マルウェアにリンクされたFacebookアプリケーションに注意

McAfee Labsは先日、悪質なJavaアプレットがFacebookアプリケーションからリンクされていたことを確認しました。

この脅威は、ユーザーがプロフィールにFacebookアプリケーションをインストールしているかどうかに関わらず、ユーザーをその被害に巻き込みます。東欧の言語で表示される特定のFacebookアプリケーションを閲覧すると、「Sun Java MicroSystems」によって公開された、「Sun_Microsystems_Java_Security_Update_6」と称する、署名済みのJavaアプレットをホストしている悪質なサイトに接続されます。

これらの動作のうち疑わしいと思えるものは、信頼できるソースによってデジタル署名が検証されていない、ということだけです。また、アプレットの実行許可を求める警告メッセージも表示されるため、見破るのは非常に困難です。

このようなソーシャルエンジニアリングによる手法は、署名を検証できなかった場合に発行元になりすますことが容易なため、悪質なサイトで一般化しつつあります。警告メッセージには、アプレットを実行できるようにすることによるリスクについては書かれていません。ユーザーが「More Information(詳細情報)」をクリックした場合のみ、「Javaによる通常のセキュリティ制限」が適用されないことを説明する細則を読むことができます。

Javaには、EXEファイルをダウンロードして実行するなど、通常Webブラウザ内で実行されるJavaアプレットが、仮想マシン外でコードを実行しないようにするセキュリティが組み込まれています。

この場合、ユーザーがRun(実行)をクリックすると、Javaアプレットにより、Webサイトでパラメーターとして受け渡されたURLから、任意の実行ファイルがダウンロードされます。実行ファイルはローカルユーザーのプロファイルフォルダーに「NortonAV.exe」という名前で保存され、実行されます。Windowsで実行された場合、ファイルは「C:\Documents and Settings\[ユーザー名]」(Windows XP/2000の場合)、「C:\Users\[ユーザー名]」(Windows Vista/7の場合)に保存されます。

ダウンロードされたトロイの木馬は、ユーザーのPCに格納されているパスワードを盗み出すパスワードスティーラーです。パスワードのログは、暗号化されたSMTP/TLS接続により、gmail.comのメールアカウントに送信されます。

このアプレットとトロイの木馬をホストしていたWebサイトは、Global Threat IntelligenceのWeb評価で「危険度高」に、既にランク付けされています。アプレットとダウンロードされるトロイの木馬は現在、それぞれGeneric PWS.tk!dldr、Generic PWS.tkという名前で検出されています。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。