エフセキュアブログ

Firefox を含む記事

法人向け製品 新バージョンのご紹介1

どうもエフセキュア 富安です。
前回の投稿から随分経ってしまいました。今後はもうちょっと短い間隔で投稿出来るように頑張りたいと思います。。。

それはさておき、昨日、法人向けのWindows用製品の新バージョンをリリースしましたので、旧バージョンから変更/追加された機能を中心にご紹介したいと思います。

今回リリースしたのは、Windows XP等のワークステーション向けエンドポイント製品のエフセキュア クライアントセキュリティ Ver9.00 / エフセキュア アンチウイルス ワークステーション Ver9.00と、それを集中管理するためのポリシーマネージャ Ver9.00になります。

今日は、エフセキュア クライアントセキュリティ Ver9.00に追加された、ブラウザ保護の機能について紹介したいと思います。

先行してリリースしましたコンシューマ向けのエフセキュア インターネットセキュリティ2010には既に搭載されている機能ですが、今回の新バージョンで法人向けのエフセキュア クライアントセキュリティ Ver9.00にも搭載されました。


ブラウザ保護は、ユーザが危険なWebサイトにアクセスしないようにするための機能です。
クライアントセキュリティをインストールして機能を有効にすると、ブラウザにアドオンとしてブラウザ保護のツールバーが追加されます。

browsing_protection_toolbar

「評価: 安全」と「評価: 不明」のWebサイトにアクセスした場合には、通常通りWebサイトが表示されます。

ただし、「評価: 危険」の場合は、Webサイトを表示する代わりに、以下の画面が表示し、ウイルス感染の危険があるようなサイトを開かないようにしています。

browsing_protection_danger


また、ブラウザ保護は直接危険なサイトにアクセスしたときだけではなく、googleやYahoo、MSNサーチ等の検索結果や、

browsing_protection_search


GmailやHotmailなどのWebメールからのリンクについて、評価結果をあらかじめ表示します。

browsing_protection_webmail

※画像は解像度があまり高くないので、クリックして見てください。

ブラウザ保護が対応しているWebブラウザは、以下の製品/バージョンです。
・Internet Explorer Ver6 以降
・Firefox Ver2 以降

検索結果に評価を表示できるサーチエンジンは、以下になります。
・Google
・Yahoo
・MSN

リンクに評価を表示できるWebメールは、以下になります。
・Gmail
・Hotmail

Webサイトの評価は、世界中のエフセキュアのオンラインサーバにデータベースとして保存され、クラウドとしてユーザに情報を提供します。
また、データベースはユーザからの報告も元にして更新されますので、評価が不明なWebサイトを見つけた場合は、「エフセキュアに通知する」のボタンから、評価をご報告頂けますと幸いです。


次回は、「脆弱性シールド」という新機能について紹介したいと思います。

ブラック・フライデイ 2009

  今日は、アメリカ合衆国のブラック・フライデイだ。

  ブラック・フライデイとは感謝祭後の金曜日のことで、伝統的にクリスマスのショッピング・シーズンが始まる。

  ほとんど全ての大手小売業者は、ブラック・フライデイに「早期」セールを行う。最良の買い物ができるのがどこか、どうしたら知ることができるだろう?

  そう、新聞を買って折込広告を見る、もしくはインターネットのサーチエンジンを使用するかのどちらかだろう。

  我々は今年、サーチエンジン最適化(SEO)攻撃が間違いなく発生するものと考えている。エフセキュアの「ブラウジング・プロテクション・ポータル」では、未知のサイトが安全かどうかを(無料で)チェックすることができる。

  サーチエンジンに加え、我々はTwitterのようなサイトも、スペシャル・オファーの宣伝に使われると考えている。

  Twitterやこのようなタイプのサイトに共通なのは、ショートURL(tinyurl.comやbit.lyにより提供されるような)で、これは非常に便利なサービスだが、本当のURLソースを分かりにくくする。

  短縮されたURLのソースをチェックする方法はあるのだろうか?

  答えはYesだ。URLはlongurl.orgで拡張することができる。

  もしFirefoxを使用しているなら、アドオンが利用できる。

longurl.org expander add-on

  インストールすると、ショートURLの上に以下のような表示が浮かぶ:

longurl.org_example1

  そして以下は、ミッコのTwitterフィードからの例だ:

longurl.org_example2

  便利だ。

Firefoxがセキュリティ強化のためMSアドオンをブロック

  今朝起きてみると、こんな表示が出迎えてくれた:

Firefox addon

  この間、MicrosoftはFirefoxアドオンとして「.NET Framework Assistant」をリリースした。これに影響を与えるセキュリティ脆弱性を使用不能にするため、今日、Firefoxがこれをブロックした。もし皆さんのFirefoxブラウザで同様のことが起きても心配は無用。セキュリティ上の調整に過ぎないのだから。

  Mozillaはこのアップデートについて、セキュリティブログで言及している。


  投稿はChristineによる。

—————

追記:Mozilla Securityブログに、新しい情報が掲載された:「Microsoftは現在、Framework Assistantアドオンがこの攻撃のためのベクターではないことを確認しており、我々はブロックリストから登録を削除した。」

「w03.v762.net」とは何なのか?

  実は私には悪い癖がある。必ず電話代の確認をするわけではないのだ。

  私はエフセキュア支給の電話を持っているのだが、個人的な通話は通常、予算内に入っているので、あまり課金の明細をチェックしない。(もっと頻繁に母に電話すべきなのだが…)

  だが、今後は定期的にチェックすることにしようと思う。

  先週の土曜日、妻が自分の(やはり会社から支給されている)電話の受信簿に、以下のメッセージを受け取った:

+66816110466

  これは「サービス・メッセージ」であると称しており、「ビデオ・メッセージ」へのリンクが含まれていた。

Service Message, Kilkkaa

  以下はWindows上でFirefoxからそのリンクにアクセスした際の表示だ:

+66816110466, Error

  そして以下が、Nokia端末のブラウザから「w03.v762.net」にアクセスすると表示される画面だ:

w03.v762.net

  申し訳ないが、私のナンバーが必要だって? あまり役に立たないのでは? これは一体どういうことだろうか?

  これはジャルノが10日ほどまえに投稿した「Mobile Tubeスパム」に関連したものだ。あの時には、これらのリンクは、クリックした人にプレミアム・レート・サービスの課金をするかのようだった。2、3日すると、状況は変化したらしく、リンクからはもは料金が課されることは無くなっていた。

  いずれにせよ、私の妻はクリックせずに私にチェックするよう頼んできたし、私は彼女の電話からそのメッセージを削除した。

  ここで不思議に思わざるを得ないのは、10日前には一体何人の人が、偶然これらのリンクをクリックし、結果を忘れてしまう可能性があったか、ということだ。そしてこれらの人々のうち、私と同じ悪癖を持っていて、請求をわざわざチェックしたりしない人は何人だろうか?

  請求書をチェックするというのは非常に良い習慣であり、詐欺を防ぐための、最も効果的な方法の一つと言える。

  携帯電話の請求は、クレジットカードの請求書と同様、詳細にチェックすべきだ。

  そしてこのような「サービス・メッセージ」リンクが流布している現在、企業は従業員に、こうした習慣を徹底させるべきだろう。

サインオフ
ショーン

Google Chromeがアップデート?

  私は今日、VMwareイメージの一つでブラウザをアップデートしていた:

Chrome/Internet Explorer/Firefox/Safari/Opera

  すると「Google Chrome」がversion 3.0.195.24にアップデートされた:

Chrome3.0.195.24

  Version 3.0.195.24は、攻撃者がGoogle Chromeサンドボックス内で任意のコードを実行することを可能にするセキュリティの脆弱性を解決する。

  しかし…このアップデートはインストールの際、脆弱なファイルを削除しなかった:

Chrome3.0.195.21, Folder

  よってChromeはすでに脆弱なファイルを使用していないかもしれないが、古いchrome.dllは私のVMwareシステム上に残っていることになる:

Chrome3.0.195.21, Chrome.dll

  Sun Javaなどが最終的に古いバージョンをアンインストールできるのなら、Google Chromeもそうできるべきだとは思わないだろうか?

  他に誰か、自分たちのシステムでこのことに気付くだろうか?

サインオフ
ショーン

「エフセキュア ヘルスチェック 2.0 Beta」を公開

  「エフセキュア ヘルスチェック」の新バージョンを、ベータテスト用に提供開始した。前バージョンとはかなり異なっている。.

  (我々は気に入っている。)

F-Secure Health Check 2.0 Beta

  では、新しい点は?

  とりわけ、サポートするブラウザが増え、ActiveXをサポートしなくなった点だろう。

F-Secure Health Check 2.0 Beta, New

  使用環境は?

  各種32ビットWindows、Internet ExplorerおよびFirefoxだ。

F-Secure Health Check 2.0 Beta, Supported

  皆さんが「エフセキュア ヘルスチェック」を自分のサイトに組み込みたいならば、「ウィジェット」用のコードも用意している。

—————



Firefoxのアドバイス

  9月9日に「Firefox 3.5.3」がリリースされた。Firefoxを使用しているなら、おそらく既に、アップデートを促されていることだろう。

Fixed in Firefox 3.5.3

  内部デモコンピュータの一台でFirefoxをアップデートしたところ、以下のようなプロンプト現れた:

You Should Update Your Flash

  我々のプロダクション・マシンではFlashを常に最新版にしているため、これまでこのようなプロンプトには全く気付かなかった。

  よって、FirefoxがFlashをアップデートしろと「文句」を言うのは、Firefoxに対する称賛だ。さっそく双方のバージョンをアップデートしよう。

「Malware Domains List」を使用した偽アンチ・ウィルス

  「Malware Domains List(MDL)」は、セキュリティの専門家やITセキュリティに興味を持つ人たちの間でポピュラーなWebサイトだ。現在、偽アンチ・ウィルスのプロモーターが、同サイトの人気に目を付け、MDLのドメインに非常に似通ったURLのWebサイトを設置している。

  訪問者は以下のページを予想しているはずだ:

Malware Domains List

  しかしその代わりに、以下のページを見ることになる可能性がある:

Malware Domain Lists

  正当なWebサイトと偽サイトのURLの違いに注意して欲しい。

  2、3の文法的間違いはあるものの、この警告はFirefoxからの正当な警告のように見せるという、まずまずの仕事を果たしている。この表示を以下の(正当な)表示と見比べてみよう:

Firefox warning

  この悪意あるWebサイトの「警告」メッセージにある「セキュリティ・ソフトウェアを入手する(Get security software)」ボタンに注意しよう。もしこれをクリックすれば、その人はアンチ・ウィルス・ソリューションをプロモーションするWebサイトに導かれることになる。

  この件に関する詳細は以下を参照のこと:http://www.malwaredomainlist.com/forums/index.php?topic=3188.0

Firefox 3.5.1

  Firefox 3.5には重大な脆弱性があり、この欠陥を積極的に利用する悪意あるサイトも存在する。

  Firefox 3.5.1がリリースされ、この問題が解決された─あとでと言わず、今すぐアップデートしよう。

Firefox 3.5.1

オンライン スキャナ 4.1

  我々のオンライン スキャナがアップデートされ、一連の新たなスキャニングエンジンが追加された。

  バージョン4.1には、これらのスキャニングエンジンが含まれており、来るべき「エフセキュア インターネット セキュリティ 2010」に(皆さんがテストしているISTPにも)含まれる。

  これはIEおよびFirefoxの複数のバージョンと互換性がある。詳細はこちら、そしてスキャナはこちら

Online Scanner 4.1

Firefoxメモリコラプション脆弱性

  完全にセキュアなブラウザなど一つも無いが、今日、この事実を示すさらなる証拠がもたらされた。任意のコード実行を可能にするFirefoxエクスプロイトが登場したのだ。現行バージョンのFirefox(3.5)が影響を受けるが、より以前のバージョンも影響される可能性がある。

  Firefox 3.5のこの脆弱性は、JavaScriptコード処理を行う際のエラーに起因する。詳細については、我々の脆弱性情報を参照して頂きたい。SBerryが発見したこのエクスプロイトは、昨日、よく知られたエクスプロイト・サイトに投稿された。

  Browsing Protectionリサーチャーの一人であるヨシュアが、エフセキュアのExploit Shieldテクノロジに対し、同Firefoxエクスプロイトをテストした。

  そして結果は良好だった。我々のExploit Shieldは、同エクスプロイトをシェルコードとしてヒューリスティックに検出し、ブロックした

Exploit Shield Block of SA200903371

  ゼロデイエクスプロイトに対する、ゼロデイ・ブラウザ・プロテクション。Exploit Shieldは、今年の製品リリースに含まれる。

  スタンドアロンのExploit Shieldベータ版は、Technology Previewページからダウンロードできる。

—————

注: Firefoxは素晴らしいブラウザだ… しかし安全なサーフィン習慣は順守した方が良いだろう。

アップデートしたブラウザにお馴染みの攻撃

Firefox  Firefox 3.5が入手可能になり、現在までに世界で2400万回ダウンロードと、すごい速さでホットなダウンロードアイテムとなっている。同ブラウザ自身はより高速に、より安全に、より良いものになっているとうたわれているが、慎重でないとする理由はない。

  我々の脆弱性アナリストの一人が先日、このビデオを見つけた。同ビデオのタイトルは「Firefox エクスプロイト」となっているが、我々が分析した限り、このエクスプロイトは実際にFirefoxを標的としてはいないようだ。

  この攻撃はむしろ総合的なものだ。少なくとも3種のエクスプロイトが試され、それらの実行が関係してはいる。これらのエクスプロイトは脆弱なAdobe Flashプレイヤー(CVE-2007-0071)とMicrosoft ActiveX Controls(CVE-2008-0015)を標的にしている。最後のエクスプロイトは、近頃、広く流布しているものだ。

  しかし使用されているベクターは、脆弱なWebアプリケーションの信頼できる、正当なルートだ。よってこれは基本的に、まったく新しい装いではあるがお馴染みのホールと言える。ブラウザをアップデートすれば良い。しかし同時にWebアプリケーションをアップデートしないなら、あまり良いとは言えない。ブラウザをアップデートする際には、予防策として、すべてのプラグイン、アプリケーションなどをアップデートするのを忘れないように!

  とは言うものの、我がエクスプロイト・チームは現在、これらエクスプロイトの特定機能をより詳しく調べている。何か興味深い機能が見つかったら、アップデートを追加する予定だ。

追記:この悪意あるサイトのエクスプロイトは、以下の脆弱性を標的としている:

  • CVE-2009-1136
  • CVE-2008-0015
  • CVE-2008-2463
  • CVE-2007-0071

  これらの脆弱性の3種はActiveX Controlsに関連するものだ。CVE-2009-1136は、最新のMicrosoft Security Advisory(973472)に関するもので、この記事の次に投稿された我々の記事(上を参照)にも関連している。Internet Explorer 6あるいは7で、悪意あるサイトにアクセスすると、ブラウザがクラッシュし、ペイロードが実行されることになる。

  Firefox 3.5に、より影響を与える唯一の脆弱性は、Flashプレイヤーに影響するCVE-2007-0071のようだ。最新のFlashプレイヤーで、あるいはプレイヤー自体をインストールしていない状態で悪意あるサイトにアクセスした場合は、自動ダウンロードを誘発することは無いかもしれない。

  しかし、だからと言って悪意あるサイトにアクセスした場合、100パーセント安全というわけではない。同サイトのコンテンツは、ビデオが登場した後に変更されているようなので、同エクスプロイト(あるいは標的とされる脆弱性)も、変更されている可能性があるからだ。

  よってブラウザ、あるいはWebアプリケーションのバージョンが何であれ、既知の悪意あるWebサイトにはアクセスしないことが大切だ。

投票:あなたが好きなWebブラウザは何?

  今年3月以来、Internet Explorerがマーケットシェアを11.4パーセント失ったというTechCrunchの記事がある。

  データソースを疑問視する声もあるが、これらの人々が疑問を抱いているのはパーセンテージであって、IEのマーケットシェアが減少していることについては同意している。

  IEのマーケットシェアが何パーセントであれ、1つ確かなことがある。すなわち、Webブラウザの競合は現在のところ非常に健康的で、コンシューマーには選択の余地が多くある、ということだ。

Chrome, IE, Firefox, Safari, Opera

  我々は、読者に好きなブラウザをたずねる投票を2008年6月に行った。

  今年も開催したいと思う。

  以下のうち、あなたが好きなWebブラウザはどれですか?




Firefox 3.5のPrivate Browsing

  Firefox 3.5が昨日リリースされた。私はPrivate Browsingモードを試すのを待ち望んできたので、今日、インストールしてみた。

  以下が、私のFirefox 3.0.1のプライバシー設定だ。

Firefox 3.0.1 Privacy Options

  そしてFirefox 3.5をインストールすると、Private Browsingオプションが使用不可だった。何だって?

Firefox 3.5 Tools Menu

  どうやら、インストールで私の3.0.1設定がPrivate Browsingの同等物と認識され、3.5を「プライベート・ブラウジング・セッションでFirefoxを自動的にスタートする」に事前設定したようだ。

非常に素晴らしい仕事だ。

Firefox 3.5 Privacy Options

  だから、まったく何も変わっていない。現在は、私がそうしようとさえ思えば、妙…ではなく、Private Browsingを容易に再設定するオプションを得たという以外は。

  実験の時間だ。

サインオフ
ショーン

Mac OS XのJava脆弱性パッチがリリース

  MacOSXセキュリティアップデートから抜け落ちたJava脆弱性対策で触れたJava脆弱性 CVE-2008-5353 のパッチは、昨日6月15日にAppleからリリースされた「Java for Mac OS X Update 4 V1.0」に含まれているそうです。Macユーザーの方々はすぐに対応することがお勧めです。

  ただし、Landon Fullerのポストによると、Safariを使っている場合は環境設定の中の「Open "safe" files after download」設定を常にオフしておくことも勧められています。

  この脆弱性はJavaそのものの脆弱性ということで、MacOS Xだけではなく、Windows, Linux, OpenBSDなどのOS上で動くFirefox, IE6, IE7, IE8, Safariが影響されるという、広範囲に及ぶ問題でした。このJava脆弱性が残っていると、複数のプラットフォームで同じエクスプロイットを走らせることが可能になってしまうという、ある意味Javaの目的そのものを実現するものではありました。

  しかし広く眺めてみれば、ここ数年の脆弱性問題は、PDF、Flash、Javaスクリプトなどの複数プラットフォームで利用される技術や、.doc、.xlsなど一般的に広く普及したために事実上標準利用されることになったファイルフォーマットなど、クロスプラットフォームであることが解ります。 6月24日のミッコ・ヒッポネンによるスペシャル講演「セキュリティ脅威の変遷−サイバーテロへの警鐘」 では、このあたりの最新の話題も話されることを期待しています。

MacOSXセキュリティアップデートから抜け落ちたJava脆弱性対策

  Mac ProtectionポストでF-SecureのMacOS対応ベータ版が発表された矢先、先週のMacOSXセキュリティアップデートに含まれずにいた問題が発見された模様です。

  Threat Postによると、これはJavaの脆弱性で、今年始めに開催されたカナダのセキュリティコンファレンス「CanSecWest」で発表されていたものですが、先週のOSXアップデートでも未だに修正されずに残っていたのです。Javaそのものの脆弱性ということで、MacOS X, Windows, Linux, OpenBSDで動くFirefox, IE6, IE7, IE8, Safariの上で同じエクスプロイットを走らせることが可能になってしまうという、広範囲に及ぶ問題でした。

  Macが人気機種となり始めるにつれて、MacOSを狙うエクスプロイットが作られるようになるのは予想されていたことでした。安全な環境を保つためには、セキュリティ対応も同時にスピードアップして行く必要があるでしょう。

不正なブラウザ・エージェント

  不正なアンチウイルス・アプリケーションは、どれほどの問題なのだろうか? 見てみよう。

  貴方のブラウザのユーザー・エージェントは何だろう? 何か考えがあるだろうか? Firefoxの場合、以下のようなものだ:

What is my user agent?

  皆さんがお使いのブラウザについては、whatsmyuseragent.comで確かめることができる。ではここでは、以下のユーザー・エージェントについて見てみることにしよう:

     Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

  分かるだろうか? 中央に「AntivirXP08」とある。これは一体何だろう?

  不正なアプリケーションには、ブラウザのユーザー・エージェントに変更を加えるものがある。我々はこれまで、様々なAntivirXP08ストリング・バリエーションを見てきた。修正されたストリングは、「ビジネス」を不正なアプリケーションのウェブサイトに導くのに役立つ関連会社を特定するのに利用される可能性がある。

  修正されたユーザー・エージェントは、異なるコンテンツを提供するのに使用される場合もある。AntivirXP08の犠牲者に、インストーラをダウンロードするよう促す必要はない。その代わり、詐欺を完了して不正なアプリケーションを購入するターゲットとされる可能性があるのだ。

  感染したユーザー・エージェントは、どれだけあるのか? Toniが我々のSinkholeの一つを調べたところ、2009年4月のログには、AntivirXP08を含むエージェントを使用するユニークIPアドレスが6万3000含まれていた。

  6万3000。かなりの感染量ではないだろうか? それにここには、「Antimalware2009」といった、その他のストリングは含まれていないのだ。

  非常に大きな問題のささやかな測定である。

ベータ・テスターを募集

  新しいソフトウェアをインストールし、試してみるのはお好きだろうか? iPodが貰えるチャンスに興味があるだろうか? 答えがイエスなら、読み続けて頂きたい…

  エフセキュア インターネット セキュリティ テクノロジ プレビュー(ISTP)の最新ビルド「version 9.40 build 172」が先週金曜にリリースされた。製品にはいくつかの大きな変更が実装されており、ISTP 9.40がその最初のお披露目となる。Security Labが9.40をテストしているが、我々はブログの読者にも参加して欲しいと考えている(ベータプログラムをダウンロード)。

  皆さんが最初に気づくであろう変更は、ファーストレベルGUIだろう。

F-Secure Technology Preview 9.40

  現行のデザインとはかなり異なっており、最終的には全GUIの基盤となる予定だ。現在改良を行っているため、現時点でのフィードバックは非常に助けになる。今年のリリースとはいかなくても、次回に。

  同テクノロジにはその他、多くの変更がある:

  •  スキャニングのパフォーマンスを改善
  •  ブート最適化
  •  プロセス最適化
  •  ディープガードの強化
  •  新たなスパムコントロール
  •  ネットワークベースの新たなペアレンタルコントロール

  以下は新しいBrowsing Protectionオプションだ。

F-Secure Technology Preview 9.40  <br />Browsing Protection

  今回、Exploit Shieldとネットワークベースのレピュテーション保護が統合された(IEおよびFirefox)。問題のある既知のサイトはブロックされ、不明のサイトは「シールド」される。そしてShieldが発動するたびに、問題のあるサイトが学習され、保護用フィードバックループを作成する。次回アクセスしようとする人は、シールドされるのではなく、アクセスがブロックされることになる。

  我々の現行ラインナップを良くご存知の皆さんは、ディープガードがリアルタイム・スキャニング「System Control」設定内に含まれることを知っているはずだ。ディープガードは現在、リアルタイム・スキャニング・オプションからははずされており、改良されたプロセス・モニタを含んでいる。

F-Secure Technology Preview 9.40  <br />DeepGuard

  ISTPのディープガードは、もちろん「クラウド」を利用している。

nhips_dialog

  また既知の悪意あるアプリケーションは、サーバ・クエリに基づいてブロックされる。.

nhips_dialog_highlighted

  オフラインの場合、ディープガードは最新の行動エンジンテクノロジを使用し、悪意あるアプリケーションを自動的にブロック可能だ。

DeepGuard Flyer

  このようにたくさんの重要な変更が加えられているため、まだテストすべき事ややるべき事は多い。社内でもテストを行ってはいるが、皆さんもご存知のように、実際のユーザーによる現実世界でのテストは、こうしたプロセスにとって非常に重要だ。

  今回我々は、ぜひ有意義なフィードバックが欲しいと思っている。ISTP 9.40 build 172のテストを行い、ベータプログラムにフィードバックしてくれた人は誰でも、抽選に参加することができる。(build 165に関して、すでに詳細なフィードバックを提供してくれた方は、今回除外となる。)ベータプログラムチームが、iPodやその他クールな賞品用の予算を集めているところだ。詳細については、まもなくベータプログラムのページに掲載される。

  同テクノロジのクールな点として、自動更新機能がある。すなわち、ISTP 9.30を実行していると──我々のアップデート・チャンネルを介して、今日はBuild 172にアップデートされるはずなのだ。もしすぐにアップデートされないなら、それこそが我々の求めているフィードバックと言える。

  ISTPをベータプログラムページからダウンロードして欲しい。よろしく!

  Labの我々にとって非常に重要な点を付記しておく──このISTP 9.40リリースには、検出技術に多くの変更が加えられている。これらは、これまでの製品リリースよりも能動的であり、ヒューリスティックだ。(ディープガードが良い例だ。)この変更により、未定義あるいは未知のマルウェアの検出が強化されるはずだ。皆さんが何か新しいサンプルを発見したら、ぜひ知らせて欲しい! また、あまりにも攻撃的な検出に遭遇した場合にも、フィードバックして頂けるとありがたい。

  検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。

  また、ベータプログラム・フィードバックフォームは、製品関連の問題について使用して欲しい。

Online Scanner 4 がFirefox をサポート

F-Secure Online Scanner 4 が間もなくリリースされるが、同バージョンには注目すべき変更が加えられている。

UIがアップデートされており、パフォーマンスが改善されているほか、今回Firefoxブラウザをサポートしている。

以下がβ版の画像だ:

Options

スキャン中の様子は以下の通り:

Scanning

そして以下が結果となる:

Finished

詳細はサポートニュースを参照のこと。同ページからベータプログラムにアクセス可能だ。

また現れた新Twitterワーム

 Twitterに、新たなTwitterクロスサイト・スクリプティング・ワームが広まっている。先日のTwitterワームと同様、ここでもMikeeyの名が上がっている。

twitter_041709_1.jpg

 このワームで使用されるメッセージには、以下のようなものがある:
Twitter, this sucks! Fix your coding.
Twitter Security Team Really? You need to be fired.
Horrible Coding!
@oprah - sup? welcome to twitter - mikeyy
@aplusk - hey, homo. - mikeyy
@souljaboyellem - your music sucks dude. - mikeyy
@TheEllenShow - hey baby, love me long time? - mikeyy
@StephenColbert - you funny. - mikeyy
@cnnbrk - he's back. ;) - mikeyy
@nytimes - yep, it's true. - mikeyy
Twitter, do you know about the before_save model callback? - mikeyy
This exploit only affects Internet Explorer users. Thanks. - mikeyy
Twitter, BeforeSave: ForEach: DataArray: EscapeHtmlCars!!! - mikeyy
Get Firefox, thanks. www.Firefox.com
Twitter, you should be paying me now. - mikeyy
 ユーザーが感染したプロフィールを閲覧すると、その人も同様に感染してしまう。名前、ロケーション、ウェブサイト、略歴といったすべてがMikeyyに変更され、上記のリストからランダムにピックアップしたメッセージをポストし始める。

twitter_041709_1.jpg


 この悪意あるスクリプトそのものは、74.200.253.195からダウンロードされている。Twitterはこの問題を解決すべく取り組んでいる。

 今回のワームは、先のTwitterワームを書いたことがきっかけとなり、作者のMichael Mooneyが職を得たという報道がなされた日に登場した。もし今回も彼がやったのだとしたら、動機はなんだったのだろうか? まさか他の誰かから、もっと良いオファーを得たかったとか? 馬鹿馬鹿しい。

 当面はユーザーのプロフィールは閲覧しないこと。またFirefoxとNoScriptの組み合わせも役に立つ。

 追記:Michael Mooney(Mikeey)が、今回のワームも自分が書いたことを認めた


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード