エフセキュアブログ

by:ショーン・サリバン

Facebookスパムの成功率はどれくらいなのか?

  Facebookスパム(誤ってスキャムと呼ばれる)がこのところニュースになっている…

  そして我々は、「ウイルスのように広がる」リンクに対するあらゆる対応が、どの程度効果的なのか疑問に思っている。コンバージョンレートはどの位なのか? リンクはウイルスのように広がるというが、だからどうなのか? それはプロセスの中の1つのステップにすぎない。実際に何人の人が、金儲けのCPA調査に記入を行ったのか?

  以下は、英国のサッカー選手ピーター・クラウチをエサとして利用しようとする、最近のスパムの例だ。

Facebook spam

  「気に入った」としているのはたった269人、というのは大して興味をそそらないが…

  しかし、右下の隅にあるあれは何だろう? 何らかのカウンターだろうか?

  なるほど、このスパマーは「http://whos.amung.us」という統計サイトを使用しているのだ。

  以下が、同サッカースパムのダッシュボード表示だ:

Facebook spam

  このスパムで記録されたアクションは、1時間に208ヒットが最高だ。

  以下は、マクドナルドのアンハッピーな「Happy Meal」に関する、よりポピュラーなスパムだ:

Facebook spam

  このスパムは拡散のため、Facebook上でbit.lyリンクを使用している。

Facebook spam

Facebook spam

  このリンクは「http://happytruthblog.co.cc」に導くもので、32,000回以上クリックされている。この統計は「気に入った」の数も示している。「気に入った」のクリックで、コンバージョンレートは? 一つのリンクで約40パーセント、他方では約48パーセントとなっている。

  ダッシュボードでは、トラフィックが上首尾を反映している。

Facebook spam

  40パーセントは、素晴らしいコンバージョンレートであり、電子メールスパムより遙かに良い。

  しかし、我々は2カ月前に、何十万ものクリックを得たウィルスリンクの例を目撃したが、32,000回というクリックはこうした類似するスパムと比較するとはるかに少ない。

  人々が危険にさらされるにつれ、リターンは減少し、抵抗が高まり、Facebookスパムがどのようなものか認識される。

  実際、スパマー自身、このことを知っているようで、人々を納得させるべく、さらに努力している。

  「Happy Meal」スパムのこのバージョンは、「調査を完了する必要は無い」と約束している。

Facebook spam

  そして「気に入った」とダッシュボードの統計とが、その約束の効果を反映している。

Facebook spam

  しかし、これはスパマーではお馴染みのウソだ。

  このページには、アンチスパムボット「テスト」があり、これは名前は違うものの調査なのだ。

Facebook spam

  ページを閉じよう。だが、これは何だ?

Facebook spam

  スパムフリーのマーケットリサーチ調査を完了するのに1分のお時間を、だって?!?

  信じられない。

  スパマー連中め! 彼らがJavaScriptで何を隠蔽しようとしているのか、見てみよう。

  以下は、スパムページのページソースだ:

Facebook spam

  このページを「気に入った」や、Facebookで友だちと「シェアする」という部分ではなく、「ステップ3」にスキップし、「/reveal.html」をオープンしよう。

  うーん、これは「widget.php」のリファレンスを示している。

Facebook spam

  そして「widget.php」のページソースが、最終的な結果を示す:

Facebook spam

  何だって? 本当に? この「Happy Meal」ストーリーは、2007年11月に話題になったものだった? これはこれは…

  これらのまぬけなスパマーがプッシュしている「無料コンテンツ」がこのタイプのものなら、彼らの骨折りに対するリターンが減少しているのは驚くべき事ではない。冗談にもほどがある。

  我々が今日検証した他の2、3の例では、ビデオがエサ(video.php)に使用されていた。これらのスパムページは、最終的にYouTubeビデオにリンクされているが、それらの表示統計は、埋め込まれたソースから数十の表示を示すのみだ。

  これは良いニュースだ。データの検証によれば、実際に調査に記入を行う「ステップ3」に進んだ人の数はどんどん減少していることが分かる。大多数の人は、そのページを「気に入った」とした直後に、あるいはリンクをシェアした直後に、同プロセスを離脱している。

  しかし、悪いニュースもある。

  ソーシャルネットワークのスパマーは、自分達の労力の報酬を得るのに、大勢の人々をだます必要はない。調査の多くはSMSの登録(特に米国外の)へと導き、かなりの儲けが期待できるのだ。そして、電子メールスパムよりもコンバージョンレートが良いことを考えると、いますぐ無くなることはないのは確かだろう。

Facebookがスパムプロフィールをレコメンド

  Facebookの「知り合いかも?(People You May Know)」機能は、レコメンデーションを行う際、プロフィール検索履歴を使用しているようだ。

  私は良くスパム関係のキーワードを検索するのだが、今日、2つのスパムアカウントがレコメンドされた。

People You May Know

  ElmaとDrema? こんな名前の知り合いはいないのだが…

  「Elma Fewell」という名前で検索を行うと、2、3のドッペルゲンガーが見つかった。増殖するFacebook IDをチェックすれば、さらにもっと見つかるだろう。

  これらのスパムアカウントはすべて、8月11日水曜日に作成されたものだ。

Facebook Spam

  私は、5つのSueann Dehartアカウントと1つのJaniece Duvalアカウントも見つけた。これらのプロフィール写真は全て、魅力的な若い女性だ(そしてKim Kardashianのものも)。逆画像検索によると、写真の中にはウクライナのモデルのものもあるようだ。

  これらのプロフィールは12日に、以下のようなスパムリンクを掲載した:

  •  A deal you just can't refuse!
  •  Check this out!
  •  Do not pay for a new iphone 4, get one for free one for no cost!
  •  I became tired of my old mobile phone and got an apple iphone 4 for free!
  •  Incredible Offer Below
  •  Just had to share this with you
  •  Take advantage of this awesome deal!
  •  Take advantage of this great deal!
  •  Whoa, check this out everyone

  これらのリンクは、iPhone 4をエサにしたLiveJournalページへと導く:

LiveJournal Spam

  ところが「Click Here Now」ボタンをクリックすると、以下のメッセージを表示する(少なくともフィンランドの)他のドメインにリダイレクトされる:

  「残念ですが、このオファーはあなたの国からは利用できません。あなたの国で利用可能な、同等のオファーにリダイレクトされています。」

  そして私はベルリンに拠点を置くドイツの会社Frogster gamesによる「Bounty Bay Online」の広告にリダイレクトされた。

Bounty Bay Online, http://www.frogster.de

  ドイツ人の同僚の一人が、まもなくゲームエキスポが開催され、Frogsterが無料のMMORPGをプロモーションしていることを教えてくれた。FacebookとLiveJournalを介して、こうした不謹慎なアフィリエイトマーケターたちによって、自分達の広告予算が流出させられているかもしれない状況について、Frogsterが気づいている可能性は、ほぼ無いだろう。(エフセキュアのドイツオフィスが彼らに知らせる予定だ…)

  適切な団体に、不正使用のメッセージが送られた。

  Facebookに関しては…ありがとう、でも私にこのレコメンデーションは不用です。Facebookはもしかしたら、ユーザが時々、自分の検索履歴を削除できるようにすべきなのではないだろうか? あるいは、詐欺師を排除するべく、レコメンデーションアルゴリズムを改善する必要があるだろう。

  スパムを見つけるのは、自分で簡単にできるので、余計な手助けは不用だ。

サインオフ
ショーン

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

いくつの方法でiPhoneを遠隔的に悪用できますか?

  現時点で、AppleのiOSにドライブバイジェイルブレイクを可能にする脆弱性があることは、おそらくご存知だろう。そしてこれらの脆弱性が、悪意ある攻撃などの、他のドライブバイエクスプロイトで使用される可能性があることも、ご存知だろう。

  攻撃者はiPhoneオーナーをだまし、巧みに作成したWebページを訪問するよう仕向けることで悪用することが、多くのレポートで指摘されている。我々が聞かれたのは、「誰かにこうしたWebページを電話から開くように仕向けるにはどうするのか?」「どのような方法が使用される可能性があるのか?」といったことだ。そこで我々は、ジェイルブレイクPDFを使用して、いくつかラボテストを行った。

  電子メールワームは可能だろうか?

  我々はエクスプロイトPDFをメールの添付ファイルとしてテストした。

Test #1:
iPhone email with pdf attachment

  iOS電子メールクライアントは、問題無くスムーズにPDF添付ファイルを認識し、ローンチした。

  電子メールワームを制限する1つの緩和要素として、PDFエクスプロイトはハードウェアとファームウェアの特定の組み合わせを標的とする、ということがある。攻撃者が潜在的なターゲットの使用するバージョンを知っているか、推測する場合には、スピアフィッシングが可能だ。

  SMSワームはどうだろう?

Test #2:
iphone sms with hyperlink

  iPhoneのソフトウェアは、SMSを通して送られるハイパーリンクを自動的にフォーマットするため、これがおそらく試みるのが最も容易な方法だろう。

  だが、この攻撃が起こるとすれば、ライフスパンは、エクスプロイトサーバが悪用され、オフラインにされるまでの時間に制限される。(そしてセキュリティコミュニティはこのような悪意あるホストに対し、非常に素早く反応する。)

  ではMMSワームはどうだろうか?

Test #3:
iphone mms with pdf attachment

  上の画像にクエスチョンマークがあるのがおわかりだろうか? 幸いなことに、MMSメッセージに対するiPhoneの標準サポートは、PDFのローンチを防止する。これは非互換によるセキュリティと言えるかもしれない…

  うまくいけば、誰かが悪用しようとする前に、Appleが同脆弱性を修正するかもしれない。しかし、どのくらいかかるかは静観するしかないだろう。

  Appleのサポートサイト曰く:

  「カスタマ保護のため、Appleは完全な調査が行われ、必要なパッチあるいはリリースが公開されるまで、セキュリティ問題の開示、議論、もしくは承認は行わない。」

「JailbreakMe 2.0」がPDFエクスプロイトを使用

  「jailbreakme.com」で入手できるiOSドライブバイ・ジェイルブレイク(昨日の記事を参照)は、PDFエクスプロイトを使用している。ハードウェア/ファームウェアの様々なコンビネーションに対する20のPDFファイルが、同サイトのルートからサブディレクトリに置かれている。

JailbreakMe 2.0 PDF Directory

  以下は、コードのスナップショットだ。

JailbreakMe 2.0 PDF Code

  Charlie Millerが、Twitterで以下の発言をしている

  「jailbreakme.comエクスプロイトについて把握し始めた。非常に素晴らしい仕事だ。これがAppleのセキュリティアーキテクチャをいかに無効にするかを考えると恐ろしい。」

  我々がテストしたところ、同PDFファイルはWindowsプラットフォーム上でAdobe ReaderとFoxitの双方をクラッシュさせる。これらは「Exploit:W32/Pidief」の亜種であると検出された。これらのファイルは、悪意をもって使用されてはいないが、エクスプロイトはエクスプロイトであり、我々はこれらを検出に追加する。

  iPhone上には、デフォルトでは独立したPDFビューワが無いことに注意しよう。その代わり、PDFの閲覧は、Safariブラウザに組み込まれている。攻撃はPDFファイル内に置かれた破損したフォントを使用して、Compact Font Format(CFF)ハンドラをクラッシュさせる。

  (iOS CoreGraphics/PDF関連の脆弱性で、パッチを当てられたものがこれまでに4種ある。)

VirusTotal Report, Exploit:W32/Pidief

  「VirusTotal」でSHA1および他の情報が得られる。

  iPhoneのジェイルブレイクが合法とされた現在、Apple Storeでそうするのはあまり良いことではないというのは面白い事だ。

追記:8月3日にリリースされた「Foxit Reader 4.1」は、「特定のPDFを開いた際にクラッシュする問題」をフィックスしている。

  「JailbreakMe」は、iOSの2つの脆弱性を利用している。PDFサポートの欠陥はコードの実行を招き、カーネルにあるもう一つの脆弱性は、権限のエスカレーションを招き、サンドボックスから逸脱することになる。VUPEN Securityが、詳細な脆弱性レポートを掲載している。

LNK脆弱性に関するMicrosoftの定例外アップデート

  Microsoftは今日、悪用されているLNK脆弱性(2286198)に対処するため、定例外のアップデートをリリースする。セキュリティアップデートは、太平洋夏時間の10時頃にリリースされる予定だ。

  Microsoft Security Response Centerによれば:

  「必要なテストを完了したので、情報を発表する。アップデートはカスタマに幅広く配布するのにふさわしい水準に達している。 […] 我々は定例外にアップデートをリリースすることこそ、カスタマを防御する助けとして最良だと考えている。」

  我々もそう思う。Microsoftに感謝を。

追記;パッチがリリースされた

JailbreakMe 2.0 for iOS 4

  「iOS 4」をサポートした「JailbreakMe 2.0」がリリースされたというレポートが、数多く登場している。iPhone、iPodあるいはiPadのジェイルブレイクに必要なのは、「http://www.jailbreakme.com」を訪問し、ドライブバイスクリプトを手に入れるだけだ。

http://www.jailbreakme.com

  これは、ジェイルブレイクが米国では合法であるという、先週のニュースに続くものだ。

  我々は現在、使用される脆弱性についてより情報を得るべく調査を行っている。もしその脆弱性がジェイルブレイクに使用される可能性があれば、より悪意のあるドライブバイエクスプロイトのために利用される可能性もあるということだ。(「JailbreakMe」のWebサイトは2007年後半に登場しており、合法的な愛好家たちであるように見える。)

  そしてiOS脆弱性のトピックに関してだが、我々は先週金曜日の記事でリンクしているスプレッドシートをアップデートし、カテゴリリストとチャートを含めた。

  WebKitとSafariは、iOSのセキュリティフィックスの94パーセントを占めている。

iOS Security Updates, 2010.06.21

あなたのiPhoneバックアップファイルはセキュアですか?

  「Wall Street Journal」の火曜版で、CitiのiPhone用モバイルバンキングアプリケーションにセキュリティの欠陥があったことが報じられた。

Citi app

  カスタマはアップデートを推奨されている。

  「Wall Street Journal」から:

  「Citiは、iPhoneアプリが誤って、ユーザのiPhoneの隠しファイルに、アカウント番号、請求書の支払い、セキュリティアクセスコードなどを含む情報を保存すると語った。」

  おっと! これはまずい。

  Charlie Millerによれば、それらの情報にリモートでアクセスするには、エクスプロイトが必要だという。

  iOS脆弱性の完全なリストはここにあり、Excelファイルでダウンロードすることもできる。[XLSX](ソース

  幸い、これらの脆弱性は、多くがMillerのおかげで修正されている。

  Millerは、iPhoneデータファイルは、紛失した、あるいは盗難にあった電話をジェイルブレイクすることでも獲得できると語っている。

  我々の考え?

  シンクするバックアップファイルをターゲットにできるのに、何故、電話自体のデータを追い求めるのか?

Backup

  これらのファイルの場所を特定するのは、難しいことではない。

Where backups are stored

  そしてそれらは、「SQLite Database Browser」などの無料ソフトで容易に閲覧できる。

  iTunesは暗号化を提供しているが、ほとんどの人々はおそらく、それを使用しないだろう。

Encrypt iPod backup

  我々は悪党連中ではなく、Citiが自分達のアプリケーションに欠陥を発見したことを嬉しく思っている。そして我々は影響を受けた11万7600人のカスタマが、時をおかずにアップデートすることを(その後、シンクしてバックアップファイルをアップデートすることを)望む。

  あなたはバックアップファイルを暗号化しますか?

  以下のアンケートに答えて欲しい:あなたはiPhone/iPodバックアップファイルを暗号化しますか?

LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

LNK脆弱性:ドキュメントの埋め込みショートカット

  Microsoftが「セキュリティ アドバイザリ 2286198(バージョン1.2)」をアップデートした。

  Microsoftの人たちが、懸命にこの問題に取り組んでいることは非常に明白だ。我々の懸念は対処されており、同アドバイザリはもはやWindows 7 AutoPlayを緩和策とはしていない

  そして今度は悪いニュース。

  同アドバイザリのバージョン1.2には、新しい重要な詳細が含まれている:

  「エクスプロイトは、埋め込みショートカットをサポートする特定の文書タイプにも含まれる可能性がある。」

Microsoft Security Advisory 2286198, version 1.2

  文書 — Microsoft Office書類のような文書。

  これはまさに、LNK脆弱性の潜在的な影響範囲を拡大するものだ。文書利用の容易さを考えると、我々はまもなく、電子メールメッセージを介した標的型攻撃添付ファイルをほぼ確実に見ることになるだろう。

  幸いなことに、MicrosoftのActive Protections Program(MAPP)は優れた技術的詳細を提供しており、我々はWormLinkエクスプロイトに対するプロテクションをさらに改善した。我々の最新のシグネチャ:Exploit:W32/WormLink.BおよびCはより包括的であり、以前よりも効果的だ。Microsoftに賞賛を送りたい。

  アドバイザリにリストされている回避方法をチェックしてみよう。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする
  •  インターネットのLNKおよびPIFファイルのダウンロードをブロックする

  Microsoft Supportは、1度クリックすることでショートカット機能を無効にする「Fix it」ボタンを含むKnowledge Base Articleを掲載している。

  Microsoftはセキュリティアップデートを開発するべく鋭意努力中だが、皆がこの新情報をチェックし、自分の環境に即して評価すべきだ。

署名されたStuxnetバイナリの新種

  Stuxnetルートキットのケースで、2、3の進捗がある。昨夜、エフセキュアのクアラルンプール・ラボのアナリストたちが、デジタルに署名された新たなStuxnetドライバの検出を追加した。これはJMicron Technology社からの証明書を使用している。

  この新たなバイナリの検出は「Rootkit:W32/Stuxnet.D」だ。

Stuxnet.D

  以下は同ファイルのプロパティからのデジタルシグネチャの詳細だ。

JMicron Cert

  そして以下が証明書:

JMicron Cert

  以下はVeriSignを通じた証明書の詳細だ。

JMicron leaked cert VeriSign info

  この特定の証明書は、2012年7月25日まで有効となっている。

  いくつかの変更はあるが、当初の分析では、この新たなドライバは、我々が見てきた最初のStuxnetサンプル群と、基本的なファンクションやアプローチが同じであり、非常に類似していることが明らかになった。

  ESETのPierre-Marc Bureauは、JMicronとRealtek Semiconductor社の双方が、台湾のHsinchu Science Parkにオフィスを持っていることに注目している。Realtekは、現在はVeriSignにより取り消されているが、以前使用された証明書のソースなのだ。

  我々は、ソースコード管理システムを標的としたAuroraスタイルの攻撃の結果として、Realtekによるオーセンティコードのリークが起こった可能性があるのではないかと推測しているが、現在、これら2つの会社が、物理的にご近所であることから、物理的な侵入が関係した可能性についても思いをめぐらせている。

  Stuxnetに関する追加的なニュースとして、SIMATIC WinCCデータベースが標的とされているSiemensが、SCADAシステムのハードコードされたパスワードを変更しないようアドバイスしている。懸念されているのは、パスワードの調整が、有害なコンフリクトを引き起こすことだ。

  Robert McMillanがPCWorldで、この件に関して詳細を述べている。

「セキュリティ アドバイザリ(2286198)」を更新

  Microsoftが「セキュリティ アドバイザリ(2286198)」を更新し、現在、以下のように明記している:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している

  しかしながら、同アドバイザリは現在も以下のように表明している:

  「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。

  我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

Windows 7 AutoPlay defaults

  「全デフォルトにリセット」

  そこで、我々はデフォルトの回復を選択した:

Windows 7 AutoPlay defaults

  すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。

  以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

Windows 7 AutoPlay defaults

  ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。

  では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。

  しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。

  Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…

  しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。

  何故?

  以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。

  たとえば、これはConfickerの攻撃メソッドの一つだ:

Windows 7 AutoPlay and Conficker

  Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?

  その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。

  この場合、パーティションはAutoPlayにより通常のCDとみなされる。

Windows 7 AutoPlay and Virtual CD

  我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。

  しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。

結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。

ショートカット・ゼロデイ・エクスプロイトのコードが公開

  MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット(.lnk)脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。

  これはさらに、ショートカット脆弱性の危険を拡大する。これまでStuxnetルートキットの作者だけがこの欠陥を利用してきたが、現在は他の悪者たちが、すぐ後に続くであろうことに疑う余地はない。

  幸いにも、一部の人々はこのPoCを良い目的にも使用している。

  Didier Stevens(Adobe Readerの/launch機能に関するリサーチでよく知られている)は、彼のAriadツールで同エクスプロイトをテストし、これは上手くブロックされた。StevensはWindows 2000 SP4までさかのぼってテストしている。もしMicrosoft Securityアップデートの予定が無いレガシーシステム(Windows XP SP2など)を保持する必要があるなら、Ariadは一つの選択肢と言えるかもしれない。

  しかしStevensはAriadをベータソフトウェアとしているため、選択肢とならない人もいるだろう。それでは他にどんな方法があるだろうか?

  SophosのChet Wisniewskiは、実行ファイルのローンチをローカルハードドライブに制限するため、Group Policiesを使用する事を提案している。

  そしてもちろん、Microsoftのセキュリティ アドバイザリによる回避方法もある。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  「セキュリティ アドバイザリ(2286198)」に関してだが、いくつか我々には不明瞭に思われる部分がある。

  たとえば、同アドバイザリによれば:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンをクリックすると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  しかし、我々の分析によれば、クリックは必要ではないのだ。

  Microsoft自身のMalware Protection Centerは、同エクスプロイトについて以下のように述べている:

  「これは、USBドライブに置かれた、特別に作成されたショートカットファイル(別名.lnkファイル)を活用するもので、.lnkファイルがオペレーティングシステムによって読まれるとすぐに、自動的にマルウェアを実行する。言い換えると、単にショートカットアイコン(Windows Explorerのような)を表示するアプリケーションを使用しているリムーバブルメディアドライブを閲覧することで、その他のユーザインタラクション無しでマルウェアが動作する。」

  単にリムーバブルドライブを閲覧するだけ。クリックは必要無い。

  そして、AutoPlay機能に関する疑問がある。アドバイザリによれば:

  「AutoPlayを無効にしたシステムについては、同脆弱性を悪用するには、ユーザがリムーバブルディスクのルートフォルダを、手動で閲覧する必要がある。Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  しかしデフォルトでは、我々のWindows 7テストシステムにUSBドライブを接続すると、以下のような状態になる:

Windows 7 AutoPlay

  このダイアログはAutoPlayとなっているのでは? Windows 7システムでは、AutoPlayは自動的に無効とはならないようだ。

  デフォルトでAutoRunは無効とならなければならなかったのだろうか?(Windows 7は間違いなく、Windowsの以前のバージョンよりもリムーバブルメディアの取り扱いが優れているが、AutoPlayは現在もデフォルト機能であるようだ。)

  いずれにせよ、AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に:スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。

  通常、我々はMicrosoftに対してこのような小さな点をあげつらったりはしないのだが、組織にリスクのオフィシャルな評価情報を提供するアドバイザリであるため、このことは特に重要であると思う。

追記:Microsoftがアドバイザリをアップデートした。我々の最新の記事に詳細がある

サイバー戦争に関するクロストーク

  ミッコがこのほど、RTのクロストークプログラムにゲストとして招かれた。21世紀のスパイ活動というトピックは、非常にタイムリーだ。

  サイバーなスパイ活動というトピックで:「これは現在、実際に起こっていることだ。」



  上のビデオが視聴できない場合は、CrossTalkのサイトYouTubeを試して欲しい。

  .flvファイルをダウンロードすることもできる。

LNKエクスプロイトに関するその後の分析

  Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

  我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

  我々は昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

  同ルートキットコンポーネントは、デジタル署名されており、我々は有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

  いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

  有効なデジタル署名を用いた悪意あるソフトウェアについては、エフセキュアのJarno Niemelaが先頃、「Caro 2010 Workshop」のプレゼンテーションで予測していた:署名されているのだからクリーンでしょう?

  標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

  したがって、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている

  我々は今後も同ケースについて進展があり次第、詳細を報告する予定だ。

スパイ攻撃がLNKショートカットファイルを使用

  標的型攻撃で使用されている、新たなゼロデイの可能性が流布している。ベラルーシのアンチウイルス会社「VirusBlokAda」がこのほど、2つの新しいルートキット・サンプルに関するニュースを発表した。そして非常に興味深い事に、感染ベクタはUSBストレージとWindowsショートカット[.LNK]ファイルだ。

  このルートキットは、Windows ExplorerやTotal Commanderなど、アイコンを生成するファイルエクスプローラにより閲覧された際に、オペレーティングシステムに感染するLNKファイルを使用する。

  「Krebs on Security」によれば、このメソッドは完全にパッチを当てたWindows 7コンピュータを感染させることができる。

  Krebsによれば:MicrosoftのJerry Bryantが述べている。「MicrosoftはUSBストレージデバイスにより広がっているというマルウェアに関する主張について調査中だ。調査を完了した時点で、我々はユーザとインターネット環境を保護するため、適切な行動を取る予定だ。」

  同サンプルに関する我々の現時点での分析は、このショートカットはWindowsがコントロールパネル・ショートカットファイルを取り扱う方法を、どのようにか利用しているように思われるというものだ。

Windows 7 Control Panel Icons

  我々は調査を続けている。

  Krebsの報告で、興味深い点がさらに2つある:

1.) これはRealtek Semiconductor社のデジタル署名を使用するか、模倣しようとする。
2.) Siemens WinCC SCADAシステム、もしくは製造業や発電所などの大規模な分散システムのオペレーションをコントロールするマシンを標的とするようだ。

  「VirusBlokAda」によるレポートはここにある。(PDF)

  多くの組織が、ワームのオートランに関し、USBデバイス向けのポリシーを、かなり以前に確立している。今回の新しいスパイ攻撃は、新たな見直しの必要性を示唆している。ポリシーによりAutoRun/AutoPlayをオフにすることは、もはや安全を保障するものではない。

「Windows XP SP2」に別れを告げる時

  今日、7月13日は、「Windows XP Service Pack 2」のサポートが終了する日だ。今日以降、MicrosoftはSP2向けにアップデートをリリースせず、これにはInternet Explorer、Media Player、Outlook ExpressなどのMicrosoftソフトウェアも含まれる。

  エフセキュアのテレメトリーでは、我々のカスタマ・ベースの10パーセントから11.5パーセントが「XP Service Pack 2」を使用している。この数は、企業のマシンが使用されない週末中には低下する。「「Windows XP SP3」の数は50パーセントから54パーセントに及んでいる。

  サポートの終了問題に直面しているのが、我々のカスタマの約10パーセントであるのは悪くない。

  しかし、読者の皆さんはどうだろうか?

  この5月、我々は「主要OSとしてWindows XP SP2を使用していますか?」という質問をした。およそ44パーセントが「Yes」と解答した。

  世界にはまだ、「Service Pack 2」を使用しているコンピュータが数多くある。このことは重大な問題ではないが、結局は、これらコンピュータに影響を及ぼす脆弱性が、利用可能なのだ。このことは、遅かれ早かれ問題になるだろう。

  今日のアップデートを適用することをお勧めする:

Microsoft Updates, July2010

  そして次に、MicrosoftのDownload Centerでダウンロードできる「XP Service Pack 3」へのアップデートを予定に入れて頂きたい。

あなたはパスワードを再利用していますか?

  1週間前、「TNW Apple」がAppleのApp Storeに関する記事を掲載した。一部の恥知らずな開発者が、ジャンク・アプリケーションの利益を「App Farm」するため、障害が起きたiTunesアカウントを使用しているようだ。「TNW Apple」の記事は、元々はThuat Nguyenに関するものだったが、すぐに拡大することになった。

  そして、この問題についての多くの考察が登場し、我々も考えをたずねられた。「Computer World」のGregg Keizerは、我々がiTunesフィッシングの増加を予測していたかどうかを知りたがった。しかしGreggと話していて、我々はiTunesをフィッシングする必要など無いことを確認した。なぜなら、アカウント名は電子メール・ベースなのだから、フィッシングされたメール・アカウント・データを収集し、iTunesで同じパスワードを試せばいいだけなのだ。

  一体何人の人が、自分達のアカウント全てに、同一のパスワードを使用しているのだろうか? 我々が最近行った調査によると、およそ20パーセントだ。同調査はスウェーデン、英国、およびドイツで実施された。

Survey results

  ストアはiPodとリンクされているので、電子メールとiTunesで同じパスワードを使用しても問題は無い、と考える人もいるだろう。

  しかし問題がある。ストアはあなたのクレジット・カードにもリンクされているのだ。今回のNguyen事件は、クレジット・カードから盗みを行おうという意志さえあれば、方法もあるということを明らかに証明している。

Facebookはランディング・タブを制限すべきか?

  AVGのロジャー・トンプソンが今日、ブラウザのアドレス・バーに、JavaScriptをコピー&ペーストするよう求める、Facebookページを巻き込んだ詐欺について、興味深い記事を投稿した。JavaScriptのファンクションの一部が、そのページが何人に好まれたかを自動化するようで、それが拡散の原因となった。ありそうもないトリックのように聞こえるでしょう?

  その結果、どれくらいの人がこれに引っかかっただろうか? トンプソンによれば、このページはおよそ60万の「Like(いいね!)」を獲得したそうだ。

  信じがたい。

  この件に興味を刺激され、私は「99% of people can't watch this video more than 25 seconds」という付加的なページを検索してみた。

  現在、総計で20万以上の「Like」を有するいくつかのページが存在する:

99% of people can't watch this video more than 25 seconds

  私が発見したページの中ではたった1ページしかJavaScriptを使用しておらず、その他は単に、そのページが気に入られると、TinyURLリンクを表示するだけだった:

99% of people can't watch this video more than 25 seconds

  このリンクは、面倒なマーケティング調査やCPAなどに導く。類似ページはしばしば、詐欺的な、あるいは悪意のあるWebサイトへと導く。

  残念なことに、Facebook上にページを作成するのはむしろシンプルなタスクであり、より大きな問題は「ランディング・タブ」なのだ。ランディング・タブとは何だろう? これは、そのページをまだ気に入ったとしていない人に示される最初のタブで、このケースでは「Video Here!」タブがそれだ。

  この5月、ランディング・タブが「認証されたページ」に制限される、もしくは1万人以上のファン(現在は「Like」)を持つページに制限される予定だと、「All Facebook」が報じた。翌日、Facebookは立場を変え、この制限は実装されなかった

  Facebookの発表によれば:「我々は最近追加した、ページ上にカスタマイズしたランディング・タブを置く際の認証条件を削除した。この条件はページの品質イニシアティブの一部として制定されたものだが、我々は現在、状況を再吟味しているところだ。今後、何らかの変更を行う際には、予告とリードタイムを発表する。」

  Facebookは何故、後退したのだろうか? 小規模な企業が不服を申し立てたためだ。1万人のファンという条件をクリアするのは、あまりに難しいように思われたのだ。ランディング・タブの主要な用途は、そのページのベースを作成することであり、おそらくは要求が大きすぎたのだろう。

  しかしこの時点で、何の条件も無いということが、詐欺やスパムの氾濫の切っ掛けとなっている。何らかの妥協がなされるべきだろう。

  エフセキュアのFacebookページは、「Anti-Theft Phonehunt」キャンペーン中など、時折ランディング・タブを使用しているが、この機能をあてにしてはいない。この機能を可能にするためには、若干の努力をしなければならないとしたら、そうするまでだ。現在、こうした詐欺に引っかかっている人たちは、そうした方が良いだろうし、状況は改善するだろう。

  Facebookが、彼らの言う再吟味にあまり時間を掛けないことを祈ろう。

  TinyURLはすぐに、私が悪用した6つのリンクを停止した。Gilbyに感謝を!

サインオフ
ショーン

あなたの農場はすべて我々のもの

  Zyngaの「FarmVille」は、ポピュラーなソーシャル・ネットワーク・ゲームで、おそらく、多くのプレイヤーがFarmVilleの秘訣や抜け穴を知りたがっていることは、何ら驚くべき事ではない。その結果、ユーザはそれらを求めてサーチエンジンを使用する。

  現在「farmville cheats」は、サジェスチョンの上位にランキングされている:

FarmVille suggestions

  悲しいが本当のことだ。

  とにかく、我々は「farmville cheats」を検索し、すぐに「farmville-secrets.spruz.com」を発見した:

FarmVille secrets cheats

  「spruz.com」は、使用条件ポリシーの違反により、このページを削除しており、もはやホスティングしていないが、Googleのキャッシュに注意して欲しい。

  以下がそのサイトの外観だ:

Click Here

  「Click Here」ボタンは、「FarmVille_autobot.exe」という名のファイルのダウンロード・ダイアログをオープンする。

  AUTOBOTは不正行為をする便利な方法、ということだろうか? このケースのみ、不正を行う人は、求める以上のものを得ることになる。このファイルは高度なバックドア・ルートキット、TDSSの亜種を含んでいるのだから。なるほど、最高のシークレット(Best Kept Secrets)だ!

  我々が分析した(ありがとう、JoJo)同ファイルのMD5は、「9c7812efa218ab3750e570a93015e884」で、「Trojan:W32/TDSS.FZ」として検出されている。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード