エフセキュアブログ

メールアドレス を含む記事

さようなら、スティーブ・ジョブズ

  スティーブ・ジョブズが亡くなった。

  Googleはトップページを変更し、敬意を表している:

Google's Steve Jobs tribute

  「Steve Jobs」は、「apple.com」にリンクしている:

Apple

  そしてAppleによるジョブズの写真からは、このメッセージにリンクしている:

Apple remembers Steve Jobs

  非常に感動的な言葉だ。

  Google側のセキュリティ措置としても良いものだ。

  このニュースを耳にするやいなや、我々は慎重さに欠ける人々を対象に、最後にもう一度、ジョブズを利用しようとするマルウェアやスキャムなどの試みに注意を向け始めた。ニュース速報が出るたびに、こうしたことが起きる。今年3月に起きた日本の地震と津波が顕著な例だ。ニュースが発生すると、検索エンジン最適化詐欺が起きる。

  現在、「スティーブ・ジョブズ 葬式」と検索すると、結果の最初のページにスキャムが現れる。

Google Search results

  以下のサイト「stevejobsfuneral.com」は、15分の1の確率でMacbookが当たるというクジのため、電子メールアドレスを収集しようとするものだ。そして、リンク先のオンラインストアでは、購入することでジョブズに敬意を表することができるとして、Apple製品の販売を行っている。

  このサイトにとって都合の良いことに、このリンクにも、リンクを通して商品が購入されると利益が得られる、アフィリエイト広告情報が含まれている。

  「stevejobsfuneral.com」を避けるべきことは、おそらく言うまでもないことだろうが、このサイトは9月20日には既に登録されていた。ハゲワシはかなり前から旋回していたのだ。

stevejobsfuneral.com: scumbag website

  ニュースを検索する際には、常識だけでなく「news.google.com」も利用することだ。

  「Google Search」は悪意あるサイトをフィルタリングするという、非常に適切な仕事をしているが、最近、スパムと(広告に関連した)スキャムに関してヘマをしているようだ。あなたの国で利用できるなら、「Google News」を利用すること。

—————

スティーブ・ジョブズのご冥福をお祈りする。

トレンド:フィッシングから「マンインザミドル」フィッシングへ

  我々が最近行った調査に基づき、フィッシングのメソッドがどのように進化しているかを以下にご紹介する。

電子メールフィッシング

  下のメッセージは、Blizzard Entertainmentからのものだと称している。

Blizzard phishing

  同メールは、現在開発中のゲームへのアクセスを約束することで、受信者にフィッシングを仕掛けようとしている。

  言語も文法の用法も妥当だが、完璧ではない。

  いくぶん奇妙なことに…なりすましているメールアドレスは「noreply@blizzard.com」だ。

—————

電子メール + サーバフィッシング

  このメッセージは、フィンランドのNordea Bankからのものだと称している。

Nordea phishing

  言語と文法はひどい(Google Translateの結果そのままのように見える)。

  このメールは、ログインページをホスティングしているApacheサーバにリンクしていた:

Nordea phishing
  (我々が不正使用の報告を送ったところ、同サイトはすぐに閉鎖された。)

  この偽ネットバンクページは、顧客のユーザIDとコード(印刷リストからのワンタイムパスワード)を要求する。

  以下が次のページだ:

Nordea phishing

  顧客の承認コード(取引を完了するためにランダムに要求される、リスト上のコードの一つ)がすべて要求される。

  入力はすべて、テキストファイルに追加される。この例では、フィッシャが顧客のアカウントにアクセスするチャンスは限られている。顧客が本当のネットバンク口座にアクセスしようとすれば、ワンタイムパスワードが要求されるため、フィッシャの情報は役に立たないからだ。

—————

電子メール + サーバ + MitMサービス

  以下は、先頃フィンランドの2つの銀行を標的とした、より高度化した例だ。

Osuuspankki phishing
Henry Hagnasによるスクリーンショット

  このメッセージで使用されているフィンランド語は、それほど良くはないが、多くのフィンランド人のメールよりは、おおむね良い。

  いずれにせよ、言語と文法の用法は、他のフィッシングキャンペーンと比較して、かなり良いと言える。

  フィッシングサーバも、より高度だ。顧客がユーザIDとワンタイムパスワードコードを入力すると、サーバは次に(限られた機会を利用するため)リアルタイムトランザクションを試みる。

  このマンインザミドルサービスは、顧客に2分間待つように言う:

Ossuspankki, man-in-the-middle

  それから顧客は、特定の確認コードを入力してトランザクションを完了するよう言われる:

Ossuspankki, man-in-the-middle

  この「電子メール + サーバ + MitMサービス」という組み合わせは、2番目に挙げた例よりも巧妙であり、危険性も高い。

  我々が調査したところ、スペインのTLD(.es)で登録された、似たようなドメインが見つかった。ヨーロッパの多くの銀行が、マンインザミドルフィッシングの標的となっている(もしくは今後標的となる)のかもしれない。

T2 Challenge 2011

t2

  T2 Information Securityカンファレンスが、再び、チャレンジを実施中だ。今年のパズルを解いた最初の人に、イベントの無料チケットが授与される。さらに、次の正解者10名の中から、回答のエレガントさにもとづき、T2 Advisory Boardがもう一人の勝者を選出する。

  同チャレンジは現在オンラインで公開中だ。

  今年はマルチステージのチャレンジが用意されている。各ステージに、URLが隠されている。そのURLを閲覧し、自分のメールアドレスを入力して次のステージへのリンクを受けとる。全ステージを解いたら、最後のメールで受けとったメールアドレス宛てに、自分のソリューションの説明を送信する。

  参加者の進捗をトラッキングするライブスコアボードもある。

  チャレンジの最初の部分(MP3オーディオファイルだ)をダウンロードして欲しい。


419詐欺に引っ掛かりましたか? お金を取り戻そう!それとも…

  一度詐欺に引っ掛かった人は、他の詐欺に引っ掛かる確率が高そうだ。ナイジェリアの最近の事前料金詐欺の背後には、そうしたロジックがあるようだ。

  彼らは、もしナイジェリア419詐欺でお金を失ったのなら、賠償を申し込むことができると説明する。ただし、それに見合う料金を支払った後で…

  以下はスキャムメールのコピーだ:

  From: "Ministry of Foreign Affairs Nigeria" (hr@wdzy.net)
  Subject: Swindled by Nigerian? Apply for compensation now!
  Reply-To: cn.verification@07168.cn
  
  Ministry of Foreign Affairs Federal Republic of Nigeria
  Maputo Street
  off Abidjan Street
  Wuse Zone 3,
  P.M.B. 130, Garki
  Abuja.
  
  Our Ref: FGN/WB/MFA/CitiBank/2011 (1/1)
  
  拝啓
  
  ナイジェリア連邦政府は、世界銀行グループおよび国際通貨基金(IMF)の援助を受け、
  全ての詐欺被害者の損失を保証するため、5万ドルずつ割り当てました。
  
  賠償基金はシティバンク・ナイジェリア(CN)に供託されており、
  ナイジェリア連邦政府の指示により、シティバンク・ナイジェリア(CN)が
  無料で送金を行います。よって、あなたが振り込みの費用や税金を支払う必要は無く、
  送金は確認のため外務省によるモニタも行われます。
  同基金は様々な送り先に届くまで、不必要な減額が行われないよう保証されています。
  
  ナイジェリアではこれまで、どのような詐欺被害者補償プログラムも存在しませんでした。
  これが初めてなのです。いかなる人物、組織、あるいは省庁にも騙されてはいけません!
  
  詐欺被害を受けた方は、確認のため氏名とアドレスを、以下にある2つの電子メールアドレスの
  いずれかに送って下さい。これらのメールアドレスはシティバンク・ナイジェリア(CN)により、
  補償のためだけに設定されたものです:
  
  Email1: cn-verification@07168.cn
  Email2: cn.verification@07168.cn
  
  確認は、Western UnionとMoneyGramを介して行われ、あなたが本当にナイジェリアに
  送金していれば、氏名がデータベースに登録されます。
  
  どのような理由であれ、あなたのユーザ名とパスワードを尋ねるいかなる電子メールにも
  返信しないで下さい。もし既に返信している場合は、パスワードを直ちに変更して下さい。
  
  Yours sincerely,
  Mrs. Irewolede Janet Michael
  (Public Relations Officer)
  Oversea Communication Department
  Ministry of Foreign Affairs (MFA), Nigeria.


  こうした詐欺を信じてはいけない。

Androidスレットスパイウェアについて:「Android/SndApps.A」および「Trojan:Android/SmsSpy.D」

  Androidマルウェアが現在、大流行しているようだ。分析を行っている際に突然現れたため、我々が論じてきた2、3の興味深い問題について、若干のコメントがある。

  最初に:公式Androidマーケットで発見された疑わしいアプリケーションに関して、最近報告があった。問題のアプリはマーケットから削除されているが、エフセキュアのスレットハンティングチームは今もフォーラムなどで、通常「無料アプリ」として遭遇している。

  これらのアプリケーション自身は、単なるゲームのように見える。しかしある時点で、追加サービスがアプリに追加されたようだ。以前のバージョンではインターネット接続以外、何も求めなかったのだ:

permissions_internet (104k image)

  しかし最近のバージョンでは、それよりも若干パーソナルなものになる:

application_permissions (47k image)

new_permissions (169k image)

  こうした変化により、同アプリはデバイスからさまざまな情報にアクセス可能になる。キャリアや国、デバイスのID、メールアドレスおよび電話番号などだ。

services (92k image)

  こうした情報はリモートサーバに送られる。

  同アプリのさらなるひねりは、クリックするとユーザがおそらく試したいと思うような、他のアプリに導く小さなアイコンを含んでいるということだ。表示されるこれらのアプリも、同様の疑わしい挙動を示すようだ。

applications (66k image)

  興味深いのは、同アプリの以前の「平凡な」バージョンと最近の「疑わしい」バージョンの双方が、同じデベロッパによるもののようだということだ:

comparison (56k image)

  既存のアプリに後日、新たな疑わしい挙動が追加されたようだが、無関係な悪意あるルーチンが加えられた、リパッケージされたアプリではない。我々は現在も、そのさまざまな局面を調べているところだ。今のところ、観測された挙動にもとづき、我々はこれらのアプリケーションを「Spyware:Android/SndApps.A」として検出している。

  Androidアプリケーション開発、特に「グレイウェア」の発展として考えられることから、我々は今回のケースに興味を感じている。この種の挙動は、我々の以前の予測の一つを裏付けている。「世間に認められた」開発者は、疑わしい/不要な/非倫理的なルーチンを含み、ユーザのプライバシーを侵害するかもしれないアップデートを配信することができる、というものだ。

  この新たに追加されたルーチンには、マーケティング広告やスパムなど、他の目的で使用することができるユーザ情報の獲得も含まれる。最悪の場合、これらの詳細はサードパーティに販売されるかもしれない。我々には、これらの情報がどうされるのか知るすべは無い。

  より最近のケースでは、報告された他のAndroidアプリ、今回はトロイの木馬の奇妙な挙動について議論している。

  このトロイの木馬はSMSメッセージをインターセプトし、ループバックアドレスに報告するが辻褄の合わない話だ:

smsspy_loopback (131k image)

  我々の調査では、このアプリはテストプログラムであるようだ。我々はこれを「Trojan:Android/SmsSpy.C」として検出している。

  しかし我々のスレットハンターの一人が、より有用であるように見えるファイル(SHA1: 7d8004b107979e159b307a885638e46fdcd54586))を見つけている:

smsspy_link (160k image)

  それはより本物の取引のように見える。我々はこれを「Trojan:Android/SmsSpy.D」として検出している。


-----

分析と投稿はZimry、Irene、RaulfおよびLeongによる。

LulzSecの解散宣言は混乱の収束を意味するのか?

6月26日、LulzSecは唐突に活動開始50日目になったので解散すると宣言した。

  LulzSecはここ2ヶ月にわたりNPRやFOXなどの放送局からCIAやFBI関連InfraGuardやNATOなど国際的な政治・軍事機関やSony Picturesなど広範囲に侵入しては内部情報を流出させる騒ぎを引き起こしていた。
Lulzの事件時間軸グラフ
そのため、法執行機関の捜査の手も迫っていて、Lulz自身は関連を否定していたがイギリス在住の19歳Ryan Clearyが逮捕されている。
「LulzSec」の容疑者を拘留 http://blog.f-secure.jp/archives/50611764.html

  ただし興味深いのは、LulzSecに敵対心を燃やすいくつものハッカーグループの登場と、彼らの執拗なLulz正体暴露の追求活動がLulz解散宣言の直前に起きていたことだ。最初に敵対したのは、@Th3J35t3r (The Jester)というWikileaksサイトにDDoSを仕掛けたことで知られるアメリカ愛国者ハッカーだった。そしてWeb NinjasがLulz正体暴露宣言し、さらにオランダの@TeaMp0isoN (Team Poison)やアノニマスを嫌う@On3iroiも追求を始めた。

  そしてLulzSecが解散宣言した直後に、The A-Teamと呼ばれるグループがLulzメンバー多数の個人情報をPastebinに曝した(Doxedという)。
http://pastebin.com/iVujX4TR
 (@satomitw氏による訳) http://longtailworld.blogspot.com/2011/06/lulzseclulzsec-gn0sis-anonops-doxd.html
これによるとLulzのメンバーはエリート格のSabuと広報役Topiaryに、Gnosisという集まりに属するnigg, eekdacat, uncommon, kayla, lauralieなどが居たようだ。
またTh3J35t3rもSabuの個人情報を曝した。
http://pastebin.com/76TsPHeU
これらの暴露情報は、法執行機関の捜査を助けることになり、自動的にLulzへの包囲網は狭まる。

  しかしはたして、これでLulzSecの活動は終了したのだろうか? 話はそんなに単純ではないだろう。このPastebinリンクをポストしたThe A-Teamメンバーと思われる人物のtweetは1日で削除されているようで、彼らの間での抗争が続いているための自衛の可能性も考えられる。さらにLulzにより対抗してThe A-Teamの個人情報が曝された。
http://pastebin.com/1MUPY2P7

  そしてLulzは10日ほど前から「Operation Anti-Security (反セキュリティ作戦)」を宣言し、多数のハッカーが参加することを呼びかけ始めた。この #OpAntiSec では、Lulzは政府と銀行とセキュリティで儲ける企業をターゲットとして情報流出させろと煽っていた。これに呼応するようにブラジルやイギリスでネットワーク侵入・アカウント情報流出が起きた。その内、トニー・ブレア前イギリス首相のウェブメールサーバーが侵入され、メールアドレスや住所録情報か盗み出された事件では、TeaMp0isoNが関与を表明している。

  これで状況はさらに混沌としたものになった。ハッカーグループ間の敵も味方も入り乱れて、その上にLulzSecは#OpAntiSecのアイデアだけバラ撒いて解散宣言してしまったのだ。アイデアだけあり牽引役のいない状況ほど混乱を長引かせるものはないだろう。誰が何処を攻撃しても#OpAntiSecなのだから。

「Bitcoin」フォーラムでスリがウォレットを標的に

エフセキュアのThreat Researchチームが今日、Bitcoin wallet.datトロイの木馬の分析を行った。「Bitcoin」は2009年に登場したデジタル通貨だ。

  我々はこの脅威を「Trojan-PSW:W32/CoinBit.A」として検出している。

  以下はそのGUIのスクリーンショットだ:

Trojan-PSW:W32/CoinBit.A
(SHA-1 c4f6c921aa77fbb7f2b616a22ee7d4578f8ccf44)

  あまりプロフェッショナルな見た目では無い。

  しかし、本当のポイントはそこではない。これはひったくりなのだ。ウインドウがレンダリングされる前に、同アプリケーションはBitcoin wallet.datファイル(がもし存在すれば)を、以下のロケーションからフェッチする:

%Documents and Settings%\\AppData\Roaming\Bitcoin\wallet.dat

  次に「Coinbit.A」がポーランドのSMTPサーバを介して、「wallet.dat」を@hotmailアドレスに送信しようとする。この.plサーバはハードコードされている。報告によれば、同サーバアカウントのパスワードは変更されており、この亜種はもはや有効ではないようだ。

  ハードコードされた@hotmail受信者メールアドレスを検索すると、bitcoin.orgフォーラムのスレッドに導かれる。

  スリがフォーラムのチャットアプリケーションにリンクをポストしたようだ。同フォーラムのメンバーがそのリンクをクリックし、トロイの木馬をダウンロードすれば、彼らは自分のウォレットを失う危険をおかすことになった。

  フォーラムメンバーの言葉を引用すれば:

「これがあなたのwallet.datに直行することは間違いない」
「人々はここからコインを失うだろう!」

  非常にあり得ることだ。

  詳細は「Wired」のKevin Poulsenの記事を読んで欲しい。

Googleサーバでホスティングされるフィッシングサイト

  Google Docsでは、ユーザはgoogle.com(Googleのクラウドでホスティングされている)でドキュメントやスプレッドシートなどを作成することができる:

spreadsheets.google.com

  スプレッドシートは、フォームなどの機能をも含むことができ、これらは世界に向けて公開することが可能だ。

  残念なことに、このことはGoogle Docsスプレッドシートを介して、spreadsheets.google.comでホスティングされているフィッシングサイトに、頻繁に遭遇するということを意味している。

  以下はその例だ:

spreadsheets.google.com

spreadsheets.google.com

spreadsheets.google.com

  フィッシングページは本物のgoogle.comでホスティングされており、有効なSSL証明書を備えているため、これらは扱いにくい攻撃と言える。

spreadsheets.google.com

  リサーチを行っている時、我々は以下のGoogleスプレッドシートフォームに遭遇した:

spreadsheets.google.com

  そして、これがフィッシングなのか、それともGoogleが管理している有効なページなのかどうか、どうしても見抜くことはできなかった。

  最初、このページは明らかにフィッシングのように見える。誰もがフォームを作成できる、パブリックなspreadsheets.google.comでホスティングされているし、このページはGoogle Voiceナンバーやメールアドレス、PINコードを要求するからだ。

  しかし、明らかにGoogleの職員が同フォームにリンクしているのにも気づくだろう。

  そのため、フィッシングなのかそうでないのか分からないのだ。あなたには分かるだろうか?

  以下がそのフォームのURLだ:
https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

  このフォームを使用することは推奨しない。しかし、もし同フォームの正体が分かったら、コメント欄から我々に報せて欲しい。

追記:Twitterでは、これはフィッシングサイトだというのが大方の意見のようだ。しかしまだ結論は出ていない。

spreadssheets


スパムで恩恵を受ける銀行

  2、3年前、スパムのリサーチ中に、我々はスパムメールから一連のテスト購入を行った。

  錠剤やソフトウェア、タバコなどを購入した。少々驚いたことに、ほとんど全ての注文が承認され、実際に商品が届いた。確かに、我々が受け取ったWindows CDは粗悪なコピーだったし、ロレックスは明らかに偽物だったのだが、少なくとも彼らは「何かしら」を送って来たのだ。

  テストのために作ったクレジットカードアカウントを、我々は注意深く観察していたが、それらが詐欺的に利用される事はついぞなかった。

  このテストで最も驚いたのは、商品の購入に使用した電子メールアドレスに対して、スパムが増えなかったということだ。

  我々の調査結果は、カリフォルニア大学のリサーチャーたち(そうそうたる著者が名を連ねている)が発表した、最新の素晴らしい研究により補強された。

  このリサーチャーたちは、スパムからのテスト購入だけでなく、電子メールを送信するのに使用されたボットネット、スパムサイトをホスティングするシステム、金を動かした銀行を追跡した。

spam banks

  最も興味深いことの一つは、「世界のほとんど全てのスパムセールスが、たった3つの銀行により扱われている」ということだ。

  銀行? それらは以下の通り:
  • DnB NOR(ノルウェーの銀行)
  • St. Kitts-Nevis-Anguilla National Bank(カリブの銀行)
  • Azerigazbank(アゼルバイジャンの銀行)


  スパムは実際のところ、金を動かす銀行やクレジットカード会社にとって、非常に利潤の高いものであるということを肝に銘じておく必要があるだろう。このことは、こうした企業がこの件について実際に何かする可能性の高さに、影響を与えるかもしれないのだ。

  カリフォルニア大学による調査結果はここからダウンロードできる。

PS. 我々は実際には、注文したロレックスを受け取らなかった。違法コピー商品として地元の税関で差し止められ、没収されたためだ。彼らは最終的にそれを破壊した。ハンマーで。

Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

ソーシャル・スパム Q&A

Q:「ソーシャル・スパム」とは何なのか?
A:ソーシャル・スパムは、リンクを広めるためにソーシャル・ネットワーキング、メディアやニュース関連のWebサイトを利用するスパムだ。

Q:リンク? Facebookで見かける「何てことだ! 父親がウェブカムで自分の娘を盗撮」といったようなことを言っているリンクのようなもののことか?
A:そう。そういったリンクだ。

Q:それで、わいせつなリンクを拡散させると、ソーシャル・スパマーにどんな利益があるのか?
A:第1に、電子メールスパムがどのように機能しているかについて話をしよう。

Q:うーん… OK。では、電子メールスパムはどうなのか?
A:電子メールスパムは、自宅の郵便受けを一杯にする、現実世界のダイレクトメールや料金別納郵便に似たものだ。製品のオーナーはプロモーションしたいと考えているので、広告を配布するために誰かを雇うわけだ。ダイレクトメールの送り手(スパマー)は、配信される広告の数に基づいて、価格/レートを提供する。

Q:むしろ単純に聞こえるが。では、電子メールスパマーは、どのようにして利益を獲得するのか?
A:いくつかの方法があるが、一般に、配信されるメッセージの量に応じて前払いされる。電子メールスパマーは、より良いサービスを提供しようとすることで、互いに競争しているのだ。彼らは自分達のアドレスリストが、有効な(生きた)アカウントであり、他のスパマーよりも品質が高いことを証明しようともする。

Q:では、電子メールスパムは伝統的な製品オーナーと広告者の関係ということか?
A:その通り。製品オーナーは宣伝したいため、広告者に対して支払いを行う。その広告(スパム)は、皆さんの受信簿に送信され、皆さんのアンチスパムソフトウェアが、スパムを迷惑メールフォルダにフィルタリングすることになる。

Q:ソーシャルスパムに戻ろう。リンクを拡散することは、スパマーにどのようにして利益を与えるのか? リンクには「広告メッセージ」は埋め込まれていないし… 単なるタブロイドスタイルの見出しに過ぎないではないか。そのリンクは、広告ページをオープンするのか?
A:違う(それはコメントスパムだ)。ソーシャルスパム・リンクは、ソーシャルスパムのプロセスの第1歩に過ぎない。拡散したリンクの数が多ければ多いほど、スパマーにとっての潜在的な報酬は大きくなる。

Q:そのプロセスの第2のステップは何なのか?
A:スパムリンクの拡散だ。

Q:ではそれはどのように行われるのか?
A:Webサイトの「ソーシャル」な性質を悪用することによってだ。たとえばFacebookでは、あなたがスパムリンクをクリックすると、あなたに気に入ってもらいたい、あるいは許可してもらいたいページへと導かれる。

Q:気にいるか許可する?
A:その通り。そのリンクが、あなたを(facebook.comによってホスティングされた)Facebookアプリケーションに導く場合、そのアプリケーションがあなたのプロフィールにアクセスすることを許可しなければならない。もし許可すれば、同アプリケーションはあなたのプロフィールにリンクをポストし、その結果、あなたの友人とそのリンクを共有することになる。

Q:それがアプリケーションで無い場合は?
A:リンクがあなたを「ページ」(オンサイトであろうとオフサイトであろうと)、そのページをプロフィールページで「Like」「Share」にするよう要請される。スパマーは「Like」や「Share」を選ばせるよう、様々なトリックを使用する。

Q:どんなトリックを?
A:クリックジャック攻撃などだ。ページは不可視のフレームを使用して、そのことに気づかせることなく、人々に「likeボタン」をクリックさせようとする。

Q:では、ページを気に入ったとしたり、共有したりすると、そのリンクが拡散するということか… スパマーのために貢献しているということか?
A:その通り。

Q:でも、ページではなくアプリケーションなら、アクセスを許可しなければならないのか?
A:そうだ。そしてFacebookは前もって明瞭な警告を与える。

Q:他のサイトはどうなのか?
A:Twitterアプリケーションも、アプリケーションを追加する前にユーザに警告する。Twitterは2010年8月の末にOAuthにスイッチし、その結果、ユーザのパスワードは現在ではサードパーティ・アプリケーションと共有されないようになっている。

Q:では、ソーシャルサイトを模倣した外部ページを除いて、アプリケーションをコントロールできるか、制御できるか、あるいはどちらもできるのだから、それらを防ぐことができるのでは?
A:それは難しい問題だ。ソーシャルサイトは、共有するよう設計されている。だからこそソーシャルなのだ。ますます多くの正当なページが、毎日のように気に入ったとされ、共有され、ツイートされている。スパムページがシェアされないようにする唯一の方法は、全ての共有をブロックするか、当然、そのサイトからのページを削除することだ。

Q:では何が行われているのか?
A:フィルタリングだ。ソーシャルサイトは自分達のコミュニティが、スパムを報告してくれることをあてにしている。TwitterもFacebookも、「スパムとして報告」オプションを有している。そして彼らは、バックエンドでアンチスパムテクノロジを使用している。

Q:ステップ2は拡散だが… 何故そのプロセスは馴染みのあるもののように聞こえるのだろう?
A:電子メールワームと類似しているからだ。

Q:え? 電子メールワーム?
A:そう。電子メールスパムは、メッセージ本文か添付ファイルに広告を含んでいる。電子メールワームは多少異なる。これらはメッセージにバイナリのペイロードを付加していたが、アンチウイルス企業は遙か昔に、そのような添付ファイルをフィルタリングすることを学んだ。

Q:それで?
A:それでこの頃では、悪意ある添付ファイルはフィルタリングされてしまうので、電子メールワームはエサとしてリンクを使用している。受信者がメッセージ内のリンクをクリックすると、悪意あるペイロードを提供するWebページへと導かれる。そのペイロードのミッションには、受信者がメールをやり取りしている相手の連絡先を盗むことも含まれているため、連絡相手も脅威にさらされる可能性がある。

Q:ソーシャルスパマーはこのプロセスを考案しなかったのか?
A:いや、とんでもない。リンクでおびき寄せる全プロセスは、電子メールから進化したものだ。

Q:それでソーシャルスパムは、「ワームへのリンク」を介して広がるのか?
A:そう、だいたいそのような考え方だ…

Q:オーケー。ステップ1と2は、電子メールワームのように拡散するが、ゴールは電子メールスパムにより似ているわけだ。ステップ3は何なのか? 父親/娘ウェブカムビデオを見るようになるのか?
A:それはステップ2がアプリケーションか、ページか(例としてここでもFacebookを使用している)による。

Q:ステップ2がアプリケーションを許可するとどうなるのか?
A:次にスパムアプリケーションは、あなたの情報を収集するお返しとして、そのビデオ(あるいは他の何か)を提供することが多い。

Q:どんな情報を収集するのか?
A:あなたが何を許可しているか次第だ。基本的な詳細情報かもしれないし、アプリケーションがあなたに電子メールを送信する許可や、あなたのFacebookページの管理かもしれない。(Twitterアプリケーションは、あなたのアカウントに他をフォローさせたり、それらの人々のリンクをリツイートさせる。)

Q:それで?
A:それでソーシャルスパマーは、売り物になる商品にできる情報を獲得するわけだ。上で述べたことを思い出して欲しい…

Q:電子メールスパマーは、より良いサービスと有効なリスト提供することで、互いに競争している?
A:その通り。有効なリストを作るのに、Facebookのようなソーシャル・ネットワーキング・サイトよりも良い方法はあるだろうか? ナマのメールアドレスが獲得できるばかりでなく、年齢や性別、嗜好や興味も分かるのだ。結局のところ、25歳の女性に、バイアグラ・スパムを送ってもほとんど意味は無いのだから…

Q:素晴らしい商品のようだ。その情報で他にどんなことができるのか?
A:最悪のシナリオは、ID窃盗、もしくは恐喝のために利用されることだろう。

Q:そういうことは起こりうるのか?
A:可能だが、おそらく起こらないだろう。我々がスパマーフォーラムで得た情報によれば、スパマー達は手っ取り早い金儲けに関する広告を作成することが多いようだ。

Q:オーケー、ではまたステップ2に戻ろう… ステップ2がページだった場合はどうなのか?
A:この部分は少々複雑だ。

Q:複雑?
A:そう。ソーシャルスパムリンクがページにリンクしているなら、そのページは一般的に、ある種のCost Per Actionアフィリエイト・マーケティング・ネットワークを利用している。

Q:Cost Per Actionアフィリエイト・マーケティング・ネットワークとは?
A:まず最初に、アフィリエイト・マーケティングについて考えてみよう… 以下はWikipediaの記事の一部だ:アフィリエイト・マーケティングは、企業が1人以上のアフィリエイトに、アフィリエイト自身のマーケティング活動によってもたらされたビジターもしくはカスタマに対して、報酬を支払うマーケティングプラクティスである。

Q:アフィリエイトは、広告のために前もって支払いは受けないのか?
A:その通り。アフィリエイトは、大量の広告を売っているわけではない。そうではなく、彼らは製品オーナーへのトラフィックを促進しているのだ。製品に対してより多くのトラフィックを誘導できればできるほど、彼らはより多く稼ぐことができる。製品オーナーはこのマーケティング手法を好む。結果が出る前に前もって支払いを行う必要が無いからだ。

Q:そして、アフィリエイト・マーケティング・モデルはスパマーによって利用されるのか?
A:そうだ。残念なことにアフィリエイト・マーケティングは、スパマーによって容易に悪用される。

Q:何でそれが合法なのか?
A:なぜなら、アフィリエイト・マーケティングを実行するのに多くの合法的な方法が存在するからだ。Groupon(groupon.com)を例に取ってみよう。Grouponが提供する商品に対して、特定の数の人々が申し込むと、その取引は申し込んだ全員に対して有効となる。だが、予定されていた最低人数に達しないと、誰もその取引を完了することができない。Grouponユーザは、一種のアフィリエイトの役割を果たしている。もしも彼らがマーケティングの仕事をしており、そのオファーを仲間と共有し、十分な人数が申し込むなら、その会社は取引を認可する。

Q:良いアフィリエイト・マーケティングと悪いアフィリエイト・マーケティングがあるため、法律を制定するのはかなり難しいということか?
A:そうだ。

Q:オーケー、それでソーシャルスパマーはアフィリエイト・マーケティングの形式を利用しているわけだ。それでCost Per Actionアフィリエイト・ネットワークとは何なのか?
A:アフィリエイト・マーケティング・ネットワークは、一種の「スーパー・アフィリエイト」のようなものだ。アフィリエイト・マーケターは、発生したリードの量に基づいて、段階的な割合で支払いを受ける。1名だけでは、一般的に、より高いパーセンテージの段階には到達できない。アフィリエイト・マーケティング・ネットワークは、個人が、より多くの量を生む集合的なアフィリエイトの役割を果たすことを許しており、ネットワークメンバーにより高い支払いが行われる。

Q:それでCost Per Action(CPA)とは?
A:CPAは一般的に、リードの可能性から何かを獲得しようとするものだ。

Q:では、ページが気にいられたり、共有されたりした後、ステップ3で何が起こるのか?
A:スパマーは、小さな「アンチ・ボット」テスト(アクション)の実行後、ビデオ(あるいは何か)を見せると約束する。スパマーたちはそれを、「CAPTCHA」もしくはあなたが人間であることを確認するための手順だと主張する。

Q:そしてこれが、望みのものをスパマーが獲得する時なのか?
A:そうだ。この時点で、JavaScriptフォームが開き、その人物が人間であることが証明されたことに対して、「スペシャルオファー」が与えられる。

Q:どんなスペシャルオファーなのか?
A:ブラウザ用の検索ツールバーをダウンロードとか、クーポンを受けとる為に有効な電子メールアドレスを提供するといったシンプルなものであることが多い。あるいは… 高額なSMSベースの会費制サービスに巧みに申し込みさせる、といった可能性もある。

Q:その時点でスパマーは金を儲けるということか?
A:そうだ。行動を完了し、製品オーナーに「リード」を提供したそれぞれの人達1人につき、アフィリエイト/スパマーは1ドル以上稼ぐことができる。

Q:1ドル以上? それは良い稼ぎだ。
A:そう。稼ぐのにほとんど労力がかからないのだから。

Q:それで、これら全ては、詐欺と考えられるのか?
A:詐欺は強すぎる言葉だろう。

Q:しかし、このようなことを詐欺と呼ぶセキュリティベンダもいるが。あなた方はそうは思わないのか?
A:詐欺は、強すぎる言葉だろう… 詐欺というのは「Advance Fee Fraud(前払い詐欺)」、すなわち「あなたは英国の宝くじに当選されました! なんとかかんとか.comのLottoUKに連絡を」といったもののことだ。

Q:それでこのCPAスパムは何なのか?
A:これは詐欺的マーケティングのカテゴリに該当する。

Q:では何故一部の人々は、Facebook詐欺についてブログに書き続けているのか? 宣伝なのか?
A:その人達に聞いて欲しい。

Q:では、それが詐欺的マーケティングなら… それについてできることは何か?
A:政府の監査機関が参加すべきだ。たとえば、フィンランドでは、(フィンランド語に)ローカライズされたFacebookスパムのケースは、フィンランドの消費者保護局により解決された。エフセキュアはマスコミに詳細を伝え、マスコミあるいは犠牲者、あるいは両者が、SMS申し込みベンダを詐欺的であると報告した。そのSMSベンダに支払い請求サービスを提供した地元の企業は、スパム実行に伴う全ての訴えを覆した。(2回目の訴えは起きていない。)

Q:アメリカ合衆国はどうなのか? 詐欺的なアフィリエイト・マーケティング・スパムと戦う方法は、米国にはあるのか?
A:以前、実行されていた。2006年、アドウェアベンダ(Hotbar)のZangoが、彼らをビジネスから閉め出すFTC(連邦取引委員会)の調査に直面した。市民擁護団体が、Zangoが不当で詐欺的なビジネスプラクティスに関与しているとして、2件の公式な不服を申し立てた。

Q:では、FTCが2011年に目をむけるべき企業はどこか?
A:リストには、CPAlead(cpalead.com)、PeerFly(peerfly.com)およびAdscend Media(adscendmedia.com)が含まれている。

Q:Facebookが3人のスパマーに対して起こした、最近の訴訟はどうか?
A:実際、これら3つの訴訟の1つは、CPAleadのCTOであるJason Swanに焦点を合わせたものだ。同訴訟では、CAN-SPAM条例が引用されており、これら3つの例に偽の、あるいは詐欺的なサービスが提供されたケースが含まれている。たとえば「Facebook Gold」アカウントだ。そのようなものは存在せず、FacebookはCAN-SPAM条例のもとで、被告は有罪であると主張している。

Q:しかし、ほとんどのソーシャルスパムは、最終的には約束していたビデオ(か他の何か)をオープンするのではないか?
A:そうだ。それはほとんどの場合、YouTubeからの再利用コンテンツに過ぎないが、全3ステップが完了されていれば、そのリンクは約束を果たしはする。だから、これら3つのケースは興味深いが、ソリューションというよりはむしろ、スパマーへの警告に近いように見える。CAN-SPAM条例が当てはまるのかどうか(しかし、裁判官に提示する価値はある)我々にはわからない。

Q:もう一度まとめるが、ソーシャルスパムに関連するステップは何なのか?
A:第1に、犠牲者がリンクをクリックする。第2に、彼らはアプリケーションもしくはページを、気に入った/共有するとするか、許可する。第3に、犠牲者はCost Per Actionオファーを完了する。そして彼らはYouTube(もしくは別のところ)で、自力で見付けられる古いコンテンツにより「報いられる」。

Q:ソーシャルスパムはどれだけ効果的なのか?
A:非常に良い質問だ。2009年、ソーシャルスパムはハッキング/フィッシングされたアカウントにより発生した。2010年には、スパムリンクをばらまくために、スパマーにより他の方法が開発された。2010年夏までには、スパムリンクは何十万ものクリックを発生させた。

Q:ソーシャルスパムリンクは、まだクリックされているのか?
A:人々がこのプロセスについて知識を持つにつれて、クリックレートは下がっている。すべてのリンクの効果は、ますます下降線をたどっている。しかし、クリックレートと支払金額は、ソーシャルスパマーの方が電子メールスパムよりもかなり高い。

Q:ソーシャルスパムは電子メールスパムと同じくらい、大きな問題となるのか?
A:電子メールスパムはインタラクションを必要としない。スパマーは単に、スパムフィルタを回避する試みに、できる限り力を注げば良い。

  ソーシャルスパムは一般的に、人間のインタラクション(副次的なサイト脆弱性を除いて)を必要とする。ソーシャルスパムはインタラクティブなので、できることが存在する。FacebookとTwitterは、ユーザ経験を改善し、自分達のコミュニティがスパムに気付き、避けることを援助するよう、絶えずUIを再設計している。そしてソーシャルメディアサイトは絶えず進化しているため、ソーシャルスパムの性質もまた進化している。

  ソーシャルスパムはおそらく、サイトの機能を利用して、今後も常に存在するだろうが、電子メールスパムのように徹底的に、システムを悪用することはほとんど無いだろう。電子メールスパムをフィックスする唯一の方法は、電子メールプロトコルをフィックスすることだ。FacebookおよびTwitterスパムは、必要に応じて両サイトが対処することができる。

Q:最後に、ソーシャルメディアサイトを介した、他のタイプのスパムは存在するのか?
A:存在する。成人向けの出会い系サイトやサービスをプッシュする偽プロフィールスパムだ… しかし、それはまた別のQ&Aとなる。すべての画像をソートしたら(誰かがしなければならない)、この問題に戻る予定だ。

Gawkerのデータ開示

  私は旅行中だったのだが、オフィスに戻ると、キャッチアップすべきニュースがたくさんあるのが常だ。今は、Gawker Mediaのセキュリティ侵害に関する詳細を読んでいるところだ。Gawker/Gizmodo/Lifehackerのコメントアカウント100万以上に、先週末障害が起き、50万以上の電子メールアドレスおよび18万5000もの復号されたパスワードがファイル共有サイト「The Pirate Bay」で共有されている。

  月曜日、アサイー ベリーのプロモーションを行うTwitterスパムが発生した。多くの人が、そうするべきではないにも関わらず、複数のサイトで同じパスワードを使用しているため、障害が起きたGawkerアカウントは、Twitterアカウントへのアクセスを可能にしてしまった…

  もしあなたがGawker関連のサイトを使用しているなら、関連パスワードは全て更新する必要がある。

  このことは非常に興味深いが、私が知りたいと思っているのは、Gawkerに関連したもっと別の事柄についてだ。この6月、「Goatse Security」というグループが、AT&Tウェブサーバの脆弱性を悪用し、iPadカスタマー電子メールアドレスおよびネットワークIDを収集した。

  ウォールストリート・ジャーナルによれば、「Goatse Securityの行動を擁護するブログ記事では、Goatse SecurityはGawkerにデータを提供したのみで、データは後で廃棄したと、同グループのメンバーは語っている。」

  同じGoatseブログの記事で、私は次のように語ったと言われている:「この開示はまったく無責任なものだった。」

  私はこの脆弱性の開示が無責任なものと考えたのだろうか?

  いや、違う。

  私は脆弱性の悪用が無責任であると考えたのだろうか?

  まぁ多少は。つまり、彼らはiPadを購入し、自分達自身を悪用することができたのだから、脆弱性を立証するのに何も他の人々の名前を収集する必要は無かったのだ… が、違う、と言うことにしよう。脆弱性の悪用することさえ、「全く」無責任だった。

  では、私が全く無責任だと考えたのは、何だったのだろう?

  それは、「未編集のデータセット」を「Gawker Media」に引き渡したことだ。

  何故か?

  なぜなら、Goatse SecurityがどれほどGawker/ValleywagのRemy SternとRyan Tateを信用しているにしても(私も彼らは信頼できると確信しているが)、Goatse SecurityはAT&Tのカスタマ情報をGawkerのセキュリティインフラに任せるべきではなかった。

  結局のところ、6カ月後にGawkerはハッキングされた:

Was Your Gawker Password Hacked?
画像はSlateの「Gawkerパスワードをハッキングされましたか?」から

  そして現在、これらのiPadアドレスがどこに行き着いたのか、誰が知っているのだろうか?

  できることなら、FBIの調査終了後、データがGawkerのサーバから削除されていると良いのだが。

  私は今年の6月、Ryan Tateにメールを出し、iPadデータセットがどのように送信されたのかを尋ねた。暗号化されていたのか、それとも暗号化されていなかったのだろうか。しかし返事はもらっていない… Ryanはあのとき、忙しかったのに違いないと思う。

  iPadデータセットはどのように、そしてどんなフォーマットで、Gawkerに送られたのだろうか? そしてどのように、そしていつ、削除されたのだろうか?

ショーン

ハッカーがWebcam Trojanで10代の少女達を強要

FBI  FBIが警戒を要する事態に対して警告を発した。

  カリフォルニア在住の31歳の男が、コンピュータをBackdoor Trojanで感染させたという容疑で逮捕された。彼はオンラインで友だちになっていた人々に、メールを介してトロイの木馬を送りつけていたのだ。このマルウェアは、よくあるように、ビデオファイルのように見せかけられていた。実際これは、被害者のPCを攻撃者がコントロールできるバックドアをドロップしていた。次に攻撃者は、被害者のコンピュータから淫らな写真を探す。もし何か見つかれば、攻撃者はそれらをダウンロードし、これらの画像を利用して、被害者からさらなる写真やビデオを強奪しようとした。犠牲者の多くは、10代の少女たちだった。

  現在FBIは、この事件に関し、詳しいことを調査している。このハッカーは、さまざまなスクリーン名と電子メールアドレスを使っており、それらは以下にリストされている通りだ。もしもこれらの名称やメールアドレスをオンラインで見たことがあり、この事件の助けとなるかもしれない情報をお持ちなら、同事件の調査官に連絡して頂きたい。

  容疑者のスクリーン名と電子メールアドレスは:

gui_blt
Woods05
CoFfEkId014
ELEvatrHZrD03
Pimpcess03666
Your3name3here03
Bri23nice
Dmagecntr137
H2IOW14
ELEvATrhRZd03
Playgrl37
Your3name3here3
goldlion14
Hotchit13w
yousoylammer@hotmail.com
christ@yahoo.com
gui_blt@live.com
mistahxxxrightme@aim.com
zapotin@hotmail.com
guich_x@aim.com
guicho_1.1@roadrunner.com
mijangos3@msn.com

Twitter onMouseOverスパム

  昨日のTwitter onMouseOverワームは、Magnus Holmによって始まった。

  彼のバージョンのonMouseOverワームは、拡散はしたものの削除することができた。そしてこれは単に拡散しただけだったので、Holmは自分のワームは無害だったと考えている。昨年登場したインターネットワームの作者の多くも、同じように考えていた。

  残念なことに、「無害な」ワームは遠からず無害なままではなくなる。Matt Gascoigne、別名@matstaによって書かれた、よりアグレッシブなonMouseOverワームがすぐに登場した。

  以下は、現在は停止されている彼のTwitterアカウントのスクリーンショットだ:

Twitter onMouseOver worm

  彼のツイートのフィードに、2つbit.lyリンクがあるのが分かるだろうか?

  これらは数千回クリックされた。

Twitter onMouseOver worm

Twitter onMouseOver worm

  では、これらのリンクはどこに向かうのだろうか? — 調査だ。

  Matstaは「CPAlead.com」アフィリエイトネットワークにトラフィックを誘導するスパマーだ。

  CPAleadアフィリエイトは、「リード」ごとに最高1ドルかそれ以上支払われる。

  以下はiPadオファーだ:

Twitter onMouseOver worm

  そして以下はTwitterのハッキングを解除する方法に関するアドバイスだ:

Twitter onMouseOver worm

  調査に記入し、メールアドレスを書き込むか、ツールバーをダウンロードする、もしくはSMSサービス(ドル/ユーロ)にサインアップすると、「Ask Dave Taylor」に転送される。

  Matstaはオリジナルコンテンツを提供することさえしていない。彼は単なる代理人に過ぎず、調査をプロモートし、その過程で自分が儲けているのだ。

  Matstaのフィード内のツイートにDanielFarleyに言及しているものがある:

Twitter onMouseOver worm

  そしてFarleyのツイートの1つが、最近作成された以下のFacebookページに言及している:

Twitter onMouseOver worm

  「matsta.org」のGascoigneのサイトは昨日、ビジターをリック・ロールした。

  今日は、ブログが掲載されている:

Twitter onMouseOver worm

  Matstaは次のように書いている:

  「今朝、Twitterで何が起こったかについて、詳しい説明を掲載するつもりだ。」

  彼がどう弁明するのか、非常に興味深い。

  できれば、Twitterの弁護士たちが注目していると良いのだが…

Loveletter 2000-2010

  10年前の今日、歴史上最も重要なワームの一つが発生した。

loveletter   「Loveletter」(別名「ILOVEYOU」もしくは「Lovebug」)が、ほんの数分で世界中に広がった。もし感染すると、同ワームは皆さんのシステムから、皆さんになりすまして、全ての連絡先に以下のメールを送った:

   From: (あなたのメールアドレス)
   To: (あなたの連絡先の一つ)
   Subject: ILOVEYOU
   Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
   Message: kindly check the attached LOVELETTER coming from me.

  これは非常に効果的であることが分かった。人々はこのメッセージに驚き、添付ファイルを開き、同じメッセージを自分の友達全員にばらまくことになった。2、3時間後には、世界中の何百万ものユーザが感染した。

  そして我々はその中核にいた。私が知る限り、エフセキュアはこのワームを発見した最初のメンバーの一員だったのだ。

  私はこのケースに関し、Katrin Tocheva(現在はMicrosoft所属)、Sami Rautiainen(現在はStonesoft所属)、Alexey Podrezov(現在もエフセキュア所属)と共に仕事をしたことを覚えている。

  以下は我々が「感染第1号」、すなわちアンチ・ウイルス会社に助けを求めて連絡してきた、最初の感染例とみなしているメールだ。このメールは当時、ノルウェーのパートナーのために働いていたJohn Schrøderからのものだ:

—————

   Date: Thu, 4 May 2000 09:41:08 +0200
   From: John Schrøder
   To: samples@F-Secure.com
   Subject: Can you check this out
   Importance: high
   
   I got the attached vbs script from client here in Norway.
   They say that this
   'Love Letter' has spread to 100.000 machines in the
   client network in Europe.
   
   ASAP please
   
   -john
   
   Attachment: pd000504.pgp

—————

  Katrinは、「Loveletter」が広まったときの担当アナリストで、エフセキュアを「緊急モード」にした人だ:

—————

   Date: Thu, 04 May 2000 10:21:13 +0300
   To: all-employees
   From: Katrin Tocheva
   Subject: IMPORTANT: New worm extremly in the wild
   
   Hi all,
   
   There is a new Script worm that is extremely in the wild since this
   morning. Many big companies in Europe are already infected. I already
   spoke with our IT guys and all Outlook users are now protected internally
   but just in case Do Not open any attachments.
   
   The worm spreads via Outlook in a message with a
   
    subject: ILOVEYOU
    Body: 'kindly check the attachedLOVELETTER coming from me'
    Attachment:LOVE-LETTER-FOR-YOU.TXT.VBS
   
   We will be entering EMERGENCY MODE, effective *NOW*
   
   Please be careful!
   
   Regards,
   Katrin

—————

  緊急モードとは、全ての社内ミーティングを中止し、交換台で電話に対応する増員を招集するなど、様々なことを意味した。ラボのスタッフは、ランチで席をはずすことが許されないということでもある。その代わりに、会社が自動的に、彼らのためにピザの手配をするのだ。我々は「緊急ピザ」フレーバーを選択する、イントラネット・システムさえ有していた。

  以下は私のメール・アーカイブからの別の例だ。最初のサンプル、もしくはサンプル・エクスチェンジを介したワームで、このケースではMessageLabsからのものだ(「これは大物だ…」)。

—————

   Date: Thu, 4 May 2000 10:23:38 +0100
   From: Alex at MessageLabs
   To: samples@f-secure.com
   Subject: URGENT HEADS UP - LoveBug virus sample
   
   This is a big one guys. 600 copies in the last hour.
   Call me for details
   
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~
   Alex Shipp
   Imagineer
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~

—————

  この騒動が始まった07:41(グリニッジ標準時)から真夜中まで、一日中、このケースに取り組み、その後床についたものの、USAからの電話で午前3時には起きることになったのを覚えている。

  CERTsや他のセキュリティ・ベンダとの電話会議も記憶している。電話を切って、スクリーンを見ると、30分の電話会議の間に、自分が40本以上の電話をもらっていたことに気付いた。これらの電話は全て、パートナーやベンダ、メディアから来たものだった。誰もが何が起きているのか、そしてどう戦うべきなのかを知りたがっていた。

  10年前、ウイルスの発生は主要なニュースだった。以下は当時のCNNのフロントページだ。このスクリーンショットは、特定のウイルスの発生が、どれほど深刻なものとなる可能性があるか予測するのが、いかに難しいことかも、うまく表している。

CNN Loveletter

サイン・オフ
ミッコ

企業ID窃盗

  オンライン犯罪者たちにとって、盗難にあった銀行口座やクレジット・カードにアクセスすることは容易だ。それよりもずっと難しいのは、捕らえられることなく、それらのアカウントを空にすることだ。

  そのため、犯罪者たちはマネー・ミュールを必要とする。すなわち、盗んだ金を動かすためにリクルートされた個人だ。多くの場合、これらの個人は、自分たちが組織犯罪の手先に使われていることを知らない。フィッシングおよびBanking Trojanの犠牲者が、金を奪われたと気付いても、真の犯罪者ではないマネー・ミュールが指し示されるのみだ。

  以下は活動中のマネー・ミュール・リクルート・キャンペーンの一例だ。これは「Finha Capital」という企業の名の下に行われている。

Finha

  同Webサイトは、かなり信頼が置けそうに見え、クイックWebサーチにより、この名を持つ本物の企業が存在し、数十年、営業していることが示される。

Finha

  問題は、「finha-capital.com」が「Finha Capital」とは何の関係もないということだ。同サイトは全く偽物なのである。

  「finha-capital.com」というWebサイトが作られた唯一の理由は、オンライン支払いを行い、犯罪者のために金を動かすため、だまされやすいエンド・ユーザを雇い入れるフロントエンドとして使用することにある。この連中は、自分たちの詐欺に人々を引き込むため、既存企業のしっかりとしたブランドを利用しているのだ。

  そしてそれは「Finha Capital」だけではない。以下を見て欲しい:

Finha

  全く同一のWebサイトが、「Bin Finance」および「Contant」という、(少なくとも)別の2つの名前で運営されている。

  そして「Finha Capital」と同様、「Bin Finance」「Contant」という名の企業も実在する。そしてWebサイト上のアドレス・リストは、これら本物の会社のメーリング・アドレスだ。これらの企業も、この違法な活動とは無関係だ。

Finha

  「finha-capital.com」「contant-finance.com」というドメインは、ロシアのサンクトペテルスブルグでホスティングされており、「bin-finance.com」はウクライナのキエフでホスティングされている。

  ちょうど先週、「nordea-securities.com」というドメインで、似たような詐欺事件があった。「Nordea」は北欧の大手銀行で、1000万以上の顧客を有している。

  我々は電子メールで大量送信された、以下のメッセージを発見した:


   From: info@nordea-securities.com
   Subject: Career opportunity
   
   Our firm have reviewed your resume from Career Builder resume base,
   reviewed it and sure that you to be a great applicant for the position which we suggest.
   
   We are now looking for a individuals for a vacant position “Account Coordinator”.
   The main task of this position is to collect payments from our customers in US.
   
   Basic Requirements:
   - Computer skills (MS Word), personal e-mail address
   - Ability to work at home
   - Responsibility
   - Age: 21+
   
   If you are interested, please, register here: http://nordea-securities.com/rim/?link=getjob&rnd=34753525


  同サイトのwhoisデータは誤解を招くもので、「nordea-securities.com」というドメインがNordea Bankの所有であるよう見せかけている。それは事実ではない。yahoo.comのメールアドレスに注意しよう。

nordea-securities alexis perkus poelsevierali@yahoo.com

  学ぶべきことは?

  •  個人だけでなく、企業にもID窃盗は起こる。
  •  誰かが本当とは思えないような、うまい在宅の仕事をオファーするなら、それはおそらく本当ではない。
  •  他人のために金を動かさない。
  •  自分が相手をしていると思っている相手と、本当にコンタクトを取っているのかどうかを確認する。

ICPP著作権財団は偽物

  新たな身代金型トロイの木馬が出回っている。

  このトロイの木馬は、「著作権者への罰金」をカバーするため、「公判前の示談」の支払いを行うよう脅すことで、犠牲者の金を盗もうとするものだ。

  犠牲者は「反海賊行為財団スキャナ」が、システムから違法なTorrentファイルを発見したと告げられる。もし400ドル(クレジットカード・トランザクションを通じて)支払わなければ、懲役刑と莫大な罰金を科せられる可能性があるという。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  そしてこの警告は消えない。システムを再起動するたびに、再び現れるのだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらすべては完全に偽物だ。「ICPP財団」などというものは存在しないし、このメッセージは、違法なファイルをまったく含んでいない場合でも表示される。

  もっとも重要なのは:こんな道化連中への支払いは拒否すること! もし支払いを行えば、問題がより大きくなるだけのことだ。

  この件の背後にいるグループは、「icpp-online.com」に公式サイト風のWebサイトを準備してさえいる。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ドメインは「Shoen Overns」氏の名で登録されている。「ovenersbox@yahoo.com」という電子メールアドレスは、ZeusおよびKoobfaceスキャムに関連して、以前、他のさまざまなドメインで見掛けたものだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同アプリケーションが示す「Reports」をクリックすると、以下のようなページが現れる:

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ページにリストアップされている(イタリアの)番号に電話を掛けてみた:+39 (06) 9028 0658 当然のことながら、つながらなかった。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらのページは「91.209.238.2」でホストされており、WHOISによれば「高度に保護されたソマリアネットワーク」である「EBUNKER-NET」に属している。これはモルドヴァで運営されている。

  支払いページは以下の通り:

iccp7

  同サイトに接続するはっきりとしたクレジット・カード支払いシステムは存在しない。クレジット・カード情報を集め、保存しているようだ。

  もし皆さんが、このトロイの木馬に遭遇しても、「支払ってはいけない」。その代わり、トロイの木馬を除去するため、これを検出できるアンチ・ウイルス・プログラムを使用すること。「エフセキュア アンチウイルス」はこれを「Rogue:W32/DotTorrent.A」として検出している。ols.f-secure.comにある無料の「エフセキュア オンライン スキャナ」を使用して、システムのチェックを行うことができる。

  同マルウェアは一般に「c:\documents and settings\USERNAME\application data\IQManager\iqmanager.exe」に位置する。2つの異なるバージョンが見つかっている。これらのMD5ハッシュは「cedc2c35bf967027d609df13e937946c」と「bca3226cc1cfea416c0bcf488082e5fd」だ。

エフセキュアメールマガジンをご存知ですか?

本日は「エフセキュアメールマガジン」の配信日です。続きを読む

Facebook騒動

  Facebookが最近、素晴らしい新機能を発表した:「このステータスについてコメントするため、このメールにリプライする

  皆さんが友達と会話しようとする場合、これは非常に便利な機能に見える。

  しかし、安全だろうか?

  実際のところ、我々がテストした結果、この「Reply To」アドレスは誰でも、どんなメールアカウントからでも利用できる。

  もちろん、通知リンクはアカウント・ホルダーのメインの電子メールアドレスにのみ送信されるが、我々はみな、電子メール・アカウントがいかにフィッシングされ、ハッキングされているかを知っているのではないだろうか?

Matti Meik?l?inen

  ご自身で試してみて欲しい。件名を入れたメールをこのアドレスに送れば、ここでMattiの名前で投稿された結果を見ることができる。

  コメントがまもなく皆さんの近くにやってくる — 電子メール・リプライ・スパムが。

「fr3sh_card3r_rz」とは誰か?

  データ・マイニング中、我々は興味深い細部に出くわすことがある。

  たとえば、以下のドメイン登録者情報を見て欲しい。

  何か面白い事実に気付いただろうか?

     Domain Name: BENINECOB.COM
     Eco Bank
     David Kieselstein (fr3sh_card3r_rz@yahoo.com)
     81 fair hill drive
     westfield, New Jersey 07090
     US

     Domain Name: S-CFS.COM
     Citizens First Bank
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

     Domain name: NORDEABANKAB.COM
     Nordea Bank Ab
     Emilia Martins (fr3sh_card3r_rz@yahoo.com)
     1015 E Wylie St
     Bloomington, Indiana 47401
     US

     Domain name: BOF-IRELAND.INFO
     Bank of Ireland
     Patricia Jones (fr3sh_card3r_rz@yahoo.com)
     Rainwood Apts 1885 Harper Dr A
     Lake City 30260
     US

     Domain name: FIN-VB.COM
     First Investment Bank
     Don Spusta (fr3sh_card3r_rz@yahoo.com)
     1878 algonquin ave
     deltona, Florida 32725
     US

     Domain name: IRBUK-OFFICE.COM
     UK Inland Revenue & Customs
     West john (fr3sh_card3r_rz@yahoo.com)
     564 galant dr
     wincostin mn,48493
     US

     Domain Name: KCW-UK.COM
     Commonwealth Bank UK
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

  モニカ・ルインスキー? 間違いなくたわごとだ。

  だが、この「fr3sh_card3r_rz@yahoo.com」はどうだろう?

  この電子メールアドレスは、2008年7月というかなり以前から、偽の銀行サイトを作成するために用いられている

  fr3sh card3rを使用する…というのは、かなり厚かましいのではないだろうか?

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード