エフセキュアブログ

News を含む記事

個人情報がサイバー攻撃のトレンドに

cyber attacks

あらゆる情報がデジタル化されている今日、顧客や従業員の個人情報の保護は、ドアに鍵をかけること以上に、あらゆる組織にとって重要な仕事になっています。結局のところ、組織の資産を侵害するためには、構内へ物理的に入る必要はありません。セキュリティに穴を見つけさえすればいいのです。

最近、セキュリティの侵害が、顧客、ユーザ、市民のための膨大な個人情報の漏洩に至ってしまった事例が散見されます。いずれの事例でも、結果として、企業や組織が悪評に苦しめられることに繋がりました。

メールのウイルスの結果、125万人の個人情報が流出した後、日本政府は「年金は危険に晒されなかった」と国民に説明せざるを得なくなりました。これは年金機構の職員が開いた、悪意あるメールの添付ファイルがもたらしたものです。漏洩は氏名、ID番号、誕生日、住所を含んでいました。この漏洩は5月28日に発覚し、アナリストは政府の支持率に悪影響を与える可能性があると見ています。

アメリカ合衆国内国歳入庁(IRS)のハッキングのケースでは、ハッカーはIRSのWebサイトに侵入し、10万人の納税者のデータを持ち出しました。犯罪者はIRSのファイル上にある所得税申告書などの納税の情報を不正に入手しました。6月に攻撃が発覚するまでに、5,000万ドル以上の所得税申告書がハッカーの手に渡っています。IRSは、攻撃の背後にいるロシアのハッカーたちがソーシャル・メディアを悪用し、最初のペットの名前や母親の旧姓といったセキュリティのための質問の答えを見つけ出したと示唆しています。人々はこうしたデータを今日、Facebookのように友人と共有しているソーシャル・メディア・サイトで使用しています。

最も直近の巨大なハッキングは、米国政府の職員がターゲットになりました。米国政府職員の数百万人分のデータが漏洩しています。この漏洩は、あらゆる連邦政府の機関に影響を及ぼす可能性があります。

サイバー攻撃のターゲットになるには、大企業や政府の組織である必要はありません。最近のGrabitマルウェアは、中小中堅企業をターゲットとし、センシティブなデータを盗み出すためにスパイ行為を行っています。センシティブなデータは、大企業のものであろうと中小中堅企業のものであろうと、サイバー犯罪者にとっては大きなビジネスです。Grabitマルウェアは、主にタイ、インド、米国の中小中堅企業の社員のデバイスに感染するために悪用されてきました。現在までに、中小中堅企業からおよそ10,000ファイルが詐取されています

このようなセンシティブな個人情報を狙った攻撃は、企業が真剣にデータ保護に取り組むべきときであることを示しています。消費者はますますプライバシーに敏感になっており、真剣にデータ保護に取り組む企業からの購入へ容易に移ります。そして来るべきEUの「個人データ保護規則」によって、顧客データの収集には責任が伴うようになります。

御社が保護されているかどうか確認してください。御社のセキュリティは、最も弱いリンクと同等のレベルです。セキュリティのためのベスト・プラクティスを活用して、デバイス、ソフトウェア、そして人々を安全に保ってください。こちらの過去の記事で、サイバー攻撃に備える8つのステップをご覧いただけます。


>>原文へのリンク



エフセキュア、サイバー犯罪者に悪用されるエクスプロイトの現状を分析

エフセキュアは、ソフトウェアの脆弱性を悪用してシステムを侵害し、サイバー犯罪者にクライムウェアの入口を提供する攻撃であるエクスプロイトのリスクが引き続き高まっていることを警告しています。エフセキュアの研究者は、エクスプロイトキットが絶え間ない脅威となっている理由は、人気のソフトウェアには脆弱性が途切れることなく存在しており、犯罪者がそれを悪用してデジタル脅威を作成するという安定した枠組みができているためだと述べています。

「ソフトウェアは常に、脆弱性を含んでおり、その脆弱性を悪用するためのエクスプロイトを作成する犯罪者が常に存在します」と、エフセキュアのシニア研究員である、ティモ・ヒルヴォネンは述べています。「これは、犯罪者にとって完全なビジネスモデルとなっています。企業がリリースするセキュリティパッチは実質上、ソフトウェアに脆弱性があることを公に宣言するものだからです。犯罪者は、パッチをリバースエンジニアリングすることで脆弱性を見つけた後、その脆弱性をターゲットにしたエクスプロイトを開発します」

エフセキュアが行った最近の調査は、デジタル脅威のランドスケープにおけるエクスプロイトの重要性を浮き彫りにしています。エフセキュアラボによると、エクスプロイトは2014年後半のクライムウェアキャンペーンから最も多く検出された脅威の40%を占めています。Anglerエクスプロイトキットは、マルウェアキャンペーンを作成するために手軽に使えるソフトウェアツールのセットをサイバー犯罪者に提供するツールキットです。エフセキュアによる最新の脅威レポートは、北米における最大のデジタル脅威としてこのエクスプロイトキットの名前を挙げており、ヨーロッパおよびオセアニアではトップ5の脅威の一つに挙げています。

今までのエクスプロイトキットはJavaと古いバージョンのMicrosoft Windowsの脆弱性に対象を絞っていましたが、この6ヶ月は普及率の高いAdobe Flashプラグインをターゲットにしたエクスプロイトキットが急増しています。エフセキュアのセキュリティアドバイザーであるショーン・サリバンは先日、AnglerエクスプロイトキットがFlashの脆弱性を悪用していることを強調しました。また、このプラグインを「簡単に手が届く果実」になぞらえて、ソフトウェアのターゲットとしての人気を表現しました。*

ヒルヴォネンは、セキュリティ研究者が悪意のある可能性があるFlashファイルを分析するために使用できる、Suloというオープンソースツールを開発しました。これにより、この1月にAdobeはパッチ未適用の脆弱性を見つけることができました。** ヒルヴォネンによると、エクスプロイトから身を守る方法の1つは、ソフトウェアを常に更新された状態に保つことです。これにより、コンピューターをエクスプロイト攻撃にさらす脆弱性の多くを排除することができます。「ソフトウェアベンダーは、これらの脆弱性に対するパッチのリリースをきちんと行っています。そのため、パッチがリリースされ次第、それを適用しておくことが重要なのです。ソフトウェアを更新せずに放置しておく行為は、多くの人々が意識せずに冒しているセキュリティリスクであり、サイバー犯罪者がこの種の攻撃戦略を使い続ける動機になっています」

F-Secure Boosterのプレミアム版には、ユーザがドライバーとアプリケーションを監視して、ソフトウェアが最新の状態に維持されていることを確実にするために役立つ、ソフトウェア更新機能が含まれています。また、エフセキュアのビジネス製品にはソフトウェアアップデータ機能が含まれており、企業がソフトウェアを更新された状態に保ち、エクスプロイトから身を守ることができるよう支援します。


*出典: https://www.f-secure.com/weblog/archives/00002785.html
**出典: https://helpx.adobe.com/security/products/flash-player/apsb15-02.html

詳細情報:  
2014年下半期脅威レポート ダウンロード:http://news.f-secure.com/ThreatReport2014H2
Sulo:https://github.com/F-Secure/Sulo

エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

VPNはホリデー中の旅行には必需品、エフセキュアの専門家が語る

もうすぐイースターホリデーです。家族を訪れたり、旅に出て休暇を楽しむ人も多いでしょう。しかし、オンラインサービスへの常時接続を必要とする旅行者にとっては、サイバーセキュリティを取り巻く環境の変化により、いくつかの問題に直面することになります。旅行者が旅先からでも個人データを安全に保護しつつ、重要なサービスへアクセスするには、今やVPNは欠かせない存在です。

今年の初め、一部の銀行がとったDDoS攻撃への対応は、単純に海外からのオンラインバンキングサービスの利用を制限するというものでした*。これはエストニアの機関が2007年に一連のサイバー攻撃を受けたときに講じた戦略と同様のものです**。この対策の利点は、ATMなどからサービスにアクセスする人には有効でしたが、オンラインやモバイルバンキングなどに頼らざるをえない旅行者にとっては大きな問題となりました。

エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンは次のように述べています。「人々は旅先でゆっくりしたいと考えます。そのため、手元のiPadや携帯電話などで常時オンラインに接続できるということは、ラップトップを持ち歩くよりもはるかに便利です。しかしながら、企業の関心は保護にあります。企業がそのために対策を講じるのはすばらしいことですが、場合によってはこのセキュリティ対策により、ほとんどなんの知らせもないまま利用者が自分の口座へアクセスできなくなることがあるのです。つまり旅先でオンラインバンキングやその他のオンラインサービスを利用しようと考えているユーザは、あらかじめこのような事態に備えておく必要があります。」

仮想プライベートネットワーク(VPN)を利用すれば、安全にインターネットへ接続することができます。また、ユーザの居場所の特定を防ぎ、その代わりに「仮想ロケーション」を設定します。エフセキュアのFreedomeなど、一部のVPNでは、さまざまな仮想ロケーションの中からユーザが選択できるようになっています。この機能は本質的には、ユーザが海外でも自国のサービスを利用できるように、銀行やその他の組織が実施するオンラインサービスの制限によって被る不便さを解消するためのものです。

公衆Wi-Fiは旅行者を危機にさらすと、各政府は警鐘を鳴らす

また、多くのホテル、レストラン、空港で提供されている公衆Wi-Fiサービスを使用する際にも、VPNは重要な安全対策となります。こうした公衆Wi-Fiホットスポットは、ローミングへの課金を避けたいユーザにとっては便利ですが、欧州刑事警察機構(ユーロポール)などの組織は、公衆Wi-Fiサービスの利用は非常に危険な行為だと指摘しています。また、FBIやカナダ政府も、海外では公衆Wi-Fiネットワークを使用しないよう呼びかけています。エフセキュアが実施した調査によると、多くの人々は必要な対策を講じないままこうしたネットワークに接続しているため、個人情報を盗まれるなどのサイバー犯罪に遭いやすい状況に陥っているということです。

サリバンは、旅行を通じて安全なインターネット接続を行うことの大切さを学んだと言います。「これは、オンラインサービスへのアクセスに対する制限を回避するというだけの問題ではありません。これはプライバシーの問題でもあるのです。公衆Wi-Fiによる接続はインターネットユーザを非常に危険な状態にさらすため、安全な対策を講じないまま利用するのは大変危険なことなのです。これは、保険に加入せずに旅行をするようなもので、手遅れにならないとその重要さには気づきにくいものです。」

FreedomeのようなVPNは通信を暗号化し、Wi-Fiネットワーク上でのデータのやりとりが監視されたり傍受されたりすることを防ぎます。組織、政府、セキュリティ研究家の多くが、公共の場からインターネットへアクセスする場合は常にVPNを使用するよう勧めています。被害者にならずに済むことを考えれば、費用は安く、旅先でも心配せずにイースターを楽しむことができます。

出発前にデバイスの安全を確保するチェックリスト

サリバンは、手持ちのデバイスやデータの安全性を確保するため、出発前に以下の3つの簡単な手順を行うよう勧めています。

  1. 暗証番号やパスコードでデバイスをロック 携帯電話の紛失は起こりやすいものです。紛失した携帯電話はすりや泥棒の格好のターゲットとなります。コードを使ってしっかりとロックをかけて、デバイスに保存している個人情報へ他人がアクセスできないようにしましょう。
  2. 不要なファイルの削除 多くのデバイスには、文書やファイルが保存されています。また、気がつかないうちにそうしたデータが保存されることもあります。中には、絶対に共有したくない情報が含まれていることもあります。少しだけ時間をとって古いダウンロードファイルやその他のファイルを削除することで、自分のデータを常に管理することができます。
  3. 出発前にVPN接続を確認 FreedomeのようなVPNをダウンロードし、出発前にしっかり機能するかどうか確認しましょう。出発前に行うことで、すべてが正常に機能しているかを確認できます。そうすることで、公衆Wi-Fiホットスポットでソフトウェアを購入するような状況に陥らずに済みます。

Freedomeの無料トライアル版は、ダウンロードより入手できます。休暇中のセキュリティ対策には欠かせないツールです。現在、Freedomeアプリはモバイル、タブレット、PC用としてApp Store、Google Play、Amazon アプリストア、またはエフセキュアのウェブサイトから入手できます。

*出典:http://www.itsecurityguru.org/2015/01/08/finnish-banks-ddos-attacks-enabled-lizard-squad-supporters/
**出典:http://news.bbc.co.uk/2/hi/europe/6665195.stm

詳細情報:
f-secure.com/freedome

エフセキュア、デジタルフリーダムのための闘いを促進するべく、プライバシー保護への取り組みを拡大

エフセキュアは、同社のFreedomeプライバシー保護アプリの最新バージョンを発売し、デジタルフリーダムのための闘いを新境地へと拡大させています。この最新バージョン「Freedome for Mac」は、バルセロナで開催されるMobile World Congressにおいて、3月1日に事前発表されました。この新しいFreedomeによって、人気のVPN接続がApple OS X搭載のパソコンでも今年の夏可能となります。

インターネットは、指一本動かすだけで利用者に豊富なコンテンツとサービスを提供してくれます。しかし、デジタル監視の最近の傾向によって、利用者はこうした豊かさを楽しめなくなっています。調査会社であるGfKの最近の調査によると、回答者の88%が個人情報のプライバシーに関して懸念しており、48%がそうした懸念から特定のデジタルサービスの利用を控えていると回答しています。

「利用者は、多くのオンライン・サービスにアクセスにするために、ますます多くの個人情報の保護をあきらめざるを得なくなっています」と、エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは述べています。さらに、「利用者は現在、これまで以上にこうしたことを認識しているかもしれません。しかし、オンラインを楽しむためには、プライバシーの保護を絶えず犠牲にせざるを得ないため、利用者の懸念は絶えません」と述べています。

エフセキュアのFreedomeは、ユーザフレンドリーなVPNで、迷惑なデジタル調査からお客様を保護するお手伝いをします。ワンタッチ操作でマルウェアを識別し、承認されていないトラッキングを無効にし、さらにバーチャルロケーションを変更することで、お客様はインターネットでブラウジング中に、お好きなコンテンツへアクセスできるようになります。これによって、お客様はご自身のプライバシーを危険にさらさず、また追跡を避けるためデジタルフットプリントを残さずに、デジタルフリーダムを楽しむことができます。Freedomeは、Android、iOS、WindowsのPCユーザにご利用いただけます。さらに、Freedome for MacはAppleのOS X搭載機器でもご利用いただけます。

サム・コンティネンは、エフセキュア提供の他のプラットフォームにおけるインターフェースが、これまで肯定的に受け入れられてきたことを受けて、この新商品もお客様に気に入っていただけるのではないかと期待しており、「Freedomeは、ワンタッチ操作という簡単な方法で、お客様がオンラインを楽しめるようサポートするツールです。プライバシーに対するお客様の懸念に取り組む洗練されたソリューションであり、今回このFreedomeによる高品質なオンライン体験を、さらに多くのお客様にご提供できることを嬉しく思います」と述べています。

エフセキュアは、オンライン保護を提供する業界のトップであり、その技術は過去4年間AV-TESTのBest Protection賞を受賞しています。Windows PC、iOSおよびAndroid 対応のバージョンが、現在14日間無料の試用版ダウンロードでお試しいただけます。エフセキュアのホームページよりご利用ください。Freedome for Macは、バルセロナで開催されるMobile World Congressにおいて、3月1日のエフセキュアMobileFocus Globalイベントで発表されました。本製品は2015年第2四半期に本格展開される予定です。

詳細情報:
エフセキュア Freedome
エフセキュアブログ あなたのPCで対抗する方法

エフセキュア、Linuxサーバに関するセキュリティレポートを公開

エフセキュアが2014年に実施した調査*では、日本のLinuxサーバ管理者がLinuxを利用する理由として、「コストパフォーマンスの高さ」「安定性」、そして「セキュリティの高さ」をあげていることが判りました。さらにLinuxサーバのセキュリティの不安に関する質問では、「安心」「どちらかというと安心」と回答したサーバ管理者が合わせて82%を占め、Linuxに対しセキュリティ上の信頼感を寄せていることが明らかになりました。

しかしその安心感に依存しているため、Linuxサーバ管理者の4人に1人がサーバのセキュリティ対策を実施していないという実態も浮き彫りになっています。その結果、安心を寄せているはずのLinuxサーバ管理者の7人に1人にあたる14%が、深刻なサイバー攻撃に合っていました。

こうしたLinuxサーバに関する深刻なセキュリティ被害の実態について、エフセキュアは「Linux セキュリティレポート」としてまとめ、公開いたしました。現在、このWebページからダウンロードいただけるようになっております。

なおエフセキュアでは、Linuxサーバ上でのマルウェアのコピーや、ハッカーからのファイルの改竄を防御するための製品「エフセキュア Linux セキュリティ」、およびプロトコルレベルで動作し、マルウェアのアップロードやダウンロードを阻止する「エフセキュア アンチウイルス Linux ゲートウェイ」を提供し、Linuxサーバの企業環境における多層的な安全性の確保に力をいれています。


* エフセキュアは2014年5月、調査パネルを持つインタネーネットリサーチ企業の協力により、企業におけるLinuxサーバのセキュリティ対策の実態について調査を実施しました。Webサーバ等のOSとしてLinuxを利用する企業の管理者の皆様から308件の有効回答をいただきました。

NCR社製ATMのAPIドキュメントが百度(バイドゥ)で公開される

 最近起きた、マレーシアにおけるATM(現金自動預け払い機)の侵害では、いくつかの地元の銀行に大混乱を巻き起こした。報告されたところでは、おおよそ300万マレーシア・リンギット(約100万米ドル)が18台のATMから盗まれた。犯人がどのような方法で犯行を行ったのか詳細な情報はないが、地元のニュースで報じられたことによると、「ulssm.exe」というファイル名のマルウェアを犯人がインストールしたと警察は述べているとのことだ。このマルウェアは侵害されたATMで見つかった。ファイル名からすると、問題のマルウェアはシマンテック社が最初に発見した、「PadPin」として知られているものだと我々は考えている。このマルウェアに関する基本的な技術情報はこちらにある。マレーシアでATMのハッキングに使われたものとPadPinが同一のものであるかについて、我々には確信はない。しかしそれでも、当社にてPadPinのコードの分析を行ったところ、興味深い点が見つかった。

 当社のバックエンドである、サンプル集約システムをくまなく探し、すぐに前述のファイル名に関連するサンプルをいくつか特定した。このサンプルは典型的なWindowsコンピュータでは動作しなかったため、当社のサンプル自動分析システムは、当該サンプルが悪意のあるものと判定しなかった。このサンプルは、ATMやセルフサービス端末などWindows Embedded OSを実行するマシン上にあると思われるDLLライブラリを必要とするのだ。このDLLライブラリはXFS(Extension for Financial Services)と呼ばれる。

Malware import Extension for Financial Services library
画像:マルウェアはXFSライブラリをインポートしている

 コードの調査中、見慣れないAPIファンクション群を発見した。見たところ、上の画像で示したMSXFS.dll経由でインポートされるものだ。残念ながらマイクロソフトはこれらのAPIについて公式なドキュメントを提供しておらず、そのことがマルウェアのコードの理解を難しくしている。マルウェアコードのある部分に出くわすまで、疑問は続いた。前述のAPI群のうちの1つを用いて、ATMの暗証番号入力パッドとの通信チャネルの確立を試みる部分だ。基本的にその目的は、犯人が暗証番号入力パッドに入力したキーをリッスンし待機することだ。これは、シマンテックの記事で述べられている別のタスクを実行するためのものだ。言い換えると、マルウェアがサポートするコマンドは、暗証番号入力パッドで入力できるキーに限られる。たとえば、犯人が暗証番号入力パッドで「0」と入力すると、ATM自動機から現金の払い出しを始める。コードを分析しながら、我々は不思議に思い始めていた。暗証番号入力パッドのサービス名として何をAPIに提示すれば、プログラムが暗証番号入力パッドと通信できるようになるのか、マルウェアの作者はどうやって知ったのだろうか。これはもっともな疑問である。コード内で使われているサービス名は非常に独特なもので、マニュアル無しにサービス名を特定できることは、まったくもってありそうにない。

 そこで我々は、API名とサービス名を用いて、APIのマニュアルがないかWebで検索を行った。その結果は?百度に設置された専用の電子書籍のWebサイトにて、容易にマニュアルが見つかった。NCR社のプログラマ用のリファレンス・マニュアルのようだ。

WOSA/XFS Programer's Reference Manual

 マニュアル全体をざっと読んで、ATMとの通信を行うソフトウェアをどのようにプログラミングするかについて予備知識がない人にとっても、ATM自動機とやり取りをするプログラムを書くことは、お手軽になったと結論付けた。このドキュメントは、その上プログラマにコードのサンプルを提示するほど親切である。我々は偶然、次のことにも気付いた。マレーシアの銀行のATM自動機を標的にする件のマルウェアが、Windowsのスタートアップフォルダから「AptraDebug.lnk」というショートカットファイルを削除しようと試みている。それと同様に、感染したマシン上のローンチポイントのレジストリキー「AptraDebug」もだ。その目的はおそらく、マシン上で実行中のデフォルトのATMソフトウェアを無効化し、マシンが再起動する際にそれをマルウェアで置き換えることだ。このファイルとレジストリキーは、NCR APTRA XFSソフトウェアを参照しているように見受けられる。そのため当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

 結論として、PadPinの作者ではない何者かがこのドキュメントを漏えい、アップロードした可能性がある。そして、銀行の従業員で経験豊かなプログラマがこのマルウェアを書いたという説を排除してはならない。

 ドキュメントがインターネット上でいったん入手可能となったら、誰かがそれを閲覧したりダウンロードしたりするのを止めることは、現実的には不可能だ。しかし、こうした侵害が再び起こることを避けるために銀行が採用できる対策がある。USBやCD-ROMから直接ファイルを実行しないようにATM自動機を守ることは、もっとも単純な対応方法の1つだ。

Post by — Wayne

Apple Watchが恐らくマルウェアに感染しない理由

アップルが最新のiPhoneのモデルと、待ち望まれていたウェアラブル技術の新製品を発表しました。Apple Watchです。

TechRadar誌はクパチーノ発の最新のイノベーションを「iPhoneと併せて楽しめるiOS8フレンドリーな時計」と評してします。

最新のエフセキュア・ラボによる「脅威レポート」はiOSのマルウェアに関するひとつの大きな誤解を払拭しています。存在するのです、極めて稀ではありますが。

Screen Shot 2014-09-09 at 4.43.06 PM

2014年の上半期に、295に及ぶモバイルのマルウェアの新しいファミリーや亜種が発見されました。294はAndroid、そしてひとつはiOSを狙ったものです。iPhoneユーザーはフィッシング詐欺やWi-Fi乗っ取りの被害に会う可能性があり、そのためにエフセキュアはFreeDome VPNを開発しましたが、iOSデバイス上の悪意あるアプリの脅威はほとんど存在しません。

「Androidと異なり、iOSでのマルウェアは現在のところ’脱獄’したデバイスに対してのみ有効であり、様々なハッカーによって作成された’脱獄’ツールは(そしてそれらは通常プラットフォーム上の未公開のバグによって作動します)、セキュリティ研究者の関心を引くところになっています」とレポートは解説しています。

Unflod Baby Pandaと呼ばれるiOSの脅威は今年初めに発見されました。これはデバイスのApple IDとパスワードの詳細を詐取するために、SSL接続を盗聴します。Apple IDとパスワードは最近ニュースで取り上げられているように、著名人のiCloudのアカウントを乗っ取る一連の作業の中で一部の役割を担っており、多くのプライベートな写真が公開されてしまう事件に繋がりました。

弊社のミッコ・ヒッポネンは最新のウェビナーにて次のように説明しています。「多くのユーザーは何年もの間これらのアカウントを使用し続けており、それは主にiTunesストアから買い物をするためですが、どれだけのデータが実際に保護されているのか気づいていません。」

しかしUnflod Baby Pandaは著名人のハッキングにはほとんど役割を果たしていません。デバイスの’脱獄’は極めて稀だからです。iOS App Storeの「クローズな空間」の手法による保護がハッキングを防いでいることを認識しているユーザーはほとんどいません。その手法はプラットフォームからマルウェアを排除することに成功しており、特にオープンなAndroidの世界と比較すると顕著です。悪意のあるアプリやアドウェア、スパムウェアが公式のPlayストアに潜入することもありました。一方iOS App Storeではほとんどありません。しかしAndroidの脅威の大多数は非公式のマーケットから感染するため、エフセキュア・ラボは非公式のマーケットを避けるよう勧めています。

iPhoneユーザーの大多数はマルウェアについて心配する必要はありませんでした。そしてApple Watchがアプリに対して厳重な制限をかけるのであれば、デバイスはセキュリティの心配は無用でしょう。
しかしスマートフォンに匹敵する能力をもつWatchを丸一日ほぼ24時間、体に装着するのであれば、従来考慮されていなかったプライバシーに関する問題を引き起こす可能性があります。

>>原文へのリンク

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

GameOver ZeuSが盗んだお金はいくら?

 FBIによる指名手配:Evgeniy Mikhailovich Bogachev。別名「slavik」。

Tovar, Bogachev


 ついに…顔と本名に、悪名高い偽名が結びついた。

 昨日FBIは、よく知られたバンキング型トロイの木馬GOZ(GameOver ZeuS)の運用者に対する、複数の国家による取り組みの成果を公表した

 我々はこれを待っていた。

Tovar, technical assistance provided by

 詳細はGameOver Zeus Botnet Disrupted(GameOver Zeusのボットネットが遮断される)にある。

 本日、我々は(はやる気持ちで)関連ドキュメントを読んだ。そして、GOZがらみの損害額は非常に衝撃的であった。

 以下はGOZの被害者の例だ。

Tovar, GOZ victims

 フロリダの銀行1行で「700万ドル」?えっ。

 また以下は、CryptoLocker(GOZによってドロップされるランサムウェア)の被害者の例だ。

Tovar, CryptoLocker victims

 フロリダのあるレストランでは、レシピが暗号化された?

 それこそ「秘密のソース」だ!

 3万ドルの損害とは、こうしたビジネスにとっては実に大きなコストだ。

 FBIからのこちらの画像によると、2013年9〜12月の間にCryptoLockerは3千万ドルの支払いを得た。

FBI, CryptoLocker Malware

 ではGOZについて挙げると…、これはピアツーピアのボットネットで、「テイクダウン」に対する耐性が高い。警察組織の活動により、現在のところ重要なC&Cインフラはブロックされているが、slavikが副次的な経路を通じて所有権を取り戻すのは時間の問題に過ぎないかもしれない。この間にも、取り戻す努力が行われている。GOZに関係するIPアドレス群は、除去ツールへと向けられている。

 当社の(無料の)オンライン スキャナはUS-CERTのアラート(TA14-150A)に挙げられている。

 当社のメトリックスによれば、実行されたスキャンの数はすでにかなり増加している。

 噂が広まり、運が良ければ、GameOverボットネットは崩壊する。

ProTip:Appleを使う?パスコードを有効に!

 本日、Appleの興味深いセキュリティニュースが報じられた。どうやら一部のApple機器が、Appleの「iPhoneを探す」機能を通じて乗っ取られてきたようだ。どうやって?脆弱なパスワードを持つiCloudアカウントなど、防御が甘いiCloudアカウントが使われた模様だ。

 iCloudにアクセスした時点で、「iPhoneを探す」の「紛失モード」へアクセスできるようになる。これはその機器をロックし、「見つけて下さったらお礼します。次の番号にお電話を」といったメッセージを送信するために使うことができる。

iCloud, Lost Mode

 あるいは、ゆすりを企てることも可能だ。

 以下は同僚のドイツ人が所有するiPhoneでの例だ。

Find My iPhone

 前述のリンク先によれば、「Oleg Pliss」がPayPalアカウントへの送金を要求している。iPhoneユーザがパスコードを設定していれば、デバイスのロックを解除できる。もし設定していなければ…、問題が生じることになる。

 なお、「iPhoneを探す」機能に「消去」オプションがあることは、お伝えする価値があるだろう。ゆすり以外に、あなたのiPhoneが焼かれる可能性もあるのだ。そしてiCloudがコンタクトやカレンダーへのアクセスを提供していることも忘れてはならない。

 つまり…パスコードの有効化に加えて、あなたのApple/iCloud/iTunesアカウントに強力かつユニークなパスワードを使用する必要がある。もちろん、アプリを購入する際に入力することは煩わしいだろう。しかし、これは払う必要のある対価なのだ。

 あるいは、iCloudの機能を無効にするとよい。

 「Identify the critical accounts to protect, and then make sure the passwords for those accounts are unique and strong.(保護すべき重要なアカウントを特定し、次にこうしたアカウントのパスワードがユニークで強力であることを確認する)」

 To Doリスト:

 1)パスコードを有効に!(必ずしも直ちに求められるわけではない)
 2)自身のApple/iCloud/iTunesのパスワードをリセットする

 オプション(ただし強くお勧めする):

 3) パスワードマネージャを入手する

OpenSSLにおける ’HeartBleed’脆弱性のエフセキュア製品への影響

HeartBleedは、OpenSSLの暗号化ライブラリにおける重大なセキュリティの脆弱性 (CVE-2014-0160)です。このライブラリは、オンラインのサイトやWebベースのサービスで安全な通信を提供するために広く使用されています。この脆弱性は、攻撃者が痕跡を残すことなくサーバのメモリから情報を読むことを潜在的に許容します。つまり、Webサーバの秘密鍵情報やユーザパスワードのような非常に機密性の高い情報が、攻撃者によりコピーされた可能性があります。

エフセキュア製品の中にも、当該セキュリティ勧告の影響を受ける製品・サービスが存在します。

当該セキュリティ勧告は、以下のURLで追加情報のアップデートを行います。

http://www.f-secure.com/ja/web/business_jp/support/support-news/view/story/1450043


リスクファクター:  重大  (低/中/高/重大)


影響を受ける製品とバージョン:
  • エフセキュアMicrosoft Exchange & XenAppセキュリティ 10.00 – 11.00
  • エフセキュア Windowsサーバ セキュリティ10.00-11.00
  • エフセキュア プロテクションサービスビジネス サーバ10.00
  • エフセキュア プロテクションサービスビジネス メールサーバ10.00

影響を受けるプラットフォーム:  上記製品がサポートする全てのプラットフォーム

<<<2014年4月14日追加>>>

1) 2014年04月14日19:00現在、以下の製品に Hotfix 1 がリリースされています。各製品のダウンロードの Hotfixes の項目を参照ください。 上記の対応における記事にも Hotfix のリンクや適用方法が記載されていますので、合わせてご参照ください。
  •  サーバセキュリティ、および、メールとサーバセキュリティ 10.x - 11

        - F-Secure サーバセキュリティ 11.0 Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135
        - F-Secure サーバセキュリティ 10.xx Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135/10.x
        - F-Secure メールとサーバセキュリティ 11.0 Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134
        - F-Secure メールとサーバセキュリティ 10.xx Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134/10.x

 

2) 2014年04月14日19:00現在、以下の製品で MultiFix がチャネル配信済です。

  • PSB サーバセキュリティ、および、PSB Emailサーバセキュリティ 10.00
   「自動更新」→「ダウンロード」において、"PSB ESS 10.00 MF01" (PSB ESSの例)が表示されていれば適用済です。

<<<ここまで>>>

注意:  以下の製品は影響を受けません。
  • エフセキュア クライアント セキュリティ
  • エフセキュア アンチウイルス ワークステーション
  • エフセキュア Linuxセキュリティ
  • エフセキュア アンチウイルス Linuxゲートウェイ
  • エフセキュア ポリシーマネージャ
  • エフセキュア プロテクションサービス ビジネス ワークステーション
  • エフセキュア プロテクションサービス ビジネス 管理ポータル
  • エフセキュア プロテクションサービス ビジネス Linux

---【お問い合わせ】-----------------------------------------------------

エフセキュア株式会社

■ 本件に関する技術的なお問い合わせ窓口
TEL.045-440-6620
E-mail:anti-virus-japan@f-secure.co.jp
  
■ 申請等に関するお問い合わせ窓口
TEL.03-5545-8940
E-mail:japan@f-secure.co.jp
  
□ 製品一般情報URL   
http://www.f-secure.com/ja_JP/products/business/
  
□ 製品サポート情報URL
http://www.f-secure.com/ja_JP/support/business/

ダークウェブに潜む隠しサービスって!?


最近、ダークウェブ(匿名化技術などを利用したウェブサイト)の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

(1)マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

OnionWallet


(2)ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

Pokerle


(3)武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

ARMORY

(4)偽造関係
SuperDollars ?? なんでしょうか、これは??

superusd


(5)AXXXXXXX
ノーコメントで。

hidden_service3



ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか??法執行機関へ提供とかでしょうか??

darkweb incident


このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

アイシスを使ってファイルスラックに痕跡を残せるか

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。

Flappy Birdに関してインターネット安全デーの公共サービス情報

 面白くて奇妙な現象だった「Flappy Bird」として知られるアプリが、その作者Dong Nguyen氏によってアプリケーションストアから削除された

 しかし、Google Playから削除しても、一部の熱心なAndroidファンにとっては何ら支障はない。今のところは、「flappy bird apk」で検索すると正規アプリのコピーへのリンクが複数得られる。

Flappy Bird

 今はそれで良いことにするが…、望まぬスパイウェアが付属した偽のコピーが、やがて混じることがまじまじと予期される。

 したがって公共のサービスのために、インターネット安全デー(Safer Internet Day、SID)の精神において、以下の情報を提供する。

 Flappy Bird v1.3 SHA1:9f472383aa7335af4e963635d496d606cea56622
 当社のバックエンドシステムへの初登場日時:2014-01-31 02:05:50

 コピーの代用品が該当する!または、もっと良いのは、評判のアプリケーションストアから離れずにおいて、WebからAPKをダウンロードしないことだ。

FISAの透明性

 2月3日、FacebookGoogleLinkedInMicrosoft(Skypeを含む)、Yahooの各社は、米国政府によってなされたFISA(Foreign Intelligence Surveillance Act、外国情報監視法)の要請についてサマリーを発表した。

US DOJ's FISA reporting

 司法副長James M. Cole氏は次のように述べている。

 「ここ1か月間の各社との議論に従い、この書簡にて新規かつ追加的な方法を提出する。その方法にて、各社が顧客情報の要請に関するデータをレポートすることを政府は許可する。我々は本日のFISC(Foreign Intelligence Surveillance Court、外国情報活動監視裁判所)による通知に関連して本書簡を送付している。」[ソース]

 「許可」した件数は1000件単位となるように厳しく制限されている。または裁判所によるFISAの要請と同時にNSL(National Security Letter、国家安全保障書簡)が組み合わされていれば250件になる。

 おっと、「新たな能力」については2年間何も報告できない。

US DOJ, FISA, New Capability Order

 これは結構大きな抜け道じゃないか?

 関連する全企業は、もっと発言したいと主張している。Googleは同社のサマリーで次のように述べている。「特に、当社が受け取った要請の正確な件数と種別について、また同様に影響を受けたユーザの数について、迅速な方法で公表したい。」

 ここにおもしろい思考実験がある。

 もし欧州各国が透明性レポート法を可決し、Googleが許可を求めると言っているものを要求した場合に、何が起こると思う?

Targetの侵害で「メタデータ」は漏えいしたか?

 数週間前にBrian Krebs氏が報じて以来、Target(米国の大手スーパー)のデータ侵害が継続的に大きなニュースになっている。

 そして当社のアナリストは関連するマルウェアのサンプルを調査した。非常に興味深いのだが、1つ知りたいことがある。もしあなたが妊娠していることをTargetが知っていたとしたら、それは今やハッカーも知るところなのだろうか?

 さかのぼること2012年2月、New York Times紙はCharles Duhigg氏による自著The Power of Habit(邦題、習慣の力)に基づく記事を掲載した。この記事の中で明らかになった、より興味深い物事のうちの1つは、Targetが非常に積極的に顧客の習慣のパターンを分析している点だ。

life events.

pregnancy prediction score

 言い換えると、Targetは大量のメタデータと顧客分析情報を生成している。

 またBloomberg,によれば、過去数年間に基本情報を提供した顧客が、今回のデータ窃盗の影響を受ける可能性があるとTargetが述べているとのことだ。提供?

 信用情報のために登録時に書き込んだようなデータのこと?あるいは、買い物のパターンをもとに学習したデータも「提供」に含まれる?今回の氏名や自宅住所を含む7千万件の記録の侵害は、販売用のマルウェアという観点よりもずっと深刻な情報漏えいを暗示している。

 我々はここ半年間にメタデータの価値をじっくりと学習した。

 漏えいしたクレジットカード番号については忘れてよい。Targetの分析は、アイデンティティの窃盗の金鉱となり得る。
 
Post by — @Sean

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード