FacebookがJavaの脆弱性悪用の攻撃を受ける、ユーザーデータには被害無し

 米Facebookは15日、1月に社内システムに対する標的型攻撃を受けていたことを明らかにした。調査の結果、この攻撃によるFacebookのユーザーデータへの侵入は確認されていないとしている。

 Facebookによると、攻撃はFacebookの数名の従業員がモバイル開発者向けサイトにアクセスした際に、このサイトにホストされていたマルウェアに感染したことを端緒として発生。従業員のPCはセキュリティパッチをすべて適用し、ウイルス対策ソフトも最新の状態に保っていたという。

 Facebookでは事態の把握後、すぐに該当機器に対策を施すとともに、法執行機関に報告し、調査を開始。Facebookのユーザーデータに対する侵入の痕跡は発見されていないという。

 Facebookのセキュリティチームでは、DNSログに不審な痕跡を発見したことからマルウェアに感染しているPCを突き止め、調査の結果、複数台のPCが感染していることを確認。マルウェアを分析した結果、Javaのサンドボックス機能を迂回するゼロデイ脆弱性を悪用したものであることが判明したという。Facebookでは情報をOracleに報告し、Oracleは2月1日にこの脆弱性を修正するセキュリティアップデートを公開した。

 Facebookでは、この攻撃を単独で受けたわけではなく、他の企業も同様の攻撃を受けていることは明白だとして、他の企業や組織と共同でこの攻撃に対する調査を進めていくとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130218_588218.html

セキュリティを脅かすFacebookアプリケーション(Dr.WEB)

Doctor Webは、Facebookユーザーの間で新たなマルウェアが広く拡散されていることについて警告します。今回、犯罪者達はサイトのwebページ内に任意のHTMLコードを埋め込むために、Facebookアプリケーションを利用しています。トロイの木馬を拡散するために偽のグループが作成され、そこには動画へのリンクが表示されていますが、この動画は実際には悪意のあるスクリプトを実行するためのものです。

Videos Mega又はMega Videosと名付けられたこのグループの数は、2013年2月5日までに合計で数百に上っています。これらグループの1つを訪れたユーザーが、Flash Playerの画像に隠された悪意のあるリンクをクリックすると、Flash Playerのアップデートを促すスクリプトが実行されます。このプロンプトはFacebookのそれを模倣しています。

ユーザーがアップデートのインストールに同意してしまうと、Trojan.DownLoader8.5385を含んだ自己展開型アーカイブがコンピューター上にダウンロードされます。マルウェアによってダウンロードされる他のコンポーネント同様、このトロイの木馬も会社の名前で発行された正式なデジタル署名Updates LTD by Comodoを持っているため、OSのセキュリティに妨げられることなく、信頼できるアプリケーションとしてインストールされます。

Trojan.DownLoader8.5385は、感染したコンピューター上に他のマルウェアをダウンロードして実行する典型的な悪意のあるダウンローダーで、今回のケースでは、Google Chrome及びMozilla Firefoxブラウザ用のプラグインをダウンロードします。これらのプラグインはFacebook上で、様々なグループに対して招待を送信し、自動的に「Like(いいね)」ボタンを押すよう設計されています。また、以下の機能も備えています。

被害者のFacebook上の「友達リスト」に含まれているユーザーに関する情報を収集する。
ソーシャルネットワークページ又は外部リンクで「Like」ボタンを押す。
特定のページ上の写真アルバムを共有する。
グループに参加する。
「友達リスト」上のユーザーに対してグループ参加の招待を送信する。
ユーザーの「ウォール」にリンクを投稿する。
ユーザーのステータスを変更。
チャットウィンドウを開く。
イベントページに参加する。
ユーザーをイベントに招待する。
コメントを投稿する。
Facebookオファーを受け取る、または送信する。
プラグインの設定ファイルは、犯罪者の所有するサーバーからダウンロードされます。これらのプラグインは Trojan.Facebook.310としてDr.Webソフトウェアに検出されています。

また、Trojan.DownLoader8.5385は感染したコンピューター内にBackDoor.IRC.Bot.2344をインストールします。このバックドアは感染させたコンピューターによってボットネットを構築することができ、犯罪者の作成した特定のIRC (Internet Relay Chat)チャットチャンネル経由で送信された様々なコマンドを実行することが可能です。BackDoor.IRC.Bot.2344が実行することのできるコマンドには以下のものがあります。

CMDコマンドを実行。
指定されたURLからファイルをダウンロードし、指定されたローカルフォルダ内に保存。
コマンド内で指定されたプロセスが実行されているかどうかをチェック。
tasklist.exeユーティリティによって収集した、実行中のプロセスのリストをリモートサーバーへ送信。
指定されたプロセスを停止。
任意のアプリケーションを起動。
指定されたURLを使用して、Google Chrome用のプラグインをダウンロード・インストール。

以上のことから、Facebookアプリケーションの現在のセキュリティポリシーには、マルウェアの拡散を可能にする抜け穴が存在していると結論づけることが出来ます。上記マルウェアは全てDr.Webウイルスデータベースに追加されているため、Dr.Webユーザーに対して危害を加えることはありません。ユーザーの皆様には、Facebook上のグループを訪問する際には十分に注意し、また、アップデートのダウンロードは正式なソースからのみ行うことを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=605&lng=ja&c=2

マカフィー、Facebookユーザーをねらった動画詐欺に注意喚起

 セキュリティ・ベンダーのMcAfeeは先ごろ、同社公式ブログにおいて、「FacebookユーザーをねらったYouTube動画詐欺」が広まっているとして注意喚起した。

 同ブログは、「サイバー犯罪者がFacebookやYouTubeを利用し、ユーザーの関心を引くような動画やプレゼントを餌にして詐欺行為を働く。こうした手口が最近もいくつか発見されている」と指摘、マルウェアの作成者はクリック課金の手口で不正に稼いでいるという。

 同社はその手口について、「ユーザーは友達の掲示板に表示されたリンクを、騙されてクリックする。マルウェア作成者によってオパシティ属性の値をゼロにした目に見えないレイヤーをクリックすると、ユーザーが知らないうちに、悪意あるスクリプトが読み込まれ、バックエンドに注入されれる。被害者は何回もリダイレクトされたあげく、最終的に調査のページにたどりつく。その間に注入されたスクリプトは、このユーザーのCookieを盗み出し、ユーザーの知らない間にウォール上に投稿を行う」と、その手口を解説している。

 マカフィー・ラボでは、「被害者のマシンで実行されているブラウザを確認したあと、被害者に偽のYouTubeプラグインやFlash Playerプラグインをダウンロードしてインストールするよう要求する詐欺も確認している」としている。

 同社では、「感染を拡大させることになりかねないので、動画を指すリンクが表示されたら特に注意してほしい。もし、感染が疑われたらfacebookのウォールにこのような詐欺が貼り付けられていないか調べたり、友達に確認してもらったりしほしい。場合によっては、ウォールに貼り付けられた詐欺が表示されず、感染したユーザー自身には見えないこともある」と警告している。

 同社によると、こうした手口の詐欺は、別の画像や別のリダイレクトURL、誘い文句で何度も繰り返されるという。ちなみに「Facebookページをピンク色に変えられる」という過去に散見された誘い文句も"再登場"しているとのことだ。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130131-00000005-cwj-sci

Skype を狙うもうひとつのワーム、感染数トップは日本―トレンドマイクロ Blog(Yahoo!ニュース)

トレンドマイクロは同社の公式 Blog で、Skype を利用して自身のコピーを拡散するワームで、「Shylock」以外も確認したことを発表した。

特定の Skype メッセージ内で確認された Shylock に関する報告は、今年1月中旬に話題となった。トレンドラボは関連する検体を解析、「WORM_BUBLIK.GX」として検出されるワームが更なるプラグインをダウンロードし、読み込むことを確認した。

このプラグインは、「WORM_KEPSY.A」として検出される「<コマンド&コントロール(C&C)>/files/010-update-vl0d3/msg.gsm」を含み、実行されると Skype でやりとりされたメッセージ履歴を消去する。

Skype で確認されたもうひとつの脅威は「WORM_PHORPIEX.JZ」として検出され、すべてのリムーバブルドライブ内に自身のコピーを作成する。そして WORM_BUBLIK.GX と同様、「WORM_PHORPIEX.JZ」に誘導するリンクを含む Skype メッセージとなる可能性があるそうだ。

WORM_PHORPIEX.JZ は、特定の「Internet Relay Chat」(IRC)サーバーに接続し、IRC チャンネル「#go」に参加する。また、感染コンピュータに他の不正プログラムをダウンロードして実行をしたり、自身のコピーを添付した電子メールを送信したりする。

また、WORM_PHORPIEX.JZ は、WORM_PESKY.A として検出されるプラグインもダウンロードする。WORM_PESKY.A は、以下の詳細を含む Skype のメッセージを生成する。

同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックで「WORM_PHORPIEX」の感染数を調査したところ、感染したコンピュータの内83%が日本からだったそうだ。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130124-00000016-inet-sci

Facebookを悪用し、過去の不正プログラムが再流行 - トレンドマイクロレポート

トレンドマイクロは、2012年12月度のインターネット脅威マンスリーレポートを発表した。ランキングには入っていないが、「WORM_VOBFUS(ボブフス)」について紹介している。「WORM_VOBFUS」はUSBメモリを経由して感染する。2011年に一度流行したが、2012年11月下旬から亜種の流行が観測されている不正プログラムである。

感染の手口であるが、まずはFacebookに「WORM_VOBFUS」の亜種をダウンロードするWebサイトのURLが書き込まれる。その際に、アダルトコンテンツに見せかける偽装が行われる(ファイル名はSexy.exeなどが使われる)。こうして、不正なWebサイトに誘導され、「WORM_VOBFUS」の亜種に感染すると、オンラインバンキングのアカウント情報を収集する不正プログラム「ZBOT」などが連鎖的にダウンロードされるとのことだ。その後、USBメモリを媒介にして感染を拡大していく。「WORM_VOBFUS」の亜種自体には、Facebookへの書き込み機能はないので、実際のFacebookの書き込みは、攻撃者が直接行っていると思われる。

トレンドマイクロでは、SNSなどを悪用した手口は、今後も増加・多様化すると予想している。SNSにおいても、安易にリンクをクリックしない、リンクの安全性を確認できるセキュリティ対策ソフトを導入するなどの対策が有効としている。 インターネット脅威マンスリーレポート

○国内で収集・集計されたランキング

国内では、ZACCESS関連の不正プログラムがめだつ。2位の「BKDR_SIREFEF.CA(サーエフエフ)」、4位の「Mal_Siref32(サーエフ)」、6位の「Mal_Siref64(サーエフ)」、8位の「TROJ_SIREFEF.SLS(サーエフエフ)」、9位の「TROJ_SIREFEF.DAM(サーエフエフ)」などである。

表1 不正プログラム検出数ランキング(日本国内[2012年12月度])

○世界で収集・集計されたランキング

世界では、相変わらずダウンアドが1位を継続している。トレンドマイクロでは、10位にランクインした「X97M_OLEMAL.A(オレマル)」について注意喚起を行っている。「X97M_OLEMAL.A(オレマル)」はスパムなどに添付されるマスメール型の感染を狙う不正プログラムである。最近では、標的型やSNSなど個人を狙う攻撃が増えているが、旧来の攻撃手法も依然として使われている点に注意すべきとしている。

表2 不正プログラム検出数ランキング(全世界[2012年12月度])
○日本国内における感染被害報告

被害報告でも、検出数と同じく「WORM_DOWNAD(ダウンアド)」が1位となり、3つのランキングですべて1位となった。全世界では1位を継続しているが、国内では時折、下位となることがある。しかし、その脅威は継続している。感染には、脆弱性が悪用されるので、アップデートを怠りなく行ってほしい。2位の「JOKE_OKNU(オクヌ)」は画面にランダムに小さな図を表示する不正プログラムである。過去よくあったものだ。表示される図は、不正プログラム名を逆に読むとわかる。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年12月度])

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130117-00000102-mycomj-sci

Facebookから不正サイトに誘導、感染させる手法が増加か--脅威レポート(トレンドマイクロ)

トレンドマイクロ株式会社は1月10日、2012年12月度の「インターネット脅威マンスリーレポート」を発表した。12月のトピックスとして、2011年に流行したUSBメモリなどで自己拡散する「WORM_VOBFUS」が2012年11月下旬から改めて欧米を中心に流行していることを挙げている。新たな亜種をダウンロードさせるサイトのURLをFacebook上でアダルトコンテンツに見せかけて広める例が確認されており、国内での感染や同様の手口には今後も警戒が必要としている。

WORM_VOBFUSに感染すると、オンラインバンキングのアカウント情報を収集する不正プログラム「ZBOT」などが連鎖的にダウンロードされる例も確認されている。WORM_VOBFUSの亜種にはFacebookにメッセージを書き込む機能はないため、攻撃者がFacebook上でメッセージの投稿を行っていると推測される。これが端緒となり、リムーバブルメディアなどの感染と組み合わさることでWORM_VOBFUSが再度流行したようだ。攻撃者は不正プログラムに機能を追加せずとも、普及しているSNSを配布場所とし、ユーザの興味・関心をひくことで感染を広げている。

日本国内の不正プログラム検出状況では、「SIREFEF」や「Siref」などのZACCESS関連の不正プログラムが10位中5種ランクインしている。これらは、Javaなどアプリケーションの脆弱性を突いて悪意のあるWebサイトなどから侵入する。全世界の不正プログラム検出状況では、スパムメールに添付される「X97M_OLEMAL.A」が10位にランクインした。日本国内の問い合わせ状況では、不正プログラム検出数、感染報告数ともに「WORM_DOWNAD」が1位となっている。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20130110-00000000-scan-sci

「Instagram」人気を悪用する「Facebook」でのクリックジャック攻撃(トレンドマイクロ)

トレンドマイクロ株式会社は12月12日、同社Trend Labsが写真共有サイト「Instagram」の人気に便乗および悪用する「Facebook」でのクリックジャック攻撃を確認したとブログで紹介している。ユーザは、Facebook上の連絡先の誰かが投稿した写真にタグ付けされることによってこの脅威に遭遇する。この投稿には、Facebook上のプロフィールを誰が訪問したか、どの程度の頻度で訪問したかユーザが知ることができると記載されている。また、この投稿はInstagramを介して投稿された写真も含んでいる。

Trend Labsでは、「Recent Profile Views」で利用されている写真と名前が他の攻撃でも繰り返し利用されていることを確認している。ユーザがリンクを誤ってクリックすると、認証コードを生成方法について説明するページへと誘導される。このページは、実際はFacebookアプリのInstagramであるポップアップウィンドウを表示し、ユーザに「Go to App」ボタンをクリックするよう求める。このウィンドウは、偽のFacebookページへユーザを誘導する。ここでアルバムが作成されるが、アルバムには拡散活動を担う不正なリンクも含んでいる。こういった手法はこれまでオンラインゲームに悪用されたが、それがSNSへと拡大しているとして注意を呼びかけている。

ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2012/12/13/30622.html

Tumblrでウイルス投稿が大量流通、閲覧すると自動でリブログ

 ソーシャルブログサービスの米Tumblrは12月3日、ウイルス感染によるものと思われる投稿がTumblr内で大量に出回っていることをTwitterで確認し、対応に当たっていることを明らかにした。

 同社のツイートでは「ウイルス投稿攻撃により、数千件のTumblrブログが影響を受けた。Tumblrのエンジニアが問題を解決した」と説明している。

 セキュリティ企業の英Sophosによると、感染したTumblrのブログには、すべて同じ内容の投稿が掲載された。投稿は男性の写真入りで「Dearest `Tumblr' users」という一文から始まり、人種差別的な内容や、Tumblrユーザーのブログを中傷するような内容が含まれている。

 問題の投稿は、Tumblrの「リブログ」機能を使ったワーム感染によって広がったとみられる。投稿内には、暗号化されたJavaScriptをiFrameに隠す形で悪質なコードが仕込んであり、ログオンしているユーザーがこれを閲覧すると、自動的に問題の投稿を自分のTumblrでリブログしてしまう仕掛けになっていたという。

 この手口についてSophosでは、「本来ならこうした不正なコードをTumblrに投稿することはできないはずだが、攻撃者はBase64エンコードを使って自分たちのコードの正体を隠し、データURIにそれを組み込む方法で、Tumblrの対策をかわしたと推定される」と解説している。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121204-00000039-zdn_ep-sci

「Facebook」を介して拡散するワームの亜種を複数確認(トレンドマイクロ)

トレンドマイクロ株式会社は11月29日、「Facebook」を介して拡散する「WORM_VOBFUS」のいくつかの亜種の出現を確認しているとブログで注意喚起を発表した。「WORM_VOBFUS」は、WindowsのAutoRunを利用し、リムーバブルドライブおよびマッピングされたネットワークドライブ上にコピーを作成する。また、このワームは他の不正プログラムのファミリによってダウンロード、また作成されることでもコンピュータに侵入する。さらに、悪意あるWebサイトにユーザが誤ってアクセスしてしまった結果として、「WORM_VOBFUS」の亜種をがユーザが気づかないところでダウンロードされてコンピュータに侵入する場合もある。

「WORM_VOBFUS」は亜種が相次いで登場しているが、今回確認された複数の亜種は、Facebook上で拡散していることが報告されており、その多くがアダルトコンテンツを示唆するファイル名を利用し、ユーザの興味をあおる。現時点での解析の結果、この問題となっている「WORM_VOBFUS」の亜種は、これまでと変わった不正活動は行わないという。しかし、感染力の強いワームであるため、同社では感染防止対策として、ユーザはAutoRunを無効にしたり、セキュリティソフトを最新のパターンに更新しておくといったことを実施するよう勧めている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121130-00000000-scan-secu

-Facebookの利用実態調査-Facebookを使う上でプライバシーが気になるユーザは8割以上 承認したくない「友だち」申請を受けた経験は6割

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、Facebookを利用中のユーザ(18歳から49歳までの男女) 312名を対象にWebアンケート調査を2012年11月9日から11月11日まで実施しました。

本調査において、多くのFacebookユーザが友人とのコミュニケーションで楽しんでいる一方で、プライバシーに関する懸念を抱いており、実際にトラブルを経験している実態が明らかになりました。

【調査結果の概要】
1. Facebookユーザの利用状況
 1-1.  登録している情報:実名(89.7%)、出身地(69.6%)、居住地(66.7%)、学校(62.5%)
 1-2.  利用状況:週1回以上「いいね」ボタンを押す(60.9%)、コメントする(49.4%)
 1-3. 友達:定期的に会う機会がない学生時代からの友人(67.6%)、
    定期的に会う学生時代からの友人(64.1%)

2. Facebookに対する印象

Facebookは楽しいサービスである(74.4%)
Facebookを利用する上でプライバシーが気になる(83.7%)
3. Facebook利用上の経験

「友達」承認したくない相手から、「友達」申請がきた(63.1%)
Facebookに投稿した情報が知られたくない相手に見られていた(33.1%)
4. Facebook上でのトラブルや人間関係のストレスを避けるための対策
 4-1. 対策状況

個人情報は最小限しか登録しない(53.5%)
不特定多数に見られてもよいレベルしか投稿しない(49.4%)
Facebookのプライバシー設定を活用(34.6%)
 4-2. Facebookのプライバシー設定について

設定方法がわかりにくい(85.6%)
設定変更が面倒(78.5%)

トレンドマイクロ
http://jp.trendmicro.com/jp/about/news/pr/article/20121122045711.html?Homeclick=news&cm_re=Corp-_-tab-_-news