エフセキュアブログ

確認 を含む記事

4月8日:XPだけの問題ではない

 4月8日が間近になっている!そしてそれが意味するところは…。


カウントダウンクロック

 …Windows XPのサポートの終了だ。しかしXPだけではない。Office 2003も命を終えようとしている。

 今現在、Officeのある脆弱性が野放しになっているため、これを知っておくことは重要だ。

 マイクロソフトは昨日、Security Bulletin Advance Notificationを公表した。

Microsoft Security Bulletin Advance Notification for April 2014

 そして良いニュースがある。Wordの脆弱性に対するパッチが作成されている模様だ。いまだOffice 2003を使用中のすべての方にとって、この更新を適用することは不可欠だ。なぜか?パッチのリバースエンジニアリングが行われ、関連するエクスプロイトがエクスプロイトキットに埋め込まれるまでに、わずかな時間しかないためだ。この観点からすると、Officeがインストールされている方全員にとって、Webの閲覧は一層危険に満ちたものとなる。もしブラウザがRTFファイルを「開く」ように設定されていたら、とりわけ危険だ。

 したがって、次の火曜日のパッチに備えよう。そしてパッチを適用する。

 4月8日以降もまだXPを使い続けるつもりだろうか?それなら、こちらのSafe and Savvyの投稿を確認してほしい。

 7 things to do if you’re going to keep using Windows XP after April 8, 2014

 step 3としてOfficeのセキュリティの設定を厳格にするアドバイスがあることに、特に注意が必要である。次の火曜日までにできるちょっとしたことだ。

Coremexが検索エンジンハイジャックを取り入れる

 検索エンジンの結果を標的にするマルウェアは、なにも新しいものではない。悪意あるブラウザ拡張もおなじみだ(一般にFacebook詐欺のキャンペーンのようなものに使われる)。しかしごく最近、その双方を試みる、特筆すべきマルウェアファミリーを識別した。我々はCoremexと名付けた。これはブラウザが提供するプラグイン機能を悪用し、GoogleやYahooといった巨大オンライン広告企業を相手に、様々な検索エンジンの結果をハイジャックする。

 Coremexは単独のNullsoftInstaller実行ファイルとして提供され、ドロッパーもしくはダウンローダのいずれとしても動作する。当該実行ファイルの実行時に、ダウンローダは感染したマシンから基本的な情報の収集を始める。たとえば、ユーザ名、感染したワークステーションの名前、プロセッサ、メモリなどだ。情報はC&C(command-and-control)サーバのアドレス178.86.17.32に送付される。これは、バイナリにハードコーディングされている。情報は「2AJQ8NA4」というキーを用いてRC4で暗号化され、最終結果はBase64でエンコードされる。

 ブラウザ拡張スクリプトなどのメインペイロードをC&Cサーバからダウンロードするのを妨げるサンドボックスに対抗する機能が、Coremexにいくつか実装されている。これらの機能は、ブラックリスト化されたプロセスの名前を確認し、感染したマシン上でWMI(Windows Management Instrumentation)を使って「VMware」といった文字列のような、よく知られたサンドボックスのフィンガープリントを検索する。

図1:ハッシュ内のブラックリスト化されたプロセスの名前

Coremex_Blacklisted_ProcessName_By_Hash

図2:ハッシュ内の対サンドボックスの名前

Coremex_AntiSandbox_By_Hash

 対サンドボックスのコンポーネントが非常警報を上げなかったら、Coremexは次にC&Cサーバからペイロードを追加ダウンロードする段階に進む。ただし、マルウェア作者はペイロードのダウンロードに別のC&Cサーバを用いている(少なくとも当社の分析時には)。

 C&Cサーバのアドレスは以下だ。

  •  178.250.245.198
  •  174.127.82.213
  •  192.154.94.253

 以降被害者がChromeやFirefoxを開くと、常にブラウザプロセス内に当該エクステンションが存在するようになる。

 CoremexのJavaScriptは、分析を困難にするため、3階層の高度な難読化がなされている。同スクリプトは水面下でブラウザから提供されるAPIを用いていくつかのイベントを登録し、イベントの発生を待つ。

図3:悪意のあるブラウザ拡張が複数のイベントリスナーを登録

Coremex_Scripts_Event_Listener

 イベントリスナーの1つは1時間に1回起動される。callbackファンクションイベントの実行時に、以下のインチキな検索エンジンのWebサイトへの接続を開始する。

  •  onlinetrack.org
  •  zvtracker.com

 一方、他のイベントリスナーは、感染したブラウザが訪問しようとするURLを解析する役割を持つ。これらのイベントリスナーのcallbackファンクションは、以下の検索エンジンプラットフォームに入力された検索クエリを探す。

  •  Google
  •  Bing
  •  Yahoo
  •  ASK
  •  AOL
  •  AVG
  •  MyWebSearch
  •  Search-Results
  •  Comcast
  •  Delta-Search

図4:Coremexが標的とする検索エンジンプラットフォームの一覧

Coremex_Search_Engine_Hijack

 狙っている検索エンジンプラットフォームが見つかり、URLから検索クエリの解析が成功すると、Coremexは最初に犠牲者が入力した検索クエリをJSON形式に変換する。

Coremex_yoursearchquery

 続いて「http」というキーを用いてJSONオブジェクトがRC4アルゴリズムで暗号化され、結果がBase64でエンコードされる。Base64でエンコードした文字列は、おそらくマルウェア作者が制御する検索エンジンプラットフォームへ送られる。

Coremex_RC4

 サーバからの応答の中には、接続先のWebサイトのリストが入っている暗号化されたJSONオブジェクトが含まれている。これらWebサイトは広告っぽいURLを持つWebページがどこへリダイレクトされるかを規定する。GoogleアドワーズのURLの例では、以下のように見えるだろう。

Google Adwords URL

図5:GoogleアドワーズのURLのパターンを解析する役割を持つコード

Coremex_Google_Ads_URL_Hijacked

 復号したJSONオブジェクトは、以下のような感じだ。
 
decrypted JSON objet

 以下の画面キャプチャは、犠牲者が広告のURLをクリックしたときに動作するCoremexのスクリプトを示している。クリックすると、ハイジャックされた広告のページに導かれ、マルウェア作者が意図した接続先のWebサイトへリダイレクトされる。

図6:GoogleアドワーズのURLがハイジャックされている

Coremex_Google_Ads_Url_Car_For_Sale_768x335
画像クリックで拡大

図7:GoogleアドワーズのページがIFRAMEでハイジャックされている

Coremex_Google_Ads_Page_Hijacking_With_IFrame_768x333
画像クリックで拡大

 ハイジャックされた広告のページへ挿入されたIFRAMEに関して言うと、分析中はサーバが接続先のWebサイトについて応答することはなかった。したがって、ハイジャックされた広告のリダイレクト先の例について、我々はまだ目にしていない。しかし、人気のあるオンライン広告サービスを悪用しようとする、マルウェア作者の意図は明確だ。

SHA1: 62b5427b10f70aeac835a20e71ab0d22dd313e71

—————

Post by — Wayne

ダークウェブに潜む隠しサービスって!?


最近、ダークウェブ(匿名化技術などを利用したウェブサイト)の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

(1)マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

OnionWallet


(2)ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

Pokerle


(3)武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

ARMORY

(4)偽造関係
SuperDollars ?? なんでしょうか、これは??

superusd


(5)AXXXXXXX
ノーコメントで。

hidden_service3



ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか??法執行機関へ提供とかでしょうか??

darkweb incident


このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

アイシスを使ってファイルスラックに痕跡を残せるか

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。

むやみにリンクをクリックするBelieberは何人?

 3月8日、ジャスティン・ビーバーのTwitterアカウントのアクセス権を持つ人物がハックされた。そして短い時間、攻撃者はビーバーとして発言できた。これについて取り立てて述べることはないのだが、ツイートにbit.lyへのリンクが含まれ、興味深い統計情報がいくつか提示されたという事実は例外だ。

 何人のBelieber(訳注:ジャスティンのファンを指す)がbit.lyのリンクをクリックしただろうか?

Clicks

 全部で70,381人だ。

 そして、どの地域でクリックされたのか?

Location

 24,000回近くはアメリカだ(フィンランドの真のBelieberは、見たところ348人のようだ)。

Map

 フォロワー数5,000万に対し、7万回のクリック。全般的にそんなに大きな割合ではない。しかしそれでも、当該アカウントがわずか15分しか侵害されていなかったことを考えると、スパマーにとっては悪い結果ではない。

 統計については、(今のところ)
bitly.com/1ezBYiQ+にて自分で確認できる。

TrustyConの動画

 初の「Trustworthy Technology Conference(信頼できる技術カンファレンス)」TrustyConが昨日、サンフランシスコで開催された。そして、Google/YouTubeが無償で撮影スタッフを派遣した。すばらしい!今回のイベント全体はここで確認できる。



 ミッコのプレゼンは、15分45秒に始まる。

 他の講演者:Alex Stamos、Cindy Cohn、Marcia HofmannChristopher SoghoianJoseph MennBruce SchneierGarrett RobinsonYan Zhu、Chris Palmer、Dan Boneh、Steve Weis、Jeff Moss、Ed Felten

 TrustyConのアジェンダには詳細がすべて載っている。

 そしてEventifierには、関連するつぶやきや写真について一大コレクションがある。

CryptoLockerの復号サービス

 Bitcoin市場は最近大幅な上げ下げを記録している…。そこで当社では、CryptoLockerの復号サービスの現在の価格を確認することにした。ある特定のキーワード検索により、pyidtyncbecmg.netドメインに(Torを経由しない)CryptoLocker復号サービスがあるのを見つけた。これはモスクワに設置されている。

 我々は11月のCryptoLockerの暗号ファイルをアップロードした。

KEY PAIR FOUND

 そして我々のキーペアはいつ見つかるか?求められる価格は4 BTCで11月と同じだった。

 一方でBitcoinの価値は、当時からだいぶ変動している。今日の価格では、4 BTCは約2,000ドルに相当する。CryptoLocker復号サービスについて前回書いたときより1,000ドル安い。

 安売り?
 

PRISMスキャンダル後の時代に見る欧州企業の現実

近年、サイバー攻撃やサイバーテロ、サイバースパイ活動に対する一般市民の意識はより高まっています。英国政府がサイバーセキュリティを重視していることを受け、企業におけるこの問題の優先順位も高まり、英国では年に推270億ポンドをかけてこの問題にむということでも注目を集めています。消費者および企業がオンラインセキュリティに同様に注意を払っていたを確認するかのように、6月初旬にエドワード・スノーデンPRISMの詳細を暴露したことで、サイバースパイ活動の問題は一気に表面化しました。

 

PRISMに対して世界中がりを感じる中、政府は報道には誤解があると説明する一方で、政府の関与が証明されたケースも見られました。しかし、こが全く予想外だったと言う人はほとんどいないでしょう。英国だけ見ても、インターネットサービスプロバイダ(ISP)は警察や政府機関からの要請に備えすべてのデータを1年間保持しておくことが義務付けられています。「ビッグデータ」の到来は、これらのサーバを通過する膨大な量の情報が分析できる時代となったことを意味しているのです。

 

では、PRISM対策として、企業にできることは何でしょうか?その第一歩として最も明らかなことは、通信ルートが米国を経由するオンラインサービスの使用をやめることです。同様に、サーバが米国以外の国に置かれている場合には、その地域の法律を知ることです。プライバシーの保護については、国によって取り組みに差があります。しかしながら、これでは企業に対して、Google多くのサービスやMicrosoftInternet Explorer、フェイスブックを誰ひとりとして使わないように命令するようなものです

 

代替サービスを使用する上での最大の問題は、単純に他の国々が草分け的存在である米国のテクノロジー企業と渡り合うことができていないということです。私たちはそれを変える必要があります。PRISMを回避するためには、特や機能の面で競争力を持ち、大西洋の向こう側では保護されていないプライバシーを提供する同等のテクノロジー産業を欧州に築く必要があります。PRISM状況を一転させるきっかけとなる可能性があるのです。

 

真の危険はサイバースパイ活動に

 

しかし、目下のところ企業は、所有する情報について現実的であるべきです所有する情報は米国政府が興味を持つ内容でしょうか?おそらくそうではないでしょう。競合他社だったらどうでしょうか?ほぼ間違いなく興味を持つでしょうでは、サイバー犯罪者たちは?彼らが関心を持つことに疑いの余地はありません。これこそ、真の危険がひそむところなのです。一般的な企業にとって、サイバースパイ活動は、PRISMがもたらす影響よりもずっと多くの問題をもたらします。

 

新興企業はしばしば、コスト削減を図るために無料のサービスを利用することにより、セキュリティ侵害の落とし穴にはまりがちです。これらのサービスの大半は米国のサーバを経由するだけでなく、企業にとって必要なレベルの安全性を備えていませんDropboxを使ってファイルを共有したり、会社のメールにGmailを使用することは、手軽で安全なソリューションのように思えるかもしれませんが、これらのサービスが無料であることには理由があるのです。つまり、利用者の情報が利用されるということです。加えて、データ保護に関する律により、英国のデータEU内に留めておくことが義務付けられています。欧州諸国でのDropboxの使用は、これらの法律に対する違反行為に当たり、重い罰金の対象となったり、スヌーピングを招くことになります。

 

監視のリスクを減らすため、企業がVPNサービスや内部クラウドのようなシステムを導入することは可能です。しかしながら、使用しているネットワークや機器が攻撃に対して脆弱であれば、これらのシステムを導入したところで何の意味もありません。

 

サイバースパイ活動を行う目的で合法的に入手可能なスパイウェア商品は実際に存在します。これらのツールを使えば、電子メールやSMSメッセージ、ボイスメールといった、他社に競争上の優位を与え得るあらゆる情報を傍受することができます。こういったツールの合法性は深く疑問視されるところではありますが、実際に市場に出回っているのです。

 

私物デバイスの業務利用BYODという考え方は、広く受け入れられておりますます一般的なものとなっています。問題となるのは、社員が働きやすさと利便性のために私物のデバイスを使うことを希望するのではなく、企業が専用のデバイスに資金を使いたくないがためにBYODを導入するケースです。この倹約精神はしばしば、デバイスに適用されるセキュリティにも当てはまります。企業ネットワークにおいて、安全に保護されていないデバイスがひとでもあると、サイバー犯罪者はそこにつけ込んでくるのです。これは、企業データや通信チャネルへのアクセス権を持った、会社への不満を持つ社員や元社員がもたらすリスクとは別のものです

 

エドワード・スノーデンPRISMを世間の目にさらしたことは、世界全体にとって有益だったことは間違いありません。欧州企業はまさに今、この警告を受け止め、短期および長期的なセキュリティ対策を考える必要があります。企業ネットワークの中でつけ込まれる可能性のあるセキュリティギャップ迅速に埋めるだけでなく、使用しているサービスについて検討し、スヌーピングの対象となり得る米国拠点のインターネットサービスを使用することに問題ないかを考える必要があるのです。



マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

プライバシーの終焉

 ミッコがNPR(National Public Radio)の今週のTRH(TED Radio Hour)に登場している。The End Of Privacy(プライバシーの終焉)と題されたものだ。

TED Radio Hour, The End of Privacy

 TRHの司会者Guy Razとのインタビューの予定があると、何週間か前にミッコから聞いて以来ずっと、この特別な番組について楽しみにしていた。ミッコ以外にも、Hasan Elahi、Beth NoveckJohn WilbanksAlessandro Acquistiといった顔触れが揃う。

 週末に聞くには素晴らしい。ご確認を忘れずに。
 
Post by — Sean

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

ポリスウェア:善か悪か

 マルウェアの状況は絶えず変化しているが、注目すべき変化の1つは、今日の悪玉が善玉になるかもしれないことだ。つまり、やつらが善人になると考えられるのだ。これをもう少し混乱しないように説明すると、当局はマルウェアの主要なプレイヤーの1つとなっており、アメリカの政府機関はすでに世界でもっとも大口のエクスプロイトの購入者なのだ。

 これにより、我々のような対マルウェア戦士にとって、昔ながらの倫理上の論点がかつてないほど重要になっている。ポリスウェアにはどのように対応すべきだろうか?この種のマルウェアは検知すべきか否か?エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを持つことはしない。ポリスウェアをホワイトリストに登録する要求を受け取ったことはないし、もし要求されても拒否する。

 これには複雑な心境になるかもしれない。警察が公共の利益のために取り組んでいることに疑問の余地はないからだ。鉄格子の中に送られるべき危険な犯罪者が存在しているのだから、彼らに対して使える武器はなんでも使ってはいけないのだろうか?ポリスウェアをホワイトリストに登録するのを拒否することで、我々は彼らを保護することになっていないか?この問題についてもっと詳しく見ていこう。そうすれば当社の現行のポリシーに対し、別の選択肢が本当に存在しないことが分かるだろう。

 ポリスウェアをホワイトリストに登録することが、なぜアンチマルウェア・ベンダーにとって悪い考えなのだろうか?

  •  当局の権力は常に規定された地域に限られているが、当社のアンチマルウェア技術は世界中で使用されている。ポリスウェアが当該機関の管轄内で使用されているのかをスキャナエンジンが検証する、信頼できる方法はない

  •  いつでも正規の令状が容疑者を特定する。しかし当社のアンチマルウェア技術は全顧客一般に対するもので、ポリスウェアが正規の標的に用いられているのかを確認できない

  •  ホワイトリスト上のファイルに出くわした時に、誰がそれを制御しており、誰に報告を返すのかを当社のスキャナが検証できない。本当のマルウェアがそのようにしてすり抜ける可能性があるので、ホワイトリストは信頼できない

  •  我々には可能な限り顧客をマルウェアから守る義務がある。これは製品を販売する際に約束したことだ。ユーザに対し有効な令状があるケースにおいては、当然ながら例外を作ることはできる。しかし上述したように、その条件を検証することは不可能だ

  •  法律が国ごとに異なる。ポリスウェアが、ある国では合法だが別の国では違法な可能性がある。これは我々が調査するには複雑で実現不可能だ

  •  我々はどの国の権力に仕えるべきか?我々は自国の警察を信じることができるが、スペインや、ブラジル、カナダ、イスラエル、エジプト、中国、北朝鮮、そしてアメリカはどうだろうか?いくつかの国を適当に取り上げただけだが。こうした国にも仕えるべきか?諜報ツールを使うにあたって合法的な動機があることを、当社はどのように検証できるのだろうか?

  •  ポリスウェアが適切な令状がないまま間違って使われたり、あるいは法律に違反しているなら、当社は犠牲者に通知する道義的責任がある。そうでなければ、当社が犯行の一端を担うことになる

 つまり問題なのは、有効な令状が対象にするのはきちんと特定された個人またはグループである点だ。一方、ポリスウェアをホワイトリスト化すると、当社の世界中のユーザベース全体を対象とすることになる。これでは、ホワイトリストの欠点が利点よりも大きくなる

 しかし、これがすべてではない。ホワイトリストについて依頼するのは、政府機関にとってはさらに悪い考えだ、という理由を以下に挙げる。

  •  ホワイトリスト化するには、我々がホワイトリストにあるべきものを知っている必要がある。ポリスウェアは一意性があり信頼性のある識別機構を持っていなければならないことになる。マルウェアの主要な目標は可能な限り検知されにくくすることだが、こうした識別子のおかげでポリスウェアは検知されやすくなり、効果が薄くなる。ホワイトリストにもブラックリストにも使われ得るのだ

  •  ホワイトリストに登録するには、当局がポリスウェアプログラムについて外部に詳細を開示する必要に迫られる。これにより情報漏えいのリスクが高まる。またプログラムの存在そのものについて明らかにしなければならない。ホワイトリストを効果的にするには、当社に限らず多数のアンチマルウェア・ベンダーに持ちかける必要がある

  •  識別機能に信頼性を持たせるには、ホワイトリスト上でポリスウェアと当局とを結び付ける必要がある。これは、自身が当局によって監視されていると知る術を容疑者に与えることになる。さもないと、検知されたマルウェアへの感染が、マルウェアの脅威全体の中に溶け込んでしまい、容疑者へのアラートが必ずしも行われなくなる

  •  最近のニュースで取り上げられて明らかになったように、ポリスウェアの大部分は完全に法律違反であるか、少なくとも根拠があやふやだ。これについて外部に話すのは、当局にとっては賢明ではないということになる

 当局にとって最善の戦略は、不良少年と同じゲームに参加することだ。ポリスウェアを継続的に変更し、アンチマルウェア製品のレーダーをかいくぐって飛ぶようにする。当局のプログラムが捕捉されたら、これを変更して再度試す。標的は、通常のマルウェアの攻撃だと思うかもしれない。法執行機関には大量のリソースがあり、このゲームはうまく成功するだろう。また数多くの犯罪者にはおそらくそれほど技術的な知識はない。巨大で組織化されたギャングでさえ、適切に保護されたコンピュータなしで活動しているかもしれない。真実は映画とは異なる。悪党が世界的な麻薬の売人で、なおかつスーパーハッカーであるというようなことはない。ポリスウェアをホワイトリストに登録しなくとも、大半の犯罪者は標的として脆弱だ。

 ホワイトリストを用いないという当社のポリシーは既に古いものだが、今日ではこれがいまだかつてないほど重要になっている。古き良き時代には、警察は信頼に足るものであった。容疑者に対する令状や行動は、犯罪対策の合法的な部分であるように見えた。こうした伝統的な警察の行為が、まったく異なる動機によって秘密の大衆監視に融合されるのを見るのは悲しいことだ。悲しいだけではない。市民と当局の間に亀裂を生むことになり、恐ろしい。

 これを心に留めると、ホワイトリスト化に厳密なポリシーを適用するのが実際に唯一の選択肢だ、という理由が簡単にわかる。これは常に簡単な選択であったし、今も頭を使う必要はない。

Post by — Micke

私が制御システムに根こそぎ侵入した方法

昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。
会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。

FieldZone

攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認したところ、いかにして最終攻撃対象にたどり着くかもイベントの一部なのでICS Villageにある機器はすべて攻撃対象とのことでした。
特に初日は厳しい設定になっており、挑戦の状況によって二日目以降は設定を緩めていくというルールでした。

ところが、私も初日に挑戦してみて、いきなり初日にフィールド機器の制御を乗っ取ることに成功してしまったので、その手順を紹介します。
続きを読む

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

偽のMinecraftのAndroidアプリがSmalihookを使用

 先日、Minecraftの偽アプリを分析しているときに、その偽アプリがSmalihookと呼ばれるハッキングツールを使用していることに気付いた。そのためSmalihookついて調べてみた。

 このツールはJavaのファンクションをフックするためのもので、他のフックライブラリとまったく同様に動作する。ファンクションのトリガーをフックしたのち、呼び出し元に任意のものを返すことができる。今回のケースでは、以下のファンクションがフックされる。

  •  getInstallerPackageName(String packageName)
  •  getPackageInfo(String packageName, int flags)

 getInstallerPackageNameというファンクションは以下を行う。

  •  あるパッケージをインストールしたアプリケーションのパッケージ名を取得するこれにより、どのマーケットからパッケージがやってきたのかを識別する

 Smalihookはトリガーをフックすると、当該アプリがGoogle Play Storeからダウンロードされていなくても「com.google.android.feedback」という値を返す。そこから来たように見せかけたいだけだ。

 getPackageInfoというファンクションは以下を行う。

  • システムにインストールされたあるアプリケーションに関するすべての情報を取得する

smalihook (6k image)

 このフックは、2番目のパラメータが定数0x00000040 (64) GET_SIGNATURESを用いているかを監視し、dexファイル内にあるオリジナルのMojang社の証明書を返す(このトロイの木馬型のアプリ自体はデバッグ用の証明書で署名されている)。これは、ベースとしている正規のアプリケーションが認証用のルーチンを含むために行われる。この認証ルーチンは証明書の妥当性を確認し、正規の証明書が見つからなければ実行を中止する。特に、Mojang社のアプリは無料ではないのだから、開発用の証明書を使って署名されたパッケージのアプリケーションが広まることを明らかに望みはしないだろう。

 SmalihookはAntiLVLというクラッキングツール(Android License Verification Library Subversion)の一部のように見受けられる。こうしたツールの目的はライセンス保護システムを破ることで、一般的な種類の攻撃に対して自身が保護されているかをテストしたい開発者に狙いを定めている。

 このツールは公然と提供されており、以下のリンクからダウンロードできる。

  •  http://androidcracking.blogspot.fi/p/antilvl_01.html

 Smalihookも同じページから入手できる。

  •  http://androidcracking.blogspot.fi/2011/03/original-smalihook-java-source.html

 Smalihookの作者は「lohan」というタグを使っているようだ。作者の連絡先情報も同じページに記載されている。

 ちなみにこのサイトには以下の注意書きがある。

androidcracking (7k image)

 「For educational purposes only(教育目的に限る)」いや、待て…。


—————

Post by — Marko

スパムの過剰摂取がFareit、Zeus、Cryptolockerを呼び込む

 ここ2日の間、忙しくしている人がいる…。我々はスパムトラップにて、同一のサブジェクトと添付ファイルがあるスパムが、大幅に急増しているのを目にしてきた。

emails (40k image)



emailstats (28k image)



 添付ファイルにはたいてい以下の名前が付けられている。

attachname (11k image)

 バイナリの添付ファイルは頻繁にFareitと見なされており脅威だ。FareitはインストールされているFTPクライアントや暗号通貨の財布から信用情報やアカウント情報を盗んだり、ブラウザに保管されたパスワードを盗むことで知られている。

 今回のスパムで送られた2つのサンプルでは、情報を送信するために以下に接続していることを確認した。
• networksecurityx.hopto.org
• 188.167.38.131
• 94.136.131.2
• 66.241.103.146
• 37.9.50.200

 データ窃盗に加え、これらのサンプルは以下からZeus P2Pなど他のマルウェアをダウンロードする。
• ip-97-*.net/zA6.exe
• 119*4/fF3krry.exe
• rot*.com/124Tzh.exe
• ww*ng.net/bpuMp.exe
• dev*.com/1mHifVu.exe
• surfa*.com/DJm.exe
• kl*.com/Q4EzT.exe

 システムにインストールされる他のマルウェアとして確認できたのは、Cryptolockerだ。

btc (182k image)



 スパムの過剰摂取が明らかにマルウェアの過剰摂取を招いている。

 当該サンプルはTrojan.Pws.TepferおよびTrojan.GenericKDのバリアントとして検出される。

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

Bitcoin詐欺が接続された

Bitcoin $1000

 Bitcoinや、他のLitecoinPeercoinといったデジタル通貨は、我々が換金する方法を変えるだろう。しかし、大きな欠陥を伴う。その欠陥とは、感染したコンピュータを紙幣「印刷」機へと変えるためにも使われうる点だ。

 Bitcoinの背後のアルゴリズムの美しいところは、暗号通貨に必要な、2つの主な課題を解決していることだ。トランザクションを確認し、インフレーションを起こすことなく金銭を生み出す、双方をともに組み合わせている。トランザクションの確認は、P2Pネットワーク上の他の参加者によって行われ、その対価としてBitcoinを得る。全体のプロセスは、マイニング(採掘)として知られている。

 黎明期のBitcoinではマイニングは容易だった。ホームコンピュータでマイニングし、Bitcoinを稼ぐことができただろう。しかし、通貨価値が増大(2013年の間に$8から$1000へ)するにつれて、人々がさらにマイニングするようになった。それに応じて、マイニングは(数学的に)より困難になり、強力なコンピュータが求められるようになった。不幸なことに、こういったコンピュータが自分の所有物である必要はない。オンライン犯罪者たちが運営している最大級のボットネットのいくつかは、今ではマイニングで収益を得ている。感染したホームコンピュータならなんでも、サーバ犯罪者のためにBitcoinをマイニングできるのだ。

 ボットネットを使ってマイニングを行うのは大きなビジネスだ。世界第2の規模のボットネットであるZeroAccessは、感染したマシンで暗号通貨をマイニングすることで、1日に何万ドルかを生み出した。感染したマシンがハイエンドのGPUチップが乗ったビデオカードを搭載しているときは、これは著しく効率的になる。

 こういったマイニング・ボットネットは、人間のユーザを要しない。処理能力とネットワーク接続があればいいのだ。物にまみれたインターネットは、車といった機械やゴミ箱に埋め込まれたコンピュータなど、さらに何百万台以上のWebに接続されたコンピュータをもたらすだろう。お金をマイニングするためには、そういったもののすべてが、Windows PCのようなスペックを持つ必要があるわけではない。たとえばLitecoinは、ハイエンドGPUよりむしろ通常のCPUで実行できるような、よりメモリに徹底したアルゴリズムを使う。

 神話上のインターネットに接続された冷蔵庫がついに発見した存在理由―犯罪者であることを認めざるを得ない。

ミッコ・ヒッポネン
Wired UK 12/2013」に初掲載

モバイル・マルウェアからの防御 - アプリのダウンロード

デバイスの物理的なセキュリティを確保した次には、アプリのダウンロードを次の手順で踏んでください。

1. Google Playストアのみからアプリをダウンロードする
Androidデバイスは初期設定で、Google Playストア以外からのアプリのインストールをブロックしています。次の手順で確認することが可能です。
  設定 > ロックとセキュリティ > 提供元不明のアプリ
  (NTTドコモ AQUOSCE0168の場合。機種によってメニュー名称は異なる場合があります。)
もし「提供元不明のアプリ」にチェックがしてあった場合には、外してください。





2. アプリの許可の要求
Google Playストアからのダウンロードであるかどうかに関わらず、アプリが要求する許可のリストをしっかり確認してください。例えば簡易なゲームなのにSMSメッセージの送信を要求するように、アプリの目的には無関係だったり過剰である場合、開発・提供者の情報をチェックしてください。信頼のできる開発者であれば、なぜそのような許可が必要であるか説明しているはずです。アプリの使用が問題ないようであればダウンロードしてください。

3. モバイル・アンチウイルスでアプリをスキャンする
アプリをダウンロードしたら、信頼のおけるモバイル向けアンチウイルス・ソフトでスキャンしてください。許可要求のリストには入っていないのにデバイスの詳細をサーバに送信するような、不審な挙動をチェックすることができます。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード