エフセキュアブログ

cookie を含む記事

新たな調査で、オンライントラッキングがWebブラウジングを遅延させることが判明

トラッキング保護を活用することで、ロード時間を89%も短縮することができます。これは オンラインセキュリティのプロバイダであるエフセキュアが実施した、新たな調査で明らかになった事実であり、リサーチャーはサードパーティのトラッキングクッキーがどの程度ウェブサイトで乱用されているのかが、調査結果から浮き彫りになったと述べています。適切な対策を整備しない限り、この「デジタル公害」はウェブの閲覧速度を低下させ、顧客は承諾なしにデータを使用せざるを得ない可能性があります。

エフセキュアのセキュリティ研究所は、アレクサの上位50位にランキングされているサイト*の閲覧において、Freedomeのトラッキング保護を使用する場合と、使用しない場合で比較を行う調査を実施しました。その結果、Freedomeを使用した場合は、人気のあるウェブサイトでもロード時間が高速であり、帯域幅の使用も少ないことが明らかになりました。ロード時間は3%〜89%、平均で30%の短縮となりました。ページサイズは3%〜55%、平均で13%の縮小となりました。ウェブサイトの中には95個ものトラッカーが使用されていましたが、これはFreedomeの新しい機能であるTracker Mapperを活用することで確認できます。

エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンは、オンライントラッキングは深刻な問題になっており、時間とお金を無駄遣いする原因であることが、調査で明らかになったと指摘しています。「通常、ウェブサイトではよりよいサービスを提供するために、ある程度のオンライントラッキングの使用が正当化できます。ただし、今回の調査結果では、収拾がつかない状態であることがはっきりと示されています」とサリバンは述べています。「トラッキングによってブラウザの作業量が増加するため、ユーザーやその親世代が1990年代に利用していた、ダイヤルアップ接続での閲覧状態が再現されているのが現状です。実際のところ、これは帯域幅を消耗するデジタル公害であり、データに対する対価の拡大が正当化された上で、情報が消費者の手にわたっているのです」

Freedomeのトラッキング保護では、トラッキングサービスからのリクエストが完全にブロックされ、広告ネットワークに属するCookieが除外されます。Freedomeが閲覧のパフォーマンスを改善できたのは、こうしたデータの集積をブロックすることで、オンラインで移動するデータ量が削減されたからです。

「基本的にトラッキング保護では、サードパーティのCookieがインターネット上にもたらしているノイズが除外されます」とエフセキュアの次世代セキュリティ担当ディレクターを務めるジャンヌ・パティラーティは述べています。「消費者はこうしたノイズを求めていませんが、知らないうちにその代償を支払っているのです。そのため言葉は悪いですが、「不快」、かつイライラするほど遅いオンラインエクスペリエンスが、データ収集に頼る会社の事業運営のせいでお客様にもたらされることを、何らかのトラッキング保護を利用することで阻止します」

サリバンは、ウェブサイトが「軌道の修正」を行い、トラッキング技術の導入について見直す機会だとも話しています。こうしたメッセージを企業に伝えたい方は、Freedomeのトラッキング保護機能を、優れたオンラインエクスペリエンスの実現に役立てることができます。MacとWindows PCをお使いの場合は、ウェブの閲覧中に消費者を追跡するサードパーティのCookieを確認できるTracker Mapperのβテスト版にお申込みいただくことで、インターネットトラッキングの状態を改善できます。テストしていただく方には、こちら( https://freedome.f-secure.com/trackermapper/ )でご登録いただくことにより、Freedomeを2か月間無料で利用できるコードをお送りいたします。

*出典: http://www.alexa.com/topsites/global;0

詳細情報:  
Freedome https://www.f-secure.com/ja_JP/web/home_jp/freedome
Who Is Tracking ME? http://freedome.f-secure.com/whoistrackingme/index.html

トラッカーは制御不能だ

 最新のWebの分析やトラッキングは、完全に制御不能だ。この件で私にとって問題なのは、プライバシーなどではなくむしろユーザビリティについてである。トラッカーは実質的に「ダイヤルアップインターネット」の感じを再現している(子供は両親に聞いてくれ)。現在は2015年だが、多数のWebサイトの重さは1999年並になっている。

 そして今日では、この問題が至るところで顕在化しているようだ。

 有名な実店舗型の小売店のWebサイトをGhosteryで可視化しながら見てみよう。以下は米国向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは有効になっている。

Ikea's US localization with third-party cookies allowed.
サードパーティのCookieを許可したときの、米国向けにローカライズされたイケアのサイト(Windows版のFirefox 40で表示)

 Ghosteryによると、9つの異なるトラッカーリソースが読み込まれている(Ghosteryを使っているのはブロックするためではなく、可視化のため)。よし、結構。

 そして以下はフィンランド向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは許可していない

Ikea's Finnish localization with third-party cookies disabled.
サードパーティのCookieが無効になっている、フィンランド向けにローカライズされたイケアのサイト

 Ghosteryによると、11の異なるトラッカーが読み込まれている。しかし思い出してほしい…、これにはサードパーティのCookieは入っていない。では、サードパーティのCookieを有効にすると何が起きるだろうか?

 さらに38個のトラッカーが仲間入りだ!

Ikea's Finnish localization with third-party cookies allowed.
サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト

 合計で49個のトラッカーだ(ちょっと度を超えていると感じる。違うかい?)。

 これは実に意味不明だ。私は単に、実際の店舗を訪れる前にウィンドウショッピングをちょっとしたかっただけなのだ。

 ただとにかく…。

 トラッカー一式をオープンにすることで、それらのCookieがうまく読み込まれてドロップされることになると、たいていの場合はトラッカーはさらに多くのリソースを取得し、その結果としてブラウジングの速度を落とすことになる。

 通常私は、トラッカーをブロックする目的で、すべてのサードパーティCookieを許可していない。これにより、不都合が生じることはほとんどない。しかしながら、私の同僚の1人がこの設定をテストしたところ、ソニーのPlayStation Networkといったサイトにはログインできないことがわかった(ただし、この場合は別のブラウザを使うことをお勧めする)。こうした点は考慮に入れる必要がある。

 主に使うブラウザでは、「サードパーティのCookie」を「許可しない」に設定することを勧める。

 以下はWindows版のFirefox 40の場合だ。

about:preferences#privacy
Firefox > オプション > プライバシー

 以下はWindows版のChrome 44の設定だ。

chrome://settings/content
Chrome > 設定 > 詳細設定を表示 > コンテンツの設定

 また、以下はiOS 9の設定だ。

iOS 9 Settings, Safari, Privacy & Security
iOS 9 > 設定 > Safari > プライバシーとセキュリティ

 iOSでは「Allow from Current Website Only(アクセス中のWebサイトのみ許可)」を用いている。

iOS 9 Settings, Safari, Privacy & Security, Block Cookies
iOS 9 > 設定 > Safari > プライバシーとセキュリティ > Cookieをブロック

 そして次に、言うまでもなく、トラッキングフィルタありのVPNを経由して、ネットワーク側の資源のトラッキングをブロックすることもできる。

Ikea's Finnish localization with third-party cookies allowed, using Freedome.
サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト。Freedomeを使用

 上図のとおり、当社のFreedome VPNにより、読み込まれるトラッカーの数がわずか2つに削減されている。ずっと良い。

 どのような方法を選んだとしても、可能な限りすぐにトラッカーを停止することが、よりよいブラウジング体験へとつながる。

 楽しんでほしい。

 @5ean5ullivan



ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

Gameover ZeuSがMonsterを標的に

 最近になって、Gameover ZeuSの現行の設定ファイルを入手したのだが、GameoverはいまやCareerBuilder(訳注:米国最大の求人求職サイト)に加えてMonster(訳注:世界規模の求人求職サイト)も標的にしていることに気付いた。

 以下は正規のhiring.monster.comというURLのものだ。

hiring.monster

 Gameover ZeuSに感染したコンピュータは新たに「Sign In」ボタンを挿入するが、それを除けばページは同一のように見える。

hiring.monster, gameover

 そして挿入されたフォーム上で、次のような「セキュリティ上の質問」が問われる。

hiring.monster, gameover question injection

 以下はその全リストだ。

  •  In what City / Town does your nearest sibling live?(一番近くに住む兄弟姉妹のいる街は?)
  •  In what City / Town was your first job?(最初の仕事をした街は?)
  •  In what city did you meet your spouse/significant other?(配偶者や大切な人と出会った街は?)
  •  In what city or town did your mother and father meet?(ご両親が出会った街は?)
  •  What are the last 5 digits / letters of your driver\'s license number?(運転免許証の番号の下5桁は?)
  •  What is the first name of the boy or girl that you first dated?(初めてデートした相手の下の名前は?)
  •  What is the first name of your first supervisor?(最初の上司の下の名前は?)
  •  What is the name of the first school you attended?(最初に入学した学校の名前は?
  •  What is the name of the school that you attended aged 14-16?(14〜16歳のときに通った学校の名前は?)
  •  What is the name of the street that you grew up on?(あなたが育った街の名前は?)
  •  What is the name of your favorite childhood friend?(子供の頃に好きだった友達の名前は?)
  •  What is the street number of the first house you remember living in?(住んでいたことを覚えている中で最初の家の番地は?)
  •  What is your oldest sibling\'s birthday month and year? (e.g., January 1900)(一番上の兄・姉が生まれた年および月は?入力例:January 1900)
  •  What is your youngest sibling\'s birthday?(一番下の弟・妹の誕生日は?)
  •  What month and day is your anniversary? (ie. January 2)(あなたの記念日の月と日は?入力例:January 2)
  •  What was the city where you were married?(結婚した街は?)
  •  What was the first musical concert that you attended?(初めて鑑賞したミュージカルは?)
  •  What was your favorite activity in school?(学校の活動で好きだったものは?)

 このプロセスにより「qasent」というcookieが生成される。

 Webサイトのアカウントを持つ、人事の採用担当者はこのような不正行為について警戒すべきだ。アカウントが銀行口座や使用経費と潜在的に関連があるなら…、バンキングトロイの標的になる。

 Monsterのようなサイトでは、単なるセキュリティ上の質問を超える、 2要素認証を導入することは悪い考えではないだろう。

—————

分析 — Mikko Suominen

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

Neutrino:現行犯で逮捕

 先週我々は、エクスプロイトキットへと導くiframeインジェクションを提供する、ハッキングされたサイトについて、Kafeineからヒントを得た。我々は非常に興味深いと考え、感染したWebサイトの1つを監視して、以下のコード片が潜んでいるのを見つけた。

sitecode



 ぼかしていない方(deobfuscated)のコードは、挿入されたiframeのURLがどこから集められるのかを示している。また同時にリダイレクトを許可するcookieを使用していることが分かる。さらにIE、Opera、Firefoxからブラウズしたユーザのみを標的に感染させることを表している。

 そして現在、ソースサイトや感染したサイトからの、古いが良質な断片情報がある。

injected



 感染したWebサイトが首尾よくリダイレクトをすると、ユーザはNeutrinoエクスプロイトキットに行き着く。これはJavaエクスプロイトを提供するものだ。

redirections



 トロイの木馬のペイロードをまだ十分に解析していないが、最初に確認した際に、以下のIPアドレスにHTTPポストを行っていることが判明した。

mapp



 今週の初め、おそらくまだ完全に影響を受けていない頃、挿入されたURLはgoogle.comに向けられていた。しかしながら、昨日の夕方、完全なオペレーションが開始され、Javaエクスプロイトを提供するNeutrinoにリダイレクトし始めた。

first_instance



 この時系列に基づき、感染したサイトを訪れた各IPアドレスの地点を地図上にプロットした。これらのIPアドレスはこの脅威における潜在的な犠牲者だ。おおよそ8万個のIPアドレスが存在する。

visitor3



 我々はまた、これまでに感染したWebサイトもプロットした。この脅威の影響を受けたドメインは2万超に達する。感染したサイトは、WordPressもしくはJoomla CMSのいずれかを使用しているように見受けられる。

hacked



 なお、この脅威に関する別の情報が、Kafeineのブログに投稿されている。

 このポストに関連があるサンプルは、Trojan:HTML/SORedir.A、Exploit:Java/Majava.A、Trojan:W32/Agent.DUOHとして検知される。

 Post by — Karmina and @Daavid

DeepGuard 5 vs. IEのゼロデイエクスプロイトCVE-2013-3893

 ネタバレ注意:DeepGuardが勝利。

 今日はPatch Tuesdayで、この後マイクロソフトが月例のセキュリティアップデートをリリースする。

 このアップデートは、直ちにインストールすることを強くお勧めする。なぜならパッチが当てられるInternet Explorerの脆弱性の1つCVE-2013-3893は、すでに現実に悪用されているからだ。CVE-2013-3893を悪用するMetasploitモジュールもリリース済みだ。しかし今日がカギになる。悪い奴らが、他の脆弱性に対するエクスプロイトを開発する目的で、このパッチをリバースエンジニアリングするのはほぼ確実だ。

 ある脆弱性に特化した防御策を1つずつ施して、エクスプロイトから保護し続けるのは、本当の意味で可能なわけではない。より先を見越した防御は、悪用する技術に焦点を合わせることで実現できる。これを念頭に、当社のビヘイビア技術DeepGuardのバージョン5では、主要な機能としてビヘイビアベースのエクスプロイトの遮断が導入された。Webブラウザのようなよく侵害されるソフトウェアのビヘイビアを監視することで、ゼロデイエクスプロイトを含め、まだ目にしたことのない脅威からユーザを保護することができる。

 CVE-2013-3893の脆弱性に基づくエクスプロイト経由でシステムが侵害されるのを、DeepGuardが防ぐ短い動画を以下に掲載する。システムに今日のアップデートがインストールされていないなど、動画中のIEのバージョンは脆弱である。動画内のエクスプロイトは実際の攻撃で使われてきており、FireEye社やDell社で言及されていたもの、つまり0x95というXORキーで暗号化されたrunrun.exeのペイロードに非常に似通っている。なお、この攻撃は分離した試験用ネットワーク上のWebサーバから実施した。

 エクスプロイトはcookieをセットして確認することで、同一システムを2度侵害するのを回避している。一度DeepGuardがエクスプロイトをブロックし、強制的にタブを閉じると、IEはタブを再度開くように試みる。cookieがセット済みのため、JavaScriptコードは当該エクスプロイトを飛ばして、単純にユーザをnaver.comへリダイレクトする。


YouTube: DeepGuard 5 vs. IE Zero-Day Exploit CVE-2013-3893

 言い換えると…、当社の技術により、顧客に卓越した防御機能を提供できる。第0日目に。

 このホワイトペーパー(日本語)で、当社のDeepGuard技術についてさらに詳細に確認できる。今日のアップデートをインストールする間に、読んで楽しんでほしい。

 Post by — Timo

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード