エフセキュアブログ

2014年09月

エフセキュア、「2014年上半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の上半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。





アジア地区での脅威の傾向


2014年上半期にエフセキュア製品のユーザから当社監視システムに報告された、アジア地区での脅威の統計は次のような順になりました。

1. Downadup
2. Webベースの攻撃
3. Sality
4. Ramnit
5. WormLink
6. Autorun
7. Majava
8. BrowserExploit
9. Expiro
10. ZeroAccess

DOWNADUP:発生後6年を経過したこのワームはWindowsのMS08-067の脆弱性を悪用してインターネット上(およびリムーバブルメディアとネットワーク共有を介して)拡散し、200を超える国で何百万台ものコンピュータに感染してきました。パッチを適用していないマシンがあるため、現在もDownadupは活動を続けています。

Webベースの攻撃:Webブラウザを悪意のあるサイトにリダイレクトし、そこでシステムにさらに攻撃を加えるマルウェア、手法およびエクスプロイトの総称です。

SALITY:2010年に最初に確認された大規模なウイルスファミリーで、EXEファイルに感染し、エントリポイントを不明瞭にして存在を隠します。この亜種も、プロセスを終了させて、データを盗むなどの活動をする可能性があります。

2014年上半期脅威レポートの日本語版は、こちらでご覧いただけます。

マルウェア作者はマーケティングサービスを用いて人々を標的とするか?

 ソーシャルエンジニアリング的な内容のマルウェアのメールに、すんでのところでひっかかりそうになったことについて愚痴をこぼしている人がいた。我々はこの興味深いケースに気付き、少々調査することに決めた。

 この人物は、近くサンフランシスコ行きのチケットを予約することについて、友人に話をしていた。そして、その電話から6時間後、サンフランシスコへの電子航空チケットが添付されたメールを受け取った。この人は十分注意をしていたため添付ファイルには触れなかったが、それは良い判断であった。当社で分析したところ、Trojan.Krypt.AUのバリアントと特定されたのだ。

 これは単にスパムメールで大量に送られたマルウェアで、なおかつちょうど適切なときに、この特定のユーザに命中したソーシャルエンジニアリング的な文章だったのに過ぎないのかもしれない。しかし当社のサンプル群を確認すると、関連するマルウェアについて、わずか1250の事例しか存在しなかった。これは、このマルウェアに限っては大勢の受信者に向けてスパムが送られたのではないことを示唆する。そのため、ちょうど命中したという可能性は非常に小さい。

 ここ1年のうちに、標的型広告サービス業者のユーザのプロファイルは、大幅に進化した。たとえば筆者が飛行機の便やホテルの情報をブラウザで表示したときのことだ。Trip Advisorなどの企業から、その特定の行先の飛行機の便やホテルについて提案するメールが来るようになった。もちろん、こういう経験をするにはFreedomeを無効にする必要がある。それでこそ筆者の追跡が可能になる。しかしこれが、一般ユーザのようにネットを体験したいと考えることの代償なのだ。

 今回のケースでは、マルウェア作者が被害者を見出すため、一部の標的型広告サービスを悪用した模様だ。検索エンジンでの広告の悪用は多数目にするが、メール広告サービスが同様の方法で使われた兆候が見られたのは、今回が初めてのケースだ。

 これまでのところ、被害者の選定が標的型プロファイルの悪用によってなされたことや、プロファイルする際に電話の分析に基づいていたことを示す証拠はない。おそらく前述の人物は、プロファイルに適合する何かを検索したのだ。しかしこれは興味深いケースで、我々はこの先の展開に目を光らせていく。

Fake Delta e-mail

 Post by — Jarno

BlackEnergy 3:中級の絶えざる脅威

 当社にて新しいホワイトペーパーを公開した。

 BlackEnergy & Quedagh: The convergence of crimeware and APT attacks(クライムウェアとAPT攻撃の集約)

The convergence of crimeware and APT attacks

 このホワイトペーパーの著者ブロデリック・アキリノは、BlackEnergyについて6月に初めて触れている。

  •  BlackEnergy、ルートキットみたいなもの
  •  欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 BlackEnergyは長い歴史を持つキットだが、今回の新しい分析は非常にタイミングが良い。実際に、ESET社のマルウェア研究者Robert Lipovsky氏およびAnton Cherepanov氏が、本日、Virus BulletinにBlackEnergyについての文書を発表する。

 ブロデリックの最新の分析と共通する点は、「BlackEnergy 3」と彼が名付けたバリアントに関する詳細を盛り込んでいることだ。Quedagh(訳注:ギャング集団の名前。前述のホワイトペーパーで取り上げられているBlackEnergyのバリアントの開発元として著者が名付けた)版のBlackEnergyの新機能の1つに、C&Cサーバへ接続する際にプロキシサーバをサポートすることが挙げられる。今回の場合、プロキシサーバ群はウクライナに設置されており、Quedagh一味がウクライナの政府組織を標的にしている有力な証拠がある。



 BlackEnergy 3の背後には誰がいるのか?以下にいくつかの説を挙げる。

 1) クレムリンが直接的な諜報人というもの。クライムウェア・キットを使用することで、もっともらしく否定できる
 2) 便利な操り人形(純粋に政治的に愛国的なハクティビスト)
 3) 現役のまたはかつてのサイバー犯罪者(別名privateer)。BlackEnergy 3は「市場」の関心を反映するように進化していっている
 4) 上記すべて
 5) もしかすると上はすべて間違いで、誰だか分からない

 Quedaghの組織的活動の背後にいるのが誰だろうと、「高度な絶えざる脅威」という目標を達成するために、一般に「商品化された脅威」として考えられている(少なくとも考えられていた)ものを使っている。これはトレンドになっているようだ。

 ところでなぜQuedaghなのか?

Quedagh Merchant

 Quedagh Merchant(クェダ・マーチャント号)とは、悪名高い17世紀の私掠船(privateer)のスコットランド人船長ウィリアム・キッドによって略奪された船の名前である。

 「Privateering was a way of mobilizing armed ships and sailors without having to spend treasury resources or commit naval officers.(私掠船とは、資金源を用意したり、海軍将校を委任したりすることなく、武装した船と船員を動員する方法である)」

 これをうまく説明できる、我々の仮説はこうだ。BlackEnergy 3のような「中級の絶えざる脅威」は市場原理によって推進され、サイバー犯罪者たちが自身の能力を諜報や商品化された情報戦争へと拡大している。

GameOver Zeus:コンピュータには望ましくないタイプのゲーム

『Team Fortress 2』と『Doom』は空前の人気を誇るPC用ゲームですが、GameOver Zeusはオンラインで購入できるゲームでもなければ、みなさんが進んでコンピュータにダウンロードするようなゲームでもありません。
 
GameOver Zeusとは?
 
以前、インターネットバンキングを狙う「トロイの木馬」について述べましたが、2012年に最初の感染が確認されたGameOver Zeus、すなわち「トロイの木馬」型のGOZほど、ユーザにとって有害なものはありません。GameOver Zeusは、感染したコンピュータからインターネットバンキングの認証情報を盗み出すように設計されており、海外にある犯罪者の口座へ電子送金します。伝えられるところによると、このプログラムはロシアのハッカー、エフゲニー・ボガチェフが作成したもので、世界中のコンピュータに植えつけられました。そして感染したコンピュータのネットワークすなわちボットを構築し、彼の犯罪組織がどこからでも制御できるようにしたのです。
 
GOZは主にスパムメールやフィッシングメールを通じて拡散します。これまで、人々から何億ドルも騙し取ったとみられ、さらに被害は拡大する見込みです。
 
話はそれだけにとどまりません。GameOver Zeusは異種のトロイの木馬を取り込むために、ハッカーが書き換えることもできるのです。その1つがCryptoLockerと呼ばれるランサムウェアで、ユーザがハッカーに身代金を支払うまで、すべてのファイルを暗号化して重要なファイルのほとんどを利用不能にする、大変な被害をもたらすマルウェアです。
 
2014年6月、FBI、欧州刑事警察機構(Europol)、英国国家犯罪対策庁(NCA)は、世界中の様々なセキュリティ企業や学術研究者らと緊密に連携して、「Operation Tovar」というプログラムのもと、対策に取り組んでいることを明らかにしました。この取り組みは、トロイの木馬を拡散しコンピュータに感染させるシステムを一時的に破壊し、その間、他のコンピュータが感染しないようにするものです。しかし、すでに感染したコンピュータには依然としてリスクが残っており、危険にさらされたままです。
 
次に起こる事は何でしょうか。
 
GameOver Zeusボットネットの破壊は、様々な意味で大きな成功となりましたが、これで終わったわけではありません。当社のセキュリティ・アドバイザーを務めるショーン・サリバンは、この一時的な破壊は完全に撲滅したというわけではないため、危険が実際には取り払われていないと懸念を表しています。
 
「ボガチェフが逮捕されていない現在、GameOver Zeusはいまだに大きな脅威で、さらに危険なものへと進化していくでしょう。ハッカーは、トロイの木馬の新しいバージョンのプログラムを簡単に作成して、身代金が支払われなかったり、当局が介入を試みたりした場合に、コンピュータ上のすべてのファイルを破壊するような『自己破壊』コマンドを起動させることができるのです。」
 
私たちがデジタルフリーダムを守るためにできることは何でしょうか。
  • 悪意のあるスパムメールやフィッシングを警戒 ― 特に何か要求した場合を除いて、Eメールの添付ファイルを決して開かない。
  • Eメールの添付ファイルを注意深く確認し、自動的に実行されるようなファイル(一般的にはファイル名の終わりが「.exe」)は、決して開かない。
  • インターネット セキュリティ ソリューションの環境を整え、常に最新の状態に維持する。
  • Windowsのオペレーティングシステムとインターネットブラウザのプラグインを常に最新版に維持する。
  • すべての個人用ファイルを定期的にバックアップする。
  • トロイの木馬GameOver Zeusに感染していないか確認するためにコンピュータを必ずチェックする。
 
この強力なトロイの木馬の仕組みや拡散方法の詳細については、この動画をご覧下さい。




>>原文へのリンク

エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

注意:iOS 8のFreedome v2.0.1について

 あなたが(筆者と同様に)iOS 8を実行するAppleデバイスを持っていて、なおかつF-Secure Freedomeを使っているのなら、バージョン2.0.1への更新は回避してほしい。

FreedomeVPN/514314954283819008

 もしあなたが(筆者と同じく)すでに更新済みだったら、アプリを開いた後にこの記事を読んでいるのかもしれない。

Freedome 2.0.1 on iOS 8

 「Remove Old VPN configurations(古いVPNの設定の削除)」」は行わず、単純にアプリを閉じてほしい。バージョン2.0.1は既存の設定で動作するはずである。

 Freedomeのオン・オフの設定を変更する必要があったら…

 Settings > General > VPNを用いること。設定のinfoボタンをクリックし、「Connect On Demand」に切り替える。

iOS 8 VPN settings

 あなたが現在導入しているロケーションのみに限られるようになる。しかし、お手元のものは、筆者の試験を元に動作させる必要がある。

 開発者たちは、今朝これよりも早く、Appleに修正版(v2.0.2)を送付済みで、Appleのレビューを待っている。詳細は、当社のコミュニティフォーラムに掲載されている。またFreedomeのTwitterアカウントもある。

 不便をお掛けしていることを謝罪する。

 追記:バージョン2.0.2が現在公開された。自分のデバイスから「iOS 7」のプロファイルを手作業で削除しなければならなかったが、続いてアプリから新たなプロファイルを導入できた。さらなる詳細については、当社のコミュニティフォーラム(上にリンクあり)を参照してほしい。

 Post by — Sean

情報化先進国シンガポールを支える技術

せっかくシンガポールに住んでいますので、世界最先端の情報化社会を実現したと言われるシンガポールの街並とその中に垣間見える情報化社会を支える技術をご紹介しましょう。
続きを読む

CosmicDukeと最新の政治ニュース

 2014年7月にCosmicDukeのレポートを公開した後も、我々は積極的にこのマルウェアの追跡を続けてきた。本日、我々は新たに2つのサンプルを発見した。双方ともタイムリーな政治トピックを扱っており、受け取った人に悪意のあるドキュメントを開かせるようにだます。

 1つ目はウクライナの危機とロシアに対するEUの制裁について述べており、オリジナルのドキュメントはここで公開されてから1週間経っていない。



 2つ目のドキュメントのトピックは時事問題、つまり本日のスコットランドの独立を問う投票に明確に焦点を合わせている。オリジナルの記事は今週初めに公開された。こちらが囮ドキュメントだ。



 攻撃者が最新の政治ニュースに通じており、また非常に機敏であることは明白だ。ソーシャルエンジニアリングのオッズを引き上げる情報を迅速に活用する能力や素養を持っている。

 もしCosmicDukeや、最新のサンプル、またその他の興味深い発見についてさらに知識を得ることに関心があるなら、10月23〜24日にフィンランドのヘルシンキで開催される情報セキュリティカンファレンスT2にて、詳細に論じられる予定だ。

コンテンツにお金を払うということ

 初めて当社のWebサイトをセットアップしたときのことを、筆者は覚えている。それは、20年前、1994年のことであった。Webは非常に若く、ほんの一握りのWebサイトしかなかった頃だが、Webが成長していくことは容易に予測できた。そしてもちろん、ここ20年の間に、爆発的に数が増えた。さらに重要なことは、Webが普通の平凡な人々をインターネットに招き入れたことだ。Web以前は、ネット上ではギークやナードしか見られなかった。今では誰もがネット上にいる。

 さかのぼること1994年、やがてくるWebの成長は何が契機となるのかについて、我々は予測を行った。Webが成長するためには、オンラインコンテンツ、つまりニュースや娯楽のようなコンテンツが存在することが必要だ。そしてニュースや娯楽がネットに移行するには、誰かがそれに対価を支払わねばならない。ではユーザは、どうやってお金をオンラインコンテンツに支払うのか?我々にはまったくわからなかった。新聞が紙バージョンでやっているように、オンラインでの年間購読費用の課金を始めるのだろうか?あるいはWebがオンラインのオンデマンド支払いシステムの類と統合し、コンテンツにアクセスするためにブラウザ内で少額決済をする簡単な方法がユーザに用意されるのかもしれない。これはDilbertという漫画の本日分を読むために、ユーザがいわば1セントを支払うようなことができるというものだ。

 ご存じのとおり、そのような少額決済システムはまったく現れなかった。20年前でもこのように明白なことのように見えたのに。その代わり、明るみになったオンラインコンテンツへの対価の支払い方法は、まったく異なる。つまり広告だ。Webサイトで最初にバナー広告を見たときのことを私は覚えている。おそらく1995年か1996年のことだ。他の誰かのWebサイトに広告を表示するために対価を支払う企業の考えに、苦笑がこぼれた。笑うべきではなかった。これと同じ考えが、今はほぼすべてのオンラインコンテンツを後押ししている。そして、GoogleFacebookといった企業では、高度に効率化された広告プロファイルエンジンが実質的にすべての利益を生み出している。

 ユーザプロファイルがどれほど利益につながり得るかについて、とりわけGoogleは好例だ。Googleのサービスには検索、YouTube、マップ、Gmailなどがあるが、これらは無料だ。1セントも支払わずに利用できる。こうしたサービスを稼働させるのは甚だしく高額である。Googleの電気料金だけでも、年間1億ドルを超える。非常に高価なサービスを提供しつつ課金をしない企業は損失を出していると考えるかもしれないが、そうではないのだ。2013年、Googleの収入は600億ドルであった。そして利益は120億ドルである。つまり、Googleには10億人のユーザがいると謙虚に見積もったとして、Googleは昨年ユーザ1人当たり12ドルの利益を得た。1セントたりも支払うことなくだ。

 率直に言えば筆者は、追跡やプロファイルをしないのであれば、Googleのサービスを使うのに喜んで年間12ドルを支払う。ふん、年間100ドル支払ったっていい!しかしGoogleはそういう選択肢を筆者に与えない。我々、つまりユーザたちは、我々のデータや行動をプロファイルおよび保存されることで、長期的にはもっと価値があるのだ。

 もちろんGoogleは営利企業だ。不法なことは何もせずに我々をプロファイルしている。我々が自身のデータをGoogleに自発的に提供しているのだ。そしてGoogleのサービスは素晴らしい。しかし時折、物事が違った形になり、コンテンツやサービスに対して支払いを行う単純な少額決済システムがあったらと願うことがある。今や暗号通貨が立ち上がったことで、これはいずれは現実になるかもしれない。

 ミッコ・ヒッポネン

 この記事は、エフセキュアの2014年上半期の脅威レポートの序文として初めに公表された。

アップルのセキュリティ質問がいまだに最悪なのはなぜ?

 2週間経ったが、アップルのセキュリティ質問がいまだに最悪なのはなぜか?

 以下は、Apple IDを作成する際に聞かれる質問の例だ。

Apple Security Questions

 そして完全なリストは次のようになる。

Security Question 1(セキュリティ質問1):

  •  What is your favorite children's book?(好きな絵本の題名は?)
  •  What is your dream job?(憧れの職業は?)
  •  What was your childhood nickname?(子供の頃のニックネームは?)
  •  What was the model of your first car?(初めて所有した車の名前は?)
  •  Who was your favorite singer or band in high school?(学生時代に好きだった歌手またはバンドの名前は?)
  •  Who was your favorite film star or character in school?(学生時代に好きだった映画スターや登場人物の名前は?)

Security Question 2(セキュリティ質問2):

  •  What was the first name of your first boss?(初めての職場での上司の名前は?)
  •  In what city did your parents meet?(両親が出会った町の名前は?)
  •  What was the name of your first pet?(初めて飼ったペットの名前は?)
  •  What is the first name of your best friend in high school?(十代の頃の親友の名前は?)
  •  What was the first film you saw in the theater?(初めて映画館で観た映画は?)
  •  What was the first thing you learned to cook?(初めて覚えた料理は?)

Security Question 3(セキュリティ質問3):

  •  What is the last name of your favorite elementary school teacher?(小学生の時に好きだった先生の名前は?)
  •  Where did you go the first time you flew on a plane?(初めて飛行機で行った場所は?)
  •  What is the name of the street where you grew up?(子供時代を過ごした町の名前は?)
  •  What is the name of the first beach you visited?(初めて遊びにいった海の名前は?)
  •  What was the first album that you purchased?(初めて購入したアルバムの題名は?)
  •  What is the name of your favorite sports team?(好きなスポーツチームは?)

 問題点は痛々しいくらいに明らかだ。質問があまりに主観的に過ぎるか、そうでなければ簡単に入手できる情報に基づいているのだ。

 となると何をするようになるか?

 質問が何であれ、無意味な答えを作るようになる。しかしここで別の問題が生じる。必要なったときには、無意味なものを忘れているだろう。

 そこで次は何だ?

 パスワードマネージャの備考フィールドを使う。

Childhood nickname? SvenHjerson

 願わくば、答えを使う必要性が生じないといい。他の誰にもできないことを確認すること。

—————

 関連するアドバイスについては、パスワードの取り扱いに関する当社の記事を参照してほしい。

9.18のサイバー攻撃に関して(追記)

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
#スクリーンショットの記載内容からすると、フライングの気もしますが・・・

918改竄画像


現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
#DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

918_b


918_a


Apple Watchが恐らくマルウェアに感染しない理由

アップルが最新のiPhoneのモデルと、待ち望まれていたウェアラブル技術の新製品を発表しました。Apple Watchです。

TechRadar誌はクパチーノ発の最新のイノベーションを「iPhoneと併せて楽しめるiOS8フレンドリーな時計」と評してします。

最新のエフセキュア・ラボによる「脅威レポート」はiOSのマルウェアに関するひとつの大きな誤解を払拭しています。存在するのです、極めて稀ではありますが。

Screen Shot 2014-09-09 at 4.43.06 PM

2014年の上半期に、295に及ぶモバイルのマルウェアの新しいファミリーや亜種が発見されました。294はAndroid、そしてひとつはiOSを狙ったものです。iPhoneユーザーはフィッシング詐欺やWi-Fi乗っ取りの被害に会う可能性があり、そのためにエフセキュアはFreeDome VPNを開発しましたが、iOSデバイス上の悪意あるアプリの脅威はほとんど存在しません。

「Androidと異なり、iOSでのマルウェアは現在のところ’脱獄’したデバイスに対してのみ有効であり、様々なハッカーによって作成された’脱獄’ツールは(そしてそれらは通常プラットフォーム上の未公開のバグによって作動します)、セキュリティ研究者の関心を引くところになっています」とレポートは解説しています。

Unflod Baby Pandaと呼ばれるiOSの脅威は今年初めに発見されました。これはデバイスのApple IDとパスワードの詳細を詐取するために、SSL接続を盗聴します。Apple IDとパスワードは最近ニュースで取り上げられているように、著名人のiCloudのアカウントを乗っ取る一連の作業の中で一部の役割を担っており、多くのプライベートな写真が公開されてしまう事件に繋がりました。

弊社のミッコ・ヒッポネンは最新のウェビナーにて次のように説明しています。「多くのユーザーは何年もの間これらのアカウントを使用し続けており、それは主にiTunesストアから買い物をするためですが、どれだけのデータが実際に保護されているのか気づいていません。」

しかしUnflod Baby Pandaは著名人のハッキングにはほとんど役割を果たしていません。デバイスの’脱獄’は極めて稀だからです。iOS App Storeの「クローズな空間」の手法による保護がハッキングを防いでいることを認識しているユーザーはほとんどいません。その手法はプラットフォームからマルウェアを排除することに成功しており、特にオープンなAndroidの世界と比較すると顕著です。悪意のあるアプリやアドウェア、スパムウェアが公式のPlayストアに潜入することもありました。一方iOS App Storeではほとんどありません。しかしAndroidの脅威の大多数は非公式のマーケットから感染するため、エフセキュア・ラボは非公式のマーケットを避けるよう勧めています。

iPhoneユーザーの大多数はマルウェアについて心配する必要はありませんでした。そしてApple Watchがアプリに対して厳重な制限をかけるのであれば、デバイスはセキュリティの心配は無用でしょう。
しかしスマートフォンに匹敵する能力をもつWatchを丸一日ほぼ24時間、体に装着するのであれば、従来考慮されていなかったプライバシーに関する問題を引き起こす可能性があります。

>>原文へのリンク

運命の痙攣:ゲーマーは恥も外聞もなく一からやり直した

 Twitch.tvとは、ビデオゲームに焦点を合わせたライブストリーミングプラットフォームである。5000万人超のビューワーを抱えており、8月にAmazon.comが10億ドル近くで買収した

 我々は最近、関係するユーザから、Twitchのチャット機能を通じて宣伝されているマルウェアについての報告を受け取った。あるTwitchボットアカウントがチャネルに攻め入り、見た人に週ごとのクジに参加するように呼びかける。このクジでは「Counter-Strike: Global Offensive」のアイテムといったものを勝ち取るチャンスがある。

items (165k image)

 Twitchボットが提示するリンクはJavaプログラムに通じており、参加者の氏名、メールアドレス、当選者の氏名の公開の可否について尋ねられるが、これをどこにも保存しない。

 この偽の景品に引っかかってしまった被害者が自身の情報を入力した後、以下のメッセージが示される。

congrats (17k image)

 このメッセージの後に、マルウェアはWindowsのバイナリファイルのドロップと、以下のコマンドの実行へと進む。

  •  スクリーンショットを取る
  •  Steam上で新たなフレンドを追加する
  •  Steam上でペンディング中のフレンドリクエストを受け入れる
  •  Steam上で新しいフレンドとの取引を開始する
  •  ユーザが金を持っていたら、アイテムを購入する
  •  取引の申し出を送る
  •  ペンディング中の取引トランザクションを受け入れる
  •  アイテムを値引きしてマーケットで売り出す

 このマルウェアは当社ではEskimoと呼んでいるのだが、あなたのSteamのウォレット、武器庫、インベントリを一掃することができる。Steamコミュニティマーケットで、あなたのアイテムの投げ売りさえ行う。

 以前のバリアントでは12%引きでアイテムを販売していたが、最近のサンプルではこれを35%引きに変更したことが示されている。おそらく、アイテムがより早く売れるようにするためだ。

code_sell_discount (67k image)

 関心のないアイテムを販売できると、攻撃者が関心のあるアイテムを購入するための資金を集められるようになる。関心のあるアイテムは、続いておそらく攻撃者が保持しているアカウントへと取引がなされる。

 被害者たちはforums.steamrep.comに、自分たちのアイテムが何の見返りも無しに以下のSteamアカウントへ渡されたと報告している。

steamaccount (113k image)

 Steamでは新たなマシンからのログインや取引には適切にセキュリティチェックをかけているので、これらはすべて被害者のマシンから行われている。新たに加えられたフレンドへ複数のアイテムを渡す場合や、あるしきい値に基づいて低価格で市場にアイテムを売り出す場合など、Steamが他のセキュリティチェックも追加すると、ユーザに役立つかもしれない。以上は、この種の脅威によってなされる損壊への教訓になるだろう。

ネット上の中傷やヘイトスピーチにどう対処すべきか−アンケート調査



インターネットによって、私たちが現実の世界で慣れ親しんだ議論の文化が全く異なるものに進化したことは、おそらく誰もが認めることでしょう。使用される形容詞は、人を鼓舞するような自由な形式から、常軌を逸した病的かつ不快なものへと変わっています。オンライン上で議論する際の(見かけの)匿名性は、良くも悪くも、よりオープンで率直な意見を引き出します。特にそれが中傷や攻撃的な発言になると、事態は悪い方向に向かいます。
 
みなさんはこの問題についてどうお考えですか。続きを読んで以下のアンケートにお答えください。
 
私たちには、中傷から自分を守ってくれる法律があります。しかし、ネット上の犯罪に対する警察の対応はまちまちで、まだ確立されているとは言えません。また、インターネットのグローバルな性質が、調査を困難にしています。少なくとも米国のサービスに大きく依存しているヨーロッパでは、ほとんどの事例が国際的なものです。
 
この見出しで述べたのは、まさにここフィンランドで最近あった事例です。オリジナルの報道はフィンランド語なので、ここでは短く要約します。ジャーナリストのSari Helin氏は、性的少数者の平等についてブログに書き込みました。例えば、子供たちの友人に二人の母親がいたとしても、自然にふるまい、拒絶するような態度を取らないようにするためにはどうしたらよいかを記しました。これはデリケートな話題で、多くの否定的な意見があったことは驚くべきことではありません。中には明らかに中傷と言えるものもあり、そうした書き込みでは、極めて汚らわしい言葉が彼女に対して使われたりしていました。彼女はしばらく考え、最終的に警察にこの件(主にFacebookのコメント)について届け出ました。
 
ここからが本当に興味深い部分です。先日、検察がこの件に関する決定を発表しました。告訴を取り下げ、調査すらしないことを決定したのです。なぜでしょうか? Facebookは米国にあり、このちょっとした悪事のために米国当局と連絡を取ることが面倒なのでしょう。別件でインタビューを受けた警察官も、外国に送られている捜査依頼については、おそらく同様の理由から多くの場合回答がないままであると述べています。これはフィンランドの事例ですが、他の国々でも同様のことが起こっているのではないかと考えています。
 
これで良いのでしょうか。人員についての主張は理解できるものです。当局には、対処すべきより深刻な犯罪が多くあります。しかし、これを受け入れてしまえば法と現実がさらにかけ離れることになってしまいます。何か不正があっても罰せられずにすむことを誰もが知っているのです。これで良いわけはありません。人員を増やし、国際的な調査をスムーズに行えるよう熱心に取り組むべきではないでしょうか。これこそが、現在の法を執行できる唯一の方法です。
 
もう1つの方法は、ネットに関する議論について私たちの考え方を変えることです。もし私がネット上で性的マイノリティを擁護するようなことを書けば、多くの人が嫌悪感を示し、私のことを悪く考えるでしょう。しかし、この人たちが私の書いた内容に対し自分の考えを書き込み、コメントしたとしたら、何か状況は変わるでしょうか。そんなことはありません。逆にこのような場合、多くの人は侮辱されたと感じるでしょう。私たちは、これまでとは異なるネット上の議論の風潮に、徐々に慣れてきていると思います。ある種の書き込みに対して否定的な意見が寄せられることを私たちは認識しています。こうした否定的な意見に対してどう対応すべきか心得ており、事実無根の誹謗中傷については無視することができます。私たちは信頼できる人物からの意見を重視するため、匿名の投稿は必然的に重要性が低くなります。事実無根で単に感情を吐露したようなものは単に無視すればよく、標的となった人ではなく、書き込んだ人が恥ずべきものです。私たちはこの考え方に向かって進んではいますが、完全にこの考え方が身についているかと言えばまだまだです。
 
しかし、どちらの方向に進むべきでしょうか。現行の法律を執行し、匿名で中傷する人を起訴するために懸命に取り組むべきなのか。それとも、新しい議論の文化に対する私たちの考え方を身につけるべきなのか。この世の中、白黒はっきりさせることは決してできません。これら両面で自然に発展していくものです。しかし、自分で決めることができるとしたら、どちらの方向に舵を取りますか。より重要だと考える方を選ばなくてはなりません。

ネット上の誹謗中傷などにどう対処すべきでしょうか。

・誹謗中傷についての現行の法律は適切であり、新たなテクノロジーが新たな問題をもたらすとしても、それを執行するために懸命に取り組むべきである。
"The current law about defamation is good and we should work hard to enforce it, even when new technologies bring new challenges."

・ネット上の誹謗中傷に関する法律を厳格に執行することは非常に難しく、人員を浪費するだけだ。ネット上の新しい文化に対する考え方を身につけるべきである。
 "Strict enforcement of defamatory laws on the net would be very hard and an unnecessary waste of resources. We have to adopt our mindset to a new culture on the net."

投票と結果表示はこちらから可能です。

 
ご意見お待ちしております。アンケート結果は一定の期間公開され、十分なデータが集まった時点でアンケートを終了します。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

エフセキュア 法人向け製品でWindows Server 2003のサポートを延長

エフセキュア株式会社は、法人向け製品でWindows Server 2003のサポート終了後も一定期間サポートを継続いたします。

日本マイクロソフト社のオペレーティングシステム Windows Server 2003のサポートが2015年7月14日に終了します。開発元がサポートを終了したオペレーティングシステムを継続して利用することは、セキュリティやコンプライアンスの観点からみて大きな危険性があります。サポート終了後は、新たにオペレーティングシステムの脆弱性が発見されたとしても、セキュリティパッチが提供されることがないため、エクスプロイトを利用したハッカーやマルウェアの侵入、またそれに伴う情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。しかしながら、Windows Server 2003は多くの企業で業務の基幹システムなどにも採用されており、サポート終了日の2015年7月14日までに全てを最新のオペレーティングシステムに移行させることは困難な状況です。

エフセキュアはこの状況を認識し、日本マイクロソフト社のサポート終了後も、Windows Server 2003にインストールされている法人向け製品に対し、延長サポートを提供することで、Windows Server 2003から最新のオペレーションシステムへのアップグレードの支援をいたします。なおこの延長サポートは、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。


Windows Server 2003向け延長サポート対象製品情報



  • サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。
  • セキュリティパッチが提供されず、脆弱性が修正されないままのオペレーティングシステムでは、エンドポイントセキュリティ対策製品でエクスプロイトから保護することが出来ない可能性があります。
  • サポート終了時点で、最新のサービスパックおよびパッチが適用されているオペレーティングシステムがサポート対象となります。
  • オペレーティングシステム自体に起因する不具合に対しては、弊社ではサポート対応できない場合がございます。

フィッシングサイト構築キットの設置者例

9/9付けのトレンドマイクロ社のブログへの投稿でApple ID詐取を目的とした「フィッシングサイト構築キット」について報告されています。ちょうど、私も類似のキットをネットサーフィン中に発見しましたので便乗させて頂きたいと思います。
キットの内容や対策等は、トレンドマイクロ社の報告にお任せするとして、ここでは設置者について触れてみたいと思います。

現在、Apple ID等を狙った類似のキットの悪用は複数サイトで確認されています。その多くは”apple.zip” といったファイル名で設置されており、利用されている言語も様々です。恐らく、世界各国で悪用されているのでしょう。
いずれのキットも、トレンドマイクロ社の報告にあったように、認証なしで上位ディレクトリの情報が閲覧可能な設定となっていたウェブサイトに設置されていました。いくつかのウェブサイトはブラックリストに登録済みのものもあり、恐らく過去にフィッシングサイト等で悪用されていたものと思われます。

apple phishing kit

そんな中、これらのフィッシングサイト構築キットで目を引いたものがありました。
下図の$bilSndの箇所なのですが、情報の送信先のメールアドレスが記載されており、そのアカウント名に違和感を覚えました。というのは、そのスペルに覚えがあったからです。

Phishing Kit ソースコード

どこで目にしたかおぼろげな記憶を頼りに、調べていくと見つかりました!
それは以前に、セキュリティ関連の教育動画のコメント欄で見たものでした。このユーザはクラッキングの動画に興味があるようで、しばしばコメントを残していました。また、あるSNSでも同名のアカウントを利用しており、同様の動画がリンクされていましたので、恐らく同一人物だと思われます。
時々、サイバー攻撃者の過去の戦績等がウェブで見つかることはありますが、このようにプライベートの活動履歴が残っているケースは稀です。(ワザとかもしれませんが・・・)
さらに、関連性のあるハンドルネームによるウェブ改竄のインシデントも報告されており、私見ですがこれも同一ユーザではないかと勘ぐっています。

attacker ??

また、彼は英語、アラビア語を使うことができるようです。どこの国のユーザか不明ですが、興味深い点ではあります。
残念ながら、現時点では彼が構築キットの設置者であるかは断定できません。しかし、少なくともフィッシングサイトから彼のメールアドレスに第三者の機微情報が送信されていた可能性は高いと言えます。そして、恐らく彼はプロのサイバー攻撃者では無く、他の攻撃事案を模倣して構築キットを設置したのだと推測します。理由のひとつとして、ソースコードが非常に単純で他の構築キットと比較すると少々物足りなさがあったためです。
まあ、彼の素性は兎も角とし、世界はiPhone 6 および Apple Watchの発表に喜々としています。この社会的背景を踏まえますと、さらに模倣犯が増大するとの見方が自然です。そういった意味では、Appleに関連付けたサイバー攻撃はこれからが本番かもしれませんので、引き続き注意しておく必要がありそうです。

ちなみに、私はMoto 360に興味津々です。。。

新しいエフセキュアの脅威レポート:Androidでも増加するランサムウェア

エフセキュアラボが、PC、Macおよびモバイル環境に対する脅威について、最新の詳細情報を明らかにした脅威レポートの新版を公開。




2014年の前半は、ユーザのデータをロックしてアクセスを制限し、身代金を要求するオンライン攻撃が増加しました。この事例は、モバイルデバイスでも発生しています。エフセキュアラボが公開した最新の2014年上半期脅威レポートによると、ランサムウェアと呼ばれる悪意のあるソフトウェアによる攻撃が増加しており、家庭、企業および政府のユーザにとってデータに対するセキュリティが重要であることが浮き彫りになっています。ランサムウェアとは、ユーザのファイルのロックを解除するのと引き換えに、身代金の支払いを要求する悪意のあるソフトウェアです。

モバイル環境では、2014年の第2四半期に、295個の新しい脅威のファミリーと亜種が発見されました。このうち、294個がAndroidを、1個がiOSを標的にしていました。この数は、第1四半期から上昇しています。第1四半期に検出された脅威は277個で、そのうち275個がAndroidを標的にしていました。第2四半期で最も多かったAndroidに対する脅威はトロイの木馬で、プレミアム番号にSMSメッセージを送信するか、デバイスからデータを収集しリモートサーバに転送するかのいずれかの挙動を示していました。6月には正規のアプリを装うSlockerマルウェアが報告されています。このマルウェアは、モバイルプラットフォームで発見された最初のランサムウェアです。

PCに対する脅威では、上位10個の検出中、最も割合が多かった(31%)のは、発生後6年が経過したDownadup/Conficker(ダウンアドアップ/コンフィカー)ワームです。このワームは、200を超える国で何百万台ものコンピュータに感染してきました。このワームの寿命が長いのは、古いソフトウェアを実行するコンピュータがあることが大きな理由となっています。このことは、コンピュータのソフトウェアを最新の状態に保ち、古いセキュリティの欠陥を修正することの重要性を示しています。

また、新しいMacマルウェアが発生し続けています。2014年上半期には、Macに対する脅威の亜種が25個発見され、一部は組織を狙った標的型攻撃に利用されました。検出数は、18個だった昨年の7〜12月から上昇していますが、33個だった昨年上半期と比べると減少しています。

エフセキュアセキュリティラボの主席研究員であるミッコ・ヒッポネンとセキュリティ・アドバイザーであるショーン・サリバンは、金曜日のウェビナーで今年上半期の出来事について説明しました。また、6月にエフセキュアの研究者が発見した、産業制御システムを標的とするトロイの木馬Havexについても議論しました。

サリバンは次のように述べています。「犯罪を目的としたマルウェアがスパイウェアに進化する興味深い過程が、今年初めに詳しくわかるようになりました。今日、悪意を持った人は、クレジットカードだけでなく、はるかに多くのものを標的にしています。ありとあらゆるものが興味の対象となっていて、企業データを購入する人が相当数存在すると考えられます。」

Androidマルウェアの発生件数が上位の国、最も安全なモバイルアプリのオンラインマーケット、さらにはPC、Macおよびモバイル環境に対するすべての脅威の詳細については、2014年上半期脅威レポートの完全版をご覧ください。

なお、ミッコ・ヒッポネンとショーン・サリバンによる解説をご覧いただけます(英語)。





詳細情報: 2014年上半期脅威レポート

2014年上半期脅威レポート

 当社の最新の脅威レポートが現在公開された。

H1 2014 at a glance

 このレポートには、2014年の上半期(第1四半期および第2四半期)の統計情報、インシデントカレンダー、脅威の展望のサマリーが掲載されている。

 ダウンロード:2014年上半期脅威レポート(PDF)

 付加的なケーススタディ:ホワイトペーパー

セキュリティ、プライバシー、アイデンティティ

 デジタルフリーダムの主要なコンポーネント。

Things we defend.

 これがエフセキュアラボだ。.

携帯で10ヶ国を訪れる方法

エフセキュアのFreedome VPNがこの夏、新しい局面を迎えた。弊社はフランス・パリで最新のノードを追加したため、現在10ヶ国の11のノードを提供可能になった。

カナダ(トロント)
フィンランド(エスポー)
フランス(パリ)
ドイツ(サッシェン)
イタリア(ミラノ)
オランダ(アムステルダム)
スペイン(マドリッド)
スウェーデン(ストックホルム)
英国(ロンドン)
米国(東海岸)
米国(西海岸)

すなわちこれは、あなたが世界のどこにいようと無関係に、これらの場所を選択して、あなたの居場所をマスクし、好みのサービスを利用できるということだ。Freedomeはまた、あなたのデータを暗号化するVPNとして動作するため、フリーWi-Fiネットワークも安全になるうえ、アンチ・ウイルス、アンチ・トラッキング、アンチ・フィッシングの機能も備えている。既に10ヶ国語に翻訳されており、まもなくiOSデバイス用も提供開始となる。

もしあなたが旅行をするなら、あるいはあなたが旅行をしているように携帯に振舞わせたいなら、これはあなたが必要とする種類の保護だ。

Google PlayもしくはiTune storeからお試しを。

では、

サンドラ

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード