エフセキュアブログ

2010年02月

これはあなた? Twitterアカウントをフィッシングする意味とは?

  Twitter.comに対して行われている最近のフィッシング攻撃に関して、いくつか質問を受けた。

  「This you??」あるいは「LOL is this you」というフレーズを含むつぶやきやダイレクト・メッセージ(DM)が、犠牲者をTwitterログイン・フィッシング・ページへと導く。もし犠牲者がエサに食いつき、パスワードを入力すれば、Twitterの悪名高き「Fail Whale」が表示され、ユーザは自分のアカウントに戻される。ユーザたちは、自分たちのアカウント項目に障害が起きていると気づきさえしない可能性がある。

  Twitterに対するフィッシング攻撃は新しいものではない。しかし、要点は何なのだろう?

  信用だ。

  ソーシャル・ネットワークの仲間内では、互いの間に非常に大きな信頼が存在する。

  では何故、最近、攻撃が起きているのか?

  我々は、最近発表された検索エンジンの動向に何らかの関係があるのではないかと考えている。

  Yahooは検索結果に、Twitterのリアルタイム・フィードを含める予定であることを発表し、Facebookは現在、Googleの検索結果に含まれている

  悪党連中は、自分たちのSEO攻撃を強化するため、ソーシャル・ネットワークの信用を利用することができる。

  現在のホットなトピックを例に取ってみよう。以下の画像に、いくつかのTwitterの結果がある。

lastest.google.results.seaworld

  注:ホットなトピックを検索する際には、常に気をつけること。上記の「sea world trainer killed(シーワールドの調教師、死亡」)の例は、現在SEO攻撃に使用されており、多くの検索結果が直接Scamwareへと導かれる。

  上の例にはFacebookの結果もある。我々は、Facebookに対する新たなフィッシング攻撃が、まもなく登場するだろうと考えている。

  Twitterの「Safety」および「Spam」フィードは、Twitterアカウントを持っているなら、フォローする価値がある。Twitterは現在、フィッシング・メッセージを受けとった人達に、パスワードを変更するよう促すことで、この問題に取り組んでいる。

  すべてに希望の兆しがある…

  ソーシャル・ネットワークの信用は悪用される可能性があるものの、ソーシャル・ネットワーク自身は新たな脅威に対して信じられないほどに敏感だ。

  「This you??」の最新の検索結果をチェックして欲しい。Twitterユーザは、悪党連中が配信した偽情報に反撃するため、既に情報を広め始めている。

  電子メールのいかさまを根絶するには、数週間かかったものだが、現在、この問題は悪用され始めるのとほぼ同時に修正される。

Waledacよ安らかに?

  Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

SEOポイズニングにより60以上のサイトで障害

  60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。

  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

  不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

  ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

  もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

  そしてその後、その不正物自身が…

security antivirus

  このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

  エフセキュア ブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

SC Magazineの「Five to Follow」

  SC Magazine(US)が、来週「RSA Conference 2010」で、「セキュリティ・ブログ・アワード」を主宰する。そして我らがミッコ・ヒッポネンは、Twitterカテゴリの「Five to Follow」にノミネートされている。

http://twitter.com/mikkohypponen

  ミッコは、昨年「このTwitterとかいうもの」を見てみることを決め、現在5600人以上のフォロワーを有し、900以上のつぶやきを投稿している。

  ここに、彼のフィードで見られるかもしれないものの例がある。そこには沢山の有用なものがある…

  こちらがSC Magazineの投票だ。フロントページで、他のカテゴリーもぜひチェックして欲しい。ありがとう。

—————

追記:投票は終了した。勝者は火曜日、サンフランシスコで開催される「SC Magazine Awards 2010」で発表される。

エフセキュアの無料マルウェア駆除ツール「オンラインスキャナ4.2」がOperaとGoogle Chromeにも対応

エフセキュアが無料で提供しているオンラインスキャナは、ワンストップでウイルスやスパイウェアなどのマルウェアを検出・駆除するツールで、今年で5年目を迎えます。

続きを読む

あなたはコードに署名しますか?

  当ラボから調査のお願いがある。「Windows 7」がマーケット・シェアを獲得するにつれ、ソフトウェア開発者にとって、Code Signingが重要になってきている。

  署名されている、よりクリーンなコードは、その副産物として、正当なソフトウェアと容易に区別されないよう、マルウェア・オーサーが自分たちの作った物に署名させようとする動機がより強くなるという状況を生んだ。

  このことを考慮して、我々はコードに署名している開発者に照準を定めたアンケートを実施したい。

  もし皆さんがWindows開発者なら、以下の簡単な調査に回答して頂けると幸いだ。

1. 貴方はコードに署名しますか?
2. コードに署名するため、別のサーバを用意していますか? それとも開発用に使用しているのと同じコンピュータで署名していますか?
3. パスワード無しでファイルに署名していますか? それともパスワードを含む署名バッチ・ファイルを作成していますか?
4. あなたは開発用コンピュータでインターネットを閲覧したり、メールを読んだり、開発以外の活動を行っていますか?
5. 開発用および/もしくは署名用コンピュータでアンチウイルス・ソフトウェアを動作させていますか?
6. あなたが開発や署名用に使用しているコンピュータは、これまでにウイルスや他のタイプの悪意あるソフトウェアに感染したことがありますか?
7. あなたが署名証明書を申し込んだ際、どのような確認が必要でしたか?
8. 署名証明書が盗まれたことはありますか?
9. その他コメント。

  こちらをクリックして回答して欲しい。よろしく!

Kneberという名のボットネットは一体何なのか?

  今週、多くのメディアの注目を受けたKneberと呼ばれるボットネットがある。

  では、Kneberとは一体何なのだろうか? 多くのレポートがこれをZeuSボットネットそのものと呼んでいる。

  しかし実際は、これはZeuSベースのボットネットの一つでしかない。Kneberという名は、そのドメインの多くを登録するのに使用されている名前に由来している。

  では、ZeuSとは何なのだろう? ZeuSはボットネットを構築するための、一種のドゥ・イット・ユアセルフ型ツールキットだ。我々はそれをZbotと呼んでいる。Zbot/ZeuS初のサンプルは、2007年10月にさかのぼる

  以下は「News from the Lab」ブログに掲載されたZbot関連記事だ:

  •  2008年2月:ZBotマルウェアへのMikkeliスパム・リンク
  •  2008年4月:銀行口座を欲しがるPolinka嬢
  •  2008年11月:ZBotのポーカー

  以下は売りに出されているZeuSパッケージのスクリーンショットだ:

ZeuS for sale

  そしてこれが、活動中のZeuSボットネットの動画へのリンクだ。

  ZeuSは確かに脅威ではあるが、新しい脅威ではない。

  Brian Krebsが、非常にうまく要約している:

  「悲しいことに、NetWitnessが詳細に記録しているこのボットネットは、珍しい物でも新しい物でもない。過去数年の間つねに、異なるZeuSボットネットは数百という数を保ってきた。ZeuSによる世界的な脅威を監視しているWebサイト、ZeuStrackerによれば、現在、世界にZeuSボットネット用の指令センターはオンラインにほぼ700あるという。」

追記:動画はYouTubeから削除された。

GoogleのBuzz、悪い宣伝などというものは無い…

Google Buzz  どうしてプライバシー問題とGoogle Buzzに関して、非常に多くの誇大宣伝がなされているのか、どなたか説明して頂けないだろうか?

  Buzzは、より限定した広告で皆さんをターゲットとするため、皆さんのメッセージを読む(すなわち解析する)メールサービスを、Gmailに組み込むものですよね? Gmailが開始された時、この解析について出された異議を思い出す。皆、それを忘れてしまったのだろうか? 再び同じ事が繰り返されているのではないのだろうか?

  Googleがこんなにも攻撃的に、Buzzに自動共有機能を展開したことに、どなたか本当にそれだけ驚かれた方はいるだろうか?

  これは、どちらにころんでも有利な状況に思われる。Googleは最小限の異議を受けるだけでBuzzをローンチするか、あるいは、報道されたプライバシー問題を「修正」している間に、彼らが多くの無料広告を受け取るか、どちらかなのだから。GoogleによるBuzzのローンチは、間違いなくマスコミに顕著な騒ぎ(Buzz)を引き起こした。

  それはこの検索界の巨大企業にとって、究極的に重要なことだ。なぜなら、彼らが自分たちのサービスからのシェアを推奨しなければ、Facebookのようなプロバイダに将来の収益を奪われることになるからだ。

  実際、Facebookは既に、オンライン調査会社のHitwiseによれば世界最大のニュース・リーダーだ。最近のFacebookのトップページのアップデートで、検索フィールドがスクリーンの中央に移動されたことに言及しないわけにはいかないだろう。すべて関連しているのだ。

  「共有」は、将来の検索ビジネスの源であり、プレイヤーたちは戦闘を開始している。皆さんのプライバシーは、そのままにしておけば危険にさらされることになる。これはトレードオフの問題だ。皆さんが無料のサービスを利用して、完全なプライバシーを得ることは無い。自分の情報の一部を、強化されたサービスに対して提供するか、利用しないかのどちらかだ。

  覚えておいて欲しい。Googleは皆さんの友人ではない。ビジネスなのだ。

  皆さんが本当にプライバシーを必要とするなら、Gmail(そしてWebベースの他の無料ソリューション)の他に、何か別の物を使うことだ。電子メール・サービスのために料金を支払っている人もいる。年に20ドルくらいで、よりセキュアなサービスを利用できる。そしてプライバシーについて考えるなら、それは安いと言える。

今井さんからのメール

久しぶりにスパムフィルターをすり抜けてスパムメールが届きましたのでご紹介します。今井さんからのメールです。用件が不明ですが、返信を期待しているのでしょうか?このメールに返信するひとはなかなかいないのでは。フィルターをすり抜けるという意味では成功しています。

以下、スパムメール本文です。
はじめまして。今井です。
はじめまして。今井ですが
はじめまして。今井と申します。
はじめまして。以前は普通の主婦でした
はじめまして。以前は会社員をしていました
急ぎではありません。
はじめまして。急ぎではありませんので
はじめまして。急ぎではありません
ご連絡。急ぎではありませんが。
ご連絡。確認して頂きたい事があります。
確認していただきたいのですが
確認していただきたい事があるのですが
ご連絡。先日の件で
ご連絡。先日の件はご確認いただけましたか?
ご確認いただけましたか?
先日の件について補足
先日と重複してしまう内容ですが
ご確認ください。先日の件について
先日お問い合わせいただいた件
確認できますか?
以下の項目ですが、確認いただけますか?
本当によろしいですか?
本当にこれでいいのでしょうか?
ご連絡。このままでいいのでしょうか?
ご連絡。このままでも大丈夫ですか?
以下の項目を確認してご連絡ください
ご確認頂けます
先日の件についてご確認頂けます
ご納得いただける内容でしょうか?
ご納得頂ける内容でしたらご連絡ください
今井えりこ

やっぱり再生!黒鷹安全網(Dark Hawk Safety Net)

黒鷹安全網(Dark Hawk Safety Net)は3人のメンバーの逮捕、サイト閉鎖でメデタシメデタシという話になっていますが、果たしてそうでしょうか。これは某国から諸外国へのアピールのように見えて仕方ありません。(偏見??)

黒鷹安全網は有料会員数が1万2000人いるといわれています。そう簡単に潰れるはずはありません。過去の事例から考えても、別のメンバーが復活させるのがお約束のパターンです。
(2005年頃の中国紅客連盟のときも、閉鎖してもいつの間にか2代目リーダーが出てきましたし・・・)

なんて、思ってましたらやっぱり復活していました。(笑)

dhsafe

ちなみに、今回閉鎖されたと報道されたのは3800hk.comとそのミラーサイトに関してのようです。
これから、どうなるか分かりませんが、彼らと当局の動きが興味深いところです。

セキュリティ・アドバイザリ、Adobe Reader

  脂の火曜日 — Adobe Updateの日だ。

  Adobeは「Adobe Reader」および「Acrobat」のセキュリティ・アップデートを今日、リリースする予定だ。

  詳細については「Security Advisory APSB10-07」をお読み頂きたい。

不正なAVに導くFlabberの広告

最新情報:Flabber.nlは、非常に素早く、また用心深く、問題のある広告を削除し、既にサイトをクリーンにしている。素早い対応に感謝する。

  「News from the Lab」の熱心な読者であるポールが、「flabber.nl」で不正なホスティング・サイトに導かれたため、このサイトを調査して欲しいと我々に依頼してきた。我々が最初にチェックした時には、何も見つからなかった。原因は地理位置情報連動広告に違いない。これを解決するため、ポールは彼が「flabber.nl」を訪問した際のパケット・ログを送ってくれた。

Flabber

  そしてすぐに、一つの広告が大きな役割を果たしていることが分かった。

+partner.googleadservices.com
++pubads.g.doubleclick.net
+++ad.bannerconnect.net
++++ad.yieldmanager.com
+++++(不正なホスティング・サイトへのリンクを含む「薬局」サイト)
++++++不正なホスティング・サイト

  「googleadservices」から「yieldmanager.com」まで、全て通常の広告トラフィックのように見える。そして、「yieldmanager.com」からの広告リファレンスは、「薬局」サイトへ、そして次に…

Flabber

Flabber

  そしてユーザが立ち去る際、不正なWebサイトが戻ってくるよう促す…

Flabber

  ここでホストされている不正AVは、既にエフセキュアの最新データベースで検出されており、関係者は問題のあるWebサイトをシャットダウンし、「flabber.nl」に連絡するよう連絡を受けている。

調査に協力してステッカーをゲット

  エフセキュアのリサーチャーの一人、Alexeyからのリクエストがある。彼の調査に協力してもらいたいというのだ。

  協力者には、我々のラップトップ・ステッカー(数量には限りがある)をお送りする。

Stickers

  参加者の中から抽選で、Tシャツ100枚もプレゼントする。

  以下は詳細の一部だ:

  このアンケートは、ヘルシンキ情報技術協会、ノキア、そしてエフセキュアの「Future Internet」リサーチ・プロジェクトの一環として行われるものだ。リサーチの主な目的は、人々がデータ保護についてどのように思っているか、データ保護関連の問題に関する意見を、どのようにしたら人々に共有させられるかについて、より良い理解を得ることにある。

  興味があればここをクリックして欲しい。調査は3月5日まで実施し、匿名を選択することもできる。

  よろしく!

モバイルブラウザ保護とディープガード

  「エフセキュア モバイル セキュリティ」の最新リリースには、新機能がある。そしてラボに直接影響を及ぼすのはブラウザ保護だ。

  「エフセキュア モバイル セキュリティ」のバージョン6では、ユーザはフィッシング・サイトから保護される。

  有害なWebサイトは以下のようにブロックされる:

Mobile Security Browsing Protection

  フィッシングはデスクトップに限定されていない。多くの攻撃が、まさにスマートフォンでも機能している。

  しかし、これが全てではない。我々は「エフセキュア モバイル セキュリティ」のAndroidバージョンもリリースした。

http://www.htc.com/www/product/g1/overview.html

  全バージョンはここで確認できる。

ここに署名せよ

  「GSMA Mobile World Congress 2010」が来週、バルセロナで開催される。大規模なイベントとなりそうだ。

  私は見知らぬ番号から、以下のようなテキスト・メッセージを受け取った:

Mobile World Congress

  リンクをクリックすると、以下のページが開く:

Mobile World Congress

  「インストール中は、全ての質問でイエスをクリックして下さい。このアプリケーションは信頼の置けるものです。公式なMWC 2010モバイル・ガイドなのですから。」

  へぇ、本当に? そう言っているからという理由で信用しろと?

  そしてアプリケーション・リンクをクリックすれば、以下のような表示が現れる:

Mobile World Congress

  皆さん、これは良いやり方とは言えない。これがOKであると我々に信じさせようとするよりも、アプリケーションに署名した方が良い。

  我々が問題のアプリケーションをチェックしたところ、これは公式なモバイル・ガイドだった。しかし、何か他のものであった可能性もあるのだ。

  追記:Mobile World Congressと言えば、エフセキュアは当然参加するので、会いに来て頂きたい。そして私は火曜日の14時に、「Integrating Security into Every Step of the Mobile Handset Design」というトピックで話をする予定だ。

サインオフ
ミッコ

ビデオ - Griffin予告編

  世界に… 一人の男… 一つの予告編…


リンク:Griffin予告編

  以下は10月のティザーだ。

  詳細については「www.wreckamovie.com/griffin」をご覧頂きたい。

ブラックホーク・ダウン

  「Black Hawk Safety Net」として知られる、オンライン・ハッカー養成活動を閉鎖した中国当局に賛辞を送る。

  Black Hawk活動は、トロイの木馬やサイバー攻撃技術のレッスンなどを提供するもので、1万2000人の有料会員と、12万人の無料メンバーで構成されている。

  Black HawkのWebサイトを運営していた3人が逮捕され、同サイトは現在アクセス不能となっている。警察は手入れの際、9台のサーバ、5台のコンピュータおよび車を一台の押収も行った。

  詳細については、Yahoo! Newsで読むことができる。

「flower-show.org」に気をつけろ

  我々は今日、綺麗なPDFファイルを見た(md5: 116d92f036f68d325068f3c7bbf1d535)。

  以下のようなものだ:

flower-show.org

  素敵な花だ。

  残念なことに、このファイルを見ると、Adobe Readerに対するエクスプロイトを使用しており、「1.exe」という名のファイルを動作させる。

  この実行ファイルはPoison Ivyバックドアだ。「cecon.flower-show.org」というなのホストに「call home」する。同アドレスでコンピュータを制御している人は誰であれ、ターゲット・コンピュータへのリモート・アクセスを得る。このPDFは未知のターゲットに対する標的型諜報攻撃で使用された。

  我々は2009年の時点で、「flower-show.org」というドメインを見ている。その時、他のPDFが「posere.flower-show.org」に「call home」していた。

flower-show.org

  今日、これらのホスト名の双方が、「202.150.213.12」にリゾルブされているが、これは中国にはない。シンガポールにある。

worldrofwarcraft.com

warcraft

  「World of Warcraft」オンラインゲームは、世界に1000万人以上のプレイヤーを擁している。

  「World of Warcraft」には、これを標的とし、エンドユーザのログイン情報を盗もうとする、何百ものフィッシングWebサイトもある。

  以下のようなサイトだ:

wow

  これらフィッシング・サイトの多くのドメイン名は、簡単に見抜くことができる(wor1dcfwarcraft.com? 冗談だろう)。しかしその他のサイトは、もう少し手が込んでいる(worldrofwarcraft.com - そう、ここには余分な「R」がある)。

  それで、これらのアカウントは何故、盗まれているのだろうか? 面白半分に? いや、これらが盗まれているのは、バーチャルなゴールドや武器のためだ。盗まれたアカウントは直ぐにカラにされ、グッズはオンラインで本物の金のために売りに出される。

  しかし、ゲーム用のバーチャル・グッズを、本物のキャッシュで購入する人などいるのだろうか? そう、売り手の数を見ると、かなりの数いるようだ。

wow gold


Gmailフィッシュ

  うわさによると、Gmail管理者からの電子メールが送られていることを、取り急ぎ読者の皆さんにお知らせする。エフセキュアのフェローの一人が最近、「Googleメール・チーム」から、「アカウントの匿名による登録」を防止するため、アカウントの詳細を確認するよう求めるメッセージを受け取った:

gmail_phishing

  返信先アドレスは「verifyscecssze@gmail.com」と表示されており、これは明らかに公式にGmail管理アカウントではない。一方、ドメイン名「gmeadmailcenter.com」は、ミシガンのカトリック教会に登録されている。

  実に典型的なフィッシング・タイプのメッセージだ。このメールを受け取ったGmailユーザは、(本物の)Gmailチームにアカウント内の「フィッシングをレポート」オプションを利用して報告するか、単に削除することができる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード