パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

12749249 story
犯罪

Linuxを狙うマルウェア「BillGates」 65

ストーリー by hylom
次はLinusの出番だろうか 部門より
あるAnonymous Coward 曰く、

Akamaiが「BillGates」というトロイの木馬について警告を出したそうだ(ZDNet JapanAkamaiのSecurity/Threat Advisory PDF)。

このマルウェアはLinuxを標的とするもので、SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みるそうだ。このマルウェアに感染すると、ボットネット管理者の指示を受けてDDoS攻撃を行うようになるという。

このボットネットはかなり大きくなっており、100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっているとのこと。

12522292 story
iOS

XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 67

ストーリー by headless
巧妙 部門より
Appleのコードレビューでも発見されない、マルウェアに感染したiOSアプリを生成するXcodeの改造版が見つかったそうだ(Palo Alto Networksの記事[1][2]Neowinの記事Softpediaの記事)。

「XcodeGhost」と名付けられたXcodeの改造版は中国のiOS開発者によって発見され、Palo Alto Networksが詳細を確認した。XcodeGhostは悪意のあるコードを仕込んだMach-OオブジェクトファイルをXcodeに追加し、XcodeのインストーラーにリパッケージしてBaiduのファイル共有サービスにアップロードされていたという。Palo Alto Networksの報告を受けて、BaiduではXcodeGhostを削除している。Xcodeのインストーラーは3GB近くあり、中国ではAppleのサーバーへの接続速度が遅いため、他のソースからのダウンロードがよく行われているそうだ。

悪意のあるコードが仕込まれているのはCoreServices用のオブジェクトファイル。XcodeGhostでiOSアプリをコンパイルすると、開発者に知られることなく悪意のあるCoreServicesファイルが追加される。悪意のあるコードに感染したiOSアプリは実行時にシステムやアプリの情報を収集してC&Cサーバーに送信する。また、ユーザーの認証情報をだまし取るために偽のアラートダイアログを表示するほか、特定のURLを乗っ取ってiOSやiOSアプリの脆弱性を攻撃したり、クリップボードのデータを読み書きしたりすることも可能だという。

感染したiOSアプリはAppleのコードレビューでも発見されず、少なくとも39本がApp Storeで公開されていたという。多くは中国向けのアプリだが、インスタントメッセンジャー「WeChat」のように中国以外でも使われているアプリも含まれる。このほか、「Mercury」「WinZip」「Musical.ly」といったアプリもリストアップされている。なお、WeChatに関しては、既に悪意のあるコードを除去した更新版に差し替えられているとのことだ。

なお、XcodeGhostは正規のXcodeに悪意のあるオブジェクトファイルを追加しただけのものだ。そのため、マルウェアが直接Xcodeのディレクトリーにオブジェクトファイルをドロップする可能性もある。悪意のあるコードはAppleのコードレビューを通るほど深く隠されているため、ユーザーや開発者が感染したアプリを識別することは困難だ。アプリ開発者は常にAppleから直接入手したXcodeを使用するだけでなく、怪しいファイルが追加されていないか定期的に確認する必要があるとのことだ。
12006373 story
ボットネット

警視庁、ボットネットによる不正送金被害を防ぐ「ネットバンキングウイルス無力化作戦」を実施 26

ストーリー by headless
作戦 部門より
あるAnonymous Coward 曰く、

最近のサイバー犯罪ではマルウェアを使って乗っ取ったパソコンを遠隔操作して攻撃に使用する、いわゆる「ボットネット」が使われるケースが多い。こういったボットネットによる不正送金被害を防ぐため、警視庁が「ネットバンキングウイルス無力化作戦」を開始した(警視庁 - ネットバンキングウイルス無力化作戦の実施についてITmediaニュースの記事毎日新聞の記事セキュアブレインのプレスリリース)。

詳細については明らかになっていないが、毎日新聞の記事ではボットネットをコントロールするコマンド&コントロールサーバー(C&Cサーバー)に対し「警視庁側から指令を出せる状態におくことに成功」し、マルウェアが組み込まれたパソコンを特定したという。また、プロバイダーを通じて感染パソコン利用者に対し、マルウェアの駆除を依頼しているとのことだ。

11601307 story
ボットネット

bashのShellshock脆弱性を利用するボットネットが出現 69

ストーリー by headless
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事本家/.)。

イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。

現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
11543650 story
セキュリティ

LinuxサーバにDDoS攻撃を行うボットネットが確認される 17

ストーリー by hylom
管理者の皆様ご注意を 部門より
taraiok 曰く、

9月3日、オンライン・コンテンツ向けのクラウドサービスを展開しているAkamai Technologiesは、新たなサイバーセキュリティ脅威に対するリリースを出した。それによると、ElasticSearchやStruts、Tomcatに存在する脆弱性を悪用し、Linuxサーバーに侵入してマルウェアを設置するという攻撃が確認されているという( HELP NET SECURITYSlashdotCodeZine)。

問題のマルウェアは「IptabLes」と「IptabLex」というもので、これに感染すると、エンターテイメント関連業界に対してDDoS攻撃を仕掛けるという。攻撃者は適切にメンテナンスされていないサーバーに対し脆弱性を悪用してアクセス権を入手し、悪質なコードをシステムに潜伏させるという。このコードが仕込まれたマシンはDDoSを行うボットネットの一部としてコントロールされてしまうそうだ。詳細についてはAkamai TechnologiesのPLXsertでも公開(登録制)されている模様。

11230945 story
検閲

全国の警察がISP各社に対しロシア(ru)ドメインへの接続遮断を要請 59

ストーリー by hylom
ただしソースは 部門より
Feuerbach 曰く、

FACTAによると、国際的に被害の相次ぐネットバンキングによる不正送金被害を阻止するため、2014年5月下旬に、全国の警察より各地のプロバイダに対して、ロシア(ru)ドメインに対する通信遮断の要請が行われていたという。

本作戦はFBI主導の下で、米国、欧州(欧州刑事警察機構)、カナダ、オーストラリア、ウクライナなどと連携して実施された国際作戦で、ロシア国内に設置されている攻撃者のサーバからのアクセスを遮断することで、感染端末群(ボットネット)の情報をFBIがインターネット上に設置する作戦実行用のハニーポットに効率的に集約し、最終的に攻撃者のサーバを特定することが目的だった。

5月30日より各国で一斉に実施された本作戦は成功し、6月2日に米司法省とFBIは、ボットネットの停止と、攻撃用サーバの管理者であったロシア人、エフゲニー・ボガチェフの起訴に至っている。

さて、ここで問題となったが日本の警察のプロバイダーに対する「要請」である。警察は、犯罪に関係していると疑われる3万8千件のロシア(ru)国内のIPリストをCD-Rに入れて、担当者が各プロバイダーを一軒一軒直接訪問し「お願い」をしたそうだ。また、指定された3万8千件のIPアドレスの遮断を、コスト・手間・技術上の観点より困難と伝えたプロバイダに対しては、ロシアドメイン(ru)をすべて遮断するように「お願い」したケースもあったとのこと。

さらに、法的根拠に基づかない通信の遮断は、日本国憲法の定める「通信の秘密」との関係上、違法性の疑いの濃い措置であっため、本作戦について総務省は「事業者の判断に任せる」という立場を取っていたにも関わらず、担当官が口頭で「総務省の了解を得ている」と伝えて「お願い」した例もあり、それを信じて遮断に応じてしまったプロバイダーやCATV事業者もあったそうだ。

なお大手プロバイダー各社は、弁護士・法務担当者が協議し、早々と「遮断しないことを決定した」とのことである。

記事内で出ている「FBIの作戦」は「GameOver Zeus」というマルウェアに対する摘発作戦だと思われるが、FBIなどがロシアドメインに対する接続遮断を要請したという話は出ていない(日経ITproMicrosoftマイナビニュースINTERNET Watch)。

10934549 story
インターネット

国内のC&Cサーバーにインターネットバンキングの口座情報13,000件が蓄積されていた 30

ストーリー by headless
収集 部門より
国内のレンタルサーバー業者が提供するサーバーで、不正に取得されたとみられるインターネットバンキングのパスワードやIDを含む口座情報およそ13,000件が見つかったそうだ(MSN産経ニュースの記事日本経済新聞の記事NHKニュースの記事)。

警視庁サイバー犯罪対策課は昨年10月、インターネットバンキングの口座情報を受信している国内のC&Cサーバーが存在するとの情報提供をトレンドマイクロから受け、3月にサーバーが停止するまで監視を続けていた。13,000件の口座はみずほ銀行や三菱東京UFJ銀行など16の銀行の預金者のもので、うち250件が不正送金に使われていたことが判明。監視を始めてからは口座情報が送信されるたびに各行に通知していたため、追加の被害は確認されていないという。警視庁ではサーバーの利用者を不正アクセス禁止法違反などの容疑で捜査しているとのことだ。
10549456 story
マイクロソフト

Microsoft、攻撃に使用される可能性のある古いバージョンのTorをWindowsマシンから削除 10

ストーリー by headless
削除 部門より
taraiok のタレこみより。 マルウェアがボットネットのC&Cサーバーへの接続に使用していた古いバージョンのTorを、MicrosoftがWindowsマシンから削除していたそうだ(Technet Blogsの記事The Daily Dotの記事本家/.)。

Torのユーザー数は昨年8月19日以降急増し(/.J記事1)、およそ2週間で400万ユーザー増加していた。原因はマルウェア「Sefnit」の新バージョンにTorが追加されたことが原因とみられ(/.J記事2)、Microsoftは同社のセキュリティー製品向けパターンファイルに新バージョンのSefnitを追加。SefnitがインストールするTor自体には攻撃用のコードなどは含まれていないが、脆弱性のある古いバージョンであり、Sefnitが削除されても他の攻撃に使用される可能性があるという。そのため、Microsoftでは10月27日に該当バージョンのTorをパターンファイルに追加して削除を開始。11月12日には「悪意のあるソフトウェアの削除ツール」での削除も開始したとのこと。この情報は他のアンチウィルスベンダーなどとも共有しているが、12月末時点でも200万ユーザー程度がSefnitのインストールした脆弱性のあるバージョンのTorでTorネットワークに接続しているとのことだ。
10125786 story
spam

スパムの最多送信国は? 28

ストーリー by headless
送信 部門より
あるAnonymous Coward 曰く、

ソフォスが発表した「スパム送信国ワースト12」の最新データによると、スパムを一番多く送っている国は米国のようだ(プレスリリースNaked Securityの記事Security NEXTの記事)。

米国のスパム送信数は前回の13.8%からわずかに上昇、全体の14.6%を占める結果になった。次に多いのがベラルーシだが、こちらは前回の11.7%から5.1%へと半減しているとのこと。一方でインド(4.7%で3位)やイラン(3.3%で9位)がランクアップ。ちなみに日本は全体の1.3%を占め、ランキングでは23位だったとのこと。

米国からのスパム送信は2012年に大幅に減少し、インドが逆転して1位となっていた。しかし、2012年末から増加して再び1位となり、2013年は1位を保っている(Naked Securityの記事2)。一方、ベラルーシは昨年ランキング圏外だったが、2013年に入ってランキング入り。第2四半期には2位に上昇している(Naked Securityの記事3)。なお、ベラルーシの人口は米国の30分の1以下であり、国民1人当たりのスパム送信数でみると米国の11.1倍になるとのこと。そのため、人口比で算出したスパム送信ランキング(人口30万人以上の国限定)ではベラルーシが1位となり、これにウルグアイと台湾が続く。

9975881 story
インターネット

Torユーザ数の急増はbotnetが原因? 4

ストーリー by hylom
使えるものは何でも使え 部門より
あるAnonymous Coward 曰く、

/.Jでも先日報じられていたTorユーザ数の急増は「Mevade.A,」というBotnetが原因であるようだ(Parity News本家/.)。

新たに見つかったこのbotnetはTor接続機能を有しており、以前はHTTP経由で送信していたコマンドを最近はTor経由で送信するようになったとされている。また、このbotnetは同様の機能を持つことが以前から知られている「Sefinit」というbotnetと同じ、もしくは変異したものである可能性も指摘されている。

なお、ユーザの増加の一因はPirate Bayによる匿名通信機能を備えたWebブラウザ「PirateBrowser」のリリースにもあるとされている。ただしこのブラウザのダウンロード数は55万に留まっており、最近のトラフィック増加量には見合わないという。Torユーザの急増がこのbotnetの広がりに由るものだとすれば、感染マシンは100万以上に上るとも推測されるとのことだ。

9909377 story
情報漏洩

米諜報機関、2011年に231件のサイバー攻撃を行っていた 18

ストーリー by hylom
まだまだ新ネタが出てくるのか 部門より
taraiok 曰く、

Washington Postの報道によると、2011年、米国の諜報機関が海外に対して231件のサイバー攻撃を行っていたという。元NAS職員エドワード・スノーデン氏が提供した諜報予算の機密文書から明らかになった(the Washington Post本家/.)。

記事ではオバマ政権が外国のコンピュータネットワークに潜入し、混乱させていた新たな証拠だとしている。このサイバー攻撃はGENIEというコードネームで呼ばれており、予算規模は6.52億ドル。毎年数千台のPCに洗練されたマルウェアを送り込み、数百万人規模の環境に広げる計画だったとしている。

またNSAはTailored Access Operations (TAO)と呼ばれる攻撃用のツールを持っているという。複数ベンダーの特定のルータやスイッチ、ファイアウォールなどに対して、機器のアップグレードソフトウェアを通じて配布される。TAOは識別対象のネットワーク内で必要な音声会話を拾い出して転送したり、情報を得るために持続的にバックドア作りだして維持できる仕組みを有しているとしている。

6954344 story
Google

Google、水増しされた YouTube での動画再生を累積再生回数から除外 41

ストーリー by reo
水商売ですなあ 部門より

headless 曰く、

Google は 12 月中旬に YouTube で、人為的に再生回数を増やすサービスなどを使用したとみられる動画の再生を累積の再生回数から除外した。これにより、大手レコードレーベルや有名アーティストのオフィシャルチャンネルで累積再生回数が大幅に減少したとのこと (Bottom 500 YouTubers in the past 30 daysDaily Dotの記事The Huffington Post の記事本家 /. 記事より) 。

最も大きな影響を受けたのは Universal Music Group で、累積再生回数が 10 億回以上減少した。これに Sony BMG が続き、8 億 5 千万回以上の減少。このほか、レコードレーベルでは Hollywood Records (- 約 2 憶 5 千万回)、RCA Records (- 約 1 億 6 千万回) などの減少数が大きい。アーティストのオフィシャルチャンネルで累積再生回数が大きく減少したのは、ブリトニー・スピアーズ (- 約 4 億 6 千万回)、マイケル・ジャクソン(- 約 2 億 9 千万回)、クリス・ブラウン(- 約 1 億 9 千万回)、ビヨンセ(- 約 1 億 5 千万回)などとなっている。

一方、こういったサービスを利用したことがないにもかかわらずアカウントが停止されたというユーザーからは、不満の声も出ているようだ (Google Product Forumsのディスカッション) 。

5087570 story
インターネット

Android のボットネットからスパムの送信を検出、Google はこれを否定 21

ストーリー by reo
根拠としては弱そうな 部門より

taraiok 曰く、

Microsoft のエンジニアでセキュリティ担当者の Terry Zink 氏は、Android 端末上のボットネットを操って送信された迷惑メールを発見したと公表した。スパムメールの内容は、ジェネリック医薬品、ペニー株、e カードなどの株価をつり上げようとするもの (MSDN Blogs の記事本家 /. 記事より) 。

問題のメールは文末に全て「Sent from Yahoo! Mail on Android」の一文が入っているなどの痕跡から、Android 端末から送信されたメールであるとした。スパム業者が端末を制御し、ユーザーのYahoo! Mail のアカウントにログインしてスパムを送信したと分析している。セキュリティ企業 Sophos の上級セキュリティ・アドバイザー Chester Wisniewski 氏も、「メッセージの送信元はセキュリティ侵害を受けた Google Android スマートフォンあるいはタブレットのように思われる」と述べている (Naked Security の記事より) 。

Google の広報担当者は、「われわれの分析によれば、スパマーはウイルスに感染したコンピュータにより、自作の電子メール・プラットフォーム上を構築。アンチスパムメカニズムを回避するために偽のモバイル署名を使用している」として Android 端末の関与について無罪を主張している (ZDNet の記事)。

3911748 story
ボットネット

FlamerのC&Cサーバーがアンインストールコマンドを送信していた 29

ストーリー by headless
自動的に消滅する 部門より
マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューターにFlamerをアンインストールするコマンドを送信していたそうだ(Symantec Connect Communityのブログ記事BBC Newsの記事本家/.)。

この動きはシマンテックのハニーポットが検出したもので、C&Cサーバーは「browse32.ocx」という名前のファイルを感染したコンピューターに送信。このモジュールが感染したコンピューターからFlamerをアンインストールし、関連するファイルをすべて削除する。最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。これまでの分析でFlamerにはbrowse32.ocxと同様の機能を持つ「SUICIDE」というモジュールが含まれることが明らかになっているが、新たなモジュールを使用した理由は不明とのことだ。
2770231 story
ボットネット

マルウェア「Flashback」の感染は脆弱性が放置されたブログサイトから始まった 32

ストーリー by reo
flashback-eve 部門より

eggy 曰く、

世界中で 60 万台以上の Mac を感染させたマルウェア「Flashback」であるが、Kaspersky Lab がその感染ルートを特定した (本家 /. 記事eWeek.com の記事より) 。

Kaspersky の報告によれば、2 月末から 3 月始め頃、WordPress を用いたブログサイトに Flashback が仕掛けられようだ。ブロガーが脆弱性のあるバージョンの WordPress を使用していたのか、または ToolsPack プラグインをインストールしてしまったのが原因と見られている。攻撃されたブログサイトは推定で 30,000 から 100,000 にもなる見られており、85 % が米国内で生じていたとのこと。

Apple は速やかに Java の脆弱性にパッチを当てるべきだったが、対応の遅れが事態を悪化させたという。同脆弱性が最初に発見されたのが 2 月であり、Oracle は同月内に既に修正パッチを発行していた。だが Apple が Oracle のパッチに頼らずに自社で解決しようとしたため、パッチのリリースが 4 月まで延びてしまったとのこと。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...