エフセキュアブログ

Mac OS X用のFreedome VPN

 こちらをご覧いただきたい。

F-Secure Freedome Mac OS X

 OS X用のF-Secure Freedomeだ(研究所のMacチームのMacBookに新規インストールした)。

Mac_Team_Test_Machines

 ベータ版が現在公開されており、60日間無料でお試しいただける。

 ダウンロードまたは共有を。

新たな脅威レポート

 当社の最新の包括的な脅威レポートが公開された。2014年下期の分析に基づいている。

H2 2014 Threat Report At A Glance

 このレポートその他はf-secure.com/labsから入手できる。

CozyDuke(TLP: White)

CozyDuke

 このホワイトペーパーはCozyDukeの概要を述べている。CozyDukeは単一または複数の悪意ある人物によって、社会的地位のある組織に対しAPT攻撃を仕掛けるために使われているツール群だ。社会的地位のある組織とは、政府系組織やそれらと密接に関わっている組織などだ。

 CozyDukeツールセットは、標的のホストへの感染、バックドアの確立および維持、標的からの情報の収集、被害を受けた組織内の他ホストへのさらなる侵入を行う各ツールから構成されている。我々は遅くとも2011年から活発に開発中であると捉えている。

 CozyDukeのツール群に使用されていることがわかったC&Cサーバの情報に基づき、我々は次のように考えている。CozyDukeツールセットは少なくとも1人以上の悪意のある人物が使っており、その人物は既知の脅威であるMiniDukeやOnionDukeを用いている人物と同じインフラを使用、もしくは少なくとも共有している。

 CozyDukeのホワイトペーパーのダウンロードを

 Research by @lehtior2

ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

FREEDOMEについてのFAQ

本日からアーティスト「ナノ」とF-Secure FREEDOMEのコラボレーションキャンペーンが開始されました。
https://freedome.f-secure.com/nano-jp/

この記事では、ナノの楽曲を聞きたいけど、FREEDOMEの使い方が分からないという方に向けて、良くある質問と解決方法をご紹介します。


Q01. FREEDOMEって何ですか?
A01. エフセキュアが販売しているプライバシー保護対策の製品です。iOS/Android/Windows版が利用可能です。

Q02. FREEDOMEは何処から入手できますか?
A02. iOS版はAppStoreから、Android版はGooglePlayから、Windows版はエフセキュアのホームページから入手できます。

Q03. FREEDOMEの利用にお金はかかりますか?
A03. インストールから2週間は無償でご利用頂けます。試用期間終了後はアプリ内メニューのライセンスの項目や、エフセキュアのオンラインショップからライセンスを購入することが出来ます。
試用期間終了後に自動的に課金されることはありませんのでご安心を。

Q04. FREEDOMEを「フィンランド」に設定、「ON」にする方法がわかりません。
A04. 以下の手順に沿って進めてください。

1. Freedomeを起動します。

2. 「位置」をタップします。
setting1

3. 「その他」をタップします。
setting2

4. 「フィンランド」をタップします。
setting3

5. スクリーン中央にフィンランドの国旗が表示されていることを確認し、左上の「<」をタップします。
setting4

5-1. iOS7以前のOSをお使いの場合は次のスクリーンが表示されます。
  「OK」をタップして進めてください。
setting6


6. 中央の「オフ」ボタンをタップ、「オン」にして完了です。
注意: iOS7以前のOSをお使いの方、「セキュリティを有効にする」スクリーンが表示された方は「7.」へお進みください。
setting5

7. 「はい」をタップします。
setting7

8. 「インストール」をタップします。
 setting8

9. 「パスコード入力」が表示された場合は、普段お使いのデバイスのパスコードを入力します
setting9

10. 「インストール」をタップします。
setting10

11. 「インストール」をタップします。
setting11

12.「完了」をタップします。
setting12

13. FreedomeがONになっていることを確認したら完了です!
setting5







 

エフセキュア、アーティスト「ナノ」とコラボキャンペーンを実施

エフセキュアは、世界的にボーダレスで活躍するアーティスト「ナノ」と、「安心して自由に全世界のインターネットサービスを楽しむ」ことをコンセプトに、コラボレーションキャンペーンを展開します。

エフセキュアがナノと展開する今回のキャンペーンでは、ナノの新曲「Freedom Is Yours」をフィンランド限定で先行配信いたします。全世界のファンは、エフセキュアのVPNソリューションFreedomeを使用することで、フィンランド国外でもその楽曲を聞くことが可能となります。また当キャンペーンでは、ナノのサイン入りパーカーが抽選で提供されます。

FreedomeはVPNを利用してインターネットの接続を保護し、第三者がデータを傍受できないよう、公衆Wi-Fiの接続を安全にします。またオンライン広告などによる追跡を確実に防止します。既に200万以上のダウンロードが行われ、App Storeでは4+、Google playでは4.3という高評価をいただいています。特に今回のキャンペーンでは、仮想ロケーションの機能により、特定の国からしか利用ができないWebサイトやサービスが利用可能となる利点に焦点を当てています。今回のキャンペーンを通して多くのユーザに「Freedome」を利用していただき、「安心してインターネットに接続できる環境」と「仮想ロケーションによる新たな楽しみ」を体験いただくことを目的としています。

またこのキャンペーンは、ヨーロッパを中心にグローバルでビジネスを展開しているエフセキュアが世界的に実施し、5月にドイツで開催されるナノのライブで「Freedom Is Yours」のパフォーマンスも予定されています。

詳細情報:

キャンペーン・サイト:
http://freedome.f-secure.com/nano-jp/index.html (日本語)
http://freedome.f-secure.com/nano/index.html (英語)

ナノ:米ニューヨーク州出身のバイリンガルなアーティストで、年齢・性別は非公表。
https://nanonano.me/

Freedome:VPNを利用してインターネットの接続を保護し、第三者がデータを傍受できないよう、公衆Wi-Fiの接続を安全にし、オンライン広告などによる追跡を確実に防止するソリューションです。またジオブロック(地域制限)の解除による仮想ロケーションの機能を提供します。
https://www.f-secure.com/ja_JP/web/home_jp/freedome

アンケート – 有害なライセンス条項にどう対処したらよいでしょうか?



ソフトウェアをインストールする際に同意するライセンス条項をユーザは読まないということについて、先週もブログに書きました。その記事は、ユーザのネットサーフィン行動のデータを収集して売ることで収益を得るChromeエクステンション(拡張機能)に対して書かれたものです。人々はこの記事を見て怒り、この機能をスパイウェアだと言いました。たとえ、データ収集に関してはプライバシーポリシーに記述され、ユーザがそれを承認しているとしても、です。しかしこのケースはインターネット上のごくありふれたビジネスモデルの一例にすぎず、ここでの論点ではありません。本当に問題としたいことは、このビジネスモデルについて私たちがどう考えるべきか、ということです。

私たちはネット上で無料のソフトウェアやサービスを利用していますが、それには主に2つの理由があります。もともとネットはコンピュータおたくの遊び場であり、ほとんどすべてのサービスやプログラムは趣味や学術ベースで開発されていました。彼らはそれを喜んで無料で提供し、人々はそれを喜んで無料で入手していました。しかし、企業がネットに参入しようとすると、ある問題に直面しました。信頼できる報酬方法がなかったのです。これにより金銭なしでの対価モデルに対するニーズが生まれました。今日のネットの大部分は、この金銭を伴わないビジネスモデルで支えられています。このモデルを利用した商品は多くの場合に無料だと言われますが、それは間違いで、実際にはなんらかの対価が生まれているのです。最近でもお金による対価モデルはありますが、無料で物を手に入れたいという欲求と金銭を伴わないモデルの両方が今でも健在なのです。

では、この金銭を伴わないモデルとはつまりどういうものなのでしょうか? ユーザに広告を見せるというのが一番よく知られている例です。これはかなりオープンで正直なモデルです。広告は、見てもらわなければ意味がないので、隠すことはできません。しかし、ターゲティング広告となると話は複雑になります。何者かがあなたに関連のある広告を見せるために、あなたがどんな人で何が好きなのかを知る必要が出てきます。ここがプライバシーの問題になるところです。普通のユーザであれば、自分のどのデータが収集されてどのように利用されているのかを確かめる術はありません。どのような法律のもとにデータが保存されているのかや、ベンダーがプライバシー法を守っているのかといったことについては、全く知らないことがほとんどなのです。

これは合法なのでしょうか? 基本的には、合法です。誰でも、個人データの提供について同意するのは自由です。しかし、それでもこれらのシナリオは様々な問題となる可能性があります。国家消費者保護法やプライバシー法に抵触するのではという問題もありますが、最も一般的な苦情は公平ではないということです。普通のユーザがアプリをインストールする度に、多くのページにわたって難解な言葉で書かれた文章を読んで理解することは、事実上不可能です。ベンダーによっては、これを利用して規約の疑わしい部分をそのわけのわからない文章の中に隠しています。こうして、ユーザが全く気付かないまま、規約によってベンダー側に重要な権利が与えられる状況が作られているのです。

App Permissionsは、この問題の解決する開発アプリです。モバイル端末用の最新OSでは、アプリに対して、アプリが必要とする情報源へのアクセス権が与えられなければなりません。これによってシステムは、どのアプリが何をしようとしているのかをより明確に把握し、それをユーザに知らせることができます。しかし、この権利はライセンス条項の少し進んだ解釈になりつつあり、ユーザはそれが何を意味するのかということを考えずに受け入れているのです。

これは合法かもしれませんが、正しいことでしょうか?個人的にはこの状況は持続可能なものではなく、なんらかの対処がなされるべきだと考えます。でも、何をすればよいのでしょうか? この問題を考えるには、いくつかの方法があります。あなたは、どれが一番良い方法だと思いますか?




******************************************************************************

有害なライセンス条項にどう対処したらよいでしょうか?

  • ユーザがもっと注意深くなって、何に合意するのかを知らなければならない。こういったビジネスモデルは完全に合法なので最初に確認せずに承認したのであれば文句は言えない。
  •  お金以外の方法でソフトウェアやサービスの「対価を払う」ことに対しては受け入れられる。しかし、ベンダーは、ユーザのデータを活用してどのように収益化しているのについてもっと情報を公開すべきである。データ収集などは、ユーザにリスクを見極める真の選択肢を与えるため、もっと明確に文書化される必要がある。
  •  広告やデータ収集といったビジネスモデルは健全ではないので、禁止または規制されるべきだ。作成者が無料で配布することを望まない限り、ユーザは製品にお金を支払うべきだ。
 ******************************************************************************

しかし幸いなことに、この問題はあなた自身で回避することができます。「無料の」製品やサービスの使用は避け、お金を払うソフトフェアとサービスを使用することを選択すればよいのです。このビジネスモデルはシンプルで透明性が高く、ユーザは物を得てベンダーはお金を得ます。この場合のベンダーは疑わしい条項を規約の中に隠す必要はなく、その代わりにこのようなプライバシー主義を掲げることができるのです。

 
安全なネットサーフィンを
Micke

写真:Orin Zebest(Flickrより)

>>原文へのリンク
バックナンバー

セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード