エフセキュアブログ

確認 を含む記事

「F-Secure HTK4S」は偽物

  我々は以前、このような物に遭遇したが、今日、新たなメールが出回った。

  どこかのおどけ者が、我々のフリをしようとしている。以下のようなメールを見かけたら、無視して欲しい:

     From: securitysupport@hotxf.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     To: undisclosed-recipients:;
     
     Dear Email Subscriber,
     
     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2011-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.
     
     E-mail Address:
     Password:
     Phone Number:
     
     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.
     
     Management.
     
     Copyright 2011. All Rights Reserved.



  同様の向こう見ずな試みを、我々は複数の言語(機械翻訳されたもの)で確認している。例えば:


     From: Tampere University of Technology
     Reply-To: webmailantivirus@gmail.com
     Subject: Hyv? tilin k?ytt?j?
     To: undisclosed-recipients:;
     
     Hyv? tilin k?ytt?j?, HTK4S virus on havaittu webmailiin
     tilin kansiot, ja sinun webmail-tili on p?ivitetty uuden
     F-Secure HTK4S anti-virus/anti-Spam versio 2011 aiheutuvien
     vahinkojen v?ltt?miseksi meid?n webmail ja t?rkeit? tiedostoja.
     T?yt? sarakkeet alla ja l?hett?? takaisin tai s?hk?postisi
     keskeytet??n tilap?isesti palveluistamme.
     
      K?ytt?j?tunnus :........ Salasana :......... SYNTYM?AIKA: ......
     
     Jos n?in ei tehd? 24 tunnin sis?ll? heti tehd? s?hk?postisi
     k?yt?st? meid?n database.
     Thank k?ytit Jyv?skyl?n yliopisto webmail.
     
     Tampereen teknillinen yliopisto Copyright c 2009-2011
     
     (c) Verkot Kaikki oikeudet pid?tet??n


  これらのメールは無視して忘れることだ。

Webアドレスは慎重に見るべし

  何とばかばかしいフィッシングサイトだろう。

  このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。

  もちろん、違うのだが。

Craigslist phishing

  これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。

  こんなものに誰も引っかかりはしない。

  一部のケースを除いては。

  ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。

  iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみよう。

craigslist scam iphone

craigslist scam android

craigslist scam nokia e72

  こうなると、もはやそれほどあからさまではない。(そしてiPhoneでは特に、うまくフォーマットされている…)

  ご覧の通り、スマートフォンの小さなスクリーンでは、フィッシングはより容易になる。

  このことを、大部分のスマートフォンが、フィッシングメールフィルタや詐欺サイトのWebブロッキングを有していないという事実と合わせて考えた時、唯一の結論に到達する:「フィッシングはPCよりも携帯電話の方が上手く行く。」

  エフセキュアのモバイルセキュリティ製品が悪しきサイトをブロックするのは、こうした理由による。

  エフセキュア製品が動作する電話で同じサイトにアクセスしようとすると、どのように見えるかは以下の通りだ。

F-Secure Mobile Security in action

  我々は同フィッシングサイトを報告したので、すぐに削除されるだろう。



問題のある証明書

  最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。

  SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。

  しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく対応していない。VerisignやGoDaddy、Comodoといった主要な認証企業に加え、基本的により大規模な企業のための再販業者である地域的なCAさえ何百も、何千も存在する。

  Comodoは先頃、ハッカーがイタリアの再販業者の一社のパスワードとユーザ名を獲得することで、システムに侵入することができたと発表した。そのハッカーはその後、イランの出身であると公に主張しているが、その会社を通じて9つの不正な証明書を交付した。証明書はgoogle.com、yahoo.com、skype.comといったポピュラーなドメイン用に発行された。

  第一に、イタリアの小さな再販業者が、google.comの証明書を交付することができる、というのは驚くべきことだ。あなたは、どこかでサニティーチェックが妨害されたのだろうと考えるかもしれないが、そうではない。

  このような証明書によって何ができるだろうか? あなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてのルート変更が行える。たとえば、Skypeユーザを偽のhttps://login.skype.com アドレスに導き、SSL暗号化が存在するように見えるかどうかに関わらず、彼らのユーザ名やパスワードを収集することができる。あるいは、彼らがYahooやGmail、Hotmailにアクセスすれば、その電子メールを読むことができる。プロであってもほとんどが、これに気づくことはないだろう。

  2010年8月、コードサイニング証明書によって署名されたマルウェアサンプルを発見したため、エフセキュアのシニアリサーチャであるJarno Niemelaが、Comodoを巻き込んだID窃盗のケースについて調査を開始した。彼は証明書に記載された企業を追跡し、小規模なコンサルティング会社を見つけた。

  Niemelaはその会社に連絡し、彼らが自分達のコードサイニング証明書が盗まれたことに気づいているかどうか訊ねた。彼らの反応は、コードサイニング証明書は持っていない、というものだった。実際、彼らはソフトウェアの制作さえしておらず、したがってサインすべきものが何もなかった。明らかに誰かが、彼らの名前でその証明書を獲得したわけだ。彼らは企業ID窃盗の被害者だったのだ。

  被害者とComodoの協力を得て、Niemelaはこの証明書が実在する従業員の名前でリクエストされ、Comodoは申込者の身元をチェックするため、電子メールと電話による確認を行ったことを確認した。残念なことに、この詐欺師はその従業員の電子メールにアクセスすることができ、Comodoの電話による確認は、間違った相手にかかってしまったか、誤解が原因で失敗してしまった。

  実際、件の従業員は別のCA会社であるThawteからも電話を受けている。Thawteが彼女に、会社の名義でコードサイニング証明書をリクエストしたかどうか訊ねた際、彼女は「ノー」と返事をした。そこでThawteは、認証プロセスを打ち切った。

  このケースは、入口を見つけるまで、マルウェアの作者が複数のCAを試すということを示している。

  詐欺師が企業のメールにアクセスできる場合、その企業からのリクエストが本物かどうか、CAが確認するのは非常に難しい。評判が良く、やましいところの無い企業が、有効な証明書を手に入れるためのプロキシとしてマルウェア作者に利用されるというケースは、今後増えそうだ。

  認証機関は既に、認証を獲得しようとする疑わしい試みや、その他のシステムの悪用に関する情報を報せる手段を有している。しかし、これらのシステムは人間によって運営されているため、間違いも起こりやすい。我々は、現行のシステムでは、証明書は完全に信頼できるものではないという事実を、受け入れなければならない。

  このトピックについて、最新のYouTubeビデオで取り上げている。

ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性

PSNからの情報漏洩で大騒ぎ中ですが、差し出がましいようですが、私もひとつコメントさせて頂きます。
ちなみに、私も新聞各紙で出ている情報以外は知りませんので悪しからず。

本件は事後対応策を全くしていないかった典型的事例だと思います。
セキュリティ対策は、予防策から事後対応策までバランス良く実施できれば、それに超した事はありません。しかし、運用面やコスト、リソースなどの課題を考えると、中々そうはいかないのが現実です。

ところが、万一事故が発生した際に、確実に顧客の信頼を失うのは、事後対応策を怠った場合です。
なぜならば、事後対応策がとられている組織の場合、比較的原因究明が早いためです。そのため、
「○○の可能性で侵入された可能性が高いため、確認中です。」と第一報。
「○○に原因があったため、至急対策を実施しました。」
と最終報告がしやすいわけです。

それに対し、事後対応策が不十分である場合、これが言えません。
「鋭意調査中です。」
「恐らく、○○が原因だと思われます。」
「取り合えず、セキュリティ対策を強化しました。」
くらいの台詞がお約束です。
もし、ユーザであったら、どちらが安心感があるでしょうか。
勿論、広報の発表の仕方にもよりますが、事故後のアクション次第で組織への影響は大きく変わるものです。
いくつも、類似の事件を見てきましたが、今回は失敗の典型的事例に映ります。
IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。


Flashエクスプロイトの感染を制限するにはActiveX版をアンインストールせよ

  昨日、Adobeは「Security Advisory APSA11-02」を公開した。同アドバイザリによれば:

  「Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。」

  そして…この新しい脆弱性は現在、広く悪用されている:

  「この脆弱性を悪用し、Windowsプラットフォームを標的に、メールの添付ファイルとして送信されたMicrosoft Word(.doc)内に埋め込まれたFlashファイル (.swf) を経由して、標的型攻撃が行われているという事例が報告されている。」

  Officeに埋め込まれたFlashファイル?

  この攻撃ベクタは、Brian Krebsからの次のような質問を生み出した:「だれか、MS OfficeファイルでFlashオブジェクトのレンダリングを全面的にオフにする、信頼できる方法を知っているか?

  我々は、簡単にアンインストールできるものを何故オフにするのか、と思う。

  我々は通常、Internet Explorerを使用しないので、IEバージョンのFlash Playerが使用可能である必要はまったく無い。Web上のFlashには、指定されたブラウザ(IE以外の)を使用することができる。あなたには本当に、OfficeでFlashが使用可能である必要があるのだろうか?

  以下は、ActiveX版のFlashがインストールされていない状態で、埋め込み型のFlashコンテンツを含むドキュメント/スプレッドシート/プレゼンテーションを開くと、Microsoft Officeが出すプロンプトだ。

Some controls on this presentation can't be activated.

  「非IE」版のFlash Playerはもちろん、依然としてエクスプロイトに脆弱だが、それらのバージョンに対して(電子メールを介して)標的型攻撃が成功することを想像するのは難しい。そして多分それが、現在の攻撃がOfficeを使用している理由だろう。

  ちなみに、Flash Player(10.3)の次のバージョンは、コントロールパネルアプレットを含むようだ:

Flash control panel applet

  期待が持てそうだ:

Flash Player Settings Manager

自身をブロックするウイルス

  「Virus:W32/Ramnit」は、2010年に感染が確認されており、多くのマルウェアアナリスト/リサーチャーによく知られている。

  この興味深いウイルスのテクニカルな詳細については、他のマルウェアリサーチャーたちがブログに記事を書いている(たとえばここここにある)。しかし若干の注目すべき技術と、そして「イースターエッグ」が、発見されるのを待っている。

  その興味深い技術の一つは、「Ramnit」が使用するインジェクションメソッドだ。従来の方法とは異なり、ウイルスが停止したスレッドを作成し、メモリ書き込みWindows API機能を使用し、コードの注入を行い、インジェクション完了後、停止したスレッドを再開する。

  このケースで、「Ramnit」を独特の物にしているのは、デフォルトのWebブラウザプロセス、もしくは「svchost.exe」として知られるGeneric Host Process for Win32 Servicesという新しいプロセスを生み出すのに、これがWindows API機能をコールすることだ。この新たに生み出されたプロセスにインジェクトすることで、コードはユーザに不可視となり、ファイアウォールをバイパスすることができる。

  しかし、それ以前に、「Ramnit」は「Ntdll!ZwWriteVirtualMemory」と呼ばれる、マニュアルに記載されていないWindowsネイティブシステムサービスに、インラインフックをインストールする。以下の画像は、このインジェクションの仕組みを示したものだ:

ramnit infection

  フックされたWindowsネイティブシステムサービスは、コードインジェクションルーチンを実行するため、コード実行フローをコーラプロセスに定められたモジュールにリダイレクトする。新しいプロセスでインジェクトされたコードは、バックドアおよびダウンローダ機能のほか、ファイル感染力(Windows実行ファイルとHTMLファイル)を含んでいる。

  「Ramnit」でもう一つ注目すべき点は、上記のプロセスにインジェクトされるDLL内に見られる「イースターエッグ」だ。以下に挙げた同コードのスナップショットが、すべてを説明するだろう:

antidot

  基本的にこのイースターエッグは、レジストリキーにナビゲートし、「WASAntidot」を探す:

antidot

  我々がテストマシンで「WASAntidot」レジストリキーを作成しようとすると、以下のような画面を見ることになった:

antidot activate

  ほら! マシンは「Ramnit」の感染から安全だ!

Threat Solutions post by — Wayne

ソーシャルエンジニアリングが失敗?

  我々はこの2日ほど、スパムメールを介して配布されたマルウェアが実行されているのを目撃している。

  この電子メールメッセージおよびマルウェアは、特に目新しいものではない。メッセージは偽で、デリバリサービスに関連しているよう見せかけている。これに添付されているのが、Trojanダウンローダを含む偽装ZIPファイルだ。

  このZIPファイルが実行されると、ユーザは以下のような画面を見ることになる:

DHL Express Services

  「うーん、DHLからの小包が届いているのか。トラッキングナンバーをチェックするのに、添付書類を確認した方がいいな。ちょっと待てよ。FedExからだったか?」

  ユーザは感染するだけでなく、混乱してしまう。

Threat Solutions post by — Broderick

巧妙なエイプリルフール (ネタばれ)

4月1日はエイプリルフールですが、フィンランドのエフセキュア セキュリティ研究所で主席研究員(CRO)を務める、ミッコ・ヒッポネンによるエフセキュアブログの記事が、エイプリルフールではないかというお問い合わせを多数いただきました。続きを読む

確認済み:Samsungはキーロガーを搭載していない

  我々は前回の記事で書いたことを確認した。すなわち「Samsungはラップトップにキーロガーを搭載していない。」

  この件は、VIPRE Antivirus製品の誤警報により引き起こされた。どうやらVIPREは、Windowsディレクトリのルートに「SL」というディレクトリが存在するのをサーチしたことにより、StarLoggerキーロガーを検出したようだ。これはまずい考えだ。

  たとえば、以下は空の「SL」フォルダが作製された後、完全にクリーンなWindowsコンピュータでVIPREがアラートを出していることを示すスクリーンショットだ:

VIPRE

  Samsungのラップトップは実際、デフォルトで「C:\WINDOWS\SL」というフォルダを持っているため、VIPREは似たような警告でアラートを出すのだろう。

  残念なことに、最初の分析を行ったMohamed Hassan(CISSP)は、自分の調査結果をダブルチェックせずにSamsungを非難してしまった。彼は全く「SL」フォルダのコンテンツをチェックしなかったのだろう。

  Samsungは無実だ。

  調査を手伝ってくれたTwitter仲間の@the_pc_doc@SecurityLabsGR@paulmuttonに感謝する!

追記:Alex Eckelberryが、VIPREが何故誤警報を出したかについて、さらに詳しく説明するブログ記事を掲載している。








最古のコンピュータウイルス作成者にミッコが直撃インタビュー

コンピュータに感染するウイルスが初めて発見されたのは、1986年でした。

世界初のウイルスの名はBrain。

これは、5.25フロッピーディスクのブートセクタを感染させるMS-DOS向けに書かれたウイルスで、フロッピーディスクドライブの動作を遅くさせ、7KBほどのメモリーを使用できなくするという単純なものでした。

7KBなんて・・とおもいましたが、その当時の7KBはけっこう貴重なリソースだったそうです。

累計100,000個ものフロッピーディスクが感染したということです。

IMG_0203

Brainには、パキスタン在住の作成者の連絡先が含まれており、1986年から25年の歳月を経た2011年2月、エフセキュアのセキュリティ研究所で主席研究員 (CRO) を務めるミッコ・ヒッポネンが作成者に話を聞く為にパキスタンのラホールに赴きました。

IMG_0352

作成者は兄弟で、アムジャッド・ファルーク・アルヴィとバジット・ファルーク・アルヴィだということが判明、現在二人は、もう一人の兄弟である シャヒード・ファルーク・アルヴィと共にパキスタンで、Telecommunication Ltd というインターネット サービス プロバイダ事業で成功していました。

IMG_6562

エフセキュアは、ミッコの旅とアムジャッドとバジットの初のインタビューを収録した「Brain – Searching for the first PC Virus (Brain – 最古のウイルスを探して)」と題した10分間のルポタージュビデオを制作しました。彼らは、同ルポタージュの中で、フロッピーディスク を介して感染を広げた最古のウイルス、Brainについて初めてインタビューに応えており、Brainの目的は破壊ではなく、だからこそ自らの連絡先を入れたことを明かしています。

Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination............ $#@%$@!!


彼 らの動機は、当時新しいOSだったDOSに実装されたマルチタスク機能の動作性と、UnixなどのほかのOSと比べセキュリティ上の脆弱性があるかどうかを確認する為のものでした。その後間もなく、彼らは米国やオーストラリアなどの国々から問い合わせを受けたそうです。

IMG_6613

ミッコ・ヒッポネンは、今回の旅について素晴らしい体験をしたと振り返っています。というのもBrainのコードに含まれていた住所に実際に赴いてドアをノックしたら、 25年前に同ウイルスを作った兄弟がドアを開けたというのですから。

アムジャッドとバジットが1986 年にウイルスを作成した頃、つまり25年前のインターネットは、今とは全く異なる状況でした。彼らが悪意もなく書いたコードが世界初のコンピュータウイルスになってしまったというのは非常に興味深く、今回エフセキュアが制作したビデオには、コンピュータ史の中でも重要な部分が記録されていますので、ぜひお見逃しなく!

「Brain – Searching for the first PC Virus (Brain – 最古のウイルスを探して)」は、こちらからご覧いただけます。(英語)


また、先日のショーンの記事でもご案内していますが、「USA Today」のByron Acohidoによる記事で、ミッコ・ヒッポネンの「Brain」のドキュメンタリーを独占紹介していますので、ぜひこちらも。

クラウドに多数のフィッシング

  我々は新たなフィッシングの試みに遭遇した。今回は、Maybank(マレーシアの主力銀行の一つ)の「ラッキーな」カスタマが標的とされた。用いられているのは典型的な手法だ。すなわち他の誰かの権限をよそおい、次にカスタマに自分のアカウントを確認するよう要請し、「Transaction Authorisation Code」も必要であることを思い出させることさえする。

maybankphishing (48k image)

  さらなる調査により、この電子メールはスパムサーバに由来することが分かっているが、我々に分かったのはそれだけだ。その他のトラックはすべて、慎重に隠蔽されている。

  フィッシングの試みには何ら新しいところは無いが、開発途上国周辺でのフィッシングの動きは、最近増加しているようだ。初期のアクティビティの張本人であるグループは、フォーカスを新しい市場に移したのだろうか? おそらく彼らは、ローカライズされれば、怪しげなリンクも検出をくぐり抜け、逃れるチャンスが高まると考えたのだろう。同地域のカスタマが、おそらくオンラインバンキングを最近知ったばかりであるという事実を考えても、高度なソーシャルエンジニアリング手法に容易に引っかかる可能性は高い。

  理由がなんであれ、これらの詐欺師たちが意図することは一つだ。すなわち、金を稼ぐために利用できる価値ある情報を手に入れる、ということだ。「Browsing Protection」のようなツールは、ユーザを危険なサイトへのアクセスから保護する助けとなるが、最も良い方法は自分の安全に自ら責任を負うことだ。ユーザが罠に落ちることを避けるには、悪意ある連中により通常実行されるトリックを知っておく必要がある。

(管理人註:この記事のタイトルは原文の「Plenty of Phish in the Cloud」に基づきました)

「Trojan:Android/BgServ.A」

  Googleが、ここ数日間に起きた「Trojan:Android/DroidDream.A」による混乱に対処するセキュリティソリューションを公開した。

  同ツールのトロイの木馬化されたバージョンも出現している(我々はこれを「Trojan:Android/Bgserv.A」として検出している)。同トロイの木馬の興味深い予備分析が、Symantecのブログで公開されている。

  本物対トロイの木馬バージョンの違いは、アプリケーション情報をチェックすることで確認できる:

「Android Market Security Tool」:

android_market_security_tool_installation (121k image)

「Trojan:Android/Bgserv.A」:

trojan_android_bgserv_a_installation (129k image)

  コンテンツ/パッケージのスクリーンショット:

trojan_android_bgserv_a_comparison (114k image)

  いったんインストールされると、「Trojan:Android/Bgserv.A」はIMEIや電話番号など、ユーザの電話情報を獲得する。この情報は「hxxp:// www. youlubg. com: 81 /Coop/request3.php」にアップロードされる。

  今回も、このマルウェアは中国本土のネットワークに特化されているようだ。(China Mobile Netに関連するナンバー10086にコンタクトを取り、「cmnet」という名称をAPNリストに挿入し、新たなAPNを使用しているのだ。

  このマルウェアは、感染したデバイスで大量のデータ使用を引き起こし、ユーザに高額な電話料金を課す可能性がある。

  興味深い点:この悪意あるコードは、「Android Market Security Tool」にのみ制限されているわけではないようだ。AegisLabのブログによれば、同様のふるまいが他のAndroidアプリケーションでも現れるそうだ。


では。
Zimry

エジプト、FinFisher侵入ツールそして倫理

  エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。

  2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。

  本部内で、抗議者達は多くの国家機密書類にアクセスした。

binders

  それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。

finfisher

finfisher

finfisher

finfisher

注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。

  「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売されているようだ。「感染プロキシ」、様々な侵入ツールなど、複数のコンポーネントを含んでいるようだ。

  エジプト国家保安当局が同ツールを購入したか否か、我々には分からない。また、彼らがそれを国民をスパイするために使用したかどうかも分からない。他に誰が利用し得るかも分からない。

  ここでの明白な疑問は「我々はFinFisherを検出しているか?」ということだ。答えは「分からない」だ。これを確認するために使用できるサンプルを入手していないからだ。

  これに関連する明白な疑問は、誰かが我々にFinFisherの既知のコピーをくれたなら、我々はそれと承知して、検出に追加するか、といことだ。そしてその答えは「そうする」だ。

  我々はプロテクションの販売に従事している。そのソースが何であれ、攻撃プログラムから我々のカスタマを防御する製品を販売しているのだ。

  カスタマがいかなる不正も犯してはいないのに、関与していない犯罪に関して嫌疑をかけられるというケースは、容易に想像できる。このような状況で、カスタマは自分のアンチウイルスが、トロイの木馬から完全に保護されることを期待するはずだ。たとえそれらトロイの木馬が、政府に由来するものであっても。カスタマが全体主義国家に暮らしているなら、これはさらに重要だろう。我々のカスタマの一部がそうしているように。

  我々が既に「FinFisher」のサンプル、あるいは類似するツールのサンプルを、カスタマから受けとっているということは全くあり得ることだ。しかし、そういうことがあっても、「通常の」犯罪的トロイの木馬との区別はついていない。我々は既知のいかなる政府侵入ツールも所持していない。

  我々は世界中のいかなる警察、あるいは諜報組織からも、彼らのトロイの木馬を検出しないようにというリクエストを受けてもいない。彼らがトロイの木馬を使用しているなら、我々にそれを提供していない。

  そして、たとえ当局が我々に接触し、彼らのトロイの木馬を検出しないよう要請したとしても、我々は2001年に発表した我々のガイドラインに従うまでだ。この件に関しては、我々の公式なステートメントをご覧頂きたい。

  政府のトロイの木馬検出を停止するのは、危険な道筋だ。もしも米国政府が我々に何かを検出しないよう依頼し、我々がそれに従った場合、何をすればいいのだろうか? 我々はどの政府が使用しているハッキングソフトウェアの検出を避けるべきなのか…? ドイツ? 英国? イスラエル? エジプト? イラン?

英国でオンライン犯罪者5名に判決

  フォーラムに自分の保釈シートを投稿したオンライン犯罪者について議論した、昨年8月の我々の記事をご記憶かもしれない。

  彼は今日、ロンドンで有罪判決を受け、懲役4年の刑を申し渡された。同じ判決で、他の男性2人、女性2人にも有罪判決を下され、懲役18カ月から4年、地域奉仕活動への参加という刑が申し渡された。

  スコットランドヤードの発表は以下の通り:

  違法に入手したクレジットカード情報や、コンピュータ犯罪を行うためのツールの売買を行うオンライン「犯罪フォーラム」を設立した若いインターネット詐欺師のグループが本日、合計15.5年の刑で拘置された。

[A] Gary Paul Kelly(1989年4月14日生 - 21歳)Clively Avenue, Clifton, Swinton, Manchester在住・無職;

[B] Nicholas Webber〔1991年10月10日生 - 19歳)Cavendish Road, Southsea在住・学生;

[C] Ryan Thomas(1992年7月8日生 - 18歳)Howard Road, Seer Green, Beaconsfield, Herts在住・Webデザイナー;

[D] Shakira Ricardo(1989年11月14日生 - 21歳)Flat 13, J Shed, Kings Road, Swansea SA1在住・無職;

以上4名は本日(3月2日水曜日)、サザク刑事裁判所で2日間の審問を経て、コンピュータの不正使用と詐欺罪により判決を受けた。全員が以前の審問で有罪を認めた。

+ [E] Samantha Worley(1988年9月30日生 - 22歳)J Shed, Kings Road, Swansea SA1在住・無職。2010年12月14日、犯罪的な資産を取得したことにより地域奉仕活動を行うよう判決を受けた。

  同グループは最大の英語版オンラインサイバー犯罪フォーラムに関与していると見られており、「Metropolitan Police Service」の「Police Central e-Crime Unit(PCeU)」捜査官による入念な捜査が行われ、全員が2009年と2010年に逮捕された。

  11カ月の調査期間中、捜査官は被告らがクレジットカードおよびデビットカード詐欺、(パスワードや暗証番号を含む)個人情報の売買、悪意あるコンピュータプログラム(マルウェア)の作成、交換、感染したパソコン(BotNet)のネットワークの確立とメンテナンス、警察の活動を回避し、裏をかく方法など、犯罪を行う方法に関するアドバイスを提供するチュートリアル、脆弱な商業サイトやサーバの詳細の交換など、個人情報の電子的な窃盗を促進、助長した(8000名以上のメンバーを擁する)国際的フォーラムに、直接関与していた証拠を発見した。

  フォーラムの設立者はWebberだ。「www.GhostMarket.net」という名のWebサイトを設立し、「管理者」としてサイトを包括的にコントロールしていた(すなわち、彼はメンバーの受け入れや拒否、彼らの投稿の修正、投稿、そしてフォーラムでのメンバーのステータスの変更が行えたということだ)。

  再構築された同フォーラムとそのデータベースの調査により、氏名、生年月日、銀行情報、パスワード、Paypalアカウント、社会保障番号を含む個人の情報に関する、数千ものデータエントリが明らかになった。サイトメンバーは、銀行口座の番号、暗証番号、パスワードなどを含む数千の個人情報、Zeus Trojanやクレジットカード検証プログラムを含む様々なタイプの犯罪的ソフトウェアといったマルウェアが含まれる障害の起きたデータベースの売買をしていたと考えられている。

  同フォーラムでは、以下のようなトピックが扱われていた:「フィッシングキット(無料フィッシングキットの投稿および販売)」「技術を示す(あなたのスキルをここで皆に示そう)」「チュートリアル(有益な情報をここに投稿)」「クレジットカード詐欺の標的(あなたがカード詐欺を行ったサイトをここに投稿)」 他にも、警察を回避する様々な方法や、ブランクプラスチックにクレジットカードのデータをエンコードする方法について、また規制薬物(クリスタル・メスといった覚醒剤)の製法、爆弾製造に至るまで、アドバイスやチュートリアルが掲載されていた。

  同サイトのメンバーは、ハンドル名を使用して匿名で情報交換を行っていた。かれらは同サイトで、さまざまなフォーラムトピックにメッセージを投稿し、他のサイトメンバーを相手に、セキュアなプライベートメッセージの送受信を行う事ができた。

  調査期間中、捜査官は被告のコンピュータから13万以上のクレジットカード番号を回収した。これは、カード1枚に対して120ポンドの商業損失と換算され、カード番号のみに関し、1580万ポンドの産業損失と換算される。

  2009年11月3日、捜査官はKellyの自宅住所で捜索令状を執行したのち、彼を逮捕した。捜索が行われ、調査のため複数のコンピュータ、携帯電話が押収された。

  Kellyは、独自に高度かつ悪意あるZeusコンピュータプログラムを作成し、Webにまき散らしていたことが確認された。同プログラムにより彼は、150以上の国で1万5000台以上のコンピュータを感染させ、それらのコンピュータから大量のクレジットカード番号や機密性の高い他の個人情報を含む、400万行以上のデータを収集していた。

  Kellyから関連パスワードの提供を受け、捜査官は彼のPCのファイルを使用し、「GhostMarket」フォーラムとデータベースの再構築を行った。

  これに先立ち、10月12日、WebberとThomasがセントラルロンドンの五つ星ホテルで、盗難にあったカード情報を使用してペントハウススイートの宿泊費を払った罪により逮捕された。彼らはオンライン広告に応じ、匿名の個人に金を支払ったと主張した。

  捜査官がさらなる調査を行う間、彼らは保釈されたが、ラップトップなどが押収された。さらに、彼らは「バーチャルマーケティングの新時代」、署名欄に「I'm a carder, ask about me...」と書かれ、「GhostMarket」のロゴをこれ見よがしに表示した名刺を所有していることが分かった。

  「GhostMarket」犯罪フォーラムとの二人組の関わりは、すぐに確認され、保釈後、姿をくらました彼らを、盗難クレジットカード犯罪に関して追跡するべく捜査が行われた。

  二人は10月31日、マヨルカ島のパルマに飛び、Port D'andraxのアパートを借りて暮らしていることが分かった。

  2010年1月29日、パルマから戻った彼らはガトウィック空港で逮捕された。

  翌日、Webberの自宅の捜査により、さまざま名犯罪行為を行うためのステップバイステップの手引きを概説した、一連のファイルを保存したコンピュータが確認された。

  証拠の量が多く、同事件が複雑であったことから、両人は後日出頭するということで保釈となった。

  捜査官たちはその後スペインに向かい、スペイン警察の協力を受けてThomasとWebberが借りていたアパートの捜索を行った。部屋は空だったが、現地調査の結果、荷物は英国の住所宛に送られたことが確認された。

  さらなるコンピュータ機器のみならず、それらのアイテムもその後回収された。

  押収したコンピュータや他のデジタルストレージデバイスのフォレンジック調査を通じて、また再構築された「Ghostmarket」サイトを通じて確保された証拠を介して、捜査官はフォーラムのメンバーと目されるRicardoを特定。南ウェールズ・スウォンジーにいることがつきとめられた。当初は完全な初心者としてサイトに参加したものの、Ricardoは時が経つにつれて進歩し、直接カード詐欺やコンピュータマルウェアの活動に関与するようになった。

  財政面の調査により、Ricardoから彼女のパートナーであるWorleyの銀行口座に支払いが行われていることが確認され、詐欺罪で起訴された。

  「Police Central eCrime Unit」のColin Wetherill警部補は言う:「被告らは洗練されたサイバー犯罪者であり、英国および海外の個人、企業のコンピュータに対し、組織的に大量感染させる行為に従事していました。

  「彼らは犠牲者から違法に個人情報や財政情報を収集し、利益を得るために悪用したのです。

  「GhostMarket犯罪フォーラムは、世界中で活動する数千のコンピュータ犯罪者および詐欺師により利用されました。

  「このフォーラムを通じて、被告らは広範な犯罪者ネットワークを構築し、障害の生じたクレジットカード情報、機密性の高い財政情報や個人情報、悪意あるコンピュータプログラム、および他の洗練されたツールや犯罪者サービスの卸売を助長しました。

  「彼らの逮捕、起訴、そして有罪判決は、サイバー犯罪に対する我々の取り組み、そしてそうした犯罪に起因する被害を減らそうとする我々の努力における、意義ある前進を意味していると言えるでしょう。」

+ 被告全4名の完全な財政調査は、現在進行中だ。

我々の知る限りSamsungラップトップにキーロガーは無い

  「Network World」が、Samsung Electronicsがデフォルトで、ラップトップにWindowsキーロガーをインストールしているとする記事を発表した。Samsungのサポートまでが、「マシンのパフォーマンスをモニターし、どのように使用されているかを見る」ため、商用のStarLoggerキーロガーがデフォルトでインストールされていると言って、これを認めたようだったため、騒動が巻き起こった。

  こういうことは、少々信じがたい。「エフセキュア アンチウイルス」はStarLoggerを(「Trojan.Generic.5223315」として)検出している。他の多くのアンチウイルスベンダも同様だ。我々はStarLoggerの報告のピークは見ていない。

  これらの主張を否定する声明が「samsungtomorrow.com」に掲載されている。しかし、このサイトは公式なSamsungサイトではないようだ。

  では、どうするべきか? 我々は地元のITストアに行き、何台かのSamsungラップトップをチェックしてみた。

Samsung Laptops

  いや、我々はテストしたラップトップから、StarLoggerも、他のいかなるキーロガーも発見できなかった。それにはSamsungの「R540」「RF710」「QX310」「SF510」「X125」および「NF310」が含まれる。これらのモデルはみな、異なるバージョンのWindows 7を搭載していた。リストに「Samsung R540」が含まれていることに注意して欲しい。これは「Network World」の記事で指摘されていたラップトップモデルの一つだ。

  要約すれば、そうでないと証明されるまで、我々はSamsungがデフォルトでラップトップにキーロガーをインストールしてきたという話は信じない。

  「Verkkokauppa.com」のEero Järvilehtoの助力に感謝する。

P.S. 今回のケースとSonyルートキットのケースとの類似点を感じる人もいるかもしれない。しかし、Sony BMGは有罪だったが、Samsungは無罪だと我々は確信している。

追記:Samsungが無実であることが確認された。我々のアップデート記事はここにある。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

Trojan:Android/Adrd.A

  2、3日前、ミッコが「ADRD」という名の新しいAndroid trojan(我々はこれを「Trojan:Android/Adrd.A」として検出している)についてツイートした。

  「Adrd」は、大部分が中国のサードパーティアプリケーションプロバイダによる、いくつかのアプリケーションにトロイの木馬が仕込まれてリパッケージされている状態で発見された。これまでのところ、感染したアプリケーションの大部分は、ウオールペーパー関連のものだ。

  以下は、感染したアプリケーションの例だ:



  インストールされた「Adrd」が感染したアプリケーションは、以下のようなパーミッションを示すかもしれない:



  これらのパーミッションは、端末のスタートアップ中に「Adrd」がそのルーチンを開始することを可能にし、ネットワークデータアクセスの許可/禁止といったデータ接続の変更を行う。パーミッションの中には、SDカード、端末、Access Point Name(APN)設定へのアクセスも含まれる可能性がある。

  「Adrd」の機能には、以下のようなリモートホストへの更新が含まれるようだ。

- adrd.tax[..].net
- adrd.xiax[..].com

そして、端末の情報、特に国際移動体装置識別番号(IMEI)と、移動加入者識別番号(IMSI)を送信する。送信されるデータは、DESで暗号化されている。

  リモートホストはリンクのリストでリプライする。そのうちの一つを「Adrd」がランダムにセレクトし、内蔵するシンプルな乱数ジェネレータを使用して接続する。選択されたリンクが交信を受けると、定義済みのサーチ文字列を返し、「Adrd」がこれを処理し、バックグラウンドで検索を実行する。

例:
1. 「Adrd」の乱数ジェネレータは、リモートホストから得られるリストの配列を示す数を生成する。例えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは実際、「Adrd」が使用する検索基準を含んでおり、例は以下の様になる:

http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a

「Adrd」はこれをバックグラウンドで処理し、実行する。

  もう一つの機能は、「myupdate.apk」という名のAPKをダウンロードすることで、これは/sdcard/uc /フォルダに保存される。これはおそらく、アップデートコンポーネント用だ。

  「Adrd」のネットワークアクセスは、高速データ使用に繋がり、これは結局、高額料金へと結びつく可能性がある。我々は「Adrd」が「cmnet」、「cmwap」(China Mobile Net)、「uniwap」、「uninet」(China Unicom)に接続しているのを確認しており、「Adrd」は中国のマーケットにのみ配布されているようで、中国のネットワークにのみ特有なものである可能性がある。


- 分析はZimry Ongによる。

「SHA-1+salt」はパスワードに十分だと思いますか?

  アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム「rootkit.com」をハッキングした。「rootkit.com」の全ユーザパスワードに障害が起きている。

  この件に関連して、アプリケーションセキュリティで気に入っているトピック、すなわちパスワードハッシュについて指摘したい。

I've forgotten your password again, could you remind me?

  Web(およびその他の)アプリケーションが、ユーザパスワードのハッシュにMD5、SHA1またはSHA-256を使用しており、先進的なデベロッパさえ、そのパスワードをsaltしている。そして私は長年に渡って、salt値はどのように生成されるべきか、どのくらいの長さであるべきかについて、白熱した議論を目にしてきた。

  残念なことに、ほとんどの場合、MDおよびSHAハッシュファミリーは計算速度のために設計されており、そして「rootkit.com」で起こったように、salt値のクオリティは、攻撃者が完全なコントロールを握ったとき、重要ではないという事実が見逃されている。攻撃者がルートアクセスを有するとき、彼らはあなたのパスワード、saltおよびあなたがパスワードを確認するために使用するコードを獲得する。

  そして、どんなセキュリティ設計でも基づくべき推測は、攻撃者がサーバ上のすべてにアクセス可能である、ということだ。

  saltは主として、レインボーテーブルとしても知られる、事前計算された攻撃を防止することを目的としている。そして事前計算された攻撃が防止される限り、たとえ攻撃者がユーザパスワードと共にsalt値を獲得したとしても、パスワードは比較的安全だと、一般に推測されてきた。

  しかしMDおよびSHAハッシュバリアントは、計算速度のために設計されており、これは、処理用のビデオグラフィックスディスプレイカードを使用すると、攻撃者が1秒に何億ものブルートフォースを容易に試みることができるということを意味する。

  以下を参照:http://www.golubev.com/hashgpu.htm

  すなわち、単一のATI HD 5970でさえ、攻撃者は33日で典型的レインボーテーブル(2^52.5ハッシュ)に相当するパスワードスペースをカバーすることができる、ということを意味している。そしてシリアスな攻撃者が、仕事に複数のカードを使用していることは間違いない。

  攻撃者があなたのsalt値とコードを獲得した場合、ユーザアカウントを保護するものは、使用されているパスワードの強度しかないが、我々はあまり、エントロピーの良いソースであるとは言えない。辞書攻撃とブルートフォースの手法を組み合わせることによって、多くのアカウントを持つ大規模サイトであっても、かなりの量のパスワードを破るのに、それほど長い時間はかからないだろう。

  このような事態を避けるには、どうすべきだろう?

  最初に考えるべきことは、パスワードが現実世界の金庫に非常に似ているということだ。重要なのは、中身を守る金庫を開けるのに必要なコードの長さだけでなく、開けるのにどのくらいの時間が掛かるかということだ。

  これは、SHA1あるいは他のプレーンなハッシュアルゴリズムは明らかに、セキュアなパスワード認証向きではないことを意味している。

  我々が使いたいのは、ブルートフォースに対して無力でないものだ。1秒あたり23億回の試みを行う代わりに、あなたは攻撃者を10,000回あるいは100,000回の試みに制限する何かを望むだろう。

  そしてsalt値の使用は適切なインプリメンテーションに不可欠であるものの、あなたの問題を解決する確実な方法ではないのだ。

  それには、以下のプロパティを満たすパスワードハッシュスキームが必要だ:

  •  処理パワーが増大した場合、必要とされる計算時間を容易に調節することができる。
  •  各ユーザが反復の固有番号を持つことができる。
  •  各ユーザハッシュがユニークであり、2人のユーザが同じパスワードであるかを、ハッシュを比較して知ることが不可能である。

  以下から、こうしたスキームをいくつか選ぶことができる:

  •  PBKDF2 http://en.wikipedia.org/wiki/PBKDF2
  •  Bcrypt http://www.openwall.com/crypt/
  •  HMAC http://en.wikipedia.org/wiki/HMAC

  各選択肢はそれぞれの強みと弱みがあるが、これらは全てSHA1+saltのような汎用ハッシュのインプリメンテーションより、はるかに強力だ。

  よって、あなたがパスワードを扱っているなら、上記のスキームのうち1つを選び、望ましい時間(10、200msなど)内にサーバがパスワードをチェックする反復の回数を決定し、それを使用する。攻撃者が各反復で全アカウントに対して試せるようにするのではなく、各アカウントに個別にフォーカスさせるよう、各ユーザに対してユニークなsalt値と反復カウントを用意することだ。

Safer Internet (Update) Day

  2月8日は、子供たちにとってインターネットをより良い場所にすることを目指す日、「Safer Internet Day」だ。あなたのお子さんがオンラインになる前に、彼らのコンピュータがセキュアなソフトウェアで最新の状態になっていることを確認したい。今月は、インストールすべきアップデートやパッチが数多く登場している。

  Microsoftの「セキュリティ情報」には、全バージョンに影響を与える「Internet Explorer」用のアップデートが含まれている。

Microsoft Security Bulletin February 2011

  最も影響の少ないOSは「Windows XP Service Pack 3」であることに注意したい。「Service Pack 2」は昨年、アップデートサイクルから外れたからだ。子供たちはしばしば、「お下がりの」コンピュータを与えられる。子供に古いハードウェアを与える前に、現在のサービスパッックがインストールされていることを確認しよう。代用のブラザも考慮すべきだ。

  とはいえ、他の選択肢もまた、不安要因が無いわけではない。

  Googleは最近、「Chrome」をバージョン9.0.597.84に修正した。

  もう一つのポピュラーな選択肢であるVLCメディアプレーヤには、悪意ある攻撃者が任意のコード実行を誘発する事が可能になる、無効なMKVファイルをパースする際の欠陥がある。VLCメディアプレーヤー1.1.7はこの問題に対処しているので、アップデートするか、信頼できないダウンロード(そしてVLCプラグインをインストールしているなら信頼できないサイト)を避けることだ。

  Adobeも今日、Adobe ReaderおよびAcrobat用のアップデートをリリースしている。影響を受けるバージョンは、WindowsおよびMacintosh用のAdobe Reader X (10.0) およびそれ以前のバージョンだ。

モバイルセキュリティ・ティップス

  「CES 2011」が、モバイルコンピューティングの未来に関するプレビューで今年の幕を開けた。おそらくNVIDIA Tegra 2などのデュアルコアCPUを搭載した、ハイスペックのスマートフォンやタブレットがさらに多くリリースされることが期待される。我々の中には、「LG Optimus 2X」や「Motorola Atrix 4G」といった端末のSneak Peekに魅了されている者もおり、これらが今四半期リリースされることを間違いなく楽しみにしている。

  データ料金がより安価に、モバイル・コンピューティングのテクノロジがよりパワフルになることで、モバイル機器は小型のパソコンにより近づいて行く。さらに、ユーザが簡単に銀行の取引やオンラインショッピング、フライトの予約、普段のウェブブラウジングなどを行うのを手助けするアプリケーションが手に入りやすくなることで、ユーザのスマートフォンへの依存が加速される。

  モバイル・コンピューティング人気の高まりは、悪意ある攻撃に新たな扉を開いている。これは比較的新しい領域であるため、待ち受けているリスクに気づいておらず、身を守る方法がよくわからない人もいるだろう。そこで手始めとして、以下にいくつか役立つティップスを挙げておこう:

  1. システムを常にアップデートする
      これを当然と思わないことだ。モバイル・オペレーティングシステムをアップデートしておくことで、ユーザは最新の機能を享受できるだけでなく、セキュリティを守る助けともなる。パソコンと同様に、システムを最新にすることは、修正されていないセキュリティホールや脆弱性を利用する悪意ある攻撃への防御となる。

  2. 端末にセキュリティ・アプリケーションをインストールする
      モバイル機器はミニコンピュータ並みの機能を有しているため、攻撃や窃盗の魅力的な標的となる。そしてこうした状況は、フィジカルデバイスと含まれるデータを保護する必要を生む。たとえばエフセキュアの「Mobile Security」アプリケーションは、データを保護し、脅威から防御し、紛失した、もしくは盗難にあった端末を見つける助けとなる機能を提供している。

  3. クリックし到着する場所に気を付ける
      個人情報やクレジットカード情報を獲得するスキャムやフィッシングは、モバイルユーザに対するもっともアクティブな攻撃となることが予期される。ソーシャルエンジニアリングの手法は、ユーザに悪意あるリンクをクリックさせたり、有益な情報を提供させたりするために用いられる。よって、ウェブサイトが「https」で始まっていることを、機密情報を入力する前に確認することだ。

  4. パブリックネットワークでの商取引を控える
      パブリックネットワークは有益で、データ料金を節約する助けとなる。しかし、自分の電話が接続しているパブリックWi-Fiは、セキュアではないかもしれないことを心にとめておく必要がある。安全を期するため、活動はブラウジングに制限し、商取引を行うのは避けることだ。

  5. アプリケーションのインストール、獲得は信用できるソースから行う
      スマートフォンを所有することの楽しみ(そして便利さ)には、様々なことができる多彩なアプリケーションが活用できるということがある。多くのアプリケーションが存在し、独立した、モニターされていないチャネルを通じて提供されている。自分がインストールしたものに注意し、そのソースに注意することだ。ソースの中には、悪意あるコンテンツを含むリパッケージされたアプリケーションを含むものもあるかもしれない。

  6. 端末上での各アプリケーションのデータアクセスのチェックを習慣化する
      アプリケーションの中には、ユーザのデータや個人情報にアクセスするものもある。アプリケーションの範囲外、目的外のアクセスに用心すること。たとえば、SMS(読み書きおよび送信)やコール、電話帳エントリ、システムファイルにアクセスするゲームアプリケーションは、なぜそんなアクセスが必要なのかと疑問を感じる必要があるだろう。アプリケーションに対して何らかの疑いがあるなら、インストールしてはいけない。


  今年、我々はモバイルの脅威に新たに起きる動向を、さらに調査して行く予定だ。モバイルセキュリティに関する最新の調査結果やニュースに注目して欲しい。


--Zimry Ongの投稿による。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード