エフセキュアブログ

2014年04月

ユーザのプライバシーを保護しつつビッグデータの脅威分析を行う。

 アンチウィルス業界はここ4〜7年の間に大きく変化してきた。さかのぼること2008年辺りまでは当社も他の企業と同様に、シグニチャファイルやファイルのスキャンを非常に重視していた。そしてそれがスケールしないことが明らかになると、我々はより有用な攻撃パターンの検出へと移行した。さらに、攻撃が成功した結果ドロップされるファイルを検知しようとするよりも、最初の段階で感染を避けることに焦点を合わせ始めた。

 洗練された方法で物事を行うには、優れた可視化が必要だ。そのため、当社はビッグデータの取り扱いを開始しなければならない。重大な事実を述べなければなるまいが、どんな間抜けでも大量のデータを収集することはできるのだ。だから、ビッグデータを小さく理解可能な情報へ変換するところに技がある。しかしながら、データマイニングを行うため我々はユーザからデータを集めねばならず、これがプライバシーの観点から問題になり得る。当社がどのような種類のデータを収集し、どのように処理するのか、人々は尋ねるだろう。

 こうした疑問に答えるため、当社のInternet Security系列の製品が収集する情報について詳細に述べたホワイトペーパーを記した。ホワイトペーパーはここで読むことができる。

data_whitepaper (187k image)

 当社のデータ収集の基本原則は、必要なもののみ収集し、可能な限り早い段階で匿名化することだ。当社がシステムデータを入手できるよう、クライアント側でサニタイズ可能なすべてのデータは、あらかじめクライアント上で取り除いている。ユーザの個人データのように見えるものが当社のデータベースに残ることは一切ない。クライアントのIPアドレスなど、クライアント側でサニタイズ不可能なデータは、データを処理する最初のサーバ上で除かれる。インポート時にサニタイズを行う複数の階層を潜り抜けた、ユーザに関連するデータを削除する目的で、当社は顧客データに対し定期的なクリーンアップを実行する。

 当社は攻撃を食い止めるために必要なものをすべて認知する取り組みを続けていくが、同時にユーザについて何かを知るようにはならないことを確認している。

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

Browlockがロシア人風になる

 事態は驚くべき展開を迎えた。いまやBrowlockはロシア人を標的としているようだ。

 何らかの理由で、Browlockのリンクが加えられた感染サイトを訪れた不運なやつがいたとしよう。



 その感染したページで5秒経つと、以下の「ブラウザロック画面」が表示されるだろう。



 このページはどうやら非常に上手なロシア語で書かれており、ざっと翻訳すると次のようになる。

 ロシア連邦内務省(警察当局)

 [当局は]、このコンピュータが、暴力、同性愛ポルノ、小児性愛に関する題材を調べるといった違法な悪事に使用されていることを検出しました。

 こうした行為は[引用された法律]に基づき、禁止されています。この行為に対し800〜4000ルーブルの罰金が課されます。支払う意思がなければ、[引用された法律]に基づき収監されることになります。

 すでに行為はなされているため、1000ルーブルを直ちに支払う必要があります。任意のモバイル・ターミナル(これのサンプルを下に掲載)により、この罰金を支払うことができます。あるいはこの罰金の合計金額を+79054014516番という電話番号に連絡してください。支払いは12時間以内に実施しなくてはなりません。

 支払い完了後、ロック解除コードが記載された入金確認書が送られます。そのコードを下のフィールドに入力しなければなりません。支払いを行いたくない場合、刑事訴訟に取り掛かるために、不法行為に関する資料をすべて検察当局に送信します。また警官隊を居住場所に派遣します。


 上述のモバイル・ターミナルのサンプルの画像を以下に挙げる。



 ユーザがブラウザやタブを閉じようとすると、次のようになる。



 この「ブラウザロック画面」はブラウザが使用不可能であるように表示されるが、単にダイアログボックスを引き延ばしただけで、Enterキーを押すだけでブラウザが閉じる。コンピュータにもたらされる害はない。

 これまでのところChromeのみで動作するが、ロシアを含め異なる国々からアクセスがあると適切なページが読み込まれる。

 Browlockのページは現在Browsing Protectionによってブロックされる。



—————

Post by — Christine、Patricia、Dmitriy

被害が集中するAndroid

エフセキュアが発刊している「脅威レポート」の2013年下半期版は、829件にのぼるモバイル脅威の新しいファミリーや亜種が発見されたことを報告しています。このうち97%に相当する804件がAndroidプラットフォームに対する脅威でした。また657件が金銭的な利益を動機としたもので79%を占めており、2012年の同時期の201件(60%)から大幅に増加しています。

脆弱性の現状

デスクトップを標的にしたマルウェアと異なり、2013年時点ではオペレーティングシステムにおける脆弱性を標的にするAndroidマルウェアは一部に限られています。概してAndroidを標的とした脅威は、ユーザとデバイスとの対話メカニズムを悪用した、悪意のあるアプリに集中しています。

悪意あるアプリまたは偽アプリ

マルウェアの犠牲者の数を最大化したいと考えている作成者は、人気のあるアプリ、特にゲームに対する興味を頻繁に悪用します。一般的な手口は、人気のあるクリーンなアプリケーションを再パッケージ化するか、またはトロイの木馬に変え、悪意のあるコードを挿入する方法です。
2013年12月中旬、Google Playストアに登録されている上位20の人気アプリについて、トロイの木馬化されている率を調査した際、最も人気がある20のPlayストアアプリのうち8つのアプリで、複数のトロイの木馬バージョンがサードパーティのマーケットに出回っていました。

マーケットプレイスでのマルウェア

昨今、サードパーティ製のAndroidマーケットは急速に成長していますが、これらがマルウェアの大きな供給源であることが裏付けらました。例えば、Google Playストアを除いた上位4ストアであるAnzhi、Mumayi、Baidu、eoeMarketではサンプルの10%が、悪意のあるマルウェアであることがわかりました。また、すべてのマーケットでマルウェアの割合が最も高いことが判明したのはAndroid159で、そのサンプルの33.3%がマルウェアに分類されました。幸いにも、収集されたサンプルのマルウェア率が最も低いのはGoogle Playで、その率は0.1%でした。



さらに詳細は、2013年下半期脅威レポートの日本語版でご覧いただけます。
http://www.f-secure.com/ja/web/business_jp

楽に稼げる:サイバー犯罪者が企業を狙う単純な理由




企業では金銭を取り扱います。取引先、外注先、従業員への賃金、公的機関への税金や公的手数料の支払いなど、多くの場合その額は多額です。サイバー犯罪者にとって、こうした金銭の取引は格好のターゲットになります。また、このような金銭の流通に加え、企業のITリソースを現金に換える方法はいくつもあるのです。

犯罪者の興味を惹くのは、その金額だけではありません。そうした金銭の入手がいかに簡単であるかも理由の1つです。ある調査によると、多くの攻撃はチャンスの度合いによります。つまり、御社が攻撃の対象として特別に選ばれているわけではないということです。狙われる理由は単純に、簡単に成功できそうだからという理由にすぎません。企業を攻撃するもっとも簡単な方法の1つは、古いソフトウェアの脆弱性を突いた攻撃です。

難しいことではありません。攻撃の大半は、事前に回避できたものです。ソフトウェアを最新の状態に維持し、効果的なアンチウイルスソリューションを採用することで、被害を受ける可能性を大幅に削減することができます。

セキュリティの価値とは、使用しているアンチウイルスソリューションのコストとは比にならないほど大きなものです。


エフセキュアとデビッド・ハッセルホフ

 デビッド・ハッセルホフのことを最初に当ブログで言及したのは2011年のことだった(「エフセキュアに監視させてホフを悩ませるな!」参照)。

 2011年のケースでは、「David Hasselhoff Atach(原文ママ)」という機能を持った、リモートアクセス可能なトロイの木馬が関与していた。

David Hasselhoff

 そして現在、2014年に、デビット・ハッセルホフはエフセキュアのFreedome Ambassadorに就任した。

David Hasselhoff

 当社はベルリンで開催されるre:publica conferenceにおいて、デビッドと共にDigital Freedom Manifestoを発表する。本気だよ。

 詳細については、当社のDigital Freedomのサイトを参照してほしい。

データ漏洩を阻止する対策を講じていますか

脅威を取り巻く環境は絶えず変化しているにもかかわらず、データ漏洩対策はeメールやサーバを保護するために、今も昔も変わらず非常に重要です。

ベライゾンが実施した2013年度データ漏洩調査報告書によると、2012年には、個人消費者から大企業まで、あらゆる人々に影響を及ぼしたきわめて多様なデータ漏洩が報告されています。しかし、企業に関する報告を見てみると、従業員数1名から100名の中小中堅企業が最大のターゲットとなっています。また、データ漏洩の90%以上は外部によるもので、攻撃の3/4は金銭を目的とした犯行です。

中小中堅企業にとってこの分析は難しく、企業のIT環境におけるセキュリティ対策の評価が必要だとも考えられます。しかし、多くの中小中堅企業では、効果的にセキュリティ対策を講じる知識やリソースが欠如している傾向があります。次のDark Readingの記事をご参照ください。70%以上のデータ漏洩はエンドユーザのデバイスに起因しており、50%以上がサーバ関連です。また40%の攻撃はマルウェアによるものであることから、マルウェア攻撃については、マルウェアが企業ネットワークへ侵入する前に阻止することが必須です。




悪質なコードを拡散する経路としてソーシャルネットワークを利用するものが多くなっているものの、eメールはいまでも主流となっている経路の1つです。一般的なセキュリティソリューションでは、次から次へと出現しては増え続けるエクスプロイトやマルウェア攻撃を阻止することはできません。こうした環境では、既知の脆弱性ホールに粘り強くパッチを適用していくことに加えて、最も効果的な保護対策を講じなくてはなりません。適切なツールを活用すれば、セキュリティ対策を講じることは難しいことでも時間のかかることでもないのです。

エフセキュアでは、サーバやeメールをエンドユーザのデバイスやクライアントと同様に、高い評価を受けている保護機能で守る新しいバージョンが存在します。「エフセキュア Windowsサーバ セキュリティ」には現在、ソフトウェア アップデータが搭載されています。ソフトウェア アップデータを使用すれば、管理者はサードパーティ製ソフトウェアの既知の脆弱性に簡単にパッチを適用することができます。また、「エフセキュア Microsoft Exchange & XenAppセキュリティ プレミアム」では、SharePointやEMSストレージの保護にも対応しています。詳細については、プレスリリースをご覧ください。

>>原文へのリンク

インターネット監視の隠れた危険性

2013年は秘密が暴露された年でした。世界中の一般的なインターネットユーザは、米国とその同盟国が行う広範なインターネットスパイ活動に気付かず安穏としていましたが、事態は一変しました。インターネット大量監視は疑う余地がないとプライバシー侵害について怒る人もいれば、さらなる安全性を保証するにはプライバシーを犠牲にする価値があると思う人もいます。議論のほとんどはこの両者によるものですが、あまり語られていない重要な側面がもう一つあります。それはつまり、大量監視が私たちのコミュニケーション文化にどんな影響を及ぼすかということです。

幸い、ここであれこれ推測する必要はありません。この影響についてはたくさんの事例があるからです。オーウェルの『1984年』から、現存する全体主義国家における状況まで。これらのすべてには一つの共通点があり、言ってもいいことと言ってはならないことがあることを誰もが知っています。いわゆるセルフセンサーシップ(自己検閲/自主規制)です。

こうした全体主義国と西欧民主主義国を比較することはできないと思うのであれば、もう一度考えてみてください。米国も英国も報道の自由度ランキングに入ってはいますが、英国のガーディアン紙は、言論の自由が当たり前のことではないことを示す好例です。西欧民主主義の要とされる国においてすらそうなのです。
 
スノーデン氏のファイルの一部が公開されたことから、私たちはインターネットスパイ活動について認識を深めることに非常に意欲的です。それについての意見は分かれますが、無防備なインターネット通信でプライバシーがあるということを誰も主張することができません。そしてそれは、セルフセンサーシップ文化の素地が着実に固まりつつあるということなのです。収集されたデータがどのように使われるかは問題ですらありません。データの取り扱いに対して適正な透明性を確保することはできないので、そのデータが私たちに不利になり得るという懸念が常につきまといます。実際に悪用されるケースは避けられないという事実についてはここで論じません。私たちはネット上で身も蓋もない本音をさらけ出すようになりましたが、その問題は意識レベルが向上すれば終わります。ネット上の大量監視を踏まえて、Googleで何かを検索する前に、その行為が自分のプロファイルにどういう影響を及ぼすかを考えなければなりません。

監視行為が文化に与えるマイナス影響についても、何が語られているかを本当に知るべき組織、米国家安全保障局(NSA)によって文書化されています。そう、NSA自身によってです!NSAの内部には「ゼルダ」という秘密のアドバイス・コラムニストがいますが、その存在はスノーデン氏がリークした機密文書を通じて知られました。このコラムニストの記事では、職場でのスパイ活動を懸念するNSA職員からの質問について述べています。ゼルダは、職員を監視する上司が職場環境を損なうのは、その通りだと頷いています。笑えますよね。

せめてもの救いは、優れた解決策があるということです。それはシンプルで、確立されており、うまく機能することが立証されています。インターネットで大量監視を行ってはなりません。代わりにターゲット認証を利用して、不法行為の疑いが強い人物に関するデータを入手します。その結果、罪のない多くの人のプライバシーが向上します。また、リクエストをレビューできる外部関係者、サービスプロバイダーまたはストレージプロバイダーを取り込みます。彼らは取引先の完全性を保護したいという動機があり、それは当局に欠けているものです。リクエストに何か不正があった場合、彼らが内部告発できることを私たちは確認すればよいのです。
 
このようにして何十年もこの世界は動いてきたのであり、新しいインターネット技術にはこの手法の説得力を弱めるものは何もありません。逆に、自分のハードディスクでなくクラウドサービスでデータを保持する世界においては、この方法は以前よりもうまく機能しています。
 
>>原文へのリンク

異動のご挨拶

4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。)

私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。

私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。

インターネットが社会インフラとなり変革の時代を迎えようとしているというのに、セキュリティエンジニアがなすべきことはまだまだ山積みじゃないでしょうか。

というわけで今後はサイバーディフェンス研究所に籍を置きつつ、インターポールに出向することとなりました。

IGCI
まだまだ工事中の職場。左下が完成予想図です。

今後も色々な方々にサポートを仰ぐ機会が多くなると思いますが引き続きよろしくお願いいたします。

では最後に(といってもブログの執筆は今後も続けさせていただきますが)書籍サイバー・クライムの監修時に出会って未だに私の頭にこびり付いて離れない言葉を紹介します。主人公バーレットライアンが元同僚たちに向けて送った言葉です。

いまプロレキシックに身を置いている人たちには、自分がなんのために仕事をしているのかをよく考えて欲しい。君たちの仕事は金のためだけじゃないはずだ。僕が会社を立ち上げたときも、この仕事で金持ちになろうとは思っていなかった。徹底的に利益を出そうと思えば出せただろう。でも、欲望まみれの会社にはしたくなかった。僕が思い描いていたのは、企業をサイバー・クライムの脅威から守るセキュリティ会社だ。誰もが不可能だと思うようなことをやってのける会社だ。自分の仕事の意味がわからなくなったら、このことを思い出してほしい。
書籍サイバー・クライムの319ページから引用

OpenSSLにおける ’HeartBleed’脆弱性のエフセキュア製品への影響

HeartBleedは、OpenSSLの暗号化ライブラリにおける重大なセキュリティの脆弱性 (CVE-2014-0160)です。このライブラリは、オンラインのサイトやWebベースのサービスで安全な通信を提供するために広く使用されています。この脆弱性は、攻撃者が痕跡を残すことなくサーバのメモリから情報を読むことを潜在的に許容します。つまり、Webサーバの秘密鍵情報やユーザパスワードのような非常に機密性の高い情報が、攻撃者によりコピーされた可能性があります。

エフセキュア製品の中にも、当該セキュリティ勧告の影響を受ける製品・サービスが存在します。

当該セキュリティ勧告は、以下のURLで追加情報のアップデートを行います。

http://www.f-secure.com/ja/web/business_jp/support/support-news/view/story/1450043


リスクファクター:  重大  (低/中/高/重大)


影響を受ける製品とバージョン:
  • エフセキュアMicrosoft Exchange & XenAppセキュリティ 10.00 – 11.00
  • エフセキュア Windowsサーバ セキュリティ10.00-11.00
  • エフセキュア プロテクションサービスビジネス サーバ10.00
  • エフセキュア プロテクションサービスビジネス メールサーバ10.00

影響を受けるプラットフォーム:  上記製品がサポートする全てのプラットフォーム

<<<2014年4月14日追加>>>

1) 2014年04月14日19:00現在、以下の製品に Hotfix 1 がリリースされています。各製品のダウンロードの Hotfixes の項目を参照ください。 上記の対応における記事にも Hotfix のリンクや適用方法が記載されていますので、合わせてご参照ください。
  •  サーバセキュリティ、および、メールとサーバセキュリティ 10.x - 11

        - F-Secure サーバセキュリティ 11.0 Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135
        - F-Secure サーバセキュリティ 10.xx Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135/10.x
        - F-Secure メールとサーバセキュリティ 11.0 Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134
        - F-Secure メールとサーバセキュリティ 10.xx Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134/10.x

 

2) 2014年04月14日19:00現在、以下の製品で MultiFix がチャネル配信済です。

  • PSB サーバセキュリティ、および、PSB Emailサーバセキュリティ 10.00
   「自動更新」→「ダウンロード」において、"PSB ESS 10.00 MF01" (PSB ESSの例)が表示されていれば適用済です。

<<<ここまで>>>

注意:  以下の製品は影響を受けません。
  • エフセキュア クライアント セキュリティ
  • エフセキュア アンチウイルス ワークステーション
  • エフセキュア Linuxセキュリティ
  • エフセキュア アンチウイルス Linuxゲートウェイ
  • エフセキュア ポリシーマネージャ
  • エフセキュア プロテクションサービス ビジネス ワークステーション
  • エフセキュア プロテクションサービス ビジネス 管理ポータル
  • エフセキュア プロテクションサービス ビジネス Linux

---【お問い合わせ】-----------------------------------------------------

エフセキュア株式会社

■ 本件に関する技術的なお問い合わせ窓口
TEL.045-440-6620
E-mail:anti-virus-japan@f-secure.co.jp
  
■ 申請等に関するお問い合わせ窓口
TEL.03-5545-8940
E-mail:japan@f-secure.co.jp
  
□ 製品一般情報URL   
http://www.f-secure.com/ja_JP/products/business/
  
□ 製品サポート情報URL
http://www.f-secure.com/ja_JP/support/business/

xkcd: Heartbleedの解説

Heartbleed Explanation
xkcd: Heartbleedの解説

Openssl Heartbleed 攻撃の検知について

bleed

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考:
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ(VPS)やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
#根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded


snort / Suricata rules

OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot(おまけ)
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt


ご参考まで。

役立たずのAndroid「SEO」アプリがアンチウィルスソフトを標榜

 日曜日、Android Police(ニュースやレビューを掲載する人気のサイト)は「Virus Shield」について投稿を行った。このアプリはGoogle Playのランキングでトップになったが、完全に詐欺だった。追跡記事の中でDailyTechは何がしかを探り当て、テキサス在住の17歳によって当該アプリが書かれたと考えている。明らかに彼はSEOに長けている。

 彼が男性かどうかだが…、男性なら典型的な人物像と一致する。この優れたSEOのスキルを持つ若者は、かなり役立たずのアプリをプッシュした。

Virus Shield

 役立たずの「SEOアプリ」群はGoogle Play上で広く流行している。見てみたいなら、これらは簡単に見つかる。

 以下に例を挙げる。

  •  Best Antivirus Lite
  •  SAFE antivirus Limited
  •  Skulls Antivirus
  •  Shnarped Hockey antivirus lite

 BestとSAFEはある1人の「デベロッパー」と、またSkulllsとShnarped Hockeyのほうは別の1人の「デベロッパー」と関連している。

 2人の別々のデベロッパーがいるわけだが…、上記アプリは名前以外は同一である。これらアプリは1つのテンプレートをベースにしており(アプリのテンプレートの市場がある)、いわゆるデベロッパーが行わなければならないのは、独自のグラフィックを追加することのみだ。

 このAndroidアプリにデベロッパースキルは一切不要だ。

 それではこのアプリは何をするのか?

 えーと、「Anti Spyware」と題したSA画面を開く。

Shnarped Hockey antivirus lite

 ふむふむ、用語が変化した。これは警告マークであるべきだ。

 「Start Scan」をクリックすると、当該アプリはインストール済のアプリのパーミッションについて基本的なスキャンを行う。パーミッションの数が多いアプリ群はリスクがあると分類され、パーミッションの数が少ないものは安全とされる。そして詳細について確認したい場合は?うーん、そうすると「フル」バージョンのものを約1ドルで買わなければならない。控えめに意見を述べると、フルバージョンを購入した(1千人超の)方は、完全に金の無駄遣いだった。

 Google Playで買い物をするときは用心を。

 追伸。完全に無料で、パーミッションについて高度なスキャンを行い、秀逸な詳細情報を提示するアプリが欲しいなら…。

 F-Secure App Permissions for Androidのチェックを。

ヴィンテージ:ファッションや家具には魅力的だが、 ソフトウェアには無用

最近のエフセキュアの調査では、10社中4社の中小中堅企業が古いソフトウェアを使用していることを報告しており、データ漏洩に対し無防備な状態にあります。

なんらかの商品を購入して、長い期間保管しておけば、それはやがてヴィンテージ化します。粋で独特の味を出し、過ぎ去った日々へと時間を戻してくれるヴィンテージは、ファッションや家具、車にとっては魅力的でも、商用ソフトウェアにとって古いということはセキュリティリスク以外の何物でもありません。エフセキュアの調査では、多くの企業が古いソフトウェアを使用することで会社の資産を大きな危険にさらしていることがわかっています。

94%の中小中堅企業は、ソフトウェアを常に最新の状態にしておくことが重要であると考えています。しかし、現実にはそのようになっていません。自社のソフトウェアが常に最新の状態であると答えた企業はわずか59%、ソフトウェアを最新の状態に保つのに充分なリソースがあると答えた企業はわずか63%にすぎません。

ソフトウェアを最新の状態に保つことは、ビジネスでのセキュリティ全体において非常に重要な要素の1つです。古いソフトウェアには、サイバー犯罪者が企業ネットワークへの侵入経路として悪用可能なセキュリティ上の欠陥が潜んでいます。エフセキュアラボが検出したマルウェアトップ10の70%から80%は、ソフトウェアを最新の状態にしておけば防ぐことができたものです。

ソフトウェアアップデートは長時間を費やす

企業は、ソフトウェアのアップデートに1週間当たり平均11時間の時間を費やしていると報告しています。企業の規模が大きくなるほど、その時間は増えています。従業員数50人未満の企業では、1週間当たりの平均時間が3時間であるのに対し、従業員数が250人を超える企業ではこの時間は15時間以上になります。

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「アップデートに企業が費やす時間については、ほんの氷山の一角に触れるだけですが、ありがちな誤解として、問題がOSにあると認識されていることが挙げられます。しかしそれは誤りです。OSは、十分にメンテナンスが施され、アップデートが行われています。深刻なのは、企業や個人が使用するサードパーティのアプリケーションなのです。いくつか例を挙げるとSkype、Adobe Reader、さまざまなプラグイン機能を持つブラウザ、Javaなどが該当します。皆様はご自分のデバイスに何がインストールされているかをご存知でしょうか。」

一方、古いソフトウェアに潜む脆弱性を狙ったサイバー攻撃は増え続けています。そして、新種の脅威というのは、数日や数週間ではなく、秒単位で作成されています。

従業員が個人所有のソフトウェアを使用

現在では従業員は個人所有のデバイスを持ち込んでおり、調査を行った企業の約半数は従業員による個人所有のソフトウェアの使用も容認しています。企業の規模が小さいほど、この傾向は顕著になります。従業員数が50人未満の企業の56%が容認しているのに対し、従業員数が250人を超える企業で容認しているのは39%です。また、フィンランド(53%)、スウェーデン(59%)では比較的高い割合で容認され、ポーランド(30%)やフランス(36%)では、容認度が低くなっていることが報告されています。

67%の企業では、個人所有のソフトウェアを使用する従業員は、自分たちでアップデートを行わなければなりません。しかし、個人がソフトウェアを常に最新の状態にしている保証はないため、これはリスクの高いポリシーということになります。従業員数が50未満の企業では、81%の従業員がアップデートを自分で責任を持って実施しなくてはなりません。また、企業の30%はMicrosoftのアップデートにしか対応していません。

ソフトウェア アップデータ : ソフトウェアを最新の状態に保つ、従来とは異なる最新の方法

ウスヴァは、企業のすべてのコンピュータとデバイスのソフトウェアすべてを最新の状態に保つ方法は、そのプロセスを自動化するほかないと語ります。「ソフトウェアメーカーは週ベースで、または長くても月ベースでアップデートのリリースを行います。これらのアップデートを手動で行おうとするのは、負け戦に挑むようなものです。ソフトウェア アップデータの自動化機能に全社的なセキュリティアップデートをすべて任せることで、貴重な時間やリソースを他の作業に充てることができるようになります。」

ソフトウェア アップデータはエフセキュア プロテクション サービス ビジネス(PSB)の機能の1つです。ソフトウェア アップデータを使えば、企業は従業員がインストールしたソフトウェアでも、常に最新の状態に保つことができます。プロセス全体を自動で完結することができるのです。ソフトウェア アップデータは、ソフトウェアの脆弱性を狙った攻撃から企業ネットワークを保護するために役立ちます。また、ソフトウェア アップデータはエフセキュアのその他の法人向け製品にも利用可能です。

ヴィンテージは、ファッションだけに留めておきましょう。昨日のソフトウェアは今日の時間や費用の無駄であり、明日の信頼や重要なデータ喪失のリスクとなります。

* エフセキュアの2014年デジタル企業調査は、8カ国(ドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、アメリカ合衆国)で1〜500名の従業員(平均200名)を有する企業を対象にWebインタビューを実施しました。同調査は2013年11月に実施されました。

管理者達へ:Heartbleedの修正するときに設定基準を見直そう

 とにかくSSLの更新は必要なので、設定が最近の基準に沿っているかについても確認しようではないか。

 Heartbleedについてたくさんの大騒ぎがあったから、管理者ならすでに何をすべきか知っているだろう。

 1. 脆弱なバージョンのOpenSSLを使っているものをすべて特定する
 2. 最新バージョンのOpenSSLに更新する
 3. 古いプライベートキーとSSL証明書は漏えいした可能性があるので、新しいものを作成する
 4. 古い証明書を失効にする

 だがサーバの設定を触って、新しいSSL証明書を作成しなければならないのなら、証明書生成の設定やサーバの設定にも手を伸ばすことをお勧めする。HeartbleedはSSL/TLSの実装における問題だけではない。プロトコルを下手に選択したり、暗号方式が弱いと、Heartbleedのバグと同等に危険になり得る。

 OWASP Transport Layer Protection Cheat Sheet(Open Web Application Security Projectによるトランスポート層保護についてのチートシート)を一読することを推奨する。

 そしてボーナスポイントのチャンス!

 5. PFS(Perfect Forward Secrecy)を実装する。これは件のOWASPのチートシートの「Prefer Ephemeral Key Exchanges」というルールのところに記載がある。

 詳細については、EFEの「Why the Web Needs Perfect Forward Secrecy More Than Ever(なぜかつてないほどWebにPFSが必要なのか)」というポストを参照してほしい。

追記:

 もう1つ追加する。

 6. トランスポート層のセキュリティのみに依存してはならない。もしデータがクリティカルであるなら、実装において追加的な保護を用いる。

 一例を挙げるならYounitedだ。「How do I turn on advanced login authentication?(高度なログイン認証を有効にする方法は?)」というサポートの質問を参照してほしい。

younited's 2FA

 2要素認証だ。提供してほしい。お願いだ。

更新:

 プライベートキーの変更が当然必要なことや、古い証明書を失効にすることを明確にする記述を追加した。ありがとう。@oherrala.

サポート終了後のWindows XP対応策

本日2014年4月9日をもって、マイクロソフトのWindows XPのサポートが終了します。まだ上位オペレーティング・システムに移行が完了していない場合、最低限のセキュリティを確保するためには、どのようにすればよいのでしょうか。

Windows XPの延長サポートが終了になった後は、脆弱性が発見された場合にも修正パッチは提供されません。過去2010年7月13日にWindows XP SP2のサポートが終了した際には、その2日後に脆弱性を悪用したマルウェアStuxnetによるセロデイ攻撃が発生しています。このようにサポートが終了したオペレーティング・システムを使用し続けることには極めて大きな危険が伴います。エフセキュアのデスクトップ向けの製品では、2016年6月30日までWindows XPのサポートを延長いたしますが、さらになるべく安全にWindows XPを使用し続けるためには、幾つかの対策が必要になります。なおこれらの対策は、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。

法人での対策

1.業務上インターネット接続が不可欠な端末以外はインターネットに接続させないようにする

2.ゲートウェイ・レイヤでウイルス対策を行う
社内と社外のネットワークの境界であるゲートウェイ・レイヤでウイルス対策を行い、社内のネットワークに接続されているPCへ、脆弱性攻撃が届かないようにします。

3.危険なWebサイトへの接続の防止
「ブラウザ保護」の機能を備えたセキュリティ・ソフトウェアを使用して危険なWebサイトへの接続を防止し、Webサイトを踏み台にした攻撃から防御します。

4.脆弱性攻撃を防ぐソフトウェアを導入する
未知の脅威から防御するため、「ふるまい検知型」の機能を備えたソフトウェアを利用します。

5.出口対策を実施する
PCがウイルスに感染した場合に、感染した端末から社内のPCやサーバに侵入したり、外部のサーバへインターネット経由で情報を持ち出そうとする攻撃を防ぐため、ポートやIPではなく、特定のアプリケーションごとの通信を許可するかどうか設定する「アプリケーション制御」の機能を備えたソフトウェアを使用します。

2については「エフセキュア アンチウイルス Linux ゲートウェイ」で対応可能です。3〜5については、「エフセキュア クライアント セキュリティ」ですべてカバー可能です。なおこのようなセキュリティの機能を有効に利用するためには、セキュリティ・ソフトウェアの一元的な管理が必要となり、そのためエフセキュアでは「エフセキュア ポリシー マネージャ」を提供しています。あるいは初期投資を抑制するため、「エフセキュア プロテクション サービス ビジネス」のようなSaas型のサービスを利用されることも有効です。

家庭での対策

1.代替となるブラウザをインストールする
Internet Explorerだけに頼らず、代替となるブラウザを1つまたは複数インストールします。(ブラウザは無償です)。デフォルトのブラウザをInternet Explorer以外に設定します。

2.不要なソフトウェアを削除する
インストールされているソフトウェアを確認し、不要なものは削除します。ほとんどの古いソフトウェアは脆弱なものと考えられます。

3.プラグインを無効あるいはアンインストールする
JavaやAcrobat Readerの脆弱性を悪用した攻撃が最近増加しています。家庭用のPCにJavaをインストールする必要はおそらくないはずです。また、PDFファイルを開くときなど、操作の前に「常に尋ねる」ようブラウザを設定します。

4.接続は常にNATルータ経由にする
家庭では、NATルータがハードウェアのファイアウォールの役割を果たします。また、ノートPCを持ち出して、外部の無償のWiFiスポットに接続すべきではありません。

繰り返しになりますが、上記の法人での対策も家庭での対策も、Windows XPから上位オペレーティング・システムへの移行期間のための一時的な処置であり、完全にセキュリティを確保できるものではありません。エフセキュアでは、一日も早い上位オペレーティング・システムへのアップグレードを推奨します。

Bliss

 (訳注:Blissは壁紙のファイル名で、意味は至福。日本語版では同壁紙のファイル名は草原)

 さようなら…。

Bliss

 訃報: Windows XP dies at 12 1/2 after long illness(Windows XPは長患いの末、12歳半で死去)

 R.I.P.

DeepGuard 5 vs. Word RTFゼロデイ攻撃CVE-2014-1761

 Wordの最新のゼロデイエクスプロイト(CVE-2014-1761)のサンプルを入手したので、頻繁に尋ねられたある疑問にようやく答えられる。その疑問とは、エフセキュアはこの脅威から保護するか、というものだ。答えを見つけるために、F-Secure Internet Security 2014で保護されたシステム上で当該エクスプロイトを開いた。結果は次のとおり。

DeepGuard 5 blocking CVE-2014-1761 exploit

 当社のInternet Security 2014は、DeepGuardバージョン5に導入されたエクスプロイトの遮断機能を用いて、この脅威をブロックした。そして、もっとも優れているのは、我々がなんら追加や修正をする必要がなかった点だ。2013年6月のDeepGuard 5の最初のリリースですでに組み込まれていたものとまったく同じ検知機能によって、このゼロデイ攻撃がブロックされた。これは、次のことを意味する。つまり、我々がサンプルを手に入れるずっと前から、またマイクロソフトが攻撃について報告する数か月前から、当社のユーザはこの脅威から保護されていた。DeepGuard 5は何度も何度も)プロアクティブなビヘイビアベースの保護の威力を示している。

 マイクロソフトは、2014年4月8日ににこの脆弱性に対するパッチをリリースする予定だ。同時に、マイクロソフトが推奨するmitigations and workarounds(軽減策や回避策)を確認すべきだ。

 また当社は通常の検知にExploit:W32/CVE-2014-1761.Aを追加し、ドキュメントを開く前に当該エクスプロイトを検知するようにした。

 Exploit SHA1: 200f7930de8d44fc2b00516f79033408ca39d610

 Post by — Timo

 4月7日追記:

 以下は短い動画によるデモだ。



4月8日:XPだけの問題ではない

 4月8日が間近になっている!そしてそれが意味するところは…。


カウントダウンクロック

 …Windows XPのサポートの終了だ。しかしXPだけではない。Office 2003も命を終えようとしている。

 今現在、Officeのある脆弱性が野放しになっているため、これを知っておくことは重要だ。

 マイクロソフトは昨日、Security Bulletin Advance Notificationを公表した。

Microsoft Security Bulletin Advance Notification for April 2014

 そして良いニュースがある。Wordの脆弱性に対するパッチが作成されている模様だ。いまだOffice 2003を使用中のすべての方にとって、この更新を適用することは不可欠だ。なぜか?パッチのリバースエンジニアリングが行われ、関連するエクスプロイトがエクスプロイトキットに埋め込まれるまでに、わずかな時間しかないためだ。この観点からすると、Officeがインストールされている方全員にとって、Webの閲覧は一層危険に満ちたものとなる。もしブラウザがRTFファイルを「開く」ように設定されていたら、とりわけ危険だ。

 したがって、次の火曜日のパッチに備えよう。そしてパッチを適用する。

 4月8日以降もまだXPを使い続けるつもりだろうか?それなら、こちらのSafe and Savvyの投稿を確認してほしい。

 7 things to do if you’re going to keep using Windows XP after April 8, 2014

 step 3としてOfficeのセキュリティの設定を厳格にするアドバイスがあることに、特に注意が必要である。次の火曜日までにできるちょっとしたことだ。

「2013年下半期脅威レポート」 日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2013年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。






狙われるアジア


飛躍的な発展を続けるアジア地域では、それに伴いエフセキュアのクラウドベースシステムに報告されるマルウェアの検出件数が増加しています。
2013年下半期には、日本、マレーシア、台湾、香港、およびインドから報告された統計に、いくつかの特徴的な傾向が見られます。

エフセキュアが識別するワームの中で目立っているものは
Downadup(メディアでの別名はConficker)で、その存在はアジア地域で報告された感染の中でも突出しています。200810月にマイクロソフトは、このワームが悪用する脆弱性に対応した緊急セキュリティパッチをリリースしました。アジアでこのワームが引き続き蔓延していることは、このパッチを適用しないまま使用されているWindows XPが現在も多数存在することを示唆しています。

2013
年下半期は、日本でJavaを標的にしたエクスプロイトが減少していることが観測されました。この脅威は、特にMajavaファミリーとして2013年上半期には蔓延していました。最近Java関連の検出が減少していることから、現在はJavaまたはJavaプラグインを使用している環境の多くに、パッチが適用されていると考えられます。

デスクトップコンピューティングについては、
Windows XPが個人および企業ユーザの間で広く利用され続けており、またその多くがアジア地域に存在しています。マイクロソフトは、Windows XP201449日にサポート終了を迎えることを発表しています。この日以降、XPに対する新しいセキュリティ更新が提供されないことを意味しています。セキュリティ保護のために最新のオペレーティングシステムにアップグレードすることが最善かつ必要な策ですが、当レポートでは、経過処置として、ある程度妥当な安全性を保ちながらXPを使用するための暫定手段を説明しています。

 

2013年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード