エフセキュアブログ

統計 を含む記事

IC3のインターネット犯罪レポート

 IC3(the Internet Crime Complaint Center、米国インターネット犯罪苦情センター)の「2015 Internet Crime Report」を通読するのに、1日のある時間を費やしたが…、数値に目を見張る。2015年にIC3が受理した苦情は288,012件で、10億ドル超の損失があったと報告されている。

IC3 2015 Crime Types

 ホットな話題は?BEC(Business Email Compromise)、EAC(Email Account Compromise)、ランサムウェアだ。

 明るい話題(もしあるとすれば)としては、人口統計によればインターネット上の犯罪では格段の性差別や年齢差別があるようには見えないことだ。

IC3 2015 Complainant Demographics

 誰の金であろうと構わないのだ。

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

Hacking Team社のFlashのゼロデイが複数のエクスプロイトキットとともに押し寄せる

 Hacking Team社の侵害があってから、7月5日になって間もなく大量の情報が一般に暴露された。特記すべきは、同社の顧客情報と、同社が使用してきたAdobe Flash Playerのゼロデイ脆弱性だ。

 最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。

 当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。

overall_stats (11k image)


 以下は、エクスプロイトキットごとの統計だ。

ek_stats (27k image)


 CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。

 しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。

weekend_wave_stats (22k image)


 見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。

 Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。

 Anglerで検知されるURLのパターンに異なるものがあることを発見したのち、当社にてこの点を検証した。

angler_vs_hanjuan_urlpattern (9k image)


 当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。

AnglerのFlashエクスプロイト:

anglerek_ht0d_3 (26k image)


HanJuanのFlashエクスプロイト:

hanjuanek_ht0d_3 (23k image)


 この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。

 ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。

Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A


エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

デルのSystem Detectにリモートコード実行の危険性

 つい先日、ジャーナリストのJohn Leydenが我々に連絡を寄せ、Tom Forbesによる脆弱性の調査について我々の意見を求めてきた。Forbesの調査は、デルの「System Detect」ユーティリティがリモートコードの実行を許してしまう欠陥に焦点を合わせたものだ。同氏は昨年11月に調査結果を発表しており、デルは1月に(先週にも再び)この問題を改善した。

 しかしながら当社の見立てでは、重要な問題が残っている。

 このソフトウェアの以前のバージョンでは自己更新を行わないため、多数の脆弱なコンピュータが世の中に残存したままなのだ。時間と共に、当社の顧客達がさまざまなバージョンのSystem Detectを何十万回もスキャンしてきている。非常に普及しているソフトウェアなのだ。ここ2週間の当社の顧客を基にした統計だけでも、おおよそ10万人の顧客がSystem Detectについてレピュテーションチェックの問い合わせを行っていることが見て取れる。現在のところ、最新版を実行しているのは当社の顧客の約1%だけだ(バージョン6.0.14。以下のグラフの赤で示される部分)。

Dell System Detect, F-Secure customer install-base

 System Detectの古いバージョンでは、サービスを自動的に開始する実行キーをレジストリに作成する。つまり、デルのサポートサイトを訪れるとき以外は不要なソフトウェアなのに、継続的に脆弱なバージョンが動作し続けていることになる。なお、最新版の6.0.14では実行キーを作成しない。

 以前のバージョンのSystem Detectを侵害するのは、非常に容易だ。必要なのは、「dell」という文字列を含むドメイン名のURLにターゲットが訪れることだけだ。それがURLのどの部分になるかの正確なところは、ソフトウェアのバージョンによって異なる。

 我々はForbeの調査結果と、System Detectの3つのバージョンを実行した当社自身のブラックボックステストの結果を用いて、ネットワークトラフィックを観察し、また同じトラフィックを少し変更して再生した。そして、古いバージョンのSystem Detectを使って、標的のマシンでcalc.exeを起動できることを確認した(つまり、リモートコード実行だ)。

Dell System Detect 5.4.0.4

 バージョン5.4.0.4については、refererフィールドのURLのドメイン部分に「dell.com」が含まれていなければならないが、「www.notreallydell.com」も許容するので、脆弱性のレベルが非常に高い。

notreallydell.com

 バージョン6.0.9は、Forbesがデルに問題を報告した後にリリースされた。このバージョンでは、ドメインに「.dell.」が含まれる必要がある。これもまた「a.dell.fakesite.ownedbythebadguys.com」を受け入れるので、Webベースの攻撃に対しては同じレベルで脆弱である。

 現行のバージョンの6.0.14ではドメインが「*.dell.com」であることが求められる。これにより、特に自動起動の回避と組み合わせれば、問題にだいたい対処していることになる。インストールしなければならないバージョンがあるとすれば、これがそうだ。

 もちろん古いバージョンは可能な限り迅速にアンインストールすべきだ。

support.dell.com

 HTTPSが有効なダウンロード用のリンクは、ここである。

 当社では、顧客を保護するために必要になるであろう、さらなる問題点や活動を調査し続けていく。

手の届くところにぶらさがっている果実:Flash Player

 現在、Flash Playerバージョン16.0.0.296が公開されている

Flash Player Versions

 インストール済みのバージョンは、WindowsではFlashの設定マネージャーのアプレットで確認できる。

Settings Manager, Flash Player 16.0.0.296

 Adobe Security Bulletin APSA15-01によると、自動更新を有効にしているユーザの場合、1月24日から更新を受け取ることになる。手動でダウンロードする場合には、数日待つ必要がある。

Adobe Bulletin CVE-2015-0311

 手動でのダウンロードが遅れる理由については定かではないが、理由はどうあれ、自動更新を行うことを推奨する。

 それだけでなく、まだある。現時点では「クリックして再生」オプションを有効にすることを推奨する。以下はFirefoxの例で、「実行時に確認する(Ask to Activate)」に設定されている。

Firefox, Flash, Ask to Activate

 Google Chromeにも「詳細設定を表示(Show advanced settings)」の中にオプションがある。

 なぜ「クリックして再生」を推奨するのかって?Flash Playerは現在のところ、エクスプロイトキ 先週からの統計情報を以下に挙げる。Flash Playerのゼロデイの脆弱性を狙うAnglerがエクスプロイトキット市場を牽引していることが、ここから見て取れる。

 フィンランド:

Exploit Kits, January 2015 FI

 ドイツ:

Exploit Kits, January 2015 DE

 イギリス:

Exploit Kits, January 2015 UK

 そして他の地域でも、Anglerが第1位だ。

 なので、Flash Playerをアップデートし、自動更新するように設定し、「クリックして再生」を有効にするといい。

お気に入りのアプリの格付けは?

 火曜日、Forbes誌のParmy OlsonPrivacyGradeについての短い記事を発表した。PrivacyGradeとは何か?

 以下、PrivacyGradeのFAQより。

 PrivacyGrade.orgは、数多くのスマートフォンアプリの振る舞いへの注意を喚起する一助となることを目標としている。こうしたアプリは人々のプライバシーに影響を与え得る。PrivacyGradeはアプリのプライバシー関連の振る舞いについて詳細な情報を提供している。こうした振る舞いについて、A+(プライバシーをもっとも意識している)からD(プライバシーをもっとも意識していない)の範囲の格付けという形式に要約している。

 以下は当社のApp Permissionsについての格付けだ。

PrivacyGrade, F-Secure App Permissions A+

 アプリに格付けを与えることは、非常に主観的なものになり得る。

 たとえば一部の人にとっては、ソーシャルネットワークの統合のほうが、広告ネットワークとロケーションのパーミッションよりも懸念するものとなり得る。しかし、あなた個人の基準がどうであれ、PrivacyGradeの方は非常に興味深い統計情報を集めている。

  •  Most Popular Permissions
  •  Third Party Libraries

2014年上半期脅威レポート

 当社の最新の脅威レポートが現在公開された。

H1 2014 at a glance

 このレポートには、2014年の上半期(第1四半期および第2四半期)の統計情報、インシデントカレンダー、脅威の展望のサマリーが掲載されている。

 ダウンロード:2014年上半期脅威レポート(PDF)

 付加的なケーススタディ:ホワイトペーパー

ランサムウェア・レース(パート4):アダルトコンテンツ、Browlockの持続力

 当社では最近ランサムウェアファミリーの隆盛に目を光らせている。CryptoWall、CTB-LockerSynolockerについてのこれまでの記事にあるように、悪い奴らがこの種のマルウェアファミリーを絶えず開発中であることは歴然としている。これらのファミリーに加えて、ややシンプルなタイプのランサムウェアBrowlockも観察している。ただし、Browlockはかなり活動的で、最初に遭遇した2013年から非常に活発である。

 他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。

 以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。

HitCount2 (51k image)


 当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。

referer (63k image)


 Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。


 •   http:// alert. policecoin. info/ FI/cls.php
 •   http:// alert. porschepolice. net/ FI/cls.php
 •   http:// alert. xraypolice. com/ FI/cls.php

 •   http:// alert-police. barbrastreisandagent. com/
 •   http:// alert-police. estateagentsolutions. net/

 •   http:// attention.starpolice. biz/FI/cls.php
 •   http:// attention.starpolice. co/FI/cls.php

 •   http:// police. grantscards. com/
 •   http:// police. redunderground. com/

 •   http:// security-scan-nuqbqakx. in/
 •   http:// security-scan-jdytiujg. in/

 •   http:// system-check-abevbrye. in/
 •   http:// system-check-ipxmjdry. in/

 •   http:// security-akechksv-check. in/

 •   http:// security-zxqkcohl-chk. in/

 •   http:// law-enforcement-tqvrlbqb. in/
 •   http:// law-enforcement-icgkjyrr. in/

 6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。

IPtable3 (62k image)


 以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。

ip_graph2 (92k image)


 また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。

top5countries (8k image)


 この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。

Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

むやみにリンクをクリックするBelieberは何人?

 3月8日、ジャスティン・ビーバーのTwitterアカウントのアクセス権を持つ人物がハックされた。そして短い時間、攻撃者はビーバーとして発言できた。これについて取り立てて述べることはないのだが、ツイートにbit.lyへのリンクが含まれ、興味深い統計情報がいくつか提示されたという事実は例外だ。

 何人のBelieber(訳注:ジャスティンのファンを指す)がbit.lyのリンクをクリックしただろうか?

Clicks

 全部で70,381人だ。

 そして、どの地域でクリックされたのか?

Location

 24,000回近くはアメリカだ(フィンランドの真のBelieberは、見たところ348人のようだ)。

Map

 フォロワー数5,000万に対し、7万回のクリック。全般的にそんなに大きな割合ではない。しかしそれでも、当該アカウントがわずか15分しか侵害されていなかったことを考えると、スパマーにとっては悪い結果ではない。

 統計については、(今のところ)
bitly.com/1ezBYiQ+にて自分で確認できる。

世界各地でランサムウェアが蔓延

警察を装ったランサムウェアが世界の多くの国で問題になっています。ポリス・ランサムウェアはマルウェアの一種で、インターネットの利用者にコンピュータが警察当局によってロックされたと思い込ませ、人々の恐怖心につけ込んで金銭を詐取します。

ポリス・ランサムウェアという名前の由来は、感染したコンピュータの画面上に表示される「ロック」画面にあります。ロック画面には警察を名乗るメッセージが表示され、コンピュータが不法な行為に関与したと主張します。さらにロックを解除するために必要だとして、「罰金」の支払いを要求してきます。しかし、罰金を支払ってもロックは解除されません。したがって金銭を支払ってはいけません。

ランサムウェアがローカライズされている国の数を見れば、それが世界的な問題であることは明らかです。あるバージョンのポリス・ランサムウェアは、40カ国以上に向けてローカライズされており、そのロック画面には対象国の言語と、その国の警察当局のシンボルが表示されるようになっています。また、ある一つの犯罪グループが、世界中で500万台以上のコンピュータをランサムウェアの標的にしたと見られる事例もあります。
エフセキュアセキュリティラボの統計によれば、ポリス・ランサムウェアは最初ドイツに出現し、その後西ヨーロッパのほぼ全ての国、スカンジナビア諸国、米国、カナダ、オーストラリアに広がりました。犯罪者たちはさらにメキシコ、アルゼンチン、ボリビア、エクアドルをはじめとした中南米諸国にも手を伸ばしているほか、今では北アフリカや中東の国々も標的となっています。




エフセキュアはフィンランドの警察当局、およびCERT-FIと共同で、ランサムウェアについて簡単に説明するための専門サイトを構築しました。このサイトはランサムウェアに感染した場合、それを駆除するためにも役立ちます。サイトへは http://www.ransomware.fi/index-en.html (英語)にアクセスしてください。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

マルウェアの地理

 昨日、Googleは同社のOnline Security Blogにて、透明性レポートの中にセーフ ブラウジングという統計を盛り込んだと発表した。

 セーフ ブラウジングのMalware Dashboard(不正なソフトウェア ダッシュボード)には興味が尽きない。

 以下は先週の、自律システム別の不正なソフトウェアの分布だ。「Attack Sites(攻撃サイト)」によるフィルタのみ使った。



 この攻撃サイトがある自律システム(AS、Autonomous System)の場所は?

  •  米国
  •  ロシア
  •  ウクライナ

 ふむふむ、米国(サンディエゴ)が最上位か。

 では次に、1年間のものを見てみよう。



 そして場所は?

  •  トランスニストリア
  •  ルーマニア
  •  ラトビア

 Specialist Ltdの所在地がトランスニストリアだって?

 それについて検索すると、Dynamoo's Blogから結論が得られた。



 「Transnistria, a breakaway part of the former Soviet Republic of Moldavia. No UN members recognise Transnistria, and effectively it sits beyond the reach of international law enforcement.(トランスニストリアは旧モルダビア・ソビエト社会主義共和国から分離した地域だ。国連加盟各国はトランスニストリアを承認しておらず、事実上、国際法が及ぶ範囲の外に置かれている)」

 マルウェアの地理については、常に新たに学ぶものがある。

 Telegraph.co.ukの写真ギャラリーを。「Welcome to Transnistria: a Soviet breakaway territory in Eastern Europe(トランスニストリアへようこそ。ソビエトから分離した東欧の地域です)」

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





ゲストブロガー座談会開催、KLの研究責任者 Goh Su Gim 来日

ミッコ・ヒッポネン直下のセキュリティ・アドバイザーとして、アジア地域のセキュリティ動向の調査研究を行うGoh Su Gimが、3月1日来日し、エフセキュアブログのゲストブロガーを招いた座談会を、溜池山王の当社オフィスにて行いました。

座談会はGoh Su Gimと、ジャーナリストの高間剛典さん、サイバーディフェンス研究所の福森大喜さん、FFRIの鵜飼裕司さんを含む4名をメンバーとして開催されました。会場には、Poika も到着し、対談の様子をひっそりと見守ります。

スペシャリスト4名による議論は、現在のセキュリティ動向や問題点の分析にとどまらず、新しい問題提起や提言が飛び出しました。

●国別のエクスプロイトの状況、Javaエクスプロイトが突出

アジア地域のセキュリティ動向に詳しいSu Gimから、まずはアジアにフォーカスした統計データがいくつか提示されました。日本について特筆すべきは、Javaエクスプロイトの占める割合の高さ(73%)です。この理由について、Su Gimからはパッチ管理の甘さや、重要な基幹システムに自社開発したJavaシステムが使用されている点が挙げられました。

01
アジア地域のセキュリティ動向の調査研究を行う、エフセキュアのGoh Su Gim

●モバイル端末のマルウェアとアンチウイルス

続いて、モバイル機器のマルウェアについて、Su Gimから動向が示されました。グローバルでのAndroid端末のマーケットシェアの伸びに合わせ、昨年第4四半期には第3四半期と比較して、Androidを狙った新しいマルウェア・ファミリーの検出数がほぼ倍増しました。

福森さんからは、Android端末上でのアンチウイルスの実現の可能性に踏み込んで疑問が呈されました。その他の参加者からも、PCと異なりAndroid端末上では、低レイヤを監視・操作する術がないこと、高権限での操作ができないこと、リソースが少ないことといった具体的な問題点が次々と出てきました。モバイル端末のアンチウイルスの現状について、アプリケーションの1つとして振る舞い、ゼロデイ攻撃を検知する機能などは搭載されていない旨がSu Gimより紹介されました。

03
株式会社サイバーディフェンス研究所 上級分析官  福森大喜さん

対策として、セキュリティベンダーが結束して、権限を与えるようにGoogleに訴えかけよう、という発言が鵜飼さんからありました。鵜飼さんによれば、各種アプリケーションを解析する際に、明確に悪意がある振る舞いをするわけではないが、なにがしかのデータを端末から吸い出して送信する、いわばグレーゾーンのアプリケーションが多く見つかるそうです。また、膨大の利用規約の文章の中に、小さなフォントでユーザのプライバシーに関する記載をするようなアプリケーションについても疑問が呈されました。ユーザの誤認を誘いかねないものについては、高間さんからも利用規約の一方的な更新や、アドウェアについて言及がありました。

02
株式会社フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司さん

●そもそも「マルウェア」とは?

つづいて、日本における法的な面での「マルウェア」の解釈について、高間さんから説明がありました。国際条約「サイバー犯罪に関する条約」に批准するために、2011年6月に「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が成立しましたが、ここでは「(ユーザの)意図に反する動作をさせるべき不正な指令を与える電磁的記録」といった曖昧な定義がなされており、議論が巻き起こっているとのことでした。

04

メタ・アソシエイツ代表 高間剛典さん

結局のところ、何がマルウェアであるのか、というのはユーザによる捉え方の違いもあり、難しいということが当座談会の結論でした。

なお、「マルウェア」という用語以外にも、セキュリティ上・個人情報保護上の観点から疑問があるソフトウェアを示す用語を、新たにセキュリティ・ベンダーが示すべきというアイデアが、鵜飼さんからSu Gimに伝えられました。高間さんからは「プライバシーウェア」といった新語も飛び出しました。

08_poika用写真
対談の様子をひっそりと見守っていた Poika (写真左下)
 

ペテン広告経由の、フィンランドのWebサイトへの攻撃

フィンランドの人口はまあ少ないが、そこでエフセキュアは比較的大きなマーケット・シェアを持っている(当然だ)。そして時折、フィンランドが一種の統計試験場になるような、「大変な」何かが起こる。

 以下は、11月24〜27日の間にフィンランドで発生したマルウェアの検知(防御)件数のグラフだ。

Finland cloud statistics, Nov.24-Nov.27

 続いて12月1〜4日の同じグラフは、次のようになった。.

Finland cloud statistcs, Dec.1-Dec.4

 このような劇的な違いがあるのはなぜだろうか?

 フィンランドで最も人気のあるWebサイトの1つsuomi24.fiが利用している広告ネットワークが、12月の期間中、侵害されたのだ。そしてSuomi24によると、このマルウェアのトラフィックはすべて、あるサード・パーティの広告主のネットワークから、1つの広告を通じてプッシュされていた、とのことだ。

 たった1つの広告だ。

 当社のBrowsing Protection機能の利用者なら、次のような画面を目にしたはずだ。

F-Secure Browsing Protection block

 また、このサイト・ブロッキングが有効になっていなかったら、次のようなアンチウイルスからの通知がある。

F-Secure antivirus block

 何がブロックされたって?「ペテン・アンチウイルス」である。偽のセキュリティ・ソフトウェアだ。

 こちらはあるバージョンだ。

Fake Microsoft Security Essentials scan

 そして、こちらが別のバージョンだ。

Rogue's fake scan

 これらのペテン・プログラムは実際には脅威がないかコンピュータをスキャンしたりしない。しかしながら、いそいそと課金はするのだ。ペテン師は無料のトライアルなど提供せず、前払いを要求する。

Rogue asking for payment

 前払い? これは一般に不適切な何かがあることを示す優れたサインだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード