無料アンチスパイウェア
脆弱性を突く国際的なスパイメール [アンチスパイウェアニュース]
脆弱性を突く国際的なスパイメールが横行しているようですね。
キングソフトのインターネットセキュリティは、
OSの脆弱性やスパイウェアをスキャンしてくれるので、
安心ですね。
しかも無料なので、まだセキュリティソフトを導入していない人は是非!
http://www.kingsoft.jp/is/antispyware.html
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
サンフランシスコ発――コンピューター・セキュリティーの専門家によると、チベット支援団体、米国の防衛関連企業、政府機関などを標的に、それまで知られていなかった『Microsoft Office』のセキュリティー・ホールを利用してコンピューターに侵入する事例が増加したことから、米Microsoft社は2006年と2007年に、Microsoft Officeのパッチを矢継ぎ早に出すことになったという。
中国発のように見えるこうした攻撃が始まったのは2006年初めのことだ。わなを仕掛けた『Microsoft Word』の文書や『Microsoft Excel』のスプレッドシートを添付した電子メールが送信されてくるようになった。
セキュリティーソフト・ベンダーであるフィンランドのF-Secure社で最高調査責任者(CRO)を務めるMikko Hypponen氏は、4月10日午前(米国時間)、米国で開催された『RSA Conference 2008』の出席者に対し、「トロイの木馬を使ったスパイ行為が増えてきている。この2年間の変化だ」と語った。
米国防総省と複数のチベット支援団体は侵入があったことをすでに認めているが、コンピューター・ネットワークを使ったスパイ行為を、Microsoft社が説明なしに送り出していた一連のパッチと結びつけたのはHypponen氏が初めてだ。
Microsoft社にコメントを求めたが、返事は得られなかった。
Hypponen氏の同僚であるPatrik Runald氏は、2005年から2006年の初めにかけてMicrosoft社はOffice向けのパッチをほとんど出していない、と指摘している。しかしそれからまもなく、コンピューターへのウイルス感染に利用可能な、深刻なバグに対するパッチが激増した。2006年10月に出したパッチは26件にのぼり、Microsoft Office製品の深刻なバグが4件修正された。
こうした修正は、防衛関連企業、非営利団体、政府機関を標的とした攻撃の急増と同時期に実施されたと、Runald氏は言う。「バグとその悪用の発見に乗り出す動機ができたというわけだ。悪い奴らはバグを見つけるのが早い」
攻撃する側は、相手が電子メールの添付書類を開くように仕向けるしかないが、そのために求職者からの履歴書を装うケースがある。
添付書類を開くと、多くの場合アプリケーションがクラッシュして、埋め込まれていたコードが、キーロガー[キーボードの操作を記録する]とデータを盗むソフトウェアをひそかにインストールする。後者は、被害者となるユーザーが所属する組織のネットワーク上にある、ユーザーがアクセスできるあらゆる場所から書類をかき集める。
それから、書類やパスワードなどの盗んだ情報を「8800.org」のような中国のサービスに転送する。8800.orgは『DNSバウンサー』(DNS-bouncer)と呼ばれるダイナミックDNSサービスで、攻撃者はこれを利用することにより、盗まれた情報が送信される先をすみやかに変更し、わかりにくくできる。埋め込まれていたコードは最後に、コンピューターが感染したことに気づかれないよう、きちんとした書類に見えるものを開く。
[なお、Symantec社は4月14日、日本の複数の企業が、日本政府機関からのメールと偽る攻撃を受けていることを報告している。添付ファイルのひとつにはキーロガーが仕込まれており、盗まれたデータは3322.orgというDNSバウンサーに送られる。3322.orgは、米国国防総省の契約企業などへの攻撃に使われたものと同じという。]
Hypponen氏によると、このスパイ行為はかなりの成功を収めた。F-Secure社に協力を求めた、数十億ドル規模のとある防衛関連企業のケースでは、セキュリティーを破られたWindows搭載マシン1台が18ヵ月にわたって、中国大陸のサーバーへひそかに情報を流出させていた。
「攻撃の大半は見つかることがなく、標的にされた側は被害に気づかない」とHypponen氏は言う。
Hypponen氏はスパイ行為が中国政府や同政府に忠実なハッカーの仕業だとは断言していないが、証拠はすべてその方向を指している。
「中国によるものだろうか。そう見えるのは確かだが、目くらましかもしれない。私たちにはわからない」とHypponen氏は話す。
標的型攻撃に関する警告は目新しいものではないが、政府や非営利団体に対するスパイ行為の増加に、専門家は警戒感を抱いている。
かつてセキュリティー調査会社は、インサイダー取引の情報や企業秘密を盗み出したり、新作映画の海賊版DVDをいち早く製作するために公開前作品を狙ったりする、金銭目的の侵入者に対処することがずっと多かった。「今は、金銭目的の侵入者だけでなく、情報を欲するスパイにも対処しなければならない」とHypponen氏は語る。
チベット暴動以降、チベット支援団体への攻撃も急増している。3月17日には、チベット支援団体のメーリングリストに対して、国連からと偽ったファイルが送付された。この文書は、開かれると、PGP暗号鍵を盗むマルウェアをインストールしようとする。Hypponen氏によるとこれは、ターゲットとなった組織で、通信を安全なものにするべく使われているツール群に対する攻撃の一環だという。
2006年や2007年の攻撃と同様、現在の攻撃も、単一のハッカー集団による仕業のように見えるという。あるターゲットに使われた攻撃ファイルは、しばしば、数週間のうちに別のターゲットに使われる。「これらのファイルは同じハッシュを使っている」とHypponen氏は語る。「同じ攻撃者だというのはほとんど明らかだ」
攻撃者は、攻撃の前にあらかじめターゲット先に電話をかけ、たとえば自分の出すメールが全て帰ってきてしまう、というようなことを言って、その組織がどんな種類のアンチウイルスソフトを使っているかを確認することがあるという。また、メールのヘッダに、受信者がこのメールは同僚か信頼できる情報源からのものだと思わせるよう細工もするという。
こうした攻撃に対抗するための提案としてHypponen氏が提案するのは、F-Secure社の無料ルートキット検出ツール『BlackLight』を使い、セキュリティーパッチをすみやかにインストールし、さまざまなベンダーのセキュリティー対策を何層にもわたって採用し、「怪しいホスト」へと向かうトラフィックを監視することだ。
米Adobe Systems社の『Adobe Reader』もターゲットにされているとされ、ほかのPDFリーダーの利用をHypponen氏は推奨した。さらに同氏は、オープンソースによるOffice代替ソフト『OpenOffice』がターゲットになっていないことを指摘した。
ユーザーが感染に気づくことも可能だ。バグを突くプログラムはたいてい、Microsoft WordやAdobe Readerを一度クラッシュさせ、それから本物のファイルでアプリを起動させるからだ。このため、画面が短くフラッシュするほか、復元されたWord書類のパネルに、バグを突くファイルの名前が表示されていることがある。
livedoorニュースより
キングソフトのインターネットセキュリティは、
OSの脆弱性やスパイウェアをスキャンしてくれるので、
安心ですね。
しかも無料なので、まだセキュリティソフトを導入していない人は是非!
http://www.kingsoft.jp/is/antispyware.html
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
サンフランシスコ発――コンピューター・セキュリティーの専門家によると、チベット支援団体、米国の防衛関連企業、政府機関などを標的に、それまで知られていなかった『Microsoft Office』のセキュリティー・ホールを利用してコンピューターに侵入する事例が増加したことから、米Microsoft社は2006年と2007年に、Microsoft Officeのパッチを矢継ぎ早に出すことになったという。
中国発のように見えるこうした攻撃が始まったのは2006年初めのことだ。わなを仕掛けた『Microsoft Word』の文書や『Microsoft Excel』のスプレッドシートを添付した電子メールが送信されてくるようになった。
セキュリティーソフト・ベンダーであるフィンランドのF-Secure社で最高調査責任者(CRO)を務めるMikko Hypponen氏は、4月10日午前(米国時間)、米国で開催された『RSA Conference 2008』の出席者に対し、「トロイの木馬を使ったスパイ行為が増えてきている。この2年間の変化だ」と語った。
米国防総省と複数のチベット支援団体は侵入があったことをすでに認めているが、コンピューター・ネットワークを使ったスパイ行為を、Microsoft社が説明なしに送り出していた一連のパッチと結びつけたのはHypponen氏が初めてだ。
Microsoft社にコメントを求めたが、返事は得られなかった。
Hypponen氏の同僚であるPatrik Runald氏は、2005年から2006年の初めにかけてMicrosoft社はOffice向けのパッチをほとんど出していない、と指摘している。しかしそれからまもなく、コンピューターへのウイルス感染に利用可能な、深刻なバグに対するパッチが激増した。2006年10月に出したパッチは26件にのぼり、Microsoft Office製品の深刻なバグが4件修正された。
こうした修正は、防衛関連企業、非営利団体、政府機関を標的とした攻撃の急増と同時期に実施されたと、Runald氏は言う。「バグとその悪用の発見に乗り出す動機ができたというわけだ。悪い奴らはバグを見つけるのが早い」
攻撃する側は、相手が電子メールの添付書類を開くように仕向けるしかないが、そのために求職者からの履歴書を装うケースがある。
添付書類を開くと、多くの場合アプリケーションがクラッシュして、埋め込まれていたコードが、キーロガー[キーボードの操作を記録する]とデータを盗むソフトウェアをひそかにインストールする。後者は、被害者となるユーザーが所属する組織のネットワーク上にある、ユーザーがアクセスできるあらゆる場所から書類をかき集める。
それから、書類やパスワードなどの盗んだ情報を「8800.org」のような中国のサービスに転送する。8800.orgは『DNSバウンサー』(DNS-bouncer)と呼ばれるダイナミックDNSサービスで、攻撃者はこれを利用することにより、盗まれた情報が送信される先をすみやかに変更し、わかりにくくできる。埋め込まれていたコードは最後に、コンピューターが感染したことに気づかれないよう、きちんとした書類に見えるものを開く。
[なお、Symantec社は4月14日、日本の複数の企業が、日本政府機関からのメールと偽る攻撃を受けていることを報告している。添付ファイルのひとつにはキーロガーが仕込まれており、盗まれたデータは3322.orgというDNSバウンサーに送られる。3322.orgは、米国国防総省の契約企業などへの攻撃に使われたものと同じという。]
Hypponen氏によると、このスパイ行為はかなりの成功を収めた。F-Secure社に協力を求めた、数十億ドル規模のとある防衛関連企業のケースでは、セキュリティーを破られたWindows搭載マシン1台が18ヵ月にわたって、中国大陸のサーバーへひそかに情報を流出させていた。
「攻撃の大半は見つかることがなく、標的にされた側は被害に気づかない」とHypponen氏は言う。
Hypponen氏はスパイ行為が中国政府や同政府に忠実なハッカーの仕業だとは断言していないが、証拠はすべてその方向を指している。
「中国によるものだろうか。そう見えるのは確かだが、目くらましかもしれない。私たちにはわからない」とHypponen氏は話す。
標的型攻撃に関する警告は目新しいものではないが、政府や非営利団体に対するスパイ行為の増加に、専門家は警戒感を抱いている。
かつてセキュリティー調査会社は、インサイダー取引の情報や企業秘密を盗み出したり、新作映画の海賊版DVDをいち早く製作するために公開前作品を狙ったりする、金銭目的の侵入者に対処することがずっと多かった。「今は、金銭目的の侵入者だけでなく、情報を欲するスパイにも対処しなければならない」とHypponen氏は語る。
チベット暴動以降、チベット支援団体への攻撃も急増している。3月17日には、チベット支援団体のメーリングリストに対して、国連からと偽ったファイルが送付された。この文書は、開かれると、PGP暗号鍵を盗むマルウェアをインストールしようとする。Hypponen氏によるとこれは、ターゲットとなった組織で、通信を安全なものにするべく使われているツール群に対する攻撃の一環だという。
2006年や2007年の攻撃と同様、現在の攻撃も、単一のハッカー集団による仕業のように見えるという。あるターゲットに使われた攻撃ファイルは、しばしば、数週間のうちに別のターゲットに使われる。「これらのファイルは同じハッシュを使っている」とHypponen氏は語る。「同じ攻撃者だというのはほとんど明らかだ」
攻撃者は、攻撃の前にあらかじめターゲット先に電話をかけ、たとえば自分の出すメールが全て帰ってきてしまう、というようなことを言って、その組織がどんな種類のアンチウイルスソフトを使っているかを確認することがあるという。また、メールのヘッダに、受信者がこのメールは同僚か信頼できる情報源からのものだと思わせるよう細工もするという。
こうした攻撃に対抗するための提案としてHypponen氏が提案するのは、F-Secure社の無料ルートキット検出ツール『BlackLight』を使い、セキュリティーパッチをすみやかにインストールし、さまざまなベンダーのセキュリティー対策を何層にもわたって採用し、「怪しいホスト」へと向かうトラフィックを監視することだ。
米Adobe Systems社の『Adobe Reader』もターゲットにされているとされ、ほかのPDFリーダーの利用をHypponen氏は推奨した。さらに同氏は、オープンソースによるOffice代替ソフト『OpenOffice』がターゲットになっていないことを指摘した。
ユーザーが感染に気づくことも可能だ。バグを突くプログラムはたいてい、Microsoft WordやAdobe Readerを一度クラッシュさせ、それから本物のファイルでアプリを起動させるからだ。このため、画面が短くフラッシュするほか、復元されたWord書類のパネルに、バグを突くファイルの名前が表示されていることがある。
livedoorニュースより
コメント 0