エフセキュアブログ

朝鮮 を含む記事

米国のダブルスタンダード:米国のようにハッキングするな

 以下は、米国がハッキングしたとされている企業のリストだ。

   •  RealTek
   •  JMicron
   •  C-Media

Hacked by the USA

 これら台湾の技術企業3社を米国がハッキングした理由は何だろうか?

 StuxnetおよびDuquで使用されているドライバに署名する目的で、デジタル証明書を盗むためだ。

 …

 以下は、北朝鮮がハッキングしたとされている企業だ。

   •  Sony Pictures

Hacked by North Korea?

 ところで、企業をハッキングしてデータを盗んでも大丈夫だなんて常軌を逸したアイデアを、朝鮮民主主義人民共和国はどこで得たと思う?

 —————

 DER SPIEGEL誌:The Digital Arms Race: NSA Preps America for Future Battle(デジタル軍備競争:NSAが今後の戦闘のために準備)

2015年の予測で最も確実な1つの事

 Carl Saganが述べたとおり、途方もない主張には途方もない証拠が求められる。そして最近、とりわけ途方もない主張を信じるかどうかを、一般市民が問われている。北朝鮮が SPE社(Sony Pictures Entertainment社)を攻撃し、信じがたいほど大量の同社のデータを破壊した、というものだ。これまでのところ、その途方もない証拠は何も示されていない

 提供されている「証拠」の大半は、主に匿名の米政府高官からのものであり、報告されたところによれば彼らの大多数はFBIの捜査に活発に関わっているわけではない。

 ではFBI自身は?えーと単純に、James Comey長官の立場は、我々を信用してほしい、というものに集約されている。しかし情報セキュリティ業界の多数の人間は、Comey長官の立場や、「スノーデン疑惑後」に備わったとされる姿勢を信用していない。同長官は明らかに次の点を認識するに至っていない。米政府に疑いの目を向ける多数の輪の中で、結論はエドワード・スノーデンよりずっと前の日々から導かれるのだ

 SPE社をハッキングしたのが誰であろうと、それが判明することはないかもしれない。ただ誰が責任を持つかに関わらず、今回のケースにおいて特に気付かされるのは、米国政府の「我々を信用してほしい」というスタンスだ。これは米国市民および他の世界中の市民の知能を尊重するということが、相も変わらず欠如していることを実証している。

 信用とは信頼する行為だ。しかし政府を信用することに、多大な信頼を必要とすべきではない。胡散臭く、矛盾するように見える情報を目の前にして、途方もない主張を信用することは…、単に飛躍しすぎだ。そしてそのため、実際の証拠が何もないのに北朝鮮だとオバマ政権が急ぎ判定したところから、我々の不運な2015年の予測が生まれた。

 予測:「米国愛国者法」第215条および第206条ならびに「情報改革とテロ予防法」第6001条は、期日の2015年6月1日以前に再認可される

 スノーデン以降、議論を呼ぶような条項が、サンセット(訳注:再認可されない限り、廃止期日に自動的に廃止される法律をサンセット法という)を回避するために必要な政治的裏付けを欠いていた。だが今では、ワシントンは「国家によるサイバーテロ」から自身を守るために行動し、結局のところ上の条項を更新すると、我々は確信している。

 2015年の法改正を期待してはならない。あなたのデジタルフリーダムの侵害は継続する。今から144日以内だ。カレンダーに印を。

—————

 追伸:おまけの憶測!

 congress.govにて「cyber」関連の法律制定を追跡できる。新たなクリッパーチップやその他のバックドア的な権限に目を光らせるように。

誰が何のためにソニー・ピクチャーズ・エンタテインメントをハッキングしたのか?

 SPE(ソニー・ピクチャーズ エンタテインメント)社の侵害に関するニュースを追いかけていないのなら、絶対に確認すべきだ。今すぐに。急激な速度で、これまでに企業が公然と被ったハッキングの中で最悪のものになっている。

 ロイター:Exclusive: FBI warns of 'destructive' malware in wake of Sony attack(独占記事。ソニーへの攻撃を契機にFBIが「破壊的な」マルウェアについて警告を行う)
 Krebs on Security:Sony Breach May Have Exposed Employee Healthcare, Salary Data(ソニーの侵害で、従業員の健康管理や給与のデータが露呈した可能性あり)
 BuzzFeed:A Look Through The Sony Pictures Data Hack: This Is As Bad As It Gets(ソニー・ピクチャーズのデータハッキングを調査。これは落ちるところまで落ちた)

 FBIは破壊的なマルウェアについて12月1日に緊急警告を発した。

A-000044-MW

 問題の破壊的なマルウェアは、Shamoonと似通ったワイパーである。これは、ディスクのrawアクセスに同一の無害なドライバを用いている。

 11月24日、SPE社の従業員のコンピュータに以下の壁紙がドロップされた。

Hacked By #GOP

 この攻撃は誰の仕業だ?

 北朝鮮が取り沙汰されている。これは我々には信じ難く思われる。

 どうやら攻撃者たちは要求を行っていたらしい。

  •  「We've already warned you, and this is just a beginning.(我々はすでに警告を行っており、これはほんの始まりに過ぎない)」

  •  「We continue till our request be met.(我々の要求が満たされるまで継続する)」

 要求は今のところ公開されていない。要求が満たされなかったため…、攻撃者は大量のSPE社のデータを放出した。

 セオリー:攻撃者は著作権改革論者のハッカーで、ハリウッドを標的にしている。あるいは、この攻撃は強奪や恐喝を画策しようとしたものだ。著作権の改革に関心のあるハッカーたちは、上の壁紙で見られるよりも正しい文法を使っていることが多い。

 そこで、我々は恐喝について懸念するようになった。これは大きな懸念事項である。SPE社の公開「処刑」の要旨が、既にハッキングされたかもしれない他の企業に対し、恐喝がブラフではないと警告することになるからだ。

 いずれにせよ、SPE社はほんの始まりに過ぎない可能性がある。

追記:上記のShamoonへのリンクの文を変更した。

ポリスウェア:善か悪か

 マルウェアの状況は絶えず変化しているが、注目すべき変化の1つは、今日の悪玉が善玉になるかもしれないことだ。つまり、やつらが善人になると考えられるのだ。これをもう少し混乱しないように説明すると、当局はマルウェアの主要なプレイヤーの1つとなっており、アメリカの政府機関はすでに世界でもっとも大口のエクスプロイトの購入者なのだ。

 これにより、我々のような対マルウェア戦士にとって、昔ながらの倫理上の論点がかつてないほど重要になっている。ポリスウェアにはどのように対応すべきだろうか?この種のマルウェアは検知すべきか否か?エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを持つことはしない。ポリスウェアをホワイトリストに登録する要求を受け取ったことはないし、もし要求されても拒否する。

 これには複雑な心境になるかもしれない。警察が公共の利益のために取り組んでいることに疑問の余地はないからだ。鉄格子の中に送られるべき危険な犯罪者が存在しているのだから、彼らに対して使える武器はなんでも使ってはいけないのだろうか?ポリスウェアをホワイトリストに登録するのを拒否することで、我々は彼らを保護することになっていないか?この問題についてもっと詳しく見ていこう。そうすれば当社の現行のポリシーに対し、別の選択肢が本当に存在しないことが分かるだろう。

 ポリスウェアをホワイトリストに登録することが、なぜアンチマルウェア・ベンダーにとって悪い考えなのだろうか?

  •  当局の権力は常に規定された地域に限られているが、当社のアンチマルウェア技術は世界中で使用されている。ポリスウェアが当該機関の管轄内で使用されているのかをスキャナエンジンが検証する、信頼できる方法はない

  •  いつでも正規の令状が容疑者を特定する。しかし当社のアンチマルウェア技術は全顧客一般に対するもので、ポリスウェアが正規の標的に用いられているのかを確認できない

  •  ホワイトリスト上のファイルに出くわした時に、誰がそれを制御しており、誰に報告を返すのかを当社のスキャナが検証できない。本当のマルウェアがそのようにしてすり抜ける可能性があるので、ホワイトリストは信頼できない

  •  我々には可能な限り顧客をマルウェアから守る義務がある。これは製品を販売する際に約束したことだ。ユーザに対し有効な令状があるケースにおいては、当然ながら例外を作ることはできる。しかし上述したように、その条件を検証することは不可能だ

  •  法律が国ごとに異なる。ポリスウェアが、ある国では合法だが別の国では違法な可能性がある。これは我々が調査するには複雑で実現不可能だ

  •  我々はどの国の権力に仕えるべきか?我々は自国の警察を信じることができるが、スペインや、ブラジル、カナダ、イスラエル、エジプト、中国、北朝鮮、そしてアメリカはどうだろうか?いくつかの国を適当に取り上げただけだが。こうした国にも仕えるべきか?諜報ツールを使うにあたって合法的な動機があることを、当社はどのように検証できるのだろうか?

  •  ポリスウェアが適切な令状がないまま間違って使われたり、あるいは法律に違反しているなら、当社は犠牲者に通知する道義的責任がある。そうでなければ、当社が犯行の一端を担うことになる

 つまり問題なのは、有効な令状が対象にするのはきちんと特定された個人またはグループである点だ。一方、ポリスウェアをホワイトリスト化すると、当社の世界中のユーザベース全体を対象とすることになる。これでは、ホワイトリストの欠点が利点よりも大きくなる

 しかし、これがすべてではない。ホワイトリストについて依頼するのは、政府機関にとってはさらに悪い考えだ、という理由を以下に挙げる。

  •  ホワイトリスト化するには、我々がホワイトリストにあるべきものを知っている必要がある。ポリスウェアは一意性があり信頼性のある識別機構を持っていなければならないことになる。マルウェアの主要な目標は可能な限り検知されにくくすることだが、こうした識別子のおかげでポリスウェアは検知されやすくなり、効果が薄くなる。ホワイトリストにもブラックリストにも使われ得るのだ

  •  ホワイトリストに登録するには、当局がポリスウェアプログラムについて外部に詳細を開示する必要に迫られる。これにより情報漏えいのリスクが高まる。またプログラムの存在そのものについて明らかにしなければならない。ホワイトリストを効果的にするには、当社に限らず多数のアンチマルウェア・ベンダーに持ちかける必要がある

  •  識別機能に信頼性を持たせるには、ホワイトリスト上でポリスウェアと当局とを結び付ける必要がある。これは、自身が当局によって監視されていると知る術を容疑者に与えることになる。さもないと、検知されたマルウェアへの感染が、マルウェアの脅威全体の中に溶け込んでしまい、容疑者へのアラートが必ずしも行われなくなる

  •  最近のニュースで取り上げられて明らかになったように、ポリスウェアの大部分は完全に法律違反であるか、少なくとも根拠があやふやだ。これについて外部に話すのは、当局にとっては賢明ではないということになる

 当局にとって最善の戦略は、不良少年と同じゲームに参加することだ。ポリスウェアを継続的に変更し、アンチマルウェア製品のレーダーをかいくぐって飛ぶようにする。当局のプログラムが捕捉されたら、これを変更して再度試す。標的は、通常のマルウェアの攻撃だと思うかもしれない。法執行機関には大量のリソースがあり、このゲームはうまく成功するだろう。また数多くの犯罪者にはおそらくそれほど技術的な知識はない。巨大で組織化されたギャングでさえ、適切に保護されたコンピュータなしで活動しているかもしれない。真実は映画とは異なる。悪党が世界的な麻薬の売人で、なおかつスーパーハッカーであるというようなことはない。ポリスウェアをホワイトリストに登録しなくとも、大半の犯罪者は標的として脆弱だ。

 ホワイトリストを用いないという当社のポリシーは既に古いものだが、今日ではこれがいまだかつてないほど重要になっている。古き良き時代には、警察は信頼に足るものであった。容疑者に対する令状や行動は、犯罪対策の合法的な部分であるように見えた。こうした伝統的な警察の行為が、まったく異なる動機によって秘密の大衆監視に融合されるのを見るのは悲しいことだ。悲しいだけではない。市民と当局の間に亀裂を生むことになり、恐ろしい。

 これを心に留めると、ホワイトリスト化に厳密なポリシーを適用するのが実際に唯一の選択肢だ、という理由が簡単にわかる。これは常に簡単な選択であったし、今も頭を使う必要はない。

Post by — Micke

「Stuxnet」再び:質疑応答

  「Stuxnet」は相変わらずホットな話題だ。以下は「Stuxnet」に関する質疑応答の改訂版だ。

Q:「Stuxnet」とは何か?
A:USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。

Q:他のUSBデバイスを介して広がることはあるのか?
A:もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。

Q:同ワームは何をするのか?
A:システムに感染し、自身をルートキットで隠し、感染したコンピュータがSiemens Simatic (Step7)ファクトリシステムに接続しているかをチェックする。

Q:Simaticで何をするのか?
A:Windows PCからPLC(プログラマブルロジックコントローラ、すなわち実際に機械を制御するボックス)に送信されるコマンドを修正する。同ワームは特定の工場環境を探し、もし見つからなければ何もしない。

Simatic

Q:どの工場を探しているのか?
A:分からない。

Q:同ワームは、探している工場を発見したのか?
A:分からない。

Q:もし発見した場合、同ワームは何をするのか?
A:PLCの修正により特定の高周波コンバータドライブ(ACドライブ)を探し、そのオペレーションを修正する。

Q:高周波コンバータドライブとは何か?
A:基本的に、モータの速度をコントロールすることができるデバイスだ。「Stuxnet」は、(フィンランドに拠点を置く)Vaconと(イランに拠点を置く)Fararo Payaが製造した特定のACドライブを探す。

Q:それで「Stuxnet」は、VaconやFararo Payaのデイバイスに感染するのか?
A:違う、これらのドライブは感染していない。感染したPLCが、これらのドライブが動作する方法を修正するのだ。この修正は、極めて高い出力周波数などを含む、非常に限定された条件がすべて同時に成立した時にのみ起きる。したがって、影響の可能性は、極めて限られたACドライブアプリケーションエリアに限定される。

Q:それらのアプリケーションエリアは何か? ACドライブは何のために使われるのか?
A:それらは様々な目的で使用される。たとえば効率的な気圧システムなどだ。

Q:他の例は?
A:そう、濃縮遠心分離機にも使用される。

Q:たとえば?
A:遠心分離機が非常な高速で回転するウラン濃縮などだ。そういう理由で、高周波ドライブは軍事的にも民生用にも利用できる高度先端技術テクノロジーとみなされており、IAEA(国際原子力機関)の輸出規制リストに含まれている。

Q:「Stuxnet」コードは遠心分離機により、およそマッハ2で飛行している発射体を崩壊させる可能性があるのか?
A:修正されたことにより、遠心分離機が粗悪なウランを生産するというケースの方が、より可能性があるだろう。その変化は、長期間気づかれない可能性がある。

Q:エフセキュアはVaconと接触しているのか?
A:している。彼らはこの問題を調査しているが、「Stuxnet」がVaconのカスタマのオペレーションに、何らかの問題を起こした例は見いだしていない。

Q:「Stuxnet」の標的は、イランのNatanz濃縮施設だったと示唆する人もいる。Vacon ACドライブは、これらの施設にあるのか?
A:Vaconによれば、Vacanのドライブがイランの核開発計画で使用されているケースは知らないし、禁輸措置に反してイランにACドライブを販売したことは無いと確認できるという。

Q:Fararo Payaとは接触しているのか。
A:していない。

Q:この会社について知っていることは?
A:何も無い。イラン国外では、あまり有名な会社では無いようだ。我々は、同社がイラン国外に、ACドライブのカスタマを持っているという情報は得ていない。

Q:そのことが、標的国がどこなのかを示しているのでは?
A:次の質問を。

Q:巻き添え被害はあり得るのか? 「Stuxnet」は当初の標的ではなかった別のプラントを攻撃することは可能か?
A:それは、当初の標的と非常に類似したプラントである必要があるだろう。

Q:イランのウラン濃縮プラントに似ているプラントを知っているか?
A:同じ設計を共有するプラントを北朝鮮が持っているらしいことが分かっている。

Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:証明書をどのように盗むのか?
A:おそらくマルウェアが署名ファイルを探し、キーロガーを使用して、タイプされた時にパスフレーズを集めるのだろう。あるいは、押し入り、書名の道具を盗み、パスフレーズを総当たりする。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ…

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ

  •  LNK (MS10-046)
  •  印刷スプーラー (MS10-061)
  •  Serverサービス (MS08-067)
  •  キーボードレイアウトファイルを介した権限昇格(MS10-073
  •  Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種のうち1つは修正された。最後に残っている脆弱性のパブリックエクスプロイトは、11月にリリースされた。

Q:「Stuxnet」の作者は、自身のゼロデイ脆弱性を見付けたのか、あるいはブラックマーケットで購入したのか?
A:分からない。

Q:そのような脆弱性はどのくらい高価なのか?
A:様々だ。Windowsのポピュラーなバージョンで、単一のリモートコード実行を行うゼロデイは5万ドルから50万ドルの間だろう。

Q:Stuxnetの詳細な分析に時間がかかったのは何故なのか?
A:同ワームが異常に複雑で、巨大だからだ。Stuxnetは1.5MB以上のサイズがある。

Q:Stuxnetが広がり始めたのはいつ?
A:コンポーネントの一つのコンパイルデートは2009年1月だ。

Q:発見されたのはいつ?
A:1年後の2010年6月だ。

Q:どうしてそんなことに?
A:良い質問だ。

Q:「Stuxnet」を制作するのにどのくらいかかったのか?
A:我々は「Stuxnet」の開発に、10マンイヤー(1人の人間が10年間働く時間が)かかったと見積もっている。

Q:「Stuxnet」を書くことができたのは誰なのか?
A:必要とされる財政的、そして研究開発的な投資を考えても、また「Stuxnet」内に明らかな金儲けのメカニズムが無いという事実を合わせても、残るのは2つの可能性のみだ。すなわち、テロ組織あるいは一つの国家かである。そして我々は、いかなるテロ組織もこの種のリソースを持っているとは思わない。

Q:ではStuxnetは一国の政府によって書かれたものか?
A:そう、そのようには見える。

Q:政府にそれほど複雑なことが可能なのか?
A:ひねった質問だ。ナイス。次の質問。

Q:それはイスラエルなのか?
A:分からない。

Q:エジプト? サウジアラビア? アメリカ合衆国?
A:分からない。

Q:ターゲットはイランなのか?
A:分からない。

Q:Stuxnet内に聖書のリファレンスがあるというのは本当か?
A:Myrtus(ギンバイカ植物)へのリファレンスがある。しかしこれはコードで「隠されて」いない。これは、コンパイルされた際、プログラム内に残されたアーチファクトだ。基本的に、これは作者が自分のシステムのどこにソースコードを保存したかを示すものだ。Stuxnetの具体的な経路は「\myrtus\src\objfre_w2k_x86\i386\guava.pdb」だ。作者たちはおそらく、彼らが自分達のプロジェクトを「Myrtus」と読んでいることを、我々に知らせたくなかったはずだが、このアーチファクトのおかげで、我々は知ることとなった。このようなアーチファクトは、他のマルウェアでも見られる。Googleに対する「Operation Aurora」攻撃は、バイナリの1つに「\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb」というパスが発見された後で、「Aurora」と名付けられた。

Q:では、「Myrtle」はどの程度正確に聖書のリファレンスなのか?
A:うーん、本当に分からない。(しかし読者のCraig Bが、この記事の以前のバージョンコメントを残してくれた。)

Q:何か他の意味ということは無いのか?
A:そう、「Myrtus」ではなく「My RTUs」かも知れない。RTUは工場システムで使用されているリモートターミナルユニット(Remote Terminal Units)の略だ。

Q:Stuxnetはどのようにして、マシンを既に感染させたかを知るのか?
A:同ワームは、感染のマーカーとしてレジストリキーに「19790509」という数値をセットする。

Q:「19790509」の意味は何なのか?
A:日付だ。1979年5月9日を意味する。

Q:1979年5月9日に何が起こったのか?
A:おそらく、作者の誕生日ではないだろうか? しかし、これはHabib Elghanianというユダヤ系イラン人ビジネスマンが、イランで処刑された日付でもある。彼はイスラエルのためのスパイ行為を行ったとして告訴された。

Q:なるほど。
A:ええ。

Q:明らかに攻撃者は、標的のプラントに関する内部情報を豊富に持っており、内部にスパイを送り込んでいた可能性がある。いったい何故、彼らはワームを使ったのか? 何故彼らはスパイに修正を行わせることができなかったのか?
A:分からない。否認権のためだろうか? もしかしたらスパイは、キーシステムにアクセスできなかったのだろうか? あるいはモグラはプラントにはおらず、設計プランにアクセスできたのだろうか? もしかしたらスパイはいなかったのか?

Q:StuxnetとConfickerには関係があるのか?
A:そういうこともあり得る。Confickerの亜種は、2008年11月と2009年4月の間に見つかっている。Stuxnetの最初の亜種は、その直後に見つかった。どちらもMS08-067脆弱性を悪用している。どちらもUSBスティックを使用して拡散する。どちらも弱いネットワークパスワードを利用して拡散する。そしてもちろん、どちらも非常に複雑だ。

Q:他のマルウェアとの関係は?
A:Zlob亜種のいくつかが、LNK脆弱性を最初に使用した。

Q:WindowsでAutorunを使用不可にすれば、「Stuxnet」を遮断できるんですよね?
A:そうではない。「Stuxnet」はゼロデイを使用した。同ワームが登場したばかりの頃は、完全にパッチをあてていても、AutoRunを使用停止にしていても、制限された低レベルのユーザアカウントのもとに動作させていても、USBドライブからのプログラムの実行ができないようにしていても、Windowsマシンを感染させた。

Q:でも、一般的には、WindowsのAutoRunを使用停止することで、USBワームを停止することができるんですよね?
A:そうではない。USBワームが使用する拡散のメカニズムは、コンパニオン感染など、他にもある。使用停止にするのは、今でも良い考えではあるが、万能薬ではない。

Q:「Stuxnet」は永久に拡散するのか?
A:現行バージョンは2012年6月24日が「kill date」だ。同バージョンはこの日付に拡散を停止する。

Q:同ワームはどのくらいのコンピュータを感染させたのか?
A:何十万台もだ。

Q:だがSiemensは、15の工場しか感染していないと発表している。
A:彼らが言っているのは工場についてだ。感染したマシンの大部分は、副次的な感染、すなわち、SCADAシステムに接続していない、通常の家庭やオフィスのコンピュータだ。

Q:攻撃者はこのようなトロイの木馬を、どのようにしてセキュアな工場に侵入させることができたのか?
A:たとえば、職員の自宅に侵入することで、その人物のUSBスティックを探しだし、それを感染させる。次に、その職員がスティックを職場に持って行くのを街、仕事用のコンピュータを感染させる。USBスティックを介して、感染はセキュアな工場内で更に広がっていき、最終的にターゲットを攻撃する。副次的な作用として、他の場所でも拡散が続くことになる。このようにして、Stuxnetは世界中に広がったのだ。

Q:StuxnetはDeepwater Horizon石油掘削基地を水没させ、メキシコ湾の原油流出を招いたのか?
A:いや、我々はそうは考えていない。Deepwater Horizonは実際、Siemens PLCシステムを使用してはいたが。

Q:米国上院が「Stuxnet」に関する聴聞会を開いたというのは本当か?
A:そう、11月に

Q:エフセキュアは「Stuxnet」を検出しているか?
A:検出している。

注:このQ&Aに記載した内容の多くは、Microsoft、Kaspersky、Symantecおよび他のベンダのリサーチャーたちとディスカッションする中で得たものだ。


Symantecの研究者Liam O'Murchuが、エアポンプのオペレーションを変更するStuxnet的なSCADA修正POCをデモンストレーションする、「Virus Bulletin 2010」のビデオ。

韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか

   先週発生した 米国および韓国WebサイトへのLyzapo DDoS 攻撃 について、当初は北朝鮮が攻撃発信源という報道が飛び交ったりしました。しかしよく見ると、テクノロジー系メディアが比較的に慎重な報道だったのに対し、新聞を母体とする旧来からのメディアはすぐに北朝鮮の名前を出すなど、あまりにもステレオタイプな報道なのが見えて来ます。アメリカでも旧来メディアで扱いかたは同様だったようです。

  冷静に見ると、政治的意図を理由としたサイバー攻撃は、イスラエルとアラブ諸国間やインドとパキスタン間、ロシアと旧ロシア領国間などで、以前から多く発生しています。しかし、だからといって、これらのサイバー攻撃の裏側をすぐに国家や政治的対立に結びつけるのは、単純化し過ぎと云えるのではないでしょうか。

例えば、2007年のエストニアに対するサイバー攻撃の事件では、やはり当初ロシアからの攻撃だという説が喧伝されましたが、逮捕されたのはエストニアにいる大学生でした。そして、先週の韓国とアメリカに対するサイバー攻撃も、DDoSを実行していたマルウェアはイギリスにあるサーバーからコントロールされていたという話題が出て来ています。

よく考えれば、ボットネットをコントロールしている犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。さらに、サイバー攻撃を政治的対立に結びつけるのは解り易すぎる分、じつは他の意図によるメディアの情報操作だったりする可能性も疑わしいかもしれません。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード