エフセキュアブログ

gmail を含む記事

論文:C&C-As-A-Service

 当社のスレットインテリジェンスチームの研究員であるアーチュリ・リーティオ(Artturi Lehtio)は、C&Cの経路としてサードパーティのWebサービスを悪用する件についての論文を先日のVB2015で発表した。

C&C-As-A-Service: Abusing Third-Party Web Services As C&C Channels

 以下が、その要約である。

 モダンなマルウェアの運用には、セキュアで信頼性があり、検知されない手段でマルウェアの制御や通信(C&C)を行うことが不可欠だ。しかし、通信インフラを自前で設計、実装、維持することは容易ではない。セキュアで信頼性のある通信に関心があるのは、偶然にもマルウェア運用者だけではない。人気のWebサービスもまた、セキュアで信頼性のあるサービスを顧客に提供したいと考えている。加えて、人気のWebサービスは大量の特定困難なWebトラフィックを生み出すという現実がある。そうしたWebサービスは、非常に魅力的に映り始めるだろう。その結果として意外なことでもないが、近年、TwitterやFacebook、GmailといったサードパーティのWebサービスをC&Cサーバとして悪用することが、マルウェア運用者の間で流行りつつあることが見て取れる。

 モダンなマルウェアがサードパーティのWebサーバをC&Cの経路として悪用する方法について、この論文では多数調査している。一般的なサイバー犯罪に始まり標的型の国家のスパイ行為に至るまで実在した例を用い、マルウェアに採用された方式ともっとも頻繁に悪用されたWebサービスの双方について、概観を包括的に示している。この論文ではさらに、マルウェアの運用者がサードバーティのWebサービスをC&Cの経路として悪用した場合にもたらされるメリットおよびデメリットを分析している。最後に、こうした方法がマルウェアの検知や回避に及ぼす課題について検証する。

 アーチュリの講演のスライドは、Virus Bulletinでダウンロードできる。

 また、論文「C&C-As-A-Service」はここにある[PDF]。

3人の政治家が公衆無線Wi-Fiでのハッキング被害を経験

ロンドンで行われた調査で、公衆無線Wi-Fiを使用しているターゲットから個人データが簡単にハッキングされることがあることが分かりました。セキュリティやプライバシー保護のソフトウェアを手掛けるエフセキュアは、侵入テストを専門とするMandalorian Security ServicesとCyber Security Research Instituteと協力して、テストを行いました。テストは3人の政治家のデバイスに侵入するというものでした。

英国政界で大きな権力を持つ議会から選ばれた3人の政治家は、デイヴィッド・デイヴィス下院議員メアリー・ハニボール欧州議会議員ストラスバーガー上院議員です。3人は、それぞれの議会において重要な地位にありがらも、正式なトレーニングを受けておらず、3人全員が通常使用していると認める公衆無線Wi-Fiの使用中にコンピュータが比較的簡単に攻撃される可能性があるという情報も知らされていないと認めました。調査は3人の政治家の許可を得て行われました。

自分のEメールにアクセスされたデイヴィス議員は、「正直に言って、かなり恐ろしいです。抜き取られたのはとても厳重なパスワードです。多くの人が使っているものよりも厳しいパスワードでした。これでは全く『パスワード』とは言えません」とコメントしました。驚くべきことに、パスワードはどんなに厳重なものであっても破られてしまいます。公衆無線Wi-Fiは本質的に安全ではないのです。ユーザ名とパスワードが無線Wi-Fiのアクセスポイントの裏側に普通のテキスト形式で表示され、ハッカーは簡単に盗むことができるのです。

リスクを分かりやすくするために、エシカルハッカーのMandalorianは、英国独立党へのくら替えを表明するEメールの下書きを作り、全国紙向けに発表予定の下書きフォルダーに入れました。その後、Mandalorianのペイパルのアカウントが不正アクセスされます。Gmailと同じをユーザ名とパスワードを使ったからですが、これは広く行われていることです。

ストラスバーガー議員の場合には、ホテルの部屋でのボイス・オーバー・インターネットプロトコル(VoIP)の通話が傍受され、インターネット上で無料で使え、しかもマスターするのも比較的簡単なテクノロジーで録音されました。ストラスバーガー議員は、「とても心配です。非常に強力な技術です。初心者が短時間で使えるようになると考えると本当に心配です。(テクノロジーを利用する際には)もっと知っておく必要があることがこれで証明されたと思います。最終的には、自分の面倒は自分で見なければならないのです。他の誰かがやってくれるわけではなく、自分の問題なのですから」と述べました。

欧州議会で「We Love Wi-Fi」キャンペーンを担当しているメアリー・ハニボール欧州議会議員には、カフェでインターネットにアクセスしているときに、フェイスブックから送信したように見える、タイムアウトしたため自分のアカウントに戻るように指示するメッセージをエシカルハッカーが送信しました。ここから、どのようにして同議員が知らないうちに自分のログインパスワードをハッカーに知られ、それを使ってフェイスブックのアカウントにアクセスされたかが明らかになりました。

ほんの数日前に欧州議会のテクノロジー担当者から支給されたタブレットを使っていたハニボール議員は、アドバイスがなかったことを特に懸念しています。「みんなパスワードですべて心配がなくなると思っているのですから、何か手を打つべきだと思います。私はいつもパスワードがポイントだと思っていました。驚きましたしショックです」と述べました。

それぞれの侵入の事例では、ハッカーは簡単にパスワードで保護されたサービスを回避できるということだけではなく、いかにして個人データがさらなる攻撃に利用されるかも明らかになりました。「誰がどのスポーツチームのファンなのかということはハッカーにとっては役に立たない情報だと、普通の人は考えるでしょう」とMandalorianのディレクターである、スティーブ・ロードは言います。「しかし、それが知られてしまうと、あなたが開封する可能性が高そうな、あなた自身やあなたの好きなものについてのフィッシングメールを、ハッカーは作ることができるのです。メールの中のリンク先をクリックするか、添付ファイルを開けてしまうと、つかまってしまいます。デバイスにマルウェアを入れられ、あなたの情報のすべてを与えてしまうことになるのです。それだけではなく、会社のネットワークにアクセスしているデバイスの場合には、会社の情報も与えてしまいます。」

エフセキュアのセキュリティ・アドバイザーのショーン・サリバンは、公衆無線Wi-Fiを使う人にこのようにアドバイスします。「公衆無線Wi-Fiを使うことを恐れるべきではありません。これは素晴らしいサービスです。しかし、それにはリスクがあり、自分を守る責任は自分にあるということを理解しなければなりません。仮想プライベートネットワーク(VPN)というソフトウェアを使えばよいのです。電話やタブレット用にはアプリがあります。当社のFreedome VPNはデバイスからネットワークに送られるすべてのデータを暗号化しますので、ハッカーは使えるものは何も盗めないのです。オンにするだけで、公衆無線Wi-Fiを使う場合でも、可能な限り安全に保護されますので、安全かどうかを心配せずに、自分のやりたいことに集中することができます。」


詳細情報:  
The Great Politician Hack (ポッドキャストと動画)http://privacy.f-secure.com/2015/07/08/the-great-politician-hack/
Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

コンテンツにお金を払うということ

 初めて当社のWebサイトをセットアップしたときのことを、筆者は覚えている。それは、20年前、1994年のことであった。Webは非常に若く、ほんの一握りのWebサイトしかなかった頃だが、Webが成長していくことは容易に予測できた。そしてもちろん、ここ20年の間に、爆発的に数が増えた。さらに重要なことは、Webが普通の平凡な人々をインターネットに招き入れたことだ。Web以前は、ネット上ではギークやナードしか見られなかった。今では誰もがネット上にいる。

 さかのぼること1994年、やがてくるWebの成長は何が契機となるのかについて、我々は予測を行った。Webが成長するためには、オンラインコンテンツ、つまりニュースや娯楽のようなコンテンツが存在することが必要だ。そしてニュースや娯楽がネットに移行するには、誰かがそれに対価を支払わねばならない。ではユーザは、どうやってお金をオンラインコンテンツに支払うのか?我々にはまったくわからなかった。新聞が紙バージョンでやっているように、オンラインでの年間購読費用の課金を始めるのだろうか?あるいはWebがオンラインのオンデマンド支払いシステムの類と統合し、コンテンツにアクセスするためにブラウザ内で少額決済をする簡単な方法がユーザに用意されるのかもしれない。これはDilbertという漫画の本日分を読むために、ユーザがいわば1セントを支払うようなことができるというものだ。

 ご存じのとおり、そのような少額決済システムはまったく現れなかった。20年前でもこのように明白なことのように見えたのに。その代わり、明るみになったオンラインコンテンツへの対価の支払い方法は、まったく異なる。つまり広告だ。Webサイトで最初にバナー広告を見たときのことを私は覚えている。おそらく1995年か1996年のことだ。他の誰かのWebサイトに広告を表示するために対価を支払う企業の考えに、苦笑がこぼれた。笑うべきではなかった。これと同じ考えが、今はほぼすべてのオンラインコンテンツを後押ししている。そして、GoogleFacebookといった企業では、高度に効率化された広告プロファイルエンジンが実質的にすべての利益を生み出している。

 ユーザプロファイルがどれほど利益につながり得るかについて、とりわけGoogleは好例だ。Googleのサービスには検索、YouTube、マップ、Gmailなどがあるが、これらは無料だ。1セントも支払わずに利用できる。こうしたサービスを稼働させるのは甚だしく高額である。Googleの電気料金だけでも、年間1億ドルを超える。非常に高価なサービスを提供しつつ課金をしない企業は損失を出していると考えるかもしれないが、そうではないのだ。2013年、Googleの収入は600億ドルであった。そして利益は120億ドルである。つまり、Googleには10億人のユーザがいると謙虚に見積もったとして、Googleは昨年ユーザ1人当たり12ドルの利益を得た。1セントたりも支払うことなくだ。

 率直に言えば筆者は、追跡やプロファイルをしないのであれば、Googleのサービスを使うのに喜んで年間12ドルを支払う。ふん、年間100ドル支払ったっていい!しかしGoogleはそういう選択肢を筆者に与えない。我々、つまりユーザたちは、我々のデータや行動をプロファイルおよび保存されることで、長期的にはもっと価値があるのだ。

 もちろんGoogleは営利企業だ。不法なことは何もせずに我々をプロファイルしている。我々が自身のデータをGoogleに自発的に提供しているのだ。そしてGoogleのサービスは素晴らしい。しかし時折、物事が違った形になり、コンテンツやサービスに対して支払いを行う単純な少額決済システムがあったらと願うことがある。今や暗号通貨が立ち上がったことで、これはいずれは現実になるかもしれない。

 ミッコ・ヒッポネン

 この記事は、エフセキュアの2014年上半期の脅威レポートの序文として初めに公表された。

盗まれた12億人分のパスワード・・・私たちへの影響は?

報道されているとおり、ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが分かりました。この大量のパスワードの中に皆さんのパスワードが含まれていても不思議ではありません。しかし、実際のところ何が起こっているのでしょうか。なぜこれが私たちにとってリスクとなるのでしょうか。そして、個人としてはどう対応すべきなのでしょうか。その内容を少し詳しく見ていきましょう。
 
まず、webシステムでは毎日システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。これは今に始まったことではありません。このニュースの本質は、その規模にあります。ロシアのハッカー集団は、ネット上で脆弱性のあるシステムを探し出すために強力なスクリプトを使って自動的にハッキングし、その結果、この極めて大量のパスワードが盗まれることとなったのです。しかし、この事件を記事にしたり、話題にすることは今もなお有益です。というのも、この事件は、個人のパスワードに関する習慣がなぜ重要であるかを再認識させてくれるからです。
 
ではまず、一般的なインターネットユーザがどのような過ちを犯すのか検証していきましょう。ここにアリスというインターネットユーザがいます。

 1. アリスはGoogleでメールアカウントを作成します。運よく、alice@gmail.comは誰にも使用されていませんでした。彼女は安全とされるパスワードの基本条件を知っており、大文字、小文字、数字、特殊文字を含んだパスワードを設定しました。

 2. アリスは、頻繁にネットを利用し、FacebookなどのSNSやディスカッションフォーラムを利用しています。その多くで、alice@gmail.comをユーザIDとして使用しており、パスワードも同じものを使用することは非常に合理的です。パスワードはメールアドレスとセットのようなもので、複数のパスワードを覚えたい人などいないでしょう。

 3. そこへ悪意のあるハッカーが登場し、脆弱なシステムを見つけ出すためネット上でスキャンを開始します。Gmailは適切に保護されているため、この攻撃の影響を受けることはありません。しかし、小規模組織の多くは趣味レベルでサイトを運営し、サイトをしっかり保護するスキルやリソースを持っていません。アリスがよく利用するサッカークラブのサイトもそうしたサイトの1つです。ハッカーはこのサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのalice@gmail.comのパスワードを知ることになります。皆さんは、「それで?」と思うかもしれません。ハッカーが、アリスがよく参加するゲームを知っているだけでは、特に実害はありません。しかしちょっと待ってください。これがすべてではないのです。

 4. alice@gmail.comがGmailユーザであることは明らかです。そこで、ハッカーはアリスのパスワードをgmail.comで試してみます。見事に一致しました。この結果、ハッカーはアリスのメールアドレスのみならず、彼女がGoogleのサイト上で管理するその他のデータをすべて入手します。

 5. ハッカーは、Facebookなど、多くの人が利用しているインターネットサイトをスキャンします。またも一致しました。これでハッカーはアリスのFacebookアカウント、それからおそらくその他いくつかのサイトのアカウントも手に入れます。

 6. ハッカーは、入手したアカウントを使い始めます。情報、メールの内容、その他の連絡先情報、eメール、文書、クレジットカード番号などありとあらゆるものを入手するためにアリスのアカウントを利用します。また、いくつか例を挙げるならば、ハッカーは彼女のアカウントやIDを使いスパムを送信したり、なりすまし詐欺を行うこともできます。
 
では、この話の教訓とは何でしょうか。アリスは安全とされるパスワードを使用していますが、この場合においては安全ではありません。彼女の犯した間違いは、そのパスワードを多くのサイトで利用したことにあります。規模の大きなサイトであれば通常少なくとも妥当なレベルのセキュリティが適用されています。しかし、同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまうのです。そのため、自分のメインのメールパスワードを、特に規模が小さく怪しげなサイトに利用することは絶対にしてはいけないことなのです。
 
しかし、強力なパスワードを複数使用することは非常に不便だと、皆さんはそうお考えかもしれません。しかし、そんなことはありません。もし、皆さんが体系的に、正しいツールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。
 
それでも自分の記憶に自信が持てない方もいるかもしれません。大丈夫です。エフセキュアでは、便利なツールを用意しています。それが、パスワードマネージャのF-Secure Keyです。
 
ところで、最初の質問の解答は何でしょうか。ロシアのハッカー集団による攻撃は、私たちに影響するのでしょうか。個人としてどう対応したらよいのでしょうか。(この執筆時点では)どのサイトに影響が及んでいるのかがわからないため、誰に影響が及んでいるのかはわかりません。しかし、盗まれたパスワードの数が膨大であることから、皆さんのパスワードがそこに含まれている危険性は実際に存在します。とにかく、自分にアリスと共通する点があると思ったら、すぐにパスワードを変更することをお勧めします。今回のロシアのハッカー集団の被害者ではないにしても、遅かれ早かれ被害者となる日がきます。そうなる前に自分のデジタルIDは安全に保護してください。
 
すでに利用しているすべてのサイトで覚えやすい異なるパスワードを設定している場合は、慌てる必要はありません。被害を受けたサイトがわからないうちに、パスワードをすべて変更する必要はないでしょう。しかし、もしこの42万のサイト一覧が公開され、自分がそのいずれかのサイトのユーザである場合は、該当するサイトのパスワードを変更することは重要です。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

広範な攻撃ツールFinFisher

 FinFisherGamma Groupという企業によって開発、販売されている広範な攻撃ツールだ。

 最近、FinFisherの販売用のパンフレットやプレゼン資料がネット上に流出した。そこには、このようなツールに関する数々の興味深い詳細が記されている。

 FinFisherのプレゼン資料での背景のパートでは、Gamma社の攻撃ツール群を構築するために、同社がどのようにBacktrack Linuxの(当時の)中心的な開発者を雇ったかの説明に続いている。これはMartin Johannes Munchを指している。同社はまた、自社の開発者達がBlack HatやDEF CONにどれくらい参加したかを自慢している。

FinFisher

 FinUSBツールはUSBスティック経由でコンピュータを感染させるために使用される。「Can be used e.g. by housekeeping staff(たとえば家政婦でも使用可能)」

FinFisher

 このドキュメントによれば、FinIntrusionキットは、たとえサイトがSSLを採用していたとしても、無線ネットワーク経由でユーザ名とパスワードを記録するために使えるそうだ。

FinFisher

 Gamma社はまた、ユーザのネット口座の認証情報の窃取に、FinIntrusionが使えることを強調している。

FinFisher

 バックドアFinFly(USBドライブからデプロイ)は「can even infect switched off target systems when the hard disk is fully encrypted with TrueCrypt(ハードディスク全体がTrueCryptで暗号化されている場合、標的のシステムの電源が切られていても感染可能)」とのことだ。

FinFisher

 FinFly Webエクスプロイトは、自動的に気付かれず感染させる(drive-by-infection)ために使用できる。また地域のISPが当該エクスプロイトを組み込むと、被害者がGmailまたはYoutubeへアクセスする際に、これらの「信頼された」サイトへモジュールを注入することが可能だ。

FinFisher

 被害者を感染させる別のメカニズムでは、被害者がダウンロードする度に、マルウェアを含めるように、被害者のISPが汚染させるようにする。また、これは自動ソフトウェア更新に手を入れることでも実現可能だ。

FinFisher

 興味深いことに、FinSpy Mobileの説明でWindows Phoneをサポートしていることに特に言及している。これは我々が気付いた、初のWindows Phoneのマルウェアへのリファレンスになる。

FinFisher

AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

我々は話し合う必要があるようです、Googleさん

 Google御中。悪いように取らないで頂きたいのですが、しかしどうにも…、御社は最低ではないかと存じます。

 常にそうだったわけではありません。実際にかつて私は、Googleのサービスを楽しんでおりました。

Google_Products

 しかし昨今、いや本日、私は単純に当研究所のYouTubeチャンネル古い動画をアップロードしたいと考えていました。悲しいことに、ログイン直後とアップロード前、YouTubeチャンネルをGoogle+プロフィールにリンクするように「request」によりお誘いがありました。そして知らぬ間に「fslabs」氏という人がGoogle+プロフィールを作成していました。これは酷い!

 以下に考えを述べます。YouTubeアカウントにGoogleプロフィールを紐づけようとする「前に」、おそらく、そのYouTubeアカウントが「個人」のものかどうか最初に尋ねるべきではないでしょうか。

 尋ねられなかったので、「私」が使いもしない新しいプロフィールを作って終わりになりました。そして、その「個人」のプロフィールから「グループ」のチャンネルへのリンクをアンドゥ(削除)することは、チャンネルを無効化することにつながりました。さらに、再度有効にして元の状態に戻すのにかなりの時間を費やす必要がありました。その上、続いて既存の動画すべてについて、プライバシーの設定を指定しなおさなければならなかったのです。

 恐喝されているかのように感じました(不道徳です)。

 今では、このGoogle+のばかげた「プロモーション」のすべてに、御社にはもっともな理由があったのだと確信しています。そして、おそらく正当でない理由もありました。

 私が間違いを犯したのは確かです。処理の途中で小さなキャンセルボタンを見落としたに違いありません。また、Google+プロフィールを削除することでチャンネルを無効化した後のどこかで、私はYouTubeの設定の中の「unlink」オプションを示していたのだと思います。

 しかしね?

 もはや本当に気にしていません。私は、Googleその他には見切りを付けました。代替手段を調査します(Vimeo、Dailymotionなど)。

 私個人のGoogleアカウントですか?これは使用中ですが、「無料」なので手元に置いておきます。

 以上です。私の話は終わりです。

 もはや面倒なことをする価値はありません。

 そして明確にしておきますが、Gmailの使用時にプライバシーへの法的な期待を持てないとする最近の申し立てとは、なんら関係はありません。

 またGoogleのサーバ群にNSAが直接アクセスできるようにしているという懸念の類とも、一切関係はありません。

 (Googleのセキュリティエンジニアは信頼できると、私は考えています)

  Googleアカウントを削除するという私の決断は純粋に、私がうんざりしているということに関係します。忌々しいサーチエンジンのランキングと、関連する広告機能のためだけに、Googleは私をもう1つの望まない「ソーシャル」ネットワークへと追い込もうとしています。

 問題なのは私ではありません。

 御社です。

—————

ではまた。
ショーン

エフセキュア セキュリティ研究所 セキュリティ・アドバイザー
twitter.com/5ean5ullivan

Rebecca Taylorを見つけられる?

 Channel 4 News(Channel 4はイギリスの放送局)では、Data Babyと称する、オンライン上のアイデンティティについての実験的なプロジェクトを開始した。このデータベビーの名前は「Rebecca Taylor」という。イギリスではよくある名前だ。Channel 4は「Can you find Rebecca Taylor?(Rebecca Taylorを見つけられる?)」という挑戦状を提示した。

 挑戦の最初の手がかりは、Rebeccaのメールアドレス「RebeccaTaylor0603@gmail.com」だ。

 えーと、メールアドレスから…、簡単に以下のものが得られる。

Rebecca Taylor's Facebook

 そして、Googleの画像検索で以下(他にも)が見つかる。

Rebecca Taylor?

 興味深い挑戦だ。

 詳細情報:channel4.com/news/data-baby

Google Playにおける悪のBad Piggies

 以下のうち1つは、他とは異なる。

Bad Bad Piggies

 いや、それは「Full Guide」のことではない。我々が指しているのは、Dan Stokesによる「Bad Pigs」だ。

 このアプリの説明は次のとおり。

Bad Bad Piggies

 わお。2013年5月25日以来、10,000を超える人がインストールしている。

 AndroidアプリのポータルサイトAppBrainでは、関連性(Relevancy)を修正していないため、「Bad Pigs」が1位にランクされている。

Bad Bad Piggies

 Danの連絡先のメールアドレスはhgfdhsdgjhd@gmail.comだ。

 これはフィッシングっぽい。

Bad Bad Piggies

 AppBrainには非常に優れた機能があり、Concerns(懸念点)と共に要求されるパーミッションを表示する。

Bad Bad Piggies

 おっと、Extraパーミッションのリストが長い。この特別な豚は単なる悪にとどまらず、邪悪だ。

 Dan Stokesは他にもいくつかのアプリケーションを提供している。

Bad Bad Piggies

 「Fruit Chop Ninja」も、やはり10,000件以上インストールされている。

 そして以下に興味深い点を示す。アプリケーションID、すなわちURLに「Rovio」という単語が含まれている。

Bad Bad Piggies

 当社の製品Mobile Securityは、これをAndroid/FakeInst.CIとして検知しブロックする。

 我々はこの問題をGoogle(とRovio)に報告し、当該アプリケーションは現在はGoogleの検索に載らないようになっている。

 皆さん、安全に。

Java Drive-by Generator

  今日、非常に興味深い感染に遭遇した。あるサイトにアクセスしたところ、未知の発行者から「Microsoft」アプリケーションに関するセキュリティ警告を表示された。このサイトは実際、「Gmail Attachment Viewer」のふりをしている。Microsoft+Gmail? 失敗だ。

Google attachment

  同アプリケーションを実行させると、Cisco Foundationのインビテーションにリダイレクトされ、バックグラウンドでマルエウェア・バイナリがダウンロードされる。

Cisco invite

  このメッセージも同じマルウェアをダウンロードする悪意あるリンクを含んでいる。おそらく確実に感染させるためだろう。

  いずれにせよ、この感染はiJava Drive-by Generatorを使用して生成されるが、これは明らかにここしばらく見かけるものだ。

  同ジェネレータにより攻撃者はJavaファイルとドロップされるWindowsバイナリの双方に、ランダムな名称を使用するか、自身のプリファランスを指定することができる。

iJava main

  iJavaは感染の記録も行う。以下は上記の感染からのデータだ:

iJava 2ndp

  そしてこれは、この特定のマルウェアで感染が昨日始まったことを示している。これまで、Java Drive-byリンクに訪問したのは、たった83名だ。

  そしてありがたいことに、彼はあまり成功していない(くわばらくわばら):

iJava stats








Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

「Diginotar」がBlack.Spookとイランのハッカーによりハッキング

  「Diginotar」はオランダの認証局で、SSL証明書を販売している。

Diginotar

  2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。

  このような証明書で何をすることができるのだろうか? まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。

  しかし、何故Googleをインターセプトしたいと考えるのだろうか? これは実際には「www.google.com」のサーチエンジンに関することではない。「mail.google.com」のGmailサーバおよび「docs.google.com」のGoogle Docs、そしておそらく「plus.google.com」のGoogle+が問題だ。

  5月にも(イタリアの証明書リセラー「instantssl.it」を介した)同様の攻撃が見られた。そのケースはイランと関係していた。今回も同様だ。イラン政府が反体制派をモニタするのにこのテクニックを使用している可能性がある。

  イランには自身の認証局は無い。もしあれば、不正な証明書自体を交付すれば良いだけだ。しかし、彼らは認証局を持っていないため、広く信頼されたCAからの、こうした証明書が必要となる。「Diginotar」のような。

  「Diginotar」はどのように侵入されたのだろうか? 我々にはまだ分からない。

  しかし、我々が発見したことはいくつかある。

  以下は現在のhttps://www.diginotar.nl/Portals/0/Extrance.txtのスクリーンショットだ:

Diginotar

  「Diginotar」のポータルはハッキングされている。イランのハッカーを自称する何者かが侵入したのだ。

  これは決定的な証拠のように見えるだろう。明らかにこれは、不正な証明書にどのようにしてか接続していなければならない。

  しかし、きちんと見るなら、このページがhttps://www.diginotar.nl/Portals/0/owned.txtからのものであることが分かるだろう:

Diginotar

  イランの別のハッカーグループ?

  もっと深く掘り下げるなら、これらのWeb改ざんは現在もまだ残っているが、新しくはないことが分かるだろう。もっと悪いことには、それらは数年前になされたものだ。

  以下は、https://www.diginotar.nl/Portals/0/fat.txtで、2009年5月にトルコのハッカーにより行われた別の例だ:

Diginotar

  実際、これらのハッキングは非常に古いもので、現在の問題に関係している可能性は低い。あるいは少なくとも、そうであって欲しいと思う。

 

P.S. この出来事のニュースは、最初、S. Hamid Kashfi(@hkashfi)がTwitterで公表した。彼は2010年には、イランのマン・イン・ザ・ミドル攻撃についてブログに記事を書いている。ここに2010年5月の(Google Translateを介した)ブログ記事がある。

hkashfi

P.P.S. 我々の以前の記事にも、SSL関連の問題に関する詳細がある。

P.P.P.S. 改ざんに関する「Diginotar」の公式声明が出されたが、回答よりも多くの疑問を残した。「Diginotar」は確かに、2011年7月19日にハッキングされた。攻撃者は不正な証明書をいくつか生成することができた。おそらくEVSSL証明書も含まれている。しかし「Diginotar」は、他の不正な証明書を無効にしたが、Googleに発行されたものを見逃した。「Diginotar」は、Googleが突然彼らのSSL証明書を更新しようとし、よりにもよって、オランダの小規模なCAで行おうと考えたことを、少し奇妙だとは思わなかったのだろうか? そして「Diginotar」が改ざんの後、自分達のシステムを検査していた時に、上記のイランの改ざんをどうして見逃したのだろうか?

追記:9月5日の時点で、攻撃者が証明書を作成することができた既知のドメインリストは以下の通り:

*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com

  さらに、攻撃者は以下の名称に関し、不正な証明書を作成した:

Comodo Root CA
CyberTrust Root CA
DigiCert Root CA
DigiCert Root CA
Equifax Root CA
Equifax Root CA
GlobalSign Root CA
Thawte Root CA
VeriSign Root CA

「F-Secure HTK4S」は偽物

  我々は以前、このような物に遭遇したが、今日、新たなメールが出回った。

  どこかのおどけ者が、我々のフリをしようとしている。以下のようなメールを見かけたら、無視して欲しい:

     From: securitysupport@hotxf.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     To: undisclosed-recipients:;
     
     Dear Email Subscriber,
     
     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2011-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.
     
     E-mail Address:
     Password:
     Phone Number:
     
     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.
     
     Management.
     
     Copyright 2011. All Rights Reserved.



  同様の向こう見ずな試みを、我々は複数の言語(機械翻訳されたもの)で確認している。例えば:


     From: Tampere University of Technology
     Reply-To: webmailantivirus@gmail.com
     Subject: Hyv? tilin k?ytt?j?
     To: undisclosed-recipients:;
     
     Hyv? tilin k?ytt?j?, HTK4S virus on havaittu webmailiin
     tilin kansiot, ja sinun webmail-tili on p?ivitetty uuden
     F-Secure HTK4S anti-virus/anti-Spam versio 2011 aiheutuvien
     vahinkojen v?ltt?miseksi meid?n webmail ja t?rkeit? tiedostoja.
     T?yt? sarakkeet alla ja l?hett?? takaisin tai s?hk?postisi
     keskeytet??n tilap?isesti palveluistamme.
     
      K?ytt?j?tunnus :........ Salasana :......... SYNTYM?AIKA: ......
     
     Jos n?in ei tehd? 24 tunnin sis?ll? heti tehd? s?hk?postisi
     k?yt?st? meid?n database.
     Thank k?ytit Jyv?skyl?n yliopisto webmail.
     
     Tampereen teknillinen yliopisto Copyright c 2009-2011
     
     (c) Verkot Kaikki oikeudet pid?tet??n


  これらのメールは無視して忘れることだ。

問題のある証明書

  最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。

  SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。

  しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく対応していない。VerisignやGoDaddy、Comodoといった主要な認証企業に加え、基本的により大規模な企業のための再販業者である地域的なCAさえ何百も、何千も存在する。

  Comodoは先頃、ハッカーがイタリアの再販業者の一社のパスワードとユーザ名を獲得することで、システムに侵入することができたと発表した。そのハッカーはその後、イランの出身であると公に主張しているが、その会社を通じて9つの不正な証明書を交付した。証明書はgoogle.com、yahoo.com、skype.comといったポピュラーなドメイン用に発行された。

  第一に、イタリアの小さな再販業者が、google.comの証明書を交付することができる、というのは驚くべきことだ。あなたは、どこかでサニティーチェックが妨害されたのだろうと考えるかもしれないが、そうではない。

  このような証明書によって何ができるだろうか? あなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてのルート変更が行える。たとえば、Skypeユーザを偽のhttps://login.skype.com アドレスに導き、SSL暗号化が存在するように見えるかどうかに関わらず、彼らのユーザ名やパスワードを収集することができる。あるいは、彼らがYahooやGmail、Hotmailにアクセスすれば、その電子メールを読むことができる。プロであってもほとんどが、これに気づくことはないだろう。

  2010年8月、コードサイニング証明書によって署名されたマルウェアサンプルを発見したため、エフセキュアのシニアリサーチャであるJarno Niemelaが、Comodoを巻き込んだID窃盗のケースについて調査を開始した。彼は証明書に記載された企業を追跡し、小規模なコンサルティング会社を見つけた。

  Niemelaはその会社に連絡し、彼らが自分達のコードサイニング証明書が盗まれたことに気づいているかどうか訊ねた。彼らの反応は、コードサイニング証明書は持っていない、というものだった。実際、彼らはソフトウェアの制作さえしておらず、したがってサインすべきものが何もなかった。明らかに誰かが、彼らの名前でその証明書を獲得したわけだ。彼らは企業ID窃盗の被害者だったのだ。

  被害者とComodoの協力を得て、Niemelaはこの証明書が実在する従業員の名前でリクエストされ、Comodoは申込者の身元をチェックするため、電子メールと電話による確認を行ったことを確認した。残念なことに、この詐欺師はその従業員の電子メールにアクセスすることができ、Comodoの電話による確認は、間違った相手にかかってしまったか、誤解が原因で失敗してしまった。

  実際、件の従業員は別のCA会社であるThawteからも電話を受けている。Thawteが彼女に、会社の名義でコードサイニング証明書をリクエストしたかどうか訊ねた際、彼女は「ノー」と返事をした。そこでThawteは、認証プロセスを打ち切った。

  このケースは、入口を見つけるまで、マルウェアの作者が複数のCAを試すということを示している。

  詐欺師が企業のメールにアクセスできる場合、その企業からのリクエストが本物かどうか、CAが確認するのは非常に難しい。評判が良く、やましいところの無い企業が、有効な証明書を手に入れるためのプロキシとしてマルウェア作者に利用されるというケースは、今後増えそうだ。

  認証機関は既に、認証を獲得しようとする疑わしい試みや、その他のシステムの悪用に関する情報を報せる手段を有している。しかし、これらのシステムは人間によって運営されているため、間違いも起こりやすい。我々は、現行のシステムでは、証明書は完全に信頼できるものではないという事実を、受け入れなければならない。

  このトピックについて、最新のYouTubeビデオで取り上げている。

企業マルウェア開発

  Washington Timesが、政府使用のためのバックドアおよびトロイの木馬を開発する企業に関する、長文の記事を掲載している。

  この記事は、Gamma Technologies、Elaman GmbHおよびエジプト政府間の関係についてのニュースを我々が伝えた後に開始された。

Elaman / Gamma Technologies
Photo by F-Secure GmbH

  バックドアやエクスプロイト、トロイの木馬を開発する大企業が存在するとは、不安どころではない。

Elaman / Gamma Technologies
Elaman HQ Photo F-Secure GmbH

  もちろん、それらのほとんどは「合法的なインターセプト」のために設計されている。

  合法的なインターセプトは、絶えず存在した。もともとはオペレータによる通話の選別を意味し、そのうち、携帯電話の通話やテキストメッセージに拡大。そして次に、電子メールとWebサーフィン情報の選別に拡大した。しかし、疑わしい人物がSSLを使用したサイト(たとえばGmail)にアクセスするなら、オペレータはそれを選別することはできない。そのため、標的のコンピュータを感染させるマルウェアやバックドアを使用する必要が生じた。一度感染させれば、そのマシン上で行われるすべてをモニタすることができる。

Finfisher offer

  理論的には、合法的なインターセプトには何ら問題は無い。それが警察によって行われるなら。民主主義国家で行われるなら。裁判所命令があるなら。そして容疑者が実際に有罪である場合なら。

  Eli Lakeの記事で挙げられている企業には、HBGary FederalとEndgame Systemsも含まれている。

不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






「Firesheep」:複雑だったことを容易にするツール

  暗号化されていないHTTP接続でWebをサーフィンすることは安全ではない。特にあなたが、暗号化されていないWi-Fi接続を介してサーフィンしている場合は。同じホットスポットを使用している他の誰でも、あなたのトラフィックをモニタするための特別なツールを使用することができるからだ。

  暗号化されたHTTPS接続によりWebをサーフィンする方がはるかに良い。強力な暗号化(WPA2)を使用したホットスポットの利用も安全だ。しかし、これらのオプションは通常、エンドユーザが決められることではない。大部分のオープンなホットスポットは、まったく暗号化していないし、多くのポピュラーなサイトは、たとえあったとしても、ログイン手続きにHTTPSを使用するのみだ。

  そしてたとえログインセッションが暗号化されるにしても、多くの人気サイト(Facebook、Twitter、Amazonなど)は、以降のすべてのリクエストのために使用されるクッキーをブラウザに与える。もし誰かがこのクッキーを盗むことができれば、同サービスでのあなたのセッションを盗むことができるのだ。

  人々は、クッキーを盗むことによってセッションをキャプチャすることは、特別なツールを持つ熟練ハッカーによってのみ可能であるという印象を持ってきた。
Firesheep
  この状況は現在変化している。

  「Hey Web 2.0: Start protecting user privacy instead of pretending to(ユーザのプライバシーを守るふりではなく、本当に保護することを始める)」という名のペーパーが、 Ian GallagherとEric Butlerにより、先週「Toorcon」で発表された。彼らのスライドはここにある。

  彼らは「Firesheep」というツールもリリースした。

  「Firesheep」は、この問題を示すために設計されたFirefoxブラウザのエクステンションだ。

  「Firesheep」はローカルWi-Fiネットワークをスキャンする。同ツールはFacebook、Twitter、Google、Amazon、Dropbox、Evernote、Wordpress、Flickr、bit.lyといったサービスにログインしているユーザをつきとめる。そしてこれらのユーザのアイコンを表示し、これによりあなたは彼らになることができるのだ。あなたは彼らのオープンセッションを続けたり、何かを投稿したり、削除したりすることができる。あなたは、これらのユーザにできることは、何でも実行することができる。

  これはかなり深刻な問題だ。実行するのが難しかった何かが、突然、取るに足りないほど簡単に実行できるようになるのだ。

  Windowsでの「Firesheep」の使用には、まだ若干のスキルが必要であることに注意して欲しい。すなわち、WinPcapパケットキャプチャソフトウェアをインストールする必要があるからだ。

  「Firesheep」は不正使用されるだろうか? 間違いなく。

  上記のサイトのいくつかに、完全なSSLをもたらすだろうか? 我々はそう願う。Gmailは今年初め、これを実行している。

  現状でユーザは何をすることができるだろうか? 可能ならば、SSLを押し進めること。暗号化なしでWi-Fiを使用してはいけない。あるいはVPNを使用すること。

  ほとんどの企業ラップトップは、企業VPNがインストールされている。しかしユーザの多くは、自分たちがそれを必要とする時にオンにするだけだ。これは間違った考え方だ。もしVPNがあるならば、ホットスポットでは常にオンにしておくべきだ。あなたが「働いている」のではなくて、単にFacebookをサーフィンしているだけだとしても。

  明らかに、ホームユーザは自分達のラップトップに企業VPNはインストールされていない。それでは、どのVPNサービスを使用するべきだろうか? 我々は同市場を調査していないので、実際、分からない。皆さんのご意見に興味を持っている。コメント欄からフィードバック頂ければ幸いだ。

追記:「TechCrunch」がFirefoxエクステンション「Force-TLS」に関する記事を掲載している:「Firesheep」からあなたのログイン情報を守る方法

投票:今日Facebookの利用をやめた人は?

  今日は5月31日。いわゆる「Quit Facebook Day」だ。現在、約2万7000人の賛同者がいる。Facebookが5億近いアカウントを保持していることを考えれば、これはそれほど多い人数とは言えない。

  だが、Facebookのことは置いておくとして、別の質問をしたい。あなたはGmailアカウントを持っていますか?

  Googleアカウントを持っている場合、「Web History」は停止していますか?




  確認する必要があるなら、以下のページにアクセスして欲しい:https://www.google.com/history/

GoogleのBuzz、悪い宣伝などというものは無い…

Google Buzz  どうしてプライバシー問題とGoogle Buzzに関して、非常に多くの誇大宣伝がなされているのか、どなたか説明して頂けないだろうか?

  Buzzは、より限定した広告で皆さんをターゲットとするため、皆さんのメッセージを読む(すなわち解析する)メールサービスを、Gmailに組み込むものですよね? Gmailが開始された時、この解析について出された異議を思い出す。皆、それを忘れてしまったのだろうか? 再び同じ事が繰り返されているのではないのだろうか?

  Googleがこんなにも攻撃的に、Buzzに自動共有機能を展開したことに、どなたか本当にそれだけ驚かれた方はいるだろうか?

  これは、どちらにころんでも有利な状況に思われる。Googleは最小限の異議を受けるだけでBuzzをローンチするか、あるいは、報道されたプライバシー問題を「修正」している間に、彼らが多くの無料広告を受け取るか、どちらかなのだから。GoogleによるBuzzのローンチは、間違いなくマスコミに顕著な騒ぎ(Buzz)を引き起こした。

  それはこの検索界の巨大企業にとって、究極的に重要なことだ。なぜなら、彼らが自分たちのサービスからのシェアを推奨しなければ、Facebookのようなプロバイダに将来の収益を奪われることになるからだ。

  実際、Facebookは既に、オンライン調査会社のHitwiseによれば世界最大のニュース・リーダーだ。最近のFacebookのトップページのアップデートで、検索フィールドがスクリーンの中央に移動されたことに言及しないわけにはいかないだろう。すべて関連しているのだ。

  「共有」は、将来の検索ビジネスの源であり、プレイヤーたちは戦闘を開始している。皆さんのプライバシーは、そのままにしておけば危険にさらされることになる。これはトレードオフの問題だ。皆さんが無料のサービスを利用して、完全なプライバシーを得ることは無い。自分の情報の一部を、強化されたサービスに対して提供するか、利用しないかのどちらかだ。

  覚えておいて欲しい。Googleは皆さんの友人ではない。ビジネスなのだ。

  皆さんが本当にプライバシーを必要とするなら、Gmail(そしてWebベースの他の無料ソリューション)の他に、何か別の物を使うことだ。電子メール・サービスのために料金を支払っている人もいる。年に20ドルくらいで、よりセキュアなサービスを利用できる。そしてプライバシーについて考えるなら、それは安いと言える。

Gmailフィッシュ

  うわさによると、Gmail管理者からの電子メールが送られていることを、取り急ぎ読者の皆さんにお知らせする。エフセキュアのフェローの一人が最近、「Googleメール・チーム」から、「アカウントの匿名による登録」を防止するため、アカウントの詳細を確認するよう求めるメッセージを受け取った:

gmail_phishing

  返信先アドレスは「verifyscecssze@gmail.com」と表示されており、これは明らかに公式にGmail管理アカウントではない。一方、ドメイン名「gmeadmailcenter.com」は、ミシガンのカトリック教会に登録されている。

  実に典型的なフィッシング・タイプのメッセージだ。このメールを受け取ったGmailユーザは、(本物の)Gmailチームにアカウント内の「フィッシングをレポート」オプションを利用して報告するか、単に削除することができる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード