エフセキュアブログ

2011年01月

有名なら責任も重い?

  ユーザがアンチウイルスプログラム名から、偽物か本物かを見分けることに長けてきているため、ローグウェアの作者は現在、より大胆な方向に向かっている。真っ当なプログラムのアイデンティティを盗み、自分たちの偽の製品でそれを使用しているのだ。最近あるローグが、ユーザが勘違いしてその偽AVを購入するようしむけるべく、AVGのロゴと信頼性の高い名称とを使用しているのが発見された。

  その偽製品は、他のローグウェアで使用されている典型的なメソッドを実装していた。すなわち、システムをスキャンするふりをし、複数の悪意あるファイルを発見したと主張するのだ。無料版は機能が制限されているため、それらのファイルを削除するためには、ユーザはフルバージョン(偽の)にアップグレードしなければならない。

  AVGのロゴを除けば、そのローグのインタフェースには、正規の「AVG Anti-Virus Free Edition 2011」と似ている所は無い。

偽物
Fake AVG

vs.

本物
AVG

  しかし、同製品をよく知らないユーザは、この違いに気づかず、本物の製品を入手していると考える可能性もある。

  ちょっとしたアドバイスを一つ。提供元に気をつけること。たいていのアンチウイルス企業は、製品の無料版/トライアル版をサイトで直接提供している。よって、信頼できないチャネルはスキップし、直接AVベンダから入手することだ。

モバイルセキュリティ・ティップス

  「CES 2011」が、モバイルコンピューティングの未来に関するプレビューで今年の幕を開けた。おそらくNVIDIA Tegra 2などのデュアルコアCPUを搭載した、ハイスペックのスマートフォンやタブレットがさらに多くリリースされることが期待される。我々の中には、「LG Optimus 2X」や「Motorola Atrix 4G」といった端末のSneak Peekに魅了されている者もおり、これらが今四半期リリースされることを間違いなく楽しみにしている。

  データ料金がより安価に、モバイル・コンピューティングのテクノロジがよりパワフルになることで、モバイル機器は小型のパソコンにより近づいて行く。さらに、ユーザが簡単に銀行の取引やオンラインショッピング、フライトの予約、普段のウェブブラウジングなどを行うのを手助けするアプリケーションが手に入りやすくなることで、ユーザのスマートフォンへの依存が加速される。

  モバイル・コンピューティング人気の高まりは、悪意ある攻撃に新たな扉を開いている。これは比較的新しい領域であるため、待ち受けているリスクに気づいておらず、身を守る方法がよくわからない人もいるだろう。そこで手始めとして、以下にいくつか役立つティップスを挙げておこう:

  1. システムを常にアップデートする
      これを当然と思わないことだ。モバイル・オペレーティングシステムをアップデートしておくことで、ユーザは最新の機能を享受できるだけでなく、セキュリティを守る助けともなる。パソコンと同様に、システムを最新にすることは、修正されていないセキュリティホールや脆弱性を利用する悪意ある攻撃への防御となる。

  2. 端末にセキュリティ・アプリケーションをインストールする
      モバイル機器はミニコンピュータ並みの機能を有しているため、攻撃や窃盗の魅力的な標的となる。そしてこうした状況は、フィジカルデバイスと含まれるデータを保護する必要を生む。たとえばエフセキュアの「Mobile Security」アプリケーションは、データを保護し、脅威から防御し、紛失した、もしくは盗難にあった端末を見つける助けとなる機能を提供している。

  3. クリックし到着する場所に気を付ける
      個人情報やクレジットカード情報を獲得するスキャムやフィッシングは、モバイルユーザに対するもっともアクティブな攻撃となることが予期される。ソーシャルエンジニアリングの手法は、ユーザに悪意あるリンクをクリックさせたり、有益な情報を提供させたりするために用いられる。よって、ウェブサイトが「https」で始まっていることを、機密情報を入力する前に確認することだ。

  4. パブリックネットワークでの商取引を控える
      パブリックネットワークは有益で、データ料金を節約する助けとなる。しかし、自分の電話が接続しているパブリックWi-Fiは、セキュアではないかもしれないことを心にとめておく必要がある。安全を期するため、活動はブラウジングに制限し、商取引を行うのは避けることだ。

  5. アプリケーションのインストール、獲得は信用できるソースから行う
      スマートフォンを所有することの楽しみ(そして便利さ)には、様々なことができる多彩なアプリケーションが活用できるということがある。多くのアプリケーションが存在し、独立した、モニターされていないチャネルを通じて提供されている。自分がインストールしたものに注意し、そのソースに注意することだ。ソースの中には、悪意あるコンテンツを含むリパッケージされたアプリケーションを含むものもあるかもしれない。

  6. 端末上での各アプリケーションのデータアクセスのチェックを習慣化する
      アプリケーションの中には、ユーザのデータや個人情報にアクセスするものもある。アプリケーションの範囲外、目的外のアクセスに用心すること。たとえば、SMS(読み書きおよび送信)やコール、電話帳エントリ、システムファイルにアクセスするゲームアプリケーションは、なぜそんなアクセスが必要なのかと疑問を感じる必要があるだろう。アプリケーションに対して何らかの疑いがあるなら、インストールしてはいけない。


  今年、我々はモバイルの脅威に新たに起きる動向を、さらに調査して行く予定だ。モバイルセキュリティに関する最新の調査結果やニュースに注目して欲しい。


--Zimry Ongの投稿による。

クラウドベースのセキュリティを確保する

  クラウドベースのアンチウイルスソリューションは有効だ。ウイルス制作者がこれに反撃しようとしていることから、それが分かる。

  「Backdoor:W32/Bohu.A」について書かれた記事[1] [2] がある。どちらの記事も、検出を避けるため2種類の技術が取り入れられていることを指摘している。すなわち:

  1. ファイルの最後に不要なデータを追加する

  2. アンチウイルスベンダサーバへのアクセスを防止する

  これらは新しい技術ではない。システムが既にBohuに感染している場合、いくつかのアンチウイルスベンダのサーバに対するアクセスがブロックされるというのは本当だ。これは問題だが、クラウドベースのソリューションのみの問題ではない。従来のアンチウイルスのアップデートを防止しようとして、これまで再三、まったく同様の攻撃が行われてきた。

  我々は、たとえマルウェアが攻撃的に邪魔しようとも、クライアントへの接続を保てるテクノロジを生み出そうと、努力し続けている。

Screenshot (46k image)
画像: 「Backdoor:W32/Bohu.A」がデコイとしてインストールするメディアプレイヤーのスクリーンショット

  ファイルの最後にランダムな不要情報を書き込むことは、全ファイルハッシュを変更することにほかならず、それゆえ、全ファイルハッシュに基づいた検出が回避されることになる。しかしそれは、クラウドベースのセキュリティが有効ではないという意味ではない。最新のセキュリティ製品は、ファイルハッシュのみに基づくべきではない、ということなのだ。

  実際、この種の回避メカニズムは、マルウェア側の不利にもなる。たとえば、「エフセキュア ディープガード 3」は、アプリケーションなどのレピュテーションに基づいている。「ディープガード」が非常にまれな何かを検出すれば、それは「不審」なものとみなされる。そのため「ディープガードは」基本的に、末尾にランダムな不要情報が追加されたファイルを検出することができる。それが「不要」な情報であるためだ。

  セキュリティ製品と悪者たちの間のせめぎ合いは続いている。.

初のPCウイルス作者に聞きたいことは?

  現在2011年1月だ。これは、Brainウイルスが現在「25歳」であることを意味している。

Brain virus 1986

  Brainは、5.25インチフロッピーディスクで蔓延した、初のPCウイルスだ。

  よってこのPCウイルスは、現在25歳というわけだ。

  では、Brainは何をしたのだろうか? 我々のウイルス解説データベースを見てみよう。もちろん、このウイルスの解説も含まれている。

brain description

  ご覧のように、Brainウイルスはパキスタン・ラホールの「BasitとAmjad」の連絡先情報を含んでいる。

  25年目のマイルストーンとして、私はパキスタン・ラホールに行くことを決心した。BasitとAmjadを見つけに行き、彼らが開始した出来事について、どう思っているかについて話したい。

Lahore photo by o_0  - http://www.flickr.com/photos/o_0/7860810/sizes/o/in/photostream/

  もちろん、1986年にブートセクタウイルスを書くことは、たとえば、2011年にBanking Trojanを書くこととは全く異なるものではある。一つには、ウイルスを書くことは、1986年には違法ではなかった。人々は当時、ウイルスを書くことがいけないことだとは分からなかったのだから。我々がそれを知ったのは、後のことだ。

  しかし、この25年でどれだけのことが起きたかを考えると驚かざるを得ない。

  そこで、あなたは初のPCウイルスの作者に、何を聞きたいだろうか?

  「News from the Lab」ブログのコメントに、あなたの提案を投稿して欲しい。私は優れた質問をたずさえて、ラホールに出かける予定だ。

敬具
ミッコ

CO2フィッシング

  EU(欧州連合)は、企業が1年に排出する可能性のある二酸化炭素(CO2)の量を制限している。

  その排出量を上回る企業は、排出量を下回っている企業からその分を購入する事ができる。

  これにより、排出量証明書を売買するマーケットが誕生する。非常に大きなマーケットだ。オンライン犯罪者たちの興味をひくに足るだけの大きなマーケットと言える。

  こうした犯罪者たちが、企業のアカウントでオンライントレーディングシステムにログインすることができれば、彼らは排出権を売り、金を手に入れる事ができる。これには、システムで銀行口座をマネー・ミュールのアカウントを示すよう、変更を加える事が必要だ。

  そのため、「EU Emission Trading System(EU ETS:欧州排出量取引システム)」へのアクセスを獲得するべく、いくつかの攻撃が起こった。

  EUにおけるすべての排出量取引が、昨日停止した。最新の攻撃が発見されたためだ。2800万ユーロ以上と見積もられる証明書が盗まれた。

Emission phishing

  「新たな事件がこの数日内に起こったため、この窃盗は共同行為であった可能性がある。」と、EU環境政策のスポークスマンMaria Kokkonenは言う。

  我々は、排出量取引を担当している人々に、電子メールで送られた標的型フィッシングスキャムを見ている。これらは様々な言語で送信された。

  以下はドイツ語とフィンランド語によるフィッシングメールの例だ:

Emission phishing

Emission phishing

  以下はEUが複数回、警告を行ったウェブサイトの例。欧州委員会とは無関係だ。

Emission phishing

  「tradingprotection.com」や「europeanclimateregistry.eu」のようなサイトは、偽の情報、あるいはドメイン保護システムで登録されている:

Emission phishing Emission phishing

  これらの攻撃の結果、全国的な排出量取引システムは、単にユーザー名とパスワードで認証を行う事をやめ、より強力な認証システムを導入しつつある。これらには多元的なSMS認証システムが含まれる。

  フィンランドでは既に、排出量取引システムへのログインは、銀行口座多因子認証スキームをサポートしている:

Emission phishing

PS. 「News from the Lab」ブログのコメントシステムは、現在停止している。すぐに修正する予定だ。

ジュリアン・アサンジに言及するマルウェア

  マルウェアのサンプルをブラウジングしていたら、これに気づいた。

  これは平凡なマルウェアドロッパ(md5: 5aac5fc644f5b2797683c2acb337297a)だ。

  同マルウェアでやや興味深いのは、これがロシア語版のNotepadをドロップし、以下のメッセージを開いてユーザに見せるということだ:

Malware referencing Julian Assange - I enjoy crushing bastards (c) Julian Assange

  我々はこのマルウェアを「Trojan-Dropper:W32/Agent.DQJN」として検出している。.

マルウェア分析を学ぶ

  もしあなたが、ヘルシンキのアールト大学で学んでいるとしたら、明日は聞き逃したくないレクチャーがある。我々のチーフリサーチオフィサー、ミッコ・ヒッポネンが、マルウェア分析およびアンチウイルステクノロジに関するコースを開くのだ。

  これは過去3年間、我々がアールト大学と協力してアレンジしてきたコースだ。人々がリバーズ・エンジニアリングのスキルを学び、マルウェア分析について学ぶのを見るのは、いつでも嬉しいものだ。毎年、我々は学生のスキルをテストするためのホームワークパズルを作成している。今春はラボで働いているTimoが同コース用のパズルを作成する予定だ。Timoは、以下のように始まる「T2'10 Challenge」の作者でもある。

T2 2010 Challenge

  もしこれが奇妙に見えるなら、画像に変えることもできる:

T2 2010 Challenge as a picture

  これもまだ奇妙に見える? もっと多くのパズルを解くのを楽しみ、コースの単位を取ろうと考えるだろうか? それならば、コースでお目にかかれることを楽しみにしている!

  同大学の学生でなくても、教材を同コースのページから閲覧することができる。コース中、我々は同ページに新しい教材を追加する予定だ。

追憶の2010年と2011年の展望 (エフセキュアブログ新春特別レポート その2)

先週エフセキュアブログで発表致しました、「エフセキュアブログ新春特別企画 追憶の2010年と2011年の展望 (ダイジェスト版) 」に加え、各専門家のみなさまからお寄せ頂きましたコメントをご案内いたします。

このレポートは、エフセキュアブログに参画する、各ジャンルのセキュリティエキスパート8名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きしたものです。

エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益な情報発信を目指して参りますので、今後とも何卒よろしくお願いします。

エフセキュアブログ管理人
尾崎 リサ拝

---------------------------------------------

高間 剛典
メタ・アソシエイツ代表

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnet
Stuxnetマルウェアは、工場やインフラなどの制御システムに使われる特定メーカーのSCADA装置を狙って作られ、イランの核施設というピンポイントなターゲットの装置を誤動作させるために設計された仕様を持っていた点が、今までのPCマルウェアとはかなり違っていました。以前2004年ころに重要インフラ保護に関する調査でアメリカを回った時に、既にSCADAの持つ脆弱性と脅威は重要インフラ企業の業界団体や政府機関では認識されていたのを見てきましたが、これでその脅威が現実化することが完全に証明されてしまいました。

Stuxnetの場合は、特にイランの核施設を狙ったことから中東を主とした国際状勢に絡んだ特殊工作の可能性が高いことは、今までのPCマルウェアでは見られなかった事情です。特にイランで核施設でStuxnet駆除に従事していた科学者の1人が暗殺され、イスラエルの特殊部隊モサドによる仕業と名指しする記事も出ました。

Mossad: was this the chief's last hit?(The Telegraph)
http://www.telegraph.co.uk/news/worldnews/middleeast/israel/8182126/Mossad-was-this-the-chiefs-last-hit.html

その意味でもStuxnetは、「マルウェアを敵対国のインフラへダメージを与えるための武器として利用する」というコンセプトも実証したことになり、これは今後の紛争国間でのマルウェア利用のモデルケースとなってしまうでしょう。

Stuxnetの場合では、未発見のゼロデイ脆弱性が多数使われるなど、高度な開発力と資金力が裏側にあることが伺われましたが、仮に今後もしも、今はまだフィッシングやボットネットに使われるマルウェアを開発している犯罪組織が、このような政治的目的の攻撃的マルウェア開発も請け負うブラックマーケットへと展開して来た場合、技術力の未発達な国家であっても資金さえあればマルウェアを入手できる可能性があります。もしそうなった場合の一般への巻き添え被害は想像できない規模になるかもしれません。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

日本にいると銀行ATMに何か仕掛けられるなどとは考え難いですが、国外では当たり前のように起こっていて、犯罪者もATM機器の一部に見えるようなプラスチック部品を量産したりと段々高度になっています。また、日本の銀行ATM機材はレガシーシステムの流れを未だに引いているため銀行毎に独自の仕様機材が多かったりしますが、海外ではWindows XP EmbeddedなどのOSが使われた汎用的なATM機器が違った銀行でも使われていて、ATMを狙うマルウェアも出て来ている話題があります。いわば、日本はガラパゴス状態に守られている訳で、その状況に慣れたままでいるのは危険です。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

AndroidなどスマートフォンOSが使われたポータブル機器のセキュリティとプライバシー情報保護
リアルな生活場面とネット上の生活場面をつなぐ機器としてスマートフォンやタブレットを始めとするポータブル機器の普及が爆発的に拡大することが予想され、同時にこれらに使われているOSやアプリケーション/サービスを狙った犯罪が増加することが推測されます。

物理的世界を制御するシステムとネットワーク化されたPCコントローラーの組み合わせから起きるセキュリティ問題 … Stuxnetがモデルケースとなってしまった事から、今後この組み合わせが国際状勢や軍事状勢の影響を大きく受ける可能性があります。

---------------------------------------------

岩井 博樹
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
独シーメンスのPLCを狙う、複数の0dayを悪用するなど、技術面から考えても面白い。また、背景的にも軍事的な要素が見え隠れするあたりも注目。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜

アカウント管理の重要性が再認識された、というより、こんなに酷かったんだという印象を受けました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

某国などからの特定企業への攻撃が加速化しており、その被害は深刻化している。日本企業も例外ではなく、その被害の動向が気になります。

---------------------------------------------

片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

中国の漁船問題によって攻撃を受けた日本のウェブサイト
ウェブサイトには国境が無いので、他国との国際問題が間接的にウェブサイトのセキュリティ問題に発展する可能性があります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン

今まではメールを使ったスパムが一般的だしたが、世界最大規模のウェブサイトであるFacebookを利用したスパム行為はリーチが広く効率的です。日本人はまだまだ国産SNSを利用しているユーザーが多く、Facebookアカウントを持つ日本人が増えると日本人向けの同様のスパムが発生する可能性があります。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

スマートフォン
スマートフォンは昨年に引き続き、今年も注目が集まるデバイスだと思われます。スマートフォン向けのセキュリティ製品がもうすでに出回っていますが、今後は個人の携帯の中身を狙った犯罪が増えるのではないかと考えています。

---------------------------------------------

福森 大喜
株式会社サイバーディフェンス研究所 上級分析官/CDI-CIRTメンバー


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Gumblarが大流行したことです。Gumblarが備える耐解析機能により、多くのアンチウイルスソフト、マルウェア判定サイトでGumblarを検出できない状態になっていました。Gumblarと同じような機能を持ったマルウェアは今も活動を続けていますので、そのようなマルウェアにどう対処するかは今も大きな課題だと思います。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

大量のブランククレジットカードの写真が印象的でした。そしてミッコの守備範囲の広さに驚きました。彼は一体どこまで手を出しているのだろうか。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

第二、第三のStuxnetが現れるのかに注目しています。根拠があるわけではありませんが同じようなプロジェクトが水面下で進んでいる可能性は高いのではないかと思います。スマートグリッドのようなインフラ制御システムのセキュリティを見直す時期に来ているのではないでしょうか。

---------------------------------------------

鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

2010年は、やはりstuxnet等に代表されるAPT(Advanced Persistent Threat)の関連話題です。近年の外部脅威と「守り方」の基本的な考え方を理解しておかないと、コストばかりかかってしまい、効果的な対策が打てなくなってきています。APTについては、IPAのテクニカルウォッチにて「『新しいタイプの攻撃』に関するレポート」と題した報告書が出ていますので是非ご参照下さい。また、私共研究開発の現場で一番印象的だったのは0-day脆弱性悪用の急増とその攻撃技術の更なる進歩でした。これらは目的遂行のための一つの手段であるため話題としてあまり取り上げられる事はありませんが、攻撃者側のテクノロジーの進歩には大きな危機感を感じています。

「『新しいタイプの攻撃』に関するレポート」
http://www.ipa.go.jp/about/technicalwatch/20101217.html

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
Stuxnetに関する質疑応答
2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン

上記と被りますが、ミッコ・ヒッポネン氏やショーン・サリバン氏の Stuxnet に関連する質疑応答記事です。テクノロジーや攻撃背景等の分析は大いに参考になりましたが、特に攻撃背景については不明点も多く、今後増加するであろうこの種の攻撃に対して社会はどのように対峙すべきなのか改めて考えさせられました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2011年は、APTに関する話題が更に重要になってくるものと思います。また、私共は研究開発ベンダーですので、まずは「餅屋」として、より厳しさを増してきた攻撃技術に対する守りの技術をしっかり研究開発していきたいと思います。

---------------------------------------------

福本 佳成
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT Representative


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

iモードIDを用いた「かんたんログイン」の DNS Rebinding 脆弱性(註1)
この脆弱性が報告されたのは2009年の11月ですが、2010年ではこの問題の影響を受けるウェブサイトがいくつか発見されました。もちろん楽天でもこの問題に該当しないか調査を行い、対策を実施したわけですが、これは本質的にはウェブサイトの脆弱性ではありません(註2)。ですが、時には自社の問題でなくてもウェブサイト側で対応をするケースもあるわけです。サービス運営をしている側としては、守らなければならないものがあるわけですから。ちなみに、この問題と同じく、以前、ブラウザ側の脆弱性ですが、ウェブサイト側で被害を受けないよう対応をした事例もありました。こちらについては今年、とうとうブラウザ側の脆弱性として修正されました(註3)。やはり恒久的には脆弱性の原因となっているところで修正されるべきでしょうね。

註1 DNS Rebinding 脆弱性
http://www.hash-c.co.jp/info/20091124.html
註2 本質的にはウェブサイトの問題ではありません
http://bakera.jp/ebi/topic/4054
註3 JVN#62275332 Internet Explorer におけるクロスサイトスクリプティングの脆弱
http://jvn.jp/jp/JVN62275332/


2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ

セキュリティの記事ではないのですが、この記事が印象に残りました。現場でのセキュリティの仕事は日頃のストレスが多いのですが、この記事は爽快な気分を味わえますね。そして現場のセキュリティエンジニアにとっては大変共感を得る内容なのかなと思います。「そして、普段は直接見えないけれど、わたしたちの安全を確保する為に闘い続ける、ITセキュリティの世界も同じかもしれないと思いました。」という尾崎さんのコメントは、まさに仰る通りだと思います。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か
http://www.itmedia.co.jp/news/articles/1012/14/news040.html

昨年このような事例もありましたが、今年も引き続きID theftの被害は拡大しそうです。他のサービスでユーザID、パスワードが大量に漏洩する事件が発生すると、不正ログイン試行も増える傾向があることが観測されています。サービス運営者側はID theftにどう対処してくのか、大きな課題だと思っています。

---------------------------------------------

八木沼 与志勝
エフセキュア株式会社 テクノロジー&サービス部長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
高度なマルウェアという点もありますが、その対象が印象的。産業システムならずとも、日本国内には各分野を支える独自システムがいくつもありますし、狙われたら非常に脆い部分もあります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン


特にこの記事だけというわけではないのですが、ショーンのSNS関連の記事投稿が多かったのもあり代表してこの記事を。SNS、特にスマートフォンによるSNS(特に日本国内)やクラウドシステムの利用をターゲットにした脅威について色々と考えるところがあるので、SNS関連記事が印象に残っています。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2. に関連しますが、SNSやクラウドサービスとスマートフォン利用環境については注目してます。スマートフォンは位置情報(=行動情報)をリアルタイムに把握できる可能性があります。位置情報/行動情報を使ったオンラインゲームもあるし、人々が油断して使うことができるプラットフォームでもあるので、今後出てくるたくさんのサービスがどういった方向に向かうのか興味をもっています。また、スマートフォン対応のウェブサイトのノウハウもまだ発展途上。スマートフォンのアプリケーション開発への参入障壁が下がったことによる脅威。医療用を初めてとした特定用途のクラウドサービスの規格などの問題。話題先行でユーザがついていけていないため、注目しています。

---------------------------------------------

富安 洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetに関連するあれこれ
マルウェア本体の技術的な内容のみならず、関連する出来事(高間さんの記事: イラン科学者の暗殺事件など)や作者は誰かなどの噂話を含めた話の広がりが印象深かったです。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン

あえてStuxnet関連を外して、、、全然技術的な話ではないですが、面白いし良い法律だなぁと思ったので。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

業界動向とかを置いといて、個人的に気になっていることとしては、今年の国会に提出されると言われている「ウイルス作成罪」の法案がどんなものになるのかというところです。もちろん、基本的には必要な法律だとは思いますが、サポートへの検体提供とかで揉めたりするケースが出てくるんじゃないかなぁと若干心配しています。

---------------------------------------------

(敬称略)

「Stuxnet」に関する新情報

scada

  「Stuxnet」が相変わらずニュースになっている。「New York Times」が以下の内容を含む、最新の調査結果に関する長い記事を掲載した:

  ジョージ・ブッシュ大統領は2008年にはすでに、イランに対して実験的なサイバー攻撃プログラムを開始していた。

  NY Timesによれば、「Stuxnet」はアメリカ合衆国とイスラエルによって共同で開発されたものだという。とはいえ、直接的な裏付けは提供されていない。

  イスラエルはディモーナの「Negev Nuclear Research Center」に、イランのNatanz濃縮施設のレプリカを建設し、これが「Stuxnet」を実際に展開する前に、テストドライブのために使用された。

dimona israel negev

  Wikileaksがリークした大使館の通信記録は、イラン核開発計画が本当にSiemens PLCの装置を使用していたことを証明しているようだ。

cable stuxnet

  NY Timesは、アイダホフォールズのアイダホ国立研究所が、「Stuxnet」攻撃で利用される脆弱性を発見するべく、Siemens PLCシステムのセキュリティ試験を利用したと伝えている。どうやらSiemensは、このテストは産業システムの保護のために行われたと考えていたようだ。Siemensとアイダホ国立研究所が、2008年に共同のセキュリティ試験を実施したことは、以下のスライドを見れば容易に確認できる:

stuxnet inl
Image copyright Idaho National Laboratory & Siemens

  攻撃の標的は、「Vacon」と「Fararo Paya」により製作された高周波電力ドライブのオペレーションを修正することだった。これらのドライブはウラン濃縮を行っていた遠心分離機を制御していた。

vacon drives

  「Stuxnet」は特に、984のコンバータのグリッドを標的としていた。

  奇妙なことに、2009年後半、国際査察団がNatanz濃縮施設を訪れた際、イラン人が合計できっちり984台のマシンを運転停止していたことを明らかにしている。

Siemens S7-400 PLC

  「Stuxnet」はシステムに悪意ある修正を行う一方で、オペレータをすべて通常通りだとあざむくため、中間者攻撃を使用する。

  イランのマハムード・アハマディネジャド大統領は2010年11月、サイバー攻撃が実際に彼らの遠心分離機に問題を引き起こしたことを認めた。

centrifuges

  リークされた大使館の他の通信記録が、Natanzに加え、ほかに未知の濃縮施設がある可能性を示している。サイバー・サボタージュによる、このような未知の標的に対する攻撃は、それらを爆撃しようとするよりも、はるかにうなづけるものだ。ワームは、我々が知らない施設さえ見つけ出すのだ。

cable stuxnet

  いつか、「Stuxnet」の修正されたコピーが出てくるのではないか、という実際的な恐れがある。

  「Stuxnet」の修正は、明らかに簡単なことではないが、同じ機能性をゼロから作るよりは容易だ。

  「Stuxnet」のコピーを見つけることは、我々が見つけた以下のフォーラムを見れば分かる通り、まったく難しいものではない:

finding stuxnet

  詳細な基本情報については、「Stuxnet Q&A」および「Control Global」誌に掲載されているRalph Langnerによる「Stuxnet」に関する詳細記事を参照してほしい。

  あるいは、我々が発表したばかりの新しい「Stuxnet」ビデオをご覧頂きたい。



追憶の2010年と2011年の展望 (エフセキュアブログ新春特別レポート その1)

このたび、エフセキュアブログでは、新春特別企画と題しまして、当ブログに参画している専門研究者のみなさまのご意見を集め、昨2010年のセキュリティ動向をふり返り2011年を展望する、フラッシュレポートをまとめましたので、発表いたします。

このレポートは、エフセキュアブログでオフィシャルコメンテータを務めて下さっております、各ジャンルのセキュリティエキスパート9名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きし、8名から回答を得てまとめたものです。

その結果、2010年に一番印象に残ったセキュリティに関する出来事は、SCADAシステムを標的とした進化した攻撃である Stuxnet が最多になりました。その他の2010年のトピックとして、漁船問題に端を発する中国からの攻撃、Gumblarの大規模感染などが挙げられています。

そして、2011年に、一番注目していることとして挙げられたのは、スマートフォンに関連するセキュリティ問題でした。

また、2010年にエフセキュアブログに投稿された記事で最も印象に残ったポストには、Gumblar、クレジットカード詐欺、プライバシー、Stuxnetなど多様なテーマの記事が挙げられたものの、約半数にソーシャルネットワークサービス Facebook が関連しており、SNSの脅威の拡大を実感する結果となりました。

専門研究者のみなさまの個別のコメントは、来週エフセキュアブログにアップいたします。

エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益なセキュリティ情報の発信を目指して参りますので今後ともよろしくお願いします。

エフセキュアブログ管理人
尾崎 リサ拝

-------------------------------------------------------

エフセキュアブログ新春特別企画
追憶の2010年と2011年の展望
(ダイジェスト版)

■ 2010年に一番印象に残ったセキュリティに関する出来事

1位 Stuxnet 5件
2位 中国の漁船問題による日本のWebサイトへの攻撃 1件
2位 Gumblarの大流行 1件
2位 iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 1件


■ 2010年に一番印象に残ったエフセキュアブログの記事

間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜

ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン

総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ

Stuxnetに関する質疑応答
(2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン

スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン

ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン


■ 2011年に一番注目していること、動向を見守っていること

1位 スマートフォンのセキュリティ 3件
2位 Stuxnet等のAPT、第2、第3のStuxnetの出現、 2件
3位 他国からの特定企業への攻撃の増加 1件
3位 アイデンティティ盗犯罪 1件
3位 SNSやクラウドサービスのセキュリティ 1件
3位 「ウイルス作成罪」の法案 1件
3位 物理世界の制御システムとネットワークの組み合わせから起きる問題 1件

アップデート:IE脆弱性(セキュリティアドバイザリ 2488013)

  2010年12月23日に初めて報告されたInternet Explorerの脆弱性はまだ修正されていないが、Microsoftがアドバイザリをアップデートし、この問題の回避策および緩和策を紹介している。

  IEを使用していないユーザは、修正が行われるまでIEオプションはオフにしておくことが望ましい。IEを使用する必要のあるユーザは、以下の回避策を実装することをお薦めする:

  • IEでCSSスタイルシートの再帰的ローディングを停止する

  • Enhanced Mitigation Experience Toolkit(EMET)を利用する、そして

  • インターネットおよびローカル・インターネット・セキュリティゾーン・セッティングを「High」にする


  回避策を導入するための詳細な方法については、更新された「セキュリティアドバイザリ 2488013」に掲載されている。これらの回避方法を有効にするには、最新のセキュリティアップデート(MS10-090)がインストールされている必要がある。

  引き続き最新情報を待ってほしい。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!

2011年初のWindows脆弱性

  新しい年にWindowsの新しい脆弱性が登場した。昨日Microsoftは、「最近発見された」脆弱性の調査を行っていることを認めた。同脆弱性のエクスプロイト・コードは既に入手可能であると報告されている

  セキュリティアドバイザリによれば、この脆弱性はWindows Graphics Rendering Engineを含んでいる。影響のあるWindowsのバージョンは各種XP、Vista、Server 2003およびServer 2008だ。Windows 7は影響を受けない。

  同脆弱性の悪用には、特別に作成されたサムネイル画像(フォルダもしくはプログラム)が必要だ。エクスプロイトが成功すると、攻撃者がそのコンピュータのコントロールをほぼ奪うことになる。

注意;ブービートラップを仕掛けられたサムネイルがサイトにあるか、電子メールで送られてきたかに関わらず、感染にはユーザがアクティブにそのサイトを訪問するか、メール内のリンクをクリックする(あるいは添付ファイルを開く)必要があるため、安全なサーフィンおよびコンピュータ使用に関する標準的な予防策はまだ有効だ。

  影響を受けるバージョンのユーザに対し、アドバイザリはパッチがリリースされるまで、少なくとも「既知の攻撃ベクタをブロックするのを助ける」回避方法を用意している。あるいは、新たな始まりにふさわしい新年ということもあり、Windows 7へのアップグレードを考える良い時期かもしれない。

  定例外のアップデートリリースが出されるようではないので、最短でパッチが入手可能になるのは1月11日の可能性がある。注目していてほしい。

A HAPPY NEW YEAR 2011

新年あけましておめでとうございます!本年も何卒よろしくお願い申し上げます。続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード