エフセキュアブログ : by：レスポンスチーム

　やれやれ…　どうやら誰かが、Internet Explorerの脆弱性に対応するエクスプロイトのコーディングを行いながら、Jay Chowの歌にあわせて歌っているようだ。同脆弱性は「Microsoft Security Bulletin MS10-018」で対処されたものだ。同エクスプロイトは、IEでPeer Objectコンポーネント（iepeers.dll）を標的とするもので、今日、クライアント・ブラウザで利用されようとしていた際に検出された。

　シェルコードから解読した後、これはペイロードをダウンロードし、「Trojan:W32/KillAV.LD」として検出される。

　この脆弱性を利用するのに用いられるJavaScriptは以下の通り：

　よく見ると、変数およびファンクション名が、実は特定の意味を持ついくつかの漢字を示していることが分かるだろう。これらは子供の歌と台湾の歌手Jay Chowの歌にある歌詞をミックスしたものだ。

　いつも通り、このようなエクスプロイトはエフセキュアのブラウザ保護によりブロックされており、皆さんは安心してブラウジングすることができる。

　投稿はJaan YehとChu Kianによる。

知識を得て「エフセキュアインターネットセキュリティ」を6ヶ月間利用

2010年03月11日02:29

　エフセキュアは本日、新しいブログを公開した。名称は「Safe and Savvy」だ。

　名称がピンクなのにお気づきだろう。これは我々の新ブランドの一部だが、執筆者を反映してもいる。「Safe and Savvy」の寄稿者たちは、（主として）エフセキュアの女性スタッフなのだ。

　Hetta、Marja、Annika、Alia、Melody-Jane（そしてJason）が既に執筆を開始している。

　「エフセキュアインターネットセキュリティ 2010」を無料で6ヶ月間利用できるプレゼントについては、Hettaによる最新の記事をチェックして欲しい。

モーフィングPDF

2010年03月05日16:00

　Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…

　凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。

Joe Corvo

　そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。

Joe Corvo PDF

　3時間後…　Googleはまだ、そのファイルがPDFだとしている。Brod（エフセキュアのいかれた面々の一人）は、この件についてGoogleのキャッシュに原因があると考えている。

Joe Corvo, 3hrs later

　しかし、今回、本当にPDFなのだろうか？

Joe Corvo HTML

　それはモーフィングしたのだから！　そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる：

Jay Polhill PDF

　少なくとも、それが変化するまでの2、3時間の間は…

Jay Polhill HTML

　悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウイルス詐欺となる。

　投稿はChristineとMinaによる。

リダイレクションにFlashを利用するSEOポイズニング・サイト

2010年03月04日19:06

　一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。

PDF Google

　SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた…　そして我々は以下のようなものを見た：

isitpossibletobehappy swf

　OK、これだけかもしれない。そこで我々は他のサイトをチェックした：

olympiccoverage swf

　そしてラボでは通例のマニアックなやり方で…我々は興奮した。

　解凍すると、このSWFには以下が含まれていた：

swf code

　多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。

　このSWFはもちろん、以下のことを始めるためのキーだ：

pdf scandownload

　悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。

　おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。

　これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。

投稿はChristineとMinaによる。

PDFファイルを分析する

2010年03月01日19:11

　悪意あるPDFファイル・コーディングに段階的変化が見られる（マルウェア・オーサーは自分たちのテクニックを適応させることができるし、実際適応させてきたことを考えれば当然のことだ）。

　長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロード等々、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。

　現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。

　ここ数ヶ月、私が遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ：

Obfuscated

　保守的なスタイルのスペーシングが使用されていることに注意して欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。

　いずれにせよ、一旦これが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう：

Normalized

　PDF難読化に関する興味深い分析は、SANSにも掲載されている。

　投稿はZimryによる。

SEOポイズニングにより60以上のサイトで障害

2010年02月25日16:23

　60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。

　また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

　不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

　ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

　もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

　そしてその後、その不正物自身が…

security antivirus

　このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

　エフセキュアブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

あなたはコードに署名しますか？

2010年02月23日00:24

　当ラボから調査のお願いがある。「Windows 7」がマーケット・シェアを獲得するにつれ、ソフトウェア開発者にとって、Code Signingが重要になってきている。

　署名されている、よりクリーンなコードは、その副産物として、正当なソフトウェアと容易に区別されないよう、マルウェア・オーサーが自分たちの作った物に署名させようとする動機がより強くなるという状況を生んだ。

　このことを考慮して、我々はコードに署名している開発者に照準を定めたアンケートを実施したい。

　もし皆さんがWindows開発者なら、以下の簡単な調査に回答して頂けると幸いだ。

1. 貴方はコードに署名しますか？
2. コードに署名するため、別のサーバを用意していますか？　それとも開発用に使用しているのと同じコンピュータで署名していますか？
3. パスワード無しでファイルに署名していますか？　それともパスワードを含む署名バッチ・ファイルを作成していますか？
4. あなたは開発用コンピュータでインターネットを閲覧したり、メールを読んだり、開発以外の活動を行っていますか？
5. 開発用および/もしくは署名用コンピュータでアンチウイルス・ソフトウェアを動作させていますか？
6. あなたが開発や署名用に使用しているコンピュータは、これまでにウイルスや他のタイプの悪意あるソフトウェアに感染したことがありますか？
7. あなたが署名証明書を申し込んだ際、どのような確認が必要でしたか？
8. 署名証明書が盗まれたことはありますか？
9. その他コメント。

　こちらをクリックして回答して欲しい。よろしく！

不正なAVに導くFlabberの広告

2010年02月16日13:28

最新情報：Flabber.nlは、非常に素早く、また用心深く、問題のある広告を削除し、既にサイトをクリーンにしている。素早い対応に感謝する。

　「News from the Lab」の熱心な読者であるポールが、「flabber.nl」で不正なホスティング・サイトに導かれたため、このサイトを調査して欲しいと我々に依頼してきた。我々が最初にチェックした時には、何も見つからなかった。原因は地理位置情報連動広告に違いない。これを解決するため、ポールは彼が「flabber.nl」を訪問した際のパケット・ログを送ってくれた。

Flabber

　そしてすぐに、一つの広告が大きな役割を果たしていることが分かった。

+partner.googleadservices.com
++pubads.g.doubleclick.net
+++ad.bannerconnect.net
++++ad.yieldmanager.com
+++++(不正なホスティング・サイトへのリンクを含む「薬局」サイト)
++++++不正なホスティング・サイト

　「googleadservices」から「yieldmanager.com」まで、全て通常の広告トラフィックのように見える。そして、「yieldmanager.com」からの広告リファレンスは、「薬局」サイトへ、そして次に…

Flabber

　そしてユーザが立ち去る際、不正なWebサイトが戻ってくるよう促す…

Flabber

　ここでホストされている不正AVは、既にエフセキュアの最新データベースで検出されており、関係者は問題のあるWebサイトをシャットダウンし、「flabber.nl」に連絡するよう連絡を受けている。

モバイルブラウザ保護とディープガード

2010年02月16日00:23

　「エフセキュアモバイルセキュリティ」の最新リリースには、新機能がある。そしてラボに直接影響を及ぼすのはブラウザ保護だ。

　「エフセキュアモバイルセキュリティ」のバージョン6では、ユーザはフィッシング・サイトから保護される。

　有害なWebサイトは以下のようにブロックされる：

Mobile Security Browsing Protection

　フィッシングはデスクトップに限定されていない。多くの攻撃が、まさにスマートフォンでも機能している。

　しかし、これが全てではない。我々は「エフセキュアモバイルセキュリティ」のAndroidバージョンもリリースした。

http://www.htc.com/www/product/g1/overview.html

　全バージョンはここで確認できる。

Microsoftアップデートおよび脆弱性

2010年02月05日21:57

アップデート

　2月9日に多数のMicrosoftアップデート、26の脆弱性に関する13の速報が出される。

　Windowsの全バージョンが影響を受ける。

　忙しい火曜日になりそうだ。

　詳細については、Microsoftの「マイクロソフトセキュリティ情報の事前通知 - 2010年2月」をご覧頂きたい。

脆弱性

　「セキュリティアドバイザリ (980088)」で発表されたInternet Explorerの脆弱性もある。

　Ars Technicaは以下のように説明している：MicrosoftはIEの欠陥を警告し、PCをパブリック・ファイル・サーバに変える。あまり良い感じには聞こえないですよね？

　Microsoft Supportが解決ツールを公開している。

セキュリティ脅威予想2010

2009年12月14日23:44

　以下は、本年の脅威分析に基づいた2010年の予測だ。

Predictions

  •  2010年中に、「Windows 7」はマーケット・シェアを獲得するだろう。「Windows XP」のマーケット・シェアは全体で50パーセント以下に落ち、したがって「簡単に達成できる目標」の量は減ることになる。このことは豊かな国でのインターネット・セキュリティを改善し、おそらくそれほど豊かではない国でマルウェア・ゲットーが作られ始めるだろう。サイバー犯罪者は「Windows XP」がまだインストールされている拠点に努力を傾注させるからだ。攻撃者がMicrosoft Windowsのみに集中し続けるかどうか、あるいはOS Xやモバイルプラットフォームを含める方向に変化していくかどうか、現時点ではわからない。

  •  GoogleやBingなどの検索エンジンのリアルタイム・サポートは、サーチエンジン最適化（SEO）攻撃の頻度と方法に影響を及ぼすだろう。

  •  2010 FIFAワールドカップ（米国の人たちのためのサッカー）は、関連する相当数のトロイの木馬、偽チケット・ショップ、スパム、オンライン・ショップ・ハッキング、DDoS攻撃を引き起こすだろう。実際に6月に試合が行われる数ヶ月前にはすでに、SEO攻撃が登場する可能性がある。南アフリカの携帯電話ネットワークは、試合中、アクティビティの温床となる。

  •  地理的なロケーションIPアドレス技術を使用して「ロケーション・ベースの攻撃」に導くWeb検索結果が増加するだろう。言語、現在のニュース・イベント、そして標的とされる地方銀行に関してさえ、ローカライズされるだろう。

  •  オーダーメイドのトロイの木馬を使用したオンライン・バンクに対する攻撃が増えるだろう。 Predictions

  •  iPhoneへの攻撃が増えるだろう。AndroidやMaemoに対するPOC攻撃も増加する可能性がある。大規模なエクスプロイトでゼロデイ脆弱性が利用されるのを見ることにもなるだろう

  •  Snowshoeスパムが増える。

  •  一国に対する少なくとも1つの大規模なDDoS攻撃が起きる可能性がある。

  •  Google Waveなどの標的に対する大規模な内部攻撃が起きるかもしれない。

  •  Facebook、Twitter、Myspace、Linkedlnなどのソーシャル・ネットワークでの攻撃が増えるだろう。Facebookは現在、3億5000万アカウントに達しており、その成長は未だ衰える兆しを見せていない。人とデータとのこのような集中は、サイバー犯罪者が悪用するための非常に魅力的な標的だ。

  •  インターネット検索エンジンとソーシャル・ネットワーキング・サイトは「ソーシャル・サーチ結果」に向かうため、Black Hatソーシャル・サーチ最適化攻撃を目撃することになるだろう。

  •  より多くの人々がモバイル・ネットワークを介して接続するため、バンキングやゲームなどのトラフィックやアクティビティは、足並みをそろえて増加する。モバイル・バンキングやゲーム内の購買が人気を得ているため、このようなトランザクションをスパイするファイナンシャルな動機はより強くなる。統合化されたソーシャル・ネットワーキング・アプリケーションは、携帯電話ユーザーを「常に接続」している状態に導く。サイバー犯罪者はこうした傾向を悪用するため、ソーシャル・エンジニアリングを使用するだろう。

  •  オンライン・ゲームに関連する攻撃は続くだろう。このようなサイトやゲームは、特にアジア太平洋地域で人気がある。これらの保護に対して、十分に注目されておらず、多くのユーザーがより若く、経験豊かなサイバー犯罪者に対してより脆弱であるという事実により、この問題はより加速するだろう。

  •  適合する攻撃へと導く重要なデータ・ベースのセキュリティ侵害が起きるだろう。サイバー犯罪者は現在、大規模攻撃を分析、計画、実行するためのリソースを有している。

ビデオ - 「Data Security Wrap-up 2009」

2009年12月03日20:08

　エフセキュアの年末の「Data Security Wrap-up 2009」ビデオを昨日公開した。

　LabのYouTubeチャンネルから視聴することができる：

Data Security Wrap-up 2009

　文書化したサマリーとリンクは以下にある：http://www.f-secure.com/2009/

Exploit Shield FTW

2009年11月26日22:24

　Microsoftが月曜日、Internet Explorer 6および7で、リモートコード実行が可能になる脆弱性に関するセキュリティアドバイザリを公開した。IE8は影響を受けない。

　現在、この脆弱性が広く悪用されているという報告は無い。

　エフセキュアのExploit Shieldアナリストたちが、このケースを調査しており、彼らの最初のテストによれば、彼らがテストしたコードは確実に機能せず、プロテクトされていないコンピュータでは、リモートコード実行（RCE）よりも、クラッシュ（DoS）を引き起こす可能性の方が高い。

　しかし、我々のExploit Shieldテクノロジで保護されたコンピュータはどうだろう？　エフセキュアの「インターネットセキュリティ」は、CVE-2009-3672を標的とするエクスプロイトにどのように対処するのだろうか？

　全く問題ない。同エクスプロイトは我々のヒューリスティックによってブロックされる。特定のシールドは必要とされない。

　「エフセキュアインターネットセキュリティ 2010」を使用しているユーザは、このエクスプロイトが発見される以前から、同エクスプロイトに対して安全だった。素晴らしい。

　以下のFlashアニメーションがデモンストレーションするのは：

  •  リアルタイム・スキャニングはオフ
  •  Exploit Shieldによるブラウジング・プロテクションはオン
  •  エクスプロイトPOSをオープン
  •  Exploit Shieldがブラウザを防御

Flashアニメーションによるデモへのリンク

追記：SANS Diaryが同アドバイザリがアップデートされ、問題を緩和する要素が追加されたこと、有効なエクスプロイトが、Web上に現れつつあることを報告している。

Windows 2K Serverパッチ・アップデート

2009年11月11日09:27

fsecure_corporation

　Microsoftが、License Logging Serverヒープ・オーバフロー脆弱性（CVE-2009-2523）に対処するパッチをリリースした。この脆弱性は、Microsoftによれば「顧客がServer Client Access License（CAL）モデルでライセンスを与えられたMicrosoftサーバ製品ライセンスの管理を行うのを援助するよう設計された」機能である、ライセンスロギングサービス（LLS）に影響を与える。

　LLSに関する詳細は以下にある：
Windows Serverオペレーティング・システムのライセンスログサービスについて

　この脆弱性は、Microsoft Windows 2000 Server Service Pack 4にのみ影響を与え、同サービスはこのOSではデフォルトでオンになっているため、危険度は「緊急」となっている。また匿名のネットワーク・コネクション経由でアクセス可能であり、この脆弱性を悪用することで、リモート・コード実行に繋がる可能性のある広範囲なヒープ・メモリ・コラプションを引き起こすことができる。Windows Server 2008以降、同サービスは除去されているため、この脆弱性はより新しいMS Serverシステムには影響しない。

　同パッチに関する詳細は以下にある：
Microsoft Security Bulletin MS09-064
ライセンスロギングサービス脆弱性の詳細

　これらの古い2Kサーバには、パッチを当てる時期だ。

我々に投票を

2009年11月05日19:31

　「News from the Lab」ブログが、「2009 ComputerWeekly.com ITブログ・アワード」にノミネートされた。

　我々は「ITセキュリティ」のカテゴリーに分類されている。

　もしよろしければ、ComputerWeekly.comで投票して欲しい。

　よろしく！

追伸：Twitterカテゴリーでノミネートされるには何をすれば良いのだろう。アカウントを停止されるとかだろうか。

MSがパッチをアップデート

2009年11月04日09:29

　MicrosoftがMS09-054パッチのアップデートをリリースした。

　注意：もしシステムが、以前のMS09-054パッチをインストールしていないのなら、今回のアップデートをインストールしないこと。何故なら、アップデートされたものはInternet Explorerに不具合をもたらす可能性があるからだ。カスタマーの中には、上述のパッチをインストールした後、ブラウジング関連のエラーが出た人もいる。

　フィックスはWindows Update、Microsoft UpdateおよびAutomatic Updatesにより入手できる。

　詳細に関しては以下を参照：http://support.microsoft.com/kb/976749

投稿はChristineによる。

Firefoxがセキュリティ強化のためMSアドオンをブロック

2009年10月17日15:11

　今朝起きてみると、こんな表示が出迎えてくれた：

Firefox addon

　この間、MicrosoftはFirefoxアドオンとして「.NET Framework Assistant」をリリースした。これに影響を与えるセキュリティ脆弱性を使用不能にするため、今日、Firefoxがこれをブロックした。もし皆さんのFirefoxブラウザで同様のことが起きても心配は無用。セキュリティ上の調整に過ぎないのだから。

　Mozillaはこのアップデートについて、セキュリティブログで言及している。

　投稿はChristineによる。

—————

追記：Mozilla Securityブログに、新しい情報が掲載された：「Microsoftは現在、Framework Assistantアドオンがこの攻撃のためのベクターではないことを確認しており、我々はブロックリストから登録を削除した。」

パッチ…13日の火曜日

2009年10月09日12:10

　セキュリティ上の13の欠陥が明らかになり、10月13日に修復される。

  • リモート・コード実行が含まれるものが10種（そのうち8種が「緊急」に分類される）
  • 権限の昇格が含まれるものが1種
  • サービス妨害が含まれるものが1種
  • そしてスプーフィングを含むものが1種

　リモート・コード実行の欠陥の影響を受けるソフトウェアには、Windows 2kからVistaまで、Internet Explorer、およびMicrosoft Office Suiteが含まれる。詳細については以下のページを参照：http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

　これは必ずしも13日の金曜日スタイルの騒動ではないが、怒濤のパッチ公開が行われることになるだろう。

---

投稿はChristineによる。

ノスタルジックなトロイの木馬

2009年10月06日15:08

　ユーザーのコンピュータを占有する際、マルウェアが妙な、人を食ったような、あるいは面白いメッセージをポップアップしていた遠い昔を覚えているだろうか？　近頃「Trojan:W32/LongLeeb.A」でそんなことが思い出された。

　このトロイの木馬はウィンドウを立ち上げ、以下のメッセージボックスを表示する：

Trojan:W32/LongLeeb, Salutation

　このメッセージはタガログ語で、「Gloria、FG、Chavit、Jok Jok、Gonzales、Jose Pidal万歳！」と書かれている。ここにあげられている名前はすべて、実在のフィリピン人のものだ。

　さらに、デスクトップ上には、以下のメッセージが表示される：

Trojan:W32/LongLeeb, Manny

　これは基本的に次のような意味だ：「あらためて、フィリピン万歳！　Manny Pacquiaoにも万歳！」

　このトロイの木馬自身は、非常にステレオタイプなものだが、このメッセージは90年代初頭のウィルスを思い起こさせるようなもので、なんとなく我々をノスタルジックな気分にさせる…。

投稿はIreneによる。

WoWのトライアル・マウントにご用心

2009年09月29日14:50

　皆さんが「World of Warcraft（WoW）」をプレイしており、心から騎乗動物（マウント）を望んでいるとしよう。そして誰かが現れ、Blizzardが新しいトライアル・マウントを提供している新しいWebサイトの話をしたとする：

WoW phishing

　そして皆さんがそのサイトを訪問すると、以下のようなページを見ることになる：

Phishing site

　そう、これもフィッシングサイトだ。正にworldofwarcraft.comのログインページのように見える。騎乗動物をゲットしようと、同ページに詳細を入力するプレイヤーは基本的に、自分のアカウントを乗っ取られる。保存したゴールドやアイテムをすべて失う以外にも、障害が起きたアカウントは、悪意あるメッセージを他の犠牲者に送信するためにも使用されるという、踏んだり蹴ったりの事態となる。

　このサイトに関して興味深いのは、そのIPアドレスのリバースIPチェックにより、1ダース以上の別のWoWフィッシングサイトが見つかるという点だ。

　いつものように、ゲーム中は慎重に。なお、これらのフィッシングサイトはエフセキュアの「Browsing Protection」によりブロックされる。