エフセキュアブログ

2010年08月

総火演で邪念をふっとばす

防衛省の某氏より頂戴した入場券を握りしめ、毎年恒例の「富士総合火力演習」に初めて行ってきました。続きを読む

フィッシング未遂のアラート!

  何者かが再び、我々になりすまそうとしており、以下のような電子メールを送信している:


From: Account Support
Date: Saturday, August 28, 2010 4:33 AM
To: none
Subject: Account Alert!!!

An HTK4S virus has been detected in your Email Account, and your email account has to be upgraded immediately to our new F-Secure HTK4S anti-virus/anti-Spam version 2010 to prevent damage to the email and important files in your email account. You are therefore required fill the columns below to enable us verify your email account or your email account will be suspended temporarily from our services.

Username:
Password:
Date of Birth:
Telephone Number:

Copyright© Customer Care Center 2010 All Rights Reserved.



  こうしたメールは無視し、要求されている詳細に応じないで欲しい。「F-Secure HTK4S anti-virus/anti-Spam」という名の製品は存在していないし、我々が顧客に対して、このようなひどい文面のメールを送るようなことは無い。

YouTubeのCPAleadスパム

  エフセキュアの「Safe and Savvy」ブロガーの一人、Melody-Janeが先日、YouTubeで見つけた「エフセキュア インターネット セキュリティ 2010」の「無料」オファーについて、私に聞いてきた。彼女はこのビデオ、そしてそこに付随したリンクは、疑わしいどころではないと考えていた。そこで私はチェックしてみた。

  その結果、「Cost per Action(CPA)」スパムを発見した。私が最近、Facebookで調査しているのと同種のものだ。(私は本当に、「本当に」このCPAが嫌いになりはじめている。)

  これは以下のような典型的ビデオだ:

YouTube Spam

  「削除される前に…リンクをクリックしてダウンロードを始めよう!」

  もう遅い。私はすでに、YouTubeとBit.lyに対して、私のリクエストの30分以内に、このビデオがリンクを悪用していることを報告した。(ナイス!)

  以下は、別のスパムビデオ例だ。

YouTube Spam

  ご覧の通り、スパマーが詐欺に利用しようとしているのは、エフセキュアのソフトウェアだけでなく、他の多くのAV製品も提供されている。

  ビデオ内で紹介されているリンクをクリックすれば、「WordPress.org」ブログに導かれる。

  そして、「無料コンテンツをアンロックする」ためのCPA調査が提示される。

YouTube Spam

  調査に記入すると、得られるコンテンツは何か?

  動画共有サイトへのリンクだ…(何てことだ)。

  不正なソフトウェアのダウンロードは、一般的にマルウェアへの近道だ。我々は(何のソフトウェアであれ)推奨しない。

それでは
ショーン

DLLハイジャックとライブラリの読み込みが難しい理由

  ここ数日、DLLハイジャック(あるいは「バイナリプランティング」)のカテゴリに分類されるエクスプロイトが、多くの注目を集めている。AppleのiTunesには問題があり、他の多くのアプリケーションも同様のようだ。

  この問題は実はまったくシンプルなものだ。攻撃者が誰かをだまして、フォルダからデータファイル(たとえばiTunesの場合はMP3ファイル)を開かせようとし、同時に、同じ場所のどこかに、悪意あるダイナミックリンクライブラリ(DLL)を置く。こうすることで、脆弱なアプリケーションに悪意あるコードを実行させることが可能になる。したがってネットワークシェア上で誤ったファイルをダブルクリックすると、マシンが感染してしまう可能性がある。

  全ての問題は、決して新しいものではない。Thierry Zollerが指摘しているように、ほぼ同一の問題が10年も前に報告されている。我々は何故、現在多くの新しい脆弱性を目撃しているのだろうか? 多くは、先週の日曜、HD Mooreにより提供された新しいツールに起因している可能性がある。同ツールは、このよう脆弱性の発見を非常に容易にするのだ。

  よって、安全を保つためには何をすることができるだろうか? Microsoftが、この問題について「Security Advisory 2269637」を発表している。リスクを軽減する方法がいくつか紹介されている。また各製品の脆弱性には、ベンダからのアップデートを適用するべきだ。

  我々はもちろん、この事態を詳しくフォローし、この脆弱性を悪用している悪意あるDLLの検出を追加していく予定だ。

  現在、我々のソフトウェアにいかなる脆弱性も見いだしていないが、この問題に関し、さらに調査を進めていく。

サインオフ
アンティ

追記:Windowsソフトウェアの開発をしている皆さんに:LoadLibrary(「mylibrary.dll」)という単一のファンクションを明確にするのが、こんなにも難しいというのは奇妙なことではないだろうか?

LoadLibrary MSDN

  LoadLibraryのドキュメンテーションはおよそ1100語で、詳述しているページは1000語、そして本当に理解するための方法を紹介しているページは900語以上となっている。およそ3000語、あるいはこの記事の10倍ほどの長さだ。LoadLibraryを気に入るだろう!

コードサイニング証明書獲得に用いられる企業ID窃盗

  先週、ラボは大量に出回った奇妙なマルウェア群を特定した。有効なAuthenticodeコードサイニング証明書でサインされたファイルだ。

Company X's stolen certificate

  このようなものを、我々は以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。

  私は、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する、小規模なコンサルティング会社を見つけた。

  この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態は私にとってより興味深いものとなった。実際、彼らはソフトウェアを作成しておらず、それゆえサインすべきものなど何も無いのだ。明らかに、誰かが彼らの名前で証明書を獲得したわけだ。彼らはID窃盗の被害者ということになる。

  私は、被害者と不正な証明書にサインした認証局であるComodoの助けを借りて、このケースを調査した。そして同証明書が、実在の従業員の名前で申請され、Comodoは電子メールだけでなく、電話による確認も行ったことが分かった。この詐欺師は、その従業員の電子メールにアクセスすることができ、電話による確認は、違う人のところにかかったか、何らかの誤解があったようだ。そのため、電話によるチェックは、このケースを食い止めることができなかった。

  Comodoは不正な証明書の取り消しを行い、同証明書でサインされたすべてのファイルは、自動的にブロックされる。

  また、今回の調査で、私は被害を受けた従業員が、他のCA会社Thawteからの電話を受けとったことを知った。Thawteは彼女に、会社の名称でコードサイニング証明書を申請したかを尋ね、彼女はそれに対し「いいえ」と回答した。そしてThawteは、証明書受け付けのプロセスを打ち切った。どうやらこのマルウェアの作者は、アプリケーションプロセスを操作するため、すべてが上手く行くまで、複数のCAを試したようだ。

  このケースは、コードサイニングの信頼性に対して深刻な懸念を与えるものだ。

  詐欺師たちが企業の電子メールにアクセスできる場合、その企業からの申請が本物かどうかをCAが確認することは非常に難しい。将来的に、間違いが起きることもあるだろう。評判の良い無実の企業が、マルウェア作者のプロキシとして、有効な証明書を入手するために利用されるという、今回のようなケースを目撃することが増える可能性は高い。

  認証局は既に、疑わしい証明取得の試みや、その他のシステム悪用に関する情報をパスする手段を有している。しかし、これらのシステムは人間によって維持されており、それゆえ間違いも起こりうる。我々は、現行のシステムでは、証明書はファイルの素性に対する100パーセントの保障とはならないという事実を受け入れるべきだ。

  いくつかの認証局で提供されているシングルエントリの現状は、セキュリティの観点から見て良いことではない。認証局は、単一のドメイン名、たとえば「f-secure.com」が、一度に1つのレジストラのみがホスティング可能なドメイン名と同様、類似したプロセスを持つべきだ。

  また、コードサイニングあるいはSSL証明書は、一度に1つのCAのみにより署名することができるようにすべきだろう。

  そうすれば、何者かがエフセキュアの名前で証明書を得たいと考えた場合、その人物はエフセキュアが現在証明書を得ている、エフセキュアと取引関係のあるCAからのみ、獲得することができ、その結果、すべての証明書の新規リクエストは、既存の連絡窓口で確認されることになる。こうしたことを可能にするには、CAは情報リソースを集約する場所が必要となるだろう。

  すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、スキャムやソーシャルエンジニアリングの可能性があまりにも高いことを考えれば、セキュアではあり得ない。

  コードサイニングの悪用について、さらに知りたいとお考えの方のため、この10月、私は「T2 Information security conference」でプレゼンテーションを行う予定だ。

T2'10

サインオフ
ジャルノ

I May Never Text Again:さらなるFacebookスパム

  今日、我々は新たなFacebookスパム(YAFS)の例を得た。

  このスパムは「I May NEVER T�XT AGAIN After Reading THI$!!」というFacebookページにリンクしている。

(管理人註:「TEXT」の「E(eの上に山形のアクセント記号付き)」の部分が文字化けしておりますが原文との同一性を維持するためにそのまま掲載いたしております)

I May NEVER T�XT AGAIN After Reading THI$!!

  ご覧の通り、20万以上の「気に入った」が記録されている。

  Facebookユーザは、先に進むには「気に入った(Like)」ボタンをクリックしなければならない。

Like

  しかし実際はそうではない。ステップ1はスキップして、Selection Sourceを見てみよう。

selection source

  ステップ2では、このページをシェアするようリクエストしており(だが、強制はしない)、ステップ3ではBloggerへのリンクを提供している。

Blogger

  Bloggerページを訪問すると、CPAlead(アフィリエイトマーケティングベンダ)のJavaScriptが有効になる。

  Googleがblogspot.comでホスティングされたページ上に、この種のものを認めるとは想像もしていなかったため、実際、我々はこのことに驚いた。

CPAlead Survey

  Bloggerページを見るためには、調査に記入しなければならない。

  しかし、実際はそうではない。「NoScript」のようなブラウザアドオンが、JavaScriptを無効にし、同ページを見るのに使用することができるからだ。「Adblock Plus」も同様だ。

  調査を無効にすれば、「Never Texting Again」ブログは以下のように見える。

Never Texting Again

  このBloggerページは、2010年5月に作成されており、2008年9月のswitched.comの記事を単にコピーしたものだ。

  では、このページを見るために、何人の人が調査に記入したのだろうか? 同ページにはカウンターが無いため、それを特定するのは難しい。

  同じようなテーマの6月29日のスパムリンクが、ヒントを与えてくれる:

bit.ly/a37TaB+

  bit.ly linkに、ほぼ30万のクリックが記録されている…

  しかし、クリックがコンバージョンに等しいわけではない。

  bit.lyの統計が、同リンクに対する「気に入った」は、たったの3048であることを示している。

  これは「気に入った」へのクリックから(ステップ1からステップ2)、1パーセントのコンバージョンレートに過ぎない。そして、昨日言及したように、調査(ステップ3)に記入した人は、さらに少ないようだ。

  そう。このリンクは確かに「ウイルスのように拡散する」。しかし、賢人がかつて書いたように「慌てるな!」。

  このリンクは単にスパムであり、大多数の人にはそうと分かる。それはちょうど、調査にもリンクしている電子メールスパムやスキャム、そしてうさん臭いオファーなどと同様だ。

  このスパマーは、Bloggerページをいくつか持っている:

My Blogs

  そしてそれらはすべて、Googleのスパムの定義に合致しているようだ:

Google's definition of spam

  そこで我々は、Googleに全アカウントを報告した。

  けりはついた。

  我々は、CPAスパマーが詐欺を継続するといった種類の「ニュース」は気にしないが(あなたもおそらくそうだろう)、もしかしたらこの種のスパムにしばしば引っかかる友人がいるかもしれない。その場合は、「Bypass Facebook Fan Pages」をチェックすると良い。このサイトは、Facebookスパムを追跡し、CPAアフィリエイトが乗じようとしているマテリアルにリンクしている。彼らはTwitterアカウントも有している。

  スパマーを蚊帳の外に置こう。

Facebookスパムの成功率はどれくらいなのか?

  Facebookスパム(誤ってスキャムと呼ばれる)がこのところニュースになっている…

  そして我々は、「ウイルスのように広がる」リンクに対するあらゆる対応が、どの程度効果的なのか疑問に思っている。コンバージョンレートはどの位なのか? リンクはウイルスのように広がるというが、だからどうなのか? それはプロセスの中の1つのステップにすぎない。実際に何人の人が、金儲けのCPA調査に記入を行ったのか?

  以下は、英国のサッカー選手ピーター・クラウチをエサとして利用しようとする、最近のスパムの例だ。

Facebook spam

  「気に入った」としているのはたった269人、というのは大して興味をそそらないが…

  しかし、右下の隅にあるあれは何だろう? 何らかのカウンターだろうか?

  なるほど、このスパマーは「http://whos.amung.us」という統計サイトを使用しているのだ。

  以下が、同サッカースパムのダッシュボード表示だ:

Facebook spam

  このスパムで記録されたアクションは、1時間に208ヒットが最高だ。

  以下は、マクドナルドのアンハッピーな「Happy Meal」に関する、よりポピュラーなスパムだ:

Facebook spam

  このスパムは拡散のため、Facebook上でbit.lyリンクを使用している。

Facebook spam

Facebook spam

  このリンクは「http://happytruthblog.co.cc」に導くもので、32,000回以上クリックされている。この統計は「気に入った」の数も示している。「気に入った」のクリックで、コンバージョンレートは? 一つのリンクで約40パーセント、他方では約48パーセントとなっている。

  ダッシュボードでは、トラフィックが上首尾を反映している。

Facebook spam

  40パーセントは、素晴らしいコンバージョンレートであり、電子メールスパムより遙かに良い。

  しかし、我々は2カ月前に、何十万ものクリックを得たウィルスリンクの例を目撃したが、32,000回というクリックはこうした類似するスパムと比較するとはるかに少ない。

  人々が危険にさらされるにつれ、リターンは減少し、抵抗が高まり、Facebookスパムがどのようなものか認識される。

  実際、スパマー自身、このことを知っているようで、人々を納得させるべく、さらに努力している。

  「Happy Meal」スパムのこのバージョンは、「調査を完了する必要は無い」と約束している。

Facebook spam

  そして「気に入った」とダッシュボードの統計とが、その約束の効果を反映している。

Facebook spam

  しかし、これはスパマーではお馴染みのウソだ。

  このページには、アンチスパムボット「テスト」があり、これは名前は違うものの調査なのだ。

Facebook spam

  ページを閉じよう。だが、これは何だ?

Facebook spam

  スパムフリーのマーケットリサーチ調査を完了するのに1分のお時間を、だって?!?

  信じられない。

  スパマー連中め! 彼らがJavaScriptで何を隠蔽しようとしているのか、見てみよう。

  以下は、スパムページのページソースだ:

Facebook spam

  このページを「気に入った」や、Facebookで友だちと「シェアする」という部分ではなく、「ステップ3」にスキップし、「/reveal.html」をオープンしよう。

  うーん、これは「widget.php」のリファレンスを示している。

Facebook spam

  そして「widget.php」のページソースが、最終的な結果を示す:

Facebook spam

  何だって? 本当に? この「Happy Meal」ストーリーは、2007年11月に話題になったものだった? これはこれは…

  これらのまぬけなスパマーがプッシュしている「無料コンテンツ」がこのタイプのものなら、彼らの骨折りに対するリターンが減少しているのは驚くべき事ではない。冗談にもほどがある。

  我々が今日検証した他の2、3の例では、ビデオがエサ(video.php)に使用されていた。これらのスパムページは、最終的にYouTubeビデオにリンクされているが、それらの表示統計は、埋め込まれたソースから数十の表示を示すのみだ。

  これは良いニュースだ。データの検証によれば、実際に調査に記入を行う「ステップ3」に進んだ人の数はどんどん減少していることが分かる。大多数の人は、そのページを「気に入った」とした直後に、あるいはリンクをシェアした直後に、同プロセスを離脱している。

  しかし、悪いニュースもある。

  ソーシャルネットワークのスパマーは、自分達の労力の報酬を得るのに、大勢の人々をだます必要はない。調査の多くはSMSの登録(特に米国外の)へと導き、かなりの儲けが期待できるのだ。そして、電子メールスパムよりもコンバージョンレートが良いことを考えると、いますぐ無くなることはないのは確かだろう。

PS3 Jailbreak Trojan

  PlayStation 3のディスカッションに興味のある読者の皆さんにとっては、PS3の新たな「ジェイルブレイク」に関する話題は見逃すことのできないものだっただろう。同ゲーム機のセキュリティモデルをくずし、サードパーティのソフトウェア(そして違法コピーされたゲーム)の実行を可能にするUSBドングルのニュースは、野火のように広まっている。

psjailbreak2.jpg from planetadejuego.com

  オンラインの悪人達が、この騒ぎを悪用しようとしているのは当然だろう。本物のUSBジェイルブレイクガジェットは、USBドライブではない。しかしそのように見える。そのため現在、一部の連中が通常のサムドライブから、ジェイルブレイクUSBデバイスを作成すると称したWindowsプログラムを配布している。ダウンロードし、同プログラムを実行するだけで良いという。

PS3 Jailbreak

  実際は、同プログラムはバックドアをドロップする。我々は「Trojan:W32/Agent.DLEN (md5 e3e03501c795a6cc4c53df2619cadd4b)」として検出している。

マルウェアとクリティカルインフラストラクチャ

  スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。

El Pais

  「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

  我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

  これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

  Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

  Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。

CSX

  その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。

report

transcript

  たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。

Zeus再び

  Zeusは今も、我々が遭遇する最も一般的なマルウェアの1つだ。

  ちょうど我々は、悪意あるZIPファイルが添付されたスパムに注目している。

Resume ZBot

  ZIPファイル内にあるのは、常に同一のZeus亜種(md5 92671afe999e12669315e220aa9e62c2)だが、名称は様々だ。今のところ、我々は以下のファイル名を確認している:

  •  2010 Contract With LC Change 051005.exe
  •  Flight Attendant-0600003A.exe
  •  Second chord sounds in world's longest lasting concert - Yahoo! News.exe
  •  Cancellation Notice.exe
  •  BURRESS_WEDDING_AUGUST2010.exe
  •  IN255596.exe
  •  2010 expenses.exe
  •  resume.exe

  同マルウェアは、ロシアの悪意あるWebサイト2カ所から、追加コンポーネントをダウンロードする。すなわち「jocudaidie.ru」と「zephehooqu.ru」だ。

  エフセキュアはこれら悪意あるサイトへのアクセスをブロックしており、同マルウェアは「Trojan:W32/Agent.DKJC」として検出している。

実際はゲームではないAndroidゲーム

  「Android Market」で新たな悪意あるアプリケーションが発見された。「Tap Snake」という名のゲームは、実のところゲームではなく、「GPS SPY」という商用スパイアプリケーション用のクライアントであることが分かったのだ。

Tap Snake

  「Tap Snake」ゲームは普通の「Snake」クローンのように見える。しかし、隠れた機能が2つある。第1に、同ゲームは終了しない。一度インストールすると、永久にバックグラウンドで動作し、ユーザが電話を立ち上げると、自動的にリスタートする。そして第2に、同ゲームは15分おきに、電話のGPSロケーションをサーバに対して秘密裏にレポートする。

Tap Snake

  GPS SPYは、シンプルな携帯電話スパイツールで、価格はたったの4.99ドルだ。購入すると、同アプリケーションは購入者がスパイしたい電話に、「Tap Snakeゲーム」をダウンロードし、インストールするようアドバイスする。インストール中、同ゲームをキーコードで登録し、スパイが可能となる。これは、スパイがスパイしたい電話に対し、物理的にアクセスできなければならないということを意味している。

Tap Snake

  様々な点で「GPS SPY/Tap Snake」は、「FlexiSPY」のようなモバイルスパイツールの弟のように見える。「GPS SPY」は、テキサスに本拠地を置くロシアの開発者Max Lifshin氏(「Maxicom」)により開発された。

Tap Snake

  我々はGoogleがすぐに、「Android Market」から「Tap Snake」を削除するものと考えている。

  我々が撮影した以下のビデオで、「Tap Snake」ゲームのゲームプレイを見ることができる。



  「F-Secure Mobile Security 6 for Android」は、Android端末を「GPS SPY」および「Tap Snake」から保護する。

  「F-Secure Mobile Security」を携帯にインストールするには、端末から「f-secure.mobi」にアクセスして欲しい。

追記:上に記したように、我々はGoogleが「Android Market」から「Tap Snake」を削除すると予想している。しかし、彼らがもう一度、Androidのキルスイッチを操作することもあり得る。「Tap Snake」がGoogleの「キル」の基準を満たしているのかどうかは興味深い。

Facebookがスパムプロフィールをレコメンド

  Facebookの「知り合いかも?(People You May Know)」機能は、レコメンデーションを行う際、プロフィール検索履歴を使用しているようだ。

  私は良くスパム関係のキーワードを検索するのだが、今日、2つのスパムアカウントがレコメンドされた。

People You May Know

  ElmaとDrema? こんな名前の知り合いはいないのだが…

  「Elma Fewell」という名前で検索を行うと、2、3のドッペルゲンガーが見つかった。増殖するFacebook IDをチェックすれば、さらにもっと見つかるだろう。

  これらのスパムアカウントはすべて、8月11日水曜日に作成されたものだ。

Facebook Spam

  私は、5つのSueann Dehartアカウントと1つのJaniece Duvalアカウントも見つけた。これらのプロフィール写真は全て、魅力的な若い女性だ(そしてKim Kardashianのものも)。逆画像検索によると、写真の中にはウクライナのモデルのものもあるようだ。

  これらのプロフィールは12日に、以下のようなスパムリンクを掲載した:

  •  A deal you just can't refuse!
  •  Check this out!
  •  Do not pay for a new iphone 4, get one for free one for no cost!
  •  I became tired of my old mobile phone and got an apple iphone 4 for free!
  •  Incredible Offer Below
  •  Just had to share this with you
  •  Take advantage of this awesome deal!
  •  Take advantage of this great deal!
  •  Whoa, check this out everyone

  これらのリンクは、iPhone 4をエサにしたLiveJournalページへと導く:

LiveJournal Spam

  ところが「Click Here Now」ボタンをクリックすると、以下のメッセージを表示する(少なくともフィンランドの)他のドメインにリダイレクトされる:

  「残念ですが、このオファーはあなたの国からは利用できません。あなたの国で利用可能な、同等のオファーにリダイレクトされています。」

  そして私はベルリンに拠点を置くドイツの会社Frogster gamesによる「Bounty Bay Online」の広告にリダイレクトされた。

Bounty Bay Online, http://www.frogster.de

  ドイツ人の同僚の一人が、まもなくゲームエキスポが開催され、Frogsterが無料のMMORPGをプロモーションしていることを教えてくれた。FacebookとLiveJournalを介して、こうした不謹慎なアフィリエイトマーケターたちによって、自分達の広告予算が流出させられているかもしれない状況について、Frogsterが気づいている可能性は、ほぼ無いだろう。(エフセキュアのドイツオフィスが彼らに知らせる予定だ…)

  適切な団体に、不正使用のメッセージが送られた。

  Facebookに関しては…ありがとう、でも私にこのレコメンデーションは不用です。Facebookはもしかしたら、ユーザが時々、自分の検索履歴を削除できるようにすべきなのではないだろうか? あるいは、詐欺師を排除するべく、レコメンデーションアルゴリズムを改善する必要があるだろう。

  スパムを見つけるのは、自分で簡単にできるので、余計な手助けは不用だ。

サインオフ
ショーン

「ひょっとするとしばらく戻れないかも…」

  一部の方は、先週、英裁判所で数人がオンライン犯罪に関して起訴されたことを、ニュースで目に留められたかもしれない:

ZDNet Kelly

  起訴された一人は、マンチェスターのGary Kelly氏(21)だ。

  このケースを非常に興味深い物にしているのは、Kelly氏がアンダーグラウンドフォーラムに、この事件に関する長文のメッセージを投稿している点だ。以下を参照して欲しい。

Gary Kelly

  何と言うべきか。犯罪は引き合わないということだろう。

サインオフ
ミッコ

気になるJailbreakMeのソースコード公開による影響度

11日にAppleは、ios 4.0.2 / ios 3.2.2 を公開しました。それに伴い、JailbreakMeのソースコードも公開され、その影響度の大きさが懸念されています。

jailbreakme_src


おさらいですが、今回のJailbreakの大きな特徴は、何といってもiTunesを介さずに実行出来る点にあります。つまり、普通に(?)Exploitして管理者権限を奪取し、アプリケーションをインストールしているわけですね。

参考:Technical Analysis on iPhone Jailbreaking

そのため、ソースコード(Exploitコード)の公開は、今までのJailbreak以上に大きな脅威となります。

公開されたソースコードは、数カ所書き換えれば容易にオリジナルの攻撃コードを完成させることができます。
※DLさせるプログラムは別途作成する必要がありますが。

そのため、Drive by Downloadやスピア型メール等への悪用や、iPhoneボットのようなマルウェアの登場も時間の問題と言えそうです。

jailbreakme_src1

もし、iPhoneボットが登場したらどうでしょうか。その被害は様々なケースが考えられます。プライバシー情報の搾取、第三者への攻撃、いたずら電話(?)、スパムなどなど、様々なケースが考えられます。

まだ、これらの被害は確認されていないので何とも言えませんが、iosの場合、ユーザ権限だけでも様々な操作が可能となります。
そのため、Exploitコードの公開は非常に厄介なわけです。

(理由はさておき、)Jailbreakをするために、バージョンアップしないという選択肢もあるかもしれませんが、今回ばかりは事情が異なります。
何はともあれ、余程自信がある方以外は、まずiosのバージョンアップを!!

無料iPadへの2ステップから遠ざかる

  正直なところ、リンクをクリックすることで無料の何かを獲得したことが何回あるだろうか? いや…スパムやトロイの木馬、スパイウェアは、無料の何かとはカウントしない。

  我々は先頃、アプリケーションテスタに、無料でiPadをプレゼントするという詐欺を発見した。明らかにこのサイトは、iPadアプリケーションテストプログラムに参加するよう人々を誘い込み、同サイトのオーナーがSMS料金のチャージとアフィリエートプログラムから利益を得るという仕組みだ。同プログラムに参加するには、「テスタ」は2つのステップを完了することが要求される。

iPad scam website

ステップ1:Twitterコネクト。「テスタ」は自分のTwitterアカウントにログインし、「Keep it to hend」という名のアプリケーションが、自分の情報にアクセスできるようにすることが求められる。

iPad scam Twitter

  すると、テスタの友人は「iPadAppsTesting」Webサイトへのリンクを含んだつぶやきを受けとり、「Jennt0kvqt」という新しいフォロワーが、友人達をフォローすることになる。

iPad scam, Twitter spam

iPad scam, Twitter Jenny

  ではJennとは誰なのか? 彼女のページを見ても大した事は分からない。彼女の写真へのリンク(サイトに参加するよう誰かを取り次いだ人に報酬を与えるアダルトサイトにアクセスさせる)と、若干のありふれたつぶやきがあるのみだ。

ステップ2:ボタンをクリックして登録を完了し、テスタは他のサイトに誘導される。

  iPadを獲得するための質問に回答すると、次に携帯電話の番号を入力し、1週間に2つのSMSを受けとることに同意するよう求められる。SMSは1本につき8マレーシアリンギットかかる。

iPad scam SMS

  結局のところ、約束されたiPadはまだ確認されておらず、テスタはTwitterスパムとバカバカしいSMSメッセージの料金で途方に暮れることになる。

  投稿はChoon Hongによる。

AppleがJailbreakMe脆弱性に対応

  Appleは今日、JailbreakMe脆弱性に対応した。パッチは新しいiOSオペレーティングシステムアップデートを介して提供される。

  新しいオペレーティングシステムのバージョンは、iPhoneおよびiPod touch用が4.0.2、iPad用が3.2.2だ。

  新バージョンのオペレーティングシステムをインストールすることは必須ではない。だが、コンピュータに端末を接続すると、すべてのiPhoneユーザに提供される。

iOS 4.0.2

  同オペレーティングシステムは、以下のロケーションから直接ダウンロードすることもできる(それぞれおよそ300MB):

  •  iPhone 4用iOS 4.0.2
  •  iPhone 3GS用iOS 4.0.2
  •  iPad用iOS 3.2.2

  我々は今のところ、JailbreakMe脆弱性を介した悪意ある攻撃を目撃していないが、同パッチをすぐにインストールすることをお勧めする。

  これは自分のデバイスをジェイルブレイクしており、そのままにしておきたいと考えているユーザは、この脆弱性を通じた悪意ある攻撃を受ける可能性が高まるということを意味している。

  我々はデバイスのジェイルブレイクを行っているユーザを含め、全iOSユーザに最新のアップデートをインストールするよう推奨する。

  今回の修正に関する詳細は、Appleサイトを参照のこと。

3分27秒

  我々は来るべき「エフセキュア インターネット セキュリティ 2011」製品に関する短いビデオをまとめた。

  我々のラボのショーンが登場する同ビデオを見たが、彼は素晴らしく見えると言わざるを得ない。

  彼らがどうやったのか、私には分からない。おそらく彼はレンダリングされているのだろう。

Sean Sullivan

  いずれにせよ、3分27秒費やして、このビデオをご覧になるようお勧めする。

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

JailbreakMe脆弱性に関するQ&A

Q: これは一体どういうことなのか?
A: 訪問するだけで、iPhoneやiPadのジェイルブレイクが行える、「jailbreakme.com」という名のサイトに関する問題だ。

Q: それで問題は何なのか?
A: 問題は、同サイトがデバイス上でコード実行するため、ゼロデイ脆弱性を使用していることにある。

Q: その脆弱性はどのように機能するのか?
A: 実際の所、これは2つの脆弱性だ。第1の脆弱性は、PDFファイルに埋め込まれた破損したフォントを使用して、コードを実行するもので、第2のものはカーネルにある脆弱性を試用して、サンドボックスされていないルートにコード実行を拡大する。

Q: このエクスプロイトを作成するのは、どの程度難しかったのか?
A: 非常に難しい。

Q: 現在流布している同エクスプロイトを誰かが修正するのは、どの程度難しいのだろうか?
A: かなり簡単だ。

Q: これは責任ある開示では無かったのか。
A: その通りだ。Appleは同脆弱性について知らされていなかった。

Q: このエクスプロイトを作成したのは誰か?
A: 「jailbreakme.com」のクレジットは以下の通りだ:「Jailbreak by comex, website by westbaer and chpwn. Special thanks go out to BigBoss, chronic, DHowett, MuscleNerd, planetbeing, posixninja, and saurik.」

Q: ではこれはiPhoneの問題なのか?
A: いや、これはiOSの問題だ。すなわち、これはiPhone、iPadおよびiPodに影響する。

Q: iPodも?
A: そう、iPod touchは影響を受ける。iPhoneのように見えるiPodだ。

Q: iPhone、iPad、iPod touchのどのバージョンが影響を受けるのか?
A: すべてだ。

Q: では、これは世界中のiPhoneユーザに影響を与えるのか?
A: その通りだ。

Q: でも、ジェイルブレイクしたiPhoneのみが危険にさらされているのかと思っていたのだが。
A: あなたは混乱している。ごく普通のiPhoneを含め、全てのiOSデバイスが危険にさらされているのだ。

Q: パッチは入手できるのか?
A: いいえ。

Q: えっ。ではパッチは公開されるのか?
A: Appleが、できる限りすぐに公開することが期待されている。

Q: それは確認されているのか?
A: 確認されている。Appleは2つの理由で、パッチを当てることを望んでいる。1つは、人々が自分のデバイスをジェイルブレイクしないようにするため、そしてもう1つはカスタマを潜在的な攻撃から守るためだ。

Q: PDF脆弱性はAdobe PDF Readerに影響するか?
A: いや。Windowsや他のプラットフォーム上のAdobe PDF Readerは、この脆弱性から影響を受けることは無い。

Q: 私のiPhoneのPDFリーダーはAdobe製のものか?
A: いや、これはApple製だ。そして独立したReaderアプリケーションは無く、PDFサポートはOSに組み込まれている。

Q: AppleとAdobeの戦い(Flashに関する)を考えると、これは少々皮肉な事態ではないだろうか?
A: ええ。

Q: 他のアプリケーションは脆弱か?
A: Foxit ReaderのいくつかのバージョンとFreeType2ライブラリにその可能性がある。ここを参照して欲しい。

Q: 今までに、この脆弱性を使用した悪意ある攻撃をどれくらい目撃したか?
A: ゼロだ。

Q: ということは、危険は無い?
A: 現時点では危険は無い。しかし、危険の可能性は大きい。

Q: この脆弱性を介して、iPhoneワームが広がることになるのは、いつ頃だと予測しているか?
A: 1、2週間以内だろう。

Q: このようなワームが私の電話に侵入するとしたら、どのような方法だろうか?
A: デバイスに悪意あるPDFファイルを開かせることが可能な、あらゆるメカニズムを通じてだ。我々は先日の記事で例を挙げている。

Q: では、悪意あるWebページも原因となり得るのか?
A: そうだ。あるいはメールの悪意あるPDF添付ファイル。ウェブリンクを含むテキストメッセージも。またTwitterやFacebookフィードのリンクなど、iPhoneでリンクをクリックすればそうなる。

Q: MMSメッセージを介して侵入する可能性は?
A: ありがたいことにノーだ。PDF添付ファイルは、iPhone MMSメッセージでは機能しないためだ。これは、非互換によるセキュリティとしても知られている。

Q: このようなワームは、どのように複製されていくのか?
A: これは、あなたの電話から、電話帳に記載されている全員宛に、それ自身をテキストメッセージとして送信することで、さらに複製されることになる。例えば。

Q: このようなワームは私の電話で何をするのか?
A: 何でもだ。このワームは、皆さんが自分の電話でできることは何でも実行することができる。だから、電話上の全データを破壊したり、盗んだりすることができる。あなたの居場所を追跡することも。あなたの友人にスパムを送信することも。電話での会話を聞くことも。世界中のすべての国々の大統領に電話することも。何でもだ。そして、皆さんは発生するすべての料金を支払うことにもなる。

Q: では、iPhoneユーザが身を守るためにすべきことは?
A: 慎重になることだ。そして公開されたらすぐに、パッチをインストールすること。

Q: iPhone上でアンチウイルスソフトを動作させるべきだろうか?
A: そうすべきだ。しかしそうすることはできない。

Q: できない? 何故できないのか?
A: なぜなら、iPhone用のアンチウイルスプログラムは存在しないからだ。

Q: 何だって?
A: iPhone用のアンチウイルスは存在しない。どのベンダからも入手できない。

Q: 何故?
A: 我々はAppleの援助無しには、アンチウイルスを製作できないからだ。

Q: 他にできることはあるだろうか?
A: もしあなたのiPhoneがジェイルブレイクされているなら、Chronic Dev Teamが製作した「PDF Loading Warner」アプリをインストールすることを考慮することも可能だ。我々は同ツールを推奨してはいないが、助けにはなるだろう。

Q: そのツールはどのようなものか?
A: 同ツールは、WebページがPDFファイルをロードしようとするたびに、有害か否かを警告する。

Q: 「PDF Loading Warner」アプリはどこで入手できるのか?
A: ここを参照して欲しい。

Q: つまり、私の電話をジェイルブレイクし、PDF Warnerをインストールする方が、より安全だということだろうか?
A: そう、言ってみればそうだ。

Q: でも、ジェイルブレイクすると、私の電話を他のセキュリティ上の危険にさらすことにならないのか?
A: そう、そういうことになる。我々はいかなる理由であれ、自分達のデバイスをジェイルブレイクすることを推奨しない。例えば、これまでに我々が目撃した唯一のiPhoneワームは、ジェイルブレイクしたデバイスにのみ感染した。これらは、SSHサーバをインストールする必要があり、デバイスの持ち主がルートパスワードを変更していないと仮定する必要があったのだが。

Q: ではあなたは私のiPhoneのルートパスワードを知っているのか?
A: もしあなたが変更していないのなら、それは「alpine」だ。

Q: ということは、変更した方が良いのだろうか?
A: そうだ。これはjailbreakme脆弱性とは関係無いのだが。やり方は、2009年の記事を参照して欲しい。

Q: 他に何かできることはあるだろうか?
A: ニュースに注意することだ。この脆弱性を介した攻撃が起きた場合には、我々は皆さんに、防御のためのより具体的なインストラクションを提示することができるだろう。「News from the Lab」ブログおよび我々のTwitterフィードに注目していて欲しい。

いくつの方法でiPhoneを遠隔的に悪用できますか?

  現時点で、AppleのiOSにドライブバイジェイルブレイクを可能にする脆弱性があることは、おそらくご存知だろう。そしてこれらの脆弱性が、悪意ある攻撃などの、他のドライブバイエクスプロイトで使用される可能性があることも、ご存知だろう。

  攻撃者はiPhoneオーナーをだまし、巧みに作成したWebページを訪問するよう仕向けることで悪用することが、多くのレポートで指摘されている。我々が聞かれたのは、「誰かにこうしたWebページを電話から開くように仕向けるにはどうするのか?」「どのような方法が使用される可能性があるのか?」といったことだ。そこで我々は、ジェイルブレイクPDFを使用して、いくつかラボテストを行った。

  電子メールワームは可能だろうか?

  我々はエクスプロイトPDFをメールの添付ファイルとしてテストした。

Test #1:
iPhone email with pdf attachment

  iOS電子メールクライアントは、問題無くスムーズにPDF添付ファイルを認識し、ローンチした。

  電子メールワームを制限する1つの緩和要素として、PDFエクスプロイトはハードウェアとファームウェアの特定の組み合わせを標的とする、ということがある。攻撃者が潜在的なターゲットの使用するバージョンを知っているか、推測する場合には、スピアフィッシングが可能だ。

  SMSワームはどうだろう?

Test #2:
iphone sms with hyperlink

  iPhoneのソフトウェアは、SMSを通して送られるハイパーリンクを自動的にフォーマットするため、これがおそらく試みるのが最も容易な方法だろう。

  だが、この攻撃が起こるとすれば、ライフスパンは、エクスプロイトサーバが悪用され、オフラインにされるまでの時間に制限される。(そしてセキュリティコミュニティはこのような悪意あるホストに対し、非常に素早く反応する。)

  ではMMSワームはどうだろうか?

Test #3:
iphone mms with pdf attachment

  上の画像にクエスチョンマークがあるのがおわかりだろうか? 幸いなことに、MMSメッセージに対するiPhoneの標準サポートは、PDFのローンチを防止する。これは非互換によるセキュリティと言えるかもしれない…

  うまくいけば、誰かが悪用しようとする前に、Appleが同脆弱性を修正するかもしれない。しかし、どのくらいかかるかは静観するしかないだろう。

  Appleのサポートサイト曰く:

  「カスタマ保護のため、Appleは完全な調査が行われ、必要なパッチあるいはリリースが公開されるまで、セキュリティ問題の開示、議論、もしくは承認は行わない。」

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード