エフセキュアブログ

PDF を含む記事

ZeroAccess:もっとも儲けの多いボットネット

 今年3月、シマンテック社のセキュリティレスポンスチームの研究者たちは、世界最大のボットネットの1つZeroAcessを「シンクホール化」(分解)することができる可能性がある方法について、調査を開始した。しかしその後…、6月下旬にこのボットネットが自身の更新を開始し、研究者たちがうまく利用する望みを持っていた欠陥を排除してしまった。多少か、あるいは無しかの選択に迫られ、チームは可能なものをシンクホール化するために行動した。そして、50万を超えるボットが対象となった。

 なんと称賛すべき尽力だろうか!

 Ross Gibb氏およびVikram Thakur氏は、学んだ教訓について、今年のVirus Bulletinにて論文を発表する。

 残念ながら、ZeroAcessの大部分はいまだ我々と共にあるが…。

 さらに詳細を知りたい場合には、 このレポートをダウンロードしてほしい。当社の2012年下半期の脅威レポートからの抜粋だ。

ZeroAccess

BlackHat 2013 - セキュリティカメラのハッキング

今年もBlackHatに行って参りました。今回は、前職のeEye時代に住んでいたカリフォルニアのオレンジカウンティから車でラスベガスまで移動しました。オレンジカウンティに居た頃は友人と何度かラスベガスまで車に遊びに行きましたが、道中は相変わらずの風景でとても懐かしかったです。

BlackHatは年々規模が拡大傾向にあり、今年も去年に増して参加人数が増えていました。これ自体は大変喜ばしい事なのですが、反面、参加人数が増えたため交流がやや大変だという声もちらほら聞かれました。時代と共にカンファレンスのスタイルも変わってきますので、それに合わせて参加者の方も意識を変えていく必要があるのかもしれません。

今回もさまざまなトピックで研究成果が報告されていました。今回私からは一つだけ、「Exploiting Surveillance Cameras - Like a Hollywood Hacker」と題された発表を簡単にご紹介します。なお、FFRIではBlackHatのペーパーサーベイも行っていますので、いくつかその内容が近くWebで公開されるかもしれません。成果などはFacebookで随時アナウンス致しますので、もしよろしければ、FFRIのFacebookページも今後チェック頂ければと思います(https://www.facebook.com/FFRI.1440)

本発表では、複数のネットワーク対応セキュリティカメラを調査した結果が報告されています。脆弱性を悪用する事で、外部からカメラを自由自在に制御したり、あるいは、映像の不正閲覧や映像の差し替えなどが可能になるというものです。副題にもあるとおり、まさに"Like a Hollywood Hacker"です。

資料はこちらから入手できます。

基本的に、脆弱性は非常に古典的かつ簡単に攻略できるものばかりであり、また、Googleやshodan等で直接インターネットに接続しているものの一部は簡単に検索できてしまうようです。発表者は、製品ベンダーが公開しているアップデート用のファームウェアを解析して調査を行ったそうです。

攻略例では、カメラに実装されているWebサーバ上で動作するCGIのバッファオーバーフロー脆弱性や、あるいは、ハードコードされているバックドアアカウントを攻略する、といったものが紹介されています。また、それら脆弱性を攻略し、ストリーミング配信を実現しているデーモンを停止して「最後に映った映像」を流し続け、物理的な人の侵入を分からなくさせてしまうといった例も紹介されています。

今回発表された脆弱性は非常に古典的なものですので、簡単なトレーニングや簡単な検査で製品出荷前に対策できる可能性は十分にあると思います。IPAでも、製品出荷前に機械的に脆弱性をみつけるための手法としてファジングが紹介(http://www.ipa.go.jp/security/vuln/fuzzing.html)されていますので、組み込み機器などを開発されている方は是非一度確認頂ければと思います。

「MiniDuke」型の脅威を阻止するため、エクスプロイトのインターセプトを用いる

 MiniDukeは巧妙にコーディングされたAdobe PDFのエクスプロイトで、遡ること2月にニュースになった 。これはヨーロッパのいくつかの国の政府を狙うために使用された。

 現在、エクスプロイトの阻止は、防御においてかつてないほど重要なレイヤとなっている。そしてそれこそが、Timo Hirvonenのようなエフセキュアラボのアナリストが、エクスプロイトに関するエキスパートになった理由だ。そのため(Jose Perezといった開発者も絡むが)当社の技術力は上がった。

 以下のスクリーンショットは、当社の最新のビヘイビア検出技術DeepGuard™における、MiniDukeに対する反応だ。

Miniduke vs F-Secure Internet Security 2014

 ブロックされた。シグニチャベースのスキャンも、バックエンドのヒューリスティックも使わずに、プロアクティブに。

 すばらしい。

 エクスプロイトのインターセプトは、我々の主な目的の1つだ。なぜなら、エクスプロイトは攻撃プラットフォームの最前にあるからだ。

 当社の技術についての詳細情報や、ボットZeroAccessのケーススタディは、ホワイトペーパーに掲載されている…。

 F-Secure DeepGuard: Proactive on-host protection against new and emerging threats(新たに出現した脅威に対し、プロアクティブにホスト上で保護)

DeepGuard, Behavioral Protection, Exploit Interception

Blaster - 3654日後

 昨日はBlasterの10周年だった。読者の皆さんは2003年8月11日に自分がどこにいたのか覚えているだろうか?

 ミッコは覚えている(そして、関連するプレスリリースを今でも持っている)。

World's First RPC Worm

 感染したコンピュータを絶えずリブートし続けるBlasterのせいで、いくつかの銀行や航空会社を含め多数の企業が、深刻な混乱に陥った。現在このような難事を招くことを想像できるだろうか?

 Vanity Fair誌の2004年1月頃の記事The Code Warriorでは、この話題について非常に愉快な長い読み物を提供している。

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

ダウンロード:2013年第1四半期のモバイル脅威レポート

 当社の2013年第1四半期のモバイル脅威レポートが公開された。

Mobile Threat Count, Q1 2013

 これまでのレポートもすべてf-secure.comの「Labs」カテゴリからダウンロードできる。


マレーシアにおけるネット上での選挙活動

 マレーシアの今年の総選挙は、2013年5月5日の日曜日に予定されている。投票日に向け、同国の政党が選挙期間の最後にギアをトップに入れているので、現在、SNSサイトを含む全報道機関から政治ニュースが押し寄せてきている。

 報道機関の関心の高さが、マルウェア作者に対し、確立済みのソーシャルエンジニアリング技術を用いて新たな犠牲者を生み出す機会を提供することになる。そして今週、Citizen Labから報告書が発表された。案の定、監視マルウェアFinFisher(別名FinSpy)を洗練させたサンプルが、今回の選挙に特化して作成されたWordドキュメントにて検出されたことが示されている。

 このマルウェアは、「SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc(「州による第13回総選挙の候補者一覧」の意)という名前のマレー語のMicrosoft Wordドキュメントに仕掛けられ、配布された。

SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc

 報告書では、この攻撃ドキュメントは、同国の歴史の中で一番の接戦となっている選挙に関連した情報を探しているマレーシア人を標的にしている、と推測している。エフセキュアは問題のWordドキュメントをTrojan:W32/FinSpy.D.として検出する。

 FinfisherはGamma Groupという名前のヨーロッパ企業が開発した。過去の投稿で触れたとおり、この企業はマレーシアのクアラルンプールにて開催されたISS World 2011の集まりに参加した。このISS(Intelligence Support Systems)関連イベントは監視ソフトウェアの見本市の役割を果たす(参加には「招待」が必要で、「通信会社、政府、法執行機関」に属している人に限られる)。

ISS World Kuala Lumpur

 加えて、YouTube、Facebook、Malaysiakin(マレーシアの人気ニュースサイト)を含む複数のニュースサイトやSNSサイトが、改変、DoS攻撃、フィルタリングといったさまざまな形態の攻撃を受けてきた、と主張する報告が出てきている。

 エフセキュアラボでは状況を注視している。2013年4月の間、マレーシアではマルウェアの検出件数の増加を見た。しかしながら、この増加が選挙関連の活動なのか、別のものなのかは判別できていない。

Malaysia, detections

The Fog of Cyber Defence

The Fog of Cyber Defence

 フィンランド国防大学はThe Fog of Cyber Defence(サイバー防衛の混乱)というタイトルの、250ページに渡る本を発行した。この本では北欧の観点から、サイバー戦争や、サイバー軍拡競争、サイバー防衛について論じている。

 同書には20人の著者がいる。

Insights into Cyberspace, Cyber Security, and Cyberwar in the Nordic Countries(北欧諸国におけるサイバー空間、サイバーセキュリティ、サイバー戦争の実態) - (Jari Rantapelkonen & Harry Kantola)
Sovereignty in the Cyber Domain(サイバー空間の主権) - (Topi Tuukkanen)
Cyberspace, the Role of State, and Goal of Digital Finland(サイバー空間、国家の役割、Digital Finlandの目的(訳注:Digital Finlandとは、デジタル化を推進するフィンランドの社会の将来の見通しについて、同国運輸通産省がまとめた報告書)) - (Jari Rantapelkonen & Saara Jantunen)
Exercising Power in Social Media(ソーシャルメディアでの権力の行使) - (Margarita Jaitner)
Victory in Exceptional War: The Estonian Main Narrative of the Cyber Attacks in 2007(通常とは異なる戦争における勝利:2007年のサイバー攻撃についてのエストニアの主要な物語) - (Kari Alenius)
The Origins and the Future of Cyber Security in the Finnish Defence Forces(フィンランド国防軍のサイバーセキュリティの起源と未来) - (Anssi Karkkainen)
Norwegian Cyber Security: How to Build a Resilient Cyber Society in a Small Nation(ノルウェーのサイバーセキュリティ:回復力のあるサイバー社会を小国でどのように構築するか) - (Kristin Hemmer Morkestol)
Cyber Security in Sweden from the Past to the Future(スウェーデンのサイバーセキュリティの過去と未来) - (Roland Heickero)
A Rugged Nation(ラギッドな国家) - (Simo Huopio)
Contaminated Rather than Classified: CIS Design Principles to Support Cyber Incident Response Collaboration(機密より混成:サイバーインシデント対応の協力をサポートするためのCIS(Communications and Information Systems)の設計原則) - (Erka Koivunen)
Cyberwar: Another Revolution in Military Affairs?(サイバー戦争:軍事におけるもうひとつの革命か?) - (Tero Palokangas)
What Can We Say About Cyberwar Based on Cybernetics?(人工頭脳学に基づきサイバー戦争について言えること) - (Sakari Ahvenainen)
The Emperor's Digital Clothes: Cyberwar and the Application of Classical Theories of War(裸の王様のデジタル化された服:戦争の古典理論に基づくサイバー戦争とアプリケーション) - (Jan Hanska)
Theoretical Offensive Cyber Militia Models(攻撃的なサイバー市民軍の理論的モデル) - (Rain Ottis)
Offensive Cyber Capabilities are Needed Because of Deterrence(抑止力のためにサイバー攻撃能力は必要) - (Jarno Limnell)
Threats Concerning the Usability of Satellite Communications in Cyberwarfare Environment(サイバー戦争下での衛星通信の利用に関する脅威) - (Jouko Vankka & Tapio Saarelainen)
The Care and Maintenance of Cyberweapons(サイバー兵器の整備と保守) - (Timo Kiravuo & Mikko Sarela)
The Exploit Marketplace(エクスプロイト市場) - (ミッコ・ヒッポネン)

 The Fog of Cyber Defencehttp://urn.fi/URN:ISBN:978-951-25-2431-0からPDFでダウンロードできる。

OS MAX:Flashback

 1年前、Macを狙ったFlashbackというマルウェアに対抗するため、Apple社はソフトウェアアップデートをリリースした。

 そこで疑問だ。FlashbackなるOS Xのワームを書いたのは誰なのか?

 今日、調査好きの非凡なセキュリティブロガーBrian Krebsが、その答えを得た。モルドヴィア共和国サランスクのMaxim Selihanovichだ。

Krebs on Security, Who Wrote the Flashback OS X Worm?

 全文はKrebs on Securityで読める。

 Krebsが参照した「keenly detailed research paper(綿密な研究論文)」のスクリーンショットを以下に挙げる。

Flashback OS X Malware

 ブロデリックの論文(PDF)とスライド(PDF)はダウンロードすることができる。この論文はVB2012にて最初に発表された。

 追記Virus Bulletinの親切な方に、カンファレンスの動画を公開しているか尋ねた。そして今、公開された。

 以下がブロデリックのVB2012のプレゼンテーションだ。厚意によりVBの真新しいYouTubeチャンネルで提供されている。



 Martijn!さん、ありがとう!







マルウェアの爆発的蔓延に対し、ISPの対処にどれほどの違いが?

 当社は数多くISP運営組織と連携している。昨年、マルウェアDNSChangerを沈静化させる際に、我々はいくつかの大手運営組織を支援した。

 ジョージア工科大学の研究者によって最近行われたおもしろい研究がある。この研究者たちは、DNSChangerに対するISPの対応の差と、その顛末の違いを比較した。

Georgia Tech DNSChanger

 研究者たちが到達した結論についてのプレゼンテーションは、ここからダウンロードできる。

 この研究は、サンフランシスコで行われたM3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)の第27回General Meetingにて最初に発表された。







韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

アップルのセキュリティ:“安全な”ファイル

 アップルのOS Xアップデート10.8.3でパッチが当てられたのは任意のコードを実行しうるものだが、Macのブラウザで使用している“安全な”ファイルの種類のリストに関するものもある。ImageIO(画像)、IOAcceleratorFamily(画像)、PDFKit(PDF)、QuickTime(動画)が該当する。

OpenSafeFileAfterDownloading

 「Open "safe" files after downloading(ダウンロード後、“安全な”ファイルを開く)」のチェックボックスがデフォルトでオンになっている…。

 このチェックボックスのチェックを外すことを考慮してもいいだろう。







RSA Conference:ランサムウェアと、ボットネットの軽減

 RSA ConferenceのUSA 2013が今週開催されている。

 水曜日、当社のAntti TikkanenPaolo Palumboが「Ransomware Attacks!」という題目で講演を行った。

RSA HTA-W23, Ransomware Attacks!
 スライド(PDF)はここからダウンロードできる。

 以下は、ZeroAccessボットネットの図だ。

ZeroAccess

 ユニークな20万個のボットをマップするKMLファイルからスクリーンショットを取ったものだ(これでもZaroAccessの一部に過ぎない)。

 そして、これがミッコのRSAカンファレンスでの講演「New Ways of Mitigating Botnets」につながる。

RSA BR-R33, New Ways of Mitigating Botnets
 スライド(PDF)はここからダウンロードできる。

 以下は、講演の準備をするために「ボット」と戦うミッコの写真だ。

Mikko playing Space Invaders







もっとも手が届きやすい果実:Java

 コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。

2004〜2008年:WindowsからOfficeへ攻撃がシフト

2004年8月 — Windows XP Service Pack 2がリリース

2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス

2005年6月 — Microsoft Updateの初回リリース

結果:Windows UpdateからMicrosoft Updateに置き換わって以降、時間と共に世の中のMicrosoft Officeの脆弱性が減った

2008〜2010年:攻撃の焦点が徐々にAdobeへ

2009年2月 — Adobe Reader has become the new IE(Adobe Readerが新たなIEになる)

From my point of view, Adobe Reader has become the new IE. For security reasons, avoid it if you can.

2009年3月 — Adobeが四半期ごとのアップデート・スケジュールを開始。「Patch Tuesday(訳注:Microsoftの定例アップデート)」と同日に入手できるようになる

  •  ASSET Blog:Adobe Reader and Acrobat Security Initiative

2009年4月 — OracleがSunを買収、Javaのオーナーに

2010年3月 — PDFベースの標的型攻撃が増加

Targeted Attacks

  •  Computerworld:Hackers love to exploit PDF bugs, says researcher

 Adobeはこのデータに驚いてはいなかった。「数多くの当社製品が相対的にユビキタスでプラットフォ―ム共通であることから、Adobeは攻撃者から注目を集めており、今後もさらに集め続けていくことになりそうだ。」

Given the relative ubiquity and cross-platform reach of many of our products…

2010年7月 — AdobeがMicrosoftのMAPPプログラムに参加

  •  ASSET Blog:Working Together: Adobe Vulnerability Info Sharing via Microsoft Active Protections Program (MAPP)

結果:Adobeがチーム・プレイヤーとなり、その成果を得た。

2010〜2013年:Javaが(複数のOSにおいて)もっとも手が届きやすい果実という称号に名乗りを上げる

2012年4月 — Adobeが「四半期ごとのアップデート」を終了し、必要に応じて毎月行うことに。マイクロソフトのアップデート・スケジュールに依然沿っている

  •  ASSET Blog:Background on Security Bulletin APSB12-08

2012年8月 — Javaランタイム環境 = 常に脆弱なマシン

2013年1月 — ZDNetのレポーターEd Bott氏が、Javaをフォイストウェアの新たな王だと断言

  •  ZDNet:A close look at how Oracle installs deceptive software with Java updates

2013年2月 — 多数の企業がJavaを原因とするセキュリティ上の欠陥を認める

  •  The Verge:After so many hacks, why won't Java just go away?

結果:ブラウザのJavaプラグインは公衆の敵ナンバーワンだと見なされる

 しかし待てよ。ブラウザのJavaプラグインを無効にするだけで十分だろうか?

2011年3月 — Spotify Freeのユーザが、悪意のある広告経由で攻撃される。少なくとも1つの攻撃で、Javaエクスプロイトが用いられる

  •  SC Magazine:Spotify in malvertising scare

 Javaを起動できるのは「ブラウザ」だけではないようだ。

2013〜201X年:Oracleが進化するか、JREが次第に重要でなくなる

 Oracleは1、4、7、10月の17日にもっとも近い火曜日にクリティカル・パッチ・アップデートをリリースしている。「Patch Tuesday」とは別の(遅い)日にこうしたアップデートをリリースすることで、今のところOracleは、IT部門に対し、パッチ・メンテナンスの評価や試験ミーティングの予定をさらに別に設定することを強いている。

 本当に何かを変えなければならない。

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。

21世紀の銀行強盗のやりかた

サイバー犯罪者はいかにして銀行口座からお金を盗むのか、これを説明するために使える便利なハウツーガイドを紹介する。

 たった5つの簡単なステップですべて完了する。

How to Rob a Bank in the 21st Century

 PDF版(4.20MB)はここからダウンロードできる。

活動中の第3四半期モバイル脅威

  エフセキュアの「2012年第3四半期モバイル脅威レポート」は、我々が第3四半期中、51,000サンプル以上のAndroidマルウェアを発見したことを示している。

Android Samples Q3, 2012

  そして、それらのうちどのくらいがGoogle Playで発見されたかを尋ねられる。

  以下が内訳だ:28,398の悪意のあるサンプルがあり、146はGoogle Playからのもの、そして23,049の怪しいプログラム(PUA)サンプルがあり、13,639がGoogle Playから来たものだった。

注記:サンプルは必ずしも脅威に等しい訳ではない。我々の発見に基づけば、イン・ザ・ワイルドな「ファミリー」の数は、実際、2011年第3四半期と比較して下回る。

Q3MTR chart

  Androidエコシステムは、多くの「起業家たち」で忙しくなっているが、まだMicrosoft Windowsのように日常化されたエコシステムとはほど遠い。

Q3 2012モバイル脅威報告を公開!

  2012年の第3四半期を通じて見つかったモバイル脅威をカバーする、エフセキュアのモバイル脅威報告を公開した。既存のファミリーの新しいファミリーと亜種が67種発見され、以前は平穏だった一部のプラットフォーム(たとえばiOS、Windows Mobile)が、現在、マルチプラットフォームFinSpyトロイの木馬のために、平和を乱されている。

Q3MTR chart

  詳細については、完全な報告書にある。コピーはここ[PDF]からダウンロードできる。

Q3MTR cover

国連がテロ目的でのインターネット使用に言及

  テクノロジーは、テロ組織やその支援者たちが、リクルートや資金調達、プロパガンダ、トレーニング、テロ行為の扇動など、広範な目的でインターネットを使用するケースを増大させている、戦略的要素の一つだ。インターネットの多くの利点は自明だが、他方でテロ組織内のコミュニケーションや情報伝達、物質的な支援、計画されたテロ活動などを容易する可能性があり、これらの犯罪を効果的に捜査するには、特定の技術的知識が必要となる。

  国際連合薬物犯罪事務所が、このトピックに関する150ページのドキュメントを公開した:テロ目的でのインターネット使用

UNITED NATIONS OFFICE ON DRUGS AND CRIME - THE USE OF THE INTERNET FOR TERRORIST PURPOSES

  その内容がサイバー犯罪やハクティビズム、著作権侵害などの議論を扱うのではなく、実際に本物のテロリスト、過激派グループ、そのオンラインでの活動にフォーカスしているのはうれしいことだ。

  しかし、若干期待に反するのは、同文書がこうしたグループにより実行される実際のオンライン攻撃の可能性に、深く踏み込んでいない点だ。引用すると:「テロリストによるサイバー攻撃の脅威に対し、近年、少なからぬ注目が集まっているが、その話題に関しては現在の刊行物の範囲を超えており、分析の主題とはならない。」

  この領域では、我々は自身でいくらか仕事をしており、今年のRSAカンファレンスで発表した。コピーはここから入手できる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード