エフセキュアブログ

by:福森 大喜

遠隔操作ウイルスの感染と痕跡調査

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

日本は今でも安全な国か?

アメリカとヨーロッパのZeroAccessボットネットの感染状況についてエフセキュアブログの記事がありましたが、日本だと次のような状況です。真っ赤ですね。全部で1万台以上あります。

zeroaccess_japan

ちなみに、アジアだと次のようになっています。

zeroaccess_asia

全139,447台での国別トップテンの具体的な数字は次のようになります。

順位国名

件数
1.
アメリカ

47880
2.
日本

10110
3.
カナダ

7112
4.
インド

6774
5.
ルーマニア

5628
6.
ブラジル

4911
7.
イタリア

4587
8.
アルゼンチン

3511
9.
ドイツ

2813
10.
ベネズエラ

2498

(上記の画像と表はエフセキュア提供のデータを元に作成しました。)

2007年、マイクロソフトが発表した「インテリジェンス レポート 第4版」では世界で唯一日本だけが緑色になっており、世界で最も安全な国であると報告されていましたが、2012年の今は状況がかなり悪化しているようです。

sir
「マイクロソフト セキュリティ インテリジェンス レポート (2007 年 7 月~ 12 月)」より引用
(http://www.microsoft.com/ja-jp/security/resources/sir.aspx)

安全な空港

  News from the Labブログの読者Daiki Fukumoriがこの春、アメリカに旅行した。

  ニューヨークで彼は、以下の時刻表示板を見つけた:

symantec_on_timetable

  そう、「シマンテック アンチウイルス」だ。マルウェアをブロックする。空港で。

  いや、どんなマルウェアがブロックされるのか、我々には分からない。おそらく何らかのネットワークワームだろう。

  写真をよく見てほしい。
  「Auto-Protect failed to load」?
  彼は見なかったことにして無事に帰国した。

  あわせて読みたい
  安全なパーキング

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

標的型攻撃メールの手口と対策

すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。
ここでは具体的な手口と対策について紹介します。

まず、航空会社を騙って次のようなメールが届きます。
mail

差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。
メールにはlzh形式の圧縮ファイルが添付されています。

解凍すると次のようなファイルが出てきます。
before_dir

ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。
もしダブルクリックしてしまうと、次のようなWordファイルが表示されますが、裏ではウイルスに感染し、PC内の情報が海外のサーバに送信されるとともにキーロガーが仕掛けられます。
word

一度実行してしまうと、元の実行ファイルは消去され、代わりに通常のフォルダが作成されます。しかし、裏ではキーロガーが動き続け、外部に情報を送信しています。

after_dir

こういった実行ファイルをダブルクリックさせるタイプの攻撃は脆弱性を攻撃するわけではないので、OSやアプリケーションを最新版にしていても被害に遭ってしまいますし、振る舞い検知型のセキュリティ製品では防げないことが多いです。

では対策ですが、ここまで巧妙になってくると「怪しいメールを開かない」というのが難しくなってきます。
現在は発生から1ヶ月ほど経っており、多くのウイルス対策ソフトが検知してくれますので、ウイルス対策ソフトは導入しておいたほうがいいでしょう。
また、むやみに実行ファイルを実行しないように注意する、それを社員に教育するといったことも大事ですが、それでも手が滑ってダブルクリックしてしまうかもしれません。
そのような場合に備え、ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。

secpolicy

今回紹介したのは実行ファイルを使った標的型攻撃メールでしたが、OSやアプリケーションの脆弱性を狙った標的型攻撃メールも多く存在しますので、OSやアプリケーションを最新版にしておくことも忘れないようにしてください。

日本のサイバー犯罪捜査は変革を迫られている

サイバー攻撃が盛んに報道されるようになって、サイバー犯罪捜査の方法も注目されるようになりました。
海外で世界規模のサイバー犯罪を取り締まった事例を見ると、おとり捜査、司法取引を駆使していることがわかります。
日本ではまだサイバー空間でこういったアグレッシブな捜査は行われていませんが、すでに世界では盛んに行われているのです。その捜査手法が克明に記された書籍が、「アイスマン」というタイトルで発売されました。アイスマンというのは本書で取り上げられた犯罪を犯したハッカーのハンドルネームであり、この本はアイスマン視点から書かれたというのも興味深い特徴です。

iceman

サイバーの潜入捜査も現実の潜入捜査と同じで、そう簡単に潜入ができるわけではありません。当然、犯罪者たちは警戒しているので、犯罪コミュニティに入るには信用が必要で、既存会員の紹介がないと入れません。さて、捜査官たちはどのようにして潜入していくのでしょうか。日本の法制度に縛られた日本の警察官では絶対に思いつかないような方法が書籍「アイスマン」の中では登場します。

先日、日本ではワンクリック詐欺で逮捕者が出て、犯人は一年間で総額6億円を振り込ませていたことが発覚しましたが、この「アイスマン」は100億円稼ぎました。それほど派手に動き回った大物犯罪者であっても、普通の捜査では逮捕できなかったのです。そして、一週間に100万ドル稼ぐと言われた伝説のカード詐欺師キング・アーサーにいたってはまだ捕まっていません。

現状日本では薬物捜査に限り、おとり捜査が行われていますが、いまやサイバー犯罪は麻薬市場を超える市場に成長しています。そろそろ、日本でもサイバー犯罪捜査の方法を真剣に見直すべき時期ではないでしょうか。


あわせて読みたい
サイバー・クライム

「インターネットにつながっていないから安全」という神話

2010年にStuxnetが見つかり、インターネットにつながっていないから安全だと思われていた制御システムがウイルスに感染していたことが明らかになりました。その際、イランの原子力施設が標的にされ、被害に遭っていたことがわかっています。たとえインターネットにつながっていなかったとしても攻撃に遭う可能性はいくらでもあることの証明になりました。

では、制御システムは本当にインターネットにつながっていないのでしょうか。
次の地図は制御システムを運用する際に使われるソフトウェアが稼働しているサーバで、かつインターネットからアクセスでき、日本に存在するものを示しています。もちろん私が見つけたものだけですので、現実にはもっと多くのサーバが存在すると思います。

scadamapjapan

同じ場所にあるサーバは一つのピンで示していまして、私が調査した時点では合計104台のサーバが日本で稼働しているようでした。これらのサーバにアクセスするためには認証が必要なものも多いですが、インターネットにつながっていなくとも攻撃を受ける時代において、インターネットにつながっている機器はどれほどの攻撃を受けるのでしょうか。認証があれば大丈夫だといえるのでしょうか。サーバだけでなく、クライアントまで含めると一体どれほどの数がインターネットにつながっているのでしょうか。制御システムのセキュリティはまだまだ問題を抱えていそうです。

2月3日に行われるカンファレンスでは、制御システムに対して具体的にどういった攻撃が行われ、どのような被害が発生するのか、そして制御システムのセキュリティはどういう状況なのかについてお話しする予定です。

制御システムセキュリティカンファレンス 2012
http://www.jpcert.or.jp/event/ics-conference2012.html

三菱重工を襲ったサイバー・クライム

三菱重工を狙ったサイバー攻撃が明らかになったことを受けて、書籍「サイバー・クライム」の著者ジョセフ・メン氏からコメントが届きました。

『先日三菱重工を襲った一連のサイバー攻撃は、日本にとっては前例のない出来事だったかもしれないが、過去数年間にわたり、米国をはじめとする多くの国の防衛産業が直面した攻撃手法に酷似している。それらの攻撃を分析すると、多くは中国につながる。著書「サイバー・クライム」においても度々言及しているが、サイバー犯罪者と国家のスパイ活動の境界線はますますあやふやになっており、個人や企業はもちろん、国家間の政治的な均衡までが危険にさらされているといえよう。』

「サイバー・クライム」を日本で発売するにあたり、初めてメン氏と対談したのが2011年2月でした。アノニマス、ソニーが世間を騒がせ始めた頃です。彼は対談の中で、今後サイバー攻撃の標的にされうる企業として、国家の安全に関わる事業を担っている企業を複数挙げました。その中には三菱の名前も含まれていました。これは決して偶然ではなく、彼がジャーナリストとして行った膨大な調査から導き出された必然的な結果だと思います。

そしてついに、書籍「サイバー・クライム」が発売になりました。対談の様子も収められています。
表紙と目次です。
cybercrime

はじめに
本格的に日本を襲い始めたサイバー・クライム

PART1
1  ウォーゲーム
2  サイバー潜入捜査
3  裏社会の深部へ
4  決意
5  清算
6  サイバー・クライムの歴史 スパムから個人情報へ

PART2
7  すべてを賭して
8  デイ・オブ・アクション
9  闇のマーケット
10 裁判
11 犯罪を超えた犯罪
12 今、なにができるか

巻末特別対談
中国・ロシアのハッカーを警戒せよ
 ジョセフ・メン×福森大喜

ソニーが白羽の矢を立てたプロレキシックとは

ミッコのブログ記事「ハッキングされて倒産」の中で、「Blue Frog」というスパム対策ソフトを開発していた企業、ブルーセキュリティが紹介されています。

ブルーセキュリティはスパム対策事業を行っていましたが、スパマに大規模なDDoS攻撃(分散型サービス不能攻撃)を受け、最終的には廃業に追い込まれました。このときDDoS攻撃対策を請け負ったのがプロレキシックという会社です。プロレキシックという名前をご存じない方も多いと思いますが、DDoS攻撃対策を提供する企業として実はいろんな所で活躍しています。

10月中旬に発売になる書籍「サイバー・クライム」では、プロレキシック(正確には、プロレキシック・テクノロジーズ)を設立したバーレットが前半の主役です。
なぜ、ブルーセキュリティはスパマから廃業に追い込まれるほどの反感を買ったのか。どういう攻撃をスパマから受けたのか。なぜ、スパマの攻撃を防ぎきれなかったのか。当時のいきさつも「サイバー・クライム」に書かれています。

最近の事例では、ソニーがアノニマスからDDoS攻撃を受けたときに技術面での対応を行っていたのもプロレキシックです。ソニーに対する攻撃はかなり長期化し、攻撃者や攻撃方法も変わってきていますが、初期の頃はDDoS攻撃が中心でした。DDoS攻撃対策をプロレキシックが請け負うことを知ったアノニマスのメンバー内では、「プロレキシックか。攻撃は難しそうだね」「次の標的はプロレキシックにしよう」といった会話が交わされていました。

prolexic
ソニーグループ、VISAなど多くの企業がプロレキシックを採用している

今でこそソニーのような大手企業にも採用されるようになったプロレキシックですが、設立当初は黒い影が噂される企業でした。
その黒い影とは、・・・「サイバー・クライム」をご覧ください。

世界で起こるサイバークライム

本ブログでも紹介された「Fatal System Error」の翻訳本が10月にいよいよ発売になります。私は監修者として参加し、日本でのサイバー犯罪の状況、ソニー事件等について加筆して、タイトルを「サイバー・クライム」として出版することになりました。捜査機関がサイバー犯罪組織に乗り込み、逮捕に至るまでを記したノンフィクションです。

fse
原書「Fatal System Error」

サイバー犯罪といえばロシア、中国が話題に上がりますが、その理由の一端を本書を通じて知ることができるでしょう。映画のようなストーリーが繰り広げられますが、すべて実際に起こった事件です。

私は日々のサイバー犯罪対応の現場から見た、日本でのサイバー犯罪に関連する記事を巻頭と巻末に寄稿しています。本編で紹介されているようなサイバー犯罪は決して対岸の火事ではないということを感じていただけると思います。

ちなみに、原題である「Fatal Sytem Error」(致命的なシステム・エラー)のもともとの由来はWindowsで発生するエラー(いわゆるブルースクリーン)のことですが、同じような致命的なエラーはいたるところに存在しているというのが著者のメッセージです。

bluescreen
Windowsで起こるFatal System Error

britishbleuscreen
イギリスの空港にて

koreanbluescreen
韓国の地下鉄にて

マスコミが書かない「DEFCON CTF」

2011年のDEFCON CTFが終わりました。
会場では、サポートメンバーによっておにぎりと味噌汁が振る舞われました。
個人的には3度目のDEFCON CTF決勝、日本チームとしては初めての決勝でしたが、今までこんなに恵まれた環境はありませんでした。
一般的にCTFでは、予選はインターネット上で行われるのに対し、決勝は一つの会場に集まって行われます。
そのため、環境の問題、食事の問題、時差の問題、機材の問題など、様々な問題と向き合いながら競技を行うのがCTF決勝の特徴でもあり、アウェイの洗礼は日常茶飯事です。
今回はサポートしてくれたメンバーの尽力によって、そういった問題によるストレスを大きく軽減し競技に集中することができました。本当にありがとうございました。

defcon2011ctf

日本でもCTFへの注目が高まり、少しずつメディアにも取り上げるようになってきましたが、未だメディアには取り上げられない重要な点をご紹介します。

今回のCTFでは、CTF会場が停電したり、ネットワークやサーバトラブル、スコアリングシステムへの批判など、運営側も非常に大変です。毎年必ず運営側の不手際に対する批判を耳にします。特に今年は運営側の意図しない方法を使って全サーバのroot(管理者権限)が奪われるという事態もありました。

ではなぜ、大変な苦労をしてまで運営をするのでしょうか。
勉強になるからという単純な理由ではありません。

DEFCON CTFを運営するのは、アメリカ海軍学校の教授、生徒からなるチームです。ということは、競技中に飛び交った様々な攻撃コードは教材として使われると同時に、米軍に蓄積されていきます。

その背景には、アメリカが国家としてサイバー空間を重要視していることが挙げられます。陸、海、空、宇宙に続く第5の戦場としてサイバー空間が位置づけられているのです。さらに、サイバー空間への攻撃に対しては武力による報復も辞さないとの発表もありました。
結局のところ、DEFCON CTFはアメリカ、サイバー戦争の下地作りでもあるわけです。毎年、アメリカ、韓国は政府による強力なバックアップを後ろ盾にチームを送り込んできています。現在、積極的にCTFを開催しているのは、アメリカ、韓国、ロシア、マレーシアなどです。
日本では23年度版防衛白書で、サイバー攻撃対処のため最新技術の研究に取り組むという内容の文言が記載されました。具体的なことは何も書かれていませんが、今後の動向には要注目です。

インターポールサイバーセキュリティトレーニング

今年はウィーンで行われたFIRSTカンファレンスに初めて参加してきました。
毎年参加されている方に話を伺ったところ昨年まではあまり耳にすることがなかったそうですが、今年は非常に多くのセッションで繰り返し出てくる単語がありました。

「インターポール」

このことは最近のサイバー犯罪が国際化しており、一国の警察機関だけでは対応することが難しいということを如実に物語っています。また、手をこまねいているだけではなく、少しずつではありますがインターポールを中心として国際的なサイバー犯罪の検挙に動き出していることの現れでもあるでしょう。

そんな中、7月6、7日にシンガポールにて第1回インターポールサイバーセキュリティトレーニングワークショップが開催されました。インターポール関係者の知識、スキル向上を目的として約20カ国から警察関係者が集まりました。

interpolTraining

私が所属するサイバーディフェンス研究所ではそのうち1日半の時間を頂き、ネットワークセキュリティ、Webセキュリティ、インシデントレスポンス、マルウェア解析、フォレンジックなどのトレーニングを行いました。

トレーニングの理解度を確かめるためのチェックはCTF形式のハンズオン(問題を解くと得点が加算され、ランキングが表示される形式)で行いました。皆さんとても熱心に取り組んでおり休憩時間返上で課題に挑戦する姿も多く見られました。

今後もサイバー犯罪に対処していく上で、インターポールの重要性がますます高くなることは間違いありません。インターポールの活躍を心より期待しています。

関連記事:Tackling cyber security threats focus of INTERPOL workshop
http://www.interpol.int/Public/ICPO/PressReleases/PR2011/News20110707.asp

震災情報を装ったウイルスメールの犯人を追う

東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。

祝! CODEGATE CTF 予選一位通過

先日、日本のCTFの歴史に残る大きな出来事がありました。CODEGATE CTFの予選で日本のチームが一位になったのです。アメリカチーム、韓国チームと何度も順位が入れ替わる厳しい戦いでした。二位じゃダメなんです。
(CTFについては、こちらを参照)

codegate_scoreboard

私がCTFを始めた2006年頃に、CTF先進国である韓国の友人と話した時は、
「韓国も昔は同じような状況だった。毎回上位に入れるようになるまでに5年はかかるよ。」
と言われました。そんな彼の経験どおり、5年が経っていました。

思えば多くの方々の力が合わさっているんだということを実感しました。

メンバーは定期的に勉強会を行い、メディアへの記事執筆、日本各地を巡業して布教活動を行いました。
今大会で躍進の原動力になったのは最近加入してくれた学生達でした。
会場に来られなくても、こっそり問題を解いてくれる小人さんもいました。
差し入れを持ってきてくれたり、英文を翻訳してくれたりする方もいました。
冷蔵庫がオーバーフローするほどのレッドブルを届けてくれた方もいました。
毎回我々に会場を提供してくれているネットエージェントさんは、より広い会場を提供するためにわざわざ引越までしてくれました。
他にも、ここには書ききれないくらい多くの方々が携わっています。

redbulltree
会場からスカイツリーとレッドブルツリーを望む

そして今、韓国のCTF業界が抱えている問題はコンスタントに人材を輩出し続けることの難しさです。おそらく我々も同じ問題に直面するでしょう。日本のCTF業界も新たなステージに突入します。

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

AVに参加してみませんか?

このブログの読者ならAVと聞いてAnti Virusを頭に浮かべると思いますが、今回は残念ながらそのAVではなく、AVTOKYOのご紹介です。

先日、DEFCON CTFというセキュリティ技術を競う大会の決勝戦に出場してきました。世界各地で行われている大会の中で最大のものです。予選はインターネット上で行われており、主催者側が作成した問題を解いて点数を競います。主催者側の発表では529チーム、1428人が参加したそうです。予選で上位10チームに入ると、決勝の出場権を与えられます。決勝はアメリカ、ラスベガスのホテルの一室で開催され、その競技内容はというと、与えられたプログラムの脆弱性を探し、チーム間で攻撃防御を行うようになっています。日本でもセキュリティ企業や学生を中心に年々参加者も増え、世界の技術者と切磋琢磨し向上していく場のひとつとなっています。

1

皆さんの多くはこのような大会が存在すること自体、知らなかったのではないでしょうか。また、参加してみたいけど何から手を付けていいかわからないという方もいらっしゃるのではないでしょうか。
そんな方々のために、気軽にCTFに触れていただけるイベントが日本で開催されます。
私もDEFCON CTFの予選、決勝を紹介する役目を仰せつかっています。ここには書ききれなかった裏話を紹介する予定です。ご興味のある方は覗いてみてください。

AVTOKYO meets HackerJapan
http://ja.avtokyo.org/meetshj

さて、最後にみなさんにお土産?です。
DEFCON CTFの決勝会場ではフォーチューンクッキーがばらまかれていました。ふつう、フォーチューンクッキーの中にはことわざのような短いメッセージが書かれた紙が入っているのですが、DEFCONのフォーチューンクッキーはひと味違います。みなさんぜひご賞味ください。

2

Windows 2000 終了のお知らせ

日本時間の2010年7月14日、Windows 2000のサポートが終了しました。これからはWindows 2000に脆弱性が見つかっても修正パッチはリリースされないことになります。永遠のゼロデイ*ですね。

「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な状態にさらされます。」
と書こうとしていたところ、Windows シェルの脆弱性が公開されました。
注意すべきは、脆弱性情報にWindows 2000のことが記載されなくなっている点です。Windows シェルの脆弱性ではWindows 2000も影響を受けるのですが、影響を受けるソフトウェアの欄には記載されていません。

今後もWindows 2000を使い続ける限りは、脆弱性が発見されるたびに情報収集や検証を行う必要が出てきます。

また、以前から調査しているのですが、Windows 2000のゼロデイは他にも存在しています。デモ動画を作成しましたのでご覧ください。実際に攻撃コードを作成し、CANVASという攻撃用フレームワークを使って、攻撃対象であるWindows 2000 Serverの制御を奪っています。



他にも、Windows 2000はいろいろと仕様的に脆弱な部分があります。そのあたりの話をご紹介するセミナーを企画しましたので、Windows 2000を捨てきれていないシステム管理者の方はぜひお越し下さい。
セミナーの内容はこちらです。
http://www.fourteenforty.jp/seminar/


-----------------------------------
*ゼロデイ:修正パッチが提供されてから悪用されるまでの日数がゼロ日、つまり修正パッチが提供される前の脆弱性のこと

仕様と脆弱性の間で

先日のミッコの記事「PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?」で触れられていましたが、PDFの仕様により、PDFファイルを開いただけで何の警告もなく任意のコマンドを実行されてしまうことが問題視されていました。これは、仕様策定側と開発者側の意識の違いから生まれた問題だと思います。結局はアプリケーション開発者側が警告を出すように修正するそうですが、PDFの仕様策定者は仕様書を見た開発者がそこまで読み取れると、当初から思っていたのでしょうか。

同じような問題を何度か見たことがあります。
例えば、WindowsサイドバーのガジェットはHTMLやJavaScriptを用いて作成することができます。WindowsですのでおそらくInternet Explorerのセキュリティ設定が引き継がれると思われがちですが、実際にはInternet Explorerの設定とは関係なく、非常に緩いセキュリティ設定で実行されており、PDFのケースと同じようにCMD.EXEを実行することも可能です。IEのセキュリティ設定に守られていると勘違いしたまま設計すると痛い目に遭います。

sidebar

また、JavaのSWTではIEコンポーネントを使って開発することができますが、このときのセキュリティ設定もIEのものが使われるのではなく、非常に緩い設定で動作しますので、やはりCMD.EXEを実行することが可能です。

このような種類の問題は、仕様なのか脆弱性なのかといった言い合いになる場合が多く、なかなか解決にたどり着かないのが厄介なところです。

相次ぐゼロデイ攻撃、Gumblarにも注意を

悪い話は続くと言いますが、先日のAdobeのゼロデイに続いて、今度はマイクロソフトのInternet Explorerにゼロデイが見つかっています。すでに攻撃コードが出回っており、脆弱性の種類から考えて、Gumblar系のウイルスでも使われるようになる可能性が高いです。

マイクロソフトからアドバイザリが出ていますので、リンク先をご覧の上、該当する方は対策をお勧めします。
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx

事情によりどうしても対策できないという方は、Internet Explorerを使うのを必要最小限にし、普段は別のブラウザを使用するようにしてください。

間違いだらけのGumblar対策

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。
修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染していないかを確認してください。

Q. プライベートアドレスを使っていれば、バックドアには入られませんか? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?
A. 違います。バックドアへの命令は外向きの通信のレスポンスの中に書かれているものもありますので、インターネットにアクセスできる環境であればバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコンピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性があります。

Q. 更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応するまでに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは二度とダウンロードできないようになります。最初のアクセスの時にウイルスがダウンロードされたので、二度目のアクセスの時にはダウンロードされなかったのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけというわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすでにダウンロードできなくなっている可能性が高いです。つまり、ある環境から見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q. ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知できないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
その後は、
・OSやインストールされているソフトウェアを最新版にする
・ゼロデイ情報に注意し、暫定対応を実施する
ということになります。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード