エフセキュアブログ

スキャン を含む記事

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

パフォーマンス上のクリティカルパス

 人々が信じていることとは違って、我々はこのラボでリバースエンジニアリングとマルウェアの分析だけを行っているのではない。それどころか、おそらくはコードを分析する人よりも書く人のほうが多くいる職場だ。当社では今まで、作業についてはほとんどブログで取り上げてこなかったが、これを変えたいと思っている。この取り組みを開始するために、当社のWindows保護コンポーネントの開発者たちの生活をちらっとお見せしたいと思う。

 我々は、ある変更作業をちょうど終えたところだ。当社のソフトウェアを実行しているWindows 10システムの起動時間に改良を加え、また選択したWindowsアプリケーションの開始時間に良い影響を与えるものだ。これら改良点はローエンドのシステムで特に顕著になる。これを行う過程で、RAMがわずか1 GBしかない32ビットWindows 10機で、当社のSAFE製品が快適に動作するようにこぎつけた。スペックを考えると悪くない。

Low-end tablet
SAFEはこのちっぽけな機器でなかなか快適に動く

 あらゆるコードやロジックの変更、当社のコンポーネントに加える機能のすべてが当社製品のパフォーマンスに影響を与える可能性がある。したがって膨大なパフォーマンステストを実施していることは言うまでもない。顧客にリリースする前に、すべてのデータベースのパフォーマンスを確認している。社内に24時間毎日稼働する大掛かりな自動パフォーマンステストシステムを保有している。これは当社の全製品の内部・ベータ・プロダクションのそれぞれのビルドに対し、Windowsのさまざまなバージョンで使われるものだ。また外部のアンチウィルス製品のテスト企業によって発表されるパフォーマンス結果の情報も綿密に追っている。

 当社では、数多くのシナリオの下でソフトウェアをプロファイルする時間を頻繁に確保している。シナリオは自社で定義したものもあれば、Windows Assessment Kitで規定されたものもある。我々はテストを実施し、可能な限りすべてのメトリクスを収集してから、Windows Performance AnalyzerやWindbgで出力データの調査を行う。時折このデータをすべて掘り下げることで、除去することで最適化可能なボトルネックに到達する。

Jose's performance testing setup.
最先端の分析技術 + 古風な電話機 == 成功

 当社の振る舞い分析エンジンDeepGuardでは、最近の最適化を相当数見ることができる。我々が適用した大きな変更の1つは、ハッシュ計算を扱うために使用するコードのリファクタリングだ。Intel VTuneを用いて、我々は既存のハッシュアルゴリズムを分析し、CPUパイプライン内で失速する部分を探した。発見に基づき、こうした計算を実行するアセンブリコードの再調整を行い、使用されるCPUサイクル数の大幅な削減につながった。以下のスクリーンショットで確認できるとおり、今回の変更により我々は相当なパフォーマンス向上をなんとか絞り出した。

CPU benchmarking tool
アセンブリコードを書きたいなら、この仕事は気に入るだろう

 パフォーマンスの向上は、当社が繰り返し追及していることだ。当社で常に取り組んでいる点を、以下に挙げる。

ホワイトリストの改良

 クラウド内を検索したり、スキャンエンジンにかけたり、クライアントサイドの分析コンポーネントを通じて実行したりする必要がなければ、どのファイルもユーザエクスペリエンスの向上につながる。アプリケーションの起動が早まったり、ファイル操作が早まったり、ブラウジング体験が向上したり、だ。

古く重複する検知の除去

 当社の検知の大半は合理的であり、数千のサンプルにヒットするように設計されている。当社で新たにより良く検知するように開発する際に、より古い検知が持つのと同じサンプルを新バージョンで捕捉するのを発見することがある。このような場合には、古い検知を削除することで、パフォーマンスの小さな改善が得られる。OSとソフトウェアは古い攻撃に対するパッチが当てられているので、マルウェア作者は犠牲者を感染させるための新たな方法を探らねばならない。最終的には絶滅するマルウェアもある。このような場合には、それに応じて検知を削除する。

バグの発見と修正

 バグのないコードは無い。いつも変わらず、バグを見つけては修正している。かつては捉えられなかったバクを特定する新たな方法を定期的に発見しており、顧客ベース全体でのクラッシュについてうまく可視化するシステムを保有している。時折、パフォーマンスに打撃を与えるようなバクを発見し、修正することがある。この瞬間はいつでもお祝いだ。

クリティカルパスの最適化

 スキャンするロジックは複雑で、年がら年中ロジックを変更して、顧客の問題を解決したり、新製品の機能をサポートしたり、OSに対する変更をサポートしたり、あるいは使用されない機能を外したりしている。ほぼ常にスキャンのロジックについて作業している。その間、効率化する方法を模索している。

 エンジニアリングの面でラボにて起こっていることの小さな断片を覗くのが興味深いものであったら良いのだが。

 では。
 Andy

 (訳注:アンケートフォームは原文の記事へ)

ブルートフォースパスワード攻撃を発端としたFlashリダイレクタの事例

 「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

保険はかけても鍵かけず

これは、実在する人物が現実に金銭的被害に遭った、サイバー防御関連の事件についてお伝えするシリーズの第2回目です。

cartoon
 
ピーターは、「今日はものすごく退屈な日になるだろう。シフトが終わるのが待ちきれない」と思いながら出勤しました。しかし、これは大きな間違いでした。「Policy 2014」というたった1つの不適切なパスワードが、彼が勤務する保険会社を大混乱に陥れることになるのです。

ピーターは2年前から、年中無休24時間営業のセキュリティセンターで働いています。ITセキュリティ専門家である彼は、すべてを見てきたと思っていました。この幻想は、電話を取った瞬間に砕け散りました。

「大変なことになった。顧客を次々に失っている!」受話器から悲痛な声が聞こえてきました。ピーターは話を聞き続けていましたが、それが自分とどう関係するのか分かりませんでした。「誰かが会社の販売システムをハッキングしたとしか思えない!犯人は契約がもうすぐ切れるお客様に電話をしている。こっちが電話するよりも一足先に顧客にコンタクトを取っている」と、電話をかけてきた人は訴えました。深刻な状況であることはだんだんと分かってきたものの、まだ混乱していました。販売システムはセキュリティを向上するために最近更新されたばかりでした。

当初、販売担当者向けのオファーを作成したスタッフが情報を漏洩したのではと疑われました。彼らがシステムへのフルアクセス権を持っていたためです。しかし、システムを詳細にモニタリングしたところ、この疑いに根拠がないことが証明されました。しかし、まったくの偶然で手がかりが見つかりました。誰かが休暇中の従業員のアカウントを使用して、社内販売システムにログインしようとしたのです。この事態にすぐに対処する必要がありました。

ピーターは、販売担当者のアカウントを使用してシステムに侵入された正確な時間と場所を特定する必要がありました。このために、自ら設計したネットワークモニタリングシステムを使用しました。残念ながら、それでも問題を突き止めることはできませんでした。システムをスキャンする度にログインの場所が変わったのです。さらに、これらの場所の多くは相互に何マイルも離れた場所にありました。次に、ピーターは探偵のような考え方をすることにしました。ハッカーを罠にかけることにしたのです。

彼は、契約期間が間もなく切れる架空のクライアントプロファイルを作成しました。販売担当者がちょうど5日後に電話をかけることになっていました。ただし、クライアントのプロファイル詳細に自分の電話番号を入力したのです。ハッカーが罠にかかるまで3日しかかかりませんでした。電話で2分間会話したら、すべてが明らかになりました。このミステリアスなハッカーは、ピーターの会社が保険販売の契約を締結した販売代理店の従業員だったことが判明したのです。最近、この代理店を通じた保険の売上げが増加したことが明らかになったことからも、この疑惑は裏付けられました。捜査の結果、IT部門の社員がハッキングに便宜を図ったことが判明しました。彼が告白したところによると、販売システムはいつも同じ一時パスワード(「Policy 2014」)を使用しており、それを変更する人はほとんどいませんでした。これを使うだけで、カスタマーアカウントのデータを取得できたのです。

やっと事態が収拾されました。販売システムのセキュリティが強化され、販売スペシャリストはデータおよびパスワードの保護技術について適切な研修を受けました。しかし、会社はイメージダウンを被りました。この事件を機密にしようと手を尽くしましたが、多くのクライアントが、自分の個人データの安全性について懸念を募らせることになりました。それでも、最も苦しんだのは販売手数料が減った営業担当者でした。

>>原文へのリンク

エフセキュア、全国の自治体のマイナンバー制度対応状況を調査

エフセキュアが全国の自治体の情報セキュリティ担当者を対象に実施したアンケートの結果により、マイナンバー制度への対応が完了している自治体は8%に過ぎないことがわかりました。このアンケートは、2015年5月13日から6月8日の期間に全国749の自治体に対して、電話によるヒアリング形式で行われ、655の自治体から回答をいただきました。このうち「マイナンバー制度への対応が完了している」と回答いただいた自治体は54でした。

昨今、日本でも100万人以上の個人情報が流出する事案が発生するなど、マルウェア感染に起因する個人情報漏洩が大きな問題となっています。エフセキュアでは、マイナンバー制度の運用開始に向けて、特に自治体での安全な運営の支援を目的として、PCやサーバでのサンドボックスによる未知のウイルスを含む検知性能の向上を提唱し、「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開しています。本キャンペーンでは、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウントしています。

「エフセキュア 公共ライセンス プレミアム」には、下記のエフセキュア製品のライセンスが含まれており、PCやサーバのようなエンドポイントのみならず、ゲートウェイ・セキュリティも含まれる、導入し易い包括的なスイート製品です。

  • エフセキュア クライアント セキュリティ プレミアム
  • エフセキュア Windows サーバセキュリティ プレミアム
  • エフセキュア Microsoft Exchange & XenAppセキュリティ プレミアム
  • エフセキュア アンチウイルス Linux ゲートウェイ
  • エフセキュア Linux セキュリティ フルエディション
  • エフセキュア Linux セキュリティ コマンドラインエディション
  • エフセキュア 仮想スキャンサーバ
  • エフセキュア ポリシーマネージャ

「エフセキュア 公共ライセンス プレミアム」は、Windows、Windowsサーバ、Linuxサーバを対象プラットフォームとするスイート製品で、サンドボックス技術のみならず、パッチ管理の自動化による脆弱性対策機能や、集中管理ツールによる可視化など、マイナンバー制度運用に際して求められる強固なセキュリティ機能を備えています。

「エフセキュア 公共ライセンス プレミアム」に含まれるPC向けのソリューション「エフセキュア クライアント セキュリティ」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力を備えており、自治体のお客様はコストパフォーマンスの高い対策を実現することができます。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

デルのSystem Detectにリモートコード実行の危険性

 つい先日、ジャーナリストのJohn Leydenが我々に連絡を寄せ、Tom Forbesによる脆弱性の調査について我々の意見を求めてきた。Forbesの調査は、デルの「System Detect」ユーティリティがリモートコードの実行を許してしまう欠陥に焦点を合わせたものだ。同氏は昨年11月に調査結果を発表しており、デルは1月に(先週にも再び)この問題を改善した。

 しかしながら当社の見立てでは、重要な問題が残っている。

 このソフトウェアの以前のバージョンでは自己更新を行わないため、多数の脆弱なコンピュータが世の中に残存したままなのだ。時間と共に、当社の顧客達がさまざまなバージョンのSystem Detectを何十万回もスキャンしてきている。非常に普及しているソフトウェアなのだ。ここ2週間の当社の顧客を基にした統計だけでも、おおよそ10万人の顧客がSystem Detectについてレピュテーションチェックの問い合わせを行っていることが見て取れる。現在のところ、最新版を実行しているのは当社の顧客の約1%だけだ(バージョン6.0.14。以下のグラフの赤で示される部分)。

Dell System Detect, F-Secure customer install-base

 System Detectの古いバージョンでは、サービスを自動的に開始する実行キーをレジストリに作成する。つまり、デルのサポートサイトを訪れるとき以外は不要なソフトウェアなのに、継続的に脆弱なバージョンが動作し続けていることになる。なお、最新版の6.0.14では実行キーを作成しない。

 以前のバージョンのSystem Detectを侵害するのは、非常に容易だ。必要なのは、「dell」という文字列を含むドメイン名のURLにターゲットが訪れることだけだ。それがURLのどの部分になるかの正確なところは、ソフトウェアのバージョンによって異なる。

 我々はForbeの調査結果と、System Detectの3つのバージョンを実行した当社自身のブラックボックステストの結果を用いて、ネットワークトラフィックを観察し、また同じトラフィックを少し変更して再生した。そして、古いバージョンのSystem Detectを使って、標的のマシンでcalc.exeを起動できることを確認した(つまり、リモートコード実行だ)。

Dell System Detect 5.4.0.4

 バージョン5.4.0.4については、refererフィールドのURLのドメイン部分に「dell.com」が含まれていなければならないが、「www.notreallydell.com」も許容するので、脆弱性のレベルが非常に高い。

notreallydell.com

 バージョン6.0.9は、Forbesがデルに問題を報告した後にリリースされた。このバージョンでは、ドメインに「.dell.」が含まれる必要がある。これもまた「a.dell.fakesite.ownedbythebadguys.com」を受け入れるので、Webベースの攻撃に対しては同じレベルで脆弱である。

 現行のバージョンの6.0.14ではドメインが「*.dell.com」であることが求められる。これにより、特に自動起動の回避と組み合わせれば、問題にだいたい対処していることになる。インストールしなければならないバージョンがあるとすれば、これがそうだ。

 もちろん古いバージョンは可能な限り迅速にアンインストールすべきだ。

support.dell.com

 HTTPSが有効なダウンロード用のリンクは、ここである。

 当社では、顧客を保護するために必要になるであろう、さらなる問題点や活動を調査し続けていく。

悪意あるDNSサーバがFareitを配信する

 昨年、当ブログにて、Fareitが大量のスパムメールで送られていることについて書いた

 2か月後、感染系統に別の手段が追加された。悪意あるDNSサーバを経由させるものだ。

 そのDNSサーバではFareitが使用する悪意あるサーバを指すように設定が書き換えられていて、無防備なユーザが一般的なWebサイトを訪れようとすると警告を出す。曰く「
WARNING! Your Flash Player may be out of date. Please update to continue.(警告。このFlash Playerは古い可能性があります。先に進むには更新してください)」だ。

_flash_update_chrome (2k image)

 「Flash Player Pro」のダウンロードページは、ユーザが訪れようとしていたWebサイトが提供しているように装っている。

_setupimg (90k image)

 「setup.exe」ファイルをダウンロードしても、実際にGoogleから何かバイナリを持ってくることはない。その代わり、ユーザは悪意のあるIPアドレスからFareitのコピーを得ることになる。Fareitはダウンローダ型のトロイの木馬で、情報を盗む。

_urls_1 (72k image)

 当社で把握している最近のサンプルでは、以下に接続してダウンロードする。
 • angryflo.ru
 • reggpower.su
 • 192.163.227.127

 悪意あるDNSサーバを経由したFareitへの感染は、主にポーランドからのものを当社では目にしている。

_map (91k image)

 今年の初めから、ユーザが次のIPアドレスにリダイレクトされるのを観察してきた。
 • 31.192.211.50
 • 85.25.213.208
 • 109.235.51.213
 • 108.62.115.162
 • 188.138.41.85

 一方、以下は悪意あるDNSサーバとして報告されたものの一部である。
 • 184.107.242.162
 • 184.107.232.162
 • 168.144.134.129

 あなたのDNSサーバの現在の設定について詳細を知りたいのであれば、ここで提供されている当社のベータツールを試してみることができる。

 もしあなたのDNSサーバの設定が侵害されていたら、以下の手順を試すことをお勧めする。
 • インターネットからルータを切断して、再設定をする
 • ルータ上のパスワードを変更する。とりわけ、デフォルトのパスワードのままの場合
 • ルータのリモート管理を無効にする
 • ルータを確認、更新して、最新のファームウェアを用いるようにする
 • デスクトップ機をリブートして、DNSキャッシュをクリアする
 • 信用できる最新のアンチウィルスプログラムでデスクトップ機をスキャンする

誤検知:Exploit:JS/HuanJuanEK.A

 たった今、当社は誤検知を修正した。数多くのクリーンなWebサイトのコンテンツをExploit:JS/HuanJuanEK.Aとしてしまっていた。

 誤検知が起きるデータベースは、F-Secure Hydra 2014-12-31_02である。F-Secure Hydra 2015-01-01_01には修正がなされており、すでに公開もされている。この誤検知は、WebサイトからダウンロードされたコンテンツをスキャンするWeb Traffic Scanning機能にのみ影響を及ぼす。いまだこの検知が認められるようなら、最新のアップデートを受け取っているか確認をお願いしたい。

Hydra update

 ご面倒をかけて申し訳なく思う。それはそうと、皆様明けましておめでとう!

 -- Antti

Freedome Betaに賛成票を

 つい先日、当社はAndroid用のFreedome VPN Betaのテスターを勧誘した。さて、今ではお試しいただくのがさらに簡単になった。今やGoogle Play上で入手可能になったのだ。

 BというのはBetaのBだ。

F-Secure Freedome VPN Beta

 このバージョンのFreedomeには、ろくでもないアプリをスキャンするApp Security機能が含まれる。

 テスターは3か月間の無料サービスの他に、Freedomeをネタにしたパーカーを受け取る権利を得られる。

Karen, Paivi ja Nemo

 なので、Betaをインストールして、Paivi(Freedomeの上級プロダクト・マネージャ。右)を喜ばせてほしい。

 フィードバック用のアドレスについては、Google Playのアプリのページで確認できる。

募集:最高傑作なAndroidアプリのテスター

 いや…、つまりAndroidアプリの「最高傑作」というのは、ちょっとお茶目な誇張なんだ。しかし依然として、実際に傑出したアプリではある。どのアプリのことだろうか?えー、もちろんF-Secure Freedomeだ(現在、AndroidiOSで使える)。

 Freedomeチームは(研究所チームと共に)Android向けの新たな機能、クラウドベースのラピュテーションスキャンを開発中である。そして、そのベータアプリのために、多数のテスターを必要としている。(あなたは?)

 以下は画面のプレビューだ。

Freedome beta, App security
See it in action

 完全にクラウドベースで機能する。すなわちデータベースの更新をダウンロードするようなことはない。したがって非常に軽量だ。

 言論の自由を行使したい人々は、検閲を回避する目的で、ますますVPNサービスへと移行している。そして、それと引き換えに、政府出資のマルウェアによって多数の人々が標的となっている。

 当社はあなたの助けを必要としている。ベータ版を使うだけでも貢献となる。

 参加者は3か月間の無料サービスが受けられ、アクティブな参加者はFreedomeのパーカーを受け取る資格を得られる。

 いや待てよ。もっと何かあったな…。

 我々は新しい「研究所のシール」をデザインした。そしてテスターたちは、これを得るためのチャンスを最初に得られる。

 なので、すぐにベータ版に参加して頂きたい

 すでにFreedomeがインストール済みでも心配いらない。このベータ版は並行してインストールできるようになっているので、そういう方も参加可能だ。

 よろしく!

—————

エフセキュアのプライバシー原則

エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

盗まれた12億人分のパスワード・・・私たちへの影響は?

報道されているとおり、ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが分かりました。この大量のパスワードの中に皆さんのパスワードが含まれていても不思議ではありません。しかし、実際のところ何が起こっているのでしょうか。なぜこれが私たちにとってリスクとなるのでしょうか。そして、個人としてはどう対応すべきなのでしょうか。その内容を少し詳しく見ていきましょう。
 
まず、webシステムでは毎日システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。これは今に始まったことではありません。このニュースの本質は、その規模にあります。ロシアのハッカー集団は、ネット上で脆弱性のあるシステムを探し出すために強力なスクリプトを使って自動的にハッキングし、その結果、この極めて大量のパスワードが盗まれることとなったのです。しかし、この事件を記事にしたり、話題にすることは今もなお有益です。というのも、この事件は、個人のパスワードに関する習慣がなぜ重要であるかを再認識させてくれるからです。
 
ではまず、一般的なインターネットユーザがどのような過ちを犯すのか検証していきましょう。ここにアリスというインターネットユーザがいます。

 1. アリスはGoogleでメールアカウントを作成します。運よく、alice@gmail.comは誰にも使用されていませんでした。彼女は安全とされるパスワードの基本条件を知っており、大文字、小文字、数字、特殊文字を含んだパスワードを設定しました。

 2. アリスは、頻繁にネットを利用し、FacebookなどのSNSやディスカッションフォーラムを利用しています。その多くで、alice@gmail.comをユーザIDとして使用しており、パスワードも同じものを使用することは非常に合理的です。パスワードはメールアドレスとセットのようなもので、複数のパスワードを覚えたい人などいないでしょう。

 3. そこへ悪意のあるハッカーが登場し、脆弱なシステムを見つけ出すためネット上でスキャンを開始します。Gmailは適切に保護されているため、この攻撃の影響を受けることはありません。しかし、小規模組織の多くは趣味レベルでサイトを運営し、サイトをしっかり保護するスキルやリソースを持っていません。アリスがよく利用するサッカークラブのサイトもそうしたサイトの1つです。ハッカーはこのサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのalice@gmail.comのパスワードを知ることになります。皆さんは、「それで?」と思うかもしれません。ハッカーが、アリスがよく参加するゲームを知っているだけでは、特に実害はありません。しかしちょっと待ってください。これがすべてではないのです。

 4. alice@gmail.comがGmailユーザであることは明らかです。そこで、ハッカーはアリスのパスワードをgmail.comで試してみます。見事に一致しました。この結果、ハッカーはアリスのメールアドレスのみならず、彼女がGoogleのサイト上で管理するその他のデータをすべて入手します。

 5. ハッカーは、Facebookなど、多くの人が利用しているインターネットサイトをスキャンします。またも一致しました。これでハッカーはアリスのFacebookアカウント、それからおそらくその他いくつかのサイトのアカウントも手に入れます。

 6. ハッカーは、入手したアカウントを使い始めます。情報、メールの内容、その他の連絡先情報、eメール、文書、クレジットカード番号などありとあらゆるものを入手するためにアリスのアカウントを利用します。また、いくつか例を挙げるならば、ハッカーは彼女のアカウントやIDを使いスパムを送信したり、なりすまし詐欺を行うこともできます。
 
では、この話の教訓とは何でしょうか。アリスは安全とされるパスワードを使用していますが、この場合においては安全ではありません。彼女の犯した間違いは、そのパスワードを多くのサイトで利用したことにあります。規模の大きなサイトであれば通常少なくとも妥当なレベルのセキュリティが適用されています。しかし、同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまうのです。そのため、自分のメインのメールパスワードを、特に規模が小さく怪しげなサイトに利用することは絶対にしてはいけないことなのです。
 
しかし、強力なパスワードを複数使用することは非常に不便だと、皆さんはそうお考えかもしれません。しかし、そんなことはありません。もし、皆さんが体系的に、正しいツールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。
 
それでも自分の記憶に自信が持てない方もいるかもしれません。大丈夫です。エフセキュアでは、便利なツールを用意しています。それが、パスワードマネージャのF-Secure Keyです。
 
ところで、最初の質問の解答は何でしょうか。ロシアのハッカー集団による攻撃は、私たちに影響するのでしょうか。個人としてどう対応したらよいのでしょうか。(この執筆時点では)どのサイトに影響が及んでいるのかがわからないため、誰に影響が及んでいるのかはわかりません。しかし、盗まれたパスワードの数が膨大であることから、皆さんのパスワードがそこに含まれている危険性は実際に存在します。とにかく、自分にアリスと共通する点があると思ったら、すぐにパスワードを変更することをお勧めします。今回のロシアのハッカー集団の被害者ではないにしても、遅かれ早かれ被害者となる日がきます。そうなる前に自分のデジタルIDは安全に保護してください。
 
すでに利用しているすべてのサイトで覚えやすい異なるパスワードを設定している場合は、慌てる必要はありません。被害を受けたサイトがわからないうちに、パスワードをすべて変更する必要はないでしょう。しかし、もしこの42万のサイト一覧が公開され、自分がそのいずれかのサイトのユーザである場合は、該当するサイトのパスワードを変更することは重要です。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

さくらインターネットとエフセキュア、レンタルサーバのウイルス対策で提携

エフセキュア株式会社は、さくらインターネット株式会社の「さくらのレンタルサーバ」をはじめとするサービスに、ゲートウェイでのウイルス対策ソリューションの提供を開始しました。

企業や組織の情報システムのクラウド化が進む中、レンタルサーバやハウジングの活用が改めて注目されています。このようなサービス形態においては、サーバやエンドポイントのクライアントのマルウェア対策に加え、ゲートウェイレベルでのセキュリティの確保による多層的な防御が必要となります。この度、レンタルサーバの大手であるさくらインターネットは、「さくらのレンタルサーバ」をはじめとする様々なサービスでのスキャンエンジンとして、「エフセキュア アンチウイルス Linux ゲートウェイ」の採用を決定いたしました。今後2014年8月31日までに、「さくらのレンタルサーバ」「さくらのマネージドサーバ」「さくらのメールボックス」などのサービスのウイルスチェックおよびウイルススキャンの機能が「エフセキュア アンチウイルス Linux ゲートウェイ」へ切り替えられます。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「レンタルサーバで著名なさくらインターネットの多くのサービスで、弊社のゲートウェイ対策ソリューションが採用されたことを誇りに思います。高いパフォーマンスと検知率を同時にご提供することにより、さくらインターネットのユーザの皆様にもご満足いただけるものと確信しております。」と述べています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。メールについてはスパム検査も可能です。高いパフォーマンスと検知率を兼ね備え、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。


エフセキュア、Linuxサーバ向けのゲートウェイ製品新バージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ」の新しいバージョンとなる、Ver5.10をリリース致しました。最新ディストリビューションへの対応や、WebUIの刷新を行っています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。既に提供済みの「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、新たにWebUIを搭載したVer5.10がリリースされました。単なるユーザー・インターフェースの変更に留まらず、Webサーバプログラムを変更することにより、WebUIで消費するリソースの削減・応答速度の向上を行っています。本バージョンではWebUIは英語版のみの提供となりますが、2014年第三四半期中に、WebUIを日本語化したVer5.20をリリースする予定です。

Ver5シリーズでは、従来のHTTP/SMTP/POP3/FTPの各種プロキシに加えて、ICAPサーバとしての機能が追加されました。Squidなど、ICAPクライアント機能を持つプロキシからウイルススキャンリクエストを行うことが可能になり、より柔軟に既存のネットワークへ組み込むことが可能となりました。また、複数のファイルに分かれていた設定情報を、ひとつの設定ファイルに集約するなど、ユーザの使い勝手の向上を行っています。

なお、日本のお客様に対しては、日本語WebUIを搭載したVer5.20がリリースされてから1年後に、Ver4シリーズの最終版(Ver4.12およびVer4.11)のサポートが終了する予定となっています。

エフセキュア、ソネットの仮想クライアントソリューションに快適でセキュアなマルウェア対策を提供

エフセキュア株式会社(本社: 東京都港区、カントリーマネージャ: アリエン ヴァン ブロックランド、以下 エフセキュア)は、ソネット株式会社(本社:東京都品川区、代表取締役社長 石井隆一、以下 ソネット)の法人向け仮想クライアント新サービス「Mobility Acceleration」に、エフセキュアのマルウェア対策ソリューション「エフセキュア仮想スキャンサーバ」が標準搭載されたことを発表いたします。

ソネットの「Mobility Acceleration」は、2014年5月21日に提供が開始された、”bit-drive”ブランドで展開される法人向け仮想クライアントソリューションです。「Mobility Acceleration」のDaaS型ソリューション「仮想デスクトップサービス」および「Windows Server パッケージ」に、エフセキュアの仮想環境向けマルウェア対策ソリューションが標準搭載されました。「仮想デスクトップサービス」には「エフセキュア 仮想スキャンサーバ」と「エフセキュア Windows サーバ セキュリティ」が、「Windows Server パッケージ」には「エフセキュア 仮想スキャンサーバ」がそれぞれ採用されています。これにより両サービスのユーザは、高い検知率や防御機能を持ち仮想環境に最適化されたエフセキュアのテクノロジーによって保護されます。

ソネット株式会社の執行役員(bit-drive事業担当)、雁瀬繁氏は、「企業のIT環境においてはスマートフォンやタブレットの普及に伴い、クライアントの仮想化が急速に発展しています。この度、So-netではこのようなニーズに対応すべく、DaaSをはじめとしたクライアント仮想化ソリューション 『Mobility Acceleration』の提供開始に至りました。本サービスでは高度なセキュリティ環境を構築することが極めて重要です。仮想環境に最適化されたエフセキュアの仮想スキャンサーバにより、高度なセキュリティ対策が実現できることを喜ばしく思います。」と語っています。

またエフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「ソネットの、仮想化時代を先取りした新サービス『Mobility Acceleration』に対し深く賛同申し上げます。エフセキュアはソネットのこのような先進的なサービスにおいて選ばれたことを誇りに思い、同サービスのお客様に対して妥協のないかつ快適なセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はHyper-V、vSphere、XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

また、「エフセキュア ポリシーマネージャ」を使うことにより物理・仮想環境の混在する複雑なハイブリッド環境であっても容易に構築、管理することが可能となります。

AndroidのランサムウェアSLockerは、TORやSMS経由で通信する

 2週間と少し前、Androidの新たなランサムウェアのファミリーである、SLockerを我々は発見した。

 直近に発見されたAndroidマルウェアのKolerと、SLockerが関連しているという証拠は得ていない。しかしながら、Kolerのもたらした脅威をSLockerも成し遂げている。Kolerは実際にはファイルを暗号化しないが、そのように装う。それと異なり、SLockerは端末のSDカードに対して次のような特定のファイルタイプを実際にスキャンする。

slocker (3k image)

 SLockerアプリが起動されると、これらのファイルを暗号化した後、身代金を求めるメッセージを表示する。

Ukraine ransom

 メッセージには、ファイルを復元するためにはオンライン送金サービスにより送金する必要があることが示されている。このメッセージに挙げられている電話番号は、ウクライナのものだ。

 現在のところ、SLockerのファミリーには2つのバージョンがある。1つ目のバージョンではTORを用いて、感染した電話機とマルウェアのC&Cサーバ間の通信用のネットワークを匿名化している。このバージョンではデバッグ情報がすべて有効になっているので、テスト用のバージョンではないかと弊社では推測している。

 SLockerの2つ目のバージョンは、TORが有効になったバージョンと同時期に出現したが、簡素化されている。こちらのバージョンでは(暗号化やハードコーディングされた同一の復号キーを含め)同じコードを共有しているが、デバッグ部分はもはや存在しない。最大の違いは、このバージョンではTORを使用していない点だ。その代わりSMSメッセージ経由で指令を行う。

SLocker permission

 また特筆すべきは、TORを有効にしたバージョンと違い、こちらのバージョンは身代金メッセージの中でロシアの電話番号を掲載し、ロシア通貨を要求しているところだ。

Russia ransom

 我々はさらに深く掘り下げてC&Cサーバを辿り、そのIPアドレスがさかのぼること2005年に、ある個人に登録されていたことを突き止めた。現在は、そこでロシアに拠点を置くWebホスティングサービスが提供されている。

 2つ目のバージョンのSLockerはC&C通信にTORを用いない点において洗練度合が下がるが、依然として活発に開発が行われているように見受けられる。なぜなら、我々が入手した当該バージョンの最新のサンプルには、いまや端末のカメラを用いて写真を撮る機能が搭載されているためだ。今後に渡って、SLockerの作者(達)が開発を続けていく可能性は高い。

—————

Post by — Mikko Hyykoski

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード