エフセキュアブログ

by:ショーン・サリバン

AmazonがFlash広告にノーを突きつける

 近頃、Flashベースのマルバタイジングが猛威を振るっている。そのため以下のような発表がなされるのは時間の問題でしかなかった。

 「Beginning September 1, 2015, Amazon no longer accepts Flash ads on Amazon.com, AAP, and various IAB standard placements across owned and operated domains.)、または所有および運用するドメイン上のIAB(Interactive Advertising Bureau)標準の様々なプレースメント広告において、Flash広告を受理することはない。」

Amazon Advertising Technical Guidelines
Amazon Advertising Technical Guidelines

 AmazonはFlashを禁止する以上のことを行っている。以下に例を挙げる。

  • 広告を提供するサーバのドメインからのみコンテンツを受け付ける
  • ドメイン名がある場合に限定し、IPアドレスしかないものは受け付けない
  • 表示されるURLは実際の宛先でなければならず、リダイレクトは認められない

 詳細はこちら

 これはAmazonとしては非常にすばらしい動きであり、願わくば他の企業も遅かれ早かれ同様の措置を講じてほしい。Flashベースの広告は、現在は非常にありふれたセキュリティ上のリスクだ。ない方が、みんながより幸せになる。

 @5ean5ullivan

もうすぐだ…

 我々の「構築プロジェクト」はうまく運んでいる。

A work in progress

 あとこれを解決しなくては…。

Mobile usability issues

 Fix mobile usability issues?(モバイル機器での使い勝手に関する問題を修正してくださいって?)

 翻訳:貴サイトは、当社のAndroidスマートフォンや広告のさらなる売り上げに貢献していません。

 まあ「問題」が何であれ、もう間もなく解決される。

これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



iOS 8.4.1のセキュリティの中身について

 iOSのバージョンが新しくなると、いつも私はセキュリティアップデートについてもっと知りたくなる。

 アップルのサポートでは、「Apple security updates」という中心的なページを用意している。ここでiOS 8.4.1のアップデート情報が得られる。それによると71件の脆弱性に対応している。

iOS 8.4.1 security
iOS 8.4.1で対応した71件のCVE(Common Vulnerabilities and Exposures)のうちの4件

 今回のアップデートはファイルサイズとしてはたいして大きいわけではないが、iOS 9が近日提供されるとしても、当該アップデートを適用する価値はあるだろう。

 このアップデートはiOSデバイス上で「設定>一般>ソフトウェア・アップデート」と辿るとダウンロードできる。

 @5ean5ullivan



準備中

 このブログ(https://www.f-secure.com/weblog/)の常連の読者の方なら、最近、更新が遅いことにお気づきだろう。

Under Construction
工事中

 とうとうGreymatter 1.7.3から更新することにした。ここは世界でもっとも古いGreymatterのブログかもしれないが、もうすぐ変わる。

 詳細は追って連絡する。

 それと同時に、引き続きTwitterで情報を得られる。

「iOSクラッシュレポート」について更新:Safariがブロック機能を追加

 求めなさい。そうすれば、与えられる。こともある。

 先週の金曜日、iOSを標的にしたコールセンター詐欺について取り上げた。そして本日、アップル社はこれについて役立つであろう新機能(ベータ版)をリリースした。

 以下は同社が公開したiOS 9 Public Beta 2だ。

iOS 9 Public Beta 2, Install

 Safariの新機能の1つにより、詐欺に重きをおいたJavaScriptをブロックできるようになった。

iOS 9 Public, Safari Block Alerts

 我々は詐欺サイトをテストした。JavaScriptのダイアログを数回消そうとしたところ、Safariは「Block Alerts」というボタンを提示するようになった。これで簡単にページを閉じることができる。

 アップルに賞賛を!一般向けのiOS 9のリリースにもこの機能がお目見えするのを待っている。

 Rosyna Kellerに帽子を取って深くお礼する。

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

ワッセナー・アレンジメントにおける定義の厄介さ

 (訳補:通常兵器や関連品の)輸出管理体制に関する多国間の申し合わせであるワッセナー・アレンジメントでは、「侵入ソフトウェア」の定義を、コンピュータやネットワーク機能のあるデバイス上で、監視ツールによる検知を回避したり防護手段を打破する目的で、特別に設計または修正されたソフトウェアのこととしている。侵入ソフトウェアは、次のような目的で使用される。データや情報の抽出、システムデータやユーザデータの変更、外部から与えられる命令を実行可能にするためのプログラムやプロセスの標準的な実行経路の変更などだ。

 ワッセナー・アレンジメントでは、監視ツールとはデバイス上で実行されているシステムの振る舞いやプロセスを監視するソフトウェアまたはハードウェア機器だと述べている。これにはアンチウィルス製品、エンドポイントセキュリティ製品、PSP(Personal Security Product)、IDS(Intrusion Detection System、侵入検知システム)、IPS(Intrusion Prevention System、侵入回避システム)、そしてファイアウォールが含まれる。

Wassenaar Arrangement definitions
ソース


 つまり…、当社エフセキュア(やアンチウィルス業界)で「マルウェア」と呼んでいるものは、ワッセナー・アレンジメントの侵入ソフトウェアの定義にぴたりと当てはまるようだ。

 このことが、なぜ興味深いのか?

 米国商務省の1機関である産業安全保障局は、侵入ソフトウェアの輸出について免許を要求するように、規則を更新する提議を行っている。

 また商務省によれば、「輸出品」とは米国から国外の目的地へ送付される「いかなる」品目も指すとのことだ。「品目」には何よりソフトウェアやテクノロジーが含まれる。

パラドックス

 となると…、もしマルウェアが侵入ソフトウェアであり、輸出品にいかなる品目も含まれるなら、米国を拠点とする顧客が欧州のアンチウィルスベンダーにマルウェアのサンプルを提供するには、具体的にどのようにしたらいいのだろうか?真面目な話、顧客はゼロデイ攻撃を行うマルウェアを当社にひっきりなしに送信してくる。世界中の信頼のおけるアンチウィルスベンダーと日常的に交換しているサンプルについても、言わずもがなだ。

予期せぬ結果

 産業安全保障局による提議の関連資料では、次のように記載されている。「ハッキング」ツールを制限しようとするもののうち、侵入ソフトウェアを用いるペネトレーションテスト製品は範囲に含まれる。だが、この範囲から除外されるものについては一切言及がない。つまり産業安全保障局は、顧客がマルウェアのサンプルをアンチウィルスベンダーにアップロードするのを制限することを意図していないのかもしれないが、この新しい規則が採用され、恣意的に適用された場合には、効力を持つ。あるいは、法的にあいまいなまま人々が運用せざるを得なくするだけかもしれない。これが我々が望んでいることだろうか?

 産業安全保障局は7月20日まで意見を募っている

発見したこと:英国のWi-Fi法?

 先週の木曜日にイギリスを訪れたところ、「無料の」Wi-Fiを提供しているコーヒーショップを見つけた。そこでは次のことが書いてあった。

 「イギリスの法律では、当店のWi-Fiをどなたが使用しているのかについて、常に当店が把握している必要があります。」

 私は法律家ではないが、ちょっと裏がありそうな要求ではないか。

_WalkinWiFi

 携帯番号、郵便番号、そして生年月日だって??

 この種のほら話に、どれだけの人が引っかかるのかだろうか。

 Post by — @Sean

SMSエクスプロイト

 iPhone、iPad、さらにApple Watchにまで影響する、DoS(denial of service)を可能にするiOSの脆弱性がある。

 SMSで電話機がクラッシュするって?2008年ならそうだった。


S60 SMS Exploit Messages(S60に対するSMSエクスプロイト)

 報告されているところでは、2008年のときとは異なり、今回は若者が脆弱性をついて他人に嫌がらせをしている

 Apple社はセキュリティアップデートの開発に取り組んでいる。しかし残念ながら、このアップデートは古いiPhoneについては用意されない公算が高い。

追記

 以下は「Effective Power」エクスプロイトがiPhone 6をクラッシュさせる動画だ。


Effective Power Unicode iOS hack on iPhone 6

 そして以下は、Effective PowerがiOSのTwitterアプリをクラッシュさせている。


Effective Power Unicode iOS hack vs Twitter

Macをハッキングするデモ

 SSHのパスワードを強固にすることは非常に重要だ。さもないと、少女にRaspberry Piでやられてしまうかもしれない。

Kids hack their Dad's computer on her Raspberry Pi

 心配はいらない。この少女は母親に許可を得ている。母親公認のハッキングだ。

HackerStrip「Brain」

 「Hackerstrip is a comics website that publishes comics about hackers and their real life stories.(Hackerstripとは、ハッカーや彼らの実生活のストーリーについての漫画を公開するWebサイトだ)」

 Brain: Searching for the first PC virus in Pakistan(Brain:最初のPCウィルスを探し求めてパキスタンへ)

HackerStrip, Brain

 この話の続きはhackerstrip.comで読むことができる。元になった動画はここで視聴可能だ。

WhatsAppスパムをクリックしたフィンランド人が今日だけで22,000人以上

 当社のスレットインテリジェンスチームの上級研究員Daavidは、今朝「サムスンGalaxy Pro」をネタにした、WhatsAppアカウント宛てのスパムメッセージを2件受信した。

Onneksi olkoon!

 「Onneksi olkoon!Olet voittanut Samsung Galaxy Pro Tableting.」これを訳すと、次のようになる。「おめでとうございます!サムスンGalaxy Tab Proが当選しました。」このメッセージには、賞品の引換場所のリンクが含まれている。フィンランド中央部にあるゴルフコース、パルタモゴルフのど真ん中だ。

WhatsApp Spam WhatsApp Spam

 ちょっとした面白い偶然なのだが、昨年の夏、私はそこで家族でおいしいランチに舌鼓を打った。そこの電話番号に+86が付かないことは明白だ。+86は中国の国コードである。この132と150というプレフィックスは、それぞれGSMベースの電話網のものだ。

 WhatsAppの情報表示機能を使えば、プロフィール画像を拡大して表示できる。

WhatsApp Spam WhatsApp Spam

 この画像は、「Lotto24(訳注:ドイツの宝くじ)」の、とあるキャンペーンから引っ張ってきたもののようだ。

Google results

 iPhoneでは地図が表示された。Windows Phoneでも同様だった。

 しかしAndroid機では、地図はChromeにリンクしており、Googleの短縮URLを経由してlotto24.fiにリンクされていた。

 短縮URLのメトリクス(と集計)により、22,000人超の人々がスパムのリンクをクリックしたことが示されている。そして大半はフィンランドからだ。

Google link analytics
 (クリックで画像拡大)

 —————

 Daavidにスクリーンショットの礼を言う。

 Post by — Sean

動画:スタンフォード大学でのミッコの講演

 ミッコが最近スタンフォード大学で講演を行った。


 この講演はYouTubeで視聴できる。

Reply All「#21 Hack the Police」

 2015年という時代に「インターネット」の使用が禁じられる?モノのインターネットに囲まれている今、それはどんな感じなのだろうか?

 Reply All(訳注:ポッドキャストによるインターネットラジオサイト)のエピソード#21にて、Alex Goldman(訳注:Reply Allの司会者の1人)はその答えを見いだした。


Hack the Police

 「ハッキングの罪で収監中だったHiginio Ochoaが2014年9月に出所した。仮釈放の条件の1つは、インターネットに接続したいかなる機器の使用も許可しない、というものだった。オースチンのOchoaの家に行って、Ochoaがどうやって過ごしているか、それがどんな感じかを見てきた。2015年という時代にね。オンラインで生活を送るところから、インターネットへのアクセスが一切無いところに行ったんだ。」

Mac OS X用のFreedome VPN

 こちらをご覧いただきたい。

F-Secure Freedome Mac OS X

 OS X用のF-Secure Freedomeだ(研究所のMacチームのMacBookに新規インストールした)。

Mac_Team_Test_Machines

 ベータ版が現在公開されており、60日間無料でお試しいただける。

 ダウンロードまたは共有を。

新たな脅威レポート

 当社の最新の包括的な脅威レポートが公開された。2014年下期の分析に基づいている。

H2 2014 Threat Report At A Glance

 このレポートその他はf-secure.com/labsから入手できる。

CozyDuke(TLP: White)

CozyDuke

 このホワイトペーパーはCozyDukeの概要を述べている。CozyDukeは単一または複数の悪意ある人物によって、社会的地位のある組織に対しAPT攻撃を仕掛けるために使われているツール群だ。社会的地位のある組織とは、政府系組織やそれらと密接に関わっている組織などだ。

 CozyDukeツールセットは、標的のホストへの感染、バックドアの確立および維持、標的からの情報の収集、被害を受けた組織内の他ホストへのさらなる侵入を行う各ツールから構成されている。我々は遅くとも2011年から活発に開発中であると捉えている。

 CozyDukeのツール群に使用されていることがわかったC&Cサーバの情報に基づき、我々は次のように考えている。CozyDukeツールセットは少なくとも1人以上の悪意のある人物が使っており、その人物は既知の脅威であるMiniDukeやOnionDukeを用いている人物と同じインフラを使用、もしくは少なくとも共有している。

 CozyDukeのホワイトペーパーのダウンロードを

 Research by @lehtior2

引っ越し

 こちらエフセキュアラボでは大規模な組織変更を行っており、当社のヘルシンキ本社の2階と3階でスタッフがあちこち移動することになっている。

 引っ越しにはそれ用の箱が必要だ。そして、プラットフォーム部門でこんなことをやった。

Great Wall of Sofa

Lab Dancing Inside

 ところで、当社では事業を拡大している。APT部門で、ソフトウェアエンジニアを数名募集している。箱を積み上げる経験は不要だ。

 採用

動画:オンラインの世界のテロリスト集団

 最近の事件を鑑み、オンライン攻撃を行うテロリスト集団の危険性に関する、ミッコのこちらの講演はタイムリーだと思う。


 YouTube: Terrorist Groups in the Online World

 ヒント:自分のパスワードを電波に乗せて、与しやすい標的にならないように。

David Delos

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード