FortiGuardグローバルセキュリティリサーチチームは、SMSメッセージやインターネットアクセスを利用して増殖するという画期的な戦略を採用した、新たな携帯電話を狙ったワームについて調べました。
SymbOS/Yxes.A!ワーム(別名「Sexy View」)といわれるこの新しいワームは、SymbianOS S60サード エディションを稼働する携帯端末(Nokia 3250など)を標的にしていますが、SymbianOS S60サード エディションFP 1を稼働する携帯電話(例:Nokia N73)にも感染することが報告されているため、幅広い携帯端末を攻撃するものとみられます。このワームには、Symbianが署名した正当な証明書が含まれており、S60サード エディションを稼働する工場出荷時設定の携帯端末に正当なアプリケーションとしてインストールされてしまいます。
このワームは、感染した携帯端末のファイルシステムから電話番号を収集し、その番号に何度もSMSメッセージを送付しようとします。このメッセージには、悪意あるWebアドレス(URL)が仕込まれています。受領したメッセージに表示されたアドレスを「クリック」すると、ワームのコピーがダウンロードされます(その携帯端末/加入条件がインターネット閲覧可能なものである場合)。
このワームの目的は、このような戦略を使って、できるだけ多数のユーザーを感染させることではありません。感染した被害者に関する情報(携帯電話のシリアル番号、加入者番号など)を収集し、サイバー犯罪者たちがコントロールしているとおぼしきリモートサーバに送ることなのです。現時点では、こうした情報を使って犯罪者たちが何を企てているのかは、分かりません。
この戦略は、Webサーバにホストされたワームのコピーに依存しているため、ワームが簡単に突然変異を起こす可能性があることに留意すべきです。フォーティネットのThreat Research Teamのシニアマネージャー、ギョーム ラベットは次のように語ります。「当社が分析した限りでは、このワームは現在、接触先のリモートサーバから命令を受けていません。しかし悪意あるサーバにホスティングされたコピーはサイバー犯罪者にコントロールされているため、犯罪者たちはいつでも好きな時にコピーを更新する可能性があり、そうなるとワームを突然変異させて機能を追加または削除することもありえます。まさに携帯電話のボットネットが出現するかどうかの瀬戸際なのです」
携帯電話ワームのYxesは現在、実環境で広まっています。携帯電話ユーザーは脅威からの保護を行うため、フォーティネットのFortiClient Mobileなどの有効なセキュリティ・ソリューションを導入することが推奨されます。受信したメッセージ(SMS/MMS)の添付ファイルを開いたり、メッセージに示されたURLをたどったりする際には、常に注意を払うべきです。もしも感染した場合には、契約先のサービスプロバイダに連絡してください。
更新情報
私たちが調査した結果、このワームがノキア3250の携帯電話上で動くことが確認されていますが、これ以外の携帯電話でも動作しそうです。一度インストールされてしまうと、プログラムアイコンあるいは関連情報ではなく、システムメニューに載ってしまいます。起動時に、ワームが「EconServer.exe」プロセスとして実行されます。これは、現存する合法的なシステムプロセス「EconsServer.exe」のシステムプロセスのそばに、恐らく、カモフラージュすることを意図されて作られています。このワームは、いつでも自動的にデバイスに再起動や電源の入れなおしをさせます。その上、これは、有害な(破壊的な)性質を持っていて、アプリケーションマネージャー(AppMgr)のような特定のプロセスを中止するでしょう。次は、破壊対象のリストです; AppMgr、TaskSpy、Y-Tasks、ActiveFile、TaskMan
フォーティネットのFortiGuardグローバルセキュリティリサーチチームは、SymbOS/Yxes.Aの新種、つまりB、CそしてDからユーザーを保護します。フォーティネットのFortiClient Mobileの利用者は、これらの亜種からも保護されるでしょう。
対応策
●Yvxesから保護するフォーティネットのFortiGuardアンチウイルス定義は、2009年2月8日より配布されています。
●フォーティネットのFortiGuardグローバルセキュリティリサーチチームは、携帯電話の脅威に対するさらなる防御を提供するため、通信事業者と協力しています。
●SymbianのSDNにはすでに通知しています。
●ワームのコピーをホスティングしているドメイン登録機関には通知済みです。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
SymbOS/Yxes.A!ワーム(別名「Sexy View」)といわれるこの新しいワームは、SymbianOS S60サード エディションを稼働する携帯端末(Nokia 3250など)を標的にしていますが、SymbianOS S60サード エディションFP 1を稼働する携帯電話(例:Nokia N73)にも感染することが報告されているため、幅広い携帯端末を攻撃するものとみられます。このワームには、Symbianが署名した正当な証明書が含まれており、S60サード エディションを稼働する工場出荷時設定の携帯端末に正当なアプリケーションとしてインストールされてしまいます。
このワームは、感染した携帯端末のファイルシステムから電話番号を収集し、その番号に何度もSMSメッセージを送付しようとします。このメッセージには、悪意あるWebアドレス(URL)が仕込まれています。受領したメッセージに表示されたアドレスを「クリック」すると、ワームのコピーがダウンロードされます(その携帯端末/加入条件がインターネット閲覧可能なものである場合)。
このワームの目的は、このような戦略を使って、できるだけ多数のユーザーを感染させることではありません。感染した被害者に関する情報(携帯電話のシリアル番号、加入者番号など)を収集し、サイバー犯罪者たちがコントロールしているとおぼしきリモートサーバに送ることなのです。現時点では、こうした情報を使って犯罪者たちが何を企てているのかは、分かりません。
この戦略は、Webサーバにホストされたワームのコピーに依存しているため、ワームが簡単に突然変異を起こす可能性があることに留意すべきです。フォーティネットのThreat Research Teamのシニアマネージャー、ギョーム ラベットは次のように語ります。「当社が分析した限りでは、このワームは現在、接触先のリモートサーバから命令を受けていません。しかし悪意あるサーバにホスティングされたコピーはサイバー犯罪者にコントロールされているため、犯罪者たちはいつでも好きな時にコピーを更新する可能性があり、そうなるとワームを突然変異させて機能を追加または削除することもありえます。まさに携帯電話のボットネットが出現するかどうかの瀬戸際なのです」
携帯電話ワームのYxesは現在、実環境で広まっています。携帯電話ユーザーは脅威からの保護を行うため、フォーティネットのFortiClient Mobileなどの有効なセキュリティ・ソリューションを導入することが推奨されます。受信したメッセージ(SMS/MMS)の添付ファイルを開いたり、メッセージに示されたURLをたどったりする際には、常に注意を払うべきです。もしも感染した場合には、契約先のサービスプロバイダに連絡してください。
更新情報
私たちが調査した結果、このワームがノキア3250の携帯電話上で動くことが確認されていますが、これ以外の携帯電話でも動作しそうです。一度インストールされてしまうと、プログラムアイコンあるいは関連情報ではなく、システムメニューに載ってしまいます。起動時に、ワームが「EconServer.exe」プロセスとして実行されます。これは、現存する合法的なシステムプロセス「EconsServer.exe」のシステムプロセスのそばに、恐らく、カモフラージュすることを意図されて作られています。このワームは、いつでも自動的にデバイスに再起動や電源の入れなおしをさせます。その上、これは、有害な(破壊的な)性質を持っていて、アプリケーションマネージャー(AppMgr)のような特定のプロセスを中止するでしょう。次は、破壊対象のリストです; AppMgr、TaskSpy、Y-Tasks、ActiveFile、TaskMan
フォーティネットのFortiGuardグローバルセキュリティリサーチチームは、SymbOS/Yxes.Aの新種、つまりB、CそしてDからユーザーを保護します。フォーティネットのFortiClient Mobileの利用者は、これらの亜種からも保護されるでしょう。
対応策
●Yvxesから保護するフォーティネットのFortiGuardアンチウイルス定義は、2009年2月8日より配布されています。
●フォーティネットのFortiGuardグローバルセキュリティリサーチチームは、携帯電話の脅威に対するさらなる防御を提供するため、通信事業者と協力しています。
●SymbianのSDNにはすでに通知しています。
●ワームのコピーをホスティングしているドメイン登録機関には通知済みです。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
用語解説
フォーティネット会社概要 (リンク »)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。
フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
