エフセキュアブログ http://blog.f-secure.jp/ フィンランドのセキュリティ企業、エフセキュアのセキュリティ研究所が提供している世界中のセキュリティの最新動向と日本国内のセキュリティスペシャリストによる情報を集結した「エフセキュアブログ」 ja ZeuSランサムウェア機能:win_unlock http://blog.f-secure.jp/archives/50665802.html   今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。 ... fsecure_corporation 2012-05-21T20:53:44+09:00 クアラルンプール発
  この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

  システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

  受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

ZeuS, ransom feature

  したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

>>原文へのリンク
]]> ビデオ:Angry Birds Space トロイの木馬&ドライブバイAndroid http://blog.f-secure.jp/archives/50665801.html   月曜日、我々は第1四半期のモバイル脅威レポートをリリースし、その中で「約束を果たす」モバイル版トロイの木馬の数が増加していることを指摘した。それは何を意味しているのだろうか?  過去には、モバイルマルウェアはエサとして「無料」のモバイルWebサービスなど... sean_sullivan 2012-05-18T23:19:31+09:00 ヘルシンキ発 第1四半期のモバイル脅威レポートをリリースし、その中で「約束を果たす」モバイル版トロイの木馬の数が増加していることを指摘した。それは何を意味しているのだろうか?

  過去には、モバイルマルウェアはエサとして「無料」のモバイルWebサービスなどを提供することが多かったが、インストール中、トロイの木馬はある種の囮となるエラーメッセージを示した。

  その時点で、トロイの木馬をインストールする人々は、通常、不審に思うか、問題を解決するため、答えを探そうとする。その結果フォーラムで、自分たちが実際にインストールしたのはトロイの木馬であるという回答を得ることになる。最近は、コンピュータおたくで無くても、スマートフォンを持っており、エサはかなり多様だ。

  囮メッセージは無い。「エサ」は実際に機能する。

  以下は、トロイの木馬がRovioの「Angry Birds Space」のワーキングコピーをインストールし、電話に障害を引き起こすトロイの木馬のビデオだ。



ビデオ:トロイの木馬化されたAngry Birds Space

  そう、問題解決とは比べものにならない…それにコンピュータおたくで無い人のどれだけが、自分たちに約束されたものが疑わしいことに気づくだろうか? 何者かが彼らの電話に障害を引き起こしながら、当人達が気づかないという可能性はかなりある。

  Androidマルウェアは明らかに進化している。

  以下は第2四半期中に進化した物の簡単なプレビューだ:



ビデオ:ドライブバイAndroidマルウェア

>>原文へのリンク
]]> 実践 Metasploit――ペネトレーションテストによる脆弱性評価 http://blog.f-secure.jp/archives/50665196.html オライリー・ジャパン様より『実践 Metasploit――ペネトレーションテストによる脆弱性評価』を献本頂きました。ありがとうございます。本書は『アナライジング・マルウェア』の著者陣も監訳者として参加しております。本日はとりあえず紹介だけですが、早速拝読させていただ... yuji_hoshizawa 2012-05-17T13:15:58+09:00 東京発 オライリー・ジャパン様より『実践 Metasploit――ペネトレーションテストによる脆弱性評価を献本頂きました。ありがとうございます。

本書は『アナライジング・マルウェアの著者陣も監訳者として参加しております。

本日はとりあえず紹介だけですが、早速拝読させていただき、後日書評を。少々お待ち下さい。  ]]> 再掲載:オンラインセミナー:マルウェアを困難にする http://blog.f-secure.jp/archives/50665391.html   エフセキュアラボのシニアリサーチャJarno Niemelaが、2012年5月17日木曜日、Black Hat Webcastに参加する。  テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。  詳細に... sean_sullivan 2012-05-16T21:59:01+09:00 ヘルシンキ発
  テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。

https://www2.gotomeeting.com/register/332978794

  詳細については、オンラインセミナーの登録ページにある。

  これまでに1000人以上の人が登録している!

>>原文へのリンク
]]> お勧めの番組:Danger In The Download http://blog.f-secure.jp/archives/50665059.html   BBC World Serviceは先頃、「Danger In The Download」という3回にわたるドキュメンタリーをオンエアした。  これは間違いなく傾聴する価値がある。現在、全てのエピソードがオンラインとなっている。エピソード1 — 増大するハッカーとサイバー兵器によるサイバースペ... sean_sullivan 2012-05-15T22:01:54+09:00 ヘルシンキ発 ドキュメンタリーをオンエアした。

  これは間違いなく傾聴する価値がある。現在、全てのエピソードがオンラインとなっている。

The Documentary: Danger In The Download

エピソード1 — 増大するハッカーとサイバー兵器によるサイバースペースの脅威。
エピソード2 — ネットのアーキテクチャと自治は現在も目的にかなっているのか?
エピソード3 — インターネットを保護するために政府ができること。

  ポッドキャスト形式のオーディオの方がお好みなら、エピソード1がダウンロードできる、PRI's The Worldのテクノロジーポッドキャストもお勧めする。

>>原文へのリンク
]]> ダウンロード:モバイル脅威レポート Q1 2012 http://blog.f-secure.jp/archives/50665058.html   2012年第1四半期をカバーする、最新のモバイル脅威レポートを発表する時期が来た。  我々の2011年第4四半期レポートは非常に人気があったが、今回の第1四半期版はさらに良いものになっている。コンテンツ(そしてページ)が増え、楽しんで読んで頂けるだろう。  利益... sean_sullivan 2012-05-15T00:49:33+09:00 ヘルシンキ発
  我々の2011年第4四半期レポートは非常に人気があったが、今回の第1四半期版はさらに良いものになっている。コンテンツ(そしてページ)が増え、楽しんで読んで頂けるだろう。

Mobile Threat Report, Q1 2012

  利益を目的とした四半期ごとのモバイル脅威:

Mobile Threat Report, Q1 2012

  以下からダウンロードできる:モバイル脅威レポート Q1 2012[PDF]

>>原文へのリンク
]]> 管理人退任のご報告 http://blog.f-secure.jp/archives/50664853.html わたくし尾崎リサは、明日2012年5月15日付けでエフセキュアブログ管理人を退任することとなりましたので、ご報告ならびにこれまで支えてくださった全ての方々にこの場を借りて厚く御礼申し上げます。 risa_ozaki 2012-05-14T17:11:42+09:00 東京発 続きを読む ]]> ソフトウェアのマーケティングは何が悪いのか? http://blog.f-secure.jp/archives/50664826.html   昨日私は、匿名ではないスピーチは、匿名のDDoS攻撃や他の検閲形式よりも遙かに優れていることを示唆した。  今日はこの「反著作権侵害」PSA(1988年頃)を、私の理論を支持する証拠として提供する:クリックして拡大。  私に喜んでInfocomのゲームを買わせるのは、... sean_sullivan 2012-05-10T22:02:43+09:00 ヘルシンキ発 匿名のDDoS攻撃や他の検閲形式よりも遙かに優れていることを示唆した。

  今日はこの「反著作権侵害」PSA(1988年頃)を、私の理論を支持する証拠として提供する:

What's wrong with marketing software?
クリックして拡大。

  私に喜んでInfocomのゲームを買わせるのは、このような物だ。彼らはうまく問いかけ、自分たちの主張を人を喰ったユーモアで証明している。私はこのジョークを24年たっても覚えている。DDoS攻撃? すぐに記憶から消えてしまう。

  インターネットの活動家は(今日のメディア業界と同様)過去から学んだ方が良いだろう。

>>原文へのリンク
]]> Pirate BayがAnonymousに:母親に電話せよ! http://blog.f-secure.jp/archives/50664823.html   英国の裁判所は最近、The Pirate Bayへのアクセスをブロックするよう、インターネットサービスプロバイダに命じた。昨日、Anonymousに関係していると主張する連中により、Virgin Mediaが攻撃された。  The Pirate BayはそのFacebookページで、同攻撃について書いている... sean_sullivan 2012-05-10T02:13:10+09:00 ヘルシンキ発 The Pirate Bayへのアクセスをブロックするよう、インターネットサービスプロバイダに命じた。昨日、Anonymousに関係していると主張する連中により、Virgin Mediaが攻撃された

  The Pirate BayはそのFacebookページで、同攻撃について書いている。

Seems like some random Anonymous groups have run a DDOS campaign against Virgin media and some other sites. We'd like to be clear about our view on this: We do NOT encourage these actions. We believe in the open and free internets, where anyone can express their views. Even if we strongly disagree with them and even if they hate us. So don't fight them using their ugly methods. DDOS and blocks are both forms of censorship. If you want to help; start a tracker, arrange a manifestation, join or start a pirate party, teach your friends the art of bittorrent, set up a proxy, write your political representatives, develop a new p2p protocol, print some pro piracy posters and decorate your town with, support our promo bay artists or just be a nice person and give your mom a call to tell her you love her.

TPB:我々はオープンで自由なインターネットを信じており、そこでは誰もが自分の意見を述べることができる。我々が彼らにまったく賛成できないとしても、彼らが我々を嫌っているとしても。

私の意見:汝の敵を愛せ。

TPB:だから、彼らの汚い方法を用いて彼らと戦うべきではない。DDOSとブロックは、どちらも検閲の形式だ。

私の意見:悪事に悪事を返しても善事にはならぬ。

TPB:もし援助したいと考えているなら、トラッカーを開始し、示威運動を準備して著作権侵害者活動を開始し、友達にBitTorrentの手法を教え、プロキシを設置。議員に手紙を書き、新たなP2Pプロトコルを開発し…

私の意見:破壊的になるな。「破壊分子」である方が良い。

TPB:…著作権侵害賛成のポスターをプリントし、自分の街に貼り、我々のPromo Bayアーティストをサポートするか、気持ちを入れ替えてお母さんに電話して愛していると伝えよう。

私の意見:母親に電話すること。あなたのことを心配しているはずだ。

  Anonymousの中には、DDoSは検閲に等しいというThe Pirate Bayの主張に反発する者もいるかもしれない。DDoS攻撃はシットインに似た、デジタル抗議活動の形式であると主張しているAnonymousたちは大勢いる。しかし考えてみて欲しい。シットインは不法侵入の形式であり、不法侵入と他への進入禁止は犯罪だ。

  世界で最も偉大な人権のリーダー達が逮捕されてきた犯罪だが、本質はそうだ。市民的反抗は、規則を変えるために規則を破るが、その枠組みには経緯を払うという非暴力的な抵抗なのだ。DDoSは非暴力的な抗議ではない。そして説明責任の欠如は社会の仲間を考慮していない。

  Anonymousのティップ:Letter from Birmingham Jail by Martin Luther King, Jr.が「Anon-MLK #OpBirminghamによるYouTubeビデオ」よりもずっとパワフルである(そしてあり続ける)には理由がある。

  この真実をはっきりと理解しているPirate Bayの人々に敬意を表する。

では
ショーン

>>原文へのリンク
]]> Java Drive-by Generator http://blog.f-secure.jp/archives/50664387.html   今日、非常に興味深い感染に遭遇した。あるサイトにアクセスしたところ、未知の発行者から「Microsoft」アプリケーションに関するセキュリティ警告を表示された。このサイトは実際、「Gmail Attachment Viewer」のふりをしている。Microsoft+Gmail? 失敗だ。  同アプ... fsecure_corporation 2012-05-09T00:27:20+09:00 クアラルンプール発
Google attachment

  同アプリケーションを実行させると、Cisco Foundationのインビテーションにリダイレクトされ、バックグラウンドでマルエウェア・バイナリがダウンロードされる。

Cisco invite

  このメッセージも同じマルウェアをダウンロードする悪意あるリンクを含んでいる。おそらく確実に感染させるためだろう。

  いずれにせよ、この感染はiJava Drive-by Generatorを使用して生成されるが、これは明らかにここしばらく見かけるものだ。

  同ジェネレータにより攻撃者はJavaファイルとドロップされるWindowsバイナリの双方に、ランダムな名称を使用するか、自身のプリファランスを指定することができる。

iJava main

  iJavaは感染の記録も行う。以下は上記の感染からのデータだ:

iJava 2ndp

  そしてこれは、この特定のマルウェアで感染が昨日始まったことを示している。これまで、Java Drive-byリンクに訪問したのは、たった83名だ。

  そしてありがたいことに、彼はあまり成功していない(くわばらくわばら):

iJava stats







>>原文へのリンク
]]> オンラインセミナー:マルウェアを困難にする http://blog.f-secure.jp/archives/50664385.html   エフセキュアのシニアリサーチャJarno Niemelaが、5月17日木曜日、Black Hat Webcastに参加する。テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。  詳細については、オン... sean_sullivan 2012-05-08T22:01:16+09:00 ヘルシンキ発
https://www2.gotomeeting.com/register/332978794

  詳細については、オンラインセミナーの登録ページにある。

>>原文へのリンク
]]> オンライン世界のテロリストグループ http://blog.f-secure.jp/archives/50664034.html ウェストポイント(USA)のCombating Terrorism Centerが、「アボッタバードからの手紙:ビン・ラディンは非主流か?」という名の研究を発表した。この研究は、オサマ・ビン・ラディンが殺害された昨年の襲撃の際に収集された、17の機密文書を分析している。オリジナルのアラ... sean_sullivan 2012-05-04T21:40:10+09:00 ヘルシンキ発 アボッタバードからの手紙:ビン・ラディンは非主流か?」という名の研究を発表した。この研究は、オサマ・ビン・ラディンが殺害された昨年の襲撃の際に収集された、17の機密文書を分析している。オリジナルのアラビア語および英訳版のコピーが入手可能だ。

  PRI's The Worldが、素晴らしい要約を掲載している:US Releases Letters From Bin Laden Compound

  エフセキュアの主席研究員ミッコ・ヒッポネンは、オンラインの過激主義者を研究してきた。彼はこれらのドキュメントを調べ、以下のことを発見した:




  「ジハードWebサイト」への言及は、ドキュメントSOCOM-2012-0000019にある:

SOCOM-2012-0000019

  ミッコは先頃、「RSA Conference 2012」でオンライン・ジハードについて話をした。


  同プレゼンテーションはここで視聴できる:オンライン世界のテロリストグループ

>>原文へのリンク
]]> また新たなSQLインジェクション攻撃 http://blog.f-secure.jp/archives/50664037.html   どういうわけか、ASP/ASP.netサイトを標的とする、こうしたSQLインジェクションはまったく衰える気配が無い。  最初にLizamoonがあった…何百万ものWebサイトが感染し、驚かされた。  次にnikjju.comやhgbyju.comといった、2、3の事例が続いた…  そして今やnjukol... fsecure_corporation 2012-05-04T01:31:29+09:00 クアラルンプール発
  最初にLizamoonがあった…何百万ものWebサイトが感染し、驚かされた。

  次にnikjju.comhgbyju.comといった、2、3の事例が続いた…

  そして今やnjukolだ…

google_results (256k image)

  その名はもはやLizamoonほどキャッチーではないが、そのアイディアは変わらない。

  このnjukol.comは、まだかなり新しいものだ。同ドメインは4月28日に登録されている。面白いのはドメインの登録者が以前のもの全てと同じままだということだ。

registrant (6k image)







>>原文へのリンク
]]> シリアで標的型攻撃 http://blog.f-secure.jp/archives/50664036.html   シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。  先日我々は、あるつてからハードドライブを受けとっ... mikko_hypponen 2012-05-03T21:19:17+09:00 ヘルシンキ発
  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

>>原文へのリンク
]]> オックスフォードがMac Flashbackについて熟考:Blaster以来最悪の発生 http://blog.f-secure.jp/archives/50664033.html   先月発生したMac Flashbackは、どの程度ひどいもので、最も被害を受けたのは誰だったのだろうか? 我々が推測するに、程度はひどく、最大の被害者は大学のITヘルプデスクだろう。そしてこの推測は、それほど的外れではないようだ。  オックスフォード大学Computing Se... sean_sullivan 2012-05-02T23:25:31+09:00 ヘルシンキ発 Mac Flashbackは、どの程度ひどいもので、最も被害を受けたのは誰だったのだろうか? 我々が推測するに、程度はひどく、最大の被害者は大学のITヘルプデスクだろう。そしてこの推測は、それほど的外れではないようだ。

  オックスフォード大学Computing Servicesのネットワークセキュリティ・チーム(別名OxCERT)が、「2003年の夏に、BlasterがWindowsを襲って以来、おそらくは最大の被害に」対処したと書いている。

  OxCERTはBlasterで約1000件に対処した。彼らは数百件のFlashback事例を見ており…「そして、それはまだ続いている。」



  マンチェスター大学などの他の教育機関も、主として寮内に多数の感染が存在することを詳述している。



  あなたは大学のITヘルプデスクで仕事をされているだろうか? Macマルウェアの事例で、特筆すべき増加を経験されているだろうか? コメント(そして現状に関する情報)をお寄せ頂きたい。

  では!


>>原文へのリンク
]]> ネブラスカ州オマハはサイバー犯罪捜査の基地 http://blog.f-secure.jp/archives/50663303.html   「Krebs on Security」を定期的に読んでいる方なら、中小規模の企業や組織がここ数年、サイバー犯罪ギャングたちの標的となっていることをご存知だろう。しかしこれらの犯罪を捜査しているのが、どこの法執行機関なのかはご存知ないかもしれない。  ZeuSバンキング型ト... sean_sullivan 2012-04-30T22:56:58+09:00 ヘルシンキ発 Krebs on Security」を定期的に読んでいる方なら、中小規模の企業や組織がここ数年、サイバー犯罪ギャングたちの標的となっていることをご存知だろう。しかしこれらの犯罪を捜査しているのが、どこの法執行機関なのかはご存知ないかもしれない。

  ZeuSバンキング型トロイの木馬の多くの捜査は、(ほとんど知られていないが)オマハ(米国ネブラスカ州)のFBIオフィスにより行われていることが分かっている。担当のFBI特別捜査官Weysan Dunが金曜に引退し、Omaha World-Heraldでインタビューを受けた

omaha.com. FBI Special Agent Dun

  良い記事だ。そしてSMBのために働いている人にとって、目をさまさせるようなものだ。

Wanted, Money Mules
指名手配:マネー・ミュール

  同記事のちょっとした話の中で我々が気に入ったのは、Brian Krebsは飛行機で隣に小規模企業の経営者が座ると、バンキング型トロイの木馬の恐ろしい話を聞かせて、彼ら震え上がらせているらしいというところだ…


>>原文へのリンク
]]> サイバー犯罪に関する映画を制作 http://blog.f-secure.jp/archives/50663037.html   映画製作者のCharles & Walker Koppelmanが、サイバー犯罪に関する新しい映画プロジェクトに取り組んでいる。我々はCharlesに会ったが、非常に興味深いプロジェクトだ。  同プロジェクトはまだ進行中で、現在、彼らはクラウドソーシングを介してさらなる資金を求めてい... mikko_hypponen 2012-04-25T22:47:18+09:00 ヘルシンキ発
  同プロジェクトはまだ進行中で、現在、彼らはクラウドソーシングを介してさらなる資金を求めている。Kickstarterでプロジェクトの現在のステータスをチェックして欲しい。気に入ったら、映画に出資することができる。

Kickstarter - Koppelman


>>原文へのリンク
]]> 悪党のTumblr http://blog.f-secure.jp/archives/50663036.html   不正なAVは最近、あまり注意を引いていないが、おそらく、最新のトピックが大量のブラックハットSEOポイズニングURLを発生させている場合と比較して、もはや大声で叫んではいないためだろう。  では、この頃どこに潜んでいるのだろうか?  不正AVはもちろん、いまもS... fsecure_corporation 2012-04-25T00:48:23+09:00
  では、この頃どこに潜んでいるのだろうか?

  不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。

  下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:

tumblr2

  そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。

tumblr

  それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。

exploit

  悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。

windows_performance_adviser

  だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)

  安全なサーフィンを!

>>原文へのリンク
]]> 警察のランサム型トロイの木馬に関する混乱したニュース http://blog.f-secure.jp/archives/50663034.html   コンピュータセキュリティは分かりにくい。簡単に書けるトピックではない。マスメディアはしばしば、詳細を誤解することがある。  しかし、警察をテーマとしたランサムウェアほど混乱したニュース記事はめったにみたことがない。   では、警察をテーマとしたランサム... mikko_hypponen 2012-04-24T21:20:12+09:00 ヘルシンキ発
  しかし、警察をテーマとしたランサムウェアほど混乱したニュース記事はめったにみたことがない。

  では、警察をテーマとしたランサムウェアとは何なのか? それはオンライン犯罪者が拡散する、悪意あるトロイの木馬だ。

  何をするのか? それらは人々のPCをチェックして、システム上に違法なコンテンツがあるため、警察によりロックされたとつげ、PCを使えるようにするために支払いを要求する。

  我々は以前、このような警察をテーマとしたランサムウェアについて書いたことがある。詳細については、この記事をご覧頂きたい。

  明らかに、警察を装うこうしたトロイの木馬は、ドイツ連邦警察局とも、ニュー・スコットランドヤードとも、米司法省とも無関係で、こうしたブランドを盗んでいるに過ぎない。

  しかし今日、我々はANIという通信社が、このトピックに関する混乱した記事を出したのを見かけた。

  この記事は、「詐欺はスコットランドヤードのサイバー犯罪専門の警官たち、Police Central e-Crime Unitによるものと考えられ」「スコットランドヤードは、警察がウイルスの背後で小児性愛者もしくはテロ活動を検出した」と述べている。

aninews

  この記事はThe Telegraphに先に掲載された記事を引用しているが、こちらは詳細を正確に捉えている。

  ANIは通信社なので、この記事は既にWebのあちこちに再掲載されている。

aninews

  いや、これら警察を装うトロイの木馬は、警察によるものではない。我々を信用して欲しい。


>>原文へのリンク
]]> OWASP AppSec APAC 2012 http://blog.f-secure.jp/archives/50662483.html  みなさんこんにちは。Rakuten-CERTの福本です。 先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられてい... yoshinari_fukumoto 2012-04-24T11:08:27+09:00  みなさんこんにちは。Rakuten-CERTの福本です。
 先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています!!トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。(笑)

DSC_0070DSC_0068
#パネルディスカッションにはWhiteHat SecurityCTOJeremiah Grossmanも。あのCSS history hackを見つけた。


 一応、今回のカンファレンスはOWASPGlobalイベントなのですが、参加者は100人もいなかったでしょうか。(日本人は僕たち3名だけ)でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです(笑)

 セッションの内容についてですが、引き続きsecurity auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな?と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。

 社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。

 

おまけ:

せっかく来たのでカンファレンス最終日にロブスターをいただきました!w
DSC_0076DSC_0082DSC_0085 
]]>