ブログトップ

PCセキュリティ四方山話

spysweeper.exblog.jp

アンチウィルス、アンチスパイウエア等PCセキュリティに関する四方山話

<   2011年 02月 ( 5 )   > この月の画像一覧

こんにちは。
東京では本格的に雪が積もりましたね。
電車なども混乱しており、通勤が大変でした。。

今日はスパムに関してです。
お付き合い宜しく願います。

スパム メールに関しては、いくつかのセオリーがあります。本文中のリンクや電話番号は無視する、スパム送信者から商品を購入しない、添付ファイルを開かない、などです。今では、実行可能形式の添付ファイルは開かないのが常識ですし、スパム フィルターでは .exe ファイルはすべて疑わしいものとして扱われるようになっています。スパム送信者が実行可能ファイルを .zip ファイルに格納して送り付ける事例などもあります。

しかし HTML は実行可能ファイルではありません。単なるプレーン テキストです。だから、添付ファイルが HTML なら開いても安全だろう――そう思う人がいるかもしれませんが、大きな誤りです。そのいい例が、 我々のスパム メール収集用アドレスに先週届いたこの醜悪なメールです。

メールの件名には「お客様の口座からの送金のお知らせ」とあります。本文には、送金を深夜に完了できるとのご親切な説明があり、送金額は 28,126 ドルとなっています。これを読むと、何者かが銀行口座から、アメリカのテレビの深夜番組司会者の Jimmy Fallon 宛てにこの額を送金したのでなければよいが、という気になります。本文にはさらに、支払いの明細を添付した、との説明があり、その言葉どおり Copies of the payment.htm という添付ファイルが付いています。

e0224062_1133764.jpg


しかしこのファイルを開くと、落とし穴にはまります。

結果として、 3 つのマルウェアがインストールされてしまいます。パスワードを盗むフィッシング トロイの Zbot が 2 つと、起動のためのリモート アクセス バック ドアです。Zbot は、銀行口座アカウントのログイン情報など、機密性の高い認証情報を盗み出す性質を持ちます。そう考えると、このスパム メールの件名は、結果としては正しいと思います。まさに「口座からの送金」が行われるからです。ただし送金先は想定外ですが。

e0224062_115928.jpg


この添付ファイルを詳しく見てみると、わかりにくくするための若干の細工を加えた JavaScript コードが記述されています。このファイルをブラウザーで表示すると、コードの命令によって、DreamLifeAsia という Web サイトのページがブラウザーに読み込まれます。名前はポルノ サイト風ですが、実はそうではないのが驚きです。このページには、1 ピクセル四方のインライン フレームを raceobject.ru という Web サイトのページからブラウザーに読み込む命令が記述されています。

e0224062_1154591.jpg


この raceobject.ru のページには、さらに別の problemdollars.ru という Web サイトからブラウザーにペイロードをダウンロードおよび実行させるスクリプトが記述されています。これらの “品行方正” な Web サイトはロシアで登録されたもので、偶然か必然か、どちらも同じサーバーでホストされており、IP アドレスも同じです。

このような連鎖式のからくりを用意した敵は、天才気取りでコードを読みにくくする細工を施しています。たとえば、次のコードを見てください。一見しただけでは、どのような処理を行うのかわからないかもしれません。文字化けのように見えるはずです。

e0224062_1162392.jpg


ところが、赤い枠で囲んだ部分の中身を 1 文字おきに取り出して、目障りな文字列連結もなくすと、次のようになります。

e0224062_1164138.jpg


こうして、敵のお見事な細工を見破ることができました。これは、「それぞれの文字の間にランダムな文字を挿入する」という暗号化アルゴリズムです。発明されたのは太古の昔。5 歳の女の子が授業中に、アラム語の文章を書いた石板を友達に渡すときに、先生に内容を読まれないように工夫したのがきっかけです。当時との大きな違いは、i の文字の点の部分がハートになっていないことです。RSA と Bruce Schneier がハートを取り払ってしまいました。この連中は見るからにエリートです。

最後にこのページは、脆弱なブラウザーを使って、感染先のコンピューターにバックドアをダウンロードさせます。このバックドアは Zbot を取得します。Zbot は、司令塔のサーバーにアクセスし、命令が入ったデータ ファイルを取得して、感染したコンピューターのハード ドライブに自らのコピーを作成します。

さらにこのバックドアは、IE のすべてのセキュリティ ゾーン設定を変更し、クッキーをクリアします。また、Windows ファイアウォールの設定を変更して、Windows エクスプローラー (IE ではない) がインターネット上の誰からでもデータを受け取れるようにします。他にもセキュリティ設定を修正し、被害者が感染の度合いを強めるおそれは大きく高まります。

結局のところ、受け取った添付ファイルの種類は関係ありません。スパム メールに添付されたものをブラウザーで開くのはご法度です。どう見ても、このメールは単なる食わせ物です。Jimmy Fallon が欲しいのは、我々のお金ではなく、視聴率の数字です。それはさすがに Zbot では盗み出せません。
[PR]
by spysweeper | 2011-02-15 11:08 | セキュリティ全般
こんにちは。
昨日一昨日と都心でも雪が降り、冬が佳境といった時期ですね。
お体崩しておりませんか?

本日は日本でも広がりを見せているソーシャルネットワークの情勢について、世界ではどうなのかといったことを書きたいと思います。

e0224062_13421890.jpg


アメリカの新聞では毎日のようにソーシャル ネットワークがプライバシーやセキュリティに与える脅威について取り上げられてます。ソーシャル ネットワーク ユーザーは、マルウェアの攻撃や ID 盗難からネットいじめ、性犯罪者やストーカーによる被害、不適切なコンテンツの表示や投稿、失言 (正確には失入力 ?) で困ったことになるという常に存在するリスクまで、多数のリスクにさらされています。

また、ソーシャル ネットワークでさまざまな個人情報を公開すると良くない結果になることも想像できます。オーストラリアのある会社員は、前夜に飲みすぎて仕事をサボったことを投稿したために仕事を失いました。顧客情報の悪用について Facebook で自慢していたコール センターの従業員グループは解雇されました。

Facebook では毎日 40 万人以上、LinkedIn では毎週 40 万人のユーザーが新たに参加していると言われてます。従業員によるソーシャル ネットワークの乱用が加速しているため、経営者にとってソーシャル ネットワークは無視できない存在となっています。

広く知られることになったある事件では、刑事裁判の陪審員が裁判の詳細を Facebook に投稿し、友だちに自分が陪審員ならどう投票するか意見を募ったため、陪審員の任を解かれました。また、陪審員が裁判の詳細を Facebook に投稿したために審理無効となった例もあります。

Web そのものは長い間、ビジネスの生産性を高めるためのツールであると同時に時間を無駄にするうさんくさいものとして、両方の役割を果たしてきました。多数の調査で、職場からの Web アクセスは生産的な作業時間の損失につながることが論証されています。

■44.7 パーセントの被雇用者が、仕事を最も妨げるものとしてネットサーフィンを挙げている。- AOL と Salary.com
■従業員は 1 日に 2 時間以上、コンピューターで気晴らしをしている。(同上)
■「職場でのインターネット利用の 30 ~ 40 パーセントは業務に関係していない」- IDC
このところ、企業はこの二面性に頭を悩ませてきました。従業員の生産性を維持することは重要です。一方で、どんどん狭くなっている世界で競合他社や業界関係者の動向を把握することはもちろん、従業員の勤労意欲を保持することも同じくらい大切です。たとえば、従業員の生産性を維持し、仕事の阻害やリスクを減らすには、スパム フィルターを導入することも 1 つの方法です。私は常に、「セキュリティ対策としてメール フィルターを採用している会社はたくさんあるのに、Web フィルターを導入している会社はなぜこんなに少ないのだろう」と自分自身に問いかけています。

一部の企業は社内利用規定を見直し、ソーシャル ネットワークについて従業員の利用、投稿、コメントが認められていることと認められていないことを規定しています。すべての企業にとって、これは良い第一歩と考えられてます。ビジネスや顧客について自由にコメントすることを従業員に認めると、ビジネスに悪影響をもたらす予期しない (そして望ましくない) 情報が公開される可能性があるからです。とはいえ、ソーシャル メディアはどんどん変化していきます。従業員が問題を起こす可能性のあるすべての状況を利用規定でカバーできるとは限りません。

従業員にマスコミと話をさせたくなければ、ソーシャル ネットワークに投稿されるコメントの即時性と普及率についてよく考える必要があります。社内すべての人間が、会社に損失を与えるような情報や評判を落とすような情報をわずか数秒で世界に発信できるのですから。

ガイドラインや規則が整っていない企業は、地雷原の中に身を置くようなものであり、誤った行動によってビジネスに多大な損失をもたらす可能性があります。もしあなたが従業員のインターネット アクセスを認めている会社の経営者なら、インターネットの利用に関する規則を今すぐ策定することをおすすめします。これにより、従業員は何を許可されているのか、そしてどのような内容を掲載してはいけないのかを正しく理解できるようになります。

日本ではまだあまり広まっていないソーシャルメディア(ネットワーク)ガイドライン、今後広がりを見せるかもしれませんね。
[PR]
by spysweeper | 2011-02-13 13:54 | セキュリティ全般
今日は画像が英語版しかないので文字だけで簡単にご紹介します。

3 つの単語から成るキャンペーン スローガン「Stop. Think. Connect. (止まる。考える。接続する。)」は、すべてのインターネット ユーザーの当たり前の習慣になることを願って考えられました。道路を渡る前に左右を確認することの 21 世紀版とお考えください。

e0224062_114510.jpg


個人情報や機密データの流出を引き起こす最も一般的なネット詐欺の例を 5 つご紹介します。どうなるのかわかっていれば、無傷で立ち去ることができますからね。

詐欺その 1: お客様のコンピューターは (本当は感染していませんが) 感染しています。

詐欺の手口: コンピューターがウイルスに感染していると被害者に思い込ませます。偽の警告メッセージを表示したポップアップ ウィンドウが開きます。検索エンジンの結果を乗っ取って偽の「ウイルス スキャン」を起動し、被害者のコンピューター上の無害なファイルを「マルウェア」として報告します。悪意のある実行可能ファイルを被害者がダウンロードして実行するように仕向け、法外な「ライセンス料金」を被害者が支払うまでこの実行可能ファイルの削除を拒否します。

被害防止方法: このような詐欺のほとんどは、故意に操作された検索結果に端を発します。リンクをクリックすると詐欺に引っ掛かってしまいますが、まだ手遅れではありません。偽の警告が表示された瞬間にすべての操作をやめ、ブラウザーを終了して (必要であれば Alt + F4 キーも使用できます)、正規のウイルス対策製品でフル スキャンを行ってください。


詐欺その 2: 知り合いからリンク付きのメッセージが送られてくる

詐欺の手口: ソーシャル ネットワーク ユーザーの友だちに短い URL が記載された簡単なメッセージを送信します。この短い URL では、「コーデック」や「Flash 更新」プログラムをユーザーがダウンロードして実行するように仕向けるページを指すようにします。被害者が「コーデック」インストーラーを実行すると、キーロガー、偽のウイルス対策インストーラー、ダウンローダーなど、さまざまな悪意のあるプログラムに被害者のコンピューターは感染します。その後、被害者自身のソーシャル ネットワーク アカウントを乗っ取り、ワームの感染を広げ続けます。

被害防止方法: 手を止めて考えます。ショートリンク サービスのほとんどにリンク先のプレビュー機能がありますので、これを利用します。リンク先の Web サイトに心当たりがない場合、ウェブルートの Brightcloud のような評価サービスでリンク先の本当のドメインを確認してください。どうか、友だちの中で最初にリンクをクリックした人にならないようにしてください。


詐欺その 3: 知らない人物からリンクおよび / または添付ファイル付きのメッセージが送られてくる。

詐欺の手口: ダウンローダーやキーロガーを作成し、アイコンを設定して、Word ドキュメント、Excel スプレッドシート、またはテキスト ファイルに見せかけます。このファイルを .zip アーカイブに圧縮します。お涙ちょうだいのつまらない話、事業契約、注文確認メッセージなどを載せたスパムを 24 人のブラジル人に送信し、貴重なデータが次々に返ってくるのを待ちます。

被害防止方法: 手を止めて考えます。クリックしないでください。IRS (米国内国歳入庁)、DHL/UPS/FedEx などの運送会社、Amazon や iTunes などのオンライン ストア、またはその他の何者かが、履歴書、アパートの入居契約書、誤りのある伝票などを送ったとメッセージで主張していても、決してこれらのファイルを開かないでください。ファイル名に拡張子 .exe が付いている場合は特に注意が必要です。[登録されている拡張子は表示しない] オプションをオフにします (方法についてはこの投稿の最後をご覧ください)。

その4、その5 続きはこちらから
[PR]
by spysweeper | 2011-02-13 11:10 | セキュリティ全般
平日の初更新となります。

今回は最近話題の偽ウィルスソフト「Think Point」の削除方法です。

「Think Point」とは、何らかの形でパソコンに侵入してきて、そのアイコンをクリックすると感染してしますソフトのことです。

なぜ感染するのかというと、ウィンドウズのロゴなども使用していて、何らかのソフトのインストールなのかな、とそのままインストールをしてしまうからです。

インストール後、それで「ウィルスに感染したので、駆除するためにソフトを買ってください。」ということになり、それを購入する際に名前、クレジットカード番号といった貴重な情報を盗んで行ってしまうというものです。

くれぐれも見かけないアイコンを見てもすぐにクリックしないようにしないといけないですね。

ちなみに今回は万一クリックしてしまった際の「Think Point」の駆除方法となります。

【ステップ】
1. パソコンの電源を入れ、「F8」ボタンを断続的に押し、Windowsをセーフモードとコマンドプロンプトにて立ち上げます。下図のように黒い画面が出たら、[セーフ モードとコマンド プロンプト]をキーボードの「↓」で選択し、「Enter」キーを押します。

e0224062_2151730.jpg


2. 下図のようなウィンドウが立ち上がります。

e0224062_2153872.jpg


3. 「cd..」(CDの次はピリオド2つ)とキーボードで入力して「Enter」キーを押します。(C:¥Windows>と表示されます。)

e0224062_2155836.jpg


4. 「Explorer」と入力して「Enter」キーを押します。
(C:¥Windows>と表示されます。)

e0224062_2161627.jpg


5. 下図のようにタスクバーやスタートバーが表示されます。

e0224062_2163280.jpg


6. スタートボタンをクリックして、[プログラムとファイルの検索]のところに「C:¥users¥ユーザー名¥appdata¥roaming」と半角で入力してEnterキーを押します。

e0224062_2164838.jpg


※上記はユーザー名が「owner」の場合の入力例です。
※たとえば、ユーザー名が「taro」の場合は「C:¥users¥appdata¥roaming」と入力します。

7. フォルダが開かれます。フォルダの中から「hotfix」や「thinkpint」と書かれた「アプリケーション」を探し、右クリックメニューで「削除」を選択します。(左クリックすると、ウイルスが活動を開始することがございますのでご注意ください。)

※まれに「0.83574621334」のような数字の羅列名のついた実行ファイルもございます。下図のhotfix.exeのアイコンと同じものを探し、削除してください。

※念のために「C:¥users¥ユーザー名¥appdata¥Local」フォルダ、および「C:¥users¥ユーザー名¥appdata¥Local¥Temp」フォルダも確認してください。

e0224062_2173962.jpg


8. 下図ようなウィンドウが立ち上がります。「はい」をクリックすれば削除完了です。

e0224062_218079.jpg


怖いソフトですね。ついクリックしてしまいがちですので、まずは防御を。
それでもやられてしまいましたらこのブログを思い出して駆除してくださいね。

それでは次回をお楽しみに!?
[PR]
by spysweeper | 2011-02-08 21:15 | アンチスパイウェア
ちょっと間が空いてしまいました。エレガントな更新頻度ですみません。(汗

前回ご紹介したワンクリックウエアの削除方法、お役に立ちましたか?
それでも消えない!とお困りの方に追加の情報です。

それでも消えないのは稀に、タスクスケジューラにタスク作成している場合があるからです。
以下の手順でタスクを削除します。

1.『スタートボタン』>>>『コントロールパネル』の順にクリックします。

e0224062_13315395.jpg


2.コントロールパネルを表示したら、表示方法『カテゴリ』の『小さいアイコン』(Windows7、もしくは『クラシック表示』(Windows Vista)をクリックします。

e0224062_13334217.jpg


3.『管理ツール』をダブルクリックします。

e0224062_13342132.jpg


4.タスクスケジューラをダブルクリックします。

e0224062_1335950.jpg


続きはこちらから(あと少し!)
[PR]
by spysweeper | 2011-02-05 13:41 | セキュリティ全般