エフセキュアブログ

Windows 10 を含む記事

OpenSSLにおける ’HeartBleed’脆弱性のエフセキュア製品への影響

HeartBleedは、OpenSSLの暗号化ライブラリにおける重大なセキュリティの脆弱性 (CVE-2014-0160)です。このライブラリは、オンラインのサイトやWebベースのサービスで安全な通信を提供するために広く使用されています。この脆弱性は、攻撃者が痕跡を残すことなくサーバのメモリから情報を読むことを潜在的に許容します。つまり、Webサーバの秘密鍵情報やユーザパスワードのような非常に機密性の高い情報が、攻撃者によりコピーされた可能性があります。

エフセキュア製品の中にも、当該セキュリティ勧告の影響を受ける製品・サービスが存在します。

当該セキュリティ勧告は、以下のURLで追加情報のアップデートを行います。

http://www.f-secure.com/ja/web/business_jp/support/support-news/view/story/1450043


リスクファクター:  重大  (低/中/高/重大)


影響を受ける製品とバージョン:
  • エフセキュアMicrosoft Exchange & XenAppセキュリティ 10.00 – 11.00
  • エフセキュア Windowsサーバ セキュリティ10.00-11.00
  • エフセキュア プロテクションサービスビジネス サーバ10.00
  • エフセキュア プロテクションサービスビジネス メールサーバ10.00

影響を受けるプラットフォーム:  上記製品がサポートする全てのプラットフォーム

<<<2014年4月14日追加>>>

1) 2014年04月14日19:00現在、以下の製品に Hotfix 1 がリリースされています。各製品のダウンロードの Hotfixes の項目を参照ください。 上記の対応における記事にも Hotfix のリンクや適用方法が記載されていますので、合わせてご参照ください。
  •  サーバセキュリティ、および、メールとサーバセキュリティ 10.x - 11

        - F-Secure サーバセキュリティ 11.0 Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135
        - F-Secure サーバセキュリティ 10.xx Hotfix 1
          http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/135/10.x
        - F-Secure メールとサーバセキュリティ 11.0 Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134
        - F-Secure メールとサーバセキュリティ 10.xx Hotfix 1
           http://www.f-secure.com/ja/web/business_jp/support/downloads/-/carousel/view/134/10.x

 

2) 2014年04月14日19:00現在、以下の製品で MultiFix がチャネル配信済です。

  • PSB サーバセキュリティ、および、PSB Emailサーバセキュリティ 10.00
   「自動更新」→「ダウンロード」において、"PSB ESS 10.00 MF01" (PSB ESSの例)が表示されていれば適用済です。

<<<ここまで>>>

注意:  以下の製品は影響を受けません。
  • エフセキュア クライアント セキュリティ
  • エフセキュア アンチウイルス ワークステーション
  • エフセキュア Linuxセキュリティ
  • エフセキュア アンチウイルス Linuxゲートウェイ
  • エフセキュア ポリシーマネージャ
  • エフセキュア プロテクションサービス ビジネス ワークステーション
  • エフセキュア プロテクションサービス ビジネス 管理ポータル
  • エフセキュア プロテクションサービス ビジネス Linux

---【お問い合わせ】-----------------------------------------------------

エフセキュア株式会社

■ 本件に関する技術的なお問い合わせ窓口
TEL.045-440-6620
E-mail:anti-virus-japan@f-secure.co.jp
  
■ 申請等に関するお問い合わせ窓口
TEL.03-5545-8940
E-mail:japan@f-secure.co.jp
  
□ 製品一般情報URL   
http://www.f-secure.com/ja_JP/products/business/
  
□ 製品サポート情報URL
http://www.f-secure.com/ja_JP/support/business/

エフセキュア Linuxセキュリティ フル エディション / コマンドライン エディションの新メジャーバージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けセキュリティ対策の「エフセキュア Linuxセキュリティ フル エディション」および「エフセキュア Linuxセキュリティ コマンドライン エディション」の新しいメジャーバージョンとなる、Ver10.00をリリース致しました。Redhat Enterprise Linux6.5やCentOS6.5、Debian7.0、Ubuntu12.04などの最新のOSへ対応を行いました。

Linuxの利用は、WindowsやUnixの代替というだけでなく、クラウドの基盤としても増え続けています。Linuxの利用の増加で、そこを標的にするマルウェアや侵入などの攻撃が今後拡大することが懸念されます。Linuxのセキュリティ対策がOSの新しいバージョンに対応することで、新しいOS利用の一助となり、OS自身の最新のセキュリティ機能との相乗効果となることが期待されます。
なお本年後半には、新しい検査エンジンを搭載し、パフォーマンスと検知率の更なる向上を図った新バージョンのリリースも予定しています。

2種類のエディション

エフセキュアでは、用途に応じ2種類のLinuxサーバ保護ソリューションを提供します。いずれも、Linuxサーバへの不正侵入を防ぎます。

「エフセキュア Linuxセキュリティ フル エディション」は、Linuxへのマルウェア感染やLinuxを踏み台にしたマルウェアの拡散を防ぐだけではなく、外部からの改ざんを防ぐ機能を提供し、Linuxを総合的に保護します。ポリシーマネージャを利用した集中管理にも対応し、多くのサーバを少ないコストでしっかりと管理できます。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、Linux OSの管理者が親しみやすいコマンドベースのインターフェースを備えたアンチウイルス製品です。コマンドライン上で全ての操作を完了できるので、他のプログラムやシェルスクリプトから呼び出して使うことができ、ソフトウェア組み込みに最適です。

製品の詳細はこちらをご覧ください。

中小中堅企業(SMB)が知っておくべき セキュリティに関する10のヒント

サイバー犯罪者にとって、社内セキュリティチームを有する可能性の高い大企業よりも、むしろ相当な資産を保有しながらセキュリティ管理を行っていない中小中堅企業が絶好のターゲットとなり得ます。サイバー犯罪者の目的は金銭であり、それを簡単に手に入れられる方を選ぶからです。

パッチをすぐに適用する


ソフトウェア・メーカーは、製品に脆弱性が見つかると、修正パッチを開発し、それをすべての登録ユーザに送信します。この更新をスタッフに任せている企業もあれば、集中管理によって更新している企業もあります。いずれの場合もパッチはすぐに適用する必要があります。公開された脆弱性は、サイバー犯罪者がその存在を認識しているセキュリティホールであり、彼らは、パッチを適用しないケースが非常に多いことを知っています。すべてのコンピュータにパッチが適用されない限り、セキュリティ侵害から逃れることはできません。


Windows XP
を早急に変更する

マイクロソフトは
4月にWindows XPのサポートを終了します。XPに関しては、今後いかなる脆弱性も修正されません。つまり、これらの不具合を発見したサイバー犯罪者が、それを悪用してマルウェア経由で侵入することが可能になるということです。サイバー犯罪者は、これらの不具合の多くをすでに発見しているものの現時点ではそれを隠し、4月まで待ってから世界中にサイバー攻撃を次々としかける可能性が高いのです。被害を避ける唯一の方法は、サポートが終了する前にこのオペレーティングシステムを変更することです。Windows XPの後継のオペレーティングシステムは、セキュリティを優先して設計されているため、XPよりはるかに優れたものになっています。

モバイルおよびタブレットも保護が必要


サイバー犯罪者にとって、保護されていないモバイルデバイスも悪用の接点になります。一般の人々は、まだモバイルデバイスの保護という概念に慣れつつあるという段階です。だからこそビジネス用のデバイス上のデータ(連絡先、
Eメールなど)に犯罪者がアクセスし、さらにネットワーク上のデータが悪用される可能性を防止する必要があります。デバイスが会社から支給されたものであれ、個人所有のものであれ、これらすべてのデバイスでモバイルセキュリティを実行していなければなりません。

バックアップおよび同期


ここ
1年の間にランサムウェアの攻撃が相次いで起こっています。攻撃を受けると、ファイルまたはコンピュータが暗号化されたことを告げるメッセージが画面上に表示され、アクセスの復旧と引き換えに金銭を要求します。このような攻撃に備えて、自動的にすべてのコンテンツのバックアップを取っておくことをお勧めします。

最新のアンチウイルスソフトウェアを使用する

新たなマルウェアがコンピュータまたはモバイルデバイスへアクセスしようとしていることが検出されると、そのマルウェアは隔離され、検査および解読のためにアンチウイルスラボに送られます。ウイルスのシグネチャが確認されると、将来この新たな脅威からユーザを保護するため、ソフトウェアの各登録ユーザに送信されます。最新のアンチウイルスソフトウェアがなければ、このような保護は受けられません。


クラウド環境および仮想環境も確実に保護する


仮想化技術は、パフォーマンスの向上と費用削減のために、中小中堅企業でも一般的なものになっています。これらの環境を保護することもまた、個々の企業情報に対する不正なアクセスを防ぐために重要です。


従業員にプライバシースクリーンフィルタを配布する


プライバシースクリーンフィルタは、ノートパソコンの画面上、またはモバイルデバイスに簡単に装着できるフィルタです。ユーザが正面から画面を見ているときはその違いに気づくことはありませんが、隣にいる人には画面が黒く見えるだけで他には何も見えません。


パスワード


もっとも多く使用されているパスワードが、「
Password」でなくなったということは喜ばしいことですが、残念なことにそのパスワードは「123456」に変わっただけです。サイバー犯罪者は、パスワードの解読に複数の組み合わせを試すツールを使用します。よく使われるパスワード(例えば「123456」など)は、最初に試されます。その後、オンラインで見つけた対象者の誕生日といった情報を手掛かりにするなどして、文字の組み合わせを試します。パスワードを解読されにくくするには、記号や数字を加えることが有効です。

データは自分で思うよりもはるかに関心を持たれている


中小中堅企業の間ではしばしば、自社のデータには誰も関心を持たないから保護する必要がないという漠然とした意識があります。しかし例えば、競合他社がそのデータを得ることで、入札の際により低い金額を提示することも可能です。またサイバー犯罪者は、金融口座にアクセスするなど金銭的な目的で狙っています。自社の価値を決して過小評価してはいけません。


デバイスは紛失したり盗難に遭う可能性が常にある


デバイスの紛失や盗難は、誰にでも起こり得ることなので、常に備えておく必要があります。データのバックアップを取っていれば、紛失した場合の時間とコンテンツの損失は、回避できます。

XP時代の終焉

10年前に実行していたOSWindowsであれば、そのバージョンはWindows XPだったでしょう。実際には、マイクロソフトは2004年までService Pack 2をリリースしていなかったため、おそらくそれはWindows XP SP1だったはずです。これは重要なことです。というのも、Windows XP SP1では、デフォルトでファイアウォールが有効ではなく、自動更新も備わっていなかったからです。ですから、Windowsを実行していたとすれば、ファイアウォールは動作しておらず、パッチも手動で当てなければなりませんでした。

 

そのため、10年前にワームやウイルスが猛威をふるっていたのは、不思議なことではありません。実際に、当時私たちは、SlammerSasserBlasterMydoomSobigなど、過去最悪の大発生をいくつか経験しました。中には、深刻な被害をもたらしたものもありました。Slammerは、オハイオ州の原子力発電所に感染し、バンク・オブ・アメリカのATMシステムをダウンさせました。BlasterはワシントンDCの郊外で列車を立ち往生させ、カナダの空港ではエア・カナダのチェックインシステムを停止させました。また、Sasserは、ヨーロッパの複数の病院で大規模に感染しました。

 

こうしたWindowsセキュリティの問題はきわめて深刻だったため、マイクロソフトは何か手を打つ必要に迫られ、対策を講じたのです。振り返ってみると、マイクロソフトはセキュリティプロセスを劇的に改善しました。同社が始めた取り組みは、Trustworthy Computing(信頼できるコンピューティング)と呼ばれるものです。ビル・ゲイツ氏は、セキュリティに関するメモを全社員に送信しました。マイクロソフトは、一定期間、新規の開発をすべて中止して、既存製品に脆弱性がないか調査し、修正しました。現在の64ビット版Windows 8が提供するデフォルトのセキュリティレベルは、Windows XPとは比較にならないほど向上しています。

 

他社も、同じように大幅な改善を行ってきました。マイクロソフトのOSが堅牢さを増し、攻撃するのが難しくなると、攻撃者は、より簡単な標的を探し始めるようになりました。彼らのお気に入りとなった標的が、Adobe ReaderAdobe Flashです。数年にわたってアドビ製品では次々と脆弱性が発見されました。更新方法が複雑だったため、ユーザのほとんどはきわめて古い製品を実行し続けていたのです。

 

最終的に、アドビもしっかりと対応しました。今日、Adobe Reader 11などのセキュリティレベルは、以前のリーダー製品とは比較にならないほど向上しています。

 

今、戦いの場は、JavaOracleに移っています。Oracleは、まだしっかりとした対応ができていないようです。いや、その必要はないかもしれません。というのも、実際にユーザはJavaを使用しなくなっており、JavaはすでにWebから姿を消し始めているからです。

 

今日のエンドユーザシステムのセキュリティレベルは、全体的にかつてないほど高くなりました。この10年間で、劇的に改善されたのです。

 

一方で、残念ながら、この10年間で戦いの相手も完全に変わりました。10年前までは、マルウェアはすべて、ホビイストが面白半分に作るものでしたが、今ではホビイストに代わって、新たに3つのタイプの攻撃者が現れました。組織犯罪者、ハクティビスト、そして政府です。

 

犯罪者と、特に政府には、攻撃に投資する資金が十分にあります。結果として、過去10年間の劇的な改善にもかかわらず、依然として私たちはコンピュータを安心して使うことができていません。

 

しかし、少なくとも10年前と違うのは、マルウェアが原因で、2週間に1回、航空機が飛ばなかったり、列車が停止したりすることはなくなったということです。




エフセキュア
主席研究員
ミッコ・ヒッポネン


#RSA #NSA #USA そして #Dual_EC_DRBG

日本がクリスマス3連休に浮かれている12月21日の土曜日の朝、Mikko Hypponenが流したtweetはシリアスだった。

  @Mikko I'm ashemed on behalf of the whole industry. RSA received $10M in order to use NSA's flawed encryption technology. (私はセキュリティ業界全体を代表して恥を感じている。RSA社はNSAの欠陥暗号技術を使うことで1000万ドルを受け取った)

  この時まさに世界中の暗号関係者とセキュリティ関係者の間にショックが広まりつつあった。Reutersが、アメリカの暗号技術企業としてよく知られているRSA社がNSA(アメリカ国家安全保障局)から1000万ドルを受け取り自社の暗号ソフトウェア製品に弱点のある数式を組込んだ、と伝えたからだ。
  この記事を書いたのはサイバー犯罪に関する本を何冊も出しているJoseph Menn氏。彼の「サイバークライム(原題"Fatal System Error")」の日本語訳が出版された際に、F-Secure ブログの執筆メンバーの1人の福森さんが監修した話題もあったほどだ。

  Reutersだけでなく、即座にArs TechnicaやRussia TodayやTech Crunchも記事をアップし、他のメディアも追随したため、この「弱点のある数式」とは「Dual_EC_DRBG」という楕円曲線関数を利用した乱数発生アルゴリズムだという事がすぐに明らかになった。乱数発生器は暗号技術の中でも中核であり、暗号鍵の生成に重要な役割を果たしている。しかしこの問題のある乱数発生器アルゴリズムは、NIST(アメリカ国立標準技術研究所)のSP800-90という規格として2006年にスタンダートとなっていたものだった。そのため、このアルゴリズムは、Windows VistaやOpenSSLにすら組込まれていた。

しかしこの「Dual_EC_DRBG」乱数発生器アルゴリズムは、じつは疑いの目で見られてもいた。Edward Snowdenの暴露した資料の中に「NSAはインターネットで広く使われる暗号技術を解読する複数の努力を攻撃的に進めた」ことを示唆するメモが含まれていたからだ。9月には、New York TimesとWiredが詳細な記事を載せた。そしてNISTも、このアルゴリズムの採用を見合わせるようにというアナウンスを出している。

  そしてMikkoもベルギーで開催されたTEDxのトークの時にもこのことに触れている。

 
  その日の内にMikkoは次のようにtweetした。Mikkoは2014年2月にサンフランシスコで開催予定のRSAコンファレンスにスピーカーとして招待されていたからだ。

  @Mikko If the Reuters story is true, I - for one - will be cancelling my invited talk and my panel participation in the upcoming RSA Conference. (もしロイターの記事が真実なら、私はRSAコンファレンスでの招待トークとパネル参加をキャンセルする。)

  2日経ってからRSA社は釈明文を掲載した。
しかしこれで疑念が晴れるかどうかわからない。NSAの活動は秘密であり、RSAとの密約がなかった事を証明することもできないのだから。


Update: 12月23日、MikkoはRSAと親会社のEMCに対し公開書簡を送り、正式にRSAへの招待をキャンセルすると発表した。
 日本語訳「EMCおよびRSAのトップ達への公開書簡」

これは多数のジャーナリストに取り上げられ波紋を起こしつつある。

だが、RSAコンファレンスのサイトでは12月26日JSTの時点で未だに変更がないようだ。クリスマス休暇で忘れているのだろうか。 
 http://www.rsaconference.com/speakers/mikko-hypponen 

 

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

10年前

 もしあなたが10年前のコンピュータでWindowsを実行していたのなら、それはWindows XPだった.

 実際には、十中八九Windows XP SP1(サービスパック1)を走らせていた。

 これは重要なことで、Windows XP SP1はデフォルトでファイアウォールが有効になっておらず、自動更新の機能もなかった。

 ということは、Windowsを実行していたのならファイアウォールが稼働しておらず、手動でシステムにパッチをあてなければならなかったということだ。そのパッチはセキュリティ上の脆弱性に満ちたInternet Explorer 6でダウンロードした。

 それならば2003年にワームやウィルスが蔓延したのも、驚くに値しない。

 実際に、2003年には史上最悪の大発生のいくつかを目の当たりにした。Slammer、Sasser、Blaster、Mydoom、Sobig、その他もろもろだ。

 深刻なダメージを与えることになったものもあった。Slammerはオハイオ州の原子力施設で感染したし、バンク・オブ・アメリカのATMシステムを落とした。BlasterはワシントンDCの外で列車を軌道上に停止させ、カナダの空港にあるエア・カナダのチェックインシステムを落とした。Sasserはヨーロッパにあるいくつかの病院で徹底的に感染した。

 こうしたWindowsのセキュリティにまつわる問題は、マイクロソフトが手を打たなければならないほどひどかった。そしてそれは為された。

 後からわかったことだが、同社はセキュリティプロセスにおいて壮大な改良を行ったのだ。

 マイクロソフトは信頼できるコンピューティングを開始した。立ち戻って古い脆弱性の発見と修正をする間、すべての新規開発を停止したのだ。

 今日では、64ビットWindows 8のデフォルトのセキュリティレベルは、Windows XPよりずっと進んでおり、比べものにさえならない。

 我々は、ほかの会社も同じような改善を行ったのを見てきた。

 マイクロソフトの出荷が攻撃するには厳しくかつ難しくなっていき、攻撃者はより与しやすい標的を探し始めた。

 攻撃者のお気に入りはAdobe ReaderとAdobe Flashだった。数年間にわたり、アドビの製品に脆弱性が次々に見つかった。そしてアップデートも簡単ではなかったため、ほとんどのユーザはひどく旧式の製品を使っていた。最終的にはアドビも同じ行動をとった。

 今日では、たとえばAdobe Readerのセキュリティレベルは、古いバージョンのPDFリーダーよりずっと進んでおり、比べものにさえならない

 現在、目下の戦いは、Javaとオラクルに関するものだ。オラクルは今のところ同じ行動をとっていないように見える。そして、その必要もなさそうだ。 ユーザは使わないことで意思を表明しており、JavaはすでにWebから消え去っている。

 エンドユーザのシステムの全体的なセキュリティレベルは、今やかつてないほどに向上している。この10年間に、大きな改善がもたらされたのだ。

 不幸なことに、この10年間に我々の戦う相手も完全に変わった

 2003年においては、まだすべてのマルウェアは楽しむためにホビイスト達によって書かれていたものだった。こうしたホビイストは、犯罪組織だけでなく、ハクティビストや政府といった新たな攻撃者に取って代わられている。犯罪者と、特に政府はその攻撃に投資する余裕がある。

 その結果として、このような素晴らしい改善がありながらも、我々のコンピュータはいまだ安全ではない。

 しかし少なくとも、2003年のように1週間おきにマルウェアによって飛行機が飛ばず列車が止まるといったことは見なくなった。

ミッコ・ヒッポネン
GrahamCluley.com」に初掲載

UNRECOMは今後のRATの主流になれるか

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft(UNiversal REmote COntrol Multi-Platform)に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの1つであるAndroRat(流出したソースコードと推測)をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム(Windows、MacOS、Linux、Android)の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

unrecom

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは?と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

アナウンス

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys


plugins



尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。(少なくともUnrecomの仕様に変更がなければ、です。)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)


alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

    参照URL:
    http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html


Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。


追記:
   かなり粗いですが、yara signatureです。
{
 strings:
  $Class = /opciones\/\w+\.class/
  $made = "desinstalador/MaDe.adwind"
  $gcon = "JTextPaneExample.class" nocase
  $plugin = "AdwindServer.class" nocase
 condition:
  any of ($Class) and ($made or $gcon) or $plugin
}

サポート終了後の“Windows XP”をどう守るか?

Windows XPのサポート終了が2014年4月9日に迫っています。過去の例では、2010年7月13日にWindows XP SP2のサポートが終了した際には、そのわずか2日後にWindows XP SP2も影響を受ける「マイクロソフト セキュリティ アドバイザリ (2286198)」のゼロデイ攻撃を行うマルウェア“Stuxnet”が出現しています。

そこで、サポート終了後になるべく安全にWindows XPを使用するためにキーマンズネット'Key Conductors'にてポイントを紹介させていただきました。

【1】  脆弱性攻撃がPCに届かないように、ゲートウェイレイヤでウイルス対策をする
【2】  URLフィルタなどを使い、危険なWebサイトへの接続を防ぐ
【3】  脆弱性攻撃を防ぐソフトを導入する
【4】  接続可能な社内サーバなどを制限する





詳細はぜひこちらをご覧ください。
http://www.keyman.or.jp/kc/sec/antivirus/30006602/

エフセキュア コーポレート向け製品 Windows 8.1 / Windows Server 2012 R2対応状況

エフセキュア株式会社は、コーポレート向け各製品がWindows 8.1およびWindows Server 2012 R2に対応しておりますことをお知らせいたします。

2013年10月18日(金)に日本マイクロソフト社のWindows 8.1とWindows Server 2012 R2が公開されました。
これに伴い、弊社のコーポレート向け各製品の両OSへの対応状況は次のようになります。





Microsoft Windows 8.1での動作確認済み現行製品

製品名                                                                                         バージョン
エフセキュア クライアントセキュリティ                                11.00
エフセキュア アンチウイルス ワークステーション                    11.00
エフセキュア プロテクション サービス ビジネス ワークステーション    10.00


Microsoft Windows Server 2012 R2での動作確認済み現行製品

製品名                                                                                         バージョン
エフセキュア Windowsサーバ セキュリティ                                       10.01
エフセキュア Microsoft Exchange & XenAppセキュリティ                  10.01
エフセキュア プロテクション サービス ビジネス Windowsサーバセキュリティ    10.00
エフセキュア プロテクション サービス ビジネス メールサーバ            10.00
                
•上記製品はインストール時にOSの互換性確認のポップアップが表示されますが、そのままプログラムを実行頂く事でインストールを完了でき、ソフトウェアの動作自体は問題ございません。
•上記製品の次バージョンは、両OSへ正式対応になります。

仮想スキャンサーバ(仮称)の新バージョン、ベータ・テスト開始

エフセキュアは、VDIなど仮想環境に特化した新しいセキュリティソリューション「仮想スキャンサーバ(仮称)」 (英語表記 Security for Virtual and Cloud Environment) ベータ版の新バージョンをリリースしました。新しいプラットフォームとしてXen ServerとHyper-Vへの追加対応を行なっています。またエージェント側では、最新のWindowsデスクトップOSであるWindows8.1と、最新のWindowsサーバOSであるWindows Server 2012 R2をサポート対象に加えました。

仮想スキャンサーバは、各仮想端末や仮想サーバに導入するエージェント「Offload Scanning Agent(OSA)」とウイルス検査を行う検査サーバ「Scan and Reputation Server (SRS)」で構成されます。OSAは各端末でファイルのI/Oやプロセスの挙動を監視し、必要に応じてウイルス検査をSRSにリクエストする役目を担います。エフセキュア製品の特徴である未知のウイルス対策・脆弱性対策の機能「ディープガード」* がOSAに実装されているため、従来の製品と変わらないセキュリティ性能をもっています。SRSはLinuxベースの仮想アプライアンスとして提供されるため、構築の手間はかかりません。またOSAおよびSRSは、エフセキュアのオンプレミス製品向け集中管理製品「エフセキュア ポリシーマネージャ」で管理することが可能なため、VDIを含む仮想環境と物理環境が混在する環境においても、従来の製品と同様に1台の管理サーバで管理することが可能となっています。



仮想スキャンサーバのベータ・テスト・プログラムにご希望の方は、御社名・ご担当者様名・連絡先メールアドレス・電話番号を記載の上、japan@f-secure.co.jp までご連絡ください。弊社担当者より、インストールモジュール、構築ガイドなどをご案内差し上げます。

*ディープガード詳細情報 http://www.f-secure.com/ja/web/business_jp/products/desktops/solution

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

脆弱性バウンティハンターが東京に集合? Mobile #Pwn2Own 日本で開催

  脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。

仮想アプライアンスによるゲートウェイ層でのマルウェア対策

今後サポート終了が予定されているWindows XPを使い続ける必要がある場合、未対策の脆弱性からどのようにPCを守るかが鍵となってきます。こうした観点からもゲートウェイレイヤでのマルウェア対策は、今日のセキュリティを考える上では必須の要件です。マルウェアの多くはOSやソフトウェアの脆弱性を悪用して感染するため、脆弱性が発見されても修正されないサポート終了後のOSは、マルウェアにとって格好の標的となります。OSやアプリケーションに脆弱性が存在する場合、エンドポイントでマルウェア対策を行っていても感染を防げないリスクもあります。

サポートが終了したOSを守る最適な方法は、PC上のウイルス対策に加え、マルウェアを近づけさせないことです。マルウェアの多くは、Webからのダウンロードやメールの添付ファイルとして配布されるため、Webとメールのゲートウェイでマルウェア対策を行うことが最も重要です。PCにマルウェアが到達した場合、PC上でマルウェア対策を行っていたとしても、修正されていない脆弱性を悪用して感染してしまうリスクがあります。

このような環境を考えて、「エフセキュア アンチウイルス
Linuxゲートウェイ」を、従来のソフトウェア版Ver4.11に加え、同等の機能を有した仮想アプライアンス版で提供することになりました。OSを含めて提供されるため、ユーザはOSそのものの導入やメンテナンスの手間を省くことができます。また仮想サーバとして動作するため、既存の仮想基盤があればハードウェアの追加投資無く構築することが可能です。

詳細は
、 http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1053302/ をご覧ください。

ソフトウェアがアップデートされない危険性

PCにインストールされている各種ソフトウェアのバージョンが最新でなくセキュリティパッチも適用されていない状態で使用することは脆弱性やセキュリティホール などのセキュリティ上のリスクをもたらします。これらは同時にビジネスのセキュリティレベルの低下を招き、情報漏洩などの社会的信頼の失墜により業績を低下させる危険があります。

企業にとって最も良い防御方法は、オペレーティングシステム、プラグイン、アプリケーション、ブラウザといったソフトウェアの最新バージョンを使用するよう に留意することです。しかし、すべてのコンピュータでソフトウェアを最新状態に保つことは、企業にとっては非常に負荷が大きく、特にITリソースが乏しい企業ではほとんど不可能な作業となっています。


「エフセキュア クライアント セキュリティ プレミアム」では従来のアンチウイルス、スパイウェア対策などのセキュリティ機能を提供しつつ、これらのセキュリティリスクを低減するための新たなソリューション「ソフトウェア アップデータ」を提供します。





「エフセキュア クライアント セキュリティ プレミアム」の特徴


エフセキュア クライアント セキュリティ プレミアム」には、オペレーティングシステムやアプリケーションを常に最新の状態に維持するソフトウェア アップデータが実装されています。ソフトウェアアップ データは、実施されていないセキュリティアップデートやパッチを確認するためにコンピュータをスキャンし、自動もしくは手動でこれらを適用します。ソフトウェア アップデータは、Windowsに 加えて、サード・パーティのアプリケーションのアップデートにも対応します。大半の脆弱性はオペレーティングシステムだけでなく、ブラウザ、プラグイン、 その他アプリケーションを含むサード・パーティのソフトウェアで見つかるため、最新の状態に保つことは非常に重要です。


さらに「エフセキュア クライアント セキュリティ プレミアム」は、ふるまい検知技術の最新版であるディープガード5を備えています。ディープガード5は、ゼロデイ攻撃を検知する能力を持ち、対抗するためのふるまい検知、メモリ検知、レピュテーション解析などの組み合わせを駆使したインテリジェントなアンチ・マルウェア・エンジンです。


無料アップグレードキャンペーン


ソフトウェアを常に最新に保つことができる「エフセキュア クライアント セキュリティ プレミアム」を、現在競業製品を使用中のお客さまにお求め安い価格でご提供するために、新規でご購入頂く場合、一年間「エフセキュア クライアント セキュリティ スタンダード」の価格でご利用可能なキャンペーンを実施します。また既存のお客さまには20%の追加費用でプレミアム機能を次回更新時までご利用可能にいたします。キャンペーン期間は、2013724日(水)から20131227日(金)弊社受注分までとなります。

キャンペーンの詳細は、キャンペーンチラシ (PDF 1.3MB)  をご参照ください。

人気のJava Exploitに改めて注意

現在、UGマーケットではJavaの脆弱性に関連した商品やサービスに注目が集まっています。
下図のようにJavaの脆弱性を標的としたEaaS(Exploit Pack as a Service)が提供されるなど、その注目度の高さが窺えます。このサービスでは、BASICとPROFESSIONALで提供されるExploitコードのタイプが異なります。端的にいえば、PROFESSIONAL版の方は標的に気付かれづらい作りになっています。6ヶ月間で50USDの差額をどう考えるかですが、ビジネスとしてサイバー攻撃を行っているグループには安い買い物でしょう。

security pack


このような背景があってかわかりませんが、2012年は日本国内を含め、ウェブ改竄被害が大変多く報告されています。先日、IPAよりウェブサイトの改竄に対して注意喚起が出ており、2013年も増加し続けています。国外の状況を含め調査しますと、これらの被害サイトの多くには悪性コードが挿入されたり、設置されています。複数のウェブサイトにおいて、類似ケースも確認されていることから、EaaSやSpreader等のサービスが利用された可能性は高いと考えられます。

このような現状に対し、IPAではこの注意喚起の中では、対策として主に次の3点を改めて推奨しています。
・Windowsの自動更新を有効に
・各種プログラムを最新に
・アンチウイルス以外の機能も持つ「統合型セキュリティソフト」の活用

いずれも基本的な対策であり、且つ大変重要な対策です。上図でも確認できるように、EaaSや一部のWeb Exploit Packではアンチウイルスソフトを回避するために、利用するExploitコードや不正プログラム等をチェックするためのツールが提供されています。そのため、アンチウイルススキャンのみでの検出が難しい場合があります。
この点を踏まえますと、上述の対策は最低限実施しておきたいところです。
また、UGマーケット内でのJava Exploitの人気を考えますとウェブブラウザのJavaを無効化等の対策も実施しておくとさらに安心です。

何はともあれ、これらの背景を踏まえますと、
・PCはJavaへの対応策は万全か
・ウェブサーバに覚えの無いコンテンツが設置されていないか
・アクセスログに不審なログは無いか(そもそも適切にログが取得されているか)

など改めて確認されてみては如何でしょうか。
併せて、攻撃トレンドの変化に付いていけるようにExploitコードや不正プログラム等の情報チェックも忘れずに。


Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

アップルの「セキュリティ」について、う〜ん、となってしまうこと

ティム・クック様

 最近「antivirus」という用語を検索したことはありますか? — 検索していないのではないかと存じます。

 以下は、現在Googleインスタント検索が提示している内容です。

google.com, antivirus

 ふむ、「antivirus for mac」 — 非常に興味深い。

 ご存知でしょうが、おそらくアップルの「セキュリティ文化」を改めるときがきたのではないでしょうか?

 別の検索をしてみましょう。apple.comで「security updates」を検索すると、以下の結果が得られます。

apple.com Search Results

 マーケティング資料ですね。一般的な。あ、サポート情報は右側にあるんですね。了解です。これで結構です。セキュリティはサポートの問題です。

 続いてapple.com/support/で「security updates」を検索すると、以下の結果が得られました。

apple.com/support/ Apple Support Search Results

 1件目は去年の12月のもので、それ以降にはさらに古い結果があります。しかし、本文の中ではセキュリティ・アップデートについて言及しているように見えます。記事を開くと、最終的にApple security updatesのインデックスへリンクしています。

 このインデックスは、このように見つけにくくするべきものではありません。それに、実際に前述の検索結果に現われるのに、このインデックスが引用符の中になければならないのはなんだか悲しいものです。

Apple Security Updates

 では、最新のセキュリティ・アップデートの記事を見てみましょう。

About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13

 ページの最後のほうに、Malware removalマルウェアの除去)という節があります。

Malware removal

 これはGoogleによって提供されている「summary要約)」という単語の定義です。

google, summary definition

 要約は無駄ではないでしょう。しかし「マルウェアの除去」がその中で触れられていないのは、ちょっとまずいと思わないのでしょうか。

 ここで、他の検索をしてみましょう。

 以下は、apple.com/support/にて「antivirus」を検索したときに得られる結果です。

Avoid harmful software

 Avoid harmful software(害のあるソフトウェアから免れる)?うわ〜、すばらしいヒントです。今が2009年であったのなら。

These apps, called

 Internet downloads and email enclosures(インターネットからのダウンロードや、メール添付)?

 非常に率直に申し上げて、このアドバイスは、2012年7月に書かれた時点で、既に時代遅れとなっています。

Last Modified: Jul 31, 2012

 「exploit(エクスプロイト)」「drive-by attack(ドライブバイ攻撃)」「watering holes(水飲み場)」…、当たり前ですがこれらに関連する事項に言及するように、この記事をどなたかに更新させてはいかがでしょうか。

 お聞きください。このようなことがありました。11年前、インターネット・ワームがWindowsを食い物にしており、結局、まさしく警鐘を鳴らすこととなりました。この時点でマイクロソフトは、同社のセキュリティ文化を変革しようと大いに努力し、成功しました。

 翻ってアップル社は?

 以下は、御社からの一節です。

 「当社の顧客を守るために、調査がすべて行われ、必要なパッチまたはリリースが提供できるようになるまで、アップルはセキュリティ問題について開示、議論、追認を行いません。」

 問題なのは次の点です。

 アップルはパッチを提供する「まで」問題を認識することを拒否しているだけでなく、事後に議論することさえしません。

 では、なぜこれが問題なのでしょうか。

 なぜなら、我々はもはやインターネット・ワームの時代に生きているわけではないからです。今はインターネット・ハッキングの時代なのです!大規模なMacユーザ基盤を持つ組織が、情報に基づき脅威を評価できるようにする、という意味において情報には価値があります。

 よりアップルのシェアがあるコミュニティほど、みんながもっと幸せになります。

 したがいまして、どうかアップルの秘密主義と否定の文化を変えることをご検討ください。

 御社には才能と親しみにあふれたセキュリティ担当アナリストがいるでしょう。彼らの尽力に光を当てないのはなぜでしょうか。彼らを中心に据え、彼らの優れた仕事を賞賛することをご検討ください。是非この問題に真正面から対処してください。

 なぜなら、それが正しい行動だからです。

 では。

エフセキュア
セキュリティ・アドバイザー

もっとも手が届きやすい果実:Java

 コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。

2004〜2008年:WindowsからOfficeへ攻撃がシフト

2004年8月 — Windows XP Service Pack 2がリリース

2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス

2005年6月 — Microsoft Updateの初回リリース

結果:Windows UpdateからMicrosoft Updateに置き換わって以降、時間と共に世の中のMicrosoft Officeの脆弱性が減った

2008〜2010年:攻撃の焦点が徐々にAdobeへ

2009年2月 — Adobe Reader has become the new IE(Adobe Readerが新たなIEになる)

From my point of view, Adobe Reader has become the new IE. For security reasons, avoid it if you can.

2009年3月 — Adobeが四半期ごとのアップデート・スケジュールを開始。「Patch Tuesday(訳注:Microsoftの定例アップデート)」と同日に入手できるようになる

  •  ASSET Blog:Adobe Reader and Acrobat Security Initiative

2009年4月 — OracleがSunを買収、Javaのオーナーに

2010年3月 — PDFベースの標的型攻撃が増加

Targeted Attacks

  •  Computerworld:Hackers love to exploit PDF bugs, says researcher

 Adobeはこのデータに驚いてはいなかった。「数多くの当社製品が相対的にユビキタスでプラットフォ―ム共通であることから、Adobeは攻撃者から注目を集めており、今後もさらに集め続けていくことになりそうだ。」

Given the relative ubiquity and cross-platform reach of many of our products…

2010年7月 — AdobeがMicrosoftのMAPPプログラムに参加

  •  ASSET Blog:Working Together: Adobe Vulnerability Info Sharing via Microsoft Active Protections Program (MAPP)

結果:Adobeがチーム・プレイヤーとなり、その成果を得た。

2010〜2013年:Javaが(複数のOSにおいて)もっとも手が届きやすい果実という称号に名乗りを上げる

2012年4月 — Adobeが「四半期ごとのアップデート」を終了し、必要に応じて毎月行うことに。マイクロソフトのアップデート・スケジュールに依然沿っている

  •  ASSET Blog:Background on Security Bulletin APSB12-08

2012年8月 — Javaランタイム環境 = 常に脆弱なマシン

2013年1月 — ZDNetのレポーターEd Bott氏が、Javaをフォイストウェアの新たな王だと断言

  •  ZDNet:A close look at how Oracle installs deceptive software with Java updates

2013年2月 — 多数の企業がJavaを原因とするセキュリティ上の欠陥を認める

  •  The Verge:After so many hacks, why won't Java just go away?

結果:ブラウザのJavaプラグインは公衆の敵ナンバーワンだと見なされる

 しかし待てよ。ブラウザのJavaプラグインを無効にするだけで十分だろうか?

2011年3月 — Spotify Freeのユーザが、悪意のある広告経由で攻撃される。少なくとも1つの攻撃で、Javaエクスプロイトが用いられる

  •  SC Magazine:Spotify in malvertising scare

 Javaを起動できるのは「ブラウザ」だけではないようだ。

2013〜201X年:Oracleが進化するか、JREが次第に重要でなくなる

 Oracleは1、4、7、10月の17日にもっとも近い火曜日にクリティカル・パッチ・アップデートをリリースしている。「Patch Tuesday」とは別の(遅い)日にこうしたアップデートをリリースすることで、今のところOracleは、IT部門に対し、パッチ・メンテナンスの評価や試験ミーティングの予定をさらに別に設定することを強いている。

 本当に何かを変えなければならない。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード