セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年

    セキュリティ・メーカー関連
  • ・ Bikis : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant

新型のDDoSボットネットはWindowsのみならずLinuxにも感染する
SPAMfighter : News (2013/12/25)
 ポーランドのコンピュータ緊急対応チーム(Poland Computer Emergency Response Team (CERT))が、2013年12月18日にsoftpedia.comに公開したところによると、ここのセキュリティ研究者達は、Windows並びにLinuxを汚染する、ある種のマルウェアを拡散する出来たてのDDoSボットネットを最近発見した。
 このボットネットの主体はDNS Amplification攻撃(【訳注】細工したDNS要求をBOTに送ると対策の施されていないDNSサーバを踏み台にして攻撃対象に大量のDNSパケットを送信することができる。これにより処理能力やネットワーク回線が飽和し正常な利用ができなくなる)であり、単にDDoS攻撃を実行するためだけに作成されていると、この研究者達は述べている。Poland CERTのレポートがリリースされた時点で、殆ど全てのアンチウィルスプログラムは、このマルウェアのWindowsターゲット版に関しては検出しているが、Linuxターゲット版は、ほんの少しのアンチウィルスエンジンが検出するに留まっている。その上、このマルウェアのLinux版はコマンドに連結しようと企て、そして、強力なTransmission Control Protocol (トランスミッション コントロール プロトコル、TCP)を通してサーバーを制御しようとする。
 この研究者達は、C&Cサーバー(【訳注】ボットに指令を出すサーバーのこと。コマンド アンド コントロールの略)のポートとIPは暗号化されていたと説明している。このボットがアクティブになると、このボットはサーバーからのコマンドを受け取ることを期待している間中、暗号化されていないオペレーティングシステムに関する情報を転送していた。Help Net Securityは2013年12月18日に、これを公開した。
 この悪意あるプログラムの研究直後に、このマルウェアは4種類のDDoS攻撃を実行できると結論された。他方、実行できる他の能力は未だ持っていない。
 このボットのLinux版はインターネット プロトコル アドレスを通してC&Cシステムと通信を行っていたが、このマルウエアのWindows版は、別のポートを介して或るドメイン名を経由して通信をしていたことが更に発見された。しかしながら、この脅威の変種の両方共、同一のコマンド アンド コントロール インフラストラクチャを使用していた。Polish CERTの解析として、これは両方の背後に存在する犯罪者のグループが同一であることを示唆している。
 このマルウェアがDDoS攻撃を実行するため、この研究者達は、攻撃者がおそらく、サーバーのような大きな帯域幅を使用するPCを改竄することに焦点を当てていると考えている。Linux OSがサーバーシステム用として好ましいものであったことは、おそらくこの2つの変種の原因でもある。
 他方、最近Linuxをターゲットにした物として検出された悪意あるプログラム(Andre DiMino(彼のHoneypot Linuxベースのコンピュータを攻撃者にハイジャックされたGeorge Washington大学のセキュリティ研究者)の注意を引いた別のボット)に類似している。DiMinoの発見によると、このボットはPerlで開発されていた。Pcadvisor.co.ukは、2013年12月18日付で公開している。

ランサムウェア(身代金要求ソフト)CryptoLockerは凡そ250,000のPCに感染していた
BBC : Tech (2013/12/24)

感染させられた犠牲者は、彼らがデータを永久に失う前に、彼らのデータを解放するためのタイムリミットを与えられる

 セキュリティ研究者の報告によると、悪意に満ちたランサムウェアは、現在25万Windowsコンピュータに感染していた。
Cryptolockerはユーザのデータを暗号化し、次に、カウントダウン用の時計と共に、犠牲者のデータを複合するための金銭を要求する。
 Dell Secureworksは、アメリカとイギリスが最悪の感染状態にあると発言している。
 サイバー犯罪の張本人は、当初専門的職業に従事している者に焦点を当てていたが、現在はホーム インターネット ユーザをターゲットにしていると、Dell Secureworksは追加している。この企業は、このコードの拡散に使用されると疑われるネット ドメインのリストを提供してきたが、毎日、多くのサイトが発生することに警告を発している。
 ランサムウェアは、少なくとも1989年には存在していたが、最新のランサムウェアの例は、ファイルにアクセスできない方法をとっているために取り分け解決が難しいものになっている。
 「多くの他のマルウェア ファミリーのようにカスタム暗号化の実装の代わりに、CryptoLockerはMicrosoftのCryptoAPIによって提供される強力なサードパーティー公認の暗号化を使用している」と、このレポートは述べている。
 更に、「健全な実装を使用し、ベストプラクティスに従うことで、このマルウェアの作者は裏を取ることが困難な頑健なプログラムを作成した」と述べている。

誘拐のジレンマ

 CryptoLockerの最初のバージョンは、09月05日にポストされた。
 当初は、ユーザが受取人の組織に関する顧客の不満として特定されるZIPアーカイブをクリックするように依頼するスパムメールで拡散された。
 その後、このマルウェアは、手形交換に問題があったと主張するE-Mailに添付されたマルウェア経由で拡散した。関連するリンクをクリックするとGameover Zeus(今度は、犠牲者のコンピュータ上にCryptoLockerをインストールする)と呼ばれるトロイの木馬がダウンロードされた。
 12月中旬までに、Dell Secureworksは、200,000から250,000の間のコンピュータが感染させられていたと発言している。
 Dell Secureworksは、このような人々は「最低でも0.4%」が影響を受け、「そして、おそらく何回も身代金の要求に同意している」と発言している。身代金は現在、仮想貨幣であるBitcoinとMoneyPakでだけ支払うことができる。
感染した国のTop 10 / 感染させられたシステムの数(12/09-16間) / 全体に占める割合
USA  1,540  23.8%
Great Britain  1,228  19.0%
Australia  836  12.9%
France  372  5.8%
Brazil  309  4.8%
Italy  204  3.2%
Turkey  182  2.8%
Spain  145  2.2%
China  138  2.1%
Canada  135  2.1%
 「身代金を支払うことを選択した犠牲者からの事例報告は、CryptoLocker脅威の挙動が、ファイルを復号し、このマルウェアをアンインストールするために感染したコンピュータに支持することによって身代金の対価を履行する」とDell Secureworksは追加している。  「犠牲者からの報告によると、身代金は数付以内に受け入れられ、処理するために数週間掛かるかもしれない」
 しかしながら、別のセキュリティ企業であるTrend Microは、この恐喝の要求を受け入れることはCryptoLockerの更なる拡散と、他のモノマネ製品の計画を促すだけであり、データを取り戻す保証は無いと警告している。

安全へのステップ

 Dellは、CryptoLockerの拡散にリンクしているとして印を付けられている数百のドメイン名に対するPCの接続を遮断するように提案しており、更に、一般人と商用が彼ら自身を保護するために取ることのできる5つのステップを提案している:

  • ・ 実行ファイルや圧縮アーカイブがE-Mailの受信箱に届く前に、それらをブロックするソフトウェアをインストールしなさい
  • ・ 改竄を実行できる人々の数を制限するために共有ネットワークドライブに割り当てられているパーミッションをチェックしなさい
  • ・ ブルーレイやDVD-ROMディスクのようなオフラインストレージに定期的にデータをバックアップしなさい。ネットワークに接続されているドライブやクラウド ストレージは、CryptoLockerがアクセスでき、そこに保存されているファイルを暗号化できるものとして計算されない
  • ・ CryptoLockerや他の疑わしいプログラムが、或る重要なディレクトリにアクセスすることを妨げるように、各PCのソフトウェア管理ツールを設定しなさい
  • ・ このマルウェアが暗号化プロセスを開始できないようにCryptoLockerによって使用されるレジストリキーを制限するように、そのコンピュータのグループ ポリシー オブジェクトを設定しなさい

悪意あるFirefoxアドオンは、数千台のPCを脆弱なWebサイトを「捜す」ボットネットに変えている
ESET : WeLiveSecurity (2013/12/17)
 或るFirefoxアドオンは、このブラウザの12,500ユーザを、感染させたユーザによって訪問される全てのページで脆弱性を探しまわるボットネットに変えていた。セキュリティ エキスパートBrian Krebsによれば、‘Advanced Power’と呼ばれるアドオンは、12,500PCを誘惑した。そして、それを作成した不明の作者のために1,800の脆弱性のあるWebサイトを発見した。
 Krebsの報告によると、このマルウェア中の文字列は、チェコ原産である可能性があることを示唆している。SC Magazineは、このアドオンが他の能力(パスワード ハッキングを含んでいるが、使用されていない)も持っていると発言している。
 Krebsによれば、「この悪意あるアドオンは、幾つかの異なるSQLインジェクション脆弱性の存在に関して、感染させられたユーザが訪問する殆ど全てのページをテストする。」 SQLインジェクション攻撃は、Webサイトを攻撃するために私用される最も汎用的な手法であるが、攻撃者は、それらを使用するための脆弱性が要求される。
 「攻撃者は、ドライブバイ マルウェア攻撃でサイトをブービートラップするために、もしくは、それらのデータベース中に保存されている情報を、サイトに強制的に打ち明けさせるために、このアクセスを使用することができる」とKrebsは発言している。
 Information Weekは、このマルウェアが、少なくとも今年の5月31日以来徘徊していると報道している。そして、”Malware Don’t Need Coffee”ブログでの"Kafein"の「このマルウェアは、少なくとも一部はBlackhole脆弱性キットによって拡散された」とする発言を引用している。
 Krebsの報告にある、この攻撃は、ハッカーが単に任意にサイトをを標的にするのではなく、脆弱性に関してWebサイトの大変多くのサンプルを「テスト」する方法を示していることに注意しなさい。正当なサイトに便乗することによって、脆弱性のあるサイトを発見することを頻繁に実践する必要のあった「完全な当て推量」のハッカーを無くすことになる。
 Mozillaは現在このアドオンをブロックし、「このアドオンをインストールしているユーザを欺くために同じ名前の下で配布されている悪意ある拡張である。そして、訪問したWebサイトにSQLインジェクション攻撃を実行するボットネットにユーザを変える」と発言している。
 ブラウザ アドオンとプラグインは、We Live Securityが此処此処で報告したように、今年幾つかのマルウェア キャンペーンで使用されてきた。

下手な仕事のWindows Updateは、PCユーザを悩ませ続けている
PC Informant : Blog (2013/12/17)
 MicrosoftのWindows用の毎月の定例パッチは、相変わらず不運なPCユーザに対して大問題を作成している。最新の大問題は、KB2887069である。InfoWorldでWoody Leonhardは、その投稿中に詳細を与えている。不細工な暗黒の火曜日のパッチKB 2887069はフリーズし、設定に失敗し、BSoD(Blue Screen of Deth, 死のブルースクリーン)の引き金を引き、そして/もしくは、サウンドドライバを消去する。Leonhardによれば、この問題は、XP以降の全てのWindowsに影響する。彼の記述は以下:

     " あなたが今迄にこの件について聞いたことがあるのなら私に告げなさい: このパッチが自動アップデートのユーザに問題を発生させた後ほぼ一週間経つまで、Microsoftは、この問題を認識していなかったし、解決策も提供していなかったし、修正が何時利用可能になるのか発言していなかった。このパッチは現在Windows 7とWindows 8.1マシンに提供され続けている。”

 多くの他の最近の不細工なMicrosoftの提供物の中でも、MicrosoftはWindows XP継続用のアップデートに失敗している。別の投稿において、Leonhardは以下のように発言している:

     " 我々はWindows XPユーザが彼らのコンピュータをアップデートしようとする度に、再三に渡り同じ問題の報告を見てきた: 専有的に5分、10分、15分あるいは1時間もしくは2時間までCPUを100%使用しているのなら、Windows Update(より正確には、SVCHOSTラッパー中で稼働しているXP Windows UpdateのエージェントであるWUAUCLT.EXEが危険な一線を越えている)は危険な一線を超えている。”

Microsoft Windows用の脆弱性攻撃の防御
ESET : WeLiveSecurity (2013/12/13)
 ソフトウェアへの脆弱性攻撃は、犠牲者を誑かして悪意あるプログラムを手動起動させることで、ソーシャルエンジニアリングを要求することなくユーザのコンピュータ上に様々なマルウェア(トロイやバックドアのような)をコッソリとインストールするために、攻撃者によって使用される攻撃テクニックである。脆弱性攻撃によるマルウェアのインストレーションは、ユーザに不可視であり、攻撃者には明白な優位を与えるものである。このような攻撃は、マルウェアの実行を可能にするために、特定のオペレーティングシステムやアプリケーション コンポーネント中の脆弱性を使用とする。
 Solutions to current antivirus challengesと題された我々が以前投稿したブログにおいて、我々はセキュリティ企業が、この脆弱性の問題に取り組むことのできる幾つかの方法を論議した。この投稿で、我々はMicrosoft Windows上で脆弱性攻撃された多くのアプリケーションに関する詳細を提供し、ユーザが彼らのセキュリティ ディフェンスを更に強化するための幾つかの措置をアドバイスした。

脆弱性攻撃のターゲット

 以下のアプリケーションは脆弱性攻撃において攻撃者によって最もターゲットにされているものである:

     ・ Webブラウザ(Microsoft Internet Explorer, Google Chrome, Apple Safari, Mozilla Firefox等)
     ・ ブラウザ プラグイン(Adobe Flash Player, Oracle Java, Microsoft Silverlight)
     ・ Windowsオペレーティングシステムそれ自体。とりわけ、Win32サブシステムドライバ(win32k.sys)
     ・ Adobe ReaderとAdobe Acrobat
     ・ その他、特有のアプリケーション

 脆弱性攻撃は、そのタイプ毎に夫々の攻撃シナリオを使用する。
 普通の人々にとって最も危険なシナリオの一つは、攻撃者がオペレーティングシステム中に遠隔からコードをインストールする脆弱性攻撃の使用である。そのような場合において、我々は、ユーザが改竄されたWebリソースを訪問していたことを、そして、彼らのシステムが悪意あるコードによって目に見えないように感染させられていることを通常発見する(この攻撃は、しばしばドライブ バイ ダウンロードと言われる)。あなたのコンピュータが攻撃に対して脆弱性のあるWebブラウザやブラウザ プラグインのようなソフトウェアのバージョンを稼働しているのであれば、ソフトウェア ベンダからの緩和策がないため、あなたのシステムがマルウェア感染する可能性は非常に高いものになる。
 特定の標的型の攻撃や“watering hole(たまり場、【訳注】企業や組織を狙った攻撃手法の1つ。攻撃者は、慎重に考慮した上で特定のWebサイトを選定し、そのWebサイトに脆弱性利用のマルウェアを組み込むことで改竄を行い、最終的にマルウェア感染を発生させる)”攻撃のような攻撃の場合においては、攻撃者は、犠牲者が訪問したWebサイト上に脆弱性攻撃コードを植え付けているので、この犯罪者はソフトウェアもしくはオペレーティング システム中の0−Dayの脆弱性を使用できる。0-Dayの脆弱性は、攻撃者によって脆弱性攻撃された時点で、ベンダーによってパッチされていない脆弱性のことである。
 標的型の攻撃に使用される他の汎用テクニックは、犠牲者に脆弱性攻撃を「装備した」PDFドキュメントを送信することである。ソーシャルエンジニアリングも頻繁に使用される(一例としては、犠牲者がそれを開くであろう方法でファイル名やドキュメントの内容を選択することで)。
 PDFは何よりもまずドキュメントファイルであるが、Adobeは、ファイル中にスクリプトや様々なオブジェクトを埋め込むことを可能にすることで、そのデータ変換機能を最大限にするようにファイルフォーマットを拡張した。そして、これが攻撃者によって攻撃されることになった。殆どのPDFファイルは安全であるが、中には危険なものがある(とりわけ、信頼できないソースからのもの)。このようなドキュメントを脆弱性を持つPDFリーダーで開くと、この脆弱性攻撃コードは、悪意あるペイロード(バックドアのインストレーションのような)の引き金を引き、多くの場合、囮のドキュメントが開く。
 攻撃者達が大好きなもう一つの標的が、Adobe Flash Playerである(このプラグインは全てのブラウザ上でコンテンツの再生に使用されていることが理由)。Adobeの他のソフトウェア同様、Flash Playerは、Adobeのアップデートで知らされているように(Adobe Security Bulletin参照)、定期的にアップデートされている。このような脆弱性の殆どは、リモートコード実行(RCE)タイプである。そして、攻撃者が犠牲者のコンピュータ上で遠隔から悪意あるコードを実行するために、このような脆弱性を利用できることを示している。
 ブラウザとオペレーティングシステムとの関連性において、JavaはJavaアプリケーションを実行することが可能な仮想マシン(もしくは、ランタイム環境、JRE)である。Javaを使用することを大変人気あるものにしたのは、Javaアプリケーションがプラットフォーム独立になっていることである。今日、Javaは30億を超えるデバイスで使用されている。他のブラウザ プラグイン同様に、Javaプラグインの悪用は、攻撃者にとって魅力的なものであり、悪意あるアクションとそれに関連する脆弱性に関する我々の今までの経験と現在のブラウザ プラグインの現状から、我々は、Javaは最も危険なコンポーネントの一つであると言うことができる。
 また、Windowsオペレーティングシステムそれ自体の様々なコンポーネントは、遠隔からのコードや特権の昇格を実行するために攻撃者によって使用されることが可能である。以下の図は、2013年の間に様々なWindowsコンポーネントが受け取ったパッチの数を示している。


    コンポーネントあたりのパッチの数

 上図の"Others"のカテゴリは様々なオペレーティング システム コンポーネント(CSRSS, SCM, GDI, Printスプーラ, XML Coreサービス, OLE, NFS, Silverlight, リモート デスクトップクライアント, アクティブ ディレクトリ, RPC, イクスチェンジ サーバー)に関して修正された脆弱性を含んでいる。
 このランキングは、Internet Explorerが巨大な数の脆弱性が修正されたことを示している(40回のアップデートの過程で修正された脆弱性は100を超える)。その脆弱性の内の7つは、「パッチの時点でインターネット上で脆弱性攻撃が存在している」状況にあった。換言すれば、それらの脆弱性は、攻撃者によって実際に脆弱性攻撃されている最中だった。オペレーティングシステムで二番目に多くパッチされたコンポーネントは、殆ど知られていないWindowsサブシステム ドライバ win32k.sys である。このドライバ中の脆弱性は、システム上での特権を昇格させるために攻撃者によって使用される(例えば、ユーザ アカウント コントロール(User Account Control、管理者権限を要求する攻撃者による改竄のリスクを減少するためにWindows Vista中にMicrosoftによって導入された最小権限メカニズム)によって挿入された制限をバイパスするような)。

緩和テクニック

 我々は現在、最も脆弱性攻撃を受けたアプリケーションをより詳細に調査し、あなたが攻撃を緩和するためと、あなたの防御を更に強固にするために取ることのできる幾つかのステップを提供している。

Windowsオペレーティングシステム

 Microsoft Windowsのモダン バージョン(即ち、記述している時点においてWindows 7, 8, 8.1)は、脆弱性攻撃による破壊作用からユーザを保護することを支援することのできる備え付けのメカニズムを持っている。このような機能はWindows Vistaで初めて利用可能になった。そして、最も最近のオペレーティングシステムのバージョンでアップグレードされた。この機能は以下を含んでいる。

    ・ DEP(データ実行防止)& ASLR(アドレス空間配置のランダム化)メカニズムは、アプリケーションやオペレーティングシステム中の脆弱性が攻撃を企てられた時、合併用の特別なレイヤーを導入する。これは、コードを実行するために使用されるはずのないメモリの使用と、プログラムモジュールをランダムアドレスでメモリ中に配置することを特に制限することになっている。
      ・ UAC(ユーザ アカウント制御)は、Windows 7から、システム設定を変更しシステムディレクトリにファイルを作成する必要があるプログラムは、起動する前にユーザからの確認が要求されるようにアップグレードされた。
      ・ SmartScreenフィルターは、ダウンロードされるファイルの評価に基づいて、インターネットから悪意あるソフトウェアのダウンロードを妨げることを支援する(悪意あるものとして知られているファイルや、このフィルターによって認識されていないファイルはブロックされる)。当初、この機能はInternet Explorerの機能の一部であったが、Windows 8のリリースで、このオペレーティングシステムに備え付けられたので、現在は全てのブラウザで動作する。
      ・ Internet Explorer用の特別な「拡張保護モード」(IE 10から開始された): Windows 8で、このモードはブラウザタブが、特定のアクションの実行を妨げる隔離プロセス(このテクニックはSandboxingとしても知られる)のコンテキスト中で稼働することを可能にする。Windows 7 64ビットに関しては、この機能はIEが個別の64ビットプロセスとしてタブを稼働することを可能にする。これは、シェルコード分配の一般的なheap-sprayメソッドを緩和することを支援する。詳細に関しては、MSDNブログを参照(此処此処
     

PDFファイル

 危険なソースからのPDFドキュメントによって提起される高リスクPDFの閲覧や、彼ら自身を適切に保護することに関して多くのユーザの認識が低いことと彼らが不承不承であることから、Adobe Readerのモダンバージョンは、ドキュメントの閲覧に関して特別な「保護モード」(Sandboxingとしても知られる)を持っている。このモードを使用すると、PDFファイルからのコードは、潜在的に危険な機能を実行できなくなる。


    Figure_2: Adobe Readerの環境設定 > セキュリティ[拡張]の、「サンドボックスによる保護」で、「保護されたビュー」を「安全でない可能性のある場所からのファイル」に変更する。

 Defaultで、「保護モード」はOFFになっている。スタートアップで「保護モードを有効にする」オプションをアクティブにしたにも拘わらず、「保護モード」の設定が「無効」に設定されているために、サンドボックス モードはOFFのままである。それ故、インストールした後、「安全でない可能性のある場所からのファイル」、もしくは、「全てのファイル」を適用するように設定することが強く推奨されている。
 あなたが保護された閲覧をONにした時、Adobe Readerは、PDFファイル中で使用される幾つかの機能を無効化することに注意しなさい。それ故、あなたがファイルを開いた時、保護モードがアクティブであると通知するツールチップ アラートを受け取ることになるかもしれない。


    Figure_3: ツールバーの下の黄色い部分がツールチップ アラート。保護モードであることを示唆している。

 あなたがファイルの源泉と安全性に関して確信しているのであれば、適切なボタン(上図の赤で囲んでいる部分)を押すことによって、その機能の全てを有効にすることができる。

Adobe Flash Player

 Webブラウザ企業と共同してAdobeは、Flash Playerプラグインを標的にする脆弱性攻撃を防御するための特別な機能と保護メカニズムを利用可能にした。MicrosoftのInternet Explorer(Windows 8で稼働するIE 10以降に搭載)、Google Chrome、Apple Safari(最新版) のようなブラウザは、特別に制限された(即ち、サンドボックス化)プロセス(多くのシステムリソースとファイルシステム中の場所へのアクセスするためのこのプロセスの能力を制限し、それがネットワークと情報交換する方法も制限する)のコンテキスト中でFlash Playerを稼働する。
 あなたのブラウザ用のFlash Playerプラグインの時宜にかなったアップデートは大変重要である。Google ChromeとInternet Explorer 10以上のバージョンは、Flash Playerの新しいバージョンのリリースに伴い自動的にアップデートされる。Adobe Flash Playerのバージョンをチェックするには、こちらの公式のAdobeのサイトを使用しなさい。更に、殆どのブラウザは、Flash Playerプラグインを完全に無効化する能力をサポートしているので、そのようなコンテンツをブラウザが再生することは禁止することができる。

インターネット ブラウザ

 この記事の冒頭で、攻撃者がリモートコード実行を使用する悪意あるコードを配布するためにブラウザ(ドライブ バイ ダウンロード)に依存していることを、我々は既に言及した。どのようなブラウザ プラグインがインストールされているかに拘わらず、ブラウザそれ自体が攻撃者に認識されている(そして、ブラウザ ベンダはおそらく認識していない)多くの脆弱性を含んでいる。この脆弱性が開発者によってパッチされたり、それ用のアップデートが利用可能になると、ユーザは、それをインストールでき、そして、オペレーティングシステムを改竄するために使用されることを心配しなくて良くなる。他方、攻撃者が今迄未知の(言い換えれば、未だパッチされていない)脆弱性を使用しているのであれば、その状況はユーザにとって、より厄介なものである。
 モダン ブラウザおよびオペレーティング・システムは、アプリケーションプロセスの分離のために特別なテクノロジを組込んでいる。それにより、様々なアクションの実行に特別な制限を作成する。これにより、ブラウザはそれを行なうことができなくなる。一般に、この技術はsandboxingと呼ばれ、それはユーザが、プロセスが実行できることを制限することを可能にする。この分離の一例は、モダン ブラウザ(例えば、Google ChromeやInternet Explorer)がオペレーティング システム中の個別のプロセスとしてタブを実行しているいう事実である。それにより、制限付きパーミッションで、特定のタブ中で或るアクションを実行するすること、並びに、ブラウザの安定性を維持することを可能にしている。タブの一つがハングしたとしても、ユーザは他のタブを終了することなく、そのタブを閉じることができる。
   MicrosoftのInternet Explorerのモダン バージョン(IE 10、11)には、特別なsandboxingテクノロジが存在する。これは「拡張保護モード(EPM)」と呼ばれる。このモードは、あなたにプロセスタブやプラグインの行動を制限することを可能にしている。それ故、攻撃者にとって脆弱性攻撃は、より困難になっている。


    Figure_4: Internet Explorer(IE 10以降で利用可能)設定中で「拡張保護モードを有効にする」にチェックを入れる。MS13-088適用前のWindows 8上のIE 11では、DefaultでONになっていた。

 EPMはWindows 8用にアップグレードされた。あなたがWindows 7 64ビット上でIntrnet ExploreをEPMをOFFで稼働している場合、ブラウザタブはDefaultで、32ビット プロセスとして稼働している。Windows 7 64ビットでEPMを使用している場合には、この機能はブラウザタブを64ビット プロセスとして稼働する。Defaultで、EPMはOFFになっていることに注意しなさい。


    Figure_5: Windows 7 64ビットでのEPMのデモンストレーション(Microsoftのプロセスエクスプローラ使用)

 このオプションをONにすることで、ブラウザタブのプロセスは64ビットとして動作するので、悪意あるコードをインストールすることに使用することが困難になる(heap-spray攻撃に関しては、少なくとも大変難しくなる)。
 Windows 8の開始にあたり、拡張保護モード(EPM)は、オペレーティングシステム レベルでプロセスの行動を分離(sandbox)するために拡張された。このテクノロジは"AppContainer"と呼ばれ、EPMオプションを使用することで最大限の便益を可能にする。EPMオプションを有効にしているInternet Explorerタブ プロセスはAppContainerモードで動作する。更に、Windows 8のEPMモードはDefaultで有効になっている(IE 11)。


    Figure_6: Windows 8でのEPMの実装。Windows 7 64ビットでは、緩和のためにEPMはAppContainerの代わりに64ビット プロセスを使用している

 MS13-088アプデート(Internet Explorer用の累積的セキュリティアップデート、2013年11月12日)を含んでいたMicrosoftの2013年11月のパッチ以前は、MicrosoftはWindows 8上で稼働するIE 11に関してDefaultでEPMをサポートしていたことに注意しなさい。しかし、このアップデートは、Defaultの設定としてIE 11のEPMを無効化する。そこで、あなたがIEの詳細設定を初期状態にリセットしたなら、EPMはDefaultでOFFになる。
 Internet Explorer同様、Google Chromeはドライブ バイ ダウンロード攻撃を緩和するための特別な機能を持っている。しかし、Internet Explorerとは異なり、Chrome用のsandboxモードは常にアクティブであり、sandboxモードを起動するためにユーザーに何ら追加行動を要求しない。Chromeのこの機能は、タブ プロセスが、様々なシステムアクションの実行を許可しない制限付き権限で動作していることを意味している。


    Figure_7: Google Chromeで実装したSandboxモード

 システムへのアクセスを制限しているために、アクセストークン中の殆ど全てのユーザSID(【訳注】Security Identifierの略、セキュリティ識別子)グループは"Deny(拒否)"に設定されていることに気が付きなさい。詳細な情報に関してはMSDN上に発見することができる。
 このモードに追加して、Google Chromeは悪意ある行為のためにGoogleによってブラックリストに登録されている悪意あるURL(アドレスもしくはWebサイト)をブロックすることができる(Googleセーフ ブラウジング)。この機能はInternet ExplorerのSmartScreenに類似のものである。


    Figure_8: 悪意あるWebページをブロックするGoogle Chrome中のGoogleセーフ ブラウジング

 あなたがWindows上でJavaを使用しているのなら、コントロールパネルのアップレットを使用してJavaのセキュリティ設定を変更することができる。加えて、Javaの最新のバージョンは、あなたがより厳しい環境(信頼されたアプリケーションのみ稼働することを可能にする)を構築することを可能にするセキュリティ設定を含んでいる。


    Figure_9: Javaアップデート用のオプション。通知=ダウンロード前、アップデートを自動的にチェック=チェック が設定されている

 システム中で使用される全てのブラウザでJavaを完全に無効にするには、Javaの設定で「ブラウザでJavaコンテンツを有効にする」オプションのチェックを外す。


    Figure_10: 全てのブラウザでJavaの使用を無効にするJavaの設定。

EMET

 Microsoftは、ユーザが、脆弱性攻撃で使用される悪意あるアクションからオペレーティングシステムを保護することを支援するフリーのツールをリリースした。


    Figure_11: EMETのインターフェース。

 Enhanced Mitigation Experience Toolkit(EMET)は、特有な脆弱性攻撃の様々なアクションをブロックしたり、攻撃からアプリケーションを保護するための予防法を使用する。Windows 7と8が、DEPやASLRのオプション(これらはDefaultで有効になっており、脆弱性攻撃の緩和を目的にしている)を持っているにも拘わらず、EMETは脆弱性攻撃をブロックするための新しい機能の導入と、特化されたプロセス用のDEPやASLRを有効にする(Windowsの古いバージョンにおけるシステム保護の向上)ことを可能にしている。
 このツールは、各アプリケーション毎に設定されなければならない。換言すれば、このツールを使用してアプリケーションを保護するには、そのリストに特定のアプリケーションを含ませる必要がある。更に、そこにはEMETがDefaultで有効にしているアプリケーションのリストがある。例えば、ブラウザInternet Explorer、Java、Microsoft Office。あなたのお気に入りのブラウザやSkypeを、このリストに追加することは賢明なことである。

オペレーティングシステム アップデート

 緊急の脆弱性を解決するために、ベンダは恒常的にパッチやアップデートを提供しているので、オペレーティングシステムやインストールされているソフトウェアを即座にアップデートしたりパッチを当てることは、優れた行為である。
 Windows 7と8は、Defaultでユーザにアップデートを自動的に配布する機能を持っていることに注意しなさい。あなたはまた、以下に示すようにWindowsのコントロールパネルからアップデートに関してチェックすることができる。



    Figure_12: Windowsアップデート。【訳注】上図では、「アップデートを自動的にインストールする(推奨)」が設定されています

包括的脆弱性攻撃ブロッキング

 今迄、我々はオペレーティングシステムや、あなたが使用しているアプリケーション特有の脆弱性攻撃ブロッキングに着目してきた。あなたはまた、包括的な脆弱性攻撃のブロッキングに着目したいかもしれない。あなたは、この目的のためにセキュリティソフトウェアに頼ることができる。例えば、ESETは、自身のアンチマルウェア プログラムESET Smart SecurityとESET NOD32アンチウィルスの第7世代でExploit Blockerと呼ばれる機能を導入した。Exploit Blockerは、使用されている特定の脆弱性が何であれ、疑わしいプログラムの挙動を解析し、一般的脆弱性攻撃の兆候を検出することによって動作する事前予防型(プロアクティブ)メカニズムである。


    Figure_1: HIPS設定でESET Exploit BlockerオプションをONにした図。

結論

 広範に使用されているあらゆるオペレーティングシステムやプログラムは、不正目的や金銭の取得を目的として脆弱性攻撃を行う攻撃者によって研究されるだろう。我々が上述したように、Adobe、Google、Microsoftは、彼らのソフトウェアに対するこの種の攻撃をより困難にするための措置を採った。しかしながら、確固たる敵対者に対して100%効果のある単一の防御技術は存在しない、そして、ユーザはオペレーティングシステムとアプリケーションにパッチして用心深くあらねばならない。幾つかのベンダは月毎に、もしくは、それよりもっと頻繁に、彼らのソフトウェアをアップデートしているが、脆弱性攻撃をブロックするアンチマルウェア ソフトウェアを使用すること(そして、アップデートを維持すること)は重要である。

CryptoLockerを模倣した身代金要求ソフト(ランサムウェア)に関する警告、ただし、解毒可能
The Register : Security (2013/12/13)
 悪魔のようなCryptoLockerを追跡するのに躍起になっている間に、身代金を要求するために犠牲者のファイルを保持するCryptoLockerを模倣したソフトウェアが出現した。しかし、この新参者の暗号化は複合することが可能であると、我々は告げられている。
 設立したばかりのセキュリティ企業IntelCrawlerは、今月初めに始まったLockerとも呼ばれる新しいマルウェアが「広範に拡散されている」と主張している。
 LockerがPCに感染すると、Lockerは、犠牲者のドキュメントを ".perfect" 拡張子を付けてコピーし暗号化する。次に、オリジナルのデータを削除する。このトロイは、各ディレクトリにこのマルウェア作者の連絡先の詳細(通常、使い捨て携帯電話の番号、もしくは、E-Mailアドレス)を含むcontact.txtファイルもまた配置する。
 犠牲者が恐喝者を悩ましたり脅したりしたなら、ファイルを解錠する復号化キーは削除されるだろうと警告されている。これは、このスカムの背後にいる極悪人共の考えを露わにしている。
 IntelCrawlerは、このコンタクト ファイルにリストされている犯罪者に接触した。そして、Lockerに感染したマシンの情報を復元するために必要とされる復号化キーを受け取るためにPerfect MoneyもしくはQIWI VISA Virtual Card番号に対して$150(15000円)支払う必要があるだろうと告げられている。
 復号化のために、あなたは“contact.txt”ファイル中に記述されている同定用コード、並びに、改竄されたコンピュータのホスト名を提供する必要がある。
 IntelCrawlerによれば、「これは、ハッカーが犠牲者のホスト名と感染させたユーザのIPアドレスのリストを単に比較しているだけであるかのように思える」。
 指揮統制サーバのネットワークを使用して彼らのスパムを稼働し、身代金を取得するためのデータを保持する(マスターキーは、この犯罪者達のサーバに保持されている)ために256-bit AESと2048-bit RSA暗号化を組み合わせて使用しているCryptoLockerのクルーに比較すれば、Lockerはズブの素人作品である。
 しかし、あまり先進的ではない設計であるにも拘わらず、Lockerはアメリカ(我々は、ワシントンDC, テキサス州, ミズーリ州、更に、オランダ、トルコ、ドイツ、ロシアを含んでいると告げられている)のWindowsコンピュータを既に攻撃している。嘘偽りなく、可能な限り長く補足されずに、このマルウェアが滞在することを目的として、Lockerはセキュリティ研究者によって使用されるツールを稼働しているマシンへの感染を回避しているとも、我々は告げられている。
 この汚らわしいソフトウェアは、改竄されたWebサイトからドライブバイダウンロードによって殆どは拡散している。MP3ファイルに成り済ましている実行可能ファイルは、感染のもう一つの媒体である。
 このLockerマルウェアはTurboPower LockBox library(Delphi用の暗号化ツールキット)を使用している。特に、このマルウェアは、感染したデバイス上のファイルの内容を暗号化するためにAES-CTRを使用している。しかし、このプログラミングの欠点は、改竄されたコンピュータ上のファイルを解読する能力のある合鍵を、明らかに研究者が開発する可能性があるものである。IntelCrawlerの研究者は、全員に共通する解毒剤を開発中である。
 「我々は復号化の方法と、全ての感染を復号化するための万能の文字列キーを発見した」と、IntelClawlerの最高経営責任者Andrey Komarovは、The Registerに告げた。
 Komarovは、アンチウィルスソフトによってこのマルウェアを検出することは可能性が低いと追加している。木曜日の夜の時点で、この病原菌の検出が可能なのはAviraだけである。

GMailの新しい機能: 画像の自動表示に対する懸念
WEBSENSE : Security Labs Blog (2013/12/13)
 GoogleがE-Mailをクリックした時、画像を自動的に表示するようにGMailをアップデートしたことを聞いているだろうか?
 我々の研究者仲間の考えを鸚鵡返しすると、我々は、この決定に付随する幾つかの気が気でないリスクを確認している。マルウェアの視点からすると、画像は悪意を実行する媒体になることができる(此処に最近の例がある)。更に、攻撃テレメトリは、脅威を作成している産業における基軸通貨である。アクティブなのはどのアカウントか、クリックしがちなのはどのユーザか、どのようにすれば特定のソーシャルエンジニアリングを欺けるのか、ということを攻撃者が知れば知る程、攻撃者達は、このようなユーザを目標とし、最終的に彼らが加入している人々をターゲットにして巨大なデータの抽出を目標とすることで、より成功するだろう。攻撃者は今、彼らのE-Mailルアー(疑似餌)中に無害の画像(最初は、くだらないもの)を挿入することによって、ユーザが彼らのE-Mailをクリックした時、彼らのインフラストラクチャに戻ってくるトラフィックを観察することによって、自動的にそのテレメトリを取得することができる。
 我々は、この媒体に対する脆弱性攻撃を監視し続けるだろう。その一方で、あなたが追加されたセキュリティ リスクに関する欲求があまりないのであれば(【訳注】 GMailの自動画像表示に対する欲求が少ないのであれば)、この機能を無効にすることを考慮しなさい。

 【訳注】 GMailの画像の自動表示サービスに関しては、朝日新聞Digital上に、CBS Interactive発の記事を朝日インタラクティブが日本向けに編集した記事が掲載されています。

Adobeがセキュリティ アップデートをリリース、CVE-2013-5331等を修正
Kaspersky : SecureList (2013/12/10)
 今月AdobeはFlash PlayerとShockwaveの両方に関して修正をしている。
 Flash Playerの脆弱性は、全てのプラットフォームが影響を受け、2つのCVE(共にリモートコード実行を可能にしているCVE-2013-5331とCVE-2013-5332)に関連している。メカニズムの手段としてMicrosoft Wordを使用するCVE-2013-5331の脆弱性攻撃は、オンライン上で確認されている。けれども、Flash 11.6は、Office用にClick-to-Playを導入しているので、ユーザは、依然としてOfficeドキュメント中のFlashコンテンツ中で別人に成り済まして詐欺を働かれる可能性がある。このパッチを必ず適切に適用しなさい。
 もう一つのセキュリティブレチンは、Shockwave Playerに影響を与えるものである。このアップデートは、CVE-2013-5333とCVE-2013-5334を使用している。この2つの脆弱性は、共にリモートコード実行を可能にしているので、最大の優先度があるものとして評価されている。
 攻撃者は、パッチの数が少ないので、人々がパッチの適用を休日の後まで待ってくれることを希望している。今、適用しなさい。

研究室から: 新しいPlugXマルウェアの変種が日本に狙いを定めている
Sophos : NakedSecurity (2013/12/04)
 我々はNakedSecurityで以前PlugXマルウェアについて記述した(SophosLabsの主席研究員Gabor Szappanos (Szappi)の二通の技術レポートに謝意を表す)。
 Szappiは、5月にリリースされたPlugX バージョン6と、7月にリリースされたその従兄弟にあたるSmoalerの彼の解析において、この興味をそそるマルウェアファミリーの内部の様相を提示した。
 これらのマルウェアサンプルにおいて使用されている興味ある戦術は以下を含んでいる:

    ・ それらは信頼性がありそうなE-Mailで拡散される
    ・ このメールはブービートラップ添付ファイルを含んでいる
    ・ この添付ファイルはMicrosoft WordがRTFファイルを操作している時の脆弱性を攻撃する
    ・ この添付ファイルはチベットに関する政治的テーマを持っている
    ・ このマルウェアは、段階を経てそれ自身を解凍する
    ・ このマルウェアはロードされ、オペレーティングシステム プログラムローダを迂回して、独自のペイロード(【訳注】payloadは軍事用語で、一発のミサイルが搭載できる爆発物の総量という意味があります。マルウェアの場合は「悪意の総体」位の意味です)たる実行ファイルを起動する
    ・ このマルウェアは、感染を開始に使用される、デジタル署名された正当なアプリケーションを付属してくる
    ・ この正当なアプリケーションは、巧みに操られて悪意あるDLLをロードする
    ・ 最後のペイロードは、詐欺師が遠隔からこのマルウェアへの指示を与えることを可能にするバックドアを開く

PlugXを再検討する

 現在、SzappiとシドニーのSophosLabsの彼の仲間の研究者Xinran Wuは、PlugXファミリーの、もう一つの例になる物を探していた。
 彼らは類似点と相違点の奇妙な混合物に遭遇した。
 この特別な脅威は、未だ広く拡散しているわけではない。我々は、インターネットから、配信されたE-Mailと一緒に、他のソースからの少数のサンプルを追加した一つのレポートだけを直接取得したに過ぎない。
 それ故、我々が未だ認識していないことは、PlugXマルウェアの作者が、新しい目標に向かって実践しているのか、新しいマルウェアを実験しているのか、今日感染の足場を得ることが益々困難になっていることを見出しているのか(これを我々は希望するが)どうかということである。
 この攻撃中の主な相違点は以下である。

    ・ このマルウェアは日本を標的にしている
    ・ チベットのテーマは、管理者のテーマに置き換えられている
    ・ このマルウェアはMS-Wordではなく、日本人に人気のあるワードプロセッサの一太郎中の脆弱性を攻撃する

 多くの類似性もまた存在している。

    ・ このマルウェアは、オペレーティングシステム プログラムローダを迂回するために、それ独自の圧縮されたペイロードたる実行可能ファイルをロードし、起動する
    ・ このマルウェアは、デジタル署名された正当なアプリケーションを付属してくる
    ・ この正当なアプリケーションは、巧みに操られて悪意あるDLLをロードする
    ・ 最後のペイロードは、詐欺師が遠隔からこのマルウェアへの指示を与えることを可能にするバックドアを開く

このマルウェアは、どのようにして到着するのか

 このマルウェアはE-Mailに付属するブービートラップされた添付ファイル中で到着する。
 このE-Mailは、以下のようなものである。

 この.JTD拡張子は一太郎のドキュメントファイルで使用される。
 我々は、この攻撃の動作方法や、この攻撃を軽減する方法に関する正確な詳細を告げることができない(我々は、このマルウェアが起動する一太郎の環境を構築することができなかった)が、我々は、全ての一太郎ユーザが製造元のJustsystem(ジャストシステム)からの最新のセキュリティ ブレチン(【訳注】 2013/11/12公開分、以降アップデートされていない)を考察することを推奨する。
 このブレチンは、脆弱性CVE-2013-5990に対する脆弱性攻撃を行うブービートラップされたファイルから、あなたを保護するための最近のパッチについて詳述している。

 このドキュメント中のシェルコードは、このマルウェアの次の段階を展開するので、この攻撃が実行することをシミュレートすることによって、我々は、次に発生することを予測することができる。

このマルウェアがロードする方法

 3つのファイルを含むWinRAR自己解凍ファイルは、ディスクに書き込まれ、起動させられる。

 このSelf-Extractorはコントロールを、アンチウィルス ベンダKasperskyにより2011年度のデジタル署名されているアプリケーションであるstarter.exeに引き渡す。

 このKasperskyのコンポーネントは、splash_screen.dllと呼ばれるDLLをロードするように設計されているが、このDLLは、ディスク上の特定のディレクトリからロードされるように強制されていない。
 そこで、Windows PATH(現在のディレクトリを含む)中の何処かに、その名前を詐称するDLLが存在すると、この詐称しているDLLが、本物のDLLの代わりに起動される。

     これは脆弱性をロードする危険なライブラリとして知られており、そのDLLが単に名前だけを必要とすると表明しているあらゆるプログラムに対して脆弱性攻撃ができる。例えば、C:\SPECIFIC\MY.DLLのようにパスとファイル名を明確に使用する代わりにMY.DLLのように。プログラマへの警告: LoadLibrary()関数をコールする時は、必ず明確にDLLファイル名を指定しなさい。

 この詐称しているDLLは、ペイロードたるファイル(splash_screen.dll.sp1)を読み込み、解凍し、ロードする。
 此処に、詐称しているDLL中のコード中で、システムライブラリNTDLL中のWindows関数RtlDecompressBuffer()をコールする記述ががある。

 最軽度のアンチ解析トリック(分析を妨害するためのトリック)として、解凍されたデータは、完全ではないものの殆ど適切なWindows DLLファイルになっている。
 以下のダイアグラム中の2つのXVインスタンスは、夫々MZとPEであると思われる。MZは、このファイルがMicrosoftフォーマットの実行プログラムであることを意味し、PEは、それがPortable Executable(【訳注】 Windowsのローダが認識してくれる実行可能ファイルの主流フォーマット)もしくは、Windowsプログラムであることを意味している。

 MZとPEが無いことは、この詐称しているDLLとは無関係であり、このDLLが解凍プログラムをロードするためにWindowsに依存していないということである。
 代わりに、この詐称しているDLLは、このsplash_screen.dll.sp1ペイロード プログラムを適切にメモリ中に適用する独自のプログラムローダーを含んでいる。そして、次にそれに加わる。
 解凍されたペイロードを適用している間に、詐称しているDLLは、上に示したヘッダー情報を使用するが、このローダーはペイロードプログラムに何時でも参加できるので、このヘッダー情報は不必要である。
 そこで、この詐称しているDLLは、ペイロードに制御を渡す前に、ペイロードヘッダを上書きする。
 これは、マルウエア解析者が、即座に意味をなす形式でメモリからMicrosoftの公式のWindowsデバッグツールに、稼働しているペイロードプログラムを簡単にダンプすることを妨げる。
 もう一度、これは軽いアンチ解析トリックとして挙動している。

     実際には、RtlDecompressBuffer()関数の上述のコールの後、即座に詐称しているDLLを一時停止するためにデバッガを使用し、消し去られる前に関連するヘッダー データをダンプすることで、この種の解析妨害をバイパスできる。

このマルウェアの動作方法

 このペイロードプログラムがメモリ中にロードされ、使用される準備が整うと、詐称しているDLLは、それに参加する。
 このペイロードは、次に実行することを指示してもらうために、サーバー www DOT mofamails DOT com に接続する。
 多くのボットやバックドア同様に、これは感染したコンピュータ上の大変一般的な制御(以下の機能を含む)を侵入者に与える。

    ・ 起動中のプロセスとモジュール情報を収集する
    ・ システムサービスを起動し手を加える
    ・ プロセスの起動と停止
    ・ ファイルの作成と削除
    ・ レジストリを巧みに取り扱う
    ・ 詳細なシステム情報の不法な取得
    ・ キー操作をログする
    ・ スクリーンショットを取得する
    ・ ネットワーク リソースと接続の監視

我々が学習できること

 この攻撃で沸き上がってくる明らかな疑問は、何故、日本なのか? 何故、一太郎なのか? である。
 一つの答えは、「我々は分からない」である。
 もう一つの答えは、残念ながら、「ナンデやろ?」である。
 我々が告げることができる範囲では、PlugX製作者達は、一太郎の脆弱性を入手した。それにより、彼らが今まで到達できていなかった犠牲者を攻撃する方法を入手したので、彼らはそれを試すことを決定した。
 これが我々に思い出させることは、我々が脆弱性と脆弱性攻撃に起因するあらゆる潜在的リスクを持っており、それは、市場で支配的なオペレーティングシステムと製品を使用している我々だけではないということである(アップル OS Xユーザは気をつけなさい)。
 簡潔に:

    ・ それが如何に信頼できそうなものであろうとも、あなたが予期していない添付ファイルを開くことは回避しなさい
    ・ あなたが使用している全てのソフトウェア中の既知の脆弱性に対するパッチを必ず適用しなさい
    ・ オンアクセス(リアルタイム)ウィルススキャナを使用し、それをアップデートしていることを確実にしなさい

ZeuSが今、アンチウィルスアップデートとしてパックされた
Kaspersky : SecureList (2013/12/04)
 先週、Kaspersky Labは、ITセキュリティ プロバイダを名乗るマスメーリングされているフィッシング レターを同定した。我々が検出したメッセージは、Kaspersky Lab, McAfee, ESET NOD32等に属する製品名とサービス名を使用していた。
 各レターのテキストと一般的なレイアウトは、同じテンプレートに従っていた。違うところと言えば、そのテキスト中で述べられている送信者名とITセキュリティ ソリューションであった。それらのメッセージ中で、サイバー犯罪者は、おそらくWebを荒廃させる新しいマルウェアに対する防御を保障するために、読者が使用しているセキュリティソフトウェア用の重要なセキュリティ アップデートをインストールするように勧誘している。それを実行するには、ユーザは添付されているZIPアーカイブを開き、その中にある実行ファイルを起動することを必要とするだけである。予想通り、この製作者は、この突然の緊急書簡の背後に存在するかもしれない者について考える時間を費やすより、即座に行動することを犠牲者に促している。


    フィッシングメールの一つ

 しかしながら、添付されているファイルの名前でさえ、ユーザのために警鐘を鳴らすべきである(明らかに恣意的に発生させられていることを意味する、あまりに多くの数字)。


 実際のところ、添付されているアーカイブ中には悪意あるプログラムが存在する(Kaspersky Labの製品は、これをTrojan-Spy.Win32.Zbot.qsjmとして検出する)。このトロイは著名なZeuSファミリーに属しており、公開されていないユーザ情報(犯罪者にとって望ましくは、銀行と金融データ)を盗むように設計されている。このマルウェアを使用すると、サイバー犯罪者は、ログイン認証やセキュリティコードのような認証データを盗むために、それらの中に悪意あるスクリプトを植え付けることで銀行サイトの内容を改竄できる。これらの目的のために、Trojan-Spy.Win32.Zbot.qsjmは、スクリーンショットを撮ったり、ビデオ キャプチャしたり、キーボード入力の横取り等が可能になっている。更に、このトロイは、コマンドと設定ファイルを受け取るための予め定められたC&C(【訳注】マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのこと)にアクセスするのではなく、他の感染させられたコンピュータからこのデータを受け取るためにP2Pプロトコルを使用していることが注目に値する。
 以下に悪意ある添付ファイルを含むメッセージの例の幾つかを示す。全て我々が発見したメーリングリストから取得している。











 このメッセージの件名は同じテンプレートを使用しているが、このサイバー犯罪者はその中でセキュリティ製品の名前を変更している。このメッセージは、犠牲者のコンピュータが悪意あるプログラムに感染させられ、ボットネットの一部になった後に、明らかにハイジャックされた現実のユーザのメールボックスに送信されている。
 この事件の後、著名なITセキュリティ企業がE-Mailアドレスに、ZIP圧縮された添付ファイル中に彼らの製品のセキュリティ アップデートを送信してくることは無いということを思い出してほしい。更に、我々は、あなたがそれを予期しており送信者が誰か認識している場合を除いて、E-Mailに添付されている如何なるファイルも開くことを推奨しない。

D-Linkルータ、重要なセキュリティ アップデート
Krebs On Security : Blog (2013/12/02)
 D-Link(【訳注】台湾を本拠とする会社、日本にもディーリンクジャパンが存在する)は、幾つかの古いインターネット ルータに関する重要なセキュリティ アップデートをリリースした。このパッチは、攻撃者が脆弱性のあるルータを介して遠隔からの制御を掴む可能性のある、このデバイス中のバックドアを閉じるものである。


    D-Link製ルータ DI-524

 このアップデートは、研究者Craig Heffnerが、少なくともD-Link製ルータの8つの異なるモデル中に搭載されている特徴やバグ、即ち、攻撃者が管理者としてログインし、ルータの設定を変更することを可能にすることを発見しブログした後、凡そ7週間かかっている。影響を受けるルータのモデルは大変古いものであるが、殆ど間違いなく依然として動作中の多くのD-Link製ルータがある。ルータは、動作を停止した場合を除き、稀に交換されたりアプデートされたりするものの、それを設定したら忘れられてしまうデバイスの傾向がある。
 Heffnerによれば、脆弱性のあるルータを同定した攻撃者は、ブラウザのユーザ エージェント文字列を“xmlset_roodkcableoj28840ybtide”に設定する必要があるだけである。そこで、その攻撃者は、何らの認証なしに、そのルータの管理者インターフェースにログインできる。Heffnerは、攻撃者が脆弱性のあるデバイスに任意のコードをアップロードするために、このバグを使用する方法を説明する「脆弱性の証明」を付けて、彼のブログを最近アップデートした。
 11月28日、この問題を修正する一連のアップデートをD-Linkはリリースした。このアップデート群は、以下のモデルで利用可能である。

    DI-524
    DI-524UP
    DIR-100
    DIR-120

 Heffnerは彼の研究に基づいて、幾つかのD-Linkルータの他のバージョン(DIR-624S, DI-604S, DI-604UP, DI-604+, TM-G5240を含む)にも脆弱性がある可能性があると、発言している。しかしながら、これらのモデルに関するアップデートは、D-Linkによってリリースされていない。
 このバックドアが何故、どのようにしてD-Linkルータに入り込んだのかハッキリしないが、Heffnerは、仲間の研究者Travis Goodspeedによる暗示が一つの適切な説明になっていると発言している。「私の推測は、幾つかのプログラム/サービス(ダイナミックDNSのような)が、自動的にそのデバイスの設定を変更することが可能であることが必要なことに、この開発者達が気がついたということである。このWebサーバが、この設定を変更するための全てのコードを既に持っていることに気づいたので、彼らが何かを変更する必要がある時は常に、彼らはWebサーバにリクエストを送信するだけだと確信した。唯一の問題は、このWebサーバがエンドユーザが変更できるユーザ名とパスワードを要求することである」と、彼は記述している。
 インターネットルータをアップデートすることはトリッキーであり、これを実行することは大変な注意を要する。詳細な説明/アップデートの指示に従っている時に、誤ったクリックや失敗をすると、即座にルータを特大サイズのペーパーウェイトに変換することになる。通常、ルータ ファームウェアをアップデートする時、私は人々をその製造メーカーのファームウェアから遠ざけて代替物(DD-WRTTomatoのようなオープンソースの代替物)の方に導く傾向にある。殆どの在庫品ルータのファームウェアは、恐ろしく不細工で貧弱(あるいは、この記事での論議のような未公開の「特徴」を含む)である。私は、DD-WRTが何から何までいろいろなものを搭載しており、あなたが曾てルータのファームウェアに望んだオプションを搭載しているので、DD-WRTを長きに渡り信頼しているが、DD-WRTは一般的に、このような特徴をDefaultではOFFにしている。ただし、あなたが、それらをONに切り替えた場合を除く。
 残念ながら、上述のリストされているモデルは、どのファームウェアにも互換しないようである。また、これらルータの幾つかは、あまりに古いので、より安全なワイアレス暗号化プロトコル(WPA-2のような)をサポートしていない。他のルータでは、Internet Explorerを使用してルータを管理することをユーザに要求することがあるかもしれない(Macユーザ用のオプションも大差ない)。
 このような理由から、私は脆弱性あるルータを持つ者は皆、新しいデバイスに切り替えることを考慮するよう提案する。ASUS、Buffalow、Linksysは、DD-WRTTomatoと幅広く互換する多くのルータを作成しているが、あなたが新しいルータを購入する前に、夫々の互換性をチェックしたいなら、この文章中のリンクのページを参照しなさい。

Microsoft、インターネット上で攻撃されているXPカーネルの0-Dayの脆弱性を警告
Sophos : NakedSecurity (2013/11/28)
 Microsoftは、Windows XPカーネル中の0-Dayの脆弱性に関する警告を公開した。
 一見して、(CVE-2013-5065と名付けられた)このバグは、インターネット上で攻撃されているが、どんな方法で、何処で、誰によって、どのような効果があるのかの詳細は分かっていない。
 これは、明らかに、どのように反応するのかという決定をすることをむしろ困難にしているが、此処に我々が今までに認識していることがある。このバグは、NDPROXY.SYSドライバ中に存在している。そして、このドライバはMicrosoftのTelephony API (TAPI)の操作に連動している。

     ・ この脆弱性攻撃は、それ独自でのリモートコード実行は可能ではなく、唯一特権の昇格(EoP)を行う。
     ・ この脆弱性はWindows XPとServer 2003中にのみ存在する。
     ・ 公式のパッチやFixitは未だにリリースされていない。
     ・ 単純なレジストリの調整は、この脆弱性に対するXPコンピュータに免疫を与える。
     ・ レジストリの調整は認識しておく必要のある幾つかの副作用を持っている。

 EoPのセキュリティホールが遠隔の攻撃者によって直接脆弱性攻撃が可能でない場合でも、サイバー犯罪者はEoPと従来型の脆弱性攻撃(あなたのブラウザや他のコンテンツ描画ソフトウェアに対するドライブ-バイ マルウェア攻撃)を結合することができる。
 リモートコード実行や特権の昇格を含む様々な脆弱性のタイプについて学ぼう。

【訳注】お断り: 此処にサウンドファイルがありますが、英語ということもあり省略します。お聞きになりたい方は、以下のリンクから記事元を参照してください。
http://nakedsecurity.sophos.com/2013/11/28/microsoft-warns-of-zero-day-xp-kernel-bug-being-exploited-in-the-wild/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29

 ドライブバイにEoPを追加すると、その攻撃は、ブラウザ(もしくは、PDFリーダー、Flashプレーヤ、Javaランタイム等)を所有するユーザの特権にもはや制限されないことを意味する。
 ネットワークセキュリティ企業FireEyeによると、この攻撃で発生していることは、Adobe Readerの未パッチのバージョンに対するPDFベースの攻撃と確認したと発言している。
 そして、これはEoPの最悪の種類である。これは、あなたを通常ユーザから管理者に昇格させ無いが、それを超えたことをしている。
 Microsoftによると、「この脆弱性攻撃に成功した攻撃者は、カーネルモードで任意のコードを実行できる。攻撃者は次に、プログラムをインストールでき、データを閲覧・変更・削除でき、完全な管理者権限で新しいアカウントを作成できる。」
 カーネルモードで実行することは、管理者の管理者であることに似ている。

何をすべきか

 最高の解決策はXPを離れ、WindowsのXP以降のバージョンに移行することである。
 我々は皆、それを既に実行しているはずであり、明らかに、我々は2014年4月までに、それを実行しなければならないということを認識しているが、我々はまた、全ての人が2014年までに、それを実行することができないだろうということもまた認識している。今まさに、この問題を修正するための対応をしなければならいことは言うまでもない。
 XPの終了を解決することに関するアドバイスを得る。

【訳注】お断り: 此処にサウンドファイルがありますが、英語ということもあり省略します。お聞きになりたい方は、以下のリンクから記事元を参照してください。2つ目のサウンドファイルです。
http://nakedsecurity.sophos.com/2013/11/28/microsoft-warns-of-zero-day-xp-kernel-bug-being-exploited-in-the-wild/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29

 あなたがXPに固執するのであれば、Microsoftの暫定的解決方法を使用することができるかもしれない。これはバグの多いNDPROXY.SYSドライバをロードすることを妨げる。
 Windowsドライバ キャッシュは、役に立つように、あなたに代わってこのファイルをリストアするので、このファイルを単純に削除してはならない(とにかく、ファイルの削除は永久的なので、それが上手く行かない場合は、却って面倒になる)。
 Microsoftの上手いプランは、不都合なNDPROXY.SYS実行ファイルの代わりに、NULL.SYS(特別な機能のないドライバ)をロードしようというものであり、これを実行するためには、レジストリを調整してNDProxyドライバを設定する必要がある。

 あなたは以下のレジストリエントリを変更する(存在していないのであれば、作成する)必要がある。

    キー: HKLM\SYSTEM\CurrentControlSet\Services\NDProxy
    値の名前: ImagePath
    種類: REG_EXPAND_SZ
    設定するデータ: system32\DRIVERS\null.sys

 再起動すると、あなたはEoP脆弱性攻撃に対する免疫を持つだろう。
 もちろん、この種のハックは負担をもたらす。NDProxyサービスはもはや動作しない。それ故、TAPIに依存するあらゆることが、どれも動作しなくなる。
 それは、あなたは予期しているかもしれないダイヤルアップ・ネットワークとRAS(【訳注】 電話回線やISDN回線などを通じて遠隔地のコンピュータにダイヤルアップ接続し、そのコンピュータの資源を利用するWindowsの機能)を含んでいる、そして、あなたが予期していないかもしれないMicrosoftのVirtual Private Network (VPN)ソフトウェアも含んでいる。

    あなたが非Microsoft VPN(Sophos UTM製品によって提供されているSSLやIPSECを基にしたオプションのようなもの)を使用してMicrosoftのサーバに接続中であるのなら、貴方自身をVPNから締め出すことなくNDProxyサービスを無効化することが可能なはずである。しかし、最初に必ずテストしなさい。もし問題が発生したら、上述のImagePathレジストリキーをsystem32\DRIVERS\ndproxy.sysに戻すことによって変更を簡単に元に戻すことができる。

 あなたのMicrosoft以外のアプリケーションをパッチすることを忘れないようにしなさい。
 当然のことながら、他のソフトウェアにパッチを当てたところで、XPカーネルのセキュリティホールが修正されるわけではない。しかし、我々が、今迄に、このEoPを使用して現実世界の攻撃で唯一聞いていることは、Adobe Reader中のバグに依存しているということである。
 我々が認識している限り、Adobe Readerの脆弱性は0−Dayではないので、あなたが迅速にパッチしているのであれば、あなたは既に、それに対して保護されているはずである。
 最後に、健全であると分かっているソースから来ているものではないPDFのようなファイルを開く時は注意しなさい。
 FireEyeは、調査した攻撃がE-Mailによって配布されている、もしくはWebを経由して配布されているか否か発言していないが、いずれにせよ、ちょっとした注意は、大変効果がある。

Evernote社は特定のユーザにパスワードの変更を求めている(Adobeの大失敗に起因して…)
Graham Cluley : News (2013/11/25)
 丁度その前のFacebookのように、EvernoteはAdobeの最近の巨大な情報漏洩によって暴露された数百万のE-Mailアドレスとパスワードのリストを探しまわっていた。
 そして、Evernoteは、Adobeの暴露されたデータベース中のE-Mailアドレスが、Evernoteユーザに属しているE-Mailアドレスと一致することを発見すると、彼らのEvernoteパスワードを変更することが賢明であるか否かに関わらず、長く強固なパスワードにするように告げるメッセージを送信している。
 此処にEvernoteユーザに送信されるメッセージの例がある。彼らの詳細はAdobeの情報漏洩されたデータベース中に発見されている。

     個人情報(Adobeパスワード、E-Mailアドレス、数百万のユーザのパスワードのヒントを含む)が暴露された可能性のある、最近のAdobeにおける情報漏洩のレポートが公開された。情報漏洩されたAdobeアカウントがWebにアップロードされていた。我々はこれを我々のユーザのE-Mailアドレスと比較した。そして、あなたがEvernoteアカウントを登録するために使用したE-Mailアドレスが、暴露されたAdobeアカウントのリストに存在していることを発見した。
     Evernoteは改竄されていないし、この事故に相互に関連してもいないが、あなたがAdobeとEvernote用に同じパスワードを使用しているのであれば、今Evernoteパスワードを変更すべきである。

 私は、これはEvernoteからの賢明で、合理的で、積極的なアドバイスであると考える。そして、私は複数の場所で同じパスワードを使用しているインターネットサーファーの現在進行形の問題にEvernoteが立ち向かったことを確認して嬉しく思う。
 結局、Adobeがハックされ、顧客データを安全に保持していなかったことはEvernoteの失敗ではない。そして、依然として ー 潜在的に ー ユーザーがAdobeとEvernoteの両方で同じパスワード(多くの人々が、全てにおいて'123456'や'password'のような呆れる程ダメなパスワードを使用しているようである)を持ち続けるなら、次には、彼らのEvernoteアカウントはハックされるかもしれない。
 気分をスッキリさせることは、Evernoteが率直に言っていること(ハックされたのがAdobeであると伝えることができて本当に楽しい)である。
 そして、私は二要素認証オプション(アカウントセキュリティのより高いレベルを提供できる)についてEvernoteがユーザに思い出させていることに更に喜びを感じる。
 しかし、私が耽溺したEvernoteファンであり、ノート・テーキング・サービスが正しくセキュリティを実行することができると信じている者であると考える前に、今年初めの深刻なハック(5000万のパスワードを再設定することを強制した)の犠牲者であった我々自身を思い起こそう。

GMailパスワード リカバリシステム中に発見された「高-危険性」のバグ
ESET : WeLiveSecurity (2013/11/22)
 GMailのパスワード リカバリシステムに影響を与える「高-危険性」のセキュリティ バグが研究者によって発見され、素早くパッチされた。この脆弱性は、攻撃者がユーザパスワードを遠隔から、殆ど目につくことなく、再設定することを可能にするものであった。
 この脆弱性は(Googleからであると称する)フィッシングメールをユーザが開くことを当てにしていたものの、攻撃者はパスワードの再設定を開始することが可能であったと、セキュリティ エキスパートGraham Cluleyは報告している。
 Cluleyの報告によれば、このバグは研究者Oren Hafifiによって発見され、10日以内にGoogleによってパッチされた。
 「私がWebアプリケーションで(セキュリティ上)最も慎重に扱うべき機能は何だと考えるかと、あなたに尋ねたなら、あなたは多分ログインと言うだろう」とHafifiは記述している。
 「あなたのログインの定義付けが、パスワード リカバリを含んでいないのであれば、これは明らかに副次的ものとなる。これは、パスワード リカバリが攻撃者やセキュリティ研究者にとって、しばしば最大の関心事であることを意味している。」
 Cluleyは「あなたが本当にHTTPS Google.com Webページに存在しているにもかかわらず、ハッカーは、あなたの新しいパスワードとして入力したことについての情報を引っ手繰ることが可能であり、そして、クッキー情報は、あなたのアカウントに結び付けられていた」と発言している。
 The Next Web(【訳注】2008年創業の国際的なオンラインテクノロジ、ビジネス、文化に関する情報を発信している企業)は、「パスワード リセットシステムが頓挫したことは懸念されるが、それがあなたのGMailパスワードであったなら、取り分け問題である。あなたのアカウントにアクセスするように、攻撃者は更に進んで、そのアドレスに登録されているあらゆる他のアカウントのパスワードのリセットを開始できるのだから。」
 GoogleのSebastian Roschkeは「我々はアカウント リカバリ中の高-危険性バグを報告してくれたOren Hafifiに感謝したい」と発言している。
 ついでながら、We Live Securityは、パスワード、脅威、更にあなたのログインを安全に維持するための方法に関するアドバイスを報道している。この記事は、こちらで見つけることができる

日本のアンドロイド用チャット アプリケーションは電話番号を盗んでいる
McAfee : Blog Central (2013/11/22)
 McAfee日本が和訳していますので、こちらを参照してください。

アンチウィルス企業からのセキュリティパッチを装うスパム。これはZbot/Zeusマルウェア。
Sophos : NakedSecurity (2013/11/21)

 SophosLabsのJulie Yeatesは、本日早朝、大変多くのセキュリティとアンチウィルス企業からの発行を装うスパムキャンペーンに関して警告を発した。
 このメッセージの件名は、以下のように様々なである

    ・ Windows Defender: Important System Update - requires immediate action
    ・ AVG Anti-Virus Free Edition: Important System Update - requires immediate action
    ・ AVG Internet Security 2012: Important System Update - requires immediate action
    ・ Kaspersky Anti-Virus: Important System Update - requires immediate action
    ・ Microsoft Security Essentials: Important System Update - requires immediate action

 このE-Mailは大変似通っており、「ネット上を徘徊している新しいマルウェア」に対処する重要なセキュリティアップデートを含むと主張している。
 ピンクの蛍光色を与えた部分はE-Mail毎で変わっているが、内容の大部分は同じものである。


     重要なシステム アップデート - 即座に行動することを要求します。
     これは、ネット上を徘徊している新しいマルウェアに対処するセキュリティアップデートをインストールするので大変重要です。このアクションを完了するには、添付ファイルのシステムパッチKB923029上をダブルクリックしてください。このインストレーションはサイレントモードで実行されます。この件に注意してください。そして、問題がある場合には我々に通知してください。

 このE-Mailは、あなたのファイルをロックし、それらのファイルをあなたに売り戻そうとするCryptoLocker身代金要求ソフト(ランサムウェア)について、明確には言及していない。
 しかし、CryptoLockerの現在進行中の物語を聞いたことのある多くの受信者が、何時も以上に読んでみたい傾向になるであろうことは間違いない。
 これは、もちろん、嘘八百である。
 ”システムパッチ KB923029”は存在しないし、仮に存在したとしても、Microsoftや、他のあらゆる著名な会社がE-Mail添付ファイルとしてセキュリティアップデートを送信するようなことはない。
 また、あなたが英語を母国語とするのであれば、このE-Mailのテキスト中に幾つかの些細な慣用法と文法上の誤りを見つけるはずである。

     英語や、あらゆる他の言語において、E-Mailが文法的に完璧であるという事実は、正当性の指標にはならない。しかし、正当なソフトウェア企業のニューヨーク事務所からであると装うE-Mailにおいて、英語での言語上の重大なミスは、インチキなものであることの強い指標である。詐欺師が謙虚な作法やスペルを試みることさえできないのであれば、あなたは彼らに対してハッカー用の隠語を使用したほうが良いかもしれない。

 このZIPファイルはEXEを含んでいる。このプログラムファイルは、我々が年がら年中見ているZbotマルウェア(Zeusとしても知られる)の多くの変種の一つである。
 あなたは、このZIPを開き、内部でこのプログラムを実行することを期待されている。そして、このプログラムは、以下のような名前を持っている:

    HOTFIX_patch_KB_00000...many digits...56925.exe

 ZIPファイル中にEXEを含むことは、何ら間違っていない。
 しかし、EXEだけを含みE-Mailで配信されるZIPは、添付ファイルとして到着する単純なEXE同様に疑わしいものである。
 あなたがそれを実行したなら、このEXEは、それ自身を以下にランダムなファイル名でインストールする:

    C:\Documents and Settings\%USER%\Application Data\

 そして、それ自身を以下のレジストリキーに登録する:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 そこで、あなたが再起動やログオンする度に、このマルウェアが起動することになる。
 我々が、以下のことを、あなたに思い出させる必要はないはずであるが、あなたが他の誰かに思い出させたい場合に備えて以下のことを記しておく。

    ・ 予期していないE-Mail添付ファイルを開いてはならない。
    ・ あなたにセキュリティパッチを送信していると主張するE-Mailを信じてはならない。
    ・ 公式なものであると主張するE-Mail中の下手糞な文法やスペルのような手掛かりを無視してはならない。
    ・ ソフトウェアパッチのアップデートを維持しておくことを、おろそかにしてはならない。しかし、決してE-Mail経由で実行してはならない。

アンチウィルスソフトは、どの程度PCのブートをスローダウンさせているのか
How-To Geek : Article (2013/11/05)

 あなたは今迄に、あなたのアンチウィルスソフトによりブートプロセスにどの程度の時間が追加されるのか懸念したことはなかっただろうか? Soluto利用者からのこの簡単なチャートは、幾許かの驚くべき結果と共に、あなたにその答えを示している。
 Soluto(あなたに複数のコンピュータ、サーバー、Web上のモバイルデバイスでさえ、あなたが取り扱うことを可能にするクラウドベースのソフトウエア)によると、PCの平均ブートタイムは3分である。あなたはSolutoをダウンロードし、あなたのアンチウィルスがブートプロセスにどのくらいの時間を追加しているか確認することを試すことができる。もしくは、あなたがコンピュータを取り扱うためにSolutoを使用したくないのであれば、あなたのPCがブートプロセスに掛ける時間を算定するためにEvent Viewer(【訳注】コントロール パネル>システムとメンテナンス>管理ツール>イベント ビューア をダブルクリック)を使用することも可能である。あなたが伝統的スタイルのローテクを実行したいのであれば、いつものように時計を使用しなさい。
 グラフ中のデータはSolutoソフトウエアを稼働している数百万のコンピュータから生成されている。そのため明らかに古いコンピュータを含んでいるので、このチャートは全PCの平均値に基づいている。幾つかのアンチウィルス製品は、他よりPCを大きくスローダウンするだろう。これは有用な興味ある情報である。
 あなたのアンチウィルス製品のブートタイムの相違に気がついただろうか? あなた自身で、あなたのアンチウィルス製品のブートタイム追加時間を計測してみて欲しい。

GIMP: 怪しげな広告とインストーラによりSourceForgeへのインストーラの提供を停止
The Register : Security (2013/11/08)

 The Gnu Image Manipulation Program(栄誉あるGIMPの名前で知られるフリーのPhotoshop代替ソフト)は、SourceForgeからのダウンロードを最早許可しないことを決定した。
 GIMPの開発者達は、此処に彼らの決定(SourceForgeが最早容認できないユーザ エクスペリエンスを提供していると主張している)をアナウンスした。

     「此処数ヶ月、我々はMicrosoft Windows用のGIMPインストーラがホストされているサイトについて幾つかの苦情を受け取った。かってFLOSS(【訳注】 Free/Libre and Open Source SoftwareのStand For。フリーソフトとオープンソースソフトをまとめて表現する言葉)アプリケーションの開発とホストのための有用で信頼できる場所であったSourceForgeは、彼らのサイト上に許可する広告で問題に直面した。あらゆる種類の不要なユーティリティに導く多くの多くの広告を表示している緑色の”Download here”ボタンも同様に、そこに焦点を当てていた」とGIMPの開発者達は記述している。

 SourceForgeへ立ち寄って、この主張を裏付ける。Vulture Southは有用なFileZilla FTPツールをダウンロードするために立ち寄り、以下の広告を発見した。

 喩え“READ NOW YOUR FAVORITE BOOKS, MAGAZINES & COMICS FOR FREE”(今、あなたのお気に入りの書籍・雑誌・漫画が無料で読める)機会を提供しているサイトへのリンクに従うことを選択したとしても、剛直で皮肉っぽいThe Registerの読者は即座に逃走し、決して騙されないだろうが、経験の少ないインターネット サーファーを考えると身震いがする。
 この広告はGIMP開発者だけの不満ではなかった。彼らはSorceForgeの新しいWindows用インストーラ(Update:【訳注】サードパーティ製ソフトウェアを同梱しているSourceForge独自のインストーラ)が出現するまで、それらを許容しても構わないと思っていた。開発者の記述として、そのツールは「無料のソフトウェア パッケージと共にサードパーティ製の製品をバンドルしていた。我々は、この種の態度を支持したくない。そこで、SourceForgeを見捨てることを決定した。」
 この開発チームは、現在ダウンロードすることが可能な独自のミラーをこちらでホストしている。

MicrosoftがOfficeに対する0-Dayの攻撃を警告
Krebs On Security : Blog (2013/11/05)

 Microsoftは本日、Microsoft OfficeとWindowsの幾つかのバージョン中の今まで未知の脆弱性を攻撃者がターゲットにしていると警告した。Microsoftはまた、より包括的なパッチが開発されリリースされるまで、このフローへの攻撃を弱体化させる一時的凌ぎの”Fix It”ツールをリリースした。
 Technet Blog上の投稿において、Microsoftは、この脆弱性に対して今迄に観察された攻撃は、「中東と南アジアを主とする選択されたコンピュータに注意深く実行」されていたと、発言している。この攻撃は、大変巧妙に細工されたMicrosoft Word添付ファイルを開くように、犠牲者になる可能性のある人を誘惑するように偽装したE-Mailとして到着するために、ユーザの協力を必要とすると付け加えている。
 この脆弱性攻撃は、幾つかの古いバージョンのOfficeとWindowsがグラフィカル イメージを処理する方法中の未パッチのセキュリティフローを攻撃している。Microsoftによれば、この攻撃は、データ実行防止(Data execution prevention、DEP)やアドレス空間配置のランダム化 (Address space layout randomization, ASLR)のような脆弱性攻撃の弱体化技術をバイパスするために複数のテクニックを結合している。Microsoftは、Office 2013は、この攻撃の影響を受けないが、Office 2003やOffice 2007のような古いバージョンは影響を受けると発言している。
 「Office 2010は、この脆弱性のあるグラフィック ライブラリを使用する方法に起因して、Windows XPやWindows Server 2003のような古いプラットフォームで稼働している場合にのみ、この攻撃の影響を受けるが、それより新しいWindowsのバージョン(7, 8, 8.1)上で稼働している場合は影響を受けない」とMicrosoftは記述している。

 Microsoftの最新のFix Itツールは、この脆弱性への攻撃の弱体化を支援するはずである。また、この特別な攻撃がDEPとASLRを回避しようとするので、読者がMicrosoft EMET(Windows上で稼働しているサードパーティ製アプリケーションのセキュリティを増加することが可能)を思い出す絶好の機会であるだろう。
 興味深いことは、Microsoftが、Windows組み込み防御機能を回避するための斬新な攻撃テクニックを発見し報告した研究者に対する$100,000のバグ報奨金プログラムを拡張するであろうと発表した48時間以内に、この攻撃のニュースが表面化したことである。

 【訳注】
 この問題に対するMicrosoftの日本語情報はこちら。
 Fix itツールのリンクはこちら(英文、現時点で日本語版なし)

身代金要求ウェア(ランサムウェア) CryptoLockerの回避方法
Krebs On Security : Blog (2013/11/03)

 此処数週間に渡り、一握りの取り乱したMicrosoft Windowsユーザが、“CryptoLocker”(広汎に増加中であり、あなたが身代金を支払うまで、あなたのファイルを暗号化する悪性の悪意あるソフトウェアの一般的名称)の感染から回復するために何をすればよいか尋ねてきた。残念ながら、このような人々に対する答えは、通常、金銭を支払うか、それに対処するかの何方かである。この投稿は、読者が将来犠牲者にならない支援として幾つかのポイントを提供する。


 CryptoLockerは、時計を表示しカウントダウンする。

 セキュリティ企業からのレポートによれば、 CryptoLockerは、殆どの場合ブービートラップされたE-Mail添付ファイル(【訳注】 罠が仕掛けられたE-Mail添付ファイル)を通じて拡散しているが、このマルウェアはまた、サポート期限を過ぎたプラグインを利用してハックされたWebサイトや悪意あるWebサイトに配置されてもいる。
 CryptoLockerでのトラブルは、このマルウェアの削除に関しては、どうという事もない。削除のプロセスは殆どの場合驚くほど平凡である。本当の災難は、あなたの重要なファイル(画像、文書、映画、MP3)の全てが、あなたが身代金要求者の要求に応じるまで、もしくは、その要求に応じた場合を除いて、事実上復号できない暗号化の状態のまま残されることにある。要求額は$100から$300の範囲である(Bitcoinsでのみ支払い可能)。
 ファイル暗号化マルウェアは新しいものではない。この種の悪魔のような脅威は、数年に渡り様々に生まれ変わって徘徊してきたが、此処数ヶ月で急増しているかのようである。数年に渡り、セキュリティ エキスパートは、マルウェア感染の蔓延によって引き起こされる惨事を未然に防ぐために、ファイルのバックアップの重要性を強調したきた。不幸にして、あなたのバックアップドライブが物理的に、もしくはローカルネットワーク経由で、CryptoLockerに感染しているPCに接続していたなら、あなたのバックアップは、同様に暗号化される可能性がある。
 CryptoLockerに感染したコンピュータは、感染の外見上の兆候を示さない。これが、犠牲者のPCと、接続されている、もしくはネットワークされているドライブ上の全てのファイルを、このマルウェアが暗号化するために数時間を掛けることのできる理由である。しかしながら、暗号化のプロセスが完了すると、このマルウェアは、犠牲者に身代金を支払うか、ファイルへのアクセスを永久に失うかを決定するための時間を、小さなウィンドウのカウントダウンタイマー付きのポップアップメッセージを表示する(上に示した画像類似)。
 幸いなことに、システム管理者や通常のホーム ユーザが、CryptoLockerからの脅威を最小限に留めるために使用することのできる二つの簡単で無料のツールがある。企業コンサルタント会社thirdtier.netのプログラマと管理者は CryptoLocker Prevention Kit(CryptoLockerがドメインを越えて感染することをブロックするために使用される包括的なグループポリシーの設定)をリリースした。この無料ツールキットに付随する一連の指示は、包括的であり、キチンと解説されている、そして、グループポリシーは大変効果的であるように思われる。
 個人のWindowsユーザは、CryptoPrevent(ノースカロライナ州の東端アウターバンクに本拠を置くコンピュータコンサルタント John Nicholas Shaw(Foolish ITのCEOであり設立者)による小さなユーティリティ)をチェックすべきである。Shawは、彼がこのツールをCryptoLocker Prevention Kitの行動を模倣してホームユーザ用に作成した、と発言している。今迄に、CryptoPreventインストーラとそのポータブルバージョンは数万ダウンロードされたと、彼は発言している。


 CryptoPreventのユーザ インターフェイス。

 彼は、幾つかのアンチウィスルツールが稀にCryptoPreventを、「悪意ある」もしくは「疑わしい」ものとして検出し、 McAfee SiteAdvisor(マカフィー サイトアドバイザー)は、理由を説明することなく、彼のサイトを潜在的に危険なサイトとしてリストしている、と記述している(私も彼が感じていることを認識している: KrebsOnSecurity(【訳注】 記事元)もMcAfee SiteAdvisorによって潜在的に危険とフラグされていた時期がある)。更に、ある人々は彼の会社のドメイン名( foolishit.net)が明らかに冒涜的であるとして無視している。
 「私がFoolish ITを(2008年に)始めた時、私はドメインをfoolishtech.comにしようとしたが、これは利用できなかった。そして、現在のドメインはGoDaddy(【訳注】 米国スコッツデールに本社を置く、ドメインレジストラ・レンタルサーバサービス会社)が、私に与えたドメイン名の示唆の一つである」 更に、「私は、このドメインがユーモアがあると思ったので、これに決定した」と、彼は発言している。
 CryptoLockerは、クラウド データストレージ システムにとって未だに最高の宣伝であるかもしれない。 Johnny Kessel(サンディエゴに本拠を置くKitRxのコンピュータ修復コンサルタント)は、顧客の多くのデータをGoogle他によって提供されるクラウドサービスに移動するよう促している。Kasselは、彼の顧客の一人が、数週間前にCryptoLockerで攻撃され、ローカルマシン上のファイルへのアクセスを失っただけでなくネットワークファイルサーバーへのアクセスも失ったと発言してる。
 「このことは、Mp3からMicrosoft Word docsに至るまで、利用可能な殆ど全てのファイル拡張子を攻撃しているようである」更に、「CryptoLockerが接触しなかった物は、システムファイルと.exeであり、他の全てのファイルは、復号するには1000兆年かかるであろう2048-bit RSAキーで暗号化されている。感染すると、(VPNを使用して)ホームPC上の者から、彼らのネットワーク作業環境へアクセスして拡散することさえ可能である。これは、私にとって最も怖い部分である」と、彼は発言している。  

 CryptoLockerについて更に読みたいのであれば、以下を参照しなさい:

BleepingComputer discussion thread
Malwarebytes: Cryptolocker Ransomware: What you need to know
Naked Security (Sophos): Destructive malware Cryptolocker on the loose
http://www.symantec.com/connect/forums/cryptolocker-and-adc-policies
Reddit thread: Proper care and feeding of your Cryptolocker
Makeuseof.com: Cryptolocker is the nastiest malware ever and here’s what you can do

Adobeの情報漏洩は考えられていたことより13倍も悪かった(3800万ユーザに影響)
Sophos : NakedSecurity (2013/10/30)

【訳注】 情報漏洩に伴い、Adobe ID登録者にはAdobeより以下の画像のメールが届いていると思います。Adobeは実際にAdobe IDのパスワード再設定を求めています。Adobe ID登録者は、メール中のリンクをクリックするのではなく、Adobeのサイトに赴き、右下にある「お客様情報のセキュリティに関する重要なお知らせ」から、要請されている設定を行なってください。

 今月初め、Adobeはデータ漏洩を許す侵入を許した。
 攻撃者は顧客のAdobe ID、暗号化されたパスワード、名前、暗号化されたデビット カードやクレジットカードの番号、有効期限、注文の詳細にアクセスした。
 Brad Arkin(Adobeのセキュリティ統括役員)は、その時点でブログへの投稿を行なっている。

     我々の調査は、現在攻撃者が我々のシステム上のAdobeカスタマーIDと暗号化されたパスワードにアクセスしたことを示している。我々はまた、我々のシステムから290万のAdobeの顧客に関連する特定の情報(顧客名、暗号化されたクレジットカードやデビットカードの番号、有効期限、その他顧客の注文に関連する情報)を我々のシステムから削除したと信じている

 この数字は過小評価であった。AdobeスポークスマンHeather Edellによれば、最終的な集計は凡そ3800万ユーザである。

     今迄で、我々の調査は攻撃者が凡そ3800万のアクティブ ユーザのAdobe ID(その時点で有効であったもの)、暗号化されたパスワードを取得していたことを確認した。
     我々は、このようなユーザに対するE-Mail通知の送信を完了した。我々はまた、これらユーザがアクティブか否かに拘らず、この事件に関連すると信じられる有効で暗号化された全てのAdobe ID用のパスワードをリセットした。

 彼女はまた、現時点で影響を受けたアクティブ ユーザへの報告を終了し、非アクティブユーザへの接触に関しては作業中であることも追加した。

     我々は、依然として、この事件に関連する非アクティブなアカウント、無効なアカウント、テストアカウントの数を調査中である。非アクティブなユーザへの我々の通知は現在進行中である。

 この時点で、Adobeはまた、幾つかのAdobeフラッグシップ製品のソースコードが盗まれていたことを報告した。当初、 Reader, Acrobat, ColdFusionと考えられていたが、EdellはAdobeが幾つかのPhotoshopのソースコードも盗まれていたことが明らかになったと告白した。

     我々のデータに対する調査は、Adobeが10月03日に公開したこの事件の一部として、Photoshopのソースコードの一部が攻撃者によってアクセスされていたことを示していた。

 Adobeは影響を受けるユーザのためにヘルプ ドキュメントを投稿した。
 Adobeは盗まれたパスワードは暗号化されていたと発言しているが、完全に信頼できるものではないし、パスワードはクラックされることが可能であるので、これを、あなたが所有するオンラインアカウントに夫々異なるパスワードを使用するための別の催促状として行動するようにしなさい。
 そして、夫々に、猫、犬、天竺鼠、金魚の名前ではなく、強固なパスワードを選択するようにしなさい。

Microsoftが見捨てた後も、継続してChromeがXPのサポートすることは吉か凶か?
Sophos : NakedSecurity (2013/10/21)

 Googleは、2014年04月にレガシー・プラットフォームに関するMicrosoftの公式サポートが終了した後、少なくとも2015年04月までのまる一年、ChromeブラウザがWindows XPのサポートを継続することを決定した。
 この決定の背後にあるGoogleの理由付けは、人々の中に、XPからの移行が困難なプロセスである人々がいることを見出したということであり、このような人々のブラウザに脆弱性がないことを保証することは、彼らが移行することを容易にする可能性がある、ということである。
 しかし、この決定は結局、迅速でタイムリーな方法でXPから移行しないように人々を説得することができるだろうか?
 Windows XPは今、三つの成熟したWindowsバージョン(広く嫌われたVistaをカウントする)によって座を奪われている。XPのメインストリーム サポート フェイズは2009年に終了し、現在の延長サポート(パッチだけのサポート期間)は急速に終了に近づいている。
 このサポートライフの終了は、残存するXPユーザを残したまま、あらゆる危険を顕にするので「終わりなき0−Day」として説明されている。 これは、バグの多くが、それ以降のWindowsバージョンで見つけられ修正された後に、Microsoft自身によって公表されたバグを分析して模倣することを多分容易にするからである。
 最善のアドバイスは依然としてXPにしがみついている全ての者が耐え忍び、可能な限り他のOSに移行することである。サポートライフの終焉の時期は、長い間に渡り知られているので、今更驚くようなことは許されない。
 利用可能な多くのオプションがある。より新しい、あるいは、より安全なWindowsバージョンに金銭を支払う気がない人々は、今日、きちんと作られており、きちんとサポートされ、ユーザフレンドリなLinuxディストリビューションを選択することが可能である。そして、ある人々はGoogleのChromeによるサポート期間の延長の決定は、Chrome OSに移行するよう人々を説得するための秘かな戦術であるかもしれないとさえ説明している。
 しかし、多くの人々がGoogleのアナウンスから受け取った主たるメッセージは、心配ない、急ぐことはない、あなたのオプションと最終的な移行について考えるための更なる一年を今得た、ということである。
 これに騙されるな。いいか、この更なる一年の間、少なくともChromeはメンテナンスされパッチされるだろうが、XPの他の部分と、あなたがXP上で稼働している殆どの他のソフトウェアは、老朽と脆弱性の中に深く沈んでいくだろう。
 完全にパッチされたChromeの可用性は、助けになるどころか更に危険であるかもしれない。これはセキュリティに錯覚を与え、よりモダンなプラットフォームヘの切り替えを更に遅延する可能性がある。
 あなたは完全にアップデートされたシステム上で全てのものを稼働することを維持すべきなので、パッチすることは部分的な処理であってはならない。これは、基幹オペレーティングシステムそれ自身の殆ど全てを除き、アンチマルウェア製品、ブラウザ、Officeスイーツ、PDFリーダー、あなたが使用している他の全てを意味している。
 きちんとパッチされたブラウザは、あなたの安全を維持するために必要な全てであるとする考えに陥ってはならない。私は、世の中の多くの人々がXPへの信頼と好感を確立しており、手放すことが困難であることを認識しているが、あなたはXPを手放さなければならない。
 あなたが依然として、手に入れて以来XPに慣れている、それを好むという以外に何の理由もなく、アップグレードを延期しているのであれば、遅延し続ける誘惑に駆られることなく、直ぐに移行しなさい。
 もちろん、あなたは実際に選択肢を持っていないということかもしれない。あなたは、キチンと動作し続けている或る重要なシステム中に埋め込まれたXPを持っており、末永く置き換えを予定していないかもしれないし、XP上でしか稼働しない幾つかのレガシー・アプリケーションを持っているのかもしれない。
 このような限界ギリギリの場合、あなたが実行可能な多くの選択肢は存在しない。しかし実際に、そのようなシステムが操作中に必要であったとしても、あなたがGmailをチェックするために、あなたの友人の休日のスナップをFacebookにアップしたり、面白いネコのビデオを見るために、それらを使用する必要は全くない。
 あなたが本当にそれらを稼働し続けなければならないのであれば、それらとWebとの相互作用を最小にしなさい、そして、可能な限りそれらを安全に保持しなさい。

身代金要求ソフト(ランサムウェア)CryptoLockerの、動作方法を確認し、防御、クリーンアップ、修復について学ぶ
Sophos : NakedSecurity (2013/10/18)

 この記事は、身代金要求ソフトCryptoLockerが、どの様に動作しているかを説明している(CryptoLockerが動作している短いビデオの表示を含む)。
 この記事は、防御、クリーンアップ、修復についてあなたに説明している。
 将来、この種の脅威に対する、あなたのセキュリティを改善するための方法も説明している。

CRYPTOLOCKER - それは何なのか?

 SophosではTroj/Ransom-APVとして検出されるCryptoLockerは、身代金要求ソフト(ランサムウェア)として知られる悪意あるプログラムである。  ある身代金要求ソフト(ランサムウェア)は、あなたのコンピュータをフリーズし、料金を支払うことを要求する(この種の脅威は通常、まともなアンチウィルス プログラムを修復ツールとして使用することで、支払うことなくロックを解除することができる)。
 CryptoLockerは異なっている: コンピュータとソフトウェアは動作し続けるが、ドキュメント、スプレッドシート、画像のような、あなたの個人的なファイルは暗号化される。
 犯罪者は、あなたのコンピュータ上ではなく、彼らのサーバー上に復号化キーのコピーを保持しているので、彼らの支援なしに、あなたのファイルのロックを解除することはできない。

 彼らは続いて、あなたが、この復号化キーを入手するために短い支払い猶予期間をあなたに与える。
 復号化キーは、あなたのコンピュータ特有のものなので、あなたのファイルを元に戻すために他人のキーを使用しても無駄である。
 この料金は、$300もしくはEUR300(日本円換算: 約30000から40000円)であり、MoneyPakもしくはBTC2(2Bitcoin、現在、凡そ$280)で支払う必要がある。
 CryptoLockerが、どの様に汚い仕事をしているかを理解するには、我々のステップ-バイ-ステップによる説明を参照しなさい。

     →我々の詳細な記事は、技術的知識のない読者にとっても満足されるものである。この記事は以下のことをカバーしている: このマルウェアが悪漢を「家に呼び込む」方法、暗号化が実行される方法、どのような種類のファイルが、普通に読めなくされるのか、そして、犯罪者の要求があった時に、あなたは何を見るのか。あなたはこの記事を読んでいる間、この ステップ-バイ-ステップによる説明を別のタブに開いたままにしておきたいかもしれない。

CRYPTOLOCKERは、どの様に見えるのか

 CryptoLockerは、あなたのファイルを読めないようにした後、CryptoLockerがオンラインであり、犯罪者が稼働している暗号化サーバーに、あなたと、あなたのコンピュータを既に同定している場合にだけ姿を現す。
 それ故、あなたのコンピュータに悪漢との会話を許可することなくテストすることはできないので、あなたがサンプルと気にする必要のないコンピュータを持っている場合でさえ、我々は、あなたがこのマルウェアを自分で実行しないよう推奨する。
 しかしながら、我々はCryptoLockerが実行していることや、どの様に動作しているのかを確認したい誘惑にかられているだろうと思っている。そこで、此処に我々の友人でありSophos Supportの同僚であるMark Rickusによって作成されたビデオがある。
 我々はMarkが完全なビデオをYouTubeに投げているので、このビデオを推奨する。彼は急いでいないし、易しい言葉で話している。彼は事実を明らかにしており、彼は、何方かと言えば深刻な問題である問題に皮肉交じりのユーモアを交えることで穏やかな権威者の雰囲気をもたらしている。
 

     →このページ上でこのビデオ中の内容を見ることができないのなら、YouTubeを直接訪問しなさい。(【訳注】 ビデオへのリンクのみ貼っておきます)

ビデオに関してはこちら参照

私がCRYPTOLOCKERを検出し、削除した方法

 あなたは無料のSophos Virus Removal Tool(VRT)を使用することができる。
 このプログラムは、アクティブ プロテクション(リアルタイム保護としても知られている)を提供していないので、あなたの既存のセキュリティソフトを置き換えることはないし、あなたが既にインストールしている、あらゆるアクティブ ソフトウェアと共存することが可能であることを意味している。
 この Virus Removal Toolは、あなたが既にアクティブであるマルウェアを持っているか否かに拘らず、ロードし、それ自身をアップデートし、メモリをスキャンする。
 稼働しているマルウェアにチェックを入れると、それを削除する。次にあなたのハードディスクをスキャンする。
 このツールが悪意あるファイルを発見したなら、あなたはそれらをクリーンアップするためのボタンを、クリックすることができる。
 CryptoLockerが稼働しており、その金銭支払いを要求するページがポップアップしているのであっても、あなたは未だCryptoLockerを削除しクリーンアップすることができるが、Virus Removal Toolは、あなたの読み込めなくなってしまったファイルを復号化することはできない。ファイルの内容は、復号化キーなくしては修復することはできないので、それらファイルを削除したほうが良い。
 あなたがCryptoLockerを持っていなくても、マルウェアに関して、あなたのコンピュータをスキャンすることは価値あることである。
 犯罪者は、犠牲者のコンピュータ上にCryptoLockerをコピーするために「バックドア」のような既存のマルウェア感染を使用することが知られている。
 我々は彼らの論拠を以下のように仮定している: あなたが未だ見つけていない既存の古いマルウェアを持っていたなら、CryptoLockerも見つけていないし、多分バックアップも持っていない、そして、このことは犯罪者が金銭のために、後であなたを絞リ上げることができそうであることを意味している。

CRYPTOLOCKERは、私のネットワーク上を拡散することができるか?

 幸いにして、CryptoLockerはウィルスではないので、それ自身でネットワークを介して拡散することはない。
 しかし、ファイルを暗号化するために広範囲に渡る検索を行うために、あなたのネットワークに影響を与えることができる。
 マルウェアは一般的に、あなたが意図的に起動することを選択したあらゆるプログラムと同じパーミッションとパワーで稼働することを憶えておきなさい。
 あらゆるドライブレターや共有ネットワーク上に存在し、あなたが配置でき、あなたがプログラム(Windows Explorerのような)にアクセスできる全てのファイルは、CryptoLockerによって配置されアクセスされることが可能である。
 それは、USBドライブ、共有ネットワークファイル、そして、特別なソフトウェアドライバによってドライブレターとして表示されるようにされているクラウドストレージフォルダでさえ含まれる。
 一人のNaked Securityの読者が、単一の感染させられているコンピュータからコメントした。彼は「彼のコンピュータとマップされているネットワークドライブ上の14,786のファイルを暗号化されていた。」
 あなたが最近ネットワーク共有に関するセキュリティ設定を検証していないのであれば、そうするための良い時期である。
 あなたが書き込みアクセス権を必要としないのであれば、ファイルとフォルダをread only(読み込み専用に設定)にしなさい。

私は支払うべきなのか?

 我々は此処に示す警察のアドバイスに従い、あなたが支払わないことを推奨する。
 この種の強請(裁判所が、そう呼んでいるように、脅迫して金を巻き上げること)は、深刻な犯罪である。
 CryptoLockerが、あなたと詐欺師とを一定の距離を置く金銭支払方法(MoneyPak, Bitcoin)を使用しているにもかかわらず、あなたは、此処で明瞭に犯罪者と取引している。
 もちろん、上述した読者のように14,786の暗号化されたファイルを所有していないが、我々が「支払うな」と言うことのほうが、あなたがデータを断念するより容易であることを認める。
 明らかに、あなたが支払うと決定した場合、我々はあなたがデータを取り戻すことが、どのくらいありそうかと言うことについて、我々はあなたにアドバイスすることはできない。

CRYPTOLOCKERは今迄で最悪のウィルスなのか?

 我々は、そのように考えていない、けれども、今となっては、データを失った人々に対する慰めにならない慰めである。
 完全にファイルを失うことは大打撃であるが、多くの他の方法(ハードドライブを落とす、ラップトップを盗まれる、簡素な旧型の電子故障)でデータを失う可能性がある。
 CryptoLockerでの明るい兆しは、犯罪者が実際にあなたのデータを取得していないことである。犯罪者は、あなたのデータが今まで存在していた場所で、データをロックし、あなたに復号化のキーを売りつけようとするだけである。
 いろいろな意味で、あまりハッキリせずアグレッシブでもないが、ファイルを盗んだり、あなたが銀行にログインしている間のキーボードを監視したり、納税申告書を記述している間の画面を取得したりするマルウェアは、もっと悪質である。
 このような場合、悪漢はあなたのデータ、パスワード、デジタル化されている個人情報の彼ら分の複製を作成することとなる。
 あなたが最新のバックアップを持っている場合は、あなたのファイルの復元のための時間を失うことを除けば、何ら重大な問題もなくCryptoLockerから復元できる。
 しかしながら、個人情報の盗難は、あなたが反応する前に、既に発生しているので、元に戻すことは大変困難である。
 あなたのコンピュータ上に持っている全てのものが、悪漢がスパムを送信するために使用する種類のゾンビ マルウェアである場合でさえ、それについて何も実行しないことは、あなたの周辺の全ての人々を傷つけることになり、我々全てにコレクティブ コストを課すことになる。
 これが、喩えCryptoLockerによって攻撃されていない場合でさえ、我々が、このような3つのセキュリティステップを実行し、このような4つのフリーツールを試すことを、あなたに促す理由である。

再び感染させられないために

 一般的にマルウェア、そして、取り分けcyberblackmailer(サイバー ブラック メーラー)に対して安全を維持する5つの重要な秘訣がある。
 重要なファイルを恒常的にバックアップする。あなたが実行しているのであれば、バックアップをオフライン(例えば、貸金庫のような、攻撃されても、あなたのアクティブ・ファイルが影響を受けない場所)に保存しなさい。ファイルの主コピーがCryptoLockerによって読み込めなくされると、あなたのバックアップは役に立たないものになる。
 アンチウィルスを使用し、それを常にアップデートしておきなさい。これまで見てきたように、CryptoLockerの現在の犠牲者の多くは、それまでに、いつか削除することが可能であったマルウェアに感染していた。CryptoLocker攻撃だけでなく、それ以前に感染していたマルウェアによって実行されるあらゆるダメージもまた防ぐことである。
 オペレーティングシステムとソフトウェアにパッチを適用することを忘れるな。これはセキュリティホールを通して気づかれずにマルウェアがあなたのコンピュータに侵入するチャンスを少なくする。CryptoLockerの作者は、既に侵入している他のマルウェアを使用するので、侵入口を開くために彼らのマルウェアに手の込んだ侵入テクニックを使用する必要はない。
 家庭、仕事に拘らず、あなたが持っているあらゆる共有ネットワークに関するアクセスコントロール設定を検証しなさい。あなたが読みこむ必要があるだけのファイルに、あなた自身、他の誰かに拘らず、書き込みアクセス権を許可しないようにしなさい。この設定はまた、マルウェアが見たり盗んだりすることを阻止する。
 あなたのユーザアカウントに管理者権限を与えるな。管理者権限を付与されたアカウントは、あなたの所有するハードディスクとネットワークの両方で、ズット遠くまで到達し、より破壊的であることができる。管理者として稼働しているマルウェアは、大変大きなダメージを実行できる。そして、通常ユーザとして稼働しているマルウェアに比べ、削除することがより困難である。

MicrosoftとAdobeが、緊急のセキュリティフィックスをリリースした
Krebs On Security : Blog (2013/10/13)

 AdobeとMicrosoftは本日、彼らの製品中に存在する緊急のセキュリティ問題を修正するためのソフトウェア アップデートを夫々リリースした。MicrosoftはWindowsと他のソフトウェア(Internet Explorerの2つの0-Dayのバグは修正されているが、一つは未修正のまま残された)中の26の脆弱性を解決するためにバンドルされた8つのパッチをリリースした。Adobeのパッチは、AcrobatとReaderの両方に存在する一つの重要な脆弱性を修正している。
 Microsoftからの8つのパッチに関するブレチンの内の4つは、最も切迫している「重要」に評価されている。これは、このアップデートで修正される問題が、悪党やマルウェアがユーザからの何らの手助けなく脆弱性あるシステムに侵入するために使用できる問題を提供していると判断されていることを意味している。このパッチは、幅広いMicrosoft製品(Windows, IE, SharePoint, .NET Framework, Office, Silverlightを含む)に影響を与える。
 Microsoftのパッチ バッチの中心はMS-13-080である。これはMicrosoftが09月17日に最初に警告したIEの0−Dayの脆弱性(CVE-2013-3893)と、IEの9つの他のセキュリティフローを解決している。このフローに関する脅威レベルを拡大することで、攻撃者が、このフローを利用することを可能にする脆弱性攻撃用のコードは先週、Metasploit脆弱性攻撃フレームワーク(侵入テストツールキット)用モジュールとしてとして公にリリースされた。
 Microsoftは先月、この0−Dayのフローに対する攻撃をブロックするために一時凌ぎの”Fix It”ソリューションをリリースした。そして、良いニュースは、あなたがこのソリューションを既に適用していても、このアップデートを適用する前に、適用したFix Itをアンドゥーする必要がないことである。悪いニュースは、IEの一団のパッチにおいて、一つの0−Dayの脆弱性が修正されていないことである。Trustwave Spiderlabsの研究者達は、攻撃者達が、このIEアップデート(CVE-2013-3897)中で修正された他のフローの一つを既に脆弱性攻撃していることを確認したと発言している。
 Ross Barrett(Rapid7のセキュリティ技術部長)は、他の緊急のMicrosoft脆弱性(MS13-083、Windows コモン コントロール ライブラリ中のフロー)は「本当に興味深いもの(ASP.net Webページを通じて攻撃可能なリモートコード実行を提供する、リモート サーバーサイド脆弱性)のように見える」と発言している。Barrettは、このフローが間違いなく現実に存在するのなら、事故増殖するインターネットワームを推進するための多大な能力のある本物の最新のフローであり、それがこれであると発言している。
 Barretは「悪い奴らがこの脆弱性を自動的に攻撃する方法を発見したなら、あっという間に拡散し、あなたの組織の防衛能力は徹底的にテストされるだろう」と、「しかしながら、この脆弱性はMicrosoftに対して極秘裏に報告された、そして、アクティブな脆弱性攻撃下には存在していない」と発言している。
 残りのパッチに関する詳細な情報はMicrosoft Technetブログで利用可能である。
 Adobeは、Adobe Reader XIとAdobe Acrobat XIのWindowsバージョン用のアップデートをリリースした。このアップデートは一つの脆弱性を修正し、これらの製品のバージョンを11.0.05にする。このアップデートへのリンクと、このフローに関する詳細な情報は、Adobeのアドバイザリで利用可能である。Adobeは、Windows版のAdobe ReaderとAcrobat X (10.1.8)と、それ以前のバージョンは影響を受けないと発言している。そして、Machintosh版のAdobe ReaderとAcrobatの全てのバージョンもまた、この脆弱性による影響を受けない。Adobeはまた、このアップデートで解決される問題に関して「フィールド中」に如何なる脆弱性攻撃も認識されていないと発言している。

Adobeが、巨大な「高度な攻撃」でメタメタにされた
The Register : Security (2013/10/04)

 Adobeのシステムは、巨大な「高度な攻撃」によって攻撃を受け、290万の顧客情報を改竄され、Adobe製品のソースコードにアクセスされた。
 Adobeは木曜日、巨大なサイバー攻撃の犠牲者になったと発言し、ハッカーが数百万の顧客IDと暗号化されていたパスワードにアクセスしたと発言した。
 「我々はまた、この攻撃者達が我々のシステムから290万のAdobeの顧客に関連する特定の情報(顧客名、暗号化されたクレジットカードやデビットカードの番号、有効期限、顧客の注文に関連する他の情報)を削除したと確信している」とAdobeは発言している。
 アクセスされたクレジットカードやデビットカードの番号が復号化されていないことは間違いない。
 「予防措置として、我々はAdobe IDアカウントに対する認証されていないアクセスを妨げるために関連する顧客のパスワードを再設定している最中である。あなたのユーザIDとパスワードが変更されたなら、あなたはパスワードの変更方法の付属する我々からのE-Mailによる通知を受け取るだろう。」とAdobeは記述している。
 Adobeは、他のWebサイトでも同じユーザIDとパスワードを使用している顧客は、パスワードを変更すべきであると発言している。しかし、とにかく、これを実行するよね?
 Adobeは、クレジットカードやデビットカードのデータを盗まれた顧客への通知プロセス中で、「利用可能な場所での一年間無料の途上与信会員」の形式で被害者に弔慰を申し出ている。
 私の出身地では、これは、馬が飛び出した後で、厩の扉を解放することを申し出る、と呼ばれるものである。
 Adobeは連邦法執行機関にもまた接触している。そして、Adobeのために顧客の支払いを処理する銀行にも通知している。
 ハッカー達はAdobeのAcrobat, ColdFusion, ColdFusion Builder, 他の不特定の製品のソースコードにもアクセスしていると、別のブログポストで発言している。
 セキュリティ企業Hold Securityは、あるハッカーのサーバー上の暗号化されたアーカイブ中に40ギガバイト(明らかに、Adobeの多くの製品の幾つかのソースコードを含んでいる)を発見したと主張している。
 「この侵害は、ビジネスと個人に果てしない深刻な懸念を引き起こしている」そして「事実上、この侵害はウィルス、マルウェア、脆弱性攻撃の新時代の入り口を開いたかもしれない」とHold Securityは記述している。
 Adobeはユーザを再確認することを考慮中である。「我々は、如何なるAdobe製品に関しても標的型の0-Dayの脆弱性攻撃を確認していない。しかしながら、常として、我々は顧客がこのソフトウェアのサポートされているバージョン(利用可能なセキュリティアップデートを全てを適用済み)だけを稼働するように推奨する。そして、Acrobat Enterprise ToolkitとColdFusion Lockdown Guide中のアドバイスに従うことを推奨する。」とAdobeは記述している。

DeputyDog、最新のIEの0−Dayをターゲットにして攻撃
The Register : Security (2013/09/23)

 セキュリティ研究者達は、日本・中国・その他のアジア諸国の組織を狙った新しい標的型攻撃キャンペーンに注目している。この攻撃の一つは先週、明らかになったInternet Explorerの0-Dayに対する脆弱性攻撃である。
 セキュリティ企業FireEyeによると、DeputyDog作戦は、先週火曜日にMicrosoftが緊急のパッチをリリースしたIEの脆弱性(CVE-2013-3893)を使用して、「日本全体」を標的にしている。
 8月末にFireEyeによって最初に検出された、この攻撃のペイロード(【訳注】 この攻撃が搭載できる悪意の総体)は、香港のサーバーにホストされ、.JPGファイルに成り済ましている。このマルウェアは、次に韓国内のホストに対する接続を観察する。
 FireEyeはまた、DeputyDogの背後にいるグループは、IPアドレス180.150.228.102との関連により、2013年02月にセキュリティ企業Bit9を改竄した者達と同じグループであると主張している。
 これは、以下のように大変詳細に説明されている:

     Bit9によると、彼らのネットワークに侵入した攻撃者達はHiKitルートキットの2つの変種をドロップした。これらHiKitサンプルの一つは、コマンドに接続し、66.153.86.14に帰結するdownloadmp3server[.]servemp3[.]comのサーバーを制御する。この同じIPアドレスは、2012年03月06日から2012年04月22日まで、悪意あるドメインとして知られる www[.]yahooeast[.]netをホストしていた。
     このドメインyahooeast[.]netは、654@123.comを登録していた。このメールアドレスは、blankchair[.]comを登録するためにも使用されていた(我々が見ているドメインは、IP 180.150.228.102を指摘しているが、これは、サンプル58dc05118ef8b11dcb5f5c596ab772fdに関連付けられている。そして、CVE-2013-3893の0−Dayの脆弱性を利用する攻撃に関連している)。

 先週シマンテックの研究者達は、Bit9への攻撃は、洗練された中国ハッキンググループ(Hidden Lynx)によって実行されたと主張していた。そして、2009年に戻るが、このグループは、Googleと30以上の他のテクノロジー企業を襲撃した悪名高いAurora作戦にも関係していた。
 他方、トレンドマイクロによる脅威の解析は、主にアジアの政府組織に対する標的型攻撃に使用されているマルウェア ファミリーに焦点を当てている
 EvilGrabは、オーディオとビデオファイルの取得、スクリーンショットの取得、リモートサーバーにそれらをアップロードする前に、感染したマシンからキーストロークをログするように設計されていたために、そのように名付けられている。
 このマルウェアは、政府部門からの犠牲者は89%で、主に中国の組織(36%)と日本の組織(16%)がターゲットにしいた。
 面白いことに、トレンドマイクロによると、EvilGrabはまた、中国のインスタントメッセージング アプリケーションTencent QQから情報を盗むために特に細工されていた。
 この発見は、標的型攻撃に関するセキュリティ ベンダの第一四半期のレポートの一部である。

クリーニング ツールと、微調整 ツールは役に立たない
The PC Informant : Blog (2013/09/18)

 インターネット上には、あなたのコンピュータを「クリーニング」することでスピードアップすると主張するプログラムを、あなたにダウンロードさせようとする多くの広告がある。取り分け、レジストリクリーナーは、万能薬としてしばしば持て囃されている。レジストリクリーナーは、殆ど役に立たないし、Windowsの動作方法の詳細に精通していない人の取り扱いは危険でさえあるというのが真実である。多くの人々は、「クリーニング」をした後に、彼らのシステムが速くなったと必ず言うが、殆どの人は彼らの主張を示すための実際の統計を提供しない。私は、このテーマに関して何度も議論してきた。そして、頑固な人々は、彼らがレジストリクリーナーを信頼しているとする態度を取るが、彼らのシステムが速くなったと「感じる」以外の如何なる証拠も決して提供しない。
 Windowsは多くのジャンクを蓄積する傾向にあり、時々、クリーニングに使用できる特定の領域が存在する。私は、この記事で幾つかの役に立つハウスキーピング処理(【訳注】 不要なファイルの削除等)について記述した。しかし、あなたが始終見る、簡単な金儲け用のダウンロード広告に頼らないようにしなさい(メモ: この種の広告は、私のWebサイトでも時々発生するが、Googleがどのような広告を貼り付けるのかを、私はコントールできない)。CCleanerのような、幾つかの正当で役に立つフリーのプログラムがあるが、このようなプログラムでも、注意して使用する必要がある。
 二三の研究は、これらのクリーナーの幾つかが役に立つことを確認している、そして、以下に、クリーナーが基本的に役に立たないことが分かる幾つかのリンクがある。

  • ・ クリーンアップ ユーティリティ: それらは、あなたのPCをスピードアップできるか?
       あなたはユーティリティを実行した後、良くなったと感じているかも知れないが、我々のテストからの判断は、あなたのPCの全般的なパフォーマンスは殆ど変わっていない。クリーンアップ ユーティリティに投資する代わりに、短期的速度の向上には古いプログラムをアンインストールしなさい、そして、ハードウェアをアップグレードするためにお金を節約しなさい。 ー PC Worldのスタッフによる研究
  • ・ 誇大広告を信用するな: レジストリクリーナーは、Windowsを高速にしない
       レジストリクリーナーは、コンピュータのパフォーマンスを改善できるという、しばしば繰り返されるこの物語は神話である。残念ながら真実は、レジストリクリーナーは深刻な問題を発生させることができる、と言うことである。 ー MakeUseOf
  • ・ PCクリーニング アプリケーションはスカムである: 以下に理由(そして、PCをスピードアップするための方法)を示す
       PCクリーニング アプリケーションは、デジタルのマヤカシである。Webには、「あなたのPCをクリーンアップ」し、「新品同様にする」とするアプリケーションの広告で溢れている。(【訳者挿入】 財布から)あなたのクレジットカードを引き抜かないようにしなさい。このようなアプリケーションは酷いものであり、あなたは、それらを必要としない。
       「PCを綺麗にしたい」のなら、無料でクリーニングを実行することができる。Windowsは、平均的なPCクリーニング アプリケーションが、あなたに代わって実行することと、殆ど同等のことを実行するPCクリーニング ツールを含んでいる。 ー How-to Geek

 しかしながら、より肯定的な見解を採っているのが、WindowsSecretのFred Langaである。彼は起動時間をテストし、レジストリクリーニングが細やかな改善をすることを見出した。しかしながら、彼は、次のように発言している:

     ” しかしながら、システムのクリーンアップは明らかに価値のあることであるが、私は、あなたが、数秒間のスピードの改善や、僅かな一時的なディスクスペースの解放を気にして夢中にならないように促す。629秒掛かっていたブートタイムを(不要なソフトウェアをアンインストールすることで)32秒に減少することは、取り組む価値がある。32秒のブートタイムを33秒(cleanmgrを使用)にしたり、あるいは30秒(jv16 PowerTools使用)にしたりすることは、実生活上殆ど意味を持たない。
     私は上記テストで使用したクリーナーで問題に遭遇していないけれども、より高度で専門家レベルのクリーニングツールは、不適切な使用や過度にアグレッシブな使用をしたなら、システムを極めて乱雑にするという事を言っておかなければならない

 個人的に、レジストリクリーナーからの危険性は、平均的なホームPCユーザにとっての如何なる利点をも遥かに上回るというのが、私の意見である。あなたが経験ある、知識あるWindowsユーザである場合を除いて、レジストリクリーナには触らないようにしなさい。
 コンピュータをスピードアップすると主張しているWeb上に見られる全てのレジストリの微調整は、レジストリのクリーニングに関連している。多くは役に立たないものだし、中には、あなたのコンピュータをスローダウンするものさえある。此処に Windows tweaking and optimizationと呼ばれるWindowsのエキスパートからの投稿(幾つかの役に立たない調整に関する神話と現実)がある。この投稿は、以下のように始まる。

     ” Windwosの挙動や設定を変更するとする多くのサイトが存在する(中にはサービスや機能を無効化するものさえある)。このようなサイトの一つとして、Windowsを微調整することの実際の利益について説明していないことは面白いことである。あなたは「システムはズット高速になると思われる」、あるいは、10から20%のパフォーマンスの改善を約束する、というような安請け合いを見るかも知れない。私はWindowsのシステムを50倍以上高速にすると言う約束さえ見たことがある。
     しかしながら、如何なる計測結果も発見することは困難である。実際の計測結果(それらを実行すると、主に起動時間を減少する数値の報告)を表示しているサイトは無いに等しい。(私はインストールしている間、Windows Hardware Abstraction Layer (HAL)を、486C互換に変更するという「インチキ」は無視している)。あなたはブートタイムを減少するかも知れないが、ブートタイムとパフォーマンスの間には強力な依存関係は存在しない。ブートプロセスは、作業プロセスと明らかに相違する。更に、起動時間の減少は、実際にはアプリケーションの起動時間を増加するかもしれない。

Microsoft: IEの0-Dayのフローは、全てのバージョンが影響を受ける
Krebs On Security : Blog (2013/09/17)

 Microsoftは本日、攻撃者が、サポートされている全てのInternet Explorer Webブラウザ中の今まで未知でパッチされていない脆弱性を攻撃中であると発言した。Microsoftは、このセキュリティホールを塞ぐための公式パッチを作業中であるが、影響を受ける顧客を保護するために、一時的なフィックスをリリースしたと発言している。
 Microsoftは、WindowsのDefaultブラウザであるIE 8とIE 9中の脆弱性攻撃を企てているターゲット攻撃を承知していると発言している。本日発行されたアドバイザリによると、このフローはリモートコード バグである。これはマルウェアや悪党が、ハックした、あるいは、悪意あるWebサイトをブラウズさせ、IEユーザを巧みに扱うことで、この脆弱性を使用してマルウェアをインストールすることができる。

 【訳者註記】、和訳時点で、「マイクロソフト セキュリティ アドバイザリ (2887505)」の日本語のページには、回避策は存在しますが、Fix Itボタンが存在していません。上記の日本語のサイトにもサポート技術情報 2458544(英語版)へのリンクが設定されていますので、此処では英語版へのリンクを設定しています。

 このFix Itソリューションは、このリンクから利用可能である。適用するには Fix This Problemリンクの上にあるFix Itアイコンをクリックする。このソリューションを適用した場合、IEの幾つかの機能が制限されるかもしれないので、この暫定パッチを適用した後、問題が発生したのであれば、このアップデートを元に戻すために、Enable用のボタンの右にあるFix Itのアイコン(2つ並んでいるFix Itの右側のアイコン)をクリックしなさい。

Microsoft、ユーザからの苦情の後に、9月のパッチを再リリース
The Register : Security (2013/09/13)

 Microsoftの最新の一連のオペレーティングシステムとアプリケーション パッチの問題でMicrosoftは金曜日に、このアップデートの再リリースを余儀なくされた。
 「2013年09月のセキュリティ ブレチン リリースの出荷以来、我々はアプデートするために複数回のインストレーションを実行しなければならない、あるいは、Windows Server Update Services (WSUS) やSystem Center Configuration Manager (SCCM)経由では、このアップデートを入手できない場合があるとするレポートを受け取った」と、Microsoft Officeチームはブログポストで発言している。
 「我々は、この問題を調査し、この問題を証明した、そして、我々は、アップデートの不要な再適用、あるいは、このようなアップデートの正しい提供物を発生させることのできる新しいアップデートをリリースした」
 Registerの読者(そして、多くの読者ではないMicrosoftのユーザ)は、火曜日にリリースされた直後、パッチに関する苦情を始めた。他の人が欠陥のあるフィックスをインストールできない問題を報告している間、読者の中には、アップデートが認識されない時、パッチのループの中でサーバーにスタックを残したままになっている検出問題を報告している者もいた。
 8つのパッチ(2007以降のExcel, SharePointサーバー, Officeスーツ中のセキュリティフローをカバーしている)が現在再リリースされた。PowerPoint用の2つの非セキュリティ パッチもまた、再リリースされた。
 Microsoftにしては珍しく、品質管理問題に引きずられて、パッチの火曜日用に約束していたパッチは、全てではないものの最終リリースではなかった。The Registerは、Microsoftの管理とソフトウェア テストチームとの間で、何らかの厳しい遣り取りがあったと疑っている。

【訳注】 この問題に関する、現時点での日本語情報に関しては、日本のセキュリティ チームの「セキュリティ情報 MS-13-072 / MS13-073 - 繰り返し適用を求められる現象について」(URL: http://blogs.technet.com/b/jpsecurity/archive/2013/09/12/3596117.aspx)を参照してください。

WordPressセキュリティ フィックスをリリース、「即座にあなたのサイトをアップデートしなさい」とアドバイスしている
Sophos : NakedSecurity (2013/09/13)

 大変人気があるブログとコンテンツマネージメントシステムであるWordPressが、バージョン3.6.1をリリースした。
 このリリースはメンテナンス リリース(3.6からのアップデート)であり、殆ど新機能を持っていないが、三つのセキュリティ ホールを修正している。
 修正の一つは、若いベルギー人のWebアプリケーション セキュリティ研究者Tom Van Goethemによって報告されていたリモートコード実行の脆弱性である。
 修正がリリースされた今、Van Goethemは、このバグの大変詳細な説明と、このバグを明らかにしたステップを公開している。
 彼はまた、プラグインを使用することで、脆弱性を攻撃することが可能であると主張している。
 しかしながら、幸いなことに、彼は完全なルートを明らかにせず、脆弱性攻撃が動作することを簡単に示すだけにとどめている。そして、以下のように発言している:

     道徳的観点から、これ以外にもWordPressインストレーションには大変多くの脆弱性が存在するので、私は、現時点で、この脆弱性に関する「脆弱性の証明」を開示しない。

 Van Goethemのバグは、PHPシリアリゼーションに関連している。
  PHPシリアリゼーションは、プログラミング環境から、データ、おそらくコードさえ取得する場所であり、それをテキスト文字列表現に変換する場所である。
 このことは、それが簡単に保存され、ネットワークに移動され、後で元の場所に戻すことができることを意味している。


 これは、配列やテーブルのようなメモリ中の複雑なレイアウトを持つデータ構造(【訳注】 このようなデータを、並列データと呼ぶ)さえ、最終的にバイトのリニア(即ち、シリアル。【訳注】 直列化)ストリームにするために、シリアライゼーションと呼ばれる。
 シリアライズされたテキスト文字列をプログラム内部の生のリアルタイムデータに戻すことは、アンシリアライゼーションとして知られる。
 うっかりフィルターされていないリモートから供給されたデータをアンシリアライゼーション関数に渡すソフトウェアならどれでも、チョットした可能性を持っている、そして、WordPressの内部で何かが起こる。
 あなたがアンシリアライズされたデータの検証に取り掛かる時までに、このデータは既にランタイム環境内部の実際のデータ構造として存在している。これは装填されていないことに納得しての、銃の空打ちに多少似ている。
 現在、 7,500,000 million downloads(【訳注】 原文のまま。7兆5千億ダウンロード)と主張しているWordPressは、当然のことながら、「サイトを即座にアップデートしなさい」と示唆している。

Hesperus(宵の明星)が、最新の‘Banker’トロイとして輝いている
McAfee : Blog Central (2013/09/06)

 Hesperus(もしくはHesperbot)は、ユーザ情報(主にオンライン バンキング認証)を盗む、新しく発見されたBanker(【訳注】バンキング用)マルウェアである。機能的には、フィールド中に存在している他の”Bankers”(取り分け、Zbot)と類似のものである。 Hesperusは、ギリシャ語で宵の明星を意味している。このマルウェアはトルコ、チェコで大変活動しており、ゆっくりと世界中へ拡散しつつある。
 この洗練されたマルウェアは、特定の目的用の様々なモジュール(銀行関連WebサイトへのHTMLスクリプトの挿入、暗号化された形式で全てのモジュールとデータを保存する、その設定ファイルを暗号化する、Twofish暗号化アルゴリズムをHMAC-SHA512ハッシュキー付きで使用する、スマートカードを読み取るためにWinScard.dllを雇い入れている、SSLでコントロールサーバと交信する)を使用している。このマルウェアはまた、その全体のコードをattrib.exe中に、次にexplorer.exeに挿入するために現在の標準テクニックを使用している。このマルウェアの交信は正規のexplorer.exeからのように見える。
 私は最新のバイナリ(09月02日にコンパイルされている)を解析した。そして、そのコントロールサーバが活発に活動中であることを発見した。メインのバイナリはカスタム圧縮されていた。解凍した後、このファイルは dropper_x86.binがオリジナルの名前であることを示す文字列を含んでいた:

MD5: 72AD2AF02C98068DE5FD9F9AE2C5B750. Compiled Date: Monday, Sep. 2, 2013, 11:18:20

 dropper_x86.binは、オペレーティングシステムに固有の2つのバイナリを含んでいる。

    ・ 32bit OS用Core_x86.bin : MD5: 524C3F6F5D6968557AB000B920D42D9E. Compiled Date: Monday, Sep. 2, 2013, 10:46:05
    ・ 64bit OS用Core_x86.bin : MD5: 5D7E115CD6296FDDFB75AE76E5D5221A. Compiled Date: Monday, Sep. 2, 2013, 10:46:16 - 64 Bit EXE

 これらのバイナリは、一つのエキスポート機能(_hesperus_core_entry)を持っている。これが、このBotの名前の由来である。
 以下の文字列は、多分感染するための地理的場所を示唆している。


 メインのバイナリの解凍したコード:


 このコードはサスペンドされた状態で attrib.exeを開始し、そのコードを挿入する。attrib.exeは、幾つかのファイルを、.datと.bkpファイルとして%APPDATA%ディレクトリにドロップする。
 コンピュータ名やユーザ名、暗号化のキー、メインのバイナリファイル、ダウンロードされた悪意あるモジュール、設定ファイルのようなユーザ情報は、別の .dat 中に保存される。
 .bkp ファイルは、.dat ファイル用のバックアップファイルである。


 .dat と .bkp ファイル中のデータは、 HMAC-SHA512ハッシュキー付きで Twofish暗号化アルゴリズムを使用して暗号化されている。


 explorer.exeにコードを挿入した後、このマルウェアは、一般的なアンチマルウェア検出を回避するためにHTTPSを使用して、そのコントロールサーバーに接続する。その交信が、正規のexplorer.exeシステムファイルから発生しているように見える。更に、コントールサーバーのドメイン名は、正規のドメインWHOISサービスリクエストであるように見える。正当なSSLトラフィックを使用することは、マルウェアの検出を更に困難にする。
 SSLを使用して、このトロイは、そのコントロールサーバーから他の悪意あるモジュールをダウンロードする。これらは仮想ネットワークコンピューティングを隠蔽するために、キーロギング、スクリーンレコーダー、スマートカード リーダー等のために使用されている。
 これらのモジュールは、以下である:

    ・ hvnc_mod_x86.mod
    ・ keylog_mod_x86.mod
    ・ sch_mod_x86.mod
    ・ socks_mod_x86.mod

 このマルウェアは、 facebook.com, google.com, wikipedia.orgのような他の正規のWebサイトと交信する。


 これに関連するコントロールサーバーのドメインは:

    ・ Whoischeck.biz
    ・ reliable-dns.co.uk
    ・ 91.213.233.197

 他の変種は、別のURLから他のマルウェアをダウンロードし、 ptcliente.org/gr-mail/tr-mail.phpにユーザE-Mailアドレスを送信する。

MD5: A79D1E01A05C262DC0A8DA5C577CAF89. Compiled Date: Thursday, Aug. 29, 2013, 9:01:08


 もう一つの変種(MD5: 4107E4C91B197C483C320DA13EF27F95. Compiled Date: Monday, Sep. 2, 2013, 11:12:21)は、POSTを使用して感染情報を identity-check.org/nlog/nlog.phpに送信する。

日本は上手い儲け話の洪水になっている
Kaspersky : SecureList (2013/09/06)

 マネー・ミュール(【訳注】 詐欺で得た金銭や高価な物を他国へ移動させることを仲介する人やソフトウェア)求人E-Mailは、新しいものではない。数年間、これらは世界中からスパムアウトされていた。新たな思想の物が「英語を話せる日本人居住者」を狙った、最近の波になっている。これは6月末に始まり、我々はそれ以来、数百通のこのようなテーマのスパムメールを受け取った。


 この内容は、一般的に簡単な仕事(他にほんの僅かな必要条件で、一週間あたり数時間の仕事)を提案している。


 おそらく、このスパムの波が成功することは殆ど無い。一つの例は、私が知っている多くの日本人は、送信者が彼らと普段仕事していない場合、単純に英文メールをゴミ箱に捨てるという点にある。また、我々の場合でも、これらのE-Mailの殆どは、既にセキュリティ ソフトウェアによってフィルターされゴミ箱に放り込まれている。もう一つの理由は、英語を実際に話せる日本人は、これに何らかの詐欺の香りを嗅ぎつける十分な賢さがあることである。
 詐欺の話、実際のフィッシングとマネー・ミュールは親しい関係にある。詐欺師はオンラインバンキングアカウントに関するログイン情報を盗む。それだけ。収集された情報は次に、犯罪者の次のチーム(マネー・ミュールの募集者)に売られる。彼らの仕事は、盗まれた情報を「金に換える」ことである。
 8月下旬に発生したことは、マネー・ミュール募集メールが日本語になっていたことである。メール中で、”Martin”と名乗る人物が、〜60万円の報奨付きの新しい仕事を始めたことについて簡潔に説明している。この種のメールの全ては、“Blah.Blah@outlook.com”のようなアドレスから来ている。


 我々は、何が発生するか監視するために、それらE-Mailに返信(「私にもっと詳しい話を....」)してみた。
 我々が返信を受け取るまで長くはかからなかった。同様に“Martin”からのメールだったが、多分スウェーデンに拠点を置く「コンサルティング」会社の全く別のE-Mailアドレスからであった。このE-Mailヘッダーから、このE-Mailを送信するために使用された二つのサーバーがロシアに存在していることを突き止めた。ドメインの一つはイタリアにいる人に対して登録されていたし、もう一つはアメリカに住む人に対してであった。


 現在、この内容はバイリンガルにまでなった、そして、添付されたデータは“Contrakt”(原文のまま)と、このプロジェクト全体がどのような仕事であるかを説明する別の書類を含んでいた。次に、我々は何回かE-Mailをやり取りしたいので、返信用に幾つかのナンセンスな質問を作成した。これは我々が送信者の詳細を収集することを可能にする。この「雇い主」は、我々に新しい銀行口座を作成するようアドバイスしてきた(“Preferences: Resonabank(りそな銀行), Sevenbank(セブン銀行),Shinseibank(新生銀行) …”)、そして、我々の銀行情報を記入するための別の添付ファイルを含んでいた。
 そして、次のステップが電信経由で受け取る金銭の凡そ90%を送信する(我々の手数料として残りを残す)最終目的のアカウントに(盗まれた)金銭を送ることなので、これが我々が進める限度である。
 我々はこの種のアプローチを全ての人が無視することをアドバイスする。マネー・ミュールの存在は楽しいものではないが、大変深刻な犯罪と警察署への切符である

Windows 8 ピクチャ パスワードはクラック可能と、研究者が警告
ESET : WeLiveSecurity (2013/08/30)

 Windows 8マシン中で使用されるピクチャ パスワードは、Microsoftが思っているより脆弱性があると、研究者チームは主張している。10,000を超えるピクチャ パスワードの解析は、ユーザが選択している予測可能な「興味のある地点」が原因で、かなりの確率でクラックできることを発見した。
 「ジュスチャー」パスワードは、ユーザがテキストベースのパスワードを使用する代わりに、画像中に地点を選択するものである。
 Information Weekの報告では、アリゾナ州立大学とデラウェア州立大学からなるこの研究チームは、人々は、顔、カラフルな点、メガネを選択する傾向があり、そのようなパスワードを「推測」することがほぼ可能であると、発言している。このチームは、高い成功率でピクチャ パスワードをクラックできるアルゴリズムを開発した。
 今月Usenix Conferenceで発表された論文“On the Security of Picture Gesture Authentication”(ピクチャ ジェスチャ認証のセキュリティに関して)において、研究者達(コンピュータ工学博士課程の学生Ziming Zhao、コンピュータ工学修士課程の学生Jeong-Jin Seo、現在デラウェア州立大学の准教授Hongxin Hu)は、人々のジェスチャーパスワードの選択は、パターンに従う傾向があることを発見した。
 「集めたパスワードを解析することで、我々は、被験者がジェスチャー用の印を付けるために、目立った領域(興味のある地点)をしばしば選択していることに気がついた」と、研究者は発言し、更に、「被験者の僅か9.8%だけが、背景画像を気にすることなくランダムに場所を選択したと主張している。被験者の22.1%は、特別な形状を描画しようとするが、被験者の60.3%は、彼らの目を惹き付ける特別なオブジェクトの場所を発見することを好んでいる。」と述べている。
 「我々のアプローチは、我々のデータベースの中で以前見たことのない画像に関するパスワードの48.8%をクラックした」と研究者達は発言している。Ahnのチームは、ユーザが多分パスワードのパターンとして選択するであろう興味のある地点を同定することができるアルゴリズムを開発した。
 「ユーザの習慣とパターンに基づいて、我々はパターンを順位付けした辞書を作成した」と彼は説明している。Ahnは、ピクチャ パスワードを分類するために「password strength meters」(パスワード強度計、入力されたパスワードを順位付けするWebサイト上で使用されているものと類似)を作成した。
 Information Weekによれば、Ahnは、Windows 8の広告においてさえ、ユーザーは明らかに、そして、簡単に推測できる「興味ある地点」を選んでいると指摘し、Microsoftがこのようなアプローチを採用できると提案している。
 「我々のアプローチは様々な状況下でピクチャ パスワードのかなりの部分をクラックすることが可能であった」と研究者達は記述しており、更に、「この調査結果と攻撃の結果が、秘密を描画する背景と潜在的な攻撃への理解を前進させることができると信じている」と記述している。

大人5人中に1人がハッカーの犠牲者になっている。そして、50人に1人が、$15000を超える損失を出している − イギリスの世論調査
ESET : WeLiveSecurity (2013/08/26)

 Kent大学によって実施されたイギリスの世論調査によると、大人5人の内の1人がE-Mailアカウント、ソーシャルネットワーキングアカウント、オンラインバンキングアカウントをターゲットにしたハッキングの犠牲者になっている。凡そ16%がサイバー犯罪者のために金銭を失い、50人に1人が£10000($15000、【訳注】 1$=100円として、150万円)を失っている。
 この研究者によると、平均して、サイバー犯罪者はイギリス市民一人当たり£1.50($2.30)の犠牲を払わせている。Kent大学の Dr. Julio Hernandez-Castro と Dr. Eerke Boitenは、彼らの研究にGoogle Customer Surveysを使用しており、イギリス各地の1500人の人々のグループに投票を求めた。
 ハッキングによる犠牲者の数の予測は、アメリカのGoogleの研究者 Elie Burzsteinによるものと類似であり、これは、サイバー犯罪の世界的広がり強調している。
 「『あなたは今迄に何らかのオンラインアカウント(E-Mail、ソーシャルネットワーク、銀行、オンラインゲームのアカウントを含む)に侵入されたことがあるか?』という質問をした時、驚いたことに18.3%(Burszteinの結果は18.4%。凡そ1/5)が ”ある” と答えた。更に心配なことは、この世論調査をされた人の6%が、複数回発生していると発言している事実にあるのかもしれない(アメリカのBurszteinの場合では6.4%)。」
 この研究者達はセキュリティ感染に関連する財政上の損失を定量化しようと試みた。Google Customer Surveysを使用した1500人への世論調査で、この研究者達は世論調査された人の11.6%がオンライン コンピュータベースの詐欺で過去二年間に£65($100)を超える損失をしていたことを見出した。
 「人口のかなりの割合(2.3%)が大変酷い損害(£10000($15000)以上)を被ったと主張している」と、この大変酷い損失を理解するには、更なる追加の研究が必要であると、この研究者達は発言している。
 「オンライン犯罪は、平均的イギリス国民の生活に明らかにインパクトを与えている。彼らのアカウントと認証を改竄し、ある場合には、複数回も」と、この研究者達は発言している。「これと他のオンラインの事件は、人々の大多数に影響を与えていないにも拘らず、大変酷い攻撃を受けた小数の人々(人口の凡そ3%)に多大な影響を与えることで、結果として財政上の損失になっている。」
 犠牲者となった人々の数は年齢によってバラつきがあると研究者達は発言している。「55-64歳の範囲の年代は、この質問に、他の世代より随分と多くNoと答えていた。この結果は、地域によらず一致しており、取り分けイングランドにおいて突出している(平均70.4%に対してイングランドは91.3%)。」更に、「もちろん、これは様々に解釈できる。例えば、彼らはオンラインというものにより用心深い、あるいは、他の世代よりオンラインに費やす時間が少なく、より少ない活動とアカウントしか持っていない。さもなければ、全体的により良いセキュリティを持っているかである。」と研究者は記述している。

ドイツ政府: Windows8は信頼できないと警告
The Register : Security (2013/08/23)

 大変長文なので、原文へのリンク、及び、同様の内容を報じた記事へのリンクを貼っておきます。

 原文:  Germany warns: You just CAN'T TRUST some Windows 8 PCs

 同様の内容を報道した日本語記事: ドイツ政府が政府部内におけるWindows8の使用で警告、Windows8はバックドアが実装されている

パスワード管理人 LastPassは、IEキャッシュ漏洩の脆弱性を閉じた
The Register : Security (2013/08/20)

 LastPassは、そのパスワード管理ソフトウェアのWindowsバージョンが、LastPassのパスワードマネージャーによってフィールドに自動的に挿入されるログイン認証が漏洩するフローをパッチした。
 このバグ(Windows上のInternet Explorerユーザにだけ影響を与える)は、Internet Explorerのメモリダンプを何とか取得した攻撃者が、暗号化されていないパスワード文字列を抽出することが可能であった。
 「これは、我々がバンキングマルウェアの背景でしばしば記述していることと同じ種類の攻撃である」とSophos Security Blogのセキュリティ研究者Paul Ducklinは記述している。
 攻撃を成功させるには、通常ターゲットマシンへの物理的なアクセスか、マークを付けたPC上に植えつけたマルウェアに関連する攻撃(殆どのセキュリティ関係の防御を無意味にする改竄のレベル)かの何方かが要求される。
 LastPassは、この問題を様々なパフォーマンスの強化と他の調整を施したセキュリティアップデートで解決した。このアドバイザリの関連する部分についての説明:「解決: LastPassにログインしている間にIEだけに発生するセキュリティ問題。IEにパスワードが復号されたキャッシュとしてメモリに追加されることを防止した」
 このセキュリティ フィックスは、LastPass v2.5.0/1/2における18アイテムの一つである。これはまた、同期を改善し、来るバージョンであるWindows 8とInternet Explorer 11をサポートする。
 この問題は、PC Magazineの読者によって最初に明るみに出された。

Gmailへの送信時、プライバシーは期待できないと、Googleが発言
Sophos : NakedSecurity (2013/08/14)

 あなたがプライバシーについて慎重であるのなら、Googleを外す時である。
 Consumer Watchdogが推奨していることは、人々がGmailアカウントに対してメッセージを送信した時、プライバシーを期待すべきではないとするGoogleの告白に従いなさいということである。
 此処に、Googleが連邦裁判所に最近提出(PDFファイル)し、アメリカの消費者団体であるConsumer Watchdogによって月曜日に報告された報告書の19ページに、このことが記されている。

  • ・ 仕事仲間へ手紙を送信した人のように、受信者のアシスタントがその手紙を開くことは驚くようなことではない。今日、WebベースのE-Mailを使用する人々は、彼らのメールが配信の途中でレシピエント(E-Mailプロバイダ)によって処理されていたとしても驚くようなことではない。

  • ・ 「確かに、『人は、彼が第三者に任意に送る情報中に、プライバシーの正当な期待を持っていない』」

 Googleは電子メールの自動スキャンに対する集団訴訟に関連してこの報告書を提出しており、この報告書は、却下の申請用であった。
 この集団訴訟の原告は、Googleの自動化されたデータ検索が彼らの電子コミュニケーションに対する不当な傍受(彼らの同意なく)であり合衆国通信傍受法に違反するとする内容を含んでいた。
 Googleは、この自動スキャンをスパムのフィルターアウトと、ユーザに対する的を絞った広告を提供するための両方に使用している。
 Googleは、Gmailを使用する全ての人は、E-Mailサービスとの引換にスキャンニングに同意していたと頑固に主張している。
 Googleは、全てのE-Mailユーザは同様に「彼らのE-Mailの自動化された処理に必然的に暗黙の同意を与えている」と法廷が決定したことを指摘している。
 簡単に言うと、GoogleはSmith対Maryland(令状なしで電子通信の収集を支持した1979年の最高裁判所の判決、取り分け、電話会社の本社に設置されたペンレジスタの収集した情報)を引き合いに出している。
 Consumer Watchdogは、非常に編集された形式であるとはいえ、此処にその訴訟のための法廷文書を公開している。

 Consumer Watchdogは、Googleの声明を「呆れ返るほどの告白」と呼んでいる。そして、彼らのプライバシーについて慎重でありたい人々に、G-Mailを使用しないように警告している。
 John M. Simpson(Consumer Watchdogのプライバシープロジェクト ディレクター)は、E-Mailとビジネスレターを比較することは「誤った類推」をもたらすことを、このグループの新しいリリースで発言している。実際、ユーザがE-Mailを送信する時、彼らは郵便システムを使用しているのと同等のプライバシーの保護を予期している。

  • ・ 私は郵便局が封筒の上に記された住所を基に手紙を配達していると思っている。私はメールの配達者が私の手紙を開き呼んでいるとは思っていない。

  • ・ 同様に、私がE-Mailを送信した時、私はE-Mailアドレスに基づくG-Mailアカウントで意図された受信者に配信されると思っている。何故、私はその内容がGoogleによってインターセプトされ読まれていると思わなければならないのか?

 ブログの投稿で説明しているように、Googleが2012年01月にプライバシー ポリシーを変更した時、Googleの様々な提供物が個別にデータを保持していた壁をぶっ壊したことで状況は悪化し、Googleとプライバシーは不安な同衾者となった。

  • ・ 「我々の新たなプライバシーポリシーは、あなたがサインインしたなら、我々はあるサービスからあなたが提供した情報と他のサービスからの情報とを結合することを明らかにしている。」

  • ・ 「要するに、我々は、我々の全ての製品にわたって、あなたを単一のユーザとして処理する。これはよりシンプルでより直感的なGoogle経験を意味している。」

 十ヶ月後、EU規制当局は、Googleの新しいプライバシー ポリシーの大部分が、ユーザーが免除してもらうにはあまりにも漠然としており、あまりにも厳しいので節度を守るよう要請した。
 Googleは過去、顧客のE-Mailデータの操作を弁護したことがある。以下は、今年早期にCNETに対する声明中で発言していることである。

    「我々は広告が安全で、目立ちすぎず、関連性のあることを確実にするために一生懸命作業している。あなたに広告や関連情報を表示するために、あなたのE-MailやGoogleアカウント情報を読んでいるのは人間ではない。」

 もちろん、Google spyEmailは、暗号化E-MailプロバイダLavabitの企業の自殺行為と暗号化E-MailサービスSilent Circleの先手を取った撤退の両方に加えて(共にE-Mailデータの政府没収を回避することを実行していた)、国家安全保障局によるUSサーベイランスの報告をきっかけに著しい注目を浴びた。
 Google習慣を放棄することは困難ではあるが可能である。Googleフリー宣言に行ってみようと考えているのなら、私はある男がGoogleとの離婚を実行した方法の青写真に関するTom HendersonのGoogle divorceの物語を読むように勧める。
 ユーザはプライバシーを期待していないとするGoogleの声明は、あなたにとって我慢の限度を超えるものだろうか? 

アップデートされていないJoomlaサイトは、簡単にハックされる脅威にある
Krebs On Security : Blog (2013/08/13)

 あなたがJoomlaコンテンツ マネージメント システムによって稼働するサイトを運営し、ここ二週間にリリースされたJoomlaの重要なアップデートを適用していないのであれば、少し時間を取ってアップデートを実行しなさい。平凡な脆弱性攻撃は、ユーザがあなたのサイトに悪意あるコンテンツを挿入し、訪問者をフィッシングしたりマルウェアの罠にかけるように変換することが可能である。
 このパッチは、Joomla 2.5.13と、それ以前の2.5.xバージョン、並びに、Joomla3.1.4と、それ以前の3.xバージョンに適用するため2013年07月31日にリリースされている。JoomlaはWebセキュリティ企業Versafeに対しバグの発見を契約している。この企業は、この脆弱性をターゲットにした単純な脆弱性攻撃が既に使用されていると発言している。Joomlaのバージョン 2.5.14と3.1.5は、権限のないユーザが、PHPファイル名の末尾にピリオドを追加するだけで、任意の .PHP ファイルをアップロードすることが可能になっていた重要なバグを修正している。
 Joomlaのバージョン2.5.xと3.xに関しては、彼らが実行したいファイル名の末尾にピリオドを追加するだけで、メディアマネージャへアクセスが可能な全ての者が、任意のコードをアップロードしたり実行したりすることが可能になっている。Joomlaが既にサポートを終了しているバージョン(1.5.x、そして、通り一片のGoogle検索は、現在オンラインに1.5.xのサイトが数万あることを示した)で運営しているサイトに関しては、攻撃者はこのハックが動作するためにJoomlaサーバ上にアカウントを持つ必要さえ無い。
 Versafeの最高経営責任者で共同設立者であるEyal Grunerによると、2013年の上半期において、この会社の30+EMEA(【訳注】Europe, the Middle East and Africaの略、ヨーロッパ、中東及びアフリカ地域のこと。ビジネス上の用語で、特に米国に基盤を置く多国籍企業や調査会社などによって、世界の地域を区分する場合の一区分として用いられる)金融クライアントに対するフィッシングとマルウェア攻撃は数千に上り、その内の57%がJoomlaをベースとするWebサイトであった。
 「我々が、此処数ヶ月間で確認したことは、詐欺師達がドライブバイとフィッシング攻撃をホストするためにサイトを使用できるところの、明らかな脆弱性攻撃である」とGrunerは発言している。彼は、この攻撃でハックされたことが明らかなWebサイトが100を越えていることを発見したと言及している。そして、このようなサイトは全て、自動的にオンラインアカウント詐欺を手助けするバンキング トロイによって使用される悪意あるJavascriptコンポーネントをホスティングしている。Grunerは、彼の会社が6月初めに、この脆弱性攻撃についてJoomlaに忠告したと発言している。
 このような広汎に使用されているコンテンツ マネジメント システムに関するこのような簡単な攻撃は、Webサイト ボットネットを構築することに特化している犯罪者の手に強力な武器が存在することになる。今月初め、セキュリティ企業Arbor Networkは、ハックされたJoomlaとWordpressサイトで構成された“Fort Disco”と呼ばれるWebサイト ボットネットを追跡中であると警告していた。今年早期には、Webサイト セキュリティ企業Incapsulaは、悪意あるコードでバックドアにされたWordpressによって動作している90000を超えるWebサイトを追跡したと発言している。

児童虐待版の身代金要求ソフトはインチキのアンチウィルスソフトを売り込むために微調整された
The Register : Security (2013/08/08)

 サイバー犯罪者達は、金銭を受け取るまでPCを動作不能にする恐ろしいソフトウェアである身代金要求ソフト(ランサムウェア)用の別のアプリケーションを発見した。
 Reveton(広汎に拡散している身代金要求ソフトの一つ)は、児童虐待の画像をダウンロードするマークを故意に非難し、そのコンピュータのロック解除のための罰金を要求している。そして、ユーザを脅して完全に糞のセキュリティソフトウェアを購入するよう微調整されていた。
 言われているソフトウェアはインチキの(換言すれば、スケアウェア(【訳注】ユーザーを脅して恐怖心をあおり、金銭や個人情報を奪うことを目的としたマルウェア)として知られる)アンチウィルスである。そして、そのPCがコンピュータウィルスとトロイの木馬で満ちているとする、説得力ある偽りの主張をアナウンスしていた。ユーザは欺かれ、存在しない汚らわしい物を削除するために偽物のソフトウェアの完全版に支払う事になる。そのようなプログラムを稼働してしまうと、そのマシンと、そのユーザのセキュリティは完全に改竄されてしまうことになる。
 Christopher Boyd(ThreatTrack Securityの上席脅威研究員)は、特徴的なスクリーンショットをブログへ投稿し、スケアウェアの販売を伸ばすための身代金要求ソフトのこのような使用に関する詳細を此処で明らかにしている
 Boydの説明によると、ThreatTrackが「恐怖の代名詞たるチョット古い学校のようなLive Security Professionalと呼ばれるインチキのアンチウィルスの一部の利益になるロックされたデスクトップに溝を掘った」ことによって、Revetonハイジャックはインターセプトされた。Webサイトを訪問することは、ブラウザ攻撃とSweet Orange Exploit Kitの様な流儀で汚染された後、ゴミのようなソフトウェアによって、ユーザは金銭をひったくられている。
 インターネットの糞野郎共は、怪しい市場調査会社から不正なアフィリエイト収入を稼ぐ調査詐欺を売り歩くために身代金要求ソフトを使用したことがある。身代金要求ソフトにスケアウェアを接木することは、単に次のステップに過ぎない。

Javaバックドアはボットとして挙動している
McAfee : Blog Central (2013/08/02)

 現在の脅威の風景は、Webベースのマルウェアや、新しく脆弱性が発見されると恒常的にアップデートされる脆弱性攻撃キットによって動かされている。最近我々は、興味あるマルウェアのバイナリ(攻撃者がコマンドを実行するためのバックドアを開き、感染した後ボットとして挙動するJARパッケージ)を受け取った。
 このアーカイブは、如何なるJavaの脆弱性も攻撃しない。Javaの脆弱性は、Javaアプリケーションが容易に複数のプラットフォームで稼働することができることから、感染媒体として選択されている。それ故、この方法は大変多くの数のユーザに感染が広がっている。我々は過去において、実行ファイルを使用したこの種の攻撃を見てきている。


Figure 1 : 感染の流れ

 configファイルを復号するキーは、Base64(Figure 2参照)で暗号化されていた。このキーを復号するために、我々は16進数に持ち込んだ。更に、16進数をASCIIに変換した。我々は、config.datファイルを復号するための復号化されたキーを取得した。


Figure 2 : Base64でエンコードされているキーファイル


Figure 3 : config.datファイルの復号化されたキー

 この復号化されたキーで、我々は、config.datファイルがTriple-DESアルゴリズムを使用して暗号化されていることを確認した。Triple-DESスニペットの実行は、我々に平文のconfigファイルを与えた。このファイルはバックドア接続に関する情報を保持していた。そのデータは、IPアドレス、ポート番号、オペレーティングシステム、ミューテックス情報、接続用パスワード(Figure 4参照)を含んでいた。


Figure 4 : 平文のconfigファイル

 実行すると、このJARファイルは、平文のconfigファイル中で触れられているIPアドレスとポート番号へのバックドア接続を開く。一旦、バックドア接続が確立すると、改竄されたユーザ環境は、サーバーとして挙動し、攻撃者がクライアントになる。これで攻撃者は、犠牲者のシステムの制御を奪うことができ、あらゆるコマンドを実行できる。我々は、この種の悪意あるJARファイルが、簡単にオンラインで入手可能になっているリモート管理者ツールから構築することができることを発見した。このツールを使用すると、誰もが悪意あるJARパッケージを構築できる。


Figure 5 : サーバー ビルト ダッシュボード

 Figure 5は、サーバー バイナリを構築するためのダッシュボードを示しており、これは後で、無実のユーザに送信される。このダッシュボードは、このツールを使用して構築されたバイナリが何を実行できるのかを明らかにしている。以下に幾つかの活動を示す。

  • ・ key.datを暗号化するための暗号化のキーを設定する。これは平文configファイルを暗号化するために使用される。

  • ・ 開放されたバックドアを介してIPアドレスとポート番号を設定する。

  • ・ 起動の度にサーバーコンポーネントがスタートするので、このファイルは毎回稼働する。

  • ・ この悪意あるファイルは正当なファイルに詰め込むことができる。そしてユーザの認識なしに、バックグラウンドにこのファイルはドロップされ実行される。

  • ・ 狙い撃ちするオペレーティングシステムを選択する。

  • ・ システム上で利用可能な全てのドライブに、それ自身をコピーする。

 システムが改竄されると、この悪意あるファイルは、攻撃者がシステムを制御するためのコマンドを実行できるボットとして振舞う。攻撃者によって実行されることのできる行為を以下に示す。

  • ・ ユーザーのスクリーンの記録

  • ・ キーストロークの記録

  • ・ ファイルシステムへのアクセス

  • ・ コマンドプロンプトへのアクセス

  • ・ バイナリファイルのダウンロードと実行

  • ・ HTTP POSTとGETリクエストを使用してDDoSの引き金を引く

  • ・ システムのシャットダウン/再起動/ロック/ログアウト

 我々の研究は、このJARパッケージがスパムE-Mailの添付ファイルとして送信されていることを発見した。


Figure 6 : スパムE-Mailとして送信されていたマルウェア

 我々は、この脅威に関連する全てのJARパッケージを JV/BackDoor-FAZYとして検出する。あらゆるE-Mail添付ファイルをアップデートされているアンチマルウェア製品でスキャンすることは常に賢明な実践である。

 此処に、感染したシステム上で、このマルウェアバイナリを攻撃者がどの様にしてコマンドを実行しているかの簡単なデモがある。

新しい身代金要求ソフト(ランサムウェア)は、犠牲者を脅かすためにWebcamと安全保障省を脅しに使用している
ESET : WeLiveSecurity (2013/08/01)

 新たな身代金要求ソフト感染は、Department of Homeland Security(米国安全保障省)とNational Cyber Security Division(NCSD:国家サイバーセキュリティー部)の名前を使用して犠牲者を脅かしている。そして、この感染は金銭を要求するためにポップアップウィンドウに犠牲者自身の画像を表示することによって、更にユーザを震え上がらせている。
 この警告は、United States Computer Emergency Readiness Team(US-CERT、米国コンピュータ緊急事態対策チーム)によって公表された。US-CERTによると、このマルウェアはフィールド中で検出されており、ユーザは、彼らのコンピュータの使用を停止させられ、それを解除するには料金を支払わねばならないと報告している。
 このマルウェアの或るバージョンは、犠牲者のWebcam画像を撮り、「見掛けの合法性を追加する」ために、その画像をポップアップに表示していると、US-CERTは発言している。
 US-CERTは、「この身代金要求ソフトは、米国安全保障省と国家サイバーセキュリティー部からであるとの偽りを主張している」そして、「このマルウェアに感染したユーザは、このマルウェアの削除を手助けしてくれる評判の良いセキュリティ エキスパートに相談するか、ハードドライブをフォーマットした後、OSのクリーン再インストールを実行すべきである」と発言している。
 US-CERTは、感染したユーザはFBIのInternet Crime Complaint Center(IC3、米国インターネット犯罪苦情センター)に事件を報告するようアドバイスしている。
 今年の初夏、似たような「身代金要求」攻撃がヨーロッパにおいて発見された。この攻撃では、麻薬、密輸、人身売買、重大な銃犯罪、詐欺、コンピューター犯罪に対処する組織であるイギリスのSOCA(Serious Organized Crime Agency、重大組織犯罪対策機構)の名前を使用することによって、支払いをするよう犠牲者を脅していた。
 この悪徳商法は現在一般的なものになっている。最近の「身代金要求ソフト」に関連するWeLiveSecurityの幾つかの話題は、こちらで見出される。身代金要求ソフトでユーザを感染させようとするマルウェア キャンペーン(Home Campaign)の詳細な解析は、此処に見出される。
 ESETのセキュリティ伝道者Stephen Cobbは、この種のマルウェアがどの様に動作するのかを、こちらのブログでの投稿で詳細に説明している。

防弾受信箱: E-Mailを安全(健全)な状態にしておくためのヒント
ESET : WeLiveSecurity (2013/08/02)

 多くのサイバー犯罪の話は、依然として同じ方法で始まっている。誰かがE-Mailを開き、添付ファイルをクリックし、うっかりトリガーを引く。
 我々の多くは、E-Mailスパムとスカムに対して賢くなっているが、サイバー犯罪者は、彼らの攻撃を「微調整する」ための完璧な立場にいる。ある物が動作しなかったなら、彼らは単純に改作したり、改良したりし、再びそれをスパムとして送信する。
 FBIによれば、スピアフィッシング攻撃(企業ネットワークに侵入することを目的とした巧妙に的を絞ったE-Mail)はまた、今年増加している。これらE-Mailは、彼らが合法であることを人々を納得させるために個人情報を使用している。そして、コメディアンが笑いを誘うために使用することが常であった貧粗な綴りのスパムメールより、遥かに滑らかで説得力の大きなものである。
 今日の攻撃は、税金の要求から友達からの結婚式の招待状に至るまであらゆるものがある。有難いことに、幾つかの基本的ルールに従うことは、あなたの受信箱を安全に維持することを手助けする。

あなたはフィッシングされることを心配しているか? 餌を詳細に見つめてみよう

 そのE-Mailが誰からのものなのか調べなさい。あらゆるE-Mailアドレスをでっち上げることは可能であるが、全ての詐欺師達が、このように賢いわけではない。彼らは、馬脚を現すところのランダムなE-Mailアドレスを使用しているかもしれない。マウスをリンクの上に乗せ、実際のリンクが付属するポップアップメッセージを表示し、クリックされることが想定されているリンクをチェックしなさい。詳細に観察しなさい。アドレスは理にかなっているか? ミススペルはないか? 警告ベルが鳴ったら、クリックするな。

送り状、結婚式の招待状、税金の還付。サイバー犯罪者は、これらすべてを使用する

 サイバー犯罪者にとって、神聖不可侵なものは何もない。結婚式の招待状、送り状、税金の還付は、広範に使用されている戦略である。あらゆる添付ファイル(友人から来たように思えるものでさえ)を開く前に、常に一生懸命考えなさい。誰かの結婚は驚くことなのか? あるいは、IRS(The Internal Revenue Service、内国歳入庁)は、あなたの税金申告書を再提出するよう突然求めているのか? クリックするな。 

短縮されているURLには特に注意

 TinyURLのようなサービスは、Twitter上で流行が求めるものである。しかし、あなたはそれらについて注意が必要である。取り分けE-Mailでは。文字の数に上限が存在しないのであれば、何故リンクを短縮するのか? ESET上席研究員Devid Harleyは、「あなたは、bit.lyとTinyURLのようなURL短縮サービスが、あなたを信頼あるWebサイトにリダイレクトしてくれることを当然だと思うことはできない。実際に、スパマーや明白に悪意あるサイトへのショートリンクを含むスパムツイートは大変汎用されている。LongURL[http://longurl.org/]は、あなたがそこに移動する前に短縮されたURLの拡張したバージョンを、あなたが確認することを可能にする。TinyURLは、短縮されたURLに関して、あなたがこれを実行することを可能にしている。」と発言している。

電話番号は、そのE-Mailが本物であることを保証しているわけではない

 電話番号が存在するプロのように見えるE-Mailだからといって信頼してはならない。これも別のサイバー犯罪者の手口である。この番号はキチンと動作するかもしれないが、あなたが話したい相手ではなくスカマーに接続されるだろう。そして、彼らは、詳細を奪うために、あなたを騙そうとするだろう。

あなたのE-Mailアドレスを公開するな

 あなたのE-Mailアドレスをインターネット上に公開することは、個人であれ会社であれ、まずい考えである。今年の早い時期に、アメリカの電機メーカーは、大変巧みな「スピアフィッシング」攻撃のターゲットにされた。この攻撃には、この会社がWebサイトで公開していた情報が使用された。あなたのE-Mailアドレスを公開する代わりの何らかの方法があるのなら、そうしなさい。

画像を自動ロードしないようにしなさい

 E-Mail設定で、「画像を自動的にダウンロードしない」に設定したままにしなさい。そうしておかないと、あなたはスパマーにシグナルを送信することになる。画像はしばしばスパマーのサーバーに保存されている。そして、その画像はあなたのE-Mailに一意であることができる。E-Mail中で画像をONにすることによって、あなたのコンピュータはスパマーのサーバーから画像をダウンロードし、あなたの存在を証明し、あなたが存在していることを表している事になる。

あなた自身をスパムにするな

 インターネット フォームを記述する時は常に注意深くありなさい。取り分け、記入部分の周辺に、“I want to receive information.”(私は情報を受け取りたい)と書かれている場合には。殆どの評判の良い会社は安全であるが、顧客リストは持ち主が変わる可能性がある。そして、あなたのE-Mailアドレスは渡されてしまうことになる。また、TwitterやFacebookのようなサイトからの通知を受け取らないようにしておくことは賢明なことである。そのような通知は、あなたの受信箱をグチャグチャにする。そして、その「カス」はスカマーやスパマーにとって役に立つものである。

あなたの送信フォルダに重要な個人情報を保存しないようにしなさい

 サイバー犯罪者にとって、個人のE-Mailアカウントは情報の宝の山である。その情報の多くは、なりすまし犯罪のために役に立つ。銀行口座の詳細、クレジットカードの番号とパスワードを、あなたの送信フォルダに残したままにしていてはならない。そのような詳細をE-Mailで送信しないことが最終的により安全である。代わりに電話番号を選択しなさい。

パスワードを回復する質問を設定しないように

 「あなたの最初の学校は?」のような質問は犯罪者が簡単に推測できるかもしれない。特に、あなたがソーシャルネットワークのプロフィールで、あなたの出身地を表明している場合には。あなた独自の質問を作成しなさい。そして、それを難しいものにしておきなさい。これは、あなたのE-Mailアカウントへのバックドアの侵入を止めるだろう。

仕事を変更した? 予備のE-Mailアドレスを変更しなさい

 最悪のことが発生したとしても、あなたは元に戻れるようにしておく必要がある。あなたが「予備(回復用)」のE-Mailアドレスを使用していないのであれば、あなたは元に戻ることができない。あなたの予備のE-mailアドレスを必ず更新しておきなさい。

心配? 誰かがログインを見ている

 多くの電子メールサービスは、あなたが何処からログインしているかを確認することのできる機能を持っている。これは、他の誰かがあなたのアカウントにアクセスしている場合、あなたに警告を発し、それらを自動的にログアウトする。 例えば、Google Mailでは、パソコン画面の右下にスクロールダウンすると、あなたのアカウントにアクセスしているデバイスとアプリケーションのリストを見ることができる。疑わしい場合には、それら全てをログアウトし、パスワードを変更しなさい。

.lc ゾーン中の悪意あるURL
Kaspersky : SecureList (2013/07/20)

 疑わしいURLを解析中に、私は大変多くの悪意あるURLが、.lc ドメインから来ていることを発見した。このドメインは以前、カリブ海の東に位置するSanta Lucia国(【訳注】 セント・ルシア、イギリス連邦を構成する立憲君主国家)に属していた。
 この流れを我々の統計で確認する。

 世界中様々な国々のサイバー犯罪者達は、このドメインを積極的に使用している。この国々には、その国内で利用可能な無料Webホスティングを悪用しているブラジルのサイバー犯罪者も含んでいる。

 

 あなたは今迄に .lc ゾーンのドメインを、どのくらい訪問する必要があっただろうか? この質問の答えが"0"であるなら、このドメインへのアクセスのフィルタリングを始める時である、企業のファイアーウォール/プロキシレイヤーに関しては特に。

下手な仕事の月例パッチ: Microsoftはビデオコーデックを殺した(コーデック中のフローの「修正」は、ビデオ編集者に金切り声をあげさせ、ゲーマーは湯気を立てている)
The Register : Security (2013/07/15)

 先週のMicrosoftの定例パッチは、報道されているところによると悲惨なものであった。Microsoftによってリリースされたパッチの一つで、ビデオの再生にトラブルが発生している。
 07月09日にリリースされた34のバグのパッチは、wmv9vcm.dll(WMF Runtime 9と9.5用のwmvdmod.dll, WMF runtime 11とWindows Media Player 11と12中のwmvdecod.dll)で使用されるMicrosoftのWMVビデオコーデックの修正を含んでいる。このコーデック中の脆弱性は、過去の入力検証機能を取得し、それらをクラッシュさせ、リモートの攻撃者に任意のコードを実行する能力を与える巧みに細工されたメディアファイルで攻撃される可能性があった。
 しかしながら、InfoWorldは、ビデオコンテンツの上半分がブラックアウトするという最も一般的な兆候と共に、このパッチがビデオの再生で問題を発生させていると、現在報道している。
 Adobeのユーザ達は、このブラックアウトがPremier Pro CS6動画編集ソフトでの高品質の大きなビデオファイルで発生することを発見した。この兆候は出力されたファイルでも現れる。Adobeはこの問題を、ユーザがWMVファイルを必要とする場合には、ユーザが適切なパッチに後退させる必要があるとする勧告を、こちらで説明している。
 InfoWorldによってリストされている問題の他のレポートは、TechSmithのCamtasiaとSerif MoviePlus X6を含んでいる。
 ビデオの分画は、Camtasia Studioでみられる。  

   

上半分がブラックアウトしたCamtasia

 

 このバグはゲーマーの世界の人々を動揺させている。彼らは、このアップデートをインストールするやいなや、Steam(【訳注】 オンラインゲーム用プラットフォーム)ユーザは、Dust:An Elysian TailとIon Assault用のカットで同じ兆候で悩まされている。
 現在唯一の解決策は、MS13-057に関連するパッチをアンインストールすることである。

Aviraが、幾つかのブラウザとE-Mailクライアントをブロックしている
The H : Security (2013/07/11)

 昨日来、Avira Internet Securityユーザの中に、最初にAvira Web Protectionを無効化しなかった場合には、彼らのWebブラウザを使用することができないユーザが現れている。Aviraによると、顧客の中に、このプログラムを完全にアンインストールし、改めてフレッシュインストールすることを要求する”data structure error”を表示された者もいる。
 しかしながら、Aviraフォーラムにおいてユーザ達は、再インストールが彼らの問題の全てを解決するわけではないと発言している。IPv6アクティベーティングのサポートとDrive-byプロテクションが新たなブラウジング問題を発生させている。これはJavaに関連する問題(取り分け、最新のバージョンJava7がインストールされている場合)であることは明らかである。ブラウザプロテクションを無効化することが、この問題を解決する唯一の方法であり、Chrome、Opera、Firefox及びThunderbird E-mailクライアントがこの問題の影響を受ける。Aviraは、Avira Web Protectionと最近リリースされたChromeバージョン28で問題があることを認識している。この問題は現在調査中である。
 問題の原因は不明であるが、通常のシグネチャのアップデートの結果かもしれない。最近アナウンスされた2010と2012バージョンの2013への強制アップグレードは、無関係のようである。

Microsoftは「醜悪な」定例パッチにおいて巨大な数の緊急の修正を押し付けている
The Register : Security (2013/07/03)

 Microsoftは、今月7つの速報付きで強烈なインパクトのある定例パッチ(6つの緊急のフローを含む)を計画している。
 壮大という程でもないこの7つは、Windowsのサポートされる全てのバージョン、及びMS-Officeの全てのバージョン、並びに、Lync、Silverlight、Visual Studio、.NETに及んでいる。Windows XP上のIE6からWindows8及びWindows RT上のIE10までのInternet Explorerは、緊急の脆弱性があるためパッチされる必要がある。
 「これは今年Microsoftの定例パッチを見てきた中で醜いものの一つである」と、また「全てのMicrosfot製品が影響を受け、全てのものが深刻な影響を受けるとする発言は控えめなものではない。速報が重要な定例パッチであるとしているため、一つもしくは二つを優先することは困難である」と、Paul Henry(セキュリティツール企業Lumensionのセキュリティと犯罪科学アナリスト)は記述している。
 いつものように、来週セキュリティアップデートがリリースされるまで詳細は伏せられるが、我々は6つの速報の全てがリモートコード挿入リスク(脆弱性の内、最悪に分類される)であることを認識している。
 「あらゆる場所のセキュリティチームが忙しい月になるだろう」と「3つの速報は今年5月に露見し公開されたGoogleのTavis Ormandyが問題にした件に概ね一致している。私は今回パッチされることを期待している」とRoss Barrett(Rapid7のセキュリティ エンジニアリングの上級マネージャ)は発言している。
 Ormandyの発見はWindowsのwin32k.sysコンポーネント中のメモリ管理問題(CVE-2013-3660)に関連している。
 クラウド セキュリティ企業Qualysの最高技術責任者Wolfgang Kandekは、Windows、Office、Lync中のリモートコード実行のフロー共々、IEの脆弱性は今後のセキュリティ重要度判定プロセス中で優先される必要があると発言している。
 LumensionのHenryもまた、7月のパッチで2013年の現在まで緊急の速報の総数が22になることに注目している。これは2012年より速い割合であることを示している(2012年全体で緊急の速報は34リリースされた)。

Operaユーザは悪意あるアップデートを受け取っていた
The H : Security (2013/06/27)

 Operaベンダのセキュリティブログで、Operaの職員Sigbjo(oにスラッシュ)rn Vikは、未知の攻撃者達が期限切れのコード署名認証の制御を取得していた間、Operaの安全性が侵害されていたとの情報を発信した。 この攻撃者達は、マルウェアにサインするためにこの認証を使用し、Operaブラウザの自動アップデート機能を使用して数千のOperaユーザに、それを配信していた。Operaは、新しいバージョンがリリースされると直ぐにOperaの最新版にアップデートするようユーザに勧告している。
 この攻撃者達は、06月19日1:00から1:36(中央ヨーロッパ時間)までOperaの企業ネットワークにアクセスした。Operaは、彼らのシステムがクリーンにされ、ユーザのデータがコピーされた形跡はないと発言している。Operaは関係当局と共に、この攻撃の調査を実行中である。悪意あるアップデートを受け取ってしまったユーザは、この悪意あるアップデートを自動的にインストールされ、続いて、含まれているトロイによって感染させられている。VirusTotalサービスのスキャンは、このスキャナによって使用されている半分を超えるアンチウィルスエンジンが現在このトロイを検出することを明らかにしている。
 Operaは、「安全策を取って」新しいコード署名認証を使用する彼らのブラウザのアップデートバージョンが、直ぐにリリースされるだろうと発言している。

若い女の子を秘かに監視するためにWebcamをハックした犯罪者は、「私はこれでお金を稼ぐ、いいじゃないか」と、ほざいている
ESET : We Live Security (2013/06/20)

 イギリスのトークラジオ(【訳注】 電話をかけてきたリスナーとのトークを中心にしたラジオ番組)による調査は、改竄されたPCに付属するWebcamを使用して若い女の子を秘かに監視していたハッカーに光を当てた。
 BBC Radio Five Liveによる調査は、犠牲者(slave(「奴隷」)として知られる)へのアクセスを販売している利益の高い地下マーケットの発見もしている(【訳注】 Sophos NakedSecurityによると、女性が所有するWebcamへのアクセスは 1$/人、男性の場合は 1$/100人)。この攻撃者はE-Mailしたマルウェアを使用してPCを改竄していたと、この調査は述べている。この調査に応じた或るフィンランド人ハッカーは、「私はこれでお金を稼ぐ、いいじゃないか」と発言している。
 この攻撃は、リモートアクセスツール(ハッカーや彼らの顧客に、改竄されたPCのWebcamへのアクセスと、ハードドライブと個人情報ファイルへのアクセスを提供するためのツール)を使用することから”ratting”と呼ばれる。
 この調査官は、この技術を使用したJohnとして知られる16歳の者(この者は100以上のコンピュータをハックしたと発言している)を含む犯罪者達と会話した。「捕まえられるリスクは、それほどない。それは、お笑いでしか無い。私は本当に何か(当に彼らの反応)を探していたわけではない。私は衝撃的なサイトを開設した。彼らは恐ろしい画像や誰かが金切り声を上げているのを見た。そして、あなたは彼らが怖っていることを確認した。そこには女性のslave(「奴隷」)の画像を投稿する気味の悪い人がいる。当然、私はその中に属してはいない。」
 ブログへのポストで詳細にされたリモートアクセスツールに関して、ESETのセキュリティ エヴァンジェリスト(【訳注】 セキュリティの必要性や有用性について広く説いて回る人)Stephen Cobbは、「悪意あるソフトウェアの感染が、今日なんと深刻なことか。簡潔に、R.A.T.(Remote Access Tool)は、クライムウェア(【訳注】 個人情報などを自動的に盗み出す等のネット犯罪行為のために設計されたマルウェアの一種)は今日、犯罪者達によって展開されている最も人気あるカテゴリの一つである」と記述している。
 イギリス政府によるGet Safe OnlineキャンペーンのTony Neateは、「’ratting’のより多くのケースが明るみに出ている。罪なき人々の個人生活にアクセするためにハッカーが使用する方法に関して、本腰を入れて教育する必要がある。最も潜在的に危険のあるコンピュータは、古いソフトウェアを稼働しており、インストールされているアンチウィルスソフトをアップデートしていないコンピュータである」と、発言している。

OracleはJavaセキュリティを改善した。これはエンドユーザにとってどのような意味があるのか
Trend Micro : Security Intelligence Blog (2013/06/18)

凡そ2週間前、Oracleは、そのブログへのポストでJavaのセキュリティの改善を説明し約束した。それ以来、私は彼らが言っていることを明らかにすることと、それがエンドユーザにとって何を意味するのかについて数回質問した。
 最初に、Oracleは、彼らが現在セキュリティパッチを取り扱っている方法について語った。実際、彼らは、今迄のパッチより多くのセキュリティホールを解決している。取り上げるための最も重要なことは、Javaのアップデートスケジュールが他のOracle製品と同時に提供されることになっていることである。これは、今年の10月に始まり、3ヶ月毎にパッチを受け取ることになる。これは、彼らが脆弱性を攻撃される前に、より早く潜在的問題を修正するための助けになるはずである。もちろん、Oracleは、緊急の脆弱性を修正する必要がある場合には、定例外のアップデートの配布を継続するだろう。
 JavaはOracleのSoftware Security Assuranceポリシーの下で提供されている。例えば、この部分では、Oracleはバグの再発と、バグが修正された時に現れる問題を防ぐために自動化されたセキュリティ テストツールを現在使用している。これは、今後より素早くバグがパッチされることを意味しているので、歓迎されるニュースである。
 次に、Oracleは、彼らがブラウザ中にJavaのセキュリティを改善するために、どのように作業しているかを論議した。過去において実行されたことを論議するより更に重要なことは、Oracleが直ぐに実践するだろうという事である。将来のJavaのバージョンは、署名なしや、自己署名されたアプリケーションが稼働することを、もはや許可しないだろう。これが何時実行されるのかは定かでないが、実行されたなら、これは明らかにJavaセキュリティを向上させるだろう。これは、攻撃者が彼らのJavaアップレットを稼働するためにcode signing keyを取得するか改竄する必要があることを意味している。これは真に信念の固い攻撃者を止めることは無いだろうが、スピアフィッシング(【訳注】フィッシング詐欺と呼ばれるインターネット詐欺の手口の一種。特定のターゲットに対して重要なデータや個人情報を奪おうとする手法のこと)は、失敗するだろう。更に、OracleはJavaプロセスが署名することを取り消す方法を改善するために作業中でもある。このプロセスは将来DefaultでONにされるだろう。
 企業ユーザにとって、良いニュースもまた存在する。将来のバージョンはWindows自身によって強制されるセキュリティポリシーへのサポートを追加するだろう。そこでシステム管理者は、システム毎にセキュリティ ポリシーを設定することなく、Javaの使用を制限もしくは緩和することのできるネットワーク全体に渡るポリシーを設定することができる。更に、Javaディストリビューション(Server JRE)の新しいタイプは、特にJavaアプリケーションを稼働するサーバー用に作成される予定である。このディストリビューションは、潜在的攻撃を減少するために幾つかのライブラリが削除されている。
 このような変更の全ては良い方向である。Oracleは、過去においてJavaセキュリティが問題になった時、挑戦したことを認めている。彼らは、それを改善すべく一生懸命作業中である。我々はこのような努力に感謝している。そして、彼らがJava脆弱性攻撃からの脅威を減少することに成功することを希望する。そして、このことはデジタル情報を交換するための安全な世界を創造するというTrendMicroの目標と完全に軌を一にする。
 他方、我々はJavaインストールを安全に維持するための一部(Javaの最新バージョンにアップデートすること)をユーザが実行することを強く主張する。我々は以前Javaを安全にする方法についてブログへのポストで論議している。

ユーザはDebian Multimediaリポジトリを削除するよう警告された[LINUX]
The H : Security (2013/06/14)

 Debianプロジェクトは非公式のDebian Multimediaリポジトリが現在危険であると考慮する必要があると、ユーザに警告している。Debian維持者によると、debian-multimedia.orgドメインは、もはや非公式リポジトリの維持者によって使用されていない。そして現在Debianプロジェクトに見知らぬ団体が登録されている。これは、このレポジトリの使用がもはや安全ではなく、ユーザはsources.listから可能な限り早急にdebian-multimedia.orgを削除すべきであることを意味している。
 このアナウンスにおいて、Debianプロジェクトは、以下のコマンドを実行することによってシステムをチェックするよう推奨している。 

    grep debian-multimedia.org /etc/apt/sources.list /etc/apt/sources.list.d/*

 このコマンドを実行すると、ユーザがこの信頼できないリポジトリを有効にしている場合、出力中にdebian-multimedia.orgが表示される。他方、Debianの開発者Steve Kempは、Debianが現在sources.list中のエントリを簡単に取り扱うためのDebian用のツールを持っていないので、そのようなツールを作成するよう、このコミュニティに要請している。現時点では、ユーザはテキストエディタでリポジトリのソースを編集する必要がある。
 非公式のリポジトリを使用することは常にセキュリティリスクに直面することを意味している。そして、この事例は明らかに、その理由の一つ(このプロジェクトは通常そのようなレポジトリへの制御を持っていない)を示している。debian-multimedia.orgドメインの新しいオーナーが有効期限の切れた署名キーにアクセスする可能性があるので、署名のないパッケージをインストールしない場合に限り、セキュリティリスクは多少軽減される。如何なる場合にも、Debianの推奨に従い、ソースファイルからこのレポジトリを削除することが最高の処置である。

Microsoftは、今月の定例パッチで全てのセキュリティホールを閉じていない
The H : Security (2013/06/12)

 Microsoftは、Windows、Internet Explorer、Office中の脆弱性を閉じるための6月のセキュリティパッチにおいて全部で5つのセキュリティ ブレチンをリリースした。しかしながら、ネット上で流通している権限昇格に関するセキュリティホールは、未パッチのまま残された。
 Office 2003 SP3用のセキュリティパッチは、既にサイバー犯罪者による脆弱性攻撃が実行されている脆弱性を閉じるものであるため、緊急として評価されている。この問題は、Mac OS X用のOffice2011にも影響を与える。そして、このバージョン用の適切なパッチもまたリリースされた。ドキュメント中に特別に細工されたPNGファイルが存在する時、Officeはつまずき、悪意あるコードを挿入する脆弱性攻撃をすることのできるバッファオーバーフローを発生させる。他の緊急のアップデートは、Internet Explorer用の累積的パッチである。これは、インターネットをブラウズした時に、マルウェア感染に導くIEの全てのバージョン中の全19のセキュリティホールを修正している。
 残りの3つのブレチンは、Widowsの全てのバージョンに影響を与え、プリントスプーラ中の権限の昇格セキュリティホール、ネットワークスタック中のdenial-of-service(DDoS)セキュリティホール、情報の暴露を可能にするカーネル問題を修正している。Microsoftのリリース発表によれば、権限昇格のセキュリティホールは、6月始めから徘徊している脆弱性攻撃に関するものではない。
 この公開された脆弱性攻撃は、システム権限レベル(ゲストアカウントで十分である)でコードを実行する、あらゆるタイプのアカウントに対し誰もがアクセスすることを認める。このセキュリティホールは5月半ばから知られている。この問題は、事前警告することなくこの問題を公開したGoogleのセキュリティ研究者Tavis Ormandyによって顕にされた。Ormandyは、数週間後にインターネット上に脆弱性攻撃の存在を公開した。現在利用可能な情報によれば、Windowsの全てのバージョンが影響を受ける。
 直近の定例パッチで、Microsoftは、証明書信頼リスト(Certificate Trust List (CTL) )の中央管理に影響を与え、このオペレーティングシステムの後のバージョンでだけ使用可能であった様々な機能をWindows Vistaと7に追加した。例えば、管理者は、彼らがWindows Updateに関与していない場合でさえ、彼らのドメイン中のシステムが自動的にCTLを受け取れるように決定できる。このアップデートはまた、管理者がリスト上のルート認証機関が彼らの世話になっているコンピュータによって信頼されているということの決定を可能にする。  

MBRを拭い去り、画面をロックするバックドア
TrendMicro : Security Intelligence Blog (2013/06/05)

 ドイツのユーザーは、スパムメッセージを通して送られてくるマルウェアによってシステムをレンダリングすることが不可能になるリスクがある。感染したシステムをリモートからコントロールする能力を持つ最たるものであるこの特有のマルウェアは、マスターブートレコードを拭い去ることが可能である(以前、韓国に大きな危機を発生させた手法)。
 我々は最近、この注目すべきバックドアを、或るスパムの変種の添付ファイルとして発見した。我々が見つけたスパムのサンプルはドイツ語であり、受取人に或る借金の代金を払うことを強制していおり、その詳細は添付ファイルに含まれているとしている。添付ファイルを開いた人々は、実際には、例えばバックドアのようなマルウェアを実行するトリックを実行させられることになる。

E-Mail添付ファイルはBKDR_MATSNU.MCBとして検出される

 あらゆるバックドアと同様に、BKDR_MATSNU.MCBは特定の悪意あるコマンドを実行する。このコマンドはマシンに関連する情報を集め、その情報をC&Cサーバ(command-and-control server、【訳注】 マルウェアに感染したコンピュータに命令を送信し制御の中心となるサーバーのこと)に送信する。しかしながら、このバックドアの最も注目に値する機能は、マスターブートレコード(MBR)を拭い去ってしまう能力である。MBRの拭い取リは、韓国の公共機関に対する明確な態度の攻撃中で使用された。この問題を解決を難しくしているものは、一度実行されると、感染したシステムは通常ブートしない、そして、ユーザは使用不能になったマシンと共に取り残される。
 もう一つのコマンドは、このバックドアがスクリーンをロックしたり、アンロックしたりする能力である。この画面のロックは、明らかに身代金要求ソフト(ransomware)の戦略からの直接コピーである。そしてこの方法は、犠牲者が身代金を支払うまで、システムを全面的もしくは部分的にアクセス不能にする。身代金要求ソフトは、感染したシステムの画面をロックし、特定の支払方法で「身代金」を支払うようユーザに指示するメッセージを表示するマルウェアである。
 身代金要求ソフトは、当初ロシアで発見され限定的であった。しかし、2012年、 Police Trojan/REVETONの変種経由で別の賃貸契約を持った。彼らは、あらゆる身代金要求ソフトのように画面のロックを実行する。しかしながら、唯一の相違は、身代金を支払うようにユーザを威すために、犠牲者の国の取締機関からのメッセージを意図的に示しているということである。
 我々がテストしている間、 BKDR_MATSNU.MCBは、ためらいなくMBRを拭い去るルーチンを実行した。(サーバー経由の)遠隔からの悪意は、このコマンドとバックドアとの情報交換を唯一必要とし、そして、即座にこのルーチンを実行することができる。しかし、この操作は画面をロックするケースではない。 BKDR_MATSNU.MCBは、システム上に様々なモジュールをダウンロードする。そして、これが画面をロックする。どのルーチンが最初に実行されるか否かは、遠隔の悪意あるユーザに依存する。攻撃者は最初に画面をロックし、次にMBRの上書きを開始するために、あるいは、二つの内の何方かを開始するために監視しているかもしれない。
 他の可能性のあるシナリオは、BKDR_MATSNUの別の変種が、画面をロックするコマンドの実行を簡単にするスクリーン ブロッキング手法を統合している場合である。現在、我々はこのバージョンに目を光らせている。そして、我々が新しい展開を発見したなら、読者にアップデートを提供するだろう。
 より良い防御に関しては、ユーザは、受け取ったE-Mailに常に慎重であるべきであり、性急と添付ファイルを開いてなならない。あなたのシステムが既に感染しているのであれば、身代金を支払ったところで何も保証されていないのだから、身代金を支払わないことが未だ安全である。このバックドアでシステムが既に感染している人々は、 クリーンアップの手順を示してあるBKDR_MATSNU.MCB Threat Encyclopediaのページを参照しなさい。
身代金要求ソフトに関しての詳細を知りたいのであれば、身代金要求ソフトとそれが発展してきた方法に関する我々の Threat Encyclopediaのページをチェックしなさい。

Google Play上で増え続ける悪質なアダルト出会い系アプリ
McAfee(日本) : McAfee Blog (2013/06/07)

 日本McAfeeのBlog上に、Google Play上の日本人をターゲットにした、ワンクリック詐欺アプリと、アダルト出会い系サイト詐欺アプリに関する詳細が上記タイトルで公開されています。
 こちらから

日本のWebサイト改ざんを複数確認:PCは常に最新状態に!
TrendMicro : Security Inteligence Blog (2013/06/04)

”Compromised Japanese Sites Lead to Malware” と題する記事がTrendMicro Security Inteligence Blogにポストされました。この記事がTrendMicro日本によって和訳され「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」としてアップされていますので紹介しておきます。

VirusTotal: メディアファイル中にソーシャルエンジニアリングを検出
The H : Security (2013/06/04)

 VirusTotalは現在、ASFフォーマットされたビデオや音楽ファイルを使用して企てる脆弱性攻撃の検出を支援している。ASFフォマットは、そのファイルが再生された時、自動的に開く埋め込みURLを含ませることが可能である。この検出サービスは、これらURLの目的地を究明する。このサービスは未だ地域的なアンチウィルス ソフトウェアによって提供されていない。
 ASFファイルは通常WMA-, WMV- , MP3でフォーマットされたコンテンツを含み、歌もしくはビデオが合法的に取得されたか否かをチェックするためにMicrosoftのデジタル著作権管理システムを有効にしている。ユーザが、そのようなファイルを再生しようとした場合、Windows Media Playerは、ファイルのライセンスをチェックする。ASFファイルはまた、ライセンス問題を明らかにするために使用される業界Webサイトへのリンクも含んでいる。


Figure 1. VirusTotalがテストしたASFファイルの検出結果

 詐欺師達は、ユーザが関与しなくてもよいようにASFファイルを巧妙化しているので、ユーザは感染用ファイルをダウンロードさせるために、詐欺師達が招待してくれているサイトに飛ばされる。ダウンロードはプラグインとして、もしくは類似のツールとしてラベルされている。これらはビデオを再生するためにインストールする必要があるとユーザに告げている、そして、このダウンロードされたファイルにはマルウェアが含まれている。これは、巧妙に細工されたメディアファイルを再生することが、そのブラウザや既知のセキュリティ上の脆弱性用のプラグインを検証するために脆弱性攻撃キットを使用するWebサイトに、ユーザを自動的に飛ばすような方法で、このテクニックを使用することも可能である。


Figure 2. ビデオを閲覧するには、プラグインをインストールする必要があるとユーザは告げられる。しかしながら、このプラグインはマルウェアである

 ユーザーは疑わしいファイルをVirusTotalにアップロードできる(ファイルサイズ: 64MBまで)

ユーザ名とE-Mailアドレスがハックされた後、Drupal.orgは、パスワードをリセットした
ESET : We live security (2013/05/30)

 フリーのオープンソースのCMS(コンテンツ マネージメント システム)Drupalは、未知の攻撃者がユーザ名、E-Mailアドレス、ハッシュ化パスワード(【訳注】 元の数値や文字列からハッシュ関数によって固定長の擬似乱数を生成して暗号化すること)にアクセスされたので、全てのDrupal.org パスワードをリセットした。
 Drupal Associationは、Drupalを稼働しているサイト(世界中のWebサイトの凡そ2%のアカウントであり、ホワイトハウス, エコノミスト(【訳注】 The Economist、イギリスの週刊新聞)、Examiner.com(【訳注】 コロラドのデンバーに本拠を置くメディア)のようなWebサイトを含む)は影響を受けないと発言している。
 Drupal Associationの重役Holly Rossは、ブログの投稿で、「一般的にDrupalを稼働しているサイトではなく、Drupal.orgとgroups.drupal.org上に保存しているユーザアカウントデータに特に当て嵌る」と警告している。
 「このアクセスは、Drupal.orgサーバ基礎構造上にインストールされていたサードパーティ製ソフトウェア経由で成功しており、Drupalそれ自身の脆弱性の結果ではない」とRossは付け加えている。
 Rossは、このハックが既知の脆弱性に関係しており、詳細な情報は必要に応じて公開されると発言している。
 「漏出した情報はユーザ名、E-Mailアドレス、国情報、並びにハッシュ化パスワードを含んでいる。しかしながら、我々は未だ事件を調査中であり、改竄された他の種類の情報を突き止めるかもしれない。そのような場合には、我々は場合に応じた通知を行うだろう。予防措置として、我々はDrupal.orgアカウント保持者の全てのパスワードをリセットした。そして、ユーザに次のログインを行った時パスワードをリセットするよう要求する。」
 Rossはまた、「あなたが類似のパスワードを使用している他のサイトでもパスワードを変更もしくはリセットしなさい」と忠告している。

Wormがパスワードで保護されたアーカイブファイルに、それ自身をコピーしている
Trend Micro : Security Intelligence Blog (2013/05/24)

 一般的にユーザ アーカイブファイルは、便利さのためや、単に保存スペースを節約するために幾つかのファイルを一つのファイルにまとめている。しかしながら、我々は、パスワードで保護されたアーカイブファイルでさえ、それ自身のコピーを作成するWormについて明らかにしていなかった。
 我々は、特別なWINRARコマンドライン(下図参照)を使用して増殖しているWorm(WORM_PIZZER.Aとして検出される)のサンプルを集めた。実行されると、これはWORM_PIZZER.Aが、アーカイブファイル(特に、.ZIP, .RAR, .RAR FXファイル)中にそれ自身のコピーを作成することを可能にする。このWormは、これらアーカイブファイルからパスワードを収穫することはしていない。上述のコマンドラインは、通常のものであり、WINRARがシステム中にインストールされてさえいれば、ユーザがアーカイブファイル中にファイルを追加することができる。しかしながら、このマルウェアは、そのようなファイル中に、それ自身のコピーを追加するために、これを乱用している。


Figure 1. WINRARコマンドライン

 我々のテスト中に、このWormは特定のサイトからWORM_SWYSINN.SMによってダウンロードされた。
 このテクニックは2010年に確認されたWORM_PROLACOの変種を想い起こさせる。この変種はそれ自身のコピーと一緒に .EXE ファイルをアーカイブすることが確認された。しかし、WORM_PIZZER.Aが実行する興味あることは、アーカイブファイル中(パスワードで保護されたものでさえ)にそれ自身のコピーを作成するずる賢い方法にある。これらのアーカイブファイルを解凍するような疑い深くないユーザは、アーカイブファイルが、このWormを含んでいることを考えてもいない。従って、他のファイルと一緒に多分このマルウェアを実行することになる。


Figure 2. アーカイブファイル中のWORM_PIZZER.A(bot.exe)のコピー

 2013年上半期は、ZBOT, CARBERP, GAMARUEのような旧式の脅威に、検出を回避するための新しい技術、もしくは、気付かれずにユーザのシステムに滑りこむステルス的方法を使用する改作の年として発展している。WORM_PIZZER.Aも、再パックされた脅威の群と何の変わりもない。アーカイブされたファイルの保護機能が提供されているからと言って、ユーザは、これらのファイルの解凍と実行に無頓着であってはならないかもしれない(感染されたシステム中で増殖するための完全な裏工作を提供しているので)。
 防御に関して、ユーザは最高のコンピュータの実践を順守しなければならない。これは見ず知らずのサイトへの訪問を回避することや、信頼されないE-Mailメッセージからファイルをダウンロードすることの回避を含んでいる。このマルウェアがアーカイブファイルにそれ自身のコピーを作成できるために、ユーザは、そのようなファイルを実行することに特別な注意を払わなければならない。

Appleは、Windows用QuickTimeの脆弱性を閉じた
The H : Security (2013/05/23)

 Appleは、Windows用のQuickTimeメディア フレームワークのセキュリティアップデートをリリースした。このソフトウェアのバージョン7.7.4は、幾つかのメディア フォーマットを処理している時に、メモリ損壊やバッファオーバーフローを発生する12の重要なセキュリティホールを閉じた。この脆弱性は、Windows 7, Vista , XP SP2もしくはそれ以降に影響を与え、任意のコード実行とアプリケーション クラッシュを発生させるための脆弱性攻撃をすることが可能であった。
 この脆弱性は、MP3, H.263, H.264, TeXML, JPEG, QTIF, Sorenson Video, FPXファイルの再生、並びに、このプログラム(QuickTime)中のdref、enof、mvhd Atomのハンドリングに影響を与えていた。問題の全ては、HPのZero Day Initiativeで働く研究者によって報告されていた。
 記述している時点で、Appleは、彼らのセキュリティWebサイト上に修正されたバグに関する詳細を未だリストしていないが、もう直ぐ実行されるだろうとアナウンスしている。無料のQuickTimeの40MBものアップデートは、Appleのサポート ダウンロード Webサイトからダウンロードすることができる。

Citadel Botnetの提供で、銀行ログインアカウントが売りに出されている
McAfee : Blog Central (2013/05/16)

 金融関連の盗みは犯罪者の最も金になる犯罪の一つである。マルウェアの製作者はオンライン銀行口座を解錠するための高度なツールと技術を配布し続けている。攻撃者は、銀行と他の営利法人をターゲットにした金融詐欺を実践するボットネットを設計し配布している。このようなボットネットは、伝統的に犠牲者のインターネット行動を監視し、認証アカウントを抽出するために銀行取引をインターセプトし、それらを彼らのセントラル サーバーに送信している。最近のボットネットは、依然として金銭を盗むための最も効果的なこの方法を継続しているが、より高度な能力で武装している。
 最近私は、マルウェア製作者が、ターゲットにしたある銀行の詳細なアカウントログインの付属するボットネットのログを実際に販売していたロシアの地下フォーラムに遭遇した。

 これらボットネットのログは、Citadelボットネット バージョン 1.3.4.5 (Extreme Edition、【訳注】 ハイエンド版)のものである。Citadelは悪名高いZeusの変種であり、2012年後半以来広範に確認されている。このボットネットは既にMacafee Labsによってブログに公開されている。
 以下に銀行アカウント情報を抽出するためのサーバー本体のコードの画像を示す。

 次に我々は、Citadelが実行していることを確認した。私はポストされている認証を使用して幾つかの銀行アカウントにログインすることを試みた。そして、主張されている殆どのアカウントがアクティブであることを発見し驚きを隠せなかった。私はそれら銀行アカウントにログインすることに成功した。

 我々の研究は、Citadelが世界中(ヨーロッパの幾つかの国々にまたがっている)で最もアクティブなボットネットの一つであることを顕にした。このボットネットが汎用的に使用される主たる理由の一つは、このボットネットのセットアップサービスが地下コミュニティで大変安価なことである。以下にCitadelセットアップサービスの広告の一つを示す。

 同じユーザが他のフォーラムでもセットアップサービスを申し出ている。

 多くのサイバー犯罪者は、訴追されるリスクがあるので、彼ら自身のアカウントへの金銭の送金を回避するが、アカウント情報を販売し、そして、その販売から金銭を得ようとすることは、匿名性の維持において有効な方法である。従って、攻撃者は盗まれたアカウントから実行された取引に関し責任を問われない。
 予防策として、我々は地理的に異なった場所からの、あるいは、その場所へのアクセス、もしくは送金に注意すべきである。銀行は、一日もしくは一回の取引で取引できる金銭の限度を設けている。口座から実行される少額な、認証されていない取引に焦点を当てることは、注目に値することであり、多大な金融損失を妨げるはずである。

ColdFusion, Adobe Reader, Acrobat, Flash用の緊急のセキュリティパッチ
The H : Security (2013/05/15)

 5月のパッチ チューズデーで、Adobeは、Adobe Reader, Acrobat, Flash中の緊急のセキュリティホールを閉じ、そして、ColdFusion用の重要なホットフィックスをリリースした。このホットフィックスは、既に多数のサーバーを改竄する脆弱性攻撃されていたセキュリティホールを閉じた。
 Flash PlayerとAirのアップデートは、殆どの人に影響を与えるだろう。Adobeは、全13のCVE番号の付いた多くのセキュリティホールを閉じた。このセキュリティホールは、悪意あるコードを挿入する脆弱性攻撃することを可能にするメモリエラーを発生させられていた。Windows用のFlashアプデートは、最優先事項と評価されているので、Windowsユーザは、可能な限り早急にインストールすべきである。現在のバージョンは、11.7.700.202である。
 パッチされたバージョンは、アンドロイドを含む他のサポートされるオペレーティングシステム用にもリリースされている。追加されたアップデートは、Flash Player 10のユーザに影響を与える。完全な概要がアドバイザリで述べられている。Windows 8の下でのGoogle ChromeとInternet Explorer 10は、自動的にアップデートされる。
 Adobe ReaderとAcrobat用のセキュリティ アップデートは、多くの脆弱性を閉じた。全てのプラットフォーム上でサポートされる全てのバージョンが影響を受ける。Adobe ReaderとAcrobat用のアップデートはまた、大変充実している。彼らは全27のCVE番号を割り当てられていた脆弱性を修正した。これらの殆どはメモリ オーバーフロー問題である。最優先事項は、Windowsの下でのバージョン 9用のアップデートである。このバージョンは、その後のバージョンのようにSandboxを搭載していないので、攻撃者がシステム中に悪意あるコードを挿入することが取り分け簡単である。バージョン 9.5.5、10.1.7、11.0.03は、この問題を修正している。
 ColdFusionサーバーを操作している者は、取り分け注意を払うべきである。火曜日に、Adobeは、管理者が即座にインストールすべきColdFusion 9から11用の重要なホットフィックスをリリースした。これは、攻撃者がサーバーの制御を奪うことを可能にする緊急のセキュリティホールを閉じる。この脆弱性をターゲットにしている脆弱性攻撃は、既にネット上を徘徊している。数えきれない程のシステムが、このホールを攻撃するハッカーによって犠牲者となった。管理者は即座に行動すべきである。

数百万ドルを盗んでいたクレジットカード犯罪者達が逮捕された
The H : Security (2013/05/10)

 クレジットカード詐欺組織は、世界中から合計4500万US$(3400万ユーロ、45億円)盗んでいたと信じられている。現在、警察は少なくとも、この組織のニューヨーク支部のメンバーは逮捕した。捜査官は、犯罪者達がカードの期限を延長する方法を発見していたと発言している。この方法で、彼らが短い期間に大量の金銭を引き出すことが可能であったことは明らかである。
 ニューヨーク連邦検察官Loretta Lynchは、「インターネット越しに通じ合い、世界中に広がった大規模な21世紀銀行強盗」と発言し、更に「銃とマスクの代わりに、このサイバー犯罪組織はラップトップとインターネットを使用していた」と付け加えた。
 7人の男が逮捕された。彼らは、世界レベルで活動しているこの犯罪組織のニューヨーク支部を構成していた。被疑者達は、全てアメリカ、ニューヨーク市ヨンカーズに居住していた。最初の逮捕は3月27日に実行され、最後の二人の被疑者は今週初めに逮捕された。8人目の被疑者は、逮捕の僅か数日前にドミニカで殺害されていた。
 ニューヨーク支部単独で、わずか数時間の間に、ニューヨークのマンハッタン行政区における数百のATMを使用して280万US$(2.8億円) 奪ったと確信されている。「この組織は国際企業のコンピュータシステムからニューヨーク市の街に至るまで作業していた」とLynchは説明している。
 アメリカ合衆国司法省によると、犯罪者は国際金融機関のコンピュータシステムに侵入するために洗練された方法を使用していた。彼らはプリペイドカードのデータを抽出し、このようなカードのATM引き出し限度を巧みに操作した。
 捜査官は、犯罪者が二回攻撃したと発言している。2012年12月、彼らはアラブ首長国連邦のNational Bank of Ras Al Khaimah PSC (RAKBANK)によって発行されたプリペイド MasterCardデビットカードをターゲットにした。カードデータを巧みに操作した後、この犯罪者達は、凡そ20カ国のATMで4500回の払い戻しを実行した。二回目の攻撃は、オマーンのBank of Muscat of Omanによって発行されたプリペイド MasterCardデビットカードをターゲットにして攻撃した。この捜査官は、この事件で、36000回の払い戻しが24の国々で実行されたと発言している。
 アメリカ合衆国シークレットサービス(国土安全保障省傘下)は、犯罪組織のニューヨーク支部に対する逮捕劇に参加していた。シークレットサービス当局者は、新しいテクノロジと急速に成長するインターネットの使用は金融犯罪の今迄の規制を蝕んでいたと発言している。しかしながら、この支部を殲滅したことは、捜査官が結果的にせよ現在この問題に対応できていることを示している。

アップデート: プレスリリースで、ニューヨーク東地区の連邦地検は、この詐欺の詳細を明らかにしている。伝えられるところによると、この男たちはクレジットカード情報を盗むために支払い処理企業のシステムに侵入し、引き出し限度を迂回した。盗まれたデータは、金銭を引き出すために使用されるダミーのスワイプカード(【訳注】 磁気可読性情報が記録されているプラスチック カード)に書き込まれた。強盗の活動は明らかに大変組織だっていた。二回目の攻撃で、このグループは10時間の間に24の国々で約4000万US$(40億円)を引き出している。これを遂行するために、このグループは36000以上の異なるトランザクション(【訳注】 データベースに対するデータの変更処理)を実行していた。

 【訳注】 「日本国内のゆうちょ銀行では、約70カ所のATMで約400回、計約4億円が引き出された」と報道された事件です。

Microsoft: IE8の0-Dayのフローに一時凌ぎの修正
Krebs on Security : Blog (2013/05/08)

 Microsoftは、フィールド中で実際に脆弱性攻撃されているInternet Explorer 8の0−Dayのフローへの攻撃による、あからさまな脅威からInternet Explorer 8のユーザを支援するために一時凌ぎの解決策をリリースした。
 Microsoftは、IE8のバグに関する公式の修正を作業中である。その間は、影響を受けるユーザは、Microsoftが本日リリースした暫定的な修正を利用すべきである。この暫定的修正は、一回クリックするだけで良いFix-itツールである。これは、効果を発揮するためにシステムの再起動を必要としない。
 Fix-itを適用するには、IE8でこちらのリンク先(【訳注】 和訳時点で日本語化されていません。説明のサイトは、こちら(日本語)を参照してください)を訪問し、見出し”Fix it for me”の下”Enable”の下にある”Fix-it”画像をクリックしなさい。あなたが何らかの理由からこの解決策を削除する必要があるのなら、まず、このページに戻り、”Disable”の下にある”Fix-it”画像をクリックしなさい。

Microsoft: IE8の新しい脆弱性を調査している
The Register : Security (2013/05/05)

 Microsoftは、リモートコード実行に対してユーザのマシンを晒してしまう、Ineternet Explorer 8中のバグ(CVE-2013-1347)を確認した。
 アドバイザリにおいて、Microsoftは、この脆弱性が「削除された、あるいは、適切に割り当てられていなかったメモリ中のオブジェクトにInternet Explorerがアクセスする方法中に存在する」と発言している。
 順番に、これはメモリ損壊の入り口を開放し、現在のユーザコンテキスト中でリモートコード実行のためのドアを開く。
 Eric Romanによる、このブログへの投稿によれば、「CGenericElementオブジェクトが開放された時、use-after-free(解放後使用)条件が発生するが、参照はドキュメント上に維持され、レンダリングの間に再使用される。制御可能な不正なメモリが使用され、ユーザのコンテキスト下で任意のコード実行が可能になる。」
 この投稿はまた、この脆弱性攻撃がフィールド中で確認されていることにも注意している。先週、セキュリティ企業 AlienVault と Invincea がアメリカ労働省のサブドメイン上に存在するサイトが、マルウェアを供給していたことを報告した。そして、Romanの投稿は、それがCVE-2013-1347脆弱性攻撃に役立たされていたと述べている。
 Invinceaによれば、アメリカ労働省の脆弱性攻撃は、バックドア トロイ Poison Ivy をインストールしていた。
 この古いバージョンは、動きまわるために歩行器を使用しているが、 W3counter.comによれば、IEは、依然として二番目に高い市場占有率を持っている。
 Microsoftはこの脆弱性に関する定例外のパッチをリリースするか否か考慮中である。

 【訳注】 上記アドバイザリに関するMicrosoftの日本語訳は未だですが、このアドバイザリには以下の文章が存在します。

       "Internet Explorer 6, Internet Explorer 7, Internet Explorer 9, and Internet Explorer 10 are not affected by the vulnerability."
     IEのバージョン6、7、9、10は、この脆弱性の影響を受けない。
 

 IE8を利用しているXPユーザに関してですが、今更ダウングレードするわけにもいかず、かと言って、XPではIE 9 にアップグレードできない。結局、当面の間でも他のブラウザを利用するしか手がなさそうです。

IBM Notes/Domino(旧Lotus Notes)に膨大なJavaセキュリティホール
The H : Security (2013/05/02)

 IBMのNotes / Domino(特に大企業で導入されているE-Mailとワークグループシステム)は、アップデートによって即座に修正されなければならない、膨大なセキュリティ問題を持っている。E-Mailを開くだけでさえ、Notesユーザのコンピュータ上にスパイウェアのインストレーションを起動することが可能である。
 これまでのかなりの期間、Webページ中に埋め込まれているJavaは、 セキュリティ問題として批判されてきた。そして、E-Mailを開いた時のJavaScriptコードの自動実行は、そのE-Mailが何時何処で読まれたかに関する潜在的に共有される情報と共に、予期せぬ結果をもたらすこともできた。これが、殆どのE-Mailプログラム(IBM Notesを除く)が、HTML E-Mailを表示する時、JavaScriptとJavaをOFFにしている理由である。
 しかしながら、サードパーティーのセキュリティ エキスパートから連絡を受けた後に、IBMは、。セキュリティリスクの存在を、何ら許可を求めることなく外部サーバーからJavaScriptコードとJavaアップレットさえロードし実行するようにNotesクライアントが設計されていることをやっと認識することになった(Lotus Notesは大変緊急性の高いセキュリティホール(IBM Java 6 SR12)があることで既に既知であるJava環境を使用している)。
 「その場しのぎの修正」は、このような機能を無効化することによって、現在この問題を修正することが可能である。ユーザはこの問題を解決するために、例えば、notes.ini ファイル中で以下の変数を設定することで、手動でNotesの設定を変更することも可能である。

    EnableJavaApplets=0
    EnableLiveConnect=0
    EnableJavaScript=0

 IBMは、この問題にCVSS基本値 4.3 を与えた(【訳注】 CVSS基本値の算出方法に関しては、情報処理推進機構のページを参照してください)。これは、可能性のある最大値は10であることを考慮すると、多くの問題が存在するために信頼できないことを意味している。n.runsのAlexander Klink(この脆弱性の発見者)は、IBMのこの評価に同意していない。「攻撃者はNotesクライアントがインストールされているコンピュータを乗っ取るために、これを使用することができる。Notesが、如何に幅広くビジネス世界で使用されているかを考慮すると、これは、潜在的な高いリスクをもっているので大変魅力的なターゲットである。」 Lotus Notesでシステムを稼働している管理者は、可能な限り早急に、このクライアントを安全にするためのステップを取るべきである。

McAfeeのePolicy Orchestrator中にセキュリティホール
The H : Security (2013/05/02)

 McAfeeのセキュリティ アドバイザリは、ePolicy Orchestrator (ePO) 4.5.6及びそれ以前のバージョンと、4.6.5及びそれ以前のバージョンに、リモートコード実行とファイルパス トラバーサル(【訳注】 制限されたディレクトリの外へ抜け出し、システム内の他のファイルやディレクトリへのアクセスを可能にし、予期しないファイルへのアクセスに悪用される)が実行される脆弱性があることを詳細に説明している。現在のバージョン ePO 5.0 は、この脆弱性の影響を受けない。ePOは、セキュリティ ワークフローと適合性を管理し自動化するためのMcAfeeセキュリティ マネージメント プラットフォームである。
 二つの脆弱性が、このソフトウェア中に発見された。共に、ePOサーバ上にインチキのエージェントを登録し、悪意ある巧妙なリクエストを送信することによって攻撃されている。一つ目の脆弱性では、このリクエストは、システム権限付でコードを実行するための能力を獲得するために、Agent-Handlerコンポーネント中のSQLインジェクションを悪用している。もう一つの脆弱性では、このリクエストは、ファイル アップロード プロセスを攻撃し、攻撃者がサーバ上のディレクトリ(他のシステムによってダウンロードされることが可能な /Software/フォルダを含む)にファイルをアップロードすることを可能にしている。
 McAfeeは、バージョン4.6中の問題を修正した ePO 4.6.6をリリースすると共に、バージョン4.5.5用のホットフィックスを公開した。McAfeeは、バージョン4.5.7をリリースする計画があると発言している。そして、このバージョンは5月半ばに、脆弱性用の修正を包含してリリースされるだろう。ダウンロードが可能になっているパッチにアクセスするには、ユーザはMcAfeeダウンロード ページに進み、”McAfee grant number”を入力する・・・(以下略。【訳注】 McAfee日本語サイトでは、このような手順によらずダウンロードできるようです。解説ページはこちらダウンロード ページはこちら)。

【訳注】 ePolicy Orchestratorは、通常企業向けの製品です。

Microsoft: 定例パッチのパッチをリリース
The H : Security (2013/04/24)

 Microsoftは、Windows 7とServer 2008用(R2を含む)のNTFSシステム カーネル ドライバ中の権限の昇格に関するセキュリティホールを閉じることを意図した別のパッチを作成した。この新しいパッチ 2840149 は、Microsoftが今月の定例パッチでリリースしたセキュリティ アップデート 2823324 に取って代わるものである。
 しかしながら、このパッチ(2823324)をリリースした直後に、Microsoftは、このアップデートが幾つものサードパーティ製プログラムに問題(コンピュータを活動不能にしたり、エラーメッセージの引き金になった)を発生させたために、この最初のアップデートをリコールする必要があった。Kasperskyアンチウィルス プログラムもまた、このアップデートがインストールされると、それらはもはや正当なライセンスを持っていないので操作を中断するという誤った仮定に立った行動を開始した。アップデートの再リリースに際して、Microsoftは、これがシステム不良によるものか否か明らかにしていない。
 新しいパッチはWindows Update経由で既に配備されている。Microsoftは、最初のパッチをインストールしたためにコンピュータのブートに失敗するコンピュータを所有する顧客に対し、ISOイメージでブータブル リカバリディスクを提供している。

つい最近パッチしたにも拘らず、Javaには未だ脆弱性がある
The Register : Security (2013/04/23)

 最新の修正から未だ数日なのに、別のJava脆弱性が明らかになった。
 このFull Disclosureのポストで記述されているように、このReflection APIフローは、Java SE7の全てのバージョンに影響を与える。そして、研究者Adam Gowdiakによれば、「ターゲットのシステム上のJavaセキュリティSandboxを完全にバイパスすることを達成するために使用することができる。」
 いつものように、犠牲者は、JavaユーザIQテストに不合格になる必要がある(未だにJavaをインストールしているだけでなく、悪意あるアプリケーションに実行を許可するために”Yes”をクリックする)。
   Gowdiakは、この会社Security Explorationsが、「脆弱性の証明」付きでこの脆弱性のレポートをOracleに送信したと記述している。
 彼の記述では、この脆弱性はJREプラグイン、 JDKソフトウェア、Server JRE中に存在している。
 この会社は、2012年04月以来Reflection APIの問題をOracleに報告してきたので、「Oracleが、「許容された」クラス空間で潜在的に危険なReflection APIコールを追い詰めることに重点的に取り組んでいるようだ」と発言している。
 先週、Oracleは、42のセキュリティ フロー(その内の19は最重要と評価されている)をカバーするパッチをリリースした。このパッチは、ユーザが当に何か愚かな(ブラウザ中のJavaアプリケーションが実際に何かを実行することが可能であるような)ことを実行しようとしている時、ユーザに警告する機能を含んでいた。
 The Registerは最新の脆弱性についてOracleにコメントを要求した。

病的マルウェア製作者は、トロイの木馬付きボストン・マラソン爆弾に関する脆弱性攻撃を実行
Sophos : NakedSecurity (2013/04/17)

 病的ゆえの必然なのか、サイバー犯罪者は、ボストン・マラソンでの爆発のニュース速報に興味を持たせてマルウェアを拡散する脆弱性攻撃をしている。
 攻撃者によってスパムされているメッセージは、"2 Explosions at Boston Marathon"のような件名であり、ボストンでの月曜日のテロ行為のビデオフィルムへのリンクを含んでいると主張している。

 このマルウェアのキャンペーンに使用されている他の件名は以下である:

    Aftermath to explosion at Boston Marathon
    Boston Explosion Caught on Video
    Video of Explosion at the Boston Marathon 2013

 この悪意あるE-Mailに使用されているリンクが変更されているのを見たところで驚くには当たらない。間違いなく基本的なE-Mailフィルタリングの回避を企てているが、それらは全て、ウクライナとラトビアに拠点を置いていることは明らかである。
 あなたが、このリンクをクリックするという失敗を犯した場合、この恐ろしい事件の本物のYouTubeのビデオが表示されている間に、あなたのコンピュータをWindows用のトロイの木馬に感染させようとするWebサイトに連れて行かれる。このトロイは、Sophos製品によってTroj/Tepfer-Qとして検出される。

 このマルウェアがインストールされた場合、このマルウェアはレジストリを変更し、ハッカーが感染させたコンピュータへのリモートアクセスを獲得することを可能にするところの以下のファイルをインストールする。

    <System>\drivers\npf.sys
    <System>\Packet.dll
    <System>\wpcap.dll

 一番上のファイルNPF.sysは、新しいサービス名”NPF”(表示名、 "WinPcap Packet Driver (NPF)")として登録される。
 明らかに、サイバー犯罪者が犠牲者の刈り取りに十分な準備がなされていないので、深さが存在しない。
 この病気の真相は、マルウェア作者および悪意のあるハッカーが、金銭、資源および個人情報を盗む目的でコンピューターを感染させることを企て、罪なき人々の死を脆弱性攻撃に利用することで睡眠不足になることはないということである。
 忘れずに、このような戦術に対する警備をしなさい。あなたの受信トレイに到着する迷惑メールではなく、正統なニュースウェブサイトからニュースを得ていますか?

Microsoftは、全てのWindows 7ユーザにセキュリティ パッチをアンインストールするよう告げている
Sophos : NakedSecurity (2013/04/12)

 Microsoftは火曜日のセキュリティアップデートをインストールしたWindows 7(そして、MicrosoftのサーバーバージョンWindows Server 2008)の全てのユーザに、このアップデートをアンインストールするよう忠告した。これはWindows 7ユーザの中に、コンピュータが再起動しない、あるいは、アプリケーションがロードしないことが発見されたことによるものである。
 この問題を経験したユーザは、以下のような致命的なシステムエラーがどの様にして確認されたかを説明している。


STOP: c000021a {致命的なシステムエラー}
セッション マネージャーの初期化システム プロセスが、0xC000003a (0x00000000 0x00000000)で予期せず終了しました。
システムはシャット ダウンをされました。

 この問題は、Microsoftセキュリティ ブレチン MS13-036のUpdate 2823324(Windows ファイルシステム カーネルモードドライバ(ntfw.sys)用のセキュリティアップデート)に関連付けられていることを表している。
 Microsoft Security Response Centerのブログ ポストにおいて、この会社は、コンフリクトに関する問題でサードパーティ製ソフトウェアを非難した。

     我々の顧客の中に、4月9日(火曜日)に、セキュリティ情報MS13-036で提供されるセキュリティアップデート2823324を適用した後、困難な問題を経験している人達がいることを認識している。我々は、あるサードパーティ製ソフトウェアとのペアになっている時、このアップデートがシステムエラーを発生することを確認した。予防策として、我々がエラー レポートを調査し始めた時点で、アップデート 2823324 をダウンロードセンターから削除することで、このアップデートの提供を停止した。
     幾つかのレポートに反して、このシステムエラーは、如何なるデータも失われないし、全てのWindowsユーザに影響を与えるわけでもない。しかしながら、全てのユーザは、このアップデートを既にインストールしているのであれば、セキュリティ アップデート2823324をアンインストールするためにKB2839011で提供されるガイダンスに従うべきである。

 メディアのレポートによれば、ブラジルのコンピュータは、マシンが継続的に再起動を繰り返す、取り分け酷い状態にある。
 この問題に関するMicorosftナレッジベースの記事は、このバグの一つの兆候は、Windows用Kasperskyアンチウィルスがライセンスが不正であるとするメッセージを表示し、結果として、アンチマルウェア プロテクションがもはや提供されなくなることであると説明している。
 Microsoftはこの問題の修正を作業中であるが、その間、ユーザは、このアップデート2823324をインストールしないことが推奨されている。
 Microsoftは、既にこの問題を認識しており、修正作業中であると発言している。その通りである。今回の定例アップデートで問題を持った人がいるので、アップデートがあるだろう。しかし、その間、壊れたビットはアップデートされない。
 ユーザは2823324セキュリティ アップデートをインストールしない、もしくは、既にインストールしているのであれば、アンインストールすることが推奨されている。これを実行するための更なる情報は、このMicrosoftナレッジベースの記事に詳細に記述されている。

AV-Test: Windows 8上でのアンチウィスルプログラムのテスト結果
The H : Security (2013/04/09)

 AV-TESTは、Windows 8でのウィルススキャナのテスト結果を公開した。2013年の01月の初めから02月の終わりまでにかけて、このドイツに本拠を置くウィルス研究所は、企業ネットワーク用の9つのアンチウィルス プログラムと、ホームユーザ用の26のアンチウィルス プログラムをテストした。この組織は、個人ユーザおよびビジネス用の結果を3つのカテゴリー(保護、パフォーマンス、ユーザビリティ)に基づいて示している。AV-TESTによれば、テストされたアンチウィルス プログラムの0−Dayプロテクションの平均は、以前テストされたWindows 7での92%から、今回のWindows 8では95%に増加している。


AV-TESTは、このオペレーティングシステムの所有者のアンチウィルス プログラムであるWindows Defenderに11.5点のスコアを与えている。他のプログラムの殆どは、この値より高いポイントを得ている。(緑: ユーザビリティ、 オレンジ: パフォーマンス、青: 保護)

 Windows 8のセキュリティ機能は、このテストの間、全て無効化されていない。Windows SmartScreenフィルターは、テスト候補が、この機能を無効化しない限り、ONのままである。試験者は、Windows Defender(Windows 8に含まれているプログラム)が、保護を増強することを意図するプログラムの追加で、ウィルスに対する基本的な保護になると考えている。さもなければ、そのようなものをインストールする理由はないだろうから。
 期待通り、テストに使用された他の殆どのプログラムは、Windows Defender(18点満点中の11.5点)より良好に動作した。しかしながら、他の会社の2つのウィルススキャナは、なんとかかんとか10点取っただけであった。このテストにおけるTop3のプログラムは、BitDefender (17点), Bullguard (16.5点), Kaspersky Lab (16点)であった。BullguardはBitDefenderエンジンを使用しているので、この二つプログラムのパフォーマンスが類似していても驚くには当たらない。
 この組織は、後日、標準のアンチウィルス製品と一緒に、レスキューメディアと特別な削除ツールを考慮に入れる長期間のテストを含ませた別のテストレポート中に「修復」カテゴリに関するスコアを公開することを計画している。

【訳者補足】 AV−TESTの結果の内、最も気になるであろうプロテクションの順位を付け加えておきます(6点満点)。

6点
    ・ F-Secure: Internet Security 2013
    ・ G Data: InternetSecurity 2013
    ・ Bitdefender: Internet Security 2013
    ・ Kaspersky: Internet Security 2013
    ・ BullGuard: Internet Security 13.0
    ・ Trend Micro: Titanium Maximum Security 2013

5.5点
    ・ AVG: Anti-Virus Free Edition 2013
    ・ Symantec: Norton Internet Security 2013
    ・ AVG: Internet Security 2013
    ・ MicroWorld: eScan Internet Security Suite 14.0
    ・ Avast: Free AntiVirus 7.0

Deep Discoveryは、如何にして韓国を攻撃したMBR Wiperを防御したか?
Trend Micro : Security Inteligence Blog (2013/03/21)

 我々は韓国を攻撃したMBR-wipingに注目し続けている。我々は今、この攻撃が実行された方法(この攻撃が多大なダメージを発生させた理由と、我々がTrend Micro Deep Discovery中の脅威検出機能を使用してユーザを保護できた方法)の的確なイメージを持ったと確信している。
 3月19日、我々はまず、韓国の組織が悪意ある添付ファイルの含まれているスパムメッセージを受信した場所で、この攻撃の兆候を確認した。このメッセージは銀行から発信されたように装われていた。添付ファイルは本物のダウンローダーである。このファイルは、幾つかの異なったURLから9つのファイルをダウンロードする。悪意あるルーチンを隠蔽するために、インチキのWebサイトが表示される。
 Deep Discoveryが、ATSE(Advanced Threats Scan Engine)経由で、悪意あるファイルをヒューリスティック検出したので、我々はこの段階で顧客を保護することができた。Deep Discoveryは、Sandbox中で添付ファイルを実行した。この時、このような攻撃を直ちにブロックするために使用されるURLの一般的リストが使用される。この段階で発見されたURLは、その時点でブロックされる。Deep Discoveryが提供する情報とIT管理者の断固たる行動の連動が、時期を逸することなく、我々の顧客を保護することを可能にした。以下のスクリーンショットは、その警告を示している。

 トローヤン ドロッパーは、ある中央管理サーバー(CMS)経由で、目的地に向かって押し出された。このサーバーに接続しているシステムにマルウェアを効果的に拡散するために。このトローヤン ドロッパーは、以下の4つのコンポーネントをドロップする。

    bash script
    Master Boot Record (MBR) wiper
    PuTTY SSH client
    PuTTY SCP client

 この内、最もよく知られているものはMBR wiperである。このMBR wiperは、まずWindowsシステムにドロップされる。3月20日午後2:00まで、冬眠するように設定される。この日時になると、このマルウェアはアクティベートされる。このマルウェアはあるプロセスを終了する。このマルウェアは以下のアプリケーション(mRemote と SecureCRT)によって記録されたリモート接続を検索する。このマルウェアは、リモートのLinuxサーバーにログインするために任意の保存されたルート証明書を使用している。AIS, HP-UX, Solaris サーバーに関しては、このマルウェアはMBRを一掃する。このマルウェアは、MBRを一掃することができない場合には、代わりに、/kernel/, /usr/, /etc/, /home/ フォルダを削除する。
 次に、このマルウェアは、“PRINCPES”, “HASTATI.”, “PR!NCIPES”という言葉を使用してMBRを上書きする。このマルウェアは、次に、自動的にシステムを再起動する。損壊させられたMBRが原因で、このシステムはブートできない。
 読者は、この攻撃が明らかに膨大なダメージを発生させることができる方法であることを即座に認識するだろう。この攻撃はWindows, Linux, Unixシステムをブート不可能なまでにズタズタに引き裂く。そこで、管理者は発生させられたあらゆるダメージを素早く修復することができなくなる。更に、以前の投稿で我々が言及していたように、クリーンアップには多大な時間を要する。
 このことは、挙動に基づいて脅威を発見する適切なカスタム ディフェンス ソリューションの重要性を強調している。Deep Discoveryは同定し、ユーザを保護するために、IT管理者に対し有用であることが証明された情報を提供することができた。

"Whois Team"、韓国を攻撃
Kaspersky : SecureList (2013/03/20)

 本日早朝(【訳注】 時間は全て記述者の国の時間)、様々な韓国組織をターゲットにした幾つかのサイバー攻撃の報告が話題になった。
 この攻撃者は、汚染している間に、ハンドル名”Whois Team”によって実行されたとする幾つかのメッセージを残している。

 汚染している間に使用されたコード(匿名のユーザによって“pygments.org”フォーラム(参照、http://pygments.org/demo/68313/)に投稿された)は、この攻撃者によって使用された幾つかのE-Mailを同定している。

    arrFadeTitles[0] = "APTM4st3r@whois.com";
    arrFadeTitles[1] = "dbM4st3r@whois.com";
    arrFadeTitles[2] = "d3sign3r@whois.com";
    arrFadeTitles[3] = "vacc1nm45t3r@whois.com";
    arrFadeTitles[4] = "r3cycl3r@whois.com";
    arrFadeTitles[5] = "s3ll3r@whois.com";

 犠牲者のコンピュータからのスクリーンショットは、使用されたマルウェアのタイプが”Wiper”型であることを示している。我々は以前、別の二つの”Wiper”型のマルウェア(Iranian Wiper と Shamoon)について記述した。
 そう、これは孤立した事件なのだろうか、それとも、巨大なサイバーキャンペーンの一部なのだろうか? 正直なところ、我々にも分からない。或る国家が、この攻撃の背後に存在しないのであれば、まさにサイバーテロリズムである。サイバー戦争は、国家がその攻撃の背後に存在することを要求する。一般的に、この攻撃が重要な経済基盤ターゲットにしたものであるのなら、サイバーテロリズムが考慮される。重要な経済基盤の定義によると、銀行は重要な経済基盤として考慮される。これ故、今回の攻撃はサイバーテロリズム攻撃と見做される。
 StuxnetやWiperのような以前の事件は、数年間に渡って継続中のサイバー戦争キャンペーンの一部であったが、もっと隠密的な形態であった。
 明らかに、この攻撃は「騒々しい」物に設計されている(犠牲者は放送局と銀行)。これは、我々が本格的で断固たる敵対者(手っ取り早く名声を得ようとする幼稚なクラッカーや政治的ハッカーを除く)を処理していないと考えさせる。

ファーウェイ 3G/4G USBメモリは、ユーザにセキュリティ リスクを与える
The H : Security (2013/03/15)

 現在進行中のBlack Hat Europeカンファレンスで、ロシアのセキュリティ エキスパートNikita Tarakanovは、ファーウェイが3G/4G USBメモリと共に出荷しているドライバ ソフトウェアの解析の結果をプレゼンした。この研究者によれば、様々なコンポーネント(ドライバ、設定ソフト、アップデート メカニズム)は全て、不満足な品質である。
 このCentral Update Serverは、Tarakanovによって巨大な攻撃媒体として確認された。ファーウェイのソフトウェアは、各コンピュータにアプリケーションと自動アップデート コンポーネントをインストールする。この研究者は、問題のサービスがオランダのサーバーに接続し、15分毎にアップデートに関しそれをクエリしていると発言している。このWebサーバーは、Microsoftのサポート対象外になっているInternet Information Server (IIS) バージョン 6を使用している。このIISは、Windows Server 2003の一部である。Tarakanovは、このマシンをハックしたものは誰でも、世界中の数百万のコンピュータを悪意あるソフトウェアで感染させることができると指摘している。
 プレゼンの後、観客席の最前列で熱心に聴き、全てを書き留め、タブレットPCで、このプレゼンテーションの全てのスライドの画像を死に物狂いで撮影していた、ファーウェイの3人の担当者は、彼らがアップデートサーバーのセキュリティは十分な能力を持っていると思っていたと、The Hの姉妹紙heise Securityに話した。Tarakanovは、彼の発見に関する如何なる事前通知も、このメーカーに与えていなかった。
 このロシアのハッカーによると、アップデートコンポーネントのもう一つの問題は、関連するサービスが潜在的な攻撃者がWindows下で彼らの権限の昇格を容易にする脆弱性を含んでいることである。このサービスがリモート攻撃に対する脆弱性があるか否かは不明のままである。さらなる問題は、iOSとPHPのエキスパートStefan Esserによって、このプレゼンテーションの前に偶然発見された。この研究者は、このアップデート コンポーネント(ouc.app)をインストールすることは、Mac OS X下の usr/local ディレクトリに無制限の書き込みアクセスを与えるとツィートしていた。そして、このことはマルウェアが、そのシステムディレクトリに挿入されることを潜在的に可能にする。彼の発見は、このプレゼンテーションの土壇場で追加された。
 ファーウェイの担当者は、彼らの会社が可能な限り早急に、露見したこの問題を解決するためのアップデート提供するために作業するだろうとheise Securityに告げている。彼らは、取得される、あるいは、新しいソフトウェア バージョンが顧客に到着する方法を長い間知らなかったと付け加えた。

ADOBEは、FlashとAIRの重要なセキュリティアップデートをインストールするように、WindowsとMacユーザに呼びかけている
Sophos : NakedSecurity (2013/03/13)

 昨日重要なセキュリティアップデートをリリースしたのは、Microsoftだけではなかった。Adobeもまた、多くのWindowsとMacユーザに影響を与える、Flash PlayerとAIR製品用の重要なアップデートをリリースしている。
 実際、コンピュータ ユーザは、今迄Adobe Flash用のセキュリティアップデートに慣れているはずである(何しろ、4週間で4回目なので)。
 Adobeからの最新のFlash Playerのアップデートは、4つのセキュリティ上の脆弱性を修正している。
 潜在的に、セキュリティホールは、悪意あるハッカーによってコンピュータをハイジャックするために攻撃される可能性があるが、現実世界において、このような脆弱性が攻撃されているとする証拠は、未だ確認されていない。
 しかしながら、Flashベースのマルウェア攻撃の羅患率の増加に鑑み、SophosLabsからのアドバイスは、できるだけ早急に、このようなセキュリティパッチを適用することである。
 さらに、Adobe AIR用のセキュリティ アップデートは既に利用可能であり、AIRダウンロードWebページとAdobeのAIR SDKWebページからダウンロードできる。
 Adobe製品の最新バージョン番号にアップデートし続けることは困難である。そこで、あなたがシステムのアプデートの確認に便利なように、FlashとAIRの最新バージョンに関する簡便なチャートを示しておく(記述している時点)

製品 アップデート バージョン プラットフォーム
Adobe Flash Player 11.6.602.180 Windows
  11.6.602.180 Macintosh
  11.2.202.275 Linux
  11.1.115.48 Android 4.x
  11.1.111.44 Android 3.x and 2.x
Adobe AIR 3.6.0.6090 Windows, Macintosh,
Android and SDK & Compiler (iOS用のAIRを含む)

 AdobeのWebサイトのページを訪問することで、あなたが、コンピュータにFlashをインストールしているか否か、インストールしているのなら起動しているバージョンは何かを見出すことができる。
 Google ChromeとInternet Explorer 10のユーザは、Adobe Flashが自動的にアップデートされていることを発見するはずである。

US-CERTが、ヒューレット・パッカードのレーザージェット プリンタにバックドアを警告
The H : Security (2013/03/12)

 幾つかのHPのレーザージェットプリンタがネットワーク経由でアクセスされ、暗号化されていないデータは所有者の認証なしに読まれることができる。
 US-CERTは、これらのプリンタの使用者に警告のアドバイザリをリリースし、使用者にプリンタのファームウェアを修正されたバージョンにアップデートするよう呼びかけている。
 全部でレーザージェット Proシリーズの10のモデルが、パスワードの入力を促すことなくTelnet経由でアクセスされる。Debug Shellは、そのプリンタにアクセスを与えるTelnetポート上で起動され、SSL接続の無効化と、HP ePrintクラウドサーバ接続用のパスワードを平文で表示することを可能にする。オンラインマガジンCRNとのインタービューにおいて、彼の会社の所定のスキャンを実行している間に、このフローを発見したChristoph von Wittichは、このフローがDoS攻撃に使用することができるが、Defaultで、このShellはインターネットからアクセスすることはできない、そして「エンドユーザに関しては多くのトラブルは発生しないはずである」と説明している。
 HP独自のアドバイザリは、この問題の影響を受けるプリンタを同定し、この脆弱性を閉じるためのファームウェアと、そのインストレーションの説明をリリースしている。

    HP LaserJet Pro P1102w
    HP LaserJet Pro P1606dn
    HP LaserJet Pro M1212nf MFP
    HP LaserJet Pro M1213nf MFP
    HP LaserJet Pro M1214nfh MFP
    HP LaserJet Pro M1216nfh Multifunction Printer
    HP LaserJet Pro M1217nfw Multifunction Printer
    HP HotSpot LaserJet Pro M1218nfs MFP
    HP LaserJet Pro M1219nf MFP
    HP LaserJet Pro CP1025nw

マルウェア攻撃は、Microsoft Digital Crimes Unitからの警告を装っている
Sophos : NakedSecurity (2013/03/07)

 Windowsユーザへ! あなたはコンピュータ セキュリティを真摯に受け止めているか?
 もしそうなら、あなたは一見した所Microsoft Digital Crimes Unitからと思われるE-Mailを受信した時、そこで促されているアクションを実行するかもしれない。
 しかし、その行為が当にトンデモナイ間違いになる可能性がある。
 MicrosoftのMicrosoft Digital Crimes Unitは、ボットネットサーバ(Zeusに関連した)を引きずり倒すために、そして、疑わしいマルウェア製作者を調査するために一生懸命働いている仲間であることを思い出すかもしれない。
 以下に今日のスパムとしてばら撒かれたE-Mailを掲げる。そして、このE-Mailは、件名に”Security”を使用している。

    親愛なるE-Mailユーザ諸君
     あなたのオンライン個人情報を盗むためにハッカーによって脆弱性攻撃されている新しい脆弱性に起因して。
     2013年Microsoft Digital Crimes Unitは、ここに新しいセキュリティ対策を開発した。
     インターネットとMicrosoft製品の全ての利用者は、ここにインターネットサービスプロバイダやホスト会社の如何を問わず、E-mailアカウントを有効にすることを要求される。
     E-mailアカウントを有効にし、ハッカーが新しい脆弱性攻撃をできないようにするには。
     添付されている"Microsoft_STF"ファイルをダウンロードし、デスクトップ上に、そのファイルを解凍し、実行しなさい。完了したら、Microsoftセキュリティデータベースはアップデートされるだろう。
     あなたのE-Mailが有効にされない場合は、あなたのE-Mailは、ハッカーが機密情報や特権情報にアクセスすることにより、個人や商用のビジネスアカウントに侵入するリスクが存在することに注意しなさい。
     2013 Microsoft Digital Crimes Unit

 このE-Mailの添付ファイルは、Microsoft_STF_install.zipと名付けられたファイルである。上述のE-Mailによると、"all users of the internet"は、 "there"(原文のまま)E-Mailアカウントを有効にするためのプログラムを起動しなければならない。
 深刻そうに見えるけど、本当か?
 願わくば、あなたがたの殆どは、要求していないE-Mailを間違いなく疑うだろう(たとえ、スペルミスを含んでいなくとも)、そして、Microsoftからと主張する指示のために、このプログラムを盲目的に起動するほど愚かでもないだろう。
 Sophos製品は、この添付ファイルを、Troj/Agent-AANA Trojan horseとして検出する。
 Microsoft Digital Crimes Unitを装う攻撃でのサイバー犯罪者の反語と、あなた方のWindowsコンピュータを無意識的に改竄する目的でユーザを欺くために脆弱性とマルウェア感染の恐怖を利用することは、我々に通じてはならない。
 悲しいことに、この種の恐怖戦術は、間違いなく騙される人がいる攻撃型である。
 くれぐれも用心しなさい。

「 公式マーケット上の不正なアプリに注意! 」
独立行政法人 情報処理推進機構 : 情報セキュリティ>今月の呼びかけ (2013/03/01)

「 公式マーケット上の不正なアプリに注意! 」
==不正なアプリをインストールしないために==

 2012年4月、スマートフォン(Android OS)アプリの公式マーケットであるGoogle Playから、端末情報や電話帳の中身を外部サーバーに送信するなど、不審な動きをする不正なアプリが多数発見され問題となりました。そのほとんどが「(商標などを含む単語) the Movie」という名称のもので、当時7万回以上ダウンロードされていました。
 このたびIPAでは、同じAndroid OS向けの公式マーケットから、50万回以上もダウンロードされていた不正なアプリを発見しました。その不正なアプリには、個人的嗜好をくすぐるようなアイコンやキーワードが含まれていました。この不正なアプリを実行することで、スマートフォン内の位置情報やメールアドレスなどの情報が外部に送信されてしまうことを確認しています。流出した情報が必ずしも悪用されるとは限りませんが、当然、悪質な行為に利用される危険性はありますので、インストールするべきではありません。
 IPAは、Google Playから「ポルノセクシーなモデルの壁紙」という不正なアプリを入手し、解析しました。なお、これはかつてGoogle Playで無料公開されていましたが、現在は削除されています。
 ここでは、50万回以上もダウンロードされたこのアプリの手口と動作を明らかにし、被害にあわないための対策を解説します。

以下略します。詳細は、以下にアクセスしてください。

情報処理推進機構  

Evernote: 5000万ユーザにパスワードのリセットを強いている
Krebs On Security : Blog (2013/03/02)

 オンライン同期メモ サービスEvernote社は、彼らのネットワーク上に疑わしい行動が検出された後、5000万のユーザ全てにパスワードをリセットするように強制している。
 本日ユーザに送信されたE-Mailとブログの記事において、Evernote社はディジタル侵入者が顧客のユーザ名、E-Mailアドレス、暗号化されたパスワードにアクセスし得たと発言している。Evernote社は、ユーザがEvernoteに保存した如何なる内容にもアクセスされたり、変更あるいは消滅させられたりした証拠は発見されていないし、Evernote Premiumや商用の顧客の支払い情報へのアクセスは同定されていないと発言している。
 「この情報にアクセスされた場合でさえ、Evernoteによって保存されたパスワードは非可逆暗号化(【訳注】 パスワードを非可逆に暗号化して、得られた暗号文を格納。後に提示されたパスワードも同じ手順で非可逆に暗号化し、二つの暗号文が同一であれば、提示されたパスワードは正しいとするもの)によって保護される。我々のパスワード暗号化方法は堅固であるが、あなたの個人データが安全に維持されることを保証するために追加のステップを取っている最中である。多数の警告のある中、これが、我々が全てのユーザにEvernoteアカウント パスワードをリセットするように要求している理由である。どうか、evernote.com上のあなたのアカウントにサインインし、新しいパスワードを作成されたい。」と、この会社はアドバイスしている。
 あなたがEvernoteを使用しているのなら(たとえ、していなくとも)、今が、あなたが実行しているパスワードを検証する絶好の機会である。パスワードの、”やってはいけないこと”リストのトップは、あなたのE-Mailパスワードを他のサイトでも使い回すことである。また、パスワードのハッシュ化とソルト(【訳注】 ハッシュとソルトに関しては、こちらを参照)は、攻撃者があなたのパスワードを解くことを妨げるために効果的であるが、この情報を格納している会社は破らなければならない、これはソリッドプロテクションから程遠い存在である。Evernoteはパスワードのハッシュ化に、どの様なスキームを使用していたのか発言していないが、業界標準は、大多数のパスワードが既成のハードウェアで瞬きする間にクラックされる極めて脆弱なアプローチである。
 殆どのハッシュされたパスワードは容易にクラックされ、そして、組織がユーザ情報をより安全にするために個別に実行していることに関しての詳細な情報は、広汎に読まれたこのインタビューを参照しなさい。この記事は強力なパスワードを選択する方法に関する幾つかのヒントを含んでいる。最後に、あなたのEvernoteパスワードをリセットするためのリンクをクリックするように告げているリンク付きのE-Mailを受け取っても、(【訳者挿入】 たとえそれが、本物のEvernoteからのメールであろうとも)クリックしないようにしなさい(あなたが使用している他のオンラインサービスも同様)。フィッシング用のE-Mailを回避するために、手動でEvernoteサイトを訪問しパスワードをリセットしなさい。

Update 同じ内容の記事を配信していた、Sophos NakedSecurityが、アップデートしてきました。肝要な点は以下(詳細は省略します)。Evernote社は、E-Mailで警告を発しています。

 
E-Mail中に要求されている'reset password'(パスワードの再設定)を決してクリックせず、代わりに直接このサービスを訪問してください

Webページがハードディスクを一杯にする
The H : Security (2013/03/01)

 開発者Feross Aboukhadijehは、ユーザ側に何らのアクションなしに、Webページがハードディスクを一杯にすることを可能にする簡単なテクノロジを公開した。危険を承知の上で(即ち、自己責任で)、あなたが"HTML5 Hard Disk Filler"を試してみたいのであれば、単純にwww.filldisk.comを訪問しなさい。但し、憶えておきなさい! このスクリプトは即座に動作し、猫の画像であなたのハードディスクを詰まらせる。

Internet Explorer, Chrome, Safariを使用している人々は、或るWebページにアクセスすることによってハードディスクを完全に一杯にされる。

 これを実行するために、それはHTML5のWeb Storageテクノロジを使用している。このテクノロジは全ての人気あるブラウザに実装されている。Web Storageは、各ドメイン用に独立したデータ記憶領域を提供する。ChromeとSafariでは、Defaultで2.5MB。FirefoxとOperaでは、Defaultで5MB、Internet Explorerでは、Defaultで10MBである(テストページは、ブラウザで適用されるデータ限度に関する情報を提供している)。
 Aboukhadijehは、巨大な量を累積するために(例えば、政党への寄付で良く知られている技術)、数えきれないほどのサブドメイン(何れもブラウザの設定枠を超えることなく)を単純に使用している。これが可能であってはならないことは、当に常識の問題であるだけでなく、W3Cの仕様に規定されていることでもある(ユーザエージェント(【訳注】 読み書き・管理などを行うのに用いるプログラム)は、記憶領域用に許されるスペースの総量を制限しなければならない)。
 全てのブラウザがHard Disk Fillerによって騙されるわけではない。Operaはopera:config (Global Quota For Databases)で定義されている限度に到達した時、記憶領域を無制限に開放するか否かユーザに尋ねるし、Firefoxはドメイン用の限度に達っすると、何のコメントもなくスクリプトを停止する。しかしながら、Chrome, Safari, Internet Explorerは賢くない。Aboukhadijehは既に、GoogleとAppleに、このバグを通知したと発言している。

技術文書: 身代金要求ソフト(Ransomware)の歴史と技術の探査
Sophos : NakedSecurity (2013/02/26)

 過去一年に渡って、我々はRansomware(身代金要求ソフト)の回帰を見てきた。事例としては、インチキのFBI警告や、あなたのデータを誘拐したので「身代金」を支払えというものがある。
 今月始め、Ransomware(身代金要求ソフト)ギャングの逮捕がアナウンスされた。
 我々SophosLabsの研究は、このRansomware(身代金要求ソフト)が、Blackhole脆弱性攻撃キットを使用しているマルウェア配布者の間で、人気のあるZeus/Zbot犯罪ソフトウェア キットに次いで二番目であることを示している。これはまた明らかにインチキのアンチウィルスより進んでいる。

 SophosLabsの上席研究員Anand Ajjanは、新しい技術文書のためにRansomware(身代金要求ソフト)を克明に調査した。本文書は面白い一般的な歴史を提供すると共に、技術的な考え方に関する詳細も提供している。
 彼は、技術やソーシャルエンジニアリングの改善点を検証しながら、Ransomware(身代金要求ソフト)とその開発に使用される戦術を掘り下げていた。
 Anandは基本的暗号化を経由する簡単なSMS支払いから現代の産業グレードの公開鍵暗号化に至るRansomware(身代金要求ソフト)の技術を追跡している。彼はまた、Ransomware(身代金要求ソフト)の解剖に関しても記述しているし、Winlocker(Ransomwareの一つ)の技術的研究事例さえ提供している。

読んでみたい方は、以下のリンクをクリックしてください。 

"Ransomware: Next-Generation Fake Antivirus"(全27ページ、英文)

Flash Player今月三回目の緊急アップデート。0−Dayのフローを修正
Krebs On Security : Blog (2013/02/27)

 Adobeは、三つの重要な脆弱性(Adobeが実際に改竄されたシステムを脆弱性攻撃され成果を挙げられていると警告しているフローが二つ)を修正するFlash Player用の緊急アップデートをリリースした。
 アドバイザリにおいて、Adobeは、このアップデートで鎮圧されるバグの内の二つ(CVE-2013-0643とCVE-2013-0648)が、Firefoxユーザへの攻撃に使用され続けていると発言している。Adobeは、この攻撃が、ユーザを欺き、悪意あるFlashコンテンツを提供しているWebサイトにリダイレクトするために、リンクをクリックするように設計されていると忠告している。
 読者はFlashをパッチすることに疲れたと感じるのも無理はない。これは、この一月にAdobeがFlash用に出荷した三回目のセキュリティアップデートである。2月12日に、AdobeはFlash中の少なくとも17のセキュリティホールを塞ぐパッチをリリースした。2月7日、Adobeは、攻撃者が既に脆弱性あるコンピュータに侵入する為に脆弱性攻撃をし、成果を上げていた二つの他のフローに関する修正を、慌ててリリースした。
 アップデートは、FlashのWindows, Mac, Linux用が利用可能になっている(適切なバージョン番号に関しては下図を参照)。このリンクは、あなたのブラウザにどのバージョンがインストールされているかを、あなたに告げるはずである。最も最近のバージョンは、Adobeダウンロードセンターから利用可能であるが、McAfeeセキュリティスキャンのような、潜在的に望まないアドオンに気をつけなさい。これを回避するには、ダウンロードする前から予めチェックされているボックスのチェックを外すか、こちらから、あなたが使用しているOSに特化されたFlashのダンロードを入手しなさい。
 ChromeとInternet Explorer 10は、最も最新のバージョンのFlashを齎す備え付けの自動アップデート機能を持っている。Chrome用のパッチされたFlashバージョンは、11.6.602.171である。そして、既にGoogleがChromeユーザに提供しているバージョンである。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを、使用しているブラウザ毎に適用する必要がある。IEで一回、他のブラウザ(Firefox、Opera等)でも実行する。

【訳注】 Flash Player 保護モードのトラブルシューティング(Firefox | Windows)に関しては、このリンクをクリックし対応してください。

研究者はJava中に更なる0-Dayの脆弱性を発見したと主張している
Sophos : NakedSecurity (2013/02/25)

 過去、Java中の一連のセキュリティフローをOracleに警告してきたセキュリティ研究チームは、Java中に新たな0-Dayの脆弱性を発見したと発言している。
 ポーランドの企業Security Explorationsによる投稿の改訂版によると、彼らは、Oracleのセキュリティチームにプルーフ・オブ・コンセプト(概念の実証)コードを送信した、そこでOracleは、この問題を調査できる、としている。
 この問題で懸念されることは、Javaのセキュリティ サンドボックスを完全にバイパスして、このフローを攻撃することができ、最近のFacebook, Apple, Microsoftを悩ませた攻撃と同じ方法でコンピュータに感染することができるという事である
 これらの場合において、サイバー犯罪者は正当なWebサイトをハックし、Javaプラグインの脆弱性のあるバージョンを持っているWebブラウザを使用して訪問した時、Javaの脆弱性を悪用するコードを植え付けていた。

 Softpediaは、Security ExplorationsのCEO、Adam Gowdiak、の発言として以下をレポートしている:

    「二つの新しい問題は、Java SE 7だけに特定される。これらの脆弱性は、個別の面白い方法でReflection APIを悪用することを可能にする。更なる詳細は省略するが、全てのことは、このボールが再びコートのOracle側にあることを示している。」

 そこで、多くのコンピュータユーザは、妙に覚えのある状況(Oracleが何時このフローの存在を確認するのかを注視し、Java用の不可避のセキュリティ アップデートを待つこと)になっている中の自分自身を発見している。
 我々が今当に、あなたがたに与えることのできる最高のアドバイスがある。

あなたがブラウザ中でJavaを有効にする必要がないのであれば、今此処で、Javaを無効にしなさい。

 ブラウザでJavaを有効にしている多くの人々は、全くJavaを必要としていない(他方、JavaとJavaScriptを一緒にしてはならない。この二つは別物である)、多くの人々にとっての最高の解決方法は、ブラウザから完全にJavaを毟り取ることである。
 あなたがJavaを必要としていないのであれば、何故、あなたは自分自身を危険に晒すのか?

インターネット上にオンライン バンキング攻撃用の認証付きトロイの木馬
The H : Security (2013/02/22)


ユーザ アカウント コントロール(UAC)メッセージは、そのプログラムの発行者が既知であるなら、警告度の低い方法で形成される。

 アンチウィルス企業Esetで働いている Jean-Ian Boutin は、正当なデジタル署名が付いているトロイを発見した。これは潜在的にオンライン バンキングを対象にしたスパイウェアが、表面上無害なものとしてテストをパスすることを可能にする。明らかに、問題の認証は、認証機関DigiCertによって、随分前に消滅した会社に対して発行されたものである。
 綿密な分析で、”NS Autos”と呼ばれる会社からの、この正当なシグネチャはトロイと判明した一連のプログラムの原因であると確認された。”NS Auto”と呼ばれる会社はかって存在していたが、2011年に精算された。明らかに、認証機関DigiCirtは、2012年11月19日に、この会社への実行可能プログラムに署名するための有効な証明書の交付を行なってしまっている。この証明書は、Esetがこの発見を報告して初めて明らかになった。
 デジタル署名があると、一般的には、そのセキュリティレベルについて何らかのことを言うことはない。それであるにも拘らず、デジタル シグネチャは、しばしば特定の潜在的な危険な活動の前提条件である。更に、推定される発行者が既知であるなら、多くの警告は大変低い警告で形成される。最後に、例えば感染させられた可能性のあるコンピュータを手動でチェックするような時間のかかる業務を実行する時に、少なくとも最初は、デジタル署名されたプログラムを除外することは、解析における一般的方法である。
 デジタル署名されたプログラムが、「ナントカOK」と仮定できた時代は、明らかに終わっている。一つの疑問は、認証機関が証明書の発行に際し適切に身元をチェックしているだろうという信頼を止めなければならない時代になったのか否かということである。結局、DigiCertだけが最近、ブラジルの幽霊会社に正当な証明書を発行している。

アメリカ三大TVネットワークの一つ、NBC.com がハックされていた
WEBSENSE : Security Labs Blog (2013/02/21)

 本日早く、NBCのメインWebサイトと、幾つかのNBCの番組Webサイト(www.jaylenosgarage.comのような)が改竄され、ユーザに対して悪意あるコンテンツを提供していた。この悪意あるコンテンツは、ユーザがこのページを訪問するたびにロードされる、あるJavaScriptの一つに一行の iframe として挿入されていた。

 この一行のコードは、訪問するユーザ全てのブラウザに、walterjeffersからコンテンツをダウンロードすることを強制している。そして順番に、最終的に、そのコンピュータに、自動的に悪意あるファイルをインストールするための脆弱性攻撃キットを使用している他の二つのサイトに、ユーザをリダイレクトしていた。攻撃が有効になる数時間の間に、我々は、この攻撃者によって使用されている幾つかの異なったURLを発見した。Websense Security Labs内の再現システムによって記録された一連のイベントに関しては、以下のスクリーンショットを参照されたい。

 二つの脆弱性がユーザのコンピュータを改竄するために使用された。上の例において、我々はPDFファイルを確認できるが、この脆弱性攻撃はまた、Javaの脆弱性も試している。何方かが成功すると、Citadelファミリーから悪意あるバイナリが、そのマシン上にインストールされる。このマルウェアのファミリーは、Banking Trojan(【訳注】 オンラインバンキングを対象にしたトロイの木馬)とも呼ばれている。これは、オンラインバンキング アカウントからサイバー犯罪者が金銭を盗むことを支援するように設計されている。VirusTotalによれば、アンチウィルスソフトウェアの、このファイルに対する検出率は非常に悪い(【訳注】 検出率=5/46)が、Websense ThreatScopeテクノロジは、これを不審な物として検出し、このファイルの挙動についての詳しい追加説明を提供している。完全なレポートに関しては、こちらを参照
 Websenseの顧客は、脆弱性攻撃キットを妨げるために特にデザインされているリアルタイム解析によって、脆弱性攻撃コード攻撃から積極的に防御される。

 NBCは確認された後、彼らのサイトをクリーンアップしたので、既に訪問しても安全である。

Adobe: Readerの緊急のパッチをリリース
The H : Security (2013/02/21)

 Adobe Readerの重要なセキュリティ ホールが確認されてから1週間、Adobeは、Readerの新バージョンをリリースした。この脆弱性は、Windows、Mac OS X、Linux用のReader と Acrobat のバージョン 9、X、XI に影響を与える。この修正されたプログラムのバージョンは、夫々、9.5.4、10.1.6、11.0.02 である。
 このセキュリティ ブレチンは、このセキュリティホールの本質に関する詳細は与えていないものの、Adobeが二つのセキュリティホールを修正したと発言している。しかしながら、Adobeは、この脆弱性が、特別に細工されたPDFファイルを開いた時、スパイウェアでシステムに感染するための脆弱性攻撃の成果を既に実際に挙げられているために、WindowsとMac OS Xに関して最優先事項と評価し、ユーザが即座にアップデートするようにアドバイスしている。Linuxアップデートは、優先順位は低い。これは恐らく、Linux上のフローが実際に攻撃されていないと、Adobeが認識しているためだと思われる。アップデートは、自動的にインストールされるだろうが、ユーザはまた、各プログラムのヘルプ メニュー中のアップデートプロセスを手動で動作させるオプションも持ている。

Adobe Readerの緊急のパッチがスケジュールされた
The H : Security (2013/02/17)

 数日前に知られることとなったAdobeのReaderとAcrobat XI中の最近の0-Dayの脆弱性は、今、修正とアップデートがスケジュールされた。Adobeの週末のブログ ポストによれば、この問題(CVE-2013-0640 と CVE-2013-0641)は、2013年02月18日から始まる週の間に為されるアップデートで修正されるだろう。
 Adobeは正確な日時を与えていないが、このアップデートされたセキュリティ アドバイザリは、この修正が、WindowsとMacに関してはAdobe ReaderとAcrobatのX, XI、及び、Adobe ReaderとAcrobatの9.53と9.x以前、Linuxに関してはAdobe Readerの9.5.3と9.x以前のバージョンに関してであると記述している。 このアドバイザリはまた、WindowsのAdobe ReaderとAcrobat XIのユーザに、Protect Viewを有効にすることによって自身を保護できるとするAdobeの公式アドバイスの提供を継続している。Windows以外のReaderとAcrobatのユーザに関しては、唯一のセキュリティ オプションは、少なくともアップデートが到着するまで、代替PDFビューアーを使用することのようである。

マルウェアが正当なWebサイトの正当なJavaScriptコード中に挿入されていた
Sophos : NakedSecurity (2013/02/13)

 Sophos Security Threat Reportにおいて最近言及されたように、我々が悪意あるコンテンツを検出したWebサイトの80%は、ハックされてしまった無実のサイトである。
 我々が注意している動向は、ハッカーがWebサイト上にホストされている正当なJavaScript(Javaと混同しないように)中に悪意あるコードを挿入していることである。
 JavaScriptは、HTML Webページによって自動的にロードされる。そして、そのメインのサイトの評価と正当なJavaScriptを継承する。
 言い換えれば、ユーザのアンチウィルス ソフトウェアが、悪意あるコンテンツに関する警告を表示した場合、その警告が誤検出として軽くあしらわれ、正当なJavaScriptの部分に対する信頼できない検出として非難されるかもしれない。
 最近、Sophos Labsが、以下を含む正当なWebサイト上に、立て続けて Troj/Iframe-JG を検出した。

  • ・ 英国の小学校のWebサイト

  • ・ イタリアの小さなコミュニティーのWebサイト

  • ・ ロンドンのナイトクラブ

  • ・ 東アフリカの国のTV会社のWebサイト

  • ・ アメリカのFinancial Advisorsの事業者団体のWebサイト

 私が接触を試みた影響を受けていた或るWebサイトは、ヘッドホーンメーカーFanny Wangに属していた。

 残念なことに、この会社は、私が彼らのサイトを通じてポストしたメッセージに決して応答しなかった。そして、リストされているWhoisコンタクトE-Mailアドレスは、私にエラーを与えた。
 此処に、我々がFanny Wang Webサイトを検証した時、Sophos Labのマルウェア解析システムが確認したスナップショットを示す。

 Sophos Labs中の、この熟達したマルウェア解析システムは、一般公開されている検出ルーチンで内容(Troj/Iframe-JG)をスキャンするのみならず、我々研究者の使用のための純粋なテクノロジでもある。これは、Guru/Iframe-I 検出を説明しており、これは、我々の研究室の内部だけでしか今迄に見られなかったものである。
 実際の悪意あるコードは、ある正当なJQueryコードの始めに挿入されたインチキのTwitter iFrameとして、Web開発者によって簡単に見つけられ(そして、掃除され)るはずである。

 Sophos Labsは、我々が、この攻撃について情報を与えた他の組織からの返答を未だ聞いていないので、このコードの挿入がどの様に実行されたのかは明らかでない。
 上述の例で使用されたjQueryのバージョンは、2008年からのバージョン1.2.6である。現在のバージョンは2.0.0であり、これは、このサイトが全くパッチを当てることもなく、アップデートもされていないかもしれないということである。
 明らかに、Webサイトが適切に防御されることは必須である、さもなければ、彼らは、このような攻撃の生贄となることを継続し続けるだろう。
  Webサイトを構築した時に、誰か(個人であれ、会社の利益のために働いているものであれ)が考慮する必要のある重要なことの一つは、セキュリティの観点から質の良いホスティング プロバイダを選択することである。

アップデート: Fanny Wangは、彼らのWebサイトの一部をクリーンアップしたように見えるが、そのページはアクティブな悪意あるコードが実行を継続している。あなたが、このサイトを訪問する予定であるのなら、あなたのPCやブラウザ上で、何らかのリアルタイム Webプロテクションを稼働させておくことは、おそらく立派な保証となるだろう。

ADOBE: Reader中の緊急のセキュリティホールに関する解決策を提言している
The H : Security (2013/02/14)

 新しいアドバイザリにおいて、AdobeはReaderとAcrobat PDF viewer中の緊急の0-Dayのセキュリティホールを警告した。これは、既にサイバー犯罪者による攻撃で実際に成果を挙げられている。この脆弱性は、FireEyeのセキュリティ研究者が出回っているPDFファイルを検証していた時に検出された。
 特別に細工されたPDFドキュメントは、このドキュメントを開いた時に、システム中に悪意あるコードを挿入するために幾つかのセキュリティホールを攻撃しているようである。Adobeのアドバイザリは、問題の根幹である二つの重大な脆弱性は、鑑別子CVE-2013-0640 と CVE-2013-0641が割り当てられていると発言している。Adobeは、この脆弱性が、WindowsとMac OS X用のReaderの現在のバージョン並びにAcrobatの現在のバージョンに影響を与えると発言している。パッチは既に準備中であるが、何時リリースされるかは、現時点では不透明である。
 Adobe Readerの現在のバージョン中でPDFドキュメントを開いたユーザは、それ故、マルウェアで彼らのシステムを感染させられる危険がある。Adobeによれば、Windows下でAcrobatのXI (11.x)バージョン、もしくは、Readerを使用している人々は、「保護されたビュー」機能を有効化することによって自分自身を保護することが可能である。Readerでは、このオプションは、編集>環境設定>セキュリティ(拡張)を選択し、そのページ上の保護されたビュー オプションを探すことで発見することができる(【訳注】 Readerの拡張セキュリティについては、こちら参照)。このオプションを有効にすると、結果としてPDFドキュメントをSandbox中で開くことになる。
 もう一つのオプションは、もちろん、別のPDFビューアーを使用することである。コンピュータにGoogle Chromeをインストールしている人々は、PDFを閲覧するDefaultビューアーにChromeを設定することができる。これを有効にするには、PDFファイルを右クリックし、”別のアプリで開く”を選択する、次に”プログラムの選択”、最後に”Chrome.exe”を選択する。(Chromeは、Windows 7では、C:\Users\{user name}\AppData\Local\Google\Chrome\Application の下に見出すことができる)。

Adobe: Flash Player中の二つの0−Dayのセキュリティホールにパッチ
The H : Security (2013/02/08)

 Adobeは、二つの緊急の脆弱性を解決するために、WindowsとMac OS X用のFlash Playerのセキュリティアップデートをリリースした。この緊急のリリースは、WindowsとMacシステムで、この二つの脆弱性が攻撃されていたために、必須であったと、Adobeは発言している。修正はLinuxとAndroidシステムに関しても利用可能であり、この脆弱性は、攻撃者が影響を受けるシステムの制御を奪うことを可能にしているので、可能な限り早急にインストールされるべきである。
 攻撃の特徴は今のところ顕にされていないが、Adobeの勧告中にリストされているセキュリティホールの報告者は興味あるリストである。セキュリティホールの一つ(CVE-2013-0634)は、納入業者Lockeed Martinの事件対応チーム、MITRE、ShadowServer Foundationの”W”の功績である。報告者のこの組み合わせは、この攻撃が産業スパイをターゲットにしたものであることを示唆している。
 問題になっている脆弱性は、取り分けWebサイト上のFlashコンテンツを通してFirefoxやSafariを稼働しているMacユーザをターゲットに使用されていたが、Adobeは、この脆弱性がE-Mailで添付ファイルとして配布された悪意あるSWFコンテンツの付いたMicrosoft Wordドキュメントを経由して、Windowsユーザの攻撃にも使用されていたことに言及している。この脆弱性は、コードの実行を導くメモリ損壊問題として説明されている。Kaspersky Labの研究者によって報告されたもう一つのフロー(CVE-2013-0633)は、E-Mail中のMicrosoft Wordドキュメント中に埋め込まれたFlashを通じてWindowsユーザをターゲットにしていた。この脆弱性はバッファオーバーフローを発生させると言われている。
 WindowsとMacユーザは、Flash Playerダウンロードセンターから利用できる、バージョン 11.5.502.149 にアップグレードすべきである。このPlayerのLinuxバージョン(11.2.202.262)も、ダウンロードセンターから利用可能である。Androidバージョン 4.x デバイスは、バージョン 11.1.115.37 に、2.x と 3.x のAndroidはGoogle Play Storeを通じて 11.1.111.32 にアップグレードできる。Google ChromeとInternet ExplorerのFlash Playerは、夫々 11.5.31.139 と 11.3.379 に自動的にアップデートされる。

UPnPのフローは数千万のファイアーウォールを開きっぱなしにする
Sophos : NakedSecurity (2013/02/05)

【訳注】 UPnP(Universal Plug and Play)の脆弱性情報に関しては、01月30日にJPCERTに公開されています。詳細に関してはCOMPUTERWORLD日本語サイト参照してください。

 先週、セキュリティ研究者HD Mooreは、彼の最新の論文"Unplug. Don't Play"を公にした。この論文は人気のあるUniversal Plug and Play (UPnP)実装中の脆弱性に注目している。
 UPnPとは何か? Paul Ducklinは、その原理とビデオカメラの危険についての彼の最新の記事において、その根拠を説明しているが、簡単に言えば(私の意見であるが)、UPnPは今迄で最悪の考えの一つである。
 それを言葉にすると、UPnPは、ユーザの介在なしに、ネットワーク機器を自動的に設定するためにデザインされているプロトコルである。
 いいね、本当に? UPnPは、あなたがゲームで遊ぶことができるように、ファイアーウォールに穴を貫通させることを告げてXBoxのようなことを可能にしている。
 UPnPはまた、犯罪者が簡単にアクセスできるように、マルウェアがあなたのファイアーウォールに穴を開けることを可能にしている。
 一般的に言われていることは、認証や人々がデバイスを制御する知識なしに、セキュリティ機能を無効化することができるものを実装することは悪い考えである。
 我々は、UPnPを利用している内部の危険なデバイス/ソフトウェアの危険性を認識している。今、UPnPが外部の者のことを聞くようになったと想像してみよう。
 Mooreが我々に代わって仕事してくれているので、我々は想像する必要はない。彼はインターネット上に8100万のUPnPデバイスを発見し、その内の1700万がリモートから設定変更可能であることを明らかにした。
 恰も、これでもが悪さの度合いが不十分であるかのように、Mooreは、二つの最も人気あるUPnP実装中に10の新しい脆弱性を発見している。
 彼のスキャンは、リモートコード実行フローに対するデバイスの脆弱性は2300万以上に上ることを示している。
 脆弱性ある製品の中には、Webカメラ、プリンタ、セキュリティカメラ、メディア サーバー、スマート テレビ、ルータを含んでいる。
 最後の一つは、何が脅威かという事である。殆どこれまで、あなたがホームビジネスとかSOHOビジネスで聞いたことのあるベンダは脆弱性ある製品のリストにルータをあげている。
 Outsideインターフェイスに関する認証なしに、どの様にして、あなたがファイアーウォールを設定することができる製品をルータ メーカーが出荷できたのか、私には全然わからない。
 多くのルータはUPnPを無効化するオプションを持っていない。そして、更に悪いものには、そのオプションがあるが、それは何かを実行することはない。
 あなたがチェックすることを、そして、あなたのルータがリスト上に記載されているかを確認したいのであれば、彼のレポートの最後のページに、1500のベンダからの6900を超えるリストに対して、Mooreはリンクを貼っている。
 あなたの製品が影響を受けるのであれば、あなたは修正を求めてベンダにコンタクトすべきである。
 修正が無いのであれば、UPnPをサポートしていないもの、もしくは、UPnPを適切に無効化できるものにデバイスを置き換えることを考えなさい。
 無料のSophos UTM Home Edition(これはUPnPをサポートしていない)にアップグレードすることを考える良い機会であるかもしれない。

緊急のJavaアップデート: 50のセキュリティホールを修正
Krebs On Security : Blog (2013/02/03)

 Oracle CorpはJava SE ソフトウェア用のアップデートをリリースした。Oracleの発言によれば、このアップデートは少なくとも、この修正はフィールド中で実際に脆弱性攻撃されているものを含む50のセキュリティホールを塞いでいる。
 本来、Java SE - February 2013の緊急のパッチ アップデートは、2月19日にリリースされるようスケジュールされていたが、Oracleは、この脆弱性の一つが実際にフィールドで攻撃されているため、このアップデートのリリースを前倒しすることを決定したと発言している。
 「攻撃の成功によって引き起こされる脅威のため、Oracleは、顧客が可能な限り早急にこの修正を適用するよう強く推奨する」とOracleは、そのアドバイザリに記述している。
 Oracleにパッチスケジュールを前倒しさせたJava中の0-Day脆弱性の明確な根拠を、私は発見できなかったが、最近研究者は、この会社が出荷したJavaの以前のバージョン(このプログラムへの攻撃を妨害するように設計されていた)でメカニズムに未パッチのフローがあることを発見している。 Java 7 Update 10で、Oracleは、信頼される認証機関によってデジタル署名されていないJavaコードの実行を手動で許可することをユーザに要求するメカニズムを導入した。セキュリティ専門家の中には、Java中のセキュリティバグに対する攻撃の成功を劇的に減少させることが見込まれていたために、この機能の追加に関してOracleを賞賛する者もいたが、研究者達は、この新しい機能が簡単にバイパスされることを示した。
 最新バージョン(Java 7 Update 13 と Java 6 to Update 39)は、Java組み込みアップデータ(Windowsコントロールパネルからアクセス可能)かJava.comを訪問するかの何れかで利用可能である。あなたが所有しているバージョンが不明であったり、あるいは、このプログラムをインストールしているかどうかハッキリしないのであれば、Java.comのホームページの赤い「無料Javaのダウンロード」ボタンの下にある「Javaの有無のチェック」をクリックしなさい。
 システム上にJavaをインストールしている殆どのユーザは多分、Javaを必要としていないし、安全にJavaを削除することができる(このアドバイスは、企業システムのユーザにまで拡張していない)。このプログラムは、マルウェア製作者が0-Day脆弱性攻撃のチャンスの頼り甲斐のある流れを生じさせるためにあるようなバグの多いプログラムである。 そこで、あなたがそれを必要としていないのであれば、廃棄しなさい。
 あなたがJavaを必要とするのであれば、あなたがJavaを必要とする場合を除いて、もしくは、Javaが必要になるまで、ブラウザからJavaを無効化しなさい。Javaの無効化は、Javaコントロールパネル アップレットを通じてWebブラウザ中のJavaコンテンツを無効化することが可能である。代替方法としては、二つのブラウザ アプローチが考えられる。あなたが毎日サーフするために使用しているブラウザではJavaを無効化し、Javaを要求するサイトにだけ使用する二つ目のブラウザにJavaを残しなさい。
 Appleは、新しい未パッチの脆弱性が検出された後、OS Xシステムに関しJavaをブロックするためのステップを取った。MacRumorによると、一月に二回の理由から、Appleは、OS X用のJava Webプラグインの現在のバージョンを、OS Xに組み込みの“Xprotect”アンチマルウェアシステムを使用してブラックリストした(これは、未だリリースされていない最小版番号を強いるためである)。しかしながら、9to5Mac.comは現在、Mac OS X用のJava 7 Update 13は、MacのJavaを、Xprotectによって強制される正しいバージョンにすると記述している。これはJavaを必要とするMacユーザが、ターミナル コマンドラインを弄り回す必要なしに再びJavaを使用できることを意味している。
 これはJava6のアップデートの最終セットである。OracleはJava 6を廃止し、既にJava 6のユーザをJava 7へ統合を開始するためのステップを取っている。全体としては、これは多分賢明なことである。テキサスに本拠を置くネットワークマネージメントとモニタリング企業SolarWindsのLawrence Garvinは、Java 7のセキュリティ問題に対するメディアの注意喚起が、幾つかの組織にJava 6のアップグレードを延期させることの決定に影響を与えているかもしれないが、Java 7のリリース以来同定されたセキュリティ問題の内の18だけが、Java 7特有のものであると発言している。
 「Java 7のリリース以来、同定された84の脆弱性の内、我々は、この脆弱性の66が、Java 6中に存在していることを発見した。また、脆弱性の40がJava 5中に存在していた」とGarvinは発言し、更に「Java 7セキュリティ問題に関するマスコミ報道は、幾つかの組織が、実際にJavaプラットフォームのコア全体に脆弱性があるとするなら、Java 7に脆弱性があると考えることで、Java 6をJava 7にアップデートしないようにすることに影響を与えているかもしれない。Oracleは、2013年02月以降、Java 6用の新しいアップデートをリリースすることはないとアナウンスしている、そこで、Java7中で発見された更なる脆弱性(Java 6中にも存在する)は、決してJava 6にパッチされることはない。」

VLCの最新バージョンはセキュリティホールを持っていた
The H : Security (2013/01/30)

 VLCビデオ プレーヤーの開発者は、このアプリケーションの最新バージョン 2.0.5 にクラッシュを発生するバグがあることを警告している。この脆弱性は、任意のコードを実行による攻撃を受ける可能性がある。この原因は、ASFデマルチプレクサー(libasf_plugin.*)中の問題である。この問題は、特別に細工されたASFムービーでバッファオーバーフローをもたらすために利用されることができる。開発者達は、ユーザが耐え切れなくなって特別に細工されたファイルを開くことを忠告し、ユーザが信頼できないサードパーティーや信頼できないサイトからのファイルを開かないように忠告している。
 他の解決方法は、脆弱性のある機能を無効にするために、デマルチプレクサー プラグインを削除することである(Windowsでは、\VLC\plugins\demux\libasf_plugin.dll)。パッチは脆弱性のあるマクロをスタティック型のインラインコードとより優れた配列境界のチェック(【訳注】 メモリへの不正アクセスをチェック)に置き換えるものが開発された。そして、これは、次のVLCのバージョン 2.0.6 に適用された。既にWindowsとMac OS X用のパッチされたバージョンは、VLCの開発版のサイトから利用可能であるが、これは開発バージョンであるため他のバグを持っているかもしれない。

Operaは深刻なセキュリティホールを修正したが、Mac App Storeユーザは、またも放置されている
Sophos : Naked Security (2013/01/30)

 Operaは、彼らのWebブラウザの新しいバージョン 12.13 をリリースした。そして、ユーザに一連のセキュリティ上の修正並びに通常の「安定性の強化」のために、インストールされているOperaのアップデートを推奨している。
 Windows, Mac, Linux用のOpera v12.13はOperaのWebサイトからダウンロードできる。そして、そのチェンジログ中で、修正されたセキュリティ問題(このWebブラウザにクラッシュを発生させるための脆弱性攻撃を行うことができる脆弱性、場合によっては、マルウェアのような任意のコードの実行ができる脆弱性や、OperaがブービートラップされたSVGファイルの操作方法に関する脆弱性を含む)に関して読むことができる。
 あなたがOperaを使用しているのであれば、言うまでもなく、可能な限り早急にバージョン 12.13にアップデートすべきである。
 しかし、あなたが公式WebサイトからOperaのコピーを得られなかったらどうだろうか?
 代わりに、AppleのMac App StoreからMac用のOperaのバージョンを取得するとどうなるだろうか?

 悪いことに、Mac App Store用のOperaのバージョンは、未だ、12.11に留め置かれている。
 即ち、これは2012年12月18日にリリースされているバージョン12.12にさえ、Appleはアップデートしていないということである! Appleが、バージョン12.13で可哀想なMac App Storeの顧客を保護するために何時手を回すのか、誰か知っているか...
 簡潔に、Mac App StoreのOperaのバージョンは完全に二代時代遅れである。
 Mac App Storeは、Macユーザがソフトウェアを入手するための便利な総合ショップであるかもしれないが、ソフトウェアのアップデートを維持し、ユーザが最新の脆弱性から保護されることを保証することに関する仕事に関しては、なっていない。
 彼らのOperaアップデートを維持するためにApp Storeに依存し、セキュリティ上の脆弱性を心配していない者は、煮え湯を飲まされている。
 Josh Longの様な研究者が以前Naked Securityで説明したように、この問題は、AppleがApple Store中に掲示しているソフトウェアの承認に大変長い時間がかかっているためである。App Storeは、「アプリケーションの経過を追い、アップデートがあった時は、あなたに告げる」とか「あなたは常に所有している全てのアプリケーションの最新版を持つだろう」という約束を冗談にしている。
 Operaユーザに対する私のアドバイスは、Mac App Storeから、このソフトウェアを取得するのではなく、代わりにOperaのサイトから直接それを取得しなさいということである。
 インターネット ブラウザーのような幾つかのソフトウェアは、その最新バージョンであるかどうかに関して信頼できないのであれば、使用すること自体大変危険である。
 他方、Macユーザが、Javaアップデートに関してもはやAppleに依存する必要がないということは良いことではないだろうか?

WordPress 3.5.1、セキュリティを確固とし、HTMLの消失を食い止めている
The H : Security (2013/01/25)

 WordPressの開発者は、人気あるオープンソースのブログ用ソフトウェアのメンテナンス アップデートをアナウンスした。WrodPress 3.5.1は、37のバグを修正し、3つのセキュリティ問題(二つのクロスサイト スクリプト脆弱性を含む)を解決している。IIS(【訳注】 MicrosoftのWebサーバソフト)上でWordPressを稼働しているユーザは、このアップグレードを妨害する問題に遭遇するかもしれない。開発者達は、ユーザが、この問題を解決するための文書を準備している。
 このアップデートで解決されたセキュリティ問題は、Pingback (【訳注】 誰かが web のドキュメントにリンクを張ったとき、そのことをリンク先のサイトに通知するための方法で、ピンバックと読みます)経由で情報の露出を可能にしていたサーバサイド リクエスト偽造問題を含んでいる。開発者によると、攻撃者は、この脆弱性を利用して、未パッチのWordPressサイトを改竄することが可能であった。クロスサイト スクリプト脆弱性は、外部Plupload(【訳注】 マルチファイル アップローダ)ライブラリと、ショートコードとpost contentハンドリング中で修正された。
 幾つかのバグもまた、このリリースで修正された。この中には、エディタ中で、並びに、スケジュール化されている投稿からHTML要素が消滅する問題を含んでいる。そして、幾許かの重要性の乏しいワークフローも、メディアマネージャ(昨年12月にWordPress 3.5で導入済み)中で改善されている。WordPressは現在、、それがインストールされているネットワークを、ユーザが変更する時の書き換えルールを提案している。このソフトウェアは、管理者領域にアクセスすることを妨げるテーマ中の欠陥のあるJavaScriptからも回復する。修正に関する完全なリストは、Change Log中で利用可能である。
 WordPress 3.5.1は、このプロジェクトのサイトからダウンロードできる。代替の方法として、既存のユーザは、WordPress管理者インターフェース中の、ダッシュボード>アップデート 経由で自動的にアップデートできる。WordPressのソースコードは、GPLv2以降でライセンスされている。

MicrosoftのFree Anti-Virusでアップデートに問題発生
The H : Security (2013/01/24)

 土曜日、Microsoftの無料のアンチウィルス ソフトウェア、Microsoft Security Essentials (MSE)が、幾つかのシステムでマルウェア シグネチャの自動アップデートを停止した。このプログラムのウィンドウの”アップデート”ボタンのクリックもまた同様に、アップデートの配布に失敗すると、ユーザは報告している。この問題は、1月19日以来、影響あるシステム上に存在しているようである。Microsoftは、この問題に関して公式コメントを発表していない。
 この問題は、明らかにMicrosoftのMalware Protection Centerからマルウェア シグネチャをダウンロードすることで解決できる。このシグネチャは、管理者権限で稼働しなければならない70MBのプログラムで構成される。ダウンロードする時、このサイトはMSEの32ビットバージョンと64ビットバージョンを提供しているので、ユーザは間違いなく自分のシステム上で実行できるファイルをダウンロードしていることを確実にする必要がある。更に、ユーザは、Microsoftから別個に提供されている、アップデートされたネットワーク アクセス コントロール ルールをインストールしなければならない。

あなたのFoxit Readerをアップデートすることは本当に重要なのだが、残念なことに、そのWebサイトはダウンさせられている
Sophos : NakedSecurity (2013/01/21)

 あなたのコンピュータを安全にしようとする時、大勢に従うなと言われている。
 当にそのことについて考える。実質上多くのマルウェアは、MacやLinuxよりWindows向けに書かれている。
 同様に、我々は、それらが広範に使用されているが故にJava, Adobe Flash, AdobeのAcrobat PDF readerのようなものに対する攻撃をしばしば見る。この悪意ある攻撃者は、攻撃成功の可能性を増加するために、世界中が同じソフトウェアを使用している時を好む。
 その理由から、人々の中には、Foxit SoftwareのPDF readerのような代替ソフトウェアを使用する人々がいる。

 この考えは、オンライン犯罪者がAdobeのPDF Reader中のセキュリティ脆弱性の攻撃に成功しても、Foxit Reader中には、多分存在しないという事である。
 もちろん、この考えは、代替ソフトウェアがセキュリティ脆弱性に対する免疫を持っていることを意味していない。その好例として、脆弱性が今月初旬Foxitブラウザ プラグイン中で発見された。
 フィールドで、このバグを攻撃しているマルウェアは明らかになっていないが、Naked SecurityのPaul Ducklinは、詳細にこの脆弱性を検証し説明している。彼は、「このバグ(スタックオーバーフローの副作用)は、あなたが選んだメモリの位置に、大変簡単にあなたが書き込むことを可能にしている。これは良くない。」と彼は記述している。
 しかし、現在良いニュースがある、即ち、Foxitがアップデートでこの脆弱性に対応した。
 あなたは、Foxit Readerの、ヘルプ>アップデートの確認 に進むか、FoxitのWebサイトから直接最新バージョン(5.4.5)をダウンロードするかの何方かを実行することができる。
 しかしながら、私が試みた時、このソフトウェアをダウンロードするためのFoxitのWebサイトに到達できなかった。

【訳注】 指定したサイトに到達できない場合、http://www.downforeveryoneorjustme.com/にアクセスし、URLを入力後”or just me”をクリックすると、自分だけが到達できないのか、サイトがダウンしているのかを判断してくれます。

 この問題がFoxit SoftwareのWebサイトに存在するのか全くハッキリしていないが、おそらく、彼らはユーザの便益のために直ぐにこの問題を修正するだろう。もちろん、このWebサイトがダウンしている理由は、必ずしもこの製品中からのアップデートの要求がインパクトを与えていると言い切ることはできない。
 (あなたがアップデートの取得で苦労しているのであれば、あなたが乗り切るために使用できる簡単な軽減策に関する示唆をDuckの記事が含んでいることを忘れないようにしなさい)
 Foxitからの勧告は、伝えられるところによると、こちらで公開されているのだが、私はそれを取得できていない。
 あなたのコンピュータを安全にしようとする時、大勢に従うなと言われている。
 しかし、あなたの最善は、あなたがセキュリティアップデートを必要とする時、代わりに使用しているソフトウェアのプロバイダのWebサイトが鯖落ちしないように願うことである。
 Foxitユーザのあなたの幸運を祈る。できうる限り早急にアップデートしなさい。

別のJava 0-Dayの脆弱性が明らかに利用されている
The H : Security (2013/01/17)

 Krebs on Securityによると、ブラックマーケットのベンダは、新しい0-Dayの脆弱性を発見し、ブラックマーケットのフォーラムで彼が販売しているものが利用可能であると主張している。このベンダは、Oracleが、2012年末に表面化した他の危険なセキュリティホールを塞ぐためのパッチ(Java 7 Update 11)を提供した後、丁度24時間で、このセキュリティホールに関する情報を販売していたことは明らかである。Brian Krebs(【訳注】 凡そ8年に渡りWashington Post Internet版でSecurity Fixと題するBlogを記載したセキュリティ問題に関する著名なエキスパート。上述のKrebs on Securityのブログ主)は、この販売者が一人当たり$5,000で、この脆弱性攻撃キットを提供しており、既に二つの興味を持つ団体に販売したとレポートしている。この販売者は「Javaは、またも失敗した。そして、ユーザは危うくされている」と喜んでいる。
 Oracleのアップデートがリリースされて間なしに、Immunity Productsの研究は、報告されている二つのバグの内の一つだけが、このアップデートで修正されたが、「Javaコードベースの十分な知識と修正されたものに代わる別の0-Dayのバグを利用できる攻撃者は、容易にユーザを危うくし続けることができる。」とレポートしていた。
 Immunityが発見したことと他のセキュリティ研究者のアドバイスを踏まえ、US CERT(【訳注】 米国国土安全保障省(DHS)配下の情報セキュリティ対策組織)は、現在の続発するリスクのために、ブラウザ中のJavaの無効化を維持するよう推奨し続けている。Javaの無効化の維持もまたBrian Krebsのアドバイスでは疑問視されている。彼は、アップデートに関し4日間あったにも拘らずOracleは「このソフトウェアが消費者のシステムに広範にインストールされていることの認識が如何なる側面から見ても欠如している」ことと、ユーザーが「それ相応に反応する」べきであることを注意している。
 US CERTの勧告もまた改定された。Javaの二つのオープンソース(OpenJDK 7 と IcedTea 2)の実装もまた、この問題に対する脆弱性があったことを注意している。例えば、UBUNTU(【訳注】 近年大変人気のあるLinuxのディストリビューション)は既にOpenJDKパッケージをアップデートしている。

アメリカ国家安全保障局、「Webブラウザ中でJavaを稼働することが絶対的に必須でない限り、Java 7 Update 11 を適用済みの場合であってもJavaを無効化せよ」と発言
The Register : Security (2013/01/15)

 【訳注】 今週早くOracleは、セキュリティパッチJava 7 Update 11をリリースしましたが、この最新のパッチも不十分とされました。

 セキュリティの専門家は、広範に攻撃されているセキュリティ上の脆弱性を軽減するOracleのパッチにも拘らず、WebブラウザからJavaを起動しないようにユーザに勧告している。
 データベース大企業Oracleは、日曜日に緊急の定例外のパッチをリリースしたが、これにも拘らず、アメリカ国家安全保障局は市民にJavaプラグインを無効化するよう警告し続けている。
 「Webブラウザ中でJavaを稼働することは、絶対的に必須でない限り、Java 7 Update 11 を適用済みの場合であってもJavaを無効化せよ」と、「これは、この先多分発見されるであろう他のJava脆弱性を軽減するだろう」と、US-CERTは昨日のアップデートで発言している。
 このセキュリティフロー(CVE-2013-0422)は、先週武装化され、Blackhole Exploit Kitのような人気のあるサイバー犯罪ツールキットにバンドルされた。このようなツールボックスは、通りがかった訪問者のコンピュータをマルウェアに感染させるために、このセキュリティホールを攻撃するための改竄されたWebサイトに悪意あるスクリプトを植え付ける。
 現在Oracleによる最新のアップデートで鎮圧されたJava 7のバグは、犠牲者のシステム上で悪党が彼ら独自のコードを実行することと、そのマシンの完全な制御を取得する企てを可能にしていた。実際にこのセキュリティフローを当てにしたた攻撃は、二つの脆弱性を組み合わせて利用していた(セキュリティマネージャをバイパスするために、このプログラミング プラットフォームを破壊することと、制限付きのJavaクラスへのアクセスの二つ)。Oracle 7u11アップデートはまた、然程緊急ではないセキュリティホールをパッチしている。
 Rapid7のMetasploit(【訳注】 オープンソースなコンピュータセキュリティに関するプロジェクト)の開発者でセキュリティ技術部門の上級管理者Ross Barrettは、更なるJavaの0−Dayのセキュリティバグは回避できそうにないので、このアップデートを適用することは価値あることであるが、その程度のものでしか無いと発言している。。
 「この修正は、デジタル署名のない、もしくは自己署名のJavaアップレットの実行にあたり、ユーザに同意を求めるように、DefaultのJavaブラウザ セキュリティ設定を変更する。このことは、フィールドでの次回の脆弱性攻撃からユーザを保護するために”使い易さ”に逆行したOracleの僅かな譲歩を示唆している」と、Barretは発言している。
 Rapid7の創設者HD Moorは、追加のバグの発見を考慮することを除外しても、OracleはJavaのセキュリティ マネジメント中の欠点を整理するために少なくともニ年はかかるだろうと付け加えている。
 「Oracleは、既にこのような問題に対処するために一年を費やしたが、それらを完全に修正するには多分後二年必要だろう」と彼は発言している。
 Sophosのような他のセキュリティ専門家はまた、ブラウザ中でJavaを稼働させることは、絶対にやってはならないこと、とする見解を支持している。取り分け、IT部門委託セットアップを使用している会社員より、ソフトウェアにより大きな制御権を持つ消費者にとって。
 「あなたのブラウザにJavaのサポートを要求する一握りのWebサイトを使用することを回避できないのであれば、そのようなサイトを訪問することに特化した別のブラウザを持つのはどうか?」とSophosは提案している。

Java脆弱性攻撃について、あなたが知っておく必要のあること
Krebs on Security : Blog (2013/01/13)

 火曜日、世界は、Java(世界中の何億ものコンピュータにインストールされているプログラム)の今迄未知のセキュリティ ホールを使用して、攻撃者がコンピュータに侵入していることを学習した。このポストは、この脆弱性に関して大変頻繁に尋ねられる幾つかの質問について答えることと、ユーザが自分自身を護るために取ることのできる簡単なステップの概要を示すことを目的としている。

Q: ナンダカンダ言うけど、Javaって何?

    A: Javaは、ユーティリティ、ゲーム、ビジネスアプリケーションを含むプログラムの基礎となっているプログラミング言語及びコンピューティング プラットフォームである。JavaのメーカーOracle Corp.によれば、Javaは世界中の8億5千万以上のパーソナル コンピュータと、世界中の数十億以上のデバイス(携帯電話、TVを含む)で稼働している。Javaは双方向のゲームとアプリケーションを稼働するためにJavaを使用する幾つかのWebサイトによって要求される。

Q: この大騒ぎはどうしてなのか?

    A: ユーザが改竄されたWebサイト、もしくは悪意のあるWebサイトを訪問した場合、攻撃者がコンピュータの制御を奪うために使用できる、Java 7中の今迄未知のセキュリティホールが攻撃されていることを研究者達が発見した。

Q: ウワ! コンピュータを護る方法は?

    A: 殆どの民生用PC上で稼働しているJavaのバージョンは、ブラウザプラグインを含んでいる。Carnegie Mellon UniversityのCERT(カーネギーメロン大学の緊急対策チーム)によると、ブラウザからJavaプラグインを排除することが、この脆弱性攻撃に対する必須の防御である。つい最近まで、ブラウザからJavaを切り離すことは簡単ではなかったが、最新バージョンのJava 7 - Update 10で、OracleはブラウザからJavaを削除する非常に簡単な方法を含めた。あなたは、こちらからこれを実行するための方法を発見できる。

Q: Javaをインストールしているなら、そのバージョンを知る方法は?

    A: 最も簡単な方法は、このリンクを訪問し、「Javaの有無のチェック」(無料Javaのダウンロード ボタンの下)リンクをクリックする。

Q: Java 6をインストールしている。この問題に関して心配する必要が無いことを意味しているか?

    A: 最も重要な側面として、矛盾する調査結果がある。例えば、National Vulnerability Database (NVD)の、このバグに関する説明は、この脆弱性が数年前に逆上るJavaバージョン(バージョン 4と5を含む)中に存在していると説明している。脆弱性リサーチ企業Immunityのアナリストは、Java 6と、もしかすると、それ以前のバージョンにも、このバグは影響を与えると、発言している。しかし、 CERTのために、このフローを詳細に検証したセキュリティ専門家Will Dormannは、NVDの勧告は間違っていると発言している。CERTはOracleがJava 7で導入したコンポーネント中からこの脆弱性は生じていると主張している。Dormannは、 Security Explorations(大変な数のJavaのフローをJavaのメーカーOracleに警告してきたセキュリティ研究者チーム)のAdam GowdiakによるこのJavaのフローに関する詳細な技術的解析を指摘している。Gowdiakは、Oracleが以前のアップデートにおいて、他ならぬこのフローを修正しようとしたが、完全に解決できなかったと発言している。
     何れにせよ、ターゲットは時間とともに変わる可能性があるので、どのバージョンが影響を受けるかという事に関して拘らないことが重要である。また、新しい0-Dayフローが一年に数回Java中に発見される。これが、私が、使用しているJavaのバージョンに関係なく、ブラウザからJavaを排除するよう読者に促す理由である。あなたが一つ以上の特定のWebサイトのためにJavaを必要とするのであれば、私は以下に示す別のクエッション中でこれを取り扱う。

Q: しばしば使用するサイトがJavaプラグインを埋め込むことを要求してくる、私はどうすべきか?

    A: あなたはJava 6にダウングレードすることができるが、これは感心できない解決策である。OracleはJava 6のサポートを2013年02月に停止する。そこで、Java 6のユーザは直ぐにJava 7に移行せざるを得ない。あなたが特定のWebサイトでJavaを必要とするのであれば、より良い解決策は、二つのブラウザ アプローチを適用することである。例えば、あなたが通常FirefoxでWebブラウズしているのであれば、Firefox中のJavaプラグイン無効にするようにしなさい。もう一つの方法は、Javaを要求するサイトをブラウズするためだけにJavaを有効にした代替ブラウザ(Chrome、IE9、Safari等)を使用しなさい。

Q: 私は任意のサイトや怪しげなポルノサイトを訪問することはない。そこで私はこの問題を心配する必要はない。これは正しいか?

    A: 間違い。この脆弱性は主に脆弱性攻撃パックによって攻撃される。脆弱性攻撃パックはWebサイト中に縫い付けるために作成された犯罪ソフトウェア ツールである。そこで、訪問者が脆弱性のある/期限切れのブラウザ プラグインと共にこのサイトを訪問した時、このサイトは黙って訪問者のPCにマルウェアをインストールすることができる。脆弱性攻撃パックは、ポルノサイト同様に正当なサイト、ハックされたWebサイトにも簡単に縫い付けることが可能である。必要なのは、攻撃者が改竄したWebサイト中に一行のコードを挿入することができればいいだけである。

Q: 広範な脅威のために、ユーザがソフトウェアの特定の部分を削除したり、元売が回避することを、アメリカ政府がユーザに促した初めてのことだと、私は幾つかの場所で読んだ。これは真実か?

    A: そうでもない。今までの緊急事態状況の間、CERTはInternet Explorerの使用を回避するようWindowsユーザに勧告している。今回の場合、CERTは、ユーザがJavaをアンインストールすることを実際には推奨していない。ユーザは、WebブラウザからJavaを排除することを推奨されているだけである。

Q: 私のWindowsにJavaがインストールされていることは間違いないが、私はWindowsスタートメニューやWindowsコントロール パネルからJavaコントロールパネルに進むことができない。どうなっているのか?

    A: CERTのDormannによると、潜在的なJavaインストーラ中のバグと思われるものに起因して、Javaコントロールパネル アップレットは、あるWindowsシステム上では行方不明になっている。このような場合、Javaコントロールパネル アップレットは、手動でjavacpl.exeを発見し、実行することによって起動する必要がある。このファイルは、C:\Program Files\Java\jre7\bin もしくは C:\Program Files (x86)\Java\jre7\bin 中に見出されるだろう。

Q: 私は最後にJavaを使用したのが何時なのか思い出すことができない。私はこのプログラムをもはや必要としないように思える。私はJavaを維持すべきか?

    A: Javaはかって、それほど使用されていなかった。ほとんどのユーザは結局Javaをインストールしなくても多分ナントカなる。ユーザがJavaに関して特定の使用をしている場合を除いて、私は長きに渡りJavaを削除するようユーザに推奨してきた。あなたが後日Javaを本当に必要としていることを発見したなら、Javaを再インストールすることは、瑣末なことであり無料である。

Q: これは消費者にとって非常に良いアドバイスであるが、私はビジネスで多くのコンピュータを管理している。Javaを装備し、しかし、ブラウザで、このプラグインを非接続で維持する方法は存在するか?

    A: CERTは、「ブラウザでJavaコンテンツを有効にする」オプションを無効化してJava 7 Update 10以降を装備することを希望するシステムアドミニストレーターは、 WEB_JAVA=0 コマンドラインオプションでJavaインストーラを呼び出すようにアドバイスしている。詳細に関しては、Javaドキュメンテーション中で利用可能である。

Q: Javaに関しては報道されている。しかし、Javascriptはどうなのか?

    A: 不幸な名前の類似性のために、多くの人々がJavaとJavascriptを混同している。しかし、この二つは完全に別物である。殆どのWeサイトはjavascriptを使用している。Javascriptはサイトを双方向性にすることを支援する強力なスクリプト言語である。残念なことに、Webベース攻撃の大部分は、悪意あるソフトウェアを押し付けるためにJavascriptトリックを使用し、そのサイトの訪問者を攻撃している。あなた自身を護るには、どのサイトがブラウザ中でJavascriptを稼働することが許されるのかという簡単な選択方法を持つことが極めて重要である。既知の安全なサイトでJavascriptを選択的に許可することは、全ての悪意あるスクリプト攻撃をブロックするわけではないという事は真実である。詐欺師達はメジャーなオンライン広告ネットワークに、汚れたインチキの広告を忍び込ませることを発見するので、合法的なサイトでさえ、時々悪意あるコードを起動させられることになる。しかし、DefaultでJavaScriptを無効化したり、特定のサイトに関してのみJavascriptを選択的に有効にすることは、常に全てのサイトで無制限にJavascriptを稼働させることに比べれば大変安全なオプションである。
     Firefoxは、Webサーファーのサーフィングを豊かにする多くの拡張やアドオンを持っている。私が必須とする拡張の一つがNoScriptである。この拡張は、どのサイトでJavascript、Flash Playerコンテンツを稼働することを許すのかをユーザが決定することを可能にしている。ユーザは永久に、もしくは、このブラウジング セッションだけの何方かで、例外の指定を選択できる。
     Chromeもまた、同様のスクリプトと、幾つかのオプションを提供することによって、このような問題を簡単化するように設計されているFlashブロッキング機能を含んでいる。あなたがChromeにDefaultで全てのサイトのJavascriptをブロックするように告げたなら、あなたが、Javascriptを使用しているサイトをブラウズした時、このブラウザの右上隅には代わりの赤いXの付いたボックスが表示される。あなたが、この赤いXボックスをクリックし、“Always allow JavaScript on [サイト名]”を選択すると、そのサイトに関してはJavascriptを永久に有効にすることになるが、これはNoScriptが実行するようなサイト上のサードパーティ製Javascriptコンテンツをブロックするオプションをあなたに与えない。私のテストでは、私がホワイトリストしているサイト上のスクリプトをChromeが許可する前に、私は手動でページを更新する必要があった。更に、NoScript同様に良く動作するNoScriptsと呼ばれるChrome用の大変手軽なアドオンも存在する。
     選択的スクリプトブロッキングは、幾分慣れが必要である。殆どのスクリプトブロッキング アドオンは、あなたが信頼されるリストに追加していないWebサイトに関してDefaultでスクリプトを無効化する。場合によっては、それは多用されているjavascriptを適切にロードするためにサイトの取得を複数回試みるかもしれない。
     Internet Explorerは、ユーザがスクリプトをブロックすることを可能にしているが、IEの最新バージョンでさえ、依然としてユーザにJavascriptをハンドリングする多くの選択肢を与えていない。IE9では、JavascriptのON、OFF、Javascriptのロードのプロンプトの何れかを選択することができる。JavascriptのOFFは、大した選択肢ではないが、Javascritpを完全にオープンにしたままにすることは危険である。プロンプト オプションを選択することは、何も実行しないだけでなく、スクリプトを許可するのか、不許可にするのかのプロンプトをひっきりなしに提供してくる。IEにおいてスクリプトブロッキングに簡単にアプローチできないことが、私が読者にFirefoxやChromeに切り替えるよう誘導し続けている主たる理由の一つでもある。

0-DayのJava脆弱性攻撃が犯罪ソフトウェア中にデビューしている
Krebs on Security : Blog (2013/01/13)

 BlackholeとNuclear Pack(マルウェアを押し付けるためにハックしたサイトに縫い付けたり、ブラウザのフローを使用する競合する犯罪ソフトウェア)を保持しているハッカー達は、未知で現在未パッチのJavaのセキュリティホールに対する全く新しい脆弱性攻撃を追加したと発言した。Blackholeの管理人(ネックネームPaunchと名乗っている悪党)は、彼の脆弱性攻撃キットを使用している顧客に対し、この0−dayは「お年玉」であったと幾つかの地下フォーラムで昨日発表した。Paunchは、彼の物が、この強力な攻撃手段を含む最初のものであると嘯いたが、直後に、Nuclear Packの製造者と販売者によって同様の公表がなされた。
 この2つの犯罪ソフトウェア製作者によると、この脆弱性は、最新のJava 7 Update 10を含むJava 7の全てのバージョン中に存在している。この情報は即座に確認されていないが、あなたがJavaをインストールしているのであれば、あなたのブラウザからJavaを排除することは、あるいは、あなたがJavaを必要とするまで、このプログラムを完全にアンインストールすることは大変賢明なことである。詳細な情報が利用できるようになったら、このポストはアップデートされる。

 アップデート(アメリカ東部時間8:47): Alienvault Labsは、完全にパッチしたJava 7において主張されている新しいJavaの0−day脆弱性(CVE-2013-0422)を再現し確認したと発言した。

 アップデート(アメリカ東部時間11:46): 数人の読者は、Java 7 Update 10が、ブラウザからJavaを排除することを、今までのバージョンよりずっと簡単にする機能付きで出荷されていることに気がついている。この機能の使用方法に関するOracleの説明(日本語)はこちらにある。アメリカ合衆国国土安全保障省(DHS)のU.S-CERTのメンバーは、現在この手法を同様に推奨している。   六百五拾八−壱拾壱

現在のFoxit Readerは、悪意あるコードを実行することができる
The H : Security (2013/01/10)

    脆弱性あるブラウザプラグインはFoxitのインストレーション中に追加される。

 セキュリティ専門家Andrea Micalizziは、現在のFoxit Readerブラウザプラグイン中に緊急の脆弱性があることを発見した。この研究者によれば、このセキュリティホールは、悪意あるコードを挿入する脆弱性攻撃を実行することができる。Webページが非常に長いURLからPDFドキュメントを開くためにnpFoxitReaderPlugin.dllプラグインを指示した時、バッファオーバーフローがスタック上に作成される。
 Secuniaは、この脆弱性を緊急度「高」と評価している。Foxit Readerは、DefaultでChrome, Firefox, Opera, Safari用のブラウザプラグインをインストールする。Foxitの現バージョン5.4.4.1128 (プラグイン バージョン 2.2.1.530)は影響を受けるが、唯一可能な防御方法は、ブラウザ中でこのプラグインを無効化することである。Firefoxでこれを実行するには、Firefoxでメニューをクリックし、ツールを選択する。次に、アドオン>プラグイン を選択する。Chromeでは、プラグインにアクセスする最も速い方法は、chrome://plugins/(【訳注】 詳細に関しては、こちらにアクセスし「特定のプラグインを無効にする」を参照してください) URLにアクセスすることである。

NVIDIA : セキュリティ上の脆弱性を修正するためにドライバをアップデート
The H : Security (2013/01/09)

 NVIDIAは、昨年12月に発見されたセキュリティ上の脆弱性を修正するドライバ アップデート(310.90 WHQL)を沈黙のうちにリリースした。この脆弱性は、Vista以降のWindowsバージョンの管理者権限を取得するために攻撃者によって脆弱性攻撃される可能性があった。セキュリティ研究者Peter Winter-Smithは、NVIDIA Display Driver Service (nvvsvc.exe) 中にこの脆弱性を発見し、この脆弱性に関する功績をPastebin(【訳注】 ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション)にポストした。
   このバッファオーバーフローの脆弱性は、コードを挿入し、最終的に権限の昇格を取得する脆弱性攻撃をされることが可能であった。この脆弱性攻撃は、データ実行防止(Data Execution Prevention、DEP)とアドレス空間配置のランダム化 (Address Space Layout Randomization, ASLR)の両方をバイパスすることが可能である。
   この脆弱性攻撃の公開におけるWinter-Smithのアプローチは、大混乱を発生させた。彼は後に、Pastebinにポストしたproof-of-concept(概念の実証)を削除した。削除に関する理由の一つは、Tech Reportによれば、Winter-Smithが公開する前に、このセキュリティ上の脆弱性をNVIDIAに説明しなかったことにあるかもしれない。彼はこの省略に関する理由は、この脆弱性がリスクの低いものであるからと説明している。この脆弱性は、ファイルシェアリングが有効にされ、アクセスがWindowsファイアーウォールによって許可されている場合にのみ脆弱性攻撃を受ける。しかしながら、Security Weekによると、Rapid7の最高セキュリティ責任者HD Mooreは、権限昇格の可能性があるためビジネスに関して深刻な問題と説明し、この脆弱性によって齎されるリスクを、かなり大きいものとして評価している。
 NVIDIAは、この脆弱性攻撃の公表に関して何ら公式コメントを未だ発表していない。このドライバ アップデートは、単にこの脆弱性に貢献するだけではない。同様に奇妙なバグ(3Dビジョン プロファイルが追加された。ファー・クライ 3に対する最適化が付加された。コール・オブ・デューティーとブラック・オプス2のパフォーマンスと、アサシンズ・クリードIIIのパフォーマンスを改善している)も修正している。

Adobe、Microsoft: 緊急のセキュリティアップデートを出荷
Krebs on Security : Blog (2013/01/08)

 AdobeとMicrosoftは、彼らの製品中の緊急のセキュリティ上の脆弱性を修正するアップデートを、本日夫々リリースした。Adobeは、Acrobat、Adobe Reader、Flash Player中のセキュリティ問題に関する修正をリリースした。Microsoftは、少なくともWindowsと他のソフトウェアの1ダースのセキュリティホールを修正する7つのパッチをリリースしたが、攻撃者が積極的に脆弱性攻撃しているInternet Explorer中の危険なフローの公式パッチに関してはリリースできなかった。
 Microsoftが本日リリースしたパッチの内の二つは”緊急”の評価を受けており、これら脆弱性は、ユーザの如何なる手助けもなしに脆弱性あるWindowsシステムを完全に改竄するための攻撃をすることができることが示されている。Microsoftは、そのXML Core Servicesコンポーネント中の二つの緊急のバグについて特別な注意を呼びかけている。Microsoftは、マルウェアや悪い奴らが、次の30日以内に積極的な攻撃中にこのようなフローを攻撃対象にするための方法を解き明かす可能性が高いと発言している。
 残念なことに、Microsfotは、マルウェアと悪い奴らが既に脆弱性攻撃している、緊急のWindowsのフローの公式の修正を提供していない。昨年の12月、Microsoftは攻撃者が、Windows PC中に侵入するために、Internet Explorerのバージョン6から8中に存在するそれまで未知のセキュリティフローを使用していることを認識している。その後、Microsoftは影響を受けるシステムの脆弱性を減少させるために一時凌ぎの”FixIt”ツールをリリースした。しかし先週、研究者は、このFixItツールがこのフローを攻撃する幾つかの方法だけしかブロックしないことをデモンストレーションした(このFixItは他の攻撃方法に関してはブロックしない)。他方、この脆弱性攻撃のワーキングコピーは、フリーの侵入テストツールMatasploitに折り込まれた。
 脆弱性マネージメント企業Qualysの最高技術責任者Wolfgang Kandekは、この時点でIEインストール ベースの90%が、このIEの0-Dayの脆弱性の影響を受けている、と発言している。
 「Microsoftは、この問題でFixItは提供したが、本日パッチを提供していない。大部分の企業がIEの影響あるバージョンを依然として稼働しているので、この脆弱性は綿密に追跡されるべきである。」とKandekはブログポストに記述している。
 IEでWebブラウジングを継続したいユーザは、可能ならIE9にアップグレードすべきである(Windows 8上のIE10には、この脆弱性は存在しない)。依然としてWindows XPを使用しているユーザは、IE9にアップデートすることはできないが、FixItツールからとMicrosoftのEMETツールを使用することによって幾つかの防御を引き出すことが可能かもしれない。しかしながら、XPユーザは、数種類のスクリプトブロックの付いたFirefoxやChromeもしくはSandbox環境でブラウジングするほうが、もっと良くなる可能性がある。EMETとスクリプト ブロック オプションを使用する方法に関する詳細な情報は、Tools for a Safer PC入門の中で利用可能である。Microsoftからの本日のアップデートに関する詳細は、Microsoft Security Response Centerブログと、各パッチのセキュリティ情報中に見出される。
 Adobe Flashのパッチは、少なくともこのメディアプレーヤのプラグインの緊急の脆弱性の一つを修正している。アップデートはFlashの全てのバージョンで利用可能になっている(Windows, Mac, Linux, Android用を含む)。オペレーティングシステムによって正常に動かなくさせられる最新のバージョン番号に関しては以下の図を参照。

 あなたがFlashをインストールしているか否か、あるいは、あなたが所有しているバージョンは何か、知りたいのであれば、このリンクを訪問しなさい。AdobeはFlash Playerダウンロードセンターから最新バージョンにアップデートするようユーザに促しているが、このアップデート オプションにはMcAfee VirusScanのような不要なアドオンが付随している。代わりに、Adobe Flash Playerの配布ページから、あなたのシステム用の適切なバージョンをダウンロードしなさい(私は随分前に、Flashの自動アップデートが作動するのを待つことを止めた)。Adobeは、Windows 8上のInternet ExplorerとGoogle ChromeにインストールされているFlash Playerは、自動的にアップデートされると発言している(Chromeは、本日、これを解決するためのベータ アップデート バージョン 24.0.1312.52をリリースした)。
 Adobeはまた、AIRソフトウェア中のこのフローを修正するアップデートもリリースした。AIRの最新バージョンは、3.5.0.1060であり、こちらから利用できる。
 最後に、Adobeは、Adobe AcrobatとAdobe Reader中の少なくとも26のセキュリティ上の問題を修正するアップデートをリリースした。Adobeは、WindowsとMacintosh用のAdobe ReaderとAcrobat X1(11.0.0)とそれ以前のバージョン用のセキュリティアップデート、Linux用のAdobe Reader 9.5.1とそれ以前のバージョンに関するセキュリティアップデートをリリースした。あなたがこのような製品を使用しているのであれば、アップデートするようにしなさい。

直近のInternet Explorerのセキュリティホールに関する新たな脆弱性
The H : Security (2013/01/07)

  Exodus Intelligenceのセキュリティ エキスパートPeter Vreugdenhilは、Internet Explorer中のメモリエラーをパッチするためにMicrosoftがリリースした最近の一時的なフィックスは、新しいテクニックを使用してバイパスすることが可能であると発言している。これは、Internet Explorerのバージョン6から8が影響を受ける。
 この会社は、新たな脆弱性攻撃に関する詳細を何らリリースしていない。KasperskyのThreat Reportサービスは、この会社の役員の発言を引用している、「通常、脆弱性攻撃や、その引き金にすることのできる複数の道がある。Microsoftの”Fix It”は、この全てのルートを閉ざしていない。」
 Microsoftは、このセキュリティホールのパッチに関して作業中であるが、今回の定例月例パッチには含まれていない、と発言している。その一方で、IEユーザはMicrosoftが別に提案する手段(例えば、EMET(Enhanced Mitigation Experience Toolkit)をインストールし設定する)を実装することができる。もう一つの代替手段はIEの最新バージョンか別のブラウザに切り替えることである。
 Exodusは、別のブログポスト中で、このセキュリティホールと初期の攻撃媒体の詳細な解析を提供している。明らかに、この問題は割り当てを解除されたメモリを再使用することによって発生させられている。次に、このブログポストは、任意のコードを指し示す様な方法でCPUのExtended Instruction Pointer (EIP)を取り扱う方法をデモしている。このセキュリティホールは、既に改竄されたWebページ中で利用されている。そして、訪問者のコンピュータに悪意あるコードを展開させている。

ブラウザのベンダは、インチキの google.com サイト認証のブロックを急いでいる
The Register : Security (2013/01/04)

 Googleと他のブラウザベンダは、詐欺師達が、この検索大企業のオンラインサービスに成り済ますことを可能にする" *.google.com"用の認証されていないデジタル認証をブロックするステップをとっている。
 クリスマスイブにインチキの認証を使用しているサイトを最初に発見したGoogle Chromeチームのソフトウェア エンジニアAdam Langleyのブログポストによると、調査の結果、彼らは、このニセの認証がトルコの認証機関TURKTRUSTから発行されていることを突きとめた。そして、TURKTRUSTはこの問題を認めた。
 2011年8月、TURKTRUSTは彼らの顧客の一つに対して、本来発行されるはずの、いつものSSL認証の代わりに二つの中間認証を誤って発行した。中間認証は、顧客がTurktrustやGoogleに気付かれずにインチキの" *.google.com"認証を発生させることを可能にするより信頼される認証の一つである。
 そのような認証で武装して、攻撃者はGoogle Webサイトのように装う詐欺目的のWebサイトを作成できる。このサイトは次に、成り済ましコンテンツ、フィッシング攻撃の起動、Googleサービスのデータを横取りする中間者攻撃を実行するために使用することができる。
 そのような攻撃は、成り済まされた認証を、ユーザのWebブラウザがインチキのサイトを本物であるとして通知してくるので、ありきたりのオンライン詐欺より一層油断のならないものである。
 TURKTRUST自身のサイトによれば、「TURKTRUSTは、Microsoft (Internet Explorer), Mozilla (Firefox), Opera, Safari Webブラウザによって認証されているトルコで唯一無二のローカル組織であり、発行するSSLサーバ認証は、世界中で通用するものである」と発言している
 しかしながら、今回の成り済まし認証問題に対する唯一の解決策が、秘密がバレてしまった現在、TURKTRUSTによって発行された一部あるいは全ての権限を取り消すことしか方法がないので、この宣言は危ういものである。
 木曜日、GoogleのLanglayは、Googleが既にTURKTRUSTによって誤って発行された二つの中間認証(一つはクリスマスに、もう一つは次の日に)を失効したデジタル証明書にするためにGoogle Chromeをアップデートしたと、そして、この追加対策は間に合ったと発言している。
 「状況が深刻になった場合、我々はTURKTRUSTによって発行された認証をExtended Validation(【訳注】 EV証明書、発行者による主体者の審査に一定の基準を設けた公開鍵証明書)としてもはや認証しないようにするために1月にChromeを再びアップデートするだろうが、TURKTRUSTが認証したHTTPSサーバへの接続は可能なままにされるかもしれない」とLanglayは記述している。
 個別のセキュリティアドバイザリで、Microsoftは、Windowsのサポートされる全てのバージョン(現時点では、Windows XP SP3以降を意味している)でこの認証問題を失効させるためにCertificate Trust Listを同様にアップデートしたと発言している。
 しかし、Mozillaファウンデーションは更に先行しており、この二つの認証を失効させただけではなく、「更なる検討が終わるまで」FirefoxでのTURKTRUSTのルート認証を中止した。
 我々は少なくとも誤使用された認証の一つが、顧客が合法的に所有・コントロールしていないドメイン名の中間者トラフィック管理に使用されることを懸念している。Mozilla安全保障の責任者Michael Coatesは、ブログポストに「我々はこのような認証のプライベートキーが、中間認証に期待されている安全性を維持されないことを懸念している」と記述している。
 通常通り、全てのブラウザのユーザは最新のセキュリティフィックスに確実にアップデートするようアドバイスされている。ただ、Chromeのようなブラウザは、そのようなフィックスを自動的にインストールする。
 Coatesは、Turktrustに関する如何なる今後の行動もMozillaファウンデーションのmozilla.dev.security.policyフォーラムで論議されるだろうと付け加えている。

Impervaは、「アンチウィルス製品はクズ」と発言
The Register : Security (2013/01/01)

 アメリカのセキュリティ企業Impervaにより12月にリリースされた研究は、初期検出率が5%未満とする主張と、会社と個人がアンチウィスルに費やしている費用は、「その効果に比例したものではない」と結論することによって、数十億ドルのアンチウィルス産業に水を浴びせた。
 イスラエル工科大学の学生と共同した仕事で、この会社は、Microsoft, Symantec, McAfee, Kasperskyから提供されたものを含む、40のアンチウィルス製品に対して82のマルウェアのサンプルをテストした。
 このテストは、分類されているウィルスはよく検出するが、「この研究に供試されたアンチウィルス製品は5%未満しか、今迄に分類されていないウィルスを最初のスキャンで検出することができなかった。そして、多くのアンチウィルス製品は、最初のスキャンの後、そのシグネチャをアップデートするのに一月以上かかった」ことを明らかにした。
 面白いことに、この研究は、ウィルス製作者が目立たないことを保持することによって、検出されないように改善していることを明らかにした。ある感染が高速に拡散した場合、これは、アンチウィルス検出データベースにフィードする多くの数の同定用サンプルを提供することになる。
 他方、「(政府が攻撃を支援しているような)拡散が限定的である感染は、通常多くの絶好のチャンスを残したままにする」とこの研究は述べている。この絶好のチャンスは、セキュリティチームにとっては「盲点」となる。0-Dayのウィルスが防御の最前線を通過したなら、セキュリティチームは危機的な場面になるまで、この感染に気が付かないかもしれない。
 アンチウィルス製品を見捨てなさいと主張しているわけではないが、企業セキュリティはシステムとサーバ中での異常な挙動を検出することにもっと多くの注意を注ぐべきだと、Impervaは提案している。驚きもしない。この会社は、この件に関するスペシャリストである。

この研究に関する全文はこちらを参照。