━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ エフセキュアメールマガジン 2010/02/02 Vol.012 ━━━━━━━━━━━━━━━━━━━━━ http://www.f-secure.co.jp/ ◆セキュリティニュースダイジェスト  ●脆弱性シールドが「Aurora」によるゼロデイ攻撃を未然に防御  (エフセキュア)  ●身代金を要求するランサムウェアへの注意喚起を発表(エフセキュア)  ●最新版アンチウイルスソフトが第三者機関によるテストで高評価を獲得  (エフセキュア)  ●ガンブラー対策の勘違いのFAQを公開(エフセキュア)  ●09年第4四半期の脆弱性関連情報の届出状況を発表、修正の長期化など  憂慮(IPA)  ●gredセキュリティレポートVol.6を公表、1月のGumblar被害拡大の速報も  (セキュアブレイン)  ●「安全なウェブサイトの作り方 改訂第4版」失敗事例を拡充し公開(IPA)  ●インシデントハンドリング報告を発表、Gumblar攻撃による侵入が激増  (JPCERT/CC)  ●JPCERT/CC 活動概要を発表(JPCERT/CC) ◆1月のエフセキュアブログ人気記事 ◆特集「Googleマルウェアに中国の影〜ソースコード分析結果から」 ◆サポート情報  ●添付ファイル付きE-mailの受信障害およびその修正について ◇お問い合わせ ◇登録アドレスの変更と解除 ─────────────────────────────────── ◆セキュリティニュースダイジェスト ─────────────────────────────────── ---------------------------------------------------------------------- ●脆弱性シールドが「Aurora」によるゼロデイ攻撃を未然に防御  (エフセキュア) ----------------------------------------------------------------------  エフセキュア株式会社は1月21日、フィンランド本社による同社インターネ ットセキュリティ2010搭載の脆弱性シールドが「Aurora」による攻撃を未然に 防いだことを発表した。脆弱性シールドは新しい脆弱性だけでなく、ドライブ バイダウンロードという手法で、検知したWebサイトを介して感染拡大を狙う プログラムを分析し世界中のユーザとその情報を共有、防御力を強化する。  「Aurora」は、CVE 2010-0249として知られているInternet Explolarの脆弱 性を悪用し、遠隔から感染したクライアントPCを操作可能にするもの。同社 CTOピルカ・パロマキ氏は、新しいウイルスが発見され、修正パッチが配信さ れるまでの空白の時間に起こる脅威からユーザを守る脆弱性シールドにより、 実際に「Aurora」の攻撃を受ける前に被害を未然に防ぐことができたと述べて いる。 http://www.f-secure.com/ja_JP/about-us/pressroom/news/2010/fs-news_20100121_01_jp.html ---------------------------------------------------------------------- ●身代金を要求するランサムウェアへの注意喚起を発表(エフセキュア) ----------------------------------------------------------------------  エフセキュア株式会社は1月26日、フィンランド本社による身代金を要求す るランサムウェアへの注意喚起を発表した。ランサムウェアはトロイの木馬の 一種で、感染したコンピュータのファイルを修復するための費用、つまり身代 金をユーザに払わせるもの。騙されたユーザに誤った満足感さえ与える、非常 に悪質なものとしている。新種ではユーザが被害に気が付かない危険性も高い。  コンピュータが「W32/DatCrypt Trojan」に感染すると、Microsoft Office の書類や動画、画像などのファイルをDatCryptによって暗号化される。そのフ ァイルが破損したかのように偽装し、本物のWindowsのメッセージのように見 せかけたメッセージが現れ、Windowsが推薦するリカバリソフトとして「Data Doctor2010」をダウンロードし、実行するようユーザに促す。しかし、無料版 は「ひとつのファイルしか修復できない」として 89.95ドルの製品版を購入す るよう誘導される。製品版を購入するとファイルは元に戻りアクセスできるよ うになる。 http://www.f-secure.com/ja_JP/about-us/pressroom/news/2010/fs-news_20100126_01_jp.html ---------------------------------------------------------------------- ●最新版アンチウイルスソフトが第三者機関によるテストで高評価を獲得  (エフセキュア) ----------------------------------------------------------------------  エフセキュア株式会社は1月14日、エフセキュアの最新版アンチウイルスソ フトの「エフセキュア インターネット セキュリティ 2010」が、アンチウイ ルスソフトの第三者調査機関のAV-Comparativules.orgによるテストで高評価 を獲得したと発表した。8項目中、5項目に渡って最高得点であるAdvanced+を 獲得した。  最高評価を得たのは、全体のシステム負荷を問うパフォーマンス、マルウェ ア駆除、検出力とスキャン速度をみるマニュアルスキャン、スパイウェア・ア ドウェア対策、未知のマルウェアへの対策の各項目。また、実際の動作環境を 試す動作テストにおいてもAdvanced+の次に当たるAdvancedの評価を得ている。  AV-Comparatives.orgは、アンチウイルスソフトのテストを行っているオー ストリアの非営利組織で、テスト結果は一般公開されている。今回のテストは、 各ベンダーの最新版ソフトを対象に2009年末に行われたもので、テスト項目は 8項目。スコアリングは、Advanced+、Advanced、Standard、Testedの4レベル に分かれており、Advanced+が最高となる。 http://www.f-secure.com/ja_JP/about-us/pressroom/news/2010/fs-news_20100114_01_jp.html ---------------------------------------------------------------------- ●ガンブラー対策の勘違いのFAQを公開(エフセキュア) ----------------------------------------------------------------------  エフセキュア株式会社は1月12日、同社公式ブログに、ゲストブロガーであ るWebセキュリティの専門家による、Gumblar対策のポイントを公開した。  「間違いだらけのGumblar対策」と題された投稿は、「OSだけでなくすべて のソフトウェアを最新版にアップデートしておけば大丈夫ですか?」「FTPサ ーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?」「プライ ベートアドレスを使っていれば、バックドアには入られませんか? または、 ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?」他の、 具体的な12の代表的質問に答える形式で掲載されている。  本投稿は、エフセキュアブログにゲストブロガーとして参加する、株式会社 サイバーディフェンス研究所 上級分析官の福森大喜氏によるもので、同氏は、 第3回IPA賞の受賞の他、グーグル社主催の「Native Client セキュリティコン テスト」世界4位に入賞するなど、Webアプリケーションの脆弱性の国際的権威 である。  「間違いだらけのGumblar対策」は、福森氏がGumblarウイルスの検体を入手 し、サイバーディフェンス研究所で解析を行った結果に基づくもので、錯綜す る情報を整理する一助となることを目指しているという。 http://blog.f-secure.jp/archives/50334036.html http://blog.f-secure.jp/ http://www.f-secure.com/ja_JP/ http://www.cyberdefense.jp/ ---------------------------------------------------------------------- ●09年第4四半期の脆弱性関連情報の届出状況を発表、修正の長期化など憂慮  (IPA) http://www.ipa.go.jp/security/vuln/report/vuln2009q4.html ●gredセキュリティレポートVol.6を公表、1月のGumblar被害拡大の速報も  (セキュアブレイン) http://www.securebrain.co.jp/about/news/2010/01/gred-report6.html ●「安全なウェブサイトの作り方 改訂第4版」失敗事例を拡充し公開(IPA) http://www.ipa.go.jp/security/vuln/websecurity.html ●インシデントハンドリング報告を発表、Gumblar攻撃による侵入が激増  (JPCERT/CC) http://www.jpcert.or.jp/pr/2010/IR_Report0100112.pdf ●JPCERT/CC 活動概要を発表(JPCERT/CC) http://www.jpcert.or.jp/pr/2010/PR0100001.pdf ─────────────────────────────────── ◆1月のエフセキュアブログ人気記事 ───────────────────────────────────  このコーナーでは、エフセキュアメールマガジンの姉妹メディアである「エ フセキュアブログ」から先月の人気記事をご紹介します。 【1位】--------------------------------------------------------------- 間違いだらけのGumblar対策(1/12投稿)※ゲストブロガー記事 http://blog.f-secure.jp/archives/50334036.html  Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、 情報が錯綜しているようです。そこで、実際に検体を解析しましたので… 【2位】--------------------------------------------------------------- Googleに対する標的型攻撃(1/13投稿) http://blog.f-secure.jp/archives/50334905.html  この数年、我々は標的型攻撃、すなわちスパイ型トロイの木馬の攻撃を受け た何十もの企業と共に仕事をしてきた。これらの企業のうち… 【3位】--------------------------------------------------------------- Adobe Readerゼロデイの検出(1/5投稿)※ゲストブロガー記事 http://blog.f-secure.jp/archives/50321539.html  昨年末からAdobe Reader/Acrobatのゼロデイ、CVE-2009-4324を攻撃するPDF ファイルが出回っています… 【4位】--------------------------------------------------------------- 書籍:「致命的なシステム・エラー」(1/26投稿) http://blog.f-secure.jp/archives/50341275.html  サイバー犯罪に関する新しい本が登場した。著者はJoseph Mennだ。Joseph は長年、「Financial Times」や「Los Angeles Times」で… 【5位】--------------------------------------------------------------- エフセキュアブログ : プロ用ツールとしてのTwitter(1/26投稿) http://blog.f-secure.jp/archives/50341681.html  私はソーシャル・ネットワークのファンだったことは一度もない。Facebook には参加していない。Myspaceにも。LinkedLnにも… ─────────────────────────────────── ◆特集「Googleマルウェアに中国の影〜ソースコード分析結果から」 ───────────────────────────────────  本特集では、アメリカのセキュリティ業界及ハッカーコミュニティから届い たニュースを、狭く絞り込み、深く掘り下げて掲載します。 ----  SecureNetwork社(米国ジョージア州アトランタ市)のマルウェア研究者の ジョー・スチュアート氏が、Googleへの攻撃に使用されたマルウェアが中国製 であることを示す強力な証拠を発表した。また同時に、この「Operation Aurora」の開始が2006年であったことを示すタイムスタンプが見つかったこと も発表している。  まずそのタイムスタンプだが、「Operation Aurora」に使用されたバックド ア、「Hydraq」のコードは2009年に作成されたというのが一般の見解。が、 Auroraのコードベースのカスタム・モジュールの中には、そのコンパイラーの タイムスタンプが2006年の5月になっているものが見つかった。  これをうけてスチュアート氏は、「「Operation Aurora」が3年以上も検知 を免れた理由は、アンチウイルス企業に良く知られているポピュラーなトロイ の木馬を使用した「Titan Rain」攻撃(2005年)と違い、オリジナルなコード を使用し、攻撃対象を限定したのが理由だろう」と推測している。  一方、攻撃の対象となったのが中国の人権活動家であること、マルウェアの コマンド&コントロール・サーバのIPアドレスが中国のものであることなどか ら、「Operation Aurora」は中国発であると推測されてきた。では、コンパイ ラのバイナリの言語コードはどうだろうか。スチュアート氏は、「「Hydraq」 のバイナリのPEリソースの言語コードは英語」と言っているが、「わざと英語 のシステムでコンパイルをしたか、後から言語コードを変更したのだろう」と 付け加えている。  それでは、スチュアート氏が「Hydraq」が中国製だと確証する理由はどこに あるのだろうか。それは、CRCアルゴリズムだ。「「Hydraq」のCRC(cyclic redundancy check)アルゴリズムは、今まで目にしたことがない型はずれなも のなのだ。 以下に「Hydraq」のCRCアルゴリズムのコードをそのまま記す; 10004840 SUB ESP,40 10004843 PUSH ESI 10004844 MOV ESI,DWORD PTR SS:[ESP+4C] 10004848 XOR EAX,EAX 1000484A TEST ESI,ESI 1000484C MOV DWORD PTR SS:[ESP+4],0 10004854 MOV DWORD PTR SS:[ESP+8],1021 1000485C MOV DWORD PTR SS:[ESP+C],2042 10004864 MOV DWORD PTR SS:[ESP+10],3063 1000486C MOV DWORD PTR SS:[ESP+14],4084 10004874 MOV DWORD PTR SS:[ESP+18],50A5 1000487C MOV DWORD PTR SS:[ESP+1C],60C6 10004884 MOV DWORD PTR SS:[ESP+20],70E7 1000488C MOV DWORD PTR SS:[ESP+24],8108 10004894 MOV DWORD PTR SS:[ESP+28],9129 1000489C MOV DWORD PTR SS:[ESP+2C],0A14A 100048A4 MOV DWORD PTR SS:[ESP+30],0B16B 100048AC MOV DWORD PTR SS:[ESP+34],0C18C 100048B4 MOV DWORD PTR SS:[ESP+38],0D1AD 100048BC MOV DWORD PTR SS:[ESP+3C],0E1CE 100048C4 MOV DWORD PTR SS:[ESP+40],0F1EF 100048CC JE SHORT hydraq-a.10004913 100048CE PUSH EBX 100048CF PUSH EDI 100048D0 MOV EDI,DWORD PTR SS:[ESP+50] 100048D4 MOVZX ECX,BYTE PTR DS:[EDI] 100048D7 MOV EDX,EAX 100048D9 SHR EDX,8 100048DC MOVZX EDX,DL 100048DF SHR EDX,4 100048E2 MOV EBX,ECX 100048E4 SHR EBX,4 100048E7 XOR EDX,EBX 100048E9 SHL EAX,4 100048EC XOR EAX,DWORD PTR SS:[ESP+EDX*4+C] 100048F0 AND ECX,0F 100048F3 MOV EDX,EAX 100048F5 SHR EDX,8 100048F8 MOVZX EDX,DL 100048FB SHR EDX,4 100048FE XOR EDX,ECX 10004900 SHL EAX,4 10004903 XOR EAX,DWORD PTR SS:[ESP+EDX*4+C] 10004907 SUB ESI,1 1000490A ADD EDI,1 1000490D TEST ESI,ESI 1000490F JNZ SHORT hydraq-a.100048D4 10004911 POP EDI 10004912 POP EBX 10004913 POP ESI 10004914 ADD ESP,40 10004917 RETN  最初に目に付くのが、コンスタンツ・テーブルのサイズ。通常16および32ビ ットのCRCアルゴリズムは、256のハードコードされたテーブルを使用するもの だ。が、「Hydraq」に使用されているCRCアルゴルリズムのテーブルはたった の16、つまり、通常の256のテーブルを縮小したもの。そのため、「アルゴリ ズムをデコンパイルして「Hydraq」と同じ特徴を持つソースコードをインター ネットで検索してところ、サンプルが一つだけ見つかった」と氏はそのブログ で語っている。  スチュアート氏はまた、そのサンプルに同じインプットをして「Hydraq」と 同じアウトプットが出力されること確認し、このCRCアルゴリズムが「Hydraq」 に使用されたものだと考えている。  さて、このたった一件だけ見つかったソースコードが中国製だというのだ。  それは、「このアルゴリズムは、簡体字の中国語の論文で出版されているだ けでなく、このソースコードに関する情報は中国語のWebサイトだけに見つか っている」からだ。  「ソースコードは一言語に限られたものでないが、プログラマはバグやソー スコードの使用方法を誤解することを避けるために、自国語のものを使うのが 普通だ。そのため、「Aurora」のコードベースは簡体字中国語が自国語の、中 国本土の人が作ったと考えるのが論理的だ」と同氏は結論づけている。  ちなみに「Operation Aurora」は、ソースコードのデバッグシンボルファイ ルのパスに、”f:\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb"というストリ ングが見つかったことからそう命名されている。 【執筆:米国 笠原利香】 【関連リンク】 SecureWorksブログ http://www.secureworks.com/research/blog/ エフセキュアブログ : Googleに対する標的型攻撃 http://blog.f-secure.jp/archives/50334905.html ─────────────────────────────────── ◆サポート情報 ─────────────────────────────────── ●添付ファイル付きE-mailの受信障害およびその修正について エフセキュア インターネットセキュリティ2010およびエフセキュア プロテク ション サービス ビジネスをご利用頂いているユーザ様において、1月25日 22:25から1月26日 19:23にかけて、添付ファイル付きE-mailが受信できない問 題が発生しました。 1月26日 19:23に配信した最新のパターンファイルで、この事象は修正されて おり、現在では正常に全てのE-mailを受信することができます。 上記の期間の間、添付ファイル付きE-mailの受信に失敗している場合は、パタ ーンファイルを更新し、スパムのデータベースを最新のバージョン (2010-01-26_01)にしてください。その後、E-mailクライアントで送受信を 行い、上記の期間中に届いたメールが受信できることを確認してください。 E-mailのご利用にご不便をおかけしてしまい申し訳ございません。本事象は、 添付ファイル付きE-mailの受信のみに影響します。E-mailの送信や、添付ファ イルのないE-mailの受信については影響ございません。 スパムのデータベースの更新方法が不明な場合、弊社サポートセンターにお問 い合わせ頂くか、以下のURL(英語)をご参照ください。 http://www.f-secure.com/kb/7115 エフセキュア株式会社 サポート情報 http://www.f-secure.com/ja_JP/support/ エフセキュア株式会社 製品別FAQ http://www2.f-secure.co.jp/support/FAQ/ ─────────────────────────────────── ◇お問い合わせ ───────────────────────────────────  本メールマガジンの内容や製品に関するお問い合わせ、ご要望がございまし たらお気軽に下記までご連絡ください。  エフセキュア株式会社 (http://www.f-secure.co.jp/)  横浜市西区高島2-19-12 スカイビル23F  TEL:045-440-6610/FAX:045-440-6616  japan@f-secure.co.jp ─────────────────────────────────── ◇登録アドレスの変更と解除 ───────────────────────────────────  登録アドレスの変更をご希望の際は、下記Webページをご利用下さい。 http://www.f-secure.com/ja_JP/about-us/pressroom/magazine_registration.html  メールマガジン登録解除の際は下記専用URLをクリックすれば、配信データ ベースから即時削除されます。 http://biz.pubzine.com/zineker/listdel.asp?id=1275&email=$$mailadrs$$ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ エフセキュアメールマガジン 発 行:エフセキュア株式会社(http://www.f-secure.co.jp/)     横浜市西区高島2-19-12 スカイビル23F     TEL:045-440-6610/FAX:045-440-6616/japan@f-secure.co.jp 製作配信:株式会社ネットセキュリティ総合研究所      本メールマガジンは、情報セキュリティ専門誌Scan(ネットセキュ      リティ総合研究所発行)の記事を転載しております。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━