エフセキュアブログ

by:ミッコ・ヒッポネン

広範な攻撃ツールFinFisher

 FinFisherGamma Groupという企業によって開発、販売されている広範な攻撃ツールだ。

 最近、FinFisherの販売用のパンフレットやプレゼン資料がネット上に流出した。そこには、このようなツールに関する数々の興味深い詳細が記されている。

 FinFisherのプレゼン資料での背景のパートでは、Gamma社の攻撃ツール群を構築するために、同社がどのようにBacktrack Linuxの(当時の)中心的な開発者を雇ったかの説明に続いている。これはMartin Johannes Munchを指している。同社はまた、自社の開発者達がBlack HatやDEF CONにどれくらい参加したかを自慢している。

FinFisher

 FinUSBツールはUSBスティック経由でコンピュータを感染させるために使用される。「Can be used e.g. by housekeeping staff(たとえば家政婦でも使用可能)」

FinFisher

 このドキュメントによれば、FinIntrusionキットは、たとえサイトがSSLを採用していたとしても、無線ネットワーク経由でユーザ名とパスワードを記録するために使えるそうだ。

FinFisher

 Gamma社はまた、ユーザのネット口座の認証情報の窃取に、FinIntrusionが使えることを強調している。

FinFisher

 バックドアFinFly(USBドライブからデプロイ)は「can even infect switched off target systems when the hard disk is fully encrypted with TrueCrypt(ハードディスク全体がTrueCryptで暗号化されている場合、標的のシステムの電源が切られていても感染可能)」とのことだ。

FinFisher

 FinFly Webエクスプロイトは、自動的に気付かれず感染させる(drive-by-infection)ために使用できる。また地域のISPが当該エクスプロイトを組み込むと、被害者がGmailまたはYoutubeへアクセスする際に、これらの「信頼された」サイトへモジュールを注入することが可能だ。

FinFisher

 被害者を感染させる別のメカニズムでは、被害者がダウンロードする度に、マルウェアを含めるように、被害者のISPが汚染させるようにする。また、これは自動ソフトウェア更新に手を入れることでも実現可能だ。

FinFisher

 興味深いことに、FinSpy Mobileの説明でWindows Phoneをサポートしていることに特に言及している。これは我々が気付いた、初のWindows Phoneのマルウェアへのリファレンスになる。

FinFisher

無料のBitcoinは誰に当たった?

 1週間前に述べたとおり、私のTwitterの5万人目のフォロワーに対してBitcoinの物理コインを差し上げるという競争を開催していた。

 そして、昨晩、その時が来た。私の5万人目のフォロワーは、WantBTCというアカウントだった。

WantBTC

 WantBTCは実際にはボットで、Eric Bauersachsが実行している。

e4ch

 Ericは16個のTwitterボットで、5万人目のフォロワーの地位を競うスクリプトを実行していた。大変な努力は報われ、Ericが勝ち取った。

wantbtc_bot

 EricにはBitcoinとThomas Ridの近刊本Cyber War Will Not Take Placeが贈られる。おめでとう!

 しかし、私のフォロワーの中からランダムに選んだ方1名にも、Bitcoinと書籍を約束していた。どなたが当たったのだろうか?あなただろうか?以下のビデオを見てご確認を。



 みなさん、ありがとう。
 @Mikko

ミッコのTwitterフォロワー5万人目にBitcoinをプレゼント

 私は2009年3月にTwitterを始めた。

Twitter archive of @mikko from 2009 to 2013

 こんなことが起こるなんて思ってもみなかったが、それ以来、驚くほどのフォロワー数を得てきた。ありがとう。事実もうすぐ5万人に達する。実際、私はTwitterのフォロワー数で上位のフィンランド人の1人だ。

Follower count from 0 to 50,000

 そこで何かお返ししたいと考えている。

 私の5万人目のフォロワーには、1 BTC相当のCasascius社製の物理コインが当たる。

Casascius 1 Bitcoin coin

 しかし最新のフォロワーに景品が当たり、その他の全フォロワーを無視するのは不公正だ。したがって、別のフォロワー1名にも1 BTCのコインを差し上げる。

 当たった方2名には、Thomas Ridの新書Cyber War Will Not Take Placeも贈られる。

Cyber War Will Not Take Place by Thomas Rid

 ルール・条件:私が当選者を選ぶ。苦情は受け付けない。当選者にはコインと本を郵送する。

ありがとう。
ミッコ

イギリスでLulzSecに判決が下される

LulzSec Twitter

 ハッカーグループ達のロックバンドLulzSecのメンバー6人のうち3名に対し、本日ロンドンにて判決が下された。

 2011年5〜6月の「50 days of Lulz」の期間中、LulzSecはFOXPBS(米国公共放送サービス)、ソニー任天堂セガMinecraftInfragardNHS(英国国民保健サービス)、米国上院SOCA(英国重大組織犯罪庁)、CIA(米国中央情報局)を攻撃したとして、大きなニュースになった。また彼らは、アメリカとヨーロッパの捜査当局間の電話会議による、警察のLulzSecに対する戦術の議論を録音し、公開した。

 LulzSecは金儲けや抗議のために攻撃をしかけるわけではない点において、他の大半の攻撃者とは一線を画している。彼らはThe Lulzのために行うのだ。また、自己防衛という観念がまったくなく、それが彼らの解体につながった。

 LulzSecには6人のコアメンバーがいる。
  • Topiary、本名Jake Davis (@aTopiary)、イギリス
  • T-Flow、本名Mustafa Al-Bassam@let_it_tflow)、イギリス
  • Kayla、本名Ryan Ackroyd@lolspoon)、イギリス
  • Sabu、本名Hector Monsegur@anonymouSabu)、アメリカ
  • Pwnsauce、本名Darren Martyn*_pwnsauce)、アイルランド
  • AVunit@AvunitAnon)、正体不明
 上から3番目までのメンバーが本日判決を受けた。
  • Jake Davisには禁錮24ヶ月が科せられた。少年院で12ヶ月服役する
  • Mustafa Al-Bassamには禁錮20ヶ月執行猶予2年、300時間の社会奉仕の判決が下った
  • Ryan Ackroydには禁錮30ヶ月の判決で、15ヶ月服役する
 Lulzsecに関わりがあるボットネットのマスターであるRyan Cleary(別名Viral)にも同時に判決が出た。彼には禁錮32ヶ月が下された。16ヶ月間刑に服す予定だ。

 Sabuは2011年6月に逮捕された。罪状を認め、以来FBIに協力してきた。彼にはまだ判決が出ていない。

 Darren Martynは2012年3月に起訴されたが、いまだ刑は処されていない。

 つまり6人5人のLulzSecのメンバーは逮捕された。残る謎は6番目のメンバーAvunitだ。

 Avunitとは何者だろう?なぜ他のメンバーのいずれも彼について白状していないのか?

 我々にはAvunitが誰なのかは分からない。正体不明だ。どの大陸出身かさえ判明していない。

 追伸。お決まりのnyan.catをどうぞ。

The Fog of Cyber Defence

The Fog of Cyber Defence

 フィンランド国防大学はThe Fog of Cyber Defence(サイバー防衛の混乱)というタイトルの、250ページに渡る本を発行した。この本では北欧の観点から、サイバー戦争や、サイバー軍拡競争、サイバー防衛について論じている。

 同書には20人の著者がいる。

Insights into Cyberspace, Cyber Security, and Cyberwar in the Nordic Countries(北欧諸国におけるサイバー空間、サイバーセキュリティ、サイバー戦争の実態) - (Jari Rantapelkonen & Harry Kantola)
Sovereignty in the Cyber Domain(サイバー空間の主権) - (Topi Tuukkanen)
Cyberspace, the Role of State, and Goal of Digital Finland(サイバー空間、国家の役割、Digital Finlandの目的(訳注:Digital Finlandとは、デジタル化を推進するフィンランドの社会の将来の見通しについて、同国運輸通産省がまとめた報告書)) - (Jari Rantapelkonen & Saara Jantunen)
Exercising Power in Social Media(ソーシャルメディアでの権力の行使) - (Margarita Jaitner)
Victory in Exceptional War: The Estonian Main Narrative of the Cyber Attacks in 2007(通常とは異なる戦争における勝利:2007年のサイバー攻撃についてのエストニアの主要な物語) - (Kari Alenius)
The Origins and the Future of Cyber Security in the Finnish Defence Forces(フィンランド国防軍のサイバーセキュリティの起源と未来) - (Anssi Karkkainen)
Norwegian Cyber Security: How to Build a Resilient Cyber Society in a Small Nation(ノルウェーのサイバーセキュリティ:回復力のあるサイバー社会を小国でどのように構築するか) - (Kristin Hemmer Morkestol)
Cyber Security in Sweden from the Past to the Future(スウェーデンのサイバーセキュリティの過去と未来) - (Roland Heickero)
A Rugged Nation(ラギッドな国家) - (Simo Huopio)
Contaminated Rather than Classified: CIS Design Principles to Support Cyber Incident Response Collaboration(機密より混成:サイバーインシデント対応の協力をサポートするためのCIS(Communications and Information Systems)の設計原則) - (Erka Koivunen)
Cyberwar: Another Revolution in Military Affairs?(サイバー戦争:軍事におけるもうひとつの革命か?) - (Tero Palokangas)
What Can We Say About Cyberwar Based on Cybernetics?(人工頭脳学に基づきサイバー戦争について言えること) - (Sakari Ahvenainen)
The Emperor's Digital Clothes: Cyberwar and the Application of Classical Theories of War(裸の王様のデジタル化された服:戦争の古典理論に基づくサイバー戦争とアプリケーション) - (Jan Hanska)
Theoretical Offensive Cyber Militia Models(攻撃的なサイバー市民軍の理論的モデル) - (Rain Ottis)
Offensive Cyber Capabilities are Needed Because of Deterrence(抑止力のためにサイバー攻撃能力は必要) - (Jarno Limnell)
Threats Concerning the Usability of Satellite Communications in Cyberwarfare Environment(サイバー戦争下での衛星通信の利用に関する脅威) - (Jouko Vankka & Tapio Saarelainen)
The Care and Maintenance of Cyberweapons(サイバー兵器の整備と保守) - (Timo Kiravuo & Mikko Sarela)
The Exploit Marketplace(エクスプロイト市場) - (ミッコ・ヒッポネン)

 The Fog of Cyber Defencehttp://urn.fi/URN:ISBN:978-951-25-2431-0からPDFでダウンロードできる。

1996年にWIRED誌で取り上げられたサイバー戦争

Wired WIRED誌が20周年を迎えたと聞いた。

 おめでとう!

 私は1993〜1996年頃に同誌を定期購読していたので、昔の号を探してみた。そして本の山を見つけた。この古い雑誌のもっとも奇妙な点の1つは、全編残らずネットについて語っているのに、ただの1つもURLやWebアドレスの記載がないことだ。1993年にはWebは本当の意味では存在していなかったのだ。

 この1996年8月号の表紙は、とりわけ印象的だった。John Romero(@romero)とJohn Carmack(@ID_AA_Carmack)の顔写真の下にあるコピーはReady for Cyberwar(サイバー戦争への準備が整う)だ。サイバー戦争?1996年に?私は記事を調べずにはいられなかった。

 分かったぞ。問題の記事はWinn Schwartauへのインタビューだ。勝手ながら、記事のもっとも興味深い部分、どのような時代を先読みしていたのか、を以下に引用する。

ありがとう、WIRED。
Mikko Hypponen

Cyberwar 1996

マルウェアの爆発的蔓延に対し、ISPの対処にどれほどの違いが?

 当社は数多くISP運営組織と連携している。昨年、マルウェアDNSChangerを沈静化させる際に、我々はいくつかの大手運営組織を支援した。

 ジョージア工科大学の研究者によって最近行われたおもしろい研究がある。この研究者たちは、DNSChangerに対するISPの対応の差と、その顛末の違いを比較した。

Georgia Tech DNSChanger

 研究者たちが到達した結論についてのプレゼンテーションは、ここからダウンロードできる。

 この研究は、サンフランシスコで行われたM3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)の第27回General Meetingにて最初に発表された。







オンラインの世界

 現実の世界はオンラインの世界とは似ていない。

 現実の世界では、自分の街に住む犯罪者についてのみ心配すればいい。しかしオンラインの世界では、地球の反対側にいる犯罪者についても心配しなければならない。インターネットには国境がないので、オンラインの犯罪は常に国をまたがったものになる。

 今日のコンピュータウイルスや悪意のあるソフトウェアは、もはや仲間内での名声や栄誉を求める趣味のハッカー達が書いたものではない。攻撃によって何百万も稼ぐ、プロの犯罪者によるものだ。こうした犯罪者達は、あなたのコンピュータやPaypalのパスワード、クレジットカード番号へアクセスしたがっている。

 私は人生の結構な時間を出張に費やし、オンライン犯罪行為の多発地域と考えられる場所を多く訪れた。アンダーグラウンドの人々にも警察の人々にも会ってきた。そして物事は表面上見えるよりも決して単純ではない、ということを学んだ。たとえば銀行への攻撃の震源では彼らと戦うことを最優先にする、と考える人もいるのではないだろうか。

 それで正しいのだが、より深く掘り下げると、複雑な事態が浮かび上がる。ブラジルのサイバー犯罪の捜査官と行った議論が好例である。我々はブラジルにおける問題について、またサンパウロが銀行を狙ったトロイの木馬の、世界最大の攻撃源の1つとなった理由について話し合った。

 この捜査官は私を見て、こう言った。「ええ。そのことは理解しています。しかしご理解いただきたいのは、サンパウロは世界における殺人都市の1つでもあることです。市民が日常的に路上で射殺されます。すると、我々のリソースは厳密にどこへ投入すべきでしょうか。サイバー犯罪と戦うことでしょうか。あるいは、市民の命が奪われる犯罪と戦うことでしょうか。」

 これはすべてバランスの問題だ。サイバー犯罪による損害をはかりにかけ、それを人命の損失と比較すると、どちらがより重要かは非常に明白だ。

 国家警察や法制度にとって、急速なオンライン犯罪の成長に追随していくことは非常に困難であることは判明している。オンライン犯罪の行為を調査するリソースや専門家は限られている。しばしば国境を越えて行われる犯罪の全容について、被害者、警察官、検察官、そして裁判官はめったに解明できない。とりわけ現実世界の犯罪に付随するものと比較して、犯罪者への対応が遅すぎるし、逮捕はごくまれで、また多くのケースで刑罰が非常に軽い。

 サイバー犯罪を起訴することの優先度が低いことから、またサイバー犯罪に対して有効な刑罰の開始が遅れていることにより、間違ったメッセージを犯罪者達に発することになり、これこそがオンライン犯罪が急速に成長する理由となっている。現時点のオンライン犯罪志望者は、捕まって罰せられる可能性は無視できるほど小さく、一方で利益は膨大だと見ている可能性がある。

 前述のサンパウロの捜査官のような立場での現実は、財政上の制約とリソースの限度との双方のバランスを取らなければならないことだ。彼らは組織的に単純にすべての種類の脅威に対応することができない。サイバー犯罪に遅れずについていく鍵は、協力だ。良いニュースを挙げる。コンピュータセキュリティ業界は、直接の競合と相互支援をする点において非常にユニークだ。公に知られてはいないが、セキュリティ企業同士はずっと助け合っている。

 表面上は、コンピュータセキュリティベンダーは直接の競合だ。また事実、営業やマーケティングの側面では競争が激しい。しかし技術的な側面では、実際には我々は互いに非常に友好的だ。全員が他の人全員と知り合いであるかのようだ。結局のところ、世界中でたった数百人しか、最高レベルのアンチウイルスの分析者はいないのだ。

 こうした分析者達はプライベートなミーティングや、クローズドのワークショップ、そしてセキュリティカンファレンスで顔を合わせる。また暗号化された、クローズドなメーリングリストを運営している。我々は安全なオンラインシステム内でチャットを行う。そして起きていることについて、こうした場で情報交換をするのだ。

 表面的にはこれに筋が通っているようには見えない。大体において、なぜ競合と協力するのか?私は、我々には共通の敵がいるからだと思っている。

 お分かりだろうか。通常のソフトウェア企業には敵はいない。競合だけだ。我々のビジネスでは違うのだ。我々には明らかに競合がいるが、彼らが1番の問題ではない。我々の1番の問題はウイルスのプログラマ、ボットの作者、スパマー、そして釣り師なのだ。彼らは我々を嫌っている。彼らはしばしば我々を直接的に攻撃する。そして、彼らを食い止めようとし、彼らから顧客を守るためにできることをすることが我々の仕事だ。

 この仕事においては全ベンダーが同じ立場にある。これが、我々が助け合う理由だ。

 またオンライン攻撃の、変わりゆく情勢に追随していくために、得られる助けをすべて必要としている。

 これはすべて現在、我々の世代において、起こっていることだ。我々はインターネット接続をした最初の世代だ。我々はインターネットを安全にするためにできることを行う義務がある。そうすればインターネットは、未来の世代が楽しむためのものになる。

ミッコ・ヒッポネン

 この文章はもともとは、Christopher Elisan著「Malware, Rootkits & Botnets, A Beginner's Guide」の前書きとして出版された。







You only click twice

 トロント大学のCitizen Labにて、トロイの木馬とバックドアに関連する調査について、またもや素晴らしい研究が行われた。本日、同研究所から「You Only Click Twice: FinFisher’s Global Proliferation」というタイトルの報告書がリリースされた。

You Only Click Twice

 来週、同大学にあるCanada Centre for Global Security StudiesはCyber Dialogue 2013を開催する。サイバースペースのセキュリティとガバナンスに焦点を合わせたカンファレンスだ。

 18日月曜日には、Dmitri Alperovitch、Shelly Han、Eric King、Morgan Marquis-Boire、Chris Soghoian、Lhadon Tethongの各氏と共に、私も「The Digital Arms Trade」というパネル・ディスカッションに参加する。

ミッコ
 

トロイの木馬型の「Police」ランサムウェアのギャングが逮捕

 スペイン警察とユーロポール(欧州刑事警察機構)は今日大規模な手入れを行い、有名なトロイの木馬型の「Police」ランサムウェアとつながりのある人物を数名、逮捕した。

 本ブログでは以前より、こうしたトロイの木馬型のランサムウェア・ファミリーを取り上げてきた。ひと言でいえば、これらは感染したPCをロックし、地元警察だと主張して、システムを利用できるようにするために「罰金」を支払うように犠牲者に要求する。

 全部で11人が逮捕され、6ヶ所が家宅捜査された。

 これはスペイン国家警察の Brigada de Investigacion Tecnologicaから公開された逮捕時の映像だ。



 疑わしい携帯電話から証拠に用いる内部イメージを取り出すために、Cellebrite社の機器を使っている点に注目(動画では2分目あたり)。

 スペイン警察とEC3(European Cybercrime Centre)に賛辞を。 警察を騙るトロイの木馬で双方の名前が不正に使用されてきたので、この逮捕には、気分がせいせいしたに違いない(以下の、トロイの木馬によって表示される画面から一部切り取ったものを参照のこと)。

ec3

 詳細はユーロポールが公表している。







ニューヨークタイムズが標的型攻撃に見舞われる

 ニューヨークタイムズ紙は今日、重要なスクープをものにした。ニューヨークタイムズ自身のことだが。結局、彼らはハッキングされていたのだ。

 実際のところ、数ヶ月間にわたりハッキングされていた。中国のハッカーはニューヨークタイムズ社全従業員の社用のパスワードを盗んだ。加えて、幾人かのジャーナリストのホーム・コンピュータへのアクセスを得た。

 これらの攻撃は、同紙が温家宝中国首相の親族に対する調査結果を発表した直後から始まった。

New York Times hacked
David Barbozaが書いた記事のスクリーンショット。彼のメール・アカウントは攻撃者に侵害された。

 顧客のデータが盗まれなかった点は注目に値する。今回の攻撃者は金銭を得ることには興味がなかった。ニューヨークタイムズ紙に対するスパイ活動がしたかったのだ。

 中国国防部からの疑惑に対する返答はこうだ。「確かな証拠もなしに、中国軍がサイバー攻撃に乗り出しているという批判はプロフェッショナルにふさわしくなく、根拠もない。

 ジャーナリスト達は以前にも同じような攻撃の対象となった。あるケースでは、標的型攻撃においてジャーナリストの名前がルアーとして使われたことがある。

 中国側のニュースについての解説は、Liz Carterのこのブログの記事を見てほしい。

 追伸。ブラチスラヴァで開催する次のCAROワークショップで、このような攻撃について詳細な議論が行われる予定だ。詳しくは2013.caro.org を参照のこと。

Slammerワームから10周年

 以下は、10年前、我々の1月25日がどのように始まったか、である。

Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384

 上に抜粋したのは、我々が最初に得た、後にSlammer(SapphireまたはSQL Slammer)と呼ばれるようになるワームのログだ。

 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増した様子を示している。

slammer

 以下は当社がこのワームについて発信した最初の警告だ:

 エフセキュアはSlammerと呼ばれる新たなインターネット・ワームについて、コンピュータ・ユーザに警告する。このワームは大量のネットワーク・パケットを生成し、インターネット・サーバに過負荷をかける。メール送信やネット閲覧などすべてのインターネット機能が低速になる。

 このワームは2003年1月25日5時30分(GMT)頃、インターネット上で初めて検知された。その後、世界中に急速に拡散し、インターネット上でこれまでで最大級の攻撃を巻き起こした。報告によると、いくつかの大規模なWebサイトやメール・サーバが使用不能に陥った。

 SlammerはMicrosoft SQL Serverを実行しているWindows 2000 Serverにのみ感染する。そのためエンド・ユーザの機器には脅威ではない。しかしながら、ネットワーク・トラフィックがブロックされることによって、やはりエンド・ユーザにもその作用が見て取れる。

 このワームはUDP 1434番ポートを用いて、MS SQL Serverのバッファ・オーバーフローを突く。Slammerのサイズは極めて小さく、376バイトに過ぎない。拡散するほかに機能はないが、この拡散処理が非常に強力で、極度の負荷を招く。

 ワームはどのファイルにも感染しないので、感染した機器をリブートするだけで駆除することができる。しかしもし機器がネットワークに接続され、MS SQL ServerにSP2もしくはSP3が適用されていなければ、直ちに再感染する。

 かつてこれほど小さなウイルスが、このような速度でここまでの損害を与えた例を、当社でも見たことがない。Slammerについての技術的な解説や図表についてはhttp://www.f-secure.com/v-descs/mssqlm.shtml
(注意:このリンクは2013年でもまだ有効だ。)で確認できる。

 Slammerはその小ささにおいて特筆すべきだ。ワーム全体が単一のUDPパケットに収まる。基本的に、ワームはつぶやき5つ分に相当する。コード全体は以下のとおり。

slammer

 この年、後にBlasterやSasserがSlammerに続いた。これらはいずれも現実世界で顕著な問題を引き起こした。

slammer

 Slammerのせいで、我々は何日も忙しかった。私の古いメール・アーカイブには、第1日目に以下の残業報告がある。

slammer

 つまり、2003年の土曜日に、Slammerをデコードしたのは、私とKatrin Tocheva、Gergely Erdelyii、Ero Carrerだった。天気が悪かったと思うが、他には何も覚えていない。

ミッコ

2038年問題

2038 本日は2013年1月19日だ。つまり2038年1月19日は、今からちょうど25年後であることを意味する。

 その日がなぜ重要か?2038年1月19日03:14:07(UTC)に我々は2038年問題に突入するのだ。

 数多くのUnixベースのシステムは、この時点以降の日付を扱えない。たとえば、現在の一般的なUnixベースの電話機に、2038年以降の日にちは設定できない。これは我々が試したiPhoneAndroid端末のすべてに当てはまる(iOSはBSDベース、AndroidはLinuxベースだ)。もちろん、これはWindows Phoneには当てはまらず、3000年まで任意の日付をセットできる。

 そう、25年はずっと先だ。しかしUnixベースのシステムは、その時にもまだ確実に使われているだろう。また、2038年より前に破綻しはじめる事象もある。たとえば今日、Unixベースのシステムで25年分の金利を計算するなら、計算にtime_tは使わないほうがいい。

慈善活動Joulupata

 クリスマスの時期だ!慈善活動の時期だ!

 フィンランドでもっとも一般的なクリスマスの慈善活動は、地域の救世軍によって運営されている。この活動はJoulupataと呼ばれており、ご期待どおりwww.joulupata.fiというWebサイトを持つ。

 本日これまでに「joulupata」でググると、検索結果の先頭が見覚えのないものになった。

joulupata

 危険そうに見える。ではこのサイトにGoogle経由で到達したと信じさせるために、wgetでhttpリファラーをwww.google.comと設定した上で、当該サイトに行ってみよう。

joulupata

/tds/in.cgi。これはSutra TDS(Traffic Distribution System)のように見える。このキットは、ハックされたWebサイト経由でマルウェアやスパムを配布するのによく用いられる。今回のケースでは、マルウェアは存在せず、Replicavipsと呼ばれるWebサイトにリダイレクトするだけだ。

 リファラーとしてgoogle.comなしでサイトにアクセスすると、単に無修正のjoulupata.fiのトップページに飛ばされる。

 ところでReplicavipsでは何が行われているのだろうか?ここは腕時計の模造品が買えるサイトだ。行ったらダメだ。

joulupata

 F-SecureはこのTDSサイトについてブラックリストに登録しており、関連組織にも通知している。ご用心を。

 情報提供してくれたtpaavolaに感謝。







ギーク向け TED Talks

 TED Talksは大きなマイルストーンに達した:今や、そのビデオは10億回以上試聴されている。これは大きな数字だ。1000近いトークがあるので、トーク当たり平均100万回の試聴があることになる。このことは、私自身のTED Talkも2011年以来、ted.com、YouTube、Netflixを合わせて100万回の試聴を経たことを意味する。

 そのお祝いの1つとして、TEDは新しいサービスを創った:それがTED Playlistsである。今や、誰でも好みのトークのプレイリストを作成することができる。そして、このサービスを始めるために、かれらは、TEDの友人達何人かに、自分自身のお気に入りのプレイリストを管理するように依頼した。

 TEDの連中は皆親切で、Bill Gates、Bono、Barbara Streisand、Peter Gabriel、Ben Affleck.等の仲間たちと一緒に私にも頼んでくれた。

Mikko TED

 それで、私のプレイリストもここに載せることができる。ほとんどはギークのためのギークのトークになっている....でも、魚に関するトークも1つある。

 TEDに感謝。

サインオフ

国連がテロ目的でのインターネット使用に言及

  テクノロジーは、テロ組織やその支援者たちが、リクルートや資金調達、プロパガンダ、トレーニング、テロ行為の扇動など、広範な目的でインターネットを使用するケースを増大させている、戦略的要素の一つだ。インターネットの多くの利点は自明だが、他方でテロ組織内のコミュニケーションや情報伝達、物質的な支援、計画されたテロ活動などを容易する可能性があり、これらの犯罪を効果的に捜査するには、特定の技術的知識が必要となる。

  国際連合薬物犯罪事務所が、このトピックに関する150ページのドキュメントを公開した:テロ目的でのインターネット使用

UNITED NATIONS OFFICE ON DRUGS AND CRIME - THE USE OF THE INTERNET FOR TERRORIST PURPOSES

  その内容がサイバー犯罪やハクティビズム、著作権侵害などの議論を扱うのではなく、実際に本物のテロリスト、過激派グループ、そのオンラインでの活動にフォーカスしているのはうれしいことだ。

  しかし、若干期待に反するのは、同文書がこうしたグループにより実行される実際のオンライン攻撃の可能性に、深く踏み込んでいない点だ。引用すると:「テロリストによるサイバー攻撃の脅威に対し、近年、少なからぬ注目が集まっているが、その話題に関しては現在の刊行物の範囲を超えており、分析の主題とはならない。」

  この領域では、我々は自身でいくらか仕事をしており、今年のRSAカンファレンスで発表した。コピーはここから入手できる。

ドローンの中の幽霊

Washington Postが、アフリカにおける米国のドローン作戦に関する、長文の興味深いシリーズ記事を掲載している。

drone

  これらの記事には、機密扱いを解除された米ドローン事件の報告書からの、以下のような興味深い抜粋がある:

  空軍の整備士たちは、飛行中のロボットがおかしくなった不可解な事件を報告している。2011年3月、キャンプにいたPredatorが、イグニッションがオフにされ、燃料経路が閉じられていたにも関わらず、人間の指示無しにエンジンを始動した。技術者たちは、ソフトウェアのバグがドローンの「頭脳」に感染したと結論づけたが、その問題が正確に特定されることはなかった。トランスクリプトによれば、「この不可解な始動事件の後、我々は航空機にかなり注意を払い、詳細に観察した」と、名前は明らかにされていない空軍飛行中隊司令官が調査委員会に証言している。「現時点でもまだ、私はソフトウェアに問題があると考えている。」

  何も言うことは無い。

「サイバー真珠湾」

米国防長官Leon E. Panettaが、アメリカ合衆国は外国のコンピュータハッカーによる「サイバー真珠湾」攻撃の可能性に直面していると警告している。

  リスクレベルは本当にそれほど高いのだろうか?

  攻撃リスクを推定するためには、敵を理解しなければならない。

  オンライン攻撃の背後には、全く異なる動機を持ち、異なる技術を持つ様々なプレイヤーたちがいる。攻撃から効果的に防御したいのなら、誰が最も自分を攻撃する可能性が高いのか、そして何故なのかを予測できなければならない。

  人びとが良く抱く恐れは、誰かが何らかの方法でインターネットを停止させるかもしれない、というものだ。こうした攻撃の技術的な難しさは置いておくとして、誰がこのようなことをしたいのか、そして何故なのかを少し考えてみよう。スパマーやオンライン犯罪ギャングは間違いなく、インターネットを停止させたいと思わないだろう。彼らが生計を立てるにはネットが必要だからだ。ハクティビストグループ、もしくはAnonymousのような運動も、おそらくはそんなことをしたくないだろう。これらの人びとはオンライン上で生きているのだから。そして外国の国家はおそらく、ネットを諜報活動に利用するなど、インターネットトラフィックを利用したり、偽のトラフィックを加えたりする方が、はるかに利益を得られそうだ。

  似たような思考モデルを、配電、上水道、原子力システムなど、重要なインフラ・セクタにも当てはめることができる。これらの一部は、他よりも標的にされる可能性が高いが、防御は敵を理解することから始めなければならない。将来、現実の危機がサイバーな要素を持つ可能性が高いことは非常に明白だ。

  既知の政府に結びつく軍事的サイバー攻撃を探そうとすると、我々は主として、米国に対してではなく、米国により開始された攻撃を見いだす。これまでのところアンチウイルス企業は、米国とイスラエルが実施した「Olympic Games」作戦に結びつく、5種類のマルウェア攻撃を発見している。New York Timesが、米国政府とオバマ政権をこれらの攻撃に関連づける記事を掲載した時、ホワイトハウスはこの情報をリークしたのが誰か、調査を開始した。彼らが決して、記事を否定しなかった点に注意したい。彼らはリークした人物が知りたかっただけなのだ。

  確かに他国は、米国が軍事的なサイバー攻撃を他国に対して行っているのだから、自分たちが同様のことをするのは勝手だと感じている。残念なことに、このような攻撃で失う物がもっとも多いのは米国である。

--
ミッコ・ヒッポネン

Slapper

  10年前、最大のLinuxワームの一つが爆発的に発生した。Slapperとして知られるこのワームは、OpenSSL脆弱性を介してLinuxマシンを感染させた。感染したLinuxサーバは、DDoS攻撃の開始に用いられるP2Pネットワークへと編成された。

Slapper

  Slapperは最初のLinuxワームではなかったが(少なくともADMwormとRamenがこれ以前に見つかっていた)、当時の最大のケースだった。我々は分析にかなりの時間を費やした。最終的に我々は、これを撃退するため、P2Pネットワークに侵入し、世界のCERTと協力した。

Global Slapper Information Center

  2002年、Linuxは今日ほどポピュラーではなかった。2012年には、大部分のWebサーバがさまざまなLinuxディストリビューションで実行されている。Linuxバージョンは、組込形システムとファクトリーオートメーション・システムで最も一般的なOSだ。そしてもちろん、スマートフォンでも最も一般的なオペレーティングシステムである。

  にもかかわらず、マルウェアは長年の間、Linuxユーザにとってさほどの問題ではなかった。

  しかし結局は、Linux界に大規模にマルウェア問題を持ち込んだのは、LinuxディストリビューションとなったAndroidだったのだ。

バックドア作者をリクルートする政府 #germany

  ほんの二、三年前には、政府がトロイの木馬やバックドアの開発者を公然とリクルートすることなど、考えられなかっただろう。

  しかし、それはまさに今現在起きていることだ。

  以下は最新の例で、ドイツ連邦刑事局(BKA)のWebサイトにある広告だ。

BKA

  彼らは開発者を探している。仕事の詳細をよく見てみよう。

BKA

Ihre Aufgabe: Mitarbeit bei der Softwareentwicklung und -pflege zur Schaffung der technischkriminaltaktischen Voraussetzungen zum verdeckten polizeilichen Zugriff auf entfernte Rechnersysteme

翻訳:
  あなたの業務:リモートコンピューティングシステムへの機密アクセスを提供するための、ソフトウェア開発およびメンテナンスへの関与。


  このことは新しくはない。我々はドイツ政府が以前から、自身の国民に対してトロイの木馬を使用して来たことを知っている。しかし彼らはトロイの木馬を購入していた。今や自身で開発しているようだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード