エフセキュアブログ

ボタン を含む記事

SLocker v.s. Marshmallow

 AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な(そして下劣な)やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか?

 手始めに、SLocker v.s. Lollipopを確認してみよう。

 マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid(ポルノドロイド)」と呼ばれるアプリをダウンロードさせる(まあ、たぶん男性(men)ばかりだが)。

Porn Droid app

 典型的には、よくありがちな過剰なパーミッションが要求される。

PornPro app permissions

 そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

PornPro permissions continued

 もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

This app contains a virus

 しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Disguised request for admin permissions
Update patch installation

 この「Continue」ボタンは?これは、デバイスの管理者権限の要求を分かりにくくしている(もちろん、非常に重大な欠陥だ)。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

 以下はFBIをテーマにしたランサムウェアだ。

Slocker's FBI Warning

Slocker's FBI Warning

Slocker's FBI Warning

 一見したところでは、FBIが罰金(fine)ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

PayPal My Cash

 SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

 以下の例では、Zimryの席の上の天井に向いている。

Slocker tries to take a picture.

 そして、おまけにPRISM(訳注:NSAの通信監視プログラム)のロゴが付いている。

FBI Mission: PRISM

 この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

 コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

 比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

 しかし、現在は…。

 Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか?

 良いニュースがある!SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

Activate Device Administrator

 しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

 ハッシュ:

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

 

 Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

「iOSクラッシュレポート」について更新:Safariがブロック機能を追加

 求めなさい。そうすれば、与えられる。こともある。

 先週の金曜日、iOSを標的にしたコールセンター詐欺について取り上げた。そして本日、アップル社はこれについて役立つであろう新機能(ベータ版)をリリースした。

 以下は同社が公開したiOS 9 Public Beta 2だ。

iOS 9 Public Beta 2, Install

 Safariの新機能の1つにより、詐欺に重きをおいたJavaScriptをブロックできるようになった。

iOS 9 Public, Safari Block Alerts

 我々は詐欺サイトをテストした。JavaScriptのダイアログを数回消そうとしたところ、Safariは「Block Alerts」というボタンを提示するようになった。これで簡単にページを閉じることができる。

 アップルに賞賛を!一般向けのiOS 9のリリースにもこの機能がお目見えするのを待っている。

 Rosyna Kellerに帽子を取って深くお礼する。

Facebookでターゲティング広告が表示されないようにするための3つの方法

エドワード・スノーデン氏による暴露が始まる前、オンラインプライバシーに関する議論のほとんどは、Facebookを中心としたものでした。

規制当局ユーザは、世界最大のソーシャルネットワークであるFacebookがユーザの個人データをどの程度尊重しているか疑わしいとしてたびたび不満を表明していました。しかし、Facebookの登録者数がその後も増加を続け、政府による驚くほど大規模な監視の実態が明らかになるにつれて、私たちが自分の意志で共有している情報について不満を述べることは、比較的優先度の低い事項となりました。

その間にFacebookは、Twitterがまだ実現できずに苦慮していることを成し遂げました。

成長を続けるとともに収益を上げる方法を見出したのです。同社はこれを「マーケティング史上最大の『おとり手法』」によって達成した、とニューヨーク大学でマーケティングを教えるスコット・ギャロウェイ教授は述べています。その結果、世界有数のブランドを抱える企業の多くが、大規模なコミュニティを構築した上で、突如としてコミュニティへのアクセスを遮断する、という手法を有効と考えるようになりました。現在、平均的なブランドの投稿は、プロモーションのための料金を支払わない限り、ページをフォローしているユーザのわずか6%にしか自然な形でリーチしていません。

Facebookはこの方法をとることで、ユーザエクスペリエンスを向上させました。平均的なユーザが数百のブランドをフォローしていれば、そのユーザのフィードはすぐにも宣伝目的の投稿であふれんばかりになってしまいます。同時にこの方法は、サイトとユーザがより密接に関わることにもつながり、ユーザが広告主にとってよりいっそう望ましい、かつ錯覚を起こさせる商品となる結果ももたらしています。そうです、無料で何かを得ようとすれば、自分自身が商品になるということです。そしてユーザを売るために、Facebookはできる限り多くの情報、ユーザがサイト上で自分の意志で共有するよりも多くの情報を得ることが必要になります。

ですから、当然ながら、Facebookはウェブ上でのユーザの行動を追跡しますFacebookを利用していない人までも追跡の対象となり得ます。そして追跡される情報の種類も多岐にわたり、作成されるユーザのプロフィールがユーザのクレジットスコアにまで影響を及ぼすおそれもありますFacebookのリターゲティング広告がどの程度まで進んでいるかは、自分のニュースフィードで2番目に表示される投稿を見てみるとわかります。その投稿は多くの場合、自分が最近アクセスしたサイトまたはそのサイトの競合他社からの広告です。

この手法が功を奏しているため、Facebook傘下となり今後さらにマーケターにとって使いやすい広告を展開していくと発表したInstagramでも、ほぼ同じ手法が使用されるようになるものと思っていいでしょう。

我々はこの状況に甘んじる、なぜならプライバシーよりも関連性の方が我々にとって重要だからだ、とギャロウェイ教授は述べています。私たちは、自分の友人や家族について、他からは得られないような関連性の高い最新情報が欲しいと考え、世の中の人々が話題にしていることを知りたいと考え、好きなアーティストや企業からよい商品をお得に手に入れたいと考えます。そのために、自分のデータを引き換えにするのです。それは必要なコストであり、そのことを認める代わりに、私たちは自分の子どもほども大切なものを引き渡す要件が含まれている可能性さえある利用規約に「同意する」ボタンをクリックしてしまうのです。

しかし、自分の領域を守り、自分のアクティビティが不利に利用されないようにするために、ユーザにできることがいくつかあります。

1. Facebookで広告が表示されないよう設定する
Facebookは、自ら進んでユーザをサイトから離れさせるようなことはしません。広告表示を希望しない場合はユーザの方でそのように設定します。その広告が他の多くのユーザのために役立つことにもつながるでしょう。エフセキュアラボの何人かがこの方法を試し、サードパーティからの広告がはるかに少なくなったとの報告が寄せられています。試してみてください。

Facebookでページの右側に表示される広告の右上にある「X」をクリックすると、次のような選択肢が表示されます。



「Why am I seeing this?(このメッセージが表示される理由)」をクリックします。
すると次のような画面が表示されます。



「Manage Your Ad Preferences(広告設定の変更)」を選択します。

カテゴリをクリックし、各トピックの右端に表示される「X」ボタンを選択してトピックを削除していきます。

その後、次に広告が表示されたときには、右上の「X」をクリックして「I don’t want to see this(非表示にする)」を選択します。

2. ターゲティング広告をオプトアウトする

Facebookの広告をすべてオフにすることはできませんが、ターゲティング広告が表示されないようにすることはできます。

「If you don’t want Facebook or other participating companies to collect or use information based on your activity on websites, devices, or apps off Facebook for the purpose of showing you ads, you can opt out…(Facebookやその他の提携企業が広告を表示する目的で、あなたがFacebook外のウェブサイト、デバイス、アプリで行ったアクティビティに基づく情報を収集したり、利用したりすることを望まない場合…)」、ただしこの設定を変更するには別のサイトに移動する必要があります。

米国:Digital Advertising Alliance

カナダ:Digital Advertising Alliance of Canada

欧州:European Digital Advertising Alliance

モバイルブラウザでも同じ作業が必要です。

3. Facebookでモバイルアプリデータが追跡されないようにする

iPhone
1. 「Settings(設定)」に移動します。
2. 「Privacy(プライバシー)」に移動します。
3. 「Advertising(広告)」に移動します(もちろん一番下にあります)。
4. 「Limit Ad Tracking(追跡型広告を制限)」をオンにします。

Android
1. 「Settings(設定)」に移動します。
2. 「Accounts(アカウント)」に移動します。
3. 「Google」を選択します。
4. 「Ads(広告)」を選択します。
5. 「Opt out of interest-based ads(インタレストベース広告をオプトアウト)」をタップします。

ここで残念なお知らせがあります。

「ただし、これらの後者のオプションを選択しても、Facebookが完全にユーザの携帯端末でのアクティビティの追跡をやめるわけではない。どういうことだろうか」と、ウォール・ストリート・ジャーナルのジェフリー・A・ファウラー氏は述べています。「Facebookは、広告がユーザに特定のゲームをプレーさせるなどの効果をどの程度発揮しているかを判断するため、その後もビジネスパートナーのアプリからデータを取得できる、と述べている」

おまけ:

Facebookの広告に自分の名前や写真が載らないようにする


そうです、Facebookでは、ユーザがオプトアウトしない限り、自分の名前や画像がそのユーザの友達に表示される広告に使用されることがあるのです。

その方法は以下のとおりです。

1.右上の錠前のアイコンをクリックします。
2.「More Settings(その他の設定)」をクリックします。
3. 左側のメニューにある「Ads(広告)」をクリックします。
4. 「Ads and Friends(広告と友達)」の欄にある「Edit(編集)」をクリックします。
5. 「Pair my social actions with ads for(自分に関するソーシャルコンテンツの公開範囲)」を「No one(非公開)」に設定します。


>>原文へのリンク

エフセキュア、新たなサービスでBYODのセキュリティインシデントに対応

今日の企業の従業員は、仕事をするために必要であればどんなデバイスでも使いたいと思っています。このことから多くの企業がBYOD(個人デバイスの業務利用)ポリシーを採用していますが、その際に自社のセキュリティを犠牲にしているケースが多く見られます。エフセキュアが提供を開始した新サービスFreedome for Businessは、企業のセキュリティニーズと従業員のフレキシビリティへのニーズに対応するよう統合された、企業と従業員の双方にとって最高のサービスです。

Freedome for Businessは、現代のモバイルビジネスのニーズに合わせて作られたエフセキュアのFreedomeアプリです。ユーザごとに可変で人気のワンボタンインターフェースを維持しながら、ビジネス志向の包括的な機能セットを追加し、企業のデータとネットワークのセキュリティ保護をサポートします。Freedome for Businessでは、現代の企業にとって重要な3つの保護機能(暗号化通信、アプリとウェブのセキュリティ、一元管理)が、単一のクラウドベースセキュリティサービスに統合されています。

BYODの生産性とセキュリティを向上

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「ビジネスモビリティの現在のトレンドは、従業員に最も使い慣れたデバイスの使用を認めることです。それにより企業はコストを抑えることができ、従業員は効率的に作業ができます。これらのさまざまな種類のハードとソフトのすべてを管理しようとすれば、それに応じた特有のセキュリティ問題が発生するため、増大するモバイルの一元管理のためにSaaSソリューションとして企業にセキュリティを提供することは、弊社のサービスパートナーにとって非常に大きなビジネスチャンスです。」

ガートナーの調査では、BYODのトレンドが拡大していることが確認されています。同社は、2016年までに企業の38%が従業員へのデバイスの支給をやめると予測しています*。さらに最近の調査では、BYODユーザの約4人に1人が自分のデバイスにセキュリティ上の問題があると認めているとし、BYODに伴うセキュリティリスクを強調しています**。こうしたデータを考え合わせると、元サイバーセキュリティ担当大統領補佐官のリチャード・クラークが、企業国家アメリカが直面している「最大の脆弱性」と表現したように、サイバーセキュリティにおける深刻なセキュリティギャップが生じる可能性があります***。

ウスヴァは、こうしたBYODのトレンドは、サイバーセキュリティが従業員のストレスになっていることを示していると言います。「従業員が制限されている、あるいはわかりにくいと感じるようなセキュリティソリューションを導入している企業が多いため、従業員は単純に自分のデバイスを使用することで無駄を省いています。Freedome for Businessは、コンシューマ向け製品で成功しているワンボタンのインターフェースを採用し、企業向けに効果的にアレンジされたセキュリティソリューションです。ボタンをタップするだけでセキュリティソフトを立ち上げて動作させることができます。」

ひとつのポリシーですべてを管理

Freedome for Businessは、エフセキュア プロテクション サービス ビジネス(PSB)を通じて実装されます。PSBは4年連続でAV-TESTの「Best Protection Award」を受賞した技術をベースに構築されています。Freedome for Businessでは、高い評価を得ているこの保護技術を拡張し、企業のネットワークに接続するモバイルデバイスも対象に含めています。これにより、従業員はボタンをタップするだけで、通信を暗号化してアプリとWebブラウザを保護できます。さらに、企業はアンチセフトなど追加のセキュリティ機能を実装し、ビジネスで使用するすべてのデバイスの安全性を確保することができます。

エフセキュアのテクニカルプロダクトマネージャ、セバスチャン・ネイタモは、次のように述べています。「アンチセフト機能により、ITマネージャは、ランダムに生成したパスコードでデバイスをロックしたり、リモートでデータを抹消したりすることができます。紛失したり盗難されたりしたデバイスによって生じたデータ漏洩から企業を守るこの機能は極めて重要です。さらに、ITマネージャはデバイスのセキュリティ状況もチェックできるので、悪質なウェブサイトに頻繁にアクセスするといった危険な行為に気づいた場合は、セキュリティインシデントとなる前に行動を起こして問題に対処することができます。」

企業は中央のインターフェースからデバイスを管理できれば、従業員が業務中にできることとできないことについて複雑な制限をかけることなく、デバイスのモバイルセキュリティを監視できるとネイタモは言います。また、従業員の個人デバイスとサイバーセキュリティに対する企業の総合的なアプローチを組み合わせ、PCまたはポストPCにおけるBYODデバイスと会社所有のデバイスを効果的に統合して一元的で安全なデバイス管理を実現できます。

現在販売されているFreedome for Businessは、AndroidとiOSデバイスに対応しています。Freedome for BusinessとPSBに関する詳細についてはエフセキュアのウェブサイトをご覧ください。


*出典: http://www.gartner.com/newsroom/id/2466615
**出典 : http://www.gartner.com/newsroom/id/2739617
***出典 : http://www.networkworld.com/article/2181260/security/former-cybersecurity-czar-clarke-says-smartphones--digital-certificates-create-huge-securit.html

詳細情報:
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business
https://www.f-secure.com/ja_JP/web/business_jp/products/freedome-for-business

FREEDOMEについてのFAQ

(2015/10/27改訂)
この記事では、FREEDOMEの使い方が分からないという方に向けて、良くある質問と解決方法をご紹介します。

Q01. FREEDOMEって何ですか?
A01. エフセキュアが販売しているプライバシー保護対策の製品です。iOS/Android/Windows/Mac版が利用可能です。

Q02. FREEDOMEは何処から入手できますか?
A02. iOS版はAppStoreから、Android版はGooglePlayから、Windows版/Mac版はエフセキュアのホームページから入手できます。

Q03. FREEDOMEの利用にお金はかかりますか?
A03. インストールから2週間は無償でご利用頂けます。試用期間終了後はアプリ内メニューのライセンスの項目や、エフセキュアのオンラインショップからライセンスを購入することが出来ます。
試用期間終了後に自動的に課金されることはありませんのでご安心を。

Q04. FREEDOMEを「フィンランド」に設定、「ON」にする方法がわかりません。
A04. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面下部の仮想ロケーション表示をタップします。
setting1

3. 「その他」をタップします。
setting2

4. 「フィンランド」をタップします。
setting3

5. スクリーン中央にフィンランドの国旗が表示されていることを確認し、左上の「<」をタップします。
setting4

(iOS版のユーザのみ)
5-1. iOS7以前のOSをお使いの場合は次のスクリーンが表示されます。
  「OK」をタップして進めてください。
setting6


6. 中央の「オフ」ボタンをタップ、「オン」にして完了です。
注意: iOS7以前のOSをお使いの方、「セキュリティを有効にする」スクリーンが表示された方は「6-1.」以下へお進みください。
setting5


(iOS版のユーザのみ)
6-1. 「はい」をタップします。
setting7

6-2. 「インストール」をタップします。
 setting8

6-3. 「パスコード入力」が表示された場合は、普段お使いのデバイスのパスコードを入力します
setting9

6-4. 「インストール」をタップします。
setting10

6-5. 「インストール」をタップします。
setting11

6-6.「完了」をタップします。
setting12

7. FreedomeがONになっていることを確認したら完了です!
setting5


(Windows版/Mac版の場合)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 画面下部の仮想ロケーション表示をタップします。
virtual_location01

3. 「Espoo, FI」を選択します。
virtual_location02

4. 画面右側の地球儀にフィンランドの国旗が表示されていることを確認し、左上の「← Freedomeに戻る」をタップします。
virtual_location03

5. 仮想ロケーションの位置がEspooになっていることを確認し、中央のボタンがオンになっていれば設定完了です! オフになっている場合は、クリックしてください。
virtual_location04


Q05. マルチデバイスライセンスの適用方法が分かりません。
A05. 以下の手順に沿って進めてください。

(iOS版/Android版)
1. Freedomeを起動します。

2. 画面左上の"Ξ"をタップし、メニューを表示させます。
license_act_mob01

3. メニューからライセンスをタップします。
license_act_mob02

4. 「マルチプラットフォームライセンスを既に購入しておりますか?」をタップします。
license_act_mob03


5. 表示されたポップアップにライセンスキーを入力します。
license_act_mob04


(Windows版/Mac版)
1. タスクトレイのアイコンなどから、FREEDOMEの画面を表示します。

2. 左側のメニューから、「今すぐ購入!」をクリックし、「コードをお持ちですか?」をクリックします。
license_act_desk01

3. 表示されたポップアップにライセンスキーを入力します。
license_act_desk02

不正DNSから身を守るためにすべきことは?

オンラインセキュリティのリーディングカンパニーであるエフセキュアの新しいワンタッチツールで、インターネットトラフィックが不正なサイトに誘導されることを防ぎます。

インターネットの動作は多くの人にとって不可解なものであり、その不可解性こそ攻撃者が都合よく利用できるものです。しかし、今ならインターネットユーザは操作が簡単なツールを使って、オンライン詐欺に巻き込まれるのを防ぐことができます。エフセキュアが開発したワンタッチツールのRouter Checkerは、ユーザのインターネットの設定をチェックして、マルウェアを拡散したり、個人情報を詐取する可能性があるウェブサイトに、トラフィックが誘導されるのを未然に防止します。

Router Checkerを使用すれば、オンライン上におけるユーザの閲覧内容や行動を攻撃者が操作できるように変更されたインターネットの設定を容易に特定できます。ルータやインターネットの設定を変える攻撃は、気づかれることなく多くの人にアクセスできるため、ハッカーの間で人気のある攻撃です。エフセキュア セキュリティ研究所によれば、2014年に、30万を超える家庭用またはオフィス用ルータの設定が変更されていたことがわかりました。このとき、それぞれのルータは、複数のコンピュータや携帯電話などのデバイスに作用する可能性がありました。

攻撃者はとても巧妙にユーザを操作することができるため、こうした攻撃に気づくことは困難です。エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンは次のように述べています。「インターネット設定を標的とした攻撃には、それとわかるような明確な変化がないため、多くの場合、気づかないまま進行してしまいます。その場合、ユーザは突然、これまでより多くの広告を見るようになったり、安全に見える危険なサイトに誘導されたりすることになります。このことからわかるのは、この問題を特定することが重要であるということです。Router Checkerにより、この問題を簡単に特定できるようになるため、ユーザは攻撃について心配する必要がなくなります。」

攻撃者は、ユーザのインターネット設定を変更し、「不正DNSサーバ」を介してトラフィックを誘導することにより、ユーザのオンライン上の挙動を操作しようとします。DNAサーバは、コンピュータなどのデバイスがインターネット上で互いの存在を認識できるようにするものです。攻撃者は、不正サーバを設置してインターネットユーザを誘導し、不正なウェブサイトに接続することで収入を得ています。こうした不正なサイトには、詐欺まがいの広告が含まれていたり、マルウェアを拡散したり、あるいは、個人情報を公開するように仕向けるようなものさえあります。Router Checkerは、ユーザのコンピュータや携帯電話、ルータの設定が、ユーザやインターネットサービスプロバイダが選択した安全なDNSサーバに接続されるようになっているか確認します。

サリバンによれば、1つのボタンをクリックするだけでユーザがこの情報を入手できるようにすることで、ユーザはコンピュータの状態が正常であること簡単に確認できます。「インターネット上で何かを行う場合、ユーザはDNSサーバに依存しているのですが、ほとんどの人は、自分が使っているDNSサーバについて何も知りません。これらを信用できるようにならなければ、オンラインを楽しむことはできません。Router Checkerは、ユーザのインターネットトラフィックを操作している人をユーザに明らかにすることで、こうした信用を構築します」とサリバンは述べています。

アクセシビリティは、Router Checkerの大きな特色となっています。これにより、ユーザはインターネットの設定が正常であることをストレスなく確認することができるからです。設定に異常がある場合は通常、ソフトウェアのアップデートやルータの再設定によって修正されますが、問題に気づかないままでいると、深刻な事態となる可能性があります。サリバンは、春の大掃除の一環として、あるいは問題があると感じた場合は頼りになるソリューションとしてRouter Checkerを実行し、このツールのメリットを活用することを勧めています。Router Checkerは無料で使用でき、現在、www.f-secure.com/router-checkerで入手可能です。

詳細情報:
Router Checker
2014年上半期脅威レポート

AmazonユーザのためのFreedome:Fireデバイス向けワンボタンセキュリティアプリ登場



エフセキュアがFreedomeを発売したのは1年ちょっと前ですが、これまでにFreedome VPNは、Android搭載デバイス、iOS搭載デバイス、Windows PCで200万件以上ダウンロードされています。Kindle Fireタブレット、Fireタブレット、FireフォンなどAmazonのFire製品をお使いの皆様は、このVPNアプリにより、ワンボタンでプライバシーを保護できます。

Amazonのオリジナル製品であるKindle Fireモデルは、2011年の発売当時、最新のホリデーアイテムでした。Amazonの幅広いデジタルコンテンツやサービスに素早く簡単にアクセスでき、オンラインを簡単に楽しみたい人々にとって理想的なタブレットとなりました。独自のニッチマーケットを開拓したAmazonは、以来、さまざまなKindle Fireタブレット、Fireタブレット、Fireフォンを発売してきました。

エフセキュアのシニアプロダクトマネージャ、Paivi Juolahtiによると、次世代セキュリティであるFreedomeには、セキュリティニーズに対応する、簡単でありながら効果的な方法を提供するという点で、Kindle Fireと同様の魅力があるということです。「Amazonのデバイスが好まれるのは、インターネットを楽しく簡単に使うことができるからです。Freedomeも同じ理由で好まれているのですから、FreedomeをFireユーザに提供することは、非常に理にかなっています」と、Juolahtiは述べています。

ワンボタンアプリで簡単にVPN(仮想プライベートネットワーク)を利用でき、他人によるオンライン上での閲覧・行動履歴の追跡を防止します。Freedomeは、ボタンを1回押すだけで起動できるセキュリティを提供することにより、自分自身を簡単に保護できるよう特別に設計されたセキュリティアプリです。

Android AuthorityCNETといった情報メディアは、以下の保護機能をユーザフレンドリな単一のアプリにまとめるFreedomeに好意的な反応を示しています。

  • 追跡防止 — Freedomeは、ウェブサイトやアプリによるオンライン上での行動の監視追跡を無効にします。こうした「デジタル・フットプリント」は保存され、あなたの知らないところで共有されることもあります。ですからFreedomeを利用して追跡を無効にすれば、自分の個人情報をきちんと管理することができるのです。
  • 仮想ロケーション設定 ― Freedomeを使えば、自分の仮想ロケーションを設定することができます。この設定によりウェブサイトはあなたの居場所を決定します。仮想ロケーションは世界15カ所から選ぶことができ、この設定を使用して地域制限コンテンツにアクセスすることも可能です。
  • ウイルス検出 ― Freedomeアプリのセキュリティは、使用しているデバイスのアプリケーションをスキャンして、ウイルスが含まれていないことを確認します。さらに、ブラウザ保護機能が、接続中のウェブサイトをスキャンして、スマートフォンやコンピュータにマルウェアが広がるのを防ぎます。
  • 暗号化 ― Freedomeは通信を暗号化して、オンライン上でのあなたの行動を探ろうとするデジタルスパイを阻止します。公共のWi-Fiネットワークは多くの場合暗号化できませんが、Freedomeを使えば、オンラインでの追跡を気にせずにインターネットの閲覧、Eメールの送信、友人とのチャットを楽しむことができます。

FreedomeはFireデバイスで、14日間無料でお試しいただけます。お試し期間終了後にお申し込みされなくても、Freedomeのアプリケーションセキュリティが引き続き、ご使用のデバイスを保護して、新規Fireユーザに最初の快適なダウンロードをお約束します。

>>原文へのリンク



エフセキュアの2015年個人ユーザ向け製品は、あらゆるデバイスの一括保護がポイント

エフセキュアの調査によれば、個人ユーザはモバイルデバイスよりもPCの保護に重点を置いています。F-Secure SAFEは、インターネットセキュリティをすべてのコンピュータとデバイスに1つのパッケージで提供します。

エフセキュアは本日、新たに刷新した2015年個人ユーザ向け製品のラインナップを発表します。今年の特徴はマルチデバイス インターネット セキュリティです。新しいF-Secure SAFEは機能が改善され、ユーザのすべてのデバイス(WindowsおよびMacのPCや、Android、iOS、Windows Phone 8を搭載したスマートフォンやタブレット)向けに、高い評価を得ている*セキュリティを1つのパッケージで提供します。その他の注目すべき製品としては、エフセキュアのPC向け主要製品であるエフセキュア インターネット セキュリティ2015(効果的な拡張機能を搭載)、およびエフセキュア アンチウイルスが挙げられます。

現在のマルチデバイス時代においては、マルウェアも同様にマルチデバイス化してきました。しかし、エフセキュアの最新の調査**によれば、オンライン攻撃について絶えず報道されているにもかかわらず、ほとんどのユーザは、オンラインライフの安全を確保するために、所有するすべてのデバイスを保護しているとは言えません。PC所有者の6割以上がコンピュータまたはノート型PCにセキュリティソフトをインストールしている一方で、Android搭載のスマートフォン所有者でデバイスにセキュリティソフトをインストールしているのは、4人に1人の割合にすぎません。その数は、Android搭載のタブレットでは16%、iPhoneやiPadでは6%、Windows PhoneやMacコンピュータでは3%にまで減少します。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントを務めるサム・コンティネンは次のように述べています。「人々がすべてのコンピュータやデバイスを保護していないのは不思議なことではありません。平均的な家庭にあるデバイスの数を考えれば、それは大変面倒なことでしょう。しかし、あらゆるデバイスには保護が必要です。マルウェア、データの損失や盗難から守るために、また子供たちを不適切なコンテンツから守るためには保護が不可欠なのです。そこで当社は、PC、Macコンピュータからモバイルデバイスまで、すべてのデバイスを保護できるシンプルかつ柔軟な1つのセキュリティパッケージを提供するのです。」

すべてのデバイスでオンラインライフを守ります

F-Secure SAFEは、あらゆるデバイス上でリアルタイムの保護を提供するクラウドベースのインターネットセキュリティです。ウイルス、スパイウェア、ハッカーの攻撃、個人情報の盗難から保護するとともに、有害なウェブサイトやオンライン攻撃を阻止します。F-Secure SAFEは、安心できるネットサーフィン、インターネットバンキング、オンラインショッピングをお約束します。ユーザは、使いやすいパーソナル ポータルMy Safeによって、デバイスの保護を簡単に管理できます。My Safeを使えば、たとえば新しくデバイスを購入した場合などに、1つのデバイスから別のデバイスへ保護機能を簡単に切り替えることができます。

新しいF-Secure SAFEは、よりスムーズで統一したユーザエクスペリエンスを実現するために改良されています。現在では、My Safeポータルによる盗難防止管理機能をフル装備しています。AndroidおよびiOSユーザは、別のポータルサイトにアクセスしなくても、ロック、ワイプ、位置情報の確認、ロックの解除およびリセットをリモートで行うことができ、また紛失または盗難に遭った電話にアラームを鳴らすこともできます。また、最新のデザインで、PCやMac、モバイルデバイスなど使用しているデバイスに関係なく、さまざまなデバイス間で変わらないユーザエクスペリエンスを得ることができます。PC向けのF-Secure SAFEは、さらに軽快かつ高速になり、これまでよりもスムーズにインストールできるほか、ウイルスに感染したPCにもインストール可能です。

F-Secure SAFEでは、個人またはご家庭で所有するデバイスの台数に基づいて、加入するサービスの形態を選択することができます。1年間の保護サービス料金は、デバイス1台の場合で3,780円、3台で4,122円、5台では4,464円となっており、最大10台のデバイスに対して購入できます。F-Secure SAFEは、www.f-secure.com/safeでご購入、または30日間の無償トライアルをご利用いただけます。また、Google Playやチャネルパートナーを通じても入手可能です。

最高レベルのPCセキュリティ、さらに進化

自宅のPCを保護する必要のある人にとって、エフセキュアのインターネット セキュリティ2015は、最高レベルの包括的なPCセキュリティ製品です。この製品は、独立系機関の試験において一貫して優れた検出結果を示しており、AV-TESTの「ベスト・プロテクション・アワード」を3年連続で受賞しています。PC向けSAFEと同様、インターネット セキュリティ2015は、動作が軽く高速で、ワン・クリックでインストールできるほか、ウイルスに感染したPCにもインストール可能です。また、インストールする際には、感染したマシンのウイルスの駆除も実行されます。

エフセキュアの2015年個人ユーザ向けセキュリティ製品ラインナップは次のとおりです。

  • F-Secure SAFE - すべてのデバイス(PC、Mac、Android, iOS, WP8)向けのインターネット セキュリティ
  • F-Secureインターネット セキュリティ2015 - PC向け総合セキュリティ
  • F-Secureアンチウイルス - PCおよびMacをウイルス、スパイウェアなどのマルウェアから保護
  • F-Secure オンライン スキャナ - PCをスキャンしウイルス駆除を行う無料サービス
  • F-Secureサーチ - 検索結果がクリックしても安全であることを保証
  • F-Secure App Permissions - Androidデバイス上のすべてのアプリが要求するパーミッションを表示
  • F-Secure Freedome - VPNプラスオンラインセキュリティとプライバシー、1つのボタンで管理
  • F-Secure Key - たった1つのマスターパスワードで管理する安心のパスワードマネージャ


エフセキュアの製品のお試しまたはご購入はこちら

*エフセキュアのインターネット セキュリティ技術は、3年連続でAV-TESTのベスト・プロテクション・アワードを受賞しました(エフセキュア インターネットセキュリティ、エフセキュア クライアント セキュリティ)。

**F-secure Consumer Values Study 2014では、6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)の4,800人(各国800人、年齢、性別、所得別)を対象にオンラインインタビューを実施しました。調査はInformed Intuitionsとともに企画し、データは2014年7月にToluna Analyticsで集計されました。

詳細情報
www.f-secure.com/safe
www.f-secure.com/store

注意:iOS 8のFreedome v2.0.1について

 あなたが(筆者と同様に)iOS 8を実行するAppleデバイスを持っていて、なおかつF-Secure Freedomeを使っているのなら、バージョン2.0.1への更新は回避してほしい。

FreedomeVPN/514314954283819008

 もしあなたが(筆者と同じく)すでに更新済みだったら、アプリを開いた後にこの記事を読んでいるのかもしれない。

Freedome 2.0.1 on iOS 8

 「Remove Old VPN configurations(古いVPNの設定の削除)」」は行わず、単純にアプリを閉じてほしい。バージョン2.0.1は既存の設定で動作するはずである。

 Freedomeのオン・オフの設定を変更する必要があったら…

 Settings > General > VPNを用いること。設定のinfoボタンをクリックし、「Connect On Demand」に切り替える。

iOS 8 VPN settings

 あなたが現在導入しているロケーションのみに限られるようになる。しかし、お手元のものは、筆者の試験を元に動作させる必要がある。

 開発者たちは、今朝これよりも早く、Appleに修正版(v2.0.2)を送付済みで、Appleのレビューを待っている。詳細は、当社のコミュニティフォーラムに掲載されている。またFreedomeのTwitterアカウントもある。

 不便をお掛けしていることを謝罪する。

 追記:バージョン2.0.2が現在公開された。自分のデバイスから「iOS 7」のプロファイルを手作業で削除しなければならなかったが、続いてアプリから新たなプロファイルを導入できた。さらなる詳細については、当社のコミュニティフォーラム(上にリンクあり)を参照してほしい。

 Post by — Sean

Pirate Bayの偽物が策略をめぐらし、望まぬソフトウェアをプッシュする

 以下はpiratebay.comだ。

piratebay.com

 The Pirate Bayを模したちゃちな偽物だ。

 何らかの「検索」をすると、名称をカスタマイズした実行ファイルをダウンロードするように提示される。

 このページの最下部に埋め込まれているのが、以下の免責事項だ。

piratebay.com, disclaimer

 「Additional software may be offered to you(他のソフトウェアが提供される可能性がある)」?

 ああ…、もちろんそうだ。

 そして「Decline(拒否)」ボタンは灰色地に白文字で、より濃い灰色の背景に置かれている。すごいごまかしだ。

piratebay.com, app discovery

 全体で、数個のアプリケーションがインストールされる。

 ターゲットとする閲覧者を考えると、これはおそらく子供につけこむのだろう。

 見え透いている。回避するには。当社のインターネット セキュリティがそれぞれのインストーラを検知する。

「ポリス・ランサムウェア」がAndroidのエコシステムに拡大

 クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

Gameover ZeuSがMonsterを標的に

 最近になって、Gameover ZeuSの現行の設定ファイルを入手したのだが、GameoverはいまやCareerBuilder(訳注:米国最大の求人求職サイト)に加えてMonster(訳注:世界規模の求人求職サイト)も標的にしていることに気付いた。

 以下は正規のhiring.monster.comというURLのものだ。

hiring.monster

 Gameover ZeuSに感染したコンピュータは新たに「Sign In」ボタンを挿入するが、それを除けばページは同一のように見える。

hiring.monster, gameover

 そして挿入されたフォーム上で、次のような「セキュリティ上の質問」が問われる。

hiring.monster, gameover question injection

 以下はその全リストだ。

  •  In what City / Town does your nearest sibling live?(一番近くに住む兄弟姉妹のいる街は?)
  •  In what City / Town was your first job?(最初の仕事をした街は?)
  •  In what city did you meet your spouse/significant other?(配偶者や大切な人と出会った街は?)
  •  In what city or town did your mother and father meet?(ご両親が出会った街は?)
  •  What are the last 5 digits / letters of your driver\'s license number?(運転免許証の番号の下5桁は?)
  •  What is the first name of the boy or girl that you first dated?(初めてデートした相手の下の名前は?)
  •  What is the first name of your first supervisor?(最初の上司の下の名前は?)
  •  What is the name of the first school you attended?(最初に入学した学校の名前は?
  •  What is the name of the school that you attended aged 14-16?(14〜16歳のときに通った学校の名前は?)
  •  What is the name of the street that you grew up on?(あなたが育った街の名前は?)
  •  What is the name of your favorite childhood friend?(子供の頃に好きだった友達の名前は?)
  •  What is the street number of the first house you remember living in?(住んでいたことを覚えている中で最初の家の番地は?)
  •  What is your oldest sibling\'s birthday month and year? (e.g., January 1900)(一番上の兄・姉が生まれた年および月は?入力例:January 1900)
  •  What is your youngest sibling\'s birthday?(一番下の弟・妹の誕生日は?)
  •  What month and day is your anniversary? (ie. January 2)(あなたの記念日の月と日は?入力例:January 2)
  •  What was the city where you were married?(結婚した街は?)
  •  What was the first musical concert that you attended?(初めて鑑賞したミュージカルは?)
  •  What was your favorite activity in school?(学校の活動で好きだったものは?)

 このプロセスにより「qasent」というcookieが生成される。

 Webサイトのアカウントを持つ、人事の採用担当者はこのような不正行為について警戒すべきだ。アカウントが銀行口座や使用経費と潜在的に関連があるなら…、バンキングトロイの標的になる。

 Monsterのようなサイトでは、単なるセキュリティ上の質問を超える、 2要素認証を導入することは悪い考えではないだろう。

—————

分析 — Mikko Suominen

我々は話し合う必要があるようです、Googleさん

 Google御中。悪いように取らないで頂きたいのですが、しかしどうにも…、御社は最低ではないかと存じます。

 常にそうだったわけではありません。実際にかつて私は、Googleのサービスを楽しんでおりました。

Google_Products

 しかし昨今、いや本日、私は単純に当研究所のYouTubeチャンネル古い動画をアップロードしたいと考えていました。悲しいことに、ログイン直後とアップロード前、YouTubeチャンネルをGoogle+プロフィールにリンクするように「request」によりお誘いがありました。そして知らぬ間に「fslabs」氏という人がGoogle+プロフィールを作成していました。これは酷い!

 以下に考えを述べます。YouTubeアカウントにGoogleプロフィールを紐づけようとする「前に」、おそらく、そのYouTubeアカウントが「個人」のものかどうか最初に尋ねるべきではないでしょうか。

 尋ねられなかったので、「私」が使いもしない新しいプロフィールを作って終わりになりました。そして、その「個人」のプロフィールから「グループ」のチャンネルへのリンクをアンドゥ(削除)することは、チャンネルを無効化することにつながりました。さらに、再度有効にして元の状態に戻すのにかなりの時間を費やす必要がありました。その上、続いて既存の動画すべてについて、プライバシーの設定を指定しなおさなければならなかったのです。

 恐喝されているかのように感じました(不道徳です)。

 今では、このGoogle+のばかげた「プロモーション」のすべてに、御社にはもっともな理由があったのだと確信しています。そして、おそらく正当でない理由もありました。

 私が間違いを犯したのは確かです。処理の途中で小さなキャンセルボタンを見落としたに違いありません。また、Google+プロフィールを削除することでチャンネルを無効化した後のどこかで、私はYouTubeの設定の中の「unlink」オプションを示していたのだと思います。

 しかしね?

 もはや本当に気にしていません。私は、Googleその他には見切りを付けました。代替手段を調査します(Vimeo、Dailymotionなど)。

 私個人のGoogleアカウントですか?これは使用中ですが、「無料」なので手元に置いておきます。

 以上です。私の話は終わりです。

 もはや面倒なことをする価値はありません。

 そして明確にしておきますが、Gmailの使用時にプライバシーへの法的な期待を持てないとする最近の申し立てとは、なんら関係はありません。

 またGoogleのサーバ群にNSAが直接アクセスできるようにしているという懸念の類とも、一切関係はありません。

 (Googleのセキュリティエンジニアは信頼できると、私は考えています)

  Googleアカウントを削除するという私の決断は純粋に、私がうんざりしているということに関係します。忌々しいサーチエンジンのランキングと、関連する広告機能のためだけに、Googleは私をもう1つの望まない「ソーシャル」ネットワークへと追い込もうとしています。

 問題なのは私ではありません。

 御社です。

—————

ではまた。
ショーン

エフセキュア セキュリティ研究所 セキュリティ・アドバイザー
twitter.com/5ean5ullivan

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

探していたモバイルアンチウイルスではない

 当社のあるアナリストがAndroid端末でMalaysiakini(マレーシアで人気のWebサイト)を閲覧しているとき、以下の広告に気づいた。

mkini_scam_ad

 この広告をクリックすると、外部サイトに飛び、以下が表示される。

mkini_scam_ad_download_screen

 Windowsシステム用の(時にはMacの)ローグウェアのWebページで、長年のあいだ目にしてきたテキストと同じ類のものを連想させる。

 「Download and Scan Now」ボタンをクリックすると、アンチウイルスアプリケーションのように見える画像が現れる。

mkini_scam_ad_download_screen_2

 さらにその画像をクリックすると、電話番号を要求し、興味深い文を掲載したページへと飛ばされる。

mkini_scam_ad_number_submission

 「This is an ongoing subscription service until you quit. You will receive 4 sms per week and chargeable at RM4 per message. Only [REMOVED] user will receives max 3 sms per week and chargeable at RM4 per message. Data charges are billed separately by mobile operators.(これは退会するまで利用継続するサービスです。1週間ごとに4通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。○○ユーザのみ毎週最大3通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。データ通信費は別途、携帯電話会社から請求されます。)」

 つまり、これはSMS購読サービスだ。電話番号を提供すると、ユーザはサービスへ登録するための説明が書かれたSMSメッセージを受け取る。

 一度登録すると、別のSMSが送付され、ダウンロード用のリンクが提示される。リンクをクリックしてみたところ、「Sorry, you have exceeded the allowed download limit.(申し訳ございませんが、ダウンロードの制限を超えています。)」というメッセージがあるだけだった。当該サイトのトップページは「under construction.」になっている。

 幸運なことに、登録方法が記載されたSMSには、サービスの停止方法の説明も含まれていた。

 我々は通常、モバイルアプリケーションのダウンロードを行う際に、要求されるパーミッションを読むようにユーザに勧めている。今回のケースでは、ダウンロードする前に説明文を読むことも、賢明だ。広告をクリックしたところで、これはおそらくユーザが探しているサービスではない。

 現在のところ当社のBrowsing Protection機能では、APKのダウンロードが想定されるサイトはSuspicious(疑わしい)と判定している。

追記

 Windowsベースのローグウェアと同様、この「Androidアンチウイルス」詐欺は他のOSも認識している。ただし、餌を微調整するのに失敗している。

iOS:

mkini_scam_iPod

Windows Phone:

mkini_scam_lumia620

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

FacebookのGraph Search。自分の検索を消去せよ

 私は今日、Facebookの新機能Graph Searchを試している。

 Graph Search: Friends of my friends who are women and live near Helsinki, Finland. Result: More Than 1,000 People.(訳注:グラフ検索:友達の友達で、フィンランドのヘルシンキ近辺に住む女性。結果:1000人超)(実際には799人)

Facebook Graph Search

 もう少し個人的なものも試してみよう。

 Graph Search: Friends of my friends who are single women and live near Helsinki, Finland and are older than 30 and younger than 39. Result: No Results. Sorry, we couldn't find any results for this search.(訳注:友達の友達で、フィンランドのヘルシンキ近辺に住む、30〜39歳の独身女性。結果:検索結果なし)

Facebook Graph Search

 検索結果なし。実際のところ、積極的に「独身」と載せている女性は10人しかおらず、年齢を載せているのは2人に過ぎない。

 結論?Facebookのプライバシー設定は、平均的なユーザにとって必ずしも不可解なものではないということだ。

 しかしながら・・・。自身のアクティビティログ内の検索履歴については、どうだろうか?

Facebook Graph Search

 何をお尋ねで?

 Facebookのログの検索。自分のログを見るには、Timelineに行ってActivity Logボタンをクリックし、Moreをクリック、さらにSearchをクリックする。リストをずっと下がって一番下に、それはある(Facebookは、まるで見つけてもらいたくないようだ)。

Facebook Graph Search

 自分の検索履歴は、右上の「Clear Searches」リンクを用いて一掃できる。

Facebook Graph Search

 願わくば、これで広告主が自分のアカウントを狙うために使うその他のデータもクリアされるといいのだが。

では。
ショーン

Javaジャンキーのためのティップス

  我々が最近行ったアンケートによれば、Java Runtime Environment(JRE)をインストールしていないのは、たったの12%だった。そして残りの皆さん(88%)は多かれ少なかれJavaジャンキーだ。

Java Poll

  OK、Javaをインストールしており、ブラウザのプラグインもオンにしている41%については、少なくとも、Javaに遭遇するたび、ユーザにパーミッションを促すGoogle ChromeでJavaを使用して欲しいと思う。

Chrome, Java needs your permission to run

  あなたはFirefoxユーザだろうか? おそらくTrinh Nguyenのエクステンション「Plugins Toggler」が、ブラウザでJavaを停止するよう推奨するだろう。

Firefox extension, Plugins Toggler

  これは非常にシンプルで使いやすいツールバーボタンで、インストールしているすべてのプラグインをオープンしたり、「切り替え」たりできる。よって、デフォルトでJavaをオフにしておいても、オプションメニューを探しまわらなくても必要な時にオンにできる。

Plugins Toggler

  (専用のJava Togglerボタンエクステンションは素晴らしい。ヒント、ヒント。)

  もし今、Javaプラグインを制限したいと考えているなら、先に進もう。プラグインをみな停止してはどうだろう。(Adobe Flashでのように。)

  Google Chromeは、Content設定(chrome://chrome/settings/content)に「Click to play」のオプションが含まれる。

Chrome, Settings, Content, Plug-ins

  Firefoxはversion 14で、「Click to play」オプションが導入されたが、オンにするにはabout:configをオープンする必要がある。そしてサイトをホワイトリスト登録できるが、Chromeのように便利なセントラルロケーションからではない。そうは言っても…Firefoxではまだベータ機能であり、あまり期待できない。

Firefox, plugins.click_to_play

  完璧ではないが、かなり良い。

  Javaに関する一つの最終的な考えは、もし主要なコンピュータにJavaをインストールしたままの多数派にとどまるつもりなら、Javaは(他のプラグインと同様)バナー広告でアプリケーションから呼び出されうることを肝に銘じておくべきだ。

  Spotifyなどのアプリケーションは、サードパーティのバナー広告を介して危険や攻撃にさらされるのだ。








悪党のTumblr

  不正なAVは最近、あまり注意を引いていないが、おそらく、最新のトピックが大量のブラックハットSEOポイズニングURLを発生させている場合と比較して、もはや大声で叫んではいないためだろう。

  では、この頃どこに潜んでいるのだろうか?

  不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。

  下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:

tumblr2

  そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。

tumblr

  それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。

exploit

  悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。

windows_performance_adviser

  だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)

  安全なサーフィンを!

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード