最近シマンテックは、暗号化ファイルシステム(EFS)を悪用する脅威(Backdoor.Tranwos として検出されます)を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。
この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。

図 1. フォルダを作成して暗号化
セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。
この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。

図 2. wow.dll ファイルのパス
この脅威が実行されると、暗号化されたフォルダとファイルはエクスプローラで緑色で表示されます。
この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。
このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ウェアラブル技術、つまり身に着けて生活を快適にするための技術について、多くのハイテク企業が研究を進めています。この種の技術のコミュニティを最近最も賑わせているのがスマートグラスであり、なかでも話題の中心になっているのが Google Glass です。拡張現実(AR)を利用した視覚支援という機能は魅力的に思えますが、プライバシーの観点からどこまでを許可するかという議論も巻き起こっています。友人を撮影するときに必ず通知する必要があるとしたら、おそらく、録画中は Google Glass で赤い LED を点滅させるべきでしょう。「邪視(Evil Eye)」という言葉の意味も変わってきます。Google Glass の組み込み機能を拡張しようとしているユーザーを Web で検索してみると、ありとあらゆる統合機能について面白いアイデアが見つかります。そのひとつが、議論を呼んでいる顔認識機能です。
しかし、注目に値するウェアラブルデバイスは、Google Glass だけではありません。スマートブレスレットやインテリジェントシューズから、他のデバイスと通信できる腕時計まで、購入可能なデバイスすべてがそうです。先日開催された「D: All things Digital」カンファレンス(D11)でも、試作品が何点か公開されました。
たとえば Motorola 社は、鍵と同じように個人の認証に使える電子タトゥーを実演したほか、さらに一歩進んで、飲み込むと身体の中から信号を発信する錠剤まで発表しました。どちらも、人間の身体をいわばパスワードトークン(身元を保証するもの)と見なし、認証の目的に利用するという発想です。
もちろん、似たような技術はすでに使われています。RFID カードもポケットに入れれば身に着けられますし、生体認証は言うまでもありません。指を押し当てるだけで魔法のようにドアが開く自動車も登場しています。自分の指紋も、言ってみれば常に身に着けているようなものです。残念ながら、指紋読み取り機は非接触式ではないため、無線技術ほど便利ではありません。一方、信号を送信する方式には必ず、プライバシーと追跡に関する問題がつきまといます。RFID 式のパスポートを導入した国のほとんどで、このことが問題視されています。チップから秘密鍵を抜き出して他人になりすますことはできないとしても、デジタル指紋の応答を生成することは可能なので、追跡プロファイルは作成できることになります。不正な RFID 読み取りを防ぐために、ファラデーケージ(電磁シールドの一種)を利用して財布を保護している人が多いのは、このためです。さすがに、T シャツをファラデーケージで保護しなければならない日がすぐに来るとは思いませんが、ウェアラブルな認証トークンを広く普及させようと考えたときには、これも解決しなければならない課題のひとつです。
とは言え、これは興味の尽きない分野であり、特にパスワードを忘れがちな人には間違いなく便利なものでしょう。もっとも、錠剤タイプの場合、飲み忘れてしまったら同じことですが。そもそもデフォルトで強力なパスワードなので、脆弱なパスワードという問題も解決されますし、パスワードマネージャのマスターパスワードとして使うこともできます。しかし、このコンセプトがどのように実装されるか、人々がこのようなデバイスを受け入れるかどうかは、今後の様子を見守る必要があります。実装の状況によっては、システムに対する攻撃が依然として可能な場合や、完全にパスワードを無視して認証済みのセッションを盗み出すことも可能かもしれません。
いずれにしても、シマンテックはこうした技術の推移に注目しており、詐欺メールの厳重な監視を続けています。安価な薬の宣伝に代わって、ユーザーの認証用錠剤を送るように指示する詐欺メールが出現するかもしれません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently, we discovered a threat that abuses the Encrypting File System (EFS), which Symantec detects as Backdoor.Tranwos. Not only is it trivial for program code to use EFS, it’s also very effective at preventing forensic analysis from accessing…
The McAfee Threats Report for the first quarter of 2013 highlighted a noteworthy increase in the number of Koobface malware samples on record. This data point is based on the number of unique malicious files associated with the Koobface family, and is generally one indicator of active malware development. Besides the number of changes made Read more…
寄稿: Piotr Krysiuk
6 月 5 日、Microsoft 社は金融業界および FBI との協力により、オンラインバンキングを狙う Citadel というトロイの木馬プログラムの活動を停止に追い込んだことを発表しました。この停止措置により、1,000 以上の Citadel ボットネットがオフラインになりました。
Citadel はオンラインバンキングを狙うトロイの木馬のひとつで、2011 年に登場しました。オンラインバンキングを狙う他のトロイの木馬と同様に、Citadel も、すべてが揃ったクライムウェアキットであり、ペイロードビルダー、コマンド & コントロール(C&C)サーバーのインフラストラクチャ、さまざまな銀行を標的にする設定スクリプトを攻撃者に提供します。Citadel は、金融業界を狙うトロイの木馬として大きな存在である Trojan.Zbot(Zeus)の末裔です。2011 年に Zeus のソースコードが漏えいした後で、犯罪者グループがそのコードを引き継ぎ強化する形で登場しました。

図 1. トロイの木馬 Citadel のインターフェース
先駆けとなった Zeus が広範囲に出回ったのに対し、Citadel はより「資金力のある」攻撃者を市場として対象にしています。SpyEye や、漏えいした Zeus のキットがわずか 100 ドルで取引されているのに対して、Citadel キットはロシアの地下フォーラムで通常 3,000 ドル前後で販売されています。Citadel のユーザーは、標的にしようとする銀行に合わせた Web インジェクションコードを購入するたびに、30 ~ 100 ドルを追加で支払う必要もあります。しかも、攻撃者に資金の余裕があったとしても、新規購入の場合には紹介が必要であり、厳格な審査プロセスがあります。
Citadel の感染は全世界に広がっていますが、過去 6 カ月で多数の感染が確認されているのは、オーストラリア、イタリア、米国でした。

図 2. 2013 年 1 月から 6 月までの Citadel の感染件数
シマンテックは、Citadel ボットネットの活動停止という今回の報道を歓迎します。この停止措置で Citadel の脅威を完全に排除できるわけではありませんが、現在の活動が停止することは確かであり、攻撃者に対しても、その活動がいつも監視されているという明確なメッセージになったはずです。この脅威の排除にあたって官民の協力態勢が取られたことも称賛に値します。
金融業界を狙うトロイの木馬について詳しくは、シマンテックのホワイトペーパー(英語)をお読みください。シマンテックの最新のウイルス対策と侵入防止シグネチャを使用することで、Citadel の感染を防ぐことができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Many high-tech companies are researching wearable technologies, i.e. things that you can wear and help to make your life easier. Probably causing the biggest stir in the technology community recently are smart glasses, with Google Glass being the prima…
In a previous blog McAfee Mobile Research reported on fraudulent adult dating-service applications on Google Play that target Japanese users. Many other suspicious applications are spreading on Google Play in Japan, and try to lure users to similar fraudulent sites. These suspicious applications have appeared on Google Play since May. They offer adult or nonadult Read more…
McAfee Mobile Research monitors adult one-click-fraud applications on Google Play that are targeted at Japanese users. Although the attackers appeared to have stopped uploading these apps in May, they have now resumed the attacks. We have confirmed about 600 malicious applications have been published since the beginning of April. We have also confirmed that another Read more…
In the age online sharing (and over sharing), opting for privacy is nearly becoming a social faux pas. Think about it. Have you ever noticed the snub you get if you untag yourself from a photo, hide a post someone put on your page, or leave group conversations? Have you felt the digital shiver when Read more…
When raising kids, parents wear a lot of hats: We become therapist, teacher, paramedic, coach, chauffeur, and referee. In today’s wired culture most of us can also confidently add “spy” to that list (I prefer superhero, but my kids insist on spy). If you are like most engaged parents you may feel a wave of Read more…