エフセキュアブログ

FSECURE を含む記事

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

ボットネットテイクダウン狂想曲

オンラインバンキングを標的としたボットネットDridexが、テイクダウン後に衰えを見せるどころか、さらに勢いを増しているということで話題(Dridexの解体, Botnets spreading Dridex still active)になっています。

テイクダウンの是非については昔から賛否両論ありまして、割れ窓理論とよく似た議論が交わされています。
端的に言えば、「どうせすぐ復活するから、やる意味ないよ」という批判をよく耳にするのです。

参考までに、最近のボットネットテイクダウン作戦を対象に、VirusTotalにアップロードされているマルウェア検体数が、テイクダウン実施前後でどう変化しているかを調べてみました。

横軸は検体がコンパイルされた日付(つまり検体が作成されたであろう日付)、縦軸はアップロードされている検体数で、グラフごとに目盛りが異なるので注意。コンパイル日時は偽装可能なので、あくまで参考情報として。

Ramnit

公表されている感染端末数:320万台
テイクダウン実施時期:2015年2月
主導した機関:ユーロポール
参考情報:自身をブロックするウイルス
Takedown_Ramnit
Simda

公表されている感染端末数:77万台
テイクダウン実施時期:2015年4月
主導した機関:インターポール
参考情報:Simdaボットを射る3本の矢
Takedown_Simda
Beebone

公表されている感染端末数:10万台
テイクダウン実施時期:2015年4月
主導した機関:ユーロポール
Takedown_Beebone
Vawtrak

公表されている感染端末数:8万2000台
テイクダウン実施時期:2015年4月
主導した機関:警視庁

Takedown_Vawtrak
Dridex

公表されている感染端末数:非公開
テイクダウン実施時期:2015年10月
主導した機関:FBI、NCA
参考情報:Dridexの解体
Takedown_Dridex

Simdaのようにテイクダウンを境として活動が沈静化した事例もあれば、DridexやRamnitのように逆に活発化してしまった事例もあるという結果でした。

上述の割れ窓理論に関する否定的な主張として、「社会学は割れ窓理論に優しくはない。」という文章がWikipediaには載っていますが、「社会学はボットネットテイクダウンに優しくはない。」とも言えるようです。

それでも私個人的にはボットネットのテイクダウンに賛成派だったりします。賛成というのは、テイクダウンをやれば万事解決という意味ではなく、テイクダウンもボットネット一掃作戦の一部として有効だという意味です。実際、テイクダウンをきっかけとして捜査が進展することはよくあります。

Exploitコードは要りませんか?闇市場からの売込みにご注意

2020年に東京オリンピック・パラリンピック開催が決定し、日本におけるサイバー攻撃対策も注目されています。そんな中、海外のセキュリティベンダーは日本への売込みに躍起になっています。
そんな状況を知ってか知らでか闇市場でのセキュリティベンダー(?)も、日本のセキュリティ関係者へ売込みを始めているようです。
その対象はサイバー犯罪者らへの売買だけでなく、セキュリティ研究者も対象としています。攻撃者は武器が増えますし、セキュリティ研究者もしくは担当者(CSIRTなど)は対策へ活用が可能な情報を得ることになりますので、どちらも顧客対象となるのでしょう。
その代表的のものがExploitコードを扱うセキュリティ屋さんです。例えば、次のようなメールで取り引きが始まります。

Exploit_Silverlight
紹介しているExploitコードは別として、このメールは一部のセキュリティ研究者や担当者が関心を引く内容となっています。恐らく、記載のものを売るつもりではないのだと思います。
何通かメールをやり取りし、扱っている商品やメールの内容を総合的に判断すると、どうも彼は他で扱っている商品を転売しているようです。(二次代理店とは違いそうでした。)
ちなみに、そんな彼によればオススメは Flash Player と MS Office Word (2003 - 2013)とのこと。
昨今のサイバー攻撃傾向に鑑みますと、このあたりがオススメというのも頷けます。
もっとも、どの程度信用するのかは別の問題ですが。

サイバー攻撃者と研究者の狭間で扱われる情報には、度々興味深いものがあります。しかし、その多くは信頼度の判断に苦慮することが多いことも事実です。
このような状況の中、如何に信頼度の高いものを選別し活用していけるかが今後の日本のサイバーセキュリティ対策のポイントとなりそうです。

ダイジンとユージン

先月のことになりますが、Cyber3 Conference Okinawa 2015という国際会議に私も休暇がてら参加してきました。

c3
(サイバークライムのセッションでは、インターポールIGCIへの期待の高さを肌で感じた。)


初日の全体セッションには、日本政府からダイジンという方が登壇され、
なぜ、世界の優秀な技術者はグーグルやアップルのような企業に行くのか。これは給料が高いからではない。技術者の探究心を満たせる環境が整っているからだ。それと同じように日本の技術者も、社会貢献という大義のために、安い給料で頑張ってほしい。
という趣旨の発言がありました。

ダイジンのそういった発言がある一方で、二日目には、世界的に有名なサイバーセキュリティ企業を経営するユージンという方が登壇されました。そのロシア企業は世界中からトップレベルのセキュリティ技術者(ハッカー)をかき集めていることでも知られ、アンチウイルス業界のグーグルとまで言われたり、言われなかったりします。
ユージンは、
十分な数のセキュリティ技術者を抱えている国など世界中探してもどこにもない。どんどん投資して、教育して育てなければならない。数が少ないからこそ、彼らにはフットボールプレイヤー並みの給料がかかるが、企業にも政府にもまだまだセキュリティ技術者が必要とされている。
と発言されました。
さすが、一癖も二癖もあるハッカーの年俸を決定する立場にある経営者の言葉からは苦労と覚悟が伝わってきます。それにエンジニア出身の経営者というだけあって、セキュリティ技術者の心情もよく理解しています。

サイバーセキュリティ業界を志す学生の皆さん、リーガ・エスパニョーラ(スペインプロサッカーリーグ)の平均年俸は2億7千万円、ロシアプレミアリーグでも3千万円だそうですよ。

参考情報:【ハリルジャパン】2015シーズン年俸ランキングが意外すぎるww

FREEDOMEキャンペーン開始!

nekomu_banner

大人気コスプレイヤー「御伽ねこむ」がキャンペーンに参加
http://freedome.f-secure.com/nekomu/jp をチェック!
 
F-Secure FREEDOME
インターネット接続には危険や無駄がいっぱい
「FREEDOME」で賢く安全にインターネット!
個人情報の流出による金銭被害や無駄な広告表示によるトラフィックコスト増をシャットアウト!

freedom_image


安心してWi-Fiに接続

カフェやホテル、空港で利用できるフリーWi-Fi、無料で便利だけど個人情報を盗む罠も!?安全に使うにはF-Secureの「FREEDOME」でプロテクト!!

広告表示をカット、コスト削減

なんで同じ広告ばっかり表示されるの? それはあなたのWeb閲覧履歴が広告配信業者に渡っているから。更に、その広告表示のためのトラフィック料はあなたが支払っています。今すぐ「FREEDOME」をオンで無駄なトラフィックをカット!!


14
日間無料! すぐにインストールして試してみよう!

ダウンロード、ライセンスの適用などは、FAQサイトをチェック
4年連続BESTプロテクションアワード受賞、世界屈指のセキュリティ
ベンダー「エフセキュア」が提供する安心アプリ

FREEDOME200万ダウンロード突破

iPhone/Android/Windows/MAC対応

数独マルウェア vs. EMET 5.2

数ヶ月前、悪意のある数独問題ファイルを読み込むことの危険性について注意喚起を行いましたが、昨今の標的型攻撃の手口は悪質化、巧妙化の一途をたどり、ソーシャルエンジニアリングを駆使した攻撃手法も洗練され、もはや「悪意があるかどうかを事前に判断」することが困難になりつつあります。つまり、「不審な数独問題ファイルを開かない」というのが対策として機能しなくなってきたのです。

そこで近年注目されているのが、マイクロソフトが提供するEMETに代表されるような脆弱性防御(緩和)ソフトウェアです。
早速、EMETを有効にした状態で数独マルウェア(正確に言うと数独Exploit)を使って攻撃してみましょう。
デフォルトで3つのセキュリティレベルが用意されていますので、最高レベルの「Maximum security settings」を選択して実験を開始します。

SudokuExploitWithEmet52

なるほど、確かに攻撃を検知して防御してくれました。

では次に、EMETによる防御をバイパスしてみましょう。EMETの解説を読む限りでは、攻撃に使われる典型的な振る舞いをパターン化しているようです。そこで、一直線に攻撃に向かうのではなく、わざわざ遠回りをして攻撃してみます。例えて言うと、スタート地点Aから目的地Bに向かいたいが、途中に検問がある。だったら一度経由地Cを通ってから目的地Bに向かおうという、いたってシンプルな作戦です。
要するに
A -> B
という命令は
A -> C
C -> B
という二段階の命令に置き換えます。

完成した攻撃コードを実行した動画です。



脆弱性防御ソフトウェアは、あわてんぼうの攻撃者にとっては有効ですが、精巧に攻撃されるとまだまだバイパスが可能、という段階のようです。

また今回の実験はEMETだけでなく他の標的型攻撃対策ソフトに対しても同様にバイパスが可能でした。

「不審な数独問題ファイルを開かない」という自信の無い方は、業務用PCと数独用PCを分けることをおすすめします。

2015/10/06追記: EMET 5.5 Betaでも結果は同じでした。

トップガンを越えてゆけ

NHKのプロフェッショナルというテレビ番組の中で、"サイバーセキュリティー技術者の中でも最高の技術を持つトップガン"ということで「あの」名和さんが登場しました。

名和利男(2015年9月14日放送)| これまでの放送 | NHK プロフェッショナル 仕事の流儀

特にマルウェア解析シーンでは突っ込みどころがたくさんありますが、テレビということで大目に見てもらうとして、技術者が誤解したままではマズイと思うことを一点だけ。

終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話になっています。
おそらく「b1ef92??」を1バイトずつに分解して、16進数から10進数に変換したのでしょう。

16進数表記 b1 ef 92
10進数表記 177 239 146

ところが、そもそもこの値はVirusTotal独自のハッシュ値ですので、こういった計算でIPアドレスを割り出すことはできません。よって、メキシコというのは誤報でしょう。

では、どこの国を経由した攻撃なのか。それはマルウェア検体自体を解析するのが一番確実です。

マルウェアの中身を見ると、サーバのアドレスは暗号化されていますが、復号ロジックも復号鍵もマルウェア検体自身の中に入っていますので、それを用いて復号するとマルウェアの通信先がわかります。

malwareanalysis

その通信先から、二つ目のサーバに関する情報を暗号化された形で取得できますので、同様に復号すると攻撃者のサーバのIPアドレスがわかります。
そのサーバにアクセスした結果がこちらです。

iisrdp

明らかにメキシコ以外の国が絡んでそうですね。

今年の9.18サイバー攻撃は静かだった?

9月といえば、18日の中国からのサイバー攻撃が毎年恒例のイベントです。しかし、今年は静かなもので、特に目立ったウェブ改竄やDDoSなどの攻撃は確認できていません。
#私の観測ポイントで確認できていないだけかもしれませんが・・・。

なお、他国のウェブサイトは戦後70年絡みでの改竄被害が多数出ています。
ghost

国内において9.18に関係した被害が確認できなかった要因として、今年は直近に靖国参拝や尖閣諸島などの政治的要素の強い報道がなかったことが挙げられるかもしれません。
なお、この政治的背景の観点では例年9.18サイバー攻撃を行っている一部の攻撃グループが、15日に安部首相が日・ベトナム首脳会談を行ったことに対して反応しています。

Vietnam

攻撃趣旨としては南シナ海の警備を支援するために巡視船や巡視艇を供与する方針を決めたことの対して物申したいようです。
#こちらも大規模改竄といったものではありません。

ここ最近の攻撃傾向をみますとイベント的なサイバー攻撃は政治的なトリガーがなければ、大規模な攻撃は行われていない印象があります。
しかし、この手のイベント前は攻撃者らがチャット上で攻撃に関する議論を行っていることから、全く攻撃が無いとは言い切れません。
特にイベント的攻撃はDDoSのような一撃必殺的なものも予想されるため、対策準備をしないわけにもいかないのが悩ましいところです。

日本国内においては来年のサミット、2019年のラグビーW杯、2020年のオリンピックなどのビックイベントが控えています。その影響がどの程度あるかは不明ですが、今後益々のサイバー攻撃の増加が予想されます。その意味では、9.18サイバー攻撃は演習としても活用できますので毎年しっかりと対応していくことが重要になると思います。
たとえ何も無くても情報共有の枠組みやエスカレーションフローの手順などの再確認ができますので、良い機会かと思います。
と、いうことで来年も大規模攻撃は無いかもしれませんが、対策準備のひとつとして対応しては如何でしょうか。

準備中

 このブログ(https://www.f-secure.com/weblog/)の常連の読者の方なら、最近、更新が遅いことにお気づきだろう。

Under Construction
工事中

 とうとうGreymatter 1.7.3から更新することにした。ここは世界でもっとも古いGreymatterのブログかもしれないが、もうすぐ変わる。

 詳細は追って連絡する。

 それと同時に、引き続きTwitterで情報を得られる。

悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性

概要
シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。

sudoku-2015-000001

影響を受けるシステム
Sudoku solverを組み込んだシステム

詳細情報
Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。



想定される影響
細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。

対策方法
不審な数独問題ファイルを開かないようにしてください。

参考情報謝辞
IT先進国を目指す国家のリーダー像を自らの行動で示すリーシェンロン氏に対し深い謝意を表します。

気になるオールインワン・クライムウェア「DiamondFox」

情報窃取を目的としたボット”DiamondFox”が、クレジットカード情報を狙う犯罪者らの中で話題のようです。
(いろいろな意味で・・・)

webUI
 ※マニュアルより抜粋

元々、情報窃取を目的としたクライムウェアであることから、認証情報やクレジットカード番号等を窃取するための機能が非常に充実していることが特徴です。
  • Browser Password Stealer
  • Instant Messaging Grabber
  • KEYLOGGER
  • Point-Of-Sales Grabber(RAM Scraper)
  • EMAIL Grabber
  • FTP Password Stealer
中でも機能面で興味深いのは、
  • Bitcoin Wallet Stealer

を有していることで、顧客層を金融犯罪グループにターゲットを絞っていることが窺えます。


bitcoin stealer


また、DDoS機能(HTTP flood / UDP flood)もあり、脅迫用と推測されます。
DD4BCのケースのような利用を想定。

こういった金銭目的のクライムウェアは以前から存在していましたが、ここまで多機能なものは殆ど見かけたことはありませんでした。容易に予想される脅威は、一台の端末から認証情報の他に仮想通貨やカード情報など根刮ぎ窃取する手口が横行するかもしれない、ということです。

特にメモリに対しての機能を有している点においては、今後の行く末が恐ろしい限りです。
クライムウェアの悪用はこれからも増加するとみています。これらが日本国内のサービス等に、いつ対応してくるかが焦点になってくるのではないでしょうか。
何かUG市場に動きがありましたら続きを書きたいと思います。

ではでは。

年金機構を襲ったマルウェアに感染しているかを1分で確認する方法

さすがに高性能なフォレンジックソフトを使えば簡単に見つけられるようです。

focus-s
株式会社フォーカスシステムズが公開した
年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析


ただ、一般の方にしてみればちょっとオーバースペックかもしれませんので、もっと簡単に確認する方法を紹介します。

タスクマネージャーを開き、対象プロセスを右クリック、「ダンプファイルの作成」を選択します。
taskmanager_emdivi

あとは、作成されたダンプファイルからC2サーバのドメインを検索するだけです。
上記のサイトによると東京都港区にある海運企業のドメインは「p」で終わるようですので、「p.co.jp」で検索します。
cmd_emdivi

海運企業っぽい名前が出てきたら感染しています。

実際には海運企業以外もC2サーバとして使われていますので、もうちょっと汎用的なキーワードのほうがいいかもしれません。
cmd_emdivi2

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



UG市場と懐かしのVBA悪用の流行で思うこと

昨年よりVBAを悪用した攻撃報告が相次いでいます。2月にSANS ISCからも報告されていますし、Dridex Banking Trojan のような攻撃も報告されています。
#当初はVBAの悪用に対して懐かしさを感じていました。
一時代前の状況との違いのひとつは、攻撃時のソーシャルエンジニアリング的な要素を強化したことが挙げられます。例えば、マクロを有効化しなければ文章本文が閲覧できないようにするなどです。

このVBAを悪用するトレンドは、アンダーグラウンド市場においても確認できます。
現在、複数のサイバー犯罪者向けのサービスプロバイダー(?)が確認されており、ほとんどがマクロに対応しているようです。
#もっとも、ちゃんと取引が成立するのかは不明ですが。

officeexp
                    図 攻撃コード生成サービス例

約3年前頃と記憶していますが、マルウェア開発者コミュニティ間において、VBSによるマルウェア開発の依頼が記載された時期がありました。恐らく、その頃からVBSやVBAといったエンコード可能な言語による悪性コード開発の需要が高まってきたのではないでしょうか。そして、現在は一定の市場が出来てきたのかもしれません。
この辺の状況は悪性コードにも表れており、VBAがダウンロードする関連ファイルなどは非常に酷似しているものが多く確認されています。例えば、下図の場合は一部のパラメータなどが変わっているだけのものです。
#エンコードはいずれもbase64を利用。
つまり、同一のツールもしくはサービスを利用して作成したものと推測されます。

download malicious files

既に報告された悪性コードだけでも複数種類あり、全てへの対策は中々骨の折れる作業となります。
また、従来よりも攻撃手口は複雑化しているため、単一のセキュリティソフトウェアだけで検出することも難しい状況です。そういった意味では、様々な観点から検知を試みる必要があるといえます。
ちなみに、独自でIOCなどのルールを記述する場合は、次の文字列の組み合わせが使えそうです。

■ダウンロード機能をYaraなどで検出する場合(例)
    strings:
        $a = "VBA"
        $b = "Root Entry"
        $c = "workbook_open" nocase
        $d = "GET"
        $e = "XMLHTTP" nocase
        $f = "WinHttpRequest" nocase
        $g = "adodb.stream" nocase
       
    condition:
        $a and $b and $c and ($d or $e or $f or $g)

#中途半端な形での記載で恐縮ですが、使いやすい形にしてご活用ください(笑)

なお、私見ですがVBAやVBSの悪用は暫く続くものと推察しています。と言いますのも、いずれも被害報告が減る兆しが見えないことに加え、既知の攻撃ツールの開発が継続されているためです。
いずれも悪性コードの開発において自由度が高く、従来のセキュリティ対策に対して柔軟に対応可能であることが特徴です。そういった意味では、しばらくイタチごっこの状況となるのではないでしょうか。
近い将来、これらの課題も解決する日が来ると思います。それまではIOCをはじめとした脅威情報を活かすためのフレームワークを作ることが先決かもしれません。現在、世界ではこれらの取組み(STIXなど)がはじまっています。国内においてもそろそろ動き出す頃かもしれません。
その際は是非ご協力頂き、脅威情報など共有頂けると幸いです。

Freedomeキャンペーン:アーティスト「ナノ」特別インタビュー

「ナノx Freedomeコラボキャンペーン」特別インタビュー

全世界40カ国でインターネットセキュリティアプリを展開するエフセキュアが
全世界をボーダレスに活躍するナノに、新曲「Freedom Is Yours」について
また、インターネットの利用シーンやセキュリティ対策について聞いた!

IMG_2042


エフ(セキュア):ナノさん、今回はエフセキュア社とのコラボありがとうございました。

ナノ:こちらこそありがとうございました。楽しかったです!

コラボキャンペーンサイトはこちらhttp://freedome.f-secure.com/nano-jp/

エフ:さて、今日は新曲「Freedom Is Your」、コラボキャンペーンやナノさんのインターネットライフについて聞かせていただきます! まずは、エフセキュアの本社があるフィンランドについて聞かせてください。どのような印象をお持ちですか?

ナノ:行ったことはないですが、とにかく綺麗そうな場所、すごく自然が多くて、自然に囲まれて、空気が美味しそう。行ってみたい国です! あれ、公用語はなんですか? 英語は通じますか?

エフ:フィンランド語と一部地域はスウェーデン語が公用語なのですよ。でも、ほとんどの人は英語を話すので、ナノさんは、ばっちりコミュニケーションできますね。ところで、ナノさん、フィンランドで有名なキャラクターご存知ですか?

「ムーミン、アメリカで見ていました!」


ナノ:「ムーミン」かな!? ムーミンはアメリカでもアニメ放映されていて、小さい頃に見ていて馴染みがあります。昔はてっきり日本のアニメだと思っていたのですが、数年前にTVでフィンランドのアニメだと知り、驚いた記憶があります。可愛いいキャラクターですよね。

エフ:今、エフセキュアの日本のメンバーがフィンランドにいるので、ナノさんへのお土産にムーミンクッキー買ってくるように言いますね。お楽しみに。

ナノ:楽しみにしています!

「Freedomとは自分の可能性を広げてくれるもの!」


エフ:さて今回、エフセキュアのセキュリティアプリ「Freedome」のテーマソングとして素晴らしい楽曲「 Freedom Is Yours 」を提供していただいたのですが、どのようなイメージで作詞されましたか?

ナノ:「Freedom」という言葉を聞いて、その上でエフセキュアのアプリ「Freedome」を見たときに一瞬でこの4行が頭に浮かびました。

    Freedom is all that you need(自由しか必要ない)
    Freedom is taking the lead(自由は導いてくれる)
    Freedom is rising to stand(自由は進むこと)
    Freedom is there in your hand(自由は君の手の中に)


自分のもっていたFreedomという言葉のイメージとエフセキュアのイメージが120%マッチして、もうこれしかないって、これ以外は考えられないと思ったのです。だから、歌詞は一晩で書いちゃいました。このようなテーマの詩を書きたかったので非常に楽しかったです!!

エフ:ナノさんが持っているFreedomという言葉のイメージとは?

ナノ:「Freedomってなんだろう?」って考えたときにFreedomって自由という意味だけど、自分にとっては、「扉を開いてくれるもの、可能性を広げてくれるもの!」と感じています。自分自身を自由な環境に置くことで、色々な表現を行うことができ、新たな可能性が広がるというイメージかな。

エフ:セキュリティアプリのテーマソングを作詞すると聞いて堅苦しくなかったですか?

ナノ:セキュリティって「守る」ってイメージだけど、アプリが「Freedome」という前向きな名前で面白いなと思いました。自分が大切に守られているからこそ、自由が生まれ、その結果安心して、前向きに自分の可能性を広げることに向き合えるのだと思います。

「翼が生えたかのように心地よく」

エフ:レコーディングはいかがでしたでしょうか?

ナノ:すごく気持ちよかったです。翼が生えたかのように心地よく飛んでいるように歌ってました(笑)。いつもの自分の曲調と違うものにチャレンジできて楽しかったです。今回のコラボに感謝しています(笑)。今回歌ってみて、勝手な思いかもしれませんが、エフセキュアの本社があるヨーロッパの人たちも好きな曲調なんじゃないかと思っています!ヨーロッパの方々の反応いかがでしたか?

エフ:エフセキュアのメンバーはノリノリで聴いていましたよ。週末に「Freedom Is Yours」を聞いて踊ろう!と盛り上がっていました。そういえば、この楽曲をライブで披露する最初の場所もヨーロッパですね?

ナノ:5月22日のドイツ、デュッセルドルフのライブで初披露になると思います。ヨーロッパのナノ友楽しみにしてください! あっ、もちろん、日本のナノ友にも届けます!

(ドイツライブ情報:http://www.dokomi.de/en/entertainment/nano/ )

「Wi-Fiガンガン使います!」

エフ:さて、ここからはナノさんのインターネットライフについてお聞かせください。Wi-Fiはよく使用されますか?

ナノ:ガンガン使います。Wi-Fi命です

エフ:外出先でWi-Fi接続をされるときにはセキュリティ面などに注意は払いますか?

ナノ:いろいろ危険だとは聞いているので多少不安はあるのですが、でも、便利だから結局ガンガン使っています。

エフ:例えば、カフェでパスワードが必要なCafeというWi-Fiとパスワードが必要ではないCafe1というWi-Fiがあったときにどちらに接続しますか?

ナノ:Cafeのパスワードが分かっていればCafeに接続すると思いますが、パスワードを知らない場合は、Cafe1に接続すると思います。

エフ:これは現実起こっている問題なのですが、このような場合に、Cafe1というのは実は、そのカフェが用意したものではなく、悪意のある人が接続した人の通信情報を盗み見するために準備しているケースがあるのです。

ナノ:えー、すごく危険ですね。カフェでWi-Fiにつないで、Twitterとかフェイスブックしたり、いろんな情報を入力、通信したりしていますが危険ですね。でも、一般の人は、このような事は全く知らないのでは?

エフ:総務省も街中でのWi-Fi接続の危険性についてはメッセージを出しているのですが、なかなか、一般の方までそのメッセージは伝わらないですよね。

(総務省ページ:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/wi-fi.html )

ナノ:そう思います。国内でのWi-Fiの便利さはもちろん、さらに海外などでは、国内と違って、みんな通信費用も気になりますから、よりWi-Fiには期待していますよね。でも、今の話を聞くと、むやみにWi-Fiに接続すると危険ということですね。 

エフ:そうですね。そこで、それらの危険から守ってくれるのがエフセキュアの「Freedome」なんです。

ナノ:どういうことですか?

エフ:「Freedome」を使うことでインターネット通信の全てを暗号化することができます。。よって、万一盗み見されても通信の中身を見られることはなく、プライバシー情報を保護することができるようになるのです。

「実は、、Twitterアカウント乗っ取られました」

ナノ: それは安心ですね。実は1ヶ月ほど前にTwitterのアカウントが乗っ取られてしまいました。乗っ取られた後、自分のフォロワーに変な宣伝メッセージを送られてしまいました。フォロワーのみんなに迷惑かけちゃったし、自分のプライバシー情報も取られたのではないかとすごく不安になりました。その時にFreedomeがあれば防げたのかもしれませんね。

ナノ:ナノ友の中には若い子もいるし、ITが得意じゃない人もいると思うから、自分でインターネット上のセキュリティを気にすることができない人もいると思います。そのような時に、ワンタッチでセキュリティをオンにできる「Freedome」は便利だと思いました。

エフ:ありがとうございます。

「知らないWi—Fiにつないじゃダメ!」

ナノ:今回のインタビューで、街中にたくさんあるWi-Fiの中に悪意のあるWi-Fiがあるということを知りました。これは一般的にも知られた方が情報ですね。Freedomeをインストールして安心の環境を手に入れるもよし。あとは、むやみにWi-Fiに接続したらダメということですね。昔、親に「知らない人についていったらダメ」と言われたけど、今は「知らないWi-Fiにつないじゃダメ」という言葉もあるのかな?

エフ:ナノさん、そのフレーズは初めて聞きました。名言ですよ!

ナノ:じゃもう一度、ナノ友のみんな「知らない人についていったらダメ!知らないWi-Fiにつないじゃダメ!」だからね!

エフ:名言で締めていただいたところで、、ナノさん、本日は有難うございました。ドイツでのライブ、「Freedom Is Yours」を含むパフォーマンス楽しみにしています!

ナノ:楽しみに! Rock on!
 


------- 「ナノx Freedome」コラボキャンペーン実施中 -------

安心、安全なセキュリティアプリ「Freedome」をインストールしてナノの新曲「Freedom Is Yours」を聴こう! さらにナノのサイン入りFreedomeパーカーをゲットできるチャンスも!!

キャンペーンサイトはこちら→ http://freedome.f-secure.com/nano-jp/

IMG_7250

Mac OS X用のFreedome VPN

 こちらをご覧いただきたい。

F-Secure Freedome Mac OS X

 OS X用のF-Secure Freedomeだ(研究所のMacチームのMacBookに新規インストールした)。

Mac_Team_Test_Machines

 ベータ版が現在公開されており、60日間無料でお試しいただける。

 ダウンロードまたは共有を。

FREEDOMEについてのFAQ

(2015/10/27改訂)
この記事では、FREEDOMEの使い方が分からないという方に向けて、良くある質問と解決方法をご紹介します。

Q01. FREEDOMEって何ですか?
A01. エフセキュアが販売しているプライバシー保護対策の製品です。iOS/Android/Windows/Mac版が利用可能です。

Q02. FREEDOMEは何処から入手できますか?
A02. iOS版はAppStoreから、Android版はGooglePlayから、Windows版/Mac版はエフセキュアのホームページから入手できます。

Q03. FREEDOMEの利用にお金はかかりますか?
A03. インストールから2週間は無償でご利用頂けます。試用期間終了後はアプリ内メニューのライセンスの項目や、エフセキュアのオンラインショップからライセンスを購入することが出来ます。
試用期間終了後に自動的に課金されることはありませんのでご安心を。

Q04. FREEDOMEを「フィンランド」に設定、「ON」にする方法がわかりません。
A04. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面下部の仮想ロケーション表示をタップします。
setting1

3. 「その他」をタップします。
setting2

4. 「フィンランド」をタップします。
setting3

5. スクリーン中央にフィンランドの国旗が表示されていることを確認し、左上の「<」をタップします。
setting4

(iOS版のユーザのみ)
5-1. iOS7以前のOSをお使いの場合は次のスクリーンが表示されます。
  「OK」をタップして進めてください。
setting6


6. 中央の「オフ」ボタンをタップ、「オン」にして完了です。
注意: iOS7以前のOSをお使いの方、「セキュリティを有効にする」スクリーンが表示された方は「6-1.」以下へお進みください。
setting5


(iOS版のユーザのみ)
6-1. 「はい」をタップします。
setting7

6-2. 「インストール」をタップします。
 setting8

6-3. 「パスコード入力」が表示された場合は、普段お使いのデバイスのパスコードを入力します
setting9

6-4. 「インストール」をタップします。
setting10

6-5. 「インストール」をタップします。
setting11

6-6.「完了」をタップします。
setting12

7. FreedomeがONになっていることを確認したら完了です!
setting5


(Windows版/Mac版の場合)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 画面下部の仮想ロケーション表示をタップします。
virtual_location01

3. 「Espoo, FI」を選択します。
virtual_location02

4. 画面右側の地球儀にフィンランドの国旗が表示されていることを確認し、左上の「← Freedomeに戻る」をタップします。
virtual_location03

5. 仮想ロケーションの位置がEspooになっていることを確認し、中央のボタンがオンになっていれば設定完了です! オフになっている場合は、クリックしてください。
virtual_location04


Q05. マルチデバイスライセンスの適用方法が分かりません。
A05. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面左上の"Ξ"をタップし、メニューを表示させます。
license_act_mob01

3. メニューからライセンスをタップします。
license_act_mob02

4. 「マルチプラットフォームライセンスを既に購入しておりますか?」をタップします。
license_act_mob03


5. 表示されたポップアップにライセンスキーを入力します。
license_act_mob04


(Windows版/Mac版)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 左側のメニューから、「今すぐ購入!」をクリックし、「コードをお持ちですか?」をクリックします。
license_act_desk01

3. 表示されたポップアップにライセンスキーを入力します。
license_act_desk02

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

JVNVU#92002857とGoogle不正証明書事案のメモ

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメイン の管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。
とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC(中国インターネット情報センター)により発行されている、とのこと。この辺りは、GREATFIRE.orgars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

langley tweet

前者は認証局、後者は証明書(一部、中間認証局?)の問題の情報となります。
特に後者のような通信傍受目的(?)と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード