|
2006年4月12日
フォーティネットジャパン株式会社
今月のサマリー
- ウイルス活動:Netskyの生死はいかに?
- ソーシャル・エンジニアリングの重要性:バレンタイン・デーのカップルからの知らせ
- インターネットは今月、さらに「ベター」に
- フィッシングの進歩:だましの技術
- Ransomwareが戻ってきた:Cryzipの事例
●3月のウイルス普及状況
フォーティネットのFortiGateセキュリティアプライアンスが発見した脅威トップ10
| 1 | W32/Netsky!similar | 11.26% |
| 2 | Adware/BetterInternet | 10.01% |
| 3 | HTML/Iframe_CID!exploit | 8.38% |
| 4 | W32/Grew.A!wm | 7.71% |
| 5 | W32/Bagle.DY-mm | 5.12% |
| 6 | HTA/Sitex.A-tr | 2.99% |
| 7 | W32/MyTob.fam-mm | 2.62% |
| 8 | W32/Mytob!similar | 2.19% |
| 9 | W32/Bagle.EG!mm | 1.81% |
| 10 | Adware/ZangoSA | 1.75% |
新しく発見された脅威トップ5
| 1 | W32/Bagle.fam-mm!Sality | 0.93% |
| 2 | W32/Bagle.EK!mm | 0.45% |
| 3 | HTML/BankFraud.E!phish | 0.31% |
| 4 | W32/Bagle.FO!mm | 0.29% |
| 5 | W32/Sality.I | 0.23% |
感染が報告された国トップ10
| 1 | 米国 | 19.21% |
| 2 | 韓国 | 9.14% |
| 3 | 台湾 | 8.52% |
| 4 | インド | 5.83% |
| 5 | 日本 | 5.76% |
| 6 | 中国 | 4.93% |
| 7 | メキシコ | 4.12% |
| 8 | タイ | 3.47% |
| 9 | マレーシア | 3.00% |
| 10 | スウェーデン | 2.80% |
●ウイルス活動:Netskyの生死はいかに?
今月、上位10位までを占めた脅威は、ここ数ヶ月間徐々に進行してきたウイルス情勢の新しいトレンドを示すものです。Netskyが、その発見から2年以上たった今、トップの座に返り咲きました。これは一見、昔感染して潜伏していたウイルスが表舞台に復活したものと解釈できるかもしれません。
フォーティネットのThreat Intelligence and Response Teamのリーダーであるギョーム・ラベットによると、
「これは事実と違います。Netskyは死にました。今回チャートのトップになったものは、ほんの残余活動です。アウトブレイクが起こった当時に感染したまま長らく忘れ去られていたマシンが再び脚光を浴びたにすぎません。」
トップ10へ返り咲いた唯一の理由は、カネになるbotを仕込まれたワームが、サイバー警察の目を引かないようにきわめて控えめな態度を取っていることです。このトレンドは、全世界における大量メール・ワームの活動が2月から3月にかけて9パーセント近くも減少しているという、今月の表でも裏付けられます。
●ソーシャル・エンジニアリングの重要性:バレンタイン・デーのカップルからの知らせ
2月に発生したその他のBagle変種がチャートの奥底に消えていった中で、2月半ばに発見された脅威であるBagle.EGはトップ10における存在感を放っています。実際、2月の最大のBagleアウトブレイクはBagle.DWでしたが、次の表を見ると、Bagle.DWは攻撃的にばらまかれたにもかかわらず、その感染率はかなり低かったことがわかります。
Bagle.EGのトップ10における存在感
Bagle.DWの活動がほぼ無くなっている一方でBagle.EGはいくらかの残余活動を示しており、かなり多数のユーザが「添付ファイルをクリック」してしまったことを示しています。すでにお気づきかもしれませんが、Bagle.DWとBagle.EGの本質的な違いは、ソーシャル・エンジニアリングの手口にあります。.DWが典型的な「OK、あなたの文書が添付されています」という一文を使用しているのに対し、.EGは特別な日付(バレンタイン・デー)を悪用し、「安っぽいポエムと鮮やかな色彩で心に強く訴えかける」のです。
●インターネットは今月、さらに「ベター」に
先月私たちはAdware/BetterInternetに関する話題を取り上げ、「bot飼い」がこの悪名高いアドウェアを毎週月曜日と木曜日に自分のコントロール配下のbotに大量インストールすることで、いかに大金を手にしているかを説明しました。今月の数字は、私たちの推測を裏付けただけでなく、新しい事実を明らかにしました。
Adware/BetterInternetの推移
インストールのピークは今月の月曜日と木曜日ごとにみられますが、3月15日以降は水曜日にも出現しています。水曜日から木曜日までのカーブが非常に平坦であることは、標的となったインストール「素材」(感染したマシン)が、どの曜日に関しても厳密に同じものであることをなおさら示すものです。
●フィッシングの進歩:だましの技術
月日が流れ、フィッシングに関する懸念は増大する一方です。フィッシュの数は2月から3月にかけて安定していたとはいえ、当社のThreat Response Teamは今月、いくつかの新機軸を発見しました。
・rock-phishキット
いわゆる「rock-phish」キットは、フィッシング詐欺を働く者の空間と時間の手間を省きます。複数のDNS名を持つ単一の「物理的」サイトがいまや複数のフィッシング・ページを持っており、様々な銀行の名をかたっています。こうしたキットは、そのURLのパターンがhttp://[ドメイン名]/r1/[文字]というものであるところから、容易に識別することができます。入る文字が違うと、違ったニセ銀行のサイトが表示されるというわけです。通常、標的になった銀行の名前の最初の一文字が使われます。百聞は一見にしかずといいますから、現在使われている典型的なrock-phishキットをここにお見せしましょう。
しかしながら、複数のドメイン名は登録が必要である(フィッシング・サイトはすべて、rock-phishキットをホスティングしている)ところから、この戦略には難点があります。そこで、ひとりのずる賢いフィッシング詐欺師が「エレガント」な解決策を見つけました。
ドメイン名と、「設置された」驚くべき数の銀行
ドメイン名と、「設置された」驚くべき数の銀行に注目してください。このドメインは閉鎖されましたが、それは二重に幸運なことでした。なぜなら、盗んだデータも半ば公然とサーバ上に保存されていたからです。
・謝礼/返金のフィッシング
フィッシングの成功率を劇的に押し上げた興味深いソーシャル・エンジニアリングの手口が、謝礼/返金のルアー(擬似餌)です。方法は簡単です。釣り針に20ドル札をぶら下げて魚をおびき寄せ、水たまりをずっと監視していればいいのです。例として、チェース銀行の名をかたった偽の謝礼付き顧客調査のスクリーンショットをご覧ください。
チェース銀行の名をかたった偽の謝礼付き顧客調査のスクリーンショット
フォーティネットのMalicious Code Research担当マネージャー、ニック・ビロゴルスキーは次のように語っています。
「この手口は今月、フィッシングEメールがIRS(米国歳入庁、日本の国税庁に相当)から来たものだと見せかけるフィッシングです。」このメッセージは、IRS側でミスがあったので大金を払い戻すという口実で被害者から銀行口座の詳細を聞き出すものです。
・偽のアドレス・バー
ブラウザーのアドレス・バーに表示された銀行(と思われる)サイトのアドレスの有効性を注意深くチェックすることは、フィッシングに釣られないための、有効な手段であると広く信じられています。しばらくの間、フィッシング詐欺師たちは、このアーキテクチャ上のセキュリティを回避する方法を探していましたが、それが昨年目の当たりにすることとなったファーミング(Pharming)攻撃につながりました。しかし、標的になったユーザにとってはそれがファーミングであると検知するのが困難であっても、平均的なフィッシング詐欺師にはファーミングを準備するのが非常に困難です(信頼できるDNSサーバをハッキングする必要があるため)。そこでだれかが「合成した偽のアドレス・バーのポップアップ」という、もっと手軽に(しかしもっと安く)行える解決策を発見したことは明らかです。
「合成した偽のアドレス・バーのポップアップ」
左側は、「フィッシングされた」ユーザが導かれる最初のページです。リンクをクリックすると、右側に示されたポップアップ・ウィンドウが開きます。Firefoxで「ポップアップを新しいタブで開ける」を選択すると、ポップアップ・ページの「本当の」アドレスがアドレス・バーに表示されることに注目してください。それから少しすると、ポップアップの内容は次のようなものになります。
少々安っぽい感じもしますが、たいしたものです。
・419詐欺がフィッシュと出会う時
ナイジェリア刑法の該当する条項から名づけられたいわゆる「419詐欺」は、戦争中の国(しばしばナイジェリア)で窮地に追い詰められた「だれか」から送られてきたことを装う詐欺Eメールです。その「だれか」はいつも、国を出るためのばくだいな金を持っていることを主張します。もちろんその人物は、その金の送金を助けるために個人の銀行口座を経由させてくれる人がいれば、その人に総額のかなりの謝礼(数百万ドルにものぼる)を出すと持ちかけます。この詐欺に引っかかった人は間もなく、送金は永久に延期され、送金のための「サービス料」と税金だけが次から次へと取り立てられることに気付くでしょう。高度な419詐欺の場合は、被害者が電話で会話し、上記で挙げた国に招待されるところまでエスカレートします。そこで被害者は身体的な脅迫を受けるのです。
今月は419とフィッシングを組み合わせて恐ろしい詐欺に仕立てるという、新種の脅威が報告されました。この詐欺では被害者は419Eメールにリンクされたオンライン銀行で「無料の」口座を開設するよう求められます。もちろん、このリンクは偽のバンキング・サイトに誘導するものです。標的になったユーザが開設したばかりのオンライン口座に、Eメールで言及されていた心を動かす金額が表示されます。そこで被害者はその金を、自分の本物かつ合法的な銀行口座に送金することになります。もちろんこれは絶対に実現しません。しかし送金の為のサービス料金を「仲介銀行」に事前に送金しなければならないのです。
これはおそらく、最近目の当たりにした中で最も芸が細かく恐ろしいソーシャル・エンジニアリングでしょう。
●Ransomwareが戻ってきた:Cryzipの事例
昨年5月のことですが、W32/GPcoder-trと名づけられたトロイの木馬型ウイルスが、一般的なユーザを手当たり次第に標的にして、オンラインによる「ゆすり」を始めました。このトロイの木馬は感染したユーザのハードドライブにあるファイルを独自のアルゴリズムで暗号化して、復号化キーを取り戻すものでした。今月、W32/Cryzip!trという同様のトロイの木馬が出現しましたが、今回は目的を達成するのに圧縮暗号化ライブラリを使用しています。この事例は様々なサイトですでに大々的に取り上げられているので、ここでは特に興味深いポイントだけに絞って話をしましょう。
このトロイの木馬は、被害者に支払い方法(e-gold口座を経由)をこと細かく指示した大々的なハウツーを残しています。これは、次のような非常に面白い警告が特色になっています。
「その4、パスフレーズ。これはe-gold口座に関連する中で最も重要な情報です。パスフレーズを安全かつ確実に保管することがいかに大切かは、何度強調しても足りないほどです。」
本当に、セキュリティを危うくするようなことはしないでください。さもなければ、我々の前に他の犯罪者があなたの大切なものを盗むことになってしまうのですから。
このトロイの木馬はBagleのマイナーな変種に感染したマシンからダウンロードされた後、それ用にコンパイルされ、非常に少ない数がばらまかれました。Cryzipバイナリーを提供しているサイトは特定のUser Agentストリングにだけ反応するので(伝統的なブラウザー経由ではダウンロードできないことを意味します)、「逮捕」されるリスクが低くなり、オンライン上の寿命が延長します。
圧縮暗号化のパスワードはマルウェアの中でハードコードされているため、ウイルス作者たちに「どうしたら隠せるのだろう?」という本質的な問題をもたらします。彼らは暗号化を行わないことを選択し、かわりに「C:\Program Files\Microsoft Visual Studio\VC98」という非常にありふれたストリングを使うのです。
これにより、マルウェアからストリングを取り出しただけではパスワードの推定が困難であるものの、リバース・エンジニアリングを使えば即座にトリックが暴き出せます。
|
