エフセキュアブログ

セキュリティ を含む記事

OWASP World Tour Tokyo

 みなさん、こんにちは。Rakuten-CERTの福本です。
 先日、東京工業大学 蔵前会館にてOWASP World Tour Tokyoが開催されました。このOWASPの本格的なトレーニングイベントはなんと無償で提供され、有志のボランティアによって運営されました。サテライト会場も含め総勢700名を超える参加者が集まり、これだけのイベントがスポンサー無しで実施できたということが、いまのOWASP Japanのセキュリティコミュニティの強さを示しているのかなと思います。今回のトレーニング内容についてですが、各所での様々なOWASPのプロジェクトの活用例が充実しており、会場からは、このケーススタディを参考にして自社で同じような取り組みをやってみたいね、という声が多く聞かれました。参加出来なかった方も、こちらからトレーニング資料を見ることが出来ますので興味があればぜひ参考に!

331F5AC9-BA47-4B00-8868-CB774C5EA203IMGP0548IMGP0541
会場の様子。すごい熱気。

 そして、トレーニング会場をご提供頂いた東京工業大学の田中教授からのウェルカムスピーチの中で、なんとこの日、東京工業大学がOWASP Academic Supporterの申請をしたという発表は本当にサプライズでしたね!横にいたチャプターリーダーの岡田さんのリアクションも大きかったですねw

IMG_6600
セキュリティ人材育成に取り組んでいらっしゃる田中教授のスピーチの様子。

 世の中的にセキュリティ人材の採用競争が激化する中、セキュリティ人材育成はインターネット社会の健全な発展のためにも非常に大事な要素なので、今後の東京工業大学とOWASPとのコラボレーションに大いに期待しています!

トランプ政権のサイバーセキュリティ政策

2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)

簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハウスの予算管理の元に横断的に一本化するといったもので、また学校で教えるサイバーセキュリティについて国防省と国土安全保障省がレビューするという項目もあるようだ。

とはいえ、トランプ政権のサイバーセキュリティ担当として選ばれたのはその分野の経験があるとは思えないルドルフ・ジュリアーニ元ニューヨーク市長であり、また2月中旬にサンフランシスコで開催されたRSAコンファレンスにはトランプ政権からは誰も顔をだしていないなど、トランプ政権のサイバーセキュリティに対しての本気度を疑問視する声もある。

さらに2月19日にはトランプ氏のウェブサイトがイラクのハッカーにより侵入され書き換えられるなど、トランプ氏自身でサイバーセキュリティ問題を経験することになったようだ。

また、トランプ氏は以前から使っているAndroidスマートフォンを大統領就任後も手放さず毎日Twitter投稿に明け暮れているが、この電話機もいつハッキング攻撃の対象に狙われてもおかしくない。

もし実際に政府レベルでのサイバーセキュリティのインシデントが起きた場合にトランプ政権が対応できるのかについても厳しい見方がある。さらに、スノウデンによるNSAのサーベイランス・プログラムが多数暴露された際によく公聴会に呼び出されていたDirector of National Intelligenceだったジェームズ・クラッパー氏は1月末で任期が切れているのだ。しかし少なくともクラッパー氏はサイバーセキュリティ脅威を通常のテロリズムより重視していたので、そのような問題の理解者がいないまま大統領令を出したところで、現実的に何ができるのだろうか。

さらに現在のトランプ政権の動きは、サイバーセキュリティだけでなく各種プライバシー情報を含むパーソナルデータの保護にも大きな影響を与えると思われる。トランプ政権が選んだFCC(連邦通信委員会)の委員長アジット・ペイ氏はテレコム企業出身で、ネット中立性に反対を唱えてきた人物だからだ。それを後押しするように、3月22日、共和党が多数派を占める米議会上院は、たった数カ月前の2016年10月にオバマ前政権のもとで成立したブロードバンドのプライバシー保護規則を撤回する決議を、50対48で可決したのだ。これにより、ISPやモバイルインターネット通信事業者が、運営するネットワークを流れる利用者のデータを、利用者の同意なしにマーケティング企業などに売ることができるようになるのだ。これは、EUで成立したパーソナルデータ保護法制度の「EU General Data Protection Regulation」と、さらに2018年に同時に施行予定の「EU ePrivacy Regulation」とも対立しうるはずで、そのため2016年に成立したEUとアメリカの間でのパーソナルデータ移動を認める合意である「EU US Privacy Shield」合意が反故になる可能性があると思われる。



実際のところ、トランプ政権のホワイトハウスは日に日に混迷状況をあらわにしているように見える。

当初の政権人事として国家安全保障担当大統領補佐官に選ばれたマイケル・フリン氏は、就任前に駐米ロシア大使と対ロシア制裁措置について協議した件が明るみに出たため、早くも辞任した。じつはドナルド・トランプ氏は大統領選挙前から、ロシアの犯罪組織のボスから工面してもらった金で破産を免れたといった話題が流れるなど、ロシアとの関係に疑惑が持たれている。

また選挙中からトランプ候補の戦略を担当していたスティーブン・バノン氏が大統領主席戦略官として政権参加した上、さらにトランブ氏により国家安全保障会議(NSC)へのメンバーとして選ばれたことが発表されると大きな波紋を呼んだ。バノン氏はトランプ氏の選挙戦略を担当する以前は、Alt Rightと呼ばれる新興右翼勢力のメディア「Breitbart」ニュースの元会長で白人至上主義や排外主義のヘイト記事を多数執筆していた人物であり、政府機能の経験はまったく持っていない。そして一部ではトランプ政権を裏ですべて操っているのはバノン氏であるとすら噂されている。

さらにこの選択では、今までの政権では国家安全保障会議に通常参加していたインテリジェンス機関の代表になるDirector of National Intelligence担当者と、軍の代表になるJoint Chief of Staff担当者を外した上で、トランプ氏はバノン氏を選んだ。インテリジェンス機関代表と軍の代表の参加しない国家安全保障会議は前代未聞といえるし、実際それで有事に際して何か有効な決定を行えるのかはまるで疑問だ。マイケル・マレン元統合参謀本部議長などもこのバノン氏の採用を激しく非難した。

またトランプ政権に失望したという声は、就任後すぐにCIAなどのインテリジェンス機関からも聞こえてきた。

そしてついに2月24日には、ホワイトハウス内部の報道官室での記者会見からCNN、BBC、AFP、New York Times、Los Angeles Timesなどの主要メディアを締め出すなど、トランプ政権はおよそ独裁政権しか行わないような行動に出た。

そしてトランプ氏が公の場での演説やTwitterへの投稿で繰り返す、感情のアップダウンの激しい見境のない不適切な言動は問題となりつつある。大統領に職務遂行能力がない場合の手続きを定めた合衆国憲法修正第25条第4項を使って政権内クーデターを起こしてトランプ氏を追い出し、元副大統領のマイク・ペンス氏が大統領代理を執務するという憶測すら既にでている。

アメリカメディア調査での3月のトランプ大統領の支持率は新たな最低レベルの更新で36%と言われ、現在のところは当面トランプ政権の行方は予測しても不透明なままとしか思えない。

Rakuten Global CISO Summit

 みなさん、こんにちは。Rakuten-CERTの福本です。
 先日、楽天初のRakuten Global CISO Summitを開催しました。今回はそのイベントの共有をしたいと思います。実は昨年、楽天グループ全社においてCISOの任命を義務づける新たなポリシーを策定し、本社CISO及び子会社CISOを数十名任命しました。これは楽天グループの重要なディレクションで、セキュリティガバナンスの強化は経営課題であり、そして僕らのセキュリティが次のステージに向かっていることを意味しています。そして、今回、全てのCISOが集まり、Rakuten Group CISO communityをスタートさせることが出来ました。このイベントを通じて楽天グループ全体のセキュリティにとっての大事な一歩が踏み出せたのかなと思います。
summit_logoDSC_8251DSC_8249fukumoto

 2日間の盛り沢山のセッションで構成されたCISOサミットですが、豪華なゲストスピーカーにもご登壇頂きました。OWASPでも有名なTobias GondromさんとJerry Hoffさんからは大変参考になる最新のセキュリティトピックやセキュリティマネジメントに関するお話を頂き、また、3人でパネルディスカッションも出来て、とても刺激的なセッションになりました。また、各社CISOからの最新の取り組みやチャレンジを共有してもらったり、セキュリティ改善のアクションアイテムを決めるワークショップを実施したり、CISO向けのセキュリティトレーニングセッションを提供したり、大変実りの多いイベントになったと思います。
 
P2090288P2090241booth3workshop

 最後に、CISOという仕事には相当な覚悟がいるかなと思います。No upside, nobody will do it for you, your responsibility. その覚悟を背負って、組織のセキュリティのためにリーダーシップを発揮するということは並大抵な事ではないと思います。何を大義名分にしてCISO業務を邁進するか。本気でセキュリティをやる上で、そこは大事なポイントだと思います。

THE FIGHT AGAINST CYBERCRIME

 みなさん、こんにちは。Rakuten-CERTの福本です。
ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

 近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの(物理的な)銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為(不正送金マルウェアとか)の方が犯罪者としてはより安全なわけですから。

 楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

login

 実際、不正業者の逮捕後は攻撃は激減しました。

 インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。(注:プロアクティブセキュリティはきちんとやるのは大前提で)CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

 また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで(特にランサムウェアはお金になりそうでやばい)、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

未来のチカラ

 みなさん、こんにちは。Rakuten-CERTの福本です。
 世界的にセキュリティ人材が不足と言われている昨今、需給バランスの改善にはセキュリティ人材教育プログラムの充実、セキュリティ対策プロセスの標準化がますます重要になってくるかと思います。そんな背景もあり、楽天は昨年、産学連携のひとつのきっかけ作りとして東工大とセキュリティキャンプでの集中合宿を実施したのですが、そのセキュリティイベントは今年から東工大大学院の特別専門学修プログラムのコア科目であるサイバーセキュリティ攻撃・防御第二となりました。

  楽天株式会社は、オフィシャルに東工大のサイバーセキュリティ特別専門学修プログラムに協力しています。
 

123
こちらは会場の様子。某合宿会場にて、授業にも熱が入る。

4
夜も教授部屋に集まって、ヒントをもらいながらハンズオントレーニングの課題を解く学生たち。

 今年はWebサイトへの攻撃メカニズムを理解するためのハンズオントレーニングがメインでしたが、来年はセキュアコーディングなどディフェンス側のトレーニングコンテンツも充実出来ればと思います。(そしてその先はインシデント分析、ハンドリングまで将来的に拡張したい)最後合宿が終わって、多くの学生さんから楽しかったと言ってもらえてほんとうれしかったですし、また東工大の担当教員の方々からも多大なご支援を頂き、本当にありがとうございました。まだスタートしたばかりですが、継続することによっていつかこの活動がインターネットセキュリティを支える力となることを願っています。







検出ロジックの現状はどうなっているか

検出ロジックは、最新のエンドポイント保護ソフトウェアにおけるさまざまなメカニズムによって使用されている。また、サイバーセキュリティ業界では、多くの別の名前でも知られている。セキュリティ業界で「マルウェア」と呼んでいるものが、一般には、「ウイルス」という言葉で呼ばれている(技術的に言えば、「ウイルス」とは、別のプログラム、データファイル、またはブートセクタに自身のコピーを作成することによって拡散するプログラムを指す)のと同様に、検出ロジックは、「シグネチャ」から「フィンガープリント」、「パターン」、「IOC」まで、さまざまな呼び方をされてきた。誰かがウイルスの話をしていると思ったら、本当はマルウェアについての話だったということがよくある。そして、誰かがシグニチャの話をしていると思ったら、実は検出ロジックについての話だったということもたびたびある。もっとも、80年代や90年代に用いられたシンプルな検出ロジックが話題になっていたのだとしたら、話は別なのだが。
当社、エフセキュアでは、「detection logic(検出ロジック)」のことを、単に「detections(検出)」と言うこともよくある。 

不在通知のOPSEC(運用上のセキュリティ)

受信ボックスに次のようなメールがあった(一部改変)。
 
当社CSSのOPSECの専門家からの休暇の挨拶
近いうちに休暇を取り、オフィスを離れられることになる皆さま 、さぞかし心待ちにされていることと思われます。待ちに待った休暇なのですから。ただ、その前にひとつ、確認していただきたいことがあります。不在通知に、次のようなことについて触れていたりはしていないでしょうか。休暇中どこへ出掛けるのか。誰と行くのか。なぜ休暇を取るのか。病気療養の場合は何の病気なのか。さらには、病気 ということ自体。

 全文はBusiness Security Insider 日本語版で。

IoTはどこで作られているのか?

深圳(Shenzhen)は香港から電車で45分の中国国境内のきわにある「ハードウェアのシリコンバレー」とも呼ばれる経済特区の都市だ。人口は1500万人とも2000万人ともいわれ東京よりも大きく、高層ビルは278本もあり中国第4位の大都市となっている。
そして Tencent, Huawei, DJI, OnePlus, ZTE, Coolpad, Gionee, TP-Link, Beijing Genomics Instituteなどのエレクトロニクス、テレコム、バイオなどのハイテク企業が集中し、华强北(Huaqiangbei)という秋葉原の100倍はある巨大なエレクトロニクスタウンがある。iPhone他のエレクトロニクス製造で拡大してきた都市なので、電子部品、プリント基板製造、アセンブリー、プラスティック成形、金属加工などの企業が群をなして営業している。また好調な経済のため、生活物価は東京とたいして変わらなくなっている。

この深圳についてのビデオドキュメンタリー "Shenzhen: The Silicon Valley of Hardware" をWired UKが制作し、6月に公開された。全部で1時間強になるこのシリーズは、深圳でのIoTとMakersの興味深い最新の動きを取り上げている。

Part 1

Part 2

Part 3

Part 4

特にPart 2は、IntelがIoT向けに一昨年発表したフルPCの機能をSDカードサイズにまとめた「Edison」チップのディベロッパーフォーラムが4月に深圳で開催された場面から始まる。明らかにIntelは深圳がIoT開発の中心地のひとつになると踏んでいる。またIntelが食い込もうとしているIoT開発で、他に使われているのはArduinoやRaspberry Piなどで、ほとんどLinuxやオープンソース・ソフトウェアで動いているものが多い。
Intel Edison

深圳にはハードウェア開発に関わる大きな外国人コミュニティができていて、ヨーロッパやアメリカから来て深圳に住み着いてエレクトロニクス・ハードウェア開発のヒジネスを運営している人達も多い。一説ではシリコンバレーでのハードウェアも3割は深圳で作られていると云われるほどだからだ。

その一つ、HAXはハードウェア・スタートアップ企業のための世界最大のアクセラレーターだ。

当然地元の中国の人達が始めたハードウェア開発のサポートやブローカービジネスも多数ある。Seeed Studioはよく知られているものの一つで、日本にも窓口がある。

そして半田付け用具や測定器、金属加工器具、レーザーカッター、3Dプリンターなどを揃えた、ハードウェア自作派やスタートアップ向けのMaker Spaceと呼ばれる場所がいくつも出来ている。

深圳の動きには当然に日本でも注目している人達がいて、ニコニコ技術部の有志が一昨年から深圳の視察ツァーを開催している。その報告をまとめた「メイカーズのエコシステム」という書籍が4月に発売された。

このメイカーズというのはMakersのことで、O'Reillyが出している「Make」という自作派向けの雑誌から派生して開催されている「Maker Faire」というイベントなどで自作のハードウェアを見せたり販売したりする人達のことを指す。先週8月6,7日には「Maker Faire Tokyo」が東京でも開催されたばかりだ。
Maker Faireは深圳でも開催されている。

これらのインフラが出来ていることで、深圳発のハードウェア・スタートアップ企業が多数出現している。そして彼らのかなりがIoTを手がけている。Intelが深圳がIoT開発スタートアップの中心地のひとつになると考えるのは当然の流れだ。

クラウドファンディングサイトのKickstarterやIndieGoGoなどを眺めても、IoTカテゴリーに入るプロジェクトが多数見つかるし、それらはほとんどスタートアップ企業のことが多い。ところが日本では、特に政府関係者はIoT製品は既存の電機メーカーが作ると考えているのではないか? 7月にIoT推進コンソーシアムと経済産業省と総務省が共同で「IoTセキュリティガイドライン」を発表した。しかし、製品化に脇目も振らずに邁進するスタートアップ企業がこのようなややこしい資料を気にかけるとは考え難い。
さらにそれ以前に、日本でだけこのようなIoTセキュリティガイドラインを作ったとしても、IoT開発の主力地が深圳など海外にあるならまったく影響力は期待できないだろう。

スレットインテリジェンスの現状はどうなっているか

「スレットインテリジェンス(脅威対策の知見)」という言葉が、最近の流行りになっている。多くの人にとって、スレットインテリジェンスとは、疑わしい、または悪意のある活動の識別のためにセキュリティインフラに組み込まれるIOC (英文) フィードについて説明する際に用いられる言葉である。

我々にとっては、その言葉が表すことは遥かに多い。当社は25年以上に渡って、精力的にスレットインテリジェンスを収集し、吸収してきた。当社の多くのスタッフは、日常的にスレットインテリジェンスを扱っている。そして、我々の日常業務はスレットインテリジェンスに牽引されている。

当社の考えとしては、あらゆるものがスレットインテリジェンスと言える。マルウェアサンプルのリバースエンジニアリングから収集された細かな事柄をはじめ、当社のシステムが収集したデータに見られるトレンドやパターン、攻撃者と防御者が使う戦術、さらには高所から見たグローバルな脅威のランドスケープにまで及ぶ。

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。

CVEセキュリティ脆弱性のデータを丸裸に

 今年のアドビ関連のCVEセキュリティ脆弱性は、2015年のレベルを上回り着実に増加している。cvedetailsのデータを調べると、今までのところ、2016年は2015年の51%の件数がある。今はまだ5月なのに。

 2015年はコード実行の脆弱性が大豊作の年だった(335件)。

CVE Details Adobe By Year
情報源:CVE Details

 この傾向は2016年も繰り返されている。

 そして脆弱性の宝庫となる原因になった製品はなんだ?Flash Playerだ。もちろん。

CVE Details Top 50 Products
情報源:CVE Details

 アドビは、我々と同様、早く2017年になることを切望しているに違いない。

AV-Comparativesによる現実世界のテスト結果

 AV-Comparativesは月次で「Whole Product Dynamic Real-World Protection」というテストを実施している。この組織は、2016年4月を対象とした3回目のテスト結果を今しがた公表した。そして今年これまでのところ、当社製品はよくやっており、非常に喜ばしく思っている。

AV Comparatives April Real-World test results
AV Comparativesの4月の「Whole Product Dynamic Real-World Protection」テストの結果

 AV-Comparativesの人たちは極めて網羅的なテストを実施している。現実世界の脅威に対し、セキュリティ製品がどれほど機能するかをきっちりと確かめるべく、実際に侵害されたサイトを求めてインターネットを調査して回るのだ。大抵の場合、侵害されたサイトは発見されると速やかに削除されることを考えると、これはきつい仕事だ。今回の最新のテストでは、彼らはWindows 7 SP1と、完全に更新した最新版のサードパーティ製のソフトウェア群をシステムに導入した。完全にパッチを当てられたソフトウェアを侵害し得る悪意あるサイトを見つけるのは大変だ。我々は彼らの勤勉さを称賛する。

 AV-Comparativesの今年のこのテスト全般において、当社は投げつけられた脅威を100%ブロックした(3回連続でブロックした、わずか2社のうちの1社だ!#hattrick)。しかしながら、わずかな誤検知に苦しめられた。これは主に、当社製品はサンプルの普及に基づいて決定を行うロジックを使用しているという事実による。テスト対象のサンプルの1つを目撃したことのある顧客がいなかったり、あるいは非常に少なかったりした場合には、サンプルの特異性に基づいてこれをブロックする可能性がある。当社の顧客がいまだ遭遇したことがないクリーンなサンプルを見つけたときに、Andreas Clementiと(彼らのクレジットによれば)彼のチームは、非常に狡猾なのだ。それが当該テストにおいて、当社がしばしば過検知してしまう理由である。しかし、それについて我々は大きなストレスを感じているわけではない。サンプルはいずれも重要なシステムファイルではなく、また当社製品に特別なロジックを組み込んでおり、システムやソフトウェアを破壊しかねないファイル群を決して誤検知と判定しないようにしている。結局我々にとっては、潜在的なちょっとした問題をすべて回避するよりも、出会う脅威をすべてブロックするほうが重要なのだ。

 しかし我々はそのロジックに基礎を置くわけではない。過去の投稿を思い出して頂きたい。我々は正規のファイルの収集および分析の自動化を改善する開発プロセスの途上にある。クリーンなサンプルを追い詰めたときには、Clementiと彼のチームを出し抜きたいと考えている。

 Andreasや、AV-Comparativesのすべてのスタッフに対し、彼らの行っている大変な仕事に謝意を示したい。彼らのテストは当業界には重要だ。そしてこうしたテストが我々にとって、顧客をどれだけ保護しているかについて、計り知れないほど貴重な測定結果となる。

さよならFlash!Google ChromeがHTML5をデフォルトにする予定

 先週の報道のとおり、GoogleのChromeブラウザの背後にいる開発チームは、2016年第4四半期中にHTML5をデフォルトとする計画を立てている。

 GoogleのテクニカルプログラムマネージャーであるAnthony LaForgeは次のように述べている。

 「Chromiumでは今年中に、Navigator.pluginsとNavigator.mimeTypesのデフォルトの応答を変えることにより、Flash Playerの存在をWebサイトに通知する方法の変更を予定しています。もしWebサイトがHTML5のエクスペリエンスを提供しているのなら、この変更によってHTML5が第一のエクスペリエンスになるでしょう。当社は引き続きChromeと共にFlash Playerを提供していきます。もしWebサイトで本当にFlashが必要な場合、ユーザが最初に当該サイトを訪れたときにページの最上部にプロンプトが現れ、そのサイトでFlashを許可するかどうかユーザに選択肢が与えられます」

 Google ChromeがほどなくAdobe Flashの廃止へと向かうであろうことを、今年すでに私は当社の2015年の脅威レポート上で予言していた。

Google Chrome Flash prediction

 そして、MozillaとMicrosoftもこれに続くだろう。これでワンアウト、あと2つだ…。

 脅威レポートから該当の記事を再掲する。


Flash:手の届くところにぶらさがっている最後の果実

 マルウェアによるエクスプロイトがコモディティ化して10年は経つ。2006年の間は特に顕著だったので、情報セキュリティのアナリスト達の間で、マイクロソフトの月例パッチ公開日「Patch Tuesday」の翌日を「Exploit Wednesday」と冗談めかして呼ぶようになった。迅速に対応することが、成功の鍵だ。火曜日にマイクロソフトが更新をリリースすると、その根底にある脆弱性を発見するべく、即座にリバースエンジニアリングが行われる。そして脆弱性が判明するとすぐにマルウェア攻撃で使用するためのエクスプロイトが作り上げられる。これはまだ更新していないユーザを攻撃することを目的としている。

 マルウェアキットの出現により、2006年遅くにマルウェアのコモディティ化はさらに進んだ。MPackのような初期のキットは、ますます増加する要求を満たすほど迅速に拡張ができず、それら自身の成功の餌食となった。しかしそのような成長の痛みは、マルウェアサービスによって間もなく解消され、今日では闇市場に多数のエクスプロイトキットがある。

 Exploit Wednesdayはもう終わった。マイクロソフトのソフトウェア[1]は10年前と比べ物にならないくらいセキュアになり、パッチもはるかに迅速に公表される。エクスプロイトキットは、マイクロソフトからアドビへと移行した。Acrobat Readerは(Flashも)一時期は最大の標的であった。しかしブラウザがネイティブにPDFをサポートし始めて、Acrobat Readerはほぼ不要になりつつあった。アドビ社は強力な更新サイクルを適用し、同社ソフトウェアは一時的に危険な状況から脱した。その次は、Javaのブラウザプラグインが標的として好まれるようになり始めた。群れの中の一番弱い者だからだ。ブラウザの開発者たちは、程度に差はあれ、極めて制限のある場所へとJavaプラグインを押し込めた。

 そして現時点では…、今でもエクスプロイトキットの標的となっているプラグインでは、アドビ社のFlashが最後で「最良」だ。しかし、どれだけ長い間、そうなのだろうか?

 2010年4月29日、スティーブ・ジョブスは「Thoughts on Flash(Flashについての考察)」という公開書簡を示した。ここでは、なぜアップル社がiOS機器上でFlashを許容しないのかについて説明がなされている。少なくともモバイル端末上では、その時がFlash Player終焉の始まりだと数多くの技術アナリストが指摘している。この指摘は真実だと証明された。2012年6月28日のアドビ社のアナウンスでは、Android 4.1向けの公式なFlash Playerの実装は提供せず、また2012年8月15日以降はGoogle Play経由でのインストールが制限されることになるだろうとのことだった。[2]

 それ以来Flashはデスクトップ市場にしがみついているが、見渡す限り非推奨になっている。2015年8月にはアマゾンが「2015年9月1日以降、Flash広告を受け付けない」と発表した。グーグルは2016年2月にアマゾンの先例に従った。グーグルの広告ネットワークであるAdWordsとDoubleClickも、2016年6月30日以降、Flashベースの表示広告の受け付けを停止する。また2017年1月2日には、Flashベースの広告を無効にする。

 この時点で、私は2017年前半のことを次のように予測をたてることができる。Flashベースの広告のサポートがもはや必要でなくなれば、Google Chromeブラウザは積極的にユーザが任意の種類のFlashを要求するサイトをホワイトリスト化するように求める。MozillaのFirefoxやMicrosoft Edgeでも同様になるだろう。そして2017年の春までには、エクスプロイトキットが憂慮される限りFlashは効率的に馘首されることになる。

 目に見える新たな果実がろくに無いという、破壊的な未来にエクスプロイトキットは直面している。コモディティ化されたマルウェアサービスは、現在流行中のマクロベースのマルウェアのような、添付ファイルのマルウェアの使用へとさらに転換するだろう。

 人々がダイアログを消すために「OK」をクリックするのを防ぐことができさえすればいいのだが。

[1] Silverlightは全面的に例外で、現在キットとして悪用されている。だが、NetflixはSilverlightをお払い箱にしており、願わくば同技術もすぐに絶滅するだろう。

[2] 皮肉なことに、Androidマルウェアの多くのやり取りは、Flashの更新が必要だと主張する、虚偽の広告経由でプッシュされる。Flashが存在しない場合でも、その遺産がソーシャルエンジニアリング上の脆弱性をもたらすことになる。グーグルの検索エンジニアたちは、そのような広告を表示するサイトについてChromeが警告を行うように設計し始めている。

久々に確認、埋め込みオブジェクトの悪用した攻撃

3月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。
Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ&ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。

添付ファイル

なお、Outlook 2013からのバージョンでは埋め込まれたオブジェクトのコピーを保存することができます。取り出してみると、おなじみの(?)ドキュメントファイルを装った実行ファイルであることがわかります。

添付ファイル1

ただ、埋め込みオブジェクトであるためか若干状況が異なります。EXEファイルでは先頭にあるはずのMZシグネチャが中央付近に確認できます。その上部には埋め込んだドキュメントファイルのパスが記述されています。つまり、単純にファイルシグネチャのみでファイルの種別を判定し、解析の実行有無を決定している類のセキュリティツールでは実行ファイルであることが認識できず、該当メールを見逃してしまう可能性があります。
#現在、そのような製品があるかは未確認です。昔あったような・・・。

Hex Editor


埋め込みオブジェクトを利用した攻撃は以前から存在しているものですが、APTで利用されたものは久しぶりに見ましたので報告させて頂きました。社内のサイバーセキュリティ訓練・演習や啓発活動に使ってみてはいかがでしょうか。



インターネットの現状についてのデータマイニング

 当地ヘルシンキにあるアールト大学では、毎年ソフトウェア・プロジェクトの演習を2〜3年生に向けて開催している。この演習の考えは、リアルな目的、リアルな顧客、リアルな締め切りがあるリアルなソフトウェア・プロジェクトの作業を学生が味わえるようにすることだ。演習は初秋に始まる。学生がチームを組み、地元企業から提示される一連のプロジェクトの中から選択する。プロジェクトの作業は10月下旬に始まり、翌年の4月中旬まで続く。演習の最後には、最良のプロジェクトが3つ選定され、この3つのチームが最終決戦のデモで戦う。そして1チームが勝者となる。今年はエフセキュアが後援するチームが、優勝トロフィーを4月19日に授与されて、持ち帰った。

The winning team
アールト大からの当社チームが勝利を祝っているところ

 今回は16チームが形成され、42のプロジェクトが提案された。エフセキュアの提案は「インターネットの現状についてのデータマイニング(DMSI、Data Mining The State Of The Internet)」という名称なのだが、当社のセキュリティクラウド部門の長Ville Lindforsが提出した。熾烈な争いであったが、学生チームの1つが当社プロジェクトを選択した。

 このプロジェクトの目的は、AWS(Amazon Web Services)サービスを用いて、データマイニングのフレームワークを開発することだ。エフセキュアはこのフレームワークを使って、Whoisのデータに基づいてインターネットドメイン同士の接続、相関関係、依存関係を分析することになっている。ここでは、データマイニングの技術が広範に用いられている。このプロジェクトで我々が達成したかったことの例を以下に挙げる。

  • 既知の悪意あるドメインと、ネームサーバを共有するドメインの発見
  • 未知の、害を及ぼすインターネットサイトの検知
  • 新たに登録されたドメインのレピュテーション(評判)を自動的に予測する機能
  • 未知の潜在的なフィッシングサイトの発見
Data Science
最終的に構築したもの

 今回のプロジェクトで作業したチームには7人が参加しており、うち1名はこのラボで働いている。またプロジェクトの期間中、チームをサポート、指導する者がいた。何かにつけ手助けした者を以下に挙げる。

  • Jouni Kuusistoはアールト大の理学修士の研究の一環として、チームの一員となった。またスクラムマスターとしての役割を担った
  • Perttu Ranta-Ahoは、技術専門家として、またプロダクトオーナーとしてチームを支援した
  • Jukka Haapalaはプロダクトオーナーおよびファシリテーターとして対応した
  • Christine Bejerascoは今回のフレームワークの構築に使用されるユースケースを提供した
  • Jaakko Harjuhahtoは2年連続でチームを指導した
Project demo meeting - man pointing at thing.
初期のプロジェクト会議での、学生とエフセキュアのスタッフ

 プロジェクトでは多数の技術を採用することになった。Apache Sparkはデータマイニングのタスクを実行するために選定された。外部情報源からのデータを展開して処理したり、展開したデータに対する問い合わせを実施する。AWSはデータの処理および保管のために幅広く利用した。後続のデータ処理のためにAmazon EMRも用いた。Amazon DynamoDBは、使用するシステムの設定やサービスの状態を格納する目的で使用した。ストリーミングデータのソースを扱うために、Amazon Kinesisを組み込んだ。最後に、使用中のAWSのリソース群を管理するためにAWS CloudFormationを用いた。

Tech used in DMSI
DMSIプロジェクトで使われている技術のほんの一部

 エフセキュアが後援したチームは、献身的であること、非常に難易度の高い技術群を採用した点、網羅的なドキュメント、顧客との熱心な関わり(エフセキュア・ラボで分析ワークショップやデモを開催)、高品質のインテグレーション、模範的な開発プロセス、そして最終プレゼンテーションの品質により称賛された。我々はさらには、夏休みの仕事として3チームを連れてきて、5月に開始する。

 ところで、当社では既に数年に渡ってこの演習に何とか参画している。6位以内に入ることは頻繁で、時には3位以内になったことがある。今回は初のポールポジションだった。勝ち負けに関わらず、これは地元の学生たちにとって素晴らしい機会だ。業界関連の物事に参加し、現実の世の中でソフトウェアエンジニアリングがいかに機能するかを確認し、地域のソフトウェア企業のエンジニアたちに会うのだ。我々のチームが何を達成したかについてご興味があれば、以下2つのリンクに詳細がある。

Badlock:横展開への懸念点

 昨日、Badlockがついに明らかになり、一見したところでは誇大広告だったことで、情報セキュリティ業界全体とも思える範囲でずっこけた。

https://sadlock.org/
Badlock… or Sadlock?

 公開までの1か月間の構築作業と派手なロゴは不要だったという点には同意するが、この脆弱性によって悪意のある人物に有用な兵器が将来的に提供される、と我々が考える理由を説明したい。

 今回の脆弱性を悪用するためには、兵器級の中間者攻撃を作り上げてから、一連のネットワーク化された、パッチが当てられていないSMB(Server Message Block)を実装したホストに展開する必要がある。業界で共有した期待を裏切られた感覚は、この事実によるものだ。こうしたシナリオをあなたが目にするのは、ほぼ企業の内部ネットワークにおいてのみだろう。しかし、この脆弱性に対する適切な中間者攻撃によって、攻撃者は権限を引き上げ、Active Directoryのデータベースへフルにアクセスできるようになる。これはつまり、ログイン情報とパスワードのハッシュをすべて攻撃者に提供することを意味する。Badlockの公式サイトでは、次のように述べられている。

 「Sambaで使用されている各種プロトコルで実行され得る中間者攻撃が複数ある。これにより、インターセプトしたユーザのコンテキストを用いて、任意のSambaネットワークコールの実行が許可される」

 もしこの脆弱性がSambaのActive Directoryサーバで使われたら、攻撃者はActive Directoryのデータベース内の、ユーザパスワードのハッシュを含む機密情報を閲覧、変更できるようになる可能性がある。また当該サーバ上で実行中の重要なサービスも停止し得る。もしこの脆弱性が標準的なSambaサーバで使われたら、攻撃者はファイルやディレクトリに対するユーザのパーミッションを変更できるようになる可能性がある。

 この脆弱性はWindowsとLinuxの双方に影響を及ぼす。この問題を解決するためのパッチは既に提供されているものの、企業全体できちんとこのパッチが適用されているかは管理者によるところだ。マイクロソフト社自身の「Patch Tuesday(定例パッチ)」のプロセスでこの問題は解決され、大半のWindows機は速やかに最新の状態になると、我々は予期している。一方Linux機については未知数である。

 より大局的な観点で見ると、高度な脅威をもたらす人物がひとたび企業の内部ネットワークへのアクセスを得た場合には、Badlockの脆弱性によってこうした人物に有用なツールが提供される可能性がある。国家のような、組織化されて豊富な資源のある集団にとっては、Badlockを悪用して、これに適した中間者攻撃を作成・展開することはそれほど難しいことではない。

 今回の脆弱性についての概念実証は現在のところは表沙汰になっていないが、世の中にはエクスプロイトの作成に励んでいる集団がいると、我々は確信している。現時点ではこのような類の戦略が使われているのを確認していないが(Badlockを取り巻く噂では)、そのうち利用されているのを目にしても驚きはないだろう。

#Wassenaar アレンジメントのゆくえ3 -- 今週から始まる予定の「Intrusion Software」の修整再交渉

3月18日、脆弱性テストツールMetasploitを提供しているRapid7社がブログで「Wassenaarアレンジメント - サイバーセキュリティ輸出コントロールへの推奨事項」という提言記事をポストした。記事中ではまさに今週にあたる4月11日の週からWassenaarアレンジメントの再交渉に関するミーティングが始まる事の指摘があり、それを睨んだ提言だ。

このWassenaarアレンジメントの再交渉の件は、前回私が1月15日にF-Secureブログに「#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは」のポストを書いたのと同時期に動きだしていた。  http://blog.f-secure.jp/archives/50761446.html
この『再交渉』というのは、アメリカ国内での対応制度の話ではなく、41ヶ国の合意となっているWassenaarアレンジメントの本体の文言を書き換えるということだ。

1月12日にアメリカ議会のITサブコミッティーでヒアリングが行われた。
WASSENAAR: CYBERSECURITY AND EXPORT CONTROL

そして2月29日にはアメリカ議会動向のニュースを扱うThe Hillに、オバマ政権が「Intrusion Software」のルールへ再交渉へ舵をきったと流れた。
Obama administration to renegotiate rules for 'intrusion software'

3月1日には、アメリカ商務省がWassenaarアレンジメントの書き換え交渉の提案を受領したことが通知された。


Rapid7による提言そのものは、228ページにわたるWassenaarアレンジメント本文の中の「Intrusion Software」に関する条項の文言それぞれについて、法律家の支援を得て添削を試みたもので、以下のPDFになる。

Rapid7の提言によるWassenaarアレンジメントの添削ドラフトでは、以下の3つの点が変更すべき推奨のポイントになっている。
1) Exceptions to the Wassenaar Arrangement controls on "systems," "software," and "technology."
Wassenaarアレンジメントによる「システム」「ソフトウェア」「テクノロジー」のコントロールへの例外をはっきりすること

2) Redefining "intrusion software."
「イントルージョン・ソフトウェア」を再定義すること

3) Exceptions to the definition of "intrusion software."
「イントルージョン・ソフトウェア」の定義への例外をはっきりすること

F-Secureブログの1月15日のポストでも触れたが、MetasploitはWassenaarアレンジメントの影響を受けるツールとしてよく例に上げられている。理由は、Metasploitにはオープンソース版と商用版があるが、Wassenaarアレンジメントではオープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればの規制から除外されることになっているので、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitは輸出ライセンスを得る必要があるという問題だ。そのため、このMetasploitを提供するRapid7がこのような提言を出して来るのはとても意味がある。

再交渉が始まるタイミングならば、Wassenaarアレンジメントの影響を受け得る日本の企業も積極的に意見を表明していく必要があるだろう。

新たな脅威レポート

 当社の脅威レポート(PDF)の最新版が先ほど公開された。このレポートでは、2015年に目にしたもっとも蔓延したサイバーセキュリティ上の脅威から、傾向を論じている。エクスプロイトキットやランサムウェアなどと共に、CoC(Chain of Compromise)についても紹介している。

tr_2015_ataglance

 このレポートその他はf-secure.com/labsから入手できる。

Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増

 アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。

 ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。

Magnitude EK 2016.04.07

 Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。

MagnitudeEK_Salama.H_20160407

 1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。

MagnitudeReferers_AdPlatforms_20160407.PNG

 さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。

MagnitudeReferers_AdultSites_20160407.PNG

 Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。

 このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。

 当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。

  • Exploit:JS/MagnitudeEK.G
  • Exploit:SWF/Salama.H
  • Trojan:W32/CryptoRansom.A!DeepGuard

 当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。

ランサムウェア「Maktub Locker」のグラフィックデザイン

 「Maktub Locker」と自称する、新たな暗号化ランサムウェアファミリーが出現した。Maktubとは「書いてある」という意味のアラビア語だ。

Maktub Locker

 セキュリティ研究者のYonathan Klijnsmaが、本日これまでに当該ランサムウェアについてツイートした。

 (訳注:「『MAKTUB LOCKER』という新手のランサムウェアが、現在メール経由で拡散されている。暗号化する際にC&Cと通信しない」という意味)

 私はMaktubの支払い用の入り口のグラフィックデザインをちょっと見たのだが…、残りも見ずにはいられなかった。

 以下はステップ4で表示されるものだ。

Maktub Locker - Step 4 - Where do I pay?

 普通じゃない。

 不満を持ったグラフィックデザイナーなのか?

 残りの画像を以下に挙げる。

HELLO!
こんにちは!

WE ARE NOT LYING!
我々は本気だ!

HOW MUCH DOES IT COST?
いくらかかるか?

WHERE DO I PAY?
どのように支払うか?

BITCOIN PURCHASE
ビットコインの購入
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード