エフセキュアブログ

Twitterにおける現在の問題

 Twitter管理者は、週末以来同サービスを悩ませている各種XSS/CSRFワームをシャットダウンすることができずにいるようだ。

 エンドユーザーにとっての実際の問題は、いままでのところ壊滅的なものではなかった。ほとんどのTwitterワームは、単にユーザーのプロフィールを修正し、さらなるユーザーを感染させるだけだ。

 しかしながらこの手の攻撃は、攻撃者がブラウザー・エクスプロイトのようなもっと厄介な攻撃を取り入れるなら、よりひどい状況になり得る。

 同攻撃は見たところ、Stalkdailyと呼ばれるサイトの管理者の「Mikey」あるいは「Mikeyy」に帰されている。StalkdailyはTwitterの競合で、この攻撃の元々の動機は明らかに、この新しいサービスに参加させるべくTwitterユーザーを「盗む」ことだった。StalkdailyのWebページは現在ダウンしている。

 ワームの最新ラウンドは、数分前に開始されたところだ。どうやら今回は、cleaningUpMikeyという名の新規登録ユーザーにより開始されたようだ:

mikeyy

 この攻撃は以下のようなものだ:

mikeyy

 誰かがメッセージを送ってきた人の名前か画像をクリックすれば、感染すると共に同様のメッセージを送信することになる。そしてその人のプロフィールを見たユーザーも同様だ。

 我々はこの攻撃の背後に本当に「Mikeyy」がいるのかどうか、確認できていない。上記の電話番号の確認もとれていない。しかしこの番号は、ソーシャルネットワーキングサイトの以下のページからピックアップされたもののようだ:

mikeyy

 さしあたって、Twitterのプロフィールは閲覧しないこと。

追記:
 同ワームの別の姿をざっと見てみることにしよう。これはメッセージにbit.lyリダイレクターを使用している点が興味深い。

 感染したユーザーは以下のようなメッセージを送っている:「How TO remove new Mikeyy worm! RT!! http://bit.ly/yCL1S(新たなMikeyyワームの除去方法は以下を参照! http://bit.ly/yCL1S)」

 このようなメッセージは非常に悪意あるもので、本物のユーザーによって送られた、この悪意あるメッセージが非常に多く再送信されている。

 bit.lyリンクはTwitterのユーザーreberbrerberのプロフィールにリダイレクトされ、閲覧したTwitterユーザーを感染させる。

 URLリダイレクターを使用する良い面は、このリンクがどれくらいのトラフィックを受けたか、正確な統計が取れる点だ。同URLは1万8000回以上クリックされたことが分かっており、この数字は今も増大している。

mikeyy

 それでは、これらのユーザーの分布は?

mikeyy

 図表をもう一つ。Tweetscoopのmikeyyというキーワードの統計によれば、発生は現在横ばいになっている。

mikeyy

イースターにTwitterワームが発生

 昨夜、Twitterプロファイルで数時間、クロスサイトスクリプティングワームの感染が広まった。

 知らぬ間に自分のプロファイルがTwitterメッセージを送信していたことを、ユーザー達が報告し始めた。メッセージは以下のようなものだ:

stalkdaily
stalkdaily

 メッセージは後になって、何度か変化している。

stalkdaily

 本当に友達による投稿だと思った多くの人が、このリンクからstalkdaily.comにアクセスした結果、同サイトのクロスサイトスクリプトにより、新たなユーザーが同じメッセージを投稿し始めることになった。

stalkdaily

 同攻撃の技術的な詳細については、dcortesi.comに掲載されている。

stalkdaily

 予想通り、同ワームはstalkdaily.comによる派手な宣伝だった。

stalkdaily

 この攻撃に対するTwitterの公式な最新ステータスは、status.twitter.comのステータスページで確認できる。

stalkdaily

 我々の調査によれば、このスクリプトファイルは Worm:JS/Twettir.A だ。


追記:
 この騒動はまだ終わっていない。1日か2日で、かなり多くの修正版Twitterワームが登場するだろう。Twitterでは慎重に振る舞うこと。プロファイルは閲覧せず、リンク先にはアクセスしないよう注意してほしい。外はいい天気だし、かわりに散歩にでもでかけては?

 以下は現在の亜種だ:

mikeyy

 これらの攻撃はみな、Javascriptベースだ。不安ならJavascriptをオフにすること。詳細はここを参照。

ConfickerはBlasterと何が違うのか

 また亜種が出てきたか!!という思いです。(T T)

 Confickerのアウトブレイクは、よく2003年のBlasterワームの再来と例えられています。しかし、大きく異なるのが感染後の駆除が厄介な点ではないでしょうか。苦戦されている企業が多いことから、筆者らも先日緊急アラートを出しました

 長期化する組織内に潜入したConficker(Downadup)の駆除・対処について
 http://www.lac.co.jp/info/alert/alert20090409.html


(1)駆除ツールが効かない?

 Blasterワームと比較し、Confickerはかなり巧妙な作りになっています。その為か、駆除ツールが必ずしも有効ではありません。筆者の検証結果では、5つの駆除ツールをテストした結果、適切に動作したツールは2/5でした。適切に動作しなかったものは2つのタイプに分類できます。

・駆除したと表示 -> 実際は駆除していない
・駆除できないと表示

 特に前者のタイプはユーザを裏切る最悪のケースと言えます。


(2)組織的駆除の難しさ

 感染経路が多いため、一発で組織的に解決することが難しい点が挙げられます。

・ネットワーク共有
・外部記憶媒体(特にAutoplayの問題)
・モバイルブロードバンド
・ウェブ

 多く見かけるのが、駆除した直後に再感染している例です。

(3)パスワードの問題

 大組織程多いと思われるのが、ActiveDirectory環境でのAdministratorのパスワード変更です。(簡単にはできない、と言われるケースが多い・・・)Confickerはネットワーク共有を悪用するためにBruteforceを行います。この際に、ネットワーク上の全ホストのAdministratorのパスワードが同一だったとしたらどうでしょうか。感染速度がさらに加速化されることが容易に想像できるかと思います。

 完全駆除が中々難しいとは思われますが、一時的に業務システムを停止してでも駆除しなければ解決は長引くだけです。

Confickerの新たな活動

 昨日、Confickerの新たな亜種が発見された。現在ファイルを調査しているところだが、これまでに分かったことを以下にまとめておく。

・4月8日、P2Pネットワークを介して、Conficker.Cに感染したマシンに新たなアップデートが用意された
・我々は新たなファイルをConficker.Eと呼んでいるが、このファイルは以前の感染とともに実行され、共存する
・同ファイルでは再び、MS08-067脆弱性を介しての蔓延が可能になっている。Conficker.Cでは拡散機能は削除されていたが、おそらく背後にいる連中が自分たちのミスに気づき、再び追加したのだろう
・スパムボットのWaledacと、何らかの関係があるかもしれない。Conficker.Cに感染したコンピュータの中には、良く知られているWaledacドメインに接続し、そこでWaledacをダウンロードしたものがある
・Conficker.Cに感染したマシンに至ることが知られている通り、偽アンチウィルス製品とのコネクションもある。その不正な製品とはSpyware Guard 2008である
・Conficker.Eは、2009年5月3日以降、自身を削除する

 分かりにくく、また奇妙に聞こえるだろうか? 実際その通りだし、不幸なことに、Confickerに関して容易なことなど何も無いため、その挙動について何か分かり次第、この投稿を更新し続ける予定だ。我々は昨日以来、新たなConficker.Eを、そしてそれがダウンロードする関連ファイルをすべて検出している。

ホログラムのハト

 近頃はオンラインで何でも購入できる。

 Wenzhou Fuyuan Printingがその良い例だ。

hologram

同社は中国の東南岸に本拠地を置く企業で、ステーショナリ、ステッカー、バッグ等など、およびホログラムを製造している。

以下にあるのが、alibaba.comのサプライヤー・ディレクトリからピックアップした、同社製品の例だ。

hologram

「パーフェクトなクオリティ」「標準サイズ」そして「3Dエフェクト」を持つ、このホログラムステッカーシートを良く見て欲しい。

hologram

以下がクローズアップだ。

hologram

うーん。

どこかで見たような。

鳥のように見えるが。

もしかしてハト?

visa
  VISAクレジットカード画像著作権:Paylife.at

言った通り、近頃はオンラインで何でも購入できるわけだ。

2009年第1四半期のセキュリティー脅威サマリー

f-secure

 2009年第1四半期のセキュリティー脅威の概要を公開した。

 今回は、初のSMSワームでありソーシャルネットワークの脅威でもあるConfickerにフォーカスしている。

 詳細はhttp://www.f-secure.com/2009/(英語)を参照して欲しい。

xls ファイルの地図を見ていて

 ミッコの投稿へのコメント(英語)がにぎわっていますが、このxlsファイルにある地図の場所は熊本県だったようです。

 それよりも気になるのは、熊本大学と、熊本大学医学部と、付属病院がカバーされていることで、このファイルが送られたターゲットは誰か気になるところ。

  また熊本大学の他の関係者もターゲッ トにされていないかどうか、調査が必要ではないでしょうか。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード