エフセキュアブログ

ミッコ・ヒッポネンに質問をするための準備 5つの方法



誰もがどこからでも参加することができるプレス・コンファレンスのようなものです。たとえもし質問がなくても、あなたの賛否を投票することができます。

オバマ大統領も実施しました。スヌープ・ドッグ/スヌープ・ライオンも実施しました。ある宇宙飛行士も宇宙から実施しました。

そして私たちのミッコ・ヒッポネンは12月2日の米・東時間で午前9時(日本時間の12月2日午後11時)に再びReddit AMAに出演します。

もしオンライン・セキュリティについて彼に質問をお持ちでしたら、たいへん結構です。もしお持ちでない場合、ご準備いただくために、過去20年間にミッコ・ヒッポネンがセキュリティ業界で残したいくつかのソースをご紹介します。

1. 彼の2004年の仕事についてVanity Fairチェックする

2. TED.comで紹介された彼の3つのプレゼンテーションを見る

3. TEDglobalで彼の最初のプレゼンテーションが公開された直後の、彼のAMAをチェックする



4. 最初のPCウイルスの作成者に会うためにミッコとパキスタンへ行く




5. 最近彼が考えていることを知るために、Black Hatでの彼の直近のプレゼンテーション「マルウェア作成者としての政府当局」を観る




ボーナス:オンライン・セキュリティ、プライバシーや古典的なアーケイド・ゲームに関する洞察の流れを常に得るために、ミッコのツイッターをフォローする


サンドラ

>>原文へのリンク



OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

本社移転後の電話番号変更のお知らせ

エフセキュア株式会社は、2014年11月25日に本社を東京都千代田区飯田橋へ移転することになりました。先般11月4日付けでご案内いたしました電話番号にその後変更がございましたので改めてお知らせ申し上げます。

<新本社>
所在地:   〒102-0072 東京都千代田区飯田橋3-11-14 GS千代田ビル5F
アクセス: JRおよび地下鉄飯田橋駅より徒歩5分
電話番号:
  • 03-3556-6201(代表)
  • 03-3556-6311 (プロダクトグループ代表)
  • 03-3556-6301 (マーケティング部代表)
  • 03-3556-6231 (業務部代表)
業務開始日:2014年11月25日(火)

<現本社>
所在地:  〒107-0052 東京都港区赤坂2-11-7 ATT新館6F

以上

エフセキュア、国家による大量監視に関するレポート日本語版を公開



エフセキュアは、英国市民の大量監視に対する関心の高まりを浮き彫りにした調査報告書の日本語翻訳版を公開しました。エフセキュアの英国オフィスが作成した「Nothing to Hide, Nothing to Fear?(隠すものがなければ、恐れることは何もない?)」と題されたこの報告書は、外国人だけでなく自国民を対象に英国政府が実施している監視への懸念に焦点を当てています。

本報告書作成のために委託された調査*では、英国人の86%が大量監視に同意していないことがわかっています。昨年のスノーデン事件により、電子メール、通話、ウェブ検索、ソーシャルメディアのやりとりや地理情報を含め、西洋諸国の諜報機関が一般市民をどれだけ監視しているかが明らかになりました。英国には590万台の監視カメラ(11人につき1台に相当。秘密警察監視下の東ドイツでも市民65人あたり密告者は1人)が設置されているという事実も判明しています。

エフセキュア英国・アイルランド法人のマネージング・ディレクター、アレン・スコットは次のように述べています。「私たちは今、規制のない領域にいます。知らないうちにここまで来てしまったようです。少しずつプライバシー権が侵食されており、多くの人々は自分がどれほど監視されているかということに気付いていません。これは、犯罪容疑者やテロリストの疑いがある者をターゲットにした監視ではありません。人々の生活を全体として監視しているのです。」

こうした大量のデータが将来どのように使用されるかが不透明な中、英国人は懸念を表明しています。調査の結果、回答者の78%が、自らのデータが追跡されることによる影響に懸念を抱いていることが明らかになりました。更に多くのプライバシーを侵害する計画がイギリス政府機関全体に広がっており、この懸念は高まるばかりです。

レポート「隠すものがなければ、恐れることは何もない?」の日本語版はこちらでご覧いただけます。


*エフセキュアの代理としてVital Research & Statisticsが実施した調査。成人回答者2,000人。2014年10月10〜13日に実施

お気に入りのアプリの格付けは?

 火曜日、Forbes誌のParmy OlsonPrivacyGradeについての短い記事を発表した。PrivacyGradeとは何か?

 以下、PrivacyGradeのFAQより。

 PrivacyGrade.orgは、数多くのスマートフォンアプリの振る舞いへの注意を喚起する一助となることを目標としている。こうしたアプリは人々のプライバシーに影響を与え得る。PrivacyGradeはアプリのプライバシー関連の振る舞いについて詳細な情報を提供している。こうした振る舞いについて、A+(プライバシーをもっとも意識している)からD(プライバシーをもっとも意識していない)の範囲の格付けという形式に要約している。

 以下は当社のApp Permissionsについての格付けだ。

PrivacyGrade, F-Secure App Permissions A+

 アプリに格付けを与えることは、非常に主観的なものになり得る。

 たとえば一部の人にとっては、ソーシャルネットワークの統合のほうが、広告ネットワークとロケーションのパーミッションよりも懸念するものとなり得る。しかし、あなた個人の基準がどうであれ、PrivacyGradeの方は非常に興味深い統計情報を集めている。

  •  Most Popular Permissions
  •  Third Party Libraries

VPNを使用すべきか?



EFF(電子フロンティア財団)が適切なVPN(仮想プライベートネットワーク)を選択するための便利なガイドを公開しました。このガイドでは、わかりやすい用語を使って、この種のソフトウェアを使用すべき理由について説明しています。
 
このガイドには、次のように書かれています。「VPNを使用すると、共有ネットワークまたは公衆ネットワーク上で、プライベートネットワークに直接接続しているかのようにデータを送受信できるため、プライベートネットワークで使用できる機能、セキュリティ、管理ポリシーを活用できます。」
 
さらにこのガイドでは、ユーザがデータを暗号化する3つの一般的な理由を明示しています。このガイドによれば、VPNユーザのほとんどは、次の2つの理由からすでにVPNを使用しています。第1の理由は、遠隔地から会社のネットワークに接続するためです。第2の理由は、中国やイランのような国のインターネット検閲を避けるためです。しかし、ビジネスやデジタルフリーダムのためにVPNを使用していない場合でも、VPNを使用すべき明白な理由があります。

EFFのガイドには、その理由が次のように書かれています。「インターネットカフェやホテルのWi-Fiのような公衆ネットワーク上を移動するデータを暗号化するために商用のVPNを使用することもできます。」
 
ここに、皆さんがVPNをこの第3の理由のために使うべきかどうかを確認するフローチャートを用意しました。
 


エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンは、公衆のWi-Fiについて実験した後に、次のように述べています。「相当数の公衆Wi-Fiプロバイダは、契約条項でワイヤレス通信には固有のリスクがあることを説明し、VPNの使用を勧めています。私の言うことを信用しなくても、彼らの言うことは信用してください。」
 
また、公衆ネットワークを使用していない場合でも、VPNを使用すれば永久クッキーのような、どこにでも存在する追跡要素から保護できます。
 
エフセキュアの非常にシンプルなFreedome VPNソリューションを試してみてください。このソリューションには、追跡防止や仮想ロケーションの設定機能なども備わっています。お試しは無料です。

>>原文へのリンク

Freedomeがフィンランドの最優秀モバイルサービス賞を受賞



まずはフィンランドで、次は世界で!私たちにはわかっていました。そして、ついに認められたのです。エフセキュアの非常にシンプルなセキュリティとオンラインプライバシー保護アプリ「F-Secure Freedome」が、フィンランドの「最優秀モバイルサービス賞(Best Mobile Service in Finland)」を受賞しました。


 
Freedomeが受賞したのはユーティリティおよびインフォテイメント部門です。昨日の授賞式には、Freedomeの製品マネージャを務めるPaiviと、当社のコンシューマ・セキュリティ部門の責任者であるSamuが出席しました。
 
Paiviは次のように述べています「設立後25年以上が経つエフセキュアが、新興企業との競争の中、受賞できたことを大変嬉しく思います。Freedomeの斬新でユーザフレンドリな設計が実を結びました。」
 
このコンテストは、Teleforumとフィンランド技術産業連盟がマイクロソフト、ノキア、サムソン、IBMなどの大手の業界パートナーと共同で企画し、110のモバイルサービスが11部門で評価されました。
 
ぜひ皆さんもFreedomeについて調べてみてください。なぜ、大きな話題になるのかがおわかりいただけるはずです。

>>原文へのリンク
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード