昔は良かった？パート2

数日前、私たちは古い型の感染のテクノロジーについて、どのように出現したか、また金銭目的のマルウェアが、どのように伝統的な古い型のウイルスと組み合わさっているかについて、お話しました。

今日、私たちは、最近検出されたrogue morphs の一つに関する興味深いケースに遭遇しました。Antispyware3000といいます。

これが動作する方法は、いったんコンピュータにインストールされると、ウソの感染警告メッセージを表示します。私たちは製品の代金を払い、脅威は取り除かれ、コンピュータシステムの保護はキープされる...というのは真実ではありません。（彼らは私たちからお金を取り去るのであり、ほかには何も除去しないのです）

この偽のアンチウイルスの興味深い特徴は、そのWebサイトにアクセスしインストーラをダウンロードしたときです。インストーラは、 W32/Jeefo.A,という2003年に最初に現れたウイルスに感染しています。
偽のアンチウイルス作成者が目的があってこうしたのかどうかは、私達はわかりません。彼らはマルウェアの取り扱いについて特に注意は払わず自身の好みの薬を味わわせているのです。

あらわにされる銀行の機密情報

PandaLabsのテクニカルライターであるOlaiz氏は、ユーザーのプライバシーにとって、大きな脅威の一つである” Banking Trojans”に関する興味深いドキュメントを発表したところです。
特に、彼らがどうやってコンピュータに侵入するか、そしてどうやって情報を盗むかについての情報を見ることができます。もっとも注目すべき情報の一つは、この実入りの良い犯罪ビジネスの背後にある複雑な構造です。
皆さんは、Banker Torojansの作成者も、実際に金銭を盗む泥棒と同じような人達であると思われるかもしれません。しかしそれは以下のイメージに見られるとおり、それほど単純ではありません。


もしあなたがこの図をどう解釈すべきかについて、またこれらの脅威自身についてもっと知りたいと思われたなら、是非以下のドキュメントをご覧ください（英文）

尚、PandaLabs レポートセクションで、PandaLabsが発表したいろいろなレポート（英文）をご覧頂けます。

昔は良かった？

Luis Corrons （PandaLabsテクニカルディレクター）

現在、私達は1日に25,000個のマルウェアサンプルを処理しています。
私達は、時々昔を思い出します。ラボで受け取った最新のウイルスを逆アセンブルするためにいつも戦っていた頃を・・・。
あなたはどう思いましたか？我々はフリークなのです;-)

けれども、最近では、マルウェアの大半が、トロイの木馬や偽セキュリティソフト（rogueware）などであるのが現実です。私達が主に話題にするのは、非ポリモーフィック型または非ウイルス型のマルウェアについてで、我々が悩まされる主な問題は、アンチウイルスのシグネチャ検知を回避するためのいくつかのパッカーやその類です。
もちろん、あなたがTruPreventのような静的ファイルそのものよりもむしろプログラムのふるまいを監視するテクノロジーを持っていれば大した問題ではありませんが。

マルウェアは進化を続け、アンチマルウェアテクノロジーも同様に進化しています。
Pandaの最新の年次レポート(pdf)の中で説明したのは、今年は、トップのアンチウイルスベンダー達が使っているテクノロジーのいくつかをすりぬけるための方法として、古いテクニックを使ったものが増加するだろうと私が見込んでいるということでした（–> 古いウイルスの手口、ウイルスやトロイのふるまいを併せ持つものなど）。
我々は既にこの変化が起きていることを確認しています。2月初めの週に新しいウイルスが出現し、我々はそれをW32/Sality.AOと名づけました。

このよく知られたファイル感染型の新しい亜種について、なぜ言及する価値があるのでしょうか？　

まず、このウイルスは、感染させるファイルを探すためにハードドライブ全体のスキャンはせず、無差別になりすぎることを避ける位十分にスマートですが、悪質なコードを実行していくつかのファイルが感染したとたん、さらにそのコンピュータで実行されるいくつかの新しいファイルを感染させることになるでしょう。

その上、PEファイルを感染させるために非常に複雑なテクニックを使っています。：
EPO(Entry Point Obscuring)型/検知を避けるためにエントリポイントを隠そうとする技術や、Cavity型(感染先ファイルの空白部分に追記するだけでファイルサイズを変えない検知を困難にするための技術)、異なる暗号化レイヤーなど…。
そしていつも同じ方法ではなく、一つのサンプルが、おそらくEPOによる感染で、一つが暗号化レイヤー、別の一つがEPOによるものだったり、Cavityと2つの暗号化レイヤーによるものだったりします。
また、もしこの方法が十分でなかった場合は、コマンドを受け取るためのIRCサーバーに接続したりします。そしてさらに、私たちのコンピュータをより多くマルウェアに感染させるために、インターネットからファイルのダウンロードを試みるでしょう。そしてiFrameタグを挿入することによって、.PHP、.ASP及び.HTMLファイルを感染させたりします（むしろ”改変する”と言いたい）。それは、Webブラウザ経由で”感染した”ファイルのいくつかを訪問する際に、脆弱性を突いて新しいファイルをダウンロードさせて実行させます。このファイルは二重のマルウェアであり、ウイルスに感染したトロイダウンローダーなのです。

ここで、私達はいくつかの古き良きポリモーフィック型で自己複製型の動きを見落としていました。W32/Salityの別の亜種が今来ました。
私達は今夜ほとんど眠れそうにないですね…。

"Panda コレクティブインテリジェンス"と "VirusTotal"

Panda Securityは、およそ二年前から、クラウドコンピューティングによるスキャニングテクノロジーである”Pandaコレクティブインテリジェンス”を、無料オンラインスキャナーのPanda ActiveScan やPanda 2009個人向け製品から使い始めています。

コレクティブインテリジェンステクノロジーのおかげで、コミュニティからの情報収集、脅威の分析、複数のテクノロジーのチェック、マルウェア／グッドウェアの判定や、シグネチャの生成などが、完全自動化され、従来のシグネチャによるアプローチよりも早く、最新かつ最も危険な脅威にも立ち向かい、プロテクトすることが可能となりました。

Panda コレクティブインテリジェンスのクラウドスキャングテクノロジーが、VirusTotalサービス（疑わしいファイルを解析するサービス）にもインテグレートされたことは、Pandaにとってとてもハッピーなお知らせです。

下記は、動作中のPandaコレクティブインテリジェンスが、数時間前に拡散し始めた新しいマルウェアを検知している状況です。(MD5: a0713a3639c9d4901daf774022f4bfd2)

これはAdware/Antivirus2009という悪質なアンチウイルス。VirusTotalで検索した結果です（下記の結果は、02.12.2009 12:35:51 (CET)現在）。

実際にVirusTotalの最新情報をチェックしてみてください。こちら(a0713a3639c9d4901daf774022f4bfd2 を検索してください)

他社のエンジンがどのように検知状況を追加していくかをご覧頂けます。

Digg.comのコメント欄はマルウェアの配布に利用されていた

- サイバー犯罪者達は、クリスチャン・ベールやメーガン・フォックス、ジェシカ・シンプソンのようなセレブのビデオへのリンクを貼るコメントを投稿するために、盗んで入手したアカウントを使っている

- ユーザーがそれらのビデオをみようとすると、”codec”をダウンロードするように促される

- その“codec”は、単なるVideoPlayアドウェアのコピーである

これは、サイバー犯罪者達がマルウェアを配布する為に、どのようにWeb2.0を利用しているかの一例である。
Digg.com (http://www.digg.com/)は、世界的にポピュラーなニュースやリンクを集めるサービスで、サイバー犯罪者達によってVideoPlayアドウェアを配布するために使われている。彼らはセレブリティのビデオ関連のニュースアイテムにコメントを残すことでこれを行っている。例えば以下のようなコメントを含む：

　クリスチャン・ベールの奇行ビデオ!

　ジェシカ・シンプソンのホテルSEXテープ

　メーガン・フォックスの裸のNEW SEXテープ

これらのコメントには、ビデオへのリンクのアピールが含まれている。ユーザーがリンクをクリックすると、ビデオを見るために”codec”のダウンロードを促すページにリダイレクトされる。もしそれに従うと、アドウェアであるVideoPlayがコンピュータにダウンロードされてしまう。

このアドウェアは、偽のアンチウイルス製品のカテゴリに入る。全てのこの種のマルウェアと同様、VideoPlayは、あたかもシステムがマルウェアに感染したようにユーザーを騙し、アンチウイルス製品のように、コンピュータの偽のスキャンが実行するように設計されている。さらにこのウソを信じ込ませるために、システムが正しく動作するのを妨げ、いくつかのマルウェアの被害に遭ったという印象を促す。そして、偽のアンチウイルス製品の有料バージョンを使ってマルウェアを駆除するための選択肢をユーザーに提供する。目的は明らかにこの偽のセキュリティソリューションの販売から利益を得ることである。

Panda Securityの研究所であるPandaLabsの当初の分析では、Digg.com上で、50プロフィール以上この種のコメントが残されているのを検知している。

PandaLabsのテクニカルディレクターであるLouis Corronsは,

「利用されているこれらのプロフィールは、多分アカウントパスワードを入手することで所有者から盗まれたものです。これは信頼されているWeb2.0サービスを利用してサイバー犯罪者たちがマルウェアを配布するもうひとつの例です。」と述べている。

※詳細細情報はPandaLabsブログで

関連画像はこちら：

http://www.flickr.com/photos/panda_security/tags/videoplay/

アカデミー賞は…”ブラッド・ピット”と”トム・クルーズ”

PandaLabsの調査による、悪意のあるコードに最もよく使われるセレブリティの名前

- PandaLabsによると、これらは悪意のあるemailに最もよく登場するセレブリティの名前である

- ブリトニー・スピアーズ、アンジェリーナ・ジョリー、リンジー・ローハンもリストの上位に

- フェルナンド・アロンソは11位で、スペイン人のトップ

アカデミー賞の発表を間近にして、マルウェア分析及び検知研究所であるPandaLabsは、2008年にサイバー犯罪者達によって悪意あるemail（スパムやマルウェアに感染したemail）で最もよく使われたセレブリティの名前のランキングを作成した。

調査の結果は、ハリウッドの俳優達が、いかに2008年のサイバー犯罪者達にとって有用な餌であったかを明確に示している。特に、”ブラッド・ピット(12.57%)”、”トム・クルーズ(12.14%)”は、ランキングの１位２位にランクされ、２人あわせると有名人に関連した全ての悪意あるemailのおよそ４分の１を占めている。彼らは”マルウェア・アカデミー賞”の今年の同時受賞者である。

女性陣は、下位ではあるがさほど離されずトップ10の残りのほとんどを占めている。女優の”アンジェリーナ・ジョリー(11.62%)”、”リンジー・ローハン(10.15%)”、”ジェシカ・アルバ(9.52%)”は、それぞれ４位、５位、７位。ジェニファー・アニストンは5.14%でランキングの10位だった。

一方で、リストには評判が高かったり意欲的な歌手も含まれている。”ブリトニー・スピアーズ”は、12.01%で全体の３位、”アメリカンアイドル(アメリカの視聴者参加型リアリティ番組)”の参加者は、セレブリティと関連した全ての悪意あるemailのうち9.79%で６位に位置した。

８位と９位は、ベテランTVプレゼンターである”オプラ・ウィンスリー(8.08%)”と”パリス・ヒルトン(6.64%)”が占めた。

スペイン人のトップはF1レーシングドライバーの”フェルナンド・アロンソ”、0.72%で11位だった。
“クリスティーナ・アギレラ”、”バラク・オバマ”、”ルイス・ハミルトン”、”タイガー・ウッズ”、”リアーナ”、”シャキーラ”、”マドンナ”、”スカーレット・ヨハンソン”、”フィデル・カストロ 前議長”も、サイバー犯罪者の餌として使われたその他の有名人に入っている。

「サイバー犯罪者達は、インターネットでユーザーがよく検索したり、フォーラムやソーシャルネットワーク上でしばしば話題になる名前を常に押さえています。彼らはスパムを送信する時それらの名前を使います。このようにして、彼らはユーザーをそそのかしemailを開けさせ、リンクや添付ファイルを実行させるのです。これはソーシャルエンジニアリングとして知られています。」と、PandaLabsのテクニカルディレクターであるLuis Corrons氏は説明する。
「餌に食いついたユーザーは、コンピュータが必ず何らかのマルウェアに感染してしまうでしょう。」

これらのemailに含まれる典型的なフレーズは以下の通り:

“Angelina Jolie nude” (アンジェリーナ・ジョリーのヌード)
“Britney Spears hot images” (ブリトニー・スピアーズのホットな画像)
“Rihanna exposed” (リアーナ露出)
“Scarlett Johansson spills boobs” (スカーレット・ヨハンソンおっぱい流出)

※セレブリティに関連した悪質なemailの画像はこちら
http://www.flickr.com/photos/panda_security/tags/famous/
Panda Securityは、有名人の話や写真を含んでいると主張するいかなるメールも開かず、また、そのようなメールのどんな添付ファイルやリンクも決して実行しないことを、ユーザーに忠告します。

もうすぐバレンタインデー

バレンタインデーまで残すところあと4日。

この特別な日は、Waledacというワームを拡散させるために再び使われています。
ロマンティックな件名を使って拡散するのは、W32/Waledac.J.worm.。

配布に使われているemailのメッセージは、下記のような悪質なWebサイトへのリンクを含んでいます。

Pandaは、次のような悪意あるドメインを発見しました。（注意！）：

hxxp://cantlosedata.com
hxxp://losenowfast.com
hxxp://theworldpool.com
hxxp://alldataworld.com
hxxp://mingwater.com
hxxp://alldatanow.com
hxxp://cantlosedata.com

ワームに使われるファイル名は様々ですが、多くは恋愛に関連しています。

発見したものは以下の通り：

run.exe, ecard.exe, programm.exe, lovekit.exe, runme.exe, start.exe, loveexe.exe, save.exe....など。

Waledacはバレンタインデーを愛しています。

恋人の皆さん気をつけてください。

第一回 セキュリティブロガーサミットが出した結論

「我々が持っているテクノロジーの背後にある経済的要因について留意しておかなければならない。我々はより優れたテクノロジーを持つことができるはずだが、その代価を支払う覚悟ができていない。市場は必ずしも優れたものに対してではなく、クールなもの、高速なものに報酬を支払っている。」- Bruce Schneie氏 -

- 基本的なセキュリティのコンセプトにおいて、インターネットユーザーを教育する必要がある。これは、サイバー犯罪の被害に遭う人の数を減らす唯一の方法であり、責任は公と民の両機関で共有するべきである。

- Sebastian Muriel氏, Red.esジェネラルマネージャー「セキュリティに関する問題の80％は、常識で解決するものである。」

- 第一回セキュリティブロガーサミットは、Panda Security が企画し、ITセキュリティ関係者200人を招待し、アメリカとスペインから11人のオピニオンリーダーを含めたディスカッションのホストを務めた。


セキュリティ市場と更に優れた保護の必要性に関して、第一回セキュリティブロガーサミットで達した結論のひとつは、Bruce Schneier氏によって概説された。「我々が持つテクノロジーの背景にある経済的要因について留意しなければならない。我々はより優れたテクノロジーを持つことができたが、その代価を支払う準備ができていない。市場は冷静さと迅速さに報酬を支払うが、それは良いことではない。」

基本的なセキュリティの概念について、インターネットユーザーを教育する必要性は、この分野を前進させサイバー犯罪の犠牲者を減らす唯一の方法である。これはPanda Security によって、マドリッドのCírculo de Bellas Artesで２月4日に開催されたイベントの、
もうひとつの焦点だった。（詳細はこちらhttp://www.securitybloggersummit.com/）

このイベントには、公共・民間機関の代表者やジャーナリスト、ブロガーを含む200名がITセキュリティ界から参加した。

ディスカッションへの参加者は、Bruce Schneier氏（ブロガー、ITセキュリティの先導者）、Andy Willingham氏（金融系セキュリティ企業の情報セキュリティ部門役員、Andy ITGuyの作者）、Antonio Ortiz 氏(Weblogs SLの共同創設者), Steve Ragan氏 (Tech Heraldのセキュリティ担当エディター), Byron Acohido氏, Javier Villacañas 氏(COPEジャーナリスト、“A todo chip”ブログの作者), Ero Carrera氏 (Hispasec), Sebastián Muriel氏 ( Red.esジェネラルマネージャー), Francisco A. Lago氏 (The National Institute of Communication Technologies (INTECO) ) 、César Lorenzana氏 (Spanish Civil Guardのテクノロジー犯罪担当部門)であった。

この日の3番目の議題は、啓蒙活動によって、公と民の両機関間でユーザーの教育に関して責任を共有する必要性があることを取り扱った。この趣旨でAndy Willingham氏は、「コンピュータの安全な使い方について学ぶ必要があるのはユーザー達自身である、なぜならば危険にさらされるのは彼ら自身であるからだ。」と説明した。

Red.esのジェネラルマネージャーであるSebastián Muriel氏は、「問題の80%は常識で解決できるものである。」と述べた。


啓蒙と責任

セッションは、Bruce Schneider氏の15分のスピーチでスタートした。彼はインターネットを代表する主な進歩を強調して、“ロックンロール後の最も重要な革命のひとつ”と呼び、そしてセキュリティ問題の基礎となる経済的要因を強調している「我々はより優れたテクノロジーを手に入れることができた。しかし、それに対する代価を払う覚悟ができていない。市場は冷静さと迅速さに報酬を支払うが、しかしそれは良いことではない」

彼は更に、セキュリティに関する責任が政府機関だけに押し付けるのではなく、ユーザーや企業が自分達の役割を果たす必要性に注意を向けた。「クレジットカードの場合、政府はユーザーを教育してはおらず、企業に問題が引き渡され彼らが調査を行なってきた。それと同様に、問題を単にユーザーだけにシフトさせることはできず、銀行や他の企業も分担すべきである。」

そのほかのスピーカー達は、セキュリティへの責任に関して賛同するともに、さらに意見を進めた。
Byron Acohido氏は、「問題の90%はユーザーに転嫁するものではない。もしエラーのあるシステムが市場に出回ったら、それは明らかにユーザーの責任ではない。」
一方、Francisco Lago氏は「主な問題は、ユーザーのふるまいである」と信じ、良い習慣についての啓蒙活動が、セキュリティリスクを避ける最良の手段である、と述べた。

Andy Willingham氏とSteve Ragan氏は、エキスパート達がこの教育を、シンプルかつわかり易い言葉で率いることの必要性について一致した。「ブログやセキュリティ関連のメディアはあるが、ユーザーはそれらを理解できておらず、そしてそれが続く限り、何度も同じ間違いを繰り返すのをわれわれは見続けることになるだろう。」とRagan氏は強調した。


サイバー犯罪の現状と対処

スピーカー全員が、ここ数年の主な傾向のひとつがサイバー犯罪のプロ化であることに同意した。

Cesar Lorenzana氏はこう説明した。「よりたくさんのマルウェアが存在するということではなく、マルウェアが今犯罪者達に利益をもたらすということなのだ。それは生計を立てる手段なのだ。」
Francisco Lago氏は、ユーザーの中のセキュリティの間違った認識を強調した。「80%のユーザーが、自分のコンピュータが保護されていると信じている、にもかかわらず、彼らの4分の3は実は感染しているのだ。」

Antonio Ortiz氏は、サイバー犯罪者達が低姿勢を保ち、公共機関の追跡を避け続ける期間の長さを図で示した。「ボットネットのオーナー達は、結果として政治家たちがその問題に目を向けてしまう恐れのあるような、メジャーなWebサイトや政府のページに対するDoS攻撃のサービスは提供しない。彼らはそういった注目を浴びることを望まない。」 政府やセキュリティセクターが提供することが可能なこういった脅威に対するレスポンスに関して、Bruce Schneier氏は、この犯罪を追跡することの難しさを強調した。「これは国際的な問題であり、それが証拠を集めることや追跡などをより困難にしている。我々はローカルな窃盗に立ち向かうのは得意なのだが、国境を越えた犯罪は苦手だ。」

金銭的な被害につい尋ねられた時、Byron Acohido氏は、わずか一週間の攻撃で700万ドルを稼いだ、” Cosmos”として知られるドイツのサイバー犯罪集団の一例を取り上げた。

最後に、セキュリティリスクを回避するために、平均的なユーザーがどのような基本的な対策をとれるかについて公に尋ねられた時、パネリスト達は、問題に対する主な対処法として啓蒙活動を強調した。Bruce Schneier氏は、「バックアップと全てのプログラムのアップデートだ」と付け加えた。


※詳細画像はこちら　 http://www.flickr.com/photos/panda_security/tags/summit/

SaaS型アンチウイルスになりすます"Scan Virus"サイト

PandaLabsは、マルウェアに感染させるために興味深い方法を使う新しいサイトを発見しました。今回サイバー犯罪者達は、Software as a Service (SaaS) アンチウイルスソリューションになりすます方法を用いています。

"Scan Virus"というWebサイトは、から機密情報を取得するために、いくつかの正規ロゴやバッジを使用しています。偽のサイトでスキャンを始めるとすぐに、このサイトはAdware/Antivirus2009として我々が検知しているAntiVir.exeと呼ばれるファイルをダウンロードさせます。

“あなたのPCは感染しています！
申し訳ありませんが従来のプログラムでは駆除できません。”

“この問題を解決するパッチをダウンロードしてください”

といった画像を表示してユーザーを脅かそうと試みます。