エフセキュアブログ

2016年08月

マルウェアの歴史: CODE RED(コードレッド)

15年前(5479日前)の7月19日、Code Redが感染拡大のピークを迎えた。悪名高いコンピューターワームCode Redは、Microsoft Internet Information Server(IIS)の脆弱性を悪用して感染を拡げた 。

感染したサーバには、以下のメッセージが表示された。

検出ロジックの現状はどうなっているか

検出ロジックは、最新のエンドポイント保護ソフトウェアにおけるさまざまなメカニズムによって使用されている。また、サイバーセキュリティ業界では、多くの別の名前でも知られている。セキュリティ業界で「マルウェア」と呼んでいるものが、一般には、「ウイルス」という言葉で呼ばれている(技術的に言えば、「ウイルス」とは、別のプログラム、データファイル、またはブートセクタに自身のコピーを作成することによって拡散するプログラムを指す)のと同様に、検出ロジックは、「シグネチャ」から「フィンガープリント」、「パターン」、「IOC」まで、さまざまな呼び方をされてきた。誰かがウイルスの話をしていると思ったら、本当はマルウェアについての話だったということがよくある。そして、誰かがシグニチャの話をしていると思ったら、実は検出ロジックについての話だったということもたびたびある。もっとも、80年代や90年代に用いられたシンプルな検出ロジックが話題になっていたのだとしたら、話は別なのだが。
当社、エフセキュアでは、「detection logic(検出ロジック)」のことを、単に「detections(検出)」と言うこともよくある。 

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

拡散状況はどうなってるか

エフセキュアラボでは、「拡散状況」という言葉をよく使う。だが、拡散状況とは何なのか?
実行可能ファイルの拡散状況は、当社の顧客ベース全体でそのファイルが見つかった回数として定義される。悪意のある実行可能ファイルは、時間とともに希少な存在になっていく傾向があり、ほとんどが生まれてはすぐに消えていく。したがって、バイナリを目にした回数は、そのバイナリが怪しいものであるかどうかの目安となり得る。当社の保護技術はクラウドに接続しており、機能する仕組みの一部としてクラウドを利用しているため、拡散状況を数量的に把握しやすい。
悪意のある実行可能ファイルがなぜ希少なのかを理解するために、遠い過去へと旅してみよう。
Floppies
もちろん、これらのフロッピーの中に、核ミサイル発射のコードなど入っていない。

全文はBusiness Security Insider 日本語版で。

不在通知のOPSEC(運用上のセキュリティ)

受信ボックスに次のようなメールがあった(一部改変)。
 
当社CSSのOPSECの専門家からの休暇の挨拶
近いうちに休暇を取り、オフィスを離れられることになる皆さま 、さぞかし心待ちにされていることと思われます。待ちに待った休暇なのですから。ただ、その前にひとつ、確認していただきたいことがあります。不在通知に、次のようなことについて触れていたりはしていないでしょうか。休暇中どこへ出掛けるのか。誰と行くのか。なぜ休暇を取るのか。病気療養の場合は何の病気なのか。さらには、病気 ということ自体。

 全文はBusiness Security Insider 日本語版で。

IoTはどこで作られているのか?

深圳(Shenzhen)は香港から電車で45分の中国国境内のきわにある「ハードウェアのシリコンバレー」とも呼ばれる経済特区の都市だ。人口は1500万人とも2000万人ともいわれ東京よりも大きく、高層ビルは278本もあり中国第4位の大都市となっている。
そして Tencent, Huawei, DJI, OnePlus, ZTE, Coolpad, Gionee, TP-Link, Beijing Genomics Instituteなどのエレクトロニクス、テレコム、バイオなどのハイテク企業が集中し、华强北(Huaqiangbei)という秋葉原の100倍はある巨大なエレクトロニクスタウンがある。iPhone他のエレクトロニクス製造で拡大してきた都市なので、電子部品、プリント基板製造、アセンブリー、プラスティック成形、金属加工などの企業が群をなして営業している。また好調な経済のため、生活物価は東京とたいして変わらなくなっている。

この深圳についてのビデオドキュメンタリー "Shenzhen: The Silicon Valley of Hardware" をWired UKが制作し、6月に公開された。全部で1時間強になるこのシリーズは、深圳でのIoTとMakersの興味深い最新の動きを取り上げている。

Part 1

Part 2

Part 3

Part 4

特にPart 2は、IntelがIoT向けに一昨年発表したフルPCの機能をSDカードサイズにまとめた「Edison」チップのディベロッパーフォーラムが4月に深圳で開催された場面から始まる。明らかにIntelは深圳がIoT開発の中心地のひとつになると踏んでいる。またIntelが食い込もうとしているIoT開発で、他に使われているのはArduinoやRaspberry Piなどで、ほとんどLinuxやオープンソース・ソフトウェアで動いているものが多い。
Intel Edison

深圳にはハードウェア開発に関わる大きな外国人コミュニティができていて、ヨーロッパやアメリカから来て深圳に住み着いてエレクトロニクス・ハードウェア開発のヒジネスを運営している人達も多い。一説ではシリコンバレーでのハードウェアも3割は深圳で作られていると云われるほどだからだ。

その一つ、HAXはハードウェア・スタートアップ企業のための世界最大のアクセラレーターだ。

当然地元の中国の人達が始めたハードウェア開発のサポートやブローカービジネスも多数ある。Seeed Studioはよく知られているものの一つで、日本にも窓口がある。

そして半田付け用具や測定器、金属加工器具、レーザーカッター、3Dプリンターなどを揃えた、ハードウェア自作派やスタートアップ向けのMaker Spaceと呼ばれる場所がいくつも出来ている。

深圳の動きには当然に日本でも注目している人達がいて、ニコニコ技術部の有志が一昨年から深圳の視察ツァーを開催している。その報告をまとめた「メイカーズのエコシステム」という書籍が4月に発売された。

このメイカーズというのはMakersのことで、O'Reillyが出している「Make」という自作派向けの雑誌から派生して開催されている「Maker Faire」というイベントなどで自作のハードウェアを見せたり販売したりする人達のことを指す。先週8月6,7日には「Maker Faire Tokyo」が東京でも開催されたばかりだ。
Maker Faireは深圳でも開催されている。

これらのインフラが出来ていることで、深圳発のハードウェア・スタートアップ企業が多数出現している。そして彼らのかなりがIoTを手がけている。Intelが深圳がIoT開発スタートアップの中心地のひとつになると考えるのは当然の流れだ。

クラウドファンディングサイトのKickstarterやIndieGoGoなどを眺めても、IoTカテゴリーに入るプロジェクトが多数見つかるし、それらはほとんどスタートアップ企業のことが多い。ところが日本では、特に政府関係者はIoT製品は既存の電機メーカーが作ると考えているのではないか? 7月にIoT推進コンソーシアムと経済産業省と総務省が共同で「IoTセキュリティガイドライン」を発表した。しかし、製品化に脇目も振らずに邁進するスタートアップ企業がこのようなややこしい資料を気にかけるとは考え難い。
さらにそれ以前に、日本でだけこのようなIoTセキュリティガイドラインを作ったとしても、IoT開発の主力地が深圳など海外にあるならまったく影響力は期待できないだろう。

スレットインテリジェンスの現状はどうなっているか

「スレットインテリジェンス(脅威対策の知見)」という言葉が、最近の流行りになっている。多くの人にとって、スレットインテリジェンスとは、疑わしい、または悪意のある活動の識別のためにセキュリティインフラに組み込まれるIOC (英文) フィードについて説明する際に用いられる言葉である。

我々にとっては、その言葉が表すことは遥かに多い。当社は25年以上に渡って、精力的にスレットインテリジェンスを収集し、吸収してきた。当社の多くのスタッフは、日常的にスレットインテリジェンスを扱っている。そして、我々の日常業務はスレットインテリジェンスに牽引されている。

当社の考えとしては、あらゆるものがスレットインテリジェンスと言える。マルウェアサンプルのリバースエンジニアリングから収集された細かな事柄をはじめ、当社のシステムが収集したデータに見られるトレンドやパターン、攻撃者と防御者が使う戦術、さらには高所から見たグローバルな脅威のランドスケープにまで及ぶ。

QARALLAX RAT:米国ビザ申請者を偵察

最近、スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。@hkashfi (英文)というTwitterユーザーが投稿したツイートによると、友人のもとへ米国ビザ申請サイト(USTRAVELDOCS.COM)の職員を名乗る人物から「US Travel Docs Information.jar」というファイルが送られてきたのだという。その人物のSkypeアカウントはustravelidocs-switzerlandだったということだが、ここで「travel」と「docs」との間に「i」が入っていることに注目してほしい。
 
Find the differences between the legitimate versus the impostor.
本物と偽物の違いを見分ける
 

さよならFLASH!第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

FirefoxのFlashサポート縮小について記事を投稿したところ、Edgeブラウザに関する4月のMicrosoftの発表について指摘するコメントがいくつか寄せられた。これは、Edgeブラウザも「Click To Flash(クリックしてFlashを再生)」方式に変更されるというものだ。発表によれば、ウェブページの中心に配置されていないFlashプラグインは自動的に一時停止されるようになり、ゲームや動画などのコンテンツはこれまで通りに実行されるという。そうしたEdgeの変更はWindows 10のアニバーサリーアップデートで提供される。

もちろん、4月の時点でこのニュースには注目していたし、MicrosoftおよびEdgeチームの英断に対しては賛辞を送りたいと思っていた。

ms-edge-logo
 Microsoft Edgeのロゴ(画像の出典元: microsoft.com)

全文はBusiness Security Insider 日本語版で。 

さよならFlash! 第2弾 – Firefox、Flashのサポートを「縮小」へ

今年初め、当社の「脅威レポート 2015年」でショーン・サリバンが、Chrome、Firefox、およびMicrosoftは、2017年までにブラウザでのFlashのサポートを段階的に縮小していくことを発表するだろうと予言した。当ブログではGoogleによるその発表について取り上げた。

そして7月20日、予言の通りに、Firefox開発者のブログでも同様の発表があった。

firefox-logo
Mozilla Firefoxのロゴ。画像の出典元: https://www.mozilla.org/

 全文はBusiness Security Insider 日本語版で。 

サイバー空間も注目のリオ五輪

リオ五輪ですが開会式を明日に控え、熱を帯びてきていますね。
ブラジル(というより南米)といったら、サイバー犯罪が多いこともあるせいか、サイバー空間での盛り上がりも個人的には注目しています。
#今のところ、被害報告などは特に何もありませんが・・・

こぢんまりとは、動きが出てきているようです。
OpR10

攻撃としては、こちらのDDoSツールの使用を呼びかけていました。(現在、削除済み)
標的は五輪公式ページではなく、政府系のサイトのようです。

Saphyra

ハクティビズムによるものが殆どではないかと思いますが、動向が気になるところです。
#日本は内閣改造による影響が、9.18でどの程度でるかが焦点かもしれませんね。。。


あなたと同じ言語への対応を試みるULTRADECRYPTER

「UltraDeCrypter」と呼ばれる、新種の暗号化ランサムウェアがネット上に出現している。

これは、AnglerエクスプロイトキットがドロップしているCryptXXXの進化形である。当社のテストで、UltraDeCrypterの暗号化解除サービスポータルに、以前にCryptXXXで使った「識別コード」を入力してみたところ、以前のCryptXXXポータルにリダイレクトされた。バックエンドがつながっている証拠だ。

支払いサポートページについて言えば、対応しようとした言語の数の多さが、UltraDeCrypterの野心の大きさを物語っている。

何か月か前のCryptoWallの支払いページがこちら。

crypto-ransomware 
全文はBusiness Security Insider 日本語版で。 

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

興味深いベトナム航空などへのサイバー攻撃報道

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

1937cn_defacement


さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


(補足)
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。
ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード