MacをターゲットにしたFlashbackマルウェアの亜種が拡散中

Macを攻撃するトロイの木馬、Flashbackがニュースになっています。今年4月4日頃には、50万件を超える感染が報告されました。さらに最近では新しい亜種が拡散中であることがわかりました。マルウェアによる攻撃が成功すれば、そのコピーや亜種が複数発生するのは当然のことです。

Flashbackはウイルスと異なるトロイの木馬であるため、自己複製しません。多くの場合、有益なファイルと見せかけたり、ユーザーが入手するよう誘導したりして、手動で実行させて繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用してユーザーを騙し、手動で未知のプログラムを実行させることです。メール、悪質なWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。現時点では、CVE-2012-0507の脆弱性に関連する脆弱なJavaプラグインをターゲットにしていました。ユーザーが乗っ取ったページにアクセスすると、iframeタグを使って、ユーザーを別の悪質なページにリダイレクトし、悪質なJavaアプレットにより、実際のエクスプロイトが動作します。

OSX/Flashfake(正式な検出名)はCVE-2012-0507を利用する悪質なJavaアプレットによってドロップ(作成)され、実行されると、ユーザーに管理者パスワードの入力を求めます。ユーザーがパスワードを入力してもしなくても、Flashbackはシステムに感染しようとします。パスワードを入力すると、感染方法が変わるだけです。

Flashbackはcomadobefp.pkgという名前のPKGファイルとして届き、Flash Playerのインストーラーを装っています。

ユーザーに管理者権限で実行するよう求めます。

インストールに成功すると、リモートサイトにアクセスし、必要な構成ファイルをダウンロードしようとします。

また、Flashbackには、ファイアウォールがターゲットシステムにインストールされているかどうか確認するという特性があり、ファイアウォールが見つかると、アンインストールします。(Flashbackの中には、シンクホールを利用して配布されるものもあります。)

感染したユーザーは気付かないうちにfake-AVの亜種をダウンロードします。これを回避するには、最新のシステムで最新のセキュリティソフトウェアを実行し、ブラウザプラグインを使ってスクリプトやiframeが実行されないようにし、不審なWebサイトへのアクセスを防ぐセーフブラウジング機能を使用してください。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速