2010-07-29T23:31:04Z tag:blog.livedoor.jp,2010:fsecure_blog fsecure_blog livedoor Blog Copyright (c) 2010, fsecure_blog 2010-07-29T12:00:24Z 2010-07-29T05:16:47+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50430332

 　「Black Hat 2010」からご挨拶を！ 　これまでのところ、最大の発表はAdobeがMAPP（Microsoft Active Protections Program）に参加し、同プログラムを通じて全てのAdobe製品のために脆弱性情報の共有を開始するというものだ。これはエフセキュアなどのMAPPパー...

ヘルシンキ発


 　これまでのところ、最大の発表はAdobeがMAPP（Microsoft Active Protections Program）に参加し、同プログラムを通じて全てのAdobe製品のために脆弱性情報の共有を開始するというものだ。これはエフセキュアなどのMAPPパートナーが、Adobe ReaderやFlashといった製品の脆弱性について事前通知が得られ、我々のユーザをより良く保護することが可能になることを意味する。

 　「News from the Lab」ブログをいつも読んで下さっている皆さんは、我々がしばしば、Adobeに対してかなり批判的だったことをご存知だろう。しかし今回我々は、彼らの動きを高く評価したい。

 　カンファレンスは丁度始まったばかりで、さらに興味深いことが発表されるに違いない。私は明日、講演を行う。講演のタイトルは「この通話の請求額は9万ドルです。」というものだ。

サインオフ
ミッコ

＞＞原文へのリンク

]]> fsecure_blog 2010-07-28T17:12:36Z 2010-07-28T17:48:55+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50430106

 　不正な販売者たちは、ローグウェアをユーザのシステムに押し込む際の使い古されたトリックに、飽きてしまったようだ。これまでのトリックは、警告、そして次に偽のAVへと至る、偽スキャンページだったのだが。 　現在、それはFirefoxの「Just Updated」ページと...

クアラルンプール発
 　現在、それはFirefoxの「Just Updated」ページとなっている。Firefoxブラウザをアップデートすると、すぐに表示されるこのページを知っているだろうか？　そして、最初にFirefoxをオープンした時に？　そんな具合だ。しかし、もちろん落とし穴がある。Firefoxがアップデートされたとしても、Adobe Flash Playerはアップデートされていないと、ユーザに告げるメッセージがあるのだ。そのため、まだアップデートの必要があるという。実に役に立つ…



 　そしてユーザは何もクリックする必要がない。ページがロードされるとすぐに、ダウンロードダイアログボックスが現れるからだ…



 　ユーザがファイルを実行すると…　お馴染みの悪しきローグAVが…



 　どういうわけか、不正な連中はFirefoxかFlash Playerかを決められなかったようだ…　そのため両者を少々ということになったのだろう。

注：この悪意あるサイトは既にブロックされており、同ローグはエフセキュアの最新データベースアップデートで検出されている。

 　投稿はレスポンスチームMina & Christineによる。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-27T17:25:10Z 2010-07-27T00:46:00+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50429825

 　悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性（2286198）を悪用しようとしているのだ。 　しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが...

ヘルシンキ発 2286198）を悪用しようとしているのだ。

 　しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

 　以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

 　Chymineは新しいキーロガーだ（.Aバリアントから見ることができる）。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない（よってワームベクタは無い）。Chymineを発見したのはESETの人々だ。



 　Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

 　今日のニュースには、Sality（ポピュラーなポリモーフィックウイルス）とZeus（ポピュラーなボットネット）が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

 　Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

 　以下が本文だ：



 　Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

 　我々は今回のZeusの亜種が、それほど成功するとは考えていない。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-26T21:03:31Z 2010-07-26T12:49:42+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50429462

 　「World of Warcraft」のアカウントは、プレイヤーのレベルに応じて、フィッシャーにとって金のなる木となり得る。ゲーム内アイテムには需要があり、実際のキャッシュで売買されることが可能なため、WoWアカウントは人気のあるフィッシングターゲットとなっている。&...

クアラルンプール発
 　エフセキュアのResponse Labのアナリストが先頃、Blizzard（WoWのクリエイター）から、アカウント確認をするようにという電子メールを受けとった。一見、そのメールは、本物のソースから来たメールのようだった。「From」アドレスを見て欲しい。疑わしいところは何も無い。



 　電子メールの内容をさらに読むと（上の画像をクリックすると拡大画像がご覧頂ける）、何かおかしい感じがする。このアカウントの確認は、Blizzardと関連のない外部サイトで行わねばならないのだ。メールには顕著な文法ミスが多い。

 　さらに調べてみると、同メールは個人のメールアカウントから送信されていることが分かった。フィッシャはSMTPリレー攻撃を使用して、「From」アドレスのなりすましを行っているため、同メールはBlizzardからのものに見えるのだ（下の画像をクリックすると拡大画像がご覧頂ける）：



 　Blizzardのゲーム、特にWoW、Starcraft IIおよびDiablo IIIのアカウントは現在、Battle.netにより扱われている。アカウントの変更には、完全な確認プロセスが必要とされ、その際、有効なIDが提示される必要があることに注意して欲しい。



 　フィッシャーはますます賢くなっており、彼らのソーシャルエンジニアリングは、より巧妙になり検出が難しくなっている。さらに注意し、やみくもに全てのソースを信頼しないことはユーザの責任だ。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-26T00:05:05Z 2010-07-26T09:00:50+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427824

New iPhoneが流出か！？なんて、心躍ったのは上海のとある地下商店街。色々商品を物色していましたところ、後ろのお店のお姉さんが声をかけてきました。"Small iPhone ? Big iPhone ?"「ええ！？早くも新商品！もしかして、噂の流出ものかな？」なんて、耳を疑ってしまいまし...

オフィシャルコメント
なんて、心躍ったのは上海のとある地下商店街。
色々商品を物色していましたところ、後ろのお店のお姉さんが声をかけてきました。
"Small iPhone ? Big iPhone ?"

「ええ！？早くも新商品！もしかして、噂の流出ものかな？」
なんて、耳を疑ってしまいました。



もう、説明するまでもありませんね。（大きい方が正規の大きさ）

さて、今私が気になっているのが、これらの商品の中身です。
本当に（安くて）安全なものなのか、非常に気になります。（笑）

近年、海外から郵送されてくるデータを閲覧した際に、マルウェアに感染したという事案が後を絶ちません。
特に、次の2つのパターンが厄介です。
・人がデータを含むメディアを持ち込む
・データを含むメディアを郵送（宅急便等）


続きを読む]]> fsecure_blog 2010-07-23T02:03:34Z 2010-07-23T11:00:03+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50428042

日本時間の2010年7月14日、Windows 2000のサポートが終了しました。これからはWindows 2000に脆弱性が見つかっても修正パッチはリリースされないことになります。永遠のゼロデイ*ですね。「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な...

オフィシャルコメント
「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な状態にさらされます。」
と書こうとしていたところ、Windows シェルの脆弱性が公開されました。
注意すべきは、脆弱性情報にWindows 2000のことが記載されなくなっている点です。Windows シェルの脆弱性ではWindows 2000も影響を受けるのですが、影響を受けるソフトウェアの欄には記載されていません。

今後もWindows 2000を使い続ける限りは、脆弱性が発見されるたびに情報収集や検証を行う必要が出てきます。

また、以前から調査しているのですが、Windows 2000のゼロデイは他にも存在しています。デモ動画を作成しましたのでご覧ください。実際に攻撃コードを作成し、CANVASという攻撃用フレームワークを使って、攻撃対象であるWindows 2000 Serverの制御を奪っています。



他にも、Windows 2000はいろいろと仕様的に脆弱な部分があります。そのあたりの話をご紹介するセミナーを企画しましたので、Windows 2000を捨てきれていないシステム管理者の方はぜひお越し下さい。
セミナーの内容はこちらです。
http://www.fourteenforty.jp/seminar/

-----------------------------------
*ゼロデイ：修正パッチが提供されてから悪用されるまでの日数がゼロ日、つまり修正パッチが提供される前の脆弱性のこと]]> fsecure_blog 2010-07-27T06:15:03Z 2010-07-21T19:20:48+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427829

 　Microsoftが「セキュリティ アドバイザリ 2286198（バージョン1.2）」をアップデートした。 　Microsoftの人たちが、懸命にこの問題に取り組んでいることは非常に明白だ。我々の懸念は対処されており、同アドバイザリはもはやWindows 7 AutoPlayを緩和策とはし...

ヘルシンキ発 セキュリティ アドバイザリ 2286198（バージョン1.2）」をアップデートした。

 　Microsoftの人たちが、懸命にこの問題に取り組んでいることは非常に明白だ。我々の懸念は対処されており、同アドバイザリはもはやWindows 7 AutoPlayを緩和策とはしていない。

 　そして今度は悪いニュース。

 　同アドバイザリのバージョン1.2には、新しい重要な詳細が含まれている：

 　「エクスプロイトは、埋め込みショートカットをサポートする特定の文書タイプにも含まれる可能性がある。」



 　文書 — Microsoft Office書類のような文書。

 　これはまさに、LNK脆弱性の潜在的な影響範囲を拡大するものだ。文書利用の容易さを考えると、我々はまもなく、電子メールメッセージを介した標的型攻撃添付ファイルをほぼ確実に見ることになるだろう。

 　幸いなことに、MicrosoftのActive Protections Program（MAPP）は優れた技術的詳細を提供しており、我々はWormLinkエクスプロイトに対するプロテクションをさらに改善した。我々の最新のシグネチャ：Exploit:W32/WormLink.BおよびCはより包括的であり、以前よりも効果的だ。Microsoftに賞賛を送りたい。

 　アドバイザリにリストされている回避方法をチェックしてみよう。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする
  •  インターネットのLNKおよびPIFファイルのダウンロードをブロックする

 　Microsoft Supportは、1度クリックすることでショートカット機能を無効にする「Fix it」ボタンを含むKnowledge Base Articleを掲載している。

 　Microsoftはセキュリティアップデートを開発するべく鋭意努力中だが、皆がこの新情報をチェックし、自分の環境に即して評価すべきだ。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-21T04:54:30Z 2010-07-20T22:00:07+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427680

 　Stuxnetルートキットのケースで、2、3の進捗がある。昨夜、エフセキュアのクアラルンプール・ラボのアナリストたちが、デジタルに署名された新たなStuxnetドライバの検出を追加した。これはJMicron Technology社からの証明書を使用している。 　この新たなバイ...

ヘルシンキ発 Stuxnetルートキットのケースで、2、3の進捗がある。昨夜、エフセキュアのクアラルンプール・ラボのアナリストたちが、デジタルに署名された新たなStuxnetドライバの検出を追加した。これはJMicron Technology社からの証明書を使用している。

 　この新たなバイナリの検出は「Rootkit:W32/Stuxnet.D」だ。



 　以下は同ファイルのプロパティからのデジタルシグネチャの詳細だ。



 　そして以下が証明書：



 　以下はVeriSignを通じた証明書の詳細だ。



 　この特定の証明書は、2012年7月25日まで有効となっている。

 　いくつかの変更はあるが、当初の分析では、この新たなドライバは、我々が見てきた最初のStuxnetサンプル群と、基本的なファンクションやアプローチが同じであり、非常に類似していることが明らかになった。

 　ESETのPierre-Marc Bureauは、JMicronとRealtek Semiconductor社の双方が、台湾のHsinchu Science Parkにオフィスを持っていることに注目している。Realtekは、現在はVeriSignにより取り消されているが、以前使用された証明書のソースなのだ。

 　我々は、ソースコード管理システムを標的としたAuroraスタイルの攻撃の結果として、Realtekによるオーセンティコードのリークが起こった可能性があるのではないかと推測しているが、現在、これら2つの会社が、物理的にご近所であることから、物理的な侵入が関係した可能性についても思いをめぐらせている。

 　Stuxnetに関する追加的なニュースとして、SIMATIC WinCCデータベースが標的とされているSiemensが、SCADAシステムのハードコードされたパスワードを変更しないようアドバイスしている。懸念されているのは、パスワードの調整が、有害なコンフリクトを引き起こすことだ。

 　Robert McMillanがPCWorldで、この件に関して詳細を述べている。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-21T04:50:26Z 2010-07-20T18:26:22+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427678

 　Microsoftが「セキュリティ アドバイザリ（2286198）」を更新し、現在、以下のように明記している： 　「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカッ...

ヘルシンキ発 セキュリティ アドバイザリ（2286198）」を更新し、現在、以下のように明記している：

 　「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

 　「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している。

 　しかしながら、同アドバイザリは現在も以下のように表明している：

 　「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

 　これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。

 　我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている：



 　「全デフォルトにリセット」

 　そこで、我々はデフォルトの回復を選択した：



 　すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。

 　以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ：



 　ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。

 　では何が無効なのか？　AutoPlayだろうか？　違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。

 　しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。

 　Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…

 　しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。

 　何故？

 　以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。

 　たとえば、これはConfickerの攻撃メソッドの一つだ：



 　Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか？

 　その他の理論的なAutoPlay問題もある（脆弱性ではない）。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。

 　この場合、パーティションはAutoPlayにより通常のCDとみなされる。



 　我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。

 　しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると…　たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。

結論：あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-21T04:51:30Z 2010-07-20T00:56:30+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427676

 　MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット（.lnk）脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。 　これはさらに、ショートカット脆弱性の...

ヘルシンキ発 MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット（.lnk）脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。

 　これはさらに、ショートカット脆弱性の危険を拡大する。これまでStuxnetルートキットの作者だけがこの欠陥を利用してきたが、現在は他の悪者たちが、すぐ後に続くであろうことに疑う余地はない。

 　幸いにも、一部の人々はこのPoCを良い目的にも使用している。

 　Didier Stevens（Adobe Readerの/launch機能に関するリサーチでよく知られている）は、彼のAriadツールで同エクスプロイトをテストし、これは上手くブロックされた。StevensはWindows 2000 SP4までさかのぼってテストしている。もしMicrosoft Securityアップデートの予定が無いレガシーシステム（Windows XP SP2など）を保持する必要があるなら、Ariadは一つの選択肢と言えるかもしれない。

 　しかしStevensはAriadをベータソフトウェアとしているため、選択肢とならない人もいるだろう。それでは他にどんな方法があるだろうか？

 　SophosのChet Wisniewskiは、実行ファイルのローンチをローカルハードドライブに制限するため、Group Policiesを使用する事を提案している。

 　そしてもちろん、Microsoftのセキュリティ アドバイザリによる回避方法もある。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

 　「セキュリティ アドバイザリ（2286198）」に関してだが、いくつか我々には不明瞭に思われる部分がある。

 　たとえば、同アドバイザリによれば：

 　「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンをクリックすると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

 　しかし、我々の分析によれば、クリックは必要ではないのだ。

 　Microsoft自身のMalware Protection Centerは、同エクスプロイトについて以下のように述べている：

 　「これは、USBドライブに置かれた、特別に作成されたショートカットファイル（別名.lnkファイル）を活用するもので、.lnkファイルがオペレーティングシステムによって読まれるとすぐに、自動的にマルウェアを実行する。言い換えると、単にショートカットアイコン（Windows Explorerのような）を表示するアプリケーションを使用しているリムーバブルメディアドライブを閲覧することで、その他のユーザインタラクション無しでマルウェアが動作する。」

 　単にリムーバブルドライブを閲覧するだけ。クリックは必要無い。

 　そして、AutoPlay機能に関する疑問がある。アドバイザリによれば：

 　「AutoPlayを無効にしたシステムについては、同脆弱性を悪用するには、ユーザがリムーバブルディスクのルートフォルダを、手動で閲覧する必要がある。Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

 　しかしデフォルトでは、我々のWindows 7テストシステムにUSBドライブを接続すると、以下のような状態になる：



 　このダイアログはAutoPlayとなっているのでは？　Windows 7システムでは、AutoPlayは自動的に無効とはならないようだ。

 　デフォルトでAutoRunは無効とならなければならなかったのだろうか？（Windows 7は間違いなく、Windowsの以前のバージョンよりもリムーバブルメディアの取り扱いが優れているが、AutoPlayは現在もデフォルト機能であるようだ。）

 　いずれにせよ、AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に：スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。

 　通常、我々はMicrosoftに対してこのような小さな点をあげつらったりはしないのだが、組織にリスクのオフィシャルな評価情報を提供するアドバイザリであるため、このことは特に重要であると思う。

追記：Microsoftがアドバイザリをアップデートした。我々の最新の記事に詳細がある。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-19T19:33:01Z 2010-07-19T23:32:36+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427262

  先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要なことは、このエクスプロイットがSCADAシステムのWindows上で動くマネジメントアプリケーションをターゲットにし...

オフィシャルコメント 「スパイ攻撃がLNKショートカットファイルを使用」 と 「LNKエクスプロイトに関するその後の分析」 でもこれについて少し触れられています。

  SCADAとは、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことですが、これらは工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。

  私は6年ほど前に重要インフラ保護関連の調査のため、サンディア研究所などアメリカ数カ所でヒアリングのために回ったことがありますが、SCADAのセキュリティはその時すでに重要な課題になっていました。その時期アメリカでは東海岸での大規模停電を経験した直後だったため、そこから検討して電力グリッドなどに使われるSCADAシステムが攻撃された場合にも大規模な電力障害が起きうると想定されていました。

  Robert McMillanによるNewYork Timesに掲載された記事 「New Virus Targets Industrial Secrets」 では、この点についてさらに掘り下げていますが、今回のLNKファイル・エクスプロイットでは、Siemens社のSCADAマネジメント・ソフトウェアの「Simatic WinCC」のみが狙われる仕組みである事が判明しているそうです。このエクスプロイットはUSBデバイスに潜み、WindowsOSのPCに挿し込まれるとまずスキャンを開始、他のUSBデバイスを探して自身をコピーしようとするか、またはSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。そのためSiemens社は先週金曜にはすでに顧客に対してアラートを出しているそうです。

  NYTimes記事中で、Mississippi州立大学の研究者Wesley McGrewによると、このエクスプロイット作成者がもしもっと広範囲な悪用を狙うなら、もっと普及しているSCADAマネジメント・システムのWonderwareやRSLogixを試しただろうと発言しています。今回のエクスプロイットは、SCADAを乗っ取って人質にし身代金要求するためかもしれない、という観測もあります。

  SCADAのコンピューターは、未だに1980年代の8bitや16bitのCPUのOSなど搭載しないコンピューターの世界と近いものがあり、最近流行のArduino程度の性能かそれ以下のものも多いでしょう。また使用される場所も人里離れた山奥などもあり、一度設置されると何年あるいは何十年も壊れない限り使われる可能性がありますから、ソフトウェアのアップデートも行われないで放置され得ます。またパスワードなども変更される前提になっていないことから、デバイスにハードコードされている場合もあります。

  しかし、1990年代にはSCADAの世界にもネットワーク化の波が押し寄せたために、階上階を重ねるようにTCP/IPが追加されてきました。そのため、メーカーによってはPCの世界では考えられないようなインプリメントをした場合があったようで、以前アメリカで聞いた話でも、TCP/IPのポート番号を直接制御コマンドに割り当てられたSCADAが使われた工業用ロボットがあり、セキュリティ・テストのためにポートスキャンをかけただけで、いきなりトンデモない動作を始めた例があったそうです。

  また、低速CPUでRAMも限定量しか搭載されていないコンピューターでありOSすら走っていないとしたら、ファイアーウォールやフィルタリングなどのベーシックなセキュリティ機能が入る余裕もないといえます。TCP/IP通信もむき出しのパケットが流れているため、アメリカ商務省下の国立標準技術局(NIST)ではSCADAモジュールにアドオンするためのAES暗号通信モジュールを研究していました。

  従来から、サイバー戦やサイバーテロリズムの危惧からSCADAのセキュリティについて指摘が出されて来ていましたが、今回明らかにSCADAをターゲットにしたエクスプロイットが登場したことで、現実の問題として認識する必要があります。今回の問題を指摘したのがベラルーシのアンチウィルス企業だったことは、地理的な要素から見たら偶然ではないでしょう。重要インフラのSCADAに対する攻撃が成功した場合は、国としてのインフラ機能を奪うことができます。日本でもSCADAは各方面で使われています。輸入品よりは日本の電機メーカーのものが多く使用されていると云われていますが、将来に備えて警戒が必要な分野と言えると思います。]]> fsecure_blog 2010-07-21T04:34:47Z 2010-07-19T16:19:22+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427673

 　Mozillaが先頃、バグ報奨金を500米ドルから3000米ドルに引き上げた。 　以下は、このトピックに関するいくつかの考えだ: 　部外者によるバグや脆弱性の報告に支払いを行うというコンセプトは、Mozillaのプログラムが最初に開始した2004年以前でさえ論争の...

クアラルンプール発 バグ報奨金を500米ドルから3000米ドルに引き上げた。

 　以下は、このトピックに関するいくつかの考えだ:

 　部外者によるバグや脆弱性の報告に支払いを行うというコンセプトは、Mozillaのプログラムが最初に開始した2004年以前でさえ論争の的だったが（バックグラウンドについては「No More Free Bugs」「Bug Bounty Program Answers Critics」および「Bug Finders: Should They Be Paid?」を参照）、6年たっても、賛否両論はそれほど変化したようには見えない。

 　しかし他方で、変わったものもあり、すべての思惑に影響を及ぼす可能性がある。

 　一つには、（オンラインの）世界はより大きく、よりフラットになっている。ここ2、3年、米国および西欧以外の国で、コンピュータユーザの数が爆発的に増えている。

 　一般に、ユーザが多くなれば欠陥を見つける目も多くなる。そして発展途上国ではテクニカルな能力は通常低いが、関係する人数が圧倒的に多いことが、そうした不利を帳消しにできるかもしれない。数年後に我々は、より多くの「アマチュア」リサーチャが、報償の得られるバグハンティングに関与するのを目撃することになるかもしれない。

 　また、発展途上国のユーザの方が技術的知識に乏しいという前提は、過去2、3年に報告されたさまざまな攻撃からすれば、全く正しいとは言えなくなるかもしれないし、まもなく消滅するかもしれない。より役立つ行動にその実力を向ける方法を提供することは、悪いことではないかもしれない。

 　そして3000ドルは、米国、あるいはアンダーグラウンドでは、それほど大きな報償では無いが、他の、それほど豊ではない国々では、現在もかなりの額だ。そのため、余分の金を求めている週末のテクノロジー戦士達にやりがいを与える可能性があるだろう。彼らにとって、Mozillaが提供するようなバグ報奨金は、例えば以下のような利点が感じられるかもしれない：

  •  迅速で容易な報酬
  •  地理的に制限されない
  •  合法性

 　バグ報奨金プログラムの有用性についての議論は、大部分のセキュリティ専門家が、とりあえずMozillaの試みの成り行きを見守っているため、すぐには終わりそうもない。

 　しかし、コンピューティングの世界で大規模でめまぐるしい変化が起きていることを考えると、これらのプログラムがここ数年で進化し、大部分のソフトウェアベンダと、ボランティアリサーチャの双方にとって発展性のある形式を採用するという可能性も、非常にあり得ることだ。

 　あなたのご意見は？

＞＞原文へのリンク

]]> fsecure_blog 2010-07-21T04:30:56Z 2010-07-17T18:04:10+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50427670

 　Microsoftが「セキュリティ アドバイザリ（2286198）」をリリースし、現在Stuxnetルートキットにより悪用されているLNKショートカット（Windows Shell）脆弱性に関する詳細を提供している。 　このニュースは良く無いものだ。 　Windows Shell脆弱性はUSB...

クアラルンプール発 セキュリティ アドバイザリ（2286198）」をリリースし、現在Stuxnetルートキットにより悪用されているLNKショートカット（Windows Shell）脆弱性に関する詳細を提供している。

 　このニュースは良く無いものだ。

 　Windows Shell脆弱性はUSBデバイスのほか、WindowsファイルシェアおよびWebDavを通じても悪用される可能性がある。

 　Windowsの全バージョンが影響を受ける：



 　脆弱なバージョンには、最近のサポート終了によりアドバイザリにリストされていないWindows XP Service Pack 2も含まれる。

 　SP2用のパッチが無いならば、ユーザは提案されている回避方法を実行する必要があるだろう：

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

 　詳細はMicrosoftのセキュリティ アドバイザリを参照して欲しい。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-16T15:16:54Z 2010-07-16T21:09:47+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50426107

 　ミッコがこのほど、RTのクロストークプログラムにゲストとして招かれた。21世紀のスパイ活動というトピックは、非常にタイムリーだ。 　サイバーなスパイ活動というトピックで：「これは現在、実際に起こっていることだ。」 　上のビデオが視聴できない場...

ヘルシンキ発 クロストークプログラムにゲストとして招かれた。21世紀のスパイ活動というトピックは、非常にタイムリーだ。

 　サイバーなスパイ活動というトピックで：「これは現在、実際に起こっていることだ。」



 　上のビデオが視聴できない場合は、CrossTalkのサイトかYouTubeを試して欲しい。

 　.flvファイルをダウンロードすることもできる。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-16T15:15:23Z 2010-07-16T18:30:13+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50426105

 　Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。 　我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで...

ヘルシンキ発 Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

 　我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

 　我々は昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

 　同ルートキットコンポーネントは、デジタル署名されており、我々は有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

 　いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

 　有効なデジタル署名を用いた悪意あるソフトウェアについては、エフセキュアのJarno Niemelaが先頃、「Caro 2010 Workshop」のプレゼンテーションで予測していた：署名されているのだからクリーンでしょう？

 　標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

 　したがって、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている。

 　我々は今後も同ケースについて進展があり次第、詳細を報告する予定だ。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-26T07:04:08Z 2010-07-15T19:34:25+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50425782

 　標的型攻撃で使用されている、新たなゼロデイの可能性が流布している。ベラルーシのアンチウイルス会社「VirusBlokAda」がこのほど、2つの新しいルートキット・サンプルに関するニュースを発表した。そして非常に興味深い事に、感染ベクタはUSBストレージとWindowsシ...

ヘルシンキ発 2つの新しいルートキット・サンプルに関するニュースを発表した。そして非常に興味深い事に、感染ベクタはUSBストレージとWindowsショートカット［.LNK］ファイルだ。

 　このルートキットは、Windows ExplorerやTotal Commanderなど、アイコンを生成するファイルエクスプローラにより閲覧された際に、オペレーティングシステムに感染するLNKファイルを使用する。

 　「Krebs on Security」によれば、このメソッドは完全にパッチを当てたWindows 7コンピュータを感染させることができる。

 　Krebsによれば：MicrosoftのJerry Bryantが述べている。「MicrosoftはUSBストレージデバイスにより広がっているというマルウェアに関する主張について調査中だ。調査を完了した時点で、我々はユーザとインターネット環境を保護するため、適切な行動を取る予定だ。」

 　同サンプルに関する我々の現時点での分析は、このショートカットはWindowsがコントロールパネル・ショートカットファイルを取り扱う方法を、どのようにか利用しているように思われるというものだ。



 　我々は調査を続けている。

 　Krebsの報告で、興味深い点がさらに2つある：

1.) これはRealtek Semiconductor社のデジタル署名を使用するか、模倣しようとする。
2.) Siemens WinCC SCADAシステム、もしくは製造業や発電所などの大規模な分散システムのオペレーションをコントロールするマシンを標的とするようだ。

 　「VirusBlokAda」によるレポートはここにある。（PDF）

 　多くの組織が、ワームのオートランに関し、USBデバイス向けのポリシーを、かなり以前に確立している。今回の新しいスパイ攻撃は、新たな見直しの必要性を示唆している。ポリシーによりAutoRun/AutoPlayをオフにすることは、もはや安全を保障するものではない。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-16T01:25:51Z 2010-07-15T10:49:33+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50425778

 　Mozillaが先頃、ポピュラーな「CoolPreviews」アドオンのバージョン3.0.1に、セキュリティエスカレーションの脆弱性を発見した。 　同脆弱性は、特別に用意したリンクを使用することで利用可能で、ユーザがカーソルをリンク上にあわせると、同アドオンにリモー...

クアラルンプール発
 　同脆弱性は、特別に用意したリンクを使用することで利用可能で、ユーザがカーソルをリンク上にあわせると、同アドオンにリモートJavaScriptコードを実行させる。詳細については、「Mozilla Add-ons」ブログに掲載されている。

 　「CoolPreviews」アドオンを使用しているFirefoxユーザは、最新バージョン3.1.0625に、できるだけ早くアップグレードすることをお勧めする。同アップデートで解決された、その他の既知の問題については「CoolPreviews」サイトにリストアップされている。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-13T15:28:15Z 2010-07-13T20:29:12+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50425104

 　今日、7月13日は、「Windows XP Service Pack 2」のサポートが終了する日だ。今日以降、MicrosoftはSP2向けにアップデートをリリースせず、これにはInternet Explorer、Media Player、Outlook ExpressなどのMicrosoftソフトウェアも含まれる。 　エフセキュアの...

ヘルシンキ発
 　エフセキュアのテレメトリーでは、我々のカスタマ・ベースの10パーセントから11.5パーセントが「XP Service Pack 2」を使用している。この数は、企業のマシンが使用されない週末中には低下する。「「Windows XP SP3」の数は50パーセントから54パーセントに及んでいる。

 　サポートの終了問題に直面しているのが、我々のカスタマの約10パーセントであるのは悪くない。

 　しかし、読者の皆さんはどうだろうか？

 　この5月、我々は「主要OSとしてWindows XP SP2を使用していますか？」という質問をした。およそ44パーセントが「Yes」と解答した。

 　世界にはまだ、「Service Pack 2」を使用しているコンピュータが数多くある。このことは重大な問題ではないが、結局は、これらコンピュータに影響を及ぼす脆弱性が、利用可能なのだ。このことは、遅かれ早かれ問題になるだろう。

 　今日のアップデートを適用することをお勧めする：



 　そして次に、MicrosoftのDownload Centerでダウンロードできる「XP Service Pack 3」へのアップデートを予定に入れて頂きたい。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-13T06:28:03Z 2010-07-13T04:27:37+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50424907

 　1週間前、「TNW Apple」がAppleのApp Storeに関する記事を掲載した。一部の恥知らずな開発者が、ジャンク・アプリケーションの利益を「App Farm」するため、障害が起きたiTunesアカウントを使用しているようだ。「TNW Apple」の記事は、元々はThuat Nguyenに関するも...

ヘルシンキ発 AppleのApp Storeに関する記事を掲載した。一部の恥知らずな開発者が、ジャンク・アプリケーションの利益を「App Farm」するため、障害が起きたiTunesアカウントを使用しているようだ。「TNW Apple」の記事は、元々はThuat Nguyenに関するものだったが、すぐに拡大することになった。

 　そして、この問題についての多くの考察が登場し、我々も考えをたずねられた。「Computer World」のGregg Keizerは、我々がiTunesフィッシングの増加を予測していたかどうかを知りたがった。しかしGreggと話していて、我々はiTunesをフィッシングする必要など無いことを確認した。なぜなら、アカウント名は電子メール・ベースなのだから、フィッシングされたメール・アカウント・データを収集し、iTunesで同じパスワードを試せばいいだけなのだ。

 　一体何人の人が、自分達のアカウント全てに、同一のパスワードを使用しているのだろうか？　我々が最近行った調査によると、およそ20パーセントだ。同調査はスウェーデン、英国、およびドイツで実施された。



 　ストアはiPodとリンクされているので、電子メールとiTunesで同じパスワードを使用しても問題は無い、と考える人もいるだろう。

 　しかし問題がある。ストアはあなたのクレジット・カードにもリンクされているのだ。今回のNguyen事件は、クレジット・カードから盗みを行おうという意志さえあれば、方法もあるということを明らかに証明している。

＞＞原文へのリンク

]]> fsecure_blog 2010-07-08T17:16:48Z 2010-07-08T02:37:23+09:00 tag:blog.livedoor.jp,2010:fsecure_blog.50423267

 　AVGのロジャー・トンプソンが今日、ブラウザのアドレス・バーに、JavaScriptをコピー＆ペーストするよう求める、Facebookページを巻き込んだ詐欺について、興味深い記事を投稿した。JavaScriptのファンクションの一部が、そのページが何人に好まれたかを自動化するよ...

ヘルシンキ発 JavaScriptをコピー＆ペーストするよう求める、Facebookページを巻き込んだ詐欺について、興味深い記事を投稿した。JavaScriptのファンクションの一部が、そのページが何人に好まれたかを自動化するようで、それが拡散の原因となった。ありそうもないトリックのように聞こえるでしょう？

 　その結果、どれくらいの人がこれに引っかかっただろうか？　トンプソンによれば、このページはおよそ60万の「Like（いいね！）」を獲得したそうだ。

 　信じがたい。

 　この件に興味を刺激され、私は「99% of people can't watch this video more than 25 seconds」という付加的なページを検索してみた。

 　現在、総計で20万以上の「Like」を有するいくつかのページが存在する：



 　私が発見したページの中ではたった1ページしかJavaScriptを使用しておらず、その他は単に、そのページが気に入られると、TinyURLリンクを表示するだけだった：



 　このリンクは、面倒なマーケティング調査やCPAなどに導く。類似ページはしばしば、詐欺的な、あるいは悪意のあるWebサイトへと導く。

 　残念なことに、Facebook上にページを作成するのはむしろシンプルなタスクであり、より大きな問題は「ランディング・タブ」なのだ。ランディング・タブとは何だろう？　これは、そのページをまだ気に入ったとしていない人に示される最初のタブで、このケースでは「Video Here!」タブがそれだ。

 　この5月、ランディング・タブが「認証されたページ」に制限される、もしくは1万人以上のファン（現在は「Like」）を持つページに制限される予定だと、「All Facebook」が報じた。翌日、Facebookは立場を変え、この制限は実装されなかった。

 　Facebookの発表によれば：「我々は最近追加した、ページ上にカスタマイズしたランディング・タブを置く際の認証条件を削除した。この条件はページの品質イニシアティブの一部として制定されたものだが、我々は現在、状況を再吟味しているところだ。今後、何らかの変更を行う際には、予告とリードタイムを発表する。」

 　Facebookは何故、後退したのだろうか？　小規模な企業が不服を申し立てたためだ。1万人のファンという条件をクリアするのは、あまりに難しいように思われたのだ。ランディング・タブの主要な用途は、そのページのベースを作成することであり、おそらくは要求が大きすぎたのだろう。

 　しかしこの時点で、何の条件も無いということが、詐欺やスパムの氾濫の切っ掛けとなっている。何らかの妥協がなされるべきだろう。

 　エフセキュアのFacebookページは、「Anti-Theft Phonehunt」キャンペーン中など、時折ランディング・タブを使用しているが、この機能をあてにしてはいない。この機能を可能にするためには、若干の努力をしなければならないとしたら、そうするまでだ。現在、こうした詐欺に引っかかっている人たちは、そうした方が良いだろうし、状況は改善するだろう。

 　Facebookが、彼らの言う再吟味にあまり時間を掛けないことを祈ろう。

 　TinyURLはすぐに、私が悪用した6つのリンクを停止した。Gilbyに感謝を！

サインオフ
ショーン

＞＞原文へのリンク

]]> fsecure_blog