エフセキュアブログ

mac ウイルス を含む記事

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

F-Secure SAFE、Windows 10をサポート、さらにNetwork Checkerを提供

エフセキュアは、人気の高いセキュリティソフトウェアF-Secure SAFEの最新バージョンをリリースしました。この最新バージョンはWindows 10搭載デバイスをサポートします。これにより、今夏リリース予定の期待の大きいWindows 10オペレーティングシステムにデバイスをアップグレードした後も引き続き、エフセキュアが提供する最高のプロテクションのメリットを享受することができます。最新バージョンではさらに、Network Checkerと呼ばれる新しいネットワークレイヤセキュリティツールも併せて提供しています。Network CheckerはF-Secure SAFEをインストールしたWindows PCでご利用いただけます。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「F-Secure SAFEがWindows 10をサポートすることを発表でき、とてもうれしく思っています。F-Secure SAFEは、オンライン上の脅威に対する、使いやすい包括的なセキュリティソリューションを提供します。多くの方々がご自身のデバイスやデジタルライフ、そしてご家族を守る上で、F-Secure SAFEに信頼を寄せてくださっています。エフセキュアはこの信頼を裏切ることなく、Windows 10にアップグレードした後も引き続き、これまでと同様のプロテクションを提供していきます」

マイクロソフトはWindows 10のリリースを7月29日に予定しており、現在Windows 7またはWindows 8.1をインストールしているPCに無償でアップグレードを提供すると発表しています*。

PCユーザ向けにNetwork Checkerを提供

F-Secure SAFEの最新バージョンでは、PCユーザ向けにエフセキュアの最新かつ革新的なネットワークレイヤセキュリティであるNetwork Checkerも提供しています。Network Checkerはインターネットに接続する際に使用しているネットワークの設定を検証し、設定が攻撃に対し無防備な状態に変更されることを防ぎます。高度なプロテクションレイヤを追加し、ご家庭でも、小さなカフェでWi-Fiホットスポットを利用するときでも、人々を安全に守ります。

デバイスがより「スマート」になっているため、ルータのハッキングといったテクニックが一般的になりつつあります。最近の調査では、ウイルスに感染している何万台ものルータがボットネットの作成に使われていることが明らかとなっています。ボットネットは大規模なDDoS(分散型サービス拒否)攻撃に不可欠な構成要素です**。 エフセキュア セキュリティ研究所によれば、設定が変更されていたことが判明した家庭用またはオフィス用ルータは2014年だけでも30万台を超えています***。

エフセキュアのシニアリサーチャーであるデビッド・ヘンティネンは、ルータやスマートデバイスは潜在的なリスクとして認識されていないため、攻撃者にとってますます魅力的になっていると言います。「ルータは放っておかれがちです。一度設定した後は部屋の隅に置かれ、二度と顧みられません。人々はファームウェアのアップデートのことなどまるで考えておらず、デフォルトのパスワードさえ変えていないこともあります。このため、ルータは攻撃者の標的となりやすく、攻撃者はルータをハイジャックすることにより、そこを通過するすべてのトラフィックを操作できるようになります」

Network Checkerはバックグラウンドで稼働し、所定の間隔で、または設定の変更を検知したときにネットワークをチェックします。潜在的なセキュリティの問題を検知した場合にはユーザに通知し、トラブルシューティングまたは問題の修復方法を提示します。Network CheckerはF-Secure SAFEをインストールしたWindows PCで利用することができます。Windows PC以外のデバイスをお使いの方には、オンデマンド型のF-Secure Router Checkerがウェブベースで同様の機能を提供します。

F-Secure SAFE、すべてのデバイスでクラウドセキュリティを実現

最新バージョンのF-Secure SAFEではMac版、iOS版、Android版を対象にいくつかの改善も行い、すべてのデバイスでクラウドセキュリティを実現しました。改善点は以下のとおりです。
  • Mac版にクラウドベースのレピュテーションスキャニングを追加。リアルタイムでファイルおよびウェブサイトのレピュテーションをチェックします。
  • Android版に次世代バージョンのエフセキュアのクラウドベースのマルウェアスキャニングを追加。クライアントベースとクラウドベースのアンチウイルス・プロテクションを組み合わせています。
  • Android版およびiOS版のペアレンタルコントロールを設計し直し、ユーザビリティを改善。

F-Secure SAFEはセキュリティとオンラインプライバシーの侵害から人々を守るオールインワンのセキュリティソリューションを提供します。エフセキュアの受賞歴のあるテクノロジーが組み込まれ、Windows PC、Mac、Android、iOS、Windows Phoneを搭載したデバイスにインストールすることができます。

*出典:http://news.microsoft.com/2015/06/01/windows-10-available-as-a-free-upgrade-on-july-29/
**出典:http://news.softpedia.com/news/DDoS-Botnet-Relies-on-Thousands-of-Insecure-Routers-in-109-Countries-480940.shtml
***出典:https://www.f-secure.com/documents/996508/1030743/Threat_Report_H1_2014.pdf

詳細情報:  
F-Secure SAFE  https://www.f-secure.com/ja_JP/web/home_jp/safe

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

探していたモバイルアンチウイルスではない

 当社のあるアナリストがAndroid端末でMalaysiakini(マレーシアで人気のWebサイト)を閲覧しているとき、以下の広告に気づいた。

mkini_scam_ad

 この広告をクリックすると、外部サイトに飛び、以下が表示される。

mkini_scam_ad_download_screen

 Windowsシステム用の(時にはMacの)ローグウェアのWebページで、長年のあいだ目にしてきたテキストと同じ類のものを連想させる。

 「Download and Scan Now」ボタンをクリックすると、アンチウイルスアプリケーションのように見える画像が現れる。

mkini_scam_ad_download_screen_2

 さらにその画像をクリックすると、電話番号を要求し、興味深い文を掲載したページへと飛ばされる。

mkini_scam_ad_number_submission

 「This is an ongoing subscription service until you quit. You will receive 4 sms per week and chargeable at RM4 per message. Only [REMOVED] user will receives max 3 sms per week and chargeable at RM4 per message. Data charges are billed separately by mobile operators.(これは退会するまで利用継続するサービスです。1週間ごとに4通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。○○ユーザのみ毎週最大3通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。データ通信費は別途、携帯電話会社から請求されます。)」

 つまり、これはSMS購読サービスだ。電話番号を提供すると、ユーザはサービスへ登録するための説明が書かれたSMSメッセージを受け取る。

 一度登録すると、別のSMSが送付され、ダウンロード用のリンクが提示される。リンクをクリックしてみたところ、「Sorry, you have exceeded the allowed download limit.(申し訳ございませんが、ダウンロードの制限を超えています。)」というメッセージがあるだけだった。当該サイトのトップページは「under construction.」になっている。

 幸運なことに、登録方法が記載されたSMSには、サービスの停止方法の説明も含まれていた。

 我々は通常、モバイルアプリケーションのダウンロードを行う際に、要求されるパーミッションを読むようにユーザに勧めている。今回のケースでは、ダウンロードする前に説明文を読むことも、賢明だ。広告をクリックしたところで、これはおそらくユーザが探しているサービスではない。

 現在のところ当社のBrowsing Protection機能では、APKのダウンロードが想定されるサイトはSuspicious(疑わしい)と判定している。

追記

 Windowsベースのローグウェアと同様、この「Androidアンチウイルス」詐欺は他のOSも認識している。ただし、餌を微調整するのに失敗している。

iOS:

mkini_scam_iPod

Windows Phone:

mkini_scam_lumia620

もう1つのフライデー・ナイト・ディスクロージャ:マイクロソフト

 フライデー・ナイト・ディスクロージャ(金曜夜に公表される情報)の、今週のエピソードはマイクロソフトだ。

 Trustworthy Computing Securityのジェネラル・マネージャMatt Thomlinson氏が、MSRCTeamのブログへの投稿の中で詳細を述べた。

MSRCTeam, Recent Cyberattacks

 これまでのフライデー・ナイト・ディスクロージャのエピソードについてキャッチアップしたいなら、以下を参照のこと。

アップルに関連したハッキングのタイムライン
当社のMac向けアンチウイルスがJavaエクスプロイトをブロック (Windows版のアンチウイルスも)

追伸。マイクロソフトがWeb上で情報を公開したことに賛辞を(アップルとは違う)。

当社のMac向けアンチウイルスがJavaエクスプロイトをブロック

 昨日、当社のアナリストBrodとTimoの2人が、Mac版のエフセキュア アンチウイルスを使ってFacebookおよびAppleのハッキング絡みのJavaエクスプロイトをテストした。

 それで、その結果は?

 当社のMac向けアンチウイルスはExploit:Java/Majava.Bという通常の検知(2012年11月19日に作成)で当該エクスプロイトをブロックした。

2013-02-21 Exploit:Java/Majava.B

 よし!

 そうすると、あのサンプルはどう関係するのだろうか?2月15日金曜日、複数のMacのマルウェアのサンプル が、「Mac malware」メーリングリストで共有された。後に続いた議論の中で2つのファイルのハッシュ値が共有され、うち1つはVirusTotal経由で入手できる。そして、当該サンプルはWindowsのバックドアを設けるJavaエクスプロイトであることが判明した。Brodはバックドア(Trojan.Generic.828273として検知された)を分析し、金曜日のMacのマルウェア関連の、シンクホール化されたC&Cサーバの1つdigitalinsight-ltd.comへの接続を試みることを発見した。

 我々の通常の検知Exploit:Java/Majava.Bはプラットフォーム間で共通のアンチウイルス・スキャン・エンジンで採用されているので、Windows版の顧客の方も守られている。ファイルのハッシュ値を共有してくれたアナリストに、弊社から感謝を申し上げる(彼女自身には分かるだろう)。

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

遠隔操作ウイルスの感染と痕跡調査

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

Mac Flashback感染

月曜、我々はその時点で未パッチだったJava脆弱性(CVE-2012-0507)を悪用するMac Flashbackトロイの木馬の亜種について書いた。Appleは火曜日、セキュリティ・アップデートをリリースした。もしMacにJavaをインストールしているなら—すぐにアップデートすること。

  昨日Dr. Web(ロシアのアンチウイルスベンダ)が、Flashbackは50万台以上のMacに感染しているかもしれないと報告した。

  Flashbackがインストールされると、それぞれに固有のユーザ・エージェントが作成される。Dr. WebのIvan Sorokinは、現在、感染の試算を60万台以上としている。




  エフセキュアの「Anti-Virus for Mac」は、Flashbackの最新の亜種を「Trojan-Downloader:OSX/Flashback.K」として検出する。

  Flashbackに関する我々の最近の説明は以下の通り:

  •  Flashback.I
  •  Flashback.K

  Mac関連の以前の記事には、Javaを停止する方法、Flashbackの感染について調べる方法、手動での削除方法がある:

  •  目下のMacマルウェア
  •  (Mac)Flashbackはあるか?
  •  未パッチのJava脆弱性を悪用するMac Flashback

  この週末、イースターホリデーを祝う人は、もしご両親を訪問し、彼らがMacを持っているなら、Javaクライアントプラグイン/インストールをアップデートするか、停止するか、削除してあげるべきだ!

  (そしてそれはWindowsにも当てはまる。)

エフセキュアでの20年

私は昨日、これを受けとった。

20 years

  エフセキュアで20年間、働いてきたのだ。

  1991年にこの会社に加わった時、私は21歳だった。当時はMacintosh LC IIと、MS-DOS 3.3およびWindows 3.0が動作する386PCで仕事をしていた。少し後になって、NeXTシステムも入手した。同システムはトークするなど、実にクールだった。

  1991年、我々は主にMacのウイルスと戦っていた。ご存知のように、1980年代後期と1990年代初期に、Appleは最も問題のあるウイルスプラットフォームだったのだ。PCでは当時、主にブートセクタウイルスとシンプルなCOMファイルインフェクタが問題だった。

  私は時々、コンピュータセキュリティ業界での自分のキャリアについて思い返すことがある。高校時代、親友の一人が建築技師になった。今では彼は子どもを連れまわり、自分の仕事を見せることができる。「見てご覧、お父さんがあの橋を造ったんだよ。そしてあの家を建てたんだよ」と。

  この20年、私は一生懸命にコンピュータセキュリティ業界で働いてきた。だが、私が見せられるものは何も無い。橋もない。家もない。私は何もなしてこなかったのだ。

  だが、コンピュータセキュリティで我々が行う仕事は、様々な点で、独自の方法で重要なのだということに気づいた。何故ならば、我々の仕事は他の人々を助けることなのだから。

  人々は我々のところにやってきて、助けを求める。最新のマルウェア、トロイの木馬、バックドア、そしてルートキットなどは、一般のユーザには複雑すぎて対処できない。彼らは我々の助けを必要としている。彼らは我々に、自分達のファイルを救ってくれと頼む。データベースを。写真を。メモリを、あるいは企業を。

  それが私たちの行っていることだ。我々は他を助けている。そして皆さん、それは立派なことだと思うのだ。

  だから、ありがとう。

--

  ご興味がおありなら、SC Magazine AustraliaのDarren Pauliがこの20年の間に私が遭遇したことの一部に関する記事を書いている。

  過去20年間、ともに働いた同僚達に感謝したい。光栄に思っている。次の20年に幸あれ!

ミッコ

Mikko


Black Hat USA 2011

  今週、「Black Hat」および「DEF CON」が開催され、コンピュータセキュリティの専門家が、何千人もラスベガスに集まっている。

Black Hat 2011 DEF CON 2011

  Siemens PLCセキュリティ、SSLモデルの見直し、Macラップトップのバッテリーなどが今年のホットトピックだ。

Black Hat 2011 DEF CON 2011

Black Hat 2011 DEF CON 2011

Black Hat 2011 DEF CON 2011
「DEF CON 19」で基調講演を行うミッコ

  非常に期待されていたトークに、Riley HassellとShane Macauleyの「Androidのハッキング」がある。不可解な理由により、二人のスピーカーとも、自身のトークに姿を見せず、何故そんなことが起きたかに関し、突飛な陰謀説も現れた。

  しかし、アンチウイルスの観点から言えば、最も興味深かったのはTavis Ormandyによる「Sophail」というタイトルのトークだった。

  2010年の夏、Tavis OrmandyはWindowsのHelp and Support Centerで、ゼロデイ脆弱性を発見した。Microsoftに同脆弱性を知らせた5日後、Microsoftがパッチをリリースする以前に、TavisはPOCコードを公開した。数日後、未知のマルウェア作者たちが、このコードをドライブバイダウンロードエクスプロイトに組み込み、同エクスプロイトは世界中の何万ものコンピュータを感染させ続けた。

  Sophosの専門家は、Tavisの行為を声高に批判し、最終的に登場したパッチに「Patch Tavis」というあだ名を付けさえした。

  2011年夏の現在、Tavis OrmandyはBlack Hatで、「Sophosアンチウイルスの批判的分析」をリリースした。

Black Hat 2011 DEF CON 2011

  その非常に風変わりなトークで、TavisはSophosアンチウイルスエンジンをリバースエンジニアリングし、Sophosの検出データベースの保護システムを解読するためのツールをリリースしたと説明した。

  それはともかく、DEF CONの間、ワイヤレスネットワークへの接続は、実際のところ推奨されないことに注意したい。同ネットワークをいじっているハッカーがあまりにも多い。公式なプログラムパンフレットでさえ、パーティネットワークにアクセスする際、利用者の「幸運」を祈っている。DEF CONホテルで利用できるWi-Fiホットスポットのリストを見れば、よく分かるだろう:

def con wifi

サインオフ
—BO

Black Hat 2011 DEF CON 2011

ポルノサイトの背後に潜むFacebook攻撃者

  先週、WindowsとMac双方のマルウェアをプッシュする、かなり革新的なFacebookマルウェア攻撃があった。

  一部の人はMacスケアウェアコンポーネントに気を散らされたが、我々には全体的な攻撃の第2のファクターでしかなかった。エフセキュアThreat Solutionsチームのアナリストによれば、Windowsコンポーネントである偽の「Adobe Flash Player」アップデートは、「ZeuS」ボットの特徴を持っている。従って我々は、同攻撃がWindows OSボットネットの構築にフォーカスしており、Mac OSスケアウェアはおまけとして付け加えられた(MacユーザをプッシュするZeuSバイナリが存在しなかったので)と結論づけた。

  Facebookは、「newtubes.in」にリダイレクトされた悪意あるリンクをブロックするのに24時間以上を要した。このドメインはインドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Narcisa Scott」に登録されていた。

  結局は、攻撃者が使用したリンクはすべて、Facebookにより削除された。

  そして我々は先週、どのようなスパム/攻撃ベクタが使用されたにせよ、Facebookが停止させたことを願った。

  しかしその期待は無駄になった。

  同じ連中が現在、Facebookプロフィールを介して、ポルノサイトへのリンクを広めているのだ:

Facebook Search, Free Tube Hub

  プロフィールが「Free Tube Hub」のOpenbookサーチを介して、リンクをポストしているのが分かるだろう。

  これらのサイトは、「blackbootyblog.com」「ebonyarea.com」「justebonypussy.com」「ebonykey.com」といった名称で、すべてテーマが共通している…

  それはこれらの多くが、同じサーバでホスティングされているからだ:

sameip.org, 173.192.99.32

  このWebサイトサーバは障害が起きているようで、「/watch/」という、ユーザを「borntobefree.in」にリダイレクトしようとするスクリプトを含んだフォルダが挿入されている。「borntobefree.in」というドメインは、インドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Andrew Farrell」に登録されている。

  聞き覚えがあるような。

  つまり…ポルノサイトサーバは、実際の攻撃サイト「borntobefree.in」を隠蔽する煙幕なのだ。

  巧妙なトリックだ。

  先週のマルウェア攻撃の場合のように、同一のIPアドレスからのあまりに多くのアクセスは、youtube.comへのリダイレクトになる。また、この攻撃サーバはGeo-IPアウェアであり、米国と英国のユーザにフォーカスしている。

  我々は現在、これらリンクがFacebookのプラットフォームを介し、「ウイルス的に」拡散しているという証拠は見つけていない。それよりも、これらはボットを介して直接プロフィールにポストされているようだ。

  もし本当なら、Facebookは問題を抱えている。このタイプの攻撃をブロックするため、Facebookは感染したユーザのプロフィールを一時停止する必要があるからだ。しかしコンピュータが感染していることを、ユーザに報せる方法は?

  先週述べたように、これは十分に開発されたテクニックを使用した、高度にプロフェッショナルな攻撃だ。

  そしてしばらくの間、こうした攻撃が続くのではないかと思われる。

WindowsとMac双方のマルウェアを拡散するFacebook攻撃

  現在、重大なFacebookマルウェア攻撃が起こっている。

  この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。

  我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)

  エサとして使用されているのは以下のサブジェクトラインだ:

oh shit, one more really freaky video O_O」と…
IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!

  リンクは、「newtubes.in」のサブドメインを示している。

  Openbook検索では、エクスポーズされた人々の例が多数示される

  以下は、Facebookの検索結果の一例だ:

Facebook search, oh shit, one more really freaky video O_O

  ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。

  この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。

  そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。

  あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…

追記:

  グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:

one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!

  グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。

  上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。

  頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。









Mac OS Xマルウェアが本格化

  1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。

  その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。

  新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。

  時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。

  先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたGoogle Image Searchリンクを介してばらまかれたトロイの木馬だ。

  こうしたトロイの木馬は、ユーザを騙し、自分のMacが、実際はクリーンなのだが、感染していると思わせる。問題があると信じさせれば、そのユーザは「MacDefender」「MacSecurity」「MacProtector」「MacGuard」という偽のセキュリティ製品をダウンロードし、購入することになる。

  このトリックは実際、かなり説得力がある。ユーザはWebページのようにはまったく見えないWebページにリダイレクトされる。それはMacのFinderのように見えるのだ:

Mac OS X fake
  不格好だが、これはFinderっぽく見えるようにデザインされたWebページだ。

  以下にGoogle Imageサーチが、どのようにユーザをおどかそうとするページに導くかを示す、短い動画がある。



  ユーザは依然として、提供されている偽のセキュリティ製品をインストールしなければならない。同マルウェアの最新バージョンは、ルートパスワードのプロンプトを出すことなく、このトロイの木馬をインストールできる独立したダウンローダを使用している:

Mac Guard installer

Mac Guard installer

  以下は、この不正なアプリケーションがインストールされる際の様子だ:

Mac Security

  ユーザが不正な製品をインストールすると、このアプリケーションは更に、何かに感染しているとユーザに信じさせようとする。これはランダムに開くポルノサイトにより行われる。

Mac Porn

  頑固なユーザでも、自分のシステム上でランダムなポルノサイトが2、3分ごとに次々とポップアップすれば、問題が生じたと思うだろう。

  これらが偽のセキュリティ製品であると気づくことが重要だ。これらはどんな形であれ、システムを保護しはしない。単に理由もなく、ユーザをだまして購入させようとするだけだ。

  これはよくある詐欺であり、実際の感染に関する多くの報告がある。

  Macユーザはどのようにして身を守ればよいのだろう?

  これまで、エフセキュアのMac製品は、我々のオペレータパートナーを通じてのみ利用可能だった。

  しかし本日、我々は「F-Secure Anti-Virus for Mac」のコンシューマバージョンをリリースした。

F-Secure Anti-Virus for Mac

  一定の期間、無料で試用することができる! ライセンスキー「AVMAGL」を使用して欲しい。製品の詳細はここにある。

  「エフセキュア アンチウイルス」は、Mac Trojanを「Rogue:OSX/FakeMacDef」および「Trojan-Downloader: OSX/FakeMacDef」の亜種としてブロックする。

Mac Protection で遊んでみる

星澤さんの投稿にありましたが、私もMacユーザーということで、Mac Protection を試してみました。ついでに他社のものも評価中なのですが、気になった点がありました。

Mac OS を狙ったウイルスには、主に、

・実行ファイル形式のもの
・スクリプトベース(AppleScript、ShellScriptなど)のもの

があります。スクリプトベースのものは、JavaScriptの悪用に代表されるように、自由度の高さが仇となり検知が容易ではありません。例えば、JavaScriptでの難読化などがあります。

ということは、もしかしてMac版のウイルス対策ソフトウェアも同様の問題があるのでは?と気になりだしたので、試してみました!

スキャンした検体は4つで、いずれも昨年Macユーザー間では話題になったものを選択。実行ファイル形式のものを2つ、Scriptベースのものを2つを用意しました。

ScanResult0619

結果は予想通りで、上図の通りです。この辺は検知が難しいことは百も承知ですが、せめてオープンソース化されているrootkitやtrojanに関しては見つけて欲しかったです。(愚痴でスミマセン)

私はエフセキュアのムーミン・バージョンからの利用者ですので、Mac Protectionには是非がんばって頂きたいなぁ・・・と思っている次第です。早速、フィードバックを検討したいと思います。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード