エフセキュアブログ

2014年08月

明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

GameOver Zeusが戻ってきた

この5月、GameOver Zeusのボットネットが、司法当局に摘発された最大のボットネットとして、歴史に名を刻んで終了した。
しかし残念ながら戻ってきてしまった。

BankInfo SecurityのMathew J.Schwartz氏はこのように説明する。

FBI、ヨーロッパ、そして英国国家犯罪対策庁が 'Operation Tovar'を開始して、GameOver Zeusを拡散するために使用されていたボットネットを破壊してからおよそ3ヶ月、このマルウェアは世界的に息を吹き返しつつある。

GameOver Zeusは、感染したPCから銀行口座や個人情報を盗むために設計された「トロイの木馬」だ。5月に司法当局が摘発した時点で、FBIは世界で50万から100万台のPCが感染しており、そのうちの4分の1が米国で、1億ドル以上が詐取されたと推計している。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは「GameOver Zeusの新しい亜種が溢れているわけではない」と述べている。エフセキュア・ラボでは最近の脅威を観察し、その起源について結論つけている。



GameOver Zeusに詳しい我々のアナリストが、最新のサンプルを分析した。彼の評決:明らかにSlavikの仕業だ。

どう思われるだろうか? 弊社のオンライン・スキャナーは新旧のGameOver Zeusを検出する。今、無償でPCをチェックいただきたい

では、

ジェイスン

Pitou Q&A

Pitouって何?
 最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。

なぜPitouと呼ぶのか?
 Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。

最初にどこで発見されたのか?
 顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。

最初に見つけたのはいつか?
 当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。

この脅威が懸念される人は?
 この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。

PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
 他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。

Pitouのホワイトペーパーはどこで入手できるか?
 以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。

pitou_whitepaper_cover (96k image)


Post by - Wayne

----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

オンライン攻撃のたびにすべてのパスワードを変更しないで済ませるには

セキュリティの専門家の秘訣:彼らはパスワードを頻繁には変更しません。その必要がないからです。皆様にも役立つ秘訣をご紹介します。

12億ものパスワードがロシアのハッカーに盗まれたとの報告がありました。Heartbleedが発見される以前のことです。広範囲に及び特定できないデータ漏洩が発生した場合、すべてのパスワードを変更すべきだというのが一般的な見解です。しかしエフセキュア セキュリティラボによれば、さらに優れた方法があります。パスワードを適切に管理する習慣があれば、オンライン攻撃の情報を聞くたびにすべてのパスワードを変更する必要はなくなります。

「すべてのパスワードを変更すれば被害はないでしょうが、手間がかかってしまいます。それだけではなく、より強固な長期的対策とは言えず応急処置に過ぎません」とエフセキュア セキュリティラボのセキュリティ・アドバイザー、ショーン・サリバンは述べています。データ漏洩は新たな現実であり、もし起きたらという問題ではなく、いつ起こるかという問題になっています。サリバンは次のように述べています。「ユーザには、すべてのパスワードを変更するように指示するのではなく、従う価値のある役立つアドバイスが必要です。次に漏洩が報告された際には、被害に遭ったパスワードは管理下に置かれ、そのパスワードのみ変更すれば良いのです」

サリバンはまたこのように述べています。「専門家の秘訣、それはデータ漏洩によってすべてのパスワード変更を推奨されても、そのアドバイスに従っていないということです。なぜなら、その必要がないからです。特定のアカウントについて漏洩されていないのであれば、私はパスワードについて心配しません。それは、私がパスワード記録用のツールや、アカウント管理に役立つシンプルな各種のテクニックを利用して、リスクを最小限に抑えているからです」

それでは、パスワードを絶えず変更する手間をなくす有効な手段とは何でしょうか。サリバンは重要な点をいくつか指摘しています。

リスクを低減するためにアカウントを分散。個人関連、業務関連、金融関連など、目的ごとにEメールアドレスを作成することによって、アカウントを分けます。そうすれば、1つのEメールが侵害されても、その他のすべての情報が危険にさらされることはありません。サリバンは次のように述べています。「金融口座用のEメールアドレスを別に作成してみてはいかがですか。そして、そのアドレスを金融機関以外の誰にも教えないことです」さらにもし、個人アカウントに銀行関連のEメールが届いたら、それは不法なものであるとすぐにわかります。

可能であれば、Eメールアドレスの他に、ユーザ名も異なるものを使用。Eメールの他に固有のユーザ名を取得できるサービスもあります。ハッカーははるかに多くの情報を得ることが必要になるため、可能であればこのオプションを利用すると良いでしょう。また、利用可能であれば二要素認証を使用します。

各オンラインアカウントに対し、個別のパスワードを使用。異なるアカウントに対して同じパスワードを使用することは、ハッカーのためにレッドカーペットを広げているようなものです。Facebookアカウント用のパスワードが盗まれたら、犯罪者はEメールや他のアカウントに飛び移り、そこで同じパスワードを試すでしょう。

必須ではないデータをオンラインアカウントに提供しない。危険にさらされるものが少ないほど、安全性は高まります。

ある特定のアカウントについて漏洩が通知されたら、そのパスワードを変更。これは言うまでもありません。アカウントのパスワードを変更することは、少々骨が折れるかもしれません。しかし、長い目で見れば、漏洩のたびにすべてのパスワードを変更するよりは、簡単でストレスも少なくて済みます。また、個人情報やオンラインの身元識別情報の安全を守るためには価値のあることです。サリバンは、最初は1つのアカウントにて変更するところから開始し、すべてのパスワードについて完了するまで、対応を強化していくことを提案しています。

サリバンは次のように述べています。「これはPCの憂慮すべき次なる課題です。すべてのアカウントはクラウドにあるからです。世の中には2種類の人々がいます。アカウントをうまく管理する人々と、トラブルの世界に入りこむ人々です。どちらのグループに入りたいですか?」

適切なツールを使用すれば簡単です

ではどうすれば、多くの個別のパスワードとログイン名を覚え、効率的に管理できるでしょうか。エフセキュアのパスワードマネージャ、F-Secure KEYなら、適切なパスワード管理ができるだけ簡単に苦もなく行えます。F-Secure KEYでは覚える必要があるのは、たった一つのマスターパスワードだけですから、各アカウントに対して個別のパスワードを設定することが簡単になります。ユーザ名、パスワード、PINコード、その他重要なデータが、1つの安全なアプリケーションに保存されています。

F-Secure KEYには現在、全面的にアップデートしリフレッシュしたモバイルバージョンがあります。新しいモバイルユーザインターフェースには「お気に入り」機能があり、頻繁に使用するアカウント情報へのアクセスを、簡単に素早くできるようにします。F-Secure KEYのすべてのバージョンは、独自の強固なパスワードを生成するのに役立ちます。また、エフセキュア セキュリティラボからのニュースフィードが導入されており、主要なハッキングに対しては最新の状態を保つことができます。強力な暗号化により、すべてのデータが守られます。

F-Secure KEYは無料でダウンロードでき、Android、iOS、Windows、Macなど、あらゆるデバイスで使用できます。複数デバイス(何台でも可)上で同じマスターパスワードを用いてF-Secure KEYを使用したり、安全な欧州のクラウド経由で複数デバイスのパスワードを同期するには、プレミアムバージョンにアップグレードしてください。プレミアムバージョンは有償になります。F-Secure KEYはApple App Store、Google Play、f-secure.com/keyで取得できます。

ランサムウェア・レース(パート5):守られないSynoLockerの約束

 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。

SynoLockerはシノロジー社製のNAS(network attached storage)デバイスを標的にしている。デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されたファイルの暗号化を始める。さらに、ファイルを復号する見返りに身代金の支払いを要求するメッセージを被害者に提示する。しかしながら、SynoLockerの背後にいる犯罪者らはうその約束をしているのだ。 当社で観察した数多くのケースにて、復号プロセスは実際には動作しなかったり、犯罪者らが提供した復号キーが間違っていたりした。

 犯罪者たちに騙されたとしても、望みが完全に潰えたわけではない。正しい復号キーを被害者が入手することができれば、ファイル群はまだ復号できる。この目的のために、当社は本日、小さなツールをリリースする。Pythonのスクリプトで、当社で書いたものだ。正しい復号キーが提供されている限り、このツールを使って安全にSynoLockerで暗号化されたファイルを復号できる。このツールは、決してSynoLockerで作成されたファイルの暗号を破るものではない。また、復号キーを総当たりで探すことはしない。復号キーが既知の場合にのみ動作する。

Screenshot of encrypted and decrypted file headers
SynoLockerで暗号化されたファイルの先頭部分(左)と復号された同じファイルの先頭部分(右)

 当社の復号ツールのもう1つの使用場面は、ユーザが身代金を払ったが、感染したデバイスからマルウェアSynoLockerを削除済みだったために、復号キーが使えなくなった状況だ。デバイスを当該マルウェアに再感染させる(これは悪い考えだ)代わりに、当社のスクリプトをキーと共に使って、ファイルを復号できる。

 このツールを一般社会に公開することにより、こうした犯罪者によって引き起こされる害悪を解消するのに貢献できることを願っている。

 当社はどなたにも身代金の支払いを一切お勧めすることはない。

 当社の復号ツール、インストールおよび使用マニュアルはこちらから

 Post by Artturi (@lehtior2)

DEFCON CTFでの日本と世界の差がすごいと話題に

世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。
主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。
その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。

これは2014年の大会で主催チームであるLegit BSが行った可視化です。



見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。
一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。



日本のクオリティの高さを実感できます。

盗まれた12億人分のパスワード・・・私たちへの影響は?

報道されているとおり、ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが分かりました。この大量のパスワードの中に皆さんのパスワードが含まれていても不思議ではありません。しかし、実際のところ何が起こっているのでしょうか。なぜこれが私たちにとってリスクとなるのでしょうか。そして、個人としてはどう対応すべきなのでしょうか。その内容を少し詳しく見ていきましょう。
 
まず、webシステムでは毎日システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。これは今に始まったことではありません。このニュースの本質は、その規模にあります。ロシアのハッカー集団は、ネット上で脆弱性のあるシステムを探し出すために強力なスクリプトを使って自動的にハッキングし、その結果、この極めて大量のパスワードが盗まれることとなったのです。しかし、この事件を記事にしたり、話題にすることは今もなお有益です。というのも、この事件は、個人のパスワードに関する習慣がなぜ重要であるかを再認識させてくれるからです。
 
ではまず、一般的なインターネットユーザがどのような過ちを犯すのか検証していきましょう。ここにアリスというインターネットユーザがいます。

 1. アリスはGoogleでメールアカウントを作成します。運よく、alice@gmail.comは誰にも使用されていませんでした。彼女は安全とされるパスワードの基本条件を知っており、大文字、小文字、数字、特殊文字を含んだパスワードを設定しました。

 2. アリスは、頻繁にネットを利用し、FacebookなどのSNSやディスカッションフォーラムを利用しています。その多くで、alice@gmail.comをユーザIDとして使用しており、パスワードも同じものを使用することは非常に合理的です。パスワードはメールアドレスとセットのようなもので、複数のパスワードを覚えたい人などいないでしょう。

 3. そこへ悪意のあるハッカーが登場し、脆弱なシステムを見つけ出すためネット上でスキャンを開始します。Gmailは適切に保護されているため、この攻撃の影響を受けることはありません。しかし、小規模組織の多くは趣味レベルでサイトを運営し、サイトをしっかり保護するスキルやリソースを持っていません。アリスがよく利用するサッカークラブのサイトもそうしたサイトの1つです。ハッカーはこのサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのalice@gmail.comのパスワードを知ることになります。皆さんは、「それで?」と思うかもしれません。ハッカーが、アリスがよく参加するゲームを知っているだけでは、特に実害はありません。しかしちょっと待ってください。これがすべてではないのです。

 4. alice@gmail.comがGmailユーザであることは明らかです。そこで、ハッカーはアリスのパスワードをgmail.comで試してみます。見事に一致しました。この結果、ハッカーはアリスのメールアドレスのみならず、彼女がGoogleのサイト上で管理するその他のデータをすべて入手します。

 5. ハッカーは、Facebookなど、多くの人が利用しているインターネットサイトをスキャンします。またも一致しました。これでハッカーはアリスのFacebookアカウント、それからおそらくその他いくつかのサイトのアカウントも手に入れます。

 6. ハッカーは、入手したアカウントを使い始めます。情報、メールの内容、その他の連絡先情報、eメール、文書、クレジットカード番号などありとあらゆるものを入手するためにアリスのアカウントを利用します。また、いくつか例を挙げるならば、ハッカーは彼女のアカウントやIDを使いスパムを送信したり、なりすまし詐欺を行うこともできます。
 
では、この話の教訓とは何でしょうか。アリスは安全とされるパスワードを使用していますが、この場合においては安全ではありません。彼女の犯した間違いは、そのパスワードを多くのサイトで利用したことにあります。規模の大きなサイトであれば通常少なくとも妥当なレベルのセキュリティが適用されています。しかし、同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまうのです。そのため、自分のメインのメールパスワードを、特に規模が小さく怪しげなサイトに利用することは絶対にしてはいけないことなのです。
 
しかし、強力なパスワードを複数使用することは非常に不便だと、皆さんはそうお考えかもしれません。しかし、そんなことはありません。もし、皆さんが体系的に、正しいツールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。
 
それでも自分の記憶に自信が持てない方もいるかもしれません。大丈夫です。エフセキュアでは、便利なツールを用意しています。それが、パスワードマネージャのF-Secure Keyです。
 
ところで、最初の質問の解答は何でしょうか。ロシアのハッカー集団による攻撃は、私たちに影響するのでしょうか。個人としてどう対応したらよいのでしょうか。(この執筆時点では)どのサイトに影響が及んでいるのかがわからないため、誰に影響が及んでいるのかはわかりません。しかし、盗まれたパスワードの数が膨大であることから、皆さんのパスワードがそこに含まれている危険性は実際に存在します。とにかく、自分にアリスと共通する点があると思ったら、すぐにパスワードを変更することをお勧めします。今回のロシアのハッカー集団の被害者ではないにしても、遅かれ早かれ被害者となる日がきます。そうなる前に自分のデジタルIDは安全に保護してください。
 
すでに利用しているすべてのサイトで覚えやすい異なるパスワードを設定している場合は、慌てる必要はありません。被害を受けたサイトがわからないうちに、パスワードをすべて変更する必要はないでしょう。しかし、もしこの42万のサイト一覧が公開され、自分がそのいずれかのサイトのユーザである場合は、該当するサイトのパスワードを変更することは重要です。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

エフセキュアのyounited、フィンランド代表としてワールドサミットアワードモバイルに参加

younitedが、世界トップクラスのIT専門家が審査員を務めるイベントで、世界中の優れたモバイルアプリと競います。

エフセキュアが提供する、写真、ビデオ、ドキュメントのオンラインストレージサービス、younitedが、国連ベースのワールドサミットアワードモバイル2014の参加アプリに選ばれました。世界中から集まったIT専門家が、世界トップのモバイルコンテンツを審査するこの大会で、younitedは、「ビジネス&コマース」カテゴリーのフィンランド代表として参加します。

ワールドサミットアワードモバイルは、世界で最も優れたモバイルコンテンツを選び紹介する、国連ベースのイニシアチブで、途上国と先進国の間に存在する世界規模のデジタル技術格差を解消するとともに、国連世界情報社会サミットの目標達成に向けて行動することを目的としています。8月、著名なIT専門家や業界リーダーが、国際審査員として今年のノミネート作品を審査します。

WSAモバイルの議長であるPeter A. Bruck氏は次のように説明します。「WSAモバイルが目指しているのは、世界の様々な市場や場所において役立つもの、そして遠隔地の村とグローバルな大都市に住む人々の生活に本当の意味で変化をもたらすものを見つけ出すことです。したがって、審査員が最も重視するのは、その作品の商業的成功ではありません」。ブルック氏によると、審査員は製品のデザインと技術的実現性に加え、コンテンツの価値を評価します。さらに、各候補作品のデジタルデバイド解消に対する貢献が、審査員が重視する要素となります。

エフセキュアのコンテンツクラウド担当バイスプレジデント、ティモ・ラークソネンは次のように述べています。「エフセキュアはデジタルフリーダム、つまり、プライバシー、オンラインコンテンツの管理、アイデンティティの保護、インターネットの安全性に関する権利を守るべく闘っています。デジタルデバイドの解消は、当社にとっての重要な使命のひとつです。younitedは、経済状態に関係なく誰でもアクセスできるように設計されており、無料の5GBパッケージが用意されているほか、すべての機能を無償で提供しています」。

younitedは、写真、ビデオ、音楽、ドキュメントといったファイルを、オンライン上で無料かつ安全に保管できる場所をユーザに提供します。スマートフォンやタブレット、ノートパソコン、デスクトップパソコンなど、あらゆるデバイスからコンテンツにアクセスできます。また、FacebookやDropboxのような他のオンラインサービスのコンテンツをyounitedに統合することができ、すべてのデジタルコンテンツを1カ所で管理することができます。パーソナルクラウドサービスを使用することで、デバイスに何が起きても、コンテンツは常にクラウド内で安全に保存されます。

younitedでは、ユーザがプライベートのグループスペースを作り、ドキュメント、写真、動画を友達や家族、同僚と一緒に収集、共有、編集することができます。グループスペースでは、チームが同じファイルで作業でき、誰もが常に最新のドキュメントにアクセスできるため、ビジネスにおいても非常に便利です。

younitedなら、プライバシーが保証されているため、自分のものが見知らぬ人の手に渡ることはありません。

younitedは、同じカテゴリーでノミネートされる64のアプリと競います。全体では、160カ国を超える国連加盟国から454のアプリが、WSAモバイルに参加しています。受賞者は2月にアブダビで開催される、モバイル展示会および受賞式に招待されます。

詳細情報:
http://www.wsa-mobile.org/
http://www.younited.com/

WSAモバイルについて
ザルツブルクに拠点を置くInternational Center for New Media(ICNM)が主催するワールドサミットアワードモバイルは、国連世界情報社会サミット(WSIS)の枠組み内で、WSISとの協力により、ユネスコ、UNIDO、UN GAIDと連携して開催される世界規模のイニシアチブです。アワードの主要パートナーであるADSIC(アブダビ・システム情報センター)の拠点であるアブダビが、WSAモバイルアワードの開催地となります。

データ vs メタデータ

 Googleでは、すべての検索クエリでHTTPSを使用している。それは良いことだ。なぜなら、あなたが尋ねた質問(言い換えれば、あなたのデータ)がすべて暗号化されることを意味するからだ。しかしながら、HTTPSかどうかに関わらず、あなたのネットワークトラフィックにアクセスすることで、検索内容を推測することは依然として可能なのだ。以下に例を挙げる。

Network Traffic Analysis, Google to AA

 上のスクリーンショットは、ある一般的な「パケットアナライザー」が、DNSクエリ(別の言い方をすると、メタデータ)を表示しているところだ。我々は最初にテスト機をgoogle.comに接続して、検索を実行した。そして、検索結果のトップにあったリンクをクリックして、aa.orgに接続した。

 「alcoholics anonymous」が検索されたと見当をつけるのに、シャーロックホームズの演繹的推論の技術は必要ない。たとえaa.orgがHTTPSの暗号化を使っていたとしても(実際には違う)、DNSのメタデータを使えば、やはり検索データの内容を推察できる。行われた接続で、必要な証拠がすべて提示される。

 そして、これがメタデータが問題となる所以だ。

さくらインターネットとエフセキュア、レンタルサーバのウイルス対策で提携

エフセキュア株式会社は、さくらインターネット株式会社の「さくらのレンタルサーバ」をはじめとするサービスに、ゲートウェイでのウイルス対策ソリューションの提供を開始しました。

企業や組織の情報システムのクラウド化が進む中、レンタルサーバやハウジングの活用が改めて注目されています。このようなサービス形態においては、サーバやエンドポイントのクライアントのマルウェア対策に加え、ゲートウェイレベルでのセキュリティの確保による多層的な防御が必要となります。この度、レンタルサーバの大手であるさくらインターネットは、「さくらのレンタルサーバ」をはじめとする様々なサービスでのスキャンエンジンとして、「エフセキュア アンチウイルス Linux ゲートウェイ」の採用を決定いたしました。今後2014年8月31日までに、「さくらのレンタルサーバ」「さくらのマネージドサーバ」「さくらのメールボックス」などのサービスのウイルスチェックおよびウイルススキャンの機能が「エフセキュア アンチウイルス Linux ゲートウェイ」へ切り替えられます。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「レンタルサーバで著名なさくらインターネットの多くのサービスで、弊社のゲートウェイ対策ソリューションが採用されたことを誇りに思います。高いパフォーマンスと検知率を同時にご提供することにより、さくらインターネットのユーザの皆様にもご満足いただけるものと確信しております。」と述べています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。メールについてはスパム検査も可能です。高いパフォーマンスと検知率を兼ね備え、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。


ランサムウェア・レース(パート4):アダルトコンテンツ、Browlockの持続力

 当社では最近ランサムウェアファミリーの隆盛に目を光らせている。CryptoWall、CTB-LockerSynolockerについてのこれまでの記事にあるように、悪い奴らがこの種のマルウェアファミリーを絶えず開発中であることは歴然としている。これらのファミリーに加えて、ややシンプルなタイプのランサムウェアBrowlockも観察している。ただし、Browlockはかなり活動的で、最初に遭遇した2013年から非常に活発である。

 他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。

 以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。

HitCount2 (51k image)


 当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。

referer (63k image)


 Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。


 •   http:// alert. policecoin. info/ FI/cls.php
 •   http:// alert. porschepolice. net/ FI/cls.php
 •   http:// alert. xraypolice. com/ FI/cls.php

 •   http:// alert-police. barbrastreisandagent. com/
 •   http:// alert-police. estateagentsolutions. net/

 •   http:// attention.starpolice. biz/FI/cls.php
 •   http:// attention.starpolice. co/FI/cls.php

 •   http:// police. grantscards. com/
 •   http:// police. redunderground. com/

 •   http:// security-scan-nuqbqakx. in/
 •   http:// security-scan-jdytiujg. in/

 •   http:// system-check-abevbrye. in/
 •   http:// system-check-ipxmjdry. in/

 •   http:// security-akechksv-check. in/

 •   http:// security-zxqkcohl-chk. in/

 •   http:// law-enforcement-tqvrlbqb. in/
 •   http:// law-enforcement-icgkjyrr. in/

 6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。

IPtable3 (62k image)


 以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。

ip_graph2 (92k image)


 また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。

top5countries (8k image)


 この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。

Xiaomi RedMi 1Sを試す:OTAアップデート適用後

 8月10日、小米(Xiaomi)はOTAアップデートをリリースすることで、同社のスマートフォンのMIUI Cloud Messaging機能に関連するプライバシーの懸念に対応した。このアップデートは、当該機能をデフォルトではなく、オプトインの機能とすることを意図している。

 我々はすでにセットアップ済みのスマートフォンを持っていたので、この前のテストで使ったのと同じスマートフォンRedmi 1Sにアップデートをダウンロードし、適用した。

xiaomi_otaupdate (48k image) xiaomi_phone (124k image)

 続いてファクトリーリセットを行った。スマートフォンを再起動してみると、Settingsの下で、クラウドメッセージング機能が今度はデフォルトでOffにセットされていることに気付いた。

xiaomi_phone_settings (42k image)

 次に以下の手順を踏んだ。

   • 連絡先を新たに追加する
   • SMSメッセージの送受信を行う
   • 電話の発呼、着呼を行う

 こうした操作の間、スマートフォンから送出されるデータは確認されなかった。

 今度はクラウドメッセージング機能を有効にして、Mi Cloudにログインした。この時点でbase-64で符号化されたトラフィックがhttps://api.account.xiaomi.comに送信されるのを観察した。

for_xm_cropped (181k image)

 ここで注意すべきは、前回のテストで見られたのはHTTPだったのが、現在はHTTPSとなっていることだ。何が渡されているのかを見るため、HTTPSプロキシーを使う必要があった。

traffic_cropped (33k image)

 これは簡易テストで、さまざまなメディアのレポートの中で浮き彫りにされた点に、今回のアップデートが対応しているかを確認した。小米の副社長Hugo Barra氏も、MIUI Cloud Messagingの実装についてさらに詳細な記事を投稿している。

ランサムウェア・レース(パート3):SynoLockerの中身

 先週、シノロジー社製のNAS(network attached storage)デバイスを標的にした、SynoLockerと呼ばれる新たなランサムウェアファミリーについての記事を我々は執筆した。SynoLockerについてと思われる初期のうわさでは、悪名高いCryptoLockerと関係している可能性があるとされていたので、さらに深く掘り下げることにした。

 表面上、SynoLockerとCryptoLockerには多くの類似点がある。その最たるものは、似通った名前と、暗号アルゴリズムの選定や被害者から金を巻き上げるアイデアの類似性だ。しかしながら表面下では、類似性は急速に失われる。SynoLockerに感染すると、まずは被害者ごとにユニークなRSAのキーペアが生成される。秘密鍵はマルウェアのオペレータの元を離れることはないが、公開鍵は被害者のデバイス上に格納される。この公開鍵はデータの暗号化に使われるが、復号は対応する秘密鍵でのみ可能だ。マルウェアのオペレータが秘密鍵を掌握している限り、被害者が暗号化されたファイルへアクセスするのを妨げることができる。

 被害者のファイルの、実際のコンテンツを暗号化するにあたって、SynoLockerはAESを用いている。最初に、暗号化するファイルの大きさと名前からIV(initialization vector)を生成する。このIVは後の暗号化アルゴリズムでも使われるが、さらにランダムに生成された文字列と連結し、実際の暗号キーを生成するためにも使用している。続いて、オリジナルのファイルのコンテンツを暗号化する。同時に、いわゆるHMAC(keyed-hash message authentication code)も暗号化されていないデータから生成する。HMACは、一般にはデータの完全性の検証に用いられるものだ。最後にキーの生成に用いられたランダム文字列を、RSAの公開鍵で暗号化する。これにより、データを復号するための鍵を再生成するには、最初にRSAの秘密鍵を用いてランダムな文字列を復号することが唯一の方法となることが保証される。

Diagram of the encryption process and resulting file
暗号化プロセスと得られるファイルの図

 ファイルの暗号化が終了すると、SynoLockerはオリジナルのファイルを新しいファイルに置き換える。その新しいファイルには、まずRSAで暗号化したランダム文字列を書き込む。続いて「THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337」(Xは40個)というマーカー文字列を書き込む。これは暗号化されたファイルであることを確認するために用いる。マーカーの後ろに、暗号化プロセスで使用されたIVを書き込む。次に、オリジナルファイルのコンテンツの暗号化バージョンを書き込む。最後に、暗号化プロセスの最中に生成されたHMACを新しいファイルの末尾に書き込む。プロセスの途中いずれかの時点で何かが失敗したり悪い方向にいったとしても、オリジナルのデータが失われることがないような方法で、以上のすべての処理が行われる。すべて完了したときにのみ、SynoLockerはオリジナルのファイルを新しいファイルに置き換えるのだ。復旧がより困難になるよう、ランダムなデータでオリジナルのファイルを上書きすることも試みる。

File encrypted by SynoLocker, as viewed in a hex editor
SynoLockerで暗号化されたファイル。hex editorで表示(矢印はマーカー文字列の先頭を示す)

 ファイルの復号を行うには、必然的に上記のプロセスの逆になる。まず最初に、SynoLockerはランダム文字列を被害者のRSAの秘密鍵で復号して手に入れる。次に、暗号化されたファイルから取得したIVとともにランダム文字列を用いて、実際のAESキーを生成する。最後にこのキーを使用してファイルデータを復号する。同時に、SynoLockerは復号したデータから新しいHMACを生成する。最終的にオリジナルデータのHMACと新たに生成されたHMACを比較し、一致した場合にのみ、復号プロセスが成功したものと判定される。繰り返すが、これにより、プロセスの途中で何か悪い方向にいった場合であっても、存在するデータが失われることはないことが保証されるのだ。

 SynoLockerで使われている暗号化手法に加え、当社では感染の媒介物についてももっと見つけ出したいと思っていた。最善を尽くしたが、これまでのところ、SynoLockerが使用する媒介物について正確に特定できないでいる。ただ、SynoLockerはたったひとつの悪意のあるバイナリというよりも、むしろファイル群であって、感染の媒介物を通じてデバイスにアップロードされる。これらのファイルにはすべて特定の目的があり、また完全に機能させるために多くは互いに依存しあっている。この投稿の最後に、SynoLocker関連のファイル一覧を挙げる。

 SynoLockerのバイナリの分析中、オペレーションの別の側面の監視も継続していたが、マルウェアのオペレータが活動しているのを目にしている。支払いの指示のために被害者が閲覧するように指示されるWebサイトが、最近更新された。このページには現在「This website is closing soon...(このWebサイトはまもなくクローズする)」という注記が記載されている。オペレータらは、5500個を超える秘密鍵を保有しているが、一括で200 BTCで販売する意思があることを示している。

Recent screenshot of SynoLocker website
SynoLockerの最近のWebサイトのスクリーンショット

 オペレータが計画を成就するか、またそれが被害者に何をもたらすのか、継続して監視する。

 SynoLocker関連のファイル一覧
 /etc/synolock/server
 /etc/synolock/synosync
 /etc/synolock/synolock
 /etc/synolock/crypted.log
 /etc/synolock/decrytped.log (SynoLockerのスペルミス)
 /etc/synolock/RSA_PUBLIC_KEY
 /etc/synolock/RSA_PRIVATE_KEY
 /etc/synolock/.restore
 /etc/synolock/.decrypt
 /etc/synolock/watch.sh
 /etc/synolock/uninstall.sh
 /etc/synolock/watchdogtest.sh
 /usr/syno/synoman/crypted.log
 /usr/syno/synoman/decrypted.log
 /usr/syno/synoman/index.html
 /usr/syno/synoman/redirect.html
 /usr/syno/synoman/lock.png
 /usr/syno/synoman/style.css
 /usr/syno/synoman/synolockcode.txt
 /tmp/.SYNO_ENCRYPT_LOCK
 /tmp/.SYNO_DECRYPT_LOCK
 /tmp/.SYNO_SERVER_LOCK
 /tmp/.server
 /usr/syno/etc.defaults/rc.d/S99boot.sh
 /usr/syno/etc.defaults/rc.d/S99check.sh

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d (server)
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4 (synosync)

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

ティモがFlashファイルの動的分析について論じる

 シニア研究員ティモ・ヒルヴォネンBlack Hat USA 2014にて講演を行った。さらに、悪意のあるFlashファイルを動的に分析できるツールを一般に公開した。ティモは先週、このツールについてSC Magazine誌のAdam Greenberg氏に語っている。


動画

 このツールはGitHubのF-Secure / Suloからダウンロードできる。

フロンティア・コミュニケーションズが、エフセキュアのパーソナルクラウドサービスでサービスを拡大

地方および中規模自治体にコミュニケーションサービスを提供する米国大手サービスプロバイダのフロンティア・コミュニケーションズは、顧客のデジタルコンテンツニーズに応えるために、エフセキュアのパーソナルクラウドサービスを選択しました。同社がContent Anywhereと呼ぶ新たなクラウドサービスは、エフセキュアの以前のオンラインバックアップサービスからの機能拡張となります。

コンシューマは、スマートフォン、カメラ、タブレットなどを使用して、デジタルコンテンツを驚くべきペースで作成しています。ほとんどの場合、このコンテンツは多数のデバイスやオンラインサービスに分散しています。パーソナルクラウドにより、フロンティアの加入者は、安全と安心が確保されている一つの場所に写真やビデオ、音楽などを保存することができます。エフセキュアクラウドの独自の機能により、顧客はFacebookやDropboxなど、ほかのオンラインサービスからコンテンツを一つの場所に融合することができます。これらのコンテンツは、スマートフォンやタブレット、ノートパソコン、デスクトップパソコンからアクセス、ストリーム、および共有することができます。エフセキュアのクラウドサービスの基盤となっているのはプライバシーであるため、フロンティアセキュアの顧客は、自分たちのコンテンツが安全であることに確信を持つことができます。

Frontier Secureのプログラムオフィスディレクター、Brent Heilman氏は次のように述べています。「当社のFrontier Secureスイートを通じて提供されているエフセキュアのオンラインバックアップサービスは、大きな成功を収めています。当社は、他社のサービスに勝る、このすばらしい新パーソナルクラウドサービスをお客様に提供できることをうれしく思います。当社は、あらゆる顧客体験を特別なものにするために努力しており、その中には、お客様の生活を豊かでシンプルにする付加価値サービスを提供することが含まれます。Content Anywhereのグループスペース、コレクション、クラウド集約など、個人のコンテンツを最大限に活用できるよう設計されたこれらの魅力的な新しい機能は、当社のお客様に気に入っていただけるものと確信しております。」

エフセキュアの製品管理およびビジネス開発部門の責任者であるJyrki Tulokasは次のように述べています。「バックアップサービスは、デジタルコンシューマに大きな安心感を提供します。しかし、ユーザのニーズはこの3、4年でさらに大きなものになっています。フロンティアの新たなパーソナルクラウドサービスは、どんなデバイスからでも簡単かつ直感的に使用することができます。人生を豊かにする新しい機能とともにサービスが常に進化していくことは、ユーザの皆様にも喜んでいただけることでしょう。また、デジタルセキュリティとプライバシーが絶えず脅威にさらされている今日、エフセキュアのセキュリティ分野における専門知識が、当社のクラウドを際立たせる理由の一つであり、Frontier Secureの製品を特別なものにしているのです。」

世界中の通信事業者のナンバーワン・セキュリティーパートナーとして、エフセキュアは世界各国で100以上の通信事業者を通じて安全なクラウドサービスを提供しています。エフセキュアは、数百万のエンドユーザの数十億もの写真、動画、文書などのファイルを安全に保存しています。増加を続けるエフセキュアのクラウドコンテンツのデータは、現在数十ペタバイトに上っています。

フロンティアのContent Anywhereは、Android、iOS、Windows Phone 8スマートフォン、タブレットのほか、PCおよびMacコンピュータに対応しており、フロンティアのすべての契約者にご利用いただけます。



インターネットの世界に完璧なセキュリティやプライバシーなど存在しない−規約を読むとわかること

先月、ヒースロー空港に向かっていたセキュリティ・アドバイザーのショーン・サリバンは、特に驚くことでもないある発見をしました。
 
彼が乗っていたシャトルの無料Wi-Fiの規約には、セキュリティ専門家の彼にとってわかりきったことが書かれていたのです。「自身のセキュリティやプライバシーは自己責任です。」
 
人々にインターネット上でのプライバシー(さらには法的権利)を手放させる巧妙な手口の1つが規約への同意です。これは、あらゆるインターネット企業にとってビジネスを継続するために必須の事項です。エフセキュアも例外ではありません。
 
しかし、製品に関する難解な法的事項に対して「はい」をクリックすることは、1つ1つを見れば了承しがたいような項目の膨大なリストに同意することになります。
 
例えば、TwitterやGoogleは、皆さんがどのようにサイトを見つけ、利用しているかについて詳しく知るため、皆さんのIPアドレス、Webブラウザの種類、オペレーティングシステム、参照Webサイト、訪問済みWebサイト、その他6つの項目について情報を追跡していることをご存知でしたか?また、Facebookでは、あなたが投稿した写真や動画をFacebookが好きなように利用することができるほか、投稿されなかったものについても追跡が行われることになっているのです。
 
最近では、サイトがユーザに与える影響を詳しく調べる狙いでFacebookや出会い系サイトのOKCupidが一部のユーザに対して実験を行ったことが大きな注目を集めました。
 
これは、開発者が長年行ってきた一般的なA/Bテストとそんなに違うものなのでしょうか?実際のところ、こうしたデータがサイトのユーザエクスペリエンスの向上につながる可能性はあります。
 
OKCupidの実験は、ユーザのマッチ度を改善するために、意図的に誤ったやり方でユーザを結び付けるというものでした。
 
また、Facebookが2012年に行った実験はそれを超えるものだという人もいます。TechcrunchのCat Zakrzewski氏は次のように文章の中で述べています。「Facebookは、ユーザのフィードを操作し、意図的にユーザを悲しい気分にさせて、ユーザのニュースフィードの感情的傾向がユーザ自身の投稿の傾向に影響を与えるかどうかを調べました。Facebookは、70万人近くのユーザに対して実験を行い、その結果を学術誌に発表しました。」
 
ユーザはクリックで規約に同意したことによってあらゆる種類の実験にさらされました。こうしたサイトを信用した人々は、十年以上前なら想像もつかなかったような方法で日々の感情を捕えられてしまいます。
 
皮肉なことに、OKCupidの規約には、「お客様の地域にいる相性の良い独身者についての情報収集や、学校の研究論文を執筆することのみを目的とした本Webサイトの利用」はできないと明確に記載されています。皆さんの目的は実際に誰かと出会うことであって、実験であってはならないのです。しかしながら、出会いを求めるユーザにとっては実験こそが受け入れなければならない条件になっています。
 
このサイトの規約によって、ユーザは「インターネットの世界に完璧なセキュリティなどない」ということを再認識させられます。
まさにそのとおりです。
 
しかし、こうしたことを気にかけている人はいるでしょうか?オンラインで日常を共有するかたわらで、ハッキングされたり監視されたりする恐怖をサイトはどのようにして私たちになくさせているのでしょうか?
 
ソーシャルメディア中毒(のように見えるもの)は、薬物中毒と似たような作用を脳にもたらしています。気分が上下に浮き沈みし、サイトを利用することの代償に目を向けなくなります。実際のところ、ほとんどの人はあえてそれに気づかないようにしています。
 
QuartzのLeo Mirani氏は最近の文章の中で次のように述べています。「現在、世界にはおよそ15億人のスマートフォンユーザがいます。その中でMyPermissionsをダウンロードしているのは1,000万人もいません。」
 
MyPermissionsは、エフセキュアのPermissionsアプリ同様、各アプリが監視している項目を正確にユーザへ報告するツールです。
 
規約へ同意するたびに自分のプライバシーとセキュリティを放棄したくないと考えている方は、TorやエフセキュアのFreedomeといったプライバシーを取り戻すためのツールをご検討ください。Freedomeは、ユーザをトラッカーから保護し、世界中に置かれた複数の選択肢の中から自分のいるロケーションを設定することによりユーザの電話機を世界各地に移動させることができるVPNソリューションです。これは、サイトにユーザのエクスペリエンスを翻弄させないようにするものではありませんが、ユーザが気づかないままに情報を自ら提供してしまうという事態を防ぐことにつながります。

>>原文へのリンク

Xiaomi RedMi 1Sを試す

 ここ数か月の間、安価でお買い得なスマートフォンや企業動向で、小米(Xiaomi)社が断続的にニュースで取り上げられている。直近では、この人気のデバイスが断りもなくユーザ情報をリモートサーバへ送信しているというレポートもあった。このニュースは、疑わしいアプリがプリインストールされているスマートフォンに関する別のレポートの直後に報じられた。

 我々は早急にこれを調べたほうがいいと考え、真新しいRedMi 1Sを入手した。

xiaomi_redmi (164k image)

 開封するところからテストを開始したが、アカウントは何も設定されておらず、クラウドサービスへの接続も一切許可されていなかった。続いて、以下の手順を辿った。

   • SIMカードを挿入する
   • WiFiに接続する
   • GPS位置情報サービスを許可する
   • 電話帳に連絡先を新たに追加する
   • SMSやMMSのメッセージの送受信を行う
   • 電話の発呼、着呼を行う

 起動時に、スマートフォンが通信会社名をapi.account.xiaomi.comへ送信しているのを目撃した。また、同じサーバへIMEIと電話番号も送っていた。

xiaomi_data (137k image)

 電話帳に追加した連絡先および受信したSMSメッセージの電話番号も転送されていた。

 次に、小米のiCloudライクなサービスであるMi-Cloudに接続してログインした。その後、先ほど同じテスト手順を繰り返した。すると、IMEIと電話番号のみならず、IMSIの詳細情報がapi.account.xiaomi.comに送信された。

 現時点では、これはレポートにある振る舞いを見るための簡易テストにすぎない。レポートに応え、小米自身が潜在的なプライバシーの懸念に対応する声明を発表した(香港の同社のFacebookにて中国語で。英語訳がリンクされている)。

スーパーハッカーの祭典、Black Hat USAにおいてエフセキュアの専門家が注目しているテーマ

Black Hatカンファレンスは、「ベンダーの宣伝文句を聞かされることなく、ネットワークセキュリティの最前線にいる人々と直接顔を合わせる」ことのできる機会です。言い換えれば、マーケティング活動を排した最新の業界情報だけが集まる場なのです。
 
ラスベガスで8月2日(土)から始まるBlack Hat USAには、エフセキュアから2人が参加します。
 
エフセキュアのミッコ・ヒッポネンは、NSAのときとは違い、今年のBlack Hatで講演します。ミッコの講演「Governments as Malware Authors: The Next Generation」(マルウェア作成者としての政府:ネクストジェネレーション)は、世界各国の諜報機関にとって興味深い内容となるでしょう。
 
講演の概要には、次のように記載されています。「抗議の意味を込めてRSAでの講演をキャンセルした後、ヒッポネン氏は代わりにTrustyConにてGovernments as Malware Authors(マルウェア作成者としての政府)について講演を行いました。それに続く今回の講演では、その後の変化と、マルウェアを作成する政府に関する新たな情報に注目します。」
 
ティモ・ヒルヴォネンは、今回初めてBlack Hatで講演を行います。講演のタイトルは、「Dynamic Flash Instrumentation for Fun and Profit(楽しさと利益のための動的なFlashの編成法)」です。

ティモは、長年にわたってディープガードテクノロジの開発に取り組んできました。彼は、JavaファイルやPDFといった最も感染の危険性が高い種類のファイルを分析する専門家です。今回の講演では、「悪意のあるFlashファイルの動的分析を可能にする初めてのツール」を紹介し、デモンストレーションを行う予定です。
 
また、出席するかどうかにかかわらず、エフセキュアの専門家たちは各講演からピックアップした情報の評価を行っています。
 
セキュリティ・レスポンス担当ディレクターのアンティ・ティッカネンは、もし今回ラスベガスで開催されるカンファレンスに参加するとしたら出席するであろう講演のリストを提供してくれました。
 
- A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES(自動車への遠隔攻撃対象領域に関する調査):先日テスラ車でニュースにもなった自動車ハッキングについての講演です。
 – COMPUTRACE BACKDOOR REVISITED(Computraceバックドア:改訂版):「我々は、個人用または企業用コンピュータ上のAbsolute Computrace盗難対策ソフトウェアが不正に有効化されていることの証拠を複数発見しました。さらに、このソフトウェアが削除困難なBIOSベースの高度なバックドアとして使用可能であることが判明しました。」
 – DISSECTING SNAKE – A FEDERAL ESPIONAGE TOOLKIT(Snakeの分析−政府によるスパイ活動のツールキット):ミッコの講演につながるテーマです。
 
さて、ミッコが注目しているは何でしょうか?
 
彼は次のように語ってくれました。「BadUSBに関する講演は、興味深いものになるでしょう。そして、毎回私が楽しみにしているのはPwnie賞です。」

ではまた。
Sandra



>>原文へのリンク

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード