セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。
by:星澤 裕二
セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。
筆者が所属するセキュアブレインからも「署名情報を利用したAndroidマルウェアの推定手法の提案」と題して先端技術研究所の西田が発表しています。西田は、11月17日に開催されるAVTOKYO2012でも、Androidマルウェアに関する発表を行う予定となっております。ご興味のある方は是非ご参加ください。
また、本日、プレスリリースを配信しておりますが、セキュアブレインでは、Androidアプリ静的解析ライブラリをオープンソースとして公開しました。Androidマルウェアの解析をされている方はもちろん、オープンソースのツールに興味のある方にも使用して頂き、多くのフィードバックを期待しています。詳しくはこちらをご覧ください。
初回ですので、まずは軽く基本情報を。
松本勉研究室に所属し、松本先生の指導を受けています。松本先生といえば、指紋認証装置へのグミ指攻撃で有名ですが、ご存じのように、それだけでなく、暗号、バイオメトリクス、ネットワークセキュリティと幅広い分野でご活躍されています。
(次回へつづく)
12月22日の発売を前に『アナライジング・マルウェア』出版記念トークイベントを開催します。
こちらでイベントの参加登録ができます。著者陣の講演に加え、展示即売会がありますので、
発売前に入手できます。ご興味ある方は是非ご参加ください。どうぞよろしくお願いします。
エフセキュアブログ一周年記念イベントにパネラーとして参加してきました。
Ustreamで視聴されていた方、Twitterで参加されていた方、そして、関係者の皆さま、お疲れ様でした。
ソーシャルメディア経由で実況中継というものを初めて体験しました。妙に緊張していて期待通りのコメントや議論ができなかったかも知れませんが、個人的にはとても楽しむことができました。出席者が技術寄りでしたのでもっとディープな方向へ行っても良かったのでは、と思ったりもしました。
そういえば、冒頭Mikkoがイベント効果でTwitterのFollower 7000超えしたいと発言していましたが、さきほどチェックしたところあと9人で7000という状況でした。おしい。
本ブログの読者の方々、特にリバースエンジニアリングに少しでも興味のある方は、まさに本書の対象読者でしょう。以下目次です。いかがでしょう?ちょっと読みたくなってきませんか?
1章 開発環境のセットアップ
2章 デバッガの基本原理
3章 Windowsデバッガの構築
4章 PyDbg―ピュアPythonのWindowsデバッガ
5章 Immunity Debugger―両方の世界をまたにかけ
6章 フック
7章 DLLインジェクションとコードインジェクション
8章 ファジング
9章 Sulley
10章 Windowsドライバのファジング
11章 IDAPython―IDA Proでのスクリプティング
12章 PyEmu―スクリプティング対応のエミュレータ
本書は/ART/OF/REVERSINGシリーズ3部作の第一弾で、第二弾は来月2日発売予定の「デコンパイリングJava――逆解析技術とコードの難読化」です。そして第三弾は今秋発売予定の新井悠、岩村誠、川古谷裕平、青木一史、星澤裕二による「アナライジング・マルウェア――フリーツールを使った感染事案対処(仮)」です。そうです、筆者も執筆陣に加えていただいております。というわけで、ただ今鋭意執筆中。
IPアドレスによるURLを含むメールのフィルタリングはフィッシングやスパム対策の常とう手段、と勝手に思っていたので、対策回避目的のIPアドレススパム急増の記事に違和感を感じました。
フィルター回避のためにIPアドレスの表記法を一般的な10進数以外のものにする手口は過去に見られましたが。このあたり一度きちんと検証してみる必要がありそうです。
あっという間に一年過ぎてしまい、オフィシャルコメンテータとしてなかなか気の利いたコメントが投稿できていなかったと反省しています。二年目を迎え気持ちを新たに、読者の方へ有益な情報を提供できるようがんばります。今後ともよろしくお願いいたします。
以下、スパムメール本文です。
はじめまして。今井です。
はじめまして。今井ですが
はじめまして。今井と申します。
はじめまして。以前は普通の主婦でした
はじめまして。以前は会社員をしていました
急ぎではありません。
はじめまして。急ぎではありませんので
はじめまして。急ぎではありません
ご連絡。急ぎではありませんが。
ご連絡。確認して頂きたい事があります。
確認していただきたいのですが
確認していただきたい事があるのですが
ご連絡。先日の件で
ご連絡。先日の件はご確認いただけましたか?
ご確認いただけましたか?
先日の件について補足
先日と重複してしまう内容ですが
ご確認ください。先日の件について
先日お問い合わせいただいた件
確認できますか?
以下の項目ですが、確認いただけますか?
本当によろしいですか?
本当にこれでいいのでしょうか?
ご連絡。このままでいいのでしょうか?
ご連絡。このままでも大丈夫ですか?
以下の項目を確認してご連絡ください
ご確認頂けます
先日の件についてご確認頂けます
ご納得いただける内容でしょうか?
ご納得頂ける内容でしたらご連絡ください
今井えりこ
ちなみにiPhoneでワンクリック詐欺サイトにアクセスすると次のような感じになります。
まず年齢認証などの確認画面が表示されます。最近のワンクリック詐欺サイトは1回のクリックで契約が完了、利用料金請求というサイトは皆無に等しいです。
パスコードと年齢を入力してログインすると、アクセスしたPCのIPアドレスやプロバイダ名などを記した契約に関するメッセージをポップアップ表示します。個人が特定されているから利用料の支払いは避けられないと利用者に思い込ませるワンクリック詐欺の常とう手段です。
ポップアップメッセージを閉じると会員登録完了のページが表示されます。振込先や支払い期限、不払いの場合の注意事項などが記されています。
市場にはセキュリティ製品があふれています。選択肢が増え、自分に見合った機能や価格の製品を購入することができるようになりました。しかし一方で多種多様な製品にとまどってしまうこともあるようです。筆者もセミナーなどで講演すると必ずといって良いほど「おすすめのウイルス対策ソフトは?」と聞かれます。
製品の購入を検討する際、セキュリティ製品の評価・認証機関の情報を参考にするというのも有効な方法のひとつでしょう。どの評価が信頼できるものかという問題がありますので、さまざまな評価を横断的にみて判断するのが良さそうです。下にセキュリティ製品のの評価・認証機関のサイトをご紹介いたします(ほかにご存じの方がいらっしゃいましたらぜひ教えてください)。
フィッシング詐欺サイト情報を共有する無償のコミュニティサイト PhishTank に登録されているフィッシングサイトを訪問してみました。MacのSafariと同様の警告が表示されます。
警告画面の"このページを閉じる"を選択すると強制的にページが閉じられ、"この警告を無視"を選ぶとフィッシング詐欺サイトであっても表示することができるのもMac版Safariと同じです。
iPhoneのフィッシング対策機能、正常に動作させるコツとは? (マイコミジャーナル, 2009/09/17) などでも紹介されていますが、充電時でなければ詐欺サイトのデータベースが更新されないという問題が指摘されています。
ブラックリストを利用するフィルタリングでは、いつ発生するかわからない詐欺サイトを確実にとらえるために頻繁にデータベースを更新する必要があります。外出中で充電ができないといった状況で新しい詐欺サイトで警告がでないというのは中途半端な機能という感じがしてしまいます。
iPhone上でデータベースの更新状況やバージョンを知ることができないので、どのタイミングでPCと同じデータベースが利用できるようになったのかは定かではありませんが、たしかにMacでは警告されるのにiPhoneでは警告されなかったサイトが、充電後に検出されるようになっていました。Mobile Safariの詐欺サイト警告機能、まだまだ過信は禁物のようです。
スケアウェア攻撃という記事が投稿されましたが、この「スケアウェア」は日本ではまだあまりなじみがない用語ではないでしょうか?国内では「偽セキュリティソフト」や「押し売りサイト」と呼ばれることが多いようです。
情報処理推進機構(IPA)が2008年10月のウイルス・不正アクセスの届け出状況で、セキュリティ対策ソフトの押し売り」行為を行う主なソフトの名称や特徴、事例、対策方法など詳しく解説しています。また、この発表の補足資料として「セキュリティ対策ソフトの押し売り」行為を行うソフトの起動画面例が紹介されていますので、ぜひ対策に活用してください。
皆さんを守るために頑張ってます と、エフセキュアのラボの人たちは日夜コンピューターユーザーを守るために頑張っているようですが、日本の研究者も頑張っています。
本日(6月18日)と明日、機械振興会館(東京)にて電子情報通信学会のインターネットアーキテクチャ研究会が開催されています。セキュリティに関する研究発表も多数あります。筆者も「自律型クライアントハニーポットの提案」という発表をしました。ほかにもマルウェア関連の興味深い発表がありましたので、タイトルだけですが紹介しておきます。
- 確率的依存関係に基づくボットネット検知の検討
- Detection of Shellcodes in Remote Exploit Codes -- Detection Method based on Structural Analysis --
- URLブラックリストの効率的な利用方法の一検討
こちらは2件とも神戸大学の森井先生の研究室の発表です。森井先生といえば、昨年、CSS2008でWEPを一瞬で解読する方法を発表して話題になりました。
一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定 (GIGAZINE, 2008年10月13日)
「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定 (ITmedia, 2008年10月14日)
残念ながら筆者は他の予定があり聴講できませんが、明日の発表も期待できそうです。
Mac Protection アップデートによると、Mac Protectionのベータ版がアップデートされたようですので、早速インストールしてスキャンしてみました。
"Harmful items found: 0" 問題ありませんでした。ご存じのようにWindowsプラットフォームと比較するとMacのウイルス対策ソフトの選択肢は少ないです。Macユーザーの方はこの機会にぜひ一度お試しになってはいかがでしょうか?
フィッシング関連の記事を2本紹介します。
一つ目はYahoo! JAPANをかたるフィッシングに関する記事です。
Yahoo! JAPANかたるフィッシングに注意、偽サイトは現在も稼働中 (INTERNET Watch, 2009年06月16日)
Yahoo! JAPANのフィッシングサイトはたびたび出現していますが、それ以外にも次のように数多くの日本のサイトがターゲットになっています(括弧内は初出年月)。
UFJ銀行(2005年3月)、Yahoo!オークション(2005年10月)、セントラルファイナンス(2006年10月)、新生銀行(2007年7月)、イーバンク銀行(2007年9月)、みずほ銀行(2007年11月)、mixi(2008年1月)、ゆうちょ銀行(2008年3月)、シティバンク(2008年3月)、オリコ(2008年7月)、ライフカード(2008年10月)、nifty(2008年10月)、ジャックス(2008年11月) など。
著名なところはほとんど狙われているといえるでしょう。フィッシングというと海外のことのように思われていますが、日本のユーザーも十分注意する必要があります。
もう一つは、米VeriSignのフィッシング・サイトに関する調査結果の記事です。調査によると、米国のインターネットユーザーのうち88%がフィッシングサイトを見抜けないとのこと。
フィッシング・サイトを見抜けない米国ネット・ユーザーは約9割 (日経 ITpro, 2009年06月16日)
あまりにも古い話なのでここで取り上げるかどうか迷いましたが、過去にはこんなひとたちもひっかかったもしくはひっかかりそうになったとブログで告白しています。
まつもとゆきひろ氏 フィッシング (phishing) (Matzにっき, 2005年10月20日)
池田信夫氏 フィッシングにご注意 (池田信夫 blog, 2007年01月28日)
高木浩光氏 PayPalフィッシングにひっかかりそうになった (高木浩光@自宅の日記, 2008年04月26日)
専門家やコンピューターに詳しいひとでも油断しているとフィッシングにひっかかってしまう可能性が十分にあるということです。
次の資料を参考にフィッシング対策を講じるという方法もありますが、
フィッシング対策ガイドライン (フィッシング対策協議会, 2008年09月10日)
正しいフィッシング対策について (フィッシング対策協議会, 2007年09月20日)
自力でフィッシングサイトを見抜く自信がないユーザーは、当ブログで紹介されている 非常にクールなISTPネットワーク評価サービス などを利用するのが良いでしょう。
ついでにフィッシングかどうかをチェックできる無償のオンラインチェックサービスも紹介しておきます。
PhishTank
gred
「モバイル・マルウェアの潮流を待ちながら」という記事が投稿されていましたが、ユーザーアプリが動作する国内の携帯電話におけるマルウェアの脅威についても、2001年にiアプリを搭載したNTTドコモ社の503iシリーズの発売当初から常に話題に上っています。結論から言ってしまうと、キャリア各社が次のような制限を施しているので、国内の携帯電話でマルウェアが発生する確率はかなり低いでしょう。
- アプリケーションはそのアプリケーション自身のダウンロード元であるサーバとしか通信できない
- 電話帳などの個人情報を含んだネイティブデータへアクセスできない
- キャリアの管理下にある専用サーバからのみアプリケーションをダウンロードできる仕組みになっている
- キャリアの実施する検証にパスする必要がある
- ブラウザやSDカードをフォーマットするもの、動画配信などのように通信帯域を過大に消費するものは配布できない
- アプリの配布基準によって使用できるAPIを制限している
しかし過信禁物です。これらのセキュリティ機能が万全なわけではありません。過去にアップル社の審査を通過し、一度はApp Storeを通じて販売されたiPhoneアプリが違反を理由に姿を消したことがありました。
“幻のiPhoneアプリ”…巷を騒がせた「NetShare」の正体とは? (日経トレンディネット, 2008年08月09日)
つまりキャリアが実施する検証は完璧ではなく見落としもあるということです。また、モバイル環境のアプリでは、モバイル機器側だけでなくWebアプリと組み合わせたサービスも多く、この組み合わせによる問題も考えられます。さらに過去には国内の携帯電話の組み込みアプリの不具合によってデータが失われたり、許可されていないスクラッチパッドへのアクセスが可能になったりといった問題が発生していますので、今後、深刻な脆弱性の発見によりマルウェアが作られてしまうことも否定できません。
高度化、複雑化するモバイル環境でマルウェアの問題が深刻化する可能性が高いため、被害を拡大させないために調査・研究を続け、対策を講じる必要があるでしょう。
- ミッコ・ヒッポネン
- エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
- ショーン・サリバン
- エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
- 高間 剛典
- メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
- 星澤 裕二
- 株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
- 岩井 博樹
- デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)
(人物紹介)
- 福森 大喜
- 株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
- 福本 佳成
- 楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
- 神田 貴雅
- エフセキュア株式会社 プロダクトグループ 部長
- 富安 洋介
- エフセキュア株式会社 プロダクトグループ
- コーポレートセールスチーム
- エフセキュア株式会社 (エフセキュアブログ公式Twitterアカウント)
-
海外記事翻訳
株式会社イメージズ・アンド・ワーズ
ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。