エフセキュアブログ

java を含む記事

Java - 与え続ける才能

 脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。

人気のJava Exploitに改めて注意

現在、UGマーケットではJavaの脆弱性に関連した商品やサービスに注目が集まっています。
下図のようにJavaの脆弱性を標的としたEaaS(Exploit Pack as a Service)が提供されるなど、その注目度の高さが窺えます。このサービスでは、BASICとPROFESSIONALで提供されるExploitコードのタイプが異なります。端的にいえば、PROFESSIONAL版の方は標的に気付かれづらい作りになっています。6ヶ月間で50USDの差額をどう考えるかですが、ビジネスとしてサイバー攻撃を行っているグループには安い買い物でしょう。

security pack


このような背景があってかわかりませんが、2012年は日本国内を含め、ウェブ改竄被害が大変多く報告されています。先日、IPAよりウェブサイトの改竄に対して注意喚起が出ており、2013年も増加し続けています。国外の状況を含め調査しますと、これらの被害サイトの多くには悪性コードが挿入されたり、設置されています。複数のウェブサイトにおいて、類似ケースも確認されていることから、EaaSやSpreader等のサービスが利用された可能性は高いと考えられます。

このような現状に対し、IPAではこの注意喚起の中では、対策として主に次の3点を改めて推奨しています。
・Windowsの自動更新を有効に
・各種プログラムを最新に
・アンチウイルス以外の機能も持つ「統合型セキュリティソフト」の活用

いずれも基本的な対策であり、且つ大変重要な対策です。上図でも確認できるように、EaaSや一部のWeb Exploit Packではアンチウイルスソフトを回避するために、利用するExploitコードや不正プログラム等をチェックするためのツールが提供されています。そのため、アンチウイルススキャンのみでの検出が難しい場合があります。
この点を踏まえますと、上述の対策は最低限実施しておきたいところです。
また、UGマーケット内でのJava Exploitの人気を考えますとウェブブラウザのJavaを無効化等の対策も実施しておくとさらに安心です。

何はともあれ、これらの背景を踏まえますと、
・PCはJavaへの対応策は万全か
・ウェブサーバに覚えの無いコンテンツが設置されていないか
・アクセスログに不審なログは無いか(そもそも適切にログが取得されているか)

など改めて確認されてみては如何でしょうか。
併せて、攻撃トレンドの変化に付いていけるようにExploitコードや不正プログラム等の情報チェックも忘れずに。


g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される

 Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。

url_list (122k image)

 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。

Metasploit (95k image)

 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。

 PoC(概念実証、proof of concept)についての情報はここに掲載されている。

 ファイルはExploit:Java/Majava.B.として検知される。

サンプルのハッシュ:
1a3386cc00b9d3188aae69c1a0dfe6ef3aa27bfa
23acb0bee1efe17aae75f8138f885724ead1640f



Post by - Karmina および @Timo

OS X Mountain Lion v10.8.3のセキュリティコンテンツについて

 アップルはOS X Mountain Lionアップデートv10.8.3をリリースした。いつものようにセキュリティコンテンツは興味深い。

 以下はCoreTypesの詳細になる。我々が実際に注目したのはCVE-2013-0967だ。

CVE-2013-0967

 「影響:悪意を持って作られたWebサイトにアクセスすると、Javaプラグインが無効になっていてもeven if the Java plug-in is disabledJava Web Startアプリケーションが起動しうる。

 Javaプラグインが無効になっていても、だって?

 これは興味深い…。


ゲストブロガー座談会開催、KLの研究責任者 Goh Su Gim 来日

ミッコ・ヒッポネン直下のセキュリティ・アドバイザーとして、アジア地域のセキュリティ動向の調査研究を行うGoh Su Gimが、3月1日来日し、エフセキュアブログのゲストブロガーを招いた座談会を、溜池山王の当社オフィスにて行いました。

座談会はGoh Su Gimと、ジャーナリストの高間剛典さん、サイバーディフェンス研究所の福森大喜さん、FFRIの鵜飼裕司さんを含む4名をメンバーとして開催されました。会場には、Poika も到着し、対談の様子をひっそりと見守ります。

スペシャリスト4名による議論は、現在のセキュリティ動向や問題点の分析にとどまらず、新しい問題提起や提言が飛び出しました。

●国別のエクスプロイトの状況、Javaエクスプロイトが突出

アジア地域のセキュリティ動向に詳しいSu Gimから、まずはアジアにフォーカスした統計データがいくつか提示されました。日本について特筆すべきは、Javaエクスプロイトの占める割合の高さ(73%)です。この理由について、Su Gimからはパッチ管理の甘さや、重要な基幹システムに自社開発したJavaシステムが使用されている点が挙げられました。

01
アジア地域のセキュリティ動向の調査研究を行う、エフセキュアのGoh Su Gim

●モバイル端末のマルウェアとアンチウイルス

続いて、モバイル機器のマルウェアについて、Su Gimから動向が示されました。グローバルでのAndroid端末のマーケットシェアの伸びに合わせ、昨年第4四半期には第3四半期と比較して、Androidを狙った新しいマルウェア・ファミリーの検出数がほぼ倍増しました。

福森さんからは、Android端末上でのアンチウイルスの実現の可能性に踏み込んで疑問が呈されました。その他の参加者からも、PCと異なりAndroid端末上では、低レイヤを監視・操作する術がないこと、高権限での操作ができないこと、リソースが少ないことといった具体的な問題点が次々と出てきました。モバイル端末のアンチウイルスの現状について、アプリケーションの1つとして振る舞い、ゼロデイ攻撃を検知する機能などは搭載されていない旨がSu Gimより紹介されました。

03
株式会社サイバーディフェンス研究所 上級分析官  福森大喜さん

対策として、セキュリティベンダーが結束して、権限を与えるようにGoogleに訴えかけよう、という発言が鵜飼さんからありました。鵜飼さんによれば、各種アプリケーションを解析する際に、明確に悪意がある振る舞いをするわけではないが、なにがしかのデータを端末から吸い出して送信する、いわばグレーゾーンのアプリケーションが多く見つかるそうです。また、膨大の利用規約の文章の中に、小さなフォントでユーザのプライバシーに関する記載をするようなアプリケーションについても疑問が呈されました。ユーザの誤認を誘いかねないものについては、高間さんからも利用規約の一方的な更新や、アドウェアについて言及がありました。

02
株式会社フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司さん

●そもそも「マルウェア」とは?

つづいて、日本における法的な面での「マルウェア」の解釈について、高間さんから説明がありました。国際条約「サイバー犯罪に関する条約」に批准するために、2011年6月に「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が成立しましたが、ここでは「(ユーザの)意図に反する動作をさせるべき不正な指令を与える電磁的記録」といった曖昧な定義がなされており、議論が巻き起こっているとのことでした。

04

メタ・アソシエイツ代表 高間剛典さん

結局のところ、何がマルウェアであるのか、というのはユーザによる捉え方の違いもあり、難しいということが当座談会の結論でした。

なお、「マルウェア」という用語以外にも、セキュリティ上・個人情報保護上の観点から疑問があるソフトウェアを示す用語を、新たにセキュリティ・ベンダーが示すべきというアイデアが、鵜飼さんからSu Gimに伝えられました。高間さんからは「プライバシーウェア」といった新語も飛び出しました。

08_poika用写真
対談の様子をひっそりと見守っていた Poika (写真左下)
 

アップルの「セキュリティ」について、う〜ん、となってしまうこと

ティム・クック様

 最近「antivirus」という用語を検索したことはありますか? — 検索していないのではないかと存じます。

 以下は、現在Googleインスタント検索が提示している内容です。

google.com, antivirus

 ふむ、「antivirus for mac」 — 非常に興味深い。

 ご存知でしょうが、おそらくアップルの「セキュリティ文化」を改めるときがきたのではないでしょうか?

 別の検索をしてみましょう。apple.comで「security updates」を検索すると、以下の結果が得られます。

apple.com Search Results

 マーケティング資料ですね。一般的な。あ、サポート情報は右側にあるんですね。了解です。これで結構です。セキュリティはサポートの問題です。

 続いてapple.com/support/で「security updates」を検索すると、以下の結果が得られました。

apple.com/support/ Apple Support Search Results

 1件目は去年の12月のもので、それ以降にはさらに古い結果があります。しかし、本文の中ではセキュリティ・アップデートについて言及しているように見えます。記事を開くと、最終的にApple security updatesのインデックスへリンクしています。

 このインデックスは、このように見つけにくくするべきものではありません。それに、実際に前述の検索結果に現われるのに、このインデックスが引用符の中になければならないのはなんだか悲しいものです。

Apple Security Updates

 では、最新のセキュリティ・アップデートの記事を見てみましょう。

About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13

 ページの最後のほうに、Malware removalマルウェアの除去)という節があります。

Malware removal

 これはGoogleによって提供されている「summary要約)」という単語の定義です。

google, summary definition

 要約は無駄ではないでしょう。しかし「マルウェアの除去」がその中で触れられていないのは、ちょっとまずいと思わないのでしょうか。

 ここで、他の検索をしてみましょう。

 以下は、apple.com/support/にて「antivirus」を検索したときに得られる結果です。

Avoid harmful software

 Avoid harmful software(害のあるソフトウェアから免れる)?うわ〜、すばらしいヒントです。今が2009年であったのなら。

These apps, called

 Internet downloads and email enclosures(インターネットからのダウンロードや、メール添付)?

 非常に率直に申し上げて、このアドバイスは、2012年7月に書かれた時点で、既に時代遅れとなっています。

Last Modified: Jul 31, 2012

 「exploit(エクスプロイト)」「drive-by attack(ドライブバイ攻撃)」「watering holes(水飲み場)」…、当たり前ですがこれらに関連する事項に言及するように、この記事をどなたかに更新させてはいかがでしょうか。

 お聞きください。このようなことがありました。11年前、インターネット・ワームがWindowsを食い物にしており、結局、まさしく警鐘を鳴らすこととなりました。この時点でマイクロソフトは、同社のセキュリティ文化を変革しようと大いに努力し、成功しました。

 翻ってアップル社は?

 以下は、御社からの一節です。

 「当社の顧客を守るために、調査がすべて行われ、必要なパッチまたはリリースが提供できるようになるまで、アップルはセキュリティ問題について開示、議論、追認を行いません。」

 問題なのは次の点です。

 アップルはパッチを提供する「まで」問題を認識することを拒否しているだけでなく、事後に議論することさえしません。

 では、なぜこれが問題なのでしょうか。

 なぜなら、我々はもはやインターネット・ワームの時代に生きているわけではないからです。今はインターネット・ハッキングの時代なのです!大規模なMacユーザ基盤を持つ組織が、情報に基づき脅威を評価できるようにする、という意味において情報には価値があります。

 よりアップルのシェアがあるコミュニティほど、みんながもっと幸せになります。

 したがいまして、どうかアップルの秘密主義と否定の文化を変えることをご検討ください。

 御社には才能と親しみにあふれたセキュリティ担当アナリストがいるでしょう。彼らの尽力に光を当てないのはなぜでしょうか。彼らを中心に据え、彼らの優れた仕事を賞賛することをご検討ください。是非この問題に真正面から対処してください。

 なぜなら、それが正しい行動だからです。

 では。

エフセキュア
セキュリティ・アドバイザー

もっとも手が届きやすい果実:Java

 コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。

2004〜2008年:WindowsからOfficeへ攻撃がシフト

2004年8月 — Windows XP Service Pack 2がリリース

2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス

2005年6月 — Microsoft Updateの初回リリース

結果:Windows UpdateからMicrosoft Updateに置き換わって以降、時間と共に世の中のMicrosoft Officeの脆弱性が減った

2008〜2010年:攻撃の焦点が徐々にAdobeへ

2009年2月 — Adobe Reader has become the new IE(Adobe Readerが新たなIEになる)

From my point of view, Adobe Reader has become the new IE. For security reasons, avoid it if you can.

2009年3月 — Adobeが四半期ごとのアップデート・スケジュールを開始。「Patch Tuesday(訳注:Microsoftの定例アップデート)」と同日に入手できるようになる

  •  ASSET Blog:Adobe Reader and Acrobat Security Initiative

2009年4月 — OracleがSunを買収、Javaのオーナーに

2010年3月 — PDFベースの標的型攻撃が増加

Targeted Attacks

  •  Computerworld:Hackers love to exploit PDF bugs, says researcher

 Adobeはこのデータに驚いてはいなかった。「数多くの当社製品が相対的にユビキタスでプラットフォ―ム共通であることから、Adobeは攻撃者から注目を集めており、今後もさらに集め続けていくことになりそうだ。」

Given the relative ubiquity and cross-platform reach of many of our products…

2010年7月 — AdobeがMicrosoftのMAPPプログラムに参加

  •  ASSET Blog:Working Together: Adobe Vulnerability Info Sharing via Microsoft Active Protections Program (MAPP)

結果:Adobeがチーム・プレイヤーとなり、その成果を得た。

2010〜2013年:Javaが(複数のOSにおいて)もっとも手が届きやすい果実という称号に名乗りを上げる

2012年4月 — Adobeが「四半期ごとのアップデート」を終了し、必要に応じて毎月行うことに。マイクロソフトのアップデート・スケジュールに依然沿っている

  •  ASSET Blog:Background on Security Bulletin APSB12-08

2012年8月 — Javaランタイム環境 = 常に脆弱なマシン

2013年1月 — ZDNetのレポーターEd Bott氏が、Javaをフォイストウェアの新たな王だと断言

  •  ZDNet:A close look at how Oracle installs deceptive software with Java updates

2013年2月 — 多数の企業がJavaを原因とするセキュリティ上の欠陥を認める

  •  The Verge:After so many hacks, why won't Java just go away?

結果:ブラウザのJavaプラグインは公衆の敵ナンバーワンだと見なされる

 しかし待てよ。ブラウザのJavaプラグインを無効にするだけで十分だろうか?

2011年3月 — Spotify Freeのユーザが、悪意のある広告経由で攻撃される。少なくとも1つの攻撃で、Javaエクスプロイトが用いられる

  •  SC Magazine:Spotify in malvertising scare

 Javaを起動できるのは「ブラウザ」だけではないようだ。

2013〜201X年:Oracleが進化するか、JREが次第に重要でなくなる

 Oracleは1、4、7、10月の17日にもっとも近い火曜日にクリティカル・パッチ・アップデートをリリースしている。「Patch Tuesday」とは別の(遅い)日にこうしたアップデートをリリースすることで、今のところOracleは、IT部門に対し、パッチ・メンテナンスの評価や試験ミーティングの予定をさらに別に設定することを強いている。

 本当に何かを変えなければならない。

もう1つのフライデー・ナイト・ディスクロージャ:マイクロソフト

 フライデー・ナイト・ディスクロージャ(金曜夜に公表される情報)の、今週のエピソードはマイクロソフトだ。

 Trustworthy Computing Securityのジェネラル・マネージャMatt Thomlinson氏が、MSRCTeamのブログへの投稿の中で詳細を述べた。

MSRCTeam, Recent Cyberattacks

 これまでのフライデー・ナイト・ディスクロージャのエピソードについてキャッチアップしたいなら、以下を参照のこと。

アップルに関連したハッキングのタイムライン
当社のMac向けアンチウイルスがJavaエクスプロイトをブロック (Windows版のアンチウイルスも)

追伸。マイクロソフトがWeb上で情報を公開したことに賛辞を(アップルとは違う)。

当社のMac向けアンチウイルスがJavaエクスプロイトをブロック

 昨日、当社のアナリストBrodとTimoの2人が、Mac版のエフセキュア アンチウイルスを使ってFacebookおよびAppleのハッキング絡みのJavaエクスプロイトをテストした。

 それで、その結果は?

 当社のMac向けアンチウイルスはExploit:Java/Majava.Bという通常の検知(2012年11月19日に作成)で当該エクスプロイトをブロックした。

2013-02-21 Exploit:Java/Majava.B

 よし!

 そうすると、あのサンプルはどう関係するのだろうか?2月15日金曜日、複数のMacのマルウェアのサンプル が、「Mac malware」メーリングリストで共有された。後に続いた議論の中で2つのファイルのハッシュ値が共有され、うち1つはVirusTotal経由で入手できる。そして、当該サンプルはWindowsのバックドアを設けるJavaエクスプロイトであることが判明した。Brodはバックドア(Trojan.Generic.828273として検知された)を分析し、金曜日のMacのマルウェア関連の、シンクホール化されたC&Cサーバの1つdigitalinsight-ltd.comへの接続を試みることを発見した。

 我々の通常の検知Exploit:Java/Majava.Bはプラットフォーム間で共通のアンチウイルス・スキャン・エンジンで採用されているので、Windows版の顧客の方も守られている。ファイルのハッシュ値を共有してくれたアナリストに、弊社から感謝を申し上げる(彼女自身には分かるだろう)。

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

数社がハッキングされたことをFacebookが認める

 昨日の投稿に対し、「興味深い見解」という論調のフィードバックがあった。しかしよく聞いてほしい。他の企業がハッキングされたというのは見解ではなく、事実なのだ。FacebookのCSO(Chief Security Officer)Joe Sullivan氏はArs Technicaのインタビューでそのように述べた。

Facebook Chief Security Officer offers details in exclusive interview.

 Sullivan氏によると、悪の巣窟(シンクホール)たる攻撃者のサーバに対し、Facebookのセキュリティ・チームは第三者組織とともに取り組み、他に数社からトラフィックがやって来ることを突き止めたそうだ。

 以下は、昨日の投稿に書いたMacのマルウェアと関係のあるドメインだ。

  •  corp-aapl.com
  •  cloudbox-storage.com
  •  digitalinsight-ltd.com

 これらはすべて現在shadowserver.orgを指している。そして、これがSullivan氏の言及していた、第三者によるシンクホールだろう。

 そして再び質問。TwitterとFacebookがしとめられた水飲み場で水を飲んだモバイル・アプリケーション開発者は、他にどれくらいいるのか?「数社」とは、シンクホールへ張られた、ほんの一握りのユニークな接続を意味するのだろうか?あるいは、もっと多数の接続の中から、Facebookが「数社」しか特定できなかったということだろうか?

 Shadowserverのシンクホールへ張られたユニークな接続の総数を知りたい。

 概数だけでも。お願いします。

Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア

 2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のディレクターBob Lord氏によるブログへの投稿(Keeping our users secure
)では詳細不明だったが、ブラウザのJavaプラグインを無効にするように推奨。

 そして同氏によると、攻撃者は「非常に精通しており、
他の企業や組織も最近同様の攻撃を受けたことを確信している」とのことだ。

And we believe other companies and organizations have also been recently similarly attacked

 2月15日金曜日。Facebookがハッキングされたとアナウンス。セキュリティ・チームのノート(Protecting People On Facebook)によれば、ほんの一握りの従業員が、「ラップトップマルウェアをインストールするエクスプロイト」のあるJavaをホストしている、侵害されたWebサイトを訪れたとのことだ。

Allowed malware on laptops

 したがって、デフォルトではブラウザのJavaプラグインを無効にし、実際に必要なときにのみ有効にするといい。しかし、我々はとっくにそんなことは知っていたよね?

 そして他のみんながOracleをバッシングしている間に、我々はもっと興味深い疑問を抱く。どういった種類のラップトップに、どんなマルウェアが

 なぜかって?それは、Facebookの従業員の写真の中で、我々がほぼ常に目にするラップトップの種類がMacだからだ。

 以下は、Facebookのセキュリティ・チームのカバー写真だ。

Own Your Space
画像Facebook Security:「Own Your Space

 我々は2月4日の時点で既に、エクスプロイトがドアを開けることを推測していたが、そのドアをくぐって、シリコンバレーの若いお利口な開発者のMacBookまでやってきたのは何だったのだろうか?

 さて、実に興味深いことに、先週の金曜日の夜、(メーリング・リスト経由で)分析用に新しいMacのマルウェアのサンプルをいくつか受け取った。1月31日、つまりTwitterのアナウンスの1日前に、VirusTotalにアップロードされたサンプルだ。

 サンプルのうちの1種類はカスタム・コンパイルされたSSHデーモンで、我々はエクスプロイトがこれを入れた可能性が非常に高いと疑っている。その他のものはバイナリではないので、実際には「サンプル」ではない。1行プログラム(Perl)で、スタートアップ時に実行してリバース・シェルを開くものだ。

 使用されているURLには「Apple Corp」のスペル間違いが含まれ、デジタル・コンサルティング企業のようにも見えるし、クラウド・ストレージ・サービスを装っているようにも見える。

 オーケー、つまり今そこにMacの脅威があり、大半のMacユーザはまったくそれに気づいていない。ユーザ達は間違ったセキュリティ感覚を持っている。それは良くない、だよね?しかし、実際にあらゆる点を考察すると、これは最悪なことでもない。このJavaエクスプロイトが置かれていた、セキュリティ侵害されたWebサイトはどこだったのか?Facebookのノートによれば、それはモバイル・アプリケーションの開発者のWebサイトだった!

Visited a mobile developer website that was compromised

 理解した?モバイル・アプリケーション開発者を狙った
、「水飲み場」型攻撃("watering hole" attack)なのだ。


 たとえば…、モバイル機器をハッキングできないかな?オーケー、それなら、
上流に行って、モバイル・アプリケーション開発者をハッキングしよう。開発者のソース・コードに何でも好きなものを差し挟めるところだ。

 TwitterとFacebookにはもちろん、トラブルを警戒する専属のセキュリティ・チームがあるだろう(両社は大きな標的だ)。残念なことに、両社より小規模な他の(大きなユーザ基盤を持つ)シリコンバレーのスタートアップには、同様のリソースはない。この時点で、誰かがWhatsAppの人に連絡したことを切に願っている。Google Playによれば、WhatsAppは少なくとも1億本はインストールされている

 この世には数百万まではいかなくとも数十万のモバイル・アプリケーションがある。モバイル・アプリケーションの開発企業のWebサイトに、最近、どれくらいのアプリケーション開発者がアクセスしていたと思う? Macで…、そして非常に間違ったセキュリティ感覚で。

 もしこの水飲み場型攻撃が、実際にはTwitterやFacebookのような大規模プレイヤーだけを狙っているなら、非常に幸運というものだ。反対に、このキャンペーンに可能な限り多くの開発者をハッキングするというような、もっと広範な目標があったのなら?自分自身のデバイスのポリシーに疑問を投げかけよう。BYOD=Bring Your Own Destruction(訳注:破滅)?
 
アドバイス

 SSHデーモンを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cupsd.plist
  •  com.apple.cups.plist

 Perlを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cocoa.plist
  •  com.apple.env.plist

 ブラウザでJavaを有効にしていて、ここ2ヶ月の間にモバイル・アプリ開発者のWebサイトにアクセスし、自身のコンピュータに証拠が残っているなら、侵害されている。ソース・コードのバージョン管理システムを用いて、最近コミットしたものを確認すべきだ。

 そしてもし(SVNGitといった)バージョン管理システムを使っていないのなら、コード全体を読む時間を楽しむといい。

追記:Windowsを利用する開発者についてはほとんど言及せずにきたが、同様の用心を行うべきだ。

Adobe Reader/Acrobat XIなどの脆弱性

 AdobeはAdobe ReaderおよびAcrobat XI(以前)のゼロデイ・エクスプロイトの調査を行っている。

Adobe Reader Vulnerability, Feb 12

 詳細はAdobe Reader and Acrobat Vulnerability Reportを参照のこと。

 Adobeからアップデートがあるまで、Adobe Readerの使用を制限することを検討してほしい。

 そしてAdobeのアップデートについて言及するなら、Flash Player用のものもある。

Flash 11.6 Update

 自分のFlash Playerのバージョンは、ここで確認できる。

 来週は(19日に)別のJavaのアップデートがある。これは、2月1日のディストリビューションに対するアップデートだ

 カレンダーにもう1つの「Patch Tuesday」も書き込んでおくこと。

 一部、関心がある人には、さらにR、3.1.11、2.3.17もリリースされている

アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト

 新たなJavaエクスプロイトがTwitterスタッフのMacをハッキングするのに使われた可能性があるという憶測を、月曜日に伝えた。そして本日はFlash Playerのアップデートがあり、パッチを当てた脆弱性が世の中で悪用されているとAdobeが報告した。

 CVE-2013-0634はMac用のFirefoxとSafariのFlash Playerに影響がある。

CVE-2013-0634

 狙われた組織は?Adobeは言及していない。

 ただ、Lockheed Martin社のComputer Incident Response TeamがAdobeの調査に貢献したことが述べられているのは興味深い。

Lockheed Martin Computer Incident Response Team

 詳細はKrebs on Securityにある。

What is Java technology and why do I need it?

 なぜJavaが必要なのか?

 java.comには次のように記載されている。

What is Java technology and why do I need it?

 「Java is fast, secure, and reliable.」

 セキュア?アメリカ国土安全保障省ではそうは考えていないようだ。 Apple、Mozilla、Twitterもしかり。

 Twitterは先週ハッキングされた。そして、何らかの理由で(すべてが明確に説明されているわけではない)、Twitterの情報セキュリティ部門のディレクターがブラウザのJavaのプラグインを無効にするように推奨している

 仮に我々が推測したとすると、Twitterの開発者はJavaエクスプロイトを用いた標的型攻撃の犠牲になったのではないか。またシリコンバレーのイケてる企業なら、開発者はおそらくMacを使っている。そしてもちろん、それはJavaのエクスプロイトがMacベースのペイロードを落としたことを意味する。

 Macのアンチマルウェア・コンポーネントXProtectが先週Javaをブロックしたのか、しなかったのか、ちょっと興味がある。

 うーん、結局、本当にJavaが必要?

 ブラウザでJavaのプラグインを無効にする件についての解説を挙げる。

グリーティングカードを装った標的型メールに注意

グリーティングカードを装った標的型メールが複数確認されています。
実在するサービスなので、ついクリックしてしまいそうですのでご注意ください!

greeting_card

今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422(Javaの脆弱性)を悪用する攻撃コードが実行される仕組みとなっていました。
Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。

ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。
metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用されるのは珍しいケースだなぁ、と思いました。(広範囲に対しての攻撃だったのかもしれませんが。)
もしかすると、実験的な攻撃なのかもしれませんね。

jar


Universal Plug and Pray

実際には我々が驚くに値しないファイルから。UPnP(Universal Plug and Play)を有効にしたネットワーク機器が、グローバルに晒されている状況の研究について、Rapid 7は本日ホワイトペーパーを公表した。

Rapid 7, Security Flaws in Universal Plug and Play

 結果が衝撃的だ。

 「インターネット側からのUPnPの検出リクエストに応答する、8千万を超えるユニークなIPを確認した。4千万から5千万個のIPは、(略)3つの攻撃のうち少なくとも1つに対する脆弱性を持つ。2つある、最も使用されているUPnPソフトウェアのライブラリには、双方ともに遠隔から突ける脆弱性が含まれる。」

 もしあなたがネットワーク管理者なら、必ず確認するように。Rapid 7では、ScanNow UPnPというツール(Java実行環境が必要)を提供しており、これで自分のネットワークの公開されているUPnPエンドポイントを特定できる。

すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

JavaとIEのパッチ+プロンプト

 マイクロソフトはInternet Explorer 6〜8のユーザ向けに定例外のセキュリティ更新をリリースしている。

Advisory_2704220

 マイクロソフトは次のように述べている。「この問題により影響を受ける顧客の数は限定的だとみているが、将来さらに多くの顧客に影響を及ぼす可能性がある。」

 可能性ねえ。現在、このIEの脆弱性が、Blackholeのような有名なエクスプロイト・キットに組み込まれている証拠がある。できる限り早くアップデートするように。

 次はJava。すでにアップデートをしていてしかるべきものだ(仮にいまだに使っているものとして)。

 CVE-2013-0422というJava(JRE)エクスプロイトが、我々が先週検知したものの上位陣の中でどのように見えるかを以下に示す。

java0daystats

 ご覧のとおり、感染率は中程度で留まっているが、上がっている。これは、すべての人がJavaの最新バージョン(7u11)を実行しているわけではないことと、エクスプロイト・キットがバージョン・チェックを行っていることに起因する。そのため我々はJavaの以前のバージョンに対するエクスプロイトを以前にも増して目にしている。したがって、現行バージョンにアップデートすることは重要なのだ!

 加えて、オラクルは次のように述べている。「このアラートの修正点として、デフォルトのJavaのセキュリティ・レベルの設定を「中」から「高」に変更したことが含まれる。「高」の設定では、署名がなされていないJavaアプレットやJava Web Startアプリケーションが起動する前に、常にプロンプトが表示される。」

 以下がそのプロンプトだ。

Java_7u11_prompt_unsigned

 以下は自己署名したアプリケーションのプロンプトである。

Java_7u11_prompt_signed






バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード