エフセキュアブログ

Conficker を含む記事

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

コモディティ化 vs. 特殊化

  Wired誌でミッコが、Flameに関する見解を述べたコラムに対し、新たな反論が寄せられた。今回はBruce Schneierからのものだ。

  ミッコの議論に対するSchneierのまとめは以下の通り:

  「彼の結論は単に、攻撃者(このケースでは軍事情報機関)の方が、商用レベルのアンチウイルス・プログラムよりも優れている、ということだ。」

  しかしSchneierはそれを信じていない

Schneier Security, June 2012

  二、三、指摘がある。

  第一に、軍のマルウェアがおそらくゆっくりと、そしてひっそりと拡散するということに関して。それは相対的なものだ。最も「非軍事的」なマルウェアである「Conficker」などと比較すれば、実に静かだ。そうあるべき分だけひっそりしている。

  第二に、実際…Flameは実のところ「拡散」してはいなかった。これは標的型攻撃で使用された。細菌戦ではなく、スナイパーの弾丸を考えて欲しい。(Stuxnetは別の話だ。しかしそれはイン・ザ・ワイルドでは拡散しなかったと推測される。)

  第三に、従来型マルウェアの作者が検出を避けたい場合、彼らはFlameのテクニックを採用すべきだろうか? 大部分の「従来型」マルウェア作者は、実際のところ、自分たちが書いたマルウェアを使用していない。彼らはそれをサービスとして販売する。買い手とマルウェアキットのユーザは、ひっそり行動するために支払う必要がある。それは無料ではない。クライムウェアとFlame/Stuxnet/DuQuとの真の相違は、コモディティ化対特殊化にある。

  現実の例を考えてみよう。

  以下は、300,000人以上を雇用しているセキュリティサービスの世界的プロバイダSecuritasからのスクリーンショットだ。

About Securitas

  そして以下は、イランの原子力技術者Majid Shahriariが2010年11月、オートバイに乗った正体不明の襲撃者により、爆弾攻撃とそれらを遠くから爆発させることで暗殺された直後の彼の車だ。

Majid Shahriari

  注意深く見て欲しい。

  Securitasが一般的に提供するサービスと、Shahriariが必要としたであろう保護との違いが分かるだろうか?

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Stuxnetに関する質疑応答

追記:11月23日に、「Stuxnet」再び:質疑応答という記事を追加した。

  「Stuxnet」は相変わらずホットなトピックだ。以下に、我々が受けた質問のいくつかに対する回答を掲載する。

Q:Stuxnetとは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:システムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ること無しに検出することはできないため、分からない。

Q:では、理論的には何をすることができるのか?
A:同ワームはモーター、コンベヤーベルト、ポンプを調整することができる。工場を停止させることができる。調整さえ適切ならば、爆発を起こすことも可能だ。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:

LNK (MS10-046)
印刷スプーラー (MS10-061)
Serverサービス (MS08-067)
キーボードレイアウトファイルを介した権限昇格
Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種はまだ、修正されていない。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:Stuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは他にもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止にされたとしても感染経路となる。

Q:Stuxnetは永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:理論的には、他に何ができるのか?
A:Siemensは昨年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレットの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。

Image Copyright (c) Paramount Pictures
Image Copyright (c) Paramount Pictures

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:エフセキュアはStuxnetを検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、我々がMicrosoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

「セキュリティ アドバイザリ(2286198)」を更新

  Microsoftが「セキュリティ アドバイザリ(2286198)」を更新し、現在、以下のように明記している:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している

  しかしながら、同アドバイザリは現在も以下のように表明している:

  「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。

  我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

Windows 7 AutoPlay defaults

  「全デフォルトにリセット」

  そこで、我々はデフォルトの回復を選択した:

Windows 7 AutoPlay defaults

  すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。

  以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

Windows 7 AutoPlay defaults

  ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。

  では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。

  しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。

  Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…

  しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。

  何故?

  以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。

  たとえば、これはConfickerの攻撃メソッドの一つだ:

Windows 7 AutoPlay and Conficker

  Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?

  その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。

  この場合、パーティションはAutoPlayにより通常のCDとみなされる。

Windows 7 AutoPlay and Virtual CD

  我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。

  しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。

結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。

クアラルンプールでFIRST-TCが開催

  11月30日は、世界コンピュータ・セキュリティ・デーだ。このイベントと連動して、「Forum of Incidence Response and Security Teams(FIRST)」が、クアラルンプールでTechnical Colloquiumを開催し、我がKUL Response Labのアナリストも2、3人参加した。

  興味深いプレゼンテーションが多数あったが、大部分は昨今のインターネットの状況や脅威の様相に関するものだ。マルウェア分析ツールの使用に関連した、よりテクニカルなデモンストレーションも行われた。

  Richard Perlotto(Shadowserver Foundation)やRyan Connolly(Team Cymru)など、多くのスピーカーが悪名高いConfickerの蔓延に触れた。一方Roland Dobbin(Arbor Networks)は最近の韓国および合衆国の独立記念日DDoS事件に関連して、主に、DDoS攻撃に対処するためのウェブ・オペレータの備えについて詳説した。

Presentation at FIRST-TC

  Jacomo Piccolini(ESR/RNP)は 、ブラジル特有のマルウェア、特にBanking Trojanの事例をいくつか紹介した。興味深い新たなトリックを使用しているケースはあるものの、古き良きソーシャル・エンジニアリングには、よりシンプルなマルウェアであっても驚くほど効果的だった。その主張を証明するため、彼はソーシャル・エンジニアリングを行うのがいかに容易かについても、聴衆にデモンストレーションした。何てこった。

  オーストラリア連邦警察(AFP)のAlex Tilley(上の画像を参照)は、オーストラリアの数百万のドメインを巻き込んだデータベース・ハッキングについて、非常に興味深い概観を行った。麻薬密売と比較することでサイバー犯罪を説明する、面白く啓蒙的な試みも含まれていた。

  Colloquiumの初日は、豪華な夕食と、CyberSecurity Malaysiaの前途洋々たる新たなマルウェア・リサーチ・センターの公式ローンチと共に閉会した。

FIRST-TC dinner

パッチ…13日の火曜日 パート2

  先週、Christineが13日の火曜日にパッチが公開されることに言及した。実際の所、それは明日だ。

  今月の「Microsoft Updates」には、34の脆弱性を集成する13の速報が含まれている。これはかなりの数のアップデートになる。

Advance Notification Bulletin, October 2009
  詳細については「Microsoft Security Bulletin for October 2009日本語)」を参照して欲しい。

  そしてこれに加えて、Adobeが予定するアップデートの時期でもある。

  もし皆さんがAdobe Readerをインストールしているなら、すぐにこのアップデートを適用したいはずだ。標的型エクスプロイトが流布しているのだから。

Adobe Security Advisory, 10.08.2009
  詳細はAdobeの「Security bulletins and advisories日本語)」を参照のこと。

  さて次に、10月の「Microsoft Updates」に関してもう一つ…

  昨年10月、Microsoft Windows用に、予定にはなかったパッチが公開された。そのパッチは一体何を意図したものだろうか? Conficker脆弱性だ。

  予定にはないものだったため、またホリディシーズンが近づいており、それに関連した人員配置の問題もあったため、非常に多くの組織がすぐにテストできず、アップデートを配備することもできなかった。こうした組織の多くは、後になってConfickerの感染に対処しなければならなかった。

  「全米サイバーセキュリティ意識向上月間」でもあることだし、これらアップデートをすぐに配備し、これから登場するのが何であれ、それに備えるようにしてはどうだろう?

  これまでで誰もが気付いたように、悪党連中はゼロデイ脆弱性を、最悪のタイミングで発動させるのを好むものなのだから。

  安全で効果的なパッチを貴方に。

ワームに関するフェローの研究を公開

ruediger_trost_worms

  我々のフェローの一人である、ミュンヘンオフィスのRuedigerが、自身の研究の過程でワーム(Confickerを含む)に関するペーパーを執筆し、シェアしたいと考えている。

  同ペーパーはドイツ語で書かれており、ここ(PDF、2MB)から入手できる。よろしければダウンロードして頂きたい。

さらにBlack Hat USA方面の話題

  さてBlack Hat USA2009の二日目、Twitterのタイムラインを見ていたところ、 iPhoneにSMSリモート・コード実行の脆弱性 についてチャーリー・ミラーとコリン・マリナーによるプレゼンテーションが行われた後あたりから、「iPhoneのSMS機能を停止する方法」やら「iPhoneのSMSを使えなくしたから他の方法で連絡するように」といったメッセージがたくさんアップされはじめました。

  さらにF-Secureのミッコも、このような↓ポストを投げていました。
Mikko_BHUSA_7-30-09
これが面白いのは、問題のiPhoneのリモート・コード実行
SMS脆弱性を利用した攻撃テキストメッセージには「四角が含まれる」特徴があるからです。

  もっと広範囲のSMS脆弱性の問題を扱ったゼーン・ラッキーとルイス・ミラスのプレゼンテーションは立ち見が出たほどになったそうです。ここではiPhoneだけでなく、WindowsMobileやAndroidも扱われていたそうです。

  さらに、Confickerについてプレゼンテーションする予定だったミッコですが、「犯罪組織の捜査中だから」ということで、ウィルスについて新しい内容の詳細を話さないように某捜査当局から圧力があったという話題が出ています。

  そして、昨年「DNSキャッシュ・ポイズニング」の公表で大きな話題となったダン・カミンスキーは、今年はPKIの基礎構造として使われているX.509の問題を指摘しました。認証システムのバックボーンとしてPKIが普及し始めてからそろそろ12年、
PKIに対してこの間に政府や民間で多額の投資が行われて来ています。日本でも各省庁でPKIを立ち上げブリッジする相互認証システムに数億円が使われているはず。
  ところが、ごく最近になってもMD2のような古いハッシュ関数が使われていたことなどが指摘され(VeriSignを含む)、SSLの裏付けも含め改善すべき問題が山積みといえそうです。ダン・カミンスキーによれば、この問題に対処するには「DNSSECに移行するしかない」ようです。

  毎年Black Hat USAの開催後には、多数の企業がセキュリティ対策に忙しくなります。今年もセキュリティの暑い夏は続いているようです。

ベガスで「Black Hat」が開催

ラスベガスで、Black Hatブリーフィングの初日が終了しようとしている。Black Hatは最大のセキュリティ・カンファレンスの1つで、常に熟練リサーチャーたちが研究発表に招かれている。

Jeff Moss opening BlackHat 2009

  BlackLightルートキット・スキャニング・テクノロジに深く関わってきたため、私は多くのRootkitトラック・セッションに出席して過ごした。初日にはいくつか、興味深いプレゼンテーションがあった:

Stoned Bootkit, Peter Kleissner

  Peterは、Master Boot Recordを使用して、ブートプロセスの早い段階でアクティベートするルートキットを作成するための、オープンな開発フレームワークについて発表した。同テクノロジの大部分は以前のリサーチで周知のものだが、恐ろしいのはStoned Bootkitの拡張性にある。

Stoned Bootkit

  Peterは簡単に、いくつかの拡張例に触れた。一つの例は、環境保護という目的で、ACPIを使用してCPUを減速させるCO2ルートキット・プラグインだ! さて、これはまったく素晴らしいが、私の考えでは、Stoned Bootkitフレームワークの最も熱心なユーザは、同マルウェアのオーサー・コミュニティにいるだろうと思う。私の言葉を額面通り受け取って欲しいのだが、彼らがコミュニティに参加しているのは、熱帯雨林を守るためでは無いはずだ。

Ring -3 Rootkitsの紹介, Alexander Tereshkin および Rafal Wojtczuk

  ルートキットは発達し続けている。先年は、ユーザモード(Ring 3)からカーネル(Ring 0)へ、カーネルからハイパーバイザ(Ring -1)に進み、そしてついにはシステム管理モード(Ring -2)まで進んでいる。

Alexander Tereshkin presenting

  AlexanderとRafalは、Intel AMT実行環境で、悪意あるコードを実行する可能性について調査した。AMTはリモート管理のためのものだが、残念なことに、良き人々にとってはリモート管理であっても、攻撃者にとってはルートキットによるバックドアを意味している。しかし、これがルートキット・カウントダウンの終結でないことは間違いない。Ring -4 ルートキットがどこで動作するかなど、誰が推測したいと思うだろうか? とは言え、我々は間もなく知ることになるだろうと、私は確信している。

  もちろん、すべてがルートキットについてだ、という訳ではない。初日には、SSL/TLSのビルディングブロックの1つである、X.509に関する2つの興味深い講演があった。

Dan Kaminsky presenting

  その中で、Moxie MarlinspikeとDan Kaminskyがそれぞれに、ほとんどのインプリメンテーションに関わる問題を発見した。すなわち、攻撃者がすべてのWebサイトで有効であるように見える証明書を作成することを可能にする問題だ。証明書のネームフィールドに、巧みに空文字を埋め込むことにより、ブラウザが悪意ある証明書を正当なWebサイトに誤ってマッチングさせるのだ。どちらのリサーチャーも素晴らしい仕事をしている!

ラスベガスからサインオフ
Antti

PS. もし皆さんがBlack Hatに出席されているなら、木曜の午後に行われるミッコのConfickerワームに関する講演をぜひお聞き頂きたい。

Black Hat USA 2009にてiPhoneのSMSリモートコード実行脆弱性が公表に

  今、世界中のセキュリティ関係者はアメリカのラスベガスに続々集結して来ています。日本時間の今夜(アメリカでは29日)からスタートする世界最大規模のセキュリティコンファレンス「Black Hat USA 2009」に参加するためです。

  このBlack Hat USAコンファレンスには例年4000人近くのセキュリティ関係者が集まり、今年は29日と30日の2日間にわたって100本近いプレゼンテーションが行われます。今年は、F-Secureのミッコ・ヒッポネンも「The Conficker Mystery」と題したプレゼンテーションを行う予定になっています。

パトリック・ルノーが7月3日にポストしていた iPhoneにSMSリモート・コード実行の脆弱性 についても、30日に発見者のチャーリー・ミラーとコリン・マリナーによる解説が行われる予定です。しかし今日のForbe'sの記事によると、まだiPhoneの対策パッチはリリースされていないことが指摘されています。しかしSMSがらみの問題は、iPhoneだけの問題ではなさそうで、Windows MobileやAndroidでも同様の研究がなされています。今年のBlack Hat USAのスケジュールを見ると、やはりスマートフォン関係のプレゼンテーションは増えています。

  ラスベガスに行かなくても、これから2日間はTwitterなら @BlackHatEvents をフォローするか、あるいは #BlackHat のタグで検索すると、いろいろ面白い情報が見られるでしょう。

Microsoftから新たなOut-of-Bandパッチ

  Microsoftが2、3の脆弱性をフィックスするアウトオブバンド・パッチをリリースした。脆弱性の1つは、Internet Explorer(MS09-034, Critical)に、もう一つはVisual Studio(MS09-035, Moderate)に影響を与える。我々が以前述べたように、こういうことはめったになく、起きたとすれば正当な理由があってのことであり、注意を払ってマシンを必ずアップデートした方が良い。

  以下はこれらのセキュリティ・アップデートが脆弱性に対処する方法に関する簡単な概要だ:
  Internet Explorer, MS09-034 - このセキュリティ・アップデートは、IEがメモリでオブジェクトを処理する方法と表操作を処理する方法を修正することにより、これらの脆弱性(ユーザーが巧みに作成されたWebページをInternet Explorerを使用して閲覧した際に、リモート・コード実行を可能にする)に対処する。

  Visual Studio, MS09-035 - 同セキュリティ・アップデートは、ATLヘッダを修正することにより、脆弱性(ユーザーが脆弱なバージョンのATL、すなわちActive Template Libraryで作られたコンポーネント、あるいはコントロールをロードする際に、リモート・コード実行を可能にする)に対処するもので、これにより、これらのヘッダを使用して作られたコンポーネントやコントロールが、問題なくデータストリームからイニシャライズ可能になる。

ms09-034-crtical2 (70k image)

  頭に思い浮かぶ最後の、そして本当に大きなアウトオブバンドは、もちろん「MS08-067」で、我々は皆、これがどんな問題に導くか理解している。もしConfickerも、初日にパッチを当てたすべてのコンピュータにリーチできたとしたら、何が起きていたかを想像するのは難しい。

  「MS08-067」に関してそういう事情だったため、この新たな脆弱性はIE7およびIE8の両方を実行する、現在サポートされているすべてのバージョンのWindowsに影響を与える。例外はServer Coreインストール・オプションでインストールされたWindows Server 2008だ。

  だからぐずぐずしていないで、できるだけ早くアップデートしよう。

  エフセキュアが提供している無料のオンライン・ツール「Health Check」を使用して、皆さんのコンピュータに必要なセキュリティ・アップデートを確認することもできる。

F-Secure Health Check

  「Health Check」は現在、Internet Explorerに対応している。その他のブラウザへのサポートも、将来的に追加する予定だ。

サイバースペース保護

  昨日、バラク・オバマ大統領がサイバースペース保護のための政策を発表した。

  ジョージ・ブッシュがマルウェアやボットについてスピーチを行うところを想像するのは難しかったろう。そして正にそれが、オバマの行ったことだ。

  オバマ大統領の口から発せられると、以下のようなフレーズは非常にナチュラルに聞こえる:「我々に害をなす可能性のあるサイバー犯罪者に先んじるため、我々はスパイウェアやマルウェア、なりすまし、フィッシング、ボットネットといった、全く新しいボキャブラリーを学ぶ必要がありました。」

cyberobama

  興味深いことに、オバマ大統領はConfickerについても名指しで言及している。彼のスピーチの全文はオンラインで入手可能だ。

  もう一つ引用を:「現在の情報時代は、まだ初期の段階にあります。我々はWeb 2.0に生きているに過ぎないのです。」

  New York Timesサイトで、オバマ大統領の発表に対する私のコメントがご覧頂ける。

サイバー犯罪対策コンファレンスが今日からスペインで開催

  Darkmarket.wsはどんなサイトだったか? ではオンライン犯罪者の捜査の様子が解説されていましたが、マルウェアとフィッシング対策を目的とするAnti Phishing Working Group (APWG)が主催する国際コンファレンス「CeCOS III」が今日5月12日から3日間、スペインのバルセロナで開催されています。昨年のCeCOSは東京で開催されたので、日本のセキュリティ関係者で行かれた方もいると思います。
http://www.antiphishing.org/events/2009_opSummit.html

  今日は、4月に話題となったConfickerについてのSRI Internationalからの発表があった模様です。
  Twitterでのアップデートは@APWG か#CeCOSでサーチしてみると、随時いろいろ見つかると思います。

ConfickerはBlasterと何が違うのか

 また亜種が出てきたか!!という思いです。(T T)

 Confickerのアウトブレイクは、よく2003年のBlasterワームの再来と例えられています。しかし、大きく異なるのが感染後の駆除が厄介な点ではないでしょうか。苦戦されている企業が多いことから、筆者らも先日緊急アラートを出しました

 長期化する組織内に潜入したConficker(Downadup)の駆除・対処について
 http://www.lac.co.jp/info/alert/alert20090409.html


(1)駆除ツールが効かない?

 Blasterワームと比較し、Confickerはかなり巧妙な作りになっています。その為か、駆除ツールが必ずしも有効ではありません。筆者の検証結果では、5つの駆除ツールをテストした結果、適切に動作したツールは2/5でした。適切に動作しなかったものは2つのタイプに分類できます。

・駆除したと表示 -> 実際は駆除していない
・駆除できないと表示

 特に前者のタイプはユーザを裏切る最悪のケースと言えます。


(2)組織的駆除の難しさ

 感染経路が多いため、一発で組織的に解決することが難しい点が挙げられます。

・ネットワーク共有
・外部記憶媒体(特にAutoplayの問題)
・モバイルブロードバンド
・ウェブ

 多く見かけるのが、駆除した直後に再感染している例です。

(3)パスワードの問題

 大組織程多いと思われるのが、ActiveDirectory環境でのAdministratorのパスワード変更です。(簡単にはできない、と言われるケースが多い・・・)Confickerはネットワーク共有を悪用するためにBruteforceを行います。この際に、ネットワーク上の全ホストのAdministratorのパスワードが同一だったとしたらどうでしょうか。感染速度がさらに加速化されることが容易に想像できるかと思います。

 完全駆除が中々難しいとは思われますが、一時的に業務システムを停止してでも駆除しなければ解決は長引くだけです。

Confickerの新たな活動

 昨日、Confickerの新たな亜種が発見された。現在ファイルを調査しているところだが、これまでに分かったことを以下にまとめておく。

・4月8日、P2Pネットワークを介して、Conficker.Cに感染したマシンに新たなアップデートが用意された
・我々は新たなファイルをConficker.Eと呼んでいるが、このファイルは以前の感染とともに実行され、共存する
・同ファイルでは再び、MS08-067脆弱性を介しての蔓延が可能になっている。Conficker.Cでは拡散機能は削除されていたが、おそらく背後にいる連中が自分たちのミスに気づき、再び追加したのだろう
・スパムボットのWaledacと、何らかの関係があるかもしれない。Conficker.Cに感染したコンピュータの中には、良く知られているWaledacドメインに接続し、そこでWaledacをダウンロードしたものがある
・Conficker.Cに感染したマシンに至ることが知られている通り、偽アンチウィルス製品とのコネクションもある。その不正な製品とはSpyware Guard 2008である
・Conficker.Eは、2009年5月3日以降、自身を削除する

 分かりにくく、また奇妙に聞こえるだろうか? 実際その通りだし、不幸なことに、Confickerに関して容易なことなど何も無いため、その挙動について何か分かり次第、この投稿を更新し続ける予定だ。我々は昨日以来、新たなConficker.Eを、そしてそれがダウンロードする関連ファイルをすべて検出している。

2009年第1四半期のセキュリティー脅威サマリー

f-secure

 2009年第1四半期のセキュリティー脅威の概要を公開した。

 今回は、初のSMSワームでありソーシャルネットワークの脅威でもあるConfickerにフォーカスしている。

 詳細はhttp://www.f-secure.com/2009/(英語)を参照して欲しい。

エフセキュアブログ先週のまとめ [2009/04/04-04/05]

 先週のエフセキュアブログは、3月26日に掲載したConficker Q&Aにつづいて、4月1日後版Conficker Q&Aを掲載するなど、4月1日のConfickerの挙動にまつわる話題を多く取り上げました。続きを読む

Conficker騒動の陰でDNSサービスへのDDoSアタックも発生

 4月1日は、Confickerの話題がマスメディアを席巻していた陰で、いくつかの 大手DNSサービスがDDoSの被害にあっていたようです。

 DDoS攻撃を受けたのは Register.comUltraDNS.com ですが、UltraDNS はAmazon のクラウドサービスや SalesForce.com、IMDB.com などが利用している高可用性が売りのサービス。

 詳細についてはほとんど報道されていませんが、このようなDNSサービスを落とすほどのDDoSというと、かなりのボリュームのものと想像されます。

 今のところConfickerワームとこれらのDDoS攻撃との直接の関連は報道されて いません。

 しかしここで、やや別な見方をすると、Conficker の能力の一つは、すぐに特定の話題一色になってしまうマスメディア報道の特質を狙うマスなソーシャルエンジニアリングとも言えるのかもしれません。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード