If you are a parent today, you are among the first generation of adults tasked with raising good digital citizens. And while learning to be a “good digital citizen” is a hot topic in education circles have you noticed that it’s quickly demoted to “goofy” when you attempt to talk about it at the dinner Read more…
Earlier this week, the Chiba Prefectural Police in Japan arrested nine individuals for distributing spam that included emails with links to download Android.Enesoluty – a malware used to collect contact details stored on the owner’s device. The …
AVAST’s high-performance server-security product, avast! File Server Security, has received the VB100 award from Virus Bulletin. The independent testing lab’s latest AV comparative test focused on performance in Windows Server 2012. AVAST performed solidly with 100% detection rates and zero false alarms on both WildList and clean test sets consisting mainly of business tools to […]
シマンテックは過去数カ月の間に、正規の Google 翻訳サービスを使ってスパム対策フィルタをすり抜けようとする、医薬品関係のスパム攻撃を確認しています。
受信されたサンプルのほとんどは、人気の高い無料メールサービスで乗っ取られた電子メールアドレスから送信されたものでした。
メッセージの件名の大半は、オンライン医薬品販売や、バイアグラ、シアリスといった有名な錠剤を宣伝しています。また、スパムフィルタへの対策として、英語以外のランダムな文字や単語が件名の先頭または末尾に挿入されている例も確認されています。
図 1. 件名のサンプル
メッセージの本文には、Google 翻訳へのリンクと、Web サイトで医薬品を注文することのメリットを説明した広告文が記載され、ディスカウント用のコードが書かれている場合もあります。
図 2. スパムメッセージのサンプル
リダイレクトの仕組みは、かなり複雑です。リンクをクリックすると、リンクに埋め込まれた 2 番目のアドレスが Google 翻訳で取得され、そこから医薬品 Web サイトにリダイレクトされます。
確認されたサンプルの場合、最終的なリンク先は以下の医薬品サイトでした。
以前のスパマーは、リンクの 2 番目の部分(リダイレクトリンク)に無料 Web や URL 短縮サービスを使うのが一般的でしたが、最近では IDN ドメイン名を使ったトップレベルドメイン、特にキリル文字の .рф ドメインが利用されています。リダイレクトリンクの中では、キリル文字のドメインは Punycode で表されています。
スパムメールで表示されるリンクは、たとえば以下のような形式になっています。
Windows-1251 でデコードすると、以下のようになります。
Punycode でデコードすると、以下のようになります。
シマンテックは、Google 翻訳を利用したリダイレクトスパムの大多数の亜種を安全に遮断しており、Google 翻訳サービスがスパムメールで悪用されている他のケースについても厳重な監視を続けています。この悪用は今のところ、スパム活動に使われているだけで、マルウェアの拡散に使われている例はまだ確認されていません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
セキュリティコンサルタントのフラン・ブラウン(Fran Brown)氏は、最大約 90cm 離れていても RFID バッジからデータを読み取れるハッキングツールを開発しました。RFID アクセス制御システムを使っている米国の企業のうち 80% 近くが、同氏にハッキングされた脆弱な技術を今でも採用していることを考えると、これは気になるニュースです。
RFID とは?
電波による個体識別(Radio Frequency Identification)、略して RFID は、動物や人間の追跡から、高速道路の料金所、非接触型決済システムまで、日常的にさまざまな用途に使われています。RFID についてよく知らない人もいるでしょうが、そのような人でも知らないうちにいろいろな場面で RFID を利用している可能性は大いにあります。飼い犬にマイクロチップが埋め込まれている場合でも、勤務先の出入りに ID カードを使う場合でも、知らず知らずのうちに RFID 技術を使っているからです。
RFID は、電波を利用してデータを転送し、物体、またはその物体に関連付けられた人や動物を自動的に識別します。RFID システムは 1 つ以上のタグと 1 つの読み取り機で構成されます。タグにも読み取り機にもさまざまなバリエーションがありますが、最も一般的なタイプのタグは、このブログでもブラウン氏の研究でも取り上げている 125KHz のタグです。読み取り機は双方向の無線送受信機で、タグに向けて信号を送信してその応答を読み取ります。タグには、無線周波送信機が組み込まれており、読み取り機からの信号を受信して、格納されている情報、たとえば部外者立ち入り禁止の建物に入るときに必要な重複のないコードなどを返信します。タグはごく小さいものなので、ID カード、パスポート、DVD や CD のケースなどに取り付けることも、皮膚の下に埋め込むことさえも可能です。
長距離ハッキングツール
125KHz タグはごく一般的なもので、信号を送受信するには読み取り機からおよそ 10cm 以内の距離に置く必要があります。そのようなカードを読み取って複製するためには、カードを手に入れるか、ごく近くまで接近しなければならないので、悪用は困難です。ところがブラウン氏は、RFID 読み取り機を改良して比較的長い距離、最大約 90cm の距離からでも RFID タグを読み取れるようにしました。つまり、何者かがこの読み取り機をポケットに忍ばせ、たとえば会社の駐車場を歩き回れば、そばを通り過ぎるだけで従業員の ID バッジからデータを収集できるということです。あとは、そのバッジを複製すれば、攻撃者は元のバッジの持ち主とまったく同じアクセス権を手にすることができます。
ブラウン氏は、RFID 読み取り機をカスタマイズするために商用のほとんどの読み取り機に装着できるプリント基板を作製しました。盗み出されたタグ情報は、マイクロ SD カードに保存されます。ブラウン氏がプログラミングしたコードや、ハッキングツールとカスタマイズの詳しい情報は、ラスベガスで開催される今年の Black Hat セキュリティカンファレンスでこの研究を発表した後に公開される予定です。
このアイデア自体は以前からあったものですが、ブラウン氏は今回の手法が「実際の攻撃と理論上の攻撃の違いである」と述べています。過去の研究は理論と概念だけで組み立てられており、実際に動作するツールを伴わなかったからです。またブラウン氏は、このツールをテストしたときの成功率が 100% だったとも語っています。
最近では、125KHz タグは旧式と見なされており、格納されている情報を保護するセキュリティは講じられていません。送信されるデータは暗号化されていないので、攻撃者は受信さえできれば簡単に新しいタグを複製できることになります。タグに格納されたデータを暗号化し、タグと読み取り機との間の通信も保護する、あるいはチャレンジレスポンス認証を使うなど、新しいオプションも考案されていますが、新しい技術への移行はなかなか進んでいないのが現状です。コストも一因ですが、125KHz タグに付随するセキュリティ上のリスクを企業が認識していないという要因もあるでしょう。
ブラウン氏は、この長距離 RFID 読み取り機について、「Fortune 500 社のセキュリティ専門家を対象にした」ものだが「あらゆるペネトレーションテストツールと同様、(中略)悪用される可能性もある」と述べています。
今回の結果を踏まえると、RFID アクセス制御ソリューションを利用している場合は、既存のシステムを改めて見直して、アップグレードや、生体認証といった別のアクセス制御方式の導入を検討した方がよいでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Last month Symantec posted few blogs (here and here) on an increase in spam messages with .pw URLs.
Since then the volume of URLs with .pw domains has considerably decreased. At the beginning of May the peak volume .pw domains accounted for about 50 percent of all spam URLs. Currently, .pw domains account for less than 2 percent for the last seven days.
Figure 1. .pw TLD appearance in spam messages
The decrease in .pw domains is the result of a close collaboration between Symantec and Directi in reporting and taking down the .pw domains associated with spam.
The latest evidence from the Global Intelligence Network shows that even with such a small presence of former country top-level domains for Palau, .pw spammers don’t give up and start using different tactics. They keep an eye on the latest news from around the world and convert hot news headers into domain names.
One such example is the domain name babykingishere.pw, which was registered on July 24 by a registrant from Panama. The name chosen by spammers was based on the big news from the UK, the birth of future king. While the world is celebrating, spammers have definitely tried to take advantage of the event.
So far, the spam domain was only observed within promotional hit-and-run spam. One of the main characteristics of this type of spam is the use of “throw away” domains, which the babykingishere.pw domain is.
Sample “From” lines taken from observed Hit and Run spam with the babykingishere.pw domain:
Figure 2. Sample spam message with links containing the babykingishere.pw domain
Currently, both samples are blocked by Symantec with IP reputation and content filtering. Symantec will continue to monitor .pw domains and any appearance of “Royal Baby” spam.
しばらく前から、モバイルデバイスはサイバー犯罪者に特に狙われるようになってきています。モバイルアプリにトロイの木馬を仕掛ける手口は攻撃シナリオのひとつにすぎず、なかにはデバイスのもっと奥深くに潜む危険もあります。これまでにも GSM ネットワークとモバイルデバイスについて多くの研究を重ねているドイツの研究者カーステン・ノール(Karsten Nohl)氏は、モバイルデバイスについてある深刻な脆弱性を発見しました。
この攻撃の標的は、ほとんどのモバイルデバイスに装着されている SIM(加入者識別モジュール)カードです。SIM カードはスマートカードの一種で、IMSI(国際移動体装置識別番号)と呼ばれる重複のない識別番号を持ち、電話網と通信するときの暗号化も処理します。ノール氏が発見したのは、SIM カードの多くが AES または少なくとも 3DES ではなく、いまだに DES を暗号化方式として使っているということでした。DES は脆弱で、最新のハードウェアを使えば簡単に侵入可能であることが知られています。
図 1. SIM カード
攻撃者は、プライベートな署名鍵を知らなくても、巧妙に作成したバイナリの SMS 更新メッセージを密かに無線通信(OTA)経由でモバイルデバイスに送信することができます。モバイルデバイスは未署名のメッセージを拒否しますが、56 ビットの DES 秘密鍵で署名されたエラーコードで応答します。攻撃者は、これを利用して総当たり攻撃で秘密鍵をクラックするのです。テストを行っていたノール氏も、レインボーテーブルを使って、ものの数分間で鍵を解読することができました。
鍵を解読できてしまえば、攻撃者は悪質なソフトウェア更新に署名し、OTA 更新を通じてモバイルデバイスに送信することさえ可能になります。ソフトウェア更新は基本的に Java アプレットであり、署名が一致するのでデバイス上で実行されます。このような悪質なアプレットが密かにプレミアム SMS を送信すると、そこから攻撃者が利益を得たり、デバイスの位置情報が漏えいしたりします。
これだけでも十分に危険ですが、SIM カードプロバイダの一部には Java の実装にさらに脆弱性があるため、悪質な Java アプレットがサンドボックスを突破することを許してしまいます。その結果、アプレットは他のアプレットから情報を読み取ったり、音声やデータの通信で暗号化キーの取得に使われるマスターキーを抽出したりすることさえ可能です。モバイル決済システムのように、SIM カードに依存する機能はますます増えつつあることから、悪用の恐れが大きいこの脆弱性はさらに深刻になっています。
ノール氏の推定によると、世界中で数百万台のデバイスがこの攻撃の影響を受けると見られています。この問題は通信プロバイダ各社に対して通告済みであり、何社かはこのような OTA メッセージをネットワークから除外する措置を取り始めています。使用しているデバイスの SIM カードがこの攻撃に対して脆弱かどうかはプロバイダに問い合わせることもできます。必要な場合には脆弱性のない新しいカードにアップグレードしてください。Security Research Labs 社は、今後のセキュリティカンファレンスでこの脆弱性について詳しく報告するとしています。その模様は、シマンテックもライブで中継する予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Web ads: sometimes annoying, other times entertaining and useful, but for the most part, harmless. Or so you thought. It seems that cybercriminals are now turning their attention toward pulling you in with a strong sales message, and you may be none the wiser until it’s too late. Your neighborhood hacker has decided to start Read more…
Security consultant Fran Brown has created a hacking tool that can capture data from RFID badges from up to three feet away—a worrying development considering that up to 80 percent of US companies that use RFID access control systems still employ…