Category Archives: Security Response News

Internet Security Threat Report Readership Survey

Symantec’s Internet Security Threat Report (ISTR) is an annual report which provides an overview and in-depth analysis of the online security landscape over the previous year. The report is based on data from Symantec’s Global Intelligence …

Big Poker Player Loses High-Stakes Android Scam Game

Earlier this week, the Chiba Prefectural Police in Japan arrested nine individuals for distributing spam that included emails with links to download Android.Enesoluty – a malware used to collect contact details stored on the owner’s device. The …

???????????????????????

      No Comments on ???????????????????????

シマンテックは過去数カ月の間に、正規の Google 翻訳サービスを使ってスパム対策フィルタをすり抜けようとする、医薬品関係のスパム攻撃を確認しています。

受信されたサンプルのほとんどは、人気の高い無料メールサービスで乗っ取られた電子メールアドレスから送信されたものでした。
メッセージの件名の大半は、オンライン医薬品販売や、バイアグラ、シアリスといった有名な錠剤を宣伝しています。また、スパムフィルタへの対策として、英語以外のランダムな文字や単語が件名の先頭または末尾に挿入されている例も確認されています。

Figure1_4.png

図 1. 件名のサンプル

メッセージの本文には、Google 翻訳へのリンクと、Web サイトで医薬品を注文することのメリットを説明した広告文が記載され、ディスカウント用のコードが書かれている場合もあります。

Figure2_2.png

図 2. スパムメッセージのサンプル

リダイレクトの仕組みは、かなり複雑です。リンクをクリックすると、リンクに埋め込まれた 2 番目のアドレスが Google 翻訳で取得され、そこから医薬品 Web サイトにリダイレクトされます。

確認されたサンプルの場合、最終的なリンク先は以下の医薬品サイトでした。

  • [http://]www.magic-pharm.com

以前のスパマーは、リンクの 2 番目の部分(リダイレクトリンク)に無料 Web や URL 短縮サービスを使うのが一般的でしたが、最近では IDN ドメイン名を使ったトップレベルドメイン、特にキリル文字の .рф ドメインが利用されています。リダイレクトリンクの中では、キリル文字のドメインは Punycode で表されています。

スパムメールで表示されるリンクは、たとえば以下のような形式になっています。

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Windows-1251 でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

Punycode でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

シマンテックは、Google 翻訳を利用したリダイレクトスパムの大多数の亜種を安全に遮断しており、Google 翻訳サービスがスパムメールで悪用されている他のケースについても厳重な監視を続けています。この悪用は今のところ、スパム活動に使われているだけで、マルウェアの拡散に使われている例はまだ確認されていません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

90cm ?????? RFID ?????????

      No Comments on 90cm ?????? RFID ?????????

セキュリティコンサルタントのフラン・ブラウン(Fran Brown)氏は、最大約 90cm 離れていても RFID バッジからデータを読み取れるハッキングツールを開発しました。RFID アクセス制御システムを使っている米国の企業のうち 80% 近くが、同氏にハッキングされた脆弱な技術を今でも採用していることを考えると、これは気になるニュースです。

RFID とは?

電波による個体識別(Radio Frequency Identification)、略して RFID は、動物や人間の追跡から、高速道路の料金所、非接触型決済システムまで、日常的にさまざまな用途に使われています。RFID についてよく知らない人もいるでしょうが、そのような人でも知らないうちにいろいろな場面で RFID を利用している可能性は大いにあります。飼い犬にマイクロチップが埋め込まれている場合でも、勤務先の出入りに ID カードを使う場合でも、知らず知らずのうちに RFID 技術を使っているからです。

RFID は、電波を利用してデータを転送し、物体、またはその物体に関連付けられた人や動物を自動的に識別します。RFID システムは 1 つ以上のタグと 1 つの読み取り機で構成されます。タグにも読み取り機にもさまざまなバリエーションがありますが、最も一般的なタイプのタグは、このブログでもブラウン氏の研究でも取り上げている 125KHz のタグです。読み取り機は双方向の無線送受信機で、タグに向けて信号を送信してその応答を読み取ります。タグには、無線周波送信機が組み込まれており、読み取り機からの信号を受信して、格納されている情報、たとえば部外者立ち入り禁止の建物に入るときに必要な重複のないコードなどを返信します。タグはごく小さいものなので、ID カード、パスポート、DVD や CD のケースなどに取り付けることも、皮膚の下に埋め込むことさえも可能です。
 

RFID 1.png
 

長距離ハッキングツール

125KHz タグはごく一般的なもので、信号を送受信するには読み取り機からおよそ 10cm 以内の距離に置く必要があります。そのようなカードを読み取って複製するためには、カードを手に入れるか、ごく近くまで接近しなければならないので、悪用は困難です。ところがブラウン氏は、RFID 読み取り機を改良して比較的長い距離、最大約 90cm の距離からでも RFID タグを読み取れるようにしました。つまり、何者かがこの読み取り機をポケットに忍ばせ、たとえば会社の駐車場を歩き回れば、そばを通り過ぎるだけで従業員の ID バッジからデータを収集できるということです。あとは、そのバッジを複製すれば、攻撃者は元のバッジの持ち主とまったく同じアクセス権を手にすることができます。

ブラウン氏は、RFID 読み取り機をカスタマイズするために商用のほとんどの読み取り機に装着できるプリント基板を作製しました。盗み出されたタグ情報は、マイクロ SD カードに保存されます。ブラウン氏がプログラミングしたコードや、ハッキングツールとカスタマイズの詳しい情報は、ラスベガスで開催される今年の Black Hat セキュリティカンファレンスでこの研究を発表した後に公開される予定です。

このアイデア自体は以前からあったものですが、ブラウン氏は今回の手法が「実際の攻撃と理論上の攻撃の違いである」と述べています。過去の研究は理論と概念だけで組み立てられており、実際に動作するツールを伴わなかったからです。またブラウン氏は、このツールをテストしたときの成功率が 100% だったとも語っています。

最近では、125KHz タグは旧式と見なされており、格納されている情報を保護するセキュリティは講じられていません。送信されるデータは暗号化されていないので、攻撃者は受信さえできれば簡単に新しいタグを複製できることになります。タグに格納されたデータを暗号化し、タグと読み取り機との間の通信も保護する、あるいはチャレンジレスポンス認証を使うなど、新しいオプションも考案されていますが、新しい技術への移行はなかなか進んでいないのが現状です。コストも一因ですが、125KHz タグに付随するセキュリティ上のリスクを企業が認識していないという要因もあるでしょう。

ブラウン氏は、この長距離 RFID 読み取り機について、「Fortune 500 社のセキュリティ専門家を対象にした」ものだが「あらゆるペネトレーションテストツールと同様、(中略)悪用される可能性もある」と述べています。

今回の結果を踏まえると、RFID アクセス制御ソリューションを利用している場合は、既存のシステムを改めて見直して、アップグレードや、生体認証といった別のアクセス制御方式の導入を検討した方がよいでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

.pw Hit and Run Spam with Royal Baby Trend

Last month Symantec posted few blogs (here and here) on an increase in spam messages with .pw URLs.

Since then the volume of URLs with .pw domains has considerably decreased. At the beginning of May the peak volume .pw domains accounted for about 50 percent of all spam URLs. Currently, .pw domains account for less than 2 percent for the last seven days.

Figure1_6.png

Figure 1. .pw TLD appearance in spam messages

The decrease in .pw domains is the result of a close collaboration between Symantec and Directi in reporting and taking down the .pw domains associated with spam.

The latest evidence from the Global Intelligence Network shows that even with such a small presence of former country top-level domains for Palau, .pw spammers don’t give up and start using different tactics. They keep an eye on the latest news from around the world and convert hot news headers into domain names.

One such example is the domain name babykingishere.pw, which was registered on July 24 by a registrant from Panama. The name chosen by spammers was based on the big news from the UK, the birth of future king. While the world is celebrating, spammers have definitely tried to take advantage of the event.

So far, the spam domain was only observed within promotional hit-and-run spam. One of the main characteristics of this type of spam is the use of “throw away” domains, which the babykingishere.pw domain is.

Sample “From” lines taken from observed Hit and Run spam with the babykingishere.pw domain:

  • From: “Cable Internet” <CableInternet@babykingishere.pw>
  • From: “Medical Billing and Coding Education” <MedicalBillingandCodingEducation@babykingishere.pw>

Figure2_3.png

Figure 2. Sample spam message with links containing the babykingishere.pw domain

Currently, both samples are blocked by Symantec with IP reputation and content filtering. Symantec will continue to monitor .pw domains and any appearance of “Royal Baby” spam.

??????????????????????????

      No Comments on ??????????????????????????
しばらくその存在を忘れられていた Xpiro グループのファイルインフェクタが、華々しく、しかも今回はいくつかの悪質な機能を搭載して戻ってきました。今回の亜種は 32 ビットファイルに感染するだけでなく、感染の対象を 64 ビットファイルにまで広げています。この感染はクロスプラットフォームに影響(32 ビット版の Xpiro の亜種が 64 ビット版の実行可能ファイルにも感染でき、その逆も可能)し、持続的です。しかもこのウイルスは、ブラウザセッションを監視する拡張機能を Firefox と Chrome に追加することによって、情報窃盗の機能も拡張されています。
 
クロスプラットフォームの感染と持続性
クロスプラットフォームの感染はこれまでにも例がありましたが、広く拡散しているインフェクタでこの機能を実装したのは、Xpiro が初めてです。今回の新しい亜種は、以下のアーキテクチャで実行可能ファイルに感染できます。
  • Intel 386(32 ビット)
  • Intel 64(64 ビット)*
  • AMD64(64 ビット)
Xpiro の作成者は、今まで以上に多くのコンピュータへの感染を狙っており、持続性も備えたこのクロスプラットフォームの感染機能を実装しようとあらゆる手段を講じています。
 
これまでのファイルインフェクタは、他の実行可能ファイルに感染することで拡散し、持続性は考慮していませんでした。今回の亜種は、巧みな手法でこの両方を達成しています。まず、win32 のサービスをすべて列挙し、そのサービスファイルへの感染を試みます。次に、ユーザーのデスクトップフォルダとスタートメニューフォルダにあるすべてのリンクファイル(.lnk)をたどって、標的のファイルに感染します。リンクファイルが選ばれるのは、コンピュータの最初の起動時にシステムまたはユーザーによって実行される可能性が最も高く、したがって後続の再起動時にも持続するからです。最後に、固定ドライブ、リムーバブルドライブ、ネットワークドライブを含めた C から Z のドライブにある実行可能ファイルに感染します。
 
* Intel 64 ビットのファイルは今回の亜種に感染しますが、コードにバグがある関係でファイルが破損します。シマンテック製品はこのようなファイルを検出して正常な状態に修復します。
 
情報窃盗機能の拡張
Xpiro の最終的な目的は、侵入先のホストから情報を盗み出すことです。この目的こそ変わっていませんが、手口はさらに目立たなくなっています。コンピュータ上で実行された Xpiro インフェクタは、実行可能ファイルに感染するだけでなく、Firefox や Chrome の拡張機能を追加します。Firefox の拡張機能は表示されませんが、Chrome の拡張機能は「Google Chrome 1.0」という名前なので、正常な拡張機能として通用し、その存在が隠蔽されてしまいます。Firefox の拡張機能は、たとえば以下のような処理を実行できます。
  • 拡張機能の存在を隠蔽する
  • ブラウザのセキュリティを引き下げる
  • ユーザーのインターネット活動を監視する
  • ログを盗み出す
  • ブラウザを所定の URL にリダイレクトする
インストール後に Firefox の新しいインスタンスを開くと、新しいアドオンがインストールされたことは示されますが、拡張機能としてリストには表示されません。
 
xpiroblog_fig1.png
図 1. 感染前の拡張機能リスト
 
xpiroblog_fig2.png
図 2. 感染後の拡張機能リスト
 
Xpiro 拡張機能が自身をリストから隠蔽しているため、感染前と感染後に表示される拡張機能の数は変わりません。また、ブラウザ設定を変更してブラウザのセキュリティも引き下げます。
 
xpiroblog_fig3.png
 
図 3. 引き下げられたブラウザのセキュリティ
 
ユーザーがブラウザまたはその拡張機能を更新しようとしても、更新は実行されません。これは、Xpiro が URL を 127.0.0.1(ローカル IP アドレス)に書き換えるためであり、設定が変更されてマルウェアとしての存在が露呈してしまうことを避けるための手口です。
 
xpiroblog_fig4.png
図 4. Xpiro によって更新が無効化される
 
この隠ぺいされている拡張機能は、本来であればブラウザで表示される多くのセキュリティ警告を無効にします。また、有効なときにはフィッシング対策機能を提供するセーフブラウジング機能も一部も無効にします。
 
Xpiro はブラウザにおける HTTP 活動をすべて監視し、リモートサーバーにアップロードします。次に、以下のリストを所定のサーバーからダウンロードします。
  • 標的の URL
  • リダイレクト先 URL
このリストにある標的の URL のいずれかにユーザーがアクセスすると、拡張機能によって、リダイレクト先のリストにある URL にリダイレクトされます。リダイレクト先の URL は広告ページや、別のマルウェアをダウンロードするページです。
 
Xpiro の攻撃は、機能のアップグレードによって持続性と秘匿性が向上し、何より重要なことに、クロスプラットフォームで実行可能ファイルに感染します。他の種類のインフェクタも、Xpiro を模倣して機能強化と複数プラットフォームに対する拡散を狙って、高度な機能を実装することが予想されます。もちろん、シマンテックはこうした高度な脅威からデータや情報を保護することをお約束します。シマンテックは、Xpiro グループの今回の亜種を W32.Xpiro.D および W64.Xpiro として検出し、破損したファイルの修復も行います。ウイルス定義を常に最新の状態に保つようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????? SIM ????????

      No Comments on ???????????? SIM ????????

しばらく前から、モバイルデバイスはサイバー犯罪者に特に狙われるようになってきています。モバイルアプリにトロイの木馬を仕掛ける手口は攻撃シナリオのひとつにすぎず、なかにはデバイスのもっと奥深くに潜む危険もあります。これまでにも GSM ネットワークとモバイルデバイスについて多くの研究を重ねているドイツの研究者カーステン・ノール(Karsten Nohl)氏は、モバイルデバイスについてある深刻な脆弱性を発見しました。

この攻撃の標的は、ほとんどのモバイルデバイスに装着されている SIM(加入者識別モジュール)カードです。SIM カードはスマートカードの一種で、IMSI(国際移動体装置識別番号)と呼ばれる重複のない識別番号を持ち、電話網と通信するときの暗号化も処理します。ノール氏が発見したのは、SIM カードの多くが AES または少なくとも 3DES ではなく、いまだに DES を暗号化方式として使っているということでした。DES は脆弱で、最新のハードウェアを使えば簡単に侵入可能であることが知られています。

simcards_cw.png

図 1. SIM カード

攻撃者は、プライベートな署名鍵を知らなくても、巧妙に作成したバイナリの SMS 更新メッセージを密かに無線通信(OTA)経由でモバイルデバイスに送信することができます。モバイルデバイスは未署名のメッセージを拒否しますが、56 ビットの DES 秘密鍵で署名されたエラーコードで応答します。攻撃者は、これを利用して総当たり攻撃で秘密鍵をクラックするのです。テストを行っていたノール氏も、レインボーテーブルを使って、ものの数分間で鍵を解読することができました。

鍵を解読できてしまえば、攻撃者は悪質なソフトウェア更新に署名し、OTA 更新を通じてモバイルデバイスに送信することさえ可能になります。ソフトウェア更新は基本的に Java アプレットであり、署名が一致するのでデバイス上で実行されます。このような悪質なアプレットが密かにプレミアム SMS を送信すると、そこから攻撃者が利益を得たり、デバイスの位置情報が漏えいしたりします。

これだけでも十分に危険ですが、SIM カードプロバイダの一部には Java の実装にさらに脆弱性があるため、悪質な Java アプレットがサンドボックスを突破することを許してしまいます。その結果、アプレットは他のアプレットから情報を読み取ったり、音声やデータの通信で暗号化キーの取得に使われるマスターキーを抽出したりすることさえ可能です。モバイル決済システムのように、SIM カードに依存する機能はますます増えつつあることから、悪用の恐れが大きいこの脆弱性はさらに深刻になっています。

ノール氏の推定によると、世界中で数百万台のデバイスがこの攻撃の影響を受けると見られています。この問題は通信プロバイダ各社に対して通告済みであり、何社かはこのような OTA メッセージをネットワークから除外する措置を取り始めています。使用しているデバイスの SIM カードがこの攻撃に対して脆弱かどうかはプロバイダに問い合わせることもできます。必要な場合には脆弱性のない新しいカードにアップグレードしてください。Security Research Labs 社は、今後のセキュリティカンファレンスでこの脆弱性について詳しく報告するとしています。その模様は、シマンテックもライブで中継する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

RFID Information Can Be Stolen from Three Feet Away

Security consultant Fran Brown has created a hacking tool that can capture data from RFID badges from up to three feet away—a worrying development considering that up to 80 percent of US companies that use RFID access control systems still employ…

Android ??????????????????????

      No Comments on Android ??????????????????????

デジタル署名を無効化することなく攻撃者が正規の Android アプリに悪質なコードをインジェクトできるマスターキー脆弱性が発見されたことは、今月の初めにお伝えしたとおりです。シマンテックは、悪用が容易であることから、この脆弱性がすぐに利用されるだろうと予測していましたが、残念ながらその予測のとおりになっています。

ノートン モバイルインサイト(何百というマーケットプレイスから Android アプリを採取して自動的に解析するシマンテックのシステム)によって、この脆弱性が実際に悪用されている初めての例が検出されたのです。シマンテックは、問題のあるアプリを Android.Skullkey として検出します。

今回、2 つのアプリが悪質な処理に感染していることが確認されました。どちらも、病院を検索して予約できる正規のアプリであり、中国の Android マーケットプレイスで公開されているものです。
 

xxAndroid-MasterKey-1-edit.png   xxAndroid-MasterKey-2-edit.png

図 1. 感染した 2 つのアプリのスクリーンショット
 

攻撃者は両方のアプリを取得して、デバイスのリモート制御、IMEI や電話番号といった重要な情報の窃盗、プレミアム SMS メッセージの送信などを可能にするコードを追加しています。また、いくつかの中国製モバイルセキュリティソフトウェアアプリがインストールされている場合には、ルートコマンドを使ってそれを無効にします。
 

xxAndroid-MasterKey-3-edit.png

図 2. インジェクトされるコードのスニペット
 

攻撃者は、この脆弱性を悪用して元の Android アプリを改変し、新しい classes.dex ファイル(Android アプリのコードを含むファイル)と、新しい Android マニフェストファイル(許可を指定しているファイル)を追加しています。
 

xxAndroid-MasterKey-4-edit.png

図 3. Android アプリのパッケージに含まれるファイル
 

攻撃者は今後も、この脆弱性を悪用して無防備なユーザーのデバイスへの感染を続けると予測されます。アプリは、信頼できる Android アプリマーケットプレイスからのみダウンロードするようにしてください。ノートン モバイルセキュリティを使用すると、他の脅威と同様にこの脅威からも保護することができます。また、Norton Halt(英語版)を使用すると、モバイルデバイスがこの脆弱性の影響を受けやすくなっている場合に警告が表示されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

First Malicious Use of ‘Master Key’ Android Vulnerability Discovered

Earlier this month, we discussed the discovery of the Master Key vulnerability that allows attackers to inject malicious code into legitimate Android applications without invalidating the digital signature. We expected the vulnerability to be leveraged…