エフセキュアブログ

windows 8 を含む記事

Stuxnetに関する質疑応答

追記:11月23日に、「Stuxnet」再び:質疑応答という記事を追加した。

  「Stuxnet」は相変わらずホットなトピックだ。以下に、我々が受けた質問のいくつかに対する回答を掲載する。

Q:Stuxnetとは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLCに送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:システムに複雑な改変を行う。これらの改変の結果については、実際の環境を見ること無しに検出することはできないため、分からない。

Q:では、理論的には何をすることができるのか?
A:同ワームはモーター、コンベヤーベルト、ポンプを調整することができる。工場を停止させることができる。調整さえ適切ならば、爆発を起こすことも可能だ。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ。

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:

LNK (MS10-046)
印刷スプーラー (MS10-061)
Serverサービス (MS08-067)
キーボードレイアウトファイルを介した権限昇格
Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種はまだ、修正されていない。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:Stuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、USBワームを遮断できるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは他にもある。Stuxnetが利用しているLNK脆弱性は、AutorunとAutoplayが使用停止にされたとしても感染経路となる。

Q:Stuxnetは永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを待ち、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:理論的には、他に何ができるのか?
A:Siemensは昨年、Simaticが現在、アラームシステム、アクセスコントロールおよびドアをコントロールすることもできると発表した。理論的には、トップシークレットの場所にアクセスするのに用いられる可能性がある。トム・クルーズとミッション・インポッシブルを考えて欲しい。

Image Copyright (c) Paramount Pictures
Image Copyright (c) Paramount Pictures

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:エフセキュアはStuxnetを検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、我々がMicrosoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

ハッカーを味方につけろ

New York Times / Mikko Hypponen

  好むと好まざるとにかかわらず、Twitterは重要だ。おしゃべりのために使われるだけでなく、何かが起きた時にその場にいた人々からの目撃報告を得るための、最速の方法であることが分かっているからだ。

  よって、昨日の攻撃のようなことが起きると、非常に不快に感じられる。我々が頼り始めているサービスが突然、不調になってしまう。それもバカげたワームのせいで? 最新のツイートをチェックしていると、どういうわけか突然、自分のフォロワー全員にウイルスメッセージが送られてしまう。

  そして、あなたが購入したアンチウイルスプログラムも助けてはくれない。どれだけ一生懸命システムをスキャンしようと、そこには何も無い。このワームはあなたのコンピュータ上にあるのではない。どこかにあるデータセンタの、Twitterサービスファーム上にあるのだから。

  これは我々がクラウドと呼ぶものの一部だ。我々がますますクラウドサービスを利用し始めれば、自分達のデータのコントロールをあきらめることにもなる。自分のコンピュータ上にドキュメントを保存しているなら、それらを暗号化し、セキュアにすることができる。そのデータをクラウドサービス上に保存しているなら、誰かがあなたのためにそうしてくれることを願うしかない。コミュニケーションに関しても同様だ。

  Twitterワームは、Windowsオペレーティングシステムを攻撃する、より悪意のあるトロイの木馬とは全く異なる。大部分のTwitterワームは、テストのため、あるいは面白半分に作られる。ごく少数しか、情報を盗んだり、金儲けをしようとはしない。これらのワームは、10年前にインターネットワームを書いていたかもしれない、好奇心の強い人々の同類によって、ワームがどのくらいすばやく拡散するかを見るために作成されているのだ。

  私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

  たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。

  この署名記事は、もともとは「The New York Times」に掲載されたものだ。

PS3 Jailbreak Trojan

  PlayStation 3のディスカッションに興味のある読者の皆さんにとっては、PS3の新たな「ジェイルブレイク」に関する話題は見逃すことのできないものだっただろう。同ゲーム機のセキュリティモデルをくずし、サードパーティのソフトウェア(そして違法コピーされたゲーム)の実行を可能にするUSBドングルのニュースは、野火のように広まっている。

psjailbreak2.jpg from planetadejuego.com

  オンラインの悪人達が、この騒ぎを悪用しようとしているのは当然だろう。本物のUSBジェイルブレイクガジェットは、USBドライブではない。しかしそのように見える。そのため現在、一部の連中が通常のサムドライブから、ジェイルブレイクUSBデバイスを作成すると称したWindowsプログラムを配布している。ダウンロードし、同プログラムを実行するだけで良いという。

PS3 Jailbreak

  実際は、同プログラムはバックドアをドロップする。我々は「Trojan:W32/Agent.DLEN (md5 e3e03501c795a6cc4c53df2619cadd4b)」として検出している。

マルウェアとクリティカルインフラストラクチャ

  スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。

El Pais

  「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

  我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

  これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

  Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

  Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。

CSX

  その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。

report

transcript

  たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

JailbreakMe脆弱性に関するQ&A

Q: これは一体どういうことなのか?
A: 訪問するだけで、iPhoneやiPadのジェイルブレイクが行える、「jailbreakme.com」という名のサイトに関する問題だ。

Q: それで問題は何なのか?
A: 問題は、同サイトがデバイス上でコード実行するため、ゼロデイ脆弱性を使用していることにある。

Q: その脆弱性はどのように機能するのか?
A: 実際の所、これは2つの脆弱性だ。第1の脆弱性は、PDFファイルに埋め込まれた破損したフォントを使用して、コードを実行するもので、第2のものはカーネルにある脆弱性を試用して、サンドボックスされていないルートにコード実行を拡大する。

Q: このエクスプロイトを作成するのは、どの程度難しかったのか?
A: 非常に難しい。

Q: 現在流布している同エクスプロイトを誰かが修正するのは、どの程度難しいのだろうか?
A: かなり簡単だ。

Q: これは責任ある開示では無かったのか。
A: その通りだ。Appleは同脆弱性について知らされていなかった。

Q: このエクスプロイトを作成したのは誰か?
A: 「jailbreakme.com」のクレジットは以下の通りだ:「Jailbreak by comex, website by westbaer and chpwn. Special thanks go out to BigBoss, chronic, DHowett, MuscleNerd, planetbeing, posixninja, and saurik.」

Q: ではこれはiPhoneの問題なのか?
A: いや、これはiOSの問題だ。すなわち、これはiPhone、iPadおよびiPodに影響する。

Q: iPodも?
A: そう、iPod touchは影響を受ける。iPhoneのように見えるiPodだ。

Q: iPhone、iPad、iPod touchのどのバージョンが影響を受けるのか?
A: すべてだ。

Q: では、これは世界中のiPhoneユーザに影響を与えるのか?
A: その通りだ。

Q: でも、ジェイルブレイクしたiPhoneのみが危険にさらされているのかと思っていたのだが。
A: あなたは混乱している。ごく普通のiPhoneを含め、全てのiOSデバイスが危険にさらされているのだ。

Q: パッチは入手できるのか?
A: いいえ。

Q: えっ。ではパッチは公開されるのか?
A: Appleが、できる限りすぐに公開することが期待されている。

Q: それは確認されているのか?
A: 確認されている。Appleは2つの理由で、パッチを当てることを望んでいる。1つは、人々が自分のデバイスをジェイルブレイクしないようにするため、そしてもう1つはカスタマを潜在的な攻撃から守るためだ。

Q: PDF脆弱性はAdobe PDF Readerに影響するか?
A: いや。Windowsや他のプラットフォーム上のAdobe PDF Readerは、この脆弱性から影響を受けることは無い。

Q: 私のiPhoneのPDFリーダーはAdobe製のものか?
A: いや、これはApple製だ。そして独立したReaderアプリケーションは無く、PDFサポートはOSに組み込まれている。

Q: AppleとAdobeの戦い(Flashに関する)を考えると、これは少々皮肉な事態ではないだろうか?
A: ええ。

Q: 他のアプリケーションは脆弱か?
A: Foxit ReaderのいくつかのバージョンとFreeType2ライブラリにその可能性がある。ここを参照して欲しい。

Q: 今までに、この脆弱性を使用した悪意ある攻撃をどれくらい目撃したか?
A: ゼロだ。

Q: ということは、危険は無い?
A: 現時点では危険は無い。しかし、危険の可能性は大きい。

Q: この脆弱性を介して、iPhoneワームが広がることになるのは、いつ頃だと予測しているか?
A: 1、2週間以内だろう。

Q: このようなワームが私の電話に侵入するとしたら、どのような方法だろうか?
A: デバイスに悪意あるPDFファイルを開かせることが可能な、あらゆるメカニズムを通じてだ。我々は先日の記事で例を挙げている。

Q: では、悪意あるWebページも原因となり得るのか?
A: そうだ。あるいはメールの悪意あるPDF添付ファイル。ウェブリンクを含むテキストメッセージも。またTwitterやFacebookフィードのリンクなど、iPhoneでリンクをクリックすればそうなる。

Q: MMSメッセージを介して侵入する可能性は?
A: ありがたいことにノーだ。PDF添付ファイルは、iPhone MMSメッセージでは機能しないためだ。これは、非互換によるセキュリティとしても知られている。

Q: このようなワームは、どのように複製されていくのか?
A: これは、あなたの電話から、電話帳に記載されている全員宛に、それ自身をテキストメッセージとして送信することで、さらに複製されることになる。例えば。

Q: このようなワームは私の電話で何をするのか?
A: 何でもだ。このワームは、皆さんが自分の電話でできることは何でも実行することができる。だから、電話上の全データを破壊したり、盗んだりすることができる。あなたの居場所を追跡することも。あなたの友人にスパムを送信することも。電話での会話を聞くことも。世界中のすべての国々の大統領に電話することも。何でもだ。そして、皆さんは発生するすべての料金を支払うことにもなる。

Q: では、iPhoneユーザが身を守るためにすべきことは?
A: 慎重になることだ。そして公開されたらすぐに、パッチをインストールすること。

Q: iPhone上でアンチウイルスソフトを動作させるべきだろうか?
A: そうすべきだ。しかしそうすることはできない。

Q: できない? 何故できないのか?
A: なぜなら、iPhone用のアンチウイルスプログラムは存在しないからだ。

Q: 何だって?
A: iPhone用のアンチウイルスは存在しない。どのベンダからも入手できない。

Q: 何故?
A: 我々はAppleの援助無しには、アンチウイルスを製作できないからだ。

Q: 他にできることはあるだろうか?
A: もしあなたのiPhoneがジェイルブレイクされているなら、Chronic Dev Teamが製作した「PDF Loading Warner」アプリをインストールすることを考慮することも可能だ。我々は同ツールを推奨してはいないが、助けにはなるだろう。

Q: そのツールはどのようなものか?
A: 同ツールは、WebページがPDFファイルをロードしようとするたびに、有害か否かを警告する。

Q: 「PDF Loading Warner」アプリはどこで入手できるのか?
A: ここを参照して欲しい。

Q: つまり、私の電話をジェイルブレイクし、PDF Warnerをインストールする方が、より安全だということだろうか?
A: そう、言ってみればそうだ。

Q: でも、ジェイルブレイクすると、私の電話を他のセキュリティ上の危険にさらすことにならないのか?
A: そう、そういうことになる。我々はいかなる理由であれ、自分達のデバイスをジェイルブレイクすることを推奨しない。例えば、これまでに我々が目撃した唯一のiPhoneワームは、ジェイルブレイクしたデバイスにのみ感染した。これらは、SSHサーバをインストールする必要があり、デバイスの持ち主がルートパスワードを変更していないと仮定する必要があったのだが。

Q: ではあなたは私のiPhoneのルートパスワードを知っているのか?
A: もしあなたが変更していないのなら、それは「alpine」だ。

Q: ということは、変更した方が良いのだろうか?
A: そうだ。これはjailbreakme脆弱性とは関係無いのだが。やり方は、2009年の記事を参照して欲しい。

Q: 他に何かできることはあるだろうか?
A: ニュースに注意することだ。この脆弱性を介した攻撃が起きた場合には、我々は皆さんに、防御のためのより具体的なインストラクションを提示することができるだろう。「News from the Lab」ブログおよび我々のTwitterフィードに注目していて欲しい。

「JailbreakMe 2.0」がPDFエクスプロイトを使用

  「jailbreakme.com」で入手できるiOSドライブバイ・ジェイルブレイク(昨日の記事を参照)は、PDFエクスプロイトを使用している。ハードウェア/ファームウェアの様々なコンビネーションに対する20のPDFファイルが、同サイトのルートからサブディレクトリに置かれている。

JailbreakMe 2.0 PDF Directory

  以下は、コードのスナップショットだ。

JailbreakMe 2.0 PDF Code

  Charlie Millerが、Twitterで以下の発言をしている

  「jailbreakme.comエクスプロイトについて把握し始めた。非常に素晴らしい仕事だ。これがAppleのセキュリティアーキテクチャをいかに無効にするかを考えると恐ろしい。」

  我々がテストしたところ、同PDFファイルはWindowsプラットフォーム上でAdobe ReaderとFoxitの双方をクラッシュさせる。これらは「Exploit:W32/Pidief」の亜種であると検出された。これらのファイルは、悪意をもって使用されてはいないが、エクスプロイトはエクスプロイトであり、我々はこれらを検出に追加する。

  iPhone上には、デフォルトでは独立したPDFビューワが無いことに注意しよう。その代わり、PDFの閲覧は、Safariブラウザに組み込まれている。攻撃はPDFファイル内に置かれた破損したフォントを使用して、Compact Font Format(CFF)ハンドラをクラッシュさせる。

  (iOS CoreGraphics/PDF関連の脆弱性で、パッチを当てられたものがこれまでに4種ある。)

VirusTotal Report, Exploit:W32/Pidief

  「VirusTotal」でSHA1および他の情報が得られる。

  iPhoneのジェイルブレイクが合法とされた現在、Apple Storeでそうするのはあまり良いことではないというのは面白い事だ。

追記:8月3日にリリースされた「Foxit Reader 4.1」は、「特定のPDFを開いた際にクラッシュする問題」をフィックスしている。

  「JailbreakMe」は、iOSの2つの脆弱性を利用している。PDFサポートの欠陥はコードの実行を招き、カーネルにあるもう一つの脆弱性は、権限のエスカレーションを招き、サンドボックスから逸脱することになる。VUPEN Securityが、詳細な脆弱性レポートを掲載している。

LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

Windows 2000 終了のお知らせ

日本時間の2010年7月14日、Windows 2000のサポートが終了しました。これからはWindows 2000に脆弱性が見つかっても修正パッチはリリースされないことになります。永遠のゼロデイ*ですね。

「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な状態にさらされます。」
と書こうとしていたところ、Windows シェルの脆弱性が公開されました。
注意すべきは、脆弱性情報にWindows 2000のことが記載されなくなっている点です。Windows シェルの脆弱性ではWindows 2000も影響を受けるのですが、影響を受けるソフトウェアの欄には記載されていません。

今後もWindows 2000を使い続ける限りは、脆弱性が発見されるたびに情報収集や検証を行う必要が出てきます。

また、以前から調査しているのですが、Windows 2000のゼロデイは他にも存在しています。デモ動画を作成しましたのでご覧ください。実際に攻撃コードを作成し、CANVASという攻撃用フレームワークを使って、攻撃対象であるWindows 2000 Serverの制御を奪っています。



他にも、Windows 2000はいろいろと仕様的に脆弱な部分があります。そのあたりの話をご紹介するセミナーを企画しましたので、Windows 2000を捨てきれていないシステム管理者の方はぜひお越し下さい。
セミナーの内容はこちらです。
http://www.fourteenforty.jp/seminar/


-----------------------------------
*ゼロデイ:修正パッチが提供されてから悪用されるまでの日数がゼロ日、つまり修正パッチが提供される前の脆弱性のこと

ついに標的に狙われたSCADAシステム

  先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要なことは、このエクスプロイットがSCADAシステムのWindows上で動くマネジメントアプリケーションをターゲットにしている点です。F-SecureのSean Sullivanのポスト  「スパイ攻撃がLNKショートカットファイルを使用」「LNKエクスプロイトに関するその後の分析」 でもこれについて少し触れられています。

  SCADAとは、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことですが、これらは工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。

  私は6年ほど前に重要インフラ保護関連の調査のため、サンディア研究所などアメリカ数カ所でヒアリングのために回ったことがありますが、SCADAのセキュリティはその時すでに重要な課題になっていました。その時期アメリカでは東海岸での大規模停電を経験した直後だったため、そこから検討して電力グリッドなどに使われるSCADAシステムが攻撃された場合にも大規模な電力障害が起きうると想定されていました。

  Robert McMillanによるNewYork Timesに掲載された記事 「New Virus Targets Industrial Secrets」 では、この点についてさらに掘り下げていますが、今回のLNKファイル・エクスプロイットでは、Siemens社のSCADAマネジメント・ソフトウェアの「Simatic WinCC」のみが狙われる仕組みである事が判明しているそうです。このエクスプロイットはUSBデバイスに潜み、WindowsOSのPCに挿し込まれるとまずスキャンを開始、他のUSBデバイスを探して自身をコピーしようとするか、またはSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。そのためSiemens社は先週金曜にはすでに顧客に対してアラートを出しているそうです。

  NYTimes記事中で、Mississippi州立大学の研究者Wesley McGrewによると、このエクスプロイット作成者がもしもっと広範囲な悪用を狙うなら、もっと普及しているSCADAマネジメント・システムのWonderwareやRSLogixを試しただろうと発言しています。今回のエクスプロイットは、SCADAを乗っ取って人質にし身代金要求するためかもしれない、という観測もあります。

  SCADAのコンピューターは、未だに1980年代の8bitや16bitのCPUのOSなど搭載しないコンピューターの世界と近いものがあり、最近流行のArduino程度の性能かそれ以下のものも多いでしょう。また使用される場所も人里離れた山奥などもあり、一度設置されると何年あるいは何十年も壊れない限り使われる可能性がありますから、ソフトウェアのアップデートも行われないで放置され得ます。またパスワードなども変更される前提になっていないことから、デバイスにハードコードされている場合もあります。

  しかし、1990年代にはSCADAの世界にもネットワーク化の波が押し寄せたために、階上階を重ねるようにTCP/IPが追加されてきました。そのため、メーカーによってはPCの世界では考えられないようなインプリメントをした場合があったようで、以前アメリカで聞いた話でも、TCP/IPのポート番号を直接制御コマンドに割り当てられたSCADAが使われた工業用ロボットがあり、セキュリティ・テストのためにポートスキャンをかけただけで、いきなりトンデモない動作を始めた例があったそうです。

  また、低速CPUでRAMも限定量しか搭載されていないコンピューターでありOSすら走っていないとしたら、ファイアーウォールやフィルタリングなどのベーシックなセキュリティ機能が入る余裕もないといえます。TCP/IP通信もむき出しのパケットが流れているため、アメリカ商務省下の国立標準技術局(NIST)ではSCADAモジュールにアドオンするためのAES暗号通信モジュールを研究していました。

  従来から、サイバー戦やサイバーテロリズムの危惧からSCADAのセキュリティについて指摘が出されて来ていましたが、今回明らかにSCADAをターゲットにしたエクスプロイットが登場したことで、現実の問題として認識する必要があります。今回の問題を指摘したのがベラルーシのアンチウィルス企業だったことは、地理的な要素から見たら偶然ではないでしょう。重要インフラのSCADAに対する攻撃が成功した場合は、国としてのインフラ機能を奪うことができます。日本でもSCADAは各方面で使われています。輸入品よりは日本の電機メーカーのものが多く使用されていると云われていますが、将来に備えて警戒が必要な分野と言えると思います。

Windows Shellのゼロデイ脆弱性

  Microsoftが「セキュリティ アドバイザリ(2286198)」をリリースし、現在Stuxnetルートキットにより悪用されているLNKショートカット(Windows Shell)脆弱性に関する詳細を提供している。

  このニュースは良く無いものだ。

  Windows Shell脆弱性はUSBデバイスのほか、WindowsファイルシェアおよびWebDavを通じても悪用される可能性がある。

  Windowsの全バージョンが影響を受ける:

Microsoft Advisory 2286198

  脆弱なバージョンには、最近のサポート終了によりアドバイザリにリストされていないWindows XP Service Pack 2も含まれる。

  SP2用のパッチが無いならば、ユーザは提案されている回避方法を実行する必要があるだろう:

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  詳細はMicrosoftのセキュリティ アドバイザリを参照して欲しい。

F-Secure PC Booster ベータ

  エフセキュアのベータ・ページで、新製品のベータ版がダウンロード可能になった。

F-Secure PC Booster

  「F-Secure PC Booster」は、Windows PCのパフォーマンスを最適化し、古い不要ファイルなどをクリーンアップする。

  ぜひお試し頂きたい! 新製品に関する皆さんのフィードバックを頂ければ幸いだ。

署名されているのだからクリーン、でしょう?

  ラボのJarno Niemeläが、(Microsoft Authenticodeで)署名された悪意あるWindowsバイナリの研究を行った。

  結局我々は、署名された何万ものマルウェア・サンプルのコピーを入手した。

  マルウェア・オーサーたちは、自分達の利益になるようコード署名技術を利用しようとしている。

signed

  この驚くべき発見の詳細は、Jarnoのプレゼンテーション・ファイルで紹介されている。こちらからダウンロードできる(PDF)。これは、2010年5月に開催された「CARO 2010 Technical Workshop」で初めて紹介されたものだ。

アングラでも人気のTwitter

Twitterやfacebookを介しての攻撃が話題になっています。
先日、BitDefender社からの報告にあった「TwitterNet Builder」が記憶に新しいですが、Twitterやfacebookなどはボット作成者達の中でも話題のサービスのようです。

KORRUPTZNET

何故、アンダーグラウンドでも話題かと言いますと、やはりモバイル端末からもアクセスが可能だからではないでしょうか。
TwitterNet Builder も、「どこからでもDDoSerをコントロールできるよ!」的なタイトルで配布されていました。

iPad / iPhone の世界的ヒットにより、この ”どこからでも” は、現実味を帯びてきた感があります。もしかしたら、今後の攻撃トレンドになるかもしれません。
Twitterの他には、FacebookやYoutubeを悪用したボットやワームが報告されています。複合タイプもリリースされていますので、ますます今後の動向から目が離せません。(動作未確認)

youtube_bot

ちなみに、これらのボットのC&Cは、現在のところ殆どWindows環境で動作するものです。
”どこからでも” を実現しようとすると、iPhone / iPad アプリ版とか出てくるのが必然のように思うのは私だけでしょうか(笑)




リバースエンジニアリング本

オライリージャパン宮川様より「リバースエンジニアリング――Python によるバイナリ解析技法」を献本いただきました。本書はGray Hat Python(Justin Seitz著)の日本語版で、DebuggerやFuzzerなどの基本原理や構築方法がPythonのサンプルコードとともに解説されています。技術監修はラック社の中津留さんです。
本ブログの読者の方々、特にリバースエンジニアリングに少しでも興味のある方は、まさに本書の対象読者でしょう。以下目次です。いかがでしょう?ちょっと読みたくなってきませんか?

1章 開発環境のセットアップ
2章 デバッガの基本原理
3章 Windowsデバッガの構築
4章 PyDbg―ピュアPythonのWindowsデバッガ
5章 Immunity Debugger―両方の世界をまたにかけ
6章 フック
7章 DLLインジェクションとコードインジェクション
8章 ファジング
9章 Sulley
10章 Windowsドライバのファジング
11章 IDAPython―IDA Proでのスクリプティング
12章 PyEmu―スクリプティング対応のエミュレータ

本書は/ART/OF/REVERSINGシリーズ3部作の第一弾で、第二弾は来月2日発売予定の「デコンパイリングJava――逆解析技術とコードの難読化」です。そして第三弾は今秋発売予定の新井悠、岩村誠、川古谷裕平、青木一史、星澤裕二による「アナライジング・マルウェア――フリーツールを使った感染事案対処(仮)」です。そうです、筆者も執筆陣に加えていただいております。というわけで、ただ今鋭意執筆中。

「Windows XP SP2」を使用していますか?

  7月13日まで、ちょうどあと8週間だ。この日はMicrosoftが「Windows XP Service Pack 2」のセキュリティ・サポートの終了を予定している。

  我々のサービス・プロバイダ・パートナーの統計によれば、エフセキュアの一般ユーザのうち、Windows XP SP2を使用しているのは9から10パーセントにすぎない。しかし、企業や非営利団体、学校などはどうだろう? 皆さんの雇用者がSP2を使用しているかどうか教えて頂きたい。

  皆さんの組織は、主要OSとしてまだ「Windows XP SP2」を使用していますか?




ジャーナリストをエサとして使用する標的型攻撃

  我々は世界中の多くのジャーナリストの名前、詳細、連絡先を含む、新たな悪意あるXLSファイルを発見した:

Journalists targeted

  このファイルは、明らかに標的型攻撃をローンチする目的で、不特定の人々にメールで送信された。攻撃ファイルに記載されているジャーナリストの関連性は分かっていない。

  ファイル(md5 hash: 46d0edc0a11ed88c0a39bc2118b3c4e071413a4b)を開くと、Excelの脆弱性が悪用される。この脆弱性は、ハードディスクにいくつかの新しい実行ファイルをドロップし、それらをローンチする埋め込みコードを実行する。実行ファイルには以下の物がある:

   \windows\system32\Setup\fxjssocm.exe
   \windows\system32\spoolsv.exe
   \windows\system32\Setup\setjupry.exe
   \windows\system32\Setup\msxm32.dll

  これらの実行ファイルは、攻撃者に標的のコンピュータ上にあるデータへの、完全なアクセスを与えるバックドアを含んでいる。

  我々は悪意あるXLSと、これがドロップするコンポーネントを「Exploit:W32/Xdropper.BR」および「Trojan-Dropper:W32/Agent.DJGD」として検出している。

それほど大きくないKHOBEのインパクト

  Matousecのリサーチャーが、いくつかのインターネット・セキュリティ製品に影響を及ぼす新たな脆弱性を発表した。メディアでも報道されている。The Registerの記事「ほとんど全てのAVプロテクションを回避する新しい攻撃」を参照して欲しい。

  これは深刻な問題であり、Matousecの技術的な調査結果は正しい。しかし、この攻撃が全てのアンチ・ウイルス・システムを、永遠に「壊す」というわけではない。全く違う。

  まず第一に、我々のアンチウイルスが検出するマルウェアは、これまで通りブロックされる。

  よってこの問題は、我々がシグネチャ検出を有していない、新たな未知のマルウェアに影響を及ぼすのみだ。

  このような未知のマルウェアからエフセキュアのユーザを保護するため、我々はセンサにいくつかのレイヤと、ジェネリックな検出エンジンを有している。Matousecの発見は、これらセンサのごく一部を回避するだけだ。

  我々は、たとえ悪意あるコードがMatousecの技術を使おうとしても、エフセキュアのマルチ・レイヤ・アプローチは十分なプロテクション・レベルを提供すると考えている。

  そしてもし、我々がこのような攻撃に遭遇したとしても、我々はそのためのシグネチャ検出を追加し、ただちに防御を行う。今のところ、この技術を使用した攻撃は発見されていない。

  要するに、我々は多重防御を信頼しているのだ。

Microsoftが「MS10-025」を取り下げ

  Microsoftがこのほど、「MS10-025」セキュリティ・アップデートを取り下げたことを発表した。同アップデートが、フィックスしようとしていた問題に、十分に対処できていなかったことが原因だという。

  同アップデートおよびその後の取り下げが影響を与えるのは、オプションの「Windows Media Service」がインストールされたWindows 2000サーバのみだ。

  パッチの再公開は、来週中に予定されている。再公開されるまで、エフセキュアの脆弱性データベースから、同脆弱性用のシグネチャを取り下げる。

  さしあたり、「MS10-025」に記載されている軽減と回避方法については、現在も有効であると思われる。


- - - - -

2010年4月28日追記:「MS10-025 Security Update」が再リリースされた。デフォルトでないWindows Media ServicesをインストールしているWindows 2000サーバのユーザは、この最新アップデートをインストールすることをお勧めする。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード