エフセキュアブログ

2010年11月

Welcome to a Dark Future - Stuxnetと殺害されたイラン科学者

  11月29日月曜、イランのテヘランで核施設に関わる2人の科学者が暗殺者に狙われた。イランの公式ニュースIRNAによると、Fereydoun Abbasi氏はケガを負うだけで済んだが、Majid Shahryari氏は殺害された。
http://www.irna.ir/ENNewsShow.aspx?NID=30097553

  DEBKA Fileによると、Majid Shahryari氏は朝7:45amに車を運転中にバイクで接近してきた暗殺者グループに攻撃された。当初のニュースでは2人とも車を爆発物で狙われたと言われていたが、DEBKA FileによるとMajid Shahryari氏の車に銃痕がある写真がニュースで公開されていたことから、銃による殺害と見なされている。

  しかしこのDEBKA Fileニュースのもっと興味深い点は、Majid Shahryari氏はイランのStuxnetに関するトップの専門家だということをヘッドラインで報じていたことだ。
http://www.debka.com/article/20406/

  ドイツのシーメンス社のSCADAシステムのみを狙って感染するStuxnetワームについては、6月の発見以降の動きについて、F-Secureのショーン・サリバンの『「Stuxnet」再び:質疑応答』に改訂版がまとめられている。

  この2人のイラン人科学者暗殺事件の直前、イランのAhmadinejad大統領は記者会見で、イランのウラニウム濃縮施設がコンピューターウィルスにより被害を受けたことを認める発言をしていた。
http://www.theregister.co.uk/2010/11/29/stuxnet_stuxnet/

  これに先立つ11月24日、DEBKA FileはイランのNatanz(ナタンズ)のウラニウム濃縮施設で11月16日から23日の間にトラブルが発生したため施設がシャットダウンされ、この件はウィーンのIAEAにも報告されていたことを報じていた。このニュースの中では、Stuxnetはイラン軍システムにも感染してレーダー装置に影響を与えたとするレポートを、DEBKA Fileは入手しているとも報じていた。
http://www.debka.com/article/9168/

  Stuxnetを誰が開発したのかについては未だに不明なままだが、4つのウィンドウズ・ゼロデイを使用する高度な技術力で開発され、攻撃対象をイランの核施設が使用する機材に著しく絞って設計されたワームであることから、テロ組織か国家の関与によるという推測がなされて来た。しかしその誰かは、ソフトウェアだけでなく実際の暗殺という物理オペレーションも同時に実行する誰かだという事が、この事件で浮かび上がって来た。これはスパイ映画ではなく、現実に起こったことだ。

  コンピューターセキュリティと物理セキュリティの関係について、以前からある程度の議論はあったが、このイラン科学者の暗殺はそれ何段も高めてしまった。そしてイラン以前にも、ブラジルの銀行のITセキュリティ担当者が犯罪組織に殺害される事件も起きている。ついにコンピューターセキュリティ専門家は実際に命を狙われるターゲットになることがはっきりした訳だ。

  10月に発表された、リスクマネジメント・コンサルティングを行うKroll社の出した世界の不正行為の現状に関する報告書「Global Fraud Report」では、情報と電子的不正行為によるものが伝統的な不正行為を量的に超えたという視点が含まれていて一部で話題になった。ここから推測して、今後犯罪組織がますますサイバー犯罪の比重を高めて来る可能性は高い。そうなれば、マルウェアのリバースエンジニアリングなどを行うセキュリティ専門家も、犯罪組織にとっての邪魔者として攻撃対象にされてくる危険性が高まる可能性がある。今の犯罪組織はコンピューターも銃もどちらも使う。

  コンピューターセキュリティ専門家には、自分の身の安全に注意しなければならない時代が迫っているのかもしれない。 Welcome to a dark future.

Vacon社と協業、「Stuxnet」対策躍進を狙う

再生利用エネルギー産業と電動機器産業にACドライブを世界的に供給しているVacon社とエフセキュアが、産業オートメーション技術におけるアプリケーションのセキュリティ研究を推進するために協業することになりました。
続きを読む

FBスパム スパム スパム…

  木曜日から我々が追跡しているFacebookスパムに関し、状況は改善していないようだ。

  「http://apps.facebook.com/suicidegirlg」というURLを使用している「This Girl Killed Herself After Dad Posted THIS on her Wall」アプリケーションは、昨日、「M」(suicidegirlm)に到達した。

  そして今日、同URLは「a dead girl」に基づき、「/adeadgirlg」で「G」という文字を使っている。

http://apps.facebook.com/adeadgirlg/

  必ずしも「ダ・ヴィンチ・コード」では無いのでは? 我々は同アプリケーションの次のバージョンは「http://apps.facebook.com/adeadgirlh」となるだろうと予測している。

  FacebookがバージョンHを、バージョンGよりも速く、オフラインにできると良いのだが…

  「This Girl killed Herself After her Husband Posted this on her wall」アプリケーションは、現在も「Trica」により投稿されている。

Teenage MOM killed herself because of her DAD post

  今回は、アカウントは「Teenage MOM killed herself because of her DAD post」というアプリケーションにリンクしている。

  そして最後に、bit.lyユーザgsoftにより投稿された「Profile Watcher」アプリケーションがある:

http://bit.ly/90W9PY

  このスパマーの週末は非常に成功している。彼のパブリックストリームは現在、合計得68万6000クリック以上を示しているのだから!

不吉な金曜日スペシャル:Facebookスパム!

  我々は昨日、Facebookで多数のスパムが横行していることをご紹介した…

  以下は、同じ検索語句「http://omg」を使用して、現在までの状況を概観したものだ。

  我々の最初のエントリは:

apps.facebook.com/suicidegirlg

  これは昨日の「This Girl Killed Herself After Dad Posted THIS on her Wall」アプリケーションと同じ写真を使用している。

質問:Facebookのアンチスパムチームが昨日、Suicide Girl(自殺した少女)A/B/C/D/E/Fをオフラインにしたなら… 何故今日「G」がまだオンラインなのだろうか?

  以下は「Teenage MOM Killed herself」へのリンクだ:

Teenage MOM Killed herself

  これは昨日の「This Girl killed Herself After her Husband Posted this on her wall」アプリケーションと同じ、基本的なテンプレートを使用している。

Teenage MOM Killed herself

  そして… これは同じ「Trica」アカウントにより投稿されている。

質問:一つのアカウントがスパムアプリケーションをプッシュするなら、単にそのアプリケーションをオフラインにするのではなく、そのアカウントを停止すべきではないのか?

  そして以下がいわゆる「Profile Watcher」を表示するリンクだ:

Profile Watcher

  これはbit.lyリンクで、トラッキングの目的でスパマーにより使用されている。

  これは以下のアプリケーションにリダイレクトされる:

Profile Watcher

  bit.lyデータを概観すると、作者が他にも類似したアプリケーションを多数作成していることが分かる。

  Gsoftの「Public Timeline」は以下の通り:

http://bit.ly/u/gsoft

  20万以上のクリック!

  Facebookアプリケーションで「モグラ叩き」のようなことをする代わりに、Facebookのスタッフはbit.lyに、悪用を知らせるメッセージを送り、「Gsoft」のアカウントを停止するよう要請すべきではないか、という考えはこのような状況から導き出されている。

  サイバー・マンデ−(感謝祭直後の月曜日。オンラインショッピング利用者が増える)までには状況が改善すると良いのだが…

ついに・・・

発売になります。マルウェア解析本。

00


12月22日の発売を前に『アナライジング・マルウェア』出版記念トークイベントを開催します。
こちらでイベントの参加登録ができます。著者陣の講演に加え、展示即売会がありますので、
発売前に入手できます。ご興味ある方は是非ご参加ください。どうぞよろしくお願いします。

「Stuxnet」の起源に関するその他の説

  「Stuxnet」の起源に関する大部分の説が、同マルウェアはイスラエルもしくは米国政府によって書かれたと主張しているが、他の説もある。

  Jeffrey Carrが、「Stuxnet」がどこから来た可能性があるかについて、4種類の説を紹介する興味深い記事を「Forbes」に書いている。

Forbes Stuxnet Ydinverkosto

  私はYdinverkostoが「Stuxnet」を書いたということは、ありそうにないと思っているが、過激派環境保護団体により、実際、フィンランドのコンピュータに攻撃が行われたことは知っている。このケースはしかし、最近のものではない。

  PCウイルス「EkoTerror」について考えてみて欲しい。1992年に発見されたこのフィンランドのウイルスは、ハードディスクの最初のセクタを上書きし、以下のメッセージを表示する:

Ekoterror virus

  翻訳すれば:

    EkoTerror (C) 1991 ATK-toimisto P.Linkola Oy
    
    あなたのハードドライブは、環境保護のため使用停止となった。
    グリーンソサエティには、原子力を利用したハードドライブはあってはならぬものだ。

  同ウイルス内のコピーライトのこの声明は、急進的な思想で知られるフィンランドの環境保護活動家Pentti Linkola氏の引用だ。私はこの出来事に関して議論するため、彼に電話したことを覚えている。彼がこの事件とは無関係であること、事件の背後にいる人物について知らないことは明らかだった。

  「EkoTerror」と「Stuxnet」の間には関係があるのだろうか? 私はそうは思わない。

  いずれにせよ、Jeffreyのホワイトペーパーはここから入手できる。(PDF)

サインオフ
ミッコ

スパムギビングデイ

  アメリカ合衆国はサンクスギビングデイ(感謝祭)だ。ほとんどの人たちは今、家で家族と一緒に過ごしているだろう。

  しかしFacebookセキュリティのスタッフの中には、おそらく仕事中の人がいるだろう。同サイトでさまざまなスパムが横行しているからだ。スパマーたちは、休暇中のサーファーを利用しようと、タイミングを計っているのだろう。

  http://www.facebook.com/search/の検索オプションを使って、また「http:// omg」のような言葉を求め「Posts by Everyone」を検索して、Facebook上のスパムリンクを見付けるのはかなり容易だ。

  以下のような結果を得ることが多いだろう:

Facebook search results

  Facebookアプリケーションを開く以下のようなリンクと共に:

This Girl Killed Herself After Dad Posted THIS on her Wall

  そして以下のような:

Facebook search results

  以下のようなものも:

OMG Look What this Kid did to his School after being Expelled

  こんなものや:

Facebook search results

  こんなもの:

Boyfriend dies before her eyes in a terrible car accident

  またこんなもの:

Facebook search results

  さらにこんなものも:

This Girl killed Herself After her Husband Posted this on her wall

  「Girl killed Herself because of her Husband」アプリケーションにより使用された写真の「TinEye Reverse Image Search」では、ボーイフレンドにプライベートな写真をばらまかれて自殺した女子高校生に関するブログにリンクする、3つの結果が得られた。

TinEye

  このアプリケーションの作者「Trica」は、以下にあるように特定のターゲットを標的としていた:

Trica's activity

  では、これらのアプリケーションのどれかをクリックすると何が起きるのか?

  「Request for Permission(許可のリクエスト)」が表示される:

Request for Permission

  許可には基本情報と電子メールが含まれる。商品化し、電子メールスパマーに売り払うには完璧な詳細だ。

  氏名、年齢、性別、さらに電子メールは、標的型スパムに等しい。

Facebook App Spam

  これらのアプリケーションは、「Manage my pages(自分のページを管理)」に対する許可も求める。

Facebook App Spam

  これは問題だ。スパマーが、あなたのページへのアクセスを獲得すれば、さらに多くのスパムを拡散したり、あなたのページの詳細な情報を収集するために使用される可能性があるからだ。

  このことは、Facebookが本当に変えるべきことのように思われる… 我々は通常、適切なアプリケーションコントロールに対して不安を抱かない。アプリケーションを作成するためには、電話番号もしくはクレジットカードでアカウントを確認する必要がある。そして各ユーザは許可のリクエストを承認しなければならない。

  しかし実際には、どのくらいのアプリケーションが、あなたのページを管理する必要があるだろうか?!?

  特定の機能を作成するには、追加のアカウント確認があってしかるべきだ。

  上に示したいくつかのアプリケーションは、現在オフラインだが、我々は新しいアプリケーションが登場しているのを目撃している。Facebookのアンチスパムチームには忙しい一日になるだろう。

  もしスパムアプリケーションを見付けたら報告することで、彼らを援助することができる:

Report application

  楽しいサンクスギビングを!

  七面鳥を味わい、スパムに悩まされないようにしたいものだ。

遅いCPUはマルウェア防御に等しい?

  ラボでは毎日、何万もの疑わしいバイナリを扱っている。人間の研究者の比較的小さなグループが、このような量を取り扱える唯一の方法は、もちろんオートメーション化だ。我々のマルウェアサンプル管理システムにインポートされたサンプルはスキャンされ、分類され、仮想環境で実行される。記録が作成され、我々人間が分析する。

  マルウェア作者は、アンチウイルスのベンダが最新の亜種のライフスパンを攻撃するため、オートメーション化と仮想化を使用する事を知っている。(それが、彼らが毎日多数の亜種を作成する理由だ。)量が多いことに加えて、多くのマルウェアの亜種は、我々のリサーチを妨げ、可能な限り長く検出されないようにするため、バーチャルマシン検出とアンチデバッギングコードも含んでいる。

  時には、彼らのアンチデバッギングはあまりに攻撃的で、逆効果寸前ということもある。

  先週、私はデバッガの存在を検出するため、複数のメソッドを使用しているZbot(別名ZeuS)の亜種を分析していた。デバッガが検出されると、ExitProcessが即座に呼びだし、悪意あるコードは実行されない。このアンチデバッグトリックは長らく知られているものだが、その一つには面白い副作用がある。

  以下がアセンブリコードだ:

IDA

  最初に、RDTSC(Read Time-Stamp Counter)インストラクションが実行される。タイムスタンプカウンタは、各クロックサイクル上で値が増加する。カウンタの高位の32ビットはEDXにロードされ、スタック上にプッシュされる。次に、2秒間実行を停止するSleep(0x7D0)が呼び出される。最後にRDTSCが再び実行され、好意の32ビットはスタックに保存された値と比較される。値が等しければ、すなわちRDTSCが実行される実行されるたびに、EDXが同じ値を受けとるなら、サンプルはデバッガが存在しているに違いないと判断する。これは、少なくとも2秒間に2^32クロックサイクルが起き、EDXの値が増加しなければならないという仮定に基づいている。

  これは、サンプルはCPUが2GHz以上で動作すると想定していることを意味している。言い換えれば、2GHz以下のCPUでは、サンプルはデバッグされているかのように振る舞い、実行を中止し、システムに感染しないということだ。私はこのサンプルをIBM T42(1.86GHz)ノート上でテストしたが、同システムはスピードが遅かったため、感染を避けることができた。

  Zbotのアンチデバッギング防御のもう一つ別の面白い副作用は、同サンプルが感染させることの出来るどんなコンピュータも、ボットの高価なコレクションに終わるということだ。もしかしたら、Zbotをばらまいている連中には、特異な趣味があるのだろうか?

  この記事はレスポンスチームのTimoによる。

「Stuxnet」再び:質疑応答

  「Stuxnet」は相変わらずホットな話題だ。以下は「Stuxnet」に関する質疑応答の改訂版だ。

Q:「Stuxnet」とは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLC(プログラマブルロジックコントローラ、すなわち実際に機械を制御するボックス)に送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:PLCの修正により特定の高周波コンバータドライブ(ACドライブ)を探し、そのオペレーションを修正する。

Q:高周波コンバータドライブとは何か?
A:基本的に、モータの速度をコントロールすることができるデバイスだ。「Stuxnet」は、(フィンランドに拠点を置く)Vaconと(イランに拠点を置く)Fararo Payaが製造した特定のACドライブを探す。

Q:それで「Stuxnet」は、VaconやFararo Payaのデイバイスに感染するのか?
A:違う、これらのドライブは感染していない。感染したPLCが、これらのドライブが動作する方法を修正するのだ。この修正は、極めて高い出力周波数などを含む、非常に限定された条件がすべて同時に成立した時にのみ起きる。したがって、影響の可能性は、極めて限られたACドライブアプリケーションエリアに限定される。

Q:それらのアプリケーションエリアは何か? ACドライブは何のために使われるのか?
A:それらは様々な目的で使用される。たとえば効率的な気圧システムなどだ。

Q:他の例は?
A:そう、濃縮遠心分離機にも使用される。

Q:たとえば?
A:遠心分離機が非常な高速で回転するウラン濃縮などだ。そういう理由で、高周波ドライブは軍事的にも民生用にも利用できる高度先端技術テクノロジーとみなされており、IAEA(国際原子力機関)の輸出規制リストに含まれている。

Q:「Stuxnet」コードは遠心分離機により、およそマッハ2で飛行している発射体を崩壊させる可能性があるのか?
A:修正されたことにより、遠心分離機が粗悪なウランを生産するというケースの方が、より可能性があるだろう。その変化は、長期間気づかれない可能性がある。

Q:エフセキュアはVaconと接触しているのか?
A:している。彼らはこの問題を調査しているが、「Stuxnet」がVaconのカスタマのオペレーションに、何らかの問題を起こした例は見いだしていない。

Q:「Stuxnet」の標的は、イランのNatanz濃縮施設だったと示唆する人もいる。Vacon ACドライブは、これらの施設にあるのか?
A:Vaconによれば、Vacanのドライブがイランの核開発計画で使用されているケースは知らないし、禁輸措置に反してイランにACドライブを販売したことは無いと確認できるという。

Q:Fararo Payaとは接触しているのか。
A:していない。

Q:この会社について知っていることは?
A:何も無い。イラン国外では、あまり有名な会社では無いようだ。我々は、同社がイラン国外に、ACドライブのカスタマを持っているという情報は得ていない。

Q:そのことが、標的国がどこなのかを示しているのでは?
A:次の質問を。

Q:巻き添え被害はあり得るのか? 「Stuxnet」は当初の標的ではなかった別のプラントを攻撃することは可能か?
A:それは、当初の標的と非常に類似したプラントである必要があるだろう。

Q:イランのウラン濃縮プラントに似ているプラントを知っているか?
A:同じ設計を共有するプラントを北朝鮮が持っているらしいことが分かっている。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:証明書をどのように盗むのか?
A:おそらくマルウェアが署名ファイルを探し、キーロガーを使用して、タイプされた時にパスフレーズを集めるのだろう。あるいは、押し入り、書名の道具を盗み、パスフレーズを総当たりする。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ…

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ

  •  LNK (MS10-046)
  •  印刷スプーラー (MS10-061)
  •  Serverサービス (MS08-067)
  •  キーボードレイアウトファイルを介した権限昇格(MS10-073
  •  Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種のうち1つは修正された。最後に残っている脆弱性のパブリックエクスプロイトは、11月にリリースされた。

Q:「Stuxnet」の作者は、自身のゼロデイ脆弱性を見付けたのか、あるいはブラックマーケットで購入したのか?
A:分からない。

Q:そのような脆弱性はどのくらい高価なのか?
A:様々だ。Windowsのポピュラーなバージョンで、単一のリモートコード実行を行うゼロデイは5万ドルから50万ドルの間だろう。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:「Stuxnet」を制作するのにどのくらいかかったのか?
A:我々は「Stuxnet」の開発に、10マンイヤー(1人の人間が10年間働く時間が)かかったと見積もっている。

Q:「Stuxnet」を書くことができたのは誰なのか?
A:必要とされる財政的、そして研究開発的な投資を考えても、また「Stuxnet」内に明らかな金儲けのメカニズムが無いという事実を合わせても、残るのは2つの可能性のみだ。すなわち、テロ組織あるいは一つの国家かである。そして我々は、いかなるテロ組織もこの種のリソースを持っているとは思わない。

Q:ではStuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。(しかし読者のCraig Bが、この記事の以前のバージョンコメントを残してくれた。)

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:明らかに攻撃者は、標的のプラントに関する内部情報を豊富に持っており、内部にスパイを送り込んでいた可能性がある。いったい何故、彼らはワームを使ったのか? 何故彼らはスパイに修正を行わせることができなかったのか?
A:分からない。否認権のためだろうか? もしかしたらスパイは、キーシステムにアクセスできなかったのだろうか? あるいはモグラはプラントにはおらず、設計プランにアクセスできたのだろうか? もしかしたらスパイはいなかったのか?

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、「Stuxnet」を遮断できるんですよね?
A:そうではない。「Stuxnet」はゼロデイを使用した。同ワームが登場したばかりの頃は、完全にパッチをあてていても、AutoRunを使用停止にしていても、制限された低レベルのユーザアカウントのもとに動作させていても、USBドライブからのプログラムの実行ができないようにしていても、Windowsマシンを感染させた。

Q:でも、一般的には、WindowsのAutoRunを使用停止することで、USBワームを停止することができるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは、コンパニオン感染など、他にもある。使用停止にするのは、今でも良い考えではあるが、万能薬ではない。

Q:「Stuxnet」は永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを街、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:米国上院が「Stuxnet」に関する聴聞会を開いたというのは本当か?
A:そう、11月に

Q:エフセキュアは「Stuxnet」を検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、Microsoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

TSA「セキュリティ」

  私は今週、ウイルスとつき合っていた。コンピュータウイルスでは無い。そうではなく、風邪だ… 集中するのが少々難しかったので、自分のニュースフィードを通じて、新しい情報を仕入れるのに多くの時間を費やした。

  私がTwitterアカウントを介してフォローしている人たちの間で、運輸保安局(Transportation Security Administration:TSA)の新しいセキュリティ手続きに関して多くのディスカッションがあった。フルボディスキャナ技術を免除してもらいたいと思う人たちは、より厳しいボディチェックを受けなければならない。

  Bruce Schneierが今日、リンクとさまざまな所見の広範なリストをブログに掲載した。

  以下は引用だ:

  一部の専門家たちが、新しい手続きはセキュリティを実質的に増強すること無く、ただ乗客を不快にするだけとなる可能性があると主張している。「悪人達に戦略やターゲットを変えさせることを強いるだけのセキュリティ手段は、金の無駄だ。」とブリティッシュ・テレコム勤務のセキュリティ専門家Bruce Schneierは言う。「その予算は調査や諜報活動に投じた方が良いだろう。」

  Schneierの投稿(および関連リンク)は、時間があるなら読む価値が高い。

  私はTSAの手続きについて、そしてTSA職員の一部にかかっている不品行の疑いについて読めば読むほど、「スタンフォード監獄実験(特殊な役割を与えられると、その役に合わせた行動をとることを実証した実験)」のことを考えてしまう。

皆さんの空の旅の安全を願っている
ショーン

DKIMの普及を願ってます!

 この度、楽天株式会社は、メール送信ドメイン認証技術「DKIM(DomainKeys Identified Mail)」を普及させるために、「Japan DKIM Working Group(dkim.jp)」に参加しました。

 DKIMは2007年にRFC 4871として承認されたわけですが、この技術が世の中に浸透したらメールによるフィッシング犯罪、または標的型攻撃の防止にも大いに効果があると思っています。ちなみに、迷惑メールについては現在国内で受信されるメールの約7割とのことで、その多くが「なりすましメール」と言われているそうです。多いですよね。。

 自律・分散・協調を基本とするインターネットでは、「協調」するところが重要であり難しいところでもあると思うのですが、これだけ迷惑メールが横行して、そして悪用にも使われている状況なので、今回のDKIM普及の取り組みによって、みんなが協力し合って不正行為に対抗していることを大いに期待しています!

安心・安全なインターネット社会のために。

リアルとサイバーの狭間で 〜 APECからみるサイバーテロ

APECが無事終了し、物々しかった横浜もすっかりいつもの風景に戻りました。
APECといえば、過去にスペインで開催された際に爆破テロが思い出されます。あのようなテロが起きないよう、横浜の警備は厳戒態勢で行われていたわけです。その甲斐もあり、大事もなく無事閉会しました。

ところで、APECの事前資料である「2010年APECの成功に向けて」に、サイバー空間も警備対象となっていたことはご存知でしたでしょうか?
テロというと過激派のイメージがあり、あまりインターネット・セキュリティと関係なさそうですよね。しかし、実はStuxnetが話題になったように、ITもテロに利用される可能性があるため、ネット上も厳戒態勢(?)だったわけです。

私どもが(こっそり)実施した調査では、以前から武装組織と推測されるサーバからサイバー攻撃が行われていたことが分かっています。
JSOCに蓄積されている攻撃元データ(今年1月から9月まで)と、武力組織が利用していると推測されるIPアドレスと照合しマッピングしますと、大体こんな感じになります。

terro_2010

何となくですが、傾向を見ますと大きな武力組織ほど攻撃レベルは高く、本気度も高いように思いました。また、攻撃の内容ですが、SQLインジェクションからTrojanの配布まで様々で、各組織毎に思惑が異なるようです。
残念ながら、攻撃目的が資金調達目当てなのか、Stuxnetの件で噂されるように重要インフラを狙ったものかは、現段階では不明です。

現在、ネット接続の出来ない国は殆ど無いと言われています。当たり前ですが、これはどこからでもサイバーテロが実行可能であるということです。
さすがに、多くの攻撃はテロとは関係のないものだとは思いますが、幾つかはテロと関連した攻撃だということは言えそうです。
つまり、もしかすると自分の会社が今受けている攻撃は、実はテロの一部なのかもしれないわけです!
こう考えると、ちょっとはテロが身近に感じられるのではないでしょうか?(笑)
#といっても、実感が無いのでオバケの警告みたいですが。。。

次回、日本で大きな国際イベントがある際は、是非サイバーテロ対策にも目を向けてみてください!
きっと、インターネット・セキュリティを通じて世界が身近に感じられるかと思います。

iPhone Webアプリで発信者番号をスプーフィングする

  全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。

  以下は「SpoofCard」というアプリケーションだ:

SpoofCard

  「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。

  しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。

  とはいえ、「SpoofCard」をAppleのサイトで見付けることはできない。

  これはWebアプリだ。「インストール」するには、iPhoneのSafariブラウザで「ispoofcard.com」を訪問するだけでよい。

ispoofcard.com

  「SpoofCard」のサイトは、iPhoneのデスクトップにアイコンを保存するよう促す。

  その時点で、これは単にインストールされたアプリケーションのように見える。

SpoofCard Web App

  iSpoofCard Webアプリは、実際のスプーフィングを行うサービスを呼び出すが、その前にユーザに許可を求める。そういう意味では正常だ。

  しかし我々が興味を持っているのは、人々をだまして明らかに悪意あるWebアプリに許可を与えさせるべく、ソーシャルエンジニアリングが使用される可能性があるのでは?ということだ。Webアプリは、許可を与えられたら、iPhoneの連絡先にアクセスすることができるのだろうか? WebアプリはSMSメッセージを送ることができるのだろうか? Webアプリは電話をかけることができるが、誰かに有料課金となる通話をさせるのに、どのくらいのソーシャルエンジニアリングが必要だとお考えだろうか?

  しかし…WebアプリはApp Storeのアプリケーションほどポピュラーではない。Webアプリが悪用され得るとしても、iPhoneユーザはそれらをあまり使用しないのだから、実際にそうなるおそれは少ない。

  そして我々は結局これは、不明瞭ではあるが、Appleの標準的なセキュリティの、さらなる一例であると思う。

Angry Birds Trojan

  「Angry Birds」は、現在ベストセラーのモバイルゲームだ。Apple、Nokia、およびAndroid端末で利用でき、何百万もダウンロードされている。

Angry Birds

  今週の初め、「Angry Birds Bonus Levels」というアプリケーションが「Android Marketplace」にアップロードされた。

Angry Birds trojan

  このアプリケーションは「Angry Birds」の開発企業(フィンランドのRovio)が制作したものではなく、リサーチャーのJon Oberheideによるものだ。

Angry Birds trojan

  JonはAndroidにセキュリティ脆弱性を発見した。同脆弱性は、一つのアプリケーションがMarketplaceから別のアプリケーションをダウンロードし、ローンチすることを可能にするかもしれないものだ。このことを示すため、JonはMarketplaceに、他のアプリケーションもいくつかアップロードしている:「Fake Contact Stealer」「Fake Location Tracker」および「Fake Toll Fraud」だ。これらはAngry Birdsトロイの木馬によりローンチされる。

Angry Birds trojan

  実際、こららのデモンストレーション用アプリケーションは、悪意ある行動は一切とらなかった。またBonus Levelsにも、残念ながら変更はない。

  Oberheide氏が自分のデモンストレーションで、「Angry Birds」の商標を使用する許可を得ていたのかどうか、我々には分からない。

  GoogleはMarketplaceから、これらのアプリケーションを削除した。

  自分のAndroid端末を悪意ある攻撃から守るには、「F-Secure Mobile Security for Android」をご覧頂きたい。

Patch Tuesday 2010年11月版

  Microsoftから最新のパッチがリリースされた。これはリモートコード実行および権限昇格を招く可能性のある複数の脆弱性を解決するものだ。

  今月、影響を受けた製品は「 Microsoft Office (MS10-087)」「Microsoft PowerPoint (MS10-088)」「Forefront Unified Access Gateway (MS10-089)」だ。

  これらのパッチは、Microsoft Download Centerでダウンロードできる。

ノーベル賞事件

  1カ月前、ノーベル賞委員会がリュウ・シャオボー(劉暁波)氏にノーベル平和賞を授与した。同委員会の言葉を借りるなら、氏の受賞理由は「中国における基本的人権のため、長年、非暴力的な努力を行ってきた」ことにある。

Nobel

  2週間前、ノーベル賞サイト(nobelpeaceprize.org)が、Firefoxに対するゼロデイ攻撃によりハッキングされた。

  そして今日、「Contagio」ブログに危険なニュースが掲載された。

  昨日、11月7日に、ある標的型攻撃がローンチされた。この攻撃は「oslofreedomforum.com.」から送られたように見せかけた電子メールを利用しているが、実際は異なる。

  なりすましメールは以下のようなものだ:

Nobel

  「invitation.pdf (md5: 29DB2FBA7975A16DBC4F3C9606432AB2)」というファイルが開かれれば、エクスプロイトを使用して「Adobe Reader」がクラッシュし、システムにバックドアがドロップされる。このバックドアは「phile.3322.org」にコールする。

  これらすべてを隠すため、ユーザには以下のようなファイルが表示される:

[影響を受けた当事者からの要請により、画像は削除された。オリジナルの画像には、ノーベル平和賞授賞式への非常に本物らしく見える招待が含まれていた。]

  誰がこの攻撃を仕掛けたのか、また誰が標的だったのか、我々には分からない。

  エフセキュアはこのPDFファイルを「Exploit.PDF-TTF.Gen」として、同バックドアを「Trojan.Generic.4974556」として検出している。

Email image credit: Contagio Malware Dump

ハッカーがWebcam Trojanで10代の少女達を強要

FBI  FBIが警戒を要する事態に対して警告を発した。

  カリフォルニア在住の31歳の男が、コンピュータをBackdoor Trojanで感染させたという容疑で逮捕された。彼はオンラインで友だちになっていた人々に、メールを介してトロイの木馬を送りつけていたのだ。このマルウェアは、よくあるように、ビデオファイルのように見せかけられていた。実際これは、被害者のPCを攻撃者がコントロールできるバックドアをドロップしていた。次に攻撃者は、被害者のコンピュータから淫らな写真を探す。もし何か見つかれば、攻撃者はそれらをダウンロードし、これらの画像を利用して、被害者からさらなる写真やビデオを強奪しようとした。犠牲者の多くは、10代の少女たちだった。

  現在FBIは、この事件に関し、詳しいことを調査している。このハッカーは、さまざまなスクリーン名と電子メールアドレスを使っており、それらは以下にリストされている通りだ。もしもこれらの名称やメールアドレスをオンラインで見たことがあり、この事件の助けとなるかもしれない情報をお持ちなら、同事件の調査官に連絡して頂きたい。

  容疑者のスクリーン名と電子メールアドレスは:

gui_blt
Woods05
CoFfEkId014
ELEvatrHZrD03
Pimpcess03666
Your3name3here03
Bri23nice
Dmagecntr137
H2IOW14
ELEvATrhRZd03
Playgrl37
Your3name3here3
goldlion14
Hotchit13w
yousoylammer@hotmail.com
christ@yahoo.com
gui_blt@live.com
mistahxxxrightme@aim.com
zapotin@hotmail.com
guich_x@aim.com
guicho_1.1@roadrunner.com
mijangos3@msn.com

バグにもっとお金を

  GoogleがOnline Securityブログで、新たな脆弱性報酬プログラムを発表した。

  この記事には、リサーチャーが脆弱性のテストを実施可能な方法(たとえば基本的に、彼らのサービスをクラッシュさせる何かが発生した場合とか、現在問題になっているタイプのバグを制限するなど)に関する、いくつかの基本ルールが含まれている。

  バグに対する基本的な報酬は500米ドルだが、明らかに「著しく巧妙な」ものは、最高3,133.7米ドルまで増額される。

  同プログラムは今のところ、GoogleのWebベースのプロパティをカバーするのみなので、今年の輝かしいターゲット、すなわちAndroidでのバグを探している進歩的なリサーチャーは、報酬を得ることができない。しかしGoogleは、同プログラムを拡張する可能性を残しているので、今後のことは分からない。

  同プログラムの成功をお祈りする!

AVに参加してみませんか?

このブログの読者ならAVと聞いてAnti Virusを頭に浮かべると思いますが、今回は残念ながらそのAVではなく、AVTOKYOのご紹介です。

先日、DEFCON CTFというセキュリティ技術を競う大会の決勝戦に出場してきました。世界各地で行われている大会の中で最大のものです。予選はインターネット上で行われており、主催者側が作成した問題を解いて点数を競います。主催者側の発表では529チーム、1428人が参加したそうです。予選で上位10チームに入ると、決勝の出場権を与えられます。決勝はアメリカ、ラスベガスのホテルの一室で開催され、その競技内容はというと、与えられたプログラムの脆弱性を探し、チーム間で攻撃防御を行うようになっています。日本でもセキュリティ企業や学生を中心に年々参加者も増え、世界の技術者と切磋琢磨し向上していく場のひとつとなっています。

1

皆さんの多くはこのような大会が存在すること自体、知らなかったのではないでしょうか。また、参加してみたいけど何から手を付けていいかわからないという方もいらっしゃるのではないでしょうか。
そんな方々のために、気軽にCTFに触れていただけるイベントが日本で開催されます。
私もDEFCON CTFの予選、決勝を紹介する役目を仰せつかっています。ここには書ききれなかった裏話を紹介する予定です。ご興味のある方は覗いてみてください。

AVTOKYO meets HackerJapan
http://ja.avtokyo.org/meetshj

さて、最後にみなさんにお土産?です。
DEFCON CTFの決勝会場ではフォーチューンクッキーがばらまかれていました。ふつう、フォーチューンクッキーの中にはことわざのような短いメッセージが書かれた紙が入っているのですが、DEFCONのフォーチューンクッキーはひと味違います。みなさんぜひご賞味ください。

2

「ほとんどの人は、ルートキットが何なのかさえ知らない」

  悪名高いソニー・ルートキット事件から、今日で5年が経過した。

  ソニー・ルートキットは、セリーヌ・ディオン、ニール・ダイアモンド、リッキー・マーティンといった、有名なアーティストの音楽CD数百万枚と共に出荷された。

  こうしたオーディオCDがWindows PCで再生されると、不正コピーを監視するコンポーネントがインストールされ、オーダーメイドのルートキットにより、その存在が隠された。このルートキットは、ソニーBMG自身のソフトウェアを隠すだけでなく、ファイル名に「$sys$」という文字を含む、すべてのプログラムを隠すことになった。同ルートキットは非常に効果的だったため、当時、ほとんどのアンチウイルスプログラムは、隠しファイルをスキャンすることができなかった。結果として、ウイルスライターたちが、インストールされれば、ソニールートキットがそれらを自動的に隠してくれるファイル名を使用したマルウェアを公開し始めた。

  これは大事件であり、ソニーの反応はPR的な危機にはタッチしないという手法の良い例となった。

Thomas Hesse Sony BMG

  もともと我々が同ルートキットを発見したのは、2005年9月のことだったが、Mark Russinovichがこのケースについて発表した2005年11月1日にニュースとなった。

Sony Rootkit

MIT Technology Review issue 85   この出来事全体に対する最高の批評は、明らかに、エフセキュア・ラボのMika StahlbergおよびSanteri Kangasによるコメントを掲載したMIT Technology Reviewによる記事だった。

  セキュリティベンダのすべてが、ソニーが間違っていると直ちに同意したわけではなかった。我々が気に入っている2つの引用は以下の通りだ:

The Inquirerから:
  もしあなたが、信頼できるセキュリティベンダを見付けたいなら、ソニー・マルウェアSRM感染問題に対して立ち上がり、早い段階で声を大にして「これは間違っている」と表明したベンダを探すことをお勧めする。エフセキュアを筆頭にいくつかのベンダが思い浮かぶ。これらのベンダは言う。「あなたが自分のマシンを保護するためにしたいことは、おそらくは数週間、不平を言ったりブツブツ言ったりすることではないはずだ。」

Bruce Schneierから:
  おそらく、称賛に値する唯一のセキュリティ会社は、ソニーの行動に対してまっ先に、そしてもっとも声高に批判してきたエフセキュアだ。

  しかしまた一部の人達は、「セリーヌ・ディオンを聴けるなら、感染する価値はある」と言うのだ…

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード