エフセキュアブログ

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

CESでの収穫?無人航空機(ドローン)、プライバシー、モノのインターネット(IoT)





エフセキュアはCESから戻ってきました。CESには、最新のイノベーションをいち早く見るために、テクノロジー業界がラスベガスで一堂に会します。こうした最新技術の中には、近い将来に私たちの生活を変える可能性のあるものもあれば、もう二度と目にすることも、耳にすることもないものもあるでしょう。

20万平方メートルの展示スペースには、無人航空機が飛んでいたりそれぞれがそれぞれのやり方でアピールしています補聴器はスマートフォンアプリとつながり3Dプリンタはチョコレートを印刷していました

エフセキュアはFreedomeで注目を集めました。David Perryが業界専門家に対し、彼らのほぼ全員が携帯しているモバイルデバイスには単に「つなげる」以外にさまざまな可能性があることを伝えました。

彼は自分のスマートフォンをイベントフロアに置いて、RCR Wireless Newsへ次のように話しました。「ちょっと立ち止まり、考えてみてください。これには2つのカメラが搭載されています。マイクも2つあります。GPSやメール機能も付いています。私の居場所だけでなく、近くに座っている人が誰であるかもわかる近距離検知機能も搭載されています。これはとてつもない量のデータの塊なのです。私がインターネットで閲覧するあらゆるサイト、使用しているアプリ、所有するクレジットカードの種類まで。そして、このスマートフォンそのものは私のプライバシーを守るための対策を講じてくれているわけではありません。」

スノーデン事件の後、専門家たちは、自分の「メタデータ」により、どの程度自分たちのことがさらけ出されるのかということに唐突に気付かされています。

プライバシーは2015年最大の話題の1つである「モノのインターネット(IoT)」の議論でも大きな役割を果たしています。

洗濯機や電球、トースターなど、プラグを差し込むことができるほぼすべてのものがインターネットに接続される時代は、大方の予想よりも早く到来しつつあります。サムスン電子は、今後10年以内に同社が製造するデバイスのすべてをインターネット接続対応にすると発表しました。

スマートフォンに多くのプライベートデータが保存されているとすれば、スマートホームはどうでしょうか。

当社のEd Montgomeryは、イベントの基調講演中(IoTのプライバシー問題に取り組んでいる米国連邦取引委員会(FTC)のエディス・ラミレス委員長の講演など)で次のようにツイートしました。「今FacebookやGoogleがユーザのデータを保管していることを懸念している人は、今後2年から5年の間にIoTで何が起こるのかを確認するまで待ってみてはどうでしょう。」

ホームルータを狙う攻撃が新たに検出されたことからわかるのは、ネットに接続された電化製品に集められたデータは、PCと同じくらいスパイやハッカーの攻撃に対して脆弱であるということです。

中には、こうしたプライバシーに対するリスクが、時間の短縮や労力、エネルギーの節約につながるテクノロジーの導入を妨げる可能性があるのではないかと不安視している人もいます。

エフセキュアはIoTやスマートホームの可能性を認識しており、今後を楽しみにしています。しかし、それと同時に、潜在的な脅威やリスクについても理解しています。当社の役目は、お客様がIoTのメリットを十分に享受できるようにすることであり、これこそ当社が、お客様が安全かつ十分な制御のもとにIoTやスマートホームソリューションを導入できるようにするための新たなイノベーションに取り組んでいる理由です。この先がとても楽しみです。今後数カ月以内には、当社が将来提供するIoTソリューションの詳細についてご紹介いたします。

我々、エフセキュアIoTチームは、皆さんからのご意見をお待ちしています。IoTをいち早く利用する準備はできていますか。皆さんが夢見る「つながる家」とはどのようなものですか。あるいは、もしかすると、すでにスマートホームを実現されていますか。不安な点は何ですか。スマートホームが悪夢へと変わってしまうとしたらそれはどのような理由によるものでしょうか。

規定をご確認いただいた上で皆さんのご意見をお寄せください。抽選でiPad Air 2 16 GB Wi-Fiをプレゼントいたします。

>>原文へのリンク

エフセキュア、アンチウイルスLinuxゲートウェイの仮想アプライアンス版 新バージョン Ver5.20リリース

エフセキュア株式会社は、ゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ 仮想アプライアンス版」の新しいバージョンとなる、Ver5.20をリリース致しました。昨年11月28日に公開した、Linuxゲートウェイ Ver5.20をベースに仮想アプライアンス化を行っています。

手軽に強力なセキュリティを導入

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイで侵入をブロックします。高いパフォーマンスと検知率を兼ね備え、社内ネットワークを安全に保つソリューションとして、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。

2013年に最初のバージョンがリリースされた「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、OSも含めてベンダーが提供を行い、ユーザは仮想基盤の管理ツールから簡単に構築が行えるという特性があります。そのため、構築・運用の両面について、サーバのOS導入・メンテナンスコスト、またそれに伴う専門の知識をもった人材のコストを省くことができ、TCO削減に大きく貢献します。昨今の激化の一途を辿るセキュリティの脅威に対し、ゲートウェイレベルでの対策の必要性を感じつつも、コストや人材の面で導入に踏み切れなかったお客様にとって最適なソリューションです。

90日間の評価版をお試しください

「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、90日間の評価版がご利用頂けます。評価期間中もエフセキュアのサポートセンターから電話とメールでのサポートを受けることが可能です。評価版やインストールガイドのダウンロード、サポートへの連絡方法などはhttp://www2.f-secure.co.jp/download/trial/linuxgw/index.htmlをご参照ください。

どのサイトに行こうともあなたはトラッキングされている――あなたのPCで対抗する方法



友人に子供が生まれたので、インターネットで出産祝いをしばらく探していると、しばらくの間、閲覧するほとんどのサイトにおむつの広告が表示される――あなたにも、このようなことが過去に起こってはいないでしょうか。

そうです。Webは気味の悪い場所とも言えます。情報機関や犯罪者だけが、インターネットでのあなたの行動をトラッキングしているのではありません。あなたのブラウザセッションには、目に見える以上に多くのことが起こっています。

たとえば、このエフセキュア セキュリティ研究所の調査によると、世界で最も人気のある100のURLのうち、実際に人がアクセスしているのはわずか15%であることがわかっています。残りの85%はサードパーティのサイトで、ブラウザセッションの背後で、ユーザが訪問したサイトからアクセスが行われています。これらのサードパーティのサイトの半数以上が、トラッキングに関連していて、インターネット上であなたのプロフィールと閲覧傾向の蓄積に一役買っています。

なぜこうしたことが行われるのでしょうか?おむつ広告の場合を例にとると、マーケティング担当者は、興味と好みに合う広告を使って、あなたを容易にターゲットにすることができるのです。少なくとも、ターゲットにしようと試みることができます。

では、どのような仕組みになっているのでしょうか?あなたは、広告が表示されたサイトを訪れると、そのサイトの広告の背後で、マーケティング業者によってトラッキングされます。1つのマーケティング業者は、その他Webサイトからなる膨大なネットワークも利用しているでしょう。ですから、そのマーケティング業者と関係する別のサイトを訪れるたびに、あなたやあなたのインターネット上での行動に関するデータがその業者に収集されていきます。このように集められたデータはすべて、あなたに関する膨大なプロフィールの一部となり、蓄積されます。

このことに少しばかり気味悪さを感じても、ご安心ください。皆さんはデジタル・プライバシーの管理を取り戻すことができます。どのサイトを訪問しようとも、簡単な方法で広告主からのトラッキングをブロックできます。昨年、エフセキュアが発売したF-Secure Freedomeを使用すれば、モバイルデバイスへのトラッキングを阻止できます(現在までにFreedomeは、全世界で900万件以上のトラッキング行為をブロックしました)。そして、さらによいニュースがあります。本日、当社はWindows PC用のFreedomeを公開いたしました。

Windows用のFreedomeは、モバイル版と同じプライバシー機能を備え、トラッカーやハッカーからユーザを保護します。また、同じVPNテクノロジーを使って、公共のWi-Fiの利用時にブラウザセッションをスヌーピングから守ります。さらに、新しく搭載されたプライベート検索機能が提供するツールにより、トラッキングされることなく検索エンジンの結果を取得できます。

スノーデン氏による告発以来、私たちは消費者として、接続しているデバイスから自分の生活で最も個人的な情報を晒すことに、いっそう注意を払うようになりました。ピュー研究所のインターネットプロジェクトによる最近の調査では、回答した成人のうち91 %が、消費者が企業による個人情報の収集と利用方法を管理できなくなっていると考えています。

インターネットを利用しているなら、ぜひWindows PC用Freedomeの無料14日間体験版をダウンロードしてください。そして、ご感想をお寄せください。

 
バナーの画像は、Filip Goc氏、flickr.comから転載許可を受けています。

>>原文へのリンク

‘あなたはどこまでも追跡されている’ 接続方法にかかわらずワンタッチの操作でトラッキングを阻止するソリューション

あなたのオンライン上での行動をトラッキングしているのは、諜報機関や犯罪者だけではありません。あなたのブラウジング・セッションでは、目に見えるよりもはるかに多くのトラッキングが行われているのです。F-Secure Freedomeは、1つのサブスクリプションでスマートフォン、タブレット、さらにはデスクトップPCにも、極めてシンプルなプライバシー保護とセキュリティをお届けします。

エフセキュア セキュリティ研究所の調査によれば、世界で最もアクセスされている100のウェブサイトのうち、人の手で直接アクセスされているのはわずか15%です。残りの85%はサードパーティのサイトで、ユーザが訪れたサイトによってブラウジング・セッションの裏で密かにアクセスされているのです。その上、これらのサードパーティのサイトは半数以上がトラッキングに関連するサイトで、ユーザのプロファイルとブラウジング習慣に基づいて構築されています。トラッキングサイトは世界中の何百万ものウェブサイトで利用されており、広告のターゲットとなるユーザを絞り込んでいます。

しかし、今ならデスクトップ上でも自分自身を保護することができます。エフセキュアのシンプルなプライバシーソリューションであるFreedomeは、これまで何百万ものスマートフォンやタブレットに提供してきた「ワンタッチ」の保護を、デスクトップにも提供できるようになりました。昨年の提供開始以来、Freedomeは世界中で9億以上のトラッキングの試みをブロックしてきました。Freedome for Windowsを使用すれば、デスクトップPC上でユーザの存在がトラッカーやハッカー、スパイの目から見えなくなります。しかも、購入済みのモバイルデバイス保護用のサブスクリプションを使って同時に実現できます。

Freedome for Windowsは、新たにPrivate Searchの機能も備えており、デスクトップユーザはトラッキングされずに検索結果を取得できるようになります。Private Searchのツールを通じて、検索エンジンに対して匿名で検索を実行します。Freedomeは、ユーザの実際のIPアドレスをマスクすることでさらに匿名性を高めます。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは、次のように述べています。「エフセキュアは、検索機能にFreedomeのプライバシー保護機能を組み合わせることで、ユーザの個人情報を見えないようにしています。皆さんもおそらく、自分の検索履歴のすべては家族にも知られたくないはずです。であれば、他人に情報を渡すなんてもってのほかでしょう。」

多くのユーザはプライバシーを取り戻したいと考えています

スノーデン事件以来、ユーザはインターネットに接続したデバイスを通じて、私生活を細部にわたってさらけ出しているおそれがあるとの認識をますます強くしています。ピュー研究所のインターネットプロジェクトによる最近の調査では、「企業による個人情報の収集や利用方法についてユーザが制御できなくなっていると思うか」という質問に対し、成人の91%が「そう思う」または「非常にそう思う」と回答しています。

コンティネンはまた次のように述べています。「サードパーティによって取得された個人データは、ユーザの特徴を把握し、その行動に影響を与えるために使用されるか、もしくはこのデータから新たに収益を得る方法が見つかるまでずっと保存され続けます。エフセキュアのFreedomeを使えば、インターネットへの接続方法にかかわらず、ユーザが自分のプライバシーを再び制御できるようになります。プライバシーを手に入れるには多くのお金が必要な時代になっていますが、当社はすべての人が手頃な価格で利用できるようにしたいと考えています。」

悪と闘う善のアプリ

Freedomeは、データを暗号化し、公衆ホットスポットへの安全な接続を実現し、トラッカーを阻止することによって、ユーザの個人情報の漏洩を防止します。また、この他にも複数の方法でデータを保護することができます。

Android向けApp Security機能は、Freedomeの強固で安全な接続、オンラインの匿名性、ブラウジング保護機能に、クラウドベースのレピュテーションスキャニングを追加しています。App Security機能は、個人情報を盗み、コンテンツを破壊し、違法な目的でデバイスを利用しようとする有害なアプリケーションのインストールを阻止します。

コンティネンは次のように述べています。「有害なアプリがひとたびインストールされれば、そのアプリによって不要なファイルが知らない間にダウンロードまたはインストールされる可能性があります。こうしたファイルは、GPSからユーザの位置情報を追跡したり、音声または動画を記録することでユーザを監視したり、あるいは銀行の認証情報までも盗み取ったりするおそれがあります。新製品のApp Security機能は、すべてのダウンロードファイルを、世界中のアプリの最新データベースと瞬時に比較し、ユーザを保護します。

Freedomeは、Android搭載デバイスおよびiOS搭載デバイス、またはWindowsデスクトップPC上で、14日間の無料のお試しが可能です。複数のデバイスプラットフォームで利用できるFreedomeのサブスクリプションをご希望の方は、f-secure.com/freedomeをご覧ください。1台、3台、5台のデバイスで12カ月のサブスクリプションをご購入いただけます。またFreedomeは、Apple App StoreおよびGoogle Playでも購入可能です。その場合のサブスクリプションは1つのプラットフォームに限定されますが、同じユーザアカウントに接続するすべてのデバイス上で有効です。FreedomeのApp securityは、すべてのAndroidユーザに無料で提供されます。

詳細情報:
Freedome

手の届くところにぶらさがっている果実:Flash Player

 現在、Flash Playerバージョン16.0.0.296が公開されている

Flash Player Versions

 インストール済みのバージョンは、WindowsではFlashの設定マネージャーのアプレットで確認できる。

Settings Manager, Flash Player 16.0.0.296

 Adobe Security Bulletin APSA15-01によると、自動更新を有効にしているユーザの場合、1月24日から更新を受け取ることになる。手動でダウンロードする場合には、数日待つ必要がある。

Adobe Bulletin CVE-2015-0311

 手動でのダウンロードが遅れる理由については定かではないが、理由はどうあれ、自動更新を行うことを推奨する。

 それだけでなく、まだある。現時点では「クリックして再生」オプションを有効にすることを推奨する。以下はFirefoxの例で、「実行時に確認する(Ask to Activate)」に設定されている。

Firefox, Flash, Ask to Activate

 Google Chromeにも「詳細設定を表示(Show advanced settings)」の中にオプションがある。

 なぜ「クリックして再生」を推奨するのかって?Flash Playerは現在のところ、エクスプロイトキ 先週からの統計情報を以下に挙げる。Flash Playerのゼロデイの脆弱性を狙うAnglerがエクスプロイトキット市場を牽引していることが、ここから見て取れる。

 フィンランド:

Exploit Kits, January 2015 FI

 ドイツ:

Exploit Kits, January 2015 DE

 イギリス:

Exploit Kits, January 2015 UK

 そして他の地域でも、Anglerが第1位だ。

 なので、Flash Playerをアップデートし、自動更新するように設定し、「クリックして再生」を有効にするといい。

エフセキュア、モバイル向けプライバシー保護ソリューション Freedomeの日本語版提供開始

エフセキュア株式会社は、モバイル向けのオンライン・プライバシーのソリューション Freedomeの日本語版提供を開始しました。また同時に日本国内でのノードを開設いたしました。



スマートフォンやタブレットといったモバイル・デバイスがますます広がりを続けています。また公衆Wi-Fi網が整備される中、3分の2に達する人々が、少なくとも月に1度は公衆Wi-Fiホットスポットに接続しています*。しかし公衆Wi-Fiのホットスポットの利用は、偽のホットスポットを設置してトラフィックを監視するデータ窃盗犯によってデータが不正利用される危険が伴います。それにも拘わらず、大多数の人が接続をスヌーピングから保護するための対策を取っていないのが現状です。

エフセキュアのセキュリティアドバイザー、ショーン・サリバンは次のように述べています。「多くの人は、外出中に公衆Wi-Fiを利用することに何の懸念も抱いていません。しかも大部分の人は、全く保護対策を講じないまま利用しているのです。デバイスの接続を保護していなければ、公衆Wi-Fi接続時にしていることが何であっても、それはたくさんの人がいる部屋の中で大声で話をしているようなものです。」

このたび日本語版が提供開始となったFreedomeはVPNを利用してインターネットの接続を保護し、第三者がデータを傍受できないよう、公衆Wi-Fiの接続を安全にします。またオンライン広告などによる追跡を確実に防止します。

  • VPN:Freedomeは、VPNを使用して、接続中での他人による監視を防止します。VPNは接続を暗号化し、完全にプライベートな接続を提供します。
  • 追跡防止:サイトやバナー、広告によるトラッキングを防止して、広告主によるデータ収集を防ぎます。
  • 安全なブラウジング:マルウェアを含むサイトや既知のフィッシングサイトを検出し、ブラウジングを保護します。
  • ジオブロック(地域制限)の解除:サービスのブロックを解除するために、実際の居場所とは異なる国を仮想ロケーションとして設定可能です。欧州、北米、オーストラリア、アジアのVPNサーバに加え、このほど日本のノードも開設しました。例えば、海外旅行中の場合にロケーションを本国に設定することで、自宅にいるときと同じサービスに快適にアクセスできます。
既に昨年から提供開始している欧米では150万以上のダウンロードが行われ、App Storeでは4+、Google playでは4.3という高評価をいただいております。

Freedomeは7日間、無料でダウンロードし、お試しいただけます。インストールは簡単で、登録や設定は必要ありません。iOSは7.0以降、Androidは4.0.3以降でご利用いただけます。

詳細情報:
Freedome


*6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューによる調査F-secure Consumer Values Study 2014。Informed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。
バックナンバー
新着記事
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード