エフセキュアブログ

Malware Protection を含む記事

エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

個人情報がサイバー攻撃のトレンドに

cyber attacks

あらゆる情報がデジタル化されている今日、顧客や従業員の個人情報の保護は、ドアに鍵をかけること以上に、あらゆる組織にとって重要な仕事になっています。結局のところ、組織の資産を侵害するためには、構内へ物理的に入る必要はありません。セキュリティに穴を見つけさえすればいいのです。

最近、セキュリティの侵害が、顧客、ユーザ、市民のための膨大な個人情報の漏洩に至ってしまった事例が散見されます。いずれの事例でも、結果として、企業や組織が悪評に苦しめられることに繋がりました。

メールのウイルスの結果、125万人の個人情報が流出した後、日本政府は「年金は危険に晒されなかった」と国民に説明せざるを得なくなりました。これは年金機構の職員が開いた、悪意あるメールの添付ファイルがもたらしたものです。漏洩は氏名、ID番号、誕生日、住所を含んでいました。この漏洩は5月28日に発覚し、アナリストは政府の支持率に悪影響を与える可能性があると見ています。

アメリカ合衆国内国歳入庁(IRS)のハッキングのケースでは、ハッカーはIRSのWebサイトに侵入し、10万人の納税者のデータを持ち出しました。犯罪者はIRSのファイル上にある所得税申告書などの納税の情報を不正に入手しました。6月に攻撃が発覚するまでに、5,000万ドル以上の所得税申告書がハッカーの手に渡っています。IRSは、攻撃の背後にいるロシアのハッカーたちがソーシャル・メディアを悪用し、最初のペットの名前や母親の旧姓といったセキュリティのための質問の答えを見つけ出したと示唆しています。人々はこうしたデータを今日、Facebookのように友人と共有しているソーシャル・メディア・サイトで使用しています。

最も直近の巨大なハッキングは、米国政府の職員がターゲットになりました。米国政府職員の数百万人分のデータが漏洩しています。この漏洩は、あらゆる連邦政府の機関に影響を及ぼす可能性があります。

サイバー攻撃のターゲットになるには、大企業や政府の組織である必要はありません。最近のGrabitマルウェアは、中小中堅企業をターゲットとし、センシティブなデータを盗み出すためにスパイ行為を行っています。センシティブなデータは、大企業のものであろうと中小中堅企業のものであろうと、サイバー犯罪者にとっては大きなビジネスです。Grabitマルウェアは、主にタイ、インド、米国の中小中堅企業の社員のデバイスに感染するために悪用されてきました。現在までに、中小中堅企業からおよそ10,000ファイルが詐取されています

このようなセンシティブな個人情報を狙った攻撃は、企業が真剣にデータ保護に取り組むべきときであることを示しています。消費者はますますプライバシーに敏感になっており、真剣にデータ保護に取り組む企業からの購入へ容易に移ります。そして来るべきEUの「個人データ保護規則」によって、顧客データの収集には責任が伴うようになります。

御社が保護されているかどうか確認してください。御社のセキュリティは、最も弱いリンクと同等のレベルです。セキュリティのためのベスト・プラクティスを活用して、デバイス、ソフトウェア、そして人々を安全に保ってください。こちらの過去の記事で、サイバー攻撃に備える8つのステップをご覧いただけます。


>>原文へのリンク



Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

ショートカット・ゼロデイ・エクスプロイトのコードが公開

  MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット(.lnk)脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。

  これはさらに、ショートカット脆弱性の危険を拡大する。これまでStuxnetルートキットの作者だけがこの欠陥を利用してきたが、現在は他の悪者たちが、すぐ後に続くであろうことに疑う余地はない。

  幸いにも、一部の人々はこのPoCを良い目的にも使用している。

  Didier Stevens(Adobe Readerの/launch機能に関するリサーチでよく知られている)は、彼のAriadツールで同エクスプロイトをテストし、これは上手くブロックされた。StevensはWindows 2000 SP4までさかのぼってテストしている。もしMicrosoft Securityアップデートの予定が無いレガシーシステム(Windows XP SP2など)を保持する必要があるなら、Ariadは一つの選択肢と言えるかもしれない。

  しかしStevensはAriadをベータソフトウェアとしているため、選択肢とならない人もいるだろう。それでは他にどんな方法があるだろうか?

  SophosのChet Wisniewskiは、実行ファイルのローンチをローカルハードドライブに制限するため、Group Policiesを使用する事を提案している。

  そしてもちろん、Microsoftのセキュリティ アドバイザリによる回避方法もある。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  「セキュリティ アドバイザリ(2286198)」に関してだが、いくつか我々には不明瞭に思われる部分がある。

  たとえば、同アドバイザリによれば:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンをクリックすると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  しかし、我々の分析によれば、クリックは必要ではないのだ。

  Microsoft自身のMalware Protection Centerは、同エクスプロイトについて以下のように述べている:

  「これは、USBドライブに置かれた、特別に作成されたショートカットファイル(別名.lnkファイル)を活用するもので、.lnkファイルがオペレーティングシステムによって読まれるとすぐに、自動的にマルウェアを実行する。言い換えると、単にショートカットアイコン(Windows Explorerのような)を表示するアプリケーションを使用しているリムーバブルメディアドライブを閲覧することで、その他のユーザインタラクション無しでマルウェアが動作する。」

  単にリムーバブルドライブを閲覧するだけ。クリックは必要無い。

  そして、AutoPlay機能に関する疑問がある。アドバイザリによれば:

  「AutoPlayを無効にしたシステムについては、同脆弱性を悪用するには、ユーザがリムーバブルディスクのルートフォルダを、手動で閲覧する必要がある。Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  しかしデフォルトでは、我々のWindows 7テストシステムにUSBドライブを接続すると、以下のような状態になる:

Windows 7 AutoPlay

  このダイアログはAutoPlayとなっているのでは? Windows 7システムでは、AutoPlayは自動的に無効とはならないようだ。

  デフォルトでAutoRunは無効とならなければならなかったのだろうか?(Windows 7は間違いなく、Windowsの以前のバージョンよりもリムーバブルメディアの取り扱いが優れているが、AutoPlayは現在もデフォルト機能であるようだ。)

  いずれにせよ、AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に:スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。

  通常、我々はMicrosoftに対してこのような小さな点をあげつらったりはしないのだが、組織にリスクのオフィシャルな評価情報を提供するアドバイザリであるため、このことは特に重要であると思う。

追記:Microsoftがアドバイザリをアップデートした。我々の最新の記事に詳細がある

偽Facebook、偽ビデオ、偽CAPTCHA

  Facebookで映像を視聴するのは一般的な行動だ。よって不用心なユーザーをマルウェアに感染させるのに使用される、偽の模倣サイトが数多くあっても驚くべきことではない。

  以下は、昔から良くある「Flash Playerアップグレード・インストール」トリックを使用し、若干のひねりを加えた悪意あるJavaScriptを持つ偽Facebookサイトの一つだ。

  例によってユーザーは、プレイヤーをアップグレードすれば、映像を見ることになるだろうと思っている:

Facebook vid malware
  しかし最初に、「アップグレード」をダウンロードし、インストールしなければならない:

Facebook vid malware

  通常と異なるのは、この「アップグレード」はCAPTCHAポップアップと共に始まるということだ:

Facebook vid malware

  このリクエストは不定期に表示され、実際には何もしない。ユーザーがフィールド内に何を入力しようと、以下のような表示が現れる:

Facebook vid malware

  このスクリーンは2、3回のトライ後に閉じられるが、時々現れ続ける。

  ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

Facebook vid malware

  我々はこのマルウェアが「Trojan:W32/Agent.MDN」であることを確認した。

  エフセキュアの「Browsing Protection」は、あらゆる偽Facebookサイトをブロックする。とは言え、いつもと同様、ネットサーフィン中は慎重に。


  投稿はChoon Hongによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード