Security consultant Fran Brown has created a hacking tool that can capture data from RFID badges from up to three feet away—a worrying development considering that up to 80 percent of US companies that use RFID access control systems still employ…
デジタル署名を無効化することなく攻撃者が正規の Android アプリに悪質なコードをインジェクトできるマスターキー脆弱性が発見されたことは、今月の初めにお伝えしたとおりです。シマンテックは、悪用が容易であることから、この脆弱性がすぐに利用されるだろうと予測していましたが、残念ながらその予測のとおりになっています。
ノートン モバイルインサイト(何百というマーケットプレイスから Android アプリを採取して自動的に解析するシマンテックのシステム)によって、この脆弱性が実際に悪用されている初めての例が検出されたのです。シマンテックは、問題のあるアプリを Android.Skullkey として検出します。
今回、2 つのアプリが悪質な処理に感染していることが確認されました。どちらも、病院を検索して予約できる正規のアプリであり、中国の Android マーケットプレイスで公開されているものです。
図 1. 感染した 2 つのアプリのスクリーンショット
攻撃者は両方のアプリを取得して、デバイスのリモート制御、IMEI や電話番号といった重要な情報の窃盗、プレミアム SMS メッセージの送信などを可能にするコードを追加しています。また、いくつかの中国製モバイルセキュリティソフトウェアアプリがインストールされている場合には、ルートコマンドを使ってそれを無効にします。
図 2. インジェクトされるコードのスニペット
攻撃者は、この脆弱性を悪用して元の Android アプリを改変し、新しい classes.dex ファイル(Android アプリのコードを含むファイル)と、新しい Android マニフェストファイル(許可を指定しているファイル)を追加しています。
図 3. Android アプリのパッケージに含まれるファイル
攻撃者は今後も、この脆弱性を悪用して無防備なユーザーのデバイスへの感染を続けると予測されます。アプリは、信頼できる Android アプリマーケットプレイスからのみダウンロードするようにしてください。ノートン モバイルセキュリティを使用すると、他の脅威と同様にこの脅威からも保護することができます。また、Norton Halt(英語版)を使用すると、モバイルデバイスがこの脆弱性の影響を受けやすくなっている場合に警告が表示されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier this month, we discussed the discovery of the Master Key vulnerability that allows attackers to inject malicious code into legitimate Android applications without invalidating the digital signature. We expected the vulnerability to be leveraged…
After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …
After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …
We all know that mobile phones have been the focus of cybercriminals for a while now. But Trojanized mobile applications are only one attack scenario. Some problems lie even deeper in your phone. Karsten Nohl, a German researcher who has done a lot of …
先日、私の好きなバンドが、Twitter でコンサートの無料チケットに当選しました。これは、他の Twitter ユーザーから受け取ったメッセージについてのツイートでした。
図 1. コンサートの無料チケットについて皮肉るツイート
これはセキュリティ上の観点から言えば定番の詐欺のようであり、シマンテックセキュリティレスポンスでさらに調べたところ、その疑惑が裏付けられました。
図 2. スパムアカウントが特定のツイートに返信
ソーシャルネットワーク上で謳われる無料提供と、それが無料ではない実態については、1 年以上前にブログでお伝えしました。こうした偽のアカウントは、特定のキーワードをツイートしたユーザーに対して、デバイスやギフトカードを無料で進呈すると称していました。今回のケースでは、このバンドがアルバムオブザイヤー(AOTY)の選定についてツイートし、その中でカニエ・ウェストの名前を出しました。この「カニエ・ウェスト」という名前が、ランダムな偽アカウントによって監視されているキーワードとして使われていたために、無料チケット進呈というツイートが返信されたのです。Twitter でアーチストの名前(カニエ・ウェスト、J コール、ジェイ・Z、ビヨンセなど)をツイートすると、こうした詐欺ツイートを受け取る可能性があります。
106 & Park は、BET(ブラックエンターテインメントテレビジョン)で平日に放送されているミュージックビデオのカウントダウン番組です。この番組は公式の Twitter アカウントを持っており、フォロワー数は 500 万人以上、ツイート数は 13,000 を超えています。偽の Twitter アカウントは、公式のロゴと背景画像を使って正規アカウントに偽装していますが、通常、こうした偽 Twitter アカウントにはフォロワーがおらず、ツイート数もわずかなため、詐欺であることは一目瞭然です。
図 3. 106 & Park の公式 Twitter アカウント
図 4. 106 & Park の偽 Twitter アカウント
これまでとは違って注意が必要なのは、今回の詐欺アカウントが返信の中に直接はリンクを指定していないことです。代わりに、プロフィールページにアクセスして、プロフィール中のリンクをクリックするよう求めています。
このリンクをクリックすると、BET ブランドについて詳しく書かれたページにリダイレクトされ、最近の有名アーチストの画像が表示されます。
図 5. 無料チケット詐欺のランディングページ
[CLAIM MY VIP TICKETS(VIP チケットを受け取る)]ボタンをクリックすると、ユーザーの個人情報を要求するページにリダイレクトされます。ところが、この情報を詐欺師が受け取っている様子はなく、どちらかというと、この無料チケットプレゼントを正規のものらしく見せる体裁だけが目的のようです。
図 6. VIP 向けプレゼントページで個人情報が要求される
同じページにモバイルデバイスからアクセスした場合には、いくつかのアプリの中から 1 つをインストールするように指示されます。これは、この手の詐欺でアフィリエイトプログラムを通じて金銭を稼ごうとする手法のひとつで、詐欺師は、最近になってこうしたモバイル向けアフィリエイトプログラムを使い始めています。ごく最近では、Twitter の動画共有サービスである Vine のユーザーが狙われた例もあります。
図 7. アプリのインストールを求めるモバイル向けアフィリエイトプログラム
図 8. ワンダイレクションとジャスティン・ビーバーのコンサートの無料チケット進呈を謳う偽ページ
類似の詐欺ツイート
この数カ月間に、ワンダイレクションやジャスティン・ビーバー、リアーナなどの人気スターや、そのコンサートツアーについてツイートしたファンたちも、同様の詐欺ツイートを受け取っています。これらのケースでは、詐欺のランディングページでアンケートの記入を求められます。これも詐欺師が詐欺行為で収益を上げるための常套手段です。
図 9. リアーナの「ダイアモンド・ツアー」の無料チケット進呈を謳う偽ページ
現時点で、このようなタイプの詐欺を拡散している偽の Twitter アカウントは数百あります。最も顕著なのがコンサートチケット詐欺ですが、以下のように、他の餌を使って、これとまったく同様の詐欺も確認されています。
Twitter を使っていて、このように賞品が当選したと称するツイートを受け取った場合は、まず怪しいと疑うべきです。リンクはクリックしないように注意し、Twitter 社に偽アカウントを報告してください。
デジタル時代のファンである以上、コンサートの無料チケットを餌にされた場合には、特に疑ってかかる必要があります。ブランドやアーチストのソーシャルメディア公式アカウントを調べても疑惑が解消されないとしたら、それは詐欺と思って間違いありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
QR(クイックレスポンス)コードの悪用そのものは、目新しい発想ではありません。昨年、QR コードに埋め込まれた悪質な USSD コードによって、Android スマートフォンの人気機種でデータが消去される恐れがあると判明したケースを覚えている方もいらっしゃるでしょう。QR コードは何年も前から使われていますが、モバイル端末で読み取った場合、そのデータがどうなるのかユーザーにはまったくわかりません。
シマンテックは、QR コードによる悪質なサイトへの自動リダイレクトを防ぐために、ノートン スナップというアプリケーションを作成しました。リンク先アドレスにリダイレクトされる前に、その URL がスキャンされます。すでに、ユーザーから毎日数千件の URL ルックアップ要求が届いています。先月は、総数のうち悪質な URL が占める比率は 0.03% にすぎなかったため、まだ大きなリスクとは見なされていません。しかし、スナック自動販売機の QR コードが乗っ取られ、スナックの料金が別の場所に支払われてしまうというケースがすでに発生しています。
図. Google Glass と QR コード
見てはいけない
Google Glass は現在特に注目を集めているテクノロジのひとつであり、シマンテックの研究室でも調査目的で多くの Google Glass 端末を手に入れました。Google Glass と QR コードの関係について言えば、QR コードを使って設定は簡単になります。何といっても目を使ってテキストを入力するというのはかなり難しいでしょう。セキュリティ企業の Lookout 社が、悪質な QR コードを使って Google Glass を操作できる方法を分析しました。ウェアラブルデバイスは、ユーザーとのインターフェースがこれまでと異なるという性質上、新しい攻撃経路になる可能性があります。Lookout 社によると、QR コードを撮影すると、Google Glass は悪質な恐れのある Wi-Fi アクセスポイントに知らないうちに接続する可能性があります。こうなると、フォトボム(photo-bombing。撮影者の意図に反した被写体が映り込むことを指す俗語)という言葉がまったく新しい意味を持ってきます。Google Glass は一般的な QR コードをすべてサポートしているわけではなく、デバイスの優先 Wi-Fi アクセスポイントの再設定に利用しています。
Google Glass が悪質なアクセスポイントに接続すると、攻撃者はトラフィックをすべて盗聴し、場合によってはユーザーを悪質な Web サイトにリダイレクトします。幸い、Google 社もこの問題を認識しており、すでに修正済みなので、Google Glass で写真を撮るとき、いちいち QR コードを避ける必要はなくなりました。
デバイスを制御する方法は QR コードに限らない……
Google Glass が QR コードによってフォトボムを受ける可能性には注意が必要ですが、モバイルデバイスを悪質な Wi-Fi アクセスポイントに接続させるには、もっと簡単な方法もあります。今では、ほとんどの人がスマートフォンの Wi-Fi 機能を常時オンにしています (Google Glass もです)。つまり、デバイスは接続できる既知のアクセスポイントがないかどうか、周囲の環境を常に調べているわけです。新たに登場したウェアラブルデバイスもインターネット接続を簡単にするために同じように動作すると予測されますが、デバイスが検索するネットワークを簡単な方法で偽装できるソフトウェアも出回っています。WiFi Pineapple という小型デバイスを買えば、必要な操作をすべて自動的に実行してくれます。たとえば、自分のスマートフォンが「myPrivateWiFi」という SSID 名の自宅の Wi-fi ネットワークに常に接続する設定になっているとします。このスマートフォンを持っていった近所のコーヒーショップに、攻撃者が悪質な WiFi Pineapple を取り付けていれば、攻撃者が仕掛けた WiFi Pineapple はスマートフォンが myPrivateWiFi を検索したときに、単にプローブ要求に応えるだけで myPrivateWiFi ネットワークになりすますことができ、その時点から、セッション乗っ取りや盗聴といった典型的な中間者(MITM)攻撃が実行可能になります。この種の攻撃は QR コードを認識しないデバイスでも実行できます。したがって、Google 社が QR フォトボムに対するパッチを公開しても、Wi-Fi 乗っ取りに対する Google Glass の脆弱性は依然として残ることになります。
残念ながら、Google Glass の Wi-Fi 乗っ取りは、すぐに解決できるほど小さな問題ではありません。Wi-Fi ホットスポットを使うたびにデバイスをペアリングするという手間をかけず、すぐに使えるスムーズなユーザーエクスペリエンスが望まれているからです。よく使うアクセスポイントの MAC アドレスと SSID の併用が有効な場合もありますが、ローミングが関係してくると実用的ではなくなりますし、MAC アドレスも WiFi Pineapple で簡単に詐称できてしまいます。
それより現実的な Wi-Fi 乗っ取りの解決策は、ネットワークはどこでも危険なものという前提に立って、すべてのアプリケーションで SSL などの暗号化通信、または VPN 経由のトンネルを使うことです。こうすれば、現在地についても、接続先についても気にする必要はなくなり、安心して日光浴を楽しむことができます。
* QR コードは (株)デンソーウェーブの登録商標です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ランサムウェアはマルウェアの一種ですが、最近、シマンテックのノートンの公式ロゴを使って、あたかもシマンテックの認定を受けているかのように思い込ませるランサムウェアが出現したと報道されています。これは、マルウェアの作成者がユーザーを欺こうとしてソーシャルエンジニアリングでよく使う手口で、セキュリティ企業のロゴがランサムウェアに悪用されるのも初めてのことではありません。
シマンテックは、このランサムウェアを Trojan.Ransomlock.Q として検出し、IPS 保護定義「System Infected: Trojan.Ransomlock.Q」でもそのネットワーク活動が検出されます。
図 1. ドイツ語ユーザーに表示される Trojan.Ransomlock.Q(ノートンのロゴに注目。画像提供: Heise Online)
今までと同様、万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。かわりに、シマンテックが提供している駆除手順に従うか、削除手順を示したこちらのビデオ(英語)を参照してください。
ランサムウェアの機能と手口は、ここ数年ほとんど変化していません。亜種ごとに新しいデザインは無数に登場していますが、デザイン上の習慣は一定しており、通例は公式の機関や正規のセキュリティ企業に偽装して信憑性を獲得しようとしています。
Trojan.Ransomlock.Q(別名 Urausy)の場合、作成者はこれまでどおり非常に活動的で、標的とする国に応じた政治情勢の変化に合わせて頻繁にデザインを更新します。きわめて巧妙で、最新のニュースにもいち早く対応しています。理由は不明ですが、アイルランド語のバージョンではノートンのロゴが使われていません。
図 2. アイルランド語ユーザーに表示される Trojan.Ransomlock.Q
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Malicious quick response (QR) codes are not a new idea. Some readers might remember last year when it was found that a popular Android smartphone could be wiped by a malicious USSD code embedded within a QR code. QR codes have been in use for many years now but when scanning them with a mobile phone the user can never tell where they will end up.
To protect against automated redirection to malicious sites with QR codes, Symantec created the Norton Snap application which scans any URL before the user is redirected to the destination address. Currently we get a few thousand URL lookup requests each day from our users. During the last month only 0.03 percent of those URLs were malicious. Hence it’s not yet considered a huge risk, but we have already seen cases where QR codes for snack vending machines where replaced, so that the paid for snacks gets released at a different location.
Figure. Google Glass and QR codes
Don’t look now
Google Glass is one of the hottest pieces of technologies out that at the moment and we’ve got our hands on a number of them for research purposes in our labs. As far as the relationship between Glass and QR code goes, it provides an easy way of using QR codes to configure them; after all it would be quite difficult to enter text using your eyes. Our colleagues at Lookout analyzed how Google Glass can be manipulated using malicious QR codes. Wearable devices by their nature can open up new attack vectors because the user interacts with them differently. Lookout have stated when taking a photo of a QR code, Glass will silently connect to a potentially malicious WiFi access point. This gives the word photo-bombing a whole new meaning. Glass doesn’t support all general QR codes, but uses them for reconfiguring of the device’s preferred WiFi access point.
Once the Google Glass connects to the access point of the attacker, the attacker can sniff all the traffic or even redirects the user to a malicious website. Fortunately, Google is aware of this issue and have already fixed it so you don’t have to keep looking away from QR codes whilst taking pictures with the device.
QR code is not the only way to PWN a device…
So, while Glass’ ability to get QR photo-bombed was interesting, there are far easier ways to get a mobile device connected to a rogue WiFi access point. Many people leave WiFi enabled the whole time on their smartphones. This means the device constantly probes the surroundings to see if there is a known access point that it can connect to. Similar behavior is expected in new wearable devices to make it easier for them to interact with. There is software available that will impersonate any network that a device searches for and this software is quite easy to use. You can even buy a small device called WiFi Pineapple that will do all the work for you. For example if your smartphone remembers your home network with the SSID name “myPrivateWiFi”. The attacker will simply answer the probe request and pretend to be the network “myPrivateWiFi”. From that point on classic man-in-the-middle (MITM) attacks, like session hijacking or sniffing, can be performed. Hence it is easier to get a wearable device like Google Glass or a smartphone to connect to a rogue access point this way as no accidental recognition of a QR code is necessary. Further, even with Google’s patch for QR photo-bombing, Glass remains vulnerable to WiFi hijacking.
Unfortunately, this latter issue is not trivial to solve. Users want to have a smooth user experience that just works without the hassle of pairing the devices each time they use a WiFi hotspot. Remembering the MAC addresses of the access points together with the SSID could help in some instances, but that is not feasible in the context of roaming and MAC addresses can easily be spoofed as well.
The more practicable solution is to treat every network as hostile and ensure that all the applications use encrypted communications like SSL or tunnel through a VPN. That way you don’t have to worry about where you are or what you are looking at, but instead you can relax and enjoy the sunshine.