エフセキュアブログ http://blog.f-secure.jp/   ja エフセキュアブログ http://blog.f-secure.jp/ http://image.profile.livedoor.jp/icon/fsecure_blog_60.gif ATMスキマーはどのように設置されるか? http://blog.f-secure.jp/archives/50358054.html   ATMスキマーは以下のように設置される:ビデオソース:Spiegel.de & ドイツ連邦犯罪捜査局(Bundeskriminalamt)>>原文へのリンク mikko_hypponen 2010-03-10T21:06:02+09:00 ヘルシンキ発
Skimmer install

ビデオソース:Spiegel.de & ドイツ連邦犯罪捜査局(Bundeskriminalamt)

>>原文へのリンク
]]> PDFベースの標的型攻撃が増加 http://blog.f-secure.jp/archives/50357824.html   Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。  もしまだなら、そのアップデートをす... sean_sullivan 2010-03-10T00:30:11+09:00 ヘルシンキ発 セキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。

  もしまだなら、そのアップデートをすぐに適用すべきだ。

  何故か?

  何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。

  我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。

  このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。

  我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。

  2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。

  そして2010年の最初の2カ月はどうだろう?

  そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。

  Adobe Readerを標的とする割合は増え続けている。

  以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

Targeted attacks 2008, 2009, 2010 (Jan/Feb)

>>原文へのリンク
]]> Darkmarketアバター http://blog.f-secure.jp/archives/50357401.html   Darkmarketのオンライン犯罪者の一人である「JiLsi」が先週、約5年の懲役という判決を受けたため、我々はこの事件に関して、メディアからの質問を受けた。  特に、JiLsi(別名Renu Subramaniam)、Matrix001(別名Markus Kellerer)、Cha0(別名Cagatay Evyapa... mikko_hypponen 2010-03-08T20:19:31+09:00 ヘルシンキ発 Darkmarketのオンライン犯罪者の一人である「JiLsi」が先週、約5年の懲役という判決を受けたため、我々はこの事件に関して、メディアからの質問を受けた。

  特に、JiLsi(別名Renu Subramaniam)、Matrix001(別名Markus Kellerer)、Cha0(別名Cagatay Evyapan)がDarkmarketフォーラムに投稿を行っていた際、彼らがどのようだったかについて、一人のジャーナリストが知りたがった。

  そこで私はメモをチェックし、この連中の投稿の例を、彼らのアバター・アイコン付きで掘り起こした。おそらくこれらは「News from the Lab」ブログ読者の皆さんにも、興味深いものではないだろうか。

Darkmarket matrix001

Darkmarket JiLsi

Darkmarket cha0

Darkmarket matrix

ありがとう
ミッコ

>>原文へのリンク
]]> 向こうみずなフィッシングの試み http://blog.f-secure.jp/archives/50357314.html   誰かが我々のふりをしようとしている。皆さんが以下のようなメールを見掛けたら、無視して欲しい:     From: security@f-secure.com     Reply-To: securitysupport@hotxf.com     Sub... mikko_hypponen 2010-03-06T07:26:37+09:00 ヘルシンキ発
     From: security@f-secure.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     Date: Fri, 5 Mar 2010 18:11:05 -0000
     To: undisclosed-recipients:;
     
     Dear Email Subscriber,
     
     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2010-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.
     
     E-mail Address:
     Password:
     Phone Number:
     
     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.
     
     Management.
     
     Copyright 2009. All Rights Reserved.

  皆さんに聞かれる前に申し上げておくなら、いや、我々は「F-Secure HTK4S anti-virus」なんてものも、いまだかつて聞いたことがない。

>>原文へのリンク
]]> モーフィングPDF http://blog.f-secure.jp/archives/50356427.html   Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…  凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。 ... fsecure_response 2010-03-05T16:00:49+09:00 クアラルンプール発 Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…

  凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。

Joe Corvo

  そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。

Joe Corvo PDF

  3時間後… Googleはまだ、そのファイルがPDFだとしている。Brod(エフセキュアのいかれた面々の一人)は、この件についてGoogleのキャッシュに原因があると考えている。

Joe Corvo, 3hrs later

  しかし、今回、本当にPDFなのだろうか?

Joe Corvo HTML

  それはモーフィングしたのだから! そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる:

Jay Polhill PDF

  少なくとも、それが変化するまでの2、3時間の間は…

Jay Polhill HTML

  悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。

  投稿はChristineとMinaによる。

>>原文へのリンク
]]> リダイレクションにFlashを利用するSEOポイズニング・サイト http://blog.f-secure.jp/archives/50356139.html   一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。  SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの... fsecure_response 2010-03-04T19:06:06+09:00 クアラルンプール発
PDF Google

  SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた… そして我々は以下のようなものを見た:

isitpossibletobehappy swf

  OK、これだけかもしれない。そこで我々は他のサイトをチェックした:

olympiccoverage swf

  そしてラボでは通例のマニアックなやり方で…我々は興奮した。

  解凍すると、このSWFには以下が含まれていた:

swf code

  多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。

  このSWFはもちろん、以下のことを始めるためのキーだ:

pdf scandownload

pdf security antivirus download

pdf rogue scan

  悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。

  おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。

  これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。

投稿はChristineとMinaによる。

>>原文へのリンク
]]> ボットを停止させるもう一つの方法 http://blog.f-secure.jp/archives/50356136.html   先週、Microsoftが277のWaledacドメインに対して取った行動をご記憶だろうか? あれも、ボットネットを追い詰める一つの方法だ…  ボットネットをシャットダウンする他の方法は? ボットマスターたちを逮捕することだ!  「Mariposa」ボットネッ... sean_sullivan 2010-03-04T01:43:53+09:00 ヘルシンキ発 277のWaledacドメインに対して取った行動をご記憶だろうか? あれも、ボットネットを追い詰める一つの方法だ…

  ボットネットをシャットダウンする他の方法は? ボットマスターたちを逮捕することだ!

  「Mariposa」ボットネットを使用したかどで、スペイン国籍の3名が逮捕された。この3名は、伝えられるところでは前科は無く、ハッキング技術は限られたものだという。MariposaはButterfly Kitベースのボットネットで、同キットはすでに販売されていない。

  詳細についてはBBCおよびThe Registerを参照のこと。今回の逮捕の関係者に賞賛を送りたい。

>>原文へのリンク
]]> エフセキュアメールマガジンをご存知ですか? http://blog.f-secure.jp/archives/50355377.html 本日は「エフセキュアメールマガジン」の配信日です。 risa_ozaki 2010-03-03T08:15:55+09:00 横浜発 エフセキュアメールマガジン」の配信日です。 続きを読む ]]> 私は幸運だろうか? http://blog.f-secure.jp/archives/50355768.html   犯罪者は一般に、大きければよりよい投資収益率(ROI)が期待できる故に、最大の目標を攻撃することを好む。Windowsが良い例だ。MacはWindowsよりも安全だが、それは必ずしも、Macの方がセキュアだからというわけではない。Windowsの方が大きなマーケット・シェアを... sean_sullivan 2010-03-03T01:24:56+09:00 ヘルシンキ発
  検索エンジンはどうだろう? 最大の検索エンジンは何だろうか? Googleだ。そして悪党連中はそれを知っている。その結果は?

  Googleでの検索は、だんだん危険になっている。

  昨日、私はInternet Explorer 8のテストを行っていて、アドレス・バーでタイプミスをした。「update.microsoft.com」の代わりに、私は「updates」と入力してしまったのだ。

  このようなドメインは存在しないから、Microsoft Bingが立ち上がり、以下のような検索結果が得られた:

I'm feeling lucky?

  何だって? 結果がゼロ?!?

  そこで私はGoogleで、updates.microsoft.comを検索した。

I'm feeling lucky?

  私は「update」のつもりだったのかって? うん、たぶん… ありがとう。

  Bingの結果は、少々奇妙に思われたので、セッティングを調べたところ、フィンランド・ベースの結果の特異性によることが分かった。

  アメリカ合衆国に設定を変更すると、以下のような結果が得られた:

I'm feeling lucky?

  ましになった。

  私はBingのテストを続けた。以下が、Bingで「microsoft updates」を検索した結果だ:

I'm feeling lucky?

  検索結果は84,700,000件。

  以下が同じキーワードをGoogleで検索した結果だ:

I'm feeling lucky?

  結果は90,900,000件。

  しかし、タイムリーなキーワードについてはどうだろう? Googleトレンドを使用して、ホットな検索トピックを見つけた。

  ミネソタの電気製品リベート・プログラムでは、エネルギー効率のよい電気製品、例えば冷蔵庫を購入した市民に対して支払うため、500万ドルの予算を用意している。

  同プログラムは月曜日に開始されたもので、同Webサイトにはあっという間に人が殺到した。同イベントは多くの検索を引き起こした。

  以下が「mn appliance rebate」というキーワードで、Bingを検索した結果だ:

I'm feeling lucky?

  検索結果は25,300件。

  それでGoogleでは?

I'm feeling lucky?

  検索結果は31,300件だった。

  しかし、ここには重要な相違がある。すなわちBingの検索結果からは、有害なリンクは見つからなかった、ということだ。

  他方でGoogleは、有害リンクが多くあった。以下は、最初のページの6番目の結果だ:

I'm feeling lucky?

  このリンクをクリックすると、詐欺的なスキャムがローンチした:

I'm feeling lucky?

  そして次に、悪党たちに利益をもたらす、典型的なスキャン詐欺の戯言が表示された:

I'm feeling lucky?

  このサイトは以下のファイルをプッシュしてきた:

I'm feeling lucky?

  これは現在、「Rogue:W32/FakeAlert.LB」として検出されている。

  Googleの人々は、有害な検索結果を除去するべく、努力しているが、それは困難な仕事だ。

  悪党たちは絶えずGoogleに対抗しており、しばしば、犠牲者を感染させるのに十分な期間、防御をすり抜けるのである。それでは安全のために何ができるだろうか? 一つに決めることをせず、他の物も試すことだ。

  なぜならばまもなく、Bingが家族に勧めたい検索エンジンになるかもしれない。

  Googleは広く知られており、良からぬ連中からあまりにも注目されすぎている。

  自分自身にこう聞いてみて欲しい。「自分は幸運だと思っているか?」と。

I'm feeling lucky?

サインオフ
ショーン

>>原文へのリンク
]]> Charlie MillerとのPwn2Ownインタビュー http://blog.f-secure.jp/archives/50355338.html   2年続けてPwn2Ownコンテスト(管理人註:ハッキングを競う形式で脆弱性を探し、システムやOSの安全性向上をはかるのために開催されているコンテスト)の勝者となったCharlie Millerが、インターネット・セキュリティについての見解を語っている。何と、Mac OSはMicroso... fsecure_corporation 2010-03-02T12:42:21+09:00 クアラルンプール発
Windows 7あるいはSnow Leopardという2つの商用OSは、ハックがより難しいでしょうが、それは何故ですか?

Windows 7の方がやや難しいですが、それは完全なASLR(Address Space Layout Randomization:アドレス空間レイアウト・ランダム化)を実装しており、攻撃にさらされる面(たとえばデフォルトのJavaやFlash)がより小さいという理由によります。Windowsはかつて、完全なASLRとDEP(data execution prevention:データ実行防止)を実装していたため、より難しかったものです。しかし最近、Black Hat DCでの講演で、これらのプロテクションをWindowsのブラウザで如何に回避するかが示されました。

  攻撃の影響を受けないオペレーティング・システムやブラウザは存在しないのだ。

OSとブラウザの組み合わせで、より安全なものは何だと思いますか?

良い質問ですね。Windows 7でChromeもしくはIE8を、Flashをインストールせずに使うという組み合わせでしょう。どちらのブラウザにするか、あれこれ考えるほどの違いは、おそらくありません。肝心なのはFlashをインストールしないことです!

  同インタビューは、OneITSecurityのMatteo Campofioritoにより行われた。完全版はここで読むことができる。

>>原文へのリンク
]]> PDFファイルを分析する http://blog.f-secure.jp/archives/50355100.html   悪意あるPDFファイル・コーディングに段階的変化が見られる(マルウェア・オーサーは自分たちのテクニックを適応させることができるし、実際適応させてきたことを考えれば当然のことだ)。  長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロ... fsecure_response 2010-03-01T19:11:18+09:00 クアラルンプール発
  長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロード等々、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。

  現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。

  ここ数ヶ月、私が遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ:

Obfuscated

  保守的なスタイルのスペーシングが使用されていることに注意して欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。

  いずれにせよ、一旦これが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう:

Normalized

  PDF難読化に関する興味深い分析は、SANSにも掲載されている。

  投稿はZimryによる。

>>原文へのリンク
]]> ガンブラー対策「.htaccess」にも注意! http://blog.f-secure.jp/archives/50354878.html お隣の119チームのSEKI隊員の呟きによると、、、新型ガンブラーに攻撃されたサイトを複数確認したようです。具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきて... hiroki_iwai 2010-03-01T13:00:23+09:00 オフィシャルコメント 119チームのSEKI隊員の呟きによると、、、

新型ガンブラーに攻撃されたサイトを複数確認したようです。
具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。

どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。(現在、詳細確認中・・・)

ウェブサイト管理者様は、ウェブコンテンツ以外にサーバー等の設定ファイルの確認もしておいた方が良さそうです。

続きを読む ]]> これはあなた? Twitterアカウントをフィッシングする意味とは? http://blog.f-secure.jp/archives/50353853.html   Twitter.comに対して行われている最近のフィッシング攻撃に関して、いくつか質問を受けた。  「This you??」あるいは「LOL is this you」というフレーズを含むつぶやきやダイレクト・メッセージ(DM)が、犠牲者をTwitterログイン・フィッシング・ページへと導... sean_sullivan 2010-02-26T00:12:16+09:00 ヘルシンキ発 最近のフィッシング攻撃に関して、いくつか質問を受けた。

  「This you??」あるいは「LOL is this you」というフレーズを含むつぶやきやダイレクト・メッセージ(DM)が、犠牲者をTwitterログイン・フィッシング・ページへと導く。もし犠牲者がエサに食いつき、パスワードを入力すれば、Twitterの悪名高き「Fail Whale」が表示され、ユーザは自分のアカウントに戻される。ユーザたちは、自分たちのアカウント項目に障害が起きていると気づきさえしない可能性がある。

  Twitterに対するフィッシング攻撃は新しいものではない。しかし、要点は何なのだろう?

  信用だ。

  ソーシャル・ネットワークの仲間内では、互いの間に非常に大きな信頼が存在する。

  では何故、最近、攻撃が起きているのか?

  我々は、最近発表された検索エンジンの動向に何らかの関係があるのではないかと考えている。

  Yahooは検索結果に、Twitterのリアルタイム・フィードを含める予定であることを発表し、Facebookは現在、Googleの検索結果に含まれている

  悪党連中は、自分たちのSEO攻撃を強化するため、ソーシャル・ネットワークの信用を利用することができる。

  現在のホットなトピックを例に取ってみよう。以下の画像に、いくつかのTwitterの結果がある。

lastest.google.results.seaworld

  注:ホットなトピックを検索する際には、常に気をつけること。上記の「sea world trainer killed(シーワールドの調教師、死亡」)の例は、現在SEO攻撃に使用されており、多くの検索結果が直接Scamwareへと導かれる。

  上の例にはFacebookの結果もある。我々は、Facebookに対する新たなフィッシング攻撃が、まもなく登場するだろうと考えている。

  Twitterの「Safety」および「Spam」フィードは、Twitterアカウントを持っているなら、フォローする価値がある。Twitterは現在、フィッシング・メッセージを受けとった人達に、パスワードを変更するよう促すことで、この問題に取り組んでいる。

  すべてに希望の兆しがある…

  ソーシャル・ネットワークの信用は悪用される可能性があるものの、ソーシャル・ネットワーク自身は新たな脅威に対して信じられないほどに敏感だ。

  「This you??」の最新の検索結果をチェックして欲しい。Twitterユーザは、悪党連中が配信した偽情報に反撃するため、既に情報を広め始めている。

  電子メールのいかさまを根絶するには、数週間かかったものだが、現在、この問題は悪用され始めるのとほぼ同時に修正される。

>>原文へのリンク
]]> Waledacよ安らかに? http://blog.f-secure.jp/archives/50353680.html   Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させ... sean_sullivan 2010-02-25T23:19:48+09:00 ヘルシンキ発 検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

>>原文へのリンク
]]> SEOポイズニングにより60以上のサイトで障害 http://blog.f-secure.jp/archives/50353677.html   60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能... fsecure_response 2010-02-25T16:23:28+09:00 クアラルンプール発
  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

  不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

  ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

  もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

  そしてその後、その不正物自身が…

security antivirus

  このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

  エフセキュア ブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

>>原文へのリンク
]]> SC Magazineの「Five to Follow」 http://blog.f-secure.jp/archives/50353676.html   SC Magazine(US)が、来週「RSA Conference 2010」で、「セキュリティ・ブログ・アワード」を主宰する。そして我らがミッコ・ヒッポネンは、Twitterカテゴリの「Five to Follow」にノミネートされている。  ミッコは、昨年「このTwitterとかいうもの」を見て... sean_sullivan 2010-02-25T02:04:19+09:00 ヘルシンキ発 ミッコ・ヒッポネンは、Twitterカテゴリの「Five to Follow」にノミネートされている。

http://twitter.com/mikkohypponen

  ミッコは、昨年「このTwitterとかいうもの」を見てみることを決め、現在5600人以上のフォロワーを有し、900以上のつぶやきを投稿している。

  ここに、彼のフィードで見られるかもしれないものの例がある。そこには沢山の有用なものがある…

  こちらがSC Magazineの投票だ。フロントページで、他のカテゴリーもぜひチェックして欲しい。ありがとう。

—————

追記:投票は終了した。勝者は火曜日、サンフランシスコで開催される「SC Magazine Awards 2010」で発表される。

>>原文へのリンク
]]> エフセキュアの無料マルウェア駆除ツール「オンラインスキャナ4.2」がOperaとGoogle Chromeにも対応 http://blog.f-secure.jp/archives/50352359.html エフセキュアが無料で提供している「オンラインスキャナ」は、ワンストップでウイルスやスパイウェアなどのマルウェアを検出・駆除するツールで、今年で5年目を迎えます。 risa_ozaki 2010-02-23T13:13:48+09:00 横浜発 エフセキュアが無料で提供しているオンラインスキャナは、ワンストップでウイルスやスパイウェアなどのマルウェアを検出・駆除するツールで、今年で5年目を迎えます。

続きを読む ]]> あなたはコードに署名しますか? http://blog.f-secure.jp/archives/50352878.html   当ラボから調査のお願いがある。「Windows 7」がマーケット・シェアを獲得するにつれ、ソフトウェア開発者にとって、Code Signingが重要になってきている。  署名されている、よりクリーンなコードは、その副産物として、正当なソフトウェアと容易に区別されな... fsecure_response 2010-02-23T00:24:23+09:00 クアラルンプール発
  署名されている、よりクリーンなコードは、その副産物として、正当なソフトウェアと容易に区別されないよう、マルウェア・オーサーが自分たちの作った物に署名させようとする動機がより強くなるという状況を生んだ。

  このことを考慮して、我々はコードに署名している開発者に照準を定めたアンケートを実施したい。

  もし皆さんがWindows開発者なら、以下の簡単な調査に回答して頂けると幸いだ。

1. 貴方はコードに署名しますか?
2. コードに署名するため、別のサーバを用意していますか? それとも開発用に使用しているのと同じコンピュータで署名していますか?
3. パスワード無しでファイルに署名していますか? それともパスワードを含む署名バッチ・ファイルを作成していますか?
4. あなたは開発用コンピュータでインターネットを閲覧したり、メールを読んだり、開発以外の活動を行っていますか?
5. 開発用および/もしくは署名用コンピュータでアンチウイルス・ソフトウェアを動作させていますか?
6. あなたが開発や署名用に使用しているコンピュータは、これまでにウイルスや他のタイプの悪意あるソフトウェアに感染したことがありますか?
7. あなたが署名証明書を申し込んだ際、どのような確認が必要でしたか?
8. 署名証明書が盗まれたことはありますか?
9. その他コメント。

  こちらをクリックして回答して欲しい。よろしく!

>>原文へのリンク
]]> Kneberという名のボットネットは一体何なのか? http://blog.f-secure.jp/archives/50352553.html   今週、多くのメディアの注目を受けたKneberと呼ばれるボットネットがある。  では、Kneberとは一体何なのだろうか? 多くのレポートがこれをZeuSボットネットそのものと呼んでいる。  しかし実際は、これはZeuSベースのボットネットの一つでしかない。K... sean_sullivan 2010-02-20T00:14:05+09:00 ヘルシンキ発 今週、多くのメディアの注目を受けたKneberと呼ばれるボットネットがある。

  では、Kneberとは一体何なのだろうか? 多くのレポートがこれをZeuSボットネットそのものと呼んでいる。

  しかし実際は、これはZeuSベースのボットネットの一つでしかない。Kneberという名は、そのドメインの多くを登録するのに使用されている名前に由来している。

  では、ZeuSとは何なのだろう? ZeuSはボットネットを構築するための、一種のドゥ・イット・ユアセルフ型ツールキットだ。我々はそれをZbotと呼んでいる。Zbot/ZeuS初のサンプルは、2007年10月にさかのぼる

  以下は「News from the Lab」ブログに掲載されたZbot関連記事だ:

  •  2008年2月:ZBotマルウェアへのMikkeliスパム・リンク
  •  2008年4月:銀行口座を欲しがるPolinka嬢
  •  2008年11月:ZBotのポーカー

  以下は売りに出されているZeuSパッケージのスクリーンショットだ:

ZeuS for sale

  そしてこれが、活動中のZeuSボットネットの動画へのリンクだ。

  ZeuSは確かに脅威ではあるが、新しい脅威ではない。

  Brian Krebsが、非常にうまく要約している:

  「悲しいことに、NetWitnessが詳細に記録しているこのボットネットは、珍しい物でも新しい物でもない。過去数年の間つねに、異なるZeuSボットネットは数百という数を保ってきた。ZeuSによる世界的な脅威を監視しているWebサイト、ZeuStrackerによれば、現在、世界にZeuSボットネット用の指令センターはオンラインにほぼ700あるという。」

追記:動画はYouTubeから削除された。

>>原文へのリンク
]]> GoogleのBuzz、悪い宣伝などというものは無い… http://blog.f-secure.jp/archives/50351041.html   どうしてプライバシー問題とGoogle Buzzに関して、非常に多くの誇大宣伝がなされているのか、どなたか説明して頂けないだろうか?  Buzzは、より限定した広告で皆さんをターゲットとするため、皆さんのメッセージを読む(すなわち解析する)メールサービスを、... sean_sullivan 2010-02-18T23:25:45+09:00 ヘルシンキ発   どうしてプライバシー問題とGoogle Buzzに関して、非常に多くの誇大宣伝がなされているのか、どなたか説明して頂けないだろうか?

  Buzzは、より限定した広告で皆さんをターゲットとするため、皆さんのメッセージを読む(すなわち解析する)メールサービスを、Gmailに組み込むものですよね? Gmailが開始された時、この解析について出された異議を思い出す。皆、それを忘れてしまったのだろうか? 再び同じ事が繰り返されているのではないのだろうか?

  Googleがこんなにも攻撃的に、Buzzに自動共有機能を展開したことに、どなたか本当にそれだけ驚かれた方はいるだろうか?

  これは、どちらにころんでも有利な状況に思われる。Googleは最小限の異議を受けるだけでBuzzをローンチするか、あるいは、報道されたプライバシー問題を「修正」している間に、彼らが多くの無料広告を受け取るか、どちらかなのだから。GoogleによるBuzzのローンチは、間違いなくマスコミに顕著な騒ぎ(Buzz)を引き起こした。

  それはこの検索界の巨大企業にとって、究極的に重要なことだ。なぜなら、彼らが自分たちのサービスからのシェアを推奨しなければ、Facebookのようなプロバイダに将来の収益を奪われることになるからだ。

  実際、Facebookは既に、オンライン調査会社のHitwiseによれば世界最大のニュース・リーダーだ。最近のFacebookのトップページのアップデートで、検索フィールドがスクリーンの中央に移動されたことに言及しないわけにはいかないだろう。すべて関連しているのだ。

  「共有」は、将来の検索ビジネスの源であり、プレイヤーたちは戦闘を開始している。皆さんのプライバシーは、そのままにしておけば危険にさらされることになる。これはトレードオフの問題だ。皆さんが無料のサービスを利用して、完全なプライバシーを得ることは無い。自分の情報の一部を、強化されたサービスに対して提供するか、利用しないかのどちらかだ。

  覚えておいて欲しい。Googleは皆さんの友人ではない。ビジネスなのだ。

  皆さんが本当にプライバシーを必要とするなら、Gmail(そしてWebベースの他の無料ソリューション)の他に、何か別の物を使うことだ。電子メール・サービスのために料金を支払っている人もいる。年に20ドルくらいで、よりセキュアなサービスを利用できる。そしてプライバシーについて考えるなら、それは安いと言える。

>>原文へのリンク
]]>