エフセキュアブログ

security を含む記事

エフセキュアメールマガジンをご存知ですか?

本日は「エフセキュアメールマガジン」の配信日です。続きを読む

Waledacよ安らかに?

  Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

SEOポイズニングにより60以上のサイトで障害

  60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。

  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

  不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

  ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

  もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

  そしてその後、その不正物自身が…

security antivirus

  このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

  エフセキュア ブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

エフセキュアの無料マルウェア駆除ツール「オンラインスキャナ4.2」がOperaとGoogle Chromeにも対応

エフセキュアが無料で提供しているオンラインスキャナは、ワンストップでウイルスやスパイウェアなどのマルウェアを検出・駆除するツールで、今年で5年目を迎えます。

続きを読む

セキュリティ・アドバイザリ、Adobe Reader

  脂の火曜日 — Adobe Updateの日だ。

  Adobeは「Adobe Reader」および「Acrobat」のセキュリティ・アップデートを今日、リリースする予定だ。

  詳細については「Security Advisory APSB10-07」をお読み頂きたい。

モバイルブラウザ保護とディープガード

  「エフセキュア モバイル セキュリティ」の最新リリースには、新機能がある。そしてラボに直接影響を及ぼすのはブラウザ保護だ。

  「エフセキュア モバイル セキュリティ」のバージョン6では、ユーザはフィッシング・サイトから保護される。

  有害なWebサイトは以下のようにブロックされる:

Mobile Security Browsing Protection

  フィッシングはデスクトップに限定されていない。多くの攻撃が、まさにスマートフォンでも機能している。

  しかし、これが全てではない。我々は「エフセキュア モバイル セキュリティ」のAndroidバージョンもリリースした。

http://www.htc.com/www/product/g1/overview.html

  全バージョンはここで確認できる。

ここに署名せよ

  「GSMA Mobile World Congress 2010」が来週、バルセロナで開催される。大規模なイベントとなりそうだ。

  私は見知らぬ番号から、以下のようなテキスト・メッセージを受け取った:

Mobile World Congress

  リンクをクリックすると、以下のページが開く:

Mobile World Congress

  「インストール中は、全ての質問でイエスをクリックして下さい。このアプリケーションは信頼の置けるものです。公式なMWC 2010モバイル・ガイドなのですから。」

  へぇ、本当に? そう言っているからという理由で信用しろと?

  そしてアプリケーション・リンクをクリックすれば、以下のような表示が現れる:

Mobile World Congress

  皆さん、これは良いやり方とは言えない。これがOKであると我々に信じさせようとするよりも、アプリケーションに署名した方が良い。

  我々が問題のアプリケーションをチェックしたところ、これは公式なモバイル・ガイドだった。しかし、何か他のものであった可能性もあるのだ。

  追記:Mobile World Congressと言えば、エフセキュアは当然参加するので、会いに来て頂きたい。そして私は火曜日の14時に、「Integrating Security into Every Step of the Mobile Handset Design」というトピックで話をする予定だ。

サインオフ
ミッコ

Microsoftアップデートおよび脆弱性

アップデート

  2月9日に多数のMicrosoftアップデート、26の脆弱性に関する13の速報が出される。

  Windowsの全バージョンが影響を受ける。

Microsoft, February 2010

  忙しい火曜日になりそうだ。

  詳細については、Microsoftの「マイクロソフト セキュリティ情報の事前通知 - 2010年2月」をご覧頂きたい。

脆弱性

  「セキュリティ アドバイザリ (980088)」で発表されたInternet Explorerの脆弱性もある。

  Ars Technicaは以下のように説明している:MicrosoftはIEの欠陥を警告し、PCをパブリック・ファイル・サーバに変える。あまり良い感じには聞こえないですよね?

  Microsoft Supportが解決ツールを公開している。

追記(Microsoft脆弱性)

1月21日にポストされた記事「Microsoft脆弱性」の本文4行目に、マイクロソフトセキュリティ情報 MS10-002へのリンクが追記されました。

Microsoft脆弱性

  Microsoftが、IE脆弱性に対して定例外のアップデートをリリースする。

  Internet Explorer 6は影響を受けており、活発に悪用されている。

  同パッチは本日21日にリリースされるので、詳細についてはMicrosoftのSecurity Bulletinを見て欲しい。

  追記:マイクロソフト セキュリティ情報 MS10-002

  あなたはどのパージョンのInternet Explorerをインストールしていますか?(投票




  Microsoftニュース「セキュリティ アドバイザリ (979682)」でも。Windowsカーネルに権限昇格の脆弱性がある。

  同脆弱性は全てのバージョンのWindowsに(NT 3.51からWindows 7まで)、非x64ベースのシステムで、16 bitアプリケーション・サポートをオフにしていない場合、影響を及ぼす。

  16 bitサポートをオフにするための回避方法が、マイクロソフト セキュリティ アドバイザリで紹介されている。

  16 bitアプリケーションをオフにすることにより、問題が軽減される。そして皆さんは準備万端となる。

  16進法を10進法に変換するために、1998年からの16 bit、420バイト・ツールを使用していなければ、だが…

H2D

  実際、2010年の現在でも、このようなアプリケーションを使用している人は存在するのだ。

IEを使うべきか、使わぬべきか、それが問題だ

  Internet Explorerの最新の脆弱性が原因となって、ドイツとフランスで使用しないようにというアドバイスが出ている。

  それは少々行き過ぎだが、我々はデフォルトで、他のブラウザを使用するこおをお勧めする。

  我々は、読者の皆さんのうちどのくらいの人たちが、Windows 7でInternet Explorer 8をオフにするオプションを試してみたかに興味がある。

Turn Windows features on or off

  我々のコメント・システムは現時利用可能なので、こちらにコメントを寄せて欲しい

相次ぐゼロデイ攻撃、Gumblarにも注意を

悪い話は続くと言いますが、先日のAdobeのゼロデイに続いて、今度はマイクロソフトのInternet Explorerにゼロデイが見つかっています。すでに攻撃コードが出回っており、脆弱性の種類から考えて、Gumblar系のウイルスでも使われるようになる可能性が高いです。

マイクロソフトからアドバイザリが出ていますので、リンク先をご覧の上、該当する方は対策をお勧めします。
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx

事情によりどうしても対策できないという方は、Internet Explorerを使うのを必要最小限にし、普段は別のブラウザを使用するようにしてください。

Googleに対する標的型攻撃

To the memory of Google.cn, image from i.imgur.com/5xJmy.jpg  この数年、我々は標的型攻撃、すなわちスパイ型トロイの木馬の攻撃を受けた何十もの企業と共に仕事をしてきた。これらの企業のうち、この情報を公にした所は一カ所も無い。

  驚くべきことに、Googleが情報公開を行った。彼らは標的型攻撃を受けたことを発表したのだ。この攻撃の目的は、中国の人権問題活動家のGmailアカウントへのアクセスを得ることにある。Googleはこの攻撃に関し、中国政府を直接非難し続けてもおり、その結果、彼らはgoogle.cnの検索結果を検閲するのを中止する計画だ。ワオ。

  我々は、この攻撃はエクスプロイトに支配されたPDFファイルが添付された、信頼できる電子メールを介してローンチされたと考えている。追記;我々は間違っていた。この攻撃はIE ゼロディ攻撃と関連していた。

  Adobeは昨日、いくつかの脆弱性を解決するAdobe Readerのセキュリティ・アップデートをリリースした

  驚くべき事に、Adobeは同時に、彼らもまた標的型攻撃を受けたことを発表した。もしかしたら何者かが、将来の攻撃のため、新たな脆弱性を発見するべく、Adobeの開発システムにアクセスしようとしたのだろうか?

 

  我々はこのような攻撃について、何度か警告してきた。

  これらの攻撃がどのように動作するか良く知るには、以下に標的型攻撃に関して我々が制作したYouTubeビデオがある:

YouTube

  そして、実際にブービーとラップが仕掛けられたPDFファイルを開くと、どのように見えるかが分かるスクリーンキャプチャを紹介している別のビデオが以下にある。



  そして以下は、このトピックに関する厳選したブログ記事だ:

  •  Case Ghostnet
  •  Behind Ghostnet
  •  Several examples of what the attack documents have looked like
  •  The mystery of Sergeant "nbsstt"
  •  How we found the PDF generator used in some of these attacks

位置に着いて、用意、アップデート!

  明日は「Update Tuesday」であることをお忘れ無いように。Microsoftのアップデート以上のものがある。

APSB10-02

  ご記憶かも知れないが、我々は12月15日に、Adobe Reader/Acrobatゼロデイ脆弱性に関する記事を投稿した。標的型攻撃で使用されている限定されたエクスプロイトが存在する。我々はそのエクスプロイトを「Exploit:W32/AdobeReader.Uz」として検出した。

  以来、さらなるエクスプロイトに関する報告が登場している。SANS Diaryは今月4日、素晴らしい記事を掲載した。引用されているエクスプロイトを、我々は「Exploit:JS/Pidief.CKJ」として検出している。

  PDFデコイは以下のように見える:

Exploit:JS/Pidief.CKJ

  詳細については、Adobeの「Security bulletins and advisories」を参照し、テストと配備に備えて欲しい。

—————



福森大喜さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さんにつづいて、Webアプリケーションセキュリティの専門家でいらっしゃる福森大喜さんに、先月から当ブログのオフィシャルコメンテータとしてご参加いただいております。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、福森さんのご紹介を申し上げたいと思います。

11月下旬、神田の福森さんのオフィスでお話をお聞きしました。

●福森大喜さん

福森 大喜(ふくもり だいき)
株式会社サイバーディフェンス研究所 上級分析官

大手セキュリティベンダーでIDS、IRT等に従事した後、Webアプリケーションのセキュリティ検査サービスを立ち上げる。その後、Webセキュリティベンチャーを設立。2009年よりサイバーディフェンス研究所に参加。


専門領域:
Webセキュリティ、ペネトレーションテスト、マルウェア解析

受賞:
2007年 第3回 IPA賞(情報セキュリティ部門)
2009年 グーグル Native Client セキュリティコンテスト 世界4位

寄稿記事:
ここが危ない!Web2.0セキュリティ」 (gihyo.jp)
セキュリティから読み解くWeb2.0」 (警察庁@police)
いざラスベガス、いざDEFCON CTF決勝へ」 (@IT)
など

講演実績:
2007年4月12日 セキュリティ・ソリューションフォーラム(「Web 2.0は危険がいっぱい」)
2007年4月26日 RSA CONFERENCE JAPAN(「Webセキュリティはなぜ破られるのか」)
2008年10月11日 AVTokyo 2008(「Flashを媒介したXSSワームの可能性」)
2007年11月15日 POC Korea 2007(「Attacking Web 2.0」)
2008年11月 Email Security Expo & Conference 2008(「SQLインジェクションの基本と応用」)
2009年4月22日 Shibuya Perl Mongers テクニカルトーク(「Native Client Hacks」)
など

機密情報を編集しない方法

  我々は新たなPDF編集騒動に関する記事を興味深く読んだ。

  このケースで、デジタル的に編集された起訴状を提示し、オンラインでPDFファイルとして公開したのは、TJX/7-11ハッカー、アルベルト・ゴンザレスの弁護士だったため、もともとの改訂されていないテキストに戻すことは、些末な事柄になってしまった。

PDF

  先週、米Travel Security Authority(TSA)は、デジタル的に「編集された」セキュリティ・ガイドライン文書のオンラインでの公開に関し、5人を解任した。

PDF

  デジタル編集問題について知る人の大部分は、書類の編集済みテキストを、コピー&ペーストできるという程度のことだと考えている。

  しかし実際のところ、これはもっと深刻な問題だ。大部分のユーザは、マシン上にPDF Readerをインストールしているだけだ(そして残念なことに、ほとんどの人は、具体的には「Adobe PDF Reader」をインストールしている)。

  よって、これらの人々はPDFファイルが読めるだけなので、PDFファイルはリード・オンリーのものだと考えている。しかしこれは真実ではない。

  PDFファイルを作成する大部分のユーザでも、仮想プリンタで実行しているに過ぎない。そのため彼らは、そのファイル、たとえばWordファイルを準備し、次にPDFファイルに「プリントする」。

  しかし、多種多様なPDFエディタが利用可能だ。PDFエディタを使用すれば、どのようなPDFファイルでも開くことができ、好きなように修正することができるのだ。そこには、編集ブラック・ボックスを選択し、それらを取り除いて、表面下にあるコンテンツを露わにすることができる、ということも含まれる。

  以下はエフセキュアのYouTubeチャネルのビデオで、それが如何に容易かを紹介している。


(ビデオ — 機密情報を編集しない方法)

  それでは、これらを安全に公開するにはどうすれば良いのだろうか?

  簡単だ。いくつかの方法があるが、我々は以下の方法を推奨する…

  編集されたドキュメントを紙に印刷するのだ。

  そしてそれをPDFファイルにスキャンし直す。

  バーン! これで問題ない。

PDF

Adobe Acrobatゼロデイ分析

  Adobe ReaderおよびAcrobat 9.2以前のバージョンに見つかった脆弱性を利用した、ゼロデイPDFエクスプロイトが存在する。Adobeが「PSIRT」ブログでアドバイザリを公開した。

  下のスクリーンショットは我々のオートメーションからのもので、Adobe Acrobat/ReaderでPDFファイルがオープンした際に、実行ファイルをダウンロードしようとする様子を示している。サーバは悪用されたが、現在アクティブだ。

Adobe, CVE-2009-4324, sample 0805d0...

  ダウンロードされる実行ファイルは、特定のファイルを探し、暗号化してから、他のサーバにそれらのファイルをアップロードする。このサーバは現在オンラインであり、コンテンツは閲覧可能だ。

  障害が起きたマシンのマシン名とIPアドレスが含まれている。

  以下は一例だ:

Adobe, CVE-2009-4324

  このエクスプロイトは、アップロードされたサーバ上に見つかるファイル数に基づき、標的型攻撃でのみ使用されているようだ。

  しかし状況は容易に変わりうる…

  AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。

  多くの良いリーダが無料で入手できるので、代わりのPDFリーダをインストールするという方法もある。

  Adobeは現在、Microsoftのアップデートと同じ日に、必要に応じてセキュリティ/パッチを公開するという、四半期ごとのアップデート・サイクルを予定している。Adobeがフィックスを公開するのは1月12日以降になる可能性がある。

  我々は検出したのは以下の通り:

同エクスプロイトは「Exploit:W32/AdobeReader.Uz」である。
ダウンロードされるファイルは「Trojan-Dropper:W32/Agent.MRH」である。
投下されるファイルは「Trojan:W32/Agent.MRI」「Trojan:W32/Agent.MRJ」および「Rootkit:W32/Agent.MRK」である。

— 以下のサイトで詳細が読める —

  •  Shadowserver – When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
  •  Security Fix – Hackers target unpatched Adobe Reader, Acrobat flaw
  •  The Register – Unpatched PDF flaw harnessed to launch targeted attacks

”雲(AWS)”の中に潜んでいたゼウス

昨日から、"ZeuS in the cloud !!" といった内容の記事が世間を賑わせています。これは、ZeuS crimewareのC&Cサーバが、Amazon EC2で確認されたという報告があったためです。
設置した人からすれば、(闇の)ビジネスですから当然と言えば当然なのかもしれません。

aws_zeus

AWSはAmazonが提供しているサービスですので、悪用する者が出てきても全く不思議ではありません。寧ろ、IaaSを利用したサービスは次々と登場しており、これらを悪用する輩が出てくることは容易に予想できます。きっと、WPA Crackerのようなサービスも、幾つか登場してくると、当然悪さをする者も出てきそうです。

ところが、残念ながらクラウド・コンピューティングにおけるセキュリティ対策は現在議論されている真っ最中。すぐに対策を実施するというわけにはいかないのが現状であり、技術面や法律面、その他諸々課題が残っています。ウイルス対策関連は製品を発表しているベンダーもありますが、一般的にはこれからといった感じです。

そういった意味では、今回の報告はクラウド・コンピューティングの暗部に対しての再警鐘だったのかもしれません。流行のキーワード「クラウド」から目が離せませんね!

Adobe Flash緊急アップデート

  今日は第2火曜日だが、重要なアップデートがリリースされている。

  Microsoftはもちろん、Adobeのアップデートもある。

Adobe Security bulletin APSB09-19

  Adobe Flash Player 10.0.32.18およびそれ以前のバージョンで、セキュリティの緊急な問題がある。

  各組織はこれらのアップデートを、クリスマス休暇でITスタッフが少なくなる前に配備することが重要だ。幸いなことに、このパッチ・サイクルは8日と早いため、まだテストを行い、配備するための時間がある。

  •  Adobeセキュリティ速報および勧告
  •  マイクロソフト 2009年12月のセキュリティ情報

「あなたは馴染みのないロケーションからログインしています」

  私は最近、ノルウェーに突然の予期せぬ旅行に出かけることになった。現地で過ごす間、私は家族や友達に自分の状況を知らせる必要があった。しかし、家族や友達が世界中に散らばっている場合、どうしたら良いだろうか?

  私はFacebookを利用している。

  もちろん、ほとんどの肉親に連絡するのに、電話を使うことは可能だ。しかし、時差を考えるとそう簡単なことではない。

  何か急ぎの用事に追われ、2日間徹夜している時、一体誰が、ヨーロッパ、アメリカ、オーストラリアなどでは何時かということを気にかけていられるだろうか?

  Facebookをミニブログとして使用すると非常に上手く行く(私はサードパーティーのアプリケーションを使用していないし、プロフィールも限定している)。

  そしてノルウェーからFacebookにアクセスした際、以下のようなプロンプトが表示された:

You are signing in from an unfamiliar location. For your security please verify your account.

  素晴らしい。これは素晴らしいアイディアのように思われる。

  Facebookはロケーションに基づいて、多くの言語でローカライズを行っている。そしてこのユーザ・データの一部は記録されているようで、あるアカウントが通常とは異なるロケーションからアクセスされると、そのユーザーは正当性を示すことを要求される。

  唯一の問題は──誕生日を入力してください?

  それはFacebook上で、最も共有されている情報に違いない… この質問に回答することは、大した「要求」とは言えないだろう。

  我々は以前から、Facebookが社会情報に基づいたセキュリティ・クエスチョンを使用していることの問題について注意を喚起している。

  とは言え、ユーザーが通常とは異なるロケーションからウェブ・ベースのサービスにアクセスした時、確認を行うというアイディアは、非常に気に入っている。これはアンチ・フィッシングに効果的であり、他にもこの方法を実装できるサービスはあるはずだ。Googleの多くのサービスが思い浮かぶ。Googleは確かにかなりのIPトラッキングを行っており、こうしたタイプの情報を、ユーザーの利益のために容易に利用することが可能だろう。

サインオフ
ショーン

追記:ダグとアイヴァーのかけがえのない援助に感謝したい。ありがとう。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード