エフセキュアブログ

検知 を含む記事

ソフトウェアがアップデートされない危険性

PCにインストールされている各種ソフトウェアのバージョンが最新でなくセキュリティパッチも適用されていない状態で使用することは脆弱性やセキュリティホール などのセキュリティ上のリスクをもたらします。これらは同時にビジネスのセキュリティレベルの低下を招き、情報漏洩などの社会的信頼の失墜により業績を低下させる危険があります。

企業にとって最も良い防御方法は、オペレーティングシステム、プラグイン、アプリケーション、ブラウザといったソフトウェアの最新バージョンを使用するよう に留意することです。しかし、すべてのコンピュータでソフトウェアを最新状態に保つことは、企業にとっては非常に負荷が大きく、特にITリソースが乏しい企業ではほとんど不可能な作業となっています。


「エフセキュア クライアント セキュリティ プレミアム」では従来のアンチウイルス、スパイウェア対策などのセキュリティ機能を提供しつつ、これらのセキュリティリスクを低減するための新たなソリューション「ソフトウェア アップデータ」を提供します。





「エフセキュア クライアント セキュリティ プレミアム」の特徴


エフセキュア クライアント セキュリティ プレミアム」には、オペレーティングシステムやアプリケーションを常に最新の状態に維持するソフトウェア アップデータが実装されています。ソフトウェアアップ データは、実施されていないセキュリティアップデートやパッチを確認するためにコンピュータをスキャンし、自動もしくは手動でこれらを適用します。ソフトウェア アップデータは、Windowsに 加えて、サード・パーティのアプリケーションのアップデートにも対応します。大半の脆弱性はオペレーティングシステムだけでなく、ブラウザ、プラグイン、 その他アプリケーションを含むサード・パーティのソフトウェアで見つかるため、最新の状態に保つことは非常に重要です。


さらに「エフセキュア クライアント セキュリティ プレミアム」は、ふるまい検知技術の最新版であるディープガード5を備えています。ディープガード5は、ゼロデイ攻撃を検知する能力を持ち、対抗するためのふるまい検知、メモリ検知、レピュテーション解析などの組み合わせを駆使したインテリジェントなアンチ・マルウェア・エンジンです。


無料アップグレードキャンペーン


ソフトウェアを常に最新に保つことができる「エフセキュア クライアント セキュリティ プレミアム」を、現在競業製品を使用中のお客さまにお求め安い価格でご提供するために、新規でご購入頂く場合、一年間「エフセキュア クライアント セキュリティ スタンダード」の価格でご利用可能なキャンペーンを実施します。また既存のお客さまには20%の追加費用でプレミアム機能を次回更新時までご利用可能にいたします。キャンペーン期間は、2013724日(水)から20131227日(金)弊社受注分までとなります。

キャンペーンの詳細は、キャンペーンチラシ (PDF 1.3MB)  をご参照ください。

日本の安全保障を狙った攻撃の手口

先日から日本の安全保障に関する業務に携わっている方々に対してマルウェア付きのメールが届いているようですので、その手口を紹介します。

最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。
lnkmalware1

zipファイルを展開すると、テキストファイルへのショートカットが入っています。
lnkmalware2

プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます
lnkmalware3

ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。
lnkmalware4

本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになります。
今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっておりました。

以上がショートカットを利用したマルウェアの手口ですが、皆さんに注意していただきのは、
人から送られてきたショートカットはクリックしてはいけない
ということに尽きます。
ショートカットは実行ファイル(exeファイル)と同じくらい危険だと思ってください。

このような手口は何かの脆弱性を攻撃しているわけではなく、ショートカットの”仕様”を利用したものですので、ウイルス認定することが難しく、多くのウイルス対策ソフトウェアでは検知できませんし、ふるまい検知型のウイルス対策ソフトでも検知することができませんでした。


さて、すでに多くの方はお気づきになっていると思いますが、日本語版のOSではショートカットのファイル名が文字化けしています。
そこで別の言語のOS上でもzipファイルを展開してみたので、結果を紹介して、文字化けの理由の回答とさせていただきます。

lnkmalware-jalnkmalware-zh



AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

PC攻撃サイトの後継:スマートフォンとタブレットのみに関心

 当社にて発見したあるサーバは、スマートフォンとタブレットを攻撃したり、スパムを送りつけたりするものだった。PCに対してではなく。

 スウェーデンを拠点とする同僚Johanが、最近自分の電話機(Android)を使ってガラパゴス諸島を巡る船旅について検索をした。彼はVagabondと称するサイトを見つけた。そしでVagabond上でgalacruises.comへのリンクがあるエントリーを見つけた。

 Windowsベースのブラウザでは、このリンクはislasgalapagos.travelというサイトへリダイレクトする。

 しかし携帯端末を使用すると結果は大きく異なる。



 携帯端末のブラウザの場合、.infoドメインへとリダイレクトされ、さらにもう一度リダイレクトされる。

 Google Playの人気ゲームへリダイレクトされることもある。



 しかし大半のケースでは、リダイレクト先はNSFWサイト(Not safe for work、職場で開くには注意が必要なサイト)だ(以下はWindows Phoneから閲覧)。



 そして時には…、マルウェアだ!(Johanの場合はこれだった)



 悪意のある.APKファイルが、当社の「online」検知の1つによってブロックされていることが以下で確認できる。



 詳しい「disk」検知により、FakeInstaller: Trojan:Android/FakeInst.AVのバリアントとして脅威が識別されている。

 当社のMobile SecurityのSafe Browserは、この不正なWebサイトをブロックする。



 注意:攻撃用のパラメータなしで.infoサイトにアクセスすると、google.comへリダイレクトされる。

 google.comへリダイレクトするインデックスページがあるサイトだって?これは常に、何か起きていることを示す手がかりになる。

 お気をつけて。

Google Playにおける悪のBad Piggies

 以下のうち1つは、他とは異なる。

Bad Bad Piggies

 いや、それは「Full Guide」のことではない。我々が指しているのは、Dan Stokesによる「Bad Pigs」だ。

 このアプリの説明は次のとおり。

Bad Bad Piggies

 わお。2013年5月25日以来、10,000を超える人がインストールしている。

 AndroidアプリのポータルサイトAppBrainでは、関連性(Relevancy)を修正していないため、「Bad Pigs」が1位にランクされている。

Bad Bad Piggies

 Danの連絡先のメールアドレスはhgfdhsdgjhd@gmail.comだ。

 これはフィッシングっぽい。

Bad Bad Piggies

 AppBrainには非常に優れた機能があり、Concerns(懸念点)と共に要求されるパーミッションを表示する。

Bad Bad Piggies

 おっと、Extraパーミッションのリストが長い。この特別な豚は単なる悪にとどまらず、邪悪だ。

 Dan Stokesは他にもいくつかのアプリケーションを提供している。

Bad Bad Piggies

 「Fruit Chop Ninja」も、やはり10,000件以上インストールされている。

 そして以下に興味深い点を示す。アプリケーションID、すなわちURLに「Rovio」という単語が含まれている。

Bad Bad Piggies

 当社の製品Mobile Securityは、これをAndroid/FakeInst.CIとして検知しブロックする。

 我々はこの問題をGoogle(とRovio)に報告し、当該アプリケーションは現在はGoogleの検索に載らないようになっている。

 皆さん、安全に。

Macのスパイウェアの餌:Lebenslauf fur Praktitkum

 昨日のKumar in the Macについての投稿の続報として…。以下のようなファイルが添付されたメールを受け取ったことがあるだろか。

Lebenslauf fur Praktitkum

添付ファイル:

  •  Christmas_Card.app.zip
  •  Content_for_Article.app.zip
  •  Content_of_article_for_[名前を削除].app.zip
  •  Interview_Venue_and_Questions.zip
  •  Lebenslauf_fur_Praktitkum.zip(実務研修の履歴書の意)

 受け取ったことがあるなら、あなたは、Macにスパイウェアをインストールするよう計画されたスピアフィッシングキャンペーンの標的になっている。

 アップルのDeveloper「Rajinder Kumar」として署名されたバイナリの一覧を以下に挙げる。

Trojan-Spy:OSX/HackBack.Bとして検知:
 
  •  1eedde872cc14492b2e6570229c0f9bc54b3f258
  •  6737d668487000207ce6522ea2b32c7e0bd0b7cb
  •  a2b8e636eb4930e4bdd3a6c05348da3205b5e8e0
  •  505e2e25909710a96739ba16b99201cc60521af9
  •  45a4b01ef316fa79c638cb8c28d288996fd9b95a
  •  290898b23a85bcd7747589d6f072a844e11eec65 — 昨日の投稿で言及

Backdoor:OSX/KitM.Aとして検知(スクリーンショット機能を含む):

  •  4395a2da164e09721700815ea3f816cddb9d676e

 このスピアフィッシングのペイロードは格別「高度な」ものではないが、ドイツ語化され、標的の名前(上の例では削除)が用いられていることから、攻撃者が多少なりとも下調べを行ったことが示唆される。

 ご用心を。

 さらなる情報は以下。
Oslo Freedom ForumでMacのスパイウェアが見つかる
Big Hangover

ウイグルのMacユーザを標的にした新たなWordドキュメント

 2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。

 このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。

Properties of poadasjkdasuodrr.doc

 ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。

 C&Cサーバとしては「alma.apple.cloudns.org」を用いている。

Command and control server name

 このバリアントは以下の自己コピーと自動起動の設定を作る。

~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist

 あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。

/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist

 これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。

MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate

Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される

 Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。

url_list (122k image)

 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。

Metasploit (95k image)

 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。

 PoC(概念実証、proof of concept)についての情報はここに掲載されている。

 ファイルはExploit:Java/Majava.B.として検知される。

サンプルのハッシュ:
1a3386cc00b9d3188aae69c1a0dfe6ef3aa27bfa
23acb0bee1efe17aae75f8138f885724ead1640f



Post by - Karmina および @Timo

Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

ハッカソン・マレーシア 2013

 24時間コーディングに熱狂する準備はいい?

hackathon2013 (62k image)

 あなたは24時間でキラーアプリケーションを開発する資質を備えているかだろうか?そしてイノベーションやコーディング、楽しむことなど、すべてが好きか?

 もしそうなら、Webアプリケーションの安全性を次の段階へと革新、推進する機会がある。マレーシアのエフセキュアにて再びハッカソンを開催する。このイベントでは開発者とそのチームメイトが24時間集中して、我々全員にとってWebがより安全な場所たらしめるアプリケーションを開発する。

 今年のテーマは「Web上のサービスを安全にすること」で、開発者には当社のクラウドネットワークからWebレピュテーションやリアルタイムのマルウェア検知といった詳細な関連情報を引き出せる各種APIが提供される。

 このイベントはBangsar Southにあるクアラルンプールオフィスで4月12〜13日に開催される。勝者には弊社専属のミッコ・ヒッポネンとのディナーという賞品が授与される。世界的に有名なマルウェア研究者の知恵を借りるすばらしい機会となるだろう。

 詳細情報や登録は、ハッカソン・マレーシアのキャンペーンサイトから。

ゲストブロガー座談会開催、KLの研究責任者 Goh Su Gim 来日

ミッコ・ヒッポネン直下のセキュリティ・アドバイザーとして、アジア地域のセキュリティ動向の調査研究を行うGoh Su Gimが、3月1日来日し、エフセキュアブログのゲストブロガーを招いた座談会を、溜池山王の当社オフィスにて行いました。

座談会はGoh Su Gimと、ジャーナリストの高間剛典さん、サイバーディフェンス研究所の福森大喜さん、FFRIの鵜飼裕司さんを含む4名をメンバーとして開催されました。会場には、Poika も到着し、対談の様子をひっそりと見守ります。

スペシャリスト4名による議論は、現在のセキュリティ動向や問題点の分析にとどまらず、新しい問題提起や提言が飛び出しました。

●国別のエクスプロイトの状況、Javaエクスプロイトが突出

アジア地域のセキュリティ動向に詳しいSu Gimから、まずはアジアにフォーカスした統計データがいくつか提示されました。日本について特筆すべきは、Javaエクスプロイトの占める割合の高さ(73%)です。この理由について、Su Gimからはパッチ管理の甘さや、重要な基幹システムに自社開発したJavaシステムが使用されている点が挙げられました。

01
アジア地域のセキュリティ動向の調査研究を行う、エフセキュアのGoh Su Gim

●モバイル端末のマルウェアとアンチウイルス

続いて、モバイル機器のマルウェアについて、Su Gimから動向が示されました。グローバルでのAndroid端末のマーケットシェアの伸びに合わせ、昨年第4四半期には第3四半期と比較して、Androidを狙った新しいマルウェア・ファミリーの検出数がほぼ倍増しました。

福森さんからは、Android端末上でのアンチウイルスの実現の可能性に踏み込んで疑問が呈されました。その他の参加者からも、PCと異なりAndroid端末上では、低レイヤを監視・操作する術がないこと、高権限での操作ができないこと、リソースが少ないことといった具体的な問題点が次々と出てきました。モバイル端末のアンチウイルスの現状について、アプリケーションの1つとして振る舞い、ゼロデイ攻撃を検知する機能などは搭載されていない旨がSu Gimより紹介されました。

03
株式会社サイバーディフェンス研究所 上級分析官  福森大喜さん

対策として、セキュリティベンダーが結束して、権限を与えるようにGoogleに訴えかけよう、という発言が鵜飼さんからありました。鵜飼さんによれば、各種アプリケーションを解析する際に、明確に悪意がある振る舞いをするわけではないが、なにがしかのデータを端末から吸い出して送信する、いわばグレーゾーンのアプリケーションが多く見つかるそうです。また、膨大の利用規約の文章の中に、小さなフォントでユーザのプライバシーに関する記載をするようなアプリケーションについても疑問が呈されました。ユーザの誤認を誘いかねないものについては、高間さんからも利用規約の一方的な更新や、アドウェアについて言及がありました。

02
株式会社フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司さん

●そもそも「マルウェア」とは?

つづいて、日本における法的な面での「マルウェア」の解釈について、高間さんから説明がありました。国際条約「サイバー犯罪に関する条約」に批准するために、2011年6月に「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が成立しましたが、ここでは「(ユーザの)意図に反する動作をさせるべき不正な指令を与える電磁的記録」といった曖昧な定義がなされており、議論が巻き起こっているとのことでした。

04

メタ・アソシエイツ代表 高間剛典さん

結局のところ、何がマルウェアであるのか、というのはユーザによる捉え方の違いもあり、難しいということが当座談会の結論でした。

なお、「マルウェア」という用語以外にも、セキュリティ上・個人情報保護上の観点から疑問があるソフトウェアを示す用語を、新たにセキュリティ・ベンダーが示すべきというアイデアが、鵜飼さんからSu Gimに伝えられました。高間さんからは「プライバシーウェア」といった新語も飛び出しました。

08_poika用写真
対談の様子をひっそりと見守っていた Poika (写真左下)
 

当社のMac向けアンチウイルスがJavaエクスプロイトをブロック

 昨日、当社のアナリストBrodとTimoの2人が、Mac版のエフセキュア アンチウイルスを使ってFacebookおよびAppleのハッキング絡みのJavaエクスプロイトをテストした。

 それで、その結果は?

 当社のMac向けアンチウイルスはExploit:Java/Majava.Bという通常の検知(2012年11月19日に作成)で当該エクスプロイトをブロックした。

2013-02-21 Exploit:Java/Majava.B

 よし!

 そうすると、あのサンプルはどう関係するのだろうか?2月15日金曜日、複数のMacのマルウェアのサンプル が、「Mac malware」メーリングリストで共有された。後に続いた議論の中で2つのファイルのハッシュ値が共有され、うち1つはVirusTotal経由で入手できる。そして、当該サンプルはWindowsのバックドアを設けるJavaエクスプロイトであることが判明した。Brodはバックドア(Trojan.Generic.828273として検知された)を分析し、金曜日のMacのマルウェア関連の、シンクホール化されたC&Cサーバの1つdigitalinsight-ltd.comへの接続を試みることを発見した。

 我々の通常の検知Exploit:Java/Majava.Bはプラットフォーム間で共通のアンチウイルス・スキャン・エンジンで採用されているので、Windows版の顧客の方も守られている。ファイルのハッシュ値を共有してくれたアナリストに、弊社から感謝を申し上げる(彼女自身には分かるだろう)。

Slammerワームから10周年

 以下は、10年前、我々の1月25日がどのように始まったか、である。

Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384

 上に抜粋したのは、我々が最初に得た、後にSlammer(SapphireまたはSQL Slammer)と呼ばれるようになるワームのログだ。

 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増した様子を示している。

slammer

 以下は当社がこのワームについて発信した最初の警告だ:

 エフセキュアはSlammerと呼ばれる新たなインターネット・ワームについて、コンピュータ・ユーザに警告する。このワームは大量のネットワーク・パケットを生成し、インターネット・サーバに過負荷をかける。メール送信やネット閲覧などすべてのインターネット機能が低速になる。

 このワームは2003年1月25日5時30分(GMT)頃、インターネット上で初めて検知された。その後、世界中に急速に拡散し、インターネット上でこれまでで最大級の攻撃を巻き起こした。報告によると、いくつかの大規模なWebサイトやメール・サーバが使用不能に陥った。

 SlammerはMicrosoft SQL Serverを実行しているWindows 2000 Serverにのみ感染する。そのためエンド・ユーザの機器には脅威ではない。しかしながら、ネットワーク・トラフィックがブロックされることによって、やはりエンド・ユーザにもその作用が見て取れる。

 このワームはUDP 1434番ポートを用いて、MS SQL Serverのバッファ・オーバーフローを突く。Slammerのサイズは極めて小さく、376バイトに過ぎない。拡散するほかに機能はないが、この拡散処理が非常に強力で、極度の負荷を招く。

 ワームはどのファイルにも感染しないので、感染した機器をリブートするだけで駆除することができる。しかしもし機器がネットワークに接続され、MS SQL ServerにSP2もしくはSP3が適用されていなければ、直ちに再感染する。

 かつてこれほど小さなウイルスが、このような速度でここまでの損害を与えた例を、当社でも見たことがない。Slammerについての技術的な解説や図表についてはhttp://www.f-secure.com/v-descs/mssqlm.shtml
(注意:このリンクは2013年でもまだ有効だ。)で確認できる。

 Slammerはその小ささにおいて特筆すべきだ。ワーム全体が単一のUDPパケットに収まる。基本的に、ワームはつぶやき5つ分に相当する。コード全体は以下のとおり。

slammer

 この年、後にBlasterやSasserがSlammerに続いた。これらはいずれも現実世界で顕著な問題を引き起こした。

slammer

 Slammerのせいで、我々は何日も忙しかった。私の古いメール・アーカイブには、第1日目に以下の残業報告がある。

slammer

 つまり、2003年の土曜日に、Slammerをデコードしたのは、私とKatrin Tocheva、Gergely Erdelyii、Ero Carrerだった。天気が悪かったと思うが、他には何も覚えていない。

ミッコ

すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

JavaとIEのパッチ+プロンプト

 マイクロソフトはInternet Explorer 6〜8のユーザ向けに定例外のセキュリティ更新をリリースしている。

Advisory_2704220

 マイクロソフトは次のように述べている。「この問題により影響を受ける顧客の数は限定的だとみているが、将来さらに多くの顧客に影響を及ぼす可能性がある。」

 可能性ねえ。現在、このIEの脆弱性が、Blackholeのような有名なエクスプロイト・キットに組み込まれている証拠がある。できる限り早くアップデートするように。

 次はJava。すでにアップデートをしていてしかるべきものだ(仮にいまだに使っているものとして)。

 CVE-2013-0422というJava(JRE)エクスプロイトが、我々が先週検知したものの上位陣の中でどのように見えるかを以下に示す。

java0daystats

 ご覧のとおり、感染率は中程度で留まっているが、上がっている。これは、すべての人がJavaの最新バージョン(7u11)を実行しているわけではないことと、エクスプロイト・キットがバージョン・チェックを行っていることに起因する。そのため我々はJavaの以前のバージョンに対するエクスプロイトを以前にも増して目にしている。したがって、現行バージョンにアップデートすることは重要なのだ!

 加えて、オラクルは次のように述べている。「このアラートの修正点として、デフォルトのJavaのセキュリティ・レベルの設定を「中」から「高」に変更したことが含まれる。「高」の設定では、署名がなされていないJavaアプレットやJava Web Startアプリケーションが起動する前に、常にプロンプトが表示される。」

 以下がそのプロンプトだ。

Java_7u11_prompt_unsigned

 以下は自己署名したアプリケーションのプロンプトである。

Java_7u11_prompt_signed






The Forrester Wave+ソフトウェア・アップデータ

 当社のCorporate Security Businessチームは、このところ数多くの冴えた決断を行ってきた(どのみち我々社員にはそう見える)。そして、そのことが今四半期のThe Forrester Waveに反映された。おめでとう!

Pekka Usva

 同僚から見てさらにうれしいことに、我々の企業向け製品に「ソフトウェア・アップデータ」が実装されることが決定した。このブログを定期的にフォローする方は知ってのとおり、古くなったソフトウェアは脆弱だ。管理者がものごとを最新に保つ助けとなる機能は、好ましい。

 我々はこんなマーケティング上のたとえ話を楽しんでもいる。「ソフトウェアは古くなったら腐る。」

fridge

 どの食べ物が腐りそうか思案しながら、冷蔵庫の中身をじっと見たことがない人はいるだろうか?

 ともかく、今日、当社で検知したものの上位は、大半が既知の脆弱性を狙ったエクスプロイトだ。取っ掛かりとなる脆弱性は、無いに越したことはない。

 そして脆弱性について述べるのなら、Javaだ。もしJavaを使っているのなら、直ちにバージョン7.0つまり7u10+にアップデートすべきだ。そしてJavaコントロール・パネルのセキュリティ・タブを開いて、ブラウザでJavaコンテンツを無効にする有名なエクスプロイト・キットに使われている、パッチが当てられていない脆弱性があるのだ。

 当社のアンチウイルスでは、そのエクスプロイトをExploit:Java/Majava.Cとして検知する。

アンチウイルスが役立たなくなることについて

 私はかねてより、アンチウィルス製品が役立たずで単に金の無駄遣いとなるかどうかという議論の進展を見守り、また参加もしている。この問題についての私の立場は、エフセキュアに雇われているからには、かなり明確だろう。しかしつまらない同じ議論を続けるより、ほとんどすべての議論で繰り返している、いくつかの共通のパターンと誤解に注意を向けたいと考えている。

パターン1:VirusTotalのスキャン結果を議論に持ち込もうとする人がいる。

 VirusTotalはある特定のサンプルについて、初期の情報を得るのに非常に有益なシステムだが、さまさまなアンチウイルス製品の性能について信頼に値する指摘を行うわけではない。VirusTotalの人自身もこれを認識しており、彼らのシステムが不適切な調査で誤用されることを望んでいない。実際、VirusTotalは当該WebサイトのAboutページで、この件についてすでに何年も明示している。「BAD IDEA: VirusTotal for antivirus/URL scanner testing」というセクションを読んでほしい。

 VirusTotalは次のように述べている。「At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being…(訳注:繰り返しお伝えするのに疲れたが、このサービスはアンチウイルスの比較分析を行うために設計されたツールではない。複数のアンチウイルス製品で疑わしいサンプルをチェックし、検知していないマルウェアについて情報提供することによってアンチウイルス研究所を助力するツールとして設計されたのだ。VirusTotalをアンチウイルスの比較分析に使用する方々は、その手法に多数の潜在的な誤りがあることを理解すべきだ。もっとも明白な誤りは〜)」(強調は私が行った)

 この理由は3つある。まず始めに、アンチウイルス・ベンダーがVirusTotalに提供しているエンジンは、現実世界の製品とまったく同じ構成にはなっておらず、また実際の製品に対するものと同じように手入れや注意をしているわけではない。もしVirusTotalの結果としてあるサンプルについて欠落していても、我々は有料顧客に対するものほど気にかけない。

 第2に、まともな考えを持つ組織であれば、最高の技術を比較システムに提供することはあり得ない。比較システムでは、攻撃者が新しく作成したものを気の赴くままにチェックし、十分な数のアンチウイルスを避けることができるまで好きなだけ試してしまう。

 3つ目にVirusTotalは、インストールされている実際の製品で対象ファイルを実行しようとはしない。つまり、実行時のヒューリスティック、振る舞いの監視、メモリスキャンは土俵に乗らないことを意味する。したがって、完全な製品と比較したとき、検知結果は少なくなる。しかし、VirusTotalがファイルを実行しない理由は理解できる。各エンジンごとに何もかも実行するには膨大なリソースが要求される上に、実際の感染のケースでは存在するコンポーネントが欠けているために、多数のサンプルではやはり失敗するのだ。

パターン2:テスターはあるコレクションの中からダウンロードを行い、(パスワード保護がかかっているアーカイブであれば)解凍して、もしマルウェア・ファイルが検知されなければ愚痴をこぼす。

 このようなファイルのコレクションやフォレンジック後のファイルをスキャンするために、実際の製品を使用するときでさえ、本当に想定どおりに製品を使用しているわけではない。スキャンとは最後から3番目の防衛ラインに過ぎないのだ。アンチウイルス業界は、何年も前から、ファイルをスキャンするだけでは十分に防護する手立てがないことに気づいている。我々は、不正なコンテンツがシステム内で実際に動いているときに検知しようとするのではなく、標的に到達しようとしているところから、不正なコンテンツを回避しようとすることに焦点を移した。

 一般的なアンチウイルス製品や、あるいはセキュリティ・スイートというべきものには、防護のための複数の階層が含まれる。ファイルのスキャンは、そのほんの一部分に過ぎない。何が用いられているかは、製品によって異なる。しかし典型的な製品には、少なくとも以下の階層がある。

1. URLおよびWebアクセスのフィルタリング

 ユーザが悪意のある攻撃サイトと、そもそも接点を持つのを回避する。

2. HTTPなどのプロトコル・スキャン

 悪意のあるコンテンツが、Webブラウザや他のクライアントに到達する前に捕捉する。

3. エクスプロイトの検知

 エクスプロイトがクライアントを乗っ取れるようになる手前で、エクスプロイトをブロックする。そして数多くの製品では、もしエクスプロイトが検知されなかったとしても、エクスプロイトが首尾よく実行されるのを回避する手段も持ち合わせている。

4. ネットワーク(クラウド)のレピュテーションの問い合わせ

 サーバのバックエンドから、ファイルやファイル・パターンのレピュテーションについて問い合わせを行う。これは、従来のアンチウイルスを置き換えるはずだと、多くの人が議論している部分だ。しかし実際には、我々の武器庫の中では、ツールの1つとしてすでに採用している。したがって、これは既存のアンチウイルスの置き換えとはならなかったが、むしろ拡張を行った。

5. サンドボックスとファイルベースのヒューリスティック

 エクスプロイトが実行される機会を得る前に、投下された新しいエクスプロイトやペイロードを捕捉する。

6. 従来型のファイル・スキャン

 これは、多くの人々が「アンチウイルス」を語る際に念頭に置いている部分だ。保護の観点では、おそらくこれは15〜20%ほどをカバーする。

7. メモリ・スキャン

 これはディスクには決して載らないマルウェアや、サンドボックス内や静的なアンパックでは操作できないような、パッカーを迂回するマルウェアを検知する。

8. 実行時のヒューリスティックとメモリ・スキャン

 現在の最終防衛ラインで、疑わしかったり悪意のある類の振る舞いを行うファイルを捕捉する。

 様々な技術の詳細を掘り下げていない点について謝罪する。しかしそうすると、なぜ各階層が必要なのか、またどのように動作するのかについて、詳細説明が長くなりすぎてしまう。だがとにかくポイントは、ある脅威がスキャナによって検知されなかったとしても、実際の攻撃のケースでブロックされないことを意味するわけではない。

 実際に動作しているセキュリティは、複数の防護階層に基づいている。そして我々を大いに楽しませてくれるのは、アンチウイルスは役立たずだと主張する人は、たいてい上に挙げた技術を新たなソリューションとして勧めてくることだ。いや、我々はすでにそれを行っているのだ。そして推奨されるものだけでは、完全なソリューションではないので、さらに他の階層も必要としているのだ。

パターン3:ブラックリストはアホだ。ホワイトリストを使うべきだ。

 ホワイトリストが実現可能な選択肢なら、我々がすでに活用していると、本当に考えなかったのだろうか?いや実際には、ホワイトリストを用いているのだが、パフォーマンスの向上と誤報の回避のみを目的としている。

 ホワイトリストの問題点は実行可能なファイルしか扱えない点で、そのため最初の段階でシステムが感染することを避けられず、また攻撃がメモリ内でのみ行われる場合には、ホワイトリストのチェック対象が存在しないのだ。さらに、クリーンなドキュメントやWebサイトのコンテンツについて1つ1つホワイトリストを構築することは不可能なので、ドキュメントやWebサイトのエイクスプロイトに対しては、ホワイトリストは機能しない。

パターン4:アンチウイルスはデスクトップではなくネット上に置かれるべきだ。

 すべてのセキュリティをどこかのサーバにオフロードし、アンチウイルスが占有するリソースについて気にしなくてよくなったら、どんなに良いかしれない。しかし残念ながら、コンピュータがモバイルであるという事実のために実現不可能なのだ。

 常にオフィス・ネットワーク以外のどこにも接続されない静的なデスクトップ機については、理論的にはネットワーク・レベルですべてのセキュリティをまかなうことができる。しかし現実には、大半のコンピュータはラップトップで、いつでもあちこちのネットワークへ接続され、不変のままなのはデバイスにインストールされたものだけだ。

 また、純粋なネットワーク・ベースのアンチウイルスは、USBや他のメディアによるマルウェアについて何の防護にもならない。

 クライアント側が非常に軽量な、純粋な「クラウド」アンチウイルスを使っている人ももちろんいる。しかし防護技術の一部を落としているので、より低い防護しか得られない。

パターン5:しかしサーバにこんなに大量のデータがあるのだが、マルウェアが通過していくのを見た。

 これには2つの理由がある。

 まず第1に、見たのは、一部の攻撃が通り過ぎるところだ。我々は100%の防護を行うと主張しておらず、またそうすべきではない。攻撃の大半を食い止めることができるだけだ。個々の製品がどれほど優れているかについては、実際の製品を用いた試験から確認できる。どれも100%の防護権を常に得てはいない。したがって、通過する攻撃は常に存在する。

 第2に、多数の企業は、ネットワーク・クエリをアンチウイルス・サーバに返すことを禁止することで、アンチウイルス製品を骨抜きにしてしまう。そして、これは企業が防護セット全体の中の第1〜4の階層をあきらめ、全ての技術の使用が許可されていたのならあったはずの防護より、低いものとなってしまうことを意味する。

パターン6:私が見たマルウェアうち、アンチウイルスは98〜100%を見逃した。

 おや、アンチウイルスが看過したマルウェアについて、そのアンチウイルスは100%見過ごす、というのは一種自明である。

 あなたが見たものは、あなたやあなたの顧客が用いている任意の製品による防護を潜り抜けてこれた部分だ。

 そして、もし我々に連絡をして、その攻撃について知っていることをすべて教えてくれたら、我々は深く感謝する。悪意のあるファイル単独では、ファイルのスキャンや振る舞いのヒューリスティックを開発するのに足る概念を抱くのに十分ではないのだ。

パターン7:アンチウイルスはAPT攻撃には無力だ。

 APT攻撃はブロックをするのが難しく、これまでに誰も完璧な解決策を得ていない。また持ち得る防護策に対して攻撃者は適応してくるので、今後も決して得られないだろう。アンチウイルスは高度な攻撃に対する重要な一階層ではあるが、単独では十分ではない。

 しかしまた一方で、アンチウイルスなしでは高度な攻撃と、現在保護されている残りの攻撃について心配をせざるを得なくなる。つまりアンチウイルスを使わなくすることを推奨し、攻撃面をさらに増やすことで、何の役に立つのだろうか?

 あなたの防護は完全ではないから、排除すべきだという人には、注意が必要だ。

では。
@jarnomn

CFRのサイトを狙ったゼロデイ攻撃

 クリスマスの翌日、ゆっくり過ごすのではなく、悪さをして過ごした人がいるようだ。 FreeBeaconの報告によると、2012年12月26日、米国の外交関連組織CFR(Council on Foreign Relations、外交問題評議会)のサイトが侵害された。

 攻撃にはHTMLのエクスプロイト・ファイルが使用された模様で、このファイルから判断すると、特定の国のユーザがターゲットになった。攻撃者は、Windowsシステムの言語のうち以下を用いるようにブラウザが設定されているか、着目しているのだ。

  •  中国語(台湾)
  •  中国語(中国)
  •  英語

 この侵害されたサイトは攻撃検知後速やかに修復されたと、自身で報告している。しかしながら、我々は他のオンライン攻撃でさらに広範に当該エクスプロイトが用いられると予測しており、今やこのエクスプロイトはMetasploit Frameworkに追加された。

 当該エクスプロイトはInternet Explorerのバージョン8以下に影響を及ぼす。したがって、影響を受けるユーザには、Internet Explorerのバージョンを9または10に上げるか、他のブラウザに乗り換えることを勧める。

 同時に、マイクロソフト社は詳細情報を示したセキュリティアドバイザリと、被害を受けたユーザのためのワークアラウンドを発表した。

—————

2013年1月2日更新:標的になった特定の言語を強調するために細部を編集

Post by — Wayn

セキュリティうどん(かまたま)にて

12/8(土)に、香川県にて「セキュリティうどん(かまたま)」(URLはこちら http://sec-udon.jpn.org/
)という勉強会が開催され、講師としてお招きいただきましたので、今回は本勉強会の概要をご報告したいと思います。

本勉強会は今回で第7回(7杯目)で、第1回は2009年より開催されています。比較的新しいセキュリティ系の勉強会なのですが、四国では非常にアクティブに活動されております。私は徳島出身で、香川にも高専在学中に5年ほど住んでいたという事もあり、以前から「うどん(かまたま)」という勉強会のタイトルにひかれていました。今回、お呼び頂いた関係者の皆様には、この場を借りてお礼申し上げます。

私は、「AndroidやWindows Phoneの解析調査結果とAndroidマルウェアの検知」と題して発表させて頂きました。セキュリティに関連する現状を各スマートフォンOS(Android、iOS、Windodws Phone)ごとに解説し、弊社の技術戦略室による調査分析結果(参考:http://www.fourteenforty.jp/research/index.htm)や、BlackHat等国外コミュニティで発信されている情報などを交えながらお話させて頂きました。また、弊社で研究開発しているAndroidマルウェアのヒューリスティック検知エンジンの概要なども合わせてお話させて頂きました。2時間という比較的長い時間でしたが、質疑応答では参加者の皆様と活発な議論が出来て大変嬉しく思いました。

私の講演以外にも4名の方がLTにエントリーされておりました。モチベーションマネージメントに関連するお話や、HDD復旧に関する実務的なお話、日本Androidの会の紹介など、こちらも活発な意見交換がなされておりました。

本勉強会で驚いた事は、予想以上に参加者の皆様が積極的で、「何かを得て帰ろう」という意気込みを持たれている方が非常に多いと感じた事です。私の講演が参加された皆様にとって有意義なものとなったのか非常に気になる所ではございますが・・・。

弊社も地方の技術パワーと人の活性化に少しでも貢献して行ければと常々考えております。他の勉強会などについても、レポートなど随時上げていきたいと思います。

20121208140145

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

ペテン広告経由の、フィンランドのWebサイトへの攻撃

フィンランドの人口はまあ少ないが、そこでエフセキュアは比較的大きなマーケット・シェアを持っている(当然だ)。そして時折、フィンランドが一種の統計試験場になるような、「大変な」何かが起こる。

 以下は、11月24〜27日の間にフィンランドで発生したマルウェアの検知(防御)件数のグラフだ。

Finland cloud statistics, Nov.24-Nov.27

 続いて12月1〜4日の同じグラフは、次のようになった。.

Finland cloud statistcs, Dec.1-Dec.4

 このような劇的な違いがあるのはなぜだろうか?

 フィンランドで最も人気のあるWebサイトの1つsuomi24.fiが利用している広告ネットワークが、12月の期間中、侵害されたのだ。そしてSuomi24によると、このマルウェアのトラフィックはすべて、あるサード・パーティの広告主のネットワークから、1つの広告を通じてプッシュされていた、とのことだ。

 たった1つの広告だ。

 当社のBrowsing Protection機能の利用者なら、次のような画面を目にしたはずだ。

F-Secure Browsing Protection block

 また、このサイト・ブロッキングが有効になっていなかったら、次のようなアンチウイルスからの通知がある。

F-Secure antivirus block

 何がブロックされたって?「ペテン・アンチウイルス」である。偽のセキュリティ・ソフトウェアだ。

 こちらはあるバージョンだ。

Fake Microsoft Security Essentials scan

 そして、こちらが別のバージョンだ。

Rogue's fake scan

 これらのペテン・プログラムは実際には脅威がないかコンピュータをスキャンしたりしない。しかしながら、いそいそと課金はするのだ。ペテン師は無料のトライアルなど提供せず、前払いを要求する。

Rogue asking for payment

 前払い? これは一般に不適切な何かがあることを示す優れたサインだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード