エフセキュアブログ

投稿 を含む記事

トランプ政権のサイバーセキュリティ政策

2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)

簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハウスの予算管理の元に横断的に一本化するといったもので、また学校で教えるサイバーセキュリティについて国防省と国土安全保障省がレビューするという項目もあるようだ。

とはいえ、トランプ政権のサイバーセキュリティ担当として選ばれたのはその分野の経験があるとは思えないルドルフ・ジュリアーニ元ニューヨーク市長であり、また2月中旬にサンフランシスコで開催されたRSAコンファレンスにはトランプ政権からは誰も顔をだしていないなど、トランプ政権のサイバーセキュリティに対しての本気度を疑問視する声もある。

さらに2月19日にはトランプ氏のウェブサイトがイラクのハッカーにより侵入され書き換えられるなど、トランプ氏自身でサイバーセキュリティ問題を経験することになったようだ。

また、トランプ氏は以前から使っているAndroidスマートフォンを大統領就任後も手放さず毎日Twitter投稿に明け暮れているが、この電話機もいつハッキング攻撃の対象に狙われてもおかしくない。

もし実際に政府レベルでのサイバーセキュリティのインシデントが起きた場合にトランプ政権が対応できるのかについても厳しい見方がある。さらに、スノウデンによるNSAのサーベイランス・プログラムが多数暴露された際によく公聴会に呼び出されていたDirector of National Intelligenceだったジェームズ・クラッパー氏は1月末で任期が切れているのだ。しかし少なくともクラッパー氏はサイバーセキュリティ脅威を通常のテロリズムより重視していたので、そのような問題の理解者がいないまま大統領令を出したところで、現実的に何ができるのだろうか。

さらに現在のトランプ政権の動きは、サイバーセキュリティだけでなく各種プライバシー情報を含むパーソナルデータの保護にも大きな影響を与えると思われる。トランプ政権が選んだFCC(連邦通信委員会)の委員長アジット・ペイ氏はテレコム企業出身で、ネット中立性に反対を唱えてきた人物だからだ。それを後押しするように、3月22日、共和党が多数派を占める米議会上院は、たった数カ月前の2016年10月にオバマ前政権のもとで成立したブロードバンドのプライバシー保護規則を撤回する決議を、50対48で可決したのだ。これにより、ISPやモバイルインターネット通信事業者が、運営するネットワークを流れる利用者のデータを、利用者の同意なしにマーケティング企業などに売ることができるようになるのだ。これは、EUで成立したパーソナルデータ保護法制度の「EU General Data Protection Regulation」と、さらに2018年に同時に施行予定の「EU ePrivacy Regulation」とも対立しうるはずで、そのため2016年に成立したEUとアメリカの間でのパーソナルデータ移動を認める合意である「EU US Privacy Shield」合意が反故になる可能性があると思われる。



実際のところ、トランプ政権のホワイトハウスは日に日に混迷状況をあらわにしているように見える。

当初の政権人事として国家安全保障担当大統領補佐官に選ばれたマイケル・フリン氏は、就任前に駐米ロシア大使と対ロシア制裁措置について協議した件が明るみに出たため、早くも辞任した。じつはドナルド・トランプ氏は大統領選挙前から、ロシアの犯罪組織のボスから工面してもらった金で破産を免れたといった話題が流れるなど、ロシアとの関係に疑惑が持たれている。

また選挙中からトランプ候補の戦略を担当していたスティーブン・バノン氏が大統領主席戦略官として政権参加した上、さらにトランブ氏により国家安全保障会議(NSC)へのメンバーとして選ばれたことが発表されると大きな波紋を呼んだ。バノン氏はトランプ氏の選挙戦略を担当する以前は、Alt Rightと呼ばれる新興右翼勢力のメディア「Breitbart」ニュースの元会長で白人至上主義や排外主義のヘイト記事を多数執筆していた人物であり、政府機能の経験はまったく持っていない。そして一部ではトランプ政権を裏ですべて操っているのはバノン氏であるとすら噂されている。

さらにこの選択では、今までの政権では国家安全保障会議に通常参加していたインテリジェンス機関の代表になるDirector of National Intelligence担当者と、軍の代表になるJoint Chief of Staff担当者を外した上で、トランプ氏はバノン氏を選んだ。インテリジェンス機関代表と軍の代表の参加しない国家安全保障会議は前代未聞といえるし、実際それで有事に際して何か有効な決定を行えるのかはまるで疑問だ。マイケル・マレン元統合参謀本部議長などもこのバノン氏の採用を激しく非難した。

またトランプ政権に失望したという声は、就任後すぐにCIAなどのインテリジェンス機関からも聞こえてきた。

そしてついに2月24日には、ホワイトハウス内部の報道官室での記者会見からCNN、BBC、AFP、New York Times、Los Angeles Timesなどの主要メディアを締め出すなど、トランプ政権はおよそ独裁政権しか行わないような行動に出た。

そしてトランプ氏が公の場での演説やTwitterへの投稿で繰り返す、感情のアップダウンの激しい見境のない不適切な言動は問題となりつつある。大統領に職務遂行能力がない場合の手続きを定めた合衆国憲法修正第25条第4項を使って政権内クーデターを起こしてトランプ氏を追い出し、元副大統領のマイク・ペンス氏が大統領代理を執務するという憶測すら既にでている。

アメリカメディア調査での3月のトランプ大統領の支持率は新たな最低レベルの更新で36%と言われ、現在のところは当面トランプ政権の行方は予測しても不透明なままとしか思えない。

QARALLAX RAT:米国ビザ申請者を偵察

最近、スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。@hkashfi (英文)というTwitterユーザーが投稿したツイートによると、友人のもとへ米国ビザ申請サイト(USTRAVELDOCS.COM)の職員を名乗る人物から「US Travel Docs Information.jar」というファイルが送られてきたのだという。その人物のSkypeアカウントはustravelidocs-switzerlandだったということだが、ここで「travel」と「docs」との間に「i」が入っていることに注目してほしい。
 
Find the differences between the legitimate versus the impostor.
本物と偽物の違いを見分ける
 

さよならFLASH!第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

FirefoxのFlashサポート縮小について記事を投稿したところ、Edgeブラウザに関する4月のMicrosoftの発表について指摘するコメントがいくつか寄せられた。これは、Edgeブラウザも「Click To Flash(クリックしてFlashを再生)」方式に変更されるというものだ。発表によれば、ウェブページの中心に配置されていないFlashプラグインは自動的に一時停止されるようになり、ゲームや動画などのコンテンツはこれまで通りに実行されるという。そうしたEdgeの変更はWindows 10のアニバーサリーアップデートで提供される。

もちろん、4月の時点でこのニュースには注目していたし、MicrosoftおよびEdgeチームの英断に対しては賛辞を送りたいと思っていた。

ms-edge-logo
 Microsoft Edgeのロゴ(画像の出典元: microsoft.com)

全文はBusiness Security Insider 日本語版で。 

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

AV-Comparativesによる現実世界のテスト結果

 AV-Comparativesは月次で「Whole Product Dynamic Real-World Protection」というテストを実施している。この組織は、2016年4月を対象とした3回目のテスト結果を今しがた公表した。そして今年これまでのところ、当社製品はよくやっており、非常に喜ばしく思っている。

AV Comparatives April Real-World test results
AV Comparativesの4月の「Whole Product Dynamic Real-World Protection」テストの結果

 AV-Comparativesの人たちは極めて網羅的なテストを実施している。現実世界の脅威に対し、セキュリティ製品がどれほど機能するかをきっちりと確かめるべく、実際に侵害されたサイトを求めてインターネットを調査して回るのだ。大抵の場合、侵害されたサイトは発見されると速やかに削除されることを考えると、これはきつい仕事だ。今回の最新のテストでは、彼らはWindows 7 SP1と、完全に更新した最新版のサードパーティ製のソフトウェア群をシステムに導入した。完全にパッチを当てられたソフトウェアを侵害し得る悪意あるサイトを見つけるのは大変だ。我々は彼らの勤勉さを称賛する。

 AV-Comparativesの今年のこのテスト全般において、当社は投げつけられた脅威を100%ブロックした(3回連続でブロックした、わずか2社のうちの1社だ!#hattrick)。しかしながら、わずかな誤検知に苦しめられた。これは主に、当社製品はサンプルの普及に基づいて決定を行うロジックを使用しているという事実による。テスト対象のサンプルの1つを目撃したことのある顧客がいなかったり、あるいは非常に少なかったりした場合には、サンプルの特異性に基づいてこれをブロックする可能性がある。当社の顧客がいまだ遭遇したことがないクリーンなサンプルを見つけたときに、Andreas Clementiと(彼らのクレジットによれば)彼のチームは、非常に狡猾なのだ。それが当該テストにおいて、当社がしばしば過検知してしまう理由である。しかし、それについて我々は大きなストレスを感じているわけではない。サンプルはいずれも重要なシステムファイルではなく、また当社製品に特別なロジックを組み込んでおり、システムやソフトウェアを破壊しかねないファイル群を決して誤検知と判定しないようにしている。結局我々にとっては、潜在的なちょっとした問題をすべて回避するよりも、出会う脅威をすべてブロックするほうが重要なのだ。

 しかし我々はそのロジックに基礎を置くわけではない。過去の投稿を思い出して頂きたい。我々は正規のファイルの収集および分析の自動化を改善する開発プロセスの途上にある。クリーンなサンプルを追い詰めたときには、Clementiと彼のチームを出し抜きたいと考えている。

 Andreasや、AV-Comparativesのすべてのスタッフに対し、彼らの行っている大変な仕事に謝意を示したい。彼らのテストは当業界には重要だ。そしてこうしたテストが我々にとって、顧客をどれだけ保護しているかについて、計り知れないほど貴重な測定結果となる。

Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増

 アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。

 ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。

Magnitude EK 2016.04.07

 Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。

MagnitudeEK_Salama.H_20160407

 1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。

MagnitudeReferers_AdPlatforms_20160407.PNG

 さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。

MagnitudeReferers_AdultSites_20160407.PNG

 Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。

 このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。

 当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。

  • Exploit:JS/MagnitudeEK.G
  • Exploit:SWF/Salama.H
  • Trojan:W32/CryptoRansom.A!DeepGuard

 当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

PUAが使う広告配信プラットフォームがMagnitudeエクスプロイトキットをも配信

 先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。

 さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。

Magnitude EK Hits 2016.03.04

Magnitude URLs

 我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。

www.terraclicks.com 
bestadbid.com
onclickads.net
popped.biz
click2.danarimedia.com
onclickads.net
ads.adamoads.com

 その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。

conduit_properties

conduit_strings_text

 同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。

magnitudeek_redirection_20160304

 これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。

cryptowall

SHA1: b9bf3131acae056144b070c21ed45623ce979eb3

 当社のユーザはこれらの脅威から保護されており、以下のように検知する。

  • Exploit:JS/MagnitudeEK.A
  • Exploit:SWF/Salama.H
  • Trojan:W32/Crowti.A!DeepGuard
  • Application:W32/Conduit.B

急速に広まるCrash Safari…しかしAndroidではないのはなぜ?

 1月25日、crashsafari.comというWebサイトへのGoogleのショートリンクが、何者かにより作成された。当該サイトはiOSのSafariをクラッシュさせるループを作り、一部のデバイスではリブートを引き起こす。

 (訳注:「私のiPod touchがクラッシュしたところ」という意味)

 このサイトはまた、他のいくつかのブラウザを停止させたり、クラッシュを引き起こす。詳細についてはWired誌を参照のこと。

 しかし、私は奇妙な点を発見したのだ…。

 以下は、Googleのショートリンク「/78uQHK」を用いたツイートの例だ。

Crash Safari Tweets

 私には「クロスプラットフォーム」に見える。決して、AndroidオーナーよりiPhoneオーナーのほうを数多くそそのかしているわけではない。また同一のgoo.gleリンクを使っているFacebookの投稿を見つけたが、これらの大半についても、同じことが当てはまる。

 つまり、(これまでに)50万回近くリンクがクリックされたが、Androidデバイスに由来するのはその中のわずか12.5%のみというのは、何だかおかしい。

 おそらくAndroidの「スマート」フォン市場におけるシェアは、言われているほど席巻してはいないのでは?(私の家族には、フィーチャーフォンのように使っている者がいる)

 あなたはどう見る?

 @5ean5ullivan

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

信頼できるインターネット:監視ソフトウェア企業からスパイウェアを買う人を誰が統制するのか?

 秘密が暴露されるのは、ハッカーがハッキングされたときだ。イタリアを拠点とする監視技術の企業Hacking Team社が、7月5日にハッキングされた。ハッカーたちは内部資料、ソースコード、メールを含む400GBのtorrentファイルを一般に公開した。これには顧客のリストも60件近く含まれている。

 同社は圧政国家との取引を公式には否定しているが、このリストにはスーダン、カザフスタン、サウジアラビアといった国家も載っている。また漏えいした資料からは、東南アジア地域のシンガポール、タイ、マレーシアの政府当局が、RCS(Remote Control System)いう名前の最先端のスパイウェアを購入していたことが強く示唆された。

 Citizen Lab(訳注:カナダ、トロント大学内の研究所)の研究者によると、このスパイウェアは並外れて深く侵入する。モバイル端末上のマイクやカメラを起動し、Skypeやインスタントメッセージを傍受し、収集した情報からC&Cサーバへと追跡されるのを回避するために、プロキシサーバによる匿名化ネットワークを使用するのだ。

 Pastebinに投稿された顧客リストの画像に基づくと、このソフトウェアはマレーシアではマレーシア汚職防止委員会、MI(Malaysia Intelligence)、首相官邸で購入された。

hacking_team_client_list (86k image)

 medium.comに投稿された、漏えいした請求書の追加画像では、このスパイウェアがMiliserv Technologies (M) Sdb Bhdという社名の、現地のマレーシア企業(マレーシア財務省に登録)を通じて販売されたことが示されている。同社はデジタルフォレンジック、インテリジェントな収集、公安サービスの提供に特化している。

hacking_team_hack_1 (95k image)

hacking_team_hack_2 (72k image)

 首相官邸が監視ソフトウェアを必要とする理由は、謎のままだ。よく聞いてほしい。プロ仕様のスパイウェアは安くはない。ライセンスのアップグレードには40万マレーシア・リンギット(約1,300万円)かかるし、保守の更新には約16万マレーシア・リンギット(約500万円)を要する。

 マレーシアの非主流派のメディアによるこの事件の報道によれば、2013年の総選挙へ向けて(検出数が)急増する中でマルウェアFinFisherが検知されたが、マレーシアの政府機関はおそらくこの発見の前から当該スパイウェアを使っていたということだ。

 偶然にも、マレーシアは年次のISS World Asiaという見本市の開催地に頻繁になっている。ここでは、法執行機関や、通信会社、政府の担当者に対して、企業が「合法的な」監視ソフトウェアという武器をプロモーションしている。2014年の同イベントにHacking Team社は参加しており、共同で最大のスポンサーとなっていた。

 MiliServ Technologiesは現在のところ、クアラルンプールで次に開催される2015 ISS World Asiaに関与している。同イベントに参加するには招待が必要だ。Hacking Team社が今年も参加しているかを確認したいかもしれないが。


Post by – Su Gim

Facebookでターゲティング広告が表示されないようにするための3つの方法

エドワード・スノーデン氏による暴露が始まる前、オンラインプライバシーに関する議論のほとんどは、Facebookを中心としたものでした。

規制当局ユーザは、世界最大のソーシャルネットワークであるFacebookがユーザの個人データをどの程度尊重しているか疑わしいとしてたびたび不満を表明していました。しかし、Facebookの登録者数がその後も増加を続け、政府による驚くほど大規模な監視の実態が明らかになるにつれて、私たちが自分の意志で共有している情報について不満を述べることは、比較的優先度の低い事項となりました。

その間にFacebookは、Twitterがまだ実現できずに苦慮していることを成し遂げました。

成長を続けるとともに収益を上げる方法を見出したのです。同社はこれを「マーケティング史上最大の『おとり手法』」によって達成した、とニューヨーク大学でマーケティングを教えるスコット・ギャロウェイ教授は述べています。その結果、世界有数のブランドを抱える企業の多くが、大規模なコミュニティを構築した上で、突如としてコミュニティへのアクセスを遮断する、という手法を有効と考えるようになりました。現在、平均的なブランドの投稿は、プロモーションのための料金を支払わない限り、ページをフォローしているユーザのわずか6%にしか自然な形でリーチしていません。

Facebookはこの方法をとることで、ユーザエクスペリエンスを向上させました。平均的なユーザが数百のブランドをフォローしていれば、そのユーザのフィードはすぐにも宣伝目的の投稿であふれんばかりになってしまいます。同時にこの方法は、サイトとユーザがより密接に関わることにもつながり、ユーザが広告主にとってよりいっそう望ましい、かつ錯覚を起こさせる商品となる結果ももたらしています。そうです、無料で何かを得ようとすれば、自分自身が商品になるということです。そしてユーザを売るために、Facebookはできる限り多くの情報、ユーザがサイト上で自分の意志で共有するよりも多くの情報を得ることが必要になります。

ですから、当然ながら、Facebookはウェブ上でのユーザの行動を追跡しますFacebookを利用していない人までも追跡の対象となり得ます。そして追跡される情報の種類も多岐にわたり、作成されるユーザのプロフィールがユーザのクレジットスコアにまで影響を及ぼすおそれもありますFacebookのリターゲティング広告がどの程度まで進んでいるかは、自分のニュースフィードで2番目に表示される投稿を見てみるとわかります。その投稿は多くの場合、自分が最近アクセスしたサイトまたはそのサイトの競合他社からの広告です。

この手法が功を奏しているため、Facebook傘下となり今後さらにマーケターにとって使いやすい広告を展開していくと発表したInstagramでも、ほぼ同じ手法が使用されるようになるものと思っていいでしょう。

我々はこの状況に甘んじる、なぜならプライバシーよりも関連性の方が我々にとって重要だからだ、とギャロウェイ教授は述べています。私たちは、自分の友人や家族について、他からは得られないような関連性の高い最新情報が欲しいと考え、世の中の人々が話題にしていることを知りたいと考え、好きなアーティストや企業からよい商品をお得に手に入れたいと考えます。そのために、自分のデータを引き換えにするのです。それは必要なコストであり、そのことを認める代わりに、私たちは自分の子どもほども大切なものを引き渡す要件が含まれている可能性さえある利用規約に「同意する」ボタンをクリックしてしまうのです。

しかし、自分の領域を守り、自分のアクティビティが不利に利用されないようにするために、ユーザにできることがいくつかあります。

1. Facebookで広告が表示されないよう設定する
Facebookは、自ら進んでユーザをサイトから離れさせるようなことはしません。広告表示を希望しない場合はユーザの方でそのように設定します。その広告が他の多くのユーザのために役立つことにもつながるでしょう。エフセキュアラボの何人かがこの方法を試し、サードパーティからの広告がはるかに少なくなったとの報告が寄せられています。試してみてください。

Facebookでページの右側に表示される広告の右上にある「X」をクリックすると、次のような選択肢が表示されます。



「Why am I seeing this?(このメッセージが表示される理由)」をクリックします。
すると次のような画面が表示されます。



「Manage Your Ad Preferences(広告設定の変更)」を選択します。

カテゴリをクリックし、各トピックの右端に表示される「X」ボタンを選択してトピックを削除していきます。

その後、次に広告が表示されたときには、右上の「X」をクリックして「I don’t want to see this(非表示にする)」を選択します。

2. ターゲティング広告をオプトアウトする

Facebookの広告をすべてオフにすることはできませんが、ターゲティング広告が表示されないようにすることはできます。

「If you don’t want Facebook or other participating companies to collect or use information based on your activity on websites, devices, or apps off Facebook for the purpose of showing you ads, you can opt out…(Facebookやその他の提携企業が広告を表示する目的で、あなたがFacebook外のウェブサイト、デバイス、アプリで行ったアクティビティに基づく情報を収集したり、利用したりすることを望まない場合…)」、ただしこの設定を変更するには別のサイトに移動する必要があります。

米国:Digital Advertising Alliance

カナダ:Digital Advertising Alliance of Canada

欧州:European Digital Advertising Alliance

モバイルブラウザでも同じ作業が必要です。

3. Facebookでモバイルアプリデータが追跡されないようにする

iPhone
1. 「Settings(設定)」に移動します。
2. 「Privacy(プライバシー)」に移動します。
3. 「Advertising(広告)」に移動します(もちろん一番下にあります)。
4. 「Limit Ad Tracking(追跡型広告を制限)」をオンにします。

Android
1. 「Settings(設定)」に移動します。
2. 「Accounts(アカウント)」に移動します。
3. 「Google」を選択します。
4. 「Ads(広告)」を選択します。
5. 「Opt out of interest-based ads(インタレストベース広告をオプトアウト)」をタップします。

ここで残念なお知らせがあります。

「ただし、これらの後者のオプションを選択しても、Facebookが完全にユーザの携帯端末でのアクティビティの追跡をやめるわけではない。どういうことだろうか」と、ウォール・ストリート・ジャーナルのジェフリー・A・ファウラー氏は述べています。「Facebookは、広告がユーザに特定のゲームをプレーさせるなどの効果をどの程度発揮しているかを判断するため、その後もビジネスパートナーのアプリからデータを取得できる、と述べている」

おまけ:

Facebookの広告に自分の名前や写真が載らないようにする


そうです、Facebookでは、ユーザがオプトアウトしない限り、自分の名前や画像がそのユーザの友達に表示される広告に使用されることがあるのです。

その方法は以下のとおりです。

1.右上の錠前のアイコンをクリックします。
2.「More Settings(その他の設定)」をクリックします。
3. 左側のメニューにある「Ads(広告)」をクリックします。
4. 「Ads and Friends(広告と友達)」の欄にある「Edit(編集)」をクリックします。
5. 「Pair my social actions with ads for(自分に関するソーシャルコンテンツの公開範囲)」を「No one(非公開)」に設定します。


>>原文へのリンク

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

JVNVU#92002857とGoogle不正証明書事案のメモ

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメイン の管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。
とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC(中国インターネット情報センター)により発行されている、とのこと。この辺りは、GREATFIRE.orgars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

langley tweet

前者は認証局、後者は証明書(一部、中間認証局?)の問題の情報となります。
特に後者のような通信傍受目的(?)と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。


メッセージ:同意事項

 これを読んでほしい。「Privacy is non-negotiable: We have the right to cover our arse — or expose it(プライバシーは譲れない。お尻を隠すか、出すかは自分の権利)」だ。

 ローラが投稿した。ローラが同僚であることを非常に誇りに思う。

なかなか減らない Exif Webshell Backdoor

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
#下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

Exif情報

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境(Apache / MySQL / PHP)上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。(少なくとも、上図のものは・・・)

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

EXIF Webshell Tutorial

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、
find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +
などするとCamera Maker Nameの値を修正することができます。(少々、乱暴ですが。)
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
#上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考:
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

あなたは誰を信じるか?

 我々が動画を投稿するとき、通常なら皆さんがよくご存じの人物が映っている(ミッコ)。しかし本日は…、皆さんはご存じないかもしれない人の動画を投稿したい。彼は(当研究所の中で)我々のことを称賛している。我々のほうも彼について同じ気持ちだ。

 誰のことか?当社のCEO、Christian Fredriksonだ。

 エフセキュアに来た最初の日から、彼は最後に退船する(あるいは救助を試みて死んでしまう)人物のように目されてきた。


Christian Fredrikson
Trusted cloud services a key for European success(ヨーロッパの成功には信頼のおけるクラウドサービスが鍵となる)

 我々の観点からすると、彼もまた、あなたがエフセキュアに信頼を寄せることのできる別の好例である。

いつのまに上陸!?日本市場にもリーガルマルウェア企業

以前、リーガルマルウェアに関する記事を投稿させて頂きました。
その後、様々な調査をしましたが、リーク情報以外にこれといった収穫はありませんでした。

そんな中、とある日本国内のセキュリティイベントへ参加していた際に、見覚えのあるロゴが視界に入りました。
なんと、堂々と日本の関連機関へセールスに来ているではないですか!
中々このような機会はありませんので、早速日本式の挨拶をしまして、関係資料を頂きました。

HackingTeamパンフレット

複数のツールやサービスの紹介資料が同封されていましたが、中でも「Correlation & Data Intelligence」に関する資料は、
・コミュニケーションパターン
・行動パターン
・ターゲットに関する地理情報
・隠れた関係者の検出
・共通のコンタクトポイントの洗い出し
など、なかなか興味深いサービスが提供されていました。
(残念ながら、詳細な情報は記載されていませんでした。)

現在、日本市場はサイバー軍需産業だけで無く、政府向けソリューションベンダー等からも注目されています。
サイバー関連、通信傍受等の法改正が進む日本は、海外からは魅力的な市場に映るのかもしれません。
これらのツールは一般には犯罪捜査等に利用することを想定しています。(と、信じています。)
ただし、使用方法を誤りますと、これらの類のツールやサービスの利用は、私たち国民生活に対して様々な影響を及ぼす可能性があることは想像に難くありません。(様々な意見があると思いますが・・・)
そういった意味では、これらの市場の動向は今後も注目しておく必要がありそうです。


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード