エフセキュアブログ

オフィシャルコメント

ダイジンとユージン

先月のことになりますが、Cyber3 Conference Okinawa 2015という国際会議に私も休暇がてら参加してきました。

c3
(サイバークライムのセッションでは、インターポールIGCIへの期待の高さを肌で感じた。)


初日の全体セッションには、日本政府からダイジンという方が登壇され、
なぜ、世界の優秀な技術者はグーグルやアップルのような企業に行くのか。これは給料が高いからではない。技術者の探究心を満たせる環境が整っているからだ。それと同じように日本の技術者も、社会貢献という大義のために、安い給料で頑張ってほしい。
という趣旨の発言がありました。

ダイジンのそういった発言がある一方で、二日目には、世界的に有名なサイバーセキュリティ企業を経営するユージンという方が登壇されました。そのロシア企業は世界中からトップレベルのセキュリティ技術者(ハッカー)をかき集めていることでも知られ、アンチウイルス業界のグーグルとまで言われたり、言われなかったりします。
ユージンは、
十分な数のセキュリティ技術者を抱えている国など世界中探してもどこにもない。どんどん投資して、教育して育てなければならない。数が少ないからこそ、彼らにはフットボールプレイヤー並みの給料がかかるが、企業にも政府にもまだまだセキュリティ技術者が必要とされている。
と発言されました。
さすが、一癖も二癖もあるハッカーの年俸を決定する立場にある経営者の言葉からは苦労と覚悟が伝わってきます。それにエンジニア出身の経営者というだけあって、セキュリティ技術者の心情もよく理解しています。

サイバーセキュリティ業界を志す学生の皆さん、リーガ・エスパニョーラ(スペインプロサッカーリーグ)の平均年俸は2億7千万円、ロシアプレミアリーグでも3千万円だそうですよ。

参考情報:【ハリルジャパン】2015シーズン年俸ランキングが意外すぎるww

数独マルウェア vs. EMET 5.2

数ヶ月前、悪意のある数独問題ファイルを読み込むことの危険性について注意喚起を行いましたが、昨今の標的型攻撃の手口は悪質化、巧妙化の一途をたどり、ソーシャルエンジニアリングを駆使した攻撃手法も洗練され、もはや「悪意があるかどうかを事前に判断」することが困難になりつつあります。つまり、「不審な数独問題ファイルを開かない」というのが対策として機能しなくなってきたのです。

そこで近年注目されているのが、マイクロソフトが提供するEMETに代表されるような脆弱性防御(緩和)ソフトウェアです。
早速、EMETを有効にした状態で数独マルウェア(正確に言うと数独Exploit)を使って攻撃してみましょう。
デフォルトで3つのセキュリティレベルが用意されていますので、最高レベルの「Maximum security settings」を選択して実験を開始します。

SudokuExploitWithEmet52

なるほど、確かに攻撃を検知して防御してくれました。

では次に、EMETによる防御をバイパスしてみましょう。EMETの解説を読む限りでは、攻撃に使われる典型的な振る舞いをパターン化しているようです。そこで、一直線に攻撃に向かうのではなく、わざわざ遠回りをして攻撃してみます。例えて言うと、スタート地点Aから目的地Bに向かいたいが、途中に検問がある。だったら一度経由地Cを通ってから目的地Bに向かおうという、いたってシンプルな作戦です。
要するに
A -> B
という命令は
A -> C
C -> B
という二段階の命令に置き換えます。

完成した攻撃コードを実行した動画です。



脆弱性防御ソフトウェアは、あわてんぼうの攻撃者にとっては有効ですが、精巧に攻撃されるとまだまだバイパスが可能、という段階のようです。

また今回の実験はEMETだけでなく他の標的型攻撃対策ソフトに対しても同様にバイパスが可能でした。

「不審な数独問題ファイルを開かない」という自信の無い方は、業務用PCと数独用PCを分けることをおすすめします。

2015/10/06追記: EMET 5.5 Betaでも結果は同じでした。

トップガンを越えてゆけ

NHKのプロフェッショナルというテレビ番組の中で、"サイバーセキュリティー技術者の中でも最高の技術を持つトップガン"ということで「あの」名和さんが登場しました。

名和利男(2015年9月14日放送)| これまでの放送 | NHK プロフェッショナル 仕事の流儀

特にマルウェア解析シーンでは突っ込みどころがたくさんありますが、テレビということで大目に見てもらうとして、技術者が誤解したままではマズイと思うことを一点だけ。

終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話になっています。
おそらく「b1ef92??」を1バイトずつに分解して、16進数から10進数に変換したのでしょう。

16進数表記 b1 ef 92
10進数表記 177 239 146

ところが、そもそもこの値はVirusTotal独自のハッシュ値ですので、こういった計算でIPアドレスを割り出すことはできません。よって、メキシコというのは誤報でしょう。

では、どこの国を経由した攻撃なのか。それはマルウェア検体自体を解析するのが一番確実です。

マルウェアの中身を見ると、サーバのアドレスは暗号化されていますが、復号ロジックも復号鍵もマルウェア検体自身の中に入っていますので、それを用いて復号するとマルウェアの通信先がわかります。

malwareanalysis

その通信先から、二つ目のサーバに関する情報を暗号化された形で取得できますので、同様に復号すると攻撃者のサーバのIPアドレスがわかります。
そのサーバにアクセスした結果がこちらです。

iisrdp

明らかにメキシコ以外の国が絡んでそうですね。

今年の9.18サイバー攻撃は静かだった?

9月といえば、18日の中国からのサイバー攻撃が毎年恒例のイベントです。しかし、今年は静かなもので、特に目立ったウェブ改竄やDDoSなどの攻撃は確認できていません。
#私の観測ポイントで確認できていないだけかもしれませんが・・・。

なお、他国のウェブサイトは戦後70年絡みでの改竄被害が多数出ています。
ghost

国内において9.18に関係した被害が確認できなかった要因として、今年は直近に靖国参拝や尖閣諸島などの政治的要素の強い報道がなかったことが挙げられるかもしれません。
なお、この政治的背景の観点では例年9.18サイバー攻撃を行っている一部の攻撃グループが、15日に安部首相が日・ベトナム首脳会談を行ったことに対して反応しています。

Vietnam

攻撃趣旨としては南シナ海の警備を支援するために巡視船や巡視艇を供与する方針を決めたことの対して物申したいようです。
#こちらも大規模改竄といったものではありません。

ここ最近の攻撃傾向をみますとイベント的なサイバー攻撃は政治的なトリガーがなければ、大規模な攻撃は行われていない印象があります。
しかし、この手のイベント前は攻撃者らがチャット上で攻撃に関する議論を行っていることから、全く攻撃が無いとは言い切れません。
特にイベント的攻撃はDDoSのような一撃必殺的なものも予想されるため、対策準備をしないわけにもいかないのが悩ましいところです。

日本国内においては来年のサミット、2019年のラグビーW杯、2020年のオリンピックなどのビックイベントが控えています。その影響がどの程度あるかは不明ですが、今後益々のサイバー攻撃の増加が予想されます。その意味では、9.18サイバー攻撃は演習としても活用できますので毎年しっかりと対応していくことが重要になると思います。
たとえ何も無くても情報共有の枠組みやエスカレーションフローの手順などの再確認ができますので、良い機会かと思います。
と、いうことで来年も大規模攻撃は無いかもしれませんが、対策準備のひとつとして対応しては如何でしょうか。

悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性

概要
シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。

sudoku-2015-000001

影響を受けるシステム
Sudoku solverを組み込んだシステム

詳細情報
Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。



想定される影響
細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。

対策方法
不審な数独問題ファイルを開かないようにしてください。

参考情報謝辞
IT先進国を目指す国家のリーダー像を自らの行動で示すリーシェンロン氏に対し深い謝意を表します。

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

気になるオールインワン・クライムウェア「DiamondFox」

情報窃取を目的としたボット”DiamondFox”が、クレジットカード情報を狙う犯罪者らの中で話題のようです。
(いろいろな意味で・・・)

webUI
 ※マニュアルより抜粋

元々、情報窃取を目的としたクライムウェアであることから、認証情報やクレジットカード番号等を窃取するための機能が非常に充実していることが特徴です。
  • Browser Password Stealer
  • Instant Messaging Grabber
  • KEYLOGGER
  • Point-Of-Sales Grabber(RAM Scraper)
  • EMAIL Grabber
  • FTP Password Stealer
中でも機能面で興味深いのは、
  • Bitcoin Wallet Stealer

を有していることで、顧客層を金融犯罪グループにターゲットを絞っていることが窺えます。


bitcoin stealer


また、DDoS機能(HTTP flood / UDP flood)もあり、脅迫用と推測されます。
DD4BCのケースのような利用を想定。

こういった金銭目的のクライムウェアは以前から存在していましたが、ここまで多機能なものは殆ど見かけたことはありませんでした。容易に予想される脅威は、一台の端末から認証情報の他に仮想通貨やカード情報など根刮ぎ窃取する手口が横行するかもしれない、ということです。

特にメモリに対しての機能を有している点においては、今後の行く末が恐ろしい限りです。
クライムウェアの悪用はこれからも増加するとみています。これらが日本国内のサービス等に、いつ対応してくるかが焦点になってくるのではないでしょうか。
何かUG市場に動きがありましたら続きを書きたいと思います。

ではでは。

年金機構を襲ったマルウェアに感染しているかを1分で確認する方法

さすがに高性能なフォレンジックソフトを使えば簡単に見つけられるようです。

focus-s
株式会社フォーカスシステムズが公開した
年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析


ただ、一般の方にしてみればちょっとオーバースペックかもしれませんので、もっと簡単に確認する方法を紹介します。

タスクマネージャーを開き、対象プロセスを右クリック、「ダンプファイルの作成」を選択します。
taskmanager_emdivi

あとは、作成されたダンプファイルからC2サーバのドメインを検索するだけです。
上記のサイトによると東京都港区にある海運企業のドメインは「p」で終わるようですので、「p.co.jp」で検索します。
cmd_emdivi

海運企業っぽい名前が出てきたら感染しています。

実際には海運企業以外もC2サーバとして使われていますので、もうちょっと汎用的なキーワードのほうがいいかもしれません。
cmd_emdivi2

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



UG市場と懐かしのVBA悪用の流行で思うこと

昨年よりVBAを悪用した攻撃報告が相次いでいます。2月にSANS ISCからも報告されていますし、Dridex Banking Trojan のような攻撃も報告されています。
#当初はVBAの悪用に対して懐かしさを感じていました。
一時代前の状況との違いのひとつは、攻撃時のソーシャルエンジニアリング的な要素を強化したことが挙げられます。例えば、マクロを有効化しなければ文章本文が閲覧できないようにするなどです。

このVBAを悪用するトレンドは、アンダーグラウンド市場においても確認できます。
現在、複数のサイバー犯罪者向けのサービスプロバイダー(?)が確認されており、ほとんどがマクロに対応しているようです。
#もっとも、ちゃんと取引が成立するのかは不明ですが。

officeexp
                    図 攻撃コード生成サービス例

約3年前頃と記憶していますが、マルウェア開発者コミュニティ間において、VBSによるマルウェア開発の依頼が記載された時期がありました。恐らく、その頃からVBSやVBAといったエンコード可能な言語による悪性コード開発の需要が高まってきたのではないでしょうか。そして、現在は一定の市場が出来てきたのかもしれません。
この辺の状況は悪性コードにも表れており、VBAがダウンロードする関連ファイルなどは非常に酷似しているものが多く確認されています。例えば、下図の場合は一部のパラメータなどが変わっているだけのものです。
#エンコードはいずれもbase64を利用。
つまり、同一のツールもしくはサービスを利用して作成したものと推測されます。

download malicious files

既に報告された悪性コードだけでも複数種類あり、全てへの対策は中々骨の折れる作業となります。
また、従来よりも攻撃手口は複雑化しているため、単一のセキュリティソフトウェアだけで検出することも難しい状況です。そういった意味では、様々な観点から検知を試みる必要があるといえます。
ちなみに、独自でIOCなどのルールを記述する場合は、次の文字列の組み合わせが使えそうです。

■ダウンロード機能をYaraなどで検出する場合(例)
    strings:
        $a = "VBA"
        $b = "Root Entry"
        $c = "workbook_open" nocase
        $d = "GET"
        $e = "XMLHTTP" nocase
        $f = "WinHttpRequest" nocase
        $g = "adodb.stream" nocase
       
    condition:
        $a and $b and $c and ($d or $e or $f or $g)

#中途半端な形での記載で恐縮ですが、使いやすい形にしてご活用ください(笑)

なお、私見ですがVBAやVBSの悪用は暫く続くものと推察しています。と言いますのも、いずれも被害報告が減る兆しが見えないことに加え、既知の攻撃ツールの開発が継続されているためです。
いずれも悪性コードの開発において自由度が高く、従来のセキュリティ対策に対して柔軟に対応可能であることが特徴です。そういった意味では、しばらくイタチごっこの状況となるのではないでしょうか。
近い将来、これらの課題も解決する日が来ると思います。それまではIOCをはじめとした脅威情報を活かすためのフレームワークを作ることが先決かもしれません。現在、世界ではこれらの取組み(STIXなど)がはじまっています。国内においてもそろそろ動き出す頃かもしれません。
その際は是非ご協力頂き、脅威情報など共有頂けると幸いです。

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

JVNVU#92002857とGoogle不正証明書事案のメモ

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメイン の管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。
とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC(中国インターネット情報センター)により発行されている、とのこと。この辺りは、GREATFIRE.orgars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

langley tweet

前者は認証局、後者は証明書(一部、中間認証局?)の問題の情報となります。
特に後者のような通信傍受目的(?)と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。


最強の情報分析者を目指して

情報収集担当者と情報分析担当者、どちらに適性があるかを評価してくれるサイト「INTELLIGENCE SKILLS CHALLENGE」を公安調査庁が開設しました。

サイバーディフェンス研究所の情報分析部としては当然、圧倒的な情報分析者適性を持っている必要があります。
そこで、まずは念入りに情報を分析しながら100%の情報分析担当者を目指します。

ISC1

途中で苦渋の選択をせざるを得ない質問もありましたが、100%を達成しました。しかしその結果をよく見ると適性の割合だけではなく、点数も表示されるようです。200点満点中50点くらいしか取れていないようで、これでは情報分析部失格です。

では次は、200点満点を目指してみましょう。

ISC2

200点満点を取れたのはいいんですが、今度は逆に適性の割合が大きく下がってしまいました。

サイバーディフェンス研究所情報分析部に求められる能力はこんなものではありません。情報収集能力、情報分析能力ともに満点かつ情報分析者適性が100%である必要があります。

ところがこのサイトでは、情報収集能力の点数が高ければ高いほど情報分析者適性が下がる(情報収集者適性が上がる)というロジックになっているようです。
世の中に両方の能力を兼ね備えた情報分析者は存在しないのでしょうか?

そんなはずはありませんよね。どこかに見落としている情報があるはずだということで、改めて隅々まで情報を分析し直し、彼らのロジックの矛盾に挑戦した結果、無事に両方で満点かつ情報分析者適性100%を達成することができました。

ISC3

同じように判定された方はぜひサイバーディフェンス研究所の求人にご応募ください。

インターネットに安全地帯はあるのか?

みなさん、こんにちは。Rakuten-CERTの福本です。
 この度、2015年4月7日、8日に新経済サミットが開催されることになりましたが、今回、サイバーセキュリティのセッションで、なんと、あのエフセキュアブログでもお馴染みミッコ・ヒッポネンが登壇することが決まりました!

topic_1Mikko_Hypponen
インターネットに安全地帯はあるのか? ミッコ・ヒッポネン(F-Secure  チーフ・リサーチ・オフィサー)

高度情報通信ネットワーク社会において、サイバーセキュリティはもはや欠かせない重要なキーファクターとなり、政府機関も民間もセキュリティ体制、対策の強化が急ピッチで進んでいるかと思います。僕は13年以上、楽天でサイバーセキュリティを担当していますが、サイバー攻撃・犯罪の手口はここ数年で著しく巧妙なものとなり、それは映画の世界みたいな話ではまったくなく、まぎれもなく現実世界の話であり、そんな中、僕たちは安全なモノづくりだけではなく、日頃からセキュリティ監視・分析も行い様々な攻撃に対する対応をしています。いま世の中的に更なるセキュリティ対策強化が求められるこの状況で、今回、ミッコがどのような話をしてくれるのか、僕たちにどのようなインプットを与えてくれるのか、非常に楽しみにしています!僕ももちろん当日は会場にいる予定です。興味のある方はぜひ参加されてはいかがでしょうか。 


#Citizenfour がアカデミー賞を受賞 - エドワード・スノウデン密着ドキュメンタリー #Snowden

  アメリカの映画業界が1年に1度最優秀作品を選ぶアカデミー賞。今年2月22日の授賞式では2014年のベスト・ドキュメンタリー賞として、元NSA契約業者職員だったエドワード・スノウデンに密着取材した作品「Citizenfour」が選ばれた。監督のローラ・ポイトラスはアメリカ人映像作家だが今はベルリンに住んでいる。この映画は、スノウデンのNSA内部告発を主なストーリーとして組み立てられているが、スノウデン以前にNSAを内部告発した元NSA職員ウィリアム・ビニーの発言も重用するなど、他の内部告発者の動きにも比重を掛けている。そして節々に画面に現れる「For Your Consideration」の文字が視聴者に疑問を持つことを投げかける。

トレイラー  https://vimeo.com/110281557

  この映画はアカデミー賞以前にすでにBAFTAアワードなど多数の賞を受けていた。サウンドトラックはナイン・インチ・ネイルズの「Ghosts I-IV」からクリエイティブコモンズ・ライセンスの音源が使われ緊張感を醸し出している。またエグゼクティブ・プロデューサーのリストには、「セックスと嘘とビデオテープ」「エリン・ブロコビッチ」「オーシャンズ」などの監督スティーブン・ソダーバーグも名前がある。
https://citizenfourfilm.com/cast-crew 

  Citizenfourとは、スノウデンが初めてローラ・ポイトラスにコンタクトした際に使用したコードネームのことだ。オープニングは、スノウデンからの初めてのメールの朗読から始まる。同時にテキストで、ポイトラスが2006年にイラク侵略戦争のドキュメンタリーを作り始めた頃からアメリカ出入国の際に執拗な尋問に遭い始めたために、次作のグゥアンタナモ刑務所の作品などの撮影素材を守るためにベルリンに移住したことが明かされる。この映画では、背景解説のテキストやスノウデンとのメッセージのやりとりの朗読の多用が緊張感を高めている。映像も建設中のNSAデータセンターやアメリカ議会でのNSA長官の尋問などが背景を示す。

  そして香港でのスノウデンとのコンタクトに話は進む。2013年6月3日月曜から1日づつ進むホテルの密室でのスノウデンへのグレン・グリーンウォルドによるインタビューとその記事の発表によって日毎に進む事態、日に日に深まるカミングアウトを決意したスノウデン自身の神経質さの描写は、これが現実に起きたという事実の重苦しさから逃げられない。

  「Citizenfour」1時間53分の前半2/3ほどは香港でのスノウデンのインタビューに時間が割かれているが、後半になるとスノウデンの暴露のインパクトと波及事件が多数盛り込まれる。特に、スノウデン暴露記事の急先鋒として報道したイギリスのThe Guardian紙のオフィスへ英諜報機関GCHQの職員が現れ、スノウデンから受け取ったファイルの提供を強要したことから、拒否したThe Guardian編集部がファイルを保持していたPCとそのハードディスクを破壊した場面も含まれている。

  しかし一番戦慄するのは最後の10分間だろう。ここで新たなNSA内部告発者が現れたことが明かされるからだ。グリーンウォルドとポイトラスはモスクワのスノウデンを訪ねて、この新たなNSA内部告発者について相談するが、この新たな人物がグリーンウォルド達に持ち込んだ情報の危険性はスノウデンが呆れるほどなのだ。クレムリンの見える1室で行われたミーティングは盗聴を避けるために主な情報は筆談で為され、大部分の手書きメモは映されないが幾つかはフォーカスが合わされて撮影されている。中でも意思決定チェーンを説明するメモの一番上に書かれた「POTUS」の文字ははっきりと読める。(POTUS: President Of The United States の略)


  レビュー「NSA告発を描いた話題の映画「CitizenFour」レビュー:スパイ行為の暴露を語るスノーデン氏の実の姿」
  「Citizenfour」は日本でもGAGAの配給で公開が予定されている。(ただし多数の暗号技術用語や諜報機関用語などが上手く翻訳されるかが心配だが)


  「Citizenfour」には描かれなかったスノウデンの香港脱出についても、デンマークのDR-TVとドイツのNDRの合作でドキュメンタリーが作られている。脱出行動を共にしたWikileaksのサラ・ハリソンと後方支援したジュリアン・アサンジへのインタビューと、アメリカ側でスノウデンの対応に追われたホワイトハウスやNSAの様子を元NSA長官マイケル・ヘイデンなどへのインタビューを対比しながら見せている。

  また2015年クリスマス公開を目指して、オリバー・ストーン監督のスノウデン伝記映画も制作が進んでいる。
  3月3日に、スノウデンはアメリカへ戻ることも検討しているというスノウデンのロシア側弁護士の談話が発表されたが、オリバー・ストーン監督の映画はこのアナトリー・クチェリナ弁護士の出版したスノウデン本を基にしているという。


  ローラ・ポイトラスのアカデミー賞受賞スピーチは以下のようなものだった。ここで「スノウデンが暴露したものはプライバシーへの脅威だけではなく、私たちのデモクラシーそれ自身への脅威だ」とポイトラスは述べているが、セキュリティとプライバシーを対立させる二元論ではなくデジタルネットワーク時代の民主主義が主題なのだ。このドキュメンタリーを2014年の最優秀作に選んだのはハリウッドにも民主主義の番人の良識があるということだろう。

Thank you so much to the Academy. I'd like to first thank the documentary community. It's an incredible joy to work among people who support each other so deeply, risk so much, and do such incredible work. We don't stand here alone. The work we do to (unveil?) what needs to be seen by the public is possible through the brave organizations that support us. We'd like to thank Radius, Participant, HBO, BritDoc, and the many, many, many organizations who had our back making this film. 
The disclosures that Edward Snowden reveals don't only expose a threat to our privacy but to our democracy itself. When the most important decisions being made affecting all of us are made in secret, we lose our ability to check the powers that control. Thank you to Edward Snowden for his courage, and for the many other whistleblowers. And I share this with Glenn Greenwald and other journalists who are exposing truth.
  https://www.eff.org/deeplinks/2015/02/laura-poitras-acceptance-speech-when-citizenfour-won-academy-award
  受賞式ビデオ http://bit.ly/17YlrcT

 「Citizenfour」はアカデミー賞発表後、アメリカのHBO、イギリスのChannel 4、スウェーデンなどでテレビでも放映されている。またiTuneからも視聴/購入できる。日本公開が待てない人は英語のみで良ければどれかで視ることができるかもしれない。 http://bit.ly/1Emtu0U
(update2)

インターポールサイバー部門本格始動

ここシンガポールは中華圏の国だということもあり、1月1日の正月よりも旧正月(春節)のほうが本当の正月といった感じでしたので、ようやく新年を迎えた感じです
ご紹介が遅れましたがインターポールの新しいビルもほぼ完成し、すでに業務を開始しております。

BEFORE(2014年4月):
IGCI

AFTER(現在):
IGCI1

IGCI2


昨年多くの方にご協力いただいて蒔いた種は、そろそろ収穫の時期を迎えることでしょう。
本年もよろしくお願いいたします。

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

英国のダブルスタンダード:英国のようにハッキングするな

以下は、英国がハッキングしたとされている企業だ。
Hacked_by_UK

このベルギーの電話会社を英国がハッキングした理由はなんだろうか?

携帯の通話を盗聴するためだ。

 —————

ではダブルスタンダードとはどういうことでしょうか?
ここで英国のサイバーセキュリティ戦略(PDF)を見てみましょう。(下線は筆者によるもの。)

CyberSecurityStrategyUKCyberSecurityStrategyUK2

4つの項目が柱として挙げられています。
  • 英国のサイバー空間を世界で最もセキュアにする
  • 英国をサイバー攻撃に対して強靭にする
  • オープンで、活力があり、安定したサイバー空間の形成を助ける
  • 英国のサイバーセキュリティに関する知識、スキル、能力を強化する
EUの連合国をハッキングした国の戦略だというのが信じられないような、お行儀のよい模範解答が並べられているのです。

では気を取り直して日本のサイバーセキュリティ戦略(PDF)を見てみましょう。

CyberSecurityStrategyJPCyberSecurityStrategyJP2

「強靭な」「活力のある」「人材育成」「世界を率先」
コピペで作ったのかと思うほど似通った、安定の模範解答です。

なぜマイクロソフトはサイバー攻撃に弱いのか?

脆弱性が見つかるたびに、マイクロソフトはセキュリティを強化し進化を遂げてきました。その対策が破られると、さらにセキュリティを強化して進化します。
しかし逆の見方をすればセキュリティを強化しても破られている、と言うこともできます。

マイクロソフトは、セキュリティ開発ライフサイクル(SDL)という、理路整然とした仕組みを開発体制に組み込んでいるようでして、これを読む限りでは攻撃者が付け入る隙はなさそうですが、残念ながらどこかしらから破られているのは事実です。

様々な大人の事情があるのでしょうが、「どのように破られるのか」の事情の一端をうかがい知るための一つの切り口として、技術者向けにはなりますが、破られる仕組みをアセンブリレベルで体験していただく企画をCodeIQの中で数ヶ月前に始めてみました。

MsIsVulnerable

マイクロソフト製品にはデフォルトでセキュリティのための仕組みが組み込まれますが、それらをいかに破ることができるか(できたか)を体験いただけるかと思います。(中にはSDL以前の話もあります。)
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード