エフセキュアブログ

エストニア を含む記事

サイバー攻撃がロシアの情報収集とつながる

エフセキュアラボが発行した新しいレポートによると、国家主体のサイバー攻撃の多くが、ロシアの情報収集に関与するあるハッキング集団と関連しているとしています。ホワイトペーパーには、「デュークス」と呼ばれるハッキング集団について詳細な分析が記されており、米国、ヨーロッパおよびアジアの各国政府や関連団体に対する7年以上に及ぶ攻撃がまとめられています。

今回のレポートでは、他にないマルウェアのツールセット群を駆使し、コンピューターネットワークに侵入し、攻撃者にデータを返信する手口で情報を盗み出す攻撃者集団、「デュークス」について詳述が記されています。この集団は、先述のツールセットを使いサイバー攻撃を仕掛け、少なくとも7年以上、ロシアの情報収集を支援してきた、とレポートでは述べています。

レポートで取り上げられた攻撃の具体的な標的には、旧NATOに関するジョージア情報センター(現、NATOおよびEUに関する情報センター)や、ジョージア防衛省、トルコおよびウガンダの外務省、その他、米国、ヨーロッパおよび中央アジアの政府機関や政治系シンクタンクなども含まれています。

今回の調査の責任者で、エフセキュアのリサーチャーであるアルツーリ・レティオは次のように述べています。

「新たな分析により、このグループがロシアの援助を受けており、ロシアの情報収集を支援するために活動しているという主張が強くなりました。今回の調査では、これらの攻撃で使われたマルウェアや戦術と、我々がロシアのリソースや利益になると理解している内容とのつながりを詳細にみています。こうしたつながりから、どこで攻撃が組織され、何を狙っていたのか、どのように実行されたのか、そして何が目的だったのかを示す証拠を導きだすことができました。そうして得られたすべてのサインが、ロシアによる国家的な支援を指し示すものでした。」

デュークは、9つの異なるマルウェアのツールセットを使っており、研究者間でもそのうちの多くは把握されていたものの、レティオによる2つの新たな変異の発見のおかげで、研究者たちがこの集団と攻撃との間の新たなつながりを見いだすことができました。エストニアの防衛セキュリティ情報センターのジュニア・リサーチ・フェローであるパトリック・モールドレ氏は、次の通り述べています。

「今回の発見は重要な情報で、この情報を使うことで、研究者やアナリストはいかにサイバー攻撃がロシアの情報収集や政治的目的のために利用されているかをより大きな絵として見ることができるようになります。レポートで特定されたつながりには、国際安全保障、特に北欧とコーカサス地域の国にとっては重要な意味を持っています。ロシアが攻撃型のサイバー能力にどれだけ多くの投資をしてきたのかを示すもので、こうした能力が戦略的利益を前進させる上で重要な要素になったことも実証しています。ジョージア、ヨーロッパ、そして米国に対する7年に及ぶ個々の攻撃をつなぎ合わせ、既存のNATO加盟国や将来の加盟国に対して、ロシアの情報戦争やスパイ活動、そして言い逃れなどの被害者にならないよう、サイバー空間での協力を強化し、集団的安全保障を高める 必要性を追認しています。」

フィンランド国際問題研究所のグローバル・セキュリティ・リサーチ・プログラムのディレクターを務めるミカ・アールトラ氏は、次のように述べています。

「この報告は、北欧諸国にとって特に重要な意味を持っています。スウェーデンやフィンランドといった小さな国は特に、こうしたスパイ活動に弱いのです。北欧およびバルト諸国は常に、ロシアと西側の利益の間でバランスを取ろうとしてきた中で、ロシアは自分たちに有利に働くよう、サイバー攻撃能力を活用しているのです。サイバー攻撃を仕掛けたと知られると批判の対象になるため、ロシアは自分たちの活動を否定しています。そして、自分たちの影響力をよりソフトに、より目に見えない形で及ぼそうとしているのです。」

マールドレ氏とアールトラ氏は現在、レティオ氏のデュークに関する調査を考慮した研究に取り組んでいます。レティオ氏による「デューク:ロシアのサイバースパイ活動の7年」と題したホワイトペーパーは、エフセキュアラボのサイトですでに提供しています。

詳細情報:  
デュークのホワイトペーパー
デュークの歴史
エフセキュアラボ

VPNはホリデー中の旅行には必需品、エフセキュアの専門家が語る

もうすぐイースターホリデーです。家族を訪れたり、旅に出て休暇を楽しむ人も多いでしょう。しかし、オンラインサービスへの常時接続を必要とする旅行者にとっては、サイバーセキュリティを取り巻く環境の変化により、いくつかの問題に直面することになります。旅行者が旅先からでも個人データを安全に保護しつつ、重要なサービスへアクセスするには、今やVPNは欠かせない存在です。

今年の初め、一部の銀行がとったDDoS攻撃への対応は、単純に海外からのオンラインバンキングサービスの利用を制限するというものでした*。これはエストニアの機関が2007年に一連のサイバー攻撃を受けたときに講じた戦略と同様のものです**。この対策の利点は、ATMなどからサービスにアクセスする人には有効でしたが、オンラインやモバイルバンキングなどに頼らざるをえない旅行者にとっては大きな問題となりました。

エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンは次のように述べています。「人々は旅先でゆっくりしたいと考えます。そのため、手元のiPadや携帯電話などで常時オンラインに接続できるということは、ラップトップを持ち歩くよりもはるかに便利です。しかしながら、企業の関心は保護にあります。企業がそのために対策を講じるのはすばらしいことですが、場合によってはこのセキュリティ対策により、ほとんどなんの知らせもないまま利用者が自分の口座へアクセスできなくなることがあるのです。つまり旅先でオンラインバンキングやその他のオンラインサービスを利用しようと考えているユーザは、あらかじめこのような事態に備えておく必要があります。」

仮想プライベートネットワーク(VPN)を利用すれば、安全にインターネットへ接続することができます。また、ユーザの居場所の特定を防ぎ、その代わりに「仮想ロケーション」を設定します。エフセキュアのFreedomeなど、一部のVPNでは、さまざまな仮想ロケーションの中からユーザが選択できるようになっています。この機能は本質的には、ユーザが海外でも自国のサービスを利用できるように、銀行やその他の組織が実施するオンラインサービスの制限によって被る不便さを解消するためのものです。

公衆Wi-Fiは旅行者を危機にさらすと、各政府は警鐘を鳴らす

また、多くのホテル、レストラン、空港で提供されている公衆Wi-Fiサービスを使用する際にも、VPNは重要な安全対策となります。こうした公衆Wi-Fiホットスポットは、ローミングへの課金を避けたいユーザにとっては便利ですが、欧州刑事警察機構(ユーロポール)などの組織は、公衆Wi-Fiサービスの利用は非常に危険な行為だと指摘しています。また、FBIやカナダ政府も、海外では公衆Wi-Fiネットワークを使用しないよう呼びかけています。エフセキュアが実施した調査によると、多くの人々は必要な対策を講じないままこうしたネットワークに接続しているため、個人情報を盗まれるなどのサイバー犯罪に遭いやすい状況に陥っているということです。

サリバンは、旅行を通じて安全なインターネット接続を行うことの大切さを学んだと言います。「これは、オンラインサービスへのアクセスに対する制限を回避するというだけの問題ではありません。これはプライバシーの問題でもあるのです。公衆Wi-Fiによる接続はインターネットユーザを非常に危険な状態にさらすため、安全な対策を講じないまま利用するのは大変危険なことなのです。これは、保険に加入せずに旅行をするようなもので、手遅れにならないとその重要さには気づきにくいものです。」

FreedomeのようなVPNは通信を暗号化し、Wi-Fiネットワーク上でのデータのやりとりが監視されたり傍受されたりすることを防ぎます。組織、政府、セキュリティ研究家の多くが、公共の場からインターネットへアクセスする場合は常にVPNを使用するよう勧めています。被害者にならずに済むことを考えれば、費用は安く、旅先でも心配せずにイースターを楽しむことができます。

出発前にデバイスの安全を確保するチェックリスト

サリバンは、手持ちのデバイスやデータの安全性を確保するため、出発前に以下の3つの簡単な手順を行うよう勧めています。

  1. 暗証番号やパスコードでデバイスをロック 携帯電話の紛失は起こりやすいものです。紛失した携帯電話はすりや泥棒の格好のターゲットとなります。コードを使ってしっかりとロックをかけて、デバイスに保存している個人情報へ他人がアクセスできないようにしましょう。
  2. 不要なファイルの削除 多くのデバイスには、文書やファイルが保存されています。また、気がつかないうちにそうしたデータが保存されることもあります。中には、絶対に共有したくない情報が含まれていることもあります。少しだけ時間をとって古いダウンロードファイルやその他のファイルを削除することで、自分のデータを常に管理することができます。
  3. 出発前にVPN接続を確認 FreedomeのようなVPNをダウンロードし、出発前にしっかり機能するかどうか確認しましょう。出発前に行うことで、すべてが正常に機能しているかを確認できます。そうすることで、公衆Wi-Fiホットスポットでソフトウェアを購入するような状況に陥らずに済みます。

Freedomeの無料トライアル版は、ダウンロードより入手できます。休暇中のセキュリティ対策には欠かせないツールです。現在、Freedomeアプリはモバイル、タブレット、PC用としてApp Store、Google Play、Amazon アプリストア、またはエフセキュアのウェブサイトから入手できます。

*出典:http://www.itsecurityguru.org/2015/01/08/finnish-banks-ddos-attacks-enabled-lizard-squad-supporters/
**出典:http://news.bbc.co.uk/2/hi/europe/6665195.stm

詳細情報:
f-secure.com/freedome

夏に聞くもの:BBCのプレイリスト

 「人生で確実なものは、今や3つある。まずは死。そして税金。さらに、あなたのシステム上にいる外国の情報機関だ」 — MI5のサイバー部門トップ

 BBC Radio 4は最近、サイバー上の諜報活動、窃盗、戦争について非常に興味深いシリーズを放送した。

Under Attack: The Threat from Cyberspace
Under Attack: The Threat from Cyberspace(攻撃を受けている:サイバー空間からの脅威)

 レポーターのGordon Coreraは、前NSA長官Michael Haydenや、エストニア大統領トーマス=ヘンドリック・イルヴェス、MI5のサイバー部門のトップ(匿名希望)など多数の人にインタビューを行った。Episode 3は、期間限定だがまだ公開されている。

 50分に編集したものが、BBC World Serviceから再生できる。

BBC World Service, Documentaries
ダウンロード(無期限)

 そして、もしセキュリティに興味があるのなら…、おそらくプライバシーにも関心があるだろう。

 「実際のところ携帯電話機は、今や我々に電話をかけさせる追跡装置だ」 — Big Brother Watch(訳注:監視強化に反対する英国の市民団体)ディレクターNick Pickles

BBC Radio 4:Privacy Under Pressure(圧力を受けるプライバシー)

 The Golden Egg of Mobile Advertising(モバイル広告は金の卵)というRovio社にも、もちろん言及している。

The Fog of Cyber Defence

The Fog of Cyber Defence

 フィンランド国防大学はThe Fog of Cyber Defence(サイバー防衛の混乱)というタイトルの、250ページに渡る本を発行した。この本では北欧の観点から、サイバー戦争や、サイバー軍拡競争、サイバー防衛について論じている。

 同書には20人の著者がいる。

Insights into Cyberspace, Cyber Security, and Cyberwar in the Nordic Countries(北欧諸国におけるサイバー空間、サイバーセキュリティ、サイバー戦争の実態) - (Jari Rantapelkonen & Harry Kantola)
Sovereignty in the Cyber Domain(サイバー空間の主権) - (Topi Tuukkanen)
Cyberspace, the Role of State, and Goal of Digital Finland(サイバー空間、国家の役割、Digital Finlandの目的(訳注:Digital Finlandとは、デジタル化を推進するフィンランドの社会の将来の見通しについて、同国運輸通産省がまとめた報告書)) - (Jari Rantapelkonen & Saara Jantunen)
Exercising Power in Social Media(ソーシャルメディアでの権力の行使) - (Margarita Jaitner)
Victory in Exceptional War: The Estonian Main Narrative of the Cyber Attacks in 2007(通常とは異なる戦争における勝利:2007年のサイバー攻撃についてのエストニアの主要な物語) - (Kari Alenius)
The Origins and the Future of Cyber Security in the Finnish Defence Forces(フィンランド国防軍のサイバーセキュリティの起源と未来) - (Anssi Karkkainen)
Norwegian Cyber Security: How to Build a Resilient Cyber Society in a Small Nation(ノルウェーのサイバーセキュリティ:回復力のあるサイバー社会を小国でどのように構築するか) - (Kristin Hemmer Morkestol)
Cyber Security in Sweden from the Past to the Future(スウェーデンのサイバーセキュリティの過去と未来) - (Roland Heickero)
A Rugged Nation(ラギッドな国家) - (Simo Huopio)
Contaminated Rather than Classified: CIS Design Principles to Support Cyber Incident Response Collaboration(機密より混成:サイバーインシデント対応の協力をサポートするためのCIS(Communications and Information Systems)の設計原則) - (Erka Koivunen)
Cyberwar: Another Revolution in Military Affairs?(サイバー戦争:軍事におけるもうひとつの革命か?) - (Tero Palokangas)
What Can We Say About Cyberwar Based on Cybernetics?(人工頭脳学に基づきサイバー戦争について言えること) - (Sakari Ahvenainen)
The Emperor's Digital Clothes: Cyberwar and the Application of Classical Theories of War(裸の王様のデジタル化された服:戦争の古典理論に基づくサイバー戦争とアプリケーション) - (Jan Hanska)
Theoretical Offensive Cyber Militia Models(攻撃的なサイバー市民軍の理論的モデル) - (Rain Ottis)
Offensive Cyber Capabilities are Needed Because of Deterrence(抑止力のためにサイバー攻撃能力は必要) - (Jarno Limnell)
Threats Concerning the Usability of Satellite Communications in Cyberwarfare Environment(サイバー戦争下での衛星通信の利用に関する脅威) - (Jouko Vankka & Tapio Saarelainen)
The Care and Maintenance of Cyberweapons(サイバー兵器の整備と保守) - (Timo Kiravuo & Mikko Sarela)
The Exploit Marketplace(エクスプロイト市場) - (ミッコ・ヒッポネン)

 The Fog of Cyber Defencehttp://urn.fi/URN:ISBN:978-951-25-2431-0からPDFでダウンロードできる。

サイバーセキュリティについてトーマス=ヘンドリック・イルヴェス大統領が語る

 先週の木曜日、ニューヨークタイムズ紙にて、エストニア大統領トーマス=ヘンドリック・イルヴェス氏が「Cybersecurity: A View From the Front」と題するOp-Ed(訳注:opposite the editorial page。主に米国の新聞上に設けられる、社外の著名人による論説。社説の反対側の紙面が割かれる)を発表した。読むことを強くお勧めする。

Cybersecurity: A View From the Front

 @JarnoLimに脱帽して感謝。

大統領がエフセキュアを訪問

エストニアのToomas Hendrik Ilves大統領が、先週金曜、エフセキュアを訪れた。

The flags of Estonia and Finland

  彼はフィンランドを訪れており、その後、Twitterでフォローしているミッコに会いにやって来た。

IlvesToomas_264465766043226112

  そしてそれは、非常に興味深い会話だった! Ilves大統領は、サイバー・セキュリティ問題に非常に造詣が深い。

President Ilves and Mikko

  エストニアのタリンは、NATOサイバー防衛センター(CCD COE)をホストしている。

  サイバー・セキュリティのほか、エストニアはインターネットテクノロジの革新的な使用でも有名で、Ilves大統領は先頃、TechCrunchの「20 Most Innovative People In Democracy 2012」の一人に選ばれた。

  おめでとうございます、大統領。当然の評価です。

FBIはDNSChangerサーバの継続で再認可されるべきか?

  DNSChangerの最新のデッドラインである7月9日が、急速に近付きつつある。(前回のデッドラインは3月8日だった。)あとたったの1週間だ!

  DNSChangerとは何か?

  DNSChangerは、F.B.I.とエストニア当局が昨年後半、「Operation Ghost Click」で壊滅させた広告詐欺ボットネットだ。

  「Operation Ghost Click」?

  「Click」はクリック詐欺を意味している。DNSサーバの設定を変更することで、ギャングたちは中間者広告インジェクションを実行することが可能になった。

  中間者広告インジェクションとは? 悪党たちはそれでどのように利益を得たのか?

  そう、2006年頃には、広告詐欺では「クリックボット」が使用され、この問題がメディアの注目を集め始めると…広告主はGoogleがクリック詐欺防止のため、十分な手を打っていないと文句を言い始めた。そして彼らは、クリック単価の損害について訴訟を起こすと威嚇した。

  そこでGoogleは、この問題に技術者を投入し、現在では、事前に準備したクリックボットは、かなりのアンチ詐欺防御に直面している。Googleの自動化の方が、詐欺師よりもはるかに優れているのだ。さよなら、クリックボット。

  すると賢い広告詐欺師たちは、「オフスクリプト」に向かう必要を感じ、人間を関わらせることになった。すなわち広告インジェクションだ。人間の「被害者」は、広告を見た際、クリックを強要されないため、ある意味では、それはGoogleが自動化した防衛によって予測可能な「広告詐欺」とは言えない。そんなわけで、マン・マシンボット(サイボーグと呼ぶべき?)の組み合わせが金儲けに使用された。

  非常に賢い。

  そう。そしてそれがおそらく、F.B.I.の関心を引いた理由の一つだろう。感染したコンピュータの数は、ある時点で50万台以上を数えた。

  うわー、それはたくさんだ。現在も感染しているコンピュータは何台あるのだろうか?

  6月11日現在、30万以上のIPアドレスが「仮の」DNSサーバに登録されている。

  以下は、トップ25カ国の内訳だ:

Unique DNSChanger IPs, June 11
ソース:国ごとのDNS Changer上位感染ランキング

  すると7月9日のデッドラインはどういうことになるのだろう?

  3月、ニューヨーク南部地区の米連邦地裁が、代用のクリーンな「一時的」DNSサーバの認可を延長した。この認可が再度延長されなければ、DNSサーバをシャットダウンする必要がある。

  すると何が起きるのか?

  その時点で、影響を受けたコンピュータはすべて、DNSサーバから切断される。コンピュータはそれでもインターネットに接続しているが、インターネットリソースを探すのに必要な「アドレス帳」により設定されることは無い。

  アドレス帳?

  DNSサーバは、google.comのようなURLを、173.194.32.7といったIPアドレスに変換する。

  DNSが無ければ、数字のアドレスを知っている必要がある?

  その通り。

  代用サーバが打ち切られたら、とんでもない混乱が起きそうだ。法廷は再認可を与えるだろうか?

  イエス。しかし…そうすべきだろうか?

  そうすべきでは無いのか?

  6カ月で、感染したコンピュータの半数以下が修正された。F.B.I.がこれらのゾンビコンピュータを使用可能にするのに、あとどのくらいかけるべきだろうか? 確かに、DNSサーバの切断は若干の混乱を引き起こすだろうが、現時点では、残りの感染を解決する最も速い方法かもしれない。そして率直に言えば、早ければ早いほど良い。これらのコンピュータはボットのままでいる限り、他の感染にも脆弱だからだ。

  このアンケートに参加して欲しい:F.B.I.は7月9日以降も継続するよう再認可されるべきか?




  コンピュータのチェックは以下で行える:http://www.dcwg.org/detect/

ツール:DNS Check #DNSChanger

  Rove Digitalというエストニアの企業が、昨年11月につぶれた。何故か? 同社が広告詐欺DNSChangerボットネットの隠れ蓑だったからだ。そして11月以来、米国のFBIは、障害が起きたコンピュータが切断されない(そしてサポート電話の大混乱が起きない)よう設計された、代替DNSサーバを運用している。

  3月、我々は迫り来るFBIの認可の失効について書いた。幸いなことに、認可は7月まで延長された。

  Googleによれば、DNSChangerのインスタンスおよそ50万が現在もイン・ザ・ワイルドで存在しており、同社は先頃、このようなメッセージにより人々に問題を通知し始めた。

  Shadow Server Foundationが、感染を印象的にビジュアル化している:



YouTube: DNSChanger感染

  そのため現在あなたはこう問いかけているかもしれない:DNSChanger感染についてどうやったら調べられるのだろう?

  DNSChanger Working Groupが、問題についてチェックするサイトに関する詳細リストを掲載している。

  エフセキュアラボも、提供しているものがある。「DNS Check」だ。

F-Secure DNS Check

  これはスクリプトベースのツールで、疑わしいDNS設定をリセットするのに使用することができる。

FTPダウンロード:DNSCheck.zip

SHA1: 026b19bfbeeb2e02a9d4157f6fffa82ffcb62ab9 – DNSCheck.hta
SHA1: 5ddd867dc15a3398610868f06daec541278d8b16 – README.txt
SHA1: 2adedec5ceb4009d9b705cb6d9cb4c323dddc9a1 – admin_console.bat
SHA1: dcc8408c05cec84e4ac7420e6f7036c91e708ee2 – .\images\fsecure-logo.png
SHA1: a3630f948bb4d7b6c97318a50c5ad25fa85dca14 – .\images\icon.ico








3月8日へのカウントダウン

  とうとう今週だ!(いや…「iPad 3」のことではない。)

  11月にF.B.I.は、エストニアに拠点を置くRove Digitalが運営していた、DNSChangerボットネットに属するサーバをシャットダウンした。連邦捜査局は以来、代替DNSサーバを実行しているが、その権限が2012年3月8日で期限切れになる。

  そしてそれは、障害が起きた数万のマシンが木曜、インターネットサービスから遮断されるということを意味する。

  Merike Kaeoの調査によれば、何十万にもなる可能性がある。

DNS Changer Infections
DNS Changer NANO54 Slides

  多くの国のインターネット・サービス・プロバイダが、数週間にわたり影響を被った顧客に連絡しようとしてきたが、まだ連絡に注意を払っていない人々がかなりいる。

  困ったことにならぬよう、以下のDNSコンフィギュレーションテストページに、詳細情報がある:

  •  dns-ok.ax
  •  dns-ok.be
  •  dns-ok.de
  •  dns-ok.fi
  •  dns-ok.fr
  •  dns-ok.lu
  •  dns-ok.us

追記:CERT-LEXSIの厚意で、いくつかサイトが追加された。

GoogleのAndroid Marketに課金型SMSトロイの木馬

  今日、課金型のSMSトロイの木馬がGoogleのAndroid Marketで見つかった

  「Lagostrod」という名のデベロッパが、多くのポピュラーなアプリケーションの無料版とおぼしきものを提供した。そしてGoogleはその公式マーケットアカウントを閉鎖したが、AppBrainなどのサイトは現在もそのダウンロードを掲載している。

http://www.appbrain.com/search?q=logastrod

  AppBrainの数値によれば、「Lagostrod」のアプリは何度もダウンロードされている。

  しかし話はこれで終わりではない。このトロイの木馬はまだ生きているのだ。

  AvastのJindrich Kubecが、「Miriada Production」の開発者の現行の名前を含むツイートをミッコに送ってきた。

  「Miriada Production」のAndroid Marketアカウントは現在オンラインだ:

Miriada Production

  Android Marketにはこうしたアカウントがいくつか存在する可能性があり、Googleのセキュリティ面での努力はもぐら叩きゲームの様相を呈している。

  これらトロイの木馬はインストールされると、ショートコードを使用して課金型SMSを送信しようとする。

  以下は偽World of Gooのスクリーンショットだ:

RuleActivity.class

  過去に我々が遭遇した課金型SMSトロイの木馬は、全てロシアを標的としていた。

  今回のトロイの木馬は18カ国を標的としている。

  リストには以下のISO国番号が含まれている:am, アルメニア; az, アゼルバイジャンn; by, ベラルーシ; cz, チェコ共和国; de, ドイツ; ee, エストニア; fr, フランス; gb, 英国; ge, グルジア; il, イスラエル; kg, キルギスタン; kz, カザフスタン; lt, リヒテンシュタイン; lv, ラトビア; pl, ポーランド; ru, ロシア連邦; tj, タジキスタン; ua, ウガンダ

  では、この開発者は自分達のアプリを、どのように正当化しようとしているのだろうか?

  そう…それは細則にある。アプリのインストールアグリーメントには、「カスタマ」が課金型のサービスに登録することになると書かれており、次に、基本的にラッパーである同アプリは、「無料」ゲームをダウンロードする。

  ドイツへの料金は1.99ユーロ、フランスへの料金は4.50ユーロ(うわっ)だ。

  責任は買い手にある。

追記:「Miriada Production」のアカウントは、現在はオンラインではない

FBI:Ghost Click作戦

  米連邦裁判所が、7人の男性(エストニア人1名、ロシア人1名)を、連邦捜査局のGhost Click作戦の一環として起訴した。6名はエストニア当局が逮捕したが、ロシア人の被告は現在も逃走中だ。

  News from the Labブログの以前からの読者は、被告の1人Vladimir Tsastsin(別名「SCR」)を、2008年頃のEstDomains事件でご記憶だろう。

  Ghost Click作戦は、クライムウェアとの戦いにおける、かなりの成功例だと言ってよい。

  Rove Digital(ギャングのダミー会社)は非常に革新的なDNSChangerクリック詐欺を行ったが、これは400万台以上のコンピュータに影響を与え、広告ベースの収益で1400万ドル以上を得たという。オペレーションが非常な成功を収めたため、彼らはMacマルウェアにも手を出した。

  以下はFBIの「コンピュータが不正なDNSを使用しているかどうかチェックする」からのスクリーンショットだ。

FBI, Apple, DNSChanger

FBI, Apple, DNSChanger

  ギャングのマルウェアの中には、ルータを標的とするものまである!

  詳細についてはKrebs on Securityをチェックして欲しい。

不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






エフセキュアブログ生誕一周年記念催事を終えて

エフセキュアブログの生誕一周年記念催事の「最新ITセキュリティ動向  〜ITセキュリティ専門家によるパネルディスカッションをUstream & Twitter実況生中継〜」を6月8日に開催いたしましたので、簡単ではございますが管理人ならではの事後報告を申し上げます。
続きを読む

オンライン株取引は危険

Online stock trading companies

  オンラインでの株の売買はビッグビジネスだが、特有のリスクも存在する。ここで言うリスクとは、投資でミスをするという意味ではない。コンピューターがキー・ロガーにより感染し、取引用アカウントにアクセスできなくなる、という意味だ。

  サンクトペテルスブルグのValery Maltsev氏の例を見てみよう。

  Maltsev氏は「Broco Investments」という名の投資会社(www.brocompany.com)を経営している。

Broco Investments

  (彼にとって)残念なことに、Maltsev氏は昨日、米証券取引委員会に起訴された。

  証券取引委員会は、Maltsev氏が時々行ったNASDAQおよびNYSE株の取引が、驚異的な利益を得ているのは単なる偶然ではないと主張している。Maltsev氏は、他の人々のオンライン取引口座にアクセスするべく、キーロガーを搭載したマルウェアを使用したように見える。そうした口座を用い、彼は暴騰した価格で株を買い、自分の本当の口座を使って、同じ株を売って即座に利益を上げていた可能性がある。

  SEC(証券取引委員会)の告訴内容から引用すると:

  2009年12月21日13時37分、BroCoがAmeriserv Financial, Inc (ASRV) の株を、1株あたり1.51ドルで購入した。およそ1分後、Scottradeの3つの口座が、不法なアクセスを受け、ASRVの株を1株あたり1.545ドルから1.828ドルで購入するのに利用された。その間に、BroCoはASRVの株式を1株あたり1.70ドルから1.80ドルで売り、13時52分に取引を終えている。障害が起きた口座を通じて、ASRVの株について行われた未許可の取引により、MaltsevとBroCoは15分間で141,500ドルを稼ぎ、17,760ドルの純益を獲得した。

  以下は、Ameriserv Financialの株式チャートだ。12月21日の取引状況が異常に高いことが分かるだろう。

Ameriserv Financial, Inc

  SECはMaltsev氏が全体で、250,000ドル以上儲けたと主張している。詳細については、オリジナルのSEC Complaint(PDFファイル)をご覧頂きたい。

  我々がこのような事例に遭遇したのは、今回が初めてではない。2006年にも、Jevgeny Gashichev氏が「Grand Logistics」という名の偽のエストニアの会社を利用して行った、非常によく似たケースが存在した。

Grand Logistics

  彼の戦術はほぼ同じだった:彼はキーロガーとフィッシング攻撃を使用して、株式取引パスワードへのアクセスを獲得し、1ペニーの株の価格をつり上げて儲けたのだ。

Aripaev

  SECによれば、Gashichevは350,000ドル以上を手にしたという。こちらも、詳細はオリジナルのSEC Complaint(PDFファイル)をご覧頂きたい。

Allapleウイルスの作者に判決

  エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。

  Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。

  とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。

  Allapleは多型性暗号化を使用した複雑なワームだ。ローカルHTMLファイルを修正することでネットワーク上に広がる。このようなHTMLファイルがパブリックWebサイトにアップロードされると、感染がさらに広がることになる。

  どうやらBoiko氏は、自動車事故に遭い、If Insuranceと保険査定に関して議論となったらしい。その結果、彼のワームが以下のサイトにDDoS攻撃を開始した:

    www.if.ee             (同保険会社のWebサイト)
    www.online.if.ee    (同保険会社のカスタマ・オンライン・インタフェース)
    www.starman.ee    (地元ISPのWebサイト)

  このDDoS攻撃はかなり深刻なものだった。この件については、2007年のISC Diaryの記事をご覧頂きたい。

  我々は2006年から2007年にかけて、Allapleのいくつかの亜種を検出した。問題は、これがボットネットではないということだ。これらのワームには、コマンドおよびコントロール・チャネルが無い。感染したマシンは、クリーンにされるまで標的を攻撃する。世界には現在も、感染したアクティブなコンピュータが何千もあり、攻撃を続けている。そして同ワームはさらに広がり続けている。

Snapshot from F-Secure interface showing new samples on 11th of March 2010
新たなサンプルを示すエフセキュア・インタフェースからの2010年3月11日のスナップショット

  Boikoは実刑判決を受けたが、裁判までには19ヶ月かかった。彼は損害を補填するため、以下の金額の支払いを行う判決も受けている:

If Insuranceに対して:510万エストニア・クローン(約33万ユーロもしくは45万米ドル)
Starman ISPに対して:140万エストニア・クローン(約9万1000ユーロもしくは13万米ドル)

  詳細(エストニア語)はERR Uudisedにある。

サイバー戦争が再び浮上

Skoudis at HitB2009  Ed Skoudisが、昨日クアラルンプールで開催された「Hack in the Box」カンファレンスで、興味深い基調講演(PDFはこちら)を行った。この講演にはいくつかの点で、前年、Marcus Ranumが行った「サイバー戦争はナンセンス」というタイトルのスピーチ(PDFによるスライドはこちら)の対極にある、サイバー戦争に関する話題が含まれていた。

  多くの興味深いポイントが取り上げられた。以下に少し、ほんの少しだけ取り上げられた要点を挙げておこう:

  サイバー攻撃を、従来のキネティック攻撃(すなわち核兵器、銃など)と同等のものとみなし、場合によっては適切な軍事的対応が必要であると考える傾向を示す国が存在するという話があった。

  しかし、どのレベルが重大な攻撃と考えるべきなのかに関してのコンセンサスは無い。たとえば電力網制御施設が一カ所、運転停止になった場合を言うのか? 一つの街のインターネットアクセスがシャットダウンした場合か? 我々のアナリストの一人が言うように、「デジタル9/11を”本当に”構成するのが何なのだろうか?」

  Skoudisの論点の一つは、基本的に、一つの国全体のインターネットアクセスを停止させる攻撃は、歴史的に見て戦争行為とみなされる封鎖に近いというものだ。エストニアへの2007年の攻撃が思いおこされる。しかし、これは本当に正しい、法律的に許容できる前提なのだろうか? オンライン攻撃は本当に、一国の商業/経済/社会構造に、甚大な障害を引き起こすことができるのだろうか?

  より高いレベルで、この問題が単に大して重要ではないことで大騒ぎしているのではないならば、UNやEUのような超国家的な組織は、サイバー戦争に対処する法律を通過させるべきなのだろうか? たとえば交戦規則を定めるような何らかの取り決めや、「サイバー・ジュネープ協定」のような?

  アメリカ合衆国とロシアは、サイバー戦争の「脅威」に立ち向かうために提案された協定に同意することはできないだろう(New York Timesの記事)。様々なインターネット・コネクティビティやサイバー攻撃の可能性を持つ複数の国が、共同で実用的な協定を取り決めることを可能にする見込みはあるのだろうか?

  そして情報セキュリティのプロフェッショナルはどうだろうか? エストニアやグルジアのサイバー攻撃のような事件では、軍事的なサイトよりもむしろ、商用サイトが標的とされたが、攻撃の影響に対処しなければならないのは、平均的なシステム管理者やセキュリティ・プロフェッショナルなのだ。これらの人々に、サイバー戦争の脅威を軽減するための役割はあるのだろうか? 何らかの役割を担う余地は、業界の手を離れているのではないだろうか? それは単に「私の問題ではない」ということなのだろうか?

  考えるべきことは多く、コンセンサスはまだ無い。このトピックに関する昨年のRanumの講演により、賛成、反対の双方で、多くのブログの投稿、記事、コメントが登場したが、今年の講演はより多くの反応を引き起こすのではないだろうか。

  おそらく、このトピックに関してEd SkoudisとMarcus Ranumが討論するのを聞くのは興味深いことだろう。

IceGoldは帰還せず

  IceGoldは、オンライン送金サービスを行っていた会社だ。エストニアが本拠地の同社は、昨年、エストニア政府が新しいマネーロンダリング防止法を可決した際に、営業を停止した。

  同社は「www.icegold.com」のURLで、プレースホルダー・サイトをアップしてきた。ところが現在、何者かが同サイトをコピーして「www.icegold.us」をスタートし、電子通貨振替を提供している。

  以下は本物のサイトと、偽サイトの外観だ。

icegold

  お金を預けるなら、どこか別の所にした方が良いだろう。

韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか

   先週発生した 米国および韓国WebサイトへのLyzapo DDoS 攻撃 について、当初は北朝鮮が攻撃発信源という報道が飛び交ったりしました。しかしよく見ると、テクノロジー系メディアが比較的に慎重な報道だったのに対し、新聞を母体とする旧来からのメディアはすぐに北朝鮮の名前を出すなど、あまりにもステレオタイプな報道なのが見えて来ます。アメリカでも旧来メディアで扱いかたは同様だったようです。

  冷静に見ると、政治的意図を理由としたサイバー攻撃は、イスラエルとアラブ諸国間やインドとパキスタン間、ロシアと旧ロシア領国間などで、以前から多く発生しています。しかし、だからといって、これらのサイバー攻撃の裏側をすぐに国家や政治的対立に結びつけるのは、単純化し過ぎと云えるのではないでしょうか。

例えば、2007年のエストニアに対するサイバー攻撃の事件では、やはり当初ロシアからの攻撃だという説が喧伝されましたが、逮捕されたのはエストニアにいる大学生でした。そして、先週の韓国とアメリカに対するサイバー攻撃も、DDoSを実行していたマルウェアはイギリスにあるサーバーからコントロールされていたという話題が出て来ています。

よく考えれば、ボットネットをコントロールしている犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。さらに、サイバー攻撃を政治的対立に結びつけるのは解り易すぎる分、じつは他の意図によるメディアの情報操作だったりする可能性も疑わしいかもしれません。

エストニア

 エストニアに対する国家規模のDDoS攻撃が起きてから、今日でちょうど二年目になる。

Availability graph of the website of Estonian government on 30th of April 2007

 2007年4月28日土曜日に、この件に関して私が投稿した最初のブログはここにある。1日後に書いたフォローアップの投稿はこちら。今読んでみると、いささか歴史を感じさせるものだ。2007年4月当時はこうだったのだ。

 偶然にもこの日、私は重要情報インフラストラクチャー保護に関するEU関係閣僚会議に出席するため、エストニアに滞在していた。

 今日の最初のプレゼンテーションは、エストニアのトーマス・ヘンドリク・イルヴェス大統領によるものだった。

Ilves

 イルヴェス大統領の話は実に印象的だった。ヨーロッパの政治家による、理にかなった堂々たるスピーチだ。トピックは私の専門分野に関するものだったのだが、それでもなお、洞察に富んだ内容だと感じさせられた。また、氏がボットネットやDNSSEC、DDoSといった技術的詳細に触れるのを聞くことで、気持ちが新たにもなった。この人に注目したい。

サインオフ
ミッコ
http://www.twitter.com/mikkohypponen

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード