エフセキュアの「Safe and Savvy」ブロガーの一人、Melody-Janeが先日、YouTubeで見つけた「エフセキュア インターネット セキュリティ 2010」の「無料」オファーについて、私に聞いてきた。彼女はこのビデオ、そしてそこに付随したリンクは、疑わしいどころではないと考えていた。そこで私はチェックしてみた。

 　その結果、「Cost per Action（CPA）」スパムを発見した。私が最近、Facebookで調査しているのと同種のものだ。（私は本当に、「本当に」このCPAが嫌いになりはじめている。）

 　これは以下のような典型的ビデオだ：



 　「削除される前に…リンクをクリックしてダウンロードを始めよう！」

 　もう遅い。私はすでに、YouTubeとBit.lyに対して、私のリクエストの30分以内に、このビデオがリンクを悪用していることを報告した。（ナイス！）

 　以下は、別のスパムビデオ例だ。



 　ご覧の通り、スパマーが詐欺に利用しようとしているのは、エフセキュアのソフトウェアだけでなく、他の多くのAV製品も提供されている。

 　ビデオ内で紹介されているリンクをクリックすれば、「WordPress.org」ブログに導かれる。

 　そして、「無料コンテンツをアンロックする」ためのCPA調査が提示される。



 　調査に記入すると、得られるコンテンツは何か？

 　動画共有サイトへのリンクだ…（何てことだ）。

 　不正なソフトウェアのダウンロードは、一般的にマルウェアへの近道だ。我々は（何のソフトウェアであれ）推奨しない。

それでは
ショーン

 　ここ数日、DLLハイジャック（あるいは「バイナリプランティング」）のカテゴリに分類されるエクスプロイトが、多くの注目を集めている。AppleのiTunesには問題があり、他の多くのアプリケーションも同様のようだ。

 　この問題は実はまったくシンプルなものだ。攻撃者が誰かをだまして、フォルダからデータファイル（たとえばiTunesの場合はMP3ファイル）を開かせようとし、同時に、同じ場所のどこかに、悪意あるダイナミックリンクライブラリ（DLL）を置く。こうすることで、脆弱なアプリケーションに悪意あるコードを実行させることが可能になる。したがってネットワークシェア上で誤ったファイルをダブルクリックすると、マシンが感染してしまう可能性がある。

 　全ての問題は、決して新しいものではない。Thierry Zollerが指摘しているように、ほぼ同一の問題が10年も前に報告されている。我々は何故、現在多くの新しい脆弱性を目撃しているのだろうか？　多くは、先週の日曜、HD Mooreにより提供された新しいツールに起因している可能性がある。同ツールは、このよう脆弱性の発見を非常に容易にするのだ。

 　よって、安全を保つためには何をすることができるだろうか？　Microsoftが、この問題について「Security Advisory 2269637」を発表している。リスクを軽減する方法がいくつか紹介されている。また各製品の脆弱性には、ベンダからのアップデートを適用するべきだ。

 　我々はもちろん、この事態を詳しくフォローし、この脆弱性を悪用している悪意あるDLLの検出を追加していく予定だ。

 　現在、我々のソフトウェアにいかなる脆弱性も見いだしていないが、この問題に関し、さらに調査を進めていく。

サインオフ
アンティ

追記：Windowsソフトウェアの開発をしている皆さんに：LoadLibrary（「mylibrary.dll」）という単一のファンクションを明確にするのが、こんなにも難しいというのは奇妙なことではないだろうか？



 　LoadLibraryのドキュメンテーションはおよそ1100語で、詳述しているページは1000語、そして本当に理解するための方法を紹介しているページは900語以上となっている。およそ3000語、あるいはこの記事の10倍ほどの長さだ。LoadLibraryを気に入るだろう！

 　先週、ラボは大量に出回った奇妙なマルウェア群を特定した。有効なAuthenticodeコードサイニング証明書でサインされたファイルだ。



 　このようなものを、我々は以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。

 　私は、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する、小規模なコンサルティング会社を見つけた。

 　この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態は私にとってより興味深いものとなった。実際、彼らはソフトウェアを作成しておらず、それゆえサインすべきものなど何も無いのだ。明らかに、誰かが彼らの名前で証明書を獲得したわけだ。彼らはID窃盗の被害者ということになる。

 　私は、被害者と不正な証明書にサインした認証局であるComodoの助けを借りて、このケースを調査した。そして同証明書が、実在の従業員の名前で申請され、Comodoは電子メールだけでなく、電話による確認も行ったことが分かった。この詐欺師は、その従業員の電子メールにアクセスすることができ、電話による確認は、違う人のところにかかったか、何らかの誤解があったようだ。そのため、電話によるチェックは、このケースを食い止めることができなかった。

 　Comodoは不正な証明書の取り消しを行い、同証明書でサインされたすべてのファイルは、自動的にブロックされる。

 　また、今回の調査で、私は被害を受けた従業員が、他のCA会社Thawteからの電話を受けとったことを知った。Thawteは彼女に、会社の名称でコードサイニング証明書を申請したかを尋ね、彼女はそれに対し「いいえ」と回答した。そしてThawteは、証明書受け付けのプロセスを打ち切った。どうやらこのマルウェアの作者は、アプリケーションプロセスを操作するため、すべてが上手く行くまで、複数のCAを試したようだ。

 　このケースは、コードサイニングの信頼性に対して深刻な懸念を与えるものだ。

 　詐欺師たちが企業の電子メールにアクセスできる場合、その企業からの申請が本物かどうかをCAが確認することは非常に難しい。将来的に、間違いが起きることもあるだろう。評判の良い無実の企業が、マルウェア作者のプロキシとして、有効な証明書を入手するために利用されるという、今回のようなケースを目撃することが増える可能性は高い。

 　認証局は既に、疑わしい証明取得の試みや、その他のシステム悪用に関する情報をパスする手段を有している。しかし、これらのシステムは人間によって維持されており、それゆえ間違いも起こりうる。我々は、現行のシステムでは、証明書はファイルの素性に対する100パーセントの保障とはならないという事実を受け入れるべきだ。

 　いくつかの認証局で提供されているシングルエントリの現状は、セキュリティの観点から見て良いことではない。認証局は、単一のドメイン名、たとえば「f-secure.com」が、一度に1つのレジストラのみがホスティング可能なドメイン名と同様、類似したプロセスを持つべきだ。

 　また、コードサイニングあるいはSSL証明書は、一度に1つのCAのみにより署名することができるようにすべきだろう。

 　そうすれば、何者かがエフセキュアの名前で証明書を得たいと考えた場合、その人物はエフセキュアが現在証明書を得ている、エフセキュアと取引関係のあるCAからのみ、獲得することができ、その結果、すべての証明書の新規リクエストは、既存の連絡窓口で確認されることになる。こうしたことを可能にするには、CAは情報リソースを集約する場所が必要となるだろう。

 　すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、スキャムやソーシャルエンジニアリングの可能性があまりにも高いことを考えれば、セキュアではあり得ない。

 　コードサイニングの悪用について、さらに知りたいとお考えの方のため、この10月、私は「T2 Information security conference」でプレゼンテーションを行う予定だ。



サインオフ
ジャルノ

 　今日、我々は新たなFacebookスパム（YAFS）の例を得た。

 　このスパムは「I May NEVER T�XT AGAIN After Reading THI$!!」というFacebookページにリンクしている。

(管理人註：「TEXT」の「E（eの上に山形のアクセント記号付き）」の部分が文字化けしておりますが原文との同一性を維持するためにそのまま掲載いたしております)



 　ご覧の通り、20万以上の「気に入った」が記録されている。

 　Facebookユーザは、先に進むには「気に入った（Like）」ボタンをクリックしなければならない。



 　しかし実際はそうではない。ステップ1はスキップして、Selection Sourceを見てみよう。



 　ステップ2では、このページをシェアするようリクエストしており（だが、強制はしない）、ステップ3ではBloggerへのリンクを提供している。



 　Bloggerページを訪問すると、CPAlead（アフィリエイトマーケティングベンダ）のJavaScriptが有効になる。

 　Googleがblogspot.comでホスティングされたページ上に、この種のものを認めるとは想像もしていなかったため、実際、我々はこのことに驚いた。



 　Bloggerページを見るためには、調査に記入しなければならない。

 　しかし、実際はそうではない。「NoScript」のようなブラウザアドオンが、JavaScriptを無効にし、同ページを見るのに使用することができるからだ。「Adblock Plus」も同様だ。

 　調査を無効にすれば、「Never Texting Again」ブログは以下のように見える。



 　このBloggerページは、2010年5月に作成されており、2008年9月のswitched.comの記事を単にコピーしたものだ。

 　では、このページを見るために、何人の人が調査に記入したのだろうか？　同ページにはカウンターが無いため、それを特定するのは難しい。

 　同じようなテーマの6月29日のスパムリンクが、ヒントを与えてくれる：



 　bit.ly linkに、ほぼ30万のクリックが記録されている…

 　しかし、クリックがコンバージョンに等しいわけではない。

 　bit.lyの統計が、同リンクに対する「気に入った」は、たったの3048であることを示している。

 　これは「気に入った」へのクリックから（ステップ1からステップ2）、1パーセントのコンバージョンレートに過ぎない。そして、昨日言及したように、調査（ステップ3）に記入した人は、さらに少ないようだ。

 　そう。このリンクは確かに「ウイルスのように拡散する」。しかし、賢人がかつて書いたように「慌てるな！」。

 　このリンクは単にスパムであり、大多数の人にはそうと分かる。それはちょうど、調査にもリンクしている電子メールスパムやスキャム、そしてうさん臭いオファーなどと同様だ。

 　このスパマーは、Bloggerページをいくつか持っている：



 　そしてそれらはすべて、Googleのスパムの定義に合致しているようだ：



 　そこで我々は、Googleに全アカウントを報告した。

 　けりはついた。

 　我々は、CPAスパマーが詐欺を継続するといった種類の「ニュース」は気にしないが（あなたもおそらくそうだろう）、もしかしたらこの種のスパムにしばしば引っかかる友人がいるかもしれない。その場合は、「Bypass Facebook Fan Pages」をチェックすると良い。このサイトは、Facebookスパムを追跡し、CPAアフィリエイトが乗じようとしているマテリアルにリンクしている。彼らはTwitterアカウントも有している。

 　スパマーを蚊帳の外に置こう。

 　Facebookスパム（誤ってスキャムと呼ばれる）がこのところニュースになっている…

 　そして我々は、「ウイルスのように広がる」リンクに対するあらゆる対応が、どの程度効果的なのか疑問に思っている。コンバージョンレートはどの位なのか？　リンクはウイルスのように広がるというが、だからどうなのか？　それはプロセスの中の1つのステップにすぎない。実際に何人の人が、金儲けのCPA調査に記入を行ったのか？

 　以下は、英国のサッカー選手ピーター・クラウチをエサとして利用しようとする、最近のスパムの例だ。



 　「気に入った」としているのはたった269人、というのは大して興味をそそらないが…

 　しかし、右下の隅にあるあれは何だろう？　何らかのカウンターだろうか？

 　なるほど、このスパマーは「http://whos.amung.us」という統計サイトを使用しているのだ。

 　以下が、同サッカースパムのダッシュボード表示だ：



 　このスパムで記録されたアクションは、1時間に208ヒットが最高だ。

 　以下は、マクドナルドのアンハッピーな「Happy Meal」に関する、よりポピュラーなスパムだ：



 　このスパムは拡散のため、Facebook上でbit.lyリンクを使用している。





 　このリンクは「http://happytruthblog.co.cc」に導くもので、32,000回以上クリックされている。この統計は「気に入った」の数も示している。「気に入った」のクリックで、コンバージョンレートは？　一つのリンクで約40パーセント、他方では約48パーセントとなっている。

 　ダッシュボードでは、トラフィックが上首尾を反映している。



 　40パーセントは、素晴らしいコンバージョンレートであり、電子メールスパムより遙かに良い。

 　しかし、我々は2カ月前に、何十万ものクリックを得たウィルスリンクの例を目撃したが、32,000回というクリックはこうした類似するスパムと比較するとはるかに少ない。

 　人々が危険にさらされるにつれ、リターンは減少し、抵抗が高まり、Facebookスパムがどのようなものか認識される。

 　実際、スパマー自身、このことを知っているようで、人々を納得させるべく、さらに努力している。

 　「Happy Meal」スパムのこのバージョンは、「調査を完了する必要は無い」と約束している。



 　そして「気に入った」とダッシュボードの統計とが、その約束の効果を反映している。



 　しかし、これはスパマーではお馴染みのウソだ。

 　このページには、アンチスパムボット「テスト」があり、これは名前は違うものの調査なのだ。



 　ページを閉じよう。だが、これは何だ？



 　スパムフリーのマーケットリサーチ調査を完了するのに1分のお時間を、だって?!?

 　信じられない。

 　スパマー連中め！　彼らがJavaScriptで何を隠蔽しようとしているのか、見てみよう。

 　以下は、スパムページのページソースだ：



 　このページを「気に入った」や、Facebookで友だちと「シェアする」という部分ではなく、「ステップ3」にスキップし、「/reveal.html」をオープンしよう。

 　うーん、これは「widget.php」のリファレンスを示している。



 　そして「widget.php」のページソースが、最終的な結果を示す：



 　何だって？　本当に？　この「Happy Meal」ストーリーは、2007年11月に話題になったものだった？　これはこれは…

 　これらのまぬけなスパマーがプッシュしている「無料コンテンツ」がこのタイプのものなら、彼らの骨折りに対するリターンが減少しているのは驚くべき事ではない。冗談にもほどがある。

 　我々が今日検証した他の2、3の例では、ビデオがエサ（video.php）に使用されていた。これらのスパムページは、最終的にYouTubeビデオにリンクされているが、それらの表示統計は、埋め込まれたソースから数十の表示を示すのみだ。

 　これは良いニュースだ。データの検証によれば、実際に調査に記入を行う「ステップ3」に進んだ人の数はどんどん減少していることが分かる。大多数の人は、そのページを「気に入った」とした直後に、あるいはリンクをシェアした直後に、同プロセスを離脱している。

 　しかし、悪いニュースもある。

 　ソーシャルネットワークのスパマーは、自分達の労力の報酬を得るのに、大勢の人々をだます必要はない。調査の多くはSMSの登録（特に米国外の）へと導き、かなりの儲けが期待できるのだ。そして、電子メールスパムよりもコンバージョンレートが良いことを考えると、いますぐ無くなることはないのは確かだろう。

 　PlayStation 3のディスカッションに興味のある読者の皆さんにとっては、PS3の新たな「ジェイルブレイク」に関する話題は見逃すことのできないものだっただろう。同ゲーム機のセキュリティモデルをくずし、サードパーティのソフトウェア（そして違法コピーされたゲーム）の実行を可能にするUSBドングルのニュースは、野火のように広まっている。



 　オンラインの悪人達が、この騒ぎを悪用しようとしているのは当然だろう。本物のUSBジェイルブレイクガジェットは、USBドライブではない。しかしそのように見える。そのため現在、一部の連中が通常のサムドライブから、ジェイルブレイクUSBデバイスを作成すると称したWindowsプログラムを配布している。ダウンロードし、同プログラムを実行するだけで良いという。



 　実際は、同プログラムはバックドアをドロップする。我々は「Trojan:W32/Agent.DLEN (md5 e3e03501c795a6cc4c53df2619cadd4b)」として検出している。

 　スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。



 　「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

 　我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

 　これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

 　Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

 　Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。



 　その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。





 　たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。