エフセキュアブログ

12 を含む記事

世界中の技術者とセキュリティスペシャリストを目指しませんか?

エフセキュアは、フィンランドで1988年に産声を上げて以来、23年にわたりセキュリティに取り組んでいる業界の老舗で、世界規模でセキュリティサービスを提供しています。エフセキュア株式会社は、エフセキュア社100%出資の現地法人として設立され、以降、順調に企業規模を拡大しており、2009年5月に日本法人設立満10周年を迎えています。

そんなエフセキュア株式会社で、新たにエンジニアを募集することになりました!

自らの経験を生かし、幅広い視野を持ちながら、日々進化するセキュリティ脅威に対応するエフセキュアの最先端の技術をビジネス パートナーへ届け、共にビジネスの拡大を目指してチャレンジできるポジションです。

担当して頂くのはパートナーおよびユーザーへ製品やソリューションを技術的な観点からプロモーションしていくSE(セールス エンジニア)業務。 グローバルカンパニーであることを生かし、各国のSEとのコミュニケーションが必須で、活躍の場はグローバルに拡がります。

詳しくはこちら

我こそはっ!とおもわれる志のある方、ご応募お待ち致しております。

三菱重工を襲ったサイバー・クライム

三菱重工を狙ったサイバー攻撃が明らかになったことを受けて、書籍「サイバー・クライム」の著者ジョセフ・メン氏からコメントが届きました。

『先日三菱重工を襲った一連のサイバー攻撃は、日本にとっては前例のない出来事だったかもしれないが、過去数年間にわたり、米国をはじめとする多くの国の防衛産業が直面した攻撃手法に酷似している。それらの攻撃を分析すると、多くは中国につながる。著書「サイバー・クライム」においても度々言及しているが、サイバー犯罪者と国家のスパイ活動の境界線はますますあやふやになっており、個人や企業はもちろん、国家間の政治的な均衡までが危険にさらされているといえよう。』

「サイバー・クライム」を日本で発売するにあたり、初めてメン氏と対談したのが2011年2月でした。アノニマス、ソニーが世間を騒がせ始めた頃です。彼は対談の中で、今後サイバー攻撃の標的にされうる企業として、国家の安全に関わる事業を担っている企業を複数挙げました。その中には三菱の名前も含まれていました。これは決して偶然ではなく、彼がジャーナリストとして行った膨大な調査から導き出された必然的な結果だと思います。

そしてついに、書籍「サイバー・クライム」が発売になりました。対談の様子も収められています。
表紙と目次です。
cybercrime

はじめに
本格的に日本を襲い始めたサイバー・クライム

PART1
1  ウォーゲーム
2  サイバー潜入捜査
3  裏社会の深部へ
4  決意
5  清算
6  サイバー・クライムの歴史 スパムから個人情報へ

PART2
7  すべてを賭して
8  デイ・オブ・アクション
9  闇のマーケット
10 裁判
11 犯罪を超えた犯罪
12 今、なにができるか

巻末特別対談
中国・ロシアのハッカーを警戒せよ
 ジョセフ・メン×福森大喜

ドイツ当局によるバックドアに関する追加情報:Case R2D2

先週、ドイツ語ベースの「Chaos Computer Club」(CCC)が、ドイツの法律に反して当局が使用していると主張する、バックドア型トロイの木馬に関する詳細を発表した。

  そして、許可された範囲内でという但し書き付きで、ドイツのいくつかの州が「Backdoor:W32/R2D2.A」〔別名「0zapftis」)の使用を認めた

  1つのケースでは、ミュンヘン国際空港で税関・出入国管理を容疑者が通過する際、彼のラップトップにトロイの木馬がインストールされた。

  以下は、このバックドアに関するさらなる詳細だ。

  CCCのレポートには、同バックドアのDLLおよびカーネルドライバの分析が含まれている。CCCはインストーラを入手できなかったようだ。(それは容疑者のコンピュータ上に、ローカルでインストールされたのかもしれない。)

  我々はインストーラを入手している。

  以下は、エフセキュアのマルウェア格納システムからのスクリーンショットだ:

scuinst.exe

  このインストーラファイルは「scuinst.exe」という名称だ。最初に発見されたのは2010年12月9日。

  「scuinst.exe」というファイル名で重要なのは何だろう? これは「Skype Capture Unit Installer」の略語だ。「Skype Capture Unit」は、ドイツ、バイエルンのハイガー市にある「Digitask」という企業により開発された商用トロイの木馬の名称だ。Digitaskおよび「Skype Capture Unit」のバックグラウンドに関する詳細情報は、Wikileaksによるこれらのドキュメントを見て欲しい。そして以下は、ドイツの税関調査委員会が「Digitask」から2075256ユーロで監視サービスを購入したことを示している。200万ユーロだ。

digitask

  我々のシステム自動化は「scuinst.exe」が気に入らず、カスタマのコンピュータで自動的にブロックされるようセットした。「ヒューリスティック」カテゴリは、我々のオートメーションが、エフセキュアのアナリストが作成した規則に基づいて同ファイルを警告したことを示している。

  エフセキュアのカスタマで、「R2D2」にさらされた人はいるだろうか?

  いや。カスタマが一人としてこのバックドア(CCCの発表以前にインザワイルドだった)と遭遇していないことは、我々の統計に示されている。

  では、エフセキュアはどのようにしてインストーラのコピーを入手したのか?

  我々(そして他の多くのアンチウイルスベンダ)は、「virustotal.com」からファイルを受けとった。

  実際、このインストーラはVirustotalに何度か提出されている:

scuinst.exe

  では、多くのアンチウイルスベンダがインストーラを有しているのだろうか?

  そうだ。VirusTotalは、複数のアンチウイルスエンジンで疑わしいファイルを分析し、検出名のリストを提供するサービスだ。VirusTotalは協調的な取り組みで、参加者なら誰とでもサンプルのシェアを行う。

  検出が存在しなければ、プロテクションもないということなのか?

  いや。多くのアンチウイルス製品(たとえば「エフセキュア インターネット セキュリティ」)は、従来のシグネチャ検出に勝る、付加的なプロテクションのレイヤを有している。脅威がシグネチャ「検出」に対応していないからといって、プロテクションの他のレイヤによって「ブロック」されないということは意味しない。

  この場合、R2D2のインストーラは、従来のシグネチャデータベース検出が公開される前に、我々の「クラウド」レイヤによりブロックされていただろう。

  では、VirusTotalが誰とでもシェアするなら、バックドアを秘密にしておこうとしながら、そこにアップロードするのはバカげているのでは?

  そう。プロのマルウェア作者がブラックマーケットマルチスキャナを使用するのは、そうした理由による。

  では何故、R2D2の作者はそれを提供したのか?

  おそらく彼らがバックドアのインストーラを「テスト」するための方法として知っていた、唯一の方法だったのだろう。

  あるいは、バックドアのライフスパンと効果が減少しても、気にならなかったのかもしれない。

  あるいは、ドイツ政府(そしてバックドアを作成するのに雇われた企業)は、アンチウイルス業界が何をするか、そしてカスタマを保護するために、我々がどのように協力し合うかということを、よく理解していなかったのかもしれない。

  我々は全員参加しているのだ。

OWASP AppSec Conference

 みなさんこんにちは。Rakuten-CERTの福本です。Rakuten-CERTでは最新のセキュリティ情報をインプットすべく、様々なセキュリティカンファレンスに積極的に参加する機会を設けているのですが、今回はOWASP AppSec USA Conferenceにうちのメンバーを2名派遣してきました。

owasp1owasp2

こちらは会場の様子。

 OWASP AppSecはWebセキュリティに特化したカンファレンスで、僕たちのようなWebサイト側で働くセキュリティエンジニアにとっては、かなりフィットした内容になっているのかなと思います。そして、AppSecのハンズオントレーニングもかなり興味深いものが多いです。ちなみにうちのメンバーは以下のコースを受講して、多くのインプットを持って帰って来ました。

・Building Secure Ajax and Web 2.0 Applications (Dave Wichers / Aspect Security)
・Designing, Building, and Testing Secure Applications on Mobile Devices (Dan Cornell / Denim Group)

 Aspect SecurityといえばWebGoatを中心的にやっているところですね。この前者のコースはテキストが200ページ近くあってかなりのボリュームなのですが、基本的なチェックポイントが体系的に整理されていて大変参考になるものでした。そして、Rakuten-CERTでは今後の強化ポイントとして、smartphoneアプリの診断テクニックをリサーチしているのですが、後者のトレーニングもチェックの網羅性を高めるうえで極めて良いインプットになったのかなと思います。他にもtalkの方では、Ghosts of XSS Past, Present and Futureでの、ここ数年でXSS対策がContextごとに細かなケアーが必要になって来ている話が興味深かったり(やっぱり、新しい攻撃手法にキャッチアップし続けて対策方法にFBし続けるのが大事だなあって・・)、Gray, the New Black: Gray-Box Web Penetration Testingでの、同じスキルで競い合っても攻撃者側の方が時間的に有利なので、防御側はソースコードにアクセス出来る利点を活かして効率的に脆弱性発見し修正しましょうという話しも興味深く、特にこのネタは会場でも盛んに議論され注目度も高まっているようでした。
こちらtalkの方の資料は一般公開されているので、興味があれば読んでみてはいかがでしょうか。

 

 ちなみにですが、AppSecってあまり知られてないみたいで日本からの参加者はたった3名だったそうです(うち楽天が2名)。ちょっと意外に思ったのはディベロッパーが多いということですね。29%もいます。あと、学生は6%だそうです。その中には12歳のハッカー?もいて、ちょっと驚きもありましたが(笑)

bad
http://owasp.blogspot.com/2011/09/owasp-appsec-usa-2011-wrap-up.htmlから

それと、AppSec CTFっていうイベントもあったのですが、こちらは十分な情報収集が出来なかったので次回の機会に・・・

ハッカーが今日iTunesで楽曲をリリース

  「TeaMp0ison」(8月9日にRIMのBlackBerryブログを書き換えたとされるハッカーグループ)と「Anonymous」のメンバーが、今日の午後4時12分(英国時間)に音楽トラックをリリースすることになっており、音楽業界にそれを検閲してみろと挑発している。

http://twitter.com/TeaMp0isoN_/status/118246210443284480

  同グループはiTunesとYouTubeを通じて#OpCensorThisを入手可能にする。

  彼らが自分達の曲を作成するのに少し時間が掛かった。彼らは最初8月11日に、曲を作るという自分達の意図を発表した。

http://youranonnews.tumblr.com/post/8664519181

  以下はそのテキストの一部だ:

  「我々は歌を周囲の世界に広めるのにYouTubeとiTunesを利用し、世界を変えようと活発に活動している団体に、収益を寄付するつもりだ。これがヒットしたら、法律により、ラジオ局はそれを放送しないわけにはいかないだろう。彼らはリスナを盲従させるため法を曲げるだろうか?」

  もしも「チャート」を賑わしたら、ラジオ局が「OpCensorThis」を放送することを義務づけるのがどんな法律なのか、我々にはよく分からない…

  我々にはすべてが自己達成的予言のように聞こえる。この曲がチャート入りできなければ、「TeaMp0ison」は音楽業界が検閲したと主張し、彼らの同業界を標的とする理由を与えることになるだろう。

  いささか皮肉なことに、「OpCensorThis」とiTunesの詳細を検索すると、Googleのボットチェック用CAPTCHAページしか出てこない。

Sorry

  Googleはこの名が好きではないのだろうか?

  「TeaMp0ison」がプロジェクトを完了するのに、1カ月以上かかった。「検閲」が無いとしても、彼らのメッセージはあまりに騒々しく、やり過ごすのは難しいかもしれない…

Facebookがサードパーティアプリケーションに対し友達を介してユーザの情報を見せないよう変更

  今週の火曜日、Facebookはプロフィール管理と共有オプションでの大幅な変更を発表した。これらの変更は今日、8月25日に公開される。エフセキュアのSave and Savvyブログで、この変更に関するJasonの素晴らしいまとめが読める。

  他方で我々は、詳細を見て、行間を読むのに忙しい。

  そして考えるべき項目は多々ある:

Dig Into the Details

  ちょっと待て… まだある:

Dig Into the Details

  へえ! これは興味深い。(Facebookはここに良い手がかりを隠している…):

Info accessible through your friends

  「この設定(「友達が利用するアプリやサイトがアクセスできる情報」)は、友達からアプリへの情報提供だけでなく、あらゆるユーザーによる情報提供に適用されるようになります。」

  我々の解釈が正しいとすれば—Facebookは今回、サードパーティアプリケーションが、友達を介してユーザの情報を見ることを防止することになる。これはアメリカ公民権連合(ACLU)が2009年12月(前回Facebookが似たような変化をもたらした時)、すでに異議を唱えたものだ。

ACLU Blog Of Rights

  ACLUはアプリケーションが友達を介して、どれくらいアクセスするかをデモンストレーションするためのアプリケーションを作成することさえした:

ACLU, What Do Quizzes Really Know About You?

  そして以下がデフォルトで利用できる情報だ:

Info accessible through your friends

  我々が投票調査を行ったところ、このプライバシー設定意味を理解している人は多く無かった。

  そして友達のサードパーティアプリケーションをブロックする唯一の方法は、Facebookの「プラットフォーム」を完全に使用停止にすることなのだ。

Dig Into the Details

  Facebookは先頃、ユーザのアプリケーションが友達とシェアするものに関し、「アプリケーション設定」で洗練されたプライバシー管理の提供を開始した。個々のアプリケーションの「アプリプライバシー」を調節することができる:

App privacy

  しかし、新たな詳細を読んだところ、Facebookはさらにもう一歩踏み込もうとしており、単に友達を介してアクセスする全てのサードパーティアプリケーションを防止するつもりでるように見える。

  そしてそれは素晴らしいニュースだろう。

  だが、Facebookアカウントを持っているなら、待つ必要は無い。Facebookの変更が適用される前に、自分のプライバシー設定をチェックし、「アプリとウェブサイト」セクションの「友達が利用するアプリやサイトの、あなたの情報に対するアクセス権限」を調整して、自分の設定が自分の希望を反映しているかどうか確認しておこう。

ACLUへの追伸:あなた方の「クイズ」アプリケーションを廃止し、ページを削除することを検討すべきだ。

  このアプリケーションはもはや適切には動作していないし、同ページはスパムで荒らされるままになっている。

Dig Into the Details

では。

9月5日の追記:残念なことに、新しい設定を確認したところ、我々の解釈があまりに楽観的すぎたことが分かった。

  Facebookはシンプルな英語を使おうとしていると主張しているが… これはちんぷんかんぷんだ。

  以下は古い設定の言い回しだ:

  「友達を通じてアクセス可能な情報:友達がアプリやWebサイトを使用している場合、どのような情報をアプリおよびWebサイトが利用できるかをコントロールする。」

  以下は新たな設定の言い回しだ:

  「他のユーザーが利用しているアプリとの情報の共有:あなたの情報を見ることができる人がアプリを利用すると、アプリに対してあなたの情報が公開されることがあります。ここでは、共有される情報の種類を管理できます。」

  言い換えると:

  [誰]を通じてもアクセス可能な情報:[誰]かがアプリやWebサイトを使用している場合、どのような情報をアプリおよびWebサイトが利用できるかをコントロールする。

  Facebookはどうやら、我々が期待していたのとは正反対のことを行っており、Facebookのプラットフォームを使用している場合、アプリケーションがおよぶ範囲をユーザのアカウントからのデータ獲得に拡大しているようだ。

  以下は設定内にある詳細だ:

  「Facebookであなたの情報を見ることができる人は、アプリを利用する際にもその情報にアクセスできます。これにより、インターネットをさらにソーシャルな環境で利用できるようになります。下の設定を使って、アプリやゲーム、外部サイトで友達に公開する情報の種類を選択できます。」

  したがって、あなたの情報を見ることができる誰かのアプリケーションは、あなたの情報を使用することができる。「誰か」のアプリケーションに自分の情報へアクセスされたくないなら—あなたの重要な情報を「すべての人」と共有していないことを確認し、設定で全てのカテゴリからチェックをはずしておくことだ。

  さもないと…Facebookはデフォルトでは、要求する誰に対しても、ほとんど全ての情報を共有してしまうだろう。

アェウルマたし用使をedocinU edirrevO tfeL ot thgiR

  Commtouchの友人達によれば、Right to Left Override(RLO)Unicodeトリックを利用したマルウェアが、「先週、広範囲に再浮上した」そうだ。Unicodeキャラクタ(U+202E)は、右から左に読まれる言語用にテキストを「逆にする」もので、ファイル名を分かりにくくするのに使用することができる。

  我々は2、3日前、サンプルを調べた。

  以下はWindowsで見たアーカイブファイルだ:

log_08.12.2011_P61602.zip

  Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている:

Compressed Folder

  しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。

  Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。

Changelog_08.12.2011_Prophylexe.doc

  好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。

  以下はWinZipで見た同マルウェアだ:

WinZip

  こちらはWinRAR:

WinRAR

  そしてこちらは7-Zip:

7-Zip

  驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。

  いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。

WindowsとMac双方のマルウェアを拡散するFacebook攻撃

  現在、重大なFacebookマルウェア攻撃が起こっている。

  この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。

  我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)

  エサとして使用されているのは以下のサブジェクトラインだ:

oh shit, one more really freaky video O_O」と…
IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!

  リンクは、「newtubes.in」のサブドメインを示している。

  Openbook検索では、エクスポーズされた人々の例が多数示される

  以下は、Facebookの検索結果の一例だ:

Facebook search, oh shit, one more really freaky video O_O

  ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。

  この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。

  そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。

  あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…

追記:

  グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:

one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!

  グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。

  上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。

  頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。









オサマ・ビンラディンRTFエクスプロイトの分析

標的型/セミ標的型攻撃では、昨年12月以来、Microsoftの「RTFスタックバッファオーバフロー脆弱性(CVE-2010-3333)」に対するエクスプロイトを利用している。同脆弱性は11月に、Security Bulletin MS10-087で修正された。

  我々が見てきた、「CVE-2010-333」を悪用する攻撃の多くは、時事的なサブジェクトラインを使用している。

  そして今週も違いは無い。だからもちろん、「FW: Courier who led U.S. to Osama bin Laden's hideout identified(アメリカをオサマ・ビンラディンの隠れ家に導いたスパイ)」というサブジェクトを使用した「オサマ・ビンラディンRTFエクスプロイト」が広がっている。

  ファイル名は「Laden's Death.doc」で、以下のようなものだ:

Courier who led U.S. to Osama bin Laden's hideout identified

  このRTFファイルが開かれると、エクスプロイトがシェルコードを実行し、「server.exe」という名のファイルを「C:/RECYCLER」内にドロップして実行する。

  「C:/RECYCLER/server.exe」は以下のことをする:

  •  システムの一時フォルダにファイル「vmm2.tmp」をドロップする
  •  ファイル「vmm2.tmp」は名称を変更され、「c:\windows\system32\dhcpsrv.dll」に移動される
  •  DHCPサービスをハイジャックしようと、レジストリ修正を行う

  これは「ucparlnet.com」でホスティングされるC&Cに接続しようとする。

  ペイロードには以下の能力がある:

  •  更なるマルウェアをダウンロード
  •  リモートサーバに接続し、極秘データを送信
  •  Trojanプロキシサーバとして行動

  「contagio malware dump」は、「今日、米国政府内の多くの標的に送信された」と報告している。

  我々のバックエンドをチェックしたところ、エフセキュアのカスタマも危険にさらされていることが分かった。同エクスプロイトに対する我々の検出名は「Exploit:W32/Cve-2010-3333.G」で、RTFペイロードは「Trojan:W32/Agent.DSKA」として検出されている。

  いつもと同様、通常のアドバイスが当てはまる。添付ファイルを開く際は注意し、MS Word/Officeを修正/アップデートし、アンチウイルスを最新版にしておくことだ。

  「CVE-2010-3333」攻撃のさらなる例については、「contagio」をご覧頂きたい。

追記:以下はこのドキュメントを拡散している電子メールの画像だ。これはワシントンD.C.のアナリストに送られたものだ。同画像は、Lotta Danielsson-Murphyにより公開された。このメールの送信者情報は本物ではない点に注意して欲しい。

Laden's Death.doc

Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している

フォレンジックリサーチャのAlex Levinsonが、iPhoneの所在地をマッピングする方法を発見した。情報はiPhoneにあるロケーションキャッシュファイルから得られる(Library/Caches/locationd/consolidated.db)。

  実際には、同ファイルはユーザのトラベルヒストリを含む。

Apple iPhone location

  このファイルには、iPhone上のサードパーティのアプリによってアクセスできないことは注意すべきだ。そのためには、ルート権限が必要だからだ。しかし、同ファイルは標準的なiPhone同期の間、PCやMacにコピーすることができ、そこから利用できる。

  昨日、セキュリティリサーチャのPete WardenとAlasdair Allanが、このようなファイルを取得し、地図上にユーザの動きを示すことができるアプリケーションをリリースした。

UFED Physical Pro iPhone forensic examination  今やこれは、プライバシーの観点から見ると嫌な感じがする。たとえば当局が、ユーザがどこにいたかを知るために、電話のフォレンジック調査を行うべく、裁判所命令を獲得することになるかもしれない。

  しかしそもそも、Appleは何故この情報を集めているのだろうか? 我々にははっきりとは分からない。しかし、Appleのグローバルロケーションデータベースと関係しているのではないかと思う。

  Googleのように、AppleはWi-Fiネットワークのロケーションに関するグローバルデータベースを有している。彼らはこれを、GPSを使用せずにユーザのロケーションを推定するために使用する。たとえば、ロンドンの特定の街区にあるとAppleに分かっているMACアドレスを持つ、3カ所のホットスポットをあなたの端末が表示するなら、あなたがそのブロックにいることはまず間違いない。

  我々はGoogleがロケーションデータベースを集めた方法を知っている。彼らはGoogle Maps Street Viewの車を各地に走らせ、世界中で情報を記録したのだ。

  Appleはどこで、自前のロケーションデータベースを獲得したのだろう? Skyhookという名の企業からライセンスを受けていた。ではSkyhookはこの情報をどのようにして獲得したのだろう? Googleのように、彼らは自分たちの車を世界中に走らせた

  しかしSkyhookのデータベースは高価だ。そこで2010年4月にリリースされたiPhone OS 3.2から、AppleはSkyhookのロケーションデータベースを自分たちのそれと入れ替え始めた。

  そして本当の問題は、Appleがどのようにして、自分たち自身のロケーションデータベースを作成したのか、ということだ。彼らは世界中に車を走らせてはいない。そうする必要は無かった。Appleには世界中いる既存のiPhone所有者に、その仕事をさせたのだ。

  最新のiPhoneを使用すれば、同端末は1日に2回、ユーザのロケーションヒストリをAppleに送信する。これは同デバイスのデフォルトのオペレーションだ。

Apple iPhone location

  それはどのように行われるのか? 最初にユーザの許可を求めることによってだ。iTunesをインストールする際にオプトインプロセスがあるのだが、プロンプトは非常にまぎらわしい:

iTunes location

  iTunesのこのプロンプトは、ダイアグノスティック情報に関してAppleの手助けをして欲しいということを言っている。ユーザのロケーションを記録することに関しては、何も触れていない。Appleのプライバシーポリシープライバシーポリシー日本語 )を読めば、何を行うかは確かに説明されているのだが:

   アップル製品でロケーションベースのサービスを提供するため、Appleとパートナー企業およびライセンス取得者は、Appleのコンピュータやデバイスのリアルタイムな地理的ロケーションを含むロケーションデータを収集、使用、共有する可能性があります。
   このロケーションデータは、ユーザを個人的に特定しない形で、匿名で収集され、Appleとパートナー企業およびライセンス取得者により、ロケーションベースの製品、サービスの提供、改善のために利用されます。

  我々は、iPhoneで発見された新たなロケーションデータベースが、この機能に結びついていると考えている。たとえそれがAppleに送信されていないとしても、iPhoneは常に、あなたのロケーション情報を収集しているのだ。

Flashエクスプロイトの感染を制限するにはActiveX版をアンインストールせよ

  昨日、Adobeは「Security Advisory APSA11-02」を公開した。同アドバイザリによれば:

  「Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。」

  そして…この新しい脆弱性は現在、広く悪用されている:

  「この脆弱性を悪用し、Windowsプラットフォームを標的に、メールの添付ファイルとして送信されたMicrosoft Word(.doc)内に埋め込まれたFlashファイル (.swf) を経由して、標的型攻撃が行われているという事例が報告されている。」

  Officeに埋め込まれたFlashファイル?

  この攻撃ベクタは、Brian Krebsからの次のような質問を生み出した:「だれか、MS OfficeファイルでFlashオブジェクトのレンダリングを全面的にオフにする、信頼できる方法を知っているか?

  我々は、簡単にアンインストールできるものを何故オフにするのか、と思う。

  我々は通常、Internet Explorerを使用しないので、IEバージョンのFlash Playerが使用可能である必要はまったく無い。Web上のFlashには、指定されたブラウザ(IE以外の)を使用することができる。あなたには本当に、OfficeでFlashが使用可能である必要があるのだろうか?

  以下は、ActiveX版のFlashがインストールされていない状態で、埋め込み型のFlashコンテンツを含むドキュメント/スプレッドシート/プレゼンテーションを開くと、Microsoft Officeが出すプロンプトだ。

Some controls on this presentation can't be activated.

  「非IE」版のFlash Playerはもちろん、依然としてエクスプロイトに脆弱だが、それらのバージョンに対して(電子メールを介して)標的型攻撃が成功することを想像するのは難しい。そして多分それが、現在の攻撃がOfficeを使用している理由だろう。

  ちなみに、Flash Player(10.3)の次のバージョンは、コントロールパネルアプレットを含むようだ:

Flash control panel applet

  期待が持てそうだ:

Flash Player Settings Manager

Amazonのお粗末なパスワードポリシー

親愛なるジェフ・ベゾス殿

  長年のAmazonカスタマとして、非常に期待しながら、Amazon Cloud Driveを利用した新しいAmazon Cloud Playerを試してみました。

  そして正直なところ — かなり良いと思います。

Amazon Cloud Drive

  「全カスタマは、5GBの無料Cloud Driveストレージが利用できる。期間限定で、MP3アルバムの購入により20GBに無料アップデート可能だ。」

  わあ、5GBを20GBに無料アップデート? すごい。

  ただ一つ、大きな問題が…

  Amazonのパスワードポリシーが、大いに不足している点です。

  以下は、誰かが自分のパスワードを「password」あるいは「123456」と設定しようとした時に示されるメッセージです。

Amazon Password

  え、何だって? 「password」と「123456」で、完了…?

  なんて事だ、少なくともAmazonのパスワードポリシーは「1234」を受け入れていないのに。

Amazon Problem

  さて、Amazonには、何者かがアカウントをハッキングし、新たなアドレスに商品を出荷することを防ぐ、優れた備えがあります。そのためには、攻撃者はクレジットカード番号全てと、その他の詳細情報を必要とします。

  ところが、あなた方は製品をクラウドに持ち込みました! 出荷は必要ありません。

  クレジットカードに結びつくギガバイトのオンラインストレージは、ハッカーたちにとって実に魅力的なターゲットとなるでしょう。そしてAmazonアカウントは電子メールに基づいているため、ハッカーは直接Amazonをフィッシングする必要さえないのです。彼らは電子メールアカウントをフィッシングし、「amazon.com」で同じパスワードを試すことができるのですから。

— 別の問題 —

  間違ったパスワードを使用して、10回以上、自分のアカウントにアクセスしてみました!

  ブルートフォースに対する防御はどのタイミングで開始するのでしょう?

  私は12回目(あたり)で正しいパスワードを使いましたが、ダイレクトアクセスできました。

  …

  よろしいでしょうか、私は本当に新しいクラウドドライブを評価しています。

  ですが、保護するための何らかのより良いセーフガードを制定して頂くまでは、このドライブは使用しないと思います。

敬具
ショーン・サリバン

英国でオンライン犯罪者5名に判決

  フォーラムに自分の保釈シートを投稿したオンライン犯罪者について議論した、昨年8月の我々の記事をご記憶かもしれない。

  彼は今日、ロンドンで有罪判決を受け、懲役4年の刑を申し渡された。同じ判決で、他の男性2人、女性2人にも有罪判決を下され、懲役18カ月から4年、地域奉仕活動への参加という刑が申し渡された。

  スコットランドヤードの発表は以下の通り:

  違法に入手したクレジットカード情報や、コンピュータ犯罪を行うためのツールの売買を行うオンライン「犯罪フォーラム」を設立した若いインターネット詐欺師のグループが本日、合計15.5年の刑で拘置された。

[A] Gary Paul Kelly(1989年4月14日生 - 21歳)Clively Avenue, Clifton, Swinton, Manchester在住・無職;

[B] Nicholas Webber〔1991年10月10日生 - 19歳)Cavendish Road, Southsea在住・学生;

[C] Ryan Thomas(1992年7月8日生 - 18歳)Howard Road, Seer Green, Beaconsfield, Herts在住・Webデザイナー;

[D] Shakira Ricardo(1989年11月14日生 - 21歳)Flat 13, J Shed, Kings Road, Swansea SA1在住・無職;

以上4名は本日(3月2日水曜日)、サザク刑事裁判所で2日間の審問を経て、コンピュータの不正使用と詐欺罪により判決を受けた。全員が以前の審問で有罪を認めた。

+ [E] Samantha Worley(1988年9月30日生 - 22歳)J Shed, Kings Road, Swansea SA1在住・無職。2010年12月14日、犯罪的な資産を取得したことにより地域奉仕活動を行うよう判決を受けた。

  同グループは最大の英語版オンラインサイバー犯罪フォーラムに関与していると見られており、「Metropolitan Police Service」の「Police Central e-Crime Unit(PCeU)」捜査官による入念な捜査が行われ、全員が2009年と2010年に逮捕された。

  11カ月の調査期間中、捜査官は被告らがクレジットカードおよびデビットカード詐欺、(パスワードや暗証番号を含む)個人情報の売買、悪意あるコンピュータプログラム(マルウェア)の作成、交換、感染したパソコン(BotNet)のネットワークの確立とメンテナンス、警察の活動を回避し、裏をかく方法など、犯罪を行う方法に関するアドバイスを提供するチュートリアル、脆弱な商業サイトやサーバの詳細の交換など、個人情報の電子的な窃盗を促進、助長した(8000名以上のメンバーを擁する)国際的フォーラムに、直接関与していた証拠を発見した。

  フォーラムの設立者はWebberだ。「www.GhostMarket.net」という名のWebサイトを設立し、「管理者」としてサイトを包括的にコントロールしていた(すなわち、彼はメンバーの受け入れや拒否、彼らの投稿の修正、投稿、そしてフォーラムでのメンバーのステータスの変更が行えたということだ)。

  再構築された同フォーラムとそのデータベースの調査により、氏名、生年月日、銀行情報、パスワード、Paypalアカウント、社会保障番号を含む個人の情報に関する、数千ものデータエントリが明らかになった。サイトメンバーは、銀行口座の番号、暗証番号、パスワードなどを含む数千の個人情報、Zeus Trojanやクレジットカード検証プログラムを含む様々なタイプの犯罪的ソフトウェアといったマルウェアが含まれる障害の起きたデータベースの売買をしていたと考えられている。

  同フォーラムでは、以下のようなトピックが扱われていた:「フィッシングキット(無料フィッシングキットの投稿および販売)」「技術を示す(あなたのスキルをここで皆に示そう)」「チュートリアル(有益な情報をここに投稿)」「クレジットカード詐欺の標的(あなたがカード詐欺を行ったサイトをここに投稿)」 他にも、警察を回避する様々な方法や、ブランクプラスチックにクレジットカードのデータをエンコードする方法について、また規制薬物(クリスタル・メスといった覚醒剤)の製法、爆弾製造に至るまで、アドバイスやチュートリアルが掲載されていた。

  同サイトのメンバーは、ハンドル名を使用して匿名で情報交換を行っていた。かれらは同サイトで、さまざまなフォーラムトピックにメッセージを投稿し、他のサイトメンバーを相手に、セキュアなプライベートメッセージの送受信を行う事ができた。

  調査期間中、捜査官は被告のコンピュータから13万以上のクレジットカード番号を回収した。これは、カード1枚に対して120ポンドの商業損失と換算され、カード番号のみに関し、1580万ポンドの産業損失と換算される。

  2009年11月3日、捜査官はKellyの自宅住所で捜索令状を執行したのち、彼を逮捕した。捜索が行われ、調査のため複数のコンピュータ、携帯電話が押収された。

  Kellyは、独自に高度かつ悪意あるZeusコンピュータプログラムを作成し、Webにまき散らしていたことが確認された。同プログラムにより彼は、150以上の国で1万5000台以上のコンピュータを感染させ、それらのコンピュータから大量のクレジットカード番号や機密性の高い他の個人情報を含む、400万行以上のデータを収集していた。

  Kellyから関連パスワードの提供を受け、捜査官は彼のPCのファイルを使用し、「GhostMarket」フォーラムとデータベースの再構築を行った。

  これに先立ち、10月12日、WebberとThomasがセントラルロンドンの五つ星ホテルで、盗難にあったカード情報を使用してペントハウススイートの宿泊費を払った罪により逮捕された。彼らはオンライン広告に応じ、匿名の個人に金を支払ったと主張した。

  捜査官がさらなる調査を行う間、彼らは保釈されたが、ラップトップなどが押収された。さらに、彼らは「バーチャルマーケティングの新時代」、署名欄に「I'm a carder, ask about me...」と書かれ、「GhostMarket」のロゴをこれ見よがしに表示した名刺を所有していることが分かった。

  「GhostMarket」犯罪フォーラムとの二人組の関わりは、すぐに確認され、保釈後、姿をくらました彼らを、盗難クレジットカード犯罪に関して追跡するべく捜査が行われた。

  二人は10月31日、マヨルカ島のパルマに飛び、Port D'andraxのアパートを借りて暮らしていることが分かった。

  2010年1月29日、パルマから戻った彼らはガトウィック空港で逮捕された。

  翌日、Webberの自宅の捜査により、さまざま名犯罪行為を行うためのステップバイステップの手引きを概説した、一連のファイルを保存したコンピュータが確認された。

  証拠の量が多く、同事件が複雑であったことから、両人は後日出頭するということで保釈となった。

  捜査官たちはその後スペインに向かい、スペイン警察の協力を受けてThomasとWebberが借りていたアパートの捜索を行った。部屋は空だったが、現地調査の結果、荷物は英国の住所宛に送られたことが確認された。

  さらなるコンピュータ機器のみならず、それらのアイテムもその後回収された。

  押収したコンピュータや他のデジタルストレージデバイスのフォレンジック調査を通じて、また再構築された「Ghostmarket」サイトを通じて確保された証拠を介して、捜査官はフォーラムのメンバーと目されるRicardoを特定。南ウェールズ・スウォンジーにいることがつきとめられた。当初は完全な初心者としてサイトに参加したものの、Ricardoは時が経つにつれて進歩し、直接カード詐欺やコンピュータマルウェアの活動に関与するようになった。

  財政面の調査により、Ricardoから彼女のパートナーであるWorleyの銀行口座に支払いが行われていることが確認され、詐欺罪で起訴された。

  「Police Central eCrime Unit」のColin Wetherill警部補は言う:「被告らは洗練されたサイバー犯罪者であり、英国および海外の個人、企業のコンピュータに対し、組織的に大量感染させる行為に従事していました。

  「彼らは犠牲者から違法に個人情報や財政情報を収集し、利益を得るために悪用したのです。

  「GhostMarket犯罪フォーラムは、世界中で活動する数千のコンピュータ犯罪者および詐欺師により利用されました。

  「このフォーラムを通じて、被告らは広範な犯罪者ネットワークを構築し、障害の生じたクレジットカード情報、機密性の高い財政情報や個人情報、悪意あるコンピュータプログラム、および他の洗練されたツールや犯罪者サービスの卸売を助長しました。

  「彼らの逮捕、起訴、そして有罪判決は、サイバー犯罪に対する我々の取り組み、そしてそうした犯罪に起因する被害を減らそうとする我々の努力における、意義ある前進を意味していると言えるでしょう。」

+ 被告全4名の完全な財政調査は、現在進行中だ。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

Trojan:Android/Adrd.A

  2、3日前、ミッコが「ADRD」という名の新しいAndroid trojan(我々はこれを「Trojan:Android/Adrd.A」として検出している)についてツイートした。

  「Adrd」は、大部分が中国のサードパーティアプリケーションプロバイダによる、いくつかのアプリケーションにトロイの木馬が仕込まれてリパッケージされている状態で発見された。これまでのところ、感染したアプリケーションの大部分は、ウオールペーパー関連のものだ。

  以下は、感染したアプリケーションの例だ:



  インストールされた「Adrd」が感染したアプリケーションは、以下のようなパーミッションを示すかもしれない:



  これらのパーミッションは、端末のスタートアップ中に「Adrd」がそのルーチンを開始することを可能にし、ネットワークデータアクセスの許可/禁止といったデータ接続の変更を行う。パーミッションの中には、SDカード、端末、Access Point Name(APN)設定へのアクセスも含まれる可能性がある。

  「Adrd」の機能には、以下のようなリモートホストへの更新が含まれるようだ。

- adrd.tax[..].net
- adrd.xiax[..].com

そして、端末の情報、特に国際移動体装置識別番号(IMEI)と、移動加入者識別番号(IMSI)を送信する。送信されるデータは、DESで暗号化されている。

  リモートホストはリンクのリストでリプライする。そのうちの一つを「Adrd」がランダムにセレクトし、内蔵するシンプルな乱数ジェネレータを使用して接続する。選択されたリンクが交信を受けると、定義済みのサーチ文字列を返し、「Adrd」がこれを処理し、バックグラウンドで検索を実行する。

例:
1. 「Adrd」の乱数ジェネレータは、リモートホストから得られるリストの配列を示す数を生成する。例えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは実際、「Adrd」が使用する検索基準を含んでおり、例は以下の様になる:

http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a

「Adrd」はこれをバックグラウンドで処理し、実行する。

  もう一つの機能は、「myupdate.apk」という名のAPKをダウンロードすることで、これは/sdcard/uc /フォルダに保存される。これはおそらく、アップデートコンポーネント用だ。

  「Adrd」のネットワークアクセスは、高速データ使用に繋がり、これは結局、高額料金へと結びつく可能性がある。我々は「Adrd」が「cmnet」、「cmwap」(China Mobile Net)、「uniwap」、「uninet」(China Unicom)に接続しているのを確認しており、「Adrd」は中国のマーケットにのみ配布されているようで、中国のネットワークにのみ特有なものである可能性がある。


- 分析はZimry Ongによる。

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

追憶の2010年と2011年の展望 (エフセキュアブログ新春特別レポート その2)

先週エフセキュアブログで発表致しました、「エフセキュアブログ新春特別企画 追憶の2010年と2011年の展望 (ダイジェスト版) 」に加え、各専門家のみなさまからお寄せ頂きましたコメントをご案内いたします。

このレポートは、エフセキュアブログに参画する、各ジャンルのセキュリティエキスパート8名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きしたものです。

エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益な情報発信を目指して参りますので、今後とも何卒よろしくお願いします。

エフセキュアブログ管理人
尾崎 リサ拝

---------------------------------------------

高間 剛典
メタ・アソシエイツ代表

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnet
Stuxnetマルウェアは、工場やインフラなどの制御システムに使われる特定メーカーのSCADA装置を狙って作られ、イランの核施設というピンポイントなターゲットの装置を誤動作させるために設計された仕様を持っていた点が、今までのPCマルウェアとはかなり違っていました。以前2004年ころに重要インフラ保護に関する調査でアメリカを回った時に、既にSCADAの持つ脆弱性と脅威は重要インフラ企業の業界団体や政府機関では認識されていたのを見てきましたが、これでその脅威が現実化することが完全に証明されてしまいました。

Stuxnetの場合は、特にイランの核施設を狙ったことから中東を主とした国際状勢に絡んだ特殊工作の可能性が高いことは、今までのPCマルウェアでは見られなかった事情です。特にイランで核施設でStuxnet駆除に従事していた科学者の1人が暗殺され、イスラエルの特殊部隊モサドによる仕業と名指しする記事も出ました。

Mossad: was this the chief's last hit?(The Telegraph)
http://www.telegraph.co.uk/news/worldnews/middleeast/israel/8182126/Mossad-was-this-the-chiefs-last-hit.html

その意味でもStuxnetは、「マルウェアを敵対国のインフラへダメージを与えるための武器として利用する」というコンセプトも実証したことになり、これは今後の紛争国間でのマルウェア利用のモデルケースとなってしまうでしょう。

Stuxnetの場合では、未発見のゼロデイ脆弱性が多数使われるなど、高度な開発力と資金力が裏側にあることが伺われましたが、仮に今後もしも、今はまだフィッシングやボットネットに使われるマルウェアを開発している犯罪組織が、このような政治的目的の攻撃的マルウェア開発も請け負うブラックマーケットへと展開して来た場合、技術力の未発達な国家であっても資金さえあればマルウェアを入手できる可能性があります。もしそうなった場合の一般への巻き添え被害は想像できない規模になるかもしれません。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

日本にいると銀行ATMに何か仕掛けられるなどとは考え難いですが、国外では当たり前のように起こっていて、犯罪者もATM機器の一部に見えるようなプラスチック部品を量産したりと段々高度になっています。また、日本の銀行ATM機材はレガシーシステムの流れを未だに引いているため銀行毎に独自の仕様機材が多かったりしますが、海外ではWindows XP EmbeddedなどのOSが使われた汎用的なATM機器が違った銀行でも使われていて、ATMを狙うマルウェアも出て来ている話題があります。いわば、日本はガラパゴス状態に守られている訳で、その状況に慣れたままでいるのは危険です。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

AndroidなどスマートフォンOSが使われたポータブル機器のセキュリティとプライバシー情報保護
リアルな生活場面とネット上の生活場面をつなぐ機器としてスマートフォンやタブレットを始めとするポータブル機器の普及が爆発的に拡大することが予想され、同時にこれらに使われているOSやアプリケーション/サービスを狙った犯罪が増加することが推測されます。

物理的世界を制御するシステムとネットワーク化されたPCコントローラーの組み合わせから起きるセキュリティ問題 … Stuxnetがモデルケースとなってしまった事から、今後この組み合わせが国際状勢や軍事状勢の影響を大きく受ける可能性があります。

---------------------------------------------

岩井 博樹
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
独シーメンスのPLCを狙う、複数の0dayを悪用するなど、技術面から考えても面白い。また、背景的にも軍事的な要素が見え隠れするあたりも注目。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜

アカウント管理の重要性が再認識された、というより、こんなに酷かったんだという印象を受けました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

某国などからの特定企業への攻撃が加速化しており、その被害は深刻化している。日本企業も例外ではなく、その被害の動向が気になります。

---------------------------------------------

片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

中国の漁船問題によって攻撃を受けた日本のウェブサイト
ウェブサイトには国境が無いので、他国との国際問題が間接的にウェブサイトのセキュリティ問題に発展する可能性があります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン

今まではメールを使ったスパムが一般的だしたが、世界最大規模のウェブサイトであるFacebookを利用したスパム行為はリーチが広く効率的です。日本人はまだまだ国産SNSを利用しているユーザーが多く、Facebookアカウントを持つ日本人が増えると日本人向けの同様のスパムが発生する可能性があります。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

スマートフォン
スマートフォンは昨年に引き続き、今年も注目が集まるデバイスだと思われます。スマートフォン向けのセキュリティ製品がもうすでに出回っていますが、今後は個人の携帯の中身を狙った犯罪が増えるのではないかと考えています。

---------------------------------------------

福森 大喜
株式会社サイバーディフェンス研究所 上級分析官/CDI-CIRTメンバー


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Gumblarが大流行したことです。Gumblarが備える耐解析機能により、多くのアンチウイルスソフト、マルウェア判定サイトでGumblarを検出できない状態になっていました。Gumblarと同じような機能を持ったマルウェアは今も活動を続けていますので、そのようなマルウェアにどう対処するかは今も大きな課題だと思います。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

大量のブランククレジットカードの写真が印象的でした。そしてミッコの守備範囲の広さに驚きました。彼は一体どこまで手を出しているのだろうか。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

第二、第三のStuxnetが現れるのかに注目しています。根拠があるわけではありませんが同じようなプロジェクトが水面下で進んでいる可能性は高いのではないかと思います。スマートグリッドのようなインフラ制御システムのセキュリティを見直す時期に来ているのではないでしょうか。

---------------------------------------------

鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

2010年は、やはりstuxnet等に代表されるAPT(Advanced Persistent Threat)の関連話題です。近年の外部脅威と「守り方」の基本的な考え方を理解しておかないと、コストばかりかかってしまい、効果的な対策が打てなくなってきています。APTについては、IPAのテクニカルウォッチにて「『新しいタイプの攻撃』に関するレポート」と題した報告書が出ていますので是非ご参照下さい。また、私共研究開発の現場で一番印象的だったのは0-day脆弱性悪用の急増とその攻撃技術の更なる進歩でした。これらは目的遂行のための一つの手段であるため話題としてあまり取り上げられる事はありませんが、攻撃者側のテクノロジーの進歩には大きな危機感を感じています。

「『新しいタイプの攻撃』に関するレポート」
http://www.ipa.go.jp/about/technicalwatch/20101217.html

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
Stuxnetに関する質疑応答
2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン

上記と被りますが、ミッコ・ヒッポネン氏やショーン・サリバン氏の Stuxnet に関連する質疑応答記事です。テクノロジーや攻撃背景等の分析は大いに参考になりましたが、特に攻撃背景については不明点も多く、今後増加するであろうこの種の攻撃に対して社会はどのように対峙すべきなのか改めて考えさせられました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2011年は、APTに関する話題が更に重要になってくるものと思います。また、私共は研究開発ベンダーですので、まずは「餅屋」として、より厳しさを増してきた攻撃技術に対する守りの技術をしっかり研究開発していきたいと思います。

---------------------------------------------

福本 佳成
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT Representative


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

iモードIDを用いた「かんたんログイン」の DNS Rebinding 脆弱性(註1)
この脆弱性が報告されたのは2009年の11月ですが、2010年ではこの問題の影響を受けるウェブサイトがいくつか発見されました。もちろん楽天でもこの問題に該当しないか調査を行い、対策を実施したわけですが、これは本質的にはウェブサイトの脆弱性ではありません(註2)。ですが、時には自社の問題でなくてもウェブサイト側で対応をするケースもあるわけです。サービス運営をしている側としては、守らなければならないものがあるわけですから。ちなみに、この問題と同じく、以前、ブラウザ側の脆弱性ですが、ウェブサイト側で被害を受けないよう対応をした事例もありました。こちらについては今年、とうとうブラウザ側の脆弱性として修正されました(註3)。やはり恒久的には脆弱性の原因となっているところで修正されるべきでしょうね。

註1 DNS Rebinding 脆弱性
http://www.hash-c.co.jp/info/20091124.html
註2 本質的にはウェブサイトの問題ではありません
http://bakera.jp/ebi/topic/4054
註3 JVN#62275332 Internet Explorer におけるクロスサイトスクリプティングの脆弱
http://jvn.jp/jp/JVN62275332/


2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ

セキュリティの記事ではないのですが、この記事が印象に残りました。現場でのセキュリティの仕事は日頃のストレスが多いのですが、この記事は爽快な気分を味わえますね。そして現場のセキュリティエンジニアにとっては大変共感を得る内容なのかなと思います。「そして、普段は直接見えないけれど、わたしたちの安全を確保する為に闘い続ける、ITセキュリティの世界も同じかもしれないと思いました。」という尾崎さんのコメントは、まさに仰る通りだと思います。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か
http://www.itmedia.co.jp/news/articles/1012/14/news040.html

昨年このような事例もありましたが、今年も引き続きID theftの被害は拡大しそうです。他のサービスでユーザID、パスワードが大量に漏洩する事件が発生すると、不正ログイン試行も増える傾向があることが観測されています。サービス運営者側はID theftにどう対処してくのか、大きな課題だと思っています。

---------------------------------------------

八木沼 与志勝
エフセキュア株式会社 テクノロジー&サービス部長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
高度なマルウェアという点もありますが、その対象が印象的。産業システムならずとも、日本国内には各分野を支える独自システムがいくつもありますし、狙われたら非常に脆い部分もあります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン


特にこの記事だけというわけではないのですが、ショーンのSNS関連の記事投稿が多かったのもあり代表してこの記事を。SNS、特にスマートフォンによるSNS(特に日本国内)やクラウドシステムの利用をターゲットにした脅威について色々と考えるところがあるので、SNS関連記事が印象に残っています。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2. に関連しますが、SNSやクラウドサービスとスマートフォン利用環境については注目してます。スマートフォンは位置情報(=行動情報)をリアルタイムに把握できる可能性があります。位置情報/行動情報を使ったオンラインゲームもあるし、人々が油断して使うことができるプラットフォームでもあるので、今後出てくるたくさんのサービスがどういった方向に向かうのか興味をもっています。また、スマートフォン対応のウェブサイトのノウハウもまだ発展途上。スマートフォンのアプリケーション開発への参入障壁が下がったことによる脅威。医療用を初めてとした特定用途のクラウドサービスの規格などの問題。話題先行でユーザがついていけていないため、注目しています。

---------------------------------------------

富安 洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetに関連するあれこれ
マルウェア本体の技術的な内容のみならず、関連する出来事(高間さんの記事: イラン科学者の暗殺事件など)や作者は誰かなどの噂話を含めた話の広がりが印象深かったです。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン

あえてStuxnet関連を外して、、、全然技術的な話ではないですが、面白いし良い法律だなぁと思ったので。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

業界動向とかを置いといて、個人的に気になっていることとしては、今年の国会に提出されると言われている「ウイルス作成罪」の法案がどんなものになるのかというところです。もちろん、基本的には必要な法律だとは思いますが、サポートへの検体提供とかで揉めたりするケースが出てくるんじゃないかなぁと若干心配しています。

---------------------------------------------

(敬称略)

追憶の2010年と2011年の展望 (エフセキュアブログ新春特別レポート その1)

このたび、エフセキュアブログでは、新春特別企画と題しまして、当ブログに参画している専門研究者のみなさまのご意見を集め、昨2010年のセキュリティ動向をふり返り2011年を展望する、フラッシュレポートをまとめましたので、発表いたします。

このレポートは、エフセキュアブログでオフィシャルコメンテータを務めて下さっております、各ジャンルのセキュリティエキスパート9名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きし、8名から回答を得てまとめたものです。

その結果、2010年に一番印象に残ったセキュリティに関する出来事は、SCADAシステムを標的とした進化した攻撃である Stuxnet が最多になりました。その他の2010年のトピックとして、漁船問題に端を発する中国からの攻撃、Gumblarの大規模感染などが挙げられています。

そして、2011年に、一番注目していることとして挙げられたのは、スマートフォンに関連するセキュリティ問題でした。

また、2010年にエフセキュアブログに投稿された記事で最も印象に残ったポストには、Gumblar、クレジットカード詐欺、プライバシー、Stuxnetなど多様なテーマの記事が挙げられたものの、約半数にソーシャルネットワークサービス Facebook が関連しており、SNSの脅威の拡大を実感する結果となりました。

専門研究者のみなさまの個別のコメントは、来週エフセキュアブログにアップいたします。

エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益なセキュリティ情報の発信を目指して参りますので今後ともよろしくお願いします。

エフセキュアブログ管理人
尾崎 リサ拝

-------------------------------------------------------

エフセキュアブログ新春特別企画
追憶の2010年と2011年の展望
(ダイジェスト版)

■ 2010年に一番印象に残ったセキュリティに関する出来事

1位 Stuxnet 5件
2位 中国の漁船問題による日本のWebサイトへの攻撃 1件
2位 Gumblarの大流行 1件
2位 iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 1件


■ 2010年に一番印象に残ったエフセキュアブログの記事

間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜

ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン

総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ

Stuxnetに関する質疑応答
(2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン

スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン

ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン


■ 2011年に一番注目していること、動向を見守っていること

1位 スマートフォンのセキュリティ 3件
2位 Stuxnet等のAPT、第2、第3のStuxnetの出現、 2件
3位 他国からの特定企業への攻撃の増加 1件
3位 アイデンティティ盗犯罪 1件
3位 SNSやクラウドサービスのセキュリティ 1件
3位 「ウイルス作成罪」の法案 1件
3位 物理世界の制御システムとネットワークの組み合わせから起きる問題 1件

アップデート:IE脆弱性(セキュリティアドバイザリ 2488013)

  2010年12月23日に初めて報告されたInternet Explorerの脆弱性はまだ修正されていないが、Microsoftがアドバイザリをアップデートし、この問題の回避策および緩和策を紹介している。

  IEを使用していないユーザは、修正が行われるまでIEオプションはオフにしておくことが望ましい。IEを使用する必要のあるユーザは、以下の回避策を実装することをお薦めする:

  • IEでCSSスタイルシートの再帰的ローディングを停止する

  • Enhanced Mitigation Experience Toolkit(EMET)を利用する、そして

  • インターネットおよびローカル・インターネット・セキュリティゾーン・セッティングを「High」にする


  回避策を導入するための詳細な方法については、更新された「セキュリティアドバイザリ 2488013」に掲載されている。これらの回避方法を有効にするには、最新のセキュリティアップデート(MS10-090)がインストールされている必要がある。

  引き続き最新情報を待ってほしい。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード