このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。
Archive
2007まで
2008年
2009年
2010年
セキュリティ・メーカー関連
- ・ Bikis : Blog
- ・ Kaspersky Analyst's Diary
- ・ McAfee Blog Central
- ・ Latest Alert From Websense Security Labs
- ・ The H : Security
- ・ Latest Secunia Blog Entries
- ・ Sophos : Naked Secuirty
- ・ TrendLabs | Malware Blog
マスメディア
- ・ The Gurdian : Ask Jack
情報サイト等
- ・ Krebs on Security
- ・ The PC Informant : Blog
中国のインターネットは歴史上最も深刻なユーザデータ漏洩を経験している
Websence : Security labs blog (2011/12/27)
先週、中国最大のソフトウェア プログラマのWebサイトである
CSDN(China Software Developer Network)がハックされ、6百万以上のユーザのアカウント情報が漏洩し、速やかにインターネット経由で拡散した。翌日、伝えられるところによれば、中国最大のオンラインフォーラム
Tianyaは、4千万ユーザのアカウント情報をハックされた。このサイバー攻撃は、幾つかの著名なサイト(ゲームサイトの
Duowanや
7k7k、電子商取引サイト
360buyや
Dangdang、
Zhenaiのような人気の出会い系サイト)に対するハッキングが継続されており、ユーザデータが漏洩されている。幾つかのサイトのデータベースはインターネット上に公開され容易にダウンロード可能になっている。
CSDNの漏洩されたデータベースのダウンロードの一部を以下に示す。
この事件は、いまだかってない中国最大のデータ漏洩である。公開されたデータベースは個人のアカウント情報(ユーザ名、パスワード、E-Mailアドレス)を含んでいる。このデータ漏洩は、数百万の中国「ネット市民」の間に大きな不安を発生させた。とり分け、複数のWebサイトで同じユーザ名とパスワードを使用している人々に。明らかに、この様な習慣は、このようなユーザにリスクを増加させる。犯罪者は、銀行情報を取得するため他のアカウントにログインするのに、このユーザの一つのアカウントからの情報を使用できるのだから。
ユーザデータの漏洩の発生をCSDNとTianyaが認めて以来、未だに問題の根源や漏洩の規模に関しては調査中である。この二つの組織はユーザに対して公式の謝罪をリリースし、ユーザに即座にパスワードを変更するよう促している。また、警察に対しても支援を要請している。
重大なデータ漏洩の要因は、ユーザ情報の多くが、その会社のデータベース上に、暗号化されていないプレーン テキストで記録されていることである。CSDNは、彼らがユーザ情報を暗号化し始めた2009年まで、古いパスワードがプレーン テキストで保存されていたことを認めた。 不幸にして、犯罪者に対して漏洩されたプレーン テキストの個人情報は、数百万のユーザに影響を与え、将来に於けるWebセキュリティに関して大きな不安を確実に増大させている。
このデータ漏洩の解析において、何人かの専門家は、プロのハッカーが”Drag Databese”と呼ばれるテクニックで攻撃した結果であると結論している。このテクニックで、ハッカーは最初に、狙っているサイトの脆弱性を攻撃する。次に、そのサイトを改竄するためにトロイを挿入し、ユーザデータベーステーブルを出力するために管理者認証を取得する。これで彼らは、取得した情報を将来使用するために保存するか、他人がダウンロードできるようにインターネットにアップロードする。この地下産業はハッカーのために巨大な利益を稼いでいる。
この事件はインターネット産業と個人のインターネットユーザの両方に計りしれない戒めを与えた。ユーザは、クラックすることが困難な複雑なパスワードを設定し、定期的にこのパスワードを変更することで、個人アカウント情報の防御を拡張すべきである。インターネット会社は、彼らのユーザデータ取扱いを強固にすべきであり、セキュリティ保証と緊急対応能力を改善すべきである。
セキュリティホールを修正したVLCメディアプレーヤー1.1.13リリース
The H : Security (2011/12/21)
オープンソースのVLCメディアプレーヤー バージョン1.1.13は、攻撃者がユーザのシステムを改竄して攻撃できる既存リリース中に発見されたセキュリティホールを閉じた。このメンテナンスとセキュリティアップデートは、このアプリケーションのプロセスをクラッシュさせることが可能であったVLC TiVoデマルチプレクサー中のバッファオーバーフローの脆弱性を解決した。VideoLanプロジェクトは、幾つかのシステム上で、この脆弱性により犠牲者のシステム上で任意のコードを実行できる可能性があるかもしれないと忠告している。
この攻撃が成功するには、ユーザがまず、特別に細工されたファイルか、悪意あるWebサイトを開かなければならない。VLCのバージョン0.9.0から1.1.12が影響を受ける。1.1.13へのアップグレードは、この問題を修正する。代替方法としては、ユーザはVLCプラグイン ディレクトリからTY demuxプラグイン(libty_plugin.*)を手動で削除することである。こうすることで、TiVoファイルをVLCプレーヤー中で開かれることが妨げられる。1.1.13のコミットログによれば、このリリースはまた、翻訳アップデートを含んでおり、また幾つかの他のバグも修正している。
VLCメディアプレーヤーのバージョン1.1.13は既に、このプロジェクトのNewsページでアナウンスされている。このNewsページは未だアップデートされていない、そして、プレコンパイルされたバイナリのダウンロードは、記述している時点では提供されていない。しかしながら、GPLv2ライセンスのVLC 1.1.13のソースコードは提供されている。
Firefox, Thunderbird, SeaMonkeyに緊急の脆弱性
The H : Security (2011/12/21)
Mozillaの開発者達は、より高速なJavaScriptエンジンをFirefoxのアップデートバージョン 9.0への組み込んだだけでなく、幾つかのセキュリティホールもまた閉じている。Firefoxの今までのバージョン中の一つの緊急のセキュリティフローは、埋め込まれた「異常な」サイズのOGGビデオ エレメント(悪意あるコードを挿入する脆弱性攻撃を潜在的に可能にする)がクラッシュを発生させることを可能にする。しかしながらMozillaは現在、内々に明かになったこの脆弱性の詳細情報を秘密にしている。
Mozillaは、攻撃者が境界外のメモリ領域(【訳注】 C および C++ のメモリ操作関数の多くは境界領域のチェックを行いません。このため稼働中のバッファに対して割り当てられた境界を超過することがあり、バッファオーバーフローが発生します)にアクセスでき、特別に細工されたSVGファイル経由で悪意あるコードを挿入できるセキュリティホールを閉じた。Firefox 9.0において解決された他の緊急の問題は、現在詳細不明なYARR 正規表現ライブラリでクラッシュを発生させる潜在的脆弱性である。Mozillaはまた、他の緊急のメモリバグを閉じるチャンスを9.0で手にした。
Firefox 9.0へのアップグレードはこの様な問題を解決する。そして、全てのユーザは、Firefoxの自動アップデートシステムか、最新バージョンをダウンロードすることによってアップグレードすることをアドバイスされている。この脆弱性は「オールインワン インターネット スイート」であるSeaMonkeyの今までのバージョン中にも存在している。これはSeaMonkey 2.0にアップデートすることで解決される。Thunderbird(E-Mailクライアント)も脆弱性がある。最初に論じた脆弱性は緊急と評価されている。Thunderbird 9.0は、この問題を修正しているはずだが、未だリリースされていない(【訳注】 和訳時点において、リリースされています)。
シンプルなHTMLタグは、64-bit Windowsをクラッシュさせるだろう
The Register : Security (2011/12/21)
64-bit Windows 7の未パッチの緊急のフローは、完全な「死のブルースクリーン」システムクラッシュの脆弱性をコンピュータに残している。
64-bit Windows7のメモリ損壊のバグはまた、悪意あるカーネル コードをマシンに挿入させることを可能にしていると、セキュリティ警告を業務とする
Secuniaは警告している。幸いにして、Windows 7の32-Bitバージョンは、win32k.sysオペレーティングシステム ファイル(このファイルは、Windowsユーザ インターフェイスのカーネル部分を含み、基盤構造に関連付けられている)に拘束されているので、このフローの影響を受けない。
脆弱性あるWindows 7製品をクラッシュさせる方法を示すProof-of-concept(【訳注】 脆弱性の証明の実演)は、AppleのSafariブラウザで開いたとき、シンプルなHTMLスクリプトは、メモリのマップされていない領域でページフォルトを発生させるようカーネルを導く。そして、これはマシンを「死のブルースクリーン」で停止させる。
問題を起こすスクリプトは、過度に著名である属性のIFRAMEタグである。SafariはHTMLを通じてシステムクラッシュを引き起こすことを要求されたが、現代のオペレーティングシステムは、マシンを引きずり落とすユーザモードアプリケーションを許可すべきではない。Microsoftは今、この脆弱性を調査中である。MicrosoftはWindows 7の根底にあるこの脆弱性を発見するためにコード実行経路の解明をハッカーと競争していたにも拘らず、この情報はTwitterユーザWebDEvilによって最初に通報された。
このHTMLのProof-of-concept付きのSafariをクラッシュさせるビデオは、
こちらで閲覧できる。他の脆弱性に関するシナリオもまた可能になっている。
Microsoft: Internet Explorerの自動アップデートを予定
The H : Security (2011/12/16)
Microsoftは、Internet Explorerの自動アップデートを近々開始するだろうと
昨日アナウンスした。来年一月にオーストラリアとブラジルで開始し、Windows Updateは、Internet Explorerの最新のバージョンをユーザの如何なるアクションも必要とせずインストールする。他の国々に関しては、段階的に公表されるだろう。今迄、ユーザは常に最新のバージョンにアップグレードすることを望むか否か尋ねられてきた。
Microsoftは、Googleの足跡に従っている。開始以来、Googleは自動的にそして、ユーザの目に止まらないサイレント アップデートで、Chromeブラウザをアップデートしてきた。Mozillaはまた、Firefoxの自動アップデートツールの作業中である。Microsoftは、XP以降全てのWindowsバージョンの自動アップデートを導入している。このアップデートは、ユーザから如何なる介入もされることなく実行されることを意味する「重要」に分類されるだろう。
Microsoftは、ユーザが常に最も安全なバージョンを持つことになるので、便益を受けると信じている。Web開発者はまた、IE6のような古代のブラウザをサポートする代わりに、HTML5のような現行の標準を実装するために多くのエネルギーを注ぎ込めるので便益があるだろう。
実際に、IE6は未だ10年たった今でさえ幅広く使用されている。Microsoftは11月に、世界のインターネットユーザの8.3%が現在サポート期限の切れたブラウザでサーフィンしていると発言している。使用率は10月(7.9%)に比べて微かに上昇している。Microsoftの
ie6countdown.comというWebサイトで、MicrosoftはIE6に未だ「さよなら」を言っていないユーザに勇気をだすよう呼びかけた。
多分互換性の理由から古いバージョンを維持し、Windows Updateを通してInternet Explorer 8、9をインストールすことを意図的に回避している人々は、この変更がなされたのちも自動アップデートに直面しないだろう。更に、Microsoftは、ユーザがアップデートをアンインストールし、以前インストールされていたバージョンに戻すことができると発言している。
Windows Updateが確実にInternet Explorerに影響を与えないようにしたい人々は、MicrosoftがIE8とIE9のユーザに提供している
自動アップデート ブロック ツールキット(【訳注】リンク先は英文サイト)を使用できる。IEの将来のバージョンに関して、Microsoftは自動アップデート無効化のオプションを含めるよう計画している。Microsoftはブラウザのプレインストール バージョンに対するセキュリティアップデートを提供し続けるだろうが、「保護モード」sandboxのような高度なセキュリティ機能は、より新しいバージョンに対してだけ提供される。
産業用制御システム中のバックドア
The H : Security (2011/12/14)
The US Industrial Control Systems Cyber Emergency Response Team (ICS-CERT、【訳注】 産業システム事業者と連絡を取り合うインシデント対応組織)は、制御システムの標準的モジュール(the Schneider Electric Quantum Ethernet Module)中のバックドアを警告した。セキュリティ エキスパートRub?n Santamartaは、この様なコンポーネントがハードコード(【訳注】 アカウントやパスワードをスクリプトのコードに直接書き込むことをハードコーディングという。そこで、そのスクリプトがほかの人に見られるとパスワードが漏洩することになる)されたパスワード付きの幾つかのアカウントを含んでいることを発見した。この様なアカウントは、例えば、FTP、telnet、UDPポート17185でのデバッグサービスを通じてアクセスされることが可能である。
この図はSchneider Electricが、そのデバイスの典型的配置を説明したものである。ソース:Schneider Electric
"NOE 771"のようなモジュールは、プログラマブル ロジックコントローラ(Programmable Logic Controller、PLC。【訳注】リレー回路の代替装置として開発された制御装置。通称、シーケンサ)用のネットワークインターフェイスとして使用される。Schneider Electricは、「緊急シャットダウン」と「火災及びガス検出システム」用の
SIL3 Modicon Quantum PLC(PDF)中に、それらを使用していた。Santamartaは、ICS-CERTに以前警告していた。そして、ベンダはtelnetとデバッグサービスがもはやDefaultで利用可能にできないようにファームウェアのアップデートを開発したことを明かにした。しかしながら、この会社は現在未だ互換性のために、このアップデートをテスト中である。
このシチュエーションは危険である。なぜなら、そのようなシステムはしばしば侵入に対しての防御が不十分であるし、最悪の場合、インターネット経由でアクセスされる可能性さえある。ほんの数日前、ICS-CERTは、コントロールシステムがShodan検索エンジンのようなツールを通じて容易に同定されるという警告を再開した。The Hの関連会社であるheise Securityは、幾つかの脆弱性あるシステムを、大変早く突き止めた。それゆえ、影響あるモジュールを含むシステムの管理者は、そのモジュールがインターネットを通じてアクセスされることができるか否か、即座にテストすべきである。
ハッカーがSCADDと他のコントロールシステム中のセキュリティホールを追跡する方法を知ることに興味を持っている人々は、Santamartaのレポート(
"Reversing industrial firmware for fun and backdoors")中の記述に情報を発見できるだろう。Santamartaは、彼がそのファームウェアを解析した方法をそして、Defaultで利用可能になっているこのサービスを同定した方法を詳述している。
Microsoftの12月の定例パッチはDuquワームを解決したはずである
The H : Security (2011/12/09)
Microsoftは、緊急と評価される3を含む14のパッチを、来るPatch Tuesday(今月の12月13日)の一部としてリリースするだろうとアナウンスした。今回のアップデートはWindows、Office、Internet Explorer、Publisher、Windows Media Playerに渡る全部で20の脆弱性を解決するだろう。
この緊急とされるパッチは、犠牲者のシステム上に攻撃者が遠隔からコードを挿入し脆弱性を攻撃できたWindows XP, Vista, Windows 7, Server 2003, 2008のセキュリティホールを閉じるだろう。今回の緊急とされるパッチは、Windows kernel中の脆弱性を利用することによって拡散したDuquボットに関する修正を含むはずである。Microsoftは、11月のPatch Tuesday以前からずっと、Duquセキュリティアップデートに関して作業してきたが、今まで準備されていなかった。
残りの11のパッチは重要として評価されており、遠隔からのコード実行を修正している。また、Office 2003, 2007, 2010; Mac用のOffice 2004, 2008, 2011; Publisher 2003,2007; そして、Internet Explorer中の権限昇格問題も同様に修正されている。Microsoft Windows Malicious Software Removal Tool (MSRT)のアップデートバージョンは同時にリリースされるだろう。
新しいAdobe Reader: フィールド中に0-Dayの脆弱性
The H : Security (2011/12/07)
Adobeは、Adobe Readerに0-Dayのフローがあることを警告している。このフローはWindows用のAdobe Reader 9.x中に存在し、既に攻撃されている。Adobeは、攻撃は限定的であるとしている。Adobeのセキュリティ アドバイザリは、この緊急のフローは、Adobe Reader X (10.1.1)、Adobe Acrobat X (10.1.1)及びWindowsとMac OS X用のそれ以前のバージョンに影響があると発言している。Unix用のAdobe Reader 9.4.6と、それ以前の9.xバージョンもまた、脆弱性がある。このセキュリティホールは、クラッシュを発生させることが可能なユニバーサル3Dファイルの処理で、メモリ損壊を発生させられる、「そして、影響を受けるシステムの制御を攻撃者が奪うことが可能である」と発言している。
Adobeは、Adobe Reader XのProtected ModeとAcrobat XのProtected Viewは、実行されるあらゆる悪意あるコードを停止すると発言している。パッチされたバージョンは、Macintosh、Unix用共々2012年01月10日の定例アップデート利用可能となるだろう。けれどもより緊急性のあるWindows用のReaderとAcrobat 9.xの修正は確定されており、Adobeは2011年12月12日に、もしくはそれまでに定例外アップデートを利用可能にすることを計画している。
Adobe Secure Software Engineering Team Blogにおいて、Adobeのセキュリティとプライバシに関する副部長Brad Arkinはスケジュールを説明し、ReaderとAcrobat 9.xのユーザに対し、「現在、インストールされているバージョン Xに対して影響を及ぼすことが同定されているマルウェアは一つとして存在していない」と言われているReaderとAcrobat Xにアップデートするよう要請している。
Adobeは、このフローはAndroid版のAdobe Readerには影響を与えないと発言している。また、Adobe Flash Playerは影響を受けないとも記している。つい最近のAdobe ReaderとAcrobatのフローは、ReaderとAcrobatに埋め込まれているFlash Player中のフローに関連していた。今回の場合、ReaderとAcrobat中に特定されるフローである。
悪意あるブートローダ
Kaspersky : SecureList (2011/12/06)
サイバー犯罪者は常にシステムに感染する新しい方法を探している(理想的には気づかれることなく、後々まで)。悪意あるブートローダの最新の波が示しているように、彼らの創造性は際限がない。このキットはセキュリティソフトウェアを削除する目的でブラジルのトロイの胴元によって開発された。
この今迄にない感染はNTLD(Windows XP、Windows Server 2003を含むWindows NT系のDefaultのブートローダ)を使用するシステムにだけ影響を与える。この選択は偶然ではない。Windows XPは未だブラジルを含む幾つかの国々において最も人気あるOSである。この様な国々では全マシンの約47%でWindows XPが稼働している。
チッポケナ10Kbの悪意あるファイルは、感染させることを意図したE-Mail中にリンクされておりTrojan-Downloader.Win32.VB.aoffとしてマークされている。Trojan-Downloader.Win32.VB.aoffは、Amazon WS Cloudにホストされている2つの新しいファイル(xp-msantivirus (1.83 MB) と xp-msclean (7.4 MB))をシステムにダウンロードする。そして、正当なntldrをntldr.oldにリネームし、最終的に、新しいファイルを新しい悪意あるブートマネージャ(menu.listを稼働するためにGRUBに合わせて編集されたバージョン)とするためにインストールする。
悪意あるブートローダはNTLDRをコールする: GRUBを改竄したもの
そのうちmenu.listは、ブート中にxp-msantivirusをコールするために応答させられる。
munu.listの内容。このメッセージは「Microsoft Windows 悪意のあるソフトウェアの削除ツールを初期化しなさい」と言っている
xp-msantivirus と xp-mscleanファイルは、特にブート中にセキュリティファイルを削除するために犯罪者によって準備されている糞ブートイメージである。驚くこともないが、メインのターゲットは、GBPlugin(凡そ、23,000,000のマシンにインストールされた)と呼ばれるブラジル人の胴元によって使用される非常にポピュラーなセキュリティプラグインに属しているファイル群である。この悪意あるブートローダはまた、Microsoft Security Essentials、 Windows Defender等からファイルを削除する狙いもある。
感染が完了したら、このトロイはシステムの再起動を強制する。
Windows Updateは、緊急のセキュリティアップデートのインストレーションを完了するために、あなたのシステムを再起動する
...そして、変更の全てが実行される。悪意あるブートローダは、Microsoft Windows 悪意のあるソフトウェアの削除ツールであると主張して、幾つかのインチキメッセージを表示する。
(上の画像のコメントの意味)Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830)。このプロセスが終了するまで、マシンのスイッチを切断しないようにしてください
この時間のかかるブートを正当化するために、システムは感染していたが「悪意あるファイル」は削除されたと宣言している他のメッセージも表示される。
(上の画像のコメントの意味)操作が実行されている間、お待ちください。電源を切断したり再起動しないでください。注意: ウィルスに感染したファイルがあなたのコンピュータ上で発見されました。このウィルスを削除するプロセスは開始されました。このプロセスは、少し時間がかかります。時間は、発見された感染したウィルスファイルの量に応じます。このプロセスの間、マシンの電源を切ったり再起動せずに、完了するまで待ってください。コンピュータは自動的に再起動します。
最終的に、ブートプロセスが終了すると、悪意あるブートローダはそれ自身を削除し、クリーンなNTLDRをアクティブに設定する。このミッションが完成すると、Trojan bankerは、感染したマシン上で稼働したまま、インターネット バンキング認証を盗むための準備としてTrojan-Downloader.Win32.Banload.bqmvとしてマークされる。
もちろん、システム中のこの様な悪意ある変更の全ては、管理者アカウント等用いてOSを稼働するような多くの他の要因によって支援される。Kaspersky Antivirusは、この悪意あるブートローダをTrojan.Boot.Burg.aとして検出する。
VISA認証サービスとMasterCardのSecureCodeの抜け穴
KrebsOnSecurity : Blog (2011/12/02)
TrendMicroのRik Fergusonは、MasterCardとVisaによって維持されているクレジットカード セキュリティプログラム中の大変な欠陥について木曜日に、その肝要を投稿した。Fergusonが強調した欠陥は、人々を落ち着かなくするかもしれないが、クレジットカード情報を盗み、盗んだクレジットカードをオンラインで使用することを専門とする詐欺師は、数年間クレジットカード認証を攻撃し続けてきた。
問題となっているのは、“3 Domain Secure,” (3DS)と呼ばれるセキュリティプロトコルである。3DSとは、カード詐欺を減少するために設計されたプログラムであり、詐欺に関する賠償をオンラインで商売している人々からカード発行会社にシフトするプログラムである。VISAは、このプログラムを2001年に導入し“Verified by Visa(VISA認証サービス)”と名付けた。また、MasterCardも類似のプログラムを導入しており、”SecureCode”と名付けている。
このプログラムに参加している会員証保有者は、彼らのカード番号、郵便番号、誕生日、暗証番号を入力することによって、彼らのカードを登録できる。会員証保有者が3DSを使用している商用サイトで、そのカードを使用しようとすると、購入者は次に、そのコードの入力を求められる。これは発行した銀行による認証であり、決して商用サイトで共有されるものではない。
しかし、Fergusonの忠告として、人々は人間であり、物事を忘れる傾向にある(とりわけ暗証番号とパスワード)。VISA認証サービスやSecureCodeによって提供される如何なるセキュリティも取り外されてしまうのがパスワード リセット機能である。彼のブログから:
「詐欺師共が、あなたのカードの詳細にアクセスできたが、あなたのパスワードが分からない場合、犯罪者は何を実行するだろうか? もちろん、軽便な”パスワードを忘れた”のリンクである。それが、どのように上手に防御しているか見てみよう。パスワードリセットの手順の最初のステップは、カード番号の入力である。これは明らかに正しいアカウント用のパスワードを再設定することを保証している。カード番号を入力すると、あなたが正規のアカウント所有者であることを確認するために、システムは幾つかの対応データを要求してくる。同定フェーズに注目してみよう。」
パスワードリセットの第二ステップ
「ぎゃー! おかしなことばかりだ。同定認証に使用される情報項目の四つのうちの三つまでが、クレジットカード データそれ自体に含まれている(カードと磁気ストライプデータに浮き彫りにされていたり印刷されている)。犯罪者は既にデータの詳細にはアクセスしていたのではないのだろうか? 何が残っているのだろう? カードに含まれていない一つの情報。(【訳者挿入】それが誕生日である。)誕生日は、ソーシャルネットワーク、調査、サインアップ フォーム、他の無数にある場所で幅広く共有されるだけでなく、公共の記録中で自由に利用可能な情報でもあると言うことである。我々は誕生日が隠しておかなければならないことと考えることはできないし、考えるはずもない。」
「要求される情報で入力しなければならない唯一のことは、あなたが選択した新しいバスワードを入力することである。そして、商取引は認証される。更に悪いことに、会員所有者のアカウントにアクセスがあり、データが修正されたとする警告E-Mail通知を会員証所有者に送信しない。会員証所有者は、自分の取引明細書をチェックするまで、絶対に分からない。」
今日のサイバー詐欺師にとって、これが既に大変明らかなことであれば、非常にショッキングである。私はTrend Microのブログへの投稿を読んだ後、二年以上前から参加している地下のカードフォーラムの議論で取得した幾つかのスクリーンショットの検索を開始した。そして、このスクリーンショットはカードセキュリティの追加されたレベルを徘徊するための方法を非常に明らかに説明している。以下のスクリーンショット中のチュートリアルは、2009年のハローウィンにカードフォーラムcarder.proの管理者によって投稿された
この様なプログラムは、人々により安全であることを感じさせるように設計されているが、実際のセキュリティの方法に殆ど何も追加していないセキュリティの、もしくは単に他の部分にリスクをシフトした良い例である。3DSの支持者はTrend Microの投稿中に見られるパスワードリセットに関するアドバイスを適用し、昨年リリースされたケンブリッジ大学の研究者の論文(
“Verified by Visa and MasterCard SecureCode: How Not to Design Authentication” (PDF))のメインポイントを吸収することが賢明だろう。
あなた好みのインチキのアンチウィルスソフトを選ぼう????
Kaspersky : SecureList (2011/11/28)
あなたの天気予報が当たったとて、どうということもないだろう? しかし、これは違うかもしれない。本日、私は、悪意あるサイトを発見した。そこには、三つのアンチウィルスのインチキ ブランドが計画的に置かれていた。Kasperskyは、そのリストのトップにあった。そのサイトはどのように見えるのか?
過去、我々はインチキのスクリーンショットを使用してテンプレートを作成しているが、ユーザPCと如何なる双方向通信もしないインチキのアンチウィルスWebサイトを見てきた。この様なインチキは、何の感染も発見しない。犠牲者は、役に立たない製品を実行した後、簡単にカモにされる。けれども今、我々は、インチキのアンチウィルスが、マルウェア検索の結果をシミュレートする新しいバージョンを発見した。
そこで、どのように感染が発生するのか? そこにはスカムによって要求されるインチキGUIをダウンロードするドロッパー(Trojan.Win32.Scar.fdiz)がある。この検索は、このルールに則っている。
http://X.X.X.X/fakeav/interface.php?av=[Anti-Virus GUI name]&lang=en
以下に、このインチキアンチウィルス サーバのファイルのリストを示す。
新たなJava攻撃が脆弱性攻撃キットに組み込まれていた
The KrebsOnSecurity : Blog (2011/11/28)
Javaで最近パッチされた緊急のセキュリティフローを利用した新しい脆弱性攻撃が、密かに流行っている。この攻撃(Javaの最新バージョンを除く全てのバージョンで動作することが明らか)は、自動化された攻撃ツールに徐々に混ぜ込まれている。
この攻撃は、Oracle Java SE JDK、JRE 7、6 Update 27と、それ以前のバージョン中に存在する脆弱性を攻撃する。あなたが、Java 6 Update 29もしくは、Java 7 Update 1を使用中であるのなら、この脆弱性と、19の他のセキュリティ上の脅威に対してパッチが当てられた最新バージョンを取得しなさい。Javaの脆弱性のあるバージョンを使用しているのであれば、アップデートするタイミングである。Javaを持っているのか否か、どのバージョンのJavaが稼働しているのか分からないのであれば、
このリンクをチェックしなさい。ページが表示されたら、無料Javaのダウンロードの赤い大きなボタンの下にある「Javaの有無のチェック」をクリックしなさい。
数週間前、研究者Michael ‘mihi’ Schierlは、ある者がこの特定のJavaのフローを攻撃する可能性があることと、その方法の概要を示した。この週末、私はSchierlによって説明されたことと同じことを兵器化したことが明らかな脆弱性攻撃について、排他的なサイバー犯罪フォーラムでの論議に偶然でくわした。メンバーの一人によってポストされた、動作中の攻撃を示すビデオの録画が以下である。
【訳者挿入】 こちらのページにアクセスして、参照してください。
Javaへの脆弱性攻撃は、商用の脆弱性攻撃パック(ハックされたWebサイトを、最新のセキュリティパッチにアップデートしていないWebユーザに対する実際の地雷源に変換するソフトウェア キット)に同梱されたとき、成功することで有名である。犠牲者になるには、最新のJavaパッケージより古いバージョンで稼働しているFirefoxやInternet Explorerのバージョンで、ブービートラップされているサイトを訪問するだけでよい。そこで、このサイトは、ユーザに認識されることなくマルウェアをインストールする(この脆弱性を利用する方法を販売している悪党によると、幾許かの理由により、Google Chromeに対しては確実に動作するとは限らない)。
Javaはクロスプラットフォームなので、この攻撃は理論的にはMac OS X(Appleは、今月早期に、このフローと、他のJavaのバグを修正するApple自身のアップデートをリリースしている)のような非Windowsシステムに侵入することにも使用することができる。けれども今に関しては、私はWindows PCをターゲットにした攻撃が開始されたばかりであると聞いている。この攻撃はゆっくりとBlackHole脆弱性攻撃キット(今日のハッカーの市場で、最も広範に配置されている脆弱性攻撃パックの一つ)に組み込まれている。
インスタントメッセージを通じて得たところによると、BlackHoleを維持・販売の主たる責任を負うハッカーは、、この新しいJava脆弱性攻撃は、既存のライセンスを持っている者には無料で公開されると発言している。ライセンスを持っていない人に対しては、この脆弱性攻撃には、BlackHoleのライセンスのコスト(三カ月で$700、半年で$1000、一年で$1500)に加えて、$4000の正札が付いている。BlackHoleの著者はまた、彼自身が主催するソリューションを販売している。その中で、顧客は予めインストールされた彼のキット付きの防弾されたサーバーを、一週間$200、もしくは一月$500で借りることができる。
私は、この様なキットをジャンクにするために、Javaを必要としないように人々を促してきた。しかし、Javaを持っている人々はJavaを失くそうとしない。数少ないサイトやサービスのためにJavaを必要とする人々のために、ブラウザのプラグインからJavaを無効にしなさい、そして、必要な時だけ一時的に有効にしなさい。これは、この強力なプログラムでの問題を最小にする一つの方法である。Javaを要求するサイトやサービスのためだけに使用する補助ブラウザにJavaプラグインを残したままにすることが、別法である。
盗まれた政府のデジタル認証がマルウェアを証明するために使用された
The H : Security (2011/11/14)
政府のデジタル認証がマルウェアを証明するために使用された。F-Secureの報告によると、この認証は、Acrobat Reader 8の脆弱性攻撃を実行した後ドロップされ、悪意あるPDFファイルを拡散する一部のマルウェアに使用されていた。これは"anjungnet.mardi.gov.my"によって署名されていた。mardi.gov.myは、マレーシア農業研究開発所である。署名可能な認証を盗むには、まさに証明書を必要とはしないが、パスフレーズを必要とする。パスフレーズはキーロガーを使用することによって盗まれた。
マレーシア政府はF-Secureに、この認証は「随分前」に盗まれたと告げている。この認証は、2009年12月29日から2011年09月29日まで有効であった。そして、現在は期限切れである。そのため、デジタルサインされたマルウェアの優位性は削除された。ユーザがWebからそれらをダウンロードしたとき、未認証のアプリケーションには警告が発っせられる。しかし、合法的なサインのあるアプリケーションには警告は発生しない。しかしながら、公式に政府に属するキーで署名されたマルウェアは未だ極めて稀である。
多くのフリーのソフトウェアが金銭目的で再パッケージされている
ZSCALER ThreatLab : Blog (2011/11/08)
以前の投稿で、私は人気のあるソフトウェアプログラムがどのように再パッケージされ、スカマーによって販売されているか、あるいはマルウェアによって完全に置き換えられているかを示した。この様な再パッケージソフトウェアを提供している幾つかのWebサイトは、ここ数週間で増加している。最も人気ある再パッケージされたソフトウェアはFlash、アンチウィルスプログラム、VLC(ビデオ プレーヤ)が常であった。人気ある再パッケージプログラムのリストは肥大化し、あまり知られていない7zip (フリー、Winzip代替), WinSCP (Windows用SCPクライアント), Filezilla (FTPクライアント), GOM (メディアプレーヤ), Notepad++ (パワフルなテキストエディタ)等を含んでいる。
ここに幾つかの金銭目的のWebサイトがある。
Filezilla on http://filezilladownload.net/
VLC on http://downloadflashplayer.org/ advertised a s stand-alone Flash player
WinSCP on http://winscpdownload.com/
7zip on http://7zip-download.org/
ここに、この様なマルウェアを配布する能力のある9つの類似のWebサイトがある。
hxxp://filezilladownload.net/
hxxp://downloadflashplayer.org/
hxxp://avi-player.net/
hxxp://flv-player.org/
hxxp://gom-player.org/
hxxp://photoshopfreedownload.net/
http://winscpdownload.com/
hxxp://7zip-download.org/
hxxp://notepaddownload.net/
ダウンロードされるファイルは類似の命名の習慣を使用している。例えば、software-setup-win32.exe や software-setup-win32_us.exe: aviplayer-setup-win32.exe, winscp-setup-win32_us.exe, flashplayer-setup-win32,exe, filezilla-setup-win32_us.exe 等のように。これらのサイズは常に1.7MBである。
AVベンダの殆どの検出評価は非常に低い。NOD32だけが、私がVirusTotalに提出した3つのサンプル中にスパイウェアを発見した。
Conversionadによって再パッケージされたソフトウェア
実際に、このソフトウェアは三つの変更をする。まず、StartNow Toolbar(スパイウェア/アドウェアに関係しているとされる会社のZugoが作成した)をインストールする。次に、ホームページにMSNをセットする。次に、Defaultの検索エンジンにBingを設定する。全ての設定はDefaultで完了される。
MicrosoftパッケージはDefaultでインストールした
私は、carepages.comのような、フォーラム中のスパムコメントを通じてこの様なサイトを発見した。
再パッケージされたソフトウェアへのリンク
それらはGoogleの検索結果としても表示される。例えば、filezilladownload.net は、公式のfilezilla-project.org Webサイトへのリンクである四つの検索結果の直後の5番目にfilezilla downloadが表示されている。
Duquを検出するソフトDuquDetectorがリリースされた
The H : Security (2011/11/12)
研究者達はDuqu Botの0-Day攻撃配布メカニズムを同定する功績をあげた。ハンガリーのLaboratory of Cryptography and System Security (CrySyS)は、Duquコンポーネントがシステムから削除された後であっても、Duquを検出するツールキットをリリースした。
DuquDetectorは、Duquに感染されたシステムドライバ{"suspiciously high entropy"の付いたPNFファイル(【訳注】電子署名ファイル)、Duquの一時ファイル、一致しない.infファイル付きのPNFファイル(【訳注】.inf ファイル、即ちドライバは同じルート名を持つ署名ファイル .pnf ファイルと関連付けられています。)}を順番にスキャンする四つの実行ツールを包含している。DuquDetectorは、経験ある実行者(【訳注】トラブルシューティングのフォーラム等の識者)が解析するために、この結果をログファイルに残す。定義ファイルとヒューリスティックを基本とするこの組み合わせは、異常(例えば、疑わしいファイル)を検出する他のツール同様、誤検出が発生することを意味している。
この四つのツールは、より簡単に実行できるよう一つのバッチファイルに纏められている。そして、ソースコードが提供されているので、セキュリティ アナリストは実験し、検証した後このツールを再コンパイルすることが可能である。しかしながら、このツールはオープンソースとして当初リストされていたが、彼らは標準FOSSライセンスの使用許諾をとっていなかった。The HはCrySySに接触した。そして、数時間以内にCrySySはGPLv3ライセンスの元でこのツールを再リリースした。DuquDetectorのマニュアルには、ダウンロード可能なこのツールの操作に関する詳細が述べられている。
NSS Labもまた、彼らの
Duqu検出ソフトをリリースした(システムドライバをスキャンし主にパターンマッチで検出するPythonスクリプト)。このBSDライセンスのスクリプトは、開発者の
GitHubのレポジトリから入手できる。
Adobe Flashの重要性に関する考察
The PC Informant : Blog (2011/11/10)
殆どの人々がオンラインにダイアルアップで接続していた時代に戻る。帯域幅とオンラインストレージは現在より随分高価であった。今日汎用される巨大なファイルは簡単に実行できるものではなかった。私はそのような時代にWebサイトを開始した。そして私はファイルサイズを減少させることに、もがき苦しんだことをマザマザと記憶している。
私がWindowsを使用するための方法に関する幾つかの教育的クリップを作成しようとしたとき、私は、平均的PCユーザが使用するために、マルチメディアファイルを十分に小さくする方法を探すことに多くの努力を費やした。また、私がインターネット ホスティングサービスで、どの位ディスクスペースを使用しているかを確認しなければならなかった。
この種の環境はFlashを輝かせた場所になった(それはMacromedia Flashであった。後にAdobeはMacromediaを買収した)。Flashはベクトル法を使用した、そして、ビデオクリップのファイルを本当に小さくすることができた。ファイルサイズを小さくする見返りは、閲覧者のCPUが多大な計算を実行しなければならないということであった。しかし、Flashは私のプロジェクトで本当に唯一実行可能な方法であったので、私はFlashをプログラムする方法を学習した。
実際、Flashはあらゆる人にとって大変有用であったので、Flash Playerは誰のPCにも存在するプログラムになった。そして、現在のビデオクリップの方法として殆ど普遍的になった。これはYouTubeを可能にした。
しかし、このテクノロジは決して居座り続けることはできなかった。Flashはモバイル プラットフォームで大失敗した。Steve jobsはApple製品中にFlashを導入することを禁じ、Android上でも同じ様に実行された。そこで、AdobeはFlashのモバイルへの導入を諦めるとアナウンスした。
多くの人々は、Flashの終焉は間近であると発言している。HTML5と呼ばれる新しいWebページ記述方法には、ビデオを表示する方法が組み込まれており、外部プラグインやアドオンを必要としない。また、Micorosoftは、Windows8でFlashを提供しないことが確実である。私はFlashが絶滅に直面しているかどうかは知らないが、将来的には不確実であると思う。Flashの最終的運命がどうであれ、Flashはその時代において大変重要なテクノロジであった。
あなたはどう思っているのだろうか? Flashは時代遅れの物となる道を辿っているのだろうか?
Flash緊急アップデート、12のセキュリティホールを塞ぐ
KrebsOnSecurity : Blog (2011/11/10)
Adobeは、Flash Playerの緊急セキュリティアップデートをリリースした。このアップデートで、この広範に使用されているプログラム中の少なくとも12のセキュリティ上の脆弱性が修正されている。アップデートは、Windows, Mac, Linux, Solaris, Android版のFlashとAdobe Air版が利用可能である。
このアップデートは、Flash Playerの11.0.1.152とWindows, Mac, Linux, Solarisシステム中のそれ以前のバージョン中に存在するフローを修正している。Android用ではFlash 11.0.1.153とそれ以前のバージョン中に存在するフローが修正されている。この脆弱性は緊急と評価されている。これは、ハックされた、もしくは悪意あるサイトが簡単にあなたのマシンにソフトウェアをインストールすることができることを意味している。
Adobeの
アドバイザリは、Flashの11.0.1.152とそれ以前のバージョンの使用者は11.0.102.55にアップデートするように発言している。AndroidでFlash 11.0.1.153とそれ以前のバージョンを使用しているユーザは、Flash Player 11.1.102.59にアップデートするよう発言している。Windows, Macintosh, AndroidでAir 3.0を使用しているユーザは、AIR v. 3.1.0.4880にアップデートすべきとAdobeは発言している。Adobeは現時点で、この様なフローに対する実際の攻撃を認識していないとも発言している。
あなたがFlashのどのバージョンがインストールされているか分からないのであれば、
About Flashのページを訪問しなさい。Internet Explorerと他のブラウザでWebブラウズしているWindowsユーザは、夫々のブラウザでFlashをアップデートを適用する必要がある(Google Chromeのユーザは既にFlashの最新版を持っているはずである)。このアップデートを適用する必要性の確認のために、各ブラウザでもう一度上記About Flashのページにアクセスしなさい。Adobeダウンロードマネージャ(あなたが注意深くないのであれば、幾許かのソフトウェアが追加される傾向にある)の使用を回避するには、IEユーザは、以下のリンク(
32-bit IEインストーラ、
64-bit IEインストーラ)から直接最新のアップデートを入手しなさい。FirefoxとOperaのユーザは、こちらから
32-bitインストーラ、
64-bitインストーラを取得できる。あなたがどのバージョンを取得すれば良いか不明なのであれば、
Adobeのサイトがあなたに代わって選択してくれる(ただし、あなたが事前にこのオプションをアンチェックした場合を除いて、ダウンロードマネージャは、他のソフトウェアを押し付けようとする)。
最新のAdobe Airバージョン用のインストーラは、
このリンクから利用可能である。
Flashコンポーネントの中には、Adobe Readerを同梱している物がある。そこで、私はAdobeに、Readerの現在のバージョンがこの様な脆弱性に晒されているのか否か尋ねた。AdobeのスポークスマンWiebke Lipsは、今日のFlash Playerのアップデートにおいて修正された問題の中には、WindowsとMac用のAdobe ReaderとAcrobat X(10.x)にも付属するAuthplay.dllコンポーネントに影響を与える物があることを認めた。Lipsは、Readerの最新バージョンに備え付けられているSandboxingテクノロジが一月まで(AdobeがReader用の次の四半期ごとのアップデートが行う予定)ユーザを保護するだろうことに安堵を覚えていると発言している。
「この様な問題はAdobe ReaderとAcrobat用の次の四半期アップデート(2012年1月10日に予定されている)で解決されるだろう」そして「Authplay.dllコンポーネントは、潜在的脆弱性を防御するであろうAdobe Reader X(保護モード)とAcrobat X(保護されたビュー)の一部であることに注意しなさい」とLipsは記述している。
研究はプライバシー ツールが動作していないことを発見した
Sophos : Naked Security (2011/11/07)
メディカル イラストレータであるSteveは、昨年末、税控除対策として電子描画デバイスに小額の金銭を使おうとしていた。デバイスオンラインのような物件を注目した後、彼は、関連市場が捨てられた子犬のように彼に纏わりついていることに気がついた。Steveがブラウズした全ての場所で、Wacomsの広告が付いて回っていた。
チョット気味が悪い、と彼は言った。
我々はずっとそこにいる。我々がブラウズする、そして、会社は我々が見ていることをベースに広告を表示するという、彼らが我々に付き纏う方法を発見している。私は1型糖尿病患者なので、連続ブドウ糖モニタ デバイスの広告や、私の腹部にインシュリンを点滴する管の上に貼ることのできる花柄のデカールの広告を得た。
中にはこの広告を好む人もいるかも知れないが、我々大多数は好まない。
実際、カーネギーメロン大学のCyLabの2009年の研究によれば、彼らのオンライン上の行動が匿名化された場合でさえ、広告主達が彼らを追跡することに対し、与えられた選択肢のうちアメリカ人のうち68%が「明確に不要」、19%が「多分不要」を選択している。研究者達は、彼らに対応してくれた64%が、ターゲットにした広告が侵略的であると見做しているとしている。
もちろん、オンラインの肩越しに我々を監視する会社を好まないのであれば、我々のプライバシーを保護するための多くのツールがある。全てのメジャーなWebブラウザは、その設定中にプライバシーオプションを含んでいる。ユーザが広告ネットワーク用のクッキーを拒否する設定にすることが可能な拒否権ツールがあり、ユーザがドメインやパターンをブロックすることを可能にするツールがある。
CyLabの新しい研究によると、この問題は、この様なツールが何れも機能しないことにある。
CyLabのレポート(Why Johnny Can’t Opt Out)によると「我々は、検証した9つのツール全てで、深刻なユーザビリティ フローを発見した。」
「オンライン拒否権ツールは、理解し設定することをユーザに代わってチャレンジしていた」レポートは続ける。「ユーザは大多数の広告会社を嫌悪する傾向にある。そして、それ故、意義のある選択をすることができない傾向にある。ユーザは、我々がテストに供したブラウザが、追跡防止機能を備え付けているという事実を好もしいとしていたが、広告会社が、この優先権を尊重するのかと警戒していた。ユーザは、ブロッキング ツールをインストールし、このツールを効果的に使用するためのブロックリストを構築することに四苦八苦している。彼らは、そのツールを使用するための適切な設定をしていなかった時でも、彼らが使用しているツールがオンライン広告をブロックしていたと、しばしば誤って結論していた。」
この様な厄介なツールの不適切な設定に関して誰が彼らを非難できるのか? あなたは、Facebookのプライバシー コントロールが理解しがたいものであると考えているかもしれない。このようなプライバシーツール(汎用されているブラウザであるInternet ExplorerやFirefoxの設定に含まれている)は、苦痛を与えている。
好例として: CyLabの所長Lorrie Cranorによれば、一人の研究参加者は、一つのツールの拒否権の指示を行うことに47分かかった。彼は日本人だったのでGoogle翻訳サービスを利用しなければならかったと、Cranorはアメリカン・パブリック・メディア ポッドキャストで発言している。
例えば、TACOを取り上げてみよう。これは、CyLabが動作を試すモルモットにしたソフトの9つのツールの一つである。TACOのブロッキングに関する設定インターフェイスに単純にアクセスする。拒否権機能は4ステップを要する。ユーザは最終的に設定画面を表示される。それは、三つのトラッキングカテゴリ(Targeted Ad Networks、Web Trackers、Cookies)で表示されている。
このカテゴリ間の相違は、研究参加者にとっては全くのミステリであった。ブロッキングを有効にするには、ユーザはクリックできることさえ明らかにされていない三つの別々の“Not Blocked”テキスト部分をクリックしなければならない。ユーザが、その三つのボタンがクリックできることを十分理解していたとしても、彼は630のうちの幾つかをブロックしていることを知ることになる。研究に参加した46人の参加者の誰一人として630のターゲット全てをブロックした者はいなかった。
どれ程問題になるのだろうか? アメリカン・パブリック・メディアのインタビューで、SophosのChester Wisniewskiは、脅威は最小限(食品雑貨の購入で各店舗が付与するポイントカードのようなもの)であると発言している。「これは、顧客がどの商品を購入しているかというアイデアをショップに与える。そして、彼らのマーケティングと顧客ベースでの店舗における商品陳列を調整できる。発生する最悪のことは、広告会社があなたの個人情報を販売する可能性(換言すれば、あなたは自分の個人情報を自分自身で制御することができない)が存在することである。」
もしも重要視されていないのであれば、何故我々はこんなに注意する必要があるのか? 事実、CyLabの研究は、87%の人々が追跡されることを望まないことを、あるいは、誰かに自分たちのオンライン関係書類が構築されることを望んでいないことを示している。
人々が心配するのは正しいことである。マーケティングが各ショップのポイントカードより安全ではないと推測する先例がある。2007年に戻る、詐欺的なPCスキャンを推進したインチキのアンチスパイウェアは、DoubleClickとCNN、エコノミスト、ハフィントン・ポスト、フィラデルフィア フィリーズの公式サイトを含む合法サイトに食い込んだ。より最近、マルウェアはYahoo、Fox、Googleの広告によって配布された。
これに関する用語をMalvertising(悪意のある広告のことでインターネット広告を悪用して、悪意のあるソフトウェアをコンピューターにインストールしようとするもの)という。これはユーザがマルウェア広告上をクリックする必要さえない。代わりに、悪意ある広告はフラッシュスクリプトを使用したドライブバイダウンロードを伴っている。
これは容易に解決できない問題である。CyLabgが指摘しているように、プライバシーツールは、広告ネットワークの中で変動するターゲットを、その視点の中にとらえている。
多分、ユーザは彼らのオンラインプライバシーが安全であると決して思ってはならないということが、この研究の最大の収穫であるかもしれない。我々が学ぶほど、用語はより本質的矛盾を呈してきているようである。
Microsoft、Duquフローに関する一時凌ぎのFixをリリース
Krebs On Security : Blog (2011/11/03)
Microsoftは、Duquと名付けられているトロイによって攻撃されている0-Dayの脆弱性用のアドバイザリと一時凌ぎのFixをリリースした。Duquは、セキュリティ専門家がStuxnet以来の最も危険なサイバー スパイ行為を実行すると言う大変危険なマルウェアの種である。
アドバイザリによると、この緊急の脆弱性は大多数のサポートされているWindows(Windows XP、Vista、Windows 7)の中に存在している。この問題はWindwosが或るフォントタイプを解析する方法が原因である。Microsoftはこのフローをターゲットにした攻撃を認識しているが、影響を受けているのは僅かなユーザだけと思われると発言している。
それであるにもかかわらず、このフローは危険なフローである。Microsoftは、この脆弱性への攻撃が成功した攻撃者は、任意のコード、プログラムのインストールを実行でき、データの閲覧、改竄、削除や、完全なユーザ権限付きの新しいアカウントを作成できると発言している。脆弱性攻撃の殆どは、毒のあるE-Mail添付ファイルである。
Microsoftは、このフローを修正するために公式のセキュリティアップデートを開発中である。差し当たり、Windowsユーザが脆弱性あるコンポーネントを無効化することができるFixitツールをリリースした。このFixitを適用するとアプリケーションの中にはフォントを不適切に表示するものがあるかもしれない。Fixitを適用した後、この問題に遭遇した場合は、Microsoftアドバイザリ中の“disable”イメージをクリックし表示される指示に従うことで、いつでもアンドゥーできる。
【訳注】Microsoftの日本語サイトには、現時点でFixitは存在していません。
マイクロソフト セキュリティ アドバイザリ (2639658) TrueType フォント解析の脆弱性により、特権が昇格される を参照してください。
Windows XPは未だに最大のオペレーティングシステムである
The PC Informant : Blog (2011/11/03)
使用されているオペレーティングシステムの最新データが
NetMarketShareから発表された。このデータによると、Windows XPは減少しているもののコンピュータ調査の殆ど半分を未だに占めている。以下の図は、その数値である。
Aviraアンチウィルスは、自分自身を検出している
The H : Security (2011/10/26)
最近のシグネチャのアップデートで、Aviraアンチウィルスは自分自身をトロイやスパイウェアとして検出していた。失敗作のアップデートにより、Aviraは、自身のAESCRIPT.DLLファイルを"TR/Spy.463227"として検出していた。
この会社のスポークスマンは、Aviraサポートフォーラムでこの問題を確認した。感染と検出するAntiVir Virus Definition (VDF)は既に回収されていると注記している。全てのユーザは、この問題を解決している現在のバージョン7.11.16.146にアップデートするようアドバイスされている。
MyBBのダウンロードファイルが感染していた
The H : Security (2011/10/25)
ブログへの投稿で、MyBB開発チームは、MyBBのバージョン1.6.4のダウンロードパッケージが改竄されマルウェアを含でいたことを確認した。PHPコードを挿入し実行するためにMyBBのWebサイトのCMS中の脆弱性を利用することが、未知の攻撃者には可能になっていた。
この攻撃者は、MyBBの汚染されたバージョン(バックドアを含んでいる)をサーバ上に置いていた。このハックが発生した10月06日以前の1.6.4の全てが感染しているのかは明らかでない。MyBBシステムのユーザは、彼らのインストレーションをチェックしパッチを適用するようアドバイスされている。急いで感染を除去するには、/index.php ファイルをクリーンなバージョンに置き換え、/install/directory を削除するよう、開発者はユーザにアドバイスしている。
MyBB開発チームは、どのように結論すれば攻撃を成功から防ぐことができるのか思い悩んでいる。彼らが採ろうとしている対抗策の一つは、MyBBのダウンロードが本物であることを、ユーザがチェックできるようにチェックサムを公開することである。しかしながら、この攻撃者がチェックサムを記録しているサーバの制御を取得したなら、この方法は特に効果があるわけではない。より良い解決策はデジタル署名である(この手法は秘密鍵無にでっち上げる事ができないので)、けれども、デジタル署名の問題は、アップデートシステムが自動的にチェックする場合を除いて、殆どの人がデジタル署名をチェックできないことである。
Web感染解析の途中経過
Kaspersky : SecureList (2011/10/21)
この2日間、私はYury Namestnikovと共同して非常に多くの数の感染されたWebサイトを調査した。これは、私がスウェーデンの状態の統計を取り、あるJavaScriptリダイレクタの増加を確認し、Java、PDF、Flashの脆弱性を攻撃する新しい変種を新たに検出した時に開始された。私はSwedenが攻撃下にあると題する記事を公開した。読者は
こちらのページで、そのブログを読むことができる。
しかし、幾許かの調査の後、私は感染させられているのはスウェーデンだけではなくいことに気がついた。これは、世界的流行のようである。私は二つの異なったリダイレクタ(Trojan.JS.Redirector.roとTrojan.JS.Pakes.cp)が問題であることに気がついた。
図式
実際にには何が発生しているのか? この背後にいるギャングは、脆弱性攻撃を実行するWebアプリケーションとJavaScriptリダイレクタをロードする挿入されたHTMLコードである。これらがどのような脆弱性を攻撃しているのかは未だに明らかではないが、数百万のWebサイトがこの攻撃によって感染させられている。我々が認識していることは、SQLインジェクション経由で、このコードは挿入されるということである。これが、サーバの貧弱な設定によるものなのか、0-Dayの脆弱性によるものなのかも未だに明らかではない。HTMLコードを挿入するJavaScriptは以下のように稼働しているようである。
次のステップで、犠牲者は本人の本国を検証するサーバにリダイレクトされる。この場所に応じて、悪意本体が実行される。我々が確認した一つの例では、ユーザはYouTubeビデオを装う悪意あるWebサイトにリダイレクトされた。このサイトでは、ユーザにFlashPlayerのアップデート(実際にはマルウェア)をダウンロードするようユーザを促している。
この技術的セットアップは、数ヶ月前に論じたLizamoonの場合と殆ど同じである。同じファイル名、同じテクニック、またサーバーセットアップも非常に類似している。
マルウェアの解析(途中経過)
犠牲者がインチキのFlashアップデートをダウンロードし実行すると、実行と同時に以下のサーバーに接続される。
209.212.147.141/chrome/report.html
98.142.243.64/chrome/report.html
65.98.83.115/?19= (Virtual Host: update.19runs10q3.com)
実行と同時に、このマルウェアはホストファイルを既知の「毒」のあるドメインに改竄する。これは感染したコンピュータにインチキのDNSサーバを使用させ、ユーザを悪意あるWebサイトにリダイレクトする。
[redirected_dns]
-affiliate=9;
-DnsServerIp=66.197.152.72;
-DnsServerIp=75.102.22.72;
-DnsServerIp=205.234.236.192;
-FakeDnsServerIp=66.197.152.71;
-FakeDnsServerIp=75.102.22.71;
-FakeDnsServerIp=205.234.236.191;
[redirect_timeouts]
-response_timeout=40000;
-redirect_deactivating_interval=40020;
[reports]
-Version=260;
-host=98.142.243.64/chrome/report.html;
-host_first=209.212.147.141/chrome/report.html;
-check_timeout=10000;
-disable_reports=0;
[AntiRB]
-server=65.98.83.115;
[GUI]
-long_start=0;
[UAC]
-DelayBeforeRun=10;
[redirected_ips]
[redirected_domains]
-www.google.com.=87.125.87.99;
-google.com.=87.125.87.103;
-google.com.au.=87.125.87.104;
-www.google.com.au.=87.125.87.147;
-google.be.=77.125.87.148;
-www.google.be.=77.125.87.149;
-google.com.br.=77.125.87.109;
-www.google.com.br.=77.125.87.150;
-google.ca.=77.125.87.152;
-www.google.ca.=77.125.87.153;
-google.ch.=77.125.87.155;
-www.google.ch.=77.125.87.158;
-google.de.=77.125.87.160;
-www.google.de.=77.125.87.161;
-google.dk.=92.125.87.123;
-www.google.dk.=92.125.87.160;
-google.fr.=92.125.87.154;
-www.google.fr.=92.125.87.134;
-google.ie.=92.125.87.170;
-www.google.ie.=92.125.87.177;
-google.it.=92.125.87.173;
-www.google.it.=92.125.87.147;
-google.co.jp.=92.125.87.103;
-www.google.co.jp.=84.125.87.147;
-google.nl.=84.125.87.103;
-www.google.nl.=84.125.87.147;
-google.no.=84.125.87.103;
-www.google.no.=84.125.87.147;
-google.co.nz.=84.125.87.103;
-www.google.co.nz.=84.125.87.147;
-google.pl.=84.125.87.103;
-www.google.pl.=64.125.87.147;
-google.se.=64.125.87.103;
-www.google.se.=64.125.87.147;
-google.co.uk.=64.125.87.103;
-www.google.co.uk.=64.125.87.147;
-google.co.za.=64.125.87.103;
-www.google.co.za.=64.125.87.147;
-www.google-analytics.com.=64.125.87.101;
-www.bing.com.=92.123.68.97;
-search.yahoo.com.=72.30.186.249;
-www.search.yahoo.com.=72.30.186.249;
-uk.search.yahoo.com.=87.248.112.8;
-ca.search.yahoo.com.=100.6.239.84;
-de.search.yahoo.com.=87.248.112.8;
-fr.search.yahoo.com.=87.248.112.8;
-au.search.yahoo.com.=87.248.112.8;
-ad-emea.doubleclick.net.=64.125.87.101;
-www.statcounter.com.=64.125.87.101;
[redirected_domains_hosts]
-www.google-analytics.com.=64.125.87.101;
-ad-emea.doubleclick.net.=64.125.87.101;
-www.statcounter.com.=64.125.87.101;
このマルウェアは、次に以下のホスト名を毒するためにホストファイルを改竄することでDNS構成を変更する。
74.55.76.230 www.google-analytics.com.
74.55.76.230 ad-emea.doubleclick.net.
74.55.76.230 www.statcounter.com.
このマルウェアのアップデートのダウンロードと実行は更に、以下のリクエストの幾つかを収集する。
v=spf1 a mx ip4:%d.%d.%d.%d/%d ?all
/?controller=hash
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7
/?abbr=RTK&setupType=update&uid=%d&ttl=%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7
HTTP/1.1
/update_c1eec.exe
Host: update1.randomstring.com
User-Agent: IE7
/?abbr=RTK&setupType=update&uid=%d&ttl=%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com
我々は、Java、PDF、Flashへの脆弱性攻撃がインターネット上で激しく増加していることも確認しているが、この攻撃が、この様な脆弱性に晒されている犠牲者を攻撃するための役割を果たしているのかどうか未だに明らかになっていない。しかし、統計で言及されている全ての国々において、この脆弱性攻撃は、9月と10月に劇的に増加している。情報が判明次第、直ちに続編をポストするだろう。
Adobe : Flash中のWebカメラ スパイホールを是正
The H : Security (2011/10/21)
Adobeは、攻撃者が彼らのカメラとマイクロフォンを通して、気付かれることなく犠牲者をスパイすることのできたFlash中のクリックジャック ホールを修正した。スタンフォード大学の学生Feross Aboukhadijehによってこのフローは発見され、この前の火曜日にその詳細が彼のブログで公開された。
通常、カメラとマイクロフォンは無効化されており、ユーザだけがそれらのスイッチを入れることが可能である。ユーザを欺きカメラとマイクロフォンを有効にするために、攻撃者は特別に細工されたWebサイトに単純なクリッキング ゲームを表示した。このゲームのユーザがマウスで幾つかのボタンをクリックすると、バックグラウンドで、このWebサイトは非表示にしてあるiFrameでFlash Player Settings Manager(Flashプレーヤー設定マネージャ)を開く。このゲームのユーザがクリックすると、このクリックは設定メニューに渡され、ユーザは攻撃者にビデオと自動インプットデバイスへのアクセス権を与えることになる。
この攻撃は2008年に始まった。この時点で、Adobeは、彼らのWebサーバ上の設定ページを改定することで(JavaScriptに数行追加し、このページをiFrame中にロードされることを防止)この問題を是正した。しかし、Adobeはあることを見落とした。Flashファイル(.swf)は、直接iFrame中に埋め込むことができる。iFrame中にFlash Player Settings Manager(Flashプレーヤー設定マネージャ)のコンポーネントを埋め込むことによって、通常Flashファイルに関連するWebサイトのコンテンツはロードされない。そして、このフレームを追っ払うコードは決してロードも稼働もされない。
Adobeは現在、AdobeのWebサーバ上でホストされているFlash Player設定ファイルをアップデートすることで、この問題を修正した。ユーザは自身のFlash Playerインストレーションをアップデートする必要はない。
20のセキュリティホールを修正して、緊急のJavaアップデート
Kebs On Security : Blog (2011/10/20)
Oracle Corpは、広汎に使用されているJavaソフトウェア バージョン中の少なくとも20のセキュリティホールを修正した緊急のアップデートをリリースした。Javaの脆弱性の殆ど全ては、ユーザ側の操作を殆ど必要とせずに脆弱性あるシステムをリモートから改竄する攻撃に使用される。
あなたがJavaを使用しているのであれば、今プログラムをアップデートしなさい。Microsoftによって今月公開されたレポートによれば、2011年の上半期に観察された最も一般的な脆弱性は、Javaのフローをターゲットにしたものであった。このレポートは、Javaに対する脆弱性攻撃が、最近の各四半期毎に観察された全ての脆弱性攻撃の1/3から1/4を占めていることも忠告している。
今回のアップデートで修正されたフローの一つに対する脆弱性攻撃の方法は、ブエノスアイレスで開催された最近のセキュリティ カンファレンスで詳細に説明された。このカンファレンスでは、暗号化されたSSL、TLSトラフィックをインターセプトする方法が研究者によってデモンストレーションされた。
あなたがJavaを使用しているかどうか分からないのであれば、
このリンクに進み、次に「無料Javaのダウンロード」という赤い大きなボタンの下にある「Javaの有無のチェック」をクリックしなさい。Javaをインストールしている大多数の人は、アップデートを実行し、最新のパッチであるJava 6 Update 29に更新しなさい。Javaはまた、Java 7にメジャーバージョンをアップデートしてリリースしている。Java 7が通常ユーザや開発者にとってより良いものであるかどうかは、現時点では定かでない。その理由は、java.comの無料のJavaダウンロードリンクが、Version 6 Update 29しか提供していないからである。
Microsoft Windowsユーザは、WindowsのコントロールパネルのJavaアイコンをクリックし、次にアップデートタブにある”直ぐにアップデート”をクリックすることでJavaをアップデートできる。
私は読者にJavaを削除し使用しないよう奨めるが、。Javaを維持したまま、Javaが悪意あるWebサイトによってターゲットにされる可能性を減少させるには、ブラウザからJavaを無効化しなさい。Mozillaでは、アドオン ページのプラグインメニューからJavaのONとOFFを切り替えることができる。Internet Explorerでは、「アドオンの管理」オプションから無効化できる。
最終的に、Windowsユーザはコントロールパネルのプログラムの追加と削除でJavaの一つ以上のバージョンを見つけるかもしれない。古いJavaのバージョンはアップデート後に安全に削除可能である。Java 6中のアップデータは、アップデートをインストールする前にJavaの古いバージョンを削除できるよう、随分前に変更されている。あなたがJava 7にアップグレードしているのなら、Java 6を削除しないよう注意しなさい。
Microsoft: SpyEyeとの戦闘を開始
The H : Security (2011/10/14)
10月11日の定例アップデート以来、MicrosoftのMalicious Software Removal Tool (MSRT、悪意のあるソフトウェアの削除ツール)は、SpyEyeオンラインバンキング トロイの削除を開始していた。MicrosoftのMalware Protection Centerのブログによれば、ZeuSとともにSpyEyeも広汎な感染物質と捉えられている。MSRTは、Windows Updateで無料配布されており、世界中のおよそ6億のコンピュータで使用されている。一般的に、Windows Updateが終了したとき、バックグラウンドで自動的に起動される。
MicrosoftがSpyEyeの検出に依存した要素には驚いた。このスキャンは単なるシグネチャ ベースなので感染物質のうちの既知の変種を検出できるだけである。言い換えれば、このツールがリリースされたときに、既にフィールド中に存在するものだけを検出する。しかし、このスキャンがリリース直後に実行されたなら、多分、ウィルス作成者が対応行動を取る前にアクティブなSpyEyeを削除可能である。
ちょっとした変化であれば過去のMicrosoftのスキャナで十分である。SpyEyeは独立してそれ自身をアップデートするため、このスキャナはSpyEyeの新しいバージョンが現れる数時間前だけ、その新バージョンの検出が可能だろう。感染したシステム上でWindows Updateを稼働する数日前にMSRTがアップデートされていた場合は、あなたにとって何の便益もないだろう。
Poision Ivy Remote Administration Tool(RAT。【訳注】OSの管理者権限で振る舞うよう作成されているため、比較的検知率が低いことで知られる)の検出もまた新しくなっている。このバックドアは6年以上に渡って流通している。この基本バージョンは検出容易であり、至極一般的なものである。つい最近、このツールはセキュリティ スペシャリストRSAを攻撃するために使用された。MicrosoftがPoision Ivyを検出するツールを今まさに使用中なのかは明らかにされていない。
Bing(Yahooも)危険なインチキ広告の表示を継続中
Sunbelt : GFI Blog (2011/10/13)
我々は、この件を今迄にも注意してきた。MicrosoftはBing上に置いた広告を管理する必要がある。Bingは最も広汎に使用されている検索エンジンではないが、Yahooもまた同様にこの件に一役買っている。
今回の場合、我々はSirefef(ZeroAccess 別名 Max++)のことを語っている。このマルウェアは現在Net上を徘徊しているマルウェアの中で最も扱いにくいものである。Sirefefは、削除しようとするいかなる企ても葬るので(レスキューディスクでブートしクリーンアップを実行するか、再フォーマットすることを除いて)クリーンにすることが殆ど不可能である。
Bingで”adobe flash”を検索すると、以下の広告が表示されるだろう。
(YahooはBingの広告と検索結果を表示するようになっているので、Yahooで同じ用語で検索すると同じ結果が表示される。)
クリックすると無害なように見えるフラッシュのダウンロードページに導かれる。
注意: このページのURLは"GetAdobeFlash.com"となっているが本物の"GetAdobeFlash.com"ではない。改竄されたトラッキングサイト(arulbrothers.com)にリダイレクトされる。ファイルは、torreandaluz (dot) com/flash/Flash Player 10 Setup.exe からダウンロードすることになる。
このFlash Playerをダウンロードし、VirusTotalにアップデートすると、Sirefefであることが分かる。
MicrosoftとAppleから緊急のセキュリティ アップデート
KrebsOnSecurity : Blog (2011/10/11)
MicrosoftとAppleが本日リリースしたセキュリティアップデートは、両メーカーのソフトウェア中の夥しい数の緊急のセキュリティ問題を修正している。Microsoftのパッチは、WindowsとMicrosoft製品中の少なくとも23の脆弱性を修正している。Appleのアップデートは、iTuneのWindowsバージョン中の75以上のセキュリティフローを解決している。
Microsoftが本日パッチで修正した23のフローの9つは、「緊急」と評価されている。これは、攻撃者がユーザから何の支援もなく、そのような脆弱性を攻撃し侵入することが可能であったことを意味している。この緊急とされる9つのフローのうちの8つは、Internet Explorer中に存在する。残りの緊急のフローは、このアップデートで.NETフレームワークを修正するものである。この様なアップデートで修正される脆弱性のうちの3つは、既に一般に明らかにされている。この中には、ペテン師が直ぐに脆弱性攻撃を開拓してくるだろうとMicrosoftが考えているWindowsメディアセンター中のフローを含んでいる。
iTuneのアップデートは音楽プレーヤーのバージョンを10.5にしてきた。このバージョンは、Windows 7, Vista, XP SP2とそれ以降が稼働しているMicrosoftのシステムで利用可能である。iTuneの二つの新しい機能は、ここで述べるに相応しいものである。Appleは、二つの新しい機能が今週末にリリースされたとき、iOSにアップグレードしたiPhoneとiPadのユーザはiTuneでワイアレスで同期することが可能になるだろうと発言している。このアップデートでより重要なことは、AppleがiTuneをQuickTimeの呪縛から解いたことである。
ユーザはiTuneを稼働することによってアップデートをダウンロードできる。iTuneを起動したときにiTune 10.5のダウンロードに向けられなかったならば、”ヘルプ”をクリックし、次に”アップデートのチェック”をクリックしなさい。OS Xユーザの中には、iTuneのMacバージョン中に大変多くのフローが存在することを不思議に思うかもしれない。SANSインターネット ストーム センターによれば、Macユーザはセキュリティアップデート2011-006とOS X Lion v. 10.7.2でこの様な問題の幾つかが修正されるだろう。しかしながら、差し当たり、これらのアップデートのいずれもリリースの表明はなされていない。
最新のWindowsのパッチは、Windowsアップデートもしくは、自動アップデートから入手できる。
LibreOfficeウィルスに攻撃される可能性のあるWordインポートフローを修正
The H : Security (2011/10/06)
LibreOfficeユーザは、LibreOfficeをアップデートしなければならない。LibreOffice中のMicrosoft Wordドキュメントをインポートするために使用されるコード中にセキュリティホールが発見された。LibreOfficeの最新バージョンは、この問題の修正している。
インポートコード中のメモリ損壊に関連する脆弱性は、ウィルス製作者が脆弱性のあるシステムに敵対的なコードを挿入するメカニズムを作成可能にすると、The Document Foundationの開発者は警告している。このバグは、RedHatのセキュリティ研究者Huzaifa Sidhpurwalaによって発見され、LibreOfficeのバージョン3.4.3で修正された。
LibreOffice 3.4.3はまた、ドキュメント中のWindowsメタファイル(.wmf)とWindows拡張メタファイル(.emf)イメージローディングにまつわる些細なセキュリティ上の問題も解決している。
この脆弱性に関するLibreOfficeのアドバイザリは、
こちらに存在する。
FirefoxとSeaMonkeyユーザはMcAfee ScriptScanを無効化するよう警告されている
The H : Security (2011/10/05)
Mozillaによれば、彼らのブラウザFirefox、SeaMonkeyとMcAfeeのScriptScanプラグインの間の深刻な非互換性は「大量のクラッシュ」を発生させたと発言している。この問題は、当初、9月に明るみにでた。ブラウザ中にロードされてWebページの悪意あるコードをチェックするツールであるScriptScanのバージョン14.4.0で、問題が発生することをMcAfeeフォーラムのメンバーが報告したことに始まる。Mozillaがプラグインをブロックすることが必要であると認めたのは7月以来初めてのことである。
FirefoxとSeaMonkeyの全バージョンは、McAfee ScriptScanの全ての現行バージョンで、この問題の影響を受ける。Mozillaは、ScriptScanユーザは、このブラウザプラグインを無効化するよう推奨している。McAfeeのスポークスマンFrancie Coulterによれば、この問題は、Firefoxのバージョン 7にのみ影響すると発言している。更に、「McAfeeはこの問題を解決にむけてFirefoxチームと共同で仕事している。そして、遠からずアップデートをリリースする予定である」とも発言している。
Adobe: Photoshop Elementsの緊急の脆弱性を警告
The H : Security (2011/10/04)
Adobeが、Photoshop Elements(画像編集プログラムPhotoshopの一般消費者バージョン)にセキュリティ上の脆弱性があることをユーザに警告している。Adobeによれば、Windows版の1.0から8.0を含む全てのバージョンが、バッファオーバーフローのバグを含んでいる。この脆弱性はAdobeの評価では”緊急”である。この様な脆弱性は、任意のコードを実行することによって犠牲者のシステムを改竄することで攻撃者によって攻撃される可能性を持っている。攻撃が成功すると、犠牲者は最初に悪意あるグラデーション(.grb)かブラシ(.abr)ファイルを開くことになる。
Photoshop Elements 8は、もはやサポートされていないので、このバグを修正するためのアップデートは提供されない。バージョン9と10は影響を受けない。Adobeは、信用されないソースからのファイルを開かないように、もしくはバージョン10(新しい有料版)にアップデートするよう、ユーザに忠告している。このセキュリティホールは、Zero Science LabのGjoko Krsticによって発見された。
Chrome、Microsoftの誤検出被害を修復するアップデートをリリース
The H : Security (2011/10/02)
Google Chromeの新しいバージョンが利用可能になった。リリースされた最新の安定版のバージョン番号は、14.0.835.187 である。また、最新のベータ版のバージョンは、15.0.874.58 となる。このChromeのアップデートでMicrosoft Security Essentialsが、このブラウザをバンキング トロイ PWS:Win32/Zbot (Zeus)として不正に分類した誤検出が停止される。
Microsoft Security Essentials、Microsoft Forefront、Microsoft Defenderの不良パッチは、これらスキャナがchrome.exeをマルウェアと同定し、このブラウザを削除するよう提案した原因であった。火曜日、Microsoftは、誤検出を停止するためにシグネチャの定例外アップデートをリリースした。Chromeのアップデートは、インストールされているChromeのバージョンを修復することによって、MSEの不正な検出と削除の影響を受けた人々をアシストするはずである。必要であれば、
手動による修復の説明も閲覧できる。
E-Mail添付の .doc ファイルを開くときは十分な注意を払いなさい
Bkav : Bkis Global Task Force Blog (2011/09/30)
E-Mailを使用してマルウェアを拡散することは常に大変効果的であり、この手法は未だに悪い奴等によって広汎に使用されている。知っているだろうが、MyDoom、Brontok等のようなE-Mailワームは世界中の数百万のコンピュータに感染している。セキュリティ機関とアンチウィルス企業のユーザに対する警告の努力によって、E-Mail添付ファイルのウィルスは、以前に比べれば効果は低減している。ユーザは今、見知らぬ送信者からのE-Mail添付ファイルに大変用心深くなっており、添付ファイルのアイコンが如何に類似していようともファイルの拡張子に多くの注意を払っている。このことが、悪い奴等に彼らの手法の変更を強制させた。注目に値する新しい手法の一つが、ユーザに安全なファイルと思い込ませるために、ファイルの拡張子を隠蔽するRLO(Right to Left Override、【訳注】RLOコード以降を逆順表示するUnicodeの制御記号)攻撃である。
何がこの問題の本質なのか? アラビア語やヘブライ語のような言語は右から左に記述する。(【訳者挿入】現行の日本語や英語のような左から右に記述する言語の文章中に、右から左に読む言語の文字セットを挿入する場合)そのような言語の文字セットの最初にコード(U+202E)を挿入することで、この文字セットを逆順表示することを、Microsoftはサポートしている。ファイル名 XXXcod.exe に注目して欲しい。U+202E コードを文字”c”の直前に挿入すると、このファイルは、XXXexe.doc として表示される。このケースの場合、悪い奴等が.docファイルのアイコンをこのファイルに着せたなら、あなたは疑わず、即座にこのファイルを開くかもしれない。
実際はウィルスの実行ファイル
全くもって手の込んだテクニックであることが分かる。もしも適切な注意を払わなければ、専門家でさえ欺かれるかもしれない。あなたのコンピュータを保護するには、この様な添付ファイルを起動する前にファイル属性を検証すべきである。この様なファイルが、別の拡張子を表示しているにもかかわらず、実行可能ファイル(.exe, .scr, .pif等)であることが指定されていたなら、それはウィルスである。
簡単な方法として、あなたはコンピュータの安全性を確保するために、このファイルをSandbox中で稼働することができる。最良の方法は、ウィルスに対する包括的保護を提供する世間が認めるアンチウィルス プログラムを使用することである。
Mozillaは、Firefox中のJavaの無効化を考えている
The H : Security (2011/09/29)
Firefoxの開発者は、最近顕在化したSSL/TLS脆弱性の消極的解決策として、現在OracleのJavaプラグインの無効化を議論している。Javaプラグインは、攻撃者が先週Juliano RizzoとThai Duongによって呈示された脆弱性攻撃に利用しているコンポーネントである。この二人の研究者は、任意のWebページのクッキーが暗号化された接続経由で送信されているにもかかわらず再構築されることことをデモした。
TLSを使用する傾向にある暗号文ブロック連鎖モード(CBC、Cipher-Block Chaining)上で彼らの選択平文攻撃に関して、RizzoとDuongは、ブラウザの同一生成元ポリシー(Same Origin Policy)をバイパスすることで、例えばJavaアップレットドメインの外のサーバーと接続することができた。
同一生成元ポリシー(Same Origin Policy)の目的は、明らかにこれを防止することだが、今までに明らかになっていないJavaのバグは、攻撃者が何ら気にすることなく利用できることを明かにした。Firefox開発者の意見では、つまり責任はまず、OracleがJavaの問題を解決することであるとした。しかしながらOracleは、今迄対応に失敗している。これはFirefoxの開発者が、セキュリティ上の理由から全てのJavaプラグインを無効化するアップデートのリリースを考慮することを促進させた。しかしながら、これは、かなりのユーザの機能を無効化するだろう。Firefox技術部長Johnathan Nightingaleが挙げた例では、Facebookのビデオチャットや様々なJavaベースの企業アプリケーションが含まれる。
GoogleはChromeの開発バージョンで異なった解決策を実装した。攻撃者が挿入された平文の制御をより困難にするためにパケットを分割した。そして、空っぽのパケットが各パケットの前に追加された。今までに受け取ったレポートは、非常に僅かなサイトではあるが、このアプローチは問題を発生することを示唆している。しかしながら、GoogleがChromeの安定バージョンにこの解決策を統合するかどうかは判っていない。
Microsoftの推奨する解決策は、ユーザがTLS 1.0をTLS 1.1に切り替えることであるが、このアプローチはサーバーがTLS 1.1をサポートすることを要求する。今迄、極めて僅かなサーバーだけが、このサポートを提供している。Firefox開発者の中には、Microsoftの対策が問題を解決することにならないと考えている者もいる。なぜなら、Javaは、それ自身TLSスタックを使用している。そして、このスタックは脆弱性のあるTLS 1.0をサポートしているだけである。
検索エンジンBingに更に悪質な広告
Sunbelt : GFI Labs Blog (2011/09/29)
エンドユーザをマルウェアのダウンロードに導くBing(検索エンジン)の悪質な広告が、最初に我々のレーダーに出現したのは
09月16日であった。
同月19日に、我々は再び、この悪質な広告についてポストした。この悪質な広告が再び回帰した。今回、検索し少し待って表示される”Firefox download”の広告は、インチキのFirefoxダウンロードを促進している。
あなたは、悪意ある者がトリックに失敗していることに気がついているだろう。最新版がFirefox 7であるのに対し悪意ある広告はFirefox 6である。関連URLは、hotelcrystalpark(dot)com/firefox_1 と、URL dl-labsにホストされているマルウェア付きのfirefox(dot)dl-labs(dot)comである。VirusTotalのスコアは、
6/43である。VIPREは、これをTrojan.Win32.Kryptik.cqw (v)として検出する。
新たに盗まれたデジタル認証が多目的バックドアQbotによって使用された
ESET : Threat Blog (2011/09/27)
Qbotトロイの背後にいる犯罪者達は、何にも活動していなかったわけではない。今月早くに、私は
ブログにポストして言及したように、平穏な夏の後、私たちは新たな一団のQbotの変種を見ることになった。興味ある事実は、悪意あるバイナリはデジタルサインされていることだった。盗まれた認証は、Word & Brownと呼ばれる会社に交付され、後にVerisignによって取り消された。
昨日、ウィルス作成者は、この多目的バックドアの新種を立ち上げた。この変種は新しいパッカー(【訳注】実行形式ファイルを実行可能な状態のまま圧縮するソフトのこと)を使用している。このパッカーは以前のリリースで使用されたものと全く異なっていた。ESETスキャンニング エンジンは、このトロイをヒューリスティックに検出可能である。
この様な新しいサンプルは以前使用していたものとは別の認証のデジタルサインを再び使用している。現在の認証は、この記事を記述している時点でTowers Watson & Coに対して発行されており、我々はこの認証を取り消すよう働きかけている。
ESETセキュリティソフトウェアは、このトロイのこの様なバージョンをWin32/Qbot.AYとして検出する。注意深い読者は、検出名が、私が以前のポストで言及したものと同じ名前であることに気がついただろう。この理由は、検査した中身にある。昨日のアップデートは新しい変種のためではない。同じマルウェアだが、新しいパッカーと新しいデジタル認証が使用されていたことによる。
インチキのDHCPを装うウィルスが商用ネットワークを撹乱している
Bkav : Bkis Global Task Force Blog (2011/09/22)
最近、多くの商用ネットワーク中のユーザが、Webサイトにアクセスできなくなった。代わりに、ブラウザをアップデートすることを要求されている。
“Bowser update”をクリックすると、”プログラム”はユーザのブラウザを”アップデート”するためのダウンロードを提案してくる。
これは紛れもなくウィルスである。
この様な問題を持つLANは全て、少なくとも一つのコンピュータが、W32. Gatpaz.Wormに感染している。このウィルスはDHCPサーバを模倣し、DNSアドレスをハッカーのサーバーに置き換えるためにクライアントに設定情報を送信する。そこで、感染したコンピュータがインターネットに接続しようとすると、ユーザはハッカーによって巧妙に作り上げられたフィッシングサイトにリダイレクトされる。
動的IPアドレスを割り当てるDHCPサーバを使用しているLANだけが影響を受ける。
上図のIPアドレス割り当てモデルにおいて、各LANは、そのクライアントにIPの管理・割り当てを担当する一つのDHCPサーバに組み込まれている。あるクライアントがインターネットに接続するためにIPアドレスを必要としたとき、ネットワーク上にDHCPDISCOVERというメッセージを放送する。メッセージを受け取ると、DHCPサーバはクライアントにIPアドレスを割り当てる。この放送プロセスが、ハッカーがインチキのDHCPサーバを組み込むために脆弱性攻撃をする(Gatpazはネットワーク上のクライアントのどれかにインストールされる)場所である。一方、クライアントに割り振るIPアドレスは、インチキのDHCPサーバがクライアントのDNSサーバをハッカーの物に変更する。そこで、ハッカーはユーザのWebサイトへのアクセスの完全な制御を取得する。
ウィルスによる商用のネットワークの破壊現象を完全に解決するために、Bkavは包括的企業向アンチウィルス ソフトウェアを使用するよう推奨する。
Adobe: Flash Player用の緊急のセキュリティパッチを準備
Sophos : Nacked Secuirty (2011/09/21)
水曜日はIT部署の者にとって良い日になるだろう。Adobeは、あなた方のコンピュータをより安全にするためにAdobe Flash Playerの緊急セキュリティパッチをリリースする予定である。
Adobeは今日、09月21日(水)にFlash Playerの緊急のセキュリティアップデートをスケジュールしたと予告した。
Adobeの簡単な説明によれば、このアップデートで以下が解決される:
「重要な国際的クロスサイトスクリプティング問題同様、この製品の緊急のセキュリティ問題は、フィールドにおいて攻撃目標にされていると伝えられる脆弱性攻撃である」
緊急のセキュリティパッチは、全てのインターネットユーザ(Flashを使用する全ての人。iPhoneとiPadのユーザは安心できる)が、このパッチがリリースされると可能な限り直ぐにコンピュータをアップデートすることが賢明である。
最新の情報に関しては、
Adobe PSIRTブログ(英文)を監視しなさい。
三菱東京UFJ銀行を装う攻撃
Kaspersky : SecureList Blog (2011/09/19)
幾千幾万のフィッシングE-MailとWebページを取り扱ったとしても、それらは如何なる方法であれ、形式であれ通常実際に私に届くことはない。それらを調査し検出リストに追加するのは通常業務なのだから。しかし、最近私は趣きの違うE-Mailを得た。それは私の銀行から送信されたことになっていた。
スパマーはインターネットを介して、そのようなE-Mailを巨大な量送信している。この件の場合、このメールは、我々のアドレスに届いたので悪意あるサンプルを受けとることになった。我々は如何なる悪意をも訪問することもなければ検索することもない。このメールは自発的に我々の元にきた。通常インチキのE-Mailは私に関係していない組織に関連付けられているので、私はインチキのE-Mailを発見することができる。しかし、今回は違っていた。そのE-Mailは、私が実際に使用している銀行からだった。私の給料は、この銀行に振り込まれる。私はソーシャルエンジニアリングの第一段階がどのように成し遂げられるかを洞察した。このメールは「信頼関係」を構築している。なぜなら「私の銀行」からだから。そして、彼らは私がそこの顧客であることを知っている。
過去、この様なインチキE-Mailは、綴りが酷かったり、文法上の誤りがあったりするので、インチキE-Mailを同定することは簡単だった。しかし、今回のこのE-Mailの内容は、少なくとも一瞥した段階では全く本物のように見える。日本語は、礼儀正しさと形式を表現する構文になっているために、恐ろしいほど乱れがなく美しい。このE-Mail中の幾つかのフレーズは、高等教育を受けた書き手のレベルに及んでいない。
このE-Mailは、実行ファイルが添付されていた。その目的は、疑いを持たないユーザのパスワードとTAN(Transaction Authentication Number、取引認証番号)を盗むことにある。これが、実行された時のE-Mail添付ファイルのスクリーンキャプチャである
そしてこれが、盗まれたものではない、実際のマトリックスのスナップショットである。この画面は私のものであり、番号は読めないようにしてあるので、あなたは私の銀行口座から金銭を取得できない。
情報処理推進機構と
JPCERTコーディネーションセンターによれば、幾つかの類似のバイナリファイルが受信され、日本のユーザによって通報されている。三菱東京UFJ銀行は、この悪意ある行為を認識しており、08月25日に彼らの顧客への警告を
銀行のホームページにポスト(【訳注】左上の三菱東京UFJ銀行のロゴの真下)している。
最近の別の事例は、日本の各団体に対する攻撃が増加している傾向である。ここにポーランドでホストされているフィッシングWebページ(私がこの記事を書いている時点で生きている)がある。我々のKasperskyフィッシィングポップアップ同様、Operaブラウザもこのサイトの危険性を警告している。
我々は関連する”Phish-Kit”(この脅威の全てのファイル含むZIPアーカイブ)を発見することができた。この内容物は、この様なファイルを植えた犯罪者がルーマニア人であるかも知れないことを示唆している。ここに詳細がある。
我々は収穫されたデータの受取人としてGmailアドレスの設定を確認できる。
Kasperskyのユーザは、この脅威から保護される。通常通り、知らない人からのいかなる種類のメール添付ファイルも、実行することに極端に慎重になることを、全ての人が思い起こすことを望む。
Bittorrent.comのソフトウェア ダウンロードがハックされ、マルウェアを供給していた
The Register : Security (2011/09/13)
攻撃者は、二つの人気あるBittorrentのWebサイトをハックし、ユーザがファイルシェアリング ソフトウェアを取得しようとしたとき、代わりにマルウェアを受けとるようにダウンロードメカニズムを改竄していた。
bittorrent.comとutorrent.comのハッキングは、そのサイトの標準ソフトウェアダウンロードを、Security Shieldとして知られるインチキのアンチウィルスソフトウェアで置き換えた。カリフォルニア時間の午前04:20から06:10までの間に、この二つのサイトからソフトウェアをダウンロードしインストールした人々は、感染を確認するために直ちにシステムをスキャンしなさい。
一旦インストールされたSecurity Shieldは、そのコンピュータが複数のマルウェアに感染しており、マシンをクリーンにするには有料版を購入するようユーザを誘うインチキのレポートを表示する。この攻撃は、bittorrent.comとutorrent.comが改竄されていた1時間50分の間に、この二つのサイトからソフトウェアをダウンロードしインストールしたユーザだけに影響を与える。
「我々は真摯にシステムとユーザの安全性を図る」とBittorrentはアドバイザリで表明している。「我々は影響を受けたユーザに心より謝罪する」とも。
AdobeとWindowsのセキュリティパッチについて
KrebsOnSecurity : Security Blog (2011/09/13)
WindowsやAdobe Reader/Acrobatを使用しているのであれば、パッチするときが来た。Microsoftは、少なくとも15のセキュリティ上の脆弱性を修正するため5つのアップデートをリリースした。Adobeは、彼らのPDF ReaderとAcrobat製品中の13のセキュリティフローを取り除くために四半期毎の定例アップデートをリリースした。
MicrosoftのパッチはWindows Updateや自動アップデートで入手でき、Excel, Office, Windows Server と SharePointのセキュリティホールを解決している。Microsoftが最も切迫しているとして「緊急」と評価するフローは存在していないが、この様なアップデートを遅延することは誤りである。(【訳者の個人的見解】Microsoftのパッチを即座にインストールしてトラブルが発生することは稀なことではありません。訳者の場合、4,5日は様子を見ています。)
ReaderとAcrobatのAdobeのパッチは、ブービートラップ ファイルを開くようにユーザを説得することによって攻撃できる、このプログラム中の緊急の脆弱性を修正している。アップデートは、WindowsとMacintosh用のAdobe Reader X (10.1)と、それ以前のバージョン、Unix用Adobe Reader 9.4.2と、それ以前のバージョン、WindowsとMacintosh用のAdobe Acrobat X(10.1)と、それ以前のバージョンで利用可能である。
Acrobatユーザは、
Adobeセキュリティ アドバイザリ(英文)をチェックしなさい。ReaderとAcrobatの古いバージョンのユーザへの警告:WindowsとMacintosh用のAdobe Reader 8.x と Acrobat 8.xのサポートは2011年11月03日で終了する。
BIOSトロイが回帰した
The H : Security Blog (2011/09/13)
中国のアンチウィルスベンダ360は、コンピュータのBIOSを棲家とするウィルスがフィールド上に存在していることを発見した。BIOSは従来のウィルススキャナでは検出できない場所である。Mebromiと呼ばれる感染物質は、犠牲者のコンピュータがAward BIOSを使用しているかどうかを確認する。もしAward BIOSを使用しているなら、BIOS中の拡張をフックするためにCBROM(【訳注】BIOSへのファイルの書き出し/削除/書き込みを行うプログラム)コマンドラインツールを使用する。次回システムがブートされたとき、Windowsをブートする前に、Windows XPと2003ではwinlogon.exe、Windows 2000ではwinnt.exeプロセスに感染するために、BIOS拡張はハードドライブのMBRに追加のコードを書き加える。
次のWindowsの稼働で、悪意あるコードはドライブのMBRがウィルススキャナによってクリーンされることを妨げるためにルートキットをダウンロードする。しかし、ドライブがクリーンにされたとしても、感染ルーチン全体は、次回BIOSモジュールがブートされたとき繰り替えされる。Mebromiはハードドライブが変更されても生き残ることができる。コンピュータがAward BIOSを使用していないのであれば、感染物質は単純にMBRに感染する。
BIOS中でルーチンを悪意でフックするというアイデアは新しい物ではない。そして、この考えは、ウィルススキャナから隠れつづけられる有利を攻撃者に提供する。1999年、CIHウィルスは犠牲者のBIOSを巧みに取り扱うことを企てた。しかし、このウィルスは破壊効果だけしか持っていなかった。BIOSは上書きされ、コンピュータはもはやブートしなかった。2009年、セキュリティ研究者はルートキットがBIOSに根を下ろすシナリオを発表した。しかし、BIOS感染はマザーボードの種類が大変多いために、そしてBIOSをフラッシングする大変多くの方法が存在するために、今まで広範に拡散することはなかった。
【お知らせ】鯖落ち(2011/09/09)
このサイトは個人経営の無料レンタルサーバを利用しています。今回、マザーボードの故障で長期間鯖落ちしていましたが、本日復旧いたしました。
ブラウザメーカーは、DigiNotar被害を防止するため再アップデートしている
The H : Security Blog (2011/09/07)
DigiNotarによるデジタル証明書改竄のダメージの詳細が露になったので、ブラウザメーカーは、信用できない認証を削除するために彼らの製品の二回目のアップデートを今リリースしている。モバイル デバイスとMac OS Xのユーザは、この様なアップデートを提供されていない。
Microsoftは、
セキュリティアドバイザリ 2607712 をアップデートし、信頼されていない証明書ストアにDigiNotar Root CAとDigiNotar PKIoverheidのためのルート認証を配置したとアナウンスしている。このアップデートは、大多数のWindowsシステムでは自動的に更新される(【訳注】ユーザが自動更新を有効にしており、この更新プログラムが自動的にダウンロードおよびインストールされる設定になっている場合のみ)が、Microsoftはまた、Windows XPからWindows 7とWindows 2008までの全てのWindowsシステムにアップデートが利用できるようダウンロードリンクも作成している。この自動アップデートは、オランダ政府の要請により、オランダでは実行されない。
MozillaはFirefoxのアップデート(6.0.2と3.6.22)をリリースした。Thunderbird(E-Mailクライアント)のアップデート版は6.0.2、7.0beta、3.1.14である。この全てのアップデート版は、DigiNotarの証明書から信用を完全に削除する。Firefox 3.6とThunderbird 3.1のユーザがアップデートを入手するには、ヘルプから更新のチェックを選択して実行する。それ以外のバージョンのユーザは、この24時間以内にアップデートが自動的に到着する。
モバイルとMacユーザは、アップデートが提供されていない。AppleのiOSやGoogleのAndroid用のアップデートのニュースはない。この様なオペレーティングシステムで稼働しているモバイル デバイスは、インチキの認証を使用して攻撃している真っ最中の人物による脆弱性が未だ存在していることを意味している。Appleがアップデートをリリースした場合は、広範に利用可能であるが、Androidのユーザは、各デバイス ベンダが彼らの電話用のアップデートをリリースするまで待たねばならない。もしくは、CyanogenMod(サィアノジェンモッド。【訳注】スマートフォン)のようなカスタムROMに引っ越すかである(修正は人気あるサードパーティーROMを実装するプロセス中に存在する)。Mac OS Xのユーザもまたセキュリティアップデートを待たなければならない。Macは
DigiNotar認証を信用しない方法に関する説明をしているにもかかわらず、Appleは今まで、自動アップデートのリリースについて沈黙を守っている。
人気サイトにDNSハイジャック攻撃
The H : Security Blog (2011/09/05)
この攻撃の影響下にあるサイトは、このページを表示する。
幾つかの人気あるサイトが、DNSハイジャック攻撃で攻撃された。The Daily Telegraph, UPS, The Register, National Geographic, Vodafone, Betfair, Acerは全てこの攻撃を受けた。この様なサイトのDNSを改竄することによって、これらサイトを直接攻撃する代わりに、サイトの訪問者を”h4ck1n9はcr1m3ではない”と宣言している"TurkGuvenligi"のサイトにリダイレクトする。幾つかのサイトは、攻撃されている間にログインをしようとしているユーザが、パスワードを改竄されないようにするためにパスワード保護サービスを停止した。正当なDNSレコードは現在発生し、DNSシステム中に行き渡った。
Zone-H(【訳注】エストニアのセキュリティーニュースサイト。Webサイトの改竄情報を収集、提供している)によると、狙われたサイトに共通していることは、レジストラとしてNetnamesを使用していることである。Zone-Hは、トルコのハッカーたちが、NetNamesのDNSパネルに対しSQLインジェクション攻撃を使用し、そのサイトのネームサーバーを彼らの所有するネームサーバーに切り替えたと発言している。TurkGuvenligiによるサイトのDNSレコードのハイジャックは初めてのことではない。過去、彼らは幾つかのサイト、取り分け hsbc.kr, freegary.co.uk, secunia.com, systemofadown.com等をリダイレクトしている。
F-SecureのActive Xコンポーネントに脆弱性
The H : Security Blog (2011/08/26)
F-Secureは、彼らのアンチウィルスとインターネットセキュリティ製品中に脆弱性が存在し、ユーザが特別に細工されたWebサイトを訪問した時、悪意あるコードでシステムが感染させられる可能性があると警告した。脆弱性あるバージョンは、2010年版と現在リリースされている2011年版中に含まれている。F-Secureプロテクション サービスのバージョン2009(消費者版と商用版)も影響を受ける。
この脆弱性は、fsresh.dll ActiveXモジュール中に含まれている。そして、この脆弱性はInternet ExplorerとIEベースのブラウザを使用しているユーザにのみ影響与える。この「高リスク」のセキュリティホールは、攻撃者がトラブルシューティング ルーチンを上書きし任意のコードを実行することを可能にする。この脆弱性は既に攻撃されていることを公開したセキュリティエキスパートAnil Aphaleによって発見された。
F-Secureがここ数日で影響を受けるプログラムの自動アップデート機能を通して配布したパッチは、この問題を修正している。問題あるプログラムを使用している人々は、最新のアップデートを適用していることを確実にしなさい。
Kasperskyの研究はAdobeソフトウェアに巨大なセキュリティリスクを発見した
The H : Security Blog (2011/08/16)
Kasperskyは2011年第二四半期の脅威に関するレポートをリリースした。それによれば、Kasperskyのソフトウェアは、彼らのユーザのWindowsシステム上に平均して12のセキュリティリスクを検出している。Kasperskyは、最も頻繁に検出される脆弱性のトップ10の全てがAdobeとOracle製品中から発見されたと報告している。テストされたコンピュータの凡そ41%は、Adobe Reader中の緊急の脆弱性の影響を受けていた(このアップデートは昨年の秋Adobeによってリリースされている)。また、凡そ31%が緊急のJava脆弱性の影響下にあった。
しかしながら、最悪のパフォーマンスを実行していたのはFlash Playerである。このソフトウェアは最も頻繁に検出されるセキュリティ問題におけるトップ10の内の6を占めている。Adobe Reader, Flash, Javaの自動アップデート機能は、未だ最新で最も安全なバージョンへの十分な包括的ロールアウトを確実にするために取り扱われていない。Adobeは、2010年の冒頭にオプショナルなサイレントアップデート機能を追加した。この機能は最近Defaultで利用可能になったが、この新しいアップデート機能の恩恵を決して享受することのない今までのバージョンは、取り残されたままになっている。
Microsoftはアップデートの普及に偉大な成功を収めた。Kasperskyの報告では、今年のトップ10中にMicrosoftは入っていない。Windowsアップデート(Defaultで利用可能)は、Microsoftの顧客が当を得たセキュリティアップデートを享受することを保証することに成功したとKasperskyは報告している。サイバー犯罪者達は、この事実に気づいた。結果として、プラグイン中に長期に存在する脆弱性が最も都合の良い攻撃対象となった。
スケアウェア(【訳注】偽装セキュリティツール)が、詐欺師達にとって今までで最も人気あるものになっていることも、このレポートは報告している。Kasperskyソフトウェアによってブロックされたスケアウェアの数は、第二四半期で300%まで上昇した。このレポートによれば、アメリカ、イギリス、カナダがスケアウェアの配布者たちに取り分け人気がある地域である。Kasperskyはまた、新たに発見されたJavaモバイル用のマルウェアが2倍に、Androidスマートフォーンをターゲットにしたマルウェアは、ほぼ3倍になっているとも報告している。この種のマルウェアは、犠牲者の負担でプレミアムレート テキストを送信するために使用されているのが殆どである。
Kasperskyの四半期毎の脅威レポートは、Kaspersky Security Network (KSN)を通じてKasperskyソフトウェア ユーザによって自発的に提供される匿名の統計データを使用している。
インチキのアンチウィルスはVISAカード スカムを推進している
McAfee : Blog Central (2011/08/16)
かなり古いワインを新しいボトルに詰め替えて、スパマーは多くの犠牲者を生んだ以前のUPSスカムと同じ悪意を搭載して使用してきた。
このスパマー達は新たなバイナリを使い果たしたかのように見える。
先週末、McAfeeはVISA Customer Servicesからと主張して世界中に拡散しているスカムを監視していた。このメールの件名は、“Your credit card has been blocked - Central European (ISO).”であった。
スカムメール
このメールは、ランダムな名前のついたファイル中にZIP圧縮された悪意を実行可能な“VISA_complete_NR
.doc___.exe”を含んでいた。このマルウェアは、インチキのアンチウィルスであったところの実行可能ファイルでパックされたいた。McAfeeに於いて我々は、この同じ悪意を搭載するものが、様々なスカムキャンペーンで異なった名前を使用して世界中に拡散していることを監視していた。幾つかのファイル名を掲げておく:
ups_invoice_id865165475837266465.doc___.exe (UPS Scam)
mastercard_invoce_id65729217565333.doc___.exe
visa_complete_nr62178865627245.doc___.exe
投下されたマルウェアは、リモートサーバからランダムにインチキのアンチウィルス(XP Security 2012 か Personal Shield Pro)を選択する。McAfee製品は、この悪意をFakeAlert-AB.dldrとして検出する。
以前の変種と異なり、今回のバイナリはドキュメントファイルのアイコンを持っていない。そう、彼らはユーザの目に止まらないようにしようとしていない。我々のクラウドベースのArtemisテクノロジは、このスカムが世界中をターゲットにしていたことを明かにした。
Artemisからの以下の図は、このマルウェアが世界を股にかけて拡散していたことを示している。
【訳注】日本の状況に注意
McAfeeの顧客はこのマルウェアから保護される。
Windows: 今回の22のパッチに関する理由付け
Krebs on Secuirty : Blog (2011/08/09)
Microsoftは今日、Windowsオペレーションシステムと他のソフトウェアに関する最新の22のフローを修正する13のソフトウェアアップデートをリリースした。8月のパッチにおいて解決される二つのパッチは、Microsoftの最も恐ろしい「緊急」の評価(攻撃者がユーザの如何なる手助けもなしにシステム中に侵入しその脆弱性を攻撃できる)となっている。
緊急アップデートの中には、IEの最新の5つのセキュリティホールを塞ぐ累積的パッチがある。このアップデートはIEのバージョン7,8,9で緊急とされている(不思議なことに、危険なIE6では一般的な「重要(important)」の評価である)。
他の緊急とされるパッチは、Windows Server 2003とWindows Server 2008に備え付けられているDNSサーバでの深刻な問題である(Windows XP, Vista, Windows 7のような消費者システムは影響を受けない)。DNSバグは緊急と評価されているが、Microsoftは、攻撃者がこのフローを攻撃するためのコードを開発することは可能性が低いと考えている。
他の9つのフローはMicrosoftが重要と評価しており、Microsoftの exploitability index(悪用可能性指標)で高い評価を与えている6つのフローは、攻撃者がWindows PCに侵入し、その脆弱性を攻撃するためのコードをおそらく開発するだろうと、Microsoftが考えていることを意味している。
いつものように、アップデートを適用した後、もしくは適用中に何らかの問題を経験したのであれば、それに関するコメントを残してほしい。本日リリースされた全てのパッチに関する概要は、このリンクにある。
アンチウィルスソフトウェアへの挑戦状
Bkis : Security Research Blog (2011/08/03)
最近我々のHoneyPotは、あらゆるアンチウィルス ソフトウェアに挑戦状を送信しているウィルスサンプルを集めていた。
[Sab0tagE]:次のレベル
あなたのコンピュータは、破壊された。
あなたがアンチウィルスを必要とするとき、あなたのアンチウィルスは何処にいたのか?
あなたは常に平和の時代を語り、次に戦争の準備をする。
覚えておきなさい! あなたがrat raceで勝利した場合でも、あなたは鼠のままだ!
銀狐 - Lampung Underground
一旦システムが、この種のウィルス(Bkavでは、W32. DownloadWinsLnr.Trojanとして検出する)に感染すると、Windwosディレクトリはロックされる。ユーザは、もはやこのフォルダにアクセスすることはできない。そして、アンチウィルス ソフトウェアでさえ、ユーザモードに設定されていたなら、この隠蔽されたウィルスを検出することはできない。
実際、DownloadWinsLnrが使用しているテクニックは、とてもシンプルである。このウィルスは、Windowsディレクトリへの全てのアクセスを拒否するために、Windowsディレクトリのパーミッションを設定しているだけである。こうすることで、このウィルスが上述した全てのアクションを実行することが可能になる。
しかしながら、この様な挑戦状を送りつけているが、このウィルスの作成者は、パーミッションの設定によってカーネル モードがコントロールされないことを予期できていない。そして、大多数の高品質のアンチウィルスソフトウェアは、カーネルレベルで動作するモジュールを持っている。そこで一旦ウィルスシグネチャが認識されたなら、アンチウィルスソフトウェアはシステムから容易にこのウィルスを削除できるが、それでもWindowsディレクトリは通常どおりにアクセスすることはできない。あなたがこの状況に遭遇したなら、あなたのシステムを通常どおり操作できるよう復帰させるために、このツール(【訳注】ダイレクトリンクです。クリックするとダウンロードが開始されます)を使用しなさい。
韓国で、3500万のソーシャルネットワーキングユーザのデータが盗まれる
Sophos : Naked Security Blog (2011/07/28)
ハッカー達は、今週初め人気ある韓国のWebサイトNateとCyworldに侵入し、およそ3500万のソーシャルネットワーキングユーザの情報を盗んだ。
名前、E-Mailアドレス、電話番号、ユーザの登録証明書番号が改竄された。
BBCによると、大韓民国放送通信委員会は、侵入しているコンピュータのIPアドレスの国別ドメインから、中国人ハッカーに避難の矛先を向けていると報告している。
SKコミュニケーションズ(二つのWebサイトを所有する)は、多くの情報(ユーザがパスワードを変更する方法のリンクを含む)を提供するWebサイトポップアップの形式で謝罪を発表している。
Facebookのようなソーシャルネットワークで育てられた者には、Cyworldはシム類似の特徴と仮想分野のために非常に奇妙な環境に思えるかもしれない。
数年前に始められたUS版は失敗に終わったが、韓国の総人口が4900万であることを考慮すれば、Cyworldの3500万ユーザは、韓国における驚くべき現象と言わざるを得ない。
繰り返すが、韓国では4900万の人々が生活している。そのうちの3500万の個人情報が、今回のインターネットハックによって晒されることになった。
良い意味ではなく、感心する。
もっとも明らかな危険は、このWebサイトのユーザが、彼らに起因する失敗ではないのにもかかわらず、スパムやフィッシング攻撃のターゲットにされることかもしれない。またしても、ソーシャルネットワークは、ユーザ情報の保護に関し下手な仕事をした。そして、その重荷を背負わされるのは一般人である。
Googleは検索結果にあなたのコンピュータが感染していることを表示する
Krebs On Secuirty : Blog (2011/07/19)
Googleは本日、百万以上のユーザに、彼らのコンピュータが検索結果をハイジャックし、ユーザを脅してインチキのアンチウィル ソフトウェアを購入させようとする悪意あるプログラムへの感染を警告することを開始した。
GoogleのセキュリティエンジニアDamian Menscherは、Googleデータセンターで通常メンテナンス業務を実施している間に、ハッキングされたコンピュータで構成されるモンスター ネットワークを発見したと語った。Menscherは、Googleがデータセンターを遮断したとき、そのセンターに向かう検索トラフィックは一時的に停止した。予想外にも、Menscherは、最近遮断したデータセンターが未だ一秒あたり数千のリクエストを受け取っていることを発見した。
Menscherは更に掘り下げ、トラフィックのソースを発見した。ユーザがGoogle.comや他の検索エンジンでキーワード検索したとき、結果をハイジャックするように設計されたマルウェアの系列で、百万以上のMicrosoft Windowsのマシンが感染させられていた。皮肉にも、このトラフィックは検索トラフィックではなかった。このマルウェアは、そのシステムがオンラインかどうかをチェックするために、特定のGoogleインターネット アドレスに戦略的にPingするようホストPCを指揮していた。
Menscherは、このマルウェアがインチキのアンチウィルスとして、もしくは、セキュリティ上の脅威に関する警告をすることで、価値の無いセキュリティソフトウェアを購入させるよう人々を欺き、間違った方向に進ませるようにする”scareware”と呼ばれるプログラムとして、犠牲者のデスクトップに到着していると発言している。検索ハイジャック コンポーネントは、インチキのアンチウィルス プログラムに同梱されているか、後でダウンロードするかのどちらかであると、彼は疑っている。
このマルウェアはgoogle.com, yahoo.com, bing.comのような著名なドメインに向かうトラフィックをインターセプトする。そして、中間に介在するホストもしくは攻撃者の制御下にあるプロキシを通じて、このトラフィックのルートを決める。このプロキシは、犠牲者が検索ワードで参照する検索結果を改竄するために使用される。そして、特定のWebサイトへのトラフィックに関して支払うpay-per-click(クリック報酬型)スキームにトラフィックをリダイレクトする。
幸いなことに、マルウェアによって発生させられるこのトラフィックは、Googleがユーザに犠牲者であることを警告することを可能にする一意のシグネチャを持っている。Googleは、犠牲者になっている人のGoogle検索結果のトップに派手な忠告(上図)を表示している。この忠告は、この感染の削除を支援するリソースへのリンクを含んでいる。
Googleは、このユーザ警告に関し賞賛されるべきであるが、この激務はクリーンアップによって終結することになるだろう。検索ハイジャッカーは、アンチウィルスWebサイトや他のマルウェア削除ツールの人気あるソースへの訪問しようとするユーザをブロックすることで悪名が高い。
Google: 脆弱性を閉じたPicasa 3.6をリリース
The H : Security (2011/07/21)
GoogleのPicasa画像取扱い・編集ソフトウェアは、攻撃者にWindowsコンピュータの改竄を許すセキュリティ ホールを含んでいた。このバグを発見したMicrosoftのDavid Westonによれば、このセキュリティの脆弱性(CVE-2011-2747)は、PicasaがJPEG画像ファイルのプロパティを操作する方法中のエラーによって発生させられ、犠牲者のシステム上で任意のコードを実行されることができた。
この攻撃が成功するには、犠牲者が最初に特別に細工されたファイルを開かなければならない。伝えられるところによれば、Windows用のPicasaの全てのバージョン(3.6 Build 105.61まで)が影響を受ける。このセキュリティホールは、Picasa 3.6 Build 105.67で閉じられた。Picasa最新の3.8系は、影響を受けない。全てのユーザがアップデートするよう推奨されている。
詳細に関しては、TechNetセキュリティ アドバイザリに発見される。Google自身のリリースノートは、修正が組み込まれたことに言及していない。Picasa最新のバージョンは、picasa.google.comからダウンロードできる。
英国の前首相Gordon Brownが、新聞がコンピュータをハックするためにマルウェアを使用したと発言
Sophos : Naked Security (2011/07/14)
News of the Worldの「電話ハッキング」スキャンダルは、イギリスの新聞のトップニュースであり続けている。新たな言い分は、ジャーナリストが音声メールを盗聴することによって有名人や公民をスパイすることはなかったが、コンピュータをハックするためにマルウェアを使用していたとするものである。
ジャーナリストは、前首相Gordon Brownを電話ハッキング攻撃のターゲットにしたと考えられていた。そして、ジャーナリストはまた、彼の銀行口座に関する情報と不正な手法で若い息子の医療記録を取得したことは事実であると主張された。
昨日午後の下院での騒々しい議論において、Gordon Brownは、この犯罪が電話ハッキングをはるかに超えるものであると発言した:
"このような潔白な犠牲者と一連の他の犯罪の犠牲者に対する収集は基本的に不正な方法(ブラッギング、ハッキング、コンピュータに侵入するためのトロイ、電話と言うようなものではなく新しい名前をつけるべき新しい犯罪)が使用されており組織的であった。これは数人の悪者や数人の自由契約者の犯罪行為ではなく、しばしば見られる英国の犯罪の裏組織と関連している工業規模での違法行為の最たるものであると言わねばらない。"
私はGordon Brownが正しいと思う。捜査当局が携帯電話の留守電アカウントへの侵入と、承認なしでメッセージを聞くことができるということが違法ではないと考えたなら、彼らは、スキャンダルを発掘しようとしている人々に対して悪意ある添付ファイル付きE-Mailを送信することに何らかの良心の呵責も持つだろうか?
メディアは未だ、全ての「ハッキング」によるスキャンダルのスパイウェアとしてのトロイの範囲をカバーし尽くしていないが、それは時間の問題だろう。
既にフツフツと表面に現れている幾つかのケースがある(彼女がSunday Timesにマルウェアを送信されたと主張するセックス ブロガー"Belle de Jour"のように)。
今年初め、BBCのPanoramaプログラムはその調査で、News Of the Worldが北アイルランドで勤務した前英国軍情報将校から情報を抽出するためにコンピュータ トロイを使用したと主張している。
VLCメディアプレーヤにヒープオーバーフローの脆弱性
The H : Security (2011/07/14)
VideoLanプロジェクトによると、人気あるVLCメディアプレーヤは、RealMediaとAVIファイル構文解析ツール中に二つのヒープオーバーフローの脆弱性を許容できる。これらの脆弱性(セキュリティ スペシャリストのSecuniaによると「緊急」と評価される)は、攻撃者によってこの脆弱性を攻撃することでVLCプレーヤをクラッシュさせたり、犠牲者のシステム上で任意のコードを実行することができる。攻撃が成功したなら、ユーザはまず、特別に細工された悪意あるフィルを開かされる。
Hossein Lotfiによって発見されたこの脆弱性は、6月早期にVLCの最新の1.1.10に影響があることを確認した。VLCの開発者によると、VLC1.1.11への次回のメンテナンスとセキュリティアップデートは、この問題を解決し、更なる安定性への修正が盛り込まれるだろう。
このアップデートが利用可能になるまで、ユーザは信頼されないソースからのファイルを開かない自制が求められている。代わりに、VLCの開発者は、いかなるAVIやRealMediaファイルを使用することを妨げるためにユーザがRealMediaプラグイン (demux/libavi_plugin.*) を削除できることを忠告している。
ポルノとマルウェアを入手したいなら、Microsoftセーフティとセキュリティ センターに行きなさい
Sunbelt : GFI LABS Blog (2011/07/08)
Microsoftセーフティとセキュリティ センターは、ポルノへの温床となった。そして、いかがわしいポルノサイトは依然としてマルウェアを導入している。
チョッとしたトリックが、これを発生させる。毒ある言葉の検索、それ自体はたいしたことではない。しかし、このケースの場合、他のことが起きている。
我々はPG-13(【訳注】PARENTS STRONGLY CAUTIONED、アメリカにおける映画の年齢制限の一つ。13未満の者は親の強い同意が必要)ブログを実行しているので、私は平凡な例を与える。人々はMicrosoftセーフティとセキュリティ センターを訪ね、検索ボックスに”girl”と入力する。
(【訳注】Microsoftセーフティとセキュリティ センターの日本語サイトは、http://www.microsoft.com/ja-jp/security/default.aspxです。この記事により、Microsoftは、図に見られる検索ボックスを削除しています)
検索結果は毒あるものであった。この様な無害なはずの検索でさえ汚らわしい結果を戻してくる(文字化けしている場合はサムネイル上をクリックしてはならない)。
(ポルノ用語の検索は、非常に汚らわしい結果を生じさせる。その大部分は、このブログに掲示するにはあまりにも不穏当である)
興味あるブラックハットSEO(【訳注】悪質な手法を駆使して検索結果ページの上位に表示させる行為)。この違いは何か? 通常の毒性検索は、サイトへのダイレクトリンクとして出現する。しかしながら、ブラックハットSEOは、以下を含む特定の用語でMicrosoftセーフティとセキュリティ センターの検索結果を作成した。
porn
you porn
free porn
free filipino porn video
prnhub
streaming
you tube sex
“baby girl names”でさえ。
あなたは、microsoft.comでGoogle検索することで、これを確認できる。
(Microsoftセーフティとセキュリティ センターだけが、ポルノの検索結果を戻してくるのは皮肉である。Microsoftでは、何もない)
これはある特定の用語の場合だけで発生する。別の言葉で検索した場合(例えば、“united nations”)、まともな検索結果が戻される。
言い換えれば、ブラックハットSEOは、Microsoft検索結果中に違法な検索結果を種蒔きしている。大変トリッキーで印象的。これを実行するいくつかの方法がある(例えば、Twitterするためのサイトの能力を使用する)。
混乱している? 何もする必要はない。知っておくべきことは、この種のことがマルウェアに繋がっているということである。検索結果についてチョッとした探索を行うと、このようなことを発見できるかもしれない。
そして、ダウンロードをクリックするとインチキのコーデックが取得され、マルウェアに感染する。
それは、Zugo(脆弱性攻撃と他の紛らわしい/あてにならない手段によってインストールされた経歴を持つBingブランドの検索ツールバー)である。 むしろ皮肉で色付けされた詩である(ここの検索ストーリとは無関係)。Zugoは、マイクロソフトのBingのパートナーである。
いずれにせよ、これが直ちに改善されることを希望する。
Rustockボットネットを遮断した後も、多くのPCが未だ感染している
The H : Security (2011/07/06)
Microsoftの"sinkholes"をベースにした最新の解析によれば、Rustockボットに感染した160万のPCの内の半分しか、現在クリーンになっていない。
三月、MicrosoftのDigital Crimes Unit (マイクロソフトのデジタル犯罪対策ユニット、DCU)は、このボットネットの命令と制御の基幹部分を解体するために合法的トリックを使用した。ハードドライブは差し押さえられ、ドメインはシャットダウンもしくは所有権が移管された。Symantecは、Rustockがこの当時最大のスパム送信者であったために、スパムの量は結果として激減したと発言している。
しかし、Microsoftによって公開された統計によれば、Rustockボットネットが解体されたとき、コンタミが約160万PCに置き去りにされた。これはもはやコマンドを受けとることはできない非アクティブで残存している。それであるにもかかわらず、このコンタミは危険な残存物である。もしもボットハーダー(脆弱性のある多数のコンピューターを悪意を持って支配するハッカー)が、新規の互換コンピュータコミュニケーションの基盤を設立したなら、このゾンビネットワークは再び活性化されることになるだろう。現時点で、プロバイダはRustockとの通信をsinkholeドメインにリダイレクトしているので、Rustockは被害を受けることのないサーバーと通信しているだけである。この手法によって、Rustockは、新しいコマンドを受け取ることを妨げられ、集められたいかなるデータも配信することを妨げられている。
シャットダウンから4ヶ月後、70万以上のPCが未だゾンビである。インドが、Rustockにおよそ10万感染している。この数字は三月末に比較して70%以下になっているにもかかわらず、インドはお山の大将である。質問されたとき、Microsoftのスポークスマンは、何故インドでそのように多くのコンピュータが感染させられたのか説明できなかった。今回だけは幸いにも、イギリスはトップ10に入れなかったが、ドイツでは、ゾンビの数は44,000から25,000に減少した。
この数字は明らかに、人々が感染されたPCを完全にクリーンにすることが如何に困難であるかということを示している。法的に要求されることとして、大多数の国において遠隔からの感染除去は禁じられている。インターネットプロバイダは、感染しているユーザに対し情報を渡せるだけである。そして、犠牲者が情報に基づき行動することを希望するだけである。現在までの唯一の大々的遠隔感染除去キャンペーンで、FBIは最近Corefloodボットネットワークを追い求めていた。
Malicious Software Removal Tool (MSRT)のようなMicrosoftの所有するツールのセットでさえ、限られた効果しかない。MSRTはRustockを検出し削除するが、ユーザは自身でツールをアクティベートしなければならないのだから。
Microsoft、Security Essentials 2.1をリリース
The H : Security (2011/07/04)
Microsoftは、Security Essentials (MSE)のバージョン2.1(Windows用アンチマルウェアとウィルス防御ソフトウェア)のリリースをアナウンスした。Windows Valleyによれば、このポイント アップデートは、パフォーマンスの改善とアンチマルウェア エンジン(このエンジンは、Forefront Client Security、Forefront Endpoint Protection、Windows Intune Endpoint Protectionに使用されているものと同一である)のアップデートを含んでいる。
今迄のバージョンと異なり、Windows XP用の個別パッケージはもはや要求されない。Windows XPのユーザは、Windows XP上でVistaやWindows 7ユーザと同じ32ビット インストーラでMicrosoft Security Essentials 2.1をインストールできる。一旦インストールされると、Microsoftのアンチマルウェア定義ファイルをアップデートするようアドバイスされる。低速回線やインターネット接続を持っていないシステムにあっては、手動でオフライン アップデートを別のシステム上にダウンロードする(32ビット、64ビット ダイレクト ダウンロード)。次にUSBドライブにこのダウンロードをコピーする。最後に当該システムにこれをインストールする。
Microsoft Security Essentials 2.1 (build 1116.0)は、Windows XP SP2及びそれ以降(x86のみ)、Vista、Windows 7用のダウンロードが可能である。記述している時点で、Microsoft Download Centerは、未だ以前のバージョンを表示している。中小企業では、無料で10台のPCにMSEをインストールできる。MSEはホームユーザに対しては常に無料である。
Antivirのサービスパックはユーザを混乱させている
The H : Security (2011/06/30)
Aviraの無料セキュリティソフトAntiVirのサービスパック2は、インストールした後、リアルタイム プロテクションが時々無効化されたように見えるためにユーザを混乱させている。この問題は、ユーザが新しいWebGuardプロテクションをインストールする際に、ask.com検索エンジン ブラウザ ツールバーのインストールを拒否することで発生する。このケースでは、WebGuardはインストールもアクティベートもされないので、AntiVirはエラーメッセージを出力し、閉じた傘の画像を表示することになる。閉じた傘は、通常リアルタイム プロテクションが無効化されていることを意味している。
実際には、リアルタイム プロテクションは有効なままになっている。ただ、WebGuardは、非アクティブである。WebGuardは、HTTPとFTP中の汚染物質を検索するよう設計されている。今迄は、有料版のAntiVirで提供されているだけだった。
Aviraは、パーソナル版ではWebGuardがAskツールバーに結合していると発言している。これは、ユーザにより素晴らしい防御を提供することであり、この会社からツールバー用の金銭を得られるために、Aviraは無料版にもこの機能を提供できるようになったと発言している。Aviraは、もう直アップデートを提供できるので、WebGuardがインストールされていない時でも、ステータスバーに開いた傘が表示されることになると発言している。
Google Mailはユーザにフィッシングメールの同定を支援しようとしている
The H : Security (2011/06/30)
将来、Google Mailは、ユーザがフィッシングスカムを処理するかどうかをより決定できるようE-Mail送信者の情報を追加して表示するようになるだろう。送信者名の代わりに、Google Mailユーザは現在、送信者の完全なアドレスを見ることができる。しかしながら、送信者のアドレスは成り済ますことが簡単にできるので、このアドレスは正しいとは限らない。
最終的に、或るアドレスが成り済ましのGoogle Mailアドレスであれば、ユーザは気がつかされることになる。The Hの姉妹会社heise Securityは簡単なテストを実行することで、これを確認した。Googleは現在、E-MailがWeb上の"メールの送信"機能のような転送サービスを経由してユーザの受信ボックスに到着した場合は、転送情報を表示している。
Dropboxがログイン ドアを4時間閉め忘れていた
The H : Security (2011/06/21)
Dropboxは、6月19日に間違いを含むコードをアップデートし、認証なしにログインすることが可能になり、ファイル同期サービスの別のユーザによって維持されているファイルに、他のユーザがアクセスすることが可能になっていたことを認めた。これはイギリス時間午後9:54に発生し、Dropboxがこれを発見(午前1:41)するまで4時間に渡りこのエラーは発見されなかった。修正は5分以内で実行され、全てのログインセッションが落とされた。Dropboxによれば、この期間にログインしていた1パーセント未満のユーザが影響を受けている。Dropboxは、影響を受けたかもしれないこの期間に、ログインしていたユーザに説明することを計画している。
この人気あるサービスは、今年セキュリティの注目を浴びている自分自身を発見していた。そして、この最新の事件は、設計上でセキュリティ上の弱点があるという風評を促進することになるだろう。今年早期、Dropboxは、ユーザがファイルのハッシュ値を交換することでファイルのパーミッションを回避することが出きることを発見した。ある開発者は、Torrentに代わるファイル共有として、人々がDropboxを使用することを可能にするDropshipと呼ばれるアプリケーションを作成した。そこで、DropboxはDropshipの機能を停止させるために、そのバックエンド サービスを変更した。
4月、ある研究者は、アクセスを取得するために別のマシン上のDropboxクライアントから設定ファイルを複製することが可能であることを発見した。Dropboxは、以来より安全なクライアントを展開した。Dropboxはまた、暗号化とアクセスの主張(本質的に、誰もシステムに保存されているデータを見ることはできない)に関しても声をあげていた。以来、正当な要求があったときは従業員がファイルにアクセスできるとする主張は後退させた。
Firefox 4 WebGL実装に発見されたセキュリティホール
The H : Security (2011/06/17)
セキュリティホールが、イギリスのContext Information Security社のセキュリティ研究者達によって、Firefox 4のWebGL実装に発見された。この研究者達はWebGL中のフローを探す彼らの今までの仕事を継続していた。そして、WebGLを使用して「メモリの内容を盗む(メモリ漏洩)」を実行できることを発見した。
このアプローチは、ブラウザが表示した物のスクリーンショットを作成し保存することを攻撃者に可能にする。これはWebGLコンテンツだけでなく全てのデータを含んでいる。彼らのProof-of-Concept(コンセプトの実証)において、この研究者達は、今迄Webページを表示することに使用されていたグラフィクスカードのメモリのスナップショットを抽出した。この脆弱性はFirefox 4のWebGL実装に特定されており、Google Chromeでは発生しない。
Firefoxの次のバージョン(Firefox 5)は来週6月21日にリリースされる予定であり、このバグは、Firefox 5で修正される予定である。ユーザは今、Firefox 5のベータ版にアップグレードするか、about:config画面からwebgl.disabledプロパティをTrueに変更することで、このバグを回避できる。
Contextの今までの研究は、WebGLを使用しているグラフィクス カードをオーバーロードする方法をデモンストレーションしており、結果としてWindows 7でブルースクリーン クラッシュを引き起こしている。また、WebブラウザのSame Originポリシー(【訳注】Web上で行う通信で単一ドメインでしかリクエスト送信できないようにしているルール)を回避するためにWebGl中のクロスドメイン テクスチャの使用を可能にする方法も示した。この仕事はMozillaにFirefox 5でテクスチャ用のクロスドメイン サポートを無効化することを促した。
[UPDATE]
The Hの別の記事によれば、WebGLが実装されているのは、FirefoxとChromeだけであると記述されている。
Adobe: FlashとReaderの緊急のバグをパッチ
The Register : Security (2011/06/15)
Adobeは広汎に使用されているPDFビューアのReaderとアニメーション プログラムのFlashのフローを修正するアップデートをリリースした。
Frashに関する緊急のパッチは、この9日間に二度目であり、Adobeは、このプログラム中の深刻なバグの修正を急いでいた。この脆弱性は攻撃者がリモートから、このソフトウェアを稼働しているマシン上で悪意あるコードを実行することを可能にする。そして、既に実際に攻撃されている報告があるとAdobeは発言している。
攻撃目標になっている脆弱性は、 Windows, Macintosh, Linux, Solarisとモバイル オペレーティングシステムAndroidようのFlashバージョン中に存在している。水曜日の修正は、Androidを除く全てのプラットフォームで利用可能である。
Reader用の別のアップデートは、少なくとも13のバグを修正している。Adobeは、そのうちの11を「緊急」と評価している。このフローはメモリ損壊、バッファオーバーフロー、ヒープオーバーフロー、DLLロード ハイジャック、その他のバグを含んでいる。
FlashとReaderは、犯罪者がマルウェアをインストールするために大変良く利用されているアプリケーションである。ユーザはFoxitのような代替PDF Readerを使用することが推奨される。このアプリケーションはセキュリティ上の脆弱性を共有するが、市場占有率の少なさから、攻撃者は殆ど無視している。
このパッチはMicrosoftからの火曜日の巨大なパッチを既に担いでいる多くのIT管理者に、更なる重圧を追加した。Adobeは、こちらとこちらにFlashとReaderのパッチの詳細について述べている。
クラウドに於けるフィッシング
Kaspersky : SecureList Blog (2011/06/10)
最近公共のクラウドのセキュリティがインターネット上の議論の主要なトピックになっている。サービスプロバイダはクラウド以上に安全な物はないと我々に断言しているが、セキュリティ企業は既に、クラウド中の様々な脅威を何とか発見している。
一方、スパマーはついてきており、無料のリモートリソースのよりアクティブな使用を開始している。例えば、我々は最近E-Mailパスワードを収穫するための以下のフィッシング メッセージに遭遇した。
取り分け用心深いユーザは、以下の幾つかの型通りの特徴から、それらをインチキと見破るだろう。
・ 個人を特定していないアドレス
・ ”From”フィールドは或るドメインを含んでいるが、本文(body)中のリンクは別のドメインに誘導している
・ タイプミス(”Clickhere”と一単語で書かれている)
・ 匿名の署名(“System Administrator center”)
・ このユーザが定められた期間にこのリンクに従わなかった場合は、アカウントを閉じるという脅し。典型的なフィッシングの策略
このリンクがフィッシングページ(一般的なアドレスではないが、遠隔にあるGoogleサーバ上でスプレッドシートを作成するための無料のサービスである spreadsheets.google.docs に位置している)に誘導しているという事実には特に興味がある。このユーザは‘Email Addressや‘Password’のようなフィールドを含むフォームを埋めるように要求される。ユーザが提出(‘Submit’)ボタンを押したなら、データは直接詐欺師に送信される。
このサービスは詐欺師が詐欺用のページを設置するための無料スペースを提供している。さらに悪いことには、この種のページは、「疑うことを知らない」ユーザには、以下の二つの理由から完全に本物であるかのように見える。一つ目は、よく知られているリソース上に位置している。二つ目は、接続が暗号化をサポートしている https で作成されている。
もちろん、私は‘Report Abuse’をクリックした。この種のページの幾つか(全てではない)は、既に閉じられている。しかしながら、これはグローバルレベルでは問題の解決にはならない。サイバー犯罪者は、クラウドサービスが彼らの行為にとって申し分ない物なので、間違いなくこれを使用することを継続している。
ここでもう一度ユーザに熱望する。用心深くあれ、決して疑わしいリンクをクリックするな。
インチキのWindowsアップデートを回避するための簡単な方法
ESET : Threat Blog (2011/06/10)
Sophosの私の友人がWindowsアップデートを装い「疑うことを知らない」ユーザをインチキのアンチウィルス製品に感染させる新しい脅威についてブログで公開した。
このアップデートは本物のWindowsアップデートのような外観でユーザを欺いているようである。Sophosの私の友人は、人々が自分自身を守るための素晴らしいアドバイスを提供している。私は今回、彼らのアドバイスの幾つかを詳細に説明しようと思う。参照するアドバイスは、“Just like visiting your bank you should only trust security alerts in your browser if you initiated a check with Microsoft, Adobe, Sophos or any other vendor for updates to their software.”(Microsoft, Adobe, Sophosや他の全てのベンダが提供するソフトウェアのアップデートをチェックしているのであれば、あなたが銀行を訪問する時のように、ブラウザ中のセキュリティ警告だけを信頼すべきである)。これが実際に意味していることは、あなたにソフトウェアのアップデートを告げるポップアップを信頼することを止めなさいと言うことである。ポップアップを信頼しないことは、それらを無視することよりずっとずっと困難である。あなたがWebをサーフしていた時、Microsoftセキュリティ警告がポップアップし、アップデートが必要であると告げてきたとしよう。これをクリックしてはならない。最初にすることは、使用していたWebブラウザを閉じることである。このメッセージが消えたなら、ほぼ間違いなく、あなたを欺こうとしている。ブラウザを閉じても、このメッセージが存続するなら、コントロールパネルを開きなさい。Windows7では、以下のように表示される。
システムとセキュリティをクリックする。Widows7で別の物が表示されているのであれば、右上で表示を”カテゴリ”に変更しなさい。この設定はいつでも戻すことができる。次の画面は以下のようである。
ここから、Microsoftの本物のアップデートを間違いなくチェックするために、Windows Updateを使用できる。この方法を使用することで、あなたは悪意あるソフトウェアをインストールしようとしたズル賢い犯罪者の企てをバイパスすることができる。
銀行に関しては、真っ新のブラウザウィンドウを開くか、真っ新のタブを開きなさい。次に、あなたがオンラインバンキングに使用している銀行のWebサイトの名前をタイプしなさい。
Flash ReaderやAcrobatのようなAdobeアップデートでは、新しいウィンドウもしくはタブを開きwww.adobe.comを入力しなさい。決して他のWebサイトのリンクから、Adobeアップデートをインストールしてはならない。
Sophosアップデートについては、私はwww.eset.comをタイプするよう推奨する。アンチウィルス製品をアップデートするには、アンチウィルス製品に備え付けられているアップデートメカニズムを使用しなさい。そのソフトウェアのより新しいバージョンを必要としているのであれば、ベンダのWebサイトをタイプしなさい。
犯罪者は、ユーザが実行することに慣れていること(アップデートのインストールのような)を実行させることによって、人々を欺くことが大変容易であることを認識している。適切な場所からアップデートをインストールすることを習慣付けなさい。そうすることで、自分自身をより安全に維持できるだろう。
Adobe: ReaderとAcrobat中の緊急のセキュリティホールにパッチ
The H : Security (2011/06/10)
Adobeは06月14日にReaderとAcrobat中のセキュリティホールをパッチするだろうとアナウンスした。Adobeは、このアップデートが幾つかの緊急の脆弱性を閉じると発言している。Windows用のAdobe Reader X(バージョン 10.0.1)、Mac OS X用のAdobe Reader X(バージョン 10.0.3)、Reader 9.4.3、Acrobat X 10.0.3と9.4.3の全てが適用対象であると発言している。
Adobeはこの前の日曜日にFlash Playerのアップデートをリリースした。このアップデートは”ユニバーサル”クロスサイト スクリプティングの脆弱性(ユーザが悪意あるサイトを訪問したら、WebサイトやWebメールプロバイダ上でユーザに代わってアクションを実行するために使用されるバグ)を解決した。この時点で、AdobeはAcrobat Readerと、それに埋め込まれているFlash Playerに脆弱性があるかどうか調査中であった。
Java、17のセキュリティホールにパッチ
Krebs On Security : Blog (2011/06/07)
Oracleは本日、大変汎用されているJavaソフトウェア中の少なくとも17のセキュリティホールを修正するアップデートをリリースした。
Oracleは、可能な限り早急にこのアップデートを適用するようユーザにアドバイスしている。このアップデートは、認証なしにリモートから脆弱性攻撃される可能性のある殆どの(全てではない)脆弱性を解決しているかのように見える。
Javaの最新バージョンは、Java 6 Update 26 (v. 1.6.0.26)である。そして、Java備え付けのアップデート機能を使用するか、java.comを訪問することによって利用可能である。Javaのどのバージョンをインストールしているのか定かでない、あるいは、Javaをインストールしているかどうか定かでないのであれば、Javaホームページ上の赤いダウンロードボタンの下にある“Do I have Java(Javaの有無をチェック)”をクリックしなさい。
Javaの広範なインストールベースは、Javaをコンピュータ詐欺師用の巨大なターゲットにした。多くのユーザが、この非常にパワフルなプログラムのアップデートを守らないことが、間違いなく役に立たなくしている。あなたがJavaを使用していないのであれば、Javaを削除しなさい。あなたがJava削除するように自分自身を仕向けることができないのであれば、Javaを必要とする場合を除いて、ブラウザのJavaプラグインを無効化しなさい。
Flashプレーヤ、0-Dayのフローにパッチ
Krebs On Security : Blog (2011/06/05)
Adobeは、ある脆弱性を修正する緊急のセキュリティアップデートを本日リリースした。この脆弱性は、Adobeが既に警告しているように、E-Mail中に添付された悪意あるリンクをクリックすることでユーザを欺くように設計された攻撃目標であり、既に攻撃が開始されている脆弱性である。
この脆弱性(WebサイトやWebメールプロバイダ上でユーザに代わって実行するために使用されるクロスサイト スプリクティング バグ)は、Windows, Macintosh, Linux, Solaris上のFlashプレーヤ10.3.181.16と、それ以前のバージョン中に存在する。Adobeは、ユーザにバージョン10.3.181.22にアップデートするよう推奨している。あなたのFlashのバージョンを発見するには、こちらにアクセスしなさい。
Googleは、Chrome中のこのフローの修正アップデートを既にリリースしていると表明している。Adobeは、今週のある日にAndroid用にこのフローのアップデートを出荷するだろうと発言している。
Adobeは、この脆弱性がWindowsとMacintosh用のAdobe Readerの10.x以前、Acrobat X(10.0.2)の9.x以前に影響を与えているかどうか未だ調査中であると発言している。そして、フィールド中でAdobe ReaderとAcrobatをターゲットにした如何なる攻撃も確認されていないとも発言している。
他のブラウザとIEを併用しているのであれば、夫々のブラウザをアップデートを適用する必要がある。IE用のFlash Active Xプラグインをインストールしたら、FirefoxやOperaのような他のブラウザでもアップデートを実行しなさい。Flash Playerダウンロードセンターに適切なブラウザでアクセスすることで利用可能である。ダウンロードセンター経由でのアップデートはAdobeのダウンロードマネージャ(不要な追加プログラムをもたらそうとする)をインストールすることを心に留めておきなさい。手動アップデートしたいのであれば、Windows用のダイレクト インストーラが、このリンクから利用可能である。このアップデートでインストールトラブルに遭遇したなら、Flash Playerの以前のバージョンをアンインストールした後、もう一度アップデートを試みなさい。
TDSSローダ今、足を得た
Kaspersky : Security List (2011/06/03)
TDSS(我々が何度も書いてきた悪意あるプログラム)のローダは、今、足(即ち、自己増殖メカニズム)を得た。TDSSはマルウェアの中でも大変高性能な物である。そして、サイバー犯罪者は、TDSSをロードするために成功な増殖メカニズムを作成した
TDSSローダは、Net-Worm.Win32.Rorpianと名付けられた。そして、そのコードを拡散するために二つの方法を使用する。
1, リムーバルメディア経由
2, LANを伝って
リムーバルメディア経由で拡散する時、このワームは、autorun.infに追加する形で、ワームのDLLを指し示すパラメータ付きのファイルsetup.lnk, myporno.avi.lnk, pornmovs.lnkを作成する。これは、多くの悪意あるプログラムによって使用されている標準的テクニックである。
ローカルエリアネットワーク(LAN)を伝って拡散するとき、このワームは以下のテクニックを使用する。コンピュータに感染すると、このワームは、DHCPサーバがネットワーク上で使用されているかどうかをチェックする。犠牲者のコンピュータがDHCPプロトコルを使用するネットワークを配置していたなら、このワームは、DHCP上で利用可能なIPアドレスの存在を確認するためにネットワークをスキャンすることを開始する。次に、このワームは自身が所有するDHCPサーバを起動し、ネットワークを傍受することを開始する。ローカルネットワーク上のコンピュータからDHCPリクエストを検出すると、このワームは、まず、以下のデータを送信し、これに応答することを試みる
1, 集められている利用可能なIPアドレスの一つ
2, 感染したコンピュータ上に構築されているメインゲートウェイ
3, サイバー犯罪者の悪意あるDNSサーバのアドレス
この巧みな操作ののち、このユーザが如何なるWebページであろうとも、Webページ訪問しようとするときは常に、犠牲者は悪意あるサーバにリダイレクトされ、犠牲者のWebブラウザをアップデートするプロンプトが表示される。
DHCPプロトコルと共に動作するNet-Worm.Win32.Rorpianコードの断片
この犠牲者は、「アップデート」に同意するまでWebサイトの訪問は不可能である。ユーザがアップデートに同意すると、このワームは、Net-Worm.Win32.Rorpianの変種をダウンロードする。コンピュータに感染したのち、Googleサーバ アドレスのアドレスをこのDNS設定に変更する。そして、犠牲者がブラウズできるようにする。
ワームを拡散する悪意あるサイトのスクリーンショット
言い換えれば、Net-Worm.Win32.Rorpian(TDSSのローダ、今日最も先進的で洗練された悪意あるプログラム)は、全てのユーザのコンピュータの最も危険な脆弱さを利用する。
Operaベータ版、パスワード同期を搭載
The H : Security (2011/06/01)
アルファバージョンのリリースを4週間後に控えたOpera 11.50(コード名"Swordfish")が、ベータとして利用できるようになった。このベータの最も重要で新しい機能は、ブラウザ中に記録されるパスワードとの同期をとる能力である。2007年に導入された同期機能は、パスワード保護付きのOperaサーバ上に様々なタイプのユーザのデータ(現在この機能は、スピードダイアル、住所、メモ、検索エンジンとコンテンツブロッカーのルールを含んでいる)を保存し、複数の設定にまたがってそれらを同期している。
パスワード同期機能が最初に実行されると、Operaサーバ上に発生したキーを使用して、パスワードはクライアント上で暗号化される。このキーはサーバ上にも保存されるが、このキー自身もOperaアカウントパスワードを利用して暗号化される。同期するとき、Operaは、サーバからパスワードと暗号化されたキーを取得する。この二つを復号化し、(今迄同様)このパスワードをローカルに保存する。Opera QAエンジニア(【訳注】 クオリティエンジニア、新製品を顧客の視点からチェックを行う技術者)エステバン ベラスケスは、理論的にはOperaがユーザのデータにアクセスすることを意味しているが、実際上の観点からは、このデータはOperaの様々な部分にまたがって分散されている、と発言している。しかしながら、このエンジニアはまた、それゆえOperaパスワードは特に十分に守られる必要があると強調している。プレーン テキストのパスワードは、クライアント上にもサーバ上にも保存されていないのだから。
Opera 11.50の二つ目の重要な優先性は、動的スピードダイアルである。ブラウザ エクステンションを使用して、スピードダイアル機能は、将来、静的URLだけでなく、ニュースフィードのような動的コンテンツもまた表示可能になるだろう。このPrestoレンダリングエンジン(バージョン 2.8にアップグレードされている)は、HTML5コンボボックス、ブラウザ履歴インターフェイス、時間と日付情報を可読するための<time>要素を含む様々な新しい標準を今サポートしている。改良はDOM(【訳注】 Document Object Modelの略、HTML文書やXML文書をアプリケーションから利用するためのAPI)イベント処理にもなされた。
Opera 11.50の詳細は、Opera Next Webサイトに見出すことができる(最新のベータのダウンロード リンクを含んでいる)。あらゆる開発版のリリース同様に、本番環境と業務上枢要なシステム上での使用は推奨されない。Operaの最新の安定版は、5月中旬にリリースされた11.11である。
偽のFirefox警告はスケアウェアを誘導する
Sophos : Nacked Security (2011/05/30)
偽のセキュリティ ソフトウェアの提供者は、多くの雑草が彼らの足元に成長することを許さず、彼らのソーシャルネットワーク用の餌を絶えず改善している。
先月の情報の多くは、彼らがコンピュータをスキャンするように見えるインチキの検知ポップアップを引き連れてMacに移動したことであったが、彼らがWindows上での革新を停止したわけではない。
彼らの最新のスカム? 彼らはあなたのユーザエージェント(【訳注】ユーザーがWebページにアクセスした時に,そのページをホストしているサーバーに対して送信されるブラウザや使っているOS等の情報のこと)をWebブラウザから検出する。そして、あなたがFirefox Webブラウザを使用していたなら、インチキのFirefoxセキュリティアラートを表示する。
Internet Explorerユーザは、ブラウザ ウィンドウの内部でシステムスキャンの実行を表明している標準の「マイコンピュータ」ダイアログが表示される。
個人のコンピュータとソフトウェアに関する詳細な情報を悪用することは、多くの特定の、信頼あるソーシャルエンジニアリングへの攻撃を可能にする。
我々は多分、各OS、ブラウザそして、我々のデバイスから送信されるHTTPリクエストから収集されるあらゆる他の情報をターゲットにしているこの犯罪者を確認することを継続する。
"Start Protection"ボタン(上図参照)をクリックしたなら、予想通りの方法で実行する最新、最悪のインチキのアンチウィルスプログラムをダウンロードすることになる。
あんたが80$以上の金銭を支払うまで、あなたのコンピュータ上でインチキのウィルスが検出され続けることになる。
あなたがFirefoxユーザであり、コンピュータ上にインチキのウィルス警告が表示されているのであれば、それをインチキと認識しなさい。Firefoxはその内部にウィルススキャナを含んでいない。Firefoxは唯一悪意あるページを訪問しようとするときに警告を発するだけである。
Firefoxからの危険なWebサイトに関する警告を得たなら、安全に行動するためにブラウザを終了させなさい。
Internet EXplorerからはクッキーを簡単に盗める
The H : Blog (2011/05/26)
セキュリティ研究者Rosario Valottaは、Internet Explorerの全てのバージョンで、任意のクッキーをWeb上で盗むことのできる0-Dayのセキュリティホールを発見した。Internet Explorerのセキュリティゾーン メカニズムは、例えばハードディスクからiFrameのような、埋め込まれているローカルゾーン コンテンツからのインターネットゾーン中のサイトを通常は妨げる。しかしながら、この研究者はクッキーがこのメカニズムから除外されており、実際にiFrameをロードできることを発見した。次にクッキーは不可視のテキストとしてマークされ、ユーザがドラッグドロップすることによってiFrameからメインウィンドウにシフトされる。ユーザが発生していることに気づくことを防げるために、Valottaは、あらゆることをゲーム中にパックした。
これは軽度の攻撃ではない。データはドラッグドロップ経由で抽出されるので、ユーザの共同作業を求めなければならないことは別にして(Valottaはデモビデオ中で簡単なパズルゲームを使用してこれを解決している)、攻撃者になる可能性のある者は、クッキーの正確なパスも知らなければならない。そのパスが犠牲者のWindowsユーザ名を含んでいたなら、攻撃者は予めこれを発見しておく必要がある。
Vallottaは、悪意あるWebサイト中に共有SMBネットワークボリュームを記録させた画像を埋め込むことでこの問題を解決した。しかしながら、サーバアクセスはNTLM認証を要求する。認証のために、コンピュータは現在のユーザ名をプレーンテキストで送信する。このことは攻撃者がパケットスニッファを使用してデータを簡単にインターセプトできることを示している。パスを完成させるために、攻撃者は犠牲者のオペレーティングシステムのバージョンも発見しなければならない。これは、例えば、JavaScriptのnavigator.userAgentを評価することで完成できる。Firesheep経由の待ち伏せ攻撃(【訳注】システムからの情報の取得やそれを利用する攻撃)に比較すれば、Valottaのアプローチはかなり複雑である。
ロイターに対して、Valottaは、3日以内で彼の150人のFacebookの友人から80以上のクッキーを収穫したと発言している。この研究者は、2011年01月28日に最初のセキュリティホールをMicrosoft Security Response Centerに通知した。Microsoftは、IE9の最終バージョン(03月18日にリリース)以前にこの問題を解決した。しかしながら、その二週間後、Valottaは僅かな修正でIE9ユーザからクッキーを盗むことが可能であることを見出した。これはアムステルダムで行われたHackintheboxカンファレンスで彼によって実演された。
インターネット上での子供に対するセキュリティリスク
PC Informant : Blog (2011/05/25)
PCの早期に予測されていなかった多くのことの中に、インターネットのような危険な環境の中でコンピュータを使用する数百万の子供たちの存在があった。今日でさえ、オンライン上の未熟な若者が直面している危険は、しばしば見過ごされあるいは無視されている。
Windowsが親の監視を提供する優れたアクセサリを同梱していることは真実であるが、私の個人的経験は、大多数の親が、この制御ツールを認識していないか、それらの使い方をわざわざ学ぼうとしていないかのどちらかである。これらの同じ親が彼らの子供たちがどのようにいろいろなマルウェアをダウンロードし、常に彼らのコンピュータを感染させているかということにについて、私に不平を言っているという事実にもかかわらず。
子供たちは予期しない場所をサーフしている。最近のConsumer Reportによる調査で例証されたように、数百万の未成年の子供たちが、彼らの年齢を偽ってFacebookを使用していることが発見されている。
Consumer Reportの最新のNet調査の現況の見積りによれば、昨年Facebookを積極的に利用した2000万人の未成年者のうち、750万人が13歳未満であった。Facebookのサービス条件では、少なくとも13歳であることをユーザに要求している。
Facebookを使用している未成年者のグループの中で、500万以上が10歳未満であった。Consumer Reportの調査は、この未成年者のアカウントが親によって殆ど監視されておらず、彼らをマルウェアや、略奪やイジメのような深刻な脅威に晒していることが見出された。インターネット セキュリティのレポート(これは完全な調査結果とFacebookユーザの両親へのアドバイスを含んでいる)は、Consumer Reportsの6月版とwww.ConsumerReports.orgを特集している。
残念ながら、多くの両親はFacebookのようなソーシャルサイトの危険性を理解していないようであると、Consumer Reportsの編集者Jeff Foxは忠告している。
Facebookの年齢要求にもかかわらず、多くの子供たちは、存在すべきではないサイトを使用している。より大きな問題は、10歳以下の子供の親の大多数が、彼らの子供がFacebookを使用していることに全く無関心であることを示唆する結果が、この調査から発見されたことである。
Krebのオンラインの安全性のための3つの基本ルール
Krebs On Security : Blog (2011/05/20)
Krebのオンライン上に安全に存在するための第一のルール; 「自ら探していないものはインストールするな。」 圧倒的多数のオンラインの脅威はユーザに何らかのアクション(E-Mail中のリンクや添付ファイルをクリックしたり、任意のブラウザ プラグインやアプリケーションをインストールするような)をとらせることに依存している。具体的には、この様な攻撃は、怖がっている人々にセキュリティ スキャナをインストールさせるように偽装セキュリティツールをポップアップする形式をとっている。他のポピュラーなスカムは、あなたにビデオを差し向け、次に、そのコンテンツを閲覧するために特別なコーデック、ビデオプレーヤ、アプリケーションをインストールする必要があると訴えてくる。そもそも、それ等を探していた場合にだけ、ソフトウェアやブラウザ アドオンをインストールしなさい。何かをインストールする前に、特定のソースから直接ソフトウェアを取得してくることは賢明な考えである。Majorgeeks.comとDownload.comのようなサイトは、彼らがダウンロードを提供しているソフトウェアに関してはスクリーニングしていると主張している。しかし、その品質とパフォーマンスについて若干の基礎研究をすることなく、製品をオンラインで買うことはないだろう。まさにそのように、検索に二、三分かけなさい、そして、そのソフトウェアの他のユーザによって残されたコメントとレビューを読みなさい。そして、それが、あなたの予測以上でなければ申し込まないようにしなさい。また、Facebook, LinkedIn, Twitter, あなたが使用している銀行やあなたの個人情報を保持している他のサイトからのE-Mail警告に直接応答しないようにしなさい。代わりに、Webブラウザのブックマークを使用して、この様なサイトを直接訪問しなさい。
Krebのオンライン上に安全に存在するための第二のルール; 「インストールしたプログラムは、アップデートしなさい。」 最新のパッチでオペレーティングシステムを維持することは重要であるが、コンピュータを安全に維持するには、オペレーティングシステム上で動作するアプリケーションへの世話と餌やりが要求される。悪い奴等は、広汎にインストールされているソフトウェア製品(Java, Adobe PDF Reader, Flash, QuickTime等)中のフローを恒常的に攻撃している。この様な製品を出荷しているベンダは、一年に数回セキュリティバグの修正をアップデートしている。そこで、可能な限り早急にこの様な製品の最新バージョンにアップデートすることは重要なことである。これらの製品の幾つかは新しいアップデートがあることをユーザに警告するが、この様な注意はパッチがリリースされた数日後や数週間後にしばしば出現する。私はメジャーな製品の修正に関する警告をポストすることで、読者がこの様な修正の最先端にいられるよう試みている。しかし私は、それ等全てに関し維持し続けることはできない。アップデートに疲労を感じる人のための素晴らしいリソースが、SecuniaのPersonal Software Inspector(PSI)である。このソフトは無料であり、定期的にスキャンし、ユーザに古くなったセキュリティソフトウェアを警告する。PSIの最新バージョンは、そのような製品を自動的にアップデートできるように設定されている。FileHippoも素晴らしい無料のアップデートチェッカーを持っている。こちらから取得可能である(Microsoft .NETを要求する)。
Krebのオンライン上に安全に存在するための第三のルール; 「もはや必要としなくなったものは、削除しなさい。」 乱雑にしておくことは迅速なコンピュータの敵である。残念ながら、殆どのコンピュータメーカーは、大多数の顧客が唯の一度として使用しない山の如き水脹れソフトを同梱して出荷している。コンピュータ メーカ直接分の上に、平均的ユーザは、数ヶ月、数年かけて数ダースものプログラムをインストールする傾向にある。概して、この様なアイテムは、あなたのコンピュータのパフォーマンスに大きな被害を与える。大抵のプログラムは、コンピュータが再起動されたときに、必ずスタートアップされるアイテムのリストにそれ等自身を追加する。これで、コンピュータの再起動はとっても退屈なものになる。あなたは多くのプログラムをインストールしている。思い出しなさい、最新のセキュリティパッチでのアップデートの維持に如何に時間を費やしているかを。例えば、Javaは、大多数の人々が彼らのマシン中に所有しているパワフルなプログラムでありWebブラウザプラグインであるが、稀にしか使用されない(この嵩張ったプログラムは、アップデートする度にWindowsのスタートアップメニューに自分自身を追加する)。一方、攻撃者はJavaソフトウェアの期限切れバージョンが存在するシステムを恒常的にターゲットにしている。あなたがJavaを必要としないのであれば、アンインストールしなさい。あるWebサイトやサードパーティーのアプリケーションがJavaを必要とするのであれば、あなたは何時でも再インストールすることができる。あなた自身をJavaを完全に削除するよう仕向けることができない、あるいは、Javaを要求するデスクトップ プログラムを持っているのであれば、あなたがブラウザを使用するときは常に、ブラウザからJavaアドオンを無効化することでJavaを取り外すことを考慮しなさい。
緊急のセキュリティホールを閉じたOpera11.11がリリース
The H : Security (2011/05/18)
Operaのバージョンを確認したいのであれば、Operaのアドレスバーに"opera:about"と入力することで発見できる。
バージョン11.11へのアップデートで、Opera開発チームは攻撃者が悪意あるコードを挿入可能であった緊急のセキュリティホールを閉じた。この脆弱性は、フレームセットを処理するコード中に発見された(あるフレーム構造が、攻撃者が悪意あるコードを最終的に可能にするメモリエラーを発生させる)。
他の内部的変更は、主にブラウザ全体の安定性に関するものである。例えば、開発チームは、www.falk.de にアクセスしようとしたときブラウザがクラッシュするバグ同様に潜在的インストーラ クラッシュの原因を修正している。
変更に関する完全なリストはOpera Webサイトで確認できる。Opera 11.11は、Windows, Mac OS X, Linux用がダウンロード可能である。
新しいAdobe Playerでは、邪悪なフラッシュクッキーを簡単に削除できる
The Register : Security (2011/05/16)
議論の的になっている「フラッシュ クッキー」は、今迄の伝統的なクッキー同様にWebブラウザ中から今、簡単に削除可能になったと、Flashテクノロジを提供しているAdobeは発言している。
Adobeは、彼らのFlash Playerの新しいバージョンをリリースした。このバージョンは、普通のWebページ クッキーに慣らされたユーザにフラッシュ クッキー対する制御権のようなものを与える。
Webサイトは、ユーザのコンピュータ上にクッキーと呼ばれる小さなテキストファイルでユーザのオンライン行動に関する情報を保存している。ユーザは彼らのWebブラウザからこの情報を削除することが可能であるが、今迄、WebサイトがFlashを通してユーザに関して収集した情報を削除することは大変煩雑であった。
「フラッシュ クッキー」(もしくはローカル・シェアード・オブジェクト(LSO)として知られる)は、ユーザのブラウザ設定を通じて削除可能であると、Adobeは発言している。
Adobe Player 10.3は、ブラウザのプライバシー設定中でlocal storage clearing(【訳注】ローカルで保存したクッキーのようなデータをクリアする機能)を搭載、Flash Playerプライバシー、デスクトップのローカル コントロール パネル中のセキュリティと保存設定のコントロールを効率化していると、Adobeは彼らのオンライン Flash Playerブログで発言している。
この新しいPlayerはAndroid, Linux, MacOS, Windowsをサポートしていると、Adobeは発言している。
「フラッシュ クッキー」は、 Mozilla Firefox 4, Microsoft Internet Explorer 8以上, Google Chrome 11と、Apple SafariとGoogle Chromeの将来のリリースから削除できると新しいソフトウェアに関するリリースノート中でAdobeは発言している。
今迄、ユーザがこの情報を削除する唯一の方法は、Adobe Webサイト上のオンライン設定パネルを通してのみであった。
今月初め、MicrosoftはAdobeの新しいソフトウェアに対応するために、その設定をアップグレードしたとアナウンスした。
「我々がIE8をリリースしたとき、我々はInternet Explorerにアプリケーション プログラミング インターフェイスを追加した。そこでFlashのようなアドオンが、ブラウズの履歴を削除したり、InPrivateブラウズ(【訳注】Internet Explorerに証跡を残さずにWebを閲覧できるようにした機能)に応答できるようになった。利用者はブラウジングの履歴で他のデータ共々フラッシュクッキーを削除することが可能になった」とInternet Explorerのプログラム マネージャAndy Zeiglerはブログの投稿で発言している。
フラッシュクッキーを通じてユーザの行動を追跡するWebサイトの能力に関してはプライバシーが懸念されていた。オンライン会社は、ユーザがWebブラウザの設定で削除したはずのクッキーデータを再構築するために、広告やビデオのようなFlashアプリケーションから取得した情報を使用することができる。
広告ネットワークは、どの広告をそのユーザに表示するか決定するために、インターネットユーザに関してクッキーから集めた情報を使用している。広告主はユーザがターゲットにした広告を見、それに大いに作用される結果になることを希望している。
2009年、欧州委員会はEU Directive on Privacy and Electronic Communications(通称、e-Privacy Directive)でクッキーを処理する方法の変更を含む電気通信改革方針をアナウンスした(【訳注】ユーザに対して、クッキー等の目的などをわかりやすく説明した上で、ユーザの事前同意を得なければ、クッキー等は利用できないものとされた。また、クッキー等を拒否する機会を、ユーザにわかりやすい形で与えなければならない。EU各国は、2011年5月25日までに、これを国内法制化しなければならない)。
新法は、ユーザのブラウザ中にクッキーを置く前にユーザの同意を得なければならないとしている。
業界団体はユーザのブラウザ設定がクッキーの使用に対する同意を示していると反論したが、人権擁護派は完全な同意を示しているわけではないと発言した。
情報コミッショナー事務局(ICO)は、月曜日、オンラインビジネスはブラウザ設定が同意であるとすべきでは無いとしたガイドを公開した。Webサイトは、ユーザがそのサイトの条件に署名したとき、同意に関する質問をユーザに表示したり、ユーザから許可の獲得を表示したりできると、ICOは発言している。
この法律は5月26日から英国で施行される。このガイドは、新たなクッキー法にしたがう方法をWebサイトにアドバイスするために作成された。
*********************
フラッシュクッキーの削除方法に関し、以下のサイトが検証を行っています。ご一読ください。
http://doheny.blog137.fc2.com/blog-entry-138.html
ウィルス作成者戦術変更。Windows 7へ激しい攻撃
The Register : Security (2011/05/13)
Microsoftからの公式の統計によれば、マルウェアによる攻撃はXPマシンでは緩やかな減少傾向に転じたものの、2010年下半期に於いてWindows 7への感染は増加している。
マイクロソフト セキュリティ インテリジェンス レポートの最新版(【訳注】第10版。ダウンロードはこちら(日本語版))は、2010年上半期、Windows 7搭載PC1000台あたり3台の割合で感染していたものが、2010年の下半期に於いては、Windows 7搭載PC1000台あたり4台の割合で感染していることを示している。より高度な出発点を必要とされるにもかかわらず、この30%以上の増加は、古く、より安全性の低いWindows XPが稼働しているマシンの感染レートが減少したことと対照的である。二つの統計はMicrosoftのMalicious Software Removal Tool(MSRT、悪意のあるソフトウェアの削除ツール)のスキャン結果から取得されたものである。
Windows XP SP3の感染率は、1000台あたり18台から14台に下落している。XP SP3が稼働しているマシンは、同期間に1000台あたり20台から18台に感染が減少したXP SP2が起動しているコンピュータよりずっと成功している。Vistaに関する感染率は、SP2適用マシンにおいて、1000台あたり11台から10台に僅かに減少している。
Microsoftの指摘として、Windows 7は、より高度なセキュリティ防御機能を備え付けており、VistaやWindows XPマシンよりセキュリティ攻撃に対して免疫があるとしている。しかしながら、このセキュリティ パフォーマンス向上薬の薬効は、マルウェアを売り歩く輩の戦術変更によって減少中である。
Microsoftは、悪意ある者が、その時点で広く知られていた二つの脆弱性を攻撃したため、2010年第三四半期の間にJavaベースの攻撃はナント14倍もに増加した。この二つの脆弱性(CVE-2008-5353 and CVE-2009-3867)は、2010年下半期に検出されたJavaに対する攻撃全体の85%を数えた。最近数ヶ月に渡り減少傾向を示しているオペレーティングシステムへの攻撃は、2010年第三四半期では明らかに増加した。この主たる理由をMicrosoftのセキュリティ監視員は、この二つのWindowsの脆弱性によるものと着目している。
この期間に、ソーシャルネットワークを使用したフィッシングは1200%もの巨大な上昇を示している。ソーシャルネットワークは犯罪行動のための実入りのよい温床になった。ソーシャルネットワークを使用するフィッシングは、1月にフィッシング攻撃全体の8.3%に過ぎなかったものが、2010年12月には84.5%にまで上昇した。
更に、セキュリティ インテリジェンス レポートは、アドウェア ベースの攻撃が巨大に増加していることを図示している。二つの新しいアドウエア(JS/Pornpop and Win32/ClickPotato)は、この増加に大きな貢献をした。二つのマルウェアは、感染したマシンにポップアップを発生させる。Pornpopではポルノサイトの広告をポップアップする。
Adobe: Flash Playerの11のセキュリティ ホールに緊急のパッチ
Krebs On Security : Blog (2011/05/13)
Adobeは汎用されているFlash Playerの定例外セキュリティ アップデートをリリースした。この「緊急」のパッチは少なくとも11の脆弱性を修正している。この中には、既に攻撃が開始されているE-Mailを送りつけることによる攻撃の修正を含んでいる。
このアップデートに付随する勧告において、Adobeは「WindowsをターゲットにしたE-Mailの添付ファイルとしてのMicrosoft Word (.doc)やMicrosoft Excel (.xls)ファイルに埋め込まれたFlashを通じて、世界中で脆弱性の一つCVE-2011-0627を攻撃するマルウェアの企みが報告されている。しかしながら、Adobeは今日まで、攻撃が成功したマルウェアのサンプルを入手していない」と発言している。
この脆弱性は、Windows, Mac, Linux, Solaris用のFlashのバージョン10.2.159.1と、それ以前のバージョンに存在している。あなたのFlashのバージョンが判らないのであれば、このリンク先を訪問しなさい。殆どのプラットフォーム用のFlashの新しいバージョンは10.3.181.14である。Androidユーザは、Android phoneでAndroidマーケットプレイスをブラウズしてFlash Player 10.3.185.21にアップグレードしなさい。Googleは、05月06日の時点で、FlashのこのバージョンでChromeユーザを自動的にアップデートしたと表明している(このFlashのバージョンを搭載しているのはChromeバージョン11.0.696.68以降)。
あなたがInternet Explorerと他のブラウザを併用しているのであれば、このアップデートは各ブラウザごとに実行しなければならないことを思い出しなさい。IE用のFlash Active Xプラグインをインストールしたら、FirefoxやOperaのような他のブラウザでも同様に実行しなさい。アップデートは、ブラウザでFlash Playerダウンロードセンターを訪問することによって取得可能である。ダウンロードセンター経由でのアップデートはAdobeダウンロード マネージャが付属していることをそして、更に追加のソフトウェアをインストールしようとすることを心に留めておきなさい。手動アップデートをしたいのであれば、Windows用の手動インストーラは、こちらのリンクから入手できる。このアップデートのインストールで問題が発生した場合は、Flash Playerの今までのバージョンをアンインストールし、最新バージョンを再インストールしなさい。
Adobeは、Macintosh用に自動アップデート喚起メカニズムをFlash Player 10.3で搭載すると発言している。この機能はMacユーザに新しいFlashのアップデートを喚起する(この機能はWindows用には既に搭載されている)。
Lastpassを使用しているなら、大至急マスターパスワードを変更しなさい
Sunbelt : GFI Labs Blog (2011/05/05)
これは悪いニュースである。優れたパスワード管理システムとして知られるLastpassが、こっそり改竄されていた。だが、Lastpassのチームは、不正行為の発生に素早く気づき、Lastpassのユーザにマスターパスワードの変更をアドバイスしている(実際に、Lastpassチームは全員に対してパスワードの変更を強制するつもりでいる)。
Lastpassチームの忠告から:
あなたが強力なパスワードを設定(非辞書ベースのパスワードやパス フレーズ)しているのであれば、この問題はあなたに打撃を与えない。今回の潜在的脅威は、あなたのパスワードを辞書中の単語を使用してシラミ潰しにし、次に、あなたのデータを取得するためにそのパスワードでLastpassにやってくる。残念なことに、全ての人がシラミ潰しの影響を受けないマスターパスワードを設定しているわけではない。
これが、あなたのマスターパスワードを"password"のような辞書ベースの単語に設定してはならない理由である。攻撃可能性の存在は彼らを元気づけ素早い応答を生み、彼らにとっての称賛となる。今、強力なマスターパスワードを使用していないのであれば、これを警告として受け取りなさい。あなたが次にLastpassアカウントにログインしたとき、実際にマスターパスワードに何らかのことをすべきである。
【アップデート】 不正なアクセスを防止するためにマスターパスワードを変更した後、Lastpassアカウントへのログインに。多くのユーザが問題を持っているようである。以下に、ユーザによってLastpassブログに投稿された幾つかの情報がある。あなたに役に立つかもしれない。
1) "Your account settings have restricted you from logging in from this mobile device."(あなたのアカウント設定は、このモバイル機器からあなたがログインすることを拒否しました)の問題を持った全てのユーザへ: 私はアカウントを設定したときに作成したワンタイム パスワードの一つで、ログインできた。次に私はマスターパスワードの変更を再度要求されたが、ここで私はグリッド認証を要求された。グリッド認証に合格した後、変更は成功した。ー Anon
2) あなたのアカウントを取得中にエラーが発生した、というメッセージが表示されたなら、全てのブラウザを閉じなさい。Cookieをクリアし、もう一度ログインしなさい。私の場合は上手くいった。ー Anon
3) "Your account settings have restricted you from logging in from this mobile device."(あなたのアカウント設定は、このモバイル機器からあなたがログインすることを拒否しました)というメッセージに悩まされた。私はアカウントを削除し、再作成しなければならなかった。以下に私が実行したことを示す。
- https://lastpass.com/pocket.exe からLastpass pocketをダウンロード。
- pocket.exeを起動。あなたの既存のユーザ名とパスワードでログイン。
- CSVファイルとしてあなたの内容物をイクスポート
- あなたのLastpassアカウント(http://helpdesk.lastpass.com/account-recovery/(4番目のオプション))を削除。
- lastpass.comにサインインしLastpassアカウントを再作成。
- Lastpassブラウザ拡張を使用してTools -> Import from -> Other -> ドロップダウンからCSVを選択、LastpassイクスポートCSVファイルの内容をコピーし、ウィンドウ中にペースト。全てのものをインポート。ー Owais
4) 多くの人がパスワードの変更に成功した後に締め出されたと報告している。15分から30分待ってもう一度試みなさい。これで目的が達せられるようである。私は入り口で中途半端にユーザベースが参照されているのではないかと想像する。そこできちんと表示されないのだろう。
5) このWebサイトはログインスクリーンで無限ループに陥ったかのように動かなくなる(少なくとも、あなたが退屈してタブを閉じるまで)。LastpassのFirefoxプラグインでログインすることで、この問題を回避できる。インストールしていますか? この件に関しKurt Wismerに感謝する。
スパムE-Mail経由でより効果的にウィルスを拡散するための相互作用シミュレーション
Bkis : Global Task Force Blog (2011/05/05)
最近、我々の統計はE-Mail添付ファイルに関しより慎重にならなければならない(簡単に添付ファイルを開かない)ことを示している。多分、このことは、悪い奴等が彼らのスカムに幾許かの改善を施し、生贄が添付ファイルを開く機会を増加させようとしているためである。我々のHoneypotが収集した幾多のスパムE-Mailのうちから、二つのスパムE-Mailに注目してみる。
図1、スカムの中からの一つ目のE-Mail
図1、スカムの中からの二つ目のE-Mail(暫くして送信されてきた)
【訳注】一通目の内容: あなたのプロファイルを見つけた。私は、あなたにホットな写真を送れるよ。私は今オンラインだから、このメルアドにメールしてね。何枚かの私のホットな写真を5分以内に送るね。(添付ファイルなし)
二通目の内容: 今日写した私の裸の写真を送るね。気に入ってくれたらイイナ。(添付ファイル付き)
この二つのE-Mailの間の関連性に注意。一つ目のE-Mailは、如何なる添付ファイルも含まれていない。この唯一の目的は、この面白い物語(インターネットであなたを知っているという人が、あなたと友達になることを望んでおり、あなたに何枚かの写真を送る)にユーザを惹きつけることである。あなたがこの物語を信じたなら、二通目のE-Mailの添付ファイルを開くことに躊躇しないかもしれない。この時点で、悲しいことであるが、あなたのコンピュータはウィルスに感染させられた。明らかに、この新しい物語のついた、伝送E-Mail相互作用と魅力的な物語は、悪い奴等が悪意ある目的(添付ファイルを開く可能性を高める)を遂げることを可能にする。
このウィルス(Bkavでは、W32.FakeHotpics.Wormとして検出する)が実行されると、http://webcontrol-panel.us/l[removed]atch/softpatch.php?afid=154からインチキのアンチウィルスをダウンロードする。
SpyEyeがOperaとGoogle Chromeユーザをターゲットにした
Krebs on Security : Blog (2011/04/26)
トロイSpyEyeの最新バージョンは、Google ChromeとOperaを使用してインターネットをサーフィンしているWindowsユーザから、重要なデータを盗むために特別に設計された能力を搭載している。
トロイSpyEyeの製作者は、今まで幾つかのオンラインのサイバー犯罪者フォーラムで犯罪用ソフト作成キットを販売していた。しかし、最近彼のショールームの表示を、ほんの一握りの厳しく検査された地下コミュニティーに限定した。KrebsOnSecurity.comは、最近SpyEyeの新しいバージョンを購入したこの様なコミュニティの一つのメンバーの一人と雑談した。このパッケージからのスクリーンショットは、SpyEyeの最新バージョンが、ChromeとOperaユーザをターゲットにした新たな“form grabbing(【訳注】 Webフォームに入力したデータを取得すること)”能力に関するオプション付きであることを示している。
SpyEyeバージョン1.3.34のコンポーネントはChromeとOperaからのフォーム内容取得オプションを表示している
ZeuSやSpyEyeのようなトロイは、キボード上で犠牲者がタイプした全てのキーストロークのログを維持する能力を備え付けている。しかし、攻撃者にとって興味あるのは、クレジットカード番号、オンラインバンキングの認証情報のような金融関連の情報であるが、この種のトラッキングは、それ以外の大変多くの無関係なデータを通常作成する。Form grabberは、犠牲者が特定のWebサイトのフォームフィールドに入力したデータを剥き出しにし、そのデータが暗号化される前にデータを取得・記録し、情報を要求しているWebサイトに送信することによってこれを完成する。
SpyEyeとZeuSは共に、これまでInternet ExplorerとFirefoxに対するform grabbing機能を実装していた。しかし、ChromeとOperaユーザをこの機能でターゲットにしたメジャーバンク トロイを確認したのは初めてである。Aviv Raff(警告サービス会社SeculertのCTOで共同設立者)は、SpyEyeもZeuSもIEとFirefoxで使用されているDLL(ダイナミック リンク ライブラリ)をフック(【訳注】 横取り)することで動作しているが、OperaとChromeが異なったDLLを使用していることは明らかであると発言している。
これは、まだ注目すべき開発の増分と私には思える。多くの人々はChromeやOperaのような市場占有率の低いブラウザは、サイバー犯罪者の攻撃目標になりにくいと信じ、このようなブラウザを使用することが安全であると感じている。この最新のSpyEye革新は、サイバー犯罪者が盗んだリソースを効率よく金銭化する新たな方法を恒常的に探していることを思い出させる。少数派故の安全とする考えは、健全なセキュリティの実践と常識の代替にはならない。あなたがプログラムをインストールしているのなら、定期的にそれを更新しなさい。求めてもいないプログラム、アドオンまたはダウンロードは、インストールしないようにしなさい。プログラムをもはや必要としないならば、それを削除しなさい。
Adobe Reader, Acrobat: 0-Dayのフローを修正アップデート
Krebs on Security : Blog (2011/04/21)
Adobeは、攻撃者がコンピュータに侵入するために攻撃していた緊急のセキュリティホールを塞ぐために、彼らのPDF ReaderとAcrobat製品を本日アップデートした。この修正版は、Mac、Windows、Linuxバージョンが利用可能である。
このパッチは二つの緊急のフローを解決するために本日リリースされた。Adobeは先週、Flash Playerのスタンドアロン版のパッチをリリースした。しかし、同じ脆弱性を持つコンポーネントがAdobe ReaderとAcrobat中にも存在していた。当初、Adobeは、攻撃がFlash Playerだけだと認識していた。しかし、最新のアドバイザリにおいて、ハッカーがFlash中のフローを攻撃する毒のあるPDFを送信していたとする既存の公開レポートを認めた。例えば、Malwaretracker.comは、4月17日以前にFlashのバグを攻撃する悪意あるPDFの報告を受け取っていたことを通知していた。
このReaderとAcrobatのパッチは、攻撃者が悪意あるソフトウェアをインストールすることが可能な別の緊急のバグ(ReaderとAcrobatのCoolTypeライブラリ中のフロー)を解決している。この問題を通知したポーランドのCERTを除いて、この脆弱性に関する公開情報は殆ど存在しない。Adobeスポークスマン Wiebke Lipsは、このバグはフィールド中で攻撃されてはいないという認識を示している。
最新版のアドバイザリはこちらである。WindowsとMacintoshのユーザは、この製品のアップデート機能を使用してアップデートを入手できる。アップデートを手動でチェックするには、ReaderもしくはAcrobatを起動し、ヘルプからアップデートをチェックしなさい。
今回のセキュリティパッチで、PowerPointに問題発生
The H : Security (2011/04/15)
今月12日(日本時間13日)のセキュリティパッチ日に、Microsoftは、Office製品の複数のバージョン中の脆弱性を修正するセキュリティアップデートをリリースした。しかしながら、PowerPoint 2003用のパッチは、パッチをインストールした後、既存のプレゼンテーションが開けない、あるいは、ファイルが損壊しており完全に表示できないとするエラーメッセージが表示されるという、否定的な結果をもたらした。後述の場合は、プレゼンテーションのコンテンツは、一部読みこむことができるが、表示されていない殆どの要素(背景画像のような)は、保存した後永久に失われる。
Microsoftは問題を解決中であり、この問題が存在していることを確認したことをナレッジベースの記事で公開した。このバグが新しいアップデートで解決されるまで、この問題を経験したユーザは、コントロールパネルからこのセキュリティパッチをアンインストールするようアドバイスされている。このセキュリティパッチは、PowerPoint 2003用のセキュリティ アップデート (KB2464588)である。
この問題の日本語情報はこちらです。
Adobe: Flash Playerにパッチ
The H : Security (2011/04/14)
Adobeは、最近公開されたWindows, Macintosh, Linux, Solaris用のFlash Player 10.2.153.1中に存在する緊急の脆弱性に対するパッチを金曜日(15日(米国時間))にリリースする計画であると発表した。既に報告されているように、Flash Player中の0-Dayのバグは、E-Mail添付ファイルとして送信されたMicrosfot Wordドキュメント中に埋め込まれた巧みに細工された .swf ファイルを使用して攻撃される。攻撃が成功すると、この脆弱性は攻撃者にシステムの制御することを可能にする。
この問題は、Windows, Mac OS X(9.xブランチを含む)用のAdobe Reader、Acrobat X 10.0.2、及びそれ以前のバージョン中に使用されている Authplay.dll コンポーネント中にも発見された。Adobeは、四月の第五週より遅くならない時期に、この様なバージョンのアップデートがリリースされるだろうと発言している。
Adobe Reader Xは、搭載しているプロテクトモードが、この脆弱性攻撃を防止するので、2011年06月14日の定例の四半期アップデートまで、この問題のアップデートはリリースされない。Android用の Flash Player 10.2.156.12 のパッチをリリースする日時は今のところアナウンスされていない。
アップデートの詳細については、Adobe Product Security Incident Response Team (PSIRT) BlogにDavid Lenoeによってポストされている。
VLCメディアプレーヤにバッファオーバーフローの脆弱性
The H : Security (2011/04/08)
セキュリティサービス企業Secuniaのレポートによれば、VLCメディアプレーヤは、Libmodplugライブラリ中の脆弱性の影響(非常に緊急として評価されている)を受ける。ModPlug XMMSプラグインとしても知られているLibmodplugは、データを供給されるユーザの不十分な認証に起因するスタックベースのバッファオーバーフローの問題を繰り返している傾向にある。これは攻撃者によって脆弱性攻撃に利用されている(例えば、ユーザのシステムで任意のコードを実行する)。攻撃が成功すると、ユーザは最初に特別に細工されたS3Mメディアファイルを開くことになる。Secuniaは、これがコンパイル済みのバージョンにのみ影響を与えるだけかもしれないとしている。
この脆弱性は、WindowsとMac用の最新の安定版であるVLCメディアプレーヤのバージョン1.1.8に影響を与えることが確認された。他のバージョンも影響を受ける可能性がある。この問題を修正したパッチもしくはアップデートがリリースされるまで、ユーザは信頼の置けない *.S3M ファイルを開かないよう忠告されている。この投稿の時点で、VideoLANプロジェクトのセキュリティ情報のページには、この問題はリストされていない。
中国製Bootkit
Kaspersky : SecureList (2011/04/05)
我々は最近新しいBootkit(ハードドライブのブートセクタに感染する悪意あるプログラム)を発見した。Kaspersky Labは、このマルウェアをBookit.Win32.Fisp.aとして検出する。このBootkitは、 Trojan-Downloader.NSIS.Agent.jdによって配布される。このトロイは、インチキの中国ポルノサイトからビデオクリップをダウンロードしようとするユーザのコンピュータに感染する。
このダウンローダーは、NSISエンジン(【訳注】スクリプト駆動型のWindows用インストールシステム)を使用している他の悪意あるプログラムをダウンロードし、全てのリンクを関連するNSISスクリプトに記録することにおいて顕著なものである。
Trojan-Downloader.NSIS.Agent.jd用NSISスクリプトの断片
ドロッパー Rootkit.Win32.Fisp.aは、Trojan-downloaderによってダウンロードされたファイル中に存在している。悪意あるプログラムはハードドライブのブートセクタに感染する。もっと正確にいえば、三番目のセクタに、今までのMBRを保存し、MBRをRootkit.Win32.Fisp.aが所有している物で置き換える。第四番目のセクタで起動されると、暗号化されたドライバと残りのコードがインストールされる。
Rootkit.Win32.Fisp.aに感染されたハードディスクの先頭部分の断片
悪意あるプログラムは、感染したコンピュータがブートした途端に制御を取得する。最初にすることは、インテラプト ベクトル テーブルを改竄することで、INT 13h インテラブトに置き換えることである。次に、このBootkitは、オリジナルのMBRに戻し、通常のブートプロセスに復帰する。
システムの特定の部分がブートされたら、このBootkitは、関数ExVerifySuiteを横取りする。インストールされた横取りするツールは、システムドライバ fips.sys を、暗号化されたフォーマットでハードドライブの先頭部分に書き込まれた悪意あるドライバで置き換える。ドライバ fips.sysは、オペレーティングシステムが正しく起動するために要求されないので、システムは、このドライバが置き換えられてもクラッシュしない。
稼働されたプロセスは、PsSetLoadImageNotifyRoutineを使用している悪意あるドライバによって横取りされる。この横取りツールは、‘DataDirectory’配列の‘Security’セクションを閲覧することによってロードされたイメージ中のPEヘッダ(【訳注】EXEファイルの内部構造)を処理する。このドライバは、人気あるアンチウィルスプログラムのプロセス中で発生する文字列(以下を参照)のリストを含んでいる。この文字列の幾つかが、プロセス中で発生したなら、このドライバはロードされたイメージ中のエントリポイントを改竄するので、このイメージはもはや適切に機能しない。
Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co,
このドライバのメイン機能は、Explorer.exeプロセスに侵入し、ダウンローダー機能を所有するRootkit.Win32.Fisp.aの代替バージョンを挿入することである。悪意あるプログラムは、リクエストを犠牲者のコンピュータのOS、IPアドレス, MACアドレス等に関する情報をやりとりするサーバに送信する。
http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01
サーバへのリクエスト送信の例
悪意あるプログラムは、続いて修正したTrojan-Dropper.Win32.Vedio.dgsとTrojan-GameThief.Win32.OnLineGames.boasを犠牲者のコンピュータにダウンロードする。
上述の説明の概要は以下のダイアグラムに要約される。
Rootkit.Win32.Fisp.aに感染されたハードディスクの先頭部分の断片
Kaspersky Labは、Rootkit.Win32.Fisp.aを成功裏に検出し無害化する。
ブラウザのパッチの状態をテストするには
Krebs On Security : Glog (2011/03/30)
Adobe, Apple, Javaのようなベンダから殆ど毎月のように新しいセキュリティ アップデートがリリースされている。最新の脅威に対するWebブラウザのパッチを維持するには、耐えがたく厄介な雑用である。しかし、セキュリティ企業Qualysからの新しいプラグインは、素早く苦痛なく期限切れのブラウザコンポーネントを同定しパッチを充てる。
Qualys BrowserCheckプラグインは、複数のオペレーティング システム上で複数のブラウザ(Internet Explorer, Firefox, Chrome, Opera)に渡って動作する。このプラグインをインストールし、ブラウザを再起動、青い"Scan Now"ボタンをクリックする。そうすると、あなたがインストールしているプラグインのセキュリティ アップデート、もしくは安定版へのアップデートの存在の有無を知らせてくる(このプログラムがチェックするプラグインやアドオンのリストは、ここから利用可能である)。リストされている夫々のアクションアイテムの傍にある"Fix It"ボタンをクリックすると、ベンダのサイトから適切なインストーラを取ってきて、それのダウンロードとインストールを促す。ブラウザのプラグインがアップデートされるまで必要なら何度も再スキャンする。
Secuniaは、同じ能力を持つフリーのPersonal Software Inspectorを長い間提供しているが、私は新しいプログラム+Windowsサービスの最新のパッチに敏感に対応しインストールすることを全ての人が望んでいるわけではないと認識している(SecuniaはWebベース スキャンも提供しているが、私が可能なら見限るようにユーザに促しているJavaを要求する)。Qualysプラグイン アプローチの素晴らしいところは、WindowsだけでなくMacやLinuxマシンでも動作することである。Internet Explorerの32ビット バージョンをサポートしているだけでなく、Windows 64ビット システム上で、このプラグインはIE6とIE7のユーザに、最新のIE8にアップグレードするように要請する。
一度で最新のブラウザアップデートすることは、手がかからない分便利である。しかし、あなたがダウンロードしたインストーラはDefaultで様々なプラグイン メーカによってバンドルされている追加プログラムと共に出現してくることを思い出しなさい。例えば、私のテスト マシンでAdobeのShockwave Playerをアップデートしたとき、Registry Mechanicインストール オプションが予めチェックされていた。Foxit Readerプラグインをアップデートしたとき同じ問題が発生した。このプログラムはDefaultの検索プロバイダにAsk.comを設定するよう求めた。私のホームページにask.comを設定し、Foxitツールバーに追加された。
プリンタのバッファオーバーフローはリスクになり得る
The H : Security (2011/03/29)
今日、管理者はサーバーとデスクトップ コンピュータのセキュリティ以外も監視しなければならない。ネットワークプリンタのような目立たない周辺デバイスでさえ、それが脆弱性を含んでいれば、セキュリティ問題となる。
Xerox(ゼロックス)は、WorkCentre 5735, 5740, 5745, 5755, 5765, 5775, 5790の修正パッチをリリースした。このパッチは、この様なプリンタのIntegrated ServerのSMB(Samba)サービス中のバッファオーバーフローの修正である。このセキュリティホールはシステムに侵入し、無認証設定に変更することで、リモート攻撃を可能にすると、ゼロックスはセキュリティ ブレチン(PDF)
で発言している。
報告によると、複合機への攻撃が成功すると、潜在的に産業スパイのための脆弱性攻撃となる。複合機は、プリント・スキャナ・コピーの機能を持ち、内部のハードディスクにドキュメントを記録する(【訳注】文書出力時、一度だけスキャンし、そのデータをハードディスクに保存。そのデータを繰り返し供給し複数コピーする)。モデルに応じて、データは単純なテキストとして取得されるかもしれない。ゼロックスは、過去に於いても、偶に製品のセキュリティ アップデートをリリースしたことがある。例えば、今回の問題は、凡そ一年前に認識されていた。そして、長年に渡りLinuxの様々なディストリビューションを修正してきた。
しかしながら、ヒューレットパッカードのような他の会社は、類似デバイスのセキュリティ問題も解決しなければならなかった。一月のShmooCon Conferenceで、二人の侵入テスト者は、共有されているネットワークプリンタへのリモートからのアクセス方法の印象的デモンストレーションを実行した。キャノンと東芝の製品が影響を受けたことが報告された。
Ransomware(身代金要求ウェア、ランサムウェア): GPCodeが反撃してきた
Kaspersky : SecureList (2011/03/25)
2010年11月に戻る。我々はGPCode身代金要求ソフトの新しい変種についてブログに投稿した。
Kaspersky labは、本日新しい変種(難読化された実行可能形式)を発見した。技術的詳細情報を閲覧して欲しい。この脅威は、Kaspersky Security NetworkがUDS:DangerousObject.Multi.Generic として自動的に発見した。
特徴が追加され、この脅威は現在 Trojan-Ransom.Win32.Gpcode.bn として検出される。
この感染は、悪意あるWebサイトに訪問することによって発生する(ドライブ バイ ダウンロードと呼ばれる)。
実行されると、GPCodeは、Windows Crypto APIを使用してAES 256ビット長のキーを発生する。そして、このキーを暗号化するために犯罪者の公開RSA 1024ビットキーを使用する。この暗号化された結果は、感染させたコンピュータのデスクトップに、身代金要求のテキストファイルの内容をドロップする。
この忠告は重要である。昨年11月の単純なものとは異なり、Ukashプリペイドカード(【訳注】 国際的金銭支払い可能な個人用オンライン支払いカード。支払いの準備としてPINコード(暗証番号)が割り当てられる。オンライン上のUkash加盟店(Webサイト)で使用することが可能。UKドメイン上では凡そ50,000の加盟店があるとされる)を使用して支払いを要求している。 ちょっとしたメモ。我々が昨日発見した身代金要求ウェア(ランサムウェア)は、Ukashクーポンを求めているとするドイツ連邦警察からの通知を装っていた。
これは、犯罪者が今迄の現金送金方式から、プリペイドカードの支払い方式に転換していることを示している。身代金は120ドルから150ドルに値上げされた。
同時に、デスクトップの背景は感染されたことをユーザに告げるために変更され、身代金を支払わねばならないことを表示する。
この時点で、ハードドライブはファイルを暗号化するためにスキャンされている真っ最中である。ファイル拡張子は、ファイルを暗号化するかどうか決定するために使用されるが、暗号化設定ファイルの内部には提供されない。これは、GPCode身代金要求ウェアが新しい設定ファイルで簡単にアップデートできることを意味している。また、犯罪者からの身代金要求の手紙も含まれている。
技術的詳細
2010年11月に発見されたサンプルは、UPXで圧縮されていた。本日発見されたサンプルでは、UPXが未だ使用されているが、それ自身によって圧縮されているわけではない。事実、犯罪者は解析を遅らせるためにカスタム ファイルプロテクタをとリバースエンジニアリングを使用している。以下にパックされたエントリポイントのように見える物を示す。
完全な解凍プロセスを説明するのは大変長くなるが、難読化と現代の悪意あるパッケージ中に発見される標準技術は、この身代金要求ウェアを保護するために使用されている。
解凍されると、このサンプルは我々が11月に発見した物と非常に類似であった。ファイルのリソースセクションは暗号化された設定ファイルに埋め込まれている。以下に復号化されたものを示す。
”N”パラメータはぼかされている。このパラメータは1024ビット数である。昨年の11月から異なったところに注意することは重要である。
最終的に、以下に解凍されたエントリポイント(発生したキーをコールする)周辺を捕獲したものを示す。
感染したら、どうすべきか
感染したら、我々がデータ修復方法を発見したときデータ修復の可能性を妨げるので、あなたのシステム上の一切を変更しないことを勧める。n日の後(【訳注】 指定された日数の後)ファイルは削除されると主張するこのマルウェア作者の意に反し、コンピュータをシャットダウンしたり再起動したりすることは安全である(我々は日時を基にしたファイル削除メカニズムの如何なる証拠も確認していない)。それにもかかわらず、ファイルシステムを作成できる如何なる変更(例えば、コンピュータを再起動することによって発生するかもしれない)もしないことがベターである。
この問題を皆、認識すべきである。画面上に警告が現れたその瞬間からGPCodeを認識すべきである。リセットボタンか電源ボタンを押しなさい。あなたの多くの重要なファイルを保存するかもしれないから。
PCをシャットダウンする事を躊躇するな。もしも、パワーケーブルを引っこ抜くのが最速なら、引っこ抜け。
暗号化されたファイルは、強力な暗号化が採用されているため修復できない。
ファイルを修復する唯一の方法は、バックアップすることである。
ペイメントカード: チップとPINの互換は危険をもたらす
Sophos : Naked Security (2011/03/22)
日本と欧米ではクレジットカードなどのカードの事情は大きく異なります。日本はまだまだ現金社会と言えるでしょうが、欧米は完全なと言って過言ではないカード社会です。日本でもICチップ(PIN)付きカードが普及しつつあり、従来の磁気ストライプの併用状態にあります。また、ICチップ(PIN)付きカードで被害を受けた場合は、データを盗まれた本人の責任が問われ、保証を受けにくい状態にもあります。以下の記事には欧米特有の問題が含まれていますが、この記事の技術的側面をお読みください。なお、ペイメントカードとは、クレジットカード・デビットカード・プリペイドカードのことです。
ここ数年来、銀行はカードベース支払いプロセス改善のためにEMV(Europay、MasterCard、Visaの頭文字)標準に従った新しいチップベースのペイメントカードを実現してきた。
理論的に、半導体チップのの情報は、古典的な磁気ストライプ技術の時は可能であった多くのカード スキミング攻撃を打ち負かすことができる。
しかしながら、新しいカードの背面を一瞥すれば磁気ストライプが未だに残存していることが分かる。磁気ストライプは、未だに新しいテクノロジをサポートしていないカードリーダーを後方互換するために未だに必要とされていることが明らかである。
2006年、ケンブリッジ大学の研究者は、POS(Point Of Sale、販売時点情報管理)端末とチップ間の通信を傍受するインターセプト デバイス(【訳注】情報を横取りする機器)によってPIN(【訳注】Personal identification numberの略。日本では通常、暗証番号)がクリア テキスト(【訳注】暗号化されていないデータ)として入手できることを示した。
このオンライン認証はPOS端末でだけ特定され、ATMでは特定されなかった。将来的には、ペイメントカード所有者の同定(PINを含む)は、常時銀行の中央コンピュータに対するオンライン認証になるだろう。こうすることで、PINはインターセプション デバイスを通過しないようになる。
以来、発行された新しいチップは、PINの傍受を妨害するため、リーダーとカードの通信に暗号化を導入した。Dynamic Data Authentication(DDA、動的データ認証)付きのカードやその姉妹品、Combined DDA-AC Authentication(CDA、複合型のDDA認証方式)は、それら独自の秘密のチップ付きで出現している。けれども、DDAやCDAカードは、未だ広く普及していない。
しかし、今年のCanSecWestセキュリティ カンファレンスでは、インターセプション デバイスがチップに対してクリア テキストでPINを転送するようにPOS端末やATMを説得することが可能であることが、研究者によってデモンストレーションされた。
これはテストされた全端末(ATMを含む)と新旧を問わず全カードで動作した。未だに全ての端末がオフンライン認証付きの古いチップのために互換モードを受け入れていることは明らかである。
より安全なDDA、CDAチップでは、この様なチップがクリア テキストPIN認証プロトコルを受け入れないために、このモードはPIN認証プロセスに失敗して終わるだろう。大多数のユーザは単にこれをPINエントリの誤り(【訳注】パスワードの入力ミス)と考え再試行するだろう。
この研究者は、攻撃者がATMカードスロットに挿入できる極めて平べったいインターセプション ボードを提示した。このボードはスロット内部に上手に隠され、如何なる顧客も全く見えない。銀行の顧客がATMカードに自分のカードを挿入したとき、実際にはカードリーダーではなくインターセプト デバイスと通信しているということである。
現時点では、攻撃を成功させるには、カードを借りたり、カードから必須の情報を盗むことが必須である。もっとも、明瞭なのはカードを盗むことなのだが…。
磁気ストライプ スキミングは、カードがiCVVとも呼ばれるもので守られていない場合にのみ動作する。これはカード発行者に不正な事態を検出させる追加の機能である。だが、この機能は既存の全てのペイメントカードがサポートしているわけではない。
チップから十分な個人データを読み取ることは可能である。そして、追加のセキュリティコード(カード背面のCVV番号のような)エントリ等を何ら要求しないWebポータル上で、カードその物を使用しない取引を実行できる。
この様なWebサイトは未だ残存しており、そして、これはそのようなデータのためのブラックマーケットでブームになっている。
このような場合に見られるように、後方互換は多くの先進技術によって成し遂げられたセキュリティを無効化する。
これはドイツで新世代EMVペイメントカードの導入での昨年の騒ぎを私に思い出させる。チップはファームウェア不具合のために、まともに動作しなかった。そのため、ATMでの引き出しは不可能になった。多くの場合の解決支援策は、糊の付いたテープでチップの接触部を被うことで、強制的に磁気ストライプモード認証に戻すことである。
それでも、最近のケースでは、後方互換は必要のない状況(ATMのオフラインモード)でさえ実施された。これは可能な限り早急に修正される必要がある。
ここで大きな問題として心配されることは、カード発行者がカード悪用の義務を顧客に移行させようとしていることである。新技術の導入で、たとえ技術上の欠陥があろうとも、カード発行者は暗黙のうちに(【訳者追加】カードが不正利用されたのは)カード利用者の怠慢に責任があるとして、立証責任を利用者に転嫁しようとしていることである。
この様な場合、我々はあなた方にどのようなアドバイスができるだろうか? 多分あなた方個人に対しては何もないだろう。この問題に関しては世論の喚起が重要である。そして、それを修正するようにカード発行者に圧力を掛けることが重要である。十分な世論の圧力は、悪用された場合に、Defaultでカード発行者がカード利用者を非難することを困難にするだろう。このことは予審において重要である。
Adobe Acrobat, Flash, Reader緊急のセキュリティ アップデート
Krebs on Security : Blog (2011/03/21)
Adobeは、Flash Player, Adobe Acrobat, PDF Reader中の緊急のセキュリティホールを塞ぐためのソフトウェア アップデートをリリースした。このパッチは、悪党がユーザを目標にした攻撃を起動するためFlashの脆弱性を攻撃中であると、Adobeの警告後一週間で出現した。
今回のFlashアップデートは、Adobe Flash Player version 10.2.152.33とそれ以前のバージョン中の緊急の脆弱性を解決している。Windows, Macintosh, Linux, Solaris用バージョン(Chromeユーザ用Adobe Flash Player version 10.2.154.18とそれ以前のバージョン)とAndroid用はAdobe Flash Player 10.1.106.16である。
Adobeは全てのユーザに最新のバージョンにアップグレードするように要請している。最新版は、Flash v.10.2.153.1(Chromeは v. 10.2.154.25だが、過去におけるFlashアップデートのスピードから見て、Googleは直ぐに自動アップデートするだろう)。The RegisterのDan Goodinによれば、Googleは3日前に、このFlashフローをパッチしたChromeをアップデートしている。
インストールされているFlashのバージョンを知りたいのであれば、このリンクをクリックしなさい。アップデートで何か上手く行かない、あるいは、アップデートに関し気に病むことの多い人であるなら、Adobeはアップデートプロセスを実行する前に現在のFlashをアンインストールするよう推奨している。
いつものことだが、あなたがIEに加えて他のブラウザも使用しているのであれば、あなたは、アップデートを二度適用する必要がある。一回目は、IE用Flash Active Xのインストールを、二回目はFirefoxやOperaのような他のブラウザのアップデートを。アップデートは、Flash Player ダウンロードセンターにブラウズすることで利用可能になる。Windows用手動インストールは、このリンクから利用可能になっている。
Adobe ReaderもしくはAcrobatをインストールしているのであれば、このプログラムもアップデートしなければならないだろう。Adobeが発言しているように、攻撃者がFlashユーザに対する攻撃に使用していたのと同じ脆弱性を、このプログラムは含んでいるのだから。WindowsとMacintosh用のAdobe Reader 9.4.2のユーザに関して、AdobeはAdobe Reader 9.4.3を利用可能にしている。Adobe Reader Xは「保護モード」を備え付けているので、この種の攻撃の稼働を妨げるだろうとAdobeは発言している。そのため、Adobeは次の四半期アップデート(2011年06月14日)までReader X中の問題の解決を行わないとも発言している。その間にも、WindowsとMacでAdobe Xを使用しているユーザは、最新バージョン(10.0.2)がインストールされていることを確実にしなさい。Readerのバージョンをチェックしたいのであれば、プログラムを開き、ヘルプ メニューから Adobe Readerについて のエントリをクリックしなさい。
WindowsとMacでのReaderのユーザは、ソフトウェア備え付けのアップデートメカニズム(ヘルプメニューから アップデートの有無をチェック を選択する)を使用可能である。Webページにアクセスしてダウンロードしたいのであれば、こちらを訪問しなさい(Webサイトからのアップデートは、付属のソフトウェア(セキュリティスキャナのような)をインストールするためのオプションが予めチェックされていることに注意しなさい。この様な付属のソフトが不要であれば、インストレーション プロセスの間注意を払いなさい)。
このアップデートの詳細は、Adobeが本日再リリースしたアドバイザリを参照しなさい。
ドメイン名の指し示すものって?
Sophos : Naked Security (2011/03/19)
「時は今 IE9にアップグレードする 弥生かな」朝起きたときそう思った。
IE9を入手する場所を発見するために、”IE9”を検索キーワードにしてBing(【訳注】Ajaxを使用した、マイクロソフト製の検索エンジン。旧名称はLiveサーチ)した。
Naked Securityの常連の読者なら、悪い奴等が検索エンジン最適化のエキスパートであることを皆知っている。流行の検索用語での検索結果のページで上位ランクされているエントリは、しばしば疑いを持たない犠牲者を罠にかける脆弱性攻撃の場合がある。
そこで、私は即座に表示されたページの一番最初のリンクに慎重になった。
私は自分自身に鐘を鳴らした。
キン: 私の検索用語”IE9”は、今まさに明らかに人目を引いている。
コン: リンクは本物であるかのように装っているかのようなドメインになっている。
カン: その下にはより本物のように見えるリンクがある。
コン: これは改良されたIE9を提供している ー 普通のIE9のリンクを下にして退屈紛れに一番上のリンクをクリックさせようとする露骨な戦術。
しかし、私は未だ不思議だった。どうしてインチキのMicrosoft製品をダウンロードするためのリンクが、Microsoftが所有する検索エンジン中でスポンサード リンクになり得たのだろう? 私は掘り下げた。
このページは即座にFlashの新しいバージョンをダウンロードすることを要求した。これは私の信頼を勝ち得なかった。しかしながら、ダウンロードのリンクは、より信頼あるMicrosoftドメインを指摘していた。それは本物だろうか?
Whois検索は、ie9enhanced.comドメインが実際にMicrosoftに登録されており、DNSレコードはMicrosoftの所有するDNSサーバを指していた。簡単に言えば、全ての証拠は、MSNとBingを促進するためにIE9を使用するように設計されている本物のMicrosoftのマイクロサイト(【訳注】企業が製品の広告や販売などの特定の目的で、ホームページとは別のURLに作る小さいウェブサイト)であることを示唆していた。問題ない。それで?
そう、完全ではない。評判の良い検索エンジンから完全な結果のページを得ているなら、あなたが正しいと認識しているドメインのURLを確実に採用しなさい。類似ドメインやタイポスクワッティングに対して、取り分けファイルのダウンロードを導くリンクの場合は、あなたは常に自分で自分を守らなければならない。
検索エンジンが結果の中に提供する数行のテキストで、良いサイトと悪いサイトを同定するのは大変なことである。特別目的のキャンペーン用マイクロサイトのドメインが表示された時は、より当惑させられる。よくても、人々はマイクロサイトドメインを無視するかもしれない(この行為は、彼ら自身を安全に維持するが、マーケティング ダラーを無駄にする)。悪い場合は、既知のドメインを使用することによって提供されている保護と評価は損なわれ、人々が次に未知のドメインに従った時に、結局感染させられる。
もちろん、Microsoftだけが、これを実行しているわけではない。Sophosでさえ過去にそれを実行したことがある。しかし、おそらくマーケティング担当者は格好いいドメイン名の使用の実際の価値について再び考えるだろう。彼らは記憶に残るWebサイトアドレスを伝達するために他のメディアを使用することは巧みであるが、検索エンジンの結果中の先頭を維持することに関しては、たいしたことはない。
Adobeは0-Day攻撃下にある
Kaspersky : Secure List (2011/03/14)
Adobeは本日Flash Player中にリモートコード実行の脆弱性について警告するアドバイザリをリリースした。この脆弱性はAdobe ReaderとAcrobatに影響する。
この緊急の脆弱性は、CVE-2011-0609を割り当てられた。
現在確認されている攻撃は、Excelファイル中に埋め込まれた悪意あるSWFファイルを通じて動作する。Flash中の脆弱性が攻撃されるためには、攻撃対象者がXLSファイルを開かなければならない。
この種の構造は、攻撃目標を完全に定めている。当然のことではあるが、目標とされた攻撃は事実として報告されている。
テストしている間、この特定の攻撃は、Windows 7では成功裏に稼働できなかった。Windows XP上では動作した。けれども、ROP(【訳注】Return Oriented Programming)脆弱性攻撃は、Windows 7下でこの脆弱性を攻撃することが可能だろう。
古臭い考えと思うだろうが、私はExcelドキュメントの内部に埋め込まれたSWFのポイントを実際に確認していない。私の観点から、製造物中の大変多くの機能がセキュリティ問題を導く明確な一例である。
そこで、Microsoftがこの様な余分な機能を停止することを我々に許したならば、それは大きなことだろう。あるいは、代わりに、Adobeが攻撃面を減少するためにそのような統合を許さないことも可能だろう。
攻撃者が拡散手段としてExcelを使用した理由は単純である。この方法での攻撃は、簡単にE-Mail経由で拡散することができる。あなたが要求していないXLSファイルを受信したときは特別に注意しなさい。
Adobeは、3月21日に始まる週中にはパッチを公開するだろう。Adobeによると、Reader X(【訳注】Sandbox付きAdobe Reader)だけは、その防御モードが十分に攻撃を軽減する理由から6月14日にパッチされるとしている。
Microsoftが、IE6の使用中止を乞うている
Sophos : Nacked Security (2011/03/07)
Microsoftは、時代遅れの危険な製品(IE6)の棺桶に最後の釘を打ち込むキャンペーンを一斉に開始した。
IE6の問題は、Microsoftがもはやサポートしていないことにある。この老朽化した古いWebブラウザは、深刻で緊急の脆弱性が未パッチのまま残存しており、満足に足るレベルの防御へのアプローチが何も提供されない。
新たなWebサイト(www.ie6countdown.com)は、ユーザがWebブラウザのより安全なバージョンにアップグレードすべき理由と、最良の移行方法に関する構築情報を提供し、ユーザを説得することを試みている。
しかしながら、私が発見した特別興味あることは、IE6の国別市場占有率を示した世界地図であった。
インド、サウジアラビア、台湾、ベトナムは、IE6が10%以上を占めており、サポートの停止されたWebブラウザを選択する貧弱な仕事を実行している。
しかし、ダントツで最悪の国は中国である。Microsoftによれば、IE6がブラウザ使用率で1/3以上を占めている国である。ウ〜〜ン。私は、ユーザが正当な最新版に置き換えていないIE6のコピーのうち、どのくらい多くの物が海賊版に関連しているのか分からない。
とにかく、これはMicrosoftによる良いキャンペーンである。このキャンペーンは明らかに、人々にInternet Explorer 9へ切り替えるよう設計されているが、コンピュータユーザが、その老朽化した前任者のIE6をゴミ箱に投げ入れる勇気ある行為は全て、拍手喝采されなければならない。
Microsoftが公式のツイッターアカウントで表明した方法は、むしろ緩慢であった。
@Microsoft
我々は、あなた方が我々の製品の一つ(IE6)を使用中止にする勇気を求めることは珍しいことである。我々は例外を求める: http://bit.ly/g0wt4m
March 4, 2011 7:24 pm via webRetweetReply
Internet Explorer 6の全滅を支援するために、Microsoftの日を作りなさい。
韓国に集中的DDoS攻撃
The Register : Security (2011/03/04)
複数の韓国政府のWebサイトが計画されたDDoS攻撃に晒されている。
韓国のネットセキュリティ企業AhnLabは、韓国大統領府、外務省、国家情報院、在韓米軍基地、銀行が激しいパケット攻撃に巻き込まれていると報告している。全体で40程度のWebサイトがこの攻撃に狙われている。このうち、29のサイトが影響を受けていると、BBCは報道している。
韓国政府と金融機関に対する今迄のDDoS攻撃(2009年では個別の激しい非難を含んでいた)は、中国の改竄されたシステムを突き止めるまで、当初北朝鮮の仕業とされた。
北朝鮮が敵対国(主として,韓国とアメリカ)を標的にした情報戦争装置を維持していることは知られている。しかし、最新の集中攻撃が誰により、如何なる動機によるものかは不明である。
インチキのアンチウィルスソフトのポン引き達はブラウザに愛情を示している
The Register : Security (2011/03/02)
数年間、正当なアンチウィルス プログラムを装い広告を利用するポン引きマルウェアは、MicrosoftのInternet ExplorerやWindowsオペレーティング システムの外観を真似するために、あらゆることを実行してきた。今、Mozilla Firefox, Google Chrome, Apple Safariが同じ目に遭っている。
Zscalerのセキュリティ研究者は、狙った被害者が使用中のブラウザに合わせられるキャンペーンを最近発見した。IEを使用している人々は、古くさい表現のWindows 7 security alertと同じポップアップを見るだろうが、訪問者がFirefoxを使用している場合は以下のような画面が表示される。
この画像はソースコード中に内部的Firefoxエレメントを含んでいるだけでなく、このブラウザ警告成り済ましは、ユーザを悪意あるサイトとして知られるアドレスに移動させようと企てていると、Julien Sobrier(Zscalerのセキュリティ部長)は発言している。
狙った標的がChromeで訪問したなら、策略は全く違ってくる。下の最初の画像は、そのブラウザの特徴的なロゴと文言(Chrome Securityは、あなたのシステム上に危険なプロセスを発見しました。システムファイルの高速スキャンを実行します)を持っている警告ウィンドウである。
次に、ユーザはChromeが恰もウィルスをスキャンしているかのようなウィンドウを表示する。
忘れられることなく、Safariも成り済まされているが、あまり努力の跡が見えない。警告画面は以下である。
しかし、このスキャンページはIEの外観に設定されている。
この広告は、訪問者に広告が申し出ているソフトウェアが、その感染を癒してくれると信じさせようと企てている。カスタマイズした画面を表示することで、理に叶い、マルウェア商売の成功の可能性を高めている。
「私は過去、誂えられたかのようによく似た悪意あるページを見たが、殆どがIEとFirefox用のインチキのFlashアップデートやインチキのコーデックアップデートだった」と「私は、この様に多くのアンチウィルスをターゲットにしたインチキのページを見たことが無い」と、E-Mail中にSobrierは記している。
スカムにリダイレクトするサイトの幾つかは、columbia.faircitynews.com, www.troop391.org, jmvcorp.com を含んでいる。成功すると、リダイレクトされたページは、 InstallInternetDefender_xxx.exeファイルを押し込んでくる。"xxx"は頻繁に変更される数値である。VirusTotalのスキャン結果では、記述している時点で、正当なメジャー アンチウィルスの9.5%だけが、このファイルを悪意として検出する。
偽り無く、常連の読者はこの様なスカムを見出す十分な洞察力を持っている。しかし、そういう能力を持たないMildredおばさんはどうだろう。IEを絶対に使用しないように善意の関係者が彼女に告げるまで、彼女は激しい攻撃目標になっているIEを使い続けるだろう。インチキのアンチウィルスが大変な収益発生装置であることを認識させなさい。
Sobrierが発見したことに関するブログはこちらである。月曜にカスタマイズされた広告を発見している。
Foxit Reader セキュリティ アップデート
The H : Security (2011/02/28)
Foxitソフトウェアは、「緊急」且つ「高」なセキュリティ上の脆弱性を解決するメンテナンス アップデートとして、彼らのPDFリーダーであるFoxitのバージョン 4.3.1.0218 をリリースしたとアナウンスしている。Foxitによれば、特別に細工されたドキュメントを開いたとき、特別なICCプロファイルを処理している間に、回り回ってヒープ ベースのバッファ オーバーフローに導く整数型オーバーフローを発生させる問題を修正している。例えば、これはアプリケーションや任意の実行ファイルを終了させることでユーザのシステムを改竄するために攻撃者によって使用された。
伝えられるところによれば、Foxit Reader 4.3.1.0118 と Foxit Phantom 2.2.3.1112までのバージョンは影響を受ける。Foxitは、今週末にPhantom PDFスイート(最新バージョンは、2.2.3)のアップデートのリリースが計画されている。全てのユーザはアップグレードするようアドバイスされている。
Foxit Readerのアップデートに関する詳細は、公式のリリース アナウンスや、セキュリティ ブレチンに見ることができる。Foxit Reader 4.3.1.0218は、この会社のサイトからダウンロード可能である。他の方法としては、現在Foxit Readerを使用しているユーザは、最新のリリースにアップデートするために、メニューのヘルプから「アップデートをチェック」を選択することで可能である。
Avast! アンチウィルス バージョン 6でサンドボックスを搭載(Free版も)
Avast!がサンドボックスを搭載したバージョン 6.0をリリースしています。無料版にも搭載されていますが、Avast!本家のダウンロードサイトでは日本語版のバージョンは5.xのままです。
詳細はこちらのページで確認できます(日本語)。
英語版最新のリリースは、以下からダウンロードしてください(日本語対応しています)。
http://www.avast.com/en-gb/free-antivirus-download#tab3
Windows 7 SP1 をインストールしますか?
ESET : Threat Blog (2011/02/28)
重要なセキュリティ アップデートを含んでいたWindows XP SP2や、Microsoftからのサポートのために要求されたWindows XP SP3と異なり、Windows 7 SP1は、大多数のユーザが重大で強制させる如何なるアップデートも含まれていない。あなたが自動アップデートを使用してOSのアップデートを実行していないのであれば、このサーバビスパックに含まれるセキュリティパッチを、あなたのシステムに適用するためにWindows 7 SP1をインストールすることは賢明なことである。
あなたが商用利用者であるのなら、会社の全てのコンピュータが互換することを保証するために、このサービスパックのテストを開始することは重要なことである。個人利用者の場合は、一、二ヶ月待ち、問題が出現するかどうか確認しなさい。ただし、あなたがセキュリティパッチをキチンと適用していると仮定している。
個人的に、私はこのサービスパックに飛びつき、インストールすることを決定した。実際に私のシステム上で何ら異常に気づかなかった。Microsoftは、Windows SP1のインストールに関するページを持っているが、私はインストールした後、長い間そのページを見ていなかった。これを閲覧した唯一の理由は、あなたが読むことを望んだ場合に、その場所を教えられるようにするためである。このページのアドレスは、http://technet.microsoft.com/en-us/library/ff817622%28WS.10%29.aspx である。
この疑問に対する答えは、実際問題自己責任ということである。このサービスパックが、あなたが持っている何らかの問題を修正するのであれば、インストールしなさい。このサービスパックが、あなたに何らかの機能を追加するのであれば、インストールしなさい。インストールしなければならない理由が無いのなら、時間の浪費であるが、サービスパック無のWindows 7(【訳注】オリジナルのWindows 7)へのサポートが打ち切られたとき、結局インストールすることになるだろう。
Windows 7 SP1 をインストールする前に
Krebs On Security : Blog (2011/02/26)
Microsoftは今、ユーザに“Service Pack 1”(セキュリティアップデートの束とチョッとした機能改善)を提供中である。あなたがこのアップデートを考慮しているのなら、あなたを心変わりさせるかもしれない、この文章を読んでほしい。
最初に、このサービスパックは、今までにリリースされたセキュリティアップデートの束である。あなたがセキュリティパッチのアップデートをキチンと行っているのであれば、このサービスパックをインストールすることによって殆ど何も得られる物は無い。このアップデートは、Windows Server 2008 R2(Windows 7ではない)のユーザにボーナス程度の大変技術的な機能改善を含んでいる。
私の見解? Windows 7ユーザ用のこのサービスパックの主たる便益は、あなたが何らかの理由からOSの再インストールを考えている場合に存在する、と言うだろう。この場合には、Service Pack 1は、完全にOS再インストールのプロセスを簡素化するだろう。それ以外の場合では、通常アップデートを実行し、このサービスパックの申し出は無視するように、私はWindows 7ユーザを促すだろう。少なくとも今は。
あなたがこのサービスパックを適用することを決定したのであれば、幾つかの重要な検討事項がある(取り分け、あなたのシステムに或るホットフィックスをインストールしている場合)。例えば、ホットフィックス(2406705, 979350, 983534)をインストールしているシステムは、このサービスパックのインストレーションをブロックし、結果として問題に悩むかもしれないと、Microsoftは発言している。
Microsoftは、あなたがどのホットフィックスをインストールしているのか簡単に発見するようにしていない。Windows 7のWindows Updateパネル(スタートをクリック。検索ボックスに“Windows Update”をタイプする)を彷徨うなら、左ペインのメニュー中にある 更新履歴の表示 リンクをクリックすることでインストールされているアップデートのリストを取得できる。しかし、このリストの中を彷徨い、難解なナレッジベースの番号を探すことは退屈なだけである。おそらく、この捜索の実行を容易にする方法がある。それにはインストールされているアップデートの全てをテキストファイルとしてリストしたい。そこで、スタートボタンをクリックし、検索ボックスに ”Cmd”(引用符不要)とタイプする。コマンドプロンプトが開くので、
“wmic qfe list full > patchlist.txt”(引用符不要)
とタイプする。これで“patchlist.txt”と名付けられたテキストファイル中にインストールされているアップデートのリストが素早く生み出される。このファイル中をキーワード検索([Ctrl]+[F])する。上記三つのホットフィックスがインストールされているかどうか、あなたに告げてくるだろう。
上記ホットフィックスのどれかをインストールしており、潜在的な厄介な問題を最小にしてこのサービスパックをインストールしたいのであれば、"こちらのMicrosoftの説明に従う必要がある。また、このサービスパックを実行する前に、あなたのシステムとデータをバックアップしなさいと言うMicrosoftの勧告を無視するな。石橋を叩いて渡りなさい。
このサービスパックに関するMicrosoftのTechnetフォーラム上の投稿には、このアップデートをインストールしたユーザからの幾つかの警告物語が含まれている。また、SANS Internet Storm Centerは、ユーザが報告してきた問題と競合を記録し続けている。例えば、あるユーザは、サードパーティー製の或るファイアーウォールと暗号化ソフトウェアが、このサービスパックによって影響を受けたと報告している。このサービスパックの適用を決定したのであれば、これら二つのリソースを考察しなさい。
ウィルスを削除するとインターネットが接続不能になる問題について
Bkis : Security Research (2011/02/24)
ダウンロード: NdisvvanFixer
最近、インターネット コミュニティは、彼らのコンピュータ上に発生した「奇妙な現象」(彼らのアンチウィルス プログラムがマルウェアを削除した後、インターネットが接続不能になる)について当惑していた。
Figure 1: 物理的接続は未だ使用できるが、全てのネットワーク パラメータは消失している。
私は、コンピュータがW32.Ndisvan.Trojanと名付けられたウィルスに感染しているときに、この問題が発生することを発見した。このウィルスは、一旦インストールすると、末尾に“-”をつけたシステムアダプタの名前で、幾つかの仮想ネットワークアダプタを作成する。
Figure 2: インチキのネットワーク アダプタ。
このウィルスの目的は、マルウェアをダウンロードし、アンチウィルス ソフトウェアをバイパスするためにネットワークデバイスへ出入りするデータをフィルタすることである。同時に、この様な全てのインチキ ネットワーク アダプタは“ndisvvan.sys”(注意深くチェックしなさい。Windowsの“ndiswan.sys”ドライバとよく似た名前だから。wをvvで置き換えてある)と名付けられたネットワーク フィルタ ドライバを指し示している
Figure 3: インチキのネットワーク フィルタ ドライバ(強調表示の左側)。
ウィルスファイルの削除で、誤えて“ndisvvan.sys”を削除すると、ネットワーク フィルタドライバ リンクリストを無意識のうちに破損することになる。そこで、データは実際のネットワーク アダプタに到達することに失敗する。これが、物理的なネットワーク機器は未だ接続しているのに、コンピュータがネットワークに接続できなくなる理由である。
この場合では、システムからウィルスを削除したとき、ウィルス ファイルとウィルス キーの削除に追加して、ネットワークドライバ リンクリスト中の破壊されたチェーンを再構築する必要がある。
しかしながら実際には、殆どのアンチウィルスは、この実行に失敗する。結果として、言及されている現象が発生する。
実際に、多くのユーザは、この問題を経験している。そこで、私はNdisvvanFixerと名付けたツールを開発した。あなたがこの種のウィルスに感染していたり、誤った方法でこの種のウィルスを削除した場合でさえ、もはや心配する必要はない。
Microsoftのウィルス スキャナ、セキュリティ問題を発生
The H : Security (2011/02/24)
ウィルススキャンを実行したとき、MicrosoftのMalware Protection Engineは、特別巧妙に細工されたレジストリの値(制限付き権限のローカル アタッカーが、システム権限レベル(権限の昇格)で任意のコードの実行を可能にする)を正しく処理することに失敗している。Microsoftのアドバイザリによると、脆弱性を持つアンチマルウェア エンジン(mpengine.dll)は、 Malicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)同様に、MicrosftのSecurity Essentials (MSE), Windows Live OneCare, Windows Defender, Forefront Client Security, Forefront Endpoint Protection 2010の一部である。伝えられるところによると、Microsoft Malware Protection Engine バージョン1.1.6502.0までは、脆弱性は残存する(【訳注】脆弱性が修正されているエンジンのバージョンは、1.1.6603.0)。
ウィルス定義ファイルとシグネチャ アップデート メカニズム経由で自動的に適用されるパッチはこの問題を修正している。Microsoftは、このようなアップデートは通常48時間以内にインストールされると発言しているが、ユーザは手動でこのプロセスを処理することもできる。Malicious Software Removal Toolのアップデートバージョンは、03月08日に利用可能になるだろう。このツールは、Windows Update経由でダウンロードされた後、このシステムによって最初に実行された時は、脆弱性を有している。このツールを手動で開始した時は、攻撃者はセキュリティホールを攻撃できない。
ログアウトした後も犠牲者の銀行セッションを開いたまま維持するトロイOddJob
The Register : Security (2011/02/23)
ゴロツキ共は、犠牲者がログアウトした後でさえ、犠牲者のアカウントを開きっ放しにし不法占有するBanking Trojan(銀行用トロイ)を作成した。
OddJobと名付けられたトロイは、犠牲者のセッションIDトークンを使用してリアルタイムに顧客のオンライン バンキング セッションをハイジャックする。犠牲者が終了したと思っている後でさえ、アカウントを開いたままに維持することで、このマルウェアは、詐欺師達が改竄したアカウントを略奪し不正を働くことを可能にするためのウィンドウを作成する。
Trusteer(マルウェアを発見する電子商取引セキュリティ企業)は、このトロイを数ヶ月前に発見したが、警察の捜査の結論に従うため現在までレポートすることができなかったと発言している。
OddJobは、アメリカ、ポーランド、デンマークを含む幾つかの国々で、彼らの顧客を攻撃するために東ヨーロッパを本拠とするサイバー詐欺師達によって使用されつづけている。
Trusteerは、このマルウェアが以降の数週間で発展し、何らかの物を開発中であることを示唆していると発言している。このマルウェアは、設定に応じてlogging GETとPOST requestから、ページ全体の取り込み、回線の切断、Webページへのデータの挿入まで、様々な機能の能力を持っている。
ログされたリクエストは、リアルタイムにサーバにコマンドを送信し制御し、マルウェアの背後にいる詐欺師たちが、リアルタイム セッション ハイジャックを実行することを可能にする。セッションIDトークンを取得することで、詐欺師たちは正当なユーザになりすますことができる。そして、電子取引で詐欺をすることができる。
このマルウェアの設定は、アンチウィルス アプリケーションによって容易に検出されるかもしれない場所であるディスクに保存されない。代わりに、新しいブラウザ セッションが開かれる度に、このマルウェアの新しいインスタンスは、コントロールサーバーから引っ手繰ってくる。Trusteerは、彼らのRapport secure web access ソフトウェアが、このマルウェアをブロックすると発言している。素晴らしいことである。
OddJobに関する詳細は、こちらのTrusteerによるブログに見出すことができる。
トロイ Bohu への感染をチェックするには
Kaspersky : SecureList (2011/02/23)
ことし始めから蔓延しているBohuと名付けられたトロイが、人々の注意を惹いている。Bohuは、クラウド ベースのアンチウィルスサービスをブロックする能力を持つ新しい種類のトロイである。マルウェアはソーシャル エンジニアリング経由で拡散し、殆どが中国をターゲットにしている。MMPC(Microsoft Malware Protection Center)の男達は、素敵な記事を詳細付きでブログに公開した。
最初に、我々の製品は、Bohu用の如何なるシグネチャをリリースする前でさえ、その挙動プロファイルをベースにして、Bohuを検出しブロックしている。それどころか、スキャナをインストール前に、既にシステムが感染しているのなら、あなたは困っているかもしれない…。
取り分け、Bohuは、対応するドメイン名の名前を解決するDNSリゾルバをフックすることで、ウィルス シグネチャ アップデートをホストするKasperskyサーバへのアクセスをブロックする。そのために、感染させられたシステムは、Kasperskyシグネチャ データベースの自動アップデートから妨げられるので、Bohuを検出も削除もできない。
しかしながら、ドメインネーム フィルタはまた、感染のチェックに振り向けることもできる。我々はBohuの封鎖を利用する小さなWebページ(http://www.securelist.com/bohucheck)を用意した。これは、システムがブロックされたドメインにアクセスできるか否かで異なったメッセージを表示する。このトロイに感染しているかどうかを発見するには、ユーザは、このページに単純にアクセスするだけでよい。アクセスしたページが、上図のメッセージを表示したのであれば、トロイ Bohu は存在しない。
しかし、このWebページが警告メッセージを表示したのであれば、システムは殆ど疑いなく感染している。
如何なる場合でも、上図の警告メッセージが表示されたなら、手動でスキャンし、システムをクリーンにすべきである。そうするには、我々が提供する無料のレスキュー ディスク イメージをダウンロードし、それをCDもしくはUSBに焼きなさい。そして、次に、このディスクからブートしなさい。レスキューシステム上のスキャナは、このトロイのドメイン フィルタに影響を受けないので、シグネチャをアップデートでき、このマルウェアを検出し削除できる。レスキューシステムに関する詳細情報は、このリンク参照。
Windows 7 Service Pack 1が、MSDNとTechNet登録者向けに利用可能になった
The H : Security (2011/02/17)
Microsoftは、Windows 7とServer 2008 R2用サービスパックが、MSDNとTechNet登録者向けに利用可能になったとアナウンスした。このサービスパックは、三つのバージョン(32ビットWindows用が1、64ビットWindows用が2(x64とItanium))で提供されている。二つのシステムが共に同じカーネルを使用しているために、三つ共、Windows 7とServer 2008 R2をアップデートする。パッケージのサイズは、550 MB (x86【訳注】32ビットWindows向け), 925 MB (x64), 525 MB (Itanium)である。
このSP1の殆どは、提供されている説明に詳細に記述されているホットフィックスとパッチのコレクションである。僅かながら新しい機能が含まれている。MicrosoftはRemoteFX(Server 2008 R2と接続している場合だけ利用可能。仮想デスクトップでも、DirectXを利用したアプリケーションを表示する)とDynamic Memory(Windows Server 2008 R2 Hyper-Vを稼働しているゲスト システムのメモリ領域の動的割り当て)について簡単に言及している。SP1開発完了のチョット前、Windows 7が、始めてIntel Advanced Vector Extensions (AVX)をサポートするだろうことが露になった。
2月22日から、MicrosoftはSP1の無料ダウンロードを提供することを、また、WindowsアップデートからSP1を配布することを計画している。MSDN / Technetでの配布と時間的に近接することは通常では無い。過去においては、配備の日時に通常数ヶ月の違いが存在していた。これは、MicrosoftがWindowsアップデートでサービスパックを提供する時期を急いでいるということを必ずしも意味していない。むしろ、SP1がMSDNとTechnetでの準備ができてから、相当の時間が経過したということを意味している。ビルド番号(7601.win7sp1_rtm.101119-1850)によれば、SP1は昨年の11月19日に既に終了している。何故Microsoftが今日までリリースを待ったのか明らかになっていない。これは多分、簡単には変更しないようにスケジュールを事前に設定していたことに起因するのだろう。
SP1のインストール作業は1時間以上かかる。Windows 7が今迄インストールされていたマシン上にインストールすることだけができる。また、30MBのSystem Update Readiness Tool(【訳注】システム更新準備ツール、更新プログラムおよび他のソフトウェアのインストール機能が動作しない原因となる可能性のある特定の状態を解決するためのツール)他が同梱されている。これはパッチ番号KB977821で実行されるので、アップデートKB976902(ある時にWindowsアップデートを使用するための準備としてMicrosoftが配布した物)は明らかに実行しなくてよい
SP1に関するMicrosoftの公式ドキュメントは、既に無料ダウンロードできる。Windows 自動インストール キット(WAIK)のアップデート版もまた無料アップデート可能である。
Java 6 Update 24、21のセキュリティホールにパッチ
Krebs On Security : Blog (2011/02/17)
Javaの新しいバージョンは少なくとも21のセキュリティフローを修正している。アップデートはWindows, Linux, Solaris向けが利用可能である。
Java 6 Update 24に含まれるセキュリティ アップデートについて興味をそそられるのであれば、Oracleのリリースノートを参照しなさい。私がこのブログの多くの記事で表明したように、期限切れのJavaは、悪い奴等とマルウェアにあなたのシステムへの足がかりを与えることになる。あなたがJavaを使用しているのであれば、アップデートしつづけなさい。あなたがJavaを所有している理由が不明なのであれば、完全にアンインストールすることを考慮しなさい(後で再インストールすることができるから)。私の場合は一つのシステムにだけJavaをインストールしており、Mozilla Firefox中のJavaプラグインを無効にしている。
アップデートはJava内部(Windowsコントロールパネル中のJavaエントリからアップデート タブをクリック)から、もしくは、Java.com から利用できる。Macユーザは、Appleが自身のJavaを維持しているため、OS Xに関するこのフローを修正するための個別のアップデートをリリースするまで待つ必要がある。
BBCは6Musicと1XtraWebサイトに悪意あるiframeを挿入された
WEBSENCE : Security Labs Blog (2011/02/15)
BBCは6Music Webサイトと、1Xtraラジオ ステーションWebサイトに悪意あるiframeを挿入された。このブログ記述時点では、このサイトは未だ挿入されたiframeへのリンクを継続中である。
Websenseの顧客は Advanced Classification Engine analytics(TRITON中のテクノロジ)で保護される。
悪意あるiframeのスクリーンショット。
挿入されたiframeはBBC 6 Music Webページの末端で発生し、トップレベルドメイン .co.cc Webサイトからコードをロードする。Radio 1Xtra Webページに挿入されたiframeは同じ悪意あるサイトに導く。
このサイトをブラウズした防御されていないユーザは、ドライブーバイ ダウンロード(単純にサイトをブラウズするだけで、悪意が実行され感染させられる)に直面することになる。
この悪意の総体は一度だけエンドユーザに配布される(この最初の訪問でマルウェアの作者によってログされる)。
エンドユーザに配布されたコードは、脆弱性攻撃キットPhoenixによる攻撃に活用される。悪意あるバイナリが最終的にエンドユーザに配布される。このファイルのVirusTotalでの検出率は、凡そ20%である。
この攻撃は、脆弱性のあるWebサイトをターゲットにした、現在の巨大な挿入攻撃の一部である。我々は、この脅威の調査を継続する。そして、この攻撃とこれに類似の攻撃から我々の顧客の保護を提供する。
Windows File Sharingに新たなセキュリティホール
The H : Security (2011/02/16)
Full Disclosureメーリング リスト上で、未知の寄稿者がWindowsのSMB経由で共有されるファイルがらみで発生する今まで未知のセキュリティ問題を露にした。ヒープ中のバッファオーバーフローはシステム中に任意のコードを挿入し実行する攻撃を可能にする。この寄稿者は、この問題をデモするに十分なコードもまた提供している。
セキュリティ企業のVupenとSecuniaは、この脅威を確認した。彼らはWindows XP SP3とWindows Server 2003 SP2上でこの問題を再現した。このフローは、特別に細工された"Browser Election Request"パケットに送られる非常に長いセーバ名の文字列を使用することでリモートから攻撃できる。このバッファオーバーフローはmrxsmb.sysドライバ中のBowserWriteErrorLogEntry()関数経由がトリガとなって発生させられる。サーバのユーザ認証は要求されない。
Microsoftは、パッチは言うまでもなく、未だ何のコメントも発表していない。システムを防御する最良の方法は、共有されるWindowsファイルにアクセスする場所をファイアーウォールの背後に置くことである。もしも"public"と印されたネットワークに接続しているのであれば、Windows Firewallは既に確実にこれを実行している。
Microsoft Security Site
The PC Informant : Blog (2011/02/15)
MicrosoftはSafety & Security Centerと名付けた新しいサイトを開いた。このサイトは、多くのMicrosoftのセキュリティ リンクをまとめている。Microsoftは、これを「コンピュータセキュリティ、デジタル プライバシー、オンライン安全情報、一ヶ所にまとめた便利なツールの全てを置いた新しいサイト」と説明している。
このサイトは、 Microsoft Security Essentials、Malicious Software Removal Tool、無料のPCセーフティー スキャンを提供している。
今月のWindows 7のセキュリティ アップデートはVMwareを妨害する
The H : Security (2011/02/11)
今月のWindows 7の二つのセキュリティ パッチは、VMware View desktop virtualistation clientが、View Connection Serverアクセスすることを妨害することが報告された。VMware Knowledge Baseの記事によると、Microsoftの今月の月例パッチ(Internet Explorer の重要な更新 ー Internet Explorer 用の累積的なセキュリティ更新プログラム (KB2482017)、An update that addresses issues that occur when system binaries are unloaded and loaded in Windows 7 and in Windows Server 2008 R2 is available(KB2467023))のどちらか一つ、もしくは二つともをインストールしたユーザが影響を受ける。
VMware View ClientのBuild 353760(ログインが必要)は、このアップデートによって発生する今回の問題を解決している。代替の解決方法は、(共有環境等で)Build 353760に直ぐにアップデートできないユーザは、このパッチをアンインストールすることで同様にこの問題を解決するようアドバイスされているが、そのようなシステムには脆弱性が残存することになる。
Adobe Reader X は、そのトラックを停止させることで悪意あるPDFスパムの行動を停止させる
Sophos : Naked Security (2011/02/03)
新たな悪意あるPDFスパムの行動は、Adobe Readerの最新バージョン(Adobe Reader X)にアップグレードすることの便益を明確に示している。
SophpsLabsは、ローレベルアタック(悪意あるPDFファイルを添付したスパム)の報告を現在確認し続けている。Sophos製品は、この攻撃を Mak/PDFEx-Jとして検出する。
この危険な添付ファイルは、DD-MM-YYYY-NN.pdf(言い換えれば、二桁表示の日付)形式のファイル名を使用している。
このE-Mailは、典型的には以下のようなものである。
Hello, [recipient email]
It was scanned and sent to you using Xerox WorkCentre Pro.
Please open the attached document.
Sent by: Guest
Number of Images: 1 Attachment
File Type: PDF.
WorkCentre Pro Location: Machine location not set
私は、Adobe Readerの様々なバージョンでこの添付ファイルを開くと、どのようなことが発生するのか確認するために、このマルウェア ファミリーの一つ(sha1:ef175336502a0216b4d0830944bc36e8155e0475)を見ることにした。
Adobe Reader 8で開くと、PDFは何も表示しなかった。しかし、Colombian TLDから悪意あるコードをダウンロードし起動することを企てた。
しかしながら、Adobe Reader Xで同じファイルを開くと、攻撃は発生せず、エラーメッセージが表示された。
他の変種(Troj/PDFJs-QBとして検出される)は、ダウンロードにリンクしており、SophosがMal/FakeAV-EAとして遮断するインチキのアンチウィルス攻撃を起動する。
悪意あるコードは、Producerタグ中に記録される。
そして、この this.producer 経由でアクセスされる。
var qweval=5;
for(var i in this) {
if (i.indexOf('qwe') != -1) {
jbka=this[i.replace('qw','')];
}
}
jbka('cck=this.producer');
xswi=jbka(cck.substr(0,19));
...
PDFファイルの他の部分中にある隠されたコードは、新しいトリックではない。あなたがPDFの脅威について更なる情報を見出したいのであれば、私の以前の記事("PDF security under the microscope: A review of OMG-WTF-PDF")を参照しなさい。
Adobe Reader Xを導入するためのアップデートは、この脅威の基本的部分を破壊することは明らかである。よくやった Adobe!
この理由から、私はユーザとシステム管理者が、企業を保護するために、可能な限り早急に、Adobe Reader Xにアップデートするよう呼びかける。
昨年、同僚のChet Wisniewskiは、Adobeのセキュリティ チーフBrad ArkinにAdobeに関する全てについて(来るべきReader Xを含む)インタビューした。Adobeが彼らの製品でのセキュリティ問題にどのように取り組んでいるのか聞きたいのであれば、以下を聞いてほしい(【訳注】こちらのサイトの下部にあるFlashの音声再生ボタンをクリックしてください。)。
VLC Media Player : 新しい緊急の脆弱性の修正バージョンをリリース
The H : Security (2011/02/02)
VideoLANプロジェクトは、VLC Media Playerのバージョン 1.1.7をリリースした。VLC Media Playerは、様々なオーディオとビデオ フォーマット用のクロスプラットフォームのマルチメディア プレーヤーである。VLC 1.1.x ブランチの8回目のリリースは、メンテナンスと、今週初めに報告された緊急の脆弱性の解決である。
VLC 1.1.7は、特別に細工されたMKV(Matroska Video and WebM)ビデオを使用して、システム上に悪意あるコードを挿入し、ユーザ権限でそのコードを実行して攻撃される可能性のあった demuxer 中のセキュリティ問題を修正した。問題の根源は、MKV demuxer プラグイン(libmkv_plugin.*)中の不十分な入力検証にある。このアップデートは、マクロ中の一行の交換から成っている。報告されるところによれば、1.1.6を含む全てのバージョンが影響を受ける。他の変更は、様々なバグ フィックスと翻訳関係のアップデートである。開発者は全てのユーザが最新のリリースにアップデートするよう要請している。
この 1.1.7 のリリースは過去数週間で二回目のアップデートである。一月末に、このプロジェクトは、ヒープ損壊を発生させ、次に、悪意あるコードを挿入し実行することができた、緊急の脆弱性を修正した VLC 1.1.6 をリリースした。
1.1.7 アップデートの詳細情報は、リリース アナウンスメントとセキュリティ アドバイザリ中に見出せる(このリンク参照)。本投稿時点で、1.1.7で何が新しいのかということに関しては未だ公開されていない。VLC 1.1.7は、このプロジェクトのホームページから、Windows, Mac OS X, Linuxバージョンがダウンロード可能である。VLCは、GNU General Public License (GPLv2) バージョン 2の下でリリースされている。
VLC Media Player : 新しい緊急の脆弱性
The H : Security (2011/01/31)
Update 1.1.6は、まさに先週、VideoLAN プロジェクトの VLC Media Player 中の緊急の脆弱性を修正してリリースされたところなのだが、今,このプロジェクトは特別に細工されたMKV(Matroska Video and WebM)フィルムを使用して、システムに悪意あるコードを挿入し、ユーザ権限でそのコードを実行する攻撃を可能にする新たな脆弱性を通報している。1.1.6を含む全てのバージョンが影響を受ける。
問題の根源は、MKV demuxer プラグイン(libmkv_plugin.*)中の不十分な入力検証にある。このアップデートは、マクロ中の一行の交換から成っている。この変更は既にGit(ギット。【訳注】プログラムなどのソースコード管理を行う分散型バージョン管理システムのこと)リポジトリ中に入っているが、現在それ以上進行していない。公式アップデートは、バージョン 1.1.7であり、間もなくリリースされる予定である。
当面の対策として、開発者はVLC Media Playerがインストールされているディレクトリから、問題のプラグインを手動削除するよう推奨している。MKVは大変汎用されているビデオ フォーマットなので、アップデートはより良い解決策になるだろう。
RealPlayer、セキュリティ アップデート
The H : Security (2011/01/28)
RealNetworksは、AVIファイルの構文解析に関連したセキュリティ上の脆弱性(AVI ヘッダーにおけるヒープ破損に関する脆弱性)を解消したRealPlayerのアップデートをリリースした。Zero Day InitiativeのWebサイトのセキュリティ ブレチンによれば、バッファ オーバーフローは、vidplin.dll中で発生する。おそらく、ファイル ヘッダがコードの挿入と実行に使用されている。
伝えられるところによれば、Windows用のRealPlayer 11.0 から 11.1, 14.0.0, 14.0.1、また、RealPlayer SP 1.0から1.1.5もまた影響を受ける。バージョン 14.0.2 は、この問題は塞がれている。最高のアップデートは、コンピュータからRealPlayerを削除することである。プロプライエタリのRealMediaフォーマットは、もはや稀にしか使用されていないのだから。大多数のオンラインビデオは、今や、Flashを使用して配布されている
Microsoft セキュリティ アドバイザリ (2501696)
ESET : ESET Threat Blog (2011/01/28)
Windowsのサポートされている全てのバージョンと、サポートされていないバージョンの幾つかに影響を与える、新しい脆弱性が存在している。あなたがコンピュータに詳しいのなら、“Vulnerability in MHTML Could Allow Information Disclosure”(MHTML の脆弱性により、情報漏えいが起こる)アドバイザリは、http://www.microsoft.com/japan/technet/security/advisory/2501696.mspx に存在している。コンピュータにあまり詳しくないのであれば、調査し幾らかのことを理解したいだろう。このセキュリティ ブレチンを読み、その間にあなたが発見したことを質問することで、コンピュータとセキュリティについてより多くのことを学ぶだろう。
コンピュータにあまり詳しくない人にとっては、特別に細工されたWebページで、あなた方は情報を入手されるかもしれないという問題がある。Microsoftは、この脆弱性に対する攻撃が未だ行われていないことを確認しているが、パッチが利用可能になるまで、Microsoftはあなた自身を保護するために、幾つかのアクションをとるようアドバイスしている。このセキュリティ アドバイザリは、必要あるレジストリ設定の変更に関する情報を含んでいる。しかし、このセキュリティ アドバイザリ中には、http://support.microsoft.com/kb/2501696 で取得できる “fix it for me”ツールもまた存在する。
Microsoftは、副次的影響で、あるサイト上では大変多くのポップアップ警告が発生するかもしれないと忠告している。ポップアップ警告を減少させる一つの方法は、Internet Explorerの信頼済みゾーン で、銀行のようなサイトは 信頼済みサイト に追加することである。この修正を試したいかもしれない。この修正が大変悩ましいものであるなら、“fix it”ツールを取得した場所に変更を元に戻すもう一つのツールがある。
この副次的影響は、Internet Explorerについてだけ述べられている。今回の場合に関してのみであるが、あなたがInternet Explorer以外のブラウザを独占的に使用しているのであれば、この軽減策をインストールすることが如何なる便益を生むのか定かでない。これは、Internet Explorerを使用すべきではないということを言っているのではない。殆ど全てのブラウザは常時脆弱性を持っている。個人的には、アドオンでのカスタマイズ性の良さから、多くの場合Firefoxを使用している。時々、この様なセキュリティ関係のアドオンは、幾許かのサイトで状況を困難にするので、Internet Explorer, Chrome,稀にSafariもまた使用している。
Avast! : ThreatFireでクラッシュ
The H : Security (2011/01/27)
Avast!は、一月中旬から利用可能になっているAvast! version 5.1.889のBehaviour Shieldモジュールが、現在、一部有効化されている(以前は無効化されていた)と報告している。もしも、別の挙動認識システムが、同じコンピュータ上で既にアクティブであったなら、これはプログラムをクラッシュさせたり起動を拒否するかもしれない。Avast!フォーラムで、ユーザはAvast!と64-bit Windows 7上でのThreatFire(【訳注】以前のCyberhawk。プログラムの挙動を監視・分析し、プログラムが疑わしい動作を実行しようとした時に、その挙動を検出するソフトウェア)との問題を詳細に報告している
問題を解決するには、Avast!は、追加的挙動認識ソフト(ThreatFireのような)をアンインストールするように、もしくは、カスタムインストールを実行することで、AvastのBehaviour Shieldを削除するよう推奨している。
緊急の脆弱性を修正した Opera 11.01 がリリースされた
The H : Security (2011/01/27)
Opera Webブラウザの新しいバージョンは、今週初めに報告された緊急のセキュリティホールを塞いだ。この脆弱性は、攻撃者がコンピュータの制御を取得することを可能にしていた。この問題は、多くのチャイルド要素の付属する選択要素を含むHTMLドキュメントを処理するコード中のフローによって発生させられていた。更なるトリックとの組み合わせで、このフローは任意のコードの挿入と実行を可能にする。
この脆弱性は、Windowsバージョンだけでなく、MacやUnixにも影響を与えていたが、全てのバージョンでこの脆弱性は閉じられた。全OS用のアップデートは、ブラウザ設定のクリックジャック脆弱性も修正している。また、Webページがローカルファイルを読み出すことを可能にしているもう一つの脆弱性も修正している。
このアップデートに含まれる唯一の新機能は、window.DOMStringList DOM オブジェクトのサポートである。このアップデートはまた、マイナーな改善と、かなりのバグフィックスを提供している。サポートされる全てのプラットフォーム用のアップデート版がダウンロード可能である。
Operaに緊急の脆弱性
The H : Security (2011/01/24)
フランスのセキュリティ サービス プロバイダVUPENは、巧妙に細工されたWebページでWindowsシステムにマルウェアの感染を可能にする緊急のセキュリティ上の脆弱性を報告した。この問題は、選択されたエレメントが非常に多くのチャイルド エレメントを含んでいるHTMLファイルを処理するときの、opera.dll中のバグによって発生すると発言している。
バグは最初、一月初旬にセキュリティ研究者Jordi Chancelによって報告されたが、彼は、ブラウザをクラッシュすることだけに成功していた。VUPENは、
コードを挿入・実行する脆弱性攻撃を開発することに成功し、それゆえ、この問題を緊急に分類したと明らかにしている。この問題は、Opera 11、と10.63、そして、Windows 7とXP SP3用のそれ以前のバージョンで確認された。現在、この問題に関するパッチやアップデートは提供されていない。
Sandboxies と Adobe X
ESET : Threat Blog (2011/01/19)
私は最近Adobe ReaderをAdobe Reader X(PDF Reader を sandboxe化した新しいバージョン)にアップグレードした。インターネットからPDFを開こうとした途端に問題に遭遇した。Reader Xをアンインストールし再インストールしたが無駄だった。Sandboxie と Reader Xの間に問題があるかもしれないと疑い検索した。即座に発見された。この問題は昨年11月に報告されており、Sandboxieの新しいバージョンで、この問題は修正されていた。Sandboxieからの通知を受け取ったとき、私はチョッと当惑したが、通知メッセージに対しアップグレードすることを告げた。私はアップグレードが失敗したのではということに注意していなかった。Sandboxieの内部メカニズムを使用したSandboxieのアップグレードに数回失敗したので、私はSandboxieの現在のバージョンをダウンロードし、手動でインストールした(Sandboxieのコントロール ボックスを閉じた後)。
Sandboxieの新しいバージョンを起動すると、Sandboxieは、Adobe Acrobat Reader, ESET NOD32 Antivirus, Windows Live, Enhanced Migration Experience Toolkit v2.0 (Microsoft EMET)が存在していることを検出し、これらのプログラムとSandboxieが互換するように設定するよう指示された。私は、これを実行したので、現在Reader XでPDFを開けるようになっている。
Sandboxieに親しんでいない人々は、www.sandboxie.comでSandboxieの紹介とダウンロードのリンクを見出すことができる。Sandboxieは、多大なダメージを与える悪意あるソフトウェアが実行できることを制限することで、あなたのコンピュータをより安全に維持することを支援するプログラムである。Sandboxe化されたブラウザでWebをブラウズし、そして感染したなら、Sandboxのコンテンツを単純に削除することで、私が認識しているあらゆるケースにおいて感染を削除できる。Sandboxieはフィッシング攻撃からユーザを守ることはない。そのように設計されていない。さらに、あなたがキーロガーに感染し、次にあなたの銀行にアクセスした場合、あなたのユーザ名とパスワードは改竄される可能性がある。Sandboxieの有料版では、複数のSandboxeを持つことができる。これは幾つかのことに関しては
軽便である。私はオンラインバンキングのようなことに関しては一つのSandboxを使用している。けれども、私は定期的にSandboxを削除し続けている。私は特別危険であると思うサイト(そして、そのサイトは仮想マシンの中にある)に関しては一つのSandboxを使用している。私はまた、別のSandboxでそれらを稼働することで、複数のYahooアカウントに同時にログオンできる。
あなたがSandboxを使用するのであれば、あなたのSandboxのバージョンが最新版であることをチェックするのは価値あることである。
Microsoft: Windows 7 SP1(RC)をリリース
Microsoft : OEM (2011/01/14)
MicrosoftはWindows 7 Service Pack 1 の候補版がダウンロード可能になったとアナウンスしています。
Adobe: Webブラウザ中のFlashクッキーを簡単に削除できるように計画
The H : Security (2011/01/13)
ブラウザ中の新しいAPIは、WebブラウザからFlashクッキーを簡単に削除出きるようになるだろう。ブラウザ クッキーと異なり、Flashクッキーはブラウザ設定から簡単に無効化したり削除したりできない。最近まで、Flashクッキーは、Private Browsing Mode(プライベート閲覧モード)のようなデータ プロテクションに関する幾つかの設定を取り合わなかった。
Flashクッキーは、Flash Playerの設定を通してのみ管理でき、FlashクッキーはAdobeのWebサイト上にあるSettings Manager経由、もしくはOSのファイルシステム中のクッキーを手動で削除することによってのみ削除できた。
新しいAPI(NPAPI:ClearSiteData)は、 Mozilla, Google, Apple, Adobeの独創的な考えによるものである。このAPIは、Local Shared Objects (LSO)としても知られるFlashクッキーを、AdobeのWebサイト上のSettings Managerを経由することなしに、ブラウザの設定中で直接削除することを可能にしている。このAPIはまた、プラグインがこのプロセスのサポートを提供しているのなら、そのプラグインによって集められたあらゆるデータも同様に削除することを可能にしている。
このAPIは、数週間後、Google Chromeに始めて搭載されることが予定されている。さらに、AdobeはWindows, Mac OS X, Linux中のローカル設定から、Flash用のSettings Managerにアクセス可能にすることを計画している。このステップをとることで、Adobeは連邦取引委員会(FTC)のようなデータ保護を標榜する人々からの批判(Flashクッキーはユーザが簡単に制御できない。そして、悪用が増加していると言う批判)の増大に対応する予定である。
正当なデフラグソフトとインチキのデフラグソフトをリストしたサイト出現
Sunbelt : GFI LABS BLOG (2011/01/10)
昨年インチキのセキュリティ製品の恐るべき世界での開発は、デフラグ ツールのようなインチキのイミテーション ユーティリティを出現させた。
インチキソフトは、ずっと物真似のアンチウィルス製品であった。インチキのアンチウィルス ソフトは経験の浅いインターネットユーザを十分混乱させていた。しかしながら、正当なアンチウィルス ソフトウェアをリストしたいくつかのサイト(ICSA Labs, Virus Total,Virus Bulletin等)が出現した。
デフラグメンテーション ユーティリティやデフラガーのリストを見つけることは困難だった。
南アフリカのヨハネスブルグにあるソフトウェア会社 Black and White Inc., のデータベース プログラマ Donn Edwardsは、彼の Fact-Reviews.com サイト上のページ上で維持している、正当なデフラグ ユーティリティのリストを、休みの間我々に指摘するためにコンタクトしてきた。彼のサイトは、昨年6月に現れ、彼独自の見解を表明している。
Fact-Reviews.com は、正当なデフラグ ユーティリティをリストしている。
インチキのデフラグ ユーティリティもまたリストしている。
Microsoft イメージ問題を警告
Krebs On Security : Blog (2011/01/04)
Microsoftは本日、Webブラウザやドキュメント中の悪意ある画像を、ユーザが単純に閲覧することで悪意あるソフトウェアをインストールすることを可能にする未知の脆弱性についてWindowsユーザに警告した。
Microsoftは、この問題はVista, Server 2003, Windows XPのWindows Graphics Rendering Engineのバグから発生していることを、セキュリティ アドバイザリで発言している。Microsoftは、このフローに関するパッチを作成中であると発言しているが、今のところ、このセキュリティホールへの実際の攻撃は確認されていない。
このアドバイザリ中で引用されているCVEリストによれば、この脆弱性は、二人のセキュリティ研究者によって発見され、昨年末の韓国で行われたセキュリティ カンファレンスで彼らの発見はプレゼンされた。
Microsoftは昨年、記録的セキュリティアップデートをリリースした。そして、新しいWindowsのフローが発見され露にされたスピードから、Microsfotは多分、2011年再び記録を更新するだろう。週末、セキュリティ研究者Michael Zalewski(Googleに所属)は、今まで報告されていないInternet Explorer中のフローについて詳細をリリースした。Zalewskiは、このフローの詳細はGoogleの検索ロボットによって偶然インデックス化されたことが判明し、その後中国のインターネットアドレスを使用している者によってダウンロードされた後、この情報をリリースしたと発言している。
定例パッチは(パッチの火曜日)は来週である。そして、Microsoftがもう一つの顕著なIE中の脆弱性を解決するかどうか確認することに興味がある。クリスマスの2日前、Microsoftは、おそらくハッカーが、、Windows 7 と Windows Vista中に備え付けの二つの主要セキュリティ防御を回避する幅広く知られている攻撃方法を使用して、IEの全てのバージョン中に存在する脆弱性への攻撃を開始するだろうと警告していた。
VLCメディアプレーヤーにセキュリティホール
The H : Security (2011/01/03)
Virtual Security Research (VSR)はVLCメディアプレーヤ中の脆弱性を同定した。VLCメディアプレーヤのバージョンアップ版と1.1.5をを含めて、特に細工されたファイルは、Real Mediaフォーマット ファイルに使用されるデマルチプレクサー中でバッファオーバーフローの引き金になるコードの挿入に使用されることが可能である。
犠牲者になる可能性がある人は、明らかに特別に細工されたファイルを開くことを必要とする。それゆえ、ユーザは、このメディアプレーヤがパッチされるまで未知のソースからのファイルを開かないようアドバイスされている。一方として、このReal demuxer plug-in (libreal_plugin.*)はVLCプラグインディレクトリから削除することができる。VLCメディアプレーヤ1.1.6は、この問題に免疫があると言われているが、Videolan(VLCの開発元)の開発者は、このバージョンのWindows用を未だリリースしていない。