最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆九都県市が共同推奨する「子ども向け携帯電話」の機種と機能を発表(2011/11/25) | メイン | ◆スマートフォンを狙うワンクリック詐欺、シマンテックが注意呼び掛け(2011/11/28) »

2011/11/28

◆ZeuS/Zbot系ウイルスを仕掛ける偽メールにご用心(2011/11/28)

 セキュリティベンダーの G Dataは24日、ZeuS/Zbot系のウイルスを仕掛けるバンキングスパムが欧州で拡散しているとして、注意を呼びかけた。このメールは、銀行のアドレスに偽装した「Review Dep」という差出人名で、今月9日頃から約1週間に渡ってばら撒かれ、欧州のみならず国内にも多数飛来していた。

 メールの件名は、送金不能を知らせる様々なバリエーションがあり、本文では送金処理の状況を確認するよう促して、リンクをクリックさせようとする。

 メールに記載された直接のリンク先は、クラックされたとみられる一般サイトが大量に使われており、それぞれのサイトの「zfin.php」や「zfin.html」を開く。これらサイトは、別のサイトへとリダイレクトする中継サイトになっており、そこから、あるいはさらに他の中継サイトを経由して、処理状況の確認ページを装った偽サイトへと誘導される。
 偽サイトには、Flash Playerが古いので最新版をインストールするよう書かれており、ダウンロード用のリンクをクリックさせて、アップデータを装ったZeuS/Zbot系のウイルス本体「updateflash.exe」をユーザー自身に実行させようとする。セキュリティの警告を無視して実行してしまうとウイルスに感染し、パソコンを乗っ取られたり、アカウントを盗み取られるなどの、さまざまな災いが降りかかることになる。

・Flash Playerの更新は開発元のサイトで
 インストールされているFlash Playerが古い場合、サイトの閲覧中に更新を促されることがある。今回の攻撃は、これを悪用したものだが、閲覧中のサイトがアップデータらしきものを直接ダウンロードさせようとしたら怪しいと疑っていただきたい。Flash Playerの更新は、必ず提供元のアドビシステムズ社のサイト(http://get.adobe.com/jp/flashplayer/)で行うよう心掛けたい。

・ドライブバイダウンロード攻撃も併用
 今回の攻撃は、大量のクラックサイトと攻撃サーバーという構成で、ホスティングにボットネットは使われていなかったが、攻撃を仕掛けていたのは、本通信の「国内フィッシング事情」にしばしば登場する、FastFlux型のフィッシングやウイルス配布でお馴染みの攻撃者である。
 この攻撃者が用意する偽サイトは、ユーザーを騙してウイルスを実行させる仕掛けのほかに、ドライブバイダウンロード攻撃が仕掛けられていることも多い。ドライブバイダウンロード攻撃というのは、システムやブラウザ、プラグインなどの脆弱性を悪用し、ユーザーの仲介なしでウイルスを勝手に実行してしまうもの。実際に今回の偽サイトにも、WindowsやJRE(Java Runtime Environment:Java実行環境)の脆弱性を悪用したJavaScriptが仕掛けられていた。悪用されている脆弱性は、いずれも修正済みの古い脆弱性だが、システムやプラグインのアップデートを怠っていると、ユーザー自身が誤って実行しなくても、ページを開いただけでウイルスに感染してしまうことになる。使用しているシステムやアプリケーションは、アップデートを怠らずに常に最新の状態を保つよう心掛けたい。

・Facebookをかたるスパムで仕切り直し
 この攻撃者は手を変え品を変えながら、1年を通じて攻撃を続けている。同種のスパムはおおむね数日から1週間程度で収束し、その後は別の手口で仕切り直すということを繰り返しているのだ。
 先の送金不能メールは約1週間で収束しており、24日頃からは新たにFacebookをかたるメールが、国内のユーザーの元にも飛来している。これまでに確認されている件名は、パスワード変更のお知らせと、ウォール(掲示板)への投稿を知らせるもの。後者は、「○○ posted on your Wall.」という感じで「○○」の部分に色々な氏名を入れて件名を変化させている。
 どちらのパターンもメールに記載したリンクをクリックさせて、偽サイトに誘導するもので、メール記載のリンク先は、クラックされたとみられる一般サイトの「zus.php」や「znl.php」。送金不能メールと同様、最終的にはFacebookの偽サイトへと誘導され、Flash Playerの最新版をインストールするよう促して、ウイルス本体をユーザー自身に実行させようとする。ドライブバイダウンロードを併用している点も同様だ。

 このFacebookをかたるスパムは、先週末まで確認されており、あと数日続くのか、仕切り直すのかは微妙なところ。本通信で8月にお伝えした、Facebookの「友達リクエスト」装うメールのように、10日以上にわたって同種のメールがばら撒かれた例もある。

(2011/11/28 ネットセキュリティニュース)

【関連URL】
・ZeuSを仕掛ける「バンキングスパム」が欧州で拡散中(G DATA)
http://www.gdata.co.jp/news/detail/310
【関連記事:ネットセキュリティニュース】
・Facebookの「友達リクエスト」装うウイルスメールにご用心
http://security-t.blog.so-net.ne.jp/2011-08-24

投稿情報: 09:43 |

|