Category Archives: Security Response News

????????????????????????????

      No Comments on ????????????????????????????

シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)は、過去 1 年間のオンラインセキュリティを取り巻く環境について概要と詳細な解析が記載されている年次レポートです。ISTR は、シマンテックのアナリストがサイバー攻撃や悪質なコードの活動、フィッシング、スパムなどに関する最新の傾向と、脅威を取り巻く現状の幅広い傾向について特定、解析し、解説する際に利用する、Symantec Global Intelligence Network のデータに基づいています。

その最新号である ISTR 第 18 号には、現時点で最も包括的で詳細な情報が掲載されています。なかでも、標的型攻撃、データ侵害、マルウェア、スパム、脆弱性、モバイルマルウェアについて最新のデータと解析結果が盛り込まれています。

シマンテックの誰もが ISTR に誇りを持っていますが、今はその成果に安住しているときではありません。シマンテックは常に製品とサービスの品質改善に努めており、ISTR もその点は同様です。その目的のために読者の皆様のご協力を仰ぎたいと考え、このたび第 1 回 ISTR 読者アンケート(英語)を実施することにいたしました。ISTR 読者の皆様との接点を通じて、お客様のニーズやご要望にお応えできるようにさらに調整を深めていきたいと考えています。

たとえば、データ侵害に関するデータをもっと多く必要としている方や、標的型攻撃にさらに注目している方もいらっしゃるでしょう。今回は皆様のそうした好みや、興味深く読んだ内容、読み飛ばした内容などについてお伝えいただける絶好のチャンスです。シマンテックは皆様に最も関わり合いのある脅威について最善の情報を提供するよう努力していますが、それが読者一人一人にとって、また所属する企業にとってどのような意味を持つのかを知り、レポートの使われ方について深く理解したいと考えています。

また、ISTR のような形態のレポートを年 1 回よりも頻繁にお読みになりたいかどうかも知りたいと思っています。シマンテックと読者の皆様の相互利益のために、ISTR について何でもご意見やご感想をお寄せください。

ご意見については、まず ISTR 読者アンケート(英語)にお答えください。アンケートは簡単ですぐに終わります。皆さまのご協力は、今後のご報告を改善していくためにも貴重なものです。また、ISTR をご覧の友人や同僚がいらっしゃいましたら、アンケートについても情報を共有していただければ幸いです。

いつもご愛読、ご協力いただき、感謝いたします。皆さまのご回答を拝見することを楽しみにしています。ISTR をさらに読みやすく充実した内容にできるよう、そして今後とも皆さまのお役に立てるよう対応していきたいと思います。

アンケートに回答(英語)

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????

      No Comments on ????????????????????

image1_8.png
 

最近の自動車には、高度な電子機器が多数搭載されており、あらゆるセンサー、処理装置、電子制御ユニットを接続するケーブルの全長は 1 km を超えるほどです。車両自体が大型のコンピュータのようになっており、これまでの歴史が示しているとおり、コンピュータがあれば必ず攻撃の対象として狙われます。車載ネットワークを通じて自動車を攻撃することの現実性については、過去数年間にいくつかの研究が行われています。大半の研究は、完全に物理的なアクセスによって自動車を攻撃する方法に終始していますが、なかには外部の攻撃経路を調査した研究もあります。

自動車に対して物理的なアクセスが可能な場合、攻撃者は CAN(コントローラエリアネットワーク)システムや OBD(車載診断)システムなどにもアクセスできますが、ブレーキに細工する、車両自体を盗むなど、ほかにも悪質な行為を行うことも可能です。一方、自動車に対するデジタルな改変操作を事後に証明することは、物理的な行為より困難な場合があります。このような攻撃は、リモートコード実行の余地がある他の攻撃と組み合わせることも可能であり、ペイロードの実証と捉える必要があります。

物理的にアクセスせずに車載システムに侵入する経路は、タイヤ圧監視システム、TMC(交通メッセージチャネル)のメッセージ、GSM 接続や Bluetooth 接続など、いくつかあります。車両の一部の機能を制御できるスマートフォン向けアプリを開発し始めたメーカーもあり、それも新しい攻撃経路として利用される可能性が出てきました。また、特別に細工した音楽ファイルを USB ドライブに潜ませ、車載システムの一部を乗っ取ることができたというケースも確認されています。

DARPA のプロジェクトに研究員として携わっているチャーリー・ミラー(Charlie Miller)氏とクリス・バラセク(Chris Valasek)氏は、車両に乗り込んだ場合にどの程度まで CAN をハッキングできるかを研究しています。DEFCON カンファレンス向けプレゼンテーションのプレリリース版ビデオによると、自動車の機能はほぼすべて制御またはトリガーすることができ、たとえばライトをすべて消灯する、エンジンを停止する、ブレーキを無効にする、一分ハンドル操作を行う、クラクションを鳴らす、システムディスプレイを操作することが可能です。これが深刻な事故につながりうることは容易に想像できます。悪質なファームウェア更新やシステム変更を利用すれば、このような改変を恒久的に、かつ見つからないようにすることも不可能ではありません。もちろん、ラップトップとモデムをグローブボックスに入れても同様の攻撃は可能ですが、この方法に比べれば発覚しやすいでしょう。攻撃者がこの研究と同じ手口を使ったしても、後部座席に攻撃者のラップトップがあるのに気づけば、きっと怪しむはずです。

自動車メーカーもこうした課題に気づいており、車載ネットワークのセキュリティについて何年間も改善を続けています。リモート攻撃の経路については特に、解析と保護対策が必要です。シマンテックでも、今後の改善に向けてこの分野の研究に注目しています。ミラーとバラセクの両氏の研究では、自動車が攻撃者にとって格好の標的になることが実証されていますが、運転中にハッカーに乗っ取られるよりもはるかに大きなリスクがすでに存在しています。個人的には、運転中にスマートフォンを操作している人がいることに脅威を感じます。少なくとも当面の間、自動車事故という点では、このほうがはるかに大きなリスクでしょう。運転は、どうぞ安全第一で。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Black Hat: ??????????????????????????

      No Comments on Black Hat: ??????????????????????????

3273421_automated_analysis.png

セキュリティ業界の各企業は以前から、現在のシステムよりも確実にマルウェアを検出し特徴付ける方法を探り続けています。そのようなシステムがあれば、マルウェアとそれが引き起こす損害に対処しなければならないすべての人々にとって、大きなメリットとなるでしょう。現在でも、ごく基本的なものから高度なものまで、マルウェアの検出には多種多彩なテクニックが使われていますが、マルウェアを完全には特徴付けていないという点で、その大半は不十分です。

その多くは手動で分解と解析を行うか、または実環境または仮想マシン(VM)環境でサンプルを実行したうえで、システムに生じる変化を記録しマルウェアの副作用として報告するかのいずれかの手段に拠っており、そのどちらにも長所と短所があります。手動による解析は時間と手間の掛かる作業であり、人的エラーも発生しがちです。副作用の自動照合は高速で、人的介在もほとんど不要、あるいはまったく不要ですが、残念なことに有用な情報が欠けていたり不完全だったりすることも少なくありません。要するに、マルウェアの自動解析は解決の難しい問題だということです。自動解析で期待どおりの結果が得られない理由は、以下の要因にまとめられます。

  1. 条件付きコード: 多くのマルウェアには、特定の条件が満たされたとき、たとえばユーザーがボタンをクリックしたときや所定の Web サイトにアクセスしたときにのみ起動するコードが組み込まれています。コマンド & コントロールサーバーからのコマンドを待っている場合もあります。そうした条件が満たされなければ、マルウェアは何も活動しないこともあります。
  2. 仮想マシンの検出: セキュリティベンダーがマルウェアのランタイム解析に仮想マシンを使用していることは、マルウェアの作成者にも知られています。ランタイム解析を避けるために、マルウェア作成者は仮想マシンの存在を確認する機能を実装して、仮想マシンを検出するとマルウェアの動作を停止してその機能を隠そうとします。それと異なる動きをするマルウェアのひとつが、W32.Crisis ワームです。このマルウェアは、仮想マシン環境でも十分に機能するほか、VM ファイルがあるかどうかを積極的に検索し、それにも感染しようとします。
  3. 時間: 一部のマルウェアは、一定時間が経過してから悪質な動作を開始します。自動解析システムでは毎日何万というサンプルを実行するので、時間が障壁になります。各サンプルを自動解析してデータを収集する時間はごく短く、すぐに次のサンプルの解析が始まります。つまり、すぐに悪質な機能が実行されない場合は、自動解析システムで見逃されてしまいます。たとえば、あるトロイの木馬がすべてのドライブ上のすべての .doc ファイルを削除する機能を持っていても、C ドライブ上の一部のファイルを削除する時間しかなかったとしたら、自動解析システムではそれしか報告されません。
  4. コンテキスト: 自動解析システムによる報告で欠けていることが多いのは、コンテキストです。たとえば、あるサンプルがドライブ上のファイルを改変し始めた場合、多くの自動解析システムは、ファイルの改変を報告するだけで、どのような改変があったかまでは指摘しません。改変はウイルスコードの感染であったり、ファイル内容の消去や暗号化であったりするかもしれません。あるいは、何らかのテキストコンテンツがファイルに挿入された可能性もあります。しかし、ほとんどの自動解析システムでは改変内容まで報告されません。コンテキスト情報が欠けているもうひとつの例が、ネットワーク接続に関する報告です。特定の URL にアクセスするマルウェアが報告されるとき、その URL の目的までは指摘されません。別のマルウェアをダウンロードするのか、命令を受信するのか、それとも盗み出した情報をアップロードするのか、単に感染を通知するのかまでは示されないのです。そのような情報を知ることは重要ですが、自動解析システムに実装するのはきわめて困難です。
  5. モジュール化: 最近のマルウェアのほとんどは、独立した単一のコードとして存在するのではなく、それぞれが異なる機能を備えた複数のファイル群でモジュール化されています。このようなモジュールはたいてい、インストーラを使ってパッケージ化されてはいません。そのため、最初はインストーラが拡散して、次にインストーラが実行されると、他のコンポーネントのダウンロードを試みます。ときには、追加コンポーネントのダウンロードがリモートの攻撃者によって直接制御されている場合もあり、この攻撃者は侵入先のコンピュータの状況を伺ってから、次にダウンロードするものを判断します。インストーラ自体はたくさんの機能を持っているわけではないので、自動解析ではほとんど何も報告されません。同様に、個々のモジュール自体もコードライブラリに過ぎず他のコードで呼び出される必要があるため、実行されてすぐにその機能が判明することはありません。

これらの要因がすべて絡み合って、マルウェア自動解析機能が制限されます。

そのような状況を受けて、セキュリティ研究者であるジョシュア・サックス(Joshua Saxe)氏が Black Hat で発表するのが、オープンソースとクラウドトレーニングを利用してマルウェアファイルの機能を識別できるマシンラーニングツールです。このツールは、特定のネットワークプロトコルを利用する機能やデータを盗み出す機能など、マルウェアの機能のリストを生成できるとされています。検出された機能について、適切な場合に確率スコアを示すという機能は注目に値します。断定できないマルウェアや見かけで特定できないマルウェアでも、スコアがあれば機能の有無を予測できるからです。このツールを作成するプロジェクトは、DARPA の Cyber Fast Track プログラムから資金提供を受けており、使われているアルゴリズムについても今回のプレゼンテーションで詳しく紹介される予定です。興味深いプレゼンテーションになることは間違いないでしょう(訳注: Black Hat カンファレンスでの発表はすでに終了しています)。

ちなみに、シマンテックセキュリティレスポンスでも、マルウェアサンプルを収集してその情報と機能を照合する多くの自動システムが運用されています。これらのシステムは、マルウェアサンプルの統計とランタイム解析を実行し、その副作用を記録できます。この情報をシマンテックの他のデータや遠隔測定ソースと組み合わせて、独自のマルウェアレポートサービスを通じてお客様に提供しているので、お客様がマルウェア攻撃を予防し、マルウェアの被害から回復する際に有益な情報となっています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????

      No Comments on ?????????????

HackSmartHome.png

スマートホームに対するハッキングが実に簡単であることを、フォーブス誌のカシミール・ヒル(Kashmir Hill)記者が報じています。記事によると、「Google でごく単純な言葉を検索するだけ」で、ある有名企業のオートメーションシステムを備えた住宅のリストが表示されたといいます。「(オートメーション)システムは、検索エンジンでクロールされていた」とヒル記者は書いています。現在は停止していますが、それまでのシステムはユーザー名やパスワードを設定しなかったため、検索エンジンの結果をクリックすれば、システムを完全に制御できてしまいました。記者はオンラインで発見した住宅のうち 2 軒に連絡し、許可を得たうえで照明の点灯と消灯が可能であることを実演しています。また、住宅にある各種の機器も制御できたということです。これは、ホームオートメーションシステムに潜むセキュリティ上の問題の一例にすぎません。

ホームオートメーションとは、照明、暖房、ドアや窓の施錠、監視カメラなどを自動化するシステムです。比較的新しいシステムですが、市場は急成長しており、米国だけでも 150 億ドルに達します。ただ、どのような新技術でも同じですが、潜在的なセキュリティリスクは避けがたいものです。

ホームオートメーションシステムのセキュリティ脆弱性については、Black Hat 2013 セキュリティカンファレンスでセキュリティ研究者が個別に 2 つのプレゼンテーションを行う予定です。1 つは、プロプライエタリな無線プロトコルの Z-Wave における脆弱性についてのプレゼンテーションです。Z-Wave は、ホームオートメーションの制御パネル、セキュリティセンサー、防犯システムなどの組み込みデバイスで幅広く利用されています。これには欠陥があり、暗号化された Z-Wave デバイスの通信を傍受すると、他の Z-Wave デバイスを無効にすることができてしまいます。「Home Invasion 2.0」と題された、もうひとつのプレゼンテーションは、いくつかの人気ホームオートメーションシステムで判明した脆弱性に関するものです。「約 10 種類の製品を調査しましたが、侵入を果たせなかったのは 1 つか 2 つで、大部分は何のセキュリティ対策も講じられていませんでした」と SpiderLabs のダニエル・クローリー(Daniel Crowley)氏は述べています。多くの機器では、アプリをモバイルデバイスにダウンロードし、それを使ってリモートでオートメーションシステムを制御できるようになっています。システムの多くは、モバイルデバイスとホームシステムの間で通信するときに何の認証も使われていないため、悪質な攻撃者による制御を許してしまうことがわかったと研究者は指摘しています。

米国の住宅におけるホームオートメーションシステムの普及率はまだ 3% 程度ですが、この数字は増加する傾向にあり、一部のアナリストによれば今後数年間に倍増するという予測もあります。

新旧を問わず技術の導入を急ぐときには、その技術に伴うセキュリティがともすると軽視されがちです。今回のケースのように脆弱性が露見することで、堅固なセキュリティの重要性が再認識されることを期待します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

BlackHat: Researcher to Present Details of New Automated Malware Capability Detection System

      No Comments on BlackHat: Researcher to Present Details of New Automated Malware Capability Detection System

Companies in our field of business have long wished for a better way of discovering and describing malware capabilities than the current system. Such a system would be of great benefit to everyone who has to deal with malware and the damage they can c…

????????????? Google Play ???

      No Comments on ????????????? Google Play ???

more-android-malicious-apps.png
 

詐欺師が Google Play に悪質なアプリを公開し続けており、Android アプリマーケットがその削除に終われていることは先日お伝えしたばかりです。

アプリに潜む悪質な意図を短時間で見極めることは難しい場合が多く、本当に安全であることを確かめるためには通常は詳しい解析が必要です。Google Play の公開プロセスで、悪質なアプリのすり抜けを防ぐことが難しいのは、まさにこのためです。

シマンテックセキュリティレスポンスは、新たに 14 個の悪質なアプリを発見しました。すべて同じ開発者によって公開されたもので、開発者が任意の Web サイトへの接続を確立できるようになっています。悪質なコンポーネントは、Android のサービスとしてバックグラウンドで実行されます。接続先として多数のコマンド & コントロールサーバーが用意されており、開発者から送信される HTTP 要求の作成指示を待機しています。リモート制御コンポーネントは、多様なオプションを受け付け、ペイパークリックサービスの悪用を通じて利益を生み出すことも可能です。

Google Play で公開されている以下のアプリに、この悪質なコンポーネントが組み込まれています。

  • com.cyworld.ncamera
  • com.kth.thbdvyPuddingCamera
  • com.tni.pgdnaaeTasKillerFull
  • com.greencod.wqbadtraffic
  • com.teamlava.nbsbubble
  • com.bestappshouse.vpiperoll2ages
  • com.ledong.hamusicbox
  • com.ktls.wlxscandandclear
  • maxstrom.game.hvihnletfindbeautyhd
  • org.woodroid.muhflbalarmlady
  • com.lxsj.rbaqiirdiylock
  • com.neaststudios.wnkvprocapture
  • com.gamempire.cqtetris

感染しているのはいずれも、カメラアプリなどのアクセサリやゲームといった、人気のあるカテゴリのアプリです。

シマンテックは、これらのアプリを Android.Malapp として検出し、Google 社にも報告済みです。これらのアプリはすでに Google 社によって削除されています。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Yet Another Bunch of Malicious Apps Found on Google Play

      No Comments on Yet Another Bunch of Malicious Apps Found on Google Play

 
In a recent blog entry we covered how scammers continue to publish malicious apps on Google Play and how the Android app market is struggling to keep itself clean.
In many cases it is difficult to quickly identify any malicious intent of appli…

The New Japanese “Not Just One-Click” Fraud on Google Play

      No Comments on The New Japanese “Not Just One-Click” Fraud on Google Play

Since the beginning of the year, Japanese one-click fraud scammers have continued to pump new apps onto Google Play and the market has struggled to keep itself clean. Though many are removed on the day they are published, some remain for a few days. Al…

When Car Hacking Turns Your Vehicle into a Video Game

      No Comments on When Car Hacking Turns Your Vehicle into a Video Game

image1_8.png
 

Modern cars contain a lot of nifty electronic gadgets, as well as more than one kilometer of cable wired to all kinds of sensors, processing units, and electronic control units. The cars themselves have become large computers, and as history shows, wherever there is a computer, there is someone trying to attack it. Over the past few years various studies have been conducted on how feasible it would be to attack a car through its onboard network. Most researchers focused on attacks with full physical access to the car, but some also explored external attack vectors.

If attackers have physical access to a car they can, for example, access the Controller Area Network (CAN) or the On-Board Diagnostic (OBD) system, but they can also perform other dangerous actions, such as physically tampering with the brakes or stealing the car. Digitally tampering with a car, on the other hand, might be much more difficult to prove after an accident. Such attacks could potentially be combined with other attacks that allow for a remote code execution and should be taken as a demonstration of payloads.

There are a few ways to get into a car’s system without having physical access to it, for example through tire pressure monitoring systems, traffic message channel (TMC) messages, or GSM and Bluetooth connections. Some manufacturers have started developing smartphone apps that can control some of the car’s functionalities, which opens another possible attack vector. There have also been some cases where specially crafted music files on USB drives were able to hijack some of the car’s systems.

Charlie Miller and Chris Valasek, two researchers working on a project for DARPA, explored how far they could go by hacking the Controller Area Network once inside the car. The pre-released video of their presentation for the upcoming DEFCON conference shows that nearly all of the car’s functions can be controlled or triggered including, switching off all lights, shutting down the engine, disabling the brakes, some limited steering, sounding the horn, and manipulating the system display. It doesn’t take much imagination to understand that this has the potential to cause serious accidents. Some of these changes could be made permanent and invisible with malicious firmware updates or system changes. Of course, a laptop with a modem in the glove box would work as well, but would not be as stealthy. If an attacker used the same method as the researchers, hopefully you would notice the attacker’s laptop on your backseat and wonder what was going on.

Car manufacturers are aware of these challenges and have been working on improving the security of car networks for years. Remote attack vectors, especially, need to be analyzed and protected against. At Symantec we are also monitoring this research field to help improve it in the future. Miller and Valasek’s research shows that cars can be an interesting target for attackers, but there are currently far bigger automobile-related risks than hackers taking over your car while driving. Personally, I’m more scared of people texting messages while driving and I assume they pose a far bigger risk than hackers when it comes to accidents, for now at least. Safe driving.