エフセキュアブログ

2014年05月

Facebookとエフセキュアによる新たな提携で、マルウェアのクリーンアップをソーシャル化

Facebookは、高い評価を受けているエフセキュアのセキュリティソフトをFacebookユーザ向けの無料サービスとして採用します。

人々は、他のどのような通信手段よりも、ソーシャル・メディアを通じて情報をシェアしています。しかし、ソーシャル・メディアの個人用および企業用アカウントの悪用がしばしば大きなニュースとして取り上げられていることを考えると、これからは、新しい方法でユーザのデジタル・アイデンティティを守っていかなければならない時代です。エフセキュアとFacebookは、世界最大のソーシャル・ネットワークのユーザに安全なオンライン環境を提供するべく、提携関係を結びました。

Facebookは今後、エフセキュアのテクノロジを利用したWebブラウザベースのマルウェアスキャナを無料サービスとして提供する予定です。このサービスは、マルウェアへの感染が原因と思われる不審な活動により一時的にアカウントが停止しているFacebookユーザにご利用いただけるサービスです。コンピュータまたはデバイス上のマルウェアや意図に反する望ましくないソフトは、デバイスの正常なパフォーマンスを妨害したり、個人情報を盗んだり、システムにアクセスするなどの可能性があります。これらは、正規のユーザーアカウントから送信されているように見せかけた悪意あるリンクやスパムを投稿することにより、Facebookユーザやその友達のアカウントを悪用する場合があります。

Facebookでソフトウェア・エンジニアを務めるChetan Gowda氏は次のように述べています。「Facebookを安全にお使いいただけるようにすることは、私たちの仕事の中でも極めて重要です。エフセキュアのアンチウイルス技術の力が私たちの現行システムに加わって、マルウェアのブロックと駆除が実現できることを嬉しく思います。」

また、エフセキュアでプロダクトマネージャを務めるArto Saariは次のように語っています。「Facebookの全世界にわたる目覚ましい発展は、家族や友人との関わり方を大きく変えました。その人気を受け、今度はFacebookがオンライン犯罪の主たる標的となっています。エフセキュアは、Facebookのユーザ基盤がサイバー犯罪者に悪用されることを食い止めるべく、Facebookと提携できることを光栄に思います。」

エフセキュアのマルウェア・スキャンおよびクリーンアップ技術は、Facebookのユーザ・エクスペリエンスへと完全に統合されます。Facebookは、不審な活動をするアカウントを識別すると、クリーンアップ・プロセスにユーザをリダイレクトします。スキャンとクリーンアップは、Facebook内のWebブラウザウィンドウから直接実行できます。クリーンアップ完了後、ユーザはハッカーやスパイウェアに監視されることなく安全にFacebookアカウントへログインすることができます。以下にそのプロセスを示します。

•ユーザが感染したデバイスからログインしようとすると、マルウェア感染に関する通知画面が現れます。そこには、エフセキュアのスキャナの使用を推奨する旨が記載されています。スキャナは検出される脅威の種類に合ったものであるため、デバイスにアンチ・ウイルス・プログラムがすでにインストールされている場合でもこれを実行することが推奨されます。スキャナは最新のもので、実行を完了すると自動的に削除されるため、メンテナンスについて気にする必要はありません。

•ユーザは、マルウェア駆除プロセスをスキップするか、推奨スキャナをダウンロードするかを選択することが可能です。マルウェア駆除プロセスをスキップしたユーザには、後ほど再び実行を促す画面が表示されます。

•スキャナをダウンロードし実行しているユーザは、スキャン中もFacebookやその他のサービスを引き続き利用することが可能です。スキャン完了後、ユーザはFacebookで通知を受け取り、スキャン結果を確認することができます。

ProTip:Appleを使う?パスコードを有効に!

 本日、Appleの興味深いセキュリティニュースが報じられた。どうやら一部のApple機器が、Appleの「iPhoneを探す」機能を通じて乗っ取られてきたようだ。どうやって?脆弱なパスワードを持つiCloudアカウントなど、防御が甘いiCloudアカウントが使われた模様だ。

 iCloudにアクセスした時点で、「iPhoneを探す」の「紛失モード」へアクセスできるようになる。これはその機器をロックし、「見つけて下さったらお礼します。次の番号にお電話を」といったメッセージを送信するために使うことができる。

iCloud, Lost Mode

 あるいは、ゆすりを企てることも可能だ。

 以下は同僚のドイツ人が所有するiPhoneでの例だ。

Find My iPhone

 前述のリンク先によれば、「Oleg Pliss」がPayPalアカウントへの送金を要求している。iPhoneユーザがパスコードを設定していれば、デバイスのロックを解除できる。もし設定していなければ…、問題が生じることになる。

 なお、「iPhoneを探す」機能に「消去」オプションがあることは、お伝えする価値があるだろう。ゆすり以外に、あなたのiPhoneが焼かれる可能性もあるのだ。そしてiCloudがコンタクトやカレンダーへのアクセスを提供していることも忘れてはならない。

 つまり…パスコードの有効化に加えて、あなたのApple/iCloud/iTunesアカウントに強力かつユニークなパスワードを使用する必要がある。もちろん、アプリを購入する際に入力することは煩わしいだろう。しかし、これは払う必要のある対価なのだ。

 あるいは、iCloudの機能を無効にするとよい。

 「Identify the critical accounts to protect, and then make sure the passwords for those accounts are unique and strong.(保護すべき重要なアカウントを特定し、次にこうしたアカウントのパスワードがユニークで強力であることを確認する)」

 To Doリスト:

 1)パスコードを有効に!(必ずしも直ちに求められるわけではない)
 2)自身のApple/iCloud/iTunesのパスワードをリセットする

 オプション(ただし強くお勧めする):

 3) パスワードマネージャを入手する

小さな企業の大きな機密を守る – ヨーロッパのクラウドで安全を

younited for Businessがあれば、中小中堅企業がセキュリティやプライバシー、信頼性への懸念から、クラウドコラボレーションにより得られる生産性のメリットを逃すことがなくなります。

クラウドコラボレーションは中小中堅企業に多くのメリットをもたらします。しかし、多くの企業がセキュリティやプライバシーへの懸念から、クラウドの利用を躊躇しています。エフセキュアのyounited for Businessではこれらの懸念が払拭されるため、中小中堅企業はクラウドによる生産性および省コストのメリットを十分に実現できるだけでなく、企業の極めて重要なデータが安全に守られ、かつ自分たちの管理下にあることを実感できます。

ファイルの同期および共有ができるクラウドソリューションを利用していない企業の45%が、利用しない主な理由として不十分な管理やセキュリティの問題を挙げています*。さらに、スノーデン氏による内部告発によって、プライバシーに対する企業の懸念はさらに大きくなっています。

エフセキュアのコンテンツクラウド担当バイスプレジデント、ティモ・ラークソネンは次のように述べています。「あの企業のソフトは脆弱なのでは? 適切なプライバシー保護対策が講じられているのか? 抜け道があるのでは? というように、企業は極めて重要な情報や企業の機密を他の企業の手にゆだねることに懸念を抱いています。セキュリティ業界で25年の実績を持つエフセキュアがホストするyounited for Businessは、ヨーロッパのクラウドにおいて堅固なセキュリティと暗号化の機能を提供します。」

クラウドで、小が大を兼ねる


中小中堅企業は常に少ないリソースを最大限に活用する方法を模索しています。クラウドなら、小が大を兼ねるため、そのニーズに完全に応えることができます。管理すべき物理ハードウェア、大容量のファイルが添付されたメール、ITへの投資、各種デバイスに分散しているファイルのすべてを少なくできます。younited for Businessを使えば、プロジェクト管理やワークフローが改善され、場所を選ばずどこからでもビジネスの情報へ即時にアクセスでき、これらすべてが生産性と効率性の向上につながります。

コラボレーション:プロジェクトに従事することに関しては、メールでは限界があります。younited for BusinessのGroup Space機能なら、チームの全員が最新バージョンのファイルを使用して、共通のプロジェクトに参加できます。従業員はパートナーや顧客とファイルを共有できるため、外出先でのコラボレーションも容易になります。

いつでも、どこからでもファイルにアクセス:従業員がオフィス以外の場所で働くことはこれまで以上に一般的になっています。必要なファイルに簡単にアクセスできることは、事業を展開していくうえで重要です。場所やデバイスに関わらずファイルにアクセスできるため、外出先でも仕事をすることが可能になります。

データの消失からの保護:デバイスは変更されることがありますが、企業のデータは常にバックアップされます。また、バージョン管理に合わせて遡ることができるほか、デバイスに何が起こってもデータが従業員以外の目に触れることはありません。

younited for Businessは、昨年コンシューマ向けにリリースされたyounitedの中小中堅企業バージョンです。この製品はエフセキュアのターンキーのクラウド型セキュリティサービスである、プロテクション サービス ビジネス(PSB)と同じポータル経由で管理されるため、セキュリティとクラウドコンテンツの両方を容易に一元管理できます。

younited for Businessは現在ヨーロッパで販売されており、5 GB、100 GB、500 GBの3つのオプションが用意されています。同製品は、エフセキュアの信頼のネットワークで結ばれた代理店から購入できます。


* エフセキュアの2013年デジタル企業調査では、従業員数500人以下の企業において、ソフトウェア購入の決定権または決定に対する影響力を持つ人々を対象にWebインタビューを行いました。調査はドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、米国の8カ国で行われ、各国につき最低100名、計805名からの回答が得られました。回答者の67%が男性で、37%が女性でした。同調査はGfKによって2013年11月に実施されました。
* * 2014年5月27日現在、younited for Businessの日本での提供は未定です。

モバイル脅威に対する有効な対策

ますます巧妙化するモバイル脅威に対し、エフセキュアの最新版モバイル脅威レポートで紹介されている対策方法についてご案内します。

デバイスにロックをかける


オンラインベースの攻撃に対する懸念が広がっているとはいえ、デバイスをマルウェアに感染させるのに最も容易な方法は、直接ひそかにインストールすることです。まずデバイスの物理的なセキュリティを保護してください。デバイスをロックすることで、誰かがあなたの気づかないところで設定を変更したり、監視ツールやスパイウェアなどのアプリをインストールしたりするような事態を防ぐことができます。

盗難保護対策を講じる

盗難保護対策を利用すれば、デバイスを取り戻すことが不可能だと思われる場合に、リムーバブルメディアを含むデバイス上のデータをリモートで消去することが可能です。盗難対策ソリューションには、デバイスの位置を確かめたいときのためのロケーションマッピングやアラーム起動機能などが含まれます。

権限の要求を確認する

Playストアまたはその他のソースからアプリをダウンロードする際には、要求される権限の一覧を確認してください。インターネットへの接続やファイルを外部ストレージに保存する必要がありますか。あるいはSMSメッセージの送信を許可する必要はどうでしょうか。そうした権限が必要な理由を開発者のサイトで確認し、またレビューを読んで他のユーザの意見を参考にしてください。

ダウンロードしたアプリをスキャンする

アプリをダウンロードした後は、インストールする前に、信頼できるモバイル向けアンチウイルスソフトを使用してスキャンを実施してください。これは「沈黙」の動作、すなわちユーザに通知されることなく許可されている動作を確認する手段です。アンチウイルスソフトのスキャン結果に問題がなければ、安心してアプリのインストールに進むことができます。

信頼できるソースからのみダウンロードする


Android端末では、Playストア以外のソースからのアプリのインストールはブロックされるようにデフォルト設定されています。お使いのデバイスがPlayストアのアプリのみを許可しているかどうかは、[設定]>[アプリケーション]>[提供元不明のアプリ]から確認できます。チェックボックスにチェックが入っている場合は、Playストア以外のアプリがインストールできる状態になっていることを意味しますので、チェックを外してください。

モバイル脅威の最新の詳細については「2014年第1四半期モバイル脅威レポート」を参照してください。

当社がフェイスブックとのパートナーシップから学んだ3つの教訓

 火曜日、Facebook Securityはマルウェアのクリーンアップを容易にするための新たな取り組みを発表した。そして、その取り組みに当社が参加することを非常にうれしく思っている。エフセキュアは、マルウェアのクリーンアップを行うベンダーとして現在パートナーとなっている2社のうちの1社だ。

 10億人超のユーザがいるフェイスブックは、脅威を検知するのにうってつけの極めて類を見ない有利な位置にいる。他ではほとんどできない規模で、パターンを確認できるのだ。非一般的なブラウザプラグインをインストールさせるスパムリンクを送り込むユーザアカウント…、そう、こうしたアカウントはマルウェアに影響を及ぼされているコンピュータから接続している。では、それについて何をすべきか?

 我々が参画したのはそこだ…。

 Facebookに焦点を合わせたマルウェアの症状を特定すると、Facebookはログイン中に以下のプロンプトを案内する。

Facebook, Your Computer Needs To Be Cleaned

 次に、ユーザに当社のOnline Scannerをダウンロードする選択肢を提示する。

Facebook, F-Secure Online Scanner

 ダウンロードと起動が完了すると、ユーザはFacebookへの投稿を続けることができるようになる。

 当社のスキャナはバックグラウンドで実行され、終了するとFacebookの通知を生成する。

Facebook, F-Secure Online Scanner: finished

 Facebookに焦点を合わせたマルウェアがスキャンを促すトリガーとなったとしても、当然ながら当社のスキャナは、存在するならさらに多くの脅威を検知する。もし困難なケースが発見された場合、Facebookは当社のUIを前面に移動する。

 このプロジェクトにおける、当社のサービスマネージャ「Chanki」は以下の見解を述べている。

 1 — 必ずしも悪意があるというわけではないが、デフォルトでクリーンだとは分類しがたいような、疑わしいインストーラが大量にある。正当な使用法もある、共通プラットフォームを活用するアイテムを複数インストールするようにインストーラが設定されている場合、良いものと悪いものを区別するのは課題となる。

 2 — 我々はまた、FirefoxおよびChrome上の悪意のあるブラウザ拡張の分類、検知、削除を扱う方法を考え出す必要がある。これらのブラウザ拡張は、Facebookのプラットフォームに対して非常に攻撃的な方向性を示している。その典型は、トルコ発祥のマルウェアKilimなどのファミリーだ。また、このブログで以前取り上げたことがあるFBSuperといった、それより以前の攻撃もある。攻撃対象はWin32 OSに留まらない。前述のブラウザに代表されるプラットフォームについても考慮に入れる必要がある。

 3 — 我々は、マルウェア作者にとってBitcoinがいまだに大きな動機付けになっていることも発見した。Bitcoinのマイナーを拡散、インストールするベクターとしてFacebookを活用している2つのマルウェアファミリー、NapolarおよびLecpetexを識別した。

 上出来だ、Chanki!

 当社のOnline Scannerを試したいなら、Facebookのプロンプトを表示する必要はない。ご自由にダウンロード、実行してほしい。USBのツールキットに加えよう。最新の検知のためにオンラインでのアクセスが必要だが、Webベースではない。複雑な脅威が発見された場合、仮想Linuxマシン内にリブートしてからWindowsへ戻る機能など、このスキャナには巧妙な機能がある。すばらしい。

F-Secure Online Scanner UI: Start

 最新のバージョンはいつでもf-secure.com/online-scannerで見つけ出せる。

エフセキュア仮想スキャンサーバ、高い評価で受賞

仮想環境におけるエフセキュアのセキュリティ・ソリューション「エフセキュア仮想スキャンサーバ」が、Networld誌の「年間最優秀セキュリティ・ソリューション賞」を受賞しました。

エフセキュア製品が再び表彰されました。ポーランドのITプロフェッショナル向けの専門誌Networldは、「エフセキュア仮想スキャンサーバ」に「年間最優秀セキュリティ・ソリューション賞」を授与しました。本製品は2013年12月に販売を開始しています。

「本製品の大きなメリットは、これが仮想環境、混在環境、ハイブリッド環境で展開可能であるという点です。つまり、この製品が物理マシンと仮想マシンの両方にインストール可能であるということです。また、エフセキュア仮想スキャンサーバがVMware、Citrix Xen、Microsoft Hyper-Vなどの一般的な仮想プラットフォームすべてに対応しているということは、きわめて重要なポイントです。」

従来のアンチウイルス・ソリューションは、多くのハードウェア資源を占有し、混合環境下での運用が困難な場合があります。その結果、パフォーマンスに悪影響が及びます。一方、仮想環境向けに開発されたセキュリティ・ソリューションの多くは、パフォーマンスの最適化に重点を置いているため、保護レベルに妥協しています。エフセキュア仮想スキャンサーバは、専用に設計されたスキャンサーバを使うことで、検知率を損なうことなくパフォーマンスを向上します。

現在、組織の規模にかかわらず、多くの企業はクラウドへ移行し、さらにメリットを享受できる手法として仮想化を採用しています。クラウドへ移行することで、多額の初期費用を運用費へ切り替え圧縮することができます。また仮想化を支持する大きなポイントの一つに柔軟性があります。すなわち必要に応じてサービスを追加し、あるいは削除できるということです。他の大きな理由として、リソースの最適化が挙げられます。これにより新しいサービスを素早く自動で展開できるため、運用効率性を上げることができます。

仮想化プラットフォームやクラウドベースソリューションの利用が拡大している中、エフセキュア仮想スキャンサーバで仮想環境に対するセキュリティ・ソリューションを提供してまいります。

「忘れられる権利」について

 グーグルによると、「忘れられる権利」は「論理的に複雑」ということだ。

 Last Week TonightのJohn Oliverが、以下でこの問題を明確にしている。



 Last Week Tonight : Right To Be Forgotten

デジタル・フリーダムの4つのテーマと俳優デビット・ハッセルホフ氏の提案

俳優デビット・ハッセルホフ氏とエフセキュアのミッコ・ヒッポネンは6日、ベルリンにてデジタル・フリーダムを求めるキャンペーンを開始し、クラウドソーシングによる宣言サイトをオープンします。

デジタル・プライバシーは、今や攻撃に晒されています。しかし、ほかならぬエフセキュアのミッコ・ヒッポネンとF-Secure Freedomeアンバサダーで俳優のデビット・ハッセルホフ氏の支援により、私たち一人ずつが、この攻撃に対して一矢報いることができるようになりました。両氏はベルリンで開催されるre:publicaテクノロジー・カンファレンスで、デジタル・フリーダム・キャンペーンを開始します。このキャンペーンの最初に予定されているイベントは、クラウドソーシングによるデジタル・フリーダム宣言です。この宣言には、デジタル・プライバシーに関心を抱くすべての人が参加し、意見を寄せることができます。

このキャンペーンの目的は、デジタル・フリーダムと現代社会の脆弱さへの関心を喚起することです。スノーデン氏の告発で脚光を浴びた事実として、デジタル・フリーダムは、世界中で失われつつあります。今回のキャンペーンでは、近日開催されるプライバシー関連のイベントを推進するほか、プライバシーへの意識の高い他の組織と提携するデジタル・フリーダムに取り組む機関について紹介します。またこのキャンペーンおよび宣言では、デジタル・フリーダムの4つのテーマに取り組みます。

1. 大規模な監視からの自由

現代の二大イノベーションである携帯電話とインターネットは、私たちに対する監視ツールとして利用されるようになっています。PRISMに代表されるプログラムの問題点は、こうした監視プログラムが犯罪の疑いがある人物の監視だけでなく、政府が無実であると知る一般の人々をも秘密裏に監視していることです。

2. デジタルな迫害からの自由


おそらく皆様は、隠すことなど何もないとお考えでしょう。しかし、時の経過とともに状況がどのように変わっていくかは誰にもわかりません。現在は、データを破壊することよりも、データを永久に保持する方が安価ですが、皆様の現在のオンライン活動の一部が、今後自分の不利になるように使われるとしたらいかがでしょうか。法を遵守する国民が、そのような不安を抱えて生活するようではなりません。

3. デジタルな植民地化からの自由

テクノロジーは驚くほどのスピードで世界を大きく変えようとしています。しかし、技術的に可能であるからといって、それを無条件に自分たちの生活に受け入れなければならないということではありません。

4. デジタルなアクセスの自由、活動の自由、言論の自由

私たち個人のプライベートな発言や投稿・執筆は、いかなる政府機関の関心の対象となるべきものではありません。そして、私たちはプラットフォームへのアクセス、活動、言論の自由を求めて戦うべきなのです。

自由の追求

エフセキュア・セキュリティラボの主席研究員でセキュリティおよびプライバシーの専門家であるヒッポネンは次のように述べています。「私たちはこれまでの世代が対処する必要のなかった複雑な問題に取り組んでいます。インターネットやインターネットサービスを少しでも利用していれば、皆様は政府や企業によって追跡され、データを収集されています。デジタル・プライバシーとは一体どのようなもので、私たちが持つ権利とは何でしょうか。私たちはどのような世界に身を置きたいのでしょうか。この宣言をきっかけに、私たちはこうした疑問に敢然と立ち向かい、そして答えを出していきたいと考えています。」

ヒッポネンは、デジタル・プライバシーについて率直な発言を続けています。彼は10月に開催されたTEDトークの中で、また今年初めに開催されたRSAカンファレンスでの講演を取りやめた際にも、監視に対して反対する強い意見を表明しました。ハッセルホフ氏は現在、エフセキュアの新しいオンライン・プライバシーとセキュリティのVPNソリューションであるFreedomeのアンバサダーを務めています。自由が主に物理的な問題であった80年代における自由と正義のヒーロー、デビット・ハッセルホフが、再びデジタル・ワールドでの自由を求めて戦います。皆様の声をお聞かせください

クリエイティブコモンズのライセンス付与が予定されているデジタル・フリーダム宣言には、デジタル・フリーダムやデジタル・プライバシーに関心がある方であればどなたでも、ご自分の考えや懸念、意見を寄せることができます。デジタル・フリーダム宣言は、デジタル・フリーダムを世界で推進していくための声明として活用されます。
デジタル・フリーダム宣言では、ベルリン時間の6日午後4時15分に予定されているヒッポネンとハッセルホフ氏の基調講演後、www.f-secure.com/digitalfreedomで皆様からの投稿の受付を開始します。わずか一行でも結構です。デジタル・フリーダムを求め、皆様の声を発して、このキャンペーンにご参加ください。

詳しい情報:
www.f-secure.com/digitalfreedom
freedome.f-secure.com

オンラインプライバシー:皆さんにとっての意味

コロンビアの作家でノーベル文学賞受賞者のガブリエル・ガルシア・マルケス氏はかつて、「すべての人は、公的な生活、私的な生活、そして秘密の生活という3つの生活を送っている」と語りました。

公的な生活、私的な生活、そして秘密の生活。これらが意味することは、特にデジタルの世界では、人によって異なります。ある人は、ペットの猫についてブログに投稿することが自分自身を公にし過ぎていると考えるかもしれません。一方で、日常のあらゆる出来事をビデオでブログに投稿することが当たり前になっている人もいます。

私的な生活という点についてですが、人によっては、お互いにやり取りする従来の電子メールは個人的なコミュニケーションであると思うかもしれません。しかし、技術に詳しい人は、あらゆるコミュニケーションをエンドツーエンドで暗号化し、自分の身元情報を常に匿名にしておきたいと考えるかもしれません。このことは、VPN、匿名化サービスや電子メール暗号化のようなテクノロジーを用いれば可能です。

オンラインで秘密の生活を送るということも、人によって意味が異なってきます。一般的な人であれば、自分の実際の情報を明かしたくないサイトにアクセスする際には、いつもとは違うJohn.Doe@dummy.tldなどの身元不明の電子メールアドレスを使うかもしれません。https://mailinator.com/は、オンデマンドの使い捨ての電子メール受信トレイを使うのに役立つサービスです。その他の人にとっては、Webでの秘密の生活は、闇に包まれた活動を意味するかもしれません。つまり、Silk Roadのような市場の運営といった非合法活動の隠蔽、ボットネットの作成と運営、RATの実行やビットコインマイニング用のマルウェアやキーロガーの作成などといった活動です。

これまでお話ししたように、それぞれの生活の意味は、人によって異なります。知らないことを幸せであると感じる人もいます。こうした人は、自らの安全を保ったり、オンライン上の身元情報や所有物の乗っ取りと悪用を防いだりするためのわずかな手順を踏まないことで、自分のオンライン上の身元情報に対して、どのようなことが起こる可能性があるのか(そして残念なことに、その結果として何が起こるのか)を知りたいとは思いません。

公の生活、私的な生活、そして秘密の生活という概念の一つひとつを、今後、ブログへの投稿で詳しく説明していこうと考えています。そこでは、ネットサーフィンの際に身元情報を保護する方法についてのヒントもお知らせします。それまでの間、この3つの生活が、皆さんにとって、どのような意味をもつのか考えてみてください。


「ポリス・ランサムウェア」がAndroidのエコシステムに拡大

 クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

#Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史

  5月13日、グレン・グリーンウォルドの著書「No Place To Hide」(邦題「暴露」)が世界同時発売された。
NoPlaceToHideJP

この本は、NSA(米国家安全保障局)の業務請負企業職員だったエドワード・スノウデンがNSAの大規模サーベイランス・ファイルを内部告発暴露してからまもなく1年になるのを前に、PRISMやVerizonの件など今まで公表された主なNSAファイル記事のまとめと、今もNSA記事を書き続けているグリーンウォルドが当初どのようにスノウデンとコンタクトしたのかなどの模様や、スノウデンの人物像などが詳細に記述されている。また著書ウェブサイトからは収録されている資料をPDFでダウンロードすることもできる。

  またこの本の後半でグリーンウォルドは、権力の監視役として既に牙を失った報道機関への厳しい批判も展開していると同時に、NSA記事の公表の急先鋒だった英ガーディアン紙が直面した、英スパイ機関GCHQによって指示されたスノウデン・ファイルのコピーを保存していたコンピューターの破壊強制や、グリーンウォルドのパートナーのディヴィッド・ミランダが飛行機の乗り換えで通過しただけの英ヒースロー空港で反テロ法を理由に6時間以上も拘束された事件などを含めて、調査ジャーナリストへの政府からの圧力が現実だという事にも触れている。グリーンウォルドがこれらの事件により既存ニュースメディアの限界に直面したことは、グリーンウォルド他のジャーナリストが集まってeBay創業者のピエール・オディミアの資金援助により立ち上げた「Firstlook Media」へとつながっている。

  この本でも触れられている重要な要素に「ファイブアイズ (Five Eyes)」がある。ここでの「ファイブアイズ」とは、アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5ヶ国によるスパイ活動での提携のことをいう。これについては、やはり先週ミッコが基調講演したベルリンで開催の「re:publica 2014」コンファレンスで行われた、ロンドンを本拠とするプライバシーNGO「プライバシーインターナショナル」のエリック・キングによる「ファイブアイズの歴史」のトークが参考になる。
(Disclaimer: 筆者はプライバシーインターナショナルのアドバイザリー役員の1人をしている https://www.privacyinternational.org/ )

  ファイブアイズは第二次世界大戦中の1942年に設立されたが、その時にはなんとアラン・チューリングが重要な役目を果たしていたという。さらに、この5ヶ国は提携しているにも関わらず、相互にスパイ活動は行わないという取り決め合意はなく、情報共有していると同時に互いに探り合っているという。「特定秘密保護法」のような法律を作ってしまった日本も、このような敵も味方もない世界に踏み込むことになるのだろう。

re:publica 2014 - Eric King: Only a monster has Five Eyes



(ところで、この本の邦訳でも例に漏れずアメリカの「PATRIOT法」に対して「愛国者法」の訳語が当てられているが、これは不正確な訳語である。この法律の名称がなぜ「Patriot法」ではなく「PATRIOT法」かというと頭文字を連ねているからで、「Providing Appropriate Tools Required to Intercept and Obstruct Terrorism」の略になっているので、直訳すると「テロリズムの阻止と遮断に必要な適切なツールを提供する法」というものであって、愛国者を定義した法律ではない。
 アメリカ議会ではこのような法案名の語呂合わせはイメージ操作のためによく使われるが、それを真に受けて訳してしまった日本のニュースメディアは滑稽では済まないものがある。またこれは、スノウデンの肩書きに日本では未だにほとんど「元CIA職員」を当てていることにも言える。スノウデンの最後の役職はNSAの業務請負企業Booz Allen and Hamiltonの職員だったのだし、この本の中でもNSAの元シニア・アドバイザーの肩書きがあったことが明かされている。)

アンチウイルスは死んだ?

アンチウイルスはもはや使いものにならないと言われています。その見解は正しく、いわゆる世間一般的に言うアンチウイルスは、ここ5年以上も絶望的な状態にあります。
 
ファイルを何らかのブラックリストのようなものと照らし合わせ、単純に特定のファイルを悪意のあるソフトウェアとして特定するだけでは、現在のサイバー犯罪者による攻撃を防ぐには不十分です。

従来のアンチウイルス保護機能では、例えば、「ドライブバイ攻撃」と呼ばれるものに対しては効力を発揮しません。

こうした一般的な攻撃では、ユーザが特定のウェブサイトへアクセスすると脆弱性を狙う固有のファイルが生成され、これがユーザのPCに感染します。

こうした理由により、現在、利用価値のあるセキュリティソリューションは、レピュテーションベースの検出方法を採用しています。ファイルを悪意のあるファイルのリストと単純に照らし合わせるだけでなく、当社はファイルの系統の確認まで行います。系統がこれまでに見られなかった特有のものであれば、当社が提供するレピュテーションベースの保護機能は、そのファイルが非常に疑わしいファイルであるとみなします。「犯罪者たちは、各ユーザに対し固有の悪意のあるファイルを作成することで検出されることはないと考えていますが、これこそがまさに私たちが敵を出し抜く方法なのです」とヒッポネンは述べています。

今日、コンシューマおよびビジネスユーザの両者がウイルスに感染するもっとも一般的な手口は、ドライブバイのようなエクスプロイトです。何百万にもおよぶマルウェアのサンプルが出回っていますが、常に広く狙われているのはほんの数十個の脆弱性だけなのです。

そこが難しいところなのです。つまり、もしこうしたエクスプロイトを未然に防止することができれば、マルウェアはお客様のPCに入り込むことができません。
「レピュテーションベースの検出は、デジタルジュードー(柔道)に少し通じるところがあります。われわれは敵の攻撃を利用し、それをそのまま相手に返すのです。」とエフセキュアの主席研究員であるミッコ・ヒッポネンは説明します。

この点については、アンチウイルスシグネチャスキャンに重点を置いたテストへの言及をしばしば目にします。こうしたテストの中には、VirusTotalを使って行われるものさえあります。この種のテストでは、10年前のテクノロジーしか評価できず、またレピュテーション検出も含まれていません。テストは常に「現実世界」を反映するものでなければなりません。つまり、望ましくはユーザがもっとも頻繁に使う初期設定で、製品の全機能についてテストを行う必要があるのです。考えられるウイルス感染については、エクスプロイトを含めすべての段階でテストが実施されなければなりません。

要するに、

従来のアンチウイルスは使いものにならず、今後はレピュテーションベースのアンチウイルスが主流となるでしょう。


エフセキュアラボ
  ミッコ・ヒッポネン
  ミカ・スタルバーグ

マイクロソフト セキュリティ インテリジェンス レポート第16版

 マイクロソフト社は先頃、SIR(セキュリティ インテリジェンス レポート)第16版を公開した。セキュリティ問題に本気で取り組んでいるなら、SIRは必読だ。

 そしてなんと…、フィンランドが再び世界中でもっとも健全な地域となった。

lowest infection rates in the world

 Is it a coincidence that Finland is the cleanest country in the world?(フィンランドが世界一クリーンな国なのはたまたまか?) ;-)

巧妙化するモバイル脅威

エフセキュアの最新版モバイル脅威レポートによると、モバイル脅威の大半が金銭詐取を目的としており、またボットネットやマルウェア開発ツールの存在が確認されるなど、脅威が巧妙化しています。

主目的は金銭詐取

2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威のファミリーもしくは亜種の88%が、不正なアプリのインストールによって有償のSMSを送信するなどの手段で、金銭的な詐取を目的としていることが判明しました。

モバイルのボットネットの広がり

新しい脅威のファミリーや亜種の19%は、秘かにリモートのC&C(コントロール・アンド・コモンド)サーバヘ接続します。不正なサーバに接続したモバイル・デバイスはボットネットを構成し、C&Cサーバをコントロールする攻撃者によって、不正な行為を実行する踏み台として悪用されます。このような不正な行為には、悪意あるプログラムのインストール、情報の収集、SMSの送付が含まれます。

ツールキットの登場

2014年第1四半期は、モバイル脅威の開発の転換期でもありました。そのひとつとして、モバイル脅威のツールキットDendroidの登場が挙げられます。DendroidはAndroid用のトロイの木馬の開発キットで、技術的なスキルを持たなくてもマルウェアの作成を容易にします。過去、PCプラットフォームの脅威の作成をエクスプロイトキットが容易にし拡散させたように、今後はAndroidを標的にした脅威が益々広がることが懸念されます。

モバイル脅威の最新の詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。

ビデオ:ヒッポネンとハッセルホフ

 re:publica 2014におけるミッコ。



 re:publica 2014 - Looking for Freedom

 F-Secure Digital Freedom Manifestoにあなたの考えを追記してほしい。

re:publica 2014で「デジタルフリーダム宣言」をF-Secureのミッコと俳優デビッド・ハッセルホフが基調講演 #rp14

  昨日5月6日からベルリンで開催されている「re:publica 2014」コンファレンスのオープンニングで、ミッコ・ヒッポネンと俳優/歌手のデビッド・ハッセルホフが「デジタルフリーダム宣言(Digital Freedom Manifesto)」として基調講演を務めた。これは先月のミッコのポストにも触れられていたが、デビット・ハッセルホフが2014年からF-SecureのFreedome Ambassadorとなったデビューでもある。
 http://blog.f-secure.jp/archives/50726380.html 
 
「デビット・ハッセルホフって誰?」という人には、1980年代のアメリカの人気TVシリーズ「ナイトライダー」や「ベイウォッチ」の俳優というのがヒント。
 http://en.wikipedia.org/wiki/David_Hasselhoff

ビデオがすでにre:publicaのページに上がっている。

この基調講演では「デジタルフリーダム宣言」として以下の4つテーマについて語られている。
 #Theme 1: Freedom from Mass Surveillance (一般人への大規模サーベイランスからの自由)
 #Theme 2: Freedom from Digital Persecution (デジタルな迫害からの自由)
 #Theme 3: Freedom from Digital Colonization (デジタルな植民地化からの自由)
 #Theme 4: Freedom of Right of Access, Movement and Speech (アクセス、移動、言論の自由の権利) 

F-SecureではこれらのテーマについてWikiベースのキャンペーンサイトを立ち上げていて、広く発言を求めている。

Android ‐ 依然として最多のホスト攻撃

2014年第1四半期の新たなモバイル脅威の大半はAndroidユーザをターゲットとし、サイバー犯罪者は、これまでにないAndroidプラットフォームでの数々の脅威によってその現状を「刷新」しました。

エフセキュアの最新版モバイル脅威レポートによれば、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威の99%以上がAndroidユーザを標的にしていました。検出された新種の脅威ファミリーとその亜種277件のうち、275件がAndroidを標的にし、iPhoneとSymbianはそれぞれ1件ずつでした。前年同期を見てみると、新種の脅威ファミリーとその亜種は149件で、Androidを標的としていたのは、その91%でした。

2014年第1四半期ではこれまでにはなかったAndroidマルウェアが多数検出されています。これは、モバイル環境における脅威が精巧さと複雑さの面で進化し続けていることを示しています。当概四半期には、Litecoinなどの仮想通貨を採掘するためにデバイスをハイジャックする、暗号通貨(クリプトカレンシー)のマイナー(採掘者)が初めて確認されました。またブートキットも初めて見つかっています。これはデバイスの起動ルーチンの最初期段階で打撃を与える、検出や駆除が極めて困難なものです。さらにTorトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されています。

エフセキュアラボで主席研究員を務めるミッコ・ヒッポネンは次のように述べています。「こうした進化はマルウェアの作成者が目指す方向に同調している兆候を示しています。今後数カ月のうちにもっと多くのことが判明するはずですが、たとえば、携帯電話がますます高度になることで、サイバー犯罪者がこれらを利用し、暗号通貨を採掘して利益を手にすることが可能になっているのです。」

エフセキュアが第1四半期に評価した中で、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル(500人当たり1ファイル)のマルウェアファイルがブロックされました。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされています。

悪質な作為

デバイスに感染するとモバイル脅威はどのような悪意ある行為を行うでしょうか。本レポートでは、モバイルを狙うトロイの木馬の83%がプレミアム課金用の番号、またはSMSベースの購読サービスにSMSメッセージを送信しており、これが悪質なアクティビティの中で最も一般的であることがわかっています。

以下、モバイルを標的とするトロイの木馬による一般的なアクティビティの一覧です。

  • SMSメッセージをプレミアム課金用の番号に送信する
  • 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
  • デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
  • 実際には役立つ機能がないモバイルAVソリューションになりすます
  • ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
  • バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
  • ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
  • 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する

iPhoneおよびSymbianの詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。
オンラインバンキングやオンライン閲覧に関する最高のAndroidセキュリティのほか、ペアレンタルコントロール、アプリケーションスキャニング、盗難防止などの機能については、30日間無料のエフセキュア モバイル セキュリティをお試しください。Google Playでも入手可能です。

ビデオ:NEXT Berlin

 ミッコが昨日、NEXT Berlinにて講演を行った。

NEXT: Arms race

 現在、ビデオがオンラインでArms Race(軍拡競争)[24分15秒]という題で公開されている。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード