エフセキュアブログ : 2009年11月

by：ショーン・サリバン

　今日は、アメリカ合衆国のブラック・フライデイだ。

　ブラック・フライデイとは感謝祭後の金曜日のことで、伝統的にクリスマスのショッピング・シーズンが始まる。

　ほとんど全ての大手小売業者は、ブラック・フライデイに「早期」セールを行う。最良の買い物ができるのがどこか、どうしたら知ることができるだろう？

　そう、新聞を買って折込広告を見る、もしくはインターネットのサーチエンジンを使用するかのどちらかだろう。

　我々は今年、サーチエンジン最適化（SEO）攻撃が間違いなく発生するものと考えている。エフセキュアの「ブラウジング・プロテクション・ポータル」では、未知のサイトが安全かどうかを（無料で）チェックすることができる。

　サーチエンジンに加え、我々はTwitterのようなサイトも、スペシャル・オファーの宣伝に使われると考えている。

　Twitterやこのようなタイプのサイトに共通なのは、ショートURL（tinyurl.comやbit.lyにより提供されるような）で、これは非常に便利なサービスだが、本当のURLソースを分かりにくくする。

　短縮されたURLのソースをチェックする方法はあるのだろうか？

　答えはYesだ。URLはlongurl.orgで拡張することができる。

　もしFirefoxを使用しているなら、アドオンが利用できる。

longurl.org expander add-on

　インストールすると、ショートURLの上に以下のような表示が浮かぶ：

longurl.org_example1

　そして以下は、ミッコのTwitterフィードからの例だ：

longurl.org_example2

　便利だ。

サイバーマンデーのセキュリティ対策

2009年11月27日17:13

risa_ozaki

横浜発

by：尾崎リサ

エフセキュアが世界の3ヶ所に置いているセキュリティ研究所のひとつ、サンノゼの研究所が、ホリデー商戦に乗じたオンライン詐欺に関する警告を出しました。
続きを読む

Exploit Shield FTW

2009年11月26日22:24

fsecure_response

by：レスポンスチーム

　Microsoftが月曜日、Internet Explorer 6および7で、リモートコード実行が可能になる脆弱性に関するセキュリティアドバイザリを公開した。IE8は影響を受けない。

　現在、この脆弱性が広く悪用されているという報告は無い。

　エフセキュアのExploit Shieldアナリストたちが、このケースを調査しており、彼らの最初のテストによれば、彼らがテストしたコードは確実に機能せず、プロテクトされていないコンピュータでは、リモートコード実行（RCE）よりも、クラッシュ（DoS）を引き起こす可能性の方が高い。

　しかし、我々のExploit Shieldテクノロジで保護されたコンピュータはどうだろう？　エフセキュアの「インターネットセキュリティ」は、CVE-2009-3672を標的とするエクスプロイトにどのように対処するのだろうか？

　全く問題ない。同エクスプロイトは我々のヒューリスティックによってブロックされる。特定のシールドは必要とされない。

　「エフセキュアインターネットセキュリティ 2010」を使用しているユーザは、このエクスプロイトが発見される以前から、同エクスプロイトに対して安全だった。素晴らしい。

　以下のFlashアニメーションがデモンストレーションするのは：

  •  リアルタイム・スキャニングはオフ
  •  Exploit Shieldによるブラウジング・プロテクションはオン
  •  エクスプロイトPOSをオープン
  •  Exploit Shieldがブラウザを防御

Flashアニメーションによるデモへのリンク

追記：SANS Diaryが同アドバイザリがアップデートされ、問題を緩和する要素が追加されたこと、有効なエクスプロイトが、Web上に現れつつあることを報告している。

Sony Ericsson Aino上の「モバイルセキュリティ」

2009年11月25日20:39

　初のiPhoneワームがニュースになっており、多くの人々がiPhone用のアンチ・ウイルス・プロテクションについて、我々に問い合わせてきた。

　残念ながら、iPhone用のアンチ・ウイルス製品は、どのベンダからも提供されていない。

　iPhone用のこのようなツールを制作するには、Appleの助力が必要だ。しかし、変更が加えられていないiPhoneに影響するワームは存在しないのだから、そうする必要はない（と彼らは考える）わけだ…

　他のベンダはより主導的な態度をとっている。

　以下が良い例だ。Sony Ericssonの先進的な新しいケータイ「Aino」には、エフセキュアが開発したセキュリティ・ソリューションがバンドルされている。

　以下がAinoだ：
Sony Ericsson Aino

　そして、以下が我々の「モバイルセキュリティ」だ：
F-Secure Mobile Security

悪意あるiPhoneワーム

2009年11月22日20:38

　我々はボットネット機能を持つ、悪意あるiPhoneワームのサンプルを入手した。

　Ikeeワームと同様、SSHがインストールされ、デフォルト・パスワードが変更されていない、ジェイルブレイクしたiPhoneにのみ影響を与える。

　今回のワームは、リトアニアの92.61.38.16で動作しているウェブ・ベースのコマンド＆コントロール・センターに接続する。

duh

　同ワームは広範囲に広まってはいないが、デバイスから情報を盗もうとしているようなので、前回のiPhoneワームよりもずっと深刻だ。

　我々は詳細な分析に取り組んでおり、後ほど公開する予定だ。

　XS4ALLのスコットにご協力を感謝したい。

「CARO2010 Workshop」の募集要項

2009年11月19日21:51

　エフセキュアは次の「CARO Technical Workshop」を準備している。同イベントはフィンランドのヘルシンキで5月末に開催される予定だ。これまでのワークショップはアイスランド、オランダ、およびハンガリーで開催された。

　募集要項を掲載している。「Big Numbers」というテーマで、マルウェア関連のトピックでの技術的なプレゼンテーションを求めている。

　詳細については「CARO2010.org」を参照して欲しい。

UpdaterおよびTuneupトライアル

2009年11月19日15:38

hilyati_alia

by：ヒリアチ・アリア

　コンピュータの保守は、時としてひと仕事となる場合がある。特にあなたが常に忙しい人だとすれば。コンピュータ上のすべてのプログラムを、最新のアップデートでチューンアップしておくことは大騒動だろう。パフォーマンスを最適化するため、定期的にシステムの「ハウスキーピング処理」（ハードドライブのデフラグなど）を行うのも楽しいことではない。

　そこで、我々にそのお手伝いをさせて頂きたい。エフセキュアは最近、テクノロジ・プレビューページで、これらのタスクに対処する単一のツールである、Updater ＆ Tuneupのトライアル・バージョンをローンチした。同ツールを使用して、皆さんのマシンのパフォーマンスがどのように改善したかについて、フィードバックして頂けるとありがたい。

updater

　その名称が全てを語っているが、Updaterは皆さんのマシン上にインストールされた脆弱なアプリケーションの情報を得て、アップデートが入手可能になったら知らせるというものだ。そしてTuneupは、ハードドライブのデフラグやレジストリのチェックといったハウスキーピング処理を行い、皆さんのマシンのスピードを最適化する。

　そしてご協力に感謝するため、フィードバックしてくれたユーザに、賞品として以下のアイテムをプレゼントする：

• 「エフセキュアインターネットセキュリティ 2010」を5名様に。
• 「エフセキュアインターネットセキュリティ 2010」および「「エフセキュアインターネットセキュリティ 2010」および「エフセキュアモバイルセキュリティ」のVIPカードを15名様に。

　賞品の当選者は抽選で決定する。

　トライアル・バージョンは無料で、テクノロジ・プレビューの期間は2010年1月までとなる。

New Gumblarとその亜種に関する注意喚起

2009年11月19日13:56

hiroki_iwai

オフィシャルコメント

by：岩井博樹

JSOCの観測によると、Gumblarの感染台数が増加しているとのことです。アンチウイルスソフトウェアによる検体検知率は、現在のところ著しく低いとのこと。

確実に感染事実を把握するためには、次のリクエストが無いか確認した方が早そうです。
216.45.48.66
195.24.76.250
67.215.246.34
67.215.238.194

参照URL
http://www.lac.co.jp/info/alert/alert20091119.html

また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。

twitterに追加情報が出るかもです！
http://twitter.com/lac_security

タグ：: Gumblar

ITセキュリティは「ミカド」くらい簡単…

2009年11月17日18:14

hilyati_alia

by：ヒリアチ・アリア

　私はちょうど、我がマーケティング部門による新しいプロモーション・アイテムを入手したところだが、非常に興味深いものだ：

mikado

　これはヨーロッパの古いスティック・ゲーム「ミカド」だ。基本的には、山を崩さないようにしてスティックを注意深く取り除き、ポイントを獲得するというのがルールだ。最も高得点を獲得したプレイヤーが優勝となる。

　OK、このゲームは可愛らしいものだが、深刻なメッセージを伝えていると考えられる。すなわち、ITセキュリティはこのゲームと同じくらいシンプルであり得るということだ。ほとんどの人々は、ITセキュリティは複雑であり、高度にテクニカルであり、驚くほど不可解で、かつ、管理が難しいという印象を持っているのだが。

　公平に言えば、ほとんどの人々にそう考えるだけの理由がある。言葉さえ難しい。たとえばペンタゴンのサイバー・セキュリティ関係者からの最新ニュースに「Global Information Grid Customizable Operational Picture（GIGCOP）」というものがあったが、これは彼らの新しいセキュリティ・システムのコンポーネントにすぎない（The Registerの記事はこちら）。

　そして「テクニカル」なものが制御下にあるとしても、適切な物理的セキュリティを維持するなど、「簡単な」事柄で失敗する可能性もある。たとえば、ハイテクなサーバ室用のドアストッパーとして、スリッパを使わせないといった場合のように。実際、これはThe Starの記事で報告されている事例だ。

　しかし実際は、こんな風である必要は無い。我々は弊社製品（そしてツールおよびサービス）を使いやすくしたいと考えているし、それを目標として一層の努力をしている。このことは、ミカドと比較することで、かなり上手く捉えられていると私は思う。

合否発表日を明けて（ITパスポート受験日記その7）

2009年11月17日11:02

risa_ozaki

つぶやき

by：尾崎リサ

昨日、11月16日は、平成21年度ITパスポート試験と基本情報技術者試験の合否発表日でした。続きを読む

Twitterをはじめるまで（Twitter赤裸々日記その1）

2009年11月13日16:01

risa_ozaki

つぶやき

by：尾崎リサ

Twitterに関する著書は国内でも増えていて、イベントやセミナー、テレビで言及される機会も増え、ユーザを確実に増やしています。続きを読む

Windows 2K Serverパッチ・アップデート

2009年11月11日09:27

fsecure_corporation

by：レスポンスチーム

　Microsoftが、License Logging Serverヒープ・オーバフロー脆弱性（CVE-2009-2523）に対処するパッチをリリースした。この脆弱性は、Microsoftによれば「顧客がServer Client Access License（CAL）モデルでライセンスを与えられたMicrosoftサーバ製品ライセンスの管理を行うのを援助するよう設計された」機能である、ライセンスロギングサービス（LLS）に影響を与える。

　LLSに関する詳細は以下にある：
Windows Serverオペレーティング・システムのライセンスログサービスについて

　この脆弱性は、Microsoft Windows 2000 Server Service Pack 4にのみ影響を与え、同サービスはこのOSではデフォルトでオンになっているため、危険度は「緊急」となっている。また匿名のネットワーク・コネクション経由でアクセス可能であり、この脆弱性を悪用することで、リモート・コード実行に繋がる可能性のある広範囲なヒープ・メモリ・コラプションを引き起こすことができる。Windows Server 2008以降、同サービスは除去されているため、この脆弱性はより新しいMS Serverシステムには影響しない。

　同パッチに関する詳細は以下にある：
Microsoft Security Bulletin MS09-064
ライセンスロギングサービス脆弱性の詳細

　これらの古い2Kサーバには、パッチを当てる時期だ。

XBOXアカウントのフィッシングは何故好まれるのか？

2009年11月10日20:30

　以下は「XBOX」フィッシング・サイトにトラフィックを導くために使用されているYoutubeビデオの一例だ。

live.xbox.co.uk.tp

　実際のフィッシング・サイトは以下のようなものだ：

live.xbox.co.uk.tp

　このURLはかなり説得力がある。「.TP」は東ティモールの国別コードだ。

　しかし、どうして皆、一部のオンライン・ゲームのアカウントでフィッシングを行おうとするのだろうか？

　理由は、XBOX Liveアカウントを売ると、現実世界のキャッシュが手に入るからだ：

ebay

フィッシングがフィッシングでは無い場合

2009年11月09日23:27

　どうやら、以下のようなMySpaceフィッシング・メールが出回っているようだ。（「…あなたのMySpaceアカウントをアップデートしてください。こちらをクリックして、MySpaceアカウントをアップデートしてください…」）

　このリンクをクリックすると、複数の.ukドメインでホスティングされたMySpaceに似たページが現れる：

Zeus

　一度ログオンすると、悪党たちがあなたのMySpace証明書へのアクセスを獲得するというわけだ。

　連中は何故それらの情報が必要なのだろう？

　MySpaceであなたのふりをし、悪意あるリンクをあなたの友達、あなたを知っており、信用している故に、確実にそのリンク先にアクセスするであろう友達に送信するためだ…

　しかしこのケースでは、彼らが狙っているのはそれだけではない。ログオンした後、以下のプロンプトが表示されるのだ：

Zeus

　「新しいMySpaceアップデート・ツール」？　本当に？　実行ファイルで？

　うーん…　もちろんそんなはずはない。このファイル（md5: 4c7693219eaa304e38f5f989a8346e51）は、オンラインバンキングをターゲットにしたトロイの木馬Zeus/Zbotの亜主の一つであることが分かった。

　「エフセキュアアンチウイルス」は、悪意あるドメインへのアクセスをブロックし、同マルウェアを検出する。

RE 「AVAR 2009」からこんにちは！

2009年11月09日12:00

hiroki_iwai

オフィシャルコメント

by：岩井博樹

私もこっそり、先日のフェイさんのポストにあった、AVAR2009（Association of anti Virus Asia Researchers International Conference）へ参加してきました。ウイルスに特化したカンファレンスへは初参加だったので、色々新鮮でした。

残念ながら、F-Secureの方を会えませんでした。
＃F-Secure以外のAVベンダーの方々との交流はありましたが（笑）

クラウド以外の内容ですと、日本人の発表はオリジナル性が高く好評だったように思います。

日本コンピュータセキュリティリサーチの岩本さんによるマルウェアの特徴抽出と分類に関する講演は、オリジナルと亜種がどの程度異なるのか数値化するといった内容。その際に利用される図は生物や進化系統樹に似ており、その考え方も生物学みたいだなと思っていましたら、講演後にお話を伺うと、DNAの距離（違い？）の考え方を応用したのだそうです。

もうひとつ興味深かったのが、シマンテックの末長さんによるIDA proを用いての難読化されたAPIの解析手法の紹介です。難読化されたAPIをIDC scripotを用いての解析方法の説明なのですが、その内容は非常に具体的且つ実践的。講演後にお話を伺いますと、IDC script生成ツールを作成したことが今回のポイントだそうで、そのためのアイデアを提供したとのこと。
＃とはいうものの、末永さんは3年がかりで作ったそうです・・・
他のセッションでは具体的な話が少なかったため、本セッションは技術者ウケが良かったように思います。（たぶん）
まだまだ発展しそうな話でしたので、今後も楽しみです。

また、星澤さんの発表が予定されていましたが、"リアル"ウイルスに感染した可能性があるとのことでいらっしゃいませんでした。
代わりに神薗さんがお話されていました。近年のDrive by Downloadを利用するマルウェアの攻撃手法とそれに対する検知技術の話です。ブラックリストによる防御が限界に達している現在、次の検知技術が研究されていますが、本講演も色々参考になるところが多かったです。

技術的な話の他に印象的であったのが、ESETの「Goodware」「Policeware」の事例紹介です。
これは海外の警察（FBIとか）がサイバー犯罪者を逮捕するために、裁判所の許可を得て合法的にマルウェアを仕掛けるというもの。例えば、重要な証拠となり得るファイルの暗号化を解くために、容疑者に対し中間者攻撃を仕掛け、キーロガーをインストールしパスワード等を盗むのだそうだ。AVベンダーに検知しないように依頼したり、OS開発ベンダーにドライバーに組込んで欲しいなど頼むことがあるそうだが、道徳的・倫理的に問題があるとのことで、殆ど断られるとのこと。
＃それはそうですよね・・・

フェイさんが晩餐会の模様を載せているので、私も。。。

初のiPhoneワームを発見

2009年11月09日07:21

　我々は「ikee」という初のiPhoneワームを発見した。現在拡大しているが、ユーザにより「ジェイルブレイクの状態」にされているデバイスに対してのみ感染する。ジェイルブレイクはiPhoneの保護メカニズムを除去し、ユーザが欲するあらゆるソフトウェアを動作させることを可能にする。

　影響を受けたユーザは、iPhoneのウォールペーパーが（リックロールで有名な）リック・アストリーの写真と「ikeeは決してあなたを諦めない」というメッセージに置き換えられる。

ikee iPhone worm

　同ワームは端末をジェイルブレイクしているが、デフォルトのルート・ログイン・パスワードは変更していないユーザをターゲットにしている。同ワームは一握りのIPレンジ（ほとんどがオーストラリアにあるもの）をスキャンすることで、脆弱なiPhoneを検索する。現在のところ、我々はオーストラリア以外からのikeeに関する報告は確認していない。

　ikeeが端末に感染すると、同ワームはSSHサービスを停止して再感染を妨げる。

　ジェイルブレイクしたiPhoneを保護するには、ルート・パスワードを変更すること。手順はこちらを参照して欲しい。

　同ワームの制作者は、4つの既存の亜種に関し、完全なソース・コードをリリースしている。これは、すぐにより多くの亜種が登場することを意味しており、それらは単にウォールペーパーを変更する以上に嫌なペイロードを有していたり、デフォルト・パスワードが変更されているデバイスにアクセスするべく、パスワード・クラッキングを試みる可能性もある。

ikee

判決

2009年11月07日21:06

　以下の記事は、2007年5月、「News from the Lab」ブログに投稿されたものだ：

　昨日、上記のマルウェア（Vanbotファミリーの亜種）およびDDoSアクションを含む他の攻撃を書いたことに対して、3名に判決が下された。

　判決はそれぞれ、45日間の入獄、40日間の入獄、および入獄0日というものだった。この判決は執行猶予付きのため、実際に刑務所に入る者はいない。その他、若干の罰金が科された。

　3名の被告は未成年だった。

「AVAR 2009」からこんにちは！

2009年11月06日15:21

fei_wing_chia

by：フェイ・ウィン・チア

　日本について私がいつも魅力的だと思うものの一つに、リッチでユニークな文化がある。しかし、他にもある─自動販売機だ。自動販売機はどこにでもあるだけでなく、アダルト・ムービーまで、あらゆる物が買えるのだ（今のところセキュリティ製品は含まれないが、それもおそらくは時間の問題だろう）。

　いずれにせよ、今回、京都で「AVAR 2009」が開催された。大変に賑わっており、特に脅威の状況がいかに進化しているか、そして各ベンダがそれに取り組むために何をしているかに関する、非常に興味深いプレゼンテーションでは多くの参加者が集まった。

AVAR2009, swan

　初めて2つの同時セッションが行われた。今年の基調講演は、MicrosoftのJimmy Kuo氏が行い、同社の「セキュリティインテリジェンスレポート第7版」から、主要な調査結果を発表した。

　面白いことに、今回はクラウド・ベースのセキュリティに関するプレゼンテーションがいくつかあり、そのうちの一つは、McAfeeのIgor Muttik博士によるものだった。プレゼンテーションの中で、Muttik博士はクラウドでアンチ・ウィルス・テクノロジーを持つことの利点とともに、プライバシー問題に関する懸念について言及した。彼により紹介された、McAfeeが同社のサーバの堅固性を、毎週金曜日、自らDDoSによって確認するという事実は興味深いものだった。偶然にもそれは、デフォルトでMcAfee製品がフル・スキャンを実施するよう予定されているタイミングなのだ。

　またKasperskyのStefan Tanase氏が、FacebookやTwitterのようなソーシャル・メディアでの攻撃が、いかに急激に増加しているかについて、興味深いプレゼンテーションを行った。Microsoftもソーシャル・メディアへの攻撃が、脅威の状況の大勢を占めつつあることを確認していることから、同社のTony Lee氏も同様の事実を強調した。

サインオフ
フェイ

AVAR2009, performance

This Is It！

2009年11月06日00:59

fei_wing_chia