エフセキュアブログ

新しい を含む記事

GameOver Zeus:コンピュータには望ましくないタイプのゲーム

『Team Fortress 2』と『Doom』は空前の人気を誇るPC用ゲームですが、GameOver Zeusはオンラインで購入できるゲームでもなければ、みなさんが進んでコンピュータにダウンロードするようなゲームでもありません。
 
GameOver Zeusとは?
 
以前、インターネットバンキングを狙う「トロイの木馬」について述べましたが、2012年に最初の感染が確認されたGameOver Zeus、すなわち「トロイの木馬」型のGOZほど、ユーザにとって有害なものはありません。GameOver Zeusは、感染したコンピュータからインターネットバンキングの認証情報を盗み出すように設計されており、海外にある犯罪者の口座へ電子送金します。伝えられるところによると、このプログラムはロシアのハッカー、エフゲニー・ボガチェフが作成したもので、世界中のコンピュータに植えつけられました。そして感染したコンピュータのネットワークすなわちボットを構築し、彼の犯罪組織がどこからでも制御できるようにしたのです。
 
GOZは主にスパムメールやフィッシングメールを通じて拡散します。これまで、人々から何億ドルも騙し取ったとみられ、さらに被害は拡大する見込みです。
 
話はそれだけにとどまりません。GameOver Zeusは異種のトロイの木馬を取り込むために、ハッカーが書き換えることもできるのです。その1つがCryptoLockerと呼ばれるランサムウェアで、ユーザがハッカーに身代金を支払うまで、すべてのファイルを暗号化して重要なファイルのほとんどを利用不能にする、大変な被害をもたらすマルウェアです。
 
2014年6月、FBI、欧州刑事警察機構(Europol)、英国国家犯罪対策庁(NCA)は、世界中の様々なセキュリティ企業や学術研究者らと緊密に連携して、「Operation Tovar」というプログラムのもと、対策に取り組んでいることを明らかにしました。この取り組みは、トロイの木馬を拡散しコンピュータに感染させるシステムを一時的に破壊し、その間、他のコンピュータが感染しないようにするものです。しかし、すでに感染したコンピュータには依然としてリスクが残っており、危険にさらされたままです。
 
次に起こる事は何でしょうか。
 
GameOver Zeusボットネットの破壊は、様々な意味で大きな成功となりましたが、これで終わったわけではありません。当社のセキュリティ・アドバイザーを務めるショーン・サリバンは、この一時的な破壊は完全に撲滅したというわけではないため、危険が実際には取り払われていないと懸念を表しています。
 
「ボガチェフが逮捕されていない現在、GameOver Zeusはいまだに大きな脅威で、さらに危険なものへと進化していくでしょう。ハッカーは、トロイの木馬の新しいバージョンのプログラムを簡単に作成して、身代金が支払われなかったり、当局が介入を試みたりした場合に、コンピュータ上のすべてのファイルを破壊するような『自己破壊』コマンドを起動させることができるのです。」
 
私たちがデジタルフリーダムを守るためにできることは何でしょうか。
  • 悪意のあるスパムメールやフィッシングを警戒 ― 特に何か要求した場合を除いて、Eメールの添付ファイルを決して開かない。
  • Eメールの添付ファイルを注意深く確認し、自動的に実行されるようなファイル(一般的にはファイル名の終わりが「.exe」)は、決して開かない。
  • インターネット セキュリティ ソリューションの環境を整え、常に最新の状態に維持する。
  • Windowsのオペレーティングシステムとインターネットブラウザのプラグインを常に最新版に維持する。
  • すべての個人用ファイルを定期的にバックアップする。
  • トロイの木馬GameOver Zeusに感染していないか確認するためにコンピュータを必ずチェックする。
 
この強力なトロイの木馬の仕組みや拡散方法の詳細については、この動画をご覧下さい。




>>原文へのリンク

エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

Apple Watchが恐らくマルウェアに感染しない理由

アップルが最新のiPhoneのモデルと、待ち望まれていたウェアラブル技術の新製品を発表しました。Apple Watchです。

TechRadar誌はクパチーノ発の最新のイノベーションを「iPhoneと併せて楽しめるiOS8フレンドリーな時計」と評してします。

最新のエフセキュア・ラボによる「脅威レポート」はiOSのマルウェアに関するひとつの大きな誤解を払拭しています。存在するのです、極めて稀ではありますが。

Screen Shot 2014-09-09 at 4.43.06 PM

2014年の上半期に、295に及ぶモバイルのマルウェアの新しいファミリーや亜種が発見されました。294はAndroid、そしてひとつはiOSを狙ったものです。iPhoneユーザーはフィッシング詐欺やWi-Fi乗っ取りの被害に会う可能性があり、そのためにエフセキュアはFreeDome VPNを開発しましたが、iOSデバイス上の悪意あるアプリの脅威はほとんど存在しません。

「Androidと異なり、iOSでのマルウェアは現在のところ’脱獄’したデバイスに対してのみ有効であり、様々なハッカーによって作成された’脱獄’ツールは(そしてそれらは通常プラットフォーム上の未公開のバグによって作動します)、セキュリティ研究者の関心を引くところになっています」とレポートは解説しています。

Unflod Baby Pandaと呼ばれるiOSの脅威は今年初めに発見されました。これはデバイスのApple IDとパスワードの詳細を詐取するために、SSL接続を盗聴します。Apple IDとパスワードは最近ニュースで取り上げられているように、著名人のiCloudのアカウントを乗っ取る一連の作業の中で一部の役割を担っており、多くのプライベートな写真が公開されてしまう事件に繋がりました。

弊社のミッコ・ヒッポネンは最新のウェビナーにて次のように説明しています。「多くのユーザーは何年もの間これらのアカウントを使用し続けており、それは主にiTunesストアから買い物をするためですが、どれだけのデータが実際に保護されているのか気づいていません。」

しかしUnflod Baby Pandaは著名人のハッキングにはほとんど役割を果たしていません。デバイスの’脱獄’は極めて稀だからです。iOS App Storeの「クローズな空間」の手法による保護がハッキングを防いでいることを認識しているユーザーはほとんどいません。その手法はプラットフォームからマルウェアを排除することに成功しており、特にオープンなAndroidの世界と比較すると顕著です。悪意のあるアプリやアドウェア、スパムウェアが公式のPlayストアに潜入することもありました。一方iOS App Storeではほとんどありません。しかしAndroidの脅威の大多数は非公式のマーケットから感染するため、エフセキュア・ラボは非公式のマーケットを避けるよう勧めています。

iPhoneユーザーの大多数はマルウェアについて心配する必要はありませんでした。そしてApple Watchがアプリに対して厳重な制限をかけるのであれば、デバイスはセキュリティの心配は無用でしょう。
しかしスマートフォンに匹敵する能力をもつWatchを丸一日ほぼ24時間、体に装着するのであれば、従来考慮されていなかったプライバシーに関する問題を引き起こす可能性があります。

>>原文へのリンク

運命の痙攣:ゲーマーは恥も外聞もなく一からやり直した

 Twitch.tvとは、ビデオゲームに焦点を合わせたライブストリーミングプラットフォームである。5000万人超のビューワーを抱えており、8月にAmazon.comが10億ドル近くで買収した

 我々は最近、関係するユーザから、Twitchのチャット機能を通じて宣伝されているマルウェアについての報告を受け取った。あるTwitchボットアカウントがチャネルに攻め入り、見た人に週ごとのクジに参加するように呼びかける。このクジでは「Counter-Strike: Global Offensive」のアイテムといったものを勝ち取るチャンスがある。

items (165k image)

 Twitchボットが提示するリンクはJavaプログラムに通じており、参加者の氏名、メールアドレス、当選者の氏名の公開の可否について尋ねられるが、これをどこにも保存しない。

 この偽の景品に引っかかってしまった被害者が自身の情報を入力した後、以下のメッセージが示される。

congrats (17k image)

 このメッセージの後に、マルウェアはWindowsのバイナリファイルのドロップと、以下のコマンドの実行へと進む。

  •  スクリーンショットを取る
  •  Steam上で新たなフレンドを追加する
  •  Steam上でペンディング中のフレンドリクエストを受け入れる
  •  Steam上で新しいフレンドとの取引を開始する
  •  ユーザが金を持っていたら、アイテムを購入する
  •  取引の申し出を送る
  •  ペンディング中の取引トランザクションを受け入れる
  •  アイテムを値引きしてマーケットで売り出す

 このマルウェアは当社ではEskimoと呼んでいるのだが、あなたのSteamのウォレット、武器庫、インベントリを一掃することができる。Steamコミュニティマーケットで、あなたのアイテムの投げ売りさえ行う。

 以前のバリアントでは12%引きでアイテムを販売していたが、最近のサンプルではこれを35%引きに変更したことが示されている。おそらく、アイテムがより早く売れるようにするためだ。

code_sell_discount (67k image)

 関心のないアイテムを販売できると、攻撃者が関心のあるアイテムを購入するための資金を集められるようになる。関心のあるアイテムは、続いておそらく攻撃者が保持しているアカウントへと取引がなされる。

 被害者たちはforums.steamrep.comに、自分たちのアイテムが何の見返りも無しに以下のSteamアカウントへ渡されたと報告している。

steamaccount (113k image)

 Steamでは新たなマシンからのログインや取引には適切にセキュリティチェックをかけているので、これらはすべて被害者のマシンから行われている。新たに加えられたフレンドへ複数のアイテムを渡す場合や、あるしきい値に基づいて低価格で市場にアイテムを売り出す場合など、Steamが他のセキュリティチェックも追加すると、ユーザに役立つかもしれない。以上は、この種の脅威によってなされる損壊への教訓になるだろう。

新しいエフセキュアの脅威レポート:Androidでも増加するランサムウェア

エフセキュアラボが、PC、Macおよびモバイル環境に対する脅威について、最新の詳細情報を明らかにした脅威レポートの新版を公開。




2014年の前半は、ユーザのデータをロックしてアクセスを制限し、身代金を要求するオンライン攻撃が増加しました。この事例は、モバイルデバイスでも発生しています。エフセキュアラボが公開した最新の2014年上半期脅威レポートによると、ランサムウェアと呼ばれる悪意のあるソフトウェアによる攻撃が増加しており、家庭、企業および政府のユーザにとってデータに対するセキュリティが重要であることが浮き彫りになっています。ランサムウェアとは、ユーザのファイルのロックを解除するのと引き換えに、身代金の支払いを要求する悪意のあるソフトウェアです。

モバイル環境では、2014年の第2四半期に、295個の新しい脅威のファミリーと亜種が発見されました。このうち、294個がAndroidを、1個がiOSを標的にしていました。この数は、第1四半期から上昇しています。第1四半期に検出された脅威は277個で、そのうち275個がAndroidを標的にしていました。第2四半期で最も多かったAndroidに対する脅威はトロイの木馬で、プレミアム番号にSMSメッセージを送信するか、デバイスからデータを収集しリモートサーバに転送するかのいずれかの挙動を示していました。6月には正規のアプリを装うSlockerマルウェアが報告されています。このマルウェアは、モバイルプラットフォームで発見された最初のランサムウェアです。

PCに対する脅威では、上位10個の検出中、最も割合が多かった(31%)のは、発生後6年が経過したDownadup/Conficker(ダウンアドアップ/コンフィカー)ワームです。このワームは、200を超える国で何百万台ものコンピュータに感染してきました。このワームの寿命が長いのは、古いソフトウェアを実行するコンピュータがあることが大きな理由となっています。このことは、コンピュータのソフトウェアを最新の状態に保ち、古いセキュリティの欠陥を修正することの重要性を示しています。

また、新しいMacマルウェアが発生し続けています。2014年上半期には、Macに対する脅威の亜種が25個発見され、一部は組織を狙った標的型攻撃に利用されました。検出数は、18個だった昨年の7〜12月から上昇していますが、33個だった昨年上半期と比べると減少しています。

エフセキュアセキュリティラボの主席研究員であるミッコ・ヒッポネンとセキュリティ・アドバイザーであるショーン・サリバンは、金曜日のウェビナーで今年上半期の出来事について説明しました。また、6月にエフセキュアの研究者が発見した、産業制御システムを標的とするトロイの木馬Havexについても議論しました。

サリバンは次のように述べています。「犯罪を目的としたマルウェアがスパイウェアに進化する興味深い過程が、今年初めに詳しくわかるようになりました。今日、悪意を持った人は、クレジットカードだけでなく、はるかに多くのものを標的にしています。ありとあらゆるものが興味の対象となっていて、企業データを購入する人が相当数存在すると考えられます。」

Androidマルウェアの発生件数が上位の国、最も安全なモバイルアプリのオンラインマーケット、さらにはPC、Macおよびモバイル環境に対するすべての脅威の詳細については、2014年上半期脅威レポートの完全版をご覧ください。

なお、ミッコ・ヒッポネンとショーン・サリバンによる解説をご覧いただけます(英語)。





詳細情報: 2014年上半期脅威レポート

携帯で10ヶ国を訪れる方法

エフセキュアのFreedome VPNがこの夏、新しい局面を迎えた。弊社はフランス・パリで最新のノードを追加したため、現在10ヶ国の11のノードを提供可能になった。

カナダ(トロント)
フィンランド(エスポー)
フランス(パリ)
ドイツ(サッシェン)
イタリア(ミラノ)
オランダ(アムステルダム)
スペイン(マドリッド)
スウェーデン(ストックホルム)
英国(ロンドン)
米国(東海岸)
米国(西海岸)

すなわちこれは、あなたが世界のどこにいようと無関係に、これらの場所を選択して、あなたの居場所をマスクし、好みのサービスを利用できるということだ。Freedomeはまた、あなたのデータを暗号化するVPNとして動作するため、フリーWi-Fiネットワークも安全になるうえ、アンチ・ウイルス、アンチ・トラッキング、アンチ・フィッシングの機能も備えている。既に10ヶ国語に翻訳されており、まもなくiOSデバイス用も提供開始となる。

もしあなたが旅行をするなら、あるいはあなたが旅行をしているように携帯に振舞わせたいなら、これはあなたが必要とする種類の保護だ。

Google PlayもしくはiTune storeからお試しを。

では、

サンドラ

Wi-Fi Sense?

 さまざまなLumiaデバイスに対するWindows Phone 8.1(Lumia Cyan)の更新が現在公開されている。その新しい機能の1つが、マイクロソフトの「Wi-Fi Sense」だ。自動的にWi-Fiネットワークに接続し、規約を承認する。

Wi-Fi Sense

 あなたのスマートフォンが自動的にWi-Fiネットワークの規約を承認するのだろうか?

 そうだ。

Wi-Fi Sense

 「すべてのWi-Fiネットワークがセキュアというわけではない」

 (少なくとも、与えられている情報は自身のために編集することはできる)

Wi-Fi Sense

 また、Wi-Fi SenseはWi-Fiネットワークへのアクセスをあなたの連絡先や「友達」と共有する。

Wi-Fi Sense

 つまり…、あなたのスマートフォンに会社のWi-Fiネットワークのパスワードを記憶させていたとしたら、Facebookの友達もそのネットワークにアクセスできるようになるのだろうか?

 情報セキュリティのマネージャは、これをやりたいだろう。

多くの学生が授業にモバイルデバイスを持参する中、利用が広がるエフセキュアのyounited

younitedのようにどのようなデバイスからでもアクセス可能なクラウドベースのサービスの増加に伴い、教室でモバイル機器を利用する学生は増加する傾向にあります。

夏休みが終わり、学校では新学期が始まりました。ビジネスパーソンのように、自分のデバイスを持ち歩く生徒の数はますます増えています。BYOD(個人デバイスの業務利用)はビジネスの世界のトレンドとなっていますが、学校においても好評を博しています。

予算が限られているため、世界中の多くの小中学校や高校では、生徒が教室でデバイスを利用することを認めています。これは、できるだけ多くの生徒がコンピュータデバイスに確実にアクセスできるようにするための学校側の1つの措置なのです。賛成派の人たちは、授業中の共同作業や授業への参加を促し、生徒の将来に向けた準備に役立つ、と主張します。しかし、すべての学校がこの流れに乗じているわけではありません。授業の妨げとなるテクノロジー、生徒の経済格差を浮き彫りにするデバイスといった懸念事項も現実に存在しています。

大学では、BYODはここ数年ですでに定着しています。高等教育においては、授業内容の大半がデジタル機器を用いて行われているため、学生が自分のデバイスを使用することは、例外というよりは、むしろ当然のこととなっています。大学ではチームワークも非常に重視されますが、学生は共同プロジェクトでの作業においても自分のデバイスを使用しています。

学校がBYODをすでに導入しているかどうかにかかわらず、確実に言えることが1つあります。それは、デバイスは今後ますます普及し、生徒や学生はさらに多くのデバイスを使用していくということです。エフセキュアの調査によれば、12歳以下の子供の60%が、すでにインターネットにアクセス可能なモバイルデバイスを少なくとも1台所有しています。中高生と大学生について言えば、その割合は明らかに高くなっています。

クラウドの後押し

学校におけるBYODの導入は、間違いなくクラウドから後押しされています。さまざまなデバイスやプラットフォームで利用できるクラウドベースのアプリケーションがあれば、すべての生徒のコンピュータに個別のソフトウェアをインストールする必要はありません。生徒は、インターネットへアクセスできるコンピュータまたはデバイスならどこからでも、アプリケーションにアクセスできるのです。 

エフセキュアのyounitedは、あらゆるデバイスやプラットフォーム上で利用できるクラウドベースのアプリケーションの1つです。younitedを使用すれば、生徒は写真や動画、音楽を楽しむことができるだけでなく、安全な場所で宿題をしたり電子書籍やPDFを閲覧することができます。しかし、younitedはただ単に保存するためのものではありません。younitedの新しいコラボレーション機能は、さまざまな教育レベルの授業に合わせて利用することができるのです。

younitedの新しいグループスペース機能では、チームプロジェクトの中で、共同のドキュメントやプレゼンテーションを一緒に作成したり編集することができます。また、遠足や学芸会の写真や動画を集め、みんなが楽しめるよう1つの共通の場所に保存することもできます。教師は、クラス全員が簡単にアクセスできる1つのグループスペースに宿題や教材を保存することができます。また、リモート環境で勉強している生徒も、実質的には他の生徒と一緒に勉強できることになります。

エフセキュアのコンテンツクラウド担当バイスプレジデント、ティモ・ラークソネンは、次のように述べています。「younitedを使うことで、生徒たちはチーム内での協力と作業を容易に行えるようになります。社会に出たら求められる、きわめて重要な能力です。younitedは、教師も生徒も簡単に使うことができます。フィンランドベースのyounitedは、米国のクラウドサービスに代わる、堅牢で安全なサービスです。」

younitedは、iOS、Android、Windows Phone 8、Windows、Mac、webクライアントで利用できます。


* エフセキュアの2013年デジタルライフスタイル調査では、15カ国(ドイツ、イタリア、フランス、英国、オランダ、ベルギー、スウェーデン、フィンラン ド、ポーランド、米国、ブラジル、チリ、コロンビア、オーストラリア、マレーシア)で20〜60歳のブロードバンド加入者6,000人を対象にWebイン タビューを実施しました。同調査は、GfKによって行われ、2013年4月に完了しました。
* * younited for Businessの日本での提供は2014年の予定です。

GameOver Zeusが戻ってきた

この5月、GameOver Zeusのボットネットが、司法当局に摘発された最大のボットネットとして、歴史に名を刻んで終了した。
しかし残念ながら戻ってきてしまった。

BankInfo SecurityのMathew J.Schwartz氏はこのように説明する。

FBI、ヨーロッパ、そして英国国家犯罪対策庁が 'Operation Tovar'を開始して、GameOver Zeusを拡散するために使用されていたボットネットを破壊してからおよそ3ヶ月、このマルウェアは世界的に息を吹き返しつつある。

GameOver Zeusは、感染したPCから銀行口座や個人情報を盗むために設計された「トロイの木馬」だ。5月に司法当局が摘発した時点で、FBIは世界で50万から100万台のPCが感染しており、そのうちの4分の1が米国で、1億ドル以上が詐取されたと推計している。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは「GameOver Zeusの新しい亜種が溢れているわけではない」と述べている。エフセキュア・ラボでは最近の脅威を観察し、その起源について結論つけている。



GameOver Zeusに詳しい我々のアナリストが、最新のサンプルを分析した。彼の評決:明らかにSlavikの仕業だ。

どう思われるだろうか? 弊社のオンライン・スキャナーは新旧のGameOver Zeusを検出する。今、無償でPCをチェックいただきたい

では、

ジェイスン

Pitou Q&A

Pitouって何?
 最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。

なぜPitouと呼ぶのか?
 Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。

最初にどこで発見されたのか?
 顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。

最初に見つけたのはいつか?
 当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。

この脅威が懸念される人は?
 この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。

PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
 他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。

Pitouのホワイトペーパーはどこで入手できるか?
 以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。

pitou_whitepaper_cover (96k image)


Post by - Wayne

----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。

オンライン攻撃のたびにすべてのパスワードを変更しないで済ませるには

セキュリティの専門家の秘訣:彼らはパスワードを頻繁には変更しません。その必要がないからです。皆様にも役立つ秘訣をご紹介します。

12億ものパスワードがロシアのハッカーに盗まれたとの報告がありました。Heartbleedが発見される以前のことです。広範囲に及び特定できないデータ漏洩が発生した場合、すべてのパスワードを変更すべきだというのが一般的な見解です。しかしエフセキュア セキュリティラボによれば、さらに優れた方法があります。パスワードを適切に管理する習慣があれば、オンライン攻撃の情報を聞くたびにすべてのパスワードを変更する必要はなくなります。

「すべてのパスワードを変更すれば被害はないでしょうが、手間がかかってしまいます。それだけではなく、より強固な長期的対策とは言えず応急処置に過ぎません」とエフセキュア セキュリティラボのセキュリティ・アドバイザー、ショーン・サリバンは述べています。データ漏洩は新たな現実であり、もし起きたらという問題ではなく、いつ起こるかという問題になっています。サリバンは次のように述べています。「ユーザには、すべてのパスワードを変更するように指示するのではなく、従う価値のある役立つアドバイスが必要です。次に漏洩が報告された際には、被害に遭ったパスワードは管理下に置かれ、そのパスワードのみ変更すれば良いのです」

サリバンはまたこのように述べています。「専門家の秘訣、それはデータ漏洩によってすべてのパスワード変更を推奨されても、そのアドバイスに従っていないということです。なぜなら、その必要がないからです。特定のアカウントについて漏洩されていないのであれば、私はパスワードについて心配しません。それは、私がパスワード記録用のツールや、アカウント管理に役立つシンプルな各種のテクニックを利用して、リスクを最小限に抑えているからです」

それでは、パスワードを絶えず変更する手間をなくす有効な手段とは何でしょうか。サリバンは重要な点をいくつか指摘しています。

リスクを低減するためにアカウントを分散。個人関連、業務関連、金融関連など、目的ごとにEメールアドレスを作成することによって、アカウントを分けます。そうすれば、1つのEメールが侵害されても、その他のすべての情報が危険にさらされることはありません。サリバンは次のように述べています。「金融口座用のEメールアドレスを別に作成してみてはいかがですか。そして、そのアドレスを金融機関以外の誰にも教えないことです」さらにもし、個人アカウントに銀行関連のEメールが届いたら、それは不法なものであるとすぐにわかります。

可能であれば、Eメールアドレスの他に、ユーザ名も異なるものを使用。Eメールの他に固有のユーザ名を取得できるサービスもあります。ハッカーははるかに多くの情報を得ることが必要になるため、可能であればこのオプションを利用すると良いでしょう。また、利用可能であれば二要素認証を使用します。

各オンラインアカウントに対し、個別のパスワードを使用。異なるアカウントに対して同じパスワードを使用することは、ハッカーのためにレッドカーペットを広げているようなものです。Facebookアカウント用のパスワードが盗まれたら、犯罪者はEメールや他のアカウントに飛び移り、そこで同じパスワードを試すでしょう。

必須ではないデータをオンラインアカウントに提供しない。危険にさらされるものが少ないほど、安全性は高まります。

ある特定のアカウントについて漏洩が通知されたら、そのパスワードを変更。これは言うまでもありません。アカウントのパスワードを変更することは、少々骨が折れるかもしれません。しかし、長い目で見れば、漏洩のたびにすべてのパスワードを変更するよりは、簡単でストレスも少なくて済みます。また、個人情報やオンラインの身元識別情報の安全を守るためには価値のあることです。サリバンは、最初は1つのアカウントにて変更するところから開始し、すべてのパスワードについて完了するまで、対応を強化していくことを提案しています。

サリバンは次のように述べています。「これはPCの憂慮すべき次なる課題です。すべてのアカウントはクラウドにあるからです。世の中には2種類の人々がいます。アカウントをうまく管理する人々と、トラブルの世界に入りこむ人々です。どちらのグループに入りたいですか?」

適切なツールを使用すれば簡単です

ではどうすれば、多くの個別のパスワードとログイン名を覚え、効率的に管理できるでしょうか。エフセキュアのパスワードマネージャ、F-Secure KEYなら、適切なパスワード管理ができるだけ簡単に苦もなく行えます。F-Secure KEYでは覚える必要があるのは、たった一つのマスターパスワードだけですから、各アカウントに対して個別のパスワードを設定することが簡単になります。ユーザ名、パスワード、PINコード、その他重要なデータが、1つの安全なアプリケーションに保存されています。

F-Secure KEYには現在、全面的にアップデートしリフレッシュしたモバイルバージョンがあります。新しいモバイルユーザインターフェースには「お気に入り」機能があり、頻繁に使用するアカウント情報へのアクセスを、簡単に素早くできるようにします。F-Secure KEYのすべてのバージョンは、独自の強固なパスワードを生成するのに役立ちます。また、エフセキュア セキュリティラボからのニュースフィードが導入されており、主要なハッキングに対しては最新の状態を保つことができます。強力な暗号化により、すべてのデータが守られます。

F-Secure KEYは無料でダウンロードでき、Android、iOS、Windows、Macなど、あらゆるデバイスで使用できます。複数デバイス(何台でも可)上で同じマスターパスワードを用いてF-Secure KEYを使用したり、安全な欧州のクラウド経由で複数デバイスのパスワードを同期するには、プレミアムバージョンにアップグレードしてください。プレミアムバージョンは有償になります。F-Secure KEYはApple App Store、Google Play、f-secure.com/keyで取得できます。

ランサムウェア・レース(パート3):SynoLockerの中身

 先週、シノロジー社製のNAS(network attached storage)デバイスを標的にした、SynoLockerと呼ばれる新たなランサムウェアファミリーについての記事を我々は執筆した。SynoLockerについてと思われる初期のうわさでは、悪名高いCryptoLockerと関係している可能性があるとされていたので、さらに深く掘り下げることにした。

 表面上、SynoLockerとCryptoLockerには多くの類似点がある。その最たるものは、似通った名前と、暗号アルゴリズムの選定や被害者から金を巻き上げるアイデアの類似性だ。しかしながら表面下では、類似性は急速に失われる。SynoLockerに感染すると、まずは被害者ごとにユニークなRSAのキーペアが生成される。秘密鍵はマルウェアのオペレータの元を離れることはないが、公開鍵は被害者のデバイス上に格納される。この公開鍵はデータの暗号化に使われるが、復号は対応する秘密鍵でのみ可能だ。マルウェアのオペレータが秘密鍵を掌握している限り、被害者が暗号化されたファイルへアクセスするのを妨げることができる。

 被害者のファイルの、実際のコンテンツを暗号化するにあたって、SynoLockerはAESを用いている。最初に、暗号化するファイルの大きさと名前からIV(initialization vector)を生成する。このIVは後の暗号化アルゴリズムでも使われるが、さらにランダムに生成された文字列と連結し、実際の暗号キーを生成するためにも使用している。続いて、オリジナルのファイルのコンテンツを暗号化する。同時に、いわゆるHMAC(keyed-hash message authentication code)も暗号化されていないデータから生成する。HMACは、一般にはデータの完全性の検証に用いられるものだ。最後にキーの生成に用いられたランダム文字列を、RSAの公開鍵で暗号化する。これにより、データを復号するための鍵を再生成するには、最初にRSAの秘密鍵を用いてランダムな文字列を復号することが唯一の方法となることが保証される。

Diagram of the encryption process and resulting file
暗号化プロセスと得られるファイルの図

 ファイルの暗号化が終了すると、SynoLockerはオリジナルのファイルを新しいファイルに置き換える。その新しいファイルには、まずRSAで暗号化したランダム文字列を書き込む。続いて「THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337」(Xは40個)というマーカー文字列を書き込む。これは暗号化されたファイルであることを確認するために用いる。マーカーの後ろに、暗号化プロセスで使用されたIVを書き込む。次に、オリジナルファイルのコンテンツの暗号化バージョンを書き込む。最後に、暗号化プロセスの最中に生成されたHMACを新しいファイルの末尾に書き込む。プロセスの途中いずれかの時点で何かが失敗したり悪い方向にいったとしても、オリジナルのデータが失われることがないような方法で、以上のすべての処理が行われる。すべて完了したときにのみ、SynoLockerはオリジナルのファイルを新しいファイルに置き換えるのだ。復旧がより困難になるよう、ランダムなデータでオリジナルのファイルを上書きすることも試みる。

File encrypted by SynoLocker, as viewed in a hex editor
SynoLockerで暗号化されたファイル。hex editorで表示(矢印はマーカー文字列の先頭を示す)

 ファイルの復号を行うには、必然的に上記のプロセスの逆になる。まず最初に、SynoLockerはランダム文字列を被害者のRSAの秘密鍵で復号して手に入れる。次に、暗号化されたファイルから取得したIVとともにランダム文字列を用いて、実際のAESキーを生成する。最後にこのキーを使用してファイルデータを復号する。同時に、SynoLockerは復号したデータから新しいHMACを生成する。最終的にオリジナルデータのHMACと新たに生成されたHMACを比較し、一致した場合にのみ、復号プロセスが成功したものと判定される。繰り返すが、これにより、プロセスの途中で何か悪い方向にいった場合であっても、存在するデータが失われることはないことが保証されるのだ。

 SynoLockerで使われている暗号化手法に加え、当社では感染の媒介物についてももっと見つけ出したいと思っていた。最善を尽くしたが、これまでのところ、SynoLockerが使用する媒介物について正確に特定できないでいる。ただ、SynoLockerはたったひとつの悪意のあるバイナリというよりも、むしろファイル群であって、感染の媒介物を通じてデバイスにアップロードされる。これらのファイルにはすべて特定の目的があり、また完全に機能させるために多くは互いに依存しあっている。この投稿の最後に、SynoLocker関連のファイル一覧を挙げる。

 SynoLockerのバイナリの分析中、オペレーションの別の側面の監視も継続していたが、マルウェアのオペレータが活動しているのを目にしている。支払いの指示のために被害者が閲覧するように指示されるWebサイトが、最近更新された。このページには現在「This website is closing soon...(このWebサイトはまもなくクローズする)」という注記が記載されている。オペレータらは、5500個を超える秘密鍵を保有しているが、一括で200 BTCで販売する意思があることを示している。

Recent screenshot of SynoLocker website
SynoLockerの最近のWebサイトのスクリーンショット

 オペレータが計画を成就するか、またそれが被害者に何をもたらすのか、継続して監視する。

 SynoLocker関連のファイル一覧
 /etc/synolock/server
 /etc/synolock/synosync
 /etc/synolock/synolock
 /etc/synolock/crypted.log
 /etc/synolock/decrytped.log (SynoLockerのスペルミス)
 /etc/synolock/RSA_PUBLIC_KEY
 /etc/synolock/RSA_PRIVATE_KEY
 /etc/synolock/.restore
 /etc/synolock/.decrypt
 /etc/synolock/watch.sh
 /etc/synolock/uninstall.sh
 /etc/synolock/watchdogtest.sh
 /usr/syno/synoman/crypted.log
 /usr/syno/synoman/decrypted.log
 /usr/syno/synoman/index.html
 /usr/syno/synoman/redirect.html
 /usr/syno/synoman/lock.png
 /usr/syno/synoman/style.css
 /usr/syno/synoman/synolockcode.txt
 /tmp/.SYNO_ENCRYPT_LOCK
 /tmp/.SYNO_DECRYPT_LOCK
 /tmp/.SYNO_SERVER_LOCK
 /tmp/.server
 /usr/syno/etc.defaults/rc.d/S99boot.sh
 /usr/syno/etc.defaults/rc.d/S99check.sh

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d (server)
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4 (synosync)

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

フロンティア・コミュニケーションズが、エフセキュアのパーソナルクラウドサービスでサービスを拡大

地方および中規模自治体にコミュニケーションサービスを提供する米国大手サービスプロバイダのフロンティア・コミュニケーションズは、顧客のデジタルコンテンツニーズに応えるために、エフセキュアのパーソナルクラウドサービスを選択しました。同社がContent Anywhereと呼ぶ新たなクラウドサービスは、エフセキュアの以前のオンラインバックアップサービスからの機能拡張となります。

コンシューマは、スマートフォン、カメラ、タブレットなどを使用して、デジタルコンテンツを驚くべきペースで作成しています。ほとんどの場合、このコンテンツは多数のデバイスやオンラインサービスに分散しています。パーソナルクラウドにより、フロンティアの加入者は、安全と安心が確保されている一つの場所に写真やビデオ、音楽などを保存することができます。エフセキュアクラウドの独自の機能により、顧客はFacebookやDropboxなど、ほかのオンラインサービスからコンテンツを一つの場所に融合することができます。これらのコンテンツは、スマートフォンやタブレット、ノートパソコン、デスクトップパソコンからアクセス、ストリーム、および共有することができます。エフセキュアのクラウドサービスの基盤となっているのはプライバシーであるため、フロンティアセキュアの顧客は、自分たちのコンテンツが安全であることに確信を持つことができます。

Frontier Secureのプログラムオフィスディレクター、Brent Heilman氏は次のように述べています。「当社のFrontier Secureスイートを通じて提供されているエフセキュアのオンラインバックアップサービスは、大きな成功を収めています。当社は、他社のサービスに勝る、このすばらしい新パーソナルクラウドサービスをお客様に提供できることをうれしく思います。当社は、あらゆる顧客体験を特別なものにするために努力しており、その中には、お客様の生活を豊かでシンプルにする付加価値サービスを提供することが含まれます。Content Anywhereのグループスペース、コレクション、クラウド集約など、個人のコンテンツを最大限に活用できるよう設計されたこれらの魅力的な新しい機能は、当社のお客様に気に入っていただけるものと確信しております。」

エフセキュアの製品管理およびビジネス開発部門の責任者であるJyrki Tulokasは次のように述べています。「バックアップサービスは、デジタルコンシューマに大きな安心感を提供します。しかし、ユーザのニーズはこの3、4年でさらに大きなものになっています。フロンティアの新たなパーソナルクラウドサービスは、どんなデバイスからでも簡単かつ直感的に使用することができます。人生を豊かにする新しい機能とともにサービスが常に進化していくことは、ユーザの皆様にも喜んでいただけることでしょう。また、デジタルセキュリティとプライバシーが絶えず脅威にさらされている今日、エフセキュアのセキュリティ分野における専門知識が、当社のクラウドを際立たせる理由の一つであり、Frontier Secureの製品を特別なものにしているのです。」

世界中の通信事業者のナンバーワン・セキュリティーパートナーとして、エフセキュアは世界各国で100以上の通信事業者を通じて安全なクラウドサービスを提供しています。エフセキュアは、数百万のエンドユーザの数十億もの写真、動画、文書などのファイルを安全に保存しています。増加を続けるエフセキュアのクラウドコンテンツのデータは、現在数十ペタバイトに上っています。

フロンティアのContent Anywhereは、Android、iOS、Windows Phone 8スマートフォン、タブレットのほか、PCおよびMacコンピュータに対応しており、フロンティアのすべての契約者にご利用いただけます。



Xiaomi RedMi 1Sを試す

 ここ数か月の間、安価でお買い得なスマートフォンや企業動向で、小米(Xiaomi)社が断続的にニュースで取り上げられている。直近では、この人気のデバイスが断りもなくユーザ情報をリモートサーバへ送信しているというレポートもあった。このニュースは、疑わしいアプリがプリインストールされているスマートフォンに関する別のレポートの直後に報じられた。

 我々は早急にこれを調べたほうがいいと考え、真新しいRedMi 1Sを入手した。

xiaomi_redmi (164k image)

 開封するところからテストを開始したが、アカウントは何も設定されておらず、クラウドサービスへの接続も一切許可されていなかった。続いて、以下の手順を辿った。

   • SIMカードを挿入する
   • WiFiに接続する
   • GPS位置情報サービスを許可する
   • 電話帳に連絡先を新たに追加する
   • SMSやMMSのメッセージの送受信を行う
   • 電話の発呼、着呼を行う

 起動時に、スマートフォンが通信会社名をapi.account.xiaomi.comへ送信しているのを目撃した。また、同じサーバへIMEIと電話番号も送っていた。

xiaomi_data (137k image)

 電話帳に追加した連絡先および受信したSMSメッセージの電話番号も転送されていた。

 次に、小米のiCloudライクなサービスであるMi-Cloudに接続してログインした。その後、先ほど同じテスト手順を繰り返した。すると、IMEIと電話番号のみならず、IMSIの詳細情報がapi.account.xiaomi.comに送信された。

 現時点では、これはレポートにある振る舞いを見るための簡易テストにすぎない。レポートに応え、小米自身が潜在的なプライバシーの懸念に対応する声明を発表した(香港の同社のFacebookにて中国語で。英語訳がリンクされている)。

ランサムウェア・レース(パート1):CryptoWallが要求水準を釣り上げる

 この夏、ファイルを暗号化するWindowsランサムウェアの市場に、新たに2つの強力なマルウェアファミリーが登場した。CryptoWallCTB-Lockerである。この2つのうち、CTB-Lockerのほうがより高度なファミリーで、ファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを利用している。一方、CryptoWallはファイルの暗号化にRSAとAES、C&C通信にHTTPと、従来からの組み合わせを用いている。

 しかし、先月の終わりに、新しいバージョンのCryptoWallが世に出現した。この最新版は、機能面ではそれまでのバージョンとほぼ一致するが、重要な違いが1つある。C&Cサーバとの通信において、CryptoWallもいまやTorを使うようになったのだ。CTB-Lockerと同様にCryptoWallも、正規のTorの実行ファイルをプロジェクトのオフィシャルWebサイトから入手して使うような、従来からの簡単な方法は取っていない。代わりに自前の難読化したバージョンのTorを用いている。

Disassembly of CryptoWall with Tor functionality Disassembly of CryptoWall without Tor functionality
Torの機能を持ったCryptoWall(左)とTorの機能を持たないCryptoWall(右)。f_setupTorCommunication()へのcallを除いて両コードが同一であることに注意

 CryptoWallが使っている方法が興味深い。最初に、多数のハードコーディングされたURLへHTTPで接続を試みる。それらのURLから、RC4で暗号化されたファイルをダウンロードしようとする。ダウンロードしたファイルは、最初は使用している暗号キーの長さ、続いてキーそのもの、という構成になっている。次に、実際のペイロードの長さと、最後にペイロードそのものが格納されている。マルウェアがペイロードのダウンロードと復号に成功すると、新たに割り当てられたメモリセグメントにペイロードをコピーし、新しいスレッドを作成してペイロードを実行する。

Screenshot of payload in a hexeditor
ペイロードのダウンロードの開始時をhexeditorで表示

 ペイロード自体はTorのカスタム版で、難読化した2つのレイヤに覆われている。両レイヤが実行を終了すると、メモリ上に最終的なコードが展開され、ペイロードはTorネットワークへの接続の確立を試みる。接続が確立すると、ペイロードスレッドと元のCryptoWallのスレッドの双方が共有する、グローバルメモリのバッファに、ペイロードがフラグ値をセットする。また、ペイロードは同じバッファ内に、ペイロードのファンクションの1つを指すポインタもセットする。これが実際にデータの送受信の役割を持つファンクションだ。

 オリジナルのCryptoWallスレッドは、グローバルフラグがセットされていることを確認すると、実行を継続する。Torネットワーク上の3つのC&Cサーバのアドレスは、ペイロードではなく、元のCryptoWallのバイナリにハードコーディングされている。C&C通信の実際のメッセージのコンテンツも、元のバイナリにあるコードが処理している。ペイロードはTor接続の取り扱いとデータの送受信にのみ責任を負う。

 おそらく、ランサムウェアのオペレータは、CryptoWallからCTB-Lockerへ移行していたのだろう。あるいは、CryptoWallの作者は単に2番手では嫌だったのかもしれない。いずれにせよ、ランサムウェアの悪巧み競争はまだまだ続いている!

 Torの機能を持つCryptoWallのサンプルは以下。

 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3

 Post by Artturi (@lehtior2)

ヴァージン・メディアとエフセキュア、パーソナルクラウドサービスに向けて事業提携を拡大

エフセキュアは、イギリスの大手通信事業者であるヴァージン・メディアとの事業提携を拡大し、ヴァージン・メディアのブロードバンドの顧客にパーソナルクラウドサービスを提供します。これにより、写真や動画などのコンテンツをどんなデバイスからでも簡単に保存、共有、管理できるようになります。

世界中の顧客の64%が、どこにいても、どんなデバイスを使用していても、すべてのコンテンツにアクセできることを望んでいます。そして、ソーシャルネット・ワーキングサイトなどのオンラインクラウドサービスに保存するコンテンツが安全に保護されているという、安心感を求めています。*

ヴァージン・メディア・クラウドは、エフセキュアの安全なクラウドテクノロジーであるyounitedによって強化されています。これにより、ヴァージン・メディアの顧客は、写真、動画、音楽、文書などのファイルを、所有するすべてのコンピュータやデバイスに保存およびアクセスすることができます。また、コンテンツを家族や友人と簡単に共有することもできます。セキュリティリーダーであるエフセキュアは、プライバシーを守るクラウドサービスをゼロから築き上げてきました。そのため顧客はコンテンツが安全に保護されていると確信を持ってサービスを利用することができます。

ヴァージン・メディアのブロードバンド担当ディレクター、ジョー・ラサン氏は次のように述べています。「当社は顧客と顧客のコンテンツのオンライン上での安全性を確保したいと考えています。そのためにどこにいてもどんなデバイスを使用していても簡単にコンテンツを保存・共有できる方法をブロードバンド顧客に提供します。当社はエフセキュアと協力して、クラウドにあるユーザのコンテンツを自動的にバックアップすることで確かな安心感を実現する新しいサービスを開発しました。これは当社が提供する最新のサービスで、顧客はオンラインを最大限に活用できるとともに、当社サービスを利用することから大きなメリットを享受することができます。」

エフセキュア英国・アイルランド法人のマネージング・ディレクター、アレン・スコットは次のように述べています。「ヴァージン・メディア・クラウドにより、ヴァージン・メディアの顧客には、コンテンツのニーズに応えるシンプルで使いやすいソリューションが提供されました。多くの人々の写真や動画がさまざまなデバイスやオンラインサービス上に散らばっている中、ヴァージン・メディア・クラウドはこれを解決する素晴らしいソリューションとなります。それは、すべてが1つの安全な場所であるクラウドにあるという理にかなった、直感的なユーザ・エクスペリエンスです。」

通信事業者にとってセキュリティのNo.1パートナーであるエフセキュアは、100以上の通信事業者を通じて安全なクラウドサービスを世界中に提供しています。エフセキュアは何百万人ものエンドユーザの何十億もの写真、動画、文書といったファイルを安全に保存しています。エフセキュアのクラウドコンテンツは増え続けており、そのデータ量は現在数ペタバイトにも上っています。

ヴァージン・メディア・クラウドは、デスクトップパソコン、Macコンピュータ、ノートパソコンのほか、Android、iOS、Windows Phone 8搭載のスマートフォンとタブレットで利用可能です。ヴァージン・メディアのブロードバンド加入者には、5 GBまたは1世帯当たり最大50 GBの無料クラウドストレージスペースが提供され、また有料パッケージとしては50 GB、100 GB、250 GB、500 GBが用意されています。


* エフセキュアの2013年デジタルライフスタイル調査では、15カ国(ドイツ、イタリア、フランス、英国、オランダ、ベルギー、スウェーデン、フィンランド、ポーランド、米国、ブラジル、チリ、コロンビア、オーストラリア、マレーシア)で20〜60歳のブロードバンド加入者6,000人を対象にWebイン タビューを実施しました。同調査は、GfKによって行われ、2013年4月に完了しました。
* * younited for Businessの日本での提供は2014年の予定です。

エフセキュア、Linuxサーバ向けのゲートウェイ製品新バージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ」の新しいバージョンとなる、Ver5.10をリリース致しました。最新ディストリビューションへの対応や、WebUIの刷新を行っています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。既に提供済みの「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、新たにWebUIを搭載したVer5.10がリリースされました。単なるユーザー・インターフェースの変更に留まらず、Webサーバプログラムを変更することにより、WebUIで消費するリソースの削減・応答速度の向上を行っています。本バージョンではWebUIは英語版のみの提供となりますが、2014年第三四半期中に、WebUIを日本語化したVer5.20をリリースする予定です。

Ver5シリーズでは、従来のHTTP/SMTP/POP3/FTPの各種プロキシに加えて、ICAPサーバとしての機能が追加されました。Squidなど、ICAPクライアント機能を持つプロキシからウイルススキャンリクエストを行うことが可能になり、より柔軟に既存のネットワークへ組み込むことが可能となりました。また、複数のファイルに分かれていた設定情報を、ひとつの設定ファイルに集約するなど、ユーザの使い勝手の向上を行っています。

なお、日本のお客様に対しては、日本語WebUIを搭載したVer5.20がリリースされてから1年後に、Ver4シリーズの最終版(Ver4.12およびVer4.11)のサポートが終了する予定となっています。

SNSとデジタル通貨を悪用したマルウェア ’Lecpetex’

Facebook、Twitter、Skypeなどのソーシャル・ネットワーク・プラットフォームを悪用したマルウェアは目新しいものではありません。より深刻なのは、マルウェアがワームとして自らを拡散し、感染したユーザのマシンからのデータ収集に重点を置くようになったことです。一方、ビットコインマイニングは、ユーザが自分のマシンで現金を生み出す方法として人気になっており、また犯罪者にもしばしば悪用されるようになっています。このため、ソーシャルネットワーキングとデジタル通貨という2つの傾向を結びつけたマルウェアが出現することは、避けられない事態でした。感染したマシンはボットネットとして悪用されます。エフセキュアではFacebookとの共同による取り組みで発見したマルウェアLecpetexについて、注意を喚起するホワイトペーパーをリリースしました。

Lecpetexは、ソーシャルエンジニアリングの手法で拡散されます。これは、Facebookのメッセンジャーサービス経由で送信されるメッセージに添付されたZIPファイル形式の実行可能プログラムとして配布されるということです。ユーザが添付ファイルをクリックしやすくするよう、メッセージには「lol」、「hahaha」、「OMG」など、古典的な仕掛けのテキストが使用されます。

メッセージに添付されたZIPファイルをクリックすると、Java実行可能ファイル(JAR)プログラムが解凍されます。JARファイルを起動すると、事前定義されたDropboxファイル共有リンクからfbgen.datという名前のダイナミックリンクライブラリ(DLL)ファイルを探し、ダウンロードします。このプロセスの間、何らかのアクションが発生したことをユーザに示す兆候はありません。JARファイルをクリックした後、すべてがバックグラウンドにおいてサイレントモードで実行されます。



ファイルが見つかりダウンロードが完了すると、JARファイルは実行中にダイアログボックスが表示されないよう「/s」キーを使用してDLLのサイレント登録を指定し、「regsvr32.exe」を実行します。マルウェアはその起動場所を隠すため、レジストリエディタで無視される255文字を超えるキー名を使って偽のレジストリエントリを追加します。次にDLLは、explorer.exeインスタンスに、ビットコインマイニングのアクティビティを書き込ます。

Lecpetexは、ユーザのファイルの内容に対する好奇心を悪用して、マルウェア自体をダウンロードおよびインストールさせる、古典的なソーシャルエンジニアリング攻撃手法を使用して拡散されます。このため、ユーザ行動の標準的な予防措置が効果的です。

  • 知らない相手から送信された添付ファイルはクリックしない。
  • メッセージは一見すると友人から送付されたように見えるが、その内容が普段と違うように感じる場合、添付ファイルをクリックしない。他の手段を使ってその友人に連絡を取り、アカウントが侵害されている可能性があることを伝える。
  • 添付ファイルをクリックすると実行可能ファイルが表示される場合、これを実行する前に、信頼できるアンチウイルスプログラムを使用してスキャンする。

エフセキュアのセキュリティ製品は、以下を検出することでマルウェアのさまざまなコンポーネントを特定します。

  • Trojan-Downloader:Java/Lecpetex.C
  • Trojan.Win32/Lecpetex.A!Mem

ホワイトペーパーの詳細はこちらでご覧いただけます(英語):
http://www.f-secure.com/static/doc/labs_global/Whitepapers/lecpetex_whitepaper.pdf

サイバー戦争をめぐる3つの疑問

エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンが最近私にこう言いました。「私たちにはサイバー戦争をイメージする想像力が足りない。この戦争は爆発的なものではなく、クライムウェアのビジネスが枯渇した誰かが新しいビジネスを探している、といったものではないだろうか」
 
この1週間、エフセキュアのセキュリティ研究所は、エネルギー業界をねらうハッキンググループ「Energetic Bear」やHavexからの攻撃に目を光らせてきました。今はウクライナやポーランド、トルコ、ロシアを標的とするCosmicDukeに注目しています。
 
こうした攻撃の最終目的はスパイ活動、つまり買い手(もしかすると、どこかの政府)のための情報収集にあるようです。しかし、その手法は、イランの核戦力を低下させるために開発されたStuxnetのように多大な工数を投じた緻密なものではありません。
 
ショーンはこう言います。「これらはもっともらしい反証に頼っており、利用しているリソースはサイバー攻撃専用ではないようだ。これは、従来のクライムウェアで用いられるモジュール手法に匹敵する」
 
エフセキュアのシニアリサーチャーで、以前にCosmicDukeの分析についての記事を投稿したことがあるティモ・ヒルボネンはこう話します。「一つの要素だけ見れば、まるでクライムウェアのようだが、違う角度から見れば、『こんな標的をねらったものは今まで見たことがない』と言うだろうね」
 
「サイバー戦争に関わるものは何でもピカピカで真新しい、というのがこれまでの常識だった」とショーンは言います。けれども、今回の攻撃は「セミプロ」の仕事のようです。
 
こうした攻撃をきっかけに、ショーンは以下の3つの疑問について考えています。
 
国が支援しているというのはどういう意味か?
 
ショーンは言います。「サイバー戦争は現実の縮図だ。トップダウンで機能する大規模なサイバー情報インフラを整備している国もあれば、既存のクライムウェアに基づく既存のテクノロジーを取り入れて、草の根レベルの方法をとっているような国もある」
 
国家中心のキャンペーンでは、必ずしも国の支援を受けていないマルウェアを利用しているのではないか、とショーンは考えています。「黒い覆面をして記章を外した部隊を半島に送り込むような国は、同じようなことをオンラインでもやるかもしれない」
 
機会を逃さない実際的な政府は、人々にお金を払って、国際スパイ用のテクノロジーを取り入れているかもしれません。
 
こうした攻撃の最終目的は孫子が『兵法』で述べた名言、「敵を知れ」に通じるのではないかとショーンは言います。

情報で武装した国は、ソフトパワーを駆使して同盟国同士を対立させ、経済制裁のような報復を制止することができます。
 
APT(Advanced Persistent Threat)攻撃とは何か?

 
APT攻撃はStuxnetほど複雑なやり方ではありません。複雑である必要がないのです。
 
CosmicDuke(2001年から存在しているマルウェアの変種)は標的をだまして、エクスプロイトを含むPDFファイル、もしくは文書ファイルや画像ファイルのようなファイル名を付けたWindowsの実行ファイルを開かせ、感染させる仕組みです。
 
標的がこうした悪質なファイルを開くと、CosmicDukeがシステムに侵入し、キーロガーやクリップボードスチーラー、スクリーンキャプチャ、パスワードスチーラーでさまざまなチャットやメール、Webブラウザの情報を収集し始めます。またCosmicDukeには、システム上のファイル情報を収集し、暗号化証明書やその秘密鍵をエクスポートする機能もあります。収集した情報はFTPでリモートサーバに送信されます。CosmicDukeはシステムの情報を盗むだけでなく、攻撃者が他のマルウェアをシステム上にダウンロードし、実行できるようにします。ごくありふれたものです。
 
クライムウェアとの闘いは犯罪者をサイバースパイに駆り立てているのでしょうか?サイバー犯罪との闘いは逆効果なのでしょうか?
 
「なかには、政府のため、自分のために働いている奴らがいるのかもしれない」とショーンは言います。
 
サイバー犯罪の国際戦争で勝利の波に乗れば、犯罪者たちを支援する新たな買い手が現れるかもしれません。
 
ショーンは続けます。「このような人材はおのずと育つ。いまや、国外の人材を活用する政府もある。警察はクライムウェアを追っているが、クライムウェアはなくならない。これは金になるビジネスで、金を求める人材は後を絶たない」
 
このような攻撃はあらゆる人を標的にしていると、ショーンは確信しています。
 
「システム管理者を追うのはNSA(国家安全保障局)だけではなく、重要なシステムに何らかのアクセス権限を持つ人なら、誰もが標的になりえる。落ち着いて、守りを固めなければならない」
 
予防はどんなときも最善策です。企業各社はこのことを認識してくれるだろう、とショーンは期待しています。
 
「ITマネージャの皆さん、必要なセキュリティ予算を要求し、勝ち取りましょう。コスト優先のセキュリティ対策が間違った経営判断であるという証拠が次々に明らかになっているのです」
 
各国の政府が日和見的なマルウェア作成者と手を組めば、リスクは急激に増大するでしょう。
 
ショーンは次のように問いかけています。「現在はクライムウェアのボットネット、将来は国家安全保障が悪夢?こんな奴らが脱獄したらどうなるでしょう?彼らはこんな人材を放っておかないでしょう」
 
Sandra

>>原文へのリンク

クラウドは不安? 企業がクラウドを敬遠する主な理由がデータセキュリティであることが判明

しかし、適切なオンラインビジネスコラボレーションサービスは、実際のところとても安全なものです。その理由をご説明します。

空を飛ぶのは旅における最も速く効率の良い方法ですが、私たちの多くは飛行機に乗ることに不安を覚えます。同様に、クラウドソリューションを利用すれば業務効率を飛躍的に向上させることができるにもかかわらず、すべての企業がクラウドサービスに飛びついたわけではありません。従業員500人以下の企業を対象としたエフセキュアの最近の調査では、データセキュリティについての不安がその主な理由として浮かび上がりました。

クラウドサービスを利用していない企業の45%は、クラウドベースのサービスに興味がない主な理由として、管理とセキュリティが不十分であることを挙げています。規模の大きい企業でその割合は高く、従業員数50〜249人の企業で67%、250〜500人の企業で70%となっています。クラウドベースのサービスに興味のないその他の業務上の理由として、21%がコスト、13%が性能、12%が法的責任の問題を挙げています。

エフセキュアのコンテンツクラウド担当バイスプレジデント、ティモ・ラークソネンは次のように述べています。「セキュリティの理由からクラウドに不安を感じている企業は、適切に設計、管理されたビジネスクラウドサービスが、極めて安全なものであることを知っていただく必要があります。実際的な例で説明しましょう。従業員が顧客と情報を共有するためにモバイル機器にアクセスする必要があるとします。使いやすくいつでも利用できるオンラインサービスが提供されなければ、従業員は自分たち個人のクラウドアカウントを使用するか、あるいは自分のデバイスに情報を直接ダウンロードするでしょう。それこそがセキュリティリスクです。」

クラウドベースソリューションを利用している企業、またはその利用を制限していない企業においても、データセキュリティは、クラウドコラボレーションサービスを選ぶ際に最も重視する事項と考えられています。84%の企業は、データセキュリティは極めて重要であると回答し、これに続いて挙げられたのが、使いやすさとどこからでもアクセス可能なこととなっています。このほか52%がサーバの場所、43%がサービスプロバイダの拠点がある国を非常に重要なものとして挙げています。

また、クラウドを利用している企業の27%は、クラウドベースソリューションを初めて業務上の目的で使い始めたのは、企業ではなく従業員であったとしています。

ビジネスの生産性の向上

younited for Businessは安全で信頼できるクラウドコラボレーションサービスで、ビジネス文書の保存、共有および共同作業を、どこにいてもどのデバイスからでも簡単に行うことができます。エフセキュアが構築したこのサービスは、経験の深いセキュリティの専門家により、高い評価を得ているオンライン保護サービスの開発者であるエフセキュア セキュリティ研究所と同じ技術、技能、ベストプラクティスを駆使して設計、運用されています。

ハイエンドのオーディオシステムの設計と販売を行う企業Unmonday社のJukka Nieminen氏は次のように述べています。「第一に、当社はセキュリティの観点からyounitedを選びました。当社の機密文書が悪事を働く者の手に渡ってしまうリスクを冒すわけにはいきません。第二に、当社はグローバルに展開する企業です。そのため、世界中どこにいてもアクセス可能な使い勝手の良いソリューションが必要なのです。それに加えてyounitedのGroup Spacesでは世界中の代理店やビジネスパートナーと効率的に仕事ができるので、とても気に入っています。」

younited for Businessは、現在ヨーロッパにおいて、5GB、100GB、500GBの3種類のストレージオプションが用意されており、エフセキュアのヨーロッパの販売代理店を通じてお求めになれます。younited for Businessは、エフセキュアのターンキークラウドセキュリティサービスである、プロテクション サービス ビジネスを通じて管理することができます。プロテクション サービス ビジネスは、1カ所にコンテンツとセキュリティ機能をまとめたエフセキュア独自のソリューションです。

クラウドについて心配する必要はありません。企業の安全は守られると同時に、クラウドを利用すればビジネスを新しい段階へと成長させることが可能です。


* エフセキュアの2013年デジタル企業調査では、従業員数500人以下の企業において、ソフトウェア購入の決定権または決定に対する影響力を持つ人々を対象にWebインタビューを行いました。調査はドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、米国の8カ国で行われ、各国につき最低100名、計805名からの回答が得られました。回答者の67%が男性で、37%が女性でした。同調査はGfKによって2013年11月に実施されました。

* * 2014年6月30日現在、younited for Businessの日本での提供は未定です。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード