エフセキュアブログ

2014年02月

TrustyConの動画

 初の「Trustworthy Technology Conference(信頼できる技術カンファレンス)」TrustyConが昨日、サンフランシスコで開催された。そして、Google/YouTubeが無償で撮影スタッフを派遣した。すばらしい!今回のイベント全体はここで確認できる。



 ミッコのプレゼンは、15分45秒に始まる。

 他の講演者:Alex Stamos、Cindy Cohn、Marcia HofmannChristopher SoghoianJoseph MennBruce SchneierGarrett RobinsonYan Zhu、Chris Palmer、Dan Boneh、Steve Weis、Jeff Moss、Ed Felten

 TrustyConのアジェンダには詳細がすべて載っている。

 そしてEventifierには、関連するつぶやきや写真について一大コレクションがある。

最近気になるメモリ上の情報を狙ったPOSマルウェア

最近、BlackPOSなどのPOSマルウェアのニュースをよく目にします。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。

参考URL:
Point-of-Sale and memory scrappers

メモリ上には、暗号化されているような機微情報(パスワードやカード情報とか)もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。

bank_trojan

POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
#これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。

(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))

カードに関係する文字列:
  ・[0-9]{13,19} --- クレジットカード番号
  ・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
  ・(1[2-9])(0[1-9]|1[0-2]) --- YYMM(2012年〜2019年)
  ・[0-9\s]{3,50} --- CVC / CVV

このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。

メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど4月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。

このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。

最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。

参考URL:
What retailers need to learn from the Target breach to protect against similar attacks

POSシステムに限った話でもありませんので、参考になると思います。

雑文、失礼しました。


エフセキュア Linuxセキュリティ フル エディション / コマンドライン エディションの新メジャーバージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けセキュリティ対策の「エフセキュア Linuxセキュリティ フル エディション」および「エフセキュア Linuxセキュリティ コマンドライン エディション」の新しいメジャーバージョンとなる、Ver10.00をリリース致しました。Redhat Enterprise Linux6.5やCentOS6.5、Debian7.0、Ubuntu12.04などの最新のOSへ対応を行いました。

Linuxの利用は、WindowsやUnixの代替というだけでなく、クラウドの基盤としても増え続けています。Linuxの利用の増加で、そこを標的にするマルウェアや侵入などの攻撃が今後拡大することが懸念されます。Linuxのセキュリティ対策がOSの新しいバージョンに対応することで、新しいOS利用の一助となり、OS自身の最新のセキュリティ機能との相乗効果となることが期待されます。
なお本年後半には、新しい検査エンジンを搭載し、パフォーマンスと検知率の更なる向上を図った新バージョンのリリースも予定しています。

2種類のエディション

エフセキュアでは、用途に応じ2種類のLinuxサーバ保護ソリューションを提供します。いずれも、Linuxサーバへの不正侵入を防ぎます。

「エフセキュア Linuxセキュリティ フル エディション」は、Linuxへのマルウェア感染やLinuxを踏み台にしたマルウェアの拡散を防ぐだけではなく、外部からの改ざんを防ぐ機能を提供し、Linuxを総合的に保護します。ポリシーマネージャを利用した集中管理にも対応し、多くのサーバを少ないコストでしっかりと管理できます。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、Linux OSの管理者が親しみやすいコマンドベースのインターフェースを備えたアンチウイルス製品です。コマンドライン上で全ての操作を完了できるので、他のプログラムやシェルスクリプトから呼び出して使うことができ、ソフトウェア組み込みに最適です。

製品の詳細はこちらをご覧ください。

RSAのCoviello氏に伺いたい質問

 RSA会長Arthur W. Coviello氏は2月25日、RSA Conference 2014において基調講演を行った。

 同社は岐路に立っている、と同氏は述べた。

Arthur W. Coviello, RSA Conference

 そして世界の国々に対し、以下の原則に従うように呼びかけた。

— 1) 「サイバー兵器」の使用を放棄する、および交戦中の戦争にインターネットを利用することを放棄する

— 2) サイバー犯罪者に関する捜査、逮捕、起訴において国際協力を行う

— 3) 世界中でインターネット上の経済活動が束縛されずに進められること、ならびに知的財産権が尊重されることを保証する

— 4) すべての個人のプライバシーを尊重する

 以下が私のCoviello氏に対する質問。

 1) 流行の用語について。「サイバー兵器」の放棄とは、安易なリップサービスである。私の見解では、 サイバー戦争はたいがいは戯言だ(Cyberwar Is Mostly Bunk)。私はCoviello氏に、米軍が行っているような誇大に喧伝する用語を避けて、別のニュアンスの、情報を与えるような意見を持つことを提案する。

 Coviello氏は「サイバー兵器」の定義として、我々がすっかり放棄できるような実用的なものを提供できるだろうか?

 2) これは難しい議論だ。ただ…、Coviello氏が定義する「サイバー犯罪者」とは何だろうか?Aaron Swartz?CFAA法(Computer Fraud And Abuse Act)の改定に関して、Coviello氏の見解を伺いたい。

 3) インターネットの第一の目的が「束縛されない」経済活動を許容することであるとは気付かなかった。うーん…、これについてどのように解釈したらいいか分からない。世界が「アメリカ人」の知的財産権を尊重することを要求しているというのがほとんどのように見える。

 Coviello氏は著作権の改定を支持するだろうか?

 4) この点に関する質問はない。Coviello氏はこれを念頭に指揮を執ってきたはずだ。

 真面目な話。

—————

 #RSAC に出席して、これらの質問のどれかについてCoviello氏から直接言葉を引き出せた方に、予めお礼を述べておく。

 では。
 @5ean5ullivan

中小中堅企業(SMB)が知っておくべき セキュリティに関する10のヒント

サイバー犯罪者にとって、社内セキュリティチームを有する可能性の高い大企業よりも、むしろ相当な資産を保有しながらセキュリティ管理を行っていない中小中堅企業が絶好のターゲットとなり得ます。サイバー犯罪者の目的は金銭であり、それを簡単に手に入れられる方を選ぶからです。

パッチをすぐに適用する


ソフトウェア・メーカーは、製品に脆弱性が見つかると、修正パッチを開発し、それをすべての登録ユーザに送信します。この更新をスタッフに任せている企業もあれば、集中管理によって更新している企業もあります。いずれの場合もパッチはすぐに適用する必要があります。公開された脆弱性は、サイバー犯罪者がその存在を認識しているセキュリティホールであり、彼らは、パッチを適用しないケースが非常に多いことを知っています。すべてのコンピュータにパッチが適用されない限り、セキュリティ侵害から逃れることはできません。


Windows XP
を早急に変更する

マイクロソフトは
4月にWindows XPのサポートを終了します。XPに関しては、今後いかなる脆弱性も修正されません。つまり、これらの不具合を発見したサイバー犯罪者が、それを悪用してマルウェア経由で侵入することが可能になるということです。サイバー犯罪者は、これらの不具合の多くをすでに発見しているものの現時点ではそれを隠し、4月まで待ってから世界中にサイバー攻撃を次々としかける可能性が高いのです。被害を避ける唯一の方法は、サポートが終了する前にこのオペレーティングシステムを変更することです。Windows XPの後継のオペレーティングシステムは、セキュリティを優先して設計されているため、XPよりはるかに優れたものになっています。

モバイルおよびタブレットも保護が必要


サイバー犯罪者にとって、保護されていないモバイルデバイスも悪用の接点になります。一般の人々は、まだモバイルデバイスの保護という概念に慣れつつあるという段階です。だからこそビジネス用のデバイス上のデータ(連絡先、
Eメールなど)に犯罪者がアクセスし、さらにネットワーク上のデータが悪用される可能性を防止する必要があります。デバイスが会社から支給されたものであれ、個人所有のものであれ、これらすべてのデバイスでモバイルセキュリティを実行していなければなりません。

バックアップおよび同期


ここ
1年の間にランサムウェアの攻撃が相次いで起こっています。攻撃を受けると、ファイルまたはコンピュータが暗号化されたことを告げるメッセージが画面上に表示され、アクセスの復旧と引き換えに金銭を要求します。このような攻撃に備えて、自動的にすべてのコンテンツのバックアップを取っておくことをお勧めします。

最新のアンチウイルスソフトウェアを使用する

新たなマルウェアがコンピュータまたはモバイルデバイスへアクセスしようとしていることが検出されると、そのマルウェアは隔離され、検査および解読のためにアンチウイルスラボに送られます。ウイルスのシグネチャが確認されると、将来この新たな脅威からユーザを保護するため、ソフトウェアの各登録ユーザに送信されます。最新のアンチウイルスソフトウェアがなければ、このような保護は受けられません。


クラウド環境および仮想環境も確実に保護する


仮想化技術は、パフォーマンスの向上と費用削減のために、中小中堅企業でも一般的なものになっています。これらの環境を保護することもまた、個々の企業情報に対する不正なアクセスを防ぐために重要です。


従業員にプライバシースクリーンフィルタを配布する


プライバシースクリーンフィルタは、ノートパソコンの画面上、またはモバイルデバイスに簡単に装着できるフィルタです。ユーザが正面から画面を見ているときはその違いに気づくことはありませんが、隣にいる人には画面が黒く見えるだけで他には何も見えません。


パスワード


もっとも多く使用されているパスワードが、「
Password」でなくなったということは喜ばしいことですが、残念なことにそのパスワードは「123456」に変わっただけです。サイバー犯罪者は、パスワードの解読に複数の組み合わせを試すツールを使用します。よく使われるパスワード(例えば「123456」など)は、最初に試されます。その後、オンラインで見つけた対象者の誕生日といった情報を手掛かりにするなどして、文字の組み合わせを試します。パスワードを解読されにくくするには、記号や数字を加えることが有効です。

データは自分で思うよりもはるかに関心を持たれている


中小中堅企業の間ではしばしば、自社のデータには誰も関心を持たないから保護する必要がないという漠然とした意識があります。しかし例えば、競合他社がそのデータを得ることで、入札の際により低い金額を提示することも可能です。またサイバー犯罪者は、金融口座にアクセスするなど金銭的な目的で狙っています。自社の価値を決して過小評価してはいけません。


デバイスは紛失したり盗難に遭う可能性が常にある


デバイスの紛失や盗難は、誰にでも起こり得ることなので、常に備えておく必要があります。データのバックアップを取っていれば、紛失した場合の時間とコンテンツの損失は、回避できます。

CryptoLockerの復号サービス

 Bitcoin市場は最近大幅な上げ下げを記録している…。そこで当社では、CryptoLockerの復号サービスの現在の価格を確認することにした。ある特定のキーワード検索により、pyidtyncbecmg.netドメインに(Torを経由しない)CryptoLocker復号サービスがあるのを見つけた。これはモスクワに設置されている。

 我々は11月のCryptoLockerの暗号ファイルをアップロードした。

KEY PAIR FOUND

 そして我々のキーペアはいつ見つかるか?求められる価格は4 BTCで11月と同じだった。

 一方でBitcoinの価値は、当時からだいぶ変動している。今日の価格では、4 BTCは約2,000ドルに相当する。CryptoLocker復号サービスについて前回書いたときより1,000ドル安い。

 安売り?
 

PRISMスキャンダル後の時代に見る欧州企業の現実

近年、サイバー攻撃やサイバーテロ、サイバースパイ活動に対する一般市民の意識はより高まっています。英国政府がサイバーセキュリティを重視していることを受け、企業におけるこの問題の優先順位も高まり、英国では年に推270億ポンドをかけてこの問題にむということでも注目を集めています。消費者および企業がオンラインセキュリティに同様に注意を払っていたを確認するかのように、6月初旬にエドワード・スノーデンPRISMの詳細を暴露したことで、サイバースパイ活動の問題は一気に表面化しました。

 

PRISMに対して世界中がりを感じる中、政府は報道には誤解があると説明する一方で、政府の関与が証明されたケースも見られました。しかし、こが全く予想外だったと言う人はほとんどいないでしょう。英国だけ見ても、インターネットサービスプロバイダ(ISP)は警察や政府機関からの要請に備えすべてのデータを1年間保持しておくことが義務付けられています。「ビッグデータ」の到来は、これらのサーバを通過する膨大な量の情報が分析できる時代となったことを意味しているのです。

 

では、PRISM対策として、企業にできることは何でしょうか?その第一歩として最も明らかなことは、通信ルートが米国を経由するオンラインサービスの使用をやめることです。同様に、サーバが米国以外の国に置かれている場合には、その地域の法律を知ることです。プライバシーの保護については、国によって取り組みに差があります。しかしながら、これでは企業に対して、Google多くのサービスやMicrosoftInternet Explorer、フェイスブックを誰ひとりとして使わないように命令するようなものです

 

代替サービスを使用する上での最大の問題は、単純に他の国々が草分け的存在である米国のテクノロジー企業と渡り合うことができていないということです。私たちはそれを変える必要があります。PRISMを回避するためには、特や機能の面で競争力を持ち、大西洋の向こう側では保護されていないプライバシーを提供する同等のテクノロジー産業を欧州に築く必要があります。PRISM状況を一転させるきっかけとなる可能性があるのです。

 

真の危険はサイバースパイ活動に

 

しかし、目下のところ企業は、所有する情報について現実的であるべきです所有する情報は米国政府が興味を持つ内容でしょうか?おそらくそうではないでしょう。競合他社だったらどうでしょうか?ほぼ間違いなく興味を持つでしょうでは、サイバー犯罪者たちは?彼らが関心を持つことに疑いの余地はありません。これこそ、真の危険がひそむところなのです。一般的な企業にとって、サイバースパイ活動は、PRISMがもたらす影響よりもずっと多くの問題をもたらします。

 

新興企業はしばしば、コスト削減を図るために無料のサービスを利用することにより、セキュリティ侵害の落とし穴にはまりがちです。これらのサービスの大半は米国のサーバを経由するだけでなく、企業にとって必要なレベルの安全性を備えていませんDropboxを使ってファイルを共有したり、会社のメールにGmailを使用することは、手軽で安全なソリューションのように思えるかもしれませんが、これらのサービスが無料であることには理由があるのです。つまり、利用者の情報が利用されるということです。加えて、データ保護に関する律により、英国のデータEU内に留めておくことが義務付けられています。欧州諸国でのDropboxの使用は、これらの法律に対する違反行為に当たり、重い罰金の対象となったり、スヌーピングを招くことになります。

 

監視のリスクを減らすため、企業がVPNサービスや内部クラウドのようなシステムを導入することは可能です。しかしながら、使用しているネットワークや機器が攻撃に対して脆弱であれば、これらのシステムを導入したところで何の意味もありません。

 

サイバースパイ活動を行う目的で合法的に入手可能なスパイウェア商品は実際に存在します。これらのツールを使えば、電子メールやSMSメッセージ、ボイスメールといった、他社に競争上の優位を与え得るあらゆる情報を傍受することができます。こういったツールの合法性は深く疑問視されるところではありますが、実際に市場に出回っているのです。

 

私物デバイスの業務利用BYODという考え方は、広く受け入れられておりますます一般的なものとなっています。問題となるのは、社員が働きやすさと利便性のために私物のデバイスを使うことを希望するのではなく、企業が専用のデバイスに資金を使いたくないがためにBYODを導入するケースです。この倹約精神はしばしば、デバイスに適用されるセキュリティにも当てはまります。企業ネットワークにおいて、安全に保護されていないデバイスがひとでもあると、サイバー犯罪者はそこにつけ込んでくるのです。これは、企業データや通信チャネルへのアクセス権を持った、会社への不満を持つ社員や元社員がもたらすリスクとは別のものです

 

エドワード・スノーデンPRISMを世間の目にさらしたことは、世界全体にとって有益だったことは間違いありません。欧州企業はまさに今、この警告を受け止め、短期および長期的なセキュリティ対策を考える必要があります。企業ネットワークの中でつけ込まれる可能性のあるセキュリティギャップ迅速に埋めるだけでなく、使用しているサービスについて検討し、スヌーピングの対象となり得る米国拠点のインターネットサービスを使用することに問題ないかを考える必要があるのです。



お決まりの「パーカーを着たハッカー」の写真

 すでにご存じかもしれないが(「Poika」を連れて街を練り歩く:2014)、当社のクライアント セキュリティが最近AV-TESTのBest Protection Award 2013を受賞した。

 2014年をもってAV-TESTのBest Protection Awardを3年連続で勝ち取ったことになり、努力を注いできた同志たち(自分たちのことをこう呼んでいる)のためにパーティーでお祝いすることにした。

 パーティーのために、パーカーなどの衣装を受け取った。

Karmina in a hoodie. Karmina and Sarogini

 このパーカーの当社のロゴについて、ちょっと違っているところがあることに気付いただろうか?間近ではこう見える。

ASCII version of logo.
(画像クリックでコード表示)

 動作するJavaScriptコードでロゴができていることに気付くだろう。つまり「コードを走らせる」ことも可能だ!

 おっとコースターやステッカーもある。



 これらのグッズはオフィス中で超人気だ。セキュリティ研究所のEero Kurimoの素晴らしいデザインに感謝!

 それから(予算を付けてくれた)Millaにも。
 
Post by — Andy and Eero

AndroidマルウェアがFlash Playerの代金を請求

 Android用の偽の(悪意ある)Flash Playerアプリは何も目新しいものではない。非常に典型的な囮だ。

 しかし最近、計り知れないほど厚かましい「Flash Installer」に遭遇した。

 このインストーラなるものは、別のAndroidマルウェアによってドロップされ、以下のような見た目である。

So-called Flash Player installers
(SHA1: 1398b8369e16a632dae67f3382bc7bcea748749a)

 このアプリが開かれると、ユーザは5ドル支払うように促される。

Instant Download PayPal

 それで、支払ったとして何が得られるのか?adobe.comにあるAdobe Flash Player 11.1.115.81のダウンロード用のリンクだ。その通り。5ドル払うと、本物のソースへのダウンロードリンクを受け取るんだ。

 過去、最悪の、ぼったくりだ。

 他にもYouTube MP3のダウンローダや、Flappy Birdへのダウンロードリンクに対する支払いもある。

Flash, YouTube, Flappy Bird

 買い物をするときは用心を。

—————

Markoが分析を実施

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

エフセキュア、 AV-TEST「Best Protection 2013」を受賞

エフセキュアは、法人向けエンドポイント保護で、第三者機関AV-TESTの「Best Protection Award  2013」を受賞しました。これは、エフセキュア クライアント セキュリティが1年を通して複数のテストで最高のパフォーマンスを示した結果によるものです。AV-TESTの「Best Protection」賞は、悪質なウェブサイトやEメールからのゼロデイ攻撃といった最新の脅威によるマルウェア感染に対する保護の分野で、その年の最高の製品に与えられます。





エフセキュア
クライアント セキュリティでは、アンチウイルス、ファイアウォール、スパイウェア対策、ルートキットスキャン、そしてブラウザ保護機能を統合することによって、法人におけるコンピュータを総合的に保護します。また「Best Protection」賞を獲得した理由の本質は、エフセキュアの高度なディープガードエンジンにあります。ディープガードにより、エフセキュア製品は、以前には見られなかった最新のマルウェア、そしてゼロデイエクスプロイトをも検出することができます。

これらの攻撃はマシンにインストールされたソフトウェアの脆弱性につけ込むことから、エクスプロイトと呼ばれており、これを阻止することは、特に法人の活動において重要です。従業員は、組織のネットワークにアクセスしようとするサイバー犯罪者に頻繁に狙われます。犯罪者は、悪質なソフトウェアを含む標的型メールを、受信者が開封するよう巧妙に作成します。もう一つの攻撃方法は、「水飲み場型攻撃」です。これは、通常は信頼でき、法人ユーザが頻繁にアクセスするウェブサイトに不正プログラムを仕込むものです。

クライアント
セキュリティは、法人ユーザのデスクトップおよびノート型PCを悪質なコンテンツから守り、ブラウザまたはプラグインの脆弱性の悪用を阻止します。最新の検出技術を最先端の保護機能と自動リアルタイム防御機能に統合することで、メモリリソースの消費を抑え、すばやくスキャンし、システムへの全般的な影響を最小限に抑えます。さらに、プレミアムバージョンには、オペレーティングシステムとサードパーティ製アプリケーションを常に最新の状態に維持するソフトウェア アップデータが含まれます。


詳細情報:


エフセキュア 法人 アワード 

http://www.f-secure.com/ja/web/business_jp/references/awards?icid=1206


エフセキュア クライアント セキュリティ

http://www.f-secure.com/ja/web/business_jp/products/desktops/overview

終了が差し迫る

 そろそろやってくる…。


カウントダウンクロック

マルチデバイス時代のセキュリティ脅威を改善

消費者の89%がWindows搭載コンピュータを、16%がAppleのコンピュータを、39%がAndroidスマートフォン、そして22%がAndroidタブレットを使用しています。しかし、マルチデバイス時代の負の側面として、インターネット接続が1つ増えるということは、同時にユーザの弱点につけ込もうとするサイバー犯罪者の新たなゲートウェイになるということです。新しいF-Secure SAFEでは、消費者は複数のコンピュータとモバイルデバイスをこの製品だけで簡単に管理できます。

実際に、スマートフォンやタブレットが紛失したり盗難に遭うなどで、消費者のデータやコンテンツ、個人情報がリスクにさらされる可能性は高いのです。モバイルマルウェアの状況も絶えず進化しており、新たな脅威は四半期ごとに少なくとも25%増加しています。Androidのマルウェアは、正規のアプリストア以外で、マルバタイジングやドライブバイダウンロードといった形で出現しています。





どのデバイスからでも安心してネットサーフィン、ショッピング、インターネットバンキングを利用に

F-Secure SAFEは、コンピュータ、スマートフォンならびにタブレットを、ウイルスやスパイウェア、ハッカー、なりすまし犯罪から守り、悪質なウェブサイトやオンライン攻撃をブロックします。保護者は、F-Secure SAFEを使うことで、不適切なウェブコンテンツから子どもたちを守ることができます。F‐Secure SAFEは、PCまたはMacでのインターネットバンキングの取引の安全性を確保します。スマートフォンおよびタブレットを紛失したり、盗難に遭った場合でも、紛失したデバイスのロックおよび位置検索機能でこれらを保護します。

F-Secure SAFEには、使いやすい自己管理型ポータルが含まれます。消費者は、このポータルでデバイスの追加や削除のほか、デバイスごとの保護設定を簡単に変更することができます。

F-Secure SAFEは、www.f-secure.com/ja/web/home_jp/safeからご購入または30日間無料でお試しいただけます。また、Google Playおよび世界中のチャネルパートナーからも入手できます。

Google Play上のHacker (for Facebook)

 Google Playで入手できる数々の「Facebookのパスワードハッキング」アプリについて、最近問い合わせを受けている。当社では「Hacker (for Facebook)」と称する物を調べてみることにした。

Hacker (for Facebook)

 しょっぱなから嘘がある。「In order to work properly, you should rate the app with 5 stars!(適切に動作させるには、本アプリに5つ星の評価を与える必要があります!)」

Hacker (for Facebook) Hacker (for Facebook)

 アプリケーションをうまく動作させる目的で評価をするって?ばかばかしい。

 そして以下は、表示される広告の一例だ。

Hacker (for Facebook) Hacker (for Facebook)

 偽アンチウィルスの詐欺だ。すてきだ。

 ところで、Facebookにログインするように促されたら、あなたはこのアプリを信用するだろうか?

Hacker (for Facebook)

 以下はアプリの説明だ。

 「Hacker (for Facebook)(旧名Facebook Hacker)とは、任意のFacebookユーザのアカウントとデータへ自動的にアクセスし得る理想的なアプリケーションです。もし特定のユーザのパスワードをハッキングしたいなら、本アプリはあなたにとって理想的なものです。犠牲者のユーザ名もしくはメールを入力するのみという簡単な方法で、当社システムがパスワードを破り、あなたに示します。本アプリは非常に洗練された高度なアルゴリズムを用いて、ユーザアカウントからデータを入手します。ミスする可能性は皆無です。」

 機能は次のとおり。

  •  Facebookのパスワードのハッキング
  •  非常に直感的なインターフェイス
  •  簡単かつシンプルに実行可能

 そして免責事項は以下だ。

 「このアプリは悪ふざけに過ぎません。Facebookアカウントを許可なくハッキングする実際のアプリは、いずれも違法となるでしょう。」

 あぁ。悪ふざけね。免責事項を追加すれば、(少なくともGoogle Play上では)全部オーケーになる。5つ星の評価の必要性や詐欺的な広告にまつわる嘘は?もちろん、いいじゃないか。このアプリは「悪ふざけ」に過ぎないんだ。

 Google Play Appsは新たなZangoだ。

「Poika」を連れて街を練り歩く:2014

 当社のF-Secureクライアント セキュリティは、つい先日AV-TESTのBest Protection Award 2013を受賞した。

 そして伝統に従い、街を巡るツアーにその「Poika」を連れ出した。

Poika's from the past

  •  Best Protection Award 2012
  •  Best Protection Award 2011
  •  AV-Comparatives Product of the Year 2010

 数多くの企業がテストの対象となっている。この集団の先頭で走るには献身が必要だ。

 チームの皆さん、おめでとう!

Poika
本社にいるPoika

Poika
ヘルシンキ大聖堂の外にいるPoika

Poika
岩の上のPoika…

Poika
セキュリティ製品担当ディレクタVeli-Jussi KestiとPoika

—————

写真撮影:Paolo Palumbo

Flappy Birdに関してインターネット安全デーの公共サービス情報

 面白くて奇妙な現象だった「Flappy Bird」として知られるアプリが、その作者Dong Nguyen氏によってアプリケーションストアから削除された

 しかし、Google Playから削除しても、一部の熱心なAndroidファンにとっては何ら支障はない。今のところは、「flappy bird apk」で検索すると正規アプリのコピーへのリンクが複数得られる。

Flappy Bird

 今はそれで良いことにするが…、望まぬスパイウェアが付属した偽のコピーが、やがて混じることがまじまじと予期される。

 したがって公共のサービスのために、インターネット安全デー(Safer Internet Day、SID)の精神において、以下の情報を提供する。

 Flappy Bird v1.3 SHA1:9f472383aa7335af4e963635d496d606cea56622
 当社のバックエンドシステムへの初登場日時:2014-01-31 02:05:50

 コピーの代用品が該当する!または、もっと良いのは、評判のアプリケーションストアから離れずにおいて、WebからAPKをダウンロードしないことだ。

App Permissions 1.7.0

 非常に好評を頂いているF-Secure App Permissions(Android用)のバージョン1.7.0を、本日リリースした。

F-Secure App Permissions 1.7.0

 何が変わったか?UIの向上、スクリーンショットの共有化、軽微なバグの修正、対応言語の追加を行った。

  このアプリ自体は、引き続き一切パーミッションを要求しない。

マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

ハッシュタグを正しく使う

 ところで当社のコンテンツクラウドビジネスのトップTimo Laaksonenが、Younitedのために大々的な#hashtagキャンペーンを依頼したところ、これが来た…。

#younited

 ほんの冗談だろう。(大体は。)

 最近では自分の会社の本社ロビーに何が登場するか、分かったものじゃない。

シリコンの疫病

 ダーウィンカレッジ(ケンブリッジ大学のカレッジのひとつ)では1986年以降毎年度、一連の8つの公開講座を開いている。今年のテーマは疫病(Plagues)だ。少し前、ミッコが「シリコンの疫病(Silicon Plagues)」と題して3番目の講義を行った。

Silicon Plagues

 この講義では28年に渡るコンピュータウィルスの歴史を取り上げている。

 現在オンラインで視聴可能だ。ダウンロードオプションもいくつか用意されている。

Silicon Plagues, Available Formats
動画および音声

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード