世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。
後を絶たない「Facebook」に対するマルウエア攻撃。その一つについて、米マイクロソフトが新たな事実を報告している。
マイクロソフトが検出したマルウエアの中核コンポーネント「Trojan:Java/Boonana」はJavaで記述されており、WindowsとMac OS X、Linuxに感染するマルチプラットフォーム機能を備えていた(It's NOT Koobface! New multi-platform infector)。
Trojan:Java/Boonanaは、ビデオへのリンクを介してFacebookユーザーを誘う。このリンクをクリックしたユーザーは、「JPhotoAlbum」というアプリケーションの実行を求められる。これの実体はJavaクラスを含むJAR形式のアーカイブファイル「JPhotoAlbum.jar」(SHA-1ハッシュ値は「159e6bc0616dec2062c92a7dd918c8179b2de640」)であり、OSやWebブラウザーの種類に関係なく動き出し、以下のようなペイロードをダウンロードして実行する。
- OSXDriverUpdates.tar:Mac OS X用コンポーネント「Trojan:MacOS_X/Boonana」
- ofex.exe:キーロガーコンポーネント「TrojanSpy:Win32/Boonana.A」
- pax_wintl:Javaのオープンソース版ネットワーク処理クラス
- rawpct.jar:IRCユーザーに感染を広げるためのIRC用プラグインクラス
- rvwop.jar:Facebookで感染を広げるためのJavaクラス「Worm:Java/Boonana.A」
- siv.exe:ダウンローダーコンポーネント「TrojanDownloader:Win32/Boonana.A」
このマルウエアはMac OS X攻撃用のファイルを用意しており、攻撃者は同OSのコンポーネントを改変することでroot権限を得ようとする。
個人情報の漏えいに伴うフィッシング攻撃
ロシアのカスペルスキーラボによると、ブラジルのインターネットユーザーを狙ったフィッシング攻撃が横行している(Data Leaks and Phishing:an explosive combination)。この攻撃で特筆すべき点は、ある大手銀行をかたって送られてくるメッセージにユーザーの氏名と納税者番号(CPF)が記載されていることだ。
ブラジルのCPFは個人を特定できる極めて重要な情報であり、銀行口座の開設や運転免許証の取得/更新、不動産の売買、ローンの契約、就職、パスポートの取得、クレジットカードの発行など様々な場面で必要とされる。CPFが犯罪者に知られると、身元詐称や他人名義の口座開設などができてしまう。
この情報がフィッシングに使われたということは、どこかでデータ漏えいがあったに違いない。ブラジルのメディアは、国税庁システムの全データが入ったCDが不正販売されていると指摘した。このCDには、CPFを含む重要な情報が記録されている。少し探すだけで、CPF入りCDをたった190ドルで売る人が見付かるのだという。
こうした詐欺の被害に遭わないようにするには、メールに自分の個人情報が記載されていても用心するほうがよい。
グーグル、Webサイトのセキュリティホール発見者に賞金を贈呈
最後に、米グーグルのちょっと変わった取り組みを紹介する。
グーグルは2010年11月1日(米国時間)、同社のWebサイトのセキュリティを向上させるために試験的な取り組みを開始した。「google.com」や「youtube.com」のセキュリティホールを発見した人に賞金を出すという(Rewarding web application security research/関連記事:「Google」や「YouTube」のバグ発見者に賞金、最高で3133.7ドル)。グーグルは2010年1月よりWebブラウザー「Chrome」を開発するオープンソースプロジェクト「Chromium」でも同様の賞金プログラムを運営し、成果を上げたとしている。
今回の賞金プログラムの対象Webサイトは、google.comとyoutube.comのほか「blogger.com」「orkut.com」など。基本的には、第一発見者に500ドルを支払う。それが危険性が高いバグや、見付けにくいバグだった場合は最高3133.7ドルまで出す。現時点で「Android」「Picasa」「Google Desktop」といったクライアントアプリケーションのセキュリティホールは対象外だが、いずれ賞金の対象にしたい考えである。
グーグルは「機密情報やユーザーのデータが直接影響を受ける危険なバグ」をセキュリティホールと見なしており、例としてクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(XSRF/CSRF)、クロスサイトスクリプト挿入(XSSI)、認証機構の無効化、サーバーサイドのコード実行やコマンド挿入といった問題を挙げた。外部からの攻撃などはバグでないため対象としない。
セキュリティホールを見付けた場合の報告方法については、Webサイトの案内を参照されたい。