エフセキュアブログ

エラー を含む記事

これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

スケアウェアと「スケアリー」な詐欺とは別物

  コメントすべき2つの大きなニュースがある。

  最初の物はこれだ:公正取引委員会の訴訟が「スケアウェア」マーケターに対して1億6300万ドルという結果に。

FTC, Winfixer

  被告のKristy Rossは2008年、米公正取引委員会の訴訟に関与していた:法廷が偽のコンピュータスキャンを停止。

  彼女のボーイフレンド「Sam」Jainは現在も逃走中だ:

Sam Jain

  Jainに関する詳細は、2011年6月の記事で読める。

  確かに重要な判決ではあるが、Rossは過去のスケアウェアベンダの一人であることを考えて欲しい。

  以下は、今日の事例が見られるサイトだ:S!Ri.URZ

  そして第2のニュースは:

  10月3日、オーストラリア、カナダ、英国、米国の政府機関が新たな「ウィルス詐欺」に対する措置を発表した。以下は公正取引委員会のリリースだ:公正取引委員会、大規模テクニカルサポート詐欺を停止

FTC, Pecon

  素晴らしい仕事だ! しかし、停止したものに対する若干の混乱があるようだ。一部のニュースネットワークは、今回の措置を10月2日のものと混同している。おそらく公正取引委員会の委員長Jon Leibowitzが、以下のように述べたためと思われる:

  「本日我々が話題にしているテクニカルサポート詐欺師たちは、スケアウェアにより新たなレベルのバーチャルな混乱をもたらした。」

  うーん…いや、そんなことは無い。テクニカルサポート電話詐欺に関係する「ウェア」(マルウェア)は無い——それは純粋なソーシャルエンジニアリングだ。彼はスケアウェアという言葉を使用するべきではなかった。

  テクニカルサポート電話詐欺に含まれるのは以下の物だ:コールセンタから電話する人びと;受信者に「IPトラフィック」もしくはその他のナンセンスが、彼らのコンピュータがウイルスに感染していると示していると告げる;「それをクリーンにする」ためリモート接続を作成する;無料もしくはトライアルセキュリティソフトウェアを彼らに販売する。

  これはソーシャルエンジニアリング詐欺であり、そこにスケアウェアは存在しない。

  より良い理解のために、ESETによるこのVB2012文書をお勧めする:私のPCに32,539のエラーがある:電話サポート詐欺は実際いかに機能するか[PDF]、David Harley(ESET)、Martijn Grooten(Virus Bulletin)、Steven Burn(Malwarebytes)、Craig Johnston(独立系研究者)。この論文は当初、2012年9月にVirus Bulletin Conferenceで発表された。

  そしてもし、テクニカルサポート詐欺の発信者たちを知らせている人びとに話を聞きたいならば…

Googleのテクニカルサポート電話詐欺の検索結果

Google, tech support phone scam

NYT:オバマの命令がイランへのサイバー攻撃の流れを加速

  こちら:

Olympic Games, Stuxnet, Obama

  New York Timesから:

  「…イランのNatanzプラントからエスケープすることを可能にし、インターネットで世界中に送信されたプログラミングエラーが原因で、2010年の夏、同プログラムの構成要素がはからずも公になった。」

  プログラミングエラーがStuxnetをインターネット上に開示した?

  わぁ。それに感謝する。

疑問:アンチウイルス業界および影響を受けた顧客は、成された副次的損害の請求書を誰に送ればいいのだろうか?

ビデオ:Angry Birds Space トロイの木馬&ドライブバイAndroid

  月曜日、我々は第1四半期のモバイル脅威レポートをリリースし、その中で「約束を果たす」モバイル版トロイの木馬の数が増加していることを指摘した。それは何を意味しているのだろうか?

  過去には、モバイルマルウェアはエサとして「無料」のモバイルWebサービスなどを提供することが多かったが、インストール中、トロイの木馬はある種の囮となるエラーメッセージを示した。

  その時点で、トロイの木馬をインストールする人々は、通常、不審に思うか、問題を解決するため、答えを探そうとする。その結果フォーラムで、自分たちが実際にインストールしたのはトロイの木馬であるという回答を得ることになる。最近は、コンピュータおたくで無くても、スマートフォンを持っており、エサはかなり多様だ。

  囮メッセージは無い。「エサ」は実際に機能する。

  以下は、トロイの木馬がRovioの「Angry Birds Space」のワーキングコピーをインストールし、電話に障害を引き起こすトロイの木馬のビデオだ。



ビデオ:トロイの木馬化されたAngry Birds Space

  そう、問題解決とは比べものにならない…それにコンピュータおたくで無い人のどれだけが、自分たちに約束されたものが疑わしいことに気づくだろうか? 何者かが彼らの電話に障害を引き起こしながら、当人達が気づかないという可能性はかなりある。

  Androidマルウェアは明らかに進化している。

  以下は第2四半期中に進化した物の簡単なプレビューだ:



ビデオ:ドライブバイAndroidマルウェア

Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

ZeuS:いつか素晴らしいフィンランド語話す

  二、三ヶ月前、ここ、フィンランドであまりにも礼儀正しいZeuSの亜種が出回った。フィンランド語のローカライゼーションはかなり良かったのだが—エラーメッセージ内に「Suo anteeksi」を使用しており…これはソフトウェアではあまりお目に掛からないものだった。

  我々はZeuS亜種内で(フィンランド語だけでなく)適切なローカライゼーションを確認し続けている。あきらかに、悪党連中の一部は、我々が以前は予想していたローカライゼーションレベルであるGoogle Translateから進化している。

  しかし悪党はまだ基本的な間違いをおかしている。ZeuSのある亜種(現在出回っている)には、ローカライズ版でフィンランド人の名前が含まれている。「Welcome Bank Customer」と述べるのではなく、このトロイの木馬は「Welcome 誰それ」と、人名を表示しているのだ。

  以下は、標的とされている銀行の一部だ。

zeus configuration, bank list

  Javaアプリケーションを使用する銀行向けに、このZeuSは入れ替えを試み、アプローチを模倣しているように見える。(我々の分析は進行中だ)

  コンフィギュレーションファイル(スクリーンショットはそこからとられた)をホスティングしているサーバはオフラインとなっているため、この亜種は感染可能だが、そのCommand & Controlサーバの位置をダウンロードすることはできない。残念ながら、先週感染したコンピュータはみな、多くの重複したサーバ名を含むコンフィギュレーションファイルをダウンロードする。

  しかし幸いなことに…過去に我々が協力した銀行の大部分が、バックエンドシステム上で広範なトランザクション制御を行っている。よって、ZeuSトロイの木馬が感染したコンピュータで誰かのアカウントから資金を移動するのは、それほど単純なことではない。

  最良のアドバイス:感染を避けるため、コンピュータソフトウェアをアップデートすること。また、無計画にWeb検索を行わないことだ。ネット上には、障害が起きたサイトが数多くあり、何かを検索する際に罠に落ちる可能性が高い。

  感染してしまった人への最良のアドバイス:パニックを起こしてはいけない。オンラインバンクアカウントに、何かいつもと違ったところがあったら、悪党をブロックするのに遅くはない。銀行のカスタマサポートに電話すれば、手を貸してくれるだろう。








Suo Anteeksi:ZeuSの丁重な亜種

  フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko








「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

OpFake:「Spitmo」とコードをシェアするプレミアム料金SMSトロイの木馬

  今年我々が分析した中で、興味深いものの一つに「Spitmo」がある。「SpyEye in the mobile」を省略したものだ。

  悪名高いBanking Trojan「SpyEye」のいくつかのバージョンが、コンピュータベースのマン・イン・ザ・ブラウザ攻撃に対するモバイルベースの防御である「mTAN」に直面すると、反撃が提供された。それが認証プロセスを回避するモバイル版トロイの木馬「Spitmo」だ。

  これは巧妙なテクニックとコードを使用する、かなり興味深いクロスオーバー攻撃だ。

  だから、エフセキュアのアナリスト2人が最近、自分達が開発した新しいSymbianオートメーションを動作させた時、彼らが最初にしたことはそれに「Spitmo」を入れることだった。そして結果は非常に驚くべきものだった。

  我々の新しいシステムは「Spitmo」とコードを共有している54種のサンプルを発見したが、Spitmoはなかった。これら「Spitmo」の「いとこ」たちは、ロシアの携帯電話ユーザ(ロシアのSMSショートコードを使用する)を標的とする、プレミアム料金SMSトロイの木馬だ。(笑)我々
はこれらのトロイの木馬を「OpFake」と名付けた。インストーラが「Opera Mini」(OperaUpdater.sisx)だと主張するためだ。

  しかしこれは話の一部にすぎない。

  OpFake Symbianバイナリを分析した結果、我々はIPアドレスを発見し、そのアドレスを検索すると、5000以上のサブフォルダを含む公開フォルダを介して、「OpFake」のWindows Mobileバージョンにもアクセス可能なサーバがオンラインであることが分かった。各サブフォルダは暗号化された固有のコンフィギュレーションファイルを含んでいる。これらのフォルダは、Symbianフォルダにアクセスできないため、コンフィギュレーションエラーが原因で可視の状態なのでないかと思う。

OpFake:「Spitmo」コンポーネント、Symbian、Windows Mobile(おそらくは他のOS?)、プレミアム料金SMSメッセージを使用… 誰かがサンクト・ペテルブルグにあるサーバから、かなり先進的なオペレーションを実行している。

  同サーバのIPアドレスはCERT-FIに報告された。

  「OpFake」バイナリの技術的な分析とサーバのフォルダ構造の詳細は、明日掲載する。

「DroidKungFu」がアップデート攻撃を利用

  我々は昨日、新たな感染ベクタを使用するとおぼしき「DroidKungfu」サンプルに関する簡単な記事を投稿した。

  お約束通り、より技術的な詳細をご紹介する。

DroidKungFu, Chinese market

  我々が分析しているアプリケーションは「com.ps.keepaccount」という名で、そのコンテンツをざっとチェックしたところ、二、三のことが明らかになった。

  最初に見たところ、オリジナルのアプリケーション(SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54)に「DroidKungFu」の痕跡は無い。

DroidKungFu, Original install
  コンテンツとインストールのパーミッション

  いったんインストールされると、同アプリケーションはユーザにアップデートが入手可能だと知らせる。そしてユーザがこれをインストールすると、アップデートされたアプリケーションは、「DroidKungFu」マルウェアで発見されたのとよく似た追加機能を獲得する。

  以下のスクリーンショットは、アップデートプロセスで何が起きるかを示している:

droidkungfu_update1droidkungfu_update2droidkungfu_update3

droidkungfu_update4droidkungfu_update5

  オリジナルバージョンと比較して、アップデートされたアプリケーションは、SMSおよびMMSメッセージと、デバイスのロケーションにアクセスできるよう、さらに2つのパーミッションを要求した。

  パーミッションの違いは、アップデートが悪意あるものかどうかを見分ける最良の方法ではないかもしれないが、それでもアプリケーションのアップデートが、別のパーミッションを要求しているかどうか、注意し、疑ってみることは良い方法だ。

  さらに重要なのは、アップデートされたアプリケーションは、ルート権限を得るためにエクスプロイトを使用し、それによりさらに意図せぬ行為が遂行される可能性が生じることだ。

  最後のスクリーンショットで、同アプリケーションが突然停止したことが示されている。これはおそらく、この「DroidKungFu」の亜種がまだ「Android OS version 2.2」用のエクスプロイトを使用しており、テストした端末は「Android OS version 2.3」を使用しているためのエラーが原因だろう。

  以下は、アップデートされたアプリケーションのソースを示す、アップデートプロセス中のパケットキャプチャだ:

droidkungfu_packet_capture

  「SHA-1: 7cd1122966da7bc4adfabb28be6bfae24072c1c6」でアップデートされたアプリケーションのコンテンツのクイックビュー

droidkungfu_encrypted_apk

  この「init.db」ファイルは、実は「DroidKungFu」のスタンドアロンコピーで、データベースファイルではなく、ルート権限を獲得するとアプリケーションがインストールする暗号化されたAPKファイルだ。

  このアプリケーションが実際「DroidKungFu」であることを確認するため、コードを見てみよう:

droidkungfu_verify

  「WP」は、ASCII表示である解読のためのキーで、コンバートされると「Deta_C1*T#RuOPrs」になる。

  更に検証を行ったところ、このアプリケーションが実際に「DroidKungFu」の亜種であることが分かった。我々はこれを2011年8月18日から、「Trojan:Android/DroidKungFu.C」として検出している。

  サンプル(アップデートの前と後の両方)の検証カバレッジをVirusTotalでチェックしたところ、以下の結果が得られた。自身を「DroidKungFu」にアップデートするオリジナルのアプリケーション:

droidkungfu_old_vtscan

  そしてアップデートされたアプリケーション:

droidkungfu_updated_vtscan

Threat Solutions post by /mdash; Zimry, Irene and Yeh

—————

10月25日の追記:この記事は、スクリーンショットに関連する詳細を修正するため、編集された。すなわち、最初の数パラグラフは、このトピックが昨日の記事に関連していることをハッキリさせるため書き直され、リンクはスクリーンショット付きでVirusTotalのスキャンレポートに置き換えられた。

新たなAndroidリスクウェア

  我々は中国の領域の加入者を対象とする、いくつかのAndroidリスクウェアアプリケーションに遭遇した。

  これら疑わしいアプリケーションは、星占い、農場、ペットゲーム/情報および太陰太陽暦などを含む、さまざまなトピックをカバーしている。以下は、これらアプリケーションの一つが要求するパーミッションのスクリーンショットだ:

Riskware:Android/MobileTX.A Permissions

  しかし、アプリケーションの中には、自称している通りの物のようにはとても見えず、結局クラッシュしてしまう(おそらくプログラミングの不備)物もある:

Riskware:Android/MobileTX.A, Force close

  しかし、クラッシュする前に(そしてたいていの場合実行の直後に)、アプリケーションは携帯電話の移動加入者識別番号(IMSI)を取得し、リモートサイトに接続しようとする:

  •  http://mobile.tx.com.cn:[...]/client.[...].do
  •  http://mobile.tx.com.cn:[...]/client/[...].do

  アプリケーションは電話のIMSIが既に存在するかどうかをチェックする(執筆時には、同リモートサイトはまだアクセス可能だった)。

  リモートサイトにアクセスできなければ、あるいはサイトが何らかの理由でエラーレスポンスを返すと、アプリケーションはSMSメッセージを送信し続ける。

  SMS送信コンポーネントはまず、その電話の加入者IDを確定し、次に獲得した情報に従い、メッセージを送信する別の受信者ナンバーを選択する。

  SMSの本文には、以下のフォーマットが含まれる:

  •  99# [ IMSI ]#android#[ app_specific_string ]

  今のところ、我々は同アプリケーションの挙動が意味するところについて調査している段階だ。これはサービスに対する不正なSMS登録の新たな事例かもしれないし、そうではないかもしれないからだ。とは言え、アプリケーションがユーザの気づかぬところで、電話のIMSI IDでSMSを自動的に送信するという事実は、あまり望ましいものではない。

  これは料金が発生する可能性ばかりか、電話の番号を識別されてしまうことを意味している(相手方がメッセージを受けとった場合)。

  我々はこれらのアプリケーションを「Riskware:Android/MobileTX.A」として検出している。

Threat Solutions post by — Jessie, Irene and Yeh

世界で起こるサイバークライム

本ブログでも紹介された「Fatal System Error」の翻訳本が10月にいよいよ発売になります。私は監修者として参加し、日本でのサイバー犯罪の状況、ソニー事件等について加筆して、タイトルを「サイバー・クライム」として出版することになりました。捜査機関がサイバー犯罪組織に乗り込み、逮捕に至るまでを記したノンフィクションです。

fse
原書「Fatal System Error」

サイバー犯罪といえばロシア、中国が話題に上がりますが、その理由の一端を本書を通じて知ることができるでしょう。映画のようなストーリーが繰り広げられますが、すべて実際に起こった事件です。

私は日々のサイバー犯罪対応の現場から見た、日本でのサイバー犯罪に関連する記事を巻頭と巻末に寄稿しています。本編で紹介されているようなサイバー犯罪は決して対岸の火事ではないということを感じていただけると思います。

ちなみに、原題である「Fatal Sytem Error」(致命的なシステム・エラー)のもともとの由来はWindowsで発生するエラー(いわゆるブルースクリーン)のことですが、同じような致命的なエラーはいたるところに存在しているというのが著者のメッセージです。

bluescreen
Windowsで起こるFatal System Error

britishbleuscreen
イギリスの空港にて

koreanbluescreen
韓国の地下鉄にて

「Facesnoop」は本当にFacebookアカウントをハックするのか?

  今週我々は「Facesnoop」というハックツールに遭遇した。

  作者はこのソフトウェアをプロモートするのにYouTubeビデオを使用している。

Facesnoop YouTube

  「Facesnoop 2」は最近リリースされたようで、動作させる「実際の(ACTUAL)ビデオプルーフ」を有していると主張している。

Facesnoop 2 YouTube
  (「ACTUAL」は「actual」よりも優れているのに違いない。)

  このビデオは、Kristenという名の若い女性が所有しているアカウントの「ハッキング」を示している。

Kristen

  Kristenはソックパペットアカウントだと思われるので、プロフィール画像はぼかした。

  「Facesnoop」ビデオを見て、ダウンロードすることにした場合、あなたは「ShareCash.Org」のWebページに導かれ、そこで「Cost Per Action(CPA:成果報酬型)」アフィリエイトマーケティングサーベイに記入を行うよう促されることになる。(多くの一般的CPA被疑者からのオファー。これが「Facesnoop」で作者が収益を上げる方法だ。)

  しかし問題がある。

  「Facesnoop 2」をローンチすると、以下のようなことが起きる:

Facesnoop GUI, error

  「Net Framework 2.0 missing library」があると称する、「Unhandled Access Violation」Exceptionが表示されるのだ。多くの人がここで「Check For Updates」ボタンをクリックし、さらなるCPAサーベイに記入するよう要求するWebページを開くことになる。

  「Facesnoop」のFacebookページには、これに関する苦情がいくつかある。

Facesnoop Facebook Page
  (まじめな話、Facebook Page上で動作できない「Facebook」ハックツールに、誰が苦情を言うのだろう???)

  「Facesnoop」の作者は新たなページを作成し、苦情がさらされるのを避けるべく、Infoタブをオープンしている。

Facesnoop Facebook Page

  しかし、このエラーについて苦情を述べている人達は皆、本当に驚くべきなのだろうか…

  同実行ファイルのプロパティを調べれば、これが機能しないよう設計されたことが分かる。

Facesnoop 2.exe Internal Name

  見て欲しい。このファイルの「Internal Name」は「Facesnoop 2 error.exe」だ。

  これはハックツールではない。詐欺ツールだ。

  実行ファイルのコードで、詳細を見ることができる:

Facesnoop 2 Hiew
(SHA-1: 2862de8e506414589b923f8faa49bf8fc81238e2)

E:\Nicolas\Code\fn2 error\Facesnoop 2 error\…

  Nicolas? うーん、以前どこかでこの名前を見ただろうか?

  そうそう、最初のビデオのソックパペット被害者はHayleyだった。

Hayley

  そしてHayleyのアカウントには、Nicolasという名の友人がいる。

Nicolas

  そしてNicolasのアカウントは、偶然にも「Facesnoop」を「like」している。ハックツールの作者自身なのだろうか?

  はっきりとは分からない。

  我々に分かっているのは、実際にNicolasが誰なのであれ…彼があなたをカモだと考えている、ということだ。








「F-Secure Mac Protection」ベータの問題

Mac beta

  Mac OS Xソフトウェアのベータ版「F-Secure Mac Protection」が昨夜、重大な誤警報を発した。

  データベースアップデート「2011-03-14_03」が、「Exploit:W32/NeosploitPDF.gen!A」「Exploit:JS/Brooks.gen!A」という検出名により、クリーンなファイルでいくつかの誤警報を引き起こした。問題のあるアップデートは2時間後に除去された。同アップデートを受けとったベータユーザは、クリーンなファイルがいくつか、ゴミ箱に移動されたのを目撃している。

  この問題は、Mac OS X ベータ版(テクノロジプレビュー)のユーザに影響を与えたのみだ。エフセキュアのWindowsおよびLinux製品には、どんな形であれ影響は無かった。

  我々はただちに、ファイルをゴミ箱から元の場所に戻すスクリプトをリリースする予定だ。もしこの問題の影響を受けたのなら、それまではゴミ箱を空にしないで頂きたい。ディスカッションについては、我々のフォーラムを参照して欲しい。

  明らかにこれは好ましいことではない。我々のこのエラーにより影響を受けた方々に、お詫び申しあげたい。

追記:我々はファイルを元の場所に戻すツールをリリースした。同ツールはここからダウンロードできる。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

ASP.net情報公開脆弱性用のパッチを公開

  Microsoftが、ASP.NET「情報公開」脆弱性に対する、定例外のセキュリティ情報(MS10-070)をリリースした。

  同脆弱性のショートバージョンは、それを利用することで、攻撃者がデータを閲覧するか、損なうために使用できる可能性のある情報を含む、予期せぬエラーメッセージを生成する。

  速報によれば、ASP.netプラットフォーム上で動作している全てのアプリケーションは脆弱だという。Microsoftが同脆弱性に対する、現在の限定的な攻撃について気づいていることも示している。

  SANSはこの脆弱性について、彼らのInfoCon Alertをグリーンからイエローに変更し、「この問題およびパッチに注意」するよう呼びかけている。SANSブログの告知は、同攻撃に関するより詳細な解説にもリンクしている。

  詳細については、我々の脆弱性レポートを読むか、できればMicrosoftサイトに行き、アップデート(MS10-070セキュリティ情報)を入手して欲しい。

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード