エフセキュアブログ

2016年02月

Androidのセキュリティ上の大問題の1つを示す2つのグラフ

 あなたのデバイスのOSに最新のセキュリティアップデートを適用することは、セキュリティの基礎となるベストプラクティスだ。最新バージョンのOSを実行しているのでなければ、自身のデバイスを潜在的なエクスプロイトにさらけ出していることになる。

 以下は、Apple社のiOS 9の適用率をグラフにしたものだ。

iOS 9 Adoption
情報源:Mixpanel

 逆転している。iOS 9は2015年9月16日にリリースされてから、極めて速やかにiOS 8に取って代わり、全装置中で大多数を占めるようになった。

 以下のグラフは、Google社のAndroid OSの適用率である。

Android OS Adoption
情報源:Mixpanel

 影も形もない。Android 6.0である「Marshmallow」は2015年10月5日にリリースされたのに、いまだ「Other」に分類されている。Google自身の数字によれば、Androidの最新版は分布の1.2%を占めるのみだという。Android機のおおよそ7割は、いまだにKit-KatまたはLollipopを実行している(両者とも、既知のセキュリティ上の問題や脆弱性がある)。

 Marshmallowのリリース後も、Lollipopは市場シェアを伸ばしてさえいるのだ。

 これは残念なことだ。なぜなら、Android 6.0 Marshmallowは流行りのAndroidマルウェアに対し防御力が高いからだ。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

The Malware Museum @ Internet Archive

 以下は、5.25インチフロッピーディスクの時代にウィルスのサンプルを提出した様子だ。

I sent you this diskette to give you infected or suspicious files for analyzing.
Constantine、ありがとう

 そして現在The Malware Museumにて、古典的なウィルスが動作するさまを確認することができる。

 (訳注:「ブラウザ上のMS-DOSの仮想マシンで、古いマルウェアのエミュレートしたいかも、って?いや、もちろんやるよね。」という意味)

 Jason Scottに賞賛を!

 以下はWalkerというウィルスだ。

 (訳注:「しまった!私のコンピュータがWalkerに感染したか?いやいや、The Malware Museumを訪れたのだ。」という意味)

 「ANY KEY TO PLAY」

 (訳注:「the Malware Museumでディスク破壊ゲームを楽しめる。」という意味)

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

Crash Safariの続報

 crashsafari.comへのショートリンクが急速に広まってから、1週間がたった。そしてついにGoogleは、もっとも広まったリンク(goo.gl/78uQHK)を無効にした。

Unknown request for 78uQHK.

 Googleの利用規約を違反したとしてこのショートリンクが無効にされるまで、75万回以上のクリックがあった。

This shortlink has been disabled.

 ただし…、他のショートリンクは引き続き機能している。とはいえ、クリックは確実に減っている。

Analytics for Vj7Eep.

 依然アクティブなものがあるのはなぜだろうか?これらの口コミで広まったリンクを無効にするのを遅らせているのは、何なのか?参照元(Referrer)を詳細に見てみよう。

Referrers for Vj7Eep.

 おおよそ8割のクリックは「未知(unknown)」のソースからとなっており、大半のクリックでは参照元の情報が取り去られている。今回のケースで未知のソースとは、高い確率でiMessageやWhatsAppといったプライベートメッセージングアプリのことだろう。両アプリはエンドツーエンドで会話を暗号化する。

 このことは、悪質なリンクをフィルタするような、中間者が存在しないということを意味している。

 iMessageのクライアントサイドにはフィルタがなく、そのため、不正なリンクを適切なショートリンクサービス対し自動的にレポートしようがない。また一見したところ、Appleでは手作業が約1週間かかったようだ。幸いなことに、crashsafari.comはいたずらで共有されていただけだった。

 削除は?FacebookやTwitterのようなサービスからはリンクを確認でき、そのため脅威を取り除く可能性もあるが、一方でプライベートメッセージングアプリは弱点となる。友達は注意を払って選ぶとよい。

 次もいたずらのように見えるものが、虎視眈々と待っているワームではないことを祈ろう。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード