Trend Micro Predicts Cyber Security Concerns for 2014 and Beyond
Mobile threats, targeted attacks and vulnerabilities for the Internet of Everything highlighted
Author Archives: Hacker Medic
Cryptolocker に関する Q&A: 今年最大の脅威
サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。
このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。
以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。
Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?
Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
Q: この脅威が発見されたのはいつですか?
Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。
Q: Cryptolocker は新しい脅威グループに属するものですか?
いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。
Q: Cryptolocker の重大度はどのくらいですか?
重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。
Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?
感染した場合には、次のような身代金要求画面が表示されます。
図 1. Cryptolocker の身代金要求画面
Q: この脅威にはどのように感染しますか?
ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。
図 2. Cryptolocker スパムメールの例
電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。
図 3. Cryptolocker の攻撃手順
Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?
はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。
| 検出名 | 検出タイプ |
| Downloader | ウイルス対策シグネチャ |
| Downloader.Upatre | ウイルス対策シグネチャ |
| Trojan.Zbot | ウイルス対策シグネチャ |
| Trojan.Cryptolocker | ウイルス対策シグネチャ |
| Trojan.Cryptolocker!g1 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
| System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。
このマルウェアを検出する以前の検出定義は、一部名前が変更されています。
- 2013 年 11 月 13 日以前のウイルス定義では、このマルウェアは Trojan.Ransomcrypt.F として検出されていました。
- 2013 年 11 月 14 日以前の侵入防止シグネチャ(IPS)では、「System Infected: Trojan.Ransomcrypt.F」として検出されていました。
Q: C&C サーバーはどのような形式ですか?
DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。
- kstattdnfujtl.info/home/
- yuwspfhfnjmkxts.biz/home/
- nqktirfigqfyow.org/home/
Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。
Q: Cryptolocker はどのくらい高度ですか?
Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。
- Cryptolocker は、メルセンヌツイスタ擬似乱数生成機能に基づいた DGA を採用し、アクティブな C&C サーバーを探します。
Q: この脅威の感染状況はどうですか?
この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。
図 4. 検出が報告された上位 5 カ国
Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?
はい。シマンテックは以下のブログを公開しています。
Q: 身代金の支払いに応じるべきですか?
いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。
Q: Cryptolocker 攻撃の背後にいるのは誰ですか?
Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。
Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?
はい。シマンテックテクニカルサポートが以下の記事を公開しています。
Q: 被害を受けないようにするにはどうすればいいですか?
まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?
はい。シマンテックは、Backup Exec ファミリー製品を提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Microsoft Security Advisory (2916652): Improperly Issued Digital Certificates Could Allow Spoofing – Version: 1.0
Revision Note: V1.0 (December 9, 2013): Advisory published.
Summary: Microsoft is aware of an improperly issued subordinate CA certificate that could be used in attempts to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. The subordinate CA certificate was improperly issued by the Directorate General of the Treasury (DG Trésor), subordinate to the Government of France CA (ANSSI), which is a CA present in the Trusted Root Certification Authorities Store. This issue affects all supported releases of Microsoft Windows. Microsoft is not currently aware of attacks related to this issue.
Cryptolocker Q&A: Menace of the Year
Cybercriminals are constantly looking for ways to evolve their malware. Evolution is the key for survival because antivirus research, analysis, countermeasures, and public awareness thwart the efficacy of malware and its spread. During the past year, Ransomware has received a lot of news coverage which has decreased the number of uninformed victims and lowered the impact and effectiveness of the malware along with the percentage of return to the criminal.
Due to this increased public awareness, in the last quarter of 2014 we have seen cybercriminals reorganize around a new type of extortion: Cryptolocker. This threat is pervasive and preys on a victim’s biggest fear: losing their valuable data. Unlike previous Ransomware that locked operating systems and left data files alone and usually recoverable, Cryptolocker makes extortion of victims more effective because there is no way to retrieve locked files without the attacker’s private key.
The following Q&A outlines Cryptolocker and Symantec’s protection against this malware:
Q: What is the difference between Ransomware and Cryptolocker (also known as Ransomcrypt)?
The difference between Ransomlock and Cryptolocker Trojans is that Ransomlock Trojans generally lock computer screens while Cryptolocker Trojans encrypt and lock individual files. Both threats are motivated by monetary gains that cybercriminals can make from extorting money from victims.
Q: When was this threat discovered?
In September 2013 the Cryptolocker threat began to be seen the wild.
Q: Is the Cryptolocker threat family something new?
No. Symantec detects other similar malware families such as Trojan.Gpcoder (May 2005) and Trojan.Ransomcrypt (June 2009) that encrypt and hold files ransom on compromised systems.
Q: What is the severity of this Cryptolocker threat?
The severity is high. If files are encrypted by Cryptolocker and you do not have a backup of the file, it is likely that the file is lost.
Q: How do I know I have been infected by Cryptolocker?
Once infected, you will be presented on screen with a ransom demand.
Figure 1. Cryptolocker ransom demand
Q: How does a victim get infected?
Victims receive spam email that use social engineering tactics to try and entice opening of the attached zip file.
Figure 2. Cryptolocker spam email example
If victims open the zip file attached to the email, they will find an executable file disguised to look like an invoice report or some other similar social engineering ploy, depending on the email theme. This executable file is Downloader.Upatre that will download Trojan.Zbot. Once infected with Trojan.Zbot, the Downloader.Upatre also downloads Trojan.Cryptolocker onto the compromised system. Trojan.Cryptolocker then reaches out to a command-and-control server (C&C) generated through a built-in domain generation algorithm (DGA). Once an active C&C is found, the threat will download the public key that is used to encrypt the files on the compromised system while the linked private key—required for decrypting the files— remains on the cybercriminal’s server. The private key remains in the cybercriminal control and cannot be used without access to the C&C server which changes regularly.
Figure 3. Cryptolocker attack steps
Q: Does Symantec have protection in place for Cryptolocker and the other associated malware?
Yes. Symantec has the following protection in place for this threat:
|
Detection name |
Detection type |
|
Antivirus signature |
|
|
Antivirus signature |
|
|
Antivirus signature |
|
|
Antivirus signature |
|
|
Heuristic detection |
|
|
Heuristic detection |
|
|
Heuristic detection |
|
|
Intrusion Prevention Signature |
Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.
Some earlier Symantec detections that detect this threat have been renamed:
- Virus definitions dated November 13, 2013, or earlier detected this threat as Trojan.Ransomcrypt.F
- Intrusion Prevention Signature (IPS) alerts dated November 14, 2013, or earlier were listed as “System Infected: Trojan.Ransomcrypt.F”
Q: What do the C&Cs look like?
The following are recent examples of command-and-control (C&C) servers from the DGA:
- kstattdnfujtl.info/home/
- yuwspfhfnjmkxts.biz/home/
- nqktirfigqfyow.org/home/
Cryptolocker can generate up to one thousand similar looking domain names per day in its search for an active C&C.
Q: How sophisticated is this threat?
While the Cryptolocker campaign uses a common technique of spam email and social engineering in order to infect victims, the threat itself also uses more sophisticated techniques like the following:
- Cryptolocker employs public-key cryptography using strong RSA 2048 encryption. Once files are encrypted without the private key held on the attacker’s server, the victim will not be able to decrypt the files.
- Cryptolocker employs a DGA that is based on the Mersenne twister pseudo-random number generator to find active C&Cs.
Q: How prevalent is the threat?
Symantec telemetry for this threat shows that the threat is not very prevalent in the wild at present. While the numbers being reported are low, the severity of the attack is still considerable for victims.
Figure 4. Top 5 countries reporting detections
Q: Has Symantec previously released any publications around these attacks?
Yes, Symantec has released the following blogs:
Q: Should I pay the ransom?
No. You should never pay a ransom. Payment to cybercriminals only encourages more malware campaigns. There is no guarantee that payment will lead to the decryption of your files.
Q: Who is behind the Cryptolocker malware?
Investigations into the cybercriminals behind the Cryptolocker malware are ongoing.
Q: Is there any advice on how to recover files affected by this attack?
Yes, Symantec Technical Support has released the following article:
Q: Any advice on how to not become a victim?
Yes. First, follow information security best practices and always backup your files. Keep your systems up to date with the latest virus definitions and software patches. Refrain from opening any suspicious unsolicited emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.
Q: Does Symantec offer backup and disaster recovery software?
Yes. Symantec has the Backup Exec Family of products.
Quick update….
I’d like to share two webinars with you that we delivered this week
The first was Attack of the Cyber Spies a webinar delivered as part of BrightTALK’s Hackers Summit which you can access here.
The second is the December update of the regular webinar series I do with my colleague Andrew Shepherd: Website Security Threats: December Update
I’ve also posted both webinar slide decks to Slideshare here
Finally, I’d also like to share this blog posted by Tom Powledge who is the VP of the Website Secuirty Solutions division here at Symantec Keeping Your Data Safe with SSL
We’ll be back next week with some new blogs.
Keeping Your Data Safe with SSL
There’s been plenty in the news recently regarding encryption and SSL – which has led some people to wonder how safe the technology really is. As the leader of Symantec’s Trust Services Products & Services organization, I want to assure you that SSL is safe. Below is some information that may help you understand why, and also inform you about the current state of SSL security.
First, the fundamental key strength of RSA 2048-bit certificates is solid and without question. Independent cryptography experts have confirmed this, and highly-respected publications such as the MIT Technology Review have published articles on the subject. As always, organizations that use SSL should make sure they use the strongest algorithms available.
Customers of SSL certificates should take specific actions to safeguard the security of their server-side private keys. They should put in place powerful network protections and should never utilize tools where private keys are revealed to third parties. Symantec never takes possession of any customer’s SSL private keys.
Lastly, and perhaps most importantly, Certificate Authorities that issue SSL certificates must never share the private keys of their roots. The trust in SSL by everyone – from end-users, to the companies that they communicate with, to the browsers that enable secure connections – all depend on Certificate Authorities to provide unequivocal security of their root keys.
As the world’s largest and most trusted Certificate Authority, we use best-in-class security processes to protect our roots. We do not share our private keys with any third-party company, government, organization or individual. To repeat: We never share our root keys, and never will. Period.
We are committed to ensuring our customers can use SSL safely and we recommend that customers take important, but simple steps to proactively protect their private keys. To learn more about Symantec’s SSL offerings, please go to http://go.symantec.com/ssl.
?????????????????????????? Neverquest ?????????
最近、オンラインバンキングを狙う新しいトロイの木馬のことがメディアで報じられています。このトロイの木馬は、報道では Neverquest と呼ばれています。コンピュータが Neverquest に感染すると、特定のブラウザでオンラインバンキングの Web サイトを開いたときにコンテンツが改ざんされ、サイトに不正なフォームがインジェクトされます。そうなると、攻撃者はユーザーからログイン情報を盗み出せるようになり、さらには VNC(Virtual Network Computing)サーバーを利用して、侵入先のコンピュータを制御できるようにもなります。Neverquest は自身を複製するために、ログイン情報を盗み出して Neverquest ドロッパーをスパムで送りつけるか、FTP サーバーにアクセスして資格情報を取得したうえで Neutrino 悪用ツールキットによってマルウェアを拡散するか、またはソーシャルネットワークのログイン情報を取得して侵入先の Web サイトへのリンクを拡散します。
シマンテックがトロイの木馬 Neverquest を解析したところ、これはシマンテックが Snifula として検出するマルウェアグループの進化形であることがわかりました。Snifula が初めて出現したのは 2006 年のことですが、Neverquest のコードを解析した結果、Snifula グループの古いサンプル(Backdoor.Snifula.D)との類似点が確認されたのです。また、Snifula によって以前に使われていたことが判明しているネットワークのインフラは、Neverquest と密接に関係があることも確認されています。この新しい脅威に対しては、2013 年 4 月中頃に初めて確認されたときから、さまざまな汎用検出名ですでに保護対策が実施されています。その後、検出定義を分類化したので、現在この脅威は Trojan.Snifula として検出されます。
類似点
前述したように、Trojan.Snifula(通称 Neverquest)のコードには、Snifula グループの古いサンプルとの類似点が認められます。2 つの脅威の実行可能ファイルは、構造と機能こそ異なっているものの独特なコードの一部を共有しており、そこに両者の関連性が見て取れます。たとえば以下の画像を見ると、8 バイトのデータをネットワーク上に送信するコードがあり、そのうち最初の 4 バイトに「26A6E848」という特殊なマーカーが含まれていることがわかります。
図 1. Trojan.Snifula(Neverquest)でネットワークトラフィックを送信するコード
図 2. Backdoor.Snifula.D で使われている図 1 と同じコード
コードはほぼ同一で、マーカーも共通です。つまり、このコードは一般に入手できるソースから採用されたものではないことになります。もちろん類似点はこれだけではなく、ほかにも多くの共通点を見出すことができます。
図 3. Trojan.Snifula(Neverquest)で現在のプロセス ID を記録するコード
図 4. Backdoor.Snifula.D の同じコード
このコードは、悪質なプロセス ID を現在時刻とともにログに記録します。コードも文字列も 2 つの脅威で同一であり、CRC アルゴリズムと Aplib アルゴリズム、そしていくつかの共通の文字列が使われています。
コマンド & コントロールのインフラ
シマンテックは、Trojan.Snifula(Neverquest)で使われているコマンド & コントロール(C&C)ネットワークのインフラを調べて、両者の間に関連性の手掛かりがあることも解明しています。Trojan.Snifula は、C&C サーバーとして IP アドレス 195.191.56.245 を使っていました。その IP アドレスでホストされていることがわかっているドメインは 2 つしかなく、その 1 つが FyXqgFxUmihXClZo.org です。このドメインは Aster Ltd が所有していることがわかっており、Aster Ltd が所有しているドメインは、以下の 26 個であることも確認されています。
- accman.com.tw
- afg.com.tw
- amosw.com.tw
- aster.net
- asterdon.ru
- asterltd.com
- astervent.ru
- bestsid.com.tw
- countdown.com.tw
- durpal.com.tw
- facestat.com.tw
- fforward.com.tw
- fyxqgfxumihxclzo.org
- geobiz.net
- makumazna.com.tw
- maskima.com.tw
- maxward.com.tw
- miison.com.tw
- mssa.com.tw
- parti.com.tw
- pluss.com.tw
- sparkys3.com
- sparkys3.net
- tdaster.ru
- thehomeofficecatalogue.net
- thehomeofficecatalogue.org
Aster Ltd のドメインのうち Pluss.com.tw と Countdown.com.tw は、IP アドレス 195.210.47.173 でホストされています。シマンテックは 2013 年の 2 月と 3 月に、Backdoor.Snifula.D で使われたアクティブな C&C サーバーとこの IP アドレスとの関連性を特定しています。Sparkys3.net や Facestat.com.tw など、Aster Ltd が所有するその他のドメインは、IP アドレス 195.137.188.59 でホストされており、これも Trojan.Snifula の C&C サーバーが使う IP アドレスとして確認されているものです。
Snifula グループ
シマンテックは、過去数年間で Snifula グループのさまざまな新種を確認しています。今回の Trojan.Snifula は、さらに高度な技術を利用して成長しており、情報を盗み出しますが、その出現は Snifula グループの歴史上、予測された進化です。Snifula グループが何年も掛けて進化し成長してきたことから、このマルウェアが今すぐ脅威を取り巻く世界から姿を消すとは考えられません。
この脅威から保護するために、シマンテックは以下の侵入防止システム(IPS)シグネチャを提供しています。
- System Infected: Trojan.Snifula Activity
シマンテックは、この脅威に対して最善の保護対策を提供できるように、今後も Snifula グループの監視を続けます。このような攻撃から保護するために、ノートン インターネットセキュリティや Symantec Endpoint Protection を使用することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Bitcoin ?????????????
仮想通貨 Bitcoin は、過去数週間で価値が急騰していますが、同時にバブルを懸念する声も大きくなっています。投資家が押し寄せるようになった今、不安材料は価値の崩壊だけではありません。この数週間で、Bitcoin ウォレットとオンラインバンキングのサービスが攻撃を受け、数百万ドル相当の仮想通貨が盗まれるという事件が相次いでいます。
図 1. 最近発生した Bitcoin 盗難の被害額(11 月 29 日時点の米ドル換算額)
数百万ドル規模の盗難
現在まで続く攻撃の波が始まったのは 11 月 7 日のことで、オーストラリアの Bitcoin ウォレットサービスである Inputs.io が 2 度にわたって攻撃を受け、業務を閉鎖したと発表しました。被害総額は 4,100 Bitcoin(このブログの執筆時点で 434 万ドル相当)にも及んでいます。Inputs.io によると、攻撃者はサーバーホスト側の欠陥を突いて 2 要素認証をすり抜けました。この攻撃によって、Inputs.io のサイトはユーザーの預金を返還できない状態になっています。
人々はなぜ Inputs.io に Bitcoin を預けていたのでしょうか。Inputs.io には、「ウォレットを混在させて」ユーザー間で Bitcoin を交換するサービスがあります。実質的には匿名化サービスの一種であり、Bitcoin 取引の追跡を難しくするものです。しかし、Bitcoin ウォレットに対してこのレベルのアクセスが可能だったことこそ、Inputs.io が攻撃に対して脆弱だった原因かもしれません。
Inputs.io の経営者は、TradeFortress という別名で知られる若いオーストラリア人です。盗難事件後、オーストラリア ABC ニュースのインタビューに応じた同氏は、Bitcoin を盗んだのは自分ではないと主張していますが、不思議なのはこの事件を警察に届けるつもりがないと語っていることです。「Bitcoin が相手では、警察でも一般ユーザー以上の情報は入手できません。Bitcoin は自分自身で預金を管理するものだと主張する人もいるでしょう」と TradeFortress 氏は述べています。
その数日後には次の事件が、今度は中国で発生しました。Bitcoin 取引所の GBL が 11 月 11 日に突然サイトを閉鎖し、投資家の資金 1,270 万ドルもサイトとともに姿を消してしまったのです。詳しく調査したところ、GBL は詐欺だったことが判明しました。GBL は香港政府による認可を受けていると称していましたが、単に事業所として登録されているだけで、金融サービス業としての営業認可は受けていなかったことが判明しています。
この事件のすぐ後に続いたのが、チェコの Bitcoin 取引所 Bitcash.cz に対する攻撃の報道です。この事件ではおよそ 4,000 人が被害を受け、被害総額は 51 万 4,000 ドルに達しました。ところが、これだけ儲けても満足しなかったと見える攻撃者は、Bitcash.cz の電子メールアドレスを利用して同サイトのユーザーに電子メールを送信し、米国の回収会社を使って盗まれた資金を取り戻そうとしていると謳い、そのコストとして各ユーザーに 2 Bitcoin ずつを負担するよう求めました。
最も新しい事件では、デンマークの Bitcoin 決済処理業兼ウォレットプロバイダである BIPS 社が被害を受けましたが、これは組織的な攻撃に狙われてシステムが侵害された結果であったことが今週になって確認されました。同社によると、何件かのコンシューマ向けウォレットが侵入を受け、この攻撃でおよそ 1,295 Bitcoin(約 137 万ドル相当)が盗み出されたと推定されますが、盗まれた Bitcoin の大部分は顧客ではなく BIPS 社が所有するものでした。攻撃を受けた後、BIPS 社はコンシューマ向けウォレットサービスを終了し、商取引向け処理に専念すると発表しています。
資産を保護するために
Bitcoin は安全であると一般的に言われていますが、それはあくまでも偽造が不可能という意味です(いつまでも不可能とは限りませんが)。最近の盗難事件で明らかになったように、盗まれないという意味で安全なのではありません。
では、Bitcoin の盗難を防ぐためにどのような対策が取れるのでしょうか。これまでに確認された攻撃の種類から考えると、Bitcoin を保管する場所に相当の注意を払うことが最優先です。たとえば、GBL は香港政府の認可を受けていると称していましたが、事実ではありませんでした。同様に、Inputs.io のウォレット混在サービスもプライバシー重視の利用者には魅力的だったかもしれませんが、利用者の資金にアクセスできるレベルがセキュリティ上のリスクになった可能性もあります。
Inputs.io が攻撃を受けた後で、経営者の TradeFortress 氏はこう述べています。「インターネットに接続したコンピュータからアクセスできるような形で Bitcoin を保存することはお勧めしません」。BIPS 社に対する攻撃で、同社 CEO のクリス・ヘンリクセン(Kris Henriksen)氏も、即座にオンラインウォレットのセキュリティについて認識を改めたうえ、従業員にもオンラインウォレットをいっさい使わないよう忠告したほどです。
Bitcoin を保管できる場所はオンラインの仮想ウォレットだけであると多くの人々が思い込んでいますが、実際にはオフラインで保管することも可能です。これには、まず USB メモリなどのオフラインのデバイスに保存するウォレットを作成し、次にこのウォレットのアドレスに Bitcoin を送信します。推奨方法とは言え、オフラインウォレットを作成する手順は少々煩雑ですが、少なくとも理論上は、オンラインストレージよりも安全です。技術的には、Bitcoin 自体はオンラインのままであり、Bitcoin へのアクセス手段である秘密鍵がオフラインになるだけです。
オフラインストレージをさらにもう一歩進めれば、電子的なデバイスをまったく介在させず紙のウォレットを作成するという方法も可能です。ただし、紙ベースのウォレットは現金と同じリスクを伴うことになるので、どこか安全な場所に保管しなければなりません。
オンラインサービスプロバイダも、それぞれセキュリティの強化に乗り出しています。世界有数の Bitcoin 取引所である Mt.Gox は、ワンタイムパスワード(OTP)カードを導入することで追加のセキュリティ層を実装しており、このカードはただちに全ユーザーに送付される予定です。Mt.Gox によれば、このカードは単独で使うことも、他の 2 要素認証方式と組み合わせて使うこともできます。たとえば、身元確認のために差し込む USB キーの Yubikey などに対応しています。
Mt.Gox で環境設定にこのカードを入力すれば、ログイン時に追加のパスワードが必要になるようにアカウントを設定できます。カード上のボタンを押すと、ログインごとに一意のパスワードが生成されます。
Bitcoin の通貨価値の急騰
Bitcoin 盗難の急増は、Bitcoin の通貨価値がこの数週間で急騰したという事実に間違いなく関係しています。このブログの執筆時点で、1 Bitcoin はおよそ 1,060 ドルに相当します。その価値は今年に入ってから 45 倍にも達していますが、その高騰の大半は過去数週間に起きています。1 カ月前、Bitcoin は 190 ドル前後で取引されていました。
こうした急騰の結果、少額の Bitcoin しか所有していなかったとしても、今ではそれが高額になっています。これを何より端的に物語っているのが、廃棄したラップトップコンピュータの中に、7,500 Bitcoin 分のウォレットが入ったままだったことに気付いた IT 専門家のエピソードでしょう。これは 2009 年に自分でマイニングした Bitcoin であり、その当時には数ドル程度の価値しかありませんでした。
図 2. 過去 6 カ月間における Bitcoin – 米ドルの為替レート(データ出典: bitcoincharts.com)
その後 Bitcoin の価値は、時折下落しながらも大幅に上昇し続けています。10 月初めにアンダーグラウンドのドラッグ販売サイト Silk Road が FBI によって閉鎖に追い込まれたときには、Bitcoin の価値が急落するのではないかという憶測が流れました。Bitcoin はアンダーグラウンドで広く使われているからです。この閉鎖劇の直後には、確かに Bitcoin 売りも見られましたが、数日のうちには回復基調となり、Bitcoin はまた高騰し始めました。
この急騰の原因としては、規制当局が Bitcoin を真剣に考え始めたという事実も関係しているかもしれません。たとえば、米国上院の国土安全保障・政府問題委員会は先週、仮想通貨に関する公聴会を開き、司法省の代表が Bitcoin を「合法的な交換手段である」と述べました。これに対し、同委員会のトム・カーパー(Tom Carper)委員長は、議会と政府が仮想通貨について「賢明で良識的、かつ効果的な政策」を決定する必要があると述べています。
一方で、Bitcoin の急騰がバブルを生み出すのではないかという懸念も広がりつつあります。対ドル為替レートのグラフを見ると、すぐに思い当たる疑問点があります。Bitcoin を決済方法として認める企業の数は明らかに増えていますが、その増え方は通貨価値の高騰に追いついていないということです。どちらかといえば、現在の高騰をもたらしている大きい原因は思惑買いだと考えられ、歴史が証明しているとおり、そのような熱狂的な買いは不幸な結果に終わることが少なくありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
?? Twitter ??: Twitter ????????????
12 月 2 日、多くの Twitter ユーザーが騙されて、@VerifiedReport または @MagicReports という名前の偽の Twitter アカウントをフォローしてしまうという事例がありました。どちらも、ユーザーと報道機関やジャーナリストとの間で Twitter 社が行っている実験の一部であると称し、多数の Twitter ユーザーをフォローしながら次のようにツイートしています。「This is a Twitter experiment. We are changing the way users interact with journalists and news organizations.(これは Twitter 実験です。ユーザーとジャーナリストや報道機関との対話方法を変えようと試みています。)」
図 1. @VerifiedReport に関する MagicRecs からの通知
多くの場合、この 2 つのアカウントがユーザーの目にとまったきっかけは、@MagicRecs という正規の Twitter アカウントからの通知でした。
図 2. Twitter の実験的アカウント MagicRecs
MagicRecs は、Twitter 社が作成した実験的アカウントであり、「ユーザーのネットワークで何か興味をそそることがあったとき、個別対応したお勧め情報をダイレクトメッセージ(DM)として送信」します。このサービスは、Twitter のモバイルアプリの機能として最近統合され、Twitter 社によると「フォローしているお友達が立て続けに、ある人をフォローしたり、特定のツイートをお気に入りに登録したりリツイートした場合に、その動きを知らせるプッシュ通知を受け取ることが可能になりました」
@MagicRecs を利用したことがあるユーザーはそれを信頼しているので、詐欺師が正規サービスの信用を利用して偽の実験をでっちあげようとするのは当然のことと言えます。
なかには、この 2 つのアカウントが正規のものかどうか疑ったユーザーもいましたが、それ以外のユーザーは、特に @MagicRecs にお勧めされた後では、Twitter 社の従業員まで含めてこのアカウントをフォローしてしまいました。
.@verifiedreport は、セレブの電話番号を教えてくれるためのものなの? pic.twitter.com/gyZW16gbtX
— Taylor Lorenz (@TaylorLorenz) 2013 年 12 月 2 日
Twitter 社はその後、この 2 つのアカウントを停止しましたが、他にもまだ疑わしいアカウントが残っていて活動を続けています。@MagicFavs、@MagicSmacks、@MagicSext などがそれで、いずれも @MagicRecs によってお勧めされ、1,000 人近いフォロワーがいます。
シマンテックは、どちらのアカウントも DM を通じてリンクを送信しようとは試みていないことを確認しています。これらのアカウントが作成された意図は依然として不明ですが、少なくとも、新たな手口を試し続ける詐欺師が存在するということを思い出させる役には立っています。その新たな手口で、詐欺師は無警戒な Twitter ユーザーを欺いてリンクをクリックさせ、ログイン情報を盗み出したり、アフィリエイトプログラムの手法を利用して金銭を詐取したりすることを狙っているのです。
@MagicRecs のような正規のサービスを利用する場合でも、フォローするアカウントについては注意してください。特に Twitter 社が所有するアカウントであると称している場合には、Twitter で認証済みのアカウントかどうかを確認する必要があります。疑わしい様子がある場合、不正なアカウントである確率はやはり高いということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Predicciones de Seguridad para 2014
Rumores.
El secreto de predecir el futuro está en escuchar los rumores.
En algunas ocasiones, para el momento en que un rumor llega a nuestros oídos, se trata de algo que es prácticamente una realidad. Así que, conside…