エフセキュアブログ

yahoo を含む記事

Coremexが検索エンジンハイジャックを取り入れる

 検索エンジンの結果を標的にするマルウェアは、なにも新しいものではない。悪意あるブラウザ拡張もおなじみだ(一般にFacebook詐欺のキャンペーンのようなものに使われる)。しかしごく最近、その双方を試みる、特筆すべきマルウェアファミリーを識別した。我々はCoremexと名付けた。これはブラウザが提供するプラグイン機能を悪用し、GoogleやYahooといった巨大オンライン広告企業を相手に、様々な検索エンジンの結果をハイジャックする。

 Coremexは単独のNullsoftInstaller実行ファイルとして提供され、ドロッパーもしくはダウンローダのいずれとしても動作する。当該実行ファイルの実行時に、ダウンローダは感染したマシンから基本的な情報の収集を始める。たとえば、ユーザ名、感染したワークステーションの名前、プロセッサ、メモリなどだ。情報はC&C(command-and-control)サーバのアドレス178.86.17.32に送付される。これは、バイナリにハードコーディングされている。情報は「2AJQ8NA4」というキーを用いてRC4で暗号化され、最終結果はBase64でエンコードされる。

 ブラウザ拡張スクリプトなどのメインペイロードをC&Cサーバからダウンロードするのを妨げるサンドボックスに対抗する機能が、Coremexにいくつか実装されている。これらの機能は、ブラックリスト化されたプロセスの名前を確認し、感染したマシン上でWMI(Windows Management Instrumentation)を使って「VMware」といった文字列のような、よく知られたサンドボックスのフィンガープリントを検索する。

図1:ハッシュ内のブラックリスト化されたプロセスの名前

Coremex_Blacklisted_ProcessName_By_Hash

図2:ハッシュ内の対サンドボックスの名前

Coremex_AntiSandbox_By_Hash

 対サンドボックスのコンポーネントが非常警報を上げなかったら、Coremexは次にC&Cサーバからペイロードを追加ダウンロードする段階に進む。ただし、マルウェア作者はペイロードのダウンロードに別のC&Cサーバを用いている(少なくとも当社の分析時には)。

 C&Cサーバのアドレスは以下だ。

  •  178.250.245.198
  •  174.127.82.213
  •  192.154.94.253

 以降被害者がChromeやFirefoxを開くと、常にブラウザプロセス内に当該エクステンションが存在するようになる。

 CoremexのJavaScriptは、分析を困難にするため、3階層の高度な難読化がなされている。同スクリプトは水面下でブラウザから提供されるAPIを用いていくつかのイベントを登録し、イベントの発生を待つ。

図3:悪意のあるブラウザ拡張が複数のイベントリスナーを登録

Coremex_Scripts_Event_Listener

 イベントリスナーの1つは1時間に1回起動される。callbackファンクションイベントの実行時に、以下のインチキな検索エンジンのWebサイトへの接続を開始する。

  •  onlinetrack.org
  •  zvtracker.com

 一方、他のイベントリスナーは、感染したブラウザが訪問しようとするURLを解析する役割を持つ。これらのイベントリスナーのcallbackファンクションは、以下の検索エンジンプラットフォームに入力された検索クエリを探す。

  •  Google
  •  Bing
  •  Yahoo
  •  ASK
  •  AOL
  •  AVG
  •  MyWebSearch
  •  Search-Results
  •  Comcast
  •  Delta-Search

図4:Coremexが標的とする検索エンジンプラットフォームの一覧

Coremex_Search_Engine_Hijack

 狙っている検索エンジンプラットフォームが見つかり、URLから検索クエリの解析が成功すると、Coremexは最初に犠牲者が入力した検索クエリをJSON形式に変換する。

Coremex_yoursearchquery

 続いて「http」というキーを用いてJSONオブジェクトがRC4アルゴリズムで暗号化され、結果がBase64でエンコードされる。Base64でエンコードした文字列は、おそらくマルウェア作者が制御する検索エンジンプラットフォームへ送られる。

Coremex_RC4

 サーバからの応答の中には、接続先のWebサイトのリストが入っている暗号化されたJSONオブジェクトが含まれている。これらWebサイトは広告っぽいURLを持つWebページがどこへリダイレクトされるかを規定する。GoogleアドワーズのURLの例では、以下のように見えるだろう。

Google Adwords URL

図5:GoogleアドワーズのURLのパターンを解析する役割を持つコード

Coremex_Google_Ads_URL_Hijacked

 復号したJSONオブジェクトは、以下のような感じだ。
 
decrypted JSON objet

 以下の画面キャプチャは、犠牲者が広告のURLをクリックしたときに動作するCoremexのスクリプトを示している。クリックすると、ハイジャックされた広告のページに導かれ、マルウェア作者が意図した接続先のWebサイトへリダイレクトされる。

図6:GoogleアドワーズのURLがハイジャックされている

Coremex_Google_Ads_Url_Car_For_Sale_768x335
画像クリックで拡大

図7:GoogleアドワーズのページがIFRAMEでハイジャックされている

Coremex_Google_Ads_Page_Hijacking_With_IFrame_768x333
画像クリックで拡大

 ハイジャックされた広告のページへ挿入されたIFRAMEに関して言うと、分析中はサーバが接続先のWebサイトについて応答することはなかった。したがって、ハイジャックされた広告のリダイレクト先の例について、我々はまだ目にしていない。しかし、人気のあるオンライン広告サービスを悪用しようとする、マルウェア作者の意図は明確だ。

SHA1: 62b5427b10f70aeac835a20e71ab0d22dd313e71

—————

Post by — Wayne

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

アイシスを使ってファイルスラックに痕跡を残せるか

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。

FISAの透明性

 2月3日、FacebookGoogleLinkedInMicrosoft(Skypeを含む)、Yahooの各社は、米国政府によってなされたFISA(Foreign Intelligence Surveillance Act、外国情報監視法)の要請についてサマリーを発表した。

US DOJ's FISA reporting

 司法副長James M. Cole氏は次のように述べている。

 「ここ1か月間の各社との議論に従い、この書簡にて新規かつ追加的な方法を提出する。その方法にて、各社が顧客情報の要請に関するデータをレポートすることを政府は許可する。我々は本日のFISC(Foreign Intelligence Surveillance Court、外国情報活動監視裁判所)による通知に関連して本書簡を送付している。」[ソース]

 「許可」した件数は1000件単位となるように厳しく制限されている。または裁判所によるFISAの要請と同時にNSL(National Security Letter、国家安全保障書簡)が組み合わされていれば250件になる。

 おっと、「新たな能力」については2年間何も報告できない。

US DOJ, FISA, New Capability Order

 これは結構大きな抜け道じゃないか?

 関連する全企業は、もっと発言したいと主張している。Googleは同社のサマリーで次のように述べている。「特に、当社が受け取った要請の正確な件数と種別について、また同様に影響を受けたユーザの数について、迅速な方法で公表したい。」

 ここにおもしろい思考実験がある。

 もし欧州各国が透明性レポート法を可決し、Googleが許可を求めると言っているものを要求した場合に、何が起こると思う?

2012年の#yearinreview パート2

 2012年#yearinreviewのパート2、7〜9月分を挙げる。

2012年7月4日
(訳注:CERNよ、ありがとう。Webサイトを作ってくれたことに。そしてボソンを見つけてくれたことに。#science

2012年7月10日
(訳注:Googleで検索する際に考えてほしい。Googleの年間の電気料金は約1億2千万ドルだ。しかし、みなさんはそのサービスに対してお金を支払っていない。)

2012年7月12日
(訳注:Yahooから45万件のユーザ・パスワードが流出したのは実に驚きだ。Yahooがまだそんなに多くのユーザを抱えていたとは、思いも寄らなかった。)

2012年7月16日
(訳注:"Milware" [mil-we:r] ― 名詞。軍によってプログラミングされたマルウェア。)

2012年7月16日
(訳注:本日のオモシロ情報:Yahooは、Googleと呼ばれる、あるスタートアップ企業に初期段階で投資を行っていた。)

2012年7月22日
(訳注:Linuxには取り戻すべき遅れが多々ある。Linuxはバージョン3.5をリリースしたばかりだが、Windowsはすでにバージョン7なのだ。)

2012年7月26日
(訳注:#Blackhatで小耳に挟んだこと。「アイツはつまらないヤツなんだ。アイツのアイデンティティを盗んだハッカーが、後で返してよこしたほどだよ。」)

2012年7月30日
(訳注:科学的に高度な釣りは、ソート・リーダーシップ(考え抜かれたリーダーシップ)と区別が付かない。- Cliff Moon)

2012年7月29日
(訳注:またしても#Blackhatのバッジで、私の名前のスペルが違っていた。twitpic.com/ad84sv こっちは2011年の私のバッジだ。twitpic.com/6055l8

2012年7月31日
(訳注:3Dプリンタで印刷された物体から、それを作ったプリンタを突き止めることはできるだろうか?純粋な質問。)

2012年7月31日
(訳注:これは「Bullet Point(箇条書き、の意。bulletには銃弾の意味がある)」と呼ばれている。PowerPointにより死を招くからだ。)

2012年8月6日


2012年8月6日
(訳注:火星探査機キュリオシティに搭載されたコンピュータのスペック。CPU:200MHz、RAM:256MB、SSD:2GB。iPhoneのスペック。CPU:800MHz、RAM: 512MB、SSD:64GB。#MSL

2012年8月16日
(訳注:Facebookにアカウントがないと、奇妙なやつだと思われ、多少疑われるかもしれないことが分かった。あるいはテロリストかも。隠せねばならないことが絶対にあるのだ。)

2012年8月23日
(訳注:本日のヒント:Windowsの「ファイルを開く」ダイアログでURLをペーストできる。たとえばペイントを開始してCtrl-Oと入力し、http://i․imgur․com/gdILk.jpgを貼り付ける。)

2012年8月28日
(訳注:Linuxディストリビューションは、Windowsではもっとも一般的なソフトウェアへの対応が実に欠如している。たとえばマルウェアの大半は動かない。)

2012年9月10日
(訳注:今年最高の情報漏洩 pastebin.com/2qbRKh3R

2012年9月12日
(訳注:シルバー・サーファー ― 名詞。インターネットを使用する高齢の、特に退職した人々。Collins English Dictionary c HarperCollinsより)

2012年9月19日
(訳注:ヒント:本番データベースに偽の珍しいユーザ名や顧客名を登録して、Google Alertをセットしておくと、漏洩した場合に通知がくる。)

2012年9月20日
(訳注:新しいルール:もしパスワードの強度が低いせいであなたのTwitterのアカウントがハックされたら、スパムを受け取った人全員にビールを奢ること。)

2012年9月21日
(訳注:iOS 6 MapsでのJFK国際空港。twitpic.com/awzcoo

2012年9月28日
(訳注:Stuxnet、Duqu、Flameの作者を割り出すための犯罪捜査は一切行われてない。政府がやったときには、明らかに犯罪ではないのだ。)

「Diginotar」がBlack.Spookとイランのハッカーによりハッキング

  「Diginotar」はオランダの認証局で、SSL証明書を販売している。

Diginotar

  2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。

  このような証明書で何をすることができるのだろうか? まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。

  しかし、何故Googleをインターセプトしたいと考えるのだろうか? これは実際には「www.google.com」のサーチエンジンに関することではない。「mail.google.com」のGmailサーバおよび「docs.google.com」のGoogle Docs、そしておそらく「plus.google.com」のGoogle+が問題だ。

  5月にも(イタリアの証明書リセラー「instantssl.it」を介した)同様の攻撃が見られた。そのケースはイランと関係していた。今回も同様だ。イラン政府が反体制派をモニタするのにこのテクニックを使用している可能性がある。

  イランには自身の認証局は無い。もしあれば、不正な証明書自体を交付すれば良いだけだ。しかし、彼らは認証局を持っていないため、広く信頼されたCAからの、こうした証明書が必要となる。「Diginotar」のような。

  「Diginotar」はどのように侵入されたのだろうか? 我々にはまだ分からない。

  しかし、我々が発見したことはいくつかある。

  以下は現在のhttps://www.diginotar.nl/Portals/0/Extrance.txtのスクリーンショットだ:

Diginotar

  「Diginotar」のポータルはハッキングされている。イランのハッカーを自称する何者かが侵入したのだ。

  これは決定的な証拠のように見えるだろう。明らかにこれは、不正な証明書にどのようにしてか接続していなければならない。

  しかし、きちんと見るなら、このページがhttps://www.diginotar.nl/Portals/0/owned.txtからのものであることが分かるだろう:

Diginotar

  イランの別のハッカーグループ?

  もっと深く掘り下げるなら、これらのWeb改ざんは現在もまだ残っているが、新しくはないことが分かるだろう。もっと悪いことには、それらは数年前になされたものだ。

  以下は、https://www.diginotar.nl/Portals/0/fat.txtで、2009年5月にトルコのハッカーにより行われた別の例だ:

Diginotar

  実際、これらのハッキングは非常に古いもので、現在の問題に関係している可能性は低い。あるいは少なくとも、そうであって欲しいと思う。

 

P.S. この出来事のニュースは、最初、S. Hamid Kashfi(@hkashfi)がTwitterで公表した。彼は2010年には、イランのマン・イン・ザ・ミドル攻撃についてブログに記事を書いている。ここに2010年5月の(Google Translateを介した)ブログ記事がある。

hkashfi

P.P.S. 我々の以前の記事にも、SSL関連の問題に関する詳細がある。

P.P.P.S. 改ざんに関する「Diginotar」の公式声明が出されたが、回答よりも多くの疑問を残した。「Diginotar」は確かに、2011年7月19日にハッキングされた。攻撃者は不正な証明書をいくつか生成することができた。おそらくEVSSL証明書も含まれている。しかし「Diginotar」は、他の不正な証明書を無効にしたが、Googleに発行されたものを見逃した。「Diginotar」は、Googleが突然彼らのSSL証明書を更新しようとし、よりにもよって、オランダの小規模なCAで行おうと考えたことを、少し奇妙だとは思わなかったのだろうか? そして「Diginotar」が改ざんの後、自分達のシステムを検査していた時に、上記のイランの改ざんをどうして見逃したのだろうか?

追記:9月5日の時点で、攻撃者が証明書を作成することができた既知のドメインリストは以下の通り:

*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com

  さらに、攻撃者は以下の名称に関し、不正な証明書を作成した:

Comodo Root CA
CyberTrust Root CA
DigiCert Root CA
DigiCert Root CA
Equifax Root CA
Equifax Root CA
GlobalSign Root CA
Thawte Root CA
VeriSign Root CA

問題のある証明書

  最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。

  SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。

  しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく対応していない。VerisignやGoDaddy、Comodoといった主要な認証企業に加え、基本的により大規模な企業のための再販業者である地域的なCAさえ何百も、何千も存在する。

  Comodoは先頃、ハッカーがイタリアの再販業者の一社のパスワードとユーザ名を獲得することで、システムに侵入することができたと発表した。そのハッカーはその後、イランの出身であると公に主張しているが、その会社を通じて9つの不正な証明書を交付した。証明書はgoogle.com、yahoo.com、skype.comといったポピュラーなドメイン用に発行された。

  第一に、イタリアの小さな再販業者が、google.comの証明書を交付することができる、というのは驚くべきことだ。あなたは、どこかでサニティーチェックが妨害されたのだろうと考えるかもしれないが、そうではない。

  このような証明書によって何ができるだろうか? あなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてのルート変更が行える。たとえば、Skypeユーザを偽のhttps://login.skype.com アドレスに導き、SSL暗号化が存在するように見えるかどうかに関わらず、彼らのユーザ名やパスワードを収集することができる。あるいは、彼らがYahooやGmail、Hotmailにアクセスすれば、その電子メールを読むことができる。プロであってもほとんどが、これに気づくことはないだろう。

  2010年8月、コードサイニング証明書によって署名されたマルウェアサンプルを発見したため、エフセキュアのシニアリサーチャであるJarno Niemelaが、Comodoを巻き込んだID窃盗のケースについて調査を開始した。彼は証明書に記載された企業を追跡し、小規模なコンサルティング会社を見つけた。

  Niemelaはその会社に連絡し、彼らが自分達のコードサイニング証明書が盗まれたことに気づいているかどうか訊ねた。彼らの反応は、コードサイニング証明書は持っていない、というものだった。実際、彼らはソフトウェアの制作さえしておらず、したがってサインすべきものが何もなかった。明らかに誰かが、彼らの名前でその証明書を獲得したわけだ。彼らは企業ID窃盗の被害者だったのだ。

  被害者とComodoの協力を得て、Niemelaはこの証明書が実在する従業員の名前でリクエストされ、Comodoは申込者の身元をチェックするため、電子メールと電話による確認を行ったことを確認した。残念なことに、この詐欺師はその従業員の電子メールにアクセスすることができ、Comodoの電話による確認は、間違った相手にかかってしまったか、誤解が原因で失敗してしまった。

  実際、件の従業員は別のCA会社であるThawteからも電話を受けている。Thawteが彼女に、会社の名義でコードサイニング証明書をリクエストしたかどうか訊ねた際、彼女は「ノー」と返事をした。そこでThawteは、認証プロセスを打ち切った。

  このケースは、入口を見つけるまで、マルウェアの作者が複数のCAを試すということを示している。

  詐欺師が企業のメールにアクセスできる場合、その企業からのリクエストが本物かどうか、CAが確認するのは非常に難しい。評判が良く、やましいところの無い企業が、有効な証明書を手に入れるためのプロキシとしてマルウェア作者に利用されるというケースは、今後増えそうだ。

  認証機関は既に、認証を獲得しようとする疑わしい試みや、その他のシステムの悪用に関する情報を報せる手段を有している。しかし、これらのシステムは人間によって運営されているため、間違いも起こりやすい。我々は、現行のシステムでは、証明書は完全に信頼できるものではないという事実を、受け入れなければならない。

  このトピックについて、最新のYouTubeビデオで取り上げている。

不正なSSL証明書(「Comodoケース」)

  SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。

comodogate  証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ:
  • mail.google.com (GMail)
  • login.live.com (Hotmail et al)
  • www.google.com
  • login.yahoo.com (three certificates)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • "Global Trustee"


  Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

  このような証明書で何ができるだろうか?

  そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかどうかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。あるいはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、このようなことが起きているとは気づかないことだろう。

  「addons.mozilla.org」の不正な証明書はどうだろう? 当初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、SymantecのEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用できる、というのだ。(ありがとう、Eric!) そのようなエクステンションの例として、ここここを見て欲しい。

  証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した

追記:現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。

追記:「Global Trustee」用に交付された証明書の重要性とは何か? 我々には分からない。文書化された形では、どこにも発見できなかったものだ。現時点の最も有力な推測としては、一部の大規模ベンダが「Global Trustee」用の証明書のハードコードされたサポートを持っており、それらのベンダのハードウェア製品が存在するのでは、ということだ…

追記:イランは自身のCAを有していない。もし有しているなら、不正な証明書自体を発行することが可能なのだから、このようなことを何らする必要がないはずだ。Twitterで、@xirfanがこの件に関して、以下のようにコメントしている:「私はwebhosterで働いている。イランとシリアのカスタマは、SSLを許可されていない。」

  MozillaプロジェクトRoot CAストアに保存されているルート証明書のリストはここにある。中国、イスラエル、バミューダ、南アフリカ、エストニア、ルーマニア、スロバキア、スペイン、ノルウェー、コロンビア、フランス、台湾、英国、オランダ、トルコ、アメリカ合衆国、香港、日本、ハンガリー、ドイツおよびスイスのCAにより発行された証明書が含まれている。

追記:「Comodoハッカー」だと主張する人物、あるいは人物たちが、この件に関する公式な覚え書きを発表した。同記事の背後にいる人物(たち)は、Comodoの、あるいは「instantssl.it」の内部システムにアクセスしたようだ。彼らの話の他の部分が真実であるかどうか、我々には分からない。






ハッカーがWebcam Trojanで10代の少女達を強要

FBI  FBIが警戒を要する事態に対して警告を発した。

  カリフォルニア在住の31歳の男が、コンピュータをBackdoor Trojanで感染させたという容疑で逮捕された。彼はオンラインで友だちになっていた人々に、メールを介してトロイの木馬を送りつけていたのだ。このマルウェアは、よくあるように、ビデオファイルのように見せかけられていた。実際これは、被害者のPCを攻撃者がコントロールできるバックドアをドロップしていた。次に攻撃者は、被害者のコンピュータから淫らな写真を探す。もし何か見つかれば、攻撃者はそれらをダウンロードし、これらの画像を利用して、被害者からさらなる写真やビデオを強奪しようとした。犠牲者の多くは、10代の少女たちだった。

  現在FBIは、この事件に関し、詳しいことを調査している。このハッカーは、さまざまなスクリーン名と電子メールアドレスを使っており、それらは以下にリストされている通りだ。もしもこれらの名称やメールアドレスをオンラインで見たことがあり、この事件の助けとなるかもしれない情報をお持ちなら、同事件の調査官に連絡して頂きたい。

  容疑者のスクリーン名と電子メールアドレスは:

gui_blt
Woods05
CoFfEkId014
ELEvatrHZrD03
Pimpcess03666
Your3name3here03
Bri23nice
Dmagecntr137
H2IOW14
ELEvATrhRZd03
Playgrl37
Your3name3here3
goldlion14
Hotchit13w
yousoylammer@hotmail.com
christ@yahoo.com
gui_blt@live.com
mistahxxxrightme@aim.com
zapotin@hotmail.com
guich_x@aim.com
guicho_1.1@roadrunner.com
mijangos3@msn.com

Zeus再び

  Zeusは今も、我々が遭遇する最も一般的なマルウェアの1つだ。

  ちょうど我々は、悪意あるZIPファイルが添付されたスパムに注目している。

Resume ZBot

  ZIPファイル内にあるのは、常に同一のZeus亜種(md5 92671afe999e12669315e220aa9e62c2)だが、名称は様々だ。今のところ、我々は以下のファイル名を確認している:

  •  2010 Contract With LC Change 051005.exe
  •  Flight Attendant-0600003A.exe
  •  Second chord sounds in world's longest lasting concert - Yahoo! News.exe
  •  Cancellation Notice.exe
  •  BURRESS_WEDDING_AUGUST2010.exe
  •  IN255596.exe
  •  2010 expenses.exe
  •  resume.exe

  同マルウェアは、ロシアの悪意あるWebサイト2カ所から、追加コンポーネントをダウンロードする。すなわち「jocudaidie.ru」と「zephehooqu.ru」だ。

  エフセキュアはこれら悪意あるサイトへのアクセスをブロックしており、同マルウェアは「Trojan:W32/Agent.DKJC」として検出している。

第14回 白浜シンポジウム ~ セキュリティで町おこし

昨年からボランティアで、白浜シンポジウムのセキュリティ道場のお手伝いをさせて頂いています。

白浜は白浜シンポジウムから海水浴の季節まで賑わうそうで、情報セキュリティがちょっとした町おこしに一役買っているようです。

シンポジウムの内容ですが、日中は講演をひたすら聞きます。
夜はナイトセッション、ミッドナイトセッションとあり、情報セキュリティに携わる仲間たちと情報交換(?)が行われます。

法執行機関の方もいらっしゃいますので、現在のサイバー犯罪対策の課題や最近の事例などの情報交換はとても興味深いです。
生の情報に興味のある方は、来年参加されてみてはいかが!?

ちなみに私は、深夜まで足湯で熱い議論を繰り広げてました(笑)

shirahama2010_1


ちなみに、セキュリティとは全く関係ありませんが・・・
白浜では「いついろかっぱのものがたり」という絵本で町おこしもしています。お子さんのいらっしゃる方は一読してみては如何でしょうか。

shirahama2010_2

企業ID窃盗

  オンライン犯罪者たちにとって、盗難にあった銀行口座やクレジット・カードにアクセスすることは容易だ。それよりもずっと難しいのは、捕らえられることなく、それらのアカウントを空にすることだ。

  そのため、犯罪者たちはマネー・ミュールを必要とする。すなわち、盗んだ金を動かすためにリクルートされた個人だ。多くの場合、これらの個人は、自分たちが組織犯罪の手先に使われていることを知らない。フィッシングおよびBanking Trojanの犠牲者が、金を奪われたと気付いても、真の犯罪者ではないマネー・ミュールが指し示されるのみだ。

  以下は活動中のマネー・ミュール・リクルート・キャンペーンの一例だ。これは「Finha Capital」という企業の名の下に行われている。

Finha

  同Webサイトは、かなり信頼が置けそうに見え、クイックWebサーチにより、この名を持つ本物の企業が存在し、数十年、営業していることが示される。

Finha

  問題は、「finha-capital.com」が「Finha Capital」とは何の関係もないということだ。同サイトは全く偽物なのである。

  「finha-capital.com」というWebサイトが作られた唯一の理由は、オンライン支払いを行い、犯罪者のために金を動かすため、だまされやすいエンド・ユーザを雇い入れるフロントエンドとして使用することにある。この連中は、自分たちの詐欺に人々を引き込むため、既存企業のしっかりとしたブランドを利用しているのだ。

  そしてそれは「Finha Capital」だけではない。以下を見て欲しい:

Finha

  全く同一のWebサイトが、「Bin Finance」および「Contant」という、(少なくとも)別の2つの名前で運営されている。

  そして「Finha Capital」と同様、「Bin Finance」「Contant」という名の企業も実在する。そしてWebサイト上のアドレス・リストは、これら本物の会社のメーリング・アドレスだ。これらの企業も、この違法な活動とは無関係だ。

Finha

  「finha-capital.com」「contant-finance.com」というドメインは、ロシアのサンクトペテルスブルグでホスティングされており、「bin-finance.com」はウクライナのキエフでホスティングされている。

  ちょうど先週、「nordea-securities.com」というドメインで、似たような詐欺事件があった。「Nordea」は北欧の大手銀行で、1000万以上の顧客を有している。

  我々は電子メールで大量送信された、以下のメッセージを発見した:


   From: info@nordea-securities.com
   Subject: Career opportunity
   
   Our firm have reviewed your resume from Career Builder resume base,
   reviewed it and sure that you to be a great applicant for the position which we suggest.
   
   We are now looking for a individuals for a vacant position “Account Coordinator”.
   The main task of this position is to collect payments from our customers in US.
   
   Basic Requirements:
   - Computer skills (MS Word), personal e-mail address
   - Ability to work at home
   - Responsibility
   - Age: 21+
   
   If you are interested, please, register here: http://nordea-securities.com/rim/?link=getjob&rnd=34753525


  同サイトのwhoisデータは誤解を招くもので、「nordea-securities.com」というドメインがNordea Bankの所有であるよう見せかけている。それは事実ではない。yahoo.comのメールアドレスに注意しよう。

nordea-securities alexis perkus poelsevierali@yahoo.com

  学ぶべきことは?

  •  個人だけでなく、企業にもID窃盗は起こる。
  •  誰かが本当とは思えないような、うまい在宅の仕事をオファーするなら、それはおそらく本当ではない。
  •  他人のために金を動かさない。
  •  自分が相手をしていると思っている相手と、本当にコンタクトを取っているのかどうかを確認する。

ICPP著作権財団は偽物

  新たな身代金型トロイの木馬が出回っている。

  このトロイの木馬は、「著作権者への罰金」をカバーするため、「公判前の示談」の支払いを行うよう脅すことで、犠牲者の金を盗もうとするものだ。

  犠牲者は「反海賊行為財団スキャナ」が、システムから違法なTorrentファイルを発見したと告げられる。もし400ドル(クレジットカード・トランザクションを通じて)支払わなければ、懲役刑と莫大な罰金を科せられる可能性があるという。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  そしてこの警告は消えない。システムを再起動するたびに、再び現れるのだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらすべては完全に偽物だ。「ICPP財団」などというものは存在しないし、このメッセージは、違法なファイルをまったく含んでいない場合でも表示される。

  もっとも重要なのは:こんな道化連中への支払いは拒否すること! もし支払いを行えば、問題がより大きくなるだけのことだ。

  この件の背後にいるグループは、「icpp-online.com」に公式サイト風のWebサイトを準備してさえいる。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ドメインは「Shoen Overns」氏の名で登録されている。「ovenersbox@yahoo.com」という電子メールアドレスは、ZeusおよびKoobfaceスキャムに関連して、以前、他のさまざまなドメインで見掛けたものだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同アプリケーションが示す「Reports」をクリックすると、以下のようなページが現れる:

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ページにリストアップされている(イタリアの)番号に電話を掛けてみた:+39 (06) 9028 0658 当然のことながら、つながらなかった。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらのページは「91.209.238.2」でホストされており、WHOISによれば「高度に保護されたソマリアネットワーク」である「EBUNKER-NET」に属している。これはモルドヴァで運営されている。

  支払いページは以下の通り:

iccp7

  同サイトに接続するはっきりとしたクレジット・カード支払いシステムは存在しない。クレジット・カード情報を集め、保存しているようだ。

  もし皆さんが、このトロイの木馬に遭遇しても、「支払ってはいけない」。その代わり、トロイの木馬を除去するため、これを検出できるアンチ・ウイルス・プログラムを使用すること。「エフセキュア アンチウイルス」はこれを「Rogue:W32/DotTorrent.A」として検出している。ols.f-secure.comにある無料の「エフセキュア オンライン スキャナ」を使用して、システムのチェックを行うことができる。

  同マルウェアは一般に「c:\documents and settings\USERNAME\application data\IQManager\iqmanager.exe」に位置する。2つの異なるバージョンが見つかっている。これらのMD5ハッシュは「cedc2c35bf967027d609df13e937946c」と「bca3226cc1cfea416c0bcf488082e5fd」だ。

Shadows in the Cloud

  一年前にリリースされたGhostnetホワイト・ペーパーについてご記憶だろうか? 我々は、同ペーパーに関して詳細に記事を掲載した。

  同じ研究者たちが、Shadowserver Foundationの協力を得て、新たなホワイト・ペーパ−「Shadows In The Cloud: Investigating Cyber Espionage 2.0」(PDF)を発表した。

  (「Operation Aurora」流の)標的型攻撃に関するこの調査は非常に詳細なもので、読む価値がある。同調査には、攻撃者の活動方法の概要のほか、スパイ行為の技術的分析が含まれている。

Shadows in the Cloud

  同レポートは可能性のある標的にさえ触れている。

Shadows in the Cloud

  同ペーパーの冒頭を引用すれば:

主な調査結果

複雑なサイバー・スパイ行為ネットワーク
  インド、ダライ・ラマのオフィスおよび国連と、政府やビジネス、そしてアカデミックなコンピュータ・システムを危険にさらした、サイバー・スパイ行為のネットワークに関する証拠を文書化。アメリカ合衆国のパキスタン大使館など、他の多くの機関にも障害が起きた。特定できないものも存在するが、こうした機関の一部は、確実に特定することが可能だ。

機密文書の窃盗
  暗号化された外交文書と思われる1つの文書、「機密」という印のある2文書、「部外秘」とされた6文書、および「親展」扱いの5文書などを含む漏洩データの回収と分析。これらの文書はインド政府に属するものであることが確認されている。しかし、我々はそれらがインド政府のコンピュータから盗まれたものであるという直接的な証拠を持っているわけではない。パーソナル・コンピュータにコピーされた結果、漏洩したという可能性もある。回収された文書には、ダライ・ラマのオフィスから2009年1月から11月の間に送られた1500通の手紙も含まれている。これらの文書から、攻撃者が特定のシステムとユーザを標的としたことがうかがえる。

付随的なセキュリティ侵害の証拠
  一部の回収データには、アフガニスタンでインドの外交使節団に提出されたビザの申請が含まれていた。同データは通常のビザ申請プロセスの一部として、13カ国の人々によりインド使節団に自発的に提供されたものだ。アフガニスタンのような状況では、個人(あるいはオペレーショナルなセキュリティ)に対するリスクは、信任されたパートナーにより管理されている、安全なシステム上でのデータのセキュリティ侵害の結果として起きる可能性があるという、情報セキュリティの複雑な性質を示している。

クラウド・ベースのソーシャル・メディア・サービスに影響を及ぼす指揮管理基盤
  持続性を維持することを目的とした、複雑で段階的なコマンドおよびコントロール基盤のドキュメンテーション。同基盤はTwitter、Google Groups、Blogspot、Baiduブログ、blog.com、Yahoo Mailなどの無料ソーシャル・メデイア・システムを利用している。このトップ・レイヤは障害が起きたコンピュータを、無料のWebホスティング・サービス上のアカウントに向かわせ、そしてその無料ホスティング・サービスは機能しないため、中華人民共和国にある指令管制サーバの安定したコアに向かわせた。

中国のハッキング・コミュニティとのつながり
  Shadowネットワークと成都に住む2人の人物が、中華人民共和国の地下ハッキング・コミュニティとつながりがあることの証拠。

Shadows in the Cloud

ガンブラー対策「.htaccess」にも注意!

お隣の119チームのSEKI隊員の呟きによると、、、

新型ガンブラーに攻撃されたサイトを複数確認したようです。
具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。

どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。(現在、詳細確認中・・・)

ウェブサイト管理者様は、ウェブコンテンツ以外にサーバー等の設定ファイルの確認もしておいた方が良さそうです。

続きを読む

これはあなた? Twitterアカウントをフィッシングする意味とは?

  Twitter.comに対して行われている最近のフィッシング攻撃に関して、いくつか質問を受けた。

  「This you??」あるいは「LOL is this you」というフレーズを含むつぶやきやダイレクト・メッセージ(DM)が、犠牲者をTwitterログイン・フィッシング・ページへと導く。もし犠牲者がエサに食いつき、パスワードを入力すれば、Twitterの悪名高き「Fail Whale」が表示され、ユーザは自分のアカウントに戻される。ユーザたちは、自分たちのアカウント項目に障害が起きていると気づきさえしない可能性がある。

  Twitterに対するフィッシング攻撃は新しいものではない。しかし、要点は何なのだろう?

  信用だ。

  ソーシャル・ネットワークの仲間内では、互いの間に非常に大きな信頼が存在する。

  では何故、最近、攻撃が起きているのか?

  我々は、最近発表された検索エンジンの動向に何らかの関係があるのではないかと考えている。

  Yahooは検索結果に、Twitterのリアルタイム・フィードを含める予定であることを発表し、Facebookは現在、Googleの検索結果に含まれている

  悪党連中は、自分たちのSEO攻撃を強化するため、ソーシャル・ネットワークの信用を利用することができる。

  現在のホットなトピックを例に取ってみよう。以下の画像に、いくつかのTwitterの結果がある。

lastest.google.results.seaworld

  注:ホットなトピックを検索する際には、常に気をつけること。上記の「sea world trainer killed(シーワールドの調教師、死亡」)の例は、現在SEO攻撃に使用されており、多くの検索結果が直接Scamwareへと導かれる。

  上の例にはFacebookの結果もある。我々は、Facebookに対する新たなフィッシング攻撃が、まもなく登場するだろうと考えている。

  Twitterの「Safety」および「Spam」フィードは、Twitterアカウントを持っているなら、フォローする価値がある。Twitterは現在、フィッシング・メッセージを受けとった人達に、パスワードを変更するよう促すことで、この問題に取り組んでいる。

  すべてに希望の兆しがある…

  ソーシャル・ネットワークの信用は悪用される可能性があるものの、ソーシャル・ネットワーク自身は新たな脅威に対して信じられないほどに敏感だ。

  「This you??」の最新の検索結果をチェックして欲しい。Twitterユーザは、悪党連中が配信した偽情報に反撃するため、既に情報を広め始めている。

  電子メールのいかさまを根絶するには、数週間かかったものだが、現在、この問題は悪用され始めるのとほぼ同時に修正される。

ブラックホーク・ダウン

  「Black Hawk Safety Net」として知られる、オンライン・ハッカー養成活動を閉鎖した中国当局に賛辞を送る。

  Black Hawk活動は、トロイの木馬やサイバー攻撃技術のレッスンなどを提供するもので、1万2000人の有料会員と、12万人の無料メンバーで構成されている。

  Black HawkのWebサイトを運営していた3人が逮捕され、同サイトは現在アクセス不能となっている。警察は手入れの際、9台のサーバ、5台のコンピュータおよび車を一台の押収も行った。

  詳細については、Yahoo! Newsで読むことができる。

「fr3sh_card3r_rz」とは誰か?

  データ・マイニング中、我々は興味深い細部に出くわすことがある。

  たとえば、以下のドメイン登録者情報を見て欲しい。

  何か面白い事実に気付いただろうか?

     Domain Name: BENINECOB.COM
     Eco Bank
     David Kieselstein (fr3sh_card3r_rz@yahoo.com)
     81 fair hill drive
     westfield, New Jersey 07090
     US

     Domain Name: S-CFS.COM
     Citizens First Bank
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

     Domain name: NORDEABANKAB.COM
     Nordea Bank Ab
     Emilia Martins (fr3sh_card3r_rz@yahoo.com)
     1015 E Wylie St
     Bloomington, Indiana 47401
     US

     Domain name: BOF-IRELAND.INFO
     Bank of Ireland
     Patricia Jones (fr3sh_card3r_rz@yahoo.com)
     Rainwood Apts 1885 Harper Dr A
     Lake City 30260
     US

     Domain name: FIN-VB.COM
     First Investment Bank
     Don Spusta (fr3sh_card3r_rz@yahoo.com)
     1878 algonquin ave
     deltona, Florida 32725
     US

     Domain name: IRBUK-OFFICE.COM
     UK Inland Revenue & Customs
     West john (fr3sh_card3r_rz@yahoo.com)
     564 galant dr
     wincostin mn,48493
     US

     Domain Name: KCW-UK.COM
     Commonwealth Bank UK
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

  モニカ・ルインスキー? 間違いなくたわごとだ。

  だが、この「fr3sh_card3r_rz@yahoo.com」はどうだろう?

  この電子メールアドレスは、2008年7月というかなり以前から、偽の銀行サイトを作成するために用いられている

  fr3sh card3rを使用する…というのは、かなり厚かましいのではないだろうか?

法人向け製品 新バージョンのご紹介1

どうもエフセキュア 富安です。
前回の投稿から随分経ってしまいました。今後はもうちょっと短い間隔で投稿出来るように頑張りたいと思います。。。

それはさておき、昨日、法人向けのWindows用製品の新バージョンをリリースしましたので、旧バージョンから変更/追加された機能を中心にご紹介したいと思います。

今回リリースしたのは、Windows XP等のワークステーション向けエンドポイント製品のエフセキュア クライアントセキュリティ Ver9.00 / エフセキュア アンチウイルス ワークステーション Ver9.00と、それを集中管理するためのポリシーマネージャ Ver9.00になります。

今日は、エフセキュア クライアントセキュリティ Ver9.00に追加された、ブラウザ保護の機能について紹介したいと思います。

先行してリリースしましたコンシューマ向けのエフセキュア インターネットセキュリティ2010には既に搭載されている機能ですが、今回の新バージョンで法人向けのエフセキュア クライアントセキュリティ Ver9.00にも搭載されました。


ブラウザ保護は、ユーザが危険なWebサイトにアクセスしないようにするための機能です。
クライアントセキュリティをインストールして機能を有効にすると、ブラウザにアドオンとしてブラウザ保護のツールバーが追加されます。

browsing_protection_toolbar

「評価: 安全」と「評価: 不明」のWebサイトにアクセスした場合には、通常通りWebサイトが表示されます。

ただし、「評価: 危険」の場合は、Webサイトを表示する代わりに、以下の画面が表示し、ウイルス感染の危険があるようなサイトを開かないようにしています。

browsing_protection_danger


また、ブラウザ保護は直接危険なサイトにアクセスしたときだけではなく、googleやYahoo、MSNサーチ等の検索結果や、

browsing_protection_search


GmailやHotmailなどのWebメールからのリンクについて、評価結果をあらかじめ表示します。

browsing_protection_webmail

※画像は解像度があまり高くないので、クリックして見てください。

ブラウザ保護が対応しているWebブラウザは、以下の製品/バージョンです。
・Internet Explorer Ver6 以降
・Firefox Ver2 以降

検索結果に評価を表示できるサーチエンジンは、以下になります。
・Google
・Yahoo
・MSN

リンクに評価を表示できるWebメールは、以下になります。
・Gmail
・Hotmail

Webサイトの評価は、世界中のエフセキュアのオンラインサーバにデータベースとして保存され、クラウドとしてユーザに情報を提供します。
また、データベースはユーザからの報告も元にして更新されますので、評価が不明なWebサイトを見つけた場合は、「エフセキュアに通知する」のボタンから、評価をご報告頂けますと幸いです。


次回は、「脆弱性シールド」という新機能について紹介したいと思います。

パスワード123456?

  最近、フィッシング・リストがいくつか、オンラインで公開された。HotmailやYahoo、AOL、Gmail、他のプロバイダのパスワードがニュースで取り上げられている

  では、ポピュラーなパスワードは何だろう? 123456だ。

  素晴らしいでしょう? もしまだ皆さんがそうしていないのなら、個人パスワードを再検討する良い機会ではないだろうか。

  ちょうど「全米サイバーセキュリティ意識向上月間」なのをご記憶だろう。

  お勧めしたいのは「パスワードを書き出しておく」ことだ。いや、真面目な話。書き留めておくと良い。

  以下の記事を参照して欲しい:「Schneier on Security」「Lifehacker」およびNews from the Labの5月26日の投稿

Passwords on a post-it

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード