エフセキュアブログ

ウイルス を含む記事

検出ロジックの現状はどうなっているか

検出ロジックは、最新のエンドポイント保護ソフトウェアにおけるさまざまなメカニズムによって使用されている。また、サイバーセキュリティ業界では、多くの別の名前でも知られている。セキュリティ業界で「マルウェア」と呼んでいるものが、一般には、「ウイルス」という言葉で呼ばれている(技術的に言えば、「ウイルス」とは、別のプログラム、データファイル、またはブートセクタに自身のコピーを作成することによって拡散するプログラムを指す)のと同様に、検出ロジックは、「シグネチャ」から「フィンガープリント」、「パターン」、「IOC」まで、さまざまな呼び方をされてきた。誰かがウイルスの話をしていると思ったら、本当はマルウェアについての話だったということがよくある。そして、誰かがシグニチャの話をしていると思ったら、実は検出ロジックについての話だったということもたびたびある。もっとも、80年代や90年代に用いられたシンプルな検出ロジックが話題になっていたのだとしたら、話は別なのだが。
当社、エフセキュアでは、「detection logic(検出ロジック)」のことを、単に「detections(検出)」と言うこともよくある。 

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。

アンチウイルスは終わってる?

 年に1度のAVAR (Association of Anti Virus Asia Researchers)カンファレンスのホスト役を、今年はエフセキュアが務める。マレーシアのクアラルンプールにて開催の予定だ。カンファレンスは11月30日から12月2日までだ。これが19回目のAVARカンファレンスとなるが、マレーシアで開催されるのは初めてのことだ。このイベントは一流ホテルであるグランド ハイアット クアラルンプールで開かれる。

AVAR2016
今年のテーマが活発な議論を促進することを願う

 今年のテーマは、常日頃から論争になる話題に基づいている。それは「アンチウイルスは終わっているか?」というものだ。

 たった今、当社は論文の受け付けを開始した。今年のトピックについての意見をお持ちで、賛成か反対かに関わらず議論にふさわしいと思う興味深い題材があったら、さあさあ論文を提出して!提出フォームはこちらから。

 今回のトピックに関して考え出されたものを見ることにわくわくしている。これで興味深い議論が促されることを大変期待している。

 現地でお会いできますように。

「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧

エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。

エフセキュアブログ : Petya:ディスク暗号化ランサムウェアより抜粋
サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない:)
皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。

しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya mission accomplished!!!)
もはやPetyaに身代金を支払う必要はありませんし、デバッガを使う必要もありません。

復旧までの道のりを簡単に紹介します。
続きを読む

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


ボットネットテイクダウン狂想曲

オンラインバンキングを標的としたボットネットDridexが、テイクダウン後に衰えを見せるどころか、さらに勢いを増しているということで話題(Dridexの解体, Botnets spreading Dridex still active)になっています。

テイクダウンの是非については昔から賛否両論ありまして、割れ窓理論とよく似た議論が交わされています。
端的に言えば、「どうせすぐ復活するから、やる意味ないよ」という批判をよく耳にするのです。

参考までに、最近のボットネットテイクダウン作戦を対象に、VirusTotalにアップロードされているマルウェア検体数が、テイクダウン実施前後でどう変化しているかを調べてみました。

横軸は検体がコンパイルされた日付(つまり検体が作成されたであろう日付)、縦軸はアップロードされている検体数で、グラフごとに目盛りが異なるので注意。コンパイル日時は偽装可能なので、あくまで参考情報として。

Ramnit

公表されている感染端末数:320万台
テイクダウン実施時期:2015年2月
主導した機関:ユーロポール
参考情報:自身をブロックするウイルス
Takedown_Ramnit
Simda

公表されている感染端末数:77万台
テイクダウン実施時期:2015年4月
主導した機関:インターポール
参考情報:Simdaボットを射る3本の矢
Takedown_Simda
Beebone

公表されている感染端末数:10万台
テイクダウン実施時期:2015年4月
主導した機関:ユーロポール
Takedown_Beebone
Vawtrak

公表されている感染端末数:8万2000台
テイクダウン実施時期:2015年4月
主導した機関:警視庁

Takedown_Vawtrak
Dridex

公表されている感染端末数:非公開
テイクダウン実施時期:2015年10月
主導した機関:FBI、NCA
参考情報:Dridexの解体
Takedown_Dridex

Simdaのようにテイクダウンを境として活動が沈静化した事例もあれば、DridexやRamnitのように逆に活発化してしまった事例もあるという結果でした。

上述の割れ窓理論に関する否定的な主張として、「社会学は割れ窓理論に優しくはない。」という文章がWikipediaには載っていますが、「社会学はボットネットテイクダウンに優しくはない。」とも言えるようです。

それでも私個人的にはボットネットのテイクダウンに賛成派だったりします。賛成というのは、テイクダウンをやれば万事解決という意味ではなく、テイクダウンもボットネット一掃作戦の一部として有効だという意味です。実際、テイクダウンをきっかけとして捜査が進展することはよくあります。

ダイジンとユージン

先月のことになりますが、Cyber3 Conference Okinawa 2015という国際会議に私も休暇がてら参加してきました。

c3
(サイバークライムのセッションでは、インターポールIGCIへの期待の高さを肌で感じた。)


初日の全体セッションには、日本政府からダイジンという方が登壇され、
なぜ、世界の優秀な技術者はグーグルやアップルのような企業に行くのか。これは給料が高いからではない。技術者の探究心を満たせる環境が整っているからだ。それと同じように日本の技術者も、社会貢献という大義のために、安い給料で頑張ってほしい。
という趣旨の発言がありました。

ダイジンのそういった発言がある一方で、二日目には、世界的に有名なサイバーセキュリティ企業を経営するユージンという方が登壇されました。そのロシア企業は世界中からトップレベルのセキュリティ技術者(ハッカー)をかき集めていることでも知られ、アンチウイルス業界のグーグルとまで言われたり、言われなかったりします。
ユージンは、
十分な数のセキュリティ技術者を抱えている国など世界中探してもどこにもない。どんどん投資して、教育して育てなければならない。数が少ないからこそ、彼らにはフットボールプレイヤー並みの給料がかかるが、企業にも政府にもまだまだセキュリティ技術者が必要とされている。
と発言されました。
さすが、一癖も二癖もあるハッカーの年俸を決定する立場にある経営者の言葉からは苦労と覚悟が伝わってきます。それにエンジニア出身の経営者というだけあって、セキュリティ技術者の心情もよく理解しています。

サイバーセキュリティ業界を志す学生の皆さん、リーガ・エスパニョーラ(スペインプロサッカーリーグ)の平均年俸は2億7千万円、ロシアプレミアリーグでも3千万円だそうですよ。

参考情報:【ハリルジャパン】2015シーズン年俸ランキングが意外すぎるww

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

F-Secure SAFE、Windows 10をサポート、さらにNetwork Checkerを提供

エフセキュアは、人気の高いセキュリティソフトウェアF-Secure SAFEの最新バージョンをリリースしました。この最新バージョンはWindows 10搭載デバイスをサポートします。これにより、今夏リリース予定の期待の大きいWindows 10オペレーティングシステムにデバイスをアップグレードした後も引き続き、エフセキュアが提供する最高のプロテクションのメリットを享受することができます。最新バージョンではさらに、Network Checkerと呼ばれる新しいネットワークレイヤセキュリティツールも併せて提供しています。Network CheckerはF-Secure SAFEをインストールしたWindows PCでご利用いただけます。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「F-Secure SAFEがWindows 10をサポートすることを発表でき、とてもうれしく思っています。F-Secure SAFEは、オンライン上の脅威に対する、使いやすい包括的なセキュリティソリューションを提供します。多くの方々がご自身のデバイスやデジタルライフ、そしてご家族を守る上で、F-Secure SAFEに信頼を寄せてくださっています。エフセキュアはこの信頼を裏切ることなく、Windows 10にアップグレードした後も引き続き、これまでと同様のプロテクションを提供していきます」

マイクロソフトはWindows 10のリリースを7月29日に予定しており、現在Windows 7またはWindows 8.1をインストールしているPCに無償でアップグレードを提供すると発表しています*。

PCユーザ向けにNetwork Checkerを提供

F-Secure SAFEの最新バージョンでは、PCユーザ向けにエフセキュアの最新かつ革新的なネットワークレイヤセキュリティであるNetwork Checkerも提供しています。Network Checkerはインターネットに接続する際に使用しているネットワークの設定を検証し、設定が攻撃に対し無防備な状態に変更されることを防ぎます。高度なプロテクションレイヤを追加し、ご家庭でも、小さなカフェでWi-Fiホットスポットを利用するときでも、人々を安全に守ります。

デバイスがより「スマート」になっているため、ルータのハッキングといったテクニックが一般的になりつつあります。最近の調査では、ウイルスに感染している何万台ものルータがボットネットの作成に使われていることが明らかとなっています。ボットネットは大規模なDDoS(分散型サービス拒否)攻撃に不可欠な構成要素です**。 エフセキュア セキュリティ研究所によれば、設定が変更されていたことが判明した家庭用またはオフィス用ルータは2014年だけでも30万台を超えています***。

エフセキュアのシニアリサーチャーであるデビッド・ヘンティネンは、ルータやスマートデバイスは潜在的なリスクとして認識されていないため、攻撃者にとってますます魅力的になっていると言います。「ルータは放っておかれがちです。一度設定した後は部屋の隅に置かれ、二度と顧みられません。人々はファームウェアのアップデートのことなどまるで考えておらず、デフォルトのパスワードさえ変えていないこともあります。このため、ルータは攻撃者の標的となりやすく、攻撃者はルータをハイジャックすることにより、そこを通過するすべてのトラフィックを操作できるようになります」

Network Checkerはバックグラウンドで稼働し、所定の間隔で、または設定の変更を検知したときにネットワークをチェックします。潜在的なセキュリティの問題を検知した場合にはユーザに通知し、トラブルシューティングまたは問題の修復方法を提示します。Network CheckerはF-Secure SAFEをインストールしたWindows PCで利用することができます。Windows PC以外のデバイスをお使いの方には、オンデマンド型のF-Secure Router Checkerがウェブベースで同様の機能を提供します。

F-Secure SAFE、すべてのデバイスでクラウドセキュリティを実現

最新バージョンのF-Secure SAFEではMac版、iOS版、Android版を対象にいくつかの改善も行い、すべてのデバイスでクラウドセキュリティを実現しました。改善点は以下のとおりです。
  • Mac版にクラウドベースのレピュテーションスキャニングを追加。リアルタイムでファイルおよびウェブサイトのレピュテーションをチェックします。
  • Android版に次世代バージョンのエフセキュアのクラウドベースのマルウェアスキャニングを追加。クライアントベースとクラウドベースのアンチウイルス・プロテクションを組み合わせています。
  • Android版およびiOS版のペアレンタルコントロールを設計し直し、ユーザビリティを改善。

F-Secure SAFEはセキュリティとオンラインプライバシーの侵害から人々を守るオールインワンのセキュリティソリューションを提供します。エフセキュアの受賞歴のあるテクノロジーが組み込まれ、Windows PC、Mac、Android、iOS、Windows Phoneを搭載したデバイスにインストールすることができます。

*出典:http://news.microsoft.com/2015/06/01/windows-10-available-as-a-free-upgrade-on-july-29/
**出典:http://news.softpedia.com/news/DDoS-Botnet-Relies-on-Thousands-of-Insecure-Routers-in-109-Countries-480940.shtml
***出典:https://www.f-secure.com/documents/996508/1030743/Threat_Report_H1_2014.pdf

詳細情報:  
F-Secure SAFE  https://www.f-secure.com/ja_JP/web/home_jp/safe

最高のセキュリティ保護をプロアクティブに行う新サイバーセキュリティ対策ツール

SpendingMoney

最近の調査によれば、データ漏洩は以前にも増して頻繁かつ深刻なものになってきています。また、攻撃者が悪用できるリソースが増加していることから、IT管理者がリスクを管理するためには、従業員に総合的なセキュリティ保護を提供する必要があります。こうしたニーズを考慮して、エフセキュアのビジネス スイートのセキュリティソリューションは更新され、信頼できるセキュリティの基礎として、制御と管理容易性に重点を置いて生まれ変わりました。

ビジネス スイートは、Webコンテンツ制御や自動パッチ管理といった複数の独自機能を組み合わせ、企業を既知および未知の脅威から守るための総合的なセキュリティ保護を提供する、エフセキュアの法人向けセキュリティソリューションです。新たにリリースされたビジネス スイートには、受賞歴のあるクライアント セキュリティの新バージョン、および最新版のポリシー マネージャが含まれます。これらの新機能によって、IT管理者は新たに以下のようなことができるようになります。

  • アドバンスト プロテクションによって、コンテンツをブロック(Java、Flash、その他のWebコンポーネント)
  • Webコンテント コントロールで、従業員を悪質なWebサイトの脅威から保護
  • コネクション コントロールで、ビジネスに必要不可欠な業務を行いながら、潜在的な危険のあるサイトへのアクセスを制御

これらのコンポーネントは、ビジネス スイートのその他の機能と連携して、法人向けに従来のアンチウイルスソリューションを超えるセキュリティ保護を提供し、IT管理者が現代のサイバー脅威を特定し、対抗することができるよう支援します。

エフセキュアのシニアリサーチャ、ヤルノ・ネメラは、次のように述べています。「今日のサイバー攻撃の多くは技術的にはかなりシンプルで、攻撃者に利用可能なリソースを与えなければ容易に防止することができます。攻撃に不可欠なのは、攻撃対象に接触する経路と、悪用可能な脆弱なソフトウェアの二つです。ですから、効果的なサイバーセキュリティを備えるということは、それら二つの戦略を攻撃者が実践できないようにするツールと戦術を利用する、ということなのです。」

リスクの管理と制御は可能

2014年の第4四半期に発生したデータ漏洩の件数は、前年同期比で25%増加しています*。また、欧州でここ10年間に発生した重大なデータ漏洩350件に関する調査では、その41%がハッカーによるものであった一方で、57%は「管理のずさんさ」が原因となっていたことが明らかになりました**。これらの数字は、深刻なセキュリティインシデントにつながらないようにするため、多種多様なセキュリティリスクを管理、制御する必要があることを示しています。

エフセキュアのコーポレートセキュリティ担当バイスプレジデントのペッカ・ウスヴァは、ビジネス スイートはIT管理者にとって、現代のITサプライチェーンの中で業務を行う際に生じるセキュリティ問題を制御するためのツールとなる、と話しています。「今日のビジネス界で、孤立して業務を行うことはあり得ません。企業は、自社のインフラストラクチャの一部をセキュリティ対策が手薄または皆無の他社と統合することで、データ漏洩などの脅威にさらされる可能性があります。そのための対策として、IT管理者はコネクション コントロールのような機能を通じて、自社ネットワークの中でも機密性の高い部分を潜在的な危険から隔離することができます。これは、複雑にネットワーク化された環境下では、極めて重要なことです。また、受賞歴のあるエンドポイント保護機能により、前例のない新脅威を検知することも可能です。」

ビジネス スイートは、社員数100名以上の規模の法人向けに設計された社内管理型セキュリティソリューションで、現在、世界中の3000以上のリセラーによって販売されています。また、エフセキュアのホームページから3カ月無料トライアルにお申し込み頂けます。

*出典:https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
**出典:http://capgemini.ft.com/web-review/sloppiness-to-blame-for-more-data-losses-than-hacking-study-claims_a-41-648.html

詳細情報: 
クライアント セキュリティ https://www.f-secure.com/ja_JP/web/business_jp/products/client-security
ポリシー マネージャ https://www.f-secure.com/ja_JP/web/business_jp/products/policy-manager

エフセキュア、全国の自治体のマイナンバー制度対応状況を調査

エフセキュアが全国の自治体の情報セキュリティ担当者を対象に実施したアンケートの結果により、マイナンバー制度への対応が完了している自治体は8%に過ぎないことがわかりました。このアンケートは、2015年5月13日から6月8日の期間に全国749の自治体に対して、電話によるヒアリング形式で行われ、655の自治体から回答をいただきました。このうち「マイナンバー制度への対応が完了している」と回答いただいた自治体は54でした。

昨今、日本でも100万人以上の個人情報が流出する事案が発生するなど、マルウェア感染に起因する個人情報漏洩が大きな問題となっています。エフセキュアでは、マイナンバー制度の運用開始に向けて、特に自治体での安全な運営の支援を目的として、PCやサーバでのサンドボックスによる未知のウイルスを含む検知性能の向上を提唱し、「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開しています。本キャンペーンでは、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウントしています。

「エフセキュア 公共ライセンス プレミアム」には、下記のエフセキュア製品のライセンスが含まれており、PCやサーバのようなエンドポイントのみならず、ゲートウェイ・セキュリティも含まれる、導入し易い包括的なスイート製品です。

  • エフセキュア クライアント セキュリティ プレミアム
  • エフセキュア Windows サーバセキュリティ プレミアム
  • エフセキュア Microsoft Exchange & XenAppセキュリティ プレミアム
  • エフセキュア アンチウイルス Linux ゲートウェイ
  • エフセキュア Linux セキュリティ フルエディション
  • エフセキュア Linux セキュリティ コマンドラインエディション
  • エフセキュア 仮想スキャンサーバ
  • エフセキュア ポリシーマネージャ

「エフセキュア 公共ライセンス プレミアム」は、Windows、Windowsサーバ、Linuxサーバを対象プラットフォームとするスイート製品で、サンドボックス技術のみならず、パッチ管理の自動化による脆弱性対策機能や、集中管理ツールによる可視化など、マイナンバー制度運用に際して求められる強固なセキュリティ機能を備えています。

「エフセキュア 公共ライセンス プレミアム」に含まれるPC向けのソリューション「エフセキュア クライアント セキュリティ」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力を備えており、自治体のお客様はコストパフォーマンスの高い対策を実現することができます。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

個人情報がサイバー攻撃のトレンドに

cyber attacks

あらゆる情報がデジタル化されている今日、顧客や従業員の個人情報の保護は、ドアに鍵をかけること以上に、あらゆる組織にとって重要な仕事になっています。結局のところ、組織の資産を侵害するためには、構内へ物理的に入る必要はありません。セキュリティに穴を見つけさえすればいいのです。

最近、セキュリティの侵害が、顧客、ユーザ、市民のための膨大な個人情報の漏洩に至ってしまった事例が散見されます。いずれの事例でも、結果として、企業や組織が悪評に苦しめられることに繋がりました。

メールのウイルスの結果、125万人の個人情報が流出した後、日本政府は「年金は危険に晒されなかった」と国民に説明せざるを得なくなりました。これは年金機構の職員が開いた、悪意あるメールの添付ファイルがもたらしたものです。漏洩は氏名、ID番号、誕生日、住所を含んでいました。この漏洩は5月28日に発覚し、アナリストは政府の支持率に悪影響を与える可能性があると見ています。

アメリカ合衆国内国歳入庁(IRS)のハッキングのケースでは、ハッカーはIRSのWebサイトに侵入し、10万人の納税者のデータを持ち出しました。犯罪者はIRSのファイル上にある所得税申告書などの納税の情報を不正に入手しました。6月に攻撃が発覚するまでに、5,000万ドル以上の所得税申告書がハッカーの手に渡っています。IRSは、攻撃の背後にいるロシアのハッカーたちがソーシャル・メディアを悪用し、最初のペットの名前や母親の旧姓といったセキュリティのための質問の答えを見つけ出したと示唆しています。人々はこうしたデータを今日、Facebookのように友人と共有しているソーシャル・メディア・サイトで使用しています。

最も直近の巨大なハッキングは、米国政府の職員がターゲットになりました。米国政府職員の数百万人分のデータが漏洩しています。この漏洩は、あらゆる連邦政府の機関に影響を及ぼす可能性があります。

サイバー攻撃のターゲットになるには、大企業や政府の組織である必要はありません。最近のGrabitマルウェアは、中小中堅企業をターゲットとし、センシティブなデータを盗み出すためにスパイ行為を行っています。センシティブなデータは、大企業のものであろうと中小中堅企業のものであろうと、サイバー犯罪者にとっては大きなビジネスです。Grabitマルウェアは、主にタイ、インド、米国の中小中堅企業の社員のデバイスに感染するために悪用されてきました。現在までに、中小中堅企業からおよそ10,000ファイルが詐取されています

このようなセンシティブな個人情報を狙った攻撃は、企業が真剣にデータ保護に取り組むべきときであることを示しています。消費者はますますプライバシーに敏感になっており、真剣にデータ保護に取り組む企業からの購入へ容易に移ります。そして来るべきEUの「個人データ保護規則」によって、顧客データの収集には責任が伴うようになります。

御社が保護されているかどうか確認してください。御社のセキュリティは、最も弱いリンクと同等のレベルです。セキュリティのためのベスト・プラクティスを活用して、デバイス、ソフトウェア、そして人々を安全に保ってください。こちらの過去の記事で、サイバー攻撃に備える8つのステップをご覧いただけます。


>>原文へのリンク



ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

エフセキュア、地方公共団体向けにマイナンバー制度対応のキャンペーン開始

エフセキュア株式会社は、地方公共団体での「社会保障・税番号制度(以下、マイナンバー制度)」の運用開始に向けて、セキュリティを強化し安全なデータアクセスを支援する統合的な製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開することを発表します。

マイナンバー制度は、社会保障や税務、災害対策行政での利用を目的に、2015年10月より個人への番号通知が開始され、2016年1月から利用が開始されます。エフセキュアは、地方公共団体におけるマイナンバー制度の安全な運用の支援を目的に、公共団体向けの統合的なセキュリティ製品「エフセキュア 公共ライセンス プレミアム」のキャンペーンを展開します。

「エフセキュア 公共ライセンス プレミアム」は、AV-TEST*により4年連続でBest Protection Awardを受賞した、高い防御能力で定評のあるPC向けのソリューション「エフセキュア クライアント セキュリティ」に加え、Windowsサーバ、Linuxサーバならびにメールゲートウェイも対象としたアンチウイルスのスイート製品です。

マイナンバー制度の運用開始にあっては、情報漏洩の原因となるウイルス感染を未然に防止する高い防御能力が求められています。こうした要件に対し「エフセキュア 公共ライセンス プレミアム」は次のような機能を提供し、公共団体でのシステムの情報漏洩防止対策の能力を強化します。

  • サンドボックスによる未知のウイルスを含む検知性能
  • アプリケーション制御による出口対策と可視化
  • 集中管理ツール「エフセキュア ポリシーマネージャ」によるポリシーベースの管理機能
  • 「ソフトウェア アップデータ」でのパッチ管理による脆弱性対策

本キャンペーンは2015年5月11日より開始し、2016年3月28日までにエフセキュア受注分の「エフセキュア 公共ライセンス プレミアム」を対象に、新規ライセンス購入価格を一律10%ディスカウント致します。


* AV-TESTについて
AV-TEST GmbHは、ITセキュリティおよびアンチウイルス研究分野の独立系機関です。最新の悪質なソフトウェアとその利用法の検出および分析に焦点を当て、セキュリティ製品の総合的な比較検証を行っています。

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

エフセキュア、クラウドによるセキュリティ対策の意識調査結果を公開

エフセキュアは2015年2月、企業で情報セキュリティの運用または選定に携わる方459名を対象に、ウイルス対策ソリューションとクラウドの動向について調査を行いました。

企業情報システムのクラウド化が進む現状を背景に、従業員数50名以上の企業では、自社で利用している業務用クラウドサービスとして、セキュリティが、電子メールとグループウェアに次いで活用されていることが判明しました。さらにウイルス対策ソリューションの利用形態に関しては、クラウドを利用して管理していると回答した企業が39%となっており、セキュリティの分野でもクラウドサービスが浸透しつつある現状が浮き彫りになっています。

またウイルス対策ソリューションに今後望むものいう設問に対しては、導入時の初期費用や作業に関するものが最も多く、次いでパッチ適用やアップデートなどの運用が容易であることが求められています。

エフセキュアが提供するクラウド型の統合セキュリティソリューション「プロテクション サービス ビジネス(PSB)」は、新たにサーバを構築する必要がないため、導入時の費用や作業を大幅に削減することができ、さらにOSやアプリケーションの修正パッチやアップデートの自動化が可能であることから、セキュリティ対策のクラウド化を検討されるお客様のご要望に最適です。

なおエフセキュアでは、対象を中小企業(50-299名)、中堅企業(300-999名)、大企業(1,000名以上)に分類した調査をまとめた結果を、「エフセキュアCloudセキュリティレポート」として提供を開始しました。現在、次のWebページからダウンロードいただけるようになっております。
http://psb.f-secure.com/Cloud-report
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード