このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

セキュリティ・メーカー関連
• ・　F-Secure Weblog : News from the Lab
• ・　Kaspersky Lab Weblog
• ・　McAfee Avert Labs Blog
• ・　WEBSENCE Security Labs : Threat Blog
マスメディア
• ・　Washingtonpost "Security Fix"
情報サイト等
• ・　Secunia "Security Watchdog" Blog
• ・　Zeroday Emergency Response Team
• ・　PhishTank

---

CA eTrust、正当なJavaScriptをウィルスとして誤検出か？
Channel Register : Security (2007/12/31)

　コンピュータ アソシエイト（以下、CA）が月曜日（12月31日）にリリースしたアンチウィルスの定義ファイルの誤射は、正当なJavaScriptファイルをウィルスとして同定する。
　eTrustの定義ファイルの更新は、マルウェア（Snz-A JasaScript）の痕跡があるとして、JSQuery（JavaScript AJAXライブラリ）、Mootools（JavaScript web 2.0ライブラリ）、他の複合化されたJavaScriptパッケージを誤検出する。無様なアップデートを適用したCA eTrust（Vet Anti-Virusとしても知られる）を稼動しているユーザは、正当なWebサイトを訪問したとき、その処理において不要な警告を発生させ、彼らのシステムが感染しているとする誤検出に直面している彼ら自身を見出しがちである。
　報告されている無様なアップデートは12月31日付の"31.3.5417"である。誤ったアンチウィルス定義ファイルのアップデートは業界としてみれば珍しいことではない。そして、CAは無様なアップデートを引き上げ、正当なアップデートに置き換えることで素早く対応することが期待される。さしあたり、この災難に遭遇したユーザは、様々なオンライン上のブログやフォーラムで、彼らの不平をポストし、経験を比べあっている。（一例はここにある）
　誤検出を通報するMootoolsのフォーラムの投稿には、そのサイトにおいても、我々の質問に関する応答に関しても、CAからの公式コメントは存在しない。

ソーシャル ネットワーク利用のボットネット
Kaspersky : Lab Weblog (2007/12/28)

　昨日、私はMSN-Worm機能を持つ新たなバックドア（Backdoor.Win32.VB.bsf）に注目していた。このバックドアは（銀行関連の）パスワードを盗むために、そしてユーザをスパイするために特化されている。我々が何度も見てきた古い物語と全く同じである。
　しかしながら、このプログラムには、とりわけ私の興味を引く二つのことが存在している。
　第一は、その機能名の全てがオランダ語である。これは極めて稀なことで、明らかにこのマルウェアの作者がオランダ人であることを示している。
　第二は、このマルウェアはオランダのソーシャル ネットワーキングのプロファイルのページに誘導するハードコードされたURL（www.hyves.nl, www.partyflock.nl, www.superdudes.nl）を含んでいる。この内、Hyvesはオランダの巨大なソーシャル ネットワーク サイトである。他もまた、大変人気がある。
　マルウェアがリンクしている全てのプロファイルは先週作成された。最初の疑問は「このプロファイルは実際に何のためか？」ということだった。答えは簡単、それらは全て、ほんの少し判りにくくしたURLを含んでいる。

　明らかに、この手の錯乱手法はウィルスとセキュリティの研究者を欺くための真面目な企てではない。この作者はソーシャル ネットワーク サイトによって使用されるスパム フィルターをバイパスするためにこれを実行している。
　このバックドアはそのページに目を通し、"IMG_URL_ST"と"IMG_URL_END"の間のURLを解析する。このURLはこのバックドアが通報し、命令を受け取る実際のCommand & Controlサーバの場所である。
　このプログラムを作成し、偽のアカウントをセットアップすることは、些か問題であるかのように思われる。おそらく、作者は彼のC&Cサーバがソーシャル ネットワーク サイト上のプロファイルページより削除されることが、より好ましいと考えた。もし、これが発生したなら、残りのプロファイルのアドレスを変更することが可能となり、ボットネットの制御を継続し続けることができるだろう。
　我々はアカウントを削除するよう、このサイトにコンタクトしている。

Kaspersky、Windows Explorerをウィルスとして誤検出
Channel Register ： Security (2007/12/20)

　Kasperskyが水曜日（12月19日）アップデートした欠陥ある定義ファイルは、Windows Explorer(explorer.exe)を低リスクのウィルス"Huhk-C"として警告する。結果として、Windowsのコアコンポーネントは隔離されるか更に悪い取り扱いを受けることになる。
　Kasperskyは、隔離室から正当なシステムとアプリケーションファイルを修復するための方法のアドバイス付きで変更したアップデートを二時間以内にリリースした。しかし、彼らのソフトウェアを感染したファイルを自動削除するに設定しているユーザには何の慰めにもなっていなかった。これらユーザはシステム自体がまずいことになっていることを発見した。
　この影響を受けたRegisterの読者であるCarlは「誤検出はExplorer.exeの削除を発生させた。危険なアップデートが存在した間に、Kasperskyのネットワークスキャンを実行している会社（不幸にして私を含む）にも問題を引き起こした。私はKasperskyアップデート問題以前に修復するために数時間かかった。最終的に処理を終了したのは午前五時であった。」
　Kasperskyフォーラムへの投稿は、この問題の結果として、このトラブルを経験しているのがCarl一人ではないことを顕にした。誤検出という悩ましい状態は、Kaspersky Lab アンチウィルスソフトのアップデートの早期の問題が幾つかのマシンを稼動不能に導いた後も数日続いた。短い時間に発生したこの二つの出来事はロシアのアンチウィルスメーカーのテストシステムの信頼性についての疑問を増加させた。
　欠陥あるアンチウィルス定義ファイルのアップデートは、その業界全体で見れば珍しいことではない。しかしながら、最新のKaspersky SNAFUはWindowsのコアコンポーネントに影響を与えている。
　David Emm（Kaspersky Lab UKのシニア技術コンサルタント）は、英国版エンタープライズの顧客が一人と三人のエンドユーザが誤検出の問題を報告してきた。「誤検出は時々発生する。そして、誤検出が発生したとき我々はこの問題に真面目に対処している。我々はこの発生リスクを最小化するためのテストシステムを持っているが、これはネットへすり抜けたかのようである。」
　彼はKasperskyが、この誤検出（先週の深刻な誤作動による）が将来における類似の失敗のリスクを最小化するために内部テストシステムをどのように改善したのかを理解してもらうための説明するだろうと付け加えた。

UPDATE
この問題に関し、Kasperskyが修正方法をアップデートしています。以下にアクセス（英文）してください。
http://www.kaspersky.com/support/viruses/computers?qid=208279581

アンチウィルスの防御が昨年より悪化した
heise Security ： NEWS (2007/12/20)

　アンチウィルスソフトウェアの有効性が降下した。そしてより多くのペストが今、このようなバリアをすり抜けている。これはドイツのコンピュータ雑誌C'tが17のアンチウィルスソフトのテストをリリースした1/08で決定している冷静な決定である。最初、C'tは彼らが使用している挙動ブロックシステム(behaviour blocking)もまたテストしていた。
　標準テストにおいて、ウィルススキャナは既知のマルウェアを認識しなければならない。最近の6ヶ月に出現した100万以上のペストが、C'tによってテストされた時、Avira AntivirとGData Antivirus 2008は、彼らの定義ファイルによって、その99％を同定した。また、Avast、AVG Anti Malware、BitDefenderもまた大変良い結果を記録した。
　しかしながら、新たなマルウェアの洪水という光景の中でのリアル プロテクションに関して、これらのプログラムが新しくそして全く馴染みのない攻撃を処理する方法は、もっと重要である。この件に関してはアンチウィルスソフトのパフォーマンスは昨年より明瞭に悪くなっている。典型的な評価はそれらのヒューリスティックが最近のテストで、2007年の初め凡そ40-50%あったものが惨めにも20-30%に下落したことである。唯一NOD32が68%と依然良好な結果を実現し、BitDifenderが41%で「満足」と評価されている。
　殆ど全てのスキャナがヒューリスティックで一年前より悪くなった理由のひとつは、マルウェアの状況のプロフェッショナル化であることは間違いない（より多くの時間とエネルギが、これらの物が防御ソフトをすり抜けるために投資されている）。しかしながら、心配なことはC'tによって実験的に作成されたウィルスの亜種・変種の認識評価が明らかに下落しているという事実である。実際に、全てのスキャナは、それらが本年早期に同定していたウィルスの亜種・変種を見逃している。
　最後に（初回のテストに関し）、C'tは挙動ブロック（behaviour blocking）を基にする防御機能もまたテストしている。これを実行するために、彼らは厳選された12のペストをアンチウィルスがインストールされているシステム上で起動した。その後、それらが如何に生き残るかを解析した。このようなテストは自動化できないし、相応しい仮想環境が各サンプルに関して作成されなければならない（そこで、そこに、例えば更なるコンポーネントを再ロードすることができる）ので彼らは膨大な努力を要求される。
　唯一、F-Secureが挙動ブロックテストで納得のいく結果（厳選された12のペスト全てを防御した）を示した。KasperskyとBitdefenderは有望なアプローチを示したが、それは個別の場合にのみ感染を妨げることが可能であった。Gdata、Norton、Microsoft、Trend Microは少なくとも特定のシステムリソースを監視することを実行したが、システムを実際にクリーンに十分保持するのは例外的場合のみである。
　別の憂慮されるテスト結果は、昨年と比較してアンチウィルスソフトウェアによって発生させられるより長くなった待ち時間と、誤検出の割合が顕著に高くなったことである。現時点で、完全なテスト結果はC't1/08中でドイツ語でのみ利用可能（印刷フォームで）である。破壊工作ソフト出入口としての、このアンチウィルス ソフトウェアに関する記事は、ペストのための出入口に突然変異している防御ソフトの過小評価されている危険性を議論している。

あなたのセキュリティ：アプリケーションの20％がパッチ充てられていない
Secunia ： "Security Watchdog" Blog (2007/12/21)

　Secunia PSIによって抽出されたデータは、そのユーザの20％が安全でないアプリケーションを彼らのコンピュータ上にインストールしていることを示した。
　「ユーザPC上にインストールされている全てのアプリケーションの20％以上が、ベンダによって提供されているパッチを未だインストールしておらず、既知の脆弱性を持っている。」
　20％という数字は、Secunia PSI利用者のコンピュータ上の14,500,000以上の実在アプリケーションに関し最初のスキャンを行った結果を基にする。どこからともなく取ってきた数字でもなければ営業用に発生させられた数字でもない。
　12月18日、我々は新たに、Secunia PSI（フリー）の多くの部分を改善した改訂版をリリースした。このツールはコンピュータの新人であろうがエキスパートであろうが、そのコンピュータにパッチを充てることを大変容易にする。
　我々は直ちに、もしくは来るべき休暇の期間中にSecunia PSI（ダウンロードサイズは500Kb以下である）を試すよう勧誘する。あなたのアプリケーションの評価を取得し、ダウンロードのためのダイレクトリンクとパッチを充てるためのアドバイスを使用し、あなたのコンピュータを安全に保持する。
　我々はあなたのコンピュータのセキュリティを更なるレベルにもたらすための目的でこのツールを使用することを希望する。

Secunia PSIへのリンクは此方。
【訳注】　現在、Secunia PSIは、RC-1です。要するにベータ。

Adobe Flash Playerセキュリティ アップデート
WashingtonPost : Security Fix(2007/12/21)

　AdobeがFlash Playerのユーザ（ほとんど全てのWindowsユーザが対象）に対し、その最新バージョンをインストールするよう駆り立てている。この最新バージョンは脆弱性あるコンピュータに望みもしないソフトウェアをインストールするために用いられる9つの個別のセキュリティ上の脆弱性が修正されている。
　パッチを当てられているAdobe Flash Playerの最新バージョンは9.0.115.0である。しかし、このブログのレギュラーユーザは多分、彼らのシステム上に9.0.47.0を持っているだろう。Adobeは9.0.115.0以前の全てのバージョンには脆弱性が存在すると発言している。
　あなたのFlash Playerのバージョンを確認するためには、このリンク(【訳注】日本語サイトにリンクを変更しています)を訪問し"Version information"ボックスに表示される数字をチェックしなさい。アップデートはLinuxとMac OS Xを含むあらゆるOS（Solarisアップデートは後日リリースされるだろう）上の殆ど全てのブラウザに関し利用可能である。最新のWindowsバージョンはこのページ(【訳注】日本語サイトにリンクを変更しています)からダウンロード可能である。他のOSに関するアップデートはここ(【訳注】日本語サイトにリンクを変更しています)で見つけることができる（このサイト上には、Flashアンインストールツールのリンクが存在する。間違えてダウンロードしないよう注意）。

********************************************************************
【訳注】IEとIE以外のブラウザ（Firefox、Opera等）を併用している場合
********************************************************************
　上記、バージョン確認サイト、もしくはダウンロードサイトにIEとIE以外のブラウザ（複数使用の場合は一つで可）でアクセスしてください。
　IEの場合、Googleツールバーのチェック（アンチェック）と同意にチェックを入れた後、「今すぐインストール」ボタンをクリックするとオンラインインストールが開始されます。
　IE以外のブラウザの場合、最新版のFlash Playerをダウンロードし手動でインストールすることになります。
　併用している場合は、必ず両方の操作を行うようにします。

Google Orkut 上にWormがいた
F-Secure Weblog : News from the Lab(2007/12/20)

　Google OrkutソーシャルネットワーキングサイトがWebワームに攻撃されていた。
　この物はこのサイトの"scrapbook"機能中の脆弱性を使用した。このワームが操作に必要なダウンロードファイルを削除することによって退治されるまで、約40万アカウントが感染した。

　更なる情報はココとココにある。できる限り早くアクセスすることを願う。Orkut公式サイトのブログも参照のこと。

Microsoftの12月のセキュリティパッチでトラブル発生中
(2007/12/19)

　MS07-069 : Internet Explorer の重要な更新
　Internet Explorer 用の累積的なセキュリティ更新プログラム (942615)

上記セキュリティパッチ適用後、インターネットに接続できないとするトラブルが発生しています。 詳細は明日。

このパッチに関するMicrosoftの説明サイトは以下。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-069.mspx
http://www.microsoft.com/japan/security/bulletins/MS07-069e.mspx

アップデート

この問題に関しMicrosoftが修正パッチをリリースしました。
********************************************************************
マイクロソフト セキュリティ情報 MS07-069 更新
公開日: 2007 年 12 月 19 日
********************************************************************

概要
=======
以下のセキュリティ情報を更新しました。
詳細は各セキュリティ情報をご覧ください。

* MS07-069 - 緊急

セキュリティ情報:
=====================

* MS07-069 - 緊急

- http://go.microsoft.com/?linkid=7990589
- 更新内容: このセキュリティ情報を更新し、「既知の問題」を変更しました。
以下のサポート技術情報では、この問題の回避策に関する説明も記載しています。

サポート技術情報 946627: Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows
XP Service Pack 2 (英語情報。日本語による情報提供は現在準備中です。)
http://go.microsoft.com/?linkid=7990590

- 公開日: 2007 年 12 月 12 日
- 最終更新日: 2007 年 12 月 19 日
- 最大深刻度 : 緊急

QuickTime、セキュリティアップデート
WashingtonPost : Security Fix (2007/12/14)

　Appleは最近の三つのセキュリティホール（サイバー犯罪者が既にシステムの脆弱性を突いて侵入しようとしている物を含む）を埋めたQuickTimeメディアプレーヤのアップデートをリリースした。
　MacとWindows用の新たなバージョン、QuickTime v7.3.1が現在利用可能になっている。Macユーザは備え付けのSoftware Update機能を使用して最新版にアップデートできる。既にQuickTimeをインストールしているWindowsユーザはQuickTimeに付属していたApple Software Updateプログラムを使用して修正版を取得できる。

最も高い高度に到達したコンピュータウィルス
Kaspersky : Lab Weblog (2007/12/13)

　この話の設定はネパールの首都カトマンズの中心部タメルである。ここにはあらゆる物（仏陀の彫刻からヒマラヤ遠征のフル装備におよぶ）を販売している小さな店が山の如くある。私は山間部で休暇中である。私はそのような店の一つで写真用のコンパクトフラッシュカードを購入した。

　三週間の高度での冒険の後、モスクワに戻った。そして私のコンピュータのフラッシュリーダーを使用してメモリーカードから写真をコピーしようとした。最初に私が気付いた事は、カードのルート ディレクトリ中にautorun.infとVirusRemoval.vbsと名付けられた二つの隠し属性のファイルが存在していたことだった。

　autorun.infから自動起動することでリムーバル記憶メディア経由で拡散するウィルスやワームに関し一度ならず記した。多くのユーザもまた、この種の悪意あるプログラムに遭遇している。製造者が出荷した時点でハードディスク、フラッシュドライブ、MP3プレイヤー、他のデバイスがマルウェアに感染していたという多くの場合がある。
　今回の場合、KingstonカードはWorm.VBS.Small.n（私がネパールで感染したフラッシュカードを購入した二日後の11月14日、Kasperskyはアンチウィルス データベースに追加している）に感染していた。
　このワームコードの詳細な解析はネパールを発生源とすることを示している。：　悪意の総体の部分として、このワームはInternet Explorerのホームページを"sujin.com.np"（.npはもちろんネパール ドメインである）に変更する。

　Kingston自体がこの出来事に何らかの関わりがあったとは思えない。このワームは多分ネパールに存在した時点からカード上に存在していた。
　あるいはカードそれ自体がネパールの或る地下工場で製造された偽物であるかもしれない。そこで我々は、それが出現した場所の追跡に役立つかもしれないという希望から、このカード上に示されたデータを公開することを決定した。

　私はヒマラヤの雪男（イエティ）には遭遇しなかったが、「ネパール ワーム」をなんとか家に持ち帰った。Worm.VBS.Small.nは「最も高い高度に到達したコンピュータウィルス」のカテゴリでギネスに登録されることが適当と考える。最終的に、このワームは私と私のカメラと共に6198メートルを達成した。

アップデート情報
F-Secure : News from the Lub (2007/12/10)

　二つの推奨されるアップデートがある。共に潜在的で深刻な脆弱性のアップデートである。共にオンライン上での攻撃は報告されていない。

1. OpenOfficeアップデート（CVE-2007-4575）

　人気のあるOfficeスーツ アプリケーションOpenOffice.orgは、v2.3.1以前のすべてのバージョンのdefaultデータベースエンジンにセキュリティ上の脆弱性を含んでいる。データベースドキュメントはアタッカーに任意のコードの実行を許可するかもしれない。
【推奨される解決策】
　OpenOffice.orgv2.3.1にアップデート。

2. VideoLANアップデート情報(CVE-2007-6262)

　VideonLanプロジェクトによるフリーのメディア プレーヤー VLCメディア プレーヤーは、そのActiveXプラグイン中に脆弱性を含んでいる。この脆弱性は特別な細工をしたWebサイトが任意のコードを実行することを許可する。この脆弱性はローカルユーザ権限に限られる。そして、この脆弱性を突く行為はVLCメディアプレーヤーのActiveX pluginを使用して悪意ある細工がされたWebサイトを訪問することを必要とする。
　ActiveX pluginを回避することは可能な解決策である。pluginはVLCインストール時のオプション コンポーネントである。
【推奨される解決策】
　この問題を解決するには、version 0.8.6dにアップデート。

Virtumonde/Vundoの最新のトリックについて
Kaspersky : Lab Weblog (2007/12/05)

　この二日にわたり、私はあるアドウェア（Virtumonde a.k.a Vundo）の作者によって使用された最新のトリックの幾つかに注目していた。Virtumondeは新しく加えられた感染ベクトルと共に感染したマシンから削除することが困難なことで有名であり、このプログラムは大変悪戯好きでさえある。
　このプログラムの作者は現在ファイル感染型を使用しているので、VirtumondeはWindowsのスタートアップで、どのファイルが起動されるかをチェックし、それらに感染することを試みる。事実上、これはVirtumondeがオリジナルHOSTファイルをTrojan-Dropperにすることを意味している。
　Dropperコードは、同じファイルに付け加えられたVirtumondeのコピー付のオリジナルのHOSTファイルの先頭に付け加えられる。感染したファイルが起動させられた時、それはオリジナルHOSTファイルを%Temp%フォルダにドロップし、Virtumondeファイルをシステムディレクトリにドロップする。

【訳注】 %TEMP%は各種プログラムの動作中や、アプリケーションのインストール等で一時的に使用されるファイルの保存場所であり、OSによって以下のパスになります。
Windows 98/98SE/Me　：　C:\Windows\Temp
Windows NT　：　C:\Profiles\＜ユーザ名＞\TEMP
Windows 2000 Professional　：　C:\Documents and Settings\＜ユーザ名＞\Local Settings\TEMP
Windows XP　：　C:\Documents and Settings\＜ユーザ名＞\Local Settings\TEMP

　Virtumundoは同じファイルに繰り返し感染することを防ぐために感染マーカーを使用しているが、これは常に機能するわけではない。再感染し、ホストファイルが稼動しなくなった感染ファイルのサンプルがすでに存在する。しかしながら、再感染はVirtumondeそれ自身の起動を妨げることはない。
　このコードは自己複製型なので、我々は古典的先頭追加型ウィルスとして処理している。我々が類似のアプローチを使用しているとしてブログした別のアドウェアと異なり、これはPatcher_Trojanではない。
　Virtumondeの作者が使用しているこのトリックは、検出し無効化するのは大変容易である（KasperskyはVirus.Win32.Trats.aとして検出する）。技術的視点からは、この変種はいかなる頭痛も発生しないけれども、我々はVirtumondeが進化を継続したなら、面白い挑戦があると予期している。

SonicStage CPに脆弱性
独立行政法人 情報処理推進機構（JVNDB-2007-000809）(2007/12/04)

【概要】
SonicStage CP にバッファオーバーフローの脆弱性

【影響を受けるシステム】
SonicStage Ver.4.0
SonicStage Ver.4.1
SonicStage Ver.4.2
SonicStage Ver.4.3

【深刻度】
本脆弱性のCVSS基本値　：　6.8（レベルII、警告）

【想定される影響】
細工されたプレイリストファイル（拡張子が m3u のファイル） を取り込む際に、バッファオーバーフローが発生し、SonicStage CP が強制終了する可能性があります。また、その際に任意のコードが実行される可能性があります。

【解決方法】
ベンダが提供する対策済みバージョンに更新する。

【参考】
JVNDB-2007-000809
JVN#66291445

QuickTimeのフローはSecond Lifefファンに潜在的脅威を与える
WashingtonPost : Security Fix (2007/12/03)

　セキュリティ エキスパートは、そのサイトの閲覧に使用されるコンピュータ上のApple QuickTimeメディアプレーヤ中の未パッチのセキュリティホールを攻撃して悪意あるソフトウェアをインストールしようとする幾つかのWebサイトに注目している。
　先週、Security FixはQuickTimeのフローに関する読者への警告をポストした。（そのセキュリティホールの脆弱性を攻撃する方法を、アタッカーに示す幾つかの示唆のセットがオンラインにポストされていたことを記した）　この週末、Symantecは脆弱性あるWindowsコンピュータを改竄するために、上述の手法を使用しているサイトのネットワークを検出したと発言している。
　関連したニュースとして、セキュリティ研究者のペアがオンラインゲームと仮想世界に取り憑かれている人々の私物を盗むために、同じQuickTimeフローが使用できる方法をデモンストレーションした。Dino Dai ZoviとCharles Millerは、この脆弱性が"Second Life"（サンフランシスコを本拠とするソフトウェア開発会社Linden Labsによって作成された仮想世界。この仮想世界には世界中から1000万の「居住者」が存在する）のメンバから金銭を盗むために「梃子」のように効率的であるかも知れないと記述している。
　Second Lifeの脆弱性は、それ自身のゲームソフト中に何らかのフローがあるのではなく、全てのビデオ レンダリングを取り扱うアプリケーションとしてのQuickTimeによってゲームオブジェクト中のビデオファイルをエンベッドすることをユーザに許可することにあると、Dai ZoviとMillerは述べている。そして、悪意ある攻撃者によって所有されるSecond Life大陸の一部にプレーヤーが踏み込むことを引き金とする悪意あるQuickTimeビデオファイルの作成方法を示している。彼らが使用した例では、悪意あるソフトウェアは犠牲者のLinden Bankの口座を自動的に空にする。（Second Lifeの貨幣は現実世界のドルに現金化できる） 　Second Lifeの交換レートは、270Lindenドル当たり1US$であるが、何百万ものUSドルが毎日、仮想世界で所有者を変えている。 Linden Labsによると、凡そ140万ドルが過去24時間でSecond Lifeユーザの間で交換されている。
　Linden Labsはこの問題を認識しているが、Second Life上の全てのビデオを追放する計画は無いと発言している。代替として、Second LifeでQuickTimeを使用するときは、利用者が信頼している、あるいは馴染み深い環境でのみQuickTimeを利用するよう、ユーザに注意を駆り立てている。この会社はまた攻撃を追跡することが可能であると発言している。そして、それは脆弱性を突く事を試みているアタッカーを「元気よく追い回す」だろうとも発言している。
　Miller（Apple iPhoneに対し最初に発生したハックを公開したことで多分最も良く知られているバルチモアのIndependent Security Evaluatorsの研究者）は、Dai ZoviとMillerの「脆弱性の証明」はブラウザベースの伝統的脆弱性を突く攻撃方法が通常とは大きく異なった攻撃として使用できることをデモすることを主な目的としていると発言している。
　「大多数のSecond Lifeユーザは『ワォ！、このオブジェクトは怪しいように見える』なんて言わないだろうし、次に彼らが認識することは、彼らのコンピュータがスローダウンし一秒間に百万通のスパムを送信していることである」とMillerは発言している。
　Second Lifeユーザがこのブログの読者として多数を占めているわけではないので、この脆弱性からの潜在的インパクトはSecond Lifeに限定されるわけではない。このQuickTimeフローを突く攻撃はMySpace.comや他のアクセス量の多いサイトでも存在しうる。Appleがこの脆弱性を塞ぐパッチをリリースするまでの数週間が攻撃の好いチャンスである。他方、読者はこのフローからの脅威を軽減を支援するところの以前のポストに含まれる幾つかの示唆を考慮すべきである。
　更に、この種のフローに対しては、私がしばしばWindowsユーザに求めていることが最高の予防策である。（システムを制限付ユーザアカウントの下で起動すること。これは、ユーザのシステムを完全に制御するために、アタッカーによって使用されるプログラム中の脆弱性を防ぐことができる）　更に付け加えれば、上述したような脆弱性は"DropMyRights"のようなプログラムを使用している人々には不要である。"DropMyRights"はソフトウェアをインストールしたり、重要なWindowsのシステムの改変する権限を剥奪して、Webブラウザや他のプログラムを制限付ユーザアカウントの下で起動する。

Free Internet
Kaspersky : Lab Weblog (2007/11/27)

　無料のWiFiインターネット接続が人気を増している。そして、世界中のホテル、カフェ、空港などで見られるようになった。しかし、これは必ずしも良い側面だけではない。TRANSTAAFUL（There ain't no such thing as a free lunch.の略。「無料のランチなんてない、うまい話は信用するな」の意味）とは言わないけれども、今日の「無料ランチ」の幾つかは深刻な影の部分を搭載している。何が私にこれを言わしめるのか？　本日早朝、私はアムステルダムのスキポール空港で接続便を探していた。 WiFiネットワークが利用できるのでスキャンしていた時、私は以下のリストを得た。

　KPN（オランダ最大のテレコミュニケーション企業）とスキポールグループ ネットワークは正当であるが、他の二つのは何だろう。あなたは気がついているかもしれないが、これはAD-Hocタイプのネットワークである。これは実際のWiFiアクセスポイントが存在せず、ユーザを接続させる目的で故意に'Free Public WiFi' や 'US Airways Free WiFi'と命名された他のコンピュータであることを意味する。
　【訳注】AD-Hocネットワークに関しては、コチラを参照。

　そのようなネットワークに結合することは、幾多の不愉快な結果をもたらす。もし攻撃者が自身のインターネットアクセスを持っていたら、そのような人々はあなたにオンラインを得ることを許し、次にトラフィックを覗き、あなたのパスワードや他の個人情報データを保持しうる可能性がある。また、攻撃者がインターネットアクセスを持っていなかったとしても、そのような人々は様々なネットワークレベルの脆弱性を使用してあなたのコンピュータを直接ハックすることを試みるだろう。
　怪しいWiFiリンクにスポットを当てることは容易である。あなたは以下の兆候を探すだけでよい。

* 'Free Wifi' や 'Free Internet'のような魅力的な名前
* アクセスポイント方式より、むしろAD-Hocタイプの接続

　安全であるために：

* コールバックダイアルさせるためにWiFiインターネットアクセスリンク上でVPNリンクを使用する。そして、VPNリンク上の安全なプロキシを使用してインターネットにアクセスする。
【訳注】VPN　：　通信相手の固定された専用通信回線（専用線）の代わりに、多数の加入者で帯域共用する通信網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービス。
* メールを読むためには必ず暗号化（TLS もしくは SSL）されたIMAP E-Mailを使用する。
* 偽の認証に注意する。
* FirewallとIPSを使用する。もしくは、KIS７のようなセキュリティソリューションを組み合わせる。

楽しいインターネットサーフィンを!!

未パッチのQuickTimeのフローの攻撃の仕方がリリースされた
WashingtonPost : Security Fix (2007/11/27)

　Apple QuickTime中の今までに公開されていないセキュリティホールの攻撃の仕方が今オンライン上で利用可能である。そして、セキュリティ企業は犯罪グループが脆弱性あるコンピュータに侵入するためにこのフローを利用するのを確認するまで長くかからないだろうと警告している。
　US-CERTのアドバイザリによれば、この脆弱性はリアルタイム ストリーミング プロトコル（RTSP）と呼ばれるメディア ストリーミング接続タイプの操作の方法の弱点に起因する。攻撃者は単にユーザに毒入りのリンクをクリックさせる、悪意あるE-Mail添付ファイルを開かせる、特別に細工されたページを訪問させることによって、このフローを突くことができる。US-CERTは、この脆弱性がWindowsとマッキントッシュの両システム上のQuickTime v4.0からv7.3（QuickTimeの最新バージョン）までに存在すると発言している。
　面白いことに、シマンテックの研究者は、彼らが公開された利用可能なこの脆弱性を突くためのコードをテストした。そして、彼らはSafari 3 Beta同様Internet Explorer 6/7に対しても、それが適切な稼動に失敗したことを発見したと発言している。このようなテストにおいて、この脆弱性は簡単にQuickTimeをクラッシュさせる。しかしシマンテックは、ユーザがマルチメディアフォーマットのデフォルト プレイヤーにQuickTimeを選択していたならば、この脆弱性はFirefoxに対しては完全に動作したと発言している。
US-CERTは、現時点でこの脆弱性に対するいかなる実用的な解決方法も認識していないと発言しているが、存在するこの脆弱性を軽減するかもしれない多くのステップをリストしている。しかしながら、あなたがWindowsのレジストリを編集することを快く思わないのであれば、そこには別の二つのオプションがある。
　第一に、そして最も疑う余地のない方法は、単純にQuickTimeをアンインストールすることである。しかし、iTuneが正しく機能するためにQuickTimeがインストールされていることを要求するため、この方法はiTuneを使用している人向きではない。Firefoxユーザは"noscript"アドオンを利用することができるし、利用すべきである。この"noscript"アドオンは、この種の脆弱性の大部分の傾向である卑劣なJavaScript経由で起動される攻撃から、このような脆弱性をブロックすることを支援する。
　さらに、QuickTimeユーザは、IEやFirefoxのためのプレーヤーもQuickTimeプラグインもRTSPコンテンツを開くためにQuickTimeを使用しないようにプログラムを設定できる。これを実行するためには、QuickTimeを起動し、「編集」＞「お気に入り」を選択する。「ブラウザ」タブで底部にある「MIME設定」タブをクリック。次に「ストリーミング」の傍にある"＋"をクリック。RTSPのチェックを外す。「OK」をクリック。次に、「ファイルタイプ」タブに進み、同じことを行う。

F-Secureホストベース侵入検知システムを改善
F-Secure : News from the Lab (2007/11/26)

　ホストベース侵入検知システム(HIPS)は従来のアンチウィルスソフトウェアの重要な補完機能を提供する。
　挙動ブロックソフトウェアであるにもかかわらず、それ自身問題（ある種の「ノイズ」）を抱えている。多くの無害なアプリケーションはマルウェア同様の挙動パターンを示す。Trojan-downloadersはインターネットに接続し、合法的ソフトウェアをロードするインストーラ同様の方法で、彼らのホスト上の実行ファイルをダウンロードする。
　そこで、挙動ブロックソフトウェアも善悪を見分けるトレーニングが必要である。

　11月15日にリリースされた我々のデータベースは、Gemini Update 2007-11-15_09を含んでいる。
　Geminiって何？
　我々のGeminiエンジンは別名DeepGuardと呼ばれるシステムコントロールによって使用されるコンポーネントである。これは我々のHIPSテクノロジである。
　あなたがDeepGuardを含む我々の製品の一つを使用しているのであれば、このアップデートをすでに受け取っているはずである。
　DeepGuardの開発を担当しているResearch Labチームは、これの最初のリリース以来の彼らが学習したことを使用していた。そして今、Geminiエンジンに必要な経験と学習を改めて施している。これはより多くマルウェアを自動検出し、正当なアプリケーションに対する阻害をより少なくする結果を約束する大変意義のあるエンジンのアップデートである。一言で言えば、ノイズの減少である。これはDeepGuardがより少ない質問でその仕事を実行することを許可する。Gemini 2.0は会社内部の用語である。
　Gemini 1.0は優秀であったが、Gemini 2.0はさらに優れていると我々は思っている。
　我々のテストの1つは10月に集められたユニークなオリオン（オリオンはシグネチャベースである）で検出されたマルウェアサンプルの全てを使用した。そのセットから我々は51%がGeminiからハイスコアとされたことを発見した。DeepGuardがそのコンピュータ上で何か危険なことを企てていると決定し自動ブロックの結果となるスコアである。
　これは"Allow"と"Deny"をポップアップさせた結果として得た従来のトレーニングを20%改善させた。我々の顧客はもはや悪意あるファイルの大部分に関し決定する必要はない。
　同様に正当なアプリケーションへの質問もより少なくなっているべきである。テストは多くの善良なアプリケーションに関し改善を意味する低いスコアをマークしたことを示した。
　明らかに終わることのないマルウェアの流れが存在するので、Geminiのトレーニングに関する研究もまた継続される。

マルウェア小論 : 2007年10月分
Kaspersky : Analyst's Diary (2007/11/15)

　季節の変わり目であるにも拘らず、10月のマルウェア小論は9月の結果と極めて類似している。親族関係にある多くのプログラムがまた再び現れた。詳細について見てみよう。

1.　銀行をターゲットにした貪欲なトロイの木馬
　今月のリーダーはTrojan-Spy.Win32.Banker.eznの変種。このトロイは45の銀行をターゲットにしている。これは先月（134の銀行をターゲットにしていたTrojan-Spy.Win32.Small.dgの変種）に比べて半分以下である。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　公正なところBackdoor.Win32.Xhaker.cである。このマルウェアは三つの電子決済システムと三つのプラスチックカードシステムを攻撃する。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　上同。

4.　最高位ステルスプログラム
　10番目のカテゴリを奪取したマルウェアは一瞬人気があったようである。今月の勝者はBackdoor.Win32.Hupigon.mrv10種類の異なったパッカー（【訳注】EXEファイルのサイズを削減したり（ファイル圧縮） クラックを難しくする為にコード部分を暗号化するソフトウェアの総称）によってパックされていた。当に先月のリーダーと同じ。

5.　最も小さな悪意あるプログラム
　17バイトのちっぽけな物であるにも拘らず、Trojan.BAT.DeltreeY.aは 　今月は、僅か19バイトのTrojan.BAT.KillFiles.gcであるが、強烈なパンチ力を持っている。そして、10月のウィナーである。

6.　最も巨大な悪意あるプログラム
　　また再び、Haradongファミリーの凶暴な代表者がこのカテゴリを勝ち得た。Trojan.Win32.Haradong.ctは244MBあり、ごく最近の亜種で、先月のこのカテゴリの勝者であるHaradong.bjより僅かに巨大である。

7.　最も悪意あるプログラム
　このカテゴリの今までの多くの勝者同様に、Backdoor.Win32.Rbot.ejsもまたメモリとレジストリからセキュリティプログラムを削除することによって無効化する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　Email-Worm.Win32.Netsky.qは3ヶ月間続けてこのカテゴリにしつこく存在している。これは10月のメールトラフィック中の全ての悪意あるプログラムの20.11%を占めていた。

9.　最も汎用されたトロイの木馬ファミリー
　563の変種という目覚しさにも拘らず、Trojan-Spy.Win32.Bankerの数は先月の流行に及ばなかった。9月の勝者より100以上少ない。

10.　最も汎用されたウィルス/ワーム ファミリー
　Email-Worm.Win32.Zhelatin（Storm Wormとしても知られる）が、10月において38の変種とともに二ヶ月続けてこのカテゴリを奪取した。

Seagateウィルスに感染したHDDを出荷
PCWorld : News (2007/11/13)

　Seagateの外付けHDD、Maxtor Basics Personal Storage 3200の幾許かがパスワードを盗み出すウィルスに感染したまま出荷されていたことが判明した。
　あなたがSeagateのMaxtor Basics HDDを最近購入したのであれば、ウィルスをチェックしなさい。とりわけオンラインゲームを行っている方は。
　Seagateは最近出荷したMaxtor Basics Personal Storage 3200 HDDの幾許かにVirus.Win32.AutoRun.ahが付随していると警告している。Seagate Webサイトにポストされた注意書きによれば、このウィルスは、オンラインゲームのパスワードを探索し、それらを中国にあるサーバーに送信する悪意あるソフトウェアである。Seagateは2007年8月以降出荷したドライブだけが感染していると発言している。
　このハードドライブメーカーは、この問題に関し中国に存在するある匿名の下請け業者を非難している。SeagateはアンチウィルスメーカーKasperskyによってこの問題を知らされたと発言している。公開されたレポートによれば、オランダと台北で過去数ヶ月間売り捌いたMaxtor Basics ドライブで問題を抱えている。
　月曜日、台北タイムスは台湾の代理店Xander Internationalがタイにおいて製造された1800個全てのMaxtor Basics 500G-byte HDDが影響を受けることを発見した。
　月曜日、IDG News Serviceにコンタクトされたとき、Seagateはこの問題に関し、感染の発生を調査中であるということと、SeagateのWebサイトからKasperskyアンチウィルス ソフトウェアの60日間のトライアルバージョンを申し出ていることを除いて、ごく僅かな追加の詳細しか示さなかった。「Kasperskyアンチウィルス ソフトウェアの60日間のトライアルバージョンは、このウィルスを同定し削除する能力がある」とスポークスマンForrest MonroyはE-Mailで発言している。
　このウィルスはQQ、WSGame、AskTaoのような多くの中国のゲーム同様World of Warcraftのパスワード情報に関してもハードドライブをスキャンする。
　トレンドマイクロの研究者Paul Fergusonは、「このパスワード収集サーバーが中国に存在することが明らかにされたようだが、それらは実際にはダラスと韓国に存在している」と発言している。
　あなた方のHDDが感染させられているかどうか確認するためには、Seagateのカスタマーサポートにコンタクトしなさい。
　これは記憶メディアへのウィルス感染に関し下請け業者が非難されることは、これが初めてのことではない。一年前、Appleは多くのビデオiPodシステムをウィルスに感染して出荷した。Appleはこの問題に関し委託製造業者を非難した。
　セキュリティ エキスパートは、テスト製造工程と品質保証工程で一台のPCが感染していたならば、この種の問題はいたって簡単に発生すると発言している。iPodビデオの件では、ハードドライブはWindows用のウィルスに感染させられていた。

YouTubeの偽サイト出現
F-Secure : News from the Lab (2007/11/12)

　本日のスペシャルはTrojan-Dropper.W32/Agent.CPLである。我々はスパム中のこのフィッシィング詐欺がYouTubeビデオを騙っていることを発見した。
　あなたがスパムメッセージ中のこのリンクをクリックすると、YouTubeサイトの恐ろしく劣悪なコピーが開く。

　このページ（.cnに存在する）はAdobeのFlash Playerのインストレーションを用意している。あなたがダウンロードしたファイルは、install_flash_player.exeと名付けられている。当にファイル名は本物のFlash Playerのインストーラーと同じだが・・・、
　Firefoxは既にこのサイトの本質が詐欺であると警告している。そしてF-Secureは2007-11-12_04のデータベースで対応した。

SleipnirとGraniのお気に入り検索機能に任意のスクリプトが実行される脆弱性
Japan Vulnerability : JVN#65427327 (2007/11/13)

　フェンリル社が提供するウェブブラウザである Sleipnir およ び Grani のお気に入り検索機能には、任意のスクリプトが実行される脆弱性が存在します。

影響を受けるシステム

Sleipnir 2.5.17 Release2 およびそれ以前
Portable Sleipnir 2.5.17 Release2 およびそれ以前
Grani 3.0 およびそれ以前

詳細情報

　フェンリル社が提供するウェブブラウザである Sleipnir および Grani には、お気に入り検索機能があります。ユーザがこの検索機能を使用した場合、検索結果はウェブブラウザに表示されます。細工された URL がお気に入りに登録されていた場合、検索結果を表示する際にユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。

対策

　アップデートする。フェンリル社が提供する情報を元に最新バージョンにアップデートして下さい。
　・　Sleipnirリリースノート
　・　Graniリリースノート

Microsoftセキュリティ アドバイザリ (944653)
Microsoft : セキュリティ アドバイザリ (2007/11/08)

Windows 上の Macrovision SECDRV.SYS ドライバの脆弱性により、特権の昇格が行われる

詳細は以下を参照してください。
http://go.microsoft.com/?linkid=7714004

なお、Macrovisionは、更新プログラムをリリースしています。以下を参照してください。
http://www.macrovision.com/promolanding/7352.htm

QuickTime、新バージョンをリリース
WashingtonPost : Security Fix (2007/11/05)

　Appleは月曜日、以前のバージョンに存在していた七つの脆弱性を修正したQuickTime Playerの新たなバージョンをリリースした。このフローはMac、WindowsXP、Vista用のQuickTime中のこれまでのバージョン中に存在している。
　最新版のQuickTime(v7.3)で修正されたセキュリティホールの７つの中の６つは、攻撃者や不快なWebサイトが、特別に細工されたイメージや動画を閲覧するようQuickTimeユーザを説得することによって悪意あるソフトウェアをインストールするために使用できる物である。
　Macユーザは備え付けのソフトウェアのアップデート機能を通じて最新版を取得することが出来る。WindowsユーザはiTunes付きQuickTimeに同梱されているApple Software Updateプログラム経由でパッチバージョンを入手できる。iTuneをインストールしていない、もしくは欲しないWindowsユーザは、このリンクがQuickTimeスタンドアローンインストーラに接続している。

詳細及びインストール後の確認等に関しては以下を参照。
QuickTime 7.2 のセキュリティアップデートについて

Update.exeでUpdateするな
F-Secure Weblog : News from the Lab (2007/11/01)

　マルウェアライターの幾許かが、古く良く知られているテクニックを彼らのソフトウェアを拡散するために未だ使用していることが発見された。これらのテクニックの一つは、よく知られているベンダによってリリースされている"Security Updates"付きE-Mailメッセージを送信することである。
　本日、我々はMicrosoftからの深刻なセキュリティ アップデートがあることを主張するメッセージに関する複数の報告を受け取った。このメッセージは内部にトロイの木馬のダウンローダを含むZIPファイルを持っていた。 　感染させるためには、ユーザがトロイのファイルを解凍し起動する必要がある。Swenのメッセージと異なり、この偽のアップデート メッセージが合法的にさえ見えない点に留意すべきである。我々は多くの本物の感染を見たいと思わない。

　トロイの概要と、スパムメッセージのスクリーンショットはココを参照。

一太郎に脆弱性
独立行政法人　情報処理推進機構 (2007/10/25)

　「一太郎シリーズ」における3つのセキュリティ上の弱点（脆弱性）の注意喚起についてと題する報告が情報処理推進機構よりリリースされています。 脆弱性の影響を受ける製品は以下。

* 一太郎ビューア
* 一太郎11／12／13
* 一太郎2004／2005／2006
* 一太郎2007／2007体験版
* 一太郎ガバメント2006／2007
* 一太郎文藝
* 一太郎Lite2
* 一太郎 for Linux

Adobe Reader 及び Acrobatに脆弱性---セキュリティアップデート
Adobe : Security bulletin (2007/10/22)

AdobeはAdobe Reader及びAcrobatのセキュリティアップデートを公開した。 上記ソフトのバージョンが8.1及びそれ以前の方はアップデートを！ 現時点で英文サイトのみ。コチラ

マルウェア小論 : 2007年9月分
Kaspersky : Analyst's Diary (2007/10/19)

　天候が寒冷に向かう季節の変わり目の9月、親愛なる悪意あるプログラムは冬眠の準備をするのだろうか。さて、今月のマルウェア小論を見てみよう。

1.　銀行をターゲットにした貪欲なトロイの木馬
　このタイトルはTrojan-Spy.Win32.Small.dgの変種が獲得した。このマルウェアは一気に134の銀行のクライアントをターゲットにしている。見事な離れ業!!

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　Trojan-Spy.Win32.Agent.baaが今月の勝者である。このマルウェアは三つの異なった電子決済システムのアクセスデータを取得するように設計されている。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　またも、このタイトルはBanbraの変種（今月は、Trojan-Spy.Win32.Banbra.df）であった。このマルウェアは三つのプラスチック カード システムをターゲットにしている。そして三ヶ月連続である。このカテゴリに勝利したプログラムはブラジルを根源にしている。

4.　最高位ステルスプログラム
　Trojan.Win32.Delf.or。このマルウェアは様々な種類の異なったパッカー（【訳注】EXEファイルのサイズを削減したり（ファイル圧縮） クラックを難しくする為にコード部分を暗号化するソフトウェアの総称）によって10回パックされていた。

5.　最も小さな悪意あるプログラム
　今月は、僅か19バイトのTrojan.BAT.KillFiles.gcであるが、プログラムの小ささにも拘らず、このプログラムはユーザのコンピュータから多くのデータを削除することが可能である。

6.　最も巨大な悪意あるプログラム
　このタイトルはTrojan.Win32.Haradong.bjの変種が獲得した。このマルウェアの重量は234MBである。このトロイの製作者はリソースの効果的使用に関し全く考慮していないようである。

7.　最も悪意あるプログラム
　この秋先陣を切ったのはTrojan-Downloader.Win32.Agent.bxxである。このマルウェアはセキュリティ ソリューションを無効化するために様々な手法（メモリ中のプロセスの終了とセキュリティプログラムの削除）を使用する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　数年にわたりEmail-Worm.Win32.NetSky.qであるけれど、未だ９月における全ての悪意あるE-Mailトラフィックの22.5％を占めている。８月より４%上昇。

9.　最も汎用されたトロイの木馬ファミリー
　このカテゴリの勝者は663の亜種を持つTrojan-Downloader.Win32.Agentであった。先月の勝者より凡そ100少ない。

10.　最も汎用されたウィルス/ワーム ファミリー
　このカテゴリはZhelatinが取得した。二ヶ月の後、今月検出された55の新規な変種を伴って戻ってきた。

今月は、幾つかの定番が彼らの支配の継続をするか、それとも休みの後に回帰してきているのを見た。 ここに降った初雪は我々の物理的環境に影響を与えたか？　もしマルウェアの風景に何らかの衝撃を与えたのであれば、我々は来月確認できるだろう。

RealPlayerに0-Dayの危険な脆弱性
PC Advisor : News (2007/10/19)

　シマンテックはWebサーフするに当たり特別な注意が必要であることをRealPlayerのユーザに警告した。
　Symantec Security Responseチーム（このチームのシニアマネージャBen Greenbaumによれば）はWindows上で稼動するRealPlayer 11.0 ベータとRealPlayer 10.5に作用する新たな攻撃コードを暴露した。この前の水曜日、シマンテックはこの攻撃をテストし、IE6.0が稼動しているWindowsXP SP1の英語版で、この攻撃が仕事することを確認した。最新のXP SP2とIE7に関するテストは継続中である。
　この攻撃が仕事するために、犯罪者は悪意でエンコードされたWebページにアクセスしている生贄を欺かなければならない。このフローはブラウザ ヘルパー オブジェクト（BHO、技術的困難を経験しているユーザを助けるためにRealPlayerが使用しているソフトウェア）中に横たわっている。 　一旦、この脆弱性を突くコードが生贄のマシン上で起動すると、アタッカーは彼が望むあらゆるソフトウェアをダウンロードしインストールできる、とGreenbaumは述べている。
　今のところ、シマンテックはアメリカの顧客によって送信された唯一の攻撃コードを確認しているに過ぎないが、Greenbaumは直ぐにより広範囲に拡散するだろうと予測している。シマンテックは未だ公開されているハッカーのフォーラムに、このコードのポストを確認していないと、彼は付け加えている。
　シマンテック製品はこの攻撃から、彼らの顧客を保護している。シマンテック以外のユーザは彼らのブラウザ中のJavaScriptとActiveXを無効化することで、そして彼らが訪問するサイトに注意を払うことで自分自身を保護することが出来ると、Greenbaumは述べている。
　GreenbaumはこのフローがRealPlayerのLinuxとMac OSバージョンにも存在するか否かを認識していないが、たとえ脆弱性があったとしても、シマンテックが確認している攻撃コードは、多分これらのプラットフォームに関して改めて書き直す必要があるだろう、と彼は発言している。
　RealPlayerのメーカー、RealNetworksは未だこのコメントに要求される応答を行っていない。

【UPDATE】
　RealNetworksはRealPlayerのセキュリティ アップデートをリリースした。

25％のコンピュータが脆弱性あるIrfanViewをインストールしていた
Secunia "Security Watchdog" Blog (2007/10/18)

　諸君、気づいているかも知れないが、我がSecunia ResearchのStefan CorneliusはIrfanViewイメージ ビューア ソフトウェアに脆弱性を発見した。この脆弱性が要求する唯一のことは、ユーザが特別に工夫されたパレットファイル(.PAL)を開くことだけなので、この脆弱性を突かれることはいたって容易である。あなたがE-Mailを受け取ったり、悪意ある".PAL"ファイルを閲覧させようとするWebサイトを閲覧する場合、注意を払い、そのソースが信頼できる物であることを確実にしなさい。他方、あなたは悪意あるアタッカーがあなたのシステムに任意のプログラム（マルウェア、スパイウェア、インフォメーション スチール、キーロガー等）をインストールし稼動することを許諾するかもしれない。
　あなたは、どれほどの人がIrfanViewをインストールしているのか？　このPALファイルフォーマットというのは何なのか？　疑問に思うかもしれない。
　この.PALファイルフォーマットはMicrosoftのファイルフォーマットである。そして、多くのイメージビューアは.PALファイルを開き閲覧できる。このファイルフォーマットは.JPG, .GIF, .PNG, .BMPのように多くのユーザに親しみのあるものではないけれども、間違いなく容易にアクセス可能なファイルフォーマットである。
　我々はまた、ユーザが彼らのシステムにIrfanViewをインストールし、それによってどれほどの人々がこの脆弱性の影響を受けるのか調査した。これを行うために、我々はSecunia Personal Software Inspector (PSI)のユーザのスキャンから情報を収集した。そして、その結果は完全に警告すべき物であった。

上図参照（【訳注】　IrfanViewをインストールしていないユーザは75％存在する）。120,000を超えるスキャンを基にして、IrfanViewをインストールしているユーザは凡そ25％。これらユーザの内16,000（13%）以上のユーザが脆弱性あるIrfanView 4.00をインストールしていた。凡そ15,000（12%）ユーザが脆弱性あるIrfanView 3.xをインストールしていた。脆弱性のないバージョンをダウンロードした人々の数は大変少数であるが、確実に上昇している。
　これは良い知らせであるかもしれないが、事実はコンピュータの凡そ４台に１台が、この脆弱性を突く攻撃を受け入れる余地を残している。PhotoshopやCorelDrawのような多くの機能を有する画像編集ソフトと比べ、イメージビューアは画像を閲覧するために使用されるだけであるため、ほったらかしにされているか、必要とされていないのが一般的である。しかし、イメージビューア ソフトは我々のコンピュータ使用の統合されたコンポーネントになっている。これらは悪意あるハッカーが我々のシステムに侵入しようとする重大な方法として存在する。
　再び、我々は人々が思い起こすことを欲する。あなたがIrfanViewをインストールしているならシステムをアップデートすることを。もしも、IrfanViewをインストールしているか否か、あるいは脆弱性あるバージョンであるか否か定かでないのであれば、安全か否か、あるいはアップデートをダウンロードしなければならないのか、確認するためにSecunia PSI（【訳注】SecuniaPSIの使用方法に関しては、コチラを参照）を使用することが出来る。

スパマー、音の調子を変更
Kaspersky : Analyst's Diary (2007/10/19)

　スパマーはトリックのオーケストラに別の楽器（MP3オーディオファイル）を持ち込んだ。このスパムの新たなタイプ（メッセージ本文は空白、古典的なソーシャル エンジニアリング メッセージ ヘッダー、そして添付されたMP3ファイル）はヨーロッパのメールトラフィックを循環している。これは暫くの間発生するかもしれないとする推測がある。この展開には興味があるけれども、我々はMP3スパムに多くの将来性があるとは考えていない。

　実際のオーディオファイルは、ある会社の株価を吊り上げるように設計された‘ストックスパム'メッセージを含んでいる。しかし、スパマーはメッセージをできるだけ小さくすることと、分かりやすい録音をする事との間で取り引きをしなければならなかった。彼らは判断を誤った（サウンドファイルの音質は聞き取り難い）。ユーザが凡そ30秒の広告を聞き取ろうと努力した場合でさえ、ユーザが購入を促されることは期待できない。録音を聞き取り、その詳細に注意を払い、それからオンラインに行くことは、E-Mail中のリンクを単にクリックするより遥かに長いプロセスである。
　しかしながら、この最新のマスメールは、スパマーが広告をスパムフィルターをすり抜けさせ、不注意なユーザを欺こうとする彼らの継続的冒険中に、未だ新たなトリックを試みていることをまたしても示している。

インチキP2Pソフト"Krackin"
F-Secure Weblog : News from the Lab (2007/10/17)

　新たなストームサイトがネットワークアプリケーションを宣伝している。このサイトはこんな風である。

　しかしながら、パッチを充てていないシステムでこのサイトを訪問する行為は、自動的に悪意あるファイルのダウンロードと実行がなされ脆弱性を突かれる引き金になるだろう。パッチを充てているシステムでは、ユーザがファイル（ファイル名 : krackin.exe）のダウンロードを選択し、自分自身でそのファイルを実行しない限りは防御される。
　このWebページはTrojan-Downloader.JS.Agent.KDとして、そのファイルはEmail-Worm.Win32.Zhelatin.KEとして検出される。
　これはあなたが参加してはならないネットワークである。アンチウィルスデータベースのアップデートを確実に。

WindowsXP SP3は幾つかのVistaの機能を含んでいる
ComputerWorld (2007/10/09)

　この週末、Windows XP Service Pack 3の詳細をリークしたWebサイトは、このアップデートが幾つかの新しい機能（幾つかのWindows Vistaから取り入れた物を含む）を含んでいると主張している。
　NeoSmart Technologiesによれば、Windows XP SP3 build 3205（このベータ版は日曜日にリリースされた）は、SP2のデビュー以来三年の間に発生した1000以上の個別のホットフィックスとパッチとは別に四つの新しい機能を含んでいる。
　NeoSmartの発表によれば、これらの機能（ネットワーク アクセス プロテクション(NAP)を含んでいる。彼らが会社のネットワークにアクセスする前にクライアントPCを検査し、もし必要ならそのマシンをアップデートしたり、もし彼らが指定されたセキュリティ制限に適合していないなら彼らをブロックするエンタープライズ ポリシー エンフォースメント）はVistaから逆輸入された。
　他の追加はサードパーティー開発者によってアクセスされる幾つかの暗号化アルゴリズムを含むカーネルモードから、プロダクトキーの入力をユーザに要求しない新たなWindowsアクティベーションモデル に及ぶ。
Microsoftは前もってSP3がNAPをサポートするとアナウンスしていた。この機能はWindowsVistaの一部であり、未だ見ぬWindows Server 2008に含まれるだろう。
Microsoftのアナウンスによれば2008年早期にリリースされるであろうWindowsXP SP3は、6年たったOSの寿命を延ばす開発者によるもう一つの動きである。例えば、先月Microsoftは2008年6月30日まで大手パソコンメーカーによるXPの全機能をプレインストールしたPCとリテール版の終了を延長することによって、5カ月の猶予をWindowsXPに与えた。
そして先週、Microsoftは彼らの通常の大手パソコンメーカーを通して大量のWindows XP プロフェッショナル ライセンスを会社に購入させる新しい"get-legal"プログラムを初めて市場にデビューさせた。
　Microsoftはこのリークあるいは、NeoSmartにより宣伝されたこの新しい機能に関するコメントを即座に発表していない。

可愛さに騙されるな！
Websense Security Labs : Alerts (2007/10/11)

　Websense Security Labsは、これらを稼動することによってStormアタックを送信するスパムを配信している新たなWebサイトに関する幾つかのレポートを受け取った。このStormアタックに関する詳細についてはコチラを参照。 　このサイトは無料のE-カードWebサイトのふりをしている。パッチを充てていないコンピュータのユーザは自動的に脆弱性を突かれる。パッチを充てているコンピュータのユーザは"SuperLaugh.exe"と呼ばれるファイルのダウンロードと起動が指示される。このファイルは悪意としてStormコードを積載している。

E-Mail本文のサンプル

View your Kitty Card now! (URLは削除した)

Webサイトのスクリーンショット

Kaspersky Online Scannerに脆弱性
Kaspersky Lab ： News (2007/10/09)

　Kaspersky Online Scanner version 5.0.98.0は、危険度：高の脆弱性を修正した。Kaspersky Online Scanner version 5.0.93.1及び、それ以前のバージョンはActiveXコンポーネント中のインプット パラメータの不適切なコントロールは結果としてバッファオーバーフローを引き起こす。この脆弱性はアタッカーにユーザのコンピュータ上で悪意あるコードを実行することを潜在的に可能にする。
　この脆弱性はHarmony SecurityのStephen Fewerによって発見された。（中略）脆弱性を突かれる前にこの脅威を排除できたことを感謝する。
　Kaspersky Labは全てのKaspersky Online Scannerユーザに、このアプリケーションの最新バージョンをインストールするよう強く勧める。これはhttp://www.kaspersky.com/kos/eng/partner/default/kavwebscan.htmlより利用可能である。

解決策

　Kaspersky Online Scanner version 5.0.93.1及び、それ以前のバージョン利用者は、上記リンクよりversion 5.0.98.0にアプデートする。

更なる情報に関しては以下を参照。

http://www.frsirt.com/english/advisories/2007/3455
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=606

Adobe Reader 及び Acrobatに脆弱性
Adobe ： Security Advisory (2007/10/06)

影響あるプラットフォーム

InternetExplorer 7 をインストールしてあるWindows XP （Vistaは影響されない）

影響あるバージョン

Adobe Reader 8.1 および、それ以前
Adobe Acrobat Standard, Professional, Elements 8.1 及び、それ以前
Adobe Acrobat 3D

概要

　Adobe ReaderとAcrobatにセキュリティ上の深刻な脆弱性が存在する。

解決方法
　この脆弱性からIE7をインストールしてあるWindowsXPを保護するには、アドミニストレータがAcrobatの場合はオプションから、Acrobat 3D 8 と Adobe Readerでは、Windowsのレジストリでアプリケーションオプションを修正することでmailtoを無効化する。さらに、この変更はWindowsシステムにネットワークデプロイメントを追加する。

＞＞免責＜＜

　この操作はレジストリの編集を伴う。Adobeはレジストリの編集（重要なシステムとアプリケーションの情報を含む）をサポートしない。レジストリを編集する前にレジストリのバックアップを間違いなく取ること。レジストリに関する更なる情報に関しては、Windowsヘルプを参照。

1/　Adobe Reader もしくは Acrobatを終了する。
2/　レジストリエディタを開く。スタート＞ファイル名を指定して実行 をクリックし、「名前」欄に regedit と入力。OKボタンをクリック。
3/　レジストリエディタのメニューから、ファイル＞エクスポート を選択。
4/　Cドライブ中にファイルを保存するフォルダを選択する。
5/　バックアップ用ファイルのファイル名を入力する。
6/　エクスポート範囲で「すべて」を選択。
7/　保存をクリック。
8/　適切なレジストリキーに移動。

Acrobatの場合：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPerms
Readerの場合:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPerms
9/　tSchemePermsが以下に設定されているので

version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3| disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:2|file:2
10/　mailtoを無効化するには（推奨）、mailtoの値を3に変更する。

version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3| disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:3|file:2
11/　mailtoにプロンプトを設定するには、mailtoの値を削除する

version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3| disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|file:2
12/　レジストリエディタを閉じる。
13/　アプリケーションを再起動。

　Adobeの解決策を実現できないユーザのために、Secure Software Engineeringチームは、この問題を解決するためのAdobe Reader と Acrobatのバージョン8.1のアップデートに関するAdobe Reader Engineeringチーム共々稼動している。セキュリティ ブレチンはアップデートが利用可能になると直ぐに、http://www.adobe.com/support/security　上に公開される。我々は十月下旬までにはアップデートを利用可能にするつもりである。
　この間、AdobeはAcrobatとAcrobat Readerの利用者に、E-Mail中に接続を要求する（添付ファイルを開いたり、Webリンクをクリックするような）見知らぬ所からのE-Mailを受け取った時に注意するよう薦める。

以下省略

Sun Java Runtime Environmentに複数の脆弱性
Security Focus (2007/10/06)

　Sun Java Runtime Environmentは複数の脆弱性のために、ダウンロードされたScriiptやアップレット以外のリソースに接続するためのJavaScriptコードやアップレットを許可する傾向がある。脆弱性の一つには、ユーザから信頼されていないアップレットに関するJava警告の隠蔽をアタッカーに許す。
　この問題はWindows, Solaris, Linux用の以下のパッケージで発生する。

JDK and JRE 6 Update 2 および、それ以前
JDK and JRE 5.0 Update 12 および、それ以前
SDK and JRE 1.4.2_15 および、それ以前
SDK and JRE 1.3.1_20 および、それ以前

この問題の詳細に関しては、以下を参照
http://japan.internet.com/webtech/20071006/12.html

解決方法
JRE 6 Update 2利用者は、JRE 6 Update 3 に更新。
http://java.sun.com/javase/downloads/index.jsp

Microsoft アンチスパイウェアを装うインチキ アプリケーション
The WinVista Club (2007/10/06)

　我々はインターネット上で行動している幾つかのインチキ アンチスパイウェア アプリケーションを認識している。ココにその一つがある。このインチキ アプリケーションの使用を推奨するWebサイトは、"Microsoft Antispyware Center（マイクロソフト アンチスパイウェア センター）"と称している。疑われているこのサイトはwww(dot)maxing-search(dot)com/antispyware/（このサイトにアクセスしてはならない）。

　そこの"オンライン セキュリティ スキャナ"は明らかにインチキである。このオンラインツールは幾つかの「危険度　:　高」とする脅威を検出してみせる。そして、このオンラインツールを使用した全ての者に削除するよう駆り立てる。ユーザが"Remove All"をクリックすると、www(dot)liveupdatesnet(dot)com（このサイトにアクセスしてはならない）にホストされているSetup.exeと名付けられたファイルがダウンロードを促してくる。
　このインチキ アプリケーションの製作者はファイルプロパティ中の"Company(会社)"属性設定を"Microsoft"とする等簡単な詳細に注意を払っている。幸いにして、マルウェアのこの部分は殆どのアンチウィルスによって適切に検出される。

Apple QuickTime v7.2 セキュリティ アップデート
Apple : Support (2007/10/03)

以下を参照してください。AppleはWindows利用のすべてのユーザーに対してアップデートの適用を推奨しています。
　QuickTime 7.2 のセキュリティアップデートについて

G-MailにMailを横取りできる脆弱性
US-CERT(2007/10/01)

概要

　発表されたレポートによれば、Google Gmailはアタッカーに任意のE-Mailアドレスにメールと添付ファイルを送信できるE-Mailフィルターを作成することを許可するクロスサイト・リクエスト・フォージェリー（XSRF）脆弱性が含まれていた。

説明

　Google GmailはWebベースとするメールサービスである。Gmailはユーザがメールを分類したり送信したりできるE-Mailフィルターをサポートしている。
　GNUCITIZENの報告によれば、GmailはアタッカーにE-Mailフィルターを作成することを許可し、そして任意のE-Mailアドレスにメールを送信できるクロスサイト・リクエスト・フォージェリー（XSRF）脆弱性を含んでいたいた。この脆弱性を突くために、攻撃者はユーザが彼らのアカウント中にログインしている間に特別に細工されたハイパーリンクをクリック（または開く）することをユーザに納得させなければならない。このハイパーリンクは作成されたメールフィルターを要求するhttp POST を含んでいた。

インパクト

　リモートアタッカーは、ユーザのG-Mailアカウントからメールアドレス、E‐Mail、添付ファイルを収集できる。

解決方法

　公開された脆弱性のレポートによれば、Googleはこの脆弱性の解決に取り掛かった。以下の解決方法は将来のクロスサイト・スクリプト（XSS）とXSRF脆弱性を部分的に軽減するかもしれない。

ユーザの解決策

　・　送信にGmailのSMTP、受信にGmailのPOPサーバを使用することはG-MailのWebインターフェイス中の脆弱性を軽減するだろう。
　・　NoScript（Firefoxの拡張）は、サイトがJavaScriptの実行とクロスサイトPOST要求を送信する行為を制限することでXSRFとXSS脆弱性を軽減するだろう。
　・　重要なE-Mailと添付ファイルを暗号化することは、XSRFや他の認証バイパス脆弱性のインパクトを制限するだろう。

管理者の解決策

　省略。

Microsoftのステルス アップデートは若干のユーザに思わぬ面倒を招く
WashingtonPost : Security Fix(2007/09/28) & WindowsSecret

　複数のレポートによれば、Microsoftがこの夏、密かに数百万のPCに配信したソフトウェア アップデートは、若干のWindowsユーザが、そのソフトウェアの修復インストール機能を使用して彼らのコンピュータの問題を修復することを試みた時、少なくとも80のセキュリティアップデートのインストールが妨害される。【訳注】下の画像参照。画像はWindowsSecretsより。

　Microsoftは、このWindows Update プログラムの更新の出荷を開始したのは7月であったことを認めた。このパッチは備え付けのソフトウェア アップデート機能（スタート＞コントロールパネル＞自動更新　で、「自動（推奨）推奨される更新を自動的にダウンロードし･･･」のみならず「更新を自動的にダウンロードするが、インストールは手動で実行する」にチェックが入っているユーザを含む）を使用しているあらゆるWindowsユーザに自動的にインストールされた。
　この話題は、その tech press で大変多くの興味をもたらした。多くの人々はMicrosoftがこのようなことを試みるだろうことをずっと疑っており、このようなシナリオがあらゆる種類の自動アップデートを許可しないようにしている根本的理由であると述べている。Microsoftは、それがより透過的にパッチのロールアウトを取り扱うが、その行動を妨害したことを認めた。Microsoftは、連絡無しに行う修正は自動アップデート機能が動作していることを単に保障することを意味している（それを使用することを選択しているユーザへの注意喚起として）と発言している。。
　今週初め以来、このステルス アップデートは未だにこの会社（Microsoft）に祟っているかのようである。WindowsSecrets.comによれば、このパッチは少なくとも80のダウンロード、もしくは不特定多数のMicrosoftからのセキュリティアップデートのダウンロードを、特定のユーザから実際にブロックした。ZDNet.comのセキュリティ ブロガーはWindowsSecretsが発見したことを再現できたと発言していた。
　この問題はWindowsの修復インストール機能（WindowsインストレーションCDからアクセスする）を使用して彼らのマシン上に発生した安定性やセキュリティ問題を修正したWindowsユーザにのみ明らかに影響を与えた。修復はユーザの現在のWindowsシステムファイルをWindowsインストレーションCD中のオリジナルファイルに置き換える事を必須とする。
　この問題をどのようにすれば修正できるかということに関するMicrosoftからの公式発言は未だない。しかし、WindowsSecretsのコラムは、このバグに影響されるユーザのために幾つかの解決策を含んでいる。

【訳注】以下にWindowsSecretsの解決策を記しますが、Microsoftの公式な解決策ではないことを認識しておいてください。
この問題に関するWindowsSecretsの解決策

この問題を解決するために手動でファイルの登録を行う

　WindowsUpdateが多くのパッチのインストールを拒否したことをあなたが発見したなら、この問題を解決するため、自身でその失われたDLLを登録することが出来る。これはコマンドプロンプトで七つのコマンド（Step2参照）を手動入力することによって完成される。あなたが複数のマシンでこの修正を稼動する必要があるのなら、Step1からStep5を実行し、バッチファイルを作成すると容易である。

• Step 1 : メモ帳を開く。


• Step 2 : 以下のコマンドをコピーしメモ帳にペースト。（【訳注】コマンドは各行末で[Enter]を押し、regsvr32を先頭とする箇条書きとすること。）
  regsvr32 /s wuapi.dll
  regsvr32 /s wuaueng1.dll
  regsvr32 /s wuaueng.dll
  regsvr32 /s wucltui.dll
  regsvr32 /s wups2.dll
  regsvr32 /s wups.dll
  regsvr32 /s wuweb.dll
  


• Step 3 : このファイルを"a.bat"もしくは"a.cmd"（いずれも引用符不要）としてデスクトップに保存。


• Step 4 : デスクトップに保存した"a.bat"もしくは"a.cmd"（いずれも引用符不要）をダブルクリックして起動する。


• Step 5 : コマンドウィンドウが開き、コマンドが実行され、そしてコマンドウィンドウが閉じる。

　次にWindowsUpdate訪問したとき、最新のパッチのインストールに関する問題は発生しない。

【UPDATE】この問題に関しMicrosoftが解決策を公開した。

以下のリンクを参照。現時点（2007年09月29日）で英文のみ。
Microsoft サポート オンライン
Updates are not installed successfully from Windows Update, from Microsoft Update, or by using Automatic Updates after you repair a Windows XP installation

多くのウイルス対策ソフト、古典ウイルスに対処できず
Sunbelt Blog (2007/09/16)

[原題]　ドイツ製ノート型パソコンがStonedウィルスに感染していた件に関するアップデート

　火曜日、我々は古典的Stoned.Angelinaウィルスがドイツで販売されたMedion社製のノート型パソコンに発見されたことをブログした。
　（a）今日、実質的にフロッピーディスクドライブを搭載して出荷されているPCは存在しないということは注目に値する。(b)そして、議論を開始した物のような古典的ブートセクタウィルスをアンチウィルスプログラムが削除できないという事実は注目に値する。
　このウィルスそれ自身は破壊的なものではない。WindowsXPとVistaにおいて、システムがブート中で感染させられるためには、フロッピーディスクドライブを持っていなければならない。ある意味、そのような古いウィルス（このウィルスはワイルドリスト中にさえもはや存在しない）を見ることは、より目新しいものである。
　しかしながら。ポイントは、もしあなたが感染させられているのであれば、それをクリーンにすることを望むだろうということであり、多くのノート型パソコンがこのウィルス付きでMedionから出荷されたということである。このノートパソコンに付属するアンチウィルスソフトBullGuardは、初期設定でこのウィルスを削除することは不可能である。そこで、この会社は削除できるようにWebサイト上にアップデートを置いた。

ココからはAndreas Marxからの情報である。

[序]　Medionは1994年に出現したブートウィルス付きで若干のノート型パソコンを出荷した。そして、若干のアンチウィルスツールが、この奇妙な物の検出と削除に問題を持っているように見えることである。例えば、あるアンチウィルスソフトは、ブートの度にこのウィルスがシステム上にインストールされている事を通知すが、それを削除することは出来ない。
　驚いたことに、Stoned.AngelinaはWindows Vista(X86)上で非常に良く動作する。システムは感染させられても、依然としてブートは可能である。Windows Vistaはブートセクタが変更されているにも拘らず、如何なるメッセージや警告も表示しない（例えば、Windows98と違い）
　このウィルスは唯一Windows自身が未だ開始されていないとき、追加Diskに拡散することが可能である。このウィルスはブート時に追加Diskに感染できるが、Windowsが起動を開始した後ではない。

[テスト]　我々はStoned.AngelinaをWindows XP SP2とVistaにインストールし感染させた。これを実行することは大変容易であった（あなたが唯一必要なことはAドライブ中のフロッピーが感染させられていることを忘れることである。そして、それからブートすることを試みることである）。このウィルスは即時にハードドライブのシステム領域に感染する。しかしながら、ある種の他のブートウィルスと異なり、Windowsは依然ブートアップすることが可能であり、そして、警告メッセージを表示しない。このウィルスは（毎回のブートで）活性化されると直ぐに更なるフロッピーディスクに感染できる、DOSの下で。Windows 2000, XP, Vista（あるいはLinuxやあらゆる他のプロテクトモードOS）が開始されると直ぐ、ウィルスコードはもはやコールされない（このシステムは既に感染しているが、次の起動まで他に拡散できない）。

　テストに当たり、我々はWindowsのドイツ語バージョンを使用し、現在利用可能な幾つかのアンチウィルスソフトウェアとセキュリティスイーツの2007年度版もしくは2008年度版の消費者バージョンを使用した（ドイツ語版、2007-09-14と昨日のアップデートを使用）。我々は二つのOS（XP SP2とVista）上で合計10の製品をテストした。

テストされたアンチウィルス

Avira AntiVir Personal Premium (v7)
G Data (AVK) Total Care 2008
BitDefender Internet Security 2008 (v10)
BullGuard Internet Security 7.0
Kaspersky Internet Security 7.0
McAfee Internet Security 2007 (2008バージョンは未だリリースされていない)
Symantec Norton 360
Microsoft OneCare 1.6
Panda Internet Security 2008 (v12)
Trend Micro PC-cillin Internet Security 2007 (2008バージョンは未だリリースされていない)


以下のスキャナはWindowsXPとVista上の"Stoned.Angelina"を検出し成功裏に削除する

G Data (AVK) Total Care 2008
BitDefender Internet Security 2008 (v10)
Kaspersky Internet Security 7.0


以下のツールは検出し感染を報告するが、このウィルスを操作することは出来ない

BullGuard Internet Security 7.0 (BullGuardのアップデート情報を参照)
McAfee Internet Security 2007
Trend Micro PC-cillin Internet Security 2007
Avira AntiVir Personal Premium (v7) -- このツールはマスターブートレコードをdefaultの設定ではスキャンしないので、それを可能にしなければならない。さもなければ、このツールは何も通知してこない、このセクターをスキャンしないのだから。

以下の二つのツールはキチンと通知してくる。そしてWindowsXP上ではウィルスをクリーンにする。しかし、これらのツールは感染が発見された後、Windows Vistaベースのシステムの感染していないシステム領域をズタズタにする。これはVistaが「成功裏」にクリーニングされた後に、もはや起動しないことを意味している。そこでVistaは修復されなければならない（例えば、インストレーションDVDからブートしシステムの修復オプションを選択する）。

Symantec Norton 360
Panda Internet Security 2008 (v12) -- ユーザは管理者権限でこのツールを起動する、あるいは、User Account Control (UAC)を無効にする必要がある。さもなければPandaはディスク上のウィルスをスキャンできない。そこで、たとえ感染している状態の場合でさえ、システムはクリーンであると報告してくる。

残りの一つ、Microsoft OneCare 1.6はディスク上のブートウィルスをスキャンすることが出来ない（XP、Vista共に）。このためユーザはシステムが感染していることの通知を得ることができない。もちろん何も発見しないし、何も削除しない。

Lhaplusに脆弱性
独立行政法人 情報処理推進機構 (2007/09/21)

　Lhaplus Version 1.54 以前において、ARJ 形式のアーカイブを展開するときにバッファ・オーバーフロー発生の可能性。

「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起について
Lhaplus製作者からの情報

マルウェア小論 : 2007年8月分
Kaspersky : Analyst's Diary (2007/09/14)

　月の半ばは我々の小論の時期である。夏の最終月、我々にもたらされた物を見てみよう。

1.　銀行をターゲットにした貪欲なトロイの木馬
　夏の終りに現れた新しいトロイがこのカテゴリを奪取した。Trojan-Spy.Win32.Banker.cjiは直ちに44の異なった銀行システムのオンラインクライアントを追跡する。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　Trojan-Spy.Win32.Banker.dfjが同時に三つの異なった電子決済システムに照準を合わせた後、8月のこのタイトルを獲得した。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　8月のこの賞の受賞者はTrojan-Spy.Win32Banbra.hpの変種の一つである。このトロイは7月にこのタイトルを取得したブラジルからの物である。悪意あるプログラムは三つの異なったプラスチックカードのクライアントを標的にしているだけでなく、多くのブラジルの銀行のクライアントを追跡もしている。

4.　最高位ステルスプログラム
　夏の終わりの月のこのカテゴリのリーダーは、Backdoor.Win32.Hupigon.rcであった。様々な種類の異なったパッカー（【訳注】EXEファイルのサイズを削減したり（ファイル圧縮） クラックを難しくする為にコード部分を暗号化するソフトウェアの総称）によって9回以上パックされていた。

5.　最も小さな悪意あるプログラム
　8月、このタイトルはチッぽけなTrojan.BAT.Deltree.sに行った。馬鹿にするな。 この16バイトのプログラムはパンチがきいていて、Cドライブのディレクトリの全てを破壊することができる。

6.　最も巨大な悪意あるプログラム
　8月の肥大な悪意あるプログラムは、Trojan.Win32.VB.aqyの変種の一つである。この丸々と太ったプログラムの重量は237MBでスクリーンセーバーを装って拡散する。

7.　最も悪意あるプログラム
　8月のこのタイトルの勝者は、Backdoor.Win32.IrcBot.aeoである。これはRAM中やドライブ上でそれらを破壊することによってPCのセキュリティシステムに対処する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　E-Mailトラフィック中に最も汎用された悪意あるプログラムは、古く良く知られているEmail-Worm.Win32.NetSky.qであった。これは夏の最後の月のE-Mailトラフィックの21％を占めた。

9.　最も汎用されたトロイの木馬ファミリー
　8月のこのタイトルはTrojan-Spy.Win32.Bankerである。この月、目覚しい736の亜種を達成した。

10.　最も汎用されたウィルス/ワーム ファミリー
　このカテゴリのリーダーはこの月の間、合計29の亜種を検出したワームのBagleファミリーである。

AOL、Kasperskyと離別
WashingtonPost : Security Fix (2007/09/10)

　Kasperskyから提供されているフリーの"Active Virus Shield"アンチウィルスを利用している多くのAOLユーザは、そのソフトウェアのアップデートがダウンロードされなくなったことに不平を言っている。AOLは最近Kasperskyとの提携を解除した。そして今、McAfeeアンチウィルスを提供している。
　AOLは新たにMcAfeeを提供することの詳細について、そのサイト上に情報を掲げてはいるが、AOLは前もってこの変更があるという如何なる種類の先行警告も与えていない。AOLのスポークスマンは、AOLはフリーのKasperskyの新規ライセンスをもはや提供することはないが、Kasperskyのライセンスに残存期間のある顧客がKasperskyのアップデートの受信を停止させられなければならない理由はない、と発言している。
　喩えそうであるにせよ、若干のAOLウィルス シールド ユーザは、彼らがプログラムを最新の状態に保持するためのウィルス定義ファイルをもはやダウンロードできないことを通知している。これらのユーザのライセンス（一年毎に更新）に残存期間があったとすれば、そこには多くのユーザにアップデートの再可能を支援するための大変容易な改善があるように思われる。
　あるいは、AOLユーザはKasperskyを削除できる。お金を払いKasperskyの完全版にアップデート出来る。また、Kasperskyをアンインストールし提供されているMcAfeeにすることも出来る。
無料のアンチウィルスを選択するというオプションもある。
無料のアンチウィルスとして、Antivir Personal Edition Classic, AVAST Home Edition, BitDefender Free, Clamwin Free, Grisoft's AVG Freeがある。

MySpaceとPhotobucket上で提供されているトロイ付きバナー広告
WashingtonPost : Security Fix (2007/09/09)

　ユーザのコンピュータを改竄するトロイの木馬を含む幾つかのバナー広告が過去数週間に渡り幾つかの高速転送Webサイト（MySpace.com、Photobucket.comを含む）上で稼動していることをSecurity Fixは学んだ。
　Webセキュリティーの会社であるScanSafeは、8月8日最初に汚染されたバナー広告に気が付いた。そして次の三週間で数百万の有害な広告が稼動していると見積もられると発言している。この広告を含む他のサイトとしては、Bebo.com, TheSun.co.uk, UltimateGuitar.comが含まれるとScanSafeは公式に発言している。これらのサイトの一つにでもアクセスしたことのある全ての者で、Microsoftの最新のセキュリティアップデートが提供されていないIEのあるバージョンで、この広告をブラウズした彼らのマシンは感染されていることになる。
　これは悪意あるソフトウェアがバナー広告を利用した最初ではない。約一年前、私はスパイウェアを百万以上のMySpace.comユーザのマシンにインストールした類似のバナー広告攻撃について記した。この最新の攻撃は最後のものではない。バナー広告をハックすることはマルウェアを拡散する非常に有効な方法である。何故なら、それは多くの人が信頼しているサイト上で稼動しているのだから。
　疑いのあるバナー広告はRightMedia（最近Yahoo!に買収された）と呼ばれる会社によって稼動されている広告ネットワークエクスチェンジにトレースバックされた。この広告はサードパーティーの広告サーバからRightMediaの広告サーバに配信され続けている。これらのサードパーティーサーバは不可視の"iFrame"をロードするためにMacromedia Flashファイルを使用する幾つかの悪意ある広告（彼らはこの広告をローテーションしている）を含んでいる（他のWebサイトから現在のWebサイトへコンテンツを挿入するために使用する）。
　悪意ある"iFrame"は順番に一般的なトロイの木馬をインストールするため、MicrosoftのIEのフロー（Microsoftが二月にパッチした物の一つ）中のセキュリティホールの存在を停止するためのコードを破壊する。
　RightMediaのスポークスマンは、この広告は同定され、彼らのエクスチェンジから締め出したと発言した。「しかしながら、我々はNet上の他の場所で発生することは判断できない。我々は我々の防御ツールを改善することを継続する。そして消費者と提供者から、この能力を遠ざける方法を発見することを約束する。」
　RightMediaは、このプロセスを彼らのブログで、潜在的に有害なバナー広告を削除用の場所に置いたと説明している。この会社の"MediaGuard"システムは、そのサーバに各広告をアップロードするために稼動している。その時、その広告が悪意あるコードを含んでいるか否か決定するために連続的に10のテストが行われる。「これらのテストの幾つかはアメリカ以外の偽装ユーザに対応するためインターナショナルなプロキシサーバを通して稼動している。悪意ある能力が僅かでも検出されたならば、この製作者にはフラグが立てられ、広告主は公開される。」
　しかし、ScanSafeによれば、有害な広告中に挿入される攻撃用コードは、通常のWebサイトに提供される彼らの広告とRightMediaのスキャンサーバの間の相違を認識するようデザインされている。もしその訪問者がRightMediaであったならば、悪意あるコードはその広告に提供されないだろうと、ScanSafeの製品戦略副部長（vice president of product strategy）Dan Nadirは発言している。
　Firefoxのアドオンである"noscript"のようなツールは、ユーザがあるWebサイトを訪問したとき、FlashやJavaScriptのような強力なプログラミング言語の自動起動のブロックをユーザに支援する。しかしながら、訪問者が以前そのサイトを信頼できるサイトとして永久に"noscript"に指示している場合は、この種の攻撃を防ぐ能力は殆どない。
　このことから持ち帰り出来る他のキーは、Windowsユーザは最新のセキュリティパッチ（とりわけMicrosoftによって提供されるIEと他の重要なシステムコンポーネントの穴を埋めるもの）でシステムをアップデートし続ける事の重要性である。

シャボンを見たか？　Skype ワームかもしれない。
F-Secure Weblog : News from the Lab (2007/09/10)

　Skype ワームが流行っている。これはSkypeのインスタントメッセージ機能（Skype チャット）経由で拡散している。ユーザは、彼らの友人から以下のような無害に見えるリンクの付いた英語のメッセージを受け取る。

http://www.myimagespace.net/erotic-gallerys/[removed]/dsc027.jpg
http://www.fakme.org/erotic-gallerys/[removed]/dsc027.jpg

　このリンクは画像にリンクされているように見えるが、そうではない。実際には、それらのリンクはあなたのマシンにDSC027.SCRと呼ばれるプログラムをダウンロードしようとするページにリンクされている。 　我々は今までに、少なくともこのマルウェアの異なった二つのバージョンを確認している。起動したとき、この二つのマルウェアのバージョンは共に、Windowsに最初から備え付けられている壁紙の一つ（Soap Bubbles.bmp、【訳注】シャボン）を表示する。　

更なる情報に関しては、我々のマルウェアの説明及びSkype Heartbeat blogを参照。

SONY指紋認証つきUSBメモリの脆弱性につき謝罪と対策を発表
SONY　:　情報 (2007/09/07)

　先般来、F-Secureによって指摘されていたSONYのUSBメモリのドライバにルートキット類似の隠蔽テクノロジが利用されている問題について、SONYより公式の発表がありました。
指紋認証機能つきポケットビット付属ソフトウェアの脆弱性についてのお知らせとお願い

対象製品は、

日本　；　指紋認証機能つきポケットビット USM128F、USM512FL
外国　；　MicroVault USM-F

詳細は上記ホームページで確認してください。

存在しない日付の物語
Kaspersky : Analyst's Diary (2007/09/04)

　数日前、我々は興味ある一連のスパムを受信し始めた。ココに三通のスパムのヘッダーの断片がある

　それらは異なったIPアドレスから送られ、かなり任意の件名と送信先フィールドを有しているが、このメッセージが送信された日付に関しては奇妙な類似性が存在する。より詳細に見てみよう。

Sample 'a'
Real date: Mon, 3 Sep 2007 21:39:36 +0300
Fake date: Mon, 34 Aug 2007 13:39:47 -0500


Sample 'b'
Real date: Tue, 4 Sep 2007 08:36:52 +0300
Fake date: Tue, 35 Aug 2007 13:36:53 +0800


Sample 'c':
Real date: Tue, 4 Sep 2007 08:50:38 +0300
Fake date:Tue, 35 Aug 2007 00:50:51 -0500

　配達遅延は別にして、送信者によって通知された日付は不正な物であるが、それらは同一の誤ったアルゴリズムを使用して計算されているかのようである。（8月1日起算の日付が使用されていて、9月3日が8月34日になっている）
　我々は多くの不正な日付のスパムを見てきたが、これは特に興味深い。なぜなら、この不正な日付は全てスパム用ソフトウェアのバグに起因するように思える。これは我々にこの特定のスパマー（もしくはバグのあるスパム用ソフトウェアの使用者）が何を送信しているのかを理解させた。
　最初のE-Mailと思える物がここにある。

　以下の二つは通常の画像スパムである（任意の文字にGIF画像が添付されている）。その種の物に興味を示す者のために、それらはココに存在している。

　最初のE-MailのZIP添付ファイルは"iloveyou.exe"（ファイルサイズ、20992バイト）と名付けられた実行可能ファイルを含んでいる。我々はこのファイルをTrojan-Downloader.Win32.Agent.crzとして検出する。これは全くの驚きとして出現した物ではない。我々は実際にかなり長い期間、悪い奴等は同一のシステム経由でスパムとマルウェアを交互に送信していると疑っていたが、これを補強する実際の証拠は何等持っていなかった。この日付のことは小さな間違いであるかのようだが、これは我々に悪い奴等の追跡を助け、そして、彼らを捕まえるための十分な情報を当局に提供するような過ちである。しかしながら、このような間違いは滅多に発生しない。サイバー犯罪者は彼らの失敗から学習している。何故なら、彼らは一つの失敗が刑務所への収監に至るという事を知っているからである。

Javascript中のアクティブ アンチリバース技術
Kaspersky : Analyst's Diary (2007/08/31)

　我々は最近興味ある疑わしいWebページに行き当たった。もちろん、このHTMLページはトロイの木馬にリンクしている悪意あるコードを含んでいる。このWebページには無害なページの内部に別個のHTMLページがあった。このコードの製作者はHTML標準に従わず、追加の＜html＞＜/html＞コンテナを実装している。
　驚いたことに、ブラウザ（我々は、Internet Explorer, Firefox, Operaでチェックした）はこのようなページのプロセスに何等問題を示さなかった。一体誰が悪意あるユーザが標準を守ると思っているのだろうか？
　しかしながら、これは主たる問題ではない。我々が興味を持ったのは悪意あるユーザがWebページに統合しているスクリプトである。もちろん、このスクリプトは出来うる限る解析困難なようにデザインされている。これはJavaScriptを解りにくくするテクニックである。
　このスクリプトそれ自身は凡そこのようである：

　ココに驚くようなことは何もない。このようなスクリプトの大部分はコードを巧みに取り扱うためのあらゆるステップを踏んで解析すること無しに復号化できる。解析しようとする者は悪意の総量を稼動するために元のWebページに表示されているコードの一部を発見しなければならない。今回の場合、それはdocument.write() 関数である。

　我々がこれを修正したら、我々は悪意の総量に関する復号化コードを閲覧できる。我々はローカルハードドライブ上に故意に作成した感染ページのコピー上に、HTMLテキストエリアコンテナであるところのtextarea1で、document.write（P7E87DE2）をtextarea1.innerHTML=P7E87DE2に変更した。今、我々はこのスクリプトがテキストエリアフィールドで何を実行しようとしているか理解できる。これは我々に以下を与えた。

　このスクリプトは何も表示しないように見えた。これが最初の印象であった。しかし、このスクリプトを詳しく見るために、この文字を掘り起こしてみた：

　これは何を意味しているのか？　いたって簡単である。この関数はそれ自身のコードを取得する。それを文字と数字で構成される「キー」テキスト文字列に変換する。この関数の内部で、この文字列は悪意の総量を構成するために使用される。即ち、テキスト領域に入られるものは、この関数それ自体のボディーに対応する!
　結果として、そのコードが僅かでも修正されたならば、発生する結果は完全に異なる。そして完全に無意味な物になる。これは我々が最初に企てたことで発生したことである。これはJavaScript関数のボディーを修正することに対するある種の防衛メカニズムである。我々は今迄にこのような物を見たことはない。大変洗練されている。
　しかしながら、単にこの関数の外部から同じ文字列を取得することで、キー文字列に含まれなければならない変数q2854da60をその結果に割り当てることによって、この全てを回避することは可能である。
　あなたがこれを実行するアナリストであり、暗号化されたコード内部からこのスクリプトを取得することを試みようとしているのであれば、次の段階であなたはスクリプトの隠蔽されているコンテンツを取得するために、正確に細工されたページを開いた時、ブラウザがフリーズすることを見出すだろう。私はココで求められてもない意見を述べるなら、これがあなたのコンピュータが感染させられた瞬間であると言うことを指摘しておく。アナリストが＜textarea＞＜/textarea＞タグ内部に使用した構文は、ユーザのマシンに感染するだけでなくテキストエリアにそれを表示させることによって悪意の総量のコードを取得しようとするアナリストのコンピュータにも感染するように細工されていた。その構文はこのようなものである：

　このコードがテキストエリアコンテナ内部に置かれた場合、このコードはtextareaタグを閉じ、iframeコンテナを加えるだろう。ブラウザはシステムに感染する脆弱性を突くトロイの木馬を含む外部スクリプトをロードするためにこれを使用する。
　この例は、ウィルス製作者が一般ユーザを保護使用とするアンチウィルス専門家とどのように戦っているかという方法を非常に明瞭に示している。そして、もしもウィルス アナリストが、ほんのチョッとした失敗をしたならば、彼らのマシンは感染させられる。これは私がこの仕事が大好きな理由の一つでもある。なぜなら、それは何等エラーが存在していないことを私に教えてくれるのだから。

Sony USB ルートキット vs Sony ミュージック ルートキット
F-Secure Weblog : News from the Lab (2007/08/29)

　月曜日の投稿は、SonyのMicroVault USM-F指紋読み取りソフトの我々の調査を顕にした。Sonyのソフトウェアはルートキット技術を使用して隠蔽したフォルダを作成しドライバをインストールする。
　使用されている技術が類似なので、このケースはSony BMG XCP DRM（音楽ルートキット）の場合同様悪なのではないか？　という疑問を呼び起こした。
　一言で言えば、XCP DRMの場合のような悪ではない。何故か？
　ユーザはそのCDに含まれているソフトウェアをインストールしていることを理解している。そして、ソフトウェアをアンインストールする標準的方法が存在している。
　指紋認証ドライバはXCP DRMフォルダが行ったように「深く」そのフォルダを隠蔽していない。MicroVaultソフトウェアは（幾つかの）リアルタイム アンチウィルス スキャナから効果的な程にはマルウェアを隠蔽しないだろう。
　MicroVaultソフトウェアはプロセスとレジストリキーを隠蔽しないが、XCP DRMは行った。 　XCPの場合より隠蔽されたディレクトリから実行ファイルを稼動するのはより困難でもある。しかしながら実行されうる。
　最後に、使用する場合があるかのようだ：
　クローキングは改竄から指紋認証を保護するために最も汎用される。Sonyはユーザ自身のデータを保護しようとしている。DRMの場合、Sonyは購入したCDの音楽にアクセスすることから、あなた（ユーザ）を制限しようとした。今回の場合は、彼らの意図は消費者にとってより有益であった。
　しかしながら、この新たなルートキット（これは未だにsony.netからダウンロードできる）はマルウェアの製作者があらゆるフォルダを隠蔽するために使用することが出来る。我々は我々の公開する記事の中でこの件に関する詳細を語ることを望まない。しかし、昨日McAfeeの我々の友人がブログした今、我々は秘密は漏れると仮定している。もし、あなたが単純にパッケージから、そしてそれはマルウェアを含んでいるものから、ある実行ファイルを抽出したいのであれば、疑いなく、そのマルウェアのフォルダに隠れている。
　我々は未だにSony Internationalからあらゆる種類の応答を受け取っていない。しかしながら、Sonyスウェーデンは実際にルートキットが彼らのソフトウェアの一部であると言うことを公開したIDG Storyで確認している。

【UPDATE】
Sony is awake、と題する投稿がなされています。

Sony BMGとは別のSonyによる二つの不愉快
F-Secure Weblog : News from the Lab (2007/08/27)

　生体認証には存在、BioShock(ゲーム)には存在しない。

　仮説　：　

　街の商店街を訪れ商品を購入するため眺めていたとする。あなたはお気に入りのアーティストの新しいCDを購入し、そして衝動的に或るブランドの新しいカッコいいUSBスティック（USBメモリ）を購入する。家に帰り、ラップトップのCDドライブに買ってきたCDを挿入する。そうすると、幾つかのソフトウェアのインストールを促される。あなたはそれを実行する。その音楽を聴いている間にUSBスティックのパッケージを開く。そして、新しいオモチャの実験を開始する。このUSBスティックは指紋認証読み取り機能を持っているので、このソフトウェアも同様にインストールする。
推測されることは何か？　あなたはラップトップに一つではなく二つの異なったルートキット類似のソフトウェアをインストールしたかもしれない。

　我々はF-Secure DeepGuard HIPS システムがUSBスティックドライバに対し警告を発したという通報を受け取った。問題のUSBスティックは指紋読み取り機能を備え付けている。このケースは一般的でないかもしれないと思い、我々は指紋認証付きの複数のUSBスティックを注文した。テストマシンにこのソフトウェアをインストールした。インストールの後、F-Secure BlackLight(ルートキット検出用ツール)がシステム上に隠蔽されたファイルを報告してきたことを確認した時には驚きを禁じえなかった。

　常連の読者の多くは、2005年のあの余りにも有名なSony BMG XCP DRM ルートキットの失敗を思い出すだろう。その時代、ルートキット付きマルウェアはそれほど汎用されていなかったが、あれ以来、多くのマルウェア ファミリーがルーキット隠蔽技術を適用した。判然としないが、「ルートキットの隆盛」がSony BMGのケースの公開無しに、これ程の強度で発生したのだろうか？　いずれにしても、ルートキットとは何であるかということを、あの当時より遥かに多くの人達が認識している。

　このルートキット類似の挙動付きUSBスティックはSony BMGの場合と極めて強い関連がある。事の初め、ルートキット隠蔽は商用ソフトに故意に使用された悪意という、これとは別の場合であった。我々が注文したUSBスティックは或る会社（Sony Corpolation）の物であった。

　USBスティック付属のSony MicroVault USM-F 指紋読み取りソフトは、C:\Windows の下の隠しディレクトリにドライバをインストールする。そのWindowsディレクトリ中のファイルとサブディレクトリは列挙化されているので、その内部のディレクトリとファイルはWindows APIを通しても見ることが出来ない。ディレクトリの名前を知りたいのであれば、例えばコマンドプロンプトを使用して隠蔽ディレクトリに入ることは可能である。そして新たな隠しファイルを作成することも可能である。そこには、このディレクトリからそのファイルを起動する方法も存在する。アンチウィルスソフトに搭載されている技術に応じてではあるが、このディレクトリ中のファイルはSony BMG DRMの場合同様に、アンチウィルススキャナからも隠蔽される。このことはマルウェアがその隠れ場所として、この隠蔽されたディレクトリを使用することを可能にする。

　USBスティックに同梱されているソフトウェアに更に情報を付け加えれば、我々がSony（www.sony.net/Products/Media/Microvault/）から、利用可能な最新バージョンのソフトウェアをテストした。このバージョンも同一の隠蔽機能を含んでいた。

　MicroVaultソフトウェアは改竄とバイパスからこの指紋認証を何らかの方法で保護するためにこのフォルダを隠蔽したということが我々の所信である。我々が安全認証について述べているので、ユーザの指紋がディスク上の全ユーザーに書き込み権限のある、誰でも修正できるファイルであることは出来ないということは明らかである。しかしながら、我々はルートキットのような隠蔽技術は、そこに至る正しい方法ではないと感じている。Sony BMGの場合同様、もちろん我々はこのケースを公開する前にSonyにコンタクトした。しかし、これまで彼らからなんの応答も受け取っていない。

　この指紋認証付きMicroVaultは以前の商品であり、もはや製造されていないかもしれないということに注意すべきである。少なくとも、ヘルシンキにおいて我々はこのタイプの読み取り機能に幾つかのトラブルを発見した。それであるにも拘らず、我々はそれらが販売されていることを発見した

[注意]
　週末、BioShockゲーム（バイオショック）のPC版にルートキットと疑われる物があるというニュースが流れた。このニュースは調査され、真実ではなかった。しかし、明らかにBioShockはSonyによって作られた著作権保護プログラムを使用しているので、そこには初期化に当たり煩わしいアクションが存在している。

Skypeのダウンは今月のWindows Updateが引き金になっていたか？
WashingtonPost : Security Fix (2007/08/20)

　インターネット電話プロバイダSkypeは、本日先週二日間機能停止に追い込まれたのは、少なくとも先週リリースされたMicrosoftのセキュリティパッチが関与しているとする非難の一部を公開した。
　この状況説明に関する最新の更新において、SkypeのVillu Arakは「この混乱は、WindowsUpdateによって恒例のパッチのセットを受信した後に再起動するという、非常に短いタイムフレーム中に全世界にまたがる我々のユーザのコンピュータの膨大な再スタートによって引き金が引かれた。膨大な数に上る再スタートはSkypeネットワークリソースに影響を与えた。これはログイン要求の洪水を引き起こした、そして、これがP2Pネットワークの欠乏と結合し、深刻な影響の連鎖を促した」
　機能停止中の早期、オブザーバーの中にはこのネットワークの原動力であるソフトウェア中の脆弱性を、最近説明されているDoS攻撃のターゲットにされたと推測した者もいた。Skypeは、この停止はソフトウェアの不具合に関連し、攻撃された結果ではないと明確に応答している。 　Skypeのオフィシャルは再起動で促されたログインの洪水が、ネットワークの使用において予測できない急増を処理しようとするシステムコンポーネント中の、今まで明らかになっていないソフトウェアのバグ注目していると発言している。
　Microsoftのスポークスマンは、先週リリースされたパッチ（少なくともそのソフトウェア中の14の脆弱性を修正している）は至極普段通りの物と発言している。
　「Windows Updateはソフトウェアのアップデート（先週のアップデートを含む）を受け取るためにMicrosoftがユーザに用意している恒常的サービスである。そして、これは特異な物ではない」と「Skypeのブログに示唆されているように、今回の彼らの崩壊は彼らのソフトウェアのバグによって発生した」とMicrosoftのスポークスマンは発言している。

【訳注】
　WindowsUpdateした後、再起動が要求されるのは至極普通のことなのだが・・・。Skypeの説明も納得いかない。しかし、COMODOも今月のWindowsUpdateでトラぶっており、チョッと気になっています。

日本のフリーの解凍ソフト LHAZ にゼロデイ攻撃
McAfee Avert Labs Blog (2007/08/17)

　日本のアプリケーションが別の脆弱性をターゲットにされていることが本日発見された。今回は、LHAZ v1.33（フリーの解凍ソフト）がターゲットにされた。悪意ある工作をされたZIPファイルを、このツールで解凍すると未知の脆弱性を突かれ、BackDoor-CKB（トロイの木馬）に侵入される。
　二ヶ月前、我々はLHAのフリーの解凍ツールLhaca（このツールは日本では非常にポピュラーである）の脆弱性に対する攻撃を公開した。
　　これらのツールが商用ツール同等に幅広く使われていない間は、そのようなフリーツールを攻撃する価値はないものと、使用しても安全であると認識されていた。Exploit-LHAZ.aは当にソフトウェア（WindowsやMacOS、英語版や各国語版、無料やオープンソースや商用）が同じセキュリティの脅威を受けるという注意喚起である。
　Exploit-LHAZ.aに関する更なる詳細情報は、http://vil.nai.com/vil/content/v_142976.htmを参照されたい。

８月のMicrosoftセキュリティパッチ、COMODOパーソナル ファイアーウォールに影響
Avast!フォーラム　＆　COMODOフォーラム (2007/08/19)

　AvastのフォーラムとCOMODOのフォーラムからの情報です。8月のMicrosoftのセキュリティパチがCOMODOパーソナル ファイアーウォールと競合し、SVCHOSTのポップアップを頻繁に発生させているようです。このSVCHOSTをプロセスエクスプローラで確認したところ、SVCHOSTを利用してインターネットアクセスしようとしている元のアプリケーションは、Win Auto-updateであったとされています。
　これは、WindowsUpdateのインストールが不調なわけではなく、今回のアップデートでMicrosoftが暗号化シグネチャを変更したため（InternetExploreでさえ）、COMODOパーソナル ファイアーウォールがこれを「新しいソフトウェア」と認識するところから発生しているようです。
　この問題はCOMODOがファイアーウォールの"WhiteList"を修正しない限り解決しないものと思われます。
　COMODOも鋭意努力中のようですが、詳細なデータの入手を必要としているようで、解決にはもう暫く時間を要するかもしれません。

Botnet停止中
Kaspersky : Analyst's Diary (2007/08/17)

　我々はとても小さなボットネットを監視ていた。それは最近まで凡そ8000のゾンビマシンを持っていた。ほんの数日前このボットネットは炸裂し大変高速に増殖することを開始した。この増殖は昨日の黄昏時（モスクワ時間の5時）に、ゾンビマシンの総数が凡そ14000に達すると共に停止した。
　このネットワークの成長方法に興味を惹かれた。我々は若干の統計を集めた。以下のグラフに示す。

　我々はこのボットネットがロシアのマシンをターゲットにしていることを見出した。ロシア連邦が夜の間、その成長がスローであることから、ロシアのマシンをターゲットにしているとする理由を説明できるだろう。
　我々は感染の拡散に使用されているトロイをTrojan-Downloader.Win32.Small.eheとして検出する。この検出は2007年7月30日付けで追加された。
　我々はこのネットワークの十二分な監視を保持し続ける。そして、この感染の新たな増殖の開始についてポストするだろう。このブログを注視せよ。

走れ、Skypeが倒れた
F-Secure Weblog : News from the Lab (2007/08/17)

　世界中のSkypeネットワークの殆どが、現時点で一日中ダウンしている。そして、未だ復旧していない（【訳注】Skypeによると、日本時間17日20時時点で、一部でサービスへのアクセスが可能になっている）。
　Skypeの公式見解では、この問題は「ユーザ自身のSkypeクライアントと残りのSkypeネットワークとの間の相互作用を制御するSkypeネットワークソフトウェア中のアルゴリズムの欠乏」によって発生したとされる。我々が持っているSkypeとの内部接触で、この問題はDDoS攻撃や他の類似の攻撃ではないと発言している。

　DoS攻撃デマの原因　：　Skypeの主たる開発ユニットはエストニアに存在する。エストニアのインフラ基盤は今年初めに膨大なDoS攻撃のターゲットにされた。これは、まさに数時間前securitylab.ruにおいて現実に何が起こっているのかということに関して作成された多くの噂話の投稿と、Skypeサーバソフトウェアに対する新たなDoS攻撃ということを結びつけた。

　この脆弱性はいたって単純である。Skypeクライアントソフトに膨大な量の呼び出しが発生した。それが接続しているサーバがフリーズした。そして、他のサーバへの再接続が発生した。

Yahoo! メッセンジャのユーザへ
WashingtonPost : Security Fix (2007/08/16)

　友人や家族とビデオ チャット オンラインするためにYahoo!メッセンジャを使用している人々は、見知らぬ人からのチャットへの入室招待に対し特別に慎重でなければならない。レポートはYahoo!メッセンジャのソフトウェアに今まで知られていないセキュリティホールが存在することを示唆している。このセキュリティホールを利用して、アタッカーはビデオチャットへの招待を受け入れるように受け手を説得することによって、悪意あるソフトウェアをインストールすることが出来る。
　この警告はアンチウィルスメーカのMcAfeeによってなされた。McAfeeは中国のセキュリティフォーラム上でこの問題についての論議を読んだ後、このフローの存在を確認したと発言している。この脆弱性は完全にパッチが充てられているとされるYahoo! メッセンジャ (version 8.1.0.413)中にも存在する。

【訳注】
　Yahoo!メッセンジャは英語版と日本語版のバージョンが異なっているようです。現時点でのWindows版Yahoo!メッセンジャ日本語最新版のバージョンは　7.0.1.0　です。本件に関するYahoo! Japanからの発表は未だありません。

Zhelatinギャングが戦術を変更した
F-Secure Weblog : News from the Lab (2007/08/15)

　ココ数週間に渡り、我々は膨大な量のecard.exeスパム、インチキのグリーティングカードスパムの出現を見てきた。
　このメッセージは添付ファイルを含んでいないが、あなたのマシンに一つのecard.exeのダウンロードを誘うWebサイトへのリンクを含んでいる。
　昨晩以来、このメッセージが変更されている。あなたは未だに通常のグリーティングカードスパムを得られる。

　しかし、あなたがリンクに従った時、そのWebサイトは"Microsoft Data Access"をあなたのコンピュータにインストールする必要のあることを告げてくる。都合の悪いことにフリーである。そのため、彼らはダウンロードに関し優位性を持っている。

　もちろん、ダウンロードされたmsdataaccess.exeはプレゼントを継続する贈り物である。この厄介物を回避せよ。

　常識的に、E-Mail中の勝手に送りつけられてくるリンクに従うことは誤った考えである。面白がって上述のURLを試してもいけない。例えば、あなたがバージョンアップされていないFirefoxやIEでこのページにアクセスすると、あなたのコンピュータに即座に感染するために、悪意ある脆弱性を突くコードを提供してくるだろう。現時点でOperaはターゲットにされていないようである。
　この操作は明らかに2007年1月にオリジナルである"Storm worm"を稼動させた同一ギャングの仕業である。
　我々はこの最新の変種をEmail-Worm.Win32.Zhelatin.ggとして検出する。

Botnetの内部を覗いて見た
Kaspersky : Analyst's Diary (2007/08/15)

　我々全てがこの世のありとあらゆる所に多くのボットネット（あるいは、ゾンビネットワーク）が存在することを知っている。カスペルスキーはボットネットを立ち上げるために使用される、もしくは極秘データを盗むために使用されるマルウェアを検出し破壊するだけでなく、新たなボットネットを捜索し、それらのライフサイクルの研究もしている。
　本日、我々は悲しく、典型的な図式を確認した。凡そ8600のゾンビマシンを有する小さなボットネットが炸裂し非常に速く成長することを開始した。初期、このボットネットは一日当たり5-10の新しいコンピュータをゾンビにしていた。本日、このボットネットは2500の新たなゾンビマシンを捕獲した。平均的成長比率は、凡そ一秒当たり１ゾンビである。
　多分、このボットネットのオーナーは感染させるページへのリンクをマスメールしている。明らかに、ボットネットを所有するサイバー犯罪者の視点からはむしろ成功である。

　グリニッジ標準時14：30に開始したボットネット。

　一時間後の同じボットネット。

　この一例が我々全てに思い出させることがある‐‐見知らぬ送信者からのE-Mailは開いてはならない、プレーンテキストでの閲覧だけを使用しなさい、そして盲目的にE-Mail中のリンクを決してクリックするな。
　多くのゾンビマシンのこのような成長は、ユーザが新たなE-Mailをチェックしている間は非常に用心深くならなければならないということを証明している。見知らぬ送信者からのメッセージを開くな、プレーンテキスト閲覧だけを使用しなさい、決してE-Mailメッセージに含まれるリンクに従ってはならない。

　更なる進行中のボットネットの研究を来週また

Trojan-Spy.Banker進化の次なる段階
Kaspersky : Analyst's Diary (2007/08/15)

　最近、私はTrojan-Spy.Bankerに興味を抱いて研究している。このトロイは段階的攻撃を行い、私が今までに見てきた如何なる物とも異なっている。
　まず、あるPCが若干のスパイ機能を有するTrojan-Downloaderに感染させられる。Trojan-Downloaderは二つのシステムファイル（kernel32.dllとwininet.dll）にパッチを充てることによってそれ自身をインストールする。
　このトロイはユーザが訪問したURLを悪意あるWebサーバに転送する。このトロイがそのWebサーバに登録されているHTTPSを検出したならば、このサーバは或るファイルをダウンロードするように、このトロイに指示する。もちろんこのファイルは別のトロイである。この時点で、HTTPSトラフィック（最も注目に値するオンライン バンキング サイトのHTTPSトラフィック）を捕獲する。暫くして、このサーバがまた、他のファイルをダウンロードすることを、このトロイに指示する。そして、このファイルは生贄が使用している銀行と連絡を取る銀行専用のトロイであるだろう。
　HTTPSトラフィック ロガーを使用することは、サイバー犯罪者が特定の銀行の専用銀行トロイを作成することを可能にする。要するに、この攻撃の洗練度は脅威に値する。この攻撃は最も効果的になるよう作成され、セキュリティ製品をバイパスする。私は我々が少なくとも来年までこの種の攻撃を確認しないことを希望するが、マルウェアの進化は現実的に予測出来ない。
　これら新たな脅威との戦いに、かかわった全ての団体が挑戦していくだろう。

マルウェア小論 : 2007年7月分
Kaspersky : Analyst's Diary (2007/08/13)

　初秋の時期に、我々は2007年盛夏に発見されたマルウェアを見つめる時間をとることにしよう。

1.　銀行をターゲットにした貪欲なトロイの木馬
　夏ももはや半分以上過ぎ去った。盛夏7月、このカテゴリはTrojan-Spy.Win32.Banker.alvに輝いた。このトロイは現在33の銀行をターゲットにしている。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　このカテゴリの今月のウィナーはTrojan-PSW.Win32Steam.fである。現在、三つの異なった電子金融システムをターゲットにしている。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　Trojan-Spy.Win32Banbra.df（Brazilian Trojan）がこのカテゴリを奪取した。四つの異なったカードシステムをターゲットにしている。

4.　最高位ステルスプログラム
　Trojan-Downloader.Win32.Delf.ainである。12回パックされている。

5.　最も小さな悪意あるプログラム
　今月は14バイトのTrojan.BAT.Formatcuである。偶然先月のウィナーと同サイズである。小さなプログラムであるにも拘らず、このプログラムはC:ドライブ上の全てのデータを破壊することによって巨大なダメージを発生させる能力を持っている。

6.　最も巨大な悪意あるプログラム
　7月の最重量チャンピオンは、Trojan.Win32.KillFiles.mbの変種で、743MBのディスクスペースを消費した。

7.　最も悪意あるプログラム
　今月のこのカテゴリのリーダーはBackdoor.Win32.Aebot.eである。このプログラムはディスク上のファイル、RAM中の起動プロセス、レジストリの自動起動キーからアンチウィルス プロテクションを削除する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　7月のこのカテゴリの勝者はEmail-Worm.Win32.Warezov.pkである。このプログラムは全ての悪意あるE-Mailトラフィックの約23%を占めていた。

9.　最も汎用されたトロイの木馬ファミリー
　このカテゴリの今月の勝者はTrojan-Spy.Win32.Banloadファミリーである。今までに発見されていないこのファミリーの534の変種が7月に発生した。

10.　最も汎用されたウィルス/ワーム ファミリー
　7月に最も汎用されたワーム ファミリーはE-MailワームWarezovであった。このファミリーの41の変種が検出された。

FDFスパム
F-Secure Weblog : News from the Lab (2007/08/10)

　イメージスパム、PDFスパム、DOCスパム、XLSスパムの後、我々は今FDFスパムを発見している。

　FDFは明らかにForms Data Formatの頭文字である。このファイルはAcrobatや他のPDFリーダーによって読まれる形式のファイルである。
　ファイルの内容は驚く勿れスパムで充満されている。

Webメールをハイジャックする新たなツール
WashingtonPost : Security Fix (2007/08/02)

　MySpace, Facebook, Yahoo!, Gmail, Hotmailのアカウントにワイアレス接続でログインすることは、かなり危険な状態になった。Black Hatハッカー カンファレンスの研究者が、それらのアカウントのハイジャックの自動化を支援する新たなツールのセットをデモンストレーションした。
　立見席だけの部屋の聴衆の前で、このツールをデモンストレーションしたのはErrata Securityの最高責任者Robert Grahamである。彼は彼らのGmailアカウントに誰かがログインしようとしていないかとBlack Hatワイアレスネットワークをスキャンした。Grahamが攻撃ツール中のリンクをクリックし、生贄と同時に彼のログインが許可され、演壇の両側の巨大スクリーンに憐れな男のGmail受信箱の内容が表示された後、拍手が沸き起こった。
　GmailやFacebookのようなWeb2.0サービスはユーザが彼らのアカウントにログインする時、ユーザが送信するユーザ名とパスワードを暗号化する。Web2.0サービスはCookieやチッポケなテキストファイルをユーザのコンピュータ上に置くことによってユーザを監視しているが、これらのCookieファイルは暗号化されていない。このことはワイアレスネットワーク上のネットワークトラフィックの流れをモニタしている者なら誰でも、これらのCookieファイルの一つを簡単にインターセプトすることが可能であることを意味している。このことは攻撃者が生贄としてログインすることを許可し、生贄のログイン情報の知識無しにそのアカウントを効果的にクローンすることを許可する。
　Grahamの発言によると、生贄が後に彼らのパスワードを変更しても、あるいは彼らのアカウントのアクティブな署名を変更しても、この攻撃は動作する。しかしながら、攻撃者は生贄のパスワードを変更することは出来ない。これは上述したサービスの全てが新しいパスワードに変更する前に現在のパスワードを再入力することをユーザに強制しているからである。
　公共のWi-Fi（【訳注】無線LANの標準規格[IEEE 802.11a/IEEE 802.11bのこと）ネットワーク越しに彼らのアカウントにログインすることを望むGmailユーザは、Googleのサーバと利用しているブラウザ間の全てのトラフィックを暗号化する機能の優位性を利用することによってこの攻撃を打ち負かすことが出来る。（これを実行するためには、ユーザ名とパスワードを提供する前に、ブラウザのURLフィールドにhttps://gmail.google.comと間違いなくタイプすることである）
　WebサービスをハイジャックするためにCookieを盗むことは、暫くの間セキュリティ サークルにおいては良く理解された脅威になっていたが、今日のプレゼンテーションは、そのような攻撃が自動化できるということを示すことによって単に圧力を高めただけである。Errata Securityは"Hamster"と"Ferret"と呼ばれるそれらのツールを今日遅くフリーで彼らのWebサイトにアップする計画であると、Grahamは発言した。

bsaver.zip（Funny.zipの続報）
F-Secure Weblog : News from the Lab (2007/07/27)

　Trojan-Downloader.Win32.Agent.brk（F-Secureの名称）の恐ろしく巨大な種蒔が継続していることは水曜日のWeblogに記述した。今、新たな発生がある。

　

　今回の添付ファイルはbsaver.zipと名付けられている。 　E-Mailのタイトルは様々に変えられている。我々が目撃した幾つかの例を掲げておく。

Sunrise in your life
Life will be better
Good summer
Do it for pleasure
Life is good
Wanna be slim?
Good summer, dude
Two Telephone Calls And An Air
Be like me!
To be slim
Paradice in bed

　F-SecureはこのファイルをTrojan-Downloader:W32/Agent.EXJ（データベース、2007-07-27_01以降）として検出する。

Funny.zip
F-Secure & Bleeping Computer (2007/07/25)

　この記事はF-SecureのWeblogとBleeping Computerのデータを合成しています。
　まず、F-SecureのWeblogから。

　Trojan-Downloader.Win32.Agent.brk（F-Secureの名称）の恐ろしく巨大な種蒔が継続している。

　

　送信されるE-Mailメッセージは、例によって添付ファイルfunny.zipを含んでいる。
　E-Mailのタイトルは様々に変えられているが、本質的に「詐欺的」の様相を呈している。

Action for pleasure
Life is good!
life is beautiful!
Double energy
Paradice in your bed
View this price
Return sunrise to your life!
You can be young again!
Paradice in your bed

　このスパムメールが実際に巨大スケールで開始される前に、この特定のマルウェアを我々は検出するようにした。

　この添付ファイルFunny.ZipをBleeping ComputerのharrywaldronがVirusTotalにアップして検証している。以下は2007年07月25日時点での結果。

Complete scanning result of "funny.zip", processed in VirusTotal at 07/25/2007 15:10:16 (CET).

[ file data ]
* name: funny.zip
* size: 19250
* md5.: e370545d893c2e35bf1b41be3bda45fe
* sha1: f456d384504b9f04faf9f552bbb46ed77ceaa2fd

[ scan result ]
AhnLab-V3 2007.7.25.0/20070725 found nothing
AntiVir 7.4.0.44/20070725 found nothing
Authentium 4.93.8/20070725 found nothing
Avast 4.7.997.0/20070725 found nothing
AVG 7.5.0.476/20070725 found nothing
BitDefender 7.2/20070725 found [Trojan.Downloader.Agent.YJF]
CAT-QuickHeal 9.00/20070724 found nothing
ClamAV 0.91/20070725 found [Trojan.Downloader-11827]
DrWeb 4.33/20070725 found [Trojan.MulDrop.7173]
eSafe 7.0.15.0/20070724 found nothing
eTrust-Vet 31.1.5004/20070725 found nothing
Ewido 4.0/20070725 found nothing
F-Prot 4.3.2.48/20070725 found [W32/Downldr2.ANWJ]
F-Secure 6.70.13030.0/20070725 found [Trojan-Downloader.Win32.Agent.brk]
FileAdvisor 1/20070725 found nothing
Fortinet 2.91.0.0/20070725 found nothing
Ikarus T3.1.1.8/20070725 found [Trojan-Downloader.Win32.Agent.brk]
Kaspersky 4.0.2.24/20070725 found [Trojan-Downloader.Win32.Agent.brk]
McAfee 5081/20070724 found nothing
Microsoft 1.2704/20070725 found nothing
NOD32v2 2418/20070725 found [Win32/TrojanDownloader.Agent.NPW]
Norman 5.80.02/20070725 found nothing
Panda 9.0.0.4/20070724 found nothing
Sophos 4.19.0/20070717 found nothing
Sunbelt 2.2.907.0/20070725 found nothing
Symantec 10/20070725 found [Trojan.Pandex]
TheHacker 6.1.7.152/20070723 found nothing
VBA32 3.12.2.1/20070724 found nothing
VirusBuster 4.3.26:9/20070724 found nothing
Webwasher-Gateway 6.0.1/20070725 found nothing

この時点で多くのアンチウィルスが未対応です。注意してください。

任天堂WiiのFlash Playerの脆弱性に関して
Kaspersky : Analyst's Diary (2007/07/23)

　私は任天堂Wiiが最近公開されたFlash脆弱性をを持っているという事に関するシマンテック研究者のブログを読んだ。
　その投稿の説明によれば、この脆弱性あるFlash機能を持つOperaによるということだった。私はWiiがとても奇妙にクラッシュすることを発見した。そして、この問題を再現することを決定した。なぜか？
　その理由は、あなたのWii更新機能を使用し、AdobeのFlash playerバージョンチェッカーを利用したとき、それはバージョン7.0.70.0がインストールされていると告げてくることにある。
　さて、我々がAdobeセキュリティブレチンに注目すると、このFLV脆弱性は7.0.69.0とそれ以前のバージョン中に存在するということが理解できる。
　さらに周辺を見回すと、7.0.70.0はFLV脆弱性を修正したと言っている。
　このWiiの7.0.70.0Flashプレイヤーのバージョンは、どのくらいかは分らないけれども他のプラットホームのバージョンより前の日付である。明らかに、このWiiの7.0.70.0は他のプラットフォームのそれと等しい物ではない。
　AdobeのWebページに注目してもWiiには全く言及されていない。そこで、私はWiiの件が忘れ去られているのではないかと思う。もし存在していなかったのであれば、新しいビルドは間違いなく7.0.70.0では無く7.0.71.0と呼ばれているはずである。
　現在Wii用のマルウェアは存在しないかもしれないけれども、WiiでWebをブラウズした時にDoSに対する脆弱性は未だに存在する。
　私はAdobeがWii用のアップデートをリリースしたほうが良いということを唯一希望する。実際にはOperaもしくは任天堂の手の内にあるのかもしれないけれども。

Virus Descriptions 101
Kaspersky : Analyst's Diary (2007/07/18)

　月曜日、我々はGpcode.ai（悪名高い押し売りトロイ）出現の最初のアナウンスを行っていた。
　全てのメジャーなアンチウィルスベンダは今この危険なプログラムを認識している。新たなアイテムでGpcode.aiをカバーし詳細な説明を用意している。これは望ましいことである。
　様々なベンダーからリリースされた情報を読むことは通常以上の興味や楽しみがあるのだが、私はアンチウィルスメーカーのしでかしたこと（潜在的危険性のある情報を顕にしないという努力を怠り、結局自分自身と他の人に害をなすことになったという事実によって）で腹を立てることになった。この業界は、どのように情報を公開すべきかという統一されたスタンダードを持っていない。
　幾つかの事例を見てみよう。

　シマンテックの説明はGpcodeがデータ交換に使用する或るサイトに関する情報を含んでいる。
　なぜ、完全なURLが示されていないのか？　それには尤もな理由がある。アンチウィルスメーカーは悪意或るプログラムを含むかもしれない、あるいはコッソリ隠されているようなデータを含むかもしれないサイトへの完全なリンクを決して与えることはない。これが説明文中のリンクが一部分（リンクの削除部分の代替として[REMOVED]が使用されている）になっている理由である。
　では、トレンドマイクロの説明を見てみよう。

　トレンドマイクロのアナリストは完全なURLを公開していない。しかし、不幸にして彼らはリンクの或る部分を削除し、シマンテックは別の部分を削除した。
　この二つの会社は、尤もな理由からこの情報を差し控えようとした。一緒に仕事していないことから、彼らはこの情報を公開してしまった。（【訳注】この二つのリンクを合成すると完全なURLを入手することが可能ですが、決してアクセスしないようにしてください）
　　偽り無く、地獄への道は甘い誘惑で舗装されている、単純な不注意、業界の幅広いスタンダードの欠乏によって発生する。
　他の事例に注目すれば、我々は幾つかのアンチウィルスメーカーがある種のデータをマスクしていることを見るだろう。それ以外のことについては気にしなくてよい。

　ここで再びトレンドマイクロを見てみよう。このトロイが生贄のマシンにドロップするGpcodeの”read_me.txt”のテキスト中で、このトロイの製作者のE-Mailアドレスと生贄のパーソナルコードは、%sと%dで置き換えられている。これは明らかに我々がGpcode.aiの説明をリリースした時、我々が実行したことである。

"To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx."

　このケースでは、トレンドマイクロとカスペルスキーの考えは、このデータを公開しないという意味において同一線上に存在している。
　さて、パンダソフトウェアは何を決定したのだろうか？

　この会社の決定は大変重要なデータを削除していないだけでなく強調表示までしてある。

　シマンテックは[MAIL ADDRESS]と[PERSONAL CODE]で代替してデータをマスクしているが、この情報の遥か下の方で犠牲者がコンタクトするための4つのE-Mailアドレスを公開している。
　言い換えれば、これは完全な失敗である。その最高の瞬間は上のスクリーンショット中でも示されている。シマンテックのアナリストはある理由から、RSAに関するWikipediaの記事へのリンクは潰されるべきであるという決定をしている。
　この件に関してはノーコメント。

マルウェア小論 : 2007年6月分
Kaspersky : Analyst's Diary (2007/07/18)

　中旬、それは我々の小論の時である。夏の初めの月に我々に何がもたらされたのか見てみよう。

1.　銀行をターゲットにした貪欲なトロイの木馬
　このタイトルの6月のアワードは、Trojan-Spy.Win32.Small.czに輝いた。このトロイは84の金融組織をターゲットにする。先月の87よりチョッとだけ少ない。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　三つの異なった電子金融システムを追跡した結果、今月はBackdoor.Win32.VB.bckが勝者となった。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　このカテゴリの勝者は5月に続きTrojan-PSW.Win32.VB.kq に輝いた。このプログラムは貪欲なまでに改善されている。６月に入って検出された変種は、既に五つのカードシステムをターゲットにしている。先月の四つから増加している。

4.　最高位ステルスプログラム
　このカテゴリの6月の勝者はBackdoor.Win32.Amutius.143である。様々な圧縮ソフトで8回パックされていた。

5.　最も小さな悪意あるプログラム
　今月は14バイトのTrojan.BAT.DelTree.dが獲得した。この小さなプログラムはディスク上の全てのディレクトリを削除するという非常に強力で印象的効果を有している。

6.　最も巨大な悪意あるプログラム
　 　今月の最もディスクスペースを取る悪意あるプログラムはTrojan-Spy.Win32Banbra.haで約30MBであった（先月のwhopperと比較すべきことは殆どない）。

7.　最も悪意あるプログラム
　 　今月のこのカテゴリのリーダーはTrojan.Win32.AddUser.kである。このプログラムはディスクやRAMからアンチウィルス ソリューションとサービス群を削除する。そして、関連する全てのレジストリキーを削除する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　このカテゴリの勝者はEmail-Worm.Win32.NetSky.qである。このプログラムは全ての悪意あるE-Mailトラフィックの16%以上を占めている。

9.　最も汎用されたトロイの木馬ファミリー
　 　Trojan-Downloader.Win32.Agentが今月のこのカテゴリの勝者。6月には501個の変種が検出された。

10.　最も汎用されたウィルス/ワーム ファミリー
　 　Zhelatinに努力の跡が見られた。6月、合計49の修正物がインターセプトされた。

大変多くのトロイの変種の存在は、ウィルス製作者が浜辺に行く兆候を見せていないことを示している。このことは、もちろん我々も同様であることを意味している。来月の中旬アップデートをこのブログに記述する。

Blackmailer - GpCodeの回帰
Kaspersky : Analyst's Diary (2007/07/16)

　このブログの読者であればGpCodeの話は記憶に留めていると確信する。GpCodeとはRSAアルゴリズムを使用してユーザのデータを暗号化するものである。'Blackmailer'(サイトのAnalysis部の記事)は、詳細にこの悪意あるプログラムについて言及している。
　あなた方の中には、最近のあらゆる類似のプログラムについてブログされていないことを訝る方もいるかもしれない。結局、我々が将来多くこのようなプログラムを見ることになるだろうということが'Blackmailer'に関する結論である。しかし、一年以上に渡る奇妙な一時休止が存在する。
　我々のロシア以外のユーザの何人かは彼らのドキュメント、写真、アーカイブ等が役に立たないデータに変わった。そして、read_me.txtと名付けられたファイルが彼らのシステム上に現れたと我々に告げてきた時、先週末の我々の感情を想像できるだろう。悲しいことに、このファイルの内容は、あまりによく知られている。

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
こんにちは。君のファイルはRSA-4096アルゴリズムで暗号化されました。
（RSA-4096アルゴリズムに関してはhttp://en.wikipedia.org/wiki/RSAを参照してね）
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
私達のソフトウェアを使わずにこれらのファイルを復号化するには少なくとも数年かかると思うよ。君のココ３ヶ月のプライベート情報は収集されたよ。そして私達に送信されてます。
To decrypt your files you need to buy our software. The price is $300.
君のファイルを復号化するには、私達のソフトを買ってください。値段は300ドル。
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
私達のソフトを購入するには、xxxxxxx@xxxxx.comにメール送ってください。そしてパーソナルコード-xxxxxxxxxを私達に提供してね。間違いなく購入が完了したら、私達は君に復号化ツールを送ります。そして、君の個人情報は私達のシステムから削除されるでしょう。
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
もしも君が2007年7月15日までに私達にメールを送ってこなかったら、君の個人情報は共有されることになります。そして、君のデータ全てを失うことになるよ。
Glamorous team

　これはお金を巻き上げようとする未知のアーティストの予兆だろうか？　この文章は明らかに英語を母国語とする者によって書かれた物ではない。E-Mailアドレスは我々が以前LdPinch や Bankerの変種（明らかにロシア語によるプログラム）で確認した物である。
　もちろん、我々はこのファイルを解析した。上述の文章にも記されているにも拘らず、RSA-4096の兆候は存在しない。興味を惹くことは、この汚い小さな作品（我々は、Virus.Win32.Gpcode.aiとして検出する）は大変限定的な寿命しかない。2007年7月10日から15日まで。なぜ？　我々は推測できるだけである。
　Kaspersky Anti-Virus 6.0は積極的にこのトロイを検出する。Trojan-Genericとして一度、Invaderとして一度。

　

　

　もちろん我々は暗号化されたユーザファイルの復号化ルーチンを我々のアンチウィルスのデータベースに追加するための仕事もしている。
　一方で、我々はあなた方に思い出してもらいたい。もし、あなたがGpCodeや他のタイプの押し売りソフトの生贄になったならば、如何なる状況でも決して支払ってはならない。必ず、あなたのアンチウィルスプロバイダに連絡しなさい。そして、定期的にあなたのデータをバックアップしておきなさい。

アップル、QuickTime v7.2 をリリース
F-Secure Weblog : News from the Lab (2007/07/12)

　Appleが昨日QuickTime v7.2をリリースした。このアップデートは８つの重要なセキュリティーアップデートを含んでいる。その中には、巧みに作られれた悪意あるH.264 movie/movie/.m4v/SMILファイルを閲覧したり、悪意あるWebサイトを訪問することで任意のコードを実行される恐れのあるセキュリティホールの修正も含まれている。更なる詳細はAppleのWebサイト参照。
　QuickTimeのアップデートはMac OS、Windows共にApple's Software Downloadから利用可能である。iTuneやApple Software Updateをインストールしているのであれば、iTunes 7.3.1 と QuickTime 7.2 が含まれているものをインストールできる。QuickTimeだけをインストールしている場合は、多分アップルのネットワーク上からアップデートを手動でダウンロードする必要がある。
　このアップデートは重要である。理由はMPack（【訳注】ソフトウエアのぜい弱性を悪用する有料の攻撃ツール）のような代物のためである。
　MPackはPHPで記述されたマルウェアキットである。そして、恰も商用ソフトウェアのように販売されている。また、アップデート、サポート、購入することのできる追加モジュールも存在する。今のところ大変成功している。
　このキットはWebサーバをハックするために改竄されたパスワードを使用し、IFrameを挿入する。そのようなIFrameの存在するWebページを閲覧した場合、MPackのPHPスクリプトは稼動され、あなたのコンピュータを汚染することを企てるだろう。このPHPスクリプトはOSとブラウザのバージョンを同定するように構成されている。IFrameはその詳細に応じて他のPHPスクリプトをリダイレクトする。これら様々なスクリプトはMPackの作者によって容易くアップデートされている。これが試みる脆弱性のリスト中にQuickTimeに関するものが一つ存在する。
　QhickTimeの新たなアップデートは悪意ある作者に知られているQuickTimeのフローの幾つかを修正しているかもしれない。そして、これは新たな脆弱性に関して彼らに情報を与えるかもしれない。Apple iTuneそして、それゆえにQuickTimeは大変ポピュラーなアプリケーションである。全ての者が直ぐに最新版にアップデートしたならば、悪意ある者共の利用期間をより短くするだろう。OSにパッチを充てるのと同様にアプリケーションにもパッチを充てなさい。

セキュリティ アップデート 二つ
(2007/07/12)

Java
　Sun Microsystems より、Java Runtime Environment (JRE) 6u2 がリリースされています。
ダウンロード、リリースノート等はコチラ参照してください。
最新版インストール後は、コントロールパネル＞プログラムの追加と削除　より、以前のバージョンをアンインストールしてください。

Flash Player
　Adobeより、FlashPlayerに脆弱性があることが報告され、セキュリティーアップデートがリリースされています。現在、Adobeの日本語サイトは脆弱性のあるバージョンのままです。最新バージョンは、9.0.47.0 (Win, Mac, Solaris)です。最新版はコチラよりダウンロードできます。　

偽の警告E-Mail
F-Secure Weblog : News from the Lab (2007/07/09)

　グリーティングカードや7月4日（アメリカの独立記念日）を祝うことを装うE-Mailメッセージ中に悪意あるリンクを含めて送信していたギャングが、今彼らのE-Mailに新しく見えたり感じたりする物を加えた。現在彼らが送信しているE-Mailはマルウェア、トロイの木馬、スパイウェアに対するCustomer Support Centerからの警告に見えるかもしれない。このE-MailはあなたのIPアドレスに見られる異常な行動について話す。多分あなたが実行しなければならない全てのことはリンクをクリックすることである。そして、それを修正するためにファイルを起動することである。さもなければ、あなたのアカウントは妨害されるだろう。言うまでもなくダウンロードされたファイルには悪意が存在する。

　また、このファイルはテキストハイパーリンクで彼ら自身を偽装しようとするために、DNS名でなくIPアドレスを利用してダウンロードされる。F-SecureアンチウィルスはこのダウンロードファイルをPacked.Win32.Tibs.abとして検出する。

Hotlan（トロイの木馬）はキャプチャ（capcha もしくは　captcha）を攻略する。
ZDNet　：　News > Security (2007/07/06)

　HotmailとYahooメールのアカウントを通してスパムを送信する新たなトロイの木馬は汎用されているキャプチャシステムを侵害するかもしれないと、アンチウィルスメーカーは心配している。
　キャプチャシステムは選択された英数字が通常使用され、文字認識ソフトウェアを混乱させるために設計された要素で歪められたグラフィックとして表示される。このアイデアは、人間だけがこれを読むことができ、一連の文字列を正確にタイプできることにあった。スパムボットや他のマルウェアは自動的にセットアップされたアカウントから進めなくなる。
　新たな脅威は火曜日（7月3日）のBitDefender Labsによって浮き彫りにされ、Trojan.Spammer.HotLan.Aと命名された。 　「このトロイの木馬は自動的に生成されたアカウントを使用する。そのスパマがキャプチャシステムをバイパスする方法を見出すことを示唆する」と、この会社は記事の中で発言している。
　このトロイの全てのアクティブなコピーはアカウントにアクセスし、次にWebサイトから暗号化されたスパムE-Mailを引っ張り出し、それらを複号化し、他のWebサイトから取得したアドレスにそれらを送信する。とBitDefenderは続けている。
　Viorel Canja（BitDefender's antivirus labsのヘッド）は、毎時この攻撃において作成される新しいアカウントはおよそ500ほどであると、そして、15,000以上のホットメールアカウントがすでに使用されたと発言している。
　Yahooは直ちにコメントを求めるための接触ができなかった。
　現在配布されているスパムメールはユーザを薬の広告サイトに導くことを試みている。一般的なスパマのテクニックはメール本文中に使用されると、BitDefenderは付け加えている。

【訳注】captcha（キャプチャ）

最新の偽アンチスパイウェア（VirusProtectPro）
BleepingComputer : News (2007/07/01)

　スカムウェアの長大なシリーズの最新版としてVirusProtectProがリリースされた。VirusProtectProは、SpyLocked, SpyCrush, SpywareQuake等と同じメーカーによってリリースされた新規な偽のプログラムである。

このファミリーの以前のプログラム同様、VirusProtectProは、オーディオもしくはビデオコーデックであるといわれているが本物のトロイの木馬であるZlob（トロイの木馬）によってインストールされる。「コーデック」と呼ばれているセットアッププログラムを一旦稼動したなら、このプログラムはVirusProtectProをダウンロードしインストールするためのDLLを稼動する。次に、タスクバー上にセキュリティ警告を発生させる。
　このソフトウェアに感染した場合のアドバイスては、決してこのソフトウェアを購入するなということである。

新たなトリックを持つ古いワーム
Kaspersky : Analyst's Diary (2007/07/02)

　我々はBackdoor.Win32.IRCBotの新しいバージョンに関する多くの報告を確認した。このバックドアはMSN-Wormの機能を結合したスパイ能力を持つ非常に限定されたIRCBotである。
　感染したマシンの地域性に対応して、このバックドアは様々な言語でメッセージを送信する。この機能は最近拡散しているAutoIT MSN-Worms（Backdoor.Win32.MSNMakerの変種によって最もダウンロードされている）に見られるものと類似である。この場合の面白い症状は、このバックドアが悪意あるファイルをURLに送信する代わりに"myalbum2007.zip"と呼ばれるZIPファイルを転送することを試みることである。

　これは完全に新しいというものではない。例えば、2500年から発生しているIM-Worm.Win32.Sumomファミリーが同様であった。しかし、我々が最後にこのタイプの増殖ルーチンを確認して以来、かなりの時間が経過している。
　増殖の夫々のタイプには優位な点と欠点とがある。多分、幾許かのサイバー犯罪者はWebサイトが含む悪意あるコードが、彼らのリンクよりずっと速く接続できなくなると考えている。URLの代わりにファイルを送送信することが、MSN-Wormsが拡散するための証明された方法になるかどうかを確認することは興味あることである。

偽のアドビShockwaveプレーヤーダウンロードページ
PC Magazine　：　Security Watch (2007/06/22)

　情報が少し古いのですが・・・。

　SANS Internet Storm Center はユーザにトロイの木馬を配布するインチキのアドビShockwaveプレーヤーダウンロードページの存在を通告している。

　ISCが観測した攻撃は洗練された技術を何等使用していない。通常は存在する（そして、通常IFrameを通して）ところの自動的にダウンロードされるファイルは一つもない。ページ中の幾つかのJavaScriptは（【訳注】　：　ユーザに様々な行動を許可しないために）右クリックを無効化しているけれども、これは純粋にソーシャルネットワーキングアタックである。訪れたユーザはShockwaveをダウンロードしていると信じ込まされる。彼らは破損したアイコンとShockwaveプレーヤのダウンロードリンクを表示するインチキのゲームサイトから誘導される。
　Windows用の多くの製品で、ユーザは実行ファイル中のシグネチャに関して観察し無視しなければならないだろう。本物のShockwaveプレーヤには"Adobe Systems Incorporated"のデジタルサインが存在する。

【訳注】
以下はインチキのゲームサイトが誘導する「偽のアドビShockwaveプレーヤーダウンロードページ」の画像です。

A green grin
Kaspersky : Analyst's Diary (2007/06/28)

　本日早朝、我々は新たなWarezovダウンローダ付きの数多くのメールをインターセプトした。良いニュースとしては、このWarezovはEmail-Worm.Win32.Warezov.pkとして既に検出されることである。我々は二日前のデータベースのアップデートに加えている。
　このメールに関して興味がもたれることは、通常の実行ファイル（この場合「access.exe」と呼ばれる）と一緒に、このメッセージが二、三のPDF添付ファイルを持つことである

　このPDFは疑わしい金融取引を含んでいる。例が、ここにある：

　あなたがこれらによって欺かれ、実行ファイルを稼動したならば、それはkitinjderunhadsun.comにコンタクトするだろう。そして、ココから他の実行ファイルをダウンロードする。この二つ目の"exe"は、ファイルサイズが91095バイトである。我々はこのファイルをEmail-Worm.Win32.Warezov.iqとして検出する。
　我々はほぼ一年前にWarezovの最初のバージョンを発見した。これ以降、このようなワームの背後にいるギャングは、まだ好き勝手に徘徊している。私は本当にそいつ等が捕えられる日を楽しみにしている。

LZHに御用心
Symantec : Weblog (2007/06/26)

　Microsoft officeのゼロデイ攻撃の発見は、ここ半年の間で目に見えて減ったが、新しいファイルフォーマットの脆弱性を突く攻撃は未だ定期的に発見されている(そして、手柄を立てられている)。.zip と .rarファイルの脆弱性の攻撃の後、最新のアーカイブ形式の脆弱性はLhacaアーカイブとLhacaのLZH圧縮支援に影響をあたえている。アメリカやヨーロッパでは殆ど知られていないが、LZH圧縮形式同様にLhacaは日本においてポピュラーなアーカイブである。
　金曜日（6月22日）、我々の日本人の顧客が".lzh"ファイルを送信してきた。質問中のファイルは、素早く分析され、即座に疑いが立ち上った。このファイルは幾つかのNOPスレッドを含んでいた。含有物の全てはファイルフォーマットの脆弱性を突くレシピによって要求される。この場合に困難であったことは脆弱性あるアプリケーションを発見することであった。幸いにして、日本の初期解析担当者が、少なくともLhaca(ver 1.20)に脆弱性が存在することを発見した。
　この脆弱性は不適切な文字列長検証付きのstrcpy()関数の呼び出し中に存在する。重要なスタック変数は上書きされうる。そして、制御はシェルコードに渡される。面白いことに我々が所有する".lzh"ファイルは脆弱性を突くチャンスを最大化するために複製コードを含んでいるようである。我々のテストでは、コピーされた文字列はアーカイブされたファイルの一つのファイル名であるかのようである。私は、あなたに明らかな結論を引き出させるだろう。
　このアーカイブファイルはそれ自身Trojan.Lhdropperとして検出される。もし適切に実行されれば（WindowsXP日本語バージョン上でLhaca 1.20によって）、例えば、Windows %System%フォルダにバックドアが落とされるだろう。これはまた、第二のLZHアーカイブを落とすだろう。そして、脆弱性を開拓した後このファイルを開くだろう。このアーカイブは、汚染されていない一太郎ドキュメントを含んでいる。このフォーマットもまた日本ではポピュラーである。明らかに、このトリックは攻撃者に対するユーザのの疑いを低くするためのものである。同様のテクニックはOfficeの脆弱性を突く行為（悧巧な攻撃者は通常、脆弱性を開拓後汚染されていないWordやExcelドキュメントをドロップし開く行為）でも使用されている。
　この特殊なシナリオは、この攻撃がLZHもLhacaも日本でのみポピュラーであるので特定地域的であると考慮される。しかし、広範な地域を相手に脆弱性を突く行為が少ない代わりに、この種類の状況は時々まだ起こっている。当にE-Mailの黄金律を常に適用することを我々に思い出させる。
　メールの黄金律、それは、匿名の人からの魅力的なファイル名で送られた見知らぬ添付ファイルを決して開かないことである。

マルウェア小論 : 2007年5月分
Kaspersky : Analyst's Diary (2007/06/15)

五月分のマルウェア小論。ウィルス製作者は祝祭日も関係なく働き続けている。彼らの労働の結果をマルウェア小論としてアップする。

1.　銀行をターゲットにした貪欲なトロイの木馬
　このタイトルの五月のアワードは、Trojan-Spy.Win32.Banker.aqu（98の銀行を一斉にターゲットにする改竄）に輝いた。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
　今月の働き者は四つの電子決済システムをターゲットにしていたTrojan-PSW.Win32.VB.kqである。

3.　プラスチックカードをターゲットにした貪欲なトロイの木馬
　このカテゴリの勝者はTrojan-PSW.Win32.VB.kq に輝いた。このプログラムは四つの異なった電子金融システムをターゲットにしていた。上のカテゴリである電子決済システムもターゲットにしていることに興味を惹かれる。

4.　最高位ステルスプログラム
　またも、このカテゴリの勝者はHupigonの変種であった。Backdoor.Win32.Hupigon.rcはあらゆる種類の圧縮ソフトで10回圧縮されていた。それであるにも拘わらず、このプログラムはバックドアの検出を回避できていない。

5.　最も小さな悪意あるプログラム
　この賞は僅か8バイト（ファイルサイズ）のちっぽけなプログラムが獲得した。このように非常にコンパクトであるにも拘らず、Trojan.DOS.DiskEraser.bはディスクからデータを削除するのに十分な能力を持つ。

6.　最も巨大な悪意あるプログラム
　 　5月の最もディスクスペースを取る悪意あるプログラムはTrojan.Win32.KillFiles.kiであった。このファイル削除トロイのファイルサイズは途方なくデカく247GBであった。5月の最小と最大のプログラムが同一の悪意を搭載しながら、ファイルサイズの差異が顕著であることに興味をそそられる。

7.　最も悪意あるプログラム
　 　5月のこのカテゴリのリーダーはBackdoor.Win32.Agobot.afyである。このプログラムは様々な方法を使用してアンチウィルスプログラムを削除する。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
　五月、このタイトルはEmail-Worm.Win32.Netsky.tが取得した。時代遅れの物であるにも拘わらず、このワームは未だ巨大なダメージを与え続けている。2007年5月の悪意あるE-Mailトラフィック中の15%以上を占める。

9.　最も汎用されたトロイの木馬ファミリー
　 　今月のこのカテゴリの勝者はBackdoor.Win32.Rbotファミリーで、この一月に454の変種を発生させた。

10.　最も汎用されたウィルス/ワーム ファミリー
　 　Warezovファミリーが今月もこのタイトルを取得した。5月に検出されたWarezovファミリーの変種は78で4月の72を上回った。

夏休みが近づいている。我々は2004/5並みのスケールでワームが流行することはありそうもないと思っている。しかし、我々はまだ多くの仕事を持っている。では、また6月のマルウェア小論で!

GoogleBlock
Kaspersky : Analyst's Diary (2007/06/15)

　数日前、the INQUIRER がチョッとした面白い記事を公開した。それはGoogleがどのようにして彼が欲しがる検索結果の代わりに、彼のコンピュータが「悪意あるプログラムに感染しているかもしれない」と言う警告メッセージを返してくるかということについてであった。今日、我々のクライアントの一人が同様の結果を得た。このユビキタスな検索エンジンは、この会社の多くのスタッフに対し同じエラーメッセージを表示していた。

　私は何故このようなことが発生したのか興味を持った。可能な答えを発見するのは難しくなかった。多くのスパマーは生贄候補者のE-Mailを発見するためにGoogleを使用する。そして、この仕事は感染させられているマシンから起動される小さなスクリプトを使用することで自動化されている。そこでGoogleは、アクセスした者がスパムボットでないことを証明するためのGoogleキャプチャ（上図右下の変形された英数字の組み合わせ）にユーザが正しく応答するまで、実行された検索結果を一時的にブロックしている。
我々は（スパムボットではない）現実の人間のユーザがGoogleから締め出される疑わしげな挙動を何とか再生させた。 そして、一度でも締め出されたならば、その者のIPアドレスはブラックリストに載せられる。もしも、このユーザがプロキシサーバ経由でアクセスしていたなら、これは問題である。このプロキシは攻撃者と見做され、ブロックされるだろう。このことは、誰かが正しいキャプチャを入力しない限り、同じプロキシ経由でアクセスしている全てのユーザが同じ制限に従わされることを意味している。Googleの警告がボットが疑われるのは個人のコンピュータよりむしろプロキシであると明らかに述べているのであれば、もちろん有用である。我々はGoogleにこのことを示唆した。われわれはGoogleの回答をあなた方に知らせるだろう。
　もちろん、偽警告ではないかもしれない（あなたのネットワークに感染させられたコンピュータがあるかもしれないので）。そして、Googleが掲げた危険信号は感染の最初の兆候である。Googleの検索能力は畏怖の念を抱かせるものであるといえども、専門のアンチウィルスプログラムは未だ悪意あるプログラムを捕獲する最も信頼ある方法であることに変わりはない。

Safariに脆弱性
F-Secure Weblog : News from the Lab (2007/06/12)

　いきなり訳注から。昨日だったと思うのですが、AppleがSafariのWindows版のパブリック・ベータ（Safari 3 Public Beta）をリリースしました。興味のある方はコチラにアクセスしてください。早速、脆弱性が発見されています

　Thor LarholmはWindows版Safari 3 Public Betaがリリースされたその日にリモートコマンド実行の脆弱性を発見した。この脆弱性は外部URLプロトコルハンドラにユーザーに供給された文字列をパラメータとして渡す前に、これら文字列の確認にSafariが失敗することに起因する。この脆弱性はSafariで悪意あるWebページを犠牲者達が閲覧することによって犠牲者のコンピュータ上で任意のコードを実行される。
　伝えられるところによれば、他の幾人かの脆弱性研究者はSafari中に更なるリモードコマンド脆弱性を発見している。しかし、現時点ではLarholmによって発見された脆弱性だけが唯一単独で確認されている。

Windows Vista のリカバリ コマンド プロンプト
F-Secure Weblog : News from the Lab (2007/06/12)

　あなたはVistaのシステム リカバリ オプションの中に発見されるコマンド プロンプト ツールがユーザ名やパスワードを要求しないことを知っていましたか？　そして、そのコマンド プロンプトがアドミニストレーターレベルでハードドライブへのアクセスを提供することを知っていましたか？　Windowsの複数のバージョンのように？ あなたに必要なものはVistaインストールDVDだけ。それで全て設定できる。
・　DVDからブートし、修復オプションを選択。（以下の画像は日本語版に変更しています）

・　コマンドプロンプトを選択。（以下の画像は日本語版に変更しています）

　これで、アドミニストレータ権限のコマンドプロンプトになる。

面白い。より詳しくはMr. Kimmo Rouskuのサイトを参照されたい。
この種のことは、我々にWindows XP HOMEの機能のことを思い出させる。XP Homeのアドミニストレータ アカウント パスワードはデフォルトでブランクであり、通常モードでは非表示である。しかし、セーフモードでブートしている間にF8キーを選択したならば、アドミニストレータアカウントでアクセスでき、コンピュータに完全にアクセスできる。
コンピュータの物理的セキュリティは最優先事項である。

偽のMicrosoftセキュリティ ブレチン -> 悪意あるブラウザ アドオン
SANS Internet Storm Center (2007/06/08)

初版　：　2007-06-08
最新更新　：　2007-06-08 15:35:58 UTC（訳注：UTCは協定世界時。日本標準時＝協定世界時 + 9）

Dave EdwardsはMicrosoft Security Bulletinと称するE-Mailについて我々に知らせてくれた。内容は以下である。

Microsoft Security Bulletin MS06-4
Cumulative Security Update for Internet Explorer (113742734)
Published: June 3, 2007
Version: 1.0
Summary
Who should read this document: Customers who use Microsoft Windows
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Recommendation: Customers should apply the update immediately.

　もちろん、ブレチン番号の適切な形式は、"MS06-4"でなく"MS06-004"である。二つ目、2007年にリリースされたブレチン番号は、"MS06"でなく"MS07"である。
　この計画は、想像通り彼らが主張するパッチ（問題の解決をサポートする）へのリンクを含んでいる。このファイルは"updatems06.exe"と呼ばれるものでリモートサーバーにホストされている。このファイルはUPXで圧縮された実行ファイルである。そして、VirusTotal（訳注　：　凡そ20のアンチウィルスエンジンでファイルの悪意の有無を検査するWebサイト。類似のサイトにJottie's Malwareがある）で利用されているアンチウィルスエンジンの半分で悪意あるものとして認識されている。
　この実行ファイルは、生贄のシステムのC:\WINDOWS\system32に"down.dll"という悪意あるブラウザアドオン（BHO ： ブラウザヘルパーオブジェクト）をインストールする。このBHOを悪意として認識するアンチウィルスエンジンは、これをAgent.avkとして同定する。これは、ユーザに特定のサイトとの相互作用を通じてスパイする能力が存在する可能性のあるダウンローダであるように見える。

アップデート

　"down.dll"解析後、Symantec Security Responseは、このプログラムが以下のようなURL経由で3つのサーバーにコンタクトすることを企ててていることを我々に知らせてきた。

http://[server_name]/command.php?userid[REMOVED]

　リモートcommand.phpスクリプトは、%System%\commands.xml中に保存されるローカル設定ファイルの作成を支援しているようである。このプログラムは、リモートの場所から他のプログラムのダウンロードと実行方法を決定するためにXMLファイルを使用する。これらは%System%\file.exeに保存される。
　プログラムがXMLファイルをダウンロードしようとする3台のサーバーのいずれも、現在利用できない。私は、サーバーのうちの2台がまだ登録さえされていないドメインに存在していることに興味を見出している。このことは、この攻撃者がその攻撃ネットワークのセットアッププロセスが未だ可能であることを示している。他のサーバは既に登録されているドメイン中に存在する。しかし、このサーバは現在アクセスできない。Googleキャッシュはこのサーバ（ユーザパスワードを記録するために使用されていた）が多分、別の攻撃キャンペーンの一部として利用されていたことを示している。

Sun、Javaのセキュリティアップデートに関して
Washington Post : Security Fix (2007/06/08)

　Sun Microsystems（サン･マイクロシステムズ）はJava Runtime Environmentソフトウェアの二つのセキュリティホールを塞ぐためのアップデートをリリースしている。JREは訪問者にマルチメディアコンテンツを提供するためにWebサイトが使用するところの幅広くインストールされているソフトウェアに同梱されているインタラクティブコンテンツ（訳注　：　リアルタイムで「双方向性」のあるコンテンツ）である。
　セキュリティホールの一つは邪悪なWebサイトを訪問するように説得されたユーザのWindowsマシンに侵入することを許す脆弱性である。この問題は、あなたのマシン上にMicrosoft Windowsが稼動していて、このバージョンがインストールされているのであればポピュラーな問題である。我々が火曜日に抽出した数によれば、このサイト（washingtonpost.com）の統計ツールはインストールされているバージョン別にこの値を分割することはできなかったけれども、washingtonpost.comの全訪問者の98%はJREの何らかのバージョンをインストールしている。
　SunのJREの最新バージョンには脆弱性は存在しない。しかし、Sunは平均的ユーザがインストールされているのがどのバージョンかを決定することを容易にしていない。更に、多分各ユーザは一台のマシンに複数のJavaのバージョンをインストールしているだろう。
　大多数のWindowsユーザはJRE 6かJRE 5.0のどちらかをインストールしているだろう。パッチが充てられている最新のバージョンはJRE 6 Update 1、もしくは JRE 5.0 Update 11　である。どのバージョンがインストールされているかを確認するためには、スタート＞コントロールパネル＞プログラムの追加と削除　を表示し、このリストをスクロールダウンする。JAVAの古いバージョンがインストールされているのを発見したなら、これをアンインストールしなさい。 　Security Fixは前回Javaアップデートに関して書いた。読者は、どんな悪者もJava脆弱性を利用するのを悩まないのかと訊ねてきた。 このプログラムはインストールベースで大規模であることから、私はこの脆弱性を無視する犯罪者は愚かであると返答した。SANS Internet Storm Centerは最近Javaの古いバージョンで、このサイトを訪問したユーザのマシン上に暗黙のうちにパスワードを盗むツールがインストールされることを防ぐために、SUNが一月にパッチしたJavaの脆弱性に関し投資している悪意あるWebサイトについての警告を投稿した。
　あなたが未だ古いバージョンのJavaをインストールしているのであれば、アップデートすべきである。手法は、スタート＞コントロールパネルに進み、Javaのアイコンをダブルクリック。ポップアップしたボックスで「アップデート」タブをクリック。次に「今すぐアップデート」ボタンをクリック。代替手法として、Windowsユーザはこのリンク（日本語サイトのリンクに変更しています）から"Java Runtime Environment (JRE) 6u1"のアップデートをダウンロードできる。

直ちにYahoo Messengerをアップデートせよ
F-Secure Weblog : News from the Lab (2007/06/08)

　YahooはWebcam（ウェブカメラ）機能に関連する別個のActiveXコントロールに影響を与える二つの脆弱性を修正したYahoo Messengerの更新版をリリースした。この二つの脆弱性は共にInternetExplorerで悪意あるWebページを閲覧している生贄のコンピュータ上でのみ任意のコードを実行し脆弱性を突くことができるバッファオーバーフローである。
　非常に正確でスクリプトキディ（訳注：ある種のクラッカーに対する蔑称。ハッカーの階層分けで最下層に位置する。年齢に関係なく、技術を有さずにツールに頼って興味本位の攻撃をする者のこと）にも容易なこの脆弱性を突く行為は、この二つの脆弱性により大っぴらに利用可能である。犯罪用ソフトウェア配布者はドライブ･バイ（訳注：セキュリティパッチを適切に当てていないPCやWebブラウザの脆弱性を突いて、ユーザーがスパイウェア配布サイトを閲覧しただけでPCにダウンロード/インストールする技術）ダウンロードによって、この脆弱性への攻撃を開始することが可能である。それ故、Yahoo Messengerの最新バージョン(ver 8.1.0.401)を可能な限り早急にインストールすることを推奨する。Yahooは、最新バージョンの自動アップデートによる配布を開始するだろうが、今のところ未だ実行されていない。あなたはYahoo Messengerのダウンロードページ（訳注：英文。このページを訪問すると自動ダウンロードが開始されます。現時点でYahoo! Japanは最新バージョンを提供していません）を訪問し手動で最新バージョンをインストールする必要があるだろう。

Yahooより引用：

　数週間の内に、世界中のユーザは、このサービスのサインインでYahoo Messengerの最新バージョンへのアップデートを表示されるだろう。ここでアップデートを選択しなかったり、上記ページから、あるいはmessenger.yahoo.comからアップデートしなかった場合は、脆弱性はまだ存在したままである。

　Yahooはセキュリティ問題を素早く修正するための非常に良いトラック・レコードを持っている。しかしながら、私はその機能が彼らのユーザに対するセキュリティ勧告のコミュニケーションとして十分活用されていないと感じている。例えば、この問題に関して言えば、Yahoo Messengerのホームページや緊急のセキュリティアップグレードをインストールするためにユーザが訪問するためのWebサイトのどの部分にも、リンクも注意書きも存在しない。あなたが、これを探していない限り勧告は発見されないだろう。

マルウェアがレジストリに設定する起動ポイントのトップ10
F-Secure Weblog : News from the Lab (2007/06/08)

　大多数のトロイの木馬、ワームなどはWindowsレジストリに自動起動用の「キー」や「値」を導入することで再起動後間違いなくそれらが起動される様にしている。このようなレジストリの場所の幾許かは他の場所以上に明らかにされている。そして他の場所より、より一般的に使用されている。科学捜査的解析の実行はレジストリの改竄に関するこの最も明らかな場所をチェックすることである。
　では、レジストリで最も一般的に使用されている起動ポイントは何処なのだろうか？　我々はピックアップされた数千のマルウェアのサンプルの収集物から、それらが使用する起動ポイントを発見することを欲した。結果は以下の図に示している。このサンプルには複数の起動ポイントを使用するものがあることは注目すべきである。

　マルウェアが使用する起動ポイントの大部分はインストーラのような普通のソフトウェアによって大変一般的に使用される場所であることに注目して欲しい。また、典型的に感染させられないWindowsホストでも幾つかのエントリを見つけられるだろう。
　トップ10のキーの場所は以下である。

　概要として、マルウェア起動ポイントの39.8%はHKLM中の"run"キー中に未だ存在する。もちろん、"run"がクリーンであったとしても、あなたが感染させられていないことを意味していないが、感染が疑われるのであれば、未だ監視を開始するための優れた場所である（もちろん、アンチウィルススキャンを起動した後）。

FirefoxとIEに深刻なバグ
PC Advisor : News (2007/06/07)

　セキュリティ研究者はWebブラウザ中に四つのバグがあることを発見した。四つの脆弱性のうちの二つはMozillaのオープンソースのブラウザFirefoxに影響を与える。そして、残りの二つのフローはIE中に発見された。
　このフローはセキュリティ研究者Michael Zalewskiによって発見された。次に、彼はブラウザの脆弱性に関する完全公開メーリングリスト中に夫々の例をポストした。
　「深刻」とみなされるバグの一つはIE6.0と7.0で発見された。Zalewskiは、このフローはハッカーがPCをハイジャックするために悪意あるJavaScript実行させるウィンドウを表示する、と発言している。Zalewskiはまた、IEの脆弱性をブラウザの突然のシャットダウンと関連づけている。
　FirefoxにはIEで発見されたバグのようなリスクは存在しないが、Zalewskiは別の二つの脆弱性（「重大」として考慮されるものが一つ）を発見した。攻撃者はキーストロークをインターセプトできたり、Firefox2.0の新規なIFrame脆弱性により正当なWebサイトに悪意あるコンテンツを注入したりできる。昨年、この問題が発覚したとき、Firefoxの製造者であるMozillaがリリースしたパッチはFirefox中のこの問題の完全解決に成功しなかった。
　発見された他の二つのバグは「あまり気にかけなくて良い」と評価されている。殆ど重要視しなくて良いFirefoxの脆弱性は実行ファイルを認証無しでダウンロードすることを可能にする。
　IE6.0中に発見されたバー改竄フローはURLバー、ページ情報、SSL認証を改竄し物真似したサイトに誘導することを可能にする。
　このバグはMozillaの注意を引き起こし、BugzillaのWebサイト（Mozillaのバグ追跡システム）への投稿をもたらした。
　MicrosoftはIEのフローに負う進行中の攻撃を認識していないが、この会社はIE脆弱性に関するZalewskiの主張を調査中である。この問題はMicrosoftにセキュリティ勧告やセキュリティアップデートのリリースを必要とさせるかもしれない。

本物のマルウェア付き本物のニュース
F-Secure Weblog : News from the Lab (2007/06/05)

　最近のマルウェアスパムの動向は無用心な生贄を引っ掛けるためにE-Mailの件名に興味深いニュースの見出しを使用している。これは新しい物ではないが、本物のニュースヘッドラインの使用は、それを悪意ある物として識別することをより困難にしている。
　SANS ISCは件名として以下の物が使用されているとレポートしている。

・　Re: U.S. violent crime up again, more murders, robberies
・　Man Awakens From 19-Year Coma
・　Law hits Las Vegas 'fake' bands

　また、本文中には以下のいくつかが含まれる。

・　Decade Of Mystery: John Ramsey Speaks
・　Man wakes from 19-year coma in
・　Poland US vows to pursue hunt for missing soldiers
・　Password for submitted attachment is xxx

添付ファイルは報道関係から発信させたように見せたランダムなファイル名を持つパスワードで保護されたZIPファイルである。バイナリ内部はファイル名"v245o.exe"を持っている。そして、現在F-Secureアンチウィルスは、このファイルを"Backdoor:W32/Spamuwi.A"として検出する。

新たなハッカーの動向----Firefox アドオン
Washington Post : Security Fix (2007/05/30)

　MozillaのFirefoxウェブブラウザ用の最も人気ある拡張（もしくはアドオン）の幾つかのメーカーは、犯罪者が何百万ものユーザーから機密データを盗むために使えるセキュリティホールを不注意に導入したかもしれない。
　デザインによって、夫々のFirefox拡張（人気あるオープンソースのブラウザに追加できる数多のフリーのソフトウェアアプリケーション）はFirefoxの起動の度に製作者のアップデートサーバーにコンタクトする一意のインターネットアドレス付きでハードコード（BASICのようなものより難しい言語で記述されているプログラム）されている。この機能はFirefoxブラウザがアドオンの新しいバージョンが利用可能であるかどうか決定する。
　Mozillaはずっとaddons.mozilla.orgでオープンソースの拡張のためのフリーのホスティングサービスを準備していた。しかし、多くのサードパーティーメーカーは彼ら自身によるアップデートを安全とはいえないプロトコル（https://の代わりにhttp://を使用するような）経由でアップデートを送信するサーバーを使用して提供することを選択した。
　結果として、アタッカーが喫茶店や書店で公共のWi-Fiホットスポットをハイジャックしたなら、攻撃者はこのアップデートを横取りし、Firefoxアドオンを悪意あるものに置き換えることもできる。
　この脆弱性を発見したChris Soghoian（インディアナの大学博士候補）によると、この脆弱性は最もポピュラーなFirefoxアドオンの幾つかに存在している。この中には、Google Toolbar、Google Browser Sync、Yahoo Toolbar、Del.icio.us、Facebook Toolbar、AOL Toolbar、Ask.com Toolbar、LinkedIn Browser Toolbar、Netcraft Anti-Phishing Toolbar、PhishTank SiteChecker、多くの他の物（主に商用の拡張）が含まれている。 皮肉にも、少なくとも上に記載された2つのツールバーが、新しいセキュリティの脅威からユーザを保護するのを支援するよう設計されている。
　この問題はとりわけGoogle's toolbarに危険がある。Firefoxは通常インストールされているアドオンの新しいバージョンが利用可能になると通常ユーザに警告をする。そして、このアップデートを拒否するのか受け入れるのかというオプションをユーザに与える。
　「典型的に、Firefoxはインストールされた拡張に関するアップデートが利用可能になったことを確認し、次にブラウザの再起動が発生したとき、Firefoxはユーザに'do you wish to install the update,'（このアップデートをインストールしますか）」というメッセージを表示する」とSoghoianは発言している。「しかしながら、Googleはこれを無効にしている。FirefoxがあらゆるGoogleの拡張のアップデートが確認されたなら、次の起動時にFirefoxはユーザにメッセージを表示することなく、このアップデートを自動的にダウンロードしインストールする。」
　Soghoianは彼のブログに彼の研究を詳細に記している。彼はココにハックのデモをビデオを置いている（このファイルはQuickTimeムービーである）。 面白いことに、他の如何なる不十分な安全性のアドオンに対してのこの攻撃は、悪意あるアップデートをインストールする前に、ユーザに行動を起こすことを促す。彼らの拡張の更新が表示されたとき、多分殆どの人々は「OK」をクリックするだろうが、そうであるにも拘らず、これは注目すべき区別である。普通の（安全でないアドオン）に対する同一の攻撃の例に関してはこのビデオを参照。
この点で、多くのセキュリティに関心ある読者おそらく、「それがどうした?　ハイジャックされたり、明らかに以前から邪悪とされるWi-Fiホットスポットは既知のセキュリティ脅威である」というだろう。それは確かに真実だが、これは、その脅威の脆弱性を突くための新しい方向性である。 その上、DNSサーバー（有線・無線ネットワークに関するトラフィックの整理を支援する）をハイジャックする方法はよく理解され、公開されている利用可能なツールで容易に実行できる。 　最終的に、この脅威をより厄介にする他の事が存在する。Security Fixは長くWindowsユーザに毎日使用するアカウントに強力な権限を持つアドミニストレータアカウントでシステムを稼動しないように駆り立ててきた。代わりに、悪意あるソフトウェアが彼らのPCに暗黙のうちにインストールされることをより困難にするために制限つきユーザアカウントを使用するよう駆り立ててきた。これは制限つきユーザアカウントが一般的に新たなソフトウェアのインストールや主なシステム設定の変更を許可しないことが理由であった。
　しかし、安全でないサードパーティー製Firefoxアドオンに対するこの攻撃はWindowsユーザが使用しているアカウントの種別に関わらず成功する。これは、Firefox拡張が基礎を成すユーザアカウントがソフトウェアのインストールを許可するか否かに関わらずインストールしたりアップデートしたりするように設計されているためである。 　Soghoianは上述の拡張メーカー夫々から受けとった応答を公開した。　殆どのメーカーは結論としてこの問題を修正しなかった。Googleは本日脆弱性を修正する計画をしたが、週末であるため、この会社はSoghoianにGoogleが解決が完了するまで数日間、彼の発見の公開を遅延することを要請した。Soghoianはこの要求を拒否した。彼は、彼のE-Mailを30日間無視した後にGoogleが公開の延期を要請することは適切でないと考えていると発言している。

アップデート
　Googleは本日Firefox脆弱性についてSecurity Fixに連絡してきた。ココにこの会社の発言を示す。
「我々はFirefox拡張の若干のアップデート中の潜在的脆弱性に気がついていた。Google拡張の修正版は開発された。そして、ユーザはあっという間にこのパッチを自動的にアップデートされるだろう。我々はこの脆弱性が突かれたという通報は受け取っていない。」

以下省略。

"Microsoft Support"を騙る偽メールが発生
F-Secure Weblog : News from the Lab (2007/05/28)

　数時間前、我々はMicrosoft Supportからと思われるような重要なアップデートの通知を受け取った。このアップデートは月例アップデート以外の更新情報である。我々は疑いの眼差しになった。
　E-Mailに注目する。明らかなタイプミスとMicrosoftの物ではないドメインリンクによって我々の疑いは増加した。

　しかしながら、技術上の専門用語を使用することは普通のユーザを混乱させるかもしれない。
　このリンク中に含まれるサンプルは、Backdoor:W32/VanBot.CAとして、2007/05/28 05時以降検出される。（F-Secureのアンチウィルスツールでは）
　アップデートは通常良いことである。このケースでは、あなたはウィルス定義ファイルのアップデートを維持することである。

AV-Test.orgのアンチウィルスに関する検出統計レポート
PC Magazine : News and Analysis (2007/05/22)

　ドイツ、マグデブルグのオットーフォンゲーリック大学の独立したテストグループであるAV-Test.orgはファイルの巨大なセット（マルウェア総数、606,901個）で29のアンチマルウェア製品をテストした。最終目的は検出能力のテストだけであり、駆除能力はテストしていない。製品はすべてヒューリスティックとアーカイブテストを使用し、それらの最もアグレッシブな検出オプションが設定された。

　テストセットの内容

・　68,864・・・・・・バックドア
・　407,487・・・・・トロイの木馬
・　47,891・・・・・・ボット（ゾンビ）
・　82,659・・・・・・ワーム

　結果の概要
　WebWasherが、99.83%で最高の製品となった。しかし、これはゲートウェイ製品である。最高のデスクトップ製品は、99.56%を検出したAVK 2007である。
　最悪の製品は、Computer Associates's eTrust-VET。検出率は62.12%であった。
　全製品の平均検出率は、86.95%。中央値は90.97%である。
　全ての製品は5月18日（金曜日）に、テストに先立って最終アップデートされた。現在流行しているマルウェアのみがテストされた。これは全サンプルがこの12ヶ月に確認されたことを意味している。
　Win32マルウェアのみがテストされた。16-bit WindowsやDOS用のマルウェアはテストされていない。そして、全てのマルウェアは壊された、あるいは無害のサンプルと対照的な物として機能しなければならない。

各アンチマルウェアソフトの検出結果詳細:

Program	# Detected	Detection %
WebWasher	605,846	99.83%
AVK 2007	604,255	99.56%
AntiVir	603,408	99.42%
F-Secure	594,333	97.93%
Symantec	593,355	97.77%
Kaspersky	592,606	97.64%
Fortinet	589,028	97.06%
Avast!	584,574	96.32%
AVG	583,541	96.15%
Rising	582,772	96.02%
BitDefender	580,700	95.68%
Norman	574,476	94.66%
Ikarus	561,607	92.54%
Panda	558,899	92.09%
Trend Micro	552,107	90.97%
Nod32	536,043	88.32%
McAfee	529,680	87.28%
Dr Web	520,959	85.84%
F-Prot	517,491	85.27%
VBA32	498,264	82.10%
Sophos	496,135	81.75%
eSafe	495,074	81.57%
Microsoft	488,942	80.56%
Ewido	456,660	75.24%
VirusBuster	441,341	72.72%
Command	414,036	68.22%
ClamAV	387,276	63.81%
QuickHeal	382,557	63.03%
eTrust-VET	376,983	62.12%

完全クラック版Vista海賊版がリリースされた
the INQUIRER (2007/05/17)

　海賊版に関する論議は未だマスコミ内部では恐ろしいほどにタブーであるが、我々のメールボックスに洪水を引き起こすが如き膨大な量の信頼ある反海賊版E-Mailの殺到にも拘らず、時々リリースされる光景は注目に値する。我々は海賊版を支持しているわけではない。単なるニュースとして報道していることを忘れないで欲しい。
　 　NoPEという名のグループ（海賊版天国と呼ばれる国に位置し、他の物をリリースした様子はない）からの広範に利用可能なリリースは、アッと言う間に古典的な海賊達によって強く望まれる宝となった。Vistaはあらゆる想定可能な形式と様々なリリース全てに関しリークされてきた。しかし平均的な空威張りしている黒ヒゲにはクラックするための困難が残っていた。
　アクティベーションを限りなく遅滞させることを強制する様々なタイマープログラムや他のクラックは、最近のBIOSエミュレーションツールキットの効果には遠く及んでいなかった。このBIOSエミュレーションツールキットの重大な意義は、通常のクラックやシリアルを使用するのがより困難であることである。
　NoPEのリリースは今までの海賊版と主たる部分で大変大きな相違を持っている。これは完全なクラックである。これはアクティベートされ、アップデートは稼動し、キーの入力を必要としない。これは、海賊版の部分に何の努力も必要としないインストールメディアである。
　我々はこのハッカー達がDVD上のVistaイメージを予めクラックしたバージョンで何とか置き換えたと思っている。Microsoftは入り組んだ従来のセットアッププロセスから、Vistaではイメージインストールに移行している。
　何人かの読者はこの海賊版は完全に動作すると報告してきている。
　Windows Vista のリリース以来数ヶ月、この製品は完全にクラックされた。常にシリアル番号を要求する今までにリークされたWindows XPのコピーよりインストールはより簡単でさえある。海賊版の方法が予めクラックされたバージョンをインストールメディア上にインストールするとわかった今、Windows Updateに結びつけられたマイクロソフトの新しい海賊対策が、この新版に対応できるかどうか不明である。MicrosoftはVistaの著作権侵害と戦うための厄介な問題を背負い込んだようだ。

検出されたアプリケーション全体の28%は安全ではなかった
Secunia "Security Watchdog" Blog (2007/05/16)

　昨年12月にリリースして以来、フリーのオンラインツールSecunia Software Inspectorは35万以上の点検を行った。この点検は490万のポピュラーなアプリケーションを同定した（リストはコチラ）。その他に140万のアプリケーションにベンダからの深刻なセキュリティパッチが配布されていないことを発見した。
　大多数の人が彼らのアンチウィルス定義ファイルの更新とファイアーウォールシールドの向上する必要のあることを認識しているが、多くのユーザが彼らのシステムに重要な問題の脆弱性のあることを知らないか、単純に脆弱性情報とこの問題を適切に解決するためのベンダのパッチに必要な時間を費やすことを欲しないということを表している。この事実はSecunia Software Inspectorよって検出されたアプリケーション全体の28%に脆弱性が存在するという事実の背景を深く掘り下げるなら、この事実は更に強調される。
　Firefox、Opera、InternetExplorerに着目したブラウザの比較で、我々はFirefox(ver.2)が最も脆弱性が少ないことを発見した。Firefox(ver.2)のうち5.19%がセキュリティアップデートが行われていなかったことが検出された。Opera 9.xでは11.96%がセキュリティアップデートが行われていなかったことが検出された。IE6では9.61%が、IE7では5.4%がセキュリティアップデートが行われていなかったことが検出された。この数は警告しているのではなく、ユーザが彼らのブラウザ（本質的に最も曝されているアプリケーションの一つ）に関するアップデートを適用することをかなり心配していることを示している。
　しかし、QuicktimeやWinAMPのようなメディアプレイヤーに注目すると、より心配なことになっている。WinAMP 5では29.96%が重要なセキュリティアップデートを行っておらず、Quicktime 7では33.14%が最新版ではなかった。
　Windowsとマイクロソフトの製品を使用している大多数のユーザは通常Microsoftがセットアップしている“Patch Tuesday（「パッチの火曜日」、日本では毎月第二水曜日）”と呼ばれる月例パッチを認識している。これはMS製品に関しパッチを充てなければならない水準が比較的高い理由を説明できる。これらの数はまたFirefoxとOperaを使用している多くの人々がセキュリティについて心配し、彼らの製品のアップデートをするのを忘れていないことを示している。
　しかし、それが曝されることに直面していないと思われる他のアプリケーションに目を向けると、人々はパッチを適用する前に長い期間待つ傾向にある。
　WinAMPやQuicktimeのようなアプリケーションの多くは、ユーザが様々なメディアファイルに遭遇するときは常に手軽に使用されるために、このことは重大な問題を形成する。大多数の人は、それがチョッとでも面白くみえたり、関連性があったりすれば如何なるソースのものであろうとも.mpg, .jpg, .mov, .mp3ファイルを開くことに躊躇しない。例えば、あなたのホームページに動画を埋め込むことは容易である。そして、それが実行する全てのことはパッチが充てられていないQuicktime脆弱性であり、多くの訪問者を危うくする挑発的なビデオタイトルである。
　我々が企業環境用に持っている数字との比較して、大した相違がない。けれども、被害を受け易いアプリケーションは、現実により事務的でありメディアプレーヤーよりむしろ企業用ソフトウェアとデバイスでフローを食い物にされる傾向がある。 しかしながら全体像は同じである。 一般的なオペレーティングシステム、ブラウザ、およびマイクロソフトのアプリケーションは、かなり定期的にアップデートするように見える。 しかし、他の全てのアプリケーションは与えられた問題の厳しさを忘れているか、大変低い優先度を与えているように思える。そして、この事実はその脆弱性が悪意ある者に大いに利用される可能性が存在する。それらの会社は彼らのクレジットカードの詳細より遥かに多くの失う物（クライアントリスト、設計の青写真、従業員情報、及びその他）のあることに言及していない。
　ツールが適切な状態で提供される必要性とセキュリティアップデートが個人のPCと企業ネットワークの両方で欠落していることについての正確な情報は重要であるように思える。

以下Secunia Network Software Inspector (NSI)の情報につき省略します。
Secuniaは会社等のネットワークユーザに対するサービスとしてSecunia Network Software Inspector (NSI)を提供するようです。現在ベータ。

Microsoftパッチサービスを利用する新たな攻撃
WashingtonPost : Security Fix (2007/05/14)

　ウィルス製作者が彼らのソフトウェアをユーザのコンピュータに滑り込ませるためにMicrosoftのセキュリティパッチ配信プロセスをハイジャックする方法を発見していると、セキュリティエキスパートは発表した。セキュリティ研究者Frank Boldewinは先週、彼が3月に受け取ったメールで目撃した攻撃のテクニックを例証する「脆弱性の証明（proof-of-concept"）」プログラムを発表した。このE-Mailはドイツのある地方のインターネットサービスプロバイダから送信されていた。このメッセージに添付されているファイルは生贄のマシンにトロイの木馬をインストールするようにデザインされていた。そして、このトロイは別の破壊行為を行うソフトウェアをダウンロードするようデザインされている。
　この別の破壊行為を行うソフトウェアは"background intelligent transfer service（バックグラウンド インテリジェント転送サービス。BITSと略される ）"と呼ばれるWindowsのプログラムを活用する。BITSは利用者の余剰なネットワークバンド帯を経由してセキュリティアップデートをダウンロードするように設計されている。そして、Windows自動アップデート機能によって使用される。BITSはユーザがWindowsの再起動やログオフした後でさえ、未完了のファイルのダウンロードを復活させるよう設計されている。システムがインターネット接続を再スタートもしくは再取得すると直ちに、BITSは中断していたことを継続する。更に、送信者は転送に関する特別なコードを設定することによりファイルが完全な形で転送されたか否かを決定できる。このトロイがユーザのコンピュータをコッソリ通過すると仮定して、現実の危険は生贄のマシンが第二段階の悪意搭載物のダウンロードを開始したとき、ユーザのFirewallがOutbound（出力側接続）を検出しないかもしれないということである。これはBITSが正当なシステムサービスであるためFirewallはdefaultで許可、もしくはユーザがずっと以前にBITSのFirewallの出入りを永久に許可しているためである。
　私はBoldewinの「脆弱性の証明」コードを試みた。ZoneAlarm Free版は容易くバイパスされた。そして、メッセージが表示された。"If you see this message and your firewall hasn't alerted you before downloading and executing this code, the firewall bypassing worked successfully!"（あなたがこのメッセージを見たなら、あなたのFirewallは、このコードをダウンロードし実行する前にあなたに警告することは無い。Firewallをバイパスする行為は成功裏に動作した!!）

　Boldewinは、この特別なBITSテクニックを確認したのは初めてであったと発言した。そして、この新機軸のテストをシマンテックのマルウェア アナリストElia Florioに依頼した。シマンテックは今まで検証されたあらゆる悪意あるソフトウェアで使用されたことの無いテクニックであることを確認した。
　「BITSは合法的な技術なので、それはmalwareをダウンロードするために殆ど疑われなくて済む方法である」とBoldewinはSecurity Fixへの返信メール中で述べている。
　オリジナルのレポートはシマンテックの情報を参照。シマンテックのブログはオンラインに存在するマルウェアのうちBITSを利用した最初のインスタンスであることに注目している。BITSダウンロードの手法はアンダーグラウンドの世界では既に十分説明されていた。2006年末ロシアのフォーラムに、"anti-firewall loader"としてポストされた例がある。
　この種の攻撃に対する即効性ある解決策は存在しないとするシマンテックの主張には異論がある。信頼されているシステムプロセス中にそれ自身を注入するマルウェアは新しいものではないし、対抗策をとることは困難なことではない。まず、2002年に注目された"BackStealth Trojan"を考えよう。このトロイは、更なるコンポーネントをダウンロードするために、生贄のシステム上で動作しているかもしれない数種類のソフトウェアファイアウォールを検索し、次にファイアウォールそれ自身の信頼されたプロセスを用いて動作した。
　私は稼動中のWindowsXPシステムに制限付きユーザアカウントで、この脆弱性を突かれてみた。この攻撃は成功しなかった。あなたがWindowsXP、2000マシンを制限付きユーザアカウントで稼動するようセットアップしたなら、あなたは不注意によるトロイのダウンロードでさえ、その仕事を完了させることは無いだろう。

【訳注：検証】

上記「脆弱性の証明」サイトにアクセスしてテストしてみた。現在使用しているCOMODO Personal Firewallはこのファイルの実行に際し、SVCHOSTがOutboundすることをポップアップした。ここで通信を許可すると、上図のメッセージが表示される。通信を拒否すると当然何も起こらない。

盗んだ情報を取り扱う高度なツール
F-Secure Weblog : News from the Lab (2007/05/10)

　LDPinch（情報を盗み出すためのトロイ）の最新の変種の一つを解析した時、我々は盗んだ情報をアップロードするために、このトロイによって使用されるドロップサイトを発見した。以下にスクリーンショットを示す。ファイルは"時_分-日.月.年_IPアドレス_コンピュータ名"の形式で名付けられている。

　ユーザがこのトロイによって攻撃された時はいつも、このトロイは多くの情報を収集しこのサイトにアップロードする。
　記述している時点で、そのサイトには1591のファイルが存在していた。そして、数分毎に新たなファイルが到着している。我々は未だこのサイトを潰す処理中である。ドロップサイトのファイルは一般的アルゴリズムで暗号化されている。これを復号化するために、LDPinchの背後にいる制作者はレポートツールを作成していた。我々はこのツールにアクセスすることに成功した（Sunbelt SoftwareのAdamに感謝する）。レポートツールはカッコいいユーザインターフェイスを持っている。スクリーンショットを見て欲しい。全てが素敵に構成されている。あなたのハードウェア情報（CPU、RAM、Disc等）のようなコンピュータそれ自身に関する一般的情報を見ることができる。あなたはまた、Windowsのバージョンもでき、これには一緒に使用されているライセンスキーも付いている。スクリーンの底部にはICQ信任状、OutlookやThunderbirdに保存されているE-Mailアカウントから取得されたユーザ名やパスワード、そして、InternetExplorer、Firefox、Operaのパスワードマネージャ中に保存されている情報等、盗まれた情報の全てを確認できる。

　感染させられたユーザの個人情報保護のため情報の一部をボカシてある。このツールは単純な統計も付けてある。そして様々なファイルタイプでこの情報を出力できる（全てのE-Mailアドレスをテキスト形式やHTML等で出力するような）。また、データをフィルターする機能や文字列を検索する機能もある。例えば、盗んだYahoo.comの信任状全てというように。

　このトロイの背後にいる人物はロシア出身である。このツールは英語とロシア語で利用可能である。これは明らかに悪者が専門的態度（情報を入手するための使いやすいツールの作成）で活動しているということである。

マルウェア小論 : 2007年4月分
Kaspersky : Analyst's Diary (2007/05/14)

四月分のマルウェア小論。4月は最も容赦のない月であった。マルウェアは活発に育っていた（バックドアとBATファイルの混合物）。そして、ライブラリを削除することでユーザのシステムを混乱に貶めた。最新のマルウェア小論を見てみよう。

1.　銀行をターゲットにした貪欲なトロイの木馬

　このタイトルの三月のアワードは、Backdoor.Win32.Delf.zqに輝いた。このプログラムは凡そ100の銀行をターゲットにしただけでなく、他の支払いシステムも同様に攻撃した。コードの解析はこのプログラムがロシアに起源を持つことを顕わにした。

2.　プラスチックカードををターゲットにした貪欲なトロイの木馬

　このカテゴリの勝者はBackdoor.Win32.VB.asjに輝いた。このプログラムは四つの異なった電子金融システムをターゲットにしていた。

3.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬

　４月の統計は疑う余地もなくTrojan-Dropper.Win32.Agent.ahpとする。まさに、Backdoor.Win32.VB.asjがそうするように、このトロイは四つの異なった電子決済システムのユーザをターゲットにしている。

4.　最高位ステルスプログラム

　先月同様、ユーザのシステム上を這いずり回るHupigonの変種がいた。今月、このバックドアBackdoor.Win32.Hupigon.ruは11の異なった圧縮ソフトでパックされていた。

5.　最も小さな悪意あるプログラム

　今月我々はファイルサイズという用語の定義において今まで二回の勝者の間に位置するあるプログラムを得た。このプログラムはTrojan.BAT.KillDll.bである。ファイルサイズは僅か31バイトのBATファイルである。このプログラムが実行する唯一の能力はWindowsのシステムディレクトリからDLLライブを削除することである。しかしながら、このの能力はオペレーティングシステムをクラッシュさせるのに十分である。

6.　最も巨大な悪意あるプログラム

　Trojan.Win32.Haradong.aaがこのカテゴリの勝者である。ファイルサイズ220MB、先月の勝者（Trojan.Win32.Haradong.ao）を38MBオーバーした。

7.　最も悪意あるプログラム

　甚大な悪意を搭載していたプログラムとしてはBackdoor.Win32.Agobot.genが今月際立っていた。このプログラムはプログラムファイルを削除したり、プロセスやサービスを終了したりしてアンチウィルス・ソリューションと戦う。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム

　二月の勝者、Email-Worm.Win32.NetSky.tが復帰した。Mailトラフィック中の全ての悪意あるコードの14%を占める。同じファミリーの変種が先月このカテゴリで勝利した。このことは、NetSky伝説が走り回るように設定されていることを示している。

9.　最も汎用されたトロイの木馬ファミリー

　今月は1044の変種を擁するTrojan-PSW.Win32.OnLineGamesが存在感を示した。巨大な数の変種は、オンラインゲームアカウントからプロパティとパスワードを盗み出す要求が枯渇する兆候の無いことを示している。

10.　最も汎用されたウィルス/ワーム ファミリー

　我々の小論とレポートで既に定番となっているWarezovファミリーである。このカテゴリにおける優位を継続している。四月、72の変種が検出された。

暖かい陽気への移行がマルウェアのタイプや拡散に影響を与えるかどうか興味がある。もちろん私は我々の収集している物を追跡し、最新のデータで来月戻ってくるだろう。

GoogleはWEBの暗黒側を検索する
BBC News : Technology (2007/05/11)

　検索最大手Googleによって綿密に調べられたWEBページの10に1つはユーザのPCを感染させることのできる悪意あるコードを含んでいた。

この会社の研究者達は十億余のサイトを調査し、450万ページに対し徹底した解析を行った。
　凡そ45万サイトに、「ドライブ バイ ダウンロード」（スパイウェアのような悪意あるコードをユーザの認識無しにインストールするサイト）と呼ばれる能力が存在した。 更に、70万以上のページはユーザのコンピュータを危険に曝すことのできるコードを含んでいると考えられたと、そのチームは報告している。 この問題を解決するために、この研究者達は彼らの会社が「悪意を実行できるインターネット上の全てのWebページを同定するための努力を開始した」と発言している。

幽霊サイト
　ドライブ バイ ダウンロードはコンピュータへの感染や個人情報を盗むために汎用されている方法である。それらは通常、潜在的な犠牲者が接触した時に爆発する非表示の爆弾を仕掛けてあるWebサイトを訪問した時、自動的にインストールする悪意あるプログラムを含んでいる。 Googleの研究者Niels Provosと彼の同僚は「Ghost In The Browser」と名付けた論文で、「ユーザがマルウェアをインストールするのを誘惑するために、敵はソーシャルエンジニアリングを使用する」と記している。「そのユーザは露骨なポルノのコンテンツや著作権のあるソフトウェアやメディアへの『興味ある』ページへのアクセスを約束するリンクを表示される」。
　その大部分は悪意あるコードをインストールするためにMicrosoftのIEの脆弱性を利用する。ブックマーク（お気に入り）を変更したり、望みもしないツールバーをインストールしたり、ブラウザのスタートページを変更するような、ある種のダウンロードは迷惑なものである。しかし益々、犯罪者達はログイン情報やパスワードを情報を盗むところのキーロガーをインストールするためにドライブ バイを使用している。
　悪意あるコードの他の物はPCをリモートから制御するためにbot中に取り込み、そのコンピュータをハイジャックする。ドライブ バイ ダウンロードはスパムやE-Mail添付ファイルのような伝統的コンピュータ感染方法からの転換をあらわしている。

攻撃プラン
　ネット上の問題の規模を特徴付けることと共に、Googleの研究は犯罪者が潔白なWEBページに悪質なコードを注入する主な方法を分析した。 その結果、Webサイトの所有者によって設計も制御もされていないWebサイトのこのような部分（広告バナーやウィジェットのようなもの）に、このようなコードがしばしば含まれていることが発見された。ウィジェットはWebページ上にカレンダーやWebトラフィックカウンタを表示するような小さなプログラムである。このようなプログラムはしばしばサードパーティサイトからダウンロードされる。Web2.0への昇格とユーザ作成コンテンツは犯罪者に攻撃のための別のチャンネルとベクトルを与える。
例えば、ブログへのポストや画像や他のコンテンツへのリンクを含むフォーラムは無意識のうちにユーザを感染させることになるだろう。
この研究はギャングがWebサーバをハイジャックする（そのコンピュータ上にホストされているWebページの全てを効果的に乗っ取ったり感染させたり）ことが可能であることを発見した。テストしたところ、その研究者のコンピュータは、ハイジャックされたサーバにホストされているWebページを訪問することによって50の異なるマルウェアに感染させられた。この会社は現在マルウェアの脅威をマッピングしているところである。
　StopBadwareの一翼を担うGoogleは、もしもユーザが攻撃される恐れがあるWebサイトを訪問しそうな場合、検索結果の下に"this site may harm your computer"（【訳注】日本語表示は「このサイトはコンピュータに損害を与える可能性があります」）と表示し、すでにユーザに警告している。その研究者の記述によれば、「ページをラベルでマーキングすることは、ユーザがそのようなサイトに曝されることを回避させ、ユーザ感染をより少なくする結果となる」。しかしながら、この仕事は容易で無いだろうと、彼らは発言している。
　「全てのWebページ感染ベクトルを発見しようとすることは全体的に意義深い挑戦であり、Webの完全な知識を要求する」と彼らは記述している。

Secunia リサーチチームはIEの別の脆弱性を発見した
Secunia "Security Watchdog" Blog (2007/05/09)

　昨日（日本時間の本日）、Microsoftは深刻な脆弱性を修正する数多くのパッチをリリースした。その中にはSecuniaリサーチによって発見されたものも含まれている。これは、我々独自の研究チームによって発見された脆弱性を柱とする今年三回目のMicrosoft Bulletinである。

スキルと献身

　Secuniaリサーチチームは第三者機関の研究者によって行われた脆弱性のレポートの解析とテストをしているだけではない。彼らはまた、彼ら自身の研究を行っている。そしてこのことが、彼らが社内の研究でかなり大量の脆弱性を特定することができる理由である。
　昨年だけで、Secuniaリサーチは社内の研究で発見された脆弱性に関し、76のSecuniaリサーチ・アドバイザリをリリースした。2007年、SecuniaはMicrosoft製品に関し4つ、Symantecの製品で2つ、CA（コンピュータアソシエイト）の製品で２つ、Appleの製品で1つ、そして他のベンダの製品でとても多くの脆弱性をすでに勧告している。今年は未だ半分も経過していないのに、そしてSecuniaは今既に52のSecuniaリサーチ・アドバイザリのリリースを予定している。

監視だけでは不十分

　悪い奴らによって脆弱性を突かれるバグのあるコードをベンダが作成したとき、大声で吠える番犬の存在はSecuniaとSecuniaリサーチチームにとって十分ではない。Secuniaに関しては、リバーシングコード、ブラックボックステスト、ファジイング（【訳注】：　手当り次第に色々なパターンを試してみるという手法）、ソースコード監査であるにせよ、我々の研究チームが全ての（合法的な）トリックとそれ用のツールを使用して、新たな脆弱性への研究を開始するための必須のスキルを所有することは等しく重要である。

アンチウィルスとIDS（Intrusion Detection System　：　侵入検知システム）産業への供給者

　大変強力なセキュリティスペシャリストのチームを所有することは、Secuniaがクライアントアプリケーションとネットワークサービスの両方で最も重要な脆弱性の詳細なバイナリ解析レポートを配信することを可能にしている。これは「脆弱性の証明」（Proof-of-Concept）とアンチウィルスとIDS産業の重要な担い手に対し完全に動作する脆弱性を突くコードの社内の研究開発を更に伴う。
　このような高度に詳細なレポートは適切なパッチされていない脆弱性についての暗黙の修正と情報をカバーする。この情報は、とても多くの他のベンダのように既知の脆弱性を検出するだけであるよりむしろ脆弱性を突く行動を検出する高品質なシグネチャを配信するマーケットをリードするアンチウィルスとIDSベンダによって使用される。

警戒

　Secuniaリサーチチームは、最も小さいWebアプリケーションから最も大きくて最も複雑なオペレーティングシステムとオフィススイートまで、モニタリングによる公平な脆弱性の知識、テスト、あらゆる種類のソフトウェア中に報告された脆弱性の確認を最大の信頼性であなた方に提供し続ける。これは我々の読者と顧客に対するSecuniaの責務である。

正しい時に正しい情報を!

AOL（アメリカ・オンライン）のパスワードをパズルする
WashingtonPost : Security Fix (2007/05/05)

　金曜日に一人の読者が面白い観察結果を投書してきた。彼がAOL.comのアカウントへのアクセスを実行しようとした時、偶然にパスワードの末尾に余分な文字を入力した。しかし、彼はアカウントへの入室を拒否されなかった。おかしい、この読者は彼のパスワードの後に複数の英数字を加えてみた。そして、毎回彼はログインに成功した。
　さて、誰かがAOL.comにサインアップしようとする時、ユーザはパスワードを16文字まで入力できるように見える。しかしながら、AOLのシステムは最初の8文字以外は無視する。
　セキュリティの考えからすると、これは如何に粗悪なセットアップだろうか？　架空の話を考えよう。AOLのユーザにBob Jonesという名前の人がいたとする。彼はAOLにBobJohnesというユーザ名を使用してサインアップしているとする。BobはパスワードにBobJones$4e?0を設定した。これは彼自身のなかではとても賢明に思えた。Bobの同僚アリスか宿敵Charlieが、彼のパスワードを推測することを試みたなら、多分真っ先に彼もしくは彼女が試すパスワードはBobのユーザ名である。人々は努力を怠る。そして、しばしばパスワードにユーザ名を使用する。
　この場合、彼女は正しい。ボブは数字、特殊文字、文字の入った完全な、大変強固な13文字のパスワードを作成したと思っていても、システムは彼が設定したパスワードの最初の8つの文字の後ろは読まない。この場合、パスワードはまさに彼のユーザ名と同じである。Bobは決してこのことを認識することはないだろう。AOLシステムは、それが BobJones$4e?0（更に言えば、BobJones＋何か）であっても、彼のパスワードをBobJonesでも同様に受け入れる。
　AOLのスポークスマンAndrew Weinsteinは、「弊社は事実関係を調査している」と発言しているが、それ以上何のコメントも出していない。
　BT Counterpaneのチーフ技術役員Bruce Schneierは、このセットアップを「不注意で考えの無い愚かなもの」としている。
　「8文字でパスワードを頭切りすることは一大事である。そして、現代世界における如何なる会社もそのようなことを実行していない」とSchneierは発言している。「とりわけ、AOLがこのようなことを実行した理由は、幾許かの経験の無いユーザのためかもしれない･･･。このようなユーザはパスワードを選択することになった時、そして、長いパスワードを選択することは悪いことであるかもしれないという理由でそれらを秘密裏に人為的に葬ろうとするため、出来得る限りのあらゆる支援を必要とする」。

オンライン・バンクのドメインについて
F-Secure Weblog : News from the Lab (2007/05/03)

　コンピュータセキュリティは複合的問題である。そして、全てが単純に治療できるものではない。しかし、私を当惑させ続けていることの一つが、我々のオンライン・バンクのあり方である。
　あなたの銀行のWEBアドレスについて考えてみよう。それは、多分汎用されるトップレベルドメインの一つで終わっている。あなたがアメリカ在住なら".com"、または、あなたの母国に応じて、".uk", ".de", ".jp", ".ru"になっている。これがWEBサイトが"bankofamerica-online.com", "lloydstsb-banking.com", "hsbc-login.com", "paypalaccount.com"のような名前になる理由であるが、これは大変危険である。このようなドメイン名は本物のように見えるかもしれないが、このようなドメイン名は悪意ある者によって操作される。
　そして、このような詐欺目的の銀行サイトは毎日出現している。そして、そのドメインは偽のコンタクト情報で登録されており、本物の銀行のWEBアドレスのように読める違う名前のサイトにホストされている。次に、このような詐欺師達は財産情報を盗み出すための彼らのサイトに消費者をおびき出すために、フィッシングE-Mailを用いて消費者を攻撃する。
　これはどのようにして生じるのか？　現在、およそ5ドルの料金を支払っても構わないと思っている者なら誰でも、彼らが欲しい如何なるドメイン名も、名前が既に取得されていなければ登録することができる。このような酷似したページを作成するのは、早く、容易に、安上がりにできる。
　銀行や他の金融機関がパブリック・トップレベル・ドメイン（".com"のような）の下で稼動するのは何故なのだろうか？　ICANN（The Internet Corporation for Assigned Names and Numbers、新たなトップレベルドメインを作成する団体）は、この理由から新しい、安全なドメインを作成すべきである。例えば、".bank"のような。
　そして、そのようなトップレベル・ドメインの下に新しいドメインを登録するのは誠実な金融組織に制限する。ドメインの価格は数ドル程度ではなく、大多数の模倣者に法外な高値にするために、50,000$位にすると良いと思われる。銀行はこれを好むだろう。彼らは瞬時により安全なドメインの下に現在のオンライン・バンク・サイトを移動させるだろう。
　特定のジャンルのための新たなどメインの作成は前例が無いわけではない。我々は既に博物館でそれを実行している（それらは".museum"トップレベル・ドメインで制限される）。我々がインターネット上の大多数の恥知らずな盗人から芸術の貴重な仕事の宝庫を保護することができるのであれば、きっと、我々は我々のお金を保護するための方法を見出すことができる。

この記事はForeign Policy magazine（5/6月号）中にオリジナルが存在する。

【訳注】　上段右端がMikko Hypponenの記事。
追伸、".bank"のアイデアをWebログのフィードバックで最初に我々に示唆したのは、Mr. William Leechである。

Appleセキュリティホールを塞いだQuickTimeをリリース
WashingtonPost : Security Fix (2007/05/01)

　Appleは本日、QuickTimeメディア プレイヤーにセキュリティホールを充てたアップグレードバージョンをリリースした。このフローはQuickTime PlayerのMac OS X と Windowsの両方のバージョンに存在している。
　MacユーザはAppleのサイトもしくは備え付けのSoftware Update機能を利用して修正版を入手できる。Windowsユーザは新しいバージョン用のインストーラ版をダウンロードできる。もしも、インストールしているiTunes もしくは QuickTimeが最新のバージョンであるのなら、同梱されているApple Software Update（【訳注】現バージョンのインストール時、Apple Software Updateをインストールするのチェックを外していなければ、インストールされています）を利用することも可能である。
　Matasano Securityの研究者 Dino Dai Zovi は先月バンクーバーで行われたCanSecWestセキュリティ カンファレンスでこのセキュリティホールを発見した。完全にパッチの充てられたネットワーク上のMacBookコンピュータに侵入するための未公開の方法の発見に招待された中で挑戦に応じたものであった。Zoviは会議の主催者がルールをほんの少し緩め、更に10,000$の賞金を上乗せした後に、このフローを発見した。
　当初、Dai Zoviの発見したバグはSafari（MacのデフォルトのWebブラウザ）のセキュリティ上の弱点と考えられた。しかし、最新の研究は問題がQuickTime中のJavaコンポーネントにあることを示した。このフローは当に信じきっているMacユーザが悪意あるサイトを訪問することによって脆弱性あるマシンに悪意の侵入を許す。
　Appleはまた、本日非セキュリティ アップデートもリリースしている。Appleのスポークスマンは、これらの修正は四月における最新の一連のパッチで発見された互換性の問題を修正するようデザインされていると述べている。

【参考】

・　WindowsユーザのQuickTimeのアップデートはコチラから。
QuickTime 7.1.6.200
・　Javaの最新バージョンが昨日（？）リリースされています。アップデートはコチラから。Secuniaによればインストール前に旧バージョンは削除することが望ましいとされています。
Java 1.6.0(build 1.6.0_01-b06)

WEBベースのネイバーフッド・ウォッチの設立を
WashingtonPost : Security Fix (2007/04/30)

【訳注】ネイバーフッド・ウオッチ

◆住民の連帯と地元警察の協力によって防犯を目指す地域組織。イギリスに端を発し、その後欧米など各国に広がった。（英辞郎）

　その時々、何千万台もの世界中のパーソナルコンピュータが悪意あるソフトウェアに感染させられている。このソフトウェアは、犯罪者がスパムを中継する「ゾンビ・マシン」にそれらを変えるために使用される。しかし、彼らのマシンが詐欺行為や他のオンラインの攻撃に使用されていることをWEBサーファーに通知する配布型でインターネットワイドなシステムがあれば、多くのマシンはこれを予防できる。

　先週、Project Honey Potによって稼動されたフリーのテクノロジ（ジャンクメールの提供者やその一族を、よりイラ立たせるために貢献するコミュニケーション）の背後にはその長期ヴィジョンの一つがある。"http:BL"（BLはブラックリストの頭文字）グループはWEBサイト所有者に、スパム活動をしていたり取得したE-Mailアドレスに関連する訪問者による彼らのサイトへのアクセスを、ブロックまたは抑制するためにポピュラーなApacheウェブサーバを使用することを許可する。

　このアプローチの最終目的はコメントスパムをブログにばら撒くスパマーや、スパム稼動に使用するためにE-Mailアドレスを収穫する他のオンライン悪者を妨げることであるが、もし広く利用されたなら、巨大な補助的便益がこのテクノロジには存在する。

　http:BLの仕様は、ブラックリストに登録されている訪問者が現れたとき、WEBサイトオペレータに幾つかのアクションの一つを採ることを許可する。例えば、WEBサイトオペレータは特定のマシンが、そのサイトを訪問することを妨げることができる。他のオプションは自身の正当性を証明する簡単なテスト訪問者に要求する。例えば、表示された"captcha"と呼ばれる一繋ぎのアルファベットと数字の組み合わせの入力。

　より積極的なアプローチを採用したいWEBサイトはブラックリストに登録された訪問者を説明ページに送ることができる。このページはそのマシンがコンピュータワームに感染させられたPCと関連付けられた挙動をしばしば示していることが観察されていることを訪問者に通知するかもしれない。そして、その訪問者にその感染の診断とそれをクリーンにする方法に関する示唆を提供する。

　多くのゾンビマシンの問題は、WEBで最も忙しい市場の一つがこのシステムを採用したならば解決されるかもしれない。我々はMicrosoftの全てのWEBがMicrosoft IISサーバ（Apacheではない）上に存在して稼動している理由から潜在的ユーザなので、トップスリーのWEBサイトの一つ（Microsoft.com）を無視する。しかし、Google.com, Yahoo.comや州と連邦のWEBサイトは、このアプローチで短い期間に大きな影響を与えることができるかもしれない。

　多くの単科大学や総合大学は既にこのようなこと（"walled garden"アプローチとして知られる）を実行している。ユーザのマシンが他のマシンを攻撃したりスパムしたりしていたなら、その攻撃側のPCはアクセスしているより大きなインターネットから妨げられる。そのユーザは何故彼らがアクセスできなくなったのか説明するためのWEBページに一時的に幽閉される。そして問題を診断し解決するための示唆をステップ バイ ステップで提供される。

【訳注 ： Walled Garden】
　インターネット上で、Walled Gardenはユーザがアクセスできる情報とWEBサイトを制御するブラウジング環境を申し出る。情報（子供たちのポルノへのアクセスを制限することのような）からユーザーを保護するにせよ、ISPがサポートしている有料サイトにユーザーを向けるにせよ、これはユーザーをウェブの特定の領域だけにアクセスを制限するため、ISPによって使われる人気ある方法である。America OnlineはWalled Garden中にユーザーを置くISPの好例である。 学校は、彼らのネットワークでブラウジング環境をつくる際に、Walled Gardenアプローチを使う傾向にある。学生は限られたウェブサイトだけしかアクセスできない。教師はWalled Gardenを去り、完全なインターネットを閲覧するためにはパスワードを必要とする。

　セキュリティ エキスパートは多くのインターネット サービス プロバイダが訪問者のマシンがスパムボットに侵入されている兆候や、他の歓迎されざるデジタル寄生虫の兆候を示したなら、顧客に警告するために"walled garden"を構築する必要性を長く主張してきた。

　Security Fixは多くの様々なISPに呼びかけ、"walled garden"戦術の彼らの経験について語り合おうとしたが、この件のチャットに興味を示したのはCox Communications唯一つだった。

　2005年、Cox Communicationsはキーロガーや他のスパイウェアをダウンロードするようデザインされているトロイの木馬を供給することが既知であるWEBサイトへの顧客の到達をブロックすることを始めた。ほぼ同時に、他の顧客や他のISPに問題を発生させるある種のマルウェアに感染させられていることが明らかな顧客のために"walled garden"を実装した。

　このプログラムの実行前では、Coxは毎年トロイの木馬感染者、凡そ22,000の顧客の接続を遮断していた。2005年では、その数は8,000に減少した。2006年（Coxにおいてこのメカニズムが通年稼動した最初の年）では、制限されたユーザは330万件以上のユーザデータベースから1,800より僅かに多い数であった。

　「我々の"walled garden"導入前、我々は顧客の接続を遮断した。そして顧客はその理由が解らなかった・・・。彼ら全てが認識したであろうことは、彼らのモデムが停止したということであった」とMatt Carothers（Coxのセキュリティと不正使用チームのメンバ）は発言している。「当に、"walled garden"の導入で、彼らが接続を遮断された時、顧客の最初の応答は怒り狂うことであった。しかし、一旦彼らのクレジットカードやソーシャルセキュリティ番号をルーマニアのある男に送信するプログラムが彼らのコンピュータ上に存在することを認識したならば、彼らは我々の採った彼らの接続を遮断した行為に多大な感謝を実際に表明した」

　Paul Vixie（セキュリティエキスパート、Internet Software Consortiumの設立者）は、"walled garden"の導入は顧客サポートコストの上昇を恐れるため、大多数のISPは"walled garden"の実装に抵抗していると発言している。　

「大多数のISPはスパムに注意を払っていない。大多数のISPは彼らの顧客が不正に振舞ったり、顧客のマシンが不正使用された時の彼らの損失を計量できていない」とVixieは発言している。「彼らが計量できることは顧客からの通信費用である。これらの会社の大多数は利益の付随する悪意あるトラフィックを運べるように彼らのネットワークを強化したほうが遥かに良いことだと考えている」。

F-Secureからの新しいブログについて
F-Secure Weblog : News from the Lab (2007/04/27)

　研究室からのニュース。現在のF-Secure Weblog : News from the Labは2004年1月に開始された。今、我々は二つ目のブログを読者諸氏に申し出る。このブログは我々のLINUXチームによって作成され、F-Secure Linux Blogと呼ばれる。
　予期されている通り、このブログもまたRSSフィードとして利用可能である。
　 　F-Secureはほぼ完璧にLINUXプラットフォームを強力にサポートしている。そして我々はLINUXプラットフォーム用のサーバー アンド クライアント ソフトウェアを本日出荷した。我々のレスキュー ブート アップ CDもLINUX上で稼動する（ISOへのリンク。【訳注】ダイレクトリンクにつき省略。F-Secure Linux Blogの左のナビから入手可能）。
　ブログの目的は、我々のLINUXフェチ達に関連すること（そして、このことは他のLINUXフェチも同様に興味を持つかもしれない）について記述することである。

　追伸、リーナス・トーバルズ（Linus Benedict Torvalds、LINUXの開発者）が未だフィンランドに住んでいたとき、彼は時々我々のオフィスの傍で自転車を漕いでいた。

マルウェア小論 : 2007年3月分
Kaspersky : Analyst's Diary (2007/04/27)

二月に続いて、三月分のマルウェア小論。

1.　銀行をターゲットにした貪欲なトロイの木馬

　このタイトルの三月の代表は、Trojan-PSW.Win32.Agent.kmである。このトロイは遅滞なく42の銀行を戦争に巻き込んだだけでなく、TANコード（この種の保護処置はサイバー犯罪者に対し多くの障害とはならないということを改めて証明した）を傍受しようとした。このトロイの生贄には世界的な銀行ビジネスにおける多くの主導的銀行を含んでいる。

2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬

　このタイトルのこの月の代表はTrojan-Spy.Win32.Banker.cluの変種の一つであった。このトロイは三つの異なった電子金融システムへのアクセスを取得するためにプログラムされていた。

3.　プラスチックカードををターゲットにした貪欲なトロイの木馬

　このタイトルのこの月の代表はTrojan-Spy.Win32.Banker.ciyとする。前回（二月度）このタイトルを奪取した悪意あるプログラムは遅滞なく三つのプラスチックカードシステムにアクセスするようプログラムされていた。Banker.ciyの勝因は、三つではなく五つのシステムにアクセスするようになっていたためである。

4.　最高位ステルスプログラム

　三月度はBackdoor.Win32.Hupigon.elwがこのタイトルの代表となった。このプログラムは異なった".exe"で7回パックされている。

5.　最も小さな悪意あるプログラム

　Hoax.Bat.AlotWindows.aが51byteであった。そして、インターネットユーザに卑劣な冗談を飛ばした。このプログラムが起動されると、ユーザのコンピュータ上に"DDoS DOS!"の文字の付いた一連の窓（ウィンドウ）を開くことを開始する。事実、窓（ウィンドウ）を開くことがWindwos.aの能力の全てである。

6.　最も巨大な悪意あるプログラム

　Trojan.Win32.Haradong.aoの重量が182MBであった。このファイルはビデオファイル（拡張子“avi.scr”）中に隠れて拡散する。この巨大なサイズは単なる属性である。

7.　最も悪意あるプログラム

　Backdoor.Win32.Rbot.aeuは様々な方法を使用してセキュリティ解決策をブロックした。

8.　E-Mailトラフィックに最も汎用された悪意あるプログラム

　Email-Worm.Win32.NetSky.qである。このワームは数年にわたって存在するが、三月でもまだ全ての悪意あるE-Mailトラフィックの14%を占める。このことは、この古いマルウェアが未だ繁盛していることを示している。

9.　最も汎用されたトロイの木馬ファミリー

　先月に続き再び中国系のBackdoor.Win32.Hupigonファミリーである。先月我々は368の変種を発見したが、今月はチョッと少なく326であった。

10.　最も汎用されたウィルス/ワーム ファミリー

　よく知られているWarezovワームが再び獲得した。この月44の新たな変種が検出された。

二つの小論の後、幾許かの予備的結論を引き出すことは可能である。金儲けのために使用されるマルウェアは目に見えて成長しており、マルウェアライターは流行を追う。人気のあるマルウェアは堅実な支持率を示している。

ウィルス製作者はGoogleの広告リンクを感染源にしている
WashingtonPost : Security Fix (2007/04/25)

　ウィルス製作者はGoogleの「スポンサーリンク」（検索結果の傍に表示される有料広告）を不公正に利用している（違法というわけではない）。彼らは、Better Business Bureauの公式サイトBBBonline.orgのような正当なサイトを検索した後、広告リンクをクリックしたユーザが所有するコンピュータに彼らの悪意あるソフトウェアをインストールすることを狙いとしている。
　スポンサーリンクは特別な検索用語に対して添付される広告の品を消費者に購入するよう誘うものである。GoogleユーザがGoogleの検索エンジンに、ある用語を入力した時、その検索用語に対し最も高い価格を申し出た広告主に属する広告が検索結果リストの先頭に表示される。
　Exploit Prevention Labsの通報によれば、ユーザが"BBB," "BBBonline", "Cars.com"で検索したとき、今週早期表示された先頭のスポンサーリンクは、このようなサイトへ訪問者を直接導くように見えたけれども、彼らは広告をクリックした人々を、最初に仲介サイトへ送っていた。仲介サイトは、感染させたPCからパスワードや他の機密情報を盗むためにデザインされたソフトウェアをこっそりインストールするためにMicrosoft Windowsの脆弱性を突くように企てられていた。この攻撃者はMicrosoft's Internet Explorer Webブラウザのフロー（昨年6月Microsoftは修正パッチをリリースしている問題）を食い物にしていた。
　Exploit LabsのRoger Thompsonの彼のブログでの記述によると、攻撃の背後にいる悪い奴等はGoogleスポンサーリンクの奇妙な特徴を利用しているように見える。通常、閲覧者がハイパーリンク上にマウスを乗せた時、そのコンピュータユーザーがアクセスしようとしているサイトの名前がブラウザウィンドウの左下に表示される。しかし、Googleのスポンサーリンクの上にマウスを乗せても、ブラウザの左下には何も表示されない。この空白スペースは潜在的に、訪問者が最初に連れて行かれるサイトを非表示にする別法を悪い奴等に与える。

　Thompsonによれば、Googleは攻撃的スポンサーリンクを降ろした。事実、Googleで"betterbusinessbureau"を検索しても、もはや如何なるスポンサーリンクも表示されない。
　この事実は彼らのソフトウェアを産卵せしめるために広告を利用した最初ではない。昨年夏、Security Fixは百万を超えるWindowsユーザがMySpace.comやWebshots.comのような高速トラフィックサイト上に数日間表示された悪意あるバナー広告によってスパイウェアに感染させられたことを発見した。

【補足】
以前このページでも取り上げた、2006/12/22のKaspersky Lab Weblog「Googleはフィッシング詐欺師を助けている」も類似の内容です。

スパムされたアンチスパム業界　：　プロテクターもまた保護が必要
Kaspersky : Analyst's Diary (2007/04/20)

　様々なケースは、セキュリティ侵害されたコンピュータはビジネスの殆ど全てのフィールドで発見されることを示している。我々は銀行や政府のWebサイト同様に学校や大学でホストとされているフィッシングページを確認した。今週、我々は明らかにITセキュリティ対策のプロバイダーに属すマシンに植えつけられたPaypal フィッシング詐欺のかなりまれなケースを偶然発見した。

　これは、たとえ資格を持つスペシャリストがネットワークのメンテナンスを行っていてさえ、一瞬であなたのガードはダウンさせられるということを示す多くの例のうちの一つである。
　もちろん我々は異常を発見すると直ぐに、その会社に通知した。そして8時間後、その詐欺は削除された。
　ちなみに、詐欺のセットアップは"Trojan-Spy.HTML.Paylap.hn"同様"Trojan-Spy.HTML.Paylap.hp"を含んでいた。これら二つ共に2006年一月以降Kaspersky製品によって検出される。

AVG Anti-Rootkit Free の評価
Anti Rootkit : Blog (2007/04/11)

　GrisoftがAVG Anti-Rootkit Freeを一般公開した。フリーのアンチウィルスソフトとアンチスパイウェアソフトで先導的役割を果たしていることで知られるこの会社は、このツールを数ヶ月間ベータ版で提供してきた。そして、このことは一般公開の準備であったかのようである。この製品の評価は『イマイチ（たいしたことない）』である。ともかくプログラムを見ることから始めよう。そして、このツールが失敗したことについて後述する。

　私はユーザにスキャンの選択権を与えることが良い事なのかどうか不明である。AVG Anti-Rootkitは、“Search for Rootkits”（Rootkitの調査）や“Perform in-depth Search”（徹底調査の実行）の選択をユーザに与えている。もし私がrootkitに侵入されていると思うのであれば、私はそれに関しあらゆる場所を探すことは間違いない。
　初期のベータ版において、このツールを起動したときウィンドウ名をランダムに作成していたが、一般公開版については若干の変更が行われている。このツールの名前はタスクバーに表示され、そのツールのウィンドウ中には表示されない。

　このツールはまた、オリジナルとは異なった実行ファイル名で新たな実行ファイルのインスタンスを作成する。そして、この新しい実行ファイルを起動する。

　Before:

　After:

　我々はプログラムavgarkt.exeが87A.exeと呼ばれる新たなプログラムを作成していることを見ることができる。Rootkitsに気づかれることから、それ自身を守る行為は全て常に良いことである。

　このツールのベータ版は、ウィンドウタイトルにAVG Anti-Rootkit Betaと表示していた。このことはRootkitライターにこのプログラムの起動を許可しないようにすることができた。
　最初のベータ版から一つの無くなったアイテムがある。“Save results in Log”（ログに結果を保存する）オプションである。これはユーザがこのログを使用して、そのRootkitについてより多くのこと（何処から来たのか、防衛力の増強に必要なものは何か）を知ることができるよう残されていなければならなかった。
　AVG Anti-Rootkit Freeにはサポートが存在しないので、何か間違ったことが発生しても、あなたはGrisoftから何の手助けも受けることができない。もしあなたが問題に巻き込まれたならば、我々の（Anti Rootkit）のAVG Anti-Rootkitフォーラムで質問しなさい。
　AVG Anti-Rootkit Freeは英語版でのみ利用可能である。

　GrisofrからのAVG Anti-Rootkit Freeについての詳細。

• ・ 高度なクリーニングドライバによるパワフルなクリーニング
• ・ 使いやすいインターフェイス
• ・ 高速で効率的な検出（NTFS-ADS（NTFSデータ代替ストリーム）オブジェクトに関してさえ）
• ・ 視力障害をもった人々のための特別なインターフェース
要求されるシステム

• MS Windows 2000 (32-Bit) もしくは MS Windows XP (32-Bit)

評価･･･『イマイチ』

　XP SP2上で（仮想マシンではない）BadRKDemo from Cardmagicを起動した。ココで、デバッグ中に表示されている出力送信を確認できる。Rootkit is alive!とされているエントリである。

続いて、PCを再起動した後AVG Anti-Rootkit Freeを起動した。スキャンは何も発見しなかった。
「他には何を発見しないんだ」

　Congratulations! （おめでとう）だってさ。
　あなたが真面目にRootkitの発見に取り組んでいるのなら、我々のソフトウェアのページからRootkit Unhooker や Iceswordを試さない理由は何なのだろうか？

MS Office に新たな0-dayの脆弱性
McAfee Avert Labs Blog (2007/04/10)

　先週は4月3日にMicrosoftによるセキュリティパッチがリリースされたため、多くの脆弱性を突く攻撃との戦いに費やされた。
　昨日、セキュリティフォーラムにて幾つかのMicrosoft Officeに対する0-Day攻撃のリリースを見た。これらのフローの幾許かはリモートコード実行を許す。McAfee Avert Labsは、これら0-Day攻撃の全てを調査した。本日は四月のパッチの火曜日（Microsoft月例パッチのリリース日）である。それはそうなのだが･･･。この0-Dayフローはパッチの火曜日辺りで公開されたので、更に次となる。最大で来月のパッチの火曜日までこれらのフローは公に曝されたままとなる可能性がある。

UPDATE

　更なるAvert Labsの研究は、昨日報告されたOfficeの0-Dayの一つを除く全てがDoSでの結果であることを示している。コード実行の脆弱性を突かれる事になるかもしれない一つの巨大なオーバーフロー脆弱性が存在する。我々はユーザをアップデートし続けるつもりである。

UPDATE

Avert LabsはMicrosoft Windowsヘルプファイル ハンドリング中の0-Day脆弱性に関する「脆弱性の証明（proof-of-concept）」コードを解析している。これはコード実行の脆弱性を突かれるかもしれない別の巨大なオーバーフロー脆弱性である。この問題に引き続き注目してください。

Ad-Aware定義ファイル更新時におけるエラーの修正方法
Lavasoft : Support Forums (2007/04/04)

Ad-Aware SE のアップデート時にエラーメッセージが表示されアップデートが停止する問題に関し、Lavasoftから修正方法がリリースされています。

以下に記す修正方法は、ダウンロードが5%終了した時点で"Error retrieving updates"エラーが発生し、アップデートが停止する方法の修正方法であり、5%以外の場所でアップデートが立ち往生した場合は、他の原因に起因する。
このような場合は、以下を参照して欲しい。

Ad-aware Definition Update Problems

解決方法
1/
現在あなたのPCにインストールされているAd-Awareをアンインストール。
2/
アンインストール終了後、以下のリンクにアクセスし最新版のAd-Awareインストール用ファイルを入手する。
ダウンロード時、Firewallを設定している場合は、Firewallを一時的にシャットダウンしておく必要があるかもしれない。

http://download.lavasoft.com/personal/aawsepersonal.exe（直リンク）

3/
インストールが完了したら、Ad-Awareを起動。最新の定義ファイルに更新するために"check for updates now"をクリックする。

以上。

メール詐欺に利用される戦争への恐怖
F-Secure Weblog : News from the Lab (2007/04/08)

巨大な数の悪意あるE-Mailがイランの民間人をターゲットにしたミサイル攻撃を示す件名で送信されている。

• 「USA、当に第三次世界大戦を開始」
• 「ミサイル攻撃　：　USA、イランの民間人20,000人以上を殺戮」
• 「イスラエル、当に第三次世界大戦を開始」
• 「USAミサイル攻撃　：　イラン戦争勃発」

"video.exe", "movie.exe"等の悪意ある実行ファイルが添付されている。
F-Secureは、このファイルを2007-04-08_02の定義ファイルのアップデートでEmail-Worm.Win32.Zhelatin.cqとして検出する。

ヤッホー、君はYahooのユーザか？
WashingtonPost : Security Fix(2007/04/04)

　Yahoo!が深刻なセキュリティホールを埋めるためにYahoo!インスタント メッセージング ソフトウェアのアップデートをユーザに駆り立てている。この脆弱性は悪い奴らが他人のPCへ侵入するために使用される恐れがある。
　2007/03/13（訳注、Yahoo!Japanは、2007年3月8日としている）以前にこのプログラムをダウンロードした者は全員この問題を修正した最新バージョンをダウンロードしインストールすべきである。このプログラムをダウンロードした日が不明であったり、私のように偶々古いインストーラファイルを保持していたりした場合は、ダウンロード（訳注、解凍した）フォルダ中に"msgr8us.exe"と名付けられているファイルを探しなさい。このファイルの傍に表示されている日付とタイムスタンプをチェックする。古いインストールファイルが見つからない場合は、IMソフトウェアの最新版をダウンロードしなさい。
　TippingPoint（脆弱性等の通報を行っているセキュリティ研究会社）によれば、このフローはユーザが、それ用に細工された悪意あるWebサイトを訪問した場合にYahoo! IM（インスタントメッセンジャ）が利用可能なマシンはスパイウェアをインストールされる脆弱性を持っている。

本件に関し、Yahoo! Japan からも情報がリリースされています。コチラ参照してください。

Microsoft、アニメーションカーソル処理の脆弱性用セキュリティパッチに問題あり
あちらこちらの情報を纏めています(2007/04/04)

Microsoftが上述のパッチをリリースしたのですが、例によって多少問題を抱えています。 F-Secureのアップデート情報は、このパッチを当てた場合、Realtek Audio搭載マシンでは、"Rthdcpl.exe - Illegal System DLL Relocation"　というエラーメッセージが発生すると警告しています。Microsoftはこの問題を認識しており、既にホットフィックスをリリースしています。

引用（Microsoftのサイトより）
エラー メッセージが Realtek HD オーディオ コントロール パネル が起動しないことがあって、「 無効 システム DLL 再配置」コンピュータの起動時に表示されます。 セキュリティ アップデート 925902(MS07-017)とセキュリティ更新プログラム 928843(MS07-008)をインストールした後に、この問題が発生することがあります。 セキュリティ更新プログラム 928843 で含まれた Hhctrl.ocx ファイルとセキュリティ更新プログラム 925902 で含まれた User32.dll ファイルが競合するベース アドレスを持ついる。 User32.dll ファイルを読み込む前に、プログラムが Hhctrl.ocx ファイルをロードするならば、この問題が発生します。

本件の現象が発生する場合は、以下のページにアクセスしホットフィックスをダウンロードし適用してください。

Microsoft サポートオンライン　：　エラー メッセージが Realtek HD オーディオ コントロール パネル が起動しないことがあって、「 無効 システム DLL 再配置」コンピュータの起動時に表示されます

ZERT、Windowsアニメーションカーソル処理の脆弱性用ホットフィックスをリリース
ZERT Download Information for ZERT2007-01: (2007/04/02)

　eEye Digital Security, Determina, Zero-Day Emergency Response Team (ZERT)の三組織からアニメーションカーソル処理の脆弱性に関する緊急パッチがリリースされています。ココではZERTのパッチを紹介しておきます。
　基本的にサードパーティー製パッチは、一般に悪意あるプログラムをインストールさせるためのものが多く推薦できないのですが、上記三組織は安全です。

ダウンロード

　このZERTのパッチは、Windows 98, 2000, XP, Server 2003, Vistaに利用可能である。パッチをダウンロードするには以下にアクセスし、ページ中段にある

File: anipatch_v2.zip (Size: 466KB, MD5 sum: 0685ed19bf0028f6ee4b059fb32eb9fc )のリンクをクリックする。

　このアーカイブはパッチのGUIとコマンドラインバージョンを含んでいる。他に、read me, license, source codeを含む。

使用上の注意

　上記、ZERTパッチを稼動させる前に、全てのプログラムを閉じる。

[注意]
　既に他のパッチを当てているにも拘らず、このパッチ（ANIPatch）をインストールしようとした場合は、以下のメッセージが表示される。
"Cannot copy the File "zert_ani.dll" to system32 quitting (err: 32)"

パッチを当てた後、あなたのシステムをテストするには

　このパッチを当てた後、あなたのWebブラウザで特別なテストページを訪問することであなたのコンピュータをテストできる。そのページを訪問した時、そのWebブラウザがクラッシュしなかった場合は、このパッチの適用は成功している。もしくは、あなたのコンピュータに、この0-デイの脅威が存在していないことを意味する。

テストページはコチラ
http://isotf.org/zert/tests/testani.htm

[警告]
　未パッチのコンピュータで上記テストページにアクセスし、アクセスに用いたWebブラウザやE-Mailクライアントがクラッシュしたなら、これはあなたのコンピュータにこの0-デイの脅威の脆弱性があることを意味している。

ベンダ パッチに関する重要な告知

ベンダ（今回の場合は、Microsoft）のパッチを適用する前にZERTのパッチをアンインストールすることは重要である。

ZERTパッチに関するインストール オプション

・　そのパッチをインストールする前に、他の全てのプログラムを閉じる。
・　上記パッチを適当なフォルダ（C:\TEMPやデスクトップ）に解凍する。
・　解凍されたフォルダの C:\..[任意]...\anipatch_v2\anipatch_v1\executablesの下にGANIPATCHER.EXEがある。これがパッチのGUIバージョンである。
・　パッチを適用するには、このファイルを起動し、INSTALLボタンをクリックする。
・　Microsoftが公式のパッチをリリースした場合は、再びGANIPATCHER.EXEを起動しUNINSTALLボタンをクリックする。

・　コマンドラインバージョンに関しては和訳していません。

このアーカイブは、\SOURCEフォルダ中にパッチのソースコードのためのMicrosoft Visual Studioプロジェクトを含んでいる。

ANI（Windowsアニメーションカーソル）ワーム
F-Secure Weblog : News from the Lab (2007/04/01)

　中国のインターネット セキュリティ レスポンス チームは、ANI（Windowsアニメーションカーソル）の脆弱性を突いて拡散を図る新しいワームに関し報告している。
　これは現実である。そして我々はそれを確認した。しかしながら、我々は今までに僅か6件の顧客通報を受けただけである。
　我々はTrojan-Downloader.Win32.Agent.bkpとしてメインファイルを、Trojan-PSW.Win32.OnLineGamesの変種として主にこのワームによってダウンロードされるファイルを検出する。
　ワームは、システムから全てのHTMLファイルの場所を見つけようと試み、macr.microfsot.comからANIファイルをロードするスクリプトを挿入するようにそれらを変更することを試みる。そのようなWebページファイルが閲覧されたり、ウェブサーバーにアップロードされたりしたとき、それらは更に感染を拡散するだろう。
　ANI脆弱性を突く行為経由での拡散に加え、USBスティックと他のリムーバルメディア経由での拡散を試みる。
　この感染を確認する容易な方法は全てのドライブのルートフォルダ下にtool.exeとautorun.infが存在することである。あるいは、SYSTEM32フォルダ下にsysload3.exeが落とされていることである。

Windowsアニメーションカーソル処理の脆弱性(CVE-2007-0038)
SANS Internet Storm ： Diary (2007/03/31)

重要な更新
　脆弱性の証明コード（Proof of Concept）は、金曜日の通常業務時間（アメリカ時間）後に公開された。公式のパッチには程遠いが、どうか以下を軽減対策と考えて欲しい。そしてこの攻撃を検出しブロックすることに関してはDonaldによって作成されたエントリを考慮して欲しい。
　Microsoftは「Windowsアニメーションカーソル処理の脆弱性」に関してアドバイザリ935423をリリースした。Windowsアニメーションカーソルファイルを表示する方法中のバグは、悪意あるコードをダウンロードするユーザ権限の下で任意のコードの実行を許可する。この脆弱性に対してCVE-2007-0038（以前の、CVE-2007-1765)が割り当てられた。
　Win2k, XP, Server 2003, Vistaが影響を受ける。アニメーションカーソルは通常”.ani”ファイルとしてダウンロードされるが、これらのファイルをブロックすることは脆弱性の軽減に十分ではない。我々は、フィールド中でアニメーションカーソルファイルをjpegにリネームして脆弱性を突いた例を受け取っている。
　McAfeeはこの件に関するブログをアップした。彼らは悪意あるアニメーションカーソルをデスクトップにドロップした時、Windows Vista上でWindows Explorerをクラッシュさせ不正終了と再起動をループさせるビデオを二つ目のブログとしてエントリしている。Trend Microは悪意ある".ANI"ファイルとWeb上そしてトロイの木馬の実行ファイルWINCF.EXEをダウンロードさせることを企てるE-Mailを通じて、拡散させるための関連リンクをココで報告している。

【訳注】トレンドマイクロのページより画像を引用

軽減対策

• ・　MicrosoftはIE7のユーザはプロテクションモードであればアクティブな脆弱性を突く行為から守られると通報している。
• ・　プレーンテキストで開かれたE-Mailは埋め込まれたANIファイルを表示しない。【注意】そのHTML添付ファイルは別々にクリックすると未だ解釈できる。[Thunderbird | Outlook & 2.0]
• ・　アンチウィルスの検出性能は現在改善中である。F-Secure, CA, Kaspersky, Trend, Sophos, McAfee, Microsoftは悪意あるANIファイルを検出する。1つの特定のファイルが、MS05-002（2005年から同様の問題を引きずる）用に記されたシグネチャを誘引する製品でも発見された。これはフィールド中で大きな問題とはならないだろう。
• ・　Microsoftはそれを確認した：
  
  Outlook2007ユーザは保護される（このツールはHTMLメッセージを表示するためにWORDを使用するので）。
  Vista上のWindows Mailのユーザは、彼らが悪意あるE-Mailを転送もしくは返信しないのであれば保護される。
  Outlook Expressユーザはプレーンテキストとしてそれを読み込んだ場合でさえ脆弱性は残存する。
  
• ・　Eeyeはあなたが希望するかもしれないので、非公式のパッチをリリースしている。

　この脆弱性は我々の「存在しないMicrosoftのパッチ」テーブルに追加された。

以下略。

大多数のNetユーザに「安全認識」ナシ
BBC News ： Technology (2007/03/25)

　イギリスの成人インターネットユーザ2900万人、このうちオンライン個人情報の保護に関し責任あると回答した者は半数以下であったことを調査結果は示している。調査対象者2441人の6人に1人が銀行に責任があると感じている。この研究は、政府が後援するオンライン安全キャンペーン一環である。この結果、昨年オンライン詐欺被害に遇った人が12%おり、平均875£の損失であったこと。バッグ、財布、携帯電話の盗難によりオンラインショッピングでの詐欺被害に遇っている人が夫々5%存在している。

時間と努力

BBCニュースのWebサイトも参加しているGetSafeOnlineによって実施されたこの調査はオンライン問題認識向上支援のためのインターネット安全週間のスタートとして行われた。

囲み記事　：　オンラインに安全に滞在する方法

文字と数字で作成されたパスワードを使用し、それを定期的に変更する。
スパムフィルターをインストールする。スパムメッセージを受け取ったら直ちに削除する。
アンチスパイウェア、アンチウィルスをインストールする。そして、常に最新の状態にアップデートする。
ホームWi-Fi（無線LAN機器間の相互接続性を認証されたことを示す名称。通信規格であるIEEE802.11シリーズとは別の規格）にパスワードとファイアーウォールが設定されていることを保証しなさい。
オンライン詐欺の被害に遇ったなら、それを警察、銀行、使用した小売店に通報しなさい。
コンピュータのファイアーウォールが実稼動していることを保証しなさい。

GetSafeOnlineのマネージングディレクタTony Neateは「インターネットは今や現実世界である。我々は盗難に遭ったとしても警察を非難することは無い。そして我々の家や車の安全について我々が実行していることと同様の方法で我々がオンラインで実行していることに責任を持たねばならない」と発言している。
コンピュータはスイッチを押すだけで、そしてブッ壊れるまで使用できる洗濯機のようなものではない。洗濯機等より車に近いものであり、それを維持するための時間と努力を必要とする。と彼は発言している。

囲み記事　：　フィッシングって何？

まるで金融機関からの物であるかのように見えるE-Mailを送信し、人々を欺き秘密事項を手渡させようとする行為。

インターネット安全性調査：国民の実態、はオンラインの安全性の問題を強調するために委嘱された。それはGet Safe Online、eBayやBTなどの政府と、Serious Organised Crime Agencyと民間企業の間の合弁事業として構成されている。

スプーフ サイト（【訳注】偽装サイト）

　昨年オンラインショッピングで詐欺被害に遇った人は調査対象者中5%と並んで、個人情報盗難の犠牲者は3%、銀行のアカウントやクレジットカードの詳細情報を盗まれた者4%である。これらの問題を複数経験した者も若干名存在した。イギリスeBayの信頼安全部長Garreth Griffithは、買物客は、彼らの支出をバカ騒ぎする前に独学するように説得される必要がある。と発言している。

囲み記事　：　あなたはオンライン詐欺の犠牲者になったことがあり、それを通報していないか？

　「我々は安全センターを持っている。そこには情報、チュートリアルがある。そして、最大の挑戦は人々にそれを読んでもらうことである」と「ちょうどビデオレコーダを買う人々がマニュアルを省略するように、その精神状態はインターネットにも現れる」と彼は言っている。
eBayは定着し、よく使用されているブランドなので、ますます詐欺師達のターゲットにされている。非常に良いフィードバック評価を持つアカウントは、今まさに何か悪いことが発生しようとしていることを認識していない購入者を欺くためにハイジャックされ使用される。
　正式のeBayそっくりのスプーフサイトは増加している。これらサイトはeBayアカウントの詳細を「釣り上げる」ためにセットされていて、偽者の商品を販売している。
　オークションサイトはユーザを保護するため幾つかのツールをセットアップしている（ユーザが疑わしいE-Mailを送信でき、それらの真偽を確認できるアドレスを含む）。また、ツールバーも申し出ている。このツールバーは無料であり訪問者が本当のeBayに存在しているのか、スプーフサイトの一つに存在しているのか確認できるようになっている。

「通報しない」ということ

この調査で発見された他の主要な問題点は、18%がスパムメッセージに応答したという発見を含んでいる。更に、10%以上がスパムメール中のリンクをクリックしている。約50%がアンチスパイウェアを導入していない。ブロードバンドユーザの13%未満がPC上にファイアーウォールを導入していない。
この調査回答者の53%はWebユーザのために運転免許証のようなインターネット安全テストが存在すべきであるとしている。
　今週インターネットセキュリティの主要な考え方の幾許かに関するテストがGetSafeOnline上で行われている。
　オンライン詐欺被害者の10人に1人程度が、これを通報していない事実がこの調査から判明した。
　これはここ12カ月で最大14万8000のオンライン犯罪に一致するだろう。Sharon Lemon（Serious and Organised Crime Agency）は、未報告の多いことに失望している。
　約50名の人々によるチームでオンライン犯罪活動に携わっている彼女の組織は、その部署が2001年に立ち上げられて以来、脅威の本質的変化を見てきている。
「それは人々に見せびらかしWebサイトを書き換えるために使用されている」「今、彼らは稼げるお金があると分かり、よりプロになり多角化してきている」と彼女は発言している。

IEへの攻撃用コードがオンライン上に公開された
PC Adviser : News (2007/03/27)
　IEに既知のフローは昨日遅くWeb上に公開されたソフトウェアによって食い物にされることが可能となった。
　昨日、Milw0rm.comにポストされたこのコードはMicrosoftのブラウザに最近パッチの当てられたフローを食い物にする。このコードは最新のMicrosoftのパッチを当てていないPC上で未許可のソフトウェアを稼動するために使用される、とセキュリティエキスパートは警告している。
　この脆弱性は、ブラウザをクラッシュさせることのできるコードを昨年7月ポストしたセキュリティ研究者HD Mooreによって最初に発見された。Microsoftは二月にこのフローのパッチをリリースした。しかし、研究者の中には、この最新の脆弱性を突くコードのため、犯罪者の注意をより惹くことになるだろうと言う者もいる。
　「この種の脆弱性は過去の悪意ある攻撃でも非常にポピュラーである。そして我々はその使用がかなり増加するだろうと思っている。今、その脆弱性を突くコードはおおっぴらに利用可能である」とセキュリティベンダWebsenseは警告している。
　eEye Digital Security Inc.の研究者はMilw0rm場に公開されたコードはIE6上でも稼動し、Microsoftの最新のブラウザでは稼動しないと発言している。
　「我々はIE7でもテストした。そしてそれはまだ仕事していない」とeEyeのAndre Protasは発言している。
　Protasは脆弱性を突くより信頼あるコードが将来公開されるだろうと発言している。　

新たなWarezovがSkype経由で拡散中
WEBSENCE Security Labs : Threat Blog (2007/03/22)
　Websense Security Labsは、Warezov/Strationの悪意あるコードの新たなセットを発見した。この新しいコードは現在Skypeネットワークを通じて拡散中である。このコードはそれ自身自己増殖しないが、それを稼動したとき、そのユーザのコンタクトリスト中の全てのユーザに送信される。
　この攻撃は今年の2月27日にF-Secureがブログで言及したこと（悪意あるコードの新たなURL情報と新たなバージョンは存在しない）と同様であるかのように見える。
　Skypeユーザはハイパーリンクを含むURLの付いた"Check up this:"（これをチェックしなさい）とするメッセージを受信する。

【訳注】メールの画像。ただし、F-Secureのものです。

このリンクをユーザがクリックすると、ユーザはfile_01.exeと名付けられたファイルをホストしているサイトにリダイレクトされる。ユーザはこのファイルを起動するよう促される（注意　：　この脆弱性はSkypeの範疇ではない）。もしそのファイルを起動したら、幾つかの他のファイルがダウンロードされ実行される。
　以下にリストされているファイルは異なったドメインからロードされる。これらのドメインはこの警告の時点で実稼動している。

1e61617b7498c5cad41c4d26b8e4ca8c file_01.exe
7c2b181ab4fbe858e22bbbdc725e4f53 gdi32.exe
7306bed6c39560ed78fe67cfc5e643c8 ndis.exe
5262a217d2ca7f28be6fc398d8f8aee3 sk.exe

　そのユーザのコンタクトは、Skype中でURLを受信する。このトロイがシステムにインストールされると、SMTPメッセージを送信するためYahooメールに接続を試みる。しかし、そのサーバーが操作されることは無いようである。そしてコミュニケーションに失敗する。この操作不能性は、多分あるマシンが感染したことをアタッカーに気づかせるための企てである。
　ダウンロードされたファイルは、Warezov/Strationの悪意あるコードの他のバージョンである。このコードはユーザシステムにバックドアを開く。そして新しいコードをダウンロードする。

『むかつく』
F-Secure Weblog : News from the Lab (2007/03/22)
　Windowsのファイルを用いて仕事しているとき、あなたが使用しているファイルのタイプが何であるかを知っておくことは有益である。そうだと思いませんか？
　Windowsの以前のバージョンでは初期設定で拡張子は非表示にされていた。これは「登録されている拡張子は表示しない」として知られていた。これは絶対的に悪しきアイデアである。そして、これはユーザを欺いてファイルを実行させる手段としての二重拡張子が悪い奴らによって広範囲に使用された。LOVE-LETTER-FOR-YOU.TXT.VBS等が既知である。
　そう、今我々はWindows Vistaを手にしている。
　結局Vistaもまた初期設定でこの機能を維持している。
　彼らは何を考えているのか？　誰がこのようなことを好むというのか？
　そう…あなたは、以下の画像の中にどのようなファイルのタイプがあるのか、見分けることができますか？

本当に『むかつく』

マルウェア小論
Kaspersky : Analyst's Diary (2007/03/20)
私は数日前の我々のコレクションと、このサイト上で最近公開した解析について考えさせられた。そして、私は幾許かの視点を少し変えた統計が状況を更に詳しく説明する助けになるかもしれないと思った。そこで、さして系統だっていないカテゴリの範疇で実際のコレクションをチョッとだけ掘り下げた。私の最初のマルウェア小論としてポストする。

• 1.　銀行をターゲットにした貪欲なトロイの木馬
  
  今月、このトロイの木馬（Spy.Win32.Banker.zd）は33の銀行の顧客をターゲットにしていた。我々が言い続けてきたように、一つ以上の銀行をターゲットにした多くのトロイは常に成長し続けている。
• 2.　eペイメント（電子決済）システムをターゲットにした貪欲なトロイの木馬
  
  このカテゴリの代表はTrojan-Spy.Win32.Banker.zである。このトロイは三つのプラスチックカードシステムをターゲットにしている。しかし、多くの銀行の顧客から金融関連データも盗む。明らかに、このトロイの製作者は金儲けの包括的アプローチを好んでいる。
• 3.　プラスチックカードををターゲットにした貪欲なトロイの木馬
  
  このカテゴリを代表する悪意あるプログラムは、Backdoor.Win32.Neodurk.13である。このプログラムは3つのプラスチックカードシステムに関するアクセスデータを検索する。さらに、犠牲者のコンピュータの遠隔操作を行い（このプログラムの主たる機能）サイバー犯罪に提供できるようにする。
• 4.　最高位ステルスプログラム
  
  このカテゴリの代表は、Backdoor.Win32.Rbot.genの変種である。このプログラムはアンチウィルスプログラムによる悪意あるコードの検出を妨げるだろうことを希望してか、8つの異なった圧縮ユーティリティでパックされている。
• 5.　最も小さな悪意あるプログラム
  
  このカテゴリでは、Trojan.BAT.DeltreeY.afが勝利した。このプログラムは僅か19byteしかない。このプログラムは原始的なトロイである。名前が示すように感染したコンピュータのフォルダを削除する。削除するファイルのターゲットとしてWindowsシステムディレクトリが含まれる。当然このプログラムが削除に成功したら、犠牲者は幾つかの深刻な問題を抱える状況となるだろう。
• 6.　最も巨大な悪意あるプログラム
  
  二月の巨大プルグラムは、Trojan-Spy.Win32.Bancos.rvであった。ファイルサイズは13MB、風変わりなビットが存在する。大規模な機能を想像したかもしれないが、このトロイはそのような機能を実装していない。
• 7.　最も悪意あるプログラム
  
  コンピュータにインストールされているアンチウィルスの防御と効果的に戦うために様々な手法を使用するものがこのカテゴリの勝者である。二月の勝者は、Backdoor.Win32.Aebot.eである。このプログラムは防御の無効化のため様々な方法（メモリ中のプロセスの終了、サービスの停止、更新のブロックを含む）を使用する。この悪意あるプログラムは多くの防御ユーティリティ（あらゆる種類のファイアーウォール、システム監視ユーティリティ、アンチウィルス製品等）を終了させる。
• 8.　E-Mailトラフィックに最も汎用された悪意あるプログラム
  
  2007年2月度は、Email-Worm.Win32.NetSky.tであった。これは以前のE-Mailワームに関連付けられるが、未だに全E-Mailトラフィックの約15%を占める。
• 9.　最も汎用されたトロイの木馬ファミリー
  
  我々はトロイの木馬の数が増加している方法について多くを語る。そして、Backdoor.Win32.Hupigonが好例である。一月の間に我々はこのファミリーの変種を368発見した。
• 10.　最も汎用されたウィルス/ワーム ファミリー
  
  二月では、ウィルスやワームのファミリー中で最も拡散したのはWarezovファミリーである。二月だけで、118の変種のサンプルが発見された。

私は他のマルウェアのファミリーに関する小論を直ぐにもポストするだろう。そこに含ませて欲しい興味ある特別なカテゴリがあれば連絡されたい。

QuickSpace: MySpaceトラッカーはQuickTimeで起動する。
F-Secure Weblog : News from the Lab (2007/03/19)
我々はHREF Tracksと呼ばれるQuickTimeの危険な機能を使用した別の攻撃を観察した。これは、特定の動画が起動されたとき、同時に自動的に他のリンクから動画を開始するよう指定できる。我々が受け取ったQuickTimeのサンプルで、以下のWebサイトからスパイJavaScriptをダウンロードし実行しようとする。

http://profileawareness.com/logs4/[削除].js

我々はこのJavaScriptをTrojan-Spy:JS/Spacestalk.Aとして検出する。また、ダウンローダーはTrojan-Downloader:JS/Spacestalk.Aとして検出する。

言われているスクリプトはユーザ名、フレンドID、MySpace表示名、ユーザの他のログインを含むMySpaceユーザ情報を集める。そして、この情報を現在のリファラページ（【訳注】あるWebページのリンクをクリックして別のページに移動したときの、リンク元のページのこと）同様現在のURLも一緒にトラッキングサーバー（http://profileawareness.com）に送信する

Internet Explorer 7 にスプーフィングの脆弱性
Secunia "Security Watchdog" Blog (2007/03/16)
　IE7に新たにスプーフィングの脆弱性が存在している。再び利用されることになったIE7の脆弱性はフィッシング攻撃を実行するWeb犯罪者によって脆弱性を食い物にされる。この時点で、この脆弱性はローカルのリソースファイル（"navcancl.htm"）中に存在する。このファイルは「ページを最新の情報に更新する」リンクが発生したとき、入力妥当性検証エラーによって発生させられる。
　"navcancl.htm"ファイルは通常あなたが（IEを使用して）指示を与え、次にページのロードをキャンセルした時に、あるいは、あなたがアクセスしようとするページを発見できない時に、いつもロードされる。あなたは現在アクセスできないWebページのロードを試みたとき、IE7は先頭に「Web ページへのナビゲーションは取り消されました」とするページを、「ページを最新の情報に更新する」のリンクを付けて表示することに気づいているだろう。
　「ページを最新の情報に更新する」リンクはアタッカーによって巧みに取り扱われるので、あなたがそれをクリックしたなら、あなたはスプーフィングのWebページに誘導される。
　攻撃のシナリオは、ユーザに以下のステップを実行することを要求しているようである。

アタッカーのWebページをロードする；
"navcancl.htm"をコールするリンクをクリックする；
次に、「ページを最新の情報に更新する」リンクをクリックする。

人々の中には、そのような攻撃があまりに多くのステップを必要とすると主張する人がいるかもしれない、省みれば、インターネットをサーフィンする誰でもが常に同じ正確なステップ（Webサーフィン、ページアクセスの失敗、リフレッシュ）を実行する。
　アタッカーが十分魅力的に見えたり、あるいは十分合法的に見えるスプーフィングのWebページを構成し、平均的ユーザが「ナビゲーションは取り消されました」とするイベントに馴染んでいるなら、次にアタッカーはスプーフィング用のWebページに訪問するようユーザを欺くことができるだろう。
　まだ、攻撃されたとするレポートは無いが、フィッシングしようとする者は銀行情報、アカウント情報、ユーザ名やパスワードを盗むためにこの脆弱性を容易に食い物にすることができる。
　脆弱性は未パッチのまま残っている。そして、Microsoftは未だに応答していない。差し当たり、信頼していないWebページへのブラウズを回避すべきである。例えば、あなたが「ページを最新の情報に更新する」リンクに遭遇したら、クリックしないことである。代わりに、あなたのブラウザのアドレスフィールドにアドレスを再入力し、ブラウザの更新アイコンをクリック（もしくは[F5]キーを押す）しなさい。
　Secuniaはあなたのブラウザに脆弱性があるかどうか確認することのできるテストページを作成した。
　Testはここ。
　この脆弱性に関する更なる情報に関しては、ここで完全なSecuniaアドバイザリを読むことができる。
　http://secunia.com/advisories/24535/

Apple Update
F-Secure Weblog : News from the Lab (2007/03/13)
AppleのWindows用QuickTimeプレイヤー（バージョン 7.1.3）に必要なアクションは何だろうか？
あなたがQuickTime 7.1.3 中の"既存のソフトウェアを更新"オプションを選択したなら、以下の警告を表示される。

しかし、このメッセージは正しくない。バージョン7.1.5が現在利用可能である。このバージョンはセキュリティアップデートを含んでいる。バージョン7.1.5をApple.comからダウンロードしインストールした場合は、以下のオプションが表示される。

Apple Software Update はQuickTimeや他のAppleソフトウェアのアップデートを簡単にインストールできるプログラムである。容易なアップデートの実行とはAppleのサイトを手動でチェックすることなくアップデートする唯一の方法であることを意味しているのだろうか？　そのソフトをあなたのためにチェックする古い方法は良くなかったですか？

Windows One CareはOutlookのE-Mailを削除する
PCAdvisor : News (2007/03/08)
　MicrosoftはOutlookとOutlookExpressからユーザのE-Mailを消滅させる問題を発生させるバグがWindows Live OneCare中に存在することを認めた。Microsoftは、修正パッチは現在作成中である、OneCareユーザに来週にはリリースできるだろうと発言している。
　OneCareのバグは6週間前OneCareサポートで、「OutlookとOutlookExpressのデータ（.pst と .dbx ファイル）をマルウェアスキャンした後に削除するのではないか」とメッセージを書き込まれたことに端を発する。
「このプログラムは定期的に更新される。次に私のハードドライブを通常スキャンする。次に私がMicrosoft Outlookを開いたとき、『outlook.pstが見つかりません』というメッセージを表示された。OneCareは私がかって感染させられたあらゆるウィルスやスパイウェア以上のダメージを私のコンピュータとビジネスに与えた」とKevin KimpはPCAdvisorの姉妹版Computerworld USに宛てたE-Mail中に記している。
別のユーザはOutlookExpressで同様の挙動があることを報告している。
　火曜日の正午頃、あるモデレータがOneCareの以前のバージョンが9ヶ月前同じ問題で苦しめられたことに気付いたにもかかわらず、解決策はフォーラムにポストされなかった。水曜日、Microsoftはバグを認めた。「OneCareのアンチウィルススキャナはE-Mail添付ファイル中に悪意あるコードを発見すると、全てのメッセージを消去し、OutlookとOutlookExpressのデータを検疫するかもしれない」とMicrosoftは発言した。
「我々はOneCareのアンチマルウェアエンジンが、感染している添付ファイルが.PSTや.DBXに含まれるとき、何処で誤ってOutlookの.PSTファイルやOutlookExpressの.DBXファイルを検疫しているのかという問題に対処中である」とMicrosoftのスポークスマンは述べている。この問題の修正は次のスキャンエンジンの更新に含まれる。リリースは3月13日に予定されている。

　さしあたり、以下の示唆に従うことによって検疫したデータファイルを修復できる、とMicrosoftは述べている。

【訳注】OneCareオプションの日本語表記不明です。英文のままにしておきます。

・　OutlookもしくはOutlookExpressを終了する。
・　OneCareのメインスクリーンで"Change OneCare Settings"をクリック。
・　"Viruses & Spyware"タブをクリック。
・　"Quarantine"ボタンをクリック。次に.pstもしくは.dbxを選択。
・　"Restore"をクリック。

　今から次週のアップデートまでの間にデータファイルをOneCareに検疫させないための方法として、Microsoftは.pstもしくは.dbxファイルをスキャンファイルから除外するように薦めている。

・　OneCareのメインスクリーンで"Change OneCare Settings"をクリック。
・　"Viruses & Spyware"タブをクリック。
・　"Exclusions"ボタンをクリック。
・　"Add folder"ボタンをクリック。
・　除外するために.pstもしくは.dbxを含むフォルダを指示し、次に"Okey"をクリックする。

Microsoftによれば、このバグはOutlook 97 と Outlook 2000にも影響を与える。Windows XP上で稼動しているOutlookExpressもまた同様である。
OneCareはこの数週間恐ろしく貧素な結果を呈示されている。AV Comparativeは17のプログラムに劣る最も効果の少ないアンチウィルスプログラムとしてOneCareを評価した。2月にMicrosoftは、その他のセキュリティプロダクトを含め、悪意あるPDFファイルを与えられることによってPCをハイジャックされないことを確実にするために、OneCareのスキャンエンジンにパッチを当てなければならなかった。

WGAのインストールをキャンセルするとMicrosoftに情報を送信される
Ghachs.net : (2007/03/06)
この記事はドイツのコンピュータ雑誌CTの記事をGhachs.netが英訳した記事の和訳です。

　ドイツのコンピュータマガジンCTはWindows Updateの間にインストールされる新たなWGA（訳注 : *1）を解析した。。彼らがWGAのインストーレーションを拒否したところ、遅滞なくUpdate.exeがインターネットに接続しようとしていることをファイアーウォールが報告してきた。このことは彼らの興味を惹いた。そこで、接続が確立した後、送信されるデータを解析することを彼らは決定した。
　彼らはこのトラフィックの解析にWiresharkを使用し、Update.exeがgenuine.microsoft.comに対してデータを送信することを見出した。幾つかのデータは同定することができ、幾つかのデータは暗号化されているかのようであった。それはレジストリ情報、即ちWGAツールのバージョン、Windowsのバージョン、およびオペレーティングシステムの言語に関する情報として知られるSusClientID(訳注 : *2)を送信する。これはまた、GUID(訳注 : *3)を含むCookieも設定した。GUIDはコンピュータを特定するために使用することが可能である。
Microsoftは当該雑誌に対しデータが送信されることを認めたが、サービスを最適化するために使用するだけであると、そして、Cookie中のGUIDは可能な限り周到な方法で全ての試みをカウントするために使用するだけであり、ホストを同定するために使用することはないと説明している。
　しかしながら疑問が残る。何故Microsoftは彼らのインターネット接続を使用してデータが送信されることをユーザに説明しないのか？　この送信を妨げる一つの方法として、genuine.microsoft.comへのアクセスをブロックするようファイアーウォールを設定するか、ホストファイルに“127.0.0.1 genuine.microsoft.com”のエントリを追加することである。

【アップデート】
MicrosoftがWGAの方針を変更するようです。
和訳はしません。リンクだけ。
Microsoft admits WGA update phones home
Microsoft clarifies WGA Notifications “phone home”

*1) Windows Genuine Advantageの略、Microsoftによると「マイクロソフトが従来から実施しているソフトウェアの偽造ソフトウェア防止対策の一環であり、啓蒙活動、技術的な取り組み、および法的な活動などを通じてお客様を守り、パートナー企業をサポートするためのプログラムです。」

*2)　WSUSサーバは、クライアントPCのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdateレジストリキーにある、「SusClientId」レジストリ値の設定値を使ってクライアントPCを識別している。WSUSサーバは、クライアントPCから送られてきたIDがデータベースに登録されていなければ新しいレコードを作成し、既存のIDであればレコードを更新する。(＠ITより引用)

*3)　Global Unique Identifierの略。全世界で2つ以上のアイテムが同じ値を持つことがない一意な識別子のこと。Ethernetカードに割り振られているMACアドレスや、Windowsで用いられているオブジェクトのクラスIDがGUIDとして知られている。単にGUIDと言った場合はWindowsで使われるGUIDのことを指す場合が多い。GUID自体は匿名のIDだが、GUIDと電子メールアドレスなどの個人情報を結び付けてしまうとGUIDから個人を識別することが可能になってしまい、特定人物のネットワーク上での行動を追跡されるなどのプライバシー侵害が発生する恐れが大きくなる。GUIDを取得してインターネット上での特定の人物の行動を識別し、ネットマーケティングに応用する試みもあったが、アメリカなどで消費者団体の激しい抗議にあい、現在では行なわれていない。（E-Wordより引用）

アニメ画像を表示して P2P ソフトユーザーを攻撃するトロイの木馬が出現
SOPHOS : NEWS : (2007/02/28)
サブタイトル　:　”P2Pやめろ、やめないと警察にチクル”
日本語翻訳がSOPHOSにありますのでそちらへのリンクを貼っておきます。

http://www.sophos.co.jp/pressoffice/news/articles/2007/02/pirlames.html

せっかくですから、このトロイの木馬が表示する大きな画像のみ・・・

Microsoft、ノルウェー製の著作権管理テクノロジを購入
Aftenposten : (2007/03/01)
ノルウェーの小さな会社がMicrosoftが望む技術を提供することになった。この技術はデジタル著作権の違反行為の防止を支援する。
ノルウェーのハーパーセキュリティ（Harper Security）はソフトウェアの巨人Microsoftに対しデジタル著作権管理技術の供与契約に署名した。これはIT Webサイト idg.no のレポートである。
ハーパーの新しさは、最も汎用されている二つの形のコピー防止機能を組み合わせることを基本としている。二つのコピー防止機能とは、電子透かし（watermarking。この機能はファイルの権利を持っている者についての情報をメディアファイルに加える）と電子指紋（この機能は購入者についての情報をそれぞれのファイルに書き込む）である。
「ハーパーセキュリティのような小さい会社にとって、このような取引が絶好の機会であることは明確である。 我々は2006年2月以来この件に従事してきた。今、これを発表でき大変嬉しく思っている」とRagnar HarperはComputerworld.no（コンピュータワールド・ノルウェー）で述べている。
この取引は我々をグローバルマーケットに到達することを可能にした。我々の背後にいるMicrosoftと共に。このことは世界中に残っている潜在的需要者との会談で我々を支援するだろう。我々に信憑性を与えると言う・・・」とハーパーは発言している。
ハーパーと共同経営者のワレリー プリアミコフ（Valery Pryamikov）数年にわたりMicrosoftとの様々なレベルでの共同事業を立ち上げていた。そして、ハーパーオーディオ保護の技術はMicrosoft Researchとハーパーセキュリティによって開発された。
ハーパーセキュリティは伝統的なデジタル著作権管理が特に消費者敵対的であるとみなされるため、これ以上の開発は無理とみなした。彼らの解決方法は購入者が望むファイル利用に関する能力を制限しない。これは、ユーザが著作権保護を回避する方法を捜そうとすることが主な理由であるとハーパーは発言している。

ビデオ-フィッシングのライブ デモ
F-Secure Weblog : News from the Lab :(2007/02/26)
我々はしばしばフィッシングに関する記事を掲載する。今日、我々は二日前（2月24日）に作成されたフィッシングサイトを発見した。
我々は特別なキーワード（eBayやPaypal）を含む新しく登録されるドメインを監視している。我々はリストを作成しURLを素早く鑑定するためにそれを使用している。我々が明確なフィッシングサイトを見つけた場合 - 我々は、そのようなサイトをシャットダウンしてもらう。

ここから実況ビデオ（音声付）をダウンロードできる。
Phishing Site Video (XviD - 7918k)
このビデオは我々のYouTubeチャンネルからも利用可能である。

悪意あるハッカーか？　それとも　不用意なユーザか？
Kaspersky Lab Weblog, Analyst Diary : (2007/02/22)
最近、多数の無関係なWebサイトへの侵入行為があった。その結果、サーバ上の元々のindexファイルが悪意あるスクリプト（通常、Trojan-Downloader.JS.Psymeの改竄された物）に置き換えられた。そのため、ユーザがそのWebサイトを訪問したとき、このスクリプトが直ちに実行される。このスクリプトは既知の（既にパッチはりリースされている）IEの脆弱性を突き、訪問したユーザのPCをTrojan spyに感染させるよう導く。スクリプト内部で、このトロイのリンクは通常（必ずではない）ある種の"sp.php"を参照している。

この侵入はどのようにして実行されるのか？　そこには2,3のシナリオがある。

1/　実際にハッカーが侵入する

同様のケースは非常に多いが、このシナリオの確率はゼロに向けて減少中である。

2/　Webサーバ サービスへの巨大な自動的脆弱性を突く行為

この悪意あるスクリプトを表示するために、私がアクセスした感染させられたシステムの幾つかのログはFTP経由でアップロードされていた。そして実在するFTPログインが使用されていた。これはハッカーがサーバのlogins+passwordsにアクセスしたことを意味している。少なくとも、そのような幾つかのサーバにたいして。そう、即ちパスワードファイルはサーバの脆弱性を通して取得でき、パスワードはクラックすることができる。与えられたMD5アルゴリズムは、今日最も更新されていない物である。しかし、このシナリオは全く有りそうに無い。システムログには、システムサービスを許可なく変更する行為は記録されていない。唯一登録されている侵入に関連付けられる行為はファイルのアップロードに必要な直接のFTPログオンである。これは用語上の矛盾であるかも知れない。しかし、侵入は絶対的に正当である。
そうすると、残っている侵入可能な方法は何か？
盗聴の考えは捨てることにする。この考えは殆ど有りそうも無い。残っている唯一の可能性は・・・

3/　エンドユーザのマシンからパスワードを盗み出す

私が思い描くことはWindows用のトロイである。Webサイト管理者のWindowsPC上でパスワードを保存しているFTPが稼動しているならば、このトロイはパスワードを手に入れることができる。有名なメディアサイトから個人的な索引化されていないサイトにまで渡っているサイトに関するサーバーで、スクリプトが見つかる場所でスクリプトが見つかる理由について考えるならば、この理論はさらによりありそうである。ここに明白な論理は存在しない。しかし、FTPユーザ/パスワードデータがIPアドレスデータと共にFTPクライアント中に存在することから、トロイがこの説を説明してくれている。
悪意あるプログラムがIP/user/password FTPデータにアクセスしたなら、このデータを何処かに送信する必要さえ無い。FTPセッションを初期化する必要があるだけである。そして、そのサーバは悪意あるスクリプトに感染させられる。（当然のことながら、このユーザは適切なFTP権限を持っていることを仮定している）
私は三番目の場合が正しいシナリオと強く信ずる。未だ完全な確証は無いけれども。
それは面白くないかもしれないが、感染したウェブサイトの流行を止める簡単な方法がある:

・　Microsoftの提供するパッチを当てる。
・　アンチウィルス等のセキュリティソフトの更新を行う。
・　ファイアーウォールを使用する。

「疑わしいプログラムを起動しない」、ブラウザのActiveXを無効化する等、対ウィルス防御に関わる常識を追加する。等等。

最終的に、この固有の問題に関する特別な解決方法はFTPサービスに関するuser/passwordデータ（より一般的にはあらゆるuser/passwordデータ）をWindowsクライアント中に保存しないことである。唯一の問題は、そのメモリがこのアドバイスに従うに十分か？　ということである。

ルータにハイジャックされる危険性（研究報文）
CBC News, Technology & Science : (2007/02/16)
インディアナ大学の研究者とシマンテックはホームルータを利用している凡そ半分のインターネットユーザはハードウェア ハイジャックの危険性を持っていると警告している。
研究者等はホーム ルータ ユーザ利用者の認識無しに、アタッカーがトラフィックの方向を変更するためデバイスの設定を改竄できることを見出した。例えば、ユーザが正しい銀行のアカウントをWebブラウザに入力したとしても、悪意ある者が銀行情報を盗むために設計した偽のサイトに連れて行かれるということである。
人々は悪意ある攻撃が動作する特別に細工されたページを訪問しなければならないけれども、この攻撃はLinksys, Belkin, Netgear, D-Linkが製造したルータのメジャー コンシューマ バージョン全てで動作するようである。
「悪意あるWebページは訪問したホームルータ利用者を巧みに取り扱う大変悪い能力（マルウェアの拡散を有効にするための設定変更、フィッシングアタックのターゲット、重要なセキュリティアップデートの妨害）を持っている」　研究者等は彼らの報文中で"Drive-By-Phishing"と記している。
この攻撃がこの種の他の攻撃と一線を画しいることは、この攻撃がWebブラウザや他のソフトウェアの脆弱性に依存していないということである。代わりにネットワークレベルで悪意ある特有の攻撃を行う。特別にコーディングされた悪意あるWebページはルータのDNS（ドメイン ネーム サービス）の設定を変更し、攻撃者が望むあらゆる場所にトラフィックを向けるようにする。
ホームルータユーザの約半分はルータのパスワードをdefaultもしくはパスワード無しで使用しており、その内の95%はJavaScriptコードの使用をWebブラウザに許可しているという概要を引用している。
「これは全ホームルータ利用者の47.5%が別の攻撃（攻撃者にあらゆる既知のアンチフィッシング対策の回避を許す）を残存したままにしているということである」と研究者等は記している。
研究者等はルータのパスワードを変更することと、コンピュータ上で稼動しているJavaアップレットやプログラムを厳選するよう薦めている。

この研究は、インディアナ大学のSid Stamm, Markus Jakobsson と シマンテックのZulfikar Ramzanによって行われ、2006年12月に公表、本日（2007/02/16）シマンテックによって公開された。

Microsoft Word に五つ目の脆弱性
Common Vulneravilities and Exposures : (2007/02/11)
CVE-2007-0870　の要約です。

Name　：　CVE-2007-0870 (under review)
Status　：　Candidate
Description　：　Microsoft Word 2000に未パッチの脆弱性が存在。この脆弱性はリモートからの攻撃を許可する。Wordの他の脆弱性としてCVE-2006-5994, CVE-2006-6456, CVE-2006-6561, and CVE-2007-0515, a variant of Exploit-MS06-027が存在する。

投票結果　： 「警察がハッキングすることは容認されるか？」
F-Secure Weblog : News from the Lab : (2007/02/16)
二月六日、下記に関する投票を実施した。
警察は疑いのあるコンピュータを「ハック」することが許されるか？　ドイツ最高裁はこの問題に関し最近判決を下している。
首題のアンケート調査に関し1020の投票があった。今、我々は国別の解析結果を得た。

グラフの全容はオリジナルの記事中に表示されている。23.8%が容認、65%が反対、11.2%が態度保留であった。1020の投票者の68%は以下の国の人々であった。

スウェーデン、ドイツ、イギリス、フィンランド、アメリカ。

警察のハッキング行為に対しドイツは最も賛成が少なく、イギリスが最も高い結果となっている。フィンランドは真ん中。
地政学上の要因を考慮した場合ある種の興味ある結果である・・・。

FirefoxにCookieに関するバグが存在
F-Secure Weblog : News from the Lab : (2007/02/15)

Firefoxが'location.hostname' DOMプロパティへの書き込みを操作する方法に新たなバグが存在することが報告された。この脆弱性は悪意あるWebサイトが、サードパーティーサイトに関する認証Cookieを巧みに取り扱うことを潜在的に許可する。このバグはMichal Zalewskiによって報告され、Firefoxの現在のバージョンでテストされている。

このバグは実際は悪意ある者からデータを受け取っているにもかかわらず、恰も銀行に接続しているかのようにブラウザに表示させることを許可する。

Firefoxは大抵の場合速やかにパッチをリリースする。もしも未だ実行していないのであれば、Firefoxの自動アップデートオプションを有効にしておくことを推奨する。

脆弱性のデモと示唆される解決方法はここに見出すことができる。

バレンタインデーのフラッシュ
F-Secure Weblog : News from the Lab : (2007/02/14)
セント・バレンタインデーに付け込む新しいスパムE-Mailがインターネット上で発見された。一例を示しておく。

このE-MAILはそれ自身をValentine's eCardのように見せかけている。E-Mail中のリンクをクリックした時、偽のMacromedia Flash Player (Adobe Flash Player)のインストールを尋ねるページにリダイレクトされるだろう。この偽のプレイヤーはあなたのシステム上にBZubの変種をダウンロードしインストールするトロイの木馬である。この二つのファイルはF-Secureの最新のデータベースでは夫々Valenavir.A, Bzub.HZとして検出される。どうか、このようなバレンタインデーのグリーティングカードを開くことに注意して欲しい。

あなたのシステムにパッチを当てることを確実にしてください。そして最新のデータベースにアップデートしあなたのバレンタインを楽しんで欲しい。

追伸
我々のPC Wellnessキャンペーンは更新された。あなたは英語、フィンランド語、フランス語、イタリア語でバレンタインの祝詞を送信するためにそれを使用できる。これはフラッシュである。Adobeの正式なフラッシュプレイヤーをインストールすること。

Trend Microにクラッシュを発生させる深刻なフロー
InformationWeek : (2007/02/08)
トレンドマイクロは幅広く使用させれているトレンドマイクロの製品に、コンピュータをクラッシュさせる深刻なフローが存在することをユーザに警告した。
Mike Sweeny（トレンドマイクロのスポークスマン）によると、大多数のユーザは問題ないと言う。自動アップデートとソフトウェアに含まれているフローの修正は、少なくとも一日一度アップデートに訪問するよう設定されている。Sweenyは、ユーザはアップデートの設定を一日一回より長くできない（[訳注]例えば、三日で一回と言うような設定はできない）としている。
「我々は今週早期に修正をリリースしたので、ユーザは既に保護されているだろう」とSweenyは発言している。更に彼は、「このフローを突くコードは未だオンライン上で確認されていない」とも付け加えた。
この脆弱性はTrend Micro's Scan Engine中に存在する。これはトレンドマイクロの製品（Trend Micro Internet Security や Trend Micro Office Scan等）の多くに使用されているソフトウェアの一部である。トレンドマイクロのWebサイトによると、損壊したUPXファイルはバッファオーバーフローを発生させ、システムクラッシュを発生させる。
このサイトは、このフローがアタッカーにシステムのリモードコントロールを許すとも発言している。質問された時、Sweenyは「この現象は発生していない」と発言した。 Sweenyは競争しているアンチウイルスソフト会社ベリサインのiDefenseチームが最初に欠陥を報告したと発言した。

Microsoft 0-Day脆弱性
McAfee Avert Labs Blog : (2007/01/31)
北アメリカのあちらこちらが過去2週間冬の嵐に見舞われている間に、コンピュータセキュリティの世界では4つのMicrosoft関連の脆弱性に対し0-Day攻撃の嵐が吹いている。

これらの脆弱性の内、三つはMicrosoft Visual Studioのフローである:

・　Microsoft Visual Studio .CNT Buffer Overflow
・　Microsoft Visual Studio .HPJ Buffer Overflow
・　Microsoft Visual Studio .RC Vulnerability

四つ目のフローはMicrosoft Wordのものである。Microsoft Word は、これで四つの0-Day脆弱性を持つことになった。
四つのフロー全て脆弱性を持つマシン上でアタッカーがリモートから任意のコードを実行することを許可する。四つのフロー全て攻撃を発生させるためには、ユーザ相互作用が要求される。例えば、ユーザが悪意あるファイルをホストしているWebサイトを訪問するとか、悪意あるファイルを自分のコンピュータ上で開くとかである。
Microsoftの次の定例パッチ日は2月13日（アメリカ時間で毎月第二火曜日。日本時間では毎月第二水曜日、2月14日となる）であるが、これらのフローは少なくとも二週間以上はパッチがリリースされないまま残存するだろう。

冬の嵐の攻撃を受けないために、あなた自身をこれらの0-Day攻撃から遮断しなさい。

【補足】
Wordの四つ目の脆弱性のCVEは"CVE-2007-0515"。現在、Candidateです。

Windows VISTAアップグレード版を用いたクリーンインストール方法
(2007/02/03)
この情報はセキュリティ情報ではありませんが、ココにアップしておきます。

喧しいVistaの話題のなか、様々な問題点も指摘されています。
そのなかで、海外で論議を呼んでいるのが、XP等からVistaへのアップグレード版によるクリーンインストールです。

アップグレード版でのインストールの種類は、現在のOSのアップグレードとクリーンインストール（新規インストール）の二種類があります。
＜＜　アップグレード　＞＞
現在使用しているファイルや個人設定を保持したまま、OSをWindows Vistaに置き換える操作です。

＜＜　クリーンインストール　＞＞
現在使用しているコンピュータの設定は保持されません。新規にWindows Vistaをインストールすることになります。

クリーンインストールする場合、現在使用中のコンピュータにアップグレード対象OSがインストールされている必要があります。そして、アップグレード版からWindows Vistaをインストールする場合、DVD（またはCD-ROM）から起動してインストールすることはできません。必ずアップグレード対象のOS上からアップグレードしなければなりません。

以前、アップグレード版のWindows XPからは、Windows 2000 Professional → Windows XP Home Editionといった「クラスが下がる」アップグレードは行えませんでした。Windows VistaではWindows XP Professional → Windows Vista Home Basicといったクラスダウンを伴うアップグレードにもアップグレード版が利用できるようにインストール制限が緩和されました。
この辺りの事が原因になっているのか、海外では現在のデータをバックアップしておいてアップグレード版でVistaをインストールする傾向があります。フルバージョンとアップグレード版との価格差も原因のようです。

ところが、このアップグレード版によるクリーンインストールは失敗します。
これは、Microsoftの重大な失敗です。

上述したように、VistaのアップグレードはXP他の互換OSがインストールされ実稼動している状態からアップデートを起動しなければなりません。インストーラが開始され、プロダクトキーの入力画面でVistaのプロダクトキーを入力すると、ブロックされインストールは停止されます。この問題はMicrosoftも認識しています。さらに悪いことにXPからVistaをアップデートするとき、それが二度と製品起動のために使われることができないように、今までのXPのプロダクトキーが無効化されます。

この投稿には私の経験は一切含まれていません。海外からの情報を纏めているだけです。そのつもりでお読みください。
上記問題に関する回避方法を一昨日発見しましたので、記しておきます。
この方法は、WindowsITProのWeb上にPaul Thurrottが2007年1月29日にポストしたこの問題の回避方法を元にBleepingComputerのGrinlerが実行したものです。

1/
Windows Vista アップグレードDVD/CDをドライブに挿入し、DVD/CDから起動します。セットアップ画面でVistaの新規セットアップを開始します。（DVD/CDから起動してアップグレードはできませんが、トライアル版のインストールは可能です）

2/
プロダクトキー入力画面で”プロダクトキーを入力しない”でください。プロダクトキーは入力せず「次へ（Next）」ボタンをクリックし、セットアップを継続します。この操作で、30日間のVistaトライアル版がインストールされる行程に入ります。

3/
Vistaのエディション選択画面が表示されたら、購入したエディションを正確に選択します。Home Premiumを購入したのなら、必ずHome Premiumを選択します。Vistaのエディションを間違えると、後の操作に影響が出るようです。

4/
セットアップが完了するとVistaのデスクトップが表示されますが、これは30日のトライアル版です。これを正規のVistaにするためには、もう一度Vistaのセットアップを行う必要があります。Vista30日トライアル版の起動状態から、購入したVistaのディスクをドライブに差込み、Vistaのセットアップを開始します。

5/
セットアップの過程でプロダクトキーの入力画面が表示されます。購入したVistaアップグレード版のプロダクトキーを入力します。

6/
アップグレード インストールとカスタム インストールの選択画面で、”カスタム”を選択します。二度目のインストールが開始されます。

7/
二度目のVistaインストール完了後、Vistaは正規の製品バージョンになります。C:\Windows.oldというフォルダがあります。このフォルダは一回目のインストールのバックアップです。不要なので削除します。

最後に、もう一度記しておきますが、この操作はVistaアップグレード版によるクリーンインストールの方法です。

Virus Bulletin、Vistaでアンチウィルスを初テスト
F-Secure Weblog : News from the Lab (2007/02/02)
Virus BulletinはMicrosoft Windows Vista下でのアンチウィルス製品の初めての比較テストを完了した。 我々はF-SesureアンチウィルスがVista(v7.00)の最初のトライでVB100アワードを受賞したことを報告することができることを喜びに思う。

他のアンチウィルスでVB100アワードを受賞した製品は以下であった。

・　Avast
・　CA
・　Quick Heal
・　NOD32
・　Fortinet
・　AVG
・　Kaspersky
・　Sophos
・　Symantec

面白いことに、Vista用のMicrosoft Live OneCareはVB100を受賞できなかった。

Googleが検索結果にエントリされた悪意あるサイトに対し警告を加えた
Host News : Blog (2007/01/30)
Googleの検索で既知の悪意あるサイトが表示された場合、ユーザは以下画像のような状況を見るだろう。

新たな"This site may harm your computer"という警告に気づいて欲しい。この警告を無視するとどうなるかは言わずもがなだろう。決してクリックするな。

【訳注】

日本語の表示は、「このサイトはコンピュータに損害を与える可能性があります」となります。上図参照。

上図は典型的にインチキなVideo ActiveX オブジェクトが存在しないという画面である。しかし、上図で強調されているように、閲覧者はIFrameによる脆弱性を突く攻撃を受けている。実際に幾つか存在する。

その上、Win32/Exploit.WMFに攻撃されたていたことが、上図の赤字で表示した2つのエントリで確認できる。現在、私が使用しているNOD32は、その脆弱性を突く攻撃が修正された場合でも飛びつき、これをブロックした。

諸君、私はあなた方のマシンに最新のアップデートとバージョンをインストールすることが如何に重要であるかに重きを置かない。上図のスクリプト ウィンドウのプロンプトは、IE6では表示されない。

私はあなた方のIE7の制限付きサイトに"85.255.116.203"を加えるよう推薦する。言及されているサイトは数日後に行われるであろう次のHOSTSアップデートに加えられるだろう。

Microsoft Word に新たな0-dayの脆弱性
WashingtonPost : Security Fix (2007/01/26)
シマンテックは、Microsoft Word中に未だ別の未公開のセキュリティホールが存在し実際に攻撃される恐れのあることを報告した。シマンテックの報告が正しければ、Word中に脆弱性のあるソフトウェアが稼動しているマシンにハッカーが侵入することを許す、少なくとも三つ目の0-day脆弱性を我々が持つことを意味する。

Microsoft Word Unspecified Code Execution Vulnerability : Release Date : 2006-12-11
Microsoft Word Memory Corruption Vulnerabilities : Release Date: 2006-12-06
Microsoft Word Unspecified String Handling Memory Corruption : Release Date : 2007-01-26

Microsoftのスポークスマンは「現在Microsoft Wordの攻撃可能な脆弱性についての公開された報告を調査中」としている。注意すべきは「現時点で報告された脆弱性を使用しようとする企ては大変限定的である」としている。Microsoftは、今月リリースするパッチ中に少なくとも三つの露見しているWordのフローの一つを修正すると広く予想されていたが、土壇場になってリリースすると言っていたパッチの半分を何の説明もなしに切り捨てた。

シマンテックアドバイザリは、大多数はE-Mail添付ファイルの毒を含むWordドキュメントファイルによるとしているが、この攻撃がどのように実行されるのか表明していない。アドバイザリの「技術的詳細」のよれば、受信者がそのようなWordドキュメントを開封すると、犠牲者のマシン中に四つの実行ファイルがダウンロードされる。そして、アタッカーが感染したマシンに直接アクセスをできるようにするためバックドアを開く。これは、"Summary on China's 2006 Defense White paper.doc（2006年度中国防衛白書概要）"と呼ばれる空のファイルを作成する。そして、中国にホストされているWebサーバに連絡する。

Security Fixが今月早く記したように、Officeの脆弱性は2006年に於いてMicrosoftの最大の弱点であった。このようなフローは今年もまたOfficeに対する汚染を継続されるだろう。Microsoft VISTA（Microsoft Windowsの次期バージョン。来週中に電気店で発売される）にアップグレードした人でさえ。

【関連情報】
マイクロソフト セキュリティ アドバイザリ (932114) :
Microsoft Word 2000 の脆弱性により、リモートでコードが実行される : 公開日: 2007年1月27日

Quicktime - 更新せよ、されど脆弱性は残ったまま!
Secunia "Security Watchdog" Blog (2007/01/25)
1月23日、アップルは脆弱性を解決するためQuickTimeプレイヤーのセキュリティアップデートをリリースした。この脆弱性は元旦に公開された。少しして、この問題が脆弱性を食い物にしようとする行為に対して恐ろしく容易であること(事実、Secuniaは少なくともオンライン上で二つの稼動している悪意を認識している)とQuicktimeは50%以上の個人のPC上にインストールされていることが憂慮された。

今、パッチが出現した。全て免除され、あらゆる人が幸せになった。システムを安全にすることができるために。本当か？

否である。

これを享受できるのは、セキュリティアップデートをダウンロードできるApple Mac OS Xユーザだけである。QuickTimeの最新バージョンをダウンロードしたWindowsユーザは未だ脆弱性を持ったままである（記述している時点は、Appleがセキュリティアップデートをした二日後である）。

あなたがWindowsユーザなら、単純に脆弱性のないバージョンをダウンロードすることはできない。SecuniaはSecunia Software Inspectorの非常に多くのユーザからのフィードバックを受け取ったことから、この問題に関し説明する。 我々のユーザはAppleから「最新」バージョンをダウンロードしたことに、そしてSoftware Inspectorが間違ったレポートをして、彼らが未だ脆弱性のあるままであることに不平を言った。

そこにはSecuniaが受け取っていなかった物が存在した。そのため間違わされた。我々はこれをテストに付した。我々はAppleから最新バージョンをダウンロードした。そして、脆弱性を突いた。結果は、Software Inspectorは正しかった。

何が間違っていたのか？　Appleは正しい修正バージョンのダウンロードでは無く、未だ脆弱性のあるバージョンを提供していた。正しいセキュリティアップグレードを取得するためには、ユーザは厳密なアップデートプロセスを実行しなければならない。これはダウンロードプロセスと全く異なっている。さらに悪いことに、アップデートプロセスはどこにも文書化されていないので、ユーザーは始める場所さえ解りもしない！

換言すれば、最もセキュリティに関心があるユーザーさえ、これの確認にSecunia Software Inspectorを使用するまで、彼らの安全でないQuicktimeを更新するための努力が実際無駄だったということを決して解らないだろう。

この脆弱性は今年最初のMoAB（Month of Apple Bugs）によって公開された。MoABグループは最初の勧告を公開したとき、アタッカーが脆弱性のあるシステムにアクセスを獲得することを許諾する、稼動する脆弱性を突く行為をも提供していた。

この脆弱性はQTLムービーファイルを開いた時、Quicktime playerがRTSP URLを操作する方法中に存在する。大部分のQuicktimeの熱狂的ファンが知っているように、RTSPは彼らのコンピュータにメディアサーバーからストリームオーディオとビデオデータにユーザーを許諾するプロトコルである。

ビデオシェアリングとムービーストリーミングはインターネットユーザに大変人気がある。そして、稼動している脆弱性を突く物は突然ハッキングらしきものを探し当てた誰もがダウンロードできる。このような理由から、次にあなたが"hilari0us"ビデオや"h0t gRRRlz"が発生する物へのリンクを含む任意の人からのメールを受信することになるかもしれない。それらの取得にかかる行為は１クリックである。そして、QuickTimeはそのQTLファイルの処理を開始する。次にアタッカーはあなたのシステム上で任意のコードを即座に稼動する。

あなたが脆弱性を持っているか否か確認するためにSecunia Software Inspectorを使用しなさい。そして未だ存在すれば、Secunia Software Inspectorは厳密なアップデートプロセスの完全な説明をあなたに用意している。

Secunia Research は、ActiveXコントロール中の脆弱性を発見した
Secunia "Security Watchdog" Blog (2007/01/25)
Secunia Researchは様々なオーディオとメディアアプリケーション中に危険なActiveXコントロールを発生原因とする脆弱性を発見した。脆弱性のあるコンポーネントは、NCT Company Ltd. (現在、Online Media Technologies Ltd.)によって開発されたNCTAudioFile2.dllである。そして、28の開発ソフトウェア会社の70以上の製品に搭載されていることが知られている。これは、単にNCTソフトの脆弱性というだけでなく同じコンポーネントを使用している多くのアプリケーションにも同様の脆弱性があることを示している。

この脆弱性はNCTAudioFile2.AudioFile ActiveXコントロール、とりわけ"SetFormatLikeSample()"メソッドの操作におけるバウンダリエラーを原因として発生する。約4124byteの長さの引数を渡すとスタックベースオーバーフローを惹き起こす。これはアタッカーがそのユーザシステム上で任意のコードを実行することを可能にする。

どのようなシナリオが攻撃を成功させるのか？　この脆弱性を突く行為は、悪意あるWebサイト上にユーザが訪問中に欺かれる物を仕込んでおく。この脆弱性がActiveXコンポーネント内に包含されているため、この脆弱性を成功させるためには、そのようなサイトの訪問にInternetExplorerが使用されていなければならない。我々はこの脆弱性に関するいかなる公的に利用可能な脆弱性を食い物にする行為を認識していないが、このようなものを実際に作成することはいたって簡単である。従って、インターネットサーフィン（特にIE6はActiveXコントロールを自動的に稼動させる）する時、警告を発生させユーザに尋ねることは多過ぎるということはない。

昨年、Secunia Researchはスタックベースオーバーフローを発生させ、脆弱性を突かれる恐れのある共有ライブラリ（unacev2.dll）に起因する18個の圧縮プログラムの脆弱性を発見した。共有ライブラリ同様ActiveXコントロールもまた様々なプログラム中に発見される。これはアプリケーション中に同様の機能を必要とする場合、実際に存在するものと契約できるためである。

開発者の場合、共有ライブラリを使用したり、ActiveXコントロールのライセンスを購入したりすることは製品の開発期間の短縮という利点がある。他方、そうすることによって内包されるセキュリティ上のリスクを考慮すべきである。あなたがオリジナルのライブラリファイルやコンポーネントの開発者でないことが、これに関するサポートを回避できることを意味していないし、オリジナルベンダにパッチを作成することを任せきりにすることも意味していない。

Secunia脆弱性公開ポリシーに基づき、ベンダーと全ての既知の脆弱性コンポーネントの契約者に接触し、我々のレポートに対する応答に十分な時間を与えた。我々はオリジナルベンダのみならず殆どの契約者からも、何も聞かされていない。

SunはJavaセキュリティアップデートをリリースしている
WashingtonPost : Security Fix (2007/01/24)
サンマイクロシステムズはその大多数のプログラムバージョンに存在する危険なセキュリティ上の脆弱性を修正するためのセキュリティパッチを適用するようJavaソフトウェアのユーザ（殆どすべての人が対象）を駆り立てている。
多くの人々は彼らのシステム上にJavaがインストールされていることさえ知らないかもしれない。このソフトはプレインストール（この場合、あなたのJavaは古いバージョンである）されている。あるいは、特定のWEBサイトでそのコンテンツを適切に閲覧するためにこのソフトが必要とされたため、あなたはインストールしたかもしれない。このソフトをチェックするためには、コントロールパネルの「プログラムの追加と削除」に進み、"J2SE Runtime Environment"を探しなさい。
あなたのバージョンが"Update 10"以下であれば、アップデートしなさい。このパッチはココ（大多数の方は、"Java Runtime Environment (JRE) 5.0 Update 10"オプションを選択すればよい）からダウンロード可能である。

Sunセキュリティアドバイザリによれば、この脆弱性は".gif"の拡張子を持つある種のタイプのイメージファイルをJavaが取り扱う方法から発生している。特別な細工が施された".gif"イメージを提供しているWebページを訪問するよう誘われたユーザに対して、アタッカーはJavaの脆弱性のあるバージョンが稼動している脆弱性あるコンピュータを完全に制御できる。
これはWindowsだけの問題ではないと言うことに気づくことは大切です。Javaは大部分のWindowsシステムにインストールされているが、すべてのMac OS Xシステムや、殆どのUnixやUnix-likeなシステム中にも最初から備え付けられている。SUNS研究所（セキュリティの研究とBethesdaを基礎とするトレーニンググループ）によれば、Md.（マネージングディレクタ）Sunは、すべてのコンピュータユーザにこのアップデートを適用するよう駆り立てている。

私は、Javaの熱烈なファンではない。私は大多数の人々が最終的に彼らのシステムにこのプログラムをインストールすることが無いにこしたことはないと信じている。最近の複数のアップデートの後、私が使用しているシステムの大部分からJavaを削除した。そして、このプログラムを再インストールするいかなる必要もない。
あなたがアップデートを決定したのであれば、心にとどめておいて欲しい（Security Fixが再三再四言及したことを）、あなたのシステムに残存しているJavaの古いバージョン（そしてそこにあなたのハードドライブの数百メガバイトを消費するソフトウェアの古い（脆弱性のある）幾つかのバージョンが存在するかもしれない。）を削除すべきである。
以前のJavaアップデートはJavaプラグインの古いバージョンを残す傾向にある。そう、FirefoxとIEの両方に使用されている。しかしこのインストーラはそれを行わない。しかし、これはUpdate9を残した。あなたはアップデーを選択するかJavaのルートを放棄するかに関係なく、それが行ったことを確認したほうが良い。

Storm-WormはRootkitの使用を開始した
F-Secure Weblog : News from the Lab (2007/01/21)
週末Storm Wormのために我々は大変忙しかった。我々は、Storm Wormが自身のファイル、レジストリキー、アクティブネットワークコンテンツを隠蔽するためにカーネルモードRootkitテクノロジの使用を開始したStorm Wormの新しい変種を今しがた発見した。F-Secure BlackLightは隠蔽されたファイルを検出する。
これらの変種をW32/Stormy.AB そして Trojan-Downloader.Win32.Agent.betとして検出する。

Small.DAM（Storm-Worm）急速に拡散
F-Secure Weblog : News from the Lab (2007/01/19)
我々が以前ポストしたSmall.DAM (Storm-Worm)が夜の間に急速に拡散した（ヘルシンキ時間）。スパムによる深刻なシーディングは我々のトラッキングスクリーン上で素早く観測された。このワームは世界中に急速に拡散した。
ココに読者と共有するため、このワームの拡散の若干の足跡を示す。

このビデオはXViD (4651k)エンコードされている。
また、YouTubeでも利用可能である。

そこら中にばら撒かれたSmall.DAM
F-Secure Weblog : News from the Lab (2007/01/19)
今朝、我々はSmall.DAMをばら撒いている活動を目撃していた。
これがそのメールの件名である。

• 230 dead as storm batters Europe.
• A killer at 11, he's free at 21 and...
• British Muslims Genocide
• Naked teens attack home director.
• U.S. Secretary of State Condoleezza...
Update(2007/01/20)
• Russian missle shot down Chinese satellite
• Russian missle shot down USA aircraft
• Russian missle shot down USA satellite
• Chinese missile shot down USA aircraft
• Chinese missile shot down USA satellite
• Sadam Hussein alive!
• Sadam Hussein safe and sound!
• Radical Muslim drinking enemies' blood.
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel

タイトルの"Storm in Europe（ヨーロッパの嵐）"は取分けタイムリーである。この時点で実際にヨーロッパは嵐に見舞われていた。そして数十人の人々が亡くなっていた。 添付ファイルは以下のファイル名であるかもしれない。

• Full Clip.exe
• Full Story.exe
• Read More.exe
• Video.exe
Update(2007/01/20)
• Full Video.exe
• Full Text.exe

Small.DAMの検出は2007-01-15_01のデータベースのアップデート中（あくまでF-Secure AntiVirusの話ですが、多くのセキュリティメーカーは既に対応している筈です）に含まれている。

CSSを使用した新たなMySpaceフィッシング
WEBSENCE Security Labs : Threat Blog (2007/01/12)
今日午後、我々はMySpaceに関する別の攻撃を発見した。MySpaceユーザは、以下のテキストの付属する"Arnelle"と呼ばれる者から彼らのプロファイル中にメッセージを受け取る。

"this chick is using like almost all of ur pix and part of ur profile.. people have no lives, i swear. heres the URL if u want to check it out"
「この若い女は、あなたの写真の殆ど全てとプロファイルの一部を使用中である・・・。人々は実在していないことを私は誓う。それをチェックしたいのであれば, ココがそのURLである。」

彼らのMySpaceページへのリンクに従った。そのページそれ自身はMySpace.comドメイン中にホストされていた。そして、ユーザプロファイルのページであった。アクセスしたサイトで、ユーザは彼らのログイン証明を用意されている。
ここで幾つかのことに気が付く。コードを書いた者は、言っていることを表示するための認証画像の変更に特別な注意を払っている。使用されなければならない“login.myspace.com”の代わりに“profile.myspace.com”が使用されている。コードを書いた者が行った一つの失敗は、エンドユーザがパスワードをタイプしている間それを隠すパスワードフィールドを作成しなかったことである。
アタッカーはメインのユーザプロファイルに上乗せするためCSSちゅうでコードを使用した。そして、彼らによるテキストと画像を表示した。もしユーザが彼らの証明を入力したならば、その情報はイギリスにホストされているWebサイトにポストされる。

MySpace メッセージ

MySpace ログインサイト

ユーザ（アタッカー）プロファイル

新しいフィッシングサイトの場所を見つける方法
F-Secure Weblog : News from the Lab (2007/01/03)
フィッシングサイトは、悪い奴等が彼らのサイトをリンクした数千のスパムメールの送信を開始したなら、その場所を特定することは至って簡単である。しかし、彼らがそれを実行する前にそのようなサイトを発見するには如何すれば良いのだろうか？
一例を示す。
あなたはあるキーワードの付属する新しいドメインが登録されたことを知ることができる警告サービスに登録することができる。Domaintoolsはそのようなサービスである。
ココに、昨日受信したE-Mailがある。メール中に"bankofamerica"という単語が付属する新しいドメインが登録されたことを我々に教えてくれる。

詳細なドメイン情報に注目すると、我々は、そのドメインが1月1日に登録されたことを理解するだろう。

ドメイン名は実際のWebサーバで稼動している。フロントページは図のようである。

フォルダ"OnlineID"は怪しい雰囲気である。それに続いて。

そして3階層下に、我々は実際のフィッシングサイトを発見した。

この記事を投稿する時点で、汎用されているWebブラウザ（IE, Firefox, Opera）は、それらに備え付けられているフィルターで、このサイトをフィッシングサイトととして検出しない。早晩、検出するようになるだろうが。
希望的には、我々は悪い奴等がその使用を開始する前に、このサイトをシャットダウンすることが可能であるだろう。

更なるクリスマスをテーマにしたマルウェア
F-Secure Weblog : News from the Lab (2006/12/24)
不幸にして更なるクリスマスをテーマにしたマルウェアが浮遊している。
いま、Christmas_Puzzle.exeと呼ばれるバックドアがある。これはシステム上でその存在を隠蔽するためにRootkitを使用する。我々は、これをTrojan-Spy.Win32.Ardamax.eとして検出する。囮として、これはクリスマスをテーマにしたジグソーパズルをスクリーン上に表示する。

次に、Christmas+Blessing-4.pptと呼ばれるパワーポイントファイルがある。このマルウェアは、二つの埋め込まれているプログラムをドロップ氏実行するためにMS06-12あるいは関連する脆弱性を使用する。囮として、脆弱性を食い物にするファイルは次々と表示される無邪気なパワーポイント形式のクリスマステーマのスライドショーに埋め込まれていた。

我々は今、このPPTファイルをExploit.MSPPoint.Agent.gとして検出する。

Christmas.EXE に注意
F-Secure Weblog : News from the Lab (2006/12/23)
我々は今、Christmas.exeと名付けられた物のサンプルを受け取った。これを稼動させると、このIRCBotの変種はwaiguadown.008.netとuser.free.77169.netから様々な悪意ある実行ファイルをダウンロードしようとする。
囮として、Christmas.exeは、このChristmasのテーマ画像を表示する：

明らかに、与え続ける贈り物。 避けられるための。

Googleはフィッシング詐欺師を助けている。
Kaspersky Lab Weblog (2006/12/22)
我々は休暇期間に入るとサイバー犯罪が増加することを予期している。例えば今年、フィッシングの増加と共にスパムの顕著な増加を見てきた。
私は、私のGmailのメールボックス中にかってフィッシングメールを受け取ったことがある。最初のスパムメールはずっと前である。このフィッシイングは特別なものではなかった（欺くためのWebサイトへのリンクの付いたオンラインバンクの新しい支払いシステムに関するよく見られる注意書）。
私の目が捕らえたのは、Googleがフィッシングを取り扱っている方法であった。Gmailインターフェイスはe-Mailに数多くの関連する有料広告のリンクを加える。
下図の左上と右側に注意してください。

私はこのようなリンクを付加することは詐欺のためのe-Mailを信用するユーザを増やすことになると思う。ユーザはキーワードに関連するリンクを含んでいると理解する。そこで、ユーザはe-Mailを信用しがちになる。そして、フィッシング詐欺の生贄となる。
あなたはどう考えるか？　あらゆる場合において、休暇期間は不幸にしてあらゆる領域（インターネットを含む）における犯罪者を多忙にする時間である。
自分自身に注意して安全なネットサーフィンを!!

IE7のクリップボードデータ盗難オプションについて
WashingtonPost : Security Fix (2006/12/21)
Microsoft Internet Explorer（Webブラウザ）のチョッとした秘密は、WebサイトがWindowsクリップボードに保存されているデータをコッソリに読み込むことを許す特徴が長年にわたり存在したことだった。クリップボードはユーザが実際のWindowsプログラムで最新のカット＆ペーストやコピーしたあらゆるテキストを準一時的に保存する保存空間である。
明らかに、Microsoftはこの機能をIE7で最終的に変更した。この最新版のWebブラウザは、ユーザのクリップボードの内容を実際に共有するか否かをユーザに尋ねるプロンプトを表示する。（彼らはそれをくすねようとするサイトを偶然見つけるべきである。）

【訳注】
上が表示されるメッセージボックス。「許可」した場合に、盗まれるクリップボードのデータが赤地の部分。

あなたは未だIE6を使用していますか？　そして、クリップボードの機能がどのように稼動するのか理解したいですか？　あなたがWindowsプログラムで幾つかもしくは多くのテキストをコピー＆ペーストした後、この無害な「脆弱性の証明サイト」を訪問しなさい。（たとえそれが無害な事例のページであろうとも、多分、あなたがいままさに入力していたQuickenデータをコピーしてはなりません）

【訳注】
Quicken : 米国のIntuit社が米国の金融機関と協力し、小規模ビジネスに資金調達先を迅速で容易に探すためのサービスとして開始した、小規模ビジネス向けのウェブベースの財務サービス

そのサイトの説明では、Windowsクリップボードにコピーされたデータは、更なるカット＆ペーストデータによって置き換えられるまで、そして、ユーザがログアウトしたり、スイッチを切ったりするまで、そこに存在する。言及する価値のあることとして、FirefoxやOperaのようなIEに取って代われるブラウザはWindowsクリップボードデータを盗ませることを許可しない。

アドオンを要求しないフィッシング・フィルター
F-Secure Weblog : News from the Lab (2006/12/20)
今日、OperaはWindows用Webブラウザ（v9.1）をリリースした。新たなセキュリティ機能（フィッシング詐欺防止機能）を搭載している。

GeoTrustのホワイトリスト、GeoTrustとPhishTankのブラックリストを使用しているので、Operaは今、詐欺的なサイトをユーザに警告する。このオプションを可能にすると、訪問した各URLは、その安全性を確認するためにチェックされる。そして、ユーザはフィッシングサイトへ連れて行かれているのではなく警告を表示される。

Firefox(v2.0)とInternetExplorer(v7)もまたブラウザ中にアンチフィッシングフィルターを備え付けている。Operaのように、IE7はそのURLを確認するためにサーバーをチェックする。Firefox v2.x は二つのオプション（Googleの信頼できないサイトのデータベースによるチェックとダウンロードされた疑わしいサイトのリストの使用）を持っている。サイトのリストはユーザのハードドライブに存在する。従って、プライバシーに関する心配をするものは皆、この方法を好むかもしれない。このダウンロードファイルは頻繁に更新される。

Firefoxの警告画面。

IEの警告画面。

報道によれば、Safari(v3.0)は類似の機能を含ませるようである。
別の側面として、我々はYahoo! Mailがある時点で標準的でないURLのブロックを開始することに気がついた。あらゆるおかしなURLに対しては以下の警告画面をユーザに表示する。

我々はこのようなアップデートを典型的なWeb消費者に対する積極的開発として理解する。そして、その機能が広く利用されることを希望する。あなたがブラウザを更新していないのであれば、今、更新しなさい。同様に本日Firefoxのセキュリティアップデートがあった（Firefox v2.0.1）。そして、あなた方がこれを行うことは、あなた方家族のITサポート（これをあなたのクリスマス実行リストに載せる）の大いなる喜びになるでしょう。

リリースされたSecunia Software Inspectorに関してのフォローアップ
Secunia "Security Watchdog" Blog : (2006/12/12)
我々はSecunia Software Inspectorの成功裏のリリースに関し皆さんに最新の情報を与えることを望む。この4,5日で、このプログラムは幾千の人々によって使用された。希望的には、彼らのソフトウェアを最新のバージョンに更新した多くの人々、以前より明示的により安全になった多くの人々がいる。
40万を超える検出したアプリケーションのうち、Software Inspectorは35%を超えるものを脆弱性のあるバージョンとした。

IE6.xユーザのうち、4.12%が脆弱性あるバージョンを使用していた。これは良い兆候である。多分、多くの人々が新たなIEバージョンを取得するためにWindowsアップデートの使用を認識していると言うことである。（訳注：v6.xをv7.0にアップグレードと言う意味ではなく、v6.0がv6.1あるいはｖ6.0.0がｖ6.0.1になるというような、セキュリティパッチを当てることによるマイナーバージョンアップを意味しています。）

Adobe Flash 9.xバージョンのユーザのうち53%が脆弱性あるバージョンを稼動させていた。これはFlashベースコンテンツの人気とその脆弱性に関する認識の欠乏の両方を証明するものである。

Firefox 1.xユーザの1/3以上（35.47%）は脆弱性のあるバージョンを稼動させていた。Operaユーザは、それよりは安全であるが、Opera 9.xの脆弱性あるバージョンを稼動させていた者が13.04%存在した。

Skype 2.x（人気のあるVoIPプログラム）ユーザのうち脆弱性あるバージョンを稼動させていた者は6.8%だった。

我々はSoftware Inspectorに対して積極的フィードバックを返してくれたあらゆる人に感謝する。しかしまた、我々はこのプログラムを前進させようと考えていることを全ての人が記憶にとどめておくことを好む。それゆえ、我々はこのプログラムに関する示唆とより多くの提言を受け取たいと思う。
あなた方の中で、このプログラムを試みなかった人に対しても、定期的にこのプログラムを使用したいと思っている人に対しても、我々は「記憶蘇生サービス」機能を準備した。この機能の目的は、Software Inspectorが検出するあらゆるソフトウェアのアップデートのリリースが行われたときは常に、利用者に対してE-Mailを送信することである。

Apple QuickTimeの二つのパッチの当てられていない脆弱性が未だユーザを危うくしている
F-Secure Weblog : News from the Lab (2006/12/11)
今までの物語を知っているだろうか?　先週、MySpaceはQuickTimeワームによって攻撃された。このワームはユーザのプロファイルページに悪意あるJavaScriptを注入し実行するためApple QuickTimeの言われている機能を濫用するものだった。悪意あるコードはアカウントをフィッシングすることを、不特定の数のユーザに対しスパイウェアの申し出を企てた。これは明らかに犯罪による金銭の取得を希望していた。

この攻撃を可能にした主たる問題はMySpaceのフローではなく、Apple QuickTimeの機能に明瞭なセキュリティ上の脆弱性が存在したことによる。QuickTimeは外部リストからのJavaScriptの読み込みを行う前に同一根源ポリシーの強制と、ユーザに警告することに失敗した。すなわち、類似の機能を有する全てのアプリケーションが実行することを期待される二つのこと。例えば、Flashはスクリプトの埋め込みを許可するが、Flashアプリケーションが外部リソースにアクセスすることを試みたときユーザに警告する。

我々は未だAppleがこれをセキュリティ問題として認めたことを認識していない。Appleは、これが道理にかなった機能であると主張した。一時的な、役に立たない回避策としての修正がMySpaceユーザのうちのInternet Explorer利用者だけのためにMySpace用としてAppleによって用意された。Apple QuickTimeの他のユーザ（IE以外のWebブラウザを使用しているMySpaceユーザを含む）は未だ脆弱性の存在下にある。そして、MySpaceユーザのためだけにこの修正は提供されたので、他のWebサイトではQuickspace類似のワームによる攻撃に対し未だ脆弱性を持っている。

我々は幾許かの調査を行い、以下の結果を見出した。

• 1/　ワームによって食い物にされたHREFトラックフローは別として、Apple QuickTimeは未だ他の類似のフローによる脆弱性がある。このフローは再三公にされている。このフローは前者のフローと全く同様の方法で全く同様の結果を完成させ食い物にすることができる。後者のフローは不鮮明であり、まだ修正されないまま残っている。我々は未だこの脆弱性について誰かが喚起を促したとか、修正するよう発言したことを見ていない。前者のフローの修正パッチは後者のフローを修正しない。この意味において前者のセキュリティパッチは不十分である。
• 2/　MySpaceは未だ両方の脆弱性の下にある。そして、それらを食い物にする別のWebアプリケーションワームを防ぐものは何等存在しない。
• 3/　我々は幾つかのソーシャルネットワーキングサービスをテストした。そして、我々がテストしたサイトの全てに、攻撃の方向性として、この二つのフローを利用するWebアプリケーションワームに対する脆弱性が存在した。利用可能な修正版が存在しないので、現在これらソーシャルネットワーキングサービスや他のNET上のサイトの唯一実行可能な解決策はアップロードしてあるApple QuickTimeコンテンツをユーザから完全にブロックすることである。この解決策を受け入れる前にコンテンツからjavascriptを削ぎ落とすことが解決であるが、この場合この方法はコンテンツを非実用的にするため大変複雑である。

【推奨】　：　Webサイトは両方の脆弱性を修正するパッチが利用可能になるまで、完全にApple QuickTimeコンテンツをブロックすべきである。
【結言】　：　これらはセキュリティ上の脆弱性である。ソフトウェア中にあらかじめ組み込まれている欠陥ある特徴を利用したものでは無い。

【追記】　：　この二つの脆弱性はクロスプラットフォームだった。F-SecureはMac OS X上で QuickTime v7.1.3 に脆弱性を確認している。

また、Wordに新たな脆弱性
F-Secure Weblog : News from the Lab (2006/12/11)
先週、我々はWordに新たな脆弱性があることをポストした。今日、Microsoft Security Response Centerは、また新たな脆弱性がWordにあることを報告した。この新しい脆弱性は、Word 2000, 2002, 2003,Word Viewer 2003が影響を受ける。Word 2007は影響されない。この脆弱性はDOCファイルを開いたとき、悪意ある人々がターゲットマシン上で自動的にコードを実行することを許す。この脆弱性は我々が2006年中に見てきた他の多くのWordの脆弱性に類似している。この脆弱性は活発に食い物にされているが、ディストリビューションは今までのところ非常に限定されている。我々は以前同様の回避策（信頼できないところからのDOCファイルを開かない、および信頼できるソースからでも受け取った予期せぬファイルを開かない。）の使用を継続できるだけで、利用可能なセキュリティパッチは出ていない。

SecuniaはSoftware Inspectorを稼動した
Secunia "Security Watchdog" Blog : (2006/12/06)
Secunia Software Inspector は、あなたのシステム中にインストールされているソフトウェアのうち、脆弱性のあるバージョンを検出する無料のサービスです。 もしも、あなたのコンピュータ中に脆弱性のあるソフトウェアのバージョンが検出された時は、脆弱性を修正したバージョン、更新版のアップデートサイト、 修正された脆弱性の情報、そのアプリケーションのフルパス（あなたのシステムの何処にインストールされているのかを示すパス）のようなガイド ラインも表示されます。

この情報に関しては、日本語解説サイトを作成しましたので、そちらを閲覧してください。
左のナビから、セキュリティソフト（防御系）＞Secunia Software Inspector　です。もしくは
http://www.hippo.flnet.org/AtTheSpring/SecuniaSoftwareInspector.html

セキュリティパッチの配布を行わないようにするには
WashingtonPost : Security Fix (2006/12/06)

先週末中、MySpaceはオンラインコミュニティユーザに急速に拡散するApple QuickTime Playerの脆弱性を突きパスワードを盗み取るコンピュータワームによる攻撃を受けた。火曜日、MySpace管理者は更なる便乗攻撃を防ぐために新しいAppleのパッチをダウンロードしインストールすることを駆り立てるメールを数百万のユーザに送信した。
私は、MySpaceとAppleが明らかに深刻なセキュリティ問題への迅速な反応を行ったと思う。しかし、両者は完全にこのパッチのロールアウトをぎこちなく行ったように見える。

MySpaceのユビキタス担当者（Tom）のメモは、「あなたはシステム上にQuickTimeを持っていることが検出されたため、このメッセージを閲覧することになった。QuickTimeは、あなたのコンピュータ上で動画を閲覧することができる。先週末、QuickTimeのセキュリティ問題が発生した。悪意ある者共は、そのセキュリティホールを突いてアカウントをフィッシュすることを企てた。あなたのQuickTimeにこのパッチをダウンロードすることによって自分自身を保護して欲しい。これに要する時間は30秒ほどである。--Tom」

これは、まさにリリースされたパッチを適用するようにユーザを駆り立てるMySpace管理者によって送信された本物のメッセージであった。しかし、あなた方の殆どは当惑させられた誇大妄想な慎重なMySpaceユーザーからの驚く程の不愉快と理解しただろう。当惑したユーザからのMySpaceユーザフォーラムに投稿されたスレッドの幾つかの質問とコメントをチェックしてほしい。
このCNetの物語によると、Appleはパッチを火曜日にリリースすることになっていた（MySpaceの要請により）。しかし、MySpaceはアップデートを配布する役割を担った。
繰り返しましょうか？
バランスよくこれを述べるために、あなたはMicrosoftが彼らのパッチの配布を第三者に委ねた最後は何時だったか分りますか？　答えは簡単、No。何故か？　悪意ある者共は公式のアップデートに見えるように偽装してあらゆる種類の厄介で悪意あるソフトウェアをインストールさせようと恒常的に行っているからである。同様にAppleは、そのパッチの配布をソーシャルネットワーキングに許可すべきではなかった。たとえ、それがMySpaceユーザのためのカスタムメードとして作成されたものであろうとも。私はこのパッチを心底疑った。Appleは彼ら自身のサーバにソフトウェアの修正版をホストすべきであった。そして、MySpaceはそれを飲み、Appleがアップデートのホストが準備できるまで（QuickTimeの古いバージョンを使用している人々がAppleのサイトから直接パッチを取得する準備ができるまで）QuickTimeビデオを無効にすべきだった。

他の問題はMySpaceワームがQuickTime中のセキュリティフローを突いたものなのか、それともソフトウェア中にあらかじめ組み込まれている欠陥ある特徴を利用した物なのかと言うことである。それがセキュリティフローであるなら、この惑星の残りの人々は何時QuickTimeのパッチを期待できるのか?　それがメディアプレーヤ（訳注：WindowsMediaPlayerのことではなく、一般的な動画閲覧ソフトをさす）にあらかじめ組み込まれた機能によるものであるなら、MySpaceユーザ以外も言われている機能の無いQuickTimeを取得できるのか？　私はAppleに対して質問を投げかけた。詳細を受け取った後このブログは更新されるだろう。

最終的にMySpaceのメモは、そのリンクの中に暗号化の数層を持っているように見える（ユーザがクリックした後終了するところを不明瞭にしている）例外的なまでに長大なリンクをクリックすることを促した。メッセージ中の外観上無作為のリンクをクリックすることによって多くの人々に促せたMySpace管理はMySpaceユーザに対する更なる攻撃を奨励するかもしれない不幸な種類の状態である。

MicrosoftのWordにセキュリティホール
F-Secure Weblog : News from the Lab (2006/12/06)

MicrosftはWordとWorksの以下のバージョンについて新規なゼロデイ脆弱性が発見されたことについてのセキュリティアドバイザリをリリース した。

Word 2000、Word 2002、Word 2003、Word Viewer 2003、Word 2004 for Mac、Word 2004 v. X for Mac、Works 2004、Works 2005、Works 2006

今までのところこの脆弱性に対する攻撃は限定されていて、我々は状況を監視している。面白いのは、この脆弱性が2006年の間に発見されたOffice脆 弱性の大部分であるMicrosoftの月例パッチリリース後に発見されたものではないと言うことである。Microsftが次の月例パッチ（12月12 日）にこの脆弱性を修正できることを望む。その間、我々はMicrosoftによって示唆された有用な回避策に従おう。あなたが信頼していないソースから 受け取ったWordのファイル、もしくは信頼されるソースからであっても予期せぬWordファイルであれば、開いたり保存したりしないようにしよう。
Microsoft Security Advisory(929433)

【最新更新】2006/12/10
12月12日（日本時間13日）の月例セキュリティパッチに、この脆弱性に関するパッチは含まれていません。

感染したバリューホスト サーバー
Kaspersky Lab Weblog (2006/12/01)

昨日、ユーザの一人がブラウザが奇妙な挙動をすることを我々に告げてきた。そのユーザは www.5755.ru（彼のWebブラウザは二つ目のWebページを開いた） に 注目していた。そして、そのユーザのアンチウィルスはトロイの木馬がダウンロードされることを彼に警告した。

Kasperskyの警告画面

彼はテレビコマーシャルを見た後このサイトを訪れた。彼は殆ど悪意ある攻撃の生贄になりかけていた。そのサイトのホームページは Trojan-Downloader.JS.Psyme.ct をダウンロードするスクリプトを含んでいた。このダウンローダーは次に Trojan-Downloader.Win32.Tiny.eo をダウンロードする。もちろん、サイト上に置かれたマルウェアは毎日変更される。しかし、幸いにも Kaspersky Anti-Virus 6.0 はこのユーザが感染させられることを防御した。

少し詳細にこれを調査した後、他の少なくとも470のサーバが同じハッカー攻撃を受けていたことが判明した。 我々はサイトに仕込まれていたスクリプトをGoogleして、この糸をたどることでこれを見つけた。

これらのサーバには共通していることがある、それらは全てロシア最大のホスティングプロバイダValuehostによってホストされている。このホスティ ングプロバイダはロシアWebサイトの60,000以上を提供している。もちろん、Valuehostアドミニストレータは問題の説明を受けている。

Warezovの0-Day攻撃
F-Secure Weblog : News from the Lab (2006/11/27)

我々は、この数時間、最新のスパムであるWarezovファミリーの活動で大変忙しい。
我々は以下の変種に関する検出を追加した。多分もっと多くあるでしょう、道半ばです。

W32/Warezov.HB
W32/Warezov.HC
W32/Warezov.HD
W32/Warezov.HE
W32/Warezov.HF
W32/Warezov.HG
W32/Warezov.HH
W32/Warezov.HI
W32/Warezov.HJ

新しいドメイン、RXFFを追加し更新した。

以下はF-Secureが公表しているWarezovの変種のダウンロードを企図しているドメインです。
2006/11/27 現在

oldartero.com
quijindeshkinmas.com
rasetikuinyunhderunsa.com
rxff.net
sadujadesion.com
seriondefunkasdeun.com
shionkertunhedanse.com
shionmkindefunjas.com
traferreg.com
tuihudenfhungdansein.com
vadesunjionderunhdae.com
vedasetionkderun.com
vertioksdefunhasdesi.com
vertionkdaseliplim.com
yolonkishishutionjdehunfa.com
yuhadefunjinsa.com

【注意】現在これらのドメインはオフラインです。このリストはSpamドメインを含んでいません。

土曜の朝の特番。
Kaspersky Lab Weblog (2006/11/25)

このようなメッセージは我々のICQスパムトラップの日常的光景になった。

WebサイトへのDDoS攻撃にかかる費用は、アメリカドルで100$から数千$（約一万円〜数十万円）の範囲と言えば、あなたは不思議に思うだろうか？
www.viruslist.com（Kasperskyのウィルス情報のサイト）への攻撃に関しては一日あたり3000$（約三十万円）である。明らか に、「DDoS攻撃複数サイト」パック（二箇所への攻撃を購入すると三箇所目は無料）と言う特別割引さえ存在する。彼らはWebサイトへのDDoS攻撃に 様々な方法（例えば、技術的な洪水や巨大なトラフィック）さえ提供している。これはトラフィックによってインターネットサービスプロバイダの幾つかを攻撃 するためである。数百ギガバイトの臨時のトラフィックはDDoS攻撃にかかる以上の費用を攻撃されたWebサイトのオーナーに要求する。

巨大なDDoS攻撃に直面した多くの会社は、単純に攻撃が終了するまでNetから彼らのWebサイトを削除する。そこに犠牲者がいれば、他の人は身代金を 支払う。最良の行動はISPとDDoS攻撃をブロックする専門の会社とが共同して仕事することである。どうか身代金を支払わないでください。身代金を支払 うことは悪い奴等が実行することを奨励するだけです。

あなたのシステム上で生じていることを、本当に知りたいか。
F-Secure Weblog : News from the Lab (2006/11/17)

Sysinternalsは以前の二つのユーティリティ、FilemonとRegmon、の機能を結合させ、さらに機能を付加した"Procmon"と名 付けられた素晴らしい新規なツールを利用可能にした。利用者は、その時々でシステム上に発生していることを詳細に監視するためにこのツールを使用できる。

Process Monitor はリアルタイムで実行されているファイルシステムを表示するWindows用の高度な監視ツールです。
詳細は以下を参照してください。英文。
http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx

SysinternalはMicrosoftに買収されたので、現在はMicrosoftのサイトからダウンロードが可能である。

【追加更新】
Procman使用中にシステムがクラッシュするという報告が出てきている。ここの論議を参照。我々は問題を持っていないが、あなたはあなたである。通 常問題ない。

アンチウィルスとVista。
Kaspersky Lab Weblog (2006/11/15)

私はJim AllchinがVistaとセキュリティについての彼のコメントで惹きつけた広告について考えている。
私は、彼がアンチウィルスは必要ないと発言しなかったことを再び強調する。彼はVistaがより安全なバリアを持っていると発言している。これは真実であ る。彼はまた彼の7歳になる息子の例を引いた。この子は限定されたインターネット環境でVistaを使用している。彼の息子が電子メールを使用していない 限り実際に安全である。

彼の例に従う、私は65歳になる母親のコンピュータとしてVistaがインストールされたコンピュータを購入するとしよう。彼女は非常に数少ないWeb ページとメッセージを送受信するための僅かなE-Mailアドレスを使用するだろう。これで私はぐっすり眠れるだろう・・・、ハッカーがVista互換の 脆弱性を発見し、リモートマシンを感染させるためにそれを使用するまでは。
しかし、私の15と18歳の息子はどうだろうか？　こいつ等はインターネット上で非常に活発に行動する。膨大な数のE-Mailを送信し、Webをブラウ ズし、サーチエンジンを使用し、ICQでチャットする。私はVistaが拡張セキュリティの方法でそれらをどれ程提供するつもりなのかハッキリしない。 あるジャーナリストは「Vistaのリリースが防弾になると考えるのは軽率だろう」と発言している。 マイクロソフトの防衛プログラムが如何に深く高度であろうとも、穴を探すウイルスライターとハッカーがいる。そして、彼らはそれらを見つけるだろう。この ことは我々が実に良く知っている脆弱性に対する攻撃とパッチの悪循環に我々を連れ帰るだろう。

PhishTank "SiteChecker"。
FishTank Sitechecker Weblog (2006/11/13)

この記事は和訳ではありません。適当にまとめたものです。Firefox2.0とIE7とのフィッシング機能の比較が喧しくなっています。Firefox はアンチフィッシング機能の確認にPhishTankのデータベースを使用しています。そのPhishTankがOPERA用のJavaScriptである "PhishTank SiteChecker"をリリースしています。これは、フィッシングサイトを検知し我々に警告してくれます。
現在のOPERAはアンチフィッシング機能を持っていません。v9.1でサポートする予定だそうです。
それまで（もしくは、もっと先まで）利用してみる価値がありそうです。
ダウンロードはコチラのページから。
http://phishtanksitechecker.com/?cat=5
下のリンクをクリックします。
このJavaScriptの機能の説明ビデオはコチラ
http://phishtanksitechecker.com/operagreasemonkey.htm
User JavaScript設定の方法はコチラを参照してください
http://f61.aaa.livedoor.jp/~busky/opera/info/use

なお、IE用のuser.jsとFirefox用の拡張もリリースされています。

ノートブックの上にウィルスがいる。
F-Secure Weblog : News from the Lab (2006/11/13)

スウェーデンの特筆すべき木製おもちゃメーカーBrioが 新しい製品を製造した。その名は『ウィルス』。
い たずら風景
イ ンストール画面
このウィルスは彼らの「Brio Network」コレクションの一部である。製品情報によれば、Brioのサイトはアクティブデスクトップにウィルスのダウンロード を用意している。
とっても素晴らしい。（以下略）

【備考】
写真はBrioの壁紙の実行風景とインストーラに置き換えてあります。このBrioの壁紙をダウンロードすると、Brioのウィルスがデスクトップに悪戯 書きをしたり、メモリ放り投げたりして楽しませてくれます。是非お試しください。

ウィンドウインジェクション（ウィンドウ詐称）脆弱性はどのように実行されるか。
Secunia "Security Watchdog" Blog (2006/10/30)

10月30日、SecuniaはIE7の脆弱性について述べた勧告を公開した。この脆弱性はIE6から継承されているものであり、2004年の時点以来あ らゆる上梓されている各ブラウザに実際に影響を与えたものである。
この脆弱性を利用することで、悪意あるサイトは任意のポップアップウィンドウの内容を変更することが可能である。攻撃方法を示したイラストを参照。

【イラスト内の文章の和訳】
[1]　悪意あるWebサイトがブラウザのウィンドウに開かれる。
[2]　信頼されるWebサイトがブラウザの別窓で開かれる。
[3]　信頼されるWebサイトがポップアップウィンドウを開いたとき、悪意あるWebサイトはこれをハイジャックする。信頼されるWebサイトによって 開かれたポップアップウィンドウは、悪意あるWebサイトからの情報を今、表示している。
[4]　ポップアップウィンドウが信頼されるWebサイトから開かれたなら、悪意あるWebサイトは、このウィンドウをハイジャックする。

2004年、Firefox, Netscape, Opera, Konqueror, OmniWeb, Safariのサポート組織は全て"ウィンドウ インジェクション(ウィンドウ詐称、とも訳される)"問題を脆弱性と確認し、続いてこの問題の修正を実行した。
他のブラウザに関してはSecuniaのアドバイザリ中で情報を取得するには、

Firefox - fixed after 2 months（Firefoxは2ヵ月後に修正）
　 Netscape - fixed after 6 months（Netscapeは6ヵ月後に修正）
　 Opera - fixed after 2 months（Operaは2ヵ月後に修正）
　 Konqueror - fixed within days（Konquerorは数日で修正）
　 Omniweb - fixed after 11 months（OmniWebは11ヵ月後に修正）
　 Safari - fixed after 1 month（Safariは1ヵ月後に修正）
　

IE6ユーザは彼ら自身を守るために「異なるドメイン間のサブフレームの移動」設定を変更しなければならなかった。
今日、IE7では、この設定はデフォルトで無効にされている。これは良い側面であるが、悪い側面として、これは仕事しない。
IE7においてその事実は少なくともセキュリティ・バグである。
Microsoftは、この問題はWebサイトとの潜在的相関性を絶つことができたので2004年以来これが脆弱性であると考えていなかったと彼らのブロ グに記述している。
2006年の今日、Microsoftは未だに脆弱性ではないと言っているにも拘らず、デフォルトで「異なるドメイン間のサブフレームの移動」の「」付き の相関性を無効化することによってIE７でユーザをこの問題から保護しようとしている事実がある。
この全てでMicrosoftを弁護するために、我々は新たに加えられた、常に可視であるアドレスバーがこの問題を軽減することに同意する。しかし、この シナリオを想像して欲しい。

*　あなたはオンラインバンクに入室する。
*　あなたは銀行のSSL証明書の信憑性を確認する。
*　次に、あなたがリンクをクリックしたときログインダイアログがポップアップされる。

あなた自身が信頼するオンラインバンクのこのリンクをクリックした後、あなたがブラウザの別窓で稼動させている悪意あるWebサイトが、そのポップアップ の内容を変更できるということを疑えるだろうか？？

多分疑わないでしょう。

喩えポップアップがIPアドレスや、いつもの my.webbank.com の代わりに my.webbank.com.cn を表示していようとも。
あなたは実際にURLを全部読みますか？　そして、違いを見つけますか？　「あぁ〜、誰かが今、私をフィッシングしている！」と考えますか？
あなたが偏執症であるなら、するかもしれません。大多数の人々はしません、そして簡単に騙されます。
この「」付きの相関性が要求されると、次に別窓とポップアップ間のこの危険な双方向通信を許可するためのこの設定は、サイト単位で、あるいは信頼されるサ イトのために容易に利用可能になる。
我々は、マイクロソフトがフィッシングと類似した詐欺攻撃から本当の保護を保障するため、彼らのブラウザのバグ、弱点、脆弱さに責任ある態度をとるべきで あると確信している。 - IE7が以前のバージョンより優秀であるとするMicrosoftの広告はこのことではないのだろうか？

Secuniaアドバイザリ中の情報の取得
Internet Explorer 7（IE7）
Internet Explorer 6 and earlier（IE6とそれ以前）
敬具

Thomas Kristensen
CTO