エフセキュアブログ

2012年03月

仮想コルクボード?

はじめまして、エフセキュアでプロダクト及び技術担当している神田です。

 これまでセキュリティ業界の動向を横目でみながら、IT関連機器への組み込み技術の業界にしばらく身おきましたが、またこうして、セキュリティ業界に戻ってきました。今後不定期ですが、情報発信させていただきます。(人物紹介記事

 暖かくなったり、寒くなったり天気が不安定ですが、皆様、体調は大丈夫ですか?気がつくと、今までインフルエンザにかかりたくなくて、マスク着用をしてたのが、そのまま花粉対策のためのマスクに変わった今日この頃。もうすぐ桜が満開になり, お花見に良い季節になります。でも私にはそれほど楽しい季節とは正直言いがたいところで、その頃が花粉アレルギーの丁度ピークにあたるため、一番つらいシーズンです。最近は専らお花見宴会とかには参加せずに、完全防備で、地味に眺めて、楽しむだけですね。

 さて、最近、個人的に興味があるのは"Pinterest"(ピンタレスト)です。既にご存知の方も多いと思いますが、SNSの一種で、アメリカ発のピンボード風の写真・動画共有サービスです。ファッション、旅行、インテリア等さまざまなカテゴリにボードが分かれていて、言ってみれば、自分のWeb上にあるコルクボードに、登録メンバのボードやWeb上にある気に入った写真をどんどんピンしていって、興味のある「人」と「ボード」をフォローすることができるというものです。ネットレイティング社調べによると、2012年1月時点で、ビジター数は現在約1600万人を超え、74%は女性、62%が25-49歳で構成されており、, 堅調に推移しているようです。

PinterstVisiterTrend0330_01
(上記はAlexa.comを利用して、半年のPinterstサイト訪問者数を計測したものです。2012/3/30時点)

 確かに文章よりも画像・動画なので、視覚的で分かりやすく、また、他のSNS(TwitterやFacebook)と同じように共有(Pin, Repin)したり、コメントしたりできるので、切り口は違えど、使い方によってはかなり面白そうだなと思います。

 写真をクリックするとその写真のオリジナルの提供者のホームページリンクします。したがって自社サイトへの呼び込みにも使え、何らか販売している事業者側にしてみれば、商用目的としてかなり魅力的なマーケティングツールになりそうです。つい最近はオバマ米大統領も活用始めたようです。

 今後かなりの伸びを期待される新らしいSNSですが、懸念点としては、利用者増加にともない、意図していないサイトへ誘導されるなどのフィッシングの可能性もあるため、危険な側面もあるかもしれません。このあたりはもう少し市場動向を見ながら、わたしたち利用者自身も気をつける必要がありそうですね。

 セキュリティとの関連についてはまた、次回以降にでも。

 それでは、これからよろしくおねがいしまーす。m(__)m

標的型攻撃メールの手口と対策

すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。
ここでは具体的な手口と対策について紹介します。

まず、航空会社を騙って次のようなメールが届きます。
mail

差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。
メールにはlzh形式の圧縮ファイルが添付されています。

解凍すると次のようなファイルが出てきます。
before_dir

ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。
もしダブルクリックしてしまうと、次のようなWordファイルが表示されますが、裏ではウイルスに感染し、PC内の情報が海外のサーバに送信されるとともにキーロガーが仕掛けられます。
word

一度実行してしまうと、元の実行ファイルは消去され、代わりに通常のフォルダが作成されます。しかし、裏ではキーロガーが動き続け、外部に情報を送信しています。

after_dir

こういった実行ファイルをダブルクリックさせるタイプの攻撃は脆弱性を攻撃するわけではないので、OSやアプリケーションを最新版にしていても被害に遭ってしまいますし、振る舞い検知型のセキュリティ製品では防げないことが多いです。

では対策ですが、ここまで巧妙になってくると「怪しいメールを開かない」というのが難しくなってきます。
現在は発生から1ヶ月ほど経っており、多くのウイルス対策ソフトが検知してくれますので、ウイルス対策ソフトは導入しておいたほうがいいでしょう。
また、むやみに実行ファイルを実行しないように注意する、それを社員に教育するといったことも大事ですが、それでも手が滑ってダブルクリックしてしまうかもしれません。
そのような場合に備え、ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。

secpolicy

今回紹介したのは実行ファイルを使った標的型攻撃メールでしたが、OSやアプリケーションの脆弱性を狙った標的型攻撃メールも多く存在しますので、OSやアプリケーションを最新版にしておくことも忘れないようにしてください。

NGOを標的とする更なるMacマルウェア(Wordエクスプロイト)

  Alienvault Labsが、人権問題にフォーカスする非政府組織(NGO)を標的とするマルウェアを、また発見した。これは先週の発見に追加されたものだ。今回のエクスプロイトは、Microsoft Word(MS09-027)の2009脆弱性を利用する。

  以下は、エクスプロイト・ドキュメントが埋め込まれている囮のドキュメントの例だ。

Mac Word Exploit MS09-027

  詳細はAlienvault Labsで読める:イン・ザ・ワイルドなMacOS Xを標的とするMS Officeエクスプロイト - 「Mac Control」RATをもたらす

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

MicrosoftのDigital Crimes UnitがZeuSを摘発

  MicrosoftのDigital Crimes Unitがこの週末、悪意あるボットネットに対する法的兵器を拡大し、金融サービス業界のメンバーと協力してZeuSボットネットに属するサーバを排除した。Microsoftは3月23日、ニューヨーク東部地区の米連邦地裁で提訴している。Microsoftと同社パートナーは、既知のZeus C&Cの一部を協力して押収することに成功したのだ。

  以下でご覧頂けるように、エフセキュア・ラボはDCUへの情報と分析の提供で関わらせて頂いている。

Microsoft Joins Financial Services Industry to Disrupt Massive Zeus Cybercrime Operation That Fuels Worldwide Fraud and Identity Theft, F-Secure

  Microsoftのリーガルチームが、ボットネットのテイクダウンの一部として、RICO法(Racketeer Innuenced and Corrupt Organizations Statute Act:組織犯罪に対処するための法律)を利用したのは今回が初めてだ。RICOに馴染みのない方もいらっしゃるだろうが、これは通常「ギャング」を対象としている。

  そしてZeuSボットネットがいくらでもあることを考えると、これはMicrosoftにとって、非常に有益な法的動きだ。

  abuse.chでZeuS Trackerに従事している人々は現在、350台のC&Cサーバがオンラインであると報告している。

ZeuS Tracker 2012.03.26
Source: zeustracker.abuse.ch

  よってすべき仕事はまだたくさんある…

詳細は:Microsoftと金融サービス業界の主要メンバーがZeusボットネットのサイバー犯罪オペレーションを摘発
法的ドキュメント:zeuslegalnotice.com

  これまでの努力がみのったMicrosoftのDCUにおめでとうと申し上げたい。

(Mac)Flashbackはあるか?

  月曜、Flashbackトロイの木馬によってMacに障害が起きない方法をご紹介した。今日はFlashback感染を見つける方法に関する情報を提供する。

  以下のステップをより良く理解するには、Flashbackについても多少している方が良いだろう。これはOS Xマルウェアファミリで、Webブラウザにより表示されるコンテンツを修正する。そのために、同マルウェアはMacのブラウザが使用する機能を利用する。乗っ取られる機能は亜種ごとに異なるが、一般にCFReadStreamReadおよびCFWriteStreamWriteが含まれる:



  標的とされるWebページと変更は、リモートサーバから読み出されるコンフィギュレーションに基づいて決定される。以下はコンフィギュレーション・データの例だ:



  デコードすると、標的とされたWebページ(赤)とインジェクトされたコンテンツ(黄)が分かるだろう:



  こうした能力は事実上、これをある種のバックドアにする。このことと、同マルウェアが最初、Flash Playerインストーラのふりをしてユーザをだまそうとした事実から、Flashbackと呼ばれている。しかし、以降それは進化しており、最近の亜種では拡散するためエクスプロイトを組み込み始めた。私が見たケースすべてで、少なくともGoogleを標的としており、これは実際Mac QHostの次の進化形ではないかと考えるに到った。

  介入機能を利用して、Flashbackが次に行うのはブラウザにそれをロードさせることだ。

  これはDYLD_INSERT_LIBRARIES環境変数が役立つところだ:



  一般に感染には2種類ある。第1の感染は、同マルウェアが管理権限を持つ際に生じる。第2の亜種「Flashback.B」もしくは上のスクリーンショットが例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が標的とされたアプリケーション、特にブラウザのコンテクストにのみ追加される。初期の亜種はSafariとFirefoxを標的としている。最近の亜種ではSafariのみが標的だ。この種の感染にユーザが気づくのは、より難しい可能性がある。感染したシステムがより安定しているためだ。

  感染の第2のタイプは、同マルウェアに管理権限の無い時に生じる。最初の亜種「Flashback.A」がその例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が感染したユーザのコンテクストに追加される。これは同マルウェアが感染したユーザが起動する全てのアプリケーションにロードされるということを意味している。その際、互換性のないアプリケーションに起因するクラッシュが増えるので、感染したシステムははるかに不安定になる。これを解決するため、最近の亜種は新しいフィルタコンポーネントを導入している:



  上記の例では、フィルタコンポーネントはプロセスがSafariである場合、メインコンポーネントをロードするのみだ(スクリーンショットで「WebPo」を無視すること。これはおそらく、Safariであれば一部であるWebProcessを、マルウェア作者がタイプミスしただけだろう)。

  では、このケースではどのように感染を特定するのか? 最も簡単なのは、ブラウザのDYLD_INSERT_LIBRARIES環境変数のチェックだ。Terminalで以下のコマンドを使用すれば良い:

  •  defaults read /Applications/%browser%.app/Contents/Info LSEnvironment



  上記の例は、Firefoxがクリーンであることを意味している。感染していれば、下のようなものを見る事になるだろう:



  赤で囲まれたDYLD_INSERT_LIBRARIESの値に注意して欲しい。フィルタコンポーネントである場合、メインコンポーネントを特定するのにそれが必要だ。

  •  grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%



  赤で囲まれたファイルはFlashbackファイルなので、注意して欲しい。ほとんどのユーザにDYLD_INSERT_LIBRARIES環境変数は無いと思う。

  グレップで結果が得られなければ、それはあなたのシステムの亜種は、フィルタコンポーネントを有していないことを意味している。

  皆さんが次にチェックしたいのは、第2のタイプの感染が起きていた場合、あなたのユーザのDYLD_INSERT_LIBRARIES環境変数をチェックするということだろう:

  •  defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



  結果が得られなければ、このタイプの感染は起きていないことを意味している。

  フィルタコンポーネントがあれば、メインコンポーネントを見つけるのに、また以下のコマンドを使用すれば良い:

  •  grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%



  サンプルはどうするか? 我々に送って欲しい。そうして頂ければ、他のAVベンダとサンプル共有を手配するので、コミュニティの助けにもなる。

  システムからサンプルを削除する際、DYLD_INSERT_LIBRARIES環境変数も必ず削除すること。さもないと、ブラウザもしくは更に悪いことには全アカウントが、次回、ロードされないかもしれない。

  第1のタイプの感染では以下を使用して欲しい:

  •  sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
  •  sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist



  第2のタイプの感染では以下を使用すること:

  •  defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  •  launchctl unsetenv DYLD_INSERT_LIBRARIES



  より最近のFlashback亜種に関する詳細は、我々のTrojan-Downloader:OSX/Flashback.Iの解説でチェックできる。

では。
Brod

あなたの銀行はSpyEyeのトップ40リストに掲載されているか?

  SpyEyeトロイの木馬の亜種が、「webinject.txt」と呼ばれるプラグインを使用する銀行を標的としている。我々はバックエンドで、SpyEye TrackerのRSS Feedからマッチする1318サンプルを収集した。内部を見ると、これらのサンプルに632種類の銀行ドメインが含まれており、「commerzbank.com」が最も標的となった銀行ドメインであることが分かった。

  以下はSpyEyeが標的とするトップ40行のグラフだ:

SpyEye's Top 40 Banks
クリックして拡大。

  Y軸は、サンプル内での銀行ごとの事例の数を表している。

  そして以下の表は同じ内容だ:

List of SpyEye's Top 40 Banks

  あなたの銀行はこのリストにあるだろうか? 心配しないで… もしSpyEyeがあなたの銀行を標的にしていなくても、たぶんZeuSに狙われている

  ここから、上記データのExcelファイルがダウンロードできる。

Analysis by — M. Hyykoski








中国がチベット関連でNGOのMacを標的に

  「CVE-2011-3544」(Java脆弱性)を悪用する新たなMacバックドアが報告されている。このバックドアは、GhostNetにつながっているようだ。同マルウェアは、非政府組織(NGO)に対する標的型攻撃で使用されている。

  Greg Waltonが、NGOに送信されたチベット関連の標的型メールについて、詳細を発表した。同メッセージには「dns.assyra.com」へのテキストが含まれる。詳細はWaltonがここに書いている。AlienVault Labsのテクニカルレポートも掲載されている。

  今日のニュースで、我々のMacマルウェアアナリストの1人Brodが、Microsoftの「バックドアOlyx - はMac向けの任務を負うマルウェアか?」という記事を思い出した。この記事はMacとWindowsユーザをこの7月に標的とした、似たようなテーマの攻撃に関するものだ。

  我々はこれらの新しい脅威を、以下の物として検出している:

Exploit:Java/CVE-2011-3544.E — MD5: 6C8F0C055431808C1DF746F9D4BB8CB5, MD5: 453A3DC32E2FAFD39F837A1EBE62CA80
Backdoor:OSX/Olyx.B — MD5: 39084b60790ca3fdebe1cd93a4764819
Backdoor:W32/Poison.CE — MD5: 7F7CBC62C56AEC9CB351B6C1B1926265

  昨日のJava緩和策に関するMac関連記事も読んで欲しい。








Wired UK:デジタル探偵

  Wired UKのGreg Williamsによるミッコのプロフィールが「wired.co.uk」サイトに掲載され、オンラインで読めるようになった

The Digital Detective

  同記事のiPad/プリント版で使用されている、非常に素晴らしいオンラインギャラリーもある。








フィンランドで出回っている有料サービスに関するSMSスパム

CERT-FIが、有料サービスへの申し込み確認に関し、GTradeIncから送信されたSMSメッセージについて警告している。これらのメッセージは明らかに、そのようなサービスに申し込んでいないか、Facebookや電話番号を必要とする他のキャンペーンに登録していない人々に、ランダムに送信されている。

  このSMSメッセージは以下の内容を含んでいる:Mainoskirje aktivoitu. Saat 3 mainosta/vko. Hinta 20e/kk, veloitetaan puhelinlaskussasi. Peruuta milloin tahansa ilmaiseksi, tekstaa: TXT5 PERU numeroon 17163.

  簡単に英訳すれば、広告キャンペーンにより登録者は週に3つの広告を受けとる、価格は月額20ユーロで、キャンセルはいつでも無料で行える、というような内容だ。

  実際の支払いの同意が成されているのか、実際に請求書を受けとることになるのかは不明のままだ。また、キャンセルのメッセージには、実は5ユーロかかるという主張もある。17163は有料SMS枠にあるため、可能性はある。

  CERTによると、支払い請求はユーザの承認無く行う事はできない。よって、GTradeIncに連絡しようとはせず、メッセージを無視し、もし携帯電話の明細に余分な請求があったら、修正を申し立てることだ。

  しかし、携帯電話会社に連絡して、GTradeIncと支払い合意が成されていないことを確認する方が賢明だろう。

ZeuS:いつか素晴らしいフィンランド語話す

  二、三ヶ月前、ここ、フィンランドであまりにも礼儀正しいZeuSの亜種が出回った。フィンランド語のローカライゼーションはかなり良かったのだが—エラーメッセージ内に「Suo anteeksi」を使用しており…これはソフトウェアではあまりお目に掛からないものだった。

  我々はZeuS亜種内で(フィンランド語だけでなく)適切なローカライゼーションを確認し続けている。あきらかに、悪党連中の一部は、我々が以前は予想していたローカライゼーションレベルであるGoogle Translateから進化している。

  しかし悪党はまだ基本的な間違いをおかしている。ZeuSのある亜種(現在出回っている)には、ローカライズ版でフィンランド人の名前が含まれている。「Welcome Bank Customer」と述べるのではなく、このトロイの木馬は「Welcome 誰それ」と、人名を表示しているのだ。

  以下は、標的とされている銀行の一部だ。

zeus configuration, bank list

  Javaアプリケーションを使用する銀行向けに、このZeuSは入れ替えを試み、アプローチを模倣しているように見える。(我々の分析は進行中だ)

  コンフィギュレーションファイル(スクリーンショットはそこからとられた)をホスティングしているサーバはオフラインとなっているため、この亜種は感染可能だが、そのCommand & Controlサーバの位置をダウンロードすることはできない。残念ながら、先週感染したコンピュータはみな、多くの重複したサーバ名を含むコンフィギュレーションファイルをダウンロードする。

  しかし幸いなことに…過去に我々が協力した銀行の大部分が、バックエンドシステム上で広範なトランザクション制御を行っている。よって、ZeuSトロイの木馬が感染したコンピュータで誰かのアカウントから資金を移動するのは、それほど単純なことではない。

  最良のアドバイス:感染を避けるため、コンピュータソフトウェアをアップデートすること。また、無計画にWeb検索を行わないことだ。ネット上には、障害が起きたサイトが数多くあり、何かを検索する際に罠に落ちる可能性が高い。

  感染してしまった人への最良のアドバイス:パニックを起こしてはいけない。オンラインバンクアカウントに、何かいつもと違ったところがあったら、悪党をブロックするのに遅くはない。銀行のカスタマサポートに電話すれば、手を貸してくれるだろう。








目下のMacマルウェア

我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod








ジョーのガレージ(SMB):RDPにやられる可能性が最も高い

  先週、我々はMicrosoftのアップデート「MS12-020」をすぐに適用するよう読者の皆さんに助言した。実行された方は — 結構。そしてまだパッチを当てていない方は — 引き延ばしてはいけない。

  「MS12-020」がリリースされて以来、Remote Desktop Protocol(RDP)脆弱性を「兵器化」しようとする慌ただしい動きが続いている。エクスプロイト競争は進行中で、しかも全速力で進んでいる。ラボのアナリストTimo Hirvonenは、Twitterアカウントでこの状況を追跡している。

This security update resolves two privately reported vulnerabilities in the Remote Desktop Protocol.
Microsoft Security Bulletin MS12-020 - Critical

  では…このRDPバグで、どれほどのコンピュータが影響を受ける可能性があるのか?

  研究者のDan Kaminskyがインターネットをスキャンし、無防備なコンピュータは数百万におよぶと概算している。

Extrapolating from this sample, we can see that there's approximately five million RDP endpoints on the Internet today.
RDP and the Critical Server Attack Surface

  何をすべきだろうか?

  Lenny Zeltserが、以下のようにアドバイスしている。

Understand what systems in your environment expose RDP to the Internet. Create a plan to apply the MS12-020 as soon as practical.
The Risks of Remote Desktop for Access Over the Internet

  我々の(企業)読者の大部分は、おそらく既にこの問題に対して行動を起こしているだろう。

  コンシューマ(ホームユーザ)は一般にRDPをオンにしていない。

  では…残るのは? 中小企業だ。

  Casey John Ellisが指摘するように、Remote Desktopは委託IT業者によって非常によく使用されており、小規模企業の経営者はそれが使用可になっているとは思ってもいないかもしれない。

RDP is usually enabled by I.T. contractors without explanation to the business owner
Why Small/Medium Businesses are at the Greatest Risk from the New Microsoft RDP Bug

  我々もEllisに同意せざるを得ない。中小企業はかなりのリスクにさらされている。幸いなことに、Ellisと友人は小規模企業の経営者がリスクにアクセスするのに使用できる、役に立つツールを提供している。「RDPCheck」だ。

  RDPCheckを使用するには、「rdpcheck.com」にアクセスして欲しい。そこから、自分のIPアドレス上で脆弱性のスキャンを開始することができる。

Identity Theftのトレンド

 みなさんこんにちは、Rakuten-CERTの福本です。今日は、Identity Theftについて。

 警視庁のサイバー犯罪対策のHPで、「平成23年中の不正アクセス行為の発生状況等の公表について」という資料が公開されていますが、その別紙に(おそらくどこかで不正に入手した)アカウントリストを使った不正ログイン攻撃についての記載があります。

ID

 おそらくなのですが、どこかのサイトで漏洩したID/パスワードのリストが流通していて、攻撃者は他のサイトでも不正に使えないか試しているようです。実際、僕たちのサービスも、どこかで情報漏洩のインシデントが発生すると不正ログイン試行の件数が急に跳ね上がったりします。これは攻撃者が最初に、対象サイトでログイン可能なアカウントリストを作成するために不正ログイン試行をしているようで、そしてリスト作成後に違うIPアドレスからログインしてこっそり不正を試みるわけです。(ちなみに楽天では独自開発した検知ロジックがあって、不正と判定されたらパスワードが初期化されます)

 さて、侵入率が6.7%という数値をどうみるか。これはかなりの成功率だと思うので、攻撃者側の経済合理性を想像すると不正ログインによる被害は今後増えていくのではないかと思っています。他社で漏れてしまったID/パスワードが自社の脅威となる状況なので、新たな対策を考えなければならないですね。

WordPressページがロード中…エクスプロイトを

  WordPress.orgが再び、標的にされており、今回は大して洗練されていないものの、感染は現在も、インターネットユーザーが慎重を期する足りるほど広まっている。

  スパムはキャンペーンのドライバのようだ。すでにさまざまなWebサイトが、Blackholeエクスプロイト・キットにリダイレクトしていることが分かっている。障害の起きたWebサイトは訪問すると、以下のページのいずれかを表示する:

tuit html

quick html

opek html

irta html

company html

aic html

  シンプルで無防備… しかし実際、美しく作成されたWebサイトが普通である時代に、これら偽サイトは本物と考えるにはあまりに質素だ…

  そして実際、これらは本物ではない…

Browsing Protection Result

  現在、これらのサイトはBlackholeエクスプロイト・キットをホスティングする、以下のドメインにリダイレクトされる:

  •  georgekinsman.net
  •  icemed.net
  •  mynourigen.net
  •  synergyledlighting.net
  •  themeparkoupons.net

  皆さん、何をクリックしているのかに用心して欲しい。安全なブラウジングを!

Threat Insight post by — Karmina

「CVE-2012-0002」に関するMicrosoftのガイダンス

  第一に:Microsoftのリモートデスクトッププロトコルは、デフォルトではWindowsで使用不可となっている。そのため大部分のコンピュータは、今月の「パッチ・チューズデー」が強調している問題に影響を受けない。しかし:もしRDP対応ワークステーションを管理しているなら—「CVE-2012-0002」に関するMicrosoftのSecurity Research & Defenseの記事を読んだ方が良いだろう。

CVE-2012-0002

  「CVE-2012-0002」は、Microsoftに非公式に報告されたもので、イン・ザ・ワイルドであるという報告はない。しかし、パッチがリバースになるのは時間の問題であり、この脆弱性は悪用可能だ。

  よってMicrosoftの記事を読み、スケジュールを立て、テストし、配備すること。そしてすぐにでも実行することだ。

見つかったものは:SpyEyeマニュアル

  これを「驚いてはならない」フォルダにファイルして欲しい。

  今朝、現在SpyEyeのリサーチを行っている我々のアナリストの一人が、新しいコンポーネント名に遭遇した。そして彼はそのコンポーネントをGoogleで検索した。

  そして発見した…SpyEyeマニュアルのコピーを:

SpyEye Manual

  彼が見つけるのを予期していたものでは無い…

  だが、Web上にこのようなものがゴロゴロしているのを見つけるのは(悲しいことに)それほど驚くべきことではない。

OWASP Japan 1st Chapter Meeting

 みなさんこんにちは。Rakuten-CERTの福本です。

 この度、日本のWebアプリケーションセキュリティのために有志が集まってOWASP Japanが立ち上がり、待望の第1回のLocal Chapter Meetingが開催されることになりました!!楽天もOWASPのメンバーシップにOrganization Supporterとして加入をし、微力ながらOWASP Japanの活動をお手伝いさせて頂いております。

 今回のスピーカーはかなりの豪華メンバーですよ!そして、予想をはるかに超える勢いですぐに満席になってしまいました。多くの人がOWASP Japanを待ち望んでいたんですね、きっと。


 当日、みなさんと会場でお会い出来るのを楽しみにしています(笑)
 また、今回、満席で参加出来ない方はすいません。。このイベントは定期的に開催するので、また次回の機会に!あと、セキュリティエンジニアの方だけでなく、ディベロッパーの方も大歓迎ですよー。

ローカライズされたランサムウェアでフィンランド人が標的に

ここ数日、我々はフィンランド語にローカライズされ、フィンランド警察からのものだと称するランサムウェアが、フィンランド人を標的にしているという報告を受けとっている。

  問題のランサムウェアは、我々が「Trojan:W32/Ransom」と呼んでいるファミリーの一部で、ヨーロッパの数カ国でローカライズされている:ドイツ;英国;スペイン;そしてフィンランド。全ての国で、このソーシャル・エンジニアリング手法は同一だ。感染すると、同ランサムウェアはInternet Explorerをフルスクリーンに拡大(F11)し、地元の警察部隊からとして、ユーザのコンピュータが幼児虐待および動物虐待を含むサイトをブラウジングするのに使用されているというメッセージを表示する。また、テロリズムに関連するトピックの電子メールスパムを送信するのにも用いられており、罰金を支払うまではロックされるとも主張する。

kuvakaappaus
Image: Poliisi

  このケースでは、ランサムウェアは「Tietoverkkorikosten tutkinnan yksikko」、翻訳すると、情報ネットワーク犯罪ユニットからのものだと主張する。しかしフィンランド警察には、このような名称のユニットは無い。また、フィンランド語のクオリティもあまり高く無く、連絡先が「cyber-metropolitan-police.co.uk」となっていることも注意すべきだ。更に調査したところ、「cyber-metropolitan-police.co.uk」ドメインは、ポーランドのGette居住の架空の人物「be happy」氏に登録されていることが分かった。何とも信頼できそうなことだ。

  フィンランド語の身代金メッセージは、 Paysafecardを使用して支払いするよう求めている。これは匿名のオンライントランザクションで使用できる使い捨てのプリペイドカードだ。フィンランドのキオスクで全国的に販売されている。

  「エフセキュア インターネット セキュリティ」はTrojan:W32/Ransomの既知の亜種を、ファミリーネームもしくはジェネリックディテクションネームで検出するが、いつものように、注意した方が良い。我々のバックエンド統計は、これが確かに「liikkeella」(イン・ザ・ワイルド)であることを示しているのだ。

  このトロイの木馬の最初の感染ベクタは、JavaランタイムエクスプロイトかAdobe Acrobat PDFリーダーエクスプロイトだったが、使用されている新規の(ゼロデイ)エクスプロイトについての情報は無い。

  よって安全を守るには:

1. Acrobat PDFリーダーを最新版にアップデートするか、他のPDFリーダーにスイッチすること。
2. Javaランタイムをアップデートする。あるいは、Javaが必要ないなら、アンインストールするのが非常に望ましい。Javaが必要ならば、少なくとも使用していない時はブラウザで使用停止することを考えて欲しい。もしくは、Javaが未知のサイトから実行される前に知らせてくれるGoogle Chromeにスイッチしよう。

  もしランサムウェアによりコンピュータに障害が起きているなら、マルウェアの作者に一切支払をしないこと。ほとんど全てのケースで、支払をしたところでコンピュータは解放されないのだ。また、フィンランド警察も、世界のいかなる警察も、罰金の支払いにPaysafe、Ucash、あるいはその他のプリペイド請求システムを使用することは無い。もしメッセージが、クレジットカードもしくはその他の支払い方法を求めた場合は、ほぼ間違いなく詐欺であり、本物の政府職員では無い。

リンク:

  •  フィンランド警察の勧告 08.03.2012
  •  フィンランド警察の勧告 09.03.2012
  •  Cert-FIの勧告

Androidマルウェアの防御に関するAV-TESTの結果

  AV-TESTが今日、「Android向けアンチマルウェア・ソリューション」レポートを発表した。

  テストされた41製品のうち—我々がトップランクに入った事を光栄に思っている!

AV-TEST, Android 2012-02

  AV-TESTは現在もテストの手順を改良しているところなので、直接のランキングは発表していない。

  しかし、www.av-test.org/en/tests/androidで入手できる詳報をダウンロードすれば、テストされた全てに関する検出率で、我々に匹敵するのはわずか1つのベンダーに過ぎないことが、図5から見て取れるだろう。

  そしてAV-TESTのレポートが興味深いと思われたら、我々の「Mobile Threat Report, Q4 2011」もダウンロードして頂きたい。

  では!

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード