「Black Hat 2010」からご挨拶を！



 　これまでのところ、最大の発表はAdobeがMAPP（Microsoft Active Protections Program）に参加し、同プログラムを通じて全てのAdobe製品のために脆弱性情報の共有を開始するというものだ。これはエフセキュアなどのMAPPパートナーが、Adobe ReaderやFlashといった製品の脆弱性について事前通知が得られ、我々のユーザをより良く保護することが可能になることを意味する。

 　「News from the Lab」ブログをいつも読んで下さっている皆さんは、我々がしばしば、Adobeに対してかなり批判的だったことをご存知だろう。しかし今回我々は、彼らの動きを高く評価したい。

 　カンファレンスは丁度始まったばかりで、さらに興味深いことが発表されるに違いない。私は明日、講演を行う。講演のタイトルは「この通話の請求額は9万ドルです。」というものだ。

サインオフ
ミッコ

 　不正な販売者たちは、ローグウェアをユーザのシステムに押し込む際の使い古されたトリックに、飽きてしまったようだ。これまでのトリックは、警告、そして次に偽のAVへと至る、偽スキャンページだったのだが。

 　現在、それはFirefoxの「Just Updated」ページとなっている。Firefoxブラウザをアップデートすると、すぐに表示されるこのページを知っているだろうか？　そして、最初にFirefoxをオープンした時に？　そんな具合だ。しかし、もちろん落とし穴がある。Firefoxがアップデートされたとしても、Adobe Flash Playerはアップデートされていないと、ユーザに告げるメッセージがあるのだ。そのため、まだアップデートの必要があるという。実に役に立つ…



 　そしてユーザは何もクリックする必要がない。ページがロードされるとすぐに、ダウンロードダイアログボックスが現れるからだ…



 　ユーザがファイルを実行すると…　お馴染みの悪しきローグAVが…



 　どういうわけか、不正な連中はFirefoxかFlash Playerかを決められなかったようだ…　そのため両者を少々ということになったのだろう。

注：この悪意あるサイトは既にブロックされており、同ローグはエフセキュアの最新データベースアップデートで検出されている。

 　投稿はレスポンスチームMina & Christineによる。

 　悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性（2286198）を悪用しようとしているのだ。

 　しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

 　以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

 　Chymineは新しいキーロガーだ（.Aバリアントから見ることができる）。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない（よってワームベクタは無い）。Chymineを発見したのはESETの人々だ。



 　Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

 　今日のニュースには、Sality（ポピュラーなポリモーフィックウイルス）とZeus（ポピュラーなボットネット）が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

 　Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

 　以下が本文だ：



 　Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

 　我々は今回のZeusの亜種が、それほど成功するとは考えていない。

 　「World of Warcraft」のアカウントは、プレイヤーのレベルに応じて、フィッシャーにとって金のなる木となり得る。ゲーム内アイテムには需要があり、実際のキャッシュで売買されることが可能なため、WoWアカウントは人気のあるフィッシングターゲットとなっている。

 　エフセキュアのResponse Labのアナリストが先頃、Blizzard（WoWのクリエイター）から、アカウント確認をするようにという電子メールを受けとった。一見、そのメールは、本物のソースから来たメールのようだった。「From」アドレスを見て欲しい。疑わしいところは何も無い。



 　電子メールの内容をさらに読むと（上の画像をクリックすると拡大画像がご覧頂ける）、何かおかしい感じがする。このアカウントの確認は、Blizzardと関連のない外部サイトで行わねばならないのだ。メールには顕著な文法ミスが多い。

 　さらに調べてみると、同メールは個人のメールアカウントから送信されていることが分かった。フィッシャはSMTPリレー攻撃を使用して、「From」アドレスのなりすましを行っているため、同メールはBlizzardからのものに見えるのだ（下の画像をクリックすると拡大画像がご覧頂ける）：



 　Blizzardのゲーム、特にWoW、Starcraft IIおよびDiablo IIIのアカウントは現在、Battle.netにより扱われている。アカウントの変更には、完全な確認プロセスが必要とされ、その際、有効なIDが提示される必要があることに注意して欲しい。



 　フィッシャーはますます賢くなっており、彼らのソーシャルエンジニアリングは、より巧妙になり検出が難しくなっている。さらに注意し、やみくもに全てのソースを信頼しないことはユーザの責任だ。

New iPhoneが流出か！？

なんて、心躍ったのは上海のとある地下商店街。
色々商品を物色していましたところ、後ろのお店のお姉さんが声をかけてきました。
"Small iPhone ? Big iPhone ?"

「ええ！？早くも新商品！もしかして、噂の流出ものかな？」
なんて、耳を疑ってしまいました。



もう、説明するまでもありませんね。（大きい方が正規の大きさ）

さて、今私が気になっているのが、これらの商品の中身です。
本当に（安くて）安全なものなのか、非常に気になります。（笑）

近年、海外から郵送されてくるデータを閲覧した際に、マルウェアに感染したという事案が後を絶ちません。
特に、次の2つのパターンが厄介です。
・人がデータを含むメディアを持ち込む
・データを含むメディアを郵送（宅急便等）


続きを読む

日本時間の2010年7月14日、Windows 2000のサポートが終了しました。これからはWindows 2000に脆弱性が見つかっても修正パッチはリリースされないことになります。永遠のゼロデイ*ですね。

「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な状態にさらされます。」
と書こうとしていたところ、Windows シェルの脆弱性が公開されました。
注意すべきは、脆弱性情報にWindows 2000のことが記載されなくなっている点です。Windows シェルの脆弱性ではWindows 2000も影響を受けるのですが、影響を受けるソフトウェアの欄には記載されていません。

今後もWindows 2000を使い続ける限りは、脆弱性が発見されるたびに情報収集や検証を行う必要が出てきます。

また、以前から調査しているのですが、Windows 2000のゼロデイは他にも存在しています。デモ動画を作成しましたのでご覧ください。実際に攻撃コードを作成し、CANVASという攻撃用フレームワークを使って、攻撃対象であるWindows 2000 Serverの制御を奪っています。



他にも、Windows 2000はいろいろと仕様的に脆弱な部分があります。そのあたりの話をご紹介するセミナーを企画しましたので、Windows 2000を捨てきれていないシステム管理者の方はぜひお越し下さい。
セミナーの内容はこちらです。
http://www.fourteenforty.jp/seminar/

-----------------------------------
*ゼロデイ：修正パッチが提供されてから悪用されるまでの日数がゼロ日、つまり修正パッチが提供される前の脆弱性のこと

 　Microsoftが「セキュリティ アドバイザリ 2286198（バージョン1.2）」をアップデートした。

 　Microsoftの人たちが、懸命にこの問題に取り組んでいることは非常に明白だ。我々の懸念は対処されており、同アドバイザリはもはやWindows 7 AutoPlayを緩和策とはしていない。

 　そして今度は悪いニュース。

 　同アドバイザリのバージョン1.2には、新しい重要な詳細が含まれている：

 　「エクスプロイトは、埋め込みショートカットをサポートする特定の文書タイプにも含まれる可能性がある。」



 　文書 — Microsoft Office書類のような文書。

 　これはまさに、LNK脆弱性の潜在的な影響範囲を拡大するものだ。文書利用の容易さを考えると、我々はまもなく、電子メールメッセージを介した標的型攻撃添付ファイルをほぼ確実に見ることになるだろう。

 　幸いなことに、MicrosoftのActive Protections Program（MAPP）は優れた技術的詳細を提供しており、我々はWormLinkエクスプロイトに対するプロテクションをさらに改善した。我々の最新のシグネチャ：Exploit:W32/WormLink.BおよびCはより包括的であり、以前よりも効果的だ。Microsoftに賞賛を送りたい。

 　アドバイザリにリストされている回避方法をチェックしてみよう。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする
  •  インターネットのLNKおよびPIFファイルのダウンロードをブロックする

 　Microsoft Supportは、1度クリックすることでショートカット機能を無効にする「Fix it」ボタンを含むKnowledge Base Articleを掲載している。

 　Microsoftはセキュリティアップデートを開発するべく鋭意努力中だが、皆がこの新情報をチェックし、自分の環境に即して評価すべきだ。