飲んで感じる秋 Best Fall Beers#1...商品コードをご記入のうえご注文下さい。皆様のご注文お待ちしております。3 飲んで感じる秋 Best Fall
Proofpoint Threat Report - Aug 2012 JP[1]...August&2012&...
Transcript of Proofpoint Threat Report - Aug 2012 JP[1]...August&2012&...
threat protection | compliance | archiving & governance | secure communication THREAT REPORT
August 2012 本レポートは、Proofpoint が注目し、お客様および一般企業に対して注意を喚起したいと考えている脅威に関す
る情報、詳細、トレンドなどをまとめたものです。
Threat News (ニュース)
Flame後 – Gauss Kaspersky Lab は、Gauss マルウェアを発見したと発表しました。これは最近相次いで発見されている一
連のサイバースパイマルウェアプラットフォームの最新のものです。以前からある Flame、Duqu、
Stuxnet などと同様に、中東諸国を主なターゲットにしており、国家政府が資金援助・開発していること
が確実視されています。感染のほとんどはレバノンに集中しており、レバノンの銀行を利用する顧客の
データを監視するルーチンが組み込まれています。
Gauss は、システムに損害を与えたり停止させたりするものではなく、オンラインバンキングのログイン
情報を盗み出すために設計されている点で、これまでのものと違っています。Flame と同じプラットフォ
ームを使っていますが、いくつか非常にユニークな機能を持っており、 Palida Narrow というカスタムフォ
ントをインストールするのもその一つです。Gauss の他の機能と同様、そのフォントを使って何をするの
かは、まだ不明です。
詳細な FAQ 情報が以下にあります:
http://www.securelist.com/en/blog?weblogid=208193767
Javaのゼロデイ攻撃 ソフトウェアの脆弱性に関する発表は珍しいことではありませんが、実際にその脆弱性が攻撃に晒され
ているとなれば、問題は非常に深刻ですし、早急な手当が必要です。Oracle Java Runtime
Environment (JRE) の一連の脆弱性をまとめた CVE-2012-4681 が 8 月 28 日にリリースされました。
Proofpoint Threat Report
©2012 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT [2]
広く知られているにも関わらず、これらの脆弱性を狙った攻撃は限定的です。しかし、もっと重要なのは、
これらが Metasploit や BlackHole のようなマリシャスツールに迅速に組み込まれたことです。
(http://krebsonsecurity.com/2012/08/attackers-pounce-on-zero-day-java-exploit/ を参照)
これにより、BlackHole キットの感染成功率が 2 倍になったと言うことです。
(http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/ を参照)
Oracle は 8 月 30 日にこれらの脆弱性を修正する臨時パッチをリリースしましたが、事態の深刻さから、
多くのセキュリティ専門家は以下の注意事項に従うよう薦めています:
• 可能であれば JRE をシステムから削除。
• デフォルトブラウザ上で Java を無効化。Java の必要なサイトにアクセスする際には別のブラウ
ザを利用。
Reveton Ransomware 米連邦捜査局は、Citadel と呼ばれる新しいマルウェアプラットフォーム上で Reveton と名付けられた
ransomware の亜種が発見されたとレポートしました。Ransomware は、これまでは主にヨーロッパで見
られたものですが、この新モデルは米国をターゲットにしています。このマルウェアは Web サイトからの
自動ダウンロードによってインストールされ、一度感染すると、ユーザーは連邦法に違反したという偽の
理由により、米司法省に罰金を支払うよう指示されます。ユーザーがこの指示に従わなかった場合でも、
このマルウェアはオンラインバンキング詐欺の機能も併せ持っており、リスクは継続します。
http://www.fbi.gov/sandiego/press-releases/2012/citadel-malware-continues-to-deliver-reveton-
ransomware-in-attempts-to-extort-money
Threat Models (手法)
Facebook 電子メールアカウントを乗っ取ってフィッシングメールを送信するのは、スピアフィッシングにおいては一
般的な攻撃手法です。乗っ取ったアカウントのコンタクトリストで見つけたユーザーや、本来のターゲット
向けにメールを作成し、送信します。いずれの場合にも、正規のメールアドレスからのメールであること
が、信頼性の担保となります。
この攻撃モデルの最新の (そして恐ろしい) 亜種は、Facebook の「誤設定」を利用して、攻撃者が友達
リストの情報を根こそぎ持って行ってしまうというものです。この情報を使って、あたかも「友達」から送ら
れたようなスピアフィッシングメールが送られます。アカウントの乗っ取りとは違い、この場合には新たに
Yahoo!メールのアカウントが作成され、Facebook の友達から送られたように偽装されます。多くのメー
ルベースの攻撃と同様、中身はシンプルな URL で、侵害されたサイトに導かれます。より詳しい情報が
以下にあります:
http://www.forbes.com/sites/davidewalt/2012/08/29/facebook-spam-email-spear-phishing/
©2012 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT [3]
Compromised Accounts Yahoo!メールの例の他に、ここ数ヶ月で目に付いたアカウント乗っ取りの例をいくつかご紹介します。
下の例には URL とわずかな文字しか含まれていませんが、この例で興味深いのは、乗っ取られたアカ
ウントからどのようにしてこのメールが作られるかというところです。
このメッセージは、不在時の自動応答メッセージとして送信されます。例えば、サムが友人であるアリス
にメールを送った際に、アリスのアカウントが乗っ取られていて、この不在メッセージが返送されたとしま
しょう。サムはアリスにメールを送った直後にこのメールを受け取りますから、リンクをクリックする確率
が高くなる、というわけです。
次の例は 419 スパム(ナイジェリアの手紙)によく似ていますが、変わった手法を使っています。このメッ
セージは乗っ取ったアカウントのコンタクトリストに対して BCC で送られますが、そのメッセージには添
付ファイルも URL も含まれていません。その代わり、返信先アドレスの中の一文字(I と i など)が変えら
れており、メールの受信者がそのメッセージに返信すると、メッセージが届く先は本来の送信者のアドレ
スではなく、その後のやりとりはそのアドレスとの間で続けられる、という事になります。
©2012 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT [4]
Spam Volume Trends (スパム量
の変化) Grum ボットネットの解体は、残念なが
ら全体のスパム量には大きな影響を与
えませんでした。スパム量は 7 月から
8 月にかけて 31%増加し、4 月以来最
大量となりました。ただ、前年比は相変
わらず減っており、2011 年 8 月に比べ
て 25%の減少でした。
Source of Spam (スパム発信源) サウジアラビアからの発信はこの数ヶ月で劇的に増えつつありましたが、ついにインドが 2011 年 8 月
から維持していた世界一のスパム発信源の地位から滑り落ち、代わりにサウジアラビアが首位になりま
した。驚くことに、8 月はサウジアラビアからのスパムが、インドからのものよりも 22%も多かったのです。
ペルーが初のトップ 10 入りを果たしました。
Top Spam Senders by Country 1 Saudi
Arabia 3 EU 5 China 7 Korea 9 Brazil 11 Russia
2 India 4 Turkey 6 USA 8 Vietnam 10 Peru 12 Poland
Sep-‐11 Oct-‐11 Nov-‐11 Dec-‐11 Jan-‐12 Feb-‐12 Mar-‐12 Apr-‐12 May-‐12 Jun-‐12 Jul-‐12 Aug-‐12
Overall Message Volume -‐ September 2011 to August 2012
8/1 8/6 8/11 8/16 8/21 8/26 8/31
Overall Message Volume -‐ August 2012
©2012 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT [5]
Language Effectiveness (言語別防御効果)
次のグラフは、Proofpoint ソリューションのスパム防御の有効性を言語毎に示したものです。
1
2
3
4
5
6
7
8
9
10
11
12
Russia
India
Brazil
EU
Ukraine
Vietnam
UK
Taiwan
Indonesia
USA
Romania
Belarus
Pakistan
China
Philippines
Spain
Poland
Saudi Arabia
Turkey
Peru
99.93
97.87
98.85
97.46
99.83
96.63
97.19
99.72
99.52
99.91
85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100
Swedish
French
Italian
Portuguese
German
Spanish
Chinese
Russian
Japanese
English