エフセキュアブログ

インストール を含む記事

Adobe Acrobatゼロデイ分析

  Adobe ReaderおよびAcrobat 9.2以前のバージョンに見つかった脆弱性を利用した、ゼロデイPDFエクスプロイトが存在する。Adobeが「PSIRT」ブログでアドバイザリを公開した。

  下のスクリーンショットは我々のオートメーションからのもので、Adobe Acrobat/ReaderでPDFファイルがオープンした際に、実行ファイルをダウンロードしようとする様子を示している。サーバは悪用されたが、現在アクティブだ。

Adobe, CVE-2009-4324, sample 0805d0...

  ダウンロードされる実行ファイルは、特定のファイルを探し、暗号化してから、他のサーバにそれらのファイルをアップロードする。このサーバは現在オンラインであり、コンテンツは閲覧可能だ。

  障害が起きたマシンのマシン名とIPアドレスが含まれている。

  以下は一例だ:

Adobe, CVE-2009-4324

  このエクスプロイトは、アップロードされたサーバ上に見つかるファイル数に基づき、標的型攻撃でのみ使用されているようだ。

  しかし状況は容易に変わりうる…

  AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。

  多くの良いリーダが無料で入手できるので、代わりのPDFリーダをインストールするという方法もある。

  Adobeは現在、Microsoftのアップデートと同じ日に、必要に応じてセキュリティ/パッチを公開するという、四半期ごとのアップデート・サイクルを予定している。Adobeがフィックスを公開するのは1月12日以降になる可能性がある。

  我々は検出したのは以下の通り:

同エクスプロイトは「Exploit:W32/AdobeReader.Uz」である。
ダウンロードされるファイルは「Trojan-Dropper:W32/Agent.MRH」である。
投下されるファイルは「Trojan:W32/Agent.MRI」「Trojan:W32/Agent.MRJ」および「Rootkit:W32/Agent.MRK」である。

— 以下のサイトで詳細が読める —

  •  Shadowserver – When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
  •  Security Fix – Hackers target unpatched Adobe Reader, Acrobat flaw
  •  The Register – Unpatched PDF flaw harnessed to launch targeted attacks

セキュリティ脅威予想2010

  以下は、本年の脅威分析に基づいた2010年の予測だ。

Predictions  •  2010年中に、「Windows 7」はマーケット・シェアを獲得するだろう。「Windows XP」のマーケット・シェアは全体で50パーセント以下に落ち、したがって「簡単に達成できる目標」の量は減ることになる。このことは豊かな国でのインターネット・セキュリティを改善し、おそらくそれほど豊かではない国でマルウェア・ゲットーが作られ始めるだろう。サイバー犯罪者は「Windows XP」がまだインストールされている拠点に努力を傾注させるからだ。攻撃者がMicrosoft Windowsのみに集中し続けるかどうか、あるいはOS Xやモバイルプラットフォームを含める方向に変化していくかどうか、現時点ではわからない。

  •  GoogleやBingなどの検索エンジンのリアルタイム・サポートは、サーチエンジン最適化(SEO)攻撃の頻度と方法に影響を及ぼすだろう。

  •  2010 FIFAワールドカップ(米国の人たちのためのサッカー)は、関連する相当数のトロイの木馬、偽チケット・ショップ、スパム、オンライン・ショップ・ハッキング、DDoS攻撃を引き起こすだろう。実際に6月に試合が行われる数ヶ月前にはすでに、SEO攻撃が登場する可能性がある。南アフリカの携帯電話ネットワークは、試合中、アクティビティの温床となる。

  •  地理的なロケーションIPアドレス技術を使用して「ロケーション・ベースの攻撃」に導くWeb検索結果が増加するだろう。言語、現在のニュース・イベント、そして標的とされる地方銀行に関してさえ、ローカライズされるだろう。

  •  オーダーメイドのトロイの木馬を使用したオンライン・バンクに対する攻撃が増えるだろう。Predictions

  •  iPhoneへの攻撃が増えるだろう。AndroidやMaemoに対するPOC攻撃も増加する可能性がある。大規模なエクスプロイトでゼロデイ脆弱性が利用されるのを見ることにもなるだろう

  •  Snowshoeスパムが増える。

  •  一国に対する少なくとも1つの大規模なDDoS攻撃が起きる可能性がある。

  •  Google Waveなどの標的に対する大規模な内部攻撃が起きるかもしれない。

  •  Facebook、Twitter、Myspace、Linkedlnなどのソーシャル・ネットワークでの攻撃が増えるだろう。Facebookは現在、3億5000万アカウントに達しており、その成長は未だ衰える兆しを見せていない。人とデータとのこのような集中は、サイバー犯罪者が悪用するための非常に魅力的な標的だ。

  •  インターネット検索エンジンとソーシャル・ネットワーキング・サイトは「ソーシャル・サーチ結果」に向かうため、Black Hatソーシャル・サーチ最適化攻撃を目撃することになるだろう。

  •  より多くの人々がモバイル・ネットワークを介して接続するため、バンキングやゲームなどのトラフィックやアクティビティは、足並みをそろえて増加する。モバイル・バンキングやゲーム内の購買が人気を得ているため、このようなトランザクションをスパイするファイナンシャルな動機はより強くなる。統合化されたソーシャル・ネットワーキング・アプリケーションは、携帯電話ユーザーを「常に接続」している状態に導く。サイバー犯罪者はこうした傾向を悪用するため、ソーシャル・エンジニアリングを使用するだろう。

  •  オンライン・ゲームに関連する攻撃は続くだろう。このようなサイトやゲームは、特にアジア太平洋地域で人気がある。これらの保護に対して、十分に注目されておらず、多くのユーザーがより若く、経験豊かなサイバー犯罪者に対してより脆弱であるという事実により、この問題はより加速するだろう。

  •  適合する攻撃へと導く重要なデータ・ベースのセキュリティ侵害が起きるだろう。サイバー犯罪者は現在、大規模攻撃を分析、計画、実行するためのリソースを有している。

DNSChanger Trojanとモデム

  取り急ぎ以下のことをご報告する:我々はいまだに、感染したシステムと特定のADSLモデムの双方でDNS情報を変更する、DNSChanger Trojanの亜種に関する報告を受けている。これは昔ながらの単純な問題だが、より知っておくに越したことはない。

  基本的な戦略に、2、3の新手が登場した──このトロイの木馬は、モデムのセッティングを修正してローグDNSサーバ(汚染された情報を供給する)を使用するか、もしくはモデムにDHCPドライバをインストールする可能性がある。いずれの方法でも、ユーザは自動ダウンロードを行う悪意あるサイトにリダイレクトされる。

  同トロイの木馬は、多くの人がデフォルトのままにしているユーザ名、パスワードをブルート・フォースすることにより、モデムのセッティングにアクセスする。ユーザが実行可能なシンプルな防御方法は、デフォルトを強力なパスワードに変更することだ。その方法については、以前の2つの記事を参照して欲しい(5月26日10月7日)。

  エフセキュア製品をご使用の方は、我々の製品をインストールする前に、コンピュータが感染している場合でも、その製品によりコンピュータ上の感染は除去されるが、モデムのセッティングはローグDNSサーバに向けられたままとなる。

  モデムをクリーンにするためには、セッティングを手動リセットする必要がある。その方法はモデムのタイプごとに異なるため、もし必要ならばISPに詳細を問い合わせると良いだろう。

法人向け製品 新バージョンのご紹介1

どうもエフセキュア 富安です。
前回の投稿から随分経ってしまいました。今後はもうちょっと短い間隔で投稿出来るように頑張りたいと思います。。。

それはさておき、昨日、法人向けのWindows用製品の新バージョンをリリースしましたので、旧バージョンから変更/追加された機能を中心にご紹介したいと思います。

今回リリースしたのは、Windows XP等のワークステーション向けエンドポイント製品のエフセキュア クライアントセキュリティ Ver9.00 / エフセキュア アンチウイルス ワークステーション Ver9.00と、それを集中管理するためのポリシーマネージャ Ver9.00になります。

今日は、エフセキュア クライアントセキュリティ Ver9.00に追加された、ブラウザ保護の機能について紹介したいと思います。

先行してリリースしましたコンシューマ向けのエフセキュア インターネットセキュリティ2010には既に搭載されている機能ですが、今回の新バージョンで法人向けのエフセキュア クライアントセキュリティ Ver9.00にも搭載されました。


ブラウザ保護は、ユーザが危険なWebサイトにアクセスしないようにするための機能です。
クライアントセキュリティをインストールして機能を有効にすると、ブラウザにアドオンとしてブラウザ保護のツールバーが追加されます。

browsing_protection_toolbar

「評価: 安全」と「評価: 不明」のWebサイトにアクセスした場合には、通常通りWebサイトが表示されます。

ただし、「評価: 危険」の場合は、Webサイトを表示する代わりに、以下の画面が表示し、ウイルス感染の危険があるようなサイトを開かないようにしています。

browsing_protection_danger


また、ブラウザ保護は直接危険なサイトにアクセスしたときだけではなく、googleやYahoo、MSNサーチ等の検索結果や、

browsing_protection_search


GmailやHotmailなどのWebメールからのリンクについて、評価結果をあらかじめ表示します。

browsing_protection_webmail

※画像は解像度があまり高くないので、クリックして見てください。

ブラウザ保護が対応しているWebブラウザは、以下の製品/バージョンです。
・Internet Explorer Ver6 以降
・Firefox Ver2 以降

検索結果に評価を表示できるサーチエンジンは、以下になります。
・Google
・Yahoo
・MSN

リンクに評価を表示できるWebメールは、以下になります。
・Gmail
・Hotmail

Webサイトの評価は、世界中のエフセキュアのオンラインサーバにデータベースとして保存され、クラウドとしてユーザに情報を提供します。
また、データベースはユーザからの報告も元にして更新されますので、評価が不明なWebサイトを見つけた場合は、「エフセキュアに通知する」のボタンから、評価をご報告頂けますと幸いです。


次回は、「脆弱性シールド」という新機能について紹介したいと思います。

ブラック・フライデイ 2009

  今日は、アメリカ合衆国のブラック・フライデイだ。

  ブラック・フライデイとは感謝祭後の金曜日のことで、伝統的にクリスマスのショッピング・シーズンが始まる。

  ほとんど全ての大手小売業者は、ブラック・フライデイに「早期」セールを行う。最良の買い物ができるのがどこか、どうしたら知ることができるだろう?

  そう、新聞を買って折込広告を見る、もしくはインターネットのサーチエンジンを使用するかのどちらかだろう。

  我々は今年、サーチエンジン最適化(SEO)攻撃が間違いなく発生するものと考えている。エフセキュアの「ブラウジング・プロテクション・ポータル」では、未知のサイトが安全かどうかを(無料で)チェックすることができる。

  サーチエンジンに加え、我々はTwitterのようなサイトも、スペシャル・オファーの宣伝に使われると考えている。

  Twitterやこのようなタイプのサイトに共通なのは、ショートURL(tinyurl.comやbit.lyにより提供されるような)で、これは非常に便利なサービスだが、本当のURLソースを分かりにくくする。

  短縮されたURLのソースをチェックする方法はあるのだろうか?

  答えはYesだ。URLはlongurl.orgで拡張することができる。

  もしFirefoxを使用しているなら、アドオンが利用できる。

longurl.org expander add-on

  インストールすると、ショートURLの上に以下のような表示が浮かぶ:

longurl.org_example1

  そして以下は、ミッコのTwitterフィードからの例だ:

longurl.org_example2

  便利だ。

悪意あるiPhoneワーム

  我々はボットネット機能を持つ、悪意あるiPhoneワームのサンプルを入手した。

  Ikeeワームと同様、SSHがインストールされ、デフォルト・パスワードが変更されていない、ジェイルブレイクしたiPhoneにのみ影響を与える。

  今回のワームは、リトアニアの92.61.38.16で動作しているウェブ・ベースのコマンド&コントロール・センターに接続する。

duh

  同ワームは広範囲に広まってはいないが、デバイスから情報を盗もうとしているようなので、前回のiPhoneワームよりもずっと深刻だ。

  我々は詳細な分析に取り組んでおり、後ほど公開する予定だ。

  XS4ALLのスコットにご協力を感謝したい。

UpdaterおよびTuneupトライアル

  コンピュータの保守は、時としてひと仕事となる場合がある。特にあなたが常に忙しい人だとすれば。コンピュータ上のすべてのプログラムを、最新のアップデートでチューンアップしておくことは大騒動だろう。パフォーマンスを最適化するため、定期的にシステムの「ハウスキーピング処理」(ハードドライブのデフラグなど)を行うのも楽しいことではない。

  そこで、我々にそのお手伝いをさせて頂きたい。エフセキュアは最近、テクノロジ・プレビューページで、これらのタスクに対処する単一のツールである、Updater & Tuneupのトライアル・バージョンをローンチした。同ツールを使用して、皆さんのマシンのパフォーマンスがどのように改善したかについて、フィードバックして頂けるとありがたい。

updater



  その名称が全てを語っているが、Updaterは皆さんのマシン上にインストールされた脆弱なアプリケーションの情報を得て、アップデートが入手可能になったら知らせるというものだ。そしてTuneupは、ハードドライブのデフラグやレジストリのチェックといったハウスキーピング処理を行い、皆さんのマシンのスピードを最適化する。

  そしてご協力に感謝するため、フィードバックしてくれたユーザに、賞品として以下のアイテムをプレゼントする:

  • 「エフセキュア インターネット セキュリティ 2010」を5名様に。
  • 「エフセキュア インターネット セキュリティ 2010」および「「エフセキュア インターネット セキュリティ 2010」および「エフセキュア モバイル セキュリティ」のVIPカードを15名様に。

  賞品の当選者は抽選で決定する。

  トライアル・バージョンは無料で、テクノロジ・プレビューの期間は2010年1月までとなる。

RE 「AVAR 2009」からこんにちは!

私もこっそり、先日のフェイさんのポストにあった、AVAR2009(Association of anti Virus Asia Researchers International Conference)へ参加してきました。ウイルスに特化したカンファレンスへは初参加だったので、色々新鮮でした。

残念ながら、F-Secureの方を会えませんでした。
#F-Secure以外のAVベンダーの方々との交流はありましたが(笑)

クラウド以外の内容ですと、日本人の発表はオリジナル性が高く好評だったように思います。

日本コンピュータセキュリティリサーチの岩本さんによるマルウェアの特徴抽出と分類に関する講演は、オリジナルと亜種がどの程度異なるのか数値化するといった内容。その際に利用される図は生物や進化系統樹に似ており、その考え方も生物学みたいだなと思っていましたら、講演後にお話を伺うと、DNAの距離(違い?)の考え方を応用したのだそうです。

もうひとつ興味深かったのが、シマンテックの末長さんによるIDA proを用いての難読化されたAPIの解析手法の紹介です。難読化されたAPIをIDC scripotを用いての解析方法の説明なのですが、その内容は非常に具体的且つ実践的。講演後にお話を伺いますと、IDC script生成ツールを作成したことが今回のポイントだそうで、そのためのアイデアを提供したとのこと。
#とはいうものの、末永さんは3年がかりで作ったそうです・・・
他のセッションでは具体的な話が少なかったため、本セッションは技術者ウケが良かったように思います。(たぶん)
まだまだ発展しそうな話でしたので、今後も楽しみです。

また、星澤さんの発表が予定されていましたが、"リアル"ウイルスに感染した可能性があるとのことでいらっしゃいませんでした。
代わりに神薗さんがお話されていました。近年のDrive by Downloadを利用するマルウェアの攻撃手法とそれに対する検知技術の話です。ブラックリストによる防御が限界に達している現在、次の検知技術が研究されていますが、本講演も色々参考になるところが多かったです。

技術的な話の他に印象的であったのが、ESETの「Goodware」「Policeware」の事例紹介です。
これは海外の警察(FBIとか)がサイバー犯罪者を逮捕するために、裁判所の許可を得て合法的にマルウェアを仕掛けるというもの。例えば、重要な証拠となり得るファイルの暗号化を解くために、容疑者に対し中間者攻撃を仕掛け、キーロガーをインストールしパスワード等を盗むのだそうだ。AVベンダーに検知しないように依頼したり、OS開発ベンダーにドライバーに組込んで欲しいなど頼むことがあるそうだが、道徳的・倫理的に問題があるとのことで、殆ど断られるとのこと。
#それはそうですよね・・・

フェイさんが晩餐会の模様を載せているので、私も。。。

avar2009_1

MSがパッチをアップデート

  MicrosoftがMS09-054パッチのアップデートをリリースした。

  注意:もしシステムが、以前のMS09-054パッチをインストールしていないのなら、今回のアップデートをインストールしないこと。何故なら、アップデートされたものはInternet Explorerに不具合をもたらす可能性があるからだ。カスタマーの中には、上述のパッチをインストールした後、ブラウジング関連のエラーが出た人もいる。

  フィックスはWindows Update、Microsoft UpdateおよびAutomatic Updatesにより入手できる。

  詳細に関しては以下を参照:http://support.microsoft.com/kb/976749


投稿はChristineによる。

偽AVがエフセキュアをエサに

  最近、我々はユーザーを偽アンチ・ウィルスサイトに導くSEO攻撃を調査している。このような攻撃の背後にいる連中は、多くの世界的な出来事やそれほどメジャーではない出来事の検索結果を汚染している。それだけに、このような攻撃でエフセキュアがエサとして使用されているのを見るのは、面白くもあり、うっとうしくもある。

  我々はエフセキュアに関する情報を検索して、以下のような結果が現れるのを発見した:

FS Search

  このリンクをクリックすると、ユーザーは以下のような経路でリダイレクトされる:

Redirect Path

  この後は警告メッセージ、誤解を招くようなスキャンレポートの表示などなどといった、通常のパターンをたどる:

FS Rogue Image

  一目瞭然ではないかもしれないので言っておくなら、これは我々の製品とはまったく似ていない。

  最後にユーザーは、以下をインストールするよう促される:

FS Rogue Install

  我々はこれが「Rogue:W32/InternetAntivirus.BG」であることを確認した。検出はダウンローダ、ダウンロードされたインストーラおよび主な実行ファイルをカバーする。

  この攻撃に関して新しいところは何もない。若干パーソナルなだけだ。


  投稿はChoon Hongによる。

偽Facebook、偽ビデオ、偽CAPTCHA

  Facebookで映像を視聴するのは一般的な行動だ。よって不用心なユーザーをマルウェアに感染させるのに使用される、偽の模倣サイトが数多くあっても驚くべきことではない。

  以下は、昔から良くある「Flash Playerアップグレード・インストール」トリックを使用し、若干のひねりを加えた悪意あるJavaScriptを持つ偽Facebookサイトの一つだ。

  例によってユーザーは、プレイヤーをアップグレードすれば、映像を見ることになるだろうと思っている:

Facebook vid malware
  しかし最初に、「アップグレード」をダウンロードし、インストールしなければならない:

Facebook vid malware

  通常と異なるのは、この「アップグレード」はCAPTCHAポップアップと共に始まるということだ:

Facebook vid malware

  このリクエストは不定期に表示され、実際には何もしない。ユーザーがフィールド内に何を入力しようと、以下のような表示が現れる:

Facebook vid malware

  このスクリーンは2、3回のトライ後に閉じられるが、時々現れ続ける。

  ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

Facebook vid malware

  我々はこのマルウェアが「Trojan:W32/Agent.MDN」であることを確認した。

  エフセキュアの「Browsing Protection」は、あらゆる偽Facebookサイトをブロックする。とは言え、いつもと同様、ネットサーフィン中は慎重に。


  投稿はChoon Hongによる。

パッチ…13日の火曜日 パート2

  先週、Christineが13日の火曜日にパッチが公開されることに言及した。実際の所、それは明日だ。

  今月の「Microsoft Updates」には、34の脆弱性を集成する13の速報が含まれている。これはかなりの数のアップデートになる。

Advance Notification Bulletin, October 2009
  詳細については「Microsoft Security Bulletin for October 2009日本語)」を参照して欲しい。

  そしてこれに加えて、Adobeが予定するアップデートの時期でもある。

  もし皆さんがAdobe Readerをインストールしているなら、すぐにこのアップデートを適用したいはずだ。標的型エクスプロイトが流布しているのだから。

Adobe Security Advisory, 10.08.2009
  詳細はAdobeの「Security bulletins and advisories日本語)」を参照のこと。

  さて次に、10月の「Microsoft Updates」に関してもう一つ…

  昨年10月、Microsoft Windows用に、予定にはなかったパッチが公開された。そのパッチは一体何を意図したものだろうか? Conficker脆弱性だ。

  予定にはないものだったため、またホリディシーズンが近づいており、それに関連した人員配置の問題もあったため、非常に多くの組織がすぐにテストできず、アップデートを配備することもできなかった。こうした組織の多くは、後になってConfickerの感染に対処しなければならなかった。

  「全米サイバーセキュリティ意識向上月間」でもあることだし、これらアップデートをすぐに配備し、これから登場するのが何であれ、それに備えるようにしてはどうだろう?

  これまでで誰もが気付いたように、悪党連中はゼロデイ脆弱性を、最悪のタイミングで発動させるのを好むものなのだから。

  安全で効果的なパッチを貴方に。

スティーブン・ゲイトリー死去のニュースが不正AVに誘導

  (アイルランドの男性ユニット「ボーイゾーン」の)スティーブン・ゲイトリーが2009年10月10日に亡くなった。

  彼の死のニュースを検索すると、以下のような結果が得られる:

Stephen Gately, rogue results

  who.isでWebサイトをチェックしてみて、我々はちょっとしたことに気がついた。作成日が2009年10月9日になっているのだ。うーん。

  いずれにせよ、このサイトはアクセスしたユーザーを、以下のような表示を出すサイトにリダイレクトする:
Stephen Gately, rogue results
  ユーザーが「OK」をクリックするか、「キャンセル」をクリックするかは問題ではない。同サイトはいずれにせよ以下の画像を表示する。これはコンピュータのスキャンを模している:

Stephen Gately, rogue results

  そして最終的に、何かをインストールするプロンプトが現れる:

Stephen Gately, rogue results

  またも不正なAVだ。このマルウェア・サイトは、「forexbids.cn」「norah-jones.cn」「watermelonfun.cn」「my-pc-scanner7.com」「anamericanbeauty.com」といった、既知の他のマルウェア・サイトとIPアドレスを共有している。

  これらのサイトの中には、既にダウンしているものもあるが、やはりアクセスしない方が賢明だろう。エフセキュアの「Browsing Protection」は、これらのサイトをブロックする。

—————

追記:同じWebサイトへと導く、関連のSEO攻撃は以下から始まる:

Stephen Gately, rogue results

Stephen Gately, rogue results

  この攻撃が取るリダイレクト・パスは以下の通り:

Stephen Gately, rogue results


投稿はChoon HongとChu Kianによる。

Google Chromeがアップデート?

  私は今日、VMwareイメージの一つでブラウザをアップデートしていた:

Chrome/Internet Explorer/Firefox/Safari/Opera

  すると「Google Chrome」がversion 3.0.195.24にアップデートされた:

Chrome3.0.195.24

  Version 3.0.195.24は、攻撃者がGoogle Chromeサンドボックス内で任意のコードを実行することを可能にするセキュリティの脆弱性を解決する。

  しかし…このアップデートはインストールの際、脆弱なファイルを削除しなかった:

Chrome3.0.195.21, Folder

  よってChromeはすでに脆弱なファイルを使用していないかもしれないが、古いchrome.dllは私のVMwareシステム上に残っていることになる:

Chrome3.0.195.21, Chrome.dll

  Sun Javaなどが最終的に古いバージョンをアンインストールできるのなら、Google Chromeもそうできるべきだとは思わないだろうか?

  他に誰か、自分たちのシステムでこのことに気付くだろうか?

サインオフ
ショーン

ネットのフィッシング、リアルの銀行ATMスキミング

  スウェイジ・スパム のポストにあるように、ネット上で人々の注目を引く出来事には、すぐにそれを利用してマルウェアサイトへ誘導するスパムが発生しています。フィッシングを仕掛ける側は手段を選びません。しかし人を騙すことにおいては、ネットの世界のテクニックとリアルの世界のテクニックは変わらくなってきているようです。

  最近、事件映像を集めているLiveLeakに上がっていたのは、監視カメラに写った、ブラジルのとある銀行ATMのカード読み取りスロット部分に覆いかぶさる、スキミング用の偽のカバー部品を取り付けている最中の男の姿でした。幸いにも、映像の後半でこの男の仲間と思われる人物が現金をおろしている最中に、警察に捕まって手錠をかけられてしまいますが、取り付けられていた部品は注目するべきものです。

  映像の最後の方でアップになりますが、このスキミング装置は2つに分かれています。カード挿入部分にぴったり被さるように作られたプラスティックのカバーには、カードの情報の読み取り器が入っています。また、カード読み取り器のコントローラーと思われる電子装置の入った薄いパネルが、モニタースクリーンの下側に挿入されて取り付けられていました。

  この犯罪の手順はたぶん、このような流れだと推測されます:
1. 装置のインストール役の犯罪者が銀行ATMにスキミング装置を取り付ける。
2. 何も知らない銀行利用者がカードをATMに挿しこむたびに、カード読み取り器が同時にカード情報を盗み読んでコントローラーに蓄積、またコントローラ装置は暗証番号を打つ時のキーパッドの動きも記録する。(カメラで撮影するか、キーパッドに被せるタッチパネルシートなどを使う)
3. 近所にいる犯罪者は無線でカード情報を取り出して集め、ブランクのカードに転写して偽造ATMカードを作る。
4. 偽造したATMカードを持って銀行へ行き、盗んだ暗証番号で現金を引き出す。

  ヨーロッパなどでは最近はATM装置そのものの偽造もあるので、「壁に取り付けられていないスタンドアローンのATMにはカードを挿すな」と言われるようになって来ましたが、この映像にあるように壁に取り付けられたATM装置も安心できません。同じ銀行の他のATM機と比較して、自分がカードを挿入しようとしているATMは外観が同じかどうかチェックする必要がありそうです。
  日本ではまだこれほどのATMスキミングの話題は出ていないようですが、今後は利用者自身も警戒が必要かもしれません。

Linux R&D チームのChallenge

Moi! エフセキュアで製品に関する諸々を担当しています、富安と申します。

私からは、製品に関する情報や使い方に関するTIPS、今後の取り組み等をこのブログを借りて紹介していければと思っています。

今回お届けする内容は、Linux R&D チームの取り組みについてです。

弊社ではLinux上で動作する製品として、製品をインストールしたPC自体を保護するエンドポイントセキュリティとして「エフセキュア Linux セキュリティ フル エディション」という製品を販売しています。

この製品は、弊社のWindows製品と同様に、リアルタイムでのファイルI/Oに応じたウイルス検査が可能なのですが、これを実現するためにDazukoというカーネルモジュールを利用してシステムコールの横取りを行っています。
(参考:エフセキュア Linux セキュリティ フル エディション FAQ/リアルタイム検査の動作概要について

もしリアルタイムスキャンでウイルスを検知した場合は、システムコールテーブルを書き換えてエラーを返し、ウイルスファイルにアクセスが失敗したとシステムコールの送信元プロセスに思わせるわけです。

ところが、カーネル2.6.25以降、カーネル側でシステムコールテーブルの書き換えを禁止するようになっているため、今までの方法ではリアルタイム検査ができなくなっているのです。

DebianやUbuntuの最新バージョンでは、既にカーネル2.6.25以降が採用されており、今後リリースされる他のディストリビューションの新バージョンでも採用されることになると思います。

Linux R&D チームは、現在この問題を解決する新バージョンの開発に取り組んでいます。この新バージョンでは、同時にセキュリティに関する新しいテクノロジの搭載も検討しています。期待してお待ちください。

Microsoftから新たなOut-of-Bandパッチ

  Microsoftが2、3の脆弱性をフィックスするアウトオブバンド・パッチをリリースした。脆弱性の1つは、Internet Explorer(MS09-034, Critical)に、もう一つはVisual Studio(MS09-035, Moderate)に影響を与える。我々が以前述べたように、こういうことはめったになく、起きたとすれば正当な理由があってのことであり、注意を払ってマシンを必ずアップデートした方が良い。

  以下はこれらのセキュリティ・アップデートが脆弱性に対処する方法に関する簡単な概要だ:
  Internet Explorer, MS09-034 - このセキュリティ・アップデートは、IEがメモリでオブジェクトを処理する方法と表操作を処理する方法を修正することにより、これらの脆弱性(ユーザーが巧みに作成されたWebページをInternet Explorerを使用して閲覧した際に、リモート・コード実行を可能にする)に対処する。

  Visual Studio, MS09-035 - 同セキュリティ・アップデートは、ATLヘッダを修正することにより、脆弱性(ユーザーが脆弱なバージョンのATL、すなわちActive Template Libraryで作られたコンポーネント、あるいはコントロールをロードする際に、リモート・コード実行を可能にする)に対処するもので、これにより、これらのヘッダを使用して作られたコンポーネントやコントロールが、問題なくデータストリームからイニシャライズ可能になる。

ms09-034-crtical2 (70k image)

  頭に思い浮かぶ最後の、そして本当に大きなアウトオブバンドは、もちろん「MS08-067」で、我々は皆、これがどんな問題に導くか理解している。もしConfickerも、初日にパッチを当てたすべてのコンピュータにリーチできたとしたら、何が起きていたかを想像するのは難しい。

  「MS08-067」に関してそういう事情だったため、この新たな脆弱性はIE7およびIE8の両方を実行する、現在サポートされているすべてのバージョンのWindowsに影響を与える。例外はServer Coreインストール・オプションでインストールされたWindows Server 2008だ。

  だからぐずぐずしていないで、できるだけ早くアップデートしよう。

  エフセキュアが提供している無料のオンライン・ツール「Health Check」を使用して、皆さんのコンピュータに必要なセキュリティ・アップデートを確認することもできる。

F-Secure Health Check

  「Health Check」は現在、Internet Explorerに対応している。その他のブラウザへのサポートも、将来的に追加する予定だ。

新たなおとりファイル

  3週間前、標的型攻撃で使用される、おとり文書ファイルのスクリーンショットを数枚掲載した。これらは、様々な組織の特定の個人を感染させ、彼らのコンピュータへのアクセスを得るために使用されたファイルだ。

  以下に掲載した文書はすべて、バックドアをインストールするエクスプロイトを含んでいる。これらの攻撃の標的は不明。

targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack


targeted attack

  今回もざっと集めたサンプルに過ぎない。何しろ我々は、この手のファイルを数多く手に入れているので。

  これらの攻撃で使用されたホスト名の変更については、明日掲載する予定だ。

追記:英語以外の文書の翻訳に関する提案があれば、コメント欄に投稿して欲しい。

「Sexy View」SMSワームについてのQ&A

  「Yxe」またの名を「Sexy Space」あるいは「Sexy View」モバイルワームについて、多くの報道がなされている。そこでここでは、いくつかの質問に答えるQ&Aを掲載することにしよう:

Q:このワームが重要なのは何故?
A:これまでで初めてのテキスト・メッセージ・ワームだからだ。

Q:テキスト・メッセージ・ワームは都市伝説に過ぎないと思っていた!
A:とんでもない。

Q:テキスト・メッセージにどうやって、ワームを仕込むことができるのか?
A:できない。そのかわり、ワームがテキスト・メッセージに、ワームのWebサイトへのリンクを仕込むのだ。

Q:リンク? テキスト・メッセージ中のリンクをクリックすることができるのか?
A:その通り。事実上すべてのスマートフォンで。ちょうど、電子メール中のリンクをクリックできるようなものだ。

Q:そんなリンクをクリックするものだろうか?
A:そのリンクは、信頼できそうなメッセージ中に置かれているからだ。

Q:信頼できそうとは、どのように?
A:親友から届いたテキスト・メッセージに、「チェックして!」といったメッセージとWebリンクがあったら信頼するのではないだろうか?

Q:その手のメッセージはなりすましなのか、それとも本当に友人の電話から届くものなのか?
A:Yxeは電話帳から見つけた電話番号にメッセージを送信する。よって、もし友達が感染している場合、友人本人の電話からメッセージが届くことになる。

Q:どんなメッセージが送られてくるのか?
A:同ワームはWebサイトから新しいメッセージ・テンプレートをダウンロードするため、メッセージのタイプは様々だ。

Q:これはモバイル・ボットネットなのか?
A:そうとは言えない。同ワームの持つ唯一の遠隔コントロールは、どのようなテキスト・メッセージを送信するかを変更する、上記のアップデート・メカニズムのみだ。とは言えボットネットに近いものではある。

Q:リンクをクリックしたら、何が起こるのか?
A:皆さんの電話にSISインストールパッケージを自動的にプッシュするWebサイトへと導かれる。そしてプロンプトが現れる:「Sexy Spaceをインストールしますか?」 「はい」 or 「いいえ」

Q:セキュリティ警告は出ないのか?
A:出ない。

Q:だが、SISパッケージが承認されているので無い限り、セキュリティ警告が出てしかるべきだろう!
A:承認されているのだ。

Q:何故Symbianは承認したのか?
A:我々は、ウィルス・ライターがExpress Signing手続きを介して同マルウェアを提出したからだろうと考えている。同手続きでは、ほとんどのアプリケーションが人の手で検閲されることがないので。

Q:OK。だったら「はい」をクリックすると何が起こるのか?
A:ワームが自身を皆さんのデバイスにインストールし、電話帳に記載されているすべての連絡先に対して、同様のテキスト・メッセージを送信する。これらのメッセージは、皆さんの名前で、皆さんの電話から送られることになる。

Q: こうしたメッセージの代金を支払うのは誰?
A:皆さんだ。もし感染していれば、同ワームによって送信されるすべてのSMSの支払いをするのは皆さんなのだ。一つのテキスト・メッセージにかかる代表的なコストは5セントといったところだ。もしあなたが、500件の連絡先を電話に登録してれば、感染することで5セントの500倍支払うことになる。

Q:蔓延する以外に、そのワームは何をするのか?
A:電話からその電話のIMEIナンバーなどの情報を盗み、送信する。

Q:動機は何なのか?
A:不明だ。

Q:これらのYXEワームはどこで書かれたのか?
A:中国だ。

Q:承認を得るためにこれらYXEワームを提出した企業はどこなのか?
A: 「XiaMen Jinlonghuatian Technology Co. Ltd.」「ShenZhen ChenGuangWuXian Tech. Co. Ltd.」および「XinZhongLi TianJin Co. Ltd.」という名の企業だ。

Q:Symbianはこれらの証明書を無効にしたのか?
A:した。

Q:ということは、もう問題は無いということか?
A:そうではない。Symbianの何百万ものスマートフォンすべてに、失効証明書がただちに配布されるわけではない。失効証明書を受け取るためには、ほとんどのSymbianフォンのデフォルト設定を変更する必要があるからだ。変更するには、「Application Manager」の設定に行き、「Online certificate check」を「Must be passed」に設定すること。

  以下の画像は、その手順を示したものだ:

cert check

Q:このワームはどのくらい広まっているのか?
A:それほど広まってはいない。確認された報告は非常に少ない。Yxeは今のところ、中国および中東のみの問題のようだ。

Q:このワームに影響を受けるのはどの電話か?
A:Nokia, LGおよびSamsungのSymbian Series 60 3rd エディションすべてだ。たとえばNokia N95やNokia E71といった、ベストセラーの端末なども含まれる。

Q:どうでもいいじゃないか。どうせ誰もSymbianを使わないんだから。iPhoneがホットだからね。
A:Symbianは、スマートフォン市場の49パーセントを占めている。iPhoneは10パーセントだ。

Office Webコンポーネントの脆弱性に対する防御

  昨日、Microsoft Office Webコンポーネントに関し、新たな脆弱性がアナウンスされた。そこで、自動ダウンロードに使用される可能性がある、すべての新しいエクスプロイトについて、エフセキュアISTPおよびExploitShieldでチェックしてみたところ、またもやExploitShieldは何らアップデートする必要なく、ユーザーを防御することが分かった。以下のビデオで、Internet Explorer 6およびInternet Explorer 8とともにISTPがインストールされている際の、同エクスプロイトの様子をご覧頂ける。

ISTP in action

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード