エフセキュアブログ

香港の抗議者にデジタル戦争を仕掛けているのは?

中国のデジタル機動隊か?
 
Volexityによると、「非常に顕著なAPT攻撃」が数カ月にわたり、香港や日本のウェブサイトを攻撃しているということです。
 
民主主義を支持するサイトが被害を受けていますが、その中には、「ATD(Alliance for True Democracy、真普選聯盟)– 香港」や「People Power(人民力量)– 香港」のほか、中国政府に対する大規模な抗議活動を支えるOccupy Central(中環占拠)やUmbrella Revolution(傘の革命)といった学生運動と関連するその他複数のサイトが含まれています。今、こうしたサイトにアクセスする人は、「脆弱性の悪用、セキュリティ侵害、デジタル監視」を目的に作られたマルウェアの標的となっているのです。
当ブログでの分析では、サイバー犯罪者は、政治的な思惑などなく単純にこのニュースに便乗している可能性があるとMickeは指摘しています。しかしながら、使われているリモートアクセス型トロイの木馬(RAT)は、この運動に敵対する側に大きなメリットを与える可能性が考えられます。
 
Mickeは次のように記しています。「こうしたサイトへアクセスする人の多くは、リーダー格として、または市民レベルで今回の運動に何らかの形で関わっています。彼らの敵は、これらのサイト訪問者が所有するデバイスのほんの一部にでもRATを仕掛けることによって、貴重な情報を大量に入手することができるのです。」
 
そして、リーダー格の人たちがたとえ屈しないとしても、RATのうわさを聞くことでユーザはこうしたサイトに近寄らなくなるでしょう。これは、できるだけ早く抗議活動が終わってほしいと願う人々にとっては効果的な方策です。抗議活動の計画に利用できるTwitterのようなソーシャルネットワークがなければ、このやり方はさらに有効でしょう。しかし、たとえソーシャルネットワークが政府にブロックされたとしても、エフセキュアのFreedomeのようなVPNソリューションがあれば、被害を防ぐことができます。
 
もし、攻撃の目的が抗議者を標的にして抗議活動を鈍らせることであれば、「中国政府が有力な容疑者であることは、誰の目にも明白です」と、Mickeは書いています。
 
国家主導のRAT攻撃、あるいは国家が黙認する、民間組織による攻撃の深刻さは計り知れません。
 
犯罪者たちは個人、企業、政府自体を標的にマルウェアを使っています。反抗する国民に対する政府主導のサイバー攻撃は、Flameのような政府主導型の監視マルウェアがエスカレートしたものと言えるでしょう。こうなると、各企業は政府によるマルウェア攻撃について考えざるをえなくなります。
 
この1年の間に、何の罪にも問われていないインターネットユーザに対して防御を固めるために、政府がこんなにも懐疑的になれるのかということを知ったばかりですが、今は、政府がユーザを攻撃しているのではないかという可能性を目にしているのです。

>>原文へのリンク

エフセキュアとAirangelの提携により、英国における公衆Wifiホットスポットの安全な利用が可能に

エフセキュアは、スヌーピングの撲滅と有害なウェブリンクのブロック、および英国における数千ものWifiホットスポットユーザのプライバシーと安全性の改善を目指し、英国の大手WifiプロバイダであるAirangelと提携しました。AirangelのWifiホットスポットユーザは、ランディングページで、エフセキュアのセキュリティソリューションによりオンラインプライバシーを保護できるようになります。

一流ホテルやアウトドアレジャー施設のほか、有名小売店において公衆Wifiネットワークを提供しているAirangelは、モバイルデバイスからの通信を暗号化することでデータ漏洩を防ぐVPNアプリ、F-Secure Freedomeの発売を受けて、エフセキュアと提携関係を結びました。

英国における公衆WifiおよびゲストWifiについては、特に無料の公衆ホットスポットの利用がますます一般的になっています。これに伴い、オンラインプライバシーへの懸念が増大しています。英国のユーザは、マーケティング業者やハッカー、政府機関から一挙一動を監視、スヌーピングされずに安心してインターネットを利用できることを望んでいます。

F-Secure Freedomeは、特に公衆Wifiの利用時にモバイルデバイスを保護する、セキュリティとオンラインプライバシーのアプリです。シンプルで使いやすいこのアプリは、VPN、アンチウイルス、トラッキング防止およびフィッシング防止機能を備えています。Airangelが提供する接続を利用していれば、保護機能を追加できるとともに、高速で中断のない、使い慣れたインターネットブラウジングを楽しむことができます。

エフセキュアが委託して行った最近の調査*によれば、英国の92%のエンドユーザは、オンライン上でのプライバシーが守られる権利があると考えているものの(政府機関によるスヌーピングや広告マーケティング、または個人情報を盗み取ろうとする犯罪者によるアクセス等にかかわらず)、驚くべきことに、80%以上のユーザが、自身のデータはオンライン上で安全ではない(モバイル上でウェブをブラウジングしている際は特に)と考えています。

エフセキュア英国・アイルランド法人のマネージング・ディレクター、アレン・スコットは次のように述べています。「Wifiは、いまでは至る所にあります。これは、私たちが自由に使える技術の中で、もっとも有益ですぐれているもののひとつです。しかし、この一般性のために、ユーザの間では安全性や認識について誤った理解が広まっています。サッカーの試合結果をチェックするのに、セキュリティが確保されていない接続を利用するのはかまいませんが、SNSアプリを開いたり、メッセージを送る場合などには暗号化が不可欠です。」

Airangelのディーン・ウィルキンソンCEOは、続けて次のように述べています。「Airangelは12年にわたって、創造的なゲストWifiおよび公衆Wifiを提供してきており、いまではホテルや小売店、企業、レジャー施設、イベントなどにおいて、毎年3,500万以上の接続を管理しています。英国内で急成長を遂げている企業に対し、市場をリードする効果的なサービスを提供しているという共通点から、当社はエフセキュアとの提携に大変関心を持っていました。当社はお客様に安全ですぐれたWifi体験を提供したいと考えており、今回の提携によりそれを実現することが可能になるでしょう。」

* 2,000人を対象に、Vital Research & Statisticsが実施した2014年5月の調査

Airangelについて
Airangelは、さまざまなWifiソリューションを提供しています。Airangelのソリューションは、ビジネスに大きな効果をもたらし、より豊かで有益な顧客エクスペリエンスを実現します。Airangelは、企業が顧客体験の管理、パーソナライズ、ソーシャライズを行うことで、Wifiやモバイルマーケティング、ソーシャルメディアを手軽に利用できるようにします。

RATが香港の民主活動家たちを脅かす

 最近、香港が報道の見出しを賑わせている。オキュパイ・セントラル(#occupycentral#OccupyHK)運動や、傘の革命(#umbrellarevolution#UmbrellaMovement)のおかげだ。DPHK(Democratic Party Hong Kong、香港民主黨)とATD(Alliance for True Democracy、真普選聯盟)はこの活動の中心的な組織である。近頃は、こういった活動が民主主義のための戦い以上のものへと発展した。上記の組織のサイトがマルウェアに感染し、#digitalfreedomのための戦いへと変化したのだ。Volexity社は技術的な全詳細とともに記事を掲載している。それは、さまざまな目的で使うことのできる、RAT(Remote Access Trojan)のことのようだ。今回の目的は、実際のところ興味深い疑問だ。誰がなぜこれをやったのか?

 •  現在のサイバー犯罪は、大体においてソーシャルエンジニアリングであり、マルウェアを実行させるために被害者を誘い出しデバイスを感染させる。ショッキングな報道の見出しに便乗して、感染したサイトや詐欺ページに、より多くのユーザを導くことは、サイバー犯罪者にとって非常に一般的なことだ。したがって、世界の注目の的となっている感染したサイトは、政治的な動機が皆無であっても、サイバー犯罪者にとって魅力的だ。

 •  前述の組織は、世界の先端を行くサイバー超大国の1つとの政治的な紛争に巻き込まれている。つまり、政治的な動機により、中国がこのマルウェアの攻撃の背後にいるというのは、もっともらしく思われる。上記サイトへの数多くの訪問者は、指導者として、あるいは草の根レベルで、なんらかの形で運動に関与している。こうした人々のデバイスのほんの一部分にRATを植えつけたとしても、彼らの敵は大量の価値ある情報を得られるだろう。

 •  問題を取り巻く評判によっても、人々が怖がってサイトから離れていくだろう。抗議運動を組織化するのにTwitterが効率的に使われているため、サイトが感染してもおそらく現実的な影響はほとんどない。Twitterのようなサービスを遮断することは可能だが、非常に目立つ劇的な行動だ。またF-Secure FreedomeのようなVPNで回避することもできる。しかし、抗議団体のメッセージを世界中の聴衆に拡散するためには、これらのサイトはより重要である。今回の影響はこのレベルで重大かもしれない。ここでも中国は利益を得る側だ。

 この話の教訓は、当然ながら政治活動家はサイバー攻撃において魅力的な標的である、ということだ。今回のケースに政治的な動機があったという証拠はない。ただ、中国が有力な容疑者であると見当をつけるのに、天賦の才が必要なわけではない。そして、そのおかげで、今回のケースが特筆すべき事態となっている。犯罪者たちはたいてい私的な個人を標的にし、国家は他の国家を標的とする。しかしここでは、国家が政治団体に属する一般人を標的にしているのを我々は目撃したのだ。この種の攻撃は、反対運動を実行する人々にとって、真の脅威だ。そしてこの脅威は、民主的な度合いが低い国々に限ったものではない。多数の西洋の国の警察部隊は、すでに容疑者にマルウェアを使用するための技術的および法的な支援の双方を受けている。そして大抵は、その使用に当たり、適切な透明性と統制が存在しない。

 ざっくばらんに言って、同様のケースがここヨーロッパで発見されても、筆者はそれほど驚かないだろう。現在のところ、ヨーロッパに傘の革命と同規模の民主化活動があるわけではない。しかし当局によって監視されている組織は多数ある。極右団体が分かりやすい例だ。

Micke

エフセキュア、eBook 「モバイルの活用」日本語版を公開

エフセキュア株式会社は、企業環境におけるモバイルツール活用の現状をまとめたeBook「モバイルの活用」の日本語翻訳版を公開いたしました。



デジタル化の急激な進展により、世界のワークスタイルは大きく変化しています。テクノロジーは、毎日の行動に影響を及ぼし、さらに急速にビジネスに反映されています。その結果、業務と場所は切り離され、もはやオフィスに限定されず、顧客との打ち合わせ、カフェ、セミナー、機内、ホテル、さらには自宅にまで広がり、オフィスでの勤務時間以外にも及んでいます。

ワークスタイルが社外に移行したことで、ビジネスの手段もモバイルへと移行しました。今や1つの企業が、さまざまなプラットフォームのデバイス上で業務を行っています。また5人中4人が、個人のモバイルデバイスを業務で使用しています。

ワークスタイルの拡大は、デジタルの脅威と常に隣合わせです。企業は、点在する従業員により無数のさまざまなデバイスでアクセスされるため、企業の情報が漏洩、フィッシング、データ詐取、破損、詐欺の危機にさらされるリスクがますます高まっています。

エフセキュアはこれまで、移動中に業務を遂行するための最善の手段を創出するために献身的に取り組んできました。先駆的なセキュリティソリューションとセキュアなクラウドストレージに支えられた容易なコラボレーション機能との安全な関係が、エフセキュアの製品ポートフォリオを魅力的なものにしています。

eBook「モバイルの活用」の日本語版は、こちらでご覧いただけます。

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


ボブとアリスがMacのOPSEC問題を発見

 これは本当の話だ。ここでは氏名を差し替えているが、関係者の正体については関係ないためだ。


Mac files on a USB drive as seen via Linux

 Macユーザとファイルを交換したことのある人なら誰でも、Mac OS Xがさまざまな「隠し」ファイルをUSBドライブにコピーすることを知っている。

 興味深い部分はここからだ…。

 ボブはこれらのファイルの機能について、疑問に思った(で、なんでこんなに多いのだろう?何をするものだろう?)。ボブはリバースエンジニアリングを行い、当然ながらバイナリエディタでファイルを分析してみた。そしてその時のことだ。メールアドレスや題名の行、一部のケースではアリスのメッセージの冒頭の文が「.store.db」というファイルに含まれていることをボブは知った。

 ボブは自分のUSBドライブにそのようなデータやメタデータがコピーされたことに驚き、さらに調査して次のことが分かった。こうした.dbファイル群を参照するように特別に設計されたフォレンジックツールを使うと、これらの情報を見ることはできないのだ。標準的な見方では「.store.db」は「store.db」と同一のように見える。バイナリエディタで見た場合のみ、.store.dbに埋め込まれた、漏えいした情報が明らかになる。つまり通常のフォレンジックツールではまったく分からないのだ。

 当社ではボブのUSBドライブを調査し、絶対にそこにあるはずのないデータが.store.dbファイルの中にあることを確認できた。当社のMacコンピュータで問題を再現することには成功していない。アリスや彼女のコンピュータへアクセスできないので、推測することしかできない。データは未知の設定によって漏れた可能性も、サードパーティ製のソフトウェアによって漏れた可能性も、マルウェアによって漏れた可能性もある。

 懸念すべきは以下だ…。

 自身がレポーターだと想像してみてほしい。誰か他の人のUSBドライブに漏えいする、あなたの情報ソース宛てのメールについてのデータを欲しいと思うだろうか?もちろんお断りだ!一部の国では、今回のようなOPSECの不具合で、簡単に人々が刑務所行きになる。

 当社では通常は未知の件については書かない。しかし特に今回のケースでは、誰かが問題の根源を特定できることを期待して、記事にした。そして誰かが解明したら、このポストを更新する。

追記

 Mark Janssenは、自身のデータやメタデータがUSBデバイス上のSpotlight検索に関連するインデックスファイルで見つかることを確認した。その後彼はアップル社の製品セキュリティチームへメールを送り、「Apple is aware of the issue and is investigating(アップルは問題を認識、調査している)」と報告を行った。

  Macユーザは、システム環境設定、Spotlight、プライバシーと辿って、Spotlightで検索インデックスの作成を回避できる。Nicholas Ptacekがこの点を指摘した。

 残念なことに、Spotlightの検索インデックスの作成を無効にすることでUSBドライブへのデータの漏えいを防いでいる間は、この設定によりMac自体の機能が制限される。Nicholasはここに掲載されている情報により、他のワークアラウンドが提示される可能性があることを示唆している。

 Jimmy Wall博士は、ドライブから「ジャンク」を自動的に消去する機能を持つ、CleanMyDriveというツールを推奨している。このアプリはMac App Storeで入手できる。

 あなたのSpotlightのインデックスで、隠ぺいされているのが何か見たい?

 Go to the top level of an Indexed volume, and check .Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.(インデックスされたボリュームのトップレベルに行き、.Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.を確認しよう)

 注記:当社のアナリストは、いまだ自分のMacからUSBデバイスに「悪い」.store.dbファイルをコピーできないでいる。そのため、当研究所のMacと、Janssenの言う世のMacとの間には、知られざる変数がまだある。

この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード