エフセキュアブログ

スパイウェア を含む記事

デバイスにパスコードをかけることが防御の第一歩

phone lock

スマートフォンやタブレットの紛失・盗難の際、最初にデバイスを守るのはパスコード

ConsumerReports.orgによると、米国で2013年に盗まれたデバイスは約310万台に上り、2012年と比べてほぼ2倍となっています。盗んだスマートフォンは大金を生み出すため、窃盗犯にとって格好の標的です。

Consumer Reportsによる調査の興味深い点は、各自のモバイルデバイスに盗難対策アプリをインストールしているユーザや画面ロック機能を利用しているユーザの比率が低いことです。

https://fsecurebusiness.files.wordpress.com/2015/05/where_is_my_phone.jpg


BYOD(個人デバイスの業務利用)が広がるにつれ、モバイルデバイスは情報窃盗やなりすまし、さらにはより高度なセキュリティ攻撃の標的となることを、企業は忘れてはいけません。デスクトップパソコンやノートパソコンと異なり、モバイルデバイスへのスパイウェアやマルウェアのインストールはわずか数分ですみます。モバイルデバイスを盗む必要さえないのです。インターネットで検索すれば、AndroidまたはiOSデバイスにインストールし、あらゆるアクティビティを監視・記録できるモバイル用スパイアプリを提供する会社をすぐに見つけることができます。画面ロックがかけられていなければ、ユーザがデバイスを置いたまま席を外した隙にスパイウェアを仕込むことができるのです。

こうしたデバイス盗難の多発も踏まえ、エフセキュアは盗難対策として一元管理が可能なFreedome for Businessの提供を開始しました。企業はエフセキュア プロテクション サービス ビジネス ポータル内にモバイル用プロフィールを作成し、従業員のAndroidまたは iOSデバイスに画面自動ロックをかけることができます。モバイル用プロフィールを定義する際には、単純な暗証番号から強力なパスワードまで、パスコード要件の選択が可能です。さらにモバイル用プロフィールでは、自動でワイプ(データ消去)されるまでの無効パスコードの試行回数に上限を設けることもできます。

モバイルデバイスへの不正アクセスを防ぐには、単純な4桁の暗証番号でもかなり効果的ですが、それでもロック画面の解除は簡単であることに注意してください。最近では、1週間もかからずに、ほぼあらゆるiOSデバイスのロックを解除することができる特別なハードウェアを誰でも購入できるという報告もあります。こうした「総当たり攻撃」を防ぐために、厳しいパスコードポリシーの使用、または4桁よりも長いパスコードポリシーの設定をお勧めしています。8桁の暗証番号は破るのにおよそ125年かかります。

さらに、万が一ユーザが自動ロックのパスワードを忘れてしまった場合には、パスワードを簡単にリセットすることができます。不運にもデバイスを紛失したり盗まれたりした場合には、プロテクション サービス ビジネス ポータルからリモートでロックをかけたり、完全にデータを消去したりすることがもちろん可能です。

画像出典:Dmitriy Viktorov

>>原文へのリンク

信頼できるインターネット:監視ソフトウェア企業からスパイウェアを買う人を誰が統制するのか?

 秘密が暴露されるのは、ハッカーがハッキングされたときだ。イタリアを拠点とする監視技術の企業Hacking Team社が、7月5日にハッキングされた。ハッカーたちは内部資料、ソースコード、メールを含む400GBのtorrentファイルを一般に公開した。これには顧客のリストも60件近く含まれている。

 同社は圧政国家との取引を公式には否定しているが、このリストにはスーダン、カザフスタン、サウジアラビアといった国家も載っている。また漏えいした資料からは、東南アジア地域のシンガポール、タイ、マレーシアの政府当局が、RCS(Remote Control System)いう名前の最先端のスパイウェアを購入していたことが強く示唆された。

 Citizen Lab(訳注:カナダ、トロント大学内の研究所)の研究者によると、このスパイウェアは並外れて深く侵入する。モバイル端末上のマイクやカメラを起動し、Skypeやインスタントメッセージを傍受し、収集した情報からC&Cサーバへと追跡されるのを回避するために、プロキシサーバによる匿名化ネットワークを使用するのだ。

 Pastebinに投稿された顧客リストの画像に基づくと、このソフトウェアはマレーシアではマレーシア汚職防止委員会、MI(Malaysia Intelligence)、首相官邸で購入された。

hacking_team_client_list (86k image)

 medium.comに投稿された、漏えいした請求書の追加画像では、このスパイウェアがMiliserv Technologies (M) Sdb Bhdという社名の、現地のマレーシア企業(マレーシア財務省に登録)を通じて販売されたことが示されている。同社はデジタルフォレンジック、インテリジェントな収集、公安サービスの提供に特化している。

hacking_team_hack_1 (95k image)

hacking_team_hack_2 (72k image)

 首相官邸が監視ソフトウェアを必要とする理由は、謎のままだ。よく聞いてほしい。プロ仕様のスパイウェアは安くはない。ライセンスのアップグレードには40万マレーシア・リンギット(約1,300万円)かかるし、保守の更新には約16万マレーシア・リンギット(約500万円)を要する。

 マレーシアの非主流派のメディアによるこの事件の報道によれば、2013年の総選挙へ向けて(検出数が)急増する中でマルウェアFinFisherが検知されたが、マレーシアの政府機関はおそらくこの発見の前から当該スパイウェアを使っていたということだ。

 偶然にも、マレーシアは年次のISS World Asiaという見本市の開催地に頻繁になっている。ここでは、法執行機関や、通信会社、政府の担当者に対して、企業が「合法的な」監視ソフトウェアという武器をプロモーションしている。2014年の同イベントにHacking Team社は参加しており、共同で最大のスポンサーとなっていた。

 MiliServ Technologiesは現在のところ、クアラルンプールで次に開催される2015 ISS World Asiaに関与している。同イベントに参加するには招待が必要だ。Hacking Team社が今年も参加しているかを確認したいかもしれないが。


Post by – Su Gim

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

ゲームオーバー・ゼウス 世界中で23万4,000台の被害

マルウェアのゲームオーバー・ゼウスが蔓延っています。ボットネットによる損害は甚大なものになる可能性があります。感染リスクもなくなったわけではありません。イギリスを拠点とするSkyNewsは、今後2週間以内の差し迫った攻撃について報じました。

フロリダに本拠を構える銀行は、約700万ドルの損失を被りました。ピッツバーグの保険会社はビジネスファイルを暗号化され、推定で7万ドルの損害を被りました。レストランの経営者は、レシピやフランチャイズの情報など、1万以上ものファイルを暗号化されました。これまでボットネットは、ランサムウェアによって3000万ドルを盗み取っています。

US CERTは、ゲームオーバー・ゼウスについて注意を喚起してきました。アメリカは各国と協力し、ゲームオーバー・ゼウスのボットネットとランサムウェアであるCryptolockerへの対策を主導していますが、決して警戒を解かず、自身でセキュリティ管理をするよう呼びかけています。エフセキュアはこの件に関して支援を行ってきた企業の1つです。

ゲームオーバー・ゼウス(GOZ)を使用すると、Cryptolockerなど他のマルウェアをダウンロードしたりインストールしたりすることができます。また、銀行の認証情報を盗み出すことができるので、ターゲットとなっている個人や企業が不法に預金を引き出されてしまうため、ついには財産を失うおそれがあります。(出典:FBI CYD 1603.0514.4.2 EXT)

GOZは現在FBIが制御しており、収集される感染したコンピュータのIPアドレスについては、インターネットサービスプロバイダと共有していくことになります。サービスプロバイダは顧客にウイルスを除去するツールを指示します。またそうしなければなりません。

では皆さんがすべきことは何でしょうか。

・アンチウイルス・ソフトウェアの使用と管理:  アンチウイルス・ソフトウェアはほとんどの既知のウイルスを認識し、これらからコンピュータを保護します。アンチウイルス・ソフトウェアを最新の状態に維持することが重要です。
・パスワードの変更:  元々のパスワードは感染の際に盗まれている可能性があるため、変更する必要があります。
・オペレーティング・システムとアプリケーション・ソフトウェアを最新の状態に維持:  攻撃者が既知の問題や脆弱性を利用できないようにするため、ソフトウェア・パッチをインストールしましょう。エフセキュア ソフトウェア アップデータは自動化されたツールで、企業ネットワーク内にあるソフトウェアの状態を常時監視するのに役立ちます。
・マルウェア対策ツールの使用:  マルウェアを特定し除去する正規のプログラムを使用すれば、感染防止に役立ちます。エフセキュア オンライン スキャナは無料のオンラインツールで、PCに問題を引き起こす可能性のあるウイルスやスパイウェアを除去します。エフセキュア オンライン スキャナは、別のセキュリティソフトがインストールされていても機能します。

従来のウイルス対策は十分ではありません。例えば、2013年4月に報告されたGOZクライムウェアへの感染のうち、80%が以前には見られなかった新種のものでした。これらの事例では、ディープガードがそのファイルの悪意のある挙動を認識し、攻撃を阻止することにより、感染を防ぎました。

エフセキュア、テレコム・イタリアとの連携で消費者のマルチデバイスライフを保護

エフセキュアの支援によるテレコム・イタリアの新たなセキュリティサービスが、消費者のスマートフォン、タブレット、およびPCを保護し、安全なオンライン・ライフをサポートします。

エフセキュアはこの度、イタリアの大手通信事業者であるテレコム・イタリアと提携し、テレコム・イタリアの消費者向けモバイル・デバイスのすべての顧客にマルチ・デバイス・セキュリティを提供するはこびとなりました。このTIMProtectと呼ばれる新サービスは、PCやモバイル・デバイス上でブラウジングやオンライン・バンキングを行う際の総合的な保護を提供します。また、同サービスは、子どもたちの安全なブラウンジングを保証し、紛失や盗難の際にもモバイル・デバイスを保護します。

この提携は、消費者のマルチ・デバイス・ライフを反映するものです。消費者の89%がWindows PCを使っているほか、16%がApple PC、39%がAndroidのスマートフォン、そして22%がAndroidのタブレットを使用しています*。また、エフセキュア ラボによると、マルウェアはモバイルデバイスとPCの両方で、これまで以上に複雑に進化し続けています。モバイルのマルウェアは通常、プレミアム課金用の番号にSMSを送信したり、バンキング関連のSMSを転用するなどで、ユーザの知らないところで利益を得ようとしています。

テレコム・イタリアのデバイスおよびサービス部門の責任者、Antonio Andrea Vaccarelli氏は次のように語っています。「通信事業者は、変化するお客様のニーズに迅速に対応しなくてはなりません。エフセキュアとの提携により、すべてのデバイスに対し安全なアクセスを保証できるため、お客様はご自分のスマートフォンを管理し、お子様を容易に守ることができるようになります。」

また、エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「もはやオンラインセキュリティとは、自宅のPCを保護することだけではありません。セキュリティはデバイスに対して変化し続けるニーズに柔軟に対応していく必要があります。世界トップクラスのセキュリティ・サービスを提供してきた弊社の実績をもとに、テレコム・イタリアと連携してお客様のニーズに応えるとともに、安全なインターネットを通じてデジタル・フリーダムを推進できることを大変光栄に思っております。」

高い評価を受けているエフセキュアの技術**に基づくTIMProtectは、高度な技術を通じてあらゆるセキュリティサービスを網羅し、オンライン上の脅威にもリアルタイムで対応します。TIMProtectは、ウイルスやスパイウェア、ハッカー攻撃、個人情報窃盗に対する究極の保護機能を提供するほか、ウェブ・ブラウジングの際に有害なウェブサイトやオンライン攻撃をブロックします。


* エフセキュアの2013年デジタルライフスタイル調査は、15カ国(ドイツ、イタリア、フランス、英国、オランダ、ベルギー、スウェーデン、フィンランド、ポーランド、米国、ブラジル、チリ、コロンビア、オーストラリア、マレーシア)で20〜60歳のブロードバンド加入者6,000人を対象にWebインタビューを実施しました。同調査は、GfKによって行われ、2013年4月に完了しました。

* * エフセキュアは3年連続で、AV-TESTの「Best Protection Award」を受賞しています。

Facebookとエフセキュアによる新たな提携で、マルウェアのクリーンアップをソーシャル化

Facebookは、高い評価を受けているエフセキュアのセキュリティソフトをFacebookユーザ向けの無料サービスとして採用します。

人々は、他のどのような通信手段よりも、ソーシャル・メディアを通じて情報をシェアしています。しかし、ソーシャル・メディアの個人用および企業用アカウントの悪用がしばしば大きなニュースとして取り上げられていることを考えると、これからは、新しい方法でユーザのデジタル・アイデンティティを守っていかなければならない時代です。エフセキュアとFacebookは、世界最大のソーシャル・ネットワークのユーザに安全なオンライン環境を提供するべく、提携関係を結びました。

Facebookは今後、エフセキュアのテクノロジを利用したWebブラウザベースのマルウェアスキャナを無料サービスとして提供する予定です。このサービスは、マルウェアへの感染が原因と思われる不審な活動により一時的にアカウントが停止しているFacebookユーザにご利用いただけるサービスです。コンピュータまたはデバイス上のマルウェアや意図に反する望ましくないソフトは、デバイスの正常なパフォーマンスを妨害したり、個人情報を盗んだり、システムにアクセスするなどの可能性があります。これらは、正規のユーザーアカウントから送信されているように見せかけた悪意あるリンクやスパムを投稿することにより、Facebookユーザやその友達のアカウントを悪用する場合があります。

Facebookでソフトウェア・エンジニアを務めるChetan Gowda氏は次のように述べています。「Facebookを安全にお使いいただけるようにすることは、私たちの仕事の中でも極めて重要です。エフセキュアのアンチウイルス技術の力が私たちの現行システムに加わって、マルウェアのブロックと駆除が実現できることを嬉しく思います。」

また、エフセキュアでプロダクトマネージャを務めるArto Saariは次のように語っています。「Facebookの全世界にわたる目覚ましい発展は、家族や友人との関わり方を大きく変えました。その人気を受け、今度はFacebookがオンライン犯罪の主たる標的となっています。エフセキュアは、Facebookのユーザ基盤がサイバー犯罪者に悪用されることを食い止めるべく、Facebookと提携できることを光栄に思います。」

エフセキュアのマルウェア・スキャンおよびクリーンアップ技術は、Facebookのユーザ・エクスペリエンスへと完全に統合されます。Facebookは、不審な活動をするアカウントを識別すると、クリーンアップ・プロセスにユーザをリダイレクトします。スキャンとクリーンアップは、Facebook内のWebブラウザウィンドウから直接実行できます。クリーンアップ完了後、ユーザはハッカーやスパイウェアに監視されることなく安全にFacebookアカウントへログインすることができます。以下にそのプロセスを示します。

•ユーザが感染したデバイスからログインしようとすると、マルウェア感染に関する通知画面が現れます。そこには、エフセキュアのスキャナの使用を推奨する旨が記載されています。スキャナは検出される脅威の種類に合ったものであるため、デバイスにアンチ・ウイルス・プログラムがすでにインストールされている場合でもこれを実行することが推奨されます。スキャナは最新のもので、実行を完了すると自動的に削除されるため、メンテナンスについて気にする必要はありません。

•ユーザは、マルウェア駆除プロセスをスキップするか、推奨スキャナをダウンロードするかを選択することが可能です。マルウェア駆除プロセスをスキップしたユーザには、後ほど再び実行を促す画面が表示されます。

•スキャナをダウンロードし実行しているユーザは、スキャン中もFacebookやその他のサービスを引き続き利用することが可能です。スキャン完了後、ユーザはFacebookで通知を受け取り、スキャン結果を確認することができます。

モバイル脅威に対する有効な対策

ますます巧妙化するモバイル脅威に対し、エフセキュアの最新版モバイル脅威レポートで紹介されている対策方法についてご案内します。

デバイスにロックをかける


オンラインベースの攻撃に対する懸念が広がっているとはいえ、デバイスをマルウェアに感染させるのに最も容易な方法は、直接ひそかにインストールすることです。まずデバイスの物理的なセキュリティを保護してください。デバイスをロックすることで、誰かがあなたの気づかないところで設定を変更したり、監視ツールやスパイウェアなどのアプリをインストールしたりするような事態を防ぐことができます。

盗難保護対策を講じる

盗難保護対策を利用すれば、デバイスを取り戻すことが不可能だと思われる場合に、リムーバブルメディアを含むデバイス上のデータをリモートで消去することが可能です。盗難対策ソリューションには、デバイスの位置を確かめたいときのためのロケーションマッピングやアラーム起動機能などが含まれます。

権限の要求を確認する

Playストアまたはその他のソースからアプリをダウンロードする際には、要求される権限の一覧を確認してください。インターネットへの接続やファイルを外部ストレージに保存する必要がありますか。あるいはSMSメッセージの送信を許可する必要はどうでしょうか。そうした権限が必要な理由を開発者のサイトで確認し、またレビューを読んで他のユーザの意見を参考にしてください。

ダウンロードしたアプリをスキャンする

アプリをダウンロードした後は、インストールする前に、信頼できるモバイル向けアンチウイルスソフトを使用してスキャンを実施してください。これは「沈黙」の動作、すなわちユーザに通知されることなく許可されている動作を確認する手段です。アンチウイルスソフトのスキャン結果に問題がなければ、安心してアプリのインストールに進むことができます。

信頼できるソースからのみダウンロードする


Android端末では、Playストア以外のソースからのアプリのインストールはブロックされるようにデフォルト設定されています。お使いのデバイスがPlayストアのアプリのみを許可しているかどうかは、[設定]>[アプリケーション]>[提供元不明のアプリ]から確認できます。チェックボックスにチェックが入っている場合は、Playストア以外のアプリがインストールできる状態になっていることを意味しますので、チェックを外してください。

モバイル脅威の最新の詳細については「2014年第1四半期モバイル脅威レポート」を参照してください。

Flappy Birdに関してインターネット安全デーの公共サービス情報

 面白くて奇妙な現象だった「Flappy Bird」として知られるアプリが、その作者Dong Nguyen氏によってアプリケーションストアから削除された

 しかし、Google Playから削除しても、一部の熱心なAndroidファンにとっては何ら支障はない。今のところは、「flappy bird apk」で検索すると正規アプリのコピーへのリンクが複数得られる。

Flappy Bird

 今はそれで良いことにするが…、望まぬスパイウェアが付属した偽のコピーが、やがて混じることがまじまじと予期される。

 したがって公共のサービスのために、インターネット安全デー(Safer Internet Day、SID)の精神において、以下の情報を提供する。

 Flappy Bird v1.3 SHA1:9f472383aa7335af4e963635d496d606cea56622
 当社のバックエンドシステムへの初登場日時:2014-01-31 02:05:50

 コピーの代用品が該当する!または、もっと良いのは、評判のアプリケーションストアから離れずにおいて、WebからAPKをダウンロードしないことだ。

モバイル・マルウェアからの防御 - デバイス自体を守る

今日、ほとんどの人がモバイル・デバイス上に個人用および業務用のメール・アカウントやさまざまな重要なサービスを搭載しています。これは便利である一方、デバイスを紛失したり盗まれたりした場合、ダメージは物理的なデバイスそのもの以上になります。

加えて、オンラインによる攻撃に対する懸念以前の問題として、デバイスにマルウェアを仕掛ける最も簡単な方法は、何者かがデバイスを手にしたときに、手作業でインストールすることです。言い換えれば、まず第一にデバイスを物理的に保護してください。

1.  デバイスをロックする
デバイスをロックしておけば、手元から離れた場合でも、誰かがモニタリング・ツールやスパイウェアなどをインストールすることを防止できます。ロックを効果的にするために、パスワードやパスコードはユニークで、ご自分では記憶しやすく、他人には難しいものが望ましいといえます。

2.  アンチ・セフト防御をセットアップする
アンチ・セフト防御はデバイスを回収できない場合にメモリーカードも含めてデバイス内のデータをリモートで消去できる機能です。いくつかのアンチ・セフト・ソリューションは、デバイスを探すために、位置をマッピングしたり、アラームを鳴らす機能も備えています。


モバイル脅威のカテゴリー

エフセキュアセキュリティラボではユーザーのデバイスやデータに与えるダメージに基づいて、モバイルの脅威を「マルウェア」と「潜在的迷惑アプリ(PUA : Potentially Unwanted Application)」の二つのカテゴリーに分類しています。
マルウェアはユーザーのシステムや情報に重大なセキュリティリスクを与えるモバイル・アプリケーションです。さらにマルウェアは、デバイスに不正なリモート操作を実行する「バックドア」、データを詐取したりデバイスのリソースを乗っ取る「トロイの木馬」、Bluetoothなどの接続を通じて他のデバイスへ自己増殖する「ワーム」に分類されます。
また潜在的迷惑アプリ(PUA)は、プライバシーやセキュリティの観点から望ましくない挙動を取るアプリケーションです。これらには、Webブラウジングの履歴などユーザーの行動を収集する「スパイウェア」、ユーザーやデバイスを特定し第三者に知らせる「トラックウェア」、広告の形を取りながらユーザーの位置情報などセキュリティやプライバシーにかかわる情報を抜き取る「アドウェア」が含まれます。




エフセキュアの最新の2013年7〜9月のモバイル脅威レポートによると、Androidに対する脅威のうち、6割がマルウェア、4割が潜在的迷惑アプリ(PUA)であることが判明しています。

オンライン詐欺から身を守るためのヒント

全世界で10人に1人以上の割合でオンライン詐欺による金銭的被害を経験していることがエフセキュアの最近の調査で明らかになりました。この調査では、ユーザのオンラインの安全性に対する懸念が浮き彫りになっています。また、同調査では、デスクトップおよびノートパソコンが、オンラインに接続するにあたって最も危険なデバイスであると考えられていることがわかりました。
オンライン詐欺による金銭的被害を経験している人の割合は、ヨーロッパで12%であるのに対し、ヨーロッパ以外では17%となっています。ヨーロッパで最も高いのは英国の17%で、ヨーロッパ以外では、米国およびマレーシアが最も高く、両国とも20%となっています。

オンライン詐欺から身を守るために、次のようにご注意ください。

・ 英数字や特殊文字を組み合わせて、アカウントごとに異なるパスワードを使用する。
・ 確実に信頼できるサイトの、URLに「HTTPS」が含まれているページにのみ、個人情報や金融関係の情報を入力する。
・ 共有のパソコンや公共の場にあるパソコン上、または公共のWiFiを経由したオンラインショッピングやオンラインバンキングは回避する。
・ 銀行などの機関を装ったフィッシング詐欺メールに注意する。
・ 不審なメールのリンクをクリックしたり、添付ファイルを開いたりしないようにする。
・ ブラウザおよびソフトウェアを必ず最新の状態に維持する。
・ お子様がいるご家庭は、お子様がクリックする場所に気をつける。多くの「罠」は、お子様の興味を引くように設計されています。
・ 現実にはありえないようなできすぎた話に注意する。
・ 銀行やクレジットカードの取引明細を定期的にチェックして、見覚えのない取引がないか確認する。
・ エフセキュアをはじめとする信頼できる会社のインターネット セキュリティ ソフトウェアを使用する。エフセキュア インターネット セキュリティは、ご利用のパソコンとネットライフに最高のセキュリティを提供し、ウイルス、スパイウェア、マルウェアをブロックして、オンライン バンキング、オンライン ショッピングやネットサーフィン中も保護します。体験版は無料でご利用いただけます。

なお調査結果の詳細はこちらをご覧ください。
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1125080/

ソフトウェアがアップデートされない危険性

PCにインストールされている各種ソフトウェアのバージョンが最新でなくセキュリティパッチも適用されていない状態で使用することは脆弱性やセキュリティホール などのセキュリティ上のリスクをもたらします。これらは同時にビジネスのセキュリティレベルの低下を招き、情報漏洩などの社会的信頼の失墜により業績を低下させる危険があります。

企業にとって最も良い防御方法は、オペレーティングシステム、プラグイン、アプリケーション、ブラウザといったソフトウェアの最新バージョンを使用するよう に留意することです。しかし、すべてのコンピュータでソフトウェアを最新状態に保つことは、企業にとっては非常に負荷が大きく、特にITリソースが乏しい企業ではほとんど不可能な作業となっています。


「エフセキュア クライアント セキュリティ プレミアム」では従来のアンチウイルス、スパイウェア対策などのセキュリティ機能を提供しつつ、これらのセキュリティリスクを低減するための新たなソリューション「ソフトウェア アップデータ」を提供します。





「エフセキュア クライアント セキュリティ プレミアム」の特徴


エフセキュア クライアント セキュリティ プレミアム」には、オペレーティングシステムやアプリケーションを常に最新の状態に維持するソフトウェア アップデータが実装されています。ソフトウェアアップ データは、実施されていないセキュリティアップデートやパッチを確認するためにコンピュータをスキャンし、自動もしくは手動でこれらを適用します。ソフトウェア アップデータは、Windowsに 加えて、サード・パーティのアプリケーションのアップデートにも対応します。大半の脆弱性はオペレーティングシステムだけでなく、ブラウザ、プラグイン、 その他アプリケーションを含むサード・パーティのソフトウェアで見つかるため、最新の状態に保つことは非常に重要です。


さらに「エフセキュア クライアント セキュリティ プレミアム」は、ふるまい検知技術の最新版であるディープガード5を備えています。ディープガード5は、ゼロデイ攻撃を検知する能力を持ち、対抗するためのふるまい検知、メモリ検知、レピュテーション解析などの組み合わせを駆使したインテリジェントなアンチ・マルウェア・エンジンです。


無料アップグレードキャンペーン


ソフトウェアを常に最新に保つことができる「エフセキュア クライアント セキュリティ プレミアム」を、現在競業製品を使用中のお客さまにお求め安い価格でご提供するために、新規でご購入頂く場合、一年間「エフセキュア クライアント セキュリティ スタンダード」の価格でご利用可能なキャンペーンを実施します。また既存のお客さまには20%の追加費用でプレミアム機能を次回更新時までご利用可能にいたします。キャンペーン期間は、2013724日(水)から20131227日(金)弊社受注分までとなります。

キャンペーンの詳細は、キャンペーンチラシ (PDF 1.3MB)  をご参照ください。

Macのスパイウェアの餌:Lebenslauf fur Praktitkum

 昨日のKumar in the Macについての投稿の続報として…。以下のようなファイルが添付されたメールを受け取ったことがあるだろか。

Lebenslauf fur Praktitkum

添付ファイル:

  •  Christmas_Card.app.zip
  •  Content_for_Article.app.zip
  •  Content_of_article_for_[名前を削除].app.zip
  •  Interview_Venue_and_Questions.zip
  •  Lebenslauf_fur_Praktitkum.zip(実務研修の履歴書の意)

 受け取ったことがあるなら、あなたは、Macにスパイウェアをインストールするよう計画されたスピアフィッシングキャンペーンの標的になっている。

 アップルのDeveloper「Rajinder Kumar」として署名されたバイナリの一覧を以下に挙げる。

Trojan-Spy:OSX/HackBack.Bとして検知:
 
  •  1eedde872cc14492b2e6570229c0f9bc54b3f258
  •  6737d668487000207ce6522ea2b32c7e0bd0b7cb
  •  a2b8e636eb4930e4bdd3a6c05348da3205b5e8e0
  •  505e2e25909710a96739ba16b99201cc60521af9
  •  45a4b01ef316fa79c638cb8c28d288996fd9b95a
  •  290898b23a85bcd7747589d6f072a844e11eec65 — 昨日の投稿で言及

Backdoor:OSX/KitM.Aとして検知(スクリーンショット機能を含む):

  •  4395a2da164e09721700815ea3f816cddb9d676e

 このスピアフィッシングのペイロードは格別「高度な」ものではないが、ドイツ語化され、標的の名前(上の例では削除)が用いられていることから、攻撃者が多少なりとも下調べを行ったことが示唆される。

 ご用心を。

 さらなる情報は以下。
Oslo Freedom ForumでMacのスパイウェアが見つかる
Big Hangover

Macのスパイウェア:OSX/KitM(Kumar in the Mac)

 新たなBackdoor:OSX/KitM.Aの事例が確認された。

 ドイツを拠点とする調査員が、OSX/KitMの件で、昨日当社に接触をしてきた(OSX/KitMについては先週ブログに書いた)。KitMは「Kumar in the Mac」の略で、スパイウェアに与えた当社の記号だ。OSX/FilestealまたはOSX/HackBackとして知られているものに関連があり、Rajinder Kumarという名前の、アップル社のDeveloper IDで署名されている。アップルはその後当該Developer IDを無効にした。

 このOSX/KitMの最新版は2012年12月から2013年2月上旬の攻撃期間中、liveapple.euというルーマニアのC&Cサーバを使用していた。スピアフィッシングでは、Christmas_Card.app.zipという名前の添付ファイルが使われていた(攻撃が12月に開始されたことを思い出してほしい)。

 そこで、標的になる可能性のある方のために、我々から少々アドバイスを。

 以下はデフォルトの「Gatekeeper」のセキュリティ設定だ。

Mac, Security & Privacy
Mac App Store and identified developers(Mac App Storeと確認済みの開発元からのアプリケーションを許可)

 ソフトウェアを盛んにインストールするのでなければ、必要な設定は以下のようになる。

Mac, Security & Privacy
Mac App Store(Mac App Storeからのアプリケーションのみを許可)

 厳しいほうの設定でOSX/KitMをインストールしようとすると、次のメッセージが表示される。

Kumar's Christmas Card

 もしOS X Mountain LionまたはLion v10.7.5を起動しているのであれば、追加的な予防措置として、設定を調整するとよい。

SHA1: 290898b23a85bcd7747589d6f072a844e11eec65

Big Hangover

 先週、Oslo Freedom Forumで発見されたMacのスパイウェアは、一見したところ、より大きなスパイ活動と繋がっているようだ。そしてそのスパイ活動はインドに関連がありそうに見える。

 昨日、Norman社のスタッフにより「Hangover Report」が公表された。



 Snorre FagerlandはBackdoor:OSX/KitM.Aが使用しているC&Cサーバへの接続を確認した。

 さらに、ESET社のスタッフから「Targeted information stealing attacks in South Asia use email, signed binaries(南アジアにおける、メールや署名済みバイナリを利用して狙った情報を盗む攻撃)」という関連情報が提示された。

 伝えられるところによれば、アップル社は、KitM.Aで使用されているDeveloper IDを無効にしたとのことだ。

Oslo Freedom ForumでMacのスパイウェアが見つかる

 Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。

 当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。

 このスパイウェアはAppleのDeveloper IDで署名されている。

Developer ID

 起動ポイントは以下だ。

Launch point

 スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。

Screenshot dump folder

 ファンクションは次のとおり。

Functions

 このサンプルにつながりのあるC&Cサーバは2つある。

DomainTools, securitytable.org
securitytable.org

DomainTools, docforum.info
docsforum.info

 片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。

docsforum.info
Forbidden

 当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)


標的型攻撃が私生活を狙うとき

  現在のところ標的型サイバー攻撃は企業や政府機関に対するものが多数ニュースになっています。しかし、もし私生活も狙われるとしたらどうなるでしょうか? 企業や政府ならば内部ネットワークにそれなりのセキュリティ対策が施されていたとしても、自宅ネット接続ではインターネットルーターのファイアーウォールとマシンに入れたウィルス対策ソフトくらいしか防御手段がないのではないでしょうか。そして最近話題の出口対策はほとんど初めから考慮されていません。企業や政府の中でターゲットにされた個人の私生活から収集した情報を基にして、さらに組織への標的型攻撃を仕掛ける事は十分ありうるでしょう。

  標的型攻撃の初期段階でFacebookやLinkedInなどのソーシャルネットワークで事前情報の収集が行われていることは指摘されています。その次の段階になると、ソーシャルネットワークの情報を基にターゲットの私生活を狙った盗聴・盗撮などでの情報収集が行われる可能性があるでしょう。そして現在のPC・携帯電話・スマートフォンなどにはほぼすべてカメラとマイクロフォンが搭載されていますが、これらは監視カメラにもなりえるわけです。実際にPC内蔵カメラを外部から制御して画像を送信させるスパイウェアがあり、アメリカでこれを悪用したコンピューター修理ショップの技術者が逮捕された例が最近ありました。

  この犯人の21歳の技術者は、ショッフにPCを持ち込んで来た特に女性客を狙ってCamCaptureというスパイウェアを仕込んで修理し、外部からインターネット経由で覗きをしていました。また、被害者の女性数人にはカメラの前で服を脱ぐように指示する脅迫メールを送りつけていたそうです。しかし、その店舗に修理を依頼した姉妹が、修理後からカメラ動作ランプが不可解な点灯をするようになったのに気がついて他の修理ショップに持ち込んだことから、スパイウェアが仕込まれた事が判明して逮捕に至ったということです。この犯人の場合は被害者のコンピューターを直接触って仕込んでいましたが、このようなスパイウェアを感染させるように設定したウェブサイトにフィッシングで被害者を誘導する手段もありうるので、大量のPCを監視カメラ化することが可能になります。

  これと同様の発想のスパイウェアはスマートフォン向けに登場してくるでしょう。実際スパイウェア以前に、Lady Gagaやスカーレット・ヨハンソンの携帯電話から自写ヌード画像などがハッキングで流出する事件が既に起き、日本でもユーザーの意図しない内に個人情報をマーケティング目的で収集する機能を持ったアプリが出回った例がいくつもあるわけです。特にAndroidスマートフォンの場合はユーザーによるアプリ購入は基本的に自己責任方式であり、Google以外が提供するアプリマーケットからもダウンロードできるため、マルウェア混入のアプリがすでに何度も登場しています。その中で、外部からコントロールしてスマートフォンを監視盗聴デバイス化するマルウェアが出てくる可能性がありうるわけです。高性能のCPUを搭載してGPSや様々なセンサーを持つスマートフォンは、ターゲットした相手が常に持ち歩くわけで、標的型スパイ攻撃にとって理想的なデバイスです。と、書いていた間にAndroidのリモートアクセス・トロージャンと思われるマルウェアが中国で登場の話題が出ていました。
  さらに中国のNetQinの調査によると今年前半でのスマートフォンのマルウェア感染は1280万台(Android 78%、Symbian 19%、17,676種のマルウェア)という推計も出ています。
  PCのウィルス対策ソフトはかなり普及して現在はスマートフォン向けの普及の必要性が叫ばれていますが、ここでも外部へ出て行く情報の制御など、ウィルス対策ソフト・レベルでの対策の組込みは急ぐべき課題ではないでしょうか。

ネットの自由を確保しながらサイバー犯罪と戦う

By Mikko Hypponen, Special to CNN
August 7, 2011


(CNN)-- 地理的観点の重要性は過去のものに

  現実世界では、自分の街に住む犯罪者を気にするだけで良い。しかしオンラインの世界では、地球の裏側の犯罪者について心配する必要がある。オンライン犯罪は常にインターナショナルだ。インターネットに国境はないからだ。

  今日、コンピュータウイルスや他の悪意あるソフトウェアは、もはや、仲間内での名声や栄光を求めるホビーストハッカーではなく、自分達の攻撃により、数百万ドル儲けているプロの犯罪者によって書かれている。これらの犯罪者は、一般ユーザのコンピュータやPaypalパスワード、クレジットカード番号にアクセスしたいと考えている。

  オンラインギャングたちは、高いレベルのコンピューティングスキルを持つが、実社会で就職の機会が無い人々をリクルートする。現在では、Web上のアンダーグランドマーケットで作成され、販売されるウイルス、ワーム、トロイの木馬、スパイウェアといった危険なクライムウェアのグローバルマーケットが存在する。

  国際社会は問題の本質や規模に取り組むことができていない。国家警察や法律制度は、オンライン犯罪の急速な成長に追いつくことが極めて困難であると理解している。彼らにはオンラインの犯罪行為を調査するのに、限られたリソースと専門知識しか持っていない。被害者、警察、検察官および裁判官が、国境をまたいで起きる犯罪の全容を解明することは滅多に無い。犯罪者への対処はあまりにも遅く、逮捕はごく稀にしかなく、そして現実世界の犯罪と比較して、刑罰が非常に軽いことがあまりにも多い。

  我々は犯罪者たちに、誤ったメッセージを送っている。そしてそれが、オンライン犯罪が急速に成長している理由だ。現在、自称オンライン犯罪者は、自分達が捕らえられ、処罰される可能性は無視できるほど小さいが、利益は大きいということを知っている。

  武装ギャングが銀行に乗り込み、現金を要求するなら、警察は行動に出る用意ができている。このような犯罪で国境を超えれば、国際警察機関が関与する。武装ギャングが捕らえられれば、常に裁判があり、銀行は検察官に可能な限りの最高刑を要求するだろう。

  これはオンライン犯罪には当てはまらない。バーチャルな武装ギャングは、ほとんど誰にも止められることなく、自由に歩き回る。オンライン犯罪は常にインターナショナルだが、地元の警察当局は通常、調査を行うため、ローカルなリソースしか持っていない。オンライン犯罪は、「オフラインの」犯罪よりも実行しやすく、経費も少なくて済む。

  コンピュータセキュリティ企業は、顧客のコンピュータを守るべく最善を尽くしているが、問題の中心にいる犯罪者たちと戦うために、非政府組織が直接行えることはわずかしか無い。アンチウイルス企業は法執行機関ではないし、そうあるべきでもない。オンライン犯罪への取り組みには、国際的なレベルでリソースの調査を行う必要があり、専門の法執行機関が犯罪者を追って、オンラインの世界に入る必要がある。

  伝統的に、国際的な法の執行は、麻薬密売や密輸といった国際的な巨大犯罪にフォーカスしている。こうした調査に関与する国々は、犯罪者たちを捕らえることの意義を理解している。

  しかし、オンライン犯罪はいくつもの小さな犯罪で構成されているのが一般的だ。攻撃者たちは銀行をハッキングせず、銀行の顧客をハッキングする。一人の被害者は、自分の銀行口座から数百ドルを失うだけだ。国際的な調査を開始するのは行きすぎのように見えるため、国際協力を得ることは難しい。問題はもちろん、犠牲者が一人ではないということだ。Banking Trojanボットネットは、同時に数万人から盗みを働くかもしれない。

  我々に必要なのは、ネット上で活動する組織犯罪に焦点を絞った執行力を持つ国際警察だ。こうした組織は、クライムウェアの食物連鎖のトップを調査し、オンライン犯罪組織を動かしている人々を追跡する。犯罪の見かけの規模に関わらず、各加盟国は他の国と協力する必要がある。

  もちろん、このような新しい警察機構を確立するには、法律的に多くの課題があるだろう。たとえば、悪意あるコードは、それが違法でさえない国、あるいは犯人が起訴されない国で作成されることが多い。

  私の考えでは、このような機関は国際的なマルウェア犯罪ギャングとの戦いにのみフォーカスすべきだ。パイレーツや政治的ハッカーといった他の領域に拡張しようとすれば、事はさらに複雑になるだろう。Banking Trojanギャングにうろつかれたい人はいないのだから、我々はこの問題にフォーカスすべきだ。最も避けたいのは、ネットの自由を制限しようとする、ある種のネット警察だ。この自由はまさに、インターネットが現在のように役立つものになった理由でもあるのだ。

  しかし今や我々は行動する必要がある。そうしなければ、オンライン犯罪はより強力になり続け、ネットが我々にもたらしたすべての利益を失う危険をおかすことになるかもしれない。我々の世代は、オンラインを獲得した最初の世代だ。我々は将来の世代のために、このリソースが存在し続けるようにすべきなのだ。

  このコラムは、CNN.com上に最初に掲載されたものだ。

Mikko Hypponen on CNN cover page

ミッコへのCNNインタビュー

Androidスレットスパイウェアについて:「Android/SndApps.A」および「Trojan:Android/SmsSpy.D」

  Androidマルウェアが現在、大流行しているようだ。分析を行っている際に突然現れたため、我々が論じてきた2、3の興味深い問題について、若干のコメントがある。

  最初に:公式Androidマーケットで発見された疑わしいアプリケーションに関して、最近報告があった。問題のアプリはマーケットから削除されているが、エフセキュアのスレットハンティングチームは今もフォーラムなどで、通常「無料アプリ」として遭遇している。

  これらのアプリケーション自身は、単なるゲームのように見える。しかしある時点で、追加サービスがアプリに追加されたようだ。以前のバージョンではインターネット接続以外、何も求めなかったのだ:

permissions_internet (104k image)

  しかし最近のバージョンでは、それよりも若干パーソナルなものになる:

application_permissions (47k image)

new_permissions (169k image)

  こうした変化により、同アプリはデバイスからさまざまな情報にアクセス可能になる。キャリアや国、デバイスのID、メールアドレスおよび電話番号などだ。

services (92k image)

  こうした情報はリモートサーバに送られる。

  同アプリのさらなるひねりは、クリックするとユーザがおそらく試したいと思うような、他のアプリに導く小さなアイコンを含んでいるということだ。表示されるこれらのアプリも、同様の疑わしい挙動を示すようだ。

applications (66k image)

  興味深いのは、同アプリの以前の「平凡な」バージョンと最近の「疑わしい」バージョンの双方が、同じデベロッパによるもののようだということだ:

comparison (56k image)

  既存のアプリに後日、新たな疑わしい挙動が追加されたようだが、無関係な悪意あるルーチンが加えられた、リパッケージされたアプリではない。我々は現在も、そのさまざまな局面を調べているところだ。今のところ、観測された挙動にもとづき、我々はこれらのアプリケーションを「Spyware:Android/SndApps.A」として検出している。

  Androidアプリケーション開発、特に「グレイウェア」の発展として考えられることから、我々は今回のケースに興味を感じている。この種の挙動は、我々の以前の予測の一つを裏付けている。「世間に認められた」開発者は、疑わしい/不要な/非倫理的なルーチンを含み、ユーザのプライバシーを侵害するかもしれないアップデートを配信することができる、というものだ。

  この新たに追加されたルーチンには、マーケティング広告やスパムなど、他の目的で使用することができるユーザ情報の獲得も含まれる。最悪の場合、これらの詳細はサードパーティに販売されるかもしれない。我々には、これらの情報がどうされるのか知るすべは無い。

  より最近のケースでは、報告された他のAndroidアプリ、今回はトロイの木馬の奇妙な挙動について議論している。

  このトロイの木馬はSMSメッセージをインターセプトし、ループバックアドレスに報告するが辻褄の合わない話だ:

smsspy_loopback (131k image)

  我々の調査では、このアプリはテストプログラムであるようだ。我々はこれを「Trojan:Android/SmsSpy.C」として検出している。

  しかし我々のスレットハンターの一人が、より有用であるように見えるファイル(SHA1: 7d8004b107979e159b307a885638e46fdcd54586))を見つけている:

smsspy_link (160k image)

  それはより本物の取引のように見える。我々はこれを「Trojan:Android/SmsSpy.D」として検出している。


-----

分析と投稿はZimry、Irene、RaulfおよびLeongによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード