threat  protection  |  compliance  |  archiving  &  governance  |  secure  communication   THREAT  REPORT  

 

 

 

 

 

 

 

 

 

 

August  2012  本レポートは、Proofpoint が注目し、お客様および一般企業に対して注意を喚起したいと考えている脅威に関す

る情報、詳細、トレンドなどをまとめたものです。

Threat  News (ニュース)  

Flame後  –  Gauss  Kaspersky Lab は、Gauss マルウェアを発見したと発表しました。これは最近相次いで発見されている一

連のサイバースパイマルウェアプラットフォームの最新のものです。以前からある Flame、Duqu、

Stuxnet などと同様に、中東諸国を主なターゲットにしており、国家政府が資金援助・開発していること

が確実視されています。感染のほとんどはレバノンに集中しており、レバノンの銀行を利用する顧客の

データを監視するルーチンが組み込まれています。

Gauss は、システムに損害を与えたり停止させたりするものではなく、オンラインバンキングのログイン

情報を盗み出すために設計されている点で、これまでのものと違っています。Flame と同じプラットフォ

ームを使っていますが、いくつか非常にユニークな機能を持っており、 Palida Narrow というカスタムフォ

ントをインストールするのもその一つです。Gauss の他の機能と同様、そのフォントを使って何をするの

かは、まだ不明です。

詳細な FAQ 情報が以下にあります:

http://www.securelist.com/en/blog?weblogid=208193767

 Javaのゼロデイ攻撃  ソフトウェアの脆弱性に関する発表は珍しいことではありませんが、実際にその脆弱性が攻撃に晒され

ているとなれば、問題は非常に深刻ですし、早急な手当が必要です。Oracle Java Runtime

Environment (JRE) の一連の脆弱性をまとめた CVE-2012-4681 が 8 月 28 日にリリースされました。

Proofpoint  Threat  Report  

 

©2012  Proofpoint,  Inc.    Proofpoint  is  a  trademark  of  Proofpoint,  Inc.   THREAT  REPORT  [2]    

広く知られているにも関わらず、これらの脆弱性を狙った攻撃は限定的です。しかし、もっと重要なのは、

これらが Metasploit や BlackHole のようなマリシャスツールに迅速に組み込まれたことです。

(http://krebsonsecurity.com/2012/08/attackers-pounce-on-zero-day-java-exploit/ を参照)

これにより、BlackHole キットの感染成功率が 2 倍になったと言うことです。

(http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/ を参照)

Oracle は 8 月 30 日にこれらの脆弱性を修正する臨時パッチをリリースしましたが、事態の深刻さから、

多くのセキュリティ専門家は以下の注意事項に従うよう薦めています:

• 可能であれば JRE をシステムから削除。

• デフォルトブラウザ上で Java を無効化。Java の必要なサイトにアクセスする際には別のブラウ

ザを利用。

Reveton  Ransomware  米連邦捜査局は、Citadel と呼ばれる新しいマルウェアプラットフォーム上で Reveton と名付けられた

ransomware の亜種が発見されたとレポートしました。Ransomware は、これまでは主にヨーロッパで見

られたものですが、この新モデルは米国をターゲットにしています。このマルウェアは Web サイトからの

自動ダウンロードによってインストールされ、一度感染すると、ユーザーは連邦法に違反したという偽の

理由により、米司法省に罰金を支払うよう指示されます。ユーザーがこの指示に従わなかった場合でも、

このマルウェアはオンラインバンキング詐欺の機能も併せ持っており、リスクは継続します。

http://www.fbi.gov/sandiego/press-releases/2012/citadel-malware-continues-to-deliver-reveton-

ransomware-in-attempts-to-extort-money

Threat  Models (手法)  

Facebook  電子メールアカウントを乗っ取ってフィッシングメールを送信するのは、スピアフィッシングにおいては一

般的な攻撃手法です。乗っ取ったアカウントのコンタクトリストで見つけたユーザーや、本来のターゲット

向けにメールを作成し、送信します。いずれの場合にも、正規のメールアドレスからのメールであること

が、信頼性の担保となります。

この攻撃モデルの最新の (そして恐ろしい) 亜種は、Facebook の「誤設定」を利用して、攻撃者が友達

リストの情報を根こそぎ持って行ってしまうというものです。この情報を使って、あたかも「友達」から送ら

れたようなスピアフィッシングメールが送られます。アカウントの乗っ取りとは違い、この場合には新たに

Yahoo!メールのアカウントが作成され、Facebook の友達から送られたように偽装されます。多くのメー

ルベースの攻撃と同様、中身はシンプルな URL で、侵害されたサイトに導かれます。より詳しい情報が

以下にあります:

http://www.forbes.com/sites/davidewalt/2012/08/29/facebook-spam-email-spear-phishing/

 

©2012  Proofpoint,  Inc.    Proofpoint  is  a  trademark  of  Proofpoint,  Inc.   THREAT  REPORT  [3]    

Compromised  Accounts  Yahoo!メールの例の他に、ここ数ヶ月で目に付いたアカウント乗っ取りの例をいくつかご紹介します。

下の例には URL とわずかな文字しか含まれていませんが、この例で興味深いのは、乗っ取られたアカ

ウントからどのようにしてこのメールが作られるかというところです。

このメッセージは、不在時の自動応答メッセージとして送信されます。例えば、サムが友人であるアリス

にメールを送った際に、アリスのアカウントが乗っ取られていて、この不在メッセージが返送されたとしま

しょう。サムはアリスにメールを送った直後にこのメールを受け取りますから、リンクをクリックする確率

が高くなる、というわけです。

 

次の例は 419 スパム(ナイジェリアの手紙)によく似ていますが、変わった手法を使っています。このメッ

セージは乗っ取ったアカウントのコンタクトリストに対して BCC で送られますが、そのメッセージには添

付ファイルも URL も含まれていません。その代わり、返信先アドレスの中の一文字(I と i など)が変えら

れており、メールの受信者がそのメッセージに返信すると、メッセージが届く先は本来の送信者のアドレ

スではなく、その後のやりとりはそのアドレスとの間で続けられる、という事になります。

 

   

 

©2012  Proofpoint,  Inc.    Proofpoint  is  a  trademark  of  Proofpoint,  Inc.   THREAT  REPORT  [4]    

Spam  Volume  Trends (スパム量

の変化)  Grum ボットネットの解体は、残念なが

ら全体のスパム量には大きな影響を与

えませんでした。スパム量は 7 月から

8 月にかけて 31%増加し、4 月以来最

大量となりました。ただ、前年比は相変

わらず減っており、2011 年 8 月に比べ

て 25%の減少でした。

Source  of  Spam (スパム発信源)  サウジアラビアからの発信はこの数ヶ月で劇的に増えつつありましたが、ついにインドが 2011 年 8 月

から維持していた世界一のスパム発信源の地位から滑り落ち、代わりにサウジアラビアが首位になりま

した。驚くことに、8 月はサウジアラビアからのスパムが、インドからのものよりも 22%も多かったのです。

ペルーが初のトップ 10 入りを果たしました。

Top  Spam  Senders  by  Country  1   Saudi  

Arabia  3   EU   5   China   7   Korea   9   Brazil   11   Russia  

2   India   4   Turkey   6   USA   8   Vietnam   10   Peru   12   Poland  

Sep-­‐11   Oct-­‐11   Nov-­‐11   Dec-­‐11   Jan-­‐12   Feb-­‐12   Mar-­‐12   Apr-­‐12   May-­‐12   Jun-­‐12   Jul-­‐12   Aug-­‐12  

Overall  Message  Volume  -­‐  September  2011  to  August  2012  

8/1   8/6   8/11   8/16   8/21   8/26   8/31  

Overall  Message  Volume  -­‐  August  2012  

 

©2012  Proofpoint,  Inc.    Proofpoint  is  a  trademark  of  Proofpoint,  Inc.   THREAT  REPORT  [5]    

Language  Effectiveness   (言語別防御効果)

次のグラフは、Proofpoint ソリューションのスパム防御の有効性を言語毎に示したものです。

1  

2  

3  

4  

5  

6  

7  

8  

9  

10  

11  

12  

Russia  

India  

Brazil  

EU  

Ukraine  

Vietnam  

UK  

Taiwan  

Indonesia  

USA  

Romania  

Belarus  

Pakistan  

China  

Philippines  

Spain  

Poland  

Saudi  Arabia  

Turkey  

Peru  

99.93  

97.87  

98.85  

97.46  

99.83  

96.63  

97.19  

99.72  

99.52  

99.91  

85   86   87   88   89   90   91   92   93   94   95   96   97   98   99   100  

Swedish  

French  

Italian  

Portuguese  

German  

Spanish  

Chinese  

Russian  

Japanese  

English