エフセキュアブログ

ソフト を含む記事

エジプト、FinFisher侵入ツールそして倫理

  エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。

  2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。

  本部内で、抗議者達は多くの国家機密書類にアクセスした。

binders

  それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。

finfisher

finfisher

finfisher

finfisher

注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。

  「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売されているようだ。「感染プロキシ」、様々な侵入ツールなど、複数のコンポーネントを含んでいるようだ。

  エジプト国家保安当局が同ツールを購入したか否か、我々には分からない。また、彼らがそれを国民をスパイするために使用したかどうかも分からない。他に誰が利用し得るかも分からない。

  ここでの明白な疑問は「我々はFinFisherを検出しているか?」ということだ。答えは「分からない」だ。これを確認するために使用できるサンプルを入手していないからだ。

  これに関連する明白な疑問は、誰かが我々にFinFisherの既知のコピーをくれたなら、我々はそれと承知して、検出に追加するか、といことだ。そしてその答えは「そうする」だ。

  我々はプロテクションの販売に従事している。そのソースが何であれ、攻撃プログラムから我々のカスタマを防御する製品を販売しているのだ。

  カスタマがいかなる不正も犯してはいないのに、関与していない犯罪に関して嫌疑をかけられるというケースは、容易に想像できる。このような状況で、カスタマは自分のアンチウイルスが、トロイの木馬から完全に保護されることを期待するはずだ。たとえそれらトロイの木馬が、政府に由来するものであっても。カスタマが全体主義国家に暮らしているなら、これはさらに重要だろう。我々のカスタマの一部がそうしているように。

  我々が既に「FinFisher」のサンプル、あるいは類似するツールのサンプルを、カスタマから受けとっているということは全くあり得ることだ。しかし、そういうことがあっても、「通常の」犯罪的トロイの木馬との区別はついていない。我々は既知のいかなる政府侵入ツールも所持していない。

  我々は世界中のいかなる警察、あるいは諜報組織からも、彼らのトロイの木馬を検出しないようにというリクエストを受けてもいない。彼らがトロイの木馬を使用しているなら、我々にそれを提供していない。

  そして、たとえ当局が我々に接触し、彼らのトロイの木馬を検出しないよう要請したとしても、我々は2001年に発表した我々のガイドラインに従うまでだ。この件に関しては、我々の公式なステートメントをご覧頂きたい。

  政府のトロイの木馬検出を停止するのは、危険な道筋だ。もしも米国政府が我々に何かを検出しないよう依頼し、我々がそれに従った場合、何をすればいいのだろうか? 我々はどの政府が使用しているハッキングソフトウェアの検出を避けるべきなのか…? ドイツ? 英国? イスラエル? エジプト? イラン?

英国でオンライン犯罪者5名に判決

  フォーラムに自分の保釈シートを投稿したオンライン犯罪者について議論した、昨年8月の我々の記事をご記憶かもしれない。

  彼は今日、ロンドンで有罪判決を受け、懲役4年の刑を申し渡された。同じ判決で、他の男性2人、女性2人にも有罪判決を下され、懲役18カ月から4年、地域奉仕活動への参加という刑が申し渡された。

  スコットランドヤードの発表は以下の通り:

  違法に入手したクレジットカード情報や、コンピュータ犯罪を行うためのツールの売買を行うオンライン「犯罪フォーラム」を設立した若いインターネット詐欺師のグループが本日、合計15.5年の刑で拘置された。

[A] Gary Paul Kelly(1989年4月14日生 - 21歳)Clively Avenue, Clifton, Swinton, Manchester在住・無職;

[B] Nicholas Webber〔1991年10月10日生 - 19歳)Cavendish Road, Southsea在住・学生;

[C] Ryan Thomas(1992年7月8日生 - 18歳)Howard Road, Seer Green, Beaconsfield, Herts在住・Webデザイナー;

[D] Shakira Ricardo(1989年11月14日生 - 21歳)Flat 13, J Shed, Kings Road, Swansea SA1在住・無職;

以上4名は本日(3月2日水曜日)、サザク刑事裁判所で2日間の審問を経て、コンピュータの不正使用と詐欺罪により判決を受けた。全員が以前の審問で有罪を認めた。

+ [E] Samantha Worley(1988年9月30日生 - 22歳)J Shed, Kings Road, Swansea SA1在住・無職。2010年12月14日、犯罪的な資産を取得したことにより地域奉仕活動を行うよう判決を受けた。

  同グループは最大の英語版オンラインサイバー犯罪フォーラムに関与していると見られており、「Metropolitan Police Service」の「Police Central e-Crime Unit(PCeU)」捜査官による入念な捜査が行われ、全員が2009年と2010年に逮捕された。

  11カ月の調査期間中、捜査官は被告らがクレジットカードおよびデビットカード詐欺、(パスワードや暗証番号を含む)個人情報の売買、悪意あるコンピュータプログラム(マルウェア)の作成、交換、感染したパソコン(BotNet)のネットワークの確立とメンテナンス、警察の活動を回避し、裏をかく方法など、犯罪を行う方法に関するアドバイスを提供するチュートリアル、脆弱な商業サイトやサーバの詳細の交換など、個人情報の電子的な窃盗を促進、助長した(8000名以上のメンバーを擁する)国際的フォーラムに、直接関与していた証拠を発見した。

  フォーラムの設立者はWebberだ。「www.GhostMarket.net」という名のWebサイトを設立し、「管理者」としてサイトを包括的にコントロールしていた(すなわち、彼はメンバーの受け入れや拒否、彼らの投稿の修正、投稿、そしてフォーラムでのメンバーのステータスの変更が行えたということだ)。

  再構築された同フォーラムとそのデータベースの調査により、氏名、生年月日、銀行情報、パスワード、Paypalアカウント、社会保障番号を含む個人の情報に関する、数千ものデータエントリが明らかになった。サイトメンバーは、銀行口座の番号、暗証番号、パスワードなどを含む数千の個人情報、Zeus Trojanやクレジットカード検証プログラムを含む様々なタイプの犯罪的ソフトウェアといったマルウェアが含まれる障害の起きたデータベースの売買をしていたと考えられている。

  同フォーラムでは、以下のようなトピックが扱われていた:「フィッシングキット(無料フィッシングキットの投稿および販売)」「技術を示す(あなたのスキルをここで皆に示そう)」「チュートリアル(有益な情報をここに投稿)」「クレジットカード詐欺の標的(あなたがカード詐欺を行ったサイトをここに投稿)」 他にも、警察を回避する様々な方法や、ブランクプラスチックにクレジットカードのデータをエンコードする方法について、また規制薬物(クリスタル・メスといった覚醒剤)の製法、爆弾製造に至るまで、アドバイスやチュートリアルが掲載されていた。

  同サイトのメンバーは、ハンドル名を使用して匿名で情報交換を行っていた。かれらは同サイトで、さまざまなフォーラムトピックにメッセージを投稿し、他のサイトメンバーを相手に、セキュアなプライベートメッセージの送受信を行う事ができた。

  調査期間中、捜査官は被告のコンピュータから13万以上のクレジットカード番号を回収した。これは、カード1枚に対して120ポンドの商業損失と換算され、カード番号のみに関し、1580万ポンドの産業損失と換算される。

  2009年11月3日、捜査官はKellyの自宅住所で捜索令状を執行したのち、彼を逮捕した。捜索が行われ、調査のため複数のコンピュータ、携帯電話が押収された。

  Kellyは、独自に高度かつ悪意あるZeusコンピュータプログラムを作成し、Webにまき散らしていたことが確認された。同プログラムにより彼は、150以上の国で1万5000台以上のコンピュータを感染させ、それらのコンピュータから大量のクレジットカード番号や機密性の高い他の個人情報を含む、400万行以上のデータを収集していた。

  Kellyから関連パスワードの提供を受け、捜査官は彼のPCのファイルを使用し、「GhostMarket」フォーラムとデータベースの再構築を行った。

  これに先立ち、10月12日、WebberとThomasがセントラルロンドンの五つ星ホテルで、盗難にあったカード情報を使用してペントハウススイートの宿泊費を払った罪により逮捕された。彼らはオンライン広告に応じ、匿名の個人に金を支払ったと主張した。

  捜査官がさらなる調査を行う間、彼らは保釈されたが、ラップトップなどが押収された。さらに、彼らは「バーチャルマーケティングの新時代」、署名欄に「I'm a carder, ask about me...」と書かれ、「GhostMarket」のロゴをこれ見よがしに表示した名刺を所有していることが分かった。

  「GhostMarket」犯罪フォーラムとの二人組の関わりは、すぐに確認され、保釈後、姿をくらました彼らを、盗難クレジットカード犯罪に関して追跡するべく捜査が行われた。

  二人は10月31日、マヨルカ島のパルマに飛び、Port D'andraxのアパートを借りて暮らしていることが分かった。

  2010年1月29日、パルマから戻った彼らはガトウィック空港で逮捕された。

  翌日、Webberの自宅の捜査により、さまざま名犯罪行為を行うためのステップバイステップの手引きを概説した、一連のファイルを保存したコンピュータが確認された。

  証拠の量が多く、同事件が複雑であったことから、両人は後日出頭するということで保釈となった。

  捜査官たちはその後スペインに向かい、スペイン警察の協力を受けてThomasとWebberが借りていたアパートの捜索を行った。部屋は空だったが、現地調査の結果、荷物は英国の住所宛に送られたことが確認された。

  さらなるコンピュータ機器のみならず、それらのアイテムもその後回収された。

  押収したコンピュータや他のデジタルストレージデバイスのフォレンジック調査を通じて、また再構築された「Ghostmarket」サイトを通じて確保された証拠を介して、捜査官はフォーラムのメンバーと目されるRicardoを特定。南ウェールズ・スウォンジーにいることがつきとめられた。当初は完全な初心者としてサイトに参加したものの、Ricardoは時が経つにつれて進歩し、直接カード詐欺やコンピュータマルウェアの活動に関与するようになった。

  財政面の調査により、Ricardoから彼女のパートナーであるWorleyの銀行口座に支払いが行われていることが確認され、詐欺罪で起訴された。

  「Police Central eCrime Unit」のColin Wetherill警部補は言う:「被告らは洗練されたサイバー犯罪者であり、英国および海外の個人、企業のコンピュータに対し、組織的に大量感染させる行為に従事していました。

  「彼らは犠牲者から違法に個人情報や財政情報を収集し、利益を得るために悪用したのです。

  「GhostMarket犯罪フォーラムは、世界中で活動する数千のコンピュータ犯罪者および詐欺師により利用されました。

  「このフォーラムを通じて、被告らは広範な犯罪者ネットワークを構築し、障害の生じたクレジットカード情報、機密性の高い財政情報や個人情報、悪意あるコンピュータプログラム、および他の洗練されたツールや犯罪者サービスの卸売を助長しました。

  「彼らの逮捕、起訴、そして有罪判決は、サイバー犯罪に対する我々の取り組み、そしてそうした犯罪に起因する被害を減らそうとする我々の努力における、意義ある前進を意味していると言えるでしょう。」

+ 被告全4名の完全な財政調査は、現在進行中だ。

USBオートランを制限する:Windows用アップデート(KB971029)

  Microsoftによる昨日のオプショナルソフトウェアアップデートには、Windows XP/Vista/non-Windows 7用のアップデート(KB971029)が含まれている。

KB971029

  これは「AutoPlayダイアログでのAutoRunエントリを、CDおよびDVDドライブのみに」制限する「重要な非セキュリティアップデート」だ。

  素晴らしい。これはAutoRunワーム抑制するのに実際役立つだろう。もし古いWindowsコンピュータを使用しているなら、このオプショナルアップデートを適用することを強くお勧めする。

  「update.microsoft.com」にアクセスし、「Custom」アップデートを選択する必要がある。

Express and Custom

  そして「Software, Optional」カテゴリで「KB971029」を見つけることができる。

Optional software updates

  このアップデートは、AutoPlayダイアログでUSB AutoRun機能を制限する。さらなる処置をとりたいなら、AutoPlayを完全に無効にすることだ。ここおよびここで、このトピックに関する記事をご覧頂きたい。

Safer Internet (Update) Day

  2月8日は、子供たちにとってインターネットをより良い場所にすることを目指す日、「Safer Internet Day」だ。あなたのお子さんがオンラインになる前に、彼らのコンピュータがセキュアなソフトウェアで最新の状態になっていることを確認したい。今月は、インストールすべきアップデートやパッチが数多く登場している。

  Microsoftの「セキュリティ情報」には、全バージョンに影響を与える「Internet Explorer」用のアップデートが含まれている。

Microsoft Security Bulletin February 2011

  最も影響の少ないOSは「Windows XP Service Pack 3」であることに注意したい。「Service Pack 2」は昨年、アップデートサイクルから外れたからだ。子供たちはしばしば、「お下がりの」コンピュータを与えられる。子供に古いハードウェアを与える前に、現在のサービスパッックがインストールされていることを確認しよう。代用のブラザも考慮すべきだ。

  とはいえ、他の選択肢もまた、不安要因が無いわけではない。

  Googleは最近、「Chrome」をバージョン9.0.597.84に修正した。

  もう一つのポピュラーな選択肢であるVLCメディアプレーヤには、悪意ある攻撃者が任意のコード実行を誘発する事が可能になる、無効なMKVファイルをパースする際の欠陥がある。VLCメディアプレーヤー1.1.7はこの問題に対処しているので、アップデートするか、信頼できないダウンロード(そしてVLCプラグインをインストールしているなら信頼できないサイト)を避けることだ。

  Adobeも今日、Adobe ReaderおよびAcrobat用のアップデートをリリースしている。影響を受けるバージョンは、WindowsおよびMacintosh用のAdobe Reader X (10.0) およびそれ以前のバージョンだ。

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!

ソーシャル・スパム Q&A

Q:「ソーシャル・スパム」とは何なのか?
A:ソーシャル・スパムは、リンクを広めるためにソーシャル・ネットワーキング、メディアやニュース関連のWebサイトを利用するスパムだ。

Q:リンク? Facebookで見かける「何てことだ! 父親がウェブカムで自分の娘を盗撮」といったようなことを言っているリンクのようなもののことか?
A:そう。そういったリンクだ。

Q:それで、わいせつなリンクを拡散させると、ソーシャル・スパマーにどんな利益があるのか?
A:第1に、電子メールスパムがどのように機能しているかについて話をしよう。

Q:うーん… OK。では、電子メールスパムはどうなのか?
A:電子メールスパムは、自宅の郵便受けを一杯にする、現実世界のダイレクトメールや料金別納郵便に似たものだ。製品のオーナーはプロモーションしたいと考えているので、広告を配布するために誰かを雇うわけだ。ダイレクトメールの送り手(スパマー)は、配信される広告の数に基づいて、価格/レートを提供する。

Q:むしろ単純に聞こえるが。では、電子メールスパマーは、どのようにして利益を獲得するのか?
A:いくつかの方法があるが、一般に、配信されるメッセージの量に応じて前払いされる。電子メールスパマーは、より良いサービスを提供しようとすることで、互いに競争しているのだ。彼らは自分達のアドレスリストが、有効な(生きた)アカウントであり、他のスパマーよりも品質が高いことを証明しようともする。

Q:では、電子メールスパムは伝統的な製品オーナーと広告者の関係ということか?
A:その通り。製品オーナーは宣伝したいため、広告者に対して支払いを行う。その広告(スパム)は、皆さんの受信簿に送信され、皆さんのアンチスパムソフトウェアが、スパムを迷惑メールフォルダにフィルタリングすることになる。

Q:ソーシャルスパムに戻ろう。リンクを拡散することは、スパマーにどのようにして利益を与えるのか? リンクには「広告メッセージ」は埋め込まれていないし… 単なるタブロイドスタイルの見出しに過ぎないではないか。そのリンクは、広告ページをオープンするのか?
A:違う(それはコメントスパムだ)。ソーシャルスパム・リンクは、ソーシャルスパムのプロセスの第1歩に過ぎない。拡散したリンクの数が多ければ多いほど、スパマーにとっての潜在的な報酬は大きくなる。

Q:そのプロセスの第2のステップは何なのか?
A:スパムリンクの拡散だ。

Q:ではそれはどのように行われるのか?
A:Webサイトの「ソーシャル」な性質を悪用することによってだ。たとえばFacebookでは、あなたがスパムリンクをクリックすると、あなたに気に入ってもらいたい、あるいは許可してもらいたいページへと導かれる。

Q:気にいるか許可する?
A:その通り。そのリンクが、あなたを(facebook.comによってホスティングされた)Facebookアプリケーションに導く場合、そのアプリケーションがあなたのプロフィールにアクセスすることを許可しなければならない。もし許可すれば、同アプリケーションはあなたのプロフィールにリンクをポストし、その結果、あなたの友人とそのリンクを共有することになる。

Q:それがアプリケーションで無い場合は?
A:リンクがあなたを「ページ」(オンサイトであろうとオフサイトであろうと)、そのページをプロフィールページで「Like」「Share」にするよう要請される。スパマーは「Like」や「Share」を選ばせるよう、様々なトリックを使用する。

Q:どんなトリックを?
A:クリックジャック攻撃などだ。ページは不可視のフレームを使用して、そのことに気づかせることなく、人々に「likeボタン」をクリックさせようとする。

Q:では、ページを気に入ったとしたり、共有したりすると、そのリンクが拡散するということか… スパマーのために貢献しているということか?
A:その通り。

Q:でも、ページではなくアプリケーションなら、アクセスを許可しなければならないのか?
A:そうだ。そしてFacebookは前もって明瞭な警告を与える。

Q:他のサイトはどうなのか?
A:Twitterアプリケーションも、アプリケーションを追加する前にユーザに警告する。Twitterは2010年8月の末にOAuthにスイッチし、その結果、ユーザのパスワードは現在ではサードパーティ・アプリケーションと共有されないようになっている。

Q:では、ソーシャルサイトを模倣した外部ページを除いて、アプリケーションをコントロールできるか、制御できるか、あるいはどちらもできるのだから、それらを防ぐことができるのでは?
A:それは難しい問題だ。ソーシャルサイトは、共有するよう設計されている。だからこそソーシャルなのだ。ますます多くの正当なページが、毎日のように気に入ったとされ、共有され、ツイートされている。スパムページがシェアされないようにする唯一の方法は、全ての共有をブロックするか、当然、そのサイトからのページを削除することだ。

Q:では何が行われているのか?
A:フィルタリングだ。ソーシャルサイトは自分達のコミュニティが、スパムを報告してくれることをあてにしている。TwitterもFacebookも、「スパムとして報告」オプションを有している。そして彼らは、バックエンドでアンチスパムテクノロジを使用している。

Q:ステップ2は拡散だが… 何故そのプロセスは馴染みのあるもののように聞こえるのだろう?
A:電子メールワームと類似しているからだ。

Q:え? 電子メールワーム?
A:そう。電子メールスパムは、メッセージ本文か添付ファイルに広告を含んでいる。電子メールワームは多少異なる。これらはメッセージにバイナリのペイロードを付加していたが、アンチウイルス企業は遙か昔に、そのような添付ファイルをフィルタリングすることを学んだ。

Q:それで?
A:それでこの頃では、悪意ある添付ファイルはフィルタリングされてしまうので、電子メールワームはエサとしてリンクを使用している。受信者がメッセージ内のリンクをクリックすると、悪意あるペイロードを提供するWebページへと導かれる。そのペイロードのミッションには、受信者がメールをやり取りしている相手の連絡先を盗むことも含まれているため、連絡相手も脅威にさらされる可能性がある。

Q:ソーシャルスパマーはこのプロセスを考案しなかったのか?
A:いや、とんでもない。リンクでおびき寄せる全プロセスは、電子メールから進化したものだ。

Q:それでソーシャルスパムは、「ワームへのリンク」を介して広がるのか?
A:そう、だいたいそのような考え方だ…

Q:オーケー。ステップ1と2は、電子メールワームのように拡散するが、ゴールは電子メールスパムにより似ているわけだ。ステップ3は何なのか? 父親/娘ウェブカムビデオを見るようになるのか?
A:それはステップ2がアプリケーションか、ページか(例としてここでもFacebookを使用している)による。

Q:ステップ2がアプリケーションを許可するとどうなるのか?
A:次にスパムアプリケーションは、あなたの情報を収集するお返しとして、そのビデオ(あるいは他の何か)を提供することが多い。

Q:どんな情報を収集するのか?
A:あなたが何を許可しているか次第だ。基本的な詳細情報かもしれないし、アプリケーションがあなたに電子メールを送信する許可や、あなたのFacebookページの管理かもしれない。(Twitterアプリケーションは、あなたのアカウントに他をフォローさせたり、それらの人々のリンクをリツイートさせる。)

Q:それで?
A:それでソーシャルスパマーは、売り物になる商品にできる情報を獲得するわけだ。上で述べたことを思い出して欲しい…

Q:電子メールスパマーは、より良いサービスと有効なリスト提供することで、互いに競争している?
A:その通り。有効なリストを作るのに、Facebookのようなソーシャル・ネットワーキング・サイトよりも良い方法はあるだろうか? ナマのメールアドレスが獲得できるばかりでなく、年齢や性別、嗜好や興味も分かるのだ。結局のところ、25歳の女性に、バイアグラ・スパムを送ってもほとんど意味は無いのだから…

Q:素晴らしい商品のようだ。その情報で他にどんなことができるのか?
A:最悪のシナリオは、ID窃盗、もしくは恐喝のために利用されることだろう。

Q:そういうことは起こりうるのか?
A:可能だが、おそらく起こらないだろう。我々がスパマーフォーラムで得た情報によれば、スパマー達は手っ取り早い金儲けに関する広告を作成することが多いようだ。

Q:オーケー、ではまたステップ2に戻ろう… ステップ2がページだった場合はどうなのか?
A:この部分は少々複雑だ。

Q:複雑?
A:そう。ソーシャルスパムリンクがページにリンクしているなら、そのページは一般的に、ある種のCost Per Actionアフィリエイト・マーケティング・ネットワークを利用している。

Q:Cost Per Actionアフィリエイト・マーケティング・ネットワークとは?
A:まず最初に、アフィリエイト・マーケティングについて考えてみよう… 以下はWikipediaの記事の一部だ:アフィリエイト・マーケティングは、企業が1人以上のアフィリエイトに、アフィリエイト自身のマーケティング活動によってもたらされたビジターもしくはカスタマに対して、報酬を支払うマーケティングプラクティスである。

Q:アフィリエイトは、広告のために前もって支払いは受けないのか?
A:その通り。アフィリエイトは、大量の広告を売っているわけではない。そうではなく、彼らは製品オーナーへのトラフィックを促進しているのだ。製品に対してより多くのトラフィックを誘導できればできるほど、彼らはより多く稼ぐことができる。製品オーナーはこのマーケティング手法を好む。結果が出る前に前もって支払いを行う必要が無いからだ。

Q:そして、アフィリエイト・マーケティング・モデルはスパマーによって利用されるのか?
A:そうだ。残念なことにアフィリエイト・マーケティングは、スパマーによって容易に悪用される。

Q:何でそれが合法なのか?
A:なぜなら、アフィリエイト・マーケティングを実行するのに多くの合法的な方法が存在するからだ。Groupon(groupon.com)を例に取ってみよう。Grouponが提供する商品に対して、特定の数の人々が申し込むと、その取引は申し込んだ全員に対して有効となる。だが、予定されていた最低人数に達しないと、誰もその取引を完了することができない。Grouponユーザは、一種のアフィリエイトの役割を果たしている。もしも彼らがマーケティングの仕事をしており、そのオファーを仲間と共有し、十分な人数が申し込むなら、その会社は取引を認可する。

Q:良いアフィリエイト・マーケティングと悪いアフィリエイト・マーケティングがあるため、法律を制定するのはかなり難しいということか?
A:そうだ。

Q:オーケー、それでソーシャルスパマーはアフィリエイト・マーケティングの形式を利用しているわけだ。それでCost Per Actionアフィリエイト・ネットワークとは何なのか?
A:アフィリエイト・マーケティング・ネットワークは、一種の「スーパー・アフィリエイト」のようなものだ。アフィリエイト・マーケターは、発生したリードの量に基づいて、段階的な割合で支払いを受ける。1名だけでは、一般的に、より高いパーセンテージの段階には到達できない。アフィリエイト・マーケティング・ネットワークは、個人が、より多くの量を生む集合的なアフィリエイトの役割を果たすことを許しており、ネットワークメンバーにより高い支払いが行われる。

Q:それでCost Per Action(CPA)とは?
A:CPAは一般的に、リードの可能性から何かを獲得しようとするものだ。

Q:では、ページが気にいられたり、共有されたりした後、ステップ3で何が起こるのか?
A:スパマーは、小さな「アンチ・ボット」テスト(アクション)の実行後、ビデオ(あるいは何か)を見せると約束する。スパマーたちはそれを、「CAPTCHA」もしくはあなたが人間であることを確認するための手順だと主張する。

Q:そしてこれが、望みのものをスパマーが獲得する時なのか?
A:そうだ。この時点で、JavaScriptフォームが開き、その人物が人間であることが証明されたことに対して、「スペシャルオファー」が与えられる。

Q:どんなスペシャルオファーなのか?
A:ブラウザ用の検索ツールバーをダウンロードとか、クーポンを受けとる為に有効な電子メールアドレスを提供するといったシンプルなものであることが多い。あるいは… 高額なSMSベースの会費制サービスに巧みに申し込みさせる、といった可能性もある。

Q:その時点でスパマーは金を儲けるということか?
A:そうだ。行動を完了し、製品オーナーに「リード」を提供したそれぞれの人達1人につき、アフィリエイト/スパマーは1ドル以上稼ぐことができる。

Q:1ドル以上? それは良い稼ぎだ。
A:そう。稼ぐのにほとんど労力がかからないのだから。

Q:それで、これら全ては、詐欺と考えられるのか?
A:詐欺は強すぎる言葉だろう。

Q:しかし、このようなことを詐欺と呼ぶセキュリティベンダもいるが。あなた方はそうは思わないのか?
A:詐欺は、強すぎる言葉だろう… 詐欺というのは「Advance Fee Fraud(前払い詐欺)」、すなわち「あなたは英国の宝くじに当選されました! なんとかかんとか.comのLottoUKに連絡を」といったもののことだ。

Q:それでこのCPAスパムは何なのか?
A:これは詐欺的マーケティングのカテゴリに該当する。

Q:では何故一部の人々は、Facebook詐欺についてブログに書き続けているのか? 宣伝なのか?
A:その人達に聞いて欲しい。

Q:では、それが詐欺的マーケティングなら… それについてできることは何か?
A:政府の監査機関が参加すべきだ。たとえば、フィンランドでは、(フィンランド語に)ローカライズされたFacebookスパムのケースは、フィンランドの消費者保護局により解決された。エフセキュアはマスコミに詳細を伝え、マスコミあるいは犠牲者、あるいは両者が、SMS申し込みベンダを詐欺的であると報告した。そのSMSベンダに支払い請求サービスを提供した地元の企業は、スパム実行に伴う全ての訴えを覆した。(2回目の訴えは起きていない。)

Q:アメリカ合衆国はどうなのか? 詐欺的なアフィリエイト・マーケティング・スパムと戦う方法は、米国にはあるのか?
A:以前、実行されていた。2006年、アドウェアベンダ(Hotbar)のZangoが、彼らをビジネスから閉め出すFTC(連邦取引委員会)の調査に直面した。市民擁護団体が、Zangoが不当で詐欺的なビジネスプラクティスに関与しているとして、2件の公式な不服を申し立てた。

Q:では、FTCが2011年に目をむけるべき企業はどこか?
A:リストには、CPAlead(cpalead.com)、PeerFly(peerfly.com)およびAdscend Media(adscendmedia.com)が含まれている。

Q:Facebookが3人のスパマーに対して起こした、最近の訴訟はどうか?
A:実際、これら3つの訴訟の1つは、CPAleadのCTOであるJason Swanに焦点を合わせたものだ。同訴訟では、CAN-SPAM条例が引用されており、これら3つの例に偽の、あるいは詐欺的なサービスが提供されたケースが含まれている。たとえば「Facebook Gold」アカウントだ。そのようなものは存在せず、FacebookはCAN-SPAM条例のもとで、被告は有罪であると主張している。

Q:しかし、ほとんどのソーシャルスパムは、最終的には約束していたビデオ(か他の何か)をオープンするのではないか?
A:そうだ。それはほとんどの場合、YouTubeからの再利用コンテンツに過ぎないが、全3ステップが完了されていれば、そのリンクは約束を果たしはする。だから、これら3つのケースは興味深いが、ソリューションというよりはむしろ、スパマーへの警告に近いように見える。CAN-SPAM条例が当てはまるのかどうか(しかし、裁判官に提示する価値はある)我々にはわからない。

Q:もう一度まとめるが、ソーシャルスパムに関連するステップは何なのか?
A:第1に、犠牲者がリンクをクリックする。第2に、彼らはアプリケーションもしくはページを、気に入った/共有するとするか、許可する。第3に、犠牲者はCost Per Actionオファーを完了する。そして彼らはYouTube(もしくは別のところ)で、自力で見付けられる古いコンテンツにより「報いられる」。

Q:ソーシャルスパムはどれだけ効果的なのか?
A:非常に良い質問だ。2009年、ソーシャルスパムはハッキング/フィッシングされたアカウントにより発生した。2010年には、スパムリンクをばらまくために、スパマーにより他の方法が開発された。2010年夏までには、スパムリンクは何十万ものクリックを発生させた。

Q:ソーシャルスパムリンクは、まだクリックされているのか?
A:人々がこのプロセスについて知識を持つにつれて、クリックレートは下がっている。すべてのリンクの効果は、ますます下降線をたどっている。しかし、クリックレートと支払金額は、ソーシャルスパマーの方が電子メールスパムよりもかなり高い。

Q:ソーシャルスパムは電子メールスパムと同じくらい、大きな問題となるのか?
A:電子メールスパムはインタラクションを必要としない。スパマーは単に、スパムフィルタを回避する試みに、できる限り力を注げば良い。

  ソーシャルスパムは一般的に、人間のインタラクション(副次的なサイト脆弱性を除いて)を必要とする。ソーシャルスパムはインタラクティブなので、できることが存在する。FacebookとTwitterは、ユーザ経験を改善し、自分達のコミュニティがスパムに気付き、避けることを援助するよう、絶えずUIを再設計している。そしてソーシャルメディアサイトは絶えず進化しているため、ソーシャルスパムの性質もまた進化している。

  ソーシャルスパムはおそらく、サイトの機能を利用して、今後も常に存在するだろうが、電子メールスパムのように徹底的に、システムを悪用することはほとんど無いだろう。電子メールスパムをフィックスする唯一の方法は、電子メールプロトコルをフィックスすることだ。FacebookおよびTwitterスパムは、必要に応じて両サイトが対処することができる。

Q:最後に、ソーシャルメディアサイトを介した、他のタイプのスパムは存在するのか?
A:存在する。成人向けの出会い系サイトやサービスをプッシュする偽プロフィールスパムだ… しかし、それはまた別のQ&Aとなる。すべての画像をソートしたら(誰かがしなければならない)、この問題に戻る予定だ。

ChromeOSはカモ用か?

  Googleが先週、ChromeOSオペレーティングシステムのローンチで、「Cr-48」ノートブックを発表した。

  そして今週、否定派たちは時間の無駄だと言っている。

  ChromeOSはユーザにデータをクラウド上に保存することを強いることで、人々を「不注意なコンピューティング」に追いやる計画のように見えると、リチャード・ストールマンは語っている。そして彼は「カモは常に生まれている」ため、多くの人々がこうした方向に進み続けるだろうと推測している。Business Insiderの分析によれば、「Googleが現在示している内容に基づくなら、彼らがChromeノートブックを無料で配らない限りは、使う理由が無い」として、ChromeOSは時間の無駄だという。

  ChromeOSは時間の無駄なのだろうか? 場合による… ChromeOSは、消費者をクラウド・コンピューティングに取り込むことに成功できるかもしれないし、できないかもしれないが、Googleの取り組みから有益な副作用が生じる可能性は確かにあるからだ。

  人々を「クラウド」利用に駆り立てることで、よりセキュアになるような場合はあるだろうか? ある。クラウド、そしてデータが組織に属する場合だ。結局「Cr-48」はGoogleシンクライアント以外の何物でもない。

  そして近頃の、モバイルシンクライアントの価格は?

  以下はHP Windows Embeddedモバイルシンクライアントで、価格は625ドルからだ:

HP 4320t Mobile Thin Client, http://h10010.www1.hp.com/wwpc/us/en/sm/WF05a/321957-321957-64295-3852246-3955551-4174493.html

  やれやれ、これはハードドライブ無しのコンピュータの価格としてはかなり高価だ。

  だが、たとえば病院などの多くの組織はモビリティを必要としているが、データが保存できる(そして紛失する可能性のある)ハードドライブを搭載する危険を犯すことはできず、その結果Windows Embeddedマシンに高い費用をかけるのだ。より安価な選択肢を提供することで、金を稼ぐ余地がある。我々はだれかが、ChromeOSをシンクライアント利用に適合させるのに(そしてHPのwebOSがそれに追随しそうだ)、さほど時間は掛からないと予測している。

  しかし、あなたは自分の組織のデータをGoogleのクラウド上に置きたくないのでは?

  結構。

  CitrixがChromeOSクライアントを開発している。

  Citrixで何ができるのか?

  以下は「Citrix Receiver for iPad」を介したiPad上のWindows 7だ:

Citrix Receiver for iPad, http://itunes.apple.com/us/app/citrix-receiver-for-ipad/id363501921

  素晴らしい。

  シンクライアントソフトウェアを介して、組織のデータに対するセキュアな接続を提供する仮想化技術により、クラウドコンピューティングを活用する個人利用ためのクールなハードウェアだ。データの損失を恐れることなく、仕事や遊びに活用して欲しい。

Welcome to a Dark Future - Stuxnetと殺害されたイラン科学者

  11月29日月曜、イランのテヘランで核施設に関わる2人の科学者が暗殺者に狙われた。イランの公式ニュースIRNAによると、Fereydoun Abbasi氏はケガを負うだけで済んだが、Majid Shahryari氏は殺害された。
http://www.irna.ir/ENNewsShow.aspx?NID=30097553

  DEBKA Fileによると、Majid Shahryari氏は朝7:45amに車を運転中にバイクで接近してきた暗殺者グループに攻撃された。当初のニュースでは2人とも車を爆発物で狙われたと言われていたが、DEBKA FileによるとMajid Shahryari氏の車に銃痕がある写真がニュースで公開されていたことから、銃による殺害と見なされている。

  しかしこのDEBKA Fileニュースのもっと興味深い点は、Majid Shahryari氏はイランのStuxnetに関するトップの専門家だということをヘッドラインで報じていたことだ。
http://www.debka.com/article/20406/

  ドイツのシーメンス社のSCADAシステムのみを狙って感染するStuxnetワームについては、6月の発見以降の動きについて、F-Secureのショーン・サリバンの『「Stuxnet」再び:質疑応答』に改訂版がまとめられている。

  この2人のイラン人科学者暗殺事件の直前、イランのAhmadinejad大統領は記者会見で、イランのウラニウム濃縮施設がコンピューターウィルスにより被害を受けたことを認める発言をしていた。
http://www.theregister.co.uk/2010/11/29/stuxnet_stuxnet/

  これに先立つ11月24日、DEBKA FileはイランのNatanz(ナタンズ)のウラニウム濃縮施設で11月16日から23日の間にトラブルが発生したため施設がシャットダウンされ、この件はウィーンのIAEAにも報告されていたことを報じていた。このニュースの中では、Stuxnetはイラン軍システムにも感染してレーダー装置に影響を与えたとするレポートを、DEBKA Fileは入手しているとも報じていた。
http://www.debka.com/article/9168/

  Stuxnetを誰が開発したのかについては未だに不明なままだが、4つのウィンドウズ・ゼロデイを使用する高度な技術力で開発され、攻撃対象をイランの核施設が使用する機材に著しく絞って設計されたワームであることから、テロ組織か国家の関与によるという推測がなされて来た。しかしその誰かは、ソフトウェアだけでなく実際の暗殺という物理オペレーションも同時に実行する誰かだという事が、この事件で浮かび上がって来た。これはスパイ映画ではなく、現実に起こったことだ。

  コンピューターセキュリティと物理セキュリティの関係について、以前からある程度の議論はあったが、このイラン科学者の暗殺はそれ何段も高めてしまった。そしてイラン以前にも、ブラジルの銀行のITセキュリティ担当者が犯罪組織に殺害される事件も起きている。ついにコンピューターセキュリティ専門家は実際に命を狙われるターゲットになることがはっきりした訳だ。

  10月に発表された、リスクマネジメント・コンサルティングを行うKroll社の出した世界の不正行為の現状に関する報告書「Global Fraud Report」では、情報と電子的不正行為によるものが伝統的な不正行為を量的に超えたという視点が含まれていて一部で話題になった。ここから推測して、今後犯罪組織がますますサイバー犯罪の比重を高めて来る可能性は高い。そうなれば、マルウェアのリバースエンジニアリングなどを行うセキュリティ専門家も、犯罪組織にとっての邪魔者として攻撃対象にされてくる危険性が高まる可能性がある。今の犯罪組織はコンピューターも銃もどちらも使う。

  コンピューターセキュリティ専門家には、自分の身の安全に注意しなければならない時代が迫っているのかもしれない。 Welcome to a dark future.

Vacon社と協業、「Stuxnet」対策躍進を狙う

再生利用エネルギー産業と電動機器産業にACドライブを世界的に供給しているVacon社とエフセキュアが、産業オートメーション技術におけるアプリケーションのセキュリティ研究を推進するために協業することになりました。
続きを読む

「ほとんどの人は、ルートキットが何なのかさえ知らない」

  悪名高いソニー・ルートキット事件から、今日で5年が経過した。

  ソニー・ルートキットは、セリーヌ・ディオン、ニール・ダイアモンド、リッキー・マーティンといった、有名なアーティストの音楽CD数百万枚と共に出荷された。

  こうしたオーディオCDがWindows PCで再生されると、不正コピーを監視するコンポーネントがインストールされ、オーダーメイドのルートキットにより、その存在が隠された。このルートキットは、ソニーBMG自身のソフトウェアを隠すだけでなく、ファイル名に「$sys$」という文字を含む、すべてのプログラムを隠すことになった。同ルートキットは非常に効果的だったため、当時、ほとんどのアンチウイルスプログラムは、隠しファイルをスキャンすることができなかった。結果として、ウイルスライターたちが、インストールされれば、ソニールートキットがそれらを自動的に隠してくれるファイル名を使用したマルウェアを公開し始めた。

  これは大事件であり、ソニーの反応はPR的な危機にはタッチしないという手法の良い例となった。

Thomas Hesse Sony BMG

  もともと我々が同ルートキットを発見したのは、2005年9月のことだったが、Mark Russinovichがこのケースについて発表した2005年11月1日にニュースとなった。

Sony Rootkit

MIT Technology Review issue 85   この出来事全体に対する最高の批評は、明らかに、エフセキュア・ラボのMika StahlbergおよびSanteri Kangasによるコメントを掲載したMIT Technology Reviewによる記事だった。

  セキュリティベンダのすべてが、ソニーが間違っていると直ちに同意したわけではなかった。我々が気に入っている2つの引用は以下の通りだ:

The Inquirerから:
  もしあなたが、信頼できるセキュリティベンダを見付けたいなら、ソニー・マルウェアSRM感染問題に対して立ち上がり、早い段階で声を大にして「これは間違っている」と表明したベンダを探すことをお勧めする。エフセキュアを筆頭にいくつかのベンダが思い浮かぶ。これらのベンダは言う。「あなたが自分のマシンを保護するためにしたいことは、おそらくは数週間、不平を言ったりブツブツ言ったりすることではないはずだ。」

Bruce Schneierから:
  おそらく、称賛に値する唯一のセキュリティ会社は、ソニーの行動に対してまっ先に、そしてもっとも声高に批判してきたエフセキュアだ。

  しかしまた一部の人達は、「セリーヌ・ディオンを聴けるなら、感染する価値はある」と言うのだ…

「Firesheep」:複雑だったことを容易にするツール

  暗号化されていないHTTP接続でWebをサーフィンすることは安全ではない。特にあなたが、暗号化されていないWi-Fi接続を介してサーフィンしている場合は。同じホットスポットを使用している他の誰でも、あなたのトラフィックをモニタするための特別なツールを使用することができるからだ。

  暗号化されたHTTPS接続によりWebをサーフィンする方がはるかに良い。強力な暗号化(WPA2)を使用したホットスポットの利用も安全だ。しかし、これらのオプションは通常、エンドユーザが決められることではない。大部分のオープンなホットスポットは、まったく暗号化していないし、多くのポピュラーなサイトは、たとえあったとしても、ログイン手続きにHTTPSを使用するのみだ。

  そしてたとえログインセッションが暗号化されるにしても、多くの人気サイト(Facebook、Twitter、Amazonなど)は、以降のすべてのリクエストのために使用されるクッキーをブラウザに与える。もし誰かがこのクッキーを盗むことができれば、同サービスでのあなたのセッションを盗むことができるのだ。

  人々は、クッキーを盗むことによってセッションをキャプチャすることは、特別なツールを持つ熟練ハッカーによってのみ可能であるという印象を持ってきた。
Firesheep
  この状況は現在変化している。

  「Hey Web 2.0: Start protecting user privacy instead of pretending to(ユーザのプライバシーを守るふりではなく、本当に保護することを始める)」という名のペーパーが、 Ian GallagherとEric Butlerにより、先週「Toorcon」で発表された。彼らのスライドはここにある。

  彼らは「Firesheep」というツールもリリースした。

  「Firesheep」は、この問題を示すために設計されたFirefoxブラウザのエクステンションだ。

  「Firesheep」はローカルWi-Fiネットワークをスキャンする。同ツールはFacebook、Twitter、Google、Amazon、Dropbox、Evernote、Wordpress、Flickr、bit.lyといったサービスにログインしているユーザをつきとめる。そしてこれらのユーザのアイコンを表示し、これによりあなたは彼らになることができるのだ。あなたは彼らのオープンセッションを続けたり、何かを投稿したり、削除したりすることができる。あなたは、これらのユーザにできることは、何でも実行することができる。

  これはかなり深刻な問題だ。実行するのが難しかった何かが、突然、取るに足りないほど簡単に実行できるようになるのだ。

  Windowsでの「Firesheep」の使用には、まだ若干のスキルが必要であることに注意して欲しい。すなわち、WinPcapパケットキャプチャソフトウェアをインストールする必要があるからだ。

  「Firesheep」は不正使用されるだろうか? 間違いなく。

  上記のサイトのいくつかに、完全なSSLをもたらすだろうか? 我々はそう願う。Gmailは今年初め、これを実行している。

  現状でユーザは何をすることができるだろうか? 可能ならば、SSLを押し進めること。暗号化なしでWi-Fiを使用してはいけない。あるいはVPNを使用すること。

  ほとんどの企業ラップトップは、企業VPNがインストールされている。しかしユーザの多くは、自分たちがそれを必要とする時にオンにするだけだ。これは間違った考え方だ。もしVPNがあるならば、ホットスポットでは常にオンにしておくべきだ。あなたが「働いている」のではなくて、単にFacebookをサーフィンしているだけだとしても。

  明らかに、ホームユーザは自分達のラップトップに企業VPNはインストールされていない。それでは、どのVPNサービスを使用するべきだろうか? 我々は同市場を調査していないので、実際、分からない。皆さんのご意見に興味を持っている。コメント欄からフィードバック頂ければ幸いだ。

追記:「TechCrunch」がFirefoxエクステンション「Force-TLS」に関する記事を掲載している:「Firesheep」からあなたのログイン情報を守る方法

Mr. Anderson が罪状を認める

m00p  グループ「m00p」の「Warpigs」が今日、ロンドンのサザーク刑事法院で罪状を認めた。

  エフセキュアでは、何年にも渡りこの事件に関わっており、長く続いたこの事件がなんらかの終結を見たことを嬉しく思っている。

  このマルウェアグループは、数年にわたって、いくつかのマルウェアファミリを制作していた。これらのマルウェアは、利益を得るために制作されたものだ。

  スコットランドヤード、Pori警察、およびCentral Criminal Police Finlandに敬意を表したい。

  警視庁からの全声明は以下の通り。



  コンピュータウイルス作者のネットワークに対する国際的なオペレーションの結果、本日(10月22日金曜日)、スコットランドの男性が罪状を認めた。

  2006年、アンチウイルス製品による検出を避けるため、新たなコンピュータウイルスを作成していた高度に組織化されたグループに対し、警視庁とフィンランド当局による複雑なインターネット犯罪の捜査が開始された。

  同グループは2005年以来、主に英国企業を標的とし、そしてこの期間、何万ものコンピュータが世界中で感染した。

  オンライン「m00p」グループ(MゼロゼロP)のメンバーによるこの国際的陰謀は、未承諾の商業メール(スパム)に添付されたウイルスを使用して、コンピュータを感染させるというものだった。Matthew Andersonは、この陰謀のキープレイヤーであり、何百万ものスパムメッセージを配信した。

  オペレーションは、フィンランド国家警察(NBIフィンランド)、フィンランドのPori警察と共に、MPS警察中央ネット犯罪ユニットにより開始され、2006年6月27日、スコットランドのサフォーク州とフィンランドで、3人の男性が逮捕された。

  これらの男性の一人がMatthew Anderson(1977年10月17日生まれの33歳)で、アバディーンシャーのDrummuir出身のフランチャイズマネージャだった。この陰謀での彼の役割は、電子メールを書き、ウイルスを添付して送信することで、オペレーションの管理を行うことだった。

  捜査の一環として容疑者のサーバに加え、何台かのコンピュータが両国の居住地で押収された。

  このコンピュータウイルスは、感染したコンピュータのバックグランドで、そのコンピュータの持ち主に知られぬよう動作し、アンダーソンはこれらのコンピュータに保存されている個人的、商業的なデータにアクセスできることが分かった。

  警察中央ネット犯罪ユニットのDC Bob Burlsは言う:

  「この組織化されたオンライン犯罪ネットワークは、特に英国企業および個人を標的とし、膨大な数にのぼる世界中のコンピュータを感染させました。Matthew Andersonは、自らの利益を得るためばかりでなく、プライバシーを侵害する目的でも、組織的にコンピュータユーザを悪用したのです。彼らは犯罪を犯すため、高度なコンピュータコードを使用しました。

  「インターネットは、犯罪者が国際的に犯罪を犯す機会の増加につながっていますが、国際的な法執行機関とアンチウイルス企業は進化を続けているため、安心して頂きたいと思います。この事件が示すように、犯罪者たちはオンラインで身を隠すことができず、自分達の行動について釈明を求められています。このような複雑な調査は、国際協力によって何が成し遂げられるかを示しているのです。」

  Andersonは、被害者のコンピュータに対して有していたコントロールを使用して被害者のウェブカメラを作動させることができ、通常、被害者に知られることなく、彼らの家庭の様子を効果的にスパイすることができた。警察は捜査中に、Andersonのコンピュータから他の人々の遺言状や病院の診断書、履歴書、パスワードリスト、プライベートな写真などと共に、被害者のウェブカメラから得られたスクリーンキャプチャを発見し、このことを立証した。

  Andersonはオンラインで「aobuluz」および「warpigs」というプロフィール名を使用した。彼は「Optom Security」という名のコンピュータセキュリティソフトウェアを提供するオンラインビジネスの背後で、違法な企業を運営していた。

  Andersonはサザーク刑事法院で以下の罪状を認めた:

  「Computer Misuse Act 1990」第3項に反し、コンピュータのコンテンツに未許可の修正を行った。

  特に:

  Matthew Andersonは2005年9月1日から2006年6月27日まで、Artturi Almおよび他の仲間と共に、コンピュータのコンテンツに未許可の修正を引き起こした。そのような修正を引き起こす目的で、そして、そうすることにより、自分達のオペレーションを損ない、あらゆるコンピュータプログラムのオペレーション、もしくはコンピュータデータの信頼性を損なった。

  また、入手した犯罪の証拠およびマネーロンダリングの内容は記録に残されていた。

  彼に対する判決は11月22日に下される。

  他の2人の男性は、捜査の一環としてすでに逮捕されている。1名はそれ以上追求されることなく釈放された。もう1人のArtturi Almは、2008年にフィンランドで罪を認めており、服役(18日)および地域奉仕活動命令を受けている。

報告された攻撃サイト! - セキュリティツールの最新のトリック

  攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。

スパイスイート「Phone Creeper v0.95」

  XDA-DevelopersのメンバーChet Strikerが最近、彼が開発した「Phone Creeper」という名のモバイルスパイスイートについてつぶやいた。

  Version 0.95が今日リリースされた。

  「Phone Creeper」はWindows Mobileアプリケーションだ(Android用にも開発されている)。

Phone Creeper v0.95

  「これは携帯スパイスイートだ。下記のファイルが含まれている[SD]カードを挿入するだけで、密かにインストールすることが可能だ。同プログラムは、インストールされているプログラム、もしくは動作中のプログラムのもとであらわになることはなく、有用な機能を可能にする。同ソフトウェアが動作中の携帯電話は、遠隔的に[SMS]テキストメッセージにより[コントロール]することが可能だ。」

  サイレントインストールは、インストールされているプログラム下に現れることなく、リモートコントロールを可能にする。

  以下はコマンドの一部だ:

  •  かけた通話のログを表示(削除されている場合も表示)
  •  受信したSMSのログを表示(削除されている場合も表示)
  •  連絡先を獲得
  •  アポイントメントを獲得
  •  タスクを獲得
  •  GSPロケーションおよびGoogleマップリンクを獲得

  完全な機能を持つスパイツールのようではないだろうか?

  それでStrikerは何故「Phone Creeper」を開発しているのだろう? 結局、彼はこれを販売しておらず、金銭は関わっていない。

  彼の「Ethical Statement(倫理的声明)」から:

  「私がこれを制作した主要な理由は、そうすることが可能だったからというだけではなく、チャレンジングであり変わっており、面白そうに思われたからだ。実際のところ、私にはスパイする人は誰もいないし、必要も無い。」

  「私は、このプログラムの悪用を許さない。先に述べた通り、私はそうすることができ、楽しいから作成したのだから。」

  OK、それならば、彼はジェームズ・ボンドのような、クールなちょっとしたソフトウェアを作りたい人という訳だ。そして「Phone Creeper」は印象的な諸機能を持っている。しかしそれでも、同アプリケーションは、悪の手に渡れば実質的な被害をもたらす目的で利用することが可能だ。Strikerは彼の声明の中で、このことを承認してさえいる。彼のごく最近の投稿にも、「RemoveCreeper.zip」が含まれている。

  我々は「Phone Creeper」の検出をバックドアとして追加しており、「エフセキュア モバイル セキュリティ」は同アプリケーションのインストールをブロックする。

  Strikerは悪い人間のようには見えないが、スパイスイートのサイレントインストールは、セキュリティスイートにより検出されるべきだ。作者の動機はそのツールが実際に何をするか、ということほど重要ではない。

  しかし、彼の声明を読み、ご自身で判断した上で、コメントを寄せて欲しい。

ホワイトハッカーを仲間につけろ

 何やらTwitterのXSSワームがいろいろ話題になっていましたが、F-Secure ミッコ・ヒッポネンさんの「ハッカーを味方につけろ」にてひとつ気になる所がありました。

(snip)
 私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

  たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。
(snip)

 確かに報奨制度は脆弱性の悪用を防ぐためのひとつの手段かも知れません。ですが、脆弱性を見つけて報奨金がもらえるとなると、むしろ攻撃者の不正アクセス行為を助長させ、結果的にはリスクが増えるのではないかと思います。それと、Webサイト運用側にとっては不正アクセス行為(の可能性と検知されるアクティビティ)が増える可能性が考えられ、これをやると監視の方もひと苦労でしょう。。あくまで仮説ですが。

 個人的には報奨制度ではなく、企業内でセキュリティエンジニアを雇用、育成し、安全なソフトウェア開発のために検証工程に脆弱性チェックというプロセスを組み込む方がいいのではないかと思います。(もし、既に組み込まれているとしたら、そのプロセスを強化するということで)

 もちろん、その作業はインターネットセキュリティの専門会社にアウトソースするという選択肢もあります。ですが、可能ならセキュリティエンジニアを雇用した方が経済合理性があるのではないかと思っています。楽天ではアウトソースと自社のセキュリティエンジニアの組み合わせでセキュリティ業務をしていますが、実績としては、やはり自社の作業比率を上げた方がコスト面やリードタイムなどメリットが大きいです。

 そして、Webサイト運営の現場では様々なセキュリティの業務があり、脆弱性チェック以外でもセキュリティエンジニアを必要としていて、彼らの活躍の場は沢山あると思っています。
Rakuten-CERTの業務の一例:あんしん・あんぜんなWebサイト運営のために


 この先、インターネットサービス企業が生き残るためには、インターネットセキュリティの技術は必須になると思っています。お客様の情報は守った上でのサービスですから。楽天ではそのベースとなるセキュリティ技術、そして体制をさらに強化しているところです。僕たちはもっともっと優秀なセキュリティエンジニアを必要としています。そして、セキュリティエンジニアの方々にはもっともっとユーザ企業側でも活躍して欲しいなあと思います。
やってみると結構、面白いですよ。

have fun.

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

YouTubeのCPAleadスパム

  エフセキュアの「Safe and Savvy」ブロガーの一人、Melody-Janeが先日、YouTubeで見つけた「エフセキュア インターネット セキュリティ 2010」の「無料」オファーについて、私に聞いてきた。彼女はこのビデオ、そしてそこに付随したリンクは、疑わしいどころではないと考えていた。そこで私はチェックしてみた。

  その結果、「Cost per Action(CPA)」スパムを発見した。私が最近、Facebookで調査しているのと同種のものだ。(私は本当に、「本当に」このCPAが嫌いになりはじめている。)

  これは以下のような典型的ビデオだ:

YouTube Spam

  「削除される前に…リンクをクリックしてダウンロードを始めよう!」

  もう遅い。私はすでに、YouTubeとBit.lyに対して、私のリクエストの30分以内に、このビデオがリンクを悪用していることを報告した。(ナイス!)

  以下は、別のスパムビデオ例だ。

YouTube Spam

  ご覧の通り、スパマーが詐欺に利用しようとしているのは、エフセキュアのソフトウェアだけでなく、他の多くのAV製品も提供されている。

  ビデオ内で紹介されているリンクをクリックすれば、「WordPress.org」ブログに導かれる。

  そして、「無料コンテンツをアンロックする」ためのCPA調査が提示される。

YouTube Spam

  調査に記入すると、得られるコンテンツは何か?

  動画共有サイトへのリンクだ…(何てことだ)。

  不正なソフトウェアのダウンロードは、一般的にマルウェアへの近道だ。我々は(何のソフトウェアであれ)推奨しない。

それでは
ショーン

DLLハイジャックとライブラリの読み込みが難しい理由

  ここ数日、DLLハイジャック(あるいは「バイナリプランティング」)のカテゴリに分類されるエクスプロイトが、多くの注目を集めている。AppleのiTunesには問題があり、他の多くのアプリケーションも同様のようだ。

  この問題は実はまったくシンプルなものだ。攻撃者が誰かをだまして、フォルダからデータファイル(たとえばiTunesの場合はMP3ファイル)を開かせようとし、同時に、同じ場所のどこかに、悪意あるダイナミックリンクライブラリ(DLL)を置く。こうすることで、脆弱なアプリケーションに悪意あるコードを実行させることが可能になる。したがってネットワークシェア上で誤ったファイルをダブルクリックすると、マシンが感染してしまう可能性がある。

  全ての問題は、決して新しいものではない。Thierry Zollerが指摘しているように、ほぼ同一の問題が10年も前に報告されている。我々は何故、現在多くの新しい脆弱性を目撃しているのだろうか? 多くは、先週の日曜、HD Mooreにより提供された新しいツールに起因している可能性がある。同ツールは、このよう脆弱性の発見を非常に容易にするのだ。

  よって、安全を保つためには何をすることができるだろうか? Microsoftが、この問題について「Security Advisory 2269637」を発表している。リスクを軽減する方法がいくつか紹介されている。また各製品の脆弱性には、ベンダからのアップデートを適用するべきだ。

  我々はもちろん、この事態を詳しくフォローし、この脆弱性を悪用している悪意あるDLLの検出を追加していく予定だ。

  現在、我々のソフトウェアにいかなる脆弱性も見いだしていないが、この問題に関し、さらに調査を進めていく。

サインオフ
アンティ

追記:Windowsソフトウェアの開発をしている皆さんに:LoadLibrary(「mylibrary.dll」)という単一のファンクションを明確にするのが、こんなにも難しいというのは奇妙なことではないだろうか?

LoadLibrary MSDN

  LoadLibraryのドキュメンテーションはおよそ1100語で、詳述しているページは1000語、そして本当に理解するための方法を紹介しているページは900語以上となっている。およそ3000語、あるいはこの記事の10倍ほどの長さだ。LoadLibraryを気に入るだろう!

コードサイニング証明書獲得に用いられる企業ID窃盗

  先週、ラボは大量に出回った奇妙なマルウェア群を特定した。有効なAuthenticodeコードサイニング証明書でサインされたファイルだ。

Company X's stolen certificate

  このようなものを、我々は以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。

  私は、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する、小規模なコンサルティング会社を見つけた。

  この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態は私にとってより興味深いものとなった。実際、彼らはソフトウェアを作成しておらず、それゆえサインすべきものなど何も無いのだ。明らかに、誰かが彼らの名前で証明書を獲得したわけだ。彼らはID窃盗の被害者ということになる。

  私は、被害者と不正な証明書にサインした認証局であるComodoの助けを借りて、このケースを調査した。そして同証明書が、実在の従業員の名前で申請され、Comodoは電子メールだけでなく、電話による確認も行ったことが分かった。この詐欺師は、その従業員の電子メールにアクセスすることができ、電話による確認は、違う人のところにかかったか、何らかの誤解があったようだ。そのため、電話によるチェックは、このケースを食い止めることができなかった。

  Comodoは不正な証明書の取り消しを行い、同証明書でサインされたすべてのファイルは、自動的にブロックされる。

  また、今回の調査で、私は被害を受けた従業員が、他のCA会社Thawteからの電話を受けとったことを知った。Thawteは彼女に、会社の名称でコードサイニング証明書を申請したかを尋ね、彼女はそれに対し「いいえ」と回答した。そしてThawteは、証明書受け付けのプロセスを打ち切った。どうやらこのマルウェアの作者は、アプリケーションプロセスを操作するため、すべてが上手く行くまで、複数のCAを試したようだ。

  このケースは、コードサイニングの信頼性に対して深刻な懸念を与えるものだ。

  詐欺師たちが企業の電子メールにアクセスできる場合、その企業からの申請が本物かどうかをCAが確認することは非常に難しい。将来的に、間違いが起きることもあるだろう。評判の良い無実の企業が、マルウェア作者のプロキシとして、有効な証明書を入手するために利用されるという、今回のようなケースを目撃することが増える可能性は高い。

  認証局は既に、疑わしい証明取得の試みや、その他のシステム悪用に関する情報をパスする手段を有している。しかし、これらのシステムは人間によって維持されており、それゆえ間違いも起こりうる。我々は、現行のシステムでは、証明書はファイルの素性に対する100パーセントの保障とはならないという事実を受け入れるべきだ。

  いくつかの認証局で提供されているシングルエントリの現状は、セキュリティの観点から見て良いことではない。認証局は、単一のドメイン名、たとえば「f-secure.com」が、一度に1つのレジストラのみがホスティング可能なドメイン名と同様、類似したプロセスを持つべきだ。

  また、コードサイニングあるいはSSL証明書は、一度に1つのCAのみにより署名することができるようにすべきだろう。

  そうすれば、何者かがエフセキュアの名前で証明書を得たいと考えた場合、その人物はエフセキュアが現在証明書を得ている、エフセキュアと取引関係のあるCAからのみ、獲得することができ、その結果、すべての証明書の新規リクエストは、既存の連絡窓口で確認されることになる。こうしたことを可能にするには、CAは情報リソースを集約する場所が必要となるだろう。

  すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、スキャムやソーシャルエンジニアリングの可能性があまりにも高いことを考えれば、セキュアではあり得ない。

  コードサイニングの悪用について、さらに知りたいとお考えの方のため、この10月、私は「T2 Information security conference」でプレゼンテーションを行う予定だ。

T2'10

サインオフ
ジャルノ

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード