エフセキュアブログ

脆弱性 を含む記事

香港の抗議者にデジタル戦争を仕掛けているのは?

中国のデジタル機動隊か?
 
Volexityによると、「非常に顕著なAPT攻撃」が数カ月にわたり、香港や日本のウェブサイトを攻撃しているということです。
 
民主主義を支持するサイトが被害を受けていますが、その中には、「ATD(Alliance for True Democracy、真普選聯盟)– 香港」や「People Power(人民力量)– 香港」のほか、中国政府に対する大規模な抗議活動を支えるOccupy Central(中環占拠)やUmbrella Revolution(傘の革命)といった学生運動と関連するその他複数のサイトが含まれています。今、こうしたサイトにアクセスする人は、「脆弱性の悪用、セキュリティ侵害、デジタル監視」を目的に作られたマルウェアの標的となっているのです。
当ブログでの分析では、サイバー犯罪者は、政治的な思惑などなく単純にこのニュースに便乗している可能性があるとMickeは指摘しています。しかしながら、使われているリモートアクセス型トロイの木馬(RAT)は、この運動に敵対する側に大きなメリットを与える可能性が考えられます。
 
Mickeは次のように記しています。「こうしたサイトへアクセスする人の多くは、リーダー格として、または市民レベルで今回の運動に何らかの形で関わっています。彼らの敵は、これらのサイト訪問者が所有するデバイスのほんの一部にでもRATを仕掛けることによって、貴重な情報を大量に入手することができるのです。」
 
そして、リーダー格の人たちがたとえ屈しないとしても、RATのうわさを聞くことでユーザはこうしたサイトに近寄らなくなるでしょう。これは、できるだけ早く抗議活動が終わってほしいと願う人々にとっては効果的な方策です。抗議活動の計画に利用できるTwitterのようなソーシャルネットワークがなければ、このやり方はさらに有効でしょう。しかし、たとえソーシャルネットワークが政府にブロックされたとしても、エフセキュアのFreedomeのようなVPNソリューションがあれば、被害を防ぐことができます。
 
もし、攻撃の目的が抗議者を標的にして抗議活動を鈍らせることであれば、「中国政府が有力な容疑者であることは、誰の目にも明白です」と、Mickeは書いています。
 
国家主導のRAT攻撃、あるいは国家が黙認する、民間組織による攻撃の深刻さは計り知れません。
 
犯罪者たちは個人、企業、政府自体を標的にマルウェアを使っています。反抗する国民に対する政府主導のサイバー攻撃は、Flameのような政府主導型の監視マルウェアがエスカレートしたものと言えるでしょう。こうなると、各企業は政府によるマルウェア攻撃について考えざるをえなくなります。
 
この1年の間に、何の罪にも問われていないインターネットユーザに対して防御を固めるために、政府がこんなにも懐疑的になれるのかということを知ったばかりですが、今は、政府がユーザを攻撃しているのではないかという可能性を目にしているのです。

>>原文へのリンク

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


なぜShellshockがHeartbleedよりも危険なのか、ミッコ・ヒッポネンが解説

CNBC AfricaのAki Anastasou氏によるインタビューで、弊社のミッコ・ヒッポネンが、なぜShellshockのバグがHeartbleedのバグよりも社会にとってより大きな脅威であるのかを説明しました。Heartbleedは、今年年初にニュースで大きな話題になっていました。

「ShellshockもHeartbleedも、オープン・ソースのシステム、すなわちLinuxやUnixベースのシステムの脆弱性です」とミッコは語っています。

「いずれも非常に深刻です。Heartbleedは過ぎ去りました。数ヶ月前に発生しましたが、Heartbleedに対するパッチを適用すれば、攻撃者はもはや情報を詐取することはできません」と彼は解説します。





「しかしShellshockはさらに深刻です。今現在パッチを当てても、攻撃者はシステムにアクセスできるようにShellshockを使用した可能性があります。たとえパッチを適用しても、システムの中に存在しているかもしれません。」

ソフトウェアのバグが避けられない世界で、できる限りシステムを安全にするために、ミッコは三つの基本的な事項を提案しています。
1. 侵害された場合にデータを復旧できるように、すべてのPCやデバイスのバックアップを取る。
2. PCやデバイスに、ブラウザやプラグインも含む全てのソフトウェアにパッチを適用する。
3. バックアップとパッチが完了したら、全てのシステムのウイルス対策やセキュリティ・ソフトが最新であることを確認する。

オンラインの脅威と闘ってきた数十年の間に、ミッコが経験した最悪のコンピュータ・ウイルスについてご関心はありますか?TED Radio Hourをご覧ください。

>>原文へのリンク

9.18のサイバー攻撃に関して(追記)

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
#スクリーンショットの記載内容からすると、フライングの気もしますが・・・

918改竄画像


現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
#DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

918_b


918_a


エフセキュア 法人向け製品でWindows Server 2003のサポートを延長

エフセキュア株式会社は、法人向け製品でWindows Server 2003のサポート終了後も一定期間サポートを継続いたします。

日本マイクロソフト社のオペレーティングシステム Windows Server 2003のサポートが2015年7月14日に終了します。開発元がサポートを終了したオペレーティングシステムを継続して利用することは、セキュリティやコンプライアンスの観点からみて大きな危険性があります。サポート終了後は、新たにオペレーティングシステムの脆弱性が発見されたとしても、セキュリティパッチが提供されることがないため、エクスプロイトを利用したハッカーやマルウェアの侵入、またそれに伴う情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。しかしながら、Windows Server 2003は多くの企業で業務の基幹システムなどにも採用されており、サポート終了日の2015年7月14日までに全てを最新のオペレーティングシステムに移行させることは困難な状況です。

エフセキュアはこの状況を認識し、日本マイクロソフト社のサポート終了後も、Windows Server 2003にインストールされている法人向け製品に対し、延長サポートを提供することで、Windows Server 2003から最新のオペレーションシステムへのアップグレードの支援をいたします。なおこの延長サポートは、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。


Windows Server 2003向け延長サポート対象製品情報



  • サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。
  • セキュリティパッチが提供されず、脆弱性が修正されないままのオペレーティングシステムでは、エンドポイントセキュリティ対策製品でエクスプロイトから保護することが出来ない可能性があります。
  • サポート終了時点で、最新のサービスパックおよびパッチが適用されているオペレーティングシステムがサポート対象となります。
  • オペレーティングシステム自体に起因する不具合に対しては、弊社ではサポート対応できない場合がございます。

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

盗まれた12億人分のパスワード・・・私たちへの影響は?

報道されているとおり、ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが分かりました。この大量のパスワードの中に皆さんのパスワードが含まれていても不思議ではありません。しかし、実際のところ何が起こっているのでしょうか。なぜこれが私たちにとってリスクとなるのでしょうか。そして、個人としてはどう対応すべきなのでしょうか。その内容を少し詳しく見ていきましょう。
 
まず、webシステムでは毎日システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。これは今に始まったことではありません。このニュースの本質は、その規模にあります。ロシアのハッカー集団は、ネット上で脆弱性のあるシステムを探し出すために強力なスクリプトを使って自動的にハッキングし、その結果、この極めて大量のパスワードが盗まれることとなったのです。しかし、この事件を記事にしたり、話題にすることは今もなお有益です。というのも、この事件は、個人のパスワードに関する習慣がなぜ重要であるかを再認識させてくれるからです。
 
ではまず、一般的なインターネットユーザがどのような過ちを犯すのか検証していきましょう。ここにアリスというインターネットユーザがいます。

 1. アリスはGoogleでメールアカウントを作成します。運よく、alice@gmail.comは誰にも使用されていませんでした。彼女は安全とされるパスワードの基本条件を知っており、大文字、小文字、数字、特殊文字を含んだパスワードを設定しました。

 2. アリスは、頻繁にネットを利用し、FacebookなどのSNSやディスカッションフォーラムを利用しています。その多くで、alice@gmail.comをユーザIDとして使用しており、パスワードも同じものを使用することは非常に合理的です。パスワードはメールアドレスとセットのようなもので、複数のパスワードを覚えたい人などいないでしょう。

 3. そこへ悪意のあるハッカーが登場し、脆弱なシステムを見つけ出すためネット上でスキャンを開始します。Gmailは適切に保護されているため、この攻撃の影響を受けることはありません。しかし、小規模組織の多くは趣味レベルでサイトを運営し、サイトをしっかり保護するスキルやリソースを持っていません。アリスがよく利用するサッカークラブのサイトもそうしたサイトの1つです。ハッカーはこのサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのalice@gmail.comのパスワードを知ることになります。皆さんは、「それで?」と思うかもしれません。ハッカーが、アリスがよく参加するゲームを知っているだけでは、特に実害はありません。しかしちょっと待ってください。これがすべてではないのです。

 4. alice@gmail.comがGmailユーザであることは明らかです。そこで、ハッカーはアリスのパスワードをgmail.comで試してみます。見事に一致しました。この結果、ハッカーはアリスのメールアドレスのみならず、彼女がGoogleのサイト上で管理するその他のデータをすべて入手します。

 5. ハッカーは、Facebookなど、多くの人が利用しているインターネットサイトをスキャンします。またも一致しました。これでハッカーはアリスのFacebookアカウント、それからおそらくその他いくつかのサイトのアカウントも手に入れます。

 6. ハッカーは、入手したアカウントを使い始めます。情報、メールの内容、その他の連絡先情報、eメール、文書、クレジットカード番号などありとあらゆるものを入手するためにアリスのアカウントを利用します。また、いくつか例を挙げるならば、ハッカーは彼女のアカウントやIDを使いスパムを送信したり、なりすまし詐欺を行うこともできます。
 
では、この話の教訓とは何でしょうか。アリスは安全とされるパスワードを使用していますが、この場合においては安全ではありません。彼女の犯した間違いは、そのパスワードを多くのサイトで利用したことにあります。規模の大きなサイトであれば通常少なくとも妥当なレベルのセキュリティが適用されています。しかし、同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまうのです。そのため、自分のメインのメールパスワードを、特に規模が小さく怪しげなサイトに利用することは絶対にしてはいけないことなのです。
 
しかし、強力なパスワードを複数使用することは非常に不便だと、皆さんはそうお考えかもしれません。しかし、そんなことはありません。もし、皆さんが体系的に、正しいツールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。
 
それでも自分の記憶に自信が持てない方もいるかもしれません。大丈夫です。エフセキュアでは、便利なツールを用意しています。それが、パスワードマネージャのF-Secure Keyです。
 
ところで、最初の質問の解答は何でしょうか。ロシアのハッカー集団による攻撃は、私たちに影響するのでしょうか。個人としてどう対応したらよいのでしょうか。(この執筆時点では)どのサイトに影響が及んでいるのかがわからないため、誰に影響が及んでいるのかはわかりません。しかし、盗まれたパスワードの数が膨大であることから、皆さんのパスワードがそこに含まれている危険性は実際に存在します。とにかく、自分にアリスと共通する点があると思ったら、すぐにパスワードを変更することをお勧めします。今回のロシアのハッカー集団の被害者ではないにしても、遅かれ早かれ被害者となる日がきます。そうなる前に自分のデジタルIDは安全に保護してください。
 
すでに利用しているすべてのサイトで覚えやすい異なるパスワードを設定している場合は、慌てる必要はありません。被害を受けたサイトがわからないうちに、パスワードをすべて変更する必要はないでしょう。しかし、もしこの42万のサイト一覧が公開され、自分がそのいずれかのサイトのユーザである場合は、該当するサイトのパスワードを変更することは重要です。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

夏季特別座談会「セキュリティの最前線」 第二回「モバイル系のセキュリティや脅威」

エフセキュアブログの夏季特別企画、座談会「セキュリティの最前線」の二回目は、モバイルに焦点を当てていきます。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介から最新の状況について解説します。(以下、敬称略)

Su Gim:  今や誰もがスマートフォンを持っている時代になりましたが、その中でもAndroidの脆弱性について多くの指摘がなされています。その中でも最も頻繁に現れているのが、PUA (Potentially Unwanted Application)と呼ばれるもので、グレーな部分の多いアプリケーションです。PUAは、合法的で、それ自体が悪意を持ったアプリケーションではありませんが、ユーザーが使用しているバックグラウンドで情報が詐取され売買されるケースが生じています。このようなグレーなPUAを検出しブロックするというのはセキュリティ・ベンダーにとっても難しい問題であり、ユーザ側に意識向上を働きかけ、アプリをダウンロードする際に注意を呼びかけるしかありません。




高間: PUAについては、まだ日本語の名称が付いていない状況ですが、日本でも「プライバシー侵害アプリ」として二年ほど前から問題が議論されていて、総務省の「スマートフォン プライバシー イニシアティブ」で、特にユーザーのプライバシー保護の観点から検討されています。アプリストアとして、Appleではアプリの挙動について事前に厳格な審査があるのでこのような問題が発生しにくくなっていますが、Androidの場合は比較的緩い状態で運営されているため、様々なアプリがあります。Androidユーザーは知っていると思いますが、アプリをダウンロード、インストールする際に、どのような動作をするアプリであるか説明があり、それに同意してクリックするという形式を取っていますが、そのとおりに動作するものであるかどうか説明が必ずしも適切ではないものがあるとの指摘もあります。説明では記載されていない情報を抜き取るアプリも現れていることから、同意を取っていることがまず虚偽である場合があり、さらに説明が敢えてわかりにくくユーザーが理解できないというケースもあります。
Androidの場合、ユーザーの設定によって、GoogleのPlayストア以外のマーケットからもダウンロード可能になってしまうため、ユーザーが知らずにサードパーティの不審なマーケットからアプリをダウンロードし、そこからマルウェアに感染する危険があります。また中国ではGoogleが市場から手を引いていますが、それでもAndroidが普及しているため、サードパーティの運営するアプリ市場が多数あります。

冨安: PUAと似たケースですが、悪意のある動作だけでなくまったく何もしないアプリというものも存在します。具体的には「電池を長持ちさせる」などの謳い文句で実は何も効果がないアプリを100円、200円といった安価な値段で販売しているものです。意味のないものにお金を支払ってしまうのです。こうした観点からもモバイルのアプリには十分ご注意ください。

FIRST2014で感じた”Information Sharing”の難しさ

CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。
今年のキーワードの1つは「Information Sharing」でした。
昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。
興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。
これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。
例えば、下図のように攻撃が複数組織に跨いで行われている場合、多くはそれぞれの被害組織毎に調査が行われるのが一般的です。しかし、サイバー攻撃の全容を知る為には各々の調査結果を合わせて分析が行われなければなりません。
しかし、残念ながら全容が解明されるケースは少ないのが現状です。理由は言うまでもありませんね。

インシデントの流れ

では、各々の組織がインシデント情報をシェアする際にどのような情報があれば良いのでしょうか。
例えば、すぐに思いつくものでも次のものがあります。

     (1)攻撃元
     (2)CnCサーバ(IP / Location)
     (3)悪用された脆弱性
     (4)マルウェア
     (5)悪用されたメール(表題 / 本文 / 送信元)
     (6)被害内容
     (7)被害組織(業種)
     (8)攻撃者像
     (9)侵入後に利用された不正プログラム
     (10)タイムライン
などなど。

(1)-(4)までの情報は比較的シェアされるようになってきました。(5)は一部のコミュニティ間ではシェアされています。
しかし、それ以上の情報は素のままでは難しい場合があります。
そこで、現在様々な取り組みが世界中で行われています。例えば、マルウェアの検体そのものの提供が難しい場合はYaraによるシグネチャを作成し配布する。マルウェア感染後はIOC(Indicator Of Compromise)を用いるなどが代表的です。
また、(6)-(10)に関してはストーリー化することで機微情報をぼかしてシェアするなどの方法を取っているところもあるようです。但し、やはり情報が荒くなってしまいますため詳細な分析結果を得ることは難しいのが現状です。
インシデント情報のシェアはまだまだ試行段階ですが、必要性の高いジャンルだと思います。
ちなみに、カンファレンス参加者とインシデント情報を交換した際に言われましたのは、日本を狙った攻撃の一部は世界からみると特殊だとのことです。そういった意味でも国内においてもインシデント情報をシェアするためのフレームワークが必要な時期が来たように思います。
Information Sharingを必要に迫られている組織、個人が徐々にコミュニティが立ち上げつつありますので、その際は是非参加してみてください!





欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 この宇宙は「ブラックエネルギー」に満ちている。そしてサイバースペースも同様だ。我々がVirusTotal経由で発見したBlackEnergyファミリーについて書いたのは、それほど以前のことではない。伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である。先週の金曜日、新手のバリアントがVirusTotalに投稿された。そして今回は、どのように配布されたかについて、より明確になった。それは、実行ファイルを含むzipファイルだった。今月すでにあったケースと同様、このサンプルはまたもやウクライナから投稿された

Zip file screenshot

 zipファイルの名前はキリル文字でつづられており、「パスワードリスト」という意味だ。実行ファイルのほうは、意味は同じだがラテン文字でつづられている。実行ファイルの拡張子が.docであることを注記しておく。犠牲者がこのサンプルをどのように起動し得るのかは、明確になっていない。我々の推測では、狙っているターゲットが使っているあるzipアプリケーションがあり、それが拡張子に関わらず本当のファイルの種類に基づいてサンプルを開く機能をサポートしている、とみている。もちろん攻撃者が単に間違いを犯した可能性もある。

 VirusTotal上の実行ファイルのサンプルを確認すると、わずか数分早くベルギーから投稿された。ウクライナの現在の状況や、ベルギーがEU政府の中心であること(およびNATO本部が置かれていること)を鑑みると、これらが関連しているという見解を無視することはできない。

 我々はこのサンプルは、特定のパスワードを避けるように警告するIT系の勧告を装ったスピアフィッシングメールの添付ファイルとして送付された可能性があると考えている。

 以前のバリアントと異なり、当該サンプルはもはやsvchost.exeに、ユーザモードのDLLを挿入するカーネルモードコンポーネントを使用してはいない。今回は、単純にユーザモードのドロッパーを用いて、rundll32.exe経由でDLLを読み込む。カーネルモードコンポーネントの排除は、最近のWindowsシステムで見られる、署名付きドライバを実施する保護を潜り抜けようとするためかもしれない。

 ユーザモードDLLは変更をサポートするために書き換えられてもいる(タイムスタンプは2014年6月26日)。今では設定フォーマットは異なるが、いまだ同じIPアドレス・ブロックに所属するC&Cサーバを用いている。

New BlackEnergy configuration

 またドロッパーは悪意のある行為を隠ぺいするために、囮ドキュメントまで開く。

Decoy document

 ソフトウェアの脆弱性やエクスプロイトとは一切関係がないことに注意が必要だ。囮ドキュメントはドロッパーによって、プログラムで生成・起動される。これはかつて目にした、つまりOS Xにおけるおそらく最初のドキュメントを用いたAPT攻撃の試みに似ている。しかしながらこのマルウェアはDEPからホストプロセス(rundll32.exe)を適用しなかった。これは将来侵害するために、攻撃側面を切り開いたのかもしれない。

Routine that disables DEP via registry

 結論:欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を。

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

エフセキュア、ソネットの仮想クライアントソリューションに快適でセキュアなマルウェア対策を提供

エフセキュア株式会社(本社: 東京都港区、カントリーマネージャ: アリエン ヴァン ブロックランド、以下 エフセキュア)は、ソネット株式会社(本社:東京都品川区、代表取締役社長 石井隆一、以下 ソネット)の法人向け仮想クライアント新サービス「Mobility Acceleration」に、エフセキュアのマルウェア対策ソリューション「エフセキュア仮想スキャンサーバ」が標準搭載されたことを発表いたします。

ソネットの「Mobility Acceleration」は、2014年5月21日に提供が開始された、”bit-drive”ブランドで展開される法人向け仮想クライアントソリューションです。「Mobility Acceleration」のDaaS型ソリューション「仮想デスクトップサービス」および「Windows Server パッケージ」に、エフセキュアの仮想環境向けマルウェア対策ソリューションが標準搭載されました。「仮想デスクトップサービス」には「エフセキュア 仮想スキャンサーバ」と「エフセキュア Windows サーバ セキュリティ」が、「Windows Server パッケージ」には「エフセキュア 仮想スキャンサーバ」がそれぞれ採用されています。これにより両サービスのユーザは、高い検知率や防御機能を持ち仮想環境に最適化されたエフセキュアのテクノロジーによって保護されます。

ソネット株式会社の執行役員(bit-drive事業担当)、雁瀬繁氏は、「企業のIT環境においてはスマートフォンやタブレットの普及に伴い、クライアントの仮想化が急速に発展しています。この度、So-netではこのようなニーズに対応すべく、DaaSをはじめとしたクライアント仮想化ソリューション 『Mobility Acceleration』の提供開始に至りました。本サービスでは高度なセキュリティ環境を構築することが極めて重要です。仮想環境に最適化されたエフセキュアの仮想スキャンサーバにより、高度なセキュリティ対策が実現できることを喜ばしく思います。」と語っています。

またエフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「ソネットの、仮想化時代を先取りした新サービス『Mobility Acceleration』に対し深く賛同申し上げます。エフセキュアはソネットのこのような先進的なサービスにおいて選ばれたことを誇りに思い、同サービスのお客様に対して妥協のないかつ快適なセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はHyper-V、vSphere、XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

また、「エフセキュア ポリシーマネージャ」を使うことにより物理・仮想環境の混在する複雑なハイブリッド環境であっても容易に構築、管理することが可能となります。

ゲームオーバー・ゼウス 世界中で23万4,000台の被害

マルウェアのゲームオーバー・ゼウスが蔓延っています。ボットネットによる損害は甚大なものになる可能性があります。感染リスクもなくなったわけではありません。イギリスを拠点とするSkyNewsは、今後2週間以内の差し迫った攻撃について報じました。

フロリダに本拠を構える銀行は、約700万ドルの損失を被りました。ピッツバーグの保険会社はビジネスファイルを暗号化され、推定で7万ドルの損害を被りました。レストランの経営者は、レシピやフランチャイズの情報など、1万以上ものファイルを暗号化されました。これまでボットネットは、ランサムウェアによって3000万ドルを盗み取っています。

US CERTは、ゲームオーバー・ゼウスについて注意を喚起してきました。アメリカは各国と協力し、ゲームオーバー・ゼウスのボットネットとランサムウェアであるCryptolockerへの対策を主導していますが、決して警戒を解かず、自身でセキュリティ管理をするよう呼びかけています。エフセキュアはこの件に関して支援を行ってきた企業の1つです。

ゲームオーバー・ゼウス(GOZ)を使用すると、Cryptolockerなど他のマルウェアをダウンロードしたりインストールしたりすることができます。また、銀行の認証情報を盗み出すことができるので、ターゲットとなっている個人や企業が不法に預金を引き出されてしまうため、ついには財産を失うおそれがあります。(出典:FBI CYD 1603.0514.4.2 EXT)

GOZは現在FBIが制御しており、収集される感染したコンピュータのIPアドレスについては、インターネットサービスプロバイダと共有していくことになります。サービスプロバイダは顧客にウイルスを除去するツールを指示します。またそうしなければなりません。

では皆さんがすべきことは何でしょうか。

・アンチウイルス・ソフトウェアの使用と管理:  アンチウイルス・ソフトウェアはほとんどの既知のウイルスを認識し、これらからコンピュータを保護します。アンチウイルス・ソフトウェアを最新の状態に維持することが重要です。
・パスワードの変更:  元々のパスワードは感染の際に盗まれている可能性があるため、変更する必要があります。
・オペレーティング・システムとアプリケーション・ソフトウェアを最新の状態に維持:  攻撃者が既知の問題や脆弱性を利用できないようにするため、ソフトウェア・パッチをインストールしましょう。エフセキュア ソフトウェア アップデータは自動化されたツールで、企業ネットワーク内にあるソフトウェアの状態を常時監視するのに役立ちます。
・マルウェア対策ツールの使用:  マルウェアを特定し除去する正規のプログラムを使用すれば、感染防止に役立ちます。エフセキュア オンライン スキャナは無料のオンラインツールで、PCに問題を引き起こす可能性のあるウイルスやスパイウェアを除去します。エフセキュア オンライン スキャナは、別のセキュリティソフトがインストールされていても機能します。

従来のウイルス対策は十分ではありません。例えば、2013年4月に報告されたGOZクライムウェアへの感染のうち、80%が以前には見られなかった新種のものでした。これらの事例では、ディープガードがそのファイルの悪意のある挙動を認識し、攻撃を阻止することにより、感染を防ぎました。

アンチウイルスは死んだ?

アンチウイルスはもはや使いものにならないと言われています。その見解は正しく、いわゆる世間一般的に言うアンチウイルスは、ここ5年以上も絶望的な状態にあります。
 
ファイルを何らかのブラックリストのようなものと照らし合わせ、単純に特定のファイルを悪意のあるソフトウェアとして特定するだけでは、現在のサイバー犯罪者による攻撃を防ぐには不十分です。

従来のアンチウイルス保護機能では、例えば、「ドライブバイ攻撃」と呼ばれるものに対しては効力を発揮しません。

こうした一般的な攻撃では、ユーザが特定のウェブサイトへアクセスすると脆弱性を狙う固有のファイルが生成され、これがユーザのPCに感染します。

こうした理由により、現在、利用価値のあるセキュリティソリューションは、レピュテーションベースの検出方法を採用しています。ファイルを悪意のあるファイルのリストと単純に照らし合わせるだけでなく、当社はファイルの系統の確認まで行います。系統がこれまでに見られなかった特有のものであれば、当社が提供するレピュテーションベースの保護機能は、そのファイルが非常に疑わしいファイルであるとみなします。「犯罪者たちは、各ユーザに対し固有の悪意のあるファイルを作成することで検出されることはないと考えていますが、これこそがまさに私たちが敵を出し抜く方法なのです」とヒッポネンは述べています。

今日、コンシューマおよびビジネスユーザの両者がウイルスに感染するもっとも一般的な手口は、ドライブバイのようなエクスプロイトです。何百万にもおよぶマルウェアのサンプルが出回っていますが、常に広く狙われているのはほんの数十個の脆弱性だけなのです。

そこが難しいところなのです。つまり、もしこうしたエクスプロイトを未然に防止することができれば、マルウェアはお客様のPCに入り込むことができません。
「レピュテーションベースの検出は、デジタルジュードー(柔道)に少し通じるところがあります。われわれは敵の攻撃を利用し、それをそのまま相手に返すのです。」とエフセキュアの主席研究員であるミッコ・ヒッポネンは説明します。

この点については、アンチウイルスシグネチャスキャンに重点を置いたテストへの言及をしばしば目にします。こうしたテストの中には、VirusTotalを使って行われるものさえあります。この種のテストでは、10年前のテクノロジーしか評価できず、またレピュテーション検出も含まれていません。テストは常に「現実世界」を反映するものでなければなりません。つまり、望ましくはユーザがもっとも頻繁に使う初期設定で、製品の全機能についてテストを行う必要があるのです。考えられるウイルス感染については、エクスプロイトを含めすべての段階でテストが実施されなければなりません。

要するに、

従来のアンチウイルスは使いものにならず、今後はレピュテーションベースのアンチウイルスが主流となるでしょう。


エフセキュアラボ
  ミッコ・ヒッポネン
  ミカ・スタルバーグ

被害が集中するAndroid

エフセキュアが発刊している「脅威レポート」の2013年下半期版は、829件にのぼるモバイル脅威の新しいファミリーや亜種が発見されたことを報告しています。このうち97%に相当する804件がAndroidプラットフォームに対する脅威でした。また657件が金銭的な利益を動機としたもので79%を占めており、2012年の同時期の201件(60%)から大幅に増加しています。

脆弱性の現状

デスクトップを標的にしたマルウェアと異なり、2013年時点ではオペレーティングシステムにおける脆弱性を標的にするAndroidマルウェアは一部に限られています。概してAndroidを標的とした脅威は、ユーザとデバイスとの対話メカニズムを悪用した、悪意のあるアプリに集中しています。

悪意あるアプリまたは偽アプリ

マルウェアの犠牲者の数を最大化したいと考えている作成者は、人気のあるアプリ、特にゲームに対する興味を頻繁に悪用します。一般的な手口は、人気のあるクリーンなアプリケーションを再パッケージ化するか、またはトロイの木馬に変え、悪意のあるコードを挿入する方法です。
2013年12月中旬、Google Playストアに登録されている上位20の人気アプリについて、トロイの木馬化されている率を調査した際、最も人気がある20のPlayストアアプリのうち8つのアプリで、複数のトロイの木馬バージョンがサードパーティのマーケットに出回っていました。

マーケットプレイスでのマルウェア

昨今、サードパーティ製のAndroidマーケットは急速に成長していますが、これらがマルウェアの大きな供給源であることが裏付けらました。例えば、Google Playストアを除いた上位4ストアであるAnzhi、Mumayi、Baidu、eoeMarketではサンプルの10%が、悪意のあるマルウェアであることがわかりました。また、すべてのマーケットでマルウェアの割合が最も高いことが判明したのはAndroid159で、そのサンプルの33.3%がマルウェアに分類されました。幸いにも、収集されたサンプルのマルウェア率が最も低いのはGoogle Playで、その率は0.1%でした。



さらに詳細は、2013年下半期脅威レポートの日本語版でご覧いただけます。
http://www.f-secure.com/ja/web/business_jp

OpenSSLにおける ’HeartBleed’脆弱性のエフセキュア製品への影響

HeartBleedは、OpenSSLの暗号化ライブラリにおける重大なセキュリティの脆弱性 (CVE-2014-0160)です。このライブラリは、オンラインのサイトやWebベースのサービスで安全な通信を提供するために広く使用されています。この脆弱性は、攻撃者が痕跡を残すことなくサーバのメモリから情報を読むことを潜在的に許容します。つまり、Webサーバの秘密鍵情報やユーザパスワードのような非常に機密性の高い情報が、攻撃者によりコピーされた可能性があります。

エフセキュア製品の中にも、当該セキュリティ勧告の影響を受ける製品・サービスが存在します。

当該セキュリティ勧告は、以下のURLで追加情報のアップデートを行います。

http://www.f-secure.com/ja/web/business_jp/support/support-news/view/story/1450043


リスクファクター:  重大  (低/中/高/重大)


影響を受ける製品とバージョン:
  • エフセキュアMicrosoft Exchange & XenAppセキュリティ 10.00 – 11.00
  • エフセキュア Windowsサーバ セキュリティ10.00-11.00
  • エフセキュア プロテクションサービスビジネス サーバ10.00
  • エフセキュア プロテクションサービスビジネス メールサーバ10.00

影響を受けるプラットフォーム:  上記製品がサポートする全てのプラットフォーム

<<<2014年4月14日追加>>>

1) 2014年04月14日19:00現在、以下の製品に Hotfix 1 がリリースされています。各製品のダウンロードの Hotfixes の項目を参照ください。 上記の対応における記事にも Hotfix のリンクや適用方法が記載されていますので、合わせてご参照ください。
  •  サーバセキュリティ、および、メールとサーバセキュリティ 10.x - 11

        - F-Secure サーバセキュリティ 11.0 Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135
        - F-Secure サーバセキュリティ 10.xx Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135/10.x
        - F-Secure メールとサーバセキュリティ 11.0 Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134
        - F-Secure メールとサーバセキュリティ 10.xx Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134/10.x

 

2) 2014年04月14日19:00現在、以下の製品で MultiFix がチャネル配信済です。

  • PSB サーバセキュリティ、および、PSB Emailサーバセキュリティ 10.00
   「自動更新」→「ダウンロード」において、"PSB ESS 10.00 MF01" (PSB ESSの例)が表示されていれば適用済です。

<<<ここまで>>>

注意:  以下の製品は影響を受けません。
  • エフセキュア クライアント セキュリティ
  • エフセキュア アンチウイルス ワークステーション
  • エフセキュア Linuxセキュリティ
  • エフセキュア アンチウイルス Linuxゲートウェイ
  • エフセキュア ポリシーマネージャ
  • エフセキュア プロテクションサービス ビジネス ワークステーション
  • エフセキュア プロテクションサービス ビジネス 管理ポータル
  • エフセキュア プロテクションサービス ビジネス Linux

---【お問い合わせ】-----------------------------------------------------

エフセキュア株式会社

■ 本件に関する技術的なお問い合わせ窓口
TEL.045-440-6620
E-mail:anti-virus-japan@f-secure.co.jp
  
■ 申請等に関するお問い合わせ窓口
TEL.03-5545-8940
E-mail:japan@f-secure.co.jp
  
□ 製品一般情報URL   
http://www.f-secure.com/ja_JP/products/business/
  
□ 製品サポート情報URL
http://www.f-secure.com/ja_JP/support/business/

Openssl Heartbleed 攻撃の検知について

bleed

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考:
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ(VPS)やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
#根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded


snort / Suricata rules

OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot(おまけ)
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt


ご参考まで。

ヴィンテージ:ファッションや家具には魅力的だが、 ソフトウェアには無用

最近のエフセキュアの調査では、10社中4社の中小中堅企業が古いソフトウェアを使用していることを報告しており、データ漏洩に対し無防備な状態にあります。

なんらかの商品を購入して、長い期間保管しておけば、それはやがてヴィンテージ化します。粋で独特の味を出し、過ぎ去った日々へと時間を戻してくれるヴィンテージは、ファッションや家具、車にとっては魅力的でも、商用ソフトウェアにとって古いということはセキュリティリスク以外の何物でもありません。エフセキュアの調査では、多くの企業が古いソフトウェアを使用することで会社の資産を大きな危険にさらしていることがわかっています。

94%の中小中堅企業は、ソフトウェアを常に最新の状態にしておくことが重要であると考えています。しかし、現実にはそのようになっていません。自社のソフトウェアが常に最新の状態であると答えた企業はわずか59%、ソフトウェアを最新の状態に保つのに充分なリソースがあると答えた企業はわずか63%にすぎません。

ソフトウェアを最新の状態に保つことは、ビジネスでのセキュリティ全体において非常に重要な要素の1つです。古いソフトウェアには、サイバー犯罪者が企業ネットワークへの侵入経路として悪用可能なセキュリティ上の欠陥が潜んでいます。エフセキュアラボが検出したマルウェアトップ10の70%から80%は、ソフトウェアを最新の状態にしておけば防ぐことができたものです。

ソフトウェアアップデートは長時間を費やす

企業は、ソフトウェアのアップデートに1週間当たり平均11時間の時間を費やしていると報告しています。企業の規模が大きくなるほど、その時間は増えています。従業員数50人未満の企業では、1週間当たりの平均時間が3時間であるのに対し、従業員数が250人を超える企業ではこの時間は15時間以上になります。

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「アップデートに企業が費やす時間については、ほんの氷山の一角に触れるだけですが、ありがちな誤解として、問題がOSにあると認識されていることが挙げられます。しかしそれは誤りです。OSは、十分にメンテナンスが施され、アップデートが行われています。深刻なのは、企業や個人が使用するサードパーティのアプリケーションなのです。いくつか例を挙げるとSkype、Adobe Reader、さまざまなプラグイン機能を持つブラウザ、Javaなどが該当します。皆様はご自分のデバイスに何がインストールされているかをご存知でしょうか。」

一方、古いソフトウェアに潜む脆弱性を狙ったサイバー攻撃は増え続けています。そして、新種の脅威というのは、数日や数週間ではなく、秒単位で作成されています。

従業員が個人所有のソフトウェアを使用

現在では従業員は個人所有のデバイスを持ち込んでおり、調査を行った企業の約半数は従業員による個人所有のソフトウェアの使用も容認しています。企業の規模が小さいほど、この傾向は顕著になります。従業員数が50人未満の企業の56%が容認しているのに対し、従業員数が250人を超える企業で容認しているのは39%です。また、フィンランド(53%)、スウェーデン(59%)では比較的高い割合で容認され、ポーランド(30%)やフランス(36%)では、容認度が低くなっていることが報告されています。

67%の企業では、個人所有のソフトウェアを使用する従業員は、自分たちでアップデートを行わなければなりません。しかし、個人がソフトウェアを常に最新の状態にしている保証はないため、これはリスクの高いポリシーということになります。従業員数が50未満の企業では、81%の従業員がアップデートを自分で責任を持って実施しなくてはなりません。また、企業の30%はMicrosoftのアップデートにしか対応していません。

ソフトウェア アップデータ : ソフトウェアを最新の状態に保つ、従来とは異なる最新の方法

ウスヴァは、企業のすべてのコンピュータとデバイスのソフトウェアすべてを最新の状態に保つ方法は、そのプロセスを自動化するほかないと語ります。「ソフトウェアメーカーは週ベースで、または長くても月ベースでアップデートのリリースを行います。これらのアップデートを手動で行おうとするのは、負け戦に挑むようなものです。ソフトウェア アップデータの自動化機能に全社的なセキュリティアップデートをすべて任せることで、貴重な時間やリソースを他の作業に充てることができるようになります。」

ソフトウェア アップデータはエフセキュア プロテクション サービス ビジネス(PSB)の機能の1つです。ソフトウェア アップデータを使えば、企業は従業員がインストールしたソフトウェアでも、常に最新の状態に保つことができます。プロセス全体を自動で完結することができるのです。ソフトウェア アップデータは、ソフトウェアの脆弱性を狙った攻撃から企業ネットワークを保護するために役立ちます。また、ソフトウェア アップデータはエフセキュアのその他の法人向け製品にも利用可能です。

ヴィンテージは、ファッションだけに留めておきましょう。昨日のソフトウェアは今日の時間や費用の無駄であり、明日の信頼や重要なデータ喪失のリスクとなります。

* エフセキュアの2014年デジタル企業調査は、8カ国(ドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、アメリカ合衆国)で1〜500名の従業員(平均200名)を有する企業を対象にWebインタビューを実施しました。同調査は2013年11月に実施されました。

サポート終了後のWindows XP対応策

本日2014年4月9日をもって、マイクロソフトのWindows XPのサポートが終了します。まだ上位オペレーティング・システムに移行が完了していない場合、最低限のセキュリティを確保するためには、どのようにすればよいのでしょうか。

Windows XPの延長サポートが終了になった後は、脆弱性が発見された場合にも修正パッチは提供されません。過去2010年7月13日にWindows XP SP2のサポートが終了した際には、その2日後に脆弱性を悪用したマルウェアStuxnetによるセロデイ攻撃が発生しています。このようにサポートが終了したオペレーティング・システムを使用し続けることには極めて大きな危険が伴います。エフセキュアのデスクトップ向けの製品では、2016年6月30日までWindows XPのサポートを延長いたしますが、さらになるべく安全にWindows XPを使用し続けるためには、幾つかの対策が必要になります。なおこれらの対策は、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。

法人での対策

1.業務上インターネット接続が不可欠な端末以外はインターネットに接続させないようにする

2.ゲートウェイ・レイヤでウイルス対策を行う
社内と社外のネットワークの境界であるゲートウェイ・レイヤでウイルス対策を行い、社内のネットワークに接続されているPCへ、脆弱性攻撃が届かないようにします。

3.危険なWebサイトへの接続の防止
「ブラウザ保護」の機能を備えたセキュリティ・ソフトウェアを使用して危険なWebサイトへの接続を防止し、Webサイトを踏み台にした攻撃から防御します。

4.脆弱性攻撃を防ぐソフトウェアを導入する
未知の脅威から防御するため、「ふるまい検知型」の機能を備えたソフトウェアを利用します。

5.出口対策を実施する
PCがウイルスに感染した場合に、感染した端末から社内のPCやサーバに侵入したり、外部のサーバへインターネット経由で情報を持ち出そうとする攻撃を防ぐため、ポートやIPではなく、特定のアプリケーションごとの通信を許可するかどうか設定する「アプリケーション制御」の機能を備えたソフトウェアを使用します。

2については「エフセキュア アンチウイルス Linux ゲートウェイ」で対応可能です。3〜5については、「エフセキュア クライアント セキュリティ」ですべてカバー可能です。なおこのようなセキュリティの機能を有効に利用するためには、セキュリティ・ソフトウェアの一元的な管理が必要となり、そのためエフセキュアでは「エフセキュア ポリシー マネージャ」を提供しています。あるいは初期投資を抑制するため、「エフセキュア プロテクション サービス ビジネス」のようなSaas型のサービスを利用されることも有効です。

家庭での対策

1.代替となるブラウザをインストールする
Internet Explorerだけに頼らず、代替となるブラウザを1つまたは複数インストールします。(ブラウザは無償です)。デフォルトのブラウザをInternet Explorer以外に設定します。

2.不要なソフトウェアを削除する
インストールされているソフトウェアを確認し、不要なものは削除します。ほとんどの古いソフトウェアは脆弱なものと考えられます。

3.プラグインを無効あるいはアンインストールする
JavaやAcrobat Readerの脆弱性を悪用した攻撃が最近増加しています。家庭用のPCにJavaをインストールする必要はおそらくないはずです。また、PDFファイルを開くときなど、操作の前に「常に尋ねる」ようブラウザを設定します。

4.接続は常にNATルータ経由にする
家庭では、NATルータがハードウェアのファイアウォールの役割を果たします。また、ノートPCを持ち出して、外部の無償のWiFiスポットに接続すべきではありません。

繰り返しになりますが、上記の法人での対策も家庭での対策も、Windows XPから上位オペレーティング・システムへの移行期間のための一時的な処置であり、完全にセキュリティを確保できるものではありません。エフセキュアでは、一日も早い上位オペレーティング・システムへのアップグレードを推奨します。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード