月曜日、我々は第1四半期のモバイル脅威レポートをリリースし、その中で「約束を果たす」モバイル版トロイの木馬の数が増加していることを指摘した。それは何を意味しているのだろうか？

 　過去には、モバイルマルウェアはエサとして「無料」のモバイルWebサービスなどを提供することが多かったが、インストール中、トロイの木馬はある種の囮となるエラーメッセージを示した。

 　その時点で、トロイの木馬をインストールする人々は、通常、不審に思うか、問題を解決するため、答えを探そうとする。その結果フォーラムで、自分たちが実際にインストールしたのはトロイの木馬であるという回答を得ることになる。最近は、コンピュータおたくで無くても、スマートフォンを持っており、エサはかなり多様だ。

 　囮メッセージは無い。「エサ」は実際に機能する。

 　以下は、トロイの木馬がRovioの「Angry Birds Space」のワーキングコピーをインストールし、電話に障害を引き起こすトロイの木馬のビデオだ。



ビデオ：トロイの木馬化されたAngry Birds Space

 　そう、問題解決とは比べものにならない…それにコンピュータおたくで無い人のどれだけが、自分たちに約束されたものが疑わしいことに気づくだろうか？　何者かが彼らの電話に障害を引き起こしながら、当人達が気づかないという可能性はかなりある。

 　Androidマルウェアは明らかに進化している。

 　以下は第2四半期中に進化した物の簡単なプレビューだ：



ビデオ：ドライブバイAndroidマルウェア

 　エフセキュアラボのシニアリサーチャJarno Niemelaが、2012年5月17日木曜日、Black Hat Webcastに参加する。

 　テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。



 　詳細については、オンラインセミナーの登録ページにある。

 　これまでに1000人以上の人が登録している！

 　BBC World Serviceは先頃、「Danger In The Download」という3回にわたるドキュメンタリーをオンエアした。

 　これは間違いなく傾聴する価値がある。現在、全てのエピソードがオンラインとなっている。



エピソード1 — 増大するハッカーとサイバー兵器によるサイバースペースの脅威。
エピソード2 — ネットのアーキテクチャと自治は現在も目的にかなっているのか？
エピソード3 — インターネットを保護するために政府ができること。

 　ポッドキャスト形式のオーディオの方がお好みなら、エピソード1がダウンロードできる、PRI's The Worldのテクノロジーポッドキャストもお勧めする。

 　2012年第1四半期をカバーする、最新のモバイル脅威レポートを発表する時期が来た。

 　我々の2011年第4四半期レポートは非常に人気があったが、今回の第1四半期版はさらに良いものになっている。コンテンツ（そしてページ）が増え、楽しんで読んで頂けるだろう。



 　利益を目的とした四半期ごとのモバイル脅威：



 　以下からダウンロードできる：モバイル脅威レポート Q1 2012［PDF］

 　昨日私は、匿名ではないスピーチは、匿名のDDoS攻撃や他の検閲形式よりも遙かに優れていることを示唆した。

 　今日はこの「反著作権侵害」PSA（1988年頃）を、私の理論を支持する証拠として提供する：


クリックして拡大。

 　私に喜んでInfocomのゲームを買わせるのは、このような物だ。彼らはうまく問いかけ、自分たちの主張を人を喰ったユーモアで証明している。私はこのジョークを24年たっても覚えている。DDoS攻撃？ すぐに記憶から消えてしまう。

 　インターネットの活動家は（今日のメディア業界と同様）過去から学んだ方が良いだろう。

 　英国の裁判所は最近、The Pirate Bayへのアクセスをブロックするよう、インターネットサービスプロバイダに命じた。昨日、Anonymousに関係していると主張する連中により、Virgin Mediaが攻撃された。

 　The Pirate BayはそのFacebookページで、同攻撃について書いている。



TPB：我々はオープンで自由なインターネットを信じており、そこでは誰もが自分の意見を述べることができる。我々が彼らにまったく賛成できないとしても、彼らが我々を嫌っているとしても。

私の意見：汝の敵を愛せ。

TPB：だから、彼らの汚い方法を用いて彼らと戦うべきではない。DDOSとブロックは、どちらも検閲の形式だ。

私の意見：悪事に悪事を返しても善事にはならぬ。

TPB：もし援助したいと考えているなら、トラッカーを開始し、示威運動を準備して著作権侵害者活動を開始し、友達にBitTorrentの手法を教え、プロキシを設置。議員に手紙を書き、新たなP2Pプロトコルを開発し…

私の意見：破壊的になるな。「破壊分子」である方が良い。

TPB：…著作権侵害賛成のポスターをプリントし、自分の街に貼り、我々のPromo Bayアーティストをサポートするか、気持ちを入れ替えてお母さんに電話して愛していると伝えよう。

私の意見：母親に電話すること。あなたのことを心配しているはずだ。

 　Anonymousの中には、DDoSは検閲に等しいというThe Pirate Bayの主張に反発する者もいるかもしれない。DDoS攻撃はシットインに似た、デジタル抗議活動の形式であると主張しているAnonymousたちは大勢いる。しかし考えてみて欲しい。シットインは不法侵入の形式であり、不法侵入と他への進入禁止は犯罪だ。

 　世界で最も偉大な人権のリーダー達が逮捕されてきた犯罪だが、本質はそうだ。市民的反抗は、規則を変えるために規則を破るが、その枠組みには経緯を払うという非暴力的な抵抗なのだ。DDoSは非暴力的な抗議ではない。そして説明責任の欠如は社会の仲間を考慮していない。

 　Anonymousのティップ：Letter from Birmingham Jail by Martin Luther King, Jr.が「Anon-MLK #OpBirminghamによるYouTubeビデオ」よりもずっとパワフルである（そしてあり続ける）には理由がある。

 　この真実をはっきりと理解しているPirate Bayの人々に敬意を表する。

では
ショーン

 　エフセキュアのシニアリサーチャJarno Niemelaが、5月17日木曜日、Black Hat Webcastに参加する。テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。



 　詳細については、オンラインセミナーの登録ページにある。

ウェストポイント（USA）のCombating Terrorism Centerが、「アボッタバードからの手紙：ビン・ラディンは非主流か？」という名の研究を発表した。この研究は、オサマ・ビン・ラディンが殺害された昨年の襲撃の際に収集された、17の機密文書を分析している。オリジナルのアラビア語および英訳版のコピーが入手可能だ。

 　PRI's The Worldが、素晴らしい要約を掲載している：US Releases Letters From Bin Laden Compound

 　エフセキュアの主席研究員ミッコ・ヒッポネンは、オンラインの過激主義者を研究してきた。彼はこれらのドキュメントを調べ、以下のことを発見した：

Bin Laden wrote: "One indication of the sympathy towards Jihad is the tremendous number of young people who frequent the Jihadist websites"

— Mikko Hypponen (@mikko) May 3, 2012

 　「ジハードWebサイト」への言及は、ドキュメントSOCOM-2012-0000019にある：



 　ミッコは先頃、「RSA Conference 2012」でオンライン・ジハードについて話をした。


 　同プレゼンテーションはここで視聴できる：オンライン世界のテロリストグループ

 　先月発生したMac Flashbackは、どの程度ひどいもので、最も被害を受けたのは誰だったのだろうか？　我々が推測するに、程度はひどく、最大の被害者は大学のITヘルプデスクだろう。そしてこの推測は、それほど的外れではないようだ。

 　オックスフォード大学Computing Servicesのネットワークセキュリティ・チーム（別名OxCERT）が、「2003年の夏に、BlasterがWindowsを襲って以来、おそらくは最大の被害に」対処したと書いている。

 　OxCERTはBlasterで約1000件に対処した。彼らは数百件のFlashback事例を見ており…「そして、それはまだ続いている。」



 　マンチェスター大学などの他の教育機関も、主として寮内に多数の感染が存在することを詳述している。



 　あなたは大学のITヘルプデスクで仕事をされているだろうか？　Macマルウェアの事例で、特筆すべき増加を経験されているだろうか？　コメント（そして現状に関する情報）をお寄せ頂きたい。

 　では！

 　「Krebs on Security」を定期的に読んでいる方なら、中小規模の企業や組織がここ数年、サイバー犯罪ギャングたちの標的となっていることをご存知だろう。しかしこれらの犯罪を捜査しているのが、どこの法執行機関なのかはご存知ないかもしれない。

 　ZeuSバンキング型トロイの木馬の多くの捜査は、（ほとんど知られていないが）オマハ（米国ネブラスカ州）のFBIオフィスにより行われていることが分かっている。担当のFBI特別捜査官Weysan Dunが金曜に引退し、Omaha World-Heraldでインタビューを受けた。



 　良い記事だ。そしてSMBのために働いている人にとって、目をさまさせるようなものだ。


指名手配：マネー・ミュール

 　同記事のちょっとした話の中で我々が気に入ったのは、Brian Krebsは飛行機で隣に小規模企業の経営者が座ると、バンキング型トロイの木馬の恐ろしい話を聞かせて、彼ら震え上がらせているらしいというところだ…

 　先週、文書、画像、ビデオなどを暗号化し、ファイルを人質に50ユーロ要求する、「Trojan:W32/Ransomcrypt」という名のランサム型トロイの木馬について書いた。



 　Ransomcryptは、Tiny Encryption Algorithm（TEA）を使用してファイルを暗号化する。キーは「ファイル固有キー」を作成するために暗号化されているファイル名の先頭の文字に基づいて変更される、「ベースキー」から作成される。ベースキーもファイル固有キーも、どちらも16バイト長だ。

 　エフセキュアのアナリストが、サポートチームのために、Pythonで書かれた復号化スクリプトを作成した。幸いなことに、我々が遭遇した顧客の事例は少数だった。この復号化スクリプトはRansomcryptの2つの亜種で機能する。

  •  Trojan:W32/RansomCrypt.A, SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf
  •  Trojan:W32/RansomCrypt.B, SHA1: 1e41e641e54bb6fb26b5706e39b90c93165bcb0b



 　EULTはここで読める。

 　ダウンロード：fs_randec.zip, SHA1: 9ab467572691f9b6525cc8f76925757a543a95d8

 　最初に、暗号化ファイルのコピーにこのスクリプトを使用するようにという指示には、特に注意して欲しい。

 　「オリジナル」に使用しないこと。

 　我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

 　システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット（.lnk）ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

 　同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

 　エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

 　以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ：



 　以下はテキストファイルのコンテンツ：



 　「注意！」



 　間違ったパスワードをインプットすると、ユーザが受けとる「「エラー！」メッセージ：



 　別のエラーメッセージ。.txtファイルにある要求を繰り返す：



 　このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

月曜、我々はその時点で未パッチだったJava脆弱性（CVE-2012-0507）を悪用するMac Flashbackトロイの木馬の亜種について書いた。Appleは火曜日、セキュリティ・アップデートをリリースした。もしMacにJavaをインストールしているなら—すぐにアップデートすること。

 　昨日Dr. Web（ロシアのアンチウイルスベンダ）が、Flashbackは50万台以上のMacに感染しているかもしれないと報告した。

 　Flashbackがインストールされると、それぞれに固有のユーザ・エージェントが作成される。Dr. WebのIvan Sorokinは、現在、感染の試算を60万台以上としている。

@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino and special for you Mikko - 285 from Finland

— Sorokin Ivan (@hexminer) April 4, 2012

 　エフセキュアの「Anti-Virus for Mac」は、Flashbackの最新の亜種を「Trojan-Downloader:OSX/Flashback.K」として検出する。

 　Flashbackに関する我々の最近の説明は以下の通り：

  •  Flashback.I
  •  Flashback.K

 　Mac関連の以前の記事には、Javaを停止する方法、Flashbackの感染について調べる方法、手動での削除方法がある：

  •  目下のMacマルウェア
  •  （Mac）Flashbackはあるか？
  •  未パッチのJava脆弱性を悪用するMac Flashback

 　この週末、イースターホリデーを祝う人は、もしご両親を訪問し、彼らがMacを持っているなら、Javaクライアントプラグイン/インストールをアップデートするか、停止するか、削除してあげるべきだ！

 　（そしてそれはWindowsにも当てはまる。）

 　Alienvault Labsが、人権問題にフォーカスする非政府組織（NGO）を標的とするマルウェアを、また発見した。これは先週の発見に追加されたものだ。今回のエクスプロイトは、Microsoft Word（MS09-027）の2009脆弱性を利用する。

 　以下は、エクスプロイト・ドキュメントが埋め込まれている囮のドキュメントの例だ。



 　詳細はAlienvault Labsで読める：イン・ザ・ワイルドなMacOS Xを標的とするMS Officeエクスプロイト - 「Mac Control」RATをもたらす

 　「CVE-2011-3544」（Java脆弱性）を悪用する新たなMacバックドアが報告されている。このバックドアは、GhostNetにつながっているようだ。同マルウェアは、非政府組織（NGO）に対する標的型攻撃で使用されている。

 　Greg Waltonが、NGOに送信されたチベット関連の標的型メールについて、詳細を発表した。同メッセージには「dns.assyra.com」へのテキストが含まれる。詳細はWaltonがここに書いている。AlienVault Labsのテクニカルレポートも掲載されている。

 　今日のニュースで、我々のMacマルウェアアナリストの1人Brodが、Microsoftの「バックドアOlyx - はMac向けの任務を負うマルウェアか？」という記事を思い出した。この記事はMacとWindowsユーザをこの7月に標的とした、似たようなテーマの攻撃に関するものだ。

 　我々はこれらの新しい脅威を、以下の物として検出している：

Exploit:Java/CVE-2011-3544.E — MD5: 6C8F0C055431808C1DF746F9D4BB8CB5, MD5: 453A3DC32E2FAFD39F837A1EBE62CA80
Backdoor:OSX/Olyx.B — MD5: 39084b60790ca3fdebe1cd93a4764819
Backdoor:W32/Poison.CE — MD5: 7F7CBC62C56AEC9CB351B6C1B1926265

 　昨日のJava緩和策に関するMac関連記事も読んで欲しい。

---

 　Wired UKのGreg Williamsによるミッコのプロフィールが「wired.co.uk」サイトに掲載され、オンラインで読めるようになった。



 　同記事のiPad/プリント版で使用されている、非常に素晴らしいオンラインギャラリーもある。

---

 　先週、我々はMicrosoftのアップデート「MS12-020」をすぐに適用するよう読者の皆さんに助言した。実行された方は　—　結構。そしてまだパッチを当てていない方は　—　引き延ばしてはいけない。

 　「MS12-020」がリリースされて以来、Remote Desktop Protocol（RDP）脆弱性を「兵器化」しようとする慌ただしい動きが続いている。エクスプロイト競争は進行中で、しかも全速力で進んでいる。ラボのアナリストTimo Hirvonenは、Twitterアカウントでこの状況を追跡している。


Microsoft Security Bulletin MS12-020 - Critical

 　では…このRDPバグで、どれほどのコンピュータが影響を受ける可能性があるのか？

 　研究者のDan Kaminskyがインターネットをスキャンし、無防備なコンピュータは数百万におよぶと概算している。


RDP and the Critical Server Attack Surface

 　何をすべきだろうか？

 　Lenny Zeltserが、以下のようにアドバイスしている。


The Risks of Remote Desktop for Access Over the Internet

 　我々の（企業）読者の大部分は、おそらく既にこの問題に対して行動を起こしているだろう。

 　コンシューマ（ホームユーザ）は一般にRDPをオンにしていない。

 　では…残るのは？　中小企業だ。

 　Casey John Ellisが指摘するように、Remote Desktopは委託IT業者によって非常によく使用されており、小規模企業の経営者はそれが使用可になっているとは思ってもいないかもしれない。


Why Small/Medium Businesses are at the Greatest Risk from the New Microsoft RDP Bug

 　我々もEllisに同意せざるを得ない。中小企業はかなりのリスクにさらされている。幸いなことに、Ellisと友人は小規模企業の経営者がリスクにアクセスするのに使用できる、役に立つツールを提供している。「RDPCheck」だ。

 　RDPCheckを使用するには、「rdpcheck.com」にアクセスして欲しい。そこから、自分のIPアドレス上で脆弱性のスキャンを開始することができる。

 　第一に：Microsoftのリモートデスクトッププロトコルは、デフォルトではWindowsで使用不可となっている。そのため大部分のコンピュータは、今月の「パッチ・チューズデー」が強調している問題に影響を受けない。しかし：もしRDP対応ワークステーションを管理しているなら—「CVE-2012-0002」に関するMicrosoftのSecurity Research & Defenseの記事を読んだ方が良いだろう。



 　「CVE-2012-0002」は、Microsoftに非公式に報告されたもので、イン・ザ・ワイルドであるという報告はない。しかし、パッチがリバースになるのは時間の問題であり、この脆弱性は悪用可能だ。

 　よってMicrosoftの記事を読み、スケジュールを立て、テストし、配備すること。そしてすぐにでも実行することだ。

 　これを「驚いてはならない」フォルダにファイルして欲しい。

 　今朝、現在SpyEyeのリサーチを行っている我々のアナリストの一人が、新しいコンポーネント名に遭遇した。そして彼はそのコンポーネントをGoogleで検索した。

 　そして発見した…SpyEyeマニュアルのコピーを：



 　彼が見つけるのを予期していたものでは無い…

 　だが、Web上にこのようなものがゴロゴロしているのを見つけるのは（悲しいことに）それほど驚くべきことではない。

 　AV-TESTが今日、「Android向けアンチマルウェア・ソリューション」レポートを発表した。

 　テストされた41製品のうち—我々がトップランクに入った事を光栄に思っている！



 　AV-TESTは現在もテストの手順を改良しているところなので、直接のランキングは発表していない。

 　しかし、www.av-test.org/en/tests/androidで入手できる詳報をダウンロードすれば、テストされた全てに関する検出率で、我々に匹敵するのはわずか1つのベンダーに過ぎないことが、図5から見て取れるだろう。

 　そしてAV-TESTのレポートが興味深いと思われたら、我々の「Mobile Threat Report, Q4 2011」もダウンロードして頂きたい。

 　では！