エフセキュアブログ

ヘルシンキ発

誤検知:Exploit:JS/HuanJuanEK.A

 たった今、当社は誤検知を修正した。数多くのクリーンなWebサイトのコンテンツをExploit:JS/HuanJuanEK.Aとしてしまっていた。

 誤検知が起きるデータベースは、F-Secure Hydra 2014-12-31_02である。F-Secure Hydra 2015-01-01_01には修正がなされており、すでに公開もされている。この誤検知は、WebサイトからダウンロードされたコンテンツをスキャンするWeb Traffic Scanning機能にのみ影響を及ぼす。いまだこの検知が認められるようなら、最新のアップデートを受け取っているか確認をお願いしたい。

Hydra update

 ご面倒をかけて申し訳なく思う。それはそうと、皆様明けましておめでとう!

 -- Antti

新しいベンツは何色に?




新しいベンツ?いいですね。それともアウディR8ですか?かっこいいでしょうね。しかしちょっと待ってください。まだ今の車を手放さないでください。Facebookのあのプレゼントキャンペーンで「いいね!」を押したり、それをシェアしたりしても新しい車を手に入れることはできません。そんな景品などそもそも存在しません。それらは詐欺の一種です。
 
インターネットやFacebookには嘘やデマ、でたらめな情報が蔓延しています。信じがたい情報を世間に広めるチェーンレターがどれだけ横行しているかは誰も知りません。セレブに関するいい加減なニュース、緊急時のでたらめな情報、偽りの慈善運動、そしてこうしたプレゼントキャンペーン広告。私たちはこうしたチェーンレターを単なる悪ふざけ、つまり私たちに影響を及ぼさない無害な冗談だと捉えがちです。しかし、必ずしもすべてがそうではないのです。悪ふざけでも、一部の人々が広めている緊急時の危険な情報のように有害である可能性があるのです。
 
車のプレゼントキャンペーンは、おそらく無害で危険のない悪ふざけでしょうが、それが悪意のあるものである場合はどうでしょうか。必ずしも無害ではないでしょう。こうしたチェーンレターは、実は従来の悪ふざけとは違い、Like-farm(いいね!ファーム)詐欺と言うものです。この世にタダで手に入るものなんてありません。Facebookではお金の支払いはないものの、自分の個人情報がその代価となっています。Like-farm詐欺ではこれと同様に個人情報が通貨として機能します。Facebookのページで「いいね!」ボタンを押したり、それをシェアしたりしても、課金されることはありません。その代わりに、たくさんのユーザを引き寄せるページの構築に加担することになり、ここに金銭的な価値が生まれ、将来的に販売されることになるのです。言うまでもなく、その収益は皆さんの懐には入りません。
 
その仕組みはこうです。どんな企業もFacebookを始めるときは苦労します。「いいね!」がない空白のページは信頼性に欠けます。そのため、詐欺を働く側は急激に普及しそうな内容を盛り込んでページを作成します。高級車が当たるようなキャンペーンは効果的です。必要なことは、ユーザに「いいね!」ボタンを押してもらい、できるだけ多くの人とシェアするように伝えて連鎖反応を継続させ、さらに多くの「いいね!」を得ることです。ページの作成者は、十分な数の「いいね!」を獲得したところで、コンテンツを空にして、名前を変えて、買い手を探し始めます。価格は、「k(千)」当たり「$(ドル)」で取引されます。つまり1000回「いいね!」ボタンが押された場合のドル価格を意味します。10万回「いいね!」ボタンが押されたページは、1000ドル以上にもなります。そのため、皆さんに騙されやすい友人がたくさんいて、さらにその友人にも多くの騙されやすい友人がいて・・・・・という場合には、ページをシェアしてもらうことで作成者は大きな利益を上げることができます。
 
皆さんにとってのマイナス面は、そのページが全く違う目的のものに変更された場合でも、「いいね!」がそのサイトに残ることです。皆さんの顔は新しいページのオーナーの熱烈な支持者として、そのブランドの横に掲載されることになります。皆さんとしては、自分が何を支持しているのかもわからないのです。私の友人に毛皮に反対する活動家がいます。彼女が毛皮のコートデザイナーのページで「いいね!」ボタンを押していることを知ったとき、一体どんな思いをするのかを想像するのは難しくないでしょう。
 
最後に具体的なアドバイスがいくつかあります。
  1. 以前に「いいね!」を押したリストを定期的に確認してください。本当に好きなもの、支持したいもの以外はすべて削除しましょう。
  2. こうした、プレゼントの掲載に遭遇した場合、まずFacebook上で関連するブランド名を検索し、そのメインページを確認してください。多くの場合、そのキャンペーンは名前だけが似ている全く別のページであることに気付くはずです。その場合は、詐欺の可能性が非常に高いです。
  3. 常識を働かせましょう。上記の内容からFacebookでの「いいね!」の価値がどんなものかがわかります。そのために高級車をプレゼントすることが理にかなっていると思われますか。
  4. こうした詐欺には参加しないでください。興味を引かれるかもしれませんが、景品が当たる可能性はゼロです。
  5. こうした詐欺に遭遇したら、周りの人に知らせましょう。このブログ記事やHoax-Slayer、Snopesに掲載されている適切な情報へリンクを貼り、コメントしましょう。
 
ところで、Hoax-SlayerSnopesのようなサイトでは楽しく知識を深めることができます。ときにはこうしたサイトを利用し、その他の詐欺に関する情報を入手することをお勧めします。少なくともSnopesの「Facebook car giveaway(Facebookで車をプレゼント)」Hoax-Slayerの「Facebook like-farming(FacebookのLike farm詐欺」の2つの記事は読んでみてください。
 
安全なネットサーフィンを。
 Micke

>>原文へのリンク

あなたは誰を信じるか?

 我々が動画を投稿するとき、通常なら皆さんがよくご存じの人物が映っている(ミッコ)。しかし本日は…、皆さんはご存じないかもしれない人の動画を投稿したい。彼は(当研究所の中で)我々のことを称賛している。我々のほうも彼について同じ気持ちだ。

 誰のことか?当社のCEO、Christian Fredriksonだ。

 エフセキュアに来た最初の日から、彼は最後に退船する(あるいは救助を試みて死んでしまう)人物のように目されてきた。


Christian Fredrikson
Trusted cloud services a key for European success(ヨーロッパの成功には信頼のおけるクラウドサービスが鍵となる)

 我々の観点からすると、彼もまた、あなたがエフセキュアに信頼を寄せることのできる別の好例である。

スノーデン氏の暴露はプライバシーに関する態度を変えたか?

国家安全保障局の元コントラクターであるエドワード・スノーデンによる最初の暴露が公開されてから一年以上になります。

オバマ大統領が政府の大規模な監視ポリシーの改革を呼びかけたにもかかわらず、米国の法制を改革し、データの「膨大な収集」を終わらせるための重要な試み、即ち米国自由法は、11月に失敗に終わりました。そして多くのプライバシー擁護派は、その法案でさえ、善行を推進し、人々に奨励するためには、余りにも限界があると警告していました。9/11の直後の余波で制定された愛国者法は2015年に見直されるため、過去15年にわたるNSAによる戦術に関して、さらに大きな議論が起こるかもしれません。

しかし今のところ、変化したのは、政府がどのように私たち市民にスパイ行為を働くことができるのかについて、僅かながら知ることができたということです。



私たちは「水族館」のような生活と、歪んだ「プライバシー」の定義に屈するのでしょうか?ミッコ・ヒッポネンの最新のトーク'The Internet is On Fire'を見て、マイクを握る用意があるか考えてください。




スノーデン氏の暴露は、あなたのプライバシーに関する見解をどのように変えましたか?

>>原文へのリンク


OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


助けてください。財布や携帯、すべてを失くし、1000ユーロ必要です。




ご迷惑をお掛けして申し訳ありません。今、キプロスのリマソールにいて、ここに一週間滞在しているのですが、貴重品や携帯、お金が入った鞄をバス停で失くしてしまったので、助けを必要としています。よろしくお願いします。
 
多くの人がこうしたメッセージを目にしたことがあり、中にはこのメールが何と呼ばれているか知っている人もいるでしょう。そうです。これは新手のインターネット詐欺で、なりすまし詐欺の一種です。
 
私は先週、写真クラブの知人からこのメッセージを受け取りました。正確に言うと、このメッセージはGoogle翻訳でひどいスウェーデン語に翻訳されたものでした。何が起こったかを説明しましょう。最初にこのメールを受け取りました。言うまでもありませんが、彼がリマソールで困っているなんて微塵も思いませんでした。その代わりに私は彼に電話をし、このなりすましに彼が気づいているかを確認しました。彼は気づいていました。このメールに反応したのは、私が最初ではなかったのです。私の前にすでに他の何人かの人が彼に連絡を取り、中にはFacebookで彼の友人に警告を発している人もいました。
 
こうしたなりすましは、まず何者かが被害者のWebメールに侵入することから始まります。この知人の場合はGmailでした。これは、推測しやすいパスワード、フィッシング攻撃、コンピュータに潜むマルウェア、あるいは他のシステムへの侵入が原因で起こります。詐欺を行う側は設定やメールのやり取りをチェックし、被害者の使用言語を特定します。次に上記のようなメッセージを被害者が登録している連絡先すべてに送信するのです。
 
今回被害を受けた私の知人は適切に対応し、Gmailのパスワードをすぐに変更しました。しかし、私はこの詐欺メールを検証したかったので、このメールに返信し、どのような援助が必要かを尋ねました。1時間後、次のメールを受け取りました。
 
ありがとう。1000ユーロ貸していただけますか。帰国したらすぐに返します。ウエスタンユニオンでの送金が一番早い送金方法なので、最寄りのウエスタンユニオンのお店へ行って送金してください。数分で私のところに届きます。送金に必要な情報は以下のとおりです。
名前:(省略)
住所:キプロス、リマソール
送金したらすぐに送金伝票の照会番号をメールで教えてください。そうしてくれればここですぐにお金を受け取ることができます。よろしくお願いします。

 
もう、この種の詐欺がどういう仕組みになっているかおわかりですね。詐欺を行っている側は照会番号を受け取ったら、ウエスタンユニオンへ行って換金するだけです。この詐欺に引っ掛かる人はほとんどいませんが、1人や2人でも送金してくれる人がいれば、仕掛けた側はお金を得ることができます。

しかし、ちょっと待ってください。これを成功させるには、被害者のメールアカウントを操作し続けなければなりません。返信を受けたら次のメールを送信し、照会番号を受け取る必要があります。仮に被害者がパスワードを変更した場合、どうなるのでしょうか。この場合、人間の些細なことに気づくことができない性質を利用します。詐欺者は、被害者のアドレスに非常によく似たメールアドレスを使って新しいメールアカウントを登録します。最初のメールは被害者のアカウントから送信されますが、それに対する返信が作成した新しいアカウントへ送信されるようにします。そのため、被害者のものだと思われている新しいアカウントでやり取りを継続することができるのです。この新しいアドレスには、誤った綴りの名前、姓と名を分ける記号が異なるもの、あるいは本物のアドレスと非常に似たドメイン名を使ったアドレスなどがあります。この2つのアドレスはコンピュータにとっては全く別物ですが、人間にとっては、細心の注意を払って見なければこれらの違いに気づくことはできません。例えば、Bill.Gates@gmail.comというメールアドレスがBiII_Gates@mail.comに変わった場合、何人の人がこの変化に気づくでしょうか(いくつの違いに気がつきましたか。正解は最後に)。正直なところ、私もこうした違いに関してはとてもいい加減なもので、最初は些細な違いにも気づきませんでした。
 
理論的には、Webメールサーバでは、アクティブなセッションを開いたまま、パスワードが変更された後でも、しばらくの間はハッキングされたアカウントを詐欺者がそのまま使用することが可能です。Gmailでこれを検証してみました。Webメールサーバは、古いセッションをすぐに自動で閉じはしますが、それでもやはり、セキュリティの設定を利用して詐欺者が開いているかもしれない接続を手動で終了することが賢明なやり方です。
 
詐欺メールを受けとった翌日、私は被害に遭った知人と2、3回メールでやり取りしました。知人は、この犯人はWebメールのインターフェースをアラビア語に変えたと言っていました。これは、犯人の居場所を突き止めるヒントとなるでしょう。私はちょうど送信ボタンを押そうとしたところでメールアドレスを確認することを思い出しました。Bummerという犯人のアドレスがそこにあったため、私がアドレスを手入力していなければ返信が犯人へ届くことはなかったでしょう。そのアカウントの返信先は、詐欺者の偽りのアカウントに設定されていましたから。
 
  1. では、こうした詐欺の特定に役立つチェックリストをまとめてみましょう。
  2. メールで誰かがいきなり助けを求めてきたら、それは詐欺だと疑いましょう。こうした詐欺は、本当に助けを求める場合に比べてはるかに頻繁に起こります。
  3. 私たちは友人を助ける心構えはもちろんいつでも整っていますが、被害者がこうした状況で連絡を取るのは本当にあなたでしょうか。そこまで親密でしょうか。知人がキプロスを旅行中であることも知らないあなたが、被害者とそれほど親密である可能性はどれほどでしょうか。
  4. 緊急性を作りだすのは、詐欺の最も基本的なやり方です。今やらなければならないという状況では、人は考えたり他人へ相談することができなくなります。
  5. 犯人が正しい英文を書くことができる場合もあれば、そうでない場合もありますが、その他の言語の場合、Google翻訳によるひどい文章であることが多いです。文法がメチャクチャな場合は、特に要注意です。
  6. ウエスタンユニオンを使った送金の要請はもう1つの危険信号です。電信送金は送金者に対するセキュリティがほとんど確保されていないので、詐欺犯はこの手段を好みます。
  7. この種の詐欺犯の多くは、ばつの悪い状況をでっち上げて、受信者に誰にも口外しないようにさせ、他の誰かに見破られるリスクを抑えようとします。
  8. こうしたメッセージには、多くの場合、携帯を失くしたと書かれており、受信者が電話で確認をとらないようにしています。しかし、それこそがあなたがするべきことです。
 
次に、あなたのアカウントが乗っ取られ、詐欺目的に使われた場合にどう対処すべきかのチェックリストです。

  1. 速やかに行動します。
  2. メールアカウントのパスワードを変更します。
  3. Webメールの設定、特に返信先アドレスを確認し、設定に変更があった場合は、訂正します。
  4. 別のデバイスから開いているセッションを終了する、Webメールの機能を確認します。Gmailの場合、アカウントのセキュリティ設定に「アカウントの保護」ウィザードがあります。これをもう一度確認してください。
  5. 友人に知らせます。Facebookを更新することで、友人が詐欺メールを確認する前に連絡を取ることができ、友人がだまされるのを防ぐことができるかもしれません。また、知らせることで友人の意識を高めることができます。
 
最後に、そもそも被害者にならない方法です。これは本当にアカウントセキュリティの基本についてです。

  1. 必ず適切なパスワードを使用します。パスワードマネージャを使って推測されにくいパスワードを設定する習慣をつけることが近道です。
  2. 重要なアカウントには2要素認証を有効にします。メインで使うメールアカウントは、誰にとってもこれを有効にするのに十分に重要だと思います。
  3. フィッシング詐欺は、アカウントに侵入する最も一般的な手段であるため、認識できるようになりましょう。
  4. すべてのデバイスで適切なマルウェア対策を講じましょう。スパイウェアは、アカウントのパスワードを盗む最も一般的な手段です。
 
最後のチェックリストは主に、皆さんのアカウントの保護についてです。しかしこれがすべてではありません。あなたのアカウントが乗っ取られ、友人が1000ユーロだまし取られたと想像してみてください。誰かがそれだけあなたのことを気に掛けてくれたことはある意味うれしいことですが、その結果、お金をだまし取られてはたまりません。そうです、最も責任を負うべきはこの犯行を行った人間です。だまされた人もある程度自分を責めることができるかもしれません。しかし、乗っ取られたアカウントの持ち主にも責任の一端があります。上記のようなツールを使っていれば事件全体を防ぐこともできたのですから。自分のアカウントのセキュリティに関心を持つことは、友人を大切にすることでもあります。

それから大事なことを言い忘れていましたが、いつものことながら知識こそが詐欺に対する最も強力な武器になります。詐欺は、詐欺のパターンを知らない人に対してのみ機能します。この言葉を世界に広めることで、詐欺と戦いましょう。
 
安全なネットサーフィンを
Micke
 
追伸:上記の2つのメールアドレスには、3つの大きな違いがありました。1.姓と名の間の記号が、ドットからアンダーバーに変わっていました。2.ドメイン名がgmail.com.からmail.comに変わっていました。3.Billの小文字のLが2つとも大文字のIに変わっていました。このような変更は1つだけでも、全く別のメールアドレスを作るには十分なのです。


>>原文へのリンク

@mikkoのreddit AMAからベストアンサー



この間行われたTEDxBrusselsでの講演を終えたばかりのエフセキュアの主席研究員、ミッコ・ヒッポネンがredditの「AMA(Ask Me Anything:何か質問ある?)」セッションで質問に答えました。

投稿されたすべての質問とそれに対するミッコの回答はこちらでお読みいただけます。警告:非常に長いです。ミッコのAMAには3,200件以上のコメントが投稿され、これまでのSubredditの中でも最も人気のあるスレッドの1つになりました。
 
人工知能、Tor、エドワード・スノーデンについてどう思うかという質問に対するミッコの回答を今すぐ読んでもらえるよう、私たちのお気に入りの質疑応答のうち5つを、少しだけ編集したバージョンでお届けします。
 

現在のスマートフォンはどれだけ安全で、その接続はどの程度保護されていますか? – Jadeyard
 

現在、私たちが使用しているスマホや携帯電話(およびタブレット)のオペレーティングシステムは、コンピュータのオペレーティングシステムより明らかに安全です。その主な理由は、コンピュータよりもはるかに多くの制限がかかっているためです。
 
WindowsフォンおよびiOSデバイスでは深刻なマルウェアの問題は起こっていません(ただ、それでもフィッシングのような問題についてはまだ注意する必要があります)。現実にマルウェアが存在するプラットフォームは、Androidだけです(しかし、マルウェアのほとんどは中国で発見されており、サードパーティのアプリストアからダウンロードされたものです)。
 
興味深いことに、Androidは、現実世界においてマルウェアの問題を抱える初めてのLinuxディストリビューションです。
 
ウイルスやマルウェアはいつもニュースになっていて、比較的簡単に説明できるというだけの理由で、多くの人がこれらを恐れています。個人的には、知らないうちに許可してしまうデータマイニング(つまり、Googleが入手できるデータの量)と、ソーシャルエンジニアリング形式で行われる「ハッキング」の方が怖いと思っています。一般人の目から見れば、これら2種類の脅威とその脅威レベルの違いはわかりません。何らかの被害を及ぼす可能性はどっちが高いのでしょうか。もしくは、他にもっと恐れるべきものがあるのでしょうか(政府レベルのハッッキング/攻撃)? – BadTaster
 

セキュリティの問題とプライバシーの問題という、2つの異なる問題です。
 
GoogleやFacebookといった企業は、ユーザについてできるだけ多くの情報を収集しようとすることでお金を稼いでいます。しかし、GoogleとFacebookは法を犯しているわけではなく、犯罪者ではありません。
 
セキュリティの問題は、法律を破る犯罪者や、インターネットバンキングを狙うトロイの木馬やクレジットカード情報を狙うキーロガーのように、攻撃により直接盗みを働こうしている犯罪者によって引き起こされます。
 
一般の人は、日常的にこの両方の問題に出くわします。犯罪者による攻撃に遭う方がよくないことだと思いますが、プライバシーの侵害による被害も笑い事ではありません。
 
インターネットの包括的監視も、すべての人に影響します。しかしこれらの脅威を比較することは困難です。
 
こんにちは、ミッコ!AI(人工知能)が人類に対する唯一最大の脅威だというイーロン・マスク氏の発言と考えに同意しますか? – matti80
 

イーロンは人間です。私はトニー・スタークを私のロールモデルだと常々思っていますが、現実の世界ではイーロンがロールモデルに一番近いと思っています。
 
しかも彼の言うことは正しいです。人工知能は恐ろしいものです。
 
私は、自分の生物圏により優れた知性を持つ存在を導入することは、基本的な進化上の間違いだと思います。
 
欧州刑事警察機構(Europol)のサイバー犯罪タスクフォースが最近、100以上ダークネットサーバを取り締まりましたが、このニュースは、あなたのTorに対する信頼を揺るがしましたか? – brain4narchy
 

人々は、通常のウェブを匿名で閲覧するためにTorを使用し、また、Torユーザしかアクセスできないウェブサイトを運営するために、Tor秘匿サービスを使用しています。
 
このTorの使用例はどちらも、さまざまな攻撃の標的になり得ます。他のあらゆる場所と同じで、Torにも絶対的なセキュリティは存在しません。
 
今回の取り締まりで何よりも重要だったのは、現在の法執行機関の能力を示すことだったのでは思います。
 
私は、Tor秘匿サービスのサイトにアクセスするために普段からTorを使用していますが、自分のプライバシーの保護についてはTorに頼っていません。その代わりに、VPNを使用しています。VPNは別のロケーションからの出口ノードを提供するほか、トラフィックの暗号化も行います。ただし、Torは無料のオープンソースです。ほとんどのVPNはクローズドソースであり、有料です。VPNプロバイダに依存することになるため、慎重に選択してください。当社も独自のVPN製品を持っており、私はそれを使っています。
 
もしスノーデン氏に会うことがあったら、最初に何を聞きますか? – SaPro19
 
「何を飲みますか? おごりますよ。」
 
では
 
Sandra

>>原文へのリンク

エフセキュア、クラウド戦略にてゴールデンクラウドトロフィーを受賞



エフセキュアは、法人向けソリューションであるプロテクション サービス ビジネス(PSB)とプライバシー保護とセキュリティの最新ソリューションであるFreedomeで、フランスで開催されているB2BのクラウドカンファレンスPartner VIPのイノベーションコンテスト「ゴールデンクラウドトロフィー」を受賞しました。Partner VIPは年に一度、メーカーや販売業者、システムインテグレーター、サービス企業などが一堂に会し、取引関係を深める場で、クラウドビジネスにおいて革新的な貢献をした企業を表彰しています。

エフセキュアは、全世界に広がる販売パートナーのネットワークを通じて、プロテクション サービスビジネス(PSB)やFreedomeを介したクラウドから世界中の企業にセキュリティを提供しています。今回のゴールデンクラウドトロフィーの受賞は、エフセキュアの取り組みの正しさが改めて証明された結果です。

プロテクション サービス ビジネス(PSB)は、インターネット上のサーバで、PC、Mac、モバイルデバイス、及びサーバを管理することを可能にし、また使いやすい自動的なパッチ管理を提供することで、お客様の資産の安全性をこれまで以上に高めます。

Freedomeはモバイル向けのシンプルなセキュリティとオンライン・プライバシーのソリューションです。FreedomeはVPNを利用してインターネットの接続を保護し、第三者がデータを傍受できないよう、公衆無線Wi-Fiの接続を安全にします。またオンライン広告などによる追跡を確実に防止します。


詳細情報:
プロテクション サービス ビジネス(PSB)
Freedome

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

Linux版Turlaの謎めいたバックドアがSolarisにも?

 APTファミリーTurlaに関連する、謎めいたLinuxのバックドアについて数々の報告がある。このマルウェアにはいくつかの大変興味深い機能があるが、もっとも興味深いのはネットワークインターフェイスをスニフィングする能力だ。さらに具体的に言うと、ネットワークトラフィックからC&Cサーバのアドレスを設定できるのだ。これにより、バックドアをネットワーク上に黙ったまま待機させて、攻撃者から送付される特別製のパケットで有効にすることができる。

 有効になると、バックドアは指定されたC&Cサーバへの接続を試みる。続いてC&Cサーバは、典型的なRAT機能を用いて、バックドアに対してダウンロード、アップロード、ファイル一覧表示、実行などの命令を行う。

 当初の調査では、このマルウェアはネットワークスニフィングを除いて、典型的なリモートアクセス型のトロイの木馬と同様に振る舞うことが示された。

 PATH=/bin:/usr/bin:/usr/local/bin:/usr/openwin/bin:/usr/ucb/bin:/usr/ccs/bin
 LD_LIBRARY_PATH=/usr/lib:/usr/local/lib:/usr/dt/lib

linux_solaris_turla2 (99k image)
一時ファイルの実行用の環境設定

 これはまったくもってLinux環境で一般的なものではない。実際のところ、これはSolaris環境の方にずっと適合するのだ。

 /usr/openwin - SolarisのOpenWindowsの場所
 /usr/ccs - Solaris StudioのC Compilation System
 /usr/ucb - BSDとの互換性のための、Solarisのディレクトリ
 /usr/dt - Solaris CDE(Common Desktop Environment)のインストール場所


 Post by — Jarkko

ホワイトペーパー:W32/ReginおよびW64/Reginのステージ1

 Reginのステージ1コンポーネントに関するホワイトペーパーを公開した。

 上級研究員Paolo Palumboは、11月23日以降、Reginに関する自分の覚書をホワイトペーパーにまとめるため、多忙であった。

 このホワイトペーパーは、自身のシステムや設定を点検している人のためを意図して寄稿された。もしReginが存在する場合、大半の人が初めて遭遇することになるコンポーネントについての分析を掲載しており、以降のバージョンを特定する一助となることも期待したい。

W32/Regin
Malware Analysis Report: W32/Regin, Stage #1

W64/Regin
Malware Analysis Report: W64/Regin, Stage #1

Hackerstrip

 Hackerstripは、Xylitolや、Charlie Miller、Chris Valasekのような本物のハッカーが登場するオンラインコミックである。彼らのお決まりのセリフは「Real Stories - Real Hackers」だ。

Hackerstrip

 HackerstripはRavi Kiranが始めた。チームにはLarry SutoとSantaPlixがいる。

  Hackerstripは現在Indiegogoにてクラウドファンディングを行っている。本ブログの読者の一部は、参加することに関心があるかもしれない。

Hackerstrip
 クラウドファンディングはあと24時間もせずに終わるので、お急ぎを!

Facebookの新しい利用規約はこの世の終わり?



Facebookを使っている方なら、それをすでに見たことがあるか、もしかするとすでに投稿済みかもしれません。私が言っているのは、Facebookの新しい利用規約はユーザの投稿物の著作権を取り上げるものだと主張し、それを防ぐ目的で書かれたステートメントのことです。要約すると、急速に広まっているこのステートメントは法的観点から見て無意味であり、いくつかの基本的な間違いが含まれています。しかし、人々が自分の知的権利に対する認識を高め、新しい利用規約が脅威になり得ることに気づきつつあることは、非常に良いことだと思います。
 
利用規約とは何でしょうか?新しいサービスまたはアプリケーションの使用を開始するときに表示される難解な法律用語が並んだ文章で、ほとんどの人が単にクリックして次に進みます。それは何のためのもので、重要なものなのでしょうか?ここに、利用規約について、いくつかの基本的な点を列挙いたします。

  • サービス条項またはEULA(エンドユーザ使用許諾契約書)は、サービスプロバイダとユーザの間で結ばれる、法的拘束力のある合意です。これは、基本的に契約です。一般的に、ユーザはボタンをクリックするか、サービスを使用するだけで契約に同意したことになります。
  • これらの利用規約はサービスプロバイダによって決定され、交渉の余地はありません。多数のユーザを抱えるサービスにとって、個々の契約について交渉することは不可能であるため、それも無理はありません。
  • 利用規約は、企業のための防御用ツールです。主な目的の1つは企業を訴訟から保護することです。
  • これらの規約は企業によって決められ、相手側によって読まれることはほとんどありません。言うまでもなく、その結果、私たちユーザにとって非常に不利な条件となる可能性があります。このことは、しばらく前にロンドンで実証されました。
  • ユーザにとってもう1つ悪い面は、競争の欠如です。多くのソーシャルネットワークがありますが、Facebookは1つだけです。利用規約からオプトアウトすることはFacebookをやめることを意味します。友達がみんなFacebookユーザなら、他のサービスに切り替えることは選択肢になりません。ソーシャルメディアは、その性質上独占的なものです。
  • 良い面は、サービス利用規約は法律を変えることができないことです。法令は、同意によって破ることができない、消費者とプライバシーを保護するフレームワークを提供します。不当な利用規約は無効です。
  • ただし、サービスが外国で運営されている場合、自国の法律を適用できない場合があることに注意してください。
  • また、これらの規約は、ユーザとサービスプロバイダとの関係にのみ影響します。当局によって行われる諜報活動に関してはまた別の話で、特に米国を拠点とするサービスの場合、企業が提供したプライバシーに関する約束が破られる可能性があります。
  • 利用規約には通常、ユーザがアップロードしたものをプロバイダが特定の方法で使用するライセンスを付与する条項が含まれています。プロバイダは複数のサーバ間でデータをコピーし、合意された方法で公開する必要があるため、この条項を必要とする正当な理由があります。今回のFacebook騒動が起きたのはこのような条項の程度に関する懸念が原因です。
 
それでは、Facebookの新しいサービス利用規約についてはどうでしょうか?Facebookは、条項を明確にし、理解しやすいものにしたいと主張していますが、本当はそれだけではありません。Facebookは今までもずっとユーザのコンテンツのプライバシーと知的財産権に関してかなり立ち入った条項を採用してきており、今回の変更は、この方向性を一歩進めただけに過ぎません。最近起きた騒動のほとんどは、自分の写真などが販売されたり、他の方法で商業的に利用されたりすることを恐れるユーザによって引き起こされています。新しい規約に対して懸念が生じるのも当然です。まず、Facebookにとってユーザコンテンツがどれだけ重要かを考えてみましょう。新聞のような多くのサービスが、ユーザ提供のコンテンツに依存する程度はますます大きくなっています。しかし、Facebookは究極の例かもしれません。Facebookに表示されるすべてのコンテンツは、ユーザまたは広告主によって提供されています。Facebook自体によって提供されているものは何もありません。自社でコンテンツを作成せずに、約80億米ドルもの収益を上げているのです。言うまでもなく、Facebookにとって私たちのコンテンツを使用する権利を持つことは重要です。Facebookは現在、現在および将来のビジネスモデルを構築するための確固たる法的基盤を固めているのです。

しかしもう1つ、Facebookにとって最も重要なのは、ユーザの信頼です。ユーザのプライベート写真が誰でも見ることができる広告に現れ始めれば、この信頼は大きく損なわれてしまいます。そうなれば、人々とFacebookとの関係が大きく変化し、Facebookが依存している共有コンテンツの量が減少してしまいます。ですから私は、ユーザデータ利用の際はユーザのプライバシー設定を尊重するというFacebookの約束を信じようと思っているのです。
 
このステートメントが誤っている点を2つ考えてみましょう。1つ目は、Facebookはあなたのコンテンツの著作権を奪うものでは*ない*ということです。著作権は、所有権のようなものです。Facebookが現在していること、そして今までしてきたことは、あなたのコンテンツに特定の方法で使用する権利を付与するライセンスを作成することです。しかし、ライセンスを付与したとしても、あなたがデータを所有していることに変わりはないのです。もう1つの誤りは、ユーザによって投稿されるステートメントに何らかの法律的な意義が生じるというものです。残念ながら、それは間違っています。サービス利用規約は、ユーザがサービスを使用することで承認することになるよう設計されており、誰でもFacebookの使用をやめることによって、その規約に拘束されないことを選ぶことができます。しかし、広まっているステートメントは一方的な宣言であり、相互に合意された契約と矛盾しています。

長くて退屈な記事になってしまうので、変更点について深く掘り下げることはいたしません。代わりに、詳しい情報が記載された記事にリンクを貼っておきます。しかし、普通の人が、利用規約を詳しく把握しようとすることが無益であることを明確に示すデータをご紹介します。Facebookの一連の規約にざっと目を通しましたが、何らかの規約が含まれている文書を10種類見つけました。この数は通常のユーザを対象としたものだけをカウントしたもので、広告主、開発者などを対象とした規約は除外しています。これらの規約の全テキストをMS Wordにコピーすると10 ptのフォントで41ページとなり、ワード数は約18,000、文字数は約108,000にもなりました。すごい量です!一番困るのは、どの部分が変更されたかが示されていないことです。ユーザが利用規約を読んでいないという事実に驚く人はいないでしょう。
 
ですから、通常のユーザがこのような規約を本当に理解していないことは明らかです。Facebookの利用規約に対処する最も現実的な方法は、以下の3つの作戦を検討し、最適なものを選択することです。

  1. Facebookの使用を継続し、Facebookがあなたのデータでどのように収益を上げているのか気にしない。
  2. Facebookの使用を継続し、自分がアップロードするものに気をつける。良く撮れた写真や非常にプライベートな情報など、貴重なコンテンツについては、他のサービスを使用する。
  3. Facebookをやめる。これが、真にサービス利用規約を辞退する唯一の方法です。
 
私の作戦はというと、以前の記事で説明したように上のリストの2番です。利用規約について考え過ぎず、考え得る最悪のデータ取り扱いが行われることを予期し、それを心に留めて何を投稿するかを慎重に選びます。大切なものは他のサービスにアップロードして、Facebookにリンクを投稿することができます。
 
今急速に広がっているこのステートメントに投稿しても意味はありません。ただ、それが悪いことで、投稿するべきではないと言う人たちには同意できません。この投稿には法的な重要性が欠けているものの、意識を高めることができる優れた方法です。アンバランスな規約が持つ問題の一部は、その規約を誰も気にかけていないということです。意識レベルが向上することで、人々は投稿する前によく考えるようになり、プロバイダに対しては規約をよりバランスの取れたものにするようある程度のプレッシャーが与えられ、議員達にはもっと積極的な取り組みを行うよう促すことになります。これにより、これらのサービスを制御する法的枠組みが改善されることになります。法律はより中立的な立場で制定されるため、私たちの重要な防衛線です。立法者は少なくとも理論上公正な方法で、企業とエンドユーザの利益のバランスを取る必要があります。
 
安全なネットサーフィンを
Micke

>>原文へのリンク

The Internet is on Fire

The Internet is on Fire - TEDxBrussels

 先週、私はTEDxBrusselsで講演を行った。その動画がいま公開されたところだ。以下はTEDxBrusselsにて3回目の私の講演である。その前の講演については、こちらこちらにある。



 講演の中で私は、我々の日々の作業が監視され得るような、水槽の中の生活をどのように送っているのかについて、最近の例を取り上げた。

 私が使っていたスライドの設定について、何件か問い合わせを受けた。このスライドは本来の3456×1080という解像度でプロジェクションしたもので、PowerPointには(16:9や4:3といった通常のアスペクト比の代わりに)29:9というカスタマイズしたアスペクト比で設定した。投影は、オーバーラップ機能を持つプロジェクタ2台に接続したWindowsコンピュータから行った。

The Internet is on Fire - TEDxBrussels


スライド

今こそ、Twitterの「セキュリティとプライバシー」の設定をチェックする時です

Twitterのプライバシー保護のシンプルさは大きなメリットです。つぶやきは公開されているか保護されているかのどちらかです。
 
もちろん、このユーザとの暗黙の合意がそんなに単純だったという訳ではありません。

「非公開の」つぶやきが検索可能であることが判明したこともありました。現在は、検索できないようになっています。もしあなたのフォロワーの1人が手動のリツイートやスクリーンショットを使ってあなたのつぶやきをシェアすることにした場合、そのつぶやきは一般公開されたも同然の無防備な状態となります。しかし、これはどのデジタル形式(または現実世界)のコミュニケーションにも当てはまることです。
 
今や、Twitterはさらに複雑になりFacebookのように主流になろうとしています。一方でFacebookは、最新のニュースをチェックする場所となったTwitterに取って代わろうと、さらにシンプル化を進めようとしているのです。
 
皆さんは、Twitterが、ユーザのTwitterの理解が変わるようなウェブ・エクスペリエンスの変更を徐々に加えていることにお気づきかもしれません。今では、あなたがフォローしている人がお気に入りには加えているが、リツイートしていないつぶやきが、ストリームに表示される場合があります。ロケーションベースの通知やネイティブビデオのような他の変更もまもなく加えられる予定です。
 
よりオリジナルに近いTwitter経験は、今もTweetdeckのようなアプリの形で存在しており、おそらく今後も存在し続けるでしょう。しかし、Twitterをどのように使用しているかにかかわらず、サイト内外におけるユーザの活動は広告主の成果を向上させる目的で追跡されています。
 
これは、道理にかなった話です。Twitterはビジネスであり、たとえビジネス目的でサイトを使用している場合でも、この価値あるサービスの対価を支払っていないユーザは、その商品なのです。Twitterサイトは、無料アナリティクスなどのツールを提供することによって、広告がどれだけ有効かを明確に示し、サイトの発展に伴い信用を高めようと努めているのです。
 
しかしTwitterは、ユーザが自分のデジタル脳がさらに多くの「ビッグデータ」に取り込まれたくないと考えていることを認識しています。このためTwitterは、ユーザが過干渉だと感じる可能性がある一部の追跡および機能からオプトアウトできるようにしています。
 
オプトアウトの方法は次のとおりです。
 
「設定」から「セキュリティとプライバシー」セクションに移動します。
一番下までスクロールします。最高レベルのプライバシーを求めるなら、ページの下部にある3つのボックス「見つけやすさ、おすすめユーザのカスタマイズ、プロモコンテンツ」をオフにしてから、「変更を保存」をクリックしてください。




このページを開いているこの機会に、Twitterの最も優れたセキュリティツールである、ログイン認証を利用していることを確認しましょう。

「携帯電話にログイン認証リクエストを送信」を有効にすることで、2要素認証をオンにしてください。
 
Twitterのセキュリティにおける最大の問題は、世界中の誰もがあなたのログイン名を知っていることです。ログイン認証をオンにしない限り、侵入者にとって必要なのはパスワードだけなのです。
 
また、現実世界で追跡されることを不安に思われる場合は、「位置情報をツイート」がオフであることを確認し、今までの位置情報をすべて消去してください。
 
設定をチェックしている間に、もう1つ最後に確認しておきましょう。「アプリ連携」をクリックしてください。
 
使用していないアプリについては「許可を取り消す」をクリックしてください。アプリを使用していないか分からない場合は、許可を取リ消してください。後でいつでも許可の取り消しを止めることができます。
 
それでは
 
Jason

>>原文へのリンク

誰が何のためにソニー・ピクチャーズ・エンタテインメントをハッキングしたのか?

 SPE(ソニー・ピクチャーズ エンタテインメント)社の侵害に関するニュースを追いかけていないのなら、絶対に確認すべきだ。今すぐに。急激な速度で、これまでに企業が公然と被ったハッキングの中で最悪のものになっている。

 ロイター:Exclusive: FBI warns of 'destructive' malware in wake of Sony attack(独占記事。ソニーへの攻撃を契機にFBIが「破壊的な」マルウェアについて警告を行う)
 Krebs on Security:Sony Breach May Have Exposed Employee Healthcare, Salary Data(ソニーの侵害で、従業員の健康管理や給与のデータが露呈した可能性あり)
 BuzzFeed:A Look Through The Sony Pictures Data Hack: This Is As Bad As It Gets(ソニー・ピクチャーズのデータハッキングを調査。これは落ちるところまで落ちた)

 FBIは破壊的なマルウェアについて12月1日に緊急警告を発した。

A-000044-MW

 問題の破壊的なマルウェアは、Shamoonと似通ったワイパーである。これは、ディスクのrawアクセスに同一の無害なドライバを用いている。

 11月24日、SPE社の従業員のコンピュータに以下の壁紙がドロップされた。

Hacked By #GOP

 この攻撃は誰の仕業だ?

 北朝鮮が取り沙汰されている。これは我々には信じ難く思われる。

 どうやら攻撃者たちは要求を行っていたらしい。

  •  「We've already warned you, and this is just a beginning.(我々はすでに警告を行っており、これはほんの始まりに過ぎない)」

  •  「We continue till our request be met.(我々の要求が満たされるまで継続する)」

 要求は今のところ公開されていない。要求が満たされなかったため…、攻撃者は大量のSPE社のデータを放出した。

 セオリー:攻撃者は著作権改革論者のハッカーで、ハリウッドを標的にしている。あるいは、この攻撃は強奪や恐喝を画策しようとしたものだ。著作権の改革に関心のあるハッカーたちは、上の壁紙で見られるよりも正しい文法を使っていることが多い。

 そこで、我々は恐喝について懸念するようになった。これは大きな懸念事項である。SPE社の公開「処刑」の要旨が、既にハッキングされたかもしれない他の企業に対し、恐喝がブラフではないと警告することになるからだ。

 いずれにせよ、SPE社はほんの始まりに過ぎない可能性がある。

追記:上記のShamoonへのリンクの文を変更した。

来るホリデーシーズン、デバイスを購入する方は、一番重要なアクセサリをお忘れなく



今年もまた年末商戦の季節がやってきました。家族や恋人のためにデバイスやアクセサリを求める人が殺到し、スマートフォンやタブレットの本体だけでなく、デバイスを傷や衝撃から保護するケースやカバー、バッグなどを買い求めていくことでしょう。しかし、デバイスを物理的な被害から保護する一方で、多くの人がデバイスのWi-Fi接続と自身の個人情報については、人目にさらしたままにしているのです。

デバイスのケースやカバーは広く普及しています。スマートフォンやタブレット端末にカバーなどを付けないまま、長期間使用する人はあまりいないでしょう。Amazon.comの「ケースとカバー」のページには、1,300万もの膨大なアイテムが掲載されています。また、2014年度末には、携帯電話のアフターマーケットアクセサリの収益は全体で510億ドルになるとみられ、その中でも保護ケースは130億ドルを占め、最高の売り上げを記録しているアイテムとなっています*。

しかし、デバイスの物理的な保護対策をしっかり行っている一方で、それほど目立たないものの、より重要なところが無防備なままです。安全性が保証されていない公衆Wi-Fiのホットスポットを利用するということは、偽のホットスポットを設置してトラフィックを監視するデータ窃盗犯によってデータが不正利用される危険にさらされるということです。最近のエフセキュアの調査**によれば、回答者の3分の2が、少なくとも月に1度は公衆Wi-Fiホットスポットに接続していることがわかっています。しかし、エフセキュアのセキュリティアドバイザー、ショーン・サリバンによれば、今ではWi-Fi接続時のプライバシーを保護するVPNアプリを簡単に入手できるにもかかわらず、大多数の人が接続をスヌーピングから保護するための対策を取っていないということです。

サリバンは次のように述べています。「多くの人は、外出中に公衆Wi-Fiを利用することに何の懸念も抱いていません。しかも大部分の人は、全く保護対策を講じないまま利用しているのです。デバイスの接続を保護していなければ、公衆Wi-Fi接続時にしていることが何であっても、それはたくさんの人がいる部屋の中で大声で話をしているようなものです。人々はデバイスの物理的な保護に多くのお金を使っている一方で、本当に重要な部分、すなわち、個人のデータやプライバシーには全くお金をかけていないのです。」

ところで、偽のホットスポットを設置することは難しく、費用もかかるのではと思われるのではないでしょうか?そんなことはないのです。データ窃盗犯は、たったの250ドル以下(iPad miniよりも低価格)で、正規のWi-Fiホットスポットの偽物を作る装置を購入したり、用意したりすることができます。そして、ユーザのデータトラフィックを監視し、ユーザ名やパスワードなどの個人情報を取得するのです。高価な皮製のカバーは、タブレット端末を落としたときは保護してくれますが、毒されたホットスポットでネットサーフィンを行っているときに、個人データを保護してくれるわけではありません。

サリバンはまた、次のように述べています。「iPadのカバーの価格は39ドルです。それよりもはるかに少ない金額で、外出先での接続時における個人データのプライバシーを1年間保護することができます。デバイスが傷ついたり衝撃を受けたりしても、その損害は表面的なものに過ぎません。また、最近では、画面にひびが入った場合でも、修理のために車で自宅まで来てくれるサービスもあります。しかし、パスワードなどの個人情報が盗まれた場合、ユーザのオンラインアカウントを再び保護し、ユーザ個人が受けた被害を元通りに修復することは、ずっと難しいことなのです。」

F-Secure Freedomeは、公衆Wi‐Fi上でユーザを保護します。ホットスポットが監視されている場合でも、データが暗号化されるため、誰にも読み取られることはありません。その上、マルウェアやオンライントラッキングに対しても保護します。Freedomeは、高価なケースやカバーでは守ることのできないデジタルデータを保護する、セキュリティとプライバシーの総合的なソリューションです。Freedomeは、年間3,000円/26.99ユーロ/20.99ポンド/29.99ドルでご利用いただけます。

*出典:ABIリサーチ
**出典:F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

テロリストを逮捕するのは、誰の仕事?MI5(英国情報局保安部)?それともFacebook?




英国人兵士リー・リグビー氏が殺害された悲惨な事件が、最近紙上を賑わせていますが、これは英国当局のこの事件に関する対応をまとめた報告書が公表されたことによるものです。事件の調査委員会が、この事件の責任はFacebookにあると考えていることが明らかになったことで、世間の注目が集まりました。委員会は、Facebookにはこのような襲撃を企む人々を特定し、通報する明確な義務があるとしています。テロについて話しているあらゆる人物を電話会社が通報したり、郵便事業者が怪しい手紙のコピーをすべてロンドン警視庁に提出したりすることと全く同じように(これは皮肉だとおわかりいただけると思います)。
 
英国の当局であるMI5(情報局保安部)、MI6(情報局秘密情報部)およびGCHQ(政府通信本部)は、この事件が起きる前に要注意人物として、犯人のマイケル・アデボラージョとマイケル・アデボワールを特定していたのです。しかし、適切な調査を行わず、Facebookから彼らの通信内容を取得しようとはしませんでした。警察からFacebookに直接要求したり、あるいはGCHQとNSA(米国家安全保障局)の秘密情報部門間の関係を利用するなど、当局には、それを行う方法がいくつもあったはずです。一方、Facebook内部の管理部門は、この2人の通信内容にフラグを付け、彼らのアカウントを自動的にクローズしてはいましたが、当局にはこの件を通報していませんでした。これにより、英国の人々にとって、当局がそのデータを要求しなかったという事実に代わって、Facebookが格好のスケープゴートになったのです。
 
そうです。英国の人々はFacebookを非難しています。いくつかの数値と彼らが実際に求めているものについて、詳しく見てみましょう。Facebook上には、合計約16億のユーザが存在します。13億人が毎月利用し、約8億6,000万人が毎日利用しています。これらのユーザは、約50億のアイテムをシェアし、毎日100億以上のメッセージを送信しています。これは全体として、1時間に約1,000万アイテム、1秒に17万3,000アイテムのストリームが作り出されているということです。テロリストを見つけ出すには、データが膨大過ぎます!
 
Facebookには約8,300人の従業員がいます。マーク・ザッカーバーグ氏を含む従業員の一人ひとりが、就業時間をすべて費やして、メッセージやシェアされているアイテムを監視するとしたら、1秒に60以上ものアイテムに対応しなければならないでしょう。言うまでもなく、このような膨大な量のデータに対しては、なんらかの監視を自動化する必要があります。
 
Facebookは、そのコンテンツを自動的に監視しています。特定のキーワードやキーフレーズがあれば対策が講じられ、それによってアカウントをクローズさせることができます。犯罪者の避難場所になりたい企業はありませんし、多くの有害な行動がユーザ規約で禁止されているため、これはもっともなことです。しかし、Facebookは今、危ない橋を渡っています。Facebookの第一の務めは、法執行機関となることではなく、ソーシャルメディアサービスを提供することです。また、Facebookは罪のない人々を当局に通報することは、非常に無責任なことであるという事実を深く認識すべきです。潜在的なセキュリティの脅威に対処する際には、一般的に受け入れられてきた慣例的な正義はもはや守られず、そこに透明性はありません。西側当局が、明らかに曖昧な証拠に基づいて罪のない人々を拘留し、拷問にまでかけたという事例も多くあります。マヘール・アラール氏の事件は、よく知られた事例です。
 
このため、誰かを通報することに対するハードルが高いのは間違いありません。しかし、疑わしいユーザを締め出すことは、インターネットサービスにとって難しいことではありません。彼らは結局のところ何も代価を支払っていませんし、Facebookも彼らにユーザとして留まってもらわなければならない理由はありません。こうすることは、ユーザ規約の順守を保証し、いかなる違法行為も認めないということです。しかし、誰かを通報するか否かの境界線は、当然もっと高くなります。とりわけ、その規模の大きさからFacebookが自動的に判断せざるをえない場合は、なおさらです。これは、Facebook側の怠慢ではありません。ユーザはもともと、通信においてプライバシーを保護される権利を有しているのです。これはまた、多くの西側諸国では、テロの容疑者が通常の司法制度の領域外で扱われているという事実の直接的な結果でもあります。もしあなたが、そのようなシステムに罪のない人々のデータを提供したら、重い責任を負うことになるのです。
 
現実に目を向けてみましょう。Facebookなどのソーシャルサービス上では、今こうしている間にも犯罪に関する会話が数多く交わされています。多くのテロリストが今まさに電話で話し、計画している攻撃に関連するアイテムを受け取っています。電話会社に日常的に会話を盗聴して潜在的なテロリストを特定することを期待している人はいませんし、郵便事業者に小包を無作為にチェックすることを求めている人もいません。Facebookは、フラグを付けた会話をすべて通報することはしていないかもしれませんが、少なくともテロリストの避難場所にならないための対策を講じています。それでもFacebookは、英国の人々がテロリストの避難場所と呼ぶ唯一のサービスです。ちょっと筋の通らない話です。
 
この明らかな矛盾の原因は単純で、もともとスケープゴートが必要とされていたということです。調査を怠った英国当局には、代わりに非難を浴びる誰かが必要だったのです。
 
しかしまた、さらに危険な一面がここには潜んでいます。スノーデン氏は私たちに、インターネット上のプライバシーに対する脅威を認識させました。広範囲にわたる大量監視は、それまで大部分が極秘にそして違法に行われていました。パンドラの箱は開けられ、世界中の関係当局は、大量監視に対する合法的な権利を得るために(それが実際に何を意味することになるのか、世の中の人々が気づく前に)奔走しています。Facebookに圧力をかけることは、その目的に最適なのです。
 
公正を期して言えば、Facebookにはもっと何かできたのではないかと尋ねることも当然できるでしょう。これについての冷静かつ公正な議論は、歓迎すべきものであり有益です。フラグの付いたメッセージも、おそらく膨大です。Facebookは、どの程度までそれらのメッセージを手作業でチェックするのでしょうか。また、このプロセスを改善することとで、さらに多くの潜在的な殺人犯を捕らえると同時に、罪なきユーザを通報することを防止できるのでしょうか。
 
この問題は多くの人が考えるほど簡単ではないことを、例を挙げて説明しましょう。なぜFacebookが「兵士を殺そう」というフレーズを含むメッセージに対処しなかったのか、人々は疑問を感じています。このブログもそのフレーズを含んでいますよ。そのために私は殺人犯になるのでしょうか。この投稿はフラグを付けられ、MI5に通報されるのでしょうか。
 
 
 
安全なネットサーフィンを
 Micke

イギリスISCからプライバシーについて

 フュージリア連隊のリー・リグビー氏の殺害に関連した諜報活動についての、イギリス議会の委員会ISC(Intelligence and Security Committee)の報告から。

 「(米国の通信サービスを行う)複数の企業が、監視が欠如していたのはユーザのプライバシーを保護する必要性のせいにしていたことを、我々は加えて指摘しておく。しかしながら、テロリストの残虐行為が計画されている可能性がある中で、この主張が通るのは許されるべきではない。」

where there is a possibility that a terrorist atrocity is being planned, [privacy] should not be allowed to prevail

 えーと…、テロリストがやり取りしている可能性によって、プライバシーの重要性が否定されるのか??

 私は異議を唱える。

 MI5の、テロに対する脅威の概要から。

 「テロ集団は広範に混乱や、恐怖、威嚇を引き起こそうとしている。自身の動機を広める手段として暴力や暴力の脅威を用いており、自分たちに共感する可能性のある人に動機付けをし、共感しない人を威嚇する。彼らは政策に影響を与えることを目指していることが多いが、彼らの目的を達成する手段として、民主的な手続きを踏むこと、あるいは民主主義そのものについてさえ頻繁に否定する。」

 彼らは政策に影響を与えることを目指していることが多い…。

 私の立場からは、ISCは影響を受けて、基本的価値観としてのプライバシーを軽視しているように見える。

The Intelligence and Security Committee of Parliament

 嘆かわしいことだ。

 Post by — @5ean5ullivan

ホリデーシーズンの到来。クレジットカードの安全性を確保し、思い出を守る10の方法



毎年、サイバーマンデーには売上記録が更新されます。
 
米国では、一年の中で実店舗での買い物客が最も多い日が終わった後の最初の月曜日に、オンラインでのショッピングシーズンが始まります。ここでは、人混みにまみれることなく実際に店舗へ足を運ぶよりもたくさんのセール品やお得な商品を見つけることができます。
 
しかしこのシーズンが始まる来月、皆さんがプレゼントを買うかどうかに関係なく、広告主やオンラインの犯罪者は、皆さんが買い物をするものと考えるでしょう。そして、狙いが皆さんのお財布ではない場合、コンピュータやデバイスのハードドライブに保存されているプライベートの写真や動画がその対象となっている可能性があります。
 
そのため、常に疑うことを忘れずに意識してください。そしていつもと変わらない安全なオンラインショッピングを行うようにし、ストレージも常に健全な状態に保ちましょう。
 
1. 使用するシステム、ブラウザ、セキュリティソフトウェアにはパッチが適用され、保護されていることを確認しましょう。

ソフトウェアの場合、アップデートが必要です。開発者がソフトウェアのアップデートを促すのが当たり前のこととなっているため、また別のアップデートが必要になるでしょう。そのため、ご利用のOSは常に最新の状態に保ち、最新の状態に更新されているセキュリティソフトウェアを使っていることを確認してください。
 
現在、5台のPCまたはデバイス上で利用できるF-Secure SAFEプロテクションに、200GBのセキュアなクラウドストレージを無償でつけて提供しています。
 
2. ショッピングはすべて1つのブラウザで行い、Javaの利用は避けましょう。

エフセキュアのセキュリティ・アドバイザーであるショーン・サリバンは、お金の取引を伴う場合は、ショッピングおよびバンキング専用の1つのブラウザで行うようアドバイスしています。
 
「あまりに多くのタブが開き、多数のタスクが実行されているときこそが、悪意のあるリンクをクリックしてしまったり、ダウンロードしてはいけないものをダウンロードしてしまったりする瞬間なのです」と、ショーンは言います。
 
そのため、ネットサーフィンにはChromeを使用し、重要な取引などにはFirefoxを使用してください。
 
トランザクションで使用するブラウザに関係なく、Javaは無効にし、その他のブラウザも可能な限り無効にしてください。使用しなければならない特定のウェブサイトでJavaが必要な場合は、そのサイトでのみ、使用している1つのブラウザでJavaを有効にしてください。
 
3. ショッピングは信頼する店舗やサイトで行いましょう。

長い間、怪しい文法や粗末なデザインは、悪意のあるサイトやeメールを見分ける判断材料となっていましたが、犯罪者たちは絶えず、自分たちの犯罪ゲームをより巧妙なものにしています。
 
最善の対策は、皆さんがプロ意識に欠ける店舗や、トラックから取り出したステレオ装置を手当たり次第売ろうとする人を避けるように、総じて怪しいサイトには近づかないことです。
 
Google経由でのショッピングは避けましょう。信頼できるサイトへ直接アクセスし、そこで検索を行ってください。
 
4.  ショッピングはVPNやhttpsのような安全な接続で行いましょう。

Wi-Fi経由でショッピングを行う場合、信頼できるネットワークに接続しているか、またはF-Secure Freedomeのような仮想プライベートネットワークで安全性を確保していることを確認してください。Freedomeは、データを暗号化することで、皆さんのパスワードなどの個人データを保護します。また、Freedomeは、ユーザのデータを利用して法外な値段の物を売り付けようとする詐欺師や追跡者から皆さんを守ります。
 
データの転送中にその安全性を確保するため、URLが「https」で始まる安全なサイトへの接続でない限りは、個人データを入力しないでください。「https」の表記がない場合は、別のサイトへ移動してください。
 
5. オンラインショッピングはすべて1つのクレジットカードで行いましょう。

被害を最小限に抑えましょう。データが盗まれた場合、クレジットカード会社が不正を見つけてくれるかもしれません。しかし、だからと言ってホリデーシーズンにクレジットカードを使えなくなる可能性がなくなるわけではありません。
 
オンラインショッピングで使うクレジットカードを1枚だけにすることで、自分が使った額をいつでも簡単に意識することができます。
 
6. 明細書を確認しましょう。

明細書を確認していますか。自分で明細書を見て、すべての請求が自分のものであることを確認しましょう。他の誰かが確認してくれるわけではありません。
 
7. パスワードの再利用は避けましょう。

パスワードの再利用は、家や車、ボート、金庫に同じ鍵を使うようなものです。重要なアカウントのパスワードは他人に知られてはならないものであるため、一意の推測されにくいものにする必要があります。これは簡単なことではありません。そのためエフセキュアでは、パスワードマネージャの使用を推奨しています。デバイス1台であれば、無料でF-Secure KEYをご利用いただけます。
 
8. オンラインショッピングには、公表していないeメールアカウントを使用しましょう。

ログインに自分のeメールアドレスが使えるAmazonのようなサイトは便利ですが、これは同時に、皆さんのeメールアドレスを知っている人であれば誰でもログインでき、アカウントの安全性が半分損なわれているということでもあります。簡単な解決策としては、金融口座のログインに使用するような、誰にも知られていない特別なeメールアカウントを利用することです。
 
9. すべてに対してバックアップを取りましょう。

デバイスやPCに保存するものは、ハードウェアそのものよりも価値があります。というのは、これらは、決して取り戻すことができないもの、つまり「時間」を意味するからです。ホリデーシーズンの写真は、一度きりの祝い事やパーティーの思い出が詰まったものです。そのため、使用するデバイスはすべて必ず、常にバックアップを取りましょう。
 
10. 信頼できるクラウドサービスを利用しましょう。

今年報じられた一連のセレブのヌード写真に関する報道からわかるように、利用するクラウドストレージのセキュリティは極めて重要です。データをハッキングしようとする人が多ければ多いほど、皆さんのコンテンツがさらされるリスクは大きくなります。2要素認証を利用でき、皆さんのプライバシーを守るエフセキュアのyounitedのようなサービスを利用するようにしましょう。
 
良い休暇をお過ごしください。
 
サンドラ


>>原文へのリンク
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード