エフセキュアブログ

天才は複雑なことをシンプルにする

「愚か者は物事を複雑にする。物事をシンプルにするのは天才である。」

誰が言い出したのかは不明だが(Googleの検索によると、どうやらアインシュタインか、ウッディ・ガスリーあたりらしい)、これはソフトウェアに関してはまったくその通りだ。洗練されて優れた機能を、使いやすくものすごくシンプルに提供するには? そう簡単なことではない。

幸いエフセキュアはフィンランドの企業であり、シンプルさが重要視されている。フィンランドの人々は事態をわかりやすくしておくことが好きである。そこに激論の余地はない。だからエフセキュアのエンジニアが、VPN、アンチ・ウイルス、アンチ・トラッキングなどの機能を含む包括的な新世代のプライバシー/セキュリティのアプリを考える場合、ひとつのことしかあり得ないことを知っている。「シンプル」であるということだ。

答え:Freedome   天才の小さな一撃。世界の片隅から。

どういうことかショートビデオをご覧頂きたい。






SNSとデジタル通貨を悪用したマルウェア ’Lecpetex’

Facebook、Twitter、Skypeなどのソーシャル・ネットワーク・プラットフォームを悪用したマルウェアは目新しいものではありません。より深刻なのは、マルウェアがワームとして自らを拡散し、感染したユーザのマシンからのデータ収集に重点を置くようになったことです。一方、ビットコインマイニングは、ユーザが自分のマシンで現金を生み出す方法として人気になっており、また犯罪者にもしばしば悪用されるようになっています。このため、ソーシャルネットワーキングとデジタル通貨という2つの傾向を結びつけたマルウェアが出現することは、避けられない事態でした。感染したマシンはボットネットとして悪用されます。エフセキュアではFacebookとの共同による取り組みで発見したマルウェアLecpetexについて、注意を喚起するホワイトペーパーをリリースしました。

Lecpetexは、ソーシャルエンジニアリングの手法で拡散されます。これは、Facebookのメッセンジャーサービス経由で送信されるメッセージに添付されたZIPファイル形式の実行可能プログラムとして配布されるということです。ユーザが添付ファイルをクリックしやすくするよう、メッセージには「lol」、「hahaha」、「OMG」など、古典的な仕掛けのテキストが使用されます。

メッセージに添付されたZIPファイルをクリックすると、Java実行可能ファイル(JAR)プログラムが解凍されます。JARファイルを起動すると、事前定義されたDropboxファイル共有リンクからfbgen.datという名前のダイナミックリンクライブラリ(DLL)ファイルを探し、ダウンロードします。このプロセスの間、何らかのアクションが発生したことをユーザに示す兆候はありません。JARファイルをクリックした後、すべてがバックグラウンドにおいてサイレントモードで実行されます。



ファイルが見つかりダウンロードが完了すると、JARファイルは実行中にダイアログボックスが表示されないよう「/s」キーを使用してDLLのサイレント登録を指定し、「regsvr32.exe」を実行します。マルウェアはその起動場所を隠すため、レジストリエディタで無視される255文字を超えるキー名を使って偽のレジストリエントリを追加します。次にDLLは、explorer.exeインスタンスに、ビットコインマイニングのアクティビティを書き込ます。

Lecpetexは、ユーザのファイルの内容に対する好奇心を悪用して、マルウェア自体をダウンロードおよびインストールさせる、古典的なソーシャルエンジニアリング攻撃手法を使用して拡散されます。このため、ユーザ行動の標準的な予防措置が効果的です。

  • 知らない相手から送信された添付ファイルはクリックしない。
  • メッセージは一見すると友人から送付されたように見えるが、その内容が普段と違うように感じる場合、添付ファイルをクリックしない。他の手段を使ってその友人に連絡を取り、アカウントが侵害されている可能性があることを伝える。
  • 添付ファイルをクリックすると実行可能ファイルが表示される場合、これを実行する前に、信頼できるアンチウイルスプログラムを使用してスキャンする。

エフセキュアのセキュリティ製品は、以下を検出することでマルウェアのさまざまなコンポーネントを特定します。

  • Trojan-Downloader:Java/Lecpetex.C
  • Trojan.Win32/Lecpetex.A!Mem

ホワイトペーパーの詳細はこちらでご覧いただけます(英語):
http://www.f-secure.com/static/doc/labs_global/Whitepapers/lecpetex_whitepaper.pdf

エフセキュア、「クライアントセキュリティ」とFFRIのFFR yaraiの共存動作検証を完了

エフセキュア株式会社は、株式会社FFRIと共同で検証作業を実施し、法人向けセキュリティソリューション「エフセキュア クライアント セキュリティ」および「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と共存動作が可能であることを確認いたしました。

昨今、特定の組織や企業にターゲットを当てた標的型攻撃が激化しており、組織の規模の大小に関わらず、その対策が急務となっています。

このたびの共存動作検証により、エフセキュアのクライアント向けおよびWindowsサーバ向けのセキュリティ・ソリューション「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と組み合わせて利用いただけることが確認されました。標的型攻撃で悪用される未知のウイルスや、ゼロデイ攻撃に対して、異なる検査ロジックを持つエフセキュアの「ディープガード」と「FFR yarai」のエンジンで多層的な防御が可能になり、標的型攻撃に対する対策能力が大きく上昇します。

「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」は、第三者評価機関の「AV Test Best Protection Award」を3年連続受賞した高い検知率を誇るウイルス対策ソフトウェアです。これらはPCやサーバのリソースを最小限に抑えて、未知のウイルス対策を行うことを可能にします。またエフセキュア独自のソフトウェア・アップデートの機能を利用することで、OSおよびアプリケーションのセキュリティ・パッチを常に最新に保ち、より強固なセキュリティを維持することができます。

なおエフセキュアは、8月1日(金) 14:00に予定されているFFRI主催のセミナー「レガシーOSを狙った標的型攻撃は多層防御で守る」に共催し、仮想環境でのセキュリティ対策の課題とそのソリューションを紹介をいたします。

セミナー詳細:
http://www.ffri.jp/seminar_all/houseSeminar_20140801.htm

総務省より情報通信白書発刊

先般、総務省・情報通信国際戦略局から、「平成26年情報通信に関する現状報告(情報通信白書)」が発刊されました。



この309ページにて、弊社「2013年下半期脅威レポート」から、モバイルマルウェアに関するデータをご利用いただいております。



「情報通信白書」の全文は、こちらで無料公開されています。

Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

サイバー戦争をめぐる3つの疑問

エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンが最近私にこう言いました。「私たちにはサイバー戦争をイメージする想像力が足りない。この戦争は爆発的なものではなく、クライムウェアのビジネスが枯渇した誰かが新しいビジネスを探している、といったものではないだろうか」
 
この1週間、エフセキュアのセキュリティ研究所は、エネルギー業界をねらうハッキンググループ「Energetic Bear」やHavexからの攻撃に目を光らせてきました。今はウクライナやポーランド、トルコ、ロシアを標的とするCosmicDukeに注目しています。
 
こうした攻撃の最終目的はスパイ活動、つまり買い手(もしかすると、どこかの政府)のための情報収集にあるようです。しかし、その手法は、イランの核戦力を低下させるために開発されたStuxnetのように多大な工数を投じた緻密なものではありません。
 
ショーンはこう言います。「これらはもっともらしい反証に頼っており、利用しているリソースはサイバー攻撃専用ではないようだ。これは、従来のクライムウェアで用いられるモジュール手法に匹敵する」
 
エフセキュアのシニアリサーチャーで、以前にCosmicDukeの分析についての記事を投稿したことがあるティモ・ヒルボネンはこう話します。「一つの要素だけ見れば、まるでクライムウェアのようだが、違う角度から見れば、『こんな標的をねらったものは今まで見たことがない』と言うだろうね」
 
「サイバー戦争に関わるものは何でもピカピカで真新しい、というのがこれまでの常識だった」とショーンは言います。けれども、今回の攻撃は「セミプロ」の仕事のようです。
 
こうした攻撃をきっかけに、ショーンは以下の3つの疑問について考えています。
 
国が支援しているというのはどういう意味か?
 
ショーンは言います。「サイバー戦争は現実の縮図だ。トップダウンで機能する大規模なサイバー情報インフラを整備している国もあれば、既存のクライムウェアに基づく既存のテクノロジーを取り入れて、草の根レベルの方法をとっているような国もある」
 
国家中心のキャンペーンでは、必ずしも国の支援を受けていないマルウェアを利用しているのではないか、とショーンは考えています。「黒い覆面をして記章を外した部隊を半島に送り込むような国は、同じようなことをオンラインでもやるかもしれない」
 
機会を逃さない実際的な政府は、人々にお金を払って、国際スパイ用のテクノロジーを取り入れているかもしれません。
 
こうした攻撃の最終目的は孫子が『兵法』で述べた名言、「敵を知れ」に通じるのではないかとショーンは言います。

情報で武装した国は、ソフトパワーを駆使して同盟国同士を対立させ、経済制裁のような報復を制止することができます。
 
APT(Advanced Persistent Threat)攻撃とは何か?

 
APT攻撃はStuxnetほど複雑なやり方ではありません。複雑である必要がないのです。
 
CosmicDuke(2001年から存在しているマルウェアの変種)は標的をだまして、エクスプロイトを含むPDFファイル、もしくは文書ファイルや画像ファイルのようなファイル名を付けたWindowsの実行ファイルを開かせ、感染させる仕組みです。
 
標的がこうした悪質なファイルを開くと、CosmicDukeがシステムに侵入し、キーロガーやクリップボードスチーラー、スクリーンキャプチャ、パスワードスチーラーでさまざまなチャットやメール、Webブラウザの情報を収集し始めます。またCosmicDukeには、システム上のファイル情報を収集し、暗号化証明書やその秘密鍵をエクスポートする機能もあります。収集した情報はFTPでリモートサーバに送信されます。CosmicDukeはシステムの情報を盗むだけでなく、攻撃者が他のマルウェアをシステム上にダウンロードし、実行できるようにします。ごくありふれたものです。
 
クライムウェアとの闘いは犯罪者をサイバースパイに駆り立てているのでしょうか?サイバー犯罪との闘いは逆効果なのでしょうか?
 
「なかには、政府のため、自分のために働いている奴らがいるのかもしれない」とショーンは言います。
 
サイバー犯罪の国際戦争で勝利の波に乗れば、犯罪者たちを支援する新たな買い手が現れるかもしれません。
 
ショーンは続けます。「このような人材はおのずと育つ。いまや、国外の人材を活用する政府もある。警察はクライムウェアを追っているが、クライムウェアはなくならない。これは金になるビジネスで、金を求める人材は後を絶たない」
 
このような攻撃はあらゆる人を標的にしていると、ショーンは確信しています。
 
「システム管理者を追うのはNSA(国家安全保障局)だけではなく、重要なシステムに何らかのアクセス権限を持つ人なら、誰もが標的になりえる。落ち着いて、守りを固めなければならない」
 
予防はどんなときも最善策です。企業各社はこのことを認識してくれるだろう、とショーンは期待しています。
 
「ITマネージャの皆さん、必要なセキュリティ予算を要求し、勝ち取りましょう。コスト優先のセキュリティ対策が間違った経営判断であるという証拠が次々に明らかになっているのです」
 
各国の政府が日和見的なマルウェア作成者と手を組めば、リスクは急激に増大するでしょう。
 
ショーンは次のように問いかけています。「現在はクライムウェアのボットネット、将来は国家安全保障が悪夢?こんな奴らが脱獄したらどうなるでしょう?彼らはこんな人材を放っておかないでしょう」
 
Sandra

>>原文へのリンク

中小企業向けのサイバーセキュリティ ストレステスト

中小企業は攻撃を受けやすい

中小企業は経済の屋台骨であり、重要な原動力ですが、サイバーセキュリティの面では依然として最大の弱点になっています。なぜなら、中小企業の多くは、自社のビジネスを守るための時間やスタッフ、専門知識、ITリソースを持ち合わせていないからです。中小企業のオーナーはたいてい、自社のシステムやデータはハッカーにとってほとんど価値がないから標的にはならないだろうと思い込んでいますが、中小企業の財務会計、従業員、顧客、取引先の情報はいずれもハッカーにとって大きな価値を持っています。こうした情報がどれか一つでも流出すると、壊滅的な被害をもたらし、企業の存続を左右するおそれもあります。

自社のサイバーリスクを評価


自社がサイバー攻撃の脅威にどの程度さらされているかを評価するには、エフセキュアが考案した中小企業向けのサイバーセキュリティ ストレステストが役立ちます。
以下の質問に答えて、自社の弱点を把握しましょう。

1. 社内にIT専任のスタッフまたはチームを置いていますか?それともIT関連業務をアウトソーシングしていますか?

a. 経験豊かなIT専任のスタッフまたはチームを社内に置いている
b. IT・セキュリティ関連業務を担当する社員がいるが、専任ではない
c. IT・セキュリティ関連業務は、外部業者やマネージドサービスプロバイダ(MSP)、付加価値リセラー(VAR)にアウトソーシングしている
d. IT担当者はいない。社員1人ひとりが自分の利用する機器を管理している
e. 分からない

この点が重要な理由:
サイバーセキュリティは目まぐるしく変化する複雑な問題であり、国、そしてあらゆる企業にとって難しい課題です。最近のセキュリティソリューションを利用すれば、個人や企業を保護するためのさまざまなプロセスを自動化することができますが、IT専任のスタッフやチーム、もしくは付加価値リセラーやマネージドサービスプロバイダの助けを借りたほうが良いでしょう。こうした専門家なら、ソフトウェアを適切に展開し、セキュリティ問題にすばやく対応することができます。

2. どのようなセキュリティソフトウェアを社内で利用していますか?

a. ライセンス契約した企業向けのセキュリティソフトウェア
b. ライセンス契約した個人向けのセキュリティソフトウェア
c. サービス契約したセキュリティソフトウェア
d. セキュリティソフトウェアの管理を付加価値リセラーやマネージドサービスプロバイダにアウトソーシング
e. 無料のセキュリティソフトウェアを利用している
f. セキュリティソフトウェアは利用していない
g. 何を利用しているか分からない

この点が重要な理由:中小企業のなかには、コンピュータに付属する無料のセキュリティソフトウェアや個人向けのセキュリティソフトウェアパッケージに頼っているところもあります。こうしたソフトウェアでも無いよりはましですが、企業用としては不十分です。しかも、企業ではさまざまな社員がさまざまな機器を利用しますから、会社全体を保護できるソリューションを整備することが重要になります。
中小企業には、セキュリティ関連業務を専門家にアウトソーシングすることを強くおすすめします。会社を守るための心配事は付加価値リセラーやマネージドサービスプロバイダに任せ、事業を成長させることに注力しましょう。
また、中小企業にはライセンス契約したソフトウェアよりSaaS型のセキュリティサービスがおすすめです。セキュリティサービスなら管理に手間がかからず、常に最新のソフトウェアを利用することができるからです。

3. 会社や社員個人はどのようなコンピュータ機器・通信機器を利用していますか?(該当するものをすべて選んでください)

a. デスクトップコンピュータ
b. ノートパソコン
c. 携帯電話
d. スマートフォン
e. タブレット型コンピュータ

この点が重要な理由:最近、社員はプライベートでも仕事でもさまざまな機器を駆使するようになってきました。これによって外部との接点が増え、ハッカーの攻撃にさらされるリスクも高まっています。だからこそ、デスクトップコンピュータからノートパソコン、タブレットやスマートフォンまで、社員が利用する機器をセキュリティプログラムでもれなく考慮し、保護することが重要になります。

4. 社員は業務上の情報にどうやってアクセスしていますか?

a. 業務用のコンピュータからしかアクセスしない。
b. 会社が支給した携帯端末からアクセスする。
c. 社員個人の機器(コンピュータや携帯端末など)からアクセスする。
d. 分からない。

この点が重要な理由:社員の業務用機器をすべて保護していても、個人の機器(保護されていない可能性が高い)から業務上の情報にアクセスする場合があります。

5. 社内でWi-Fiを利用してネットワークにアクセスしていますか?

a. はい
b. いいえ
c. 分からない
d. ワイヤレスネットワークは整備していない

この点が重要な理由:きちんと保護されていなければ、Wi-Fiも攻撃にさらされるおそれがあります。会社としてWi-Fiにまつわるリスクを把握し、セキュリティを確保する方法を理解することが非常に重要です。WPA2を利用して自社のネットワークを保護し、推測されにくいパスワードを設定してください。できれば、無線のログインメニューを独立させ、社内ネットワークへのログオンを追跡管理するとよいでしょう。そうすれば、業務用Wi-Fiネットワークの脅威を軽減するうえで役立ちます。

6. 社員は社外(自宅や他の事業所、空港やカフェといった公共の場など)からいつもWi-Fiに接続していますか?

a. はい
b. いいえ
c. 分からない

この点が重要な理由:公共のWi-Fi ホットスポットの多くはハッカーにとって格好の標的です。自宅のWi-Fi 環境を最高レベルのセキュリティ対策で保護している人もめったにいません。だからこそ、セキュリティソフトウェアで業務用の携帯端末を保護することが重要になります。

7. 会社として、明確なITセキュリティポリシーを整備していますか?


a. はい
b. いいえ
c. 分からない

8. ITセキュリティに関する社員教育を行っていますか?

a. はい
b. いいえ
c. 分からない

この点が重要な理由:
ソフトウェアと専門知識がなければ、会社を守ることはできません。サイバー犯罪との闘いにおける最大の弱点は、昔も今も人的要因(社員の危険なオンライン行動)です。この脅威を軽減するには、明確なポリシーを整備し、インターネットセキュリティに関する社員教育を徹底し、定期的な注意喚起や再教育を行うしかありません。

9. セキュリティソフトウェアを常に最新の状態にしておくために、どのような方法を取っていますか?


a. ソフトウェアを自動更新する仕組みを整備している
b. 社内のITチームがシステムを定期的に更新し、常に最新の状態にしている
c. ソフトウェアを常に更新しておく仕組みがない
d. 分からない

10. 会社や社員個人が利用するアプリやソフトウェアを常に最新の状態にしておくために、どのような方法を取っていますか?

a. 社内のITチームがシステムを定期的に更新し、常に最新の状態にしている
b. ソフトウェアを常に更新しておく仕組みがない
c. 分からない

この点が重要な理由:
ソフトウェアの欠陥をついて、ハッカーが各種機器に侵入し、重要な情報にアクセスするというのが最も多いパターンです。欠陥が見つかると、ソフトウェアメーカーがその問題に気付いて修正プログラムを配布するまで、ハッカーがすかさず弱点につけ込んできます。会社や社員が利用するソフトウェアやアプリの更新が遅れると、脅威にさらされたままになり、ハッカーにたやすく侵入されてしまいます。
できれば、今回の質問に答えながら、自社のセキュリティ対策を見直し、会社の守りを固める方法を見つけてください。
費用や時間をそれほどかけなくても、十分なセキュリティ対策で大惨事を防ぐことができます。会社や社員を守れば、顧客や取引先を守るうえでも役立ち、業界や国全体の安全保障にもつながるでしょう。

バックナンバー
新着記事
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード