです。クレジットカードは自身の情報の露見に繋がる可能性があるためか、稀にしか使用が見受けられません。慎重なアンダーグラウンドのハッカーは、より安全な決済方法を望んでいることがうかがえます。

■海外からも狙われる日本
このように、海外のハッカーでは「日本ブランド」の価値が高いことがわかりました。特に日本ドメインは他の国々に比べ、信頼性が高く攻撃に利用しやすいとみなされていることが、取引上の高値からもうかがえます。

コミュニティでは他にも、脆弱性が存在するサイトに関する情報交換をしているスレッドが確認できました。たとえば、以下では jp ドメインのサイトでディレクトリトラバーサルの脆弱性を見つけたことを報告しています。ただし、このスレッドでは特に攻撃依頼や予告などは行われておらず、こうした情報をアップしていくことで自身の技術力をアピールすることが主眼のようです。

図3：jp ドメインのサイトに対して、ディレクトリトラバーサルの脆弱性を確認したことを報告する書き込みの例

こうした取引や情報交換の中から悪意の攻撃者が、日本ブランドを利用した攻撃や、日本国内に対するハッキングやサイト改ざんなどの攻撃を実行に移す可能性も、十分考えられます。RTL では、こうした情報を監視し、二次被害を未然に防ぐことを目的とした情報収集を継続しておこなっています。

※記事構成：岡本勝之（シニアスペシャリスト）

今回確認された不正サイトは、Android 向けアプリの正規マーケット「Google Play」を偽装したデザインとなっています。以前のケース同様、ユーザが不正サイトにアクセスするとアプリのインストールを偽装した画面表示が行われ、自動的にメールアドレスなどの情報入力画面が表示されます。

図1：正規マーケット「Google Play」を偽装した表示例。アプリの評価や他のアイテムの紹介まで細かく偽装している

図2：不正サイトへのアクセス後に表示されるアプリインストールを思わせる画面遷移。ユーザにインストール進行中と思いこませるプログレスバーの表示は、詐欺的 Web サイトでは以前から見られる定番的な手口

図3：アプリインストールの偽装表示後に表示される情報入力画面

トレンドマイクロでは、この不正サイトへユーザを誘導する手段として、「Twitter」への投稿や「LINE」上でのメッセージを確認しています。現在、「Twitter」や「LINE」のようなソーシャルメディアは、スマートフォンなどのモバイルデバイスからアクセスされることが多くなっています。アプリを偽装した表示と合わせ、モバイルデバイス利用者を狙う攻撃者の意図が窺えます。

「LINE」では、この偽装サイトの URL は、個人に対する「招待状」の迷惑メッセージによる拡散を確認しています。また「Twitter」では、「LINE」同様の招待状やサイトの紹介と称した投稿の他、2013年3月22日のブログ記事でも触れたような注意喚起や被害の報告と思われるツイートによっても、結果的に偽装サイトの URL が拡散しているケースを確認しています。

このアプリ偽装表示を行う不正サイトの最終的な被害として、不正プログラムのインストール、ワンクリック詐欺、ブラウザクラッシャー、システム破壊など、様々な噂が伝わっているようです。しかし、トレンドマイクロで解析を行った結果としては、単純なメールアドレスなどの情報収集から、サクラサイトへの誘導と迷惑メール送信に繋がる動きのみが確認できました。このようなインターネット上での伝言ゲーム的な脅威情報の変質は興味深いところですが、いずれにせよ、このようなサイトへのアクセスは大きなリスクを伴うことは変わりません。興味本位でアクセスを行わないようご注意ください。

図4：情報入力画面に情報を入力すると、仮登録完了の画面が表示される

図5：その後、実際に登録確認メールが着信

図6：メール内の URL をクリックすると「登録完了」ページが表示される

図7：「登録完了」ページ内の「ログイン」ボタンをクリックすると不審な「出会いサイト」へ誘導される

図8：「ログイン」後、すぐに迷惑メールが届き始めた

このように、2013年2月20日のブログ記事で紹介した事例とほとんど同じ内容であり、手口として明確に確立しているものと言えます。攻撃者にとっては不正プログラムや不正アプリを作成することなく、よりハードルの低い Web サイトの作成のみでユーザの情報取得が行える便利な手口となっているため、今後もこのような偽装サイトの手口は増加が予想されます。特にモバイルデバイスの利用者は、このような手口が広まっていることをしっかり認識し、騙されないようにすることが重要です。

■トレンドマイクロの対策：
トレンドマイクロでは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の Web サイトの危険性評価技術である「Webレピュテーション」機能により、不正 Web サイトへのアクセスブロックの対応を提供しています。また、電子メールの危険性評価技術である「E-mailレピュテーション」機能により、危険性の高い迷惑メールの受信ブロックの対応を提供しています。

※解析およびリサーチ：吉川孝志（Regional Trend Labs）

「DORKBOT」は、「mIRC」や「Skype」などの IM アプリケーションや SNS を介して拡散することで知られていますが、今回の事例では、「Quiet Internet Pager」や「Digsby」といったマルチプロトコル対応の IM アプリケーションを介して拡散することが確認されています。

マルチプロトコル IM アプリケーションとは、ユーザ同士が複数の種類のIM アプリケーションを介して連絡を取り合うことを可能にします。Digsby の場合、「AOL Instant Messenger（AIM）」や「MSNメッセンジャー」、「Yahoo」、「Google トーク」、「Jabber」、さらに Facebook のチャット機能などにおけるアカウントも利用することができます。また、Quiet Internet Pager の場合は、少なくとも4つの IM サービスを利用することができます。このように、このバックドア型不正プログラムは、数多くの IM アプリケーションが感染経路として利用できるため、さらに多くのユーザに影響を及ぼすことが可能となります。

拡散に利用されるワームは、「WORM_DORKBOT.SME」として検出され、このワームは、感染コンピュータ上の IM ユーザが使用する連絡先へ短縮 URL を送信します。これらの短縮 URL からは、「DORKBOT」の更新版のコピーがダウンロードされ、しかもこの更新版のコピーは、ファイルホスティングサービス「Mediafire」上にアップロードされています。これは、感染コンピュータ上で検出され、容易に削除されることを回避するための対策であると考えられます。

「WORM_DORKBOT.SME」は、上述の感染活動のほか、特定の Web ブラウザに対し、API をフックすることでログイン認証情報を収集する機能も備えています。

この「WORM_DORKBOT.SME」は、メインの不正活動を行う「BKDR_LIFTOH.DLF」によってダウンロードされます。これは、このバックドア型不正プログラムが自身のコマンド＆コントロール（C&C）サーバから取得するコマンドの1つに、「他の不正プログラムのダウンロードおよび実行」があるためです。また、この不正プログラム自身がダウンロードされる URL が含まれたコマンドも存在し、2013年5月2日の時点において、この不正プログラムのファイルが「Hotfile」にアップロードされていることも確認されています。

なお、この不正プログラムは、自身の C&C サーバから環境設定ファイルを編集する機能も備えています。

図1：「BKDR_LIFTOH.DLF」の環境設定ファイル

図1のとおり、この環境設定ファイルには、接続する C&C サーバや、接続の最大待機時間、予想接続数の最大値、不正プログラムのビルドのバージョンなどの情報が含まれていることが確認できます。このことから、このバックドア型不正プログラムは、検出を避けるために別の C&C サーバへ切り替える機能を備えていることも判ります。また、「buildid＝build1」の文字列からは、この不正プログラムが最初のバージョンであり、今後、この不正プログラムの他のバージョンが登場する可能性があることも読み取ることができます。

「BKDR_LIFTOH.DLF」は、自身を拡散させるために２種類のワームをダウンロードすると述べましたが、もう１つは、「WORM_KUVAA.A」として検出されるワームです。このワームは、感染コンピュータ上で「c_user」および「xs」という Facebook の Cookie を検索し、Facebook の認証を回避します。また、以下のブラウザまたはアプリケーションが、メモリ上で実行されているかどうかも確認します。

図2：Facebook の Cookie 「c_user」および「xs」、そして CSRF 対策トークン「fb_dtsg」が利用される

このワームは、クロスサイトリクエストフォージェリ（CSRF）対策トークン「fb_dtsg」を利用し、感染コンピュータ上でユーザの Facebook アカウントを利用し、Facebook にログインしているユーザの「友達」へスパムメッセージを送信します。そのスパムメッセージには、このワームのコピーをダウンロードする URL が含まれており、さらに受信者に写真を閲覧するように仕向けるメッセージも記載されています。メッセージは、コンピュータのシステム ロケールによって11種の異なる言語で表示されます。

図3：Facebook で送信されたスパムメッセージのコピー

図4：異なる言語によるメッセージの種類

IM を介して拡散するワームは、もはや目新しいものではありませんが、サイバー犯罪者や不正活動を企てる人物たちがこのような不正プログラムを改良し続けているため、依然として猛威を振るっています。トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。そして特に「ファイルレピュテーション」技術により、本ブログ記事で取り上げられている不正なファイルを検出します。

こうした攻撃は、いつどのように仕掛けされてくるか予想がつかないこともあり、その意味でも、各ユーザは、自衛策として IM アプリケーションを介して連絡先に含まれる人物からファイルやリンクを受信した場合でも、細心の注意を払う必要があります。

※協力執筆者：Rhena Inocencio（Threat response engineer）および Almond Rejuso（Threat response engineer）

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

今回確認されたゼロデイ脆弱性は、影響を受けるアプリケーションの範囲がやや限定されており、Microsoft のセキュリティアドバイザリ（英語情報）によると、IE8 のみが対象となります。Windows Vista および Windows 7 の場合、IE9 以上より新しいバージョンに更新することで脆弱性が回避可能です。しかし　Windows XP　の場合、IE8 が利用可能な最新バージョンとなるため、ゼロデイ脆弱性の影響を受けてしまいます。

今回の攻撃で改ざんされた Webサイトを誤って閲覧すると、不正なスクリプト（「JS_DLAGENT.USR」として検出）が読み込まれることになります。そして「JS_DLAGENT.USR」は、他の不正サイト上にある不正スクリプト（「JS_KILLAV.AA」として検出）にユーザをアクセスさせます。「JS_KILLAV.AA」は、実行されると、“Adobe Reader” や ”Adobe Flash Player” のバージョンだけでなくセキュリティ製品やブラウザといった特定の情報を感染PC から取得します。そして、この不正スクリプト実行が発端となり、他の Webページへの誘導が繰り返され、最終的に不正な Webサイトへと導かれることになります。こうした不正Webサイトには IE8 のゼロデイ脆弱性を利用するエクスプロイトコード（「JS_EXPLOIT.MEA」として検出）が組み込まれたWebページも含まれています。

今回の攻撃では、「JS_EXPLOIT.MEA」は、実行されると脆弱性によりバックドア型不正プログラム「BKDR_POISON.MEA」をダウンロードします。「BKDR_POISON.MEA」は、「Remote Access Tool（RAT）」である「PoisonIvy」の検出名です。「PoisonIvy」はこれまで、世間の注目を集めたさまざまな標的型攻撃に利用されてきたRATです。特に、2011年7月以降に攻撃が始まり、特定の非政府組織（NGO）を標的とする、悪名高いサイバー攻撃「Nitro」と関連があります。また、アンダーグラウンド市場でも売買されており、広く世間に知られた、2011年の RSA情報漏えい事件にも利用されていました。

今回の攻撃で使用された複数の不正ドメインは、過去にも同労働省Webページの改ざん時に利用されていたものでした。「TrendLabs（トレンドラボ）」の解析によると、これらの不正ドメインは、そのほとんどがユーザを不審な広告サイトに誘導するものと判明しました。また、こうした不正ドメインの中には、迷惑メール内で偽医薬製品の広告サイトへと誘導するハイパーリンクに利用されているものも確認しています。さらに、トレンドラボでは、同労働省だけでなく、他の地方自治体の Webサイトにもこうした不正ドメインへのハイパーリンクがいまだ含まれていることに注視しています。

今回の事例は、2013年が始まって以来、何度も確認している著名アプリケーションを狙うゼロデイ攻撃の一例に過ぎません。こうしたゼロデイ攻撃に利用されるエクスプロイトコードは、今回同様に、ランサムウェア「REVETON」からその他のランサムウェアに POISONファミリのRATなどへと誘導・拡散する攻撃に幅広く利用されています。

■トレンドマイクロの対策
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、今回の攻撃で利用されたエクスプロイトコードや関連ファイルを検出し、削除します。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro 脆弱性対策オプション（ウイルスバスター コーポレートエディション プラグイン製品）」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

トレンドマイクロでは、ユーザを保護するために Microsoft と協働しています。また、今回確認された問題のゼロデイ脆弱性を利用する他の脅威についても監視を継続しており、随時、詳細情報を同ブログ上でお知らせ致します。

※協力執筆者：Dexter To（Network Threat Researcher）

参考記事：

　翻訳：船越 麻衣子（Core Technology Marketing, TrendLabs）

「TrendLabs（トレンドラボ）」は、簡単な「Google」検索を行っただけでも、映画「アイアンマン3」のストリーミングを提供するとかたる Web サイトを 100件以上確認しました。この映画は、本ブログ執筆時点において、米国を除く一部の国や地域で上映されていたことも、こういった宣伝文句をもっともらしく見せている理由とも言えます。これらストリーミングサイトであると称するサイトは人気のブログサイトを利用しており、その半数は、「Tumblr」を利用していました。

図1：トレンドラボが確認した「アイアンマン3」に関連する偽サイトの半数は、Tumblr を利用

問題のサイトを閲覧すると、ユーザは、動画をインストールするためのファイルをダウンロードするよう求められます。トレンドラボの解析では、このファイルは、そのサイトが言うとおり、正規の動画プレイヤーであることを確認しました。この動画プレイヤーは、過去に執拗な広告を表示するとして報告されていますが、今回の事例では、そのような挙動は確認されませんでした。ただし、この動画プレイヤーは、成人向け動画などのダウンロードや閲覧に利用される可能性があることが判っています。

現時点では、不正な挙動は確認されていませんが、こういった正規のファイルが、不正プログラムに置き換えられる可能性もあります。こうした点からも、今後、「アイアンマン3」のストリーミングやダウンロードページとして装って不正プログラムが組み込まれた Webサイトが確認されたとしても、予想外なことではないでしょう。

また、これも予想外のことではありませんが、ソーシャル・ネットワーキング・サービス（SNS）「Facebook」を利用し、「アイアンマン3」の無料ストリーミングの提供元を宣伝するリンクを拡散していたサイバー犯罪者をトレンドラボでは確認しました。ユーザは、Facebook のフィード上で、ストリーミングサイトへ誘導するリンクを含むこれらの投稿に遭遇する可能性もあります。投稿内のリンクをクリックすると、ユーザは、複数の Web ページを経て、最終的にアンケート詐欺のサイトへ誘導されます。そして言うまでもなく、またこの時、誘導されたユーザの Facebook 上の「友達」に対し、同じ投稿が拡散されることにもなります。トレンドラボでは、同様の手口として「 Facebook Profile Viewer 」利用した事例や、話題の「Google Project Glass」に便乗したアンケート詐欺も過去に報じています。

図2：アンケート詐欺へと誘導するページ

むろん、これらのサイトから「アイアンマン3」の実際の映画を視聴できることはありません。なお、こうしたサイトの中には、ユーザにクレジットカード情報の登録を要求するのもあり、十分な注意が必要といえます。

「アイアンマン3」のような話題作は、サイバー犯罪における格好の「エサ」となります。上手く利用すれば、不正プログラムが組み込まれたり、アンケート詐欺が行なわれたりするような不審な Web サイトへとユーザを効果的に誘導できるからです。巧妙なソーシャルエンジニアリングの手法により、ユーザは、簡単にサイバー犯罪者の罠にはまってしまう可能性があります。こうした点からも、ソーシャルエンジニアリングの手口がどのように実行されるか十分に把握し、Facebook やその他のソーシャルメディアのアカウントを介してクリックしたり共有したりする際には、細心の注意を払うことが重要です。なお、トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

トレンドラボでは、これら問題の URL について検証した結果、これらのフィッシングサイトの URL には一貫したパターンがあることを確認しました。これら URL は、“~flight” という名のフォルダ配下にあり、このフォルダのみにアクセスしようとすると、以下のページが表示される点に注目すべきです。

厳密に言うと、上のページが表示されるように変更が加えられただけで、乗っ取られたわけではありませんでした。つまり、もとのコンテンツは、変更されていなかったということです。しかし、Web サイトがこのような状態のままであると、乗っ取られたり書き換えられたりする可能性があります。

前述で、フォルダ “~flight” について触れましたが、この問題のフォルダは、以下のような Apple ID のログインページをとても忠実に真似たページを含んでいます。

トレンドラボは、合計110の変更が加えられた Web サイトを確認しました。そしてすべてが、米国ヒューストン地域のインターネット・サービス・プロバイダー（ISP）に登録されている「70.86.13.17」の IP アドレスにホストされてることが判明しています。またほぼすべての Web サイトは、削除されていませんでした。

なお上のグラフから、Apple ID を狙うフィッシングサイトが増加していることが判ります。トレンドラボでは、米国のユーザだけではなく、英国およびフランスのユーザを狙う攻撃を確認してきました。また今回の攻撃のなかには Apple ID のログイン認証情報のみならず請求書送付先の住所や個人情報、クレジットカード情報などをユーザに求めるものがあります。そして結果的にそのページは、アクセス可能な状態に戻りますが、ユーザの情報は収集されています。以下の一例から、問題のサイトがどのようにクレジットカード情報を要求するかがわかります。

ユーザは、スパムメッセージを介してこれらのフィッシングサイトへと誘導されます。このメッセージは、ユーザの情報が、「監査」の対象になる場合を除き、48時間以内にアカウントが失効することを告げるものです。これにより、ユーザにリンクをクリックさせるだけではなく、自ら進んで情報を差し出すよう仕向けます。

これらのフィッシングサイトを特定する1つの方法は、偽サイトは、ユーザが安全なサイトを閲覧していることを示す印を表示することがないことを知っておくことです。以下は、“Google Chrome” を使用し正規のサイトを閲覧した場合であり、アドレスバーの一部に鍵のマークと「Apple Inc. [US]」が表示されていることがわかります。

なお “Internet Explorer（IE）” や “Firefox” を使用している場合でも、同じような方法で、安全なサイトであることが示されます。

フィッシング詐欺をもたらすメッセージ自体に関しては、正規のメッセージは、大抵の場合、メッセージの発信元やリンクの誘導先サイトなどすべてにおいて、一致するドメインを持っています。一見正規の E メールにそっくりなものが不正に利用されているため、単に E メールの外観だけから判断するのでは、不十分です。

また Apple ID の管理やその他のインターネット活動をモバイル端末上で行なっているユーザは、自身の身を守るために、こちらを御覧ください。

なおトレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。

※協力執筆者：Mark Aquino （Anti-Spam Research Engineer）

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）