BBC Newsの13分間のレポートは一見の価値がある。
LulzSec hacker: 'Internet is a world devoid of empathy'
(LulzSecのハッカー「インターネットは共感が欠けている世界だ」)
LulzSec hacker: 'Internet is a world devoid of empathy'
(LulzSecのハッカー「インターネットは共感が欠けている世界だ」)
2013年05月16日22:32
ハッカーグループ達のロックバンドLulzSecのメンバー6人のうち3名に対し、本日ロンドンにて判決が下された。
2011年5〜6月の「50 days of Lulz」の期間中、LulzSecはFOX、PBS(米国公共放送サービス)、ソニー、任天堂、セガ、Minecraft、Infragard、NHS(英国国民保健サービス)、米国上院、SOCA(英国重大組織犯罪庁)、CIA(米国中央情報局)を攻撃したとして、大きなニュースになった。また彼らは、アメリカとヨーロッパの捜査当局間の電話会議による、警察のLulzSecに対する戦術の議論を録音し、公開した。
LulzSecは金儲けや抗議のために攻撃をしかけるわけではない点において、他の大半の攻撃者とは一線を画している。彼らはThe Lulzのために行うのだ。また、自己防衛という観念がまったくなく、それが彼らの解体につながった。
LulzSecには6人のコアメンバーがいる。
- Topiary、本名Jake Davis (@aTopiary)、イギリス
- T-Flow、本名Mustafa Al-Bassam(@let_it_tflow)、イギリス
- Kayla、本名Ryan Ackroyd(@lolspoon)、イギリス
- Sabu、本名Hector Monsegur(@anonymouSabu)、アメリカ
- Pwnsauce、本名Darren Martyn(*_pwnsauce)、アイルランド
- AVunit(@AvunitAnon)、正体不明
- Jake Davisには禁錮24ヶ月が科せられた。少年院で12ヶ月服役する
- Mustafa Al-Bassamには禁錮20ヶ月執行猶予2年、300時間の社会奉仕の判決が下った
- Ryan Ackroydには禁錮30ヶ月の判決で、15ヶ月服役する
Lulzsecに関わりがあるボットネットのマスターであるRyan Cleary(別名Viral)にも同時に判決が出た。彼には禁錮32ヶ月が下された。16ヶ月間刑に服す予定だ。
Sabuは2011年6月に逮捕された。罪状を認め、以来FBIに協力してきた。彼にはまだ判決が出ていない。
Darren Martynは2012年3月に起訴されたが、いまだ刑は処されていない。
つまり6人中5人のLulzSecのメンバーは逮捕された。残る謎は6番目のメンバーAvunitだ。
Avunitとは何者だろう?なぜ他のメンバーのいずれも彼について白状していないのか?
我々にはAvunitが誰なのかは分からない。正体不明だ。どの大陸出身かさえ判明していない。
追伸。お決まりのnyan.catをどうぞ。
2013年05月16日21:29
Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。
当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。
このスパイウェアはAppleのDeveloper IDで署名されている。
起動ポイントは以下だ。
スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。
ファンクションは次のとおり。
このサンプルにつながりのあるC&Cサーバは2つある。
securitytable.org
docsforum.info
片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。
Forbidden
当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)
当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。
このスパイウェアはAppleのDeveloper IDで署名されている。
起動ポイントは以下だ。
スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。
ファンクションは次のとおり。
このサンプルにつながりのあるC&Cサーバは2つある。
securitytable.org
docsforum.info
片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。
Forbidden
当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)
2013年05月16日13:09
2013年05月13日22:51
2013年05月11日02:43
エフセキュアラボの次のウェビナーの予定を入れる時がやって来た!
今回はGoogleの「ハングアウト オンエア」を試してみる。
詳細:F-Secure Labs Threat Report Preview Webinar
皆さんにお会いできるのを楽しみにしている。
今回はGoogleの「ハングアウト オンエア」を試してみる。
詳細:F-Secure Labs Threat Report Preview Webinar
皆さんにお会いできるのを楽しみにしている。
2013年05月09日02:00
多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。
Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。
ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。
参考:urlquery.netのスキャン結果より
これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。
■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。
参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml
■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。
■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。
参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html
昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。
Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。
ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。
参考:urlquery.netのスキャン結果より
これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。
■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。
参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml
■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。
■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。
参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html
昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。
バックナンバー
Ustream生中継アーカイブ
新着記事
新着トラックバック
セキュリティ関連リンク
セキュリティ機関
政府関連
セキュリティ関連団体
研究機関・大学
人気記事と参照元様一覧
詳細カテゴリ
|
|
メディア関係者の皆様へ
|
|
エフセキュアブログメンバー
エフセキュアブログメンバー
- ミッコ・ヒッポネン
- エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
- ショーン・サリバン
- エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
- 高間 剛典
- メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
- 星澤 裕二
- 株式会社セキュアブレイン 先端技術研究所 チーフセキュリティアーキテクト
(公式ブログ)
(人物紹介)
- 福森 大喜
- 株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
- 鵜飼 裕司
- 株式会社フォティーンフォティ技術研究所 代表取締役社長
(人物紹介)
- 福本 佳成
- 楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
- 神田 貴雅
- エフセキュア株式会社 プロダクトグループ 部長
- 富安 洋介
- エフセキュア株式会社 プロダクトグループ
- コーポレートセールスチーム
- エフセキュア株式会社 (エフセキュアブログ公式Twitterアカウント)
-
海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン
ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。
エフセキュアブログQRコード