偽のアンチウイルス作成者が目的があってこうしたのかどうかは、私達はわかりません。彼らはマルウェアの取り扱いについて特に注意は払わず自身の好みの薬を味わわせているのです。
2009年2月27日金曜日
昔は良かった?パート2
偽のアンチウイルス作成者が目的があってこうしたのかどうかは、私達はわかりません。彼らはマルウェアの取り扱いについて特に注意は払わず自身の好みの薬を味わわせているのです。
2009年2月24日火曜日
あらわにされる銀行の機密情報
PandaLabsのテクニカルライターであるOlaiz氏は、ユーザーのプライバシーにとって、大きな脅威の一つである” Banking Trojans”に関する興味深いドキュメントを発表したところです。
特に、彼らがどうやってコンピュータに侵入するか、そしてどうやって情報を盗むかについての情報を見ることができます。もっとも注目すべき情報の一つは、この実入りの良い犯罪ビジネスの背後にある複雑な構造です。
皆さんは、Banker Torojansの作成者も、実際に金銭を盗む泥棒と同じような人達であると思われるかもしれません。しかしそれは以下のイメージに見られるとおり、それほど単純ではありません。
もしあなたがこの図をどう解釈すべきかについて、またこれらの脅威自身についてもっと知りたいと思われたなら、是非以下のドキュメントをご覧ください(英文)
尚、PandaLabs レポートセクションで、PandaLabsが発表したいろいろなレポート(英文)をご覧頂けます。
2009年2月18日水曜日
昔は良かった?
現在、私達は1日に25,000個のマルウェアサンプルを処理しています。
私達は、時々昔を思い出します。ラボで受け取った最新のウイルスを逆アセンブルするためにいつも戦っていた頃を・・・。
あなたはどう思いましたか?我々はフリークなのです;-)
けれども、最近では、マルウェアの大半が、トロイの木馬や偽セキュリティソフト(rogueware)などであるのが現実です。私達が主に話題にするのは、非ポリモーフィック型または非ウイルス型のマルウェアについてで、我々が悩まされる主な問題は、アンチウイルスのシグネチャ検知を回避するためのいくつかのパッカーやその類です。
もちろん、あなたがTruPreventのような静的ファイルそのものよりもむしろプログラムのふるまいを監視するテクノロジーを持っていれば大した問題ではありませんが。
マルウェアは進化を続け、アンチマルウェアテクノロジーも同様に進化しています。
Pandaの最新の年次レポート(pdf)の中で説明したのは、今年は、トップのアンチウイルスベンダー達が使っているテクノロジーのいくつかをすりぬけるための方法として、古いテクニックを使ったものが増加するだろうと私が見込んでいるということでした(–> 古いウイルスの手口、ウイルスやトロイのふるまいを併せ持つものなど)。
我々は既にこの変化が起きていることを確認しています。2月初めの週に新しいウイルスが出現し、我々はそれをW32/Sality.AOと名づけました。
このよく知られたファイル感染型の新しい亜種について、なぜ言及する価値があるのでしょうか?
まず、このウイルスは、感染させるファイルを探すためにハードドライブ全体のスキャンはせず、無差別になりすぎることを避ける位十分にスマートですが、悪質なコードを実行していくつかのファイルが感染したとたん、さらにそのコンピュータで実行されるいくつかの新しいファイルを感染させることになるでしょう。
その上、PEファイルを感染させるために非常に複雑なテクニックを使っています。:
EPO(Entry Point Obscuring)型/検知を避けるためにエントリポイントを隠そうとする技術や、Cavity型(感染先ファイルの空白部分に追記するだけでファイルサイズを変えない検知を困難にするための技術)、異なる暗号化レイヤーなど…。
そしていつも同じ方法ではなく、一つのサンプルが、おそらくEPOによる感染で、一つが暗号化レイヤー、別の一つがEPOによるものだったり、Cavityと2つの暗号化レイヤーによるものだったりします。
また、もしこの方法が十分でなかった場合は、コマンドを受け取るためのIRCサーバーに接続したりします。そしてさらに、私たちのコンピュータをより多くマルウェアに感染させるために、インターネットからファイルのダウンロードを試みるでしょう。そしてiFrameタグを挿入することによって、.PHP、.ASP及び.HTMLファイルを感染させたりします(むしろ”改変する”と言いたい)。それは、Webブラウザ経由で”感染した”ファイルのいくつかを訪問する際に、脆弱性を突いて新しいファイルをダウンロードさせて実行させます。このファイルは二重のマルウェアであり、ウイルスに感染したトロイダウンローダーなのです。
ここで、私達はいくつかの古き良きポリモーフィック型で自己複製型の動きを見落としていました。W32/Salityの別の亜種が今来ました。
私達は今夜ほとんど眠れそうにないですね…。
2009年2月13日金曜日
"Panda コレクティブインテリジェンス"と "VirusTotal"
Panda Securityは、およそ二年前から、クラウドコンピューティングによるスキャニングテクノロジーである”Pandaコレクティブインテリジェンス”を、無料オンラインスキャナーのPanda ActiveScan やPanda 2009個人向け製品から使い始めています。
Digg.comのコメント欄はマルウェアの配布に利用されていた
これは、サイバー犯罪者達がマルウェアを配布する為に、どのようにWeb2.0を利用しているかの一例である。
Digg.com (http://www.digg.com/)は、世界的にポピュラーなニュースやリンクを集めるサービスで、サイバー犯罪者達によってVideoPlayアドウェアを配布するために使われている。彼らはセレブリティのビデオ関連のニュースアイテムにコメントを残すことでこれを行っている。例えば以下のようなコメントを含む:
関連画像はこちら:
2009年2月12日木曜日
アカデミー賞は…”ブラッド・ピット”と”トム・クルーズ”
- ブリトニー・スピアーズ、アンジェリーナ・ジョリー、リンジー・ローハンもリストの上位に
- フェルナンド・アロンソは11位で、スペイン人のトップ
女性陣は、下位ではあるがさほど離されずトップ10の残りのほとんどを占めている。女優の”アンジェリーナ・ジョリー(11.62%)”、”リンジー・ローハン(10.15%)”、”ジェシカ・アルバ(9.52%)”は、それぞれ4位、5位、7位。ジェニファー・アニストンは5.14%でランキングの10位だった。
8位と9位は、ベテランTVプレゼンターである”オプラ・ウィンスリー(8.08%)”と”パリス・ヒルトン(6.64%)”が占めた。
“クリスティーナ・アギレラ”、”バラク・オバマ”、”ルイス・ハミルトン”、”タイガー・ウッズ”、”リアーナ”、”シャキーラ”、”マドンナ”、”スカーレット・ヨハンソン”、”フィデル・カストロ 前議長”も、サイバー犯罪者の餌として使われたその他の有名人に入っている。
「サイバー犯罪者達は、インターネットでユーザーがよく検索したり、フォーラムやソーシャルネットワーク上でしばしば話題になる名前を常に押さえています。彼らはスパムを送信する時それらの名前を使います。このようにして、彼らはユーザーをそそのかしemailを開けさせ、リンクや添付ファイルを実行させるのです。これはソーシャルエンジニアリングとして知られています。」と、PandaLabsのテクニカルディレクターであるLuis Corrons氏は説明する。
「餌に食いついたユーザーは、コンピュータが必ず何らかのマルウェアに感染してしまうでしょう。」
これらのemailに含まれる典型的なフレーズは以下の通り:
“Angelina Jolie nude” (アンジェリーナ・ジョリーのヌード)
“Britney Spears hot images” (ブリトニー・スピアーズのホットな画像)
“Rihanna exposed” (リアーナ露出)
“Scarlett Johansson spills boobs” (スカーレット・ヨハンソンおっぱい流出)
※セレブリティに関連した悪質なemailの画像はこちら
http://www.flickr.com/photos/panda_security/tags/famous/
Panda Securityは、有名人の話や写真を含んでいると主張するいかなるメールも開かず、また、そのようなメールのどんな添付ファイルやリンクも決して実行しないことを、ユーザーに忠告します。
2009年2月10日火曜日
もうすぐバレンタインデー
この特別な日は、Waledacというワームを拡散させるために再び使われています。
ロマンティックな件名を使って拡散するのは、W32/Waledac.J.worm.。
配布に使われているemailのメッセージは、下記のような悪質なWebサイトへのリンクを含んでいます。
Pandaは、次のような悪意あるドメインを発見しました。(注意!):
hxxp://cantlosedata.com
hxxp://losenowfast.com
hxxp://theworldpool.com
hxxp://alldataworld.com
hxxp://mingwater.com
hxxp://alldatanow.com
hxxp://cantlosedata.com
ワームに使われるファイル名は様々ですが、多くは恋愛に関連しています。
発見したものは以下の通り:
run.exe, ecard.exe, programm.exe, lovekit.exe, runme.exe, start.exe, loveexe.exe, save.exe....など。
Waledacはバレンタインデーを愛しています。
恋人の皆さん気をつけてください。
2009年2月9日月曜日
第一回 セキュリティブロガーサミットが出した結論
「我々が持っているテクノロジーの背後にある経済的要因について留意しておかなければならない。我々はより優れたテクノロジーを持つことができるはずだが、その代価を支払う覚悟ができていない。市場は必ずしも優れたものに対してではなく、クールなもの、高速なものに報酬を支払っている。」- Bruce Schneie氏 -
- 基本的なセキュリティのコンセプトにおいて、インターネットユーザーを教育する必要がある。これは、サイバー犯罪の被害に遭う人の数を減らす唯一の方法であり、責任は公と民の両機関で共有するべきである。
- Sebastian Muriel氏, Red.esジェネラルマネージャー「セキュリティに関する問題の80%は、常識で解決するものである。」
- 第一回セキュリティブロガーサミットは、Panda Security が企画し、ITセキュリティ関係者200人を招待し、アメリカとスペインから11人のオピニオンリーダーを含めたディスカッションのホストを務めた。
セキュリティ市場と更に優れた保護の必要性に関して、第一回セキュリティブロガーサミットで達した結論のひとつは、Bruce Schneier氏によって概説された。「我々が持つテクノロジーの背景にある経済的要因について留意しなければならない。我々はより優れたテクノロジーを持つことができたが、その代価を支払う準備ができていない。市場は冷静さと迅速さに報酬を支払うが、それは良いことではない。」
もうひとつの焦点だった。(詳細はこちらhttp://www.securitybloggersummit.com/)
ディスカッションへの参加者は、Bruce Schneier氏(ブロガー、ITセキュリティの先導者)、Andy Willingham氏(金融系セキュリティ企業の情報セキュリティ部門役員、Andy ITGuyの作者)、Antonio Ortiz 氏(Weblogs SLの共同創設者), Steve Ragan氏 (Tech Heraldのセキュリティ担当エディター), Byron Acohido氏, Javier Villacañas 氏(COPEジャーナリスト、“A todo chip”ブログの作者), Ero Carrera氏 (Hispasec), Sebastián Muriel氏 ( Red.esジェネラルマネージャー), Francisco A. Lago氏 (The National Institute of Communication Technologies (INTECO) ) 、César Lorenzana氏 (Spanish Civil Guardのテクノロジー犯罪担当部門)であった。
この日の3番目の議題は、啓蒙活動によって、公と民の両機関間でユーザーの教育に関して責任を共有する必要性があることを取り扱った。この趣旨でAndy Willingham氏は、「コンピュータの安全な使い方について学ぶ必要があるのはユーザー達自身である、なぜならば危険にさらされるのは彼ら自身であるからだ。」と説明した。
Red.esのジェネラルマネージャーであるSebastián Muriel氏は、「問題の80%は常識で解決できるものである。」と述べた。
啓蒙と責任
セッションは、Bruce Schneider氏の15分のスピーチでスタートした。彼はインターネットを代表する主な進歩を強調して、“ロックンロール後の最も重要な革命のひとつ”と呼び、そしてセキュリティ問題の基礎となる経済的要因を強調している「我々はより優れたテクノロジーを手に入れることができた。しかし、それに対する代価を払う覚悟ができていない。市場は冷静さと迅速さに報酬を支払うが、しかしそれは良いことではない」
彼は更に、セキュリティに関する責任が政府機関だけに押し付けるのではなく、ユーザーや企業が自分達の役割を果たす必要性に注意を向けた。「クレジットカードの場合、政府はユーザーを教育してはおらず、企業に問題が引き渡され彼らが調査を行なってきた。それと同様に、問題を単にユーザーだけにシフトさせることはできず、銀行や他の企業も分担すべきである。」
そのほかのスピーカー達は、セキュリティへの責任に関して賛同するともに、さらに意見を進めた。
Byron Acohido氏は、「問題の90%はユーザーに転嫁するものではない。もしエラーのあるシステムが市場に出回ったら、それは明らかにユーザーの責任ではない。」
一方、Francisco Lago氏は「主な問題は、ユーザーのふるまいである」と信じ、良い習慣についての啓蒙活動が、セキュリティリスクを避ける最良の手段である、と述べた。
Andy Willingham氏とSteve Ragan氏は、エキスパート達がこの教育を、シンプルかつわかり易い言葉で率いることの必要性について一致した。「ブログやセキュリティ関連のメディアはあるが、ユーザーはそれらを理解できておらず、そしてそれが続く限り、何度も同じ間違いを繰り返すのをわれわれは見続けることになるだろう。」とRagan氏は強調した。
サイバー犯罪の現状と対処
スピーカー全員が、ここ数年の主な傾向のひとつがサイバー犯罪のプロ化であることに同意した。
Cesar Lorenzana氏はこう説明した。「よりたくさんのマルウェアが存在するということではなく、マルウェアが今犯罪者達に利益をもたらすということなのだ。それは生計を立てる手段なのだ。」
Francisco Lago氏は、ユーザーの中のセキュリティの間違った認識を強調した。「80%のユーザーが、自分のコンピュータが保護されていると信じている、にもかかわらず、彼らの4分の3は実は感染しているのだ。」
Antonio Ortiz氏は、サイバー犯罪者達が低姿勢を保ち、公共機関の追跡を避け続ける期間の長さを図で示した。「ボットネットのオーナー達は、結果として政治家たちがその問題に目を向けてしまう恐れのあるような、メジャーなWebサイトや政府のページに対するDoS攻撃のサービスは提供しない。彼らはそういった注目を浴びることを望まない。」 政府やセキュリティセクターが提供することが可能なこういった脅威に対するレスポンスに関して、Bruce Schneier氏は、この犯罪を追跡することの難しさを強調した。「これは国際的な問題であり、それが証拠を集めることや追跡などをより困難にしている。我々はローカルな窃盗に立ち向かうのは得意なのだが、国境を越えた犯罪は苦手だ。」
金銭的な被害につい尋ねられた時、Byron Acohido氏は、わずか一週間の攻撃で700万ドルを稼いだ、” Cosmos”として知られるドイツのサイバー犯罪集団の一例を取り上げた。
最後に、セキュリティリスクを回避するために、平均的なユーザーがどのような基本的な対策をとれるかについて公に尋ねられた時、パネリスト達は、問題に対する主な対処法として啓蒙活動を強調した。Bruce Schneier氏は、「バックアップと全てのプログラムのアップデートだ」と付け加えた。
※詳細画像はこちら http://www.flickr.com/photos/panda_security/tags/summit/
2009年2月3日火曜日
SaaS型アンチウイルスになりすます"Scan Virus"サイト
“あなたのPCは感染しています!
申し訳ありませんが従来のプログラムでは駆除できません。”
といった画像を表示してユーザーを脅かそうと試みます。