エフセキュアブログ

脆弱性 を含む記事

Hacking Team社のFlashのゼロデイが複数のエクスプロイトキットとともに押し寄せる

 Hacking Team社の侵害があってから、7月5日になって間もなく大量の情報が一般に暴露された。特記すべきは、同社の顧客情報と、同社が使用してきたAdobe Flash Playerのゼロデイ脆弱性だ。

 最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。

 当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。

overall_stats (11k image)


 以下は、エクスプロイトキットごとの統計だ。

ek_stats (27k image)


 CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。

 しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。

weekend_wave_stats (22k image)


 見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。

 Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。

 Anglerで検知されるURLのパターンに異なるものがあることを発見したのち、当社にてこの点を検証した。

angler_vs_hanjuan_urlpattern (9k image)


 当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。

AnglerのFlashエクスプロイト:

anglerek_ht0d_3 (26k image)


HanJuanのFlashエクスプロイト:

hanjuanek_ht0d_3 (23k image)


 この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。

 ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。

Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A


エフセキュア、全国の自治体のマイナンバー制度対応状況を調査

エフセキュアが全国の自治体の情報セキュリティ担当者を対象に実施したアンケートの結果により、マイナンバー制度への対応が完了している自治体は8%に過ぎないことがわかりました。このアンケートは、2015年5月13日から6月8日の期間に全国749の自治体に対して、電話によるヒアリング形式で行われ、655の自治体から回答をいただきました。このうち「マイナンバー制度への対応が完了している」と回答いただいた自治体は54でした。

昨今、日本でも100万人以上の個人情報が流出する事案が発生するなど、マルウェア感染に起因する個人情報漏洩が大きな問題となっています。エフセキュアでは、マイナンバー制度の運用開始に向けて、特に自治体での安全な運営の支援を目的として、PCやサーバでのサンドボックスによる未知のウイルスを含む検知性能の向上を提唱し、「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開しています。本キャンペーンでは、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウントしています。

「エフセキュア 公共ライセンス プレミアム」には、下記のエフセキュア製品のライセンスが含まれており、PCやサーバのようなエンドポイントのみならず、ゲートウェイ・セキュリティも含まれる、導入し易い包括的なスイート製品です。

  • エフセキュア クライアント セキュリティ プレミアム
  • エフセキュア Windows サーバセキュリティ プレミアム
  • エフセキュア Microsoft Exchange & XenAppセキュリティ プレミアム
  • エフセキュア アンチウイルス Linux ゲートウェイ
  • エフセキュア Linux セキュリティ フルエディション
  • エフセキュア Linux セキュリティ コマンドラインエディション
  • エフセキュア 仮想スキャンサーバ
  • エフセキュア ポリシーマネージャ

「エフセキュア 公共ライセンス プレミアム」は、Windows、Windowsサーバ、Linuxサーバを対象プラットフォームとするスイート製品で、サンドボックス技術のみならず、パッチ管理の自動化による脆弱性対策機能や、集中管理ツールによる可視化など、マイナンバー制度運用に際して求められる強固なセキュリティ機能を備えています。

「エフセキュア 公共ライセンス プレミアム」に含まれるPC向けのソリューション「エフセキュア クライアント セキュリティ」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力を備えており、自治体のお客様はコストパフォーマンスの高い対策を実現することができます。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

エンドポイントの防御:サイバー・セキュリティ・ウェビナー

cyber security webinar 2

サイバー犯罪もある種の「ビジネス」です。ビジネスであれば、守るべき予算があり、報告すべき上司がいます。したがって多くのサイバー犯罪者は、安易な金銭化を追い求めます。彼らは最小の努力で素早い成果を望んでおり、そしてそれを可能にしています。マルウェア・ビジネスにおいてさえ、大量生産が利潤の鍵となっているからです。

エンドポイントの防御は、ビジネス・セキュリティの鍵となる要素です。悪者に対して犠牲者となってしまうのを、より困難にすることは可能です。事実、脆弱性が無ければ、エクスプロイトはありえません。つまりIT環境を常に最新の状態にし、すべてのソフトウェアにパッチを当て続ければ、セキュリティの大きなステップとなるのです。

もうひとつの良い方法は、初期設定で使うのを避けることです。こうすれば攻撃者は攻撃をカスタマイズする必要があり、そしてカスタマイズは高額な費用が必要です。ほとんどの場合、攻撃者は、もっと簡単なターゲットに移ります。まったく設定が変更されていないWindowsやOSXのプラットフォームは最も簡単なターゲットですので、決して使わないでください。

こちらのウェビナー(英語)で、エンドポイントを防御するために取ることができる、取るべき具体的なアクションについて学んでください。結局のところ多くの一般的な犯罪者達はノウハウが欠けており、強固なターゲットを攻撃し続けることに興味を持っていません。彼らは簡単なターゲットを狙うのです。






>>原文へのリンク

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

エフセキュア、サイバー犯罪者に悪用されるエクスプロイトの現状を分析

エフセキュアは、ソフトウェアの脆弱性を悪用してシステムを侵害し、サイバー犯罪者にクライムウェアの入口を提供する攻撃であるエクスプロイトのリスクが引き続き高まっていることを警告しています。エフセキュアの研究者は、エクスプロイトキットが絶え間ない脅威となっている理由は、人気のソフトウェアには脆弱性が途切れることなく存在しており、犯罪者がそれを悪用してデジタル脅威を作成するという安定した枠組みができているためだと述べています。

「ソフトウェアは常に、脆弱性を含んでおり、その脆弱性を悪用するためのエクスプロイトを作成する犯罪者が常に存在します」と、エフセキュアのシニア研究員である、ティモ・ヒルヴォネンは述べています。「これは、犯罪者にとって完全なビジネスモデルとなっています。企業がリリースするセキュリティパッチは実質上、ソフトウェアに脆弱性があることを公に宣言するものだからです。犯罪者は、パッチをリバースエンジニアリングすることで脆弱性を見つけた後、その脆弱性をターゲットにしたエクスプロイトを開発します」

エフセキュアが行った最近の調査は、デジタル脅威のランドスケープにおけるエクスプロイトの重要性を浮き彫りにしています。エフセキュアラボによると、エクスプロイトは2014年後半のクライムウェアキャンペーンから最も多く検出された脅威の40%を占めています。Anglerエクスプロイトキットは、マルウェアキャンペーンを作成するために手軽に使えるソフトウェアツールのセットをサイバー犯罪者に提供するツールキットです。エフセキュアによる最新の脅威レポートは、北米における最大のデジタル脅威としてこのエクスプロイトキットの名前を挙げており、ヨーロッパおよびオセアニアではトップ5の脅威の一つに挙げています。

今までのエクスプロイトキットはJavaと古いバージョンのMicrosoft Windowsの脆弱性に対象を絞っていましたが、この6ヶ月は普及率の高いAdobe Flashプラグインをターゲットにしたエクスプロイトキットが急増しています。エフセキュアのセキュリティアドバイザーであるショーン・サリバンは先日、AnglerエクスプロイトキットがFlashの脆弱性を悪用していることを強調しました。また、このプラグインを「簡単に手が届く果実」になぞらえて、ソフトウェアのターゲットとしての人気を表現しました。*

ヒルヴォネンは、セキュリティ研究者が悪意のある可能性があるFlashファイルを分析するために使用できる、Suloというオープンソースツールを開発しました。これにより、この1月にAdobeはパッチ未適用の脆弱性を見つけることができました。** ヒルヴォネンによると、エクスプロイトから身を守る方法の1つは、ソフトウェアを常に更新された状態に保つことです。これにより、コンピューターをエクスプロイト攻撃にさらす脆弱性の多くを排除することができます。「ソフトウェアベンダーは、これらの脆弱性に対するパッチのリリースをきちんと行っています。そのため、パッチがリリースされ次第、それを適用しておくことが重要なのです。ソフトウェアを更新せずに放置しておく行為は、多くの人々が意識せずに冒しているセキュリティリスクであり、サイバー犯罪者がこの種の攻撃戦略を使い続ける動機になっています」

F-Secure Boosterのプレミアム版には、ユーザがドライバーとアプリケーションを監視して、ソフトウェアが最新の状態に維持されていることを確実にするために役立つ、ソフトウェア更新機能が含まれています。また、エフセキュアのビジネス製品にはソフトウェアアップデータ機能が含まれており、企業がソフトウェアを更新された状態に保ち、エクスプロイトから身を守ることができるよう支援します。


*出典: https://www.f-secure.com/weblog/archives/00002785.html
**出典: https://helpx.adobe.com/security/products/flash-player/apsb15-02.html

詳細情報:  
2014年下半期脅威レポート ダウンロード:http://news.f-secure.com/ThreatReport2014H2
Sulo:https://github.com/F-Secure/Sulo

SMSエクスプロイト

 iPhone、iPad、さらにApple Watchにまで影響する、DoS(denial of service)を可能にするiOSの脆弱性がある。

 SMSで電話機がクラッシュするって?2008年ならそうだった。


S60 SMS Exploit Messages(S60に対するSMSエクスプロイト)

 報告されているところでは、2008年のときとは異なり、今回は若者が脆弱性をついて他人に嫌がらせをしている

 Apple社はセキュリティアップデートの開発に取り組んでいる。しかし残念ながら、このアップデートは古いiPhoneについては用意されない公算が高い。

追記

 以下は「Effective Power」エクスプロイトがiPhone 6をクラッシュさせる動画だ。


Effective Power Unicode iOS hack on iPhone 6

 そして以下は、Effective PowerがiOSのTwitterアプリをクラッシュさせている。


Effective Power Unicode iOS hack vs Twitter

エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

エフセキュア、新たなサービスでBYODのセキュリティインシデントに対応

今日の企業の従業員は、仕事をするために必要であればどんなデバイスでも使いたいと思っています。このことから多くの企業がBYOD(個人デバイスの業務利用)ポリシーを採用していますが、その際に自社のセキュリティを犠牲にしているケースが多く見られます。エフセキュアが提供を開始した新サービスFreedome for Businessは、企業のセキュリティニーズと従業員のフレキシビリティへのニーズに対応するよう統合された、企業と従業員の双方にとって最高のサービスです。

Freedome for Businessは、現代のモバイルビジネスのニーズに合わせて作られたエフセキュアのFreedomeアプリです。ユーザごとに可変で人気のワンボタンインターフェースを維持しながら、ビジネス志向の包括的な機能セットを追加し、企業のデータとネットワークのセキュリティ保護をサポートします。Freedome for Businessでは、現代の企業にとって重要な3つの保護機能(暗号化通信、アプリとウェブのセキュリティ、一元管理)が、単一のクラウドベースセキュリティサービスに統合されています。

BYODの生産性とセキュリティを向上

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「ビジネスモビリティの現在のトレンドは、従業員に最も使い慣れたデバイスの使用を認めることです。それにより企業はコストを抑えることができ、従業員は効率的に作業ができます。これらのさまざまな種類のハードとソフトのすべてを管理しようとすれば、それに応じた特有のセキュリティ問題が発生するため、増大するモバイルの一元管理のためにSaaSソリューションとして企業にセキュリティを提供することは、弊社のサービスパートナーにとって非常に大きなビジネスチャンスです。」

ガートナーの調査では、BYODのトレンドが拡大していることが確認されています。同社は、2016年までに企業の38%が従業員へのデバイスの支給をやめると予測しています*。さらに最近の調査では、BYODユーザの約4人に1人が自分のデバイスにセキュリティ上の問題があると認めているとし、BYODに伴うセキュリティリスクを強調しています**。こうしたデータを考え合わせると、元サイバーセキュリティ担当大統領補佐官のリチャード・クラークが、企業国家アメリカが直面している「最大の脆弱性」と表現したように、サイバーセキュリティにおける深刻なセキュリティギャップが生じる可能性があります***。

ウスヴァは、こうしたBYODのトレンドは、サイバーセキュリティが従業員のストレスになっていることを示していると言います。「従業員が制限されている、あるいはわかりにくいと感じるようなセキュリティソリューションを導入している企業が多いため、従業員は単純に自分のデバイスを使用することで無駄を省いています。Freedome for Businessは、コンシューマ向け製品で成功しているワンボタンのインターフェースを採用し、企業向けに効果的にアレンジされたセキュリティソリューションです。ボタンをタップするだけでセキュリティソフトを立ち上げて動作させることができます。」

ひとつのポリシーですべてを管理

Freedome for Businessは、エフセキュア プロテクション サービス ビジネス(PSB)を通じて実装されます。PSBは4年連続でAV-TESTの「Best Protection Award」を受賞した技術をベースに構築されています。Freedome for Businessでは、高い評価を得ているこの保護技術を拡張し、企業のネットワークに接続するモバイルデバイスも対象に含めています。これにより、従業員はボタンをタップするだけで、通信を暗号化してアプリとWebブラウザを保護できます。さらに、企業はアンチセフトなど追加のセキュリティ機能を実装し、ビジネスで使用するすべてのデバイスの安全性を確保することができます。

エフセキュアのテクニカルプロダクトマネージャ、セバスチャン・ネイタモは、次のように述べています。「アンチセフト機能により、ITマネージャは、ランダムに生成したパスコードでデバイスをロックしたり、リモートでデータを抹消したりすることができます。紛失したり盗難されたりしたデバイスによって生じたデータ漏洩から企業を守るこの機能は極めて重要です。さらに、ITマネージャはデバイスのセキュリティ状況もチェックできるので、悪質なウェブサイトに頻繁にアクセスするといった危険な行為に気づいた場合は、セキュリティインシデントとなる前に行動を起こして問題に対処することができます。」

企業は中央のインターフェースからデバイスを管理できれば、従業員が業務中にできることとできないことについて複雑な制限をかけることなく、デバイスのモバイルセキュリティを監視できるとネイタモは言います。また、従業員の個人デバイスとサイバーセキュリティに対する企業の総合的なアプローチを組み合わせ、PCまたはポストPCにおけるBYODデバイスと会社所有のデバイスを効果的に統合して一元的で安全なデバイス管理を実現できます。

現在販売されているFreedome for Businessは、AndroidとiOSデバイスに対応しています。Freedome for BusinessとPSBに関する詳細についてはエフセキュアのウェブサイトをご覧ください。


*出典: http://www.gartner.com/newsroom/id/2466615
**出典 : http://www.gartner.com/newsroom/id/2739617
***出典 : http://www.networkworld.com/article/2181260/security/former-cybersecurity-czar-clarke-says-smartphones--digital-certificates-create-huge-securit.html

詳細情報:
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business
https://www.f-secure.com/ja_JP/web/business_jp/products/freedome-for-business

エフセキュア、地方公共団体向けにマイナンバー制度対応のキャンペーン開始

エフセキュア株式会社は、地方公共団体での「社会保障・税番号制度(以下、マイナンバー制度)」の運用開始に向けて、セキュリティを強化し安全なデータアクセスを支援する統合的な製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開することを発表します。

マイナンバー制度は、社会保障や税務、災害対策行政での利用を目的に、2015年10月より個人への番号通知が開始され、2016年1月から利用が開始されます。エフセキュアは、地方公共団体におけるマイナンバー制度の安全な運用の支援を目的に、公共団体向けの統合的なセキュリティ製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開します。

「エフセキュア 公共ライセンス プレミアム」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力で定評のあるPC向けのソリューション「エフセキュア クライアント セキュリティ」に加え、Windowsサーバ、Linuxサーバならびにメールゲートウェイも対象としたアンチウイルスのスイート製品です。

マイナンバー制度の運用開始にあっては、情報漏洩の原因となるウイルス感染を未然に防止する高い防御能力が求められています。こうした要件に対し「エフセキュア 公共ライセンス プレミアム」は次のような機能を提供し、公共団体でのシステムの情報漏洩防止対策の能力を強化します。

  • サンドボックスによる未知のウイルスを含む検知性能
  • アプリケーション制御による出口対策と可視化
  • 集中管理ツール「エフセキュア ポリシーマネージャ」によるポリシーベースの管理機能
  • 「ソフトウェア アップデータ」でのパッチ管理による脆弱性対策

本キャンペーンは2015年5月11日より開始し、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウント致します。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

デバイスを無料でチューンアップして費用を節約

コンピュータ、携帯電話、タブレットがストレスの原因になる場合があります。バッテリがすぐに切れたり、デバイスの動きが遅かったり、メンテナンスに時間がかかると、消費者はデバイスの買い替えを考えます。ただし、それには常に同じ問題が待っています。新たなデバイスを購入し続けるには高額な費用がかかるのです。エフセキュアは新たなフリーミアムアプリのF-Secure Boosterによって、こうした不満を抱える消費者を支援します。デバイスを使用期間にかかわらずチューンアップすることで、パフォーマンスがスピードアップしてバッテリ寿命が延びるため、バリュー志向の消費者が費用を節約できるようになります。

F-Secure Boosterは問題を修復するほか、日常的な利用でコンピュータやモバイルデバイスに蓄積した「ゴミ」を除去します。あまりにも小さいため自動的に認識されないこうした問題の多くが時とともに増大し、コンピュータの動きを遅くしたり、不安定にさせたりします。その結果、多くの消費者が新たなデバイスの購入を検討するはめになるのです。

「コンピュータや携帯電話は『スマートデバイス』とも呼ばれるにもかかわらず、自動ではほとんどメンテナンスが行われません。そのために有効寿命が大幅に短縮されています」とエフセキュアのデバイス・セキュリティ担当ディレクターを務めるアンテロ・ノルキオは述べています。「実のところデバイスはこれまでにないパフォーマンスを発揮するように作られ、何年にもわたって使用できる十分な能力と機能を備えています。しかし使い続けて調子が悪くなると、消費者は買い替え時だと判断してしまいます。実際には、わずかなチューンアップを行うだけで新品のようなパフォーマンスが回復するのです」

2015年にはメーカーが出荷するコンピュータ、携帯電話、タブレットなどのデバイス台数の総計が、前年比2.8パーセント増の25億台になるとガートナーは予測しています*。一方で、メーカーによる利益率確保の動きから、PCの価格も上昇すると予測されています。つまり、デバイスの買い替え費用がこれまでより高額になるのです。

F-Secure Boosterを活用してデバイスの継続使用による不調を特定し、解決すれば、高額な買い替え費用をかける必要はありません。さらに、一時的な使用のためにプログラムが作成した未使用ファイルの削除、ソフトウェアやドライバのアップデート、携帯電話やノートパソコンのバッテリ寿命を短縮するチューニングなど、F-Secure Boosterは困難で時間のかかるメンテナンスにも対応しています。また、購入時の携帯電話などにプレインストールされていることの多い、潜在的に不要な「ブロートウェア」もソフトウェアによって管理されます。こうした非効率な要素は小さいものであっても、メモリやディスクの空き容量を浪費します。無駄を省くことにより、保存スペースの拡大、バッテリ寿命の延長、マシン全体のパフォーマンスの改善が実現します。

エフセキュアのコンシューマ・セキュリティ担当上級副社長を務めるサミュ・コンチネンは、F-Secure Boosterを活用するとデバイスのメンテナンス不足に起因するリスクが最小限になるため、セキュリティが改善すると述べています。「圧倒的に大部分のサイバー攻撃では、古いソフトウェアの脆弱性が狙われます。時間がかかる更新作業を大半のユーザーが実行していないことを、攻撃者は知っているからです。こうした問題にもF-Secure Boosterは対応しているため、ユーザーは心配することなく、当社の他のセキュリティソリューションを使って単純かつ最適にデバイスを保護できます」

現在、F-Secure BoosterはAndroidデバイスとWindows PC向けに無料版と有料版で提供されています。有料版には、デバイスを高速かつ効率的に稼働するソフトウェアの自動アップデートなど、さらに高度な機能が追加されています。Windows PC版はF-Secureのウェブサイトから、Android版はGoogle Playからご利用いただけます。

*出典:http://www.gartner.com/newsroom/id/3010017

詳細情報:
https://www.f-secure.com/ja_JP/web/home_jp/booster

デルのSystem Detectにリモートコード実行の危険性

 つい先日、ジャーナリストのJohn Leydenが我々に連絡を寄せ、Tom Forbesによる脆弱性の調査について我々の意見を求めてきた。Forbesの調査は、デルの「System Detect」ユーティリティがリモートコードの実行を許してしまう欠陥に焦点を合わせたものだ。同氏は昨年11月に調査結果を発表しており、デルは1月に(先週にも再び)この問題を改善した。

 しかしながら当社の見立てでは、重要な問題が残っている。

 このソフトウェアの以前のバージョンでは自己更新を行わないため、多数の脆弱なコンピュータが世の中に残存したままなのだ。時間と共に、当社の顧客達がさまざまなバージョンのSystem Detectを何十万回もスキャンしてきている。非常に普及しているソフトウェアなのだ。ここ2週間の当社の顧客を基にした統計だけでも、おおよそ10万人の顧客がSystem Detectについてレピュテーションチェックの問い合わせを行っていることが見て取れる。現在のところ、最新版を実行しているのは当社の顧客の約1%だけだ(バージョン6.0.14。以下のグラフの赤で示される部分)。

Dell System Detect, F-Secure customer install-base

 System Detectの古いバージョンでは、サービスを自動的に開始する実行キーをレジストリに作成する。つまり、デルのサポートサイトを訪れるとき以外は不要なソフトウェアなのに、継続的に脆弱なバージョンが動作し続けていることになる。なお、最新版の6.0.14では実行キーを作成しない。

 以前のバージョンのSystem Detectを侵害するのは、非常に容易だ。必要なのは、「dell」という文字列を含むドメイン名のURLにターゲットが訪れることだけだ。それがURLのどの部分になるかの正確なところは、ソフトウェアのバージョンによって異なる。

 我々はForbeの調査結果と、System Detectの3つのバージョンを実行した当社自身のブラックボックステストの結果を用いて、ネットワークトラフィックを観察し、また同じトラフィックを少し変更して再生した。そして、古いバージョンのSystem Detectを使って、標的のマシンでcalc.exeを起動できることを確認した(つまり、リモートコード実行だ)。

Dell System Detect 5.4.0.4

 バージョン5.4.0.4については、refererフィールドのURLのドメイン部分に「dell.com」が含まれていなければならないが、「www.notreallydell.com」も許容するので、脆弱性のレベルが非常に高い。

notreallydell.com

 バージョン6.0.9は、Forbesがデルに問題を報告した後にリリースされた。このバージョンでは、ドメインに「.dell.」が含まれる必要がある。これもまた「a.dell.fakesite.ownedbythebadguys.com」を受け入れるので、Webベースの攻撃に対しては同じレベルで脆弱である。

 現行のバージョンの6.0.14ではドメインが「*.dell.com」であることが求められる。これにより、特に自動起動の回避と組み合わせれば、問題にだいたい対処していることになる。インストールしなければならないバージョンがあるとすれば、これがそうだ。

 もちろん古いバージョンは可能な限り迅速にアンインストールすべきだ。

support.dell.com

 HTTPSが有効なダウンロード用のリンクは、ここである。

 当社では、顧客を保護するために必要になるであろう、さらなる問題点や活動を調査し続けていく。

エフセキュアのミッコ・ヒッポネン、インターネットの現状を分析

2月10日はインターネットの安全を考えるセイファー・インターネット・デー(Safer Internet Day)です。しかし、マルウェアによる攻撃やプライバシーの侵害といったニュースが絶えず報道されており、インターネットの安全性はかつてないほど脅かされているようにも感じられます。エフセキュアの主席研究員を務めるミッコ・ヒッポネンは、このセイファー・インターネット・デーに、インターネットの現状を分析し、より良いインターネットをともに創造するためのアイデアを公開します。

エフセキュアが行った最近の調査では、インターネットのセキュリティとプライバシーに関して、対策を講じている場合でも、ある程度信用できると回答した人は46%、あまり信用できないと回答した人は39%、まったく信用できないと回答した人は11%に上りました。インターネットを信用しており、セキュリティやプライバシーについてあまり心配していないと回答した人はわずか4%に過ぎませんでした。しかし、これも当然のことでしょう。エフセキュアでは毎日、平均25万を超えるデスクトップにおけるマルウェアのサンプル(多くはWindows)と、9,000を超えるAndroidでのマルウェアのサンプルを受け取っているからです。こうしたマルウェアは、私たちの金銭やコンテンツ、個人情報を盗もうとしています。

インターネットは、様々な面においてこの世界を変革し、便利にしてきましたが、ヒッポネンは、「私たちはモンスターを創ったのではないかという思いにとらわれるときがある」と話しています。どのようなイノベーションにも負の側面はつきものです。ヒッポネンが挙げた例を、ここでいくつか見ていきましょう。

セキュリティ問題に対するソリューションとしてのオープンソース?:いいえ、おそらくそうではありません。オープンソースのソフトウェアは、誰でも閲覧できるソースコードによって理論上はより広範囲な精査を受けるため、安全性が高いとよく言われます。しかし、ヒッポネンは2014年における最大のセキュリティ脅威を2件(HeartbleedとShellshock)指摘しています。どちらもオープンソースシステム内で発見された主要な脆弱性であり、誰も気付かないまま長期間存在していたものでした。

デジタル通貨は金融システムを救う?:暗号化をベースにしたビットコインなどのデジタル支払いシステムは、金融制度の根本的な問題を解決することが可能とされました。しかし、ハッカーがマルウェアを作成してビットコインシステムを悪用するなど、新たな問題も生まれています。さらに、ビットコイン・マイニングのためのスーパー・コンピューティング・パワーを巡る競争は、ビットコインの価値が低下したため、数百万ドル規模のデータセンターが運用できない状態になり、焼け散る(あるデータセンターではまさに文字どおりに)結果となりました。

モノのインターネット:トースターや洗濯機、車といったあらゆるモノがインターネットに接続されれば、様々な機会が生まれます。しかし、ヒッポネンは、「スマートデバイスとは、単に悪用可能なデバイスのことだ」と述べています。すでに、スマートセキュリティカメラをビットコイン・マイニング用デバイスに変えるマルウェアが発見されています。声または顔認証といった技術を利用したスマートデバイスによるプライバシー侵害の可能性は言うまでもありません。

「無料の」インターネットサービス:「サービスに金銭を払っていないからといって、それが無料ということにはならない」とヒッポネンは指摘しています。常に、代価として何かを提供しているのです。金銭ではないとすれば、それは、あなたの個人情報ということになります。時間をかけて利用条件を精読しない限り(ほとんどの人がこれを行っていませんが)、こうしたサービスが皆さんの個人情報をどのように利用しているか、本当のところは分からないのです。

監視社会:政府は新しいマルウェアの主要なソースのひとつとなっています。ほかの政府を監視できるばかりでなく、国民を監視することも可能です。ヒッポネンは、「インターネットの構築により、監視社会に最適なツールが構築された」と述べています。私たちがどこで何をし、誰と連絡を取り合い、何を考えているのかを、政府は監視することができるのです。

ヒッポネンは次のように述べています。「私たちは素晴らしいインターネット革命の時代を生きています。しかし、現在起きている問題に対処しないままでいると、自由に使えるオープンなインターネットを子供たちに残すことができなくなるかもしれません。」

私たちにできることは?

セイファー・インターネット・デーのテーマは、「より良いインターネットをともにつくる」ことです。このテーマを踏まえて、一般市民にできることは何でしょうか。ヒッポネンは、一般の人でも影響を及ぼすことのできるシンプルな方法をいくつか提案しています。

  • 質問する:新しいデバイスを購入する際は、店頭で店員に質問しましょう。「そのデバイスはオンライン上にあるのか? それはなぜなのか?」「そのデバイスは、ユーザの個人情報を収集するのか? そうだとすればそれはどのような情報か?」 質問して、答えを求めましょう。デバイスメーカーや小売店に、人々がプライバシーについて懸念していることを伝えましょう。
  • 大手インターネットサービスに多くを知られないようにする:ブラウジングしながらGoogleやFacebookにログインしたままでいると、これらのサービスはウェブ上で皆さんを追跡することができます。すでにこうした大手インターネットサービスに情報を与えすぎてしまっていると思う場合は、そのサービスを利用するときは別のブラウザを利用して、普段使っているメインのブラウザからはログインしないようにしましょう。
  • 簡潔な使用条件や使用許諾契約を要求する:使用条件や使用許諾契約はあまりにも長く、普通の人には理解できないような専門用語が多く含まれています。法律の学位がなくても、数時間も時間をかけなくても理解できるような簡潔なものを要求しましょう。
  • クラウドの力を利用する:クラウドベースのセキュリティでユーザを保護するインターネットセキュリティソリューションの活用を検討してみましょう。クラウドの下では、ユーザ基盤は動物の群れのようになっています。たとえば、群れの一員が病気になると、群れ全体がその病気に対する予防接種を受けることになります。クラウドベースのセキュリティは、我々ユーザ全体を保護する情報を共有しています。
  • 透明性を求める:AVセキュリティのベンダーに、ユーザのプライバシー保護に関して、透明性を確保するよう要求しましょう。ユーザまたはユーザのコンピュータからどのようなデータを収集しているのか、説明を求めましょう。個人情報の収集に関する方針を一般に公開しているセキュリティベンダーは世界に1社しかありません。

詳細情報
Safe & Savvyでのヒッポネンのインタビューの詳細はこちらをご覧ください。

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

手の届くところにぶらさがっている果実:Flash Player

 現在、Flash Playerバージョン16.0.0.296が公開されている

Flash Player Versions

 インストール済みのバージョンは、WindowsではFlashの設定マネージャーのアプレットで確認できる。

Settings Manager, Flash Player 16.0.0.296

 Adobe Security Bulletin APSA15-01によると、自動更新を有効にしているユーザの場合、1月24日から更新を受け取ることになる。手動でダウンロードする場合には、数日待つ必要がある。

Adobe Bulletin CVE-2015-0311

 手動でのダウンロードが遅れる理由については定かではないが、理由はどうあれ、自動更新を行うことを推奨する。

 それだけでなく、まだある。現時点では「クリックして再生」オプションを有効にすることを推奨する。以下はFirefoxの例で、「実行時に確認する(Ask to Activate)」に設定されている。

Firefox, Flash, Ask to Activate

 Google Chromeにも「詳細設定を表示(Show advanced settings)」の中にオプションがある。

 なぜ「クリックして再生」を推奨するのかって?Flash Playerは現在のところ、エクスプロイトキ 先週からの統計情報を以下に挙げる。Flash Playerのゼロデイの脆弱性を狙うAnglerがエクスプロイトキット市場を牽引していることが、ここから見て取れる。

 フィンランド:

Exploit Kits, January 2015 FI

 ドイツ:

Exploit Kits, January 2015 DE

 イギリス:

Exploit Kits, January 2015 UK

 そして他の地域でも、Anglerが第1位だ。

 なので、Flash Playerをアップデートし、自動更新するように設定し、「クリックして再生」を有効にするといい。

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

なぜマイクロソフトはサイバー攻撃に弱いのか?

脆弱性が見つかるたびに、マイクロソフトはセキュリティを強化し進化を遂げてきました。その対策が破られると、さらにセキュリティを強化して進化します。
しかし逆の見方をすればセキュリティを強化しても破られている、と言うこともできます。

マイクロソフトは、セキュリティ開発ライフサイクル(SDL)という、理路整然とした仕組みを開発体制に組み込んでいるようでして、これを読む限りでは攻撃者が付け入る隙はなさそうですが、残念ながらどこかしらから破られているのは事実です。

様々な大人の事情があるのでしょうが、「どのように破られるのか」の事情の一端をうかがい知るための一つの切り口として、技術者向けにはなりますが、破られる仕組みをアセンブリレベルで体験していただく企画をCodeIQの中で数ヶ月前に始めてみました。

MsIsVulnerable

マイクロソフト製品にはデフォルトでセキュリティのための仕組みが組み込まれますが、それらをいかに破ることができるか(できたか)を体験いただけるかと思います。(中にはSDL以前の話もあります。)

エフセキュア、SaaS型サーバ製品に脆弱性対策の新機能を追加

エフセキュア株式会社は、SaaS型アンチマルウエアソリューションであるプロテクション サービス ビジネス(PSB)のWindowsサーバOS向けセキュリティ対策製品に対し新たな機能を追加し、提供開始しました。

PSBはSaaS型のアンチマルウエアソリューションで、クラウド上の管理ポータルを利用するマルチプラットフォーム対応のセキュリティサービスです。専用の管理サーバを立てる必要が無いため、サーバを導入するためのコストやサーバ管理コストが不要になり、導入が容易となります。

「エフセキュア プロテクション サービス ビジネス サーバ」及び「エフセキュア プロテクション サービス ビジネス メールサーバ」の新バージョンでは、新たにOSとアプリケーションのパッチ管理機能である「ソフトウェア アップデータ」の機能を追加。また「エフセキュア プロテクション サービス ビジネス メールサーバ」では、更にMicrosoft Sharepointの保護機能を搭載しました。

エフセキュア プロテクション サービス ビジネス サーバ

「エフセキュア プロテクション サービス ビジネス サーバ」は、高性能な検査エンジン*に加え、サンドボックスによる未知のウイルス対策などの先進的な機能を搭載したWindowsサーバOS向けセキュリティ対策製品です。本リリースでは、更にOSや主要なアプリケーションのパッチを管理するための「ソフトウェア アップデータ」の利用が可能になります。近年のマルウェアの80%以上は、OSやアプリケーションの脆弱性を悪用しているため** 、セキュリティパッチをタイムリーに適用することは極めて重要です。またセキュリティパッチは、管理ポータルより一元管理可能なため、パッチ管理の運用コストを大きく削減することが期待できます。

エフセキュア プロテクション サービス ビジネス メールサーバ

「エフセキュア プロテクション サービス ビジネス メールサーバ」は、Microsoft Exchangeサーバ、及びターミナルサービスであるMicrosoft Windows Terminal / RDP serviceやCitrix XenAppの利用環境向けのセキュリティ対策製品です。本リリースでは、新たにパッチマネジメント機能である「ソフトウェア アップデータ」と、Microsoft Sharepointを保護する機能をご利用頂けるようになりました。ユーザが扱うファイルの量やサイズは年々増加し続け、それに伴い様々な方法でのファイル共有がされています。エフセキュアではこうした状況を踏まえました。

*  独立調査機関「AV-TEST」から、2013年Best Protection Awardを受賞
**  2013年、エフセキュアの調査による

CVE-2014-8439に対するFlash Playerの予定外のアップデート

 エフセキュアが報告した、Flash Playerに内在する脆弱性に対応するために、Adobe社は予定外のアップデートを公開した。

 我々はAnglerと呼ばれるエクスプロイトキットによるFlashのエクスプロイトを分析している際に、この脆弱性を発見した。高名なエクスプロイトキットの研究者であるKafeineよりサンプルを入手した。同氏は我々に、Flash Player 15.0.0.189は侵害せずに15.0.0.152は問題なく侵害するような脆弱性を特定するように依頼した。このことは、APSB14-22でパッチが当てられた何かが脆弱であることを示唆する。しかし、Microsoft Active Protections Program経由で我々が受け取った情報によると、このエクスプロイトはAPSB14-22(CVE-2014-0558、CVE-2014-0564、CVE-2014-0569)でパッチが当てられたいずれの脆弱性にも合致しなかった。

 おそらく、最新のパッチはエクスプロイトの動作を妨げたが、脆弱性の根本的な原因はまだ修正されていない。我々はこの可能性を考えたので、Adobe Product Security Incident Response Teamと接触をした。同チームは我々の説を確認して、予定外のアップデートをリリースした。コードの実行を引き起こしかねないメモリポインタの逆参照の扱いにある脆弱性CVE-2014-8439に対して、さらに堅牢にしたのだ。

 Anglerは2014年10月21日には既にこの脆弱性を侵害しており、そのすぐ後にエクスプロイトキットAstrumおよびNuclearが続いたと、Kafeineは報告している。このエクスプロイトキットの作者は、10月のFlashのアップデートを2日でリバースエンジニアリングした。これを考えれば、直ちにアップデートをインストールすることは最優先事項だ。それを手動でやろうと自動でやろうと。

 エフセキュアはこの記事で触れたFlashのエクスプロイトを以下のように検知する。

  •  Exploit:SWF/Salama.H
  •  Exploit:SWF/CVE-2014-0515.C

Post by — Timo

Powerpointの2つの脆弱性のお話

 脆弱性CVE-2014-4114の発表がなされてからすでに1週間が経過し、これを悪用する人の数は増える一方だ。

 メタデータが相変わらず同じファイルさえ存在するが、これは次のことを如実に示している。つまりMirtecとCueisfryの事例(日本人に関連するAPT攻撃とつながりのあるトロイの木馬)で見られたものからコピーされているのだ。これらのマルウェアの背後にいる作者たちは、元々BlackEnergyが使っていたPowerPointのドキュメントを複製し、ペイロードとコンテンツをオンライン上にある正規のものに置き換えただけだ。

file_properties (110k image)
順にBlackEnergy、Mirtec、Cueisfryのドキュメントのメタデータ

 そう、もし別のグループで勝つための方程式がすでに機能しているなら、もう一度、車輪を発明するようなことをする必要はない。つまり、パッチが当てられるまでだが。そしてこれは、台湾におけるあるAPT攻撃の背後にあると思われているマルウェアファミリー、Taleretを思い起こさせる。CVE-2014-4114にパッチが当てられた後、即興でやる必要性があり、それはそういうものとして、今度はTaleretはクリーンなPowerPointを捕まえて、脆弱性CVE-2014-6352を通じて、ペイロードを埋め込んで実行させようとする。この脆弱性はCVE-2014-4114から取り残されたものだ。

file_properties_update (49k image)

 マイクロソフト社はCVE-2014-4114のパッチは公開したが、CVE-2014-6352はいまだパッチがない。

 ただしfix itツールが、こちらに用意されている。

 悪意のあるPowerPointドキュメントで使われるコンテンツの大半は、インターネット上にある教育機関や研究機関の資料から調達されている。つまり、それと分離して語ることは非常に困難だ。

 以下に、クリーンなドキュメントと、その悪意ある片割れの双方の例を示す。

clean_malware (145k image)

 2つ目の脆弱性にまだパッチが存在しないうちは、どのドキュメントがクリーンでどのドキュメントが悪意のあるものか分からないのであれば、正しい発信元から受け取ったドキュメントか確認するとよい。あるいは、アンチウィルスのシグニチャを更新して、検知されるかどうかを確認できる。

product_scan (60k image)

ハッシュ:
8f31ed3775af80cf458f9c9dd4879c62d3ec21e5 - Mirtec - C&C: 116.212.127.20
66addf1d47b51c04a1d1675b751fbbfa5993a0f0 - Cueisfry - C&C: ms.privacyserve.org
488861f8485703c97a0f665dd7503c70868d4272 - Taleret - C&C: 70.88.151.213
e9020a3cff098269a0c878a58e7abb81c9702691
02b9123088b552b6a566fc319faef385bec46250
98841ea573426883fdc2dad5e50caacfe08c8489
7d0cecfad6afbe9c0707bf82a68fff44541a2235


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード