エフセキュアブログ

windows を含む記事

ビデオ - 「Windows Activation」Ransom Trojan

  我々は先頃、以下のプロンプトを出すRansom Trojanに遭遇した:

「Windowsライセンスをロックした!」

ransom_Trojan.Generic.KDV.153863

  このトロイの木馬は、「アクティベーションを完了しなければならない」と主張して、いくつかの電話番号を提供する。

ransom_Trojan.Generic.KDV.153863

  その番号は以下の通り:

  •  002392216368
  •  002392216469
  •  004525970180
  •  00261221000181
  •  00261221000183
  •  00881935211841

  同トロイの木馬は、通話は「無料である」と主張するが、実際はそうではない。そしてトロイの木馬の作者はShort Stoppingとして知られるテクニックにより、その通話から利益を得る。

  3分ほど後、電話をかけた人に「1351236」というアンロックコードを与えられる。

  電話がかけられるたび、与えられるコードは同一のようだ。

  これはかなり賢い、ちょっとしたソーシャルエンジニアリングであり、犠牲者の中には自分たちが詐欺にあったと気付かないケースもある。

  以下はラボのYouTubeチャネルでのビデオデモンストレーションで、他のRansom Trojanに関するディスカッションも含まれている。



  ビデオ内で言及されているGPcodeスクリーンショットは、ここここで見ることができる。

  我々はこのトロイの木馬(md5: 9a6f87b4be79d0090944c198a68012b6)を「Trojan.Generic.KDV.153863」として検出している。

  ランサムナンバーに我々がかけた通話の完全な録音はここにある(MP3、4分)。

自身をブロックするウイルス

  「Virus:W32/Ramnit」は、2010年に感染が確認されており、多くのマルウェアアナリスト/リサーチャーによく知られている。

  この興味深いウイルスのテクニカルな詳細については、他のマルウェアリサーチャーたちがブログに記事を書いている(たとえばここここにある)。しかし若干の注目すべき技術と、そして「イースターエッグ」が、発見されるのを待っている。

  その興味深い技術の一つは、「Ramnit」が使用するインジェクションメソッドだ。従来の方法とは異なり、ウイルスが停止したスレッドを作成し、メモリ書き込みWindows API機能を使用し、コードの注入を行い、インジェクション完了後、停止したスレッドを再開する。

  このケースで、「Ramnit」を独特の物にしているのは、デフォルトのWebブラウザプロセス、もしくは「svchost.exe」として知られるGeneric Host Process for Win32 Servicesという新しいプロセスを生み出すのに、これがWindows API機能をコールすることだ。この新たに生み出されたプロセスにインジェクトすることで、コードはユーザに不可視となり、ファイアウォールをバイパスすることができる。

  しかし、それ以前に、「Ramnit」は「Ntdll!ZwWriteVirtualMemory」と呼ばれる、マニュアルに記載されていないWindowsネイティブシステムサービスに、インラインフックをインストールする。以下の画像は、このインジェクションの仕組みを示したものだ:

ramnit infection

  フックされたWindowsネイティブシステムサービスは、コードインジェクションルーチンを実行するため、コード実行フローをコーラプロセスに定められたモジュールにリダイレクトする。新しいプロセスでインジェクトされたコードは、バックドアおよびダウンローダ機能のほか、ファイル感染力(Windows実行ファイルとHTMLファイル)を含んでいる。

  「Ramnit」でもう一つ注目すべき点は、上記のプロセスにインジェクトされるDLL内に見られる「イースターエッグ」だ。以下に挙げた同コードのスナップショットが、すべてを説明するだろう:

antidot

  基本的にこのイースターエッグは、レジストリキーにナビゲートし、「WASAntidot」を探す:

antidot

  我々がテストマシンで「WASAntidot」レジストリキーを作成しようとすると、以下のような画面を見ることになった:

antidot activate

  ほら! マシンは「Ramnit」の感染から安全だ!

Threat Solutions post by — Wayne

確認済み:Samsungはキーロガーを搭載していない

  我々は前回の記事で書いたことを確認した。すなわち「Samsungはラップトップにキーロガーを搭載していない。」

  この件は、VIPRE Antivirus製品の誤警報により引き起こされた。どうやらVIPREは、Windowsディレクトリのルートに「SL」というディレクトリが存在するのをサーチしたことにより、StarLoggerキーロガーを検出したようだ。これはまずい考えだ。

  たとえば、以下は空の「SL」フォルダが作製された後、完全にクリーンなWindowsコンピュータでVIPREがアラートを出していることを示すスクリーンショットだ:

VIPRE

  Samsungのラップトップは実際、デフォルトで「C:\WINDOWS\SL」というフォルダを持っているため、VIPREは似たような警告でアラートを出すのだろう。

  残念なことに、最初の分析を行ったMohamed Hassan(CISSP)は、自分の調査結果をダブルチェックせずにSamsungを非難してしまった。彼は全く「SL」フォルダのコンテンツをチェックしなかったのだろう。

  Samsungは無実だ。

  調査を手伝ってくれたTwitter仲間の@the_pc_doc@SecurityLabsGR@paulmuttonに感謝する!

追記:Alex Eckelberryが、VIPREが何故誤警報を出したかについて、さらに詳しく説明するブログ記事を掲載している。








不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






「F-Secure Mac Protection」ベータの問題

Mac beta

  Mac OS Xソフトウェアのベータ版「F-Secure Mac Protection」が昨夜、重大な誤警報を発した。

  データベースアップデート「2011-03-14_03」が、「Exploit:W32/NeosploitPDF.gen!A」「Exploit:JS/Brooks.gen!A」という検出名により、クリーンなファイルでいくつかの誤警報を引き起こした。問題のあるアップデートは2時間後に除去された。同アップデートを受けとったベータユーザは、クリーンなファイルがいくつか、ゴミ箱に移動されたのを目撃している。

  この問題は、Mac OS X ベータ版(テクノロジプレビュー)のユーザに影響を与えたのみだ。エフセキュアのWindowsおよびLinux製品には、どんな形であれ影響は無かった。

  我々はただちに、ファイルをゴミ箱から元の場所に戻すスクリプトをリリースする予定だ。もしこの問題の影響を受けたのなら、それまではゴミ箱を空にしないで頂きたい。ディスカッションについては、我々のフォーラムを参照して欲しい。

  明らかにこれは好ましいことではない。我々のこのエラーにより影響を受けた方々に、お詫び申しあげたい。

追記:我々はファイルを元の場所に戻すツールをリリースした。同ツールはここからダウンロードできる。

新たなPjapps亜種

  先頃、悪意あるルーチンでリパッケージされたAndroid用Steamy Windowsアプリケーションの中国語版が発見された。(Symantecが良い記事を掲載している。)

  新たな亜種を既に作成しているところを見ると、このマルウェアの作者(たち)は、このアプリケーションを好んでいるようだ。これは「Trojan:Android/Pjapps.B」として検出されている。

  同亜種をざっと見たところ、SMSの送信、アプリケーションのインストール、ブックマークの追加、C&Cサーバからのコマンドの受け取りなど、悪意ある機能はほぼ変わっていない。

  以下に、「Trojan:Android/Pjapps.A」と「Trojan:Android/Pjapps.B」を比較したスクリーンショットを何枚か挙げる:

Trojan:Android/Pjapps.A

pjapps_a_installation (154k image)

Trojan:Android/Pjapps.B

pjapps_b_installation (143k image)

  そして以下が両亜種のコードの一部だが、明らかに「Pjapps.A」(左)がオリジナルバージョンであり、「Pjapps.B」(右)が「バージョン2」であることが分かる:

pjapps_info (158k image)

  おそらく、最も分かりやすい変更は、新バージョンが「自動的にブートでスタートする」ということだろう。

  これは我々が見たAndroidアプリケーションの中で、初めてトロイの木馬化されたものではない(Trojan:Android/Adrd.A)。しかし、Androidマルウェアが増加していること、そしてたぶん、それほど驚くべき事ではないのだろうが、その中心は中国であるらしいという、もう一つの兆候ではある。

  我々のAndroid製品は、最新のデータベースアップデートにより、これら二つの亜種を検出している。


- 分析はZimryによる。

我々の知る限りSamsungラップトップにキーロガーは無い

  「Network World」が、Samsung Electronicsがデフォルトで、ラップトップにWindowsキーロガーをインストールしているとする記事を発表した。Samsungのサポートまでが、「マシンのパフォーマンスをモニターし、どのように使用されているかを見る」ため、商用のStarLoggerキーロガーがデフォルトでインストールされていると言って、これを認めたようだったため、騒動が巻き起こった。

  こういうことは、少々信じがたい。「エフセキュア アンチウイルス」はStarLoggerを(「Trojan.Generic.5223315」として)検出している。他の多くのアンチウイルスベンダも同様だ。我々はStarLoggerの報告のピークは見ていない。

  これらの主張を否定する声明が「samsungtomorrow.com」に掲載されている。しかし、このサイトは公式なSamsungサイトではないようだ。

  では、どうするべきか? 我々は地元のITストアに行き、何台かのSamsungラップトップをチェックしてみた。

Samsung Laptops

  いや、我々はテストしたラップトップから、StarLoggerも、他のいかなるキーロガーも発見できなかった。それにはSamsungの「R540」「RF710」「QX310」「SF510」「X125」および「NF310」が含まれる。これらのモデルはみな、異なるバージョンのWindows 7を搭載していた。リストに「Samsung R540」が含まれていることに注意して欲しい。これは「Network World」の記事で指摘されていたラップトップモデルの一つだ。

  要約すれば、そうでないと証明されるまで、我々はSamsungがデフォルトでラップトップにキーロガーをインストールしてきたという話は信じない。

  「Verkkokauppa.com」のEero Järvilehtoの助力に感謝する。

P.S. 今回のケースとSonyルートキットのケースとの類似点を感じる人もいるかもしれない。しかし、Sony BMGは有罪だったが、Samsungは無罪だと我々は確信している。

追記:Samsungが無実であることが確認された。我々のアップデート記事はここにある。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

あまりにも誇張されている「AutoRun」終焉のニュース

  先週、私はWindows XPテストマシンの一台に、Microsoft Updatesを適用し、「AutoPlayダイアログのAutoRunエントリを、CDおよびDVDドライブのみに」制限するオプショナルアップデートに注目した。

Update for Windows XP (KB971029)

  上の画像から、このアップデートがオプショナルであることが分かるだろう。

  だが、同アップデートに関するMicrosoftのブログ記事は、これを「重要な非セキュリティアップデート」と呼んでいる。

  重要なアップデートは、Microsoft Updatesにより自動的に適用される。

  その結果、多くの歓喜が起こり、AutoRunは終焉を迎えたと宣言された

  しかし、ちょっと待って欲しい!

  Larry Seltzerの(Microsoftの声明に基づいた)技術的に正確なAutoRun削除に関する記事に、Microsoftからの訂正を含むもう一つの記事が続いた。

  「Autorunの機能性の変化は、当面、Windows XP用のオプショナルとされる。OptionalおよびImportantアップデートの両方をインストールするよう自動アップデートをセットしているユーザは、すでに同アップデートを獲得し始めた。我々はこれから数週間のうちに、Importantにリセットする予定で、それによりAutomatic Updateを使用している残りのXPユーザ層に到達が可能になる。」

  「Microsoftは、これはミスコミュニケーションであり、間違いではないと語っている。」

  したがって、AutoRunは生き続けており、MicrosoftがWindows XPに対し、同アップデートをOptionalからImportantに変更しても、アップデートKB971029は非光学式メディア機能を制限するのみだ。

  だから…AutoRunを制限するには、手動でMicrosoft Updatesを動作させる必要がある。AutoRunを完全に終わらせるには、ここをクリックし、「fix it for me」オプションを使用して欲しい。

では。
ショーン

Nokia Windows Phoneとセキュリティ

Nokia, Windows Phone 7  Nokiaは今日、将来のスマートフォン用主要オペレーティングシステムとして、Windows Phoneを採用すると発表した

  世界最大の携帯電話メーカによるものであることを考えると、歴史的発表だ。

  大多数のPCマルウェアはWindows向けに書かれているが、「Windows Phone 7」は全く異なる状況だ。

  「Windows Phone 7」のセキュリティモデルは、Windows XP/Vista/7等とは全く異なり、Application Certification、Isolated Storage、Application Isolationといった機能を含んでいる。たとえば、サードパーティのアプリケーションは、セキュリティの問題から、バックグラウンドで動作することはできない。

  「Windows Phone 7」および「XBOX」は、ユーザがアプリケーションを動作させる以前に、Microsoftにより事前に承認されなければならない唯一のMicrosoftプラットフォームだ。

  その結果、我々はNokiaの参入により、何らかの主要なモバイルマルウェアが発生するとは考えていない。





 

USBオートランを制限する:Windows用アップデート(KB971029)

  Microsoftによる昨日のオプショナルソフトウェアアップデートには、Windows XP/Vista/non-Windows 7用のアップデート(KB971029)が含まれている。

KB971029

  これは「AutoPlayダイアログでのAutoRunエントリを、CDおよびDVDドライブのみに」制限する「重要な非セキュリティアップデート」だ。

  素晴らしい。これはAutoRunワーム抑制するのに実際役立つだろう。もし古いWindowsコンピュータを使用しているなら、このオプショナルアップデートを適用することを強くお勧めする。

  「update.microsoft.com」にアクセスし、「Custom」アップデートを選択する必要がある。

Express and Custom

  そして「Software, Optional」カテゴリで「KB971029」を見つけることができる。

Optional software updates

  このアップデートは、AutoPlayダイアログでUSB AutoRun機能を制限する。さらなる処置をとりたいなら、AutoPlayを完全に無効にすることだ。ここおよびここで、このトピックに関する記事をご覧頂きたい。

Safer Internet (Update) Day

  2月8日は、子供たちにとってインターネットをより良い場所にすることを目指す日、「Safer Internet Day」だ。あなたのお子さんがオンラインになる前に、彼らのコンピュータがセキュアなソフトウェアで最新の状態になっていることを確認したい。今月は、インストールすべきアップデートやパッチが数多く登場している。

  Microsoftの「セキュリティ情報」には、全バージョンに影響を与える「Internet Explorer」用のアップデートが含まれている。

Microsoft Security Bulletin February 2011

  最も影響の少ないOSは「Windows XP Service Pack 3」であることに注意したい。「Service Pack 2」は昨年、アップデートサイクルから外れたからだ。子供たちはしばしば、「お下がりの」コンピュータを与えられる。子供に古いハードウェアを与える前に、現在のサービスパッックがインストールされていることを確認しよう。代用のブラザも考慮すべきだ。

  とはいえ、他の選択肢もまた、不安要因が無いわけではない。

  Googleは最近、「Chrome」をバージョン9.0.597.84に修正した。

  もう一つのポピュラーな選択肢であるVLCメディアプレーヤには、悪意ある攻撃者が任意のコード実行を誘発する事が可能になる、無効なMKVファイルをパースする際の欠陥がある。VLCメディアプレーヤー1.1.7はこの問題に対処しているので、アップデートするか、信頼できないダウンロード(そしてVLCプラグインをインストールしているなら信頼できないサイト)を避けることだ。

  Adobeも今日、Adobe ReaderおよびAcrobat用のアップデートをリリースしている。影響を受けるバージョンは、WindowsおよびMacintosh用のAdobe Reader X (10.0) およびそれ以前のバージョンだ。

追憶の2010年と2011年の展望 (エフセキュアブログ新春特別レポート その2)

先週エフセキュアブログで発表致しました、「エフセキュアブログ新春特別企画 追憶の2010年と2011年の展望 (ダイジェスト版) 」に加え、各専門家のみなさまからお寄せ頂きましたコメントをご案内いたします。

このレポートは、エフセキュアブログに参画する、各ジャンルのセキュリティエキスパート8名に対して年末から年始にかけて「2010年一番印象に残ったセキュリティに関する出来事」「2011年に一番注目していること」他をアンケートによりお聞きしたものです。

エフセキュアブログは、2011年も引き続き、ジャンルと企業の枠を超える有益な情報発信を目指して参りますので、今後とも何卒よろしくお願いします。

エフセキュアブログ管理人
尾崎 リサ拝

---------------------------------------------

高間 剛典
メタ・アソシエイツ代表

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnet
Stuxnetマルウェアは、工場やインフラなどの制御システムに使われる特定メーカーのSCADA装置を狙って作られ、イランの核施設というピンポイントなターゲットの装置を誤動作させるために設計された仕様を持っていた点が、今までのPCマルウェアとはかなり違っていました。以前2004年ころに重要インフラ保護に関する調査でアメリカを回った時に、既にSCADAの持つ脆弱性と脅威は重要インフラ企業の業界団体や政府機関では認識されていたのを見てきましたが、これでその脅威が現実化することが完全に証明されてしまいました。

Stuxnetの場合は、特にイランの核施設を狙ったことから中東を主とした国際状勢に絡んだ特殊工作の可能性が高いことは、今までのPCマルウェアでは見られなかった事情です。特にイランで核施設でStuxnet駆除に従事していた科学者の1人が暗殺され、イスラエルの特殊部隊モサドによる仕業と名指しする記事も出ました。

Mossad: was this the chief's last hit?(The Telegraph)
http://www.telegraph.co.uk/news/worldnews/middleeast/israel/8182126/Mossad-was-this-the-chiefs-last-hit.html

その意味でもStuxnetは、「マルウェアを敵対国のインフラへダメージを与えるための武器として利用する」というコンセプトも実証したことになり、これは今後の紛争国間でのマルウェア利用のモデルケースとなってしまうでしょう。

Stuxnetの場合では、未発見のゼロデイ脆弱性が多数使われるなど、高度な開発力と資金力が裏側にあることが伺われましたが、仮に今後もしも、今はまだフィッシングやボットネットに使われるマルウェアを開発している犯罪組織が、このような政治的目的の攻撃的マルウェア開発も請け負うブラックマーケットへと展開して来た場合、技術力の未発達な国家であっても資金さえあればマルウェアを入手できる可能性があります。もしそうなった場合の一般への巻き添え被害は想像できない規模になるかもしれません。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ATMスキマーはどのように設置されるか?
2010年3月10日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

日本にいると銀行ATMに何か仕掛けられるなどとは考え難いですが、国外では当たり前のように起こっていて、犯罪者もATM機器の一部に見えるようなプラスチック部品を量産したりと段々高度になっています。また、日本の銀行ATM機材はレガシーシステムの流れを未だに引いているため銀行毎に独自の仕様機材が多かったりしますが、海外ではWindows XP EmbeddedなどのOSが使われた汎用的なATM機器が違った銀行でも使われていて、ATMを狙うマルウェアも出て来ている話題があります。いわば、日本はガラパゴス状態に守られている訳で、その状況に慣れたままでいるのは危険です。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

AndroidなどスマートフォンOSが使われたポータブル機器のセキュリティとプライバシー情報保護
リアルな生活場面とネット上の生活場面をつなぐ機器としてスマートフォンやタブレットを始めとするポータブル機器の普及が爆発的に拡大することが予想され、同時にこれらに使われているOSやアプリケーション/サービスを狙った犯罪が増加することが推測されます。

物理的世界を制御するシステムとネットワーク化されたPCコントローラーの組み合わせから起きるセキュリティ問題 … Stuxnetがモデルケースとなってしまった事から、今後この組み合わせが国際状勢や軍事状勢の影響を大きく受ける可能性があります。

---------------------------------------------

岩井 博樹
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
独シーメンスのPLCを狙う、複数の0dayを悪用するなど、技術面から考えても面白い。また、背景的にも軍事的な要素が見え隠れするあたりも注目。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
間違いだらけのGumblar対策
2010年01月12日 by株式会社サイバーディフェンス研究所 福森 大喜

アカウント管理の重要性が再認識された、というより、こんなに酷かったんだという印象を受けました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

某国などからの特定企業への攻撃が加速化しており、その被害は深刻化している。日本企業も例外ではなく、その被害の動向が気になります。

---------------------------------------------

片山 昌憲
エキサイト株式会社 戦略ビジネス室 室長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

中国の漁船問題によって攻撃を受けた日本のウェブサイト
ウェブサイトには国境が無いので、他国との国際問題が間接的にウェブサイトのセキュリティ問題に発展する可能性があります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
スパムギビングデイ
2010年11月26日 by エフセキュア・コーポレーション ショーン・サリバン

今まではメールを使ったスパムが一般的だしたが、世界最大規模のウェブサイトであるFacebookを利用したスパム行為はリーチが広く効率的です。日本人はまだまだ国産SNSを利用しているユーザーが多く、Facebookアカウントを持つ日本人が増えると日本人向けの同様のスパムが発生する可能性があります。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

スマートフォン
スマートフォンは昨年に引き続き、今年も注目が集まるデバイスだと思われます。スマートフォン向けのセキュリティ製品がもうすでに出回っていますが、今後は個人の携帯の中身を狙った犯罪が増えるのではないかと考えています。

---------------------------------------------

福森 大喜
株式会社サイバーディフェンス研究所 上級分析官/CDI-CIRTメンバー


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Gumblarが大流行したことです。Gumblarが備える耐解析機能により、多くのアンチウイルスソフト、マルウェア判定サイトでGumblarを検出できない状態になっていました。Gumblarと同じような機能を持ったマルウェアは今も活動を続けていますので、そのようなマルウェアにどう対処するかは今も大きな課題だと思います。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

ブランク・プラスチック
2010年3月19日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

大量のブランククレジットカードの写真が印象的でした。そしてミッコの守備範囲の広さに驚きました。彼は一体どこまで手を出しているのだろうか。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

第二、第三のStuxnetが現れるのかに注目しています。根拠があるわけではありませんが同じようなプロジェクトが水面下で進んでいる可能性は高いのではないかと思います。スマートグリッドのようなインフラ制御システムのセキュリティを見直す時期に来ているのではないでしょうか。

---------------------------------------------

鵜飼 裕司
株式会社フォティーンフォティ技術研究所 代表取締役社長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

2010年は、やはりstuxnet等に代表されるAPT(Advanced Persistent Threat)の関連話題です。近年の外部脅威と「守り方」の基本的な考え方を理解しておかないと、コストばかりかかってしまい、効果的な対策が打てなくなってきています。APTについては、IPAのテクニカルウォッチにて「『新しいタイプの攻撃』に関するレポート」と題した報告書が出ていますので是非ご参照下さい。また、私共研究開発の現場で一番印象的だったのは0-day脆弱性悪用の急増とその攻撃技術の更なる進歩でした。これらは目的遂行のための一つの手段であるため話題としてあまり取り上げられる事はありませんが、攻撃者側のテクノロジーの進歩には大きな危機感を感じています。

「『新しいタイプの攻撃』に関するレポート」
http://www.ipa.go.jp/about/technicalwatch/20101217.html

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
Stuxnetに関する質疑応答
2010年10月1日 by エフセキュア・コーポレーション ミッコ・ヒッポネン

「Stuxnet」再び:質疑応答
2010年11月23日 by エフセキュア・コーポレーション ショーン・サリバン

上記と被りますが、ミッコ・ヒッポネン氏やショーン・サリバン氏の Stuxnet に関連する質疑応答記事です。テクノロジーや攻撃背景等の分析は大いに参考になりましたが、特に攻撃背景については不明点も多く、今後増加するであろうこの種の攻撃に対して社会はどのように対峙すべきなのか改めて考えさせられました。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2011年は、APTに関する話題が更に重要になってくるものと思います。また、私共は研究開発ベンダーですので、まずは「餅屋」として、より厳しさを増してきた攻撃技術に対する守りの技術をしっかり研究開発していきたいと思います。

---------------------------------------------

福本 佳成
楽天株式会社 システムセキュリティグループ マネージャー
Rakuten-CERT Representative


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

iモードIDを用いた「かんたんログイン」の DNS Rebinding 脆弱性(註1)
この脆弱性が報告されたのは2009年の11月ですが、2010年ではこの問題の影響を受けるウェブサイトがいくつか発見されました。もちろん楽天でもこの問題に該当しないか調査を行い、対策を実施したわけですが、これは本質的にはウェブサイトの脆弱性ではありません(註2)。ですが、時には自社の問題でなくてもウェブサイト側で対応をするケースもあるわけです。サービス運営をしている側としては、守らなければならないものがあるわけですから。ちなみに、この問題と同じく、以前、ブラウザ側の脆弱性ですが、ウェブサイト側で被害を受けないよう対応をした事例もありました。こちらについては今年、とうとうブラウザ側の脆弱性として修正されました(註3)。やはり恒久的には脆弱性の原因となっているところで修正されるべきでしょうね。

註1 DNS Rebinding 脆弱性
http://www.hash-c.co.jp/info/20091124.html
註2 本質的にはウェブサイトの問題ではありません
http://bakera.jp/ebi/topic/4054
註3 JVN#62275332 Internet Explorer におけるクロスサイトスクリプティングの脆弱
http://jvn.jp/jp/JVN62275332/


2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

総火演で邪念をふっとばす
2010年8月31日 by エフセキュア株式会社 尾崎 リサ

セキュリティの記事ではないのですが、この記事が印象に残りました。現場でのセキュリティの仕事は日頃のストレスが多いのですが、この記事は爽快な気分を味わえますね。そして現場のセキュリティエンジニアにとっては大変共感を得る内容なのかなと思います。「そして、普段は直接見えないけれど、わたしたちの安全を確保する為に闘い続ける、ITセキュリティの世界も同じかもしれないと思いました。」という尾崎さんのコメントは、まさに仰る通りだと思います。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か
http://www.itmedia.co.jp/news/articles/1012/14/news040.html

昨年このような事例もありましたが、今年も引き続きID theftの被害は拡大しそうです。他のサービスでユーザID、パスワードが大量に漏洩する事件が発生すると、不正ログイン試行も増える傾向があることが観測されています。サービス運営者側はID theftにどう対処してくのか、大きな課題だと思っています。

---------------------------------------------

八木沼 与志勝
エフセキュア株式会社 テクノロジー&サービス部長


■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetの登場
高度なマルウェアという点もありますが、その対象が印象的。産業システムならずとも、日本国内には各分野を支える独自システムがいくつもありますし、狙われたら非常に脆い部分もあります。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?
ソーシャル・スパム Q&A
2010年12月23日 by エフセキュア・コーポレーション ショーン・サリバン


特にこの記事だけというわけではないのですが、ショーンのSNS関連の記事投稿が多かったのもあり代表してこの記事を。SNS、特にスマートフォンによるSNS(特に日本国内)やクラウドシステムの利用をターゲットにした脅威について色々と考えるところがあるので、SNS関連記事が印象に残っています。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

2. に関連しますが、SNSやクラウドサービスとスマートフォン利用環境については注目してます。スマートフォンは位置情報(=行動情報)をリアルタイムに把握できる可能性があります。位置情報/行動情報を使ったオンラインゲームもあるし、人々が油断して使うことができるプラットフォームでもあるので、今後出てくるたくさんのサービスがどういった方向に向かうのか興味をもっています。また、スマートフォン対応のウェブサイトのノウハウもまだ発展途上。スマートフォンのアプリケーション開発への参入障壁が下がったことによる脅威。医療用を初めてとした特定用途のクラウドサービスの規格などの問題。話題先行でユーザがついていけていないため、注目しています。

---------------------------------------------

富安 洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート

■2010レビュー
1. 2010年に一番印象に残ったセキュリティに関する出来事は何ですか?

Stuxnetに関連するあれこれ
マルウェア本体の技術的な内容のみならず、関連する出来事(高間さんの記事: イラン科学者の暗殺事件など)や作者は誰かなどの噂話を含めた話の広がりが印象深かったです。

2. 2010年に一番印象に残ったエフセキュアブログの記事は何ですか?

個人情報の調査はできません
2010年05月07日 by エフセキュア・コーポレーション ショーン・サリバン

あえてStuxnet関連を外して、、、全然技術的な話ではないですが、面白いし良い法律だなぁと思ったので。

■2011プレビュー
3. 2011年に一番注目していること、動向を見守っていることを教えて下さい。

業界動向とかを置いといて、個人的に気になっていることとしては、今年の国会に提出されると言われている「ウイルス作成罪」の法案がどんなものになるのかというところです。もちろん、基本的には必要な法律だとは思いますが、サポートへの検体提供とかで揉めたりするケースが出てくるんじゃないかなぁと若干心配しています。

---------------------------------------------

(敬称略)

2011年初のWindows脆弱性

  新しい年にWindowsの新しい脆弱性が登場した。昨日Microsoftは、「最近発見された」脆弱性の調査を行っていることを認めた。同脆弱性のエクスプロイト・コードは既に入手可能であると報告されている

  セキュリティアドバイザリによれば、この脆弱性はWindows Graphics Rendering Engineを含んでいる。影響のあるWindowsのバージョンは各種XP、Vista、Server 2003およびServer 2008だ。Windows 7は影響を受けない。

  同脆弱性の悪用には、特別に作成されたサムネイル画像(フォルダもしくはプログラム)が必要だ。エクスプロイトが成功すると、攻撃者がそのコンピュータのコントロールをほぼ奪うことになる。

注意;ブービートラップを仕掛けられたサムネイルがサイトにあるか、電子メールで送られてきたかに関わらず、感染にはユーザがアクティブにそのサイトを訪問するか、メール内のリンクをクリックする(あるいは添付ファイルを開く)必要があるため、安全なサーフィンおよびコンピュータ使用に関する標準的な予防策はまだ有効だ。

  影響を受けるバージョンのユーザに対し、アドバイザリはパッチがリリースされるまで、少なくとも「既知の攻撃ベクタをブロックするのを助ける」回避方法を用意している。あるいは、新たな始まりにふさわしい新年ということもあり、Windows 7へのアップグレードを考える良い時期かもしれない。

  定例外のアップデートリリースが出されるようではないので、最短でパッチが入手可能になるのは1月11日の可能性がある。注目していてほしい。

A HAPPY NEW YEAR 2011

新年あけましておめでとうございます!本年も何卒よろしくお願い申し上げます。続きを読む

メリー・クリスマス & ハッピー・セキュリティアドバイザリ 2488013

  パッチを当てていないInternet Explorer 6、7および8の脆弱性が存在する。ドライブバイエクスプロイテーションにより、リモートコードの実行が可能になる。Metasploitは既に、活用可能なモジュールを有していると報告されている。「SANS Diary」に簡潔な記事が掲載されており、MicrosoftのSecurity Response Centerは、さらに詳細を掲載している。

  もしあなたがこの週末にかけて家族と過ごし、誰かがサンタから新しいコンピュータを受けとり、そしてそのコンピュータはデフォルトでIEを使用していないなら、Windows 7のInternet Explorerターンオフオプションを試してみてはいかがだろう?

Turn Windows features on or off

  使用しければ、無駄になってしまう。

  エフセキュアラボは、皆さんが安全で楽しい休日を過ごされることをお祈りしている。

  ここヘルシンキでは、ホワイトクリスマスだ(そして摂氏マイナス21度、華氏マイナス6度と寒い。)

The view from F-Secure's Helsinki headquarters

  Hyvää joulua(メリー・クリスマス)

ChromeOSはカモ用か?

  Googleが先週、ChromeOSオペレーティングシステムのローンチで、「Cr-48」ノートブックを発表した。

  そして今週、否定派たちは時間の無駄だと言っている。

  ChromeOSはユーザにデータをクラウド上に保存することを強いることで、人々を「不注意なコンピューティング」に追いやる計画のように見えると、リチャード・ストールマンは語っている。そして彼は「カモは常に生まれている」ため、多くの人々がこうした方向に進み続けるだろうと推測している。Business Insiderの分析によれば、「Googleが現在示している内容に基づくなら、彼らがChromeノートブックを無料で配らない限りは、使う理由が無い」として、ChromeOSは時間の無駄だという。

  ChromeOSは時間の無駄なのだろうか? 場合による… ChromeOSは、消費者をクラウド・コンピューティングに取り込むことに成功できるかもしれないし、できないかもしれないが、Googleの取り組みから有益な副作用が生じる可能性は確かにあるからだ。

  人々を「クラウド」利用に駆り立てることで、よりセキュアになるような場合はあるだろうか? ある。クラウド、そしてデータが組織に属する場合だ。結局「Cr-48」はGoogleシンクライアント以外の何物でもない。

  そして近頃の、モバイルシンクライアントの価格は?

  以下はHP Windows Embeddedモバイルシンクライアントで、価格は625ドルからだ:

HP 4320t Mobile Thin Client, http://h10010.www1.hp.com/wwpc/us/en/sm/WF05a/321957-321957-64295-3852246-3955551-4174493.html

  やれやれ、これはハードドライブ無しのコンピュータの価格としてはかなり高価だ。

  だが、たとえば病院などの多くの組織はモビリティを必要としているが、データが保存できる(そして紛失する可能性のある)ハードドライブを搭載する危険を犯すことはできず、その結果Windows Embeddedマシンに高い費用をかけるのだ。より安価な選択肢を提供することで、金を稼ぐ余地がある。我々はだれかが、ChromeOSをシンクライアント利用に適合させるのに(そしてHPのwebOSがそれに追随しそうだ)、さほど時間は掛からないと予測している。

  しかし、あなたは自分の組織のデータをGoogleのクラウド上に置きたくないのでは?

  結構。

  CitrixがChromeOSクライアントを開発している。

  Citrixで何ができるのか?

  以下は「Citrix Receiver for iPad」を介したiPad上のWindows 7だ:

Citrix Receiver for iPad, http://itunes.apple.com/us/app/citrix-receiver-for-ipad/id363501921

  素晴らしい。

  シンクライアントソフトウェアを介して、組織のデータに対するセキュアな接続を提供する仮想化技術により、クラウドコンピューティングを活用する個人利用ためのクールなハードウェアだ。データの損失を恐れることなく、仕事や遊びに活用して欲しい。

「Stuxnet」再び:質疑応答

  「Stuxnet」は相変わらずホットな話題だ。以下は「Stuxnet」に関する質疑応答の改訂版だ。

Q:「Stuxnet」とは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLC(プログラマブルロジックコントローラ、すなわち実際に機械を制御するボックス)に送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:PLCの修正により特定の高周波コンバータドライブ(ACドライブ)を探し、そのオペレーションを修正する。

Q:高周波コンバータドライブとは何か?
A:基本的に、モータの速度をコントロールすることができるデバイスだ。「Stuxnet」は、(フィンランドに拠点を置く)Vaconと(イランに拠点を置く)Fararo Payaが製造した特定のACドライブを探す。

Q:それで「Stuxnet」は、VaconやFararo Payaのデイバイスに感染するのか?
A:違う、これらのドライブは感染していない。感染したPLCが、これらのドライブが動作する方法を修正するのだ。この修正は、極めて高い出力周波数などを含む、非常に限定された条件がすべて同時に成立した時にのみ起きる。したがって、影響の可能性は、極めて限られたACドライブアプリケーションエリアに限定される。

Q:それらのアプリケーションエリアは何か? ACドライブは何のために使われるのか?
A:それらは様々な目的で使用される。たとえば効率的な気圧システムなどだ。

Q:他の例は?
A:そう、濃縮遠心分離機にも使用される。

Q:たとえば?
A:遠心分離機が非常な高速で回転するウラン濃縮などだ。そういう理由で、高周波ドライブは軍事的にも民生用にも利用できる高度先端技術テクノロジーとみなされており、IAEA(国際原子力機関)の輸出規制リストに含まれている。

Q:「Stuxnet」コードは遠心分離機により、およそマッハ2で飛行している発射体を崩壊させる可能性があるのか?
A:修正されたことにより、遠心分離機が粗悪なウランを生産するというケースの方が、より可能性があるだろう。その変化は、長期間気づかれない可能性がある。

Q:エフセキュアはVaconと接触しているのか?
A:している。彼らはこの問題を調査しているが、「Stuxnet」がVaconのカスタマのオペレーションに、何らかの問題を起こした例は見いだしていない。

Q:「Stuxnet」の標的は、イランのNatanz濃縮施設だったと示唆する人もいる。Vacon ACドライブは、これらの施設にあるのか?
A:Vaconによれば、Vacanのドライブがイランの核開発計画で使用されているケースは知らないし、禁輸措置に反してイランにACドライブを販売したことは無いと確認できるという。

Q:Fararo Payaとは接触しているのか。
A:していない。

Q:この会社について知っていることは?
A:何も無い。イラン国外では、あまり有名な会社では無いようだ。我々は、同社がイラン国外に、ACドライブのカスタマを持っているという情報は得ていない。

Q:そのことが、標的国がどこなのかを示しているのでは?
A:次の質問を。

Q:巻き添え被害はあり得るのか? 「Stuxnet」は当初の標的ではなかった別のプラントを攻撃することは可能か?
A:それは、当初の標的と非常に類似したプラントである必要があるだろう。

Q:イランのウラン濃縮プラントに似ているプラントを知っているか?
A:同じ設計を共有するプラントを北朝鮮が持っているらしいことが分かっている。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:証明書をどのように盗むのか?
A:おそらくマルウェアが署名ファイルを探し、キーロガーを使用して、タイプされた時にパスフレーズを集めるのだろう。あるいは、押し入り、書名の道具を盗み、パスフレーズを総当たりする。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ…

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ

  •  LNK (MS10-046)
  •  印刷スプーラー (MS10-061)
  •  Serverサービス (MS08-067)
  •  キーボードレイアウトファイルを介した権限昇格(MS10-073
  •  Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種のうち1つは修正された。最後に残っている脆弱性のパブリックエクスプロイトは、11月にリリースされた。

Q:「Stuxnet」の作者は、自身のゼロデイ脆弱性を見付けたのか、あるいはブラックマーケットで購入したのか?
A:分からない。

Q:そのような脆弱性はどのくらい高価なのか?
A:様々だ。Windowsのポピュラーなバージョンで、単一のリモートコード実行を行うゼロデイは5万ドルから50万ドルの間だろう。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:「Stuxnet」を制作するのにどのくらいかかったのか?
A:我々は「Stuxnet」の開発に、10マンイヤー(1人の人間が10年間働く時間が)かかったと見積もっている。

Q:「Stuxnet」を書くことができたのは誰なのか?
A:必要とされる財政的、そして研究開発的な投資を考えても、また「Stuxnet」内に明らかな金儲けのメカニズムが無いという事実を合わせても、残るのは2つの可能性のみだ。すなわち、テロ組織あるいは一つの国家かである。そして我々は、いかなるテロ組織もこの種のリソースを持っているとは思わない。

Q:ではStuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。(しかし読者のCraig Bが、この記事の以前のバージョンコメントを残してくれた。)

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:明らかに攻撃者は、標的のプラントに関する内部情報を豊富に持っており、内部にスパイを送り込んでいた可能性がある。いったい何故、彼らはワームを使ったのか? 何故彼らはスパイに修正を行わせることができなかったのか?
A:分からない。否認権のためだろうか? もしかしたらスパイは、キーシステムにアクセスできなかったのだろうか? あるいはモグラはプラントにはおらず、設計プランにアクセスできたのだろうか? もしかしたらスパイはいなかったのか?

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、「Stuxnet」を遮断できるんですよね?
A:そうではない。「Stuxnet」はゼロデイを使用した。同ワームが登場したばかりの頃は、完全にパッチをあてていても、AutoRunを使用停止にしていても、制限された低レベルのユーザアカウントのもとに動作させていても、USBドライブからのプログラムの実行ができないようにしていても、Windowsマシンを感染させた。

Q:でも、一般的には、WindowsのAutoRunを使用停止することで、USBワームを停止することができるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは、コンパニオン感染など、他にもある。使用停止にするのは、今でも良い考えではあるが、万能薬ではない。

Q:「Stuxnet」は永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを街、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:米国上院が「Stuxnet」に関する聴聞会を開いたというのは本当か?
A:そう、11月に

Q:エフセキュアは「Stuxnet」を検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、Microsoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

iPhone Webアプリで発信者番号をスプーフィングする

  全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。

  以下は「SpoofCard」というアプリケーションだ:

SpoofCard

  「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。

  しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。

  とはいえ、「SpoofCard」をAppleのサイトで見付けることはできない。

  これはWebアプリだ。「インストール」するには、iPhoneのSafariブラウザで「ispoofcard.com」を訪問するだけでよい。

ispoofcard.com

  「SpoofCard」のサイトは、iPhoneのデスクトップにアイコンを保存するよう促す。

  その時点で、これは単にインストールされたアプリケーションのように見える。

SpoofCard Web App

  iSpoofCard Webアプリは、実際のスプーフィングを行うサービスを呼び出すが、その前にユーザに許可を求める。そういう意味では正常だ。

  しかし我々が興味を持っているのは、人々をだまして明らかに悪意あるWebアプリに許可を与えさせるべく、ソーシャルエンジニアリングが使用される可能性があるのでは?ということだ。Webアプリは、許可を与えられたら、iPhoneの連絡先にアクセスすることができるのだろうか? WebアプリはSMSメッセージを送ることができるのだろうか? Webアプリは電話をかけることができるが、誰かに有料課金となる通話をさせるのに、どのくらいのソーシャルエンジニアリングが必要だとお考えだろうか?

  しかし…WebアプリはApp Storeのアプリケーションほどポピュラーではない。Webアプリが悪用され得るとしても、iPhoneユーザはそれらをあまり使用しないのだから、実際にそうなるおそれは少ない。

  そして我々は結局これは、不明瞭ではあるが、Appleの標準的なセキュリティの、さらなる一例であると思う。

「ほとんどの人は、ルートキットが何なのかさえ知らない」

  悪名高いソニー・ルートキット事件から、今日で5年が経過した。

  ソニー・ルートキットは、セリーヌ・ディオン、ニール・ダイアモンド、リッキー・マーティンといった、有名なアーティストの音楽CD数百万枚と共に出荷された。

  こうしたオーディオCDがWindows PCで再生されると、不正コピーを監視するコンポーネントがインストールされ、オーダーメイドのルートキットにより、その存在が隠された。このルートキットは、ソニーBMG自身のソフトウェアを隠すだけでなく、ファイル名に「$sys$」という文字を含む、すべてのプログラムを隠すことになった。同ルートキットは非常に効果的だったため、当時、ほとんどのアンチウイルスプログラムは、隠しファイルをスキャンすることができなかった。結果として、ウイルスライターたちが、インストールされれば、ソニールートキットがそれらを自動的に隠してくれるファイル名を使用したマルウェアを公開し始めた。

  これは大事件であり、ソニーの反応はPR的な危機にはタッチしないという手法の良い例となった。

Thomas Hesse Sony BMG

  もともと我々が同ルートキットを発見したのは、2005年9月のことだったが、Mark Russinovichがこのケースについて発表した2005年11月1日にニュースとなった。

Sony Rootkit

MIT Technology Review issue 85   この出来事全体に対する最高の批評は、明らかに、エフセキュア・ラボのMika StahlbergおよびSanteri Kangasによるコメントを掲載したMIT Technology Reviewによる記事だった。

  セキュリティベンダのすべてが、ソニーが間違っていると直ちに同意したわけではなかった。我々が気に入っている2つの引用は以下の通りだ:

The Inquirerから:
  もしあなたが、信頼できるセキュリティベンダを見付けたいなら、ソニー・マルウェアSRM感染問題に対して立ち上がり、早い段階で声を大にして「これは間違っている」と表明したベンダを探すことをお勧めする。エフセキュアを筆頭にいくつかのベンダが思い浮かぶ。これらのベンダは言う。「あなたが自分のマシンを保護するためにしたいことは、おそらくは数週間、不平を言ったりブツブツ言ったりすることではないはずだ。」

Bruce Schneierから:
  おそらく、称賛に値する唯一のセキュリティ会社は、ソニーの行動に対してまっ先に、そしてもっとも声高に批判してきたエフセキュアだ。

  しかしまた一部の人達は、「セリーヌ・ディオンを聴けるなら、感染する価値はある」と言うのだ…

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード