エフセキュアブログ

F-SECURE

BBC News:LulzSecのハッカーにインタビュー

 BBC Newsの13分間のレポートは一見の価値がある。

LulzSec hacker: Internet is a world devoid of empathy

LulzSec hacker: 'Internet is a world devoid of empathy'
(LulzSecのハッカー「インターネットは共感が欠けている世界だ」)

イギリスでLulzSecに判決が下される

LulzSec Twitter

 ハッカーグループ達のロックバンドLulzSecのメンバー6人のうち3名に対し、本日ロンドンにて判決が下された。

 2011年5〜6月の「50 days of Lulz」の期間中、LulzSecはFOXPBS(米国公共放送サービス)、ソニー任天堂セガMinecraftInfragardNHS(英国国民保健サービス)、米国上院SOCA(英国重大組織犯罪庁)、CIA(米国中央情報局)を攻撃したとして、大きなニュースになった。また彼らは、アメリカとヨーロッパの捜査当局間の電話会議による、警察のLulzSecに対する戦術の議論を録音し、公開した。

 LulzSecは金儲けや抗議のために攻撃をしかけるわけではない点において、他の大半の攻撃者とは一線を画している。彼らはThe Lulzのために行うのだ。また、自己防衛という観念がまったくなく、それが彼らの解体につながった。

 LulzSecには6人のコアメンバーがいる。
  • Topiary、本名Jake Davis (@aTopiary)、イギリス
  • T-Flow、本名Mustafa Al-Bassam@let_it_tflow)、イギリス
  • Kayla、本名Ryan Ackroyd@lolspoon)、イギリス
  • Sabu、本名Hector Monsegur@anonymouSabu)、アメリカ
  • Pwnsauce、本名Darren Martyn*_pwnsauce)、アイルランド
  • AVunit@AvunitAnon)、正体不明
 上から3番目までのメンバーが本日判決を受けた。
  • Jake Davisには禁錮24ヶ月が科せられた。少年院で12ヶ月服役する
  • Mustafa Al-Bassamには禁錮20ヶ月執行猶予2年、300時間の社会奉仕の判決が下った
  • Ryan Ackroydには禁錮30ヶ月の判決で、15ヶ月服役する
 Lulzsecに関わりがあるボットネットのマスターであるRyan Cleary(別名Viral)にも同時に判決が出た。彼には禁錮32ヶ月が下された。16ヶ月間刑に服す予定だ。

 Sabuは2011年6月に逮捕された。罪状を認め、以来FBIに協力してきた。彼にはまだ判決が出ていない。

 Darren Martynは2012年3月に起訴されたが、いまだ刑は処されていない。

 つまり6人5人のLulzSecのメンバーは逮捕された。残る謎は6番目のメンバーAvunitだ。

 Avunitとは何者だろう?なぜ他のメンバーのいずれも彼について白状していないのか?

 我々にはAvunitが誰なのかは分からない。正体不明だ。どの大陸出身かさえ判明していない。

 追伸。お決まりのnyan.catをどうぞ。

Oslo Freedom ForumでMacのスパイウェアが見つかる

 Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。

 当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。

 このスパイウェアはAppleのDeveloper IDで署名されている。

Developer ID

 起動ポイントは以下だ。

Launch point

 スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。

Screenshot dump folder

 ファンクションは次のとおり。

Functions

 このサンプルにつながりのあるC&Cサーバは2つある。

DomainTools, securitytable.org
securitytable.org

DomainTools, docforum.info
docsforum.info

 片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。

docsforum.info
Forbidden

 当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)


ダウンロード:2013年第1四半期のモバイル脅威レポート

 当社の2013年第1四半期のモバイル脅威レポートが公開された。

Mobile Threat Count, Q1 2013

 これまでのレポートもすべてf-secure.comの「Labs」カテゴリからダウンロードできる。


ウェビナーをブログで公開

エフセキュアラボのウェビナー:Mobile Threat Report Q1 2013



ウェビナー:5月13日月曜日

 エフセキュアラボの次のウェビナーの予定を入れる時がやって来た!

 今回はGoogleの「ハングアウト オンエア」を試してみる。

Google Hangout Webinar, May13

 詳細:F-Secure Labs Threat Report Preview Webinar

 皆さんにお会いできるのを楽しみにしている。

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 先端技術研究所 チーフセキュリティアーキテクト
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長
(人物紹介)
鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード