エフセキュアブログ

by:星澤 裕二

ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア

不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪に使われたと見られるマルウェアを入手することができました。感染後に、ゆうちょダイレクトにログインすると、不正なポップアップ画面が表示されることも確認しており、少なくとも、この事件に使用されたマルウェアの一種であることは間違いないでしょう。

セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。

ゆうちょダイレクトをご利用中の方で、お使いのアンチウイルス製品が未対応でしたら、本製品のご使用をご検討ください。
gredアンチウイルスアクセラレータFreeは他社製品と同時に利用することも可能です。詳しくは製品説明をご覧ください。
  • gredアンチウイルスアクセラレータの製品説明とダウンロードはこちらから
  • gredアンチウイルスアクセラレータFreeが同梱されたフィッシング対策製品PhishWallクライアントの製品説明とダウンロードはこちらから

マルウェア対策研究人材育成ワークショップ 2012

マルウェア対策研究人材育成ワークショップ 2012 (MWS2012) が開催されている島根には、国内のセキュリティ研究者が集結していることでしょう。筆者は、残念ながら不参加ですが、興味深い発表が数多くあり、参加者からの報告が楽しみです。

筆者が所属するセキュアブレインからも「署名情報を利用したAndroidマルウェアの推定手法の提案」と題して先端技術研究所の西田が発表しています。西田は、11月17日に開催されるAVTOKYO2012でも、Androidマルウェアに関する発表を行う予定となっております。ご興味のある方は是非ご参加ください。

また、本日、プレスリリースを配信しておりますが、セキュアブレインでは、Androidアプリ静的解析ライブラリをオープンソースとして公開しました。Androidマルウェアの解析をされている方はもちろん、オープンソースのツールに興味のある方にも使用して頂き、多くのフィードバックを期待しています。詳しくはこちらをご覧ください。

社会人ドクター挑戦日記 in 横浜 #1

さてさて、久しぶりのブログ更新となりましたが、タイトルでもお分かりのように、この4月から大学院に通うことになりました。社会人として働きながら博士号取得を目指します。
 
エフセキュアブログ管理者の尾崎さんなどの強い後押しもあり、この場を借りて、ゴールまでの道のりをリアルタイムでレポートすることになりました。就学中の方や今後社会人ドクターを目指す方、もちろん、それ以外の方にも、興味を持って頂けるような内容にしていきたいと思います。

初回ですので、まずは軽く基本情報を。
 
筆者が通うのは、横浜国立大学大学院 環境情報学府(博士課程後期)です。大学の所在地は神奈川県横浜市保土ケ谷区で、自宅から電車とバスを乗り継いで2時間弱。なかなかの通学時間です。

松本勉研究室に所属し、松本先生の指導を受けています。松本先生といえば、指紋認証装置へのグミ指攻撃で有名ですが、ご存じのように、それだけでなく、暗号、バイオメトリクス、ネットワークセキュリティと幅広い分野でご活躍されています。

(次回へつづく)

ついに・・・

発売になります。マルウェア解析本。

00


12月22日の発売を前に『アナライジング・マルウェア』出版記念トークイベントを開催します。
こちらでイベントの参加登録ができます。著者陣の講演に加え、展示即売会がありますので、
発売前に入手できます。ご興味ある方は是非ご参加ください。どうぞよろしくお願いします。

エフセキュアブログ一周年記念イベントに参加してきました

エフセキュアブログ一周年記念イベントにパネラーとして参加してきました。

Ustreamで視聴されていた方、Twitterで参加されていた方、そして、関係者の皆さま、お疲れ様でした。

ソーシャルメディア経由で実況中継というものを初めて体験しました。妙に緊張していて期待通りのコメントや議論ができなかったかも知れませんが、個人的にはとても楽しむことができました。出席者が技術寄りでしたのでもっとディープな方向へ行っても良かったのでは、と思ったりもしました。

そういえば、冒頭Mikkoがイベント効果でTwitterのFollower 7000超えしたいと発言していましたが、さきほどチェックしたところあと9人で7000という状況でした。おしい。

リバースエンジニアリング本

オライリージャパン宮川様より「リバースエンジニアリング――Python によるバイナリ解析技法」を献本いただきました。本書はGray Hat Python(Justin Seitz著)の日本語版で、DebuggerやFuzzerなどの基本原理や構築方法がPythonのサンプルコードとともに解説されています。技術監修はラック社の中津留さんです。
本ブログの読者の方々、特にリバースエンジニアリングに少しでも興味のある方は、まさに本書の対象読者でしょう。以下目次です。いかがでしょう?ちょっと読みたくなってきませんか?

1章 開発環境のセットアップ
2章 デバッガの基本原理
3章 Windowsデバッガの構築
4章 PyDbg―ピュアPythonのWindowsデバッガ
5章 Immunity Debugger―両方の世界をまたにかけ
6章 フック
7章 DLLインジェクションとコードインジェクション
8章 ファジング
9章 Sulley
10章 Windowsドライバのファジング
11章 IDAPython―IDA Proでのスクリプティング
12章 PyEmu―スクリプティング対応のエミュレータ

本書は/ART/OF/REVERSINGシリーズ3部作の第一弾で、第二弾は来月2日発売予定の「デコンパイリングJava――逆解析技術とコードの難読化」です。そして第三弾は今秋発売予定の新井悠、岩村誠、川古谷裕平、青木一史、星澤裕二による「アナライジング・マルウェア――フリーツールを使った感染事案対処(仮)」です。そうです、筆者も執筆陣に加えていただいております。というわけで、ただ今鋭意執筆中。

IPアドレススパム急増

少々古いですが、日経BP ITproに「IP アドレススパム」が急増、対策製品の回避が目的という記事が掲載されていました。記事によると、迷惑メール対策製品の回避を目的として、迷惑メールの誘導サイトのURLをドメイン名ではなくIPアドレスで記載しているケースが増えているという。
IPアドレスによるURLを含むメールのフィルタリングはフィッシングやスパム対策の常とう手段、と勝手に思っていたので、対策回避目的のIPアドレススパム急増の記事に違和感を感じました。
フィルター回避のためにIPアドレスの表記法を一般的な10進数以外のものにする手口は過去に見られましたが。このあたり一度きちんと検証してみる必要がありそうです。

エフセキュアブログ開設一周年おめでとうございます

昨日はエフセキュアブログの誕生日でしたか。遅くなりましたが、エフセキュアブログ開設一周年おめでとうございます。
あっという間に一年過ぎてしまい、オフィシャルコメンテータとしてなかなか気の利いたコメントが投稿できていなかったと反省しています。二年目を迎え気持ちを新たに、読者の方へ有益な情報を提供できるようがんばります。今後ともよろしくお願いいたします。

今井さんからのメール

久しぶりにスパムフィルターをすり抜けてスパムメールが届きましたのでご紹介します。今井さんからのメールです。用件が不明ですが、返信を期待しているのでしょうか?このメールに返信するひとはなかなかいないのでは。フィルターをすり抜けるという意味では成功しています。

以下、スパムメール本文です。
はじめまして。今井です。
はじめまして。今井ですが
はじめまして。今井と申します。
はじめまして。以前は普通の主婦でした
はじめまして。以前は会社員をしていました
急ぎではありません。
はじめまして。急ぎではありませんので
はじめまして。急ぎではありません
ご連絡。急ぎではありませんが。
ご連絡。確認して頂きたい事があります。
確認していただきたいのですが
確認していただきたい事があるのですが
ご連絡。先日の件で
ご連絡。先日の件はご確認いただけましたか?
ご確認いただけましたか?
先日の件について補足
先日と重複してしまう内容ですが
ご確認ください。先日の件について
先日お問い合わせいただいた件
確認できますか?
以下の項目ですが、確認いただけますか?
本当によろしいですか?
本当にこれでいいのでしょうか?
ご連絡。このままでいいのでしょうか?
ご連絡。このままでも大丈夫ですか?
以下の項目を確認してご連絡ください
ご確認頂けます
先日の件についてご確認頂けます
ご納得いただける内容でしょうか?
ご納得頂ける内容でしたらご連絡ください
今井えりこ

RE: サモア地震便乗型悪質サイト

Googleで"samoa tsunami"を検索すると上位にさきほどの悪質サイトが表示されます。危険ですので興味本位でアクセスすることはやめましょう。

samoa-google
 

いまさらですがiPhoneの詐欺サイト警告機能について〜ワンクリック詐欺サイト編

前回の記事でワンクリック詐欺サイトについて触れるのを忘れていました。iPhoneのSafariの設定画面に「詐欺Webサイトを訪問したときに警告します」と書かれているので、無駄だとは思いましたが、いくつかワンクリック詐欺サイトを訪問してみました。予想通り、ワンクリック詐欺サイトで警告が表示されることはありませんでした。

ちなみにiPhoneでワンクリック詐欺サイトにアクセスすると次のような感じになります。

oneclick1まず年齢認証などの確認画面が表示されます。最近のワンクリック詐欺サイトは1回のクリックで契約が完了、利用料金請求というサイトは皆無に等しいです。















oneclick2パスコードと年齢を入力してログインすると、アクセスしたPCのIPアドレスやプロバイダ名などを記した契約に関するメッセージをポップアップ表示します。個人が特定されているから利用料の支払いは避けられないと利用者に思い込ませるワンクリック詐欺の常とう手段です。













oneclick3ポップアップメッセージを閉じると会員登録完了のページが表示されます。振込先や支払い期限、不払いの場合の注意事項などが記されています。 

サモア地震便乗型悪質サイト

29日(現地時間)に南太平洋のサモア近海で発生した地震に便乗した悪質サイトが多数発見されています。検索エンジンの検索結果上位に表示されるため注意が必要です。下の画像は検索結果からアクセスした際に表示された悪質サイト。偽アンチウイルスソフトのページです。
samoa-fakeav
 

セキュリティ製品の評価・認証機関

9月は新製品ラッシュです。セキュリティ対策ベンダー各社からウイルス対策製品などのセキュリティ製品の新バージョンが発表されています。エフセキュア社も「エフセキュア インターネット セキュリティ2010」を9月4日より発売開始しています。

市場にはセキュリティ製品があふれています。選択肢が増え、自分に見合った機能や価格の製品を購入することができるようになりました。しかし一方で多種多様な製品にとまどってしまうこともあるようです。筆者もセミナーなどで講演すると必ずといって良いほど「おすすめのウイルス対策ソフトは?」と聞かれます。

製品の購入を検討する際、セキュリティ製品の評価・認証機関の情報を参考にするというのも有効な方法のひとつでしょう。どの評価が信頼できるものかという問題がありますので、さまざまな評価を横断的にみて判断するのが良さそうです。下にセキュリティ製品のの評価・認証機関のサイトをご紹介いたします(ほかにご存じの方がいらっしゃいましたらぜひ教えてください)。
Checkmark (West Coast Labs)
ICSA Labs

いろいろな評価をチェックしすぎてさらに混乱ということになりませんように。あしからず。

いまさらですがiPhoneの詐欺サイト警告機能について

少々乗り遅れた感はありますが、iPhone OS 3.1の詐欺サイトの警告機能を試してみました。詐欺サイトの警告機能は標準でオンに設定されています。オフにすることも可能です([設定]->[Safari]->[詐欺サイトの警告]で機能のオン・オフが選択できます)。

mobilesafarialertフィッシング詐欺サイト情報を共有する無償のコミュニティサイト PhishTank に登録されているフィッシングサイトを訪問してみました。MacのSafariと同様の警告が表示されます。

警告画面の"このページを閉じる"を選択すると強制的にページが閉じられ、"この警告を無視"を選ぶとフィッシング詐欺サイトであっても表示することができるのもMac版Safariと同じです。

iPhoneのフィッシング対策機能、正常に動作させるコツとは? (マイコミジャーナル, 2009/09/17) などでも紹介されていますが、充電時でなければ詐欺サイトのデータベースが更新されないという問題が指摘されています。

ブラックリストを利用するフィルタリングでは、いつ発生するかわからない詐欺サイトを確実にとらえるために頻繁にデータベースを更新する必要があります。外出中で充電ができないといった状況で新しい詐欺サイトで警告がでないというのは中途半端な機能という感じがしてしまいます。








iPhone上でデータベースの更新状況やバージョンを知ることができないので、どのタイミングでPCと同じデータベースが利用できるようになったのかは定かではありませんが、たしかにMacでは警告されるのにiPhoneでは警告されなかったサイトが、充電後に検出されるようになっていました。Mobile Safariの詐欺サイト警告機能、まだまだ過信は禁物のようです。

mobilesafari-phishing
 

スケアウェア=偽セキュリティソフト

スケアウェア攻撃という記事が投稿されましたが、この「スケアウェア」は日本ではまだあまりなじみがない用語ではないでしょうか?国内では「偽セキュリティソフト」や「押し売りサイト」と呼ばれることが多いようです。

情報処理推進機構(IPA)2008年10月のウイルス・不正アクセスの届け出状況で、セキュリティ対策ソフトの押し売り」行為を行う主なソフトの名称や特徴、事例、対策方法など詳しく解説しています。また、この発表の補足資料として「セキュリティ対策ソフトの押し売り」行為を行うソフトの起動画面例が紹介されていますので、ぜひ対策に活用してください。

日本の研究者も頑張っています

皆さんを守るために頑張ってます と、エフセキュアのラボの人たちは日夜コンピューターユーザーを守るために頑張っているようですが、日本の研究者も頑張っています。

本日(6月18日)と明日、機械振興会館(東京)にて電子情報通信学会のインターネットアーキテクチャ研究会が開催されています。セキュリティに関する研究発表も多数あります。筆者も「自律型クライアントハニーポットの提案」という発表をしました。ほかにもマルウェア関連の興味深い発表がありましたので、タイトルだけですが紹介しておきます。

明日もマルウェアに関する研究発表があります。
こちらは2件とも神戸大学の森井先生の研究室の発表です。森井先生といえば、昨年、CSS2008でWEPを一瞬で解読する方法を発表して話題になりました。

一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定 (GIGAZINE, 2008年10月13日)
「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定 (ITmedia, 2008年10月14日)

残念ながら筆者は他の予定があり聴講できませんが、明日の発表も期待できそうです。 

Mac Protectionベータ版を試してみた

Mac Protection アップデートによると、Mac Protectionのベータ版がアップデートされたようですので、早速インストールしてスキャンしてみました。

Scan My Computer

"Harmful items found: 0" 問題ありませんでした。ご存じのようにWindowsプラットフォームと比較するとMacのウイルス対策ソフトの選択肢は少ないです。Macユーザーの方はこの機会にぜひ一度お試しになってはいかがでしょうか?

フィッシング関連記事

フィッシング関連の記事を2本紹介します。

一つ目はYahoo! JAPANをかたるフィッシングに関する記事です。 

Yahoo! JAPANかたるフィッシングに注意、偽サイトは現在も稼働中 (INTERNET Watch, 2009年06月16日)

Yahoo! JAPANのフィッシングサイトはたびたび出現していますが、それ以外にも次のように数多くの日本のサイトがターゲットになっています(括弧内は初出年月)。

UFJ銀行(2005年3月)、Yahoo!オークション(2005年10月)、セントラルファイナンス(2006年10月)、新生銀行(2007年7月)、イーバンク銀行(2007年9月)、みずほ銀行(2007年11月)、mixi(2008年1月)、ゆうちょ銀行(2008年3月)、シティバンク(2008年3月)、オリコ(2008年7月)、ライフカード(2008年10月)、nifty(2008年10月)、ジャックス(2008年11月) など。

著名なところはほとんど狙われているといえるでしょう。フィッシングというと海外のことのように思われていますが、日本のユーザーも十分注意する必要があります。

もう一つは、米VeriSignのフィッシング・サイトに関する調査結果の記事です。調査によると、米国のインターネットユーザーのうち88%がフィッシングサイトを見抜けないとのこと。

フィッシング・サイトを見抜けない米国ネット・ユーザーは約9割 (日経 ITpro, 2009年06月16日)

あまりにも古い話なのでここで取り上げるかどうか迷いましたが、過去にはこんなひとたちもひっかかったもしくはひっかかりそうになったとブログで告白しています。

まつもとゆきひろ氏 フィッシング (phishing) (Matzにっき, 2005年10月20日)
池田信夫氏 フィッシングにご注意 (池田信夫 blog, 2007年01月28日)
高木浩光氏 PayPalフィッシングにひっかかりそうになった (高木浩光@自宅の日記, 2008年04月26日)

専門家やコンピューターに詳しいひとでも油断しているとフィッシングにひっかかってしまう可能性が十分にあるということです。

次の資料を参考にフィッシング対策を講じるという方法もありますが、

フィッシング対策ガイドライン (フィッシング対策協議会, 2008年09月10日)
正しいフィッシング対策について (フィッシング対策協議会, 2007年09月20日)

自力でフィッシングサイトを見抜く自信がないユーザーは、当ブログで紹介されている 非常にクールなISTPネットワーク評価サービス などを利用するのが良いでしょう。

ついでにフィッシングかどうかをチェックできる無償のオンラインチェックサービスも紹介しておきます。
PhishTank
gred

国内の携帯電話におけるマルウェアの脅威

モバイル・マルウェアの潮流を待ちながら」という記事が投稿されていましたが、ユーザーアプリが動作する国内の携帯電話におけるマルウェアの脅威についても、2001年にiアプリを搭載したNTTドコモ社の503iシリーズの発売当初から常に話題に上っています。結論から言ってしまうと、キャリア各社が次のような制限を施しているので、国内の携帯電話でマルウェアが発生する確率はかなり低いでしょう。

  • アプリケーションはそのアプリケーション自身のダウンロード元であるサーバとしか通信できない
  • 電話帳などの個人情報を含んだネイティブデータへアクセスできない
  • キャリアの管理下にある専用サーバからのみアプリケーションをダウンロードできる仕組みになっている
  • キャリアの実施する検証にパスする必要がある
  • ブラウザやSDカードをフォーマットするもの、動画配信などのように通信帯域を過大に消費するものは配布できない
  • アプリの配布基準によって使用できるAPIを制限している

しかし過信禁物です。これらのセキュリティ機能が万全なわけではありません。過去にアップル社の審査を通過し、一度はApp Storeを通じて販売されたiPhoneアプリが違反を理由に姿を消したことがありました。

“幻のiPhoneアプリ”…巷を騒がせた「NetShare」の正体とは? (日経トレンディネット, 2008年08月09日)

つまりキャリアが実施する検証は完璧ではなく見落としもあるということです。また、モバイル環境のアプリでは、モバイル機器側だけでなくWebアプリと組み合わせたサービスも多く、この組み合わせによる問題も考えられます。さらに過去には国内の携帯電話の組み込みアプリの不具合によってデータが失われたり、許可されていないスクラッチパッドへのアクセスが可能になったりといった問題が発生していますので、今後、深刻な脆弱性の発見によりマルウェアが作られてしまうことも否定できません。

高度化、複雑化するモバイル環境でマルウェアの問題が深刻化する可能性が高いため、被害を拡大させないために調査・研究を続け、対策を講じる必要があるでしょう。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード