エフセキュアブログ

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



犯罪者がビジネスに侵入する6つの方法



ビジネスには敵がつきものです。敵はあなたのネットワークに侵入しようと狙っています。

営利目的のマルウェア作成者が、脅迫のための情報やファイルをベイクして侵入しようとしています。破壊行為はスクリプトキディにとってはゲームですから彼らも侵入しようとします。大企業であれば、スパイ活動のために顧客のデータを狙う犯罪者たちも侵入しようとします。

エフセキュアラボのシニアリサーチャ、ジャルノ・ネメラは最近のウェビナーで「たとえば法律事務所のクライアントは敵の関心を引くかもしれない」と言っています。そして、「敵の関心を引く」のは、法律事務所のクライアントだけではないのです。レンタカー、自動車リース、清掃、ケータリングを専門とする会社はすべて、敵にとって魅力的なターゲットとなる顧客を抱えていると指摘します。

攻撃を成功させるために、敵はまず、ターゲットに関する情報を収集しなければなりません。そして一番悪いのは、私たちが敵を招き入れているかもしれない点です。

敵が侵入してくるもっとも一般的な6つの方法を紹介します。

1. 電子メール

スパムは誰かを攻撃できればよく、影響も短時間ですが、スピアフィッシング攻撃はあなたを手に入れるためのものです。

Spam spear phishing business attacks

2. ハッキングされたウェブサイト

サバンナで姿を隠すライオンのように、いたずらであろうとなかろうと、最も悪質なハッカーたちはあなたがアクセスしそうなウェブサイトを感染させ、あなたが彼らの餌食になるのを待っています。

drive-by attacks business vulnerablities

3. SEOポイズニング
犯罪者は特定の検索語を対象にして、感染したサイトをGoogleのランキング上位に表示させようとします。

Hacker vulnerability business security

4. トラフィック感染
こうしたより高度な攻撃で、あなたのトラフィックは乗っ取られ、敵が管理するルーターに送られます。一度、中間者攻撃の被害者になってしまうと、あなたがアクセスするウェブサイトがあなたのせいで感染してしまうおそれがあります。

Man-in-the-middle, injection, attacks

5. ソーシャルエンジニアリング
敵は不足している技術的能力を、あなたをだます能力で埋め合わせているかもしれません。

Man-in-the-middle, injection, attacks

6. アフィリエイトマーケティング
単に被害者を一括で購入するだけの犯罪者や、時には諜報機関もあります。ジャルノはこのことを「デジタル奴隷売買」と呼んでいます。

malware as a service, affiliate attacks, business security

もちろん、ネットワークに侵入する方法はこれだけではありません。ジャルノは、たとえば外部ドライブによるオフライン攻撃がどのようにしてアクセスを提供できるのかも説明しています。しかし、上記の6つの方法は、あなたのネットワークに敵がもっとも侵入してきそうな経路です。敵の成功はあなたのミス次第なのですから、敵が何をたくらんでいるかあなたも考える必要があります。

では。

サンドラ

>>原文へのリンク

Twitterがあなたについて知っている5つのこと



デジタル・カンファレンス「Re:publica 2015」で、エフセキュアのセキュリティ研究所主席研究員のミッコ・ヒッポネンはメインステージの聴衆に、世界最高の科学者たちが現在、広告の配信に重点を置いているという話をして、「これは悲しいことだと思う」と述べています。





Twitterがユーザについてどの程度知っているのか聴衆に実感してもらうために、ミッコは、このマイクロブログサービスが広告主に提供している驚くべきターゲティングを指摘しました。Twitterのサイトを使っていると、下記の点に基づいたプロモツイートが表示されることがあります。

1. 朝食にどんなシリアルを食べているか。

2. 飲んでいるお酒。

3. 収入。

4. アレルギーがあるか。

5. 出産を控えているか。

しかも、これはまだ序の口です。最近購入したデバイスだけでなく、たとえば新居とか新車のようなあなたが買いたいと思っているものに基づいてもターゲティングされている可能性があるのです。Twitterにログインし、インターフェースの右上にあるアイコンをクリックして「Twitter Ads」を選択すると、提供されるターゲティング広告をすべて見ることができます。

あなたのツイートと、どのアカウントがフォローしているかだけを基にTwitterはこうしたことをすべて知ることができるのでしょうか。

そうではないとミッコは言います。「Twitterは、実際の店舗、クレジットカード会社、顧客クラブからこうした情報を購入しているのです。」

そうやってTwitterは、電話番号を基にあなたとこうした情報を結び付けています。そして、あなたは7,000ワードもの単語で書かれた利用規約を読んで記憶しているという理由で、このことに同意しているのです。誰もが利用規約を読むわけですから。

全面開示:エフセキュアは、Twitter上でプロモーションのためのツイートやデジタルフリーダムのメッセージ、広告トラッキングをブロックするFreedomeなどのツールを宣伝することがあります。効果的な手段ですが、この皮肉な側面は興味深いと思います。

インターネット上に「自由」というものが存在しないことを明確にするのもエフセキュアのミッションのひとつです。代価を払っていなければあなたが商品なのです。Aral Balkan氏はソーシャルネットワークをたとえて、できるだけたくさん人の話を聞いて聞いた内容を顧客に売って生活する「気味の悪いおじさん」だと言っています。

その上、世界トップクラスの頭脳が、あなたが何に注目しているかを収益化することに専念しているのですから、広告主があなたを意識するのと同じくらいあなたも広告主を意識すべきだと私たちは考えます。世界トップのウェブサイトのほとんどは、あなたが直接アクセスすることのないトラッカーたちです。エフセキュアの新サービスPrivacy Checkerを試して、あなたがクリックするたびに広告主があなたについて何を知るのか実感してみてください。

では。

ジェイソン

>>原文へのリンク

スパムメール型のランサムウェアがイタリアとスペインのユーザを標的に

 ここ数日の間、当社はイタリアとスペインの顧客から、いくつかの事例を受け取った。CryptowallCryptolockerといったランサムウェアへと導く、悪意のあるスパムメールに関するものだ。

 このスパムメールは、配送待ちの小包について宅配サービスや郵送サービスから連絡が来たように見せかけている。メールにはオンラインでその小包を追跡するためのリンクが提示されている。

crypt_email (104k image)

 当社の標準のテストシステムでメールの初期調査を行ったところ、このリンクはGoogleにリダイレクトされた。

crypt_email_redirect_italy (187k image)

 では、悪意のある振る舞いはしなかったということだろうか?うーん、我々は最初の2つのURLはPHPだという点が気になった。PHPのコードは、クライアントサイドでローカルに実行されるわけではなく、サーバサイドで実行される。そのため、事前に設定した条件に基づいてユーザをGoogleにリダイレクトするか、あるいは悪意のあるコンテンツを提供するのかをサーバが「決定」できるのだ。

 この特定のスパムメールはイタリア語で書かれている。もしや、イタリアを拠点とする顧客のみが、悪意のあるペイロードを目撃することができるのだろうか?幸運にも我々にはFreedomeがある。実験するために少しの間だけイタリアへ旅行できるのだ。

 そこでFreedomeを起動し、ロケーションをミランに設定して、メール上のリンクを再度クリックした。

crypt_email_mal_italy (302k image)

 このときは、嫌なものを見た。もしユーザがイタリアにいる(ように見える)場合、サーバはクラウドのストレージサーバ上に置かれた悪意のあるファイルへリダイレクトするのだ。

 スペインのユーザに送付されたスパムメールも同様だが、こちらの場合はサイトがより本物っぽく見えるようにCAPTCHAを試すようになっている。スペイン国外にいるユーザがメール内のリンクをクリックした場合、こちらもGoogleに行きつく。

crypt_email_redirect_spain (74k image)

 逆にスペインのIPアドレスからサイトに訪れた場合には、CAPTCHA画面が表示される。

crypt_email_target_spain (57k image)

 そして続いてマルウェアそのものだ。

crypt_email_mal_spain (313k image)

 このスパムキャンペーンでは(今までのところ)エクスプロイトは使っておらず、古風なソーシャルエンジニアリング手法だけを用いている。感染が起きるのは、悪意あるURLで提示されたファイルをユーザが手動でダウンロード、実行したときだけだ。当社の顧客については、URLはブロックされ、ファイルは検知される。

 (今回のマルウェアのSHA1:483be8273333c83d904bfa30165ef396fde99bf2、295042c167b278733b10b8f7ba1cb939bff3cb38)

 Post by — Victor

エフセキュア、デジタルフットプリントを明らかにする無料ツールを提供開始




エフセキュアの新しいPrivacy Checkerは、オンライントラッカーが人々のプライバシーに立ち入るために利用しているデジタルフットプリントを明らかにします。この無料オンラインツールはウェブブラウザに保存されたデータをチェックして、オンライントラッカーがウェブサーフィンしている人々を監視するために使用している情報を明らかにします。また、FreedomeなどのVPNを使用することが、トラッキング技術とオンラインプライバシー侵害を阻止するため役立つことを強調します。

Privacy Checkerは、エフセキュアの新しいDigital Privacy (http://privacy.f-secure.com/)サイトで提供されており、無料で使用できます。ウェブサイトを訪問して、ボタンをクリックするだけで完了します。Privacy Checkerは、ユーザがウェブサーフィンしている間にブラウザが保存している基本的なデータをチェックして、オンライントラッカーがそのデータから得ることができる情報を明らかにするレポートを生成します。Privacy Checkerは、ユーザの現在地、ユーザがチェックの実行に使っているデバイスとオペレーティングシステム、リンク元のウェブサイトだけでなく、ウェブサイトがオンラインユーザの追跡に使用するCookieを許可するブラウザ設定になっているかどうかを判断できます。

「調査によると、ほとんどの人が自分のオンラインプライバシーを心配していること、そして、オンラインプライバシー対策をどうしたらいいか分かっていないことが明らかになっています」と、エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは述べます。「その人たちはオンライントラッカーが何をするのか、どのような種類の情報を収集するのか、企業がその情報を使って何をするのかを知りません。Privacy Checkerは、秘密のベールに隠されているものを明らかにし、オンライントラッキングの仕組みを解き明かすことで、ユーザが自分を守る方法と、なぜそうすべきなのかを理解できるようにします。」

Global Web Indexによる新しい報告書は、ほとんどの人が入手可能なプライバシー保護対策を活用していないことを裏付けているようです。この報告書によると、ウェブに接続するときにVPNを使用しているのは26%に過ぎません*。FreedomeのようなシンプルなVPNソリューションが手軽に入手できることを考えると驚くほど低い割合です。

コンティネンによると、Privacy Checkerはトラッキングプロセスを阻止する方法、保護できる情報の種類に関する情報をユーザに与えることによって、Freedomeを使用することの大切さを知ってもらう目的で設計されています。Privacy Checkerは、エフセキュアの新しいデジタルプライバシーサイトDigital Privacyの一部です。このサイトは、オンラインプライバシー問題と、デジタルフリーダムのための闘いについての情報を提供する専用のウェブサイトです。Privacy Checkerは無料で使用できるツールで、現在公開中です。

*出典: https://app.globalwebindex.net/products/report/the-missing-billion

詳細情報:
F-Secure Freedome https://www.f-secure.com/ja_JP/web/home_jp/freedome
Digital Privacy Website http://privacy.f-secure.com/

Macをハッキングするデモ

 SSHのパスワードを強固にすることは非常に重要だ。さもないと、少女にRaspberry Piでやられてしまうかもしれない。

Kids hack their Dad's computer on her Raspberry Pi

 心配はいらない。この少女は母親に許可を得ている。母親公認のハッキングだ。

プライバシーに関する議論を変えるかもしれない質問



正しい質問をすることがいかに大切か。当社のセキュリティ・アドバイザーであるショーン・サリバンは、質問の仕方は、あなたの主張を後押しすることも損なうこともできる、大変重要なものだと考えています。

政府による監視企業によるインターネット上のトラッキングの問題について議論する際、おそらくほとんどの人が、「隠すことなど何もない」と問題を片づけてしまう人に出会ったことがあるでしょう。

実際これは非常によくある意見です。エフセキュアの最近の調査では、「あなたには何か隠すべきことがありますか?」という質問に対し、英国の回答者の83%が「ない」と回答しました。

ショーンは、当社の最新の脅威レポートで次のように述べています。「これは、『あなたは不誠実な人間ですか』と質問しているようなものです。感情的な質問であり、回答者は当然自衛的な反応をします。83%もの人が『ない』と回答したのはごく自然なことだと私には思えます」。

ショーンはこの議論を組み立てなおすための別の質問を示しました。「あなたは自分の生活に関する全てを、誰とでも、どこでも、いつでも、そして永遠に共有したいですか?」というものです。

ご自身のグーグル検索履歴について考えてみてください。冗談抜きに、履歴を見てみてください。履歴を見る(そして削除する)方法はこちらです。

「そして、私の予想が正しいと証明されました。89%の回答者が、自分を見せびらかしたくはない、と回答したのです」とショーンは述べています。

ショーンの指摘によれば、どちらの質問も、核となっているのは「プライバシーは重要だと思いますか?」という問いです。それを、一方は非難めいた問い方、もう一方は説明的な問い方で質問しています。

ショーンは、全ての人は過去に忘れたい事柄があり、正しく質問されることで、瞬時にそれを思い出すのだと言います。

スノーデン氏による暴露が始まって以来、米国政府が大幅に政策を変更していることを考えると、プライバシーに関して悲観的になるのも当然です。しかしそれも、大規模サーベイランスを合法化しはじめた法律が超党的な取り組みにより改正されることで、近いうちに変わるかもしれません。

NSAによる大量の情報収集を規制しようとするこの試みは不完全なものですが、これまでのやり方、つまり、脅威なき世界を実現するという達成不可能な目標に向けて努力するよりもデジタルフリーダムの抑制に注力してきたやり方を大きく変えるうえで、ほんのスタートに過ぎないとしても、希望的なスタートであるといえます。

我々が正しい問いかけを始めているということかもしれません。

>>原文へのリンク

バックナンバー

セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード