エフセキュアブログ

脆弱性 を含む記事

マルウェアの歴史: CODE RED(コードレッド)

15年前(5479日前)の7月19日、Code Redが感染拡大のピークを迎えた。悪名高いコンピューターワームCode Redは、Microsoft Internet Information Server(IIS)の脆弱性を悪用して感染を拡げた 。

感染したサーバには、以下のメッセージが表示された。

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

CVEセキュリティ脆弱性のデータを丸裸に

 今年のアドビ関連のCVEセキュリティ脆弱性は、2015年のレベルを上回り着実に増加している。cvedetailsのデータを調べると、今までのところ、2016年は2015年の51%の件数がある。今はまだ5月なのに。

 2015年はコード実行の脆弱性が大豊作の年だった(335件)。

CVE Details Adobe By Year
情報源:CVE Details

 この傾向は2016年も繰り返されている。

 そして脆弱性の宝庫となる原因になった製品はなんだ?Flash Playerだ。もちろん。

CVE Details Top 50 Products
情報源:CVE Details

 アドビは、我々と同様、早く2017年になることを切望しているに違いない。

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

さよならFlash!Google ChromeがHTML5をデフォルトにする予定

 先週の報道のとおり、GoogleのChromeブラウザの背後にいる開発チームは、2016年第4四半期中にHTML5をデフォルトとする計画を立てている。

 GoogleのテクニカルプログラムマネージャーであるAnthony LaForgeは次のように述べている。

 「Chromiumでは今年中に、Navigator.pluginsとNavigator.mimeTypesのデフォルトの応答を変えることにより、Flash Playerの存在をWebサイトに通知する方法の変更を予定しています。もしWebサイトがHTML5のエクスペリエンスを提供しているのなら、この変更によってHTML5が第一のエクスペリエンスになるでしょう。当社は引き続きChromeと共にFlash Playerを提供していきます。もしWebサイトで本当にFlashが必要な場合、ユーザが最初に当該サイトを訪れたときにページの最上部にプロンプトが現れ、そのサイトでFlashを許可するかどうかユーザに選択肢が与えられます」

 Google ChromeがほどなくAdobe Flashの廃止へと向かうであろうことを、今年すでに私は当社の2015年の脅威レポート上で予言していた。

Google Chrome Flash prediction

 そして、MozillaとMicrosoftもこれに続くだろう。これでワンアウト、あと2つだ…。

 脅威レポートから該当の記事を再掲する。


Flash:手の届くところにぶらさがっている最後の果実

 マルウェアによるエクスプロイトがコモディティ化して10年は経つ。2006年の間は特に顕著だったので、情報セキュリティのアナリスト達の間で、マイクロソフトの月例パッチ公開日「Patch Tuesday」の翌日を「Exploit Wednesday」と冗談めかして呼ぶようになった。迅速に対応することが、成功の鍵だ。火曜日にマイクロソフトが更新をリリースすると、その根底にある脆弱性を発見するべく、即座にリバースエンジニアリングが行われる。そして脆弱性が判明するとすぐにマルウェア攻撃で使用するためのエクスプロイトが作り上げられる。これはまだ更新していないユーザを攻撃することを目的としている。

 マルウェアキットの出現により、2006年遅くにマルウェアのコモディティ化はさらに進んだ。MPackのような初期のキットは、ますます増加する要求を満たすほど迅速に拡張ができず、それら自身の成功の餌食となった。しかしそのような成長の痛みは、マルウェアサービスによって間もなく解消され、今日では闇市場に多数のエクスプロイトキットがある。

 Exploit Wednesdayはもう終わった。マイクロソフトのソフトウェア[1]は10年前と比べ物にならないくらいセキュアになり、パッチもはるかに迅速に公表される。エクスプロイトキットは、マイクロソフトからアドビへと移行した。Acrobat Readerは(Flashも)一時期は最大の標的であった。しかしブラウザがネイティブにPDFをサポートし始めて、Acrobat Readerはほぼ不要になりつつあった。アドビ社は強力な更新サイクルを適用し、同社ソフトウェアは一時的に危険な状況から脱した。その次は、Javaのブラウザプラグインが標的として好まれるようになり始めた。群れの中の一番弱い者だからだ。ブラウザの開発者たちは、程度に差はあれ、極めて制限のある場所へとJavaプラグインを押し込めた。

 そして現時点では…、今でもエクスプロイトキットの標的となっているプラグインでは、アドビ社のFlashが最後で「最良」だ。しかし、どれだけ長い間、そうなのだろうか?

 2010年4月29日、スティーブ・ジョブスは「Thoughts on Flash(Flashについての考察)」という公開書簡を示した。ここでは、なぜアップル社がiOS機器上でFlashを許容しないのかについて説明がなされている。少なくともモバイル端末上では、その時がFlash Player終焉の始まりだと数多くの技術アナリストが指摘している。この指摘は真実だと証明された。2012年6月28日のアドビ社のアナウンスでは、Android 4.1向けの公式なFlash Playerの実装は提供せず、また2012年8月15日以降はGoogle Play経由でのインストールが制限されることになるだろうとのことだった。[2]

 それ以来Flashはデスクトップ市場にしがみついているが、見渡す限り非推奨になっている。2015年8月にはアマゾンが「2015年9月1日以降、Flash広告を受け付けない」と発表した。グーグルは2016年2月にアマゾンの先例に従った。グーグルの広告ネットワークであるAdWordsとDoubleClickも、2016年6月30日以降、Flashベースの表示広告の受け付けを停止する。また2017年1月2日には、Flashベースの広告を無効にする。

 この時点で、私は2017年前半のことを次のように予測をたてることができる。Flashベースの広告のサポートがもはや必要でなくなれば、Google Chromeブラウザは積極的にユーザが任意の種類のFlashを要求するサイトをホワイトリスト化するように求める。MozillaのFirefoxやMicrosoft Edgeでも同様になるだろう。そして2017年の春までには、エクスプロイトキットが憂慮される限りFlashは効率的に馘首されることになる。

 目に見える新たな果実がろくに無いという、破壊的な未来にエクスプロイトキットは直面している。コモディティ化されたマルウェアサービスは、現在流行中のマクロベースのマルウェアのような、添付ファイルのマルウェアの使用へとさらに転換するだろう。

 人々がダイアログを消すために「OK」をクリックするのを防ぐことができさえすればいいのだが。

[1] Silverlightは全面的に例外で、現在キットとして悪用されている。だが、NetflixはSilverlightをお払い箱にしており、願わくば同技術もすぐに絶滅するだろう。

[2] 皮肉なことに、Androidマルウェアの多くのやり取りは、Flashの更新が必要だと主張する、虚偽の広告経由でプッシュされる。Flashが存在しない場合でも、その遺産がソーシャルエンジニアリング上の脆弱性をもたらすことになる。グーグルの検索エンジニアたちは、そのような広告を表示するサイトについてChromeが警告を行うように設計し始めている。

Badlock:横展開への懸念点

 昨日、Badlockがついに明らかになり、一見したところでは誇大広告だったことで、情報セキュリティ業界全体とも思える範囲でずっこけた。

https://sadlock.org/
Badlock… or Sadlock?

 公開までの1か月間の構築作業と派手なロゴは不要だったという点には同意するが、この脆弱性によって悪意のある人物に有用な兵器が将来的に提供される、と我々が考える理由を説明したい。

 今回の脆弱性を悪用するためには、兵器級の中間者攻撃を作り上げてから、一連のネットワーク化された、パッチが当てられていないSMB(Server Message Block)を実装したホストに展開する必要がある。業界で共有した期待を裏切られた感覚は、この事実によるものだ。こうしたシナリオをあなたが目にするのは、ほぼ企業の内部ネットワークにおいてのみだろう。しかし、この脆弱性に対する適切な中間者攻撃によって、攻撃者は権限を引き上げ、Active Directoryのデータベースへフルにアクセスできるようになる。これはつまり、ログイン情報とパスワードのハッシュをすべて攻撃者に提供することを意味する。Badlockの公式サイトでは、次のように述べられている。

 「Sambaで使用されている各種プロトコルで実行され得る中間者攻撃が複数ある。これにより、インターセプトしたユーザのコンテキストを用いて、任意のSambaネットワークコールの実行が許可される」

 もしこの脆弱性がSambaのActive Directoryサーバで使われたら、攻撃者はActive Directoryのデータベース内の、ユーザパスワードのハッシュを含む機密情報を閲覧、変更できるようになる可能性がある。また当該サーバ上で実行中の重要なサービスも停止し得る。もしこの脆弱性が標準的なSambaサーバで使われたら、攻撃者はファイルやディレクトリに対するユーザのパーミッションを変更できるようになる可能性がある。

 この脆弱性はWindowsとLinuxの双方に影響を及ぼす。この問題を解決するためのパッチは既に提供されているものの、企業全体できちんとこのパッチが適用されているかは管理者によるところだ。マイクロソフト社自身の「Patch Tuesday(定例パッチ)」のプロセスでこの問題は解決され、大半のWindows機は速やかに最新の状態になると、我々は予期している。一方Linux機については未知数である。

 より大局的な観点で見ると、高度な脅威をもたらす人物がひとたび企業の内部ネットワークへのアクセスを得た場合には、Badlockの脆弱性によってこうした人物に有用なツールが提供される可能性がある。国家のような、組織化されて豊富な資源のある集団にとっては、Badlockを悪用して、これに適した中間者攻撃を作成・展開することはそれほど難しいことではない。

 今回の脆弱性についての概念実証は現在のところは表沙汰になっていないが、世の中にはエクスプロイトの作成に励んでいる集団がいると、我々は確信している。現時点ではこのような類の戦略が使われているのを確認していないが(Badlockを取り巻く噂では)、そのうち利用されているのを目にしても驚きはないだろう。

#Wassenaar アレンジメントのゆくえ3 -- 今週から始まる予定の「Intrusion Software」の修整再交渉

3月18日、脆弱性テストツールMetasploitを提供しているRapid7社がブログで「Wassenaarアレンジメント - サイバーセキュリティ輸出コントロールへの推奨事項」という提言記事をポストした。記事中ではまさに今週にあたる4月11日の週からWassenaarアレンジメントの再交渉に関するミーティングが始まる事の指摘があり、それを睨んだ提言だ。

このWassenaarアレンジメントの再交渉の件は、前回私が1月15日にF-Secureブログに「#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは」のポストを書いたのと同時期に動きだしていた。  http://blog.f-secure.jp/archives/50761446.html
この『再交渉』というのは、アメリカ国内での対応制度の話ではなく、41ヶ国の合意となっているWassenaarアレンジメントの本体の文言を書き換えるということだ。

1月12日にアメリカ議会のITサブコミッティーでヒアリングが行われた。
WASSENAAR: CYBERSECURITY AND EXPORT CONTROL

そして2月29日にはアメリカ議会動向のニュースを扱うThe Hillに、オバマ政権が「Intrusion Software」のルールへ再交渉へ舵をきったと流れた。
Obama administration to renegotiate rules for 'intrusion software'

3月1日には、アメリカ商務省がWassenaarアレンジメントの書き換え交渉の提案を受領したことが通知された。


Rapid7による提言そのものは、228ページにわたるWassenaarアレンジメント本文の中の「Intrusion Software」に関する条項の文言それぞれについて、法律家の支援を得て添削を試みたもので、以下のPDFになる。

Rapid7の提言によるWassenaarアレンジメントの添削ドラフトでは、以下の3つの点が変更すべき推奨のポイントになっている。
1) Exceptions to the Wassenaar Arrangement controls on "systems," "software," and "technology."
Wassenaarアレンジメントによる「システム」「ソフトウェア」「テクノロジー」のコントロールへの例外をはっきりすること

2) Redefining "intrusion software."
「イントルージョン・ソフトウェア」を再定義すること

3) Exceptions to the definition of "intrusion software."
「イントルージョン・ソフトウェア」の定義への例外をはっきりすること

F-Secureブログの1月15日のポストでも触れたが、MetasploitはWassenaarアレンジメントの影響を受けるツールとしてよく例に上げられている。理由は、Metasploitにはオープンソース版と商用版があるが、Wassenaarアレンジメントではオープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればの規制から除外されることになっているので、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitは輸出ライセンスを得る必要があるという問題だ。そのため、このMetasploitを提供するRapid7がこのような提言を出して来るのはとても意味がある。

再交渉が始まるタイミングならば、Wassenaarアレンジメントの影響を受け得る日本の企業も積極的に意見を表明していく必要があるだろう。

Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増

 アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。

 ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。

Magnitude EK 2016.04.07

 Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。

MagnitudeEK_Salama.H_20160407

 1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。

MagnitudeReferers_AdPlatforms_20160407.PNG

 さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。

MagnitudeReferers_AdultSites_20160407.PNG

 Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。

 このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。

 当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。

  • Exploit:JS/MagnitudeEK.G
  • Exploit:SWF/Salama.H
  • Trojan:W32/CryptoRansom.A!DeepGuard

 当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。

Androidのセキュリティ上の大問題の1つを示す2つのグラフ

 あなたのデバイスのOSに最新のセキュリティアップデートを適用することは、セキュリティの基礎となるベストプラクティスだ。最新バージョンのOSを実行しているのでなければ、自身のデバイスを潜在的なエクスプロイトにさらけ出していることになる。

 以下は、Apple社のiOS 9の適用率をグラフにしたものだ。

iOS 9 Adoption
情報源:Mixpanel

 逆転している。iOS 9は2015年9月16日にリリースされてから、極めて速やかにiOS 8に取って代わり、全装置中で大多数を占めるようになった。

 以下のグラフは、Google社のAndroid OSの適用率である。

Android OS Adoption
情報源:Mixpanel

 影も形もない。Android 6.0である「Marshmallow」は2015年10月5日にリリースされたのに、いまだ「Other」に分類されている。Google自身の数字によれば、Androidの最新版は分布の1.2%を占めるのみだという。Android機のおおよそ7割は、いまだにKit-KatまたはLollipopを実行している(両者とも、既知のセキュリティ上の問題や脆弱性がある)。

 Marshmallowのリリース後も、Lollipopは市場シェアを伸ばしてさえいるのだ。

 これは残念なことだ。なぜなら、Android 6.0 Marshmallowは流行りのAndroidマルウェアに対し防御力が高いからだ。

ブルートフォースパスワード攻撃を発端としたFlashリダイレクタの事例

 「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。

昨年スマートテレビを購入した消費者の割合は、デスクトップPC購入者の割合に匹敵

エフセキュアが今回実施した調査では、過去一年以内にスマートテレビを購入したと答えた回答者が23% に上り、デスクトップPCを購入したと答えた人の割合とほぼ同一でした。8,800人の消費者を対象に行われた今回の調査からは、「モノのインターネット(IoT)」が消費者の間で徐々に受け入れられつつある一方で、プライバシーやセキュリティ対策がきちんと取られているか、不安を抱く人の割合が非常に高いことがうかがわれます*。

本調査から、スマートテレビ以外のIoT製品カテゴリであるウェアラブル機器やネット家電についても普及が進みつつあることが明らかになっています。その一方で、今回調査の対象となった消費者の70%がこれらの機器のハッカー被害が心配であると答え、69%がこれらの機器を通じた第三者による追跡を懸念していると回答しました。

エフセキュアの戦略的脅威研究担当ディレクター、ミカ・スタルバーグは、普及が進んでいるIoT機器のタイプを考慮すると、上記に挙げた消費者の懸念は当然であると考え、次のように述べています。「モノのインターネット(IoT)の普及は、娯楽の次に、生活の質を高める製品に特化しています。監視カメラやスマートキー、スマートカーのような製品はすべて物理的なセキュリティに重要な役割を果たします。これらIoT機器の普及が進めばオンライン上の脅威がより身近なものになるわけですから、この点に関して消費者が懸念を抱くのは当然のことなのです」

さらにスタルバーグは、家庭用ルーターがハッキング被害に遭うケースがここ数年増加している点を指摘し、この傾向はセキュリティ対策の不十分な機器が犯罪者のビジネスチャンスとして狙われていることを示すものだと述べています。「IoT機器への攻撃は今後高まることが予想されますが、その原因はIoT機器のセキュリティ対策が充分でないためです。家庭用ルーターへのハッカー攻撃は、IoT機器が危険にさらされる可能性を顕著に示しています。ハッカーが家庭用ルーターを悪用してネットワークトラフィックを監視し操作する恐れがあります。『Lizard Squad(リザードスクワッド)』のようなハッカー集団はすでに脆弱性を悪用して、市場性の高いボットネットサービスを生み出しているのです」

IoT機器の普及が進むにつれて高まるセキュリティリスク

今回の調査結果をエフセキュアが昨年行った同様の調査結果と比較したところ、セキュリティやプライバシーに対する消費者の懸念にもかかわらず、モノのインターネットの普及が進んでいることが明らかになりました**。 より多くの消費者がより広範な製品カテゴリからIoT機器を購入しており、IoT機器の市場が順調に成長すると見込んだ、市場調査会社の予測を裏付けています*** 。最も成長が著しい製品カテゴリは次の通りです。

  • フィットネス・生活用追跡機器の普及が3%から5%に増加
  • インターネット接続型の家庭用モニタリング機器の普及が1%から4%に増加
  • TVストリーミング機器の普及が4%から6%に増加

スタルバーグは、これら製品カテゴリの大半が比較的新しく、従来IT製品の製造を手掛けてこなかったメーカーによる機器が多数を占めている点を指摘しています。新しいタイプのIoT機器が加わることでネットワークの規模が拡大し、プライバシーやセキュリティに関する従来からの問題が深刻化する可能性があります。

「メーカーは使いやすさにばかり力を入れ市場投入を急ぐあまりに、限られた機能しか持たないIoT機器が大量に出回っていますが、これらのIoT機器はセキュリティ上の脆弱性を抱えています。セキュリティ問題に関してIoT機器と従来のIT製品とで大きな違いは見られませんが、IoT機器がネットワークに加わることでネットワーク規模が拡大し、セキュリティに関する従来からの問題が深刻化する恐れがあります。対応不可能な状況になる前に、消費者とメーカーの双方が管理可能なネットワークの確保について考えるべきです」

*出典:「エフセキュア消費者価値観調査 2015」 本調査は11カ国(米国、英国、フランス、ドイツ、ブラジル、アルゼンチン、コロンビア、メキシコ、イタリア、スウェーデン、インド)で実施されたオンライン調査です。調査は1カ国につき800人、合計8,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。 調査データは2015年7月にToluna Analytics社が収集しました。 なお、2014年の調査データとの比較は、2014年と2015年の両方で調査を実施した国に限定して行っています。

**出典:「エフセキュア消費者価値観調査 2014」 本調査は6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)で実施されたオンライン調査です。調査は1カ国につき 800人、合計4,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。調査はInformed Intuitions社とエフセキュアが共同作成し、調査データは2014年7月にToluna Analytics社が収集しました。

***出典:https://www.idc.com/getdoc.jsp?containerId=prUS25633215

詳細情報:  
F-Secure Internet of Things https://iot.f-secure.com/

数独マルウェア vs. EMET 5.2

数ヶ月前、悪意のある数独問題ファイルを読み込むことの危険性について注意喚起を行いましたが、昨今の標的型攻撃の手口は悪質化、巧妙化の一途をたどり、ソーシャルエンジニアリングを駆使した攻撃手法も洗練され、もはや「悪意があるかどうかを事前に判断」することが困難になりつつあります。つまり、「不審な数独問題ファイルを開かない」というのが対策として機能しなくなってきたのです。

そこで近年注目されているのが、マイクロソフトが提供するEMETに代表されるような脆弱性防御(緩和)ソフトウェアです。
早速、EMETを有効にした状態で数独マルウェア(正確に言うと数独Exploit)を使って攻撃してみましょう。
デフォルトで3つのセキュリティレベルが用意されていますので、最高レベルの「Maximum security settings」を選択して実験を開始します。

SudokuExploitWithEmet52

なるほど、確かに攻撃を検知して防御してくれました。

では次に、EMETによる防御をバイパスしてみましょう。EMETの解説を読む限りでは、攻撃に使われる典型的な振る舞いをパターン化しているようです。そこで、一直線に攻撃に向かうのではなく、わざわざ遠回りをして攻撃してみます。例えて言うと、スタート地点Aから目的地Bに向かいたいが、途中に検問がある。だったら一度経由地Cを通ってから目的地Bに向かおうという、いたってシンプルな作戦です。
要するに
A -> B
という命令は
A -> C
C -> B
という二段階の命令に置き換えます。

完成した攻撃コードを実行した動画です。



脆弱性防御ソフトウェアは、あわてんぼうの攻撃者にとっては有効ですが、精巧に攻撃されるとまだまだバイパスが可能、という段階のようです。

また今回の実験はEMETだけでなく他の標的型攻撃対策ソフトに対しても同様にバイパスが可能でした。

「不審な数独問題ファイルを開かない」という自信の無い方は、業務用PCと数独用PCを分けることをおすすめします。

2015/10/06追記: EMET 5.5 Betaでも結果は同じでした。

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


修正パッチの適用されていないソフトウェアが脆弱性を企業にもたらし続ける

エフセキュアは、70%以上の企業がソフトウェアの未更新が原因で、攻撃のリスクにさらされていると発表しました。ソフトウェアの更新の制御と管理に対応するセキュリティソリューションが、社内で利用可能であることを踏まえると、この調査結果は驚くべきことです。 

先日、米コンピュータ緊急事態対策チームは、特に最新のセキュリティパッチの適用によってソフトウェアを常に更新するなど、単純なセキュリティ対策を整備することで、ターゲット攻撃の85%が回避可能であると警告しています*。

ところが、ソフトウェアの更新の重要性と、有用性を軽視し続けている企業は数多く存在します。 エフセキュアの最近の調査**では、パッチ管理のソリューションを導入している企業は、わずか27%であることが明らかになっています。この問題は特にフランスで顕著であり、社内でソフトウェアの更新管理ツールを活用していると回答した対象者はわずか15%でした。一方、北欧では46%の企業がパッチ管理のソリューションを導入しており、ソフトウェアの脆弱性を利用した脅威に対して、会社の資産を保護する対策を行っています。

エフセキュアのシニア研究員であるティモ・ヒルヴォネンは、ソフトウェアの更新に対する非積極性は、現代における脅威の状況について多くの企業が無関心であることの表れだと述べています。「ソフトウェアの更新は、アプリケーションの中断といった問題を引き起こしかねない、面倒なことだと考えている方はたくさんいますが、実際は逆です。セキュリティパッチを疎かにする人をターゲットにする犯罪者は、パッチに起因する脆弱性を狙ったエクスプロイトの開発に注力し、更新が行われる前に攻撃を実行します。つまり、すべての攻撃の戦略は、修正パッチが適用されていないソフトウェアを使用している人々を標的にしているのです」

エフセキュアのセキュリティ研究所では、昨年7月のHacking Teamの情報漏洩後に公開されたFlashの脆弱性をターゲットとするエクスプロイトが、82%増加していると報告しています***。ヒルヴォネンは、こうした活動の急増により、エクスプロイトが重大なセキュリティ問題になっているため、 タイムリーかつ入念なソフトウェアの更新が極めて重要であると述べています。

パッチ管理にも対応する、堅牢なセキュリティソリューションの実装を検討されている場合は、エフセキュアのビジネススイートなどの保護ソフトウェアを活用することが可能です。ビジネススイートの最新リリースでは、受賞歴を誇るエフセキュア クライアント セキュリティの最新版が提供されており、自動パッチ管理(ソフトウェアアップデータ)とその他のセキュリティツールの統合により、エクスプロイトなどのオンラインの脅威がもたらすリスクの、管理と制御を支援します。

*出典: https://www.us-cert.gov/ncas/alerts/TA15-119A?hootPostID=b6821137ae5173095390bd502ae04892
** ヨーロッパの1,780人の回答者を対象に、4月26日から5月16日まで実施された調査
*** https://www.f-secure.com/ja_JP/web/press_jp/news/news-archive/-/journal_content/56/1082220/1308212?p_p_auth=iS4cM80W&refererPlid=910425


詳細情報:
Client Security

エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

iOS 8.4.1のセキュリティの中身について

 iOSのバージョンが新しくなると、いつも私はセキュリティアップデートについてもっと知りたくなる。

 アップルのサポートでは、「Apple security updates」という中心的なページを用意している。ここでiOS 8.4.1のアップデート情報が得られる。それによると71件の脆弱性に対応している。

iOS 8.4.1 security
iOS 8.4.1で対応した71件のCVE(Common Vulnerabilities and Exposures)のうちの4件

 今回のアップデートはファイルサイズとしてはたいして大きいわけではないが、iOS 9が近日提供されるとしても、当該アップデートを適用する価値はあるだろう。

 このアップデートはiOSデバイス上で「設定>一般>ソフトウェア・アップデート」と辿るとダウンロードできる。

 @5ean5ullivan



悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性

概要
シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。

sudoku-2015-000001

影響を受けるシステム
Sudoku solverを組み込んだシステム

詳細情報
Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。



想定される影響
細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。

対策方法
不審な数独問題ファイルを開かないようにしてください。

参考情報謝辞
IT先進国を目指す国家のリーダー像を自らの行動で示すリーシェンロン氏に対し深い謝意を表します。

「Stagefright」のバグに起因するAndroidの脆弱性― 携帯電話ベンダは対応に苦慮



コンピュータセキュリティ対策として、「常識を働かせ、システムをパッチ修正し、アンチウィルスをインストールしなさい」という、以前から言われてきたアドバイスについては、聞いたことがあるはずです。これが優れたアドバイスであることに変わりはありませんが、コンピュータセキュリティを取り巻く状況は変化しつつあります。このアドバイスは、かつてはエンドユーザに対して繰り返し言われてきたものでしたが、時代は変わり、今やメーカーに対してアップデートの重要性を強調しなければならなくなってきています。エフセキュアブログでは先頃、ジープの遠隔操作防止に対するクライスラー社のすばやい対応について取り上げたばかりです。クライスラー社はジープ用ファームウェアの最新版を作成したものの、アップデートの適切な配布チャネルを持っていませんでした。Androidで使用されている「Stagefright」も同様の問題を投げかけていますが、こちらはさらに問題が拡大する恐れがあります。

まず「Stagefright」について簡単に見ていきましょう。「Stagefright」はAndroidシステムに組み込まれたモジュールの名前で、動画ファイルを読み取り、端末上で再生する機能があります。不正な細工をした動画コンテンツを利用して、攻撃者がシステムを乗っ取る可能性があるというのが、今回の「Stagefright」バグの脆弱性です。さまざまなチャネルから受信したコンテンツを自動的にプレビューする「Stagefright」の機能が、今回のバグを深刻なものにしているのです。不正なビデオメッセージを送りつけられた場合、受信者がメッセージを開封しなくても、Android端末に不正侵入されてしまう恐れがあるためです。常識を働かせて、怪しげなメールの添付ファイルを開封しないことはできますが、今回はそうはいきません。通常「Stagefright」は受信したコンテンツを自動的にプレビューする設定となっているため、ここでは常識が役に立たないのです。

さらに悪いことに、この件に関してユーザにできることは非常に限られており、携帯電話会社やベンダから修正パッチが配布されるのを待つしかありません。また、多くのユーザにとっては、待つだけ無駄ということになるでしょう。このような事態は、Androidシステムの開発およびライセンスのしくみと密接な関係があります。LinuxをベースとしたAndroidシステムはGoogleによって開発されていますが、完全なオープンライセンスで公開されています。携帯電話ベンダがAndroidを使用する場合、Googleから直接入手していないケースがほとんどです。各ベンダは差別化を図るため、それぞれのニーズに合わせてAndroidに変更を加えています。今回の「Stagefright」のバグに関しては、Googleは速やかな対応を行い、修正パッチを作成しました。従ってGoogleのNexusスマートフォンには直ちに修正パッチが配布される見込みです。しかし、他のベンダにとって状況は複雑です。Googleの修正パッチが各社のカスタマイズしたAndroidと互換性があるかを確認しなければならないため、顧客にリリースするまでには時間がかかる恐れがあります。

しかし、この話は、そもそもベンダが携帯電話をパッチ修正しようとしている場合です。ベンダの一部には、安価なスマートフォンを使い捨て商品と考えているようなケースも見受けられます。これらのスマートフォンは長持ちしないため、販売後のメンテナンスはベンダの負担になるだけなのです。アップデートやパッチを提供しても顧客の買い替えを先送りするだけなので、ベンダの利益にはなりません。このような姿勢は、更新プログラムを送付するプロセスやシステムが不十分な、Android搭載の携帯電話を販売するベンダが一部存在する理由を裏付けるものです。つまり多くの携帯電話はパッチ修正すらされないのです。

この点について、総体的に見ていきましょう。Androidは世界中で最も広く使用されているオペレーティングシステムで、 2014年に出荷された端末のうち48 % がAndroidを搭載しています(ガートナーによる)。これらの端末には携帯電話、タブレット、ラップトップ型、およびデスクトップ型コンピュータが含まれます。Androidを搭載した端末は世界中で10億台以上使用されており (Googleの『端末有効化データ(device activation data)』による)、その大半が「Stagefright」のバグを抱え、パッチを受け取ることのない端末も多数に上るのです。これは重大な問題です。

この記事の執筆段階では、Androidの脆弱性を悪用したマルウェアの拡散は起きていませんが、広範囲に損害を引き起こすワームが発生する条件はすべて揃っています。また、今回のバグはAndroidに5年以上存在していたにもかかわらず、これまで公にされなかった点にも留意すべきです。情報機関が、自らの目的のためにAndroidの脆弱性を密かに利用していたかもしれません。

それでは、ユーザが自らを守るために何ができるでしょうか。なかなか難しい問題です。この記事では総合的なガイドを提供することは目的としていませんが、いくつかのアドバイスを簡単にお伝えしておきます。まず、お手持ちの端末が旧式で、Android 2.2より古いバージョンの場合は、今回の「Stagefright」のバグ問題を心配する必要はありません。また、GoogleのNexus 端末は速やかに修正パッチが配布される見込みですし、CyanogenMod システムを搭載した端末ではパッチがリリースされています。さらに、ユーザのプライバシー保護を重視するBlackphoneは、今回のケースにも迅速に対応すると考えられます。

その他の端末については、「Stagefright」をGoogleで検索し、お手持ちの端末の機種名やベンダ名を調べておくことが望ましいでしょう。その際は、お手持ちの端末に更新プログラムが配布される予定かどうか、また、それはいつになるかということのほかに、脅威を軽減するために設定を変更する方法についても把握しておきましょう。こちらの例もご覧ください。

安全なネットサーフィンを、
ミッケ

>>原文へのリンク

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

ドキュメンタリー「ゼロデイ」

 ドイツの公共放送機関であるVPROが、ハッキングやゼロデイ脆弱性の取引に関する45分間のドキュメンタリーを制作した。このほど、その英語版がYoutubeで公開された。



 このドキュメンタリーには、Charlie Miller、Joshua Corman、Katie Moussouris、Ronald Prins、Dan Tentler、Eric Rabe(Hacking Team)、Felix Lindner、Rodrigo Branco、Ben Nagy、The Grugq、他大勢が出演している。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード