エフセキュアブログ : 2011年05月

　我々は先頃、北米で最大のブロードバンドオペレータの1つで重要なプロジェクトを開始した。

　そのため、エフセキュアでは新たに多くの人々を雇用している。

　我々はアーキテクト、デベロッパ、テスタ、およびスクラムマスターを必要としており、Python、C、SQL、Linux、高可用性、スケーラビリティ、オートメーション、ネットワーキングの専門知識を求めている。

　リロケーションパッケージも提供する。それにヘルシンキは美しいところだ！

　以下はオフィスのサウナバルコニーから撮影したばかりの写真だ：

Helsinki, heavily photoshopped to remove all the snow

Helsinki, heavily photoshopped to remove all the snow

　ほら、雪は無いでしょう？　今夜は実に美しい夕暮れが見られると思う。22時27分に。ご一緒しませんか？

　アプリケーションはリクルートページで受け付け中だ。

Googleサーバでホスティングされるフィッシングサイト

2011年05月30日17:45

　Google Docsでは、ユーザはgoogle.com（Googleのクラウドでホスティングされている）でドキュメントやスプレッドシートなどを作成することができる：

　スプレッドシートは、フォームなどの機能をも含むことができ、これらは世界に向けて公開することが可能だ。

　残念なことに、このことはGoogle Docsスプレッドシートを介して、spreadsheets.google.comでホスティングされているフィッシングサイトに、頻繁に遭遇するということを意味している。

　以下はその例だ：

　フィッシングページは本物のgoogle.comでホスティングされており、有効なSSL証明書を備えているため、これらは扱いにくい攻撃と言える。

spreadsheets.google.com

　リサーチを行っている時、我々は以下のGoogleスプレッドシートフォームに遭遇した：

　そして、これがフィッシングなのか、それともGoogleが管理している有効なページなのかどうか、どうしても見抜くことはできなかった。

　最初、このページは明らかにフィッシングのように見える。誰もがフォームを作成できる、パブリックなspreadsheets.google.comでホスティングされているし、このページはGoogle Voiceナンバーやメールアドレス、PINコードを要求するからだ。

　しかし、明らかにGoogleの職員が同フォームにリンクしているのにも気づくだろう。

　そのため、フィッシングなのかそうでないのか分からないのだ。あなたには分かるだろうか？

　以下がそのフォームのURLだ：
https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

　このフォームを使用することは推奨しない。しかし、もし同フォームの正体が分かったら、コメント欄から我々に報せて欲しい。

追記：Twitterでは、これはフィッシングサイトだというのが大方の意見のようだ。しかしまだ結論は出ていない。

spreadssheets

ソーシャルメディア時代の脆弱性報告

2011年05月27日22:28

　昨晩、古い電子メールを探していて、以下の奇妙なヘッダを見つけた：

Tweetdeck XSS

　ユーモアのセンスを持つ誰かが、メールのヘッダにXSSジョークを挿入したのだ。

　面白いと思ったので、このことについてTwitterに投稿した：

Tweetdeck XSS

　数分後、私はRobin Jacksonが以下のようにリプライしているのに気づいた：

Tweetdeck XSS

　あり得ない。ツイートが「スクリプト」タグを含んでいるからといって、Javascriptを実行するTwitterクライアントは無い。

Tweetdeck XSS

　本当であることを示すため、Robinはスクリーンショットを投稿してくれた。

Tweetdeck XSS

　彼が使用しているクライアントは、Chrome用のTweetdeckだった。開発者に報せなくては。そしてもちろん、彼らもTwitter上にいる。

Tweetdeck XSS

　TwitterのセキュリティチームのRandy Janindaが、数分で反応した：

Tweetdeck XSS

　そしてほんの2時間後には、Twitter開発チームのTom Woolwayから、修正が完了したという知らせをもらった：

Tweetdeck XSS

サインオフ
ミッコ

「F-Secure HTK4S」は偽物

2011年05月27日20:14

　我々は以前、このような物に遭遇したが、今日、新たなメールが出回った。

　どこかのおどけ者が、我々のフリをしようとしている。以下のようなメールを見かけたら、無視して欲しい：

     From: securitysupport@hotxf.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     To: undisclosed-recipients:;

     Dear Email Subscriber,

     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2011-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.

     E-mail Address:
     Password:
     Phone Number:

     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.

     Management.

     Copyright 2011. All Rights Reserved.

　同様の向こう見ずな試みを、我々は複数の言語（機械翻訳されたもの）で確認している。例えば：

     From: Tampere University of Technology
     Reply-To: webmailantivirus@gmail.com
     Subject: Hyv? tilin k?ytt?j?
     To: undisclosed-recipients:;

     Hyv? tilin k?ytt?j?, HTK4S virus on havaittu webmailiin
     tilin kansiot, ja sinun webmail-tili on p?ivitetty uuden
     F-Secure HTK4S anti-virus/anti-Spam versio 2011 aiheutuvien
     vahinkojen v?ltt?miseksi meid?n webmail ja t?rkeit? tiedostoja.
     T?yt? sarakkeet alla ja l?hett?? takaisin tai s?hk?postisi
     keskeytet??n tilap?isesti palveluistamme.

      K?ytt?j?tunnus :........ Salasana :......... SYNTYM?AIKA: ......

     Jos n?in ei tehd? 24 tunnin sis?ll? heti tehd? s?hk?postisi
     k?yt?st? meid?n database.
     Thank k?ytit Jyv?skyl?n yliopisto webmail.

     Tampereen teknillinen yliopisto Copyright c 2009-2011

     (c) Verkot Kaikki oikeudet pid?tet??n

　これらのメールは無視して忘れることだ。

Mac OS Xマルウェアが本格化

2011年05月26日22:31

　1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。

　その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。

　新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。

　時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。

　先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたGoogle Image Searchリンクを介してばらまかれたトロイの木馬だ。

　こうしたトロイの木馬は、ユーザを騙し、自分のMacが、実際はクリーンなのだが、感染していると思わせる。問題があると信じさせれば、そのユーザは「MacDefender」「MacSecurity」「MacProtector」「MacGuard」という偽のセキュリティ製品をダウンロードし、購入することになる。

　このトリックは実際、かなり説得力がある。ユーザはWebページのようにはまったく見えないWebページにリダイレクトされる。それはMacのFinderのように見えるのだ：

Mac OS X fake

　不格好だが、これはFinderっぽく見えるようにデザインされたWebページだ。

　以下にGoogle Imageサーチが、どのようにユーザをおどかそうとするページに導くかを示す、短い動画がある。

　ユーザは依然として、提供されている偽のセキュリティ製品をインストールしなければならない。同マルウェアの最新バージョンは、ルートパスワードのプロンプトを出すことなく、このトロイの木馬をインストールできる独立したダウンローダを使用している：

Mac Guard installer

　以下は、この不正なアプリケーションがインストールされる際の様子だ：

Mac Security

　ユーザが不正な製品をインストールすると、このアプリケーションは更に、何かに感染しているとユーザに信じさせようとする。これはランダムに開くポルノサイトにより行われる。

Mac Porn

　頑固なユーザでも、自分のシステム上でランダムなポルノサイトが2、3分ごとに次々とポップアップすれば、問題が生じたと思うだろう。

　これらが偽のセキュリティ製品であると気づくことが重要だ。これらはどんな形であれ、システムを保護しはしない。単に理由もなく、ユーザをだまして購入させようとするだけだ。

　これはよくある詐欺であり、実際の感染に関する多くの報告がある。

　Macユーザはどのようにして身を守ればよいのだろう？

　これまで、エフセキュアのMac製品は、我々のオペレータパートナーを通じてのみ利用可能だった。

　しかし本日、我々は「F-Secure Anti-Virus for Mac」のコンシューマバージョンをリリースした。

　一定の期間、無料で試用することができる！　ライセンスキー「AVMAGL」を使用して欲しい。製品の詳細はここにある。

　「エフセキュアアンチウイルス」は、Mac Trojanを「Rogue:OSX/FakeMacDef」および「Trojan-Downloader: OSX/FakeMacDef」の亜種としてブロックする。

Webアドレスは慎重に見るべし

2011年05月25日21:38

　何とばかばかしいフィッシングサイトだろう。

　このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。

　もちろん、違うのだが。

Craigslist phishing

　これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。

　こんなものに誰も引っかかりはしない。

　一部のケースを除いては。

　ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。

　iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみよう。

craigslist scam iphone

　こうなると、もはやそれほどあからさまではない。（そしてiPhoneでは特に、うまくフォーマットされている…）

　ご覧の通り、スマートフォンの小さなスクリーンでは、フィッシングはより容易になる。

　このことを、大部分のスマートフォンが、フィッシングメールフィルタや詐欺サイトのWebブロッキングを有していないという事実と合わせて考えた時、唯一の結論に到達する：「フィッシングはPCよりも携帯電話の方が上手く行く。」

　エフセキュアのモバイルセキュリティ製品が悪しきサイトをブロックするのは、こうした理由による。

　エフセキュア製品が動作する電話で同じサイトにアクセスしようとすると、どのように見えるかは以下の通りだ。

F-Secure Mobile Security in action

　我々は同フィッシングサイトを報告したので、すぐに削除されるだろう。

スパムで恩恵を受ける銀行

2011年05月24日23:07

　2、3年前、スパムのリサーチ中に、我々はスパムメールから一連のテスト購入を行った。

　錠剤やソフトウェア、タバコなどを購入した。少々驚いたことに、ほとんど全ての注文が承認され、実際に商品が届いた。確かに、我々が受け取ったWindows CDは粗悪なコピーだったし、ロレックスは明らかに偽物だったのだが、少なくとも彼らは「何かしら」を送って来たのだ。

　テストのために作ったクレジットカードアカウントを、我々は注意深く観察していたが、それらが詐欺的に利用される事はついぞなかった。

　このテストで最も驚いたのは、商品の購入に使用した電子メールアドレスに対して、スパムが増えなかったということだ。

　我々の調査結果は、カリフォルニア大学のリサーチャーたち（そうそうたる著者が名を連ねている）が発表した、最新の素晴らしい研究により補強された。

　このリサーチャーたちは、スパムからのテスト購入だけでなく、電子メールを送信するのに使用されたボットネット、スパムサイトをホスティングするシステム、金を動かした銀行を追跡した。

spam banks

　最も興味深いことの一つは、「世界のほとんど全てのスパムセールスが、たった3つの銀行により扱われている」ということだ。

　銀行？　それらは以下の通り：

DnB NOR（ノルウェーの銀行）
St. Kitts-Nevis-Anguilla National Bank（カリブの銀行）
Azerigazbank（アゼルバイジャンの銀行）

　スパムは実際のところ、金を動かす銀行やクレジットカード会社にとって、非常に利潤の高いものであるということを肝に銘じておく必要があるだろう。このことは、こうした企業がこの件について実際に何かする可能性の高さに、影響を与えるかもしれないのだ。

　カリフォルニア大学による調査結果はここからダウンロードできる。

PS. 我々は実際には、注文したロレックスを受け取らなかった。違法コピー商品として地元の税関で差し止められ、没収されたためだ。彼らは最終的にそれを破壊した。ハンマーで。

AppStoreフィッシング

2011年05月24日15:28

fsecure_corporation

クアラルンプール発

by：スレットインサイトチーム

今度フィッシング攻撃に関する別の記事を見て、「自分がそれに引っかかる可能性は無いな」と考えた場合には、再考した方がいいかもしれない。一般ユーザはフィッシングの試みを発見するのが上手くなっているので、作者たちは戦法を変えており、事前に標的について研究する時間をかけているからだ。

　たとえば以下の電子メールは、最近iPadからAppStoreで買い物をした人宛に送られたものだ。この「偶然の一致」によるタイミングは、少なくとも、受信した人の注意を引くには充分だ。スプーフィングされたアドレスと曖昧なリンクといったトリックとあいまって、受信者が罠に引っかかる可能性もある。

AppStore Phishing

　では、受信者がリンクをクリックしたら何が起きるのか？　このリンクがドラッグストアサイトに導くことが分かるだろう。奇妙だ。我々は偽のiTunes/AppStoreページが現れ、受信者はそこで自分のアカウント情報を入力するよう促されることを予期している。しかし、そういうことは起きなかった。

ThreatInsight post by — Rauf

Google Webサーチを使用して改ざんされたGoogle画像を見つける

2011年05月24日00:00

sean_sullivan

by：ショーン・サリバン

　Googleサーチに問題がある。

　数週間にわたり、Google Imageサーチの結果がますます、Search Engine Optimization（SEO）ポイズニングにより汚染されている。Google Imageの結果を介して、スケアウェアTrojanやエクスプロイトにリンクした多くのサイトが、毎日発見される。これらのサイトの多くは、さもなければ安全と思われるであろうものだが、何らかのハッキングにより障害が起きている。

　問題の一端は、Googleが画像をクローリングし、ランキングする方法にある。

　以下はGoogle Imageの結果からの、汚染されたリンクの例だ：

Google Image Search, imgurl, imgrefurl

　「imgurl」と「imgrefurl」がマッチしていないことが分かるだろうか。この画像は「ホットリンク」されている。そして同画像は、実際には「enterupdate.com」のサーバでホスティングされているのだが、Googleはこれが参照している（改ざんされた）サイトからのものであるかのように、同画像のプレビューとサイト情報を表示する。

　しかし、この画像の「ホーム」として参照サイトを表示する正当な理由はある。たとえば、エフセキュアの「Safe and Savvy」ブログはVIP WordPress.comにより供給されており、画像はWordPressのサーバ上でホスティングされている。もしもGoogleが画像の参照サイトを考慮せず、ホットリンクを無視するなら（Bingはそうであるようだが）、この検索結果はあまり役には立たないだろう。

　WordPress.orgでは、上記の例で女優オリヴィア・ワイルドの汚染された画像は、「wp-images」というフォルダ内のHTMLページに埋め込まれている。障害が起きたこのサイトは、WordPress.orgブログだ。

http://www.#####################.co.uk/wp-images/olivia-wilde-twitter.html

　以下は「olivia-wilde-twitter.html」ページのものだ：

oliva-wilde-twitter

　ご覧の通り、テキストは完全にデタラメだ。同ページのハイパーリンクはすべて、同じサイトにある他のページに結びついており、画像はすべてホットリンクされ、外部のソースからロードされる。

　このHTMLは多かれ少なかれ、Google Trendsから直接引き出されたトピックにフォーカスしたセクションを含んでいる。

　こうした調査から、Google Webサーチを障害が起きたサイトを特定するのに利用可能であることが分かった。「inurl:wp-images」および現在の「トレンディングトピック」を検索すると、SEO攻撃を試みる多くの結果を得る事ができるのだ。

　言うまでもなく、リサーチネットワークから行うのでなければ、こうした検索を推奨するわけではない。（そして、改ざんされたSEOサイトは「http://www.google.com」から訪問された場合のみ攻撃を行うため、「Google SSL」を使用するべきでもある。）

Sonyサーバ上で見つかったフィッシングサイト

2011年05月20日16:42

　既にダウンしている相手に追い打ちをかけるのは好ましいことではないが…　我々は、Sonyのサーバの一つで動作中のフィッシングサイトを見つけてしまった。

　しかし、このできごとはSony PSNハックとは無関係だ。

　以下はSony Thailandの公式ホームページだ：

　そして以下が、「hdworld.sony.co.th」で稼働しているフィッシングサイトで、イタリアのクレジットカード会社を標的としている。

　つまりこれは、Sonyが再びハッキングされたことを意味している。このケースでは、サーバはおそらくあまり重要ではないだろうが。

　Sonyには通知済みだ。エフセキュアのカスタマは、この悪意あるURLからブロックされる。

Twitterで取引するオンライン犯罪者

2011年05月18日15:24

　まさか誰も、盗まれたクレジットカードをTwitterで売ったりしないだろう？

　彼らを除いては。

　たとえば、「SshoaibAhmed」氏をチェックして欲しい。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　リンクをクリックすると…

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　実際この人物は、おそらくは感染したホームコンピュータから、キーロガーで集められたらしいクレジットカード情報を販売しているようだ。

　盗難クレジットカードの価格は、盗まれた国によって2ドルから20ドルまでの幅がある：

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　「vis」は「VISA」、「mas」は「MasterCard」、「dis」は「Discovery」、「amex」は「American Express」カードを表している。

　あるいは、盗難クレジットカードを自分で使いたくないなら、こうしたカードを使用してiPhoneやiPad、ラップトップを買わせ、あなたのもとに送ってもらうこともできる。この窃盗犯は実際には、オンラインストアにログインし、iPadをギフトとして購入後、あなたの住所を配送先として指定し、盗難クレジットカードで品代を払うことになる。このようにして購入するiPadの代金は150ドルだ。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　しかし、キーロガーはクレジットカード以上のものを収集する。オンラインサービスにログインした時のパスワードも記録するのだ。

　だからこのベンダは、他者のオンライン銀行口座へのアクセスも販売している。残高28,000ドルの口座は1000ドルで販売されている：

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　自分が本当に商品を持っていることを証明するため、このベンダは最終的に「デモ」情報を掲載している。それは基本的に、数人の被害者の氏名、住所、クレジットカード番号、パスワード（ここでかなり編集されている）などを含んだものだ：

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

　上記のアカウントは、関係当局に報告されている。

プロのオンライン犯罪者

2011年05月13日22:09

　我々が遭遇する最も一般的なBanking Trojanの一つは、「ZeuS（ZBot）」および「SpyEye」だ。これらは普通のボットではない。営利目的で開発されたクライムウェアだ。「ZeuS」と「SpyEye」を開発し、販売しているグループは、自身ではこれらを利用していないというところがミソだ。

zeus for sale

　「ZeuS」あるいは「SpyEye」を購入したカスタマは、実際に銀行を攻撃する立場であり、そうすることで、逮捕されるリスクがより高くなる。

　これは、どのようにして銀行の金庫室に侵入するかのインストラクションを、実行のツール完備で販売はするが、実際に自分たちで銀行強盗はしない連中の同類だ。

　では、これらのツールはどの程度プロフェッショナルなのだろうか？　最近リークされた「ZeuS 2.0.8.9」のマニュアルを見てみよう。

　この犯罪的なBanking Trojanは、我々が目にするほとんどのソフトウェアよりも、優れた文書を持っていることが分かる。

改変されたFacebookビデオスパム

2011年05月12日20:11

fsecure_corporation

クアラルンプール発

by：スレットインサイトチーム

先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった：

fbspam (75k image)

　興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる：

fakesecuritycheck (36k image)

　ユーザは基本的に、スクリプトのコピー・ペーストを実行する：

fbspamcode (67k image)

　そのコードはユーザの最も親しい友人たちに（スパムと共に）メッセージを送る。

　それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。

　受け取ったスパムは以下のようなものだ：

friendspam (36k image)

　次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。（注意：そうすることは推奨しない。）

　次に、ブラウザの下に以下の表示が現れた：

fbspamcode_latest (5k image)

　このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。

　次に、ポップアップボックスが現れた：

verificationfailnotice (36k image)

　さらに、以下のページにリダイレクトされる：

redirect (66k image)

　作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。

傍注 - 「iPhoneから」のポスト？　まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる：

fbspamcode2 (45k image)

　例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。

----

Threat Insight post by Shantini and Rauf

プラウダがハッキング

2011年05月11日17:14

　ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」）がハッキングされた。

pravda

　サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介してユーザを感染させようとするエクスプロイトスクリプトをこっそりロードする。成功すれば、訪問者のコンピュータは、部外者がそのマシンにアクセスし、使用することを可能にするボットにヒットされる。

　このような攻撃は非常に悪質だ。エンドユーザは長年の間、毎日同じニュースサイトに行き、それを信頼するようになる。そしてある日、そのサイトは危険なものになり、お気に入りのページを開いただけで、コンピュータを乗っ取られてしまう。

　5年前は、このような大手サイトに侵入した場合、その連中はきまってコンテンツをすべて削除し、フロントページに馬鹿げた画像を表示させた。このごろでは、サイトに目に見えない修正をほどこし、可能な限り気づかれないようにして、何千もの訪問者のコンピュータにアクセスしようとする。

　我々は同サイトがすぐにクリーンになるものと考えている。

pravda

追記 (オサマ・ビンラディンRTFエクスプロイトの分析)

2011年05月11日09:00

risa_ozaki

東京発

by：尾崎リサ

2011年5月5日にポストされたショーン・サリバンの記事「オサマ・ビンラディンRTFエクスプロイトの分析」の末尾に、ワシントンD.C.のアナリストに送られた電子メールの画像が追記されましたのでお知らせいたします。

問題のある証明書

2011年05月10日02:40

　最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。

　SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関（CA）を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。

　しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく対応していない。VerisignやGoDaddy、Comodoといった主要な認証企業に加え、基本的により大規模な企業のための再販業者である地域的なCAさえ何百も、何千も存在する。

　Comodoは先頃、ハッカーがイタリアの再販業者の一社のパスワードとユーザ名を獲得することで、システムに侵入することができたと発表した。そのハッカーはその後、イランの出身であると公に主張しているが、その会社を通じて9つの不正な証明書を交付した。証明書はgoogle.com、yahoo.com、skype.comといったポピュラーなドメイン用に発行された。

　第一に、イタリアの小さな再販業者が、google.comの証明書を交付することができる、というのは驚くべきことだ。あなたは、どこかでサニティーチェックが妨害されたのだろうと考えるかもしれないが、そうではない。

　このような証明書によって何ができるだろうか？　あなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてのルート変更が行える。たとえば、Skypeユーザを偽のhttps://login.skype.com アドレスに導き、SSL暗号化が存在するように見えるかどうかに関わらず、彼らのユーザ名やパスワードを収集することができる。あるいは、彼らがYahooやGmail、Hotmailにアクセスすれば、その電子メールを読むことができる。プロであってもほとんどが、これに気づくことはないだろう。

　2010年8月、コードサイニング証明書によって署名されたマルウェアサンプルを発見したため、エフセキュアのシニアリサーチャであるJarno Niemelaが、Comodoを巻き込んだID窃盗のケースについて調査を開始した。彼は証明書に記載された企業を追跡し、小規模なコンサルティング会社を見つけた。

　Niemelaはその会社に連絡し、彼らが自分達のコードサイニング証明書が盗まれたことに気づいているかどうか訊ねた。彼らの反応は、コードサイニング証明書は持っていない、というものだった。実際、彼らはソフトウェアの制作さえしておらず、したがってサインすべきものが何もなかった。明らかに誰かが、彼らの名前でその証明書を獲得したわけだ。彼らは企業ID窃盗の被害者だったのだ。

　被害者とComodoの協力を得て、Niemelaはこの証明書が実在する従業員の名前でリクエストされ、Comodoは申込者の身元をチェックするため、電子メールと電話による確認を行ったことを確認した。残念なことに、この詐欺師はその従業員の電子メールにアクセスすることができ、Comodoの電話による確認は、間違った相手にかかってしまったか、誤解が原因で失敗してしまった。

　実際、件の従業員は別のCA会社であるThawteからも電話を受けている。Thawteが彼女に、会社の名義でコードサイニング証明書をリクエストしたかどうか訊ねた際、彼女は「ノー」と返事をした。そこでThawteは、認証プロセスを打ち切った。

　このケースは、入口を見つけるまで、マルウェアの作者が複数のCAを試すということを示している。

　詐欺師が企業のメールにアクセスできる場合、その企業からのリクエストが本物かどうか、CAが確認するのは非常に難しい。評判が良く、やましいところの無い企業が、有効な証明書を手に入れるためのプロキシとしてマルウェア作者に利用されるというケースは、今後増えそうだ。

　認証機関は既に、認証を獲得しようとする疑わしい試みや、その他のシステムの悪用に関する情報を報せる手段を有している。しかし、これらのシステムは人間によって運営されているため、間違いも起こりやすい。我々は、現行のシステムでは、証明書は完全に信頼できるものではないという事実を、受け入れなければならない。

　このトピックについて、最新のYouTubeビデオで取り上げている。

オサマ・ビンラディンRTFエクスプロイトの分析

2011年05月05日18:07

sean_sullivan

by：ショーン・サリバン

標的型/セミ標的型攻撃では、昨年12月以来、Microsoftの「RTFスタックバッファオーバフロー脆弱性（CVE-2010-3333）」に対するエクスプロイトを利用している。同脆弱性は11月に、Security Bulletin MS10-087で修正された。

　我々が見てきた、「CVE-2010-333」を悪用する攻撃の多くは、時事的なサブジェクトラインを使用している。

　そして今週も違いは無い。だからもちろん、「FW: Courier who led U.S. to Osama bin Laden's hideout identified（アメリカをオサマ・ビンラディンの隠れ家に導いたスパイ）」というサブジェクトを使用した「オサマ・ビンラディンRTFエクスプロイト」が広がっている。

　ファイル名は「Laden's Death.doc」で、以下のようなものだ：

Courier who led U.S. to Osama bin Laden's hideout identified

Courier who led U.S. to Osama bin Laden's hideout identified

　このRTFファイルが開かれると、エクスプロイトがシェルコードを実行し、「server.exe」という名のファイルを「C:/RECYCLER」内にドロップして実行する。

　「C:/RECYCLER/server.exe」は以下のことをする：

  •  システムの一時フォルダにファイル「vmm2.tmp」をドロップする
  •  ファイル「vmm2.tmp」は名称を変更され、「c:\windows\system32\dhcpsrv.dll」に移動される
  •  DHCPサービスをハイジャックしようと、レジストリ修正を行う

　これは「ucparlnet.com」でホスティングされるC&Cに接続しようとする。

　ペイロードには以下の能力がある：

  •  更なるマルウェアをダウンロード
  •  リモートサーバに接続し、極秘データを送信
  •  Trojanプロキシサーバとして行動

　「contagio malware dump」は、「今日、米国政府内の多くの標的に送信された」と報告している。

　我々のバックエンドをチェックしたところ、エフセキュアのカスタマも危険にさらされていることが分かった。同エクスプロイトに対する我々の検出名は「Exploit:W32/Cve-2010-3333.G」で、RTFペイロードは「Trojan:W32/Agent.DSKA」として検出されている。

　いつもと同様、通常のアドバイスが当てはまる。添付ファイルを開く際は注意し、MS Word/Officeを修正/アップデートし、アンチウイルスを最新版にしておくことだ。

　「CVE-2010-3333」攻撃のさらなる例については、「contagio」をご覧頂きたい。

追記：以下はこのドキュメントを拡散している電子メールの画像だ。これはワシントンD.C.のアナリストに送られたものだ。同画像は、Lotta Danielsson-Murphyにより公開された。このメールの送信者情報は本物ではない点に注意して欲しい。

Laden's Death.doc

FacebookがHTTPSをオンにするようプロンプトを表示

2011年05月05日01:36

sean_sullivan

by：ショーン・サリバン

　今朝、私はある種のiframeタブアプリケーションを使用したPageでホストされている、Facebookスパムをいくつか調べていた。

　（一連のスパムはApplicationではなくPageを悪用している。Facebookは現在、スパムアプリケーションを管理しているようだ。）

　いずれにせよ、このPageのiframeコンテンツは暗号化されておらず、私は一時的に、自分のアカウントのhttpsオプションを停止する必要があった。

　新しいフィードに戻ってみると、以下のように表示された：

Help Protect Your Account with Secure Browsing (https)

　私のアカウントは既にhttps機能をオンにしており、同ページは既に暗号化されていたのだから、このプロンプトが表示されるのは変かもしれないが、Facebookはこうしたバグが多い。

　いずれにせよ、Facebookはユーザにセキュアブラウジングを可能にしている。

　素晴らしい。Facebookに賞賛を。

　httpsセッティングが持続的になり、同機能がダイナミックであるらしい現在、誰もが使用を考えるべきだろう。益は多く、マイナス面はごくわずかしか無いからだ。あなたのFacebookアカウントがまだhttpsを使用しておらず、同プロンプトをまだ見ていないなら、「Account Security」にある「Account Settings」で、同オプションをチェックできる。

では。
ショーン

そう、「Fotos_Osama_Bin_Laden.exe」はマルウェアだ

2011年05月03日17:29

　我々はオサマ・ビンラディンの死に便乗しようとする、初のマルウェアサンプルを入手したところだ。

　「Fotos_Osama_Bin_Laden.zip」というファイルが、電子メールを介して送信されている。このアーカイブは「Fotos_Osama_Bin_Laden.exe (md5: d57a1ef18383a8684c525cf415588490)」というファイルを含んでいる。

Fotos_Osama_Bin_Laden.exe / Osama bin Laden

Fotos_Osama_Bin_Laden.exe / Osama bin Laden

　もちろん、このファイルが亡くなったビンラディンの写真を表示することは無い。そのかわりに、「Banload」ファミリーに属するバンキングTrojanを実行する。これは自身を（「msapps\msinfo\42636.exe」として）システムにインストールし、ユーザのオンラインバンキング・セッションを（BHOを介して）モニタし、ユーザの支払いを不正なアカウントにリダイレクトしようとする。

　我々はこれを「Trojan-Downloader:W32/Banload.BKHJ」として検出している。

　一般的なアドバイスとして：みなさんが、ビンラディンの死に関する写真やビデオをオンラインで見つける見込みはなさそうだ。しかし、それらを検索しようとすれば、確実にマルウェアサイトに導かれるだろう。ご用心を。