エフセキュアブログ

金融 を含む記事

THE FIGHT AGAINST CYBERCRIME

 みなさん、こんにちは。Rakuten-CERTの福本です。
ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

 近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの(物理的な)銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為(不正送金マルウェアとか)の方が犯罪者としてはより安全なわけですから。

 楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

login

 実際、不正業者の逮捕後は攻撃は激減しました。

 インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。(注:プロアクティブセキュリティはきちんとやるのは大前提で)CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

 また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで(特にランサムウェアはお金になりそうでやばい)、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

気になるオールインワン・クライムウェア「DiamondFox」

情報窃取を目的としたボット”DiamondFox”が、クレジットカード情報を狙う犯罪者らの中で話題のようです。
(いろいろな意味で・・・)

webUI
 ※マニュアルより抜粋

元々、情報窃取を目的としたクライムウェアであることから、認証情報やクレジットカード番号等を窃取するための機能が非常に充実していることが特徴です。
  • Browser Password Stealer
  • Instant Messaging Grabber
  • KEYLOGGER
  • Point-Of-Sales Grabber(RAM Scraper)
  • EMAIL Grabber
  • FTP Password Stealer
中でも機能面で興味深いのは、
  • Bitcoin Wallet Stealer

を有していることで、顧客層を金融犯罪グループにターゲットを絞っていることが窺えます。


bitcoin stealer


また、DDoS機能(HTTP flood / UDP flood)もあり、脅迫用と推測されます。
DD4BCのケースのような利用を想定。

こういった金銭目的のクライムウェアは以前から存在していましたが、ここまで多機能なものは殆ど見かけたことはありませんでした。容易に予想される脅威は、一台の端末から認証情報の他に仮想通貨やカード情報など根刮ぎ窃取する手口が横行するかもしれない、ということです。

特にメモリに対しての機能を有している点においては、今後の行く末が恐ろしい限りです。
クライムウェアの悪用はこれからも増加するとみています。これらが日本国内のサービス等に、いつ対応してくるかが焦点になってくるのではないでしょうか。
何かUG市場に動きがありましたら続きを書きたいと思います。

ではでは。

エフセキュアのミッコ・ヒッポネン、インターネットの現状を分析

2月10日はインターネットの安全を考えるセイファー・インターネット・デー(Safer Internet Day)です。しかし、マルウェアによる攻撃やプライバシーの侵害といったニュースが絶えず報道されており、インターネットの安全性はかつてないほど脅かされているようにも感じられます。エフセキュアの主席研究員を務めるミッコ・ヒッポネンは、このセイファー・インターネット・デーに、インターネットの現状を分析し、より良いインターネットをともに創造するためのアイデアを公開します。

エフセキュアが行った最近の調査では、インターネットのセキュリティとプライバシーに関して、対策を講じている場合でも、ある程度信用できると回答した人は46%、あまり信用できないと回答した人は39%、まったく信用できないと回答した人は11%に上りました。インターネットを信用しており、セキュリティやプライバシーについてあまり心配していないと回答した人はわずか4%に過ぎませんでした。しかし、これも当然のことでしょう。エフセキュアでは毎日、平均25万を超えるデスクトップにおけるマルウェアのサンプル(多くはWindows)と、9,000を超えるAndroidでのマルウェアのサンプルを受け取っているからです。こうしたマルウェアは、私たちの金銭やコンテンツ、個人情報を盗もうとしています。

インターネットは、様々な面においてこの世界を変革し、便利にしてきましたが、ヒッポネンは、「私たちはモンスターを創ったのではないかという思いにとらわれるときがある」と話しています。どのようなイノベーションにも負の側面はつきものです。ヒッポネンが挙げた例を、ここでいくつか見ていきましょう。

セキュリティ問題に対するソリューションとしてのオープンソース?:いいえ、おそらくそうではありません。オープンソースのソフトウェアは、誰でも閲覧できるソースコードによって理論上はより広範囲な精査を受けるため、安全性が高いとよく言われます。しかし、ヒッポネンは2014年における最大のセキュリティ脅威を2件(HeartbleedとShellshock)指摘しています。どちらもオープンソースシステム内で発見された主要な脆弱性であり、誰も気付かないまま長期間存在していたものでした。

デジタル通貨は金融システムを救う?:暗号化をベースにしたビットコインなどのデジタル支払いシステムは、金融制度の根本的な問題を解決することが可能とされました。しかし、ハッカーがマルウェアを作成してビットコインシステムを悪用するなど、新たな問題も生まれています。さらに、ビットコイン・マイニングのためのスーパー・コンピューティング・パワーを巡る競争は、ビットコインの価値が低下したため、数百万ドル規模のデータセンターが運用できない状態になり、焼け散る(あるデータセンターではまさに文字どおりに)結果となりました。

モノのインターネット:トースターや洗濯機、車といったあらゆるモノがインターネットに接続されれば、様々な機会が生まれます。しかし、ヒッポネンは、「スマートデバイスとは、単に悪用可能なデバイスのことだ」と述べています。すでに、スマートセキュリティカメラをビットコイン・マイニング用デバイスに変えるマルウェアが発見されています。声または顔認証といった技術を利用したスマートデバイスによるプライバシー侵害の可能性は言うまでもありません。

「無料の」インターネットサービス:「サービスに金銭を払っていないからといって、それが無料ということにはならない」とヒッポネンは指摘しています。常に、代価として何かを提供しているのです。金銭ではないとすれば、それは、あなたの個人情報ということになります。時間をかけて利用条件を精読しない限り(ほとんどの人がこれを行っていませんが)、こうしたサービスが皆さんの個人情報をどのように利用しているか、本当のところは分からないのです。

監視社会:政府は新しいマルウェアの主要なソースのひとつとなっています。ほかの政府を監視できるばかりでなく、国民を監視することも可能です。ヒッポネンは、「インターネットの構築により、監視社会に最適なツールが構築された」と述べています。私たちがどこで何をし、誰と連絡を取り合い、何を考えているのかを、政府は監視することができるのです。

ヒッポネンは次のように述べています。「私たちは素晴らしいインターネット革命の時代を生きています。しかし、現在起きている問題に対処しないままでいると、自由に使えるオープンなインターネットを子供たちに残すことができなくなるかもしれません。」

私たちにできることは?

セイファー・インターネット・デーのテーマは、「より良いインターネットをともにつくる」ことです。このテーマを踏まえて、一般市民にできることは何でしょうか。ヒッポネンは、一般の人でも影響を及ぼすことのできるシンプルな方法をいくつか提案しています。

  • 質問する:新しいデバイスを購入する際は、店頭で店員に質問しましょう。「そのデバイスはオンライン上にあるのか? それはなぜなのか?」「そのデバイスは、ユーザの個人情報を収集するのか? そうだとすればそれはどのような情報か?」 質問して、答えを求めましょう。デバイスメーカーや小売店に、人々がプライバシーについて懸念していることを伝えましょう。
  • 大手インターネットサービスに多くを知られないようにする:ブラウジングしながらGoogleやFacebookにログインしたままでいると、これらのサービスはウェブ上で皆さんを追跡することができます。すでにこうした大手インターネットサービスに情報を与えすぎてしまっていると思う場合は、そのサービスを利用するときは別のブラウザを利用して、普段使っているメインのブラウザからはログインしないようにしましょう。
  • 簡潔な使用条件や使用許諾契約を要求する:使用条件や使用許諾契約はあまりにも長く、普通の人には理解できないような専門用語が多く含まれています。法律の学位がなくても、数時間も時間をかけなくても理解できるような簡潔なものを要求しましょう。
  • クラウドの力を利用する:クラウドベースのセキュリティでユーザを保護するインターネットセキュリティソリューションの活用を検討してみましょう。クラウドの下では、ユーザ基盤は動物の群れのようになっています。たとえば、群れの一員が病気になると、群れ全体がその病気に対する予防接種を受けることになります。クラウドベースのセキュリティは、我々ユーザ全体を保護する情報を共有しています。
  • 透明性を求める:AVセキュリティのベンダーに、ユーザのプライバシー保護に関して、透明性を確保するよう要求しましょう。ユーザまたはユーザのコンピュータからどのようなデータを収集しているのか、説明を求めましょう。個人情報の収集に関する方針を一般に公開しているセキュリティベンダーは世界に1社しかありません。

詳細情報
Safe & Savvyでのヒッポネンのインタビューの詳細はこちらをご覧ください。

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している

オンライン攻撃のたびにすべてのパスワードを変更しないで済ませるには

セキュリティの専門家の秘訣:彼らはパスワードを頻繁には変更しません。その必要がないからです。皆様にも役立つ秘訣をご紹介します。

12億ものパスワードがロシアのハッカーに盗まれたとの報告がありました。Heartbleedが発見される以前のことです。広範囲に及び特定できないデータ漏洩が発生した場合、すべてのパスワードを変更すべきだというのが一般的な見解です。しかしエフセキュア セキュリティラボによれば、さらに優れた方法があります。パスワードを適切に管理する習慣があれば、オンライン攻撃の情報を聞くたびにすべてのパスワードを変更する必要はなくなります。

「すべてのパスワードを変更すれば被害はないでしょうが、手間がかかってしまいます。それだけではなく、より強固な長期的対策とは言えず応急処置に過ぎません」とエフセキュア セキュリティラボのセキュリティ・アドバイザー、ショーン・サリバンは述べています。データ漏洩は新たな現実であり、もし起きたらという問題ではなく、いつ起こるかという問題になっています。サリバンは次のように述べています。「ユーザには、すべてのパスワードを変更するように指示するのではなく、従う価値のある役立つアドバイスが必要です。次に漏洩が報告された際には、被害に遭ったパスワードは管理下に置かれ、そのパスワードのみ変更すれば良いのです」

サリバンはまたこのように述べています。「専門家の秘訣、それはデータ漏洩によってすべてのパスワード変更を推奨されても、そのアドバイスに従っていないということです。なぜなら、その必要がないからです。特定のアカウントについて漏洩されていないのであれば、私はパスワードについて心配しません。それは、私がパスワード記録用のツールや、アカウント管理に役立つシンプルな各種のテクニックを利用して、リスクを最小限に抑えているからです」

それでは、パスワードを絶えず変更する手間をなくす有効な手段とは何でしょうか。サリバンは重要な点をいくつか指摘しています。

リスクを低減するためにアカウントを分散。個人関連、業務関連、金融関連など、目的ごとにEメールアドレスを作成することによって、アカウントを分けます。そうすれば、1つのEメールが侵害されても、その他のすべての情報が危険にさらされることはありません。サリバンは次のように述べています。「金融口座用のEメールアドレスを別に作成してみてはいかがですか。そして、そのアドレスを金融機関以外の誰にも教えないことです」さらにもし、個人アカウントに銀行関連のEメールが届いたら、それは不法なものであるとすぐにわかります。

可能であれば、Eメールアドレスの他に、ユーザ名も異なるものを使用。Eメールの他に固有のユーザ名を取得できるサービスもあります。ハッカーははるかに多くの情報を得ることが必要になるため、可能であればこのオプションを利用すると良いでしょう。また、利用可能であれば二要素認証を使用します。

各オンラインアカウントに対し、個別のパスワードを使用。異なるアカウントに対して同じパスワードを使用することは、ハッカーのためにレッドカーペットを広げているようなものです。Facebookアカウント用のパスワードが盗まれたら、犯罪者はEメールや他のアカウントに飛び移り、そこで同じパスワードを試すでしょう。

必須ではないデータをオンラインアカウントに提供しない。危険にさらされるものが少ないほど、安全性は高まります。

ある特定のアカウントについて漏洩が通知されたら、そのパスワードを変更。これは言うまでもありません。アカウントのパスワードを変更することは、少々骨が折れるかもしれません。しかし、長い目で見れば、漏洩のたびにすべてのパスワードを変更するよりは、簡単でストレスも少なくて済みます。また、個人情報やオンラインの身元識別情報の安全を守るためには価値のあることです。サリバンは、最初は1つのアカウントにて変更するところから開始し、すべてのパスワードについて完了するまで、対応を強化していくことを提案しています。

サリバンは次のように述べています。「これはPCの憂慮すべき次なる課題です。すべてのアカウントはクラウドにあるからです。世の中には2種類の人々がいます。アカウントをうまく管理する人々と、トラブルの世界に入りこむ人々です。どちらのグループに入りたいですか?」

適切なツールを使用すれば簡単です

ではどうすれば、多くの個別のパスワードとログイン名を覚え、効率的に管理できるでしょうか。エフセキュアのパスワードマネージャ、F-Secure KEYなら、適切なパスワード管理ができるだけ簡単に苦もなく行えます。F-Secure KEYでは覚える必要があるのは、たった一つのマスターパスワードだけですから、各アカウントに対して個別のパスワードを設定することが簡単になります。ユーザ名、パスワード、PINコード、その他重要なデータが、1つの安全なアプリケーションに保存されています。

F-Secure KEYには現在、全面的にアップデートしリフレッシュしたモバイルバージョンがあります。新しいモバイルユーザインターフェースには「お気に入り」機能があり、頻繁に使用するアカウント情報へのアクセスを、簡単に素早くできるようにします。F-Secure KEYのすべてのバージョンは、独自の強固なパスワードを生成するのに役立ちます。また、エフセキュア セキュリティラボからのニュースフィードが導入されており、主要なハッキングに対しては最新の状態を保つことができます。強力な暗号化により、すべてのデータが守られます。

F-Secure KEYは無料でダウンロードでき、Android、iOS、Windows、Macなど、あらゆるデバイスで使用できます。複数デバイス(何台でも可)上で同じマスターパスワードを用いてF-Secure KEYを使用したり、安全な欧州のクラウド経由で複数デバイスのパスワードを同期するには、プレミアムバージョンにアップグレードしてください。プレミアムバージョンは有償になります。F-Secure KEYはApple App Store、Google Play、f-secure.com/keyで取得できます。

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

オンライン詐欺から身を守るためのヒント

全世界で10人に1人以上の割合でオンライン詐欺による金銭的被害を経験していることがエフセキュアの最近の調査で明らかになりました。この調査では、ユーザのオンラインの安全性に対する懸念が浮き彫りになっています。また、同調査では、デスクトップおよびノートパソコンが、オンラインに接続するにあたって最も危険なデバイスであると考えられていることがわかりました。
オンライン詐欺による金銭的被害を経験している人の割合は、ヨーロッパで12%であるのに対し、ヨーロッパ以外では17%となっています。ヨーロッパで最も高いのは英国の17%で、ヨーロッパ以外では、米国およびマレーシアが最も高く、両国とも20%となっています。

オンライン詐欺から身を守るために、次のようにご注意ください。

・ 英数字や特殊文字を組み合わせて、アカウントごとに異なるパスワードを使用する。
・ 確実に信頼できるサイトの、URLに「HTTPS」が含まれているページにのみ、個人情報や金融関係の情報を入力する。
・ 共有のパソコンや公共の場にあるパソコン上、または公共のWiFiを経由したオンラインショッピングやオンラインバンキングは回避する。
・ 銀行などの機関を装ったフィッシング詐欺メールに注意する。
・ 不審なメールのリンクをクリックしたり、添付ファイルを開いたりしないようにする。
・ ブラウザおよびソフトウェアを必ず最新の状態に維持する。
・ お子様がいるご家庭は、お子様がクリックする場所に気をつける。多くの「罠」は、お子様の興味を引くように設計されています。
・ 現実にはありえないようなできすぎた話に注意する。
・ 銀行やクレジットカードの取引明細を定期的にチェックして、見覚えのない取引がないか確認する。
・ エフセキュアをはじめとする信頼できる会社のインターネット セキュリティ ソフトウェアを使用する。エフセキュア インターネット セキュリティは、ご利用のパソコンとネットライフに最高のセキュリティを提供し、ウイルス、スパイウェア、マルウェアをブロックして、オンライン バンキング、オンライン ショッピングやネットサーフィン中も保護します。体験版は無料でご利用いただけます。

なお調査結果の詳細はこちらをご覧ください。
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1125080/

この10年の脅威環境の変化 - その1 -

この10年ほどで起きた脅威環境の変化について、3回にわたってお知らせします。
なぜプロアクティブな防御が必要か、ご理解いただけましたら幸いです。

マルウェアの急激な増加

悪意のあるプログラムの生成プロセスを自動化したマルウェア作成キットが初めて広く利用可能になった2000年代半ばから、アンチウイルスラボで見つかるマルウェアのサンプル数が爆発的に増加しました。
毎月数十万個の新種や亜種が生み出され、増殖しています。数が圧倒的であるだけでありません。
これらの亜種の多くは、莫大な数量でアンチウイルスプログラムを圧倒することを目的に、数日または数時間という短期間だけ生き残るよう設計されています。

オンラインに移行する攻撃

マルウェアが電子メールの添付ファイル経由で配布されるのが一般的だった時代は過ぎ去りました。
今日、最も一般的な攻撃方法は、侵害された正当なサイトや、検索エンジンまたは侵害されたサイトからトラフィックをハイジャックする悪質サイトを訪問している間に、密かにダウンロードが行われる「ドライブバイダウンロード」です。
マルウェア配布者や攻撃者は、標的とするコンピュータへの直接配信から広範なオンラインの世界に移動することで、ターゲットオーディエンスを増やしているだけでなく、感染の防止をますます難しくしています。
攻撃サイトを特定し、ユーザがそのサイトを訪問することを防ぐメカニズムがなければ、攻撃が発生したという明白な兆候もなく、ユーザのコンピュータが食い物にされてしまいます。

マルウェアがサイバー犯罪ツールに変化

感染による影響も、組織犯罪者達がサイバー犯罪に手を染めるようになってから変化してきました。
最近のデータ・個人情報の盗難、金融詐欺はすべてマルウェアが絡んでいる犯罪行為です。
被害額が驚くべき額に昇ることもあります。
たとえば、米国連邦捜査局(FBI)は、2012年上院公聴会で、2011年のゴーストクリック作戦で壊滅させたクリックボット詐欺で、1400万ドルもの「不正利益」が上げられていたことを報告しています。
ほとんどの関係当局には、サイバー犯罪者を摘発するリソースやサイバー犯罪を訴追する政治的意志が欠けています。
そのため、サイバー犯罪者にとってオンライン上での活動を続け、さらにそれを改善していくための強力な金銭的インセンティブが存在します。

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




オンラインバンキングの取引にご注意を!!

メディア、金融機関より報じられるているように、ここ一週間の間にオンラインバンキングの利用者をねらった攻撃が表面化してきており、実際被害にあわれた方もいらっしゃるようです。

この状況に対し、本日、金融庁より全銀行へオンラインバンキングの不正被害の調査を行うよう指示されています

既に各銀行より注意喚起されていますが、当社としても、オンラインバンキングをご利用の皆様には同様の被害にあわない様に、セキュリティ対策を注意喚起させていただきます。

この攻撃ではオンラインバンキングユーザがログインする際に、偽の画面を表示させパスワード等を不正に入力させる画面が表示され、誤って入力してしまうとそのユーザの情報が搾取されるというものです。

主に、キーロガー、フィッシング、ファーミング、スクリーン/ビデオキャプチャー、Man-in-the-Brower等オンラインでのバンキング取引において、個人情報を搾取する方法としては、いくつかありますが、今回においてはMan-in-the-Brower手法の可能性があるようです。

また、今回のようなオンラインバンキングユーザへの攻撃による個人情報搾取の被害は、以前より当社でも報告を受けており、様々な手法を駆使して、日本だけでなく、全世界レベルで拡大しています。
参考記事を下記に3つほど。
トレンド:フィッシングから「マンインザミドル」フィッシングへ
そのURLは本物?
フィンランドの複数の銀行でマンインザミドル攻撃

今回の攻撃に対する対策方法としては、ユーザのセキュリティ意識を高めて頂く必要があります。
具体的には、まずはユーザがインターネット経由でのやり取りにおいては、情報が搾取される可能性があることを意識して頂くともに、個人情報(口座番号、ID、パスワード等)をポップアップ画面やメールを介して、再度問い合わせることはないということを理解して頂くことが重要です。
そしてさらに、セキュリティ対策ソフトウェアを導入し、常にOSやアプリケーションも含め、最新の状態にしていただくよう心がけて頂く必要があります。

当社、F-Secureでもセキュリティ対策製品に最新の独自技術を搭載し、常に変化し、複合化するセキュリティ脅威への対策を提供いたします。
また、オンラインバンキング対策専用セキュリティツールの開発も進めており、もう間もなくリリースを予定しております。
(リリースされました情報を改めてアップさせていただきます。)
そのようなセキュリティ対策製品やセキュリティツールをご提供させて頂く事で、皆様の安全で、快適なオンラインライフをサポートしていきます。

MicrosoftのDigital Crimes UnitがZeuSを摘発

  MicrosoftのDigital Crimes Unitがこの週末、悪意あるボットネットに対する法的兵器を拡大し、金融サービス業界のメンバーと協力してZeuSボットネットに属するサーバを排除した。Microsoftは3月23日、ニューヨーク東部地区の米連邦地裁で提訴している。Microsoftと同社パートナーは、既知のZeus C&Cの一部を協力して押収することに成功したのだ。

  以下でご覧頂けるように、エフセキュア・ラボはDCUへの情報と分析の提供で関わらせて頂いている。

Microsoft Joins Financial Services Industry to Disrupt Massive Zeus Cybercrime Operation That Fuels Worldwide Fraud and Identity Theft, F-Secure

  Microsoftのリーガルチームが、ボットネットのテイクダウンの一部として、RICO法(Racketeer Innuenced and Corrupt Organizations Statute Act:組織犯罪に対処するための法律)を利用したのは今回が初めてだ。RICOに馴染みのない方もいらっしゃるだろうが、これは通常「ギャング」を対象としている。

  そしてZeuSボットネットがいくらでもあることを考えると、これはMicrosoftにとって、非常に有益な法的動きだ。

  abuse.chでZeuS Trackerに従事している人々は現在、350台のC&Cサーバがオンラインであると報告している。

ZeuS Tracker 2012.03.26
Source: zeustracker.abuse.ch

  よってすべき仕事はまだたくさんある…

詳細は:Microsoftと金融サービス業界の主要メンバーがZeusボットネットのサイバー犯罪オペレーションを摘発
法的ドキュメント:zeuslegalnotice.com

  これまでの努力がみのったMicrosoftのDCUにおめでとうと申し上げたい。

モバイルバンキングを標的とするZeuS亜種

  今日、Symbian (.sis)もしくはBlackberry (.jad)コンポーネントを用い、mTANを盗むZeuS亜種を伴った、興味深いWindows+モバイルケースが発生した。

  mTANは、モバイルトランザクションの認証番号で、SMSを介して送られ、オンラインの金融取引を許可する使い捨てのワンタイムパスワードとして、銀行で使用されることがある。SMSメッセージには、(Man-in-the-Browser攻撃を介して)何ら変更されていないことを保証するトランザクションデータも含まれる可能性がある。

  Windows OSベースのオンラインバンキングは、フィッシング、ファーミング、クロスサイトスクリプティング、パスワードを盗むトロイの木馬による攻撃を絶えず受けている。プロセスに「外部」デバイスを追加することは、有効なセキュリティ対策だ。我々が考えた対策は技術的にチャレンジングであるため、あらゆる攻撃志望者を思いとどまらせるかもしれない。しかしながら、オンラインセキュリティは、いたちごっこであり、我々はしばしば、バンキングを対象としたトロイの木馬が携帯電話にねらいを定めるのは、時間の問題であると予測してきた。

  Mitmoのケースを見てみよう。デジタルセキュリティサービス会社のS21secが土曜日、同社のブログに「ZeuS Mitmo: Man-in-the-mobile」という記事を掲載した。同社が発見したこのZeuSの亜種は(我々は「Trojan-Spy:W32/Zbot.PUA」および「Trojan-Spy:W32/Zbot.PUB」として検出している)、携帯電話の詳細を要求し、犠牲者により与えられた回答に基づいたダウンロードリンクをSMSで送信する。

  Symbianコンポーネント(「Trojan:SymbOS/ZeusMitmo.A」として検出)を分析した結果、我々もS21secのリサーチが正しいことを確認している。Symbianファイル「cert.sis」は「Nokiaアップデート」と名乗っており、S60 3rd Edition携帯電話用のSymbian Signedだ。

  この新たな脅威ベクタの全体像を捉えることは、「Zbot.PUA」により用いられるC&Cがもはやオンラインではないため難しいが、分析およびコンフィギュレーションファイルに基づくなら、この攻撃はホビーストによる仕事では無い。モバイルアプリケーションとソーシャルエンジニアに関し、深い理解を持つ人々により開発されていると考えられる。彼らは開発を続けるものと我々は予測している。

  いたちごっこは続くのだ。

マルウェアとクリティカルインフラストラクチャ

  スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。

El Pais

  「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

  我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

  これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

  Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

  Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。

CSX

  その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。

report

transcript

  たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。

PDFベースの標的型攻撃が増加

  Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。

  もしまだなら、そのアップデートをすぐに適用すべきだ。

  何故か?

  何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。

  我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。

  このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。

  我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。

  2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。

  そして2010年の最初の2カ月はどうだろう?

  そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。

  Adobe Readerを標的とする割合は増え続けている。

  以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

Targeted attacks 2008, 2009, 2010 (Jan/Feb)

  追記:何人かの読者が、グラフ内の2009年のパーセンテージが若干間違っていることに気づき、知らせてくれた。既に修正している。

フィッシングメールっておいしいビジネスモデルなのか?

普段滅多に来ないフィッシングメールが、連日届くようになったので、おかしいなと思っていましたら、IBM ISSの報告によると、フィッシングメールの量が再び増加しているとのこと。

図ではフィッシングメールが5月に減少から増加に転じていますが、これは一体何が起因しているのでしょうか。なかなか興味深いです。フィッシング詐欺ってそんなに儲かるのでしょうか??(失言)

ところで、先日、HotmailやGmailのアカウント情報が大量流出したとのニュースがありました。その原因としてMicrosoft社はフィッシング詐欺である可能性が高いとの見解を示しています。しかし、この見解に対しては反論もあるようで、真相は分かっていません。

この事件も非常に興味深いのですが、見解がどうもスッキリしません。フィッシング詐欺の最新動向は詳しくありませんが、その成功率は0.1%以下で話される事が多いように思います。

例えば、Hotmailの件に関していえば、APWGはコメントの中で0.05%のユーザーがフィッシング詐欺に騙されたとしたら〜・・・と仮定してコメントをしています。ここで0.05%をどう捉えるかですが、攻撃技術が進歩している中、力技で収集するのは非効率であるし、少々無理があるのではないかと、つい勘ぐってしまいましたが、そんな事はないのでしょうか?

寧ろ、最初からメールに悪意あるファイルを添付した方が余程効果がありそうです。JPCERTの予防接種実施調査報告書を参考にすると、ウイルスメールの開封及び添付ファイルのクリック率は10%強は見込めます。つまり、スパイウェアやボットを利用した方が効率が遥かに良いことになります。(ちょっと飛躍しましたが・・・)

そこで勝手な憶測ですが、単純なフィッシング詐欺というのは殆どなく、新たな手口が登場している、ということは考えられないでしょうか。フィッシングメールのターゲットは金融関連が多いそうですし、先日報告のあったPostbankの事件を無理矢理合わせて考えますと、何か大きなトレンドの変化があるのではないか??と考えてしまうのは私だけでしょうか。

この辺りの詳しい情報求む!

セキュリティ・クエスチョンの問題点

  「Facebookセキュリティ・クエスチョン」では、ソーシャルネットワークでユーザーがパスワードを忘れた場合にシステム側が訊ねるプリセットの質問の問題について書いていましたが、この中でFacebookが用意している質問のカテゴリーには、もし盗まれるとオンラインバンキングなどでも重大な問題になりうるものがあります。

  例としては「What is your mother's maiden name?」は母親の旧姓、「What is your mother's birthday?」 は母親の誕生日を聞いていますが、これらは金融機関などでも本人確認のために訊ねることがよくある項目です。

  このFacebookの例はサイト設計の時点での思慮不足といえますが、ユーザーとしてもソーシャルネットワークや様々なソーシャルメディアを利用する場合には、自分の家族親族友人に紐付けされ易い情報は自衛的に避ける方が安全と言えるでしょう。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード