月曜日の記事で紹介したサイトの多くは、現在もまだDDoS攻撃による標的となって以来オフラインのままだ。ハッカーたちは26日まで継続すると宣言している。

 　Polskie Radioによれば：「火曜の夕方、インターネットの著作権侵害に反対するACTA合意に対抗するため、1000人以上の人がワルシャワに集まった。トゥスク首相は木曜、ポーランドはこの条約に署名すると認めている。」

 　調印は東京で実施される予定だ。

 　#ここでジョークを：

 　ポーランドの官僚のラップトップをハッキングする方法は？



 　…ユーザ名とパスワードが、ステッカーに書かれているよ。

 　ポーランドからの最新ニュースだ。伝えられるところではAnonymousと関係のあるハッカーたちが、今週予定されている模倣品・海賊版拡散防止条約（Anti-Counterfeiting Trade Agreement：ACTA）の調印に抗議するため、ポーランド政府のWebサイトを攻撃している。



 　ACTAは知的所有権に関する条約だ。ポーランドは1月19日、同条約に2012年1月26日に調印すると発表した。

 　「@AnonymousWiki」というTwitterアカウントが、ポーランド政府への反対運動を呼びかけた。

 　これらはすべて、FBIによるMegauploadのテイクダウンを受けて行われた、SOPAへの抗議とAnonymousの米国政府のWebサイトに対する攻撃に続くものだ。

 　DDoS攻撃により標的とされたWebサイトは以下の通り：abw.gov.pl; arimr.gov.pl; ets.gov.pl; knf.gov.pl; mf.gov.pl; mkidn.gov.pl; mzios.gov.pl; pip.gov.pl; praca.gov.pl; premier.gov.pl; stat.gov.pl; uzp.gov.pl.

 　以下は、現在ダウンしている「premier.gov.pl」のGoogleのキャッシュからのスクリーンショットだ：



 　改竄されたページに埋め込まれたビデオは、ヴォイチェフ・ヤルゼルスキ（ポーランド最後の共産党員リーダー）が1981年12月13日に行った、戒厳令の発表のパロディだ。



 　そして興味深くもあり、衝撃的でもあるのは — ハッカーが「premier.gov.pl」の管理パネルへのパスワードとログインは、「admin」（ログイン）と「admin1」（パスワード）だったと主張したことだ。

 　ハッキングされたラップトップが、ポーランドの行政・デジタル相ミハウ・ボニの副官ものだという報告もある。

 　この状況はさらに展開するだろう。

 　ほとんどの方が、SOPAについて、少なくとも耳にしたことがあると思う。Wikipediaなどの主要Webサイトが今日、関心を高めるため、コンテンツの一部をブラックアウトしている。

 　いくつかの地域で、Googleはロゴを消している。



 　言論の自由やプライバシーの擁護団体の多くが懸念しているのは、SOPA（「Stop Online Piracy Act」の略）が、著作権侵害の防止という名の元に、米国政府機関が海外でホスティングされたWebサイトを掌握する法的権限を、大幅に拡大するということだ。



 　そしてこの問題は、ハリウッドと「コンテンツの著作権侵害」などという話ではない。製薬会社も参加しており、カナダベースのサイトもいくつか、今日のブラックアウトに加わっている。彼らは偽のバイアグラ・スパム関連サイトと一緒くたにされるのを恐れているのだ。



 　米国下院および上院の関連する法案はthomas.govで読むことができる：SOPAおよびPIPA、ProtectIP Act

 　道徳や法律、政治学はさておき、エフセキュアラボの我々は、実装についてより関心を抱いている。言論の自由の擁護者（そして、そう、著作権侵害者たち）が新技術を取り入れるため、SOPAのような法律がインターネット「軍備拡張競争」を開始することは、ほとんど確実のようだ。

 　そして、こうした新技術は、犯罪者によって取り込まれることになる（我々は非常にしばしか、こうしたことが起きるのを見てきた）。避けられるのならば、軍備拡張競争は始めない方が良いようだ。

 　また興味深いことに、TED.comは今日、SOPAへの注意喚起の一部として、ミッコのTEDxBrusselsトークを、フロントページに掲載する予定だ。詳細に関しては、TED Blogをご覧頂きたい。

 　Threat Researchチームの研究者Brodは、新興のMacベースの脅威を監視してきた。Microsoft Excelは、彼が亜種を記録するためのツールの一つだ。2011年の4月から12月まで、Macの新しい脅威は数ダース登場した。

 　さて、Windowsのマルウェアと比較すると大した事は無い。しかし、2011年以前に見られたMacの脅威の数と比べれば、確かにちょっとした事だ。

 　「新しい」という言葉で我々が言及しているのは、固有の亜種であって、我々が目撃した固有の亜種の個数ではないことを心に留めておいて欲しい。我々はマルウェアを数える際、より保守的なアプローチを好んでいる。包括的かつファミリーベースであるほど良い。

 　以下は概要だ：



 　もっと良く見たい？　それならばBrodのスプレッドシートをダウンロードして欲しい：Mac Threats 2011

 　我々が5月、正確に予測したように（YouTubeビデオ）、Macマルウェアはマーケットシェアが増加したために継続的に増えているのではなく、むしろ時々思い出したように新たな脅威を生み出す、ご都合主義的な「バブル経済」の結果なのだ。

 　2012年も同じことがさらに続くと、我々は考えている。

 　昨日我々は、Android関連サイトから以下の広告を見つけた：



 　これをクリックすると、悪意あるAndroid Marketに導かれた：



 　ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。

 　通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスでホスティングされている。我々の注意を引いたあるサイトは、携帯電話の秘密の機能をアンロックすると主張していた。この同じサイトは、ロシアのフォーラムでプロモートされていることも分かった。

 　同サイトを訪問すると、「Phone Optimizer」であることが示される：



 　上のテキストは、携帯電話メーカは金をかせぐため、携帯電話の機能を隠すことが知られていると述べている。この考えは、メーカが秘密の機能をアンロックするOSアップデートを通じて、金を儲けるというものだ。同サイトは、このような秘密の機能を自分の電話でチェックし、アンロックすると主張している。

 　以下はスキャン結果の例とその英訳だ：



 　電話のモデルはUser Agentをチェックすることで、正しく識別された。ダウンロードリンクは同国のロケーションに基づいた番号に、有料課金型のSMSを送信する悪意あるファイルへと導く。

 　悪意あるページは、Androidデバイスのみを標的にしているのではない。Android端末を使用してアクセスすると、「optimizer.apk」というファイルが発行される。またはファイル「optimizer.jar」をダウンロードする。

 　我々はこのマルウェアを「Android/FakeNotify.A」（APK）および「Trojan:Java/FakeNotify.C」（JAR）として検出している。

 　エフセキュアの「Browsing Protection for Mobile」はこの記事で特定された悪意あるリンクを、ブロックすることが可能だ：



 　ちなみに、我々の読者に：もし皆さんが怪しいモバイル・サンプルに出会ったら、分析のため、遠慮無く我々に送って欲しい：android-labs@f-secure.com.



-  　投稿はRaulfとKarminaによる（また、ロシア語と英訳ではDimaの協力を得た）

---

 　Androidアプリケーションパッケージ（APK）は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため、今日ではそれはかなり良くあることだ。では、アプリはクリーンだが、広告モジュールが疑わしい場合はどうだろう？

 　ユーザがメインのアプリに対してパーミッションを与えてインストールした場合（求められているパーミッションについて、良く理解しており、気にかけていると仮定する）、ユーザは広告モジュールにも同じパーミッションを使用することを許可することになる。時折、パーミッションはメインのアプリケーションではなく、広告モジュールによってのみ使用される。

 　現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しない。そしてセキュリティに関しては、ユーザとアナリストの双方にとって、それはまだ違法かどうか微妙だ。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットで、パーミッションに関する非常に一般的な説明が書かれている：



 　メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすくはないだろうか？　あるいはさらに良いのは、広告モジュール用のパーミッション・タブがあるとか？　そうすれば、メインのアプリ/広告モジュールが何をするか、ユーザにより分かりやすくなり、インストールを続けたいかどうか選びやすくなるだろう。

 　先頃、こうしたことを示す事例があった。メインのアプリはクリーンだったが、広告モジュールに問題があった「Spyware:Android/AdBoo.A」の事例だ。これは、ユーザの機密情報を収集し、リモートサーバに送信していた。

 　現在、大部分の広告サービスは、「ターゲットを絞った」広告を提供するため、携帯電話からの若干の情報を必要としているが、AdBooで我々は、同モジュールがあまりに多くの情報を要求していると考えた。そして同広告モジュールが基本的に、メインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリを残す方法は無い。

 　アプリにパーミッションが与えられると、広告モジュールは先に進むことができる。正規の広告を表示するだけなら、それで良い。もしそのモジュールが疑わしいルーチンを含むなら、それはあまり良いことではない。AdBooのケースでは、モジュールは電話から詳細を収集するが、以下のスクリーンショットでそのいくつかが強調されている：



 　そして以下は対応するSmaliコードで、これらの情報が実際、広告バナーを提供する以前に収集されている：



 　現在、同アプリが広告を含んでいるかどうか、あるいはインストールの前もしくは最中に、どのような広告が表示されるか、はっきりとは分からない。一部の開発者はマニュアルで、アプリが広告を含むことを明記しているが、全ての開発者がそれほどきちんとしているわけではない。アプリが「広告入り」もしくは「広告無し」とはっきり表示されていれば、ユーザにとってより明白ではないだろうか？

 　そして最終的な問題は、全ての開発者が自分達の製品で表示される広告のタイプを、コントロールできるわけではないことだ。広告モジュールは通常、サードパーティの広告プロバイダから、時には複数のサービスからマテリアルを持って来るため、表示される広告のタイプをコントロールすることは、より扱いにくくなっている。最悪の場合、子ども用のアプリに成人向けの広告が表示される場合もあるようだ。


----

ThreatSolutions post by Jessie

 　5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア（悪意あるソフトウェア）分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら嬉しく思う！

 　脅威の様相について良くご存知なら、Androidユーザがますます、マルウェア関連の詐欺の危険にさらされていることに気づいているかもしれない。これは我々のラボで、Androidマルウェア分析のハードワークが行われていることを意味している。こうした努力の一部は、エフセキュアの研究者Johannes Raveにより行われているが、彼は昨年、Aaltoのコースに参加した後、エフセキュアラボに加わった。JohannesはAndroid脅威の自動検出に関する論文に取り組んでいる。特に彼は、PandaBoard開発ボード（以下に写真がある）などのツールを用いて、分析作業を自動化する研究を行っている。



 　我々は同コースに、より多くのAndroidマルウェア分析技術を導入することも決定した。アジェンダには他にもいくつか変更が加えられ、今春のコースは「Reverse Engineering Malware」と呼ばれている。コース後には、学生の皆さんが古き良きWindowsであれAndroidのような他のプラットフォームであれ、あらゆるタイプのマルウェア分析に必要なスキルを獲得できることを願っている。