エフセキュアブログ

日本 を含む記事

マルウェアの歴史: CODE RED(コードレッド)

15年前(5479日前)の7月19日、Code Redが感染拡大のピークを迎えた。悪名高いコンピューターワームCode Redは、Microsoft Internet Information Server(IIS)の脆弱性を悪用して感染を拡げた 。

感染したサーバには、以下のメッセージが表示された。

検出ロジックの現状はどうなっているか

検出ロジックは、最新のエンドポイント保護ソフトウェアにおけるさまざまなメカニズムによって使用されている。また、サイバーセキュリティ業界では、多くの別の名前でも知られている。セキュリティ業界で「マルウェア」と呼んでいるものが、一般には、「ウイルス」という言葉で呼ばれている(技術的に言えば、「ウイルス」とは、別のプログラム、データファイル、またはブートセクタに自身のコピーを作成することによって拡散するプログラムを指す)のと同様に、検出ロジックは、「シグネチャ」から「フィンガープリント」、「パターン」、「IOC」まで、さまざまな呼び方をされてきた。誰かがウイルスの話をしていると思ったら、本当はマルウェアについての話だったということがよくある。そして、誰かがシグニチャの話をしていると思ったら、実は検出ロジックについての話だったということもたびたびある。もっとも、80年代や90年代に用いられたシンプルな検出ロジックが話題になっていたのだとしたら、話は別なのだが。
当社、エフセキュアでは、「detection logic(検出ロジック)」のことを、単に「detections(検出)」と言うこともよくある。 

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

拡散状況はどうなってるか

エフセキュアラボでは、「拡散状況」という言葉をよく使う。だが、拡散状況とは何なのか?
実行可能ファイルの拡散状況は、当社の顧客ベース全体でそのファイルが見つかった回数として定義される。悪意のある実行可能ファイルは、時間とともに希少な存在になっていく傾向があり、ほとんどが生まれてはすぐに消えていく。したがって、バイナリを目にした回数は、そのバイナリが怪しいものであるかどうかの目安となり得る。当社の保護技術はクラウドに接続しており、機能する仕組みの一部としてクラウドを利用しているため、拡散状況を数量的に把握しやすい。
悪意のある実行可能ファイルがなぜ希少なのかを理解するために、遠い過去へと旅してみよう。
Floppies
もちろん、これらのフロッピーの中に、核ミサイル発射のコードなど入っていない。

全文はBusiness Security Insider 日本語版で。

不在通知のOPSEC(運用上のセキュリティ)

受信ボックスに次のようなメールがあった(一部改変)。
 
当社CSSのOPSECの専門家からの休暇の挨拶
近いうちに休暇を取り、オフィスを離れられることになる皆さま 、さぞかし心待ちにされていることと思われます。待ちに待った休暇なのですから。ただ、その前にひとつ、確認していただきたいことがあります。不在通知に、次のようなことについて触れていたりはしていないでしょうか。休暇中どこへ出掛けるのか。誰と行くのか。なぜ休暇を取るのか。病気療養の場合は何の病気なのか。さらには、病気 ということ自体。

 全文はBusiness Security Insider 日本語版で。

IoTはどこで作られているのか?

深圳(Shenzhen)は香港から電車で45分の中国国境内のきわにある「ハードウェアのシリコンバレー」とも呼ばれる経済特区の都市だ。人口は1500万人とも2000万人ともいわれ東京よりも大きく、高層ビルは278本もあり中国第4位の大都市となっている。
そして Tencent, Huawei, DJI, OnePlus, ZTE, Coolpad, Gionee, TP-Link, Beijing Genomics Instituteなどのエレクトロニクス、テレコム、バイオなどのハイテク企業が集中し、华强北(Huaqiangbei)という秋葉原の100倍はある巨大なエレクトロニクスタウンがある。iPhone他のエレクトロニクス製造で拡大してきた都市なので、電子部品、プリント基板製造、アセンブリー、プラスティック成形、金属加工などの企業が群をなして営業している。また好調な経済のため、生活物価は東京とたいして変わらなくなっている。

この深圳についてのビデオドキュメンタリー "Shenzhen: The Silicon Valley of Hardware" をWired UKが制作し、6月に公開された。全部で1時間強になるこのシリーズは、深圳でのIoTとMakersの興味深い最新の動きを取り上げている。

Part 1

Part 2

Part 3

Part 4

特にPart 2は、IntelがIoT向けに一昨年発表したフルPCの機能をSDカードサイズにまとめた「Edison」チップのディベロッパーフォーラムが4月に深圳で開催された場面から始まる。明らかにIntelは深圳がIoT開発の中心地のひとつになると踏んでいる。またIntelが食い込もうとしているIoT開発で、他に使われているのはArduinoやRaspberry Piなどで、ほとんどLinuxやオープンソース・ソフトウェアで動いているものが多い。
Intel Edison

深圳にはハードウェア開発に関わる大きな外国人コミュニティができていて、ヨーロッパやアメリカから来て深圳に住み着いてエレクトロニクス・ハードウェア開発のヒジネスを運営している人達も多い。一説ではシリコンバレーでのハードウェアも3割は深圳で作られていると云われるほどだからだ。

その一つ、HAXはハードウェア・スタートアップ企業のための世界最大のアクセラレーターだ。

当然地元の中国の人達が始めたハードウェア開発のサポートやブローカービジネスも多数ある。Seeed Studioはよく知られているものの一つで、日本にも窓口がある。

そして半田付け用具や測定器、金属加工器具、レーザーカッター、3Dプリンターなどを揃えた、ハードウェア自作派やスタートアップ向けのMaker Spaceと呼ばれる場所がいくつも出来ている。

深圳の動きには当然に日本でも注目している人達がいて、ニコニコ技術部の有志が一昨年から深圳の視察ツァーを開催している。その報告をまとめた「メイカーズのエコシステム」という書籍が4月に発売された。

このメイカーズというのはMakersのことで、O'Reillyが出している「Make」という自作派向けの雑誌から派生して開催されている「Maker Faire」というイベントなどで自作のハードウェアを見せたり販売したりする人達のことを指す。先週8月6,7日には「Maker Faire Tokyo」が東京でも開催されたばかりだ。
Maker Faireは深圳でも開催されている。

これらのインフラが出来ていることで、深圳発のハードウェア・スタートアップ企業が多数出現している。そして彼らのかなりがIoTを手がけている。Intelが深圳がIoT開発スタートアップの中心地のひとつになると考えるのは当然の流れだ。

クラウドファンディングサイトのKickstarterやIndieGoGoなどを眺めても、IoTカテゴリーに入るプロジェクトが多数見つかるし、それらはほとんどスタートアップ企業のことが多い。ところが日本では、特に政府関係者はIoT製品は既存の電機メーカーが作ると考えているのではないか? 7月にIoT推進コンソーシアムと経済産業省と総務省が共同で「IoTセキュリティガイドライン」を発表した。しかし、製品化に脇目も振らずに邁進するスタートアップ企業がこのようなややこしい資料を気にかけるとは考え難い。
さらにそれ以前に、日本でだけこのようなIoTセキュリティガイドラインを作ったとしても、IoT開発の主力地が深圳など海外にあるならまったく影響力は期待できないだろう。

スレットインテリジェンスの現状はどうなっているか

「スレットインテリジェンス(脅威対策の知見)」という言葉が、最近の流行りになっている。多くの人にとって、スレットインテリジェンスとは、疑わしい、または悪意のある活動の識別のためにセキュリティインフラに組み込まれるIOC (英文) フィードについて説明する際に用いられる言葉である。

我々にとっては、その言葉が表すことは遥かに多い。当社は25年以上に渡って、精力的にスレットインテリジェンスを収集し、吸収してきた。当社の多くのスタッフは、日常的にスレットインテリジェンスを扱っている。そして、我々の日常業務はスレットインテリジェンスに牽引されている。

当社の考えとしては、あらゆるものがスレットインテリジェンスと言える。マルウェアサンプルのリバースエンジニアリングから収集された細かな事柄をはじめ、当社のシステムが収集したデータに見られるトレンドやパターン、攻撃者と防御者が使う戦術、さらには高所から見たグローバルな脅威のランドスケープにまで及ぶ。

QARALLAX RAT:米国ビザ申請者を偵察

最近、スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。@hkashfi (英文)というTwitterユーザーが投稿したツイートによると、友人のもとへ米国ビザ申請サイト(USTRAVELDOCS.COM)の職員を名乗る人物から「US Travel Docs Information.jar」というファイルが送られてきたのだという。その人物のSkypeアカウントはustravelidocs-switzerlandだったということだが、ここで「travel」と「docs」との間に「i」が入っていることに注目してほしい。
 
Find the differences between the legitimate versus the impostor.
本物と偽物の違いを見分ける
 

さよならFLASH!第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

FirefoxのFlashサポート縮小について記事を投稿したところ、Edgeブラウザに関する4月のMicrosoftの発表について指摘するコメントがいくつか寄せられた。これは、Edgeブラウザも「Click To Flash(クリックしてFlashを再生)」方式に変更されるというものだ。発表によれば、ウェブページの中心に配置されていないFlashプラグインは自動的に一時停止されるようになり、ゲームや動画などのコンテンツはこれまで通りに実行されるという。そうしたEdgeの変更はWindows 10のアニバーサリーアップデートで提供される。

もちろん、4月の時点でこのニュースには注目していたし、MicrosoftおよびEdgeチームの英断に対しては賛辞を送りたいと思っていた。

ms-edge-logo
 Microsoft Edgeのロゴ(画像の出典元: microsoft.com)

全文はBusiness Security Insider 日本語版で。 

さよならFlash! 第2弾 – Firefox、Flashのサポートを「縮小」へ

今年初め、当社の「脅威レポート 2015年」でショーン・サリバンが、Chrome、Firefox、およびMicrosoftは、2017年までにブラウザでのFlashのサポートを段階的に縮小していくことを発表するだろうと予言した。当ブログではGoogleによるその発表について取り上げた。

そして7月20日、予言の通りに、Firefox開発者のブログでも同様の発表があった。

firefox-logo
Mozilla Firefoxのロゴ。画像の出典元: https://www.mozilla.org/

 全文はBusiness Security Insider 日本語版で。 

サイバー空間も注目のリオ五輪

リオ五輪ですが開会式を明日に控え、熱を帯びてきていますね。
ブラジル(というより南米)といったら、サイバー犯罪が多いこともあるせいか、サイバー空間での盛り上がりも個人的には注目しています。
#今のところ、被害報告などは特に何もありませんが・・・

こぢんまりとは、動きが出てきているようです。
OpR10

攻撃としては、こちらのDDoSツールの使用を呼びかけていました。(現在、削除済み)
標的は五輪公式ページではなく、政府系のサイトのようです。

Saphyra

ハクティビズムによるものが殆どではないかと思いますが、動向が気になるところです。
#日本は内閣改造による影響が、9.18でどの程度でるかが焦点かもしれませんね。。。


あなたと同じ言語への対応を試みるULTRADECRYPTER

「UltraDeCrypter」と呼ばれる、新種の暗号化ランサムウェアがネット上に出現している。

これは、AnglerエクスプロイトキットがドロップしているCryptXXXの進化形である。当社のテストで、UltraDeCrypterの暗号化解除サービスポータルに、以前にCryptXXXで使った「識別コード」を入力してみたところ、以前のCryptXXXポータルにリダイレクトされた。バックエンドがつながっている証拠だ。

支払いサポートページについて言えば、対応しようとした言語の数の多さが、UltraDeCrypterの野心の大きさを物語っている。

何か月か前のCryptoWallの支払いページがこちら。

crypto-ransomware 
全文はBusiness Security Insider 日本語版で。 

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

興味深いベトナム航空などへのサイバー攻撃報道

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

1937cn_defacement


さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


(補足)
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。
ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

社長のメールは真に受けるな!

BEC(Business Email Compromise)というサイバー犯罪の手口が、昨年から少しずつ話題になりはじめ、FBIからも再三に渡って注意喚起が出されておりまして、先日とうとう合計の被害額が31億ドルを超えたそうです。

Business E-mail Compromise: The 3.1 Billion Dollar Scam
Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

日本ではビジネスメール詐欺と呼ばれていますが、その手口を簡単に紹介します。

犯人は社長(または経理担当者や取引先など)になりすまし、従業員にメールを送ります。
今出先なんだけど、この前話してた業務提携の件で至急この口座に300万円送金してくれ!

普通こんなメールを受け取ったら即スパムフォルダ行きでしょう。
ところが、もし実際に提携話が存在しており、この従業員が社長から、
今度の出張で提携先候補と契約金500万円前後で交渉する。終わり次第結果を連絡する。
というメールを事前に受け取っていたとしたらどうでしょう?

犯人はあらかじめマルウェアやフィッシングなどを利用し、社長のメールボックスを盗み見ていますので、事前の会話内容を把握しタイムリーな話題を使うことが可能なんです。

数週間後には、
従:社長、この前の契約金の領収書が来ないんですが・・
社:契約金?何の?
従:えっ?
社:えっ?
となりそうですが、犯人はメールボックスの監視を続け、なりすましで適当にお茶を濁しながらマネーロンダリングのための時間を稼ぎます。

Stalling
犯人がお茶濁しメールを作成している様子

抄訳
被害者:今日銀行に確認しましたが、まだ入金されていませんでした。再度銀行に確認しますので、送金に使った銀行コードを教えてください。

犯人:ご機嫌いかがですか?健やかにお過ごしのことと思います。
ご参考までにお伝えしておくと、こちらは先日まで休暇をいただいておりまして、本日より業務に復帰したところです。送金に関しては情報をいただけると幸いです。

相手がいくらタイムリーな話題や二人だけの秘密を知っているからといって、信用してはいけません。
社長以外にも、取引ベンダーや経理担当、弁護士などになりすますパターンもありますが、
典型的な手口として、外出先や緊急事態を理由にしてフリーメールで連絡が来ることが多いです。そこで気づければよいのですが、それよりも基本的な対応として、「振込先の変更」や「新規の振込先」などをメールで指示されたとしても必ず電話でも確認する、ということをおすすめします。

今のところはまだ英語での詐欺が主流ですので、海外とのやりとりが多い企業の方は特に要注意です。

#Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー

元NSA契約業者職員だったエドワード・スノウデンに密着取材したドキュメンタリー作品「Citizenfour」が6月11日から日本でもやっと公開される。「Citizenfour」2014年アカデミー賞のベスト・ドキュメンタリー賞として選ばれたことは1年ほど前にエフセキュアブログにも書いたが、アメリカでの初公開から1年半遅れの日本公開となる。
とはいえ6月4日にはJCLUのイベントでネット経由で出演し日本でのメディア報道の自由の状況に警告を発したり、 2013年の暴露以前にNSA内でも問題を指摘しようとしていたことがVICE Newsのアメリカ情報公開法に基づくNSA内部資料入手により明らかになるなど、スノウデンの告発による衝撃はいまでも続いている。 
JCLUイベント  https://www.youtube.com/watch?v=fL3x_9PHrWY 
Exclusive: Snowden Tried to Tell NSA About Surveillance Concerns, Documents Reveal 

日本版トレイラー

(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)
劇場情報はこちらから http://gaga.ne.jp/citizenfour/info/?page_id=20 
 

#Wassenaar アレンジメントのゆくえ3 -- 今週から始まる予定の「Intrusion Software」の修整再交渉

3月18日、脆弱性テストツールMetasploitを提供しているRapid7社がブログで「Wassenaarアレンジメント - サイバーセキュリティ輸出コントロールへの推奨事項」という提言記事をポストした。記事中ではまさに今週にあたる4月11日の週からWassenaarアレンジメントの再交渉に関するミーティングが始まる事の指摘があり、それを睨んだ提言だ。

このWassenaarアレンジメントの再交渉の件は、前回私が1月15日にF-Secureブログに「#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは」のポストを書いたのと同時期に動きだしていた。  http://blog.f-secure.jp/archives/50761446.html
この『再交渉』というのは、アメリカ国内での対応制度の話ではなく、41ヶ国の合意となっているWassenaarアレンジメントの本体の文言を書き換えるということだ。

1月12日にアメリカ議会のITサブコミッティーでヒアリングが行われた。
WASSENAAR: CYBERSECURITY AND EXPORT CONTROL

そして2月29日にはアメリカ議会動向のニュースを扱うThe Hillに、オバマ政権が「Intrusion Software」のルールへ再交渉へ舵をきったと流れた。
Obama administration to renegotiate rules for 'intrusion software'

3月1日には、アメリカ商務省がWassenaarアレンジメントの書き換え交渉の提案を受領したことが通知された。


Rapid7による提言そのものは、228ページにわたるWassenaarアレンジメント本文の中の「Intrusion Software」に関する条項の文言それぞれについて、法律家の支援を得て添削を試みたもので、以下のPDFになる。

Rapid7の提言によるWassenaarアレンジメントの添削ドラフトでは、以下の3つの点が変更すべき推奨のポイントになっている。
1) Exceptions to the Wassenaar Arrangement controls on "systems," "software," and "technology."
Wassenaarアレンジメントによる「システム」「ソフトウェア」「テクノロジー」のコントロールへの例外をはっきりすること

2) Redefining "intrusion software."
「イントルージョン・ソフトウェア」を再定義すること

3) Exceptions to the definition of "intrusion software."
「イントルージョン・ソフトウェア」の定義への例外をはっきりすること

F-Secureブログの1月15日のポストでも触れたが、MetasploitはWassenaarアレンジメントの影響を受けるツールとしてよく例に上げられている。理由は、Metasploitにはオープンソース版と商用版があるが、Wassenaarアレンジメントではオープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればの規制から除外されることになっているので、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitは輸出ライセンスを得る必要があるという問題だ。そのため、このMetasploitを提供するRapid7がこのような提言を出して来るのはとても意味がある。

再交渉が始まるタイミングならば、Wassenaarアレンジメントの影響を受け得る日本の企業も積極的に意見を表明していく必要があるだろう。

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは

  クリスマス直後の12月27日からドイツで Chaos Computer Congress (CCC) が開催された。ここでも「Wassenaarアレンジメント」についてのパネルディスカッションがあり、2015年夏以降の状況がアップデートされた。このCCCでのパネルでは衝撃的な話が出た。それは、昨年に自社内部メールの流出暴露で物議をかもしたイタリアの「Hacking Team」が、Wassenaarアレンジメントに基づいて輸出業者としての登録が認められたという話題だった。このパネルは以下URLでビデオを視ることができる。


  Wassenaarアレンジメント (経産省の表現では「ワッセナー・アレンジメント合意」)とは、41ヶ国が参加する国際武器輸出規制の枠組みだが、2013年にソフトウェア技術への規制として「Intrusion Software」と「Surveillance Systems」が追加され、この定義と取り扱いをめぐって2015年前半から大きな議論が巻き起こっているのだ。参加国の顔ぶれは以下で見ることができる。
  また、このサイトのWassenaarアレンジメントの輸出規制対象を示した「Control List」などの書類も、いくつか2015年12月3日付でアップデートされている。

  Wassenaarアレンジメントの「Intrusion Software」への規制に関して、日本語で記述されたものが今のところ著しく少ないが、日本ネットワークセキュリティ協会のこのページも参考になるひとつだろう。

  この件について私も7月に「#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは」のポストを書いた。
  このポストで書いたのは主にアメリカのセキュリティ業界の反応についてだったが、それはアメリカのセキュリティ企業の製品やサービスが世界的にかなりのシェアを取っていたり、業界をリードしている企業がアメリカに多いことから大きく聞こえて来たためとも云える。しかし実際は、Wassenaarアレンジメントへの「Intrusion Software」「Surveillance Systems」の追加はEU側から提案されたものであり、EUでの規制の進められ具合はアメリカと違っている。EUでは、Wassenaarアレンジメントの条文に基づいた内容の規制案が今後2年かけて用意されるようだ。

  さらに、Wassenaarアレンジメントとはその名のとおり「アレンジメント」なので、「条約 (Treaty, Convention)」のような国際法的拘束力はなく、そのため参加国政府は国内での規制措置を用意することになっているが、法律の制定までは行うことは求められていないので参加各国それぞれでの規制状況は必ずしも足並みが揃ろっているわけではないようだ。またWassenaarアレンジメントが「Intangible Technology Transfer (無形技術移転)」の制限という枠組みで規制しようとしているのは、攻撃型マルウェアのような「製品」そのものではなく、それらを製作するための「テクノロジー」という物質として存在しないモノだという点が話を複雑にしている。「テクノロジーの輸出」は果たして輸出入の法的規制の枠組みで対処できるものなのか?という疑問があるからだ。

  Wassenaarアレンジメントへ「Intrusion Software」と「Surveillance Systems」が追加された理由は、2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発した「FinFisher」などのサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、そのような「ソフトウェア兵器」にあたるものも輸出規制をするべきという機運が高まったためだ。2013年のWassenaarアレンジメントの改訂が紹介された理由などは以下の記者会見ビデオが詳しい。何も規制が無い状態よりもとにかく何か始めるべき、というのが提案者から何度か強調されている。
Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014


  この記者会見にも参加しているが、Wassenaarアレンジメントへの「Intrusion Software」と「Surveillance Systems」の追加議論に関して初期から関わっていた Collin Anderson が詳細な検討の資料を作っている。
Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson
New white paper recommends targeted approach to controlling export of surveillance technologies

  ところが、CCCでのWassenaarアレンジメント・パネルで明らかになったように、スパイ用マルウェアなどの製作販売を行うイタリアのHacking TeamがWassenaarに準拠した輸出業者として認定されるという展開では、このアレンジメントによる「Intrusion Software」や「Surveillance System」の輸出規制の実効性には疑問を持たざるをえないと思える。この輸出規制は、その事業者の存在する国の政府や監視機関が積極的に行動しない限り実現しないし、もし政府方針が輸出に協力的ならば有名無実になりうるだろう。Hacking Teamは、2015年の始めからプレスリリースで「Wassenaarを遵守する」と言ってきた。しかしその時点でイタリア政府が輸出業者としての認定を出すかどうかの審査は果たして規制寄りだったのだろうか。

  また、スパイウェアFinFisherを独裁国家政府などへ製作販売していたイギリスのGamma社は、このソフトウェアの独裁政府による使用での人権侵害について追求していた英NGOのPrivacy Internationalが提訴するなどしたため、イギリスから他国へ本社を移動している。

  現状のWassenaarアレンジメントは、参加国から参加国あるいは参加国から非参加国への輸出を規制する仕組みであり、非参加国同士での移動は当然まったく規制から自由だし、非参加国から参加国への輸入についてどのような扱いなのかも疑問になる。例えば、Wassenaarアレンジメント参加国同士では、ウィルスの検体の移動すら規制対象に該当しうるという解釈のために悲鳴が上がっているのに、非参加国同士ならまったく制限がない。実際、多数のセキュリティ企業があるイスラエルや中国やインドは非参加国だし、アジア圏では日本と韓国しか参加していないので、レベルの高いハッカーコンファレンスが開催されているマレーシアやシンガポールや香港や台湾も非参加国だ。

  どうやらWassenaarアレンジメントの前提になっているのは、開発に高度な技術が要る兵器やソフトウェアはいわゆる「先進国」のみが作れるので、Wassenaarへそれら「先進国」を参加させることで規制できるという発想だが、その発想自体がすでに疑問なものといえる。

  さらに、現状のWassenaarアレンジメントでは、個人のセキュリティ研究者や小規模独立系セキュリティ企業が最大の影響を受けることが状況的に明らかになって来たことが、これが議論の俎上に上がっている理由のひとつだ。
  例えば、アメリカの法律に基づく解釈では「Deemed Export」という概念があり、これは口頭で伝えるだけでも輸出に該当してしまうという解釈になる。これでは、多数の国籍の従業員で構成されたセキュリティ企業で、Wassenaar非参加国の従業員が含まれていた場合、ウィルスに関しての技術情報を口頭で伝えるだけでWassenaarアレンジメント違反になってしまう。

  また、オープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればWassenaarアレンジメントの規制から除外されることになっているが、これも話は単純ではない。例えばMetasploitにはオープンソース版と商用版があるが、もしWassenaar非参加国でのペンテストの業務があるとして実施のためにスタッフがMetasploitをツールとして持って入国するには、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitを持って行くならば輸出業者として登録しなければならいない事になる。
  あるいは、どのようなオープンソース・ソフトウェアであっても実際にコードが書かれる前の、プログラマーの頭の中で考えている段階ではソースコードはまだ公開されていない。ということは、ソースコードが頭の中にあるプログラマーがWassenaar非参加国に入国すると、Wassenaarアレンジメント違反という解釈ができうる。これらの例は、CCCでのWassenaarパネルで実際に出た話題だ。

  アメリカの商務省でのWassenaarアレンジメント対応規制については、2015年7月のパプリックコメントを反映した新しいドラフトが今年出てくるであろう。EUでは今後2年間かけで対応する規制を作ると言われているので、すでにそれへ向けてセキュリティ協会から意見を注入しようとする動きがある。

  しかし、結局は「Wassenaarアレンジメント」の条文自体を修正しなければ問題はなくならないだろう。それに向けてのセキュリティ関係者の動きも起きている。
Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

  上記の Collin Anderson は、日本のセキュリティ業界からも意見を求めている。Wassenaarアレンジメントの対応への不安や興味のある方は、以下のURLのアンケートに英語だが無記名で良いので意見を送ってみて欲しい。
Questionnaire on Intrusion Software Export Regulations in Japan (English)

Exploitコードは要りませんか?闇市場からの売込みにご注意

2020年に東京オリンピック・パラリンピック開催が決定し、日本におけるサイバー攻撃対策も注目されています。そんな中、海外のセキュリティベンダーは日本への売込みに躍起になっています。
そんな状況を知ってか知らでか闇市場でのセキュリティベンダー(?)も、日本のセキュリティ関係者へ売込みを始めているようです。
その対象はサイバー犯罪者らへの売買だけでなく、セキュリティ研究者も対象としています。攻撃者は武器が増えますし、セキュリティ研究者もしくは担当者(CSIRTなど)は対策へ活用が可能な情報を得ることになりますので、どちらも顧客対象となるのでしょう。
その代表的のものがExploitコードを扱うセキュリティ屋さんです。例えば、次のようなメールで取り引きが始まります。

Exploit_Silverlight
紹介しているExploitコードは別として、このメールは一部のセキュリティ研究者や担当者が関心を引く内容となっています。恐らく、記載のものを売るつもりではないのだと思います。
何通かメールをやり取りし、扱っている商品やメールの内容を総合的に判断すると、どうも彼は他で扱っている商品を転売しているようです。(二次代理店とは違いそうでした。)
ちなみに、そんな彼によればオススメは Flash Player と MS Office Word (2003 - 2013)とのこと。
昨今のサイバー攻撃傾向に鑑みますと、このあたりがオススメというのも頷けます。
もっとも、どの程度信用するのかは別の問題ですが。

サイバー攻撃者と研究者の狭間で扱われる情報には、度々興味深いものがあります。しかし、その多くは信頼度の判断に苦慮することが多いことも事実です。
このような状況の中、如何に信頼度の高いものを選別し活用していけるかが今後の日本のサイバーセキュリティ対策のポイントとなりそうです。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード