このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。
Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
セキュリティ・メーカー関連
- ・ Bikis : Blog
- ・ ESET WeLiveSecurity
- ・ Kaspersky SecureList
- ・ Websense Security Labs
- ・ McAfee Blog Central
- ・ Sophos Naked Secuirty
マスメディア
- ・ BBC
- ・ The Washington Post
- ・ The Gurdian
- ・ The Register
情報サイト等
- ・ Graham Cluley
- ・ Krebs on Security
- ・ The PC Informant
JavaScriptがあなたのプライバシーとセキュリティを晒す3つの方法
MakeUseOf : Security Matters (2014/12/31)
あなたは多分JavaScriptが危険であると聞いたことがあるだろう。そう、これは部分的に正しい。JavaScriptは、適切な予防措置が取られないなら、危険である。JavaScriptは、発生していることを、あなたが認識することさえ無く、個人データを閲覧したり盗んだりするために使用されている。そして、JavaScriptがWebの随所に存在しているので、我々は皆、攻撃され易い立場にある。
これは全てJavaScriptが実際に動作している方法に帰着する。JavaScriptは殆どの人々に取って良いものであるが、大変フレキシブルであり、大変強力なために、これを食い止めることが大変困難である。以下が、あなたが認識する必要のあることである。
JavaScriptの便益
まず第一に、JavaScriptは良いものである。W3Techsによれば、全てのWebサイトの凡そ88.1%が、あれこれの方法を使ってJavaScriptを使用している。AmazonやYouTubeのようなビッグネーム サイトは、インターネットがJavaScriptが存在しない領域であったなら、有用とは程遠いものであったろう。
例えば、ページ全体を再ロードする必要無しに変更できる要素で、相互交流型のWebサイトを簡単に構築することのできるJQueryは、人気のあるJavaScriptライブラリである。FacebookやTwitterのようなサイトは、ページを毎秒リフレッシュすること無く、Webページのアップデートを維持するためにAJAXのようなテクノロジに依存している。
しかし、直ぐに確認できるように、JavaScriptは完全ではない。JavaScriptは不正使用することができる、そして、不正使用は、あなたのインターネット行動をスパイしたりプライバシーを侵犯することを可能にする計画を導くことになる。
アドバイスのうち、未だに間違った方向に誘導している一般的なものは、JavaScriptを完全に無効化しなさいというものであるが、我々は、このアドバイスを推奨しない。あなたは多くの大変素晴らしいWeb機能(多くのブログ、ソーシャルネットワーク、ニュースサイトに存在している”Infinite Scrolling”(無限スクロール)機能)を失うことになるだろう。
しかし、それ以上に、幾つかのブラウザの脆弱性攻撃は、あなたがJavaScriptを無効化した場合でさえ、依然として可能である。この様に、セキュリティ上の懸念に起因するJavaScriptの無効化は、あなたが出掛ける度に傷つけられることを恐れて、気泡緩衝材(いわゆる、プチプチ)でできたスーツを着用するようなものである。これは、実際に多くのことからあなたを保護することはないし、却って、あなたの生活を惨めにするだけだろう。
あなたがタイプした単語をスパイする
2012年7月、複数の研究者が米国と英国のFacebookの500万ユーザからデータをサンプリングした。彼らは何を探していたのか? 自己検閲。もっと正確に言えば、彼らはユーザが投稿の記述を開始したが、実際に投稿する前に削除して終了した頻度を知ろうとしていた。
彼らは、ユーザがステータスをアップデートすることが可能なテキストボックス、ウォールコメントの記述等を追跡する、チョッとしたJavaScriptを埋め込むことによってこれを実行した。彼らは「キーストロークや内容」ではなく「テキスト入力の有無」だけを記録したことを明かにしたが、この関連性は明らかである。
これはキーストロークと内容を追跡することが可能であった。彼らは選択しなかっただけである。
この考えは、恐ろしいものである。埋め込まれた一塊のJavaScriptは、これだけでWebページ上のあらゆる種類の行動を記録することのできるものである、喩えあなたが実際に何も投稿していない場合でさえ。Webスクロール、マウスの移動、キーストローク、これら全ては、あなたの意志や認識に反して追跡され記録される。
あなたのブラウジングの習慣を追跡する
JavaScriptのトラッキング能力はテキストボックスに止まるものではない。ブラウザ クッキーの魔術を介して、企業はあらゆる種類のユーザ特有情報(ブラウザの種類、設定、場所等)を保存できる。これ等の会社は、ユーザ・エクスペリエンス(【訳注】 製品やサービスを利用を通じて得られる体験(experience)の総称(Weblioより))を提供するものであると主張するが、侵犯行為のように感じられ続けている。
クッキーは永続性がある。これは、あなたが、そのWebページを去った後でさえ、あるいは、あなたがブラウザを閉じた後でさえ存在しつづけるということを意味している(ただし、彼らがクッキーに期限を設けている場合や、あなたが手動でクッキーを削除した場合を除く)。あなたは、この増大している問題を確認したか? クッキーが様々なWebページに存在したなら、企業は、あなたがどのWebサイトを訪問しているかを確認することが可能である。
これはソーシャルシェア・ボタンの例が好適な例として説明される。Facebookライクのボタンを考える、これは、その行為を実行するためにJavaScriptを使用している。あなたのブラウザが、このページをロードしたとき、このボタンもロードされる。このボタンをロードすることは、必須のJavaScriptファイルをFacebookに要求することを意味している。このリクエストは、あなたのIPアドレス、あなたが存在しているWebページ、あなたのシステム上のあらゆるFacebookクッキー等のようなデータを含んでいる。
まさに明白なことは、これらの企業は、あなたを追跡するために、あなたにボタンをクリックしてもらう必要さえない。あなたのデータを収集するためには、これらの共有ウィジェットをローディングしてもらえば十分ということである。
そうは言ったものの、ソーシャルシェア・ボタンは、企業があなたのブラウジング習慣を追跡できる多くの方法の一つである。他の例は、オンライン出会い系プロファイル、Disqus(【訳注】 Webサイトやブログに中央集権型のコメント機能を提供する オンラインサービス。2007年に設立されBig Head Labs Inc.の名前で運営されている(Wikipediaより))コメント、Googleの無料Webフォントを使用しているWebサイトが含まれる。
悪意あるコードの挿入
JavaScriptのもっとも狡猾な使用方法の一つは、クロスサイトスクリプティング(XSS)の形式で発生している。簡単に言うと、XSSは、ハッカーが別の正当なWebサイトに、悪意あるJavaScriptコードを埋め込むことを可能にする脆弱性である。そして、これは結局のところ、このサイトを訪問したユーザのブラウザ中で実行される。
これが金融データのような重要なユーザ情報を取り扱うWebサイトで発生すると、悪意あるコードは情報をスパイし盗み出すことが潜在的に可能になる。更に一歩進められると、XSSはウィルスやマルウェアを増殖するために使用される。これはTwitterがStalkDailyワームに感染した時に発生したことである。
XSSはまた検索エンジン・ポイズニングと呼ばれることのために使用されることもある。かいつまむと、マルウェア メーカーは、上位の検索結果ランキングのWebサイトを訪問しようとするユーザを、マルウェア感染Webサイトにリダイレクトするような方法で、この様なサイトに感染するためにJavaScriptを使用している。
次に、クロスサイトリクエストフォージェリ(XSRF、【訳注】 Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法(e-Words))と呼ばれるものがある。これはXSSの逆である。この種の悪意あるJavaScriptコードは、ユーザのブラウザ、クッキー、個別のWebサイト上でアクションを実行するためのセキュリティ パーミッションを悪用することができる。
JavaScriptベースの攻撃を防御するためにできること
詰まるところ、その責任は、必ず彼らのWebサイトをクリーンで安全であるようにしておかなければならないWeb開発者に存在する。しかしながら、エンドユーザとして、あなたは常にブラウザをアップデートし、日常的にマルウェアのスキャンをし続けなければならない。
次のリンクに、
あなたのシステム上でマルウェアを発見した場合に実行することが記されている。
それはそれとして、私は上述の問題で実行したことは片手で数えることができる。JavaScriptは現代のWebの重要な部分である。JavaScriptは我々にとって悪いことより良いことを多く実行しているし、定着している。JavaScript開発者になることに関心があるだろうか? それなら、
これらの無料学習リソースで始めなさい。
あなたは今までにJavaScript問題に遭遇したことがあるだろうか? あなたはセキュリティとプライバシーのために安全な習慣を実践しているだろうか?
Vawtrakがボットのネットの王たる全能のゼウス(ZeuS)に挑んでいる
The Register : Security (2014/12/26)
危険なバンキング トロイの木馬Vawtrakの背後にいる詐欺師たちは、触手を拡げるとともに、洗練されてきていると、セキュリティ企業は警告している。
PhishLabsによると、Vawtrakは唯一最大の危険な脅威として評価されている。一つのマルウエア ファミリーとして受け止められているZeuSとその多くの変種(GameOver, KINS, ZeusVM, Zberp等)は、Vawtrakより上にランクされるだろう。
最初のVawtrakは、主に日本の金融機関を標的にして攻撃していたが、設定ファイルが最近ソーシャルネットワーク上でオンライン小売業者、アナリティクス企業、ゲーム ポータル等へ攻撃を拡張していることが確認されている。地理的な拡散は、明らかに米国、カナダ、イギリス、オーストラリア、トルコ、スロバキアを、とりわけ標的にして拡張している。
更なる個人情報の捕獲を有効にする高度なWebインジェクトの組み込みを通して、このワームの技術的洗練度は
向上している。
Vawtrakは、一般的な三つの異なる方法(脆弱性攻撃キットのペイロード(悪意の総体)として、悪意あるスパム添付ファイルを介して、マルウェアの二次感染として不正侵入したシステム上からダウンロードしてもらうことによって)の一つを介して拡散している。
このマルウェアのプラットフォームはオンラインバンキングWebサイトを介して銀行口座への不正アクセスを獲得するために主に使用されていると、Sophosは考えている。しかし、Vawtrakによって感染させられたマシンは、多種多様な金融機関や他の業界団体のオンラインアカウント用のログイン認証を集団で収穫するボットネットの一部を形成することになる。
Sophosによると、このマルウェアは、Crimeware-as-a-Service (CaaS、【訳注】 インターネット上の攻撃代行サービス)のビジネスモデルの一環として使用されている。この英国を本拠とするセキュリティ企業は、
ここでのブログポストにおいて、要約されたこのマルウェアに関する白書(
PDF)をリリースしている。
PhishLabsによる同じマルウェアに関する以前の研究は、
こちらに要約されている。
ISC.orgのWebサイトがハックされた。立ち寄ったことがあるのなら、コンピュータをマルウェアスキャンしなさい
The Register : Security (2014/12/26)
BIND DNSやISC DHCPツールを開発し、幾つかのDNSルートサーバーを稼働しているInternet Systems ConsortiumのWebサイトがハックされた。
最近ISC.orgをブラウズした者は、悪漢共が訪問者を感染させるために、このサイトにブービートラップを仕掛けていたので、マルウェアに関してPCをチェックするよう促されている。このWebページはネット市民に攻撃があったことを警告する代替ページに置き換えられている。
彼らのCMSとしてWordPressを使用していたISC.orgは、そのソフトウェア、もしくはプラグインのどれか、あるいはサポートファイルの何れかを介されて、Webサーバーに不正侵入されて脆弱性攻撃された。
我々は、ISCの重要なソフトウェアのソースコードが別のサーバーに保存されており、それが弄られていないことを証明するために暗号化されて署名されていると告げられた。彼らのBIND DNSサーバーとDHCPツールはインターネット上で広範に使用されている、そして、殆どのLinuxとUnix風のオペレーティングシステムに含まれている。
「我々のWebサイトは特に標的にされているように見えないWebサイトだった」と、「これはまさに、この様な性質のCMSに発生する脆弱性攻撃の一つであったように見える」と、ISCセキュリティ役員チームのDan Mahoneyは金曜日、E-MailでThe Registerに告げた。
あなたはISC.orgへの不正侵入に関して少しビクついている人々を咎めないでおくことができる。ISCのソフトウェアはインターネットでの接着剤の役割を果たし、ドメイン名のネットのグローバルアドレスの心臓部である、世界のFルート サーバー[
PDF]を実行している。
このサイトを訪問している人々は、このWebの舞台裏にあるエンジニアリング ソフトウェアとハードウェアに巻き込まれた恐れがある。マルウェアがそれらに不正侵入することで、攻撃者は価値のあるシステムと、おそらく、それらを転覆させるツールへのアクセスを得ることができる。
11月に、もう一つの重要なインターネット組織であるICANNがスピア・フィッシング攻撃で不正侵入されたが、この侵入とISC.org攻撃の間には、幸いにも関係がないことが明らかになっている。
Cyphort Labsの
ブログポストによれば、このWebサイトが12月22日にはマルウェアを提供していたと、ISCに警告している。このサイトは、綺麗に洗浄され、次の日に代替ページに置き換えられた。
悪漢共は、訪問者をAngler Exploit Kitを提供しているページにリダイレクトするために、このCMSを何とか脆弱性攻撃した。このパッケージは、Internet Explorer, Flash, Silverlight中のセキュリティホールを使用してWindows PCに感染しようとする。
これがリモートコード実行を完成したなら、このマルウェアは多くのデータをダウンロードし、それをDLLファイル中に解読し、ディスクに接触すること無く、それらをメモリ中で実行する。この汚らわしいソフトウェアは32-bitと64-bit Windowsをサポートする。このコードの最終目的は明らかではないが、我々は犠牲者にとって悪いニュースであると思っている。
「我々は損傷の状況と次のステップをどうするかということを決定するために幾人かのセキュリティ研究者と共に作業中である。そして、綺麗なデータベースとCMSで再構築する。今回の攻撃は、人々が旅行したり長期休暇に入るという残念なタイミングであった。そして、このことが、代替ページが我々が思っていたより長い期間表示される理由である」と、Mahoneyは付け加えている。
「我々の全てのリリースは暗号化された署名とチェックサムが残ったままである。そして、ftp.isc.orgを介して配布されている。ftp.isc.orgは、完全に別のシステムであり、動的コンテンツは格納されていない。
Microsoftの12月のセキュリティパッチはOfficeのフォームとマクロを潰していた
The Register : Security (2014/12/23)
今月のMicrosoftのパッチの一つがExcelのマクロをぶっ壊しているというニュースで、Microsoftの12月のパッチに関する長ったらしい論議は、更に悪化の一途をたどっている。
Microsoftは既に、Windows中のWindows Root Certificate Program(Windowsルート認証プログラム)に関する2014年12月のアップデートを撤回しなければならなかったし、不完全なExchangeアップデートも今月撤回しなければならなかった。
今、12月の7つの修正の内の1つMS14-082が、Officeに不都合を発生させるとするニュースが出現した。
Microsoftの
Mi>mea culpa(【訳注】 英語表示です、日本語にするには、タイトル部分の右下にあるArticle translationsから「日本語」を選択してください)は、Active Xフォームの問題と、Office 2013とOffice 2007共に表示された時、マクロが壊される問題をレポートしている。
確かに、巨大な問題と修正は面倒である。
しかし、Microsoftは10月にもパッチを撤回しているし、9月並びに他の月でもにも似たようなことをしているので、些か杜撰であると思われ始めている。Azure(【訳注】 Microsoft のクラウド プラットフォーム)の供給停止、Office 365(【訳注】 Microsoftのクラウド サービス、月額160円〜)の機能の消滅に手を貸したので、Microsoftは今迄のデスクトップとクラウドでの信頼を失い始めているようである。
情報窃取目的のマルウェアVawtrakが進化し、より捕まえにくくなっている
Sophos : NakedSecurity (2014/12/19)
【訳注】
トレンドマイクロによると、2014年05月末におけるVawtrakの国別感染率は、日本が92.5%とされています。また、同社のレポート「
国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析」も参照してください。
我々の
最近の技術文書で詳細に説明しているように、Vawtrakは恒常的にアップデートと改善が実際に行われている危険なバンキング トロイの木馬である。
このデモンストレーションの結果、SophosLabsは、Vawtrakの製作者によって行われた幾つかの興味ある変更を最近観察した。
このアップデートの殆どは、次に実行する命令を取得するために「ホームをコール」した時に、このマルウェアが接続した場所を偽装することに関するものである。
更に、Vawtrakがコマンド・アンド・コントロール(C&C、外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃で、踏み台のコンピュータを制御したり命令を出したりする役割を担うサーバコンピュータのこと)サーバに接続する方法が、このマルウェアのトラフィックをより疑わしくなく見せるように変化させている。
我々はまた、配備されている新しい設定ファイルと、感染したコンピュータが最初にチェックインするときに、C&Cサーバによって返送されるコマンド中の興味ある傾向を観察した。
Vawtrakのデータ格納方法
これに関する最初の変更は、C&Cサーバ アドレスのリストをVawtrakプログラムファイルの内部に格納するようにしたことである。
我々が技術文書で説明しているように、Vawtrakは、これが含んでいるデータをスクランブルするために、線形合同法(LCG)アルゴリズムによって作成される擬似乱数を多用している。
Vawtrakはまた、ブラウザのプロセスが起動するまで待ち、その後、全てのアウトバウンドC&Cリクエストを作成するので、あなたが予期していない時にトラフィックが生成されることは決してない。
実際に、Vawtrakは、ブラウザそれ自身のメモリ空間中に、プロセスの挿入として知られることを使用して、自分自身を追加しているために、Vawtrak独自の疑わしく見えるプロセスとして表示されることはない。
今までのバージョンにおいて、call-homeトラフィックを呼び出しを(HTTP POSTリクエスト(【訳注】 HTTP通信でクライアント(Webブラウザなど)からWebサーバへ送るリクエストの種類の一つ、URLで指定したプログラムなどに対してクライアントからデータを送信するためのもの(e-Wordsより))を使用して実行される)生成するために使用される文字列であるC&Cサーバのリストと他の情報の様々な部分は、このマルウェアがアクティブになると、メモリ中に全て復号されたままになっていた。
より最近のバージョンでは、データは、ブラウザ プロセス中に挿入された後でさえ、暗号化されたままになっている。
更に、Vawtrakのアップデートされたバージョンでは、各データ コンポーネントは個別に暗号化されているので、その解読は、キーを抽出し、全てのデータを一気に復号すること程、単純ではない。
例えば、ホームをコールするPOSTリクエスト用のフォーマット文字列を含むチャンク(【訳注】 ひとまとまりのデータの塊のこと)は0x200(【訳注】 0xは16進数を意味します。10進数に変換すると512)バイト長であり、オフセット0x10(【訳注】10進数に変換すると16)で始まり、その直前のオフセット0xC(【訳注】10進数に変換すると12)にそのキーの値がある。
幾つかのC&Cサーバ ドメインは次に、LCGアルゴリズム中に送り込む必要のあるそれ独自の復号キーと共に0x44(【訳注】10進数に変換すると68)バイトの長さのブロックとして格納される各アドレス付きで、オフセット0x210(【訳注】10進数に変換すると528)で格納される、
Vawtrakがホームをコールする方法
二つ目の重要な変更は、感染したコンピュータからC&Cサーバに返送するデータのフォーマットである。
今迄のVawtrak変種は大きなチャンク(塊)中にデータを暗号化し、POSTリクエスト中に単一のバイナリ「ブロブ」(【訳注】 データ型の一つ。テキストや数値以外の任意の形式のバイナリデータを格納することができる(e-Wordsより))としてそれを返送していた。
このアップデートバージョンは、そのリクエスト中に幾つかのBase64でエンコード(【訳注】 データを64種類の印字可能な英数字のみを用いて、それ以外の文字を扱うことの出来ない通信環境にてマルチバイト文字やバイナリデータを扱うためのエンコード方式(Wikipediaより)。このエンコードは、メールの本体のように8ビットクリーンではないトランスポート層を通じても、バイナリデータが生き残れるように設計されている(PHPより))されたパラメータを送信している。例えば、
分解すると、これは以下のパラメータを含んでいた。
Bijt = 11853
Oupteb = Ve
EakqAwsu = /hUiFromAAf4Nahs●aH/iZpyiikWOIwZuU●GocvyeltVr81aCpou●YYnfcXgTVs//PUGDah●KBXeSSicOHFKw+●OUoq6jIlw7rGHBRuh●MsvCuqQOgN21●4KMOl/K4ZMUl4BzN1●BQfhFTN0CbIHqNH+●HQcanqzX+sGMRuu+●i4bt23u5yke21WKW●yvvhgwevv●GDDODjUJd6itC0●HK4ykM4Ktzi6yI =
S = Aume
Tosduh = 24447
Qo = Bomn
あらゆる関心事の中で唯一のパラメータEakqAwsuが最大の関心事である。これは今までのバージョンが送信していたものと同じ暗号化されたPOSTデータであるが、現在はBase64でエンコードされている。
他の全てのパラメータはランダムに生成されており、本物のデータに成りすますためだけに、そして、全てのリクエストがこのマルウェアに属しているC&Cデータのように見えないように、より正当なトラフィックのようにするために提供されている。
ネットワークデータを偽装しようとするVawtrakの製作者の企ては、クッキーと格納されている認証が返送された時に生成されるトラフィック中にもまた見られる。
現時点で、このデータは、multipart/form-dataタイプ(【訳注】 ファイルデータを送るためのエンコード方法)の要求の内部で偽装されている。
このリクエストはまたも、幾つかの囮アイテム並びに本物のデータを含んでおり、これは恰も画像ファイルであるかのように名付けられている。
我々が確認した他の変更は、正当なトラフィックのようにより見えるURLパターンの追加である。
これに含まれる幾つかの例が以下である。
/stores/servlet/OrderItemDisplay?●storeId=●{TYPE:Hb}&langID=●{BOT_ID:Hd}&catalogID=●{PROJECT_ID:Hd}
/collection/{PROJECT_ID:HD}/●{TYPE:HB}/●{BOT_ID:HD}
/mer/res/{TYPE:Hb}.php?pid=●{PROJECT_ID:Hd}&bid={BOT_ID:Hd}&a=●{BUILD:Hw}
/stats/{TYPE:HB}/coutner/{PROJECT_ID:Hd}/{BOT_ID:HD}
Vawtrakが実行すること
幾つかの新しいターゲットが追加されたことで、設定ファイルの範囲もまた広げられている。
具体的には、我々はチェコ共和国中の銀行だけをターゲットにしたファイル、American Expressだけをターゲットにしているファイル、Wells Fargoだけをターゲットにしているファイル、Fifth Third Bankだけをターゲットにしているファイルを確認している。
我々が確認した重要な変更の最後は、幾つかのVawtrakサンプルが即座に別のマルウェアを配布するように指示されていることである。
ペテン師達が遠隔から発生させることのできるコマンドの一つは、テキスト文字列DL_EXEC(【訳注】 ネットワーク経由でファイルをダウンロードして実行するペイロード)で表現されている。名前が示すように、このコマンドは感染したコンピュータに新しいプログラム(一般的にはある種の追加マルウェア)をダウンロード(DownLoad、大文字部分のDとLがテキスト文字列に対応)し実行する(EXECute、大文字部分がテキスト文字列に対応)ように命令する。
これは多分、Vawtrakの製作者が、収益を発生させるためにアフィリエイト プログラムをインストール報酬制で使用することによって、彼等のボットネットを更に収益化しようとする兆候である。
これはGameoverマルウェアで使用された戦略であった。彼等がGameoverを使用してできたことで感染したコンピュータから甘い汁を吸った後、ペテン師達はCryptoLocker身代金要求ソフトを配備することで新たな金儲け攻撃のために、それを使用した。
恥ずかしくも、CryptoLockerにあなたの全てのファイルを暗号化されると、あなたの暗号化されたファイルを復号するための身代金$300を支払いに関して72時間の猶予が与えられる。
結論
これらのアップデートは、Vawtrakが非常に活動的であり、その製作者によって、とりわけ探知されることをより困難にするために改善され続けていることを示している。
安心しなさい、SophosLabsはこの脅威をモニターし続けるから。
SoakSoakは10万を超えるWordPress Webサイトを攻撃している
Lumension : Blog (2014/12/15)
あなたは、自身のWebサイトでWordPressを稼働しているか? もしそうなら、あなたは仲間である。
世界中のWebサイトの凡そ19%がWordPressを稼働していると考えられている。これは、多くのサイトがコンテンツ マネージメント システム持っていないことを考えると、大変驚くべきことでさえある。
あなたが独自のWordPressのセルフホスト版(WordPress.comのテクノロジを使用するのではなく)を稼働することは、多くの便益をもたらすが、常に気に留めておかなければならないセキュリティ問題がある。
あなたがインストールしたサードパーティ製WordPressプラグインに関しては、特に注意が必要である。あなたは、このようなプラグインがアップデートされ続けられ、脆弱性に気を配っているチームによって、それらが安全にコーディングされることに確信を持つ必要がある。
巨大なマルウェア攻撃が10万と推定されるサイトを攻撃した後、今日、これが多くのWordPressサイトの所有者の耳に鳴っているであろうアドバイスである。
Sucuri(【訳注】 Webサイトセキュリティに情熱を持った人々によって設立されたセキュリティ企業)の研究者は、多くのWorldPressのWebサイトがsoaksoak.ruと呼ばれるサイトからJavaScriptマルウェアをダウンロードすることを企てる攻撃で不正侵入されたとレポートしている。
不正侵入されると、このWebサイトは、soaksoak.ru と/もしくは、その所有者の認識なくコンピュータ上にマルウェアをダウンロードするWebページに予期せぬリダイレクトを発生するかもしれない。
この攻撃(分り易さのために”SoakSoak”と呼ばれていた)が、WordPressサイトに侵入した方法に関しては正確には知られていないが、Securiによる事前分析は、彼等が9月に最初にレポートした
Slider Revolution Responsiveプラグイン中の緊急の脆弱性に非難の矛先を向けている。
Slider RevolutionプラグインがWordPressテーマ中に幅広く取り込まれていることと、ユーザが、このプラグインの開発者から直接このプラグインを購入していないために、セキュリティ問題に気が付かない可能性のあることが懸念を増加させている。記述している時点で、このプラグインの最新バージョンは、4.6(2014/12/03付け)である。
Slider Revolutionの開発者ThemePunchは、この深刻なセキュリティ脆弱性を2014/02以来認識していたが、「この問題への巨大な脆弱性攻撃」を回避するために、この件に関して「何方かといえば沈黙してアップデートする」ことを選択したことを後から告白している。
この週末、Googleは、この攻撃を受けたとされる11000を超えるドメインを日曜日の朝にブラックリストとして公開した(望むべくは、攻撃者がサイバー犯罪キャンペーンで収益を上げることをより困難にする機転の利いた行動)。
多くのWordPress駆動型Webサイトは、サードパーティからの多くのプラグインを使用している。これはそれらのアップデートを維持し、あなたの普段使いのコンピュータ上のソフトウェア同様に、セキュリティ脆弱性を保護することが重要であることを意味している。
開発者が杜撰な方法でプラグインをコーディングしていたなら、あなたのWebサイトは不正に侵入されたり、訪問してきているユーザのコンピュータを危険にさらしたりするリスクが常に存在する。
悲しいかな、あなたのWebサイトで使用している全てのプラグイン(あるいは、あなたが稼動しているWordPressのテーマ)に関してセキュリティパッチが利用可能になったとき、常に通知されるということを当てにすることはできないようである。
セルフホスト型WordPressサイトはwordpress.com上にホストされるサイトと同じではないことに注意しなさい。あなたは、wordpress.com上では、このプラグインを稼動することはできないので、その管理されたプラットフォーム上で稼動しているサイトは、影響を受けることはない。
新たな身代金要求ソフトKEYHolderがCryptoBitの開発者によってリリースされた
BleepingComputer : General Topics>News (2014/12/11)
新たな身代金要求ソフトKEYHolderがCryptoBitの開発者によってリリースされた。CryptBit同様、この感染はあなたのデータファイルを暗号化し、あなたのファイルの復号化ツールを取得するために1.5Bitcoinの身代金を要求してくる。残念なことに、我々はこの感染のインストーラを発見できていないので、この身代金要求ソフトが、どのようにコンピュータに感染しているのか現在不明である。現在考えられていることは、KEYHolderの背後にいるグループが手動でリモート デスクトップとターミナル サービス コンピュータ(【訳注】 ネットワーク上にある他のコンピュータのデスクトップ画面を,手元のコンピュータのディスプレイに表示して操作すること(IT Proより))をハッキングし感染をインストールしているというものである。我々は詳細が分かり次第、このトピックをアップデートするだろう。
KEYHolderがインストールされると、そのコンピュータ上にあるデータファイルがスキャンされ、それらは暗号化される。これが実行されると、そのコンピュータ上の全ての復元ポイントとシャドー ボリュームコピーが削除されるので、犠牲者はオリジナルデータを復元するために、それらを使用できなくなる。KEYHolderは、ファイルを暗号化した全てのフォルダにHOW_DECRYPT.gifとHOW_DECRYPT.HTML誘拐メモを置いている。
HOW_DECRYPT.GIF
この誘拐メモは、このマルウェアのTORサイト(このサイトは現在の身代金の金額、現在送信されるべき身代金のBitcoinアドレス、身代金が支払われたか否かをチェックする機能に関する情報を含んでいる)にアクセスする方法に関する情報を含んでいる。
KEYHolderユーザの私室サイト
現在KEYHolderは、Bitcoinアドレスのセットを使用し、それらをランダムに様々な犠牲者に割り振っている。KEYHolderによって使用された既知のBitcoinアドレスのリストは、以下である。
引用
・ 1KVYrbkenyuQViS15vuGJMaSCMQtkWiGPF
・ 1FfcdymPaSY7rsmjCXhMyFKBm7VoK5vhdp
・ 16P6hP2b99qyu82tNBSSYSV4aupP6gosw7
・ 1AZ5RprWNYiY3ucWybA3UmTgpfT4X4mqwD
・ 161C2Shjj6fxfxsFCjzL3ZDXmuof2tjPDp
・ 14zSXJj66nQzyjhhqfDQ5mtb8hjeG8k5CD
・ 1GggZUSnrdpem8oxyEczqbctYvccwxJCon
我々は人々を支援し、更なる情報を取得するために専門のサポート トピックを持っている。私はすべての影響を受けた人々、もしくは関心のある訪問者が、新しいトピックが作成されたとき、通知を受け取ることができるよう、このトピックに登録することを提案する。このトピックは以下である。
KEYHolder Support and Discussion Topic(英語)
Windows 7 ユーザとExchangeユーザに関する問題: Microsoftはバグの多いセキュリティパッチをリリースしていたと警告を発した
Graham Cluely : Blog (2014/12/14)
いつもながら毎月の第二火曜日、Microsoftは、彼等のソフトウェアのユーザ用に、新しく発見された脆弱性やバグを保護するセキュリティ フィックスをリリースする。
通常、可能な限り早期に、あなたの企業全体に、このセキュリティパッチを適用することがアドバイスされている(取り分け、緊急性を要するセキュリティパッチの場合には)。緊急と評価されている脆弱性は、悪意あるハッカーがワームを拡散したり、ユーザの認識なしにコンピュータシステムに不正に侵入することによって、脆弱性攻撃することができるものである。
最も露骨に言うと、あなたの会社がパッチをきちんと適用し続けることがMicrosoftの関心事である。コンピュータの保護を維持することは、Microsoftのソフトウェアがセキュリティに関する悪評を得ることを回避する支援となるだけでなく、我々全てにとってインターネットを安全な場所にする支援ともなる。あなたは、Win-Winと言うかもしれない。Microsoftが動作しないパッチ、コンフリクトを発生するパッチをリリースした場合だけでなく、バグが発見された後、Patch Tuesday(Microsoftの定例パッチのリリース日)にリリースされたセキュリティパッチを困ったように撤回を余儀なくさせられたなら、それは、故障が始まることになる。
しかしながら、残念なことに、これは間違いなく今月のPatch Tuesdayのセキュリティアップデートで発生した問題である。
Microsoftは、セキュリティ ブレチン
MS-075で、先日(12/10(火))リリースされたExchangeサーバ用の下手糞なセキュリティ パッチをリコールすることをアナウンスした。
このセキュリティ ブレチンによれば、四つの異なる脆弱性を修正(悪意ある攻撃者が他のユーザから来たと思わせるE-Mailを送信することを可能にする「Outlook Webアプリケーション トークン成りすまし脆弱性」(CVE-2014-6319として知られる)を含む)することを前提としていた。
言い換えれば、攻撃者は、成りすましメッセージを行い、受信者を欺き危険な行動(リンクをクリックしたり、あるいは、不適切な情報共有させるために)を取らせるために、このフローを簡単に悪用することができる。
残念ながら、あなたがMicrosoft Exchange Server 2010 Service Pack 3を使用している組織にいるのであれば、あなたは、このパッチがもはやダウンロードできなくなっていることを確認できるだろう。(Microsoft Exchange Serverの他のバージョンの利用者は、問題ないことが明らかである。)
ブログポストにおいて、MicrosoftのExchangeチームは、Exchange Server 2010 SP3用のセキュリティアップデートは撤回された、既にこのパッチをインストールした組織は、元に戻すようアドバイスしていると説明している。開発者達は、このパッチの修正ができると直ちに、このパッチの改訂版をリリースすると約束している。
「このアップデートはリコールされた、そして、新しいRU8リリースを待っている間、もはやダウンロードセンターで利用することは出来ない。顧客は、新しいRU8バージョンが利用可能になるまで、このアップデートの配備は行われるべきではない。」
Microsoft(実際には、そのユーザ)にとって残念なことは、ここ数ヶ月間に幾つかの下手糞なセキュリティ アップデートを実行していたことである。
しかし、Exchange Server SP3用の問題あるパッチは、MicrosoftのPatch Tuesdayの苦痛を終了させていない。
また、Windows 7 Service Pack 1 と Windows Server 2008 R2 Service Pack 1 を稼働しているコンピュータは、Windowsルート認証プログラム用の最新のアップデート(KB3004394アップデートとして知られる)を適用した後、問題を経験していることが明るみに出た。
PC Worldのレポートとして、Windows 7ユーザは、問題を発生する(グラフィックドライバのインストールを妨げる、そして、多分最も深刻なものとして、今後のWindowsアップデートのインストールを妨げることを含む)壊れたアップデート(KB3004394)をアンインストールするように促している。
なんてこった!
Microsoftは、Windows 7コンピュータから失敗作のアップデートを削除する修正をリリースした。もしくは、あなたはコントロールパネルから手動で、この失敗作のアップデートをアンインストールすることもできる。
Windows 7コンピュータが、バグだらけのセキュリティパッチを存在させると、もはやアップデートすることができなくなるかもしれないことは明らかなので、Micorosoftのアドバイスに従い、この失敗作のパッチを削除することは重要なことである。
しかしながら、他方、セキュリティアップデートの信頼ある提供者としてのMicrosoftの評判は、別の打撃を受けている。Micorosoftは、いつもPatch Tuesdayで、まともなパッチを提供することが出来ない、あるいは、あらゆる不要なバグも無いと考えられるようになるまで、多くの会社が彼等のパッチの公開の遅延を選択するというリスクがある。
OphionLocker身代金要求ソフトは、楕円曲線暗号でファイルを暗号化している
BleepingComputer : General Topics>News (2014/12/10)
OphionLockerという名前の新しい身代金要求ソフト(ランサムウェア)がリリースされた。このランサムウェアは、Elliptical Curve Cryptography(楕円曲線暗号)を使用して、あなたのデータを暗号化する。次に、凡そ1Bitcoinの身代金を要求してくる。Trojan7Secによって最初に発見されたこのランサムウェアは現在、脆弱性攻撃キットを使用してハックしたWebサイトを介して拡散している。ユーザが時代遅れになったソフトウェアを持つコンピュータで、このようなサイトの一つを訪問すると、脆弱性攻撃キットは、脆弱性を攻撃しランサムウェアをインストールするだろう。
Trojan7Secによると、身代金の金額は、犠牲者が存在する国によって変化する。最も高額なのは米国居住者で1Bitcoinである。
OphionLockerの警告画面
あなたが、このマルウェアに感染すると、最初のハードドライブのシリアル番号、マザーボードのシリアル番号、その他の情報を基にした一意のハードウェアIDが生成される。これは次に、このマルウェアのTorサイトにコンタクトし、この特定のハードウェアIDが既に暗号化されているか否か確認するだろう。オープンソースのCrypto++ライブラリを使用して、OphionLockerは楕円曲線暗号化をであなたのデータを暗号化を開始する。暗号化されるデータファイルは、以下の拡張子を持つものである。
3fr,accdb,arw,bay,cdr,cer,cr2,crt,crw,dbf,dcr,der,dng,doc,docm,docx,dwg,dxf,dxg,eps,erf,
indd,jpe,jpg,kdc,mdb,mdf,mef,mp3,mp4,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,
pef,pem,pfx,ppt,pptm,pptx,psd,pst,ptx,r3d,raf,raw,rtf,rwl,srf,srw,txt,wb2,wpd,wps,xlk,xls,
xlsb,xlsm,xlsx
データファイルが暗号化のために検索される時、これは拡張子の大文字と小文字を区別した照合を実行する。これは test.jpgというファイルは暗号化されるかもしれないが、test.JPGと呼ばれるファイルは暗号化されていないことを意味している。この検索が実行されると、このマルウェアは上図の警告を表示し、あなたのデスクトップとMy Documents中に膨大な数のencrypted.txtファイルを生成する。これらのencrypted.txtファイルは、あなたが身代金を支払うためにTor支払いサイトへアクセスし、復号ツールを受け取る方法の説明を含んでいる。
身代金を要求する文書
身代金要求の上図の画像をテキストにしたものが以下である。
Your important files you have on this computer have been encrypted : photos, videos, document , etc.
In order to recover these files you have to go to : smu743glzfrxsqcl.tor2web.org/ and buy the key to decrypt all your files.
From now on you have 72 hours to pay or the key will be permanently deleted from our server and you won't EVER get your files back. Please go to : smu743glzfrxsqcl.tor2web.org/ to see the procedure.
You can find this text on your desktop and document folders
your hwid is :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
あなたがこのコンピュータ上に所有する重要なファイル(写真、ビデオ、文書等)は暗号化された。これらのファイルを復元するには、smu743glzfrxsqcl.tor2web.org/ を訪問し、あなたの全てのファイルを復号するためのキーを購入する必要がある。
支払いは今から72時間である、さもなければ、このキーは我々のサーバー上から永久に削除され、あなたのファイルを取り戻すことは絶対にできない。手順を確認するには smu743glzfrxsqcl.tor2web.org/ に進みなさい。
あなたは、このテキストをデスクトップとドキュメントフォルダ上に発見することができる。
あなたのhwid(Hardware Identification、ハードウェアID)は、xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx である。
あなたがランサムウェアのサイトを訪問すると、あなたはハードウェアIDを入力するよう促される。入力すると、このWebサイトは、あなたが要求される身代金の金額と、身代金を送信すべきBitcoinのアドレスを表示する
身代金支払い用サイト
有難いことに、このマルウェアは、あなたのファイルをしっかりと削除していないし、Shadow Volume Copyも削除しない。従って、ファイル復元ツールやShadow Explorerのようなプログラムを使用してファイルを復元することが可能である。これを実行する詳細な情報に関しては、
CryptoLockerガイド中のこのセクションを参照しなさい。
POODLE脆弱性は、TLS暗号化にも影響していることが発見された
ESET : We Live Security (2014/12/12)
【訳注】 POODLE は Padding Oracle On Downgraded Legacy Encryption の略称です。中間者となる攻撃者は、この脆弱性を利用して、padding oracle side-channel 攻撃を行うことで暗号文を解読できます。詳細については、アップストリームの OpenSSL アドバイザリで利用できます。
POODLE は、以前の基準に準拠している暗号化、特に Secure Socket Layer (SSL) バージョン 3 を使用している場合に影響します。Transport Layer Security (TLS) として知られる新しい暗号化メカニズムには影響しません。(これは、2014/10/17日付けのredhatのKowledgebaseからの引用ですが、この時点ではTLSは影響を受けないとされていました)
10月に、この問題が最初に明らかになった時、研究者はSSL 3.0を使用しているサイトだけが、このPOODLE脆弱性が存在すると信じていたが、
ZDNetによると、今、TLSのある実装が類似の脆弱性攻撃を使用して不正アクセスされることが明らかになった。
Larry Seltzerは、「TLS 1.0の一つの変更は、この攻撃を防ぐためにパディング・バイト(【訳注】 バイト境界の区切りを一致させるために挿入される空間)の内容を完全に指定することであった。しかし、幾つかのTLS実装が依然としてパディング・バイトをチェックしていないことが明らかになった、それを実行する能力を持っているにも拘わらず。明らかに、多くの実装者は、このエラーのチェックを怠ってはいたものの、とにかくSSLv3ソフトウェア(これはTLS実装と共に立派に動作する)を使用した」と説明している。
新たな脆弱性攻撃の変種は、GoogleのAdam Langleyによって発見された。
彼のブログでの記述によれば、Adam Langleyは、TLSパディングは「技術的には、SSL v3パディングのサブセットなので、TLSでSSL v3デコーディング機能を使用することができる、そして、それは依然として立派に動作するだろう... POODLE攻撃は、TLS接続に対してさえ動作するだろう。」と説明している。彼は続けて、
F5と
A10のネットワーク機器は共に影響を受ける。
F5は既にアップデートをリリースしている。
Ars Technicaは、幾つかの注目を浴びているWebサイト(Bank of America, VMware, the US Department of Veteran’s Affairs(アメリカ合衆国退役軍人省)のようなサイトを含む)は影響を受ける可能性があると報告している。
このWe Live Securityによる報告では、POODLE(Padding Oracle On Downgraded Legacy Encryptionの頭文字)は、10月に顕になり、中間攻撃者がSSL 3.0上のHTTPクッキーを復号する可能性がある。SSL 3.0は凡そ15年前からのものであるが、現時点で殆どのブラウザは、依然としてそれをサポートしていた。多くのサーバーは、彼等のバックアップとしてSSL 3.0を使用しているので、攻撃者は、それを脆弱性攻撃することが可能である。それ以来、ブラウザはアップデートされた。Firefoxにいたっては、先週完全に高齢化したプロトコルのサポートを中止した。
Operation Global 3身代金要求ソフトは暗号化するだけでなく、その上、あなたのデータにも感染する
BleepingComputer : General Topics>News (2014/12/09)
Operation Global 3 身代金要求ソフトは、あなたのコンピュータのデータと実行可能ファイルを暗号化するコンピュータ感染であり、あなたが身代金を支払った場合を除いて、あなたのデータや実行可能ファイルを開くことをできなくするものである。この感染に関する現在の身代金は凡そ$250(米国ドル)であり、Bitcoinで支払わなければならない。この特別な身代金要求ソフトは、ある意味非常に基本的であるが、今迄の身代金要求ソフトの感染よりもっと危険な新しい機能を含んでいる。Operation Global 3 身代金要求ソフトは、あなたのファイルを暗号化するだけでなく、身代金を支払うまで、あなたのコンピュータの使用をブロックするロック画面も表示する。そしてまた、他のコンピュータに拡散するために悪意あるコードでファイルに感染するウィルスのように挙動する。幸いなことに、復号化ツールを作成することが可能である。この件に関しては、この記事の末尾で論議する。
この身代金要求ソフトが上図のロック画面を表示すると、あなたのコンピュータは使用できなくなる。Operation Global 3は、暗号化されたファイル拡張子を .EXE に変更し、次に、そのファイルが開かれる時、他のコンピュータに拡散することを可能にする悪意あるコードで、それらファイルに感染する。こうして感染させれらたファイルの一つがダブルクリックされると、暗号化プログラムが起動され、暗号化が行われ、あらゆる新しいファイルが感染させられるだろう。これらのファイルの一つが今迄このマルウェアの影響下にないコンピュータ上でダブルクリックされると、このコンピュータは暗号化され、その上感染させられることになる。
潜在的に、この身代金要求ソフトの最も危険な特徴は、マウントされていないネットワーク共有を探し、あなたのコンピュータ上のドライブレターとして、それらをマウントすることである。次に、暗号化を開始し、その上、このネットワーク共有上に発見されたファイルに感染するだろう。今迄の全ての身代金要求ソフトの感染は、感染したコンピュータ上のドライブレターの一つだけを標的にしており、マップされていないネットワーク共有は無視していた。他方Operation Global 3は、全てのネットワーク共有を追い求め、、それらの上に発見されたあらゆるファイルや実行可能ファイルに感染することによって値段を釣り上げている。WindowsはDefaultでファイル拡張子を表示しない、他のコンピュータ上の誰かが、それらのファイルが実行可能ファイルであるという認識なく、それらのファイルの一つを開くだろう。そこで、彼等のコンピュータは同様に感染させられる事になる。
良いニュースは、各ファイル用の復号化キーが暗号化されたファイル内部に格納されていることである。これはNathan Scott(別名、DecrypterFixer)が、ウィルス/身代金要求ソフトを解決するプログラムを作成することを可能にしたので、あなたはファイルを無料で復号することができる。彼のツールを使用した後、あなたがファイルをダブルクリックすると、他のファイルを暗号化する代わりに、そのファイルを復号するだろう。Nathanは、暗号化するルーチンを無効にするための彼の解決策を使用する方法を説明するYouTubeビデオを同梱している。そして、あなたはファイルを復号することが可能になる。
このビデオは此処で見出される。
上のビデオの概要。あなたのファイルを復号するために彼のツールを使用するためには、あなたはマルウェアをアクティブのままにし、あなたのコンピュータ上で稼働させ続けなければならない。スクリーンロッカーが開く間、あなたのアプリケーションにアクセスするためにデスクトップに[Alt]+[Tab]して鎮めることができる。あなたのデスクトップでWebブラウザが稼働し、Operation Global 3 Ransomware Patcherをダウンロードしたら、それをデスクトップに保存しなさい。ダウンロードされたら、このプログラムをダブルクリックしなさい。あなたは以下の画像のようなパッチャーを確認するだろう。
あなたがファイルを復号するために、このマルウェアをパッチするには、Patchボタンをクリックしなさい。このパッチ プログラムは、身代金要求ソフトをパッチし、自動的にロック画面を最小化する。あなたは次に、影響を受けたファイルを復号するために、それらをダブルクリックしなさい。
残念ながら、実行可能ファイルに感染するためにOperation Global 3によって使用されたルーチンはバグが多い。あなたがそれらを複合した時、その実行ファイルはもはや動作しないかもしれない。従って、あなたは感染させられた多くのアプリケーションを再インストールする必要があるだろう。そういうものの、あなたのデータファイルを修復した後、あなたがWindowsとアプリケーションの全てを再インストールすることは強く推奨されている。これは、あなたのコンピュータが再び適切な動作を取り戻すことを保証するものであるだろう。
下手糞な仕事のKB3004394がエラーメッセージの引金になっているが、Microsoftの応答は無い
All Web News : Science & Technology>OperatingSystem (2014/12/11)
昨日が暗黒の火曜日(【訳注】Microsoftの定例パッチのリリースが毎月第二火曜日であることから、この日をPatch Tuesday(パッチの火曜日)と呼びます。ところで、このパッチがしばしばトラブルを発生させることから、皮肉を込めてBlack Tuesday(暗黒の火曜日)とも呼ばれています)なら、今日はCrash Wednesday(クラッシュの水曜日)に違いない。
私はKB3004394(毎日、悪いルート認証を探すWindowsルート認証チェッカーを修正するパッチ)で問題を発生した多くのレポートを確認している。いつものように、この問題に関するMicrosoftからの確認もなければ、私が発見できるドキュメントもなければ、続行するための方法に関するアドバイスもない。この問題を持ったユーザは、彼等がこのパッチをアンインストールすると問題がなくなることを発見している。
Lead3は、火曜日にMicrosoft Answers Forumで、KB3004394での二つの問題を説明したスレッドを開始した。
全てのMMC機能(イベントビュワー等)が今、アドミニストレータ(管理者)アカウントであるにも拘わらず、管理者としてのアクションを要求している。
Windows Defenderサービスは開始しない。Windows Defenderサービスはエラー %%-2147023113 で終了する。
同じスレッドにおいて、Thinger123は、以下を報告している。
私がKB3004394をインストールした後、私は他のあらゆるWindowsアップデートをインストールできない。私はWindowsアップデートでエラーメッセージを得た。私は既に幾つかの高度なトラブルシューティングを実行した、そして、問題はKB3004394に絞りこまれた。
このアップデートそれ自体は、きちんとインストールされるが、再起動後、他のWindowsアップデートはインストールされない。私が他のアップデートのために「アップデートをインストール」をクリックすると直ちに、赤いXとエラーメッセージが発生する。
このアップデートを削除し再起動すると、通常通り全ての他のアップデートは完了することが可能になる。
q454は、以下のように投稿している
私もまた、アップデートKB3004394で問題を持っている。私がタスクマネージャを稼働する度に、未知のプログラムが変更しようとしていると、私に尋ねてくる。私はmsconfigに行こうとした時も、同じ問題を得た。次にUAC(【訳注】 Windowsのユーザーアカウント制御)設定に進んだときも、同じ警告を得た。基本的にMicrosoft UACで実行する必要のある全てのことは、未知のプログラムが私のPCを変更することを望んでいるとする警告を私に与えた。
Tim Birmingは、以下のように発言している。
MSE(Microsoft Security Essentials)インストレーションも、これをパッチした後、エラー8004ff91で頓挫する。エラーコードは何も明らかにしない。
KellyPrattは、以下のように記述している。
VirtualBoxは、私がこのアップデートをアンインストールした後、動作に復帰した。
このAMDフォーラムは、AMD Catalyst Omegaドライバのインストール問題で盛り上がっている。Poster necrophyteは、以下のように発言している。
KB3004394のインストール無しで(しかし、昨日のパッチの他の全ては火曜日にインストールされている)、DDU(Display Driver Uninstaller)は稼働していた、再起動した、問題なく14.12はインストールされ、再起動され、今、最終的に11時間の憤慨の後、再びディスプレイドライバが機能した。Omega本当に素晴らしい。
このKB3004394ルート認証アップデートに関してMicrosoftを非難する。これは私にOSの修復インストールを実行させたに等しい。彼等が私の(私がKB3004394が問題の原因であると最初に言及した)Technetスレッドを読む事を希望する。
対照的に、KB3002339問題は、比較的無害である。SnydrRydrはAnswersフォーラムに以下を投稿している。
私は今、一時間以上かかってVisual Studio 2012 (KB3002339)用のアップデートをインストールしているが、それは未だ終わっていない。私はサポート記事を見た。これは小さなバグフィックス アップデートのように思われる。何故、そんなにインストールに時間がかかるのか?
W Jezewskiは解決策を提供している。
私は3台のマシンで同じ問題に遭遇した。手動ダウンロードしてインストールすると上手くいく。
あなたは、KB3002339をMicrosoftダウンロードセンターから直接ダウンロードすることができる。
マルウェアからあなたのパスワードを守る4つの方法
MakeUseOf : Security (2014/12/08)
パスワードマネージャ(【訳注】 例えば、LastPass、KeePass等を意味する)は、あなたのパスワードを安全に保護するユーティリティである。一つのマスターパスワードを入力することによって、あなたの安全に格納されたパスワードの全てへのアクセスを取得することができる。これは、あなたが単一のマスターパスワードを思い出すだけで、全てのWebサイトとあなたが使用するアプリケーションで一意で複雑なパスワードを所有することを可能にする。いい? 本当に?
残念ながら、攻撃者は幾つかの人気のあるパスワードマネージャを標的にすることを開始した。あなたのコンピュータがマルウェアに感染していたなら、このマルウェアは、あなたがマスターパスワードをタイプした時、それを盗むために、あなたのキーストロークを記録するキーロガーを使用することができる。これはマルウェアが、あなたが格納しているパスワードへのアクセスを取得することを可能にする。この場合、パスワードマネージャは、一つのパスワードだけを盗むことによって全てのパスワードを危険に晒す事になるために、実際にセキュリティは低下することになる。
もちろん、ベストプラクティスは、あなたのコンピュータにマルウェアを存在しないように維持することである。しかし、あなたはパスワードマネージャのセキュリティを改善するための幾つかのオプション(脆弱性を減少し、あなたのコンピュタをマルウェアによって感染させ難くする)を実際に持っている。
仮想キーボード(Virtual Keyboard)
Password Safeや
LastPassのような幾つかのパスワードマネージャは、仮想キーボードを提供している。あなたのマスターパスワードをキーボードで入力する代わりに、画面上に表示されたグラフィックキーボードでマスターパスワードを入力する。Password Safeは、あなたが通常パスワードをタイプする場所の右に小さなキーボードアイコンを持っている。LastPassはScreen Keyboardと表示したハイパーリンクを持っている。
仮想キーボードが表示されると、あなたはマスターパスワードを構成している文字、数字、記号をクリックする。仮想キーボードを使用するアイデアは、キーロガーがキーストロークは追跡できるが、殆どのキーロガーがマウスクリックされた画面上の場所を追跡できないことにある。そこで、あなたが仮想キーボードを使用してマスターパスワードをタイプしたとき、キーロガーはまず間違いなく、それを盗むことができない。けれども、幾つかの形式のマルウェアはスクリーン上の行動をモニターすることができ、監視を通してあなたのパスワードを明らかにすることができることに注意しなさい。
ワンタイムパスワード
仮想キーボードは、パスワードをタイプするより強力な認証解決方法を提供する。しかし、更に強力な解決策が利用可能である。ワンタイムパスワードは、名前が示しているとおり、一回しか使用することのできないパスワードである。LastPassや
Intuitive Passwordのような幾つかのパスワードマネージャは、ワンタイムパスワードの使用をサポートしている。ワンタイムパスワードは、一回だけしか使用できないので、あなたが使用しているものを攻撃者がキャプチャしたとしても、彼等はそのパスワードを再使用することができない。
以下のリストは、LastPassのコンピュータ生成ワンタイムパスワードを表示している。プリント オプションのあることに注意しなさい。これらのパスワードをプリントアウトし、安全に保持できる場所に格納しておくことは一般的に行われている。あなたのコンピュータのファイル中に、これらのパスワードを保存し、次に、必要に応じてパスワードマネージャにコピー&ペーストしたい誘惑に駆られるかもしれないが、これは拙いセキュリティ操作である。あなたのコンピュータがマルウェアに感染していると仮定する。このマルウェアは多分パスワードを含んでいるファイルを探すだろう。そして、誰かが、あなたのコンピュータへ実際にアクセスしたなら、その者はパスワードをコピー&ペーストでき、直ちにあなたのパスワードマネージャ中に格納されている全てのものへのアクセスを取得するだろう。
ワンタイムパスワードに関するもう一つのオプションは、特別なワンタイムパスワード発生器からランダムに発生させた数字を得ることである。この顕著な例は、Google Authenticatorモバイル アプリケーションである。
DashLaneやLastPassのようなパスワードマネージャはGoogle Authenticatorを利用することができる。あなたがパスワードをアンロックしたいとき、あなたのモバイルデバイスで、Google Authenticatorを使用して新しいワンタイムパスワードを生成させる。次に、このパスワード(通常6桁)を、あなたのパスワードマネージャにタイプする。ここに
LastPassでGoogle Authenticationを使用するためのセットアップ方法を示したビデオがある。
また、テキストメッセージを介して、あなたにワンタイムパスワードを送信するように設定することのできるIntuitive Passwordのようなパスワードマネージャも存在している。
生体認証
ある人々にとってのもう一つのオプションは、指紋スキャナのような生体認証読取装置を使用することである。LastPassのPremiumバージョンや
RoboFormユーティリティは、共にマスターパスワードの代わりに生体認証の使用をサポートしている。コンピュータの中には、取り分けラップトップでは、指紋スキャナを組み込んでいるものもある、また、外付け指紋スキャナを持っているコンピュータ(デスクトップ、ラップトップ)もある。
あなたのデバイスが既に指紋スキャナを持っているのであれば、そのスキャナを使用できるパスワードマネージャを取得することを考えているかもしれない。あなたがスキャナを持っていないのであれば、他のオプションの一つ(仮想キーボードやワンタイムパスワード)が、おそらくあなたにとってより適切なものだろう。
多因子認証
最後のオプションが多因子認証である。今まで、我々は単一因子認証についてのみ話してきた。これは一つだけの認証方法(一般的には、一つのパスワード)を使用していることを意味している。より強力なセキュリティのために、あなたは多因子認証を適用することができる。これは、同時に複数の認証方法(パスワード(あなたが認識しているもの)と指紋(あなた固有のもの)のような)を使用して検証するものである。
例えば、
KeePassパスワードマネージャは、USBフラッシュドライブ上にパスワードと一緒に設定される暗号化されたキーファイルを使用している。攻撃者があなたのパスワードを取得したとしても、攻撃者は、あなたのフラッシュドライブを依然として必要とする。逆もまた真である。しかし、あなたのコンピュータがマルウェアに感染している場合、断固として実行する攻撃者は多分、あなたのフラッシュドライブからキーファイルのコピー並びにパスワードを取得することができるだろう。このシチュエーションでは、多因子認証は単一因子認証より強力とは言えないだろう。
LastPassにおいて二要素認証を有効にする方法
殆どの人々は、彼らのパスワードマネージャのための多因子認証が必要以上に複雑なことを発見するだろう。究極的には、あなたのコンピュータがマルウェアに感染しているなら、あなたのパスワードはリスクがある。パスワードマネージャの認証方法が如何に強力であるかは問題ではない。ある時点で、あなたがパスワードが格納されている安全保管庫をアンロックするだろう、そして、マルウェアはそれにアクセス可能になるだろう。認証方法の強力さは抑止力ではあるが、絶対的な防止手段ではない。
パスワードマネージャ認証に関する推奨事項
パスワードマネージャを保護するために通常のパスワードを使用することは、マルウェアによる危険性を増加させることになる。仮想キーボードを使用することを考慮しなさい、あるいは、より優れたものとして、マルウェアが、あなたのマスターパスワードを引っ掴み、格納しているパスワードにアクセスする可能性を妨害するために、マスターパスワードの代わりにワンタイムパスワードを使用することを考慮しなさい。
あなたのコンピュータにマルウェアを立ち入らせないようにするために推奨されるあらゆる実践(ソーシャルネットワーク攻撃を失敗させること、アンチウィルスソフトウェアの使用、あなたのコンピュータのOS、Webブラウザ、他の重要なアプリケーションに関するパッチを即座にインストールしたりアップデートすること)を忘れないようにしなさい。そもそも、あなたのコンピュータがマルウェアに感染していないのであれば、あなたのパスワードマネージャ認証の強度は、重要なことではない。あなたはパスワードマネージャに対する脅威を取り扱うための準備をしているだろうか? あなたはどのような注意をしているのだろうか?
FBIはSONY PICTURESへのサイバー攻撃を受けて警告を発生した
The Guardian : Tech (2014/12/03)
The US Federal Bureau of Investigation (FBI)は、Sony Picturesの壊滅的なハッキングの後、ハッカーがコンピュータシステムを破壊するために悪意あるソフトウェアを使用していると警告している。
The Guardianによって確認された
FBIのレポートは、この攻撃に使用されたソフトウェアの詳細を述べ、アメリカの企業に関する最初の壊滅的サイバー攻撃を印したと発言している。
FBIはSony Picturesとは名指ししていないが(これは司法当局の通例である)、The Guardianは、この詳細がアメリカと世界中の事務所に渡るこのスタジオのコンピュータシステムの制御を取得し機能を麻痺させたSony Picturesへの攻撃に関するものであると理解している。
「データファイルを上書きされると、不可能ではないにしても、標準的なフォレンジック(【訳注】"forensics" には「法医学」「科学捜査」「鑑識」といった意味があり、分かりやすく意訳すれば「デジタル鑑識」(e-Wordsより))を使用してデータを修復するのは大変困難であるし、高くつく」とこのレポートは述べている。
サウジ・アラムコ攻撃に類似
この攻撃は、Europol’s Cyber Crime Centre(【訳注】 直訳すれば、欧州セイバー犯罪センター)のディレクターTroels Oertingによれば、2012年からの石油大手サウジ・アラムコに対して実行され、3万台のコンピュータを操作不能にした攻撃と同じ手口のようである。
「FBIは日常的に、調査中に観察された様々なサイバー犯罪の兆候を民間産業にアドバイスしている」そして、「このデータは、持続的なサイバー犯罪行為に対して、システム管理者のガードを支援するために提供されている」とFBIのスポークスマンはロイターに語っている。
このハッキンググループGuardians of Peace (Gop、【訳注】 平和の守護者)は、Sony Pictureをハックしたことに関する犯行声明を出している。Sony Picturesは彼等のコンピュータが使用不能になったため、ペン・紙・FAXを使用することを強いられている。関係者は、フィルム・ドキュメントの70%が、そして、フィルム・スクリプトさえ削除されたとThe Guradianに語っている。
このハックを実行している者に集中し続けよう
Sony Picturesの5本のフィルムがファイル・シェアリングサイトを介してインターネット上にリークされた(攻撃の結果としてブラッド・ピットのフェリーを含む)。機密データ(ログインの詳細情報を含む)、映画、TV関連、職員名簿の詳細がインターネット上にリークされた。
匿名のテキスト共有サイトPastebinとファイルシェアリングサイトMega上にリークされたオリジナルのリンクは、現在削除されているが、多くのものがピア・ツー・ピア(P2P)を介してファイルをダウンロードすることが依然として可能であることは間違いない。
「人々は、それを様々な方法でダウンロードするだろう、そして、他のトレント上でそれをミラーし始めるだろう、まさに時間の問題である」そして、「人々がダウンロードすることを追い求めた場合でさえ、これは(Sonyにとって)失敗である。ハックを実行した者に集中し続けよう、それが彼等が行くべき場所である」とFox-ITのサイバー犯罪セキュリティ専門家Yonathan Klijnsmaは発言している。
幾つかのレポートはSony Picturesを攻撃したのは北朝鮮であると暗示している。そして、この国の当局者は拒否に失敗した。この映画スタジオは、Seth Roganの最新映画The Interview(Kim Jong-un(金正恩)の暗殺を描いたコメディー)をリリースに着手している。
国連がこの映画のリリースを許可するなら、北朝鮮外務省は「情け容赦のない対抗策」を取ると脅していたが、北朝鮮の大使Ja Song Namは、7月に国連事務総長Ban Ki-moon(潘 基文、パン・ギムン)への手紙の中で、このコメディーのリリースに「戦争行為」のラベルを貼っていた。
日本の銀行を標的にしたフィッシング攻撃
Kaspersky : SecureList (2014/11/28)
銀行や電子決済を盗む目的の殆どのフィッシングE-Mailは英語で書かれている。しかしながら、我々は、非英語圏の国々のユーザを標的にした攻撃の増加を示す、英語以外の言語で書かれた大変多くの詐欺メッセージを確認している。以下は、日本の大銀行を装って送信された、日本語でのインチキ通知の例である。
インチキ・メッセージのテキストは個人データがリークされる可能性のあることをユーザに警告している。これらのインチキ・メッセージはまた、銀行のセキュリティシステムが、ユーザの口座を保護するためにアップデートされたので、ユーザの口座がブロックされないことを保証するために、リンクに従い、銀行のサイト上でログインの詳細やパスワードを入力する必要があると告げている。フィッシング・フォームに入力された情報は、犠牲者の個人アカウントへのアクセスを取得し、オンライン銀行システムを介して彼等の金銭をコントロールしようとする詐欺師に送信される。
E-Mailの’From’フィールドは、台湾ドメイン(.tw)からの著名なフリーメールサービスに登録されているアドレスになっている。このメッセージ本文中のフィッシング・ページのアドレスは、この銀行の公式のWebアドレスと類似しているが、ユーザがリダイレクトされる実際のページのアドレスは別物である。詐欺師のページは実際の銀行の公式ページに似せるように設計されているが、ブラウザに表示されている疑わしいアドレスに十分注意を払えば、ユーザはこのトリックに気がつくことが可能である。
一月後、我々の同僚は類似のフィッシング・マスメーリングを検知した。
【訳注】 この画像のメールの日本語は、明らかに日本語に不慣れな外国人の書いたものと判断できますが、現在は綺麗な日本語で記述されているものが多いようです。フィッシングメールの例を含む日本の銀行をターゲットにした攻撃に関しては、東京三菱UFJ銀行、三井住友銀行のサイト等を参照してください。
送信者のアドレスは本物のように見える。テキストは、銀行がセキュリティシステムをアップデートしたことと、ユーザが銀行口座を確認するためにリンクに従うことを顧客に通知している。このリンクは最初の例のリンクと同じフィッシング・リンクであったが、今回の偽造は、より本物のように見えるリンクであった。注意深いユーザだけが、この相違を見破ることだろう。
私はReginのような脅威を心配する必要があるのか?
ESET : WeLiveSecurity (2014/11/26)
数年前にStuxnetが発見されて以来、国家によって作成されたと思われる、あるいは、国家がスポンサーになっていると思われる標的型マルウェア(Flame, Duqu, Gauss, そして、現在のReginのような)が続々と現れている。この複雑な脅威は、少なくとも部分において、目標とする相手をスパイするように設計されている山のようにズラリと並んだ機能を持っている。当然、このような例外的な脅威は、メディアによる多くの報道をなされることになる。しかし、平均的な人々やビジネスにとって、これは心配する必要があることなのだろうか?
一般的な話として、あなたが国家機密を持っていたり、誰かに財政上のサービスやインターネットサービスを提供している場合を除いて、Reginやその仲間のような注目されている脅威に遭遇することは多分無いだろう。
これは平均的な人々に対する脅威の可能性が存在しないということを意味していない、計算によると、20万を超える新しいマルウェアが毎日発見されているのだから。このようなマルウェアの殆どは著しい複雑さを持っておらず、遥かに一般的なものである。政府機関によって目標にされていない我々一般人にとって防御は比較的簡単である。そして、我々が実行できることは、通常のマルウェアの脅威に対して我々自身を安全にすることである。
アップデート
あなたのソフトウェア(OS、アプリケーション、ブラウザプラグインを含む)をアップデートしておくことは常に重要なことである。そういえば、AdobeはFlash Playerの定例外パッチをリリースしている。平均的な人々にとって、この脆弱性はReginより更に多くの脅威を及ぼすので、可能な限り早急にこのアップデートを適用しなさい。
バックアップ
不都合なことが発生するのはセキュリティ問題だけではない。適切なバックアップを持つことは、いたって簡単にこのような問題を修復することが可能である。サイバー犯罪者は最近の身代金要求ソフト(ランサムウェア)に大変興味を示している。あなたが最新のバックアップを持っているのであれば、如何なる種類のマルウェアであろうとも、深刻な驚異を些細な苛立ちに変換するだろう
多層防御
ESETの製品は、多くの他のマルウェア同様、Reginファミリーのマルウェアを検出する。このマルウェアファミリー(あるいは、一般的なマルウェアにおいても)が今後どのように展開するのかは未だに分かっていない、そこで検出に複数のレイヤーを使用することは適切な考えである。ファイアーウォールの付属するアンチ-マルウェア・パッケージソフトを所有するのが適切である。あなたはまた、ストレージ中のデータを暗号化することができ、またネットワーク(E-Mailやインスタントメッセージング、あるいはWeb)を介してそれを送信するとき、データを暗号化することでそれを保護することができる。オンラインでの交流に関して健全な疑い深さを持つことは賢明なことである。サイバー犯罪者は、しばしば、マルウェアを役に立たなくなった防御に配置するように人々を誘惑しようとする。通常通りではない、あるいは疑わしくみえるメッセージ、ファイル、Webサイトは「確認することなく信頼しないようにしなさい。」
二要素認証
このWebサイトの常連の読者のように、私は諸君が強力なパスワードを使用することについて全て知り尽くしていると思っている。多くのサイトとサービスは現在、二要素認証を提供している。これは、あなたのパスワードが盗まれたりクラックされた場合でさえ、もう一つの保護レイヤーを提供するものである。
この複雑な標的型マルウェア増殖の時代では、戦いがなくなったかのようであり、猛攻撃は望むべくもないかのようである。十分に資金供給され決然とした敵対者(単一民族国家のような)が、会社や個人を標的にしているのなら、最高の望みは、事後速やかに検出がなされることかもしれない。しかし、世界中の多くの人々に関して、このようなデジタル兵器の照準中に捕らえられることは、我々は、ありそうにないと考える。我々の殆どが、ある程度の能力で我々のセキュリティを改善することができる多くのことがあるので、我々にとって本当の脅威である多くのマルウェアを厳しく制限することが可能である。
Adobe: 緊急のFlashのパッチをリリース
KrebsOnSecurity : Blog (2014/11/25)
今月二回目、AdobeはFlash Playerのセキュリティ・アップデートをリリースした。この新しいバージョンはFlashのWindows, Mac, Linuxで利用可能である。このパッチは、攻撃者が独特で積極的悪用を考案したように見えたためにAdobeが今年初め修正した脆弱性に関する追加の保護を提供している。
Adobeは、WindowsとMacintosh用Adobe Flash Playerデスクトップ・ランタイムのユーザは
Adobe Flash Playerダウンロードセンターを訪問するか、アップデートが表示された時に製品内のアップデート・メカニズムを介してバージョン15.0.0.239にアップデートするよう推奨している。Linux用Adobe Flash Playerはバージョン11.2.202.424にアップデートされている。
Adobeによると、これらのアップデートはCVE-2014-8439(Adobeが2014/10にリリースしたFlashのパッチで修正済み)に対する追加の強化策を提供している。このアップデート速報は
こちらである。フィンランドのセキュリティ企業F-Secureは、独自に研究を行っている研究者Kafeinからの、この脆弱性が攻撃キット(ハックされたWebサイトに縫い付けられ、この脆弱性のようなブラウザのフローを介して訪問者にマルウェアをコッソリ挿入するように設計されている悪意あるソフトウェア)によってインターネット上で攻撃されているとする情報を受け取った後、Adobeにこのフローを
通知したと発言している。
あなたにインストールされているFlashのバージョンを確認するには、
このリンクをチェックしなさい。Windows 8.x上のIE10/IE11とChromeでは、夫々のブラウザ用のFlashのバージョンが自動アップデートされるはずである。
Flashの最新版は
Flashのホームページから利用可能であるが、McAfee Security Scanのような基本的に不要なアドオンに注意しなさい。これを回避するには、ダウンロードする前に事前にチェックボックスのチェックを外すか、
こちらからあなたのOS特定のFlashのダウンロードを入手しなさい。
Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、使用しているブラウザ毎にパッチを適用する必要がある。IEで一度、それ以外のブラウザ(Firefox、Opera等)毎にパッチを適用しなさい。
【訳者補足】
この情報に関してはIPA(情報処理推進機構)からも提供されています。
'Regin': 諜報グレード・ソフトウェア兵器と説明される新たなStuxnet
The Register : Security (2014/11/24)
有名なStuxnetやDuquと同等に洗練されている大変高度なマルウェアが検出された。”Regin”はStuxnetやDuquより更に扱いにくいかもしれないと、セキュリティ研究者たちは考えている。
”Regin”マルウェアは、この複雑なコードを作成するには多大な経済上の影響力を必要とするために、国家によって作成されたと考えられている。このマルウェアは遠距離通信組織、エネルギー組織、衛生分野の組織をターゲットにしている。
Symantecでマルウェアの逆解析を行っている人々は、ReginがYahoo!メッセンジャー中の一つの0-Dayを含む混合された攻撃ベクトルを使用して、ターゲットにReginをコッソリ挿入にしていたことを発見した。
「Reginは、その構造上めったに見られない技術能力レベルを示している複雑なマルウェアである」とSymantecの研究者たちは記述している。
「ターゲットに応じて能力範囲を拡張するカスタマイズ性があり、大量監視用の強力なフレームワーク付きの制御装置を用意しており、政府組織、インフラ担当者、ビジネス、調査機関、個人に対するスパイ操作に使用されてきた。」
「おそらく、この開発は完成するまでに数ヶ月(数年ではなく)掛かっただろう。そして、作成者は証拠を隠蔽するために一苦労している。Reginの背後にある能力とリソースのレベルは、国家によって使用された主なサイバー・スパイツールの一つであることを示している。」
Reginのターゲット: Symantecより
SymantecはReginの出生元としての国名を掲げていないが、その犠牲者の殆どがロシアとサウジアラビアであり、2013年以降に再表面化したこのマルウェアの廃棄されたバージョンで、2008年から2011年の間にターゲットにされていたと発言している。
Reginの猛威: Symantecより
ターゲットのおよそ1/2は個人と中小企業であり、1/4は通信会社主力オペレータであった。接客業、エネルギー、航空会社、調査機関が殆ど同じ位を占めている。
攻撃総数の半分以上を占めるロシアとサウジアラビアに続き、メキシコとアイルランドが夫々9%で追随している。
「この設計はターゲットを長期間監視するために永続性を大変重視している」と、この研究者たちは記述している。
この大変複雑なマルウェアに匹敵するものは、StuxnetやDuquだけであると、研究者達は
Regin: Top-tier espionage toolと題されたレポート中で発言している。そして、Reginの多くの構成要素は発見できていない。
Reginはキーストロークとスクリーンショットをスワイプ(【訳注】 拭い取ること 。拭い取ったサンプルから過去の活動を知ることができる)するためのリモートアクセス・トロイの木馬、プロセス上の情報を引っ手繰るためのツール、メモリ使用量、削除されたファイルを復元するツール等を含む多くの大変カスタマイズされたペイロード(悪意の総体)をインストールすることができる。
専門モジュールが、 Microsoft Internet Information Services(IIS)ネットワーク・トラフィックのモニタリングしたり、Exchangeデータベースからのメールを解析したり、携帯電話基地局コントロール機能に関する管理トラフィックの収集を行っていることが発見されている。
Reginを多才にした作成者は、Stage 1の後、小さな塊にしたデータを暗号化した。Stage 0のドロッパーは、拡張された属性を設定し、一連のステージのエンコードされたデータ保持するレジストリキーが発見されないようにするためのものだろう。
研究者達は32bitの変種とは異なるファイル名を使用し、カーネルモード・ドライバとしてのStage 1を修正している幾つかの64bitバージョンを発見した。64bitバージョンのStage 3と5は、発見されていない。
Avastアンチウィルスが稼働しているPCはWindowsの修正を処理することができない
The Register : Security (2014/11/24)
セキュリティ・ソフトウェアAvastは、最近のWindowsのパッチとアップデートと最近のAvastとの組み合わせがPCを損壊する理由を解明しようとしている。
多数のユーザは彼等のPC(取り分けWindows 8と8.1を稼働しているPC)が、Microsoftの
最新のKB3000850ロールアップ・アップデート(【訳注】 ロールアップ: Windowsなど、Microsoft社の主力製品に対して提供される、セキュリティパッチを集約したアップデートプログラム(e-Wordsより))とAvastの最新の自動アップデートを適用した後、彼等のPCが急停止することを発見している。
ユーザの中にはPCがブートしなくなったと報告している者や、なかなかパッチが適用できないと報告している者もいる。
Avastフォーラムでは多くのユーザが彼等の怒りをぶちまけている。Microsoftもまた責任が無いというわけではない。
Major issues with KB3000850と題されたMicrosoftのスレッドでは、多くの人々が、Microsoftがサードパーティー・ソフトウェアと互換性のないアップデートを発行した理由に疑問を持っている。
この批判は全く公平とは言い難いかもしれない。Avastのスタッフは、この混乱に関して以下の説明を
投稿している。「我々は我々の研究室で、この問題をシミュレートすることができた。そして、我々はこの問題を修正したと私は考えている。このWindowsアップデートは、Avastと完全互換していない新しいメモリに関連した関数をコールする。」
”pk”と名乗るこの投稿者は、この状況を改善するアップデートを約束し、その後、パッチを先週金曜日にリリースしたと
通知した。
しかしながら、Avastフォーラムのメンバーの中には、自動化されたパッチを適用した後でさえ問題が継続している者もいるようである(Avastを稼働しているマシンへのKB3000850のダウンロードが非常に緩慢であることを含む様々な問題を報告している)。
原因が何であれ、公正な僅かな人々は、AvastとMicrosoftの両方にイライラしている(後者の会社は頻繁に間違いを犯すと感じている)。
MicrosoftフォーラムのモデレータRohit Siddegowdaは、
此処でKB3000850によって作成された問題を克服するための示唆を提供している。
トロイの木馬Citadelは、パスワードマネージャを嗅ぎまわり犠牲者のログインを奪おうとしている
The Register : Security (2014/11/21)
詐欺師達は、パスワードマネージャを標的にしたトロイの木馬Citadelの変種をリリースした。
このマルウェアは犠牲者のマスター・パスフレーズ(【訳注】 パスワードの文字数が長くなったもの。通常、数十文字以上(システムによって異なる)の英数字と記号の組み合わせで構成される(e-Wordsより))を盗むように設計されているので、このプロセス中でWebサイトパスワードのデータベースをアンロックすることができる。この不快なソフトウェアは、感染したWindows PC上で、Passward Safeや、オープンソース・パスワード・マネージメント・ソフトウェアKeyPassに人々がタイプするものをインターセプトするためのキーロガーを稼働する。
neXus Personal Security Client(大きなビジネス並びにオンライン・サービス・プロバイダによって使用されている認証製品)もまた目標とされている。
Citadelマルウェアの完全な技術的な解析は、
此処に公開されている。このマルウェアは、それ自身をexplorer.exeプロセスに挿入し、
APIをフックすることによって動作する。このマルウェアはまた、中央コマンドサーバ(central command server)から設定ファイルをダウンロードする。
「(この設定ファイルは)、幾つかのプロセスが稼働している時、(ユーザのキーストロークを捕獲するため)キーロギングを開始するよう、このマルウェアに命令する」と、IBM Trusteer企業セキュリティ・ディレクターDana Tamirは
ブログポストにおいて説明している。
このマルウェアが拡散する方法だけでなく、このマルウェアを陰で操っている人物もまた明らかではない。関連する詐欺師達は、Trusteerが悪影響を捕まえる直前に、彼等のセントラルcommand-and-control(C&C)サーバを取り除いた。
【訳注】C&Cサーバー: サイバー犯罪に関する用語で、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのことである。
C&Cサーバーは、通信手段としてIRC(Internet Relay Chat)が用いられる場合が多い。そのため、C&Cサーバーを中心として構築されるボットネットは「C&C型ボットネット」などの他に「IRCボットネット」などとも呼ばれる。
一般的に、C&C型ボットネットはC&Cサーバーを特定して活動を停止させれば、ボットネットの攻撃を停止させることが可能とされる。(IT用語辞典BINARYより)
「マシンにこのCitadelの変種がインストールされると、C&Cサーバとのコミュニケーションチャンネルを開き、それを登録する。次に、このマルウェアは操作すべき方法を、このCitadelの変種に命令する設定ファイルを受け取る」とTamirは説明している。
「(このCitadelの変種によって使用される)設定ファイルの解析は、攻撃者がC&Cとして正当なWebサーバを使用していることを明らかにした。しかしながら、IBM Trusteer研究室が、この設定ファイルを入手するまでに、このC&Cファイルはサーバから削除されたので、研究者達はこの設定ファイルの背後にいる人物を同定することはできなかった。」
IBM Trusteerは目標にされているソフトウェアのメーカーに、この研究を渡している。
ブラジル製のTrojan Bankerが今、Android Play Store中に
Kaspersky : SecureList (2014/11/19)
時間はかかったが、ついに到来した。ブラジルのサイバー犯罪者は、彼等の攻撃目標をモバイル・バンキング・ユーザに向け始めた。今週、我々はAndroidデバイスのブラジル人ユーザを目標にした最初のTrojan Banker(【訳注】 バンキングサイトのトラフィックを攻撃者のサイトにリダイレクトするトロイの木馬(Symantecより))に焦点を当てる。地元の銀行からのアプリケーションとして通用させようとした二つの悪意あるアプリケーションがGoogle Play上にホストされた。
FEBRABAN(地元の銀行の連合体)によれば、600万人以上のブラジル人が通常モバイル・バンキングを使用しているので、モバイル・ユーザを標的にしたマルウェアが発見されても不思議はない。事実、ブラジルは、我々の
Q3 threat evolution reportにおいて、Bankingマルウェアによって最も攻撃されている国の最上位に位置している。
ブラジルの悪漢共によるこの移行は予測通りであり、ローカルなマルウェアシーンにおける自然な開発として起きたものである。2012年において、我々はモバイル・フォーマット中にフィッシング・ページを使用する攻撃を目撃した。そして今、"Governo Federal" (Federal Government、連邦政府)という名前を使用する悪漢共が、Playストア中に2つの悪意あるアプリケーションを公開することが可能となった。
二つのアプリケーションは、大変人気のある公共銀行の名前を使用していた。この一つ目のアプリケーションは10月31日に公開され、80インストールが記録された。二つ目のアプリケーションは11月10日に公開され1つのインストールだけが記録されている。
悪意あるアプリケーションを作成するために、(怠惰な)悪漢共は、"App Inventor"(誰もが独自のモバイルAndroidアプリケーションを、技術的知識を要求されることなく作成することが可能なフリーのプラットフォーム)を使用している。この結果はサイズが大きくて役に立たないコードの塊である。しかし、この二つのアプリケーションは、標的にした銀行のロゴをロードする機能とフレーム(ユーザの認証情報をキャプチャするためにプログラムされたフィッシング・ページ)を開く機能を持っている。簡単であるが効果的である、ブラジルにおけるモバイル・バンキング・ユーザは依然として単一認証(トークンやOTP(【訳注】 ワンタイム・パスワード)なし)を使用しているので、口座番号とパスワードが要求されるだけである。
標的にされた銀行のフィッシングページは、ハックされたWebページ上にホストされている。良い人はそれらを削除し、以下を表示して訪問者に警告を発した:下図左のクライアント領域に記述されているメッセージである、訳すと「これはインチキのアプリケーションである、それを報告してください」という意味になる。その結果として、ユーザがインチキのバンキング・アプリケーションをダウンロードし、インストールし、起動したとき、このメッセージはオリジナルのフィッシングページに代わって、その内部に表示される。
我々はこの二つのアプリケーションをGoogleに通知した。そして、彼等は敏速にPlay Storeがらそれらを削除した。我々は、この二つのアプリケーションをTrojan-Banker.AndroidOS.Binv.a (MD5s: 00C79B15E024D1B32075E0114475F1E2 及び A18AC7C62C5EFD161039DB29BFDAA8EF)として検出する。そして、我々は、これらが来るべきより多くの中の最初の荒削りな試みであると確信している。
CoinVaultと呼ばれる新たな身代金要求ソフト(ランサムウェア)がリリースされた
BleepingComputer : GeneralTopics>News (2014/11/13)
CoinVaultは
CryptoGraphic Lockerファミリーの新しい身代金要求ソフトである。感染すると、CoinVaultは、あなたの全てのデータファイルを暗号化し、そのファイルを復号するために0.7Bitcoin(【訳注】 約31,740円)の身代金を要求してくる。24時間以内に身代金を支払わない場合は、身代金の金額は吊り上げられる。あなたは身代金を支払わず、代わりに、バックアップもしくはシャドー・ボリューム・コピーからファイルを復元することを強く要請されている。
あなたがCoinVaultに感染すると、Vaultと呼ばれるレジストリ中にautostartを設定することによって、あなたがWindowsにログインした時に、CoinVaultそれ自身を自動起動するように設定する。このアプリケーションは、次にデータファイル用のドライブをスキャンし、検出された全てのファイルを暗号化する。CoinVaultは、%Temp%¥CoinVaultFileList.txtファイル中に暗号化した各ファイルのパスを格納する。CoinVaultがターゲットにしている拡張子は以下である:
.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt,
.pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf,
.eps, .ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2,.dcr, .kdc, .erf, .mef,
.mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .lnk, .der, .cer, .crt,
.pem, .pfx,.p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt
CoinVaultがデータ暗号化を終了すると、あなたのファイルを復号するための身代金を支払う方法を説明する身代金要求画面が表示される。感染したユーザは夫々、このマルウェアに関する支払いの監視を困難にするために、異なったビットコイン・アドレスが割り当てられている。殆どの他の身代金要求ソフトと異なり、CoinVaultは復号化サイトを使用する代わりに、マルウェア自身が、復号器兼支払いシステムとして挙動している。この感染は、削除することを困難にするために起動した殆ど全ての実行ファイルを終了する。
最後に、この感染はWindowsの壁紙を以下の画像に変更する。
感染した人々への朗報もある。CoinVaultは、あなたのデータを暗号化する時、安全な方法でこれを実行していない、そして、Shadow Volume(シャドーボリューム)を削除しない。これは、あなたがファイルを復活させるためにファイルリカバリ・ツールを使用できることや、シャドー・ボリューム・コピーからファイルを復元するためにShadow Explorerのようなプログラムを使用できることを意味している。シャドーボリュームコピーからファイルを復元する方法に関する情報に関しては、
CryptoLockerガイド中に見つけることができる。
我々の身代金誘拐ソフトの常駐専門家であるNathanは、このマルウェアを解析し、我々の
CoinVaultサポートトピックにポストすることを可能にした詳細情報を提供している。
このマルウェアのサンプルを提供してくれたuser321に感謝する。
CoinVault関連ファイル
%AppData%¥Microsoft¥Windows¥coinvault.exe
%AppData%¥Microsoft¥Windows¥edone
%AppData%¥Microsoft¥Windows¥filelist.txt
%Temp%¥CoinVaultFileList.txt
%Temp%¥wallpaper.jpg
CoinVault関連レジストリ・エントリ
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥Vault "%AppData%¥Microsoft¥Windows¥coinvault.exe"
HKCU¥Control Panel¥Desktop¥Wallpaper "%Temp%¥wallpaper.jpg"
Microsoftは、Windowsの全てのバージョンに脆弱性が存在していたことを見つけていた(パッチ利用可)
ESET : WeLiveSecurity (2014/11/12)
Microsoftは、全てのサポートされるWindowsオペレーティング・システムにフローがあったことを公開した。このフローはリモート・アタッカーによって数億台のコンピュータの制御を取得可能にするものであると、
International Business Times(以降、IBTimes)は報道している。この問題を修正するパッチは火曜日(【訳注】 毎月第二火曜日のMicrosoftの定例パッチ日、日本では毎月第二水曜日)にリリースされたが、このフローは今のところ攻撃に使用されていないようである。
このフローはMicrosoftによって「proactive security assessment(早期セキュリティ評価)の期間」に発見された。
Microsoftのセキュリティ・アドバイザリは、この脆弱性は、Windowsの全てのモダンバージョン(Windows Server バージョン2003, 2008, 2012、Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT)が稼働しているコンピュータ上で、攻撃者がコードを実行することが可能であると説明している。
Microsoftは昨年WindowsXPのサポートを打ち切ったとはいえ、以前のバージョンに何ら言及していない(【訳注】 2014年10月時点でのXPの世界シェアは18%とされています)。IBTimesは、「新しいアドバイザリで以前のバージョンが言及される可能性は低い」と説明している。
火曜日にリリースされたこのパッチは、 Microsoft Secure Channel (‘schannel’)への攻撃を修正したものである。schannelは、HTTPを使用したインターネット・アプリケーション用に暗号化された情報通信を含むセキュリティプロトコルを処理するものである。
Ars Technicaは、「特別に形成されたパケットを適切にフィルタすることに失敗することは、攻撃者がWindowsベースのサーバーに悪意あるトラフィックを送信することによって、彼等が選択している攻撃コードを実行することを可能にする」と説明している。E-MailやWebサーバを稼働している未パッチのコンピュータは、それ自体、取り分け脆弱であると考えられる。
「このセキュリティ・アップデートは、Schannelが特別に細工されたパケットを消毒する方法を正すことによって、この脆弱性を解決している」とMicrosoftは彼等のセキュリティ・ブレチンで詳細に説明している。
Mashableは今日まで、「この脆弱性が一般大衆への攻撃に使用されたという事実は同定されていない」と記述している。このパッチはWindows Updateの一部として提供される。「Windowsコンピュータを使用している全ての者は、取り分け、WebやE-Mailサーバを稼働しているのであれば、火曜日のアップデートを即座にインストールしなさい」とArs Technicaは促している。
Webサイト セキュリティ証明書とは何か、何故気にすべきなのか?
MakeUseOf : Security Matters (2014/11/10)
今までに「このWebサイトのセキュリティ証明書には問題があります。」とするエラーを見たことがあるだろう、そして、それが何を意味しているのか不思議だっただろうか? 私はセキュリティ証明書がどういうものなのか、そして、どのように動作するのかを説明する。そこで、あなたは心配することなくブラウジングに戻ることができる。
インターネットセキュリティは大変複雑である。この記事は、技術的なことに詳しくない読者のために、この問題に関する簡単な概要と共に、このセキュリティエラーに遭遇したときに実行するためのヒントを与えるものである。
セキュリティ証明書が重要な理由
あなたがログインし、アカウント操作をするWebサイトにアクセスしたとき、あなたのアカウントの詳細が、あなたと、そのサービス プロバイダの間に存在していることが重要である。そこで、あなたの金銭、身元、個人情報は安全になる。あなたのオンライン サービス プロバイダは、あなたの銀行、オンライン・ストアもしくは電子商取引Webサイト、Paypal、メール、あなたのプライベート・ブログであることができる。
あなたが、このような種類のWebサイトにアクセスしたとき、あなたは”http://”ではなく、鍵のアイコンと共に"https://"で始まるURLに気がつくだろう。
HTTPS (HyperText Transfer Protocol Secure)は、そのWebサイトがSecure Socket Layer/Transport Layer Security(SSL/TLS)によって保護されていることを示唆している。あなたとWebサイトの間で送信されるデータは、その情報がプライベートであるので暗号化され、そして、このWebサイトは、主張している者が誰であるかを同定する。あなたが身元を実証する方法(ユーザ名、パスワード、二要素認証のようなもので尋ねられる他の情報を用いて)と同様のことを、Webサイトは必要としている。このWebサイトは、インターネットブラウザにセキュリティ証明書を表示することによって、そのサイトの真の所有者による手続きであることを証明し、次に、鍵アイコンによって、このサイトが正当なものであることをあなたに示している。
(【訳注】 SSL/TLS: インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる(eーWordsより))
あなたが、安全なサイト上に存在しているはずであるにも拘らず、このような証明書が表示されなかったり、警告を見たりした場合、そのWebサイトはインチキである可能性がある。このようなサイトでは、あなたは違う人に対して、あなたのデータを送信する恐れがある。これは、あなたを中間者攻撃の犠牲者にすることになりかねない。鍵アイコンが緑色で表示されていないのであれば、あるいは、鍵アイコン上に黄色の警告マークが存在しているのであれば、詳細を知るために鍵アイコンをクリックしなさい。
緑色の鍵アイコン: Google Chrome は、表示しているサイトとの間にセキュリティで保護された接続を確立できました。
黄色のエクスクラメーションマーク: サイトへの接続は暗号化されていません。 これは通常の HTTP サイト(アドレスバーに Blank page icon アイコンが表示されるサイト)では正常なことです。
灰色で黄色の警告マーク付き: サイトへの接続は暗号化されていますが、Google Chrome は、このサイトのページで混合コンテンツを検出しました。 このページで機密情報を入力する場合は注意が必要です。混合コンテンツを通じて、ページが操作される危険性があります。こうしたコンテンツには、ページに埋め込まれたサードパーティの画像や広告などがあります。
茶色に×印つき: サイトへの接続は暗号化されていますが、Google Chrome は、このサイトのページで混合スクリプトを検出しました。 このページで個人情報を入力する場合は注意が必要です。このようなスクリプトを通じて、ページが乗っ取られる危険性があります。こうしたコンテンツには、ページに埋め込まれたサードパーティのスクリプトや動画などがあります。無線ネットワークは有線ネットワークよりも干渉が容易なので、公共の無線ネットワークを通じてインターネットに接続している場合、混合スクリプトは特に危険です。
以上はGoogle Chromeでの説明である。Internet Explorerに関してはMicrosoftの「
オンライン トランザクションが安全かどうかを確認する方法」を、Safariブラウザに関してはAppleの
サイト(英文)を参照されたい。
サイト所有者、ブラウザ、認証局
電子商取引Webサイトは、この会社が誰のものであり、そのトランザクションが認証されていることを立証してもらうために、 Certificate Authority (CA、認証局) と呼ばれる第三者機関に金銭を支払っている。
Google Chrome, Firefox, Internet ExplorerのようなWebブラウザは、 それらが信頼できると思っている認証局のリストを保持している。あなたが安全であるべきWebサイトにアクセスしたとき、このサイトは、あなたのブラウザにセキュリティ証明書を提示する。その証明書が更新されており、信頼される認証局からのものであれば、あなたがログインすることが許可され、あなたのトランザクションは完成し警告は発生しない。
あなたが安全なWebサイト(【訳注】 httpsのサイトを意味する)を始めたいのであれば、選択可能な多くの認証局が存在する。その選択肢には、Norton, GoDaddy, Microsoft、その他多くの認証局が含まれる。それらの仕事は、彼らが証明書(ドメイン認証としても知られる)を発行しているサイトが、あなたの所有しているサイトであると立証することである。これは、あなたのWebサイトの Domain Name Server (DNS) 設定(もしくは、あなたのWebサーバに関するファイル)を更新する指示の付いたE-Mailを、そのWebサイトのドメインに関連するメールアドレスに対して送信することで実行されるかもしれない。この考えは、Webサイトをアップデートする正確な指示の付いているこのE-Mailが、ある特定の人によって受け取られ、アップデートを実行することができるということである。
より安全に
あなたや、あなたのビジネスを立証するExtended Validation(EV証明書)のような他のもの(より高価ではあるが、認証局が提供する証明書をより厳重にしたもの)が存在するが、これは数百ドルかかる(大企業は、場合によって数千ドル支払っている)。EV証明書は、そのWebサイトのオーナーの法人格、会社名、実在する住所、登記、登録管理地のような認証情報を含んでいる。あなたがビジネスで稼動しているのであれば、これらの情報は信頼の重要な指標である。
あなたがEV証明書の下にあるサイトを訪問したとき、モダン ブラウザは、URLバー中に緑色で会社名を含んでいる。これは、あなたに正しい会社と取引していることを知らせている。
無料認証局
世の中には無料の認証局が存在する。このサービスは無料ではあるが、同じレベルのセキュリティや著名な認証局のようなブランドも提供しない。更に、それらはしばしば、ブラウザ認証の普遍性を欠いている。これは無料のセキュリティ認証を得たとしても、あなたのWebサイトの訪問者が、あなたのサイトを訪問したとき、このサイト認証局は信頼されていないとする警告がブラウザに表示されたと言う話を、サイトの訪問者から聞くことになるだろう。あなたはStartSSLから無料のドメイン証明書を取得することができる(身元の証明なしで)、そして、 Mozilla, Safari, Internet Explorerの各ブラウザによって、あなたのサイトが信頼されることになるのは明らかである。しかしながら、あなたはEV証明書パッケージ(およそ$200)用の緑色のバーを得ることはできない。しかしながら、この会社はイスラエルを本拠としている、そして、数年間あなたの本人確認書類を保持することを要求している。
CACert(コミュニティ主体の認証局)は無料である。Volunteer CACert Assurers(ボランティアCACert保証機関)は、あなたのIDドキュメントと人とを検証するためにサイト所有者に面会する。残念なことに、CACertの認証はメジャーブラウザによって信頼されていないし、幾つかのオープンソース・オペレーティングシステム中に同梱されているだけである。
(【訳注】 CACert日本はこちらです)
しかしながら、CACertやStartSSLを使用することは、あなたのサイトに暗号化を提供するだろう。あなたのサイトが簡単なユーザとの対話処理を持っているのであれば、このようなフリーのサービスを、あなたは必要としているものかもしれない。
あなたが証明書警告を見た時に何をすべきなのか?
あなたがブラウザ警告を得た時に実行する重要なことは詳細をチェックすることである。あなたは何故認証が拒否されたのか見つけることができるだろう。それで、あなたが継続してそのサイトを使用するか否かを、あなた自身で決定することができるだろう。証明書が期限切れであれば、このWebサイトの所有者は、その時点で証明書を更新することを忘れているだけかもしれない。あなたがこのエラーを沢山見るようであれば、あなたはコンピュータ・クロックの日付をチェックし、正確にしておくことが必須である。
しかしながら、セキュリティ証明書が廃棄されているのであれば、それは、このサイトが不正にこの証明書を使用していることを意味している。そこで、あなたはこの証明書を信用してはならない。あなたはまた、認証局が信用されていないという警告を得るかもしれない。あなたがCACertのピア・ツー・ピア(P2P)モデルやStartSSLのドメイン認証を理解し信用すると感じるのであれば、あなたはブラウザに、このCA(認証局)を信頼すると告げることができる。他の種類の警告とエラーもあるので、目を皿のようにして詳細を研究しなさい。
あなたが信頼しているサイトからの認証警告を見たのであれば、そのWebサイトのTwitterフィード(しばしば、そのサイトのアップデート、稼働停止、セキュリティ、その他の問題に関する場所)をチェックすることもできる。
もしも何らアップデートが存在していないのであり、そして、可能であれば、Webサイトの所有者にコンタクトし何が起きているのか尋ねることが助けになるだろう。あなたは、Webサイト所有者や他のユーザが認証警告を未だ認識していない場合に、彼等が苦悩することを助けてあげたいかもしれない。
簡潔に、用心深くありなさい(世の中にはフィッシングスカムが存在するのだから)、しかし好奇心を湧かせなさい。前に進み、あなたがセキュリティ警告を見た理由を解明しなさい。
あなたは今迄にセキュリティ警告に遭遇したことがあるだろうか? あなたがセキュリティ警告を見た理由を解析する時間を取ったことがあるだろうか? あなたが最も心配することは何か、そして、それらについて実行することに関する何らかのヒントを持っているだろうか?
PINを要求せずに100万ドル(正しくは、$999,999.99)盗む方法
Sophos : NakedSecurity (2014/11/04)
イギリスのニューキャッスル大学の研究者達が、非接触型決済(【訳注】 ユーザ側カードなどと店舗側のリーダ/ライタなどを有線通信ではなく無線通信によって接続して決済するシステムのことである(Weblioより))の驚くべき方法を考え出した。
彼らの論文は。不気味にも”
Harvesting High Value Foreign Currency Transactions from EMV Contactless Credit Cards without the PIN”(PINなしでEMV(【訳注】 ICカードを用いたカード取引のためのICカードと端末に関する仕様を定めた国際的なデファクト・スタンダード(iFinanceより))非接触型クレジットカードから高額な外国通貨取引を収穫するには)と題されている。
この論文は、2014年11月05日、米国のアリゾナ州スコッツデールで開催される
第21回ACM Conference on Computer and Communications Securityで発表されるだろう。
理論上は、非接触型決済カードの所有者を欺き、認識させることなく多額の金銭を支払わせることが可能な、恐ろしく単純化された特殊な中間者攻撃(【訳注】 暗号通信を盗聴したり介入したりする手法の一つ。通信を行う二者の間に割り込んで、両者が交換する公開情報を自分のものとすりかえることにより、気付かれることなく盗聴したり、通信内容に介入したりする手法(e-Wordsより))である。
非接触型支払い
非接触型の銀行決済は、通常ロンドンのOysterやシドニーのOpalのような、公共輸送機関カードで使用されているものと同種のエレクトロニクスであるNear Field Communication (NFC、近距離無線通信)に依存している。
これらは相当する支払い端末にカードを翳すことで簡単に認証決済するものである。
あなたが端末によって発生させられた電磁場にあなたのカードを通すと、決済カードに埋め込まれているコイル状に巻かれたアンテナは、チッポケな電流を生成する。
ワイアーループは発電用コイルとデータアンテナの組み合わせで提供されている。
このチッポケな電流はカードチップを起動するには十分なものである、次に、非接触でデータを読み取らせ、そのデータに関して様々な暗号化計算を実行し、その返事を戻す。
このアンテナは、起動するための発電コイルとして機能し、次に、残っているプロセスの処理(一般的には、ほんの一瞬)に関する通常のアンテナとして機能する。
一般的に、あなたはカードをグッと近づける必要がある。おそらくカードを端末にタップすればいい。しかし、あなたは如何なるスロットにもカードをスライドしたり挿入したりする必要はない。データは受け取られ、処理される、カードと端末間には如何なる実回線も存在しない。
次に、理論的には、犯罪者は、カードの傍で適切に装備された決済端末を振り、カフェ・アメリカーノ(【訳注】 エスプレッソコーヒー 1/4にお湯を足して定量にしたコーヒー)を購入しようとしていることをカードに伝え、その処理の認証を取得し、現金をポケットに入れることによって、逆に支払いを操作することができる。
小額決済の場合、カードと端末がユーザにPINを尋ねないことで一致しているために、この方法は動作する。
あなたが費やした金額が£20に満たない場合、銀行、商店主、カード会員(つまり、あなた)は事実上、二段階認証を見合わせる取り決めになっている。
リスク管理
マーケティング業界用語で、トランザクション(取引)とは、あなたの便益のために摩擦を取り除くことである、危険は以下の理由で阻止される:
・ NFC(近距離無線通信)の近接度(【訳注】 通常、約10cm)に、あなたのカードの動作範囲は限定されている
・ PINを必要としないトランザクションの最大値は、故意に低く維持されている
この考えは、携帯型「トランザクション収穫」端末を持つ犯罪者に関するリスク/報酬が、犯罪者の不利益になるべきであるとするものである。
犯罪者は、彼のリスクの最大のリターンである£20のために、あなたのポケットにぶつけるリスク、もしくは、彼の端末を財布の傍らのバッグの中に差し込むリスクを必要とする。
二つの奇妙な問題
しかしながら、少なくともVISAの非接触型決済カードにおいて、ニューキャッスルの研究者達は、二つの問題を発見した。
一つ目、「£20を超える支払いに関してPINを入力しなければならない」とする規制は、このトランザクションが外貨を要求している場合、カードによって無視される可能性がある。
二つ目、£100を超える場合にオフライン・トランザクションを禁じる追加セーフガードもまた、無視されるかもしれない。
(オフライン・トランザクションでは、あなたのカードが、要請される金額を費やすつもりであると端末に告げ、銀行を介することなく、このトランザクションを委託することになる。端末は後で、銀行による処理のためにこのトランザクションを送信する。)
実際に、この論文の著者達は、ある場合において、外貨でのオフライン、PINを必要としないVISAトランザクションに関する制限は、あなたの国の通貨に相当する金額が如何程であろうとも制限されないことを発見した。
金額は8桁で制限されるが、これは、おそらく大きな数値でさえ穏当な金額でしかない通貨に対応するためだろう。
突然、このリスク/報酬は、詐欺師の利益になるように傾く。
あなたが英国に存在しているのであれば、例えば、詐欺師は途方もないUS$999,999.99(凡そ、1億1千万円、1ドル110円換算)までの支払いへの同意を、あなたのカードに要求することができる(オンラインに行くこともなく、PINの入力を要求することもなく)。
つまり、1ペニー差し引いた100万ドル、PINの要求なしに!
論文執筆者達のオフライン、PINなし、トランザクション収穫攻撃図解ダイアグラム
その後、詐欺師はインチキの購入を記録した地域から離れ安全になると、詐欺師は共犯者に接続し、詐欺で奪いとったトランザクション・アグリーメントを共犯者に送信することができる。次に、詐欺師達は、あなたの通貨で何かを購入した場合に認められるているであろう限度額に制約されることなく、この支払いを処理することができる。
その時になって初めて、あなたは銀行(例えば、SMS(ショートメッセージサービス)経由で)から何らかのトランザクション通知書を受け取ることになるだろう。
ひょっとすると
研究者達の注意として、この種の攻撃を企てるあらゆる犯罪者は100万ドルの大当たりを狙ってはいないだろう。
こんなことをすると、ほぼ間違いなく警鐘を鳴らすことになるだろうから。
しかし、詐欺師は夫々のオフライン、PINを必要としないトランザクションに関する支払いを20ポンドから数百ポンドにまで拡張することができる(執筆者達がよく言っていることだが、「各攻撃を価値あるものにするのに十分すぎる」)。
我々が知らない一つのことは、この脆弱性(通常の最大限度を超えるトランザクション承認の収集)は、次節が到来すれば現金を引き出す脆弱性攻撃が実際に可能か否かということである。
この論文の執筆者達は皮肉っぽく
「明らかなことだが、我々は現実の銀行に対するチェックを、する気もなければ可能でもない」と、指摘している。
この問題は注意を必要とするが、夫々のPIN不必要、オフラインでのトランザクションのリスク対応制限が、£20と£100を相応しいものであると考えるなら、これらの制限は常に適用されるべきである。
あなたのカードは、999,999.99ベトナム・ドンが20英ポンドより価値が高いのか低いのかの信頼ある算定をすることができない(【訳注】 1ベトナム・ドンは0.00003ポンド、0.00542円に相当する。999,999.99VNDは凡そ£30)のだから、それは価値が高いものと仮定してフェイルセイフし、それに応じて振る舞うべきである。
何をするのか?
VISAに関しては簡単な修正方法が明らかにされており、この論文中に執筆者達による説明がある:
・ 外国の通貨に関しては常にPINを要求すること
・ 外国の通貨に関しては常にオンライントランザクション認証を要求すること
あなたがこの問題に関して心配しているのであれば、以下の解決策を試すことができる。
・ あなたが通常は海外渡航しないのであれば、外国通貨でのトランザクションを防止するオプションが提供されているか否か銀行に尋ねなさい
・ あなたのカードを財布にしまいなさい、もしくは、電磁放射をブロックするカバーをしなさい。使用されるには取得される必要があるのだから。
・ 低額の支払いは現金にしなさい。あなたのカードで非接触型トランザクションを絶対に有効にする必要が無いのだから。
現金、思い出してもらえただろうか?
Vinsulaは、ZeroLocker復号キーを総当りするフリーツールをリリースした(2014/11/07 Update)
BleepingComputer : Technology (2014/11/05)
先週、
Vinsula.Inc(シアトルを本拠とするサイバーセキュリティ企業)は、ZeroLockerファイル暗号化身代金要求ソフトの復号化キーを虱潰しに当るフリーの
ZeroLocker復号ツールをリリースした。我々がZeroLockerに関する最初の報告をした時、我々は、このマルウェアが、存在していないWebページに生成された復号キーをアプロードし、後の検索で何処にも保存されていないことを発見した。Vinsulaのユーティリティは今、ZeroLockerによって影響を受けた人々が、現実的な時間枠の中で暗号化されたファイルから復号キーを総当りすることを可能にしている。一般的に復号キーを総当りすることは、要求される時間がかかりすぎるので現実的ではない。Vinsulaは、ユーザのコンピュータの復号キーを、一般的には一日以内で(場合によっては5週間かかる)総当りすることができるテクニックを提示することができた。
重要! お読みください!
残念ながら、このコンピュータ上のファイル(即ち、ドキュメント、写真、ビデオ)は、大変安全で解読困難なアルゴリズムを使用して暗号化された。これは、これらのファイルがキーを使用して復号された場合を除いて、現在使用することはできないことを意味している。
良いニュースは、あなたのファイルは永久に失われてはいないということである! このツールは、あなたの代わりにあなたのコンピュータ上のファイルを救出することが可能である!
我々からライセンスを購入することによって、我々は、あなたのファイルを100%保証で救出することが可能である。大変早期の価格は僅か$300と大変安価である。しかしながら、5日経つと、このサービス価格は$600に、10日後には$1000に値上がりする。
以下略。
彼等のファイルが回復不可能な程に失われたと、今迄考えていたZeroLockerで感染させられた人々にとって、大変な贈り物である。今、感染したユーザは、Vinsulaのサイトの
指示に従い、彼等のファイルを復号する可能性があり、それらのファイルに対する完全なアクセスを再取得することができる。
この復号化ツールを使用するためには、ユーザはMicrosoft Net Framework v4.0をインストールする必要がある。そして、犠牲者が所有する最速のコンピュータでこのツールを稼働すべきである。よりコア数の多いCPUのコンピュータは、このツールが復号化キーをより速く総当りすることを可能にするだろう。
データが一刻を争うのであれば、あなたはAmazon Webサービスのようなサービスを使用し、c3.8xlarge Windowsサーバをレンタルすることができる。これは総当り作業に32バーチャルコアの投入を可能にし、このプロセスを劇的にスピードアップする。これに対する唯一の警告は、このようなサーバを借りるには$1.68/時間のコスト($1、110円換算で約185円)がかかることである。
あなたがこのプロセスに関して何らかの疑問を持った場合は常に、気兼ねなく我々に尋ねなさい。我々はできる限り沢山の支援をするだろう。このフリーツールをリリースし、我々が本件に関して訪問者に知らせることができるよう、我々に手を差しのべてくれたVinsulaに厚く感謝する。
UPDATE
【訳注】 Vinsulaホームページから、復号化ツールの操作方法を和訳しておきます。
このプロセスの実行及び暗号化キーのスキャンに関してインターネット接続は要請されない。このユーティリティは、如何なる外部依存も存在しない。総当りオプションに関して、このツールは、一つの暗号化されたバイナリ実行ファイルへのアクセスを持つことだけを必要とする。一部略(【訳注】 このツールの使用によるいかなる損害も免責とする等が記述されています)
このユーティリティは二つのコマンドラインオプションを提供する。
1/ 暗号化キーを解読するために一つの暗号化されたバイナリ実行ファイルを総当りする。詳細に関してはコマンドラインオプション“-bruteforce”オプションを参照
2/ キーが解読されると、全ての暗号化されたユーザのファイルは復号される。詳細に関しては“- decrypt”オプション参照
このユーティリティを実行するための指示
1/ .NET Framework 4がインストールされていることが必須。インストールされていないのであれば、こちらから実行ファイルをダウンロードしインストールしなさい
2/ 管理者権限でコマンドプロンプト(【訳注】 スタート>すべてのプログラム>アクセサリ>コマンドプロンプトを右クリック>管理者として実行)を使用して、このユーティリティを実行する
3/ 全てのコマンドを閲覧するには、引数なしで、このユーティリティを実行する。
(【訳注】 この画像の一番上の行が、引数なしでこのユーティリティを実行したコマンドです)
4/ キー発見プロセスを開始するには、“-bruteforce”コマンドラインオプション付きでこのユーティリティを実行する
このオプションに関し、我々は“C:¥Boot¥memtest.exe.encrypt”バイナリファイルを総当りする。このファイルは殆どの場合、暗号化されている。このファイル“C:¥Boot¥memtest.exe.encrypt”が発見されない場合、“*.exe.encrypt”検索パターンを使用して、暗号化されている他の実行ファイルを探しなさい。
下図は、“C:¥Boot¥memtest.exe.encrypt”ファイルを総当りして暗号化キーを解読したコマンドラインの一例である。そして、結果として得られたキーは、key.txtファイル中に格納されるよう指定している。
5/ 以下のスクリーンショットは、暗号化キーを解読するための実際の総当りセッションを表示している。進行状況(Progress)と経過時間(Elapsed Time)は、このユーティリティが暗号化キーを発見するための組み合わせを繰り返す度にアップデートされる。
(【訳注】 (1)管理者権限でコマンドプロンプトを実行すると、上図4行目(3行目は空白)の、C:¥Windows¥system32> までが表示されます。(2)cd C:¥UnlockingZeroLocker と入力します。(3)6行目の、C:¥UnlockingZeroLocker> 、までが表示されます。(4)その後に続く7行目末までのコマンドライン(UnlockZeroLocker.exe -bruteforce から、7行目末の ¥key.txt" まで)を入力します。[Enter]キーを押すと処理が始まります)
以下は、暗号化キーが平文で格納されたkey.txtファイルの出力結果のサンプルである。
6/ このユーティリティが暗号化キーを発見したら、ファイルを復号するために、このユーティリティを使用しなさい。詳しく言うと、このユーティリティを“-decrypt”オプション付きで実行しなさい。以下のオプションは、あなたのコンピュータのC:¥ ディスク上に全てのファイルを復号するだろう。
-decrypt:c:¥ -key:[此処に取得した復号キーの値(Encryption Key:の後ろに続く値)を入力する]
ファイルの非暗号化バージョンが既に存在している場合、このユーティリティは、それを上書きしないことに注意しなさい。また、このユーティリティは、ファイルの暗号化されたバージョンを削除しない。そこで、ユーザは、Agent Ransack検索ユーティリティを使用して“.encrypt”サフィックスを持つ全てのファイルを検索し、暗号化されたファイルを手動で削除する必要があるかもしれない。
あらゆる疑問に関しては、我々(unlockzerolocker@vinsula.com)にコンタクトされたい。
Microsoft: Windows7,8の小売販売を終了
BBC : Technology (2014/11/03)
Microsoftは、Windows7,8の幾つかのバージョンの小売販売を停止した。
このソフトウェアの販売停止日は、先ごろ設定された、そして、Microsoftは、彼らのより最新のオペレーティングシステムに人々を移行させようとしている。
それとは別に、統計は、Windowsの幾つかの非常に古いバージョンから、人々が離れようとしていることを示唆している。
Windowsの次のバージョン(Windows 10と呼ばれる)は、2015年後半にリリースされるはずである。
古いコード
10月31日から、消費者はWindows 7のHome Basic, Home Premium, Ultimateバージョンをもはや購入することができなくなった。現在、Windows 8もまた購入できない。この変更はショップでの購入とPCやラップトップ上にロードすることの両方に影響を与える。
Windowsの現在のバージョン(8.1)が、PCに提供されるDefaultのバージョンになるだろう。
多くのPCメーカーがWindowsの今までのバージョンの大量の在庫を抱えており、このソフトウェアが稼動するPCの販売を継続するだろうから、この変更が市場に浸透するには時間がかかるだろう。
Windows 7が稼動するコンピュータを得ることに執着している人々は、8.1からWindows 7へのダウングレードが可能になるだろうが、このオプションを提供するPCメーカーは、然程ないだろう。
Forbesでの記事で、Gordon Kellyは、この方針が二年前のリリースであるにもかかわらず「Windows 8の原形から彼ら自身を遠ざけるためのMicrosoftの決定」を露にしたと発言している。
Windows 8のオリジナルバージョンは、このオペレーティングシステムのデスクトップバージョンの幾つかの馴染み深い要素が取り去られたために、人気を集めなかった。
対照的に、2009年後半より利用可能であったWindows 7は、ユーザの間で依然として大変人気があると、彼は発言している。Windowsのおよそ53%のユーザは、Windows 7の様々なエディションを使用している。と彼は発言し、より最近リリースされたWindows 8は、市場シェアの僅か6%を取得しているに過ぎないし、既に、Windows 8.1によって上回られていると、Mr Kellyは発言している。
この変更は、Windows 10のための道を切り開くだろうと、彼は付け加えている。
それとは別に、市場調査は、大昔のWindows XPを使用している人々の数が突然急激な落ち込みを見せたことを明らかにしている。Netmarketshareのデータは、今年の10月においてXPのシェアは24%から17%に落ち込んだと説明している。この落ち込みの背後に何が存在するのか、今のところ明らかになっていない。
Facebook: Torの締め出しを解除し、暗号化されたonionアクセスポイントを提供
The Register : Security (2014/10/31)
Facebookは、Torトラフィックへのスタンスを変更し、匿名化サービスを使用してFacebookソーシャルネットワークに接続するための方法をユーザに提供する。
この会社は、Torを有効にしているブラウザを稼働しているユーザが、このサービスにアクセスすることを可能にする特別なURL(https://facebookcorewwwi.onion)を提供すると発言した。
Facebookは、安全上の理由と、TorがFacebookサーバーへの攻撃を行うために使用される可能性があるとして、今迄Torアクセスをブロックしてきた。
Facebookは2013年に、Torでの可能な解決策に関して作業するだろうと発言していた。一年以上経った今、それは人々の手に届く所となったようである。しかしながら、Torアクセス アドレスを起動していながら、FacebookはTorネットワークが幾つかのリスクをもたらすことを認識していた。
「TorはFacebookのセキュリティメカニズムの幾つかの仮定に問題を呈している。例えば、そのデザインは、我々のシステムの視点から、オーストラリアからの接続に見えた人々が、一瞬の後には、スウェーデンやカナダに存在していると見えることを意味している」と、Facebookの上級技師Alec Muffettは、この動きに関する
アナウンスの中で発言している。
「他の場面において、そのような挙動は、ハックされたアカウントが「ボットネット」を介してアクセスしていることを示しているかもしれないが、Torに関して、これは普通のことである。」
この会社は、このサービスが一意のTorアドレスを引用している証明書と共にTorの上にSSLも使用するだろうと発言している。これは、安全な接続を維持するためにTorを可能にする、そして、インチキのサイトにリダイレクトされることからユーザを保護すると、この会社は発言している。
「この考えは、Facebook onionアドレスが、あなたをFacebookのCore WWW Infrastructureに接続するということである(URLをもう一度チェックしなさい、あなたは我々がそこで実行したことが分かるだろう)。そして、この考えは、この方法でFacebookにアクセスする一つの便益(あなたのブラウザから直接Facebookデータセンターへのエンドツーエンド接続を提供するという)を反映している」と、Muffettは発言している。
(【訳注】エンドツーエンド: 通信・ネットワークの分野で、通信を行う二者、あるいは、二者間を結ぶ経路全体を意味する。
通信ネットワークやプロトコルの設計原理の一つに「エンドツーエンドの原則」と呼ばれるものがある。これは、高度な通信制御や複雑な機能を末端のシステムが担い、経路上のシステムは単純な中継・転送のみを行うというものである(IT用語辞典 e-Wordより))
しかしながら、プライバシーを懸念する人々は、未だFacebookの論争の的になっている「実名」政策が有効なままにであることを認識しておきなさい。
未パッチのDrupal 7を稼働しているWebサイトは危険に晒される可能性がある
Graham Cluley : News (2014/10/30)
コンテンツ・マネジメント・システムDrupalは、Webサイトの管理者とDrupalを稼働している数十万のサイトを訪問しているインターネットユーザに対して、身も凍るような
パブリック・サービス アナウンスを公表した。
この会社によると、10月15日に緊急のSQLインジェクションに関する脆弱性が公開されて数時間もしないうちに、「自動化された攻撃」が、Drupal バージョン7を稼働しているWebサイトを攻撃し始めた。
Drupal CMSの脆弱性あるバージョンを使用しているサイトが攻撃されると、ハッカーは、そのサイトから情報を盗むことや、そのシステムに継続的にリモードアクセスを可能にするバックドアを開くことができる。
これは大問題である。今、あなたのWebサイトをDrupal 7.32(この脆弱性攻撃の影響を受けない)にアップデートしたとしても、ハッカーがあなたのシステムに既に埋め込んだバックドアを絶対に削除することはできないことが、大問題たる理由である。
更に(そして、あなたは、この時点で壁に頭を打ち付けているような感じになっているかもしれない)、Drupalはライバルのハッカーを締め出すためにWebサイトの管理者に代わって、実際にパッチを適用し、彼等のサイトが危険に晒されている香りをITチームに分からないようにしている可能性があるかもしれないと発言している。
バージョン7.32にアップデートしたり、脆弱性を修正するパッチを適用したりしても、既に危険に晒されたWebサイトが修正されることはない。あなたのサイトが既にパッチされているにもかかわらず、あなたがそれを実行していないのであれば、そのサイトは既に危険に晒されている兆候である。攻撃者の中には、そのサイトを制御する唯一の攻撃者であることを保証するための方法として、パッチを適用する者がいる。
なんと邪悪なのか!
もちろん、あなたのWebサイトにバックドアがいるか否かを決定することは簡単ではない。
明らかに、脆弱性のあるサイトを可能な限り早急にDrupalの最新バージョンにアップデートすることは重要であるが、そのようなサイトが、直近の二週間で侵害されていないとする保証は何もないので、より過激なアクションが要求される。
Drupalのアドバイスは、幾つかのサイトにとっては従うことが困難であるだろうが、あなたのサイトが影響を受けないという自信を感じてはならない。
一言で言えば、あなたのサイトが10月15日のDrupalのアナウンス後の数時間以内に保護されていないのであれば、あなたのサイトはバックアップからリストアされるか、スクラッチから再構築される必要がある。
Drupalセキュリティチームは、あなたのホスティング・プロバイダと競技することを推奨している。彼等があなたに代わってDrupalにパッチしたり、あるいは、協定世界時10月15日16時のアナウンスの後、数時間以内にSQLインジェクション攻撃をブロックしていないのであれば、あなたのWebサイトを2014年10月15日以前のバックアップでリストアしなさい。
・ 静的なHTMLページでWebサイトを置き換えることによって、Webサイトをオフラインにしなさい
・ 同じサーバー上にホストされている他のサイトやアプリケーションが、当初の攻撃でインストールされたバックドアを介して侵害されているかもしれないことを強調してサーバー管理者に通知しなさい
・ 新しいサーバーを取得することを考えなさい、あるいは、サーバーから全てのWebサイトのファイルとデータベースを削除しなさい(後で解析するためにコピーを安全に保持しなさい)
・ 2014年10月15日のアップデート以前、もしくは、レストアされたDrupalコアコードをパッチする前のバックアップでWebサイト(Drupalのファイル、アップロードされたファイル、データベース)をリストアしなさい
・ リストアされた、もしくはパッチされた/アップデートされたWebサイトをオンラインに戻しなさい
・ リストアに使用したバックアップの日付以降にWebサイトで実行したあらゆる希望する変更を手動でRedo(リドゥー)しなさい
・ カスタムコード、設定、ファイル、他の中間生成物が正常であり、改竄されていないことを確認するために、危険に晒さらされたWebサイトから統合するあらゆるものを監査しなさい
バックアップからリストアせずに修復することは可能であるが、バックドアを発見することは極めて困難であるので、これはアドバイスにならない。
もちろん、Drupalはインターネット上の数十万のWebサイト(幾つかの非常に人気のあるサイトを含む)で使用されている。
Ilia Kolochenko(High-Tech BridgeのCEO)は、Drupalのユーザに衝撃を与えたこのような脆弱性あるWebサイトを、ハッカーが熱心に攻撃する理由について、以下のような考えを提供した。
「Drupalのような人気のあるCMSプラットフォーム中に脆弱性が発見されると直ぐに、ハッカー達によって操作されている数百万のクローラー(Googleボットのような)が、脆弱性のあるWebサイトを検索し始める。犠牲者を同定すると、それらのWebサイトはハックされ、パッチされ(同じサイトを「競争相手」に上回られることを妨げるために)、バックドア化される」と、Kolochenkoは説明している。
「数日以内に、侵害されたWebサイトへのアクセスはブラックマーケットで販売されるだろう、十中八九、同時に、夫々が数回にわたって、それを数人の顧客に再販売するだろう」とKolochenkoは続けている。「このように、あなたのパーソナル ブログは山のような異なる犯罪者の攻撃(2〜3例を上げると、不法なコンテンツをホストしたり、スパムを送信したり、訪問者を感染させるような)に簡単に関与させられるだろう。」
グズグズするな。あなたのWebサイトがDrupalを使用しているのであれば、そして、そのセキュリティを維持管理することに関して、あなたが責任を持っているのであれば、最新のバージョンを稼働しているかどうかチェックしなさい。そして、危険に晒される可能性を防ぐために遅すぎずにパッチしていることをハッキリさせなさい。
あなたは残業代が支払われるか否か、上司に確認することを望むかもしれない。結局、彼等は、あなたが午後6時に仕事を止めることを望まないだろう。
Adobe、e-Readerをアップデート。DRMデータは、もはや危険な方法で転送されることはない。
Sophos : NakedSecurity (2014/10/27)
Adobeは暗号化してデータを送信していたDigital Edition 4 e-Readerソフトウェアの
アップデートを公開した。
Digital Editionは、あなたに電子書籍を読ませてくれるが、Digital Rights Management (DRM、デジタル著作権管理)の要求の結果、Digital Editions 4は、あなたの読書習慣に関する大量の情報を追跡し続けていた。
電子書籍がDRMを使用している場合(例えば、それを読んでいるあなたに料金を請求するために)、Adobeは、他の情報と共に以下の情報を収集していた。
・ ユーザガイド。あなたのユーザ名に対する固有の番号
・ デバイスガイド。あなたのデバイスに対する固有の番号
・ 認定されているアプリケーションID。Adobe Degital Editionsに対する固有の番号
・ IP番号。あなたのデバイスやネットワークによって使用されているIP番号
・ 読書に費やした時間
・ 電子書籍を読む割合
・ 電子書籍のメタデータ。例えば、ISBN、タイトル、著者
我々は、あなたが何頁捲ったか、あるいは、あなたがどの程度の速さで読んだかというようなことが、実際にAdobeのビジネスであるべきかどうかということに関して、此処で深く掘り下げることはしない。
幾つかの電子書籍出版社は、あなたへ請求する金額を決定するための計量基準として、明らかに読書時間と実際に何頁見たのかを使用している。
Adobeと他のDRM機能のある電子書籍リーダーの企業は、これらの課金システムをサポートする必要がある、それだけである。
理論的に、あなたはDRMを使用しない電子書籍を利用することによって、このデータの収集を回避することができるが、実際のところ、常時実行することは困難だろう。
例えば、あなたが時々、DRM保護された形式でのみ利用可能な研究目的で参考にする必要のある書籍があるかもしれないので、あなたのDRMフリー ライフスタイルは、この影響で終了するかもしれない。
あなたの読書の進捗に関するDRM関連メタデータがプライバシーを尊重して処理され提供されるのであれば、これは致命的な出来事ではない。
Adobeはプライバシーの側面について、少なくともDigital Editionsバージョン4.0において、同意していないようである。このソフトウェアが、あなたの読書習慣付きで本拠にコールした時、簡素な旧型のHTTPを使用していた。
これは合法非合法の両面で、盗聴者は、とても助かることになる。
大雑把に言うと、HTTPトラフィックは、あなたのコンピュータやモバイルデバイスからWebサーバまで、あらゆるルートで参加自由な非暗号化である。
HTTPとHTTPS間の相違は、Wi-Fiと暗号化されているWPA Wi-Fi間の違いと類似している。
後者は監視に対する防御性は存在しないが、途中で何らかの防御を享受できる。前者は全く防御性はなく、実際上、適所に居るあらゆる人によって覗かれ記録されることが可能である。
かいつまんで言えば、Adobe Digital Editions 4.0.1は、あなたの読書進捗をAdobeのクラウドに報告するとき、現在はHTTPSを使用している。
Adobeは、このアップデートが以下を提供するとして、むしろ誇らしげに説明している。
著作権管理とライセンス検証情報を送信するための強化された(”enhanced”)セキュリティ
個人情報保護活動家は喜ぶかもしれないが、皮肉屋は、この文章中の「強化された(”enhanced”)」の使用にイチャモンをつけるだろう。
この発言の正しい解釈は、著作権管理とライセンス検証情報が「もはや危険な形で転送されない」と解釈するのだろう。
それでも、これは有用で重要なアップデートなので、褒められるものである。
WYSIWYGエディタはXSS攻撃の道であると、研究者は警告している
The State Of Security : IT Security and Data Protection (2014/10/22)
多くのWebサイトがWYSIWYGエディタを持っている。
あなたは、WYSIWYGエディタについて考えていたとしても、それを使用していることを認識していないかもしれないが、あなたが訪問する殆どのサイトは、あなたにフォーラムへの投稿、ブログエントリの公開、プライベートメッセージの投稿、Wikiエントリのアップデート、サポートチケットの提出、シグネチャの作成やコメントを残すことを多分可能にしているだろう。
これら全て、幾つかのリッチコンテンツ(【訳注】 静的なテキストや静止画像だけなく、動的な映像や アニメーション、CG、音声を利用した表現豊かなコンテンツのこと(@ITより))要素を包含している可能性が高い。
間違いなく、画像を埋め込んだり、あなたのテキストをイタリックやハイパーリンクでフォーマットすることは大変素晴らしいことであるが、この柔軟性が無意識に攻撃者のためにドアを開けっぱなしにしていることになる。
セキュリティ研究者Ashar Javedは、先週のBlackhat Europeで
“Revisiting XSS Sanitization”(XSSのサニタイゼーションを再考する)と題した講演でこの問題を取り上げた。(【訳注】 サニタイゼーション: Webサイトの入力フォームへの入力データから、HTMLタグ、JavaScript、SQL文などを検出し、それらを他の文字列に置き換える操作のこと。「無害化」とも呼ばれ、サニタイジング操作により、入力データ中に含まれる悪意のあるHTMLタグ、JavaScript、SQL文などが解釈・実行されることを防ぐ(IT用語辞典e-Wordsより))
Javed(以前、人気のWebサイトの脆弱性を発見した後、Bag Bounty(【訳注】 脆弱性報奨金制度。ソフトウェアやWebサイトに潜んでいるゼロデイの脆弱性 を早期に発見して改修することを目的とする制度(xss.wikiより))を受賞した)は、多くのサイトで使用されているWebベースのWYSIWYGエディタをテストするための簡単な手順を使用した。
彼のプラン? 彼は、サニタイゼーションされたコンテンツの代わりに数字”1”を含むメッセージボックスをポップアップするように、WYSIWYGエディタを欺けるかどうか確認することであった。
Javedが検証したWebサイトの中には、サードパーティのエディタ・ライブラリに依存しているものがあった。これは数百万の他のWebサイトで使用されている可能性がある。検証された全ては、脆弱性のある一つのエディタ・ライブラリに関するものであり、攻撃者は大はしゃぎできる機会を持っていた。
従って、多くのWYSIWYGオンライン・エディタがクロスサイト・スクリプト(XSS)攻撃に対する脆弱性が存在することを証明した、Javedの発見を学習すると、ある懸念がある。
一般的に、WebベースのWYSYWYGエディタは、イメージを挿入したり、URLを埋め込んだり、ファイルやビデオをアップロードすることができるが、その時の有害な挿入に対する脆弱性が存在していた。
Javedが同定した問題の一つは、WYSIWYGエディタの開発者達が、開発しているこのようなWebサイトに、あるいは、サニタイゼーションを実行するためのバックエンド サーバーサイドシステムに責任があると考えていることである。他方、棚からWYSYWYGエディタを引っ張り出し、それを彼等のサイトに差し込んでいるような時間の無いWebサイト開発者達は、激務の全てをそれらが代わって実行してくれたと考えている。
Javedの解決策は、WYSYWYGエディタに入力されたコンテンツを必ず安全であるようにする(XSS脆弱性を攻撃するために使用することができない)厄介な仕事を実行する“Unbreakable sanitizer/filter”(破られないサニタイザー/フィルター)と呼ばれるものを開発することである。
あなたが気になるのであれば、あなたは、彼の
XSSフィルターを試すことができる、そして、何らかのJavaScriptで、それをバイパスすることを試すことができる。
Javedは二週間、XSS攻撃で彼のフィルターをバイパスすることを企てるあらゆる者を招待して公開チャレンジを実行した。その期間に、1035の一意のIPアドレスから78,000以上の企てが記録されたが、今まで彼のフィルターを御したものは誰もいない。
Javedの研究に関する詳細に関しては、こちらの
ホワイトペーパー(PDF)とBlackhat Europeでプレゼンした
スライド中に見出される。
あなたの会社がWebサイトを持っていたり、あるいは、Webアプリケーションを頼みにしているのであれば、あなたがリスクがあるかもしれないと考えるものを必ずじっくり検討し、攻撃者があらゆる弱点を攻撃することを妨げるために、その入出力を適切にサニタイジングすることを保証するようにしなさい。
Adobeは読者をスパイしていた: 全てのDRMの付いた書籍のページ捲りはSSLを介して本拠にリークされていた
The Register : Security (2014/10/23)
Adobeは、本部にコッソリ送信するデータ(ユーザの読書習慣を詳らかにしているデータ)を暗号化するように、彼等のDigital Editions 4デスクトップeBookリーダを調整していた。
今迄、 Digital Editions 4によってアクセスされた全ての単一の大きな本に関する情報は暗号化されずに(誰かがその電話をインターセプトし、盗聴することが可能)本拠に電話されていた。今、この情報はHTTPS経由で転送されている(コピー保護機能が含まれている書籍に関するものだけではあるが)。
このソフトウェアのバージョン4.0は、そのユーザが読んでいる書籍に関する詳細な記録を収集し(どのページが、いつ読まれたか)、この諜報したデータをadelogs.adobe.comに送信している。このアプリケーションを削除することを除いて、これから抜け出る道はない。
現在、バージョン4.0.1では、この情報は暗号化され本部のサーバーに送信されており、DRM(【訳注】 デジタル著作権管理、デジタルデータとして表現されたコンテンツの著作権を保護し、その利用や複製を制御・制限する技術の総称(IT用語辞典e-Wordsより))で保護されている書籍に限定されている。我々は、このサーバーのSSL/TLS設定がQualys(【訳注】 オンデマンド脆弱性管理およびポリシーコンプライアンスソリューションのリーディングカンパニー(Qualys日本法人ホームページより))ではA-に格付けされている(サーバー認証がSHA-1シグネチャ付きであるとはいえ2048ビットRSAキーを持っており、より強力な暗号化よりむしろRC4を選んでいる)ことに注目している。
「クリア テキストで特定の利用データの収集と転送で対処するようにしたDigital Editions 4のソフトウェア アップデート(Digital Editions 4.0.1)が現在利用可能である」と、その声明の中でAdobeはThe Registerに告げてきた。
「Digital Editions 4のこの最新バージョンでは、データは安全な転送方法(HTTPSを使用)でAdobeに送信される。AdobeのDigital Editions 4のユーザは、この製品中の自動アップデート機能を介してアップデート通知を受け取っている」とも告げている。
今月初め、この
Digital Editions 4が読まれている書籍に関する大量の情報(タイトル、出版社、ページが読まれた順番)を収集していたことが明らかになった。
この時点で、Adobeは、このような情報は出版社の反海賊版対策(デジタル著作権管理(DRM)とも呼ばれる)を強化するために必要とされると発言していた。これをプレーン テキストで送信することはセキュリティを台無しにすると認め、この問題を修正すると約束した。この修正のお披露目で、AdobeはDRMされている出版物の偵察にだけ、このソフトウェアを限定することを明らかにしている。
Adobeはまた、どのようなデータが取得されるのか、その理由はなにかということを明確に説明する
Webページをセットアップしている。このWebページは、「eBookが、DRMに関連付けられていないのであれば、情報は収集されない」と主張している。
しかしながら、The Registerの読者からのコメントで判断すると、この不愉快な問題が消え失せることはないと思っている。人々はまず、この種のデータが収集されていたことに驚いている。そして現在、情報をスパイしない代わりのeBookリーダを探している。
ハッカーはPowerPoint中の0−DayのフローでWindowsを攻撃している
Lumension : Blog (2014/10/22)
気をつけなさい。別の0−Dayの脆弱性が顕になった。これはWindowsの殆ど全てのバージョンが影響を受ける。そして、この脆弱性は標的型攻撃としてハッカーによって実際に攻撃されている最中である。
Microsoftは、Windows Server 2003以外の全てのWindowsのバージョン中の緊急のリモートコード実行のフローに関する
セキュリティアドバイザリを発行した。
これは大変悪いものである。しかし、それをより悪いものにしているのは、悪いハッカーが未だにパッチされていないセキュリティホールに気が付き、Microsoftが「限定的、標的型攻撃」と呼ぶものの中にある脆弱性を、Microsoft PowerPointを介して実際に攻撃していることである。
幸いなことに、これまでに確認されている攻撃は、UAC(User Access Control)有効で稼働しているWindowsコンピュータで成功するにはユーザとの相互作用を要求する。そこで承諾のためのプロンプトが表示される。残念なことに、多くのユーザは、そのようなメッセージを単純に無視し、プロンプトを消滅されるためにクリックすることが常である。
攻撃者が、この脆弱性を攻撃する方法は主に二つある。
一つ目、彼等は、貴方の会社の顧客の一人にE-MailするためのブービートラップされたPowerPointファイルを作成する。ソーシャルネットワーキング戦術を使用して、彼等は、ユーザを欺きファイル(悪意あるOLEオブジェクトを含む)を開かせる。そして次に、そのコンピュータ上でより悪いマルウェアをインストールしたり、情報を盗んだり、ハッカーが貴方のシステムにアクセスできるようにするバックドアを開いたりする実行処理を行う。
感染するためのもう一つの方法は、Webをベースにするものである。攻撃者は悪意あるファイルをホストする彼等独自のWebサイトを作成するか、同じことを実行するために正当なサイトを改竄し、ユーザが、そのWebサイトにアクセスするのを待つ。一般的な方法は、狙ったコンピュータユーザを悪意あるWebコンテンツに振り向けるE-Mailハイパーリンクである。
もちろん、Microsoftは今迄にPowerPointファイルに関連する攻撃を確認しているが、これは簡単に、悪意あるOLEオブジェクトを含む能力のあるMicrosoft Officeの全ての他のファイルタイプ、並びにサードパーティのファイルに関連することになる。
MicrosoftはPowerPointの幾つかのバージョン用に一時凌ぎの
”Fix it”を作成している。これはこの脆弱性に対する攻撃を防止することができる。しかし、明らかに、適切なセキュリティパッチで置き換えるわけではない。
説明されている回避策のリストにおいて、Microsoftは、PowerPointや信頼できないソースからの他のファイルを開かないように示唆しているが、多くの人々の日常的作業活動を混乱させることは明らかである。
あなたが管理者権限で実行する代わりに、権限の少ないユーザ権限を持っているのであれば、明らかにそれは有利である。
Microsoftによれば、現在確認されている攻撃は、EMETを配備し適切に設定することによってブロックすることができる。
Microsoftがこのフローに関する適切な修正をリリースする時は押し迫っている。Microsoftは、彼等がセキュリティパッチをリリースするであろうことを認めていないが、11月の定例パッチの日(通常Patch Tuesdayと呼ばれる)まで待つことなく定例外のパッチのリリースを強いられるであろうことが間違いないと思われる。
結局、システム管理者やITチームだけが、この時計を見つめているだけではない。この脆弱性を攻撃しているハッカーが、適切な修正がリリースされる前に、少しでもこの脆弱性を熱心に使用しようとすることは間違いない。
貴方のコンピュータが、アンチウィルスの最新のアップデートで適切にアップデートされていることを確実にしなさい。また、セキュリティパッチが利用可能になった時、速やかにセキュリティパッチを適用する強力な体制を持つようにしなさい。更に、確固としたApplication Control(【訳注】 アプリケーションの実行制御を行い、不正な動作をリアルタイムに検知して、その動作や 改竄を防止する)は、貴方が攻撃される表面を制限し、攻撃者が貴方の防御に穴を開けることをより困難にする。
韓国のIDシステムは最初から再作成する事になる
BBC : News>Technologh (2014/10/14)
2014年に遡る膨大なデータ盗難により、韓国のNational Identity Cardシステム(【訳注】 アメリカの社会保障番号に相当するものです。このようなシステムは、現在の日本には存在していません。)は完全にオーバーホールする必要がある。
韓国政府は数十億ドルの費用を掛けて、17歳以上の全ての市民に対して新しいID番号を発行することを考えている。
韓国5000万国民の80%と見積もられるID番号と個人情報が、銀行と他のターゲットから盗まれていたと、専門家達は発言している。
システムを再構築するには10年程かかるだろうと、この専門家達の一人は発言している。
大統領朴槿恵を含む約2000万人の人々が、三つのクレジット会社からのデータ盗難の犠牲者になっている。
「この問題は、完全解決する方法を発見することの見込みがなさそうなポイントにまで成長してきた」と、技術研究者Kilnam ChonはAssociated Press(AP通信)に語っている。
IDカードを盗むことが大変簡単であることが分かったことには幾つかの理由がある。
・ Identity number(ID番号)は1960年代に発行され始め、依然として同じパターンが踏襲されている。最初の幾つかの数字はユーザの誕生日である。そして、男性は1,女性は2が続く。
・ 様々な分野に渡るこれらの使用は、それらをハッカーにとってのマスターキーにすると、専門家たちは発言している。
・ 詳細がリークされたとしても、市民は、ID番号を変更することは不可能である。
・ 政府は、Microsoft製品(ActiveX)を使用して銀行やオンラインショップネット取引をしようとするネットユーザにデジタル署名を提供することにしたが、批評家は簡単に複製することのできる簡単なパスワードであったと発言している。
このニュースは、世界でもテクノロジーに明るい国の一つとして評判を獲得した国を困惑させることになるだろう。韓国国民の約85%は、オンライン(超高速ネットアクセス)を利用している。韓国国民は、4000万台のスマートフォンを所有している。
【訳注】 英文ですが
Mainichi Daily Newsが、この情報を詳細に報道しています。
2014年10月のPatch Tuesday(定例パッチ日)は、通常よりも大きなものになっている
Sophos : Naked Security (2014/10/12)
今月の定例パッチは通常より大きなものが用意されている。
10月はOracleのCritical Patch Update (CPU)の月であり、MicrosoftやAdobeのアップデートの平均的ブレチンより多くの修正がCritical Patch Update中に通常存在する。
これはOracleが毎月パッチする代わりに、四半期に一度、その修正をリリースするからである。
Oracleもまた、月の中旬に真ん中に一番近い水曜日にパッチを公開する。これは、しばしばMicrosoftやAdobeが第二火曜日に稼働した後、一週間の猶予期間を与えていた。
しかし、水曜日で始まる2014年10月は、カレンダーの計算上Oracleにとっての月の真ん中にあたり、今月は第二火曜日に押しこむことになった。
結果として、Oracle、Adobe、Microsoftのパッチが、2014年10月14日に一気に到着する。
Oracleのパッチは大量
簡単に言うと、山のようなOracleのパッチ(数百のOracle製品の「155の新たなセキュリティ脆弱性を修正している」)がやってくる。
通常通り、殆どの人々に影響を与えるOracleのアップデートは、Javaに関するものである。
Java単独で25のセキュリティフィックスが存在する、Oracleは、その内の22が「認証なく遠隔から攻撃することが可能である(即ち、ユーザ名とパスワードの必要なくネットワーク越しに脆弱性攻撃することが可能)」と宣言している。
簡潔に、あなたのブラウザ中でJavaを有効にし、サイバー犯罪者が悪意あるJavaアップレットを隠しているWebページを単に訪問するだけで、あなたが、マルウェアに感染するには十分である(ポップアップ、警告、他の犯罪行為の動かぬ兆候なしに)。
修正の絶対数を数えないようにしなさい。5つのセキュリティホールを閉じるためのアップデートが25あっても、必ずしも5倍悪い、あるいは、パニックに値することよりも5倍悪いというわけではない。なぜなら、実際、25の修正パッチは、バグを追い詰めて捕まえるより高い成功を含意しているために、5つの修正パッチより5倍良いかもしれない。
我々は今迄、何度もこれを言ってきたが、我々はあなたにもう一度思い出して欲しいと考える:
・ ブラウザのJavaをOFFにしなさい。ただ、コンピュータからJavaを一緒に削除する必要はない。これは、あなたがブラウザをJavaアップレット(Webページ内部に自動的に配布される小さなアプリケーション)の大変大きなリスクに晒すことなしに、プレインストールされたJavaアプリケーションを起動することができることを意味している。
・ ブラウザのJavaをOFFにしなさい。ただし、JavaScriptをOFFにする必要はない。JavaとJavaScriptは同じものではない。あなたが使用しているWebサイトの多くはJavaScriptを多分要求している。JavaScriptをOFFにすることは問題のある行為になるだろう。しかし、2014年において依然としてJavaを要求するWebサイトは殆ど無い。皮肉なことに、JavaScriptは、殆どのJavaを使用することの代わりに使用されている。
AdobeはReader/AcrobatとFlashにパッチしている
Reader/Acrobatは、WindowsとMacintoshに関してパッチする必要がある(Linuxは最早サポートされていない)。
Flashは、Windows、Macintosh、Linuxでパッチする必要がある。
両方の製品での今回のアップデートは「攻撃者が影響を受けるシステムを制御することを潜在的に可能にすることができる脆弱性」を修正している。ReaderとFlashにおいて、これは通常open-and-ownホールとも呼ばれている。
これは、Webページに埋め込まれているかE-Mailによって受け取ったかに拘わらずブービートラップされたファイル(PDFドキュメントやFlashビデオのような)を見るだけで、攻撃者がReaderやFlashプログラムの制御を取得し、バックグラウンドで悪意ある行動を不可視で実行するよう命令することを可能にする。
open-and-own攻撃の間、犯罪者によって実行される典型的なタスクは、一つもしくは複数のマルウェアをダウンロードしインストールすることである。
Microosoftは9つのブレチンをリリースした
今月、Microsoftは複数の製品(Windowsそれ自身、Internet Explorer, Office, Microsoft開発ツール(Visual Studio)を含む)にまたがる9つのアップデートをリリースするだろう。
9つのパッチの内5つは、リモートコード実行を可能にするセキュリティホールの修正としてリストされている。これは一般的にOracleが「認証なしに遠隔からの攻撃認証なく遠隔から攻撃することが可能である」として上で説明し、Adobeが「攻撃者が影響を受けるシステムを制御することを潜在的に可能にする」と説明しているバグの種類である。
面白いことに、あなたは、全てのリモートコード実行が、定義から殆ど緊急として考慮されるべきと考えるかもしれないが、リモートコード実行バグ5つの内3つだけが、Microsoftによって緊急と評価されている。
我々は、このパッチが実際に公開され、その詳細が公式に明らかにされるまで、理由を認識すべきではないが、緊急ではないリモートコード実行バグは、既にログインしているユーザによって引き金を引かれるものであると合理的に推論される。
これらのセキュリティホールは、これらは明らかにそのリスクが低いものなので、「認証なしに遠隔からの攻撃」としてカウントされないことを意味している。
影響を受けるServer Core
【訳注】Server Coreのアップデートが必要な方は、多くのサーバーを所有し専用のタスクのみに従事する担当者が存在する組織などの専門家です。
今月の一連のMicrosoftアップデートで最も注目すべきは、Server Coreインストレーションが緊急パッチに入っていることである。
WindowsのServer Coreバージョンは、乏しい必須のシステムソフトウェアのセットを取り外されている、これはDHCPやDNSのような重要なサービス実行するには十分であるが、Internet Explorer(あるいは、あらゆる他のブラウザ)、Office、ReaderやFlashをサポートするには十分なものではない。
間違った実行を少なくしながら攻撃表面を大きく減少させるために、サーバーコア システムは一般的に、少ないパッチ(取り分け緊急なパッチ)を要求する。
しかしながら、全てのサーバーコアは、今月少なくともひとつの緊急フィックスを得るだろう、そして、再起動を要求する。
貴方のネットワーク上のDHCPとDNSサーバーのために、これらの機能停止をスケジュールすることを忘れないようにしなさい。
リークされたEmma WatsonのFacebookビデオは、あなたのPCをマルウェアで感染させるだろう
Graham Cluley : News (2014/10/09)
気をつけなさい!
あなたがリークされた有名人のビデオや写真を見て快感を得る類の人であるのなら、あなたは、サイバー犯罪者がFacebook上で拡散させている最新の悪意あるスカムの標的になることは間違いない。
Bitdefenderの研究者達は、コンピュータの所有者が欺かれ、Emma Watson(【訳注】エマ・ワトソン、1990年4月15日生)のプライベートビデオを含んでいると称するビデオを、Facebookを介してのリンク共有をクリックしたなら、コンピュータがマルウェアで感染させられる危険性を発見した。
もちろん、このビデオは、Harry Potter(ハリー・ポッター)のHermione Granger(ハーマイオニー・グレンジャー)として著名な、このイギリス人女優のビデオではない。彼女の名前と画像は単に餌として使用されているだけである。
Facebookのユーザが、このリンクをクリックすると、彼等はYouTubeを装うサードパーティのWebページに飛ばされる。
しかしながら、実際のYouTubeと異なり、このWebページは、あなたのVideo Playerが旧式であるとして、あなたを欺くようにデザインされている。簡単に言えば、犯罪者は、インターネット出歯亀が悪意あるファイルのダウンロードに突進し、彼等のデータセキュリティに対する危険の可能性を考えないことを希望している。
ビデオプレーヤー エラー
我々のシステムは、あなたがVideo Playerの旧式のバージョンを使用していることを検出しました。YouTubeでビデオを閲覧するために、下の‘Upgrade Now’ボタンをクリックしVideo Playerの最新の安全なバージョンにアップデートしてください。
あなたがダウンロードしインストールしたなら、このアップデートは、このビデオを閲覧するためにブラウザをリフレッシュします。
Bitdefenderの研究チームは、このマルウェアがユーザのブラウザ設定を変更すると、そして、犠牲者の認識なしに、その犠牲者に代わってFacebookを使用してメッセージの送信を始める余計な世話を焼くと発言している。この行動の中には、そのユーザに代わってコメントを投稿し、無意識のうちにFacebookのページを好み、そして従い、犯罪者達が金銭を稼ぐことの手助けをする行為も含まれている。
更に犠牲者は、彼等の携帯電話がプレミアム料金のSMSサービスに契約していること(Facebook詐欺師達のもう一つの共通する収入源)を発見するかもしれない。
Bitdefender製品は、Trojan.JS.Facebook.A そして Trojan.Agent.BFQZ としてこの攻撃を検出する。この攻撃の詳細に関しては、
このセキュリティベンダのWebサイトで確認できる。
以下略。
USBデバイスは、最早安全ではない
MakeUseOf : Security Matters (2014/10/07)
あなたが1997年以前にコンピュータを購入したことがあるのなら、その背面にアバタのように散乱したポートがあったことに多分気がついていただろう。あなたが新しいプリンタやスキャナを購入すると、それは単に特定のタイプのポートでだけ動作した。そして、コネクタのピンが破損すると、あなたのデバイスは価値のないものになった。これは悪夢であった。そして今、USBである。
Universal Serial Bus (USB、ユニバーサル・シリアル・バス)は、7つの巨大テクノロジ企業の共同体によって作成された。一つの重要な問題(「私はこのデバイスを、どのようにコンピュータに接続すればよいのか?」)を解決することを皆、望んでいた。ほぼ20年後、USBは必ず何処にでもあるというレベルに到達した。
この普遍性には、恩恵と呪いの両側面が存在している。USBは、周辺機器とリムーバルストレージをツマラナイくらい簡単で便利なものにしたが、最近USBに、世界中の全てのコンピュータを脆弱にする欠陥が発見された。それをBadUSBと呼ぶ、あなた方は、BadUSBについて認識しておく必要がある。
BadUSBとの邂逅
最初にUSBが安全ではないとした
驚天動地の暴露は、2014年07月、セキュリティ研究者Karsten NohlとJakob Lellによって行われた。彼等が作成したマルウェア(ニックネームBadUSB)は、彼等にユーザのインターネットトラフィックをハイジャック、マルウェアのインストール、ユーザのキーボードとマウスの制御を内密に取得するすることさえ可能にするUSBデバイス設計の重要な脆弱性を攻撃した。
BadUSBマルウェアは、ユーザがアクセス可能なストレージ・パーティションに格納されているのではなく、USBデバイス(キーボード、電話、フラッシュ・デバイスを含む)のファームウェアに格納されている。これは、伝統的なアンチウィルスソフトでは実際に検出不可能であり、そのドライブがフォーマットされても生き残ることができることを意味している。
幸いなことに、NohlとLellが修正のために、この業界に提供するコードを公開していないので、自称アタッカーがBadUSBを悪用することは不可能である。
DerbyCon(ケンタッキー州ルイビルでのコンピュータ・セキュリティ・カンファレンス)で与えられた話では、Adam CaudillとBrandon Wilsonが、BadUSBをリバースエンジニアリング(【訳注】 機械を分解したり、製品の動作 を観察したり、ソフトウェアの動作を解析するなどして、製品の構造を分析し、そこから 製造方法や動作原理、設計図、ソースコードなどを調査する事(Wikipediaより))に成功したことをデモした。そして、コード共有プラットフォームGitHubに、
彼等の脆弱性攻撃コードを公開した。
Making BadUSB Work For You と題されたYouTubeでのビデオはこちら。
BadUSBをリリースした背後にある動機は、USB動作方法への幾つかのセキュリティを追加することに対してあまりに緩慢である業界を鞭打つためであった。しかし、これは、この時点以降USBが最早安全ではないことを意味している。
しかし、USBの歴史に着目している者は、USBが取り分け安全なものではなかったことを認識している。
攻撃する道筋(attack vector)としてのUSB
attack vectorという用語は、コンピュータを危険に晒すために攻撃者によって取得される道筋を意味している。これらは、マルウェアからブラウザ攻撃(Androidの標準ブラウザ中に最近見出されたもののような)、既にコンピュータにインストールされているソフトウェア中の脆弱性(Shellshochに酷似の)にまで及んでいる。
潜在的攻撃ルートとしてUSBフラッシュ・ドライブを使用することは、取り分け新しいものでもなければ、一般的ではないというものでもない。数年間、ハッカー達は、公共の場にあるUSBドライブにマルウェアをドロップしてきた。誰かがUSBを差し込むのを待っていた、そして、汚らわしい物を内部に格納した。
2012年、彼等の駐車場に故意に落とされていたフラッシュ・ドライブを発見したことを報告した。検証すると、それらは自動起動し、ログイン証明書を収穫し、もしかすると権限と重要な情報に対するアクセスを攻撃者に与えるかもしれないように設定されたマルウェアを含むことが、DMS(【訳注】 オランダのグローバルな化学系サイエンスカンパニー)内のITスタッフによって発見された。
もっと早期を見ると、具体的には、我々はSandisk U3フラッシュドライブを悪用したマルウェアを確認できる。2009年に中止されたこの民生用USBドライブの系列は、それがCD-ROMであると信じるようにコンピュータを欺くパーティションを含んでいた。これはインストールとポータブルアプリケーションの管理を能率的にしたが、これはまた、このパーティションに格納されたものは何でも自動起動するだろうことを意味していた。マルウェア(USB Switchbladeと呼ばれる)のパッケージが開発された、これは攻撃者に、パスワードハッシュ、LSAシークレット、IP情報を取得するためにルートで実行しているWindows 2000の後継コンピュータにアクセスすることを可能にした。
ビデオへのリンク
USB Switchbladeを作成する方法の探求は、上のビデオ中に見られる。
もちろん、USBをベースとするあらゆる攻撃は、あなたが個人的に所有していないデバイスに差し込むことを回避することによって、簡単に回避することができる。そして、これは将来のBadUSBベースの攻撃に対して、貴方自身を防御する方法を私にもたらしている。
安全であるための方法
私は幾つかの悪いニュースを得た。それは、BadUSB脆弱性を元にするあらゆる攻撃と戦う途方もない挑戦になるだろう。今当に、USB用のファームウェアレベル・セキュリティ・システムは存在していない。この問題の長期固定は、USB標準(USB Type-Cが最も最近)に対する重要なアップデートを要求するだろう。これは、古いハードウェアの付属する数千のものを、脆弱性のアップデートを適用しないままにするだろう。
そこで、あなたは何をすべきなのか? 依然として時期尚早であるが、BadUSBからあなたを保護することを保証する修正は一つもない。簡単に言えば、あなたは機転を必要とする。あなたの周囲にUSBドライブを確認したなら、それを無視しなさい。USBドライブを共有してはならない。あなたのコンピュータに安全性が確認されていない信頼できないUSBデバイスを挿すことを、人々に許してはならない。
悪夢を見るな
BadUSBは、恐ろしい脅威であるが、全体の視野の中でリスクを見ることは重要である。USBは攻撃の道筋として大きな人気を持っていない。更に、これを記述している時点で、インターネット上にBadUSBベースの攻撃例は解説されていない。
三つの必須のセキュリティ作業、未だ実行していない? &
あなたが今日家族にしてあげることのできる、更に三つの必須のセキュリティ作業
Sophos : NakedSecurity (2014/09/30 & 10/01)
昨年10月、National Cyber Security Awareness Month(【訳注】 米国では、毎年10月を "National Cyber Security Awareness Month" として、情報 セキュリティに関する啓発活動を展開している(JPCERTより))の一環として、我々はサイバーセキュリティを改善するために、あなたが家族のために実行できる三つの必須の作業を提案した。
我々がこのアドバイスを公開してから明日で一年になる。そこで、あなたがその全てを実行したか否か尋ね、これを再検討しようと考えた。
あなたが、実行していなくても、未だ時間はある。
三つ全て、我々の家族の非公式技術サポートとして振る舞う我々全てにとって簡単であるが重要なことである。そして、サイバーディフェンス チームは、悪い奴らにとってより困難になるように物事を実行することができる。
我々は明日、幾つかの新しいアドバイスをリリースするだろう。そこで今日は、あなたが昨年のアドバイスを実行したことを確認するための適切な時間である。
1. コンピュータ上のゾンビや他のマルウェアをチェックする
今日、多くの人々がアンチウィルス ソフトウェアを使用しているが、このソフトウェアは、最も最近のアップデートでだけ良い結果をもたらす。
あなたの家族の誰かがが期限切れの製品を使用していたり、最新の基本的なチェックを実行していなかったり、あるいは、彼等がMac、タブレット、スマートフォンのユーザであり、彼等が、脆弱性がなく信頼できる製品を持っていると信じているのであれば、今日、アンチウィルス ソフトウェアをアップデートし、ゾンビと他のマルウェアに関してチェックしなさい。
(Sophosは
Macと
Android用のアンチウィルス ソフトウェアを無料で提供している)
2. 家庭のWi-FiのWPAもしくはWPA2を有効にしなさい
家族の誰かが、危険なホームWi-Fiを使用している、あるいは、WEP暗号化でWi-Fiを安全化しているのであれば、今日、二分を割いてWPAもしくはWPA2に切り替えなさい。
あなたが家族のメンバーのためにWPAを既に設定しているのであれば、家族の誰かが、工場出荷状態にリセットしていないか、あるいは、あなたが設定していなかったかもしれない何かが実行されていないかチェックしなさい。
しかし、その前に、Busting Wireless Security Mythsに関する我々のビデオを見なさい。誰がどのようにWi-Fiセキュリティに従事しているかを確認することができる。
このビデオへのリンクは以下。
3. あらゆるWebサイトで夫々異なったパスワードを設定する
あなたの家族のメンバーが、ログインする各Webサイトで別々で強力なパスワードを使用していることを確実にしなさい。盗人共は、人々がパスワードを再利用使用していることを知っているので、人気あるWebサイトでパスワードを盗もうとする。
少なくとも20文字より長く文字、数字、記号が混在したパスワードを選択することで家族を支援しなさい。彼等が、パスワードを思い出すことに問題を発生させるようであるなら、
LastPassや
KeePassのようなパスワードマネージャを考慮しなさい。
おまけ
我々の日刊ニュースレターにサインアップし、Facebookの我々のページを好み、Twitterでの我々に従うことで、最新のセキュリティニュース、意見、アドバイス、研究の時代遅れにならないようにしなさい。
***************************** 此処から、あなたが今日家族にしてあげることのできる、更に三つの必須のセキュリティ作業
夜遅く、メールが送信できないと言って父親に訪ねて来られたことはないだろうか?
あなたの同僚が印刷できない時、IT部門を訪問する前に、あなたのデスクの傍らに佇んでいたことはないだろうか?
あなたの家庭の人々は、あなたの言うことをインターネットのスピードのように振る舞いますか?
答えが”Yes”であるなら、それは、ようこそサイバーセキュリティの最前線へということである。
あなたが訓練を積んでいない新人であろうが、手慣れたベテランであるかは重要なことではない。家族・友人・同僚があなたを頼りにするために、あなたは、此処に存在している。あなたには、コンピュータに詳しい電話することのできる友人がいる。そして、好むと好まざるとに拘わらず、洗練された、豊富な資金を維持する犯罪組織に立ち向かっている一部である。
さて、実行する仕事ができた。
本日(10月01日)はNational Cyber Security Awareness Month (NCSAM)の記念日であり、昨年同様、我々は、家族の非公式ITサポートとして行動している全ての人々に話すことにする。今日を、あなたがこの単純なことを、しかし、悪い奴らにとっては生活を辛くする重要なことを実行する数分を確保する日にしなさい。
我々が昨年実行することを依頼した三つのこと(【訳注】 この和訳の前半部分)は、一年前同様現在もその重要性を失っていないので、スキップしないようにしなさい。
簡単に思い出せるように列挙しておくと:
・ アンチウィルスのアップデートをチェックし、スキャンを実行する
・ ホームWi-FiにWPAもしくはWPA2を有効にする
・ 各Webサイトで別々のパスワードを設定する
あなたの家族のメンバー各人が上記三つのステップを実行しているのであれば、あなたは、ある時点で、アンチウィルスがアップデートされているコンピュータ・タブレット・あるいは電話の前にいる貴方自身を見つけるだろう。
あなたがコンピュータの前にいる間、家族のサイバー環境を安全に維持するために本当に支援することのできる更に三つの簡単なこと(アップデート、ロック、暗号化)を実行することができる。
4. アップデートする
一瞬一瞬、静寂ではあるが凄まじい活発な軍拡競争がソフトウェアベンダと犯罪者の間で繰り広げられている。危険に晒されているものは、一般の家族や企業によって使用され、支払われているネットワーク接続デバイスである。
犯罪者は、彼等が遠隔からコンピュータの制御を奪うための脆弱性攻撃可能な人気あるソフトウェアのフローを探している。ソフトウェアベンダは、汎用されている攻撃ベクトルを混乱させる方法を探したり、可能な限り早急にフローをパッチしようとしている。
犯罪者が勝利すると、それが世界の裏側に存在している場合でさえ、彼等は完全にコンピュータの制御を取得することができる。
そして、リモートコントロールで、彼等はそのコンピュータをモニタすることができ、彼等が手中にできる全てのデータを強奪することができ、それをボットネットと呼ばれる巨大で不法なコンピューティングクラウドに補充することができる。
ボットネットは、あなたのファイルを略奪することから、分散型Denial of Service(DDoS、【訳注】 複数のネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃(e-Wordsより))攻撃まで様々なことに使用されているが、最も汎用的に使用されているのはスパムの送信である。
最大のボットネットは、数百万のコンピュータを収集しており、各個別のコンピュータは、所有者に気付かれることさえなく一週間に数百万のスパムメッセージを送信するために使用することができる。
多くの人が犯している一つの大きな過ちは、詐欺師達が「私なんか」に興味はないと思い込んでいることにあるが、そうはいかない。サイバー犯罪者達は、一週間に数百万のスパムを完全に無料で送信することが可能なコンピュータを簡単に手放すわけがない。
ソフトウェアベンダは、パッチを素早くリリースすることでより安全にしようとしているが、最も重要なことは、如何に早くパッチを作成するかではなく、如何に素早く我々のコンピュータにパッチを適用するのかということである。
今迄に見てきた最大で最も活発なボットネットの一つは、Windowsオペレーティングシステム中の脆弱性を攻撃することによって、1,100万以上のコンピュータに感染した悪名高いConfickerワームによって作成されていた。この脆弱性に関する修正は、Confickerの存在がが最初に確認される29日前に、Microsoftによってリリースされていた。ユーザがこのパッチを素早く適用していたなら、Confickerがあなたのコンピュータに到達することはなかっただろう。
これが、あなたが利用できるソフトウェア アップデートをダウンロードすることが如何に重要であるかということである。
あなたのソフトウェアをアップデートする前に、チョットだけ考えなさい。インストールされていないソフトウェアを脆弱性攻撃することは不可能なので、必要としないソフトウェアは廃棄しなさい。
理想的には、あなたの前にある全てのソフトウェアをアップデートすることであるが、最低でもそのデバイスのアンチウィルス、オペレーティングシステム、Webブラウザ、インストールしているのであれば、MicrosoftのOfficeに対するアップデートをチェックすることである。
私は、Adobe Acrobat Reader, Java, Silverlight, Flashなしで生活することを強く推奨するが、あなたが。それらなしでは絶対的に耐えられないのであれば、それらもまたアップデートしなさい。
重要なのは、あなたが、各ソフトウェアの部分である設定を開き、アップデートし、ダウンロードし、今後自動的にアップデートをインストールするようにすることである。
5. ロックする
あなたが、そのデバイスを放ったらかしにした時、そのデバイスはロックされているべきである、まさに、あなたの車をロックするように。そうしていないのであれば、盗人のためにドアを開きっぱなしにしたり、わざとトラブルを起こしているようなものである。
ロックされていないコンピュータ・ラップトップ・タブレット・電話の前に座った者は、それを放ったらかしにした人と同じ権限で即座に楽しむことができる。最後にログインしたユーザに属するあらゆるドキュメント・パスワード・写真・クレジットカード番号・私信・住所録・その他のデータは、盗人の手中の物となる。
犯罪者は、遠隔からのこの種のアクセスを完成させるために驚くほど勤勉であるが、如何にパッチを適用し、アンチウィルスを使用しようとも部外者の利用に関しては、あなたを保護しないだろう。
デバイスがロックされる時、必ず、そのデバイスにパスワード、PIN、パスコードもしくはスワイプを要求するようにし、次に、あなたが可能と思うコンピュータを一定時間操作しない最も短い時間で、そのデバイス自身をロックするように設定しなさい。そのコンピュータの所有者が、耐えられないというのであれば、あなたは、常にその時間設定をもう少し長くすることが可能である。
そのユーザが如何に取り乱していようとも、如何に忘れっぽくあろうとも問題なく保護のレベルを提供する自動ロックは重要な支えであるが、ボーナスポイントとして、立ち去ると即座にロックがかかるデバイスの手動ロックの方法(Windowsの場合は、[Windows]+[L]。Macの場合は、[Control]+[Shift]+[Eject]もしくは[Control]+[Shift]+[Power])もまた、その所有者に話してあげなさい。
5. 暗号化する
残念なことに、あなたのコンピュータをスクリーンロックするだけでは物理的アクセスの盗難から、あなたのコンピュータを保護するために十分ではない。
USBドライブからロックされているコンピュータを再起動することで(以前のモデルではCDでも)、盗人はオペレーティングシステムの通常のアクセスコントロールをバイパスすることができる。
数秒以内に、彼等はあなたのファイルのコピーを開始することができるし、ログインパスワードを再設定することさえ可能かもしれない(あなただけではなく、アドミニストレータも同様)。
次に、彼等は二回再起動し、彼等は、あなたであるかのようにログインする。あなたのコンピュータは全くロックされていないかのように。
この対策はFull Disk Encryption (FDE)を使用してデバイスを暗号化することである。盗人は依然として暗号化されたディスクに1秒とかからずにアクセスすることができるが、この時間は最早重要ではない(彼等が復号するまで、彼等は騒音でしかない)。
Windowsのより高価なエディション(Pro, Enterprise, Ultimate)は、BitLockerと呼ばれるFDEソフトウェアを同梱しているし、全てのMacはFileVaultを同梱している。FDEの防御を楽しむには、これらチッポケなソフトウェアをONにする必要があるだけである。
iOSに関しては、Stage2で示唆したようにロックスクリーン パスコードが、完全なディスク暗号化を有効にする。あなたが選択したパスコードは、あなたのデバイス暗号化パスワードにもなるので、あなたがロックコードを選択する時、PINの並べ替えをスキップし、適切なパスワードを選択しなさい。多少トラブルかもしれないが、スヌーピングに対してデバイスをロックするだけでなく、デバイスが丸ごと盗まれた場合でさえ、そのデバイス上のデータを安全に維持してくれる。
Androidに関しては、一旦パスコードを選択しても、そのデバイスが全てのデータをスクランブルするまで待つ必要があるので、多少時間がかかる。そのデバイスが全てのデータをスクランブルするまで待つ必要がある。このデバイスはそれ自身で暗号化されるので、あなたが何かを実行する必要はないが、この作業が終了するまで、あなたはこのデバイスを絶対に使用できない。この操作には1時間から数時間かかる。
最後に
我々の日刊ニュースレターにサインアップし、Facebookの我々のページを好み、Twitterでの我々に従うことで、最新のセキュリティニュース、意見、アドバイス、研究の時代遅れにならないようにしなさい。
MozillaはFirefoxとThunderbird中の「フィッシングに友好的」であった暗号法を修正した
Sophos : NakedSecurity (2014/09/25)
以下に重要な問題に関して簡単に記述する!
Mozillaは、NSS暗号法ライブラリ中のバグをパッチした。
NSSはNetwork Security Services(【訳注】SSL/TSL通信機能をはじめとするセキュリティ機能をサーバーアプリケーションやクライアントアプリケーションへ追加するためのライブラリ(窓の杜より))の頭文字であり、Firefox(Webブラウザ)、Thunderbird(メールクライアント)、SeaMonkey(両方)のようなMozilla製品に使用されている。
Firefox法人向け延長サポート版(ESR)を含むこれら全ての製品は、現在パッチされている。
私が知る限り、Google ChromeとChromiumブラウザ並びにOperaもNSSを使用している。
このバグは、TLS接続でのデジタル署名の検証処理を行うものであるために「緊急」に評価されている。
以前の名前であるSSL(Secure Sockets Layer)としても知られるTLS(Transport Layer Security)は、HTTPにSを付ける暗号化プロトコルである。
あなたがHTTPSを使用している時、あなたの機密性だけでなく、整合性(転送中のメッセージを悪い奴らが弄ることを止める)や信頼性(銀行からと主張する悪い奴らを停止する)にも影響を及ぼす。
証明書の検証をしなくても、あなたは簡単に全く安全で、完全に成り済ましている者に対して盗聴不可能な運営を行うことが可能である。
残念なことに、今回パッチされたNSSの脆弱性は、上述した全ての製品のデジタル署名認証に影響を与える。
HTTPSログインを欺く
例えば、あなたの街のコーヒーショップでWi-Fiアクセスポイントをハックした悪漢共は、あなたのあらゆるHTTPSログインを、こっそりフィッシングサイトにリダイレクトできたことを思い出しなさい。
しかしながら、通常、あなたを引きずり込んだインチキのサイト用のデジタル認証を悪漢共は表示できない。
場合によって、悪漢共は暗号化を全く使用していない昔ながらのHTTPに戻ることで完全にデジタル認証の必要性を回避している。
あなたは、ブラウザのアドレスバーのセキュリティ インジケータが存在していないことで、この種の策略に見当を付けることができるはずである。
赤枠の部分。HTTPS認証に関する詳細を見るには、アドレスバー中の緑色のテキストをクリックする。
あるいは、悪漢共は、あなたの銀行からであると主張するTLS認証を表示することができるが、如何なる公認認証機関も、これを裏付けていない。
あなたのブラウザからの「接続の安全性を確認できません」警告によって、あなたはこの種の策略に見当を付けることが可能なはずである。
しかし、暗号法に脆弱性があり、インチキのデジタル認証を正当なものであるかのようにする脆弱性攻撃が存在すると、悪漢共は如何なる警告も発生させない成り済ましのサイトに、あなたをリダイレクトすることが可能になる。
これは、あなたの個人情報(ユーザ名やパスワードを含む)の違法コピーを可能にする。
最新のアップデートを入手する
例えばFirefoxのようなNSSを使用しているソフトウェアを所有しているのであれば、必ず
最新のアップデートを入手しなさい。Mozillaソフトウェアに関しては、以下を意味している(協定世界時、2014-09-24 23:45。日本時間、2014-09-25 12:45現在);
・ Firefox 32.0.3
・ Firefox ESR 24.8.1
・ Firefox ESR 31.1.1
・ Thunderbird 31.1.2
・ Thunderbird 24.8.1
・ SeaMonkey 2.29.1
強調しておくことが役に立つと思われるので、私はOS X上でFirefox 32を使用している。アップデートはダウンロード中にそのサイズを読む間もないくらい僅かなものであった。
アップデートの適用はあっという間であった。パッチのダウンロードに一秒未満、ブラウザのプロセスを再起動するために僅か数秒であった。
私が推奨することは「直ぐにアップデートしよう」である。
赤枠の部分。メニューアイテム「Firefoxについて」は、あなたの現在のFirefoxのバージョンを表示するので、アップデートに関するチェックをしなさい。
Bashのバグは、Heartbleedより大きな脅威になる可能性があるとエキスパートは警告している
The Guardian : News>Technology>Software (2014/09/25)
【訳注、Update】 この問題はマスメディアでは“Shellshock”として報道されています。
Linuxの広範に使用されている部分(Bashとして知られている)に新たに発見されたセキュリティバグは、4月に表面化したHeartbleedのバグよりコンピュータユーザにとって、より大きな脅威になる可能性があると、サイバーセキュリティの専門家は警告している。
Bashは、多くのLinuxコンピュータにおいてコマンドプロンプトを制御するために使用されているソフトウェアである。ハッカーはターゲットにしたシステムの完全な制御を取得すためにBash中のバグを攻撃することができると、セキュリティの専門家は発言している。
Department of Homeland Security’s United States Computer Emergency Readiness Team(US-CERT)は、警告を発表し、LinuxとAppleのMac OS Xを含むUnixベース オペレーティングシステムが、この脆弱性の影響を受けると発言している。
セキュリティ企業Trail of Bitsの最高責任者Dan Guidoによると、Heartbleedは、ハッカーがコンピュータをスパイすることは可能にしたが、コンピュータの制御を取得することは可能にしていなかった。
「この問題を脆弱性攻撃する方法は大変単純である。あなたは一行のコードをカット&ペーストし、良い結果を得ることができる」と彼は発言している。
サイバーセキュリティ企業Rapid7の技術管理者Tod Beardsleyは、このバグは緊急度"10"に評価されている。これは影響力最大ということを意味している。利用の複雑さは「低」に評価されている。これは、ハッカーが攻撃を起動することが比較的簡単であることを意味している。
「この脆弱性を使用することで、攻撃者は、もしかするとオペレーティングシステムを乗っ取ることや、重要な情報にアクセスしたり、変更したりするようなことができるかもしれない。Bashを使用しているシステムを持つあらゆる人は、即座にパッチを適用する必要がある」とBeardsleyは発言している。
US-CERTは、ソフトウェアメーカーからオペレーティングシステムのアップデートを取得するようにコンピュータユーザにアドバイスしている。Red Hatを含むLinuxプロバイダは、既にアップデートを準備しているが、OS X用のアップデートは発表されていない。アップル代表者には連絡がついていない。
Googleのセキュリティ研究者Tavis Ormandyは、このパッチは「不完全」であるかのようであるとTwitterで発言している。Ormandyに連絡を取ることができなかったために詳述することはできないが、何人かのセキュリティエキスパートは、Twitterでの簡単な技術的コメントが、懸念を増大させたと発言している。
「これは、システムがパッチされた場合でさえシステムによっては脆弱性攻撃される可能性があることを意味している」と、セキュリティ ソフトウェア メーカーVeracodeの最高技術責任者Chris Wysopalは発言している。
彼は、企業のセキュリティチームは、脆弱性のあるマシンを発見するために彼等のネットワークを徹底的に探し、それらをパッチすることに水曜日を費やした、そして、それらはパッチが効力がないと判明するしないに拘わらず、攻撃の可能性を緩和するための別の用心を実行したことになるだろうと、発言している。
「全ての者が、インターネットに接続している全てのLinuxマシンにパッチを充てようと争っている。それは、我々が本日Varacodeで実行したことである。複雑なネットワークを持つ大変大きな組織にとって、これを実行することは長時間かかるだろう」と、彼は発言している。
4月に発見されたHeartbleedは、OpenSSLと呼ばれるオープンソース 暗号化ソフトウェア中のバグである。このバグは、OpenSSLが全Webサイトの2/3で使用されているために、数百万の人々のデータを危険に晒した。このバグはまた、OpenSSLを使用する数百の製品に対するセキュリティパッチをリリースすることを数十のテクノロジ企業に強制した
Bashは、非営利団体Free Software Foundationによって作成されたShellである(もしくは、コマンドプロンプト ソフトウェア)。このグループ当局者は、コメントを発表するまでに至っていない。
身代金要求マルウェア(ランサムウェア)TorrentLockerが暗号化を強化した
BleepingComputer : News (2014/09/18)
【訳者より】 内容がセキュリティ研究者や開発者向けに記述されていますので、概要を簡単にまとめておきます。
身代金要求マルウェア(ランサムウェア)TorrentLockerの復号化ソフトが開発され一般に利用可能になったことは、「身代金要求マルウェア(ランサムウェア)TorrentLockerがクラックされ、復号化ソフトが作成された」として和訳しておきました。この中で、一部のセキュリティ研究者が、同様に復号する方法を発見しそれをブログにポストし修正のヒントまで与えてしまったことが報告されています。
このようなマルウェア製作者にヒントを与えるという愚かな行為により、TorrentLockerの製作者は、TorrentLockerの暗号化を強化してしまいました。従って、TorrentLockerの新しいバージョンに感染された方は、Nathan ScottのTorrentLocker decryptionツールで、暗号化されたファイルを復号することはできなくなりました。Nathan ScottのTorrentLocker decryptionツールで復号できるのはTorrentLockerの今迄のバージョンに感染された方のみです。
Adobe Acrobat ReaderとAcrobatに緊急のアップデート
Krebs On Security : News (2014/09/17)
Adobeは、MacとWindows版のAcrobatとPDF Readerに関し、少なくとも8つの緊急の脆弱性を修正するセキュリティアップデートをリリースした。あなたが何方かのプログラムを使用しているのであれば、今アップデートするための時間を取りなさい。
ユーザは、ヘルプ>アップデートの有無をチェック でアップデートを手動でチェックできる。Windows版Adobe Readerのユーザは、
こちらから最新のバージョンを入手することができる。
Macユーザはこちら。
Adobeは、このアップデートで解決される如何なるフローもオンライン上での攻撃を確認していないと発言している。このパッチに関する詳細な情報に関しては、
こちらのリンクから利用可能である。
Adobe Readerの軽量で無料の代替物を探している人々に関しては、
Sumatra PDFをチェックしなさい。
Foxit Readerは、もう一つの人気ある代替物であるが、此処数年で軽量とは言えなくなってきているようである。
このKindle eBookをダウンロードすると、Amazonアカウントクッキーを盗まれる
HOTforSecurity : News (2014/09/16)
セキュリティ研究者はAmazon Webサイト上に、Kindleユーザーにリスクをもたらすであろう厄介なフローと思われるようなものを報告している。
Benjamin Daniel Musslerは、AmazonのWebベースのKindle Library上のサービス“Manage Your Content and Devices”(コンテンツ及びデバイスを管理)と“Manage Your Kindle”(端末の管理)にクロスサイトスクリプト(XSS、【訳注】 保安上の弱点(脆弱性)のあるWebサイトを踏み台に、悪意のあるプログラムをそのサイトの訪問者に送り込む手法。また、そのような攻撃に利用される脆弱性のこと(IT用語辞典より))攻撃に対する脆弱性が存在していると主張している。この攻撃はブービートラップされたeBookのタイトルによって行われている。
Kindleユーザをターゲットにしたい者は、特別に細工されたタイトルのeBookを作成することによって、彼らの攻撃に取り組んでいる。
<script src=”https://www.example.org/script.js”></script>
ブービートラップされたeBookが、もくろんだ犠牲者のライブラリに追加されると、Kindle LibraryのWebページが開かれたとき、このコードは自動的に実行される。
Musslerによると、これは、「Amazonアカウント クッキーがアクセスされ、攻撃者に対して転送される。そして、犠牲者のAmazonアカウントは損なわれる」ことを意味している。
良いニュースとしては、提供しているAmazonが目を見開いているので、あなたが、公式のKindle eBookストアで、悪意で細工されたタイトルのeBookを見つける可能性は殆んどないことである。代わりに、あなたがその脆弱性の犠牲者となる可能性のある唯一の現実的チャンスは、海賊版のeBookを危険なソースからダウンロードし、リーダーをそれらにアクセス可能にするためにAmazonの“Send to Kindle”(Kindleに送る)サービスを使用した場合である。
しかしながら、悪いニュースとして、Musslerはクッキーを入手し、それを彼に送信した脆弱性の証明を実行するeBookの例と共に2013年11月頃、Amazonにこの脆弱性の最初の通知をしたと発言していることである。Amazon技術陣は、4日の内にこのフローを修正した。多くの人々は適切な対応であったと考えただろうし、その仕事はキチンとしていた。しかし、この物語には続きがある。
Musslerがショックを受けたことは、殆ど同じ脆弱性が、凡そ2ヶ月前に導入され、現時点で修正されないまま残っていることにある。Musslerは、このセキュリティホールが再発生していることをAmazonに通知したが、Amazonからの音沙汰は無い。
これを理由として、Musslerは彼が発見したことを公開することを決定し、誰かがこの脆弱性を再現できるように、彼のWebサイト上に事例のコードさえ公開している。
あなたが脆弱性の公開が正しいアプローチであると考えるか否かは、意見の分かれる問題である。しかしながら、明らかなことが一つある。Amazonは、このセキュリティホールを修正する必要があり、たとえ、それが少数のKindleユーザにリスクがあるだけだとしても、永続的に修正する必要がある。
その間、Kindleユーザは公式サイトからeBookを取得するようにアドバイスされているだろうか? 安全な場所に存在するようにしなさい。
身代金要求マルウェア(ランサムウェア)TorrentLockerがクラックされ、復号化ソフトが作成された
BleepingComputer : News (2014/09/13)
TorrentLocker Analysisではなく復号化ソフトを探している訪問者は、このサイトの下部で復号化ソフトに関する記載を読み、ダウンロードすることができる、もしくは、
こちらからダウンロードできる。
2014年08月12日、CryptoLockerの犠牲者と称する人から私宛に新しいサンプルが送られてきた。この .exe を稼働し素早く解析したところ、私は新しい暗号化身代金要求ソフトであることを発見した。この感染はCryptoLockerであると称しているが、Cryptowallの誘拐ファイルフォーマットを使用していた。私は、この背後にある理由が、クラック不可能とされるこれら二つのランサムウェアに感染したとして犠牲者に恐怖を与えることであると推測している。最初の暗号化感染のサンプルを入手し、私の通常のチェックを実行した後、私は普通のものとは異なる方法で始めた。私は、このサンプルに書き込み禁止ルールを作成し、その後に、この感染が使用している可能性のある強固な暗号化方式を、最初は常に簡単なものから解析することを試みた。これは最初にMD5, SHA-1, RC2, RC4, XOR, Bit Shift, そして他の低レベル暗号化方式をテストすることを意味している(私が大変長い時間を費やしたCryptorbitsが単純な暗号化であったために、私はこれを実行することから始めた)。
このリストに沿って実行していき、XORを実行した時に私の顎は床に向かって落ちていった。この感染のウィルス作成者は、単純なXORアルゴリズムを使用していた。私は暗号化されたファイルを手に入れ、そのバイトを適切なファイルのバイトとXORすることによって、これを発見した。この感染はファイルの冒頭2MBを暗号化しているだけなので複数の0が発生した。2MBキーを取得し、別の暗号化されたファイルとこのキーをXORすると、復号に成功した。
これが単純なミスであることを確認し、これを解析した後、このウィルス作成者は、この問題を簡単に修正できるので、私は、このことを秘密に保持し、それが動作する方法を公開することなく犠牲者のために公的なアプリケーションを作成する必要があることを認識していた。直近の数週間、私は犠牲者のために復号化アプリケーションの作成に時間を掛けたが、数人のブロガーは、同じように考えていなかったようである。
2日前、
Digital-forensics Blogもまた、この情報を発見した後"mistake on the malware author's part"ととして投稿することを決定した、そして、このミスが存在することを詳細に説明することを継続し、このウィルス作成者に幾つかの指針さえ与えた。彼等が実行しなかった唯一のことは、彼がミスを犯したことをこのウィルス作成者に警告したにもかかわらず、その犠牲者に彼等のファイルを復号化するための方法をポストしなかったことである。
それ以来、この話はグルグル周り、複数のブログにポストされた。このウィルス作成者が知らなかったのであれば、彼が既に認識していることは殆ど間違いない。
TorrentLockerの詳細
この感染に関してもう少し詳細に、この感染が起動した時、Explorerの新しいインスタンスにそれ自身を注入し、全ての論理ドライバをクエリーし、以下の拡張子を持っていることを発見したら各ファイルを暗号化し、末尾に .Encrypted を追加するために各ドライブをループする。
TorrentLockerの影響を受ける拡張子
*.wb2,*.psd,*.p7c,*.p7b,*.p12,*.pfx,*.pem,*.crt,*.cer,*.der,*.pl,*.py,*.lua,*.css,*.js,*.asp,*.php,*.incpas,
*.asm,*.hpp,*.h,*.cpp,*.c,*.7z,*.zip,*.rar,*.drf,*.blend,*.apj,*.3ds,*.dwg,*.sda,*.ps,*.pat,*.fxg,*.fhd,*.fh,
*.dxb,*.drw,*.design,*.ddrw,*.ddoc,*.dcs,*.csl,*.csh,*.cpi,*.cgm,*.cdx,*.cdrw,*.cdr6,*.cdr5,*.cdr4,*.cdr3,
*.cdr,*.awg,*.ait,*.ai,*.agd1,*.ycbcra,*.x3f,*.stx,*.st8,*.st7,*.st6,*.st5,*.st4,*.srw,*.srf,*.sr2,*.sd1,
*.sd0,*.rwz,*.rwl,*.rw2,*.raw,*.raf,*.ra2,*.ptx,*.pef,*.pcd,*.orf,*.nwb,*.nrw,*.nop,*.nef,*.ndd,*.mrw,*.mos,
*.mfw,*.mef,*.mdc,*.kdc,*.kc2,*.iiq,*.gry,*.grey,*.gray,*.fpx,*.fff,*.exf,*.erf,*.dng,*.dcr,*.dc2,*.crw,
*.craw,*.cr2,*.cmt,*.cib,*.ce2,*.ce1,*.arw,*.3pr,*.3fr,*.mpg,*.jpeg,*.jpg,*.mdb,*.sqlitedb,*.sqlite3,*.sqlite,
*.sql,*.sdf,*.sav,*.sas7bdat,*.s3db,*.rdb,*.psafe3,*.nyf,*.nx2,*.nx1,*.nsh,*.nsg,*.nsf,*.nsd,*.ns4,*.ns3,
*.ns2,*.myd,*.kpdx,*.kdbx,*.idx,*.ibz,*.ibd,*.fdb,*.erbsql,*.db3,*.dbf,*.dbjournal,*.db,*.cls,*.bdb,*.al,
*.adb,*.backupdb,*.bik,*.backup,*.bak,*.bkp,*.moneywell,*.mmw,*.ibank,*.hbk,*.ffd,*.dgc,*.ddd,*.dac,*.cfp,
*.cdf,*.bpw,*.bgt,*.acr,*.ac2,*.ab4,*.djvu,*.pdf,*.sxm,*.odf,*.std,*.sxd,*.otg,*.sti,*.sxi,*.otp,*.odg,*.odp,
*.stc,*.sxc,*.ots,*.ods,*.sxg,*.stw,*.sxw,*.odm,*.oth,*.ott,*.odt,*.odb,*.csv,*.rtf,*.accdr,*.accdt,*.accde,
*.accdb,*.sldm,*.sldx,*.ppsm,*.ppsx,*.ppam,*.potm,*.potx,*.pptm,*.pptx,*.pps,*.pot,*.ppt,*.xlw,*.xll,*.xlam,
*.xla,*.xlsb,*.xltm,*.xltx,*.xlsm,*.xlsx,*.xlm,*.xlt,*.xls,*.xml,*.dotm,*.dotx,*.docm,*.docx,*.dot,*.doc,*.txt
このウィルスのインポートテーブルは以下で構成される: NTDLL.DLL, SHLWAPI.DLL, WININET.DLL, CRYPT32.DLL, MAPI32.DLL, KERNEL32.DLL, USER32.DLL, ADVAPI32.DLL, SHELL32.DLL, OLE32.DLL, OLEAUT32.DLL。このウィルスは、
LibTomと名付けられた暗号化に力を貸すオープンソースのLibを実際に使用している。ブロガーの多くは、ウィルス作成者がXORキーを生成するためにAESあるいは、他の高度な暗号化を使用していたと考えているようであり、XORを使用する前に、そのキーを高度な暗号化と共に使われていたことを忘れているか無視しているかのようである。しかし、このコードは、そうでないことを証明している。この制作者は、2MBのキーストリームを生成するために32バイト シードを単純に使用し、そのファイルをXORするために使用されている。このように単純である。
ファイルリスト
C:¥Windows¥.exe - 感染EXEの複製物
*¥DECRYPT_INSTRUCTIONS.HTML - 脅迫文(あらゆる暗号化されたフォルダ中にドロップされる)
%ProgramData%¥¥ - 感染用の一時ファイル(拡張子なし)
レジストリリスト
HKCU¥Software¥¥01000000 - 感染の16進数
HKCU¥Software¥¥02000000 - 感染EXEへのパス
HKCU¥Software¥¥03000000 - 感染用UID
HKCU¥Software¥¥04000000 - 16進数でのHTMLドキュメント
HKCU¥Software¥¥05000000 - 感染したファイルの数
C&C(【訳注】 マルウェアに感染してボットと化した コンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となる サーバー)リスト
Https://server38.info/gate.php
注意: そのC&Cサーバーに接続した場合にのみ、この感染はコンピュータに感染することを述べておくこともまた重要である。
TorrentLocker復号化ツール
TorrentUnlocker(TorrentLocker復号化ツール)をダウンロードするには、以下のリンクを使用しなさい。
TorrentLocker De-Ransomware V1.0.5.0(【訳注】 直リンク)
このファイル(TorrentUnlocker.exe)をダウンロードしたら、TorrentUnlocker.exeプログラムを起動しなさい。これは上図のようなメインウィンドウを開く、その後は指示に従いなさい。
TorrentUnlockerで何らかの支援が必要であれば、私にメッセージしなさい。メッセージはこちらまで
Nathan (DecrypterFixer)(【訳注】 このリンクをクリックしてもBleepingComputerの所定のフォーラムに入ることはできません。先にメンバー登録しログインする必要があります)
これは、TorrentUnlocker De-Ransomware(TorrentLockerの誘拐を停止するツール)のバージョン1.0.5.0である。このソフトウェアはTorrentLockerによって影響を受けたファイルを復号化するためにあなたを支援するだろう。しかし問題もある。このDecrypter(復号化ツール)を使用するには、少なくとも2MBある暗号化されたファイルのオリジナルを持っていなければならない。私がこの感染に攻撃された時、私のローカルコンピュータ上に、私は感染ファイルのコピーを持っていた。このアプリケーションを使用するために、私が必要とした全てのことは、私のコンピュータ上の"Family.jpg"と"Family.jpg.encrypted"であった。
このアプリケーションは、.NET 4.0を要求するが、これは内部にパックされている。あなたが、.NET 4.0を持っていなくとも、このアプリケーションは、あなたに代わってそれをインストールするだろう。更に重要なことは、このアプリケーションは、TorrentLockerキーを作成し、そのキーを正しいファイルに与えるためにあなたを信頼していることにある。これは、あなたが指定を間違えたなら、このアプリケーションも失敗することを意味している。そこで最初に、このアプリケーションを暗号化されたファイルのコピーの付属するフォルダ上で実行することが常に推奨される。全てが間違いないことを確認したなら、あなたはドライブ全体選択することが可能になる。
* このアプリケーションは、あなたのファイルの復号を易しくし滑らかな進行を支援するステップ・バイ・ステップ ガイド矢印を持っている。あなたが次のステップが分からなくなったとしても、単純に次のステップを指し示す点滅している矢印を探しなさい。
新しいバージョンがもう直リリースされる、これは更に犠牲者を支援する以下の機能を搭載している
・ リサイズする機能
・ 4MBを超えるファイルのサポート
・ 自動的に正しいキーを検出する
最後まで読んでもらったことに感謝する。
スパマーはメール フィルタリングを回避するために左右、上下逆転で文字を記述している
The Register : Security (2014/09/12)
セキュリティ研究者Brian Bebeauが見つけたところによると、スパマーは今迄のスパムフィルターを潜り抜けるためにE-mailを逆向きに書いている。
この毒物は、bi-directionテキスト(【訳注】 左横書きと右横書きの混在文書(CyberLibrarianより))の使用を促進することを目的としたLeft-To-Right Override(【訳注】 Unicodeの双方向アルゴリスムを無効化し、文字方向を左から右へと上書きする(CyberLibrarianより))コードを使用していた。
このTrustwaveの研究者は、この戦術が今までのスパムフィルターをすり抜ける十分な可能性を持っていたと発言している。
「(詐欺師達は)スパムコンテンツ・フィルタをバイパスすることを目的としてE-Mailの文書を逆転するために、左から右へ表記するコードを使用している」とBebeauは
記している。
「コンテンツフィルタの中には'Dear customer'のような一般的なフレーズをチェックするものもあるが、それらは決して逆向きに記述されたテキストを探すことはない。」
「同様に、'woleb knil eht no kcilc'は、'click on the link below'のように多分一度見ただけでは分からないだろう。」
詐欺師達は、拡張子を難読化し今迄のマルウェアスキャナを滑り抜けるために、この戦術をファイル名にも適用している。これは、PAYLOADcod.exeが、'PAYLOADexe.doc'のようになることを意味している。
「Wordドキュメントを読む代わりに、あなたはマルウェアをインストールするだろう」と、Bebeauは発言している。
スパマーは、今迄のメールフィルタをすり抜け、ソーシャルメディアを介して商品を急速に増殖させるための多くの策略を用いてきた。Virus Totalは、このようなトリックの多くをリストした
Spammer's Compendium(スパマーの大要)を維持している。
この戦術の多くは、E-Mailアドレスの膨大なキャッシュが漏洩の結果としてWeb上で表面化した時に使用されている。スパミングから生成された金銭は、サイバー犯罪捜査を大きくし連係を円滑にした。
凡そ500万のGoogleアカウントがロシアのBitcoinフォーラムでリークされた
Bleeping Computer : News (2014/09/10)
火曜日(09月09日)、凡そ500万のGoogleアカウントと、そのパスワードがRussian Bitcoin Securityフォーラム(
btcsec.com)にリークされた。tvskitと名乗るこのフォーラムのユーザは、リークされたアカウントを含む
トピックを作成し、アカウントの凡そ60%は未だに有効であると発言している。この時点で、Googleは、このリークが正当なものであるか否か確認していなかったし、この情報は数年前の古いリークの編集物であると報告されていた。
リークされたファイルの編集されたバージョンのパスワードは、/netsec/ subreddit にポスト(【訳注】 スレッドの内容全てが削除されているため、 この投稿へのリンクは貼りません)された。これは、あなたのアカウントがリークされたものの中に存在しているかどうか確認するために使用することができる。/netsec/ の大勢の人々は、彼等のアカウントと対応するパスワードが、このリークの中にリストされていることを確認している。
あなたは、安全のためにGoogleアカウントとパスワードを変更することが強く推奨されている。あなたが他のサイトでも同じE-mailとパスワードを使用しているのであれば、同様に、そのサイトでもアカウントとパスワードを変更すべきである。
CryptoGraphic Locker: 新しいファイル暗号化ランサムウェア(身代金要求ソフト)
Bleeping Computer : News (2014/09/03)
CryptoGraphic Lockerと呼ばれる、新たなファイル暗号化ランサムウェア(身代金要求ソフト)がBartBlaze(【訳注】 Pandaのセキュリティ研究者)によって本日発見された。他の暗号化ランサムウェアのように、この感染は、あなたのデータファイルをスキャンし、それらを暗号化するので、それらのファイルは使用できなくなる。この感染は次に、ファイルを復号化するための復号化キーを購入するように要求する脅迫文を表示する。この復号化キー購入の最初のコストは、0.2ビットコイン(もしくは同等額の$100(約10,000円))である。この金額は、我々が長い間見てきたなかでは格安の身代金である。この身代金は少額からスタートするが、このアプリケーションに組み込まれている24時間タイマーが、0を打つ毎に身代金は増額される。
CryptoGraphic Lockerに感染すると、このアプリケーションは、あなたがWindowsにログインした時、自分自身を起動するように設定する。次に、ドライブ上のデータファイルをスキャンし、AES暗号化(【訳注】 米国商務省標準技術局(NIST)によって制定された、米国政府の新世代標準暗号化方式(e-Wordsより))を使用して新しい暗号化されたデータファイルのコピーを作成し、古いものを削除する。これらのファイルは拡張子 .clf を持つようにリネームされる。全ての暗号化されたファイルのリストは、%Temp%¥CryptoLockerFileList.txt(【訳注】 環境変数:%Temp%は、C:¥Windows¥TEMPを意味します) ファイルに格納される。CryptoGraphic Lockerがターゲットにしているデータファイルは以下である。
.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2,.dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .lnk, .der, .cer, .crt, .pem, .pfx,.p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt
この感染は、あなたのデータファイルの暗号化を終了すると、あなたが身代金を支払い、ファイルを復号する方法を説明する脅迫画面を表示する。最近リリースされた他のファイル暗号化ランサムウェアと異なり、このマルウェア アプリケーションそれ自体が、身代金の支払いの実行、ファイル復号化キーの受け取り、ファイル復号化のためのキー入力等を可能にしている。以下のアプリケーションが起動しているなら、この感染が稼働している間に、CryptoGraphic Lockerは、これらのアプリケーションを終了する。Process Hacker, MalwareBytes, Spyhunter, Msconfig, Task Manager(タスクマネージャ), Registry Editor(レジストリエディタ), System Restore(システムの復元), Process Explorer(プロセスエクスプローラ)。
大事なことを言い忘れていたが、この感染はWindowsデスクトップの背景を以下に示した背景に変更する。驚いたことに、この壁紙には、このアプリケーションウィンドウ中に使用しているCryptoGraphic Lockerの名前の代わりにCryptoLockerの名前が使用されている。
現時点でCommand & Controlサーバ(【訳注】 マルウェアに感染してボットと化した コンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となる サーバーのこと(IT用語辞典Binaryより))がダウンしているので、身代金を支払う方法はない。けれども、感染者への幾つかの良いニュースがある。このランサムウェアは、安全な削除方法を使用してファイルを削除していないし、あなたの復元ポイントを消し去ってもいない。従って、一旦削除されたファイルを復元するためにファイル復元ツールを使用することができるし、Shadow Volume Copiesからファイルを復元するためにShadow Explorerのようなプログラムを使用することもできる。Shadow Volume Copiesを使用してファイルを復元する方法に関する情報は、CryptoLockerガイド中に見つけることができる。
このマルウェアに関する錠を提供してくれた BartBlaze, Decrypterfixer, Cody Johnstonに感謝する。
追加されたファイルと変更されたレジストリは以下である。( /// は単なる分割目的です)
%Temp%¥CryptoLockerFileList.txt
%Temp%¥wallpaper.jpg
<Path to Dropper>¥<random.exe
HKCU¥Control Panel¥Desktop¥Wallpaper /// "C:¥Users¥User¥AppData¥Local¥Temp¥wallpaper.jpg"(変更される前の値 value="")
HKCU¥Control Panel¥Desktop¥WallpaperStyle /// "1"(変更される前の値 value="10")
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥CLock
インターネット上に、新たなCryptoLockerの物真似ランサムウェア(身代金要求ソフト)
Bleeping Computer : News (2014/09/02)
新たなファイル暗号化身代金要求ソフトが、忌まわしいCryptoLockerの名前でリリースされた。この感染は、2013年にリリースされたCryptoLockerランサムウェアと同じ名前を使用しているが、CryptoLockerと同じ感染でもなく、同じ開発者によて作成されたものでもないということに注意すべきである。インストールされると、この新たなCryptoLockerランサムウェアは、あなたのデータファイルの全てを暗号化し、.encrypted 拡張子付きで、それらのファイルをリネームする。このランサムウェアは、次にあなたのファイルのデクリプタ(復号用の道具)を購入する方法に関する脅迫文を表示する。この感染は、デクリプタをダウンロードして入手するために1.8ビットコイン(BTC)の身代金を要求する。この特別な感染では、彼等は、USD(米ドル)ではなくAUD(豪ドル)での交換レートをポストしている。このことは、彼等がオーストラリア在住者をターゲットにしていることを意味している。
脅迫文中のリンクをクリックすると、デクリプタを購入する方法が案内されているCryptoLocker Decryption Softwareのサイトに連れて行かれる。他の感染同様、このサイトは、特別なアドレスに指定の量のビットコインを送信することを要求してくる。次に、支払いを確認するためのトランザクションIDを入力することを要求してくる。一旦、支払いが成立すると、あなたがファイルを復号するためにダウンロードできる復号プログラムを提供される。この復号サイトは、感染者へのサポートフォーム(FAQ、無料で一つのファイルを復号する機能)も提供している。
この時点で、身代金は1.8ビットコインである。これは、1000AUD(約98,000円)に相当する。不思議なことに、この感染は支払いを受け取るために静的ビットコイン アドレス13qm2ezhWSHWzMsGcxtKDhKNnchfP5Sp3Xを使用している。このアドレスは現在、このアドレスに送信された身代金が5.39ビットコインであることを表示している
他のランサムウェア復号サービスと異なり、このサイトはURL中に入力されたユーザIDで、あなたを同定していない。代わりに、あなたが感染させられた時、クッキーが、あなた用の一意の識別子を含むPHPSESSIDとラベルされたものを、あなたのブラウザ中に格納する。あなたが身代金要求サイトを訪問した時、このクッキーは自動的に取得され、このサイトに送信される。これは、あなた特有の感染子を識別することを可能にする。従って、あなたがこのマルウェアに感染し、誘拐犯に金銭を支払うことを決めたなら、あなたのブラウザ クッキーを削除してしまう可能性のある如何なるプログラムも使用しないようにしなさい。
有難いことに、この変種はShadow Volume Copiesを削除しない。このことは、Shadow Volume Copiesを使用して、あなたのファイルの幾つかを修復することが可能である。Shadow Explorerを使用して、Shadow Volume Copiesからファイルを復元するための方法に関する情報は、オリジナルの
CriptLockerガイド中に発見することができる。
この感染を削除するには、以下のファイルとレジストリキーを削除する必要がある。
C:¥ProgramData¥.exe
C:¥ProgramData¥.html
C:¥Users¥All Users¥.exe
C:¥Users¥All Users¥.html
C:¥Users¥User¥AppData¥Local¥Temp¥etilqs_qZAdaD7Y2gtuzMi
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥ C:¥ProgramData¥.exe
Microsoftの最新のWindowsアップデートは、また激しく躓いている
The PC Informant : Blog (2014/08/28)
月例のWindowsアップデートとパッチの8月バージョンは、完全な失敗に帰結した。システムによっては最初のリリースによって固まってしまった、そこで、Microsoftは完全に撤退させなければならなかった。次に、二回目のバージョンがリリースされた(【訳注】 08/28リリースされたMS14-045 (重要)、Windows 用の更新プログラム2993651)が、これもバグを持っている。この段階で、この問題が解決されるまで、あらゆる8月のアップデートのインストールは回避することが賢明であるように思われる。残念なことに、Microsoftは、発生していることに関して率直とは言い難い。事実、Microsoftは、間違ったことを行っていると認識していないのか、もしくは、それを絶対に認めようとしていないかのようである。Web上には山のような失敗させられた解説が存在している。
ZDNet
Microsoftの開発者にとって悪い月であったのみならず、通信機械も行き詰っていた(【訳注】 Windows Updateからダウンロードできないトラブル)。Microsoftは、アップデート問題を論じる幾つかのブログ(とりわけ、MSRC (Microsoft Security Response Center)ブログ)で巨大なコレクションを持つことになった。過去においてもアップデート問題は存在していた。そして、Microsoftは、ブログでは、これらの問題について何方かといえば率直であった。しかし、最近のアップデートでのトラブルに関する議論は、束の間のものであり、おざなりであり、紛らわしいものである。そして、Microsoftは、考えられている以上にきまり悪がっているかのようである。
InfoWorldは、もっとシビアである。
Microsoftの基準で判断してさえ、今月のブサイクな暗黒の火曜日のWindows 7/8/8.1用のMS14-045パッチは過去最低のものであった。オリジナルのパッチ (KB 2982791)は、今や公式に「失効」した。そして、全く別物のパッチ(KB 2993651、【訳注】日本では8月28日にリリースされた)が代わりに提供された。古いパッチ(失効したパッチ(2982791))が存在している場合は、新たな問題が発生すること; 数日間、自動アップデートで実行された古いパッチは手動でアンインストールすることが「強く」推奨されること; Windows 9の期待されている急速アップデートをサポートするためのMicrosoftの能力に関する深刻な疑問を提起する腹立たしい公式見解が辛うじて説明されている。
私はMicrosoftのパッチの適用事故を10年以上に渡り説明してきた。そして、私は一つだけ質問をした:「この問題の責任者は誰だ?」
月例のWindowsアップデートは多くのWindowsユーザにとって本当の問題になった。ブサイクなアップデートは新しいことではない。既に昨年も、私は
Microsoftのアップデートに関するトラブルをポストした。私は、
Chromebooksが多くの平均的なPCユーザにとって、より良いものであろうと考える。
盗まれた2億2200万のレコード、巨大な韓国のデータ漏洩で16人が逮捕された
Sophos : NakedSecurity (2014/08/26)
韓国当局は、5000万韓国国民の半数を超える国民に影響を及ぼしていた巨大なデータ漏洩を明らかにした。
ハッカーのグループは、15歳から65歳までの2700万人に関する個人を特定できる情報を含む2.2億のレコードを危険に晒した。
この漏洩は、幾つかのオンラインゲームと映画のチケットサイトからデータを盗んだことで16人が逮捕された後に明るみに出た。
盗まれたレコードは、実名、アカウント名、パスワード、住民登録番号を含んでいる。
警察発表によると、留置された16人の内の1人("Kim"として知られる)が、彼が2011年にオンラインゲームを介して知り合った中国のハッカーから2.2億のレコードを手に入れたと語っている。
地元当局は、Kimが漏洩されたオンラインゲームアカウントに自動的にログインし、ゲーム貨幣を盗んでいたとしている。伝えられるところによると、彼はこのゲーム貨幣を現金に交換していた。
伝えられるところによると、警察は、Kimが韓国の全部で6つのオンラインゲームをハックし、4億ウオン(約4000万円)盗んでいたと考えている。彼は中国人の仲間に1.3億ウオン(約1300万円)与え、残りは彼の取り分であったと伝えられている。
当局はまた、Kimがサードパーティに個人情報を販売していたと疑っている。
彼は、個人記録を住宅ローン詐欺師達に僅か10ウオン(約1円)で交換し、並びに、違法ギャンブル広告主達に各300ウオン(約30円)で交換していたと言われている。
警察によると、様々な詐欺師達の餌食になった数百人の人々と、それらの二次被害のトータルコストは、20億ウオン(約2億円)と見積もられている。
漏洩の規模にも拘わらず、これは韓国を揺るがした最大の問題ではない。
2011年に、ハッカーはNateとCyworldのWebサイトに侵入し、その後、3500万ユーザの名前、E-Mailアドレス、電話番号、住民登録番号を盗みだした。
更に、規制当局は、三つのカード会社に罰金を科し、2000万の顧客がIT請負業者によってデータを盗まれた後、2月に彼等のカード発行権を剥奪した。
更に、3月、韓国政府は、通信会社KT Corpから1200万人の名前、住民登録番号、銀行口座の詳細を損害に導く別の漏洩を調査していたとアナウンスした。
この明るみにでた最近のオペレーションは、2012年9月から2013年11月の間に実行されたと考えられている。
他の15人の容疑者は、盗み出された情報を不法に配布していたとの事由で逮捕された。警察は、伝えられるところによれば、数百万のレコードへのアクセスをKimに与えたハッカーを含む他の7人の被疑者について捜査を継続中である。
Synolockerマルウェア犯罪者に騙されるな、F-SecureのPythonツールを試しなさい
The Register : Security (2014/08/23)
セキュリティ企業F-Secureは、Synolockerマルウェア(犯罪者から復号化キーを購入することを仮定している)によって暗号化されたデータを復号するツールをリリースした。
SynolockerはSynology(シノロジー)によって作成されたNASデバイス(【訳注】 ネットワーク接続ストレージ)を攻撃する身代金要求ソフト(ランサムウェア)である。このソフトによって感染させられた犠牲者は、彼等のデータが暗号化されていることを発見することになる。そして、復号キーを購入するための招待状を受け取る事になる。
F-Secureは本日、「我々はあなたがオンライン犯罪者に身代金を絶対に払うべきではないと思っている」と
記述している。更に、暗号化されたファイルを救出するために、犯罪者のSynolockerの復号キーを発見するために動作するツールをリリースした。
F-Secureの投稿は、「SynoLockerの背後にいる犯罪者達は、インチキの約束をしていた」と、そして、「我々が観察してきた多くの場合において、この復号プロセスは実際には動作しない、あるいは、犯罪者によって提供される復号キーは不正なものである」と発言している。支払いは危険であるだけでなく、この犯罪者を助長することになる。あなたが絶対的に復号キーを必要とし、復号を実行しなければならないのであれば、この新しいツールは、その全てに関して役に立つことができる。
「我々の復号ツールのもう一つの使用方法は、犠牲者が身代金を支払ったが、感染したデバイスからSynoLockerマルウェアを削除してしまって、復号キーが使用できなくなった状況の時である」とF-SecureのArtturi Lehtio(正しくは、oにウムラウト)は記述している「このマルウェアであなたのデバイスを再感染させる(これは悪い考えである)代わりに、あなたはファイルを復号するために、我々のスクリプトと一緒にそのキーを使用することが可能である。」
この二つは、F-Secureが、身代金を支払う考えに眉を顰めつつも、苦しんでいる者に手を差し伸べる価値があると感じているということである。
Synolockerの犠牲者は、このフリーのツールに興奮したくないかもしれないが、これは、平均的なユーザでは、どのようにすれば利用できるのかを即座に見いだせないかもしれない
Pythonスクリプトである。あなたがそうであるのなら、ここに初心者用の
Pythonをインストールするガイドと、
F-Secureのコードを動作させるために必要な
pycryptoツールキットがある。
今月のMicrosoftのパッチでBSOD発生問題の解決策
Microsoft : Suport (2014/08/18)
カーネル モード ドライバー用のセキュリティ更新プログラムの MS14-045: 説明:
機械翻訳ですが、解決策がMicrosoftから提示されています。大変面倒なものですので根気よく対応してください。
また、MakeUseOfが、
When Windows Update Fails, This Is How You Fix Itとして、様々な解決策をまとめています。英文です。
今月のMicrosoftのパッチでBSOD(死のブルースクリーン)発生
InfoWorld : Blog (2014/08/14)
二つのMicrosoftのカーネルモードドライバのアップデートが、WindowsシステムでBSODエラーメッセージの引き金になっている。
現時点で詳細は、はっきりしていないが、今週の暗黒の火曜日(【訳注】 Microsoftの月例パッチが毎月第二火曜日にリリースされることに由来する皮肉)の収穫物の内の三つのパッチが、システムによってはStop 0x50エラーのブルースクリーンを発生させているかのようである。あなたにBSODが発生したなら、あなたは、この問題に関する
Microsoft Answers Forumのスレッドに、あなたの状態を追加することによって、この問題の診断(多分、Microsoftが解決策を発見するための刺激になる)を希望することができる。
疑わしいカーネルモード ドライバのアップデートは全く珍しいものではない。今や、Microsoftは多くのカーネルモードドライバをリリースしているので、問題はより頻繁に発生しているかのようである。
今回の場合、二つの
MS14-045/KB 2984615カーネルモードドライバのパッチ(KB2976897、KB2982791)が、ブルースクリーン ストップ 0x50メッセージの引金になっていると暗示されている。不思議なことに、Win 8.xとWin7に公式の通貨記号としてロシア・ルーブルを追加するWindows 8.1 "
Update 2"の修正(
KB 2970228)もまた、この問題を発生させているようである。
現時点で、原因の可能性に関する説明は存在していないが、彼等のオペレーティングシステムが64bit版Windows7であると同定している人々がいる。
今週の暗黒の火曜日のパッチをインストールした後、ブルースクリーンが発生したのであれば、Microsoft Answers Forumに立ち寄り、大声をあげなさい。
【訳者追加】 その他に、Outlook 2013アップデート(KB2881011)が、アーカイブフォルダを開くことを妨げている場合があり、Micorosoftは、ユーザに
このアップデートをアンインストールするように推奨しています。
緊急! Adobeのユーザは、0−Day攻撃に対抗するためにReaderとAcrobatをパッチしなさい
Lumension : Blog (2014/08/13)
Adobeは、悪意あるハッカーが深刻な0−Dayの脆弱性に対して標的型攻撃を実行していたことを発見した後、緊急事項としてAdobe ReaderとAcrobatをアップデートするようにユーザに警告した。
Adobeによれば、Adobeは、オンラインでのこの脆弱性の悪用が、Windows上のAdobe Readerのユーザをターゲットにした限定的・個別的なものであることを示唆する証拠を把握している。
AcrobatとReaderのMac版は、リスクは存在しないと発言している。
脆弱性攻撃された場合、CVE-2014-0546は、攻撃者にサンドボックスをバイパスし標的になっているWindows PCの権限を昇格させ悪意あるコードを実行することを許すことになる。
同時に、Adobeは
セキュリティ ブレチンをリリースし、できうる限り早急に当該ソフトウェアをアップデートするようユーザに推奨している。
・ Windows版Adobe Reader XI (11.0.07)とそれ以前のバージョンの使用者は、バージョン11.0.08にアップデートしなさい。
・ Windows版Adobe Reader X(10.1.10)とそれ以前のバージョンの使用者は、バージョン11.0.08にアップデートできないので、Adobeは、11.1.11を利用できるようにしている。
・ Windows版Acrobat XI (11.0.07)とそれ以前のバージョンの使用者は、バージョン11.0.08にアップデートしなさい。
・ Windows版Acrobat X(10.1.10)とそれ以前のバージョンの使用者は、バージョン11.0.08にアップデートできないので、Adobeは、11.1.11を利用できるようにしている。
Kasperskyのセキュリティ研究者Costin Raiuは、この攻撃が数的には現在「非常に限られている」と
ブログしているが、当然のことながら、あなたが、この脆弱性を利用しているハッカーの視野の中に発見された不運な組織の一員であるのなら、何の慰めにもならない。
Raiuは、この攻撃は「数的に希少」なものであるが、全てのユーザが可能な限り早急に、彼等のコンピュータをアップデートするよう推奨している。
Defaultで、Adobe Readerはそれ自身を自動的にアップデートするはずであるが、多くのユーザは、新しいバージョンが利用可能になったという通知を受け取るまでに不安になるほど長い時間待つ必要があったと報告している。
これに該当する団体やエンドユーザは、ヘルプメニュー経由で、新しいバージョンが利用可能か否かをチェックしなさい。
これとは別に、Adobeは彼等のもう一つのフラッグシップ製品であるAdobe Flashに、多くの緊急のセキュリティ脆弱性があることをアナウンスした。
Flashセキュリティフローに関する
セキュリティ ブレチンにおいて、Adobeは、これらの脆弱性がオンライン上で攻撃されていないことを把握していると発言している。
Flash PlayerとAdobe AIRのWindows、Mac、Unixユーザは、可能な限り早急に、このフロー(殆どのフローに対して、Adobeは最重要レベルを指定している)に対する保護を行うことをアドバイスされている。
もちろん、Adobeは彼等のソフトウェアの脆弱性を攻撃するハッカーに慣れていないわけではないし、大きなセキュリティ事件の一端を担っている存在でもある。
けれども、私はThe Registerの報道ほどドラマチックであるとは思っていない。The Registerは、あなたが「
パッチするには3日間」しかないとする警告と共にAdobeのセキュリティパッチのニュースを報道した。私は、72時間以内に、あなたがシステムをパッチすることができない、あるいはアップデートを取得することができないのであれば、あなたが間違いなく重大な問題を持つということに同意する。
全てのITアドミニストレータが認識しているように、アップデートとセキュリティパッチは日常生活の一部である。このトリックは、あなたの組織のメンバーの通常作業に何らインパクトを与えることなく、あなたが効果的にプロセスを管理することを可能にするシステムを持つということである。
ボットネット: ボットネットとは何か? あなたはどのようにすればコンピュータを保護することができるのか?
CollaboristaBlog : Cybersecurity (2014/08/07)
毎日、あなたのE-Mailアドレスは、かなり多数のスパムメッセージを受信している。幸いにも、あなたは、殆どの不要なE-Mailメッセージをブロックし、正当なメッセージだけを許可する適切なスパムフィルタリング テクノロジを所有している。
しかし、スパムの全てが最初にどのように送信されているのか不思議に思ったことはなかっただろうか?
事実は、ボットネット(インターネットセキュリティの最も深刻な脅威の一つ)によって、ほぼ間違いなくあなたのコンピュータに送信されている。
FBIは最近、米国上院のボットネット問題に関する小委員会で、毎秒ハッカーによって18のコンピュータが補充されていることを確認したと証言した:
この世界的サイバー脅威のインパクトが明らかにされた。業界の推定によれば、ボットネットは米国の犠牲者に90億$を超える損失を発生させ、世界的には、1100億$を超える損失を発生させた。世界的には、凡そ5億台のコンピュータが毎年感染させられている(換算すると一秒あたり18台の犠牲)。
問題の大きさにも拘わらず、平均的なコンピュータユーザは、「ボットネット」という言葉を言われても鳩が豆鉄砲を食ったような顔をしている傾向にある。以下に、この脅威を、より分り易く説明していると思う簡単な概要を述べる。
ボットネットとは何か?
ボットネットは、通常実際の所有者の認識なしにオンライン犯罪者によってセキュリティ侵害され、情報を盗んだり、スパムを送信したり、マルウェアを拡散したり、分散DDoS攻撃を稼働したりすることを、遠隔から命令されるコンピュータの大群である。
ボットネット(字義としては“a network of robots”(ロボット ネットワーク))に補充されたコンピュータは、もはやその所有者だけの命令の下には存在していない。そのコンピュータは今や、極秘裏にハッカー大王(ボットマスターとして知られる)の遠隔からの命令であらゆる種類のサイバー犯罪活動に従事することができる。
Tom-bによるボットネットのイメージ。
言い換えれば、我々にとってインターネットをより不愉快により危険な場所にする、あなたの(もしくは、あなたの友人、同僚、アガサおばさんの)コンピュータである可能性がある。
ボットネットは何を実行するのか?
ボットマスターの命令下にあるハイジャックされたコンピュータ ボットネットは、幾つかの行為を実践するために命令されることになる。しかし、ここでは主なものだけを説明する。
スパムの送信とマルウェアの配布
まず、製品スパムがある、これは何らかの物を販売するために設計されている。ボットネットに徴発されたコンピュータは、何でも(奇跡のダイエット ピルからインチキの事務用品に至るまで)宣伝するスパムメッセージを送信することを命令される。
あなたは、スパムメッセージ経由で宣伝している製品を受け取ることもできるが、あなたは大きなギャンブルをすることになる。まず、あなたが受け取った製品の品質が疑わしいものであるかもしれない(スパム経由で広告されているドラッグを購入した人々が、結果として死亡したことが知られている)が、より根本的には、スパムキャンペーンの背後にいる者は皆、彼等の製品を販売促進するために、求められてもいないジャンクメールに頼っているという本当の事実によって、彼等自身が疑わしい存在であることを既に証明している。
あなたは、彼等を心から信頼しクレジットカードの詳細を委託しますか?
そして、その前に、あなたが1億6千9百万ドルの遺産の正当な継承者であると主張する、あるいは、あなたが参加したこともない宝くじの一等賞を勝ち取ったとあなたに告げる数えきれない「ナイジェリアからの手紙」(【訳注】 ナイジェリア詐欺 (Nigerian money transfer fraud, Nigerian scam, 419 scam) とは、アフリカ地域(主にナイジェリア)を舞台に多発している国際的詐欺の一種であり、先進国など豊かな国に住む人から、手紙やファクシミリ、電子メールを利用して金を騙し取ろうとする詐欺(Wikipediaより))を考慮することになる。
次に、銀行や人気あるソーシャルサイトからと称し、あなたを欺いてリンクに従わせ、あなたのユーザ名やパスワードを入力させようとするフィッシングメッセージがある。
最後に、一番多い悪意あるスパムがある。これは、おそらくブービートラップされた添付ファイルまたはドライブバイ攻撃をホストしているWebサイトへのリンクを経由して、受信者のコンピュータを感染させることを意図して設計されたものである。
誰もスパムメッセージに応答しなければ(誰もクリックしない、誰もが何も買わない、誰も応答しないなら)、スパムメール問題は、殆ど死滅するだろうと言っても過言ではない。巨大な数のスパムは、商業的企業(政治的スパムもあるが、これはチッポケな問題である)によって送信されている、そして、少数の受信者だけが購入したり、リンクをクリックしたりする誘惑に駆られるということをスパマーが認識しているために、巨大な数のスパムを送信することになる。
誰もがスパムメールに反応しなければ、単純にスパマーがメッセージを送信する理由はなくなる。しかし、もちろん人々の中には、ナイジェリアの遺産相続を主張するE-Mailに対して抵抗なく応答している者もいる。そして、気がつくと、マルウェアに隠れ場所を提供しているリンクやE-Mail添付ファイルをクリックしている。
分散DDoS攻撃の稼働
ボットネットを使用している他の殆どの犯罪者は、DDoS攻撃を実行する。DDoS攻撃は、数千のコンピュータに、或Webサイトを一斉爆撃させることを命令し、大変多くのトラフィックを発生させることで、そのWebサイトを事実上ダウンさせるることである。
私は「
15人の男性が同時に回転ドアを通過しようとしている」ようなことを思えば良いと思う。
攻撃者が、特別な会社との間に復讐や道徳的な問題を持っており、その会社に恥ずかしい思いをさせたり、ビジネスを実行することを困難にしたいのであれば、そのWebサイトはDoS攻撃されるかもしれない。
しかし、殆どの理由は完全に金銭的理由であり、原始的な恐喝の試みに帰着する。過去、ギャンブルWebサイトがメジャーなスポーツイベントの準備段階で攻撃され、そのWebサイトをアクセス可能にしておく交換条件として、犯罪者が金銭を強要してきた例がある。
Feedlyや
Evernoteのようなインターネット企業は最近、DoS攻撃の脅威を通して金銭を強要することを企てたハッカー達のターゲットになった企業の仲間である。
そして6月、ある企業は、DDoS攻撃で大きな損害を被った後、ビジネスを終了した。
特殊な事例ではあるが、この会社が適切な災害復旧計画を持っており、代替となるバックアップを持っていたのであれば、生き残ることは可能であったかもしれない。
情報を盗む
ボットネットはまた、重要なドキュメントをこっそり持ち出したり、パスワードを入手し銀行口座に侵入することを目的としてキーストロークを監視することで、ハッカーが個人情報やファイナンシャル情報を盗むための機会を提供する。
以下を憶えておきなさい。あなたのコンピュータがボットネットに組み込まれたことで、ハッカーがあなたのコンピュータへの遠隔制御を取得したなら、そのハッカーは、あなたのコンピュータで大変多くのことを実行することができる。これは、まるでハッカーがキーボードの前に座り、コマンドをタイプしているかのようである。唯一の相違は、ハッカーが実行していることやアクセスしていることを、あなたが見ることができないことである。
ボットネットの背後には誰がいるのか?
幸いにも、ボットネット(場合によっては、彼らは自分自身
DDoS攻撃の犠牲になりさえした)によってもたらされる危険を、コンピュータ犯罪取締当局はよく知っている。そして、数年間でボットネット・ギャングに関連する大勢の者を逮捕している。
しかしながら、インターネットの提供する匿名性がボットネットに関係する多くの者を起訴から逃れさせていることも疑いのないことである。
更に、最近では、ボットネットが一般的なサイバー犯罪者によって稼働されているわけではないことが明らかになっている。
例えば、リークされたNSAドキュメントは、情報を盗みデータを収穫するために移植された後、数カ月間活動できる“sleeper agents”(【訳注】 スリーパーエージェント、密かに活動したり、いざという時に奇襲攻撃を仕掛けるために、一般人や工作対象組織構成員などになりすます者(Wikipediaより))を稼働するために、NSA(アメリカ国家安全保障局)が
世界中の50000台に上るコンピュータ ネットワークを形成していたと主張している。
もはや、リスクが存在するのは伝統的なハッカーとは限らないので、明らかに全ての組織は、彼等自身、彼等の顧客、彼等自身のデータとその顧客データを保護する必要がある。
あなたのコンピュータを保護するには、どのようにすべきか?
あなたのコンピュータが明らかにボットネットに組み込まれているのであれば、あなただけでなく、あなたのハイジャックされたコンピュータから起動されるスパムや攻撃によって、結果として被災させられるインターネット上の他の人々にとっても悪いことである。以下に、ボットネットに組み込まれる機会を減少させるために、あなたが実行できることを記す:
1/ アンチウィルス ソフトウェアを実行しなさい、そして、必ずアンチウィルスソフトのアップデートを維持し続けるようにしなさい。
2/ あなたのコンピュータの攻撃に対する脆弱性を減少させるために、他のセキュリティソフト(ファイアーウォールを含む)を稼働しなさい。
3/ 他のソフトウェア(アプリケーションとOSを含む)のアップデートもまた維持し続けなさい。始終、新しい脆弱性が発見されている、そのうちの幾つかは、彼等のボットネットのスケールを拡大することを意図するマルウェアの製作者によって脆弱性攻撃される。あなたがソフトウェアのアップデートを面倒で迷惑なことだと思っているのであれば、自動アップデートを有効にすることを考慮しなさい。
4/ 求めてもいないE-Mail中のリンクをクリックしたり、添付ファイルを開いたりすることには気をつけなさい。そこにはマルウェアが待ち伏せている。
5/ スマートフォンを忘れないようにしなさい。殆どのボットネットはWindowsとMacコンピュータを危険に晒すが、Androidのような他のオペレーティングシステムを稼働しているデバイスによって動かされていたボットネットの悪名高い事件もある。
Windowsレジストリ感染マルウェアはファイルを持っておらず、再起動しても生き残る
The Register : Security (2014/08/04)
研究者はマシンに感染し続け、ファイルをインストールすることなくデータを盗む稀な形式のWindowsマルウェアの詳細を発表した。
このマルウェアは、コンピュータレジストリにだけ存在しているので、検出することが容易ではない。
このコードは、悪意あるMicrosoft Wordドキュメントを介してマシンに到達した後、非表示でエンコードされた自動起動レジストリキーを作成すると、マルウェアの研究者とブラックハットのエクスターミネータPaul Rascagneres (@r00tbsd)は発言している。このマルウェアは次にシェルコードを作成し、悪意の総体(ペイロード)Windowsバイナリを実行する。
「全ての活動は、レジストリ中に格納されている。ファイルは作成されない」と
Rascagneresは投稿中で発言している。
「そこで、攻撃者達は古典的なアンチマルウェア ファイルスキャンテクニックを回避することが可能であり、システムが再起動された後でさえ、マシンの最深部のレイヤーに到達し、希望するあらゆる行動を実行することが可能である」
「このような攻撃を妨げるには、アンチウィルスソフトは、(もしもマシン上に存在するのであれば)そのドキュメントが実行される前に、皮切りのWordドキュメントを捕獲するか、顧客のMailボックスに、このマルウェアが到達する前に積極的にそのWordドキュメントを捕獲するかの何れかを必要とする。」
Windows Regedit(Windowsレジストリエディタ)は、非ASCIIキーエントリを読むことも開くこともできない。Rascagneresは、この機能のセットが、連続的且つ継続的にコードの実行を「スタック」していることからマトリョーシュカ人形に似ていると発言している。
非ASCIIトリックは、Microsoftが彼等のソースコードを隠蔽しコピーされることを防ぐために使用しているツールであるが、この機能は後にクラックされた。
セキュリティキットは、代わりにこのソフトウェア脆弱性攻撃を検出する、もしくは、最終的なステップとして、異常挙動に関してレジストリをモニターすることができると、彼は発言している。
KernelMode.infoフォーラムのマルウェア専門家は、先月、
Officeを含むMicrosoft製品に影響を与える
CVE-2012-0158で説明されたフローを攻撃する一つのサンプルを解析した。
異常者達は、話によるとカナダ郵政公社とUPS(United Parcel Service、ユナイテッド・パーセル・サービス、アメリカ合衆国の貨物運送会社(Wikipediaより))メールを装って情報の追跡を実行するマルウェアを配布していた。
「このトリックは、結局、この悪意あるエントリを処理する多くのツールを妨害し、解析中に緊急対応組織に多くのトラブルを発生させることが可能である。このメカニズムは、感染したシステム上であらゆるプログラムを実行するために使用することができ、これは大変強力である」とRascagneresは発言している。
Rascagneresはブラックハットオペレーションを損なうマルウェアとボットをリッピングして名声を得ている。彼は中国のハッカーグループAPT1のインフラストラクチャをズタズタにしたことで昨年のLas VegasでのBlack HatでPwnie賞を受賞している。
CryptoLocker攻撃されたファイルを復元する方法(無料)
Graham Cluley : News (2014/08/06)
長期に渡りインターネットユーザを攻撃してきた最も悪質な脅威の一つによって、大きな打撃を受けたコンピュータユーザを明るくする本物の素晴らしいニュースがある。
Fox-ITとFireEyeの研究者は共同し、悪名高きCryptoLocker(コンピュータのファイルを暗号化し、復号化キーのために身代金の支払いを要求する)マルウェアに巻き込まれた人々を支援するための無料サービス(
decryptolocker.com)の提供を開始した。
DecryptoLockerサービスを利用するためには、CryptoLockerの犠牲者は以下のことを必要とする:
・ CryptoLockerの犠牲者が重要な情報を含んでいないと信じている単一のCryptoLockerで暗号化されたファイルを特定し、そのファイルをDecryptoLockerのポータルに、そのファイルをアップロードしなさい。私は、このサービスは重要な情報を含むファイルに関しても動作することは間違いないと思うが、このサービスにそのようなファイルをアップロードすることは、明らかに悪い習慣である。
【訳注】 (1)上図の一番上のテキストボックスにE-Mailアドレスを入力する。(2)Choose Fileをクリックするとファイル選択ボックスが開く。CryptoLockerで暗号化されたファイルのうち重要な情報を含まないファイルを選択する。(3)一番下のテキストボックスで、画像中の文字を入力する。(4)Decript it!ボタンをクリックする。
・ このポータルから秘密鍵(private key)とダウンロードのためのリンクを受け取るまで待ちなさい。それから、コンピュータ上でローカルに実行できる復号ツールをインストールする。
・ 提供された秘密鍵を使用して、ハードドライブ上の全ての暗号化されたファイルを復号するために、感染コンピュータ上で復号ツールを実行する。
良さそうだ。このサービスがFox-ITとFireEyeのような信頼され実証されたセキュリティ・エキスパートによって提供されたものでないのであれば、私は人々に疑うように告げるだろう。しかし、このサイトは本物である。そして、彼等のデータへのアクセスを永久に失ったと考えているユーザにとって天の助けであるだろう。
Fox-ITのRonald Prinsは、研究者が犯罪者の秘密鍵データベースにアクセスすることができた後、このDecryptoLockerサービスを作成することができたと
Twitter上で確認している。
これは、現状が未だに、CryptoLockerの暗号化が実際にクラックされていないということであるが、バックアップにアクセスできない、あるいは恐喝者に金銭を支払うことをためらっている犠牲者にとっては重要なことではない。
CryptoLockerは、世界中で凡そ60万ユーザを攻撃していたので大きな問題であった。そこで、法執行機関とセキュリティ産業が共同して応戦したのは本当に良かった。
監督官庁がEvgeniy Mikhailovich Bogachev(エフゲニー・ミハイロビッチ・ボガチェフ、”Slavik”として知られる)のシッポを掴むことを希望する。30歳のボガチェフは、GameOver Zeus (“GOZ”)とCryptoLocker身代金要求ソフトを拡散しているギャングの首謀者とされている人物であり、FBIの「指名手配」の対象である。
Fox-ITの上席副社長Andy Chandlerは、彼の会社は数カ月間Slavikを追跡し、FireEyeとの共同戦線で、犯罪者グループの鮮明な画像を明らかにしたと私に告げた。現在の政治状況が改善され、より多くの措置が、彼とCryptoLocker/GameOver Zeusギャングの残りの仲間に対して取られることを希望する。
現時点では、あなたがCryptoLockerの犠牲者であり、身代金を支払わないことを選択しているのであれば、あなたのデータを復元する新しい方法がdecryptolocker.comである。
Microsoft: 新しいEMETをリリース
The Register : Security (2014/08/04)
Microsoftは、EMET(Enhanced Mitigation Experience Toolkit)の新しいバージョンをリリースした。
Microsoftは、攻撃の最前線の防御としてEMETを配備することを推奨していたので、この新しいバージョンのリリースは注目に値する。
Microsoftが声高に告げている大きな二つの増強の一つは、改善されたAttack Surface Reduction (ASR)である。これは「インターネットゾーンに属しているWebサイトを航海している間に、Internet Explorerによってロードされている幾つかのモジュールとプラグインをブロックするために設定されるものである。」
この新しいASRは、MicrosoftのWord, Excel, PowerPointによってロードされるAdobe Flashプラグインもブロックする。あなたが本当にFlashをロードしたいのであれば、EMETは、それを実行するように調整することができる。
Microsoftは、Export Address Table Filtering Plusも好んでいる。これは、「エクスポートテーブルが特定の下層レベルのモジュールから読み込まれた時、スタック レジスタとスタック制限に関する一貫性チェックの追加」を提供するように改定されている。
また、新しいEMETサービスもある。これは、「Certificate Trust(認証信頼)ルールを評価する、全てのユーザのインスタンスにEMET Agentを適切に送る、ネットワークに押し入るグループポリシー設定を自動的に適用することの面倒を見る」ものである。
あなたは、EMET 5.0を
こちら(英文)から取得することができる。(【訳注】 EMET 5.0の
説明はこちら(和文))
PCで使用されているWindowsオペレーティングシステム
The PC Informant : Blog (2014/08/04)
マイクロソフトは、Windows XPの根絶を一生懸命試みている。そして、テクノロジー・ジャーナリストは、この尊敬すべき古いオペレーティング・システムを使用し続けることが如何に愚かなことであるかを、あらゆる人に伝え続けている。しかし、XPは生きている。 ここに、最近NetMarketShareによって収集されたデスクトップ統計に基づく解析がある。 Windows XPは、未だ世界のPCの1/4以上を占め、使用されているWindows 8.x の合計を遥かに凌いでいる。
14のアンチウィルスアプリケーションにセキュリティ問題が発見された
The Register : Security (2014/07/29)
一律のテクノロジは、危険な程に被攻撃面を増加させるので、業界は配布する前に彼らのアンチウィルスをテストしてもらうべきであると、COSEINCの研究煮Joxean Koretは発言している。
COSEINCは、17の主要なアンチウィルスエンジンと製品に批判的な目を向けているにシンガポールのセキュリティ団体である。彼らは、その中の14にローカルな危険とリモート攻撃可能な脆弱性を発見している。
Koretの解析はまた、アンチウィルス企業が過度に広範な権限の要求、署名なき製品のアップデート、危険なHTTPでの製品の配布、必要以上の古いコードの稼働、検証とファジング(【訳注】 ソフトウェアのバグや脆弱性を検証するためのテスト手法の一種で、エラー成分が含まれた様々な命令パターンを予め実行させてエラーの発生を調べること(Weblioより))に適切な指揮がなされていないことによって失敗していると示唆している。
不名誉の殿堂には、Avira, BitDefender, ESET, Pandaを含んでいる。そして、 これらは、後にパッチされた脆弱性と0-Dayとして残された脆弱性の両方で、様々なリモートとローカルの複数の脆弱性を含んでいた。
中核的アンチウィルスエンジンは、殆どアドレス空間配置のランダム化(【訳注】 ASLR、ベース、ライブラリ、ヒープ、スタックのような攻撃の標的になるアドレスの予測を困難にすることで特定のタイプのバッファ・オーバーフロー攻撃を撃退するのに役立つ)の防衛策を講じているが、多くの他の機能はユーザインターフェイスやライブラリに含まれていない。幾つかの主要な製品はデータ実行防止機能(【訳注】 DEP、Windowsのセキュリティ機能の一つで、データ領域に記録されたデータをプログラムとして実行されるのを防ぐ機能(e-Wordより))を無効化していた。
タイトル: セキュリティソフトを書いているアンチウィルス開発者
画像内の文: 「俺は何してるんだか全く分からん」
アンチウィルスエンジンは、しばしばバッファオーバーフローや整数オーバーフローのような脆弱性に繋がるC言語で構築されており、オペレーティングシステムにローカル権限の昇格を提供するドライバを設置し、それぞれのパーサー(【訳注】 構文解析プログラム、コードを分割して機能するコンポーネントへ仕上げるコンピュータプログラム)内でバグに帰結するファイルフォーマットの長々としたリストをサポートしている。
アンチウィルスエンジンの能力が増えれば増えるほど、ネットワークに侵入する悪意ある行動者に提示していることになる。この理由から、追加機能の多いアンチウィルスは協同ネットワークから隔離されなければならない。
「あなたのアプリケーションが、カーネルドライバ、パケットフィルターをインストールし、あなたのコンピュータが実行しようとする何らかのことを操作しようとするような最高権限で稼働しているのなら、被攻撃面は劇的に増大する」と、KoretはSyscan 360のプレゼンテーション(
スライドはこちら)で発言している。
「アンチウィルスエンジンは、様々な程度でのパフォーマンス低下と共に、あなたのコンピュータをより脆弱性のあるものにし、アンチウィルスエンジンが保護しようと試みるアプリケーション同等に0-Day攻撃に対して脆弱なものである。アンチウィルスエンジンは脆弱性攻撃緩和策を利用するオペレーティングシステムを更に悪いものにすることさえ可能である」
「幾つかのアンチウィルス企業は、彼らの製品中のセキュリティについて気にもかけてもいない」
アンチウィルス ソフトへの脆弱性攻撃は、このソフトが、しばしばルートやシステムレベルアクセスを提供しているため、アンチウィルスで使用される過度の権限は攻撃者とっては恩恵であったと、彼は発言している。
悪党は、シグネチャのアップデートとそれをHTTPSで配布するという両方の欠陥を悪用し、アンチウィルス「ユーザのマシンを完全に自分のものとする」中間者攻撃を起動することができる。
「アンチウィルスエンジンを脆弱性攻撃することは、他のクライアントサイドのアプリケーションを脆弱性攻撃することと何の違いもない。アンチウィルスエンジンは何ら特別な自己防御を持ってもいないし提供してもいない。アンチウィルスエンジンは、オペレーティングシステムの機能(ASLR/DEP)に依存しているだけで、他には何もない。そして時々、彼らはそのような機能さえ無効にする。」
幾つかのアンチウィルス製品は、他のアンチウィルスよりKoretの開示に敏感だった(【訳注】 Bug Bounty(バグバウンティー、バグを見つけた者に賞金を支払う)を稼働し、未開示のバグに賞金を支払ったAvastを含む)。超大手のベンダは、彼らが脆弱性の研究にかなりの資金を既に投資しているべきであるとして開示されなかった。
Koretは、アンチウィルス企業が、打ち負かされることをより困難にするために、エミュレータや仮想マシン内部で危険なコードを実行するよう推奨している。
Panopticlickは、あなたが削除できないクッキーを明らかにした
Sophos : NakedSecurity (2014/07/28)
クッキーは、Webが動作する必須の部分であり、オンラインプライバシー軍備拡張競争で重要な位置を占めている。人々を追跡しプロファイルしたい組織は、彼らにクッキーを与え、追跡されたくないユーザは、クッキーを無効化したり削除したりしている。
しかし、あなたが削除できないクッキーがあったなら、あなたがプライバシーを守るために採っているステップが、あなたを追跡することをより容易にしていたとしたらどうだろうか?
それは、Electronic Frontier Foundation (EFF)により記されたレポート(
How Unique is Your Web Browser?)によって、この妖怪が浮かび上がった。
このレポートは、
Panopticlickと呼ばれるツールによって収集されたデータを使用している。Panopticlickは、あなたのWebブラウザの「指紋」に基づいて、あなたを簡単に同定しようというツールである。
組織が他のユーザから一人のユーザを見分けることができるときにだけ、組織は人々を追跡できるので、この一意性は重要である。
トラッキングの最も一般的な形態は、一意のIDの付いたクッキーをユーザに与えることである。ユーザが、そのクッキーのオリジナルドメインからのコードを持っているページを訪問するたびに、ユーザのWebブラウザは、このクッキーと一意のIDをリクエストと共に戻す。
この単純なメカニズムは、組織が数週間もしくは数箇月間、あるページから次へ、もしくは、これらのサイトがコードを共有しているのであれば、複数のWebサイトにまたがってユーザを追跡することを可能にする。
しかしながら、あなたをオンライン上で追跡したい人々にとって、クッキーは、三つの大きな欠点を持っている。1) あなたはクッキーを確認することができる。2) あなたにクッキーを与えた者を確認することができる。3) あなたは、クッキーを削除することができる。あなたがWebサイトのクッキーを削除したなら、そのWebサイトがあなたに与えた一意のIDは消滅する。そして、あなたはトラッキング履歴のない新しい未知のユーザとして、そのWebサイトに出現することになる。
あなたの願いに反して、あなたを追跡したい人々の究極の要素は、あなたが持っていることを認識していない、もしくは、あなたが干渉することのできない一意のIDを発見することである。
EFFは、ブラウザの指紋が、そのようなIDを提供できるか否か発見することに着手した。
ブラウザの指紋とは、あなたのWebブラウザがWebページを開いたとき、それ自身について自発的に手渡す情報の組み合わせに着目したものである。
けれども、Webには数億のユーザがいる。殆どのユーザは、5つの異なったブラウザの最新バージョンを使用している。
あなたは、そのような小さな違いでは、あなたのブラウザは群れの中に簡単に埋没すると思うかもしれない。
あなたは、間違っている。
EFFの研究によると、あなたのブラウザの指紋は実際に大きく異なる可能性がある。
このプライバシーへの意識の高いユーザのサンプルにおいて、確認されたブラウザの83.6%は、たちどころに一意の指紋を持っていると同定された。
…我々が無作為にブラウザを選択した場合、せいぜい、286,777の他のブラウザの内の一つのブラウザだけが、その指紋を共有すると我々は予測する。FlashやJavaをサポートしているブラウザでは、その状況は更に悪く、我々のサンプルにおいてFlashやJavaを搭載しているブラウザの94.2%が一意と特定された。
私はEFFのPanopticlickツールを使用して私の所有するデバイスの二つをテストした。私のタブレットの指紋は、共有性875,000分の1であった。私のラップトップのブラウザの共有性4,400万分の1であり完全に一意であった。
【訳者補註】 1/875,000と1/44,000,000とを比べると、1/44,000,000は大変共有性が小さい。即ち、大変一意性が高いので追跡されやすい。
この研究論文のサンプル数は、470,161ユーザである。更に悪いことには、EFFが、おそらくプライバシー意識のある人々の賛同によるものなので偏在性が存在すると認識していることである。
我々のサンプルは偏在性が高い。それは最低限の処置を把握しプライバシーに十分注意を払っているインターネットユーザが代表しているからである。一般的に同意されることであるが、殆どの人々にとってブラウジング行動の追跡を回避することは必要なことである。
Panopticlickは、Webブラウザによって自由に共有される8つの情報(あなたのタイムゾーン、画面解像度、プラグインの選択、フォント等)から、その指紋を作成している。
この研究は、ブラウザの指紋が十分に一意なので、削除されたクッキーの再生に、あるいは、トラッキングクッキー全体の置き換えに使用することができることを示している。
EFFは、誰かが実際にブラウザの指紋を使用しているかどうか調査していないにも拘わらず、彼等は「指紋を採ると主張する製品を販売している幾つかの企業が存在する」とレポート中に記述している。
using ETags to regenerate cookies(クッキーを再作成するためにETagを使用するには)のような類似のテクニックは、間違いなくオンライン上で既に使用されている。
指紋採取はまた、特にプライバシを意識しているユーザにとって、追跡することをより困難にするために設計したカスタマイズが、実際には指紋を採取することを簡単にするかもしれないという興味あるジレンマを浮かび上がらせた。
本質的に、デバイスの指紋を採ることをより困難にする措置は、多くの人々が、その措置を採用しない限り、彼等自身を識別するというパラドックスである。
プライバシを意識しているユーザは何をすべきなのか?
思い出す最初のことは、あらゆる高度な技術が使用されていようがいまいが、クッキートラッキングは、依然としてあなたが遭遇する可能性の高いものなので、今直ぐに、Ghosteryのようなクッキーをムシャムシャ食べるプラグインを捨てないようにしなさい。
あなたが指紋について心配なら、あなたはJavaやFlashを削除することによって、そして、あなたのブラウザで稼働するJavascriptへの支配力を強化することによって識別を減少させることができる。
このレポートは、あなたがどのJavascriptを稼働したいのかを選択することを可能にする
NoScriptプラグインを、「指紋採取の減少すると思われる有用なプライバシーを強化するテクノロジ」として賞賛している。
このレポートは、
Torプロジェクトを「指紋採取可能性への対抗を既に考慮し設計しているので注目に値する」と見做している。
あなたがオンラインを匿名のままで使用しようとするあらゆる戦略で(【訳者挿入】 Panopticlickを使用して)指紋をテストし再テストすることが、おそらく最も有効なことである。
サイバー詐欺師達は日本の猥褻サイトのファンを誑し込んでいる
The Register : Security (2014/07/16)
画像はESET、WeLiveSecurityより
サイバー詐欺師達は、新しいバンキング トロイの稼働するために、日本の猥褻サイト愛好家を標的にしている。
このAibatookマルウェアは、日本で大変人気のある幾つかのポルノWebサイトの訪問者でもある日本の銀行の顧客を標的にしている。
アンチウィルス企業ESETのセキュリティ研究者達は、90を超える猥褻サイトが、この悪意あるコードで汚染されたと見積もっている。
このマルウェアは、Windows PCのマシンにAibatookを押し付けるために、一年以上前にパッチされたJavaセキュリティフローを攻撃することに依存している。より具体的には、改竄されたサイトを訪問したユーザは、2013年06月にパッチされたJava脆弱性(CVE-2013-2465)を悪用しようとする脆弱性攻撃のページにリダイレクトされる。攻撃者は、そのPCが暗黙のうちにJavaアップレットを稼働しているという事実を隠蔽するために404ページ エラー(【訳注】 404、またはエラーメッセージ"Not Found"は、クライアントがサーバに接続できたが、そのウェブページ等をサーバが見つけられなかったことを示すもの。また、要求に応えられない理由を明らかにしないためにも使われる。ウェブブラウザが表示する「サーバが見つかりません」のようなメッセージは、サーバとの接続に失敗したことを表すもので、404とは別(Wikipediaより))を表示するようにしている。
攻撃の総体は、改竄したWebサイトに脆弱性攻撃キットを植え付ける標準的アプローチではなく、単一のJava脆弱性に依存している。脆弱性攻撃キットは、それらのパッチが最新でないPC上にマルウェアをドロップするために、沢山の汎用ブラウザと他のアプリケーション・ソフトウェアの脆弱性(Adobe Flash, Java等)を攻撃しようとする。
Aibatookマルウェアがインストールされると、このマルウェアは、犠牲者がInternet Explorer(日本で最も幅広く使用されているブラウザ)でオンライン バンクにログインするのを待っている。悪意あるコードは、銀行の顧客を欺き、重要な銀行ログイン情報を手に入れるために、ページ上にインチキのフォームを挿入するように設計されている。
盗まれたデータは、コマンド・アンド・コントロール(指令管制)サーバを介して、Aibatookマルウェア・キャンペーンの背後にいる犯罪者に送信される。この攻撃(
ESETのこちらのブログポストが詳細に説明している)は、パッチを最新にしておくことの重要性を示している。
ESETの研究者達は、Aibatook攻撃の背後にいる同じ詐欺師達が、このマルウェアの新しいバージョンを作成していたと警告している。この新しいバージョンは、Webホスティングサービスとドメイン取得代行業者のユーザから認証を盗む能力を持っている。
【訳注】 上にリンクしたESETの記事に関する概要が、本家キヤノンITソリューションズによって和訳されています。以下を参照してください。
http://canon-its.jp/eset/malware_info/news/140717/
Google Driveプライバシー警告 - あなたのデータは流出している可能性?
ESET : We Live Security (2014/07/11)
Googleは今週、Google Driveを介して送信されている共有ファイルが、送信者が思っていた以上に共有されていたことを認めた。
Google Drive privacy postにおいて、Googleは、特定のファイルタイプが、想定されている受信者以外の人々も見ることができたことを認めた。
Googleは最近、商用への訴求力を高めるためのツール付きでDriveをアップデートしたが、ストレージシステムは既にファイルを共有し編集するためにビジネスにおいて一般的に使用されている。Googleは、彼等が秘密情報を共有しているかもしれないと恐れているGoogle Driveユーザに詳細な指示(【訳注】 上のリンクに同じ)を発行した。
Googleは、Google Driveプライバシー問題にパッチし、どのようなファイルタイプが影響を受けるのか(他のプログラムで作成され、Google Driveに変換されずに保管され、「リンクを知っている全員」に共有されるファイル)ということに関する詳細な指示を発行した。
Inforwarldは、「この件に関するGoogleの対処は、Googleがそのような脆弱性攻撃を解決使用とする方法に関して鼻が利いていることの追加証拠である。しかし、Googleのサービスの全てに、この発見から学習したことをGoogleが適用してほしいという希望もある」と発言している。
Google Driveプライバシー: 誰が私のファイルを読むことができるのか?
経験豊かなセキュリティ研究者でありWe Live Securityへの寄稿者であるGraham Cluleyは、
Intralinks blog上で、この漏洩は「追加認証なしにあなたの個人データにアクセスすることを可能にする「リンクを知っている全員」から発生する予期せぬ危険を強調している」と発言している。
GoogleのDrive privacy postは、どのファイルにリスクがあるのかを説明している。あなたのファイルが以下の条件の全てを満たしている場合にはリスクが存在する。
1. このファイルはGoogle Driveにアップロードされていることを必要とし、「リンクを知っている全員」で共有している。
2. そのファイルは、DocsのようなGoogle Driveフォーマットに変換されることなく、オリジナルフォーマット(即ち、.doc)のままである必要がある
3. そのファイルは、サードパーティーのHTTPS Webサイトへのリンクを含んでいる必要がある
この条件に該当すれば、サードパーティーのWebサイトの管理者は、機密データにクリックスルーすることを許可されているURLを見ることができる。
Cluleyは、ある業務シナリオ(例えば、会社公開買付けのような)において、これは、自由にオンラインでその詳細を読むことが可能なので、結果としてそのような入札の標的をもたらすことになると指摘している。
Google Driveプライバシーが心配なら、どうするのか?
Googleはこの問題にパッチした。このサービスを経由したあらゆる共有ドキュメントは、もはやプライバシー問題による影響を受けない。
しかしながら、これは、このサービスを介して既に共有されているドキュメントには無関係である。Googleテクニカル・プログラム・マネージャ Kevin Stadmeyerは、「あなたが今までに共有しているドキュメントが、上述した4つの条件全てに適合するのであれば、以下のステップを使用して、新しい共有リンクを作成しなさい」と、アドバイスしている。
1. ファイル>コピーの作成 を実行して、そのドキュメントのコピーを作成する。
2. 特定の人々と、新しい共有可能リンクを介して、「共有」ボタンを介して、そのドキュメントのコピーを共有する。
3. オリジナルのドキュメントを削除する。
Google Driveを個人的に使用するためのガイドにおいて、Googleは、間違いなくドキュメントが正しく共有されていること確認するようにユーザにアドバイスしている。即ち、ユーザは「リンクを知っている全員」が極秘ファイルに関して適切に設定されているか否か注意深く考えるべきである。
1999年のパニックの様相を呈するのだろうか? Microsoft Office Macroウィルスが回帰している
The Register : Security (2014/07/08)
WordやExcelファイルへの感染に関連付けられるMacroウィルスは、1990年代後半に異常な大発生をした。 グランジ ミュージック(【訳注】 ロック音楽のジャンルのひとつ)同様、技術とテクノロジの進歩の結果として、このジャンルは衰退した。ここ最近、ソーシャルエンジニアリング詐欺のおかげで、Macroウィルスは、ちょっとしたリバイバルをしてきている。
今世紀の初め以来、Windows上で実行可能なマルウェアが、VBA(Visual Basic for Applications)で記述されたMacroウィルスより優位になった。
感染させてあるドキュメントを開いたユーザは、Windows PCを感染させる悪意あるコードの影響を受けた。Macroウィルスは、それ自身のコピーを、その後編集されたドキュメントに忍び込ませる前に、ユーザーのOfficeテンプレートファイル中に拡散した。Macroベースのマルウェアの例としては、1999年以降、急速に拡散したMelissa E-Mailワームがある。
Microsoft Office製品のセキュリティの改善(プロセス中でMacroウィルスを絶滅しようとする)は、このような多くの攻撃をブロックした。
ところが最近、Macroマルウェアが回帰してきている。Sophosのセキュリティ研究者Gabor “Szappi” Szappanosは、ドキュメントベースの攻撃の半数以上が、Officeそれ自身を欺くために設計されたより難解な脆弱性攻撃ではなく、ユーザを欺くことを目的としたVBA Macroを含んでいると報告している。
悪党共は、ソフトウェアのバグや、Macroの最新世代を推進するための組み込みセキュリティの欠点を利用するのではなくソーシャルエンジニアリングを使用している。
「このドキュメントは、あなたが、それを復号したり解読したりするためにマクロを有効にするまで何らかの形で「保護」されると主張して、そのドキュメントが通常より安全であることを示唆することで、詐欺師達は、彼等のドキュメント中でMacroを使用している」と、アンチウィルスのベテランPaul Ducklinは、
SophosのNaked Securityブログへの投稿で説明している。
Macroウィルスの回帰に関するSzappanosの研究は、
”VBA IS NOT DEAD!”と題されたVirus Bulletinによる記事の中に見ることができる。
セキュリティソフトは、ほとんどの場合において新世代のMacroウィルスを捕獲するはずであるが、この防御ラインに依存することは無謀といえるだろう。Szappanosは、この感染を回避(Macroを無効化することで)するためのfool-proof(フールプルーフ、【訳注】使用者が誤った操作をしても危険な状況を招かないように、あるいはそもそも誤った操作をさせないようにと、配慮して設計されていること(IT用語辞典より))な方法を提供している。「Macroの実行が有効にされれば、ドキュメントのコンテンツが適切に表示されるという理由に正当性はない。あなたが、このアドバイス付きでドキュメントを受け取ったのであれば、あなたは、おそらく攻撃されている。」
身代金要求ソフト(ランサムウェア)Cryptowall: あなたが認識しておく必要のあること
CollaboristaBlog : Blog (2014/06/30)
Cryptowallとは如何なるものか?
Cryptowallは、あなたのコンピュタ上に存在しているデータを人質に取る「ランサムウェア」(身代金要求ソフト)である。Cryptowallは次に、ファイルへの失ったアクセスを再取得するために、犠牲者に金銭の支払を要求する。一旦、侵入すると、Cryptowallは、指定された期間中に身代金を支払うよう要求する前に、犠牲者のコンピュータ上の広範な種類のファイルを暗号化する。
Cryptowallがターゲットにしているのは、どのような種類のコンピュータか?
CryptowallはMicrosoft Windowsを稼働しているコンピュータをターゲットにしている。Macは影響を受けない。
Cryptowallは、どのようにして拡散しているのか?
最初に、Cryptowallは、悪意あるE-Mailキャンペーンを介して拡散していた。
Intralinksが今週初めに報道したように、ハッカー達は、“Incoming Fax Report”(ダウンロード回線速度Faxレポート)であると主張するメッセージを無差別に送信していた。これはマルウェアを含んでいるDropboxにユーザを誘導している。
もちろん、このE-MailはFAxレポートであることを主張する必要なない。それは失敗したDHL(【訳注】 ドイツの国際輸送物流会社)物流であると主張することも、あなたが決して実行したことのない、クレジットカード購入のインチキの通知であるとも主張してきた。しかしながら、これを除けば、Cryptowallは、マルバタイジング(毒のあるWeb広告)を介して、多くのユーザのコンピュータに感染することに成功してきた。
The Guardian, Disney, Facebookのようなサイトに属しているWebサイトに感染するより、攻撃者は、毎日、数百万のユーザに対して、そのようなサイト上に表示されるサードパーティの広告をターゲットにした。今月初め、セキュリティ研究者達は、幾つかの注目を集めるWebサイトが、どのようにして、ハッカーによって毒されたサードパーティのWebページにユーザを誘導しているのかを
公表した。
このサードパーティのWebページは、訪問しているコンピュータが、Flash, Java, Silverlightの脆弱性のあるバージョンを稼働しているか否か決定するために、そのPC上でRig脆弱性攻撃キットを稼働する。次に、何も知らずにアクセスしたユーザのコンピュータにマルウェアをコソコソとインストールすために、このフローを悪用する。ある場合には、ユーザは、ソーシャルエンジニアリングによって欺かれるかもしれない。これは、騙されたユーザに、ビデオプラグインやAdobe Flashアップデートと信じこませてインストールさせる。
私がCryptowallに攻撃されているとき、画面上に、それと分かるものを確認できるのだろうか?
表示された時は遅きに失している。あなたのファイルが暗号化された後、Cryptowallは、支払いが必要であることを、あなたに告げてくる。
私は身代金を支払わなければファイルを復号できないと言われた。Cryptowallは嘘を言っているのか?
残念ながら嘘ではない。あなたはファイルを複号するための正しいキーを必要とする。そして、Cryptowallの背後にいるハッカー達は、あなたが身代金を支払うまで、あなたに正しい復号化のキーを与えることはない。あなたの唯一のオプションは、身代金を支払うか、一旦、そのハードドライブをフォーマットし、感染していないバックアップからファイルをリストアすることである。
私は、多くの人々が誘拐犯に身代金を支払っていると思うが?
皆ではない。例えば、今月(6月)初め、ニューハンプシャー州のDurham(ダーラム)の街、そこの警察のコンピュータがCryptowallによって攻撃されていたことを公開した。これは「広範な問題を」引き起こした。Durhamの警察のコンピュータシステムは混乱を生じたが、この街は、バックアップから可能な限り大量ファイルの修復を実行することを計画している。「間違いなく、Durhamの街は誘拐犯に身代金を支払っていない」と、この街の町政担当者Todd Seligはコメントしている。でかした。
誘拐犯に身代金を払うべきか否か?
恫喝者の要求に屈するというランサムウェアの犠牲者の考えを好まない多くの人々がいる。彼らは、犯罪者が何度も攻撃することを促すに過ぎないと主張している。そして、彼らが将来再びあなたをターゲットにしないという保証は明らかに存在しない。次の時には金銭以上のものさえ要求されるかもしれない。
自問すべきことは、全ての感染させられた会社が身代金を支払ったなら、より多くのハッカーに模倣ランサムウェア攻撃を実行するように奨励するだけではないだろうか?
どう処置するか、最終的には、あなたの判断であるが、あなたが身代金を支払ったとしても、それがハッカーから連絡をもらう最後になるという保証は存在していないということを憶えておきなさい。
この問題に明確な決定を行う前に、弁護士の意見を必ず求めなさい。
どうすれば感染を回避できるのか?
Cryptowallや他のランサムウェアの感染を回避するための私なりのヒントがある:
・ あなたのコンピュータを保護し、感染の機会を減少するには、アンチウィルス ソフトをアップデートしセキュリティパッチをインストールしなさい。あなたが使用していないのであれば、ブラウザからJavaやSilverlightのようなツールを削除することで、攻撃対象を減少させなさい。更に、E-Mailを開くときには、より注意深くなりなさい、そして、ブラウザにアド ブロッカーを稼働させることを考慮しなさい。
・ あなたのハードドライブ上の或る場所から実行可能ファイルの稼働を防止するために、あなたのWindows PCにSoftware Restriction Policy(【訳注】 ソフトウェア制限ポリシー、解説はこちら)を設定することを考慮しなさい
・ 重要なデータのバックアップを取り、あなたのコンピュータから離れた場所に、それを保持しなさい(Cryptowallのようなマルウェアが、あなたのバックアップを暗号化することを妨げるために)。こうしておくことで、最悪の事態が発生しても、あなたは貴重なデータを復元することができ、犯罪者たちに無理やり支払わされることもない。
CryptowallはCryptoLockerと同じものか?
CryptoLockerは、おそらくランサムウェアの中でも最も悪名高きものであるが、Cryptowallは急速に追い上げている最中である。ハイレベルでは、両方共、同じことを実行しているが、多少の差異がある。CryptowallはCryptoLockerの悪名の最新の模倣者として考えられている。そして、悲しいことに、おそらく更に続くだろう...
PayPal二要素認証のバグ: あなたが知っておく必要のあること
ESET : We Live Security (2014/06/28)
The Registerの報道によると、ミシガン州の二要素セキュリティ企業Duo Securityの話として、PayPalの二要素認証中のフローは、攻撃者に1億4300万アカウントへのアクセスを取得することを可能にしていたとしている。
このオンライン決済の巨人は、彼らの公式のサイトを介して宣言を発表し、大急ぎでリスクがないことを発表してユーザを安心させようとした。
PayPalの二要素認証は本当に安全なのか?
Financial Timesの報道によると、この脆弱性は、AndroidやiOSデバイス上のアプリケーションを介してPayPalにログインしているユーザに影響を与えた。そして、攻撃者はターゲットのユーザ名とパスワードを認識する必要もあった。犠牲者は、オプションである二要素認証システムを有効にし、二要素認証をサポートしていないアプリケーションを介してログインしようとする必要があった。
「二要素認証は、パスワードが何らかの理由から改竄された場合に、リスクを軽減するために設計された機能である。二要素認証は取り分け安全というものではないので、本当に約束通りというものではない」と、PayPalユーザは増加するフィッシング攻撃のターゲットになっていると指摘したDuo SecurityのZach Lanierは発言している。
「何故、銀行から強奪しようとするのか?」
「PayPalは、内部に資金を蓄えているという点で、ある種の銀行と同じように振る舞う、そして、あなたは銀行口座から直接誰かに金銭を送金するために使用することができる。何故、銀行から強奪しようとするのか? 何故なら、そこに全ての金があるからだ」と、Lanierは発言している。
The Registerの報道によると、このアプリケーションは、ユーザアカウントを保護する二要素認証を無視するように欺かれることが可能だった。通常、このアプリケーションは、単純にユーザをログインから妨げるが、LanierのPythonスクリプトによるプルーフ-オブ-コンセプトは、仮想攻撃者が、これをバイパスすることを可能にした。これが、オンライン上で発生したことを示す証拠は存在していない。
「攻撃者は、保護されているアカウントの二要素認証にアクセスし。送金するために犠牲者のPayPalユーザ名とパスワードを必要としていた」とLanierは記述している。
「二要素セキュリティキーメカニズムによって提供される保護は、バイパスされ、必ず価値のないものにすることができる」
無効化されたPayPalの二要素認証
PayPalは、以来、このバグが二要素認証システムを使用することを選択し、iPhoneやAndroidアプリケーション(どちらも二要素認証をサポートしていない)を介してログインしようとしている人々にだけ影響を与えるという、ユーザの不安をなくすステップを取ってきた。PayPalは、以来、後に披露される完全パッチを原因として、モバイルアプリケーションを介しての二要素認証ユーザのログインを無効化してきた。「あなたがPayPalアカウントに二要素認証を追加することを選択しているのであれば、あなたのアカウントはまた、安全なままである、そして、二要素認証は通常通り、多大なPayPal製品に作用し続けるだろう。二要素認証は認証の追加レイヤーである、PayPalはアカウントを安全に保持するために二要素認証に依存していない。我々は広範な詐欺とリスク検出モデルと、我々の顧客アカウントを不正行為から安全に維持するために毎日働いている専門のセキュリティチームをを持っている」と、このサイトは彼らのブログを介して発言している。
WordPressのTimThumbプラグインに0−Dayのリモートコード実行の脆弱性が顕になったが、直ちに修正された
Sophos : Naked Security (2014/06/26)
あなたが、ブログのように定期的に変化するコンテンツを含むWebサイトを稼働しているのであれば、WordPressを使用することは大変便利であるかもしれない。
そして、あなたのWebサイトが多くの画像(サイズや解像度が様々な)を使用するのであれば、あなたはTimThumbと呼ばれるWordPressプラグインを使用しているかもしれない。
数年前、偶然にも、我々は、Mark Maunderと名乗る男によって発見され説明されたTimThumb中の脆弱性について記述した。
この脆弱性は信頼できないファイルの取り扱いの拙さに関連していたので、サイバー犯罪者達は、怪しげなWebサイトからスクリプトを取ってくるように、あなたのWrodPressサーバを説得し、それを、あなたのサーバーのキャッシュディレクトリに保存することができた。
残念なことに、サイバー犯罪者の悪意あるスクリプトのキャッシュされたコピーは、珍しくもない名前で格納されるだけでなく、実行ファイルとして印されてもいた。
このサイバー犯罪者は、彼が推測できるURLを使用しているあなたのサーバー上のファイルを参照することで、あなたのサーバーを欺いて、彼のスクリプトを実行するようにさせる。
TimThumbはWebShot機能を追加している
この事件の後、Mark MaunderはTimThumbの開発者になり、書き換えに嵌り込み、このコードに関するBETAラベルから判断して、WebShotと呼ばれる機能を追加することになったようである。
ほとんどのTimThumbは、クロップ、ズーム、画像を自動的にリサイズする(例えば、大きな画像をサムネイルに変換する、あるいは、沢山の様々なサイズの画像を拡大縮小し、イメージ ギャラリにきちんと適合するようにする)ために使用される。
WebShotは、Webページを取得することが可能である。キャプチャした画像がSafariのようなWebキットベースのブラウザに表示された時、それらをレンダリングし、それらをスクリーンショットに変換する。
こちらの言葉を好むのであれば、Webのサムネイル。
簡潔に言えば、WebShot機能は以下に依存している。リクエストされたページを取得し描画するために外部コマンドを実行する。レンダリングされているビデオバッファの静的イメージを取得し、その画像をイメージファイルに変換する。
この記事が脆弱性攻撃に関するものなので、あなたが任意の部外者に、あなたのWebShot「偽ブラウザ」を悪意あるサイトに振り向けることを許したならば、間違った方向に進むことを可能にするところの、あらゆる恐ろしいことについて考えているだろう(WebShotは、困難な仕事を実行するために、CutyCapt, Qt, WebKit, Xvfbと呼ばれるオープンソースのツールを使用している)。
もしも、サイバー犯罪者が、あなたのサーバー上で稼働しているCutyCapt偽ブラウザに脆弱性攻撃を仕込み、コントロールを奪い、接収したとしたらどうなるだろう?
一般的には、サイバー犯罪者は悪意あるWebサイトへのリンクの付いたE-Mailを、あなたに送信する必要がある。あなたが、向こう見ずにそのリンクをクリックすることを期待して、その結果、あなたのPCを質に取ることになる。
WebShotで、サイバー犯罪者は、悪意あるサイトへ「クリックスルー」(【訳注】 張られているリンクをクリックして、そのサイトにアクセスすること)するようにあなたのサーバーに自動的に命令することができる、その結果、あなたのWordPress全体や、もっと他のことも質に取ることができるだろう。
そこには多くの心配がある、それが、DefaultでWEBSHOT_ENABLED機能がOFFになっている理由だろう。
しかしながら、皮肉にも、最新の脆弱性攻撃は、Webをレンダリングしたり画像をキャプチャするCutyCaptに全く関連していない。
コマンド挿入の脆弱性
一言で、TimThumbの一部であるWebShotは、コマンド挿入脆弱性として知られるものを可能にしている。
WebShotを実行することをTimThumbに告げるために、あなたが取得したいWebページの名前を埋め込んだ特別なURLを使用する。例えば
http://blog.example.com/...webshoturl...http://the.url/to/grab
TimTumbは次に、テキストhttp://the.url/to/grabを抽出し、それを取得するためにCryptCaptソフトウェアに渡す。
しかし、TimThumbは、CryptCatコマンドを実行するために、通常Linux/UNIXシステム上のBashであるコマンドシェルを使用している、そして、あなたが以下のようなテキスト文字列をBashシェルに送信すると、
次に、このシェルはコマンド置換(command substitution)として知られることを実行する、これは、その文字列を”some command”コマンドを稼働している出力先に置き換える。
$(...)デリミタ内部にコマンドを含んでいるURLを指定することは、そのコマンドを全プロセスに挿入することを意味している。
コマンドシェルにユーザ提供の文字列を渡されたサーバーソフトウェアは、とりわけ、コマンド挿入のリスクを回避するために、本当に本当に注意深く、$(...)のような危険な文字列をフィルターする必要がある。
そして、TimThumbは、1日前まで$(...)を正しくフィルターしなかった、それ故、脆弱性が存在していた。
あなたがWEBSHOT_ENABLEDオプションをONにしているのであれば、サイバー犯罪者は、サーバーに送信されるURL内部で指定されたコマンドを実行するようにサーバーを欺くことができていた。あなたの脆弱性はリモートコード実行を可能にしている。
残念なことに、「情報公開に関する保守的な方法を捨てる」と公言し、自分たちをCXSecurityと呼ぶハッキングクルーは、2日前の2014年06月24日、世界にこのバグを公開した。
これによって、TimThumbの開発者達が、彼らのコードの修正を発進させるまで、このバグは0-Day(パッチが利用可能になっていない公知の脆弱性攻撃)になった。
何をすべきか
幸いなことに、TimThumbのプログラマ達は、現在修正を含めている。そこで、あなたがWordPressでTimThumbのユーザであるのなら、あなたは以下のどちらか、もしくは両方を実行することができる。
・ あなたのTimThumb設定ファイルを編集し、WEBSHOT_ENABLEDがFalseに設定されていることを確認しなさい
・ あなたのTimThumbソフトウェア ファイルを最新バージョンにアップデートしなさい
あなたが他の誰かが世話をしているWordPressサイトを分かっているのであれば、この記事へのリンクを彼らに送信し、彼らが上記事前警告のどちらか、もしくは両方を適用したかどうか尋ねなさい。
そして、どうか、あなたが自分自身がセキュリティ研究者であると考え、このような脆弱性攻撃可能なバグを発見したなら、あなたが如何に賢明であるかを他の誰かに示す前に、それを修正するために公正なショットを、そのコードの著者に与えなさい。
あなたが著者に告げても、その著者達がそれを修正することに何の興味を示さないのであれば、次に、あなたは彼らに修正を強制するために、このフローを公開することを考慮できる。
故意に、最初からバグを0-Dayにすることは、私には手前勝手な寛大さを欠いていると思う(とりわけ、著者達が空き時間で無料で世話をしているツール中のこのようなバグに関しては)。
Evernoteのフォーラムがハックされ、ユーザのパスワードとE-Mailアドレスが露にされた
ESET : We Live Security (2014/06/18)
ノート取りとアーカイブ アプリケーションのEvernoteは、ディスカッション フォーラムがハックされ、ユーザの中にはパスワード、誕生日、E-Mailアドレスが改竄された者もいるとアナウンスした。
このハックは、昨日の午後Evernoteフォーラムの管理者の、「https://discussion.evernote.comを営業しているベンダは、彼らがハックされていたと我々に通知してきた。このハッカーは、我々のフォーラムメンバーのプロファイル情報を取得している。我々は、このハッカーが如何なる個人的なフォーラム メッセージにもアクセスしていないと信じる」と言う
投稿によって明かにされた。
この会社は、2011年もしくは、それ以前のフォーラム パスワードだけが改竄され、Evernote用のパスワードが改竄されたわけではないことを強調することに苦心していた。ユーザは彼ら自身が安全であることに気がついている。しかしながら、セキュリティ エキスパート
Graham Cluleyが指摘しているように、ユーザが他の場所でも、彼らのフォーラム パスワードを使いまわしているのであれば、彼らは脆弱性を持っているかもしれない。
Evernoteは、フォーラムとアプリケーション用にシングル パスワード システムを導入しているので、2011年以降にEvernoteに参加したユーザは、彼らのパスワードを変更する必要はない。ZDnetによると、Evernoteフォーラムには現在164,644の登録メンバーがいる。Evernoteはどれだけのメンバーがハックによって影響を受けたかを公表していない。
Evernoteは影響を受けたユーザに接触した。ハックを議論している
フォーラム上の投稿によれば、改竄されたパスワードは"ハッシュ"されていた(保護の基本レベルを提供する暗号化)。
この火曜日、Evernoteは、DoS攻撃(denial-of-service)の対象となっていたので、ユーザに彼らのアカウントでのアクセスを停止していた。DoS攻撃は翌日までには撃退された。そして、Evernoteは、攻撃されている期間中にハッキングが行われなかったとして顧客を安心させていた。
侵入者が、ユーザ パスワードのリセットと完全な個人情報にアクセスすることを許した2013年の大ハックの後、Evernoteは任意ではあるが二要素認証を導入した。それによって、ユーザは彼らの身元を証明するために彼らのスマートフォンに送信されたコードを使用することができた。Evernoteは1億を越えるユーザを持っている。
別のRAT(remote access trojan)がマルウェアの排水溝を這いずり回っている
The Register : Security (2014/06/17)
またもや、別のバンキング トロイがInternet Explorerをからデータを盗むために、ブラウザ フッキングを使用しているものが現れた。
Dyreza(もしくは、Dyre)は、ZIPファイルと偽っているが、実際にはマルウェアのペイロード(悪意の総体)を投下するフィッシングE-Mailを介するという通常の方法で投入されている。
デンマークのCSISの研究者達は、指揮統制を実行しているサーバを同定し、そして、このサーバに関連付けられているラトビアのマネー・ミュール(【訳注】 犯罪と知らずに不正資金の送金を代行し、資金洗浄に加担してしまう者、またはその手法のこと(Wikiペディアより))アカウントを表示することができたと発言している。CSISはまた、このペイロードのコードが、将来の攻撃が計画されていることを示唆していると警告している(このフィッシングE-Maiは、Flash Playerをアップデートすると偽っている)。
Dyreza中の余分なソースは、ユーザが暗号化されていると考えているトラフィックを捕獲するために中間者攻撃(【訳注】 マン・イン・ザ・ミドル攻撃、暗号通信を盗聴したり介入したりする手法の一つ。通信を行う二者の間に割り込んで、両者が交換する公開情報を自分のものとすりかえることにより、気付かれることなく盗聴したり、通信内容に介入したりする手法(e-words))を稼働しようとし、二段階認証をクラックしようとしている。
感染したユーザのブラウザのトラフィックは、攻撃者によって制御される。これは、攻撃者が「あらゆるものを(平文でのSSLトラフィックのようなものでさえ)読むことが可能なことを意味している。この方法で、彼らはまた、二段階認証を迂回しようともするだろう」ことを意味していると、CSISのPeter Kruseは記述している。
このトロイをDyreと名づけたPhishMeは、感染させられたユーザは、彼らがSSLセッションを確立していると信じているだろうが、この「攻撃者はWebページのSSLメカニズムをバイパスすることができる」と発言している。
これは、このマルウェアがユーザのリクエストをインターセプトし、攻撃者が制御するIPにユーザをリダイレクトしていることが理由である。
PhishMeとCSISは共に、他のZeusの変種ではなく、どちらかというと新しいRAT(remote access trojan、【訳注】 リモートアクセス型のトロイの木馬、無害なプログラムを装ってコンピュータ内に侵入するマルウェアであるトロイの木馬のうち、侵入したマシンをリモートアクセスが可能な状態にする機能を持つもののこと(IT用語辞典BINARYより))である。CSISは、目標組織として、Bank of America(バンク・オブ・アメリカ), Natwest(ナショナル・ウエストミンスター銀行), Citibank(Cityバンク), RBS(ロイヤルバンク・オブ・スコットランド)、 Ulsterbank(アルスター銀行)を同定しているが、もっと多いかもしれない。
Windows 7を安全にするには、時空を遡る必要がある
The Register : Security (2014/06/16)
Microsoftは、Internet Explorer 11の6月のパッチを受信するには、4月のアップデートを適用していることを、Windows 7のユーザに強制していた。
この要求は、IEやOSの旧バージョンのユーザは無関係である。
Microsoftは、その措置の理由を提供していないが、アップデートが、最新のブラウザの最新の生まれ変わりのための細工にだけ必要なことから、パッチプロセスを単純化したことは明らかである。
6月の巨大な緊急アップデート (
MS14-035) とIE 11の全てのパッチを受けとるために、ユーザは、メモリ中のオブジェクト ハンドリングの解決をしている4月の修正
MS14-18、
KB2919355、あるいは、
KB2929437の検出(【訳注】
Microsoftの、こちらのサイト、「検出および展開ツールとガイダンス」以降を熟読してください)を早急に行う必要があるだろうと、Microsoftは
サポートドキュメント中で発言している。
6月10日にリリースされた最新の修正は、Internet Explorer中の59の脆弱性を解決している。そして、最も深刻なものは、ユーザが特別に細工されたサイトにブラウザを差し向けたとき、リモートコード実行を可能にするものである。
「これらの脆弱性は単独では任意のコードが実行されることを許可しない。しかしながら、これらの脆弱性は、任意のコードを実行しているとき、権限の昇格を悪用するところの他の脆弱性(例えば、リモートコード実行の脆弱性)と結合して使用されることが可能である」と、Microsoftは
MS14-035のアドバイザリで発言している。
「更に、改竄されたWebサイトや、ユーザ提供型コンテンツを受け入れたりホストしたりしているWebサイトは、この脆弱性を攻撃することが可能な特別に細工されたコンテンツを含むことができた。例えば、攻撃者は、ユーザを欺いてリンクをクリックさせ、攻撃者のサイトにユーザを導くことができた」
Windows 8.1やWindows Server 2012 R2ではアップデート2919355、Windows 7 Service Pack 1 や Windows Server 2008 R2 Service Pack 1ではアップデート2929437が存在しなければ、IE 11を稼働しているユーザは、ブラウザの修正を取得できないだろう。
自動アップデートを有効にしているユーザは、これらのアップデートが失敗し、脆弱性を晒したままにしている場合を除いて、この新たな要求の影響を受けない。
サイバー犯罪者は、もはやサポートされていない日本のブログツールをターゲットにしている
Kaspersky : Secure List (2014/06/12)
サイバー犯罪者が、殆ど管理されていないWebサイトに対して大変積極的に狙いをつけ、彼らの悪意ある活動のために、そのようなサイトを悪用している。日本におけるWebサイトの損壊は昨年以来増加している。このことは、日本のインターネットユーザに対する警告でもある。Kaspersky Labs Japanは、2014年01月から03月の間に2,800以上のWebサイトが改竄されていることを観察した。
WordPressは世界中で人気のあるブログツールであるが、しばしば、Webサイトの改竄を結果としてもたらす脆弱性によって悩まされる。似たような日本製のツール、“Web Diary Professional” (WDP)、もまた、そのような問題を経験している。WDPは日本において、日本語のユーザインターフェイスとチュートリアルのために広汎に使用された。しかしながら、WDPは、もはやサポートされていない。
WDPの公式サポート終了に関するアナウンス:
新しいツールが、既に後継ソフトとして導入されている。開発者は人々に移行を推奨している。しかしながら、かなりの数のWebサイト管理者は、サイバー犯罪者の脅威に彼ら自身を晒すかのように、依然としてサポートの終了したWDPを使用し続けている。
私はWDPが使用されている可能性を示唆する特定のキーワードを使用してGoogle検索した。そして、凡そ50万のWebサイトを発見した(2014年04月の時点で)。もちろん、これら全てのWebサイトに脆弱性があるわけではないし、中には二重にカウントされているかもしれない。しかしながら、この(検索結果上位のWebサイトに関する)結果の検証から、殆どWDPが使用されており、二重カウントは僅かであった。
調査したところ、実在しているWDPベースのWebサイトの80%が問題を抱えていることが発見された。取り分け、ユーザ認証用パスワードのハッシュを含むファイルが、外部から閲覧することが可能であった。このパスワードは単純なものなので、パスワード クラッキングツールを使用することで簡単に復号される。
問題ある幾つかのWebサイト:
このWDPパッケージはユーザ アカウント情報(ユーザ アカウント、パスワード ハッシュ、パーミッション)を含むファイルを持っている。この問題は、誰もがDefaultで、このファイルを閲覧することができることにある。
管理者パスワードのハッシュの付属するURLのリスト:
・ ak*********ra.ne.jp : J1wmEoM.bkL**
・ ho********el.co.jp : M8E16gZ2Ewb**
・ ku***********ou.com : I17D74cikmT**
・ sp******ft.co.jp/sh************bu/blog/ : aS1WTP.kHtM2**
・ ts*******mi.net : N5S6jTCx/jm**
・ www.by***in.or.jp : M5KnJS9KBGr**
・ www.ed*************ma.jp : L9axf8TE5Vz**
・ www.su*****rt.co.jp : X4YGGUaW3gz**
・ www.ta*****ai.or.jp : J7EnglocxcP**
・ www.te****46.com : B3bgZ6bilnO**
パスワード クラッキング ツールで、簡単なパスワードは非常に短時間でクラックされる。
これを実行することが如何に簡単なものであるかは、私のテスト環境で生成されたサンプルのハッシュに注目してみよう。
パスワード クラッキングツールが表示した結果。
攻撃者は、この方法でWeb管理者パーミッションを取得することが可能である。
このツールでパスワード ハッシュのリストを復号することを試みた結果として、このハッシュの26.61%が、短時間(3時間)でオリジナルパスワードに復号された。
・ 1234 (www.so*****ma.org)
・ 1234 (www.cl******ir.com)
・ 6636 (ts*******mi.net)
・ 0123 (www.uc*****or.com)
・ 0123 (www.yo*********ai.jp)
・ mayu (gc**************rq.or.jp)
・ 12345 (www.pa***********te.com)
・ 1122go (www.os*******se.com)
・ n24w17 (www.se****-h.com)
・ kurosaki (ku***********ou.com)
攻撃者が管理者パスワードを知ると、攻撃者が希望するときに、そのWebサイトを編集することが可能になる。実際、私は巧みに取り扱われている幾つかのWebサイトを発見した。そのようなWebサイト上には、スパムツール、攻撃者のメッセージを表示するファイル、DDoSツール、バックドア等が存在している。この様なWebサイトが悪意ある意図を持つ者によって悪用されていることは想像に難くない。
改竄されたWebサイトの例:
攻撃者のメッセージ:
DDoS攻撃ツール:
バックドア Webシェル
観察された最悪のケースは、クラウド サービスの例であった。数百のWebサイトがホストされているように思える、このサービスは単一のサーバー上で動作しており、バックドアが、そのWebサイトの一つにインストールされていた。このバックドアを使用することで、このサーバー上にある他の綺麗なWebサイトを、攻撃者が巧みに取り扱えるということであり、そのようなサイトを引っ掻き回すことが可能であり、重要なデータを盗むことが可能であることを意味している。
もう一度、WDPのサポートは既に終了している、開発者は、そのユーザーに対して新しいツールへの移行を推奨している。WDPを使用し続ける何らかの理由を持つ人々のために、開発者は親切にも、セキュリティを拡張する方法を紹介している。あなたが既にサポートが終了したWDPを、あなたのWebサイトとサービスで依然として使用し続けるか否かに関わらず、犠牲者や善意の第三者にならないために、可能な限り早急に措置をとることが強く推奨される。
Kaspersky Labの製品は、この研究中に発見された一連の悪意あるツール(バックドア等)を以下のように検出する:
・ Backdoor.PHP.PhpShell.*
・ Trojan-Spy.PHP.PhPen.*
・ Backdoor.PHP.C99Shell.*
Operation Tovarは成功した、しかし、本当にCryptLockerのためのGameoverなのか?
Bleeping Computer : General Topics > News (2014/05/29)
本日、米国司法省は、Gameover Zeus Botnetを引きずり下ろすことに成功したとアナウンスした。Gameover Zeus Botnetは、銀行クレデンシャルを盗む、並びに、他のマルウェアを配布する方法として挙動するマルウェアである。Zeus Botnet(あるいは、ZBOT)マルウェアによって配布された最もよく知られている感染の一つは、CryptoLockerと呼ばれる身代金要求ソフト(ランサムウェア)である。FBI、国際法執行機関(international law enforcement counterparts)、民間部門の企業の協力によって、Gameover Zeus Botnetを、成功裏にシャットダウンし、サーバーを奪取し、そのリーダーの一人(Evgeniy Mikhailovich Bogachev、エフゲニー ミハイロビッチ ボガチェフ)を特定し,
公開した。
2013年9月に発見された時、CryptLockerのメインの配布方法は、企業のE-Mailアドレスに巨大な数をE-Mailし、添付されたPDFファイルに変装したZBOT実行ファイルであった。これらのE-Mailは、税金業務を手掛ける会社(Fedex, UPS, Xerox、他のビジネス関連組織)を装っていた。ZBOT添付ファイルを開いたなら、ZBOTがインストールされ、感染したマシンに結局、CryptLockerがダウンロードされインストールされるだろう。
結局のところ、このオペレーションが大成功であったことと、コンピュータを使用する全ての者に便益を与えたことは疑いないが、本当にCryptLockerは終焉したのか? 更に付け加えると、Zeus BotnetとCryptLockerの作成者は同一人物なのか? 我々が認識していることは、この引きずり降ろしに加わった会社の一つであるMcAfeeが、Gameover Zeus Botnetが引きずり降ろされたとする公式のアナウンスの前に、Operation Tovarについて、時期尚早に
ブログに投稿したということである。このブログポストは、Gameover Zeus Botnetが引きずり降ろされる前に短い期間だけとはいえ公開された。残念なことに、GameoverやCryptoLocker開発者が何が起こっているかを認識し、CryptoLocker Decryption Serviceのページを簡単なメッセージに置き換えるためには十分な時間だったかもしれない。「馬鹿野郎、McAfee」。残念なことに、このページは最早アクセスできない、ただ"Bad Gateway"メッセージを表示しているだけである。
現在、Operation Tovarの詳細情報は公式の米国司法省の
苦情、
プレスリリース、およびOperation Tovarに関する他の
裁判所の文書に見つけることができる。
身代金要求ソフト(ランサムウェア)CryptoDefenseが、Javaドライブ-バイ脆弱性攻撃を介して感染している
Graham Cluley : News (2014/05/29)
セキュリティ企業Bromiumの技術屋達は、CryptoDefenseマルウェアが、その製作者達のために、より多くの金銭を稼ぐことを目的として、ブービートラップされたWebページを介して拡散していることを発見した。
CryptoDefenseは、同類のランサムウェアCryptoLockerに比べれば知名度は低いが、間違いなく不快なものであり、犠牲者のコンピュータ上のドキュメント、ソースコード、SSL認証を暗号化し、そして、誘拐しているデータを復元するために、Bitcoinで身代金を支払うように要求してくる。
最初、殆どのユーザが、問題が存在していることを認識するのは、彼らがHOW_TO_DECRYPTと名付けられたファイルをWindowsデスクトップ上に見つけた時である。
あなたのコンピュータ上のビデオ、写真、ドキュメントを含む全てのファイルは、CryptoDefenseソフトウェアによって暗号化された。
暗号化は、このコンピュータ用に生成された一意の公開鍵RSA-20148を使用して製造された。ファイルを復号するには、秘密鍵を取得する必要がある。
あなたにファイルの復号化を可能にする秘密鍵のシングルコピーは、インターネット上の秘密のサーバー上に置かれている。このサーバーは一月後に、この秘密鍵を破壊するだろう。その後は、誰も暗号化されたファイルを復号化することは不可能になる。
ファイルを復号するには、このサイト[URLリンク]上の、あなた個人のページを開き、指示に従いなさい。
このメッセージに含まれているリンク先をクリックすると、あなたは支払いを促されるWebページに連れて行かれる(CAPTCHAテストに合格したなら)。
しかし、あなたが時間を浪費し、時間内に十分なBitcoinを支払わないなら、あなたは身代金が増加していくのを見つけることになる。
あなたが、このマルウェアに攻撃される大変な不幸に見舞われたとしても、私は犯罪者に金銭を支払うことを、あなたに勧めることはできない。結局、あなたは、将来の攻撃を稼働するように犯罪者を奨励しているだけである。そして、これら犯罪者が、あなたにファイルへのアクセスバックを実際に与えるという保証はないし、むしろ、更に身代金の額を増額してくるかもしれない。
あなたが気を利かして、重要なデータの安全で改竄されていないバックアップを持っているのであれば、あなたのコンピュータを掃除し、そのバックアップからリストアすることが賢明である。
Bromiumの研究者によると、このランサムウェアは、攻撃者によってJavaドライブ-バイ ダウンロードを介して拡散されている。
それが意味していることは、CryptoDefenseの背後にいるギャングが、E-Mail添付ファイルとして彼らのマルウェアをスパム送信しているのではなく、Javaの脆弱性を攻撃するためにWebサイト上に植え付けられた悪意あるコードで、訪問しているコンピュータをコッソリ感染させることで、可能性のある犠牲者の保管数を増やそうとしていることである。
CryptoDefenseの詳細な解析と感染方法に関しては、このテーマに関する
Bromiumのブログへの投稿をチェックしなさい。
今一度。あなたが別の理由を必要としているとしても、CryptoDefenseは、あなたのコンピュータ上に本当にJavaを必要としているか否かを考慮することは価値あることであるということを思い起こさせる。
真実はサイバー犯罪者がJavaを大好きであるということである。Javaはマルチプラットフォームである。これは、如何なるオペレーティングシステムであれ、Javaが様々なコンピュータ上で稼働できることを意味している。この理由から、ペイロード(悪意の総体)をOS依存で提供する前に、攻撃の一部として、攻撃者がJavaの使用に目をつけることは珍しいことではない。
以下に、あなたのオプションがある:
1) あなたが本当にJavaを必要としているのであれば、できるだけ早く利用可能な全てのセキュリティパッチを適用しなさ
2) Javaを完全にアンインストールしなさい。あなたがJavaを必要としないと思うのであれば、多分あなたはJavaを必要としていない。
3) 妥協の余地はない。あなたのWebブラウザ中のJavaをOFFにしなさい。この操作は、Javaをベースとするマルウェア攻撃の最も一般的なベクトルを妨げる。Naked SecurityのWebサイトに、最も人気のあるブラウザ用に、これを実行する方法を説明している記事がある。もちろん、あなたが、このルートを採用するのであれば、あらゆるJavaセキュリティアップデートを適用すべきである。
あなたが仕事をしている場所に応じるが、オプション2と3は、採用することが困難であるかもしれない。相当数の企業は、適切な動作にJavaを要求する古めかしいコードに頼っている。これが、あなたの場合であるのなら、あなたのITチームが2003年に記述したキーキー軋む古臭いjavaベースのアプリケーションを稼働する必要のあるブラウザより、Webサーフ用に別のブラウザを採用するほうが適切であるかもしれない。
Javaがセキュリティに関する悪名を得たので、多くの人々が、マルウェア攻撃を被るリスクより、彼らのコンピュータ上からJavaを永久に削除することに躍起になっていることは驚くことではない。
今年初め、Bromiumは、無防備なユーザがYouTubeを見ている時、ハッカーが、そのコンピュータを感染させていることを発見した(Java脆弱性攻撃を介して)。
言っていることが分かるかい?
あなたはJavaを使用することに熱心である。更に熱心なことは、Javaにパッチを当てないことである。
あなたの職場は、Javaをインストールすることを要求しているか? 2014年において依然としてJavaを使用し続けていることについて、どのように考えているのか、以下にコメントを残して我々に教えられたい。
此処に2019年迄Windows XP用の無料のセキュリティアップデートを取得し続けるための方法がある。そして、あなたが、これを実行すべきではない理由
Lumension : News (2014/05/27)
あなたは、このニュースを聞いたことがあるか?
Microsoftが本年4月にXPの公式サポートを打ち切っているにも拘らず、コンピュータを欺いて、Windows XP用のセキュリティアップデートを受け取るれる方法。
BetaNewsのレポートによると、これはキーキー音を立てている古臭いXPを使用しているユーザが、これからの5年間セキュリティアップデートを受け取れるようにすることを可能にするものである。
あなたが実行する必要のある唯一のことは、13年前にリリースされたXPではなく、2019年迄サポートが残っているWindowsの別製品と信じこませるようにWindows Updateを騙くために、一つのレジストリ設定を変更することである。
そう、あなたがWindows XPを稼働しているのではなく、キャッシュレジスタやセルフサービス チェックアウト等に使用されているWindowsの他のバージョン(以前Windows Embedded POSReadyと呼ばれていた、Windows Embedded Industry)を稼働しているとWindows Updateをペテンにかける単純な事例であることは明らかである。
BetaNews
このニュースは、Windows XP用セキュリティアップデートを追加の一年あたり550万ポンド(9億3500万円)支払ったイギリス政府のような、ある人々には遅きに失した。Windows XPサポート有効期限が7年間とする通知は、明らかに彼らがXPから離脱するための十分な時間ではなかった。
予想通り、Microsoftは、この出来事に関心を示していない。そして、ユーザにこの解決策を回避するよう声明を発表した。
インストールすることのできるセキュリティアップデートは、Windows EmbeddedとWindows Server 2003を意図している。そして、Windows XPユーザを完全に保護するわけではない。Windows XPユーザは、彼らがこのようなアップデートをインストールするなら、それらアップデートはWindows XPでテストされていないため、彼らはマシンに重要な機能問題のリスクを負うことになる。Windows XPユーザがシステムを保護するための最良の方法は、Windows 7やWindows 8.1のような、よりモダンなオペレーティングシステムにアップグレードすることである。
Microsoftの言うことは尤もである。
あなたがサポートされていないオペレーティングシステムを稼働し、サポートされていないセキュリティ アップデートに依存するのであれば、あなたは危険なゲームをしていることになる。あなたは、適切にコンピュータを保護するために苦労している貴方自身を見出すだけでなく、あなたのPCと、そのシステム上で稼働しようとしているサードパーティ製アプリケーションを無茶苦茶にするリスクも犯している。
私は間違いなくコンピュータを安全に維持するために、このような策略を弄することは極めて警戒するだろう。
できる限り早急に、Windows XPを捨てなさい。今サヨナラを言う時である。
【訳注】 この問題に関してGigazineが「
サポート切れのWindows XPでセキュリティアップデートを受ける方法が公開される」というタイトルで報道しています。
TrueCryptを使用することは危険である
Graham Cluley : News (2014/05/29)
あなたが人気のあるオープンソース暗号化ツールTrueCryptのWebサイトを訪問したなら、あなたはビックリするメッセージを見ることになるだろう。
ここ24時間くらい、truecrypt.orgはsourceforge.netの、このプロジェクトのホームページにリダイレクトされる。そこで、TrueCryptが終焉することの突然の発表をアナウンスされる。
警告: TrueCryptを使用することは、修正できないセキュリティ問題を包含する可能性があるために危険である。
このページはTrueCryptによって暗号化されているデータを移植するための支援を行うためだけに存在している。
TrueCryptの開発は、MicrosoftがWindows XPのサポートを撃ち切った2014年05月をもって終了した。Windows 8/7/Vistaと、その後継版は、暗号化されたディスクと仮想化ディスクイメージに関する統合化されたサポートを提供している。このような統合化されたサポートは、他のプラットフォームに関しても利用可能である(詳細な情報に関してはこちらをクリック)。あなたは、あなたのプラットフォームでサポートされる暗号化されたディスクや仮想ディスクイメージに、TrueCryptによって暗号化されたデータを移植すべきである。
あなたが、TrueCryptによって暗号化されたデータを移植する場合にだけ、TrueCryptをダウンロードすべきである。
このアナウンスはまた、多くの人々を驚かせた。このソフトウェアはセキュリティに精通したユーザによって、彼らの重要なファイルやハードドライブ全体を暗号化するために使用されている。そして、つい先月、TrueCryptは独立したセキュリティ監査の第一段階を通過した(バックドアや作為的なフローの証拠は発見されなかった)。
当初、TrueCryptのWebページは損壊した、あるいは、TrueCryptチームのいたずらっ子のようなメンバーが突然のメッセージで、このサイトをイタズラっぽくアップデートした、あるいは、TrueCryptは(スノーデンが使用したメール会社が捜査協力を拒んで閉鎖させられたように)当局からの圧力で突然移動させられたと、疑われた。
しかし、時が経つに連れ、TrueCryptの匿名開発者が、このプロジェクトを閉じることを本当に決定したかもしれないとする意見が大きくなってきた(多少奇妙な方法であるとはいえ)。
このWebページは、 Windows, Mac OS X, Linux用の復号のみのTrueCryptの新しいバージョンを提供している。
しかしながら、この状況が明らかになるまで、このソフトをダウンロードすることに慎重であることが賢明だろう。
TrueCryptの終焉が、デッチ上げなのか、ハックなのか、本当なのかに拘らず、明らかなことは、セキュリティ意識の高いユーザは、この大失敗を受けて、このソフトウェアを信頼することに違和感を感じなくなるというようなことは無いはずである。あなたのファイルとハードドライブを暗号化する代替ソフトを探し始める時である。
Avastアンチウィルスのフォーラムがハックされ、40万のユーザが影響を受けた
Graham Cluley : News (2014/05/27)
そのフリーソフトウェアで世界中に知られているプラハに本拠を置くアンチウィスル企業Avastが、凡そ40万ユーザの情報を漏洩するセキュリティ侵害を受けた。
そう、聞き間違いではない。セキュリティ企業がセキュリティ侵害を受けた。この皮肉は、我々の全てに、その意味が分かったはずである。
何かが大変悪くなった最も明らかな視覚的な兆候は、インターネット接続を持つあらゆる人が、forum.avast.comのAvastコミュニティーフォーラムを訪問することによって、見られることができるということである。
Vince Steckler(AvastのCEO)はブログへの投稿で、何が間違っていたかを説明している。
Avastフォーラムは、現在オフラインである、そして、短い期間ではあるがオフラインのままだろう。Avastフォーラムは、先週末にハックされ、ユーザのニックネーム、ユーザ名、E-Mailアドレス、ハッシュされていた(一方向暗号化)パスワードが改竄された。パスワードがハッシュされていても、如才のない盗人は多くのパスワードを引き出すことは可能である。あなたが、他のサイトのログインに同じパスワードと、同じユーザ名を使用しているのであれば、即座にパスワードを変更してほしい。我々のフォーラムがオンラインに復帰したなら、改竄されたパスワードは最早無効になっているので、全てのユーザは、新しいパスワードの設定を要求されるだろう。
この問題は我々のコミュニティー サポート フォーラムだけが影響を受ける。2億のユーザの0.2%未満が影響を受ける。支払い情報、ライセンス、ファイナンシャル システムや他のデータは改竄されていない。
我々は、現在フォーラムを再構築中であり、別のソフトウェア プラットフォームにフォーラムを移動している。フォーラムが復帰した時、より高速で、より安全になるだろう。攻撃者がフォーラムを侵害した方法は、未だ判明していない。しかしながら、我々は攻撃が発生して直ぐに、我々は基本的に検出したと確信している。
我々は、ユーザ名が盗まれたことを深刻であると認め、それがあなたに及ぼす懸念と不便を残念に思っている。しかしながら、Avastフォーラムは、独立したサードパーティ製のシステムであり、あなたの重要なデータは安全なまま残っている。
AvastのCEOが、ハックされた結果として、支払い情報が漏洩されていないということを強調することに熱心であるとしても、私は「あなたの重要なデータは安全なまま残っている」とする主張には懐疑的である。ユーザ名、E-Mailアドレス、ハッシュされたパスワードがハッカーの手に落ちたことは懸念されることではないのだろうか?
ハッシュされたパスワードを安全にするためにAvastによって使用されていたアルゴリズムの詳細は、このブログへのポストで明らかにされていないが、明らかにこの企業は、幾つかの認証情報を、決意の固い攻撃者がクラックできることを懸念している(犠牲者がWebの他の場所で同じパスワードを使用しているのであれば、他のオンラインアカウントが改竄されていることを発見する可能性がある)。
人々は皆、各オンラインアカウントにそれぞれ別のパスワードを使用し、クラックしたり推測することが容易ではない複雑なパスワードを保証するようにすべきである。私は、あらゆるコンピュータ ユーザが、より優れたパスワード安全性のためにLastPass, 1Password, KeePassのようなパスワード管理ソフトウェアを稼働することを推奨する。
Avastの名誉のために、Avastが、フォーラムをシャットダウンし、セキュリティ漏洩の影響を受けたかもしれないユーザにE-Mailし、攻撃に速やかな対応をしたことは明らかである。Avastの対応を、独自のハッキング攻撃を受けたeBayの最近の情報漏洩に対する対応の遅さと比較してみなさい。
Avastは、そのメッセージボードの稼働にSimple MachineのForum (SMF)を使用している。そして、このアンチウィルス企業が、このフォーラムソフトウェアを最新のセキュリティ パッチを当てて適切にアップデートし続けていなかったと考えることが自然である。
Avastは、もちろん、以前にも攻撃されたことがある。例えば、昨年、ハッカーは、このWebサイトの訪問者を別のサイトにリダイレクトするように、この会社のDNSレコードを変更しようとした(幸いにも、十分用心深かったので、この攻撃は空振りした)。
公正を期すならば、Avastは、決してインタネット攻撃者の手で傷つけられた最初の企業ではない。私の推測は、Avastが最後でもないということである。
ライバルのセキュリティ企業は、Avastの不祥事にあまり独り善がりにならないことが賢明だろう。代わりに、セキュリティに関して弛んでいるかどうか決定するために、自分達のシステムを精査することが肝要だろう。
Schockwaveショック: プラグインはFlashの未パッチのバージョンを含んでいる
The Register : Security (2014/05/20)
Adobeの最新のShockwave Playerは米国の国土安全保障省コンピュータ緊急対応チーム(US-CERT)に懸念と困惑を増加させる18の未パッチの古いFlashの脆弱性付きという脆弱性だらけのシロモノである。
4億5000万の人々に使用されているこのビデオ プラットフォームは、昨年の1月以来アップデートされていないスタンドアロンのFlash Playerを含んでいた。
その時以来、ユーザが巧妙に細工された、あるいは、ハイジャックされたWebページを閲覧したなら、WindowsやMacマシンがハイジャックされることを可能にする問題を解決するために、Adobeによって、数多のFlasy脆弱性の修正がリリースされてきた。
Krebs on Securityは、Adobeが、次のShockwaveリリースでバグのあるFlashバージョン(11.5.502.146)を鎮圧する計画をしていると報道しているが、何時なのかは言及されていない。
それまで、ユーザはShockwaveをアンインストールすること以外に実行することは何もない。
「特別に細工されたShockwaveコンテンツを閲覧するようにユーザを納得させることによって、攻撃者は、ユーザ権限で任意のコードを実行することができる可能性がある」と、US-CERTの技術者Will Dormannは、
脆弱性ノートで発言している。
「我々は現在、この問題に対する現実的な解決策を認識していない」
ShockwaveでプレミレニアムWebサイトを閲覧しようとするユーザは、Director(【訳注】 Adobe Director、詳細に関しては
こちらを参照)コンテンツへのアクセスを制限し、スクリプト ブロッキング拡張を稼働することで攻撃を減少することができるだろう。レジストリを弄ることでInternet ExplorerでのActive Xを全滅することが可能だろう。
AdobeがスタンドアロンのFlash Playerの本来危険な使用に終止符を打ち、代わりにシステムワイドで、頻繁にパッチされるバージョンの使用を選択するかどうかは不明である。
アップデートにも拘らず、Vulture Southのセキュリティ諜報員の知人は、可能な限りFlash、Javaと共にShockwaveを削除することをユーザに勧めている。
Heartbleed(OpenSSLの心臓が張り裂けそうなバグ)放置は危険。AVGのフリーツールを活用しよう
The Register : Security (2014/05/20)
これは止血されていないバグである。多くのWebサイトは、OpenSSLのパスワード漏洩バグ用のパッチがリリースされた後一月以上経つがHeartbleedのの脆弱性は依然として存在している。
AVGのVirus Labsの研究者達は、
Alexaトラフィック ランキングでの世界中の上位80万サイトをスキャンした。そして、発見された12,043(約1.5%)が依然として、この脆弱性を持っていた、と発言している。この研究者達はまた、アジアとブラジルで幾つかの国営のWebサイトにもリスクがあるかもしれないと発言している。
他のセキュリティ専門家は、AVGの数字がWebの彼ら独自の調査と一致していると考えている。
クラウドセキュリティ企業Qualisの技術部長Ivan Risticは本日The Registerに「AVGの研究者達は、私が見ている状態に近い」と語っている。4月末、Heartbleed修正がリリースされた3週間後、彼は、その時点でデータ露出バグの脆弱性は世界中のWebサイトで1%に満たないと見積もっていた。
SSLパルス(独自の人気のあるWebサイトのリストを示している)は、調査したサイトの0.8%が5月に脆弱性が存在していたと発言している、とRisticは発言している。「私は人気の高いWebサイトほど、より速くパッチしている」と、彼は本日付け加えた。
Errata SecurityのRobert Grahamは、彼が凡そ2週間前にスキャンしたサイトの1.3%が依然として脆弱性を持っているとブログしている。
Heartbleedは、TLS中のキープアライブ機能(【訳注】 ネットワーク上で、接続が有効であることを確認するために定期的に行われる通信(IT用語辞典ーWords))のOpenSSL実装中のバグである。この脆弱性のある機能は数年前に導入されたが、先月露になったばかりである。これは、攻撃者が、パスワードや暗号化キーのような重要なデータを、サーバーのメモリ、ルータ、他の脆弱性あるデバイスを介してユックリ調査することを可能にする。
唐突にも、AVGは、Webサーファーが重大なフローの影響を依然として受けるWebサイトを訪問した時、このWebサーファーに警告するために、無料の
AVG Web TuneUpブラウザ ツールにHeartbleedスキャナを追加している。
【訳注】 AVG Web TuneUpは現在ベータです。和訳している時点でAVGの日本語サイトには、このツールは存在していないようです。動作環境は、Windows XP、Vista、7のGoogle ChromeもしくはFirefoxです。このツールはブラウザのアドオン(Free)です。AVGのユーザでなくても利用可能です。
公式のWindows PhoneとAndroidアプリケーション ストアに、インチキのアンチウィルス アプリケーションが…
Graham Cluley : News (2014/05/15)
Kaspersky Labのセキュリティ研究者は、Windows Phoneストアに
Kaspersky Mobileを発見した後、不平をブツブツ言いながら眉を釣り上げた。
Kasperskyは、その名前の製品を製造していないのだから、大したものである。
明らかに、殆どのインチキのアンチウィルス製品と異なり、このアプリケーションは、あなたが感染させられていると信じこませた後、あなたを脅してクレジットカードの詳細を入力させるようなことをしようとしない。このソフトは何もしない。けれども、もちろん、あなたは、このソフトウェアを購入するために数ドル支払った後に、このことを発見することになる。
そして、“Kaspersky Mobile”のインチキ バージョンの背後にいるものは皆、そこで留まっていなかった。彼らはまた、疑うことを知らないWindows Phoneユーザが賢明でない購入をするように欺かれることを希望して、有名なブランド名を使用した多くの他のアプリケーションも製造していた。
インチキのアプリケーションの中に、ESET, Symantec, Aviraからと主張するアンチウィルス製品、並びにMozilla, Opera, Netscapeからとするブラウザがある。
そして、Virus Shieldに類似した名前は存在しない。
當に先月、“Virus Shield”と名付けられたインチキのアプリケーションが多くのAndroidユーザを欺いた。彼らは如何なるマルウェアも発見する能力を持たないアプリケーションに金銭を支払い、インチキのVirus Shieldをチャートのトップにまで押し上げた。後で、Googleは謝罪し、オンライン出版物が騒ぎ立てた後、ダウンロードした人達に$5の返金を申し出た。
悲しいことに、Googleは公式のアプリケーションストアの警備に関する改善は見られていないようである。Kasperskyの研究者は、同様にGoogle Playにも彼らのアンチウィルスのインチキのバージョンがアップされていることを発見している。
あなたがダウンロードするものについて常に注意を払いなさい。それた喩え公式のアプリケーションストアであろうとも。
過去において、オンライン犯罪者は、インチキのレビューを作成し、ユーザにそれをダウンロードするよう欺くためにインチこのアプリケーションを真っ当なものに見せかける後押しをした。理想的には、あなたは本物をダウンロードしていることを確認したいのであれば、ベンダーの自身のウェブサイトにアクセスして、そこから、アプリケーションストアへのリンクを辿るようにしなさい。
Windows 7は、XP以上にマルウェアに侵されるかもしれない
Graham Cluley : News (2014/05/09)
新たに公開された
Microsoft Security Intelligence Report (SIR)(PDF)は、たっぷり152ページある。このレポートは、多くのITシステム・アドミニストレータをしばらくの間、虜にするかもしれない。
あなたの会社を夜も眠れないようにするかもしれない脆弱性攻撃・脆弱性・マルウェア・他の脅威に関するMicrosoftの勿体振った資料を読むことは、回転椅子に凭れ机の上に足を上げる格好の口実である。
公正に見ても、Microsoftからのセキュリティ脅威のレポートの公開は、多くの他のベンダのレポートをはるかに超える大きな優先度を持っている。結局、Microsoftのソフトウェアは、その本質から、全ての単一Windowsコンピュータ上で稼働しているので、Microsoftに世の中で実際に何が起こっているかについてのデータを収集する機会を与えている。
以下に、業界のベテランRighard Zwienenbergが私に指摘したMicrosoftのレポートの注目される点がある。
2013年第3四半期及び第4四半期におけるオペレーティング・システムとサービスパック別感染率(CCM)。ソース:Microsoft SIR 16。
【訳注】 図の斜線部分が、3Q13=2013年第3四半期。塗りつぶし部分が、4Q13=2013年第4四半期
2013年第4四半期において、MicrosoftはWindows 7コンピュータが、Windows XPを稼働しているPCよりマルウェアにるよってより多く感染させられていると発言している。XPの2.42%に比較して、Windows 7の感染率2.59%(スキャンされたコンピュータ1000台あたり25.9台)である。
Windows Vistaは、まるで健康的には見えない。
オペレーティング・システムの違いによるユーザ数の違いから、この統計が歪曲された話として伝えられているのではないかと考えるかもしれないが、この数はMicrosoftによって正規化されている。
このデータは正規化されている。Windowsのバージョン別の感染率は、バージョンあたり等しいコンピュータ数になるように計算されている(例えば、Windows 8 RTMコンピュータ1000台に対して、Windows XP SP3コンピュータが1000台になるように)。
Microsoftは、2013年の第3四半期から第4四半期にかけての感染率の劇的な増加は、主として、それ自身をブラウザアドオンとして説明していたRotbowマルウェアファミリーが原因であると発言している。
この統計はWindows 7がWindows XPより危険な環境にあることを示唆しているのだろうか? 自体がそれほど単純ならばそうかもしれない。
真実は、正しく設定されていたならば、Windows 7はWindows XPより優れた安全性を提供するということである。
例えば、Windowsの現代版(【訳注】 Windows 7や8を意味する)のユーザは、0-Dayの脆弱性を攻撃するマルウェアをブロックし、攻撃者にとっては苦しくさせられるユーティリティであるMicrosoftの
Enhanced Mitigation Experience Toolkit(EMET、脆弱性緩和ツール)を完全に活用することができる。
EMETはWindows XP SP3で実行することは「可能」であるが、このプラットフォームのユーザは、EMETの保護機能の全てに対してアクセスすることができない。
また、もちろん、マルウェアの全てが脆弱性とセキュリティホールに依存しているわけではないということを思い出すべきである。
確認されているマルウェア攻撃の大多数は、ユーザに(悪意あるリンクをクリックしたり、あるいは、送信したマルウェアに感染させてあるファイルを実行するような)下手な決定をするように欺く単純なソーシャル エンジニアリング テクニックを使用している。
Microsoftのレポートの統計は、Windows XPが未だMicrosoftからのセキュリティアップデートを受け取っている期間をカバーしている。将来、我々はセキュリティホールが未パッチのまま放置されるので、XPコンピュータがますますマルウェアだらけになるであろうと推測することができる。
要するに、WindowsのバージョンをWindows XPにダウングレードしてはならない。
また、将来のMicrosoftのセキュリティレポートに、XPがどの程度影響を受けているのかということの確認を期待してはならない。Microsoftはオペレーティングシステムの公式サポートバージョンに関してだけ統計を収集している。我々が今までに認識しているように、時代遅れのXPバージョンは、もはやサポートされていない。
あなたはMicrosoftのWebサイトから、
この完全なレポート(PDF)をダウンロードすることができる。
CryptWall: CryptoDefenseの作成者の新たなランサムウェア(身代金要求ソフト)
BleepingComputer : Latest News and Stories (2014/05/09)
CryptoDefenseの開発者達が4月末に、CryptoWallと名付けた新しい身代金要求ソフトの変種をリリースした。この変種は、その名前と身代金の支払いに関する説明書のファイル名を変更したことを除けばCryptoDefenseと大部分は同じものである。これは、このマルウェアの開発者達が、CryptoDefenseがアンチウィルス ベンダに知られ過ぎたために新しいバージョンをリリースしたのか、あるいは、他のマルウェア開発者に、このコードベースを販売したのかの何方かと推測される。残念なことに、CryptoDefenseの最新バージョン同様に、CryptoWallによって暗号化されたファイルを復号することは不可能である。
CryptoWallが、あなたのデータファイルをスキャンし、暗号化するためにあなたのコンピュータにインストールされた時、CryptoWallは、ファイルが暗号化された全てのフォルダに身代金支払いのための説明書を含むファイルを作成する。これら身代金用のメモは、DECRYPT_INSTRUCTION.HTML, DECRYPT_INSTRUCTION.TXT, 復号サービスへのショートカットであるDECRYPT_INSTRUCTION URLである。これらのファイルは夫々、あなたがCryptoWall Decrypt Service(hxxps://kpai7ycr7jxqkilp.torexplorer.com/)にアクセスする方法と身代金の支払いに関する説明を含んでいる。現在身代金は500US$(約5万円)に設定され、Bitcoinで支払わなければならない。要求されるBitcoinの量は、現在の価格に基づき変更されるだろう。
あなたが、これに関する詳細な情報を望むのであれば、我々の
CryptWall専用のサポートトピックを訪ねることができる。このトピックは現在利用可能な全ての情報を含んでおり、犠牲者、マルウェア研究者、ITコンサルタントからの情報に基づき作成されている。残念ながら、ファイルを解読する方法が全くないため与えることのできるサポートは、かなり限定的であるが、我々は可能な限りの方法で支援する。
Dropboxユーザは、納税申告書、住宅ローン申込書等を漏洩している
Graham Cluley : News (2014/05/06)
あなたが適切なケアや注意を払わずにDropboxやBoxのようなファイル共有システムを使用中であるのなら、あなたの最も個人的な情報を他人に不作為の漏洩をしているかもしれない。
そして、このリスクは理論ではない。納税申告書、財務記録、住宅ローン申込書、事業計画の暴露は、今當に発生中である。
企業向けファイル共有会社Intralinksは、Google Analytics WebトラフィックデータとGoogle Awardレポートを検証している時、偶然、重大なセキュリティ問題を発見した。
多くの他の会社のように、Intralinksは、彼らが認めているように、Webページ、コンテンツ、そして、ユーザが彼らの競合会社の名前を検索した時に表示されることを意図してデザインされたGoogle Adsを持っている。
多くの会社が、これを実行している。あなたが「Dropbox 安全 ファイル 共有」のような言葉でGoogleを検索した時、あなたはDropboxに関係しない広告やリンクを表示されることになる(競合会社もまた同様である)。
同様に、あなたが「Intralinks ファイル 共有」でGoogleしたなら、あなたはDropboxや他の競合サイト用の広告を表示されるだろう。
これが悪いことだとは誰も言わない、該当するサイトは、実在しない何かを装っているわけではない、そして、そこは業務上の健全な競争市場であり、消費者としてのあなたに選択肢の情報を提供している。
しかし、Intralinksが彼らの競争相手であるBox.comとDropboxを話題にしたGoogle Adwordsキャンペーンからのデータに注目した時、彼らは、そこからショックを受けるもの(そのサービスに格納されたドキュメント(明らかに重要な幾つかの情報を含む)にアクセスするために要求される完全なクリッカブルリンク)を発見した。
例えば、以下はDropboxから手に入った所得税申告書である(以下の画像は個人の匿名性を保護するために編集されている)。
そして、以下が別の或る人の住宅ローン申込書である。
Intralinksのヨーロッパ・中東・アフリカ地域最高技術責任者Richard Ansteyは、問題のスケールに関する見識を提供した。
一つの簡単に悪意なく設計された広告キャンペーンにおいて、我々は、ヒットした凡そ5%が共有ファイルへの完全なリンクを表示していたことを発見した。そして、その半分はダウンロードするためにパスワードを要求しなかった。そして、小さなキャンペーンから300ドキュメントを超える量を取得した(幾つかの納税申告書、住宅ローン申込書、銀行情報、個人の写真を含む)。ある場合において、事業計画を含む企業情報が剥き出しになっていた。我々はまた、多くの人々が個人と職業に関するファイルを混ぜている証拠(組織に関するプライバシーとセキュリティに潜在的懸念の存在)もまた発見した。
次に、以下の明らかな疑問がある。Google Adsキャンペーンは、どのようにしてこれら個人の大変重要なURLを受け取り、権限を持っていない参加者が機密情報にアクセスするための可能性を開いているのだろうか?
そう、ここにユーザがBoxやDropbox上のフォルダへのURLを偶然にリークする可能性のある二つの道がある。
共有リンク漏洩の脆弱性
多くのクラウドサービスが、他の人とリンクを共有する方法をユーザに提供している。例えば、ユーザがDropboxやBoxで共有可能リンクを作成したとき、それに関連している者は皆、そのデータにアクセスできる。あなたは共有リンクにアクセスするために、そのサービスの登録ユーザになる必要さえない。
彼らに共有されているドキュメントにアクセスしようとしているユーザが、この共有リンクを彼らのブラウザのURLボックスの代わりに、検索エンジンに挿入し、次に、このユーザが、広告をクリックすると、この広告サーバーは参照URLの一部として、この共有リンクを受け取る。
この問題は、共有リンクへのアクセスにユーザ自身の認証を要求しないDropboxとBox中に存在している。セキュリティの高いレベルに関して、ユーザ自身の認証は、このサービスが実行すべきDefaultの方法でなければならないことは明らかである。
現状では、DropboxとBoxが、限定し、制御した人々を対象とした共有リンクは第三者に情報漏洩する可能性がある。
ハイパーリンク漏洩の脆弱性
同様に、ドキュメントがサードパーティ サイトへのクリッカブルリンクを含んでDropboxに格納された場合、誰かが、このドキュメントのDropbox Webベースプレビュー中に存在するリンクをクリックしたなら、何が起きるか推測してみなさい?
そのドキュメントへのDropbox Share Link(共有リンク)は、サードパーティ サイトへ送信される参照URL中に含まれるだろう。
再び、ユーザが共有リンクにアクセスするために彼ら自身を認証する必要があるのなら、これは殆ど問題にならないだろう。しかし、サービスがDefaultで認証を要求しない場合、ユーザは情報のリークを、あまりに簡単に始めることができる。
要約すると、重要な情報を含んでいて、限定され制御されている人々を対象とした共有リンクはサードパーティに情報を漏洩する可能性がある。
この問題を解決するには
この暗闇の真っ只中に幾つかの良いニュースがある。
例えば、Boxプラットフォームは、Share Link(共有リンク)に関連付けられているユーザが、そのデータにアクセスできることをユーザに警告している。同様に、Dropboxは、ユーザがShare Link(共有リンク)設定を検証した場合に同様のメッセージを発生させている。
しかし、どれほどの人が、このリスクを認識しているだろうか?
Dropboxユーザへのアドバイス
あなたがDropboxの商用バージョンを使用しているのであれば、良いニュースがある。Share Link(共有リンク)へのアクセスを制限することが可能なセキュリティ設定がある。残念ながら、この会社の大多数のユーザによって使用されているDropboxの無料バージョンには、そのようなオプションは存在しない。
結果として、Dropboxユーザへの提言は、あなたが、このシステムを経由して重要なデータを共有するのであれば、Dropboxの無料バージョンではなく商用バージョンを使用する必要があり、次に、あなたのデータを保護するために適切なShare Link(共有リンク)セキュリティ設定をセットアップするということである。
あなたはDropboxの無料版を使用しているのであれば、データがサードパーティに漏洩しないようにShare Link(共有リンク)機能を使用しないことである。
最後に、Share Link(共有リンク)が不要になったなら、そのShare Link(共有リンク)を削除することを忘れてはならない。
Boxユーザへのアドバイス
Boxの個人、商用アカウント共に、Share Link経由での非認証アクセスを妨げる能力を持っている。しかし、このオプションはDefaultで有効になっていない。
全てのBoxユーザは、Share Linkセキュリティ設定を変更してデータ セキュリティを保証すべきである。
最後に、もはや要求されないShare Linkを削除することを忘れないようにしなさい。
要約
Webはある理由からWebと呼ばれる。Webはリンクを介してサイトと情報を接続するデジタル文字列の塊である。
ユーザー、企業、サービスプロバイダとして、我々はWebの他の部分との相互作用する方法、あるいは、認証されていない人々が、我々が他人に隠しておきたい場所へ這いずって行くことを大変簡単にするリスクについて慎重である必要がある。
参考文献
Your Sensitive Information Could Be at Risk: File Sync and Share Security Issue
アップデート
Dropboxは、一夜にして、この問題についてブログ ポストを行い、ハイパーリンク漏洩脆弱性に対する対策を採ったと発言している。
換言すれば、Dropboxはこの問題の一つを修正した。しかし、プライベート ドキュメントをIntralinksに対して露わにした脆弱性ではない。
Microsoft: Internet Explorer用の緊急のセキュリティパッチをリリース、Windows XPユーザさえサポート
Graham Cluley : News (2014/05/01)
Microsoftは本日、ハッカーによって実際に攻撃されている最近発見された0-Dayの脆弱性を受けて、Internet Explorer用の緊急のセキュリティパッチをリリースした。
このフローは、ユーザが毒のあるWebページを訪問するだけで、コンピュータ上にこっそりマルウェアをインストールすることを攻撃者に可能にしていたので、大変不愉快なものであった。
もちろん、このパッチはInternet Explorerの脆弱性のあるインストレーションを持っているWindowsコンピュータ ユーザにとって素晴らしいニュースであるが、その重大な性質から考えれば全くの予想外ではなかった。
先週末、報道がCVE-2014-1776のセキュリティホールを配信したとき、FireEyeは、彼らが"Clandestine Fox"と名付けた標的型攻撃の波に、このフローが晒されていると警告していた。
その時、私は以下のように論評した:
望むべくは、Microsoftが直ぐにでも適切な修正をリリースせんことを。彼らが全力を尽くし、多くの被害が発生する前に定例外のパッチをリリースしようとしているとしても、私は決して驚くものではない。
私には、Microsoftが方針を変換し、この修正を大変早くリリースし、更に、Windows XP用のパッチもリリースしたように思える。
Windows XPの最終の公式アップデートは04月08日に発行された定例パッチであると考えられていたので、これはMicrosoftのチョッとした変節である。そこで、これを救命ロープと考えなさい。
MicrosoftのTrustworthy Computing(【訳注】コンピューティングにおいて「電力供給や電話と同等の信頼性を確保する」ように、Microsoftのみならず、業界全体、社会全体で取り組んでいこうという提言。取り組みを実現する要素としては、「個人情報の保護」「セキュリティーの確保」「安全性」「信頼性」「可用性」「迅速な対応」が挙げられている(Internet Watchより))グループのDustin Cookは、Microoftは、Windows XP用の修正をリリースする予定であるが、あなた方のオペレーティングシステムを適切にサポートされているバージョンにアップデートすることが依然として強く推奨されると、投稿している。
我々はWindows XPユーザ用のセキュリティアップデートをリリースすることを決定した。Windows XPは、Microsoftによって最早サポートされない、そして、我々は、Windows 7や8.1のようなモダン オペレーティングシステムに顧客が移行することを促し続けている。更に、我々は、顧客がInternet Explorerの最新バージョンである IE 11 にアップグレードするよう促している。
もしも私が、あなたなら、MicrosoftがWindows XPに戻ってきてくれるなんていうことを絶対に当てにしない。彼らは親切心から今回、XP用のパッチをリリースしたに過ぎない。
あなたのコンピュータで自動アップデートを有効にしているのなら、この緊急のセキュリティアップデートを自動的に受信するはずである。待つことができないのであれば、Windows Updateを訪問し、手動アップデートしなさい。
【訳者追伸】XP用のパッチがリリースされたことに関し、Sophos NakedSecurityは、以下のように付け加えています
XPユーザーを助けるために、IE6に立ち戻ってパッチを適用したMicrosoftの決定は、XPのアップグレードを先送りする言い訳にはならない。Microsoftのこの気前の良さは将来にわたって実行されることは絶対に無い。あなた自身を危険に晒している間、あなたは他の人に被害を与えるリスクを冒している。
AdobeアップデートはFlash Playerの0-Dayを否定している
Krebs On Security : Blog (2014/04/28)
Adobe Systems Inc.は現在実際に脆弱性攻撃が行われているFlash Playerソフトウェア中の重要なフローを修正する緊急のセキュリティアップデートをリリースした。今迄、この脆弱性攻撃は、Microsoft Windowsユーザを目標にしていたように思われていたが、このアップデートはまた、MacとLinuxのFlashバージョンでもリリースされている。
このFlashアップデートは、WindowsとMacシステムでは、バージョンを13.0.0.206に、Linuxユーザにはバージョンを11.2.202.356にする。あなたがインストールしているFlashのバージョンを確認するには、
このリンク先でチェックしなさい。
IE10、IE11、Chromeは、Flashのそれらバージョンを自動アップデートするはずである。(Windows、Mac、Linuxのいずれであろうとも)ChromeのFlashバージョンが未だアップデートされていないのであれば、一旦、Chromeを終了し再起動する必要があるかもしれない。
Flashの最も最近のバージョンは
Adobeダウンロード センターから利用可能であるが、McAfeeセキュリティスキャンのような望みもしないアドオンに注意しなさい。これを回避するには、ダウンロードする前に、もしくは、あなたのOSに特定のFlashを
こちらからダウンロードする前に、そのようなアドオンに関して予め入っているチェックを外しなさい。Internet Explorerとそれ以外のWebブラウザ(Firefox, Opera等)でWebをブラウズしているユーザは、このパッチを、夫々のブラウザで適用する必要がある。
この脆弱性に関するアドバイザリにおいて、Adobeはインターネット上にこのフロー(CVE-2014-0515)に関する脆弱性攻撃が存在しており、Windows上のFlash Playerユーザを標的にするために使用されているとする報告を認識していると発言していた。
このアドバイザリは、この脆弱性を報告したのがKaspersky Labであることを認めている。そして、実際に、本日Kasperskyは、インターネット上でこの脆弱性の攻撃に焦点を当てた
二つの新しい脆弱性攻撃に関する詳細なブログポストを公開した。Kasperskyによれば、この脆弱性は共に、「Watering Hole(たまり場)」(【訳注】 企業や組織を狙った攻撃手法の1つを表す言葉として使用されています。この場合、攻撃者は、慎重に考慮した上で特定のWebサイトを選定し、そのWebサイトに脆弱性利用のマルウェア(エクスプロイト)を組み込むことで改ざんを行い、最終的にマルウェアの感染被害が発生することになります(トレンドマイクロより))と呼ばれるスパイ攻撃の中で使用されている。
これは、AdobeがFlash中の0-Day脆弱性を修正するためのパッチを二ヶ月連続で出荷したことになる。さらに、悪名高いFlash脆弱性攻撃テクニックは、Microsoftが昨日警告したInternet Explorerへの0-Day攻撃にも実装されていた。
Flashは大変多くのWebサイトで要求されるが、あなたがWebサイトを訪問したとき自動的にコンテンツを稼働するブラウザプラグインを可能にしておく理由は存在しない。私は、「Click to Play」(【訳注】 プラグインをユーザーがクリックしないと再生されない機能(ITmediaより))に依存するように促してきた。この機能はGoogle Chrome、Mozilla Firefox、Opera(Safariではアドオンで利用可能)に組み込まれており、Defaultでプラグインをアクティブにすることを防止し、プラグインコンテンツを空白のボックスに置き換える。ブロックされたコンテンツを閲覧したいユーザは、そのボックス内部のFlashもしくはJavaコンテンツを有効にするために、このボックスの内部をクリックする必要がある。Flashと他のブラウザプラグイン用の「Click to Play」を使用するようにあなたのブラウザを設定するための詳細に関しては、
Help Keep Threats at Bay with Click to Play(【訳注】 2013年03月に投稿された、KrebsOnSecurityの記事(英文))を参照しなさい。
MicrosoftがIEへの0-Dayの攻撃を警告
Krebs On Security : Blog (2014/04/27)
Microsoftは、IEのサポートされている全てのバージョンに関して、今迄未知の脆弱性への攻撃が企てられていることをInternet Explorerユーザに警告している。この脆弱性は、ユーザの何の手助けも認識もなく、悪意あるソフトウェアをインストールするために利用されることが可能であり、おそらく、ハックされたり、悪意あるサイトを単にブラウズするために保存される。
土曜日に投稿された警告で、Microsoftは、この攻撃は、今迄、CVE-2014-1776脆弱性に対する「限定的、標的型攻撃」と認識していると発言していた。
Microsoftのセキュリティ アドバイザリは、この攻撃の発見者がセキュリティ企業FireEyeであると認めている。
FireEyeのアドバイザリにおいて、FireEyeは、この脆弱性攻撃は現在IE9からIE11(しかしながら、この脆弱性はまた、IE6まで遡るIEの以前のバージョンにも存在している)を標的にしており、Windowsのセキュリティ保護をバイパスするために、悪名高い
Flash攻撃テクニックを利用していると発言している。
Microsoftは、現時点までに、この脆弱性に対する一時的な”Fix-It”ソリューションを提供していない。現時点で、Microsoftは、Enhanced Mitigation Experience Toolkit (EMET、Microsoftの脆弱性緩和ツール)をダウンロードしインストールするよう、IEユーザに促している。Microsoftは、EMET 3.0は、この攻撃を緩和しないと注意している。そして、影響を受けるユーザは代わりにEMET 4.1に依存するよう忠告している。EMETの基本に関しては、私は、
ここで検証している。EMETの最新バージョンは
こちらから利用可能である。
あなたのコンピュータを再起動した後に有効になる。
FireEyeによって共有された情報によれば、この脆弱性攻撃は、「拡張保護モード」設定(【訳注】 ブラウザーまたはいずれかのアドオンの脆弱性が攻撃者に悪用された場合でも、データを安全に保護できるように考慮されています(MSDN、IEBlogより))と64bitプロセス モードでInternet Explorerを稼働することでブロックすることが可能である。この機能は、IE10とIE11に関して、上図に示したインターネット オプション設定で利用可能である。
これは、Windows XPユーザにとって、最早絶対に修正されることのない多数の0-Day攻撃と脆弱性の最初の物である。Microsoftは先月XP用の最後のアップデートを出荷した。そして、EMETがもたらす多くの脆弱性緩和テクニックはXPでは動作しない。
AOLのダイエットスパムが世界を急襲している
ESET : We Live Security (2014/04/23)
AOLアドレスからのように見えるE-Mailの洪水が世界中の受信箱を攻撃している、AOLはE-Mailサービスを閉じ、顧客のアカウントがハックされているか否か調査している。
The Registerは、ダイエットをテーマにしているこのスパムが「成り済まし」攻撃を生じているようであると報道している。このサイトは、AOLからのメールの洪水は、何人かのユーザに、彼らが「時間の裂け目に落ち、90年代に存在しているかように」思わせたと冗談を飛ばしている。
AOLは顧客を支援するためのページを公開し、「成り済ましとは、スパマーが、From: フィールド中にあなたのE-Mailアドレスを使用してE-Mailを送信することである。このアイデアは、人々を欺き、そのE-Mailを開かせるために、そのメッセージがあなたからであるかのようにするためである」と説明している。
PC Magは、AOLが「これらのE-MailはAOLに由来するものではない、そして、AOLメールシステムに何ら関連を持っていない。それらのアドレスは、そのように表示されるように編集されている。このメッセージは、実際にはスパマーのE-Mailアカウントに由来し、スパマーのE-Mailサーバーから送信されている」と発言している。
PC Worldは、あなたがAOLダイエットスパムの影響を受けているかどうか確認するための最も簡単な方法は、あなたに代わって「成り済まされた」アドレスによって送信されたE-Mailの「バウンスバック」(【訳注】 リターンメールのこと。配信した、もしくは、配信しようとしたメールがなんらかのエラーによって送信者に差し戻されたメールのこと。今回の場合、スパマーは任意のメールアドレスを作成してメールを送信しているので、必ず存在しないメールアドレスへの送信が発生します。そこでリターンメールが戻ってくることになります。)を探すことである。
何らかのAOLアカウントが実際にハックされているか否かは依然として不明である。
USA Todayは、ユーザの中に、彼らのアカウントがハックされていたとTwitter経由で報告している者がいると報告している。
ブログへの投稿で、AOLは「本日我々はDMARCポリシーをp=rejectに変更した。これはAOLメールユーザのアドレスを非認証使用から保護することの支援となる。これはまた、非AOLサーバー経由でAOLメールユーザに代わって送信された、認証されたメールと考えられるメールの配信を停止する。あなたがAOLアドレスを代表するような大量の送信者であるのなら、それは多分あなたからのメールを含んでいる」と発言している。
「AOLは顧客の安全とセキュリティとを大変重要に考えている。我々は積極的に顧客の不満を解決している最中である。我々は、ユーザと彼らの夫々のアカウントが滑らかな安全な稼働を維持するために、アカウント成り済ましの問題を解決するために作業している。」
ハードディスクメーカーLaCieは、クレジットカードのデータが漏洩した疑いがあると警告している
BBC : News>Technology (2014/04/16)
ハードディスクメーカーLaCie(ラシー)は2012年アメリカのSeagate(シーゲイト)によって買収されている。
フランスのコンピュータ ストレージ専門メーカーLaCieは、彼らのサイトを使用した購入者のクレジットカードの詳細とパスワードが盗まれた可能性があると発言した。
LaCieは、彼らのオンラインストアで入力された詳細をコピーするためにハッカーがマルウェアを使用していた兆候をFBIが警告してきたと発言している。
疑われている情報漏洩は2013年03月27日から2014年03月10日の間存在していたと、LaCieは付け加えている。
専門家は、このような問題が、これ程長期間気付かれなかったことは尋常なことではないと発言している。
バーミンガム・シティ大学のコンピュータセキュリティの上級講師Ron Austinは、「大変な情報漏洩であると」BBCに告げると共に「LaCieは大変大きな会社である。そして、あなた方は彼らの情報セキュリティ ポリシーに関して疑問を持つだろう。如何なるエキスパートも100%のセキュリティを保証することはできないが、あなたがWebでサービスを提供しているのであれば、あなたが恒常的にチェックを実行することが、情報セキュリティ ポリシーを順守し保証することに立ち戻るということである」と発言している。
LaCieは彼らのWeb上で暗号化セキュリティソフトウェアを販売している。
LaCieはアメリカのテクノロジー企業Seagateに2012年に買収されたが、依然として、その名前で商品を販売している。
事実であると確認されれば、このブランドがその製品の中にセキュリティ製品を持っているので、この攻撃は、LaCieにとって特にダメージがあるだろう。
無所属のテクノロジーコンサルタントGraham Cluleyは、LaCieは「笑い者」になっていたと発言している。
「理想世界においては、攻撃者は最初の段階で防がれる、そこで、あなたはWebサイトを安全にするための十分な仕事をしたことになる。そして多分、脆弱性の確認を行うために何人かの侵入テストの実行者を雇用しているだろう」と、更に「あなたが最初の段階で攻撃を妨げられなかったなら、攻撃が発生している間に、攻撃をピックアップし、その攻撃を躱すことは可能である。明らかにLaCieは、どうにもすることができなかった。彼らは発生していたことを発見しているはずである」とGraham Cluleyは発言している。
"Heartbleed"(心臓が張り裂けそうな)バグ: あなたが安全でい続けるために実際に実行する必要のあること
The Guardian : News>Technology>Internet (2014/04/10)
Heartbleedは、インターネット上の山のようなサイトとサービスに影響を与える壊滅的なバグであるが、Heartbleedとは何なのか、そして、サイバー犯罪者から貴方自身を保護するために、このバグに対して何を実行する必要があるのか?
セキュリティ研究者によると、世界中の凡そ50万のサイトが、このバグによって危険ナ状態になっている。「壊滅的は、状況を適切に表している言葉である。1から10までのスケールの11にあたる」と、Bruce Schneier(無所属のセキュリティ エキスパート)はコメントしている。
Heartbleedは、世界中のメディアの注意を引いたが、多くの誤った情報が流布されている。以下に、あなたが認識すべき重要な部分を簡単に概要する。
Heartbleedとは実際に何なのか?
Heartbleedはインターネット上の殆ど全ての暗号化されたWebサイトで使用されているセキュリティ ソフトウェアのバグに与えられたニックネームである。
これはOpenSSLと呼ばれるソフトウェア中のフローである。OpenSSLは、銀行、ショップ、Emailプロバイダ、ユーザとサービス間の接続を暗号化している多量のWeb上の他のサービスによって使用されている。
SSLを使用しているWebサーバは、訪問者に暗号化されたキーを送信している。このキーは、サーバに出入りする全ての情報を保護するために使用されている。
殆どの人々はWebブラウザの左上隅にある南京錠のアイコン(【訳注】 URL欄の左端)で、この安全な接続を認識しているだろう
このバグは何をするのか?
SSLはオンラインショッピングや銀行のようなサービスから盗聴を防止するために重要なものであり、中間者攻撃とも呼ばれる男からユーザを保護する。
中間者攻撃とは、第三者が転送中のデータをインターセプトし、秘密の情報を発見するために、それを使用することである(【訳注】 通信を行う二者の間に割り込んで、両者が交換する公開情報を自分のものとすりかえることにより、気付かれることなく盗聴したり、通信内容に介入したりする手法(e-Wordより))。
Heartbleedは、悪漢共がインターネット上で安全に送信されていると思われているデータを読むことを可能にする。これはユーザ名、パスワード、他の秘密のデータがサイバー犯罪者によって読まれる可能性があることを意味している。Heartbleedは、US National Security Agency (NSA、アメリカ安全保障局)が、そのPrismオンライン監視プログラムの一部として暗号化されたデータを読むことを可能にした方法に関係があるともされている。
これは、どの位の期間問題になっているのか?
このバグは2012年03月OpenSSLソフトウェアに導入された、そして、過去2年間インターネット上に存在していた。
このバグは今明らかになったばかりであるが、犯罪者やNSAは、2012年にこのバグが導入されて以来、このバグを攻撃することが可能になっていた。しかしながら、あらゆる犯罪者が、ユーザのデータを盗むためにこのバグを積極的に悪用してきたか否かは分かっていない。
私は、このバグの影響を受けるのか?
数十万のインタネット上のサイトとサービスが、ユーザのコンピュータとそれらのWebサイト間で暗号化接続を使用している。そして、その内の数千は、Heartbleedによって攻撃されるだろう。
あなたが使用している少なくとも一つのサービスが、この影響を受けているであろう大変大きな可能性が存在するが、影響を受ける程度は、そのサイトやサービス毎に異なってるだろう。例えば、暗号化パスワードマネージャLastPassは、Heartbleedのバグの影響を受けるが、それに続く暗号化のレイヤーが、ユーザのデータを決して露出させないようにしている。
最終結果は、現在ユーザのデータが、人々が毎日使用している多数のサービス(インターネット ショッピングサイト、Emailアカウント、オンライン バンキング、
ニュースWebサイトさえ含む)からインターセプトされ盗まれている可能性があるということである。
今、何が起こっているのか?
Heartbleedバグの修正は大変簡単であるが、この脆弱性の影響を受ける全てのサイトとサービスが、彼らのソフトウェアとセキュリティ認証をアップデートすることを要求される。
Google、Yahoo、ほとんどの銀行のような所は、既にそれを実行しているが、他は、この修正を実行したことを公開するには時間が掛かるだろう。
私は何をすべきか?
大多数のユーザに関しては、彼らがサイトとサービス使用した時に、彼らのデータは、Heartbleedからのリスクが存在する。セキュリティ エキスパートからのアドバイスは、Heartbleedによって攻撃される可能性のあるサイトやサービスが、このバグを修正するまで、そのようなサイトやサービスの使用を回避しなさいというものである。
従って、あなたが、Heartbleedバグの影響を受けるサイトやサービスが、この問題を修正したことを確認するまで、インターネット バンキング、オンラインショッピング、クレジットカードや個人データが付属するあらゆるものへのログインを回避することが賢明である。
サイトがHeartbleedバグの脆弱性があるか否かチェックするための二つのツール(
filippoのHeartbleed testと
LastPassのHeartbleed checker)が、インターネット上で利用可能である。
私は直ちに私の全てのパスワードを変更する必要があるか?
メディアの中に、あなたは、直ちにパスワードの全てを変更すべきであると述べている、多くのワンパターンの警告が存在する。
このアドバイスは間違っている。
これらのサイトは、Heartbleedのバグを一回だけ修正するが、あなたがパスワード全てを変更することは賢明ではある。取り分け、あなたが複数のサイトやサービスで同じパスワードを使いまわしている場合には。あなたのパスワードを変更する前に、あなたの新しいパスワードはHeartbleedバグ経由で盗まれる危険がある。
あるサイトがHeartbleedのバグを修正したら、各サービス用の新しいパスワードを選択することは重要である。パスワードは複雑で記憶しやすいものにすべきである。そして、異なるサイトやサービス毎に一意でなければならない。
それを無視した場合、最終的に全て大丈夫なのだろうか?
Heartbleedは、オープンなインターネットを攻撃するための最も深刻なセキュリティバグの一つであることは間違いないが、パニックな行動は事態をより悪化させる。
Heartbleedバグは、未だに修正されていないのであれば、ほとんどのユーザが基本的に毎日使用している全てのサイトとサービスで修正されるだろう。その時点で、あなたのパスワードを変更することで、あなたのアカウントを今再び安全にすることになるはずである。そして、ユーザは次に、今まで彼らが実行していたような彼らの日常を継続することができる。
これからの数週間や数ヶ月重要なアカウントを警戒しなさい。このバグが開いている間に、誰かが、あなたのクレジットカードの詳細を、なんとかして盗んでしまわないために、重要なアカウントに銀行、ショッピングサイトを含めることは賢明である。
Windows 8.1アップデート: Microsoftはユーザが将来のセキュリティアップデートを望むのであれば、OSをアップデートすることを強制している
Lumensiony : Optimal Security blog (2014/04/09)
最新のパッチの観点から、今週最も目を引くものは、Windows XPのセキュリティ フィックスが最後を迎えたことであった。
Microsoftは、2014年04月08日の後、Windows XPが、もはやサポートされなくなることを2007年に警告した。そして、彼らは約束を守った。これは、全てのXPユーザがWindows XPをよりモダンなWindowsのバージョンにアップグレードするか、飛躍するための十分な勇気を持っているのであれば、ライバルのオペレーティング システムに切り替えるのが賢明であることを意味している。
しかし、 Windows XPに、さよならを告げる話とは別に、 ユーザがネット上で安全でいたいのであれば、ユーザにアクションを取らせるように挑戦していると言われている、ずっとモダンなWindowsのもう一つのバージョンの話が存在する。
昨日、MicrosoftはWindows 8.1のユーザ用にWindows 8.1のアップデートを公開することを始めた。
Windows 8.1のアップデートは、スクリーンをタッチするよりキーボードやマウスを使用することを好むユーザのためのフレンドリなサポート、Internet Explorer 11の改善されたバージョン、Windows 8のスタート画面に代わる伝統的なデスクトップ モードでブートする能力のような、ユーザに暖かく迎え入れられるであろう非常に沢山のユーザインタフェースの変更をもたらしている。
しかしながら、セキュリティを懸念するユーザにとってWindows 8.1の最も興味ある側面は、Microsoftが、Windows 8.1のアップデートをインストールしない限り、もはやWindows 8.1のセキュリティアップデートを受け取ることができないと主張していることである。
MicrosoftのPremier Field Engineering(プレミアフィールドエンジニアリング(PFE)、【訳注】 プレミアサポート契約をお持ちのお客様に“顔の見えるエンジニア”として、高い品質のサービスを直接提供するエンジニア部隊(Microsoft Technetより))ブログは、歯に衣着せずに、
この点を強調している。
この(Windows 8.1の)アップデートのインストールに失敗すると、2014年05月にリリースされるアップデートに始まる将来のアップデートで、あなたのシステムをパッチするためのWindowsアップデートを妨げる(さあ、取り掛かろう!)。
あなたの設定が自動アップデートをOFFにしている場合を除いて、Windows 8.1のアップデートは多分既にダウンロードされ、あなたのデバイス上にインストールされているはずである。
しかし、あなたがWindows 8.1で実行されているMicrosoftの変更を好まなくても(変更に抵抗する一部ユーザの場合であるかもしれない)、このアップデートをスキップして、最も基本的なセキリティ パッチを受け取り続けるオプションは存在しない。
これは、あなたのWindows 8.1デバイスをアップデートするために、あなたに(次のセキュリティ アップデートの5月までの)一ヶ月の猶予が与えられていることを意味している。
Windows 8のユーザがセキュリティパッチを受け取り続けられることに(Windows 7やVistaのユーザがしているように)、価値あることは明らかであるが、Windows 8.1のユーザは、彼らが自分のシステムを安全に維持し続けたいのであれば、Microsoftの圧力に屈服し、Windows 8.1をインストールする必要がある。
従って、私はあなたが何をする必要があるかは明らかであると考える。
あなたがMicrosoftの高圧的な戦略を好むと好まざるとに拘わらず、あなたがWindows 8.1のアップデートをスキップしたいのであれば、潮流に逆行していることになる。
あなたはWindowsアップデートを取り逃がしてはならないので、あなたは新しい世界の秩序に順応する必要がある。そして、望むべくは、Windows 8.1が動作する方法のMicrosoftの変更に前向きな一歩を発見せんことを。
Adobe、2014年04月のアップデート
Kaspersky : SecureList (2014/04/08)
今月のAdobeの定例パッチはFlash関連である。これは先月CanSecWest(【訳注】 毎年カナダで開催されるセキュリティカンファレンス(ITmediaより))で、VUPEN(【訳注】 フランスのセキュリティ企業)によってAdobe Readerの脆弱性攻撃に使用された0-Dayのフローが修正されていなかったことを意味している。
CVE-2014-0506とCVE-2014-0507は、リモードコード実行に関するものであり、共にCanSecWestのPwn2Ownで個別に使用された(これらのCVEは当初、CVE-2014-0511とCVE-2014-0510が割り当てられていた)。
CVE-2014-0509はXSS問題に関連するが、CVE-2014-0508は情報漏洩に関連する。我々は、これらの脆弱性に対する如何なる悪用もインターネット上で確認していないが、最新のパッチを即座に適用することは重要なことである。
WindowsとMac用のFlash 13が来月提供されるので、拡張されたサポートバージョンとして、Flash11.7を置き換えるだろう。ESVチャンネル上のこれらは、必要な変更を作り始めるはずである。
Webサイトが“Heartbleed”(心臓が張り裂けそうな)脆弱性があるかどうかチェックするには
The PC Informant : Blog (2014/04/09)
“Heartbleed”(心臓が張り裂けそうな)と呼ばれる新しいセキュリティ問題について心配ですか?
そのサイトに、この脆弱性があるか否かをチェックするための方法が此処にある。
http://filippo.io/Heartbleed/ を訪問しなさい。
「心臓が張り裂けそうな」バグは、パスワード、Webサイト暗号化キーを露わにする
Krebs On Security : Blog (2014/04/08)
研究者はOpenSSL(訪問者とのコミュニケーションを暗号化することを数百万のWebサイトに可能にしているテクノロジ)の最近のバージョン中の大変重要な脆弱性を公開した。問題を更に複雑にしているのは、脆弱性のあるサイトからユーザ名、パスワード、そして、そのサイトが重要なデータを暗号化/復号化するために使用しているプライベートキーを盗むために使用することのできる簡単な脆弱性攻撃がリリースされていることである。
Heartbleed.comから:
「胸が張り裂けそうなバグは、OpenSSLソフトウェアの脆弱性あるバージョンによって保護されているシステムのメモリを読むことを、インターネット上の誰もに可能にしている。これはサービス プロバイダを同定するために、そして、トラフィック、ユーザの名前とパスワード、実際のコンテンツを暗号化するために使用される秘密鍵を改竄する。これは攻撃者がコミュニケーション立ち聞きし、このサービスから直接データを盗み、そして、サービスとユーザになりすますことを可能にする。」
Carnegie Mellon大学のCERT(【訳注】 Computer Emergency Response Team、コンピュータ緊急対応チーム)からの
注意は、この脆弱性がOpenSSLのバージョン1.0.1から1.0.1.fを装備しているサイト中に存在していると忠告している。Netcraft(様々なWebサイトによって使用されているこのテクノロジをモニタしている会社)によれば、
500万を超えるサイトに現在脆弱性がある。今朝現在(2014/04/08、UTC)、脆弱性のあるOpenSSLを運営しているサイトには、Yahoo.comと、皮肉にもopenssl.orgのWebサイトを含んでいる。
Githubのこのリストは、Webランキング企業Alexaによってインデックス化されており、そのTop 1000中に、この脆弱性が存在するか否かの最新のテストである。
幅広くオンラインで取引されている使い方の簡単な脆弱性攻撃は、攻撃者が、脆弱性のあるOpenSSLの“libssl”ライブラリ(一度で64Kbのシャンクの中の)を使用しているアプリケーションのプライベートメモリを取得することを可能にする。CERTが注意しているように、攻撃者は、目的とする秘密を取得するために必須である、メモリの64Kbの全部を取得するために、繰り返しこの脆弱性を悪用することができる。
AlienVault Labsの指揮官Jamie Blascoは、このバグが、「壮大な影響」を持っていると発言している。「壮大な影響」とは、パスワードと暗号化キーを露わにしているだけでなく、攻撃者がこのフローによって改竄したあらゆるデータを使用不可能にするために、影響を受けるプロバイダは、OpenSSLライブラリを使用している夫々のサービスに関して脆弱性のあるOpenSSLサービスにパッチを当てた後、秘密鍵と認証を置き換える必要があるという意味である。
大多数のインターネットユーザは、おそらく今週彼らのパスワードを変更することに関して尋ねるだろう。他方、この脆弱性あるバージョンを稼働している会社や機構は、
OpenSSLの最新のイテレーション(OpenSSL 1.0.1g)に可能な限り早急にアップグレードすべきである。
銀行口座強奪型ZeuSマルウェアは、「正当なアプリケーション シグネチャ」を引っさげて、Webを乱舞している
The Register : Security (2014/04/05)
銀行口座強奪型ZeuSトロイの変種は、正当なデジタル署名を使用することで合法なWindowsアプリケーションに成り済まし、犠牲者のPC深く潜伏するためにルートキットをパックしている。
悪党が、Microsoft登録開発者に属している個人用署名認証へのアクセスをどうにかして取得し、このマルウェアを実行可能にするために、暗号化した署名を、それに使用したことは明らかである。この証明書は厳密に保護され秘密に保持されていなければならない。
Windowsオペレーティングシステムとアンチウィルスツールは、例えば、無効な署名は、転送中に、そのコードが改竄されたことを示唆しているように、そのプログラムのデジタル署名を信任する前に、その正当性をチェックすることができる。ZeuSトロイのために有効な署名を生成することによって、犯罪者は、汚らわしいアプリケーションを正当なアプリケーションとして装うことができる。
これはペテン師が、Flameのような高度なスパイ活動ソフトウェアによって使用される戦略を採用している兆候である。犠牲者のマシンにコードを滑りこませるためにバイナリ署名することは、現代サイバースパイ行為の要である。犯罪者によって盗まれた証明書の使用は稀なことではあるが前例が無いわけではない。
SSL証明書のフロガーComodoの研究者は、Comodoのセキュリティソフトウェアのユーザから収集したテレメトリ(【訳注】 遠隔測定法、TLM)を使用して、この最新のZeuSの変種が200インストールされていることを突き止めた。
ZeuS(別名、Zbot)は、一般的に、ハッカーが、ブラウザのバグを攻撃し、この汚らわしい物をインストールするために、正当なWebサイト上に悪意あるコードを植えつけることによって、あるいはネット市民を欺いて添付ファイルを稼働させるE-Mailフィッシング経由で拡散する。
Comodoによって発見されたこのマルウェアは、ハードドライブ上にインストーラをドロップし、悪意ある署名をされた実行可能ファイル(そのWebサイトからルートキットをダウンロードする)を稼働するための場所であるInternet Explorerのロゴ付きのWebページに、それ自身を提示している。これはドライバ中に復号化され、PCのブートシーケンス中の早期に実行されるように準備される。これは、残りのオペレーティングシステムとアプリケーション(取り分け、このトロイを削除しようとするツール)から、このトロイを非表示にする仕事にとりかかる。
稼働している時、このソフトウェアの目的は、ユーザ名とパスワード、クレジットカードの番号とWebサイトのフォームを経由して送信される他の大変重要な個人情報(取り分け銀行のWebサイトでの情報)をインターセプトすることである。そして、悪用するために詐欺師に代わってそのデータを吸い上げる。
Thales e-Securityの製品戦略副社長Richards Mouldsは、デジタル署名されたZeuSバイナリは、Windowsと他のオペレーティングシステムが頼っているシステムの信頼性を弱体化させると発言している。
「"Windows, iOS, Android, Linux全て、正当で署名されたコードだけがインストールされ実行されることを保証するためにコード署名を使用している。コード署名は、コードが改竄されていないことを証明するための最善のメカニズムを提供している、それ故、マルウェアに感染したソフトウェアに目星を付け、それを拒絶する方法となる。攻撃者が、この検証プロセスを通過する方法として、悪意あるコードに署名できるのであれば、それらは、更なる膨大な攻撃の大きな一歩である」と、Mouldsは説明している。
Outlook E-Mailを開いただけで、あなたのコンピュータは感染する。Microsoftが0−Dayのフローを警告
Graham Cluley : News (2014/03/24)
Microsoftは、悪意あるハッカーが、マルウェアに感染させるために、Microsoft Word中の未知の脆弱性を攻撃していると、
コンピュータユーザに警告している。
困ったことに、この0−Dayの攻撃は、Microsoft Outlook中で特別に細工されたE-Maiを「プレビュー」することによって、ユーザのコンピュータは簡単に感染させられることを意味している。
換言すれば、実際に悪意ある添付ファイルを開くことや、あなたのコンピュータを危険に陥れる危険なリンクを、クリックする必要がないということである。
Microsoftは、Microsoft Wordの脆弱性の影響を受けるサポートされているバージョンを認識している。この時点で、我々は、Microsoft Word 10に向けられた限定的な標的型攻撃を認識している。この脆弱性は、Microsoft Wordの影響を受けるバージョンを使用して特別に細工されたRTF(rich text format、リッチテキスト フォーマット)ファイルを、ユーザが開いた場合、もしくは、E-MailビューアーとしてMicrosoft Wordを使用している間に、Microsoft Outlook中の特別に細工されたRTF E-Mailメッセージをプレビューしたり開いたりした場合に、リモートコード実行を可能にする。脆弱性攻撃に成功した攻撃者は現在のユーザとして同じユーザ権限を取得することができる。
今までに確認されている標的型攻撃は、Word 2010のユーザに向けられていたが、このリモートコード実行のフローは、Microsoft Word 2003, 2007, 2013並びにOffice for Mac 2011中にも存在している。
Microsoft Outlook 2007, 2010, 2013の全ては、E-MailリーダーとしてDefaultでWordを使用している。
願わくばMicrosoftが、適切なパッチの作成にセッセと働いていて欲しいが、現時点で、彼らは、ユーザがMicrosoft Word中でRTFコンテンツを開くことを無効化する
一時的なFix Itソリューションの適用を検討するよう、もしくは、E-Mailを平文フォーマットに切り替えて読むことを検討するように推奨している。
Microsoft Outlook 2003, 2007, 2010, 2013で、E-Mailを平文テキストフォーマットで読むための設定方法に関する詳細な情報に関しては、以下のMicrosoftナレッジベースの記事を参照しなさい。
もちろん、これは、(リンクをクリックすることや添付ファイルを開くこととは対照的に)E-Mailを読むことによってマルウェアがコンピュータを感染することができた初めてのことではない。
物覚えの良い読者は、BubbleBoyとKakworm攻撃を覚えているかもしれない。例えば、Kakwormは、1990年代の終わりに取り分け広範に蔓延し、ウィルス性のコードを拡散させるために、Microsoft Outlook Express中のセキュリティホールを攻撃したものである。
GoogleはGmailで使用しているHTTPS拒否者を掴み、SSLで彼らのメールをコーティングする
The Register : Security(2014/03/21)
Googleは、GmailのWebサイトへの全ての接続は、HTTPSを使用することで転送中に暗号化されるだろうと、そして、メッセージはGoogleのデータセンターを移動中に暗号化されるだろうと、火曜日以来アナウンスしている。
「あなたが送信したり受信したりしている、あらゆる単一のE-Mailメッセージは、内部を移動中に100%暗号化される」と、Gmailセキュリティ技術のリーダーNicolas Lidzborskiは、Googleの
Enterpriseブログに、本日書き込んでいる。
「これはメールが、あなたとGmailのサーバとの間を移動している時だけでなく、それらがGoogleのデータセンターとの間を移動している時にもまた、あなたのメッセージが安全であることを保証している。これは我々が昨年夏の発覚の後に最優先事項にしたものである」
Edward Snowden(エドワード スノーデン)を源とする、これらの発覚は、諜報機関NSA(アメリカ国家安全保障局)とGCHQ(政府通信本部)がデータセンター接続と世界中のインターネットの重要要素をインターセプトしたり監視したりしていた(NSAはSSLのような暗号化システムを、何とかして、もしくは別の方法で危険に晒すことができた)。
Gmailはずっと、HTTPS接続をサポートしてきた、そして、2010年に、それらの供給を始めた。しかし現在まで、ユーザは、この暗号化をOFFにするオプションを持っていた。本日のアナウンスは、Gmailだけをカバーしているのではない。Google Appsはまた、今後HTTPSだけになるだろう。
Googleの顧客の中には、ブラウザ内Webメールサービスをスローダウンするか否かに拘わらず暗号化を回避したい者がいるが、このことに精通している人々は、ユーザベースで一握りの人々であると発言している。Googleの技術者は、HTTPSをより効果的にするために作業中であり、本日の変更の結果として、このサービスのスピードは、殆ど変更されないはずである。
Googleは、ブログポストで、利用可能時間を維持するために作業しており、99.978%の利用可能時間を記録と主張している。これは年度中を意味しているので、平均的ユーザは、パブに行く前に機能していないブラウザで2時間悲鳴を上げるような苦しみを味わっていた事になる。
Bitcoinについてお爺さんに説明するための方法
WhoIsHostingThis : Blog(2014/02/17)
【訳注】 先月17日に公開された記事です。メインの画像部分だけを和訳しておきました。
サムスンGalaxyモデル中に隠されていたバックドアは、ユーザをリモートにスパイしている
ESET : We Live Security(2014/03/13)
独自にAndroidの無料バージョンを作成しているReplicantプロジェクトによると、9つのサムスンGalaxyモデルで稼働しているAndroidの改竄バージョン中に隠されていたバックドアは、攻撃者がユーザのデータを遠隔からスパイすることを、GPSシステム、カメラ、マイクロフォンのようなハードウェアを使用しているユーザに関してはスヌーピング(【訳注】 通信機器やコンピュータが、回線やネットワークを流れるデータのうち、自分宛でないものをコッソリ取り込んで中身を見る仕組みや機能のこと(e-Wordsより))さえ可能にしていた。
PC Worldの報道によると、Replicantを開発中に、この開発者達はGalaxy送受話器に影響を受けるモデル(Galaxy Note 2, Galaxy S3 and Nexus S のような人気あるモデルを含む)が、このモデムに無制限に、ユーザの遠隔からの監視、ユーザ データの改竄を含む遠隔操作を実行することを可能にするプログラムを搭載して出荷されていたことを発見した。
Free Software Foundation上のブログでのポストにおいて、Replicantの開発者Paul Kocialkowskiは、「このプログラムはサムスンGalaxyデバイスに搭載されて出荷されており、この電話機の記憶装置上のファイルの読み込み、書き込み、削除を可能にしている。幾つかの電話モデルに関して、このプログラムはユーザの個人的なデータにアクセスしたり改竄したりするために十分な権限で稼働している」と、発言している。
かれは、この種のプログラムが、「モデムをリモートスパイ用のデバイスに遠隔から変換することを可能にする。このスパイ行為は、このデバイスのマイクロフォンを起動することを必要とするが、また、そのデバイスの正確なGPS位置情報、カメラへのアクセス、並びに、その電話に格納されたユーザ データを使用することもできる。更に、モデムはオペレータのネットワークに殆どの時間接続されているので、このバックドアは、殆どいつでもアクセス可能になったいる」と発言している。
Information Weekの報道によると、Kocialkowskiは、サムスンの9つのモデルだけが、このバックドアの影響を受けるわけではないかもしれないと発言している。Replicantは、影響下にあるデバイスのモデムに、ファイルを開き、読み込み、閉じることを命令するパッチを通じて、このバックドアをデモした。何の目的かは未だに定かでない、あるとすれば、このバックドアが機能するということである。Replicantは攻撃者が攻撃することは「比較的容易」だろうと発言している
「我々は、このモデム搭載のコミュニケーション プロトコルをハンドリングする責任を持つアプリケーション プロセッサを起動しているプロプライエタリ プログラムが、このモデムがファイルシステム上のファイルI/Oオペレーションを遠隔で実行するバックドアを実際に実装していることを発見した」とKocialowskiは発言している。Kocialowskiは、このバックドアに関してサムスンに直接クレームを言うようにGalaxyユーザに要請している。
この記事の記述時点で、サムスンは、このソフトウェアに関する公式声明を公表していない。
【訳注】 PC Worldによると、影響を受けるサムスンのデバイスは以下:
Nexus S (I902x), Galaxy S (I9000), Galaxy S2 (I9100), Galaxy Note (N7000), Galaxy Nexus (I9250), Galaxy Tab 2 7.0 (P31xx), Galaxy Tab 2 10.1 (P51xx), Galaxy S3 (I9300), Galaxy Note 2 (N7100)
Joomlaは緊急のSQL脆弱性を塞ぐためのアップグレードをリリースした
The Register : Security(2014/03/13)
Joomlaの開発者は、緊急のSQLインジェクションに関する脆弱性を修正に行動を移した。しかし、問題を解決するために一ヵ月掛かったため非難の矢面に立たされている。
先週遅く利用可能になったバージョン3.2.3アップデートは、高い優先度を持つコアSQLインジェクションのバグ(二つの中程度の優先度のXSSバグと、無許可でのログインバグと共に)を修正しているものとしてJoomlaによって説明されている。
しかしながら、
ThreatPostによると、Sucuriの研究者は、
exploit-db.comで説明されていた一月前の脆弱性と、このSQLの修正を関連付けていた。
Scip脆弱性データベースは、以下のように説明している。「この問題で影響を受けるのは、ファイル /index.php/weblinks-categories の未知の関数である」
「インプット値 0%20%29%20union%20select%20password%20from%20%60k59cv_users%60%20--%20%29 で引数idを取り扱うと、SQLインジェクション脆弱性に導かれる。機密性、整合性、および可用性に影響する」
Secuniaは、
此処でSQL脆弱性に関して発言している。
「特定のインプットは、SQLクエリで使用される前に、"ModTagssimilarHelper::getList()"メソッド(modules/mod_tags_similar/helper.php)で適切に削除されない。これは任意のSQLコードを挿入することによってSQLクエリを取り扱う脆弱性攻撃をすることができる」
「この脆弱性攻撃が成功することは、Similar Tagsモジュールの使用を要求する」
他のバグが、Gmail認証を使用して不適切なログインを可能にするが、この二つのXSSバグは、不十分なエスケープから発生する。
Microsoftが、Internet Explorerの緊急の0−Dayの脆弱性をパッチした
ESET : We Live Security(2014/03/12)
今月のMicrosoftの毎月の定例パッチで、Microsoftは5つの速報をリリースした(Microsoft Windows、Internet Explorer、Silverlight中の23のセキュリティホールに対処している)。
最も重要なセキュリティアップデートは、間違いなくInternet Explorer用のパッチであり、これは実際にIEの全てのバージョンに当てはまる。このIE用のパッチは、既にハッカーによって幾つかの組織に対して標的型攻撃されている0-Dayの脆弱性の修正を含んでいる。
先月、Microsoftはこの問題に関する一時的Fix itツールをリリースしていたので、適切なパッチが予測されていた。
このセキュリティの脆弱性を悪用する方法の詳細は、既にネット上に公開されている(コンピュータの所有者が何のアクションも取らないなら、更なる攻撃の機会を増加させる)。
それでは、あなたのコンピュータをパッチしないまま放置した場合、どのような危険があるのだろうか?
さて、あなたがInternet Explorerの脆弱性のあるバージョンでブービートラップされたWebサイトを訪問すると、リモートハッカーのコードは、あなたのPCを攻撃することが可能になり、あなたがWindowsにログインした時と同じ権限を取得するように欺かれることになる。瞬きしている間に、あなたのコンピュータはマルウェア(脆弱性攻撃キット経由で配布される)に感染させられる。
Microsoft Security Bulletin MS14-012で、セキュリティアップデートの根本的な重要性を躊躇うことなく、影響を受けるWindowsクライアント上のInternet Explorer 6, 7, 8, 9, 10, 11に関して最も高い「緊急」の評価を与え、影響をうけるWindowsサーバ上のInternet Explorerの同じバージョンに関して「警告、【訳注】 評価は「中」になります)」の評価を与えている。
もちろん、あなたが依然としてInternet Explorerのバージョン6のような古いバージョンを使用しているのであれば、この問題は、あなたの組織が直面している可能性のある當に多くの問題の一つである。
これは、ガタの来た古いWindows XPを依然として使用している組織とホームユーザが、この老朽化したオペレーティングシステムが、来月以降セキュリティアップデートを最早受けとれないことを思い出すためには、多分一番良い時である。
可能なら、悪意あるハッカーがそれを攻撃するための自由な支配権を所有するまで待つのではなく、できる限り早く、あなたがオペレーティングシステムをアップデートすることは大変重要である。
Windows XPのサポートの終了に関する詳細は、MicrsoftのWebサイト上に見つけることができる。
願わくば、殆どのWindowsホームユーザが、彼らに対して公開されるセキュリティ アップデートの自動化を活用しているといいのだが。しかし、会社は、何らかのくよくよ悩ませるものの有無に拘わらず、しばしば彼らのネットワークにパッチを配布する前に何らかの内部テストを実行することを好んでいる。
あなたがどのユーザのタイプであろうと、私のアドバイスは遅延するなということ、即ち、あなたのコンピュータとその上に格納されているデータのより良い保護のために、あなたの最速のタイミングで、このセキュリティアップデートをインストールしなさい。
Microsoftからの最新のセキュリティパッチ(Windows用、Silverlight用、Internet Explorerのものを含んでいる)に関する詳細を学習するには、
Microsoftの2014年3月のセキュリティ情報の概要をチェックすることである。
あなたの所在を追跡するために使用されている方法と、それを停止させるための方法
Sophos : NakedSecurity(2014/02/27)
Streakと呼ばれる新しいフリーのGoogle Chromeブラウザ拡張は、Googleアカウントを使用しているE-Mail送信者に、受信者がそのE-Mailを何時開いたかの確認を可能にしている。
そして、あらま、この拡張は送信者に誰がE-Mailを開いたのか、受信者は何処に所在しているのかの確認を可能にしている。
セールス、サポート、雇用のツールを含む顧客関係管理(CRM、Customer Relationship Management)システムの一部であるこの拡張は、受信者の所在を大きな赤いドットで地図上に示して、そのE-Mail受信者の所在を明らかにする。この拡張はまた、アップデートすることでユーザのリアルタイムの所在を与えてくれる。
Streakは多少気味が悪い。しかし、ハラハラしながら主張されていることのような「今迄のE-Mailのスキルを変える」ものではもちろん無い。
Streakは、確かに我々の居場所とE-Mailを開くスケジュールをジッと見つめる能力をマーケティング担当者に与える仕事に従事しているが、間違いなくE-Mailトラッキングを発明したわけではない、絶対に。
E-Mailトラッキングは、指定されたE-Mailが転送されたことが発見され、スパムフィルターを通過することに成功したなら、人々の所在している場所、E-Mailアドレス、受信者によって、そのE-Mailが実際に読まれたことを確認し理解するために既に、個人、マーケティング担当者、スパマー、詐欺師によって使用されている。
悪いニュースは、あなたがマーケティング担当者、大変嫌いな奴等、詐欺師、スパマーが、あなたが何時何処でE-Mailを開いたかということを確認されることを望まないのなら、Streakをインストールしなければいいだけだと考えることにある、残念だが、自己陶酔からの不合理な考えに過ぎない。
あなたはその立場を本当に理解しているか? オプトイン(【訳注】 企業などが個人情報を収集・利用しようとする場合、事前に本人の許可が必要であることを意味する言葉)が規範であるということを。
我々が実際に生活している場所で、受信者はE-Mailトラッキングを実行するためのソフトウェアを何もインストールする必要はないし、受信者は自分たちの所在とE-Mailを開いたことが追跡されていることさえ認識していないだろう。
朝飯前、何も手を出さなくていい、通常通りE-Mailを開く、するとE-Mailトラッカーは車輪を回す。受信者の関与は要求されない。
有難い事に、全部が悪いニュースなわけではない。
E-Mailは実際には非常に簡単なものなので、Streakのようなシステムが、あなたを追跡するために使用するテクニックの数は僅かなものである。そこで、このようなトラッキングを、あなたが妨害するのは簡単である
E-Mailは根本的に不活性(業界用語で、自力では何も実行しないことを意味する)なので、E-Mailはあなたのコンピュータでコードを実行することができない。
電子メールがトラッキングのように何かを引き出すためには、あなたのE-Mailクライアントからのかなりの協力を必要とする。そして、あなたがE-Mailクライアントを制御しているということは、あなたが運転席に座っていることである。
あなたを追跡したい者は、2つのことを実行できる、開封確認付きE-Mailを送信するか、埋め込み画像(時に、バグもしくはビーコンと呼ばれる(【訳注】 WebビーコンとはWebページや電子メールに小さな画像を埋め込み、受信者が該当のページやメールを閲覧した際に開封情報をフィードバックするしくみ))つきE-Mailを送信するかのどちらかである。
開封確認リクエストはE-Mailのメタデータ(メールヘッダ)中に含まれている。メタデータは活動的ではないので、開封確認を求めることはE-Mailソフトウェアへの単なる嘆願にすぎない。
あなたの開封確認付きメッセージでさえ、一体のものとして認められる保証がないように、開封確認ヘッダーがどのように見えなければならないかということに関して、様々なE-Mailクライアントは一致していない。
開封確認が認識されると、E-Mailクライアントは、受信者がE-Mailを読んだことを送信者に知らせるかどうかユーザに促してくる。これはE-Mailで広告している者が極秘にあなたをトラッキングしようとするためには、役に立つテクニックではない。
あなたは殆どの場合埋め込まれたイメージでトラックされている。
トラッキングE-MailはHTMLで記述される必要がある。これは送信者によって所有されているリモート サーバー上の画像を参照することが可能である(これは秘密になっているわけではなく、HTMLの動作そのものである)。
このE-Mailが開かれると、E-MailソフトウェアはHTTPリクエストをリモートサーバに送信することによって、そこから画像をロードする。
マスメーリングで送信しているスパマーやマーケティング担当者は、一意のURL付きの画像を各E-Mailに与えることができるので、どの受信者がメールを開いたかを理解することができる。
全てのHTTPリクエスト同様に、あなたのE-Mailソフトウェアによって送信されたメッセージは、あなたのIPアドレスを含んでいる。IPアドレスは地理的に割り当てられているので、あなたが何市に存在しているかということに関する正確な位置データを提供することとなるに等しい。
HTTPリクエストはまた、あなたのブラウザとオペレーティングシステムの簡潔な説明を提供するユーザエージェント ヘッダを含んでいる。
そこで、Streakのような埋め込み画像システムから、以下のことを知ることができる:
・ そのE-Mailを開いたのは誰か
・ そのE-Mailは、何時開かれたのか
・ そのE-Mailは、何処で開かれたのか
・ そのE-Mailは、どのようなデバイスで開かれたのか
この種のトラッキングから貴方自身を保護するための答えは、いたって簡単である、イメージをロードしなければいい。
あなたの全てのE-Mailにプレーン テキストとして表示することを強制することで、もしくは、HTMLを画像なしで表示することによって、イメージをロードすることを防止できる。
殆どのE-Mailクライアントは、このような方法であなたを支援する傾向にあり、実際にDefaultで後者(HTMLを画像なしで表示)を実行している。あなたが画像を表示することを望む場合に備えて、画像ダウンロード用のオプションを与えている。
これに関して最も注目すべき例外は、自動的にリモートコンテンツをロードするGmailである、但し、あなたが画像の表示設定を変更している場合を除く。
E-Mail中の画像をロードすることに関してあなたが唯一理解する必要のあることとしては、「あなたが、そのE-Mailを開いたということと、彼らに、そのメッセージの残りをあなたに送信して欲しいということを送信者に教える」ことを意味しているということである。
あなたが所在やE-Mailを開くスケジュール付きで送ってくるマーケティング担当者やストーカー(【訳注】 コッソリ追跡する者の意味)を信頼していないのであれば、リモートコンテンツのロードを管理する時宜である。
以下に最も人気のある7つのE-Mailクライアントのイメージ ローディングをOFFにするための方法を示しておく(【訳注】 訳者はこれらのメールのメニューがどのように日本語化されているかを知りません。適当に訳していますので類推してください):
iOS Mail
設定アイコンをクリックする
メール > コンタクト > カレンダー と進む
リモートイメージをロードする をOFFにする
Outlook(デスクトップ)
ツール メニューをクリックする
セキュリティセンターをクリックする
自動ダウンロードをクリックする
HTML電子メールやRSSアイテム内の画像を自動的にダウンロードしない をチェックする。
Outlook.com
設定アイコンをクリックする
メールの詳細設定をクリックする
迷惑メールの下にある 迷惑メールの処理と報告 をクリックする
セーフリストに存在していない送信者からの添付ファイル、画像、リンクをブロックする を選択する
Apple Mail
メールをクリックする
設定をクリックする
表示をクリックする
HTMLメッセージにリモートイメージを表示 のチェックを外す
Yahooメール
設定アイコンをクリックする
設定をクリックする
メール中のイメージを表示 に移動
Defaultで表示しない を選択する
なお、Yahooメールのヘルプは以下のようになっています
Yahoo!メールトップページ右上の[メールオプション]をクリックし、表示されるページで[迷惑メール対策]をクリック
迷惑メール対策機能の設定を表示
イメージブロックの設定欄で[すべてのメールに対してイメージブロックを有効にする]を選択
Gmail
設定アイコンをクリックする
全般タブに入る
画像セクションまでスクロールダウン
外部画像を表示する前に確認する を選択する
変更を保存 ボタンを押す
Android Gmailアプリケーション
メニューボタンをタップ
設定をタップ
あなたのメールアドレスをタップ
画面の一番下までスクロール
画像をタップ
表示する前に確認する を選択
この記事は殆ど、あなたが受信したE-Mailがあなたに関する情報をどのようにリークするかということに関してであるが、あなたが送信したE-Mailもまた同じことが出来ることを理解するのは価値のあることである。
あなたがE-Mailを送信した時、あなたのメッセージが通過する各サーバは、そのIPアドレスをそのE-Mailに消印として押す。そのリスト中の最初のIPアドレスは通常あなたのものであり、これはあなたが何処に所在しているかを特定するために使用することができる。
我々がこれを回避するために考えることのできる唯一の方法は、Webメールサービスを使用することである(そして、あなたはそのWebインターフェイスを使用する必要がある)。
我々の質の悪いテストで、私は Gmail, FastMail, OutlookがあなたのIPアドレスを秘匿していることを発見したが、セキュリティとプライバシーに関して毎回遅れてやってくるYahooは、あなたのIPアドレスを秘匿していない。
Apple: Windows用QuickTime中の10のコード実行セキュリティホールを閉じた
The Register : Security(2014/02/28)
Appleは、悪意あるビデオファイルが任意のコードの実行を可能にしていたQuickTimeメディアプレーヤーのWindowsバージョン中のセキュリティ脆弱性をパッチした。
エンターテイメントの巨人Appleは、QuickTimeのバージョン7.7.5は、このソフトウェアをクラッシュさせるための攻撃、もしくはWindows 7, Vista, XPマシンでリモートコード実行を成功させることのできる
10の重要なバクを修正していると発言した。このセキュリティホールは、Microsoft, iDefense VCP, Tencent Security Team, ヒューレットパッカードの0-Dayイニシエイティブ経由での人々によって報告されていた。
Appleによると、バグは以下である。
・ トラックリストのハンドリング中に存在していた初期化されていないポインタ問題
・ H.264エンコードされたムービーファイルのハンドリング中に存在していたバッファオーバーフロー
・ QuickTime画像記述のハンドリング中に存在していたバイト境界外スワッピング問題
・ 'stsz'アトムのハンドリング中に存在していた符号問題
・ 'ftab'アトムのハンドリング中に存在していたバッファオーバーフロー
・ 'dref'アトムのハンドリング中に存在していたメモリ損壊の問題
・ 'ldat'アトムのハンドリング中に存在していたバッファオーバーフロー
・ PSDイメージのハンドリング中に存在していたバッファオーバーフロー
・ 'ttfo'要素のハンドリング中に存在していたバイト境界外スワッピング問題
・ 'clef'アトムのハンドリング中に存在していたバッファオーバーフロー
ユーザが特別に細工されたムービーをホストしているドライブバイダウンロードWebサイトを訪問した場合、QTプレーヤでファイルを開くと、バグを誘発し、不快なソフトウェアをインストールするためのコードを実行することで、マルウェアはマシンを脆弱性あるものにすることができる。
このアップデートはAppleソフトウェア アップデートツール経由で、もしくは、Appleのセキュリティ
ダウンロードのページから取得することができる。Appleは、この脆弱性をターゲットにしている如何なる攻撃も報告していない。
このクパチーノの巨人(【訳注】 Appleのこと、カリフォルニア州クパチーノ市に本社があることに由来する)は、Windows用iTuneアプリケーション用のアップデートもまたリリースした。このリリースされた11.1.5は、デバイスをマシンに差し込んだ時にクラッシュを発生する恐れのある安定性の問題を改善し、iTuneストアでの日本語テキストのハンドリング中のフローを修正している。
このアップデートは、Windowsユーザに適用されるだけである。Appleは既に、OS Xの所有者にインストールするための多くのパッチを提供している。
今週早くに、Appleは、幾つかの暗号化された接続(メールとSafari Webブラウザ中のそれらを含む。情報がインターセプトされ、第三者によって復号化される中間者攻撃に対する脆弱性)を実際に描画するOS X Mavericks SSLライブラリ中の注目を浴びたフローの修正を急いで出すことで一般市民の抗議に対応した。
更に悪いことは、このセキュリティフローが、数日前にiOSモバイル プラットフォーム用のアップデートで、Appleが同じバグをまず解決した後に明らかになったということである。
イギリスはYahooユーザのWebcam画像をインターセプトしていた
BBC : News>Technology(2014/02/27)
The Gurdianの報道によると、イギリスの諜報機関GCHQは、世界中の数百万のYahooユーザからWebcam画像をインターセプトしていた。
Yahooは、この嫌疑のかかっているプログラムの事前通告は無く、「全く受け入れ難い」プライバシーの侵害であると記述している。
漏洩文書によると、故意ではないにしても、収集された物の中には性的な露骨な画像が含まれていた。
声明において、GHCQは、その行動の全ては適法であると発言している。
Optic Nerveと呼ばれ、アメリカ国家安全保障局によって補佐されるこの作戦は、2008年から2010年の間の画像を保存したと主張されている(180万ユーザからの画像が収集された)。
このレポートは、内部告発者エドワード スノーデンによって漏洩されたドキュメントに源を発する。
露骨な性的なコンテンツはシステムによって捕獲されたことを示唆している。
「残念ながら、驚くほどの数の人々が、彼らの性器を他の人に見せるためにWebcamを使用しているようだ」
「また、Yahooソフトウェアが、相反ストリームの送信を必須とせずにWebcamストリームを閲覧することを複数の人々に可能にしているという事実は、時として、ポルノ画像を広範に撒き散らすために使用されることを意味している」
全く新しい段階
「我々は、このレポートされている活動を容認していたことに気がついていなかった」と、YahooはE-Mail送付した声明で述べている。
「真実なら、このレポートは全く受け入れ難い我々のユーザプライバシーを侵害する全く新しい段階を示している。そして、我々は、我々が12月に概要した原則と一致する監視法に改正するよう世界中の政府に強く呼びかける」
「我々はユーザの信頼とセキュリティを保護することを約束しており、我々のサービス全体に渡り暗号化を拡大していくための努力を続けている」
GCHQの声明は、諜報の問題に関してはコメントすることはないとしながら、以下を付け加えている。「GCHQの全ての仕事は厳密な法的、政治的フレームワークに則って実行されている」我々の行動は、必要性とバランス、そして、国務長官、傍受諜報部長官、イギリス議会の情報安全保障委員会を含む厳しい監視の下で承認されている。」
「我々の作戦プロセスは、この立場を厳密に支えている。」
YouTubeの広告は、バンキング マルウェアを拡散していた
Graham Cluley : News(2014/02/24) おあか
Bromiumのセキュリティ研究者達は、疑うことを知らないユーザがYouTubeビデオを見ている間に、コンピュータにマルウェアを拡散させられていたことを発見した。
ドライブバイダウンロード攻撃は、YouTubeのWebサイト上に表示される広告を経由して配布され、Caphaw(バンキング用トロイ)をWindows PCに感染させるための脆弱性攻撃キットを使用していた。
Bromiumのブログ ポストによれば、この攻撃はJavaの脆弱性(CVE-2013-2460、2013年半ばにOracleがパッチを当てている)を悪用していた。
Bromiumによると、彼らが所有するvSentryテクノロジが、この攻撃を妨害した。ハッカーによって使用された脆弱性攻撃キットは、最近
Hasbro Toys(【訳注】 ハスブロ、アメリカの玩具メーカー)のWebサイトの訪問者への感染に使用されたのと同じものであった。
名誉のために言っておくと、BromiumはYouTube上のこの問題を解決するために週末中Googleセキュリティチームと共に作業した。
しかしながら、ユーザの中に、このマルウェア攻撃によって感染させられたコンピュータを所有している者がおり、結果として彼らの銀行認証情報が盗まれる可能性は十分にある。
今一度、この事件は、あなたのJavaインストレーションを最新のセキュリティパッチで適切にアップデートするか、あるいは、あなたのブラウザ中でJavaを完全に無効化(こちらの方がベター)するかの何れかへの時宜を得たアドバイスとして機能する。
もちろん、あなたが、マルウェア攻撃のリスクを軽減するために多層防御を配備していることを確実にしなさい。
この攻撃とYouTubeの広告ネットワークによって配布されていたマルウェアの詳細は、
Bromiumのブログ ポストを参照しなさい。
AdobeとMicrosoftが、0−Day脅威の修正をリリース
Krebs On Security : Blog(2014/02/20)
今月二回目、Adobeは既にインターネット上で攻撃者が脆弱性攻撃をしているFlash Playerの重要なセキュリティフローを修正するための緊急のソフトウェア アップデートをリリースした。それとは別に、Microsoftは、インターネット上で既に攻撃が行われているInternet Explorerのバージョン 9と10中の重要なバグを解決する一時凌ぎの修正をリリースした。
FlashとIE中の脆弱性は、緊急のものである。これは、ユーザが改竄されたもしくは、ブービートラップされているWebサイトを訪問することによってハックされることが可能であることを意味している。このFlashのパッチは、AdobeがFlashに対する別の0−Day攻撃用の修正を慌ててリリースした後、2週間強で出現している
Adobeは、この新しいリリースで塞いでいる三つのセキュリティホールの内の一つに対する脆弱性攻撃が存在していることを認識していると、
本日のアドバイザリで発言している。このプラグインは、Linux, Mac, Windows用に利用可能であり、Flash Playerのバージョンは、12.0.0.70になる。
このリンクは、あなたのブラウザにインストールされているFlashのバージョンを教えてくれる。IE10/IE11とChromeは、Flashの独自のバージョンに自動アップデートされるが、IEユーザはオペレーティングシステムに組み込まれているWindows Update機能でチェックする必要があるかもしれない。
あなたのChrome(Windows, Mac, Linuxの何れであれ)上のFlashのバージョンが未だにアップデートされていないのであれば、まず、ブラウザを終了し再起動する必要があるかもしれない。この修正を含むChromeのバージョンは、Windows, Mac, Linux全てに関し、バージョンは33.0.1750.117になる。Chromeのバージョンを知るには、アドレスバーの右にある「積み重ねられた横棒」のアイコンをクリックし、ドロップダウンメニューから「Google Chromeについて」を選択しなさい(あらゆる保留中のアップデートを適用するためのオプションが、同様に此処に表示される)。
Flashの最も最新のバージョンは
Adobeダウンロードセンターから利用可能であるが、McAfeeセキュリティスキャンのような、不要なアドオンに気をつけなさい。これを回避するには、ダウンロードする前に、予めチェックされているボックスのチェックを外しなさい。もしくは、あなたのOS特有のFlashを、こちらからダウンロードしなさい。Internet Explorer以外のブラウザでWebブラウズしているWindowsユーザは、Webブラウザ毎にこのパッチを適用する必要がある。IEで一度、代替ブラウザ(例えば、Firefox, Opera)で夫々。
私が
Tools for a Safer PC primerで注意しているように、Defaultで、あなたのWebブラウザ中でJavascriptをブロックすることは、ブラウザベースの攻撃(このような0−DayのFlashのフローを含む)をブロックするための最善の策である。何人かのMacユーザは、Tools for a Safer Macが何処にあるのか尋ねて最近投書してきている(もうじき、ポストされる)。これは適切な考えであるが、NoScriptやNotScriptsのような拡張(アドオン)でスクリプトをブロックすることは、複数のOSで上手くいくアプローチである。
DefaultでFlashコンテンツ(そして、Javaも)をブロックするための、もう一つの素晴らしいクロスプラットフォームのアプローチは、Click-to-Play(Defaultでプラグインを有効にしないようにしているGoogle Chrome, Mozilla Firefox, Operaに組み込まれている機能)である。これは、ページ上のプラグインコンテンツを空白の箱に置き換えるものであり、ブロックされたコンテンツを閲覧しようとするユーザは、それらの内部でFlashやJavaコンテンツを有効にするためにこの空白の箱をクリックする必要がある。配備されているClick-to-Playに関する詳細は、
このポストをチェックしなさい。
Microsoft FixItツール
Microsoftは
セキュリティ アドバイザリとInternet Explorer 9と10の未知の脆弱性用の
FixItツールをリリースした。MicrosoftはInternet Explorer 10への脆弱性攻撃は「限定的なターゲット攻撃」と認識していると発言している。Internet Explorer 9とInternet Explorer 10だけが、この脆弱性の影響を受ける。サポートされているInternet Explorerの他のバージョンは、影響を受けない。
Microsoftは、公式パッチは作業中であるが、現時点で、IEユーザは新しいFixIt解決策の活用を検討すべきであると発言している。Microsoftによれば、
此処のMicrosoft FixIt解決策を適用することは、この問題に対する脆弱性攻撃を妨げるはずである。
Microsoftは、IEユーザがこのFixIt解決策を適用する前に、IEを最新バージョンにすべきであると警告している(これはWindows Updateを訪問することを意味している)。また、あなたがFixIt解決策をインストールした後で、Internet Explorerを使用してWebをブラウズしている時、メモリ使用量が増加するかもしれないと、Microsoftは発言している。この挙動は、あなたがInternet Explorerを再起動するまで、どうやら発生しているようである。
WordPressの二要素認証プラグインにバイパスされるバグ
The Register : Security(2014/02/18)
WordPressブロガー用の二要素認証を提供している人気あるプラグインのメーカーは、このシステム中に脆弱性が発見された後、アップデートを準備している最中である。あらゆるベンダからの二要素認証を使用している者は、彼らのセキュリティ強度をチェックすることをアドバイスされている。
Duo Securityのduo_wordpressプラグインは、幾つかのマルチサイト配備中に脆弱性がある。この会社は、誰もが一つ目のサイトにログインすることで、二要素認証を有効にせずに配備している二つ目のサイトにアクセスすることが可能になっていると、発言している。
この問題はマルチサイトWordPressで、個別のサイトベースでこのプラグインを選択している管理機関にのみ存在していると、この会社は発言している。通常のWordPressの配備、もしくは、グローバルにこのプラグインを有効にしているマルチサイトにあっては、問題はない。
しかしながら、Duo Securityは、以下について注意している、「我々は、他の二要素認証ベンダからの認証プラグインが、この脆弱性によって同様に影響を受けると結論した」、そして、全ての二要素認証ユーザは、それらに脆弱性が存在するかどうか確認するようにアドバイスしている。
こちらの、顧客用アドバイザリにおいて、Duo Securityは以下の例を与えている。
「マルチサイトWordPress配備が、二つのサイト(サイト1、サイト2)があり、サイト1はDuo WordPressプラグインを有効に、サイト2は無効にしているとする。通常の環境のもとでは、サイト1にログインしようとするユーザは、主認証と二番目の要素での認証を要求される。サイト2ユーザは、主認証だけを要求される。サイト1ユーザが、サイト2のログインURLに対して閲覧を強いたとする。これは、二番目の要素での認証を要求することなく、このユーザを(同じWordPressマルチサイト ネットワークの一部として)認証し、彼らをサイト1にリダイレクトするだろう。」
二要素認証をグローバルにOFFにし、個別のサイトに関してONにする代わりに、Duo Securityは、ユーザにグローバルベースで二要素認証を有効にし、二要素認証を要求しない特異的なサイトに関してOFFに切り替えるようアドバイスしている。
あなたが'infected'のパスワードでZIPファイルをGMailすべきでない理由
Graham Cluley : News(2014/02/18)
以前(望むなら今もなお)、マルウェア研究者は、間違いなく途中で悪の手に渡らないようにするために、PGPのようなツールを使用して彼らのウィルスコレクションを安全に暗号化し、彼らがそれを送信することを意図していた人々によってのみ復号できるようになっていた。
しかしながら、今日、マルウェアに感染したファイルやFalse Alarm(偽警告)を持ったと考える顧客に、そのようなファイルをZIP圧縮し'infected'のパスワードを掛けてアンチウィルス企業のラボやサポートチームに、それを送信することを依頼するのは、アンチウィルス企業にとっては珍しいことではない。
セキュリティ企業のチームが、パスワードを掛けて暗号化したZIPファイルでサンプルを提出することを、あなたに依頼する理由は、あなたのコンピュータとアンチウィルス企業の間のアンチウィルス保護がファイル転送を阻まないように、それをマルウェアであると決定し、その送信をブロックしないようにすることが目的である。
しばしば、同じパスワード"infected"が使用される。このパスワードが辞書にある言葉、あるいは簡単に推測できる言葉であることは実際には重要なことではない。ポイントは、如何なる自動化されたシステムも、送信されているファイルを見ることを妨げることにある。
しかしながら、セキュリティ研究者Brian Baskinが正しいのであれば、パスワードの選択は再考される必要があるかもしれない。
Baskinは、マルウェアサンプルを含むパスワード保護付きZIPファイルを共有しようとする彼の試みが失敗したことを最近発見したと、彼はブログしている。
共通因子? Baskinはパスワード"infected"とGMail Webメールを使用した。
Googleが、あらゆるパスワード保護付きのZIPファイルをクラックしているとは思えないが(これは、プライバシーを意識している我々の背骨をゾッとさせる)、それよりも、ZIPファイルにパスワード"infected"を試みることは、その能力をハードコードする。
100万以上のForbes(フォーブス)の読者(私を含む)の個人情報がオンラインにリークされた
Graham Cluley : News(2014/02/15)
Forbes Webサイトの100万人以上の読者は、悪名高きハッカーグループがユーザ情報にアクセスし、それをオンラインに公開したので、パスワードを変更し、疑わしいE-Mailを開くことに目を配ることが賢明かもしれない。
ハッカー集団Syrian Electronic Army(シリア電子軍)は数日前Forbesをハックし、そのWebサイトを汚損し、幾つかのツイッター アカウントをハイジャックしている。
しかし今、彼らはさらなるステップを取り、彼らがForbesサーバから盗み出した1,071,963ユーザの詳細(ユーザ名、E-Mailアドレス、ForbesのWebサイトにアクセスするために使用する暗号化されたバージョンのパスワード)をポストした。
このファイルは、当然のことながら、このサイトの草創期のユーザであるForbes職員の詳細をリストすることで始まっている。
しかしながら、このファイルは直ちに一般のメンバーの詳細に変わっている(私は、私自身のエントリを含んでいることを発見した)。
現在、オンライン犯罪者は、100万以上のForbes読者のE-Mailアドレスとユーザ名へのアクセスを持っている。これは、フィッシング攻撃と疑うことを知らないインターネット ユーザを欺くために設計されたスパムキャンペーンで攻撃することができる情報である。
Forbesは、予防措置として私のパスワードを変更するようにというアドバイスのためのコンタクトを実行してきていない(幸いにして、私は他の如何なる場所でも同じパスワードを使用していないので、クラックされた場合でさえ、誰も他で使用されることはない)、そして私はForbesのWebサイトに潜在的なリスクがあるとするユーザ警告に関するアドバイザリを発見できていなかった。
しかしながら、
Softpediaのレポートでは、この会社は、
彼らの公式のFacebookページ上で警告を公開している。
セキュリティ メッセージ: Forbes.comはデジタル攻撃を受けた。そして、我々の出版プラットフォームは改竄された。ユーザのE-Mailアドレスは晒されたかもしれない。パスワードは暗号化されていたが、予防措置として、我々はForbes読者と寄稿者に我々のシステム上のパスワードを変更するよう強く要請する。また、読者や寄稿者が他の場所でも同じパスワードを使用しているのであれば、他のWebサイトでもパスワードを変更するよう要請する。我々は法執行機関に通知した。我々は、この事実を深刻に受け止めており、このデータが晒されたことに関して我々のコミュニティーのメンバーに謝罪する。
Forbesからの重要なアドバイスである。そして、願わくば、Forbesが影響を受けたユーザに対するメッセージを配布するための更なる努力を望む。
結局、彼らのシステムにシリア電子軍の侵入を許し、このような混乱を引き起こしたのは、そもそも雑誌社の杜撰な実践にある。
ランサムウェア(身代金要求ソフト)は、どのようにして、あなたのコンピュータをBitcoin Minerに変換するのか
The Gurdian : News>Technology>Virises(2014/02/10)
セキュリティ研究者は、新しいタイプのランサムウェアを特定した。このランサムウェアは、インターネット アクセスをブロックし、身代金の支払いを待つ間、ユーザのコンピュータをBitcoin miner(【訳注】新たなBitcoinを発掘するためのBitcoin用の専用ソフト)に変換する。
セキュリティ企業Emsisoftの研究者によって“Trojan-Ransom.Win32.Linkup”と名付けられたこのマルウェアは、今迄のランサムウェアとは異なっている。「このマルウェアは、あなたのコンピュータを直接ロックしたり、ファイルを暗号化したりしない。代わりに、Linkupは、あなたのDNSを改竄することによってインターネットアクセスをブロックし、あなたのコンピュータをBitcoin採掘ロボットに変換する」と、
この研究者は説明している。
感染したコンピュータは、何らかのページをロードした時、それらのコンピュータは「児童ポルノ」を閲覧したと非難し、0.01ユーロ(約 1.3927円)の罰金を支払うように要求するインチキのWebサイトに導かれる。この「支払い」は、クレジットカード番号を入力し、Emsisoftが「見え透いた真っ赤な嘘」と説明しているところの、マルウェアの開発者がたった1¢だけに彼ら自身を制限するということを信じたユーザから取得される。
【訳注】Emsisoftより。感染後Webにアクセスすると、このようなサイトに連れて行かれる。ここでは、個人情報や支払い方法等の入力が求められる。
一旦、このマルウェアがインストールされると、このマルウェアはBitcoin採掘ソフトウェアをダウンロードしようとする。Bitcoin採掘ソフトがインストールされると、このソフトウェアは、Bitcoinを採掘するために使用されるエネルギー大量消費業務を実行するためにコンピュータのプロセッサを使用する。これはマシンを損傷するリスクを実行し、間違いなく膨大な電気料金の請求に帰結する。
「Linkupの場合、Bitcoin採掘に関して理解すべき最も重要なことは、ハッカーがより強大なコンピュータパワーを取得したら、犯罪者がより多くのBitcoinを稼ぐことができるということである」と、
Emsisoftは記述している
「インターネットアクセスのブロックの追加は、Linkupが、あなたのコンピュータをBitcoin採掘ボットネットに接続することを企てていることが その理由である。このことは、この攻撃の背後にいる者が誰であれ、新たにBitcoinを稼ぐために複数の感染したコンピュータのコンピューティング パワーを結合することができる」
しかし、Linkupは様々なタイプのマルウェアの恐ろしい組み合わせであるが、最近インターネットを攻撃した最も危険なものというわけではない。Cryptolocker(
最近、Bitcoinで800£支払うようアメリカの警察署に強要したウィルス)は、Linkupより以上に懸念されるものを提供する幾つかの機能を持っている。
Cryptolockerのやり方は、犠牲者のハードドライブを暗号化し、次に、暗号化を復号するための金銭(通常二つのBitcoin)を要求するものである。このファイルは実際に暗号化されているために、Linkupと異なり、単純にウィルスを削除しても絶対に助けにならない。
しかし、あらゆるものの内最も危険なものは、Cryptlockerの多くの変種が、彼らの約束を守っていることにある(支払いを受領すると、このファイルの暗号化を解除する)。Linkupの犠牲者は、単純な問題を抱えているが、Cryptolockerで感染させられた人々は、より困難な決定(要求される金額を支払うか否か)を抱えることになる。
Flashの0−Dayの脆弱性(CVE-2014-0497)は、ここ84日間の存在だった
McAfee : Blog Central(2014/02/07)
02月04日、Adobeは現在インターネット上で脆弱性攻撃されている緊急のリモートコード実行の脆弱性を解決する定例外のアップデートをリリースした。
我々の研究チームは、この脅威に素早く対応し、既に我々の製品(
詳細はこちら参照)を通して様々な保護を提供している。我々は、この脆弱性が
ActionScript Virtual Machine (AVM) 実装中に存在していることを見出した。攻撃者は、この脆弱性を基にした非常に信頼性の高い脆弱性攻撃を簡単に開発することができるので、我々はユーザが即座にFlash Playerをアップデートするよう強く要請する。
この欠陥がAVMに居座っているため、この弱点は、通常殆ど全てのFlash Playerのバージョンが影響を受けるはずである。しかしながら、我々のテストによれば、以前のFlash Playerのバージョンの中に、この脆弱性の影響を受けないものが存在することが発見された。我々は幾つかの最近のリリースをテストした、以下にその結果を記す(
オリジナルのソース)。
[1] Adobeは、このバージョンで今回の脆弱性を修正した
[2] 最も最新の影響を受けるバージョン
* Adobeはこのバージョン以降、今回の脆弱性を導入している
このAVMに起因する脆弱性は昨年11月のアップデート、バージョン 11.9.900.152 もしくは 11.7.700.252(Windows用)で導入された。この脆弱性の生存期間を計算すると、02月04日までの84日間生存していたことを我々は確認した。
希少な影響を受けるバージョンを理解することは、その脆弱性をより深く理解することの助けとなるだけでなく、インターネット上での脆弱性攻撃が引き起こす危険を評価するための信頼ある方法を我々に提供してくれる。今回の場合、製品/セキュリティアップデートが脆弱性を修正するだけでなく、新しい脆弱性を導入していることが強調される(とりわけ、新しい機能が導入された時)。
以前のFlash Player(特に、バージョン 11.9.900.152 もしくは 11.7.700.252以前)のユーザは、セキュリティ アップデートを実行すべきである。そのようなバージョンは、幸運にも今回の脅威に関してだけは影響を受けないが、Flashの全てのバージョンは、他の脆弱性に関するリスクが存在している。
安全にしておこう。
あなたのE-Mailがハックされた時、何をすればよいのか? そして、それを防ぐには
The Gurdian : News>Technology>Email(2014/02/03)
我々がE-Mailをハックされることは、あるいは、我々が依存しているオンラインサービスで他の何らかの侵害がなされることは、殆ど不可避である。
悩まされ困惑するかもしれないが、制御を取り戻すことは可能であるし、E-Mailハックを防止するための役に立つ幾つかの簡単な予防策もある。
Step 1: あなたのE-Mailアカウントに入る
最初のステップは、被害を被った場所にアクセスすることである。あなたのE-MailプロバイダのWebサイトに行き、E-Mailアカウントにログインしなさい。
パスワードが変更されていたなら「パスワードを忘れましたか?」のように記されたリンクをクリックしてパスワード再設定メカニズムを試しなさい。
あなたのE-Mailアカウントに入ったなら、あなたが即座に実行すべきことは、パスワードを変更することである。大文字・小文字、数字、記号を使用して長くて強力なパスワードに変更しなさい。辞書にあるような言葉を使用することは回避しなさい。我々はパスワードセキュリティを後で取り扱うが、現時点では、パスワードを変更してハッカーがあなたのE-Mailアカウントに戻ることができないようにしておきなさい。
Step 2: あなたの他のアカウントをチェックしなさい
あなたのE-Mailアカウント用のパスワードを変更したら、同じパスワードを使用している他のサービス(Facebook, Twitter, Amazon,インターネット バンキング等)のアカウントのパスワードを変更することは重要である。
このようなアカウント用のユーザ名として、あなたのE-Mailアドレスを使用している場合、このようなサービスのユーザ名とパスワードの両方をハッカーが取得しているので、パスワードの変更は、とりわけ重要である。
受信箱とゴミ箱の両方で、あなたが他のサービスやアカウントのパスワードを設定変更していないにもかかわらず、そのE-Mailアドレスをリンクしたパスワード再設定E-Mailがあるか否かチェックしなさい。ハッカーは、あなたのE-Mailを使用してパスワード再設定を実行し、別のサイトのあなたのパスワードを変更した可能性がある。
Step 3: スパムのチェック
ハッカーの中には、あなたの友人や連絡先を攻撃するためにE-Mailアカウントを悪用する者がいる。彼らはスパムや、あなたの友人や連絡先の人々を誑かし、あなたが支援や何かを購入することを必要としていると考えさせたり、あるいは、個人情報を取得する目的でのフィッシングメールを送信するために、あなたのE-Mailアドレスを使用する。
あなたのE-Mailアカウントが、この方法で悪用されたかどうか識別することは困難なので、住所録から狙われた誰かを特定するために、怪しげな返信があるか否か、送信E-Mailや受信箱を直ぐにチェックしなさい。
あなたがハッカーによってコンタクトされた人を発見したなら、あなたが実行できるE-Mail以外の通信手段を使用して、もしくは、友人等とのためだけの秘密のE-Mailアカウントからのメールで、そのことをハッカーにコンタクトされた友人等に知らせなさい。
Step 4: あなたのアプリケーションを解決する
E-Mailアカウントを安全にし、侵害からのあらゆる副産物の可能性のあるものを処理したら、あなたの通常の全ての場所でE-Mailアドレスにアクセスできることを確認する必要がある。
あなたが、Outlook, Windows Mail, Mac MailのようなE-Mailプログラムを使用している、もしくは、電話やタブレットコンピュータでE-Mailを取得しているのであれば、各デバイス上で危険に晒されたパスワードを、あなたの新しい安全なパスワードに切り替える必要がある。
プログラム毎に異なっているものの、一般的な経験則としては、そのプログラム中のメールアカウント用の設定メニューに入り、新しいパスワードを入力してアカウントの詳細を修正することになる。
どのように実行するかの説明は、
Outlook,
Windows Mail用の支援Webサイトや
Apple Mail用のAppleのサポートフォーラムにリストされている。Androidスマートフォンとタブレットに関しては、あなたのパスワードは設定アプリケーションのアカウントセクションで変更することができる。iPhoneに関しては、あなたのパスワードは設定アプリケーションの、メール>連絡先>カレンダー から変更することが可能である。
Step 5: 将来のために自分を守る
ハックされたE−Mailアカウントや他のサービスが持つ危険性は増大しているが、あなたが、それを妨げるために実行できる幾つかのことがある。
粗末なパスワードは以前程安全ではない、しかし強力なパスワードを選択することは助けとなる。
・ 長いパスワードがベターである。パスワード中に多くの文字が含まれていると、ハッカーがパスワードを破るのに多くの時間を費やすことになり、その行為を続けようとすることを恐らく減少させることになる。
・ パスワードをより複雑にし、その強度を増すために、数字、小文字、大文字、記号を混ぜて使用しなさい。
・ パスワードに、きちんとした言葉を使わないようにしなさい。殆どのハッキングは、辞書に搭載されている言葉を繰り返して攻撃している。これは、あなたがパスワードにきちんとした言葉を使用していたなら、破られる可能性が高いことを意味している
・ 最良のパスワードは、16文字以上で任意に発生させた文字列で構成さるものである。もちろん、このようなパスワードは思い出すことが大変困難である。
・ 絶対にパスワードを二回使用するな。
長く複雑なパスワードを思い出す問題を解決するには、LastPassや1Password(安全な場所にあなたのパスワード全てを格納し、ブラウザで必要となるあらゆるログインを記入する準備をしている)のようなパスワード マネージャが助けになる。
パスワードマネージャを使用することで、あなたはパスワード マネージャに設定したパスワードの安全性と同レベルの安全性を有することになる。一つの本当に複雑で長いパスワードを思い出すことは、10も20もの、そのようなパスワードを思い出すことに比べればズット簡単である。
もう一つのセキュリティ レイヤー
パスワードに加えて、二段階認証と呼ばれる別のセキュリティ メカニズムが大きく利用されてきている。
本質的には、それは非常に簡単である。あなたのユーザ名とパスワードに加えて、あなたは認証に関して別の形式を持つことになる。通常キー・フォブやスマートフォン アプリケーションによって生成されたコードで構成されている。これはログインの時に挿入される必要があり、毎分もしくは、その程度の間隔で変更される。
これは、セキュリティのもう一つのレイヤーであなたのアカウントを安全にしているので、あなたはハッカーが取得できない物を保持していることになる。
銀行は暫くの間それらを使用している。あなたのインターネット バンキングにインプットするためのコードを生成するために暗証番号を入力することを強制するカードリーダを配布している。今、殆どのE-Mailプロバイダと、様々なオンラインサービスは、無料の二要素認証もしくは二段階認証を提供している。利用できるのであれば、あなたのアカウントにこのような認証を利用することは有益なことである。
今、Google Chromeは、あなたのブラウザがハイジャックされているかどうか警告する
Graham Cluley : News(2014/02/04)
ブラウザ ハイジャックは大きな問題である。
私は、友人や家族にPCが「奇妙な行動をしているため」見て欲しいと依頼されたことは数しれない、結局、Babylonツールバー, CoolWebSearch, Conduit Searchのようなものによって、彼らのブラウザがお節介を焼かれていることを発見するだけなのだが。
このようなブラウザ ハイジャック ソフトウェアは、しばしばサードパーティ製アプリケーションにバンドルされている。そして、ユーザが注意を怠ると、ブラウザのホームページを変更したり、削除することが困難なイライラするポップアップ広告を表示したり、検索クエリーをリダイレクトし、それらの背後にいる人々にとってより多くの収入を稼ぐことを意図したスポンサーリンクを表示したりするために、同時にインストールされる。
それは恰もまるで腹立たしい物ではないかのように、ブラウザハイジャック ツールバーやアドオンは、しばしばWindowsコンピュータから永久に削除することが大変厄介である。現代のアンチウィルス ソフトウェアでさえ、この問題を修正することにしばしば苦労し、特定のクリーンアップ ツールのダウンロード、あるいは、インターネットフォーラムに公開されている複雑なステップ-バイ-ステップに従うかの何れかに犠牲者を従わせる。
私は
Google Chromeチームの最新のブログ ポストを読んで喜ばされた。彼らの説明によると、Chromeは「Windowsユーザに、彼らの設定が変更されたことを表示し、彼らのブラウザ設定を工場出荷状態に戻したいか否かを指示するように促して」くるだろう。
変更されたChrome設定をリセットする
Chromeは、ブラウザ設定が、あなたの認識なく変更されたことを検出した。あなたはChromeの設定をオリジナルの初期状態にリセットしたいか?
Googleによれば、Chromeは、ブラウザの設定が変更されたことを通知するはずである。そして、この変更があなたによって認証されていないのであれば、その設定をリセットする簡単な方法をあなたに与える。
当然、ブラウザの設定をリセットすることは、あなたが実行した他の変更を失うことを意味している。
これは、あなたがインストールした、あらゆる拡張、アプリケーション、テーマを無効にする。リセットした後、あらゆる拡張を再度アクティベートしたいのであれば、Chromeのメニュー(ツール>拡張機能)中を見ることで、それらを見つけ、再度有効にすることができる。アプリケーションは、あなたがChromeを次に使用する時に自動的に有効にされる。
最後に、ブラウザ設定のリセットは、あなたが最初の段階で杜撰に扱ったアドウェアの削除に成功したことを必ずしも意味していない。これらは再起動で一般的には生き残る、そして、ハイジャックを再び発生させるだろう。
しかし、少なくとも、Googleはブラウザ ハイジャッカーにとって生き残ることが多少困難になることを実行している。そして、おそらく私の家族や友人は、何か奇妙なことが彼らのブラウザで実行されたことを認識するだろう。
ベスト プラクティスに従うことを忘れることなく、それらが何をインストールするかに注意し、アンチウイルス ソフトウェアとセキュリティパッチの更新を維持するというユーザと結合したこのような機能は、インターネットを多少なりとも安全な場所にすることの支援となる。
Adobe: Flashに対する0−Day攻撃用の修正をリリース
Krebs On Security : Blog(2014/02/04)
Adobe Systems Inc.は、Flash Playerを本日リリースした新しいバージョンにアップグレードするようにユーザに要請している。Adobeは、今迄に未知で緊急のセキュリティ上の脆弱性をターゲットにした脆弱性攻撃がフィールド中に存在していると、そして、このフローは攻撃者が影響を受けたシステムの完全な制御を取得することが可能であると警告している。
このフロー(CVE-2014-0497)用の修正を含む最新のバージョンは、以下の図にオペレーティングシステム別にリストした。
これらのアプデートは、このソフトウェア中の緊急の脆弱性を解決する。
このFlashアップデートは、WindowsとMac OS Xの大多数のユーザには、このメディプレーヤーのバージョンを12.0.0.44にする。
このリンクは、あなたのブラウザにインストールされているFlashのバージョンを教えてくれる。IE10とIE11及びChromeは、バージョン12.0.0.44に自動的にアップデートされるはずである。あなたのChrome(Windows, Mac, Linuxに関係なく)のFlashのバージョンが未だにアップデートされていないのであれば、ブラウザを閉じて再起動する必要があるかもしれない。この修正に含まえるChromeのバージョンは、Windows, Mac, Linux何れも32.0.1700.107である(あなたのChromeのバージョンを取得するには、アドレスバーの右にある工具アイコンのボタンをクリックし、ドロップダウンメニューから「Google Chromeについて」を選択する)。
Flashの最新バージョンは、Adobeダウンロードセンターから取得できるが、McAfeeセキュリティスキャンのような望みもしないアドオンに注意しなさい。これを回避するには、
こちらからあなたのOS指定のFlashをダウンロードしなさい。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを夫々のブラウザに適用する必要がある。IEで一度、他の代替ブラウザ(Firefox, Opera等)でも夫々アップデートを適用する。
Adobeは、アップデートすることを促した攻撃の本質に関するアドバイザリ中に、この脆弱性を報告したのがKaspersky Labの二人の研究者であったことを認めた以外は多くの詳細を含ませていない。これ自体は、このフローが、
02月03日のKasperskyのブログ ポストに関連しているかもしれない。このブログ ポストは、Kasperskyが「マスク」と呼んだ長期間に渡るサーバー スパイキャンペーンとの関連でAdobe Flashに言及している。Kasperskyは、来週のアナリスト サミットでこのキャンペーンについて詳細をリリースする計画であると発言している。
ワーム攻撃! あなたのメールボックスは、脅威の下にある
Kaspersky : SecureList(2014/01/27)
現実に、我々はしばしば、悪意ある添付ファイル付きのメッセージが同時に多くのアドレスに対してマスメールされているケースに遭遇する。最近、我々は同じメールアドレスに、しつこく送信されている一連のメッセージを確認した。明らかに、この攻撃者の主たる目的は、そのコンピュータに感染することである。ヘッダーの如何を問わず、全てのE-Mailは、Email-Worm.Win32.NetSky.qを含んでいる。このワームの特性は、E-Mail添付ファイル経由で拡散することにある。コンピュータに感染した後、このワームは、そのコンピュータ中の全てのE-Mailアドレスを発見し、特定の短いフレーズを使用して、それらE-Mailアドレスをコピーする。ただし、アンチウィルス企業のようなITセキュリティ プロバイダに直接関係する可能性のあるE−Mailアドレスは回避している。
我々が検出した最初のメッセージは、PayPal支払いシステムを詐称しているものであった。メール本文中のテキストは、ユーザへの請求書が添付されていると記されていた。
しかしながら油断のないユーザは、PayPalが添付ファイルではなく、テキストの本文中に請求情報を含ませていることを思い出すかもしれない。
別のE-Mailは、USA Hosting administration名で来ていた。ユーザが添付ファイルを開くように誘惑するために、攻撃者はユーザの「メールアカウントが期限切れ」と言い、そのユーザがメールアカウントを再度アクティベートする方法を添付ファイルに「詳細に」示していると説明していた。
三番目のメールは、伝えられているところによるとアンチウィルス セキュリティ企業Symantecからである。このメッセージは、ユーザのコンピュータが新しいウィルスで感染させられていると記述している。それを削除するには、ユーザは添付されているアンチウィルス シグネチャをダウンロードしなければならない。再び、油断のないユーザは、これがライバルのアンチウィルス企業Bitdefenderからのものであることに疑いを持つだろう。
このような手紙は全て、同じ月内に到着したが、それらは別々の件名を持っていた。それらはユーザのコンピュータに感染し、ネットワーク越しにマルウェアを拡散するという同じ目標を共有している。それ故、我々は、添付ファイル付きで到着したあらゆるE-Mailを処理するとき、特別な注意が必要とされることをユーザは今一度思い出して欲しい。あらゆる公式の手紙は適切にデザイン(正真正銘のロゴと署名)されていることを思い出すことが重要である。ユーザが送信者の正体に関して不確実であるのなら、確認のために、その会社の技術サポートに電話でコンタクトすることが最善である。受信したメールに対して事前に分別のある警戒を行うこと、信頼あるセキュリティ製品を組み合わせることは、サイバースペース(【訳注】コンピュータが作り出す仮想空間)の危険から、あなたのコンピュータを安全に保持する助けになる。
トロイを搭載したFileZillaのクローンはデータをズルズルとススり、UNKNOWNな相手に、そのデータを送信している
The Register : Security(2014/01/29)
サイバー犯罪者は、人気のあるFTPアプリケーションFileZillaの悪意あるバージョン(本物のように動作するがログイン情報を密かにハッカーが制御しているサーバに渡す)を組み上げた。
この邪悪な双子のバージョンは、本物のプログラムのような外観を持ち、明らかに、改竄されたデータで家に電話をするような疑わしい行動を隠蔽するように設計されている、そして、システムファイルを変更する。
このトロイ化されたFileZillaのバージョンは、本物のコード中では考慮されていない二つの特別な悪意あるDLLライブラリを搭載しているにも拘わらず、実際に本物より6.8MB軽量である。
このインチキ バージョンは、アップデートをインストールしないように設計されている。これは、可能な限り最大に改竄されたシステム上で削除や検出を回避するように設計された脅威としてのステルス機能の戦略である。
スクリーンショットとコード解析を備えた、この脅威に関する記述は、無料のアンチウィルス企業Avastによるブログ ポスト中に見つけることができる。
「不正な形式のFileZilla FTPクライアントのバージョン3.7.3と3.5.3に気をつけなさい。我々は、この有名なオープンソースFTPクライアントのマルウェア バージョンの存在が増加していることに言及していた」と、
Avastは警告している。
「この(インチキ)のインストーラは、殆どのハックされたインチキのコンテンツ付きのWebサイト上にホストされている」とAvastは続けている。
改竄されたFTPログインは、取り分け、関連するサイト上にマルウェアを移植するために、もしくはデータを盗むために使用されることが可能である。このFileZilla攻撃の背後にいるならず者と、彼らの究極の目的は現在不明である。
Google Chromeは、悪意あるWebサイトが、あなたの会話を盗聴することを可能にしているのか?
Graham Cluley : News(2014/01/24)
人気あるChrome Webブラウザの備え付けの機能は、遠隔Webサイトがあなたの会話を盗聴し、あなたの発言の全てを録音し悪用することが可能である。
この問題は、イスラエルのWeb開発者Tal Aterが、今週公開したブログポストにおいて主張していることである。
このビデオで説明されているように、悪意あるWebサイトが実行する必要のある唯一のことは、正当な目的(口述筆記のような)のためにChromeのボイス コントロール機能を有効にするよう、あなたを欺くことである。そして、あなたが、そのサイトを訪問しなくなって随分経ったと思っている後でさえ、悪意あるWebサイトは、あなたの会話を盗聴することを継続できる。
悪意あるウェブサイトがポップアンダー ウィンドウ(あなたのメイン ブラウジング ウィンドウの下に視認されない形式)で開いているために、この監視は継続している。このポップアンダー ウィンドウが広告として偽装されている場合、犠牲者は、潜在的にスパイされていることを認識しないかもしれない。
Chromeは、特定のサイトがユーザのマイクロフォンを通して音声を録音していることを知らせるために、ページタブに赤いドットを点滅するようにしている。しかしながら、上のビデオからも、隠されたポップアンダー ウィンドウがユーザに対する視覚的な喚起を表示していないことは明らかである。
彼が4ヶ月前に、この問題についてGoogleに告げたと発言した後も、彼はバグ報奨金を受け取っていないし、修正は依然としてChromeユーザに公開されていない。
我々はGoogleが、潜在的に重大なセキュリティ問題のように見えるものを、適切に解決することを期待して待つべきではないかもしれない。
Gizmoは、この問題を軽視しChrome中に何の問題もないと主張するGoogleの公式声明をレポートしている。
我々のユーザのセキュリティは再優先であり、この機能はセキュリティとプライバシーを念頭に置いて設計されている。我々は再調査した、そして、ユーザがまず、それを要求する各サイトのために音声認識を有効にしなければならないので、これが報酬を受けるに足るものではないと結論した。この機能は現在のW3C仕様に準拠している。そして、我々は改善に関する作業を継続している。
詳細について知りたいのであれば、
Tal AterのWebサイトを訪問しなさい。
あなたはどう思うか? Chromeは、この方法で動作することによってプライバシーを危うくしていると、あなたは考えるか? あなたは、このバグをGoogleが修正することを望むか? それとも、現在のまま放置して差し支えないと考えるか?
Windows XPの「死亡」に伴い世界中のATMの95%に脆弱性が放置される
ESET : We Live Security(2014/01/20)
Microsoftが4月8日に通常のセキュリティパッチを切り捨てた時、世界中のATMマシンのほぼ95%に、来る4月から脆弱性が存在することになるだろう。アメリカと世界中の殆どのATMマシンは、依然として老朽化したオペレーティングシステムを稼働している。そして、幾つかの銀行は「いつまでも」使い続けるかもしれない。
ATMソフトウェア企業KALは、アメリカのATMの15%だけが、4月までにWindows 7にアップデートすることを保証していると、The Verge(【訳注】Vox Mediaと共同で2011年に設立された)は報道している。「多数のマシンは期限切れのソフトウェアを稼働したまま放置される」と、このサイトは発言している。
Bloomberg Businessweekによる報告での、Robert Johnston(アメリカにおけるATMの最大の供給者(【訳注】 アメリカの総合情報システム企業、流通システムや金融システムを主たる業務とする)NCRのマーケティング・ディレクター)によれば、アメリカの42万のATMは依然としてWindows XPを稼働しており、現在アップグレードするための「デッドライン」に直面していると、発言している。4月8日以降、このマシンには業界標準不履行のリスクが存在することになるだろう。
The Vergeとの対話で、NCRは、Windows XPのサポートが終了しても、少数のマシンは2016年までサポートされるWindows XP Embedded(【訳注】組み込み機器向けに提供されているバージョン)を稼働するが、殆どのATMはWindows XPの完全版を稼働し続けると、発言している。
多くの銀行はWindows 7をサポートできない老朽化したマシンを置き換える高価なハードウェア アップグレードに直面している。Bloombergによると、JP Morganは19000台のATMの内3000台がWindows 7をサポートするための「増強」を要求するだろうと、発言している。
JP Morganは、Windows XPが稼働しているATMの寿命を引き延ばすためにMicrosoftからカスタム サポート契約を購入することになると、The Vergeはレポートしている。
XPを稼働しているマシンは「脆弱性のあるもの」として説明しているDaily Mailの報道によると、ATMソフトウェア プロバイダKALの最高経営責任者Aravinda Koralaの発言として「ATMの世界は本当に準備ができていない、そして、それは珍しいことではない」と「ATMはPCよりもっと緩慢に移行する」と記述している。
12月のプレゼンテーションにおいて、Mr Koralaは、幾つかの銀行がXPで稼働しているマシンを「いつまでも」使い続けようとしていると説明していた。
今月初め、Microsoftは、XPが最早「サポートされるオペレーティングシステム」ではないが、パッチに関する4月のデッドラインの後、数ヶ月間アンチマルウェア シグネチャの形式でユーザに対する支援を提供することを確認していた。この件に関してWe Live Securityは、
こちらで報道している。「組織が移行を完了することの支援のために、2015年4月14日まで、Microsoftは、我々のアンチマルウェア シグネチャとWindows XPユーザ用のエンジンに対しアップデートを提供することを継続するだろう。」
Microsoftが、Windows XPの「サポートの終了」を4月8日に設定しているにも拘わらず、世界中のPCの1/3が依然として、このオペレーティングシステムを使用していると、リサーチ企業
Net Applicationsは発言している。
「我々はWindows XPの終了が近づいているので、我々の顧客の移行の完了を支援することを継続するだろう」とMicrosoftはブログ ポストで発言している。けれども、MicrosoftはWindows XPが新しいOSより安全性の低い選択肢であることを明らかにしている。「我々の研究は、サポートの期限切れのオペレーティングシステム上のアンチマルウェアの効果が限定的であることを示している。しっかりと保護するソリューションを稼働するには、現代の脅威の状況に対する保護を支援するために設計された最新のソフトウェアとハードウェアを使用することに始まる。」
We Live Securityが、
此処で報道したように、Windows XPユーザは既に、より高いリスクのマルウェア感染に直面している。Neowinの報告によると、スキャンされたPCの1000台あたり、Windows 8の感染数が1.6であるのに比較して、Windows XPは9.1である。
「Microsoft Windows XPは12年前にリリースされた、技術用語において、これは無限である。10年以上に渡り多くの人々の必要性に役立ってきたWindows XPの成功を誇りに思うが、時代遅れのソフトウェアとハードウェアは、最早現代の脅威と、ますます高度化するサイバー犯罪者から身を守ることのできない転換点にある」とMicrosoftは昨年の声明で記述している。
バンキング(銀行)アプリケーションは危険で、コーディングは拙い
The Register : Security(2014/01/13)
セキュリティ企業IO Activeは、多くのスマートフォン用のバンキング アプリケーションは情報漏洩し易く、修正される必要があると発言している。
世界中の60の銀行から集めた40のiOSベースのバンキング アプリケーションをテストした結果、大変神経質に心配するものであるとする研究概要を発表した。
・ バンキング アプリケーションの40%が、サーバーから提示されたSSL証明書の信頼性を検証しないため、中間者攻撃(【訳注】通信を行う二者の間に割り込んで、両者が交換する公開情報を自分のものとすりかえることにより、気付かれることなく盗聴したり、通信内容に介入したりする手法)に対する脆弱性が存在する。
・ 20%に、「位置独立実行形式(PIE)と、有効にされたStack Smashing Protection(【訳注】バッファオーバーフローを検出し、オーバフロー状態となる前に防ぐ機能)」が欠乏していた。これは、メモリ損壊攻撃を防ぐことのできる機能であると、IO Activeは発言している。
・ これらアプリケーションの半分に、クロスサイト スクリプティング攻撃に対する脆弱性が存在している。
・ 40%以上が、システム ログ中に重要な情報を残したままにしている。
・ 30%以上が、ある種のハードコード化された認証を使用していた。
しかしながら、最大の心配は、非SSLリンクを含むアプリケーションの数と、Jailbreak(ジェイルブレイク、【訳注】ユーザー権限に制限を設けているコンピュータ(携帯電話やゲーム機など)に対して、セキュリティホールを突くなどしてその制限を取り除き、開発者が意図しない方法でソフトウェアを動作できるようにすること)検出の欠乏しているアプリケーションの数が共に統計上90%あることである。これらの検出を搭載しているものでさえ、「ジェイルブレイクされたiOS上にバンキング アプリケーションの全てをインストールすることができた。これは静的ブラックボックス解析(【訳注】コードを実際に実行することなくソースコードのままで解析する手法)のスピードアップに役だった」と、IO ActiveのAriel Sanchezは記述している。
これらのアプリケーション中に非SSLリンクを含むと、攻撃者は「トラフィックをインターセプトでき、インチキのログイン プロンプトもしくは類似のスカムを作成しようとする任意のJavaScript/HTMLコードを挿入する」ことができたと、Sanchezは発言している。
「更に、バンキング アプリケーションの半数に危険なUIWebView経由でJavaScriptを挿入可能な脆弱性が発見された。ある場合には、本来のiOS機能が露出される。これは犠牲者のデバイスからSMSやE-Mailを送信するような行動を可能にする」と、彼は続けている。
UIWebViewはインチキのHTMLフォームを挿入されることが可能である。IO Active提供。
IO Activeは他の幾つかの情報リークもまた投稿している。これには、SQLite中に保存された暗号化されていないデータ、意思の強い経験豊かな攻撃者が、このアプリケーションが通信している最中のサーバサイド インフラストラクチャに関する結論を引き出すことのできるIPアドレスやアプリケーションのパスを含んでいる。
この研究はクライアント サイドのみに着目している、そして、できる限り、彼が同定した脆弱性を持つ銀行に通知したと、Sanchezは述べている。
Oracle: Javaを含む重要なセキュリティ フィックスを火曜日にリリース
Graham Cluley : News(2014/01/13)
1月14日(火)、Oracleは四半期ごとのセキュリティアップデートをリリースする予定である(膨大なものになることが見込まれている)。
Oracleの重要なパッチ アップデートは、複数のセキュリティ問題を解決する(数百のOracle製品に渡って修正される144の脆弱性を含んでいる)。
Oracleは、攻撃の成功によってもたらされる脅威のために、ユーザが可能な限り早急にパッチを適用するように強く推奨すると発言している。
いつもどおり、このリスクは、これらの脆弱性の一つは、あなたのコンピュータ上でマルウェアを稼働するために、ハッカーによって攻撃されるかもしれないものである。
多くの脆弱性は、「認証なしに遠隔攻撃」されるものと言われている。これは、あなたがユーザ名とパスワードを入力する必要なしに、あなたのコンピュータに対して攻撃が成功することを意味している
パッチする必要のある最も多くの見出しを持っているOracle製品は多分、ビジネスと消費者両方のコンピュータの多くで使用され、そして、あまりのセキュリティホールのために「スイスチーズ(【訳注】欠陥だらけのアプリケーションの意味)」と長きに渡り見做されているJava SEである。
火曜日のリリースは、Javaに関して36の修正を含む。その内の34は、認証する必要なく攻撃者によって脆弱性攻撃されることが可能であると、Oracleは発言している。
もう一度、あなたが本当にWebブラウザ中でJavaを有効にする必要があるのか否か考えることが重要であるかもしれない。
(注意: JavaとJavaScriptは全く別物である)
詳細は、セキュリティ アップデートに関するOracleの事前アナウンス中に発見されるが、影響を受ける製品リストを以下に掲げておく。
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 11g Release 2, versions 11.2.0.3, 11.2.0.4
Oracle Database 12c Release 1, version 12.1.0.1
Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7
Oracle Fusion Middleware 11g Release 2, versions 11.1.2.0, 11.1.2.1
Oracle Fusion Middleware 12c Release 2, version 12.1.2
Oracle Enterprise Data Quality, versions 8.1, 9.0.8
Oracle Forms and Reports 11g, Release 2, version 11.1.2.1
Oracle GlassFish Server, version 2.1.1, Sun Java Application Server, versions 8.1, 8.2
Oracle HTTP Server 11g, versions 11.1.1.6, 11.1.1.7
Oracle HTTP Server 12c, version 12.1.2
Oracle Identity Manager, versions 11.1.1.5, 11.1.1.7, 11.1.2.0, 11.1.2.1
Oracle Internet Directory, versions 11.1.1.6, 11.1.1.7
Oracle iPlanet Web Proxy Server, version 4.0
Oracle iPlanet Web Server, versions 6.1, 7.0
Oracle Outside In Technology, versions 8.4.0, 8.4.1
Oracle Portal, version 11.1.1.6
Oracle Reports Developer, versions 11.1.1.6, 11.1.1.7, 11.1.2.1
Oracle Traffic Director, versions 11.1.1.6, 11.1.1.7
Oracle WebCenter Portal versions 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0
Oracle WebCenter Sites versions 11.1.1.6.1, 11.1.1.8.0
Hyperion Essbase Administration Services, versions 11.1.2.1, 11.1.2.2, 11.1.2.3
Hyperion Strategic Finance, versions 11.1.2.1, 11.1.2.2
Oracle E-Business Suite Release 11i, version 11.5.10.2
Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle Agile Product Lifecycle Management for Process, versions 6.0, 6.1, 6.1.1
Oracle AutoVue Electro-Mechanical Professional, versions 20.1.1, 20.2.2
Oracle Demantra Demand Management, versions 7.3.1, 12.2.1, 12.2.2, 12.2.3
Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2, 6.3, 6.3.1, 6.3.2
Oracle PeopleSoft Enterprise HRMS, versions 9.1.0, 9.2.0
Oracle PeopleSoft Enterprise HRMS Human Resources, versions 9.1, 9.2
Oracle PeopleSoft Enterprise PeopleTools, versions 8.52, 8.53
Oracle PeopleSoft Enterprise SCM Services Procurement, version 9.2
Oracle Siebel Core, versions 8.1.1, 8.2.2
Oracle Siebel Life Sciences, versions 8.1.1, 8.2.2
Oracle iLearning, version 6.0
Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1, 12.0.2
Oracle JavaFX, versions 2.2.45 and earlier
Oracle Java JDK and JRE, versions 5.0u55 and earlier, 6u65 and earlier, 7u45 and earlier
Oracle Java SE Embedded, versions 7u45 and earlier
Oracle JRockit, versions R27.7.7 and earlier, R28.2.9 and earlier
Oracle Solaris versions 8, 9, 10, 11.1
Oracle Secure Global Desktop, versions 4.63.x, 4.71.x, 5.0.x, 5.10
Oracle VM VirtualBox, versions prior to 3.2.20, 4.0.22, 4.1.30, 4.2.20, 4.3.6
Oracle MySQL Enterprise Monitor, versions 2.3, 3.0
Oracle MySQL Server, versions 5.1, 5.5, 5.6
まるで、あなたがセキュリティパッチを当てることにそれ程忙しくないかのようであるが、MicrosoftやAdobeの月例セキュリティ アップデート同等のOracleの四半期毎のセキュリティ フィックスの時期が来ていることを忘れないようにしなさい。
Yahoo.comが数十万のデータを漏洩した問題について
The Washington Post : The Switch (2014/01/06)
【簡単に概要を記しておきます】
2014年01月03日、オランダに本拠を置くセキュリティ企業Fox IT等によって以下のことが報告されました。
ここ数日で、Yahoo.comの広告サーバーがハッキングされており数十万のユーザが、このマルウェアの影響を受けた。原因はads.yahoo.comがハッキングされたことによる、というものです。
本日、Yahooスポークスマンは、「特定の地域のユーザのみが影響を受け、北米、アジア太平洋、ラテンアメリカのユーザは、この広告を提供されていないので、影響を受けない」と発言しています。
当初、漏洩は数十万とされていましたが、数千だったようです。
Snpachatが携帯電話番号は保護していたと主張した後、ハッカーは460万の携帯電話番号を晒した
The Gurdian : Technology (2014/01/01)
【訳注】Snapchat: 米国のティーンエイジャー中心に最近流行しているフォトメッセージ アプリケーション。様々な問題点を抱えていると指摘されています。詳細は、
Wikipedia参照してください。
匿名のハッカーグループは、Snapchatがユーザの個人情報を暴露できる脆弱性を修正する防御を講じていた主張した、僅か数日後に、460万のSnapchatユーザの携帯電話の番号とユーザ名を明らかにしている膨大なデータベースを晒した。
SnapchatDBと呼ばれるWebサイトが膨大なデータベースをリリースした。このデータベースは、アメリカにおけるSnapchatユーザのユーザ名と電話番号を含んでいる。各電話番号の末尾二桁は、このグループによって編集されている。
このサイトは後にダウンさせられたかのように見えたが、依然としてアクセス可能であり、この資料は、この問題の「認識を向上」させるために公開されたと説明している。
「この情報は、最近パッチされたSnapchatを脆弱性攻撃することによって取得された。そして、この問題に関する認識を向上するために公開された。この会社は、彼らが遅きに失したと認識するまで、この脆弱性攻撃に対してパッチすることに全く気乗りがしていなかった。我々が我々の情報を託す会社は、その取り扱いに一層注意深くあるべきである」と、そのサイトで発言している。
「現在、我々はスパムと悪用を最小にするために電話番号の末尾二桁を切り捨てた」とも発言している。
このサイトはまた「ある環境の下で」編集されていないデータベースをリリースすることを考えるかもしれないとも発言している。
このユーザ名と電話番号の公開は、この脆弱性の詳細がクリスマスにGibson Securityと呼ばれるオーストラリアのセキュリティ研究グループによって公開された後に出現した。このセキュリティ研究グループは、この脆弱性を攻撃することが可能と思われる方法を概略していた。そして、この問題が数カ月前に発生した時、Snapchatはそれに対して対応しなかったと発言している。
Gibson Securityは、彼らがユーザ情報のリリースに関与していないとツイートしている。
「我々はSnapchatDBについて何も知らないが、そのようなことが発生するのは時間の問題であった」と、ツイートしている。
Gibsonが、その発見を公開した後、Snapchatはユーザのプライバシーを真剣に受け取っているとブログポストで以下のように応答した:「理論的に、誰かが、市外局番中の全ての電話番号、あるいは、アメリカ国内で利用可能な全ての番号のような、膨大な電話番号のセットをアップロードすることが可能であったなら、そんなふうにして、彼らはその結果のデータベースを作成でき、ユーザ名と電話番号を一致させることができる。
過去数年に渡り、我々は、情報漏洩の実行をより困難にするために様々な防護策を講じてきた。我々は最近更なる防護策を追加したし、スパムや悪用と戦うための改善を実行し続けている。」
Snapchatは、SnapchatDBデータベースのリリースに関するコメントに関して既に問い合わせを受けている。