8 月 4 日、Freedom Hosting(Tor ネットワーク を介して匿名ホスティングサービスを提供するサービスプロバイダ)が運用する Web サイトで、不正なスクリプトのホスティングが見つかりました。これは、Freedom Hosting の代表と見られる人物の引き渡しを米国当局が要請したことに関する、8 月 3 日のメディアレポート に続くものです。
見つかったスクリプトは、Firefox の脆弱性を悪用します(この脆弱性はすでに Firefox 22 と Firefox ESR 17.0.7 で修正 済みです)。この脆弱性が選ばれた理由は、Tor Browser Bundle(TBB)が Firefox ESR-17 をベースにしているためと思われます。シマンテックでは、これらのスクリプトを Trojan.Malscript!html として検出しています。
図: 攻撃のプロセス
攻撃者は侵入に成功すると、当該コンピュータからネットワークカードの固有 MAC アドレス とローカルホスト名を取得し、そのデータを IP 65.222.202.54 に返送します。返送されるデータの例を以下に示します。Host はローカルコンピュータ名を表し、Cookie ID は実際には MAC アドレスを表しています。
GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1
また、Web サイトを訪れた後に、システム上に独特な Cookie も残されます。攻撃者は固有 MAC アドレス、ローカルコンピュータ名と Cookie を使って、攻撃対象のシステムを特定します。これらの手法が法執行によって使われたならば、ネットワークカードの購入者を追跡してシステムを特定することが可能でしょう。誰がこれを行っているのかとその理由については様々な憶測が飛び交っていますが、現時点ではまだ何も確認されていません。
Tor ネットワークは個人のプライバシーを尊重し、ユーザーの場所や利用状況をトラフィック分析やネットワーク監視から隠すように設計されていますが、この攻撃手法によって、Tor ネットワークの利用者を特定できることが明らかになりました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On August 4, websites hosted by Freedom Hosting, a service provider that offers anonymous hosting through the Tor network, began to host malicious scripts. This follows media reports from August 3 about US authorities seeking the extradition of the man…
On August 4, websites hosted by Freedom Hosting, a service provider that offers anonymous hosting through the Tor network, began to host malicious scripts. This follows media reports from August 3 about US authorities seeking the extradition of the man…
7 月下旬、千葉県警は Android.Enesoluty をダウンロードするリンクが記載された電子メールを含むスパムを配信したとして 9 人を逮捕しました。Android.Enesoluty は、所有者のデバイスに保存されている連絡先情報を収集するマルウェアです。逮捕された 9 人の中には、東京都渋谷区の IT 関連企業コーエイプランニング社長、香川雅昭容疑者(50)も含まれていました。香川容疑者は、熱心なポーカープレイヤーとしても有名で、世界中のポーカー大会に参加しては、これまでの大会で累計 1 億円以上を稼ぎ出してきました。スパム活動では主犯格であったと見られています。イチかバチかに賭けるその情熱が、ポーカーの世界では膨大な稼ぎをもたらしましたが、Android マルウェアをめぐる賭けでは運に見放されたようです。香川容疑者とその関係者は間もなく起訴されると見られています。
シマンテックの調べによると、このスパム活動は 2012 年 9 月頃に始まっており、捜査当局の家宅捜査があった 2013 年 4 月に停止しました。シマンテックは、この期間に悪質なアプリのホスト先として約 150 のドメインが登録されていたことを確認しています。報道によれば、このグループは 810,000 台前後の Android デバイスからおよそ 3,700 万件もの電子メールアドレスを集めていました。また、スパム活動の最後の 5 カ月間には、「サクラ」サイト と呼ばれる偽のオンライン出会い系サービスを運営して、3 億 9,000 万円以上の稼ぎを上げています。被害者をこの出会い系サイトに誘導したスパムの送信先は、マルウェアによって収集されたアドレスでした。
シマンテックは 2012 年 7 月以来、Enesoluty 詐欺を綿密に追跡してきました。その詳しい経緯は、以下のブログでお伝えしています。
シマンテックは、Android.Maistealer と Android.Enesoluty も、Android.Uracto という別のマルウェアと共通のソースコードを使っていると考えていますが、マルウェアを拡散する手口が大きく異なることから、Uracto は別の詐欺グループが管理しているものと思われます。この別グループはまだ特定に至っていないため、こちらのグループをめぐっては今後もしばらく紆余曲折がありそうです。Android.Uracto によって実行される詐欺の詳しい情報は、以下の 2 回のブログでお伝えしています。
最後になりましたが、今回の逮捕について千葉県警に称賛の意を表したいと思います。シマンテックは、この逮捕に至るまで捜査当局に協力しており、今後も犯罪者の摘発や告訴については協力を続けていきます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
URL に .pw を含むスパムメッセージの増加については、これまでにも何度か(4 月の記事 と 5 月の記事 )このブログでご報告しました。
その後、URL に .pw を含むスパムの量は大幅に減少しています。.pw ドメインのスパムは 5 月初めがピークで、全スパム URL のほぼ 50% を占めていましたが、最近の 7 日間では 2% 足らずです。
図 1. トップレベルドメイン(TLD)に .pw を含むスパムメッセージの変化
.pw ドメインを使ったスパムが減少したのは、シマンテックと Directi 社が連携して、スパムに関係する .pw ドメインの報告と停止を続けた結果です。
Symantec Global Intelligence Network の最近のデータによれば、.pw ドメイン(元々はパラオを表す国別トップレベルドメインでした)の比率がこれほど小さくなっても、.pw を使うスパマーは諦めずに新たな手口を使い始めています。世界中の最新ニュースに目を光らせ、最新ニュースの見出しをドメイン名に変換しているのです。
そうした例のひとつが babykingishere.pw というドメイン名で、これはパナマの登録者が 7 月 24 日に登録したものです。スパマーが選んだこの名前は、英国から届いたお世継ぎ誕生という大きなニュースに由来しています。全世界がご生誕を祝うなか、スパマーがそのニュースを利用しようとしたのは明らかです。
これまでのところ、このスパムドメインは一撃離脱タイプのスパム攻撃で確認されています。このタイプのスパムに見られる大きな特徴は「使い捨て」ドメインを使っていることで、babykingishere.pw ドメインがまさにそれです。
babykingishere.pw ドメインを使う一撃離脱スパムで確認された差出人のサンプルを以下に示します。
差出人: “Cable Internet”(ケーブルインターネット)<CableInternet@babykingishere.pw>
差出人: “Medical Billing and Coding Education”(医療費請求とコーディング教育)<MedicalBillingandCodingEducation@babykingishere.pw>
図 2 . babykingishere.pw ドメインを含むリンクの記載されたスパムメッセージの例
どちらのサンプルも現在、シマンテックの IP 評価とコンテンツフィルタリングによって遮断されています。シマンテックは、.pw ドメインと「ロイヤルベビー」スパムを引き続き監視する予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Security Response News
Email Encryption ,
Endpoint Encryption ,
Hosted Mail Security ,
Mail Security for Exchange/Domino ,
Message Filter ,
Messaging Gateway ,
online fraud ,
phishing ,
security ,
Security Response ,
spam ,
Symantec Protection Suites (SPS)
シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)は、過去 1 年間のオンラインセキュリティを取り巻く環境について概要と詳細な解析が記載されている年次レポートです。ISTR は、シマンテックのアナリストがサイバー攻撃や悪質なコードの活動、フィッシング、スパムなどに関する最新の傾向と、脅威を取り巻く現状の幅広い傾向について特定、解析し、解説する際に利用する、Symantec Global Intelligence Network のデータに基づいています。
その最新号である ISTR 第 18 号 には、現時点で最も包括的で詳細な情報が掲載されています。なかでも、標的型攻撃、データ侵害、マルウェア、スパム、脆弱性、モバイルマルウェアについて最新のデータと解析結果が盛り込まれています。
シマンテックの誰もが ISTR に誇りを持っていますが、今はその成果に安住しているときではありません。シマンテックは常に製品とサービスの品質改善に努めており、ISTR もその点は同様です。その目的のために読者の皆様のご協力を仰ぎたいと考え、このたび第 1 回 ISTR 読者アンケート (英語)を実施することにいたしました。ISTR 読者の皆様との接点を通じて、お客様のニーズやご要望にお応えできるようにさらに調整を深めていきたいと考えています。
たとえば、データ侵害に関するデータをもっと多く必要としている方や、標的型攻撃にさらに注目している方もいらっしゃるでしょう。今回は皆様のそうした好みや、興味深く読んだ内容、読み飛ばした内容などについてお伝えいただける絶好のチャンスです。シマンテックは皆様に最も関わり合いのある脅威について最善の情報を提供するよう努力していますが、それが読者一人一人にとって、また所属する企業にとってどのような意味を持つのかを知り、レポートの使われ方について深く理解したいと考えています。
また、ISTR のような形態のレポートを年 1 回よりも頻繁にお読みになりたいかどうかも知りたいと思っています。シマンテックと読者の皆様の相互利益のために、ISTR について何でもご意見やご感想をお寄せください。
ご意見については、まず ISTR 読者アンケート(英語)にお答え ください。アンケートは簡単ですぐに終わります。皆さまのご協力は、今後のご報告を改善していくためにも貴重なものです。また、ISTR をご覧の友人や同僚がいらっしゃいましたら、アンケートについても情報を共有していただければ幸いです。
いつもご愛読、ご協力いただき、感謝いたします。皆さまのご回答を拝見することを楽しみにしています。ISTR をさらに読みやすく充実した内容にできるよう、そして今後とも皆さまのお役に立てるよう対応していきたいと思います。
アンケートに回答 (英語)
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
最近の自動車には、高度な電子機器が多数搭載されており、あらゆるセンサー、処理装置、電子制御ユニットを接続するケーブルの全長は 1 km を超えるほどです。車両自体が大型のコンピュータのようになっており、これまでの歴史が示しているとおり、コンピュータがあれば必ず攻撃の対象として狙われます。車載ネットワークを通じて自動車を攻撃することの現実性については、過去数年間にいくつかの研究 が行われています。大半の研究は、完全に物理的なアクセスによって自動車を攻撃する方法に終始していますが、なかには外部の攻撃経路 を調査した研究もあります。
自動車に対して物理的なアクセスが可能な場合、攻撃者は CAN(コントローラエリアネットワーク)システムや OBD(車載診断)システムなどにもアクセスできますが、ブレーキに細工する、車両自体を盗むなど、ほかにも悪質な行為を行うことも可能です。一方、自動車に対するデジタルな改変操作を事後に証明することは、物理的な行為より困難な場合があります。このような攻撃は、リモートコード実行の余地がある他の攻撃と組み合わせることも可能であり、ペイロードの実証と捉える必要があります。
物理的にアクセスせずに車載システムに侵入する経路は、タイヤ圧監視システム、TMC(交通メッセージチャネル)のメッセージ、GSM 接続や Bluetooth 接続など、いくつかあります。車両の一部の機能を制御できるスマートフォン向けアプリを開発し始めたメーカーもあり、それも新しい攻撃経路として利用される可能性が出てきました。また、特別に細工した音楽ファイルを USB ドライブに潜ませ、車載システムの一部を乗っ取ることができたというケースも確認されています。
DARPA のプロジェクトに研究員として携わっているチャーリー・ミラー(Charlie Miller)氏とクリス・バラセク(Chris Valasek)氏は、車両に乗り込んだ場合にどの程度まで CAN をハッキングできるかを研究 しています。DEFCON カンファレンス向けプレゼンテーションのプレリリース版ビデオによると、自動車の機能はほぼすべて制御またはトリガーすることができ、たとえばライトをすべて消灯する、エンジンを停止する、ブレーキを無効にする、一分ハンドル操作を行う、クラクションを鳴らす、システムディスプレイを操作することが可能です。これが深刻な事故につながりうることは容易に想像できます。悪質なファームウェア更新やシステム変更を利用すれば、このような改変を恒久的に、かつ見つからないようにすることも不可能ではありません。もちろん、ラップトップとモデムをグローブボックスに入れても同様の攻撃は可能ですが、この方法に比べれば発覚しやすいでしょう。攻撃者がこの研究と同じ手口を使ったしても、後部座席に攻撃者のラップトップがあるのに気づけば、きっと怪しむはずです。
自動車メーカーもこうした課題に気づいており、車載ネットワークのセキュリティについて何年間も改善を続けています。リモート攻撃の経路については特に、解析と保護対策が必要です。シマンテックでも、今後の改善に向けてこの分野の研究に注目しています。ミラーとバラセクの両氏の研究では、自動車が攻撃者にとって格好の標的になることが実証されていますが、運転中にハッカーに乗っ取られるよりもはるかに大きなリスクがすでに存在しています。個人的には、運転中にスマートフォンを操作している人がいることに脅威を感じます。少なくとも当面の間、自動車事故という点では、このほうがはるかに大きなリスクでしょう。運転は、どうぞ安全第一で。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
セキュリティ業界の各企業は以前から、現在のシステムよりも確実にマルウェアを検出し特徴付ける方法を探り続けています。そのようなシステムがあれば、マルウェアとそれが引き起こす損害に対処しなければならないすべての人々にとって、大きなメリットとなるでしょう。現在でも、ごく基本的なものから高度なものまで、マルウェアの検出には多種多彩なテクニックが使われていますが、マルウェアを完全には特徴付けていないという点で、その大半は不十分です。
その多くは手動で分解と解析を行うか、または実環境または仮想マシン(VM)環境でサンプルを実行したうえで、システムに生じる変化を記録しマルウェアの副作用として報告するかのいずれかの手段に拠っており、そのどちらにも長所と短所があります。手動による解析は時間と手間の掛かる作業であり、人的エラーも発生しがちです。副作用の自動照合は高速で、人的介在もほとんど不要、あるいはまったく不要ですが、残念なことに有用な情報が欠けていたり不完全だったりすることも少なくありません。要するに、マルウェアの自動解析は解決の難しい問題だということです。自動解析で期待どおりの結果が得られない理由は、以下の要因にまとめられます。
条件付きコード: 多くのマルウェアには、特定の条件が満たされたとき、たとえばユーザーがボタンをクリックしたときや所定の Web サイトにアクセスしたときにのみ起動するコードが組み込まれています。コマンド & コントロールサーバーからのコマンドを待っている場合もあります。そうした条件が満たされなければ、マルウェアは何も活動しないこともあります。
仮想マシンの検出: セキュリティベンダーがマルウェアのランタイム解析に仮想マシンを使用していることは、マルウェアの作成者にも知られています。ランタイム解析を避けるために、マルウェア作成者は仮想マシンの存在を確認する機能を実装して、仮想マシンを検出するとマルウェアの動作を停止してその機能を隠そうとします。それと異なる動きをするマルウェアのひとつが、W32.Crisis ワーム です。このマルウェアは、仮想マシン環境でも十分に機能するほか、VM ファイルがあるかどうかを積極的に検索し、それにも感染しようとします。
時間: 一部のマルウェアは、一定時間が経過してから悪質な動作を開始します。自動解析システムでは毎日何万というサンプルを実行するので、時間が障壁になります。各サンプルを自動解析してデータを収集する時間はごく短く、すぐに次のサンプルの解析が始まります。つまり、すぐに悪質な機能が実行されない場合は、自動解析システムで見逃されてしまいます。たとえば、あるトロイの木馬がすべてのドライブ上のすべての .doc ファイルを削除する機能を持っていても、C ドライブ上の一部のファイルを削除する時間しかなかったとしたら、自動解析システムではそれしか報告されません。
コンテキスト: 自動解析システムによる報告で欠けていることが多いのは、コンテキストです。たとえば、あるサンプルがドライブ上のファイルを改変し始めた場合、多くの自動解析システムは、ファイルの改変を報告するだけで、どのような改変があったかまでは指摘しません。改変はウイルスコードの感染であったり、ファイル内容の消去や暗号化であったりするかもしれません。あるいは、何らかのテキストコンテンツがファイルに挿入された可能性もあります。しかし、ほとんどの自動解析システムでは改変内容まで報告されません。コンテキスト情報が欠けているもうひとつの例が、ネットワーク接続に関する報告です。特定の URL にアクセスするマルウェアが報告されるとき、その URL の目的までは指摘されません。別のマルウェアをダウンロードするのか、命令を受信するのか、それとも盗み出した情報をアップロードするのか、単に感染を通知するのかまでは示されないのです。そのような情報を知ることは重要ですが、自動解析システムに実装するのはきわめて困難です。
モジュール化: 最近のマルウェアのほとんどは、独立した単一のコードとして存在するのではなく、それぞれが異なる機能を備えた複数のファイル群でモジュール化されています。このようなモジュールはたいてい、インストーラを使ってパッケージ化されてはいません。そのため、最初はインストーラが拡散して、次にインストーラが実行されると、他のコンポーネントのダウンロードを試みます。ときには、追加コンポーネントのダウンロードがリモートの攻撃者によって直接制御されている場合もあり、この攻撃者は侵入先のコンピュータの状況を伺ってから、次にダウンロードするものを判断します。インストーラ自体はたくさんの機能を持っているわけではないので、自動解析ではほとんど何も報告されません。同様に、個々のモジュール自体もコードライブラリに過ぎず他のコードで呼び出される必要があるため、実行されてすぐにその機能が判明することはありません。
これらの要因がすべて絡み合って、マルウェア自動解析機能が制限されます。
そのような状況を受けて、セキュリティ研究者であるジョシュア・サックス(Joshua Saxe)氏が Black Hat で発表 するのが、オープンソースとクラウドトレーニングを利用してマルウェアファイルの機能を識別できるマシンラーニングツールです。このツールは、特定のネットワークプロトコルを利用する機能やデータを盗み出す機能など、マルウェアの機能のリストを生成できるとされています。検出された機能について、適切な場合に確率スコアを示すという機能は注目に値します。断定できないマルウェアや見かけで特定できないマルウェアでも、スコアがあれば機能の有無を予測できるからです。このツールを作成するプロジェクトは、DARPA の Cyber Fast Track プログラムから資金提供を受けており、使われているアルゴリズムについても今回のプレゼンテーションで詳しく紹介される予定です。興味深いプレゼンテーションになることは間違いないでしょう(訳注: Black Hat カンファレンスでの発表はすでに終了しています)。
ちなみに、シマンテックセキュリティレスポンスでも、マルウェアサンプルを収集してその情報と機能を照合する多くの自動システムが運用されています。これらのシステムは、マルウェアサンプルの統計とランタイム解析を実行し、その副作用を記録できます。この情報をシマンテックの他のデータや遠隔測定ソースと組み合わせて、独自のマルウェアレポートサービスを通じてお客様に提供しているので、お客様がマルウェア攻撃を予防し、マルウェアの被害から回復する際に有益な情報となっています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
スマートホームに対するハッキング が実に簡単であることを、フォーブス誌のカシミール・ヒル(Kashmir Hill)記者が報じています。記事によると、「Google でごく単純な言葉を検索するだけ」で、ある有名企業のオートメーションシステムを備えた住宅のリストが表示されたといいます。「(オートメーション)システムは、検索エンジンでクロールされていた」とヒル記者は書いています。現在は停止していますが、それまでのシステムはユーザー名やパスワードを設定しなかったため、検索エンジンの結果をクリックすれば、システムを完全に制御できてしまいました。記者はオンラインで発見した住宅のうち 2 軒に連絡し、許可を得たうえで照明の点灯と消灯が可能であることを実演しています。また、住宅にある各種の機器も制御できたということです。これは、ホームオートメーションシステムに潜むセキュリティ上の問題の一例にすぎません。
ホームオートメーションとは、照明、暖房、ドアや窓の施錠、監視カメラなどを自動化するシステムです。比較的新しいシステムですが、市場は急成長しており、米国だけでも 150 億ドルに達します 。ただ、どのような新技術でも同じですが、潜在的なセキュリティリスクは避けがたいものです。
ホームオートメーションシステムのセキュリティ脆弱性については、Black Hat 2013 セキュリティカンファレンスでセキュリティ研究者が個別に 2 つのプレゼンテーションを行う予定です。1 つは、プロプライエタリな無線プロトコルの Z-Wave における脆弱性についてのプレゼンテーションです 。Z-Wave は、ホームオートメーションの制御パネル、セキュリティセンサー、防犯システムなどの組み込みデバイスで幅広く利用されています。これには欠陥があり、暗号化された Z-Wave デバイスの通信を傍受すると、他の Z-Wave デバイスを無効にすることができてしまいます。「Home Invasion 2.0」と題された、もうひとつのプレゼンテーションは、いくつかの人気ホームオートメーションシステムで判明した脆弱性に関するものです。「約 10 種類の製品を調査しましたが、侵入を果たせなかったのは 1 つか 2 つで、大部分は何のセキュリティ対策も講じられていませんでした」と SpiderLabs のダニエル・クローリー(Daniel Crowley)氏は述べています 。多くの機器では、アプリをモバイルデバイスにダウンロードし、それを使ってリモートでオートメーションシステムを制御できるようになっています。システムの多くは、モバイルデバイスとホームシステムの間で通信するときに何の認証も使われていないため、悪質な攻撃者による制御を許してしまうことがわかったと研究者は指摘しています。
米国の住宅におけるホームオートメーションシステムの普及率はまだ 3% 程度ですが、この数字は増加する傾向にあり、一部のアナリスト によれば今後数年間に倍増するという予測もあります。
新旧を問わず技術の導入を急ぐときには、その技術に伴うセキュリティがともすると軽視されがちです。今回のケースのように脆弱性が露見することで、堅固なセキュリティの重要性が再認識されることを期待します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Companies in our field of business have long wished for a better way of discovering and describing malware capabilities than the current system. Such a system would be of great benefit to everyone who has to deal with malware and the damage they can c…
