エフセキュアブログ

2015年01月

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

CESでの収穫?無人航空機(ドローン)、プライバシー、モノのインターネット(IoT)





エフセキュアはCESから戻ってきました。CESには、最新のイノベーションをいち早く見るために、テクノロジー業界がラスベガスで一堂に会します。こうした最新技術の中には、近い将来に私たちの生活を変える可能性のあるものもあれば、もう二度と目にすることも、耳にすることもないものもあるでしょう。

20万平方メートルの展示スペースには、無人航空機が飛んでいたりそれぞれがそれぞれのやり方でアピールしています補聴器はスマートフォンアプリとつながり3Dプリンタはチョコレートを印刷していました

エフセキュアはFreedomeで注目を集めました。David Perryが業界専門家に対し、彼らのほぼ全員が携帯しているモバイルデバイスには単に「つなげる」以外にさまざまな可能性があることを伝えました。

彼は自分のスマートフォンをイベントフロアに置いて、RCR Wireless Newsへ次のように話しました。「ちょっと立ち止まり、考えてみてください。これには2つのカメラが搭載されています。マイクも2つあります。GPSやメール機能も付いています。私の居場所だけでなく、近くに座っている人が誰であるかもわかる近距離検知機能も搭載されています。これはとてつもない量のデータの塊なのです。私がインターネットで閲覧するあらゆるサイト、使用しているアプリ、所有するクレジットカードの種類まで。そして、このスマートフォンそのものは私のプライバシーを守るための対策を講じてくれているわけではありません。」

スノーデン事件の後、専門家たちは、自分の「メタデータ」により、どの程度自分たちのことがさらけ出されるのかということに唐突に気付かされています。

プライバシーは2015年最大の話題の1つである「モノのインターネット(IoT)」の議論でも大きな役割を果たしています。

洗濯機や電球、トースターなど、プラグを差し込むことができるほぼすべてのものがインターネットに接続される時代は、大方の予想よりも早く到来しつつあります。サムスン電子は、今後10年以内に同社が製造するデバイスのすべてをインターネット接続対応にすると発表しました。

スマートフォンに多くのプライベートデータが保存されているとすれば、スマートホームはどうでしょうか。

当社のEd Montgomeryは、イベントの基調講演中(IoTのプライバシー問題に取り組んでいる米国連邦取引委員会(FTC)のエディス・ラミレス委員長の講演など)で次のようにツイートしました。「今FacebookやGoogleがユーザのデータを保管していることを懸念している人は、今後2年から5年の間にIoTで何が起こるのかを確認するまで待ってみてはどうでしょう。」

ホームルータを狙う攻撃が新たに検出されたことからわかるのは、ネットに接続された電化製品に集められたデータは、PCと同じくらいスパイやハッカーの攻撃に対して脆弱であるということです。

中には、こうしたプライバシーに対するリスクが、時間の短縮や労力、エネルギーの節約につながるテクノロジーの導入を妨げる可能性があるのではないかと不安視している人もいます。

エフセキュアはIoTやスマートホームの可能性を認識しており、今後を楽しみにしています。しかし、それと同時に、潜在的な脅威やリスクについても理解しています。当社の役目は、お客様がIoTのメリットを十分に享受できるようにすることであり、これこそ当社が、お客様が安全かつ十分な制御のもとにIoTやスマートホームソリューションを導入できるようにするための新たなイノベーションに取り組んでいる理由です。この先がとても楽しみです。今後数カ月以内には、当社が将来提供するIoTソリューションの詳細についてご紹介いたします。

我々、エフセキュアIoTチームは、皆さんからのご意見をお待ちしています。IoTをいち早く利用する準備はできていますか。皆さんが夢見る「つながる家」とはどのようなものですか。あるいは、もしかすると、すでにスマートホームを実現されていますか。不安な点は何ですか。スマートホームが悪夢へと変わってしまうとしたらそれはどのような理由によるものでしょうか。

規定をご確認いただいた上で皆さんのご意見をお寄せください。抽選でiPad Air 2 16 GB Wi-Fiをプレゼントいたします。

>>原文へのリンク

Apple iOS 8.1.3の利用規約

 ソフトウェアをインストールするときには、いつもみんな利用規約を読んでいるから、これは旧聞に属するかもしれないが、たまに読まないときもある。iOS 8.1.3の規約の以下の部分は興味深いのではないかと思う。

 プライバシー:

iOS 8.1.3 Terms, Privacy

 位置情報サービス(Location Services)の部分をちょっと思い込んでいたようだ。

iOS 8.1.3 Terms, zip code and location

 しかし、自動的にあなたの郵便番号を含めるだって?初耳だ。ちょっと前には気付いていなかった。

 ただとにかく…、これで読者にも分かったはずだ。

エフセキュア、アンチウイルスLinuxゲートウェイの仮想アプライアンス版 新バージョン Ver5.20リリース

エフセキュア株式会社は、ゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ 仮想アプライアンス版」の新しいバージョンとなる、Ver5.20をリリース致しました。昨年11月28日に公開した、Linuxゲートウェイ Ver5.20をベースに仮想アプライアンス化を行っています。

手軽に強力なセキュリティを導入

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイで侵入をブロックします。高いパフォーマンスと検知率を兼ね備え、社内ネットワークを安全に保つソリューションとして、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。

2013年に最初のバージョンがリリースされた「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、OSも含めてベンダーが提供を行い、ユーザは仮想基盤の管理ツールから簡単に構築が行えるという特性があります。そのため、構築・運用の両面について、サーバのOS導入・メンテナンスコスト、またそれに伴う専門の知識をもった人材のコストを省くことができ、TCO削減に大きく貢献します。昨今の激化の一途を辿るセキュリティの脅威に対し、ゲートウェイレベルでの対策の必要性を感じつつも、コストや人材の面で導入に踏み切れなかったお客様にとって最適なソリューションです。

90日間の評価版をお試しください

「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、90日間の評価版がご利用頂けます。評価期間中もエフセキュアのサポートセンターから電話とメールでのサポートを受けることが可能です。評価版やインストールガイドのダウンロード、サポートへの連絡方法などはhttp://www2.f-secure.co.jp/download/trial/linuxgw/index.htmlをご参照ください。

どのサイトに行こうともあなたはトラッキングされている――あなたのPCで対抗する方法



友人に子供が生まれたので、インターネットで出産祝いをしばらく探していると、しばらくの間、閲覧するほとんどのサイトにおむつの広告が表示される――あなたにも、このようなことが過去に起こってはいないでしょうか。

そうです。Webは気味の悪い場所とも言えます。情報機関や犯罪者だけが、インターネットでのあなたの行動をトラッキングしているのではありません。あなたのブラウザセッションには、目に見える以上に多くのことが起こっています。

たとえば、このエフセキュア セキュリティ研究所の調査によると、世界で最も人気のある100のURLのうち、実際に人がアクセスしているのはわずか15%であることがわかっています。残りの85%はサードパーティのサイトで、ブラウザセッションの背後で、ユーザが訪問したサイトからアクセスが行われています。これらのサードパーティのサイトの半数以上が、トラッキングに関連していて、インターネット上であなたのプロフィールと閲覧傾向の蓄積に一役買っています。

なぜこうしたことが行われるのでしょうか?おむつ広告の場合を例にとると、マーケティング担当者は、興味と好みに合う広告を使って、あなたを容易にターゲットにすることができるのです。少なくとも、ターゲットにしようと試みることができます。

では、どのような仕組みになっているのでしょうか?あなたは、広告が表示されたサイトを訪れると、そのサイトの広告の背後で、マーケティング業者によってトラッキングされます。1つのマーケティング業者は、その他Webサイトからなる膨大なネットワークも利用しているでしょう。ですから、そのマーケティング業者と関係する別のサイトを訪れるたびに、あなたやあなたのインターネット上での行動に関するデータがその業者に収集されていきます。このように集められたデータはすべて、あなたに関する膨大なプロフィールの一部となり、蓄積されます。

このことに少しばかり気味悪さを感じても、ご安心ください。皆さんはデジタル・プライバシーの管理を取り戻すことができます。どのサイトを訪問しようとも、簡単な方法で広告主からのトラッキングをブロックできます。昨年、エフセキュアが発売したF-Secure Freedomeを使用すれば、モバイルデバイスへのトラッキングを阻止できます(現在までにFreedomeは、全世界で900万件以上のトラッキング行為をブロックしました)。そして、さらによいニュースがあります。本日、当社はWindows PC用のFreedomeを公開いたしました。

Windows用のFreedomeは、モバイル版と同じプライバシー機能を備え、トラッカーやハッカーからユーザを保護します。また、同じVPNテクノロジーを使って、公共のWi-Fiの利用時にブラウザセッションをスヌーピングから守ります。さらに、新しく搭載されたプライベート検索機能が提供するツールにより、トラッキングされることなく検索エンジンの結果を取得できます。

スノーデン氏による告発以来、私たちは消費者として、接続しているデバイスから自分の生活で最も個人的な情報を晒すことに、いっそう注意を払うようになりました。ピュー研究所のインターネットプロジェクトによる最近の調査では、回答した成人のうち91 %が、消費者が企業による個人情報の収集と利用方法を管理できなくなっていると考えています。

インターネットを利用しているなら、ぜひWindows PC用Freedomeの無料14日間体験版をダウンロードしてください。そして、ご感想をお寄せください。

 
バナーの画像は、Filip Goc氏、flickr.comから転載許可を受けています。

>>原文へのリンク

‘あなたはどこまでも追跡されている’ 接続方法にかかわらずワンタッチの操作でトラッキングを阻止するソリューション

あなたのオンライン上での行動をトラッキングしているのは、諜報機関や犯罪者だけではありません。あなたのブラウジング・セッションでは、目に見えるよりもはるかに多くのトラッキングが行われているのです。F-Secure Freedomeは、1つのサブスクリプションでスマートフォン、タブレット、さらにはデスクトップPCにも、極めてシンプルなプライバシー保護とセキュリティをお届けします。

エフセキュア セキュリティ研究所の調査によれば、世界で最もアクセスされている100のウェブサイトのうち、人の手で直接アクセスされているのはわずか15%です。残りの85%はサードパーティのサイトで、ユーザが訪れたサイトによってブラウジング・セッションの裏で密かにアクセスされているのです。その上、これらのサードパーティのサイトは半数以上がトラッキングに関連するサイトで、ユーザのプロファイルとブラウジング習慣に基づいて構築されています。トラッキングサイトは世界中の何百万ものウェブサイトで利用されており、広告のターゲットとなるユーザを絞り込んでいます。

しかし、今ならデスクトップ上でも自分自身を保護することができます。エフセキュアのシンプルなプライバシーソリューションであるFreedomeは、これまで何百万ものスマートフォンやタブレットに提供してきた「ワンタッチ」の保護を、デスクトップにも提供できるようになりました。昨年の提供開始以来、Freedomeは世界中で9億以上のトラッキングの試みをブロックしてきました。Freedome for Windowsを使用すれば、デスクトップPC上でユーザの存在がトラッカーやハッカー、スパイの目から見えなくなります。しかも、購入済みのモバイルデバイス保護用のサブスクリプションを使って同時に実現できます。

Freedome for Windowsは、新たにPrivate Searchの機能も備えており、デスクトップユーザはトラッキングされずに検索結果を取得できるようになります。Private Searchのツールを通じて、検索エンジンに対して匿名で検索を実行します。Freedomeは、ユーザの実際のIPアドレスをマスクすることでさらに匿名性を高めます。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは、次のように述べています。「エフセキュアは、検索機能にFreedomeのプライバシー保護機能を組み合わせることで、ユーザの個人情報を見えないようにしています。皆さんもおそらく、自分の検索履歴のすべては家族にも知られたくないはずです。であれば、他人に情報を渡すなんてもってのほかでしょう。」

多くのユーザはプライバシーを取り戻したいと考えています

スノーデン事件以来、ユーザはインターネットに接続したデバイスを通じて、私生活を細部にわたってさらけ出しているおそれがあるとの認識をますます強くしています。ピュー研究所のインターネットプロジェクトによる最近の調査では、「企業による個人情報の収集や利用方法についてユーザが制御できなくなっていると思うか」という質問に対し、成人の91%が「そう思う」または「非常にそう思う」と回答しています。

コンティネンはまた次のように述べています。「サードパーティによって取得された個人データは、ユーザの特徴を把握し、その行動に影響を与えるために使用されるか、もしくはこのデータから新たに収益を得る方法が見つかるまでずっと保存され続けます。エフセキュアのFreedomeを使えば、インターネットへの接続方法にかかわらず、ユーザが自分のプライバシーを再び制御できるようになります。プライバシーを手に入れるには多くのお金が必要な時代になっていますが、当社はすべての人が手頃な価格で利用できるようにしたいと考えています。」

悪と闘う善のアプリ

Freedomeは、データを暗号化し、公衆ホットスポットへの安全な接続を実現し、トラッカーを阻止することによって、ユーザの個人情報の漏洩を防止します。また、この他にも複数の方法でデータを保護することができます。

Android向けApp Security機能は、Freedomeの強固で安全な接続、オンラインの匿名性、ブラウジング保護機能に、クラウドベースのレピュテーションスキャニングを追加しています。App Security機能は、個人情報を盗み、コンテンツを破壊し、違法な目的でデバイスを利用しようとする有害なアプリケーションのインストールを阻止します。

コンティネンは次のように述べています。「有害なアプリがひとたびインストールされれば、そのアプリによって不要なファイルが知らない間にダウンロードまたはインストールされる可能性があります。こうしたファイルは、GPSからユーザの位置情報を追跡したり、音声または動画を記録することでユーザを監視したり、あるいは銀行の認証情報までも盗み取ったりするおそれがあります。新製品のApp Security機能は、すべてのダウンロードファイルを、世界中のアプリの最新データベースと瞬時に比較し、ユーザを保護します。

Freedomeは、Android搭載デバイスおよびiOS搭載デバイス、またはWindowsデスクトップPC上で、14日間の無料のお試しが可能です。複数のデバイスプラットフォームで利用できるFreedomeのサブスクリプションをご希望の方は、f-secure.com/freedomeをご覧ください。1台、3台、5台のデバイスで12カ月のサブスクリプションをご購入いただけます。またFreedomeは、Apple App StoreおよびGoogle Playでも購入可能です。その場合のサブスクリプションは1つのプラットフォームに限定されますが、同じユーザアカウントに接続するすべてのデバイス上で有効です。FreedomeのApp securityは、すべてのAndroidユーザに無料で提供されます。

詳細情報:
Freedome

手の届くところにぶらさがっている果実:Flash Player

 現在、Flash Playerバージョン16.0.0.296が公開されている

Flash Player Versions

 インストール済みのバージョンは、WindowsではFlashの設定マネージャーのアプレットで確認できる。

Settings Manager, Flash Player 16.0.0.296

 Adobe Security Bulletin APSA15-01によると、自動更新を有効にしているユーザの場合、1月24日から更新を受け取ることになる。手動でダウンロードする場合には、数日待つ必要がある。

Adobe Bulletin CVE-2015-0311

 手動でのダウンロードが遅れる理由については定かではないが、理由はどうあれ、自動更新を行うことを推奨する。

 それだけでなく、まだある。現時点では「クリックして再生」オプションを有効にすることを推奨する。以下はFirefoxの例で、「実行時に確認する(Ask to Activate)」に設定されている。

Firefox, Flash, Ask to Activate

 Google Chromeにも「詳細設定を表示(Show advanced settings)」の中にオプションがある。

 なぜ「クリックして再生」を推奨するのかって?Flash Playerは現在のところ、エクスプロイトキ 先週からの統計情報を以下に挙げる。Flash Playerのゼロデイの脆弱性を狙うAnglerがエクスプロイトキット市場を牽引していることが、ここから見て取れる。

 フィンランド:

Exploit Kits, January 2015 FI

 ドイツ:

Exploit Kits, January 2015 DE

 イギリス:

Exploit Kits, January 2015 UK

 そして他の地域でも、Anglerが第1位だ。

 なので、Flash Playerをアップデートし、自動更新するように設定し、「クリックして再生」を有効にするといい。

エフセキュア、モバイル向けプライバシー保護ソリューション Freedomeの日本語版提供開始

エフセキュア株式会社は、モバイル向けのオンライン・プライバシーのソリューション Freedomeの日本語版提供を開始しました。また同時に日本国内でのノードを開設いたしました。



スマートフォンやタブレットといったモバイル・デバイスがますます広がりを続けています。また公衆Wi-Fi網が整備される中、3分の2に達する人々が、少なくとも月に1度は公衆Wi-Fiホットスポットに接続しています*。しかし公衆Wi-Fiのホットスポットの利用は、偽のホットスポットを設置してトラフィックを監視するデータ窃盗犯によってデータが不正利用される危険が伴います。それにも拘わらず、大多数の人が接続をスヌーピングから保護するための対策を取っていないのが現状です。

エフセキュアのセキュリティアドバイザー、ショーン・サリバンは次のように述べています。「多くの人は、外出中に公衆Wi-Fiを利用することに何の懸念も抱いていません。しかも大部分の人は、全く保護対策を講じないまま利用しているのです。デバイスの接続を保護していなければ、公衆Wi-Fi接続時にしていることが何であっても、それはたくさんの人がいる部屋の中で大声で話をしているようなものです。」

このたび日本語版が提供開始となったFreedomeはVPNを利用してインターネットの接続を保護し、第三者がデータを傍受できないよう、公衆Wi-Fiの接続を安全にします。またオンライン広告などによる追跡を確実に防止します。

  • VPN:Freedomeは、VPNを使用して、接続中での他人による監視を防止します。VPNは接続を暗号化し、完全にプライベートな接続を提供します。
  • 追跡防止:サイトやバナー、広告によるトラッキングを防止して、広告主によるデータ収集を防ぎます。
  • 安全なブラウジング:マルウェアを含むサイトや既知のフィッシングサイトを検出し、ブラウジングを保護します。
  • ジオブロック(地域制限)の解除:サービスのブロックを解除するために、実際の居場所とは異なる国を仮想ロケーションとして設定可能です。欧州、北米、オーストラリア、アジアのVPNサーバに加え、このほど日本のノードも開設しました。例えば、海外旅行中の場合にロケーションを本国に設定することで、自宅にいるときと同じサービスに快適にアクセスできます。
既に昨年から提供開始している欧米では150万以上のダウンロードが行われ、App Storeでは4+、Google playでは4.3という高評価をいただいております。

Freedomeは7日間、無料でダウンロードし、お試しいただけます。インストールは簡単で、登録や設定は必要ありません。iOSは7.0以降、Androidは4.0.3以降でご利用いただけます。

詳細情報:
Freedome


*6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューによる調査F-secure Consumer Values Study 2014。Informed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

デービッド・キャメロン英首相の公約が愚かである理由



英国のデービッド・キャメロン首相は、5月の総選挙で保守党が勝利した場合、正当な理由がある場合には法執行機関がアクセスできない通信形態を禁止すると発表しました。これは、暗号化を利用しているメッセージ用アプリが英国で禁止されるということです。

この発想がパリで起きた悲劇に反応した、誤った思いつきの行動であると考える多くの理由があります。エフセキュアが詳しく分析しましょう。

Il n’est pas Charlie(彼はシャルリーではない)

テロリストや小児性愛者集団を逮捕する度に、英国政府は英国民の自由とプライバシーを抑えつける法律の導入を検討しています。これは、パリで起きたシャルリー・エブド本社での惨劇に対して人々が団結したこの2週間で世界中に広がった感情ではありません。市民的自由がなければ、シャルリー・エブドが存在することはなかったでしょう。

自己検閲の要求

自分の通信内容が政府によって読み取られる可能性があると知れば、おそらく無意識のうちに自己検閲を行うようになるでしょう。このことは、政府非難を目的とする活動家グループやNGOに大きな影響を与える可能性があります。

世界人権宣言

第十二条:何人も、自己の私事、家族、家庭もしくは通信に対して、ほしいままに干渉され、又は名誉及び信用に対して攻撃を受けることはない。人はすべて、このような干渉又は攻撃に対して法の保護を受ける権利を有する。

これだけでは十分でなければ、大量監視は、ヨーロッパ人権条約第八条(私生活及び家庭生活の尊重についての権利)および第十条(表現の自由)にも抵触するのです。欧州人権裁判所は、大量監視が適正な司法の監視や不正利用に対する効果的な防止対策のない状態で行われた場合、ヨーロッパ人権条約に抵触すると、繰り返し述べています。

結論として、国際法はキャメロン首相の考えを支持するものではありません。

オープンソースの暗号化サービスを取り締まるのは誰?

法に則り、Facebookのような大企業に求めるのも1つの方法です。しかし、OpenPGPのような単独のオーナーを持たないオープンソーススタンダードについては、誰にアプローチすればよいのでしょう。また、FireChatのようなピアツーピアの通信用アプリはどのようにすれば取り締まることができるでしょうか。

メッシュネットワークについては?

この技術はまだ広く普及してはいませんが、すでに利用されているところもあり、キャメロン首相の計画が進むことになれば、ユーザの数は増えていくでしょう。メッシュネットワークはすでにバルセロナ、ギリシャ、バクダッドで利用されており、ISPなどのサービスプロバイダの必要なく、コンピュータとモバイルデバイスを無線で接続できます。このような直接的な通信方式であれば、誰に対しても正当な理由などありません。

監視は不可能

キャメロン首相がどのようにして取り締まりを実施するのかはまだわかりません。どうやって英国外からのソフトウェアのダウンロードを国民にやめさせるのでしょうか。暗号化された通信を利用する罪のない人々を取り締まることに(政府のブラックリスト上の人物に対する監視に使用できる)財源を費やすのでしょうか。

英国経済への損害

エンドツーエンドの暗号化を必要としているベンチャー企業は、英国を拠点とするのを止めて、業務と職場を国外に移転させるでしょう。

政府の損害

政府も通信に暗号化を利用しています。政府のためのルールと、企業や一般人向けのルールは別なのでしょうか。

英国から技術が消え去る

この法律の影響を受けるサービスをいくつか挙げてみましょう。例えば、おそらく最も普及しているWhatsAppやiMessage。これらは、英国の企業ではないですが英国の法律に縛られることになります。そのため、これらのサービスはプライバシーのソースコードを書き換えるのでしょうか、それとも単純に市場から手を引くのでしょうか?

新しい技術を実際に利用し始める際、通常は世界に展開する前に、まず英国で試験的に導入されています。しかし、こうしたプログラムを英国がいち早く利用できなくなれば、欧米の競合他社に後れを取り、あらゆる経済的な苦境を招くことになるでしょう。キャメロン首相の「デジタル・ブリテン」ももはやこれまでです。

良からぬ方向へ向かう英国

このような規制を試みたのはキャメロン首相が初めてではありません。ロシアやシリア、イランでは英国よりも先に検討が行われていますが、どの国もこの規制の導入には苦労しています。

内務大臣からの命令はエンドツーエンドの暗号化には役に立たない

エンドツーエンドの暗号化では、暗号鍵を所有しているのはサービスプロバイダではなくユーザだということを、キャメロン首相は知らないようです。例えば、特定ユーザの通信にアクセスするために令状を持ってWhatsAppのオフィスに乗り込むことは、的外れです。WhatsAppは暗号鍵を所有していないので、暗号化する前のデータを提供することはできないでしょう。

キャメロン首相の発言は本気だったのか?

首相は技術の専門家ではありませんし、首相のスピーチライターもそうです。この発言は混乱を引き起こしたのでしょうか。キャメロン首相の狙いは、匿名化を可能にする暗号化を異常なものにすることである可能性があります。そのため暗号化を利用している人は疑わしいということになるのでしょうか。そうであれば当局は監視すべき人物の手掛かりを得ることができます。私たちの誰もが暗号化通信を利用し、当局がこのメリットを享受できなくなれば、政府は周辺技術として暗号化を残すかもしれません。

本当に実施されるのか?

この計画は、首相が意図していることの複雑性を理解しているセキュリティ専門家から、「馬鹿げている」、「空想だ」などと、あらゆる言葉で批判されています。暗号化通信の禁止が実施されない可能性は大いに考えられます。しかし、政府はそれを実施する意図を公表したのです。

政府は(司法による監視がない)GCHQが行っている大量監視に満足せず、捜査権限規制法(RIPA)や通信データ法案も導入しています。

メッセージは明らかです。英国政府は国民のプライバシーを一方的に侵害しようとしています。監視国家としての英国が現実のものとなりつつあります。


>>原文へのリンク

英国のダブルスタンダード:英国のようにハッキングするな

以下は、英国がハッキングしたとされている企業だ。
Hacked_by_UK

このベルギーの電話会社を英国がハッキングした理由はなんだろうか?

携帯の通話を盗聴するためだ。

 —————

ではダブルスタンダードとはどういうことでしょうか?
ここで英国のサイバーセキュリティ戦略(PDF)を見てみましょう。(下線は筆者によるもの。)

CyberSecurityStrategyUKCyberSecurityStrategyUK2

4つの項目が柱として挙げられています。
  • 英国のサイバー空間を世界で最もセキュアにする
  • 英国をサイバー攻撃に対して強靭にする
  • オープンで、活力があり、安定したサイバー空間の形成を助ける
  • 英国のサイバーセキュリティに関する知識、スキル、能力を強化する
EUの連合国をハッキングした国の戦略だというのが信じられないような、お行儀のよい模範解答が並べられているのです。

では気を取り直して日本のサイバーセキュリティ戦略(PDF)を見てみましょう。

CyberSecurityStrategyJPCyberSecurityStrategyJP2

「強靭な」「活力のある」「人材育成」「世界を率先」
コピペで作ったのかと思うほど似通った、安定の模範解答です。

米国のダブルスタンダード:米国のようにハッキングするな

 以下は、米国がハッキングしたとされている企業のリストだ。

   •  RealTek
   •  JMicron
   •  C-Media

Hacked by the USA

 これら台湾の技術企業3社を米国がハッキングした理由は何だろうか?

 StuxnetおよびDuquで使用されているドライバに署名する目的で、デジタル証明書を盗むためだ。

 …

 以下は、北朝鮮がハッキングしたとされている企業だ。

   •  Sony Pictures

Hacked by North Korea?

 ところで、企業をハッキングしてデータを盗んでも大丈夫だなんて常軌を逸したアイデアを、朝鮮民主主義人民共和国はどこで得たと思う?

 —————

 DER SPIEGEL誌:The Digital Arms Race: NSA Preps America for Future Battle(デジタル軍備競争:NSAが今後の戦闘のために準備)

実際のところ、DoS攻撃とは何なのか?




最近、フィンランドにいる人々はDoSという略称のサイバーセキュリティ上の脅威に再び直面しています。これは懐古趣味の人々が、私たちが80年代に使っていたWindows以前のオペレーティングシステムであるMS-DOSを再び使うようになったということではありません。今日で言うDoSとは、Denial of Service(サービス停止)のことです。

事の始まりは大みそかでした。OP-Pohjola銀行においてATMからの現金引き出しやネットバンキングへのアクセスに問題が発生したのです。この問題は程度の差こそあれ、現在までほぼ1週間続いています。事件の裏にあるのは、何者かが多数のコンピュータを制御しているということです。これらすべてのコンピュータには、ネットワークトラフィックを使用してターゲットシステムを攻撃するように指示されています。これによりネットワークが過負荷になり、一般の顧客が銀行のシステムにアクセスできなくなります。まるでサイバー空間で大渋滞が起きているようなものです。この攻撃に関与しているのは大抵、マルウェアに感染している一般家庭のコンピュータです。最近のマルウェアは、クレジットカード番号を盗んだり、上記のようにDoS攻撃に参加させるなど、さまざまな目的で使用できるようになっています。

しかし、DoS攻撃は私たち一般のコンピュータユーザにとってどのような意味を持つのでしょうか?まず、利用しているシステムがDoS攻撃を受けたとしても、あなたには何の危険もありません。あなたがDoS攻撃の最中に標的となっているシステムにアクセスした場合でも、その攻撃によってあなたのコンピュータが危害を加えられることはありません。標的となったシステムに存在するあなたのデータも、通常は被害を受けません。DoS攻撃により一般の人はシステムにアクセスしにくくなりますが、攻撃者が標的システムのデータにアクセスできるということはないのです。ですから、皆さんにとっての不都合は、システムを利用できなくなるということだけです。

上述したことはその通りですが、もしご使用のコンピュータがマルウェアに感染し、DoS攻撃に関与したとしたらどうなるでしょうか?DoS攻撃ではコンピュータ資源が使用されるため、インターネットの接続速度が遅くなります。マルウェアに感染することによるその他の危険については、敢えてここでは述べません。ネットサーフィンをする際や添付ファイルを開く際は、デバイスをきれいにしておき、適切な保護プログラムをインストールしておきましょう。これらのことは常識です。自分自身のサイバーセキュリティに注意を払うことでDoS攻撃に立ち向かうことができるのです。

しかし、なぜでしょう?このようなDoS攻撃の裏にいるのは何者で、その目的は何なのでしょうか?現在では子供が遊び感覚で、または犯罪者が企業からお金を奪うために行っているというのが、最も一般的な理由だと考えられています。DoS攻撃の被害に遭った企業がその競合企業を訴えることも度々起こっています。しかしこのような事例が発生するたびに、現在のサイバー社会はどれだけ脆弱なのだろうかという疑問が沸き上がってきます。サイバー戦争に関しては、これまで多くの議論が行われてきました。サイバー空間でのスパイ活動はすでに現実のものとなりましたが、サイバー戦争はまだサイエンスフィクションの域を出ていません。しかしながらこの種のDoS攻撃により、私たちには未来のサイバー戦争の一端が見えてきます。いまだかつて、他国のネットワークを破壊しようとした国はありません。しかしそのような事態が起これば、それは大規模なDoS攻撃のようなものになるでしょう。コンピュータを基盤とするサービスは利用できなくなり、ラジオやテレビ、電力やその他の重要なサービスにも影響が及ぶことになると考えられます。

そのため、ある銀行を狙った短期間のDoS攻撃には、単に顧客の迷惑という以上の意味があるのです。しかし長期に及ぶ攻撃であれば、標的となった企業とその顧客の両方にとってより深刻な問題となっていたでしょう。国規模の攻撃について話すのはやめておきます。サイバー戦争は今日においてはサイエンスフィクションかもしれませんが、将来的には真剣に対応すべき脅威なのです。

安全なネットサーフィンを
Micke

「オープンな」Wi-Fiにひっかかるセキュリティや軍の専門家

 ほぼすべての人が「オープンな」Wi-Fiを使うようだ。スウェーデン人のセキュリティの専門家でさえも

Open Guest
 #Facepalm

 セキュリティ専門家の言行不一致を示すケースか?

 Ars Technica:Activist pulls off clever Wi-Fi honeypot to protest surveillance state(活動家がWi-Fiハニーポットをうまく成功させて、監視状況に抗議)

 当社のWi-Fiの実験のレポートへのリンクは、こちらから。

認証とは二者間で行われるものである! (3/3)

脱線話

この10年間で、車のキーは非常に複雑なものになりました。まず、電子式のドアロックが車に取り付けられ、キーはリモコンとしての機能するようになりました。それとともに、トランクの開閉やある種の警報システムといった他の機能も開発されました。また、二次的なロックメカニズムも出てきています。このメカニズムでは(上述したような)適切な鍵穴とタンブラーパターンのほかに、適切な電子署名によってはじめて車を始動することができるようになります。そのため、例えば私の車の場合、新しい鍵を作るには加工とプログラミングが必要であり、それにはおよそ300ドルもかかるのです!プログラムを追加する必要があるからと、業者は言うでしょう。しかし本当の理由は、車の鍵は皆さんにとって必要なものだからなのです。そして自分の車の種類に応じて(私の場合はレクサスです)、業者はできる限りの高値を提示してくるでしょう。鍵の回路にも「プログラミング」にも、それほどの価値はありません。これは世の中の情勢を表しています。1961年製のビュイックなら、キーは1ドルで買うことができますが、2001年製のレクサスだと、300ドルかかるのです。最新モデルでは物理的なキーが完全になくなっているため、さらに多くのコストがかかります。メーカーは、可能な限りの高値を請求するだけです。

2.   すべての場面で同じパスワードを使用しない、ということが非常に重要です。同じパスワードを使用している場合、そのうちの1つが見破られると、すべてが見破られてしまうことになります。それほど重要でないもの(パン屋さんの割引クーポンなど)には同じ簡単なパスワードを使用し、重要なもの(ミサイルの発射コードなど)には強力な、一意のパスワードを使用しているという人もいます。

3.   ペットや配偶者の名前、所有するボート、その他自分のFacebookページで見つけ出せるものに由来するパスワードを使用してはいけません。

4.   データは必ずバックアップしてください!私はすべてのデータを2つの異なる場所にバックアップしており、最も重要なデータには3つ目のバックアップも行っています。まずNAS(ネットワーク接続ストレージ)デバイスとクラウドにバックアップをとります。3つ目のバックアップ先は秘密です。何者かに自分のアカウントをハッキングされ、必要なデータを盗まれたり消去されたりするなどという事態は絶対に避けましょう。

そうは言っても、最近では認証が必要な場面が多すぎます(あなた自身を証明するための認証において、パスワードが重要だということです)。オンライン上で多くの物事を行う場合、何百ものパスワードにより識別されることになるかもしれませんが、それに対応できる人などいるのでしょうか?そんな人はいません。これはアルビン・トフラー博士が1971年、『未来の衝撃』の中で行った鮮やかな予測の一例にすぎません。




何が言いたいかというと、認証が必要な場面が多すぎると思うのです。あなたの甥の成人式の際、私は本当にイーバイトに出欠の返信を書き込むためのパスワードを取得する必要があるのでしょうか?展示会への登録情報を守るために、強力なパスワードが本当に必要なのでしょうか?新しいパスワードがますます求められるようになっていますが、それによりパスワードに対するイメージが少し悪くなってきています。しかし、たとえ100個のパスワードを把握しておく必要があるとしても、それらの管理にそれほどの労力をかける必要ありません。

エフセキュアでは、KEYというソリューションを提供しています。私は自分のデバイスすべてでKEYを使用していますが、これは本当に便利です。KEYでは、1つのマスターパスワードの下ですべてのデバイスのすべてのパスワードを同期することができます。キーは安全に暗号化されるため、インストール中に盗まれることも、クラウドから奪われることもありません。KEYを用いることで、最も重要なデータに対して新しく強力なパスワードを生成してくれます。是非試してみてください。

それではがんばってください。

David Perry

2014年10月29日、カリフォルニア州ハンティントンビーチにて

>>原文へのリンク

認証とは二者間で行われるものである! (2/3)

ここで述べているのは、実際にとても重要なことです。皆さんにも興味がある話だと思います。

上記の一般的な鍵のイラストをご覧ください。これはピンタンブラー錠で、最も一般的なものです。鍵の中にある小さなくぼみは、それぞれ深さが異なることに注目してください。鍵は鍵穴に挿入されますが、この鍵穴部分は錠の一部でシリンダーと呼ばれます。





鍵のすべてのくぼみが鍵穴に正しく並ぶと、ピンが一列に揃いシリンダーが回転できる状態になります。この仕組みは非常に正確でなければなりません。ここで示している例は5ピンの鍵であるため、この鍵に必要なくぼみは5つのみです。各ピンには複数の配置設定を行うことができますが、ここではわかりやすくするため、各ピンはそれぞれ5通りずつ設定されていると想定してみてください。

この場合、可能な組み合わせは何通りでしょうか?5×5は25ですが、これは正解ではありません。5×5×5、つまり125でもありません。これは非常にシンプルな錠ですが、合計3125(5の5乗)通りの組み合わせが可能です。各ピンが6通りの配置をとる場合、組み合わせは15625通りにもなります。

ここで示したようなタンブラー錠の場合、鍵に適切な鍵穴(鍵が錠にぴったりとはまるために必要なすべての溝やくぼみ)がなければならないという制限も存在します。錠の各ブランドは、それぞれ独自の鍵穴を使用しています。そのため、鍵屋では何百もの加工前の鍵が大きな回転ディスプレイにかかっているのです。

これはインターネットにおけるパスワードと非常によく似ています。ピン数は文字数に相当し、可能なピン配置の数は使用可能な文字数と同じです。これが、人々がパスワードには強弱があると言う理由です。これについて考えてみましょう。

2文字のみの非常に短いパスワードを想像してください。数字のみを使用する場合、各文字位置に設定可能な文字はそれぞれ10パターン(0-9)しかありません。この制限があるため、10進数の数字だけを使用した2桁のパスワードでは、わずか100通りの組み合わせしかできません。これを手打ちしなければならないとすると非常に面倒ですが、コンピュータならこれら100通りの組み合わせを1秒未満で処理することができます。

同じく2文字からなるパスワードであっても、数字ではなくアルファベットを使用する場合、可能な組み合わせは676通りになります。桁数やピン数を増やすほど、可能な組み合わせの数は、以下の表に示すように大きく増えていきます。




皆さんはこのようなことを考える必要はありません。皆さんはパスワードマネージャとして知られているプログラムを利用することができます。エフセキュアではKEYというパスワードマネージャを開発しています。パスワードマネージャについて少しだけ説明しましょう。最初にいくつか明らかにしておきたい点があります。これまで見てきたように、より長いパスワード、またはパスワードに使える文字が多いほど、パスワードは見破られにくくなります。それだけではありません。皆さんが辞書に載っている単語で作成したパスワードを利用した場合、ハッカーは辞書を使ってそのパスワードを攻撃してくるでしょう。本当ですよ。実際、これは辞書攻撃と呼ばれています。ですので、最良のパスワードというのは訳のわからない文字列であると言えるでしょう。では、こうした文字列を覚えておくには一体どうすれば良いのでしょうか?

1.    パスワードはオンライン版の鍵であり、非常に重要なものです。今後、車の発進やドアの開閉には物理的な鍵ではなく、パスワードを使うことが多くなるでしょう(私は今、ちょっと脱線して車のキーの発展について話したいという強い誘惑に駆られています)。パスワードはあらゆる場面で盗まれる危険性があります。また、パスワードが分かればあなたのeメールや評価、銀行口座などにアクセスできてしまいます。そのため、パスワードはきちんと管理しておく必要があります。

>>原文へのリンク

認証とは二者間で行われるものである! (1/3)



私たちは常日頃、コンピュータセキュリティにおいて認証という言葉を非常に多く使います。認証とは、あなたがあなた自身であることを証明するために(あるいは他の人や物が、彼ら自身であることをあなたに示すために)用いられるプロセス、または仕組みのことです。戦時中に野営地にいる場面を想像してみてください。誰かが見張りの兵士に近づくと、この兵士は「閃光(Flash)」と叫びます。すると近づいてきた兵士は「雷(Thunder)」と答えます。これは第二次世界大戦中に使用された有名な合言葉です。

問いかけに対する答えに意味はありませんが、これは完全に意図のある言葉です。これにより、戻ってきた兵士はそれが正しい野営地であることを確認できます。また見張り番は、戻ってきた兵士が仲間であることを確かめることができます。私のお気に入りのブログのひとつに、合言葉について多くの与太話が載っており、それらはこちらからご覧いただけます。

コンピュータの時代となり、物事はより複雑になりました。しかし基本的なプロセスは同じです。ウェブサイトはあなたが誰であるのか、あなたが本人であるのかを知りたいのです。これが認証です。現在、認証には3つの方法が存在します。それぞれ以下のとおりです。

  1. 持ち物によるもの(運転免許証、クレジットカードなど)
  2. 知識によるもの(パスワードなど)
  3. 本人の特徴によるもの(指紋や網膜スキャン、顔面の構造など。これらはバイオメトリクス認証と呼ばれています)
実際には、コンピュータ上には上記の他にもあなた自身を示すものが存在します。それはIPアドレス(インターネット上でコンピュータに対して割り振られるアドレス)です。さらにコンピュータそのものにも一意の識別用シリアル番号が割り与えられていますが、それらを確認するのは難しいことではありません。オペレーティングシステムや、その他コンピュータ上の多くのハードウェアやソフトウェアもすべて固有の識別可能なものであり、それらすべてからあなたを突き止めることが可能です。私たちが自分自身を守るために用いる手段のひとつは、パスワードと呼ばれる認証方式です。パスワードにより、私たちの生活には、大きな混乱と小さな驚きがもたらされています。以下の内容は、私のブログからの引用です。

ハッカーたちはピッキングに夢中であり、DEFCONでは毎年、ピッキングのコンテストやデモンストレーションが行われています。また、Black HatやDEFCONといったイベントでは、さまざまなツール(ピックやバンプキーなど)を購入することも可能です。Timo Hirvonenは、こうしたイベントは、侵入テストに関する知識を合法的に学ぶことのできる機会だと言います。私もそのとおりだと思います。実際のところ、私は1965年の夏(コンピュータを扱うようになるかなり前)にピッキングを始めました。しかし、それはまた別の機会にお話しましょう。

>>原文へのリンク

ハッカーの良心

 The Conscience of a Hacker(ハッカーの良心)。これは実に29年前に書かれたものだ。

The Conscience of a Hacker

 昨日、書かれたもののようだ。以降はこちらで読める。

 前後関係についてはこちら

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

2015年の予測で最も確実な1つの事

 Carl Saganが述べたとおり、途方もない主張には途方もない証拠が求められる。そして最近、とりわけ途方もない主張を信じるかどうかを、一般市民が問われている。北朝鮮が SPE社(Sony Pictures Entertainment社)を攻撃し、信じがたいほど大量の同社のデータを破壊した、というものだ。これまでのところ、その途方もない証拠は何も示されていない

 提供されている「証拠」の大半は、主に匿名の米政府高官からのものであり、報告されたところによれば彼らの大多数はFBIの捜査に活発に関わっているわけではない。

 ではFBI自身は?えーと単純に、James Comey長官の立場は、我々を信用してほしい、というものに集約されている。しかし情報セキュリティ業界の多数の人間は、Comey長官の立場や、「スノーデン疑惑後」に備わったとされる姿勢を信用していない。同長官は明らかに次の点を認識するに至っていない。米政府に疑いの目を向ける多数の輪の中で、結論はエドワード・スノーデンよりずっと前の日々から導かれるのだ

 SPE社をハッキングしたのが誰であろうと、それが判明することはないかもしれない。ただ誰が責任を持つかに関わらず、今回のケースにおいて特に気付かされるのは、米国政府の「我々を信用してほしい」というスタンスだ。これは米国市民および他の世界中の市民の知能を尊重するということが、相も変わらず欠如していることを実証している。

 信用とは信頼する行為だ。しかし政府を信用することに、多大な信頼を必要とすべきではない。胡散臭く、矛盾するように見える情報を目の前にして、途方もない主張を信用することは…、単に飛躍しすぎだ。そしてそのため、実際の証拠が何もないのに北朝鮮だとオバマ政権が急ぎ判定したところから、我々の不運な2015年の予測が生まれた。

 予測:「米国愛国者法」第215条および第206条ならびに「情報改革とテロ予防法」第6001条は、期日の2015年6月1日以前に再認可される

 スノーデン以降、議論を呼ぶような条項が、サンセット(訳注:再認可されない限り、廃止期日に自動的に廃止される法律をサンセット法という)を回避するために必要な政治的裏付けを欠いていた。だが今では、ワシントンは「国家によるサイバーテロ」から自身を守るために行動し、結局のところ上の条項を更新すると、我々は確信している。

 2015年の法改正を期待してはならない。あなたのデジタルフリーダムの侵害は継続する。今から144日以内だ。カレンダーに印を。

—————

 追伸:おまけの憶測!

 congress.govにて「cyber」関連の法律制定を追跡できる。新たなクリッパーチップやその他のバックドア的な権限に目を光らせるように。

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード