エフセキュアブログ

オフィシャルコメント

英国のダブルスタンダード:英国のようにハッキングするな

以下は、英国がハッキングしたとされている企業だ。
Hacked_by_UK

このベルギーの電話会社を英国がハッキングした理由はなんだろうか?

携帯の通話を盗聴するためだ。

 —————

ではダブルスタンダードとはどういうことでしょうか?
ここで英国のサイバーセキュリティ戦略(PDF)を見てみましょう。(下線は筆者によるもの。)

CyberSecurityStrategyUKCyberSecurityStrategyUK2

4つの項目が柱として挙げられています。
  • 英国のサイバー空間を世界で最もセキュアにする
  • 英国をサイバー攻撃に対して強靭にする
  • オープンで、活力があり、安定したサイバー空間の形成を助ける
  • 英国のサイバーセキュリティに関する知識、スキル、能力を強化する
EUの連合国をハッキングした国の戦略だというのが信じられないような、お行儀のよい模範解答が並べられているのです。

では気を取り直して日本のサイバーセキュリティ戦略(PDF)を見てみましょう。

CyberSecurityStrategyJPCyberSecurityStrategyJP2

「強靭な」「活力のある」「人材育成」「世界を率先」
コピペで作ったのかと思うほど似通った、安定の模範解答です。

なぜマイクロソフトはサイバー攻撃に弱いのか?

脆弱性が見つかるたびに、マイクロソフトはセキュリティを強化し進化を遂げてきました。その対策が破られると、さらにセキュリティを強化して進化します。
しかし逆の見方をすればセキュリティを強化しても破られている、と言うこともできます。

マイクロソフトは、セキュリティ開発ライフサイクル(SDL)という、理路整然とした仕組みを開発体制に組み込んでいるようでして、これを読む限りでは攻撃者が付け入る隙はなさそうですが、残念ながらどこかしらから破られているのは事実です。

様々な大人の事情があるのでしょうが、「どのように破られるのか」の事情の一端をうかがい知るための一つの切り口として、技術者向けにはなりますが、破られる仕組みをアセンブリレベルで体験していただく企画をCodeIQの中で数ヶ月前に始めてみました。

MsIsVulnerable

マイクロソフト製品にはデフォルトでセキュリティのための仕組みが組み込まれますが、それらをいかに破ることができるか(できたか)を体験いただけるかと思います。(中にはSDL以前の話もあります。)

CODE BLUE 「物理セキュリティ:サイバーセキュリティがすべてではない」 by Inbar Raz

鵜飼です。

私がレビューボードを務めさせて頂いているセキュリティカンファレンスCODE BLUEも、いよいよ開催まで半月となりました。今回は、基調講演にケレン・エラザリさん、イルファク・ギルファノヴさんを迎え、メインの技術講演も非常に質の高い発表が多数予定されています(参考:CODE BLUE - 講演者紹介)。

本日よりCODE BLUEのオフィシャルフェイスブックページにて、CODE BLUEスピーカーのインタビューが掲載される事になり、早速一人目の講演者であるインバー・ラズさんのインタビュー記事が掲載されました。CODE BLUEでは、映画館の発券機や空港ロビーに設置されたPCなど、公共施設にあるキオスク端末などのセキュリティについて講演する予定との事です。

インタビュー記事:
https://www.facebook.com/codeblue.jp/posts/314323075442028
 

#Slush14 「R.I.P Internet」: サイバー犯罪者、ハクティヴィスト、国家、テロリスト集団の4つのベクトル

  ミッコが11月18日にフィンランドのベンチャースタートアップ・イベント「SLUSH」で「R.I.P Internet」と題して講演した。この「SLUSH」はフィンランド首相のスピーチで幕を開けているが、起業家、投資家、パートナー企業、アーティスト、メディアが出会える場所になるのを画策していて、日本からも楽天の三木谷氏や孫泰三氏などが参加している。

  この「SLUSH」での講演の中で、ミッコは3年前の「Google Zeitgeist」での講演から続く重要なアップデートを行っている。 

http://blog.f-secure.jp/archives/50738846.html 

  2011年に行われた「Google Zeitgeist」での講演では、ミッコは警戒すべきサイバー攻撃者として、サイバー犯罪者、ハクティヴィスト、国家の3つのベクトルを挙げていた。

http://blog.f-secure.jp/archives/50630539.html 

  「SLUSH」での講演の中では、それらに加え、実際のテロリスト集団が第4のベクトルとしてサイバー攻撃者となりつつある可能性を挙げた。ミッコが例として挙げたのは、2011~2012年に多数あったハクティヴィストによるハッキング事件を起こしたグループの内の「TeaMp0isoN」の Abu Hussain Al Britani についてだった。

  この「TeaMp0isoN」という名前には私も聞き覚えがあった。「TeaMp0isoN」が主に活動していたのは「LulzSec」の活動が活発だった時期で、彼らはその2011年当時「@TeaMp0isoN」のTwitterアカウントで活動していたため、私も活動をモニターしていたからだ。

  しかし「@TeaMp0isoN」の動きは、レイシスト・ミソジニスト的な発言が多いためフェミニストグループなどと対立するなど、LulzSecやAnonymous系のアカウントとは違っていたのが特徴的だった。また「TeaMp0isoN」が攻撃を仕掛けていた一つが、イギリスの移民排斥などを主張する極右グループ「English Defence League (EDL)」だったことは、「TeaMp0isoN」のメンバーが移民なのか何らかの民族的なバックグラウンドがあることがうかがえた。

  「SLUSH」での講演でミッコは、「TeaMp0isoN」の首謀者「TriCk」は Abu Hussain Al Britani という男性で、逮捕され裁判で刑期も決まったところ何者かが保釈金を出しその後行方不明になっていたが、彼は今年シリアで「ISIS」に参加しているのが判明した事と、「ISIS」が多数のハッカーをリクルートしている事に触れた。(注: 自称「Islamic State」というテロリスト集団の名前はそれ自体がプロバガンダのため、私は訳さずに「ISIS」と呼ぶ事にしている)

  数万人規模と云われる「ISIS」には、中東・アフリカからだけでなくヨーロッパからも多数の志願参加者が出ている。「ISIS」はイスラムの名を使っているが実体は油田や銀行を戦略的に襲い斬首を常套的に行う残虐なカルト的集団に見える(これは日本でのオウム真理教が仏教の一派を装っていたが教義はかなり独特なものだった事に似ている)。また「ISIS」の参加者の中には、イスラム式礼拝の際にメッカの方向に向けて礼拝することを知らない者が混じっているのが観察されたりしている。このISIS志願者の流れの中にハッキング能力を持った者が含まれているということだ。
WaPoSyria

いつのまに上陸!?日本市場にもリーガルマルウェア企業

以前、リーガルマルウェアに関する記事を投稿させて頂きました。
その後、様々な調査をしましたが、リーク情報以外にこれといった収穫はありませんでした。

そんな中、とある日本国内のセキュリティイベントへ参加していた際に、見覚えのあるロゴが視界に入りました。
なんと、堂々と日本の関連機関へセールスに来ているではないですか!
中々このような機会はありませんので、早速日本式の挨拶をしまして、関係資料を頂きました。

HackingTeamパンフレット

複数のツールやサービスの紹介資料が同封されていましたが、中でも「Correlation & Data Intelligence」に関する資料は、
・コミュニケーションパターン
・行動パターン
・ターゲットに関する地理情報
・隠れた関係者の検出
・共通のコンタクトポイントの洗い出し
など、なかなか興味深いサービスが提供されていました。
(残念ながら、詳細な情報は記載されていませんでした。)

現在、日本市場はサイバー軍需産業だけで無く、政府向けソリューションベンダー等からも注目されています。
サイバー関連、通信傍受等の法改正が進む日本は、海外からは魅力的な市場に映るのかもしれません。
これらのツールは一般には犯罪捜査等に利用することを想定しています。(と、信じています。)
ただし、使用方法を誤りますと、これらの類のツールやサービスの利用は、私たち国民生活に対して様々な影響を及ぼす可能性があることは想像に難くありません。(様々な意見があると思いますが・・・)
そういった意味では、これらの市場の動向は今後も注目しておく必要がありそうです。


この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している

情報化先進国シンガポールを支える技術

せっかくシンガポールに住んでいますので、世界最先端の情報化社会を実現したと言われるシンガポールの街並とその中に垣間見える情報化社会を支える技術をご紹介しましょう。
続きを読む

9.18のサイバー攻撃に関して(追記)

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
#スクリーンショットの記載内容からすると、フライングの気もしますが・・・

918改竄画像


現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
#DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

918_b


918_a


フィッシングサイト構築キットの設置者例

9/9付けのトレンドマイクロ社のブログへの投稿でApple ID詐取を目的とした「フィッシングサイト構築キット」について報告されています。ちょうど、私も類似のキットをネットサーフィン中に発見しましたので便乗させて頂きたいと思います。
キットの内容や対策等は、トレンドマイクロ社の報告にお任せするとして、ここでは設置者について触れてみたいと思います。

現在、Apple ID等を狙った類似のキットの悪用は複数サイトで確認されています。その多くは”apple.zip” といったファイル名で設置されており、利用されている言語も様々です。恐らく、世界各国で悪用されているのでしょう。
いずれのキットも、トレンドマイクロ社の報告にあったように、認証なしで上位ディレクトリの情報が閲覧可能な設定となっていたウェブサイトに設置されていました。いくつかのウェブサイトはブラックリストに登録済みのものもあり、恐らく過去にフィッシングサイト等で悪用されていたものと思われます。

apple phishing kit

そんな中、これらのフィッシングサイト構築キットで目を引いたものがありました。
下図の$bilSndの箇所なのですが、情報の送信先のメールアドレスが記載されており、そのアカウント名に違和感を覚えました。というのは、そのスペルに覚えがあったからです。

Phishing Kit ソースコード

どこで目にしたかおぼろげな記憶を頼りに、調べていくと見つかりました!
それは以前に、セキュリティ関連の教育動画のコメント欄で見たものでした。このユーザはクラッキングの動画に興味があるようで、しばしばコメントを残していました。また、あるSNSでも同名のアカウントを利用しており、同様の動画がリンクされていましたので、恐らく同一人物だと思われます。
時々、サイバー攻撃者の過去の戦績等がウェブで見つかることはありますが、このようにプライベートの活動履歴が残っているケースは稀です。(ワザとかもしれませんが・・・)
さらに、関連性のあるハンドルネームによるウェブ改竄のインシデントも報告されており、私見ですがこれも同一ユーザではないかと勘ぐっています。

attacker ??

また、彼は英語、アラビア語を使うことができるようです。どこの国のユーザか不明ですが、興味深い点ではあります。
残念ながら、現時点では彼が構築キットの設置者であるかは断定できません。しかし、少なくともフィッシングサイトから彼のメールアドレスに第三者の機微情報が送信されていた可能性は高いと言えます。そして、恐らく彼はプロのサイバー攻撃者では無く、他の攻撃事案を模倣して構築キットを設置したのだと推測します。理由のひとつとして、ソースコードが非常に単純で他の構築キットと比較すると少々物足りなさがあったためです。
まあ、彼の素性は兎も角とし、世界はiPhone 6 および Apple Watchの発表に喜々としています。この社会的背景を踏まえますと、さらに模倣犯が増大するとの見方が自然です。そういった意味では、Appleに関連付けたサイバー攻撃はこれからが本番かもしれませんので、引き続き注意しておく必要がありそうです。

ちなみに、私はMoto 360に興味津々です。。。

明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

DEFCON CTFでの日本と世界の差がすごいと話題に

世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。
主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。
その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。

これは2014年の大会で主催チームであるLegit BSが行った可視化です。



見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。
一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。



日本のクオリティの高さを実感できます。

Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

FIRST2014で感じた”Information Sharing”の難しさ

CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。
今年のキーワードの1つは「Information Sharing」でした。
昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。
興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。
これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。
例えば、下図のように攻撃が複数組織に跨いで行われている場合、多くはそれぞれの被害組織毎に調査が行われるのが一般的です。しかし、サイバー攻撃の全容を知る為には各々の調査結果を合わせて分析が行われなければなりません。
しかし、残念ながら全容が解明されるケースは少ないのが現状です。理由は言うまでもありませんね。

インシデントの流れ

では、各々の組織がインシデント情報をシェアする際にどのような情報があれば良いのでしょうか。
例えば、すぐに思いつくものでも次のものがあります。

     (1)攻撃元
     (2)CnCサーバ(IP / Location)
     (3)悪用された脆弱性
     (4)マルウェア
     (5)悪用されたメール(表題 / 本文 / 送信元)
     (6)被害内容
     (7)被害組織(業種)
     (8)攻撃者像
     (9)侵入後に利用された不正プログラム
     (10)タイムライン
などなど。

(1)-(4)までの情報は比較的シェアされるようになってきました。(5)は一部のコミュニティ間ではシェアされています。
しかし、それ以上の情報は素のままでは難しい場合があります。
そこで、現在様々な取り組みが世界中で行われています。例えば、マルウェアの検体そのものの提供が難しい場合はYaraによるシグネチャを作成し配布する。マルウェア感染後はIOC(Indicator Of Compromise)を用いるなどが代表的です。
また、(6)-(10)に関してはストーリー化することで機微情報をぼかしてシェアするなどの方法を取っているところもあるようです。但し、やはり情報が荒くなってしまいますため詳細な分析結果を得ることは難しいのが現状です。
インシデント情報のシェアはまだまだ試行段階ですが、必要性の高いジャンルだと思います。
ちなみに、カンファレンス参加者とインシデント情報を交換した際に言われましたのは、日本を狙った攻撃の一部は世界からみると特殊だとのことです。そういった意味でも国内においてもインシデント情報をシェアするためのフレームワークが必要な時期が来たように思います。
Information Sharingを必要に迫られている組織、個人が徐々にコミュニティが立ち上げつつありますので、その際は是非参加してみてください!





エフセキュアブログにもコナミコマンドが!

世界一有名な隠しコマンドとしてギネスにも認定されているらしいコナミコマンドですが、実はこのエフセキュアブログにも!?
エフセキュアブログを閲覧中にPCのキーボードから
↑ ↑ ↓ ↓ ← → ← → b a
と順番に押してみてください。

なんとエンディング画面が・・・
konami command

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

#Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史

  5月13日、グレン・グリーンウォルドの著書「No Place To Hide」(邦題「暴露」)が世界同時発売された。
NoPlaceToHideJP

この本は、NSA(米国家安全保障局)の業務請負企業職員だったエドワード・スノウデンがNSAの大規模サーベイランス・ファイルを内部告発暴露してからまもなく1年になるのを前に、PRISMやVerizonの件など今まで公表された主なNSAファイル記事のまとめと、今もNSA記事を書き続けているグリーンウォルドが当初どのようにスノウデンとコンタクトしたのかなどの模様や、スノウデンの人物像などが詳細に記述されている。また著書ウェブサイトからは収録されている資料をPDFでダウンロードすることもできる。

  またこの本の後半でグリーンウォルドは、権力の監視役として既に牙を失った報道機関への厳しい批判も展開していると同時に、NSA記事の公表の急先鋒だった英ガーディアン紙が直面した、英スパイ機関GCHQによって指示されたスノウデン・ファイルのコピーを保存していたコンピューターの破壊強制や、グリーンウォルドのパートナーのディヴィッド・ミランダが飛行機の乗り換えで通過しただけの英ヒースロー空港で反テロ法を理由に6時間以上も拘束された事件などを含めて、調査ジャーナリストへの政府からの圧力が現実だという事にも触れている。グリーンウォルドがこれらの事件により既存ニュースメディアの限界に直面したことは、グリーンウォルド他のジャーナリストが集まってeBay創業者のピエール・オディミアの資金援助により立ち上げた「Firstlook Media」へとつながっている。

  この本でも触れられている重要な要素に「ファイブアイズ (Five Eyes)」がある。ここでの「ファイブアイズ」とは、アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5ヶ国によるスパイ活動での提携のことをいう。これについては、やはり先週ミッコが基調講演したベルリンで開催の「re:publica 2014」コンファレンスで行われた、ロンドンを本拠とするプライバシーNGO「プライバシーインターナショナル」のエリック・キングによる「ファイブアイズの歴史」のトークが参考になる。
(Disclaimer: 筆者はプライバシーインターナショナルのアドバイザリー役員の1人をしている https://www.privacyinternational.org/ )

  ファイブアイズは第二次世界大戦中の1942年に設立されたが、その時にはなんとアラン・チューリングが重要な役目を果たしていたという。さらに、この5ヶ国は提携しているにも関わらず、相互にスパイ活動は行わないという取り決め合意はなく、情報共有していると同時に互いに探り合っているという。「特定秘密保護法」のような法律を作ってしまった日本も、このような敵も味方もない世界に踏み込むことになるのだろう。

re:publica 2014 - Eric King: Only a monster has Five Eyes



(ところで、この本の邦訳でも例に漏れずアメリカの「PATRIOT法」に対して「愛国者法」の訳語が当てられているが、これは不正確な訳語である。この法律の名称がなぜ「Patriot法」ではなく「PATRIOT法」かというと頭文字を連ねているからで、「Providing Appropriate Tools Required to Intercept and Obstruct Terrorism」の略になっているので、直訳すると「テロリズムの阻止と遮断に必要な適切なツールを提供する法」というものであって、愛国者を定義した法律ではない。
 アメリカ議会ではこのような法案名の語呂合わせはイメージ操作のためによく使われるが、それを真に受けて訳してしまった日本のニュースメディアは滑稽では済まないものがある。またこれは、スノウデンの肩書きに日本では未だにほとんど「元CIA職員」を当てていることにも言える。スノウデンの最後の役職はNSAの業務請負企業Booz Allen and Hamiltonの職員だったのだし、この本の中でもNSAの元シニア・アドバイザーの肩書きがあったことが明かされている。)

re:publica 2014で「デジタルフリーダム宣言」をF-Secureのミッコと俳優デビッド・ハッセルホフが基調講演 #rp14

  昨日5月6日からベルリンで開催されている「re:publica 2014」コンファレンスのオープンニングで、ミッコ・ヒッポネンと俳優/歌手のデビッド・ハッセルホフが「デジタルフリーダム宣言(Digital Freedom Manifesto)」として基調講演を務めた。これは先月のミッコのポストにも触れられていたが、デビット・ハッセルホフが2014年からF-SecureのFreedome Ambassadorとなったデビューでもある。
 http://blog.f-secure.jp/archives/50726380.html 
 
「デビット・ハッセルホフって誰?」という人には、1980年代のアメリカの人気TVシリーズ「ナイトライダー」や「ベイウォッチ」の俳優というのがヒント。
 http://en.wikipedia.org/wiki/David_Hasselhoff

ビデオがすでにre:publicaのページに上がっている。

この基調講演では「デジタルフリーダム宣言」として以下の4つテーマについて語られている。
 #Theme 1: Freedom from Mass Surveillance (一般人への大規模サーベイランスからの自由)
 #Theme 2: Freedom from Digital Persecution (デジタルな迫害からの自由)
 #Theme 3: Freedom from Digital Colonization (デジタルな植民地化からの自由)
 #Theme 4: Freedom of Right of Access, Movement and Speech (アクセス、移動、言論の自由の権利) 

F-SecureではこれらのテーマについてWikiベースのキャンペーンサイトを立ち上げていて、広く発言を求めている。

異動のご挨拶

4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。)

私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。

私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。

インターネットが社会インフラとなり変革の時代を迎えようとしているというのに、セキュリティエンジニアがなすべきことはまだまだ山積みじゃないでしょうか。

というわけで今後はサイバーディフェンス研究所に籍を置きつつ、インターポールに出向することとなりました。

IGCI
まだまだ工事中の職場。左下が完成予想図です。

今後も色々な方々にサポートを仰ぐ機会が多くなると思いますが引き続きよろしくお願いいたします。

では最後に(といってもブログの執筆は今後も続けさせていただきますが)書籍サイバー・クライムの監修時に出会って未だに私の頭にこびり付いて離れない言葉を紹介します。主人公バーレットライアンが元同僚たちに向けて送った言葉です。

いまプロレキシックに身を置いている人たちには、自分がなんのために仕事をしているのかをよく考えて欲しい。君たちの仕事は金のためだけじゃないはずだ。僕が会社を立ち上げたときも、この仕事で金持ちになろうとは思っていなかった。徹底的に利益を出そうと思えば出せただろう。でも、欲望まみれの会社にはしたくなかった。僕が思い描いていたのは、企業をサイバー・クライムの脅威から守るセキュリティ会社だ。誰もが不可能だと思うようなことをやってのける会社だ。自分の仕事の意味がわからなくなったら、このことを思い出してほしい。
書籍サイバー・クライムの319ページから引用

Openssl Heartbleed 攻撃の検知について

bleed

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考:
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ(VPS)やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
#根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded


snort / Suricata rules

OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot(おまけ)
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt


ご参考まで。

ダークウェブに潜む隠しサービスって!?


最近、ダークウェブ(匿名化技術などを利用したウェブサイト)の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

(1)マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

OnionWallet


(2)ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

Pokerle


(3)武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

ARMORY

(4)偽造関係
SuperDollars ?? なんでしょうか、これは??

superusd


(5)AXXXXXXX
ノーコメントで。

hidden_service3



ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか??法執行機関へ提供とかでしょうか??

darkweb incident


このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード