3D プリンタは魅力的なデバイスで、最近では値段も手ごろになり、広く利用できるようになりつつあります。多くのユーザーが好んで 3D プリンタを試用し、さまざまな分野にイノベーションを起こしています。3D 印刷によって可能なことはあまりに多く、武器の模造など物議を醸すアイデアの実現から、鍵の複製までさまざまです。ここで言っているのは、単に安っぽいプラスチック製の複製の話だけではありません。新型の 3D プリンタになると、チタンなどの素材を焼結して耐久性の高いものを作ることも可能です。
先々週に相次いで開催されたセキュリティカンファレンス OHM2013 と DEFCON では、錠前破り(ピッキング)に関して類似のプレゼンテーションが 2 つ行われました。どちらも、物理的な鍵の複製を 3D プリンタで作成できることを実証したもので、必要なのは元の鍵の ID 番号と、精巧な写真数枚だけです。たったそれだけで、実際に使える 3D モデルの鍵を複製できてしまうというのは、考えるだけでも心配です。3D モデルのファイルの一部は、一般に入手可能で、変更も改造も簡単です。
これは別に新しい概念ではありません。手錠の鍵の 3D モデルは、1 年以上前から一般に出回っています。数年前には、高解像度のカメラで撮影した数枚の写真から鍵を複製する方法を実証した本も何種類か出版されました。
もちろん、熟練した腕前の攻撃者であれば、通常のピッキング道具で錠を開けることもできます。3D プリンタが一般にも利用できるようになり、対応する鍵ファイルがオンラインで流通すれば、多くの人々がますます簡単に複製を作れるようになります。
新聞やテレビ番組で鍵の写真が映しだされた例は数多くあり、それが複製につながる恐れがあります。たとえば、消防士がさまざまなエレベータや非常口を操作できる特殊な鍵や、警察官が持つ手錠の鍵などは、それなりのプリンタさえあれば誰にでも簡単に作れる標的になりえます。
これは大多数の人々が心配しなければならない性質の問題ではありませんが、撮影したものの物理的な特性について慎重を期することは重要です。言うまでもなく、この攻撃は、あらゆる種類の鍵と錠の組み合わせに有効なわけではありません。どちらかといえば、デジタル世界の暗号鍵に似ており、脆弱な鍵を使った古い単純な実装は破られてしまう可能性があるので、強力な鍵に取り替える必要があるものの、未熟で脆弱な鍵を使っている実装もまだまだ多く、リスクにさらされている恐れがあります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ソーシャルメディアのアカウント、なかでも Twitter アカウントを利用して、Android.Opfake(昨年のブログを参照)などをホストしている悪質なサイトにユーザーを誘導する手口は、特に珍しいものではありません。シマンテックは最近、何も知らない一般ユーザーのアカウントが感染して、こうしたタイプの悪質なリンクをフォロワーにツイートしているケースを確認しました。
図 1. 感染したアカウントからの悪質なツイート
感染した一連のアカウントが出現するようになったのは 7 月の初め頃で、影響は全世界のユーザーに及んでいます。数週間で広範囲のアカウントが感染しましたが、すでに何百というツイートが送信されているにもかかわらず、多くのユーザーは自分のアカウントが悪質なツイートを送信していることに気づいていません。
図 2. 感染したアカウントから正規のツイートと悪質なツイートが送信される
フォローしているアカウントから送信された悪質なリンクを誤ってクリックしてしまったのではないかと心配な場合でも、ロシア語を理解できなければおそらくは安全です。というのも、このツイートはロシア語で書かれており、友人のアカウントでロシア語を見かけても無視すると思われるからです。ただし、ロシア語を理解することができ、ふだんロシア語でツイートするユーザーをフォローしている場合には警戒が必要です。
こういったリンクをクリックすると、マルウェアをホストしているサイトがブラウザで開きます。一般的なブラウザでは、アプリの自動ダウンロードを開始するページが表示されます。
図 3. マルウェアをホストしているサイトがブラウザで開く
アプリは自動的にダウンロードされますが、インストールはユーザーが手動で実行する必要があります。
図 4. 自動的にダウンロードされたアプリ
注目に値するのは、この悪質なツイートから無償版の Asphalt 7 を入手できるように見える点です。しかし、アプリをダウンロードしてインストールする際は、正規のアプリであるかどうかを再確認してください。このアプリは無償版を装っていますが、正規の Asphalt 7 アプリとは異なり、バックグラウンドでプレミアム SMS を送信するからです。この費用は、本物を実際に購入するよりも、よほど高くついてしまいます。
図 5. 偽の Asphalt 7 ダウンロードサイト
ユーザーにリンクをクリックさせてマルウェアをデバイスにダウンロードさせようと、ユーザーの気を引くような画像が添付されたツイートもあります。悪用されるのは感染したアカウントとは限らず、詐欺師によって用意されたアカウントの場合もあります。この手の詐欺には十分に注意してください。
図 6. 興味を引く画像が添付された詐欺
シマンテックは、感染してしまったユーザーのサポートに関して Twitter 社と協力しています。アカウントが感染しているかどうかを確認するには、身に覚えのないツイートがないかどうか、フォローした覚えのないアカウントをフォローしていないかどうかを調べます。アカウントを感染から保護するために、強力なパスワードを使用し、フィッシング詐欺に注意してください。また、アカウント情報を盗み出すマルウェアにコンピュータやデバイスが感染しないように、オペレーティングシステムやインストールされているすべてのソフトウェアに最新のパッチを適用したり、最新のセキュリティソフトウェアを使用したりするなど、基本的なセキュリティ対策(ベストプラクティス)に従ってください。悪質なサイトにアクセスしてしまわないように、たとえ知人のツイートでも、ふだんとは違うメッセージは無視するようにしてください。ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをインストールすることもお勧めします。シマンテックは、このブログで説明したマルウェアを Android.Opfake として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On July 30, we established the avast! Mobile Beta Testers Google+ community for advanced users to help us test the new BETA version of our Android protection. It was the first time we used a social network to make our product available for testing. The goal was to look for potential bugs and errors and report […]
The end of summer is near, and as many people head out on their final vacations, now is the time for eCommerce merchants to start getting ready for the holiday season ahead. While Black Friday and Cyber Monday are still a few months away, they will be here before you know it, with projections showing Read more…
Dear Tom Torlakson (and the California Department of Education), I’d like to personally congratulate you: CALIFORNIA is now the number 1 state benefiting the most from our AVAST Free for Education program! (surpassing Illinois) Over 160 Californian schools, school districts, libraries and universities – the most from any one State – use our […]
3D printers are fascinating devices that are becoming affordable and widely available. Many people love to experiment with them, bringing innovation to many different fields. There are so many things that one can do with 3D printing, from contro…
It is not uncommon to see social media accounts, specifically Twitter accounts, directing users to malicious sites such as the ones hosting Android.Opfake, an issue we blogged about last year. Recently, we discovered that the accounts of innocent users…
Question of the week: I need my smartphone for work-related stuff, but I also have all my personal pictures and music on it. Tell me the truth – are viruses really being made for phones? Do I need to worry about it? Your question comes just as several companies have released mid-year studies confirming that […]
Il y a quelques jours de cela, l’ordre national des pharmaciens signalait l’existence de sites illégaux proposant des médicaments, essentiellement des stimulants sexuels ou des pilules de régime, et utilisant des noms de domaine reprenant ceux de diverses pharmacies existant réellement dans l’hexagone. Ces arnaques se sont en effet multipliées depuis le 12 juillet, date Read more…