エフセキュアブログ

USBメモリ を含む記事

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

企業環境を守るうえで重要な8つのステップ

企業の端末を、脅威から「保護」された状態にしておくための8つのポイントを紹介します。

1. 安全なOSやソフトウェア、ハードウェアは存在しない

残念ながら、「安全」なコンピュータという概念は、企業環境における深刻なセキュリティホールが放置されうる誤った概念です。安全だと思われている端末が実は保護されていなかったり、監視さえされていないことがしばしば散見されます。したがって、端末のOSや使用しているソフトウェア、およびこれらを実行しているハードウェアのすべては脆弱なものであるということを忘れてはいけません。これらすべてには、保護と監視が必要です。

2. 侵入防止機能付きのセキュリティ製品を使う

不審な挙動を監視する侵入防止機能を備えたセキュリティソフトを活用して、最高レベルの保護を確実に行ってください。これは、未知のマルウェアから端末とネットワークを保護する上で有益です。

3. 内部通信もデータの暗号化を

たとえローカルエリアネットワーク内であっても、通信チャネルを安全に確保することは効果的です。1つの端末のセキュリティが破られれば、ネットワーク全体が脅威にさらされることになるだけでなく、内部から攻撃される可能性も出てきます。そのため、すべての通信チャネルを安全な状態に維持することが重要です。

4. 自宅やモバイルでの業務の保護

業務用のノートPCやモバイルデバイスの保護は、比較的対応しやすい問題です。より対応が難しいのは、スマートフォンやゲーム機、さらには自宅のPC、またはUSBメモリのように家庭で使用されるデバイスの保護です。例えば、ある従業員が業務で使用する自宅のPCは、最新のセキュリティソフトを使用していない、あるいは全く保護されていない可能性もあります。また、ITセキュリティについて知識のない家族が使う場合もあります。このPCがウイルスに感染すれば、接続しているすべてのデバイスが感染しかねません。これは考えられる最悪のシナリオであり、外部デバイスからの接続をすべて禁止することで、このような事態を確実に防止することも可能です。しかし、避けられない例外が発生することもまた現実です。
だからこそ、従業員に私物のPCやスマートフォン、タブレット用のセキュリティソフトを提供し、これらのデバイスの定期的なスキャンや検査を行うことは効果的な対策です。エフセキュア プロテクション サービス ビジネス(PSB)のような、簡単に監視できる一元管理された環境にすべてをまとめれば、より安全です。

5. ユーザアカウントの保護

ユーザアカウントは単に社員とEメールアドレスを結びつける手段ではなく、1人のユーザに属するファイル、リソース、情報、権限、ネットワークアクセスのすべてを意味します。ユーザアカウントを保護するためには、従業員が強力かつ唯一のパスワードを使い、それを定期的に変えることが有効です。また、デバイスやパソコンが使用されないまま数分間経過している場合に、自動的にロックがかかるようにすることもユーザアカウント保護の1つです。

6. 「乱用」ではなく「一定の権利」

ユーザの権限レベルを管理することは非常に重要です。マルウェアが活動を行うには権限が必要です。このため、ネットワーク上でのマルウェア感染の影響を最小限に抑えるためには、ユーザの権限をそのニーズに合わせて制限する必要があります。従業員には、業務を行う上での権限が十分に与えられるべきですが、必要以上の権限は与えられるべきではありません。こうした制限の必要性について従業員の理解を得るため、マルウェアの影響や方針の実施について教育することが効果的です。

7. 多数のユーザの多様なニーズ

企業環境が大規模であるほど、ユーザもより多様です。これは、最大限のセキュリティを確保しながら、従業員のニーズを考慮に入れる必要があるということです。例えば、マーケティングや会計、研究開発分野などでは、ブラウザのプラグインやソーシャルネットワークの使用が必要となる場合がありますが、潜在的なリスクが伴います。マルウェアの危険にさらされるリスクを回避するために、これらの使用を制限することができますが、ある特定の状況においては、感染のリスクを低減するために複数のパソコンを使用することも考えられます。

8. セキュリティに関する教育

情報セキュリティに関して従業員をしっかりと教育することですは、他に劣らず極めて重要なことです。脅威やその回避法について知っていれば、より良いセキュリティ対策を自身で実施することができるだけでなく、企業側が端末に適用する制限についても理解を得ることが容易になります。また、ソーシャルネットワークに潜む危険、迷惑メールやフィッシング攻撃、エクスプロイトおよびこれがもたらす損害、また攻撃者がソーシャルエンジニアリング手法を利用して企業ネットワークに侵入する方法についての知識も重要です。

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

制御システムのセキュリティ対策、いつやるか?

2013年1月、アメリカのマイアミでS4(SCADA Security Scientific Symposium)というカンファレンスが行われました。世界中から制御システムセキュリティの技術者が集まり、技術的な話題を中心に議論する世界でも数少ないカンファレンスです。

now




今回のテーマは「NOW」でした。






IfNotUs



IF NOT US, WHO?
(誰がやるか?君でしょ!)

IF NOT NOW, WHEN?
(いつやるか?今でしょ!)



日本でも流行っている「いつやるか?」「今でしょ!」というやつのアメリカ版ですね。
「NOW」というテーマの下、次のような議論が行われました。

議論した内容:
  • 制御システムには暗号化も認証も無いけど、デバイスの性能的に実装するのが難しい。じゃあ、いつ実装するか?
  • 制御システムはライフサイクルが長く、依然として30年前のシステムが使われているが、様々な理由ですぐには置き換えできない。じゃあ、いつ置き換えるか?
  • あれだけStuxnetが話題になっても、多くの制御システムではUSBメモリの使用をやめることができない。じゃあ、いつやめるか?
  • 制御システムが脆弱なことは知っているけど、現実には大人の事情とかがあって対応できない。じゃあ、いつ対応するか?
  • まずいなとは思っているんだけど、経営層が理解してくれないので何もできない。じゃあ、いつ理解させるか?
  • 制御システムが脆弱で何らかの変更や修正が必要だと10年以上前から言われているけど、結局何も変わっていない。じゃあ、いつやるか?

Small iPhone or Big iPhone ? - 日本組織へのAPT

New iPhoneが流出か!?

なんて、心躍ったのは上海のとある地下商店街。
色々商品を物色していましたところ、後ろのお店のお姉さんが声をかけてきました。
"Small iPhone ? Big iPhone ?"

「ええ!?早くも新商品!もしかして、噂の流出ものかな?」
なんて、耳を疑ってしまいました。

iphone_china

もう、説明するまでもありませんね。(大きい方が正規の大きさ)

さて、今私が気になっているのが、これらの商品の中身です。
本当に(安くて)安全なものなのか、非常に気になります。(笑)

近年、海外から郵送されてくるデータを閲覧した際に、マルウェアに感染したという事案が後を絶ちません。
特に、次の2つのパターンが厄介です。
・人がデータを含むメディアを持ち込む
・データを含むメディアを郵送(宅急便等)


続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード