エフセキュアブログ

security を含む記事

「Microsoft Security Essentials」は偽物

  実際のところ、「Microsoft Security Essentials」は偽物ではない。これはMicrosoftによる本物のアンチウイルス製品だ。

  しかし、「Microsoft Security Essentials」と主張する不正なセキュリティ製品が存在する。Microsoftとは無関係だ。このマルウェアは、 hotfix.exeやmstsc.exe(md5: 0a2582f71b1aab672ada496074f9ce46)として、ドライブバイダウンロード攻撃を通じて配布される。

  以下がその外観だ:



  そして、この偽ツールはMicrosoftのブランドを無断借用するだけでなく、32種類のアンチウイルス製品の奇妙なマトリックス表示を特長としている。これは「Microsoft Security Essentials」が、発見したマルウェアを除去できない場合、ユーザのマシンをフィックスすることができるツールを探すために提供されているものだ。実際は、すべて偽物で、同ツールはそれが主張するような感染を発見してはいない。



  驚いたことに、この感染を処理することができるらしき製品は「AntiSpySafeguard」「Major Defense Kit」「Peak Protection」「Pest Detector」および「Red Cross」のみだ。こんな製品、聞いた事が無いって? 無理もない。これらは皆、偽のプロダクトなのだから。

  「Microsoft Security Essentials」は、ユーザを脅し、必要のない製品を購入させようとする。騙されてはいけない。

  おそらく、Microsoftの弁護団が、この件の背後にいる道化を見付けるだろう。彼らはその人物をこてんぱんにすることだろう。

  我々はこのマルウェアを「Trojan.Generic.KDV.47643」として検出している。

報告された攻撃サイト! - セキュリティツールの最新のトリック

  攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。

「Computer Weekly IT Blog Awards 2010」で投票を

  Computer Weeklyの「Blog Awards 2010」の勝者が11月18日に発表される。

  つまりあなたには、「Computer Weekly」サイトで投票するのに1カ月(十分な時間だ)ある。

  エフセキュアラボは、2つのカテゴリーでノミネートされている。

  「News from the Lab」は「IT security」のカテゴリーに掲載されている:

Computer Weekly Blog Awards 2010, IT security

  そしてミッコは「Twitter」カテゴリーに登場している:

Computer Weekly Blog Awards 2010, Twitter

  よろしくお願いします!

Stuxnetに関する質疑応答

追記:11月23日に、「Stuxnet」再び:質疑応答という記事を追加した。

  「Stuxnet」は相変わらずホットなトピックだ。以下に、我々が受けた質問のいくつかに対する回答を掲載する。

Q:Stuxnetとは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:システムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ること無しに検出することはできないため、分からない。

Q:では、理論的には何をすることができるのか?
A:同ワームはモーター、コンベヤーベルト、ポンプを調整することができる。工場を停止させることができる。調整さえ適切ならば、爆発を起こすことも可能だ。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:

LNK (MS10-046)
印刷スプーラー (MS10-061)
Serverサービス (MS08-067)
キーボードレイアウトファイルを介した権限昇格
Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種はまだ、修正されていない。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:Stuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは他にもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止にされたとしても感染経路となる。

Q:Stuxnetは永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:理論的には、他に何ができるのか?
A:Siemensは昨年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレットの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。

Image Copyright (c) Paramount Pictures
Image Copyright (c) Paramount Pictures

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:エフセキュアはStuxnetを検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、我々がMicrosoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

ASP.net情報公開脆弱性用のパッチを公開

  Microsoftが、ASP.NET「情報公開」脆弱性に対する、定例外のセキュリティ情報(MS10-070)をリリースした。

  同脆弱性のショートバージョンは、それを利用することで、攻撃者がデータを閲覧するか、損なうために使用できる可能性のある情報を含む、予期せぬエラーメッセージを生成する。

  速報によれば、ASP.netプラットフォーム上で動作している全てのアプリケーションは脆弱だという。Microsoftが同脆弱性に対する、現在の限定的な攻撃について気づいていることも示している。

  SANSはこの脆弱性について、彼らのInfoCon Alertをグリーンからイエローに変更し、「この問題およびパッチに注意」するよう呼びかけている。SANSブログの告知は、同攻撃に関するより詳細な解説にもリンクしている。

  詳細については、我々の脆弱性レポートを読むか、できればMicrosoftサイトに行き、アップデート(MS10-070セキュリティ情報)を入手して欲しい。

本日Flashがアップデート予定

  先週、我々はAdobeのFlash Playerアドバイザリ言及した

  さて、同アドバイザリはアップデートされ、脆弱性のフィックスは本日リリースされる予定だ:

Flash Player, CVE-2010-2884

Adobeアドバイザリ

  Adobeが昨日、Flash Playerのセキュリティアドバイザリをリリースした:

Flash Player, CVE-2010-2884

  「Windows上のAdobe Flash Playerに対して、この脆弱性がアクティブに悪用されているという複数の報告がある。」

  Flash Playerは、2010年9月27日の週に修正される予定だ。Flashテクノロジは、ReaderおよびAcrobatにも組み込まれている。これらは2010年10月4日の週に修正される予定で、その時点で、同脆弱性も対処される。

  ベストプラクティスはいつものように、その間に報告される。

  そして「twitter.com/SecurityHumor」に、この件に関するちょっとした考えがある。

福本佳成さん:エフセキュアブログメンバーご紹介

みなさま、おはようございます。エフセキュアブログ管理人です。

高間さん
、 星澤さん、 岩井さん、 福森さん片山さん、そして鵜飼さんにつづきまして、 エフセキュアブログの新しいオフィシャルコメンテータをご紹介申し上げます。

インターネットサービスのセキュリティ向上に尽力されている福本佳成さんに、本日から当ブログのオフィシャルコメンテータとしてご参加いただけることになりました。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

ではさっそく、福本さんのご紹介を申し上げたいと思います。

お盆明けから日も浅い8月下旬に、福本さんのオフィスでお話をお聞きすることができました。

●福本佳成さん

fukumoto

福本 佳成(ふくもと よしなり)
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT representative

専門領域:
Webサイトセキュリティ、ペネトレーションテスト、セキュアディベロップメント

経歴:
インターネットセキュリティ専門会社でセキュリティプロダクトの研究開発を経て、2002年に楽天株式会社に入社。楽天グループのインターネットサービスのセキュリティを担当。 

セキュリティの情報源としているブログ、Webサイト:
セキュリティホールmemo
高木浩光@自宅の日記

趣味:
プロレス

フリーコメント:
Webサイト側でインターネットセキュリティに特化した仕事をしています。Webサイトセキュリティの最新動向や企業内CSIRT関連の話題について解説出来ればと思っております。どうぞよろしくお願いします。

AppleのiOS 4.1が脆弱性を修正

  Appleが昨日、「iOS version 4.1」をリリースした。同バージョンは24のセキュリティ脆弱性を修正している。脆弱性のうち20種は「WebKit」に関わるものだ。

  興味深い欠陥が2つある。任意のコード実行を可能にするおそれのある、イメージ処理に関連した欠陥だ。

iOS Security Updates 2010.09.08

  先月、2つの脆弱性の組み合わせを利用した「JailbreakMe 2.0」がリリースされた。その脆弱性とは「CVE-2010-1797」と「CVE-2010-2973」だ。

  「JailbreakMe」ユーザは「CVE-2010-1797」にパッチを当てることができる。同脆弱性は、悪意をもって作成された埋め込みフォントを使用したPDF文書により利用されるものだ。これら脆弱性のいくつかが、「JailbreakMe」ユーザをリモート攻撃の危険にさらす「CVE-2010-2973」に関連して使用される可能性があるため、これらの新たな脆弱性のパッチが開発されるのかどうかを確認するのは興味深いことだろう。

  我々はAppleの「iOS Security Advisories」をまとめたスプレッドシートをアップデートした。[XLSX]

  こちらがHTMLバージョンだ。

さらに注目すべきは:iPhoneファンが、ハードウェアレベルで埋め込まれた脆弱性を介してジェイルブレイクする可能性のある(遠隔的に利用可能ではない)BootROMエクスプロイトを発見している。

  Chris Wysopalに敬意を表したい。.

Facebookスパムワームが「モバイルエンターテイメント」にリンク

  昨日、Facebookに広がった調査スパムワームは、「via Mobile Web(Mobile Webを介して)」プロフィールWallに投稿された。

  我々のラボでは、常にモバイルに関するあらゆる事に興味を持っているため、「All Facebook」の記事を見直してみた。アップデートで、彼らは同スパムがメッセージを介しても広がっていることを示している。

  そしてスクリーンショットで、「artcentertransportation.com」を指し示しているリンクが確認出来る:

http://www.allfacebook.com/alert-massive-new-survey-scam-spreading-on-facebook-2010-09

  このサイトは「ジェーン・ドウ」で登録されており、Dynamic Dolphinにより米国でホスティングされている。フィンランドからこのURLにアクセスすると、(tracklead.netを介して)「モバイルエンターテイメント」を提供している「Wixawin」という別のサイトにリダイレクトされる。では、彼らはどんなエンターテイメントを提供するのか?

  登録料金として月額17.50ユーロかかる類のものだ。

  我々の「Mobile Security Browsing Protection」を有効にしてWixawinにアクセスした場合、以下のような画面を見ることになるだろう。

Mobile Security Browsing Protection

  この件の背後にあると思われるアフィリエイトIDは「affiliateid=WANE」だ。このスパムはMobile Webを介して投稿されており、そのため必要なリファラを含んでいるのだろうか?

  いずれにせよ、このスパマーが何を狙っているにせよ、同アフィリエイトネットワークが無効にすることを期待しよう。

DLLハイジャックとライブラリの読み込みが難しい理由

  ここ数日、DLLハイジャック(あるいは「バイナリプランティング」)のカテゴリに分類されるエクスプロイトが、多くの注目を集めている。AppleのiTunesには問題があり、他の多くのアプリケーションも同様のようだ。

  この問題は実はまったくシンプルなものだ。攻撃者が誰かをだまして、フォルダからデータファイル(たとえばiTunesの場合はMP3ファイル)を開かせようとし、同時に、同じ場所のどこかに、悪意あるダイナミックリンクライブラリ(DLL)を置く。こうすることで、脆弱なアプリケーションに悪意あるコードを実行させることが可能になる。したがってネットワークシェア上で誤ったファイルをダブルクリックすると、マシンが感染してしまう可能性がある。

  全ての問題は、決して新しいものではない。Thierry Zollerが指摘しているように、ほぼ同一の問題が10年も前に報告されている。我々は何故、現在多くの新しい脆弱性を目撃しているのだろうか? 多くは、先週の日曜、HD Mooreにより提供された新しいツールに起因している可能性がある。同ツールは、このよう脆弱性の発見を非常に容易にするのだ。

  よって、安全を保つためには何をすることができるだろうか? Microsoftが、この問題について「Security Advisory 2269637」を発表している。リスクを軽減する方法がいくつか紹介されている。また各製品の脆弱性には、ベンダからのアップデートを適用するべきだ。

  我々はもちろん、この事態を詳しくフォローし、この脆弱性を悪用している悪意あるDLLの検出を追加していく予定だ。

  現在、我々のソフトウェアにいかなる脆弱性も見いだしていないが、この問題に関し、さらに調査を進めていく。

サインオフ
アンティ

追記:Windowsソフトウェアの開発をしている皆さんに:LoadLibrary(「mylibrary.dll」)という単一のファンクションを明確にするのが、こんなにも難しいというのは奇妙なことではないだろうか?

LoadLibrary MSDN

  LoadLibraryのドキュメンテーションはおよそ1100語で、詳述しているページは1000語、そして本当に理解するための方法を紹介しているページは900語以上となっている。およそ3000語、あるいはこの記事の10倍ほどの長さだ。LoadLibraryを気に入るだろう!

コードサイニング証明書獲得に用いられる企業ID窃盗

  先週、ラボは大量に出回った奇妙なマルウェア群を特定した。有効なAuthenticodeコードサイニング証明書でサインされたファイルだ。

Company X's stolen certificate

  このようなものを、我々は以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。

  私は、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する、小規模なコンサルティング会社を見つけた。

  この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態は私にとってより興味深いものとなった。実際、彼らはソフトウェアを作成しておらず、それゆえサインすべきものなど何も無いのだ。明らかに、誰かが彼らの名前で証明書を獲得したわけだ。彼らはID窃盗の被害者ということになる。

  私は、被害者と不正な証明書にサインした認証局であるComodoの助けを借りて、このケースを調査した。そして同証明書が、実在の従業員の名前で申請され、Comodoは電子メールだけでなく、電話による確認も行ったことが分かった。この詐欺師は、その従業員の電子メールにアクセスすることができ、電話による確認は、違う人のところにかかったか、何らかの誤解があったようだ。そのため、電話によるチェックは、このケースを食い止めることができなかった。

  Comodoは不正な証明書の取り消しを行い、同証明書でサインされたすべてのファイルは、自動的にブロックされる。

  また、今回の調査で、私は被害を受けた従業員が、他のCA会社Thawteからの電話を受けとったことを知った。Thawteは彼女に、会社の名称でコードサイニング証明書を申請したかを尋ね、彼女はそれに対し「いいえ」と回答した。そしてThawteは、証明書受け付けのプロセスを打ち切った。どうやらこのマルウェアの作者は、アプリケーションプロセスを操作するため、すべてが上手く行くまで、複数のCAを試したようだ。

  このケースは、コードサイニングの信頼性に対して深刻な懸念を与えるものだ。

  詐欺師たちが企業の電子メールにアクセスできる場合、その企業からの申請が本物かどうかをCAが確認することは非常に難しい。将来的に、間違いが起きることもあるだろう。評判の良い無実の企業が、マルウェア作者のプロキシとして、有効な証明書を入手するために利用されるという、今回のようなケースを目撃することが増える可能性は高い。

  認証局は既に、疑わしい証明取得の試みや、その他のシステム悪用に関する情報をパスする手段を有している。しかし、これらのシステムは人間によって維持されており、それゆえ間違いも起こりうる。我々は、現行のシステムでは、証明書はファイルの素性に対する100パーセントの保障とはならないという事実を受け入れるべきだ。

  いくつかの認証局で提供されているシングルエントリの現状は、セキュリティの観点から見て良いことではない。認証局は、単一のドメイン名、たとえば「f-secure.com」が、一度に1つのレジストラのみがホスティング可能なドメイン名と同様、類似したプロセスを持つべきだ。

  また、コードサイニングあるいはSSL証明書は、一度に1つのCAのみにより署名することができるようにすべきだろう。

  そうすれば、何者かがエフセキュアの名前で証明書を得たいと考えた場合、その人物はエフセキュアが現在証明書を得ている、エフセキュアと取引関係のあるCAからのみ、獲得することができ、その結果、すべての証明書の新規リクエストは、既存の連絡窓口で確認されることになる。こうしたことを可能にするには、CAは情報リソースを集約する場所が必要となるだろう。

  すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、スキャムやソーシャルエンジニアリングの可能性があまりにも高いことを考えれば、セキュアではあり得ない。

  コードサイニングの悪用について、さらに知りたいとお考えの方のため、この10月、私は「T2 Information security conference」でプレゼンテーションを行う予定だ。

T2'10

サインオフ
ジャルノ

マルウェアとクリティカルインフラストラクチャ

  スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。

El Pais

  「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

  我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

  これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

  Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

  Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。

CSX

  その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。

report

transcript

  たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。

実際はゲームではないAndroidゲーム

  「Android Market」で新たな悪意あるアプリケーションが発見された。「Tap Snake」という名のゲームは、実のところゲームではなく、「GPS SPY」という商用スパイアプリケーション用のクライアントであることが分かったのだ。

Tap Snake

  「Tap Snake」ゲームは普通の「Snake」クローンのように見える。しかし、隠れた機能が2つある。第1に、同ゲームは終了しない。一度インストールすると、永久にバックグラウンドで動作し、ユーザが電話を立ち上げると、自動的にリスタートする。そして第2に、同ゲームは15分おきに、電話のGPSロケーションをサーバに対して秘密裏にレポートする。

Tap Snake

  GPS SPYは、シンプルな携帯電話スパイツールで、価格はたったの4.99ドルだ。購入すると、同アプリケーションは購入者がスパイしたい電話に、「Tap Snakeゲーム」をダウンロードし、インストールするようアドバイスする。インストール中、同ゲームをキーコードで登録し、スパイが可能となる。これは、スパイがスパイしたい電話に対し、物理的にアクセスできなければならないということを意味している。

Tap Snake

  様々な点で「GPS SPY/Tap Snake」は、「FlexiSPY」のようなモバイルスパイツールの弟のように見える。「GPS SPY」は、テキサスに本拠地を置くロシアの開発者Max Lifshin氏(「Maxicom」)により開発された。

Tap Snake

  我々はGoogleがすぐに、「Android Market」から「Tap Snake」を削除するものと考えている。

  我々が撮影した以下のビデオで、「Tap Snake」ゲームのゲームプレイを見ることができる。



  「F-Secure Mobile Security 6 for Android」は、Android端末を「GPS SPY」および「Tap Snake」から保護する。

  「F-Secure Mobile Security」を携帯にインストールするには、端末から「f-secure.mobi」にアクセスして欲しい。

追記:上に記したように、我々はGoogleが「Android Market」から「Tap Snake」を削除すると予想している。しかし、彼らがもう一度、Androidのキルスイッチを操作することもあり得る。「Tap Snake」がGoogleの「キル」の基準を満たしているのかどうかは興味深い。

「ひょっとするとしばらく戻れないかも…」

  一部の方は、先週、英裁判所で数人がオンライン犯罪に関して起訴されたことを、ニュースで目に留められたかもしれない:

ZDNet Kelly

  起訴された一人は、マンチェスターのGary Kelly氏(21)だ。

  このケースを非常に興味深い物にしているのは、Kelly氏がアンダーグラウンドフォーラムに、この事件に関する長文のメッセージを投稿している点だ。以下を参照して欲しい。

Gary Kelly

  何と言うべきか。犯罪は引き合わないということだろう。

サインオフ
ミッコ

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

「JailbreakMe 2.0」がPDFエクスプロイトを使用

  「jailbreakme.com」で入手できるiOSドライブバイ・ジェイルブレイク(昨日の記事を参照)は、PDFエクスプロイトを使用している。ハードウェア/ファームウェアの様々なコンビネーションに対する20のPDFファイルが、同サイトのルートからサブディレクトリに置かれている。

JailbreakMe 2.0 PDF Directory

  以下は、コードのスナップショットだ。

JailbreakMe 2.0 PDF Code

  Charlie Millerが、Twitterで以下の発言をしている

  「jailbreakme.comエクスプロイトについて把握し始めた。非常に素晴らしい仕事だ。これがAppleのセキュリティアーキテクチャをいかに無効にするかを考えると恐ろしい。」

  我々がテストしたところ、同PDFファイルはWindowsプラットフォーム上でAdobe ReaderとFoxitの双方をクラッシュさせる。これらは「Exploit:W32/Pidief」の亜種であると検出された。これらのファイルは、悪意をもって使用されてはいないが、エクスプロイトはエクスプロイトであり、我々はこれらを検出に追加する。

  iPhone上には、デフォルトでは独立したPDFビューワが無いことに注意しよう。その代わり、PDFの閲覧は、Safariブラウザに組み込まれている。攻撃はPDFファイル内に置かれた破損したフォントを使用して、Compact Font Format(CFF)ハンドラをクラッシュさせる。

  (iOS CoreGraphics/PDF関連の脆弱性で、パッチを当てられたものがこれまでに4種ある。)

VirusTotal Report, Exploit:W32/Pidief

  「VirusTotal」でSHA1および他の情報が得られる。

  iPhoneのジェイルブレイクが合法とされた現在、Apple Storeでそうするのはあまり良いことではないというのは面白い事だ。

追記:8月3日にリリースされた「Foxit Reader 4.1」は、「特定のPDFを開いた際にクラッシュする問題」をフィックスしている。

  「JailbreakMe」は、iOSの2つの脆弱性を利用している。PDFサポートの欠陥はコードの実行を招き、カーネルにあるもう一つの脆弱性は、権限のエスカレーションを招き、サンドボックスから逸脱することになる。VUPEN Securityが、詳細な脆弱性レポートを掲載している。

LNK脆弱性に関するMicrosoftの定例外アップデート

  Microsoftは今日、悪用されているLNK脆弱性(2286198)に対処するため、定例外のアップデートをリリースする。セキュリティアップデートは、太平洋夏時間の10時頃にリリースされる予定だ。

  Microsoft Security Response Centerによれば:

  「必要なテストを完了したので、情報を発表する。アップデートはカスタマに幅広く配布するのにふさわしい水準に達している。 […] 我々は定例外にアップデートをリリースすることこそ、カスタマを防御する助けとして最良だと考えている。」

  我々もそう思う。Microsoftに感謝を。

追記;パッチがリリースされた

JailbreakMe 2.0 for iOS 4

  「iOS 4」をサポートした「JailbreakMe 2.0」がリリースされたというレポートが、数多く登場している。iPhone、iPodあるいはiPadのジェイルブレイクに必要なのは、「http://www.jailbreakme.com」を訪問し、ドライブバイスクリプトを手に入れるだけだ。

http://www.jailbreakme.com

  これは、ジェイルブレイクが米国では合法であるという、先週のニュースに続くものだ。

  我々は現在、使用される脆弱性についてより情報を得るべく調査を行っている。もしその脆弱性がジェイルブレイクに使用される可能性があれば、より悪意のあるドライブバイエクスプロイトのために利用される可能性もあるということだ。(「JailbreakMe」のWebサイトは2007年後半に登場しており、合法的な愛好家たちであるように見える。)

  そしてiOS脆弱性のトピックに関してだが、我々は先週金曜日の記事でリンクしているスプレッドシートをアップデートし、カテゴリリストとチャートを含めた。

  WebKitとSafariは、iOSのセキュリティフィックスの94パーセントを占めている。

iOS Security Updates, 2010.06.21

あなたのiPhoneバックアップファイルはセキュアですか?

  「Wall Street Journal」の火曜版で、CitiのiPhone用モバイルバンキングアプリケーションにセキュリティの欠陥があったことが報じられた。

Citi app

  カスタマはアップデートを推奨されている。

  「Wall Street Journal」から:

  「Citiは、iPhoneアプリが誤って、ユーザのiPhoneの隠しファイルに、アカウント番号、請求書の支払い、セキュリティアクセスコードなどを含む情報を保存すると語った。」

  おっと! これはまずい。

  Charlie Millerによれば、それらの情報にリモートでアクセスするには、エクスプロイトが必要だという。

  iOS脆弱性の完全なリストはここにあり、Excelファイルでダウンロードすることもできる。[XLSX](ソース

  幸い、これらの脆弱性は、多くがMillerのおかげで修正されている。

  Millerは、iPhoneデータファイルは、紛失した、あるいは盗難にあった電話をジェイルブレイクすることでも獲得できると語っている。

  我々の考え?

  シンクするバックアップファイルをターゲットにできるのに、何故、電話自体のデータを追い求めるのか?

Backup

  これらのファイルの場所を特定するのは、難しいことではない。

Where backups are stored

  そしてそれらは、「SQLite Database Browser」などの無料ソフトで容易に閲覧できる。

  iTunesは暗号化を提供しているが、ほとんどの人々はおそらく、それを使用しないだろう。

Encrypt iPod backup

  我々は悪党連中ではなく、Citiが自分達のアプリケーションに欠陥を発見したことを嬉しく思っている。そして我々は影響を受けた11万7600人のカスタマが、時をおかずにアップデートすることを(その後、シンクしてバックアップファイルをアップデートすることを)望む。

  あなたはバックアップファイルを暗号化しますか?

  以下のアンケートに答えて欲しい:あなたはiPhone/iPodバックアップファイルを暗号化しますか?

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード