【詳細情報】グリーティングカードが検知を回避するため変更される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

【詳細情報】グリーティングカードが検知を回避するため変更される

国際 海外情報

◆概要:
 実環境に広まっている新しいeカードの電子メールは、友人からのeカードを表示するようユーザーに促す。エンドユーザー使用許諾書(EULA)には、このeカードはワームのような活動をすると明示されていたが、複数の組織が陰険な悪意のあるプログラムとして報告した後、オリジナルはインターネット上で非公開になっていた。コードに関連づけられていた元々のURLは現在では復活されている。また、初期の報告では、シマンテック社のNorton AntiVirusソフトウェアで検知されないよう、悪意のあるプログラムが変更されていると指摘されている。

 FriendGreetings.comがこの製品をホストしている。一部では、このカードは大量メール送信型ワームだと考えられており、使用許諾書にユーザーのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行すると記載されている通り、実際にActiveXコントロールが組み込まれている。

 ActiveXコントロールが送信する電子メールの特徴の一例は以下の通り。

Subject: recipient name you have an E-Card from sender name.
Message: Greetings!

sender name has sent you an E-Card - a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.

http://www.friendgreetings.com/ pickup/pickup.aspx?code=AL&id=2410021 Message:
──────────────────────────────
Recipient Name,
I sent you a greeting card. Please pick it up.
──────────────────────────────

 サイトにアクセスすると、署名済みのActiveXコントロールが起動し、FriendGreetingsという名前のコントロールを実行する。ユーザーがActiveXコントロールを許可している場合、セットアップルーチンを実行する。ルーチンの実行中、同製品は、以下の選択されたテキストを含む複数の長たらしい画面を表示する。

InstallShield Wizard
2. Consent to Receive Ads and Use of Information. By downloading, installing or using PerMedia, you agree to receive advertisements from Permissioned Media's business partners and associates. The ads will be interstitials ("pop-up and pop-under ads"), e-mail messages and in other formats. As more fully described in Permissioned Media's Privacy Statement, when you download, install or use PerMedia, Permissioned Media gathers personally identifiable information about you (such as your name and e-mail address). This information is used to select and deliver installation files for optional new PerMedia and/or third party software applications and to deliver advertisements in interstitals, e-mail and other formats to you.

 上記のテキストには、PerMediaによるポップアップ広告の実行、電子メールの送信、その他のメディアの転送の実行の許可が記載されている。


◆情報ソース:
・iDEFENSE Intelligence Operations, Oct. 24, 2002
・AVIEN ( http://www.avien.org/ ), Oct. 28, 2002

◆キーワード:
 Hoax: Other Worm: E mail
 Worm: Other Incident: Other

◆分析:
 (iDEFENSE米国)ユーザーに動作を通知しているため、当該製品はワームではないが、技術的には宣伝にワームと同じ技法を使用している。この技法はいくらよく見ても怪しげである。当該製品には、ユーザーに動作を通知する署名済みのActiveXコントロールが組み込まれているが、長たらしい使用許諾書を読む人はほとんどいないと思われる。

 その結果、多くの人々が、アドレス帳に記載されているユーザーが同サービスを宣伝する電子メールを受信することになると気づかずに、ActiveXコントロールを実行する可能性が高い。また、ActiveXコントロールが様々なユーティリティ、スパイウェアをインストールする可能性もある。

 ActiveXコントロールの実行の危険性と、平均的なユーザーには機能全体が特定しづらいこの新たな脅威について、ユーザーに警告する必要がある。また、このような内容を含む電子メールをブロックし、企業ネットワーク上でActiveXコントロールの無許可の実行を防ぐ強力なポリシーを施行すべきである。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【19:50 GMT、10、30、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  2. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×