エフセキュアブログ

google セキュリティ を含む記事

Android ‐ 依然として最多のホスト攻撃

2014年第1四半期の新たなモバイル脅威の大半はAndroidユーザをターゲットとし、サイバー犯罪者は、これまでにないAndroidプラットフォームでの数々の脅威によってその現状を「刷新」しました。

エフセキュアの最新版モバイル脅威レポートによれば、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威の99%以上がAndroidユーザを標的にしていました。検出された新種の脅威ファミリーとその亜種277件のうち、275件がAndroidを標的にし、iPhoneとSymbianはそれぞれ1件ずつでした。前年同期を見てみると、新種の脅威ファミリーとその亜種は149件で、Androidを標的としていたのは、その91%でした。

2014年第1四半期ではこれまでにはなかったAndroidマルウェアが多数検出されています。これは、モバイル環境における脅威が精巧さと複雑さの面で進化し続けていることを示しています。当概四半期には、Litecoinなどの仮想通貨を採掘するためにデバイスをハイジャックする、暗号通貨(クリプトカレンシー)のマイナー(採掘者)が初めて確認されました。またブートキットも初めて見つかっています。これはデバイスの起動ルーチンの最初期段階で打撃を与える、検出や駆除が極めて困難なものです。さらにTorトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されています。

エフセキュアラボで主席研究員を務めるミッコ・ヒッポネンは次のように述べています。「こうした進化はマルウェアの作成者が目指す方向に同調している兆候を示しています。今後数カ月のうちにもっと多くのことが判明するはずですが、たとえば、携帯電話がますます高度になることで、サイバー犯罪者がこれらを利用し、暗号通貨を採掘して利益を手にすることが可能になっているのです。」

エフセキュアが第1四半期に評価した中で、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル(500人当たり1ファイル)のマルウェアファイルがブロックされました。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされています。

悪質な作為

デバイスに感染するとモバイル脅威はどのような悪意ある行為を行うでしょうか。本レポートでは、モバイルを狙うトロイの木馬の83%がプレミアム課金用の番号、またはSMSベースの購読サービスにSMSメッセージを送信しており、これが悪質なアクティビティの中で最も一般的であることがわかっています。

以下、モバイルを標的とするトロイの木馬による一般的なアクティビティの一覧です。

  • SMSメッセージをプレミアム課金用の番号に送信する
  • 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
  • デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
  • 実際には役立つ機能がないモバイルAVソリューションになりすます
  • ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
  • バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
  • ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
  • 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する

iPhoneおよびSymbianの詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。
オンラインバンキングやオンライン閲覧に関する最高のAndroidセキュリティのほか、ペアレンタルコントロール、アプリケーションスキャニング、盗難防止などの機能については、30日間無料のエフセキュア モバイル セキュリティをお試しください。Google Playでも入手可能です。

モバイル・マルウェアからの防御 - アプリのダウンロード

デバイスの物理的なセキュリティを確保した次には、アプリのダウンロードを次の手順で踏んでください。

1. Google Playストアのみからアプリをダウンロードする
Androidデバイスは初期設定で、Google Playストア以外からのアプリのインストールをブロックしています。次の手順で確認することが可能です。
  設定 > ロックとセキュリティ > 提供元不明のアプリ
  (NTTドコモ AQUOSCE0168の場合。機種によってメニュー名称は異なる場合があります。)
もし「提供元不明のアプリ」にチェックがしてあった場合には、外してください。





2. アプリの許可の要求
Google Playストアからのダウンロードであるかどうかに関わらず、アプリが要求する許可のリストをしっかり確認してください。例えば簡易なゲームなのにSMSメッセージの送信を要求するように、アプリの目的には無関係だったり過剰である場合、開発・提供者の情報をチェックしてください。信頼のできる開発者であれば、なぜそのような許可が必要であるか説明しているはずです。アプリの使用が問題ないようであればダウンロードしてください。

3. モバイル・アンチウイルスでアプリをスキャンする
アプリをダウンロードしたら、信頼のおけるモバイル向けアンチウイルス・ソフトでスキャンしてください。許可要求のリストには入っていないのにデバイスの詳細をサーバに送信するような、不審な挙動をチェックすることができます。

モバイルセキュリティに関するWeb放送:8.11 17.00 EET

 @FSecureのTwitterアカウントをフォローしていて良かった。なぜなら金曜日にミッコと共にWeb放送を行うようなのだ。

 議題はモバイルセキュリティだ。

Mobile Threat Report Q3

 ミッコのスケジュールに基づいて、これに同意したのをうっすらと覚えている。ミッコの忙しい出張スケジュールの中で、11月8日の都合がついたんだった。

 以下は通常私がミッコの居場所を追跡する方法だ。

Moscow, Paris, Berlin

 あるいは、いたずらのメッセージを受け取ることもある。

Greetings from Moscow

 実際は違うのだが(たいていの場合)。

 ともかく、金曜日は是非ご参加を。詳細は以下。

  •  Mobile Threat Report with F-Secure Labs

 そしてもしあなたが(私同様)アメリカ人で、「8.11 17.00 EET」というのが単にランダムな数字の羅列に見えるなら・・・。

 これは2013年11月8日午後5:00(ヘルシンキ)のことで、北米東海岸では午前10:00になる。

 Post by — @Sean

KINSのソースコード流出にみるサイバー犯罪対策の難しさ

オンラインバンキング詐欺ツールで知られる「KINS」のソースコードが、遂にアンダーグラウンド系フォーラムに流出しているのが確認されました。これにより、オンラインバンキングの利用者を狙ったサイバー犯罪はさらに複雑化していくことが予想されます。

KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの1つです。

9月末にKINSの詳細情報が報告されました。10月10日頃よりセキュリティ専門家より一部の捜査機関、およびセキュリティベンダー等にKINSソースコードが配布され始め、ようやく対策が取られ始めたところでした。
#ソースコードの入手の際には所属組織、氏名、職位等の情報が必要。

参考
http://touchmymalware.blogspot.ru/2013/10/kins-source-code-leaked.html
http://www.xylibox.com/2013/09/having-look-on-kins-toolkit.html
http://pastebin.com/T1A80ZYF
https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/


KINS source code

ところが、先週この配布されたソースコードはあっさりと流出したことが確認されました。
KINSのソースコードは、配布者の承認を得たセキュリティベンダー等とされているだけに非常に残念な事です。
#インテリジェンスの共有が難しいのは、この辺りでしょうか。

leaked source code

残念ながら、KINSが完全に検出はできない状態ですが、かろうじて救いなのは、KINS自体は一部の関連ファイルから見て取れるように、ZeuSがベースとなっていることでしょうか。そのため、実行時にZBOTもしくはSpyEye関連のファイルとして検出されることがあります。例えば、次に示す関連ファイルはその典型です。

bot32.dll

参考URL
https://www.virustotal.com/en/file/8c8055c9e972ab37d0880f2b8f63605be52babd779a29e78be3647194ef31aa2/analysis/

また、Dropperに限定されますが、AlienVault-LabsからYaraのルールが提供されています。
https://github.com/AlienVault-Labs/AlienVaultLabs/blob/master/malware_analysis/KINS/kins.yar
オリジナルルールが追加可能なセキュリティ製品を所有しているのであれば、このルールを参照してみるのも良いかもしれません。

勿論、組織としてこれらの対策を講じることは大事ですが、まずは個々の口座で不正送金等が無いかの確認をする方が先決です。


脆弱性バウンティハンターが東京に集合? Mobile #Pwn2Own 日本で開催

  脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。

我々は話し合う必要があるようです、Googleさん

 Google御中。悪いように取らないで頂きたいのですが、しかしどうにも…、御社は最低ではないかと存じます。

 常にそうだったわけではありません。実際にかつて私は、Googleのサービスを楽しんでおりました。

Google_Products

 しかし昨今、いや本日、私は単純に当研究所のYouTubeチャンネル古い動画をアップロードしたいと考えていました。悲しいことに、ログイン直後とアップロード前、YouTubeチャンネルをGoogle+プロフィールにリンクするように「request」によりお誘いがありました。そして知らぬ間に「fslabs」氏という人がGoogle+プロフィールを作成していました。これは酷い!

 以下に考えを述べます。YouTubeアカウントにGoogleプロフィールを紐づけようとする「前に」、おそらく、そのYouTubeアカウントが「個人」のものかどうか最初に尋ねるべきではないでしょうか。

 尋ねられなかったので、「私」が使いもしない新しいプロフィールを作って終わりになりました。そして、その「個人」のプロフィールから「グループ」のチャンネルへのリンクをアンドゥ(削除)することは、チャンネルを無効化することにつながりました。さらに、再度有効にして元の状態に戻すのにかなりの時間を費やす必要がありました。その上、続いて既存の動画すべてについて、プライバシーの設定を指定しなおさなければならなかったのです。

 恐喝されているかのように感じました(不道徳です)。

 今では、このGoogle+のばかげた「プロモーション」のすべてに、御社にはもっともな理由があったのだと確信しています。そして、おそらく正当でない理由もありました。

 私が間違いを犯したのは確かです。処理の途中で小さなキャンセルボタンを見落としたに違いありません。また、Google+プロフィールを削除することでチャンネルを無効化した後のどこかで、私はYouTubeの設定の中の「unlink」オプションを示していたのだと思います。

 しかしね?

 もはや本当に気にしていません。私は、Googleその他には見切りを付けました。代替手段を調査します(Vimeo、Dailymotionなど)。

 私個人のGoogleアカウントですか?これは使用中ですが、「無料」なので手元に置いておきます。

 以上です。私の話は終わりです。

 もはや面倒なことをする価値はありません。

 そして明確にしておきますが、Gmailの使用時にプライバシーへの法的な期待を持てないとする最近の申し立てとは、なんら関係はありません。

 またGoogleのサーバ群にNSAが直接アクセスできるようにしているという懸念の類とも、一切関係はありません。

 (Googleのセキュリティエンジニアは信頼できると、私は考えています)

  Googleアカウントを削除するという私の決断は純粋に、私がうんざりしているということに関係します。忌々しいサーチエンジンのランキングと、関連する広告機能のためだけに、Googleは私をもう1つの望まない「ソーシャル」ネットワークへと追い込もうとしています。

 問題なのは私ではありません。

 御社です。

—————

ではまた。
ショーン

エフセキュア セキュリティ研究所 セキュリティ・アドバイザー
twitter.com/5ean5ullivan

BlackHat 2013 - セキュリティカメラのハッキング

今年もBlackHatに行って参りました。今回は、前職のeEye時代に住んでいたカリフォルニアのオレンジカウンティから車でラスベガスまで移動しました。オレンジカウンティに居た頃は友人と何度かラスベガスまで車に遊びに行きましたが、道中は相変わらずの風景でとても懐かしかったです。

BlackHatは年々規模が拡大傾向にあり、今年も去年に増して参加人数が増えていました。これ自体は大変喜ばしい事なのですが、反面、参加人数が増えたため交流がやや大変だという声もちらほら聞かれました。時代と共にカンファレンスのスタイルも変わってきますので、それに合わせて参加者の方も意識を変えていく必要があるのかもしれません。

今回もさまざまなトピックで研究成果が報告されていました。今回私からは一つだけ、「Exploiting Surveillance Cameras - Like a Hollywood Hacker」と題された発表を簡単にご紹介します。なお、FFRIではBlackHatのペーパーサーベイも行っていますので、いくつかその内容が近くWebで公開されるかもしれません。成果などはFacebookで随時アナウンス致しますので、もしよろしければ、FFRIのFacebookページも今後チェック頂ければと思います(https://www.facebook.com/FFRI.1440)

本発表では、複数のネットワーク対応セキュリティカメラを調査した結果が報告されています。脆弱性を悪用する事で、外部からカメラを自由自在に制御したり、あるいは、映像の不正閲覧や映像の差し替えなどが可能になるというものです。副題にもあるとおり、まさに"Like a Hollywood Hacker"です。

資料はこちらから入手できます。

基本的に、脆弱性は非常に古典的かつ簡単に攻略できるものばかりであり、また、Googleやshodan等で直接インターネットに接続しているものの一部は簡単に検索できてしまうようです。発表者は、製品ベンダーが公開しているアップデート用のファームウェアを解析して調査を行ったそうです。

攻略例では、カメラに実装されているWebサーバ上で動作するCGIのバッファオーバーフロー脆弱性や、あるいは、ハードコードされているバックドアアカウントを攻略する、といったものが紹介されています。また、それら脆弱性を攻略し、ストリーミング配信を実現しているデーモンを停止して「最後に映った映像」を流し続け、物理的な人の侵入を分からなくさせてしまうといった例も紹介されています。

今回発表された脆弱性は非常に古典的なものですので、簡単なトレーニングや簡単な検査で製品出荷前に対策できる可能性は十分にあると思います。IPAでも、製品出荷前に機械的に脆弱性をみつけるための手法としてファジングが紹介(http://www.ipa.go.jp/security/vuln/fuzzing.html)されていますので、組み込み機器などを開発されている方は是非一度確認頂ければと思います。

ハッカーの攻撃対象者リスト上にAppleの開発者が?

 注意:このポストは、Digital New Asiaに寄稿した私の記事からの抜粋である。

 約2週間前、Apple社の、MacやiPhone、iPadアプリ開発者向けのWebサイトがオフラインになった。その後間もなくして、当該サイトへの不正侵入があった旨、Apple社より発表があった。

 その直後に、グレイハットでセキュリティ研究者でもある、ロンドン在住のトルコ人Ibrahim Balicが、自身のYouTubeチャンネルに投稿した動画のなかで、侵入についての犯行声明を出した。この動画にて、BalicはWebサイトへの攻撃に先立ち、バグレポートを送付したと主張している。

 Balicの主張に対してApple社からは何ら追加のコメントや声明はないが、Apple社はこの出来事を深刻に受け止めているように見受けられる。また現在のところ継続してWebサービスの復旧作業を進めている。

 今や問題なのは、次の点だ。なぜ開発者、特にiOS開発者が、かつてないほど標的になっているのだろうか? この開発者サイトへの不正侵入は、伝えられるところでは害意なく行われたものの、開発者アカウントを保護することの重要性や、そうしたアカウントが侵害され悪用された場合の潜在的な重要性について、一層の注意を喚起した。

 これに先立ち、iOSモバイル開発者たちの人気フォーラムであるiPhoneDevSDKに対して今年攻撃が行われ、Apple、Facebook、Twitterなど巨大技術企業からまんまと犠牲者が出た。今回は、この攻撃を踏まえている。

Notice from IPhoneDevSDK Admin

 これは教科書通りの水飲み場型攻撃だ。つまり、特定のユーザを攻撃したいハッカーは、まずは当該ユーザが訪れそうなサイトを侵害し、後で標的をさらに直接攻撃する際に使える情報やアクセス権を収集する。今回のケースでは、標的はこのサイトを訪れていた開発者たちだ。

 後に開発者アカウントを侵害するのに使えそうな、アプリケーション開発者の個人情報へアクセスできてしまうと、とりわけiOSプラットフォーム上では、その開発者の製品や評判を信頼するユーザには大きな害となる。

 マルウェアの作者にとっては、Google Playや、他のAndroidプラットフォーム用のアプリケーション販売サイトと異なり、Apple社のApp Storeに侵入して害のあるアプリケーションをアップロードすることは、長い間課題であった。とりわけApple社の厳しいレビューポリシーのおかげで、最初にiPhoneが登場して以来6年に渡って、大量の悪意あるアプリケーションの活動を阻止するのに成功してきたのだ。

 こうした障壁を迂回するために、今ではマルウェアの作者は開発者自体を狙っている。マルウェア作者の本当の目的は、App Store上の開発者のアカウントへアクセスすることだ。ここから、開発者の評価や製品をハイジャックして、マルウェア作者自身のアプリを押し付けることが本質的に可能になるのだ。

記事全文:Are Apple developers on the hacker hit list?Su Gim Goh

Googleニュースの不正な見出し

 スパムキャンペーンにより、現在Googleニュースが侵害されている。

 SEO(Search Engine Optimization)の悪用により、「jailbreak(脱獄アプリ)」という見出しがiOSスレッドに差し挟まれている。

Google News

 以下にFull coverageを示す。

Google News, Full coverage

 「ニュース」ということになっているものを読むと、iPhoneの脱獄アプリを提示するスキームへと導かれる。

Unlock iPhone spam

 iPhoneでは次のように見える。

Google News SEO Google News SEO

Google News SEO Google News SEO

 良いニュース:現在のところSEOの不正利用は、スパマーによるものに限定されている。

 悪いニュース:スパマーはどこへ向かうのか?もちろんすぐにエクスプロイトキットが続くだろう。

 Googleの検索エンジニアが、このセキュリティホールを速やかに埋めてくれるように願おう。

Facebookがプライバシー制御を廃止。びっくり?

 3月27日、FacebookのプライバシーおよびセキュリティのエンジニアJoey Tyson氏が、次のように問いかけた。

status/317006898274635776

 In general, I think many people tend to trust Google more than Facebook. Any thoughts from my followers on why that might be?(訳注:一般に、多くの人々はFacebookよりもGoogleを信頼する傾向があると思う。そうなる理由について、私のフォロワーから考えを募りたい)

 Social Hackingとしても知られるTyson氏はプライバシーを推進している。Facebookで働き始めるずっと以前からだ。

twitter.com/theharmonyguy

 同氏は重要な疑問を投げかけている。なぜ人々はFacebookよりもGoogleを信頼するのか?

 ええと、以下はその理由の一例。

 最近、私はGraph Searchのテストを行った。そのときFacebookの設定の「Clear Searches」オプションで自分の検索履歴を削除することを指摘した。つまり少なくともこういうことが可能だった。

Facebook Settings, Clear Searches

 先週後半には…、パッと消えた!このオプションがFacebookの設定から無くなったのだ。

Facebook Settings, No Clear Searches

 消え去ってしまった。こんなふうに。初めから存在しなかったかのように。

 そして週末にかけて(一時的に)何が登場したのか?

 Giftsだ。

Facebook Gifts

 Facebookの設定に「Gifts」が戻ってきたことに気づいて以来、こうしたものがポップアップすることを予期していた。

Facebook Settings, Gifts

 もしFacebookのことをよく分かっていなかったら、なぜだと思っただろう。私はうすうす疑念を感じていたのだ。FacebookのGraph Searchは私が興味を持っているものを見つけやすくするためではなく、むしろ私をプロファイルするのに使えるやり取りを発生させるために設計されたのではないか、と。すると、私へギフトを贈るよう私の友達や家族を促すために、この消費者分析が使われ得るのだろうか?

 冗談抜きに、これでなんでFacebookを誰かが「信頼」するはずと?

 私は自分の検索や他のデータが、物を勧めるために使用されることに同意していない(それはAmazonの仕事だ)。

 AmazonもGoogleも検索履歴を一時的に停止したり、消去するオプションを提供している。

 Facebookはまさしく期待どおりだ。

 他にどんな過失があるにせよ、Googleは少なくともダッシュボードのコンポーネントをちょっと追加したり削除したりしているようには見えないし、新しいサービスを公開する際に思い付いたように登場させたり削除したりはしない。

 Facebookのプライバシー制御は、今日ここにあったものが、明日には無くなっている。— 決して信頼を構築することはできない。

では。
ショーン

更新:「Move Fast and Break Things(迅速な行動が物事を動かす)」をモットーにするFacebookは、このたびの消失をバグのせいにしている。

ゲストブロガー座談会開催、KLの研究責任者 Goh Su Gim 来日

ミッコ・ヒッポネン直下のセキュリティ・アドバイザーとして、アジア地域のセキュリティ動向の調査研究を行うGoh Su Gimが、3月1日来日し、エフセキュアブログのゲストブロガーを招いた座談会を、溜池山王の当社オフィスにて行いました。

座談会はGoh Su Gimと、ジャーナリストの高間剛典さん、サイバーディフェンス研究所の福森大喜さん、FFRIの鵜飼裕司さんを含む4名をメンバーとして開催されました。会場には、Poika も到着し、対談の様子をひっそりと見守ります。

スペシャリスト4名による議論は、現在のセキュリティ動向や問題点の分析にとどまらず、新しい問題提起や提言が飛び出しました。

●国別のエクスプロイトの状況、Javaエクスプロイトが突出

アジア地域のセキュリティ動向に詳しいSu Gimから、まずはアジアにフォーカスした統計データがいくつか提示されました。日本について特筆すべきは、Javaエクスプロイトの占める割合の高さ(73%)です。この理由について、Su Gimからはパッチ管理の甘さや、重要な基幹システムに自社開発したJavaシステムが使用されている点が挙げられました。

01
アジア地域のセキュリティ動向の調査研究を行う、エフセキュアのGoh Su Gim

●モバイル端末のマルウェアとアンチウイルス

続いて、モバイル機器のマルウェアについて、Su Gimから動向が示されました。グローバルでのAndroid端末のマーケットシェアの伸びに合わせ、昨年第4四半期には第3四半期と比較して、Androidを狙った新しいマルウェア・ファミリーの検出数がほぼ倍増しました。

福森さんからは、Android端末上でのアンチウイルスの実現の可能性に踏み込んで疑問が呈されました。その他の参加者からも、PCと異なりAndroid端末上では、低レイヤを監視・操作する術がないこと、高権限での操作ができないこと、リソースが少ないことといった具体的な問題点が次々と出てきました。モバイル端末のアンチウイルスの現状について、アプリケーションの1つとして振る舞い、ゼロデイ攻撃を検知する機能などは搭載されていない旨がSu Gimより紹介されました。

03
株式会社サイバーディフェンス研究所 上級分析官  福森大喜さん

対策として、セキュリティベンダーが結束して、権限を与えるようにGoogleに訴えかけよう、という発言が鵜飼さんからありました。鵜飼さんによれば、各種アプリケーションを解析する際に、明確に悪意がある振る舞いをするわけではないが、なにがしかのデータを端末から吸い出して送信する、いわばグレーゾーンのアプリケーションが多く見つかるそうです。また、膨大の利用規約の文章の中に、小さなフォントでユーザのプライバシーに関する記載をするようなアプリケーションについても疑問が呈されました。ユーザの誤認を誘いかねないものについては、高間さんからも利用規約の一方的な更新や、アドウェアについて言及がありました。

02
株式会社フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司さん

●そもそも「マルウェア」とは?

つづいて、日本における法的な面での「マルウェア」の解釈について、高間さんから説明がありました。国際条約「サイバー犯罪に関する条約」に批准するために、2011年6月に「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が成立しましたが、ここでは「(ユーザの)意図に反する動作をさせるべき不正な指令を与える電磁的記録」といった曖昧な定義がなされており、議論が巻き起こっているとのことでした。

04

メタ・アソシエイツ代表 高間剛典さん

結局のところ、何がマルウェアであるのか、というのはユーザによる捉え方の違いもあり、難しいということが当座談会の結論でした。

なお、「マルウェア」という用語以外にも、セキュリティ上・個人情報保護上の観点から疑問があるソフトウェアを示す用語を、新たにセキュリティ・ベンダーが示すべきというアイデアが、鵜飼さんからSu Gimに伝えられました。高間さんからは「プライバシーウェア」といった新語も飛び出しました。

08_poika用写真
対談の様子をひっそりと見守っていた Poika (写真左下)
 

アップルの「セキュリティ」について、う〜ん、となってしまうこと

ティム・クック様

 最近「antivirus」という用語を検索したことはありますか? — 検索していないのではないかと存じます。

 以下は、現在Googleインスタント検索が提示している内容です。

google.com, antivirus

 ふむ、「antivirus for mac」 — 非常に興味深い。

 ご存知でしょうが、おそらくアップルの「セキュリティ文化」を改めるときがきたのではないでしょうか?

 別の検索をしてみましょう。apple.comで「security updates」を検索すると、以下の結果が得られます。

apple.com Search Results

 マーケティング資料ですね。一般的な。あ、サポート情報は右側にあるんですね。了解です。これで結構です。セキュリティはサポートの問題です。

 続いてapple.com/support/で「security updates」を検索すると、以下の結果が得られました。

apple.com/support/ Apple Support Search Results

 1件目は去年の12月のもので、それ以降にはさらに古い結果があります。しかし、本文の中ではセキュリティ・アップデートについて言及しているように見えます。記事を開くと、最終的にApple security updatesのインデックスへリンクしています。

 このインデックスは、このように見つけにくくするべきものではありません。それに、実際に前述の検索結果に現われるのに、このインデックスが引用符の中になければならないのはなんだか悲しいものです。

Apple Security Updates

 では、最新のセキュリティ・アップデートの記事を見てみましょう。

About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13

 ページの最後のほうに、Malware removalマルウェアの除去)という節があります。

Malware removal

 これはGoogleによって提供されている「summary要約)」という単語の定義です。

google, summary definition

 要約は無駄ではないでしょう。しかし「マルウェアの除去」がその中で触れられていないのは、ちょっとまずいと思わないのでしょうか。

 ここで、他の検索をしてみましょう。

 以下は、apple.com/support/にて「antivirus」を検索したときに得られる結果です。

Avoid harmful software

 Avoid harmful software(害のあるソフトウェアから免れる)?うわ〜、すばらしいヒントです。今が2009年であったのなら。

These apps, called

 Internet downloads and email enclosures(インターネットからのダウンロードや、メール添付)?

 非常に率直に申し上げて、このアドバイスは、2012年7月に書かれた時点で、既に時代遅れとなっています。

Last Modified: Jul 31, 2012

 「exploit(エクスプロイト)」「drive-by attack(ドライブバイ攻撃)」「watering holes(水飲み場)」…、当たり前ですがこれらに関連する事項に言及するように、この記事をどなたかに更新させてはいかがでしょうか。

 お聞きください。このようなことがありました。11年前、インターネット・ワームがWindowsを食い物にしており、結局、まさしく警鐘を鳴らすこととなりました。この時点でマイクロソフトは、同社のセキュリティ文化を変革しようと大いに努力し、成功しました。

 翻ってアップル社は?

 以下は、御社からの一節です。

 「当社の顧客を守るために、調査がすべて行われ、必要なパッチまたはリリースが提供できるようになるまで、アップルはセキュリティ問題について開示、議論、追認を行いません。」

 問題なのは次の点です。

 アップルはパッチを提供する「まで」問題を認識することを拒否しているだけでなく、事後に議論することさえしません。

 では、なぜこれが問題なのでしょうか。

 なぜなら、我々はもはやインターネット・ワームの時代に生きているわけではないからです。今はインターネット・ハッキングの時代なのです!大規模なMacユーザ基盤を持つ組織が、情報に基づき脅威を評価できるようにする、という意味において情報には価値があります。

 よりアップルのシェアがあるコミュニティほど、みんながもっと幸せになります。

 したがいまして、どうかアップルの秘密主義と否定の文化を変えることをご検討ください。

 御社には才能と親しみにあふれたセキュリティ担当アナリストがいるでしょう。彼らの尽力に光を当てないのはなぜでしょうか。彼らを中心に据え、彼らの優れた仕事を賞賛することをご検討ください。是非この問題に真正面から対処してください。

 なぜなら、それが正しい行動だからです。

 では。

エフセキュア
セキュリティ・アドバイザー

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア

 2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のディレクターBob Lord氏によるブログへの投稿(Keeping our users secure
)では詳細不明だったが、ブラウザのJavaプラグインを無効にするように推奨。

 そして同氏によると、攻撃者は「非常に精通しており、
他の企業や組織も最近同様の攻撃を受けたことを確信している」とのことだ。

And we believe other companies and organizations have also been recently similarly attacked

 2月15日金曜日。Facebookがハッキングされたとアナウンス。セキュリティ・チームのノート(Protecting People On Facebook)によれば、ほんの一握りの従業員が、「ラップトップマルウェアをインストールするエクスプロイト」のあるJavaをホストしている、侵害されたWebサイトを訪れたとのことだ。

Allowed malware on laptops

 したがって、デフォルトではブラウザのJavaプラグインを無効にし、実際に必要なときにのみ有効にするといい。しかし、我々はとっくにそんなことは知っていたよね?

 そして他のみんながOracleをバッシングしている間に、我々はもっと興味深い疑問を抱く。どういった種類のラップトップに、どんなマルウェアが

 なぜかって?それは、Facebookの従業員の写真の中で、我々がほぼ常に目にするラップトップの種類がMacだからだ。

 以下は、Facebookのセキュリティ・チームのカバー写真だ。

Own Your Space
画像Facebook Security:「Own Your Space

 我々は2月4日の時点で既に、エクスプロイトがドアを開けることを推測していたが、そのドアをくぐって、シリコンバレーの若いお利口な開発者のMacBookまでやってきたのは何だったのだろうか?

 さて、実に興味深いことに、先週の金曜日の夜、(メーリング・リスト経由で)分析用に新しいMacのマルウェアのサンプルをいくつか受け取った。1月31日、つまりTwitterのアナウンスの1日前に、VirusTotalにアップロードされたサンプルだ。

 サンプルのうちの1種類はカスタム・コンパイルされたSSHデーモンで、我々はエクスプロイトがこれを入れた可能性が非常に高いと疑っている。その他のものはバイナリではないので、実際には「サンプル」ではない。1行プログラム(Perl)で、スタートアップ時に実行してリバース・シェルを開くものだ。

 使用されているURLには「Apple Corp」のスペル間違いが含まれ、デジタル・コンサルティング企業のようにも見えるし、クラウド・ストレージ・サービスを装っているようにも見える。

 オーケー、つまり今そこにMacの脅威があり、大半のMacユーザはまったくそれに気づいていない。ユーザ達は間違ったセキュリティ感覚を持っている。それは良くない、だよね?しかし、実際にあらゆる点を考察すると、これは最悪なことでもない。このJavaエクスプロイトが置かれていた、セキュリティ侵害されたWebサイトはどこだったのか?Facebookのノートによれば、それはモバイル・アプリケーションの開発者のWebサイトだった!

Visited a mobile developer website that was compromised

 理解した?モバイル・アプリケーション開発者を狙った
、「水飲み場」型攻撃("watering hole" attack)なのだ。


 たとえば…、モバイル機器をハッキングできないかな?オーケー、それなら、
上流に行って、モバイル・アプリケーション開発者をハッキングしよう。開発者のソース・コードに何でも好きなものを差し挟めるところだ。

 TwitterとFacebookにはもちろん、トラブルを警戒する専属のセキュリティ・チームがあるだろう(両社は大きな標的だ)。残念なことに、両社より小規模な他の(大きなユーザ基盤を持つ)シリコンバレーのスタートアップには、同様のリソースはない。この時点で、誰かがWhatsAppの人に連絡したことを切に願っている。Google Playによれば、WhatsAppは少なくとも1億本はインストールされている

 この世には数百万まではいかなくとも数十万のモバイル・アプリケーションがある。モバイル・アプリケーションの開発企業のWebサイトに、最近、どれくらいのアプリケーション開発者がアクセスしていたと思う? Macで…、そして非常に間違ったセキュリティ感覚で。

 もしこの水飲み場型攻撃が、実際にはTwitterやFacebookのような大規模プレイヤーだけを狙っているなら、非常に幸運というものだ。反対に、このキャンペーンに可能な限り多くの開発者をハッキングするというような、もっと広範な目標があったのなら?自分自身のデバイスのポリシーに疑問を投げかけよう。BYOD=Bring Your Own Destruction(訳注:破滅)?
 
アドバイス

 SSHデーモンを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cupsd.plist
  •  com.apple.cups.plist

 Perlを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cocoa.plist
  •  com.apple.env.plist

 ブラウザでJavaを有効にしていて、ここ2ヶ月の間にモバイル・アプリ開発者のWebサイトにアクセスし、自身のコンピュータに証拠が残っているなら、侵害されている。ソース・コードのバージョン管理システムを用いて、最近コミットしたものを確認すべきだ。

 そしてもし(SVNGitといった)バージョン管理システムを使っていないのなら、コード全体を読む時間を楽しむといい。

追記:Windowsを利用する開発者についてはほとんど言及せずにきたが、同様の用心を行うべきだ。

Internet Explorerの複数のバージョンにいまだ脆弱性あり

 1週間前は、マイクロソフト社がただちにInternet Explorerの最新の脆弱性に対するパッチを用意するかは、まだ明らかになっていなかった。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 今では、当該パッチは1月のセキュリティ・アップデートには含まれなかったことが分かった。これで定例外でパッチが出る可能性が持ち上がった。とはいうものの、まだ限定的なエクスプロイトしか見られない(標的型攻撃の報告については現在調査中)。

 以前のガイダンスを繰り返し示す。

 Windows 7なら、Internet Explorerのバージョンを9以上にアップデートする。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 XPとIE 8の使用が求められる、企業や他組織のユーザには、マイクロソフトはFix itツールを入手できるようにした。

 詳細はこちら。「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8

Fix it:Internet Explorer 8の脆弱性

 1つ前の投稿で触れたとおり、Internet Explorerにはリモート・コード実行の(ゼロデイ)脆弱性があり、野生状態で悪用されている。この脆弱性は、IE 6やIE 7と同様、IE 8に影響がある。この3つのバージョンのIEは、 デスクトップ機の全ブラウザのマーケット・シェアの約3分の1を占める。

 現状ではエクスプロイトの利用は限られているが、確実性の高いエクスプロイトが、すぐにクライムウェア・エクスプロイト・キットへと発展することは、大いにあり得る。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 IE 9およびIE 10にはこの脆弱性はない。しかしWindows XPはIE 9とIE 10をサポートしていないので、XPユーザにとっては大きな慰めにはならない。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 企業ユーザには、(引き続き)XPとIE 8の使用が求められる。マイクロソフト社はFix itツールを入手できるようにした。

Microsoft Security Advisory 2794220, Fix it

 同社のSecurity Research & Defenseブログの記事「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8」で詳細を確認できる。

 なお、マイクロソフト社の定例アップデートにおける次のサイクルである1月8日に、この脆弱性に対するパッチが出るかは、まだ定かではない。

ベルリン警察:Android版銀行口座向けトロイの木馬を警戒

ベルリン警察局は先週火曜日、現金引き出し詐欺に対する刑事告訴関して、プレスリリースを発表した。すべての事件に、SMS mTansとAndroidスマートフォンが関与している。

Pressemeldung #3628
オリジナルGoogle翻訳

 このことは、Mobile ZeuS Man(Zeus Mitmo)とも呼ばれることがある、Mobile ZeuSの事件(Zitmo)に似ていると思われる。我々がZitmoのことを最初に書いたのは、2010年9月に遡る。Zitmoに関して気を付けなければならないことは、それが「モバイル」マルウェアの類のものではないということだ。それより、ZitmoはWindowsベースのZeuSボットと同類/補足コンポーネントなのだ。Zitmoは、銀行の顧客が認証用の追加レイヤーにSMS mTansを使用する際に、WindowsベースのZeuSと一緒に実行される。

 セキュリティの mTansレイヤーに対応するために、ZeuSボットは口座取引中に顧客に電話機のモデルや番号を尋ねる「セキュリティ上の注意」画面を挿入する。悪意ある者は続いて、いわゆる「セキュリティの更新」にSMSリンクを送信するが、これは、実際にはmTansの裏をかくために必要なMobileコンポーネントのManなのだ。

 実害が発生しているZeuSボットにはさまざまなものがある。たとえば、2か月前に我々はZeuSのP2PバージョンであるGemaoverについて書いた。1つのZeuSベースのボットネットだけでも、ドイツで4千9百万近い感染がある。この感染は、どれをとってもZitmoの標的になり得るのだ。

 それでは、Zitmoに対する最適な防御とは何であろうか?ベルリン警察局は、市民が自分の銀行から要請される「セキュリティ更新」に疑念を持ち、ホームコンピュータを防御することを推奨する。

 このことは、最新のウィルス駆除ソフトをインストールすることも含まれる。

-----

 自己プロモーションには次のように書かれている:

 Zitmoのような脅威は、弊社がインターネットセキュリティとモバイルセキュリティをセットとしてご提供する理由の1つです。

 そして、ZeuSのような脅威こそが、弊社の最新のインターネットセキュリティ機能を、中間介在者をブロックしインジェクション攻撃するように設計し、銀行口座防御と呼ぶこととなった原因です。

 ご利用のデバイスはすべて繋がっています。安全を心掛けてください。

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

スケアウェアと「スケアリー」な詐欺とは別物

  コメントすべき2つの大きなニュースがある。

  最初の物はこれだ:公正取引委員会の訴訟が「スケアウェア」マーケターに対して1億6300万ドルという結果に。

FTC, Winfixer

  被告のKristy Rossは2008年、米公正取引委員会の訴訟に関与していた:法廷が偽のコンピュータスキャンを停止。

  彼女のボーイフレンド「Sam」Jainは現在も逃走中だ:

Sam Jain

  Jainに関する詳細は、2011年6月の記事で読める。

  確かに重要な判決ではあるが、Rossは過去のスケアウェアベンダの一人であることを考えて欲しい。

  以下は、今日の事例が見られるサイトだ:S!Ri.URZ

  そして第2のニュースは:

  10月3日、オーストラリア、カナダ、英国、米国の政府機関が新たな「ウィルス詐欺」に対する措置を発表した。以下は公正取引委員会のリリースだ:公正取引委員会、大規模テクニカルサポート詐欺を停止

FTC, Pecon

  素晴らしい仕事だ! しかし、停止したものに対する若干の混乱があるようだ。一部のニュースネットワークは、今回の措置を10月2日のものと混同している。おそらく公正取引委員会の委員長Jon Leibowitzが、以下のように述べたためと思われる:

  「本日我々が話題にしているテクニカルサポート詐欺師たちは、スケアウェアにより新たなレベルのバーチャルな混乱をもたらした。」

  うーん…いや、そんなことは無い。テクニカルサポート電話詐欺に関係する「ウェア」(マルウェア)は無い——それは純粋なソーシャルエンジニアリングだ。彼はスケアウェアという言葉を使用するべきではなかった。

  テクニカルサポート電話詐欺に含まれるのは以下の物だ:コールセンタから電話する人びと;受信者に「IPトラフィック」もしくはその他のナンセンスが、彼らのコンピュータがウイルスに感染していると示していると告げる;「それをクリーンにする」ためリモート接続を作成する;無料もしくはトライアルセキュリティソフトウェアを彼らに販売する。

  これはソーシャルエンジニアリング詐欺であり、そこにスケアウェアは存在しない。

  より良い理解のために、ESETによるこのVB2012文書をお勧めする:私のPCに32,539のエラーがある:電話サポート詐欺は実際いかに機能するか[PDF]、David Harley(ESET)、Martijn Grooten(Virus Bulletin)、Steven Burn(Malwarebytes)、Craig Johnston(独立系研究者)。この論文は当初、2012年9月にVirus Bulletin Conferenceで発表された。

  そしてもし、テクニカルサポート詐欺の発信者たちを知らせている人びとに話を聞きたいならば…

Googleのテクニカルサポート電話詐欺の検索結果

Google, tech support phone scam

ハッカー神Cosmo

8月の初めに、Wired.com Gadget LabのライターMat Honanが、「とんでもないハッキング」を経験した。彼自身の、だ。

  •  AppleとAmazonのセキュリティ欠陥はいかにして私のとんでもないハッキングに導いたか

  MatのiPhone、MacおよびGoogleアカウントは抹消された。ハッカーが彼の3文字(@mat)のTwitterアカウントにアクセスしたいと考えたためだ。(YouTube:@matのハッキングに関する我々の考え

  Matのデータを回復するには、かなりの努力(とコスト!)を要した:

  •  とんでもないハッキング後、私がいかにしてデジタルライフを復活させたか
  •  DriveSaversが私もデータを取り戻した方法

  当然Matは、彼のアカウントを「ハッキング」するのに用いられたソーシャルエンジニアリング手法に強い興味を抱いた。そして今年の最も悪名高いハッカー・ギャングの一つであるUGNazi(@UG)のメンバーが、@mikkoに連絡し、助力を申し出た。

@UG

  それがMat Honanの最新記事となった:

  •  降臨したハッカー「神」Cosmo

  読んで欲しい。

引用:「私がたった一つ確信するのは、オンラインセキュリティは幻想だということだ。」

  これを読む前は、我々は多かれ少なかれ、我々の卵(アカウント)が全部、一つのかごに入っているわけではないことに安心していた。しかしこの記事を読んだ現在では…使用していない昔の卵をいくつか突き止め、削除する時だと思っている。








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード