エフセキュアブログ

2011年12月

2012年へ秒読み開始!

2009年5月に産声を上げたエフセキュアブログも遂に2012年で3歳を数えようとしております。これもひとえに関係者のみなさま、読者のみなさまのご支援あってのことと、2011年から2012年に移るこの機会に改めて感謝の気持ちでいっぱいでございます。略儀ではございますが、この場を借りて心より御礼申し上げます。
続きを読む

2010年にドイツで容疑者追跡のために用いられた440,783の「サイレントSMS」

  現在第28回Chaos Communication Congress(28C3)がベルリンで行われているが、火曜日には研究者のKarsten Nohlが「モバイルフォンの防御」というプレゼンテーションを行った。1時間の余裕があるなら、見る価値がある

  ハッカーは潜在的に、都合の良いポイントから多数の電話のIDとネットワーク認証を傍受することができ、ネットワーク認証はしばしばリフレッシュされないため(通信事業者次第で)、攻撃者は高額な有料課金型の電話をかけ、料金を他の人々に支払わせることができる、というNohlの暴露に、当初報道は集中した。GSMネットワーク仕様では、あらゆるネットワーク活動の再認証を行うことが可能だが、認証サーバへの大きな投資が必要となる。そのためオペレータは、通話の3回に1回の割合いでしか、それを行わない。あるいは10回に1回か。あるいはもしかしたら、電話がネットワークに接続する時のみか。

  H Securityが、プレゼンテーション中にカバーされた全トピックの概要を上手くまとめている

  しかし我々の観点から最も興味深いのは、Nohlがドイツのさまざまな警察当局が2010年に容疑者を追跡するため、およそ50万の「サイレントSMS」を使用したことに関する最近の報告(12月13日)に簡単に触れた点だ。

  そこで我々はWeb検索を行ったが、英語での報道では何も見つけることができなかった。しかし、WikipediaのSMSのエントリには以下のような内容がある(あった):

     しばしばサイレントSMS、ステルスSMS、あるいはStealthy Pingと呼ばれるサイレント
     メッセージは、ディスプレイには現れず、受けとった際に音声シグナルも無い。
     しかし、携帯電話会社では若干のデータが作成される(たとえば加入者識別IMSI)。
     この種のメッセージは、人を見つけるため、あるいは人の完全な活動の履歴を作成
     するため、特に警察により送信される。ドイツでは2010年、連邦警察、税関、シーク
     レットサービス「憲法擁護庁」により、およそ50万の「サイレントSMS」が送信された。

  我々は、参考リンクからHeise Onlineの記事にアクセスした。タイトルの訳は:税関、連邦警察および憲法擁護庁が2010年、44万以上の「サイレントSMS」を送信

  うーん、ドイツの税関執行局。それらはR2D2バックドア、別名「0zapftis」を使用した連中だ。

  Google TranslateとGoogle Newsを利用して、我々は「stille SMS(サイレントSMS)」という語を使用したドイツ語の記事をさらに見つけることができた。

  内務省は12月6日に詳細を公開している。(PDF)

  以下のスクリーンショットで、2006年以降、3つの当局により送信されたメッセージの数を確認する事ができる。

Andrej Hunko Report

  では、これは正確には何を意味しているのだろう?

  基本的には、さまざまなドイツの法執行機関が携帯電話の「pinging(ネットワーク接続の確認)」を行っているということだ。このようなpingは、コンピュータからのIPネットワークpingと同様、ターゲットとなったリソースがオンラインかそうでないかを返すのみだ。

  だが、pingを作成した後、これらの機関は移動体通信事業者にネットワークログを要求していた。このログは、携帯電話自体からの情報は明らかにしないが、pingが通った基地局の位置を突き止めるのに使用することが可能だ。従って、ターゲットとなる携帯電話を追跡するのに用いることができる。

  このようなネットワークログを要求することは、ドイツが電気通信監視条例を改正した2007年以前は、法的にグレーゾーンにあった。

  そして今や我々は、他にどのくらいの国が、この種のトラッキングをグレーゾーンだとみなすのか、と考えさせられるのである。








新年の願いごと - データ収集付き

  2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。

  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene

Suo Anteeksi:ZeuSの丁重な亜種

  フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko








「Trojan:Android/FakeNotify」がアップデート

  今月はじめに我々は有料課金型のSMSトロイの木馬に関する記事を掲載した。「Trojan:Android/FakeNotify.A」として検出したものだ。現在、同トロイの木馬がアップデートされ、分析と検出をより厄介にする変更が加えられていることが分かっている。

  署名証明書から分かるように、新バージョンは同じ開発者が作成したものだ。トロイの木馬の全体的なふるまいに変更は無いが、コーディングアプローチはかなり変わっており、静的解析ツールなどを失敗させるのに十分だ。

  例えば分析中、私はオリジナルと現行バージョン双方からのSMS送信ルーチンを比較したが、以前のよりシンプルなコーディングアプローチがよりダイナミックになっていることに気づいた。

  「FakeNotify」のオリジナルバージョンでは、ルーチンはそれが何であるか、非常に簡単に「読む」ことができる単純な方法で実装されていた:

FakeNotify, original send
FakeNotify.A

  しかし新バージョンは、アナリストがコードを「読む」ことをより難しくするとともに、同じ目標を達成するためにJava言語のReflection/Dynamic Invocation機能を利用している。

  開発者たちは、自身のエンコーディング/デコーディングアルゴリズムを使用して、ストリング引数を混乱させることによりさらに歩を進めている(これはシンプルな換字式的な暗号に過ぎないが)。以下でコード化されたフォームを見ることができる:

FakeNotify, update encoded
FakeNotify.B, SHA1: df866cf4312cf9c929a9a7dc384eebb19d2b2c2d

  コーディングアプローチの変更は、大部分の静的解析ツールを容易に無効化することができる。

覚書:分析中、私は突然、Windows LoadLibraryとGetProcAddress combo API関数およびJava Reflectionのいくつかの機能との類似点に気づいた。他のAPI関数アドレス(Windows)およびクラス、もしくはObject handleのメソッド(Java)に関しては、双方とも開発者が最近獲得した方法もしくは関数をコールするか、実行することを可能にする。

  いずれにせよ、Androidの世界に戻ろう。新たなFakeNotifyバージョンの分析を容易にするため、私はシンプルなPythonスクリプトを作成し、難読化されたストリングのインスタンスを、悪意あるアプリケーションでデコンパイルされているJavaソース全ての平文ものと入れ替えた。

  パッチングの後、SMS送信ルーチンはclass SmsManagerとそのgetDefault method/functionのハンドリングを獲得し、その後、SmsManager classのsendTextMessageファンクションを使用するため、起動/コールされるか、適切に初期化される必要がある:

FakeNotify, update decoded

  確かに、私がAndroidマルウェアによりJava Reflection機能が使用されるのを見たのは、これが初めてではないし、ストリングの難読化は複雑ではない。しかしこれはAndroidマルウェアの開発者が自分達の「製品」を最新にし、検出されないようにするため、その技術を次々と適応させ、アップグレードする方法のかなり明快な例と言える。

Threat Solutions post by — Jessie

AnonymousなAnonymousがAnonymousはAnonymousではないと主張

  おそらく皆さんは、「stratfor.com」がハッキングされたことを聞いているだろう。

  そしてその責任についてAnonymousは否定している。

pastebin.com/8yrwyNkt

  しかし今日、「Anonymous」は以前匿名で投稿されたpastebinのポストはAnonymousではなく、Anonymousであると主張しているのは実はStratforの従業員だと主張している。

pastebin.com/4KeCkGUF

  ちょっと待って欲しい… Anonymousは「我々は皆Anonymousだ」とは主張しないのだろうか? もしそれが真実なら、おそらく、結局それはAnonymousだったのだろう。

  誰も気にしないのだろうか?

  世間は気にしていないようだ。Googleで「anonymous is」と「anonymous are」をインスタント検索すると、同グループに対する賛辞はほとんど含まれない。

  他のニュースでは:Anonymousは今日、他のデータダンプを約束していた。

pastebin.com/q5kXd7Fd

  もちろん、Anonymousによる否定もまだだ。








機能しないAndroid課金型SMSトロイの木馬

  我々は課金型のSMS番号にSMSメッセージを送信しようとするAndroid向けトロイの木馬を発見した。それは珍しくはない。しかし、異なっているのは、これらのトロイの木馬が動作しないということだ。

  これらトロイの木馬(「Trojan:Android/RuFailedSMS.A」として検出されている)は、以下のパーミッションを用いる:

RuFailedSMS, permissions

  そして悪意のあるアプリケーションはそれぞれ、(人気のアプリのように思われる)パッケージのダウンロードをオファーし、様々なアプリケーションのインストーラのふりをする:

RuFailedSMS, main UI

  「オファーされる」アプリケーションには以下のものがある:

  •  Add_It_Up
  •  Advanced_Launcher_Lite
  •  AmazingMaze_supLitesup
  •  Analog_Clock_Collection
  •  Animal_Sudoku
  •  AnySoftKeyboard
  •  AnySoftKeyboard_Slovak_Language_Pack
  •  AppInventor_Toggle
  •  Arrow_Caz
  •  Astronomical_Flashlight
  •  BentoCam!
  •  Bimaru_-_Battleship_Sudoku
  •  BlackJack
  •  Carve_a_Pumpkin_supLitesup
  •  Chinese_Chess
  •  Christmas_Ringtones
  •  Coloring_pages
  •  Contact_Finder_supLitesup
  •  Converter
  •  Countdown_Widget
  •  Crayon_Ball
  •  Cyan_aHome_Theme

  幸いなことに、コードに捕捉されなかった例外があるため、同トロイの木馬(SHA1: 0d2d3317c6ca1a9812d357741f45af6bb360d89c)は、その悪意ある活動を完了せず、クラッシュして停止してしまう:

RuFailedSMS, crashed

  我々は100を超えるトロイの木馬のコピーを発見しているが、かなりの数が技術的に高度なものではない。それらのコピーは基本的に同じソースコードを使用しているが、異なるパッケージ用に異なるコンフィギュレーションに改造されているに過ぎないのだ。.

  これらトロイの木馬は、サードパーティのAndroidマーケットで発見されており、ロシア、ベラルーシ、カザフスタンおよびアゼルバイジャンのユーザを標的としている。

  これらのトロイの木馬はクラッシュし、機能しないにしても、悪意あるルーチンのため、またコピーが大量に出回っているためもあって、検出は行っている。

Threat Solutions post by — Jessie

「Anonymous」、寄付および慈善団体について

  「Anonymous」のメンバーがクリスマス中、stratfor.comに侵入したと発表した。

  STRATFORは、目的を予測するためのオープンソース・インテリジェンスを収集する組織だ。彼らはstratfor.comを通じて出版物を販売している。我々が知る限りでは、「Anonymous」はstratfor.comに保存されている加入者名簿にアクセスし、そのリストには暗号化されていないクレジットカード・データが含まれている。

  「Anonymous」は現在、STRATFORのレポートを購読する人々のクレジットカード情報に関する2つのリストを公開している。最初のリストには3956枚のカード情報が、2番目のリストには13191枚のカード情報が含まれている。これらのカード情報は、世界中の購読者のものだ。

stratfor

  クレジットカードがリークした後、「Anonymous」のさまざまなメンバーが、これらクレジットカードが、各種慈善団体にかなり大きな寄付をするのに使用されているスクリーンショットを公開した。これら慈善団体は、赤十字、CARE、セーブ・ザ・チルドレンおよびAfrican Child Foundationなどだ。

stratfor

stratfor

  一見すると、このような行動は多少、富める者から盗み、貧しい者に与えるという、ロビン・フッドの行動に似ている。

  しかし残念なことに、この場合、貧しい者には一銭も渡らない。

  これらの寄付は、困っている人々には決して届かない。実際、これらの行動は慈善団体を援助するのではなく、損害を与えることにしかならない。

  クレジットカードの所有者が、自分達のカードに対する不正な請求を見れば、彼らはそれを銀行やクレジットカード会社に報告する。クレジットカード会社は慈善団体への支払いを取り消すが、その金額は払い戻されなければならない。場合によっては、慈善団体はペナルティが課される可能性がある。少なくとも、彼らは支払い取り消しの処理のため、時間と金を失うことになる。

  メリー・クリスマス。


最近のマルウェア感染の痕跡 - 画像ファイルへの偽装

最近のマルウェアは非常に巧妙でディスク上、通信などからの発
見は一苦労です。そのため、マルウェア感染の早期発見が、今ま
で以上に重要視されています。
とはいえ、マルウェアの通信に決まったパターンがあるわけでは
ありませんので、簡単には見つからないのが現状ではないで
しょうか。

そこで、今回は少しでも参考になればと思い、最近度々見かける
マルウェア通信のログを紹介してみたいと思います。
ProxyログなどからHTTP/HTTPSへのリクエストログを漁れば、
もしかすると、類似のログが発見できるかもしれません。

今回は、画像ファイルのPOSTのように見せかけ、マルウェアの
感染端末のリモート操作や窃取した情報のアップロードなどの
操作を行っているパターンです。
例えば、次のPOSTリクエスト(抜粋)は最近よく見かけるもの
のひとつです。

post1

中央付近のContent-Disposition以下を参照しますと、画像ファイ
ルらしきファイル(GIF)がPOSTされています。
ところが、よくログを見てみると、画像ファイルにも関わらず
Content-Typeが、"text/plain" となっておりバイナリではありま
せん。
# 一般的には image/gif が利用されます。

実は、このファイルの正体はDOSコマンドの出力結果をXORで
符号化したもので、テキストファイルです。
そのため、Content-Typeには "text/plain" となっています。
# 但し、いろいろ細工はできますので必ずこのようになるとは限
# りません。

つまり、この手口を用いているマルウェアに関して言えば、POST
しているにも関わらず、Content-Typeが矛盾しているものを探せ
ば、見つけられそうです。
Proxyのログ出力の設定などにより探せない場合は、代替となるロ
グから探してみてください。ログが何も無い場合は、ログ収集から
始めるしかありませんが・・・。

尚、高度なステガノグラフィを用いたものや、銀河系の衝突
記事で解説されているようなレベルのものは、残念ながら今回の
簡易的な方法では、すぐに見つかりません。もう一工夫必要です。

ということで、今回は比較的容易に見つけられそうなものを紹介し
てみました。参考になれば幸いです。

では、良いお年を!


アムネスティ・インターナショナルの英国サイトにJavaエクスプロイト

  贈り物のシーズンだ。アムネスティ・インターナショナルの英国Webサイトの訪問者は現在もれなく、Javaエクスプロイトを利用したキーロガーがもらえる。Brian Krebsがこの件に関し、彼のブログ「Krebs on Security」に書いている。

Krebs on Security

  アムネスティの英国サイトはハッキングされ、ブラジルのサーバにリンクするiframeが組み込まれており、同サーバは「CVE-2011-3544」ベースのJavaエクスプロイトをホスティングしている。

  エフセキュアのブラウジング保護は、現在アムネスティのサイトをブロックしている。.brサイトも既に数日間ブロックしている。我々はJavaエクスプロイトおよび、それがドロップするトロイの木馬の双方を検出しており、AV業界もかなり良い検出率を示している。

  詳細は、上でリンクしているKrebsのサイトで読んで欲しい。そして気を付けて欲しい。

  ミッコが昨日の記事で記しているように、Java SEが必要でないなら、インストールしておく必要があるだろうか?

  以下は、Javaを使用しないブラウザがJavaエクスプロイトに遭遇した際の表示だ:

An additional plug-in is required to display some elements on this page.

  「このページのいくつかの要素を表示するには、追加のプラグインが必要だ。」

  それはあなたが本当に必要ではない要素だが。








Androidマーケットの詐欺アプリ

  マルウェアの作者が大胆にも、人気のアプリと類似したパッケージ名およびアイコンを使用し、このマルウェアを公式なAndroidマーケットで発表するというプラクティスが増えているようだ。正式なアプリの無料/ライト版であるかのような偽りの表示のもと、何も知らないユーザがこうしたマルウェアをダウンロードする可能性がある。

  Logastrod and Miriada Productionにより使用されたプラクティスと同様、Eldar Limitedが「Cut the Rope」と「Assassin's Creed」アプリの無料版を装うマルウェアを公開した。唯一の問題はAndroidマーケットでシンプルサーチを行っても、「Cut the Rope」無料版の結果は戻って来ないことだ。おそらく、Androidプラットフォームでは単に無料版は存在しないのだろうが、iOS用の無料「Cut the Rope Lite」は存在する。ここでユーザが混乱するかもしれず、こうした戦略の犠牲になる可能性がある。

Eldar Limited, Android Market

  Googleのアプリポリスはこの詐欺を発見し、Androidマーケットから素早く削除した。これらアプリはAppBrainとAndroidZoomにはまだ掲載されているが、リンク先はユーザを、すでにアプリが削除されている公式Androidマーケットに導く。

EldarLimited, AppBrain

EldarLimited, AndroidZoom

  ユーザには、アプリの有料版を検索し、開発者名に注目するというティップが役立つだろう。有料版と無料版の双方で名称が一致すれば、それは安全なアプリである確率が非常に高い。さもなければ、ダウンロードしてはいけない。

有害とみなされるJava

  WebブラウザにJavaは必要ですか? まじめな話、あなたは必要だろうか? もし不要なら、それを削除すべきだ。

  ほとんどのユーザはもうJavaを必要としていないが、それでも動作させ続けているようだ。

  JavaとJavaScriptと混同してはいけない。JavaScript無しでWebを使用するのは難しい。しかしJavaScriptはJavaとは無関係だ。

  先頃、JavaのリスクがJava Rhino脆弱性(別名CVE-2011-3544)により見事に示された。もしJavaを動作させており、しかも最新版でないなら攻撃を受けやすい。よってその場合は、Javaの最新版を使用しているか常にチェックするか、すべて削除するかのどちらかだ。

  そしてJava Rhino脆弱性は理論上のものではない。ごくありふれたエクスプロイトキットが、そのデフォルトエクスプロイトにこの脆弱性を組み込んでおり、オンライン犯罪者のため、非常によく機能しているようだ。

  以下はBlackholeエクスプロイトキットのコントロールパネルのスクリーンショットだ。この画像から、「CVE-2011-3544」脆弱性により16,144台のコンピュータが乗っ取られているのが分かる。

Blackhole exploit kit

  よって、可能ならばJavaを捨てること。Larry Seltzerがそうしようとして気づいたように、考えているほど辛いことではないかもしれない。

  あなたは特定のWebアプリケーションのため、Javaを必要としているだろうか? オンライン銀行、あるいはイントラネットアプリなどで? システム上にJavaを残して、日頃使っているブラウザからJavaプラグインを削除することだ。次にそのサービス1つのみに利用する、他のブラウザを使えば良い。

  Chromeはサンドボックス、あるいはリスキーなアドオンおよびエクステンションの保護で上手くやっていることにも注意したい。多くのJavaエクスプロイトは、Chromeに対して作用しない。またChromeはPDFファイルを読むのにAdobe Readerプラグインを使用しない。Chromeは急速に、地上で最も一般的なブラウザになりつつあるため、これは良いニュースだ。

Wikipedia

デッドソフトウェア・ウォーキング:今すぐアップデートを!

我々のレガシーソフトウェアの一部が、まもなくサポート終了(EOL)となる。

Leatherman Wave, because real network administrators are prepared for anything…

  エフセキュアは顧客保護で長い歴史を持っており、そのため、長期にわたる顧客関係を維持してもいる。顧客の中には、何年も我々のソフトウェアを利用している方もいる。だが他のソフトウェアベンダと同様、我々もある時点で、古いレガシー製品のサポートを終了しなければならない。

  というわけで、我々はエフセキュアのホームユーザおよび企業ユーザに、「エフセキュア 8」シリーズソフトウェアのアンチウイルスアップデートは、2012年1月1日に終了することをお知らせする必要がある。

  実際EOLとは、以下のような製品が、これ以上アンチウイルスアップデートを受けとらないことを意味している:

  •  エフセキュア インターネット セキュリティ 2009
  •  エフセキュア アンチウイルス 2009
  •  エフセキュア クライアント セキュリティ 8シリーズ
  •  エフセキュア Linux セキュリティ 7シリーズ

  そのほかにも影響を受ける製品がある。影響を受けるコンシューマ向け製品の全リストはこちらを、そして影響を受ける企業向け製品についてはこちらをご覧頂きたい。

  くり返すが、これらの製品がこれ以上サポートされないということを意味しているだけではない(中には実際、かなりの期間、サポート対象外になっているものもある)。これは、実際のアンチウイルス・シグネチャのアップデートが、これら製品に対しては提供されないということを意味している。新たなデータベースは作成されない。

  だからすぐにアップグレードして欲しい::

  •  ホームユーザ
  •  ビジネスユーザ

  アップグレードしない理由はない。このアップグレードは無料で、ライセンス/登録をお持ちである限り有効だ。

  インターネットサービスプロバイダを通じて受けとった製品をご使用の場合は、オペレータがお持ちのソフトウェアが最新版であることを確認するだろう。

  以下はこのトピックに関する我々のコミュニティサイトのディスカッションスレッドへのリンクだ。

  あなたはこれをインストールしているだろうか?

F-Secure Internet Security 2009, published in 2008

  すぐにアップデートを…終わりは近い。

FacebookとTwitterでChatSendスパム・キャンペーン

  我々は今日、FacebookとTwitterで、かなり怪しいソーシャル・スパムを見かけた。

ChatSend Spam, Facebook

  そして明らかに、それは5日にわたって広まっている。

ChatSend Spam, Twitter

  このソーシャルスパムは、様々な数値パラメーターを使用した「bit.ly」短縮リンクを用いている。そして興味深いことに、同スパムは2つのリンクをポストする。(おそらくこれはアンチ・スパムフィルタを回避するのに役立つ?)

  ジオIPとクリックされるリンクにより、ユーザはchatpreview.meに誘導され、そこでブラウザ・ツールバー・プラグイン「ChatSend」をオファーされる。

ChatSend Spam, chatpreview.me

  WindowsとMac:どちらも歓迎。

  ほぼ100万人がこのスパムリンクをクリックしている。同ダウンロードをどのくらいの人々がインストールしたかは分からない。bit.lyの統計から分かるように、大部分のクリックはインドとフィリピンのものだ。

ChatSend Spam, Bit.ly stats

  怪しいリンクについて、我々はbitly.comに報告しており、彼らはこの問題を調査中だ

Facebookのタイムラインにトラブルの噂

  Facebookが、新たなタイムライン・プロフィールを公開し、週末、ここフィンランドでは、プライベートなメッセージがユーザのプロフィールに投稿されているといういくつかの報告があった。

  我々はこれに関し、信頼できる証拠は得ていない。そしてFacebookのフィンランド語の翻訳が決して完璧ではないとすれば、すべては単なる誤解の可能性もある。以下は、我々が今日読んだ翻訳の一例だ… タイムライン・プロフィールには、「ライフイベント」と呼ばれる新しいタイプのストーリーが含まれている。「ヘルス&ウェルネス」のカテゴリーには、「連絡を取る」ためのオプションがある。フィンランド語では、使用されている語は、コンタクトレンズではなく、コンタクト情報のためのものだ(ママ)。

  よって我々はどんなタイプの「メッセージ」がポストされるか、現在も見守っている。

  ミッコ・ヒッポネンのTwitterフィードが、彼のFacebookタイムラインに掲載されており、そこで最新ニュースのアップデートに申し込める。

http://www.facebook.com/mikkohypponen

  Facebookアカウントをお持ちなら、facebook.com/timelineからタイムラインをアクティブにできる。自分のタイムラインが一般に公開されるまでに、それをプレビューする(そしてクリーンアップする)時間は7日間ある。

12月20日火曜日の追記::

  我々が考えていたように、プライベートな「メッセージが」タイムラインによりリークされているという噂は、これまでのウォールとウォールの間の会話の誤解に基づいている。新たなタイムライン・プロフィールでは多くのレイアウト変更が行われており、これらの変更は多くの疑問を引き起こすことは間違いない。テクノロジーおたくのやり方ではない方法による、ヒステリックではない、事実ベースの回答については、我々のFacebookのページか、「Safe and Savvy」ブログをご覧頂きたい。

BlackHat Abu Dhabi レポート

鵜飼です。

ただいま、BlackHat Abu Dhabiに参加すべくアラブ首長国連邦に来ています。

これから始まるのですが、その前に写真を何枚か撮ってきましたのでご報告します。

BlackHat Abu Dhabiのブリーフィングは今日、明日の二日間で行われます。
会場はEmirates Palace Hotelですが、あちこちに金箔が施されており非常に豪華です。

1

2

3

本日、弊社からは新技術開発室の大居が、
「Yet Another Android Rootkit -/Protecting/System/Is/Not/Enough/」
というタイトルで、Android Rootkit関連の研究成果を発表予定です。

4

5

eEyeの同僚だったBarnaby Jackも11:15から登壇予定のようです。

Abu Dhabiではまだ大きなセキュリティコミュニティもなく、これからという雰囲気との事ですが、セッションの内容などは随時弊社の大居がfacebookに投稿予定ですのでチェックしてみてください。

http://www.facebook.com/FourteenfortyResearchInstitute
 
ではこれからカンファレンスが始まる所ですのでこのへんで。 
 
※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

Duquが使用するゼロデイ脆弱性のパッチ

  パッチが公開される火曜日だ。Microsoftが、10月に発見されたDuquマルウェアが使用するゼロデイ脆弱性のパッチを公開した。

ms11-087

  同セキュリティ情報を引用すると:

同アップデートは何をするか?
  このアップデートは、WindowsカーネルモードドライバがTrueTypeフォントファイルを処理する方法を修正することで脆弱性に対処する。

このセキュリティ情報が公開された時、この脆弱性は一般に公開されていたのか?
  そう。この脆弱性は一般に公開されていた。Common Vulnerability and ExposureリストのナンバーはCVE-2011-3402が割り当てられている。

このセキュリティ情報が公開された時、Microsoftは同脆弱性が悪用されているという報告は受けていたのか?
  そうだ。Microsoftは同脆弱性を悪用しようとする、限定された標的型攻撃に気づいていた。しかし、このセキュリティ情報が発表された時、Microsoftは何らかのPOCコードの例が公開されていることを確認していない。

2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)

遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります)

20111213_blog


続きを読む

GoogleのAndroid Marketに課金型SMSトロイの木馬

  今日、課金型のSMSトロイの木馬がGoogleのAndroid Marketで見つかった

  「Lagostrod」という名のデベロッパが、多くのポピュラーなアプリケーションの無料版とおぼしきものを提供した。そしてGoogleはその公式マーケットアカウントを閉鎖したが、AppBrainなどのサイトは現在もそのダウンロードを掲載している。

http://www.appbrain.com/search?q=logastrod

  AppBrainの数値によれば、「Lagostrod」のアプリは何度もダウンロードされている。

  しかし話はこれで終わりではない。このトロイの木馬はまだ生きているのだ。

  AvastのJindrich Kubecが、「Miriada Production」の開発者の現行の名前を含むツイートをミッコに送ってきた。

  「Miriada Production」のAndroid Marketアカウントは現在オンラインだ:

Miriada Production

  Android Marketにはこうしたアカウントがいくつか存在する可能性があり、Googleのセキュリティ面での努力はもぐら叩きゲームの様相を呈している。

  これらトロイの木馬はインストールされると、ショートコードを使用して課金型SMSを送信しようとする。

  以下は偽World of Gooのスクリーンショットだ:

RuleActivity.class

  過去に我々が遭遇した課金型SMSトロイの木馬は、全てロシアを標的としていた。

  今回のトロイの木馬は18カ国を標的としている。

  リストには以下のISO国番号が含まれている:am, アルメニア; az, アゼルバイジャンn; by, ベラルーシ; cz, チェコ共和国; de, ドイツ; ee, エストニア; fr, フランス; gb, 英国; ge, グルジア; il, イスラエル; kg, キルギスタン; kz, カザフスタン; lt, リヒテンシュタイン; lv, ラトビア; pl, ポーランド; ru, ロシア連邦; tj, タジキスタン; ua, ウガンダ

  では、この開発者は自分達のアプリを、どのように正当化しようとしているのだろうか?

  そう…それは細則にある。アプリのインストールアグリーメントには、「カスタマ」が課金型のサービスに登録することになると書かれており、次に、基本的にラッパーである同アプリは、「無料」ゲームをダウンロードする。

  ドイツへの料金は1.99ユーロ、フランスへの料金は4.50ユーロ(うわっ)だ。

  責任は買い手にある。

追記:「Miriada Production」のアカウントは、現在はオンラインではない

見本市…トロイの木馬の

  トロイの木馬、バックドア、キーロガーおよび盗聴が、オンライン犯罪者により用いられている。同じテクニックは政府によっても使用される。一部の政府は、自国民をスパイするため、あるいは反体制派を見つけ出すために利用する。また他の政府は、犯罪の容疑者を捜査する際に利用している。

  このような侵入で使用されるテクノロジの多くは、政府自身が開発したものではない。それらはエクスプロイト、感染プロキシ、バックドアなどを政府に提供することを専門とする民間企業により作成されている。

  より詳細な背景については、我々の記事を参照して欲しい:

  •  エジプト、FinFisher侵入ツールそして倫理
  •  政府によるものとおぼしきバックドアを発見(「R2D2ケース」)
  •  ドイツ当局によるバックドアに関する追加情報:Case R2D2

  政府はこうしたものをどこから買うのだろうか? そう、まさにこのトピックに関するカンファレンスと見本市があるのだ。その名は「ISS World」で、年に5回開催されている。

  しかし、これらのイベントには、ちょっと立ち寄るといった具合には行かない。「招待者に限る」ためだし、「電気通信サービス・プロバイダ、公務員および法執行官」のみが対象だからだ。

  しかし我々は、今週ISS Worldがクアラルンプールで開催された時、のぞきに行かずにはいられなかった。

ISS World Kuala Lumpur

  以下が提供された講演の例だ:

ISS World Kuala Lumpur

  同イベントは地元のヒルトンの密室で開催された:

ISS World Kuala Lumpur

  スポンサーのリスト:

ISS World Kuala Lumpur

  そして以下がFinFisherのブースで、そのIT侵入製品を展示している:

ISS World Kuala Lumpur

  この謎めいたイベントに関する報道については、WSJ(2011)Wired(2006)の記事を見て欲しい。








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード