エフセキュアブログ

オフィシャルコメント

11月5日 Guy Fawkes Night とアノニマス #Nov5 #5Nov

  アノニマスの被るガイ・フォークス(Guy Fawkes)のマスクは映画「V for Vendetta」を発端としていることから、Guy Fawkes Nightのある11月5日はアノニマスにとっての記念日的な存在です。そのためTwitterのハッシュタグ #Nov5 と #5Nov で今日は活発な動きが見られています。
  また今日の明け方新たなアノニマスの声明ビデオがYouTubeにアップされていました。
  このビデオでは主に政府によるサーベイランス・システムの構築への抗議が呼びかけられ #OpNov5 #OpIndect #OpTrapwire が言及されています。

  またAnonymous Australia がPayPalやAlllottoなどのサイトに侵入したと宣言しました。" ‏@AuAnon Paypal hacked by Anonymous as part of our November 5th protest https://privatepaste.com/e8d3b2b2b1 " (リンク先は消されています)

  そしてロンドンでは、Operation Vendettaとして、「V for Vendetta」の最後の場面を模してマスクを被ってイギリス国会議事堂の前に集まることが呼びかけられていて、現在5400人ほどの参加が表明されています。(9000人超にはまだ足らないですね。) 
 https://www.facebook.com/events/239966289383165/ (ログイン必要)
 ハッシュタグは #OpVendetta で、ライヴストリーミングが計画されているようです。
 http://www.ukanonymousevents.com/live-streaming.html 
 
  現在ロンドンはまだ朝9:30になったばかりですし、アメリカの西海岸の11月5日が終わるのは日本時間の明日17:00ですから、少なくともあと1日はアノニマスの動きに注意が必要かもしれません。 

  アノニマスに関しては各方面から研究されていますが、「We Are Legion」というドキュメンタリー映画も作られています。RT @YourAnonNyan: We Are Legion: The Story of the Hacktivists (Full Movie) - http://ow.ly/eZfAe  
また日本では不正確な報道をされる事が多いアノニマスについて詳しく知っておきたいならば、今月後半に秋葉原で開催のInernet Weekでセッションがあります。 https://internetweek.jp/program/b1/ 


Update1: http://zd.net/TFjffP によると、PayPalの他には、オーストラリア政府サイト、ガーナ領事館サイト、Arcelor Mittal鉱業、VMware、NBC.com、Saturday Night Live、米コメディアンJay Lenoサイト、Lady Gagaファンサイト、などが書き換えやデータ流出にあっている模様です。

Update2: 11月5日に行われたウェブ書き換えの成果がまとめられたビデオが投稿されています。
 http://www.youtube.com/watch?v=ZiIp3m_vDwo  

Update3: ロンドンでのアノニマス行進の模様の画像が多数アップされて来ています。 http://t.co/ULaeKolD http://t.co/qlF4LpBI http://t.co/DQcNik8Y http://t.co/NHbstnG6 http://t.co/WhMq1YsY http://t.co/4tHnfbVO 
今回のように実際の場に多数のアノニマス賛同者が一堂に集合したのは初めてといえるため、彼らの信念の方向性の自己確認の意味でも影響が大きいと考えられ、今後さらに連帯した活動が活発化する可能性がありそうです。
 
Update4: PayPalは調査の結果、流出したアカウント情報はホスティングZPanelからと判断、アノニマスによる侵入ではないとしています。HTPが侵入を宣言したSymantecも、調査の結果、従業員情報はアクセスされていないと結論しているようです。pyknicが書き換えたと宣言したNBCやLadyGagaファンサイトについては、アノニマスの主要なアカウントは成果公表していない模様です。 RT @BiellaColeman: Anonymous Did Not Hack PayPal http://nyti.ms/UuNR0e 

マルウェア対策研究人材育成ワークショップ 2012

マルウェア対策研究人材育成ワークショップ 2012 (MWS2012) が開催されている島根には、国内のセキュリティ研究者が集結していることでしょう。筆者は、残念ながら不参加ですが、興味深い発表が数多くあり、参加者からの報告が楽しみです。

筆者が所属するセキュアブレインからも「署名情報を利用したAndroidマルウェアの推定手法の提案」と題して先端技術研究所の西田が発表しています。西田は、11月17日に開催されるAVTOKYO2012でも、Androidマルウェアに関する発表を行う予定となっております。ご興味のある方は是非ご参加ください。

また、本日、プレスリリースを配信しておりますが、セキュアブレインでは、Androidアプリ静的解析ライブラリをオープンソースとして公開しました。Androidマルウェアの解析をされている方はもちろん、オープンソースのツールに興味のある方にも使用して頂き、多くのフィードバックを期待しています。詳しくはこちらをご覧ください。

遠隔操作ウイルスの感染と痕跡調査

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

日本は今でも安全な国か?

アメリカとヨーロッパのZeroAccessボットネットの感染状況についてエフセキュアブログの記事がありましたが、日本だと次のような状況です。真っ赤ですね。全部で1万台以上あります。

zeroaccess_japan

ちなみに、アジアだと次のようになっています。

zeroaccess_asia

全139,447台での国別トップテンの具体的な数字は次のようになります。

順位国名

件数
1.
アメリカ

47880
2.
日本

10110
3.
カナダ

7112
4.
インド

6774
5.
ルーマニア

5628
6.
ブラジル

4911
7.
イタリア

4587
8.
アルゼンチン

3511
9.
ドイツ

2813
10.
ベネズエラ

2498

(上記の画像と表はエフセキュア提供のデータを元に作成しました。)

2007年、マイクロソフトが発表した「インテリジェンス レポート 第4版」では世界で唯一日本だけが緑色になっており、世界で最も安全な国であると報告されていましたが、2012年の今は状況がかなり悪化しているようです。

sir
「マイクロソフト セキュリティ インテリジェンス レポート (2007 年 7 月~ 12 月)」より引用
(http://www.microsoft.com/ja-jp/security/resources/sir.aspx)

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

安全な空港

  News from the Labブログの読者Daiki Fukumoriがこの春、アメリカに旅行した。

  ニューヨークで彼は、以下の時刻表示板を見つけた:

symantec_on_timetable

  そう、「シマンテック アンチウイルス」だ。マルウェアをブロックする。空港で。

  いや、どんなマルウェアがブロックされるのか、我々には分からない。おそらく何らかのネットワークワームだろう。

  写真をよく見てほしい。
  「Auto-Protect failed to load」?
  彼は見なかったことにして無事に帰国した。

  あわせて読みたい
  安全なパーキング

標的型攻撃が私生活を狙うとき

  現在のところ標的型サイバー攻撃は企業や政府機関に対するものが多数ニュースになっています。しかし、もし私生活も狙われるとしたらどうなるでしょうか? 企業や政府ならば内部ネットワークにそれなりのセキュリティ対策が施されていたとしても、自宅ネット接続ではインターネットルーターのファイアーウォールとマシンに入れたウィルス対策ソフトくらいしか防御手段がないのではないでしょうか。そして最近話題の出口対策はほとんど初めから考慮されていません。企業や政府の中でターゲットにされた個人の私生活から収集した情報を基にして、さらに組織への標的型攻撃を仕掛ける事は十分ありうるでしょう。

  標的型攻撃の初期段階でFacebookやLinkedInなどのソーシャルネットワークで事前情報の収集が行われていることは指摘されています。その次の段階になると、ソーシャルネットワークの情報を基にターゲットの私生活を狙った盗聴・盗撮などでの情報収集が行われる可能性があるでしょう。そして現在のPC・携帯電話・スマートフォンなどにはほぼすべてカメラとマイクロフォンが搭載されていますが、これらは監視カメラにもなりえるわけです。実際にPC内蔵カメラを外部から制御して画像を送信させるスパイウェアがあり、アメリカでこれを悪用したコンピューター修理ショップの技術者が逮捕された例が最近ありました。

  この犯人の21歳の技術者は、ショッフにPCを持ち込んで来た特に女性客を狙ってCamCaptureというスパイウェアを仕込んで修理し、外部からインターネット経由で覗きをしていました。また、被害者の女性数人にはカメラの前で服を脱ぐように指示する脅迫メールを送りつけていたそうです。しかし、その店舗に修理を依頼した姉妹が、修理後からカメラ動作ランプが不可解な点灯をするようになったのに気がついて他の修理ショップに持ち込んだことから、スパイウェアが仕込まれた事が判明して逮捕に至ったということです。この犯人の場合は被害者のコンピューターを直接触って仕込んでいましたが、このようなスパイウェアを感染させるように設定したウェブサイトにフィッシングで被害者を誘導する手段もありうるので、大量のPCを監視カメラ化することが可能になります。

  これと同様の発想のスパイウェアはスマートフォン向けに登場してくるでしょう。実際スパイウェア以前に、Lady Gagaやスカーレット・ヨハンソンの携帯電話から自写ヌード画像などがハッキングで流出する事件が既に起き、日本でもユーザーの意図しない内に個人情報をマーケティング目的で収集する機能を持ったアプリが出回った例がいくつもあるわけです。特にAndroidスマートフォンの場合はユーザーによるアプリ購入は基本的に自己責任方式であり、Google以外が提供するアプリマーケットからもダウンロードできるため、マルウェア混入のアプリがすでに何度も登場しています。その中で、外部からコントロールしてスマートフォンを監視盗聴デバイス化するマルウェアが出てくる可能性がありうるわけです。高性能のCPUを搭載してGPSや様々なセンサーを持つスマートフォンは、ターゲットした相手が常に持ち歩くわけで、標的型スパイ攻撃にとって理想的なデバイスです。と、書いていた間にAndroidのリモートアクセス・トロージャンと思われるマルウェアが中国で登場の話題が出ていました。
  さらに中国のNetQinの調査によると今年前半でのスマートフォンのマルウェア感染は1280万台(Android 78%、Symbian 19%、17,676種のマルウェア)という推計も出ています。
  PCのウィルス対策ソフトはかなり普及して現在はスマートフォン向けの普及の必要性が叫ばれていますが、ここでも外部へ出て行く情報の制御など、ウィルス対策ソフト・レベルでの対策の組込みは急ぐべき課題ではないでしょうか。

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

第2回 OWASP Japan チャプターミーティング いよいよ来週開催

先日、福本さんも書いていましたが、OWASP Japanの第2回チャプターミーティングが来週6月27日夜開催されます。定員200名の会場に補欠で31名という登録段階で既に盛況で、日本でもウェブセキュリティへの興味が高まっている様子を示してますね。3月27日開催だった第1回のチャプターミーティングの様子やビデオアーカイブなどはこちらのOWASP JapanのオフィシャルWikiへどうぞ。今回は参加無理な方も次回のためにメンバー登録しておくと良さそうです。

  OWASP Japanは、ベルギーで開催されているBruconというセキュリティコンファレンスの主催者の1人で、ヨーロッパのOWASPと付き合いのあるBenny Ketelslegersさんが昨年日本に移住して来たことから、急速に日本チャプターの立ち上げが実現しました。OWASPはウェブアプリケーションのセキュリティにフォーカスした集まりで、ミーティングでは参加者による主にライトニングトーク形式での発表が多数あります。

ミッコ・ヒッポネンがフォーレンポリシー誌の選んだTwitter要人100人に選出

  国際政治情勢の専門誌フォーレンポリシーがTwitter界のベスト100人を今日発表しましたが、F-Secureのミッコ・ヒッポネン「Geeks」カテゴリーで「フィンランドのサイバーセキュリティ専門家」として選ばれています。

  ちょうど3年前にミッコが来日した時に私はインタビューしたことがあります。その頃は「Twitterを半年やってみて4000フォロワーを越えなければ続けないつもりだ」と言っていたミッコも、その後フォロワーが増加しつづけて辞めずにいて今は3万人あまりがフォロワーになりました。それだけでなく、過去3年間でセキュリティ関係者のTwitter参加が著しく増えているので、身近な情報交換・ディスカッション・アラート共有のプラットフォームとしてTwitterでのコミュニケーションは有効に機能している様子が見えます。
  またミッコは最近TEDなどのイベントでのスピーチ活動も盛んにしていて、技術に関わる話よりも、サイバーセキュリティの大局的な分析と方向性を一般の人たちにも解り易く解説することに注力しているのも、フォーレンポリシーが選んだ理由かもしれません。

  ちなみにフォーレンポリシー誌のTwitter要人100人の同じカテゴリーには、エレクトロニック・フロンティア財団でWikileaks関連の動きを追いかけていた Trevor Timm や、世界各国の市民運動の状況を一覧できる集合ブログGlobal Voicesを立ち上げ現在はMITメディアラボにいる Ethan Zuckerman などが選ばれています。

  日本人は1人だけ、ニューヨークタイムス日本支局で福島原発事故の報道で活躍しているタブチ ヒロコさんが選ばれていますね。


OWASP Japan 2nd Chapter Meeting

 みなさんこんにちは。Rakuten-CERTの福本です。

 第2回 OWASP Japan Chapter Meetingが6月27日(水)に開催されます!本イベント は、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会です。イベント参加希望の方は、こちらからご登録をお願いします!!

今回はRakuten-CERTのリサーチャーから、近年注目されているMobile Securityについてデモを含めたプレゼンテーションもあります。お楽しみに!

have fun.

実践 Metasploit――ペネトレーションテストによる脆弱性評価

オライリー・ジャパン様より『実践 Metasploit――ペネトレーションテストによる脆弱性評価を献本頂きました。ありがとうございます。

本書は『アナライジング・マルウェア
の著者陣も監訳者として参加しております。

本日はとりあえず紹介だけですが、早速拝読させていただき、後日書評を。少々お待ち下さい。 

OWASP AppSec APAC 2012

 みなさんこんにちは。Rakuten-CERTの福本です。
 先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています!!トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。(笑)

DSC_0070DSC_0068
#パネルディスカッションにはWhiteHat SecurityCTOJeremiah Grossmanも。あのCSS history hackを見つけた。


 
一応、今回のカンファレンスはOWASPGlobalイベントなのですが、参加者は100人もいなかったでしょうか。(日本人は僕たち3名だけ)でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです(笑)

 セッションの内容についてですが、引き続き
security auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな?と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。

 社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。

 

おまけ:

せっかく来たのでカンファレンス最終日にロブスターをいただきました!w
DSC_0076DSC_0082DSC_0085 

中国で開発されたHacktoolの検知に注意

HacktoolやNetToolといったウイルスが検出されたことはありませんか?
ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit(xxxはBackdoorやTrojan)のような検知名が付けられています。

lcx

これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。
例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor(HTran)などがそれにあたります。
ちなみに、Backdoor.Liondoor(HTran)は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。
※開発元は中国なのですが、他国の攻撃者も利用していますので、一概に中国邉劼砲茲觜況發箸呂い┐泙擦鵝
これらのツールは、プログラムが自動的に感染やバックドアを作成することはありません。攻撃者の操作によりバックドアに悪用されたりするプログラムです。
つまり、一般的な企業環境(?)においてHacktoolが発見された場合、往々にして既に攻撃者が侵入しており何らかの被害を被っている可能性が高いといえます。
この辺は古典的な話ですので、詳細は割愛しますね。

さて、このHacktoolですが悪用されていても中々見つけられない、という相談をよく受けることがあります。
一般に、これらのツールは大抵のウイルス対策ソフトで駆除できますが、駆除されずに悪用されているのはどういうことでしょうか。
マルウェア感染のインシデント対応全般的に言えることなのかもしれませんが、
まず考えられるのは、"検知できない状況"であるということが、理由のひとつとして挙げられると思います。
何故、駆除できないのかの理由は色々ありますが、よく見かけるのは次の3つです。
.Εぅ襯溝从ソフトが停止されている
▲Εぅ襯溝从ソフトの検索対象外の領域が利用されている
6扈すべきHacktoolが被害ホスト上に無い

,蝋況蘯圓管理サーバを不正操作していたり、ホスト上の設定が変更された可能性などが考えられます。
△魯Εぅ襯溝从ソフトの設定やユーザの利用環境などに依存することが多いです。
#製品によってリスクウェアをスキャン対象外にしていると検知できない場合があります。
は被害ホストとは異なるリモート・ホスト上にHacktoolが存在している場合などがあります。
#この場合、攻撃者が不正操作の起点となっている親玉のシステムが存在する可能性があります。その場合、親玉システムの発見に手間取り、被害が収束するまでに時間を要すことがあります。

いずれにせよ、攻撃者がすでに標的のシステムを乗っ取った後の操作となりますので、これらの操作がされていても不思議ではありません。

もしHacktool関連の検知ログが1つでも見つけた場合、(ネットワーク的に)周辺のホストやADのログを至急調査してみてください。
#業務情報などが漏洩していないことを祈りつつ
攻撃の痕跡は、あっという間に削除されますので、スピード勝負となりますが、運が良ければ邉匚具を利用した痕跡が発見されるかもしれません。

気をつけて頂きたいのは、Hacktoolの発見はネットワークトラフィックとホスト上のログとの相関分析が必要となることが多いです。
そのため、基本ではありますが事前にOSなどのログに関しても確実に取得しておくことをお勧めします。特にWindowsのログオン成功のログは重要です。

何はともあれ、Hacktoolが発見された場合はLAN内の複数のシステムが乗っ取られていることを前提に、迅速にダメージコントロールを心がけた動きが重要です。
侵入台数が少ないことを祈りつつ。

韓国のセキュリティカンファレンス「CODEGATE」に行ってきました

4/2、4/3に、韓国ソウルでセキュリティカンファレンス「CODEGATE」が開催されました。日本からは、CTFチームの「Sutegoma2」がハッキングコンテストで参加、私がカンファレンスでの講演とパネルディスカッションで参加していました。

gate


YUTやカンファレンス、パネルの様子などは、以下に少しまとめていますので、興味のある方は参照して下さい。
http://www.facebook.com/FourteenfortyResearchInstitute  

CODEGATEの参加者は主に韓国内の方でしたが、スピーカーやYUTの参加者は韓国含めワールドワイドでした。2000人以上の来場者数との事で、韓国内でのセキュリティに関する関心の高さが伺えます。

韓国内でもセキュリティベンダーは沢山ありますが、国際競争を常に意識しながらそれぞれのコアコンピタンスを磨き続ける文化が根付いている感じがしました。

ただ、やはり現状は日本と同様、現場はいつも大変みたいです。元eEyeの同僚のMattと一緒にパネルディスカッションに出ていたのですが、「現場のエンジニアが現状を変えたいと思うなら、国を出てアメリカに行くのが一番いい」と言っていたのが印象的です。

しかし、 少なくとも日本は元々、さまざまな産業分野で高い技術を武器に世界で戦ってきた国です。ITやセキュリティの分野でも実はしっかり戦える力を持っていますので、 「チャレンジし続ける文化」を 日本のセキュリティ業界でもしっかりと作って行ければと思っています。

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

標的型攻撃メールの手口と対策

すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。
ここでは具体的な手口と対策について紹介します。

まず、航空会社を騙って次のようなメールが届きます。
mail

差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。
メールにはlzh形式の圧縮ファイルが添付されています。

解凍すると次のようなファイルが出てきます。
before_dir

ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。
もしダブルクリックしてしまうと、次のようなWordファイルが表示されますが、裏ではウイルスに感染し、PC内の情報が海外のサーバに送信されるとともにキーロガーが仕掛けられます。
word

一度実行してしまうと、元の実行ファイルは消去され、代わりに通常のフォルダが作成されます。しかし、裏ではキーロガーが動き続け、外部に情報を送信しています。

after_dir

こういった実行ファイルをダブルクリックさせるタイプの攻撃は脆弱性を攻撃するわけではないので、OSやアプリケーションを最新版にしていても被害に遭ってしまいますし、振る舞い検知型のセキュリティ製品では防げないことが多いです。

では対策ですが、ここまで巧妙になってくると「怪しいメールを開かない」というのが難しくなってきます。
現在は発生から1ヶ月ほど経っており、多くのウイルス対策ソフトが検知してくれますので、ウイルス対策ソフトは導入しておいたほうがいいでしょう。
また、むやみに実行ファイルを実行しないように注意する、それを社員に教育するといったことも大事ですが、それでも手が滑ってダブルクリックしてしまうかもしれません。
そのような場合に備え、ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。

secpolicy

今回紹介したのは実行ファイルを使った標的型攻撃メールでしたが、OSやアプリケーションの脆弱性を狙った標的型攻撃メールも多く存在しますので、OSやアプリケーションを最新版にしておくことも忘れないようにしてください。

Identity Theftのトレンド

 みなさんこんにちは、Rakuten-CERTの福本です。今日は、Identity Theftについて。

 警視庁のサイバー犯罪対策のHPで、「平成23年中の不正アクセス行為の発生状況等の公表について」という資料が公開されていますが、その別紙に(おそらくどこかで不正に入手した)アカウントリストを使った不正ログイン攻撃についての記載があります。

ID

 おそらくなのですが、どこかのサイトで漏洩したID/パスワードのリストが流通していて、攻撃者は他のサイトでも不正に使えないか試しているようです。実際、僕たちのサービスも、どこかで情報漏洩のインシデントが発生すると不正ログイン試行の件数が急に跳ね上がったりします。これは攻撃者が最初に、対象サイトでログイン可能なアカウントリストを作成するために不正ログイン試行をしているようで、そしてリスト作成後に違うIPアドレスからログインしてこっそり不正を試みるわけです。(ちなみに楽天では独自開発した検知ロジックがあって、不正と判定されたらパスワードが初期化されます)

 さて、侵入率が6.7%という数値をどうみるか。これはかなりの成功率だと思うので、攻撃者側の経済合理性を想像すると不正ログインによる被害は今後増えていくのではないかと思っています。他社で漏れてしまったID/パスワードが自社の脅威となる状況なので、新たな対策を考えなければならないですね。

OWASP Japan 1st Chapter Meeting

 みなさんこんにちは。Rakuten-CERTの福本です。

 この度、日本のWebアプリケーションセキュリティのために有志が集まってOWASP Japanが立ち上がり、待望の第1回のLocal Chapter Meetingが開催されることになりました!!楽天もOWASPのメンバーシップにOrganization Supporterとして加入をし、微力ながらOWASP Japanの活動をお手伝いさせて頂いております。

 今回のスピーカーはかなりの豪華メンバーですよ!そして、予想をはるかに超える勢いですぐに満席になってしまいました。多くの人がOWASP Japanを待ち望んでいたんですね、きっと。


 当日、みなさんと会場でお会い出来るのを楽しみにしています(笑)
 また、今回、満席で参加出来ない方はすいません。。このイベントは定期的に開催するので、また次回の機会に!あと、セキュリティエンジニアの方だけでなく、ディベロッパーの方も大歓迎ですよー。

RSA Conference 2012

鵜飼です。
2月末、サンフランシスコで開催されたRSA Conferenceに行ってきました。

米国でのセキュリティカンファレンスではいつもBlack Hatばかり参加していて、米国のRSA Conferenceは今回が初参加です。サンフランシスコも、カリフォルニアに住んでた頃にも結局一回も行くことが無く、学生の頃以来実に17年ぶりくらいです。

photo1


滞在は2/28までと短期間でしたが、米国時代の元同僚や多数のエンジニアと話しをする事もでき、大変有意義でした。RSA ConferenceはBlack Hatと異なり比較的ビジネス寄りという雰囲気です。Black Hatがベンダーニュートラルな基礎技術研究の成果を発表する場とすると、RSA Conferenceはこういった基礎技術の事業化・産業化のための場という印象を個人的には持ちました。いずれもセキュリティテクノロジー発展には重要な場として機能しており、特にRSA Conferenceは新しい製品やサービス、海外ベンダーや米国セキュリティ市場の動向などを調査するには非常に良い場だと思います。

Black Hatでよく見かける各国のセキュリティ研究者も多数出席していました。基礎技術研究も、その成果をしっかりと世に送り出し、何かしらの形で社会の役に立たなければ意味が無いのですが、個々の技術者もそのマインドをしっかり持っているのだなぁという事を改めて感じた次第です。

セキュリティ分野におけるR&Dの世界でも、技術水準だけで言えば日本と諸外国の差はあまり無いと思っていますが、やはり決定的な差はここにあるような気がします。

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード