エフセキュアブログ : by：岩井博樹

11日にAppleは、ios 4.0.2 / ios 3.2.2 を公開しました。それに伴い、JailbreakMeのソースコードも公開され、その影響度の大きさが懸念されています。

おさらいですが、今回のJailbreakの大きな特徴は、何といってもiTunesを介さずに実行出来る点にあります。つまり、普通に（？）Exploitして管理者権限を奪取し、アプリケーションをインストールしているわけですね。

参考：Technical Analysis on iPhone Jailbreaking

そのため、ソースコード（Exploitコード）の公開は、今までのJailbreak以上に大きな脅威となります。

公開されたソースコードは、数カ所書き換えれば容易にオリジナルの攻撃コードを完成させることができます。
※DLさせるプログラムは別途作成する必要がありますが。

そのため、Drive by Downloadやスピア型メール等への悪用や、iPhoneボットのようなマルウェアの登場も時間の問題と言えそうです。

もし、iPhoneボットが登場したらどうでしょうか。その被害は様々なケースが考えられます。プライバシー情報の搾取、第三者への攻撃、いたずら電話（？）、スパムなどなど、様々なケースが考えられます。

まだ、これらの被害は確認されていないので何とも言えませんが、iosの場合、ユーザ権限だけでも様々な操作が可能となります。
そのため、Exploitコードの公開は非常に厄介なわけです。

（理由はさておき、）Jailbreakをするために、バージョンアップしないという選択肢もあるかもしれませんが、今回ばかりは事情が異なります。
何はともあれ、余程自信がある方以外は、まずiosのバージョンアップを！！

Small iPhone or Big iPhone ?　- 日本組織へのAPT

2010年07月26日09:00

New iPhoneが流出か！？

なんて、心躍ったのは上海のとある地下商店街。
色々商品を物色していましたところ、後ろのお店のお姉さんが声をかけてきました。
"Small iPhone ? Big iPhone ?"

「ええ！？早くも新商品！もしかして、噂の流出ものかな？」
なんて、耳を疑ってしまいました。

もう、説明するまでもありませんね。（大きい方が正規の大きさ）

さて、今私が気になっているのが、これらの商品の中身です。
本当に（安くて）安全なものなのか、非常に気になります。（笑）

近年、海外から郵送されてくるデータを閲覧した際に、マルウェアに感染したという事案が後を絶ちません。
特に、次の2つのパターンが厄介です。
・人がデータを含むメディアを持ち込む
・データを含むメディアを郵送（宅急便等）

続きを読む

FIRSTカンファレンス - キーワードはAPT、DNSSEC、クラウド

2010年06月22日13:00

今回のカンファレンスのキーワードは、次の3つでした。

・Advanced Persistent Threat (APT)
・DNSSEC
・クラウド・セキュリティ

昨年とは異なり、ハンズオンによるトレーニングは全く無いもので、インシデントの分析結果の共有やアイデアの発表などがメインでした。特にカンファレンス前半はAPTの話題で盛り上がったように思います。

「ソーシャル・エンジニアリング」や「マルウェア」等の脅威は依然増すばかりであり、その対策は急務とのことですが、簡単にはいかないようです。検出のために、組織内のネットワーク・モニタリングが重要になってくるということ。聞いている限りでは、ある程度の作り込みが必要かなぁ・・・と感じました。

次にDNSSECはDNSを狙った攻撃事例や今後考えられる脅威の再認識と、それらに対する対策案が示されました。「中国」というキーワードは、世界のどこへいっても注目の的です。（笑）

3つ目にクラウド・セキュリティに関してですが、中でも興味深かったのは、クラウド環境でのインシデントレスポンス（IR）、フォレンジックに関するものです。仮想環境を構築し、数万台のPCを運用することを前提にした場合、そのハードディスクの容量は膨大なものとなります。同様にメモリも数十GByte、64Bitシステムが基本となります。このような環境下で、注目されてくるのがネットワークトラフィックとメモリダンプです。

実はクラウド以外でも、海外のIR製品を見ていますと、HDDと揮発性情報の双方を解析する手法は以前より随分定着してきているように感じました。しかし、まだまだ課題は多いのが現状のようで、技術面、法律面等含め時間がかかりそうです。

もしかしたら、「ガンブラーはどうした？」という方もいらっしゃるかと思いましたので、他国の参加者に聞いてみました。残念ながら誰も知らず、お隣韓国のウイルスベンダーの方も初めて聞いたと言っていました。日本固有の問題と言われても仕方ないようですね・・・

地域毎に問題視されているセキュリティ事情は随分異なります。これらの話が聞けるのが海外カンファレンスの特徴かと思います。特にFIRSTカンファレンスは、一般的に非公開な情報が聞けることが特徴です。

インシデント・ハンドリングされる方には興味深いものかと思います。近くで開催される際には、参加されてみては如何でしょうか。

ちなみに、来年は遠い（オーストリア）です・・・。

FIRSTカンファレンス in MIAMI（前日編）

2010年06月13日16:34

休日らしい、まったりした投稿をしたいと思います。

6月～8月はセキュリティ関連のカンファレンスが多く開催される季節です。今回はFIRSTカンファレンスへの参加のため渡米しています。（催し物関連の書込みが続き申し訳ありません）

最近のFIRSTカンファレンスは組織的な話からマネジメント、テクニカルな話まで幅広いのが特徴です。テクニカルな面では、解析関連の話が多く取り上げられています。

今年は米国ということもありましたので、カンファレンスの前に、CSIRT仲間とNRIセキュアテクノロジーズ北米支店（San Mateo）へお邪魔しました。目的は情報交換会です。

CSIRT関連の情報交換会は、大体次のような内容が多いです。
・この間、こんなこと調べたら大変だったんだよ！
・お隣の国は色々動いているらしいぞ！
・最近、こんなインシデントがあったよ！
※詳細は残念ながら書けません。申し訳ありません。。。

これら最近のサイバー攻撃のトレンドを踏まえ、今まで以上に各CSIRTが密接な関係を構築していくことが重要課題であることを再認識して終わったと記憶しています。
（すみません。時差ぼけで記憶が一部とんでます。）

会議の様子はこんな感じでした。

居てはイケナイ人もいるかもしれませんので、一応目隠し付きです。（笑）

ちなみに、NRIセキュアテクノロジーズ北米支店の窓から見える景色はとってもキレイでした！
気持ちよく働けそうな環境でした。

次回はFIRSTカンファレンスの様子を投稿したいと思います。（多分）

第14回白浜シンポジウム ~ セキュリティで町おこし

2010年06月05日12:00

昨年からボランティアで、白浜シンポジウムのセキュリティ道場のお手伝いをさせて頂いています。

白浜は白浜シンポジウムから海水浴の季節まで賑わうそうで、情報セキュリティがちょっとした町おこしに一役買っているようです。

シンポジウムの内容ですが、日中は講演をひたすら聞きます。
夜はナイトセッション、ミッドナイトセッションとあり、情報セキュリティに携わる仲間たちと情報交換（？）が行われます。

法執行機関の方もいらっしゃいますので、現在のサイバー犯罪対策の課題や最近の事例などの情報交換はとても興味深いです。
生の情報に興味のある方は、来年参加されてみてはいかが！？

ちなみに私は、深夜まで足湯で熱い議論を繰り広げてました（笑）

ちなみに、セキュリティとは全く関係ありませんが・・・
白浜では「いついろかっぱのものがたり」という絵本で町おこしもしています。お子さんのいらっしゃる方は一読してみては如何でしょうか。

アングラでも人気のTwitter

2010年05月25日13:30

Twitterやfacebookを介しての攻撃が話題になっています。
先日、BitDefender社からの報告にあった「TwitterNet Builder」が記憶に新しいですが、Twitterやfacebookなどはボット作成者達の中でも話題のサービスのようです。

何故、アンダーグラウンドでも話題かと言いますと、やはりモバイル端末からもアクセスが可能だからではないでしょうか。
TwitterNet Builder も、「どこからでもDDoSerをコントロールできるよ！」的なタイトルで配布されていました。

iPad / iPhone の世界的ヒットにより、この ”どこからでも” は、現実味を帯びてきた感があります。もしかしたら、今後の攻撃トレンドになるかもしれません。
Twitterの他には、FacebookやYoutubeを悪用したボットやワームが報告されています。複合タイプもリリースされていますので、ますます今後の動向から目が離せません。（動作未確認）

ちなみに、これらのボットのC&Cは、現在のところ殆どWindows環境で動作するものです。
”どこからでも” を実現しようとすると、iPhone / iPad アプリ版とか出てくるのが必然のように思うのは私だけでしょうか（笑）

PDFからのプログラム実行をとりあえず防いでみる

2010年04月01日18:30

Didier Stevens による PDF のデモの話題が盛り上がっているようなので、、、

mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。

今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。
単純に考えますと、/Launch が呼び出されなければ良さそうです。（本当にこれだけでいいのかな？？）

これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して（遊んで）みました。

BEFORE

Happy Patching Days

2010年03月31日13:30

Microsoftの定例外のセキュリティパッチがリリースされました。
私の周りもせっせとインストールしております。

そんな中、私の友人のMacユーザがノホホンと、「俺は関係ないよ。」と言っていたので、私からはMacのセキュリティパッチのお知らせです。（笑）

Apple は 29日に Mac OS X v10.6.x 向けに大規模なセキュリティパッチをリリースしています。その数、88個！

参考URL:
http://support.apple.com/kb/HT4077

特に、Quicktimeに複数のセキュリティホールが報告されていますので、早めに対処しておきましょう。まだ、新鮮なうちに・・・

ガンブラー対策「.htaccess」にも注意！

2010年03月01日13:00

お隣の１１９チームのSEKI隊員の呟きによると、、、

新型ガンブラーに攻撃されたサイトを複数確認したようです。
具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。

どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。（現在、詳細確認中・・・）

ウェブサイト管理者様は、ウェブコンテンツ以外にサーバー等の設定ファイルの確認もしておいた方が良さそうです。

続きを読む

やっぱり再生！黒鷹安全網（Dark Hawk Safety Net）

2010年02月17日17:07

黒鷹安全網（Dark Hawk Safety Net）は３人のメンバーの逮捕、サイト閉鎖でメデタシメデタシという話になっていますが、果たしてそうでしょうか。これは某国から諸外国へのアピールのように見えて仕方ありません。（偏見？？）

黒鷹安全網は有料会員数が１万２０００人いるといわれています。そう簡単に潰れるはずはありません。過去の事例から考えても、別のメンバーが復活させるのがお約束のパターンです。
（2005年頃の中国紅客連盟のときも、閉鎖してもいつの間にか２代目リーダーが出てきましたし・・・）

なんて、思ってましたらやっぱり復活していました。（笑）

ちなみに、今回閉鎖されたと報道されたのは3800hk.comとそのミラーサイトに関してのようです。
これから、どうなるか分かりませんが、彼らと当局の動きが興味深いところです。

ところで標的型メールってどのくらいくるの？

2010年01月22日21:00

Googleの件で、改めて標的型攻撃が注目されています。しかも、IEのゼロデイが悪用されたとのことですので、狙われた企業はひとたまりもありません。しかも、標的を絞っての攻撃となると、一般に情報が公になるのが遅れますので、対策をうつ事すらできませんので非常に厄介です。

セキュリティ担当者の立場からしますと、「そんな攻撃は来てくれるな！」と祈るばかりです。では、この標的型メールとは、一体どの程度届くものなのでしょうか。
（私のところには、まだ日本語の標的型メールが届いたことが無いのでとても不満ちょっと残念です。）

そこで、昨年私の所属する研究所で調査した統計のデータを元にざっくり計算してみました。大体ですが、調査対象全PCに対して標的型メールから被害を受けたPCの率は約0.1％くらいでした。
＃サンプル数が10社ですので、正確性に欠けますが、ご愛嬌ということで。。。

人数に換算すると、1万人規模の組織に対して、10人くらい。1000人規模であれば、1人の計算になります。しかし、これは統計情報ですのでそんなに都合よくいくわけがありません。

そこで、実際に被害に遭われている方々に聞いてみました。すると、どうやら一部の部署やチームに届いているようだ、とのことでした。
標的型メールのタイトルも色々あるそうで、昨年ですと、新型インフルエンザの注意喚起を装ったものや、打ち合せ議事録を装ったものさえあったそうです。
これは引っ掛かってしまいそうですよね！

特にGoogleは、知的財産が狙われたとのことですので、盗まれてマズい情報を持っている業種の方は注意が必要です。先ずは重要情報を管理しているサーバのセキュリティ対策を見直すところから初めては如何でしょうか。
＃ちなみに、私の経験ではファイルサーバ関連は要注意です。

そうそう、全く話が変わりますが、明日からTBS系で「ブラッディ・マンデイ　シーズン2」が始まりますね。
当研究所の茶パンダさん（本人希望でHN）を中心にハッキングシーンを作ってます。所々にコネタを入れているようですので、色々探してみて下さい。（編集でカットされている可能性大ですが・・・）
乞う、ご期待！

NULLED EXPLOIT PACK

2009年12月21日19:10

Nulled Exploit Pack ??

また、新しいCrimewareが出てきたようです。
キリがないですね。

現在、検知が難しそうなのは、やはりPDFとTrojanのようです。
myreadme.php (PDF)
SHA1 : 6daba79c399dc9e08fb905dafaa753fc8bd4c59f
Trojan
SHA1 : 78586a3e2b2cf77f4e098d0193408148eb9e06a6

PDFは0dayの件もあり、アップデートやパッチ適用だけでは対処が難しくなってきました。
未検証ですので、どこまで効果があるかさっぱり分かりませんが、JavaScriptの無効化や閲覧ツールを変更など、まずできる対策から実施していくしかなさそうです。

困りましたね・・・

”雲(AWS)”の中に潜んでいたゼウス

2009年12月10日20:30

昨日から、"ZeuS in the cloud !!" といった内容の記事が世間を賑わせています。これは、ZeuS crimewareのC&Cサーバが、Amazon EC2で確認されたという報告があったためです。
設置した人からすれば、（闇の）ビジネスですから当然と言えば当然なのかもしれません。

AWSはAmazonが提供しているサービスですので、悪用する者が出てきても全く不思議ではありません。寧ろ、IaaSを利用したサービスは次々と登場しており、これらを悪用する輩が出てくることは容易に予想できます。きっと、WPA Crackerのようなサービスも、幾つか登場してくると、当然悪さをする者も出てきそうです。

ところが、残念ながらクラウド・コンピューティングにおけるセキュリティ対策は現在議論されている真っ最中。すぐに対策を実施するというわけにはいかないのが現状であり、技術面や法律面、その他諸々課題が残っています。ウイルス対策関連は製品を発表しているベンダーもありますが、一般的にはこれからといった感じです。

そういった意味では、今回の報告はクラウド・コンピューティングの暗部に対しての再警鐘だったのかもしれません。流行のキーワード「クラウド」から目が離せませんね！

New Gumblarとその亜種に関する注意喚起

2009年11月19日13:56

JSOCの観測によると、Gumblarの感染台数が増加しているとのことです。アンチウイルスソフトウェアによる検体検知率は、現在のところ著しく低いとのこと。

確実に感染事実を把握するためには、次のリクエストが無いか確認した方が早そうです。
216.45.48.66
195.24.76.250
67.215.246.34
67.215.238.194

参照URL
http://www.lac.co.jp/info/alert/alert20091119.html

また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。

twitterに追加情報が出るかもです！
http://twitter.com/lac_security

RE 「AVAR 2009」からこんにちは！

2009年11月09日12:00

私もこっそり、先日のフェイさんのポストにあった、AVAR2009（Association of anti Virus Asia Researchers International Conference）へ参加してきました。ウイルスに特化したカンファレンスへは初参加だったので、色々新鮮でした。

残念ながら、F-Secureの方を会えませんでした。
＃F-Secure以外のAVベンダーの方々との交流はありましたが（笑）

クラウド以外の内容ですと、日本人の発表はオリジナル性が高く好評だったように思います。

日本コンピュータセキュリティリサーチの岩本さんによるマルウェアの特徴抽出と分類に関する講演は、オリジナルと亜種がどの程度異なるのか数値化するといった内容。その際に利用される図は生物や進化系統樹に似ており、その考え方も生物学みたいだなと思っていましたら、講演後にお話を伺うと、DNAの距離（違い？）の考え方を応用したのだそうです。

もうひとつ興味深かったのが、シマンテックの末長さんによるIDA proを用いての難読化されたAPIの解析手法の紹介です。難読化されたAPIをIDC scripotを用いての解析方法の説明なのですが、その内容は非常に具体的且つ実践的。講演後にお話を伺いますと、IDC script生成ツールを作成したことが今回のポイントだそうで、そのためのアイデアを提供したとのこと。
＃とはいうものの、末永さんは3年がかりで作ったそうです・・・
他のセッションでは具体的な話が少なかったため、本セッションは技術者ウケが良かったように思います。（たぶん）
まだまだ発展しそうな話でしたので、今後も楽しみです。

また、星澤さんの発表が予定されていましたが、"リアル"ウイルスに感染した可能性があるとのことでいらっしゃいませんでした。
代わりに神薗さんがお話されていました。近年のDrive by Downloadを利用するマルウェアの攻撃手法とそれに対する検知技術の話です。ブラックリストによる防御が限界に達している現在、次の検知技術が研究されていますが、本講演も色々参考になるところが多かったです。

技術的な話の他に印象的であったのが、ESETの「Goodware」「Policeware」の事例紹介です。
これは海外の警察（FBIとか）がサイバー犯罪者を逮捕するために、裁判所の許可を得て合法的にマルウェアを仕掛けるというもの。例えば、重要な証拠となり得るファイルの暗号化を解くために、容疑者に対し中間者攻撃を仕掛け、キーロガーをインストールしパスワード等を盗むのだそうだ。AVベンダーに検知しないように依頼したり、OS開発ベンダーにドライバーに組込んで欲しいなど頼むことがあるそうだが、道徳的・倫理的に問題があるとのことで、殆ど断られるとのこと。
＃それはそうですよね・・・

フェイさんが晩餐会の模様を載せているので、私も。。。

"新"Gumblarに注意喚起

2009年10月24日00:24

Gumblarに似た攻撃が確認されており、注意喚起が出ています。
また、大感染が予想されていますのでご注意を。

前回と異なる点は、攻撃に利用されているサーバーが多段になっていることです。そのうえ、JavaScriptも難読化されているため、解析に時間がかかります。

私たちがとりあえず気をつけることは、前回同様に次の2点。
・FTPの利用に気をつける（特にパスワード）
・Microsoft製品、Adobe製品のアップデート

また、ScanSafeのブログの記事も興味深いです。この記事によると過去にZeuSが関係したドメインが今回悪用されているような記載があります。サーバーは借り物（？）、ZeuSはサイバー犯罪者御用達Trojanです。つまり、今回の件が落ち着いても模倣犯が早々に出てくる可能性がありそうです。

何はともあれ、Gumblar騒ぎは進化を続けながら、暫く続くと考えておいた方が良さそうですね。

フィッシングメールっておいしいビジネスモデルなのか？

2009年10月15日14:21

普段滅多に来ないフィッシングメールが、連日届くようになったので、おかしいなと思っていましたら、IBM ISSの報告によると、フィッシングメールの量が再び増加しているとのこと。

図ではフィッシングメールが5月に減少から増加に転じていますが、これは一体何が起因しているのでしょうか。なかなか興味深いです。フィッシング詐欺ってそんなに儲かるのでしょうか？？（失言）

ところで、先日、HotmailやGmailのアカウント情報が大量流出したとのニュースがありました。その原因としてMicrosoft社はフィッシング詐欺である可能性が高いとの見解を示しています。しかし、この見解に対しては反論もあるようで、真相は分かっていません。

この事件も非常に興味深いのですが、見解がどうもスッキリしません。フィッシング詐欺の最新動向は詳しくありませんが、その成功率は0.1%以下で話される事が多いように思います。

例えば、Hotmailの件に関していえば、APWGはコメントの中で0.05%のユーザーがフィッシング詐欺に騙されたとしたら～・・・と仮定してコメントをしています。ここで0.05%をどう捉えるかですが、攻撃技術が進歩している中、力技で収集するのは非効率であるし、少々無理があるのではないかと、つい勘ぐってしまいましたが、そんな事はないのでしょうか？

寧ろ、最初からメールに悪意あるファイルを添付した方が余程効果がありそうです。JPCERTの予防接種実施調査報告書を参考にすると、ウイルスメールの開封及び添付ファイルのクリック率は10%強は見込めます。つまり、スパイウェアやボットを利用した方が効率が遥かに良いことになります。（ちょっと飛躍しましたが・・・）

そこで勝手な憶測ですが、単純なフィッシング詐欺というのは殆どなく、新たな手口が登場している、ということは考えられないでしょうか。フィッシングメールのターゲットは金融関連が多いそうですし、先日報告のあったPostbankの事件を無理矢理合わせて考えますと、何か大きなトレンドの変化があるのではないか？？と考えてしまうのは私だけでしょうか。

この辺りの詳しい情報求む！

RE ハックされたハッカー・フォーラム

2009年09月21日08:27

消えてしまったPakbugsはある管理サーバーソフトウェア（cP○○○L??）を利用していた（サイトのエラー画面から勝手に判断）ことと、パスワード情報が閲覧されたことを考えますと、攻撃手法はディレクトリトラバーサルによりパスワードファイルを閲覧したのかな、と推測しています。（6月公開の0day）

さて、それはそれで興味深いところですが、それよりもこのサーバー管理ソフトウェアは日本ではレンタルサーバーなどでも利用されていますが、はたして大丈夫なんでしょうか？

近年のレンタルサーバーの事件を見ていますと、ちょっと気になるところです。
私がレンタルしているサーバーもトラブルが多いので非常に心配です。（泣）

RE 9月のMicrosoft Updates

2009年09月14日22:00

先日、9月の定例アップデートがありました。

そうそう、Microsoftのぜい弱性といえば、まだ幾つかパッチ未公開のものがありますよね。これらのインパクトってどの程度のものなのか考えてみると、興味深いです。

例えば、既にExploit Codeが公開されているIIS FTP Server NLST Buffer Overflow などです。このFTPサービスのぜい弱性単体では、恐らくSecunia.comなどでの評価の通りなのかもしれないですが、その再現方法が容易である事と、最近のマルウェアの傾向を考えると結構深いなぁ・・・と。

パッと思いつくのが、GE●Oウイルスなどとの組合せ。パパっと組込まれたりしたら、一波乱ありそうなことは想像に難くありません。

セキュリティパッチの定例化も慣れてしまうと、そんなものかと思ってしまいますが、やはり緊急パッチってあるとありがたいな、と思う今日この頃です。

隣国から帰国して思ふこと

2009年08月13日23:55