9月25日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。トレンドマイクロのセキュリティブログに、今年(2017年)の6月に逮捕された中学生が作ったとされる通称「野獣先輩」ウイルスが解説されている。iOSをターゲットにしており、これに感染すると、Macがない環境で削除は困難。脱獄アプリなどからも感染する。くれぐれも気を付けたい。

iOS端末のホーム画面に大量の顔アイコンを生成するマルウェア

上記の「野獣先輩」ウイルスだが、トレンドマイクロのセキュリティブログでは、iOS用の不正プロファイル「YJSNPI」(ヤジュウセンパイウイルス)、またはマルウェア「iXintpwn」と呼んでいる。このウイルスは、別のランサムウェア作成容疑で逮捕された中学3年生が開発・拡散したとされる。

YJSNPIに感染すると、iOS端末のホーム画面上に、「野獣先輩」と呼ばれる人物の画像が大量に作成される。このアイコンは削除が難しく、タップすると同じ画像を表示するWebサイトが開いてしまい、iPhoneの動作にも支障をきたす。ウイルスの実体はアプリではなく、実行するとiOSの各種設定を自動的に行うプロファイル。この仕組みを悪用したものと思われる。

削除するには、MacでApple公式iOS構成管理アプリケーション「Apple Configurator 2」を起動し、「アクション(Actions)」メニューから「不正なプロファイルを削除する」を実行する。Apple Configurator 2にWindows版はないので、Mac環境を用意できない場合は、感染したiOS端末を初期化することになる。

ヌード写真をよこせ!!

kカスペルスキーのブログによると、9月27日現在、新種のランサムウェアが確認されている。この「nRansom」はWindowsをターゲットにしており、感染したPCをロック。ロック解除にヌード写真を要求する。ランサムウェアでは、ロック解除に金銭を要求するのが一般的なので、新手ともいえる。

もちろん、本当にヌード写真を送ってロックが解除される保証はなく、むしろそれを元にして新たに金銭を要求される可能性が高い。

ランサムウェアというと、ローカルストレージを勝手に暗号化し、暗号化を解除するために金銭を要求するものが多いのだが、nRansomはデータの暗号化はしない「画面ロック型」と呼ばれるもの。感染してしまった場合の対処法は、Ctrl+Alt+Shift+F4を同時押しすることでロックを解除できる。その後システムの完全スキャンを実行し、除去すれば良い。

佐川急便を装った迷惑メール

佐川急便を装った迷惑メールが増えおり、9月28日に、佐川急便が注意を促す告知を公開している。

メールに記載されているURLにアクセスしたり、添付ファイルを開いたりすると、フィッシング被害やマルウェア感染被害などに見舞われる恐れがある。メールの文面には、「詳しくはこちら」や「佐川急便 荷物のお問い合わせはこちらから」など、不審なリンク先が記載されているので決してクリックしないこと。

佐川急便では、迷惑メールであるか分からない場合は、佐川急便Webサイト内「ご意見・お問い合わせ」まで問い合わせることを推奨している。

WindowsアプリケーションによるDLL読み込みの脆弱性

9月28日現在、WindowsアプリケーションのインストーラにおけるDLL読み込みの脆弱性が多数報告されている。これは、Windowsアプリケーション実行時に、アプリケーションと同じフォルダーに置かれている同名のDLLファイルが優先される問題に起因している。

この問題は、インストーラ作成ソフトウェアを使って作成されたインストーラや、圧縮解凍ツールで作成された自己解凍書庫ファイルなど、一般ユーザ権限で操作できる場所からアプリケーション起動するツールに多く見られる。このような場合、DLLを読み込む時に脆弱性を悪用される可能性がある。

対策方法は、インストーラや自己解凍書庫ファイルなどを実行する場合は、不審なファイルが存在しないことをチェックすること。また、ダウンロードフォルダーとインストールするフォルダーを分けるのも効果的。大量のファイルが混在してる場所でのインストールは避けたほうが良い。もちろん対策済みのインストーラなどがあればそれらを優先的に使うべきだ。

Apple製品のアップデート

Appleは9月26日、各製品向けのアップデートを公開。

対象となるのは、iOS 11以前、Safari 11以前、tvOS 11以前、watchOS 4以前、Xcode 9以前、iTunes 12.7以前、iTunes 12.7 for Windows以前、macOS Server 5.4以前、iCloud for Windows 7.0以前、macOS High Sierra 10.13以前。

これらのアップデートを適用することで、任意のスクリプトの実行や、任意のコード実行、情報漏えいなどを防止できるとしており、最新版へのアップデートを推奨している。

OMC Plusを騙るフィッシングメール

9月25日から、クレジットカードサービス「OMC Plus」を騙るフィッシングメールが確認されている。メールの件名は、【重要：必ずお読みください】、OMC Plus ご登録確認 [日時]、など。

メールに記載されているURLをクリックすると、OMC Plusの正規画面を偽装したWebサイトへ誘導される。そこでは、カード番号、有効期限、ID、パスワードを不正に取得しようとする。今の世の中、金融系のメールは常に疑ってかかるべきだ。