エフセキュアブログ

by:ミッコ・ヒッポネン

2022年の世界

  Tom Scottが、2022年の世界はどんな風かについて、非常に正確な予測をしている。


YouTube








安全なパーキング

  News from the Labブログの読者Patrick Borsoiがこの夏、イタリアに旅行した。

  サンレモで彼は、以下のパーキングメータを見つけた:

F-Secure blocking malware on a parking meter

  そう、「エフセキュア アンチウイルス」だ。マルウェアをブロックする。パーキングメータ上で。

  いや、どんなマルウェアがブロックされるのか、我々には分からない。おそらく何らかのネットワークワームだろう。


1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

イランからのメール

  この週末、私はイランから一連の電子メールを受けとった。イラン原子力庁(AEOI)に勤務する科学者から送られたものだ。

aeoi

  この科学者は、さらに別のサイバー攻撃を受けているイランの原子力システムに関する情報を知らせるために連絡をくれた。

  彼は次のように書いている;


  我々の原子力プログラムに再び障害が起き、NatanzのオートメーションネットワークとQom近郊のFordoの施設を閉鎖させたエクスプロイトを含む、新たなワームの攻撃を受けていることをお知らせするべく、このメールを書いています。

  我々のサイバー専門家が私のチームに送信したメールによれば、彼らはハッカーツールMetasploitが使用されたと考えているそうです。ハッカーたちは我々のVPNにアクセスしました。オートメーションネットワークとSiemensのハードウェアが攻撃され、停止しました。私は科学者であってコンピュータの専門家ではないので、これらサイバーな問題についてほんのわずかのことしか分かりません。

  ワークステーションのいくつかが、夜中に最大の音量で、ランダムに音楽を鳴らすというできごともありました。AC/DCの「Thunderstruck」だったようです。



  この件について、どう考えるべきか良く分からない。我々には詳細の確認が行えない。しかし、研究者がAEOI内からメールを送受信していたことは確かだ。

ミッコ


APTFC

「APT」は、中国の脅威主体を表すため、米空軍が作成した用語だ。

  APTという語が使用されるもっとも一般的なケースは、標的型攻撃だ。ほとんどが、なりすましメールを介して行われる。またほとんどが、ブービートラップを仕掛けた添付書類を含んでいる。被害者をだまして、その文書が実際役に立つものであると信じさせるため、ほとんどが犠牲者に若干のコンテンツを表示する。

  こうした文書をチェックするのが興味深いのは、これらが非常にしばしば、攻撃者や犠牲者について多くを語ることがあるためだ。

  以下は、APT攻撃で使用された悪意ある文書ファイルの例だ。これらはすべて、サンプル・フィードとスキャナアグリゲーショナーを介して、匿名で受けとったものなので、誰が実際の標的であったのか、我々には分からない。

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

  上記の文書ファイルはすべて、エクスプロイトを含んでおり、閲覧されるとバックドアをドロップする。

  これらのファイルは「エフセキュア アンチウイルス」によりブロックされる。

  以下はこれらのサンプルのSHA1ハッシュだ:
babce866503fbe880cdcf38f39b890ac612e6722
0b13c003b80cff5090d98dad229ba1659be3b361
486b01914ff0ce3b7274dcf5023972b1d8341ce1
040073498337e7212068c2a8e95b2f43415d0e04
ce2637890e1be18e4cbcf833626c0c0a29f79364
e812d3f464b7ded8b5580ea2e55497046882b684

サイバー軍備

  過去25年間、我々の情報に関する考え方が大きく変貌を遂げるのを見てきた。

  1980年代には、情報はまだ、ほとんどがアナログだった。紙に、バインダーに、棚に、そして金庫に保存された。

  今日ではもちろん、ほとんど全ての情報がデジタルだ。情報はコンピュータで作成され、保存され、コンピュータネットワークを介して送信される。

  セキュリティの観点から見ると、これは現在、世界中のどこからでも機密情報に到達できる可能性があるということを意味している。もはや物理的に、情報のある場所にいる必要が無いのだ。

  このことは、諜報活動もまた、デジタルになったことを意味している。そして我々はバックドアやトロイの木馬によって行われた、国家の諜報活動をいくつか目にしているが、マルウェアを使用してサイバー破壊活動を行っている国家レベルの事例で確認されいるのは一つしかない。それはStuxnetの事例だ。

  この業界に身を置いている間に、私はこれまで数々の謎を見てきたが、Stuxnetの事例ほど興味深いものはほとんど無かった。

  F-Secure Labsでは、Stuxnetを開発するには10マンイヤー以上の時間が必要であると概算している。DuquやFlameのような関連の攻撃は、さらに時間が掛かっているかもしれない。

  Stuxnetには2012年6月24日という「停止日」が設定されていたが、これは同ワームが現在では拡散を停止していることを意味している。しかしそのことに大した重要性は無い。オペレーションは既に長い間アクティブであり、2010年までにはほとんどの標的に到達しているからだ。

  Stuxnetは、こうした新種の攻撃的な攻撃の背景にある考えの好例だ。すなわち、もし外国の秘密の原子力プログラムを混乱させたい場合、何ができるか、ということだ。

  さて、あなたには二、三の選択肢がある。国際的な圧力やボイコットを試みることができる。しかしそれが上手くいかなかったら、次は何をするだろうか? 従来型の軍事攻撃を試みたり、彼らの施設を爆撃することができるだろう。しかし、攻撃者が誰かが特定されることが問題だ。そして、既知の施設しか攻撃できないという事実も。

  Stuxnetのようなデジタル攻撃の使用にはいくつかの利点がある。特に、否認権があることが大きい。

  Stuxnetは明らかに形勢を一変させるものだ。しかし、長い目で見るとそれは何を意味するのだろう? 我々は今、新たな軍備拡張競争の一番最初のステップを目撃しているのだと思う。すなわちサイバー軍拡競争だ。

  現代のハイテク調査が過去50年間にわたって軍事行動に革命的変化をもたらしたように、我々は情報オペレーションとサイバー戦争に関し、新たな革命を目撃しつつある。この大変革は進行中であり、今この瞬間に起きていることだ。

  もちろん我々はまだ、本当のオンライン戦争を目撃してはいない。これは我々が最近、ありがたいことに技術的先進国間の戦争に遭遇していないためだ。しかし将来のあらゆる危機には、サイバー要素も含まれる可能性がある。

  サイバー戦争は必ずしもインターネットと関係があるわけではない、ということを理解するのは重要だ。最も重要なネットワークは、公衆網には接続していないため、より破壊的なサイバー攻撃の多くは、遠隔的に開始することはできない。

  到達不能と考えられたシステムに到達することができるよう、光ファイバー・ケーブルを掘り起こすため、同行するギークたちとともに適地に侵入する特殊部隊ユニットについて考えてみれば良い。

  あらゆる軍備拡張戦争の主要なポイントは、敵が戦いを開始することを考えることさえしないよう、敵に自分たちの能力について知らせることだ。我々はこの段階ではサイバー軍拡競争中ではない。この領域での開発はほとんどすべて、公表されておらず、機密扱いなのだ。

  しかし最終的には、他の防衛技術と同程度、公のものになるだろう。もしかしたら我々はいつか、国が自分たちの攻撃能力を誇示する公のサイバー軍事演習を目撃するかもしれない。いつかサイバー軍縮プログラムを目の当たりにするかもしれない。

  軍事力マルウェアに対する防御は、コンピュータセキュリティ業界にとって真の難題だ。

  さらに、セキュリティ業界はグローバルではない。少数の国にしか集中していないのだ。その他の地域は、自分たちの日常的なデジタルセキュリティを得るのに、外国のセキュリティラボに依存している。たとえば、ヨーロッパには、約10のウイルスラボしか存在せず、大多数の国は自国にラボが無い。

  インターネット上では、国境には大した問題ではない。しかし危機が起きれば、状況は変わるのだ。

ミッコ・ヒッポネン
このコラムは当初BBCに掲載された。


開いたことを後悔するであろうパンドラの箱

  誰かが5年前、2012年までに国家が互いにサイバー攻撃を仕掛け合うようになるだろうと言ったら、私は信じなかっただろう。西側政府が他の政府の核開発計画を攻撃するため、サイバー破壊活動を使用するだろうと言ったら、ハリウッド映画のプロットだと思っただろう。しかしそれはまさに、実際に起こっていることだ。

  サイバー攻撃には、伝統的諜報活動や破壊工作に勝るいくつかの利点がある。サイバー攻撃は効果的で安価、そして否認可能だ。だから政府が好むのだ。実際、Stuxnetの背後には米国政府が(イスラエル人と共に)いたと、オバマ政権関係者が認めなければ、我々はおそらく、はっきりと知ることは無かっただろう。

  その意味で、米国政府がStuxnetに関する功績を(そして非難を)引き受けたことは、若干驚きだ。何故かれらはそうしたのか? もっとも明白な答えは、選挙年であること、そして有権者がイランのような敵対者に、大統領が厳しい態度を取るのを見るのが好きだということのようだ。しかし、実際の所は分からない。

  サイバー攻撃を認めることの否定的な側面は、他の政府がためらい無く、同様の攻撃を行えるということだ。そしてアメリカ合衆国はこのような攻撃を受ければ、ほぼ壊滅する。自国の経済をこれほどオンライン世界に結びつけている国は、他に無いのだ。

  他の政府は既に活動を始めている。ゲームは進行中であり、それを停止させるために我々にできることは、もはや無いと私は思う。国際的諜報活動は、いまやデジタルになった。将来起きる現実世界の危機はいずれも、サイバーな要素に影響を受けるだろう。将来の戦争も、だ。サイバー戦争のレースは、いまや公式に開始された。そして誰一人として、今後どうなるか分からない。

  Stuxnetを開始したことで、米国の当局筋はパンドラの箱を開けてしまった。彼らがその決断を後悔することになる可能性は高い。

ミッコ・ヒッポネン

  このコラムは、当初The New York Timesの「Room for Debate」セクションに掲載された。Ralph LangnerとJames Lewisによる他の見解も読んで頂きたい。

Microsoft Updateと最悪のシナリオ

  およそ9億台のWindowsコンピュータが、Microsoft Updateからアップデートを得ている。DNSルートサーバに加え、このアップデートシステムは常に、ネットの弱点の一つと考えられている。アンチウイルスの関係者は、このアップデートメカニズムをスプーフィングし、それを通じて複製するマルウェアの亜種という悪夢にうなされている。

  そして現在、それが現実となったようだ。それも単なるマルウェアによってではなく、Flameによって。

  詳細なメカニズムはまだ完全には分析されていないが、Flameには、Microsoft UpdateもしくはWindows Server Update Services(WSUS)システムに対する中間者攻撃を行おうとするように見えるモジュールがある。成功すれば、この攻撃により標的となったコンピュータに「WUSETUPV.EXE」というファイルがドロップされる。

  このファイルは、Microsoftルートに紐づいた証明書を持ち、Microsoftによって署名されている。

  ただし、本当にMicrosoftが署名しているわけではない。

  攻撃者は、Microsoftが企業顧客のため、Terminal Serviceのアクティベーションライセンスを作成するのに使用しているメカニズムを、不正使用する方法を見つけ出したことがわかる。驚くべきことに、これらのキーはバイナリに署名するのにも利用することができた。

  以下は「WUSETUPV.EXE」に署名するのに使用された証明書のCertification Pathの様子だ:

Flame

  この機能の動作に関する詳細については、現在も分析を行っている。いずれにせよ、それは、大規模な攻撃で使用されてはいない。おそらく、この機能は組織内でさらに広がるために使用されたか、特定のシステムで最初にドロップするのに使用されたのだろう。

  Microsoftは、この攻撃で使用された3つの証明書を取り消す、緊急のセキュリティ修正を発表した

  同修正は(ご推察通り)「Microsoft Update」を介して入手できる。

  以下は、このアップデートが行うことをアニメーションで示したスクリーンショットだ:「Microsoft Root Authority」が発行した2つの証明書と「Microsoft Root Certificate Authority」が発行した1つの証明書を、信頼できない証明書のリストに追加する。

Flame

  Microsoftのコードサイニング証明書を持つことは、マルウェア作者が渇望するものだ。今やそれが起きてしまった。

  良いニュースは、これが経済的な利益に興味を抱くサイバー犯罪者によってなされたことではない、ということだと思う。彼らは、何百万ものコンピュータを感染させることができただろう。しかしこのテクニックは、おそらくは西側の諜報機関が開始した、標的型攻撃で用いられた。

Flameのケース

  Flame(別名FlamerもしくはSkywiper)は、情報収集および諜報活動のために使用される、大規模かつ複雑なマルウェアだ。

  同マルウェアは、西側の諜報機関もしくは軍により作成された可能性がある。イラン、レバノン、シリア、スーダンなどでコンピュータを感染させている。

Flame

  中国により実行されるオンライン諜報活動の方法と、西側から行われる方法には違いがあるようだ。中国の関係者たちは、ブービートラップをしかけたドキュメントを添付した、なりすましメールを介して標的を攻撃するのを好む。西側関係者は電子メールを避け、その代わり、USBスティックかアクセスを得るために的を絞った侵入を使用する。

Flame

  Flameの最悪な部分? それは長期にわたって広まっていたことだ。

  Stuxnet、DuquおよびFlameはすべて、我々(アンチウイルス業界)が機能していない事例だ。これらのケースはすべて、長期間、検出されずに広まっていた。

  詳細情報は以下にある:

  •  Budapest University of Technology and Economics's Laboratory of Cryptography and System Security (CrySyS)
  •  Securelist (Kaspersky)
  •  Iran National CERT (MAHER)








シリアで標的型攻撃

  シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。

  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

サイバー犯罪に関する映画を制作

  映画製作者のCharles & Walker Koppelmanが、サイバー犯罪に関する新しい映画プロジェクトに取り組んでいる。我々はCharlesに会ったが、非常に興味深いプロジェクトだ。

  同プロジェクトはまだ進行中で、現在、彼らはクラウドソーシングを介してさらなる資金を求めている。Kickstarterでプロジェクトの現在のステータスをチェックして欲しい。気に入ったら、映画に出資することができる。

Kickstarter - Koppelman


警察のランサム型トロイの木馬に関する混乱したニュース

  コンピュータセキュリティは分かりにくい。簡単に書けるトピックではない。マスメディアはしばしば、詳細を誤解することがある。

  しかし、警察をテーマとしたランサムウェアほど混乱したニュース記事はめったにみたことがない。

  では、警察をテーマとしたランサムウェアとは何なのか? それはオンライン犯罪者が拡散する、悪意あるトロイの木馬だ。

  何をするのか? それらは人々のPCをチェックして、システム上に違法なコンテンツがあるため、警察によりロックされたとつげ、PCを使えるようにするために支払いを要求する。

  我々は以前、このような警察をテーマとしたランサムウェアについて書いたことがある。詳細については、この記事をご覧頂きたい。

  明らかに、警察を装うこうしたトロイの木馬は、ドイツ連邦警察局とも、ニュー・スコットランドヤードとも、米司法省とも無関係で、こうしたブランドを盗んでいるに過ぎない。

  しかし今日、我々はANIという通信社が、このトピックに関する混乱した記事を出したのを見かけた。

  この記事は、「詐欺はスコットランドヤードのサイバー犯罪専門の警官たち、Police Central e-Crime Unitによるものと考えられ」「スコットランドヤードは、警察がウイルスの背後で小児性愛者もしくはテロ活動を検出した」と述べている。

aninews

  この記事はThe Telegraphに先に掲載された記事を引用しているが、こちらは詳細を正確に捉えている。

  ANIは通信社なので、この記事は既にWebのあちこちに再掲載されている。

aninews

  いや、これら警察を装うトロイの木馬は、警察によるものではない。我々を信用して欲しい。


Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

再び「Poika」を連れて街を練り歩く

  1年前、我々はAV-Comparatives Product of the Yearアワードを受賞した。そして、同賞がいつのまにか、ヘルシンキのあちこちを回っている「「Poika」を連れて街を練り歩く」という記事を掲載した。

  さて、我々は今日、「エフセキュア クライアント セキュリティ」で「AV-TEST Best Protection Award」のトロフィーを受けた。

  そして再び街に出る時が来た。

Cathedral
ヘルシンキ大聖堂前の「AV-TEST Poika」

HQ
エフセキュア本社と「Poika」

Snow
雪に埋もれる「Poika」

Valtioneuvoston Linna
Valtioneuvoston Linnaを背にした「Poika」

Sea
海辺にたたずむ「Poika」

  「Poika」は、優勝トロフィーを意味するフィンランド語のホッケー用語だ。以下のビデオが詳しく説明してくれるだろう。



ビデオ:DarkMarket

  Misha Glennyが先頃、放送ジャーナリストCharlie Roseのインタビューを受けた。インタビューの大半はMishaの新しい書籍「DarkMarket: Cyberthieves, Cybercops and You」に関するものだ。

  同インタビューは20分の長さで、現在インターネットが抱える脅威に関する、素晴らしい要約となっている。

Misha Glenny, DarkMarket
クリックして視聴

マン・イン・ザ・ブラウザ攻撃を説明する方法

  BBC Newsの番組「Click」が、2分間のビデオで、ZeuSなどのバンキング系トロイの木馬が、どのようにアンチウイルスソフトウェアによる検出を回避しようとするかについて、素人向けに非常に上手く説明している:

zeus animation
クリックして見る

本格的

  以下は米国のテレビドラマ「ボーンズ」のクリップだ。

  最近のエピソードでは、コンピュータウイルスがコンピュータをクラッシュさせる。そしてそれを発火させる。ウィルスはフラクタルを介して侵入した。銃撃を受けた被害者の骨に埋め込まれていた。

  本格的だ。



Bones S7E6 TV series Fractal Computer virus








Suo Anteeksi:ZeuSの丁重な亜種

  フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko








「Anonymous」、寄付および慈善団体について

  「Anonymous」のメンバーがクリスマス中、stratfor.comに侵入したと発表した。

  STRATFORは、目的を予測するためのオープンソース・インテリジェンスを収集する組織だ。彼らはstratfor.comを通じて出版物を販売している。我々が知る限りでは、「Anonymous」はstratfor.comに保存されている加入者名簿にアクセスし、そのリストには暗号化されていないクレジットカード・データが含まれている。

  「Anonymous」は現在、STRATFORのレポートを購読する人々のクレジットカード情報に関する2つのリストを公開している。最初のリストには3956枚のカード情報が、2番目のリストには13191枚のカード情報が含まれている。これらのカード情報は、世界中の購読者のものだ。

stratfor

  クレジットカードがリークした後、「Anonymous」のさまざまなメンバーが、これらクレジットカードが、各種慈善団体にかなり大きな寄付をするのに使用されているスクリーンショットを公開した。これら慈善団体は、赤十字、CARE、セーブ・ザ・チルドレンおよびAfrican Child Foundationなどだ。

stratfor

stratfor

  一見すると、このような行動は多少、富める者から盗み、貧しい者に与えるという、ロビン・フッドの行動に似ている。

  しかし残念なことに、この場合、貧しい者には一銭も渡らない。

  これらの寄付は、困っている人々には決して届かない。実際、これらの行動は慈善団体を援助するのではなく、損害を与えることにしかならない。

  クレジットカードの所有者が、自分達のカードに対する不正な請求を見れば、彼らはそれを銀行やクレジットカード会社に報告する。クレジットカード会社は慈善団体への支払いを取り消すが、その金額は払い戻されなければならない。場合によっては、慈善団体はペナルティが課される可能性がある。少なくとも、彼らは支払い取り消しの処理のため、時間と金を失うことになる。

  メリー・クリスマス。


有害とみなされるJava

  WebブラウザにJavaは必要ですか? まじめな話、あなたは必要だろうか? もし不要なら、それを削除すべきだ。

  ほとんどのユーザはもうJavaを必要としていないが、それでも動作させ続けているようだ。

  JavaとJavaScriptと混同してはいけない。JavaScript無しでWebを使用するのは難しい。しかしJavaScriptはJavaとは無関係だ。

  先頃、JavaのリスクがJava Rhino脆弱性(別名CVE-2011-3544)により見事に示された。もしJavaを動作させており、しかも最新版でないなら攻撃を受けやすい。よってその場合は、Javaの最新版を使用しているか常にチェックするか、すべて削除するかのどちらかだ。

  そしてJava Rhino脆弱性は理論上のものではない。ごくありふれたエクスプロイトキットが、そのデフォルトエクスプロイトにこの脆弱性を組み込んでおり、オンライン犯罪者のため、非常によく機能しているようだ。

  以下はBlackholeエクスプロイトキットのコントロールパネルのスクリーンショットだ。この画像から、「CVE-2011-3544」脆弱性により16,144台のコンピュータが乗っ取られているのが分かる。

Blackhole exploit kit

  よって、可能ならばJavaを捨てること。Larry Seltzerがそうしようとして気づいたように、考えているほど辛いことではないかもしれない。

  あなたは特定のWebアプリケーションのため、Javaを必要としているだろうか? オンライン銀行、あるいはイントラネットアプリなどで? システム上にJavaを残して、日頃使っているブラウザからJavaプラグインを削除することだ。次にそのサービス1つのみに利用する、他のブラウザを使えば良い。

  Chromeはサンドボックス、あるいはリスキーなアドオンおよびエクステンションの保護で上手くやっていることにも注意したい。多くのJavaエクスプロイトは、Chromeに対して作用しない。またChromeはPDFファイルを読むのにAdobe Readerプラグインを使用しない。Chromeは急速に、地上で最も一般的なブラウザになりつつあるため、これは良いニュースだ。

Wikipedia

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード