エフセキュアブログ

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

Crash Safariの続報

 crashsafari.comへのショートリンクが急速に広まってから、1週間がたった。そしてついにGoogleは、もっとも広まったリンク(goo.gl/78uQHK)を無効にした。

Unknown request for 78uQHK.

 Googleの利用規約を違反したとしてこのショートリンクが無効にされるまで、75万回以上のクリックがあった。

This shortlink has been disabled.

 ただし…、他のショートリンクは引き続き機能している。とはいえ、クリックは確実に減っている。

Analytics for Vj7Eep.

 依然アクティブなものがあるのはなぜだろうか?これらの口コミで広まったリンクを無効にするのを遅らせているのは、何なのか?参照元(Referrer)を詳細に見てみよう。

Referrers for Vj7Eep.

 おおよそ8割のクリックは「未知(unknown)」のソースからとなっており、大半のクリックでは参照元の情報が取り去られている。今回のケースで未知のソースとは、高い確率でiMessageやWhatsAppといったプライベートメッセージングアプリのことだろう。両アプリはエンドツーエンドで会話を暗号化する。

 このことは、悪質なリンクをフィルタするような、中間者が存在しないということを意味している。

 iMessageのクライアントサイドにはフィルタがなく、そのため、不正なリンクを適切なショートリンクサービス対し自動的にレポートしようがない。また一見したところ、Appleでは手作業が約1週間かかったようだ。幸いなことに、crashsafari.comはいたずらで共有されていただけだった。

 削除は?FacebookやTwitterのようなサービスからはリンクを確認でき、そのため脅威を取り除く可能性もあるが、一方でプライベートメッセージングアプリは弱点となる。友達は注意を払って選ぶとよい。

 次もいたずらのように見えるものが、虎視眈々と待っているワームではないことを祈ろう。

急速に広まるCrash Safari…しかしAndroidではないのはなぜ?

 1月25日、crashsafari.comというWebサイトへのGoogleのショートリンクが、何者かにより作成された。当該サイトはiOSのSafariをクラッシュさせるループを作り、一部のデバイスではリブートを引き起こす。

 (訳注:「私のiPod touchがクラッシュしたところ」という意味)

 このサイトはまた、他のいくつかのブラウザを停止させたり、クラッシュを引き起こす。詳細についてはWired誌を参照のこと。

 しかし、私は奇妙な点を発見したのだ…。

 以下は、Googleのショートリンク「/78uQHK」を用いたツイートの例だ。

Crash Safari Tweets

 私には「クロスプラットフォーム」に見える。決して、AndroidオーナーよりiPhoneオーナーのほうを数多くそそのかしているわけではない。また同一のgoo.gleリンクを使っているFacebookの投稿を見つけたが、これらの大半についても、同じことが当てはまる。

 つまり、(これまでに)50万回近くリンクがクリックされたが、Androidデバイスに由来するのはその中のわずか12.5%のみというのは、何だかおかしい。

 おそらくAndroidの「スマート」フォン市場におけるシェアは、言われているほど席巻してはいないのでは?(私の家族には、フィーチャーフォンのように使っている者がいる)

 あなたはどう見る?

 @5ean5ullivan

エクスプロイトキットAnglerの1月の休暇

 エクスプロイトキット(exploit kit、EK)に至るさまざまなリダイレクタについて、当社では昨年から監視を行ってきた。そうしたリダイレクタの1つに、AnglerエクスプロイトキットまたはNeutrinoエクスプロイトキットのいずれかへ誘導するものがある。SANS ISCでも、この2つのエクスプロイトキットを切り替えるリダイレクタを監視していた。

 今年の初め、当社のテレメトリにおいて当該リダイレクの急激かつ大幅な落ち込みがあることに気付いた。

Hits of the redirector that leads to either Angler EK or Neutrino EK.

 興味深いことに、同日、当社のAnglerのテレメトリでも急減していた。それに対して、Neutrinoは活動しているままだった。この間、Neutrinoはリダイレクタ経由ではなく、侵害されたWebサイトから直接提供されていたことが判明している。

Angler EK and Neutrino Hits 2015.12.24 - 2016.01.15

 最初に見たときには、Anglerが休暇を取っているかのように思えた。おそらく、それが大部分の真実だろう。しかし、さらに詳細に当社のテレメトリを見ていくと、休暇とされる期間中も活動していた、非常に小さな一団がいたようだ。

 以下は、当社のテレメトリで目にした例の一部だ。

Angler URLs 2016.01.03

 1月11日になりAnglerの活動が再開したが、一方でNeutrinoの活動は徐々に緩やかになっていった。この休みの前後でAnglerエクスプロイトキットに明らかな変化があったことは認められない。単にちょっと休暇を取ったようにしか見えない。

 また興味深いことには、Anglerはサブドメインを生成する際に非英語の単語を用いている。以下は、2015年および2016年にAnglerで使用されているのを目にした、フィンランド語の単語である。

Angler Finnish 2015

 「valtioneuvostossa」とは「国務院」を指す。
 「omakotirakentamisessa」は「一戸建て住宅の建築時」を意味する。

Angler Finnish 2016

 「kansatieteelliseen」は「民族的な(何か)に対し」という意味だ。
 「nauhoittamasta」は「記録から」である。

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは

  クリスマス直後の12月27日からドイツで Chaos Computer Congress (CCC) が開催された。ここでも「Wassenaarアレンジメント」についてのパネルディスカッションがあり、2015年夏以降の状況がアップデートされた。このCCCでのパネルでは衝撃的な話が出た。それは、昨年に自社内部メールの流出暴露で物議をかもしたイタリアの「Hacking Team」が、Wassenaarアレンジメントに基づいて輸出業者としての登録が認められたという話題だった。このパネルは以下URLでビデオを視ることができる。


  Wassenaarアレンジメント (経産省の表現では「ワッセナー・アレンジメント合意」)とは、41ヶ国が参加する国際武器輸出規制の枠組みだが、2013年にソフトウェア技術への規制として「Intrusion Software」と「Surveillance Systems」が追加され、この定義と取り扱いをめぐって2015年前半から大きな議論が巻き起こっているのだ。参加国の顔ぶれは以下で見ることができる。
  また、このサイトのWassenaarアレンジメントの輸出規制対象を示した「Control List」などの書類も、いくつか2015年12月3日付でアップデートされている。

  Wassenaarアレンジメントの「Intrusion Software」への規制に関して、日本語で記述されたものが今のところ著しく少ないが、日本ネットワークセキュリティ協会のこのページも参考になるひとつだろう。

  この件について私も7月に「#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは」のポストを書いた。
  このポストで書いたのは主にアメリカのセキュリティ業界の反応についてだったが、それはアメリカのセキュリティ企業の製品やサービスが世界的にかなりのシェアを取っていたり、業界をリードしている企業がアメリカに多いことから大きく聞こえて来たためとも云える。しかし実際は、Wassenaarアレンジメントへの「Intrusion Software」「Surveillance Systems」の追加はEU側から提案されたものであり、EUでの規制の進められ具合はアメリカと違っている。EUでは、Wassenaarアレンジメントの条文に基づいた内容の規制案が今後2年かけて用意されるようだ。

  さらに、Wassenaarアレンジメントとはその名のとおり「アレンジメント」なので、「条約 (Treaty, Convention)」のような国際法的拘束力はなく、そのため参加国政府は国内での規制措置を用意することになっているが、法律の制定までは行うことは求められていないので参加各国それぞれでの規制状況は必ずしも足並みが揃ろっているわけではないようだ。またWassenaarアレンジメントが「Intangible Technology Transfer (無形技術移転)」の制限という枠組みで規制しようとしているのは、攻撃型マルウェアのような「製品」そのものではなく、それらを製作するための「テクノロジー」という物質として存在しないモノだという点が話を複雑にしている。「テクノロジーの輸出」は果たして輸出入の法的規制の枠組みで対処できるものなのか?という疑問があるからだ。

  Wassenaarアレンジメントへ「Intrusion Software」と「Surveillance Systems」が追加された理由は、2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発した「FinFisher」などのサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、そのような「ソフトウェア兵器」にあたるものも輸出規制をするべきという機運が高まったためだ。2013年のWassenaarアレンジメントの改訂が紹介された理由などは以下の記者会見ビデオが詳しい。何も規制が無い状態よりもとにかく何か始めるべき、というのが提案者から何度か強調されている。
Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014


  この記者会見にも参加しているが、Wassenaarアレンジメントへの「Intrusion Software」と「Surveillance Systems」の追加議論に関して初期から関わっていた Collin Anderson が詳細な検討の資料を作っている。
Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson
New white paper recommends targeted approach to controlling export of surveillance technologies

  ところが、CCCでのWassenaarアレンジメント・パネルで明らかになったように、スパイ用マルウェアなどの製作販売を行うイタリアのHacking TeamがWassenaarに準拠した輸出業者として認定されるという展開では、このアレンジメントによる「Intrusion Software」や「Surveillance System」の輸出規制の実効性には疑問を持たざるをえないと思える。この輸出規制は、その事業者の存在する国の政府や監視機関が積極的に行動しない限り実現しないし、もし政府方針が輸出に協力的ならば有名無実になりうるだろう。Hacking Teamは、2015年の始めからプレスリリースで「Wassenaarを遵守する」と言ってきた。しかしその時点でイタリア政府が輸出業者としての認定を出すかどうかの審査は果たして規制寄りだったのだろうか。

  また、スパイウェアFinFisherを独裁国家政府などへ製作販売していたイギリスのGamma社は、このソフトウェアの独裁政府による使用での人権侵害について追求していた英NGOのPrivacy Internationalが提訴するなどしたため、イギリスから他国へ本社を移動している。

  現状のWassenaarアレンジメントは、参加国から参加国あるいは参加国から非参加国への輸出を規制する仕組みであり、非参加国同士での移動は当然まったく規制から自由だし、非参加国から参加国への輸入についてどのような扱いなのかも疑問になる。例えば、Wassenaarアレンジメント参加国同士では、ウィルスの検体の移動すら規制対象に該当しうるという解釈のために悲鳴が上がっているのに、非参加国同士ならまったく制限がない。実際、多数のセキュリティ企業があるイスラエルや中国やインドは非参加国だし、アジア圏では日本と韓国しか参加していないので、レベルの高いハッカーコンファレンスが開催されているマレーシアやシンガポールや香港や台湾も非参加国だ。

  どうやらWassenaarアレンジメントの前提になっているのは、開発に高度な技術が要る兵器やソフトウェアはいわゆる「先進国」のみが作れるので、Wassenaarへそれら「先進国」を参加させることで規制できるという発想だが、その発想自体がすでに疑問なものといえる。

  さらに、現状のWassenaarアレンジメントでは、個人のセキュリティ研究者や小規模独立系セキュリティ企業が最大の影響を受けることが状況的に明らかになって来たことが、これが議論の俎上に上がっている理由のひとつだ。
  例えば、アメリカの法律に基づく解釈では「Deemed Export」という概念があり、これは口頭で伝えるだけでも輸出に該当してしまうという解釈になる。これでは、多数の国籍の従業員で構成されたセキュリティ企業で、Wassenaar非参加国の従業員が含まれていた場合、ウィルスに関しての技術情報を口頭で伝えるだけでWassenaarアレンジメント違反になってしまう。

  また、オープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればWassenaarアレンジメントの規制から除外されることになっているが、これも話は単純ではない。例えばMetasploitにはオープンソース版と商用版があるが、もしWassenaar非参加国でのペンテストの業務があるとして実施のためにスタッフがMetasploitをツールとして持って入国するには、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitを持って行くならば輸出業者として登録しなければならいない事になる。
  あるいは、どのようなオープンソース・ソフトウェアであっても実際にコードが書かれる前の、プログラマーの頭の中で考えている段階ではソースコードはまだ公開されていない。ということは、ソースコードが頭の中にあるプログラマーがWassenaar非参加国に入国すると、Wassenaarアレンジメント違反という解釈ができうる。これらの例は、CCCでのWassenaarパネルで実際に出た話題だ。

  アメリカの商務省でのWassenaarアレンジメント対応規制については、2015年7月のパプリックコメントを反映した新しいドラフトが今年出てくるであろう。EUでは今後2年間かけで対応する規制を作ると言われているので、すでにそれへ向けてセキュリティ協会から意見を注入しようとする動きがある。

  しかし、結局は「Wassenaarアレンジメント」の条文自体を修正しなければ問題はなくならないだろう。それに向けてのセキュリティ関係者の動きも起きている。
Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

  上記の Collin Anderson は、日本のセキュリティ業界からも意見を求めている。Wassenaarアレンジメントの対応への不安や興味のある方は、以下のURLのアンケートに英語だが無記名で良いので意見を送ってみて欲しい。
Questionnaire on Intrusion Software Export Regulations in Japan (English)

iOSの機能制限を使ってさらに安全に

 Apple iOSには、強力な「ペアレンタルコントロール」のオプションがある。しかし実際には、OSの機能制限は両親に限定するべきではない。制限ありのユーザとして自分のコンピュータを利用しているのであれば、モバイル機器上でも同様にすべきだ。そこで今回、当社のCyber Security ServicesによるiOSのヒントを述べる。Tomi Tuominenが最近、私に情報共有したものだ。

 機能制限(Restrictions)を用いるのだ。「設定 > 一般 >機能制限(Settings > General > Restrictions)」と辿る。「機能制限を設定」を選択し、パスコードを設定する。

 そして、まず手始めにアカウントを「変更を許可しない(Don’t Allow Changes)」に設定するのだ。

iOS 9.2 Restrictions

 また「Appのバックグラウンド更新(Background App Refresh)」による変更を制限するのが私の好みだ。こうすると、自分で明示的に許可しない限り、新たにインストールしたアプリがバックグラウンドで実行しないようにできる。

 あなたにとってハッピーな設定を!

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード