エフセキュアブログ

by:ミッコ・ヒッポネン

The Malware Museum @ Internet Archive

 以下は、5.25インチフロッピーディスクの時代にウィルスのサンプルを提出した様子だ。

I sent you this diskette to give you infected or suspicious files for analyzing.
Constantine、ありがとう

 そして現在The Malware Museumにて、古典的なウィルスが動作するさまを確認することができる。

 (訳注:「ブラウザ上のMS-DOSの仮想マシンで、古いマルウェアのエミュレートしたいかも、って?いや、もちろんやるよね。」という意味)

 Jason Scottに賞賛を!

 以下はWalkerというウィルスだ。

 (訳注:「しまった!私のコンピュータがWalkerに感染したか?いやいや、The Malware Museumを訪れたのだ。」という意味)

 「ANY KEY TO PLAY」

 (訳注:「the Malware Museumでディスク破壊ゲームを楽しめる。」という意味)

現金でFreedomeを購入する

 当社のFreedomeセールスチームは、週末にかけて特別な販売促進を行った。私がその点についてつぶやくと、幾人かから当社の支払処理におけるプライバシーについて質問を受けた。端的に回答するとこうなる。当社ではあなたの個人情報を一切入手しない。しかし、それでも電子商取引を行いたくない場合はどうだろうか?問題ない。

 Freedomeは現金で買うことができる。

Cash can buy your Freedome.
Bitcoin不要

 あなたがドイツにいるとしよう。cyberport.deまたはnotebooksbilliger.deの実店舗の1つを訪れて、1箱手に取る。

Freedome for sale.
Freedome(のコード)は箱の中だ

 この箱はいくつかの地域の素敵な店舗で入手できる。詳細情報については@FreedomeVPNでツイートする。

 では。
 @mikko

インターポールの新しい複合施設に行ってみた

INTERPOL's Global Complex for Innovation in Singapore 今週、私は当社のマレーシア研究所のSu Gim Gohと、シンガポールにあるインターポール(国際刑事警察機構)の新施設IGCI(INTERPOL Global Complex for Innovation)を訪れる機会を得た。内部では世界中からやってきたアナリスト達の部隊が、サイバー犯罪を含む国際犯罪の捜査を行っていた。

 私達は詳細に踏み込むことはできなかったが、それでもなお職員の持つ、TorやBitcoinに関する専門知識のレベルを垣間見て感銘を受けた。

以上。
@mikko

ドキュメンタリー「ゼロデイ」

 ドイツの公共放送機関であるVPROが、ハッキングやゼロデイ脆弱性の取引に関する45分間のドキュメンタリーを制作した。このほど、その英語版がYoutubeで公開された。



 このドキュメンタリーには、Charlie Miller、Joshua Corman、Katie Moussouris、Ronald Prins、Dan Tentler、Eric Rabe(Hacking Team)、Felix Lindner、Rodrigo Branco、Ben Nagy、The Grugq、他大勢が出演している。

Hackerstrip

 Hackerstripは、Xylitolや、Charlie Miller、Chris Valasekのような本物のハッカーが登場するオンラインコミックである。彼らのお決まりのセリフは「Real Stories - Real Hackers」だ。

Hackerstrip

 HackerstripはRavi Kiranが始めた。チームにはLarry SutoとSantaPlixがいる。

  Hackerstripは現在Indiegogoにてクラウドファンディングを行っている。本ブログの読者の一部は、参加することに関心があるかもしれない。

Hackerstrip
 クラウドファンディングはあと24時間もせずに終わるので、お急ぎを!

The Internet is on Fire

The Internet is on Fire - TEDxBrussels

 先週、私はTEDxBrusselsで講演を行った。その動画がいま公開されたところだ。以下はTEDxBrusselsにて3回目の私の講演である。その前の講演については、こちらこちらにある。



 講演の中で私は、我々の日々の作業が監視され得るような、水槽の中の生活をどのように送っているのかについて、最近の例を取り上げた。

 私が使っていたスライドの設定について、何件か問い合わせを受けた。このスライドは本来の3456×1080という解像度でプロジェクションしたもので、PowerPointには(16:9や4:3といった通常のアスペクト比の代わりに)29:9というカスタマイズしたアスペクト比で設定した。投影は、オーバーラップ機能を持つプロジェクタ2台に接続したWindowsコンピュータから行った。

The Internet is on Fire - TEDxBrussels


スライド

コンテンツにお金を払うということ

 初めて当社のWebサイトをセットアップしたときのことを、筆者は覚えている。それは、20年前、1994年のことであった。Webは非常に若く、ほんの一握りのWebサイトしかなかった頃だが、Webが成長していくことは容易に予測できた。そしてもちろん、ここ20年の間に、爆発的に数が増えた。さらに重要なことは、Webが普通の平凡な人々をインターネットに招き入れたことだ。Web以前は、ネット上ではギークやナードしか見られなかった。今では誰もがネット上にいる。

 さかのぼること1994年、やがてくるWebの成長は何が契機となるのかについて、我々は予測を行った。Webが成長するためには、オンラインコンテンツ、つまりニュースや娯楽のようなコンテンツが存在することが必要だ。そしてニュースや娯楽がネットに移行するには、誰かがそれに対価を支払わねばならない。ではユーザは、どうやってお金をオンラインコンテンツに支払うのか?我々にはまったくわからなかった。新聞が紙バージョンでやっているように、オンラインでの年間購読費用の課金を始めるのだろうか?あるいはWebがオンラインのオンデマンド支払いシステムの類と統合し、コンテンツにアクセスするためにブラウザ内で少額決済をする簡単な方法がユーザに用意されるのかもしれない。これはDilbertという漫画の本日分を読むために、ユーザがいわば1セントを支払うようなことができるというものだ。

 ご存じのとおり、そのような少額決済システムはまったく現れなかった。20年前でもこのように明白なことのように見えたのに。その代わり、明るみになったオンラインコンテンツへの対価の支払い方法は、まったく異なる。つまり広告だ。Webサイトで最初にバナー広告を見たときのことを私は覚えている。おそらく1995年か1996年のことだ。他の誰かのWebサイトに広告を表示するために対価を支払う企業の考えに、苦笑がこぼれた。笑うべきではなかった。これと同じ考えが、今はほぼすべてのオンラインコンテンツを後押ししている。そして、GoogleFacebookといった企業では、高度に効率化された広告プロファイルエンジンが実質的にすべての利益を生み出している。

 ユーザプロファイルがどれほど利益につながり得るかについて、とりわけGoogleは好例だ。Googleのサービスには検索、YouTube、マップ、Gmailなどがあるが、これらは無料だ。1セントも支払わずに利用できる。こうしたサービスを稼働させるのは甚だしく高額である。Googleの電気料金だけでも、年間1億ドルを超える。非常に高価なサービスを提供しつつ課金をしない企業は損失を出していると考えるかもしれないが、そうではないのだ。2013年、Googleの収入は600億ドルであった。そして利益は120億ドルである。つまり、Googleには10億人のユーザがいると謙虚に見積もったとして、Googleは昨年ユーザ1人当たり12ドルの利益を得た。1セントたりも支払うことなくだ。

 率直に言えば筆者は、追跡やプロファイルをしないのであれば、Googleのサービスを使うのに喜んで年間12ドルを支払う。ふん、年間100ドル支払ったっていい!しかしGoogleはそういう選択肢を筆者に与えない。我々、つまりユーザたちは、我々のデータや行動をプロファイルおよび保存されることで、長期的にはもっと価値があるのだ。

 もちろんGoogleは営利企業だ。不法なことは何もせずに我々をプロファイルしている。我々が自身のデータをGoogleに自発的に提供しているのだ。そしてGoogleのサービスは素晴らしい。しかし時折、物事が違った形になり、コンテンツやサービスに対して支払いを行う単純な少額決済システムがあったらと願うことがある。今や暗号通貨が立ち上がったことで、これはいずれは現実になるかもしれない。

 ミッコ・ヒッポネン

 この記事は、エフセキュアの2014年上半期の脅威レポートの序文として初めに公表された。

Finnish Sprayerウィルス

 次のウィルスの分析は、Virus Bulletin誌上でちょうど20年前に発表したものだ。

Finnish Sprayer

Finnish Sprayer

 寛大にもVirus Bulletin Ltd.社から許可を頂き再掲する。

エフセキュアとデビッド・ハッセルホフ

 デビッド・ハッセルホフのことを最初に当ブログで言及したのは2011年のことだった(「エフセキュアに監視させてホフを悩ませるな!」参照)。

 2011年のケースでは、「David Hasselhoff Atach(原文ママ)」という機能を持った、リモートアクセス可能なトロイの木馬が関与していた。

David Hasselhoff

 そして現在、2014年に、デビット・ハッセルホフはエフセキュアのFreedome Ambassadorに就任した。

David Hasselhoff

 当社はベルリンで開催されるre:publica conferenceにおいて、デビッドと共にDigital Freedom Manifestoを発表する。本気だよ。

 詳細については、当社のDigital Freedomのサイトを参照してほしい。

標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

政府とWebと監視

 Webがありふれたものとなったとき、政策決定者たちはそれを無視したり、重要でないと考えていたりした。その結果、オンライン上では自由が花開いた。人々はコンテンツを消費するばかりでなく、コンテンツを作った。

 しかし、とうとうインターネットがいかに重要か政治家や指導者も気付いた。そして他の目的、とりわけ市民の監視のために、インターネットがどれほど有用になり得るかにも気付いた。我々の世代における2つの重要な発明、インターネットと移動電話が世界を変えた。その一方、監視国家にとっては、双方とも結局はうってつけの道具となった。そしてそうした国家では、すべての人が罪を犯していると仮定される。

 米国の情報機関は外国人を監視する最大限の法的権限を持っている。我々の大半はアメリカ人にとっては外国人だ。つまり我々がアメリカを拠点とするサービスを使うと、監視下に置かれることになる。そして我々が使用するサービスの大半は、アメリカに拠点がある。

 計算能力やデータ記憶装置の進歩により、大規模な監視が可能になってきた。ただしこの進歩により、情報漏えいも起こし得るようになり、組織は不正行為を捉えようと悩まされ続けるだろう。Webの未来は、我々を監視下に置き続けたい一派と、そうした監視の性質を暴露したい一派との間で、均衡が取れないままだろう。両派それぞれがデータ革命を起こしているからだ。

 政府が我々を監視している一方で、我々が政府を監視していることを政府は知っている。


ミッコ・ヒッポネン

 このコラムはWired誌のWeb at 25 Special
で最初に発表された。Tim Berners-Lee、Jimmy Wales、Vint Cerf他による別のコラムも読んでほしい。

マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

XP時代の終焉

10年前に実行していたOSWindowsであれば、そのバージョンはWindows XPだったでしょう。実際には、マイクロソフトは2004年までService Pack 2をリリースしていなかったため、おそらくそれはWindows XP SP1だったはずです。これは重要なことです。というのも、Windows XP SP1では、デフォルトでファイアウォールが有効ではなく、自動更新も備わっていなかったからです。ですから、Windowsを実行していたとすれば、ファイアウォールは動作しておらず、パッチも手動で当てなければなりませんでした。

 

そのため、10年前にワームやウイルスが猛威をふるっていたのは、不思議なことではありません。実際に、当時私たちは、SlammerSasserBlasterMydoomSobigなど、過去最悪の大発生をいくつか経験しました。中には、深刻な被害をもたらしたものもありました。Slammerは、オハイオ州の原子力発電所に感染し、バンク・オブ・アメリカのATMシステムをダウンさせました。BlasterはワシントンDCの郊外で列車を立ち往生させ、カナダの空港ではエア・カナダのチェックインシステムを停止させました。また、Sasserは、ヨーロッパの複数の病院で大規模に感染しました。

 

こうしたWindowsセキュリティの問題はきわめて深刻だったため、マイクロソフトは何か手を打つ必要に迫られ、対策を講じたのです。振り返ってみると、マイクロソフトはセキュリティプロセスを劇的に改善しました。同社が始めた取り組みは、Trustworthy Computing(信頼できるコンピューティング)と呼ばれるものです。ビル・ゲイツ氏は、セキュリティに関するメモを全社員に送信しました。マイクロソフトは、一定期間、新規の開発をすべて中止して、既存製品に脆弱性がないか調査し、修正しました。現在の64ビット版Windows 8が提供するデフォルトのセキュリティレベルは、Windows XPとは比較にならないほど向上しています。

 

他社も、同じように大幅な改善を行ってきました。マイクロソフトのOSが堅牢さを増し、攻撃するのが難しくなると、攻撃者は、より簡単な標的を探し始めるようになりました。彼らのお気に入りとなった標的が、Adobe ReaderAdobe Flashです。数年にわたってアドビ製品では次々と脆弱性が発見されました。更新方法が複雑だったため、ユーザのほとんどはきわめて古い製品を実行し続けていたのです。

 

最終的に、アドビもしっかりと対応しました。今日、Adobe Reader 11などのセキュリティレベルは、以前のリーダー製品とは比較にならないほど向上しています。

 

今、戦いの場は、JavaOracleに移っています。Oracleは、まだしっかりとした対応ができていないようです。いや、その必要はないかもしれません。というのも、実際にユーザはJavaを使用しなくなっており、JavaはすでにWebから姿を消し始めているからです。

 

今日のエンドユーザシステムのセキュリティレベルは、全体的にかつてないほど高くなりました。この10年間で、劇的に改善されたのです。

 

一方で、残念ながら、この10年間で戦いの相手も完全に変わりました。10年前までは、マルウェアはすべて、ホビイストが面白半分に作るものでしたが、今ではホビイストに代わって、新たに3つのタイプの攻撃者が現れました。組織犯罪者、ハクティビスト、そして政府です。

 

犯罪者と、特に政府には、攻撃に投資する資金が十分にあります。結果として、過去10年間の劇的な改善にもかかわらず、依然として私たちはコンピュータを安心して使うことができていません。

 

しかし、少なくとも10年前と違うのは、マルウェアが原因で、2週間に1回、航空機が飛ばなかったり、列車が停止したりすることはなくなったということです。




エフセキュア
主席研究員
ミッコ・ヒッポネン


2013: What Brought Us Together

 じきに2014年だ。以下のまとめ動画Mashableで取り上げられたが、Jean-Louis Nguyenが制作したものだ。



プレイリスト

EMCおよびRSAのトップ達への公開書簡

2013年12月23日


以下への公開書簡:
Joseph M. Tucci氏:EMC社 会長兼最高経営責任者
Art Coviello氏:RSA会長



Tucci様およびCoviello様

 私のことはご存じないと思います。

 私は1991年以降、コンピュータセキュリティに携わっています。この話題について、昨今かなりの数の講演をこなしております。実際に、RSA Conference USA、RSA Conference Europe、RSA Conference Japanにて計8回の講演を行ってきました。御社ではカンファレンスのウォールの「industry experts」の中に私の写真を登場させてさえいました。

 12月20日にロイターが報じたところでは、御社がNSA(National Security Agency)から乱数発生器を受け取って御社の1製品にデフォルトのオプションとして組み込み、1000万ドルの対価を得た、と主張しています。本トピックについて御社は声明を発表しましたが、この主張については特に否定はなされていません。結局のところ、NSAの乱数発生器に、バックドアの構築をもたらす意図的な弱点が見つかりました。NSAがバックドアを設けた、という一般に広まっている推測にも関わらず、御社は当該発生器を使用し続けています。

 これに対応する私の態度として、サンフランシスコにて来年2月に開かれるRSA Conference USA 2014の私の講演をとりやめます。

 なかなかうまいことに、RSA Conference 2014で私がお届けするはずだった講演のタイトルは「Governments as Malware Authors(マルウェア作者としての政府)」というものでした。

 御社のような数十億ドル規模の企業や、御社の開催する数百万ドル規模のカンファレンスが、NSAとの取引の結果として損害を受けるとは思っていません。実際のところ、私は他の講演者が辞退するとは考えていません。とにかく、講演者の大半は米国人であり、自身ではなくアメリカ人以外を標的にしている監視について気にする理由はないです。米国情報機関による監視作業は、外国人を標的にしています。しかしながら、私は外国人です。そして御社のイベントから私は手を引きます。

 よろしくお願いします。


エフセキュア
主席研究員
ミッコ・ヒッポネン


TEDトークをあなたの言語で

 TED.COM上の全トークはさまざまな言語に翻訳されている。すべてはボランティアのTED翻訳者によって行われているものだ。

TEDx

 今のところ、NSAの監視に関する私のトークは、次の言語に翻訳されている。

 オランダ語
 フィンランド語
 フランス語
 ドイツ語
 ギリシャ語
 ヘブライ語
 ハンガリー語
 インドネシア語
 イタリア語
 韓国語
 ペルシア語
 ブラジルポルトガル語
 ルーマニア語
 スペイン語

 実際には、さらに16カ国語への翻訳が進行中だ。

 私のブリュッセルでのトークを翻訳し、レビューをしてくれた次の方々に感謝したい。Els De Keyser、Petra van der Burg、Sami Andberg、Gemma Lee、남준 김、Leslie Louradour、Mira Kraimia、Stefanie Ramcke、Julia-Carolin Zeng、Chryssa Rapessi、Dimitra Papageorgiou、Shlomo Adam、Ido Dekkers、Mariann Buzas、Laszlo Kereszturi、Gustavo Rocha、Mariana Yonamine、Dewi Barnas、Arief Rakhman、Anna Cristiana Minoli、Alessandra Tadiotto、Maryam Manzoori、Amirpouya Ghaemiyan、Doina Zamfirescu、Ariana Bleau Lugo、Ciro Gomez、Lidia Camara de la Fuente、そしてこれから翻訳に携わる皆さん。

 ありがとう、メリークリスマス!
 ミッコ

10年前

 もしあなたが10年前のコンピュータでWindowsを実行していたのなら、それはWindows XPだった.

 実際には、十中八九Windows XP SP1(サービスパック1)を走らせていた。

 これは重要なことで、Windows XP SP1はデフォルトでファイアウォールが有効になっておらず、自動更新の機能もなかった。

 ということは、Windowsを実行していたのならファイアウォールが稼働しておらず、手動でシステムにパッチをあてなければならなかったということだ。そのパッチはセキュリティ上の脆弱性に満ちたInternet Explorer 6でダウンロードした。

 それならば2003年にワームやウィルスが蔓延したのも、驚くに値しない。

 実際に、2003年には史上最悪の大発生のいくつかを目の当たりにした。Slammer、Sasser、Blaster、Mydoom、Sobig、その他もろもろだ。

 深刻なダメージを与えることになったものもあった。Slammerはオハイオ州の原子力施設で感染したし、バンク・オブ・アメリカのATMシステムを落とした。BlasterはワシントンDCの外で列車を軌道上に停止させ、カナダの空港にあるエア・カナダのチェックインシステムを落とした。Sasserはヨーロッパにあるいくつかの病院で徹底的に感染した。

 こうしたWindowsのセキュリティにまつわる問題は、マイクロソフトが手を打たなければならないほどひどかった。そしてそれは為された。

 後からわかったことだが、同社はセキュリティプロセスにおいて壮大な改良を行ったのだ。

 マイクロソフトは信頼できるコンピューティングを開始した。立ち戻って古い脆弱性の発見と修正をする間、すべての新規開発を停止したのだ。

 今日では、64ビットWindows 8のデフォルトのセキュリティレベルは、Windows XPよりずっと進んでおり、比べものにさえならない。

 我々は、ほかの会社も同じような改善を行ったのを見てきた。

 マイクロソフトの出荷が攻撃するには厳しくかつ難しくなっていき、攻撃者はより与しやすい標的を探し始めた。

 攻撃者のお気に入りはAdobe ReaderとAdobe Flashだった。数年間にわたり、アドビの製品に脆弱性が次々に見つかった。そしてアップデートも簡単ではなかったため、ほとんどのユーザはひどく旧式の製品を使っていた。最終的にはアドビも同じ行動をとった。

 今日では、たとえばAdobe Readerのセキュリティレベルは、古いバージョンのPDFリーダーよりずっと進んでおり、比べものにさえならない

 現在、目下の戦いは、Javaとオラクルに関するものだ。オラクルは今のところ同じ行動をとっていないように見える。そして、その必要もなさそうだ。 ユーザは使わないことで意思を表明しており、JavaはすでにWebから消え去っている。

 エンドユーザのシステムの全体的なセキュリティレベルは、今やかつてないほどに向上している。この10年間に、大きな改善がもたらされたのだ。

 不幸なことに、この10年間に我々の戦う相手も完全に変わった

 2003年においては、まだすべてのマルウェアは楽しむためにホビイスト達によって書かれていたものだった。こうしたホビイストは、犯罪組織だけでなく、ハクティビストや政府といった新たな攻撃者に取って代わられている。犯罪者と、特に政府はその攻撃に投資する余裕がある。

 その結果として、このような素晴らしい改善がありながらも、我々のコンピュータはいまだ安全ではない。

 しかし少なくとも、2003年のように1週間おきにマルウェアによって飛行機が飛ばず列車が止まるといったことは見なくなった。

ミッコ・ヒッポネン
GrahamCluley.com」に初掲載

Bitcoin詐欺が接続された

Bitcoin $1000

 Bitcoinや、他のLitecoinPeercoinといったデジタル通貨は、我々が換金する方法を変えるだろう。しかし、大きな欠陥を伴う。その欠陥とは、感染したコンピュータを紙幣「印刷」機へと変えるためにも使われうる点だ。

 Bitcoinの背後のアルゴリズムの美しいところは、暗号通貨に必要な、2つの主な課題を解決していることだ。トランザクションを確認し、インフレーションを起こすことなく金銭を生み出す、双方をともに組み合わせている。トランザクションの確認は、P2Pネットワーク上の他の参加者によって行われ、その対価としてBitcoinを得る。全体のプロセスは、マイニング(採掘)として知られている。

 黎明期のBitcoinではマイニングは容易だった。ホームコンピュータでマイニングし、Bitcoinを稼ぐことができただろう。しかし、通貨価値が増大(2013年の間に$8から$1000へ)するにつれて、人々がさらにマイニングするようになった。それに応じて、マイニングは(数学的に)より困難になり、強力なコンピュータが求められるようになった。不幸なことに、こういったコンピュータが自分の所有物である必要はない。オンライン犯罪者たちが運営している最大級のボットネットのいくつかは、今ではマイニングで収益を得ている。感染したホームコンピュータならなんでも、サーバ犯罪者のためにBitcoinをマイニングできるのだ。

 ボットネットを使ってマイニングを行うのは大きなビジネスだ。世界第2の規模のボットネットであるZeroAccessは、感染したマシンで暗号通貨をマイニングすることで、1日に何万ドルかを生み出した。感染したマシンがハイエンドのGPUチップが乗ったビデオカードを搭載しているときは、これは著しく効率的になる。

 こういったマイニング・ボットネットは、人間のユーザを要しない。処理能力とネットワーク接続があればいいのだ。物にまみれたインターネットは、車といった機械やゴミ箱に埋め込まれたコンピュータなど、さらに何百万台以上のWebに接続されたコンピュータをもたらすだろう。お金をマイニングするためには、そういったもののすべてが、Windows PCのようなスペックを持つ必要があるわけではない。たとえばLitecoinは、ハイエンドGPUよりむしろ通常のCPUで実行できるような、よりメモリに徹底したアルゴリズムを使う。

 神話上のインターネットに接続された冷蔵庫がついに発見した存在理由―犯罪者であることを認めざるを得ない。

ミッコ・ヒッポネン
Wired UK 12/2013」に初掲載

ここで挙げる企業を相手にビジネスをするな

 Inteqno社Altran Strategies社Deticaconsulting社Nezux社に共通するものは?

mule_altran

mule_detica

mule_integno

mule_nezux

 ええと、まず最初に、4社はまったく同一の1つの会社だ。いや実際のところ、どれも実在の企業なんかではない。でっち上げのオンライン架空企業で、オンライン犯罪者によって運営されている。彼らはたった1つの目的、こうした企業が合法的なもので、実在して社歴もあるように見せかけるためにサービスを提供している。人を雇おうとする際に信頼感を持たせるために、こうしたことが必要になる。

 それで、どういったタイプの人を、偽企業は雇うのか?とりわけマネーミュール定義、訳注:muleはラバ。転じて運び屋の意があり、この場合は金銭の送金を行う者)の雇用を行っている。もちろん、こうした企業は職業として「マネーミュール」と銘打っているわけではなく、「顧客アシスタント」とか「運営アシスタント」とか称しているのだが…。

mule_careers

 こうした企業はLinkedInのようなサイトに求人広告を投稿したり、ダイレクトメールを送付したりする。

 マネーミュール詐欺に関与するサイトは一目見て簡単に分かった。Googleウェブ履歴に出てこない。WHOISのデータはプライバシー保護で隠ぺいされている。サイトのコンテンツは実在の企業から直接持ってきている。robots.txtでサイトをインデックスさせない。こうしたサイトは何から何まででたらめだ。だから、こうした企業は疫病のように避けるべきだ。

Bits Of Freedomへのエフセキュアの回答

 当社は、Bits Of Freedom(訳注:オランダのデジタル著作権関連の団体)から送付された、25の別々の団体の署名付きの手紙を受け取った。これらの団体は、国家が監視目的で当社のソフトウェアを利用することについての当社のポリシーに、興味を抱いている。同じ手紙は、他のアンチウイルス企業15社にも送られた。

BoF

 彼らは具体的に4つの質問を行っている。

1. 政府(または国家機関)によって、監視を目的としたソフトウェアが使われているのを検知したことがあるか?

2. 特定のソフトウェアが存在しても検知しないように、あるいは検知してもユーザに通知しないようにという要求が、政府から申し入れされたことはあるか?また、もしあるのなら、この要求の法的根拠について、また許可を求められたソフトウェアの具体的な種類について、さらにこのソフトウェアの使用許可が求められた期間について、情報提供できるか?

3. このような要求を受け入れたことはあるか?もしあるなら、上で述べた点と同様の情報と、政府からの要求に応じる決断を導いた材料を提示できるか?

4. 今後そうした要求にどのように応じるか明確にできるか?

 (手紙の全文はこちら

 当社の公式の回答は以下で、Bits Of Freedomには11月1日に返信した。

Letter to bof.nl

 参照:Policy on Detecting Government Spy Programs(政府のスパイプログラムを検知したときのポリシー)

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード