エフセキュアブログ

2011年04月

マルウェア作者:エフセキュアに監視させてホフを悩ませるな!

  この間、我々はマルウェア作者たちがチャック・ノリスが大のお気に入りらしいことに気づいた。当然だ。チャック・ノリスは強烈なのだ! 我々はこの状況を慎重にモニタリングし、ノリス氏に対するある種の興味、あるいは敬意を示すマルウェアをいくつか見つけた。

  我々は考え始めた。我々のオートメーションがチャック・ノリスに対する言及を探すことでマルウェアを検出することができるなら、我々は他に何をすることができるだろうか? そして我々は気づいた。デビッド・ハッセルホフへの言及を探す必要がある、と。よく考えれば明白だ!

The Hoff t-shirt
Picture (C) F-Secure Corporation

  確かに、「ホフ」に言及するマルウェアが存在する。

  リモート管理Trojan(RAT)で、クライアントとバックドアからなる「Backdoor:W32/IndSocket.A (a7de748dc32a8edda9e81a201e2a83da8f60bd42)」が一例だ。これは障害の起きたコンピュータ上で、攻撃者が特定のことをするのを可能にする。典型的なのは、プログラムの実行、キーストロークのロギング、ユーザのWindowsデスクトップの壁紙を変更するなどだ。しかし問題もある。攻撃者は、どの壁紙を使うか選べないのだ。攻撃者がリモートTrojanコントロールパネル上で「David Hasselhoff Atach」(原文ママ)ボタンをクリックすると、壁紙が自動的に、戦略的に2匹の子犬が配された「ナイトライダー」の有名な画像に変わる。

indsocket options
Picture (C) F-Secure Corporation

  したがって、あなた自身が壁紙を「ホフ」の写真に変えていないなら、何が起きたか分かるだろう。エフセキュアの「インターネット セキュリティ」には「Anti-Hassle Hoff Technology(TM)」が搭載されていることを知れば、我々のカスタマは安心するに違いない。

ケイト・ミドルトンのドレス画像を検索する際は慎重に

  現実の出来事はしばしば、ものすごい数のオンライン検索を引き起こす。先頃起こった日本の地震と、それに続く津波は、世界の注目をGoogleに集めた突発的出来事の良い例だ。そしてGoogleの検索結果のトピックトレンドとして、検索エンジン最適化(SEO)攻撃が試みられる。我々は3月11日の記事で、情報検索の際に用心するよう勧めている。

  同記事では、GoogleがSEO攻撃を阻止するため、かなり良い仕事をしており、検索結果からフィルタリングしていることも指摘した。Webの結果がということだが…

  昨年の10月以来、我々は画像ベースのSEO襲撃が安定して成長しているのを見てきた。Googleが悪意あるサイトSEOに対する(追いつ追われつの)戦いに勝利しているため、攻撃者の中には画像検索にシフトする者がいるのだ。画像ベースのSEO攻撃は、より一層の技術的チャレンジだ。トレンドに追随し、次にホスティングされた攻撃サイトに結びつけるかわりに、攻撃者はトレンドとなっているトピックを特定の画像に結びつける必要があり、次にその画像を障害が起きたサイトにリンクし、そこから攻撃者のサイトにリンクする必要があるからだ。

  我々のThreat Insightsチームが調査してきたのは、興味をそそられる進化だ。

  しかし、それに関しては今後の記事でより詳細を提供する予定だ。

  今日は、明日大量に検索される画像がケイト・ミドルトンのウェディングドレスだろうということを指摘したい。

  人々はウイリアム王子とケイト・ミドルトン嬢の結婚式について記事を読むだけでなく、見たいと思うだろう。そして明日、Googleの画像検索はこれまで以上に利用されるだろう。

  我々は既に、「ロイヤルウェディング報道」SEO攻撃を目撃しつつある。

  以下は、結果に何人かの有名なサッカー選手を含む例だ:

SEO image attacks

  この画像は「0611-soccer-studs1-credit.jpg」という名で、「lingerie-now-com」にリンクしている。

  ホストサイトがバックグラウンドでロードされている間に、Googleのプレビューが前面でロードされる。

SEO image attacks

  次に起きるのは、バックグラウンドサイトが攻撃サイトにリンクされ、そのページを引き継ぎ、スケアウェア攻撃の試みに関する警告メッセージを表示する。

SEO image attacks

  以下がリンケージだ:

SEO image attacks

  このサイトは次に、アニメーションの「オンラインScan」を生成する:

SEO image attacks

  結果は全て、もちろんナンセンスで、以下の例はクリーンなテスト用マシンからのものだ:

SEO image attacks

  残念なことに、SEOによるスケアウェア攻撃は相対的に言って、非常に上手くいっている。消費者はこの種の攻撃により、数百万ドルも搾取されているのだ。

  だから、もしあなたに結婚式の画像を探す予定があるなら、こうした潜在的脅威に注意してほしい。

SEO image attacks

  「ロイヤルウェディング」に対するGoogleのWebサーチ結果では、ページのトップに二人のオフィシャルサイトが表示される。

  そして、他にも画像ベースのSEO攻撃のタイムリーな例として、昨日、ホワイトハウスによりリリースされた、バラク・オバマ合衆国大統領の出生証明書を検索した人々を標的とした攻撃があり、「GFI Labs」のChristopher Boydが記事を掲載している。

ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性

PSNからの情報漏洩で大騒ぎ中ですが、差し出がましいようですが、私もひとつコメントさせて頂きます。
ちなみに、私も新聞各紙で出ている情報以外は知りませんので悪しからず。

本件は事後対応策を全くしていないかった典型的事例だと思います。
セキュリティ対策は、予防策から事後対応策までバランス良く実施できれば、それに超した事はありません。しかし、運用面やコスト、リソースなどの課題を考えると、中々そうはいかないのが現実です。

ところが、万一事故が発生した際に、確実に顧客の信頼を失うのは、事後対応策を怠った場合です。
なぜならば、事後対応策がとられている組織の場合、比較的原因究明が早いためです。そのため、
「○○の可能性で侵入された可能性が高いため、確認中です。」と第一報。
「○○に原因があったため、至急対策を実施しました。」
と最終報告がしやすいわけです。

それに対し、事後対応策が不十分である場合、これが言えません。
「鋭意調査中です。」
「恐らく、○○が原因だと思われます。」
「取り合えず、セキュリティ対策を強化しました。」
くらいの台詞がお約束です。
もし、ユーザであったら、どちらが安心感があるでしょうか。
勿論、広報の発表の仕方にもよりますが、事故後のアクション次第で組織への影響は大きく変わるものです。
いくつも、類似の事件を見てきましたが、今回は失敗の典型的事例に映ります。
IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。


Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

企業マルウェア開発

  Washington Timesが、政府使用のためのバックドアおよびトロイの木馬を開発する企業に関する、長文の記事を掲載している。

  この記事は、Gamma Technologies、Elaman GmbHおよびエジプト政府間の関係についてのニュースを我々が伝えた後に開始された。

Elaman / Gamma Technologies
Photo by F-Secure GmbH

  バックドアやエクスプロイト、トロイの木馬を開発する大企業が存在するとは、不安どころではない。

Elaman / Gamma Technologies
Elaman HQ Photo F-Secure GmbH

  もちろん、それらのほとんどは「合法的なインターセプト」のために設計されている。

  合法的なインターセプトは、絶えず存在した。もともとはオペレータによる通話の選別を意味し、そのうち、携帯電話の通話やテキストメッセージに拡大。そして次に、電子メールとWebサーフィン情報の選別に拡大した。しかし、疑わしい人物がSSLを使用したサイト(たとえばGmail)にアクセスするなら、オペレータはそれを選別することはできない。そのため、標的のコンピュータを感染させるマルウェアやバックドアを使用する必要が生じた。一度感染させれば、そのマシン上で行われるすべてをモニタすることができる。

Finfisher offer

  理論的には、合法的なインターセプトには何ら問題は無い。それが警察によって行われるなら。民主主義国家で行われるなら。裁判所命令があるなら。そして容疑者が実際に有罪である場合なら。

  Eli Lakeの記事で挙げられている企業には、HBGary FederalとEndgame Systemsも含まれている。

イランに対するサイバー攻撃の第2ラウンドが進行中?

  今日、イランの指導者たちが、Stuxnet後、新たなサイバー攻撃と戦っていると発表した。

Mardomakの報道(ペルシア語)
Mehrの報道(英語)
AFPの報道(英語)

  コードネームを「Stars」という、新たな未知のマルウェアについて言及されている。

  我々は現時点で、同攻撃に関する詳しい情報を入手していない。

  このケースを、我々が既に有しているかもしれない特定のサンプルに結びつけることはできない。

  これが米国政府により開始された新たなサイバー攻撃なのかどうかは分からない。

  イラン当局がありきたりのWindowsワームを発見し、それをサイバー戦争攻撃であると発表したのかどうかも分からない。

  うまくいけば、間もなく詳細が分かるだろう。

Stuxnet cartoon
Cartoon (c) Bob Englehart, licensed from Daryl Cagle's Professional Cartoonists Index

iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している

フォレンジックリサーチャのAlex Levinsonが、iPhoneの所在地をマッピングする方法を発見した。情報はiPhoneにあるロケーションキャッシュファイルから得られる(Library/Caches/locationd/consolidated.db)。

  実際には、同ファイルはユーザのトラベルヒストリを含む。

Apple iPhone location

  このファイルには、iPhone上のサードパーティのアプリによってアクセスできないことは注意すべきだ。そのためには、ルート権限が必要だからだ。しかし、同ファイルは標準的なiPhone同期の間、PCやMacにコピーすることができ、そこから利用できる。

  昨日、セキュリティリサーチャのPete WardenとAlasdair Allanが、このようなファイルを取得し、地図上にユーザの動きを示すことができるアプリケーションをリリースした。

UFED Physical Pro iPhone forensic examination  今やこれは、プライバシーの観点から見ると嫌な感じがする。たとえば当局が、ユーザがどこにいたかを知るために、電話のフォレンジック調査を行うべく、裁判所命令を獲得することになるかもしれない。

  しかしそもそも、Appleは何故この情報を集めているのだろうか? 我々にははっきりとは分からない。しかし、Appleのグローバルロケーションデータベースと関係しているのではないかと思う。

  Googleのように、AppleはWi-Fiネットワークのロケーションに関するグローバルデータベースを有している。彼らはこれを、GPSを使用せずにユーザのロケーションを推定するために使用する。たとえば、ロンドンの特定の街区にあるとAppleに分かっているMACアドレスを持つ、3カ所のホットスポットをあなたの端末が表示するなら、あなたがそのブロックにいることはまず間違いない。

  我々はGoogleがロケーションデータベースを集めた方法を知っている。彼らはGoogle Maps Street Viewの車を各地に走らせ、世界中で情報を記録したのだ。

  Appleはどこで、自前のロケーションデータベースを獲得したのだろう? Skyhookという名の企業からライセンスを受けていた。ではSkyhookはこの情報をどのようにして獲得したのだろう? Googleのように、彼らは自分たちの車を世界中に走らせた

  しかしSkyhookのデータベースは高価だ。そこで2010年4月にリリースされたiPhone OS 3.2から、AppleはSkyhookのロケーションデータベースを自分たちのそれと入れ替え始めた。

  そして本当の問題は、Appleがどのようにして、自分たち自身のロケーションデータベースを作成したのか、ということだ。彼らは世界中に車を走らせてはいない。そうする必要は無かった。Appleには世界中いる既存のiPhone所有者に、その仕事をさせたのだ。

  最新のiPhoneを使用すれば、同端末は1日に2回、ユーザのロケーションヒストリをAppleに送信する。これは同デバイスのデフォルトのオペレーションだ。

Apple iPhone location

  それはどのように行われるのか? 最初にユーザの許可を求めることによってだ。iTunesをインストールする際にオプトインプロセスがあるのだが、プロンプトは非常にまぎらわしい:

iTunes location

  iTunesのこのプロンプトは、ダイアグノスティック情報に関してAppleの手助けをして欲しいということを言っている。ユーザのロケーションを記録することに関しては、何も触れていない。Appleのプライバシーポリシープライバシーポリシー日本語 )を読めば、何を行うかは確かに説明されているのだが:

   アップル製品でロケーションベースのサービスを提供するため、Appleとパートナー企業およびライセンス取得者は、Appleのコンピュータやデバイスのリアルタイムな地理的ロケーションを含むロケーションデータを収集、使用、共有する可能性があります。
   このロケーションデータは、ユーザを個人的に特定しない形で、匿名で収集され、Appleとパートナー企業およびライセンス取得者により、ロケーションベースの製品、サービスの提供、改善のために利用されます。

  我々は、iPhoneで発見された新たなロケーションデータベースが、この機能に結びついていると考えている。たとえそれがAppleに送信されていないとしても、iPhoneは常に、あなたのロケーション情報を収集しているのだ。

震災情報を装ったウイルスメールの犯人を追う

東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。

ますます変化するWeb

  ショートURLサービスは問題をはらんでいるが、IPロケーションテクノロジとの組み合わせで、より一層問題になっている。

  今朝早くのtwitter.comから:

http://twitter.com/#!/olasher/status/59923780021141504

  細かく見れば、「@olasher」というスパムボットが、他のスパムボット「@MorabsShimb3554」に答えていることに気づくだろう。見え透いているのでは?

  さて、「@olasher」アカウントはあまりに明白なので、作成されて数時間以内に、Twitterが同アカウントを停止している。しかし「@MorabsShimb3554」はより巧妙で、読者にow.ly linkを「コピー&ペースト」するよう促すことで、気づかれないように行動しようとしている(今までのところ成功している)。

  ow.lyショートリンクは「http://fi.toluna.com/Register.aspx」に「maxbounty.com」を介して導かれ、フィンランドからはリダイレクトしているが、スパマが儲けを期待できる手法として、アフィリエイトIDが付けられている。

  ow.ly linkがいくつのサイトを開くかについては、見分ける良い方法は無く、それはひとえに、ユーザの拠点(IPアドレス)とMaxBountyコミッションの数による。

  Twitterには、ショートURLを広げることで手助けしようとする、非常に素晴らしいツールティップ機能があるが、アメリカ合衆国中心であるのが難点だ。表示されるリンクは、twitter.comのホームIPアドレスに基づいている。これは正当なリンクでは上手く行くが、スパムや悪意あるリンクでは必ずしもそうとは言えない。結果がロケーションにより異なるためだ。

  そしてTwitterは、何かの理由でエンドポイントに拡大できないことがある。

  「@olasher」がプッシュしたリンクを見てみよう:

http://bit.ly/gwkWzD+

  これは別のショートURLサービスで、広告でショートURLを収益化しようとする「adf.ly」を示している。

adf.ly

  フィンランドのベースのIPアドレスから、このadf.ly URLはGrouponの「citydeal.fi」といった合法的なサイトに通じていることが分かる。また、アフィリエイトIDが付属している。ヨーロッパ内でも、多くのバリエーションが存在しうる。

Groupon, CityDeal

  広告をスキップするためクリックすると、amazon.comにアクセスすることになる。

Amazon affiliate iPad

  そしてそう、「iPad 2」ページにも、もう一つのアフィリエイトIDがある。

  この例で使用されているリンクはすべて、どちらかと言えば無害だ。しかし残念なことに、IPロケーションテクノロジと結びついたショートURLサービスが、無害なアフィリエイトIDスパムに繋がるケースは氷山の一角に過ぎない。より悪意あるリンクが待ち受けているのだ。

  ではどうすべきか?

  bit.lyなどへの機能の提案として、本当に正当な理由がなければ、他のショートURLサービスへのURLを認めない、という考えがある。

  ショートURLは役に立つのだから、スパマやスケアウェアベンダのために、その価値を損ねないでほしい。

フィンランドの選挙でソーシャルメディアを多用

vaalit.fi  今週末、4月17日日曜日にフィンランドの議会選挙が行われる。法務省の選挙統計によると、フィンランドの有権者(4,159,857人)の31.2%が、既に期日前投票を行っているという。2007年の選挙では67.9%の投票率だった。

  フィンランドの政治運動は2週間で、これはアメリカ合衆国のような国と比較すると、信じられないほど短い期間だ(アメリカでは既に、2012年11月の選挙に向けて準備を行っている)。

  選挙運動の予算が削減された年には、多くの候補者がアウトリーチの努力で、FacebookやTwitterなどのソーシャルメディアサイトを活用している。

  マリ・キビニエミ首相などの候補者は、それほどソーシャルメディアを使用していないが、アレクサンデル・ストゥブ外務大臣などの候補者は、明らかにかなり以前からTwitterを使用している(自ら外交問題のプロを自認していることから多くの人が予期しているだろう)。

  フィンランドの法務省さえ、選挙用のFacebookページを持っている。

  フィンランドの候補者と政府がソーシャルメディアを使用していることは、それほど驚くべきことではない。2010年3月の米国務省ソーシャルメディアレポートによれば:フィンランドは他のヨーロッパ諸国に比較して、インターネットの普及および使用の水準が高い。インターネット利用は、大部分のフィンランド人にとって日常生活の一部であり、現在、ユニバーサルなインターネットアクセスを義務づける法律が存在する。根本的に重要な公共事業だと考えられているのだ。

  アナリストたちは、選挙の結果にソーシャルメディアがどれだけ影響を与えたかの測定を始めるのに、選挙が終了するまで待つ必要がある。しかし、一つ確かなことがあるようだ。誰もが2,315名の候補者のマスターリストをExcelフォーマットで、そしてそれぞれの人口統計学データをPDFフォーマットでダウンロードできる国では、2015年の議会選挙は「オフィシャルな」ソーシャルメディアアカウントのマスターリストが必要になりそうだ。

投票:法の執行はボットネットを「ハイジャック」すべきか?

  連邦捜査局(FBI)のニューヘーブンオフィスが今週、Corefloodボットネットをハイジャックし、「葬った」。詳細は「Wired.com」のKim Zetterによる記事で読むことができる。Zetterの記事は、Bredolabボットネットに対してオランダ当局が行った似たような行動に言及している。そのケースについて、我々は昨年10月、記事を掲載した。

  ボットネットをシャットダウンすることは、技術的に難しくはない。ボットはしばしば、自身を削除するためのインストラクションを含んでいる。しかし、ボットがそうするためのインストラクションを送ることは、法的に「不正使用」とみなされるため、アンチウイルス企業は行わない。この「News from the Lab」ブログでも、このことは何度か議論になっている。たとえば、この記事のコメントを見て欲しい。

  政府およびその法執行機関のみが、ボットネットのシャットダウンを認可できるというのが、我々の主張だ。そしてその場合であっても、これは慎重を要する問題だ… FBIは非アメリカ合衆国(たとえばカナダ)のコンピュータにインストールされたボットネットを葬るべきだろうか? 彼らはUSベースのIPアドレスに限定しているだろうか?

  あなたの考えは?

投票:法執行機関はボットネットを「ハイジャック」し、シャットダウンしようとすべきだろうか?



Flashエクスプロイトの感染を制限するにはActiveX版をアンインストールせよ

  昨日、Adobeは「Security Advisory APSA11-02」を公開した。同アドバイザリによれば:

  「Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。」

  そして…この新しい脆弱性は現在、広く悪用されている:

  「この脆弱性を悪用し、Windowsプラットフォームを標的に、メールの添付ファイルとして送信されたMicrosoft Word(.doc)内に埋め込まれたFlashファイル (.swf) を経由して、標的型攻撃が行われているという事例が報告されている。」

  Officeに埋め込まれたFlashファイル?

  この攻撃ベクタは、Brian Krebsからの次のような質問を生み出した:「だれか、MS OfficeファイルでFlashオブジェクトのレンダリングを全面的にオフにする、信頼できる方法を知っているか?

  我々は、簡単にアンインストールできるものを何故オフにするのか、と思う。

  我々は通常、Internet Explorerを使用しないので、IEバージョンのFlash Playerが使用可能である必要はまったく無い。Web上のFlashには、指定されたブラウザ(IE以外の)を使用することができる。あなたには本当に、OfficeでFlashが使用可能である必要があるのだろうか?

  以下は、ActiveX版のFlashがインストールされていない状態で、埋め込み型のFlashコンテンツを含むドキュメント/スプレッドシート/プレゼンテーションを開くと、Microsoft Officeが出すプロンプトだ。

Some controls on this presentation can't be activated.

  「非IE」版のFlash Playerはもちろん、依然としてエクスプロイトに脆弱だが、それらのバージョンに対して(電子メールを介して)標的型攻撃が成功することを想像するのは難しい。そして多分それが、現在の攻撃がOfficeを使用している理由だろう。

  ちなみに、Flash Player(10.3)の次のバージョンは、コントロールパネルアプレットを含むようだ:

Flash control panel applet

  期待が持てそうだ:

Flash Player Settings Manager

ビデオ - 「Windows Activation」Ransom Trojan

  我々は先頃、以下のプロンプトを出すRansom Trojanに遭遇した:

「Windowsライセンスをロックした!」

ransom_Trojan.Generic.KDV.153863

  このトロイの木馬は、「アクティベーションを完了しなければならない」と主張して、いくつかの電話番号を提供する。

ransom_Trojan.Generic.KDV.153863

  その番号は以下の通り:

  •  002392216368
  •  002392216469
  •  004525970180
  •  00261221000181
  •  00261221000183
  •  00881935211841

  同トロイの木馬は、通話は「無料である」と主張するが、実際はそうではない。そしてトロイの木馬の作者はShort Stoppingとして知られるテクニックにより、その通話から利益を得る。

  3分ほど後、電話をかけた人に「1351236」というアンロックコードを与えられる。

  電話がかけられるたび、与えられるコードは同一のようだ。

  これはかなり賢い、ちょっとしたソーシャルエンジニアリングであり、犠牲者の中には自分たちが詐欺にあったと気付かないケースもある。

  以下はラボのYouTubeチャネルでのビデオデモンストレーションで、他のRansom Trojanに関するディスカッションも含まれている。



  ビデオ内で言及されているGPcodeスクリーンショットは、ここここで見ることができる。

  我々はこのトロイの木馬(md5: 9a6f87b4be79d0090944c198a68012b6)を「Trojan.Generic.KDV.153863」として検出している。

  ランサムナンバーに我々がかけた通話の完全な録音はここにある(MP3、4分)。

自身をブロックするウイルス

  「Virus:W32/Ramnit」は、2010年に感染が確認されており、多くのマルウェアアナリスト/リサーチャーによく知られている。

  この興味深いウイルスのテクニカルな詳細については、他のマルウェアリサーチャーたちがブログに記事を書いている(たとえばここここにある)。しかし若干の注目すべき技術と、そして「イースターエッグ」が、発見されるのを待っている。

  その興味深い技術の一つは、「Ramnit」が使用するインジェクションメソッドだ。従来の方法とは異なり、ウイルスが停止したスレッドを作成し、メモリ書き込みWindows API機能を使用し、コードの注入を行い、インジェクション完了後、停止したスレッドを再開する。

  このケースで、「Ramnit」を独特の物にしているのは、デフォルトのWebブラウザプロセス、もしくは「svchost.exe」として知られるGeneric Host Process for Win32 Servicesという新しいプロセスを生み出すのに、これがWindows API機能をコールすることだ。この新たに生み出されたプロセスにインジェクトすることで、コードはユーザに不可視となり、ファイアウォールをバイパスすることができる。

  しかし、それ以前に、「Ramnit」は「Ntdll!ZwWriteVirtualMemory」と呼ばれる、マニュアルに記載されていないWindowsネイティブシステムサービスに、インラインフックをインストールする。以下の画像は、このインジェクションの仕組みを示したものだ:

ramnit infection

  フックされたWindowsネイティブシステムサービスは、コードインジェクションルーチンを実行するため、コード実行フローをコーラプロセスに定められたモジュールにリダイレクトする。新しいプロセスでインジェクトされたコードは、バックドアおよびダウンローダ機能のほか、ファイル感染力(Windows実行ファイルとHTMLファイル)を含んでいる。

  「Ramnit」でもう一つ注目すべき点は、上記のプロセスにインジェクトされるDLL内に見られる「イースターエッグ」だ。以下に挙げた同コードのスナップショットが、すべてを説明するだろう:

antidot

  基本的にこのイースターエッグは、レジストリキーにナビゲートし、「WASAntidot」を探す:

antidot

  我々がテストマシンで「WASAntidot」レジストリキーを作成しようとすると、以下のような画面を見ることになった:

antidot activate

  ほら! マシンは「Ramnit」の感染から安全だ!

Threat Solutions post by — Wayne

人材募集中

  プロの皆さん向けにご参考までに… エフセキュアではヘルシンキもしくはクアラルンプールのラボなど、いくつかのポジションに空きがある。

jobs

  たとえば、我々は脆弱性を分析し、エクスプロイトコードのリバースエンジニアリングを行うエクスプロイトアナリストを探している。

  候補にふさわしいと思う? 詳細はこちらで。

ソーシャルエンジニアリングが失敗?

  我々はこの2日ほど、スパムメールを介して配布されたマルウェアが実行されているのを目撃している。

  この電子メールメッセージおよびマルウェアは、特に目新しいものではない。メッセージは偽で、デリバリサービスに関連しているよう見せかけている。これに添付されているのが、Trojanダウンローダを含む偽装ZIPファイルだ。

  このZIPファイルが実行されると、ユーザは以下のような画面を見ることになる:

DHL Express Services

  「うーん、DHLからの小包が届いているのか。トラッキングナンバーをチェックするのに、添付書類を確認した方がいいな。ちょっと待てよ。FedExからだったか?」

  ユーザは感染するだけでなく、混乱してしまう。

Threat Solutions post by — Broderick

巧妙なエイプリルフール (ネタばれ)

4月1日はエイプリルフールですが、フィンランドのエフセキュア セキュリティ研究所で主席研究員(CRO)を務める、ミッコ・ヒッポネンによるエフセキュアブログの記事が、エイプリルフールではないかというお問い合わせを多数いただきました。続きを読む

トロイの木馬:SymbOS/Spitmo.A

SpyEye IMEI  3月17日に我々は、「SpyEye」エディションという新たなMan in the Mobile(Mitmo) 攻撃に言及した

  以下は、我々のThreat Researchチームからのメモだ:

  このSpyEyeの亜種は、ヨーロッパの銀行に対する攻撃に使用されている。同行は振替の認証にSMSベースのmTAN(携帯電話のトランザクション認証番号)を使用している。このトロイの木馬は、銀行のWebページにフィールドを入れ、カスタマに携帯電話の番号と電話のIMEI(端末識別番号)を入力するよう促す。同行のカスタマは次に、この情報を入力することで「証明書」を携帯電話に送信することができると言われ、証明書の準備に最大で3日かかると知らされる。

  この亜種(そして同じキットで作成された他のSpyEye亜種)を我々は「Trojan-Spy:W32/Spyeye.AG」として検出している。

  いわゆる証明書である同マルウェアのSymbianコンポーネントは、「Trojan:SymbOS/Spitmo.A」として検出されている。

  「Spitmo.A」は悪意ある実行ファイル(sms.exe)と、「SmsControl.exe」という名の実行ファイルを含む他のインストーラを含んでいる。「SmsControl.exe」は、同インストーラが本当に証明書だとユーザをだますため、「Die Seriennummer des Zertifikats: 88689-1299F」というメッセージを表示する。

  「SmsControl.exe」という名称は、「ZeusMitmo」の亜種が実際のトロイの木馬を含むファイルに同じファイル名を使用したが、相当な偶然だ。トロイの木馬を証明書に見せかけるのも、「ZeusMitmo」が使用しているトリックだ。しかし、コードそのものは「ZeusMitmo」とはまったく異なっているように見える。SMSベースのmTANが、どのように攻撃者に送られるかに関する全詳細は、現在まだ調査中だが、「ZeusMitmo」のようにSMSではなく、HTTPを介して送られるようだ。

  このトロイの木馬は、デベロッパ証明書で署名されている。デベロッパ証明書は特定のIMEIと結びついており、証明書に記載されているIMEIを持つ電話にのみインストールすることができる。このような理由で、同マルウェアの作者(たち)は、銀行サイトで電話番号に加えてIMEIを請求しているのだ。新しいIMEIを受けとると、彼らは全犠牲者のため、IMEIを使用して更新された証明書をリクエストし、新たな証明書で署名された新しいインストーラを作成する。可能性のある同証明書のソースは、OPDA(http://cer.opda.cn/en)だ。異常に長い組織名(「Beijing shi ji yi jia wang dian zi shang wu you xian gong si」)を検索すると、OPDAに関連するヒットを返してくるのだ。新しい証明書の獲得に時間がかかることが、「SpyEye」で注入されたメッセージが何故、証明書の提供までに最高3日かかると述べているかを説明している。

  トロイの木馬が含んでいるのは:

  •  c:\Private\E13D4ECD\settings.dat — 「http://[*].net/input.php」「http://[*].net/delete.php」という二つのURLを含む。
     — 以下も含んでいる:c:\Data\delete.sis — sms.exeは他のアプリケーションをこっそりインストールするコードを含む。
  •  c:\Private\E13D4ECD\first.dat — 存在するならsms.exeにより削除される空のファイルで実行チェックとして使用される。
  •  c:\sys\bin\Sms.exe — インストール後に実行されるペイロード。
  •  c:\private\101f875a\import\[E13D4ECD].rsc — 電話がオンになるとsms.exeを動作させる。

組込形インストーラSmsControl.sis:

  •  c:\resource\apps\SmsControl.r01
  •  c:\private\10003a3f\import\apps\SmsControl_reg.r01
  •  c:\resource\apps\SmsControl_aif.mif
  •  c:\Private\EAF7F915\data.txt — ユーザに表示されるメッセージを含む。
  •  c:\sys\bin\SmsControl.exe — インストール後に実行され、おとりメッセージを表示する。

追記 SHA-1:

Spitmo.A: 11d21bb2a63da2a0374a1dbbe21ddb4c5d18b43e
SpyEye trojan: d7d60f4a8ae05aa633c36a10b52464ee3295c18d

そして以下が、おとりメッセージのスクリーンショットだ:

Spitmo.A decoy message

ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

passwords  300万以上のユーザアカウントのパスワードが、ニュースサイト、リテールサイト、そしてWeb 2.0サイトに影響を与えた広範囲にわたるハッキングにより、昨夜遅く、「password」に変更されたようだ。この影響を受けたユーザのほとんどは、同攻撃に全く気付いていない。

  現在の統計によれば、影響を受けたユーザの62パーセントは、パスワードが元々「password」であったことから、気が付いていない。

  いくつかのサイトが、障害の生じたアカウントを保護するための対策を講じていると報じている。さらに、多くのサイトがパスワードに「password」という言葉を使用することを禁じる、新しいルールを作成している。

  このハッキングに対するユーザの反応は激烈だが、多くのサイトが世界で最もポピュラーなパスワードの一つに対して進めている禁止にも、さらなる反発が生じている。オンライン暴動が予想される。

  昨晩の攻撃を行ったのは自分達だと、「Obvious」という名のハッカーグループが主張している。ハッキングされた数千のTwitterおよびFacebookアカウントは、「We are all Obvious! Don't Expect Us」というメッセージを投稿した。

  300万以上のユーザ名を含む1.9ギガバイトのファイル — そして一つのパスワード — が現在、「The Pirate Bay」を介して共有ファイルとしてダウンロード可能だ。

  将来、このような問題を避けるには、ユーザには自分のパスワードを「password1」に変更するようおすすめしたい。これはObvious(明らか)に、よりセキュアだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード