エフセキュアブログ

2013年09月

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

オンライン詐欺から身を守るためのヒント

全世界で10人に1人以上の割合でオンライン詐欺による金銭的被害を経験していることがエフセキュアの最近の調査で明らかになりました。この調査では、ユーザのオンラインの安全性に対する懸念が浮き彫りになっています。また、同調査では、デスクトップおよびノートパソコンが、オンラインに接続するにあたって最も危険なデバイスであると考えられていることがわかりました。
オンライン詐欺による金銭的被害を経験している人の割合は、ヨーロッパで12%であるのに対し、ヨーロッパ以外では17%となっています。ヨーロッパで最も高いのは英国の17%で、ヨーロッパ以外では、米国およびマレーシアが最も高く、両国とも20%となっています。

オンライン詐欺から身を守るために、次のようにご注意ください。

・ 英数字や特殊文字を組み合わせて、アカウントごとに異なるパスワードを使用する。
・ 確実に信頼できるサイトの、URLに「HTTPS」が含まれているページにのみ、個人情報や金融関係の情報を入力する。
・ 共有のパソコンや公共の場にあるパソコン上、または公共のWiFiを経由したオンラインショッピングやオンラインバンキングは回避する。
・ 銀行などの機関を装ったフィッシング詐欺メールに注意する。
・ 不審なメールのリンクをクリックしたり、添付ファイルを開いたりしないようにする。
・ ブラウザおよびソフトウェアを必ず最新の状態に維持する。
・ お子様がいるご家庭は、お子様がクリックする場所に気をつける。多くの「罠」は、お子様の興味を引くように設計されています。
・ 現実にはありえないようなできすぎた話に注意する。
・ 銀行やクレジットカードの取引明細を定期的にチェックして、見覚えのない取引がないか確認する。
・ エフセキュアをはじめとする信頼できる会社のインターネット セキュリティ ソフトウェアを使用する。エフセキュア インターネット セキュリティは、ご利用のパソコンとネットライフに最高のセキュリティを提供し、ウイルス、スパイウェア、マルウェアをブロックして、オンライン バンキング、オンライン ショッピングやネットサーフィン中も保護します。体験版は無料でご利用いただけます。

なお調査結果の詳細はこちらをご覧ください。
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1125080/

2013年上半期の脅威レポート

 当社の2013年上半期の脅威レポートが、Webで公開された。

F-Secure Threat Report H1 2013

 過去のレポートと同様に、こちらからダウンロードできる。

コンシューマ向け「エフセキュア インターネット セキュリティ」提供開始

コンシューマ向けのセキュリティ製品「エフセキュア インターネット セキュリティ」のご提供を開始しました。
日常のオンライン操作の安全性を高め、オンラインスパイの目からユーザのプライバシーを保護することに焦点を当て、ウェブのブラウジング、オンラインバンキングやショッピングを安全に行えるように、最新の機能が実装されています。




バンキングなどのプロテクション強化


Web ブラウザでインターネット バンキングの Web サイトを開くと、バンキング保護が自動的に有効になり、銀行の取引に関するセキュリティが強化されます。バンキング保護の有効時には次の通知メッセージが画面上に表示され、銀行サイト以外の接続はブロックされます。これにより、トロイの木馬や、その他のマルウェア (悪質なソフトウェア) がアカウント情報などの個人情報を搾取することを阻止できます。

Safe Profile

Safe Profile を使用することで Facebook のプロフィールが外部にどれほど公開されているか確認し、個人情報を保護できます。

ブラウザ保護

最新の「ブラウザ保護」では HTTPS で暗号化されたサイトが対応されています。これは、Facebook、Gmail、Twitter などの HTTPS を使用したサイトで表示されるリンクに対してもセキュリティがかかることを意味し、悪質なリンクや未成年ユーザに対して望ましくないコンテンツを阻止できます。

エクスプロイトプロテクション

ふるまい検知の最先端テクノとジーであるディープガード5は、よく悪用されるプログラムのプロセスをモニターし、エクスプロイトの試みを示す悪質なマルウェアをブロックします。ゼロデイ攻撃のように必ずしも脆弱性が認知されていないような場合で阻止します。

「エフセキュア インターネット セキュリティ」の詳細はこちらをご覧ください。
http://www.f-secure.com/ja/web/home_jp/internet-security?icid=854#features

ダウンロード版のご購入および30日間無料評価版のダウンロードはは、以下のオンラインストアでご提供しています。
http://www.f-secure.com/ja/web/home_jp/internet-security#price-info

iOS 7の、セキュリティを喚起するもの

 アップル社のiOS 7が昨日リリースされた。

 そして、セキュリティを喚起する、新たなすばらしいものがある。

iOS7_Microphone_Prompt
@WeldPond

iOS7_USB_Prompt
@mikko

 もし他に見かけたら、@FSecureにつぶやいてほしい。

IEの脆弱性でリモートコード実行が可能に

 どのような種類のWindowsシステムであっても、あなたがその管理者であるなら、Microsoft Security Advisory (2887505)は、おそらく必読だ。

Microsoft Security Advisory for CVE-2013-3893

 Internet Explorerの全バージョンに影響がある。

 マイクロソフトは現状「特にInternet Explorer 8および9を狙った、限定的な数の標的型攻撃」について認識している。攻撃における限定的という性質が、近い将来、変わる可能性は大いにある。エクスプロイトキットの提供者が今まさに、その脆弱性に基づいたエクスプロイトを追加サポートするように動いているからだ。当社では、そのようなエクスプロイトの検知がすでに進行している。

 一方、マイクロソフトはFix itツールをリリース済みで、パッチがリリースされる前の潜在的な攻撃を軽減できる。

脆弱性バウンティハンターが東京に集合? Mobile #Pwn2Own 日本で開催

  脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。

9.18のサイバー攻撃に関しての補足的情報(追記)

恒例の918サイバー攻撃の時期が近づいていますが、対策は万全でしょうか。
概要はニュースなどで報道されていますので、内容は割愛させて頂きます。

さて、報道にもありましたように9/18に向け、今年も紅客(ほんくー:中国のハクティビズムのグループの総称)らより攻撃の標的リストが公表されています。
しかし、残念ながら必ずしもこれらのリスト通りに攻撃が行われるわけではありません。
一部の攻撃者らはGoogleなどの検索エンジンを利用することで、標的を絞っています。つまり、攻撃者らの検索結果として表示されたウェブサイトは攻撃対象となる可能性がある、ということになります。
そういった意味では、リストに記載されていない組織においても警戒をしておくに越したことはない、と言えます。

標的リスト例


では、攻撃者はどのような文字列を検索し、標的を絞っているのでしょうか。
例えば、ある紅客はSQLインジェクションの標的を絞り込むために、次のような文字列を利用しています。
site:.jp inurl:php?id= site:.jp inurl:asp?id=
結構、大雑把に検索していることが分かります。とりあえず、リスト化して攻撃しようということなのでしょう。
このような検索文字列に関しての情報は、9月に入り日本への攻撃を示唆する内容と共に複数確認されています。
他の検索文字列として次のものが紹介されています。(9/18の攻撃と直接関連するかは分かりませんが、、、)

google hacks
※「inlitle:」は「intitle:」のtypoかと思われます。

他にも様々な検索文字列により検索されることが推測され、多くのウェブサイトが攻撃対象となる可能性があります。そういった意味では、これらの検索結果に、自身のウェブサイト上の脆弱点が表示されていないか、など事前に確認しておくことは攻撃対象から逃れる点では、有効な対応策の1つと言えます。

ちなみに、これらの検索結果にはWordpressなどのCMSの情報も含まれています。メジャーなCMSは脆弱性も多く報告されていることから、標的となる可能性が高いと考えられますため、確実に対策を実施してください。
※WordpressやMovable Typeに関してはIPAからも注意喚起がされていますので参照ください。
http://www.ipa.go.jp/security/topics/alert20130913.html

尚、Google Hackingはキャッシュから調査しています。そのため、標的の絞り込みの段階でウェブサーバに対して明らかに攻撃と判断できる通信は発生しません。

実際に日本組織を狙った大規模なサイバー攻撃があるかは分かりません。しかし、毎年恒例のことですので、避難訓練のつもりでエスカレーション・チェックなどを実施しても良いかと思います。
現在のところ、DDoS攻撃や多数のウェブサイト改竄などの目立った動きが報告されていませんが、目立った情報が得られましたら随時追記していきたいと思います。


【追記 9/18】
複数のウェブ改竄が確認され始めました。
ウェブサーバのコンテンツに日本を挑発するようなファイルがありましたら、侵入されている可能性大です。
例えば、Fuck-JP.html などです。
念のため、不審なコンテンツが追加されていないか確認されることを推奨します。

1937CnTeam

ちなみに、記載されている内容は満州事変とは直接関係のあるものではありません。


9月23日:脅威レポートのWeb放送

 近日発表予定の脅威レポートに基づいたWeb放送を9月23日に行うので、是非ご参加を。


参加へのお誘いと詳細情報

 #WWPYというハッシュタグを使って、@mikkoに質問をツイートしてほしい。

 (我々の一部スタッフのように)Googleアカウントを持っていなかったら、終了後にYouTubeにてWeb放送が視聴できる。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

この10年の脅威環境の変化 - その3 (最終回) -

この10年ほどで起きた脅威環境の変化についてお伝えする3回目です。

標的型攻撃が検出を困難に

標的型攻撃には、不明確なエクスプロイトと配信のメカニズムが含まれる場合があります。
これらの攻撃は通常、狙った被害者が興味を持つトピック、よく使用するオペレーティングシステム、使用しているセキュリティプログラムを考慮し、彼らのプロフィールに合わせて慎重に細工されたドキュメントまたは実行可能ファイルを使用します。
このような攻撃が持つ極めて特有な性質により、従来のシグネチャベースの検出では検出は特に困難です。

クリーンなプログラムを識別することがさらに重要に

グローバルに流通しているクリーンまたは悪意のないアプリケーションは何百万本にも及び、通常のユーザが一度に精通できる数をはるかに超えています。
プログラム数の多さ、インターネットからの入手し易さ、プログラムのアップデートを常に把握しておく必要性を考えると、セキュリティソリューションがユーザ主導によるローカルのホワイトリストおよびブラックリストのみに頼ることだけでは適切な保護を提供できなくなっています。
一般的なコンピュータで使われているプログラムの大半はクリーンであるため、悪意のないソフトを正しく識別することが、本当に有害なプログラムを特定し、それに対処するための大きな一歩です。
セキュリティプログラムのパフォーマンスを最適化し、さらに、ユーザエクスペリエンスへの影響を最小限に抑えるために、クリーンなファイルに対する誤検出を排除することも重要です。





結論:プロアクティブな防御の必要性


今日のますます複雑になっているコンピューティング状況と、流動的な脅威環境がもたらすさまざまな問題を考えると、今や、従来のシグネチャベーススキャンは、エンドポイントセキュリティへの多層的なアプローチのわずか一層に過ぎません。
クラウドベースファイルとWebレピュテーションチェック、HIPS(ホスト型侵入防止システム)、動作分析は、最新のプロアクティブ保護システムに不可欠な構成要素となっています。

この10年の脅威環境の変化 - その2 -

この10年ほどで起きた脅威環境の変化についてお伝えする2回目です。

頻繁に標的にされる人気ソフト

ほぼすべてのソフトで脆弱性は見つかる可能性がありますが、サイバー犯罪者やその他の攻撃者が特に関心を持つのは、Javaランタイム環境(JRE)、Adobe Reader、Microsoft Office、ウェブブラウザなどの人気アプリケーションの脆弱性です。
これらのプログラムにはユーザが数百万人いることから、主要ターゲットにされています。

これらのアプリケーションの多くには既知の脆弱性が複数存在しますが、ほとんどがベンダーからリリースされたセキュリティパッチで修正されます。
しかし修正プログラムを開発し、影響のあるすべてのコンピュータに展開するまでの間は、ユーザのコンピュータは脆弱なままです。
さらに、まだパッチが公開されていない、新しい脆弱性やゼロデイ脆弱性が定期的に見つかっており、ユーザにつけ入るスキが生まれてしまいます。


エクスプロイトキットによって攻撃が容易に



BlackHole、Cool Exploit、Sweet Orangeなど、商用グレードのエクスプロイトキットの出現により、攻撃ウェブサイトを訪問してから数秒以内にユーザコンピュータのスキャンおよびエクスプロイトプロセスを自動化することが可能になりました。
これにより、サイバー犯罪者が新たな被害者にマルウェアを感染させるために必要な技術的専門知識のレベルが大幅に下がっています。
エクスプロイトキットによって、脆弱性の悪用がニッチ的活動から一般的な攻撃へと変貌しました。エクスプロイト型の方法で配布されたマルウェアの数が増えたことをきっかけに、マルウェアがコンピュータに侵入する前にインストール済プログラムの脆弱性を悪用する試みをブロックできる、オンホストセキュリティソリューション
が求められるようになりました。

郵便局での諜報活動

 実際に役立つ歴史の知識は、極めて重要だ。なぜなら文脈がすべてだからだ。

 最近の米国NSAや英国GCHQの驚くべき新事実に興味をお持ちの方が、歴史学者Jill Leporeの以下の記事を読むべきなのは、これが理由だ。

The Prism, Jill Lepore

 The Prism: Privacy in an age of publicity(公開時代のプライバシー)

 ケシの実、毛束、そして砂粒を用い…、それから手紙を自身に送り、自分が見張られて いるかを特定するんだって?

 Giuseppe Mazziniは、当時における「ハッカー」だったように思える。

この10年の脅威環境の変化 - その1 -

この10年ほどで起きた脅威環境の変化について、3回にわたってお知らせします。
なぜプロアクティブな防御が必要か、ご理解いただけましたら幸いです。

マルウェアの急激な増加

悪意のあるプログラムの生成プロセスを自動化したマルウェア作成キットが初めて広く利用可能になった2000年代半ばから、アンチウイルスラボで見つかるマルウェアのサンプル数が爆発的に増加しました。
毎月数十万個の新種や亜種が生み出され、増殖しています。数が圧倒的であるだけでありません。
これらの亜種の多くは、莫大な数量でアンチウイルスプログラムを圧倒することを目的に、数日または数時間という短期間だけ生き残るよう設計されています。

オンラインに移行する攻撃

マルウェアが電子メールの添付ファイル経由で配布されるのが一般的だった時代は過ぎ去りました。
今日、最も一般的な攻撃方法は、侵害された正当なサイトや、検索エンジンまたは侵害されたサイトからトラフィックをハイジャックする悪質サイトを訪問している間に、密かにダウンロードが行われる「ドライブバイダウンロード」です。
マルウェア配布者や攻撃者は、標的とするコンピュータへの直接配信から広範なオンラインの世界に移動することで、ターゲットオーディエンスを増やしているだけでなく、感染の防止をますます難しくしています。
攻撃サイトを特定し、ユーザがそのサイトを訪問することを防ぐメカニズムがなければ、攻撃が発生したという明白な兆候もなく、ユーザのコンピュータが食い物にされてしまいます。

マルウェアがサイバー犯罪ツールに変化

感染による影響も、組織犯罪者達がサイバー犯罪に手を染めるようになってから変化してきました。
最近のデータ・個人情報の盗難、金融詐欺はすべてマルウェアが絡んでいる犯罪行為です。
被害額が驚くべき額に昇ることもあります。
たとえば、米国連邦捜査局(FBI)は、2012年上院公聴会で、2011年のゴーストクリック作戦で壊滅させたクリックボット詐欺で、1400万ドルもの「不正利益」が上げられていたことを報告しています。
ほとんどの関係当局には、サイバー犯罪者を摘発するリソースやサイバー犯罪を訴追する政治的意志が欠けています。
そのため、サイバー犯罪者にとってオンライン上での活動を続け、さらにそれを改善していくための強力な金銭的インセンティブが存在します。

Facebookの友達の友達への情報公開を制限する

 昨日、フォーブス誌のレポーターKashmir Hill氏が、私の頭にも何年もある疑問を投げかけた。

Forbes, Kashmir Hill, Friend of a Friend

 Why Doesn't Facebook Show You What A 'Friend of a Friend' Sees On Your Profile?(「友達の友達」があなたのプロフィールで何を確認できるのかを、Facebookはなぜ示さないのだろうか?)

 この疑問はFacebookの、アカウントを確認する際に使える「プレビュー」機能を指している。そして得られた回答は、かなり驚きだ。FacebookのCPO(chief privacy officer)Erin Egan氏によれば「当社では、これまで本件についてご意見を頂いたことはありません」とのことだ。

 ご意見なし!?もしそれが本当なら、Facebookではわざわざ誰かに尋ねてみたことなんてないとしか、考えられない。

 家族や友人がFacebookについてアドバイスを求めてくるとき、私は頻繁にこの質問を受ける。「友達ではない人のコンテンツを見ることができるが、そうした人からは、私のタイムライン上の何が確認できるのか?」そしてFacebookには完全な確認ツールが揃っているわけではないので、私は「過去の投稿を制限」ですべてリセットすることを大概勧めている。

Facebook Settings, Limit Old Posts

 このオプションは、タイムラインの過去の全コンテンツを「友達」のみになるようにリセットする。この時点で確認する必要はなく、以降公開されるもの以外、友達の友達は一切見られなくなる。「過去の投稿を制限」は、歯車型のアイコンから「プライバシーの設定」をクリックすると見つかる。

 つい先日、ご近所さんがヘルシンキにあるファッジの店(訳注:ファッジはお菓子の一種)のページを設定する際に、私は手助けをした。そして、多数の写真が、友達の友達に公開されている(iPhoto)アルバムの中に置かれていることが分かった。そのアルバムに子供たちの写真があることを考えれば…、「過去の投稿を制限」オプションは必須だ。

 プレビューオプションの追加は大歓迎だ。そして、友達以外の人から見える写真を示すレビューページについても、Facebookは検討すべきだ。
 
Post by — ショーン

VDIなど仮想環境に特化した新しいソリューションのベータ提供開始

昨今、仮想環境の普及に伴い、サーバおよび端末共に仮想環境下でのセキュリティ対策が求められています。エフセキュアでは、このような仮想環境の利用頻度の広がり、特にVDI市場の成長に対して、より仮想環境に適した方式でのセキュリティソリューションが必要になると考え、仮想環境に特化したセキュリティソリューションSecurity for Virtual and Cloud Environment  (SVCE) のベータ版の提供を開始しました。

リソース競合問題の解決

仮想環境でアンチウイルス製品を使用する場合、一般に「AVストーム」や「ブートストーム」などと呼ばれるリソースの競合が問題となる場合があります。SVCEでは、各仮想端末で更新するパターンファイルの量や、スキャン時のリソース使用量を減らし、この問題を解決します。

検知率低下問題の解決

アンチウイルスソフトウェアを仮想環境で使用した場合、一般にマルウェア検知率は低下することが知られています。SVCEでは、検知率を保ちセキュリティ性能を損なうことなくご利用いただける製品を目指しております。

ベータ・テスト・プログラムへの参加方法など詳細はこちらをご覧ください。

米国はシリアを「サイバー攻撃」するだろうか?

 紛れもなく不穏な時代の象徴は、何に見られるだろうか…。

 我々が尋ねられてきたのは、シリアの化学兵器の使用に対する「慎重な軍事的対応」にサイバー兵器は含まれるか、という点だ。

 そのはずだと思う人がいる。

seattletimes.com/html/opinion/2021755761_johnyoderopedsyria05xml.html

  •  Guest: U.S. should launch a cyberattack on Syria(特別寄稿:米国はシリアにサイバー攻撃をしかけるはずだ)
  •  How the US Could Cyber Attack Syria, Too(いかに米国はシリアへのサイバー攻撃をもなし得るか)
  •  US may launch cyber attacks on Syria: Experts(米国はシリアにサイバー攻撃を仕掛けるかもしれない)
  •  US likely to wage cyber attacks against Syria(米国はシリアに対するサイバー攻撃を遂行し得る)

 はず。かもしれない。し得る。

 我々は懐疑的なままだ。

 そしてもし読者も同じく懐疑的なら、お勧めの本を挙げさせていただく。

Cyber War Will Not Take Place

 CYBER WAR WILL NOT TAKE PLACE(サイバー戦争は勃発しない)Thomas Rid著。

 しかし、このお勧め書籍だけを取り上げるのではなく、最低でも次のレビューは読んでほしい。

reason.com/archives/2013/08/16/cyberwar-is-mostly-bunk

 Cyberwar Is Mostly Bunk(サイバー戦争は大半がたわごと)Ronald Bailey。

米国の監視について欧州議会自由権委員会にて

 欧州議会の自由権委員会が、米国の監視に関する審議中の問題について、一連の聴聞会の初回を開催する。

 以下が第1回の議題だ。

LIBE_Committee

ネット放送へのリンク:Committee on Civil Liberties, Justice and Home Affairs(自由権委員会)

もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら

福田和代さんが執筆した「サイバー・コマンドー」というタイトルの小説が発売になりました。

サイバー・コマンドー

DEFCON CTF優勝経験者が防衛省サイバー防衛隊に入り、日本を巻き込んだサイバー戦争に立ち向かうというストーリーです。
CTFに関しては、なぜ自分がCTFをやるのかといった心意気からどうでもいいコネタにいたるまでを私が入れ知恵し、防衛省に関しては、元陸自システム防護隊初代隊長の伊東さんがアドバイスしていますので、妙にリアルな内容になっており、業界の人ならニヤリとするネタが満載です。
もちろんネタだけじゃなくて、今後起こりうるサイバー戦争のシュミレーションとしても価値のある一冊です。

プロモーションビデオもあるようです。

ZeroAccessの防御を破る

2010年に初めて報告されたZeroAccessルートキットを使用することで、リモート攻撃者がユーザのコンピュータをハイジャックし、クリック詐欺とBitcoinマイニングを実行するボットネットにユーザを追加することができます。現在、ZeroAccessはユーザ環境で最も頻繁に検出されているマルウェアの1つです。

ZeroAccessの伝播戦略は、基本的にボットネットオペレータが、地下フォーラムでリクルートした「アフィリエイトパートナー」に配布をアウトソーシングするという驚くべきものです。アフィリエイトは、エクスプロイトキット経由、ファイル共有サービス上、スパム電子メールの添付ファイル形式、トロイの木馬ダウンローダのペイロードなど、複数の戦略をマルウェアの拡散に使用しています。配布方式の多様化により、ボットネットの地理的範囲を効果的に広げ、ユーザがZeroAccessマルウェアとの遭遇を回避することが難しくなっただけでなく、配布に使用されるチャネルが多岐に渡るため、マルウェアの拡散を抑制する取り組みが複雑になりました。

Google Earthで見るZeroAccessボットネットの地図


また、ZeroAccess開発者は長年にわたってルートキットを積極的に変更して分析と検出を混乱させ、アンチエミュレーションとアンチデバッギング、暗号化などの機能を組み込んできました。また、ボットネットオペレータと感染したコンピュータ間の通信をブロックできないように、高度なピア ツー ピア(P2P)コマンドと制御構造も導入されました。ZeroAccessの継続的な開発は否応なしに、マルウェアのエンジニアとアンチウイルス研究者の軍拡競争のようなものになっています。

ZeroAccessファイルが侵入してしまった場合(さらに初めて見つかった場合)、エフセキュアのディープガード・テクノロジの動作分析機能の出番です。マルウェアは技術的に洗練されているものの、どうしても無防備で脆弱性を伴う基本的な側面が1つあります。それは、マルウェアがコンピュータ上で実行する、悪質なアクションです。ディープガードは、ZeroAccessのルーチンに関する広範な研究結果に基づく検出ロジックを使用して、皮肉にも、マルウェアが自らを検出されないようとする試みを見分けることで、マルウェアを認識してブロックすることができます。

ZeroAccess亜種のケースで、ディープガードのプロアクティブな保護が実際に機能している様子を確認することができます。2013年1月22日の深夜にユーザ環境で発生した亜種を、サンプル1と呼びます。下記の図は、亜種が最初に発生したコンピュータによって報告された検出統計情報ですが、これからわかるように、ディープガードは製品において感染の試みを認識してブロックした最初のスキャンエンジンでした。その後まもなく、この特定のサンプルに関連した詳細情報でセキュリティクラウドがアップデートされ、続いて感染の試みを数件ブロックしました。それから24時間以内に、シグネチャ検出のアップデートがリリースされ、エフセキュア セキュリティ製品がシグネチャスキャンエンジンを使用してサンプル1を識別およびブロックしました。

ZeroAccessサンプル1の検出件数 2012年1月23〜25日


ディープガードの技術の詳細について、ホワイトペーパーをご用意しました。
ぜひこちらでご覧ください。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード