エフセキュアブログ

Linux を含む記事

IoTはどこで作られているのか?

深圳(Shenzhen)は香港から電車で45分の中国国境内のきわにある「ハードウェアのシリコンバレー」とも呼ばれる経済特区の都市だ。人口は1500万人とも2000万人ともいわれ東京よりも大きく、高層ビルは278本もあり中国第4位の大都市となっている。
そして Tencent, Huawei, DJI, OnePlus, ZTE, Coolpad, Gionee, TP-Link, Beijing Genomics Instituteなどのエレクトロニクス、テレコム、バイオなどのハイテク企業が集中し、华强北(Huaqiangbei)という秋葉原の100倍はある巨大なエレクトロニクスタウンがある。iPhone他のエレクトロニクス製造で拡大してきた都市なので、電子部品、プリント基板製造、アセンブリー、プラスティック成形、金属加工などの企業が群をなして営業している。また好調な経済のため、生活物価は東京とたいして変わらなくなっている。

この深圳についてのビデオドキュメンタリー "Shenzhen: The Silicon Valley of Hardware" をWired UKが制作し、6月に公開された。全部で1時間強になるこのシリーズは、深圳でのIoTとMakersの興味深い最新の動きを取り上げている。

Part 1

Part 2

Part 3

Part 4

特にPart 2は、IntelがIoT向けに一昨年発表したフルPCの機能をSDカードサイズにまとめた「Edison」チップのディベロッパーフォーラムが4月に深圳で開催された場面から始まる。明らかにIntelは深圳がIoT開発の中心地のひとつになると踏んでいる。またIntelが食い込もうとしているIoT開発で、他に使われているのはArduinoやRaspberry Piなどで、ほとんどLinuxやオープンソース・ソフトウェアで動いているものが多い。
Intel Edison

深圳にはハードウェア開発に関わる大きな外国人コミュニティができていて、ヨーロッパやアメリカから来て深圳に住み着いてエレクトロニクス・ハードウェア開発のヒジネスを運営している人達も多い。一説ではシリコンバレーでのハードウェアも3割は深圳で作られていると云われるほどだからだ。

その一つ、HAXはハードウェア・スタートアップ企業のための世界最大のアクセラレーターだ。

当然地元の中国の人達が始めたハードウェア開発のサポートやブローカービジネスも多数ある。Seeed Studioはよく知られているものの一つで、日本にも窓口がある。

そして半田付け用具や測定器、金属加工器具、レーザーカッター、3Dプリンターなどを揃えた、ハードウェア自作派やスタートアップ向けのMaker Spaceと呼ばれる場所がいくつも出来ている。

深圳の動きには当然に日本でも注目している人達がいて、ニコニコ技術部の有志が一昨年から深圳の視察ツァーを開催している。その報告をまとめた「メイカーズのエコシステム」という書籍が4月に発売された。

このメイカーズというのはMakersのことで、O'Reillyが出している「Make」という自作派向けの雑誌から派生して開催されている「Maker Faire」というイベントなどで自作のハードウェアを見せたり販売したりする人達のことを指す。先週8月6,7日には「Maker Faire Tokyo」が東京でも開催されたばかりだ。
Maker Faireは深圳でも開催されている。

これらのインフラが出来ていることで、深圳発のハードウェア・スタートアップ企業が多数出現している。そして彼らのかなりがIoTを手がけている。Intelが深圳がIoT開発スタートアップの中心地のひとつになると考えるのは当然の流れだ。

クラウドファンディングサイトのKickstarterやIndieGoGoなどを眺めても、IoTカテゴリーに入るプロジェクトが多数見つかるし、それらはほとんどスタートアップ企業のことが多い。ところが日本では、特に政府関係者はIoT製品は既存の電機メーカーが作ると考えているのではないか? 7月にIoT推進コンソーシアムと経済産業省と総務省が共同で「IoTセキュリティガイドライン」を発表した。しかし、製品化に脇目も振らずに邁進するスタートアップ企業がこのようなややこしい資料を気にかけるとは考え難い。
さらにそれ以前に、日本でだけこのようなIoTセキュリティガイドラインを作ったとしても、IoT開発の主力地が深圳など海外にあるならまったく影響力は期待できないだろう。

Badlock:横展開への懸念点

 昨日、Badlockがついに明らかになり、一見したところでは誇大広告だったことで、情報セキュリティ業界全体とも思える範囲でずっこけた。

https://sadlock.org/
Badlock… or Sadlock?

 公開までの1か月間の構築作業と派手なロゴは不要だったという点には同意するが、この脆弱性によって悪意のある人物に有用な兵器が将来的に提供される、と我々が考える理由を説明したい。

 今回の脆弱性を悪用するためには、兵器級の中間者攻撃を作り上げてから、一連のネットワーク化された、パッチが当てられていないSMB(Server Message Block)を実装したホストに展開する必要がある。業界で共有した期待を裏切られた感覚は、この事実によるものだ。こうしたシナリオをあなたが目にするのは、ほぼ企業の内部ネットワークにおいてのみだろう。しかし、この脆弱性に対する適切な中間者攻撃によって、攻撃者は権限を引き上げ、Active Directoryのデータベースへフルにアクセスできるようになる。これはつまり、ログイン情報とパスワードのハッシュをすべて攻撃者に提供することを意味する。Badlockの公式サイトでは、次のように述べられている。

 「Sambaで使用されている各種プロトコルで実行され得る中間者攻撃が複数ある。これにより、インターセプトしたユーザのコンテキストを用いて、任意のSambaネットワークコールの実行が許可される」

 もしこの脆弱性がSambaのActive Directoryサーバで使われたら、攻撃者はActive Directoryのデータベース内の、ユーザパスワードのハッシュを含む機密情報を閲覧、変更できるようになる可能性がある。また当該サーバ上で実行中の重要なサービスも停止し得る。もしこの脆弱性が標準的なSambaサーバで使われたら、攻撃者はファイルやディレクトリに対するユーザのパーミッションを変更できるようになる可能性がある。

 この脆弱性はWindowsとLinuxの双方に影響を及ぼす。この問題を解決するためのパッチは既に提供されているものの、企業全体できちんとこのパッチが適用されているかは管理者によるところだ。マイクロソフト社自身の「Patch Tuesday(定例パッチ)」のプロセスでこの問題は解決され、大半のWindows機は速やかに最新の状態になると、我々は予期している。一方Linux機については未知数である。

 より大局的な観点で見ると、高度な脅威をもたらす人物がひとたび企業の内部ネットワークへのアクセスを得た場合には、Badlockの脆弱性によってこうした人物に有用なツールが提供される可能性がある。国家のような、組織化されて豊富な資源のある集団にとっては、Badlockを悪用して、これに適した中間者攻撃を作成・展開することはそれほど難しいことではない。

 今回の脆弱性についての概念実証は現在のところは表沙汰になっていないが、世の中にはエクスプロイトの作成に励んでいる集団がいると、我々は確信している。現時点ではこのような類の戦略が使われているのを確認していないが(Badlockを取り巻く噂では)、そのうち利用されているのを目にしても驚きはないだろう。

Linux.Encoder.1:Bitcoinでの支払いのみ受け付けます

 現在、実際のLinuxベースのシステムを標的とした、新たな暗号化ランサムウェアのたくらみがある。これはDr.Webの人々から「Linux.Encoder.1」と呼ばれている。基本的にLinux.Encoder.1による脅迫者は、脆弱なWebサーバ上でフィッシングサイトやエクスプロイトキットへのリダイレクトを設定する代わりに、コンテンツを暗号化してWebサーバの所有者を直接標的にする。

 その結果、数々の被害がGoogleにインデックスされている。

 (訳注:「Linux.Encoder.1というトロイの木馬による被害を受けた運用中のWebサイトを、Googleがたくさん発見している」という意味)

 以下はGoogleのキャッシュにある脅迫文のコピーだ。

README_FOR_DECRYPT.txt

 すばらしいFAQだ。

We are accept only Bitcoins. - http://memegenerator.net/instance2/2810855

 「Can I pay another currency?(Bitcoin以外の支払い方法はありますか?)」

 「No.(いいえ)」

 Linux.Encoder.1の被害者がバックアップを取っているといいのだが。さもないと、Bitcoinを入手させられることになる。脅迫者たちが支払いの対価として、本当の復号キーを渡すかどうかはまだ不明だ。そして、彼らのTorで隠ぺいされたサービスが現在オフラインなのだ。これは前途多難だ。

 追記:

 当社のスレットインテリジェンスチームの研究員Daavid Hentunenは、脅迫者たちは1ヶ月で11,934ユーロを稼いだと見積もっている。

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

Apple iOS 9のセキュリティ機能

 アップル社の2015年のスペシャルイベントが本日開催される。つまり、9月9日=iOS 9の発表、だ。

 アップルはiOS 9においてセキュリティが向上していることを確約している。Touch ID用に6桁のパスコードを実装したことは、広く報道されているものの一例だ。

iOS 9 improved security
ソース:アップル

 セキュリティ研究者のFrederic Jacobsによる、ドキュメントにある変更点についての秀逸な要約がMedium上にある。

 私がiOS 9のパブリックベータ版をテストしている際に気付いた細かい変更点は、Windowsに関連するものだ(*1)。

 iTunesがインストールされているコンピュータ(OS Xを実行しているあらゆるコンピュータを含む)に、iOS 9のデバイスを接続した際に目にするプロンプトを以下に示す。

iOS 9, Trust This Computer?
Trust This Computer?(このコンピュータを信頼しますか?)

 そして以下は、iTunesのドライバがインストールされていない(Windows)コンピュータに、iOS 9のデバイスを接続した際に見られるプロンプトだ。

iOS 9, Allow this device to access photos and videos?
Allow this device to access photos and videos?(このデバイスが写真およびビデオにアクセスすることを許可しますか?)

 これは些細だが、興味深い差異だ。「Allow」は制限されたアクセスを示唆する一方で、「Trust」ではより重要な何かを示唆している。かつて、iOSを狙ってクロスプラットフォームのマルウェアが試みられたことがあった。このAllowプロンプトがあることで、注意深い観察者なら、そうしたクロスプラットフォームのマルウェアがそこに存在していることを判定できるだろう。iTunesがインストールされていないと分かっているWindowsコンピュータにiOS 9デバイスを接続したとして、信頼する(Trust)かどうかを尋ねられたら…、信頼してはならない。

 もう1つ、細かいが大歓迎の変更点は、7月にブログに書いたSafariの新たな機能だ。

 SafariをJavaScriptによる警告ダイアログの無限ループに陥らせようとする詐欺サイトは、Safariの新たなオプション「Block Alerts(警告をブロックする)」によって、彼らの努力が無になったことを知るだろう。

iOS 9 Safari, Block alerts from?
Block alerts from?(〜からの警告をブロックしますか?)

 全般的に見て、iOS 9は良い感じだ。今日のアップルのイベントの最中に、さらにセキュリティに関する情報が出てくることを望んでいる。また9月16日に予定されている、iOS 9の一般公開を楽しみにしている。

 @5ean5ullivan

 (*1) Kali Linuxでテストしたところ「Trust」プロンプトが得られた



APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

エフセキュア、全国の自治体のマイナンバー制度対応状況を調査

エフセキュアが全国の自治体の情報セキュリティ担当者を対象に実施したアンケートの結果により、マイナンバー制度への対応が完了している自治体は8%に過ぎないことがわかりました。このアンケートは、2015年5月13日から6月8日の期間に全国749の自治体に対して、電話によるヒアリング形式で行われ、655の自治体から回答をいただきました。このうち「マイナンバー制度への対応が完了している」と回答いただいた自治体は54でした。

昨今、日本でも100万人以上の個人情報が流出する事案が発生するなど、マルウェア感染に起因する個人情報漏洩が大きな問題となっています。エフセキュアでは、マイナンバー制度の運用開始に向けて、特に自治体での安全な運営の支援を目的として、PCやサーバでのサンドボックスによる未知のウイルスを含む検知性能の向上を提唱し、「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開しています。本キャンペーンでは、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウントしています。

「エフセキュア 公共ライセンス プレミアム」には、下記のエフセキュア製品のライセンスが含まれており、PCやサーバのようなエンドポイントのみならず、ゲートウェイ・セキュリティも含まれる、導入し易い包括的なスイート製品です。

  • エフセキュア クライアント セキュリティ プレミアム
  • エフセキュア Windows サーバセキュリティ プレミアム
  • エフセキュア Microsoft Exchange & XenAppセキュリティ プレミアム
  • エフセキュア アンチウイルス Linux ゲートウェイ
  • エフセキュア Linux セキュリティ フルエディション
  • エフセキュア Linux セキュリティ コマンドラインエディション
  • エフセキュア 仮想スキャンサーバ
  • エフセキュア ポリシーマネージャ

「エフセキュア 公共ライセンス プレミアム」は、Windows、Windowsサーバ、Linuxサーバを対象プラットフォームとするスイート製品で、サンドボックス技術のみならず、パッチ管理の自動化による脆弱性対策機能や、集中管理ツールによる可視化など、マイナンバー制度運用に際して求められる強固なセキュリティ機能を備えています。

「エフセキュア 公共ライセンス プレミアム」に含まれるPC向けのソリューション「エフセキュア クライアント セキュリティ」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力を備えており、自治体のお客様はコストパフォーマンスの高い対策を実現することができます。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

エフセキュア、地方公共団体向けにマイナンバー制度対応のキャンペーン開始

エフセキュア株式会社は、地方公共団体での「社会保障・税番号制度(以下、マイナンバー制度)」の運用開始に向けて、セキュリティを強化し安全なデータアクセスを支援する統合的な製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開することを発表します。

マイナンバー制度は、社会保障や税務、災害対策行政での利用を目的に、2015年10月より個人への番号通知が開始され、2016年1月から利用が開始されます。エフセキュアは、地方公共団体におけるマイナンバー制度の安全な運用の支援を目的に、公共団体向けの統合的なセキュリティ製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開します。

「エフセキュア 公共ライセンス プレミアム」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力で定評のあるPC向けのソリューション「エフセキュア クライアント セキュリティ」に加え、Windowsサーバ、Linuxサーバならびにメールゲートウェイも対象としたアンチウイルスのスイート製品です。

マイナンバー制度の運用開始にあっては、情報漏洩の原因となるウイルス感染を未然に防止する高い防御能力が求められています。こうした要件に対し「エフセキュア 公共ライセンス プレミアム」は次のような機能を提供し、公共団体でのシステムの情報漏洩防止対策の能力を強化します。

  • サンドボックスによる未知のウイルスを含む検知性能
  • アプリケーション制御による出口対策と可視化
  • 集中管理ツール「エフセキュア ポリシーマネージャ」によるポリシーベースの管理機能
  • 「ソフトウェア アップデータ」でのパッチ管理による脆弱性対策

本キャンペーンは2015年5月11日より開始し、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウント致します。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

エフセキュアLinuxセキュリティ コマンドライン エディション Ver10.20、RedHat Enterprise Linux7/CentOS7のサポート開始

エフセキュア株式会社は、LinuxサーバOS向けセキュリティ対策の「エフセキュア Linuxセキュリティ コマンドライン エディション」の最新バージョンVer10.20で、RedHat Enterprise Linux7(RHEL7)およびCentOS7のサポートを開始しました。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、昨年12月5日に現在の最新版となるバージョン10.20をリリース致しました。リリースを行った当初は、RHEL7およびCentOS7はサポート対象外でしたが、リリース後にお客様からRHEL7とCentOS7のサポートについて多数のご要望を頂きました。お客様の声を受け、弊社開発部門にて追加テストを行った結果、「エフセキュア Linuxセキュリティ コマンドライン エディション」バージョン10.20がRHEL7およびCentOS7上で問題なく動作することが確認できたため、サポート対象OSとして追加することとなりました。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、シンプルで使い易いコマンドラインのインターフェースを備えた、Linux OS向けのアンチマルウェア製品です。検査結果をリターンコードで取得することも可能なため、シェルや外部のプログラムと組み合わせての利用も容易で、これまで多くのお客様にご採用頂いてきました。このたび、RHEL7およびCentOS7をサポートOSに追加することで、さらに多くのお客様の環境で、ご利用頂けるようになります。

なお、「エフセキュア Linuxセキュリティ フルエディション」は、2015年の第2四半期(4〜6月期)で、RHEL7およびCentOS7をサポートするバージョンを新たにリリースする予定となっております。

エフセキュア、Linuxサーバに関するセキュリティレポートを公開

エフセキュアが2014年に実施した調査*では、日本のLinuxサーバ管理者がLinuxを利用する理由として、「コストパフォーマンスの高さ」「安定性」、そして「セキュリティの高さ」をあげていることが判りました。さらにLinuxサーバのセキュリティの不安に関する質問では、「安心」「どちらかというと安心」と回答したサーバ管理者が合わせて82%を占め、Linuxに対しセキュリティ上の信頼感を寄せていることが明らかになりました。

しかしその安心感に依存しているため、Linuxサーバ管理者の4人に1人がサーバのセキュリティ対策を実施していないという実態も浮き彫りになっています。その結果、安心を寄せているはずのLinuxサーバ管理者の7人に1人にあたる14%が、深刻なサイバー攻撃に合っていました。

こうしたLinuxサーバに関する深刻なセキュリティ被害の実態について、エフセキュアは「Linux セキュリティレポート」としてまとめ、公開いたしました。現在、このWebページからダウンロードいただけるようになっております。

なおエフセキュアでは、Linuxサーバ上でのマルウェアのコピーや、ハッカーからのファイルの改竄を防御するための製品「エフセキュア Linux セキュリティ」、およびプロトコルレベルで動作し、マルウェアのアップロードやダウンロードを阻止する「エフセキュア アンチウイルス Linux ゲートウェイ」を提供し、Linuxサーバの企業環境における多層的な安全性の確保に力をいれています。


* エフセキュアは2014年5月、調査パネルを持つインタネーネットリサーチ企業の協力により、企業におけるLinuxサーバのセキュリティ対策の実態について調査を実施しました。Webサーバ等のOSとしてLinuxを利用する企業の管理者の皆様から308件の有効回答をいただきました。

エフセキュア、アンチウイルスLinuxゲートウェイの仮想アプライアンス版 新バージョン Ver5.20リリース

エフセキュア株式会社は、ゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ 仮想アプライアンス版」の新しいバージョンとなる、Ver5.20をリリース致しました。昨年11月28日に公開した、Linuxゲートウェイ Ver5.20をベースに仮想アプライアンス化を行っています。

手軽に強力なセキュリティを導入

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイで侵入をブロックします。高いパフォーマンスと検知率を兼ね備え、社内ネットワークを安全に保つソリューションとして、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。

2013年に最初のバージョンがリリースされた「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、OSも含めてベンダーが提供を行い、ユーザは仮想基盤の管理ツールから簡単に構築が行えるという特性があります。そのため、構築・運用の両面について、サーバのOS導入・メンテナンスコスト、またそれに伴う専門の知識をもった人材のコストを省くことができ、TCO削減に大きく貢献します。昨今の激化の一途を辿るセキュリティの脅威に対し、ゲートウェイレベルでの対策の必要性を感じつつも、コストや人材の面で導入に踏み切れなかったお客様にとって最適なソリューションです。

90日間の評価版をお試しください

「エフセキュア アンチウイルス Linuxゲートウェイ 仮想アプライアンス版」は、90日間の評価版がご利用頂けます。評価期間中もエフセキュアのサポートセンターから電話とメールでのサポートを受けることが可能です。評価版やインストールガイドのダウンロード、サポートへの連絡方法などはhttp://www2.f-secure.co.jp/download/trial/linuxgw/index.htmlをご参照ください。

エフセキュア、アンチウイルス Linuxゲートウェイ新バージョン Ver5.20をリリース

「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、日本語WebUIを搭載したVer5.20がリリースされました。Ver5.10で搭載された、軽量で安全性の高い新しいWebUIを日本語化し、設定項目として表示していなかった項目を多数追加しています。また、最新ディストリビューションであるRedhat  Enterprise Linux7やCentOS7などのサポート、Redhat Enterprise Linux5および6、CentOS5および6の最新マイナーアップデートのサポート対応を行っています。

なおこのリリースをもって、「エフセキュア アンチウイルス Linuxゲートウェイ」Ver4シリーズは、サポート終了の準備を開始します。Ver4シリーズの最終版(Ver4.12およびVer4.11)は、2015年11月25日にサポート終了となる予定です。

また、2015年1月に、Ver5.20をベースとした仮想アプライアンス版のリリースも予定しています。次期仮想アプライアンス版では、従来サポートしてたVMware vShereに加え、Microsoft Hyper-Vもサポートハイパーバイザーとして追加する予定です。

Linux版Turlaの謎めいたバックドアがSolarisにも?

 APTファミリーTurlaに関連する、謎めいたLinuxのバックドアについて数々の報告がある。このマルウェアにはいくつかの大変興味深い機能があるが、もっとも興味深いのはネットワークインターフェイスをスニフィングする能力だ。さらに具体的に言うと、ネットワークトラフィックからC&Cサーバのアドレスを設定できるのだ。これにより、バックドアをネットワーク上に黙ったまま待機させて、攻撃者から送付される特別製のパケットで有効にすることができる。

 有効になると、バックドアは指定されたC&Cサーバへの接続を試みる。続いてC&Cサーバは、典型的なRAT機能を用いて、バックドアに対してダウンロード、アップロード、ファイル一覧表示、実行などの命令を行う。

 当初の調査では、このマルウェアはネットワークスニフィングを除いて、典型的なリモートアクセス型のトロイの木馬と同様に振る舞うことが示された。

 PATH=/bin:/usr/bin:/usr/local/bin:/usr/openwin/bin:/usr/ucb/bin:/usr/ccs/bin
 LD_LIBRARY_PATH=/usr/lib:/usr/local/lib:/usr/dt/lib

linux_solaris_turla2 (99k image)
一時ファイルの実行用の環境設定

 これはまったくもってLinux環境で一般的なものではない。実際のところ、これはSolaris環境の方にずっと適合するのだ。

 /usr/openwin - SolarisのOpenWindowsの場所
 /usr/ccs - Solaris StudioのC Compilation System
 /usr/ucb - BSDとの互換性のための、Solarisのディレクトリ
 /usr/dt - Solaris CDE(Common Desktop Environment)のインストール場所


 Post by — Jarkko

ボブとアリスがMacのOPSEC問題を発見

 これは本当の話だ。ここでは氏名を差し替えているが、関係者の正体については関係ないためだ。


Mac files on a USB drive as seen via Linux

 Macユーザとファイルを交換したことのある人なら誰でも、Mac OS Xがさまざまな「隠し」ファイルをUSBドライブにコピーすることを知っている。

 興味深い部分はここからだ…。

 ボブはこれらのファイルの機能について、疑問に思った(で、なんでこんなに多いのだろう?何をするものだろう?)。ボブはリバースエンジニアリングを行い、当然ながらバイナリエディタでファイルを分析してみた。そしてその時のことだ。メールアドレスや題名の行、一部のケースではアリスのメッセージの冒頭の文が「.store.db」というファイルに含まれていることをボブは知った。

 ボブは自分のUSBドライブにそのようなデータやメタデータがコピーされたことに驚き、さらに調査して次のことが分かった。こうした.dbファイル群を参照するように特別に設計されたフォレンジックツールを使うと、これらの情報を見ることはできないのだ。標準的な見方では「.store.db」は「store.db」と同一のように見える。バイナリエディタで見た場合のみ、.store.dbに埋め込まれた、漏えいした情報が明らかになる。つまり通常のフォレンジックツールではまったく分からないのだ。

 当社ではボブのUSBドライブを調査し、絶対にそこにあるはずのないデータが.store.dbファイルの中にあることを確認できた。当社のMacコンピュータで問題を再現することには成功していない。アリスや彼女のコンピュータへアクセスできないので、推測することしかできない。データは未知の設定によって漏れた可能性も、サードパーティ製のソフトウェアによって漏れた可能性も、マルウェアによって漏れた可能性もある。

 懸念すべきは以下だ…。

 自身がレポーターだと想像してみてほしい。誰か他の人のUSBドライブに漏えいする、あなたの情報ソース宛てのメールについてのデータを欲しいと思うだろうか?もちろんお断りだ!一部の国では、今回のようなOPSECの不具合で、簡単に人々が刑務所行きになる。

 当社では通常は未知の件については書かない。しかし特に今回のケースでは、誰かが問題の根源を特定できることを期待して、記事にした。そして誰かが解明したら、このポストを更新する。

追記

 Mark Janssenは、自身のデータやメタデータがUSBデバイス上のSpotlight検索に関連するインデックスファイルで見つかることを確認した。その後彼はアップル社の製品セキュリティチームへメールを送り、「Apple is aware of the issue and is investigating(アップルは問題を認識、調査している)」と報告を行った。

  Macユーザは、システム環境設定、Spotlight、プライバシーと辿って、Spotlightで検索インデックスの作成を回避できる。Nicholas Ptacekがこの点を指摘した。

 残念なことに、Spotlightの検索インデックスの作成を無効にすることでUSBドライブへのデータの漏えいを防いでいる間は、この設定によりMac自体の機能が制限される。Nicholasはここに掲載されている情報により、他のワークアラウンドが提示される可能性があることを示唆している。

 Jimmy Wall博士は、ドライブから「ジャンク」を自動的に消去する機能を持つ、CleanMyDriveというツールを推奨している。このアプリはMac App Storeで入手できる。

 あなたのSpotlightのインデックスで、隠ぺいされているのが何か見たい?

 Go to the top level of an Indexed volume, and check .Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.(インデックスされたボリュームのトップレベルに行き、.Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.を確認しよう)

 注記:当社のアナリストは、いまだ自分のMacからUSBデバイスに「悪い」.store.dbファイルをコピーできないでいる。そのため、当研究所のMacと、Janssenの言う世のMacとの間には、知られざる変数がまだある。

なぜShellshockがHeartbleedよりも危険なのか、ミッコ・ヒッポネンが解説

CNBC AfricaのAki Anastasou氏によるインタビューで、弊社のミッコ・ヒッポネンが、なぜShellshockのバグがHeartbleedのバグよりも社会にとってより大きな脅威であるのかを説明しました。Heartbleedは、今年年初にニュースで大きな話題になっていました。

「ShellshockもHeartbleedも、オープン・ソースのシステム、すなわちLinuxやUnixベースのシステムの脆弱性です」とミッコは語っています。

「いずれも非常に深刻です。Heartbleedは過ぎ去りました。数ヶ月前に発生しましたが、Heartbleedに対するパッチを適用すれば、攻撃者はもはや情報を詐取することはできません」と彼は解説します。





「しかしShellshockはさらに深刻です。今現在パッチを当てても、攻撃者はシステムにアクセスできるようにShellshockを使用した可能性があります。たとえパッチを適用しても、システムの中に存在しているかもしれません。」

ソフトウェアのバグが避けられない世界で、できる限りシステムを安全にするために、ミッコは三つの基本的な事項を提案しています。
1. 侵害された場合にデータを復旧できるように、すべてのPCやデバイスのバックアップを取る。
2. PCやデバイスに、ブラウザやプラグインも含む全てのソフトウェアにパッチを適用する。
3. バックアップとパッチが完了したら、全てのシステムのウイルス対策やセキュリティ・ソフトが最新であることを確認する。

オンラインの脅威と闘ってきた数十年の間に、ミッコが経験した最悪のコンピュータ・ウイルスについてご関心はありますか?TED Radio Hourをご覧ください。

>>原文へのリンク

さくらインターネットとエフセキュア、レンタルサーバのウイルス対策で提携

エフセキュア株式会社は、さくらインターネット株式会社の「さくらのレンタルサーバ」をはじめとするサービスに、ゲートウェイでのウイルス対策ソリューションの提供を開始しました。

企業や組織の情報システムのクラウド化が進む中、レンタルサーバやハウジングの活用が改めて注目されています。このようなサービス形態においては、サーバやエンドポイントのクライアントのマルウェア対策に加え、ゲートウェイレベルでのセキュリティの確保による多層的な防御が必要となります。この度、レンタルサーバの大手であるさくらインターネットは、「さくらのレンタルサーバ」をはじめとする様々なサービスでのスキャンエンジンとして、「エフセキュア アンチウイルス Linux ゲートウェイ」の採用を決定いたしました。今後2014年8月31日までに、「さくらのレンタルサーバ」「さくらのマネージドサーバ」「さくらのメールボックス」などのサービスのウイルスチェックおよびウイルススキャンの機能が「エフセキュア アンチウイルス Linux ゲートウェイ」へ切り替えられます。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「レンタルサーバで著名なさくらインターネットの多くのサービスで、弊社のゲートウェイ対策ソリューションが採用されたことを誇りに思います。高いパフォーマンスと検知率を同時にご提供することにより、さくらインターネットのユーザの皆様にもご満足いただけるものと確信しております。」と述べています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。メールについてはスパム検査も可能です。高いパフォーマンスと検知率を兼ね備え、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。


ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

エフセキュア、Linuxサーバ向けのゲートウェイ製品新バージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ」の新しいバージョンとなる、Ver5.10をリリース致しました。最新ディストリビューションへの対応や、WebUIの刷新を行っています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。既に提供済みの「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、新たにWebUIを搭載したVer5.10がリリースされました。単なるユーザー・インターフェースの変更に留まらず、Webサーバプログラムを変更することにより、WebUIで消費するリソースの削減・応答速度の向上を行っています。本バージョンではWebUIは英語版のみの提供となりますが、2014年第三四半期中に、WebUIを日本語化したVer5.20をリリースする予定です。

Ver5シリーズでは、従来のHTTP/SMTP/POP3/FTPの各種プロキシに加えて、ICAPサーバとしての機能が追加されました。Squidなど、ICAPクライアント機能を持つプロキシからウイルススキャンリクエストを行うことが可能になり、より柔軟に既存のネットワークへ組み込むことが可能となりました。また、複数のファイルに分かれていた設定情報を、ひとつの設定ファイルに集約するなど、ユーザの使い勝手の向上を行っています。

なお、日本のお客様に対しては、日本語WebUIを搭載したVer5.20がリリースされてから1年後に、Ver4シリーズの最終版(Ver4.12およびVer4.11)のサポートが終了する予定となっています。

Mayhemに首を突っ込む

 ここ1年で、Linuxサーバを標的にしたマルウェアが大きなニュースとなることが増えてきた。本記事では、LinuxとFreeBSDのサーバを標的とした、高度かつ多目的なあるマルウェアの動作について、調査報告を行う。当社ではこの動作の核となるマルウェアファミリーをGalacticMayhemと命名した。この名前は一部のC&CサーバのURLをもとにしている。Yandexの研究者チームによって報告されたものと同じマルウェアファミリーである。

概要

 サーバへのMayhemの感染は、PHPのドロッパースクリプトから始まる。このスクリプトの役割は、悪意のあるELF共有オブジェクトファイルをドロップし実行することだ。ドロップされたバイナリの名前の多くはlibworker.soだ。しかし我々の調査では、当該バイナリがatom-aggregator.soまたはrss-aggr.soとなっているような該当しないケースもあった。ドロッパースクリプトは常に32ビットと64ビットの両バージョンのマルウェアを含む。この2つは同一の機能と設定を持つ。

 ドロッパースクリプトはまず、実行中の/usr/bin/hostプロセスをすべてkillする。続いてホストが32ビットか64ビットか、またLinuxかFreeBSDかを判定する。スクリプトはさらにホストのアーキテクチャに合ったバイナリを選び、OSを考慮してELFヘッダを調整し、最後にバイナリをディスクに書き込む。ドロッパーはまた、1.shという名前のシェルスクリプトもディスクに書き込む。このシェルスクリプトは、クリーンアップおよびマルウェアを実行する役割を持っている。マルウェアの実行は、いわゆる「LD_PRELOAD」テクニックを使って実現する。ドロップされたバイナリへのパスを環境変数「LD_PRELOAD」に設定するのだ。次に、実行ファイル/usr/bin/hostを実行する。最終的に/usr/bin/hostによって呼び出されるexitファンクションをフックすることで、OSのローダーは悪意のあるバイナリをロードするようになっている。/usr/bin/hostがいったんexitを呼び出すと、実行が悪意のあるバイナリへと移る。

 我々の調査では、これまでのところ47通りの異なるMayhemのサンプルが明らかになった。こうしたサンプル群のうち最初期のものは少なくとも半年は前のもので、最新のものは1週間以内の可能性がある。サンプルの分析から、Mayhemは開発の最中に3段階の主要なイテレーションを経てきたことは明らかだ。イテレーションごとにマルウェアは次第に複雑さと洗練度を増してきた。加えて、より細かいインクリメンタルな更新が観測されている。これはマルウェアファミリーMayhemが活発に開発中であることを示す。以降の記事では、Mayhemの最新かつもっとも機能が豊富なイテレーションに焦点を合わせる。

 マルウェアMayhemは、高度にモジュール化した設計になっている。Mayhemは1つのメインコンポーネントと複数の任意に読み込まれるモジュールから構成される。メインコンポーネントは、モジュールのロードおよびアンロードや実行はもちろん、C&Cサーバとの通信も担っている。また、モジュール自身やモジュールが使用する他のファイルを格納するために、暗号化した隠しファイルシステムを用いている。このファイルシステムはディスク上に保存される。マルウェアの設定データの1つがそのファイル名を指定している。大半のケースではファイルの名前は.sd0となっている。しかしながら、当社が最近観測したところでは、マルウェアの作者はファイル名を.cachesに変更している。おそらく、隠しファイルシステムのファイル名が複数の情報源により公表され、感染したシステムを検索するために利用されるようになったことに対応したのだろう。重ねて言うが、当該マルウェアが活発に開発中なのは明らかだ。注目すべきは、隠しファイルシステムのファイルサイズもマルウェアの設定データで指定されており、我々が観測したすべてのケースでちょうど12MBになっている点だ。

 マルウェアMayhemは、特別に作られたHTTP postリクエストを用いてC&Cサーバと通信する。このリクエストのヘッダは非常に独特で、「Host」「Pragma」「Content-Length」という特定の3つのフィールドしか含まれていない。この中の「Pragma」フィールドの値は常に「1337」である。加えて、HTTPのバージョンは常に1.0を指定している。マルウェアからC&Cサーバへのリクエストの例を以下に挙げる。

Packet capture of malware communicating with C&C

 以上のように、実際のリクエストのボディは、コマンドやメッセージを指定する1行以上の行から構成される。これらの行は常にメッセージの種別を示す単一の文字で始まっており、カンマ区切りのパラメータのリストが続く。メッセージの種別により、ファイルの送受信、ジョブの開始や終了、モジュールのロードや更新、C&Cサーバへのマルウェアの状況の通知といったことを可能にする。

 感染と設定が終わると、マルウェアは設定データ内にハードコーディングされているC&Cサーバに対し、リクエストを送信しようと試みる。このリクエストには、マルウェアが動作しているホストのシステムや環境についての情報が含まれている。マルウェアはC&Cサーバから条件を満たすリプライをひとたび受け取ると、現在のステータスを報告するC&Cサーバに対し、定期的にリクエストを送信するように戻る。もしそのC&Cサーバが現在これといったアクティビティに参加していない場合、スリープして後でpingするような指示をマルウェアに応答する。

 C&Cサーバは、新たなジョブをマルウェアに応答することもある。今回のケースでは、C&Cサーバは最初にマルウェアに対しロードするモジュールを指示する。同様に、ロードするモジュールのためのルールファイルやパスワードリストのような、追加のファイルも任意に指示する。この場合、マルウェアはまずは隠しファイルシステムを検索して、指定されたモジュールを探す。見つかったら、モジュールのCRC-32チェックサムをC&Cサーバに返す。次にC&Cサーバは、見つかったモジュールが最新版かどうか、あるいはマルウェアはC&Cサーバ上の新たなバージョンを要求すべきなのかをマルウェアに通知する。見つかったモジュールが古いバージョンであったり、モジュールが見つからなかった場合、マルウェアはC&Cサーバにモジュールを要求する。モジュールはHTTPレスポンス中にbase64エンコードされたデータとして返される。

 モジュールを取得したら、マルウェアのメインコンポーネントはモジュールを読み込み、エントリーポイントファンクションを呼び出す。このエントリーポイントファンクションはさらに設定を行い、おそらく隠しファイルシステムやC&Cサーバにある追加のファイルを要求する。また、このファンクションは特定の状況下でメインコンポーネントによって呼び出される1~4つのコールバックファンクションを登録する。これこそ、モジュールの主機能が実行される仕組みだ。

 モジュールの読み込みが成功した後、C&Cサーバはメインコンポーネントに対し新たなジョブを開始するように指示することがある。このジョブの結果、メインコンポーネントはオペレーターが指定した数のスレッドを作成する。各スレッドは、それぞれ読み込まれたモジュールの機能を実行する。最後にC&Cサーバはマルウェアに対し、実行するモジュールへの引数になる文字列を送信し始める。こうした引数の文字列の内容はロードしたモジュールによって異なるが、通常は少なくとも悪意のあるアクティビティの標的となるドメインやURLが含まれる。

モジュール群

 当社の研究の最中に、現実の環境で、マルウェアMayhemによって使用される11個の異なるモジュールに遭遇した。これらの大半において、複数の異なるバージョンを観測した。これは明らかに、モジュールもまた活発に開発中であることを示している。

 遭遇したモジュールは以下の通り。


  • bruteforce.so - WordPressとJoomlaのサイトのログイン情報を総当たりで見つけるために使用する
  • bruteforceng.so - 上と同様だが、HTTPSと正規表現をサポートしており、高度な設定ができる
  • cmsurls.so - WordPressのログインページを特定するために使用する
  • crawler.so - WordPressとJoomlaのサイトを見つけるためWebサイトをクロールするのに使用する
  • crawlerng.so - 上記の改良バージョン。HTTPSと正規表現をサポートし、任意の正規表現にマッチするWebページを発見できる
  • crawlerip.so - 上記と同様だが、ドメインの代わりに標的のIPアドレスリストを受け取る
  • ftpbrute.so - FTPサーバのログイン情報を総当たりで見つけるために使用する
  • rfiscan.so - RFIの脆弱性を持つWebサイトの検索に使用する
  • wpenum.so - WordPressのサイトのユーザを列挙するために使用する
  • opendns.so - 公開されている再帰的なDNSリゾルバを検索するために使用する
  • heartbleed.so - Heartbleedという脆弱性(CVE-2014-0160)を露呈しているサーバを特定するために使用する


 このポストでは個々のモジュールについて非常に詳細なところまで掘り下げることはしないが、分かったことのうち興味深いものを一部挙げる。

bruteforce.so

 bruteforce.soモジュールは、現在飛び抜けて活発に使用されているモジュールである(これについては後ほど詳細に述べる)。機能面では非常にシンプルだ。WordPressまたはJoomlaのサイトのログインページを指し示す標的となるURL、ユーザ名を並べたファイル、パスワードを並べたファイルを取得する。続いて、ユーザ名とパスワードの可能な組み合わせをすべて用いてログインを試みる。

bruteforceng.so

 このモジュールはbruteforce.soモジュールの進化したバージョンで、HTTPSと正規表現のサポートが加えられている。入力として、標的のURL、ユーザ名のファイル、パスワードのファイルを取得するのに加えて、ルールファイルも必要とする。ルールファイルは、標的のログインインターフェイスを指定するために使われる。したがって、このモジュールを使用すれば、どのWebベースのインターフェイスのログイン情報でも総当たりで見つけることができる。このモジュールは主にWordPressとJoomlaのサイトのログイン情報を総当たりするために使われているのを我々は観測してきた。しかし、たとえばcPanel Web Host Managerのサイトなど、他の種類のサイトに対しても使われていると信じるに足る理由がある。

 興味深いことには、bruteforce.soおよびbruteforceng.soの両モジュールの新バージョンを最近になって我々は発見した。古いバージョンでは、ユーザ名のファイル内の全ユーザ名をすべての標的に対して試していたが、新しいバージョンでは使用すべき1つのユーザ名をC&Cサーバが指定できるようになっている。C&Cサーバが標的のURLを指定するために使うコマンドの文字列は、「Q,target」(targetはURL)である。しかし新しいバージョンのコマンドは、「Q,target;username」という、より長いコマンド文字列をサポートしている。セミコロンと別のパラメータが追加されたことに注意してほしい。この追加されたパラメータはユーザ名を1つ指定でき、パスワードファイル内にあるすべてのパスワードと結びつけられる。しかしながら、ユーザ名の文字列が「no_matches」だったり、2番目のパラメータが指定されていない場合には、モジュールは独立したユーザ名のファイル内の全パスワードを試すという古い方法へフォールバックする。

crawlerng.so

 crawlerng.soはWebサイトをクロールするのに使われるモジュールだ。引数として、正規表現を含むファイルを取る。次に当該モジュールは、こうした正規表現にマッチするコンテンツを求めて、標的のドメインを検索する。これは主に、WordPressおよびJoomlaのログインページを特定するために使われているようだ。ただ、正規表現で指定するということから、モジュールは本質的に任意の種類のページを特定するように指示できる。例として、当社はPhpMyAdmin、DirectAdmin、Drupalのログインページを特定するために使われるcrawlerng.soモジュールを観測した。一部のケースでは、モジュールは特定のキーワード、たとえば薬局に関連するキーワードにマッチするコンテンツを提供するWebサイトを見つけるために使われていた。我々が観測したケースでは、マルウェアのオペレーターが工夫をこらし、crawlerng.soモジュールでローカルファイルインクルードの脆弱性を探すものさえあった。観測したルールセットでもっとも多かったのは、別のHTTP、HTTPS、FTPサイトへ移動するリンクも検索するようにモジュールに指示するものだ。このやり方で、モジュールが新しい標的を見つけてクロールを続けるようになる。

Screencapture of LFI rule file
ローカルファイルインクルードの脆弱性を探すために使われるルールの一部

opendns.so

 このモジュールは、DNS amp攻撃で使われ得る、公開されている再帰的なDNSリゾルバを検索するために使用される。引数としてIPアドレスレンジと、サイズのしきい値を取る。レンジ内の全IPを1つずつ繰り返し、53番ポートへの接続を試みる。53番ポートへの接続が成功すると、拡張的なDNSの「DNSSEC OK」ビットをセットして、「ripe.net」ドメインのANYレコードを問い合わせる再帰的なDNSリクエストを送信する。標的がオープンかつ再帰的なDNSリゾルバを起動していたら、大きなDNSの応答を返すことになる。リプライのサイズが、事前にセットしたサイズのしきい値と比較して大きかったら、C&CサーバにIPアドレスが報告される。

Packet capture of the DNS request
当該モジュールによって送信されるDNSリクエストのパケットキャプチャ

heartbleed.so

 このモジュールは標的のドメインがHeartbleed脆弱性に対して脆弱かどうかを特定しようとする。これは標的に初めて接続するときに行なわれ、TLSv1.1のClientHelloパケットを送信し、さらにペイロードサイズが64KB(0xFFFFバイト)だが実際のペイロードは3バイトのハートビートリクエストを送る。

TLSv1.1 ClientHello packet
Malicious heartbeat request
ClientHelloパケットのペイロード(上)と悪意あるハートビートリクエスト

 最後に、サーバのリプライのペイロードのサイズが確認される。これが3バイトよりも長いなら、サーバはおそらく脆弱で、そのことがC&Cサーバに報告される。

Code that checks the server reply
サーバの応答を確認するコード

現在の活動

 当社の調査により、マルウェアファミリーMayhemによって使われているC&Cドメインが19個明らかになった。そのうち7つは現在もアクティブである。現在の活動の大半はWordPressおよびJoomlaのログイン情報を総当たりで取得することに関連している。ただ、FTPのログイン情報も総当たりで見つけることや、同様にWordPressとJoomlaのログインページを検索しながらドメインをクロールすることも観測している。我々は別のモジュールがある時点で現実に使われた証拠も持っている。

 総当たりの活動を観測したためだが、これは非常に日和見的に見える。マルウェアのオペレーターはボリュームに焦点を合わせているようだ。共通かつ脆弱な認証情報を使っているサイトが十分に存在することをあてにしている。アクティブなC&Cサーバ群から標的になったURLを1週間分記録したところ、我々は35万超のユニークな標的を特定した。このサーバ群のなかの1台のC&Cサーバが、21万を超えるユニークな標的に関与していた。これはマルウェアの単一のインスタンスに与えられる標的に過ぎず、全体的な数はおそらくずっと大きいものになることに注目すべきだ。

 標的のドメインに関する分析に基づくと、マルウェアのオペレーターは誰かあるいは何かを特別に標的としているとは思えない。むしろ、単純に低い位置にあるWebの果実を探しているだけのように感じる。以下のような、標的のドメインの地理的な分布によって、これはさらに支持される。上位10か国に中国がいないのは注目に値するが、マルウェアのオペレーター側が意図的に選定したというより、例外的なものと思う。

Piechart showing geographic distribution of target domains

結論

 マルウェアのオペレーターはMayhemを主に偵察ツールとして使い、簡単に侵害できるサーバへアクセスできるようにして、後にもっと洗練された攻撃のベースとして使えるようにしていると、当社では考えている。たとえばオペレーターは、最初にWordPressのサイトを見つけるためにcrawlerng.soモジュールを用い、続いてwpenum.soモジュールを使ってこうしたサイトから潜在的な被害者のユーザ名を列挙しているかもしれない。ユーザ名のリストを持っていれば、オペレーターはこうしたサイトへのアクセスを得ようとしてbruteforce.soモジュールに取り掛かることができる。オペレーターがアクセスできるようになれば、サイトをMayhemで感染させてボットネットを拡大したり、あるいは他の操作を組み込むために利用することもできる。

 マルウェアファミリーMayhemは、LinuxおよびFreeBSDのサーバ上で動作する、高度で非常に汎用的な脅威である。明らかに活発に開発がなされており、オペレーターは研究者やサーバ管理者の尽力を盛んに無効にしようとしている。また感染するホストが、低速のADSLの背後にあるごく普通の家庭用PCではなく、大容量、広帯域のサーバであることを考慮すると、運用の規模も重要である。

サンプルのハッシュ

 バージョン1

  • 0f1c66c3bc54c45b1d492565970d51a3c83a582d
  • 5ddebe39bdd26cf2aee202bd91d826979595784a
  • 6c17115f8a68eb89650a4defd101663cacb997a1


 バージョン2

  • 7204fff9953d95e600eaa2c15e39cda460953496
  • 772eb8512d054355d675917aed30ceb41f45fba9


 バージョン3(最新)

  • 1bc66930597a169a240deed9c07fe01d1faec0ff
  • 4f48391fc98a493906c41da40fe708f39969d7b7
  • 6405e0093e5942eed98ec6bbcee917af2b9dbc45
  • 6992ed4a10da4f4b0eae066d07e45492f355f242
  • 71c603c3dbf2b283ab2ee2ae1f95dcaf335b3fce
  • 7b89f0615970d2a43b11fd7158ee36a5df93abc8
  • 90ffb5d131f6db224f41508db04dc0de7affda88
  • 9c7472b3774e0ec60d7b5a417e753882ab566f8d
  • a17cb6bbe3c8474c10fdbe8ddfb29efe9c5942c8
  • ab8f3e01451f31796f378b9581e629d0916ac5a5
  • c0b32efc8f7e1af66086b2adfff07e8cc5dd1a62
  • c5d3ea21967bbe6892ceb7f1c3f57d59576e8ee6
  • cb7a758fe2680a6082d14c8f9d93ab8c9d6d30b0
  • e7ff524f5ae35a16dcbbc8fcf078949fcf8d45b0
  • f73981df40e732a682b2d2ccdcb92b07185a9f47
  • fa2763b3bd5592976f259baf0ddb98c722c07656
  • fd8d1519078d263cce056f16b4929d62e0da992a


 当社ではこれらをBackdoor:Linux/GalacticMayhem.Aとして検知する。

 調査執筆:Artturi Lehtio(@lehtior2

筆者注記

 筆者はフィンランドのヘルシンキにあるアールト大学の、情報科学の学生である。今春、同大で提供され、エフセキュアが運営したマルウェア分析の講義に出席した後、幸運なことに同社の夏季インターンシップに参加した。1か月前、私は新たなタスク「Linuxマルウェアについて興味深く見える事項を見つけて、それについてブログの記事を書くことをゴールとする」を与えられた。この記事とそれを裏付ける調査は、Linuxマルウェアの謎めいた世界への私の冒険の結果である。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード