エフセキュアブログ

表示 を含む記事

Androidスレットスパイウェアについて:「Android/SndApps.A」および「Trojan:Android/SmsSpy.D」

  Androidマルウェアが現在、大流行しているようだ。分析を行っている際に突然現れたため、我々が論じてきた2、3の興味深い問題について、若干のコメントがある。

  最初に:公式Androidマーケットで発見された疑わしいアプリケーションに関して、最近報告があった。問題のアプリはマーケットから削除されているが、エフセキュアのスレットハンティングチームは今もフォーラムなどで、通常「無料アプリ」として遭遇している。

  これらのアプリケーション自身は、単なるゲームのように見える。しかしある時点で、追加サービスがアプリに追加されたようだ。以前のバージョンではインターネット接続以外、何も求めなかったのだ:

permissions_internet (104k image)

  しかし最近のバージョンでは、それよりも若干パーソナルなものになる:

application_permissions (47k image)

new_permissions (169k image)

  こうした変化により、同アプリはデバイスからさまざまな情報にアクセス可能になる。キャリアや国、デバイスのID、メールアドレスおよび電話番号などだ。

services (92k image)

  こうした情報はリモートサーバに送られる。

  同アプリのさらなるひねりは、クリックするとユーザがおそらく試したいと思うような、他のアプリに導く小さなアイコンを含んでいるということだ。表示されるこれらのアプリも、同様の疑わしい挙動を示すようだ。

applications (66k image)

  興味深いのは、同アプリの以前の「平凡な」バージョンと最近の「疑わしい」バージョンの双方が、同じデベロッパによるもののようだということだ:

comparison (56k image)

  既存のアプリに後日、新たな疑わしい挙動が追加されたようだが、無関係な悪意あるルーチンが加えられた、リパッケージされたアプリではない。我々は現在も、そのさまざまな局面を調べているところだ。今のところ、観測された挙動にもとづき、我々はこれらのアプリケーションを「Spyware:Android/SndApps.A」として検出している。

  Androidアプリケーション開発、特に「グレイウェア」の発展として考えられることから、我々は今回のケースに興味を感じている。この種の挙動は、我々の以前の予測の一つを裏付けている。「世間に認められた」開発者は、疑わしい/不要な/非倫理的なルーチンを含み、ユーザのプライバシーを侵害するかもしれないアップデートを配信することができる、というものだ。

  この新たに追加されたルーチンには、マーケティング広告やスパムなど、他の目的で使用することができるユーザ情報の獲得も含まれる。最悪の場合、これらの詳細はサードパーティに販売されるかもしれない。我々には、これらの情報がどうされるのか知るすべは無い。

  より最近のケースでは、報告された他のAndroidアプリ、今回はトロイの木馬の奇妙な挙動について議論している。

  このトロイの木馬はSMSメッセージをインターセプトし、ループバックアドレスに報告するが辻褄の合わない話だ:

smsspy_loopback (131k image)

  我々の調査では、このアプリはテストプログラムであるようだ。我々はこれを「Trojan:Android/SmsSpy.C」として検出している。

  しかし我々のスレットハンターの一人が、より有用であるように見えるファイル(SHA1: 7d8004b107979e159b307a885638e46fdcd54586))を見つけている:

smsspy_link (160k image)

  それはより本物の取引のように見える。我々はこれを「Trojan:Android/SmsSpy.D」として検出している。


-----

分析と投稿はZimry、Irene、RaulfおよびLeongによる。

インターポールサイバーセキュリティトレーニング

今年はウィーンで行われたFIRSTカンファレンスに初めて参加してきました。
毎年参加されている方に話を伺ったところ昨年まではあまり耳にすることがなかったそうですが、今年は非常に多くのセッションで繰り返し出てくる単語がありました。

「インターポール」

このことは最近のサイバー犯罪が国際化しており、一国の警察機関だけでは対応することが難しいということを如実に物語っています。また、手をこまねいているだけではなく、少しずつではありますがインターポールを中心として国際的なサイバー犯罪の検挙に動き出していることの現れでもあるでしょう。

そんな中、7月6、7日にシンガポールにて第1回インターポールサイバーセキュリティトレーニングワークショップが開催されました。インターポール関係者の知識、スキル向上を目的として約20カ国から警察関係者が集まりました。

interpolTraining

私が所属するサイバーディフェンス研究所ではそのうち1日半の時間を頂き、ネットワークセキュリティ、Webセキュリティ、インシデントレスポンス、マルウェア解析、フォレンジックなどのトレーニングを行いました。

トレーニングの理解度を確かめるためのチェックはCTF形式のハンズオン(問題を解くと得点が加算され、ランキングが表示される形式)で行いました。皆さんとても熱心に取り組んでおり休憩時間返上で課題に挑戦する姿も多く見られました。

今後もサイバー犯罪に対処していく上で、インターポールの重要性がますます高くなることは間違いありません。インターポールの活躍を心より期待しています。

関連記事:Tackling cyber security threats focus of INTERPOL workshop
http://www.interpol.int/Public/ICPO/PressReleases/PR2011/News20110707.asp

これはGoogleのプライバシーの破綻なのか?

  2010年3月:私のGoogleプロフィールは、Googleの検索結果に「フィーチャー」される「資格はまだ無い」とされていた。私のプロフィールはプライベートで、Googleはそれをパブリックなものにさせようとしていた。

  リバースサイコロジを賢く利用していると思ったので、スクリーンショットをとり、「Twitpic」に投稿した

Your profile is not yet eligible to be featured in Google search results

  今日、私はGoogleが7月31日以降、プライベートプロフィールをすべて削除すると知った。これは「Google+」への移行に関連している。

Public profiles

  そこで私は何か保存する必要のあるものがあるかどうか、自分の(プライベートな)プロフィールを見直してみることにした。

  すると、私のプロフィールが、もはやプライベートではないことを発見した。

Google

  Googleは、私のプロフィールページにフルネームは表示されないとしていた。

  そこで私は別のブラウザを開き、テストしてみた:

Google

  プロフィール上にフルネームが表示されていなかったのは、ちょっとした慰めになった。というのもフルネームは「Buzz」タブに表示「されていた」からだ。

  そこで次に、私は「Google Reader」を介して私がシェアしていたものを全て「シェアしない」設定にした。

Your shared items

  それから自分の「Sharing設定」をチェックした。

Sharing settings

  私の設定は「保護(選ばれたグループとシェア)」になっていた。

  保護? 私にはパブリックのように見える!

  Googleで検索してみると、シェアしていなかった。このままにしておこうかと思う…

  最近Googleアカウント設定をチェックしていないなら、「Google Dashboard」を(すぐに)使用することをお勧めする。

では
ショーン

トリッキーな新しいFacebookスパムテクニック

  我々は興味深い新たなFacebook CPAサーベイスパムを発見した。

  これは「This girl killed herself after her dad posted a secret of her on her fb wall(この少女は父親に自分の秘密をウオールに投稿された後、自殺した)」というサブジェクトラインを使用している。

  スパマはこのテンプレートを2週間前に使用し、その後、「thedominio.info」でホスティングされているWebページにリンクした。

thedominio.info

  今日、同スパムは「apps.facebook.com」にリンクしている。直接Facebookアプリにとは、非常に興味深い…

  アプリへのダイレクトリンクは、かなり以前から見ている。Facebookと彼らの絶え間ない鼬ごっこで、スパマはショートURLサービスや、他のリダイレクショントリックを使用することを余儀なくされてきた。

  では、何が新しいのかを見てみよう。

apps.facebook.com

  このスパムは、同じ画像、サブジェクト、説明をつかっているが、一つのアプリにリンクしている。これによりスパマは2重に利益を得る。第1に、オーバーヘッドが削減される。維持すべき外部リソースが少なくて済むからだ。第2に、「Web of Trust」などのレピュテーションサービスで、「apps.facebook.com」は安全と評価され、リンクに対する警告も少なくて済みそうだ。

  我々はこれまでに、3つのアプリケーションを検出した。

  •  girl1 — http://apps.facebook.com/storynumb/
  •  girl2 — http://apps.facebook.com/girlstoryyl/
  •  girl3 — http://apps.facebook.com/seeingstoey/

  しかし、これらのアプリから、見るべきところは多く無い。Facebookユーザがリンクをクリックすれば、このアプリケーションはただちにユーザを「url-linkay.tk」にリダイレクトし、以下の「ビデオプレイヤ」を表示する(「thedominio.info」は現在、「url-linkay.tk」にリダイレクトされる)。

If nothing appear just click many times on the play button , it will redirect you to story page.

  この部分は、プラグインボタンのようにFacebookを隠すための透過フレームを使用した、典型的なクリックジャックだ。

  プレイボタンをクリックすると、同ページを「いいね!」とすることになり、それが「Facebook News Feed」で広められる。

  「NoScript」をインストールしているFirefoxユーザには、透過フレームのコンテンツを表示する「ClearClick Warning」ダイアログが示される。

NoScript — ClearClick Warning

  何らかのクリックジャック保護を使用していないユーザは、Facebookの他のアプリページにリダイレクトされる。

  •  all the story — http://apps.facebook.com/allthestorylive/

  同アプリは、スパマに利益を与えるCPAサーベイをホスティングしている。

  このスパムテンプレートは、そのコンテンツを「www.promotiontrack.mobi」からとっている。

Please verify your identity

  タブ/ページを閉じようとすると、以下のダイアログが表示される:

Leave this Page

  「Help keep this content free.」とは何たることだ。勘弁して欲しい…何の「コンテンツ」だって?

  どういうわけか、同アプリはユーザのFacebookプロフィールに自身を追加せずに機能する。

  アクティブユーザ数を見る限り、他のスパムテンプレートほどのスピードで広がる様子は無いが、このスパマはそれでも、2000ドルほど稼いだ可能性がある。

all the story

  Facebookのセキュリティチームにさらなる詳細を送る予定なので、彼らはこのテクニックを可能にさせる「機能」をフィックスすることができるだろう。

  7月1日の追記:同スパムテンプレートは現在、そのコンテンツを「www.impressionvalue.mobi」からとっている。

複製されたAndroidアプリ:共生か寄生か?

  先頃、「Android Market」に酷似した偽サイトでホスティングされている、悪意あるAndroidパッケージインストールに関する報告があった。これは広告リンクからユーザにプッシュされる。

  ディストリビューションの戦略そのものに、目新しいところは無い。このタイプのバリエーションは2年前、Google広告で起きた。このケースでは、広告によりプッシュされたのはローグもしくはスケアウェアだったが。

  このケースで興味深いのは、Androidアプリケーションのリパッケージだ。我々はここ数ヶ月、こうした戦法が非常に頻繁に使用されているのを目撃しているが、これはマルウェアの作者が新たなAndroidマルウェアをプロデュースする際に好まれる「手っ取り早い」方法のようだ。

  これはデベロッパが、「新しい」クリーンなアプリケーションをプロデュースする際の、ポピュラーな方法らしいことも興味深い。我々は公式「Android Market」に、リパッケージされたアプリケーションが多数ポストされているのを見ている。(AndroidアプリはJavaで書かれており、そのためクローン化の敷居は非常に低く、リバースエンジニアリングに対する実際の障害も無い。)

  以下に挙げたのは、最近見た例だが、左がオリジナルのアプリ、右側がリパッケージされたアプリだ:

original app repackaged app


original app details repackaged app details


  リパッケージされたアプリケーションは、オリジナルと同じモジュールを装備しているが、広告モジュールを含んでいる。場合によってはオリジナルアプリケーションからのテクニカルな変更は全く無い。もちろん、アプリ名は変更されているが。

  我々が見たリパッケージされたアプリの大部分は、悪意あるコードを含んでいないという点で「クリーン」だ。これまでのところ、有料アプリとして配布されたリパッケージアプリの事例も見ていない。

  おそらく、リパッケージのポイントは、広告モジュールを含んでおり、ユーザが表示される広告を見たり、クリックしたりすることで、デベロッパが何らかの金銭的な報酬を得るというところにあるようだ。

  しかし、リパッケージはたいてい、オリジナルの開発者の同意を得ずに行われるため、リパッケージされたアプリはおそらく違法コピー、もしくは少なくともオリジナルのデベロッパに対する知的所有権の侵害と考えられるだろう。

  特にGoogleが「Android Market」にポストされるすべてのアプリケーションを、積極的に精査するわけではないことを考えると、これはしかし、ちょっとしたグレーゾーンだ。大多数のデベロッパ—そしてユーザが、これらのリパッケージアプリを「オープンマーケット」思想の単なる副作用の一つと考えるのか、あるいはデベロッパの真っ当な努力の搾取と考えるのかは、まったく予測がつかない。

Threat Insight post by — Raulf

「Facesnoop」は本当にFacebookアカウントをハックするのか?

  今週我々は「Facesnoop」というハックツールに遭遇した。

  作者はこのソフトウェアをプロモートするのにYouTubeビデオを使用している。

Facesnoop YouTube

  「Facesnoop 2」は最近リリースされたようで、動作させる「実際の(ACTUAL)ビデオプルーフ」を有していると主張している。

Facesnoop 2 YouTube
  (「ACTUAL」は「actual」よりも優れているのに違いない。)

  このビデオは、Kristenという名の若い女性が所有しているアカウントの「ハッキング」を示している。

Kristen

  Kristenはソックパペットアカウントだと思われるので、プロフィール画像はぼかした。

  「Facesnoop」ビデオを見て、ダウンロードすることにした場合、あなたは「ShareCash.Org」のWebページに導かれ、そこで「Cost Per Action(CPA:成果報酬型)」アフィリエイトマーケティングサーベイに記入を行うよう促されることになる。(多くの一般的CPA被疑者からのオファー。これが「Facesnoop」で作者が収益を上げる方法だ。)

  しかし問題がある。

  「Facesnoop 2」をローンチすると、以下のようなことが起きる:

Facesnoop GUI, error

  「Net Framework 2.0 missing library」があると称する、「Unhandled Access Violation」Exceptionが表示されるのだ。多くの人がここで「Check For Updates」ボタンをクリックし、さらなるCPAサーベイに記入するよう要求するWebページを開くことになる。

  「Facesnoop」のFacebookページには、これに関する苦情がいくつかある。

Facesnoop Facebook Page
  (まじめな話、Facebook Page上で動作できない「Facebook」ハックツールに、誰が苦情を言うのだろう???)

  「Facesnoop」の作者は新たなページを作成し、苦情がさらされるのを避けるべく、Infoタブをオープンしている。

Facesnoop Facebook Page

  しかし、このエラーについて苦情を述べている人達は皆、本当に驚くべきなのだろうか…

  同実行ファイルのプロパティを調べれば、これが機能しないよう設計されたことが分かる。

Facesnoop 2.exe Internal Name

  見て欲しい。このファイルの「Internal Name」は「Facesnoop 2 error.exe」だ。

  これはハックツールではない。詐欺ツールだ。

  実行ファイルのコードで、詳細を見ることができる:

Facesnoop 2 Hiew
(SHA-1: 2862de8e506414589b923f8faa49bf8fc81238e2)

E:\Nicolas\Code\fn2 error\Facesnoop 2 error\…

  Nicolas? うーん、以前どこかでこの名前を見ただろうか?

  そうそう、最初のビデオのソックパペット被害者はHayleyだった。

Hayley

  そしてHayleyのアカウントには、Nicolasという名の友人がいる。

Nicolas

  そしてNicolasのアカウントは、偶然にも「Facesnoop」を「like」している。ハックツールの作者自身なのだろうか?

  はっきりとは分からない。

  我々に分かっているのは、実際にNicolasが誰なのであれ…彼があなたをカモだと考えている、ということだ。








6月9日のISSAイベント

  我々は今日、悪意あるPDFを発見した。

  開くと、同PDF(md5: 20ecffdc2ecea0fbe113502bec0c938c)は、既知のAdobe Readerエクスプロイトを使用して、システムにバックドアをドロップする。バックドアのドロップ中、以下のようなPDFオンスクリーンを表示し、ユーザにすべてOKであると信じさせようとする。

ISSA

  この囮PDFは、2011年6月9日にアラバマで開催される「Information Systems Security Association」のイベントについて紹介している。そしてそれは今日だ。

  同バックドアは、韓国のどこかにある「119.202.148.82」のサーバに接続する。

  この標的型攻撃のターゲットが誰なのかは分からない。

Google Webサーチを使用して改ざんされたGoogle画像を見つける

  Googleサーチに問題がある。

  数週間にわたり、Google Imageサーチの結果がますます、Search Engine Optimization(SEO)ポイズニングにより汚染されている。Google Imageの結果を介して、スケアウェアTrojanやエクスプロイトにリンクした多くのサイトが、毎日発見される。これらのサイトの多くは、さもなければ安全と思われるであろうものだが、何らかのハッキングにより障害が起きている。

  問題の一端は、Googleが画像をクローリングし、ランキングする方法にある。

  以下はGoogle Imageの結果からの、汚染されたリンクの例だ:

Google Image Search, imgurl, imgrefurl

  「imgurl」と「imgrefurl」がマッチしていないことが分かるだろうか。この画像は「ホットリンク」されている。そして同画像は、実際には「enterupdate.com」のサーバでホスティングされているのだが、Googleはこれが参照している(改ざんされた)サイトからのものであるかのように、同画像のプレビューとサイト情報を表示する。

  しかし、この画像の「ホーム」として参照サイトを表示する正当な理由はある。たとえば、エフセキュアの「Safe and Savvy」ブログはVIP WordPress.comにより供給されており、画像はWordPressのサーバ上でホスティングされている。もしもGoogleが画像の参照サイトを考慮せず、ホットリンクを無視するなら(Bingはそうであるようだが)、この検索結果はあまり役には立たないだろう。

  WordPress.orgでは、上記の例で女優オリヴィア・ワイルドの汚染された画像は、「wp-images」というフォルダ内のHTMLページに埋め込まれている。障害が起きたこのサイトは、WordPress.orgブログだ。

http://www.#####################.co.uk/wp-images/olivia-wilde-twitter.html

  以下は「olivia-wilde-twitter.html」ページのものだ:

oliva-wilde-twitter

  ご覧の通り、テキストは完全にデタラメだ。同ページのハイパーリンクはすべて、同じサイトにある他のページに結びついており、画像はすべてホットリンクされ、外部のソースからロードされる。

  このHTMLは多かれ少なかれ、Google Trendsから直接引き出されたトピックにフォーカスしたセクションを含んでいる。

  こうした調査から、Google Webサーチを障害が起きたサイトを特定するのに利用可能であることが分かった。「inurl:wp-images」および現在の「トレンディングトピック」を検索すると、SEO攻撃を試みる多くの結果を得る事ができるのだ。

  言うまでもなく、リサーチネットワークから行うのでなければ、こうした検索を推奨するわけではない。(そして、改ざんされたSEOサイトは「http://www.google.com」から訪問された場合のみ攻撃を行うため、「Google SSL」を使用するべきでもある。)

改変されたFacebookビデオスパム

先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった:

fbspam (75k image)

  興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:

fakesecuritycheck (36k image)

  ユーザは基本的に、スクリプトのコピー・ペーストを実行する:

fbspamcode (67k image)

  そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。

  それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。

  受け取ったスパムは以下のようなものだ:

friendspam (36k image)

  次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)

  次に、ブラウザの下に以下の表示が現れた:

fbspamcode_latest (5k image)

  このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。

  次に、ポップアップボックスが現れた:

verificationfailnotice (36k image)

  さらに、以下のページにリダイレクトされる:

redirect (66k image)

  作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。

傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:

fbspamcode2 (45k image)

  例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。


----

Threat Insight post by Shantini and Rauf


プラウダがハッキング

  ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」)がハッキングされた。

pravda

  サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介してユーザを感染させようとするエクスプロイトスクリプトをこっそりロードする。成功すれば、訪問者のコンピュータは、部外者がそのマシンにアクセスし、使用することを可能にするボットにヒットされる。

  このような攻撃は非常に悪質だ。エンドユーザは長年の間、毎日同じニュースサイトに行き、それを信頼するようになる。そしてある日、そのサイトは危険なものになり、お気に入りのページを開いただけで、コンピュータを乗っ取られてしまう。

  5年前は、このような大手サイトに侵入した場合、その連中はきまってコンテンツをすべて削除し、フロントページに馬鹿げた画像を表示させた。このごろでは、サイトに目に見えない修正をほどこし、可能な限り気づかれないようにして、何千もの訪問者のコンピュータにアクセスしようとする。

  我々は同サイトがすぐにクリーンになるものと考えている。

pravda


FacebookがHTTPSをオンにするようプロンプトを表示

  今朝、私はある種のiframeタブアプリケーションを使用したPageでホストされている、Facebookスパムをいくつか調べていた。

  (一連のスパムはApplicationではなくPageを悪用している。Facebookは現在、スパムアプリケーションを管理しているようだ。)

  いずれにせよ、このPageのiframeコンテンツは暗号化されておらず、私は一時的に、自分のアカウントのhttpsオプションを停止する必要があった。

  新しいフィードに戻ってみると、以下のように表示された:

Help Protect Your Account with Secure Browsing (https)
Help Protect Your Account with Secure Browsing (https)

  私のアカウントは既にhttps機能をオンにしており、同ページは既に暗号化されていたのだから、このプロンプトが表示されるのは変かもしれないが、Facebookはこうしたバグが多い。

  いずれにせよ、Facebookはユーザにセキュアブラウジングを可能にしている。

  素晴らしい。Facebookに賞賛を。

  httpsセッティングが持続的になり、同機能がダイナミックであるらしい現在、誰もが使用を考えるべきだろう。益は多く、マイナス面はごくわずかしか無いからだ。あなたのFacebookアカウントがまだhttpsを使用しておらず、同プロンプトをまだ見ていないなら、「Account Security」にある「Account Settings」で、同オプションをチェックできる。

では。
ショーン

そう、「Fotos_Osama_Bin_Laden.exe」はマルウェアだ

  我々はオサマ・ビンラディンの死に便乗しようとする、初のマルウェアサンプルを入手したところだ。

  「Fotos_Osama_Bin_Laden.zip」というファイルが、電子メールを介して送信されている。このアーカイブは「Fotos_Osama_Bin_Laden.exe (md5: d57a1ef18383a8684c525cf415588490)」というファイルを含んでいる。

Fotos_Osama_Bin_Laden.exe / Osama bin Laden

  もちろん、このファイルが亡くなったビンラディンの写真を表示することは無い。そのかわりに、「Banload」ファミリーに属するバンキングTrojanを実行する。これは自身を(「msapps\msinfo\42636.exe」として)システムにインストールし、ユーザのオンラインバンキング・セッションを(BHOを介して)モニタし、ユーザの支払いを不正なアカウントにリダイレクトしようとする。

  我々はこれを「Trojan-Downloader:W32/Banload.BKHJ」として検出している。

  一般的なアドバイスとして:みなさんが、ビンラディンの死に関する写真やビデオをオンラインで見つける見込みはなさそうだ。しかし、それらを検索しようとすれば、確実にマルウェアサイトに導かれるだろう。ご用心を。








ケイト・ミドルトンのドレス画像を検索する際は慎重に

  現実の出来事はしばしば、ものすごい数のオンライン検索を引き起こす。先頃起こった日本の地震と、それに続く津波は、世界の注目をGoogleに集めた突発的出来事の良い例だ。そしてGoogleの検索結果のトピックトレンドとして、検索エンジン最適化(SEO)攻撃が試みられる。我々は3月11日の記事で、情報検索の際に用心するよう勧めている。

  同記事では、GoogleがSEO攻撃を阻止するため、かなり良い仕事をしており、検索結果からフィルタリングしていることも指摘した。Webの結果がということだが…

  昨年の10月以来、我々は画像ベースのSEO襲撃が安定して成長しているのを見てきた。Googleが悪意あるサイトSEOに対する(追いつ追われつの)戦いに勝利しているため、攻撃者の中には画像検索にシフトする者がいるのだ。画像ベースのSEO攻撃は、より一層の技術的チャレンジだ。トレンドに追随し、次にホスティングされた攻撃サイトに結びつけるかわりに、攻撃者はトレンドとなっているトピックを特定の画像に結びつける必要があり、次にその画像を障害が起きたサイトにリンクし、そこから攻撃者のサイトにリンクする必要があるからだ。

  我々のThreat Insightsチームが調査してきたのは、興味をそそられる進化だ。

  しかし、それに関しては今後の記事でより詳細を提供する予定だ。

  今日は、明日大量に検索される画像がケイト・ミドルトンのウェディングドレスだろうということを指摘したい。

  人々はウイリアム王子とケイト・ミドルトン嬢の結婚式について記事を読むだけでなく、見たいと思うだろう。そして明日、Googleの画像検索はこれまで以上に利用されるだろう。

  我々は既に、「ロイヤルウェディング報道」SEO攻撃を目撃しつつある。

  以下は、結果に何人かの有名なサッカー選手を含む例だ:

SEO image attacks

  この画像は「0611-soccer-studs1-credit.jpg」という名で、「lingerie-now-com」にリンクしている。

  ホストサイトがバックグラウンドでロードされている間に、Googleのプレビューが前面でロードされる。

SEO image attacks

  次に起きるのは、バックグラウンドサイトが攻撃サイトにリンクされ、そのページを引き継ぎ、スケアウェア攻撃の試みに関する警告メッセージを表示する。

SEO image attacks

  以下がリンケージだ:

SEO image attacks

  このサイトは次に、アニメーションの「オンラインScan」を生成する:

SEO image attacks

  結果は全て、もちろんナンセンスで、以下の例はクリーンなテスト用マシンからのものだ:

SEO image attacks

  残念なことに、SEOによるスケアウェア攻撃は相対的に言って、非常に上手くいっている。消費者はこの種の攻撃により、数百万ドルも搾取されているのだ。

  だから、もしあなたに結婚式の画像を探す予定があるなら、こうした潜在的脅威に注意してほしい。

SEO image attacks

  「ロイヤルウェディング」に対するGoogleのWebサーチ結果では、ページのトップに二人のオフィシャルサイトが表示される。

  そして、他にも画像ベースのSEO攻撃のタイムリーな例として、昨日、ホワイトハウスによりリリースされた、バラク・オバマ合衆国大統領の出生証明書を検索した人々を標的とした攻撃があり、「GFI Labs」のChristopher Boydが記事を掲載している。

iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している

フォレンジックリサーチャのAlex Levinsonが、iPhoneの所在地をマッピングする方法を発見した。情報はiPhoneにあるロケーションキャッシュファイルから得られる(Library/Caches/locationd/consolidated.db)。

  実際には、同ファイルはユーザのトラベルヒストリを含む。

Apple iPhone location

  このファイルには、iPhone上のサードパーティのアプリによってアクセスできないことは注意すべきだ。そのためには、ルート権限が必要だからだ。しかし、同ファイルは標準的なiPhone同期の間、PCやMacにコピーすることができ、そこから利用できる。

  昨日、セキュリティリサーチャのPete WardenとAlasdair Allanが、このようなファイルを取得し、地図上にユーザの動きを示すことができるアプリケーションをリリースした。

UFED Physical Pro iPhone forensic examination  今やこれは、プライバシーの観点から見ると嫌な感じがする。たとえば当局が、ユーザがどこにいたかを知るために、電話のフォレンジック調査を行うべく、裁判所命令を獲得することになるかもしれない。

  しかしそもそも、Appleは何故この情報を集めているのだろうか? 我々にははっきりとは分からない。しかし、Appleのグローバルロケーションデータベースと関係しているのではないかと思う。

  Googleのように、AppleはWi-Fiネットワークのロケーションに関するグローバルデータベースを有している。彼らはこれを、GPSを使用せずにユーザのロケーションを推定するために使用する。たとえば、ロンドンの特定の街区にあるとAppleに分かっているMACアドレスを持つ、3カ所のホットスポットをあなたの端末が表示するなら、あなたがそのブロックにいることはまず間違いない。

  我々はGoogleがロケーションデータベースを集めた方法を知っている。彼らはGoogle Maps Street Viewの車を各地に走らせ、世界中で情報を記録したのだ。

  Appleはどこで、自前のロケーションデータベースを獲得したのだろう? Skyhookという名の企業からライセンスを受けていた。ではSkyhookはこの情報をどのようにして獲得したのだろう? Googleのように、彼らは自分たちの車を世界中に走らせた

  しかしSkyhookのデータベースは高価だ。そこで2010年4月にリリースされたiPhone OS 3.2から、AppleはSkyhookのロケーションデータベースを自分たちのそれと入れ替え始めた。

  そして本当の問題は、Appleがどのようにして、自分たち自身のロケーションデータベースを作成したのか、ということだ。彼らは世界中に車を走らせてはいない。そうする必要は無かった。Appleには世界中いる既存のiPhone所有者に、その仕事をさせたのだ。

  最新のiPhoneを使用すれば、同端末は1日に2回、ユーザのロケーションヒストリをAppleに送信する。これは同デバイスのデフォルトのオペレーションだ。

Apple iPhone location

  それはどのように行われるのか? 最初にユーザの許可を求めることによってだ。iTunesをインストールする際にオプトインプロセスがあるのだが、プロンプトは非常にまぎらわしい:

iTunes location

  iTunesのこのプロンプトは、ダイアグノスティック情報に関してAppleの手助けをして欲しいということを言っている。ユーザのロケーションを記録することに関しては、何も触れていない。Appleのプライバシーポリシープライバシーポリシー日本語 )を読めば、何を行うかは確かに説明されているのだが:

   アップル製品でロケーションベースのサービスを提供するため、Appleとパートナー企業およびライセンス取得者は、Appleのコンピュータやデバイスのリアルタイムな地理的ロケーションを含むロケーションデータを収集、使用、共有する可能性があります。
   このロケーションデータは、ユーザを個人的に特定しない形で、匿名で収集され、Appleとパートナー企業およびライセンス取得者により、ロケーションベースの製品、サービスの提供、改善のために利用されます。

  我々は、iPhoneで発見された新たなロケーションデータベースが、この機能に結びついていると考えている。たとえそれがAppleに送信されていないとしても、iPhoneは常に、あなたのロケーション情報を収集しているのだ。

ますます変化するWeb

  ショートURLサービスは問題をはらんでいるが、IPロケーションテクノロジとの組み合わせで、より一層問題になっている。

  今朝早くのtwitter.comから:

http://twitter.com/#!/olasher/status/59923780021141504

  細かく見れば、「@olasher」というスパムボットが、他のスパムボット「@MorabsShimb3554」に答えていることに気づくだろう。見え透いているのでは?

  さて、「@olasher」アカウントはあまりに明白なので、作成されて数時間以内に、Twitterが同アカウントを停止している。しかし「@MorabsShimb3554」はより巧妙で、読者にow.ly linkを「コピー&ペースト」するよう促すことで、気づかれないように行動しようとしている(今までのところ成功している)。

  ow.lyショートリンクは「http://fi.toluna.com/Register.aspx」に「maxbounty.com」を介して導かれ、フィンランドからはリダイレクトしているが、スパマが儲けを期待できる手法として、アフィリエイトIDが付けられている。

  ow.ly linkがいくつのサイトを開くかについては、見分ける良い方法は無く、それはひとえに、ユーザの拠点(IPアドレス)とMaxBountyコミッションの数による。

  Twitterには、ショートURLを広げることで手助けしようとする、非常に素晴らしいツールティップ機能があるが、アメリカ合衆国中心であるのが難点だ。表示されるリンクは、twitter.comのホームIPアドレスに基づいている。これは正当なリンクでは上手く行くが、スパムや悪意あるリンクでは必ずしもそうとは言えない。結果がロケーションにより異なるためだ。

  そしてTwitterは、何かの理由でエンドポイントに拡大できないことがある。

  「@olasher」がプッシュしたリンクを見てみよう:

http://bit.ly/gwkWzD+

  これは別のショートURLサービスで、広告でショートURLを収益化しようとする「adf.ly」を示している。

adf.ly

  フィンランドのベースのIPアドレスから、このadf.ly URLはGrouponの「citydeal.fi」といった合法的なサイトに通じていることが分かる。また、アフィリエイトIDが付属している。ヨーロッパ内でも、多くのバリエーションが存在しうる。

Groupon, CityDeal

  広告をスキップするためクリックすると、amazon.comにアクセスすることになる。

Amazon affiliate iPad

  そしてそう、「iPad 2」ページにも、もう一つのアフィリエイトIDがある。

  この例で使用されているリンクはすべて、どちらかと言えば無害だ。しかし残念なことに、IPロケーションテクノロジと結びついたショートURLサービスが、無害なアフィリエイトIDスパムに繋がるケースは氷山の一角に過ぎない。より悪意あるリンクが待ち受けているのだ。

  ではどうすべきか?

  bit.lyなどへの機能の提案として、本当に正当な理由がなければ、他のショートURLサービスへのURLを認めない、という考えがある。

  ショートURLは役に立つのだから、スパマやスケアウェアベンダのために、その価値を損ねないでほしい。

トロイの木馬:SymbOS/Spitmo.A

SpyEye IMEI  3月17日に我々は、「SpyEye」エディションという新たなMan in the Mobile(Mitmo) 攻撃に言及した

  以下は、我々のThreat Researchチームからのメモだ:

  このSpyEyeの亜種は、ヨーロッパの銀行に対する攻撃に使用されている。同行は振替の認証にSMSベースのmTAN(携帯電話のトランザクション認証番号)を使用している。このトロイの木馬は、銀行のWebページにフィールドを入れ、カスタマに携帯電話の番号と電話のIMEI(端末識別番号)を入力するよう促す。同行のカスタマは次に、この情報を入力することで「証明書」を携帯電話に送信することができると言われ、証明書の準備に最大で3日かかると知らされる。

  この亜種(そして同じキットで作成された他のSpyEye亜種)を我々は「Trojan-Spy:W32/Spyeye.AG」として検出している。

  いわゆる証明書である同マルウェアのSymbianコンポーネントは、「Trojan:SymbOS/Spitmo.A」として検出されている。

  「Spitmo.A」は悪意ある実行ファイル(sms.exe)と、「SmsControl.exe」という名の実行ファイルを含む他のインストーラを含んでいる。「SmsControl.exe」は、同インストーラが本当に証明書だとユーザをだますため、「Die Seriennummer des Zertifikats: 88689-1299F」というメッセージを表示する。

  「SmsControl.exe」という名称は、「ZeusMitmo」の亜種が実際のトロイの木馬を含むファイルに同じファイル名を使用したが、相当な偶然だ。トロイの木馬を証明書に見せかけるのも、「ZeusMitmo」が使用しているトリックだ。しかし、コードそのものは「ZeusMitmo」とはまったく異なっているように見える。SMSベースのmTANが、どのように攻撃者に送られるかに関する全詳細は、現在まだ調査中だが、「ZeusMitmo」のようにSMSではなく、HTTPを介して送られるようだ。

  このトロイの木馬は、デベロッパ証明書で署名されている。デベロッパ証明書は特定のIMEIと結びついており、証明書に記載されているIMEIを持つ電話にのみインストールすることができる。このような理由で、同マルウェアの作者(たち)は、銀行サイトで電話番号に加えてIMEIを請求しているのだ。新しいIMEIを受けとると、彼らは全犠牲者のため、IMEIを使用して更新された証明書をリクエストし、新たな証明書で署名された新しいインストーラを作成する。可能性のある同証明書のソースは、OPDA(http://cer.opda.cn/en)だ。異常に長い組織名(「Beijing shi ji yi jia wang dian zi shang wu you xian gong si」)を検索すると、OPDAに関連するヒットを返してくるのだ。新しい証明書の獲得に時間がかかることが、「SpyEye」で注入されたメッセージが何故、証明書の提供までに最高3日かかると述べているかを説明している。

  トロイの木馬が含んでいるのは:

  •  c:\Private\E13D4ECD\settings.dat — 「http://[*].net/input.php」「http://[*].net/delete.php」という二つのURLを含む。
     — 以下も含んでいる:c:\Data\delete.sis — sms.exeは他のアプリケーションをこっそりインストールするコードを含む。
  •  c:\Private\E13D4ECD\first.dat — 存在するならsms.exeにより削除される空のファイルで実行チェックとして使用される。
  •  c:\sys\bin\Sms.exe — インストール後に実行されるペイロード。
  •  c:\private\101f875a\import\[E13D4ECD].rsc — 電話がオンになるとsms.exeを動作させる。

組込形インストーラSmsControl.sis:

  •  c:\resource\apps\SmsControl.r01
  •  c:\private\10003a3f\import\apps\SmsControl_reg.r01
  •  c:\resource\apps\SmsControl_aif.mif
  •  c:\Private\EAF7F915\data.txt — ユーザに表示されるメッセージを含む。
  •  c:\sys\bin\SmsControl.exe — インストール後に実行され、おとりメッセージを表示する。

追記 SHA-1:

Spitmo.A: 11d21bb2a63da2a0374a1dbbe21ddb4c5d18b43e
SpyEye trojan: d7d60f4a8ae05aa633c36a10b52464ee3295c18d

そして以下が、おとりメッセージのスクリーンショットだ:

Spitmo.A decoy message

「CVE-2011-0609」を使用した攻撃

  標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用したものだ。

  以下は、そうした電子メールのスクリーンショットで、Contagioから提供された。

jnr

  関連するXLSサンプルは以下のハッシュを持つ:

  •  4bb64c1da2f73da11f331a96d55d63e2
  •  4031049fe402e8ba587583c08a25221a
  •  d8aefd8e3c96a56123cd5f07192b7369
  •  7ca4ab177f480503653702b33366111f

  我々はこれらを「Exploit.CVE-2011-0609.A」および「Exploit:W32/XcelDrop.F」として検出している。

  我々が目にした他のサンプル(md5:20ee090487ce1a670c192f9ac18c9d18)は、既知の脆弱性(CVE-2011-0609)を利用する埋め込みFlashオブジェクトを含むExcelファイルだ。XLSファイルが開かれると、これは空のExcelスプレッドシートを表示し、Flashオブジェクトを介してエクスプロイトコードを開始する。

  このFlashオブジェクトは、以下のシェルコードを含むヒープスプレーを実行することからスタートする:

heapspray

  第一のシェルコードはExcelファイルに埋め込まれた第二のシェルコードに、実行をロードしパスするだけだ:

shellcode

  第二のシェルコードは、EXEファイル(Excelファイルに埋め込まれてもいる)の解読、実行の役割を果たす:

second shellcode

hiew

  一方、Flashオブジェクトは、第二のFlashオブジェクトをランタイムで作成し、ロードする:

Flash

  この第二のFlashオブジェクトが、同マルウェアの主要なエクスプロイトで、「CVE-2011-0609」を利用してヒープでシェルコードを実行する。我々は一般的に同Flashオブジェクトを「Exploit.CVE-2011-0609.A」として検出している。

  余談として:この主要なエクスプロイトは、検出されるのを避けようとして、このような形で配布されたようだ。メモリでロードされるため、アンチウイルスエンジンがスキャンに利用できる物理ファイルが存在しない。Excelファイルに主要なエクスプロイトをロードするFlashオブジェクトを埋め込むことは、さらに攻撃を隠そうとする試みかもしれない。

  幸いなことに、悪意のあるExcelファイルとその組込EXEファイルは、「Exploit.D-Encrypted.Gen」および「Trojan.Agent.ARKJ」として検出されている。

  しかし、Adobeが既にこの脆弱性に対するパッチを公開しているので、ユーザはFlashプレイヤーをアップデートすべきだ。詳細については、「CVE-2011-0609」に関するAdobeのセキュリティアドバイザリを見てほしい。

Threat Solutions post by — Broderick

「ChronoPay」およびICPPスキャム

  今回もまた、Brian Krebsがデータセキュリティブロガーの規準を設けた。彼のブログの最新記事で、ロシアのオンライン決済プロセッサ「ChronoPay」が、様々な種類のオンライン犯罪に関わっていることを詳述している。

  特に面白いのは、「ICPP Copyright Foundation」恐喝事件との関連だ。

icpp-online fraud

  我々は、このトロイの木馬が広く流布されていた2010年4月に、同事件について記事を掲載した。これは感染したコンピュータをロックし、システムから発見された著作権侵害のリストを表示する。そして、ユーザが「罰金」を支払うためクレジットカードを使用しない限り、システムをアンロックしようとしない。

  Krebsにリークされたメールは、「ChronoPay」が直接、この詐欺と関係したことを示している。以下に示されたメールのトピックにしても、「icpp-online.com Fraud Rate(詐欺のレート)」というタイトルだ。

icpp

  全文はKrebs On Securityで読んで欲しい。

英国でオンライン犯罪者5名に判決

  フォーラムに自分の保釈シートを投稿したオンライン犯罪者について議論した、昨年8月の我々の記事をご記憶かもしれない。

  彼は今日、ロンドンで有罪判決を受け、懲役4年の刑を申し渡された。同じ判決で、他の男性2人、女性2人にも有罪判決を下され、懲役18カ月から4年、地域奉仕活動への参加という刑が申し渡された。

  スコットランドヤードの発表は以下の通り:

  違法に入手したクレジットカード情報や、コンピュータ犯罪を行うためのツールの売買を行うオンライン「犯罪フォーラム」を設立した若いインターネット詐欺師のグループが本日、合計15.5年の刑で拘置された。

[A] Gary Paul Kelly(1989年4月14日生 - 21歳)Clively Avenue, Clifton, Swinton, Manchester在住・無職;

[B] Nicholas Webber〔1991年10月10日生 - 19歳)Cavendish Road, Southsea在住・学生;

[C] Ryan Thomas(1992年7月8日生 - 18歳)Howard Road, Seer Green, Beaconsfield, Herts在住・Webデザイナー;

[D] Shakira Ricardo(1989年11月14日生 - 21歳)Flat 13, J Shed, Kings Road, Swansea SA1在住・無職;

以上4名は本日(3月2日水曜日)、サザク刑事裁判所で2日間の審問を経て、コンピュータの不正使用と詐欺罪により判決を受けた。全員が以前の審問で有罪を認めた。

+ [E] Samantha Worley(1988年9月30日生 - 22歳)J Shed, Kings Road, Swansea SA1在住・無職。2010年12月14日、犯罪的な資産を取得したことにより地域奉仕活動を行うよう判決を受けた。

  同グループは最大の英語版オンラインサイバー犯罪フォーラムに関与していると見られており、「Metropolitan Police Service」の「Police Central e-Crime Unit(PCeU)」捜査官による入念な捜査が行われ、全員が2009年と2010年に逮捕された。

  11カ月の調査期間中、捜査官は被告らがクレジットカードおよびデビットカード詐欺、(パスワードや暗証番号を含む)個人情報の売買、悪意あるコンピュータプログラム(マルウェア)の作成、交換、感染したパソコン(BotNet)のネットワークの確立とメンテナンス、警察の活動を回避し、裏をかく方法など、犯罪を行う方法に関するアドバイスを提供するチュートリアル、脆弱な商業サイトやサーバの詳細の交換など、個人情報の電子的な窃盗を促進、助長した(8000名以上のメンバーを擁する)国際的フォーラムに、直接関与していた証拠を発見した。

  フォーラムの設立者はWebberだ。「www.GhostMarket.net」という名のWebサイトを設立し、「管理者」としてサイトを包括的にコントロールしていた(すなわち、彼はメンバーの受け入れや拒否、彼らの投稿の修正、投稿、そしてフォーラムでのメンバーのステータスの変更が行えたということだ)。

  再構築された同フォーラムとそのデータベースの調査により、氏名、生年月日、銀行情報、パスワード、Paypalアカウント、社会保障番号を含む個人の情報に関する、数千ものデータエントリが明らかになった。サイトメンバーは、銀行口座の番号、暗証番号、パスワードなどを含む数千の個人情報、Zeus Trojanやクレジットカード検証プログラムを含む様々なタイプの犯罪的ソフトウェアといったマルウェアが含まれる障害の起きたデータベースの売買をしていたと考えられている。

  同フォーラムでは、以下のようなトピックが扱われていた:「フィッシングキット(無料フィッシングキットの投稿および販売)」「技術を示す(あなたのスキルをここで皆に示そう)」「チュートリアル(有益な情報をここに投稿)」「クレジットカード詐欺の標的(あなたがカード詐欺を行ったサイトをここに投稿)」 他にも、警察を回避する様々な方法や、ブランクプラスチックにクレジットカードのデータをエンコードする方法について、また規制薬物(クリスタル・メスといった覚醒剤)の製法、爆弾製造に至るまで、アドバイスやチュートリアルが掲載されていた。

  同サイトのメンバーは、ハンドル名を使用して匿名で情報交換を行っていた。かれらは同サイトで、さまざまなフォーラムトピックにメッセージを投稿し、他のサイトメンバーを相手に、セキュアなプライベートメッセージの送受信を行う事ができた。

  調査期間中、捜査官は被告のコンピュータから13万以上のクレジットカード番号を回収した。これは、カード1枚に対して120ポンドの商業損失と換算され、カード番号のみに関し、1580万ポンドの産業損失と換算される。

  2009年11月3日、捜査官はKellyの自宅住所で捜索令状を執行したのち、彼を逮捕した。捜索が行われ、調査のため複数のコンピュータ、携帯電話が押収された。

  Kellyは、独自に高度かつ悪意あるZeusコンピュータプログラムを作成し、Webにまき散らしていたことが確認された。同プログラムにより彼は、150以上の国で1万5000台以上のコンピュータを感染させ、それらのコンピュータから大量のクレジットカード番号や機密性の高い他の個人情報を含む、400万行以上のデータを収集していた。

  Kellyから関連パスワードの提供を受け、捜査官は彼のPCのファイルを使用し、「GhostMarket」フォーラムとデータベースの再構築を行った。

  これに先立ち、10月12日、WebberとThomasがセントラルロンドンの五つ星ホテルで、盗難にあったカード情報を使用してペントハウススイートの宿泊費を払った罪により逮捕された。彼らはオンライン広告に応じ、匿名の個人に金を支払ったと主張した。

  捜査官がさらなる調査を行う間、彼らは保釈されたが、ラップトップなどが押収された。さらに、彼らは「バーチャルマーケティングの新時代」、署名欄に「I'm a carder, ask about me...」と書かれ、「GhostMarket」のロゴをこれ見よがしに表示した名刺を所有していることが分かった。

  「GhostMarket」犯罪フォーラムとの二人組の関わりは、すぐに確認され、保釈後、姿をくらました彼らを、盗難クレジットカード犯罪に関して追跡するべく捜査が行われた。

  二人は10月31日、マヨルカ島のパルマに飛び、Port D'andraxのアパートを借りて暮らしていることが分かった。

  2010年1月29日、パルマから戻った彼らはガトウィック空港で逮捕された。

  翌日、Webberの自宅の捜査により、さまざま名犯罪行為を行うためのステップバイステップの手引きを概説した、一連のファイルを保存したコンピュータが確認された。

  証拠の量が多く、同事件が複雑であったことから、両人は後日出頭するということで保釈となった。

  捜査官たちはその後スペインに向かい、スペイン警察の協力を受けてThomasとWebberが借りていたアパートの捜索を行った。部屋は空だったが、現地調査の結果、荷物は英国の住所宛に送られたことが確認された。

  さらなるコンピュータ機器のみならず、それらのアイテムもその後回収された。

  押収したコンピュータや他のデジタルストレージデバイスのフォレンジック調査を通じて、また再構築された「Ghostmarket」サイトを通じて確保された証拠を介して、捜査官はフォーラムのメンバーと目されるRicardoを特定。南ウェールズ・スウォンジーにいることがつきとめられた。当初は完全な初心者としてサイトに参加したものの、Ricardoは時が経つにつれて進歩し、直接カード詐欺やコンピュータマルウェアの活動に関与するようになった。

  財政面の調査により、Ricardoから彼女のパートナーであるWorleyの銀行口座に支払いが行われていることが確認され、詐欺罪で起訴された。

  「Police Central eCrime Unit」のColin Wetherill警部補は言う:「被告らは洗練されたサイバー犯罪者であり、英国および海外の個人、企業のコンピュータに対し、組織的に大量感染させる行為に従事していました。

  「彼らは犠牲者から違法に個人情報や財政情報を収集し、利益を得るために悪用したのです。

  「GhostMarket犯罪フォーラムは、世界中で活動する数千のコンピュータ犯罪者および詐欺師により利用されました。

  「このフォーラムを通じて、被告らは広範な犯罪者ネットワークを構築し、障害の生じたクレジットカード情報、機密性の高い財政情報や個人情報、悪意あるコンピュータプログラム、および他の洗練されたツールや犯罪者サービスの卸売を助長しました。

  「彼らの逮捕、起訴、そして有罪判決は、サイバー犯罪に対する我々の取り組み、そしてそうした犯罪に起因する被害を減らそうとする我々の努力における、意義ある前進を意味していると言えるでしょう。」

+ 被告全4名の完全な財政調査は、現在進行中だ。

Facebook HTTPS:実現は完璧よりも優れているのか?

  私のFacebookアカウントが先週ついに、「可能な場合は常に」HTTPS接続を使用するオプションの提供を開始した。

  同オプションは「Account Settings」ページの「Account Security」セクションにある:

Facebook Account Security

  そこで私はこのオプションを選択して、変更を保存した:

Facebook Account Security

  それで、FacebookはセキュアなHTTPS接続をデフォルトに設定している:

https://www.facebook.com/?sk=nk

  あるいは、私はそう考えていた…(詳細は以下)

  今日、私は「http://omg」についてFacebookサーチを行い、スパムに遭遇した。

  典型的なFacebookスパムのエサ「see who stalks your profile(誰があなたのプロフィールをストーキングしているか見る)」だ:

OMG, see who stalks your profile...it's Working

  このリンクをクリックすると、以下の表示が開いた:

Switch to regular connection (http)?

  オーケー… このアプリケーションはHTTP接続でのみ見られるのだろう。

  そこで私は「Continue」ボタンをクリックした。

  そして以下が、同アプリケーションが許諾を求める「Request for Permission」だ:

Request for Permission

  うーん、「Who Spends Watching Your Profile?」の開発者は誰だって?

Who Spends Watching Your Profile?

  Justn Bieber? Justn?

  なるほど。さて、我々は現在、このスパマーの標的となるグループが分かっている。

  「Justn Bieber」は、ジャスティン・ビーバー・ファンページについてのコメントに時間を費やしているようだ:

Justn Bieber

  私はこのスパムアプリケーションをFacebookに報告し、立ち去った…

  その少し後で、私は自分のアカウントがもはやセキュアでないことに気づいた:

http://www.facebook.com/?sk=nf

  待てよ、何だって?

  設定をチェックしたところ:

Facebook Account Security

  セキュリティ設定が取り消されている? だが、このオプションは「可能な場合は常に」のはずであり、「標準接続」に切り替える、以前のプロンプトは、単に一時的なものだったのでは?

  いや。

  数回テストしてみたが、毎回、アプリケーションが「標準接続」を「続ける」よう求め、デフォルトの「Account Security」設定がHTTPに戻っていた。

  これに最初に気づいたのは私ではない。Facebookはこの問題を認識しており、SSLプリファランスを持続させるよう作業を行っている

  Facebookはこのような事を故意に行っているのでは、と言うであろう皮肉な人たちもいるはずだ。個人的に、私はそうは思わない。単なる見落としだろう。

  何故って?

  Facebook HQからの以下の写真を見てほしい:

Move fast and break things — Done is better than perfect

  何が見えるだろうか?(ケイティ・ペリーではなく。もう一度見てほしい。)

  ドアの上だ。「move fast and break things(迅速な行動が物事を動かす)」「done is better than perfect(完璧を目指すより実現すべし)」という言葉が見えるだろうか?

  それで分かった。なるほど。Facebookは革新に向け突き動かされているのだ。

  (Googleが王座を奪おうとしている状況の中)彼らは成長し、ソーシャルネットワーキングの先頭にとどまる必要がある。

  しかし、「Account Security」設定に関して言えば、完璧を目指すよりも実現することの方が、本当にベターなのだろうか?

  完璧である必要は無いが、個人的には、中途半端よりは完成したものの方が良いと思う。

  中途半端は、長い目で見れば混乱を引き起こすだけだ。

  それでは、我々が中途半端な結果を得る理由は何だろう? 率直に言って、(ある程度)Twitterのせいだと私は思う。

  まじめな話だ。

  Blogosphere(ブログ圏)は現在Twittersphereであり、昨年10月、Firesheepがニュースになったとき、Twittersphereはツイートを開始した。ではFacebookは? 彼らは人々に、彼らが要求していたもの、すなわちHTTPSオプションを提供した。

  このオプションがいつ中途半端でなくなるかは、実際、問題ではないのかもしれない。Twittersphereはいずれにせよ、次の旬なトピックについてツイートするのに忙しく、気づかないだろうから。

では、
ショーン

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード