エフセキュアブログ

ドライブ バイ ダウンロード を含む記事

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

CryptoWallが2.0にアップデート

 この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)

マルチデバイス時代のセキュリティ脅威を改善

消費者の89%がWindows搭載コンピュータを、16%がAppleのコンピュータを、39%がAndroidスマートフォン、そして22%がAndroidタブレットを使用しています。しかし、マルチデバイス時代の負の側面として、インターネット接続が1つ増えるということは、同時にユーザの弱点につけ込もうとするサイバー犯罪者の新たなゲートウェイになるということです。新しいF-Secure SAFEでは、消費者は複数のコンピュータとモバイルデバイスをこの製品だけで簡単に管理できます。

実際に、スマートフォンやタブレットが紛失したり盗難に遭うなどで、消費者のデータやコンテンツ、個人情報がリスクにさらされる可能性は高いのです。モバイルマルウェアの状況も絶えず進化しており、新たな脅威は四半期ごとに少なくとも25%増加しています。Androidのマルウェアは、正規のアプリストア以外で、マルバタイジングやドライブバイダウンロードといった形で出現しています。





どのデバイスからでも安心してネットサーフィン、ショッピング、インターネットバンキングを利用に

F-Secure SAFEは、コンピュータ、スマートフォンならびにタブレットを、ウイルスやスパイウェア、ハッカー、なりすまし犯罪から守り、悪質なウェブサイトやオンライン攻撃をブロックします。保護者は、F-Secure SAFEを使うことで、不適切なウェブコンテンツから子どもたちを守ることができます。F‐Secure SAFEは、PCまたはMacでのインターネットバンキングの取引の安全性を確保します。スマートフォンおよびタブレットを紛失したり、盗難に遭った場合でも、紛失したデバイスのロックおよび位置検索機能でこれらを保護します。

F-Secure SAFEには、使いやすい自己管理型ポータルが含まれます。消費者は、このポータルでデバイスの追加や削除のほか、デバイスごとの保護設定を簡単に変更することができます。

F-Secure SAFEは、www.f-secure.com/ja/web/home_jp/safeからご購入または30日間無料でお試しいただけます。また、Google Playおよび世界中のチャネルパートナーからも入手できます。

2013年上半期、Androidマルウェアはアプリストア外にも出現

2013年上半期には、Androidマルウェアの358の新しいファミリーおよび亜種がエフセキュアラボによって検出されました。これにより、当 ラボがこれまでに検出した驚異の合計数は、ほぼ2倍の794になりました。これに続くのはSymbianで、16の新しいファミリーおよび亜種が発見され ました。その他のモバイルプラットフォームでは新しいファミリーや亜種は発見されませんでした。


Androidマルウェアも、アプ リストアだけで配布されるものではなくなりました。2013年上半期は、感染しているサイトを訪問している間に、悪意のある広告やドライブバイダウンロー ドによって配布されることがありました。悪意のある広告または悪意のある製品にユーザを導く広告は、広範囲に及ぶことも手伝って、モバイルマルウェアの配 布に利用されることが多くなっています。また、モバイルではまだパソコンほど複雑でないとはいえ、ドライブバイダウンロードが今後も攻撃ベクトルとなるこ とが見込まれています。モバイルドライブバイでは、アプリケーションのインストールを確認するメッセージを使用していますが、これらを回避するオプション があるため、パソコンのドライブバイよりも見破りやすいものだといえます。



Androidのトロイの木馬であるStelsは、ボッ トネットの構築から、バンキングにおけるトロイの木馬としてのmTANs(モバイル取引認証番号)の窃取まで、複数の目的を果たすものです。Stels は、配布手段としてスパムなど、Windowsマルウェアで一般的な方法を使用します。これは、Androidマルウェアが、高度に発展した Windowsの脅威のレベルにさらに近づいていることを証明しています。


「2013年上半期脅威レポート(THREAT REPORT H1 2013)」の詳細はこちらをご覧ください(英語): 
http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2013.pdf

この10年の脅威環境の変化 - その1 -

この10年ほどで起きた脅威環境の変化について、3回にわたってお知らせします。
なぜプロアクティブな防御が必要か、ご理解いただけましたら幸いです。

マルウェアの急激な増加

悪意のあるプログラムの生成プロセスを自動化したマルウェア作成キットが初めて広く利用可能になった2000年代半ばから、アンチウイルスラボで見つかるマルウェアのサンプル数が爆発的に増加しました。
毎月数十万個の新種や亜種が生み出され、増殖しています。数が圧倒的であるだけでありません。
これらの亜種の多くは、莫大な数量でアンチウイルスプログラムを圧倒することを目的に、数日または数時間という短期間だけ生き残るよう設計されています。

オンラインに移行する攻撃

マルウェアが電子メールの添付ファイル経由で配布されるのが一般的だった時代は過ぎ去りました。
今日、最も一般的な攻撃方法は、侵害された正当なサイトや、検索エンジンまたは侵害されたサイトからトラフィックをハイジャックする悪質サイトを訪問している間に、密かにダウンロードが行われる「ドライブバイダウンロード」です。
マルウェア配布者や攻撃者は、標的とするコンピュータへの直接配信から広範なオンラインの世界に移動することで、ターゲットオーディエンスを増やしているだけでなく、感染の防止をますます難しくしています。
攻撃サイトを特定し、ユーザがそのサイトを訪問することを防ぐメカニズムがなければ、攻撃が発生したという明白な兆候もなく、ユーザのコンピュータが食い物にされてしまいます。

マルウェアがサイバー犯罪ツールに変化

感染による影響も、組織犯罪者達がサイバー犯罪に手を染めるようになってから変化してきました。
最近のデータ・個人情報の盗難、金融詐欺はすべてマルウェアが絡んでいる犯罪行為です。
被害額が驚くべき額に昇ることもあります。
たとえば、米国連邦捜査局(FBI)は、2012年上院公聴会で、2011年のゴーストクリック作戦で壊滅させたクリックボット詐欺で、1400万ドルもの「不正利益」が上げられていたことを報告しています。
ほとんどの関係当局には、サイバー犯罪者を摘発するリソースやサイバー犯罪を訴追する政治的意志が欠けています。
そのため、サイバー犯罪者にとってオンライン上での活動を続け、さらにそれを改善していくための強力な金銭的インセンティブが存在します。

アップルの「セキュリティ」について、う〜ん、となってしまうこと

ティム・クック様

 最近「antivirus」という用語を検索したことはありますか? — 検索していないのではないかと存じます。

 以下は、現在Googleインスタント検索が提示している内容です。

google.com, antivirus

 ふむ、「antivirus for mac」 — 非常に興味深い。

 ご存知でしょうが、おそらくアップルの「セキュリティ文化」を改めるときがきたのではないでしょうか?

 別の検索をしてみましょう。apple.comで「security updates」を検索すると、以下の結果が得られます。

apple.com Search Results

 マーケティング資料ですね。一般的な。あ、サポート情報は右側にあるんですね。了解です。これで結構です。セキュリティはサポートの問題です。

 続いてapple.com/support/で「security updates」を検索すると、以下の結果が得られました。

apple.com/support/ Apple Support Search Results

 1件目は去年の12月のもので、それ以降にはさらに古い結果があります。しかし、本文の中ではセキュリティ・アップデートについて言及しているように見えます。記事を開くと、最終的にApple security updatesのインデックスへリンクしています。

 このインデックスは、このように見つけにくくするべきものではありません。それに、実際に前述の検索結果に現われるのに、このインデックスが引用符の中になければならないのはなんだか悲しいものです。

Apple Security Updates

 では、最新のセキュリティ・アップデートの記事を見てみましょう。

About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13

 ページの最後のほうに、Malware removalマルウェアの除去)という節があります。

Malware removal

 これはGoogleによって提供されている「summary要約)」という単語の定義です。

google, summary definition

 要約は無駄ではないでしょう。しかし「マルウェアの除去」がその中で触れられていないのは、ちょっとまずいと思わないのでしょうか。

 ここで、他の検索をしてみましょう。

 以下は、apple.com/support/にて「antivirus」を検索したときに得られる結果です。

Avoid harmful software

 Avoid harmful software(害のあるソフトウェアから免れる)?うわ〜、すばらしいヒントです。今が2009年であったのなら。

These apps, called

 Internet downloads and email enclosures(インターネットからのダウンロードや、メール添付)?

 非常に率直に申し上げて、このアドバイスは、2012年7月に書かれた時点で、既に時代遅れとなっています。

Last Modified: Jul 31, 2012

 「exploit(エクスプロイト)」「drive-by attack(ドライブバイ攻撃)」「watering holes(水飲み場)」…、当たり前ですがこれらに関連する事項に言及するように、この記事をどなたかに更新させてはいかがでしょうか。

 お聞きください。このようなことがありました。11年前、インターネット・ワームがWindowsを食い物にしており、結局、まさしく警鐘を鳴らすこととなりました。この時点でマイクロソフトは、同社のセキュリティ文化を変革しようと大いに努力し、成功しました。

 翻ってアップル社は?

 以下は、御社からの一節です。

 「当社の顧客を守るために、調査がすべて行われ、必要なパッチまたはリリースが提供できるようになるまで、アップルはセキュリティ問題について開示、議論、追認を行いません。」

 問題なのは次の点です。

 アップルはパッチを提供する「まで」問題を認識することを拒否しているだけでなく、事後に議論することさえしません。

 では、なぜこれが問題なのでしょうか。

 なぜなら、我々はもはやインターネット・ワームの時代に生きているわけではないからです。今はインターネット・ハッキングの時代なのです!大規模なMacユーザ基盤を持つ組織が、情報に基づき脅威を評価できるようにする、という意味において情報には価値があります。

 よりアップルのシェアがあるコミュニティほど、みんながもっと幸せになります。

 したがいまして、どうかアップルの秘密主義と否定の文化を変えることをご検討ください。

 御社には才能と親しみにあふれたセキュリティ担当アナリストがいるでしょう。彼らの尽力に光を当てないのはなぜでしょうか。彼らを中心に据え、彼らの優れた仕事を賞賛することをご検討ください。是非この問題に真正面から対処してください。

 なぜなら、それが正しい行動だからです。

 では。

エフセキュア
セキュリティ・アドバイザー

Javaランタイム環境 = 常に脆弱なマシン

  さて皆さん…常に脆弱なマシン、OracleのJavaランタイム環境(JRE)には高度に悪用可能な新しい脆弱性(CVE-2012-4681)がある。たった今、共有化されたところなので、遠からずBlackholeのようなポピュラーなエクスプロイトキットに到達するだろう。

  また、もしあなたがJava(JRE)をインストールしているなら、そしてブラウザプラグインをオンにしているなら…ドライブバイダウンロードの危険にさらされている。我々がこれまでに調査した詳細にもとづけば、あらゆるブラウザに悪用される可能性がある(Chromeは若干、議論の余地があるようだが)。

No Java (JRE)

  そしてJava(JRE)はクロスプラットフォームのため、もし攻撃者が適切に設定したペイロードをドロップするなら…非Windows攻撃に結びつく可能性がある。

  必要としない(もしくは使っていない)なら、Java(JRE)をアンインストールして欲しい。もし必要(そしてそうしたい)なら、少なくとも使用しない時は、ブラウザのプラグインをオフにして欲しい。Javaベースのサイト閲覧だけのために、別のブラウザをインストールすることを考慮しても良いだろう。

  こうした変わらぬ脆弱性を、あなたはどのように緩和するだろうか? 以下のアンケートに回答して欲しい:




Black Hat USA 2011

  今週、「Black Hat」および「DEF CON」が開催され、コンピュータセキュリティの専門家が、何千人もラスベガスに集まっている。

Black Hat 2011 DEF CON 2011

  Siemens PLCセキュリティ、SSLモデルの見直し、Macラップトップのバッテリーなどが今年のホットトピックだ。

Black Hat 2011 DEF CON 2011

Black Hat 2011 DEF CON 2011

Black Hat 2011 DEF CON 2011
「DEF CON 19」で基調講演を行うミッコ

  非常に期待されていたトークに、Riley HassellとShane Macauleyの「Androidのハッキング」がある。不可解な理由により、二人のスピーカーとも、自身のトークに姿を見せず、何故そんなことが起きたかに関し、突飛な陰謀説も現れた。

  しかし、アンチウイルスの観点から言えば、最も興味深かったのはTavis Ormandyによる「Sophail」というタイトルのトークだった。

  2010年の夏、Tavis OrmandyはWindowsのHelp and Support Centerで、ゼロデイ脆弱性を発見した。Microsoftに同脆弱性を知らせた5日後、Microsoftがパッチをリリースする以前に、TavisはPOCコードを公開した。数日後、未知のマルウェア作者たちが、このコードをドライブバイダウンロードエクスプロイトに組み込み、同エクスプロイトは世界中の何万ものコンピュータを感染させ続けた。

  Sophosの専門家は、Tavisの行為を声高に批判し、最終的に登場したパッチに「Patch Tavis」というあだ名を付けさえした。

  2011年夏の現在、Tavis OrmandyはBlack Hatで、「Sophosアンチウイルスの批判的分析」をリリースした。

Black Hat 2011 DEF CON 2011

  その非常に風変わりなトークで、TavisはSophosアンチウイルスエンジンをリバースエンジニアリングし、Sophosの検出データベースの保護システムを解読するためのツールをリリースしたと説明した。

  それはともかく、DEF CONの間、ワイヤレスネットワークへの接続は、実際のところ推奨されないことに注意したい。同ネットワークをいじっているハッカーがあまりにも多い。公式なプログラムパンフレットでさえ、パーティネットワークにアクセスする際、利用者の「幸運」を祈っている。DEF CONホテルで利用できるWi-Fiホットスポットのリストを見れば、よく分かるだろう:

def con wifi

サインオフ
—BO

Black Hat 2011 DEF CON 2011

Bredolabボットネットがシャットダウン

  2010年は、大きなボットネットのシャットダウンにより良い年になっている。

  最新のケースはBredolabだ。

Example of an email distributing Bredolab variant  オランダの国家犯罪対策局が重大なテイクダウンを発表した。このボットネットの背後に潜む関係者をとらえることはできずにいるが、サーバ(LeaseWeb IPスペースでホスティングされている)が接収され、効果的にボットネットをシャットダウンしている。

  Bredolabは、複雑でポリモーフィックなトロイの木馬の大規模なファミリだ。ドライブバイダウンロードと電子メールを介して広められた。Bredolabは、電子メールスパムキャンペーンと不正なセキュリティ製品に関連していることが知られている。そしてこのボットネットのサイズは、感染したコンピュータ3000万台以上、コマンド&コントロールサーバが約50台と巨大なものだった。

  面白いことに、犯罪対策局は感染したPCに警告を送信すると発表した:「このネットワークからのウイルスに感染したコンピュータのユーザは、次のログインの時点で、感染の程度に関する情報を含む通知を受けとる。」

  つまり、おそらくは既存のボットネットインフラストラクチャを使用して、プログラムを送信し、すべての感染したマシンに警告を表示するのだろう。

  こうしたことは滅多に行われない。誰かのコンピュータ上でのコードの実行は、「無許可の使用」と見られるかも知れず、たとえ意図は明らかに良いものであっても、その行為は違法となる可能性があるからだ。

  ここに、詳細情報を含むビデオがある。(注意!オランダ語だ。)

追記:オランダの警察はBredolabに感染したコンピュータを、このヘルプページにリダイレクトしている。

追記:27才の男性がアルメニアで逮捕された。彼はBredolaのオペレーターの一人である容疑で取り調べを受けている。

「Microsoft Security Essentials」は偽物

  実際のところ、「Microsoft Security Essentials」は偽物ではない。これはMicrosoftによる本物のアンチウイルス製品だ。

  しかし、「Microsoft Security Essentials」と主張する不正なセキュリティ製品が存在する。Microsoftとは無関係だ。このマルウェアは、 hotfix.exeやmstsc.exe(md5: 0a2582f71b1aab672ada496074f9ce46)として、ドライブバイダウンロード攻撃を通じて配布される。

  以下がその外観だ:



  そして、この偽ツールはMicrosoftのブランドを無断借用するだけでなく、32種類のアンチウイルス製品の奇妙なマトリックス表示を特長としている。これは「Microsoft Security Essentials」が、発見したマルウェアを除去できない場合、ユーザのマシンをフィックスすることができるツールを探すために提供されているものだ。実際は、すべて偽物で、同ツールはそれが主張するような感染を発見してはいない。



  驚いたことに、この感染を処理することができるらしき製品は「AntiSpySafeguard」「Major Defense Kit」「Peak Protection」「Pest Detector」および「Red Cross」のみだ。こんな製品、聞いた事が無いって? 無理もない。これらは皆、偽のプロダクトなのだから。

  「Microsoft Security Essentials」は、ユーザを脅し、必要のない製品を購入させようとする。騙されてはいけない。

  おそらく、Microsoftの弁護団が、この件の背後にいる道化を見付けるだろう。彼らはその人物をこてんぱんにすることだろう。

  我々はこのマルウェアを「Trojan.Generic.KDV.47643」として検出している。

PS3 Jailbreak Trojan

  PlayStation 3のディスカッションに興味のある読者の皆さんにとっては、PS3の新たな「ジェイルブレイク」に関する話題は見逃すことのできないものだっただろう。同ゲーム機のセキュリティモデルをくずし、サードパーティのソフトウェア(そして違法コピーされたゲーム)の実行を可能にするUSBドングルのニュースは、野火のように広まっている。

psjailbreak2.jpg from planetadejuego.com

  オンラインの悪人達が、この騒ぎを悪用しようとしているのは当然だろう。本物のUSBジェイルブレイクガジェットは、USBドライブではない。しかしそのように見える。そのため現在、一部の連中が通常のサムドライブから、ジェイルブレイクUSBデバイスを作成すると称したWindowsプログラムを配布している。ダウンロードし、同プログラムを実行するだけで良いという。

PS3 Jailbreak

  実際は、同プログラムはバックドアをドロップする。我々は「Trojan:W32/Agent.DLEN (md5 e3e03501c795a6cc4c53df2619cadd4b)」として検出している。

新たなAMTSOガイドライン

  エフセキュアも加入している、マルウェア対策製品のテスト標準化団体「Anti-Malware Testing Standards Organization(AMTSO)」が、5月にヘルシンキで会合を行った。同会合で、AMTSOメンバーは2つの新たなガイドラインの発表を承認した。

AMTSO logo

  第1の新ガイドラインは「Whole Product Testing」だ。「Whole Product Testing」の導入は非常に重要な展開だ。これは基本的に、製品の機能をそれぞれテストして、そこからその製品が提供する現実のプロテクションを推論する(「Sum-of-Parts Testing」)のではなく、現実の脅威に対して製品全体をテストすることを意味している。「Whole Product Testing」は、テストをより現実に近づけることで、セキュリティ・ソフトウェアの開発を、ユーザに真の利益を与える方向へと導くものだ。

  エフセキュアは多層防御の強固な信奉者であり、このような「Whole Product」アプローチを歓迎している。セキュリティ製品の大部分のユーザは、自分達のセキュリティ・スイートのどの機能が、自分達を保護しているかということについては、安全が守られている限りは、あまり気にしていない。エフセキュアの製品では、何層かのプロテクションを装備しているし、他社も同様だ。個々のレイヤを個別に評価することは、製品が提供するプロテクション・レベルを評価するための、正しい方法とは言えない。

  「News from the Lab」読者の皆さんならご存知の通り、Webは今日、ナンバー・ワンの感染ベクタだ。ごく典型的な感染のシナリオは、SEO(サーチエンジン最適化)ポイゾニングだろう。これは犯罪者たちがGoogleをあざむき、ユーザがたとえば、現在の出来事などの検索を行った際、自分達のサイトを検索結果の上位に表示させるものだ。このようなシナリオでは、エフセキュアは3層の防御を設置している(画像を参照)。

Defense in Depth

  このような脅威に対するプロテクションをテストするための「Whole Product」アプローチは、以下のように行われる:

   1) ドライブバイダウンロード・エクスプロイトまたはマルウェアにリンクするURLを用意する

   2) 一般ユーザを模して、そのURLをウェブ・ブラウザで閲覧する

   3) 何が起きるかをチェックする。そのマルウェアはシステムに感染するだろうか?


  AMTSOの主要原則の一つに、「テストが公衆を危険にさらしてはならない」というものがある。よって、上記のようなテストを行うテスタは、必要な予防措置(たとえば自分のネットワーク・インフラを整備し、いかなる外部システムもマルウェアにより攻撃を受けないようにするなど)をとらねばならない。

  第2の新ガイドラインは、パフォーマンス・テストに関するものだ。これはスキャン・スピードとリソースの使用に関して触れている。「Whole Product Performance Testing」に関するものではないため、パフォーマンスの個々の側面にややフォーカスしている。これはセキュリティ製品のパフォーマンス面が、どのように評価され得るかについて妥当なアドバイスを提供する。これは特に、そのパフォーマンス・テストが問題の使用事例に対して妥当であるべきであることを強調している。たとえば、感染したファイルをスキャンすることで、スキャン・スピードをテストするのは全く意味をなさない。何故ならば、一般ユーザがスキャンするほとんどのファイルはクリーンだからだ。また、ホーム・ユーザ・テストでは、コンピュータ・ゲームやメディア・プレーヤでのパフォーマンス効果にフォーカスするかもしれないが、企業のファイル・サーバにフォーカスしたテストでは、オンデマンドのスキャン・パフォーマンスにより集中することになるかもしれないのだ。

Labからの製品発表

  「F-Secure Lab」は本日、ブラウザ保護に新機能をローンチする。

  ここ2、3年、Webセキュリティはますます重要になっており、我々は既にエクスプロイトやフィッシング攻撃、ドライブバイダウンロードからカスタマを守るため、様々なプロテクション・メカニズムを開発してきた。しかし、もっとも悪意ある攻撃の一つに対して、我々にはまだできることがある。

  2年以上の開発期間を経て、我々は今回、カスタマが「リックロール」リンクをクリックすると、必ず警告するまったく新しいテクノロジをリリースする。

  エフセキュアのユーザが、「Never Gonna Give You Up」を演奏するリック・アストリーの悪名高いビデオに、気づかぬうちにアクセスすることは二度と無いだろう。

F-Secure Rickroll Protector

  この新機能は「F-Secure Rickroll Protector」と呼ばれる。同テクノロジは明るい赤毛のオールバックが現れないか、HTTPトラフィックをモニタする最新の画像認識分析に基づいてる。

  詳細については、以下のリンクを参照して欲しい。

ランサムウェア - 自分のファイルを買い戻せ

  しばらくの間、ランサムウェアを見かけなかったので、最新のローグウェアのプッシングと昔ながらのランサムウェアの試みの要素を混ぜ合わせた最近の策動はむしろ興味深く感じられた。

  準備作業は、我々が「Trojan:W32/DatCrypt」と特定したプログラムによって行われ、感染したシステム上の特定ファイル(たいていの場合はMicrosoft Office書類、ビデオファイル、音楽ファイル、画像ファイル)が「破損」しているように見せかける:

Trojan.W32.Datcrypt, Notice

  実際、このファイルはDatCryptにより暗号化されている。

  次に、このトロイの木馬はユーザに「お奨めのファイル修復ソフトウェア」をダウンロードし、実行するようアドバイスする:

Trojan.W32.Datcrypt, Message

  これは「Rogue:W32/DatDoc」であることを検出している。

  このユーティリティがダウンロードされ、実行されると、不運なユーザはこれが「未登録バージョンでは1つのファイルしかリペアできない」ことを知ることになる:

Rogue.W32.Datdoc, Decryption

  それ以上修復するため(あるいはより正確には、復号化するため)には、ユーザはこの製品を購入しなければならない。

  これをユーザの視点で考えてみよう。「ああ、なんと言うことだ。大切なファイルを無くしてしまった!」「ありがたい!たったの89.95ドルで完璧にリカバーしてくれる素晴らしい製品を見つけたぞ。」「友達全員にData Doctorを奨めよう。」 実際の所、ユーザは自分自身のファイルの身代金(ランサム)を払うよう強要されているのであり、ユーザは自分が身代金を払っているということさえ気付いていない。

  このような陰謀は、ユーザが金を支払ってでも影響を受けたファイルをリカバーしたいと考えるだろうという推測、そしてユーザがこれらのファイルのコピーをどこかに保存していないという推測に基づいている。この攻撃はおそらく、ユーザが「まぁ、しかたないか…」と言って、「壊れた」ファイルを削除し、バックアップを取り出すようなら効果はなくなる。

  だからこれは、重要なファイルをCDやDVD、USBドライブのようなリムーバブル・メディア上か、我々のOnline Backupのようなオンライン・リソースに定期的にバックアップすることを思い出す良い機会と言えるだろう。

  宿題や明日のプレゼンテーション、あるいは母親の好みのレシピなどのコピーを取り戻すのに、誰かに金を支払うなどということは、腹立たしいではないか。

  ドロッパーのサンプルを提供してくれたSunbeltのアダム・トーマスと、最初の分析を提供してくれたチャンに感謝する。

エフセキュア ISTPとMSVIDCTL.DLLのゼロデイ脆弱性

  前回の投稿で言及した通り、Microsoft ActiveX Video Controlに、より具体的に言うならmsvidctl.dllファイルに、新たなゼロデイ脆弱性が発見された。Microsoftは現在、同脆弱性に関するアドバイザリを発表しており、それによればキルビットを、45ある脆弱なCLSIDすべて使用不可に設定するよう推奨している。同脆弱性はドライブバイダウンロードでアクティブに使用されているので、そうするのは良い考えだ。あるいは、アップデートすること無くこの問題を防御する、我々のISTPExploitShieldの無料ベータ版をダウンロードして頂いても良い。

  我々はF-Secure Internet Security Technology Preview(来るべき2010年の製品)と、そのBrowsing Protectionを今回の新しいエクスプロイトに試してみたが、見事に対処することがわかった。何らアップデートする必要無く、同エクスプロイトをブロックしたのだ。この包括的なエクスプロイト・プロテクションは、現状のExploitShield自身のままで、非常に素晴らしいものだ。

  以下は、ISTPが新たな脆弱性に対してどのように機能し、同防御テクノロジの一部を使用不可にすると何が起きるかを示すビデオだ。

ISTP in action

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード