エフセキュアブログ

by:ミッコ・ヒッポネン

「F-Secure HTK4S」は偽物

  我々は以前、このような物に遭遇したが、今日、新たなメールが出回った。

  どこかのおどけ者が、我々のフリをしようとしている。以下のようなメールを見かけたら、無視して欲しい:

     From: securitysupport@hotxf.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     To: undisclosed-recipients:;
     
     Dear Email Subscriber,
     
     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2011-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.
     
     E-mail Address:
     Password:
     Phone Number:
     
     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.
     
     Management.
     
     Copyright 2011. All Rights Reserved.



  同様の向こう見ずな試みを、我々は複数の言語(機械翻訳されたもの)で確認している。例えば:


     From: Tampere University of Technology
     Reply-To: webmailantivirus@gmail.com
     Subject: Hyv? tilin k?ytt?j?
     To: undisclosed-recipients:;
     
     Hyv? tilin k?ytt?j?, HTK4S virus on havaittu webmailiin
     tilin kansiot, ja sinun webmail-tili on p?ivitetty uuden
     F-Secure HTK4S anti-virus/anti-Spam versio 2011 aiheutuvien
     vahinkojen v?ltt?miseksi meid?n webmail ja t?rkeit? tiedostoja.
     T?yt? sarakkeet alla ja l?hett?? takaisin tai s?hk?postisi
     keskeytet??n tilap?isesti palveluistamme.
     
      K?ytt?j?tunnus :........ Salasana :......... SYNTYM?AIKA: ......
     
     Jos n?in ei tehd? 24 tunnin sis?ll? heti tehd? s?hk?postisi
     k?yt?st? meid?n database.
     Thank k?ytit Jyv?skyl?n yliopisto webmail.
     
     Tampereen teknillinen yliopisto Copyright c 2009-2011
     
     (c) Verkot Kaikki oikeudet pid?tet??n


  これらのメールは無視して忘れることだ。

Mac OS Xマルウェアが本格化

  1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。

  その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。

  新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。

  時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。

  先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたGoogle Image Searchリンクを介してばらまかれたトロイの木馬だ。

  こうしたトロイの木馬は、ユーザを騙し、自分のMacが、実際はクリーンなのだが、感染していると思わせる。問題があると信じさせれば、そのユーザは「MacDefender」「MacSecurity」「MacProtector」「MacGuard」という偽のセキュリティ製品をダウンロードし、購入することになる。

  このトリックは実際、かなり説得力がある。ユーザはWebページのようにはまったく見えないWebページにリダイレクトされる。それはMacのFinderのように見えるのだ:

Mac OS X fake
  不格好だが、これはFinderっぽく見えるようにデザインされたWebページだ。

  以下にGoogle Imageサーチが、どのようにユーザをおどかそうとするページに導くかを示す、短い動画がある。



  ユーザは依然として、提供されている偽のセキュリティ製品をインストールしなければならない。同マルウェアの最新バージョンは、ルートパスワードのプロンプトを出すことなく、このトロイの木馬をインストールできる独立したダウンローダを使用している:

Mac Guard installer

Mac Guard installer

  以下は、この不正なアプリケーションがインストールされる際の様子だ:

Mac Security

  ユーザが不正な製品をインストールすると、このアプリケーションは更に、何かに感染しているとユーザに信じさせようとする。これはランダムに開くポルノサイトにより行われる。

Mac Porn

  頑固なユーザでも、自分のシステム上でランダムなポルノサイトが2、3分ごとに次々とポップアップすれば、問題が生じたと思うだろう。

  これらが偽のセキュリティ製品であると気づくことが重要だ。これらはどんな形であれ、システムを保護しはしない。単に理由もなく、ユーザをだまして購入させようとするだけだ。

  これはよくある詐欺であり、実際の感染に関する多くの報告がある。

  Macユーザはどのようにして身を守ればよいのだろう?

  これまで、エフセキュアのMac製品は、我々のオペレータパートナーを通じてのみ利用可能だった。

  しかし本日、我々は「F-Secure Anti-Virus for Mac」のコンシューマバージョンをリリースした。

F-Secure Anti-Virus for Mac

  一定の期間、無料で試用することができる! ライセンスキー「AVMAGL」を使用して欲しい。製品の詳細はここにある。

  「エフセキュア アンチウイルス」は、Mac Trojanを「Rogue:OSX/FakeMacDef」および「Trojan-Downloader: OSX/FakeMacDef」の亜種としてブロックする。

Webアドレスは慎重に見るべし

  何とばかばかしいフィッシングサイトだろう。

  このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。

  もちろん、違うのだが。

Craigslist phishing

  これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。

  こんなものに誰も引っかかりはしない。

  一部のケースを除いては。

  ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。

  iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみよう。

craigslist scam iphone

craigslist scam android

craigslist scam nokia e72

  こうなると、もはやそれほどあからさまではない。(そしてiPhoneでは特に、うまくフォーマットされている…)

  ご覧の通り、スマートフォンの小さなスクリーンでは、フィッシングはより容易になる。

  このことを、大部分のスマートフォンが、フィッシングメールフィルタや詐欺サイトのWebブロッキングを有していないという事実と合わせて考えた時、唯一の結論に到達する:「フィッシングはPCよりも携帯電話の方が上手く行く。」

  エフセキュアのモバイルセキュリティ製品が悪しきサイトをブロックするのは、こうした理由による。

  エフセキュア製品が動作する電話で同じサイトにアクセスしようとすると、どのように見えるかは以下の通りだ。

F-Secure Mobile Security in action

  我々は同フィッシングサイトを報告したので、すぐに削除されるだろう。



スパムで恩恵を受ける銀行

  2、3年前、スパムのリサーチ中に、我々はスパムメールから一連のテスト購入を行った。

  錠剤やソフトウェア、タバコなどを購入した。少々驚いたことに、ほとんど全ての注文が承認され、実際に商品が届いた。確かに、我々が受け取ったWindows CDは粗悪なコピーだったし、ロレックスは明らかに偽物だったのだが、少なくとも彼らは「何かしら」を送って来たのだ。

  テストのために作ったクレジットカードアカウントを、我々は注意深く観察していたが、それらが詐欺的に利用される事はついぞなかった。

  このテストで最も驚いたのは、商品の購入に使用した電子メールアドレスに対して、スパムが増えなかったということだ。

  我々の調査結果は、カリフォルニア大学のリサーチャーたち(そうそうたる著者が名を連ねている)が発表した、最新の素晴らしい研究により補強された。

  このリサーチャーたちは、スパムからのテスト購入だけでなく、電子メールを送信するのに使用されたボットネット、スパムサイトをホスティングするシステム、金を動かした銀行を追跡した。

spam banks

  最も興味深いことの一つは、「世界のほとんど全てのスパムセールスが、たった3つの銀行により扱われている」ということだ。

  銀行? それらは以下の通り:
  • DnB NOR(ノルウェーの銀行)
  • St. Kitts-Nevis-Anguilla National Bank(カリブの銀行)
  • Azerigazbank(アゼルバイジャンの銀行)


  スパムは実際のところ、金を動かす銀行やクレジットカード会社にとって、非常に利潤の高いものであるということを肝に銘じておく必要があるだろう。このことは、こうした企業がこの件について実際に何かする可能性の高さに、影響を与えるかもしれないのだ。

  カリフォルニア大学による調査結果はここからダウンロードできる。

PS. 我々は実際には、注文したロレックスを受け取らなかった。違法コピー商品として地元の税関で差し止められ、没収されたためだ。彼らは最終的にそれを破壊した。ハンマーで。

Sonyサーバ上で見つかったフィッシングサイト

  既にダウンしている相手に追い打ちをかけるのは好ましいことではないが… 我々は、Sonyのサーバの一つで動作中のフィッシングサイトを見つけてしまった。

  しかし、このできごとはSony PSNハックとは無関係だ。

  以下はSony Thailandの公式ホームページだ:

sony.co.th

  そして以下が、「hdworld.sony.co.th」で稼働しているフィッシングサイトで、イタリアのクレジットカード会社を標的としている。

sony.co.th

  つまりこれは、Sonyが再びハッキングされたことを意味している。このケースでは、サーバはおそらくあまり重要ではないだろうが。

  Sonyには通知済みだ。エフセキュアのカスタマは、この悪意あるURLからブロックされる。


Twitterで取引するオンライン犯罪者

  まさか誰も、盗まれたクレジットカードをTwitterで売ったりしないだろう?

  彼らを除いては。

  たとえば、「SshoaibAhmed」氏をチェックして欲しい。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  リンクをクリックすると…

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  実際この人物は、おそらくは感染したホームコンピュータから、キーロガーで集められたらしいクレジットカード情報を販売しているようだ。

  盗難クレジットカードの価格は、盗まれた国によって2ドルから20ドルまでの幅がある:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  「vis」は「VISA」、「mas」は「MasterCard」、「dis」は「Discovery」、「amex」は「American Express」カードを表している。

  あるいは、盗難クレジットカードを自分で使いたくないなら、こうしたカードを使用してiPhoneやiPad、ラップトップを買わせ、あなたのもとに送ってもらうこともできる。この窃盗犯は実際には、オンラインストアにログインし、iPadをギフトとして購入後、あなたの住所を配送先として指定し、盗難クレジットカードで品代を払うことになる。このようにして購入するiPadの代金は150ドルだ。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  しかし、キーロガーはクレジットカード以上のものを収集する。オンラインサービスにログインした時のパスワードも記録するのだ。

  だからこのベンダは、他者のオンライン銀行口座へのアクセスも販売している。残高28,000ドルの口座は1000ドルで販売されている:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  自分が本当に商品を持っていることを証明するため、このベンダは最終的に「デモ」情報を掲載している。それは基本的に、数人の被害者の氏名、住所、クレジットカード番号、パスワード(ここでかなり編集されている)などを含んだものだ:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  上記のアカウントは、関係当局に報告されている。

プロのオンライン犯罪者

  我々が遭遇する最も一般的なBanking Trojanの一つは、「ZeuS(ZBot)」および「SpyEye」だ。これらは普通のボットではない。営利目的で開発されたクライムウェアだ。「ZeuS」と「SpyEye」を開発し、販売しているグループは、自身ではこれらを利用していないというところがミソだ。

zeus for sale

  「ZeuS」あるいは「SpyEye」を購入したカスタマは、実際に銀行を攻撃する立場であり、そうすることで、逮捕されるリスクがより高くなる。

  これは、どのようにして銀行の金庫室に侵入するかのインストラクションを、実行のツール完備で販売はするが、実際に自分たちで銀行強盗はしない連中の同類だ。

  では、これらのツールはどの程度プロフェッショナルなのだろうか? 最近リークされた「ZeuS 2.0.8.9」のマニュアルを見てみよう。

zeus manual

  この犯罪的なBanking Trojanは、我々が目にするほとんどのソフトウェアよりも、優れた文書を持っていることが分かる。

プラウダがハッキング

  ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」)がハッキングされた。

pravda

  サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介してユーザを感染させようとするエクスプロイトスクリプトをこっそりロードする。成功すれば、訪問者のコンピュータは、部外者がそのマシンにアクセスし、使用することを可能にするボットにヒットされる。

  このような攻撃は非常に悪質だ。エンドユーザは長年の間、毎日同じニュースサイトに行き、それを信頼するようになる。そしてある日、そのサイトは危険なものになり、お気に入りのページを開いただけで、コンピュータを乗っ取られてしまう。

  5年前は、このような大手サイトに侵入した場合、その連中はきまってコンテンツをすべて削除し、フロントページに馬鹿げた画像を表示させた。このごろでは、サイトに目に見えない修正をほどこし、可能な限り気づかれないようにして、何千もの訪問者のコンピュータにアクセスしようとする。

  我々は同サイトがすぐにクリーンになるものと考えている。

pravda


問題のある証明書

  最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。

  SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。

  しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく対応していない。VerisignやGoDaddy、Comodoといった主要な認証企業に加え、基本的により大規模な企業のための再販業者である地域的なCAさえ何百も、何千も存在する。

  Comodoは先頃、ハッカーがイタリアの再販業者の一社のパスワードとユーザ名を獲得することで、システムに侵入することができたと発表した。そのハッカーはその後、イランの出身であると公に主張しているが、その会社を通じて9つの不正な証明書を交付した。証明書はgoogle.com、yahoo.com、skype.comといったポピュラーなドメイン用に発行された。

  第一に、イタリアの小さな再販業者が、google.comの証明書を交付することができる、というのは驚くべきことだ。あなたは、どこかでサニティーチェックが妨害されたのだろうと考えるかもしれないが、そうではない。

  このような証明書によって何ができるだろうか? あなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてのルート変更が行える。たとえば、Skypeユーザを偽のhttps://login.skype.com アドレスに導き、SSL暗号化が存在するように見えるかどうかに関わらず、彼らのユーザ名やパスワードを収集することができる。あるいは、彼らがYahooやGmail、Hotmailにアクセスすれば、その電子メールを読むことができる。プロであってもほとんどが、これに気づくことはないだろう。

  2010年8月、コードサイニング証明書によって署名されたマルウェアサンプルを発見したため、エフセキュアのシニアリサーチャであるJarno Niemelaが、Comodoを巻き込んだID窃盗のケースについて調査を開始した。彼は証明書に記載された企業を追跡し、小規模なコンサルティング会社を見つけた。

  Niemelaはその会社に連絡し、彼らが自分達のコードサイニング証明書が盗まれたことに気づいているかどうか訊ねた。彼らの反応は、コードサイニング証明書は持っていない、というものだった。実際、彼らはソフトウェアの制作さえしておらず、したがってサインすべきものが何もなかった。明らかに誰かが、彼らの名前でその証明書を獲得したわけだ。彼らは企業ID窃盗の被害者だったのだ。

  被害者とComodoの協力を得て、Niemelaはこの証明書が実在する従業員の名前でリクエストされ、Comodoは申込者の身元をチェックするため、電子メールと電話による確認を行ったことを確認した。残念なことに、この詐欺師はその従業員の電子メールにアクセスすることができ、Comodoの電話による確認は、間違った相手にかかってしまったか、誤解が原因で失敗してしまった。

  実際、件の従業員は別のCA会社であるThawteからも電話を受けている。Thawteが彼女に、会社の名義でコードサイニング証明書をリクエストしたかどうか訊ねた際、彼女は「ノー」と返事をした。そこでThawteは、認証プロセスを打ち切った。

  このケースは、入口を見つけるまで、マルウェアの作者が複数のCAを試すということを示している。

  詐欺師が企業のメールにアクセスできる場合、その企業からのリクエストが本物かどうか、CAが確認するのは非常に難しい。評判が良く、やましいところの無い企業が、有効な証明書を手に入れるためのプロキシとしてマルウェア作者に利用されるというケースは、今後増えそうだ。

  認証機関は既に、認証を獲得しようとする疑わしい試みや、その他のシステムの悪用に関する情報を報せる手段を有している。しかし、これらのシステムは人間によって運営されているため、間違いも起こりやすい。我々は、現行のシステムでは、証明書は完全に信頼できるものではないという事実を、受け入れなければならない。

  このトピックについて、最新のYouTubeビデオで取り上げている。

そう、「Fotos_Osama_Bin_Laden.exe」はマルウェアだ

  我々はオサマ・ビンラディンの死に便乗しようとする、初のマルウェアサンプルを入手したところだ。

  「Fotos_Osama_Bin_Laden.zip」というファイルが、電子メールを介して送信されている。このアーカイブは「Fotos_Osama_Bin_Laden.exe (md5: d57a1ef18383a8684c525cf415588490)」というファイルを含んでいる。

Fotos_Osama_Bin_Laden.exe / Osama bin Laden

  もちろん、このファイルが亡くなったビンラディンの写真を表示することは無い。そのかわりに、「Banload」ファミリーに属するバンキングTrojanを実行する。これは自身を(「msapps\msinfo\42636.exe」として)システムにインストールし、ユーザのオンラインバンキング・セッションを(BHOを介して)モニタし、ユーザの支払いを不正なアカウントにリダイレクトしようとする。

  我々はこれを「Trojan-Downloader:W32/Banload.BKHJ」として検出している。

  一般的なアドバイスとして:みなさんが、ビンラディンの死に関する写真やビデオをオンラインで見つける見込みはなさそうだ。しかし、それらを検索しようとすれば、確実にマルウェアサイトに導かれるだろう。ご用心を。








SonyのPCゲームネットワークもハッキング

  我々のSonyハックに関する質疑応答を更新し、PSNおよびSEOハックの双方をカバーした。

Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

企業マルウェア開発

  Washington Timesが、政府使用のためのバックドアおよびトロイの木馬を開発する企業に関する、長文の記事を掲載している。

  この記事は、Gamma Technologies、Elaman GmbHおよびエジプト政府間の関係についてのニュースを我々が伝えた後に開始された。

Elaman / Gamma Technologies
Photo by F-Secure GmbH

  バックドアやエクスプロイト、トロイの木馬を開発する大企業が存在するとは、不安どころではない。

Elaman / Gamma Technologies
Elaman HQ Photo F-Secure GmbH

  もちろん、それらのほとんどは「合法的なインターセプト」のために設計されている。

  合法的なインターセプトは、絶えず存在した。もともとはオペレータによる通話の選別を意味し、そのうち、携帯電話の通話やテキストメッセージに拡大。そして次に、電子メールとWebサーフィン情報の選別に拡大した。しかし、疑わしい人物がSSLを使用したサイト(たとえばGmail)にアクセスするなら、オペレータはそれを選別することはできない。そのため、標的のコンピュータを感染させるマルウェアやバックドアを使用する必要が生じた。一度感染させれば、そのマシン上で行われるすべてをモニタすることができる。

Finfisher offer

  理論的には、合法的なインターセプトには何ら問題は無い。それが警察によって行われるなら。民主主義国家で行われるなら。裁判所命令があるなら。そして容疑者が実際に有罪である場合なら。

  Eli Lakeの記事で挙げられている企業には、HBGary FederalとEndgame Systemsも含まれている。

イランに対するサイバー攻撃の第2ラウンドが進行中?

  今日、イランの指導者たちが、Stuxnet後、新たなサイバー攻撃と戦っていると発表した。

Mardomakの報道(ペルシア語)
Mehrの報道(英語)
AFPの報道(英語)

  コードネームを「Stars」という、新たな未知のマルウェアについて言及されている。

  我々は現時点で、同攻撃に関する詳しい情報を入手していない。

  このケースを、我々が既に有しているかもしれない特定のサンプルに結びつけることはできない。

  これが米国政府により開始された新たなサイバー攻撃なのかどうかは分からない。

  イラン当局がありきたりのWindowsワームを発見し、それをサイバー戦争攻撃であると発表したのかどうかも分からない。

  うまくいけば、間もなく詳細が分かるだろう。

Stuxnet cartoon
Cartoon (c) Bob Englehart, licensed from Daryl Cagle's Professional Cartoonists Index

iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している

フォレンジックリサーチャのAlex Levinsonが、iPhoneの所在地をマッピングする方法を発見した。情報はiPhoneにあるロケーションキャッシュファイルから得られる(Library/Caches/locationd/consolidated.db)。

  実際には、同ファイルはユーザのトラベルヒストリを含む。

Apple iPhone location

  このファイルには、iPhone上のサードパーティのアプリによってアクセスできないことは注意すべきだ。そのためには、ルート権限が必要だからだ。しかし、同ファイルは標準的なiPhone同期の間、PCやMacにコピーすることができ、そこから利用できる。

  昨日、セキュリティリサーチャのPete WardenとAlasdair Allanが、このようなファイルを取得し、地図上にユーザの動きを示すことができるアプリケーションをリリースした。

UFED Physical Pro iPhone forensic examination  今やこれは、プライバシーの観点から見ると嫌な感じがする。たとえば当局が、ユーザがどこにいたかを知るために、電話のフォレンジック調査を行うべく、裁判所命令を獲得することになるかもしれない。

  しかしそもそも、Appleは何故この情報を集めているのだろうか? 我々にははっきりとは分からない。しかし、Appleのグローバルロケーションデータベースと関係しているのではないかと思う。

  Googleのように、AppleはWi-Fiネットワークのロケーションに関するグローバルデータベースを有している。彼らはこれを、GPSを使用せずにユーザのロケーションを推定するために使用する。たとえば、ロンドンの特定の街区にあるとAppleに分かっているMACアドレスを持つ、3カ所のホットスポットをあなたの端末が表示するなら、あなたがそのブロックにいることはまず間違いない。

  我々はGoogleがロケーションデータベースを集めた方法を知っている。彼らはGoogle Maps Street Viewの車を各地に走らせ、世界中で情報を記録したのだ。

  Appleはどこで、自前のロケーションデータベースを獲得したのだろう? Skyhookという名の企業からライセンスを受けていた。ではSkyhookはこの情報をどのようにして獲得したのだろう? Googleのように、彼らは自分たちの車を世界中に走らせた

  しかしSkyhookのデータベースは高価だ。そこで2010年4月にリリースされたiPhone OS 3.2から、AppleはSkyhookのロケーションデータベースを自分たちのそれと入れ替え始めた。

  そして本当の問題は、Appleがどのようにして、自分たち自身のロケーションデータベースを作成したのか、ということだ。彼らは世界中に車を走らせてはいない。そうする必要は無かった。Appleには世界中いる既存のiPhone所有者に、その仕事をさせたのだ。

  最新のiPhoneを使用すれば、同端末は1日に2回、ユーザのロケーションヒストリをAppleに送信する。これは同デバイスのデフォルトのオペレーションだ。

Apple iPhone location

  それはどのように行われるのか? 最初にユーザの許可を求めることによってだ。iTunesをインストールする際にオプトインプロセスがあるのだが、プロンプトは非常にまぎらわしい:

iTunes location

  iTunesのこのプロンプトは、ダイアグノスティック情報に関してAppleの手助けをして欲しいということを言っている。ユーザのロケーションを記録することに関しては、何も触れていない。Appleのプライバシーポリシープライバシーポリシー日本語 )を読めば、何を行うかは確かに説明されているのだが:

   アップル製品でロケーションベースのサービスを提供するため、Appleとパートナー企業およびライセンス取得者は、Appleのコンピュータやデバイスのリアルタイムな地理的ロケーションを含むロケーションデータを収集、使用、共有する可能性があります。
   このロケーションデータは、ユーザを個人的に特定しない形で、匿名で収集され、Appleとパートナー企業およびライセンス取得者により、ロケーションベースの製品、サービスの提供、改善のために利用されます。

  我々は、iPhoneで発見された新たなロケーションデータベースが、この機能に結びついていると考えている。たとえそれがAppleに送信されていないとしても、iPhoneは常に、あなたのロケーション情報を収集しているのだ。

人材募集中

  プロの皆さん向けにご参考までに… エフセキュアではヘルシンキもしくはクアラルンプールのラボなど、いくつかのポジションに空きがある。

jobs

  たとえば、我々は脆弱性を分析し、エクスプロイトコードのリバースエンジニアリングを行うエクスプロイトアナリストを探している。

  候補にふさわしいと思う? 詳細はこちらで。

ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

passwords  300万以上のユーザアカウントのパスワードが、ニュースサイト、リテールサイト、そしてWeb 2.0サイトに影響を与えた広範囲にわたるハッキングにより、昨夜遅く、「password」に変更されたようだ。この影響を受けたユーザのほとんどは、同攻撃に全く気付いていない。

  現在の統計によれば、影響を受けたユーザの62パーセントは、パスワードが元々「password」であったことから、気が付いていない。

  いくつかのサイトが、障害の生じたアカウントを保護するための対策を講じていると報じている。さらに、多くのサイトがパスワードに「password」という言葉を使用することを禁じる、新しいルールを作成している。

  このハッキングに対するユーザの反応は激烈だが、多くのサイトが世界で最もポピュラーなパスワードの一つに対して進めている禁止にも、さらなる反発が生じている。オンライン暴動が予想される。

  昨晩の攻撃を行ったのは自分達だと、「Obvious」という名のハッカーグループが主張している。ハッキングされた数千のTwitterおよびFacebookアカウントは、「We are all Obvious! Don't Expect Us」というメッセージを投稿した。

  300万以上のユーザ名を含む1.9ギガバイトのファイル — そして一つのパスワード — が現在、「The Pirate Bay」を介して共有ファイルとしてダウンロード可能だ。

  将来、このような問題を避けるには、ユーザには自分のパスワードを「password1」に変更するようおすすめしたい。これはObvious(明らか)に、よりセキュアだ。

確認済み:Samsungはキーロガーを搭載していない

  我々は前回の記事で書いたことを確認した。すなわち「Samsungはラップトップにキーロガーを搭載していない。」

  この件は、VIPRE Antivirus製品の誤警報により引き起こされた。どうやらVIPREは、Windowsディレクトリのルートに「SL」というディレクトリが存在するのをサーチしたことにより、StarLoggerキーロガーを検出したようだ。これはまずい考えだ。

  たとえば、以下は空の「SL」フォルダが作製された後、完全にクリーンなWindowsコンピュータでVIPREがアラートを出していることを示すスクリーンショットだ:

VIPRE

  Samsungのラップトップは実際、デフォルトで「C:\WINDOWS\SL」というフォルダを持っているため、VIPREは似たような警告でアラートを出すのだろう。

  残念なことに、最初の分析を行ったMohamed Hassan(CISSP)は、自分の調査結果をダブルチェックせずにSamsungを非難してしまった。彼は全く「SL」フォルダのコンテンツをチェックしなかったのだろう。

  Samsungは無実だ。

  調査を手伝ってくれたTwitter仲間の@the_pc_doc@SecurityLabsGR@paulmuttonに感謝する!

追記:Alex Eckelberryが、VIPREが何故誤警報を出したかについて、さらに詳しく説明するブログ記事を掲載している。








不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






Roundhouse Kick Time

  チャック・ノリスは強烈だ。我々は皆、それを知っている。マルウェア作者も知っている。
roundhouse kick!
  実際、我々は以前からチャック・ノリスに言及するワームやトロイの木馬を複数見てきた。おそらく、一番の例は昨年来の「Chuck Norris Router Worm」だろう。

  次々にやってくるマルウェアをチェックしていて、我々はこれ(md5 66b06adc178d17a7b42301e845eed84d)に気づいた。コンピュータのコントロールを奪い、感染したシステムへの完全なリモートアクセスを可能にするボットネットクライアントだ。

  例によって、これは接続するサーバを必要とする。サーバの名前? 「chucknorris.zapto.org」だ。同ボットはレジストリ「hkcu\software\chuck norris」のもとに自身を登録している。我々はこれを「Backdoor:W32/Spyrat.D」として検出している。解説はここにある。

  これを少々じっくりチェックしたところ、「CyberGate」と呼ばれるツールで生成されていることが分かった。以下が「CyberGate」コントロールパネルの様子だ。

cybergate-rat.org




(管理人註 : Roundhouse kick(Wikipedia) )

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード