エフセキュアブログ

twitter を含む記事

Anonymous:最終的な決定者は誰なのか?

  忙しい週だったので、ブログ記事のアイディアはあったのだが、今日は書く時間があまり無い…

  そこで、以下に私のTwitterフィードのスクリーンショットからのショートカットを掲載する:

twitter/fslabsadvisor #PriceRitePhoto

twitter/fslabsadvisor #PriceRitePhoto
(http://bit.ly/kFc7yy) (http://bit.ly/lwqxZt)

twitter/fslabsadvisor #PriceRitePhoto

twitter/fslabsadvisor #PriceRitePhoto
(http://bit.ly/inNMzO)

  本当に誰?

#anonymous #sony

Googleサーバでホスティングされるフィッシングサイト

  Google Docsでは、ユーザはgoogle.com(Googleのクラウドでホスティングされている)でドキュメントやスプレッドシートなどを作成することができる:

spreadsheets.google.com

  スプレッドシートは、フォームなどの機能をも含むことができ、これらは世界に向けて公開することが可能だ。

  残念なことに、このことはGoogle Docsスプレッドシートを介して、spreadsheets.google.comでホスティングされているフィッシングサイトに、頻繁に遭遇するということを意味している。

  以下はその例だ:

spreadsheets.google.com

spreadsheets.google.com

spreadsheets.google.com

  フィッシングページは本物のgoogle.comでホスティングされており、有効なSSL証明書を備えているため、これらは扱いにくい攻撃と言える。

spreadsheets.google.com

  リサーチを行っている時、我々は以下のGoogleスプレッドシートフォームに遭遇した:

spreadsheets.google.com

  そして、これがフィッシングなのか、それともGoogleが管理している有効なページなのかどうか、どうしても見抜くことはできなかった。

  最初、このページは明らかにフィッシングのように見える。誰もがフォームを作成できる、パブリックなspreadsheets.google.comでホスティングされているし、このページはGoogle Voiceナンバーやメールアドレス、PINコードを要求するからだ。

  しかし、明らかにGoogleの職員が同フォームにリンクしているのにも気づくだろう。

  そのため、フィッシングなのかそうでないのか分からないのだ。あなたには分かるだろうか?

  以下がそのフォームのURLだ:
https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

  このフォームを使用することは推奨しない。しかし、もし同フォームの正体が分かったら、コメント欄から我々に報せて欲しい。

追記:Twitterでは、これはフィッシングサイトだというのが大方の意見のようだ。しかしまだ結論は出ていない。

spreadssheets


ソーシャルメディア時代の脆弱性報告

  昨晩、古い電子メールを探していて、以下の奇妙なヘッダを見つけた:

Tweetdeck XSS

  ユーモアのセンスを持つ誰かが、メールのヘッダにXSSジョークを挿入したのだ。

  面白いと思ったので、このことについてTwitterに投稿した:

Tweetdeck XSS

  数分後、私はRobin Jacksonが以下のようにリプライしているのに気づいた:

Tweetdeck XSS

  あり得ない。ツイートが「スクリプト」タグを含んでいるからといって、Javascriptを実行するTwitterクライアントは無い。

Tweetdeck XSS

Tweetdeck XSS

  本当であることを示すため、Robinはスクリーンショットを投稿してくれた。

Tweetdeck XSS

  彼が使用しているクライアントは、Chrome用のTweetdeckだった。開発者に報せなくては。そしてもちろん、彼らもTwitter上にいる。

Tweetdeck XSS

  TwitterのセキュリティチームのRandy Janindaが、数分で反応した:

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

  そしてほんの2時間後には、Twitter開発チームのTom Woolwayから、修正が完了したという知らせをもらった:

Tweetdeck XSS

サインオフ
ミッコ


Google Webサーチを使用して改ざんされたGoogle画像を見つける

  Googleサーチに問題がある。

  数週間にわたり、Google Imageサーチの結果がますます、Search Engine Optimization(SEO)ポイズニングにより汚染されている。Google Imageの結果を介して、スケアウェアTrojanやエクスプロイトにリンクした多くのサイトが、毎日発見される。これらのサイトの多くは、さもなければ安全と思われるであろうものだが、何らかのハッキングにより障害が起きている。

  問題の一端は、Googleが画像をクローリングし、ランキングする方法にある。

  以下はGoogle Imageの結果からの、汚染されたリンクの例だ:

Google Image Search, imgurl, imgrefurl

  「imgurl」と「imgrefurl」がマッチしていないことが分かるだろうか。この画像は「ホットリンク」されている。そして同画像は、実際には「enterupdate.com」のサーバでホスティングされているのだが、Googleはこれが参照している(改ざんされた)サイトからのものであるかのように、同画像のプレビューとサイト情報を表示する。

  しかし、この画像の「ホーム」として参照サイトを表示する正当な理由はある。たとえば、エフセキュアの「Safe and Savvy」ブログはVIP WordPress.comにより供給されており、画像はWordPressのサーバ上でホスティングされている。もしもGoogleが画像の参照サイトを考慮せず、ホットリンクを無視するなら(Bingはそうであるようだが)、この検索結果はあまり役には立たないだろう。

  WordPress.orgでは、上記の例で女優オリヴィア・ワイルドの汚染された画像は、「wp-images」というフォルダ内のHTMLページに埋め込まれている。障害が起きたこのサイトは、WordPress.orgブログだ。

http://www.#####################.co.uk/wp-images/olivia-wilde-twitter.html

  以下は「olivia-wilde-twitter.html」ページのものだ:

oliva-wilde-twitter

  ご覧の通り、テキストは完全にデタラメだ。同ページのハイパーリンクはすべて、同じサイトにある他のページに結びついており、画像はすべてホットリンクされ、外部のソースからロードされる。

  このHTMLは多かれ少なかれ、Google Trendsから直接引き出されたトピックにフォーカスしたセクションを含んでいる。

  こうした調査から、Google Webサーチを障害が起きたサイトを特定するのに利用可能であることが分かった。「inurl:wp-images」および現在の「トレンディングトピック」を検索すると、SEO攻撃を試みる多くの結果を得る事ができるのだ。

  言うまでもなく、リサーチネットワークから行うのでなければ、こうした検索を推奨するわけではない。(そして、改ざんされたSEOサイトは「http://www.google.com」から訪問された場合のみ攻撃を行うため、「Google SSL」を使用するべきでもある。)

Twitterで取引するオンライン犯罪者

  まさか誰も、盗まれたクレジットカードをTwitterで売ったりしないだろう?

  彼らを除いては。

  たとえば、「SshoaibAhmed」氏をチェックして欲しい。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  リンクをクリックすると…

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  実際この人物は、おそらくは感染したホームコンピュータから、キーロガーで集められたらしいクレジットカード情報を販売しているようだ。

  盗難クレジットカードの価格は、盗まれた国によって2ドルから20ドルまでの幅がある:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  「vis」は「VISA」、「mas」は「MasterCard」、「dis」は「Discovery」、「amex」は「American Express」カードを表している。

  あるいは、盗難クレジットカードを自分で使いたくないなら、こうしたカードを使用してiPhoneやiPad、ラップトップを買わせ、あなたのもとに送ってもらうこともできる。この窃盗犯は実際には、オンラインストアにログインし、iPadをギフトとして購入後、あなたの住所を配送先として指定し、盗難クレジットカードで品代を払うことになる。このようにして購入するiPadの代金は150ドルだ。

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  しかし、キーロガーはクレジットカード以上のものを収集する。オンラインサービスにログインした時のパスワードも記録するのだ。

  だからこのベンダは、他者のオンライン銀行口座へのアクセスも販売している。残高28,000ドルの口座は1000ドルで販売されている:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  自分が本当に商品を持っていることを証明するため、このベンダは最終的に「デモ」情報を掲載している。それは基本的に、数人の被害者の氏名、住所、クレジットカード番号、パスワード(ここでかなり編集されている)などを含んだものだ:

Shoaib Ahmed, sshoaibahmed, sshoaibahmed607

  上記のアカウントは、関係当局に報告されている。

FacebookがHTTPSをオンにするようプロンプトを表示

  今朝、私はある種のiframeタブアプリケーションを使用したPageでホストされている、Facebookスパムをいくつか調べていた。

  (一連のスパムはApplicationではなくPageを悪用している。Facebookは現在、スパムアプリケーションを管理しているようだ。)

  いずれにせよ、このPageのiframeコンテンツは暗号化されておらず、私は一時的に、自分のアカウントのhttpsオプションを停止する必要があった。

  新しいフィードに戻ってみると、以下のように表示された:

Help Protect Your Account with Secure Browsing (https)
Help Protect Your Account with Secure Browsing (https)

  私のアカウントは既にhttps機能をオンにしており、同ページは既に暗号化されていたのだから、このプロンプトが表示されるのは変かもしれないが、Facebookはこうしたバグが多い。

  いずれにせよ、Facebookはユーザにセキュアブラウジングを可能にしている。

  素晴らしい。Facebookに賞賛を。

  httpsセッティングが持続的になり、同機能がダイナミックであるらしい現在、誰もが使用を考えるべきだろう。益は多く、マイナス面はごくわずかしか無いからだ。あなたのFacebookアカウントがまだhttpsを使用しておらず、同プロンプトをまだ見ていないなら、「Account Security」にある「Account Settings」で、同オプションをチェックできる。

では。
ショーン

企業マルウェア開発

  Washington Timesが、政府使用のためのバックドアおよびトロイの木馬を開発する企業に関する、長文の記事を掲載している。

  この記事は、Gamma Technologies、Elaman GmbHおよびエジプト政府間の関係についてのニュースを我々が伝えた後に開始された。

Elaman / Gamma Technologies
Photo by F-Secure GmbH

  バックドアやエクスプロイト、トロイの木馬を開発する大企業が存在するとは、不安どころではない。

Elaman / Gamma Technologies
Elaman HQ Photo F-Secure GmbH

  もちろん、それらのほとんどは「合法的なインターセプト」のために設計されている。

  合法的なインターセプトは、絶えず存在した。もともとはオペレータによる通話の選別を意味し、そのうち、携帯電話の通話やテキストメッセージに拡大。そして次に、電子メールとWebサーフィン情報の選別に拡大した。しかし、疑わしい人物がSSLを使用したサイト(たとえばGmail)にアクセスするなら、オペレータはそれを選別することはできない。そのため、標的のコンピュータを感染させるマルウェアやバックドアを使用する必要が生じた。一度感染させれば、そのマシン上で行われるすべてをモニタすることができる。

Finfisher offer

  理論的には、合法的なインターセプトには何ら問題は無い。それが警察によって行われるなら。民主主義国家で行われるなら。裁判所命令があるなら。そして容疑者が実際に有罪である場合なら。

  Eli Lakeの記事で挙げられている企業には、HBGary FederalとEndgame Systemsも含まれている。

ますます変化するWeb

  ショートURLサービスは問題をはらんでいるが、IPロケーションテクノロジとの組み合わせで、より一層問題になっている。

  今朝早くのtwitter.comから:

http://twitter.com/#!/olasher/status/59923780021141504

  細かく見れば、「@olasher」というスパムボットが、他のスパムボット「@MorabsShimb3554」に答えていることに気づくだろう。見え透いているのでは?

  さて、「@olasher」アカウントはあまりに明白なので、作成されて数時間以内に、Twitterが同アカウントを停止している。しかし「@MorabsShimb3554」はより巧妙で、読者にow.ly linkを「コピー&ペースト」するよう促すことで、気づかれないように行動しようとしている(今までのところ成功している)。

  ow.lyショートリンクは「http://fi.toluna.com/Register.aspx」に「maxbounty.com」を介して導かれ、フィンランドからはリダイレクトしているが、スパマが儲けを期待できる手法として、アフィリエイトIDが付けられている。

  ow.ly linkがいくつのサイトを開くかについては、見分ける良い方法は無く、それはひとえに、ユーザの拠点(IPアドレス)とMaxBountyコミッションの数による。

  Twitterには、ショートURLを広げることで手助けしようとする、非常に素晴らしいツールティップ機能があるが、アメリカ合衆国中心であるのが難点だ。表示されるリンクは、twitter.comのホームIPアドレスに基づいている。これは正当なリンクでは上手く行くが、スパムや悪意あるリンクでは必ずしもそうとは言えない。結果がロケーションにより異なるためだ。

  そしてTwitterは、何かの理由でエンドポイントに拡大できないことがある。

  「@olasher」がプッシュしたリンクを見てみよう:

http://bit.ly/gwkWzD+

  これは別のショートURLサービスで、広告でショートURLを収益化しようとする「adf.ly」を示している。

adf.ly

  フィンランドのベースのIPアドレスから、このadf.ly URLはGrouponの「citydeal.fi」といった合法的なサイトに通じていることが分かる。また、アフィリエイトIDが付属している。ヨーロッパ内でも、多くのバリエーションが存在しうる。

Groupon, CityDeal

  広告をスキップするためクリックすると、amazon.comにアクセスすることになる。

Amazon affiliate iPad

  そしてそう、「iPad 2」ページにも、もう一つのアフィリエイトIDがある。

  この例で使用されているリンクはすべて、どちらかと言えば無害だ。しかし残念なことに、IPロケーションテクノロジと結びついたショートURLサービスが、無害なアフィリエイトIDスパムに繋がるケースは氷山の一角に過ぎない。より悪意あるリンクが待ち受けているのだ。

  ではどうすべきか?

  bit.lyなどへの機能の提案として、本当に正当な理由がなければ、他のショートURLサービスへのURLを認めない、という考えがある。

  ショートURLは役に立つのだから、スパマやスケアウェアベンダのために、その価値を損ねないでほしい。

フィンランドの選挙でソーシャルメディアを多用

vaalit.fi  今週末、4月17日日曜日にフィンランドの議会選挙が行われる。法務省の選挙統計によると、フィンランドの有権者(4,159,857人)の31.2%が、既に期日前投票を行っているという。2007年の選挙では67.9%の投票率だった。

  フィンランドの政治運動は2週間で、これはアメリカ合衆国のような国と比較すると、信じられないほど短い期間だ(アメリカでは既に、2012年11月の選挙に向けて準備を行っている)。

  選挙運動の予算が削減された年には、多くの候補者がアウトリーチの努力で、FacebookやTwitterなどのソーシャルメディアサイトを活用している。

  マリ・キビニエミ首相などの候補者は、それほどソーシャルメディアを使用していないが、アレクサンデル・ストゥブ外務大臣などの候補者は、明らかにかなり以前からTwitterを使用している(自ら外交問題のプロを自認していることから多くの人が予期しているだろう)。

  フィンランドの法務省さえ、選挙用のFacebookページを持っている。

  フィンランドの候補者と政府がソーシャルメディアを使用していることは、それほど驚くべきことではない。2010年3月の米国務省ソーシャルメディアレポートによれば:フィンランドは他のヨーロッパ諸国に比較して、インターネットの普及および使用の水準が高い。インターネット利用は、大部分のフィンランド人にとって日常生活の一部であり、現在、ユニバーサルなインターネットアクセスを義務づける法律が存在する。根本的に重要な公共事業だと考えられているのだ。

  アナリストたちは、選挙の結果にソーシャルメディアがどれだけ影響を与えたかの測定を始めるのに、選挙が終了するまで待つ必要がある。しかし、一つ確かなことがあるようだ。誰もが2,315名の候補者のマスターリストをExcelフォーマットで、そしてそれぞれの人口統計学データをPDFフォーマットでダウンロードできる国では、2015年の議会選挙は「オフィシャルな」ソーシャルメディアアカウントのマスターリストが必要になりそうだ。

投票:法の執行はボットネットを「ハイジャック」すべきか?

  連邦捜査局(FBI)のニューヘーブンオフィスが今週、Corefloodボットネットをハイジャックし、「葬った」。詳細は「Wired.com」のKim Zetterによる記事で読むことができる。Zetterの記事は、Bredolabボットネットに対してオランダ当局が行った似たような行動に言及している。そのケースについて、我々は昨年10月、記事を掲載した。

  ボットネットをシャットダウンすることは、技術的に難しくはない。ボットはしばしば、自身を削除するためのインストラクションを含んでいる。しかし、ボットがそうするためのインストラクションを送ることは、法的に「不正使用」とみなされるため、アンチウイルス企業は行わない。この「News from the Lab」ブログでも、このことは何度か議論になっている。たとえば、この記事のコメントを見て欲しい。

  政府およびその法執行機関のみが、ボットネットのシャットダウンを認可できるというのが、我々の主張だ。そしてその場合であっても、これは慎重を要する問題だ… FBIは非アメリカ合衆国(たとえばカナダ)のコンピュータにインストールされたボットネットを葬るべきだろうか? 彼らはUSベースのIPアドレスに限定しているだろうか?

  あなたの考えは?

投票:法執行機関はボットネットを「ハイジャック」し、シャットダウンしようとすべきだろうか?



Flashエクスプロイトの感染を制限するにはActiveX版をアンインストールせよ

  昨日、Adobeは「Security Advisory APSA11-02」を公開した。同アドバイザリによれば:

  「Windows、Macintosh、Linux、および Solaris 版の Flash Player 10.2.153.1 以前(Chrome の場合は 10.2.154.25 以前)、Android 版 Flash Player 10.2.156.12 以前、Windows、Macintosh 版の Acrobat X および Adobe Reader X (10.0.2) 以前の 10.x および 9.x において、クリティカルな脆弱性が存在することが確認されました。」

  そして…この新しい脆弱性は現在、広く悪用されている:

  「この脆弱性を悪用し、Windowsプラットフォームを標的に、メールの添付ファイルとして送信されたMicrosoft Word(.doc)内に埋め込まれたFlashファイル (.swf) を経由して、標的型攻撃が行われているという事例が報告されている。」

  Officeに埋め込まれたFlashファイル?

  この攻撃ベクタは、Brian Krebsからの次のような質問を生み出した:「だれか、MS OfficeファイルでFlashオブジェクトのレンダリングを全面的にオフにする、信頼できる方法を知っているか?

  我々は、簡単にアンインストールできるものを何故オフにするのか、と思う。

  我々は通常、Internet Explorerを使用しないので、IEバージョンのFlash Playerが使用可能である必要はまったく無い。Web上のFlashには、指定されたブラウザ(IE以外の)を使用することができる。あなたには本当に、OfficeでFlashが使用可能である必要があるのだろうか?

  以下は、ActiveX版のFlashがインストールされていない状態で、埋め込み型のFlashコンテンツを含むドキュメント/スプレッドシート/プレゼンテーションを開くと、Microsoft Officeが出すプロンプトだ。

Some controls on this presentation can't be activated.

  「非IE」版のFlash Playerはもちろん、依然としてエクスプロイトに脆弱だが、それらのバージョンに対して(電子メールを介して)標的型攻撃が成功することを想像するのは難しい。そして多分それが、現在の攻撃がOfficeを使用している理由だろう。

  ちなみに、Flash Player(10.3)の次のバージョンは、コントロールパネルアプレットを含むようだ:

Flash control panel applet

  期待が持てそうだ:

Flash Player Settings Manager

ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

passwords  300万以上のユーザアカウントのパスワードが、ニュースサイト、リテールサイト、そしてWeb 2.0サイトに影響を与えた広範囲にわたるハッキングにより、昨夜遅く、「password」に変更されたようだ。この影響を受けたユーザのほとんどは、同攻撃に全く気付いていない。

  現在の統計によれば、影響を受けたユーザの62パーセントは、パスワードが元々「password」であったことから、気が付いていない。

  いくつかのサイトが、障害の生じたアカウントを保護するための対策を講じていると報じている。さらに、多くのサイトがパスワードに「password」という言葉を使用することを禁じる、新しいルールを作成している。

  このハッキングに対するユーザの反応は激烈だが、多くのサイトが世界で最もポピュラーなパスワードの一つに対して進めている禁止にも、さらなる反発が生じている。オンライン暴動が予想される。

  昨晩の攻撃を行ったのは自分達だと、「Obvious」という名のハッカーグループが主張している。ハッキングされた数千のTwitterおよびFacebookアカウントは、「We are all Obvious! Don't Expect Us」というメッセージを投稿した。

  300万以上のユーザ名を含む1.9ギガバイトのファイル — そして一つのパスワード — が現在、「The Pirate Bay」を介して共有ファイルとしてダウンロード可能だ。

  将来、このような問題を避けるには、ユーザには自分のパスワードを「password1」に変更するようおすすめしたい。これはObvious(明らか)に、よりセキュアだ。

確認済み:Samsungはキーロガーを搭載していない

  我々は前回の記事で書いたことを確認した。すなわち「Samsungはラップトップにキーロガーを搭載していない。」

  この件は、VIPRE Antivirus製品の誤警報により引き起こされた。どうやらVIPREは、Windowsディレクトリのルートに「SL」というディレクトリが存在するのをサーチしたことにより、StarLoggerキーロガーを検出したようだ。これはまずい考えだ。

  たとえば、以下は空の「SL」フォルダが作製された後、完全にクリーンなWindowsコンピュータでVIPREがアラートを出していることを示すスクリーンショットだ:

VIPRE

  Samsungのラップトップは実際、デフォルトで「C:\WINDOWS\SL」というフォルダを持っているため、VIPREは似たような警告でアラートを出すのだろう。

  残念なことに、最初の分析を行ったMohamed Hassan(CISSP)は、自分の調査結果をダブルチェックせずにSamsungを非難してしまった。彼は全く「SL」フォルダのコンテンツをチェックしなかったのだろう。

  Samsungは無実だ。

  調査を手伝ってくれたTwitter仲間の@the_pc_doc@SecurityLabsGR@paulmuttonに感謝する!

追記:Alex Eckelberryが、VIPREが何故誤警報を出したかについて、さらに詳しく説明するブログ記事を掲載している。








Amazonのお粗末なパスワードポリシー

親愛なるジェフ・ベゾス殿

  長年のAmazonカスタマとして、非常に期待しながら、Amazon Cloud Driveを利用した新しいAmazon Cloud Playerを試してみました。

  そして正直なところ — かなり良いと思います。

Amazon Cloud Drive

  「全カスタマは、5GBの無料Cloud Driveストレージが利用できる。期間限定で、MP3アルバムの購入により20GBに無料アップデート可能だ。」

  わあ、5GBを20GBに無料アップデート? すごい。

  ただ一つ、大きな問題が…

  Amazonのパスワードポリシーが、大いに不足している点です。

  以下は、誰かが自分のパスワードを「password」あるいは「123456」と設定しようとした時に示されるメッセージです。

Amazon Password

  え、何だって? 「password」と「123456」で、完了…?

  なんて事だ、少なくともAmazonのパスワードポリシーは「1234」を受け入れていないのに。

Amazon Problem

  さて、Amazonには、何者かがアカウントをハッキングし、新たなアドレスに商品を出荷することを防ぐ、優れた備えがあります。そのためには、攻撃者はクレジットカード番号全てと、その他の詳細情報を必要とします。

  ところが、あなた方は製品をクラウドに持ち込みました! 出荷は必要ありません。

  クレジットカードに結びつくギガバイトのオンラインストレージは、ハッカーたちにとって実に魅力的なターゲットとなるでしょう。そしてAmazonアカウントは電子メールに基づいているため、ハッカーは直接Amazonをフィッシングする必要さえないのです。彼らは電子メールアカウントをフィッシングし、「amazon.com」で同じパスワードを試すことができるのですから。

— 別の問題 —

  間違ったパスワードを使用して、10回以上、自分のアカウントにアクセスしてみました!

  ブルートフォースに対する防御はどのタイミングで開始するのでしょう?

  私は12回目(あたり)で正しいパスワードを使いましたが、ダイレクトアクセスできました。

  …

  よろしいでしょうか、私は本当に新しいクラウドドライブを評価しています。

  ですが、保護するための何らかのより良いセーフガードを制定して頂くまでは、このドライブは使用しないと思います。

敬具
ショーン・サリバン

Twitter.comの「Top Tweets Link」がアダルト・デーティング・スパムにリンク? #NSFW

  Twitter.comは、「@TopTweets」という認証済みアカウントを持っている。これは:

  「Twitter内で最も興味深いツイートの一部を、アルゴリズム的にセレクトし、リツイートする。楽しんでほしい!」

http://twitter.com/toptweets

  楽しむだって?

  さて、アダルト・デーティング・スパマが同システムを操作しているかのように見える(さもなければ、Twitterが本当にトップツイートアルゴリズムを調整する必要がある):

twitter.com

  @TopTweetsは最近、@CamGirlTrenityによるこのツイートをリツートした:

@CamGirlTrenity

  しかし、さらに驚くべきは、@TopTweetsが土曜日すでに、@SkypeCamGirlsによるこのツイートをリツイーとしていたことだ:

@SkypeCamGirls

  このスパムを報告した人が、週末、誰一人いなかったとは。

  @TopTweetsには100万人以上のフォロワーがおり、また、Twitterが「getiton.com」や「camsexroulette.net」といったサイトにさらされたいとは思えないので、Twitterがすぐにこの件をチェックすることを願いたい。

  しかし幸いなことに、このリンクは明らかに「職場での閲覧注意」(#nsfw)であり、比較的少数しかクリックしていない。よっておそらく大部分の人は、多くの、いわゆるエキスパートたちが考えるよりも、もう少し常識があるのでは?

追記:素晴らしい! Twitterが@CamGirlTrenityおよび@SkypeCamGirlsを停止した(数ある中で…)。

  今日のツイートは、もはや@TopTweetsフィードに含まれていないし、土曜日のものもすぐに取り除かれるだろう。

@TopTweets

不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






Facebookのコメントは「匿名の終焉」か?

  Facebookが先頃、コメントシステムの大規模なオーバーホールを行った。Facebookユーザは新たに、自分のプロフィールを使用しているサードパーティのWebサイトでコメントできるよう変更された。この新システムのサポーターたちは、インターネット・トロール(荒らし)やコメントスパムと戦う際の助けとなることを期待している。Facebookアカウントは基本的に、本名を使用しているからだ。同システムを批判する人達は、言論の自由に対する脅威だと主張する。

  多くの批判者が、マーク・ザッカーバーグによる「The Facebook Effect」から、以下の引用をあげている:「あなたには一つのアイデンティティがある。あなたの仕事仲間や同僚、あなたが知るその他の人々に対して、あなたが異なるイメージを持つ日々は、おそらくかなり速く終わるだろう。あなた自身にとって、二つのアイデンティティを持つ事は、整合性の欠如の例と言える。」

  ソーシャルメディアの活動家たちの反応は、ポジティブなものではない。だが、本当に、何故? たった一つのアイデンティティを持つということは、本当にそれほど奇妙なコンセプトなのだろうか?

  バットマンでもない限り、本当に複数のアイデンティティを必要とする人がいるのだろうか?

  私は一つのアイデンティティしか持っていない。Twitter上では、「@FSLabsAdvisor」という別名も持っており、皆さんはおそらく、その名からこれが仕事関連のアカウントであり、エフセキュアの公式スポークスマンとしての仕事上のペルソナを反映していることが分かるだろう。この別名は、私のアイデンティティに直結しているが、私のパーソナリティの特定の側面を表しているだけだ。

  私はインターネット上で、複数の別名を持っている。そのうちの2、3は匿名だが、私が必要とするのは一つのアイデンティティのみだ。

  インターネット上でアイデンティティやプライバシー、そして整合性を保つのは簡単な事ではない。共和党所属の政治家サラ・ペイリンを例にとってみよう。およそ3週間前、WonketteのJack Stuefが、ペイリンは「Lou Sarah」という名を使って、個人のFacebookアカウントを持っているという記事を書いた。(ペイリンのミドルネームはLouiseだ。)この件に関するStuefの見解は、ペイリンが「サラ・ペイリン」名義のアカウントを称賛するために、「秘密の」アカウントを開設した、というものだった。そして彼は、ペイリンの「Lou Sarah」アカウントが、素晴らしい整合性の兆候であるとは見なしていないようだ。

  なかなか良い指摘だが、Stuefは完全に正しくとらえたわけでもない。「サラ・ペイリン」アカウントは「プロフィール」ではない。これは、プロフィールとして機能する、セレブリティ用の特殊なタイプのハイブリッド「ページ」なのである。しかし、これは本当に単なるページであり、サラ・ペイリンのパーソナルブランドの一部だ。このページが、彼女の広報活動チームによって完全に管理されている、という可能性も高い。

  自分のプライバシーを管理したいと考える多くの人々は、匿名のFacebookアカウントを作成する。多くの人が明らかに別名を望んでいる。Facebook創設者のザッカーバーグに向けられた多くの反発は、個人ごとに複数のアカウントを持つことが、Facebookの利用規約違反であり、ザックがそうした人達が犯罪者のように聞こえかねないことを言っている事実に起因しているのではないかと思う。

  これらの反発の一部は、当然だと私は思う。

  Facebookの企業方針は、あなたが実際に知っている人とのみ友達になるべきだ、というものだ。ところがFacebookはZyngaのようなソーシャルゲーム企業との提携により、大金を稼いでいる。ソーシャルゲームはカジュアルなゲーム形式であり、カジュアルゲームはカジュアルな友人関係を築くことを促進する。Facebookの利益は、ある程度、カジュアルな友人関係の形成により後押しされているのだ。

  二つを同時に得ることはできない。

  私は人々が、「バーチャル」な友人とFacebookゲームを楽しむために、第二のアカウントを作成した例を数多く見てきた。カジュアルな友人関係からFacebookが利益を得る限り、彼らは自分たちのユーザのプライバシーをより強固に保護する方法を見つける必要がある。Facebookはステップアップし、ユーザにある種の別名を提供するか、彼らの利用規約を調整する必要があるだろう。

  すぐに実現するとは思っていない。

  しかし、Facebookの新しいコメントシステムはどうだろう?

  これは匿名性と言論の自由の終焉なのだろうか?

  おそらく違う。すでに匿名でコメントするのに使用されている「バックドア」メソッドが存在する。

  ページだ。

  TechCrunchが、最初の記事でその糸口を示唆している:「ちなみに、Facebookページとして、外部サイトにコメントを残すことも可能。つまり、ブランドがFacebookを利用して、ブログ記事に『オフィシャル』コメントを残すことが可能になったということだ。」

  そこで、以下があなたにできること、すなわち、フィクションのキャラクターを作成するための例だ。

  私のキャラクターは「Jaajo Jantteri」という名だ。そして、私はコピーライトを有しており、Facebookのページ規約に完全に準拠している。

Jaajo Jantteri

  次に、新しいコメントをテストするTechCrunchなどのサイトを訪問する。そしてあなたが選んだ別名を選択する。

Leave Comments

  そしてコメントする。

Hello world

  今や我々は、荒らしやスパマーが、同じ事をしないよう期待する必要がある。

  だが、Facebookがこの戦場をウオールに囲まれた庭に持ち込みたいなら、そうさせれば良い。

では。
####

最古のコンピュータウイルス作成者にミッコが直撃インタビュー

コンピュータに感染するウイルスが初めて発見されたのは、1986年でした。

世界初のウイルスの名はBrain。

これは、5.25フロッピーディスクのブートセクタを感染させるMS-DOS向けに書かれたウイルスで、フロッピーディスクドライブの動作を遅くさせ、7KBほどのメモリーを使用できなくするという単純なものでした。

7KBなんて・・とおもいましたが、その当時の7KBはけっこう貴重なリソースだったそうです。

累計100,000個ものフロッピーディスクが感染したということです。

IMG_0203

Brainには、パキスタン在住の作成者の連絡先が含まれており、1986年から25年の歳月を経た2011年2月、エフセキュアのセキュリティ研究所で主席研究員 (CRO) を務めるミッコ・ヒッポネンが作成者に話を聞く為にパキスタンのラホールに赴きました。

IMG_0352

作成者は兄弟で、アムジャッド・ファルーク・アルヴィとバジット・ファルーク・アルヴィだということが判明、現在二人は、もう一人の兄弟である シャヒード・ファルーク・アルヴィと共にパキスタンで、Telecommunication Ltd というインターネット サービス プロバイダ事業で成功していました。

IMG_6562

エフセキュアは、ミッコの旅とアムジャッドとバジットの初のインタビューを収録した「Brain – Searching for the first PC Virus (Brain – 最古のウイルスを探して)」と題した10分間のルポタージュビデオを制作しました。彼らは、同ルポタージュの中で、フロッピーディスク を介して感染を広げた最古のウイルス、Brainについて初めてインタビューに応えており、Brainの目的は破壊ではなく、だからこそ自らの連絡先を入れたことを明かしています。

Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination............ $#@%$@!!


彼 らの動機は、当時新しいOSだったDOSに実装されたマルチタスク機能の動作性と、UnixなどのほかのOSと比べセキュリティ上の脆弱性があるかどうかを確認する為のものでした。その後間もなく、彼らは米国やオーストラリアなどの国々から問い合わせを受けたそうです。

IMG_6613

ミッコ・ヒッポネンは、今回の旅について素晴らしい体験をしたと振り返っています。というのもBrainのコードに含まれていた住所に実際に赴いてドアをノックしたら、 25年前に同ウイルスを作った兄弟がドアを開けたというのですから。

アムジャッドとバジットが1986 年にウイルスを作成した頃、つまり25年前のインターネットは、今とは全く異なる状況でした。彼らが悪意もなく書いたコードが世界初のコンピュータウイルスになってしまったというのは非常に興味深く、今回エフセキュアが制作したビデオには、コンピュータ史の中でも重要な部分が記録されていますので、ぜひお見逃しなく!

「Brain – Searching for the first PC Virus (Brain – 最古のウイルスを探して)」は、こちらからご覧いただけます。(英語)


また、先日のショーンの記事でもご案内していますが、「USA Today」のByron Acohidoによる記事で、ミッコ・ヒッポネンの「Brain」のドキュメンタリーを独占紹介していますので、ぜひこちらも。

「Brain」:初のPCウイルスを探して

  「USA Today」が、Byron Acohidoによる記事で、ミッコ・ヒッポネンが主演する「Brain」のドキュメンタリーを独占的に紹介している。

Brain: Searching for the First PC Virus

エジプト、FinFisher侵入ツールそして倫理

  エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。

  2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。

  本部内で、抗議者達は多くの国家機密書類にアクセスした。

binders

  それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。

finfisher

finfisher

finfisher

finfisher

注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。

  「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売されているようだ。「感染プロキシ」、様々な侵入ツールなど、複数のコンポーネントを含んでいるようだ。

  エジプト国家保安当局が同ツールを購入したか否か、我々には分からない。また、彼らがそれを国民をスパイするために使用したかどうかも分からない。他に誰が利用し得るかも分からない。

  ここでの明白な疑問は「我々はFinFisherを検出しているか?」ということだ。答えは「分からない」だ。これを確認するために使用できるサンプルを入手していないからだ。

  これに関連する明白な疑問は、誰かが我々にFinFisherの既知のコピーをくれたなら、我々はそれと承知して、検出に追加するか、といことだ。そしてその答えは「そうする」だ。

  我々はプロテクションの販売に従事している。そのソースが何であれ、攻撃プログラムから我々のカスタマを防御する製品を販売しているのだ。

  カスタマがいかなる不正も犯してはいないのに、関与していない犯罪に関して嫌疑をかけられるというケースは、容易に想像できる。このような状況で、カスタマは自分のアンチウイルスが、トロイの木馬から完全に保護されることを期待するはずだ。たとえそれらトロイの木馬が、政府に由来するものであっても。カスタマが全体主義国家に暮らしているなら、これはさらに重要だろう。我々のカスタマの一部がそうしているように。

  我々が既に「FinFisher」のサンプル、あるいは類似するツールのサンプルを、カスタマから受けとっているということは全くあり得ることだ。しかし、そういうことがあっても、「通常の」犯罪的トロイの木馬との区別はついていない。我々は既知のいかなる政府侵入ツールも所持していない。

  我々は世界中のいかなる警察、あるいは諜報組織からも、彼らのトロイの木馬を検出しないようにというリクエストを受けてもいない。彼らがトロイの木馬を使用しているなら、我々にそれを提供していない。

  そして、たとえ当局が我々に接触し、彼らのトロイの木馬を検出しないよう要請したとしても、我々は2001年に発表した我々のガイドラインに従うまでだ。この件に関しては、我々の公式なステートメントをご覧頂きたい。

  政府のトロイの木馬検出を停止するのは、危険な道筋だ。もしも米国政府が我々に何かを検出しないよう依頼し、我々がそれに従った場合、何をすればいいのだろうか? 我々はどの政府が使用しているハッキングソフトウェアの検出を避けるべきなのか…? ドイツ? 英国? イスラエル? エジプト? イラン?

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード