エフセキュアブログ

表示 を含む記事

マルウェアの歴史: CODE RED(コードレッド)

15年前(5479日前)の7月19日、Code Redが感染拡大のピークを迎えた。悪名高いコンピューターワームCode Redは、Microsoft Internet Information Server(IIS)の脆弱性を悪用して感染を拡げた 。

感染したサーバには、以下のメッセージが表示された。

興味深いベトナム航空などへのサイバー攻撃報道

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

1937cn_defacement


さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


(補足)
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。
ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

さよならFlash!Google ChromeがHTML5をデフォルトにする予定

 先週の報道のとおり、GoogleのChromeブラウザの背後にいる開発チームは、2016年第4四半期中にHTML5をデフォルトとする計画を立てている。

 GoogleのテクニカルプログラムマネージャーであるAnthony LaForgeは次のように述べている。

 「Chromiumでは今年中に、Navigator.pluginsとNavigator.mimeTypesのデフォルトの応答を変えることにより、Flash Playerの存在をWebサイトに通知する方法の変更を予定しています。もしWebサイトがHTML5のエクスペリエンスを提供しているのなら、この変更によってHTML5が第一のエクスペリエンスになるでしょう。当社は引き続きChromeと共にFlash Playerを提供していきます。もしWebサイトで本当にFlashが必要な場合、ユーザが最初に当該サイトを訪れたときにページの最上部にプロンプトが現れ、そのサイトでFlashを許可するかどうかユーザに選択肢が与えられます」

 Google ChromeがほどなくAdobe Flashの廃止へと向かうであろうことを、今年すでに私は当社の2015年の脅威レポート上で予言していた。

Google Chrome Flash prediction

 そして、MozillaとMicrosoftもこれに続くだろう。これでワンアウト、あと2つだ…。

 脅威レポートから該当の記事を再掲する。


Flash:手の届くところにぶらさがっている最後の果実

 マルウェアによるエクスプロイトがコモディティ化して10年は経つ。2006年の間は特に顕著だったので、情報セキュリティのアナリスト達の間で、マイクロソフトの月例パッチ公開日「Patch Tuesday」の翌日を「Exploit Wednesday」と冗談めかして呼ぶようになった。迅速に対応することが、成功の鍵だ。火曜日にマイクロソフトが更新をリリースすると、その根底にある脆弱性を発見するべく、即座にリバースエンジニアリングが行われる。そして脆弱性が判明するとすぐにマルウェア攻撃で使用するためのエクスプロイトが作り上げられる。これはまだ更新していないユーザを攻撃することを目的としている。

 マルウェアキットの出現により、2006年遅くにマルウェアのコモディティ化はさらに進んだ。MPackのような初期のキットは、ますます増加する要求を満たすほど迅速に拡張ができず、それら自身の成功の餌食となった。しかしそのような成長の痛みは、マルウェアサービスによって間もなく解消され、今日では闇市場に多数のエクスプロイトキットがある。

 Exploit Wednesdayはもう終わった。マイクロソフトのソフトウェア[1]は10年前と比べ物にならないくらいセキュアになり、パッチもはるかに迅速に公表される。エクスプロイトキットは、マイクロソフトからアドビへと移行した。Acrobat Readerは(Flashも)一時期は最大の標的であった。しかしブラウザがネイティブにPDFをサポートし始めて、Acrobat Readerはほぼ不要になりつつあった。アドビ社は強力な更新サイクルを適用し、同社ソフトウェアは一時的に危険な状況から脱した。その次は、Javaのブラウザプラグインが標的として好まれるようになり始めた。群れの中の一番弱い者だからだ。ブラウザの開発者たちは、程度に差はあれ、極めて制限のある場所へとJavaプラグインを押し込めた。

 そして現時点では…、今でもエクスプロイトキットの標的となっているプラグインでは、アドビ社のFlashが最後で「最良」だ。しかし、どれだけ長い間、そうなのだろうか?

 2010年4月29日、スティーブ・ジョブスは「Thoughts on Flash(Flashについての考察)」という公開書簡を示した。ここでは、なぜアップル社がiOS機器上でFlashを許容しないのかについて説明がなされている。少なくともモバイル端末上では、その時がFlash Player終焉の始まりだと数多くの技術アナリストが指摘している。この指摘は真実だと証明された。2012年6月28日のアドビ社のアナウンスでは、Android 4.1向けの公式なFlash Playerの実装は提供せず、また2012年8月15日以降はGoogle Play経由でのインストールが制限されることになるだろうとのことだった。[2]

 それ以来Flashはデスクトップ市場にしがみついているが、見渡す限り非推奨になっている。2015年8月にはアマゾンが「2015年9月1日以降、Flash広告を受け付けない」と発表した。グーグルは2016年2月にアマゾンの先例に従った。グーグルの広告ネットワークであるAdWordsとDoubleClickも、2016年6月30日以降、Flashベースの表示広告の受け付けを停止する。また2017年1月2日には、Flashベースの広告を無効にする。

 この時点で、私は2017年前半のことを次のように予測をたてることができる。Flashベースの広告のサポートがもはや必要でなくなれば、Google Chromeブラウザは積極的にユーザが任意の種類のFlashを要求するサイトをホワイトリスト化するように求める。MozillaのFirefoxやMicrosoft Edgeでも同様になるだろう。そして2017年の春までには、エクスプロイトキットが憂慮される限りFlashは効率的に馘首されることになる。

 目に見える新たな果実がろくに無いという、破壊的な未来にエクスプロイトキットは直面している。コモディティ化されたマルウェアサービスは、現在流行中のマクロベースのマルウェアのような、添付ファイルのマルウェアの使用へとさらに転換するだろう。

 人々がダイアログを消すために「OK」をクリックするのを防ぐことができさえすればいいのだが。

[1] Silverlightは全面的に例外で、現在キットとして悪用されている。だが、NetflixはSilverlightをお払い箱にしており、願わくば同技術もすぐに絶滅するだろう。

[2] 皮肉なことに、Androidマルウェアの多くのやり取りは、Flashの更新が必要だと主張する、虚偽の広告経由でプッシュされる。Flashが存在しない場合でも、その遺産がソーシャルエンジニアリング上の脆弱性をもたらすことになる。グーグルの検索エンジニアたちは、そのような広告を表示するサイトについてChromeが警告を行うように設計し始めている。

Petya:ディスク暗号化ランサムウェア

 4月3日更新。暗号化スキームについてより詳しく追記した。


 Petyaは邪悪なひねりが加えられている新しいランサムウェアだ。ディスク上のファイルを暗号化する代わりに、ディスク全体をロックしてほとんど使い物にならない状態にする。具体的には、ファイルシステムのMFT(master file table)を暗号化する。つまりOSからファイルの位置が特定できなくなることを意味する。Petyaは、ブートキットと同様に自身をディスクのMBR(master boot record)にインストールする。ただし、秘密裏に活動するのではなく、赤い画面上にシステムを復旧する方法についての説明を表示する。

 MFTを狙うと素早く攻撃できる。データファイルを暗号化するより極めて短時間で済むのだ。それでも全体的な結果としては暗号化と同じ、すなわちデータにアクセスできなくなる。

Petya, Press Any Key!

 Petyaは2段階で実行する。第1段階はメインのドロッパーで、以下を実行する。

  • \\.\PhysicalDriveを直接操作してMBRに感染させる
  • 一連の暗号キーを生成する。これには16バイトのランダムなディスク暗号用のキーと楕円暗号(EC、Elliptic Curve)のキーペアが含まれる。この時点で、特別な「復号コード」も用意される
  • あとでMBRに感染したコードで使うため、ディスクの暗号キーと復号コードをディスクに保存する。その他の生成された暗号データはすべて破棄される
  • なんの警告もなしにマシンをシャットダウンし、MBRのコードでブートする

 Petyaは非対称キーによる暗号化と搬送のために、楕円曲線暗号スキームを用いている。192ビットの公開鍵とsecp192k1曲線パラメータは、ドロッパーのバイナリにハードコーディングされて配信される。Petyaはサーバの公開鍵を取得し、ECDH(Elliptic Curve Diffie-Hellman)アルゴリズムを用いて共有の秘密鍵を構築する。この共有秘密鍵を用いて16バイトのディスク暗号キーをAES暗号化する。共有秘密鍵はこのマルウェアとサーバしか使用できない。バイナリをASCIIにエンコーディングするBase58により、このマルウェアの楕円曲線の公開鍵といっしょにディスク暗号キーをパッケージする。ここで得られるパッケージが、後に赤いスクリーン上で提示される「復号コード」である。

Petya physdrive
PetyaドロッパーによるPhysicaldriveの操作

Petya server pubkey
ドロッパー内部にあるPetyaサーバの楕円曲線暗号の公開鍵

Petya ecc params
ドロッパー内部にあるPetyaのsecp192k1の曲線パラメータ

Petya encode pubkey
ASCIIエンコーディングのPetyaドロッパーの楕円曲線暗号の公開鍵

Petya gen salsa20 key
Petyaドロッパーのsalsa20バイト列の生成

 感染後、マシンはMBRのコードでブートする。これは以下のようになる。

  • まずディスクが感染しているかを確認する
  • 感染していなければ偽のCHKDSK画面を表示し、暗号キーに共有秘密キーを用いてMFTを暗号化する
  • ディスクの暗号化にsalsa20を用いる。暗号化後は当該キーを破棄する
  • 赤い「スカルスクリーン」、続いてTorの隠しサービスのURLがある画面と「復号コード」を表示する。「復号コード」とは、サーバでしか開けない暗号化されたメッセージである
Petya debug environment
Petyaが環境を取り戻すところ

petya_disk_encryption
salsa20でディスクを暗号化する際の、偽の「CHKDSK」に関するMBRのコード

Petya salsa20 expand32
MBRに置かれるsalsa20のコード

 楕円曲線アルゴリズムを用いて暗号キーを復号できるのは、もはやサーバしかない。これはマルウェアによってキーが破棄されたためだ。また、たとえ破棄されていなかったとしても、マシンがロックされて使えないままだ。リカバリディスクでMBRを復旧したとしても役には立たないだろう。なぜならMFTがいまだ暗号化されているからだ。理論上は共有秘密鍵を復旧して、リカバリディスクでディスク暗号化キーを復号して戻すことは可能だ。しかしそのためには、元々の楕円曲線暗号のキーペアを入手しなければならないのだが、必要な楕円曲線のデータはすべてドロッパーが破棄してしまっている。これはまるで家に入るための鍵が2つあって、意図的に片方を無くしたようなものだ。

 サーバ側では、復号コードのデコードが逆の順番で行われることが想定される。

  • Base58で符号化されたバイナリデータをデコードする
  • マルウェアの公開鍵と暗号化されたデータを展開する
  • 公開鍵を用いて、共有秘密鍵を構築する
  • この共有秘密鍵を用いると、サーバはAESを使ってディスク暗号化キーを復号できる
  • ここで攻撃者は、ロックされたマシンを解放できる暗号化キーを元に戻すことができる

 一例として、当社のラボのマシン上の復号コードの1つは次のように見える(ハイフンと先頭の2文字は削除。サーバはこれをデコードに使用しない)。

Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi

 このコードを標準のBase58アルゴリズムを用いてデコードすると、以下のデータが生成される(説明のために、マルウェアが生成する公開鍵を緑で、ディスクを暗号化するキーを赤で示す)。

Petya decryption code opened

 サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない:)

トリビア:

ランサムウェア「Maktub Locker」のグラフィックデザイン

 「Maktub Locker」と自称する、新たな暗号化ランサムウェアファミリーが出現した。Maktubとは「書いてある」という意味のアラビア語だ。

Maktub Locker

 セキュリティ研究者のYonathan Klijnsmaが、本日これまでに当該ランサムウェアについてツイートした。

 (訳注:「『MAKTUB LOCKER』という新手のランサムウェアが、現在メール経由で拡散されている。暗号化する際にC&Cと通信しない」という意味)

 私はMaktubの支払い用の入り口のグラフィックデザインをちょっと見たのだが…、残りも見ずにはいられなかった。

 以下はステップ4で表示されるものだ。

Maktub Locker - Step 4 - Where do I pay?

 普通じゃない。

 不満を持ったグラフィックデザイナーなのか?

 残りの画像を以下に挙げる。

HELLO!
こんにちは!

WE ARE NOT LYING!
我々は本気だ!

HOW MUCH DOES IT COST?
いくらかかるか?

WHERE DO I PAY?
どのように支払うか?

BITCOIN PURCHASE
ビットコインの購入

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

FREEDOMEキャンペーン開始!

nekomu_banner

大人気コスプレイヤー「御伽ねこむ」がキャンペーンに参加
http://freedome.f-secure.com/nekomu/jp をチェック!
 
F-Secure FREEDOME
インターネット接続には危険や無駄がいっぱい
「FREEDOME」で賢く安全にインターネット!
個人情報の流出による金銭被害や無駄な広告表示によるトラフィックコスト増をシャットアウト!

freedom_image


安心してWi-Fiに接続

カフェやホテル、空港で利用できるフリーWi-Fi、無料で便利だけど個人情報を盗む罠も!?安全に使うにはF-Secureの「FREEDOME」でプロテクト!!

広告表示をカット、コスト削減

なんで同じ広告ばっかり表示されるの? それはあなたのWeb閲覧履歴が広告配信業者に渡っているから。更に、その広告表示のためのトラフィック料はあなたが支払っています。今すぐ「FREEDOME」をオンで無駄なトラフィックをカット!!


14
日間無料! すぐにインストールして試してみよう!

ダウンロード、ライセンスの適用などは、FAQサイトをチェック
4年連続BESTプロテクションアワード受賞、世界屈指のセキュリティ
ベンダー「エフセキュア」が提供する安心アプリ

FREEDOME200万ダウンロード突破

iPhone/Android/Windows/MAC対応

トラッカーは制御不能だ

 最新のWebの分析やトラッキングは、完全に制御不能だ。この件で私にとって問題なのは、プライバシーなどではなくむしろユーザビリティについてである。トラッカーは実質的に「ダイヤルアップインターネット」の感じを再現している(子供は両親に聞いてくれ)。現在は2015年だが、多数のWebサイトの重さは1999年並になっている。

 そして今日では、この問題が至るところで顕在化しているようだ。

 有名な実店舗型の小売店のWebサイトをGhosteryで可視化しながら見てみよう。以下は米国向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは有効になっている。

Ikea's US localization with third-party cookies allowed.
サードパーティのCookieを許可したときの、米国向けにローカライズされたイケアのサイト(Windows版のFirefox 40で表示)

 Ghosteryによると、9つの異なるトラッカーリソースが読み込まれている(Ghosteryを使っているのはブロックするためではなく、可視化のため)。よし、結構。

 そして以下はフィンランド向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは許可していない

Ikea's Finnish localization with third-party cookies disabled.
サードパーティのCookieが無効になっている、フィンランド向けにローカライズされたイケアのサイト

 Ghosteryによると、11の異なるトラッカーが読み込まれている。しかし思い出してほしい…、これにはサードパーティのCookieは入っていない。では、サードパーティのCookieを有効にすると何が起きるだろうか?

 さらに38個のトラッカーが仲間入りだ!

Ikea's Finnish localization with third-party cookies allowed.
サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト

 合計で49個のトラッカーだ(ちょっと度を超えていると感じる。違うかい?)。

 これは実に意味不明だ。私は単に、実際の店舗を訪れる前にウィンドウショッピングをちょっとしたかっただけなのだ。

 ただとにかく…。

 トラッカー一式をオープンにすることで、それらのCookieがうまく読み込まれてドロップされることになると、たいていの場合はトラッカーはさらに多くのリソースを取得し、その結果としてブラウジングの速度を落とすことになる。

 通常私は、トラッカーをブロックする目的で、すべてのサードパーティCookieを許可していない。これにより、不都合が生じることはほとんどない。しかしながら、私の同僚の1人がこの設定をテストしたところ、ソニーのPlayStation Networkといったサイトにはログインできないことがわかった(ただし、この場合は別のブラウザを使うことをお勧めする)。こうした点は考慮に入れる必要がある。

 主に使うブラウザでは、「サードパーティのCookie」を「許可しない」に設定することを勧める。

 以下はWindows版のFirefox 40の場合だ。

about:preferences#privacy
Firefox > オプション > プライバシー

 以下はWindows版のChrome 44の設定だ。

chrome://settings/content
Chrome > 設定 > 詳細設定を表示 > コンテンツの設定

 また、以下はiOS 9の設定だ。

iOS 9 Settings, Safari, Privacy & Security
iOS 9 > 設定 > Safari > プライバシーとセキュリティ

 iOSでは「Allow from Current Website Only(アクセス中のWebサイトのみ許可)」を用いている。

iOS 9 Settings, Safari, Privacy & Security, Block Cookies
iOS 9 > 設定 > Safari > プライバシーとセキュリティ > Cookieをブロック

 そして次に、言うまでもなく、トラッキングフィルタありのVPNを経由して、ネットワーク側の資源のトラッキングをブロックすることもできる。

Ikea's Finnish localization with third-party cookies allowed, using Freedome.
サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト。Freedomeを使用

 上図のとおり、当社のFreedome VPNにより、読み込まれるトラッカーの数がわずか2つに削減されている。ずっと良い。

 どのような方法を選んだとしても、可能な限りすぐにトラッカーを停止することが、よりよいブラウジング体験へとつながる。

 楽しんでほしい。

 @5ean5ullivan



AmazonがFlash広告にノーを突きつける

 近頃、Flashベースのマルバタイジングが猛威を振るっている。そのため以下のような発表がなされるのは時間の問題でしかなかった。

 「Beginning September 1, 2015, Amazon no longer accepts Flash ads on Amazon.com, AAP, and various IAB standard placements across owned and operated domains.)、または所有および運用するドメイン上のIAB(Interactive Advertising Bureau)標準の様々なプレースメント広告において、Flash広告を受理することはない。」

Amazon Advertising Technical Guidelines
Amazon Advertising Technical Guidelines

 AmazonはFlashを禁止する以上のことを行っている。以下に例を挙げる。

  • 広告を提供するサーバのドメインからのみコンテンツを受け付ける
  • ドメイン名がある場合に限定し、IPアドレスしかないものは受け付けない
  • 表示されるURLは実際の宛先でなければならず、リダイレクトは認められない

 詳細はこちら

 これはAmazonとしては非常にすばらしい動きであり、願わくば他の企業も遅かれ早かれ同様の措置を講じてほしい。Flashベースの広告は、現在は非常にありふれたセキュリティ上のリスクだ。ない方が、みんながより幸せになる。

 @5ean5ullivan

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

3人の政治家が公衆無線Wi-Fiでのハッキング被害を経験

ロンドンで行われた調査で、公衆無線Wi-Fiを使用しているターゲットから個人データが簡単にハッキングされることがあることが分かりました。セキュリティやプライバシー保護のソフトウェアを手掛けるエフセキュアは、侵入テストを専門とするMandalorian Security ServicesとCyber Security Research Instituteと協力して、テストを行いました。テストは3人の政治家のデバイスに侵入するというものでした。

英国政界で大きな権力を持つ議会から選ばれた3人の政治家は、デイヴィッド・デイヴィス下院議員メアリー・ハニボール欧州議会議員ストラスバーガー上院議員です。3人は、それぞれの議会において重要な地位にありがらも、正式なトレーニングを受けておらず、3人全員が通常使用していると認める公衆無線Wi-Fiの使用中にコンピュータが比較的簡単に攻撃される可能性があるという情報も知らされていないと認めました。調査は3人の政治家の許可を得て行われました。

自分のEメールにアクセスされたデイヴィス議員は、「正直に言って、かなり恐ろしいです。抜き取られたのはとても厳重なパスワードです。多くの人が使っているものよりも厳しいパスワードでした。これでは全く『パスワード』とは言えません」とコメントしました。驚くべきことに、パスワードはどんなに厳重なものであっても破られてしまいます。公衆無線Wi-Fiは本質的に安全ではないのです。ユーザ名とパスワードが無線Wi-Fiのアクセスポイントの裏側に普通のテキスト形式で表示され、ハッカーは簡単に盗むことができるのです。

リスクを分かりやすくするために、エシカルハッカーのMandalorianは、英国独立党へのくら替えを表明するEメールの下書きを作り、全国紙向けに発表予定の下書きフォルダーに入れました。その後、Mandalorianのペイパルのアカウントが不正アクセスされます。Gmailと同じをユーザ名とパスワードを使ったからですが、これは広く行われていることです。

ストラスバーガー議員の場合には、ホテルの部屋でのボイス・オーバー・インターネットプロトコル(VoIP)の通話が傍受され、インターネット上で無料で使え、しかもマスターするのも比較的簡単なテクノロジーで録音されました。ストラスバーガー議員は、「とても心配です。非常に強力な技術です。初心者が短時間で使えるようになると考えると本当に心配です。(テクノロジーを利用する際には)もっと知っておく必要があることがこれで証明されたと思います。最終的には、自分の面倒は自分で見なければならないのです。他の誰かがやってくれるわけではなく、自分の問題なのですから」と述べました。

欧州議会で「We Love Wi-Fi」キャンペーンを担当しているメアリー・ハニボール欧州議会議員には、カフェでインターネットにアクセスしているときに、フェイスブックから送信したように見える、タイムアウトしたため自分のアカウントに戻るように指示するメッセージをエシカルハッカーが送信しました。ここから、どのようにして同議員が知らないうちに自分のログインパスワードをハッカーに知られ、それを使ってフェイスブックのアカウントにアクセスされたかが明らかになりました。

ほんの数日前に欧州議会のテクノロジー担当者から支給されたタブレットを使っていたハニボール議員は、アドバイスがなかったことを特に懸念しています。「みんなパスワードですべて心配がなくなると思っているのですから、何か手を打つべきだと思います。私はいつもパスワードがポイントだと思っていました。驚きましたしショックです」と述べました。

それぞれの侵入の事例では、ハッカーは簡単にパスワードで保護されたサービスを回避できるということだけではなく、いかにして個人データがさらなる攻撃に利用されるかも明らかになりました。「誰がどのスポーツチームのファンなのかということはハッカーにとっては役に立たない情報だと、普通の人は考えるでしょう」とMandalorianのディレクターである、スティーブ・ロードは言います。「しかし、それが知られてしまうと、あなたが開封する可能性が高そうな、あなた自身やあなたの好きなものについてのフィッシングメールを、ハッカーは作ることができるのです。メールの中のリンク先をクリックするか、添付ファイルを開けてしまうと、つかまってしまいます。デバイスにマルウェアを入れられ、あなたの情報のすべてを与えてしまうことになるのです。それだけではなく、会社のネットワークにアクセスしているデバイスの場合には、会社の情報も与えてしまいます。」

エフセキュアのセキュリティ・アドバイザーのショーン・サリバンは、公衆無線Wi-Fiを使う人にこのようにアドバイスします。「公衆無線Wi-Fiを使うことを恐れるべきではありません。これは素晴らしいサービスです。しかし、それにはリスクがあり、自分を守る責任は自分にあるということを理解しなければなりません。仮想プライベートネットワーク(VPN)というソフトウェアを使えばよいのです。電話やタブレット用にはアプリがあります。当社のFreedome VPNはデバイスからネットワークに送られるすべてのデータを暗号化しますので、ハッカーは使えるものは何も盗めないのです。オンにするだけで、公衆無線Wi-Fiを使う場合でも、可能な限り安全に保護されますので、安全かどうかを心配せずに、自分のやりたいことに集中することができます。」


詳細情報:  
The Great Politician Hack (ポッドキャストと動画)http://privacy.f-secure.com/2015/07/08/the-great-politician-hack/
Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

Facebookでターゲティング広告が表示されないようにするための3つの方法

エドワード・スノーデン氏による暴露が始まる前、オンラインプライバシーに関する議論のほとんどは、Facebookを中心としたものでした。

規制当局ユーザは、世界最大のソーシャルネットワークであるFacebookがユーザの個人データをどの程度尊重しているか疑わしいとしてたびたび不満を表明していました。しかし、Facebookの登録者数がその後も増加を続け、政府による驚くほど大規模な監視の実態が明らかになるにつれて、私たちが自分の意志で共有している情報について不満を述べることは、比較的優先度の低い事項となりました。

その間にFacebookは、Twitterがまだ実現できずに苦慮していることを成し遂げました。

成長を続けるとともに収益を上げる方法を見出したのです。同社はこれを「マーケティング史上最大の『おとり手法』」によって達成した、とニューヨーク大学でマーケティングを教えるスコット・ギャロウェイ教授は述べています。その結果、世界有数のブランドを抱える企業の多くが、大規模なコミュニティを構築した上で、突如としてコミュニティへのアクセスを遮断する、という手法を有効と考えるようになりました。現在、平均的なブランドの投稿は、プロモーションのための料金を支払わない限り、ページをフォローしているユーザのわずか6%にしか自然な形でリーチしていません。

Facebookはこの方法をとることで、ユーザエクスペリエンスを向上させました。平均的なユーザが数百のブランドをフォローしていれば、そのユーザのフィードはすぐにも宣伝目的の投稿であふれんばかりになってしまいます。同時にこの方法は、サイトとユーザがより密接に関わることにもつながり、ユーザが広告主にとってよりいっそう望ましい、かつ錯覚を起こさせる商品となる結果ももたらしています。そうです、無料で何かを得ようとすれば、自分自身が商品になるということです。そしてユーザを売るために、Facebookはできる限り多くの情報、ユーザがサイト上で自分の意志で共有するよりも多くの情報を得ることが必要になります。

ですから、当然ながら、Facebookはウェブ上でのユーザの行動を追跡しますFacebookを利用していない人までも追跡の対象となり得ます。そして追跡される情報の種類も多岐にわたり、作成されるユーザのプロフィールがユーザのクレジットスコアにまで影響を及ぼすおそれもありますFacebookのリターゲティング広告がどの程度まで進んでいるかは、自分のニュースフィードで2番目に表示される投稿を見てみるとわかります。その投稿は多くの場合、自分が最近アクセスしたサイトまたはそのサイトの競合他社からの広告です。

この手法が功を奏しているため、Facebook傘下となり今後さらにマーケターにとって使いやすい広告を展開していくと発表したInstagramでも、ほぼ同じ手法が使用されるようになるものと思っていいでしょう。

我々はこの状況に甘んじる、なぜならプライバシーよりも関連性の方が我々にとって重要だからだ、とギャロウェイ教授は述べています。私たちは、自分の友人や家族について、他からは得られないような関連性の高い最新情報が欲しいと考え、世の中の人々が話題にしていることを知りたいと考え、好きなアーティストや企業からよい商品をお得に手に入れたいと考えます。そのために、自分のデータを引き換えにするのです。それは必要なコストであり、そのことを認める代わりに、私たちは自分の子どもほども大切なものを引き渡す要件が含まれている可能性さえある利用規約に「同意する」ボタンをクリックしてしまうのです。

しかし、自分の領域を守り、自分のアクティビティが不利に利用されないようにするために、ユーザにできることがいくつかあります。

1. Facebookで広告が表示されないよう設定する
Facebookは、自ら進んでユーザをサイトから離れさせるようなことはしません。広告表示を希望しない場合はユーザの方でそのように設定します。その広告が他の多くのユーザのために役立つことにもつながるでしょう。エフセキュアラボの何人かがこの方法を試し、サードパーティからの広告がはるかに少なくなったとの報告が寄せられています。試してみてください。

Facebookでページの右側に表示される広告の右上にある「X」をクリックすると、次のような選択肢が表示されます。



「Why am I seeing this?(このメッセージが表示される理由)」をクリックします。
すると次のような画面が表示されます。



「Manage Your Ad Preferences(広告設定の変更)」を選択します。

カテゴリをクリックし、各トピックの右端に表示される「X」ボタンを選択してトピックを削除していきます。

その後、次に広告が表示されたときには、右上の「X」をクリックして「I don’t want to see this(非表示にする)」を選択します。

2. ターゲティング広告をオプトアウトする

Facebookの広告をすべてオフにすることはできませんが、ターゲティング広告が表示されないようにすることはできます。

「If you don’t want Facebook or other participating companies to collect or use information based on your activity on websites, devices, or apps off Facebook for the purpose of showing you ads, you can opt out…(Facebookやその他の提携企業が広告を表示する目的で、あなたがFacebook外のウェブサイト、デバイス、アプリで行ったアクティビティに基づく情報を収集したり、利用したりすることを望まない場合…)」、ただしこの設定を変更するには別のサイトに移動する必要があります。

米国:Digital Advertising Alliance

カナダ:Digital Advertising Alliance of Canada

欧州:European Digital Advertising Alliance

モバイルブラウザでも同じ作業が必要です。

3. Facebookでモバイルアプリデータが追跡されないようにする

iPhone
1. 「Settings(設定)」に移動します。
2. 「Privacy(プライバシー)」に移動します。
3. 「Advertising(広告)」に移動します(もちろん一番下にあります)。
4. 「Limit Ad Tracking(追跡型広告を制限)」をオンにします。

Android
1. 「Settings(設定)」に移動します。
2. 「Accounts(アカウント)」に移動します。
3. 「Google」を選択します。
4. 「Ads(広告)」を選択します。
5. 「Opt out of interest-based ads(インタレストベース広告をオプトアウト)」をタップします。

ここで残念なお知らせがあります。

「ただし、これらの後者のオプションを選択しても、Facebookが完全にユーザの携帯端末でのアクティビティの追跡をやめるわけではない。どういうことだろうか」と、ウォール・ストリート・ジャーナルのジェフリー・A・ファウラー氏は述べています。「Facebookは、広告がユーザに特定のゲームをプレーさせるなどの効果をどの程度発揮しているかを判断するため、その後もビジネスパートナーのアプリからデータを取得できる、と述べている」

おまけ:

Facebookの広告に自分の名前や写真が載らないようにする


そうです、Facebookでは、ユーザがオプトアウトしない限り、自分の名前や画像がそのユーザの友達に表示される広告に使用されることがあるのです。

その方法は以下のとおりです。

1.右上の錠前のアイコンをクリックします。
2.「More Settings(その他の設定)」をクリックします。
3. 左側のメニューにある「Ads(広告)」をクリックします。
4. 「Ads and Friends(広告と友達)」の欄にある「Edit(編集)」をクリックします。
5. 「Pair my social actions with ads for(自分に関するソーシャルコンテンツの公開範囲)」を「No one(非公開)」に設定します。


>>原文へのリンク

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



スパムメール型のランサムウェアがイタリアとスペインのユーザを標的に

 ここ数日の間、当社はイタリアとスペインの顧客から、いくつかの事例を受け取った。CryptowallCryptolockerといったランサムウェアへと導く、悪意のあるスパムメールに関するものだ。

 このスパムメールは、配送待ちの小包について宅配サービスや郵送サービスから連絡が来たように見せかけている。メールにはオンラインでその小包を追跡するためのリンクが提示されている。

crypt_email (104k image)

 当社の標準のテストシステムでメールの初期調査を行ったところ、このリンクはGoogleにリダイレクトされた。

crypt_email_redirect_italy (187k image)

 では、悪意のある振る舞いはしなかったということだろうか?うーん、我々は最初の2つのURLはPHPだという点が気になった。PHPのコードは、クライアントサイドでローカルに実行されるわけではなく、サーバサイドで実行される。そのため、事前に設定した条件に基づいてユーザをGoogleにリダイレクトするか、あるいは悪意のあるコンテンツを提供するのかをサーバが「決定」できるのだ。

 この特定のスパムメールはイタリア語で書かれている。もしや、イタリアを拠点とする顧客のみが、悪意のあるペイロードを目撃することができるのだろうか?幸運にも我々にはFreedomeがある。実験するために少しの間だけイタリアへ旅行できるのだ。

 そこでFreedomeを起動し、ロケーションをミランに設定して、メール上のリンクを再度クリックした。

crypt_email_mal_italy (302k image)

 このときは、嫌なものを見た。もしユーザがイタリアにいる(ように見える)場合、サーバはクラウドのストレージサーバ上に置かれた悪意のあるファイルへリダイレクトするのだ。

 スペインのユーザに送付されたスパムメールも同様だが、こちらの場合はサイトがより本物っぽく見えるようにCAPTCHAを試すようになっている。スペイン国外にいるユーザがメール内のリンクをクリックした場合、こちらもGoogleに行きつく。

crypt_email_redirect_spain (74k image)

 逆にスペインのIPアドレスからサイトに訪れた場合には、CAPTCHA画面が表示される。

crypt_email_target_spain (57k image)

 そして続いてマルウェアそのものだ。

crypt_email_mal_spain (313k image)

 このスパムキャンペーンでは(今までのところ)エクスプロイトは使っておらず、古風なソーシャルエンジニアリング手法だけを用いている。感染が起きるのは、悪意あるURLで提示されたファイルをユーザが手動でダウンロード、実行したときだけだ。当社の顧客については、URLはブロックされ、ファイルは検知される。

 (今回のマルウェアのSHA1:483be8273333c83d904bfa30165ef396fde99bf2、295042c167b278733b10b8f7ba1cb939bff3cb38)

 Post by — Victor

WhatsAppスパムをクリックしたフィンランド人が今日だけで22,000人以上

 当社のスレットインテリジェンスチームの上級研究員Daavidは、今朝「サムスンGalaxy Pro」をネタにした、WhatsAppアカウント宛てのスパムメッセージを2件受信した。

Onneksi olkoon!

 「Onneksi olkoon!Olet voittanut Samsung Galaxy Pro Tableting.」これを訳すと、次のようになる。「おめでとうございます!サムスンGalaxy Tab Proが当選しました。」このメッセージには、賞品の引換場所のリンクが含まれている。フィンランド中央部にあるゴルフコース、パルタモゴルフのど真ん中だ。

WhatsApp Spam WhatsApp Spam

 ちょっとした面白い偶然なのだが、昨年の夏、私はそこで家族でおいしいランチに舌鼓を打った。そこの電話番号に+86が付かないことは明白だ。+86は中国の国コードである。この132と150というプレフィックスは、それぞれGSMベースの電話網のものだ。

 WhatsAppの情報表示機能を使えば、プロフィール画像を拡大して表示できる。

WhatsApp Spam WhatsApp Spam

 この画像は、「Lotto24(訳注:ドイツの宝くじ)」の、とあるキャンペーンから引っ張ってきたもののようだ。

Google results

 iPhoneでは地図が表示された。Windows Phoneでも同様だった。

 しかしAndroid機では、地図はChromeにリンクしており、Googleの短縮URLを経由してlotto24.fiにリンクされていた。

 短縮URLのメトリクス(と集計)により、22,000人超の人々がスパムのリンクをクリックしたことが示されている。そして大半はフィンランドからだ。

Google link analytics
 (クリックで画像拡大)

 —————

 Daavidにスクリーンショットの礼を言う。

 Post by — Sean

FREEDOMEについてのFAQ

(2015/10/27改訂)
この記事では、FREEDOMEの使い方が分からないという方に向けて、良くある質問と解決方法をご紹介します。

Q01. FREEDOMEって何ですか?
A01. エフセキュアが販売しているプライバシー保護対策の製品です。iOS/Android/Windows/Mac版が利用可能です。

Q02. FREEDOMEは何処から入手できますか?
A02. iOS版はAppStoreから、Android版はGooglePlayから、Windows版/Mac版はエフセキュアのホームページから入手できます。

Q03. FREEDOMEの利用にお金はかかりますか?
A03. インストールから2週間は無償でご利用頂けます。試用期間終了後はアプリ内メニューのライセンスの項目や、エフセキュアのオンラインショップからライセンスを購入することが出来ます。
試用期間終了後に自動的に課金されることはありませんのでご安心を。

Q04. FREEDOMEを「フィンランド」に設定、「ON」にする方法がわかりません。
A04. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面下部の仮想ロケーション表示をタップします。
setting1

3. 「その他」をタップします。
setting2

4. 「フィンランド」をタップします。
setting3

5. スクリーン中央にフィンランドの国旗が表示されていることを確認し、左上の「<」をタップします。
setting4

(iOS版のユーザのみ)
5-1. iOS7以前のOSをお使いの場合は次のスクリーンが表示されます。
  「OK」をタップして進めてください。
setting6


6. 中央の「オフ」ボタンをタップ、「オン」にして完了です。
注意: iOS7以前のOSをお使いの方、「セキュリティを有効にする」スクリーンが表示された方は「6-1.」以下へお進みください。
setting5


(iOS版のユーザのみ)
6-1. 「はい」をタップします。
setting7

6-2. 「インストール」をタップします。
 setting8

6-3. 「パスコード入力」が表示された場合は、普段お使いのデバイスのパスコードを入力します
setting9

6-4. 「インストール」をタップします。
setting10

6-5. 「インストール」をタップします。
setting11

6-6.「完了」をタップします。
setting12

7. FreedomeがONになっていることを確認したら完了です!
setting5


(Windows版/Mac版の場合)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 画面下部の仮想ロケーション表示をタップします。
virtual_location01

3. 「Espoo, FI」を選択します。
virtual_location02

4. 画面右側の地球儀にフィンランドの国旗が表示されていることを確認し、左上の「← Freedomeに戻る」をタップします。
virtual_location03

5. 仮想ロケーションの位置がEspooになっていることを確認し、中央のボタンがオンになっていれば設定完了です! オフになっている場合は、クリックしてください。
virtual_location04


Q05. マルチデバイスライセンスの適用方法が分かりません。
A05. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面左上の"Ξ"をタップし、メニューを表示させます。
license_act_mob01

3. メニューからライセンスをタップします。
license_act_mob02

4. 「マルチプラットフォームライセンスを既に購入しておりますか?」をタップします。
license_act_mob03


5. 表示されたポップアップにライセンスキーを入力します。
license_act_mob04


(Windows版/Mac版)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 左側のメニューから、「今すぐ購入!」をクリックし、「コードをお持ちですか?」をクリックします。
license_act_desk01

3. 表示されたポップアップにライセンスキーを入力します。
license_act_desk02

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

最強の情報分析者を目指して

情報収集担当者と情報分析担当者、どちらに適性があるかを評価してくれるサイト「INTELLIGENCE SKILLS CHALLENGE」を公安調査庁が開設しました。

サイバーディフェンス研究所の情報分析部としては当然、圧倒的な情報分析者適性を持っている必要があります。
そこで、まずは念入りに情報を分析しながら100%の情報分析担当者を目指します。

ISC1

途中で苦渋の選択をせざるを得ない質問もありましたが、100%を達成しました。しかしその結果をよく見ると適性の割合だけではなく、点数も表示されるようです。200点満点中50点くらいしか取れていないようで、これでは情報分析部失格です。

では次は、200点満点を目指してみましょう。

ISC2

200点満点を取れたのはいいんですが、今度は逆に適性の割合が大きく下がってしまいました。

サイバーディフェンス研究所情報分析部に求められる能力はこんなものではありません。情報収集能力、情報分析能力ともに満点かつ情報分析者適性が100%である必要があります。

ところがこのサイトでは、情報収集能力の点数が高ければ高いほど情報分析者適性が下がる(情報収集者適性が上がる)というロジックになっているようです。
世の中に両方の能力を兼ね備えた情報分析者は存在しないのでしょうか?

そんなはずはありませんよね。どこかに見落としている情報があるはずだということで、改めて隅々まで情報を分析し直し、彼らのロジックの矛盾に挑戦した結果、無事に両方で満点かつ情報分析者適性100%を達成することができました。

ISC3

同じように判定された方はぜひサイバーディフェンス研究所の求人にご応募ください。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード