エフセキュアブログ

Trojan を含む記事

偽物を改良 - Android版

  偽AVがスポットライトを浴びた際、そのユーザインタフェースはかなり安っぽく明らかに不正なAVから始まり、非常に説得力のあるデザンに至った。悪党たちがそのレベルに到達するにはしばらく時間がかかったが、より多くの犠牲者集団を獲得するために、デザインを完璧にしようと実に労力をかけた。

  偽Androidアプリケーション用Webサイトは同じ道を辿っているようだ。かなり前から、これらは同じWebサイトレイアウトテンプレートを使用している。模倣している最新のアプリケーション例は、「Android Office」「Winamp」「Doodle Jump」「DrWeb」「Mass Effect,」および「Nova 3」だ。

android_template2

  しかし、そのトレンドは変化している。我々はすでに、より洗練されたデザインを生み出すため、テンプレートを使用していない偽アプリケーションもいくつか見かけている。

skype_instagram

  たとえば、このChromeと偽Chrome Webサイトだ。私が「FAKE(偽)」と入れいなかったら、違いがお分かりだったろうか?

chrome_fake_real

  こうしたサイトはますます説得力が増している。これらWebサイトのルック&フィールは2、3ヵ月後にはどうなるのだろうと考えさせられる。

  かなり見栄えが良いものが良いというわけではない。Androidの世界では、デバイスに何かをインストールする場合、我々は慎重になければならない。

  我々はこれらのサイトの悪意あるアプリケーションを「Trojan:Android/Fakeinst」ファミリーとして検出している。さらにエフセキュアでは、Browsing Protectionを通じて、このような悪意あるWebサイトへのアクセスからモバイルカスタマを保護している。








Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Gauss:オリンピックの最新イベント

  Kaspersky Labの人々が最新の「国民国家が支援する」発見を昨日明らかにし、それを…Gaussと呼んでいる。そのように名付けられたのは、その「モジュールがクルト・ゲーデル、ヨハン・カール・F・ガウス、J・ラグランジュといった著名な数学者、哲学者に敬意を表しているらしい内部名を有している」からだ。

  Gaussは「Flame」の調査中に発見されたものだ。それ自身、Stuxnetと関連があり、「Olympic Games」というコード名を持つ米国の諜報プロジェクトの一環だった。

  興味深い。

  以下は、Gaussに関するその他の興味深い点だ。

  分析によれば、Gaussはレバノンの銀行をいくつか標的にしており、(バンキング型トロイの木馬が行うような)トランザクションのモニタを行う。

  4月に掲載されたWall Street Journalの記事との関連で考えると、かなりのものだ。

U.S. Probes Lebanon Banking Deals

  そのほかに注目に値する点は、Gaussはアンチウイルスソフトが存在する場合、自身をインストールしない、ということだ。

  またGaussは、Windows 7 SP 1を好まない。

Gauss exits if Antivirus is found.
ソース:Kaspersky Lab [PDF]

  次にちょっとした、こんな情報がある:

Gauss Traffic Encryption, ACDC
ソース: Kaspersky Lab

  ACDC?

  それがミッコの注意をひいた。




  最後に、Olympic Gamesの報道の展開を見る限り、我々のように「偏執的な」傾向のある人々は、イランの資金2500億ドル相当のロンダリングをしていると言われる、スタンダード・チャータード銀行に関するWall Street Journalの8月6日の記事に対して、新しい見方をしてしまう…

N.Y. Regulator Accuses Standard Chartered of Illegal Transfers

  WiredのKim Zetterが、Kasperskyの調査結果を上手くまとめている。FlameおよびStuxnetの親類がレバノンの銀行の顧客を標的に不可解なペイロードをもたらす

コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








新しいZsoneが開発中か? #Android

  Androidマルウェアのニュース:Zsoneが発見されて1年経ったが、我々は新しい亜種に遭遇した。あるいは少なくとも、新たな亜種が開発中なのだろうかと、我々に疑問を持たせたサンプルに。この新しいZsoneは、SMS送信ルーチンにネイティブコンポーネントを使用している。

  以下は、SMS送信用バイナリコンポーネントのコードの一部だ。

Zsone

  しかし、「10086」もしくは「1066185829」から来るメッセージの伝播を防止するためのSMS妨害ルーチンは実装されていないか、ネイティブライブラリの一部ではない。

Zsone

  最初の亜種「Trojan:Android/Zsone.A」は、公式のAndroidマーケットに存在することが知られていた。

  うまく行けば、この新たな亜種はGoogle Playまでたどり着かないだろう。この開発のモチベーションが何か、不思議に思う人がいるだろう。我々には同マルウェアがこの新たなテクニックを利用できた方法について、いくつかの可能性が見えている。おそらくGoogleのBouncerを破るため?

  エフセキュアのモバイルセキュリティはこれを「Trojan:Android/Zsone.C」として検出する。

SHA1: a251bc753405d44f2902aca3f470006f77bf9e79

—————

Analysis by — Zimry

Java MIDletをインストールしたデバイスを標的とする「Trojan:Java/SmsSy.A」

  Java MIDletをインストールしたモバイルデバイスを標的とする、SMS送信型トロイの木馬がマレーシアで出回っている。一部の被害者は、Samsungからのアップデートのように見えるSMSメッセージを受信したと報告している。


samsung_update_trojan
Samsungからのアップデートのお知らせのように見えるメッセージ



  しかしリンクをクリックすると、JARファイルに導く他のリンク(http://mmgbu[...].com:90/[...].jar)にリダイレクトされる。このJARファイルは、同マルウェアが複数の短いナンバーにSMSメッセージを送信するよう、詳細を実行する。

  実行されると、同トロイの木馬は3つのSMSメッセージを(たいていは有料課金番号に)ユーザの同意無しで送信する。コンテンツと受信番号は以下の通り:
- “On GB” to 39914
- “On DF” to 39914
- “On HB” to 33499


  次に、「HOT WEB DL」というタイトルと、「DANCE CLUB」「BEACH GIRLS」「FUNNY VIDEO」「GT MODEL」「HOT CAM」という5つのセクションに分類された女性の画像が示される。オプションが選択されると、「On(コンテンツ)」というストリングを含むSMSメッセージを、(ナンバー)に送信する。コンテンツは以下の通り:
- HB
- MODEL
- LY
- AV
- GA


  これらのメッセージは、後で以下のナンバーに送信される:
- 33499
- 33499
- 36660
- 36660
- 36989



smssy_manifest
メッセージコンテンツと受信番号の詳細を含むファイル



smssy_picladies
「SmsSy.A」が使用する画像



  同じトロイの木馬の別のサンプルを分析したところ、異なるコンテンツと受信番号が割り当てられていることが分かった:


smssy_manifest2
「SmsSy.A」の他のサンプルには異なるコンテンツとナンバーが割り当てられていた



smssy_picmtv
「SmsSy.A」により使用された異なる画像



  我々は問題のあるURLを適切に査定し、「Trojan:Java/SmsSy.A」として検出している。

Sha-1: 75a91ac99cb5bc2a755d452393d29fa66a323c3f
Sha-1: bca72058af2a7ddb9577ecb9a61394a31aea5767



Blog post by - Jordan and Raulf

Ransomcrypt復号化スクリプト

  先週、文書、画像、ビデオなどを暗号化し、ファイルを人質に50ユーロ要求する、「Trojan:W32/Ransomcrypt」という名のランサム型トロイの木馬について書いた

CRYPTED!

  Ransomcryptは、Tiny Encryption Algorithm(TEA)を使用してファイルを暗号化する。キーは「ファイル固有キー」を作成するために暗号化されているファイル名の先頭の文字に基づいて変更される、「ベースキー」から作成される。ベースキーもファイル固有キーも、どちらも16バイト長だ。

  エフセキュアのアナリストが、サポートチームのために、Pythonで書かれた復号化スクリプトを作成した。幸いなことに、我々が遭遇した顧客の事例は少数だった。この復号化スクリプトはRansomcryptの2つの亜種で機能する。

  •  Trojan:W32/RansomCrypt.A, SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf
  •  Trojan:W32/RansomCrypt.B, SHA1: 1e41e641e54bb6fb26b5706e39b90c93165bcb0b

fs_randec.zip

  EULTはここで読める。

  ダウンロード:fs_randec.zip, SHA1: 9ab467572691f9b6525cc8f76925757a543a95d8

  最初に、暗号化ファイルのコピーにこのスクリプトを使用するようにという指示には、特に注意して欲しい。

  「オリジナル」に使用しないこと。

Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

中国で開発されたHacktoolの検知に注意

HacktoolやNetToolといったウイルスが検出されたことはありませんか?
ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit(xxxはBackdoorやTrojan)のような検知名が付けられています。

lcx

これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。
例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor(HTran)などがそれにあたります。
ちなみに、Backdoor.Liondoor(HTran)は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。
※開発元は中国なのですが、他国の攻撃者も利用していますので、一概に中国邉劼砲茲觜況發箸呂い┐泙擦鵝
これらのツールは、プログラムが自動的に感染やバックドアを作成することはありません。攻撃者の操作によりバックドアに悪用されたりするプログラムです。
つまり、一般的な企業環境(?)においてHacktoolが発見された場合、往々にして既に攻撃者が侵入しており何らかの被害を被っている可能性が高いといえます。
この辺は古典的な話ですので、詳細は割愛しますね。

さて、このHacktoolですが悪用されていても中々見つけられない、という相談をよく受けることがあります。
一般に、これらのツールは大抵のウイルス対策ソフトで駆除できますが、駆除されずに悪用されているのはどういうことでしょうか。
マルウェア感染のインシデント対応全般的に言えることなのかもしれませんが、
まず考えられるのは、"検知できない状況"であるということが、理由のひとつとして挙げられると思います。
何故、駆除できないのかの理由は色々ありますが、よく見かけるのは次の3つです。
.Εぅ襯溝从ソフトが停止されている
▲Εぅ襯溝从ソフトの検索対象外の領域が利用されている
6扈すべきHacktoolが被害ホスト上に無い

,蝋況蘯圓管理サーバを不正操作していたり、ホスト上の設定が変更された可能性などが考えられます。
△魯Εぅ襯溝从ソフトの設定やユーザの利用環境などに依存することが多いです。
#製品によってリスクウェアをスキャン対象外にしていると検知できない場合があります。
は被害ホストとは異なるリモート・ホスト上にHacktoolが存在している場合などがあります。
#この場合、攻撃者が不正操作の起点となっている親玉のシステムが存在する可能性があります。その場合、親玉システムの発見に手間取り、被害が収束するまでに時間を要すことがあります。

いずれにせよ、攻撃者がすでに標的のシステムを乗っ取った後の操作となりますので、これらの操作がされていても不思議ではありません。

もしHacktool関連の検知ログが1つでも見つけた場合、(ネットワーク的に)周辺のホストやADのログを至急調査してみてください。
#業務情報などが漏洩していないことを祈りつつ
攻撃の痕跡は、あっという間に削除されますので、スピード勝負となりますが、運が良ければ邉匚具を利用した痕跡が発見されるかもしれません。

気をつけて頂きたいのは、Hacktoolの発見はネットワークトラフィックとホスト上のログとの相関分析が必要となることが多いです。
そのため、基本ではありますが事前にOSなどのログに関しても確実に取得しておくことをお勧めします。特にWindowsのログオン成功のログは重要です。

何はともあれ、Hacktoolが発見された場合はLAN内の複数のシステムが乗っ取られていることを前提に、迅速にダメージコントロールを心がけた動きが重要です。
侵入台数が少ないことを祈りつつ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

Mac Flashback感染

月曜、我々はその時点で未パッチだったJava脆弱性(CVE-2012-0507)を悪用するMac Flashbackトロイの木馬の亜種について書いた。Appleは火曜日、セキュリティ・アップデートをリリースした。もしMacにJavaをインストールしているなら—すぐにアップデートすること。

  昨日Dr. Web(ロシアのアンチウイルスベンダ)が、Flashbackは50万台以上のMacに感染しているかもしれないと報告した。

  Flashbackがインストールされると、それぞれに固有のユーザ・エージェントが作成される。Dr. WebのIvan Sorokinは、現在、感染の試算を60万台以上としている。




  エフセキュアの「Anti-Virus for Mac」は、Flashbackの最新の亜種を「Trojan-Downloader:OSX/Flashback.K」として検出する。

  Flashbackに関する我々の最近の説明は以下の通り:

  •  Flashback.I
  •  Flashback.K

  Mac関連の以前の記事には、Javaを停止する方法、Flashbackの感染について調べる方法、手動での削除方法がある:

  •  目下のMacマルウェア
  •  (Mac)Flashbackはあるか?
  •  未パッチのJava脆弱性を悪用するMac Flashback

  この週末、イースターホリデーを祝う人は、もしご両親を訪問し、彼らがMacを持っているなら、Javaクライアントプラグイン/インストールをアップデートするか、停止するか、削除してあげるべきだ!

  (そしてそれはWindowsにも当てはまる。)

警察を装うランサムウェアが継続

この数週間、我々はヨーロッパ全域でランサムウェアが横行するのをモニタリングしてきた。地元警察からのものとおぼしきメッセージが表示され、コンピュータをアンロックするには罰金を払わなければならないと要求するものだ。先月は、フィンランド語の亜種についてお知らせしている。我々の統計を見る限り、攻撃者達は現在もまだ非常に活発な動きを見せている。

Police warning

  このメッセージが偽だと気づけるだけの知識があっても、ユーザのハードドライブに不快な素材があるという同マルウェアの告発が萎縮効果を生みだし、外部の助けを求めようとしない人が出る可能性がある。

  以下は、最近の亜種を用いて今日、我々がとったスクリーンショットだ:

Poliisi

  コンピュータをアンロックするには、ユーザは地元のコンビニエンスストア・チェーン(フィンランドではR-Kioskiだ)でPaysafecardを100ユーロ分購入するよう求められる。このテクニックは効果的だ。WebmoneyやeGoldといったオンラインペイメントサービスを使用することができない可能性のある、技術的なことに疎い人々でも、支払いを行うために近所のストアには歩いていけるだろうからだ。

  このケースで、スクリーンショットに表示されている「talletus@cybercrime.gov」というメールアドレスは、攻撃者に属するものではない。「cybercrime.gov」というドメインは有効で、米司法省に属している。

  この亜種(SHA1: e6e330614c46939b144cff9bd627ba098dce9873)では、手動で停止させる最も容易な方法は以下の通りだ:

1 – 「Ctrl-O」(大文字のOで、数字の0ではない)を押す。
2 – 「Browse」を選択し、「c:\windows\system32」へ行き「cmd.exe」を開く。
3 – 新たに開いたウィンドウに「explorer.exe」とタイプする。すると、デスクトップを再び使う事ができるはずだ。
4 – 「Startup」フォルダをブラウズする。パスは言語設定およびWindowsのバージョンにより異なる。以下のスクリーンショットでは、英語版Windows XPでのパスが示されている。このパスで「Administrator」を自分のユーザ名で置き換える必要もある(既にAdministratorを使っているのでなければだが、それには触れないでおこう…)。

Startup

5 – 見覚えのないエントリは全て削除しよう。悪意あるエントリの名は、スクリーンショットで示されているものとは違うかもしれない。自信がなければ、全てのエントリを削除することもできるが、他の有効なアプリケーションが自動的に開始されなくなるリスクがある。
6 – コンピュータを再起動する。

  この後、脅威は停止されるが、悪意あるファイルはまだコンピュータ上にある。アンチウイルス製品でコンピュータをスキャンすることを強くお勧めする。

  ステップは亜種によって若干、異なるかもしれない。CERT-FIが別の亜種を少々異なるステップで削除するインストラクションを掲載しており、Microsoftも彼らの説明に情報を掲載している。

4月5日の追記:我々の「Trojan:W32/Reveton」に関する説明に、削除のインストラクションがある。

—————

Security Response Post by — Antti and Karmina

未パッチのJava脆弱性を悪用するMac Flashback

  「CVE-2012-0507」(Java脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。

Flashback.K

  Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を…

  しかし — AppleはOS Xのアップデートを(まだ)リリースしていない。

  Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたことを報告した。そしてそれで終わりではない。未確認ではあるものの、「まだパッチを当てていないJavaの深刻な欠陥」に対する、さらに別のエクスプロイトが利用可能だという噂があるのだ。

  よって、もしまだJavaクライアントを停止していないのなら、これが広まる前にそうして頂きたい。MacでJavaを停止する方法に関するインストラクションは、我々の前回の記事でチェックして欲しい。

  Flashbackに感染しているかどうかをチェックする方法に関する以前のインストラクションも適用可能だ。しかしこの亜種では、感染したユーザのホームフォルダで作成される、別のアップデータコンポーネントがある。デフォルトでは、「~/.jupdate」として作成される。

  対応する属性リストファイルも作成され、感染したユーザがログインするたびに実行される。デフォルトでは、この属性リストは「~/Library/LaunchAgents/com.java.update.plist」として作成される。

Flashback.K

Flashback.K

  しかし、これらのファイル名は感染したシステムにより異なるかもしれない。これらは、エクスプロイトを与える悪意あるWebページにより設定可能だからだ:

Flashback.K

  詳細については、エフセキュアによる「Flashback.K」の説明をご覧頂きたい。

MD5: 253CAE589867450B2730EF7517452A8B

(Mac)Flashbackはあるか?

  月曜、Flashbackトロイの木馬によってMacに障害が起きない方法をご紹介した。今日はFlashback感染を見つける方法に関する情報を提供する。

  以下のステップをより良く理解するには、Flashbackについても多少している方が良いだろう。これはOS Xマルウェアファミリで、Webブラウザにより表示されるコンテンツを修正する。そのために、同マルウェアはMacのブラウザが使用する機能を利用する。乗っ取られる機能は亜種ごとに異なるが、一般にCFReadStreamReadおよびCFWriteStreamWriteが含まれる:



  標的とされるWebページと変更は、リモートサーバから読み出されるコンフィギュレーションに基づいて決定される。以下はコンフィギュレーション・データの例だ:



  デコードすると、標的とされたWebページ(赤)とインジェクトされたコンテンツ(黄)が分かるだろう:



  こうした能力は事実上、これをある種のバックドアにする。このことと、同マルウェアが最初、Flash Playerインストーラのふりをしてユーザをだまそうとした事実から、Flashbackと呼ばれている。しかし、以降それは進化しており、最近の亜種では拡散するためエクスプロイトを組み込み始めた。私が見たケースすべてで、少なくともGoogleを標的としており、これは実際Mac QHostの次の進化形ではないかと考えるに到った。

  介入機能を利用して、Flashbackが次に行うのはブラウザにそれをロードさせることだ。

  これはDYLD_INSERT_LIBRARIES環境変数が役立つところだ:



  一般に感染には2種類ある。第1の感染は、同マルウェアが管理権限を持つ際に生じる。第2の亜種「Flashback.B」もしくは上のスクリーンショットが例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が標的とされたアプリケーション、特にブラウザのコンテクストにのみ追加される。初期の亜種はSafariとFirefoxを標的としている。最近の亜種ではSafariのみが標的だ。この種の感染にユーザが気づくのは、より難しい可能性がある。感染したシステムがより安定しているためだ。

  感染の第2のタイプは、同マルウェアに管理権限の無い時に生じる。最初の亜種「Flashback.A」がその例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が感染したユーザのコンテクストに追加される。これは同マルウェアが感染したユーザが起動する全てのアプリケーションにロードされるということを意味している。その際、互換性のないアプリケーションに起因するクラッシュが増えるので、感染したシステムははるかに不安定になる。これを解決するため、最近の亜種は新しいフィルタコンポーネントを導入している:



  上記の例では、フィルタコンポーネントはプロセスがSafariである場合、メインコンポーネントをロードするのみだ(スクリーンショットで「WebPo」を無視すること。これはおそらく、Safariであれば一部であるWebProcessを、マルウェア作者がタイプミスしただけだろう)。

  では、このケースではどのように感染を特定するのか? 最も簡単なのは、ブラウザのDYLD_INSERT_LIBRARIES環境変数のチェックだ。Terminalで以下のコマンドを使用すれば良い:

  •  defaults read /Applications/%browser%.app/Contents/Info LSEnvironment



  上記の例は、Firefoxがクリーンであることを意味している。感染していれば、下のようなものを見る事になるだろう:



  赤で囲まれたDYLD_INSERT_LIBRARIESの値に注意して欲しい。フィルタコンポーネントである場合、メインコンポーネントを特定するのにそれが必要だ。

  •  grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%



  赤で囲まれたファイルはFlashbackファイルなので、注意して欲しい。ほとんどのユーザにDYLD_INSERT_LIBRARIES環境変数は無いと思う。

  グレップで結果が得られなければ、それはあなたのシステムの亜種は、フィルタコンポーネントを有していないことを意味している。

  皆さんが次にチェックしたいのは、第2のタイプの感染が起きていた場合、あなたのユーザのDYLD_INSERT_LIBRARIES環境変数をチェックするということだろう:

  •  defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



  結果が得られなければ、このタイプの感染は起きていないことを意味している。

  フィルタコンポーネントがあれば、メインコンポーネントを見つけるのに、また以下のコマンドを使用すれば良い:

  •  grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%



  サンプルはどうするか? 我々に送って欲しい。そうして頂ければ、他のAVベンダとサンプル共有を手配するので、コミュニティの助けにもなる。

  システムからサンプルを削除する際、DYLD_INSERT_LIBRARIES環境変数も必ず削除すること。さもないと、ブラウザもしくは更に悪いことには全アカウントが、次回、ロードされないかもしれない。

  第1のタイプの感染では以下を使用して欲しい:

  •  sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
  •  sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist



  第2のタイプの感染では以下を使用すること:

  •  defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  •  launchctl unsetenv DYLD_INSERT_LIBRARIES



  より最近のFlashback亜種に関する詳細は、我々のTrojan-Downloader:OSX/Flashback.Iの解説でチェックできる。

では。
Brod

目下のMacマルウェア

我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod








ローカライズされたランサムウェアでフィンランド人が標的に

ここ数日、我々はフィンランド語にローカライズされ、フィンランド警察からのものだと称するランサムウェアが、フィンランド人を標的にしているという報告を受けとっている。

  問題のランサムウェアは、我々が「Trojan:W32/Ransom」と呼んでいるファミリーの一部で、ヨーロッパの数カ国でローカライズされている:ドイツ;英国;スペイン;そしてフィンランド。全ての国で、このソーシャル・エンジニアリング手法は同一だ。感染すると、同ランサムウェアはInternet Explorerをフルスクリーンに拡大(F11)し、地元の警察部隊からとして、ユーザのコンピュータが幼児虐待および動物虐待を含むサイトをブラウジングするのに使用されているというメッセージを表示する。また、テロリズムに関連するトピックの電子メールスパムを送信するのにも用いられており、罰金を支払うまではロックされるとも主張する。

kuvakaappaus
Image: Poliisi

  このケースでは、ランサムウェアは「Tietoverkkorikosten tutkinnan yksikko」、翻訳すると、情報ネットワーク犯罪ユニットからのものだと主張する。しかしフィンランド警察には、このような名称のユニットは無い。また、フィンランド語のクオリティもあまり高く無く、連絡先が「cyber-metropolitan-police.co.uk」となっていることも注意すべきだ。更に調査したところ、「cyber-metropolitan-police.co.uk」ドメインは、ポーランドのGette居住の架空の人物「be happy」氏に登録されていることが分かった。何とも信頼できそうなことだ。

  フィンランド語の身代金メッセージは、 Paysafecardを使用して支払いするよう求めている。これは匿名のオンライントランザクションで使用できる使い捨てのプリペイドカードだ。フィンランドのキオスクで全国的に販売されている。

  「エフセキュア インターネット セキュリティ」はTrojan:W32/Ransomの既知の亜種を、ファミリーネームもしくはジェネリックディテクションネームで検出するが、いつものように、注意した方が良い。我々のバックエンド統計は、これが確かに「liikkeella」(イン・ザ・ワイルド)であることを示しているのだ。

  このトロイの木馬の最初の感染ベクタは、JavaランタイムエクスプロイトかAdobe Acrobat PDFリーダーエクスプロイトだったが、使用されている新規の(ゼロデイ)エクスプロイトについての情報は無い。

  よって安全を守るには:

1. Acrobat PDFリーダーを最新版にアップデートするか、他のPDFリーダーにスイッチすること。
2. Javaランタイムをアップデートする。あるいは、Javaが必要ないなら、アンインストールするのが非常に望ましい。Javaが必要ならば、少なくとも使用していない時はブラウザで使用停止することを考えて欲しい。もしくは、Javaが未知のサイトから実行される前に知らせてくれるGoogle Chromeにスイッチしよう。

  もしランサムウェアによりコンピュータに障害が起きているなら、マルウェアの作者に一切支払をしないこと。ほとんど全てのケースで、支払をしたところでコンピュータは解放されないのだ。また、フィンランド警察も、世界のいかなる警察も、罰金の支払いにPaysafe、Ucash、あるいはその他のプリペイド請求システムを使用することは無い。もしメッセージが、クレジットカードもしくはその他の支払い方法を求めた場合は、ほぼ間違いなく詐欺であり、本物の政府職員では無い。

リンク:

  •  フィンランド警察の勧告 08.03.2012
  •  フィンランド警察の勧告 09.03.2012
  •  Cert-FIの勧告

「Trojan:Android/OpFake.D」がコンフィギュレーションファイルをコード化

我々はマルウェアが、先に他のオペレーティングシステムで登場し、Androidに移植されるケースを良く見ている。以下はその条件を満たす新たなトロイの木馬だ。

  OpfakeはSymbianとWindows Mobileで、最初に発見された。最近のAndroid版では、同トロイの木馬は(まだ)Opera Miniアプリであるように見える…パーミッションのリクエストは、SMSメッセージを送信することだけだ:

Android OpFake, permission

  同アプリ(我々は「Trojan:Android/OpFake.D」として検出している)は、ローンチの際メッセージを送信することが分かった:

Android OpFake, SMS

  以前のケースでは通常、クラスにハードコードされたSMSメッセージを見かけたが、今回はメッセージコンテンツと電話番号は「config.xml」ファイルに保存され、エンコードされる。以下は文字化けしたコードだ:

Android OpFake, garbled code

  このストリングはbase64デコーディングを使用してデコードされると読み出し可能となり、実行時にメッセージがアプリにより送信されることを示している:

Android OpFake, decoded code /><br /><br />  このAndroid版(SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072)は、そのコンフィギュレーションファイルをエンコードするopFakeの「伝統」を受け継いでおり、新しいものではない。しかしこれは、分析からコードやアクションを隠すため、ますますエンコーディングや他のテクニック(他のプラットフォームで長年標準だったもの)を使用する、Androidマルウェアの現在のトレンドに当てはまっている。<br /><br />ThreatSolutions post by — Irene<br /><br /><div style=
ThreatSolutions post by — Irene

>>原文へのリンク

Androidマルウェアが電子透かしを使用? それほどでも…

  私がいつものようにAndroidマルウェア分析を行っている際、特定のサンプルのクラス・モジュールにざっと目を通していると、以下のようなコードを見つけた。

fig1_finding_tEXT_chunk (4k image)
図1




  昨年後半、私はPortable Network Graphics(PNG)画像フォーマット、特にテキスト情報を持つフィールドについて、より詳細にチェックしていた。コードを見ていると、なぜこのアプリケーションはPNGファイルの「tEXt」チャンクが存在しているかどうか、チェックする必要があるのかということについて、すぐに疑念が生じた。

  私はコードに目を通し続け、この特定コードが画像ファイルを特定するため、どこでコールされるかを発見した。

fig2_method_checking_tEXT (85k image)
図2



  同コードのこの部分は、画像ファイルがリソース名「icon.png」を使用し、アプリケーションとバンドルされていることを示している。それからこの画像は開かれ、PNGチャンク(図1)をチェックするコードがコールされる方法へと送られる。

  APKパッケージのリソースを検査することで、似たような名称の3つのファイルが現れる。これはtEXtチャンクの初回の発生にしか興味を持っていないため、私はただちにHEXビューワを取り出し、全ファイルの最初のtEXtチャンクを調べた。これらは皆、特定のチャンク用に同一のバイナリデータを含んでいた。以下は、この画像の内部表示と、HEXビューワでレンダリングの際にどう見えるかを示している。

fig3_tEXT_chunk_marker (161k image)
図3



  この画像は、アプリケーションのアイコンとしても使用されている。よって、デバイスへのインストール中もインストール後も、非常に良く目にする。

fig4_app_icon (139k image)
図4



  現時点で、図3のデータは私にはほとんど意味が無いが、tEXtチャンクがバイナリデータ、もしくは読めないストリングを持つのは普通ではない。そこで図1の残りのコードの分析を続けた。更に分析して分かったのは、これが図3の隠されたデータを読み、ハードコードされたtext stream(「キー」)に対してビットごとのXOR演算を、どのバイト読み出しでも実施することだ。

fig5_hidden_data_decryption (39k image)
図5



  私はPython派なので、図3から隠れた情報をデコードするため、以下のような小さなスクリプトを作成した。このアルゴリズムは、図5のコードで分かったことに基づいている。スクリプト(図6.a)を実行した後、驚いたことに、読み取り可能な英単語と数がいくつかあった!

  これらのプレーンテキスト情報が、アプリケーションに対して何を意味するのかは、依然としてハッキリしないが、現時点で、こえららのデータ(図6.b)をPNGファイル(図3)のtEXtチャンクデータから隠すため、電子透かしを使用していることが分かった。しかし、電子透かしの厳密な定義を見ると、このサンプルが本当に電子透かし的であると考えられるのかどうかは、議論の余地がある。PNGファイルのチャンクの一つで、エンコードされたデータのシンプルな埋め込みに過ぎないからだ。

fig6_decrypt_hidden_data(79k image)
図6



  図5の残りのコードの分析を続けると、これら隠された情報(部分的なスクリーンショットは以下の通り)が、アプリケーションの主要な動機(すなわち有料番号にSMSを送信するということ)をサポートするために使用されているという事実がさらに強固となった。

fig7_hidden_info_screenshot (125k image)
図7



  上のコードを発見したほか、SMSの送信オペレーションのため、これら情報を実際に使用していることを確かめるため、Androidデバイスエミュレータでアプリケーションの実行も行った。そしてここでは、送出されるSMSイベントが記録され、図6.bのデコードされたデータとよく似た詳細が得られた。このイベントは、私が新たにインストールされたアプリケーションのメインUIから、「Next」ボタンをヒットした途端に起こった。

fig8_outgoing_sms_event (65k image)
図8



  このアプリケーションのsha1は「ac118892190417c39a9ccbc81ce740cf4777fde1」で、「Trojan:Android/FakeRegSMS.B」として検出される。


Threat Solutions post by ? Jessie

----

2012年1月30日:電子透かしについてさらに詳述するため、タイトルとテキストに修正を加えて更新した。

携帯電話の秘密の機能をアンロック!…しない。

  昨日我々は、Android関連サイトから以下の広告を見つけた:

android_malicious_website (65k image)

  これをクリックすると、悪意あるAndroid Marketに導かれた:

android_malicious_website_2 (106k image)

  ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。

  通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスでホスティングされている。我々の注意を引いたあるサイトは、携帯電話の秘密の機能をアンロックすると主張していた。この同じサイトは、ロシアのフォーラムでプロモートされていることも分かった。

  同サイトを訪問すると、「Phone Optimizer」であることが示される:

phone_optimizer_text (160k image)

  上のテキストは、携帯電話メーカは金をかせぐため、携帯電話の機能を隠すことが知られていると述べている。この考えは、メーカが秘密の機能をアンロックするOSアップデートを通じて、金を儲けるというものだ。同サイトは、このような秘密の機能を自分の電話でチェックし、アンロックすると主張している。

  以下はスキャン結果の例とその英訳だ:

phone_optimizer_scan (145k image) phone_optimizer_scan_translation (44k image)

  電話のモデルはUser Agentをチェックすることで、正しく識別された。ダウンロードリンクは同国のロケーションに基づいた番号に、有料課金型のSMSを送信する悪意あるファイルへと導く。

  悪意あるページは、Androidデバイスのみを標的にしているのではない。Android端末を使用してアクセスすると、「optimizer.apk」というファイルが発行される。またはファイル「optimizer.jar」をダウンロードする。

  我々はこのマルウェアを「Android/FakeNotify.A」(APK)および「Trojan:Java/FakeNotify.C」(JAR)として検出している。

  エフセキュアの「Browsing Protection for Mobile」はこの記事で特定された悪意あるリンクを、ブロックすることが可能だ:

bp_block (135k image)

  ちなみに、我々の読者に:もし皆さんが怪しいモバイル・サンプルに出会ったら、分析のため、遠慮無く我々に送って欲しい:android-labs@f-secure.com.



-   投稿はRaulfとKarminaによる(また、ロシア語と英訳ではDimaの協力を得た)







新年の願いごと - データ収集付き

  2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。

  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード