エフセキュアブログ

タリン を含む記事

あなたが探しているDroidアップデートは存在しない

エフセキュアのThreat Solutionsチームが今日、Android向けの新しい「感染ベクタ」を使用した興味深い脅威を発見した。

  この7月、彼らは「Spyware:Android/SndApps」を分析したが、これはアップデート後、様々な個人情報にアクセス可能になった。アップデート前は、「インターネット」パーミッションを要求するのみだ。ユーザは自分のスマートフォンに既にインストールされているアプリケーションをアップデートする際、パーミッションをあまり注意深くチェックしないのではないかと思う。

  したがって、アップデート方式を介したこのパーミッションのエスカレーションを念頭に置き、同チームは同じトリックを試みる悪意あるアプリケーションのモニタリングを行ってきた。そして今日…彼らは一つ見つけた。

  分析は現在進行中だ。

  我々が現時点で言えることは、オリジナルのアプリケーション(サードパーティのマーケットからダウンロードされた)に、悪意あるコードはないということだ。いったんインストールされると、同アプリケーションはすぐに、アップデートが入手可能であるとユーザに知らせる。そしてその「アップデート」が、「Trojan:Android/DroidKungFu」の亜種をインストールするのだ。

  さらに、オリジナルのアプリケーションの開発者は、自分達のアプリケーションがDroidKungFuダウンローダとして使用されることを意図していたのかどうか、という問題もある。おそらく、開発者のバックエンドが改ざんされたのだろう。

  我々は同アプリケーションを「Trojan-Downloader:Android/DroidKungFu.E」および「Trojan:Android/DroidKungFu.C」として検出している。

SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54

  我々は技術的な詳細を追加するほか、次回の記事で、この「アップデート攻撃」に関するスクリーンショットを掲載する予定だ。

「プライバシーは情報フローを管理する方法である。」

  人々はどうして、自分の個人情報を赤の他人に与えることをいとわないのだろう?

  それは人間が情報を共有したいと考えるからだ。そして実際、所有物やサービスといった「もの」よりも、ずっと気楽に情報をシェアしている。

  以下のうち、あなたがもっとも、あまり考えずに提供しそうなものはどれだろうか?

  •  見知らぬ人にバス停の方向を教える(情報)
  •  見知らぬ人をバス停まで連れて行く(サービス)
  •  見知らぬ人にバス代をあげる。(所有物)

  あなたが多くの人と同様なら、躊躇無く方向は教えても、自分のお金をあげることには抵抗するだろう。

  そしてこれが、発達した人間社会の仕組みだ。中でも我々は特に情報を共有する。何故なら、それはほとんどコストがかからず、社会がより効率的に機能するのに役立つからだ。

  この考えは、クレイ・シャーキーが2010年、South by Southwest(SXSW)で発表したものだ。シャーキーは何度もTEDトークを行っており、テクノロジーの社会への影響に関する思索で広く尊敬されている。プライバシーに関する話題に興味があるなら、シャーキーが2008年の「Web 2.0 Expo NY」で行ったプレゼンテーション「情報洪水などない。それはフィルタリングの失敗だ」を見るべきだ。

  このプレゼンテーションで、シャーキーは「プライバシーは情報フローを管理する方法だ」という所見を述べている。シャーキーによれば、我々がプライバシーに関して直面している大きな問題は、我々が設計された一つのシステムから、異なる特性を持つ他のシステムに移行するのではなく、徐々に発達したシステムから設計されたシステムに移行している、という事実を中心に展開しているということだ。

  「プライバシーを管理すること」は、自然な行為ではない。

  昔、プライバシーは、人々をスパイすることが簡単ではなかったことで維持されていた。Facebookのようなプラットフォームは、新たに独特な問題を生み、そして古くから存在するフィルタを一新するのではなく、むしろ新たなソリューション(フィルタリング)が必要となる。


YouTube:情報洪水などない。それはフィルタリングの失敗だ。

さようなら、スティーブ・ジョブズ

  スティーブ・ジョブズが亡くなった。

  Googleはトップページを変更し、敬意を表している:

Google's Steve Jobs tribute

  「Steve Jobs」は、「apple.com」にリンクしている:

Apple

  そしてAppleによるジョブズの写真からは、このメッセージにリンクしている:

Apple remembers Steve Jobs

  非常に感動的な言葉だ。

  Google側のセキュリティ措置としても良いものだ。

  このニュースを耳にするやいなや、我々は慎重さに欠ける人々を対象に、最後にもう一度、ジョブズを利用しようとするマルウェアやスキャムなどの試みに注意を向け始めた。ニュース速報が出るたびに、こうしたことが起きる。今年3月に起きた日本の地震と津波が顕著な例だ。ニュースが発生すると、検索エンジン最適化詐欺が起きる。

  現在、「スティーブ・ジョブズ 葬式」と検索すると、結果の最初のページにスキャムが現れる。

Google Search results

  以下のサイト「stevejobsfuneral.com」は、15分の1の確率でMacbookが当たるというクジのため、電子メールアドレスを収集しようとするものだ。そして、リンク先のオンラインストアでは、購入することでジョブズに敬意を表することができるとして、Apple製品の販売を行っている。

  このサイトにとって都合の良いことに、このリンクにも、リンクを通して商品が購入されると利益が得られる、アフィリエイト広告情報が含まれている。

  「stevejobsfuneral.com」を避けるべきことは、おそらく言うまでもないことだろうが、このサイトは9月20日には既に登録されていた。ハゲワシはかなり前から旋回していたのだ。

stevejobsfuneral.com: scumbag website

  ニュースを検索する際には、常識だけでなく「news.google.com」も利用することだ。

  「Google Search」は悪意あるサイトをフィルタリングするという、非常に適切な仕事をしているが、最近、スパムと(広告に関連した)スキャムに関してヘマをしているようだ。あなたの国で利用できるなら、「Google News」を利用すること。

—————

スティーブ・ジョブズのご冥福をお祈りする。

WindowsとMac双方のマルウェアを拡散するFacebook攻撃

  現在、重大なFacebookマルウェア攻撃が起こっている。

  この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。

  我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)

  エサとして使用されているのは以下のサブジェクトラインだ:

oh shit, one more really freaky video O_O」と…
IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!

  リンクは、「newtubes.in」のサブドメインを示している。

  Openbook検索では、エクスポーズされた人々の例が多数示される

  以下は、Facebookの検索結果の一例だ:

Facebook search, oh shit, one more really freaky video O_O

  ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。

  この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。

  そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。

  あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…

追記:

  グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:

one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!

  グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。

  上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。

  頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。









マルウェア作者:エフセキュアに監視させてホフを悩ませるな!

  この間、我々はマルウェア作者たちがチャック・ノリスが大のお気に入りらしいことに気づいた。当然だ。チャック・ノリスは強烈なのだ! 我々はこの状況を慎重にモニタリングし、ノリス氏に対するある種の興味、あるいは敬意を示すマルウェアをいくつか見つけた。

  我々は考え始めた。我々のオートメーションがチャック・ノリスに対する言及を探すことでマルウェアを検出することができるなら、我々は他に何をすることができるだろうか? そして我々は気づいた。デビッド・ハッセルホフへの言及を探す必要がある、と。よく考えれば明白だ!

The Hoff t-shirt
Picture (C) F-Secure Corporation

  確かに、「ホフ」に言及するマルウェアが存在する。

  リモート管理Trojan(RAT)で、クライアントとバックドアからなる「Backdoor:W32/IndSocket.A (a7de748dc32a8edda9e81a201e2a83da8f60bd42)」が一例だ。これは障害の起きたコンピュータ上で、攻撃者が特定のことをするのを可能にする。典型的なのは、プログラムの実行、キーストロークのロギング、ユーザのWindowsデスクトップの壁紙を変更するなどだ。しかし問題もある。攻撃者は、どの壁紙を使うか選べないのだ。攻撃者がリモートTrojanコントロールパネル上で「David Hasselhoff Atach」(原文ママ)ボタンをクリックすると、壁紙が自動的に、戦略的に2匹の子犬が配された「ナイトライダー」の有名な画像に変わる。

indsocket options
Picture (C) F-Secure Corporation

  したがって、あなた自身が壁紙を「ホフ」の写真に変えていないなら、何が起きたか分かるだろう。エフセキュアの「インターネット セキュリティ」には「Anti-Hassle Hoff Technology(TM)」が搭載されていることを知れば、我々のカスタマは安心するに違いない。

ケイト・ミドルトンのドレス画像を検索する際は慎重に

  現実の出来事はしばしば、ものすごい数のオンライン検索を引き起こす。先頃起こった日本の地震と、それに続く津波は、世界の注目をGoogleに集めた突発的出来事の良い例だ。そしてGoogleの検索結果のトピックトレンドとして、検索エンジン最適化(SEO)攻撃が試みられる。我々は3月11日の記事で、情報検索の際に用心するよう勧めている。

  同記事では、GoogleがSEO攻撃を阻止するため、かなり良い仕事をしており、検索結果からフィルタリングしていることも指摘した。Webの結果がということだが…

  昨年の10月以来、我々は画像ベースのSEO襲撃が安定して成長しているのを見てきた。Googleが悪意あるサイトSEOに対する(追いつ追われつの)戦いに勝利しているため、攻撃者の中には画像検索にシフトする者がいるのだ。画像ベースのSEO攻撃は、より一層の技術的チャレンジだ。トレンドに追随し、次にホスティングされた攻撃サイトに結びつけるかわりに、攻撃者はトレンドとなっているトピックを特定の画像に結びつける必要があり、次にその画像を障害が起きたサイトにリンクし、そこから攻撃者のサイトにリンクする必要があるからだ。

  我々のThreat Insightsチームが調査してきたのは、興味をそそられる進化だ。

  しかし、それに関しては今後の記事でより詳細を提供する予定だ。

  今日は、明日大量に検索される画像がケイト・ミドルトンのウェディングドレスだろうということを指摘したい。

  人々はウイリアム王子とケイト・ミドルトン嬢の結婚式について記事を読むだけでなく、見たいと思うだろう。そして明日、Googleの画像検索はこれまで以上に利用されるだろう。

  我々は既に、「ロイヤルウェディング報道」SEO攻撃を目撃しつつある。

  以下は、結果に何人かの有名なサッカー選手を含む例だ:

SEO image attacks

  この画像は「0611-soccer-studs1-credit.jpg」という名で、「lingerie-now-com」にリンクしている。

  ホストサイトがバックグラウンドでロードされている間に、Googleのプレビューが前面でロードされる。

SEO image attacks

  次に起きるのは、バックグラウンドサイトが攻撃サイトにリンクされ、そのページを引き継ぎ、スケアウェア攻撃の試みに関する警告メッセージを表示する。

SEO image attacks

  以下がリンケージだ:

SEO image attacks

  このサイトは次に、アニメーションの「オンラインScan」を生成する:

SEO image attacks

  結果は全て、もちろんナンセンスで、以下の例はクリーンなテスト用マシンからのものだ:

SEO image attacks

  残念なことに、SEOによるスケアウェア攻撃は相対的に言って、非常に上手くいっている。消費者はこの種の攻撃により、数百万ドルも搾取されているのだ。

  だから、もしあなたに結婚式の画像を探す予定があるなら、こうした潜在的脅威に注意してほしい。

SEO image attacks

  「ロイヤルウェディング」に対するGoogleのWebサーチ結果では、ページのトップに二人のオフィシャルサイトが表示される。

  そして、他にも画像ベースのSEO攻撃のタイムリーな例として、昨日、ホワイトハウスによりリリースされた、バラク・オバマ合衆国大統領の出生証明書を検索した人々を標的とした攻撃があり、「GFI Labs」のChristopher Boydが記事を掲載している。

ソーシャル・スパム Q&A

Q:「ソーシャル・スパム」とは何なのか?
A:ソーシャル・スパムは、リンクを広めるためにソーシャル・ネットワーキング、メディアやニュース関連のWebサイトを利用するスパムだ。

Q:リンク? Facebookで見かける「何てことだ! 父親がウェブカムで自分の娘を盗撮」といったようなことを言っているリンクのようなもののことか?
A:そう。そういったリンクだ。

Q:それで、わいせつなリンクを拡散させると、ソーシャル・スパマーにどんな利益があるのか?
A:第1に、電子メールスパムがどのように機能しているかについて話をしよう。

Q:うーん… OK。では、電子メールスパムはどうなのか?
A:電子メールスパムは、自宅の郵便受けを一杯にする、現実世界のダイレクトメールや料金別納郵便に似たものだ。製品のオーナーはプロモーションしたいと考えているので、広告を配布するために誰かを雇うわけだ。ダイレクトメールの送り手(スパマー)は、配信される広告の数に基づいて、価格/レートを提供する。

Q:むしろ単純に聞こえるが。では、電子メールスパマーは、どのようにして利益を獲得するのか?
A:いくつかの方法があるが、一般に、配信されるメッセージの量に応じて前払いされる。電子メールスパマーは、より良いサービスを提供しようとすることで、互いに競争しているのだ。彼らは自分達のアドレスリストが、有効な(生きた)アカウントであり、他のスパマーよりも品質が高いことを証明しようともする。

Q:では、電子メールスパムは伝統的な製品オーナーと広告者の関係ということか?
A:その通り。製品オーナーは宣伝したいため、広告者に対して支払いを行う。その広告(スパム)は、皆さんの受信簿に送信され、皆さんのアンチスパムソフトウェアが、スパムを迷惑メールフォルダにフィルタリングすることになる。

Q:ソーシャルスパムに戻ろう。リンクを拡散することは、スパマーにどのようにして利益を与えるのか? リンクには「広告メッセージ」は埋め込まれていないし… 単なるタブロイドスタイルの見出しに過ぎないではないか。そのリンクは、広告ページをオープンするのか?
A:違う(それはコメントスパムだ)。ソーシャルスパム・リンクは、ソーシャルスパムのプロセスの第1歩に過ぎない。拡散したリンクの数が多ければ多いほど、スパマーにとっての潜在的な報酬は大きくなる。

Q:そのプロセスの第2のステップは何なのか?
A:スパムリンクの拡散だ。

Q:ではそれはどのように行われるのか?
A:Webサイトの「ソーシャル」な性質を悪用することによってだ。たとえばFacebookでは、あなたがスパムリンクをクリックすると、あなたに気に入ってもらいたい、あるいは許可してもらいたいページへと導かれる。

Q:気にいるか許可する?
A:その通り。そのリンクが、あなたを(facebook.comによってホスティングされた)Facebookアプリケーションに導く場合、そのアプリケーションがあなたのプロフィールにアクセスすることを許可しなければならない。もし許可すれば、同アプリケーションはあなたのプロフィールにリンクをポストし、その結果、あなたの友人とそのリンクを共有することになる。

Q:それがアプリケーションで無い場合は?
A:リンクがあなたを「ページ」(オンサイトであろうとオフサイトであろうと)、そのページをプロフィールページで「Like」「Share」にするよう要請される。スパマーは「Like」や「Share」を選ばせるよう、様々なトリックを使用する。

Q:どんなトリックを?
A:クリックジャック攻撃などだ。ページは不可視のフレームを使用して、そのことに気づかせることなく、人々に「likeボタン」をクリックさせようとする。

Q:では、ページを気に入ったとしたり、共有したりすると、そのリンクが拡散するということか… スパマーのために貢献しているということか?
A:その通り。

Q:でも、ページではなくアプリケーションなら、アクセスを許可しなければならないのか?
A:そうだ。そしてFacebookは前もって明瞭な警告を与える。

Q:他のサイトはどうなのか?
A:Twitterアプリケーションも、アプリケーションを追加する前にユーザに警告する。Twitterは2010年8月の末にOAuthにスイッチし、その結果、ユーザのパスワードは現在ではサードパーティ・アプリケーションと共有されないようになっている。

Q:では、ソーシャルサイトを模倣した外部ページを除いて、アプリケーションをコントロールできるか、制御できるか、あるいはどちらもできるのだから、それらを防ぐことができるのでは?
A:それは難しい問題だ。ソーシャルサイトは、共有するよう設計されている。だからこそソーシャルなのだ。ますます多くの正当なページが、毎日のように気に入ったとされ、共有され、ツイートされている。スパムページがシェアされないようにする唯一の方法は、全ての共有をブロックするか、当然、そのサイトからのページを削除することだ。

Q:では何が行われているのか?
A:フィルタリングだ。ソーシャルサイトは自分達のコミュニティが、スパムを報告してくれることをあてにしている。TwitterもFacebookも、「スパムとして報告」オプションを有している。そして彼らは、バックエンドでアンチスパムテクノロジを使用している。

Q:ステップ2は拡散だが… 何故そのプロセスは馴染みのあるもののように聞こえるのだろう?
A:電子メールワームと類似しているからだ。

Q:え? 電子メールワーム?
A:そう。電子メールスパムは、メッセージ本文か添付ファイルに広告を含んでいる。電子メールワームは多少異なる。これらはメッセージにバイナリのペイロードを付加していたが、アンチウイルス企業は遙か昔に、そのような添付ファイルをフィルタリングすることを学んだ。

Q:それで?
A:それでこの頃では、悪意ある添付ファイルはフィルタリングされてしまうので、電子メールワームはエサとしてリンクを使用している。受信者がメッセージ内のリンクをクリックすると、悪意あるペイロードを提供するWebページへと導かれる。そのペイロードのミッションには、受信者がメールをやり取りしている相手の連絡先を盗むことも含まれているため、連絡相手も脅威にさらされる可能性がある。

Q:ソーシャルスパマーはこのプロセスを考案しなかったのか?
A:いや、とんでもない。リンクでおびき寄せる全プロセスは、電子メールから進化したものだ。

Q:それでソーシャルスパムは、「ワームへのリンク」を介して広がるのか?
A:そう、だいたいそのような考え方だ…

Q:オーケー。ステップ1と2は、電子メールワームのように拡散するが、ゴールは電子メールスパムにより似ているわけだ。ステップ3は何なのか? 父親/娘ウェブカムビデオを見るようになるのか?
A:それはステップ2がアプリケーションか、ページか(例としてここでもFacebookを使用している)による。

Q:ステップ2がアプリケーションを許可するとどうなるのか?
A:次にスパムアプリケーションは、あなたの情報を収集するお返しとして、そのビデオ(あるいは他の何か)を提供することが多い。

Q:どんな情報を収集するのか?
A:あなたが何を許可しているか次第だ。基本的な詳細情報かもしれないし、アプリケーションがあなたに電子メールを送信する許可や、あなたのFacebookページの管理かもしれない。(Twitterアプリケーションは、あなたのアカウントに他をフォローさせたり、それらの人々のリンクをリツイートさせる。)

Q:それで?
A:それでソーシャルスパマーは、売り物になる商品にできる情報を獲得するわけだ。上で述べたことを思い出して欲しい…

Q:電子メールスパマーは、より良いサービスと有効なリスト提供することで、互いに競争している?
A:その通り。有効なリストを作るのに、Facebookのようなソーシャル・ネットワーキング・サイトよりも良い方法はあるだろうか? ナマのメールアドレスが獲得できるばかりでなく、年齢や性別、嗜好や興味も分かるのだ。結局のところ、25歳の女性に、バイアグラ・スパムを送ってもほとんど意味は無いのだから…

Q:素晴らしい商品のようだ。その情報で他にどんなことができるのか?
A:最悪のシナリオは、ID窃盗、もしくは恐喝のために利用されることだろう。

Q:そういうことは起こりうるのか?
A:可能だが、おそらく起こらないだろう。我々がスパマーフォーラムで得た情報によれば、スパマー達は手っ取り早い金儲けに関する広告を作成することが多いようだ。

Q:オーケー、ではまたステップ2に戻ろう… ステップ2がページだった場合はどうなのか?
A:この部分は少々複雑だ。

Q:複雑?
A:そう。ソーシャルスパムリンクがページにリンクしているなら、そのページは一般的に、ある種のCost Per Actionアフィリエイト・マーケティング・ネットワークを利用している。

Q:Cost Per Actionアフィリエイト・マーケティング・ネットワークとは?
A:まず最初に、アフィリエイト・マーケティングについて考えてみよう… 以下はWikipediaの記事の一部だ:アフィリエイト・マーケティングは、企業が1人以上のアフィリエイトに、アフィリエイト自身のマーケティング活動によってもたらされたビジターもしくはカスタマに対して、報酬を支払うマーケティングプラクティスである。

Q:アフィリエイトは、広告のために前もって支払いは受けないのか?
A:その通り。アフィリエイトは、大量の広告を売っているわけではない。そうではなく、彼らは製品オーナーへのトラフィックを促進しているのだ。製品に対してより多くのトラフィックを誘導できればできるほど、彼らはより多く稼ぐことができる。製品オーナーはこのマーケティング手法を好む。結果が出る前に前もって支払いを行う必要が無いからだ。

Q:そして、アフィリエイト・マーケティング・モデルはスパマーによって利用されるのか?
A:そうだ。残念なことにアフィリエイト・マーケティングは、スパマーによって容易に悪用される。

Q:何でそれが合法なのか?
A:なぜなら、アフィリエイト・マーケティングを実行するのに多くの合法的な方法が存在するからだ。Groupon(groupon.com)を例に取ってみよう。Grouponが提供する商品に対して、特定の数の人々が申し込むと、その取引は申し込んだ全員に対して有効となる。だが、予定されていた最低人数に達しないと、誰もその取引を完了することができない。Grouponユーザは、一種のアフィリエイトの役割を果たしている。もしも彼らがマーケティングの仕事をしており、そのオファーを仲間と共有し、十分な人数が申し込むなら、その会社は取引を認可する。

Q:良いアフィリエイト・マーケティングと悪いアフィリエイト・マーケティングがあるため、法律を制定するのはかなり難しいということか?
A:そうだ。

Q:オーケー、それでソーシャルスパマーはアフィリエイト・マーケティングの形式を利用しているわけだ。それでCost Per Actionアフィリエイト・ネットワークとは何なのか?
A:アフィリエイト・マーケティング・ネットワークは、一種の「スーパー・アフィリエイト」のようなものだ。アフィリエイト・マーケターは、発生したリードの量に基づいて、段階的な割合で支払いを受ける。1名だけでは、一般的に、より高いパーセンテージの段階には到達できない。アフィリエイト・マーケティング・ネットワークは、個人が、より多くの量を生む集合的なアフィリエイトの役割を果たすことを許しており、ネットワークメンバーにより高い支払いが行われる。

Q:それでCost Per Action(CPA)とは?
A:CPAは一般的に、リードの可能性から何かを獲得しようとするものだ。

Q:では、ページが気にいられたり、共有されたりした後、ステップ3で何が起こるのか?
A:スパマーは、小さな「アンチ・ボット」テスト(アクション)の実行後、ビデオ(あるいは何か)を見せると約束する。スパマーたちはそれを、「CAPTCHA」もしくはあなたが人間であることを確認するための手順だと主張する。

Q:そしてこれが、望みのものをスパマーが獲得する時なのか?
A:そうだ。この時点で、JavaScriptフォームが開き、その人物が人間であることが証明されたことに対して、「スペシャルオファー」が与えられる。

Q:どんなスペシャルオファーなのか?
A:ブラウザ用の検索ツールバーをダウンロードとか、クーポンを受けとる為に有効な電子メールアドレスを提供するといったシンプルなものであることが多い。あるいは… 高額なSMSベースの会費制サービスに巧みに申し込みさせる、といった可能性もある。

Q:その時点でスパマーは金を儲けるということか?
A:そうだ。行動を完了し、製品オーナーに「リード」を提供したそれぞれの人達1人につき、アフィリエイト/スパマーは1ドル以上稼ぐことができる。

Q:1ドル以上? それは良い稼ぎだ。
A:そう。稼ぐのにほとんど労力がかからないのだから。

Q:それで、これら全ては、詐欺と考えられるのか?
A:詐欺は強すぎる言葉だろう。

Q:しかし、このようなことを詐欺と呼ぶセキュリティベンダもいるが。あなた方はそうは思わないのか?
A:詐欺は、強すぎる言葉だろう… 詐欺というのは「Advance Fee Fraud(前払い詐欺)」、すなわち「あなたは英国の宝くじに当選されました! なんとかかんとか.comのLottoUKに連絡を」といったもののことだ。

Q:それでこのCPAスパムは何なのか?
A:これは詐欺的マーケティングのカテゴリに該当する。

Q:では何故一部の人々は、Facebook詐欺についてブログに書き続けているのか? 宣伝なのか?
A:その人達に聞いて欲しい。

Q:では、それが詐欺的マーケティングなら… それについてできることは何か?
A:政府の監査機関が参加すべきだ。たとえば、フィンランドでは、(フィンランド語に)ローカライズされたFacebookスパムのケースは、フィンランドの消費者保護局により解決された。エフセキュアはマスコミに詳細を伝え、マスコミあるいは犠牲者、あるいは両者が、SMS申し込みベンダを詐欺的であると報告した。そのSMSベンダに支払い請求サービスを提供した地元の企業は、スパム実行に伴う全ての訴えを覆した。(2回目の訴えは起きていない。)

Q:アメリカ合衆国はどうなのか? 詐欺的なアフィリエイト・マーケティング・スパムと戦う方法は、米国にはあるのか?
A:以前、実行されていた。2006年、アドウェアベンダ(Hotbar)のZangoが、彼らをビジネスから閉め出すFTC(連邦取引委員会)の調査に直面した。市民擁護団体が、Zangoが不当で詐欺的なビジネスプラクティスに関与しているとして、2件の公式な不服を申し立てた。

Q:では、FTCが2011年に目をむけるべき企業はどこか?
A:リストには、CPAlead(cpalead.com)、PeerFly(peerfly.com)およびAdscend Media(adscendmedia.com)が含まれている。

Q:Facebookが3人のスパマーに対して起こした、最近の訴訟はどうか?
A:実際、これら3つの訴訟の1つは、CPAleadのCTOであるJason Swanに焦点を合わせたものだ。同訴訟では、CAN-SPAM条例が引用されており、これら3つの例に偽の、あるいは詐欺的なサービスが提供されたケースが含まれている。たとえば「Facebook Gold」アカウントだ。そのようなものは存在せず、FacebookはCAN-SPAM条例のもとで、被告は有罪であると主張している。

Q:しかし、ほとんどのソーシャルスパムは、最終的には約束していたビデオ(か他の何か)をオープンするのではないか?
A:そうだ。それはほとんどの場合、YouTubeからの再利用コンテンツに過ぎないが、全3ステップが完了されていれば、そのリンクは約束を果たしはする。だから、これら3つのケースは興味深いが、ソリューションというよりはむしろ、スパマーへの警告に近いように見える。CAN-SPAM条例が当てはまるのかどうか(しかし、裁判官に提示する価値はある)我々にはわからない。

Q:もう一度まとめるが、ソーシャルスパムに関連するステップは何なのか?
A:第1に、犠牲者がリンクをクリックする。第2に、彼らはアプリケーションもしくはページを、気に入った/共有するとするか、許可する。第3に、犠牲者はCost Per Actionオファーを完了する。そして彼らはYouTube(もしくは別のところ)で、自力で見付けられる古いコンテンツにより「報いられる」。

Q:ソーシャルスパムはどれだけ効果的なのか?
A:非常に良い質問だ。2009年、ソーシャルスパムはハッキング/フィッシングされたアカウントにより発生した。2010年には、スパムリンクをばらまくために、スパマーにより他の方法が開発された。2010年夏までには、スパムリンクは何十万ものクリックを発生させた。

Q:ソーシャルスパムリンクは、まだクリックされているのか?
A:人々がこのプロセスについて知識を持つにつれて、クリックレートは下がっている。すべてのリンクの効果は、ますます下降線をたどっている。しかし、クリックレートと支払金額は、ソーシャルスパマーの方が電子メールスパムよりもかなり高い。

Q:ソーシャルスパムは電子メールスパムと同じくらい、大きな問題となるのか?
A:電子メールスパムはインタラクションを必要としない。スパマーは単に、スパムフィルタを回避する試みに、できる限り力を注げば良い。

  ソーシャルスパムは一般的に、人間のインタラクション(副次的なサイト脆弱性を除いて)を必要とする。ソーシャルスパムはインタラクティブなので、できることが存在する。FacebookとTwitterは、ユーザ経験を改善し、自分達のコミュニティがスパムに気付き、避けることを援助するよう、絶えずUIを再設計している。そしてソーシャルメディアサイトは絶えず進化しているため、ソーシャルスパムの性質もまた進化している。

  ソーシャルスパムはおそらく、サイトの機能を利用して、今後も常に存在するだろうが、電子メールスパムのように徹底的に、システムを悪用することはほとんど無いだろう。電子メールスパムをフィックスする唯一の方法は、電子メールプロトコルをフィックスすることだ。FacebookおよびTwitterスパムは、必要に応じて両サイトが対処することができる。

Q:最後に、ソーシャルメディアサイトを介した、他のタイプのスパムは存在するのか?
A:存在する。成人向けの出会い系サイトやサービスをプッシュする偽プロフィールスパムだ… しかし、それはまた別のQ&Aとなる。すべての画像をソートしたら(誰かがしなければならない)、この問題に戻る予定だ。

「Hack In The Box 2010 Malaysia」パネルディスカッション

  先週開催された「Hack In The Box 2010 Malaysia」カンファレンスで、「モバイルマルウェア&クラウドコンピューティング」に関する特別キーノートパネルディスカッションに、ミッコがパネラーの一人として参加した:

Mikko at HitB2011

  議論されたポイントをいくつかあげると:多くの電話オペレーティングシステムが共存することによる潜在的な影響、App Storeに関して、そしてフィルタリングがどれだけうまく機能しているか(そして他の誰かでは可能性が低いが、Appleがどのように成功しそうか)、テレコミュニケーションプロバイダによるフィルタリングの可能性、そしてモバイルマルウェアの効果的ブロックに関わる問題について。

  ああ、それからStuxnetが実際の脅威可能性よりも多くの報道を得ていることについて。

  この議論のライブストリームは、イベント期間中、「HitB」で行われていたが、残念ながら現在は視聴できない。後で、議論の録音が入手可能になると良いのだが。

Twitterアンチスパム:メディア表示無し

  2週間前、Twitterは新機能を搭載した新しいデザインを展開し始めた。我々は表示メディアオプションについて懸念していた。

  メディア(画像)を表示するのは、イメージスパムを促進する可能性があるのではないだろうか?

  良いニュースがある。Twitterも同じことを考えたようだ:

twitter.com/stevemartintogo

  スパムかどうかということよりも、誰かを不快にすることの方をより心配しているようではあるが。

Media not displayed

  以下はデフォルトセッティングだ:

Settings: Tweet Media

  根拠が何であれ、フィルタリングオプションが追加されたのは結構なことだ。

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

早くも終焉を迎えた「Here You Have」

  「Here you have」と呼ばれている電子メールについて、メディアから質問を受けた。

  この名前は、同ワームにより使用されるメールサブジェクトに由来している。特別なところは無く、受信者がメール内のリンクをクリックする必要のある、ありふれたワームに過ぎない。同リンクはおそらく、ドキュメントをオープンするか、ビデオをオープンするものだが、実際は「PDF_Document21_025542010_pdf.scr」といった名の偽実行ファイルだ。

  同ワームがリンクを使用しているのは、スクリーンセーバ(.scr)ファイルが添付ファイルとして長くブロックされてきたためだ。エフセキュアのアンチウイルスは、この「Here you have」メールが使用する以前から、この脅威を検出している。我々はこれを「Gen:Trojan.Heur.rm0@fnBStPoi」として検出している。

  リンクが接続しようとするファイルは、かなり素早くオフラインにされたので、早朝すぎて、誰も罠に掛けることができなかったヨーロッパでは広まらなかった。

  米国では、いくつかの大企業が、自社のシステムに同ワームが侵入したことに気づいた。

  伝えられるところによれば、メールフィルタリングシステムが出入りしようとする脅威を捉えたため、「企業A」から「企業B」へと広がることはなかった。しかし組織内では、実行ファイルがダウンロードされ、実行された場合、同ワームはブラウザパスワードを盗み、次にコンタクトを介して広がろうとした。内部メールフィルタリングは一般的ではなく、ワームが使用するネットワーク共有コンポーネントもあるため、顕著な拡散が見られた企業もあった。

  メールワームはかなりの間「流行の先端」ではなかった。アンチウイルスのベンダが素早く検出し、ブロックするためであり、このようなワームをフィルタリングするのに、アンチスパム技術がかなり効果的だからだ。しかし脅威が流行していないからといって、成功事例が現れないとは限らない。

  メールを介して届くリンクを、安易にクリックしないこと。たとえ、あなたが信頼している人から送られたものであっても。

ついに標的に狙われたSCADAシステム

  先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要なことは、このエクスプロイットがSCADAシステムのWindows上で動くマネジメントアプリケーションをターゲットにしている点です。F-SecureのSean Sullivanのポスト  「スパイ攻撃がLNKショートカットファイルを使用」「LNKエクスプロイトに関するその後の分析」 でもこれについて少し触れられています。

  SCADAとは、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことですが、これらは工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。

  私は6年ほど前に重要インフラ保護関連の調査のため、サンディア研究所などアメリカ数カ所でヒアリングのために回ったことがありますが、SCADAのセキュリティはその時すでに重要な課題になっていました。その時期アメリカでは東海岸での大規模停電を経験した直後だったため、そこから検討して電力グリッドなどに使われるSCADAシステムが攻撃された場合にも大規模な電力障害が起きうると想定されていました。

  Robert McMillanによるNewYork Timesに掲載された記事 「New Virus Targets Industrial Secrets」 では、この点についてさらに掘り下げていますが、今回のLNKファイル・エクスプロイットでは、Siemens社のSCADAマネジメント・ソフトウェアの「Simatic WinCC」のみが狙われる仕組みである事が判明しているそうです。このエクスプロイットはUSBデバイスに潜み、WindowsOSのPCに挿し込まれるとまずスキャンを開始、他のUSBデバイスを探して自身をコピーしようとするか、またはSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。そのためSiemens社は先週金曜にはすでに顧客に対してアラートを出しているそうです。

  NYTimes記事中で、Mississippi州立大学の研究者Wesley McGrewによると、このエクスプロイット作成者がもしもっと広範囲な悪用を狙うなら、もっと普及しているSCADAマネジメント・システムのWonderwareやRSLogixを試しただろうと発言しています。今回のエクスプロイットは、SCADAを乗っ取って人質にし身代金要求するためかもしれない、という観測もあります。

  SCADAのコンピューターは、未だに1980年代の8bitや16bitのCPUのOSなど搭載しないコンピューターの世界と近いものがあり、最近流行のArduino程度の性能かそれ以下のものも多いでしょう。また使用される場所も人里離れた山奥などもあり、一度設置されると何年あるいは何十年も壊れない限り使われる可能性がありますから、ソフトウェアのアップデートも行われないで放置され得ます。またパスワードなども変更される前提になっていないことから、デバイスにハードコードされている場合もあります。

  しかし、1990年代にはSCADAの世界にもネットワーク化の波が押し寄せたために、階上階を重ねるようにTCP/IPが追加されてきました。そのため、メーカーによってはPCの世界では考えられないようなインプリメントをした場合があったようで、以前アメリカで聞いた話でも、TCP/IPのポート番号を直接制御コマンドに割り当てられたSCADAが使われた工業用ロボットがあり、セキュリティ・テストのためにポートスキャンをかけただけで、いきなりトンデモない動作を始めた例があったそうです。

  また、低速CPUでRAMも限定量しか搭載されていないコンピューターでありOSすら走っていないとしたら、ファイアーウォールやフィルタリングなどのベーシックなセキュリティ機能が入る余裕もないといえます。TCP/IP通信もむき出しのパケットが流れているため、アメリカ商務省下の国立標準技術局(NIST)ではSCADAモジュールにアドオンするためのAES暗号通信モジュールを研究していました。

  従来から、サイバー戦やサイバーテロリズムの危惧からSCADAのセキュリティについて指摘が出されて来ていましたが、今回明らかにSCADAをターゲットにしたエクスプロイットが登場したことで、現実の問題として認識する必要があります。今回の問題を指摘したのがベラルーシのアンチウィルス企業だったことは、地理的な要素から見たら偶然ではないでしょう。重要インフラのSCADAに対する攻撃が成功した場合は、国としてのインフラ機能を奪うことができます。日本でもSCADAは各方面で使われています。輸入品よりは日本の電機メーカーのものが多く使用されていると云われていますが、将来に備えて警戒が必要な分野と言えると思います。

スマートフォン・スパイ・ツールの使用により50人が逮捕

  「The Register」が、配偶者やライバル、何らかの動機から犠牲者として選ばれたその他の人々を、スマートフォン・スパイ・ツールを使用してスパイしたという理由で、ルーマニアで50人が逮捕された事件に関する興味深い記事を掲載している。

  エフセキュアでは、2006年には既に、このようなスパイ・ツールをカバーしている。当時、こうしたツールの最初のバージョンは、トロイの木馬と分類されており、その後の亜種はリスクウェアと分類されている。最近、この手のツールはあまりニュースになっていないが、今回のルーマニアのケースでも分かる通り、アクティブに利用されているのだ。

  これらのスパイ・ツールは、誰かが他人のプライベートな事柄についてスパイしたい場合、入手できるツールは何であれ使用する、という、昔ながらの問題の現れにすぎない。嫉妬深い夫や疑い深い妻たちは、少なくとも15年前から配偶者のPC上にキー・ロガーや他の他のモニタリング・ツールをインストールしてきた。そして電話用のスパイ・ツールが利用できる現在、スパイのツールキットに新たなツールが加わり、犠牲者の電話に対して使用されることになる。

  すなわち、自分のプライバシーに懸念を抱く理由があるならば、電話に注意を配り、何らかのプロテクションをインストールする方が良いだろう。

  これらモバイル・スパイ・ツールに関する朗報は、デバイスに対してリモートではインストールできないという点だ。誰かが犠牲者をスパイするためには、その電話にアクセスし、ソフトウェアをインストールする必要があるのだ。よって、これらのツールに対するシンプルで効果的なプロテクションは、電話にロック・コードを設定することだ。電話がロックされていれば、誰もこっそりと、その電話に不必要なソフトウェアをインストールすることはできないのだから。

FIRSTカンファレンス - キーワードはAPT、DNSSEC、クラウド

今回のカンファレンスのキーワードは、次の3つでした。

Advanced Persistent Threat (APT)
・DNSSEC
・クラウド・セキュリティ

昨年とは異なり、ハンズオンによるトレーニングは全く無いもので、インシデントの分析結果の共有やアイデアの発表などがメインでした。特にカンファレンス前半はAPTの話題で盛り上がったように思います。

「ソーシャル・エンジニアリング」や「マルウェア」等の脅威は依然増すばかりであり、その対策は急務とのことですが、簡単にはいかないようです。検出のために、組織内のネットワーク・モニタリングが重要になってくるということ。聞いている限りでは、ある程度の作り込みが必要かなぁ・・・と感じました。

次にDNSSECはDNSを狙った攻撃事例や今後考えられる脅威の再認識と、それらに対する対策案が示されました。「中国」というキーワードは、世界のどこへいっても注目の的です。(笑)

3つ目にクラウド・セキュリティに関してですが、中でも興味深かったのは、クラウド環境でのインシデントレスポンス(IR)、フォレンジックに関するものです。仮想環境を構築し、数万台のPCを運用することを前提にした場合、そのハードディスクの容量は膨大なものとなります。同様にメモリも数十GByte、64Bitシステムが基本となります。このような環境下で、注目されてくるのがネットワークトラフィックとメモリダンプです。

実はクラウド以外でも、海外のIR製品を見ていますと、HDDと揮発性情報の双方を解析する手法は以前より随分定着してきているように感じました。しかし、まだまだ課題は多いのが現状のようで、技術面、法律面等含め時間がかかりそうです。


もしかしたら、「ガンブラーはどうした?」という方もいらっしゃるかと思いましたので、他国の参加者に聞いてみました。残念ながら誰も知らず、お隣韓国のウイルスベンダーの方も初めて聞いたと言っていました。日本固有の問題と言われても仕方ないようですね・・・

地域毎に問題視されているセキュリティ事情は随分異なります。これらの話が聞けるのが海外カンファレンスの特徴かと思います。特にFIRSTカンファレンスは、一般的に非公開な情報が聞けることが特徴です。

インシデント・ハンドリングされる方には興味深いものかと思います。近くで開催される際には、参加されてみては如何でしょうか。

ちなみに、来年は遠い(オーストリア)です・・・。

XSS

  企業がクロスサイト・スクリプティング(XSS)攻撃を受けた場合、その出来事の重大性を軽視するのは自然な反応だ。

  結局、サイトのXSS脆弱性は、そのサイトがハッキングされるとか、シャットダウンされる可能性があることを意味しないのだから。典型的なXSSデモンストレーションにより、どこかよそのサイトで奇妙なダイアログ・ボックスが表示されているのを見るにつけても、このような攻撃は非常に無害そうな感じがする。

  しかし、XSSは無害ではない。昨夜、我々は攻撃を受けた。そしてそれを軽視したいとは思わない。

  「f-secure.com」の脆弱性は、セキュリティ研究者Xylitolにより発見された。彼は昨夜、それを報告した。Xylitolは、「army.mil」「ibm.com」「nasa.gov」といったサイトのXSS脆弱性の発見で広く知られている。

  問題が発見されたのは、エフセキュアの「Mobile Anti-Theft」製品(anti-theft-download-wizard.html)のダウンロードページだ。巧妙に調整することで、エフセキュア・サイトを指し示しているものの、クリックすると攻撃者によりコントロールされたJavaScriptを実行するWebリンクを作成することが可能だった。

xss
上の画像は、修正以前にwww.f-secure.com/en_EMEA/products/mobile/anti-theft-download/anti-theft-download-wizard.html?hidManufacturer=%27%22%3E%3C/title%3E%3Cscript%3Ealert%28/Mikko%20rulz/%29%3C/script%3Eにアクセスした結果だ。スクリーンショットは「xssed.net」から。

  我々はほぼ、きちんとやっていた。実際、我々のページのスクリプトは、制御文字と他の危険なコンテンツをうまくフィルタリングしている。しかし残念なことに、「ほぼ」は有効ではない。我々はフィルタリングを一度は正しく行い、一度は失敗している。

  明らかに、我々はこのページに後から思いついて機能を追加した。そしてその機能に対して、コード・レビューやテストが行われなかったのだ。

xss

  この問題は、現在フィックスされている。これは我々のスタティックな「Mobile Anti-Theft」ページのみの問題で、我々のシステムにアクセスされることは一切無かった。この問題は、いかなる有害なアクティビティにも用いられていない。

  では、この脆弱性を利用して、どんなことが行われる可能性があったのだろうか? そう、たとえば、「www.f-secure.com」サイトにリンクして、エフセキュアからのものであると主張する、スパム・キャンペーンを何者かが送信することができただろう。そしてそのリンクをクリックすると、(どこか別のサイトから)ユーザのコンピュータ上に、マルウェアがダウンロードされていたかもしれない。XSS脆弱性は、深刻な問題を生じさせるのに利用することができる。幸運にも、今回のケースでは、何事も起こらなかったが。

  以下は、今回の事件のタイムラインだ:

  •  Xylitolが6月17日の夕方、この問題に関する記事を発表した。
  •  我々は6月17日20時51分(東ヨーロッパ夏時間)、同記事に気付いた。
  •  6月18日2時15分(東ヨーロッパ夏時間)、この問題の修正を開始。
  •  6月18日2時45分(東ヨーロッパ時間)、問題の修正と分離のため、「Mobile Anti-Theft」ページを一時的にシャットダウン。
  •  6月18日6時5分(東ヨーロッパ時間)、同ページを再公開。

IPアドレススパム急増

少々古いですが、日経BP ITproに「IP アドレススパム」が急増、対策製品の回避が目的という記事が掲載されていました。記事によると、迷惑メール対策製品の回避を目的として、迷惑メールの誘導サイトのURLをドメイン名ではなくIPアドレスで記載しているケースが増えているという。
IPアドレスによるURLを含むメールのフィルタリングはフィッシングやスパム対策の常とう手段、と勝手に思っていたので、対策回避目的のIPアドレススパム急増の記事に違和感を感じました。
フィルター回避のためにIPアドレスの表記法を一般的な10進数以外のものにする手口は過去に見られましたが。このあたり一度きちんと検証してみる必要がありそうです。

最新のTwitterフィッシング攻撃のスクリーンショット

  昨今はTwitterで、ダイレクト・メッセージ(「DMs」)を使用したフィッシングが進行中だ。

  メッセージは以下のようなものだ:

you should change ur photo u took here - did i tell you that ur here

  リンクをクリックすると、偽のTwitterページが現れる:

mhansenhome.org

  誤って認証を行うと、攻撃者はそのユーザの連絡先に、その人のふりをして、似たようなダイレクト・メッセージの送信を開始する。

  攻撃者たちの究極の目的は、有効な大量のTwitterアカウントへのアクセスを獲得し、次にこれらのアカウントを用いて、悪意あるWebサイトへのURLを含んだ「つぶやき」を投稿することにある。そしてそれらのURLをもしクリックすれば、そのユーザのコンピュータは乗っ取られる。

  「mhansenhome.org」というドメインを、より詳細に見てみることにしよう。

  フロント・ページはアクティブなMyspaceフィッシング・ページである。ナイスだ。

mhansenhome.org

  Twitterが既に、これらが投稿されないようフィルタリングを行っているのは良いニュースと言えるだろう。既に配信されたDMも除去しているのかどうかは、ハッキリしないのだが。

  また、Twitterのビルトイン・リンク短縮サービス(twt.tlおよびbit.ly)は既に、これらのURLを悪意あるものとして検出している:

mhansenhome.org

mhansenhome.org

「www.fra.se」へのDDoS攻撃

  スウェーデンの無線諜報機関(Försvarets Radioanstalt FRA)が現在、大規模なDDoS攻撃を受けている。

  「www.fra.se」は目下アクセス不能だ。

Försvarets radioanstalt

  FRAは最近ニュースになった。というのも、スウェーデン国境を通過するインターネットトラフィックを盗聴する法的な許可を同機関に対して与えるという法律が、スウェーデンで可決されたためだ。たとえば、ロシアのインターナショナルなトラフィックのほとんどは、スウェーデンを通過する。

  モニタリングは事実上、先月開始されている。

 Försvarets radioanstalt

  この攻撃の背後関係に関する情報は不明だ。

  ダウンタイムの統計値はここでチェックできる。

いまさらですがiPhoneの詐欺サイト警告機能について

少々乗り遅れた感はありますが、iPhone OS 3.1の詐欺サイトの警告機能を試してみました。詐欺サイトの警告機能は標準でオンに設定されています。オフにすることも可能です([設定]->[Safari]->[詐欺サイトの警告]で機能のオン・オフが選択できます)。

mobilesafarialertフィッシング詐欺サイト情報を共有する無償のコミュニティサイト PhishTank に登録されているフィッシングサイトを訪問してみました。MacのSafariと同様の警告が表示されます。

警告画面の"このページを閉じる"を選択すると強制的にページが閉じられ、"この警告を無視"を選ぶとフィッシング詐欺サイトであっても表示することができるのもMac版Safariと同じです。

iPhoneのフィッシング対策機能、正常に動作させるコツとは? (マイコミジャーナル, 2009/09/17) などでも紹介されていますが、充電時でなければ詐欺サイトのデータベースが更新されないという問題が指摘されています。

ブラックリストを利用するフィルタリングでは、いつ発生するかわからない詐欺サイトを確実にとらえるために頻繁にデータベースを更新する必要があります。外出中で充電ができないといった状況で新しい詐欺サイトで警告がでないというのは中途半端な機能という感じがしてしまいます。








iPhone上でデータベースの更新状況やバージョンを知ることができないので、どのタイミングでPCと同じデータベースが利用できるようになったのかは定かではありませんが、たしかにMacでは警告されるのにiPhoneでは警告されなかったサイトが、充電後に検出されるようになっていました。Mobile Safariの詐欺サイト警告機能、まだまだ過信は禁物のようです。

mobilesafari-phishing
 

Reddit.comのXSSワーム

  「Reddit(reddit.com)」は、DiggやSlashdotよりもさらに素晴らしいソーシャル・ニュースWebサイトだ。

  しかし、同サイトは今日、サイト上のコメントを介して広がるXSSワームに攻撃を受けた。

Reddit

  すべては、「xssfinder」という似合いな名のユーザーから始まった。

  彼のアカウントはすでに削除されている。

Reddit

  このユーザーは、ユーザーがマウスをテキスト上で動かしている際、Redditがある種の事例でJavaScriptをフィルタリングしていなかったという事実を利用して、テスト・コメントを何度か投稿した。

Reddit

  xssfinderは自身のスクリプトを機能させる際、「Guy on a bike in New York 'high fives' people hailing cabs」というポピュラーなリンクに、コメントを投稿することでテストを行った。

  その後、状況はただちに変化した。

  コメントを読んだ人たちは、Redditスレッドに大量の新しいコメントを送信することになったのだ。

  現在、状況は落ち着いた。Redditはダウンせず、Redditの管理者はこの脆弱性をクローズした。悪意あるコメントは、現在多数削除されている。

Reddit

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード