エフセキュアブログ

ウイルスソフト を含む記事

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

モバイル脅威に対する有効な対策

ますます巧妙化するモバイル脅威に対し、エフセキュアの最新版モバイル脅威レポートで紹介されている対策方法についてご案内します。

デバイスにロックをかける


オンラインベースの攻撃に対する懸念が広がっているとはいえ、デバイスをマルウェアに感染させるのに最も容易な方法は、直接ひそかにインストールすることです。まずデバイスの物理的なセキュリティを保護してください。デバイスをロックすることで、誰かがあなたの気づかないところで設定を変更したり、監視ツールやスパイウェアなどのアプリをインストールしたりするような事態を防ぐことができます。

盗難保護対策を講じる

盗難保護対策を利用すれば、デバイスを取り戻すことが不可能だと思われる場合に、リムーバブルメディアを含むデバイス上のデータをリモートで消去することが可能です。盗難対策ソリューションには、デバイスの位置を確かめたいときのためのロケーションマッピングやアラーム起動機能などが含まれます。

権限の要求を確認する

Playストアまたはその他のソースからアプリをダウンロードする際には、要求される権限の一覧を確認してください。インターネットへの接続やファイルを外部ストレージに保存する必要がありますか。あるいはSMSメッセージの送信を許可する必要はどうでしょうか。そうした権限が必要な理由を開発者のサイトで確認し、またレビューを読んで他のユーザの意見を参考にしてください。

ダウンロードしたアプリをスキャンする

アプリをダウンロードした後は、インストールする前に、信頼できるモバイル向けアンチウイルスソフトを使用してスキャンを実施してください。これは「沈黙」の動作、すなわちユーザに通知されることなく許可されている動作を確認する手段です。アンチウイルスソフトのスキャン結果に問題がなければ、安心してアプリのインストールに進むことができます。

信頼できるソースからのみダウンロードする


Android端末では、Playストア以外のソースからのアプリのインストールはブロックされるようにデフォルト設定されています。お使いのデバイスがPlayストアのアプリのみを許可しているかどうかは、[設定]>[アプリケーション]>[提供元不明のアプリ]から確認できます。チェックボックスにチェックが入っている場合は、Playストア以外のアプリがインストールできる状態になっていることを意味しますので、チェックを外してください。

モバイル脅威の最新の詳細については「2014年第1四半期モバイル脅威レポート」を参照してください。

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

UNRECOMは今後のRATの主流になれるか

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft(UNiversal REmote COntrol Multi-Platform)に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの1つであるAndroRat(流出したソースコードと推測)をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム(Windows、MacOS、Linux、Android)の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

unrecom

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは?と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

アナウンス

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys


plugins



尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。(少なくともUnrecomの仕様に変更がなければ、です。)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)


alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

    参照URL:
    http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html


Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。


追記:
   かなり粗いですが、yara signatureです。
{
 strings:
  $Class = /opciones\/\w+\.class/
  $made = "desinstalador/MaDe.adwind"
  $gcon = "JTextPaneExample.class" nocase
  $plugin = "AdwindServer.class" nocase
 condition:
  any of ($Class) and ($made or $gcon) or $plugin
}

VDIなど仮想環境に特化した新しいソリューションのベータ提供開始

昨今、仮想環境の普及に伴い、サーバおよび端末共に仮想環境下でのセキュリティ対策が求められています。エフセキュアでは、このような仮想環境の利用頻度の広がり、特にVDI市場の成長に対して、より仮想環境に適した方式でのセキュリティソリューションが必要になると考え、仮想環境に特化したセキュリティソリューションSecurity for Virtual and Cloud Environment  (SVCE) のベータ版の提供を開始しました。

リソース競合問題の解決

仮想環境でアンチウイルス製品を使用する場合、一般に「AVストーム」や「ブートストーム」などと呼ばれるリソースの競合が問題となる場合があります。SVCEでは、各仮想端末で更新するパターンファイルの量や、スキャン時のリソース使用量を減らし、この問題を解決します。

検知率低下問題の解決

アンチウイルスソフトウェアを仮想環境で使用した場合、一般にマルウェア検知率は低下することが知られています。SVCEでは、検知率を保ちセキュリティ性能を損なうことなくご利用いただける製品を目指しております。

ベータ・テスト・プログラムへの参加方法など詳細はこちらをご覧ください。

人気のJava Exploitに改めて注意

現在、UGマーケットではJavaの脆弱性に関連した商品やサービスに注目が集まっています。
下図のようにJavaの脆弱性を標的としたEaaS(Exploit Pack as a Service)が提供されるなど、その注目度の高さが窺えます。このサービスでは、BASICとPROFESSIONALで提供されるExploitコードのタイプが異なります。端的にいえば、PROFESSIONAL版の方は標的に気付かれづらい作りになっています。6ヶ月間で50USDの差額をどう考えるかですが、ビジネスとしてサイバー攻撃を行っているグループには安い買い物でしょう。

security pack


このような背景があってかわかりませんが、2012年は日本国内を含め、ウェブ改竄被害が大変多く報告されています。先日、IPAよりウェブサイトの改竄に対して注意喚起が出ており、2013年も増加し続けています。国外の状況を含め調査しますと、これらの被害サイトの多くには悪性コードが挿入されたり、設置されています。複数のウェブサイトにおいて、類似ケースも確認されていることから、EaaSやSpreader等のサービスが利用された可能性は高いと考えられます。

このような現状に対し、IPAではこの注意喚起の中では、対策として主に次の3点を改めて推奨しています。
・Windowsの自動更新を有効に
・各種プログラムを最新に
・アンチウイルス以外の機能も持つ「統合型セキュリティソフト」の活用

いずれも基本的な対策であり、且つ大変重要な対策です。上図でも確認できるように、EaaSや一部のWeb Exploit Packではアンチウイルスソフトを回避するために、利用するExploitコードや不正プログラム等をチェックするためのツールが提供されています。そのため、アンチウイルススキャンのみでの検出が難しい場合があります。
この点を踏まえますと、上述の対策は最低限実施しておきたいところです。
また、UGマーケット内でのJava Exploitの人気を考えますとウェブブラウザのJavaを無効化等の対策も実施しておくとさらに安心です。

何はともあれ、これらの背景を踏まえますと、
・PCはJavaへの対応策は万全か
・ウェブサーバに覚えの無いコンテンツが設置されていないか
・アクセスログに不審なログは無いか(そもそも適切にログが取得されているか)

など改めて確認されてみては如何でしょうか。
併せて、攻撃トレンドの変化に付いていけるようにExploitコードや不正プログラム等の情報チェックも忘れずに。


Gauss:オリンピックの最新イベント

  Kaspersky Labの人々が最新の「国民国家が支援する」発見を昨日明らかにし、それを…Gaussと呼んでいる。そのように名付けられたのは、その「モジュールがクルト・ゲーデル、ヨハン・カール・F・ガウス、J・ラグランジュといった著名な数学者、哲学者に敬意を表しているらしい内部名を有している」からだ。

  Gaussは「Flame」の調査中に発見されたものだ。それ自身、Stuxnetと関連があり、「Olympic Games」というコード名を持つ米国の諜報プロジェクトの一環だった。

  興味深い。

  以下は、Gaussに関するその他の興味深い点だ。

  分析によれば、Gaussはレバノンの銀行をいくつか標的にしており、(バンキング型トロイの木馬が行うような)トランザクションのモニタを行う。

  4月に掲載されたWall Street Journalの記事との関連で考えると、かなりのものだ。

U.S. Probes Lebanon Banking Deals

  そのほかに注目に値する点は、Gaussはアンチウイルスソフトが存在する場合、自身をインストールしない、ということだ。

  またGaussは、Windows 7 SP 1を好まない。

Gauss exits if Antivirus is found.
ソース:Kaspersky Lab [PDF]

  次にちょっとした、こんな情報がある:

Gauss Traffic Encryption, ACDC
ソース: Kaspersky Lab

  ACDC?

  それがミッコの注意をひいた。




  最後に、Olympic Gamesの報道の展開を見る限り、我々のように「偏執的な」傾向のある人々は、イランの資金2500億ドル相当のロンダリングをしていると言われる、スタンダード・チャータード銀行に関するWall Street Journalの8月6日の記事に対して、新しい見方をしてしまう…

N.Y. Regulator Accuses Standard Chartered of Illegal Transfers

  WiredのKim Zetterが、Kasperskyの調査結果を上手くまとめている。FlameおよびStuxnetの親類がレバノンの銀行の顧客を標的に不可解なペイロードをもたらす

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

Flameに関する質問

  現在、月曜日に情報が開示された諜報活動ツール「Flame」に関し、多くの議論が進行中だ。

  カスタマから、さらにはマスコミからも多くの質問を受けている。

  ミッコが昨日、PRI's The WorldのClark Boydと、最新のニュースについて話をした。

  SymantecのLiam O Murchuは、MarketplaceのKai Ryssdalと、Flameの機能について非常に「経済的な」会話をしている。

  いくつか良い質問がなされている。そして多くの誇張も発生している。

  以下は、我々自身が受けた質問の一部だ。

  •  私はFlameから保護されているか?

  それは正しい質問の仕方ではない。「私は危険にさらされているか?」と聞くべきだ。

  •  分かった。では私はFlameの危険にさらされているのか?

  あなたは中東政府のシステム管理者だろうか?

  違う? だったら…あなたは危険にさらされてはいない。

  Flameに感染していると見積もられるコンピュータの数は1000台だが、世界には10億台以上のWindowsコンピュータ存在する。計算してみてほしい。宝くじ並みの確率だ。

  さらに、Flameはワームではない。そのアーキテクチャにはワーム的な機能が含まれているが、それらの機能はデフォルトでは停止されている。よってFlameはワームのようには拡散しないし、したがって、あなたが特に標的とされていない限り、感染することは無い。

  それから、現在、Flameがイン・ザ・ワイルドであることが知られているという事実がある。だから…それは「止められて」いるのだ。Flameの標的でさえ、もはや危険にさらされていない。諜報活動ツールの真価は、それが秘密であるということにある。Flameはもはや秘密ではなく、したがって見捨てられるだろう。

  •  OK。それでも(理論的には)私は保護されているのか?

  我々はFlameの検出を行っており、現行のソフトウェアはFlameをブロックし、我々のテストに基づいて、機能することを防止している。もしあなたがアンチウイルスソフトの最新版を持っており、それが最新のデータベースで適切に機能しているなら、問題無いはずだ。

  •  ということは、私は安全なのか?

  安全? OK…Flameは少なくとも2年、出回っていたと推測されている。これはソフトウェアコードの観点では古いものだ。そしてFlameは現在、よく知られている。心配する必要は無い。Flameは失効している。

  しかし…Flameを興味深いと考えるべき理由は、それではない。Flameで重要なのは、他に何が…まだ知られていない脅威があり得るか、ということだ。

  •  ということは、私は安全ではない?

  もとに戻って、「私は危険にさらされているのか」と問い直して欲しい!

  商業ベースのアンチウイルスおよびセキュリティ製品は、犯罪者、凶悪犯、デジタルギャングによるイン・ザ・ワイルドな一般的脅威からユーザを守る(そしてそれは絶え間ない戦いだ)ことにフォーカスして設計されている。特殊部隊Seal Team Sixのデジタル版から、ユーザを保護するようには設計されていない。よってもしあなたが、自分に照準が合わせられていることを知っているような人物なら…あなたは安全ではない。

  •  将来はどうだろう? Flameの技術はサイバー犯罪者に、連携できる新しいツールを与えるのだろうか?

  この質問を受けたとき、我々のラボのアナリストのうち2人が、文字通り大笑いした。Flameは巨大だ。そして複雑だ(多くの合法的ソフトウェアが複雑なように)。しかし先進的なクライムウェアではない。そうではないのだ。データを盗み出すクライムウェアは、必要なものを盗み出す、もっとも手早く、もっとも効果的な方法に興味を抱いている。そして素早く進化する。進歩的進化と呼んでもいいかもしれない。

  他方Flameは、限られた範囲に対して非常に慎重に使用された「限定版」スパイツールだ。進化する必要は無かった。明らかに、先進的な計画はあっただろうが、しかしそれは必ずしも我々が先進的テクノロジーと呼ぶものである必要は無いのだ。

  •  Flameは何のために設計されたのか?

  情報収集だ。コンピュータからのデータばかりでなく、会話やチャット、連絡先情報も—諜報活動だ。

  •  Flameを作ったのは誰か?

  そう、それは収益を上げるために設計されたものではない。「ハッカー」により設計されたにしてはあまりに巨大で「複雑」だ。よって、民族国家によるものではないかと思われる。

  •  ちょっと待って。何だって? 民族国家が諜報活動?

  民族国家は諜報活動を行う—しなかったことがあるだろうか? この頃では彼らはデジタル諜報活動ツールを使用しているが、驚くべき事ではないだろう。

  •  Flameを作ったのはどこの国か?

  Flameの構築にはかなりのリソースが投入されたことは明白だ。それを考えると、Flameを開発したのはどの軍事産業かという質問の方が良いだろう。

  •  軍事産業?

  そう。Flameの構築方法から、我々は業者—支払いを受けている組織により書かれたと推測している。

  •  軍事産業がFlameのようなものを開発するのか?

  自分でご覧頂きたい。以下はミッコが最近ツイートした内容だ。



  以下がサイバーソフトウェアエンジニアの求人だ:

Northrop Grumman, Cyber Software Engineer

  「この刺激的でテンポの速い研究開発プロジェクトでは、攻撃的サイバースペース作戦(OCO)の任務を計画、実行、評価する。」

  望ましい資格:

Northrop Grumman, Cyber Software Engineer, Preferred Qualifications

  うーん、SQLデータベース。FlameはSQLデータベースを使用している…だがプログラミング言語Luaへの言及は無い。しかし、軍事産業はこの種のものを扱う特殊な心得があるように思われる。

  そしてそれはノースロップ・グラマンばかりではない。多くの軍事産業が、この種のプロジェクトに携わっている。ロッキード・マーティンやレイセオンといった企業だ。

  •  え、ノースロップ・グラマン、ロッキード・マーティン、レイセオン? 最近、これらの(そして他の)企業に関連した「ハッカー」に関する記事を見なかったっけ?

  そうそう!その通り。RSAのハッキングだ。そう、RSAのハッキングの結果として、標的とされた多くの企業の中に、軍事産業が含まれていた。

  •  (中国人とされる)ハッカーが盗み出したのは何だと思う?

  •  中国もFlameを持っている可能性は?

  •  私は「安全」?

  うーん、よく考えても、それに対する一つの良い答えというものは無い。

  非常に複雑だ。(慣れるしかない。)

—————

P.S. どなたか、ノースロップ・グラマンが望ましいとする資格に、Metasploit、World Wind、Google Earthといった「セキュリティ調査」ツールの知識が含まれているのが気がかりだという方はいらっしゃるだろうか?

マン・イン・ザ・ブラウザ攻撃を説明する方法

  BBC Newsの番組「Click」が、2分間のビデオで、ZeuSなどのバンキング系トロイの木馬が、どのようにアンチウイルスソフトウェアによる検出を回避しようとするかについて、素人向けに非常に上手く説明している:

zeus animation
クリックして見る

震災情報を装ったウイルスメールの犯人を追う

東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!

JailbreakMe脆弱性に関するQ&A

Q: これは一体どういうことなのか?
A: 訪問するだけで、iPhoneやiPadのジェイルブレイクが行える、「jailbreakme.com」という名のサイトに関する問題だ。

Q: それで問題は何なのか?
A: 問題は、同サイトがデバイス上でコード実行するため、ゼロデイ脆弱性を使用していることにある。

Q: その脆弱性はどのように機能するのか?
A: 実際の所、これは2つの脆弱性だ。第1の脆弱性は、PDFファイルに埋め込まれた破損したフォントを使用して、コードを実行するもので、第2のものはカーネルにある脆弱性を試用して、サンドボックスされていないルートにコード実行を拡大する。

Q: このエクスプロイトを作成するのは、どの程度難しかったのか?
A: 非常に難しい。

Q: 現在流布している同エクスプロイトを誰かが修正するのは、どの程度難しいのだろうか?
A: かなり簡単だ。

Q: これは責任ある開示では無かったのか。
A: その通りだ。Appleは同脆弱性について知らされていなかった。

Q: このエクスプロイトを作成したのは誰か?
A: 「jailbreakme.com」のクレジットは以下の通りだ:「Jailbreak by comex, website by westbaer and chpwn. Special thanks go out to BigBoss, chronic, DHowett, MuscleNerd, planetbeing, posixninja, and saurik.」

Q: ではこれはiPhoneの問題なのか?
A: いや、これはiOSの問題だ。すなわち、これはiPhone、iPadおよびiPodに影響する。

Q: iPodも?
A: そう、iPod touchは影響を受ける。iPhoneのように見えるiPodだ。

Q: iPhone、iPad、iPod touchのどのバージョンが影響を受けるのか?
A: すべてだ。

Q: では、これは世界中のiPhoneユーザに影響を与えるのか?
A: その通りだ。

Q: でも、ジェイルブレイクしたiPhoneのみが危険にさらされているのかと思っていたのだが。
A: あなたは混乱している。ごく普通のiPhoneを含め、全てのiOSデバイスが危険にさらされているのだ。

Q: パッチは入手できるのか?
A: いいえ。

Q: えっ。ではパッチは公開されるのか?
A: Appleが、できる限りすぐに公開することが期待されている。

Q: それは確認されているのか?
A: 確認されている。Appleは2つの理由で、パッチを当てることを望んでいる。1つは、人々が自分のデバイスをジェイルブレイクしないようにするため、そしてもう1つはカスタマを潜在的な攻撃から守るためだ。

Q: PDF脆弱性はAdobe PDF Readerに影響するか?
A: いや。Windowsや他のプラットフォーム上のAdobe PDF Readerは、この脆弱性から影響を受けることは無い。

Q: 私のiPhoneのPDFリーダーはAdobe製のものか?
A: いや、これはApple製だ。そして独立したReaderアプリケーションは無く、PDFサポートはOSに組み込まれている。

Q: AppleとAdobeの戦い(Flashに関する)を考えると、これは少々皮肉な事態ではないだろうか?
A: ええ。

Q: 他のアプリケーションは脆弱か?
A: Foxit ReaderのいくつかのバージョンとFreeType2ライブラリにその可能性がある。ここを参照して欲しい。

Q: 今までに、この脆弱性を使用した悪意ある攻撃をどれくらい目撃したか?
A: ゼロだ。

Q: ということは、危険は無い?
A: 現時点では危険は無い。しかし、危険の可能性は大きい。

Q: この脆弱性を介して、iPhoneワームが広がることになるのは、いつ頃だと予測しているか?
A: 1、2週間以内だろう。

Q: このようなワームが私の電話に侵入するとしたら、どのような方法だろうか?
A: デバイスに悪意あるPDFファイルを開かせることが可能な、あらゆるメカニズムを通じてだ。我々は先日の記事で例を挙げている。

Q: では、悪意あるWebページも原因となり得るのか?
A: そうだ。あるいはメールの悪意あるPDF添付ファイル。ウェブリンクを含むテキストメッセージも。またTwitterやFacebookフィードのリンクなど、iPhoneでリンクをクリックすればそうなる。

Q: MMSメッセージを介して侵入する可能性は?
A: ありがたいことにノーだ。PDF添付ファイルは、iPhone MMSメッセージでは機能しないためだ。これは、非互換によるセキュリティとしても知られている。

Q: このようなワームは、どのように複製されていくのか?
A: これは、あなたの電話から、電話帳に記載されている全員宛に、それ自身をテキストメッセージとして送信することで、さらに複製されることになる。例えば。

Q: このようなワームは私の電話で何をするのか?
A: 何でもだ。このワームは、皆さんが自分の電話でできることは何でも実行することができる。だから、電話上の全データを破壊したり、盗んだりすることができる。あなたの居場所を追跡することも。あなたの友人にスパムを送信することも。電話での会話を聞くことも。世界中のすべての国々の大統領に電話することも。何でもだ。そして、皆さんは発生するすべての料金を支払うことにもなる。

Q: では、iPhoneユーザが身を守るためにすべきことは?
A: 慎重になることだ。そして公開されたらすぐに、パッチをインストールすること。

Q: iPhone上でアンチウイルスソフトを動作させるべきだろうか?
A: そうすべきだ。しかしそうすることはできない。

Q: できない? 何故できないのか?
A: なぜなら、iPhone用のアンチウイルスプログラムは存在しないからだ。

Q: 何だって?
A: iPhone用のアンチウイルスは存在しない。どのベンダからも入手できない。

Q: 何故?
A: 我々はAppleの援助無しには、アンチウイルスを製作できないからだ。

Q: 他にできることはあるだろうか?
A: もしあなたのiPhoneがジェイルブレイクされているなら、Chronic Dev Teamが製作した「PDF Loading Warner」アプリをインストールすることを考慮することも可能だ。我々は同ツールを推奨してはいないが、助けにはなるだろう。

Q: そのツールはどのようなものか?
A: 同ツールは、WebページがPDFファイルをロードしようとするたびに、有害か否かを警告する。

Q: 「PDF Loading Warner」アプリはどこで入手できるのか?
A: ここを参照して欲しい。

Q: つまり、私の電話をジェイルブレイクし、PDF Warnerをインストールする方が、より安全だということだろうか?
A: そう、言ってみればそうだ。

Q: でも、ジェイルブレイクすると、私の電話を他のセキュリティ上の危険にさらすことにならないのか?
A: そう、そういうことになる。我々はいかなる理由であれ、自分達のデバイスをジェイルブレイクすることを推奨しない。例えば、これまでに我々が目撃した唯一のiPhoneワームは、ジェイルブレイクしたデバイスにのみ感染した。これらは、SSHサーバをインストールする必要があり、デバイスの持ち主がルートパスワードを変更していないと仮定する必要があったのだが。

Q: ではあなたは私のiPhoneのルートパスワードを知っているのか?
A: もしあなたが変更していないのなら、それは「alpine」だ。

Q: ということは、変更した方が良いのだろうか?
A: そうだ。これはjailbreakme脆弱性とは関係無いのだが。やり方は、2009年の記事を参照して欲しい。

Q: 他に何かできることはあるだろうか?
A: ニュースに注意することだ。この脆弱性を介した攻撃が起きた場合には、我々は皆さんに、防御のためのより具体的なインストラクションを提示することができるだろう。「News from the Lab」ブログおよび我々のTwitterフィードに注目していて欲しい。

New Gumblarとその亜種に関する注意喚起

JSOCの観測によると、Gumblarの感染台数が増加しているとのことです。アンチウイルスソフトウェアによる検体検知率は、現在のところ著しく低いとのこと。

確実に感染事実を把握するためには、次のリクエストが無いか確認した方が早そうです。
216.45.48.66
195.24.76.250
67.215.246.34
67.215.238.194

参照URL
http://www.lac.co.jp/info/alert/alert20091119.html

また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。

twitterに追加情報が出るかもです!
http://twitter.com/lac_security

サモア地震便乗型悪質サイト

29日(現地時間)に南太平洋のサモア近海で発生した地震に便乗した悪質サイトが多数発見されています。検索エンジンの検索結果上位に表示されるため注意が必要です。下の画像は検索結果からアクセスした際に表示された悪質サイト。偽アンチウイルスソフトのページです。
samoa-fakeav
 
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード