エフセキュアブログ

促 を含む記事

アンチウイルスは終わってる?

 年に1度のAVAR (Association of Anti Virus Asia Researchers)カンファレンスのホスト役を、今年はエフセキュアが務める。マレーシアのクアラルンプールにて開催の予定だ。カンファレンスは11月30日から12月2日までだ。これが19回目のAVARカンファレンスとなるが、マレーシアで開催されるのは初めてのことだ。このイベントは一流ホテルであるグランド ハイアット クアラルンプールで開かれる。

AVAR2016
今年のテーマが活発な議論を促進することを願う

 今年のテーマは、常日頃から論争になる話題に基づいている。それは「アンチウイルスは終わっているか?」というものだ。

 たった今、当社は論文の受け付けを開始した。今年のトピックについての意見をお持ちで、賛成か反対かに関わらず議論にふさわしいと思う興味深い題材があったら、さあさあ論文を提出して!提出フォームはこちらから。

 今回のトピックに関して考え出されたものを見ることにわくわくしている。これで興味深い議論が促されることを大変期待している。

 現地でお会いできますように。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

エフセキュアのFreedome、2015年「Meffy Award」Consumer Trust部門を受賞

英国に本部を置くMobile Ecosystem Forum(モバイル・エコシステム・フォーラム:MEF)が19日夜にロンドンで開催した「Meffy Award」授賞式において、インターネットに対する消費者の信頼を強化するエフセキュアの取り組みが評価されました。エフセキュアのVPNソリューションFreedomeが2015年 Meffy awardのConsumer Trust部門を受賞し、オンライン・プライバシーのソリューションを提供するFreedomeの実力が証明されました。

最近行われた複数の調査から、インターネットサービスの信頼性に関して消費者が常に懸念を抱いていることが明らかになっています。欧州連合の世論調査Eurobarometer(ユーロバロメーター)の調査では、個人情報保護に関して、回答者の63%がインターネットサービス会社を信頼していないと答えています*。米調査機関PEW Research Center(ピュー・リサーチ・センター)が米国で実施した調査でも「さまざまな企業・組織の中で、個人情報保護について最も信頼性が低いのはインターネットサービス会社」であったことが明らかになり、66%から79%の回答者が、インターネット接続業者が収集したネット上でのユーザの行動履歴がきちんと保護されているか、確信が持てないと答えています**。

Mobile Ecosystem Forum CEOであるリマ・ペレルミューター氏は次のように述べています。「Mobile Ecosystem Forumは長年にわたり、消費者の信頼強化に貢献するベストプラクティスを推進してきました。今年の『Meffy Award』Consumer Trust部門を受賞したエフセキュアは、モバイルエコシステムで重要な役割を果たしており、モバイルアプリやサービスの利用に対する消費者の信頼強化に貢献する取り組みが高く評価されました」

プライバシー・セキュリティ対策アプリFreedomeは、通信の暗号化、インターネットのトラッキングや悪意のあるウェブサイトのブロック、ジオブロック(地域制限)のあるウェブサイトやストリーミングサービスにアクセスするための仮想ロケーションの変更などを可能にします。Freedomeの保護機能を利用すれば、インターネット上のプライバシー保護をユーザ自身がコントロールできるようになります。Freedomeはデジタルサービスの利用に対するユーザの信頼強化に寄与すると同時に、ユーザが安心して利用できるデジタルエコシステムの発展に重要な役割を果たしています。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「今回Freedomeが『Meffy Award』Consumer Trust部門を受賞したことを大変喜ばしく思います。エフセキュアは安全なインターネット環境の創出において、消費者の信頼と個人情報保護を戦略の中核に据えています。今回の受賞は、デジタルの自由を提供するエフセキュアに大きな成果をもたらすとともに、プライバシー保護に貢献するFreedomeの優れた実力が証明されました」

「Meffy Award」のConsumer Trust部門は2012年に新設され、モバイル機器ユーザにとって信頼性の高い環境・サービスづくりに取り組む企業・組織に与えられます。受賞者の選定にあたっては、業界ベストプラクティスの遵守やプロセスの透明性のほか、使いやすさや管理のしやすさに基づいた審査が行われ、信頼性の向上がモバイルサービスの理解促進にどのように貢献したかも評価されます。

Freedomeに興味のある方は、Windows PC、AppleのOS X、Android、iOS、Fire対応のバージョンが、現在14日間無料の試用版ダウンロードでお試しいただけます。

*出典:http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf
**出典:http://www.pewinternet.org/2015/05/20/americans-attitudes-about-privacy-security-and-surveillance/

詳細情報:  
エフセキュアFreedome 
モバイル・エコシステム・フォーラム「Meffy Award」Consumer Trust部門

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


現金でFreedomeを購入する

 当社のFreedomeセールスチームは、週末にかけて特別な販売促進を行った。私がその点についてつぶやくと、幾人かから当社の支払処理におけるプライバシーについて質問を受けた。端的に回答するとこうなる。当社ではあなたの個人情報を一切入手しない。しかし、それでも電子商取引を行いたくない場合はどうだろうか?問題ない。

 Freedomeは現金で買うことができる。

Cash can buy your Freedome.
Bitcoin不要

 あなたがドイツにいるとしよう。cyberport.deまたはnotebooksbilliger.deの実店舗の1つを訪れて、1箱手に取る。

Freedome for sale.
Freedome(のコード)は箱の中だ

 この箱はいくつかの地域の素敵な店舗で入手できる。詳細情報については@FreedomeVPNでツイートする。

 では。
 @mikko

エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

エフセキュア、デジタルフリーダムのための闘いを促進するべく、プライバシー保護への取り組みを拡大

エフセキュアは、同社のFreedomeプライバシー保護アプリの最新バージョンを発売し、デジタルフリーダムのための闘いを新境地へと拡大させています。この最新バージョン「Freedome for Mac」は、バルセロナで開催されるMobile World Congressにおいて、3月1日に事前発表されました。この新しいFreedomeによって、人気のVPN接続がApple OS X搭載のパソコンでも今年の夏可能となります。

インターネットは、指一本動かすだけで利用者に豊富なコンテンツとサービスを提供してくれます。しかし、デジタル監視の最近の傾向によって、利用者はこうした豊かさを楽しめなくなっています。調査会社であるGfKの最近の調査によると、回答者の88%が個人情報のプライバシーに関して懸念しており、48%がそうした懸念から特定のデジタルサービスの利用を控えていると回答しています。

「利用者は、多くのオンライン・サービスにアクセスにするために、ますます多くの個人情報の保護をあきらめざるを得なくなっています」と、エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは述べています。さらに、「利用者は現在、これまで以上にこうしたことを認識しているかもしれません。しかし、オンラインを楽しむためには、プライバシーの保護を絶えず犠牲にせざるを得ないため、利用者の懸念は絶えません」と述べています。

エフセキュアのFreedomeは、ユーザフレンドリーなVPNで、迷惑なデジタル調査からお客様を保護するお手伝いをします。ワンタッチ操作でマルウェアを識別し、承認されていないトラッキングを無効にし、さらにバーチャルロケーションを変更することで、お客様はインターネットでブラウジング中に、お好きなコンテンツへアクセスできるようになります。これによって、お客様はご自身のプライバシーを危険にさらさず、また追跡を避けるためデジタルフットプリントを残さずに、デジタルフリーダムを楽しむことができます。Freedomeは、Android、iOS、WindowsのPCユーザにご利用いただけます。さらに、Freedome for MacはAppleのOS X搭載機器でもご利用いただけます。

サム・コンティネンは、エフセキュア提供の他のプラットフォームにおけるインターフェースが、これまで肯定的に受け入れられてきたことを受けて、この新商品もお客様に気に入っていただけるのではないかと期待しており、「Freedomeは、ワンタッチ操作という簡単な方法で、お客様がオンラインを楽しめるようサポートするツールです。プライバシーに対するお客様の懸念に取り組む洗練されたソリューションであり、今回このFreedomeによる高品質なオンライン体験を、さらに多くのお客様にご提供できることを嬉しく思います」と述べています。

エフセキュアは、オンライン保護を提供する業界のトップであり、その技術は過去4年間AV-TESTのBest Protection賞を受賞しています。Windows PC、iOSおよびAndroid 対応のバージョンが、現在14日間無料の試用版ダウンロードでお試しいただけます。エフセキュアのホームページよりご利用ください。Freedome for Macは、バルセロナで開催されるMobile World Congressにおいて、3月1日のエフセキュアMobileFocus Globalイベントで発表されました。本製品は2015年第2四半期に本格展開される予定です。

詳細情報:
エフセキュア Freedome
エフセキュアブログ あなたのPCで対抗する方法

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

多くの学生が授業にモバイルデバイスを持参する中、利用が広がるエフセキュアのyounited

younitedのようにどのようなデバイスからでもアクセス可能なクラウドベースのサービスの増加に伴い、教室でモバイル機器を利用する学生は増加する傾向にあります。

夏休みが終わり、学校では新学期が始まりました。ビジネスパーソンのように、自分のデバイスを持ち歩く生徒の数はますます増えています。BYOD(個人デバイスの業務利用)はビジネスの世界のトレンドとなっていますが、学校においても好評を博しています。

予算が限られているため、世界中の多くの小中学校や高校では、生徒が教室でデバイスを利用することを認めています。これは、できるだけ多くの生徒がコンピュータデバイスに確実にアクセスできるようにするための学校側の1つの措置なのです。賛成派の人たちは、授業中の共同作業や授業への参加を促し、生徒の将来に向けた準備に役立つ、と主張します。しかし、すべての学校がこの流れに乗じているわけではありません。授業の妨げとなるテクノロジー、生徒の経済格差を浮き彫りにするデバイスといった懸念事項も現実に存在しています。

大学では、BYODはここ数年ですでに定着しています。高等教育においては、授業内容の大半がデジタル機器を用いて行われているため、学生が自分のデバイスを使用することは、例外というよりは、むしろ当然のこととなっています。大学ではチームワークも非常に重視されますが、学生は共同プロジェクトでの作業においても自分のデバイスを使用しています。

学校がBYODをすでに導入しているかどうかにかかわらず、確実に言えることが1つあります。それは、デバイスは今後ますます普及し、生徒や学生はさらに多くのデバイスを使用していくということです。エフセキュアの調査によれば、12歳以下の子供の60%が、すでにインターネットにアクセス可能なモバイルデバイスを少なくとも1台所有しています。中高生と大学生について言えば、その割合は明らかに高くなっています。

クラウドの後押し

学校におけるBYODの導入は、間違いなくクラウドから後押しされています。さまざまなデバイスやプラットフォームで利用できるクラウドベースのアプリケーションがあれば、すべての生徒のコンピュータに個別のソフトウェアをインストールする必要はありません。生徒は、インターネットへアクセスできるコンピュータまたはデバイスならどこからでも、アプリケーションにアクセスできるのです。 

エフセキュアのyounitedは、あらゆるデバイスやプラットフォーム上で利用できるクラウドベースのアプリケーションの1つです。younitedを使用すれば、生徒は写真や動画、音楽を楽しむことができるだけでなく、安全な場所で宿題をしたり電子書籍やPDFを閲覧することができます。しかし、younitedはただ単に保存するためのものではありません。younitedの新しいコラボレーション機能は、さまざまな教育レベルの授業に合わせて利用することができるのです。

younitedの新しいグループスペース機能では、チームプロジェクトの中で、共同のドキュメントやプレゼンテーションを一緒に作成したり編集することができます。また、遠足や学芸会の写真や動画を集め、みんなが楽しめるよう1つの共通の場所に保存することもできます。教師は、クラス全員が簡単にアクセスできる1つのグループスペースに宿題や教材を保存することができます。また、リモート環境で勉強している生徒も、実質的には他の生徒と一緒に勉強できることになります。

エフセキュアのコンテンツクラウド担当バイスプレジデント、ティモ・ラークソネンは、次のように述べています。「younitedを使うことで、生徒たちはチーム内での協力と作業を容易に行えるようになります。社会に出たら求められる、きわめて重要な能力です。younitedは、教師も生徒も簡単に使うことができます。フィンランドベースのyounitedは、米国のクラウドサービスに代わる、堅牢で安全なサービスです。」

younitedは、iOS、Android、Windows Phone 8、Windows、Mac、webクライアントで利用できます。


* エフセキュアの2013年デジタルライフスタイル調査では、15カ国(ドイツ、イタリア、フランス、英国、オランダ、ベルギー、スウェーデン、フィンラン ド、ポーランド、米国、ブラジル、チリ、コロンビア、オーストラリア、マレーシア)で20〜60歳のブロードバンド加入者6,000人を対象にWebイン タビューを実施しました。同調査は、GfKによって行われ、2013年4月に完了しました。
* * younited for Businessの日本での提供は2014年の予定です。

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

ランサムウェア・レース(パート5):守られないSynoLockerの約束

 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。

SynoLockerはシノロジー社製のNAS(network attached storage)デバイスを標的にしている。デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されたファイルの暗号化を始める。さらに、ファイルを復号する見返りに身代金の支払いを要求するメッセージを被害者に提示する。しかしながら、SynoLockerの背後にいる犯罪者らはうその約束をしているのだ。 当社で観察した数多くのケースにて、復号プロセスは実際には動作しなかったり、犯罪者らが提供した復号キーが間違っていたりした。

 犯罪者たちに騙されたとしても、望みが完全に潰えたわけではない。正しい復号キーを被害者が入手することができれば、ファイル群はまだ復号できる。この目的のために、当社は本日、小さなツールをリリースする。Pythonのスクリプトで、当社で書いたものだ。正しい復号キーが提供されている限り、このツールを使って安全にSynoLockerで暗号化されたファイルを復号できる。このツールは、決してSynoLockerで作成されたファイルの暗号を破るものではない。また、復号キーを総当たりで探すことはしない。復号キーが既知の場合にのみ動作する。

Screenshot of encrypted and decrypted file headers
SynoLockerで暗号化されたファイルの先頭部分(左)と復号された同じファイルの先頭部分(右)

 当社の復号ツールのもう1つの使用場面は、ユーザが身代金を払ったが、感染したデバイスからマルウェアSynoLockerを削除済みだったために、復号キーが使えなくなった状況だ。デバイスを当該マルウェアに再感染させる(これは悪い考えだ)代わりに、当社のスクリプトをキーと共に使って、ファイルを復号できる。

 このツールを一般社会に公開することにより、こうした犯罪者によって引き起こされる害悪を解消するのに貢献できることを願っている。

 当社はどなたにも身代金の支払いを一切お勧めすることはない。

 当社の復号ツール、インストールおよび使用マニュアルはこちらから

 Post by Artturi (@lehtior2)

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

スノーデン事件から1年、「さらなるスノーデン氏を期待する」

スノーデン氏による告発が世界に衝撃を与えてから、ちょうど1年。セキュリティ専門家でエフセキュアの主席研究員であるミッコ・ヒッポネンは、エドワード・スノーデン氏の行為により状況は改善されていると語ります。企業と消費者は、プライバシーにさらに敏感になり、自分のデータがどのように処理されているかを気にかけるようになりました。さらに、技術、セキュリティ、プライバシーといった複雑な問題について、世界規模で議論が行われています。ヒッポネンが、セキュリティ業界への影響、企業と消費者の行動の変化、この1年で最も重大なリークについて質問に答えました。

あなたから見て、スノーデン氏のリークのうち最も重要な出来事は何でしたか?

最初のリークだったPRISMは極めて重要なものでした。GoogleやAppleのような、誰もが知っていて、利用しているサービスが監視されているとは寝耳に水でした。アンゲラ・メルケル首相のような外国の指導者の電話が盗聴されていたことが暴露されたことは重要でしたが、必ずしも驚くことではありませんでした。12月にNSA ANTカタログがリークされたことで、NSAがどれだけ高度な技術を使用していたかが明らかになりました。このカタログには、5年前にNSAがすでに所有していた監視装置のタイプに関する技術的な詳細が記載されていました。Quantumリークでは、米国がターゲットに対してウェブ・エクスプロイト・キットを積極的に使用していることが明らかになりました。最後に、最近出版されたグレン・グリーンウォルド氏の書籍では、NSAがMicrosoft SkyDrive、つまりOneDriveへのアクセス権を持っていることが暴露されています。私たちは今まで、NSAがSkyDriveにアクセスできることを知りませんでした。

どの告発に一番驚きましたか?

英国の諜報機関であるGCHQが、人々のウェブカメラでのチャットを傍受していたという告発です。GCHQは一体何を考えていたのでしょうか?

スノーデン氏のリークは、セキュリティベンダーの事業運営に影響を与えましたか?

それは間違いありません。特に米国外の企業には影響がありました。当社は、米国以外の企業との取引を望む世界中のお客様にサービスを提供する責任があると感じています。会社的には、私がエフセキュアに入社してから23年間、この1年ほどエフセキュアが大きく変化した年はありませんでした。デザイン、スローガン、ミッションを刷新し、新規事業を立ち上げ、プライバシー関連製品を中心に、1年あたりで過去最高となる数の新製品をリリースしました。

顧客データの取り扱い方法についてはどうですか?

当社は今までもプライバシーを非常に重視してきたため、告発事件は、エフセキュアがお客様のデータを処理する方法にあまり影響しませんでした。しかし、この事件は、当社がインターネットセキュリティ製品のデータの収集について詳細を記したホワイトペーパーを発行したことの大きな理由となりました。この1年、人々は自分のデータがどう扱われているのかますます懸念を持つようになっています。セキュリティソフトは極めて低いレイヤーに位置するソフトウェアであり、システムに広くアクセスできます。このため、セキュリティベンダーとして当社は、正直に情報を公開したいと考えました。当社は、エンドユーザのシステム上でどのようなデータを収集して、どのように匿名化しているかを文書化した初めての、そして現時点では唯一のセキュリティベンダーとなりました。他のセキュリティベンダーにも同じことをしてもらいたいと思います。

人々は本当に米国のインターネットサービスの利用を止めているのでしょうか?

告発の内容を知ったとき、多くの人はもう米国の大手サービスにはデータを保存したくないと言いました。しかし実際には、消費者に大きな動きは見られません。旧サービスを解約して新しいサービスに移行するには時間と労力が必要です。一方、企業は、アメリカのクラウドから一気にデータを移動させています。企業は、米国内のクラウドにデータを保存していれば、米国政府にそのデータを見る権利があることを知っているため、事態を重く受け止める必要があったのです。

まだ米国サービスに代わるサービスがないのはどこですか?

ヨーロッパで主流となっている検索エンジンはどこでしょうか?ウェブメールは?クラウドストレージサービスは?これらの質問が、エフセキュアがクラウドストレージ分野への参入を決めた理由の一つです。つまり、ヨーロッパに代替サービスがなかったため、それを提供することが私たちの責任だと考えたのです。

米国政府の対応についてどのような意見を持っていますか? 何らかの改善が見られますか?

米国政府の対応にはすでに改善が見られます。ただ実際には、これまで見られた変化はすべて米国市民のプライバシー保護を強化するもので、外国人は対象になっていません。政治家は有権者を満足させる必要があり、我々外国人は、米国の政治家を投票で落選させることができないのです。

希望を与えてくれるものは何でしょうか?

エドワード・スノーデン氏が希望を与えてくれます。彼は、私たちを救うためにすべてを犠牲にした男であり、世界市民である私たちは感謝するべきです。厳密に言えば彼の行為のすべてが正しかったわけではありません。彼は雇用主を裏切り、守秘義務契約に違反しました。それでもやはり、正しいことをしたのです。そのおかげで、ファイブアイズの国々が行っている情報監視活動に関して多くのことを知ることができました。他の国も諜報活動を行っていますが、その国にスノーデン氏のような人がいないため、具体的な証拠がないのです。他の大国からも、スノーデン氏のような人がもっと出てくることを期待します。

世界の指導者達に何を期待しますか?

指導者たちに何を期待するかというよりは、「普通の人々ならどうするべきか?」という質問に答えるほうがいいかもしれません。一般の人々は心配するのではなく、憤るべきです。何かを変えるには、政治的な手続きを踏む必要があります。投票し、議員に働きかけ、自分の意見を政治に反映させ、私たちの運動に参加してください。

デジタル・フリーダム運動にご参加ください

スパイ活動にはうんざりしていませんか?同意なく個人情報を収集されることに耐えかねていませんか?#digitalfreedom宣言の作成に協力することで、あなたの声を反映させてください。この宣言は、世界でデジタル・フリーダムを促進するために使用されるクラウドソーシングによる文書です。デジタル・フリーダムとプライバシーに関心がある方なら誰でも意見を寄せることができます。たった1行でもかまいません。この宣言は、クリエイティブコモンズのライセンスが付与されており、皆様の意見は6月30日まで募集しています。f-secure.com/digitalfreedomからご参加ください。

詳細情報http://safeandsavvy.f-secure.com/2014/06/04/why-edward-snowden-gives-me-hope/

Facebookとエフセキュアによる新たな提携で、マルウェアのクリーンアップをソーシャル化

Facebookは、高い評価を受けているエフセキュアのセキュリティソフトをFacebookユーザ向けの無料サービスとして採用します。

人々は、他のどのような通信手段よりも、ソーシャル・メディアを通じて情報をシェアしています。しかし、ソーシャル・メディアの個人用および企業用アカウントの悪用がしばしば大きなニュースとして取り上げられていることを考えると、これからは、新しい方法でユーザのデジタル・アイデンティティを守っていかなければならない時代です。エフセキュアとFacebookは、世界最大のソーシャル・ネットワークのユーザに安全なオンライン環境を提供するべく、提携関係を結びました。

Facebookは今後、エフセキュアのテクノロジを利用したWebブラウザベースのマルウェアスキャナを無料サービスとして提供する予定です。このサービスは、マルウェアへの感染が原因と思われる不審な活動により一時的にアカウントが停止しているFacebookユーザにご利用いただけるサービスです。コンピュータまたはデバイス上のマルウェアや意図に反する望ましくないソフトは、デバイスの正常なパフォーマンスを妨害したり、個人情報を盗んだり、システムにアクセスするなどの可能性があります。これらは、正規のユーザーアカウントから送信されているように見せかけた悪意あるリンクやスパムを投稿することにより、Facebookユーザやその友達のアカウントを悪用する場合があります。

Facebookでソフトウェア・エンジニアを務めるChetan Gowda氏は次のように述べています。「Facebookを安全にお使いいただけるようにすることは、私たちの仕事の中でも極めて重要です。エフセキュアのアンチウイルス技術の力が私たちの現行システムに加わって、マルウェアのブロックと駆除が実現できることを嬉しく思います。」

また、エフセキュアでプロダクトマネージャを務めるArto Saariは次のように語っています。「Facebookの全世界にわたる目覚ましい発展は、家族や友人との関わり方を大きく変えました。その人気を受け、今度はFacebookがオンライン犯罪の主たる標的となっています。エフセキュアは、Facebookのユーザ基盤がサイバー犯罪者に悪用されることを食い止めるべく、Facebookと提携できることを光栄に思います。」

エフセキュアのマルウェア・スキャンおよびクリーンアップ技術は、Facebookのユーザ・エクスペリエンスへと完全に統合されます。Facebookは、不審な活動をするアカウントを識別すると、クリーンアップ・プロセスにユーザをリダイレクトします。スキャンとクリーンアップは、Facebook内のWebブラウザウィンドウから直接実行できます。クリーンアップ完了後、ユーザはハッカーやスパイウェアに監視されることなく安全にFacebookアカウントへログインすることができます。以下にそのプロセスを示します。

•ユーザが感染したデバイスからログインしようとすると、マルウェア感染に関する通知画面が現れます。そこには、エフセキュアのスキャナの使用を推奨する旨が記載されています。スキャナは検出される脅威の種類に合ったものであるため、デバイスにアンチ・ウイルス・プログラムがすでにインストールされている場合でもこれを実行することが推奨されます。スキャナは最新のもので、実行を完了すると自動的に削除されるため、メンテナンスについて気にする必要はありません。

•ユーザは、マルウェア駆除プロセスをスキップするか、推奨スキャナをダウンロードするかを選択することが可能です。マルウェア駆除プロセスをスキップしたユーザには、後ほど再び実行を促す画面が表示されます。

•スキャナをダウンロードし実行しているユーザは、スキャン中もFacebookやその他のサービスを引き続き利用することが可能です。スキャン完了後、ユーザはFacebookで通知を受け取り、スキャン結果を確認することができます。

当社がフェイスブックとのパートナーシップから学んだ3つの教訓

 火曜日、Facebook Securityはマルウェアのクリーンアップを容易にするための新たな取り組みを発表した。そして、その取り組みに当社が参加することを非常にうれしく思っている。エフセキュアは、マルウェアのクリーンアップを行うベンダーとして現在パートナーとなっている2社のうちの1社だ。

 10億人超のユーザがいるフェイスブックは、脅威を検知するのにうってつけの極めて類を見ない有利な位置にいる。他ではほとんどできない規模で、パターンを確認できるのだ。非一般的なブラウザプラグインをインストールさせるスパムリンクを送り込むユーザアカウント…、そう、こうしたアカウントはマルウェアに影響を及ぼされているコンピュータから接続している。では、それについて何をすべきか?

 我々が参画したのはそこだ…。

 Facebookに焦点を合わせたマルウェアの症状を特定すると、Facebookはログイン中に以下のプロンプトを案内する。

Facebook, Your Computer Needs To Be Cleaned

 次に、ユーザに当社のOnline Scannerをダウンロードする選択肢を提示する。

Facebook, F-Secure Online Scanner

 ダウンロードと起動が完了すると、ユーザはFacebookへの投稿を続けることができるようになる。

 当社のスキャナはバックグラウンドで実行され、終了するとFacebookの通知を生成する。

Facebook, F-Secure Online Scanner: finished

 Facebookに焦点を合わせたマルウェアがスキャンを促すトリガーとなったとしても、当然ながら当社のスキャナは、存在するならさらに多くの脅威を検知する。もし困難なケースが発見された場合、Facebookは当社のUIを前面に移動する。

 このプロジェクトにおける、当社のサービスマネージャ「Chanki」は以下の見解を述べている。

 1 — 必ずしも悪意があるというわけではないが、デフォルトでクリーンだとは分類しがたいような、疑わしいインストーラが大量にある。正当な使用法もある、共通プラットフォームを活用するアイテムを複数インストールするようにインストーラが設定されている場合、良いものと悪いものを区別するのは課題となる。

 2 — 我々はまた、FirefoxおよびChrome上の悪意のあるブラウザ拡張の分類、検知、削除を扱う方法を考え出す必要がある。これらのブラウザ拡張は、Facebookのプラットフォームに対して非常に攻撃的な方向性を示している。その典型は、トルコ発祥のマルウェアKilimなどのファミリーだ。また、このブログで以前取り上げたことがあるFBSuperといった、それより以前の攻撃もある。攻撃対象はWin32 OSに留まらない。前述のブラウザに代表されるプラットフォームについても考慮に入れる必要がある。

 3 — 我々は、マルウェア作者にとってBitcoinがいまだに大きな動機付けになっていることも発見した。Bitcoinのマイナーを拡散、インストールするベクターとしてFacebookを活用している2つのマルウェアファミリー、NapolarおよびLecpetexを識別した。

 上出来だ、Chanki!

 当社のOnline Scannerを試したいなら、Facebookのプロンプトを表示する必要はない。ご自由にダウンロード、実行してほしい。USBのツールキットに加えよう。最新の検知のためにオンラインでのアクセスが必要だが、Webベースではない。複雑な脅威が発見された場合、仮想Linuxマシン内にリブートしてからWindowsへ戻る機能など、このスキャナには巧妙な機能がある。すばらしい。

F-Secure Online Scanner UI: Start

 最新のバージョンはいつでもf-secure.com/online-scannerで見つけ出せる。

AndroidマルウェアがFlash Playerの代金を請求

 Android用の偽の(悪意ある)Flash Playerアプリは何も目新しいものではない。非常に典型的な囮だ。

 しかし最近、計り知れないほど厚かましい「Flash Installer」に遭遇した。

 このインストーラなるものは、別のAndroidマルウェアによってドロップされ、以下のような見た目である。

So-called Flash Player installers
(SHA1: 1398b8369e16a632dae67f3382bc7bcea748749a)

 このアプリが開かれると、ユーザは5ドル支払うように促される。

Instant Download PayPal

 それで、支払ったとして何が得られるのか?adobe.comにあるAdobe Flash Player 11.1.115.81のダウンロード用のリンクだ。その通り。5ドル払うと、本物のソースへのダウンロードリンクを受け取るんだ。

 過去、最悪の、ぼったくりだ。

 他にもYouTube MP3のダウンローダや、Flappy Birdへのダウンロードリンクに対する支払いもある。

Flash, YouTube, Flappy Bird

 買い物をするときは用心を。

—————

Markoが分析を実施

Google Play上のHacker (for Facebook)

 Google Playで入手できる数々の「Facebookのパスワードハッキング」アプリについて、最近問い合わせを受けている。当社では「Hacker (for Facebook)」と称する物を調べてみることにした。

Hacker (for Facebook)

 しょっぱなから嘘がある。「In order to work properly, you should rate the app with 5 stars!(適切に動作させるには、本アプリに5つ星の評価を与える必要があります!)」

Hacker (for Facebook) Hacker (for Facebook)

 アプリケーションをうまく動作させる目的で評価をするって?ばかばかしい。

 そして以下は、表示される広告の一例だ。

Hacker (for Facebook) Hacker (for Facebook)

 偽アンチウィルスの詐欺だ。すてきだ。

 ところで、Facebookにログインするように促されたら、あなたはこのアプリを信用するだろうか?

Hacker (for Facebook)

 以下はアプリの説明だ。

 「Hacker (for Facebook)(旧名Facebook Hacker)とは、任意のFacebookユーザのアカウントとデータへ自動的にアクセスし得る理想的なアプリケーションです。もし特定のユーザのパスワードをハッキングしたいなら、本アプリはあなたにとって理想的なものです。犠牲者のユーザ名もしくはメールを入力するのみという簡単な方法で、当社システムがパスワードを破り、あなたに示します。本アプリは非常に洗練された高度なアルゴリズムを用いて、ユーザアカウントからデータを入手します。ミスする可能性は皆無です。」

 機能は次のとおり。

  •  Facebookのパスワードのハッキング
  •  非常に直感的なインターフェイス
  •  簡単かつシンプルに実行可能

 そして免責事項は以下だ。

 「このアプリは悪ふざけに過ぎません。Facebookアカウントを許可なくハッキングする実際のアプリは、いずれも違法となるでしょう。」

 あぁ。悪ふざけね。免責事項を追加すれば、(少なくともGoogle Play上では)全部オーケーになる。5つ星の評価の必要性や詐欺的な広告にまつわる嘘は?もちろん、いいじゃないか。このアプリは「悪ふざけ」に過ぎないんだ。

 Google Play Appsは新たなZangoだ。

Oslo Freedom ForumでMacのスパイウェアが見つかる

 Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。

 当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。

 このスパイウェアはAppleのDeveloper IDで署名されている。

Developer ID

 起動ポイントは以下だ。

Launch point

 スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。

Screenshot dump folder

 ファンクションは次のとおり。

Functions

 このサンプルにつながりのあるC&Cサーバは2つある。

DomainTools, securitytable.org
securitytable.org

DomainTools, docforum.info
docsforum.info

 片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。

docsforum.info
Forbidden

 当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード