エフセキュアブログ

chrome セキュリティ を含む記事

さよならFlash!Google ChromeがHTML5をデフォルトにする予定

 先週の報道のとおり、GoogleのChromeブラウザの背後にいる開発チームは、2016年第4四半期中にHTML5をデフォルトとする計画を立てている。

 GoogleのテクニカルプログラムマネージャーであるAnthony LaForgeは次のように述べている。

 「Chromiumでは今年中に、Navigator.pluginsとNavigator.mimeTypesのデフォルトの応答を変えることにより、Flash Playerの存在をWebサイトに通知する方法の変更を予定しています。もしWebサイトがHTML5のエクスペリエンスを提供しているのなら、この変更によってHTML5が第一のエクスペリエンスになるでしょう。当社は引き続きChromeと共にFlash Playerを提供していきます。もしWebサイトで本当にFlashが必要な場合、ユーザが最初に当該サイトを訪れたときにページの最上部にプロンプトが現れ、そのサイトでFlashを許可するかどうかユーザに選択肢が与えられます」

 Google ChromeがほどなくAdobe Flashの廃止へと向かうであろうことを、今年すでに私は当社の2015年の脅威レポート上で予言していた。

Google Chrome Flash prediction

 そして、MozillaとMicrosoftもこれに続くだろう。これでワンアウト、あと2つだ…。

 脅威レポートから該当の記事を再掲する。


Flash:手の届くところにぶらさがっている最後の果実

 マルウェアによるエクスプロイトがコモディティ化して10年は経つ。2006年の間は特に顕著だったので、情報セキュリティのアナリスト達の間で、マイクロソフトの月例パッチ公開日「Patch Tuesday」の翌日を「Exploit Wednesday」と冗談めかして呼ぶようになった。迅速に対応することが、成功の鍵だ。火曜日にマイクロソフトが更新をリリースすると、その根底にある脆弱性を発見するべく、即座にリバースエンジニアリングが行われる。そして脆弱性が判明するとすぐにマルウェア攻撃で使用するためのエクスプロイトが作り上げられる。これはまだ更新していないユーザを攻撃することを目的としている。

 マルウェアキットの出現により、2006年遅くにマルウェアのコモディティ化はさらに進んだ。MPackのような初期のキットは、ますます増加する要求を満たすほど迅速に拡張ができず、それら自身の成功の餌食となった。しかしそのような成長の痛みは、マルウェアサービスによって間もなく解消され、今日では闇市場に多数のエクスプロイトキットがある。

 Exploit Wednesdayはもう終わった。マイクロソフトのソフトウェア[1]は10年前と比べ物にならないくらいセキュアになり、パッチもはるかに迅速に公表される。エクスプロイトキットは、マイクロソフトからアドビへと移行した。Acrobat Readerは(Flashも)一時期は最大の標的であった。しかしブラウザがネイティブにPDFをサポートし始めて、Acrobat Readerはほぼ不要になりつつあった。アドビ社は強力な更新サイクルを適用し、同社ソフトウェアは一時的に危険な状況から脱した。その次は、Javaのブラウザプラグインが標的として好まれるようになり始めた。群れの中の一番弱い者だからだ。ブラウザの開発者たちは、程度に差はあれ、極めて制限のある場所へとJavaプラグインを押し込めた。

 そして現時点では…、今でもエクスプロイトキットの標的となっているプラグインでは、アドビ社のFlashが最後で「最良」だ。しかし、どれだけ長い間、そうなのだろうか?

 2010年4月29日、スティーブ・ジョブスは「Thoughts on Flash(Flashについての考察)」という公開書簡を示した。ここでは、なぜアップル社がiOS機器上でFlashを許容しないのかについて説明がなされている。少なくともモバイル端末上では、その時がFlash Player終焉の始まりだと数多くの技術アナリストが指摘している。この指摘は真実だと証明された。2012年6月28日のアドビ社のアナウンスでは、Android 4.1向けの公式なFlash Playerの実装は提供せず、また2012年8月15日以降はGoogle Play経由でのインストールが制限されることになるだろうとのことだった。[2]

 それ以来Flashはデスクトップ市場にしがみついているが、見渡す限り非推奨になっている。2015年8月にはアマゾンが「2015年9月1日以降、Flash広告を受け付けない」と発表した。グーグルは2016年2月にアマゾンの先例に従った。グーグルの広告ネットワークであるAdWordsとDoubleClickも、2016年6月30日以降、Flashベースの表示広告の受け付けを停止する。また2017年1月2日には、Flashベースの広告を無効にする。

 この時点で、私は2017年前半のことを次のように予測をたてることができる。Flashベースの広告のサポートがもはや必要でなくなれば、Google Chromeブラウザは積極的にユーザが任意の種類のFlashを要求するサイトをホワイトリスト化するように求める。MozillaのFirefoxやMicrosoft Edgeでも同様になるだろう。そして2017年の春までには、エクスプロイトキットが憂慮される限りFlashは効率的に馘首されることになる。

 目に見える新たな果実がろくに無いという、破壊的な未来にエクスプロイトキットは直面している。コモディティ化されたマルウェアサービスは、現在流行中のマクロベースのマルウェアのような、添付ファイルのマルウェアの使用へとさらに転換するだろう。

 人々がダイアログを消すために「OK」をクリックするのを防ぐことができさえすればいいのだが。

[1] Silverlightは全面的に例外で、現在キットとして悪用されている。だが、NetflixはSilverlightをお払い箱にしており、願わくば同技術もすぐに絶滅するだろう。

[2] 皮肉なことに、Androidマルウェアの多くのやり取りは、Flashの更新が必要だと主張する、虚偽の広告経由でプッシュされる。Flashが存在しない場合でも、その遺産がソーシャルエンジニアリング上の脆弱性をもたらすことになる。グーグルの検索エンジニアたちは、そのような広告を表示するサイトについてChromeが警告を行うように設計し始めている。

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

脆弱性バウンティハンターが東京に集合? Mobile #Pwn2Own 日本で開催

  脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

Flash:クリックして再生する

 2月の間、AdobeはFlash Playerのセキュリティ・アップデートをいくつかリリースした。

Security bulletin APSB13-04

 「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。」

Adobe APSB13-04

 FirefoxまたはSafariを経由したMacへの攻撃については、我々は2月8日に言及している。

Security bulletin APSB13-08

 「ユーザをだまして、悪意のあるFlash(SWF)コンテンツを提供するWebサイトへと誘導するリンクをクリックさせる標的型攻撃の中で、CVE-2013-0643およびCVE-2013-0648が世間で悪用されているとの報告については、当社も認知している。CVE-2013-0643およびCVE-2013-0648に対するエクスプロイトは、Firefoxを標的に設計されている。」

Adobe APSB13-08

 「このアップデートは、FirefoxのFlash Player用のサンドボックスにおける権限の問題を解消する(CVE-2013-0643)。」

 Firefoxのサンドボックスから抜け出すのか?良くないね。

 幸運なことに、Windows上ではFlash Playerは比較的よく自動更新される。

 それからMacだが、現在AppleはXProtectコンポーネントによって古いバージョンをブロックしている。

 Appleはその条件をぐらつかせており、始めはバージョン11.5.502.149以上としていた。

XProtect 2013.02.26

 現在必要な最低バージョンは11.6.602.171になっており、これは最新のものだ。

XProtect 2013.02.28

 アップデートや最低要件はすばらしいが、ChromeやFirefoxのユーザにはさらに優れたもの、つまり「Click to play(クリックして再生する)」がある。「Click to play」を有効にすると、ユーザが実際に実行したいものではない場合、プラグインが起動しないように制限される。

 Chromeの場合は「chrome://settings/content」に行って「Plug-ins(プラグイン)」を検索する。

chrome://settings/content

 Firefoxなら「about:config」の設定ページを開き、「plugins.click_to_play」を検索し、値をtrueに設定する。

Firefox, plugins.click_to_play

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

Internet Explorerの複数のバージョンにいまだ脆弱性あり

 1週間前は、マイクロソフト社がただちにInternet Explorerの最新の脆弱性に対するパッチを用意するかは、まだ明らかになっていなかった。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 今では、当該パッチは1月のセキュリティ・アップデートには含まれなかったことが分かった。これで定例外でパッチが出る可能性が持ち上がった。とはいうものの、まだ限定的なエクスプロイトしか見られない(標的型攻撃の報告については現在調査中)。

 以前のガイダンスを繰り返し示す。

 Windows 7なら、Internet Explorerのバージョンを9以上にアップデートする。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 XPとIE 8の使用が求められる、企業や他組織のユーザには、マイクロソフトはFix itツールを入手できるようにした。

 詳細はこちら。「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8

Fix it:Internet Explorer 8の脆弱性

 1つ前の投稿で触れたとおり、Internet Explorerにはリモート・コード実行の(ゼロデイ)脆弱性があり、野生状態で悪用されている。この脆弱性は、IE 6やIE 7と同様、IE 8に影響がある。この3つのバージョンのIEは、 デスクトップ機の全ブラウザのマーケット・シェアの約3分の1を占める。

 現状ではエクスプロイトの利用は限られているが、確実性の高いエクスプロイトが、すぐにクライムウェア・エクスプロイト・キットへと発展することは、大いにあり得る。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 IE 9およびIE 10にはこの脆弱性はない。しかしWindows XPはIE 9とIE 10をサポートしていないので、XPユーザにとっては大きな慰めにはならない。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 企業ユーザには、(引き続き)XPとIE 8の使用が求められる。マイクロソフト社はFix itツールを入手できるようにした。

Microsoft Security Advisory 2794220, Fix it

 同社のSecurity Research & Defenseブログの記事「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8」で詳細を確認できる。

 なお、マイクロソフト社の定例アップデートにおける次のサイクルである1月8日に、この脆弱性に対するパッチが出るかは、まだ定かではない。

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

Internet Explorerゼロデイと安全なブラウジング

  Javaゼロデイ「CVE-2012-4681」の背後にいる人びとは忙しくしている。このJava脆弱性が公表されたのは、わずか2、3週前のことで、現在彼らはInternet Explorerバージョン6、7、8および9で、再びセキュリティホールを発見した。

  この脆弱性を悪用するコードがイン・ザ・ワイルドで発見されており、悪意あるWebページが、ヒープスプレーにより他のファイルをロードさせるFlashファイルをロードする。その後、こうした他のファイルが悪用可能なIEのバージョンをチェックし、悪意あるペイロードのダウンロードを招く脆弱性を利用する。この問題については、ここで詳細に議論されている。

  Microsoftはこれに対応し、アドバイザリをリリースしている。しかし、まだフィックスのETAは明記していない。

  エフセキュアでは、この脆弱性を標的とするエクスプロイトに関連するサンプル用の検出をリリースした:

Exploit:W32/Defeater.B
Exploit:W32/Defeater.C
Exploit:W32/SWFdloader.R
Trojan.Dropper.UIU

  現在はMetasploitモジュールが存在し、同コードは既に非常に明らかになっているが、我々はこれらの検出のみに頼るのではなく、今後、他のインプリメンテーションの可能性から身を守るため、絶えず警戒を怠らないことも強く推奨する。IEとゼロデイでは、すべての非常ベルがなり響き、管理者は悪用により引き起こされるかもしれない騒動の可能性になすすべもなくパニックを起こしたものだ。しかし時代は変わり、現在は誰にとってもより多くのオプションが存在する。同脆弱性が修正されない間は、どうか他のブラウザを使用して頂きたい。いまのところChrome、Firefox、Internet Explorer 10から選択できる。

  IE 10は、この脆弱性の影響を受けない。

「インターネット セキュリティ 2013」ベータ版のテスタを求む

  こんにちは、皆さん! エフセキュアのInnovation & Customer Involvementチームから、お知らせして欲しいと頼まれたスペシャルオファー(あなたのためのものだ!)がある。前置きはこのくらいにして…

  エフセキュアの「インターネット セキュリティ 2013」ベータ版をご紹介しよう。

Try Internet Security 2013

  新しい点は?

What's New with Internet Security 2013

  「Google Chrome」をサポートしている。言い換えれば、ブラウザに依存しないオンラインでの安全性、クライアントサイド、特定のブラウザの束縛を受けない、ということだ。ファイアウォールアプローチが調整されている。我々の行動エンジン、ディープガードが新しくなった。(そしてその他多くのクールな新技術がある。)

  詳細はここにある。








ローカライズされたランサムウェアでフィンランド人が標的に

ここ数日、我々はフィンランド語にローカライズされ、フィンランド警察からのものだと称するランサムウェアが、フィンランド人を標的にしているという報告を受けとっている。

  問題のランサムウェアは、我々が「Trojan:W32/Ransom」と呼んでいるファミリーの一部で、ヨーロッパの数カ国でローカライズされている:ドイツ;英国;スペイン;そしてフィンランド。全ての国で、このソーシャル・エンジニアリング手法は同一だ。感染すると、同ランサムウェアはInternet Explorerをフルスクリーンに拡大(F11)し、地元の警察部隊からとして、ユーザのコンピュータが幼児虐待および動物虐待を含むサイトをブラウジングするのに使用されているというメッセージを表示する。また、テロリズムに関連するトピックの電子メールスパムを送信するのにも用いられており、罰金を支払うまではロックされるとも主張する。

kuvakaappaus
Image: Poliisi

  このケースでは、ランサムウェアは「Tietoverkkorikosten tutkinnan yksikko」、翻訳すると、情報ネットワーク犯罪ユニットからのものだと主張する。しかしフィンランド警察には、このような名称のユニットは無い。また、フィンランド語のクオリティもあまり高く無く、連絡先が「cyber-metropolitan-police.co.uk」となっていることも注意すべきだ。更に調査したところ、「cyber-metropolitan-police.co.uk」ドメインは、ポーランドのGette居住の架空の人物「be happy」氏に登録されていることが分かった。何とも信頼できそうなことだ。

  フィンランド語の身代金メッセージは、 Paysafecardを使用して支払いするよう求めている。これは匿名のオンライントランザクションで使用できる使い捨てのプリペイドカードだ。フィンランドのキオスクで全国的に販売されている。

  「エフセキュア インターネット セキュリティ」はTrojan:W32/Ransomの既知の亜種を、ファミリーネームもしくはジェネリックディテクションネームで検出するが、いつものように、注意した方が良い。我々のバックエンド統計は、これが確かに「liikkeella」(イン・ザ・ワイルド)であることを示しているのだ。

  このトロイの木馬の最初の感染ベクタは、JavaランタイムエクスプロイトかAdobe Acrobat PDFリーダーエクスプロイトだったが、使用されている新規の(ゼロデイ)エクスプロイトについての情報は無い。

  よって安全を守るには:

1. Acrobat PDFリーダーを最新版にアップデートするか、他のPDFリーダーにスイッチすること。
2. Javaランタイムをアップデートする。あるいは、Javaが必要ないなら、アンインストールするのが非常に望ましい。Javaが必要ならば、少なくとも使用していない時はブラウザで使用停止することを考えて欲しい。もしくは、Javaが未知のサイトから実行される前に知らせてくれるGoogle Chromeにスイッチしよう。

  もしランサムウェアによりコンピュータに障害が起きているなら、マルウェアの作者に一切支払をしないこと。ほとんど全てのケースで、支払をしたところでコンピュータは解放されないのだ。また、フィンランド警察も、世界のいかなる警察も、罰金の支払いにPaysafe、Ucash、あるいはその他のプリペイド請求システムを使用することは無い。もしメッセージが、クレジットカードもしくはその他の支払い方法を求めた場合は、ほぼ間違いなく詐欺であり、本物の政府職員では無い。

リンク:

  •  フィンランド警察の勧告 08.03.2012
  •  フィンランド警察の勧告 09.03.2012
  •  Cert-FIの勧告

2012年へ秒読み開始!

2009年5月に産声を上げたエフセキュアブログも遂に2012年で3歳を数えようとしております。これもひとえに関係者のみなさま、読者のみなさまのご支援あってのことと、2011年から2012年に移るこの機会に改めて感謝の気持ちでいっぱいでございます。略儀ではございますが、この場を借りて心より御礼申し上げます。
続きを読む

ソーシャルメディア時代の脆弱性報告

  昨晩、古い電子メールを探していて、以下の奇妙なヘッダを見つけた:

Tweetdeck XSS

  ユーモアのセンスを持つ誰かが、メールのヘッダにXSSジョークを挿入したのだ。

  面白いと思ったので、このことについてTwitterに投稿した:

Tweetdeck XSS

  数分後、私はRobin Jacksonが以下のようにリプライしているのに気づいた:

Tweetdeck XSS

  あり得ない。ツイートが「スクリプト」タグを含んでいるからといって、Javascriptを実行するTwitterクライアントは無い。

Tweetdeck XSS

Tweetdeck XSS

  本当であることを示すため、Robinはスクリーンショットを投稿してくれた。

Tweetdeck XSS

  彼が使用しているクライアントは、Chrome用のTweetdeckだった。開発者に報せなくては。そしてもちろん、彼らもTwitter上にいる。

Tweetdeck XSS

  TwitterのセキュリティチームのRandy Janindaが、数分で反応した:

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

  そしてほんの2時間後には、Twitter開発チームのTom Woolwayから、修正が完了したという知らせをもらった:

Tweetdeck XSS

サインオフ
ミッコ


Safer Internet (Update) Day

  2月8日は、子供たちにとってインターネットをより良い場所にすることを目指す日、「Safer Internet Day」だ。あなたのお子さんがオンラインになる前に、彼らのコンピュータがセキュアなソフトウェアで最新の状態になっていることを確認したい。今月は、インストールすべきアップデートやパッチが数多く登場している。

  Microsoftの「セキュリティ情報」には、全バージョンに影響を与える「Internet Explorer」用のアップデートが含まれている。

Microsoft Security Bulletin February 2011

  最も影響の少ないOSは「Windows XP Service Pack 3」であることに注意したい。「Service Pack 2」は昨年、アップデートサイクルから外れたからだ。子供たちはしばしば、「お下がりの」コンピュータを与えられる。子供に古いハードウェアを与える前に、現在のサービスパッックがインストールされていることを確認しよう。代用のブラザも考慮すべきだ。

  とはいえ、他の選択肢もまた、不安要因が無いわけではない。

  Googleは最近、「Chrome」をバージョン9.0.597.84に修正した。

  もう一つのポピュラーな選択肢であるVLCメディアプレーヤには、悪意ある攻撃者が任意のコード実行を誘発する事が可能になる、無効なMKVファイルをパースする際の欠陥がある。VLCメディアプレーヤー1.1.7はこの問題に対処しているので、アップデートするか、信頼できないダウンロード(そしてVLCプラグインをインストールしているなら信頼できないサイト)を避けることだ。

  Adobeも今日、Adobe ReaderおよびAcrobat用のアップデートをリリースしている。影響を受けるバージョンは、WindowsおよびMacintosh用のAdobe Reader X (10.0) およびそれ以前のバージョンだ。

A HAPPY NEW YEAR 2011

新年あけましておめでとうございます!本年も何卒よろしくお願い申し上げます。続きを読む

報告された攻撃サイト! - セキュリティツールの最新のトリック

  攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。

PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?

※管理人註 : プロブレマティック(Problematic)=問題のある、問題の多い

  セキュリティが貧弱であるとして、AdobeのPDF Readerが多くの批判を受けている。しかし、問題は特定のPDFリーダー・ブランドだけのものではない。

  皆さんはPDFファイル・フォーマットの仕様書をご覧になったことがあるだろうか? ここからダウンロードできる(PDF)が、756ページもある。いや、本当に。

  PDFのスペックには、おかしなものがいくつかある。

  以下を見て欲しい

PDF specs

  ムービーや歌を埋め込むことができる。PDFファイルに。ええっ?


PDF specs

  PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?


PDF specs

  PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか?


PDF specs

  PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?


  このようなスペックを持っているのだから、Adobe Readerを立ち上げ、すべてのプラグインをロードするのに時間がかかるのも無理はない。

  一般のPDFリーダーに通常セキュリティ問題があるのも不思議ではない。

  最高の例は、Didier Stevensのブログに掲載されている「Escape from PDF」デモだ。

  「Foxit Reader」のユーザーは、DidierのデモPDFファイルを開いてみよう。開いた後、ファイルはシステム上でCMD.EXEを実行するだろう。何の質問も無く。そしてこれは、エクスプロイトを使用していない正当なPDFファイルなのだ。

  リスクを軽減する一つの方法は、Webから自分のマシンにPDFファイルを一切ダウンロードしないことだ。ローカル・マシンでファイルを開く代わりに、Google Docsのようなビューワでリモートに開くことができる。このプロセスはgPDF(Chrome/Opera/Firefox/Iron用)のようなプラグインを使用すれば、完全に自動化することができる。注意して欲しいのは、これは皆さんがパブリックWebでアクセスするPDFファイルでのみ通用するという点だ。

  さもなければ、できる限り一般的でないPDFリーダーを使用することを推奨する。ユーザーが少ない製品ほど、攻撃されることも少ないのだから。

「エフセキュア ヘルスチェック」をアップデート

health-check-128  エフセキュアのオンライン_ツール・チームがこのほど、「エフセキュア ヘルスチェック」ユーティリティのアップデート版をリリースした。シグネチャ・データベースをアップデートした他、以下の新機能が追加されている:

  • 「エフセキュア ヘルスチェック」を実行するよう、毎月電子メールでリマインダを送信
  • 「Chrome 3.0」および「Opera 10.10」をサポート

  要約:「エフセキュア ヘルスチェック」は、皆さんのコンピュータが安全かどうかをチェックするオンライン・ツールだ。忙しいコンピュータ・ユーザのコンピュータやプログラムのセキュリティ・メンテナンスの手続きを、シンプルにする手助けをするよう設計されており、以下のような機能を持っている:

  • もっとも頻繁に使用するプログラム(OS、ブラウザ、メディア・プレイヤー等)のセキュリティ・アップデートをチェック
  • 文書、画像ファイルなどがバックアップされているかをチェック
  • コンピュータの「健康状態」あるいは全体的なセキュリティの概要、改善のためのアドバイスを提供

  「エフセキュア ヘルスチェック」はここでお試し頂ける。

  また、Webサイトを運営されている方は、「エフセキュア ヘルスチェック」を無料のWebウィジェットとして利用することができる。

Charlie MillerとのPwn2Ownインタビュー

  2年続けてPwn2Ownコンテスト(管理人註:ハッキングを競う形式で脆弱性を探し、システムやOSの安全性向上をはかるのために開催されているコンテスト)の勝者となったCharlie Millerが、インターネット・セキュリティについての見解を語っている。何と、Mac OSはMicrosoft Windowsに劣らず脆弱なのだ。

Windows 7あるいはSnow Leopardという2つの商用OSは、ハックがより難しいでしょうが、それは何故ですか?

Windows 7の方がやや難しいですが、それは完全なASLR(Address Space Layout Randomization:アドレス空間レイアウト・ランダム化)を実装しており、攻撃にさらされる面(たとえばデフォルトのJavaやFlash)がより小さいという理由によります。Windowsはかつて、完全なASLRとDEP(data execution prevention:データ実行防止)を実装していたため、より難しかったものです。しかし最近、Black Hat DCでの講演で、これらのプロテクションをWindowsのブラウザで如何に回避するかが示されました。

  攻撃の影響を受けないオペレーティング・システムやブラウザは存在しないのだ。

OSとブラウザの組み合わせで、より安全なものは何だと思いますか?

良い質問ですね。Windows 7でChromeもしくはIE8を、Flashをインストールせずに使うという組み合わせでしょう。どちらのブラウザにするか、あれこれ考えるほどの違いは、おそらくありません。肝心なのはFlashをインストールしないことです!

  同インタビューは、OneITSecurityのMatteo Campofioritoにより行われた。完全版はここで読むことができる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード