エフセキュアブログ

by:パトリック・ルノー

iPhoneにSMSリモート・コード実行の脆弱性

  MacおよびiPhoneのセキュリティを専門とする著名なセキュリティ・リサーチャー、チャーリー・ミラーが昨日、SMS経由でリモート・コード実行を可能にする、iPhoneの新しい脆弱性に関する情報を明らかにした。シンガポールで開催されたSyScanカンファレンスでアナウンスされたが、この問題をできるだけ早く修正すべく、チャーリーがAppleとともに鋭意作業中という以外、同脆弱性について多くは分かっていない。


(picture from apple.com)

  同脆弱性は、通常なら署名されたコード、すなわちAppleにより承認を受けたアプリケーションのみが動作可能なところ、iPhoneのセキュリティ・モデルのコア部分を回避した無署名のコードを動作させる可能性があるため、最悪なものになりかねない。現行の携帯電話マルウェアとは異なり、ユーザー・インタラクションは必要とされない。InfoWorldによる元記事はこちらにある。

追記:私は今週、毎日の3交代制のレスポンス・シフトの1つでシフト・マネージャーをしている。同シフトで我々が何をしているかについては、Twitterに投稿中だ(http://twitter.com/patrikrunald)。

アップデートに関するアップデート

  昨日、数社のベンダーが多くのアップデートを公開した。早いうちにゲットしよう。

Microsoft - patch for PowerPoint fixes 14 vulnerabilities
Adobe - Adobe Readerの脆弱性2種のパッチ
Apple - OS Xで67のセキュリティ問題を修正

Security Updates en masse

標的型攻撃における最も一般的なPDFファイルタイプ

 我々は過去何度も標的型攻撃について報告してきた。 また、PDFおよびマルウェアのインストールに使用される Adobe Acrobat Readerの脆弱性についてもカバーしてきた。 そこで我々は標的型攻撃を調べ、2008年に最も一般的なファイルタイプが何だったかをチェックし、 2009年に入って変化があったかどうか調べてみることにした。

Targeted attacks 2008

 2008年に、我々は約1,968の標的型攻撃ファイルを確認した。最も一般的なファイルタイプはDOC、すなわちMicrosoft Wordで、34.55%を占めた。

Targeted attacks 2009

 2009年にはこれまでのところ、663の標的型攻撃ファイルが発見されており、最も一般的なファイルタイプはPDFとなっている。何故変化したのだろうか? 主たる理由は、Microsoft Officeアプリケーションよりも、Adobe Acrobat Readerの方が脆弱性が多いことにある。1週間前に指摘した2種類の脆弱性のように。Adobeはこれらを5月12日に修正する予定だ。

 なお、標的型攻撃に関する詳細と、それらがどのように動作するかに関する映像は、YouTubeでご覧頂ける。

Adobe Acrobat Readerに新たに2種の脆弱性

 Adobe Acrobat Readerに、2種類の新たな脆弱性が発見され、Adobeが調査中だ。この脆弱性は、getAnnots()、spell.customDictionaryOpen()という2つのJavaScript機能に存在し、双方ともにリモート・コード実行を可能にする。つまり、これらは両方ともスピア攻撃および自動ダウンロードで用いられる可能性があるということを意味している。どちらの脆弱性についてもPoC(機能検証)が入手可能だが、今のところ深刻な攻撃は行われていない。

 以前にも言ったことだが、繰り返しておく価値があるだろう。すなわち、Adobe Acrobat Readerに代わる物を使用せよ、だ。特定のPDFリーダーを薦めるということはしない。様々な種類のリーダーを使用する方が望ましいと考えるからだ。各種リーダーのリストについてはhttp://pdfreaders.org/を参照して欲しい。そのほかにはFoxIT、CutePDFなどがある。

 Adobe Acrobat Reader以外のものを使用することができない場合は、JavaScriptを実行する機能をオフにしておくことを強くお勧めする。編集→初期設定で「Adobe JavaScriptを使用」のチェックをはずすことにより、簡単にオフにできる。

Disable JavaScript in Adobe Reader

 Adobeのブログに詳細情報がある。

また現れた新Twitterワーム

 Twitterに、新たなTwitterクロスサイト・スクリプティング・ワームが広まっている。先日のTwitterワームと同様、ここでもMikeeyの名が上がっている。

twitter_041709_1.jpg

 このワームで使用されるメッセージには、以下のようなものがある:
Twitter, this sucks! Fix your coding.
Twitter Security Team Really? You need to be fired.
Horrible Coding!
@oprah - sup? welcome to twitter - mikeyy
@aplusk - hey, homo. - mikeyy
@souljaboyellem - your music sucks dude. - mikeyy
@TheEllenShow - hey baby, love me long time? - mikeyy
@StephenColbert - you funny. - mikeyy
@cnnbrk - he's back. ;) - mikeyy
@nytimes - yep, it's true. - mikeyy
Twitter, do you know about the before_save model callback? - mikeyy
This exploit only affects Internet Explorer users. Thanks. - mikeyy
Twitter, BeforeSave: ForEach: DataArray: EscapeHtmlCars!!! - mikeyy
Get Firefox, thanks. www.Firefox.com
Twitter, you should be paying me now. - mikeyy
 ユーザーが感染したプロフィールを閲覧すると、その人も同様に感染してしまう。名前、ロケーション、ウェブサイト、略歴といったすべてがMikeyyに変更され、上記のリストからランダムにピックアップしたメッセージをポストし始める。

twitter_041709_1.jpg


 この悪意あるスクリプトそのものは、74.200.253.195からダウンロードされている。Twitterはこの問題を解決すべく取り組んでいる。

 今回のワームは、先のTwitterワームを書いたことがきっかけとなり、作者のMichael Mooneyが職を得たという報道がなされた日に登場した。もし今回も彼がやったのだとしたら、動機はなんだったのだろうか? まさか他の誰かから、もっと良いオファーを得たかったとか? 馬鹿馬鹿しい。

 当面はユーザーのプロフィールは閲覧しないこと。またFirefoxとNoScriptの組み合わせも役に立つ。

 追記:Michael Mooney(Mikeey)が、今回のワームも自分が書いたことを認めた


これぞ正に不正!

 先日ブログに掲載したように、何かを検索したら良くない結果が得られるということが、今日では始終起こっている。そして今度はそれが他人事では無くなった。「f-secure」と検索すると、偽の製品へと導かれるのだ。今回はSEO(サーチエンジン最適化)経由ではなく、悪意あるGoogle広告を通してのものだ。以下のスクリーンショットを見れば分かる通り、update-xp.comにつながる広告がある。この広告を表示させるにはサーチボタンを二度クリックしなければならず、また毎回表示されるわけでもないようだ。

google_fssearch_1.jpg

 確認してみよう。この広告からは、F-Secure問題のフィックスに関するページに導かれる。

google_fssearch_2.jpg

 このフィックスツールをクリーンなXP SP3マシンにダウンロードし、インストールして、何なのかを見てみることにする。

google_fssearch_3.jpg

 すごい! 全部で1,303もの問題が発見され、そのうちの1,277が未登録バージョンでは除去できないそうだ。では登録してみよう。

google_fssearch_4.jpg

 驚いたことに、登録してすべての「問題」を解決するのには、34.95ドル払う必要があるそうだ。

 さらに皮肉なことには、同ツールはWindowsが最新版であると称するのだが、以下のスクリーンショットを見て分かる通り、実際には36のアップデートが欠けている。

google_fssearch_5.jpg

 この件はGoogleに報告してあるので、すぐに削除されると良いのだが。

追記:
 Googleがこの悪意ある広告を削除した。彼らの迅速な行動に感謝したい。

マルウェアへと導くGoogleでのTwitterワーム検索

 Twitterワームの情報に関するGoogleの検索がすべて、マルウェア・サイトへと導かれるとしても驚くには当たらない。それは正に時間の問題に過ぎなかった。特にこの件について週末にさまざまな議論が行われたり、この件の背後にいる人物がすべてを白状する以前には仕方のないことだ。注目のニュースについて悪意ある検索結果が得られるという事態は、不幸なことに、非常に良く見かけるものなのだ。

 Googleで「Twitterワーム」について検索が行われた結果、トップ10ヒットは以下のような様相を呈している:

twitterworm_google_search.jpg

 上記、赤い枠の検索結果は以下のサイトへと導く:

twitterworm_google_2.jpg

 しかし、アクセスした人がこれを見ることは決してないだろう。というのも、ただちにvidexxxxxs.cnにリダイレクトされ、そこからすぐさまloyxxxxxxno.comにリダイレクトされ、cxxxxxxxxaz.comから偽のビデオコードをダウンロードをダウンロードさせられるからだ。エクスプロイトは使用されていない。単なるソーシャルエンジニアリングである。少なくとも今のところは。

twitterworm_google_3.jpg

 そしてこの偽コードはもちろんマルウェアだ。実際、それは偽のマルウェア検出を知らせるWinPC Defenderと呼ばれる偽セキュリティ製品など、更なるマルウェアをダウンロードするダウンローダー型トロイだ。

twitterworm_google_4.jpg

 あらゆる偽セキュリティ製品がそうであるように、これもユーザーのPCにマルウェアが存在すると知らせ、これらを除去するには同製品を購入しなければならないと告げる。しかし価格は69.99ドル(通常レートは39.95ドルのようだ)と称しており、通常よりも高額となっている。

twitterworm_google_5.jpg

 だから残念なことに、我々は今回のようなことが起こっても驚かない。例によって、ニュースや情報は信頼するソースから入手することだ。ランダムなGoogleでの検索は信用できない。

追記:
 「Mikeyy」を検索しても、悪意ある結果に導かれる。
 

Microsoftから4月のセキュリティ・アップデート

 Microsoftが4月のセキュリティ・アップデートをリリースした。これには、1カ月以上スピア攻撃で悪用されてきたExcel用のフィックスも含まれている。もしMicrosoft Office 2007を使用しているなら、すぐにExcel用のものを含むこれらのパッチをダウンロードすること。残念ながら、PPT脆弱性に関するフィックスは今月のアップデートには含まれていない。

MS Updates April 2009

Confickerの新たな活動

 昨日、Confickerの新たな亜種が発見された。現在ファイルを調査しているところだが、これまでに分かったことを以下にまとめておく。

・4月8日、P2Pネットワークを介して、Conficker.Cに感染したマシンに新たなアップデートが用意された
・我々は新たなファイルをConficker.Eと呼んでいるが、このファイルは以前の感染とともに実行され、共存する
・同ファイルでは再び、MS08-067脆弱性を介しての蔓延が可能になっている。Conficker.Cでは拡散機能は削除されていたが、おそらく背後にいる連中が自分たちのミスに気づき、再び追加したのだろう
・スパムボットのWaledacと、何らかの関係があるかもしれない。Conficker.Cに感染したコンピュータの中には、良く知られているWaledacドメインに接続し、そこでWaledacをダウンロードしたものがある
・Conficker.Cに感染したマシンに至ることが知られている通り、偽アンチウィルス製品とのコネクションもある。その不正な製品とはSpyware Guard 2008である
・Conficker.Eは、2009年5月3日以降、自身を削除する

 分かりにくく、また奇妙に聞こえるだろうか? 実際その通りだし、不幸なことに、Confickerに関して容易なことなど何も無いため、その挙動について何か分かり次第、この投稿を更新し続ける予定だ。我々は昨日以来、新たなConficker.Eを、そしてそれがダウンロードする関連ファイルをすべて検出している。

4月1日後の Conficker Q&A

 4月1日に先立ってConficker Q&Aを掲載したが、その後のQ&Aも掲載するのが当然だろう。

Q:まず、感染したかどうか、どうしたら分かるのか?
A:Conficker Working Groupに、Joe Stewartが制作した非常にシンプルなテストがある。ここをクリックして試して欲しい。もしそれで感染していると出ても、同サイトにエフセキュアのものも含むたくさんの除去ツールがある。

Q:4月1日は過ぎたけれど、何か壊滅的な活動はあったのだろうか。インターネットは停止したのか?
A:答えはNoだ。もしそんな活動があったら、これを読めているはずがない。それに我々も、本当に何か起きるとは全く考えていなかった。

Q:それなら本当に起きたことは何なのか。すべての騒ぎは一体何だったのか?
A:自身にアップデートをダウンロードする目的で、4月1日にウェブサイトのリストを生成開始するよう、Conficker.Cがプログラムされている。

Q:それで実際に実行されたのか?
A:実行された。ワームのその部分は予定通り稼働した

Q:では重大なことが何も起きなかったのはどうしてなのか?
A:Confickerの背後にいる連中が、Confickerがコンタクトを取ろうとしたウェブサイトの最新情報を公開しなかったためだ。

Q:それは彼らの側のミスだったのか。彼らは4月1日という発動日を忘れたのか?
A:それはありそうにない。Conficker Working Groupが、ワームにより使用されるドメインが登録されることを完全に阻止した、というのが本当のところだ。業界内でこのようにグローバルな協力が行われたのは、これまで見たことが無いし、そのグループのメンバーであることを我々は誇りに思っている。それに、Confickerの背後の連中が何かするのではないかと誰もが期待している日に実際何かやったとしたら、かなりバカだろう。

Q:しかし、ワームがピア・ツー・ピア(P2P)技術を利用して、自身をアップデートすることもできるのではないか?
A:その通り、できる。そしてそれは4月1日以前にもできたことだ。

Q:4月1日にPCを立ち上げなかったから、大丈夫だよね?
A:もし貴方のコンピュータが感染しているなら、答えはNoだ。同ワームはまだそこにいて、マシンを起動した時点で、自身にアップデートをダウンロードしようとするだろう。

Q:Confickerに関連して、ベラルーシで2人逮捕されたと聞いたんだけど?
A:それはエイプリル・フールのジョークの一つだ。ここにもある。

Q:では今、何が起きているのか。Confickerのことは忘れて、他のことを心配して良いのか?
A:いや、そうとは言えない。4月1日は単に発動日だったに過ぎない。感染したコンピュータは、自身をアップデートする目的で、日に500のウェブサイトに接触しようとし続けるだろう。そしてP2P技術を忘れてはいけない。この技術を使用してのアップデートも可能なのだ。

Q:それでは、我々は長期に渡ってこの問題に対処する必要がある、ということか?
A:すべてのコンピュータからワームが除去されるまで、あるいはConfickerの背後の連中が、もうそれには価値がないと判断するまでは、その通りだ。だから我々は状況を監視し続ける予定だ。

Q:もっと質問がある場合どうしたら?
A:もしかしたら、以前のQ&Aが既に回答しているかもしれない。もし見あたらなければ、この投稿にコメントを付けて頂ければ回答する。

Conficker - 何が起きているのか?

 ニュージーランドでは4月1日に入って18時間ほどになるところだが、アメリカ合衆国の東海岸では、まだ4月1日になって間もない頃だ。それで、何が起きているのだろうか? 今のところ何も。すでにご紹介したように、Confickerワームに感染したコンピュータが5万ドメインものリストを生成し、そのうちの500に向かおうとしているが、これまでのところ、アップデートは入手可能になっていない。

 実際我々は、アップデートが登場するとは思っていない。少なくとも今のところは。

CNN and Conficker

 とは言え、cnn.comのトップページで分かるように、Confickerワームは現在も主要なニュースとなっている。

 Mikkoは、Twitterで最新情報を投稿する予定だ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード