セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年 2014年

    セキュリティ・メーカー関連
  • ・ Bikis : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant

Radamant身代金要求型マルウェアの開発者は、復号プログラムをリリースされたので、Emsisoftに不満を感じている
BleepingComputer : News>Security (2015/12/29)
 EmsisoftのFabian Wosarが、今までの二つのバージョン用の復号プログラムをリリースした後、Radamant Ransomware Kitの新しいバージョンがリリースされていた。Radamantの最初のバージョンは、RDM拡張子をつけてデータファイル暗号化した。二つ目のバージョンは、RRK拡張子を使用した。そして、我々が、未だに確認していない三つ目のバージョンが噂されている。最初の二つのリリースに関しては、Fabianが犠牲者のファイルを無料で修復することのできる復号プログラムを作成することができた。これに起因して、Radamant身代金要求型マルウェアの開発者が、彼らのビジネスを妨害したとしてFabianとEmsisoftに大変な不快感を持っていることは明らかである。
 この不快感は、この身代金要求型マルウェア実行ファイル中の埋め込まれた文字列中と、彼らのCommand & Controlサーバのドメイン名に示されている。例えば、このマルウェア実行ファイルの最新バージョン中で、開発者の不快感を示す emsisoft f**kedbastardsihateyou のような文字列が存在している。この文字列と他の文字列が、以下の画像中に表示されている。


このマルウェアの開発者がEmsisoftを嫌っていることを強く示している。
画像をクリックすると拡大します。
 けれども、Radamantの開発者は、その場に留まっていなかった。そして、彼のCommand & Controlサーバの一つのドメイン名にEmsisoftを付けて彼の不快感を含めることを決定している。現在、この身代金要求型マルウェアに確認されている最新の変種は、以下に示すように、ドメイン名に emisoftsucked.top を使用している。

 この投稿に見られるように、Fabianは侮辱されたというより、むしろ正反対に思っている。

     あなた方の立場の人達が、どのように考えるのか、私には全く分からないが、私達の立場の者は、マルウェアの作者によって侮辱されることは、その人が受け取ることのできる最高の種類の称賛と考えられているので、このことに関して、あなたに感謝する。次回は、会社名を正確にするようお願いする(【訳注】 最初の画像中でemsisoftがemisoftになっていることの指摘)。しかし、これはよくある間違いなので、見逃すことにしよう。
    - Fabian Wosar

 願わくば、Fabianが、彼らがリリースしたとき、Radamant Ransomware Kitの新しいバージョンに関する復号プログラムのリリースを継続することが可能であらんことを。

Googleは、バグによって900万ユーザが晒された後、AVG Chromeウィジェットを徹底的に調査。Web TuneUp拡張はアンチウィルスパッケージと一緒に自動インストールされることからブロックされた
The Register : Security (2015/12/29)

 Googleは、AVGのWeb TuneUp Chrome拡張を自動的にインストールすることからAVGを締め出した(このウィジェットが900万人のオンライン セキュリティを破滅させた後に)。
 Tavis Ormandy(アンチウィルスソフトウェアを監査しているGoogle Project Zeroの研究者)は、この拡張が脆弱性の穴だらけだったことを発見した。Web TuneUpは、AVGのアンチウィルスパッケージと一緒に自動的にインストールされ、Chromeユーザが、Webサイトにホストされているマルウェアへのサーフを止めることを目的としている。これは9,050,432人によって使用されていた。
 Ormandyによると、この拡張は、「ブラウジングの履歴、他の個人データをインターネットに」リークしていた。悪意あるWebサイトは、このユーザがログインした他のWebサイトにアクセスするために、このツールバーのプログラミング上の大失敗を悪用することができた。言い換えると、タブ中のWebページ上で実行中のスクリプトは、不可視に、例えば、mail.google.comにユーザとしてアクセスでき、その犠牲者のWebメール受信箱を乗っ取ることができた。
 そして、中間者攻撃をする悪漢共は、彼らが好む任意のJavaScriptを、ネットワークを介して掴んだWebページに挿入するためにWeb TuneUpを乱用することができたので、如何なるSSL暗号化も効果の無いものにしたと、我々は告げられた。
 「私の荒っぽい言い方に関しては謝罪するが、Chromeユーザに、このゴミがインストールされることに関しては、まったく不満である」と、Ormandyは、彼のセキュリティ バグ レポート中でAVGのエンジニアに告げている。
 「この拡張は、酷く壊れているので、あなたに、これを脆弱性としてレポートすべきなのか、これがPuP(悪意のある有害な可能性のあるプログラム、別名、マルウェア)であるか否かを、この拡張誤用チームに調査を依頼すべきなのか定かでない。」
 AVGは、Web TuneUpのバージョン4.2.5.169で報告されている脆弱性を削除した。そして、このバージョンは先週リリースされたと、我々は告げられた。しかしながら、AVGはもはや、この拡張を自動的にインストールすることは許可されていない。ユーザが、この拡張を本当にインストールしたいのであれば、Chrome Web Storeから手動で入手しなければならない。そして、このStoreチームは、「ポリシー違反の可能性」に関して、このウィジェトを調査中である。
 AVGのスポークスマンは、即座にコメントを出すことができていない。  

Flash Player、0-Dayと他の18のフローをパッチ
Krebs On Security : Blog (2015/12/28)
 Adobeは、Flash Playerブラウザ プラグイン中の少なくとも19のセキュリティホールを閉じる(既にインターネット上で攻撃されている一つのフローを含む)新しいバージョンを出荷した。
 殆どのMacとWindowsユーザ用である新しいバージョン v. 20.0.0.267 は、Adobeが「限定的な標的型攻撃」と発言している脆弱性(CVE-2015-8651)に関する修正を含んでいる。あなたがFlashをインストールしているのであれば、アップデートしなさい。
 より良いのは、Flashを完全に削除するか、少なくとも、あなたが、どうしてもFlashを必要とする場合を除いて、それまではFlashを無効にすることである。Flashなしでのインターネット生活は、適切なセキュリティ シーンを作成する。そして、これは、あなたが考えているほど難しいことではない。Flashをインストールしておくリスクを最小にするための方法の助言に関しては、私の投稿、A Month Without Adobe Flash Player、を参照しなさい。
 ほぼ最近のFlashのバージョンは、Flashホームページから利用可能である。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを2回適用する必要があるかもしれない、IEで一回、他のブラウザ(FirefoxやOpera等)でもう一度。このリンクは、あなたのシステムがFlashを持っているか否か、もしインストールされているのであれば、Flashのどのバージョンがインストールされているのかを告げてくるはずである。

Microsoftは、中間者攻撃の停止するようにアドウェア開発者に警告
BleepingComputer : News>Security (2015/12/24)
 Microsoftは、ブラウザとサーバ間のネットワーク トラフィックを監視しセキュリティ侵害する中間者攻撃やブラウザ外実行(out-of-browser)テクニックを利用しているアドウェアを、もはや大目に見ることはしないだろうと月曜日にアナウンスした。これらの種類のアドウェアは、一般的にプロキシサーバー、DNS改竄、中間者SSL証明書、Layered Service Provider(【訳注】 WindowsのTCP/IPハンドラとして使用されるソフトウェア(トレンドマイクロより))、あるいは、アドウェアがWebブラウザとWebサーバ間で遣り取りするトラフィックを盗聴することを可能にする他のテクニックのような中間者攻撃を使用する。
 アドウェアが中間に存在し、全てのWebトラフィックは、このアドウェアを介して遣り取りされる。このアドウェアは、データを改竄する能力を持っているので、広告が挿入される。中間者攻撃の動作方法の例を、以下に掲げる。

 今日の殆どのアドウェアは、実際には逆であるにもかかわらず、何か役に立つものの如く装うが故に、トロイの木馬に分類されるので、これは大変素晴らしいニュースである。多くの人々が、この新しいポリシーに関する主たる理由としてLenovo Superfishの大失敗に言及しているにもかかわらず、現実は、かなり長期間に渡りSuperfishには及ばないテクニックを使用してアドウェアの挿入が実行され続けているということである。これらのテクニックは、ネットワークスタックの取扱い、関数フッキング、そして、中間に居座り、Webトラフィックを操作するプロキシサーバを利用している。2015年03月に、Googleが、これらと同じタイプのアドウェアに焦点を当てたことを考慮すると、最大の驚きは、Microsoftが、同様の行動を取るため掛かった時間の長さである。Microsoftのアナウンスにおける別の懸念は、以下の文章にある。

     これらを解決し、我々のポリシーの意向を反映させるために、我々は、客観的な基準をアップデートし、ブラウザ中に広告を作成するプログラムが、インストール、実行、無効化、および削除をサポートする拡張性しか使用してはならないことを要求する。

 これは、拡張、アドオン、あるいはブラウザヘルパー オブジェクトとして彼らのプログラムをインストールするアドウェア開発者が、ブラウザの拡張性モデルを使用して、それらを実装することができるので、ブラウザ中に広告を挿入することを継続することが可能であることを意味しているのだろうか? 我々は、様子を見守り続ける必要があるだろう。

復号された、Gomasom .Crypt身代金要求型マルウェア
BleepingComputer : News>Security (2015/12/21)
 インターネット上に存在しているこの新しい身代金要求型マルウェアは、暗号化されたファイル名にGmailのメールアドレスを使用していることに起因して、EmsisoftのFabian WosarによってGomasom (GOogle MAil ranSOM)と名付けられた。この身代金要求型マルウェアは、データファイルを暗号化するだけでなく、実行ファイルもまた暗号化するので、取り分け有害である。そして、実行ファイルの暗号化は、あなたのアプリケーションの殆ど全てで発生するので、もはや操作できない。ユーザが、この特別な身代金要求型マルウェアに感染すると、彼らのデータファイルは、Tulips.jpg!___prosschiff@gmail.com_.crypt のようなファイル名にリネームされる。このユーザは、身代金支払いの指示を得るためにファイル名中にリストされているアドレスにeMailするように説明されている。幸いにも、Febianは、あなたが暗号化されていないバージョンのファイルを持っている場合に限り、これらの変種による暗号化を復号できるプログラムを作成した。この身代金要求型マルウェアの専用サポートトピックと、このファイル復号の支援に関しては、こちらに発見することができる。Crypt Gomasom Ransomware (!___crydhellsek@gmail.com__.crypt) Support Topic

 このマルウェアが拡散している方法は、現在知られていないが、一旦インストールされると、C:¥Users¥User¥AppData¥Local¥Microsoft Help¥ 中にランダムな名前のマルウェア実行ファイルを作成するとともにオートランを作成するので、このマルウェアは、あなたがWindowsにログインすると、実行されることになる。起動すると、この身代金要求型マルウェアは、データ ファイルと実行ファイルに関して全てのドライブレターをスキャンし、それらを暗号化する。ファイルが暗号化されると、それらは、originalfilename.extension!____.crypt(オリジナルのファイル名.オリジナルの拡張子!____.crypt)の形式にリネームする。そこで、tulips.jpgは、Tulips.jpg!___prosschiff@gmail.com_.crypt になるだろう。この身代金要求型マルウェアは、脅迫状を置いていかない。
 あなたが、このマルウェアに感染した場合、以下のリンクからdecrypt_gomasom.exeをダウンロードし、あなたのデスクトップに、このソフトを保存しなさい。

DecryptGomasom Download(直リンク)

 あなたの復号キーを発見するには、暗号化されたファイルと同じファイルの暗号化されていないバージョンを同時にdecrypt_gomasom.exeアイコン上にドラッグする必要がある。すなわち、ファイルの暗号化されたバージョンと暗号化されていないバージョンの両方を選択し、この実行ファイル上にそれらのファイルの両方をドラッグする。あなたが、暗号化されたファイルのオリジナルのバージョンを持っていないのであれば、我々のテストでは、あなたは、暗号化されたPNGファイルと、インターネットと切り離されている暗号化されていない任意の他のPNGファイルを使用することができるので、この二つを一緒にdecrypt_gomasom.exeアイコン上にドラッグしなさい。あなたのファイルの一つを暗号化するために使用されたキーが確定したら、あなたは、次に、コンピュータ上の他の全てのファイルを復号するために、そのキーを使用することができる。
 同時に二つのファイルをドラッグするとは、どういうことか示すために、以下の例を作成したので、参照されたい。このキーを作成するために、私は暗号化されたPNGファイル、正当な全く別物のPNGファイル、decrypt_gomasom.exeを含むフォルダを作成した。次に、私は、通常のPNGファイルと暗号化されたPNGファイルを、同時にこの実行ファイル上にドラッグした。

 このプログラムが開始すると、あなたは以下に示すUACプロンプトを表示される。続行するには”Yes”ボタンをクリックしなさい。


 UACプロンプト

 このプログラムは現在、選択されたファイルに関してキーをブルートフォース(総当たり)している。これは時間が掛かるので、我慢することになる。キーが総当たりされると、以下のような新しいウィンドウを表示する。


 発見された復号キー

あなたのファイルをこのキーで復号を始めるには、OKボタンをクリックしなさい。次に、使用許諾書が表示されるので、続行するには”Yes”をクリックしなければならない。これで、あなたはメインのDecryptGomasom画面を見ることになる。


 暗号化されたファイルをリストするDecryptGomasomスクリーン

 c:¥ ドライブを復号するには、”Decrypt”ボタンをクリックする。あなたが復号したい他のドライブやフォルダがリストされていない場合、あなたは、”Add Folder”ボタンを押して、暗号化されたファイルを含む他のフォルダを追加することができる。復号したい全てのドライブを追加したら、復号プロセスを開始するために”Decrypt”ボタンをクリックしなさい。”Decrypt”をクリックすると、DecryptGomasomは、暗号化されたファイル全てを復号し、以下のような結果の画面中に復号状況を表示する。


 復号結果

 あなたのファイルの全てが、これで復号されたはずである。
 この身代金要求型マルウェアに関する詳細な技術情報を知りたい人々は、以下のセクションを読んでほしい。既に述べたように、我々は、Gomasom身代金要求型マルウェアをサポートするための専用のフォーラム トピックを作成し、このツールの使用に関する援助を提供している。このサポート トピックは以下に発見することができる。 Crypt Gomasom Ransomware (!___crydhellsek@gmail.com__.crypt) Support Topic

Gomasomによって追加されるファイル

%LocalAppData%¥Microsoft Help¥.exe

Gomasomによって追加されるレジストリ エントリ

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥     "C:¥Users¥User¥AppData¥Local¥Microsoft Help¥<random>.exe"
HKCU¥Software¥<random>

暗号化されたファイルにRDM拡張子を追加する新しいRadamant Ransomware Kit
BleepingComputer : News>Security (2015/12/18)

 Radamant Ransomware Kitと呼ばれる新しい身代金要求型マルウェアが発見された。この身代金要求型マルウェアは、ASE-256暗号化を使用してあなたのデータを暗号化し、ファイルを復元するには、0.5 Bitcoinもしくは、およそ230.88 USD(約 27706円)を要求する。この身代金要求型マルウェアが拡散する方法は現在知られていないが、.tmpファイルとしての%Temp%フォルダからインストールされている。このことは、脆弱性悪用キットを介してインストールされていることを示しているのかもしれない。この感染が、あなたのファイルの暗号化を終了すると、身代金の支払い方法に関する情報を表示しているWebサイトを表示する。このサイトは、この身代金要求型マルウェア用のコマンド&コントロール サーバであり、crazytrevor.com もしくは crazytrevor.in ドメイン上にホストされている。残念ながら、この時点で、この暗号化をクラックする方法はない。
 Radamant身代金要求型マルウェアが、最初にインストールされると、それ自身のコピーを C:¥Windows¥directx.exe にコピーし、あなたがWindowsにログインする度に、この感染を開始するための幾つかのレジストリ キーを作成する。次に、特定のファイル拡張子に一致するファイルに関して、あなたのコンピュータの全てのドライブレターをスキャンする。ターゲットになっているファイルが発見されると、一意のAES暗号化キーを生成し、それで、そのファイルを暗号化する。ファイルが暗号化されると、この身代金要求型マルウェアは、暗号化されたファイルに .RDM 拡張子を追加する。この身代金要求型マルウェアが起動すると、ターゲットにしている拡張子のリストに関してコマンド&コントロールサーバ上のmask.phpスクリプトをクエリーする。Radamant身代金要求型マルウェアがターゲットにしている現在のファイル拡張子は以下である。

    1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, 3dm, 3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie.byu, c4d, fbx, dgn, dwg, 4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, ns3, ns4, nsf, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdb, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdb, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bib, bna, boc, btd, bzabw, chart, chord, cnm, crd, crwl, cyi, dca, dgs, diz, dne, doc, doc, docm, docx, docxml, docz, dot, dotm, dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, klg, knt, kon, kwd, latex, lbt, lis, lit, lnt, lp2, lrc, lst, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tdf, tex, text, thp, tlb, tm, tmd, tmv, tmx, tpc, trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wbk, wcf, webdoc, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpd, wpl, wps, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xdl, xlf, xps, xwp, xwp, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 0,36, 3fr, 0,411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, artwork, arw, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, erf, exr, fal, fax, fil, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, art, asy, cdmm, cdmt, cdmtz, cdmz, cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gdraw, gem, glox, gsd, hpg, hpgl, hpl, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, pc2, pc3, pcd, pcx, pdd, pdn, pe4, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pm, pmg, png, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sct, sep, sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, tex, tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, rtf, cdrw, jpeg, djvu, pdf, ddoc, css, pptm, raw, cpt, gif, jpeg, jpg, jpe, jp2, pcx, pdn, png, psd, tga, tiff, tif, hdp, xpm, ai, cdr, ps, svg, sai, wmf, emf, ani, apng, djv, flc, fb2, fb3, fli, mng, smil, svg, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm

 暗号化プロセスの間に、Radamant身代金要求型マルウェアは、感染しているコンピュータのシャドー ボリューム コピーを削除するためにWMICコマンドを実行する。これは、犠牲者がシャドー ボリューム コピーを使用してファイルを復元することを妨害するために実行される。このシャドー ボリューム コピーを削除するために使用しているコマンドは以下である。

    process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

 この身代金要求型マルウェアが、犠牲者のファイルの暗号化を終了すると、YOUR_FILES.url と呼ばれるファイルを作成する。これは、このファイルが実行されるとブラウザを起動し、crazytrevor.com あるいは crazytrevor.in 上に配置されているC2(C&C、コマンド&コントロール)サーバに、あなたを連れて行く。開かれたページは、送金額、送金期限、身代金を送信するためのBitcoinアドレスに関する情報を提供している。このサイトのスクリーンショットは以下である。


 このHTML脅迫文は二つに分割されている。

 この身代金要求型マルウェアがバックグラウンドで実行している間、身代金の支払いが実行されたか否か確認するためにC2サーバを定期的にチェックしている。支払いが実行されていると、このプログラムは自動的にファイルの復号を開始する。
 既に述べたように、この身代金要求型マルウェアは、シャドー ボリューム コピーを削除するので、「以前のバージョンの復元」やShadowExplorerを介してファイルを復号することは不可能である。けれども、あなたは、 R-StudioPhotorec のようなファイル復元ソフトウェアを使用して、幾つかのあなたのファイルを取り戻すことは可能であるかもしれない。そうすることができたのであれば、我々にコメントを残してほしい。
 このプログラムの名前に単語 kit が使用されていることに基づき、この身代金要求型マルウェアがアフィリエイト プログラムや販売されているキットの一部である可能性がある。このケースであるのなら、より多くの犯罪者が購入するであろうから、更に多くのこの種の感染の例を確認することになるだろう。何らかの新しい情報が明るみに出た場合には、我々は、此処に間違いなく投稿するだろう。

このRadamant Ransomware Kit関連のファイル

    %Desktop%¥YOUR_FILES.url
    C:¥Windows¥directx.exe

このRadamant Ransomware Kit関連のレジストリ エントリ

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥svchost     C:¥Windows¥directx.exe
    HKLM¥SOFTWARE¥Wow6432Node¥Microsoft¥Windows¥CurrentVersion¥Run¥svchost     C:¥Windows¥directx.exe


LatentBotマルウェアは、金融業界にバックドアを開く
GrahamCluley : Blog (2015/12/14)
 セキュリティ研究者は、世界中の金融機関と保険業界を標的にした複数レベルの難読化を使用して、洗練された尋常ではない攻撃をするLatentBotマルウェアの存在を明かにした。
 FireEyeのブログに公開されたレポートで、アナリストTaha KarimとDaniel Regaladoは、このマルウェアが、米国、英国、ブラジル、韓国、カナダ等に存在する企業に対する複数の攻撃に関連していたと説明している。

     感染の戦略は新しいものではないが、我々の目を惹いた最終的に投下されるペイロード(【訳注】 悪意の総体)は、難読化の幾つかのレイヤー、特有の逆浸出(中から外に引き出す)メカニズムの実装であり(これがLatentBotと名付けられた所以)、そして、複数の組織に首尾よく感染している。

 LatentBotは、Microsoft Word脆弱性攻撃で開始される感染プロセスの第三段階バイナリとして投下される。攻撃者は、Microsoft Word Intruder(WMI)を使用して悪意あるWordドキュメントを作成する。このドキュメントが開かれると、悪意ある実行ファイルが実行され、第二段階バイナリとしてLuminosityLink Remote Access Trojan (RAT)をダウンロードする。

これは、興味をかきたてるところである。
 The Registerによって言及されたように、LuminosityLink RATは、犠牲者のマシンをリモートコントロールしようとする攻撃者にとって必要とされる全ての能力を持っている。
 全体の感染プロセスは、此処で終了し、全く興味を起こさせない。しかし、そうではなかった。代わりに、LuminosityLink RATは、第二のコマンド&コントロールサーバ(C&C)にコンタクトし、LatentBotマルウェアをロードする。
 ショックなことに、この感染プロセスは、LatentBotの後に、更に三つのバイナリを準備している。一つ目は、このマルウェアによって投下される。それでも、LatentBotは、FireEyeの研究者によって観察されていた企業に投下された最終的なペイロードである。  マシン上に投下された後、LatentBotは最初に、このマルウェアのプラグインがインストールされているか否かをチェックする。存在しなければ、取り分け、URIがエンコードされる三段階のアルゴリズムに関連する、その複雑なプロセスを介して、プラグインのダウンロードに掛かる。
 その間中、これは、RegaldoがDark Readingに説明しているように、活動の正確な性質を厳しく機密扱いにしている。

     LatantBotは、複数の難読化レイヤーとメモリ中の複数の挿入物に起因して、その内部動作を(簡単には)明らかにしない。基本的に、アナリストはLatentBotをメモリ中で完全に追跡しなければならないし、動作方法を理解するために(C&C)からの適切な応答を持っていなければならない。

 しかしながら、Regaladoは、復号された文字列を使用後メモリから削除したり、APIの動的な復号と、このマルウェアにスポットをあてることをより困難にするコールバック トラフィックのような追加の機能に着目し続けている。
 このマルウェアはまた、マスターブートレコード(MBR)を削除するので、感染したマシンからその存在の全ての痕跡は削除される。
 最終的に、ダウンロード セッションが成功すると、このマルウェアは、幾つかの異なるプラグイン(Bitcoinアカウントをターゲットにしているとして知られるマルウェアの別の形態であるPony Stealerを含む)をロードするように命令される。これはまた、犠牲者のデスクトップをロックすることのできる拡張で身代金を要求するマルウェアの真似をすることもできる。

コマンド アクション
killosanduninstalls MBR Wiper, レジストリやファイルシステムから、このマルウェアのあらゆるインスタンスを削除し、最終的に再起動を強制する
ClearTemp tempディレクトリから全てのファイルを削除する
newvn svchost内部にVNCプロセス(【訳注】 原文はprocvessとあるが、processの誤りと考える)を挿入する
EXW_REBOOT マシンを再起動する
EXW_LOGOFF 現在のユーザをログオフする
EXW_SHUTDOWN 犠牲者のマシンをシャットダウンする
Disablerds (Remote Data Service) RDSレジストリキー 000 を 0x42 にセットする
getinstallpluginlist レジストリからプラグインリストを取得し、それをC2(C&C)に送信する
uninstallbot レジストリ、ファイルシステム、メモリから、あらゆる存在を削除する
startkey キーロガーを起動する
stopkeylog システムからキーロガーを削除する
sendkey キーログのデータをC2に送信する
clearkeylog キーログ ファイルをシステムから削除する
findgold システム中にBitcoinに関連するデータを検索する
Explorer_restart Explorerのプロセスを再起動する
Locked マウス イベントを無効にする
Unlocked マウス イベントを再度有効にする
sendCtrlAltDel Sends Ctrl+Alt+deleteキーコンビネーションを犠牲者のシステムに送信する

 LatentBotは、明らかに隠された方法で武器を運ぶものである。しかし、運良く、あまりの精巧化は、このマルウェアの失脚を証明するかもしれないと、FireEyeは、そのレポートで発言している。

     LatentBotは、実行される複数のプロセスの挿入に起因して、大変複雑にされているがこれは、適切な挙動ベースのソリューションを使用してメモリ中で簡単に検出されることを煩わしくしているだけである。

 実際、80%を超えるアンチウィルス製品が、記述時点でLatentBotを同定している。これを念頭におき、アップデートされたアンチウィルスは、このしつこいマルウェアからユーザを保護するには十分である。
 もちろん、ユーザは、この感染プロセスがWordドキュメントを開くことで開始されることに注意しなさい。常に求めてもいない添付ファイルを開くことに疑念を持ちなさい。
 このマルウェアに関する詳細な技術的情報は、FireEyeのレポート中に見出される。

XRTN身代金要求型マルウェアはデータ暗号化にバッチファイルを使用している
BleepingComputer : News (2015/12/15)
 XRTNと呼ばれる新しい身代金要求型マルウェアが、インターネット上に存在している。この身代金要求型マルウェアは、オープンソースのGnu Privacy Guard(GnuPG)暗号化ソフトウェアを使用して、あなたのデータを暗号化する。この身代金要求型マルウェアは、我々が3月に報道した、VaultCrypt身代金要求型マルウェアと同じ種属である。感染すると、Windowsを起動したとき、彼らの援助を受けるためには、eMailアドレス xrtnhelp@yandex.ru にコンタクトするように指示するHTAドキュメントを、犠牲者に表示する。現在、この身代金要求型マルウェアの製作者が要求する身代金の金額は知られていない。現時点で、復号用のキーを取り戻す方法は存在していない。
 この身代金要求型マルウェアは、様々なツールと、あなたのファイルの暗号化を実行するバッチファイルで作成されている。これは、gusang.vpscoke.com から 犠牲者のコンピュータに、様々なファイルをダウンロードするJavaScriptファイルを介してインストールされる。ダウンロードされるファイルは、GnuPG.exe, Wordドキュメント, 暗号化ルーティンを実行するバッチファイルを含んでいる。実行されると、このJavaScriptインストーラは、このファイル群をダウンロードし、Wordドキュメントを実行する、次に、このバッチファイルを実行する。これがWordドキュメントを実行するという事実は、このJavaScriptファイルが、見せかけのWordドキュメントとをeMail添付ファイルとして送信することを示している。曖昧さを取り除いたJavaScript XRTN感染源の例は、以下のようである。

 このバッチファイルが実行されると、これはRSA-1024キーを生成し、データファイルを暗号化するために全てのドライブ レターをスキャンする。これが、ターゲットにしている拡張子と一致したファイルを発見すると、そのファイルを暗号化し、.XRTN拡張子を追加する。この身代金要求型マルウェアの標的にされているファイル拡張子は以下である。

.xls, *.doc, *.xlsx, *.docx, *.pdf, *.rtf, *.cdr, *.psd, *.dwg, *.cd, *.mdb, *.1cd, *.dbf, *.sqlite, *.jpg, *.zip

 暗号化プロセスの間に、XRTN身代金要求型マルウェアは、シャドー ボリューム コピーも削除するので、犠牲者は、シャドー ボリューム コピーを使用してファイルを復元することはできない。感染したコンピュータ上のシャドー ボリュームをクリアするWMICコマンドを含むVBSスクリプトを作成し実行することによって、シャドー ボリューム コピーを削除している。このVBSスクリプトは以下である。

 暗号化プロセスの間に、このバッチファイルは、XRTN.keyと呼ばれるファイルにデータを暗号化するために使用される秘密鍵を出力する。このファイルは、他の情報(ユーザ名、コンピュータ名、日付、暗号化されたファイルの量、暗号化された拡張子別の数、その他の設定)も含んでいる。このXRTN.keyファイル(犠牲者のファイルを復号するために要求されるキーを含む)は、次に、以下に示すバッチファイルに含まれるマスター公開鍵で暗号化される。

 このバッチファイルは、フリーのディスクスペースを上書きするために各ドライブレター毎に、cipher /w コマンドを実行するので、あなたはファイル復元ツールを使用することは不可能である。次に、あなたのデータを取り戻す方法を発見するために xrtnhelp@yandex.ru に、eMailする指示を含む脅迫状が表示される。以下に脅迫文を示す。

 私の推測は、開発者が、犠牲者の暗号化されたXRTN.keyを要請し、身代金を発表することではないかということである。犠牲者が身代金を支払うと、このマルウェア開発者は、次に、犠牲者のXRTN.keyファイルを復号するために、このマスター復号キーを使用する。これは、犠牲者の一意の秘密鍵を取得するためである。彼らは次に、ユーザファイルを復号するためのバッチファイルと一緒に、このキーを送信する。
 不幸にして、今回は、最初に、このマルウェアの開発者だけしか知らないマスター秘密鍵を取得すること無に、無料でファイルを復号する方法は存在しない。これは直ぐに起こる分けではないにしても、唯一のオプションは、バックアップで、あなたのデータを復元することである。

XRTN身代金要求型マルウェアに関連するファイル

    %Temp%¥3cnq8256w5rxxavz.hta
    %Temp%¥4077430c_xrtn.KEY
    %Temp%¥CONFIRMATION.KEY
    %Temp%¥Do_88u.docx
    %Temp%¥dsfsdghd.bat
    %Temp%¥ez3x7je8.cmd
    %Temp%¥xrtn.KEY
    %Temp%¥xrtn.txt
    %AppData%¥3cnq8256w5rxxavz.hta
    %AppData%¥xrtn.KEY

XRTN身代金要求型マルウェアに関連するレジストリ エントリ

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥onuntsss     mshta %AppData%¥3cnq8256w5rxxavz.hta

Ashley Madisonの脅迫者達は米国郵便公社を介して脅威を送っている
GrahamClueley : Blog (2015/12/14)

 Ashley Madison既婚者用出会い系サイトがハックされて数ヶ月経つが、この話は、もっと不愉快になって、ひた走っている。
 Ashley Madisonがハックされて以来、私は、このサイトの会員であることが友人や家族に露見するかもしれないと心配するユーザから、絶え間なくeMailを受け取った。
 知っての通り、インターネット裏社会の者達は、脅迫メールをばら撒くことによっ、てメンバーの恐怖を悪用してきた。
 しかし、脅迫者達は、次の段階を準備しており、ハックしたユーザの自宅宛に手紙を書いている。
 以下に、本日読者から送られてきたeMailを掲げる。


 私は、4167 USD(約50万円)の支払いを求められた、支払わなければ、近親者に私のAshley Madisonのアカウントを公開するとする、郵便物が自宅に配達された。あなたのアドバイスは、電子メールでの恐喝に関するビデオと同じだろうか?

 いやはや、扱い難い。
 私は、郵便を介してそのような手紙を受け取ることで、Ashley Madisonのメンバーを疲弊させようとしていると理解するが、私は、殆どの場合、脅迫者達は、幸運を願い、ターゲットの数パーセントが支払ってくれることを希望しているとする意見を強く持っている。
 ことによると、一部の人達は、彼らの愛する人が、論争の的になっているサイトに参加していたことを発見することを恐れてポケットに手を突っ込む準備をしているだろう。そして、このような人々が、脅迫者が焦点を当てている人々である。しかし、脅迫者が、この脅威を通じて何を得ようとしているのかが分からない。
 何故なら、彼らがあなたの近親者に告げたなら、彼らは、あなたに支払わせる機会を失うことになる。このような視点から考えると、これは間抜けなビジネス モデルである。
 実際、脅迫者がこの脅威を介してうなづける私が想像できる唯一のシナリオは、あなたを特に標的にし、金銭ではなく、あなた個人の問題を主たる動機付けとしている場合である。この場合では、金銭を支払うことは何の助けにもならない。
 これが不安と心配にさいなまれることであると、私は理解するが、脅迫者に金銭を支払うことは、更に、彼らを、あなたに集中させることになるだけだろう。私の愚見ではあるが、無視することが多分より適切だろう。
 もちろん、脅迫者達がメールの代わりに、あなたに物理的な何らかのものを送ってきたとき、これは、警察が犯人を捜査するための何らかの有用な証拠を、あなたは手にしている可能性があるということを意味している。
 あなたが郵便を介しての、そのような脅迫の手紙を受け取ったなら、当局とその手紙を共有しなさいというのが私のアドバイスである(彼らの判断を求めなさい)。
 警察は、誰かを首尾よく立件することにあるのだから、彼らは、このような証拠を探しているだろう。
 以下に、今年の初めに、Ashley Madison脅迫メールへの対応方法に関して、私が作成したビデオを掲げておく。
 皆、危険にさらされないように、あなた自身が脅迫されることのないように。

Microsoftは、Xboxlive.comの証明書をリークした。あなた自身を守るために認識しておく必要のあること
BleepingComputer : News (2015/12/09)
 Microsoftは、 *.xboxlive.com SSL証明書用の秘密鍵を誤って漏洩したことを、Windowsユーザに対して警報を発し、攻撃される可能性があるので注意するようにWindowsユーザに警告するセキュリティ アドバイザリ3123040を昨日リリースした。SSL証明書は、WebサーバとWebサイトとの間のコミュニケーションを暗号化するために使用されるので、他の組織や他の人々が、この接続を盗聴することはできない。攻撃者が、このデータを暗号化するために使用された証明書の秘密鍵にアクセスできると、攻撃者は、この暗号化された接続を盗聴するために中間者攻撃を企てることができる。これは、あらゆる金融情報、パスワード、他の暗号化されているデータが、攻撃者にアクセス可能になることを意味している。Microsoftは、既にCertificate Trust List(証明書信頼リスト)をアップデートしており、「この問題に関連する攻撃は現時点で確認されていない」とする声名をだしている。そうは言うものの、あなたが最新のWindowsアップデートをインストールしているなら、あなたは、この潜在的な攻撃から安全なはずである。


中間者攻撃の例: (上)訪問者とWebサーバ間の通常の暗号化SSLコミュニケーション。(下)攻撃者が暗号化された接続を盗聴している中間者攻撃。

 Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows 10 バージョン 1511のユーザと、 Windows Phone 8, Windows Phone 8.1, Windows 10 Mobileを実行しているデバイスに関しては、Windowsのこれらのバージョンが、証明書信頼リストに関する「自動アップデータ」を含んでいるので安全である。不幸にして、あなたが、Windows Vista, Windows 7, Windows Server 2008, あるいは Windows Server 2008 R2のユーザであり、Certificate Trust Lists (KB2677070)(証明書信頼リスト)の「自動アップデータ」をインストールしていないのであれば、あなたは手動で、この認証を追加する必要がある。
 あなたが、この「自動アップデータ」をインストールしているか否か確認するには、イベントビューワを閲覧し、アップデートが、あなたのコンピュータに昨日インストールされているか否かチェックすることができる。これは、イベントビューワのアプリケーション ログ中のCAP12を検索することで実行することができる。


 この新しい証明書信頼リストがあなたのコンピュータにインストールされているのであれば、 上の画像に見られるような、"Successful auto update of disallowed certificate list with effective date: Tuesday, December 01, 2015 2:39:19 PM."(許可されない証明書リストの自動更新に成功しました。有効期限: 2015年12月01日 (またはそれ以降))とするエントリの説明を確認することができる。

研究者はC&CサーバからダウンロードできるLinux用のマルウェアを発見した
SC Magazine : News (2015/12/08)
 ロシアのアンチウィルス&セキュリティ企業Dr.Webの研究者は、Linuxシステムをターゲットにし、感染したコンピュータのコントロール&コマンド サーバ(command and control server)からファイルをダウンロードすることができるマルウェアを発見した。
 このマルウェア(研究者がRekoobeと名付けたトロイの木馬ファイル)は、本質的にLinuxのSPARCアーキテクチャに感染するためだけに作成されていた。このマルウェアは32-bitと54-bitアーキテクチャを使用しているIntelチップで実行しているLinux PCをターゲットにするために、Rekoobeを有効にするように改善されている。
 このマルウェアはセキュリティ企業がRekoobeを検出することを困難にするためにXOR(排他的論理和)アルゴリズムによって暗号化された設定ファイルを使用している。Dr.Webのブログポストによると、「このファイルが読み込まれると、このトロイは、コマンドを受けとるためにC&Cサーバを定期的に参照する。」
 「次に、このマルウェアは、感染したコンピュータの設定ファイルから認証データを抽出する。情報の送受信は、個別のブロックに分割される。これは次に暗号化され、独自のシグネチャを使用して送信される。」 このRekoobeマルウェアは、Android, Mac OS X, Windowsシステムに移行されている。

誰もがMcAfeeのセキュリティマネージャをバイパスすることができる
The Register : Security (2015/12/07)
 McAfeeのEnterprise Security Manager (ESM)は、管理者レベルの認証がバイパスされるので、可能な限り早急に、パッチされる必要がある。
 アドバイザリは、「特別に細工されたユーザ名」は、「ESMが、Active DirectoryもしくはLDAPを使用するように設定されている場合」、認証なし、パスワードなしでSecurity Information & Event Managementログインを通過することができる。
 これは、NGCP(最初のインストレーションで作成されたDefaultユーザ名)が作成されたときNGCPに割り当てられているパスワードをチェックすることなく、攻撃者にNGCPへのアクセスを与える。
 CVE-2015-8024に指定されたこのバグは、「Active DirectoryもしくはLDAP認証ソースを使用するように設定している、McAfee Enterprise Security Manager (ESM), Enterprise Security Manager/Log Manager (ESMLM), Enterprise Security Manager/Receiver (ESMREC)の、9.3.2MR19以前の9.3.x, 9.4.2MR9以前の9.4.x, 9.5.0MR8以前の9.5.xに影響を与える。攻撃者は、ユーザ名'NGCP|NGCP|NGCP;'と任意のパスワードでログインすることによって認証をバイパスすることが可能である」と、このアドバイザリは述べている
 あなたが、このソフトウェアを即座にアップデートできないのであれば、この解決策は、Enterprise Security Manager中の全てのActive DirectoryとLDAPを無効にすることである。
 しかしながら、あなたが、このアドバイザリ中に提供されているアップデートに従うのであれば、よりベターである。

Lenovo、東芝、Dellのブロートウェア中に酷いセキュリティホールが発見された
The Register : Security (2015/12/05)
 簡潔に、Lenovoのラップトップやデスクトップは、悪意あるWebサイトを訪問すると乗っ取られる可能性がある。Dellと東芝のマシンもまた、脆弱性があることを、我々に告げた。
 あなたがLenovoにバンドルされているLenovo Solution Centerを実行しているのであれば、悪意あるWebページをブラウズすると、そのページ上のスクリプトが、あなたのコンピュータの完全なシステム権限でコードを実行する。これは、マルウェアをインストールすることを、あなたをスパイすることを、他の大混乱を引き起こすことを可能にする。既にあなたのマシン上に存在しているあらゆる不快なプログラムやソフトウェアは、あなたに労を取らせることなく、管理者アクセス(すなわち、完全なコントロール)を取得し、Lenovo Solution Centerを悪用することができる。
 この脆弱性は、セキュリティ情報に関する仲間Slipstreamによって発見された。US CERTは、Lenovoのセキュリティホールに関する警告を発し、Lenovoは、できる限り早急にSolution Centerをアンインストールするようにユーザに促している
 「Lenovo Solution Centerを実行したユーザーを、特別に細工されたHTMLドキュメント(例えば、Webページ、HTML eMailメッセージや添付ファイル)を参照するように説得することによって、攻撃者はSYSTEM権限で任意のコードを実行することが可能になる。更に、ローカルユーザはSYSTEM権限で任意のコードを実行できる」と、CERTは発言している(これは、米国国土安全保障省(US Department of Homeland Security)によって支持されている。
 「CERT/CC(【訳注】 コンピュータやインターネットのセキュリティに関する研究や情報発信を行なっているアメリカの研究機関。広く普及しているソフトウェアの保安上の弱点(セキュリティ脆弱性)についての分析情報を配信する活動でよく知られる(IT用語辞典e-Wordより))は、この問題の実質上の解決策を現時点で分かっていない。しかしながら、以下の解決策を考慮してほしい。これらの脆弱性の悪用を防止するためにLenovo Solution Centerをアンインストールする。脆弱性攻撃を防止するために、実行されているあらゆるLenovo Solution Centerのインスタンスを終了しなさい。」
 あなたが、悪用するためのバイナリとソースコード(Dで記述されている)を取ってくることができる(自分自身で確認したいのであれば)。
 以下に、CERTとSlipstreamによる、バグをまとめる。

・ Lenovo

    / Lenovo Solution Centerは、完全な管理者権限で実行されるLSCTaskServiceと呼ばれるプロセスを作成し、ポート5555上にWebサーバを起動する。これは、HTTPがローカルユーザがアクセスできるディレクトリ中でコードの実行を要求する、GETとPOSTを介して指示される。
    / Lenovo Solution Centerは、このユーザが書き込むことのできるディスク上の任意の場所で発見されるプログラムを、再び完全な権限で、実行することができる。そこに何らかの悪意あるソフトウェアを置いておくと、このプログラムは管理者権限で実行されるだろう。
    / 典型的なクロスサイト リクエスト フォージェリ(Cross site request forgeries、CSRF)脆弱性は、LSCTaskService中に存在しており、訪問されたあらゆるWebページは、ローカルWebサーバに対してコマンドを渡し、完全な権限で実行すことが可能になる。

・ DellにバンドルされているDell System Detectは、管理者権限の取得と、任意のコードの実行に利用することができる(例えば、dell.comからダウンロードされたセキュリティ トークンを供給することによって)。手動でインストールするためにDell System Detectパーミッションを認めているトークンは、管理者権限でプログラム(マルウェアのような)を実行するために乱用することができる。これは、あなたのマシンを完全にセキュリティ侵害するために、あなたのコンピュータ上のソフトウェアによって、悪用されることができる

・ 東芝がバンドルしているService Stationツールは、通常ユーザと権限のないソフトウェアによって乱用されることができ、SYSTEMレベルのユーザとして大部分のオペレーティングシステムのレジストリを読むことができる。

 Lenovoは、今まさに、彼らのSystem Updateユーティリティ中のホールのパッチに取りかかっているところである。今年、ブロートウェアのセキュリティ上の大失敗に巻き込まれたのは、Dellであった。

410万のWebホストがHTTPSとSSHトラフィックを露出させている
Bitdefender : HOTforSecurity (2015/11/25)
 Sec Consultのブログ ポストによると、HTTPS Webホスト全体の凡そ9%と、Web上のSSHホスト全体の6%以上が、秘密鍵攻撃に対する脆弱性が存在している。
 この研究者達は、70を超えるベンダから4000を超える接続されたデバイスのファームウェア中に発見された暗号化鍵を解析した。データをインターネットワイドのスキャンツール(Scans.ioとCensys.io)からの情報に関連付けることによって、彼らは580の活用されている鍵を露にした。
 900のデバイス(インターネット ゲートウェイ、ルータ、モデム、IPカメラ、ネットワーク ストレージデバイス、携帯、インターネット接続電話を含む)は、彼らのファームウェアに秘密鍵を埋め込んでいた。また、この鍵のかなりの数はシステム全体で共有されていた。このリストは、Cisco, General Electric GE -0.86%, Huawei(ファーウェイ), Motorola, Seagateを含んでいる。


国別トップ 10 ー 影響を受ける全ホスト(HTTPS/SSH)中の百分率

 これは、ベンダが欠陥のあるコードを共有しているためである。そして、異なるベンダ(OEM(【訳注】 相手先のブランド名での製造)、ODM製品(【訳注】 設計から製造までを手がけた製品))やソフトウェア開発キットによって製造されたホワイトラベル デバイスでそれを販売している。例えば、
     証明書が"Daniel"に交付され、eMail(kiding@broadcom.com)が、Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, ZyXELのファームウェアで使用されている。この証明書は、Broadcom SDK中で発見された。影響を受けるベンダは、彼らのファームウェアを開発するための基礎として、これを使用した。Web上の48万を超えるデバイスが、単一の証明書を使用していた。

何故これが問題なのか?

 秘密鍵は、そのデバイスのオペレーティングシステム中に焼かれ、安全なHTTPSの提供と、デバイスへのSSHアクセスを提供するために主に使用される。
 ハッカーが、この鍵にアクセスすると、彼はデバイスに成り済ますことができる。彼はターゲット マシンの暗号化証明書のバージョンを作成でき、このキーで証明書にサインできる。次に、彼は、そのサーバからインチキのアップデート通知の下でマルウェアを配布し、ユーザの認証情報を要求したり、ユーザの極秘情報を単純にスパイすることができる。
     「『普通の』攻撃者は、通常特定のターゲットを検索し、特定のフローに関してファームウェアを解析したり、ファームウェアから秘密鍵を抽出するだろう」と、SEC Consult Vulnerability Labの主任Johannes Greilは発言している。
 残念ながら、このケースの場合、ユーザは無力である。今後の脆弱性を回避するには、ベンダが、ランダムで一意の暗号化キーを使用し、デバイスをマーケットにリリースする前に、それらを完全にテストした製品を構築すべきである。

DELL: ラップトップ、デスクトップに置かれているWebセキュリティホールを削除する方法
The Register : Security (2015/11/24)
 Dellは、WindowsラップトップとデスクトップPC中にインストールされているWebセキュリティ バックドアを削除する方法に関するガイドを公開した。
 これは、我々が今までに認識している全てのことを追認している。Dellは、彼らの防御中にきまりが悪いセキュリティホール付きでコンピュータを販売していた。
 XPS、Precision、Inspiron系の新しいモデルは、eDellRootと呼ばれる強力なルートCA証明書を含んでいる。これは、これらのマシンの所有者を個人情報盗難、金融詐欺の危険に晒すことになる。
 自己署名証明書は、この秘密鍵と共に包まれていた。これは中間者攻撃を利することになる。例えば、影響下にあるDellが悪意あるWi-Fiホットスポットに接続すると、このホットスポットを稼働している者は誰であれ、暗黙のうちに犠牲者のWebトラフィックを復号するために、Dellの証明書とキーを使用することができる。これは、犠牲者がショッピングやオンライン バンキング、あるいはたのHTTPS補語サイトに接続したとき、彼らのユーザ名、パスワード、セッションクッキー、他の重要事項を露にするだろう。
 驚いたことに、この証明書は簡単に削除することができない。このルート証明書に含まれている .DLLプラグインは、それが削除されたとしても再インストールされる。人々は、この .DLL(Dell.Foundation.Agent.Plugins.eDell.dll)、並びにeDellRoot証明書を削除する必要がある。
 Dellは、これを適切に実行する方法に関する情報を、そして、今後のマシンが、この危険なルートCA証明書をた含まないとする記事を投稿した。このソフトウェア アップデート プロセスは、11月24日から実行され、マシンから自動的にこの証明書を削除するだろうと、我々に告げてきた。
 メディアへの声名の中で、このテキサスを本拠とするITの巨人は、以下のように発言している。

     発生した最近の状況はより良く、より速く、より簡単に顧客をサポートを提供することを目的とした製品内証明書サポートに関連している。残念ながら、この証明書は意図しないセキュリティ脆弱性を含んでいた。

 Dellは、8月からのマシンでルートCA証明書を含んでいたと発言しているが、我々が07月に購入したInspiron 15シリーズのラップトップは、eDellRoot証明書を含んでいた。
 「我々は、この様な問題が発生したことを大変残念に思っている、そして、この問題を解決するステップを採っている」と、Dellのチーフ ブロガーLaura Thomasは発言している。
 「この証明書はマルウェアでもアドウェアでもない。この証明書は、我々がコンピュータ モデルを素早く同定し、顧客へのサービスをより簡単に、より速くして、Dellオンライン サポートへのシステムサービスを提供することを目的としていた。この証明書は顧客の個人情報を収集するためには使用されていない。」
 「この証明書は、推奨されるDellプロセスを使用して適切に削除されると、それ自身を再インストールしないことに注意することは重要である。」
 あなたが新品のDellを購入しているのであれば、あなたが思わしくないルートCA証明書をインストールされているか否か確認するためには、こちらをチェックしなさい。

ユビキタスなlibpng中の緊急のバグがパッチされた
The Register : Security (2015/11/15)
 これは楽しめるものではない。グラフィクス処理ライブラリlibpngには、脆弱性が有り、パッチされる必要がある。
 この脆弱性に関する問題は、libpngが、あらゆるところに存在していることにある。ブラウザ中、サムネイルを生成するための写真を処理するものの中、ファイル ブラウザ、ミュージック プレーヤー、全てのオペレーティングシステム中のアプリケーション中。
 このバグは、現時点では単純なDoS(denial-of-service)であるが、攻撃者がアプリケーションをクラッシュすることのできるこのバグは、より効果的に汚染するための絶好のスタートポイントになるので、絶対にこれで終わりではない。
 libpngの管理責任者Glenn Randers-Pehrsonは、ここで、このバグに関するCVEを要求した。彼は、以下のように記述している。

     私は、png_set_PLTE/png_get_PLTE関数のlibpng(全てのバージョン)の脆弱性に関してCVEを要求する。この関数は、8未満のビット深度を持つPNGファイルを読み書きするとき、範囲外パレットのチェックに失敗している。ビット深度が8未満の時でさえ、libpngは256エントリまでのパレットを戻すことができるが、一部のアプリケーションは、IHDRチャンクからビット深度を読み込み、メモリに2^N(2のN乗)エントリのパレットを割り当てる。
     libpngのバージョン、1.6.19, 1.5.24, 1.4.17, 1.2.54, 1.0.64が、本日(2015/11/12)この脆弱性を修正してリリースされた。libpng.sourceforge.netを参照されたい。

(メモ: The Registerが、このSourceforgeのページのチェックを試みたとき、ソフトウェア開発者の懸念によって、はねつけられた。)
 このバグは、CVEベース スコア 7.5を持っている。これは簡単に悪用でき、ネットワーク攻撃可能であり、NIST(National Institute of Standards and Technology、アメリカ国立標準技術研究所)のメモは、「認証されていない情報の公開が可能、認証されていない修正が可能、サービスの途絶が可能」としている。
 Hacker Newsは、此処で可能なインパクトに関する長大な議論を行っている。 

Microsoftの今月の定例パッチのダウンロードは一時中止しなさい。バグだらけのコードはOutlookをダメにする
The Register : Security (2015/11/11)
 The Registerの受信箱は、Microsoftのパッチの団体によって冗談ではなくテンヤワンヤになっているとするレポートで溢れかえった。火曜日の修正の一つが、Outlookに厳しい問題を発生させている。
 「我々は、Windows KB 3097877をインストールした後、Outlookで困った経験をしている何人かの顧客からのレポートを調査中である。早急の見直しは、進行中である」と、Microsoftのスポークスマンは我々に語った。
 この問題は、昨日のPatch Tuesday(11月定例パッチの日)でバンドルされて発行された4つの緊急のパッチのうちの一つ(MS15-115)である。これは、Windowsがフォントを取り扱う方法中のフローを修正することが想定されていたが、一部のOutlookユーザに関して予期せぬ副作用を持っていた。
 「私は本日、私のクライアントの全てに最新のOutlookのパッチを適用した、そして今、10分毎にOutlookはクラッシュし、その後、それ自体を再起動する。私は、真っ新のWindows 10で試した。アンチウィルス無しで最新のパッチを適用した。さあ、始めるぞ、Outlookは、此処でもまたクラッシュした」と、TechNetユーザの一人は、不平不満を述べている。
 「ネェみんな、あなたは今までに、Office 2013関連物をリリースする前に、適切な品質アセスメントを実行しているのか? これは今までのOutlookの最悪のバージョンである。消極的な態度に関しては悪いと思うが、状況はどうなっているのか?」  特定のフォントを含むeMailを開いたとき、ブレークポイントは、現れないようだが、スクロールすると現れる。Outlook 2010と2007は、影響を受けるようであるが、報道されているように、この問題は、このパッチがアンインストールされると修正される。
 Reddit(【訳注】 アメリカ最大級のソーシャルニュースサイト)のSysAdminセクターは、このパッチの問題のレポートで溢れている。そして、この問題はクロスOS問題のようである。一般的なコンセンサスは、Windows Server Update Servicesに関するパッチを無効にし、再発行を待つことである。
 しかし、Windowsが消費ユーザに昨日のパッチをダウンロードするように促したとき、数百万の消費ユーザは、胸が悪くなるような衝撃中に存在していた可能性がある。彼らのeMail用にOutlookに依存している者は全て、胸の悪くなるような驚きの中にいる。

バグだらけの身代金要求型マルウェアは、あなたのデータをロックし、次に、暗号化キーを投げ捨てる
Bitdefender : HOTforSecurity (2015/11/10)
 通常、セキュリティ研究者が、マルウェアの一部にバグを発見した時、彼らが実行したいことは、この悪意あるコードの作成者の話である。
 結局、悪いソフトウェア中にバグがないことは、良いことになるだろうか? そう、それは、必ずしもこの場合に限ったことではない。
 例えば、Power Worm身代金要求型マルウェアの場合である。
 通常、身代金要求型マルウェアは、あなたのファイルを暗号化し、身代金(1000$位の金額を要求する、一般的にBitcoinで支払わされる)の要求を表示し、あなたが身代金を支払うまでデータへのアクセスを不可能にする。この悪漢だけが、あなたのファイルの復号鍵を保持している。これは、あなたの唯一のオプションが身代金を支払う以外にないことを意味している、さもなければ、あなたが安全なバックアップを持っていることを希望する。
 しかし、Bleeping Computerのレポートとして、PowerWorm身代金要求型マルウェアは、重大なバグを持っている。

Power Worm(Windows PowerShellで記述されているために、この様に名付けられている)のこの新しい変種の作者は、感染した各PCの全てで同じ復号鍵を使用したかった。彼らの見解では、私は簡単にしたかったのではないかと想像する。全ての犠牲者が同じ復号鍵を持っているのであれば、彼らは、犠牲者用の複雑な支払いサイトを作成しなくて済み、各「顧客」用に一意の復号鍵を生成しなくて済む。
しかし、Power Wormコードのヘマは、ランダムな鍵が、夫々のそして全員の犠牲者のデータを暗号化するために使用されていたことを意味している。このランダムな鍵は記録されていないので、暗号化されたデータを回復することは不可能である。
 そう、私は、このマルウェアが正当なソフトウェア同様にバグだらけであったことを発見したことに、そして、オンライン犯罪者が、彼らのマルウェアをリリースする前に適切なテストをしなかったことに失望している。
 しかし、Bleeping Computerが、Power Wormのコードを修正する方法を、この身代金要求型マルウェアの作者に告げるという、尋常ならざるステップをとったのは、この理由のためである。

     BleepingComputerでは、我々は身代金要求型マルウェアの感染中のバグを決して公開していない、これは、開発者への単なる警告であり、彼らに欠陥の修正を求めたものに過ぎない。この特別なケースで、我々は、進行中の犠牲者のデータを破壊し続けないように、彼らの失敗の修正方法を開発者に教えるつもりである。我々の意見では、誰かが感染したなら、我々は、全く修復のチャンスがないことよりも、ファイルを回復できるかもしれないことのほうを望む。

 FBIのエージェントJoseph Bonavolontaは、先月論争を求め、ある場合には、身代金要求型マルウェアは大変有能に書かれているので、最善の選択肢は脅迫者の要求に屈服することであるかもしれないと企業に話した

     最も簡単なことは身代金を支払うことかもしれない。これらの犯罪者によって儲けられる金額は莫大である、これは、圧倒的大多数が身代金を支払うためである。

 個人的には、企業やホームユーザが困難な状況にあることを、彼ら自身が発見し、彼らが厳しい決定をする必要があることを、私は理解するが、私は犯罪者の銀行アカウントを満たしていくファンではない。
 私は、Power Wormの作者がプログラミング エラー(通常、支払うか否か犠牲者にとっては容易ではない際どい決定をすること)を介して暗号鍵を投げ捨てたことに感謝できると推測している。あなたがPower Wormに攻撃された場合、あなたがデータのバックアップを失った場合を除いて、簡単に犯罪者に金銭を支払うことは意味のないことである。
 あなたのデータと貴重なファイルで危険な賭けをするな。あなたが厳しいバックアップ体制を持っていることを保証しなさい。これは、あなたが不幸にしてダメージを与える攻撃で損傷を受けた場合でさえ、あなたは、バックアップからシステムを復元できることを意味している。

Adobeが、Flashの脆弱性を解決するアップデートをリリースした
BleepingComputer : News>Security (2015/11/10)
 本日、Adobeが、17の脆弱性を解決するAdobe Flash用のセキュリティ アップデートをリリースした。報告されている17の脆弱性の中の16は、コードの実行を導くことができるので緊急とされている。コード実行の脆弱性は、攻撃者が、のコンピュータ上でリモートからコードを実行することを可能にしするAdobe Flash中のバグを悪用する特別に細工されたWebページを作成することを可能にするものである。
 このアップデートによって修正されたCVE識別子は、CVEs CVE-2015-7651, CVE-2015-7652, CVE-2015-7653, CVE-2015-7654, CVE-2015-7655, CVE-2015-7656, CVE-2015-7657, CVE-2015-7658, CVE-2015-7659, CVE-2015-7660, CVE-2015-7661, CVE-2015-7662, CVE-2015-7663, CVE-2015-8042, CVE-2015-8043, CVE-2015-8044, and CVE-2015-8046 である。
Adobe Flashを使用している全ての者は、以下にリストされる最新のバージョンにアップグレードすることを強く推奨されている。

    左から順に 製品名     /      アップデートされたバージョン     /      プラットフォーム
    ・ Adobe Flash Player Desktop Runtime     /     19.0.0.245     /     Windows ,Macintosh
    ・ Adobe Flash Player Extended Support Release     /     18.0.0.261     /     Windows ,Macintosh
    ・ Adobe Flash Player for Google Chrome     /     19.0.0.245     /     Windows, Macintosh, Linux
    ・ Adobe Flash Player for Microsoft Edge and Internet Explorer 11     /     19.0.0.245     /     Windows 10
    ・ Adobe Flash Player for Internet Explorer 10, 11     /     19.0.0.245     /     Windows 8.0 and 8.1
    ・ Adobe Flash Player for Linux     /     11.2.202.548     /     Linux
    ・ AIR SDK     /     19.0.0.24     /     1Windows, Macintosh, Android, iOS
    ・ AIR SDK & Compiler     /     19.0.0.241     /     Windows, Macintosh, Android, iOS
    ・ AIR for Android     /     9.0.0.241     /     Android


OmniRATマルウェアが、Android、Windows、Mac、Linuxシステム中をチョコチョコ走っている
The Register : Security (2015/11/06)
 ヨーロッパ全域の警察が、DroidJackマルウェアの使用を取り締まっているとき、Androidだけでなく、Windows、Mac、Linuxシステムをも制御できる類似の不潔なソフトウェアが浮かび上がった。そして、このマルウェアは僅かな費用で公然と販売されている。
 Avastによって検出されたこのリモートコントロール ツールは、OmniRATと呼ばれ、ドイツを発生源としているようである。この売り手は、この「リモート管理ツール」は、Androidスマートフォンを操作できるが、インストレーション後、Windowsシステムの完全制御と、OS XとUnixコンピュータの部分制御も可能であることを約束している。
 Avastは、ドイツ語が使用されているコードの付属物(これは犠牲者が、Androidの現在パッチされているStagefright(【訳注】 Androidのメディア処理ライブラリ)バグのため、画像を表示することが不可能になると主張するテキスト メッセージを受け取る場所)を調査した。画像を閲覧するために、犠牲者は、そうするためのアプリケーションのダウンロードを要求される。
 これは、もちろん、警告のサインを発動するべきである(未知の、もしくは信頼していないソースからのあらゆるソフトウェア ダウンロードは、注意が必要である)。一旦、ダウンロードすると、Googleのパーミッション モデルも、アクセスの長いリストと、このソフトウェアが要求するプライバシー権限を表示したが、それでも犠牲者は依然としてインストールをOKしている。
 インストールされると、OmniRATは削除することが非常に困難であることが証明されている。オリジナルのダウンロードされたソフトウェアを削除することは、適切ではないし、コードを彼らに送信した後、このソフトウェアのコントローラは完全にデバイスを所有し、電話をかける、ファイルを盗む、他のデバイスのリモート制御を実行する能力がある。
 「我々は、Techboard-onlineフォーラムの投稿から、ドイツ人をターゲットにしているOmniRATのカスタマイズされたバージョンによって収集されたデータが、ロシアのドメイン(データが送信されているコマンド&コントロール サーバのアドレスに基づく)に送り返されていることを認識している」と、Avastのモバイルマルウェア兼セキュリティ アナリストNikolaos Chrysaidosは発言している。
 OmniRATがDroidJackより大きな問題になる可能性は、そのコストにある。以前のマルウェアは200$を超える価格であるが、ほぼ同じコードを再利用するOmniRATは、僅か25$であり、「生涯保証」を含んでいるが、多分これは、警察が動き出すまでだろう。

CryptoWall 4.0が、善人のふりをして、インターネット上に戻ってきた
Bitdefender : HOTforSecurity (2015/11/05)
 悪名高きCryptoWall身代金要求型マルウェアが、データ保護の満足度に関してアンチウィルス ソフトをテストすると偽って、ファイルを暗号化するために回帰してきている。
 「CryptoWallプロジェクトは悪意もなければ、人々と、そのデータを傷つけるつもりもない。このプロジェクトは情報セキュリティの分野における教育、並びに、データ保護の満足度に関するアンチウィルス製品の認証を唯一の目的として運営されている。我々と共に、インターネットをより良いものに、そして、安全な場所にしよう。」
 今回、ユーザは、700 US$(約84000円)相等のビットコイン(1.83 BTC)の支払いを要求される。連邦政府のレポートによると、三つの既知のバージョンの下、2014年04月以来積極的に活動しているCryptoWallは、毎月の損失額として100万ドル(約1億2000万円)を下回らない打撃を与えている。
 Bitdefenderマルウェア研究者は、マルウェアの新鮮な株(【訳注】 この「株」は、インフルエンザ等のウィルス株と同じ意味で用いられています)のサンプルを解析し、CryptoWall 4.0とそれ以前のバージョン間の相違を明かにした。
拡散の見地から、CryptoWallは、以前と同じeMail配布方法(感染させたeMail)を採用しているように見える。


Fig.1 CryptoWallに感染したスパムメール

 このマルウェアは、再設計された脅迫文と新しいファイル名を表示するが、最も顕著な変更は、CryptoWall 4.0が、データと一緒にファイルの名前も暗号化することである。各暗号化されたファイルは、ランダムな数字と文字ででっち上げられた名前を持っている。これは、ファイルを見分けることは殆ど不可能なので、ユーザのフラストレーションは、大きい。


Fig.2 CryptoWall感染前のドキュメント(通常のファイル名)


Fig.3 CryptoWall感染後ドキュメント(ランダムな数字と文字のファイル名)

 CryptoWallをインストールし、ファイルを暗号化した後、このマルウェアは、三つのフォーマット(HTML、TXT、PNG)で脅迫文を表示する。このメッセージは、今までのバージョンのものとは著しく異なっている(警告は少なく、僅かな皮肉付き)。


Fig.4 感染後のHTML脅迫文(クリックで拡大します)

 暗号化に関してユーザを教育した後、ハッカーは、彼らが復号ソフトウェアと呼ばれるものの唯一の所有者であることを明かにし、ユーザは支払いを促され、「サードパーティ製ツールであなたのファイルを復元しようとするあらゆる試みは、暗号化されたファイルに重要な影響を与える」としている。損傷を与えられたファイルはパズルのピースを失ったようなものだとする隠喩をおいている。再び、この画像は完全なものではない。
 匿名保護のために、この身代金要求型マルウェアは、ユーザにTorアドレスを介して身代金を支払うように要求している。この攻撃者は、指示が削除された場合、すなわち、このウィルスがブロックされた場合は、アンチウィルス ソフトに「責任」があると、ユーザに警告している。このケースの場合、Plan B(Torをインストールする方法の別のセット)を発動する。
 このメッセージは、リンクが破壊される場合に備えて、2-3日で支払いを完了するように推奨している。
 Cryptowall 4.0は以前のバージョンと同じ復号サービス サイトを利用し続けている。このサイトから、犠牲者は、支払いをし、支払い状況を発見し、一つだけではあるが無料で復号でき、サポート要求を作成することになる。


Fig.5 復号サービス支払いサイト

 使用されている暗号化規格は、同じRSA-2048(復号不可能を表現する強力な暗号化)のままなようにみえる。
 Bitdefenderの調査は進行中である、更なる詳細は直ぐに明かにされるだろう。

C&Cサーバの必要無し: ロシアがオフライン身代金要求型マルウエアに脅されている
The Register : Security (2015/11/05)
 悪漢共が、オフラインで動作する身代金要求型マルウェアの新しいウィルス株を作成している。これは、結果として、法執行機関の削除努力に対して、より抵抗力を持っているかもしれない。
 この身代金要求型マルウェア(アンチウィルス企業によって名前はマチマチ)は、復号キー全体をローカルに格納すること無く(そして、インターネット接続を必要とせずに)、感染したWindows PCのファイルを暗号化すると、セキュリティ企業Check Pointが報道している。
 このマルウェアは、ファイルを暗号化するために使用するローカルRSA公開鍵を生成し、各ファイルのメタデータに格納することによって、これをやってのける。犠牲者が、彼らのデータを復号することを望む場合、彼らはeMailアドレス(各ファイル名に追加されている)を介してサイバー犯罪者に接触し、添付ファイルとして暗号化されたファイルの一つを送信することになる。
 多くのeMailアドレス、主にAOLとGmailアカウント(他も使用されてはいるが)が、この身代金要求マルウェアに関連付けられている。
 身代金要求マルウェアのオペレータは、次にファイルのメタデータを調査し、ユーザ サイドで生成されたRSA公開鍵を抽出し、彼らの所有するRSA秘密鍵と、その公開鍵を照合する。
 このアプローチは、当初、不格好と思われていたが、暗号化キーをホストするためにコマンド&コントロール サーバを必要としていない。この様なコマンド ハブは、法執行機関の削除オペレーションの標的になる(注目を浴びたCryptoLockerのケースで発生したように)
 Check Pointの研究者は、この身代金要求マルウェアの暗号化をブルートフォース(総当たり)することは、上手くいかないと確信している。
 セキュリティ企業の研究者達は、9月に、このマルウェアのサンプルを入手した。このサンプルを実行したとき、ロシア語で途方もない要求(支払い手順を含む)が表示された。実行中に、この身代金要求マルウェアは、壁紙を変更することを除いて、ユーザとの相方向の作用を実行しない。
 Check Pointは、攻撃者のeMailに匿名で到達し、同日、復号プログラムと秘密鍵を受けとるために、20,000ロシア ルーブル(およそ、300$、36000円)、翌日に関しては、25,000ロシア ルーブル(およそ、380$、45600円)の支払い要求を受け取った。
 ロシア語フォーラムは、2014年06月に、このセキュリティ研究者達によって、このマルウェアが発見されたことに言及している。それ以降、11の新しいバージョンが報告されている。Check Pointによって調査(手法の技術的な詳細を説明している(以下に、ブログポストを引用する))されたこの身代金要求マルウェアは、バージョン CL 1.0.0.0からである。

     これは、Visual Basicコンパイル言語で記述されたプロテクタを使用している。ペイロード(【訳注】 悪意の総体)を解凍すために、この身代金要求マルウェアは、セクション マッピングを使用した独自のプロセスを再稼働し、4回上書きする。
     ファイル暗号化に対応しているペイロードは、幾つかの追加のPascalモジュール(例えば、FGIntが、大きな数を取り扱うために使用されている)を使用して、殆どDelphi言語で記述されている....。
     この身代金要求マルウェアは、ファイル暗号化の機能以外、殆ど機能を含んでいない。

 この身代金要求マルウェアの様々なバージョンは、各企業毎に一意の名前が与えられている。例えば、Ransomcrypt.U (シマンテック)、VBKryjetor-WFA (Kaspersky)等である。
 この身代金要求マルウェアは、一年間出回っているが、Check Pointの報告記事は、現在まで、このマルウェアの最も詳細な調査を提供している(少なくとも、英文のものとしては)。

引用

 セキュリティの専門家は、このマルウェアの作者によっ採られた暗号化に対するアプローチを軽蔑している。多分そうだが、このことは支払うこと無しに、彼らのファイルを簡単に取り戻すことができない犠牲者には何の関係もない。

新しいhelpme@freespeechmail.org身代金要求マルウェアは、無料で復号することができる
BleepingComputer : News>Security (2015/11/03)

 新しい身代金要求マルウェアが、様々なコンピュータ サポートフォーラムで見られるようになり始めた。この身代金要求マルウェアは、あなたのデータを暗号化し、次に、暗号化したファイルのファイル名の末尾にhelpme@freespeechmail.orgを追加する。この感染は、様々なアフィリエイトが利用している身代金要求マルウェア エンジンの一部であると(彼ら独自の支払いeMailアドレスは付属していない)、我々は確信している。コンピュータが、このマルウェア ファミリーに感染すると、犠牲者は一意のIDを割り当てられる。このIDと関連付けられている誘拐eMailアドレスは、暗号化された全てのファイルに付け加えられる。例えば、感染したユーザが、ID 4126721512を、そして、baseball.jpgと呼ばれるファイルが暗号化されたことを受け取った場合、このファイル名は、baseball.jpg.id-4126721512_helpme@freespeechmail.org となる。この感染はまた、Windowsの壁紙を、上に表示した画像に変更する。この画像は、復号するための支払い方法に関する指示を含んでいる。有難いことに、Kaspersky Labは、helpme@freespeechmail.org身代金要求マルウェアと、その変種用の復号キーを総当たりすることを可能にするRakhniDecryptorと呼ばれるユーティリティを持っている。
 RakhniDecryptorを使用するには、最初に、Kasperskyのサイトから、直接このユーティリティをダウンロードしなければならない。このツールをホストしている他のサイトも存在するかもしれないが、Kasperskyのサイトからダウンロードするように強く推奨する。これは、Kasperskyが、この身代金要求マルウェア ファミリーの新しいメンバーで、このツールを恒常的にアップデートしているためである。RakhniDecryptorをダウンロードしたら、このプログラムを起動するためにRakhniDecryptor.exeのファイル名をダブルクリックしなさい。このプログラムが起動すると、以下に示すスタート画面が表示される。

 あなたが暗号化されたファイルを持っている可能性のあるネットワークドライブを所有し、それをスキャンする必要があるのなら、あなたは(上図の)Change Parametersオプションをクリックし、Network Drives(ネットワークドライブ)にチェックマークを入れなさい。この設定において、このツールが、あなたのファイルを適切に復号することが100%確実である場合を除いて、Delete crypted files after decryption(下図、Additional optionsの下)にチェックを入れてはならない。

 終わったら、OKボタンを押し、Start Scanボタンを押す。あなたは暗号化されたファイルを選択することを促される。このプログラムは、helpme@freespeechmail.orgの変種をサポートするが、100%完璧にアップデートされていないので、file name(ファイル名)フィールドには、*.* と入力する必要がある。次に、あなたのキーボード上の[Enter]キーを押す。これは、RakhniDecryptorに、freespeechmail.org暗号化ファイルを含む、あらゆる種類のファイルタイプを表示することを強制する。あなたが、暗号化されたファイルを選択すると、あなたは、この総当たりプロセスから、一日は掛からないものの数時間掛かるとする警告を受けとるだろう。この警告画面にあるOKボタンを押すと、このプログラムは、パスワードを総当たりすることを開始する。これが成功すると、このユーティリティは、関連付けられているファイルに関してあなたのドライブの残りの部分をスキャンし、同様に、それらを復号する。終了すると、どのくらい多くのファイルが暗号化されていたかを示すレポートを表示する。
 RakhniDecryptorは、暗号化されたファイルを復号し、以下のファイル名に変更する。

    <filename>.<original_extension>.<locked>
    <filename>.<original_extension>.<kraken>
    <filename>.<original_extension>.<darkness>
    <filename>.<original_extension>.<nochance>
    <filename>.<original_extension>.<oshit>
    <filename>.<original_extension>.<oplata@qq_com>
    <filename>.<original_extension>.<relock@qq_com>
    <filename>.<original_extension>.<crypto>
    <filename>.<original_extension>.<helpdecrypt@ukr.net>
    <filename>.<original_extension>.<pizda@qq_com>
    <filename>.<original_extension>.<dyatel@qq_com>
    <filename>.<original_extension>_crypt
    <filename>.<original_extension>.<nalog@qq_com>
    <filename>.<original_extension>.<chifrator@qq_com>
    <filename>.<original_extension>.<gruzin@qq_com>
    <filename>.<original_extension>.<troyancoder@qq_com>
    <filename>.<original_extension>.<encrypted>
    <filename>.<original_extension>.<cry>
    <filename>.<original_extension>.<AES256>
    <filename>.<original_extension>.<enc>
    <filename>.<original_extension>.<coderksu@gmail_com_id371>
    <filename>.<original_extension>.<coderksu@gmail_com_id372>
    <filename>.<original_extension>.<coderksu@gmail_com_id374>
    <filename>.<original_extension>.<coderksu@gmail_com_id375>
    <filename>.<original_extension>.<coderksu@gmail_com_id376>
    <filename>.<original_extension>.<coderksu@gmail_com_id392>
    <filename>.<original_extension>.<coderksu@gmail_com_id357>
    <filename>.<original_extension>.<coderksu@gmail_com_id356>
    <filename>.<original_extension>.<coderksu@gmail_com_id358>
    <filename>.<original_extension>.<coderksu@gmail_com_id359>
    <filename>.<original_extension>.<coderksu@gmail_com_id360>
    <filename>.<original_extension>.<coderksu@gmail_com_id20>
    <filename>.crypt@india.com.random_characters>
    <filename>.<original_extension>.<hb15>
    <filename>.<original_extension>.id-<id>_helpme@freespeechmail.org.

 あなたのファイルが、何らかの上述の身代金要求マルウェアの変種によって暗号化されることになったとしても、身代金を支払わないで欲しい。代わりに、あなたのファイルを無料で復号できるかも知れないので、まず、このツールを試しなさい。あなたが、このツールで何らかの支援を必要とする時はいつでも、質問することを躊躇するな。

EMETアンチマルウェア プロテクションを妨害する互換ツール
The Register : Security (2015/11/03)
 二人の男が、Microsoft独自の互換ツールを使用して、殆ど努力せずにMicrosoftのEnhanced Mitigation Experience Toolkit (EMET)を迂回する方法を発見したと主張している。
 Duo Securityの二人による、このレポート(PDF)は、Windows on Windows (WoW64、【訳注】 Windows XP以降の64-bit OSにおいて、32-bitアプリケーションを実行するためのエミュレータ)環境が、組み込みのセキュリティツールをバイパスするために悪用できる方法を説明している。
 WoW64は、64-bit OSにおいて、32-bitアプリケーションを実行することを可能にするものである。その中心で、これは32-bitモードで実行しているコードによって作成されたシステムコールを欺き、64-bitロングモードにジャンプさせ、その後に、Windowsに、このコールを処理させることによって動作している。このモードの変更を利用することで、EMETのバリア(これは通常、脆弱性攻撃をブロックする適切な仕事である)を通過する悪意あるコードをコッソリ運ぶことが可能であった。
 もちろん、これをやってのけるためには、WoW64を使用して64-bitシステムで実行している32-bitソフトウェア群の中にセキュリティホールを発見し、悪用しなければならない。
 DuoのDarren KempとMikhail Davidovは、Windows PC上の64-bitモードで実行できる32-bit Webブラウザが山のようにあることを認識している。
 彼らのレポートを読むと、「特定のWindowsシステムに関するブラウザ認証データの一週間のサンプルに基づいて、我々は、ブラウザの80%が、64-bitホストシステム上で32-bitプロセスを実行していることを、16%が、32-bitホストで32-bitプロセスを実行していることを、残りの4%が、真の意味での64-bitプロセスであることを発見した。」
 「見ての通り、このデータに基づくと、WoW64は、Windowsブラウザ用の最も一般的な実行環境である」と、Kempは、月曜日のブログに追加している。
 「多くの公開された脆弱性に関する研究は、32-bitアプリケーションの悪用に関して焦点が当てられているが、実のところ、32-bitソフトウェアのかなりの部分が今、64-bitオペレーティングシステムで実行されている。」
 KempとDavidovによれば、X86セグメント0x23か、0x33のどちらかを使用して生成された呼び出しは、EMETの防御を迂回する(最終的にターゲット システムへの侵入を導く)ために使用することができる。この二人は、EMETをバイパスするために「既存のAdobe Flashのuse-after-free(【訳注】 解放したメモリに対して(脆弱性により)再びアクセス、実行することが可能となることを悪用した攻撃(サイバー攻撃大辞典より))の悪用を修正し、任意の悪意あるコードを実行することができた」と発言している。
 Kempは、この症状をパッチすることは困難なので、WoW64のフローに関する最終的な修正は、時間が掛かるだろうと発言している。
 「これらを克服するためにEMETを拡張することは、これらの制限のために、並大抵の努力ではないだろう」と、この二人は、彼らのレポートに記述している。
 この研究者たちは、企業が本来の64-bitアプリケーションの使用を促すことで、WoW64攻撃から保護することにも、また、Window上の所定の場所に追加のセキュリティ ガードを持つことで、リスクの一部を軽減することができるだろうと提案している。
 制限があるとはいえ、EMETはWindows用の価値あるツールであることに変わりはない、ずっと使用すべきであると、彼らは説明している。
 「この論文は、組織中にEMETを配備することの重要性を損なおうとしているものではないが、現在の実装中の欠点は強調している。我々は、擁護者達が最も効果的な戦略でEMETを配備することの支援を念頭に、この情報を提供する」と、Kempは発言している。

Kasperskyが、公式にCoinvaultとBitcryptorの「死亡」をアナウンスした
The Register : Security (2015/11/02)
 Kasperskyによると、CoinvaultとBitcryptor身代金要求マルウェアは、製作者と称される者が逮捕されたことにより公式に死亡した。そして、14000の復号キーが、犠牲者のファイルをアンロックするために身代金の支払いを回避することを可能にするためにリリースされた。
 この身代金要求マルウェアの変種は、数千台のマシンに感染し価値あるファイルをロックし、この攻撃から元に復するためにBitcoinで数百ドルを攻撃者に支払うように要求していた。
 CoinvaultとBitcryptor製作者と称される二人は、09月14日、オランダのAmersfoortで逮捕された。
 Kasperskyの科学者は、彼らが法の執行を助けるために身代金要求マルウェアを調査している間に、復号キーを取得した。
 ロシアのアンチマルウェア集団は、全ての復号キーと共に、彼らのransomware-busting tool(身代金要求マルウェア破壊ツール)をアップグレードした。
 「我々の合同調査の間に、我々は、犠牲者個々人のPCに誘拐されているファイルを復号するために、あなたを支援することのできるデータを取得した」と、Kasperskyは発言している。
 「我々は今、CoinvaultとBitcrytorの犠牲者の全てのファイルを自動的に復号する、新しい復号アプリケーションを共有することが可能になった。我々は、この事件は終わったと考えている。身代金要求マルウェアの製作者は逮捕され、存在している全てのキーは、我々のデータベースに追加された」と、続けている。

Kasperskyのツールは4月に作成され、これらの身代金要求マルウェアの終了を印す1300を越える追加のキーと共に、先週アップグレードされた。
 Coinvaultは、身代金を支払うとデータが復元される結果になることを示すための、ちょっとしたデモンストレーションとして、犠牲者に一つのファイルを無料で復号することを可能にしていたことで知られていた。
 身代金要求マルウェア解放者Jornt van der Wiel と Santiago Pontiroliは、それがAES 256を使用し、ブロック暗号モードCFBを実行していたことに着目して、このツールを構築すための方法を詳らかにしていた。「これは、我々の復号ツールを記述するために、我々が必要とした情報の全てである」と、彼らは発言している。
 CoinvaultとBitcryptorの死は、リバース操作と復号操作に抵抗する究極の脅威Cryptowall 3.0の背後に単一のグループが存在することを示唆する研究となっている。

Windowsで同梱されている不要なソフトウェアを自動的に回避するソフトウェア
MakeUseOf : Windows (2015/10/30)
 Windowsソフトウェアをインストールするにあたって悩ましいことは、大変頻繁に、あなたのブラウジングをハイジャックしたり、ブラウザをスローダウンしたり、あらゆる種類の頭痛の種を発生させる無関係なジャンクプログラムのインストールを提供していることである。よく勉強しているユーザは、そのような提供物をアンチェックするための十分な監視をしているが、我々の最も優れた人でさえ失敗してしまう。
 Uncheckyで第二の目をあなた自身に与えなさい。この軽量ツールは、あなたがインストールしようとしたときは常に同梱されているクラップウェアを監視し、それらを自動的にアンチェックするので、どのような時も、あなたは決して失敗することはない。
 このソフトウェアが、以下のデモンストレーションで実行している違いをチェックしなさい。

デモンストレーション ビデオはこちら

 あなたが偶然にジャンクプログラムをインストールしようとしたら、Uncheckyは警告するだろう。このプログラムは自動的にアップデーとされ、あなたにガミガミ言うことなくパフォーマンスを改善するので、あなたは、Uncheckyを管理する必要はない。
 しかし、Uncheckyはパーフェクトではない。あなたはインストールの過程で、依然として注意深くナビする必要がある。Uncheckyがあなたを守っている場合でさえ、気が狂ったように「次へ」ボタンをクリックしないようにしなさい。このプログラムは時と共に改善され、(あなたがアンインストールすべき)μTorrentやJavaのような巨大な違反者の全てをカバーしている。

    Skypeをインストールしている間に、@unchecky_comは、二つの望んでもいないプログラムを妨げた。強く推奨する。#anti_pup
    -Hinotama(@Gohan1991)October 19,2015

 あなたは既に、システムに幾つかのジャンクウェアを得ているのだろうか? あなたは我々のtipsで簡単に鬱陶しいツールバーを削除することができる。

Adobeが緊急のShockwaveリモートハイジャック ホールをパッチした
The Register : Security (2015/10/29)
 Adobeは、数億台のマシンをセキュリティ侵害する可能性のあるShockwaveプレーヤ中の緊急の脆弱性をパッチした。
 Adobeは、凡そ4億5000万ユーザが脆弱性あるプラットフォームを実行していると吹聴しており、AdobeのWebサイトを介して手動アップデートすべきであると発言している。
 メモリ損壊のセキュリティホール(CVE-2015-7649)は、攻撃者がWindowsとMacをセキュリティ侵害し、リモートコード実行へと進むことを可能にしているものである。
 Adobeは、この脆弱性が緊急と評価されると報道したFortinetに、以下のように発言している。
 「このアップデートは、攻撃者が影響を受けるシステムの制御を奪うことを可能にする緊急の脆弱性を解決する。」
 最新バージョン 12.2.0.162と、それ以前のバージョンを実行している人々は、12.2.1.171にアップグレードする必要がある。
 この新しいバグは、一団の月例のセキュリティアップデートとFlashの緊急の重要なパッチをリリースした後に出現した。
 これらのセキュリティホールは、リモートコード実行、情報漏洩を発生させ、殆どのブラウザ、プラットフォーム、デバイスをクラッシュさせる。

あなたのPCを防御するマルウェアという不思議なケース
Emsisoft : Blog (2015/10/28)
【訳注】 現時点で、このマルウェアが感染するプラットフォームはLinuxだけです。

 ある秘密の、インターネット自警団が脅威からPCを防御するとしたらどうだろう? 秘密の幕に覆われ、漆黒のパーカーで彼の顔を被い、彼は真夜中にコードをタイプしている....
 そして、あなたのルータにマルウェアをロードする。
 これは、スリラー小説のプロットのように見えるかもしれないが、現実の話である(おそらく、パーカー以外に関しては)。インターネット セキュリティ企業Symantec(シマンテック)は、家庭用ルータを攻撃するコードを報道し、Wifatchと名付けた。
 Wifatchは、別の形のマルウェアの犠牲者を積極的に防御する。

Wifatchとは何か?

 Wifatchは、ルータを同じように感染させられたデバイスのピアツーピア ネットワークに接続するコードの一部である。このことに精通していないのであれば、あなたのPCをゾンビにするような感染方法を学習するために、我々のBotnetに関する投稿を参照しなさい。
 このコードの最初の検出者は、彼の所有する家庭用ルータでこれに気がついた独立系セキュリティ研究者L00t_myselfであった。Symantecは、ずっとWifatchを追跡し、以下の洗練されたコードについて着目している。

    ・ これは、Perlプログラミング言語で記述されている
    ・ これは、以下のアーキテクチャをターゲットにしている。ARM(83%)、MIPS(10%)、SH4(7%)。
    ・ これは、感染させられたデバイスをピアツーピア ネットワークに接続する。

 取り分け奇妙なのは、ルータ感染が一般的に凶悪な理由のためと約束されていることである。しかし、Wifatchは、少なくとも今までは、いかなるペイロードも配布しない。
 今まで、Wifatchは、実際にマルウェアに対してシステムを防御しているかのようである。

Wifatchは、あなたを防御するのか?

 Wifatchは、あなたが予期しているようなDDoS攻撃を実行する代わりに、脅威のアップデートを配布し、マルウェア感染を治癒するために、この感染されたルータのボットネットを使用している。
 おまけに、Symantecは、このマルウェアが感染したデバイスを強固にしようとしていると報道している。これは、所有者にパスワードの変更やファームウェアのアップデートを告げさえする。ある意味、Wifatchは、火を持って火(マルウェアを持ってマルウェア)と戦っている。
 しかし、このプロットに厚みがついた。Wifatchの製作者は、Symantecに接触し、その後、彼らのブログ用のインタビューを受けた。彼は、悪意がなかったが、Wifatchは悪用可能なバグがあり、誰かが、このキーを盗むことができることを認めた。

    私は、私のデバイスで悪いことをしないということに関して、あなたを信頼することができるか?
     そうだが、これは手助けにはならない。私がそれをどのように保護していようとも、誰かが、このキーを盗むことができる。それどころか、誰に対してもアクセスを可能にするコード中のバグがある。

 結局、コードの作成者が良い目的を持っていた場合でさえ、あなたのPCは、Wifatchの結果として、悪意あるペイロードに関するリスクがある。

結び

 Wifatchは非常に興味のあるマルウェアであるが、あなたが接触すべきものではない。現実は、安全なPCは最初から絶対にWifatchを持っていないということである。誰かが侵入してきた場合は常に、スーパーヒーローがあなたの家に隠れているようなことを、あなたは絶対に好まないだろう。これは、プライバシーの侵害であり、Wifatchは究極のマルウェアである。
 安全なアンチマルウェア プログラムを持っていることを、複雑なパスワードを作成することを思い出しなさい。Wifatchの作成者自身の発言として、

    Linux.Wifatchは、手の込んだバックドア、あるいはデバイスをハックするために0-Dayを使用していない。これは、基本的にtelnetと幾つかの他のプロトコルを使用している、そして、本当に何もしないか、Defaultのパワード(我々のお気に入りは、”password”である)を試す。これらのパスワードはよく知られている、あらゆる秘密の鍵を盗む必要なしに、誰もがそれを実行することができる。
     基本的に、これは最初に、全く保護されていないデバイスに感染するだけである。


最新のTeslaCrypt身代金要求マルェアは、暗号化されたファイルに .ccc拡張子を追加している
BleepingComputer : News > Security (2015/10/26)
 TeslaCryptの新しいバージョンが、ファイルを暗号化したとき、ccc拡張子を使用するようにしてリリースされた。このバージョンは、直前の変種と同じ支払いサイトを利用し、あなたのファイルを復号するための身代金として、2 Bitcoin(もしくは、凡そ、500 US$)を要求している。残念なことに、秘密鍵の生成方法に起因して、今回無料でこのバージョンを復号する方法が存在していない。このバージョンの脅迫文は、howto_recover_file_.txt 及び howto_recover_file_.html と名付けられている。これらの脅迫文は、ファイルが暗号化された各フォルダと、Windowsデスクトップに生成される。
 残念なことに、.CCCのバージョンでは、あなたの暗号化されたファイル用の秘密鍵を取得する方法がない。我々の専属のTeslaCrypt専門家BloodDollyの説明

    TeslaCryptのccc変種は、bitcoinaddress(ビットコインアドレス、【訳注】 言わば銀行の口座番号に相当するもの。ビットコインを振り込んでもらうためには、相手にこのアドレスを伝える必要がある)の生成された秘密鍵のSHA256の公開鍵だけを格納している。秘密鍵はopenssl BNとしてメモリ中で計算されるときにだけ表示される、これは割り当てられたメモリ中に存在しているので、あなたが、これを捕獲したいのであれば、全プロセス メモリ空間をダンプする必要がある、そして、SHA256、公開鍵、彼らのハードコードされた公開鍵付きのECDH(リンクは日本語サイト)共有秘密協定は、この数値から計算された後(この情報は、彼らのサーバに送信される)、廃棄される。ファイルは、別にランダムに生成された秘密鍵によって暗号化され、この鍵は暗号化プロセスの間、割り当てられたメモリ中でのみ利用可能である。ファイル ヘッダーとリカバリーファイルは、公開鍵とビットコインアドレスのSHA256の公開鍵付きECDH共有秘密協定だけを含んでいる。
     あなたがファイルを復号したいのであれば、彼らの秘密鍵もしくは、生成されたビットコインアドレスの秘密鍵、もしくは、あなたのファイル用に生成された一つ一つの秘密鍵を知る必要がある(これは、一つもしくは複数になる)。

 いつも通り、我々は、発生するであろう、あらゆる新しい開発に関して投稿するだろう。

Brolux(トロイの木馬)は、日本のオンライン バンキング利用者を標的にしている
ESET : WeLiveSecurity (2015/10/15)
 ESETによってWin32/Brolux.Aとして検出されるバンキング トロイは、日本のインターネット バンキング利用者を標的にしており、少なくとも二つの脆弱性を介して拡散している。この二つの脆弱性とは、Hacking Team(【訳注】 既婚者用出会い系サイト Ashley Madisonの登録者データを晒した事件の実行者)のハックによってリークされたFlashの脆弱性(unicornバグとも呼ばれる)と、2014年の後半に発見されたInternet Explorer中の脆弱性である。この二つの脆弱性攻撃は、アダルトWebサイトを介して拡散し、犠牲者の個人情報を盗むために設計されている署名された悪意あるバイナリをインストールすることを試みる。この拡散メカニズムは、具体的には日本の金融機関を標的にした別のバンキング トロイ(Win32/Aibatook)を我々に思い起こさせる。

感染

 利用者が悪意あるアダルトWebサイトを訪問すると、この利用者は、Internet Explorer (CVE-2014-6332)もしくはFlash Player (CVE-2015-5119)かの何れかをターゲットにした脆弱性攻撃に晒される。サイバー犯罪者達は、兵器化された脆弱性として広く知られるこの二つを、このように使用している。このことはまた、我々が日常使用しているソフトウェアは常にアップデートされ、パッチされていなければならないという、もう一つのことを我々に思い起こさせる。Internet Explorerに影響を与える脆弱性のproof-of-concept(概念の実証)コードは、かなり長い間、利用可能になっていた。このキャンペーンは、それを僅かに改訂したバージョンが再利用されている。
 Flashの脆弱性に関して、この悪用は今年早期、Hacking Teamのリークを解析している間に公開された。これらの脆弱性は、メジャーな脆弱性攻撃キットには既に含まれているが、我々は、既知の何らかの脆弱性攻撃キットが、このキャンペーンにおいて使用されているとは思っていない。この脆弱性攻撃それ自体は、付加的な難読化レイヤーが追加されておらず(一般的な脆弱性攻撃キットを使用した慣習的なものなので)解析することは簡単であった。以下のスクリーンショットに見られるように、利用者をセキュリティ侵害することを企てているアダルトWebサイトが、実際に、他の、合法的な、アダルトWebサイトのビデオをスクレイピング(【訳注】 情報を抽出するコンピュータソフトウェア技術(Wikipediaより))している。

標的

 主たるペイロード(悪意の総量)は、二つの設定ファイルをダウンロードする。最初のファイルは、このトロイによって監視されている日本の88のインターネット バンキングのURLのリストを含んでいるが、二つ目のファイルは、伴っているブラウザ ウィンドウの名前を含んでいる。Win32/Brolux.Aは、利用者が、ターゲットにしている日本のインターネット バンキングWebサイトを訪問しているか否かをモニタしているだけの単純なトロイである。これは、 Internet Explorer, Firefox, Chromeブラウザをサポートしている。利用者がIEで、このWebをブラウジングしているのなら、Win32/Brolux.Aは、アドレスバー中の現在のURLを取得し、次に、最初の設定ファイル中のリストと、これを比較する。firefoxやChromeが使用されている場合は、代わりに、ウィンドウのタイトルと二つ目の設定ファイル中に取得されているリストとを比較する。そこに一致したものがあれば、フィッシング ページに向けて、新しいIEプロセスを産み出すだろう。
 フィッシング ページは、ログイン情報、並びに、セキュリティに関する質問への答えを要求する。このページは、日本で信頼されている二つの行政機関(検察庁と金融庁)を使用している。このURLは、ページの内容は金融庁を参考にしているが、二つの行政機関の物真似である。

 乱暴な和訳

    ・ Please pay attention to crimes aimed at domestic internet banking!(国内インターネットバンキングを狙った犯罪にご注意ください!)
    ・ Security measures that customers should implement:(お客様に実施していただきたいセキュリティ対策)
    ・ In order to protect the important personal property of customers, Financial Services Agency will make each bank enhance its security.(その為個人認定が必要のための必要な個人情報提出が必要となります。お客様の財産を守るためご協力よろしくお願いします。)

 顧客の重要な動産を保護するために、金融庁は各銀行にそのセキュリティを強化させている。
 各銀行は、更新されたカードを顧客に提供し、その顧客を一意に同定するために必須の情報の登録を要求されている。

 乱暴な和訳

    ・ Please pay attention to crimes aimed at domestic internet banking!(国内インターネットバンキングを狙った犯罪にご注意ください!)
    ・ For each bank, there are some cases where answers to the questions below are not required.(個別の銀行では以下の質問がない場合もあります)
    ・ In case there is no passphrase, please ignore and click ‘Next’ button to move to the next field!(ご合言葉がない場合無視して下の次へボタンをクリックし次へと進んで下さい。)

 乱暴な和訳

    ・ Personal information: (個人情報認証)
      / Registration number(画像参照してください、中国語になっています)
      / Passphrases(画像参照してください、中国語になっています)
      / Mail address(メールアドレス)
      / Mail password(メールパスワード)
      / The second PIN(第2暗証番号)
    ・ We will not use personal credit data offered from Consumer Data Industry or sensitive information, which is defined by guideline for personal information protection, 2004 Financial Services Agency Notification No. 67, for purposes other than the original intent, which is limited by Ordinance for Enforcement of the Banking Act.(個人信用情報機関より提供を受けた個人信用情報、並びに金融分野における個人情報保護に関するガイドライン(平成16年金融庁告示第67号)に定められる機微(センシティブ)情報は、銀行法施行規則等に基づき限定されている目的以外では利用いたしません。)

 面白いことに、検察庁金融庁が共に、この種の悪用に関する声名を発行している。

チャイニーズ コネクション

 我々が解析したWin32/Brolux.Aのサンプルは、中国語のミューテックス(mutex、【訳注】 コンピュータプログラミングにおける技術用語(Weblioより))名を使用している。また、このフィッシングページはエラーを含んでいたし、完璧な日本語で記述されていない。上に示した三つのフィッシングページ中の二つのフィールドは中国語で記述されている。
 最後に、解析されたWin32/Brolux.Aサンプルは、以下の証明書で署名されていた。

 興味あることに、この証明書(中国企業に与えられる)は、過去に、異なる悪意のある有害な可能性のあるプログラム(Potentially Unwanted Applications)やマルウェアのサンプルに署名するために使用されていた。別のサンプルを解析すると、それらの一部は目立っている。我々は、韓国の銀行を標的にしていたVenikマルウェアを発見した。このマルウェアは、犠牲者のコンピュータのホストファイルをターゲットにしている韓国のインターネット バンキングWebサイト用のリクエストを変更し、フィッシング ページにリダイレクトする。偶然にも、この手口は、Win32/Broluxの手口に大変近似している。
 Win32/Broluxが、単純なテクニックを使用しているが、我々全員が、この様な脅威が危害を発生させることを妨げるために何らかの予防措置を取らなければならないことを思い起こさせる。第一に、Win32/Broluxは、古い脆弱性を悪用して拡散するので、あなたのコンピュータ上で稼働しているソフトウェアのアップデートとパッチを適用すべきである。次に、あなたのインターネット バンキングWebサイト突然新しいコンテンツを含んだときに疑いを持つことは、この種の攻撃に対する適切な防衛手段である。

Indicator of Compromise(脅威の存在を示す痕跡)

脅威の痕跡     : 値

    Certificate thumbprint: 88 ca 78 5c e6 ef 05 ac e6 de 58 46 86 86 29 cc d0 1b cd 40
    Win32/Brolux.A SHA1: 0010d0ae9c56e222c9e90d3ef7dd9a215ca1780d
    Flash Exploit SHA1: a646997f716f7af7a734a5148827431d6233101e
    Venik SHA1(同じ証明書に署名された): 41188c1c88f24879745ae4649e0af37f9a47d20c
    Venik SHA1(同じ証明書に署名された): 73F1B8D4650AEC0F60C6C243B8AC68805830460E
    悪意あるドメイン: dmmm.jp
    フィッシング ページ: fas-go-jp-security.kensatsutyo.com
    ドメイン ホスティング設定ファイル: luxurybro.co.kr


日本を標的にしたバンキング トロイ”Shifu”が悪意あるWordドキュメントを介して拡散している
Websense : Security Labs Blog (2015/10/12)
 先週の10月07日、Raytheon | Websense Security Labsは、当初Dridexボットネット200のように見えたものを拡散している、興味あるeMailキャンペーンに気がついた。7時間の限定された時間内で、Raytheon | Websenseは、顧客に配布されていた16000以上の悪意あるeMailメッセージを停止した、これら全ては日本人を標的にしていたようにである。
 Raytheon | Websenseの顧客は、以下に記した攻撃の様々な段階で、ACE(Websense Advanced Classification Engine)でのリアルタイム解析により、この脅威から保護される。

    Stage 2(誘惑) - ACEは、ターゲットに送信されたeMailを防御している。
    Stage 5(ドロッパー) - ACEは悪意あるDOCファイルとマルウェアファイルを防御している。
    Stage 6(呼び戻す) - ACEは、この脅威に関連した円うぇ阿仁よって生成された悪意あるトラフィックをライブ、リアルタイム プロテクションを行っている。

eMail感染方向

 誘惑eMailの一つの例を以下に示す。

 このeMail本文のテキストは、意図されているターゲットと同じ組織中の者から受け取ったメッセージであるように見せるために、大変滑らかである。
 20151007112034511.docと名付けられた添付 .docファイルは、以下のURLからペイロード(悪意の総量)をダウンロードすることを企てるマクロを含んでいた。

    hxxp://leelazarow[.]com/345gfc334/65g3f4.exe

 このURLパターンは、Dridex botnet 220キャンペーンで確認されたものの典型である。しかしながら、このケースの場合、このペイロードは、日本のバンキング トロイShifuであると判明した。このマクロは難読化されたURLを含むこのペイロードをダウンロードするために使用されていた。

 このVisual Basicマクロは、10月08日のDridexボットネット220で使用されたものによく似ている。

 このShifuとDridexのeMail拡散方法は、同じ役者が二つのキャンペーンの背後に存在していると結論するには十分似ているわけではない。しかしながら、同じマクロビルダーと同じ難読化ツールが両方のケースで使用された可能性が高い。事実、我々は最近、マルウエアの間でフレームワークとインフラストラクチャの共有使用に関してブログした。
 Shifuのペイロードそれ自体は、我々のsandbox化した製品によって包括的に検出される。

中間者攻撃をチェックするには

 興味あることに、Shifuサンプル(476c8baa551fc5d1d9aad5441c7d1c2c4d502944)の我々の解析では、中間者攻撃(MiTM)による横取りがこの接続に関して実行するか否か決定しようとしていたことは明らかであり、このマルウェアは中間者攻撃を実行するかどうか決定したなら、そのコマンド アンド コントロールセンター(C&C)にコンタクトしないだろう。このチェックは、microsoft.com, dropbox.com, twitter.com, sendspace.com, etrade.com, facebook.com, instagram.com, github.com, icloud.com, python.orgを含む幾つかのホストへのHTTP接続を検証することによって実行された。これらのあらゆる企てが、中間者攻撃(MiTM)横取りに従属する接続に帰結した場合には、このマルウェアはC&Cに接続しなかった。しかしながら、中間者攻撃(MiTM)横取りが検出されなかったり(以前にリクエストがあった場合でさえ)、これらのホストの一つを介して接続することが可能であった場合には、通常通り、そのC&Cに接続する。

 これは、大変大きなパーセンテージの組織が、多くの脅威を検出し停止させるために中間者攻撃(MiTM)横取りを実際に利用しているので、Shifuは、そのC&Cやそのようなシナリオの基盤であるドメイン生成アルゴリズム(DGA)と通信することを拒否していると見られるので、我々が傾向として見てきた一般的なマルウェアの挙動ではない。

Indicator of Compromise(脅威の存在を示す痕跡)

添付ファイルのハッシュ(SHA1)
27eebb467c0caf35aea15d4a26c865c203426596
7768683584cd0a71d02b89896322099405173fa9
fa71d6430165d810a6ac9d9199d88620534b14e8

ペイロードのURL
hxxp://www.profes-decin.kvalitne[.]cz/345gfc334/65g3f4.exe
hxxp://rockron[.]com/‾rockron/345gfc334/65g3f4.exe
hxxp://leelazarow[.]com/345gfc334/65g3f4.exe

Shifuのペイロード ハッシュ(SHA1)
476c8baa551fc5d1d9aad5441c7d1c2c4d502944

Shifuのコマンド アンド コントロール(C&C)サーバ
hxxps://freewebpj[.]com/news/userlogin.php

Adobeは、Flash、Reader、Acrobat用に約70のセキュリティ アップデートをリリースした
GrahamCluley : News (2015/10/13)
 Adobeは、Flash、Reader、Acrobatアプリケーション中に発見された複数の脆弱性を解決するために69のアップデートをリリースした。
 火曜日、United States Computer Emergency Readiness Team (US-CERT)は、 ユーザと管理者にAPSB15-24(Adobeによってリリースされた、今回のパッチの二つのセキュリティ ブレチンの一つ)を参照するように促すステートメントをリリースした。
 このドキュメントにおいて、AdobeはWindowsとMacintosh用のAcrobatとReaderに影響を与える56の脆弱性へのセキュリティ フィックスを公開した。

 このセキュリティ ホールは、主としてHP(ヒューレット パッカード)のZero Day Initiativeで仕事している研究者によって発見されたが、Cure53, Vectra Networks, VeriSign iDefense Labs, Trend Micro, MWR Labs, the Nanyang Technological University(シンガポールの南洋理工大学)のエキスパートもまた、Adobeによって認識されている。
 SecurityWeekによると、様々な方法を構成するこのバグの凡そ半分は、悪意ある行動者によって、Java APIの実行に関する制限をバイパスすることができる。他は、情報漏洩、メモリリーク、メモリ損壊のバグを導くことのできるセキュリティ バイパス脆弱性である。これら全ては、攻撃者は、任意のコード実行を引き起こすために悪用することができる。
 同時に、AdobeはAPSB15-25をリリースしている。これは、情報漏洩とコード実行を導くことのできるFlash Player中の13のセキュリティ脆弱性を解決することを説明しているブレチンである。

Flashの新しくパッチされたバージョン(19.0.0.207)は、Flash Broker API中に多層防御機能を搭載している。
 Adobe Flashには、厳しい過去の二ヶ月があった。
 7月に戻る。Hacking Teamがリークしたデータ ダンプ(【訳注】 既婚者用出会い系サイト Ashley Madisonの漏洩事件)は、Flash中の幾つかの0-Dayの脆弱性を露にした
 これは、GoogleのProject ZeroとAdobeが、新しい脆弱性攻撃を軽減するためのアプリケーションを供給する前に、MozillaにFlashの全形式を一時的にブロックするするように導いた。
 Adobeは、先月巨大なパッチでHacking Teamバグを修正したが、この現在のパッチサイクルが示すように、研究者達は、数ダースのFlash中の脆弱性を発見し続けている。
 したがって、私は、攻撃者が世界中でこの脆弱性を悪用し始める前に、これらアップデートASAPを実装するように、あなた方に要請する。FlashのClick-to-Playを有効にしたり、Flashを完全に無効にすることは価値あることである。

Netgearのルータで検出された脆弱性
The BBC : Technology (2015/10/10)
 Joe Giron(アメリカのセキュリティ研究者)は、09月28日に彼のパーソナル ルータの管理者設定が変更されていたことを発見したとBBCに告げた。
 このセキュリティ侵害されたルータは、Webブラウジング データを悪意あるインターネット アドレスに送信するようにハックされていた。
 Netgearは、この脆弱性は「緊急」であるが、影響を受けるのは5000デバイス以下であると発言している。
 Mr Gironは、彼のルータのDomain Name System(DNS)設定が疑わしいIPアドレスに変更されていたことを発見した。
 「通常、私は、ルータのDNSに、GoogleのIPアドレスを設定するが、これは、それではなかった、何か他のものである」と彼は発言している。
 「二、三日間、私の全てのDNSトラフィックは、それらを介して送信されていた」
 これは、攻撃者が、Mr GironがどのようなWebサイトを訪問したかを追跡したり、あるいは、攻撃者が、そうさせたい悪意あるサイトに彼をリダイレクトすることさえできることを意味している。
 彼は、ルータをOFFにすることにし、差し当たり、そのルータを使用しないことにした。

「緊急」のバグ

 この脆弱性自体は、最近の数ヶ月で、Compass SecurityとShellshock Labsのセキュリティ研究者によって報告されている。
 「これは緊急なのか? 明らかにYesである」と、Netgear(アメリカにおける三大ルータ銘柄の一つ)製品管理の上席課長Jonathan Wuは発言している。
 「あらゆる人が、あなたのルータへのアクセスを取得できる場合、彼らは、あなたが訪問したくもない場所にトラフィックを差し向けるように設定変更することができる。」
 しかしながら、Mr Wuは、攻撃者は最初にそのネットワークへのアクセスを取得する必要があり、その管理者パスワードを推測する必要があると付け加えている。
 Mr Gironは、彼の場合には、攻撃者が遠隔からアクセスできるように彼のルータの設定が為されていたために、アクセスが取得されたと考えている。

差し迫ったパッチ

 現在まで、影響を受けるデバイスのファームウェアに関して、パッチは利用できるようになっていないが、BBCの確認によると、Netgearはパッチを10月14日にリリースするだろう。
 Mr Wuは、Netgearルータの所有者は、彼らのルータの管理者設定にログインしたり、あるいは、コンピュータ、タブレット、スマートフォン上にNetgear Genieアプリケーションをインストールしている場合には、ファームウェアのアップデートがプロンプトされるだろうと、発言している。
 ファームウェアのアップデートは、自動的にルータに「押し込む」ことができないので問題を含んでいると、ESETのITセキュリティ専門家Mark Jamesは発言している。
 「平均的なユーザは、そのルータを正しくして、それを使用するだろう」と、彼はBBCに告げた。
 「我々がこの種のシナリオで持つ最大の問題は、人々がソフトウェアをアップデートすることを維持しないことにある」と続けている。
 その上、コンピュータ用のアンチウィルス ソフトウェアは、この様な問題を検出しないので、ルータの脆弱性をカバーすることはない。

Huawei(ファーウェイ)の4G USBモデム中にリモートコード実行のハイジャック ホールが発見された
The Register : Security (2015/10/07)
 Positive Technologiesの研究者、 Timur YunusovとKirill Nesterovは、人気のあるHuawei 4G USBモデム中にDoS攻撃の脆弱性と嘗てパッチされたリモード実行の脆弱性を発見した。これは、攻撃者が接続されたコンピュータをハイジャックすることを可能にする。
 Huawei E3272 USBモデムは、Amazonで凡そ120US$で販売されている。
 研究者達は、この脆弱性がこのデバイスのゲートウェイに悪意あるパケットを送信することを介して、そして、クロスサイト スクリプティング(XSS)とスタック オーバーフローの為に、悪用することが可能であると発言している。
 「検出されたフローを悪用することで、侵入者は、リモートモデムに関する権利を取得し、脆弱性のあるモデムに接続されているコンピュータを制御し、モバイルオペレータのポータル中の登録者のアカウントへのアクセスを取得することができる」と、この研究者達は発言している。
 「その上、バイナリSMS(ショートメッセージサービス)メッセージを経由するSIMカード攻撃は、攻撃者が登録者のトラフィックを横取りし、復号し、登録者の所在地を追跡し、SIMカードをブロックすることを可能にする。」
 今月報告された仕事と8月にパッチされた仕事は、6つの4GB USBモデムに30のファームウェアを稼働させた、「大規模な研究」に由来している。
 Huawayは、DoS攻撃が、HuaweiデバイスのCommon Gateway Interfaceに送信された悪意あるパケットを介して引き金を引かれることに注意するよう発言している。
 この研究チームは、以前4Gモデムを破壊した。11月に、ハッカーが4GモデムにSMSを送信し、接続されたマシンに橋頭堡を得ることを可能にする巨大なホールを露にした。
 この攻撃は、線路切り替えメカニズムを介してヨーロッパの列車上のコンピュータを標的にする可能性を含んでいる。

研究者の警告: TrueCryptにシステムへのセキュリティ侵害を可能にする脆弱性
Bitdefender : HOTforSecurity (2015/09/30)
 フリーの暗号化ツールTrueCryptの二つの新しいセキュリティ上の脆弱性は、攻撃者が管理者レベルの特権を取得し、そのマシン上にマルウェアをインストールすることを可能にすると、セキュリティ研究者達が発言している。
 TrueCryptがWindowsシステム上にインストールするドライバ中の二つの脆弱性(CVE-2015-7358とCVE-2015-7359)は、GoogleのProject ZeroチームのメンバーJames Forshawによって発見された。この攻撃は、攻撃者がユーザアカウントにアクセスした場合、攻撃者は昇格された特権を取得することができる。
 TrueCryptの作成者は、昨年、「未解決のセキュリティ問題」を承けて、この暗号化ツールの開発を停止した。しかしながら、TrueCryptのソースコードと、その暗号化の実装のセキュリティ監査は、バックドアやセキュリティホールを露にしなかった。
 Forshawは、深刻なバグがセキュリティ監査の後も発見されないままになっていると発言している。

 このGoogleの研究者は、この二つのバグに関する詳細を明らかにしていない。彼はパッチがリリースされた後通常通り7日間待ち、その後、彼のバグレポートを公開すると発言している。
 この深刻なバグは、新しいアプリケーションVeraCrypt(オリジナルのプロジェクトを継続し改良することを目的とするTrueCryptコードをベースとするオープンソースプログラム)でパッチされている。

WinRARは、5億のユーザと危険を共有していた
The Register : Security (2015/09/30)
 5億のユーザが、人気のあるWinRAR圧縮ソフトの全てのバージョンが影響を受ける0-Dayのリモートコード実行のリスクを負っていた。
 この概念実証コード(【訳注】 何らかの脆弱性を悪用した攻撃が実際に有効であることを検証するためのプログラムを指す(日立ソリューション、情報セキュリティ用語解説より))は公開された。この作成者は、WinRARの全てのバージョンで動作し、犯罪者によってフィッシング攻撃に使用される可能性が高いとしている。
 WinRARは、この20年間に渡り、Windowsユーザにとっての人気あるシェアウェアの解凍ツールであった。
 CNETやSoftpediaのようなダウンロードサイトの多くのレビューに多大な感謝をして、WinRARの脆弱性は閉じられた。
 イラン人の研究者Mohammad Reza Esparghamは、Full Disclosureセキュリティ メーリングリストに、このセキュリティホールを報告した。
 「この脆弱性は、ターゲットのシステムをセキュリティ侵害するために、攻撃者がシステム固有のコードを実行することを可能にしている」と、Esparghamは発言している。  「この問題は、『自己解凍ウインドウに表示するテキスト(text to display in SFX)』ウィンドウ モジュールのテキストとアイコン関数中に存在している。」
 「リモート攻撃者は、セキュリティ侵害するためにシステム固有のコードを実行するための悪意のペイロード(【訳注】 Payloadには、軍事用語として、一発のミサイルが搭載できる爆発物の総量という意味があります。言い換えると、一発のマルウェアが搭載できる悪意の総量)付きの独自の圧縮アーカイブを生成することができる。」
 Esparghamは、これが、脆弱性攻撃するために低い能力しか要求せず、ユーザに、そのファイルを開くことだけしか要求しないので、深刻度のスコアを9.2に設定している。
 攻撃がステルスに実行できるとしたなら、ゲームとアプリケーション用のTorrentファイルは、素晴らしい攻撃ベクトルである。
 この脆弱性は、追跡され評価されるメジャーなバグに付けられるCVE番号を取得していない。
 ユーザが、解凍された悪意あるSFXファイルを持っていると想定する。攻撃者は、WinRARのウィンドウに、アーカイブが開いたとき、ターゲットのマシン上で実行するHTMLコードを記述することができる。
 MalwareBytesの研究者Pieter Arntzは、この概念実証コードが適切に動作するには多少の調整がを必要とすると発言している。
 「この概念実証コードは、私が、これを動作する前に、幾つかの微妙な調整を要求する」と、Arntzは発言しているが、これは、Perl版とコンフリクトしているかもしれない。

Chrome、Firefoxにクッキー挿入攻撃の脆弱性。CERTが警告
Bitdefender : HOTforSecurity (2015/09/25)
 CERTのアドバイザリによれば、ブラウザ クッキーは、HTTPSをバイパスし、中間者攻撃を容易にするために使用することができる。
 「HTTPセッションで一時的であれ中間者の役をする攻撃者は、次のHTTPS接続にクッキーを挿入することができる」と、この勧告は記述している。
 AppleのSafari, MozillaのFirefox, GoogleのChromeを含む最新鋭のブラウザは、クッキー挿入攻撃に対する脆弱性を残したままにする、明らかに欠陥のある実装をしている。クッキーは、HTTPS接続に対して、それらの使用を制限する「Secureフラグ」(【訳注】 クッキーのDefault設定は、HTTPであれHTTPS接続であれ、クッキーを送信するが、Secureフラグを立てたクッキーは、HTTPS接続の時にしか送信されない)を含んでいるが、旧式のブラウザは、HTTPSクッキーのソースをチェックしない。
 これは、中間者攻撃をする者が、他のサイトのように成り済ましてHTTPSクッキーを設定することができることを意味している。「攻撃者は、example.com用のクッキーを、www.example.com用の実際のクッキーに取って代わるクッキーに設定しているかもしれない」

     この方法で設定されたインチキのクッキーは、セッション中で転送されるあらゆる個人データの漏洩を助けることができる。
     我々は、クッキーに関連する脆弱性が重要なサイト(GoogleやBank of Americaのような)に存在していることを、我々がメジャーなWebブラウザ(Chrome、Firefox、Safariのような)で発見した実装の弱点によって、一層悪くなることを発見したと、CERTは発言している。

 サイトのオーナーは、含まれているサブドメイン オプションでHSTS(HTTP Strict Transport Security、【訳注】 HTTPで接続した際に、強制的にHTTPSへリダイレクトし、以降のそのドメインへの接続はすべてHTTPSとする機能(Qiitaより))を有効にするように勧告されている。これは、サブドメイン クッキーに取って代わるかもしれないトップ-レベル クッキーを設定するための攻撃者の能力を部分的に軽減する。
 言及されているブラウザの最新バージョンは影響を受けないので、あなたのブラウザをアップデートすることが最善である。

Ethical Adblockerは、オンライン広告でのあなたの問題の全てを解決する - 倫理的に
The Guardian : Technology (2015/09/24)
 広告ブロックの議論は、Ethical Adblockerを起動することで解決した可能性がある。
 広告はムカつく、そして、多くの人々は広告を見ないことを好む。しかし、インターネット経済は、広告が、無料のオンラインコンテンツを読むための事実上の支払いとなっているかのようである。
 それ故、広告をブロックすることは、より快適なWebブラウジングとなるかもしれないが、海賊行為や窃盗行為と同じ範疇に位置しているので、道徳的には怪しいものである。
 しかし、プログラマでありアーティストでもあるDarius Kazemiは、この解決策を発見した可能性がある。彼は、Ethical Ad Blockerを発明した。彼が記述したところによると、このダウンロードは、「このツールがWebサイト上に広告を検出したとき、Webサイト全体をブロックするChrome拡張である。」
 「この方法では、ユーザは広告を見ないが、彼らはフリーのコンテンツに纏わり付くこともできない。全ての者が勝つ!」
確かに、Ethical AdblockerをONにしてThe Guardianのような広告をサポートしているWebサイトを訪問することは、訪問者が広告を見ること、広告によって追跡されること、そして、そのサイトの如何なるコンテンツも偶然に読むことを防止してくれる。代わりに、エラーメッセージがポップアップされる。

 もちろん、Kazemiが全体の見通しについて完全にシリアスではないかもしれないと言っていいだろう。このアーティスト(@twoheadlinesのような彼のTwitterボット(【訳注】 Twitter の機能を使って作られた、機械による自動発言システム(ツイナビより))で最も有名)は、そのサイトに熟考した一つの最終の追加をツイートした。巨大な赤い大文字のテキストは、「どうか、これを文字通りに取らないでください」と読める。

AVGは、10月15日からあなたのWebブラウジングと検索履歴を販売する
The Register : Security (2015/09/21)
AVGアンチウィルスのプライバシーポリシーの変更は、あなたのWebブラウジングと検索履歴を収集することを可能にし、そのフリーミアム(【訳注】 基本的なサービスは無料で提供し、より高度な機能や付加価値の高いサービスなどについては有償で提供する、というビジネスモデル(Weblioより))なセキュリティ製品に資金を出している広告主にそれを販売するだろう。
 このチェコを本拠とする企業のブログ ポストによれば、この変更は、10月15日から開始される。改訂されたプライバシー ポリシーは、此処に見出すことができる。以下に主要な段落を抽出する。
 我々は、我々が無償提供しているものから金銭を稼ぎ出すために非個人データを収集する、これで、我々は、それらを無料のまま提供することができる。

    ・ あなたのデバイスに関係づけられているAdvertising ID(広告ID)
    ・ ブラウジングと検索履歴(メタデータを含む)
    ・ あなたが我々の製品に接続するために使用するインターネット サービス プロバイダ、もしくはモバイル ネットワーク
    ・ あなたのデバイス上の他のアプリケーションと、その使用方法に関する情報

 AVGはまた、ユーザのデバイス上で発見した他のアプリケーションに関する情報を収集し仲介もするだろう。このセキュリティ ソフトウェア企業は、名前、e-Mail、住所、ペイメント カード(【訳注】 クレジットカードやデビットカードのような支払い機能の付いたカード全般(英辞郎より))の詳細のような個人情報を販売することはないだろうが、この個人情報の一部が、或る人のブラウジングの履歴から漏洩されたり、あるいは、推論されたりする可能性は認めている。

Microsoftは尋ねることなく、ユーザのマシンにWindows 10をダウンロードしている
The Guardian : Technology (2015/09/11)
 ユーザが新しいオペレーティングシステムをインストールすることに関心がないと表明していた場合でさえ、Microsoftは、ユーザのマシンにWindows 10を自動的にダウンロードしていることを認めた。
 Inquirerの読者によって発見されたように、自動ダウンロードは、ユーザのコンピュータ上に3.5GBから6.5GBまでの保存領域を占有する。最近のコンピュータの一部(Windowsタブレットのような新しいフォームファクタ(【訳注】 主要システム部品の物理的寸法を指定したもの(Wikipediaより))を含む)は、32GB(このダウンロードは、全ハードドライブの19%にあたる)のようなの小さな記憶領域しかもっていない。
 このダウンロードは、ユーザに知られることなくバックグラウンドで発生している。多くの人々が地方に、そして、貧弱な接続領域に住んでおり、そのユーザが、遅いインターネット接続環境に存在しているのであれば、これは、他の一刻の猶予もならない活動に重大な影響を与えるだろう。これは、従量制課金インターネット接続(一月あたり40GBのささやかな提供をしている)の、かなりの部分を占有することになる。
 ユーザのレポートは、Windows 10ダウンロードが、自動ダウンロードをONにしているWindows 7、8、8.1で発生していることを示している。自動アップデートは、リリースされた、多くの必要とされるバグフィックスとセキュリティアップデートをインストールするので、適切な考えである。
 しかし、Windows 10は、必要なバグフィックスでもなければセキュリティ アップデートでもない。これは全く新しいWindowsオペレーティングシステムである。
 Microsoftは、声明で以下のように発言している、「Windows Updateを介して自動アップデートを受け取ることを選択した個人のために、我々は、ユーザがアップグレードすることを決定した場合に備え、必要となるファイルをダウンロードしてWindows10への準備をすることでアップグレードするデバイスの支援をしている。」

あなたは今、Windows 10をインストールしたいか?

 Windows 10は、インストールを実行するためのプロンプトをユーザが受け入れるまで、インストールされることはない。これは、ユーザが、決してアップグレードを意図していない場合でさえ、ユーザのハードドライブを占拠することを意味している。
 或るInquireのユーザによると、コンピュータを再起動する度に、Windows 10をインストールするためのプロンプトが表示されると、発言している。
 Microsoft: 「アップグレードが準備できると、顧客はデバイスにWindows 10をインストールすることを促されるだろう」
 Web解析企業StatCounterのデータによると、Windows 10は、8月でデスクトップ インターネット ユーザの4.9%を占めていた。因みに、Windows 7は、48.1%のシェアを保持しているが、Windows 10ユーザの数は、リリースの満1ヶ月後には、Windows 7と8にアップグレードした人々より既に大きくなっている。
 ユーザマシンにWindows 10のMicrosoftの事前キャッシング(データを保存すること)は、その成功の一部の原因になっているだろう。


MozillaのBugzillaが情報漏洩
ESET : We Live Security (2015/09/08)
 サイバー犯罪者は、MozillaのBugzilla(【訳注】 バグ管理システム)から「セキュリティ上の重要な情報」を盗むことができていたことが、露にされた。
 Mozillaセキュリティの共同リードRichard Barnesは、バグ追跡ツールから抽出されたデータは、WebブラウザFirefoxのユーザを攻撃するために使用されていると発言している。
 Mozillaは既に、このことを調査しており、攻撃者によって持ち出されている脅威に対抗するための十分な対応を開発していると、彼は説明している。法執行機関にも知らされている。
 更に、このツールを効果的なまま、そして脆弱性を悪用するために探している個人やグループから安全にしておくことを保証するためにBugzillaを改善している最中である。
 「攻撃者が侵入したアカウントは、Mozillaがセキュリティ侵害されたことを発見した後直ちに、シャットダウンされた」とMr.Banersは詳述している。
 「08月06日にパッチした脆弱性を悪用するためにBugzillaからの情報を、攻撃者が使用していたと、我々は信じている」
 「攻撃者によって取得された如何なる他の情報もFirefoxユーザに対して使用された兆候を、我々は持っていない。」
 Firefoxの最新のアップデート(08月27日にリリースされた)は、サイバー犯罪者によって同定された、このフローの全てをパッチしたと、彼は明らかにしている。
 Bugzillaのセキュリティを押し上げるための他の努力は、全てのユーザのパスワードを変更するために彼等に重要なデータにアクセスすることと、二要素認証を使用することを含んでいる。
 更に、「特権的なアクセスを持つ人々の数を減少し、それぞれの特権ユーザーが可能な行為を限定するように再定義することは、セキュリティの改善に関する議題でもある。
 「換言すれば、我々は、攻撃者が侵入することを困難にし、侵入するための機会を僅かにするようにし、攻撃者が侵入によって取得することができる情報の量を減少させている」と、Mr.Barnesは続けている。
 先月、Mozilla Foundationは、Firefoxブラウザの新たなセキュリティ アップデートをアナウンスした。これは、特定のフロー(CVE-2015-4495)を解決している。
 「この脆弱性は、攻撃者が同一生成元ポリシーをバイパスし、遠隔からローカルファイル コンテキスト中で解釈されるJavaScriptを実行することを可能にする」と、ESETのマルウェア研究者Anton Cherepanovは説明している。
 これは、攻撃者がローカルマシン上のファイルを読み書きし、それらをリモートサーバーにアップロードすることを可能にする。

Seagateワイアレス ディスク上のファイルは毒されていた、盗み取るために
The Register : Security (2015/09/07)
 CERT.orgは、Seagateのワイアレス ハードドライブがハードコードされたパスワード(【訳注】 パスワードをソースコードの中に直に記述したもの)でアクセス可能な「公開されていないテルネット サービス」を含んでいると報道した。これは、このデバイスにワイアレスでのアクセスを持つ匿名攻撃者に、無制限にファイルをダウンロードする能力を可能にする。
 そして、他のフローは、このデバイスのDefaultファイル シェアリング ディレクトリに何らかのものをアップロードすることを可能にする。
 ワイアレス ハードドライブは、小さなパッケージ中にハードディスクとWi-Fiコントローラをパックしたものである。Seagateは、幾つかの携帯可能なコンパクトなデバイスがコンテンツにアクセスするための素晴らしい方法として(【訳注】 例えば、ワイアレス ハードドライブとスマートフォンを一緒に持ち歩くことで、ハードドライブ内のコンテンツに好きな時にアクセス可能)、この製品を販売している。しかしながら、このデバイスは、実際上小さなネットワークが組み込まれた記憶装置である。零細企業においてファイルサーバの事実上の代用である可能性が高い。
 デバイス中に存在する三つのフローは、あなたのネットワーク上の誰か(もしくは、外部から、それに到達することのできる何者か)が、"root"(ルート)のDefaultパスワードと、ユーザ名"root"を試みるための十分な知識で武装したことを意味している。これで、この者は、このSeagateデバイスの全コンテンツをダウンロードし、次に、それらの中にマルウェアをアップロードすることができる。
 そして、これは、悪漢共が、あなたのputty.exeやマルウェアを含むものでOfficeドキュメントを置き換えることを決るなら、馬鹿げた時代の到来を意味することになる。
 Seagateは、新しいファームウェア、正確に言うとバージョン3.4.1.105を利用可能にしている。そして、このキットの所有者に、「あなたのドライブ用の新しいファームウェアが利用可能になっているか否か確認するためにDownload Finderを定期的にチェックするように」と要求している
 ウンザリする感傷であるが、もちろん、巨大なセキュリティホールであるにも拘らず、多くの消費者は絶対に必要な新しいブロードバンド ルータのファームウェアのインストールに失敗すると、この件に関して自分のなすべきことは何もないことを示している。

単純なE-Mailでのエラーが、数百人のHIV患者の個人情報を暴露した
GrahamCluley : News (2015/09/03)
 我々の多くは、これを実行している。
 Bcc(【訳注】 他の受信者にアドレスが見えないように連絡する場合に利用。BCCの受信者は、他の受信者に表示されない。一斉送信の際に用いられることもある(ビジネスメールの教科書より))フィールドを使用して、人々の長いリストをe-Mailする代わりに、我々は、Ccを使用してきた。
 結果? このe-Mailを受け取る全ての人は、このe-Mailを送信された他の全ての人のe-Mailアドレスを見ることができる。

このことは、あなたが会社内のスタッフに内部メールを送信している場合は、大したことではないかもしれないが、あなたがe-Mailした人々が外部の人であり、彼等がe-Mailアドレスを公開されたくないのであれば、あるいは、あなたと彼等の関係が他の人と共有されることを望まないのであれば、問題である。
 例えば、e-Mailを失敗した人々が、780人へニュースレターを送信したHIVクリニックのような場合である。  The Guardianの報道によると、この調査は、LondonのSoho地区の56 Dean Streetの生殖健康クリニック(2011年の世界エイズの日に、一つの場所で実行されたHIVテストに関して世界記録を樹立した。【訳注】 Chelsea and Westminster Hospitalのこと)が、凡そ780人の名前とe-Mailアドレスを露にした方法に関して命令されたものである。

 保健医療相Jeremy Huntは、「まったく受け容れ難い」漏洩を調査するように命令したことを、ManchesterでのNHS(【訳注】 National Health Service、国営保健サービス)カンファレンスで代表に告げたと発言している。

    「我々にとって健康より重要なものはないが、NHSの患者にとって、最高のセキュリティ基準で彼等個人の医療データが取り扱われていることを確信することより重要なものはないことを、我々はまた理解しなければならない。」
    「Dean Streetの外科が本日全く受け容れ難いデータの漏洩を実際にやって見せたように、真実は、NHSが、これを実行している我々の能力に関して公共の信頼を勝ち得ていなかったことである」

 もちろん、プライバシーの漏洩は別として、この種のe-Mailのドジは、不要なマーケティング メッセージで個人を標的にしているスパマーを潜在的に支援することが可能である。
 この問題を何とか解決するために、彼等が多くの調査を必要とするかは定かではない。誰かがヘマをし、間違ったフィールドにe-Mailアドレスをペーストしたのかもしれない。
 彼等がニュースレターを送信するために適切に設定されたダイレクト・メール ソフトウェアを使用していたのであれば、あるいは、彼等のe-Mailクライアントが、Ccフィールドに巨大な数の人々を持っていることを警告し、そのe-Mailを本当に送信するのか確認したのであれば、これは絶対に発生しなかった。
 e-Mailシステムがそれをチェックすることは、そんなに難しいものだろうか? 異なるドメインの多数の人々がCcに存在することを発見したり、さもなければヒューマンエラーを示したり、相応しい警告メッセージが表示されさえする。
 私は、この調査において、このニュースレターe-Mailデータベースが安全に格納されているか否か実地踏査することを希望する。
 古典的なCc/Bccエラーは、実行され続けていることは間違いない。あなたが人々にe-Mailするとき、無意識に彼等の信頼を破壊しないように常に注意深くありなさい。

 詳細に関しては、The Guardianの記事を参照。

Microsoftは、多くのデータを収穫するためにWindows 7と8のユーザを追跡している
GrahamCluley : News (2015/09/02)
 セキュリティ研究者は、Windows 7と8オペレーティングシステムの最近の4つのアップデートは、Microsoftが様々な使用情報を収集することが可能であることを発見した。
 Microsoftは、既にWindows 10に関して砲火を浴びている(Windows 10のテレメトリ機能は、Defaultで、基本的なエラーの報告からより拡張されたデータに至るまでの使用情報を収集している。これは、特定のアプリケーションが使用されている頻度、クラッシュが発生した場合の、デバイスのメモリ状態とメモリのスナップショットを含む)。
 実際、ユーザの中にはWindows 10でのプライバシーに関して大変懸念し、故意にアップグレードを遅らせている者もいる。

 今、テクノロジ ブログGhacks.netのMartin Brinkmannは、Windows 7とWindows 8用の4つの「アップグレード準備」アップデートは、Windows 10のものと似たデータ収集プロセスを作動させていたことを発見した(おそらくは、これらのシステムのユーザは、最終的により新しいOSのバージョンに移行すると信じて)。
 四つのアップグレードとは以下である。

    ・ 3022345: 顧客満足度及び診断テレメトリのための更新プログラム - この更新プログラムによって、診断とテレメトリーのトラッキング サービスがインマーケット デバイスに導入されます。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できます。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートします。(Microsoftのサイトより引用、機械翻訳)
    ・ 3068708: 顧客満足度及び診断テレメトリのための更新プログラム - 診断と遠隔測定の追跡サービスを既存のデバイスにこの更新プログラムが導入されています。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できます。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートします。(Microsoftのサイトより引用、機械翻訳)
    ・ 3075249: Consent.exe Windows 8.1 で Windows 7 への遠隔測定のポイントを追加する更新プログラム - この更新プログラムでは、低い整合性レベルからの高度の情報を収集するためにユーザー アカウント制御 (UAC) 機能に「遠隔測定ポイントを追加します。(Microsoftのサイトより引用、機械翻訳)
    ・ 3080149: 顧客満足度及び診断テレメトリのためのアップデート - このパッケージは、既存のデバイスに対する診断とテレメトリのトラッキングサービスをアップデートする。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できる。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートする。

 Hacker Newsによると、このアップデートによって作成されたテレメトリサービスは、ドメインvortex-win.data.microsoft.comとsettings-win.data.microsoft.comと相互作用する。  本来、これらのドメインはハードコード(HOstsファイルは自動的にバイパスされることを意味している)されていると信じられている。しかしながら、その後、ソフトウェア ファイアーウォールの使用で、新しい接続はブロックされることが明らかにされている。

 これらのアップデートを削除するための、最高のアドバイスは、それらを最初からインストールしないことを選択することである。
 それらを既にインストールしているのであれば、ユーザは、こちらの、このガイドを参考にすることができる。
 明らかに、オペレーティングシステムで情報を共有することには利点がある。通常、クラッシュ レポートやアプリケーションの利用状況を共有することは、ユーザのデスクトップ満足度を最適化し、これらのデバイスと共に、更に多くの個人や流れと相互作用することができる。
 しかしながら、ユーザがこの協定の種類の出力を望むのであれば、それを実行するためにレジストリを変更してはならない。
 うまくいけば、プライバシーが、技術が為すべきことと、為してはならないことに関してユーザの満足度を形作ることを継続することで、Microsoftと他のハイテク大企業は、この事実を認識することになるだろう。

犠牲者を誘惑するためにDr.WebのTorrentLocker復号を使用しているサイト
BleepingComputer : General Topics>News (2015/08/29)
 今週早くに報告したように、Dr.Webは、長い間TorrentLockerのファイルを復号することができていた、有料ユーザに限ってはいたが。彼等が、このサービスをDr.Webの販売者や、彼等のクライアントを支援している協力者に提供しているようである。以前、この復号サービスを宣伝していることを我々が確認したこの販売者と協力者は、このサービスを無料で提供していた。本日、或るメンバーが、スペインを本拠とするWebサイトが、個々の犠牲者に応じて165から225ユーロ(約22454から30620円)で、同じサービスを広告していると我々に通知してきた。
 スペインを本拠とするWebサイトは、165から225ユーロ(約22454から30620円)で、TorrentLockerとCrypt0L0ckerの復号サービスを提供しているように見える。けれども、このサイトがDr.Webのパートナーであるとする明記は存在していないが、サイト上でのDr.Webに関する多くの投稿は、どこか彼等が関係団体であるかもしれないと我々に推察させる。このサイトは、TorrentLocker / Crypt0L0ckerファイルを48時間以内に復号することが可能であると主張している。復号に成功すると、彼等は、165から225ユーロの料金を要求する。これは、Dr.Webが彼等のソフトウェアのライセンス所有者に同じサービスを提供していることを考慮すると(相当に安価)、大変高額なものである。

 

 更に、我々が、この前の記事で報道した、無料で復号し、復号にDr.Webを使用することを認めているサイトは、現在、Dr.Webツールと復号キーを受けとるために70ユーロ(約9526円)要求していると報告されている。犠牲者がDr.Webを30 USドルで購入し、ライセンスの一部として同じサービスを得られる時、これらの会社が、多くの金銭を請求することによって請求することによってTorrentLockerの犠牲者を誘惑することは残念なことである。
 望むべくは、Dr.Webが、これらのサービスを使用し、彼等の顧客を誘惑するこの様なサイトを厳しく取り締まることを。

Dr.Web(ロシアのセキュリティ企業)は、有料版の顧客や販売者のためにTorrentLockerをコッソリ復号していた
BleepingComputer : General Topics>News (2015/08/22)
 この4ヶ月くらいと思われるが、Dr.Webは、彼等の有料版の顧客のTorrentLockerによって暗号化されたファイルをコッソリ復号していた。私は、激務で金を稼ごうとする会社を妬むつもりはないし、犠牲者がファイルを取り戻せるのであれば、犠牲者が30 USドル(約3700円)のライセンスを購入するために、彼等のサイトを参照させただろう。けれども、私が発見した奇妙なことは、暗号化されたファイルを復号する彼等の能力に関する公開情報が、完全に存在していないことと、私自身と他のセキュリティ コミュニティのメンバーによる質問に対する対応を彼等が完全に拒絶していることである。

身代金要求マルウェアの今までの解析は、犠牲者夫々が、彼等のファイルを復号するために使用される一意のAES復号キーを持っていた。これは、暗号化されたファイルを復号する唯一の方法が、TorrentLockers Command & Controlサーバから復号キーにアクセスすることであることを意味していた。このために、2015年05月に、Wallakというメンバーが、Dr.Web製品の有料版の顧客は、無料で彼等のファイルを復号することが可能であるという投稿がなされたとき、それは驚きであった。

    引用: 諸君、Dr.Webロシアセキュリティ企業は、解決策を持っているようである。何人かの私のWeb訪問者は、ある製品(アンチウィルス、インターネット セキュリティ スーツ等)を購入した顧客がファイルを復号する無料ツール(DOCファイルは、復号するための彼等のツールでKEYを取り戻すために専門家に送信されなければならない)を持っていることを確認した。それは動作した、私は、それをチェックした、そして、送信されたKEYは、略奪者から復号器内部に配置された、また動作した、それは本物のKEYであった。

 Wallakは、Dr.Webのスペインのパートナーから、これについて聞いたと更に述べている。これは、著名な企業が犠牲者を支援するための能力を持っており、そして、それを公開しようとしていなかったことに疑いを持たせるので、我々は、この投稿を疑っていた。それ故、私はDr.Webに接触することを決定し、確認を求めようとした。私は、Dr.Webにメールし、我々が、彼等が実際にTorrentLockerファイルを復号できるのか否かに関する情報を得ようとしており、その後、我々が彼等に犠牲者を照会することを説明した。驚いたことに、私はDr.WebのCEO、Boris Sharovから返信を受け取った。彼は、私が幾つかのファイルを送信すれば、それらを復号できるか否か、誰かが返信するだろうと言っていた。私は、幾つかのファイルを送信し、10日間待った、この件に関し再び彼等にメールしたが、何等応答はなかった。
 今日、他の者によって、イタリアのwww.decryptolockerと言うサイトについてBleepingComputer.comに投稿がなされた。このサイトは、TorrentLockerとCryptoL0ckerによって感染させられた犠牲者のために、復号プログラムを取得する支援をすることができると述べている。彼等は、Dr.Webの販売者であり、あなたが暗号化された幾つかのファイルを送信したなら、復号プログラムを取得するためにDr.Webと共に作業することが可能であるとも説明している。このサイトは、あなたにDr.Webのライセンスを購入することを要求していない。

 te225decryptと名付けられたDr.Web復号プログラムの一つのサンプルを以下に示す。

 全体として、全ての明かになった事実は、歓迎、驚愕、混乱、疑念が一緒になっているものである。彼等が私や他の人々からの質問に決して応答しようとしないことと、彼等が、この身代金要求マルウェアを復号できると決して公にアナウンスしていないこと、および、我々が販売者を介してこの件に関して聞いたという事実は、奇妙さを感じざるを得ない。
 それであるにも拘らず、これは依然としてTorrentLocker身代金要求マルウェアに感染した人々にとって歓迎されるニュースである。我々は、Dr.Webを使用することで、あなたのファイルを復元することが可能であることを希望する。Dr.Webに対して、我々は、この件に関して彼等から何らかの公式の対応を確認することを望んで止まない。

Microsoft、IE用の緊急のパッチをリリース
Krebs On Security : Blog (2015/08/18)
 Microsoftは本日、Internet Explorerのサポートされる全てのバージョン(IE 7から11まで)中に存在する緊急のセキュリティ フローをアップデートする定例外のアップデートをリリースした(このフローは、Microsoftからの新しいブラウザでIEを置き換えることを意図しているMicrosoft Edge中に存在するか否かは明らかになっていない)。
 このパッチに付随するアドバイザリによると、これは、IEユーザが、ハックされていたり、あるいは、悪意あるWebサイトを単にブラウズすることによって、ユーザのシステムに感染することを意味する、browse-and-get-owned vulnerabilityと呼ばれるものである。Windowsユーザは、メインブラウザとしてIEを使用しているか否かに拘らず、このパッチをインストールしなければならない。これは、IEのコンポーネントが、Microsoft Officeのような様々なアプリケーションから呼び出されることができるからである。この定例外のパッチは、Windows Updateを介して、もしくは、MicrosoftのWebサイトから利用可能である。
 Microsoftのアドバイザリは、このフローが攻撃者によって、既に攻撃されているか否か言及していないが、脆弱性マネージメント企業Qualysのセキュリティ専門家は、攻撃は既に発生していると、述べている。  「この脆弱性(CVE-2015-2502)は、インターネット上で既に悪用されている。この攻撃コードは、あなたやあなたのユーザが訪問した際に感染させるために、悪意あるWebページにホストされている」と、Qualysの最高技術責任者Wolfgang Kandekは、このアップデートに関するブログポストで記述している。
 Qualysによると、攻撃者達は、彼等の目標範囲を増加するために、そして、ユーザをWebページに誘惑するために、以下のような幾つかのメカニズムを使用している。

    ・ 広告ネットワーク上で脆弱性攻撃をホストしている。これは全く正当なWebサイトで使用されている。
    ・ ブログによると、ブログ サーバー ソフトウェアや単純に弱い証明書の脆弱性を悪用することによって、正当なWebサイトを介してコントロールを取得する。
    ・ 攻撃用の特別なWebサイトをセットアップし、検索エンジンの結果を巧みに操作する
    ・ e-Mailや他のメッセージ プログラムによって、このサイトへのリンクをあなたに送信する

 「今、この脆弱性は公開されたので、我々は広範に攻撃用コードが拡散し、脆弱性攻撃キットや攻撃フレームワークに統合されるだろうと予期している。可能な限り早急にパッチしなさい」とKandekは記述している。
 このパッチは、毎月第二火曜日の定例のパッチサイクルの一部としてWindowsとWindowsコンポーネント中のセキュリティフローに関する多量のIEのアップデートと他の修正のリリースの後、丁度一週間で出現した。

告げ口するなと言っていても、Windows 10は、Microsoftに告げ口することを止めない。
ars technica UK : TECHNOLOGY LAB (2015/08/13)
 Windows 10は、その機能の多くをサポートするために、インターネットを多用している。このオペレーティングシステムは、これらの機能の殆どと、それらと行動を共にする潜在的セキュリティ侵害接続を無効化するためにサポートされる調整用の多くのノブを持っている。
 残念なことにプライバシーを主張する者にとって、これらのコントロールは、オペレーティングシステムがオンラインに進み、Microsoftのサーバに接続することを完全に妨げるために十分であるようには見えない。
 例えば、Cortanaと平行してスタート メニューからのWeb検索を無効にしていても、スタートを開き、タイプすることは、たとえCortanaが無効になっていたとしても、何らかのCortana情報を含んでいるかのようにthreshold.appcacheと呼ばれるファイルを要求するためにwww.bing.comにリクエストを送信している。このファイルに関するリクエストは、再起動しても存在し続ける任意のマシンIDを含んでいるようである。


 クリックすると拡大します。FiddlerデバッギングWebプロキシ中に表示された。あなたがタイプを始めるか、マシンを再起動する度にスタート メニューが実行するリクエスト。

 このトラフィックの一部は明らかに無害である。新しいネットワーク接続に関して、Windowsマシンは、与えられたネットワークがインターネットの経路上に存在しているか否か確認するために、そして、そのルートでのキャプティブポータル(【訳注】 ユーザー認証が成立するまで、ネットワークへのアクセスから無線クライアントをブロックする機能)であるかどうか確認するために、二つのURL(www.msftncsi.com/ncsi.txt と ipv6.msftncsi.com/ncsi.txt、前者はIPv4、後者はIPv6)を要求しようとする(NCSIは、"Network Connection Status Indicator"の頭文字である)。これらの要求は剥き出しであり、マシンIDも他のデータの送信も付属していない。あなたが、これらをOFFにしたいのであれば、そうする方法は存在しているが、プライバシーに与える影響は少ないものである。幾つかのトラフィックは無害なように見えるが、発生すべきではないように感じられる。例えば、ライブ タイルをスタートにピン留めしていなくても、Windows 10は、時々MSNネットワークから、暗号化されていないHTTPを使用して、新しいタイルをダウンロードしているようである。もう一度、このリクエストは特定される情報を含んでいないが、それらが対応するタイルを持っていないとすれば、これが発生している理由は全く明らかではない。
 他のトラフィックは、多少厄介なように見える。Windows 10は定期的に、ssw.live.comと名付けられたMicrosoftのサーバにデータを送信するだろう。このサーバは、OneDriveと他の幾つかのMicrosoftのサービス用に使用されているようである。Windows 10は、OneDriveを無効にし、ログインにMicrosoftアカウントに接続しないローカルアカウントを使用した場合でさえ、このサーバに情報を送っているようである。送信される情報の厳密な性質は明らかになっていない(これはテレメトリ設定を参照しているように見える)、そして再び、この様なデータが送信されている理由は全く明らかではない。我々はグループポリシーを使用して、テストマシンのテレメトリを無効にした。


 クリックすると拡大します。我々は、ここで何が起きているのか全く分からない。

 最後に、幾つかのトラフィックは、全く不可解に見える。我々は、テスト用の仮想マシンにHTTPとHTTPSプロキシ(共に、ユーザレベル プロキシとシステムワイド プロキシとして)を使用するように設定したので、我々は、より簡単に、そのトラフィックをモニターできたが、Windows 10は、このプロキシをバイパスするコンテンツ配布ネットワークにリクエストしているかのようである。
 我々はMicrosoftに、この追加のコミュニケーションを無効化する方法があるか否か、あるいは、その目的は何なのかということに関する情報を質問した。我々は、「サービスとしてWindows 10を配布する一部として、アップデートは、Bing検索への進行中の新しい機能(新しいビジュアル レイアウト、スタイル、検索コードのような)を提供するために配布されるかもしれない。クエリーや検索に使用されたデータは、顧客が選択したプライバシー設定に従って、Microsoftに送信されない。これはまた、アプリケーション、ファイル、デバイス設定のようなアイテムに関するオフライン検索にも適用される」と告げられた。これは、我々が確認したことを含んでいる(クエリーや検索データは伝達されていなかった)が、多分、多くの人々の予測に逆行している。Web検索とCortanaが無効化されているなら、我々は、多くの人々が行う推論は、スタート メニュー検索は、全くインターネットに到達しないだろうということである。しかし、それは到達している。このトラフィックは、無害であるが、マシンIDを包含することは、それに疑いの様相を与える。
 我々は最近、オペレーティングシステムがプライバシー機能を取引することを続けるだろうということを最近議論した。多くのユーザ(多分大多数さえ)にとって、この取引は価値があるだろう。Cortana、ファイルのクラウド同期、パスワード、設定のようなサービス、そして多くの他のモダン オペレーティングシステム機能は全て価値がある。そして、多くはプライバシーの損害は、支払うために容認できる価格であると感じている。しかし、この逆の側面は、それらを使用したくない人々のために、これらのサービスを無効化するということは、本当にそれらを無効化することでなければならないということである。Windows 10は、今まさに、これを全く実行していない。

落とし穴: Lenovoは削除不可能なクラップウェアをWindowsラップトップ中に詰め込んでいた(それをBIOSに隠蔽することによって)
The Register : Security (2015/08/12)
 解析したところ、Lenovoが予期しない悪用の可能性のあるセキュリティ脆弱性をもつ削除不可能なソフトウェアをラップトップに同梱して販売していた。
 このクラップウェアは削除されたり、あるいはハードドライブが消去されたり、Windowsがスクラッチから再インストールされたりすると、このラップトップのファームウェアは、内密にそして自動的に次のブート時にLenovoのソフトウェアを再インストールする。
 このラップトップのマザーボードに組み込まれているファームウェアは、Lenovo Service Engine (LSE)と呼ばれるコードの一部である。Windowsがインストールされると、LSEはMicrosoftのオペレーティングシステムが起動する前に実行される。  LSEは、C:¥Windows¥system32¥autochk.exeがautochk.exe のLenovoの改造物であることを確認する。Microsoftの公式バージョンが存在したなら、それを邪魔にならないところに移動させ、、そして、置き換える。この実行ファイルは起動時に実行される。そして、如何なる改造からも無縁であることを確実にするために、そのコンピュータのファイルシステムをチェックすると思われている。
 このシステムファイルのLenovoの改造物は、LenovoUpdate.exeとLenovoCheck.exeが、このオペレーティングシステムのsystem32ディレクトリに存在していることを確実にしている。もしも存在していなければ、起動中に、この実行ファイルを、このディレクトリにコピーする。あなたがこれらのプログラムをアンインストールしたり削除したりしても、このファームウェア中のLSEは、次のコールドブートもしくは再起動の間に、それらを復元する。
 LenovoCheckとLenovoUpdateは、完全な管理者権限で起動時に実行される。自動的にと言うより不作法に、これらは、ドライバ、システム「最適化」、Lenovoがあなたのコンピュータ上に欲する他のありとあらゆるものをダウンロードするためにインターネットに接続する。Lenovoのソフトウェアは、実行中のシステムの詳細を、この中国の大企業のホームに通信する。
 これを達成するために、LSEはMicrosoftのWindows Platform Binary Table (WPBT)機能を利用している。これは、PC企業やIT企業が、ドライバ、プログラム、他のファイルを、マザーボードのファームウェアからWindowsオペレーティングシステムに挿入することを可能にするものである。WPBTは、このplatform binaryと呼ばれる実行ファイルが実行するメモリ中の場所をWindowsに告げる。言われている実行ファイルは、オペレーティングシステムが起動する前にファイルをインストールする仕事の世話をする。
 「オペレーティングシステムの初期化中に、Windowsは、このplatform binaryの物理メモリの場所を取得するためにWPBTを読み込む」とMicrosoftのドキュメンテーションは述べている。
 「このバイナリは、本来のものであり、オペレーティングシステムが初期化されている間にWindows Session Managerによって実行されるユーザモード アプリケーションであることを要求される。Windowsはディスクにフラットイメージを書き込み、そして、Session Managerは、このプロセスを起動するだろう。」
 重大なのは、WPBTドキュメントは以下を強調している。 

WPBTの主たる目的は、そのオペレーティングシステムが変更されたり、「クリーン」な設定で再インストールされたときでさえ、重要なソフトウェアが存続することを可能にすることである。この機能はWindowsのコンテキスト中でシステムソフトウェアを永続的に実行するための能力を提供するために、WPBTベースの解決策は、可能な限り安全であり、悪用可能な条件にWindowsユーザを晒さないことが重要になる。

 なんとまあ。可能な限り安全? このケースではない。セキュリティ研究者Roel Schouwenbergは、LSE中に、このローレベルソフトウェアをセキュリティ侵害し、管理者権限を取得するために脆弱性攻撃できるバッファオーバーフローの脆弱性を発見しレポートした。
 Lenovoがこのバグを学習したとき、Lenovoは、彼等のLSEが、強力なWPBT機能の使用に関するMicrosoftのセキュリティガイドラインに違反していたと決定し、この全部を撤退させた(このLSEソフトウェアはもはや、新しいラップトップには含まれていない)。
 Lenovoは新しいデスクトップマシンからもLSEを撤退させた。このことは、システムデータをホームに通信するが、如何なる特別なソフトウェアもダウンロードしインストールすることはないということは明らかである。
 07月31日こっそりとリリースされたこのツールは、このエンジンが、あなたのマシンに存在すれば、このエンジンをアンインストールするだろう。影響を受けるデスクトップとノートブックモデルのリストは、こちらである。これらの全ては、Windows 7と8.xをインストールして出荷されている。ThinkブランドのPCは、LSEを含んでいないと、我々は告げられている。
 「Lenovo Service Engine (LSE)は、特定のLenovo Notebookシステムで、ユーザがOneKey Optimizerと呼ばれるプログラムのダウンロードを支援するBIOS中のユーティリティである。このユーティリティはまた、非個人的な同定可能なシステムデータをLenovoサーバに送信している。Lenovo、Microsoft、独立系研究者は、このプログラムが攻撃者によって脆弱性攻撃できる方法(バッファオーバーフロー攻撃とLenovoテストサーバーへの接続を企てることを含む)を発見した」と、Lenovoは説明している。
 このPC企業は、以下を続けている。

 LSEは、Microsoft Windows Platform Binary Table (WPBT)互換を使用している。Microsoftは、この機能を最高に実装する方法に関するアップデートされたセキュリティガイドラインを最近リリースした。LenovoのLSEの使用は、これらのガイドラインに一致しなかった、そこで、Lenovoは、LSEを無効化し、このシステムからLSEファイルを削除する無効化プログラムを実行することによって、このユーティリティを顧客が無効化することを推奨する。
 このLSE機能は、新しく生産されたシステムからは既に削除されている。

 この非を認めることなくして、ユーザが、このファームウェアからルートキットのようなエンジンを削除することは実際には不可能であっただろう。The Registerは、他のメーカーが同じようにWPBTを使用することにないように希望する。

違反

敢えて言うなら、彼等のマシン上に、この気味の悪いコードを発見したネット市民は、不快である。
 「私は数週間前に、新しいSSD、Windows 8 DVD、そしてWi-FiをOFFにしてクリーンインストールを実行した新しいLenovoラップトップで、この問題が発生した」と、新しいコンピュータ上に突然現れたLenovoのバンドルウェアに気がついたことに関して、chuckupと呼ばれるHacker Newsユーザは、火曜日に発言している。
 「私は、Lenovoのサービスがインストールされ実行されている方法を理解できなかった。そのファイルを削除した、そして、再起動すると再び出現した。私は今迄に、この様なものを決して見たことはない。Lenovoを購入する前に考えるべきことである。」
  気がかりなことは、これらの全てが、殆どMicrosoftのものであるかのように意図していることである。WPBTは、苦労することなくドライバとプログラムをオペレーティングシステムに挿入することを可能にする技術である。これは、盗難対策ツール(盗まれた際、インターネットを介してシステムを無効化することができる)のようなもののように使用されることが想定されている。
 しかし、これはルートキットの開発とインストールを、番号に従って色を塗る(painting-by-the-numbers)練習に変換する。Lenovoは、このエンジンが糞セキュリティを持っていたために捕まった。どうやら、MicrosoftがLenovoに、このエンジンを殺すように圧力をかけたようである。
 数十年間、我々がコンピュータの制御を失ったことを警告してきたFree Software Foundationの最高指導者に言及して、「Richard Stallmanは、このように発見にだんだん関心を失っているようである」と、他のHacker News投稿者は記している。
 メーカーが、基本的に彼等のマシンをルートキットすることを考えることは、如何に悪いことになるかという証左である。
 これはLenovoのSuperfishスキャンダル(Lenovoが、中間者盗聴のためのアドウェアをラップトップに同梱して出荷していた)に立ち戻る。悪漢共は、Webサイトへの犠牲者の暗号化された接続を嗅ぎ回るためにバンドルされているクラップウェアを悪用することができた。
 我々は、MicrosoftにWPBTの機能の背後にある考えを説明するように求めた。Microsoftは直ちに回答することはできなかった。

Windows中の脆弱性は、攻撃者がUSBドライブをブービートラップすることを可能にしている
Bitdefender : HOTforSecurity (2015/08/12)
 伝えられるところによると、Windowsの全てのバージョンに発見された新たな脆弱性が、インターネット上での攻撃があった後、Microsoftによってパッチされた。このMount Managerコンポーネントは、攻撃者がUSBをブービートラップすることを可能にし、Windowsマシンがマウントされたとき、悪意あるコードを実行することを可能にしていた。
 「Mount Managerコンポーネントが不適切にシンボリックリンクを処理したときに、特権の昇格の脆弱性が存在している。この脆弱性攻撃に成功した攻撃者は、ディスクに悪意あるバイナリを書き込むことができ、それを実行することができる」と、セキュリティ情報は述べている。
 Microsoftのセキュリティ情報MS15-085で「重要」として記されているこの脆弱性は、攻撃者が悪意で細工したUSBデバイスでエアーギャップされたシステムに感染することを可能にする。これはリモートからの脆弱性攻撃でもなく、限定的な攻撃の範囲を提供しているだけであるが、Microsoftはインターネット上で成功裏に使用されているとレポートしている。
 「マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された時点で、この脆弱性がお客様に対する標的型攻撃で使用されたことがあると信じるに足る根拠を得ていました」とMicrosoftは発言している。
 Microsoftはまた、パッチされたシステム上でこのバグを攻撃しようとする企てをログするために設計されたツール(この脆弱性を攻撃しようとする企てを検出する支援となる)のリリースをアナウンスしている。この目的を達成するために、イベント審査企業は、彼等をターゲットにしたこの種の脅威により優れた見通しを持つだろう。
 「この脆弱性に依存する悪意あるUSBが、システム上でマウントされる度に、このイベントログは引き起こされる。そのようなイベントが記録されたなら、この脆弱性を攻撃しようとした企てがブロックされたことを意味している」と、MicrosoftのSecurity Research and Defense Blogは述べている。
 緩和要因や解決策は特定されていないが、Microsoftは、全ての顧客にこのアップデートをインストールするように促している(Windows 10の累積アップデートでも現在利用できるようになっている)。

AdobeとMicrosoftがパッチをリリース
KrebsOnSecurity : Blog (2015/08/11)
 Adobeは本日、Flash Player中のほぼ3ダースのセキュリティホールをパッチするアップデートをリリースした。Microsoftは、新しいWindows 10オペレーティングシステムを実行しているコンピュータ用の多くの修正を含む、14のパッチのバンドルをリリースした。
 AdobeのFlashに関する最新のパッチ(今年だけで1ダース以上リリースされている)は、FlashとAdobe Air中の少なくとも34の個別のセキュリティ脆弱性を修正している。有難いことに、Adobeは、今回、このリリースで解決されたフローのどれも、悪意あるハッカーによる活発な攻撃は認められていないと発言している。
 Adobeは、WindowsとMacintoshのFlash Playerのユーザに、バージョン18.0.0.232にアップデートするよう推奨している。Google ChromeにインストールされているFlash Playerは、自動的に最新のGoogle Chromeバージョンにアップデートされる。これはWindows版とMacintosh版では、バージョン18.0.0.232を含み、Linux版とChrome OS版では18.0.0.233を含んでいる。
しかしながら、私は、あなたがFlashを使用しているのであれば、強くそれを削除することを、もしくは少なくとも、必要になるまで、そして、必要な場合を除いて、Flashを妨げるように強く推奨する。ChromeでFlashを無効化することは大変簡単であり、簡単に有効化することができる。 Windows, Mac, Linux, Chrome OSで、アドレスバー中に"chrome:plugins"とタイプし、プラグインのページでリストされている"Flash"を探す。Flashを無効化するには、「無効にする」リンクをクリックする(「有効にする」をクリックすると、それは再び有効になる)。Windowsユーザは、プログラムの追加と削除から、もしくは、AdobeのFlash Player用のアンインストーラを使用してFlashを削除できる。
 あなたがFlashを完全に削除することに懸念を持っているのであれば、二つのブラウザでのアプローチを考慮しなさい。Flashを搭載していないブラウザを、毎日のWebサーフィンに使用し、Flashを搭載している二つ目のブラウザでは、Flashを要求するサイトのためだけに使用しなさい。
 あなたがFalshと共にアップデートして進むことを決定したのであれば、Flashの最新版はFlashホームページから利用可能であるが、Mcafee Security Scanのような望みもしないアドオンに気をつけなさい。これを回避するには、ダウンロードする前のプレ・チェックボックスでチェックを外しなさい。あるいは、こちらから、OSに固有のFlashダウンロードを入手しなさい。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを複数回適用しなさい。一度目はIEに、さらに代替ブラウザに(Firefox、Opera等)。

Microsoft

 MicrosoftがWindows 7と8の顧客に無料アップグレードとしてWindows 10をリリースした直後であるが、セキュリティ企業Qualysのtallyによると、本日リリースされたパッチの凡そ40%は、Windows 10に対して適用されている。そこにはMicrosoftがInternet Explorerに代わることを望んでいるブラウザ Microsoft Edge用のアップデートさえ存在している。
 それにも拘らず、IEには、独自の緊急のアップデートがあり(MS15-089)、これは少なくとも13のフロー(大部分は、ユーザの手助けなくリモートから脆弱性攻撃可能であったものであり、ハックされた、あるいは悪意あるサイトへの訪問から助け出すものである)を解決している。
 他の注目すべきアップデートは、Microsoft Office中の怖い様相のフロー(MS15-081)へのパッチである。Qualysは、Officeパッチ中で修正されたフローの最悪なところは、自動的に引き金を引かれるところにあった(例えば、Outlookのe-Mailプレビュー ペイン)と発言している。
セキュリティ企業Shavlikによると、インターネット上で活発に攻撃されている二つのフローが、本日のMicrosoftのリリースで修正された。一つはOfficeパッチ(CVE-2015-1642)で修正され、他の一つはWindows自身に存在していた(CVE-2015-1769)ものである。本日修正された幾つかの他の脆弱性は、以前に公開されている、これは、我々が直ぐに、これらのバグの公共での悪用を見ることになるであろうリスクを増加させるものである。
 あなたがWindowsを稼働しているのであれば、あなたのデータをバックアップするための時間を直ぐに取り、システムをアップデートしなさい。今迄通り、あなたが、これらのアップデートの何れかを適用した結果、問題に遭遇したなら、コメントセクションに、あなたの経験を残しなさい。

Firefoxの0-Dayのセキュリティホールは、WindowsとLinuxでパスワードを盗むために使用されていた
Sophos : NakedSecurity (2015/08/07)
今日、Firefoxのアップデートは日常的に発生している。そして、あなたは、そのことについて殆ど考えていない。
 まして、それらが「脆弱度低」と呼ばれるものだけをカバーしており、リモートコード実行(RCE)のセキュリティホールでないのなら、あなたはアップデートについて多分考えないだろう。
 RCEは、サイバー犯罪者が、あなたが気がつくことなく、そして、あなたが、トラブルを回避することができるかもしれない、如何なるOK/Cancelポップアップを見ることもなく、あなたのコンピュータにマルウェアを植え付ける場所である。
 しかし、「緊急度低」の脆弱性の場合でさえ、情報公開(彼らの最も緊急の形式でデータまたは個人情報の盗難を導くセキュリティホール)として知られていることを発生することができる。

緊急アップデート

 データの盗難は、Firefoxの緊急のアップデートをアナウンスした、2015/08/06に公開したブログポストにおいてMozillaが警告していることである。

     あなたが通常バージョンを使用しているのなら39.0.3を持っていることを、もしくは、あなたが拡張サポートリリースにこだわっているのであれば、ESR38.1.1を持っていることを確実にしなさい(バージョン番号は、2015/08/07協定世界時21:00に修正されている)。

 このセキュリティホールは、Firefox中の非常に便利な組み込みPDFビューワ(JavaScriptプログラムとしてFirefoxに実際に実装されているために、口語的にPDF.jsとして知られている。プラグインを要求しない)中に存在している。
 このバグは、攻撃者が任意の実行コードを稼働することを許可しないので、マルウェアを植え付けるために使用することはできない。
 しかし、この脆弱性は、犯罪者が外部からあなたのブラウザ中のJavaScriptに餌を与え、あなたが恰もそれをローカルで実行したかのように稼働することは可能である。
 言い換えると、このバグは、犯罪者が、発生していることに関して何らの明らかな兆候を見せることなく、あなたのコンピュータから重要なデータを盗むことを可能にするものである。

Same Origin Policy(同一生成元ポリシー)をバイパスする

 あなたが多分認識しているように、あなたのブラウザ中のSame Origin Policy(SOP、同一生成元ポリシー)と呼ばれるセキュリティ機能は、サイトXのJavaScriptがサイトYに属している個人データへのアクセスを防止することを想定している。
 或るWebページのJavaScriptが、他のWebページのデータにアクセスすることが不可能なら、それは、間違いなく、あなたのハードディスク上に格納されているローカルファイルへのアクセスも不可能である。
 しかし、この脆弱性攻撃において、ローカルファイルは、こっそり取得され、持ち出されることができる。
 Mozillaによると、さらに悪いことに、このバグは、犯罪者が、この脆弱性への攻撃を開始したことで認識された。
 ロシアのニュースサイトに出現した毒性広告は、明らかに、あなたが、開発者が所有したいと思っている、ある種のパスワードと設定ファイルを求めるために使用されていた。

WindowsとLinuxが攻撃されている

 Mozillaは、ブービートラップされた広告ネットワークが、真のデータを収集する祝宴を開始したと主張している。
 Windowsに関して、犯罪者は以下を求めている。

    ・ Subversion, s3browser, Filezilla設定ファイル。これらは、開発者が彼らの知的所有権を保持しているソースコード リポジトリである。
    ・ Psi+とPidginのアカウント情報。開発者がチャットやファイルの転送に使用する可能性のあるインスタント メッセージ クライアント。
    ・ 8つの異なるFTPクライアント用の設定データ。FTPもしくは、その安全な姉妹版SFTPは、ファイルのレポジトリやコンテント マネージメント システムから、ファイルのアップロードやダウンロードにしばしば使用されている。

 Linuxに関して、犯罪者は以下を求めている。

    ・ /etc/passwd のようなグローバル設定ファイル。このパスワードファイルは、もはや、実際のパスワードを格納していないが、そのコンピュータに関する全てのユーザアカウントをリストしている。
    ・ .bash_history, .mysql_history, 秘密鍵を含む .ssh ファイルのようなユーザ ホームディレクトリ中のファイル。あなたのSSH鍵を盗むことは、犯罪者が、あなたが通常使用している全てのサーバーに直接ログインすることを可能にする。
    ・ パスやアクセスを含む名前付きのテキストファイル。これらはパスワードのような平文の秘密を含んでいるかもしれない。
    ・ 全てのシェル スクリプト。これらは、パスワードや、安全なシステムやサービスに自動アクセスするために必要とされる重要な情報を含んでいる。

 要するに、犯罪者は、彼らが、後で都合の良いときに戻るために、そして、ネットワーク越しに至る所にある重要な情報を吸い上げるために使用できるデータの背後にいる。
 (彼らが戻ってきたくないのであれば、彼等は多分誰かに、あなたの秘密を売ってかなりの金額を得ることを希望するだろう)

実行することは何か?

    ・ Firefoxを直ちにアップデートしなさい。
    ・ 上述のファイル中で露にされているかもしれない全てのパスワードの変更を考慮しなさい。(より正確なリストに関してはMozillaのブログを参照)
    ・ Linuxに関しては、あなたのコマンドの履歴は、しばしばパスワードや他の重要なデータを露にするので、Bashや他のプログラム中の”history”機能をOFFにしなさい。
    ・ 二要素認証を考えなさい、そうすることで、盗まれたパスワードだけでは、犯罪者はあなたに代わってログインすることはできない。

気をつけろ! そのWindows 10アップデートメッセージは、身代金要求マルウェア(ランサムウェア)の偽装かもしれない
Emsisoft : Blog (2015/08/05)
 新しいウィルスが野放しになっており、Windows 10アップデートを待っているユーザを標的にしている。CTB (Curve-Tor-Bitcoin) Lockerの変種が現在、Windows 7と8ユーザに異常な速さでダウンロードされている。あなたがWindows 10アップグレードを待っているのであれば、以下の詳細を読み、e-Mail添付ファイルからのダウンロードにあたり注意するようにしなさい。

それはe-Mailで始まる

 この新たな脅威は、あなたのシステムに向かって進むズル賢い方法を持っている。多くの人々が、Windows 10アップデートを切に待ち望んでいるが、詐欺師達は、人々を欺いて身代金要求型マルウェアをダウンロードさせる説得力のあるe-Mailキャンペーンを開発した。


 攻撃用e-Mailのスクリーンショット(Cisco Blogより)

 見ての通り、このe-Mailは、信頼あるe-Mailアドレス(update@microsoft.com)同様の適切なカラースキームを持っている。詐欺師達は、受信者に誤ったセキュリティの感覚を与えるかもしれない小さな注意書きを、その末尾に含めてもいる。


 騙されるな! このe-Mailは安全ではない(Cisco Blogより)

彼らは次に、金銭を要求する

 疑うことを知らない犠牲者が、このインチキのアップデートを彼らのコンピュータにダウンロードし、実行すると、彼らは以下のメッセージを見ることになる。


 CTB-Lockerのメッセージ(Emsisoftより)

 この犠牲者は、彼らのファイルが暗号化され、開くことができないことを発見するだろう。殆どの身代金要求型マルウェア同様に、復号キーは感染させられたシステム上には存在していない。伝えられるところによると、この犠牲者は、復号コードを破壊されるまで96時間の猶予を持っている。破壊される前に復号コードを入手する唯一の方法は、法外な$200USD(約25000円)を支払うことである。

早期の検出が鍵である

 あなたが最新のWindows 10へのアップデートを熱望しているのと同様に、多くのサイバー犯罪者が、あなたを利用するために待っていることに気をつけなさい。ミスタイプ、奇妙な文字、上のフィッシングメールの場合では、世界の予期せぬ地域からのIPアドレス(この場合は、タイ)のe-Mailに気をつけなさい。
 あなたがMicrosoft representativeと名乗るものの付きの何らかの情報連絡を疑うのであれば、双方向通信に入る前にカスタマサポートにコンタクトしなさい。
あなたが、まだ持っていないのであれば、利用可能な最高のアンチマルウェアを装備しなさい。あなたが身代金要求型マルウェアをダウンロードした恐れがあるが、まだ実行していないのであれば、即座にEmsisoft Anti-Malwareを配備し、あなたのシステムから不潔なウィルスを削除しなさい。
 さもなければ、用心深くオンラインに滞在し、バックアップシステムのアップデートを確実にしなさい。

Windows 10へのラッシュは、PCをSpy Trojanに感染させている
Kaspersky : SecureList (2015/08/05)
 Windows 10への高い要求のために、Microsoftは徐々にWindows 10をリリースしている。これは取り分け特定の国に適用されている。Microsoftブラジルの公式のWebサイトは、それを確認している(左の画像)。ブラジルのサイバー犯罪者は、これを悪用し、ユーザに対して“get your copy now”(さあ、Windows 10を取得しよう)というインチキのオプションを提供する公式のデザインと全く同一のスパムキャンペーンを実行中である(右の画像)。

 犠牲者が“Instalador Windows 10″ (Windows 10 Installer)をクリックすると、エンコードされたVBEスクリプトをシステムにダウンロードする。

 これは、エンコード用の正当なMotobitソフトウェアを使用した、base64エンコード スクリプトである。

 一旦、実行されると、これは、そのシステムにメインのトロイ-スパイ コンポーネントをドロップする。これらはまた、コードの内部でブラジル系ポルトガル語のおかしげな俗語を使用している。

 ドロップされたメインのバンカー モジュールは、キーストロークとクリップボードからデータを盗む機能を含んでいる。さらに、リモートセッションと幾つかのアンチ仮想マシン用のバックドア能力を持っている(デバッグするテクニック)。
 Kasperskyアンチウィルスは、当初のVBEスクリプトをTrojan-Downloader.VBS.Agent.aokとして検出する。
 最近、我々はブラジルにおいて、VBS/VBEスクリプトが急増していることに気がついた、私の同僚Fabio Assoliniは、現在ブラジルでVBEマルウェアが広範に拡散していることについてブログにポストしている。

サービス サイトとしての新しい身代金要求型マルウェアが、加入者に身代金要求型マルウェア計画を推進している
BleepingComputer : General Topic>News (2015/07/28)
 RaaS(もしくは、Ransomware as a Service)と呼ばれる新しい身代金要求マルウェアが発見された。この身代金要求マルウェアは、アフィリエイト(加入者)が身代金要求マルウェアを生成し、、彼らが望むときに配布することを可能にするものである。この身代金要求マルウェア アフィリエイト システムは、TORネットワーク上にホストされており、訪問者が単純に、彼らが支払いの受け取りを希望するビットコインのアドレスと、身代金を請求したい金額を単に入力することによって身代金要求マルウェア実行ファイルを作成することが可能である。RaaS開発者は、料金を集め確認し、復号器を発行し、身代金をこのアフィリエイトに送信するという残りの作業を実行する。このサービスで、RaaS開発者は、収集した身代金の20%を取得する。

このシステムは、このサービスが、品のないセットアップと実在しないアフィリエイト コンソールを持っていることを除き、過去に見てきたToxと呼ばれる別のアフィリエイト身代金要求マルウェアに類似している。実際に、アフィリエイトは、彼らの身代金要求マルウェアが、どのくらいインストールされたのかを決定するには、彼らの所有する配布方法に頼らなければならず、RaaS開発者が届けてくる身代金を信用しなければならない。
 実行ファイル中に発見された興味ある文字列は、この身代金要求マルウェアの一部もしくは全体がJavaで記述されていることを示している。この実行ファイルを検証すると、Javaプログラミング言語用のGNUコンパイラの一部であるlibgcj-16.dll(もしくは、GCJとして知られる)への参照がある。GCJは、Javaプログラムを本来のWindows実行ファイルにコンパイルすることを可能にする。この身代金要求マルウェアが実際にJavaでプログラムされているのであれば、我々が、この方法で作成されたものを、初めて確認したことになる。
 この身代金要求マルウェア実行ファイルの配布は、アフィリエイトに任せられているので、この身代金要求マルウェアに関する特定のファイルの場所も特定の感染方法も存在しない。この身代金要求マルウェアがインストールされると、特定の拡張子をベースにしてファイルを暗号化する、そして、この暗号化方法は、現在未知のカスタム暗号化方法を使用している。暗号化されたファイルは、それらのオリジナルの拡張子を維持している。ターゲットになっているファイル拡張子は以下である。

    abw,accdb,ai,aif,arc,as,asc,asf,ashdisc,asm,asp,aspx,asx,aup,avi,bbb,bdb,
    bibtex,bkf,bmp,bpn,btd,bz2,c,cdi,cer,cert,cfm,cgi,cpio,cpp,crt,csr,cue,
    c++,dds,dem,dmg,doc,docm,docx,dsb,dwg,dxf,eddx,edoc,eml,emlx,eps,epub,
    fdf,ffu,flv,gam,gcode,gho,gif,gpx,gz,h,hbk,hdd,hds,hpp,h++,ics,idml,
    iff,img,indd,ipd,iso,isz,iwa,j2k,jp2,jpf,jpeg,jpg,jpm,jpx,jsp,jspa,jspx,
    jst,key,keynote,kml,kmz,lic,lwp,lzma,m3u,m4a,m4v,max,mbox,md2,mdb,
    mdbackup,mddata,mdf,mdinfo,mds,mid,mov,mp3,mp4,mpa,mpb,mpeg,mpg,mpj,
    mpp,msg,mso,nba,nbf,nbi,nbu,nbz,nco,nes,note,nrg,nri,ods,odt,ogg,ova,
    ovf,oxps,p2i,p65,p7,pages,pct,pdf,pem,phtm,phtml,php,php3,php4,php5,
    phps,phpx,phpxx,pl,plist,pmd,pmx,png,ppdf,pps,ppsm,ppsx,ppt,pptm,pptx,
    ps,psd,pspimage,pst,pub,pvm,qcn,qcow,qcow2,qt,ra,rar,raw,rm,rtf,s,sbf,
    set,skb,slf,sme,smm,spb,sql,srt,ssc,ssi,stg,stl,svg,swf,sxw,syncdb,tar,
    tc,tex,tga,thm,tif,tiff,toast,torrent,tpl,ts,txt,vbk,vcard,vcd,vcf,vdi,
    vfs4,vhd,vhdx,vmdk,vob,wbverify,wav,webm,wmb,wpb,wps,xdw,xlr,xls,xlsx,
    xz,yuv,zip,zipx

 最後に、この身代金要求マルウェアが、あなたのファイルの暗号化を終了すると、このマルウェアは、あなたのデスクトップにencryptor_raas_readme_liesmich.txtと呼ばれる脅迫文を作成する。
 この脅迫文は、あなたのファイルに何が発生したことに関する情報と、支払いサイトへのリンクを含んでいる。これらの指示は、英語とドイツ語の両方が存在している。
 encryptor_raas_readme_liesmich.txtの例を以下に示す。

    ATTENTION!
    The files on your computer have been securely encrypted by Encryptor RaaS.
    To get access to your files again, follow the instructions at:
    https://decryptoraveidf7.onion.to/vict?cust=&guid=

    ACHTUNG!
    Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
    Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
    https://decryptoraveidf7.onion.to/vict?cust=&guid=

 最後に、この身代金要求マルウェアは、あなたが送信しなければならないビットコインの量と、あなたが送信する必要のあるビットコイン アドレスに関する情報を提供しているEncryptor RaaS Decryptorと題されたTOR支払いサイトを開くだろう。以下に一例のページを示す。

 この身代金要求マルウェア自身は、シャドーボリュームコピーを削除しない、もしくは、暗号化されたファイルの安全な削除を実行しない。したがって、アフィリエイトが、これらのタイプの保護を、彼らの配布方法に取り込んでいる場合を除いて、Shadow Explorerやファイル リカバリソフトのようなプログラムを使用して、あなたのファイルを復元することは可能である。以下、謝辞につき省略。

ホームユーザ及び企業にとってWindows 8.1用のベスト アンチウィルスは?
Graham Cluley : News (2015/07/27)
 評価の高いアンチウィルス テスト組織AV-Test.orgが、今月初めWindows 7で実行した企業用セキュリティ製品に対して行われたテストの結果をリリースした。これは、コメントセクションで大騒ぎを発生させた。
 大方のホームユーザからの疑問は、これが、「企業用」アンチウィルス製品のテストであることを適切に読み取っていなかったことであり、彼らのお気に入りのホームユーザ用アンチウィルスが含まれていなかった理由からである。
 そこで、私は喜んでAV-Test.orgの最新のテスト結果(彼らがWindows 8.1で、企業用とホームユーザ用のアンチウィルス製品の保護、パフォーマンス、ユーザビリティを検証している)を共有することにする。
 テストされた製品は、AhnLab, Avast, AVG, Avira, Bitdefender, Bullguard, Comodo, ESET, F-Secure, G Data, K7 Computing, Kaspersky Lab, Intel/McAfee, Microworld, Norman, Quick Heal, Microsoft, Panda Security, SentinelOne, Seqrite, Sophos, Symantec/Norton, ThreatTrack, Trend Microを含んでいる。
 以下にホームユーザ用のアンチウィルス製品に関する要約を示す。Avira, Bitdefender, Kasperskyが、Topの栄誉に輝いたことを表している。

以下に企業用のアンチウィルス製品の図を示す。BitdefenderとKasperskyが金メダルを獲得している。

 殆どの製品は、このテストで比較的良好なパフォーマンスを呈しているが、唯一真に不安なパフォーマンスをMicrosoftが呈している。企業用のテストで一つの興味あるエントリが、「次世代」セキュリティ製品とも呼ばれるSentinelOneであった。その信頼性に関して、SentinelOneは、他の著名なアンチウィルス製品に続いて、良いパフォーマンスを呈している。

     唯一の例外を除き、参加したエントリは、誤検出、スキャン スピード / パフォーマンス不良に関する大きな問題を持っていなかった。今までで初めての「次世代」セキュリティ製品は、SentineOneの末端保護セットを含んでいた。この結果は、この製品が従来のアンチウィルス製品に負けないでついて行っていることを証明している。

 AV-Test.orgは、エントリされた製品の殆どが、大多数の未知のマルウェアと、それらに投げつけられた0-Dayの脅威を検出したと報道している。

     「殆どのツールのマルウェア保護は、全ての0-Dayの凡そ98-99%をブロックしているので、良好なレベルとして容認できる。」 

 もちろん、製品がAv-Test.orgのテストにおいて100%のスコアであった場合でさえ、アンチウィルスソフトウェアが完全ではないことを、そして、あなたのWindowsコンピュータを安心安全に保持するための答えの一部であることを心に留め置くことは価値あることである。
 あなたは多重防御を適用することによってマルウェアによるコンピュータ攻撃の機会を減少することができる。 これは、あなたのユーザをトレーニングする、セキュリティ アップデートをインストールする、あなたのアンチウィルス ソフトウェアの高度な機能を設定する、Adobe Flashのような一般的に攻撃されているプラットフォームを無効化することで攻撃される表面を減少する、このようなことを合体させたものである。
 さらに、或るアンチウィルスが、このテストで良いパフォーマンスを示しているからといって、それがあなたにとっての最善の選択肢であることを、必ずしも意味していない。可能なら、それらが、あなたの企業ネットワークやホームコンピュータにとって最適であるか否かで製品を評価しなさい。
 完全な結果は、AV-Test.orgのWebサイトの関連セクション(ホームユーザビジネスユーザ)中に発見することができる。
 あなたのアンチウィルスのパフォーマンスはどうだったろうか? コンピュータをマルウェアから安全に維持するために、あなたが信頼する製品は何か? 以下にコメントを残されたい。

Microsoftがパッチの最終期限を逃した後、四つの新しいIE RCE脆弱性が露にされた
The Register : Security (2015/07/23)
 MicrosoftはInternet Explorer中の四つの緊急の0-Dayを修正するための期限を切らしていた。そして、HP(ヒューレットパッカード)のZero Dayイニシアチブ(ZDI)に、如何なるダメージの詳細も明かにすることなく、それらの存在を明らかにすることを促してしまった。
 四つのフロー全ては、脆弱性の最も深刻は階級である、リモートコード実行(即ち、悪意あるコードの挿入)のリスクが存在している。このフローの存在は、パッチが公開される前に露にされた。Microsoftは、ZDIがこの種類の脆弱性の公開を強制する120日の修正期限を越えてしまった。
 これは、大きな問題ではないし、独立系セキュリティ バグ専門家によると、この脆弱性をベースにした攻撃の兆候もないので、表面上警戒する必要もない。
 「現時点で脆弱性攻撃コードが存在しているわけでもなく、詳細が殆ど明かにされていないので、この脆弱性をリバースエンジニアリングすることも困難である」と、Wolfgang Kandek(クラウド セキュリティ企業QualysのCTO)は、簡潔なブログへの投稿において説明している。
 長年続くZero Dayイニシアチブ(TippingPointを買収したHPによって設立された)は、責任をもって脆弱性を明かにした研究者に報奨を与えている。
 TippingPointは、影響を受けるベンダに通知すると同時にIPS(【訳注】 Intrusion Protection System、侵入防止システム)保護フィルタを開発しているので、このソフトウェア開発者は、パッチを開発することができる。これは、修正の配布のずっと前に、HP Tripping Pointの侵入防止キットの顧客は、通知された脆弱性に依存する攻撃に対して防御できることを意味している。

Micorosoft、定例外のパッチをリリース
The Register : Security (2015/07/20)
 Microsoftは、Windowsのサポートされている全てのバージョン用の緊急のセキュリティアップデート(リモートコード実行の脆弱性を修正する)をインストールするよう全ての人を促している。
 この脆弱性の詳細は、スパイウェアメーカーHacking Teamからオンラインにリークされた内部メモを注意深く読んだセキュリティ研究者によって発見されMicrosoftに通知された。これは、Hacking Teamファイル(先週Microsoftによってパッチされた)から露にされた、Windows中の権限の昇格に関する欠陥と、Internet Explorer中のリモートコード実行のバグに続いている。
 この最新の深刻なセキュリティフロー(MS15-078)は、Windows Adobe Type Manager中に横たわっており、マルウェアでPCを感染させる等し、攻撃者がそのPCをハイジャックするために脆弱性攻撃することができる。ドキュメントを開いた、もしくは、埋め込まれた悪意あるOpenTypeフォントファイルを含むWebページを開いた犠牲者は、この脆弱性を攻撃される。
 通常、Microsoftソフトウェア用のセキュリティパッチは、毎月第二水曜日(日本では第二木曜日)に一纏めにしてリリースされる。本日、Microsoftは、そのオペレーティングシステム用の緊急のアップデートを発行を強いらされた。
 このセキュリティフローは、Microsoftがカーネルモードでフォントドライバを実行しているために、大きな影響力を持つ。これは、ライブラリの一つが不良データを食わされたなら、全オペレーティングシシテムがセキュリティ侵害されることを意味している。Microsoftは、そのアドバイザリで以下のように説明している。

    ・ 成功裏に脆弱性を攻撃した攻撃者は、影響を受けたシステムの制御を完全に奪うことができる。次に、攻撃者はプログラム(データを閲覧、変更、削除したり、完全なユーザ権限で、新しいアカウントを作成したりするための)をインストールすることができる。
    ・ 攻撃者が、この脆弱性を攻撃する方法は複数ある(特別に細工されたドキュメントをユーザが開くように説得したり、あるいは、埋め込まれたOpenTypeフォントを含む危険なWebページを訪問するように説得することによって)。このアップデートは、Windows Adobe Type ManagerライブラリがOpenTypeフォントを取り扱う方法を正しくすることによって、この脆弱性を解決する
    ・ このセキュリティ ブレチンが発行されたとき、Microsoftは、この情報が公開されたことを示す情報を持っていたが、この脆弱性が顧客を攻撃するために使用されたことを示す情報は持っていなかった。我々の解析は、攻撃者が一貫してこの脆弱性を攻撃することができる方法で、脆弱性攻撃コードを作成することができることを示していた。

 Google Project ZeroのMateusz JurczykとFireEyeのGenwei Jiangは、この最新のOpenTypeライブラリ フロー(CVE-2015-2426)を発見したことによってMicrosoftに感謝された。
 FireEyeのスポークスマンは、The Registerに対して、このバグが、ハッカーによって7月初めにオンラインにリークされたHacking Teamの内部ファイルから出たことを確認した。「これは、我々がHacking Teamの漏洩から発見し、Microsoftに通知したものである」と、彼は追加した。
 Microsoftのconfidential Advance Notification Serviceに登録している会社のシステム管理者は、週末にかけて、定例外のパッチが、07月20日(月)米国西海岸標準時10:00(協定世界時17:00、日本標準時 火曜日02:00)到着すると警告されていた。この修正は、それを適用した後、再起動を要求されるだろう。
 人々は可能な限り早急に(悪漢共がマルウェアを拡散するためにこの脆弱性を攻撃することを開始し、悲惨さをもたらす遥か前に)このアップデートをインストールするように促されている。
 「大多数の顧客は自動アップデートを有効にしているので、何のアクションもとる必要はない。保護は自動的にダウンロードされインストールされる」と、MicrosoftはIT仲間に警告した。
 「これらを手動アップデートすることになっている場合には、我々は、セキュリティ ブレチンのリリースの後、可能な限り早急に、このアップデートを適用するように強く要請する」
 このパッチは、Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8とWindows 8.1, Windows Server 2012とWindows Server 2012 R2, Windows RTとWindows RT 8.1, Server Coreで利用可能である。しかし、Server 2003とWindows XP用のパッチは、これらオペレーティングシステムが、もはやサポートされていないために、リリースされていない。

願わくば、Javaをアップデートすることを、さもなければ、Javaを削除しなさい
Graham Cluley : News (2015/07/16)
 Javaをアップデートしただろうか?
 コンピュータにJavaを持っているのであれば、取り分け、ブラウザ内部でJavaを有効にしたままにすることを選択しているのであれば、アップデートを実行することが正しいことであるということを、私は意味している。
 Oracleは、火曜日にゴジラ サイズの緊急のパッチをリリースした。これはJava中の、何とも膨大な193に及ぶ新しいセキュリティ脆弱性を修正するためのものである。
 これらの修正の多くは、企業によって使用されるソフトウェアに関してであり、一般的なコンピュータユーザが興味を持ちそうなものではない。
 しかし、このアップデートの中には、多くのコンピュータユーザが、インストールする必要のある25の修正がある。
 このJavaアップデートに含まれているものに、Pawn Stormハッキング ギャングによってインターネット上で積極的に悪用されている、Javaに最近発見された0-Dayに関するパッチがある(CVE-2015-2590) 。
 このセキュリティホールは、二年に渡りJavaを標的にしてきた最初の0-Dayの脆弱性であると考えられるために、特に注目に値した。
 Pawn Stormハッキング ギャング(ある者は、背後に国家が存在していると疑っている)は、時々、米国、パキスタン、ヨーロッパ全域の政府、メディア、軍事組織を目標として、戦略的マルウェアキャンペーンを実行してきた。
 例えば、Pawn Stormのオペレーションは、ホワイトハウスのコンピュータシステムの一部をセキュリティ侵害する攻撃に最近関与していた。
 しかし、あなたが政府、軍、メディア組織のために仕事していなくても、あなたが幾つかの事に怒りを持っている政治的な活動家でなくても、あなたのシステムを保護し、ソフトウェアの最新のバージョンを実行することは常識である。そこで、Javaをアップデートしなさい(アップデートを実行している間、このアップデートが、あなたのコンピュータ上に他のソフトウェアをコッソリ挿入することを許可しないようにしなさい)。
 もちろん、代替方法は、Javaを全く実行しないことである。あなたのコンピュータ上で、このソフトウェアを実行することは、あなたが攻撃される表面を増加させ、ハッカーに攻撃の機会をより多く提供することになる。
 せめて、ブラウザ中のJavaを無効化することを考慮しなさい。
 あなたが、実際に組織内Webサイトを持っている、あるいは、ブラウザでJavaを有効にすることを要求するサイトを訪問するのであれば、あなたのインターネットサーフィン全てに通常使用するブラウザで、このテクノロジをONにしたまま放置しておく代わりに、これらのサイトを訪問する時にだけ使用する二つ目のブラウザを持つことを考慮しなさい。Oracleの緊急のパッチアップデートの詳細に関しては、そのWebサイトを訪問しなさい。

Google Photosは、このアプリケーションを削除した後でさえ、あなたのスナップを掴んだままにしている
Graham Cluley : News (2015/07/15)
 新聞の編集者は、最近、Google Photosが、このアプリケーションをアンインストールした後でさえ、Androidデバイス上に格納されている全ての写真を、バックアップしつづけていることを発見した。
 Nashville Business Journalの編集者David Arnottは、彼の発見は常識に反していると発言している
 「私の電話をステルスGoogle Photosアップローダに変換するために必要とした全てのことは、バックアップの同期をONにし、次に、このアプリケーションをアンインストールすることであった。人々は、電話からアプリケーションをアンインストールすれば、Google Photosへの写真の自動アップロードが停止するだろうと信じているのに対して、このデバイスは、このアプリケーションがない場合でさえ、自動アップロードを実行し続けている」と、Arnottは説明している。

 彼が発見した時以来、Arnottは、彼のSamsung Galaxy S5を使用して、彼の結果を数回再現することに成功している。
 憂慮されることは、ArnottがGoogleに連絡したが、Googleは、目的通りにバックアップは完了したと述べるだけであった。
 Googleのスポークスマンは、Arnottの発見に対応する以下のコメントを作成している。  「一部のユーザは、Androidサービスのバックアップが依然として有効になっていることを認識することなく、Andoroid上のPhotosアプリケーションをアンインストールしている。これは、我々が解決することを約束していることである。我々は明瞭なメッセージを作成するために、Photosアプリケーションをアンインストールするユーザに、バックアップを無効化するための簡単な方法を提供するために作業している。それまでは、あなたがPhotosアプリケーションを削除せず、AndroidデバイスのバックアップをOFFにしたいのであれば、Google設定に進み、Google Photosバックアップを選択し、先頭のスイッチをOFFにトグルしなさい(【訳注】 Google フォト アプリ>設定>バックアップと同期>OFFに切り替える、でよいのではないかと?)」と、このスポークスマンは、The Registerに告げている。

 究極的には、私はGoogle Photosが、アプリケーションをアンインストールされているにも拘らず、バックアップ同期機能を継続可能になっていたことに、驚いてはいない。結局、TechCrunchのNatasha Lomasによって記述されているように、これらのタイプのサービスの多くは、デバイス横断的に動作することを意味している、したがって、アプリケーションから独立しているかもしれない。
 たとえそうであっても、Googleがあなたの写真を収集し、他の種類のデータを格納している(我々が電話機の音声検索機能を使用しているときは常に音声は記録されている)という事実は、高い勉強につくことを指し示している。携帯ユーザとしての我々は、Googleや他のテクノロジ関連大手企業は、簡単には明らかにならない方法で我々の情報を収集しているということを覚えておく必要がある。
 結果として、我々のオンライン行動の全てにおいて(AndroidデバイスであれFacebookであれ)、我々が記録されることを望まないようなことを、実行したり投稿したりしないことが間違いのない経験則である。
 我々が、好と好まざるとに拘らず、これは発生するが、プライバシーを保護するマナーでオンラインを挙動するか否かは、あなた次第である。

Hacking Teamのリークに端を発した二度目の緊急のFlash 0-Day。犯罪者は既にこの脆弱性を攻撃中
The Register : Security (2015/07/12)
 悪漢共が脆弱性のあるコンピュータをハイジャックすることを可能にするAdobe Flash中の二回目の緊急のセキュリティホールが、リークされたHacking Teamファイルから出現した。犯罪者は既に、マシンに感染するためにこの脆弱性を攻撃している。
 use-after-free()プログラミングのフロー(パッチは存在していない、そして、CVE-2015-5122として指定されている)は、先週パッチされたFlashのバグCVE-2015-5119に類似している。5122のバグは、悪意あるFlashファイルが犠牲者のコンピュータ上でコードを実行し、マルウェアをインストールすることを可能にする。このバグは、Windows、Linux、Mac OS X ビルドのプラグイン中に存在している。
 5119、5122の脆弱性は共に、スパイウェア作成メーカーHacking Teamから盗まれオンラインにリークされたドキュメント中に存在している。このイタリア企業の捜査ウェアは、コンピュータに感染するために脆弱性を攻撃する。そして、これら監視ツールは、サウジアラビア、スーダン、ロシア、アメリカを含む国々に販売されている。
 Flashをインストールしている全ての人は、緊急のセキュリティバグがパッチされるまで、Flash Playerを削除もしくは無効化すべきである、もしくは、少なくともブラウザ中の"click to play"を有効にすべきである。そうすることで、警告や許可の依頼なしに、コッソリとバックグラウンドで悪意あるFlashファイルをWebサイトに再生させる代わりに、あなたがシステム上で実行することを明瞭に認識することになる。
 Adobeは、新たに発見されたフローは来週パッチされると発言している。

     緊急の脆弱性(CVE-2015-5122)は、Windows、Machintosh、Linux用のAdobe Flash Player 18.0.0.204と、それ以前のバージョンで特定されている。悪用が成功すると、クラッシュや影響を受けたシステムの制御を攻撃者が奪うことを可能にする。Adobeは、この脆弱性をターゲットにしている攻撃が、公に公開されたとするレポートを把握している。Adobeは、2015/07/12の週の間にアップデートを予定している。
     Adobeは、CVE-2015-5122を報告し、Adobeの顧客を支援するためにAdobeと共に仕事したFireEyeのDhanesh Kizhakkinanに感謝している。

 情報セキュリティ企業FireEyeは、このバグの技術的詳細を、そのWebサイトに持っている。「FireEye Labsは、リークされたデータ中に埋められていたAdobe Flashの別の0-Dayに関するPoC(proof of concept、脆弱性の証明)」を同定し、この問題に関してAdobe PSIRT(Product Security Incident Response Team)に警告した」と、Kiahakkinanはブログ ポストに記述している。
 他方、Malware Don't Need Coffeeブログは、アングラの脆弱性攻撃キット(ドライブ-バイ-ダウンロードでネット市民を感染させるために犯罪者によって使用されるツールキット)が、CVE-2015-5122を攻撃するためにアップデートされたと発言している。
 そして、Microsoftは、Windowsオペレーティングシステム中に存在している権限の昇格セキュリティフロー(これもまた、Hacking Teamのファイルによって明かにされた)をパッチするために作業中である。

Adobe、Hacking TeamのFlash 0-Dayをパッチする予定
Krebs on Security : Blog (2015/07/07)
 Adobe Systems Inc.は、既に脆弱性攻撃が開始されていると報告されている、Flash Playerソフトウェア中の0-Dayの脆弱性を修正るためのパッチを水曜日(【訳注】 日本時間、木曜日)にリリースすると発言している。このフローは、ハッカーがHacking Team(抑圧的政権が反体制グループをスパイすることを支援したとして長く訴えられていた物議を醸すイタリア企業)侵入し、Hacking Teamの数百ギガバイトのデータがオンラインにポストされた後、週末にかけて公に公開された。


Hacking Teamによって開発されたFlash脆弱性攻撃の使用方法を説明する、Hacking Teamから盗まれたナレッジベース ファイル。

 本日公開されたアドバイザリにおいて、Adobeは、「緊急の脆弱性(CVE-2015-5119)が、Windows、Machintosh、Linux用Flash Player 18.0.0.194とそれ以前のバージョン中で同定された」と発言している。攻撃が成功すると、クラッシュを発生させたり、攻撃者が影響を受けるシステムの制御を奪うことが可能になる。
 Twitterでの幾つかのレポートは、この攻撃がGoogle Chromeの”sandbox”テクノロジ防御(Flash中の脆弱性をターゲットにする攻撃を防御するように設計されている高度なセキュリティモードで、このプログラムを実行することを強制するセキュリティ機能)をバイパスするために使用されることが可能なことを示唆している。Googleのスポークスマンは、この時点でパッチされていないことが明らかな別のWindows脆弱性と併せて、このFlash脆弱性を使用することによって、Chrome sandboxを回避することができることを確認した。Googleはまた、既にChromeユーザに、このFlashの修正を適用するプロセス中にあると発言している。
 このFlashのフローは、Hacking Teamの専有情報が、抑圧的政権と仕事をしたことはないとする、この会社の主張に反証することを考えたハクティビスト(【訳注】 社会的、政治的な主張を目的としたハッキング活動を行う者(Weblioより))によってオンラインにポストされたことで露になった(リークされたデータは、Hacking Teamが、エジプト、エチオピア、スーダン、タイを含む様々な国々のために、脆弱性攻撃を開発するための契約をしていたことを示唆している)。明らかにWindowsの脆弱性を含む未パッチのフローへの幾つかの脆弱性攻撃がキャッシュ中に含まれていた。
 セキュリティ企業Trend Microの新たな研究によると、このFlashのバグは、実際に攻撃されている証拠がある。
 「これらの脆弱性の一つに対する個別の攻撃は、脆弱性の発見をベンダや広範なセキュリティ コミュニティと共有していないので、全ての者にリスクを残したままにしていることを示している」と、「この最新の攻撃は、Adobeが商業と消費者ITシステムを介して攻撃するための主要な目標であることの別のデモンストレーションである」と、Trendのグローバル脅威通信マネージャのChristopher Buddは記述している。
 Adobe Flash Playerが攻撃者のメジャーなターゲットであることに疑う余地はない。この水曜日は、AdobeがFlash Playerの0-Dayのフローを修正する緊急アップデートをリリースした多くの月がある中で7番目をマークするだろう(最新のパッチは、6月23日)。
 おそらく、Flash Playerに絶え間ないパッチをあてるより健全なアプローチは、それを完全に削除することである。先月の後半、私は、このことの実行した私の経験についてブログした。私は、全くこのプログラムを必要としなかった。いずれにせよ、Adobeが公式の修正を発行したら、この投稿を更新する。

BOT-GEDDONが、ZeusVMリークの後に出現した
The Register : Security (2015/07/07)
 前のKaspersky日本のボスであり、現在マルウェア研究者であるHendrik Adrianは、ZeusVM(トロイ)のソースコードがオンラインにリークされた後、ZeusVMボットネットのブームに警告している。
 このビルダーとパネルソースコードのバージョン2は、先月リークされ、Xylitolとして知られるフランスのマルウェア研究者によって見つけられた。
 オンラインでハンドル名unixfreakjpを使用するAdrianは、この盗まれたツールキット コードを基にして、犯罪者がボットネットを構築しているために、このリークを公に明かにしたと発言している。
 このリークはボットネット ツールキットだけをカバーしている、Zeusマルウェアの変種のラッシュを導く可能性のあるZeusトロイ自身は暴露されていない。
 「ZeusVM バージョン 2 ツールキットは、リークされインターネット全体に拡散された」と、Adrianは発言し、更に、  「大変多くの悪玉共は善玉より、このことについて認識しているので、本日、我々は警告を発することを決定した。」
 「我々は、このツールキットを手中にした者がZeusVM 2.0.0.0 バイナリを生成し、そのパネルを介してボットネットを設定して以来、我々はインターネット上に多くのZeusVMボットネットを見ることになるだろう」と発言している。
 Adrianは、cyberlocker(【訳注】 簡単に言うとオンライン デジタル ストレージ)サイトを介して共有されるコピーを潰すための努力にも拘らず、リークされたツールキットは広範に拡散されていると発言している。
 アンチ-マルウェアと脅威を解析している人々は、新たに発生したボットネットをブロックするための方法を研究するために、信頼されるソースである彼から、このリークのコピーを現在取得することができると、彼は発言している。
 Adrianは、VXers現在、ZeusVM バージョン3 をアフィリエイト フォーラムで販売している。

最新のFlashのセキュリティホールは、既にランサムウェアの配布攻撃を受けている
Sophos : NakedSecurity (2015/06/29)
 【訳注】 本文の内容が、下の「Adobe、Flashの0-Dayを緊急にパッチ」から目新しい情報がありませんので、対策部分だけ和訳しておきます。

どうするのか?

 明らかに、予防措置は、あなたが望むことである、取り分け、身代金要求型マルウェアのデータ暗号化ペイロードが懸念される。
 以下に幾つかの秘訣を掲げる。

    ・ Flashが必要ないのであれば、インストールしないようにしなさい。あなたがFlashを必要と仮定しているのではなく、実際に必要か否か確認するには、一週間から二週間、Flash無で生活してみなさい。あなたは嬉しい驚きを得るかもしれない。
    ・ 偶にFlashを必要とするだけなら、Click-to-Playを使用しなさい。これは、あなたのWebブラウザにFlashを使用しているページを許可したいか否か、毎回あなたに尋ねてくるものである。もしくは、あなたがFlashプラグインを必要と認識している場合を除いて、このFlashプラグインをOFFにしなさい。
    ・ あなたがFlashを持っているのであれば、アップデートにタイムラグがないようにしなさい。自動アップデートでさえ到着するのに時間がかかる。これは、Adobeが無作為に、そのユーザの間で負荷を分散しているからである。あなたは手動アップデートをチェックすることで、この行列待ちを飛び越えることができる。
    ・ あなたが未だにWindows XPを使用しているのであれば、お願いだからXPの使用を止めなさい。Windows 7以降にこの脆弱性攻撃を詐欺師が行うことは本当に困難(実際には、殆ど不可能)であるこの脆弱性は、Windows XPに対する実効ある攻撃に、しばしば転換される。
    ・ アンチウィルスをONにしアップデートを維持しなさい。適切なアンチウィルスは、この種の攻撃を複数の点でブロックする。例えば、攻撃キットがホストしているWebページをブロックする、攻撃キットのJavaScriptコンポーネントをブロックする、Flashへの攻撃自体をブロックする、攻撃キットが次に掴んでくる身代金要求型マルウェアをブロックする。
    ・ バックアップの作成を怠るな。あなたが身代金要求型マルウェアから復旧するために十分適切なバックアップを持っていないなら、あなたには、様々な他の潜在的なデータ災害のリスクもまた存在する。これらには、偶然の削除、ハードドライブの損傷、ラップトップの紛失や盗難を含んでいる。

Windows Updateを無効にしていたのはマルウェアではなく、Samsung(サムスン)だった
Graham Cluley : News (2015/06/24)
 MicrosoftのMVP(【訳注】 Most Valuable Professional、マイクロソフトの製品やテクノロジーに関する豊富な知識と経験を持ち、オンラインまたはオフラインのコミュニティや、メディアなどを通して、その優れた能力を幅広いユーザーと共有している個人(MicrosoftのHPより))であるPatrick Barkerが、コンピュータの問題でユーザを支援しようとしていた時、彼は奇妙な現象で、まごつく事になった。
 Windows Updateがランダムに無効化され続けていた。
 Microsoftのパッチやセキュリティアップデートのインストールを妨げるために、Windows UpdateをOFFにするマルウェアが動作しているのか?
 違った、マルウェアは非難されるべき存在ではなかった。非難されるべきは、Samsungだった。
 Barkerは、Samsung SW Updateソフトウェアが、Disable_Windowsupdate.exeという紛らわしい名前でファイルをダウンロードし実行していることを発見した。


Samsungは、Windows Updateを無効にする

 そう、これを実行しているのは、間違いなくSamsungのソフトウェアである。Barkerは、この実行ファイルが、Samsungによって署名されていることを確認した。


Samsungの証明書

 彼らの汚い仕事を実行するために、故意にWindows Updateを無効にしようとする多くのマルウェアが存在するが、Samsungが彼らの仕事をやっつけて回っているとしても、私は個人的には全く不愉快である。
 あなたがWindows UpdateがOFFになっていることに気づき、Windows Updateを再度有効にした場合でさえ、Samsung SW Updateは、一瞬のうちに再びWindows Updateを無効にする。
 Samsungが、Windows Updateを無効化することを何故適切と考えたのか、全くもってミステリである。
 多分、Windows Updateは、Samsung SW Update(Samsung SW Updateは、Samsungラップトップにプレインストールされている、いろいろなOEMのブロートウェアをアップデートするような重要な仕事を持っている)を台無しにするか、あるいは、Samsung特有のドライバに問題を発生させることになるのだろう。
 しかし、完全にWindows Update(Microsoftのオペレーティングシステムを維持し、Internet Explorerのようなアプリケーションをアップデートする責務のあるMicrosoftのソフトウェアを)をOFFにすることは、危険な動きであるように私には思える。

Adobe、Flashの0-Dayを緊急にパッチ
Krebs on Security : Blog (2015/06/23)
 Adobe Systems Inc.は本日、広範に使用されているFlash Playerブラウザ プラグインの危険なセキュリティホールを修正する緊急アップデートをリリースした。Adobeは、この脆弱性は既に標的型攻撃で脆弱性攻撃されていると警告して、ユーザは可能な限り早急に、このプログラムをアップデートするように促している。
 火曜日の午前中に公開されたアドバイザリにおいて、Adobeは、Flashの最新バージョン(WindowsとMac OS Xに関してはバージョン18.0.0.194)は、活発な「限定的な標的型攻撃」される重大なフローを修正していると発言している。この会社は、Windows 7とそれ以前のOS上でInternet Explorerを実行しているシステム、並びに、Windows XP でFirefoxを実行しているシステムが、これらの脆弱性攻撃の既知のターゲットであると発言している。
 あなたのブラウザにFlashがインストールされているか否か、インストールされているなら稼働しているバージョンは何か定かでないのであれば、このリンクを訪問しなさい。Google Chrome、並びにWindows 8.xのInternet ExplorerにインストールされているFlash Playerは、この最新のバージョンに自動的にアップデートされるはずである。Chromeで利用可能なアップデートのインストールを強制するには、アドレスバーの右にある三本線のアイコン(【訳注】 ハンバーガー アイコンとも呼ばれる)をクリックし、「Google Chromeについて」を選択し、「Google Chromeを更新」をクリックし、ブラウザを再起動する。
 殆どのFlashの最近のバージョンは、Flashホームページから利用可能になっているが、McAfeeセキュリティ スキャンのような望みもしないアドオンに気をつけなさい。これを回避するには、ダウンロードする前に、予めチェックされているボックスのチェックを外しなさい、もしくは、こちらから、あなたのOS固有のFlashを入手しなさい。Internet Explorer以外でWebをブラウズしているWindowsユーザは、このパッチを二回適用する必要があるかもしれない。IEで一度、使用している代替ブラウザ(Firefox、Opera等)で一度。
 また再び、Flash Playerをパッチする代わりとして、あなたが本当にFlash Playerをインストールし続ける必要があるか否か考慮することは価値のあることである。偶然ではあるものの幸運なことに、今朝早く私はFlash Playerをインストールせずに一月を過ごした経験に関することを公開した。結果? 何も見逃したものはなかった。

Googleはユーザの許諾なくAudio Listenersをダウンロードしていた
Bitdefender : HOTforSecurity (2015/06/24)
 The Independentによると、このエラーが修正される前に、Googleはユーザの許諾無にコンピュータ上にAudio Listenerをインストールしていた。
 Chromium(Google Chromeのオープンソースバージョン)のユーザは、Googleが、コードの「ブラックボックス」を介してユーザの会話を盗聴していたと強く主張している。これは、あなたが"OK、Google"と言った時に、検索機能をアクティベートするための機能を有効にするためにダウンロードされるものであるが、このコードは、"OK、Google"のフレーズを聞き取ることに先がけて、会話を盗聴することを可能にしていたようである。
 Google Chromeユーザもまた、このソフトウェアが、オーディオデータをGoogleに返送することが可能であると主張している。
 ユーザは、彼らのマイクロフォンがアクティブであるかどうか、Google Chromeの検索バーに chrome://voicesearch/ と入力することによって、オーディオキャプチャが可能か否かチェックすることができる。

The Independentによると、Pirate Partyの設立者Rick Falkvingeは、「我々は、このブラックボックスが何を実行するか知らないし、知ることもできない」と発言し、更に「しかし、我々は、マイクロフォンがアクティベートされることを、Chromiumがオーディオキャプチャを許可されていると見做しているとするレポートを確認している」と、発言している。
 Debianのコンピュータ オペレーティングシステムのオフィシャルは、このバグは修正された、そして、Chromiummの最新バージョンは、最早DefaultではHotwordコードをダウンロードしないと発言している。このバグは当初、先月、ユーザがオープンソースバージョンのChromiumブラウザの最新の安定版のリリースからの疑わしいネットワーク活動に気がついた後に、彼らによって言及された。
 Googleによると、ビデオ会議のようなメディア機能付きのサイトは、ユーザのカメラとマイクロフォンへのアクセスを要求することができる。このリクエストの対応において、ユーザが、このサイトがあなたのカメラやマイクロフォンにアクセスすることを許可すると、アクセスが承認されたことを確認する通知が、もしくは、このサイトへのアクセスをブロックしたことの通知が表示される。ユーザは、異なったDefaultの許可設定を選択することができる、そして、以下のステップに従って、コンテンツの設定の例外を管理することができる。

    1/ ブラウザツールバーのChromeメニューをクリックする
    2/ 「設定」を選択する
    3/ ページの一番下にある「詳細設定を表示」をクリックする
    4/ 「プライバシー」セクションで「コンテンツの設定」をクリックする
    5/ 「メディア」セクションで、
      ・ サイトが、あなたのカメラやマイクロフォンにアクセスを要求する時は常に、Chromeが警告するように設定したいのであれば、「カメラやマイクのアクセスをサイトが要求するたびに確認する」オプションを選択する。
      ・ 如何なるサイトであろうとも、カメラやマイクロフォンへのアクセスのリクエストを拒否するのであれば、「カメラやマイクへのアクセスをサイトに許可しない」オプションを選択する。

Webメール・パスワードリセット・スカムは、深刻なイラダチの礎を築く
The Register : Security (2015/06/19)
 Symantec(シマンテック)は、新しいパスワード・リカバリ・スカムについて警告を発した。このスカムは、ユーザを欺き、Webメール・アカウント アクセスを手中にすることで、より深刻なセキュリティ問題の段階を設定するためのものである。
 このソーシャルネットワーク策略は、ペテンにかける前に、候補としてマークされている人のe-Mailアドレスと関連する携帯電話番号の認識だけを必要とする。
 GMail, Outlook, Yahoo!を含むWebメール・サービスのユーザは全て、潜在的にリスクがある。このスカムの最初のフェーズは、詐欺師が犠牲者を装い、犠牲者の携帯電話にアカウント救済検証コードを送信するオプションを選択し、パスワードを再設定するように要求することで始まる。
 詐欺師は、この電話へアクセスすることができない。次に実行することは、卑劣な部分である。
 詐欺師は、Googleや他のWebメールプロバイダからのように装ったWebメールのユーザが、確認メールとして受信した6桁のアカウント救済認証コードを要求するテキストメッセージで犠牲者に接触する。
 犠牲者が、認証コードに応じると、次に、詐欺師はこのアカウントの制御を引っ掴むことが可能になる。ハイジャックが最も明白なリスクであるが、詐欺師はもっと緻密である。
 例えば、彼らは自分たちの制御下にあるアカウントにe-Mailを転送するように自動的に設定することができる。
 これらのe-Maiは、犠牲者が彼らのアカウントの制御を再取得し、パスワードを変更した後でさえ転送されるだろう。詐欺師達は個人のe-Mailアドレスに関心を持っている。これは犠牲者自体が目的なのではなく、Webメール・アドレスがソーシャルメディアやオンライン・バンキング・アカウントに結びつけられているためである。一つの成功したパスワード再設定詐欺は、更なるパスワードリセット詐欺の礎を築く。
 シマンテックは、このスカムを説明するためにブログ投稿ビデオを一緒にまとめてある。そして、これは明らかに広まっている。
 この種の計略に騙される人々を想像することは容易である。例えば、Gmailでは携帯電話番号は二要素認証オプションを支えているため、携帯電話によるプロセスがセキュリティ上の便益を提供しているので、この解決策は、Webメールプロバイダに携帯電話番号の登録を回避することではない。
 「最も簡単なアドバイスは、とりわけ、第一に、あなたが認証コードを要求していないのであれば、認証コードをe-Mailで返信することをあなたに要請するSMSメッセージに疑いを抱くことである」と、セキュリティのベテランGraham Cluleyは、ブログ投稿の中で発言している。

中間者攻撃で、数百万のSamsung(サムスン)スマートフォンはハイジャックされる
The Register : Security (2015/06/17)
Samsungスマートフォンはハイジャックされ、マルウェアに感染させられ、カフェやホテル等の悪意あるWi-Fiによって遠隔制御されると、セキュリティ研究者は主張している。
 NowSecureの研究者によると、数百万台の携帯電話端末はソフトウェア設計の欠陥であるリモートコード実行の脆弱性を持っている。一つの解決策は危険なワイアレスを回避し、信頼あるネットワークに対してVPN(仮想プライベートネットワーク)を使用する、あるいは、単純に別の電話を使用することである。
 本質的に、Samsung Galaxy S6, S5, S4, S4 Mini携帯端末にバンドルされているタッチスクリーン・キーボード・アプリケーションは、暗号化されていないHTTP接続を使用してインターネットから新しいZIPファイルをダウンロードすることによって、それ自身を自動的にアップデートすると、NowSecureは主張している。
 これは、アーカイブの証明書を検証しようとしていないので、あなたのネットワークを管理している誰かが、このダウンロードをインターセプトし、代わりに、悪意あるアーカイブを、その電話に送信することができると、彼らは主張している。
 このアップデートプロセスは、システムレベルのアクセスで実行する。これは、ファイル内部のパスをチェックすることなく、デバイス ファイルシステムの完全な読み込み / 書き込みパーミッションでZIPファイルを解凍する。これは、悪意あるアーカイブが、携帯端末の任意のファイルを上書きすることが、インストールされているソフトウェアをマルウェアで置き換えることが、あるいは、大規模破壊をもたらすことが可能であることを意味している。
 このZIPアーカイブは、以下からダウンロードされる。

http://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip

そして、例えば、それが完全なファイル名を持つファイルを含んでいれば

../../../../../../../../data/payload

 次に、このアップデートプロセスによって解凍されると、/dataディレクトリにシステムが所有権を持つファイルを作成する。

$ su -c "ls -l /data/payload"
-rw------- system   system   5 2014-08-22 16:07 payload

 これは問題である。
 システム・キーボード アプリケーションはアンインストールすることができないし、無効化したり、他のオンスクリーン・キーボード アプリケーションに置き換えた場合、時々、完全なシステム権限と共にバックグラウンドでこのアップデートプロセスを実行し続けるだろう。
 「残念なことではあるが、OEMや事業者がデバイスにサードパーティー製アプリケーションをプレインストールすることは一般的である。幾つかの事例では、これらのアプリケーションは特権化されたコンテキストから実行される。これがSamsungのキーボードでのケースである」と、NowSecureの研究者Ryan Weltonはブログへのポストで記述している。
 「この脆弱性はSamsungデバイスに固有であり、我々はAndroid 4.2とそれ以前にまで遡って監視している」と、NowSecureのスポークスマンは、The Registerに追加した。
 SwiftKeyか、Samsungのシステムキーボードで中心のソフトウェアを提供した、そして、そのスタンドアロン キーボード アプリケーションには脆弱性は存在しないと発言していた。  「我々はSwiftKey SDKを使用しているSamsungストック・キーボードに関連するセキュリティ問題のレポートを見てきた」と、前述のスポークスマンは火曜日にThe Registerに告げた。
 「我々は、Google PlayやApple App Storeを介して利用できる、このSwiftKeyキーボードアプリケーションが、この脆弱性による影響を受けないことを確認できる」
 NowSecureは、脆弱性の証明攻撃(影響を受ける携帯端末上でリモートでコードを実行する)を公開した。この脆弱性に関するパッチは存在していない。
 「残念なことに、欠陥のあるキーボード アプリケーションはアンインストールすることも無効にすることもできない」とWeltonは発言している。
 「また、事業者が、このソフトウェアのアップデートで問題を解決したかどうか、Samsungモバイル・デバイス ユーザに教えることは簡単なことではない。」
 Samsungはコメントを出していない。

LastPassがハックされた。直ちにマスターパスワードを変更せよ
Graham Cluley : News (2015/06/15)
 ハッカー供が、人気あるオンライン・パスワード管理サービスであるLastPassをハックし、データを盗んだ。
 ブログへのポストで、この会社は、このセキュリティ事件の限定的な詳細付きで公開した。


 我々は、我々のチームがネットワーク上での疑わしい行為を発見しブロックしたことを、金曜日に我々のコミュニティに通知した。我々の調査において、暗号化されているユーザの保管庫のデータが奪い取られた証拠も、LastPassユーザのアカウントがアクセスされた証拠も発見していない。しかしながら、この調査は、LastPassアカウントのeMailアドレス、パスワード リマインダ、ユーザ毎のソルト、認証ハッシュがセキュリティ侵害されたことを示していた。
 我々は、我々の暗号化対策が、巨大な数のユーザを保護するのに十分であったと確信している。LastPassは、認証ハッシュを強化するために、ランダムなソルトと、繰り返し回数10万回のサーバサイドPBKDF2-SHA256を使用しており、さらにクライアント側でも繰り返し計算を実行している。この追加の強化策により、問題となるほど短期間の内に盗み出されたハッシュを攻撃することは困難である。

 重要なことは、このハッカー供がLastPassユーザのマスターパスワードを盗んでいなかったことを理解することである。代わりに、彼らは、あなたがこのサービスにアクセスしようとした時に、あなたのマスターパスワードが正しいことを検証するためにLastPassによって使用される認証ハッシュを、ナントカ手中にした。
 あなたが弱いマスターパスワードを使用しているのであれば、あるいは、マスターパスワードが長くないのであれば、攻撃者は総当たり攻撃で、マスターパスワードをクラックすることが可能であるかもしれない。
 ハッカーがパスワード保管庫(この会社のサーバ上に暗号化された形式で格納されている)にアクセスした形跡がなさそうなので、他のオンラインサイトのパスワードを変更する必要はないはずであると、LastPassは発言している。これは明らかに大きな安心である。
 マスターパスワードが弱いものであったり、同じパスワードを他のWebサイトでも使用しているのであれば、マスターパスワードを即座に変更するように、ユーザは勧告されている。(あなたがパスワードを再使用しているのであれば、あなたは直ちにこの悪習から脱却する必要がある)
 残念なことに、今まさに、LastPassは、マスターパスワードの再設定を行おうとする仲間達で溢れかえっているかようである。あなたにとって動作しないのであれば、しばらくしてもう一度試みなさい。

 更に、あなたが未だ実行していないのであれば、本当にあなたのLastPassアカウントに関して二要素認証を有効にすべきである。
 更なる予防措置として、新しいデバイスやIPアドレスからログインする全てのユーザは、二要素認証を有効にしている場合を除き、最初に、eMailによって彼らのアカウントを検証することを要求していると、LastPass発言している。
 この会社は、今回のセキュリティ事件に関してユーザにアドバイスするために彼らにeMailすると発言している。
 あなたがLastPassからeMailを受け取ったなら注意しなさい。盗まれた情報の中にはアカウントeMailアドレスのデータベースが存在することが明らかになっている(このパスワード管理会社のように装ってeMailベースの攻撃を行う詐欺師と個人情報泥棒にとってのチャンス)。
 いつものように、パニックにならないように。無用な心配をすることはない。あなたのアカウントをより安全にするための道理に適ったステップをとりなさい。LastPassのアドバイスは適切である
 望むべくは、適当な時に、彼らは正確に発生したことに関する詳細な情報を共有するための、絶対に再び発生させないと誓って顧客の不安をなくす準備をするだろう。
 もちろん、LastPassに対するハックは今までにも発生していた。2011年、私はハッカーが何とかサーバ上のデータにアクセスしたことに気が付いたときのLastPassの対応に感動した。

AskツールバーをマルウェアとしてブロックすることにしたMicrosoftに感謝
Graham Cluley : News (2015/06/12)
 友人や家族のコンピュータの技術的なサポートを提供する必要のある者は皆、ユーザのブラウザに寄生することができる意図しないアプリケーションの挿入について、あまりによく認識している。
 多くの場合、彼らは検索結果に干渉され、Webページに金儲け用の広告を挿入され、削除に悩まされる。
 ユーザが、望んではいない、どのようにして入ったのか分からないと、変わることなく発言している、大変頻繁に遭遇するブラウザツールバーの一つが(私の経験では)、Askツールバーである。
 Askツールバーは、あなたのWebブラウザの制御を奪い、GoogleやDuckDuckGoに代わる検索エンジンとしてAsk.comを使用したり、あるいは、あなたのDefaultホームページをAsk.comにするような、あなたが望んでもいないことを実行する。更に、従来よりコンピュータの設定に干渉し、Askではないものを不必要で不器用な魔女にしてきた。
 Askツールバーに大変頻繁に遭遇する理由の元凶の一つがOracle(数年間に渡り、毎回チェックアウトする必要があることを気づかせないことでインストールするように、簡単にユーザを欺いてきたJavaアップデートと一緒に、意図しないソフトウェアをコッソリ挿入してきた)である。


 JavaアップデートでのAskツールバー

 インターネットをクイック検索すれば、Askツールバー削除の支援を求め、必死の嘆願をする多くのユーザを発見するだろう。


 Askツールバー削除ガイド

 Microsoftが、アンチ-マルウェア製品が、他の攻撃的なソフトウェアの範疇にあるAskツールバーの以前のバージョンを現在検出し削除しているではないかとアナウンスしたために、明らかにMicrosoftはAskツールバーに関して不平を言っている沢山のユーザを持つことになった。
 Microsoftは「意図しないソフトウェア」としてAskツールバーの以前のバージョンを評価している。その犠牲者の多くは、この甘ったるい説明を認識しているだろうが、Microsoftは本質的に、Ask出身の仲間との論争で、彼らの法務部門に過度の労働をさせることを望んでいない。
 以下に、Microsoftのセキュリティ部門が悪名高いAskツールバーに関して現在発言していることを掲げる。

 Microsoftセキュリティソフトウェアは、この意図しないソフトウェアを検出し削除する。
 ソフトウェアの今までのバージョンは、検索プロバイダ越しにあなたのコントロールを限定するか、制限することができる。これは、あなたが検索プロバイダを無効にしたり修正することをできなくする。

 Microsoftによれば、Askツールバーのより最近のバージョン(あなたの検索エンジンの選択肢に干渉する能力が削除されている)は、検出され、削除される品質ではないとしている。
 Askは、このツールバーがMicrosoftの指針に今や完全に準拠するものであると主張していると、そして、そのツールバーの今までのバージョンは、最新のバージョンに自動的にアップデートされると、The Registerはレポートしている。
 しかし、率直に言って、彼らが過去において展開した薄汚いトリックを考慮に入れると、あなたが、Askツールバーの任意のバージョンを実行したがる理由が、私には分からない。

Google Chromeのプライバシー拡張、Keep My Opt-Outsは、数年間アップデートされていない
Graham Cluley : News (2015/06/02)
 多くのインターネットユーザは、Webサーフしているときに広告トラッキングクッキーによって追跡されていることを、あまり気にかけていない。
 Googleが、2011年01月に、Chrome用に独自のKeep My Opt-Outsと呼ばれる追跡防止の拡張を利用可能にしたことのアナウンスは、幾許かの歓呼と共に迎えられた。

 この拡張は、これら這いずり回る特定の個人に向けられた広告の全てを停止することを、そして、ブラウザのキャッシュをクリアしても恒久的にオプトアウトの設定が保たれる(【訳注】 2011年01月に、この拡張がリリースされるまでは、このような仕組みは、ユーザーがCookieを削除すると設定が消えてしまっていたが、恒久的にしたと、当時Googleは発言している)ことを約束している。
 しかし、Keep My Opt-Outs拡張を信頼している40万を超えるユーザにとって悪いニュースがある。この拡張は、数年間アップデートされていない。
 Stanfordのコンピュータ科学者であり弁護士であるJonathan Mayerは、 Keep My Opt-Outsはブロックするものを認識するために、独自の内部クッキーに依存していると説明している

     この拡張は、このクッキーリストをアップデートする特別なメカニズムを含んでいない。企業が含まれる改定を行うためには、Googleは新しいバージョンをリリースする必要がある。
     ここ数年間、Googleは、忘れていたようである。このクッキーリストの最新バージョンは2011年10月である。

 世の中には、個人に向けられた広告を実行している大変多くの広告主がいるが、この広告が、あなたを追跡することを簡単に停止させることのできるので、Googleがアップデートしていなかったことは問題である。それらの中で、あなたが聞いたことがあるかもしれないものが、Facebookである。
 更に、Mayerは、Keep My Opt-OutsがChromeのプライベート・ブラウジングモードで適切に動作していないと発言している。
 Mayerのアドバイスは、DisconnectもしくはPrivacy Badgerに切り替えなさいというものである。彼は、設定が正しいのであれば、Adblock, Adblock Plus, Ghosteryも優秀なプライバシーツールであるとして追加している。
 諸君、ごきげんよう。
 Googleの誰かが、この記事を読んだなら、多分、Keep My Opt-Outsを撤退させるか、適切にメンテナンスできる形にアップデートするかのどちらかだろう。

Lockerの開発者が秘密鍵のデータベースを公開した。サードパーティの復号ツールがリリースされた
BleepingComputer : General Topics>News (2015/05/31)
 昨日、Locker身代金要求マルウェア(ランサムウェア)の開発者と思われる者が、秘密復号鍵の全てを打ち出したデータベースをリリースした。彼が暗号化フォーマットの説明をしているPastebin上にポストされたこのデータベースと共に、身代金要求マルウェアをリリースしたことを謝罪している。このキーは本物であることが確認された。そして、Nathen Scott(CryptoMonitorの開発者であり、我々が属している身代金要求マルウェアに対する指導者の一人)によって復号ツールが作成された。復号ツールの情報は、Pastebinからのメッセージと共に、以下に見出すことができる。

Locker Unlocker v.1.0.5.0


***** クリックすると拡大します。

ツールのダウンロード

Locker Unlocker v.1.0.5.0(直リンク)

 Locker Unlockerは、"Locker V*"に感染した(スプラッシュスクリーンが、南京錠の上にオレンジ色のBitcoinのロゴを持っているのであれば、あなたはLockerに感染している)ファイルを復号する。全ての鍵データベースは、現時点でこの復号ツール中に含まれている。それ故、申し訳ないが、このツールは大変大きなサイズ(70MB)になっている。これは、できる限り早急に、このツールをリリースするためであり、直に変更されるだろう。

    有益な情報
     このバージョンの復号ツールは、この感染が犠牲者に与えているBitCoinアドレスを知っている犠牲者に関してのみ動作する。直ぐにアップデートが行われるはずなので、このアドレスを知らない犠牲者もファイルを復号できるようになるだろう。それまで、我慢されたい。

Locker Unlocker v.1.0.5.0 の使用方法

    ・ BitCoinのアドレスを入力する(このアドレス中にスペースや他の文字を含めてはならない。あなたのBitCoinアドレスだけにしなければならない)。
    ・ 復号方法を選択する(List Decryptionは、このウィルスが作成したリストを使用する、最も実践的で推奨される方法である。Directory Decryptionは、与えられたディレクトリ中の全てのファイルを復号する。この方法では、フォルダ中の暗号化されていないファイルが損壊する可能性があるので注意しなさい。復号する前に検証するされるが、これに関しては信用しないようにしなさい。あなたが、この方法を使用するのであれば、暗号化されたファイルを新しいディレクトリにコピーし、それを選択するようにしなさい
    ・ あなたのリストのある場所もしくは、あなたのディレクトリが存在する場所(Directory Decryptionの場合)の、どちらかを選択する。

 特別なオプション

    ・ Remove Encrypted files - このオプションは、このツールが、復号されたファイルの傍に暗号化されているファイルのバックアップを作成することを妨げる。初回の起動でこのオプションを有効にしないことが指示されている。
    ・Create Log - これは復号に成功したファイルと失敗したファイルの全てのログをデスクトップ上に作成する。
 将来、バックアップシステムを実行しなさい、そいて、これらの感染のタイプを防御するCryptoMonitor, CryptoPrevent, Hitman Alertのような手法を使用しなさい。

 【訳注】 pastebinに投稿されているLocker開発者のメッセージは省略します

ホーム・ルータを標的にした悪意ある"Moose"ワーム
BBC : News>Technology (2015/05/28)
 貧素な防御しかされていないホーム・ルータを標的にした悪意あるワームが、セキュリティ研究者によって露にされた。
 "Moose"マルウェアは数千の弱いパスワードを試すことによってホーム・ルータを乗っ取ろうとする。
 一旦、デバイスを乗っ取ると、このワームは、人々がTwitter、Facebook、Instagram、YouTube、他の多くのソーシャルネットワークを訪問する時に、ログインの詳細を奪う。
 これらの認証情報は次に、フォロワーと閲覧者数を人工的に増加させるために使用される。
 「この脅威はソーシャルネットワーク詐欺に関するものである」と、セキュリティ企業ESETの研究者Olivier BilodeauとThomas Dupuyは、彼らの発見の詳細なレポート中で発言している。

猛烈な攻撃

 この悪意あるプログラムは、攻撃コードを含んでいるファイルがelan(moose(ヘラジカ)のフランス語)と呼ばれていることから命名された。
 この悪意あるワームは、脆弱性のあるデバイスを「猛烈に」探してインターネットを徘徊している。今までに、Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, Zhoneによって製造された一部のルータが、mooseに対して脆弱性があることが発見されたと、この二人の発見者は発言している。
 彼らの解析で、この二人の研究者は、ソーシャルネットワークサイトにインチキのアカウントを設定するために、このワームが使用され、次に、このアカウントにインチキの"likes"と"follows"を追加するために、盗んだ認証が使用されていることを確認した。
 Twiter、Vine、Instagramアカウント用のインチキのlikesとfollowsは、mooseを介して追加される。
 Instagram, Twitter, Vineは、このインチキの好みのシステムによって大変広範に乱用されている三つのサイトであると、この研究者達は発言している。
 この研究者二人は、mooseの作成者が検出を妨げるためのステップを採っているために、セキュリティ侵害されているルータの正確な数を測定することは困難であると発言している。更に、moose用のコマンド&コントロールサーバをホストしている会社は、大変非協力的であると、彼らは発言している。
 これらの問題にも拘らず、この研究者達は、数万のルータがmooseに対する潜在的な脆弱性があると、これらの多くのデバイスは、既に感染させられているかもしれないと見積もっている。mooseは2014年の半ばに最初に目星を付けられ、そして、以来ずっと活動し続けていると、Mr BilodeauとMr Dupuyは語っている。
 彼らは、mooseが攻撃している弱いパスワードはホーム・ルータだけでなく多くの様々なデバイスで使用されていると、追加している。医療機器やスマート・ホーム・システムは、mooseによる感染が疑われると、彼らは警告している。
 彼らの解析の中で、この研究者達は、mooseに目星を付ける方法についてアドバイスを与えている、そして、moose注意を回避するために、Defaultログイン・システムをアップデートすべきであると発言している。

Internetで最も使用される7つの攻撃
Bitdefender : HOTforSecrity (2015/05/27)
 2014年、Heartbleed, ShellshockそしてPoodleは、突発的衝撃を世界に与えた。これらの深刻さと、広範な影響は、数百万のユーザを不確かなセキュリティのまま放置した。しかも、サイバー攻撃は、実際には予告なく攻撃を開始する。
 ここ数年は、脆弱性攻撃キットの出現が注目された。これらのツールは通常、セキュリティ侵害されたサーバにホストされ、通常のWebページのように提供されている。ユーザが、これらのページの一つに上陸すると、彼らのブラウザは調査され、ブラウザをクラッシュするために、特定のタイプのコンテンツが提供される。クラッシュさせた後、ペイロード(悪意の総量)は、ユーザと対話することなく実行され、そのコンピュータはコッソリと感染させられることになる。
 その後、セキュリティ侵害されたPCは、金融詐欺、DDoS攻撃、マルウェア・ホスティング、スパムの送信、匿名化されたアクセスに参加するために、時間単位でレンタルされている一般的なボットネットに結合される。もしくは、特定のマルウェア(crypto-ransomwareやbitcoin miners)に感染させられる。
 Bitdefenderは、過去6ヵ月のPCの感染数順に、最も頻繁に使用された脆弱性攻撃に注目した。この結果は、脆弱性が、本当にどの位多用途で危険なのかを示している。
 殆どのユーザは、彼らのソフトウェアのアップデートを軽視しているので、攻撃者は、古い、期限切れのアプリケーション、並びにオペレーティングシステムのフローや弱点をターゲットにしている。脆弱性攻撃は、予想通りE-Mailの添付ファイル、セキュリティ侵害されたWebサイト、他のソーシャル・エンジニアリング・スキームを装って到着する。ユーザによって実行されると、それらは、サイバー犯罪者が、そのシステムを完全に制御することを、データを盗むことを、あるいは、特定のソフトウェアの動作を阻むことを可能にする。
 それでも、厳然たる事実は、どのようなソフトウェアも本当に難攻不落ではないということを示している。2015年のPwn2Own hacking competitionは、21の緊急のバグが、四つのメジャー・ブラウザ全て、並びに、Windows、Adobe Flash、Adobe Reader中に発見された。
 我々の内部テレメトリによると、最近半年の最も攻撃された脆弱性は7つである。

1. CVE-2013-2551

 MicrosoftのInternet Explorer(バージョン6から10)中のUse-After-Free(解放後使用)脆弱性。このフローは、2013年のコンペでデモされたように、攻撃者が通信回線を介して削除されたオブジェクトへのアクセスを引き金にする巧みに細工されたWebサイトを介して任意のコードを実行することを可能にする。この会社のIE10のハックは、Windows 8とIEに組み込まれている全ての防御をバイパスし、ブラウザをクラッシュすることなくコードを実行することを可能にした。
 これが意味すること: ユーザがInternet Explorerの脆弱性のあるバージョンでセキュリティ侵害されたWebページを訪問すると、このブラウザは、そのコンテンツをレンダリングしようとする。これは不正な形式であるので、このコンテンツはブラウザのサブ・コンポーネントをクラッシュし、制御をペイロード(脆弱性のあるPCにインストールされる必要のあるマルウェア)に渡す。
 現在以下のキットに含まれている: Neutrino Exploit Kit, Fiesta Exploit Kit, Hitman Exploit Kit, Styx, Magnitude EK, Nuclear Pack, Sweet Orange EK, FlashPack, Angler

2. CVE-2014-6352

 2014年10月にインターネット中で最初に脆弱性攻撃された、この脆弱性は幅広い範囲のソフトウェア(Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT Gold と 8.1を含む)に影響を与えている。このフローは、攻撃者が通信回線を介して細工されたOLE(Object Linking and Embedding)オブジェクトを介して任意のコードを実行することを可能にする。OLEは、Microsoftによって開発された、ドキュメントや他のオブジェクトに埋め込みとリンクを可能にするプロプライエタリのテクノロジである。
 攻撃が成功するには、犠牲者が悪意あるペイロードを含む特別に細工されたPowerPointのドキュメントを開く必要がある。一旦開くと、.pptドキュメントは、ユーザ権限で実行できるコードを稼働する。そこから、攻撃者は、その権限を管理者権限に昇格させるために他の脆弱性攻撃を結びつけることができる。
 消費者グレードの脆弱性攻撃パックは、現在これを含んでいない。この脅威は殆どE-Mailスパムを介して拡散している。

3. CVE-2011-3544.R

 Oracle Java SE JDK、JRE 7と6 Update 27と、それ以前のバージョンのJava Runtime Environment中の特定されていない脆弱性。通信回線を介した信頼されていないJava Web Startアプリケーションと、信頼されていないJavaアップレットが、システムをセキュリティ侵害することを可能にする。
 Java Web Startは、ユーザがWebからJavaアプリケーションをダウンロードし実行することを可能にするものであり、Java 5.0のリリース以来、Java Runtime Environment (JRE)中に含まれている。
 これはどのように動作するのか: セキュリティ侵害されたWebサイトは、不正な形式のJavaアップレットをロードしようとする。このコードは、昇格された権限を取得でき、そのサンドボックスの外で実行することができる。
 現在以下の脆弱性攻撃キットに含まれている: Bleeding life, CK VIP, CritXpack

4. CVE-2014-0515.C

 Windows、Linux、OS X上のAdobe Flash Playerの特定のバージョンでバッファ・オーバーフローを発生する。攻撃者が通信回線を介して特定されていない手法(2014年04月にインターネットで脆弱性攻撃したような)で任意のコードを実行することを可能にする。
 これはどのように動作するのか: このブラウザがセキュリティ侵害されたWebページに上陸すると、Adobe Playerブラウザ・プラグインは、このファイルを再生しようとする。しかしながら、このActionScriptコードは、このプログラムの自然な流れを改竄し、悪意あるペイロードに差し向ける。
 現在、Angler Exploit Kit, Archie, Astrum Exploit Kit, Blackhole, Flash exploit kit, Hanjuan, Neutrino, Niteris, Nuclear Exploit Kit, Null Hole, Rig, Sweet Orangeに含まれている。

5. CVE-2014-1776.A

 Microsoft Internet Explorer 6から11におけるUse-after-free(解放後使用)の脆弱性。これは攻撃者が通信回線を介して任意のコードを実行したり、CMarkup::IsConnectedToPrimaryMarkup関数に関連した手法を介してDoS(メモリ損壊)を発生させることを可能にする。
 ユーザが悪意あるWebページに移動すると、このブラウザはFlash SWFファイルをロードしようとする。これは巧みに作られているため、SWFファイルはメモリ上の特定の領域をオーバーライトすることによってこのプログラムのメモリを改竄する。SWFファイルをレンダリングする代わりに、Flash Playerは結局、システムをセキュリティ侵害する悪意あるコードを実行して終了する。
 現在、Infinity / Redkit / Goon, Sednit, Anglerに含まれている

6. CVE-2010-0840.AU

 Oracle Java SEとJava for Business中のJava Runtime Environmentコンポーネント中の特定されていない脆弱性。攻撃者が通信回線を介して未知の方法で機密性、完全性、可用性(【訳注】 コンピュータセキュリティを確保する上で考えなければならない三要素)に影響を与えることを可能にする。
 現在、Nuclear Pack v 2.6, Dragon Pack, Hierarchy Exploit Kit, Blackholeに含まれている。

7. CVE-2012-0158.A

 Microsoft Office 2003 SP3, 2007 SP2とSP3, 2010 GoldとSP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3, R2; Visual FoxPro 8.0 SP1と9.0 SP2; Visual Basic 6.0 Runtimeに影響を与える。攻撃者が通信回線を介して細工されたWebサイト、Officeドキュメント、「System State(システム状態)」損壊を引き金にする .rtfファイルを介して(“MSCOMCTL.OCX RCE Vulnerability”として知られる、2012年04月のインターネット上での脆弱性攻撃)任意のコードを実行することを可能にする。
 これはどのように動作するのか: これはスパムメッセージの添付ファイルとして到着した悪意あるRTFファイルを犠牲者が開くことによって始まる多段階攻撃である。ドキュメントが開かれると、特別に細工されたコードは、Data Execution Protection(データ実行防止)サブシステムをバイパスし、次に、暗号化されているペイロードを復号し、これをメモリ中にロードする。複雑なコードは次に、ペイロードが存在しているメモリアドレスの実行ファイルにジャンプする。
 この脆弱性攻撃は、殆どの場合、インターネット上で身代金要求マルウェアに使用されている。
 現時点で、いかなる有料利用の脆弱性キットにも含まれていない。

Locker身代金要求マルウェア(ランサムウェア)は、5月25日の深夜まで隠れており、その後、データを暗号化する
BleepingComoputer : General Topic>News (2015/05/25)
 Lockerと呼ばれる新しい身代金要求マルウェアが発見された。このマルウェアがインストールされると、現地時間の05月25日の深夜まで休眠状態となり、その後、アクティベートされ、あなたのデータファイルを暗号化する。ファイルが暗号化されるとファイルを復号化するために 0.1 Bitcoin を要求する。身代金の支払いは、72時間以内に実行されない場合、この身代金額は、1 Bitcoinに増加する。この身代金要求マルウェアは現在、世界中をターゲットにして広範に拡散している。


 メインのLockerの画面

 Lockerは、様々な一連の関連したWindowsサービスのインストレーションを作成するドロッパーを介してインストールされ、最終的にLockerスクリーンを起動する。メインのドロッパーは、twitslabiasends.exeのようなランダムな名前で、C:¥Windows¥Syswow64 にインストールされる。このファイルは次に、C:¥ProgramData¥Steg¥steg.exe を使用してStegサービスを作成する。この実行ファイルは次に、C:¥ProgramData¥Tor にTorをインストールし、LDRと呼ばれる別のサービスを作成する。LDRサービスは、C:¥ProgramData¥rkcl¥ldr.exe に関連付けられており、最終的に、Lockerインターフェースを表示する rkcl.exe プログラムを起動する。最終的に、このインストレーションは、全てのシャドー・ボリューム・コピーを削除するので、ファイルの復元にシャドー・ボリューム・コピーを使用することは不可能である。シャドー・ボリューム・コピーを削除するために使用されたコマンドは以下である。

    vssadmin.exe delete shadows /for=C: /all /quiet

 このLocker身代金要求マルウェアのメイン画面は、バージョン番号を含んでいる。このバージョン番号は、Locker v1.7, Locker v3.5.3, Locker V2.16, Locker V5.52 のようなタイトルなのでランダムなようである。Locker画面は、Information, Payment, Files, Status の四つの異なるセクションに分割されている。Information画面は、脅迫文と犠牲者のデータに何が発生しているかに関する情報を表示している。Payment画面は、その犠牲者固有の Bitcoin アドレスと、支払い方法に関する情報を表示している。Files画面は、支払い状況情報を表示している。PaymentとStatusのスクリーンショットを以下に掲げる。


 LockerのPaymentページ


 Lockerのステータスのページ

 C:¥ProgramData¥rkcl フォルダには、作成された様々なファイルが存在している。これらのファイルは、以下である。

    ・ data.aa0 - このファイルは暗号化されたファイルのリストを含んでいる
    ・ data.aa1 - 目的不明
    ・ data.aa6 - 犠牲者に固有のBitcoinアドレス
    ・ data.aa7 - 以下に類似のRSAキー
       引用
       <RSAKeyValue><Modulus>rvSUBZItCXDmeBBu01Imy811u41pOSTRDn9
      +6FpsEvXXfoBrcLgBd5ommgeT5jFRmY1/4vvsd+uXTUOG9FPBtbx1ySB9cv6/+5dU8
      v4SZTFIkCBIb5nXvYNzmm/lBB5OXOr6B8dkjyEr94LvUUg4B4XyFRjjjoXSU
      XX6ND0vbt1knN6/mBSIfkvv7XTlS5IBmbxB149t79mFcr9nu1tS9edI6s+
      sIUB14jFumf5xob1YG5UXOSntBDgkuIso+JXrXvB1ze4Bc7Ec1711Bmy7rfXScx
      pxXFb7rByZukBN5IomrY+9rTpyC4Df+pvJz/osBS0kSBS+BvIdETT/
      nKmIYm==<MSodulus><Exponent>ImIB</Exponent></RSAKeyValue>
    ・ data.aa9 - 目的不明
    ・ data.aa9 - この身代金要求マルウェアがアクティブになる日付(【訳注】 上と同じファイル名ですが原文どおりです)
    ・ data.aa11 - 目的不明

 残念ながら、現時点で解析に利用することのできるドロッパーを持っていないので、この感染を完全に解析するのは困難である。我々は、このドロッパーを捕獲次第、我々は、より完全な解析を提供する。

 以下、質問に関することや感謝の言葉等につき省略します。

LogJam暗号化フローを修正すると一部Webサイトがブロックされる
BBC : Technology (2015/05/20)
Webブラウザメーカーは、安全と思われていた通信をスパイすることを可能にしていた暗号化アルゴリズム中のフローを修正する準備をしている。
 しかしながら、このアップデートは、少数のWebサイトがこの新しいソフトウェアによってブロックされることを意味している。
 このLogJam攻撃は、Microsoftと幾つかのフランスの大学の研究者によって発見された。
 彼らは、Top 100万のHTTPSセキュリティ保護されているサイトの約8%が、このフローにより脆弱性が作成されていると信じている。
 従って、ユーザは、そのようなサイトがブラウザのアドレスバー中に表示する南京錠によって偽の再保証を与えられるだろう。
 Transport Layer Security (TLS) 暗号化プロトコルを使用している一部のeMailサーバーやサービスもまた、それらのオペレータがシステムをアップデートするまで、ハックされるリスクがある。

輸出規制

 LogJam攻撃脆弱性は、暗号化ツールに関する1990年代の米国の輸出規制の遺産である。
 これらの規制は、米国製ソフトウェア(NetscapeのWebブラウザを含む)の「国際版」によって生成される秘密の暗号コードの複雑性を制限した。
 この輸出ルールは後に緩和されるが、予期せぬ結果は、一般的に使用されるプロセス(Diffie-Hellman鍵共有と呼ばれる)は中間者攻撃によってセキュリティ侵害されることができることであると、この研究者達は発言している。
 Diffie-Hellman鍵共有は、二者もしくは多者が、公開で鍵の一部を交換することによって、暗号化キーを作成し共有することを可能にするために開発された最初のテクニックの一つであった。
 この研究者達が発見したことは、通信を傍受することによって、ハッカーは、512-bitキーがより複雑なキーの代わりに使用されていることを保証できることにある。
 これに関連して、512-bitは、可能な組み合わせが2の512乗あることを意味している。
 それであるにも拘らず、この研究者達は、数分でそのようなコードをクラックすることが可能であったと発言している。
 より複雑なタイプの暗号化でさえ、米国国家安全保障局(NSA)のスーパーコンピュータを使用するなら、サイバースパイすることが可能であると、この研究者達は付け加えている。  「1024-bitの場合、この様な計算は、国家リソースを与えられていることが妥当と、我々は見積もっている。公開されたNSAリークを精読すると、VPNに関するNSAの攻撃は、この様な解読を達成している」と彼らは記述している。  それであるにも拘らず、Webブラウザメーカーが同意したこの修正は、彼らのソフトウェアが、512-bitもしくは、より弱い暗号化キーをブロックしなければならないということである。
 「この解決策は比較的簡単である(システム上の、この遺産の機能を無効化しなさい)」と、Surrey大学のサイバーセキュリティの専門家Alan Woodward教授は述べている。
 「残念なことに、古いWebサーバの一部は、古く、短く、弱いキー長だけをサポートしているので、Webブラウザのアップデートで、安全な通信を始めることを妨げるかもしれない。」
 「しかし、他人が、暗号化のこの弱い形式を使用することを強制できるとしたなら、あなたは後方互換を採ることを本当に望むだろうか?」
 「ブラウザはアップデートでき、サーバーは簡単に再設定できる。この代わりの物でも、「安全な接続」は盗聴者によって潜在的に壊される可能性があるということを念頭におけば、これを強制することは悪いことではない。」
 Wall Street Jounalのレポートによれば、20,000Webサイトが、結果としてブロックされることになると見積もられている。

「コップの中の嵐」

 Firefox Webブラウザの開発元であるMozillaは、新しいソフトウェアは「後数日」でリリースされるだろうと発言している。
 「この場合の殆どの調整は、このバグを発見した研究者達のおかげで実行された。彼らは様々なブラウザのベンダに対して貴重な測定データを提供した。これは、我々全てが対応を調整することを可能にした」と、セキュリティ研究企業LogRhythmのRoss Brewerは発言している。
 「しかしながら、組織はセキュリティ健康チェックを彼ら自身に与えるために、この様なフローを使用すべきである。」
 「頻度の増大を同定されているLogJamのようなフローでは、あなたが安全であることを認識する唯一の現実的な方法は、それが実行され始めるや否や、その攻撃を停止することができるということを認識していることである。」

NetUSBハックは、数百万のホームユーザをリスクに晒すことになる
EMSISOFT : Blog (2015/05/19)
 脆弱性は、NetUSBと呼ばれるソフトウェアコンポーネント中に発見された。NetUSBは、Netgear, TP-Link, TrendNetのような多くのモダン家庭用ルータに予め装備されている。この脆弱性を攻撃することは本当に簡単なので、今年2月に、この脆弱性は部分的に修正された。
 NetUSBは、台湾の企業KCodesによって開発された技術であり、ユーザにネットワークを介してルータに接続されているプリンタ、フラッシュドライブ、他のUSBデバイスへのアクセスを可能にするものである。また、"USB over IP"機能とも呼ばれている。

多くのホームデバイスは危険に晒されている

 このフローは、当初TP-Linkのルータで発見された。そして、直ぐに進展し、多くのデバイスがNetUSBテクノロジを使用していたために、大変多くのブランドがリスクに晒されることになった。NetUSBは、しばしば実施許諾技術として使用されているため、各ベンダがNetUSB機能を参照するとき、別々の専門用語を使用していたこともあり、脆弱性を発見することが困難であった。SEC Consultは、デバイスがNetUSBカーネルドライバを含むか否かチェックし、最近リリースされた製品を含む多くのデバイスがリスクに晒されていることを発見した。
 SEC Consultによれば、「入力の検証が不十分であるため、過剰に長いコンピュータ名を、"computer name"カーネル・スタック・バッファ」オーバーフローさせるために使用することができる。」 その結果としてのメモリ損壊は攻撃者によって脆弱性攻撃されることとなり、攻撃者はマルウェアをインストールして簡単にルータの制御を奪い、そのユーザをスパイし、そのコンピュータじ上のデータを拭い去ったり、クラッシュさせたりもすることができる。
 この記事の時点で、このフローがリモートから、あるいはネットワークを介して攻撃可能か否か定かでない。ベンダの一部には、既にファームウェアをパッチしたベンダもある(全リストを参照)が、他のベンダは、この問題を未だ解決していない。KCodesは、コメントも公式の声名もリリースしていない。

自分自身を保護するには

 可能ならば、あなたのルータのWebインターフェースを介してNetUSBを無効にしなさい(残念ながら、Netgearのルータはサポートされていない)、そしてまた、ルータのファイアーウォールのポート2005をブロックしなさい。あなたが使用しているデバイス用のパッチをベンダが計画しているか否か、ルータのメーカをチェックしなさい。

TeslaCryptによって暗号化された .EXX, .EZZ, .ECCファイルを復号するためのツールTeslaDecoderがリリースされた
BleepingComputer : General Topic>News (2015/05/18)
 新しい無料の復号ツールTeslaDecoderと呼ばれるツールが、我々のメンバーの一つとしてリリースされた。このユーティリティは、TeslaCryptやAlpha Cryptによって暗号化された .ECC, .EXX, .EZZファイルを復号する能力を持っている。これは、この身代金要求マルウェアの新しいバージョンがリリースされた時に、彼のツールをアップデートする、この開発者の積極的持続的プロジェクトである。今回、これはTeslaCrypt用の推奨される復号ユーティリティである。


 TeslaCrypto Decryption Tool

 実行すると、TeslaDecoderは特定のWindowsレジストリキー、storage.binファイル、key.datファイルを検索する、検出されると、あなたの復号キーを抽出しようとする。復号キーが抽出されると、コンピュータ上の特定のフォルダや全てのファイル中の全てのファイルを復号することを可能にする。残念ながら、一部犠牲者のコンピュータでは、復号キーは、データファイルから取り除かれる。このシチュエーションでは、TeslaDecoderは、あなたのファイルを復元することは不可能である。
 Dropboxアカウントから配布されているユーティリティについて懸念している人々のために、私は個人的に開発者を吟味し、このプログラムのバージョン 0.0.52 をテストしている。私のテストにおいて、私のAlfa Cryptに感染させたマシン上の全ての暗号化されたファイルを復号することができ、如何なる悪意ある挙動も表示されていない。
 我々は既にTeslaDecoderに関する情報を含め、我々のTeslaCryptガイドをアップデートした。TeslaCryptに関する最新の情報に関しては、新しい情報がリリースされると継続してアップデートされている以下のガイドを訪問しなさい。

http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information

Microsoft Word Intruder: ドキュメントベースのマルウェアを作成するツール
Emsisoft : Blog (2015/05/14)
 サイバー・セキュリティの現代において、マルウェアの使用は、高い利益をもたらすビジネスになった。これは、疑うことを知らない犠牲者の現金を簡単に奪おうとする数人の悪漢の興味を引いた。Microsoft Word Intruder (MWI)は、経験のない悪漢でさえ高度なマルウェアを記述することを可能にする新しいツールである。SophosのNakedSecurityで述べられているように、この悪意あるツールは、「ブービートラップされた」MS Officeファイルを生成する。このマルウェア作成プログラムは、多分ロシアで開発された、そして、新人のハッカーにそれを販売することによって金にするとする明確な主張をしている。

ドロップもしくはダウンロードでき、次に感染するマルウェア作成ツール

 MWIは、ハンドル名Objektと名乗る個人によってアンダーグラウンドで広告されている。この悪意あるツールは、犠牲者のコンピュータに感染するためにMS Word中の複数の脆弱性を攻撃する感染用のRich Text Format (RTF、リッチテキスト フォーマット)を作成する。
 WMIによって作成されたマルウェアは以下の二つのタイプになることが可能である。

    ・ ドロッパー: このケースにおいては、感染用のアプリケーションによって使用される悪意のペイロード(【訳注】 payloadには、軍事用語として一発のミサイルが搭載できる爆発物の総量の意味があります。マルウェアに適用する場合は、悪意の総体もしくは総量くらいです)は、ローカルに存在している。これは、要求される全てのコンポーネントが一つのパッケージ中に同梱されているので(メインのマルウェア・コンポーネントは、実行後、抽出されるかドロップされる)、オフラインで実行することができることを意味している。
    ・ ダウンローダー: ダウンローダーは、悪意あるペイロードのURLだけを含んでいる。これは、感染プロセスがインターネットから追加の材料をダウンロードすることを要求することを意味している。これは、より困難な感染プロセスのように見えるが、この脅威が実行される時には常に、新しくより危険なマルウェアがダウンロードされることが可能であることも意味している。

 ドロッパーはより一般的であるが、これらの感染メカニズムは共に、幅広く使用されている。

WMIマルウェアは攻撃者が追跡することができ、財務情報を盗むために使用することができる

 2014年12月以来、WMIは、生成されたRTFファイルに識別URLを記述するWMISTATとして知られる特別なトラッキング機能が開発された。これはサイバー犯罪者が、彼らのマルウェア・キャンペーンと関連するサンプルを追跡し続けることを可能にする。
 一般的なユーザの疑いを回避するために、このファイルがロードされると即座にWMIマルウェアは、アブノーマルな挙動(ワードをクラッシュしたり、終了したりする挙動)を隠し正当に見せかけるための囮のドキュメントを同梱している。このキットの最新のバージョンは、2010年と2012年に最も一般的な攻撃であった四つの異なる脆弱性(即ち、CVE-2010-3333, CVE-2012-0158, CVE-2013-3906, CVE-2014-1761)を攻撃しようとしている。これは、ZbotやZeusマルウェアの変種が主に使用していた物であったことも発見された。このマルウェアファミリーは、しばしば重要な財務情報やログイン認証を盗むために使用される。時として、この様に使用されたり、CryptoLockerのような身代金要求マルウェアと共に使用される。  ドキュメントベースのマルウェアが広範に拡散していることは明らかである、取り分けスパム メールの助けを借りて。従って、添付ファイルへのアプローチとアンチ-マルウェア プロテクションのアップデートに慎重であることが、あなたのシステムから、この様な鼠を遠ざける鍵である。

CoinVaultと同じ作成者からBitCryptor身代金要求マルウェアが出現
BleepingComputer : General Topic>News (2015/05/11)
 CoinVaultの作成者からの新たな身代金要求マルウェアBitCryptorが導入された。BitCryptorは、ユーザ・インターフェースが変更されたこと以外は、本質的にはCoinVaultと全く同じ感染である。この身代金要求マルウェアはAES 256暗号化を使用して、あなたのファイルを暗号化し、ファイルを復号するために、1 Bitcoinを要求する。現時点で、暗号化されたファイルを無料で復号する方法は存在しない。残念なことに、CoinVaultキー用のKasperskyのサイトは、この感染に関しては動作しない。

 BitCryptorは初回起動時に、そのコンピュータ上の全てのシャドー・ボリューム・コピーを削除するので、シャドー・ボリューム・コピーからのファイルの復元は不可能になる。BitCryptorは、%Temp%¥wallpaper.jpg をWindowsの壁紙に設定し、あなたのファイルの暗号化を開始する。BitCryptorは、ファイルの暗号化に特定のルールを使用する。そのルールは以下である。

    ・ BitCryptは、そのプログラム ファイル、AppData、ProgramData、ブート、Windows、Winnt、ゴミ箱、ダウンロード、all users、tempフォルダ中で発見された全てのファイルを暗号化するわけではない。
    ・ そのフォルダが画像やバックアップ文字を含んでいる場合は、拡張子に関わらず全てのファイルを暗号化する。
    ・ それ以外の場合は、以下にマッチした全てのファイルを暗号化する。
      .odt,.ods,.odp,.odm,.odc,.odb,.doc,.docx,.docm,.wps,.xls,.xlsx,.xlsm,.xlsb,.xlk,
      .ppt,.pptx,.pptm,.mdb,.accdb,.pst,.dwg,.dxf,.dxg,.wpd,.rtf,.wb2,.mdf,.dbf,.psd,
      .pdd,.pdf,.eps,.ai,.indd,.cdr,.dng,.3fr,.arw,.srf,.sr2,.mp3,.bay,.crw,.cr2,.dcr,
      .kdc,.erf,.mef,.mrw,.nef,.nrw,.orf,.raf,.raw,.rwl,.rw2,.r3d,.ptx,.pef,.srw,.x3f,
      .der,.cer,.crt,.pem,.pfx,.p12,.p7b,.p7c,.jpg,.png,.jfif,.jpeg,.gif,.bmp,.exif,
      .txt,.tc,.mov,.mp4,.rar,.zip,.iso,.vsdx,.3ds,.c4d

 更に、Bitcryptorは、実行中に、以下のキーワードを含む全てのプロセスを終了する。

    shadow,cmd,processhacker,mbam,sh4,spyhunter,msconfig,taskmgr,roguekiller,rstrui,
    regedit,procexp

 いつものように、この身代金要求マルウェアに感染することからあなたのコンピュータを保護するために、安全に適切にコンピュータを使用するように提案する。これは、あなたが想定している添付ファイルだけを開くことと、全てのプログラムとWindowsのアップデートを確実に維持することを意味している。
 我々は、CryptoMonitorHitmanPro: Alertのような挙動検出プログラムも提案する。CryptoMonitorは、如何なるアップデートもすることなく、この感染を防御することができた。そして、未だ利用していないのであれば、私は、HitmanPro: Alertが直ぐに実行可能であると確信している。
 この身代金要求マルウェアに関する何らかの新しい情報がリリースされたなら、我々は、それを此処にポストする。

既知のBitCryptorファイル

    %Temp%¥BitCryptorFileList.txt
    %Temp%¥wallpaper.jpg
    %UserProfile%¥filelist.locklst
    %UserProfile%¥sfile

既知のBitCryptor身代金要求マルウェアのレジストリ・キー

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥BitC "%UserProfile%¥bclock.exe"
    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce¥*BitC "%UserProfile%¥bclock.exe"
    HKCU¥Control Panel¥Desktop¥Wallpaper "%Temp%¥wallpaper.jpg"

悪質な身代金要求ソフト(ランサムウェア)が出現した
Graham Cluley : News (2015/05/11)
 時々、マルウェアの製作者は、彼ら自身に関することを晒してしまうかもしれない手掛かりをコード中に残している。
 過去に私は、製作者の好みの言語、お気に入りのプログラミング言語、発生した国のようなことを指し示すマルウェアを見たことがある。
 最も極端な例は、製作者の実名、電話番号、住所を含むマルウェアさえ存在した。
 私は、彼が仕事を探していたので、履歴書と連絡先の詳細をプリントアウトするために犠牲者のコンピュータを使用した余りにも愚かなフィリピン人のマクロウィルス製作者Michael Buen(Love Bug(ワーム)の製作者Onel de Guzmanと同時代の人)を忘れることはないだろう。
 しかし、通常サイバー犯罪のますます専門化している世界において、何らかの手掛かりが残されていたとしても、それらは、容疑者のリストを狭めていくことはできない。
 例えば、オーストラリアのコンピュータユーザに影響を与えた、Trojan.Cryptolocker.S の場合を考えるてみる。
 シマンテックの研究者によると、このマルウェアは、人気のあるTV番組(Breaking Bad、ブレイキング・バッド。化学の高校教師がクリスタル・メス(メタンフェタミン、【訳注】 日本ではヒロポンとして知られる覚醒剤)を製造するドラマ)から画像を横取りしてきている。
 具体的には、このマルウェアによってポップアップされる身代金の要求は、"Los Pollos Hermanos"(【訳注】 ブレイキング・バッドの話の中に出てくる恐ろしいガス・フィリング(ブレイキング・バッドの登場人物)によって運営されているフライドチキンのファーストフードのチェーン店)のロゴを使用している。

 更に、この身代金要求攻撃の背後にいる犯罪者は、Walter White(ブレイキング・バッドの主人公、高校の化学の教師、Bryan Cranstonによって演じられている)からの引用によって名付けた匿名eMailアドレスを使用している。

 我々がほぼ間違いないと思っていることは、この最新の身代金要求ソフトを製作した者はWalter Whiteのファンであるということである。
 あなたは、シマンテックのブログへの投稿を読むことで、この特定のマルウェアについて詳細に学習することができる。

準備せよ: Adobeが05月12日に緊急のパッチをリリースする
The Register : Security (2015/05/08)
 おそらく、パッチを当てるまで、如何なるPDFも開かないようにした方がいいだろう。

Adobeは、Adobe ReaderとAcrobat用のクロスプラットフォーム・アップデートを来る火曜日(05月12日)にリリースする計画があることを事前にアナウンスした。
 Adobe Reader XI(11.0.10, 10.1.13)並びにAdobe Acrobat XI(11.0.10, 10.1.13)のWindowsとMacバージョンは全て、このソフトウェア中の(明示されていない)緊急の脆弱性に対してパッチする必要がある。Adobeは、これらのセキュリティ・バグを、最も深刻な評価に次ぐ ”2” に評価している。
 Adobeのソフトウェアは、暫く前から(最近の5年間)、ハッカーのお気に入りのターゲットであり、標的型攻撃、スピア・フィッシング、サイバー・スパイの時代において、この領域における懸念は増加している。
 詳細は、このパッチが来週火曜日(Microsoftの月例パッチが公開される日(所謂、Patch Tuesday))に利用可能になると同時に公開されるだろう。

研究者は、Lenovoのコンピュータに「大規模なセキュリティリスク」を発見
BBC : Technology (2015/05/06)
 中国のコンピュータメーカLenovoは、研究者が、そのソフトウェア中にフローを発見した後、「大規模なセキュリティリスク」を稼働していると非難されている。
 三つの脆弱性は、ユーザのシステムにマルウェアをインストールしたり、あるいは、それらを介して制御手段を攻撃者に渡す脆弱性攻撃を実行されることが可能であると、通知されている。
 Lenovoは、この発見を認識しており、この問題を解決するためのパッチをダウンロードするようにユーザに促している。
 このニュースは、Lenovoシステムにプレインストールされているアドウェアに関連する意外な事実に続く。
 この脆弱性はセキュリティ企業IOActiveの研究者によって発見された。Lenovoは今年の2月に、この脆弱性を警告されていた。
 このパッチは、4月にリリースされたが、この研究者の発見は今週公開された。

フロー

 一つのフローは、ローカルとリモート両方の攻撃者に「署名検証確認をバイパスし、信頼されているLenovoアプリケーションを悪意あるアプリケーションに置き換える」ことを可能にすることを、この研究者は発見した。
 これは、攻撃者が公共のWi-Fiネットワークへの接続をハイジャックする"coffee shop attacks"と呼ばれるものにLenovoユーザを晒したかもしれない。
 攻撃者は「Lenovo実行ファイルを悪意ある実行ファイルに交換することで、これを脆弱性攻撃することができる」と、この研究者は記述している。
 他の二つのフローは、攻撃者が通常持っているレベルより、システムを制御するより高いレベルを取得することを可能にする。
 イギリスのサリー大学のセキュリティ専門家Alan Woodward教授によると、これは潜在的に攻撃者が悪意あるコマンドを実行することを可能にする。
 「Lenovoはセキュリティ面で再び欠陥があることが発見された。」
 「Lenovoは今回、潜在的なリモートハッキングにユーザを晒していたようだ」と彼は述べている。

大変な期待外れ

 Woodward教授は、Lenovoがシステムにインストールしていたアドウェアにユーザを晒していた二月の報道に続き、最新の意外な事実は「大変期待外れである」と発言している。
 Lenovoは「セキュリティに関して嘆かわしい記録」を達成したと、付け加えている。
 Lenovoは製品に、こっそりとプレインストールしていたユーザのセキュリティを不正に侵害する恐れのある”Superfish”アドウェアを削除するように強制された。
 Lenovoは、このソフトウェア(superfishはシステムと相互作用する方法をとっていたので、マルウェアになぞらえられていた)を削除するツールを顧客に提供した。
 lenovoスポークスマンは、彼らの開発者とセキュリティチームが、Lenovo System Update機能中に発見された脆弱性(Lenovo System Update 5.6.0.27及び、これ以前のバージョン)に関してIOActiveと共に作業していたと発言した。
 この研究者達は、彼らの発見を公開する前に、この問題を修正する時間をLenovoに与えていた。
 Lenovoは、顧客が現在、このアップデートをインストールすることを促されているだろうと付け加えた。
 「代替方法は、ユーザがセキュリティアドバイザリで説明されているようにSystem Updateを手動でアップデートすることである」と、更に、
 「Lenovoは、全てのユーザがIOActiveによって通知された脆弱性を排除するためにSystem Updateをアップデートすることを推奨する」と、Lenovoは発言している。

International Police Association / Sopa/ PIPA身代金要求ソフトは、簡単に復号できる
BleepingComputer : General Topic>News (2015/05/06)
 CryptoTorLockerの変種である新しい身代金要求ソフトは、International Police Association - IAC(国際警察協会)であると名乗り、ファイルを復元するにはユーロで100ドルの罰金を支払わなければならないと主張していると報告されている。感染すると、この身代金要求ソフトは、あなたのコンピュータをスキャンし、データを暗号化し、暗号化した全てのファイルに6桁の拡張子を追加する。次に、支払うためには特定のサイトを訪問する必要があると宣言している脅迫文メッセージボックスを表示する。現在知られている支払いサイトは、str.fulba.comと、iframeでfulba.comを開いているutrozen.pixub.comである。
 脅迫文:

 (引用) 警告! あなたは剽窃コンテンツが発見されたコンピュータを持っている! あなたのファイルの全ては暗号化された。ファイルを復号するには、サイト http://str.fulba.com を訪問し、そのサイト上に表示されている指示にしたがう必要がある。このサイトが何らかの理由から利用できないのであれば、stoppirates@yahoo.comに問い合わせなさい。あなたのID 123456。
 あなたはパスワードを5回入力できる。この制限回数を超えると、全てのファイルは削除されるだろう! データの復号の個人的な試みは、それらのデータの損失を導くことになる。

 次に、以下のようなパスワードプロンプトが表示される。

 この身代金支払いサイトは、地域によってローカライズされており、あなたの母国語で身代金の支払い指示が表示される。これは訪問者のIPアドレスに基づいて決定されている。アメリカの身代金支払いサイトの例は以下である。

 最後に、この身代金要求ソフトは、Windowsの壁紙を以下の宣言のインチキのメッセージに変更する。

 (引用) コンテンツは、H.R. 3261下院法案 SOPA(【訳注】 Stop Online Piracy Act、オンライン海賊行為防止法案)、S.968上院法案 PIPA(【訳注】 Protect Intellectual Property Act、知的財産保護法案)によって委ねられた権限によってブロックされた。

 そうは言うものの、このSopa/Pipa/International Police Association/Crap 身代金要求ソフトに感染した人のために、Nathan Scottの復号化ソフトをダウンロードし実行することによって、ファイルを簡単に復号することができる。アンチウィルス・プログラムの一部には、ファイル修正能力に基づいて、この感染を検出しているので、アンチウィルス・プログラムの中には、この復号ツールのファイル修正能力に基づき、この復号ツールを悪であるとして、検出することに注意しなさい。これは誤検出であるが、あなたが、この復号ツールの安全性に懸念を抱くのであれば、必ず暗号化されたデータを仮想マシンにコピーし、そこから、この復号ツールを実行しなさい。
 この復号ツールは、このリンク(直リンク)からダウンロードすることができる。
 この復号ツールが開始されると、あなたは、ファイルに割り当てられた6桁の同定子(脅迫文や全ての暗号化されたファイルの末尾に発見される)を入力し、スキャンするフォルダを選択し、ファイルを復号するためにDecryptボタンをクリックする必要がある。このツールを使用しているとき、あなたは、C:¥ のようなドライブのルートを選択するように指示される、そして、この復号ツールはドライブ全体を再帰的にスキャンする。幾つかのファイル(多分ショートカット)が、適切に復号されていないことを発見したなら、あなたは管理者権限でこのプログラムを実行しなければならない。

 いつものように、あなたが何らかの疑問を持っているのであれば、ここに自由にポストしなさい。

既知の関連する身代金要求ソフトのファイル

    %Temp%¥.exe
    %Temp%¥ag.exe
    %Temp%¥.bmp
    %Temp%¥in.js
    %Temp%¥services.exe

アンチウィルス・テストでの不正行為に関する続報
Virus Bulletin : Facebook (2015/05/06)
 最近のWindowsテストにおけるTencent(騰訊)製品に関する声明

 詳細な調査の後、特定の最適化がTencent製品中で同定された。これは明らかにアンチウィルスのパフォーマンス・テストの評価を向上させるために設計されたものである。この製品の最近公開されたバージョンの全てにおいて発見されるこの最適化は、通常ユーザに対して最低限の利益を提供するが、この製品によって提供される保護のレベルを低下させるものである。
 この調査に関係した三つの検査機関(AV-TEST, AV-Comparatives, Virus Bulletin)全ては、テストの参加者が、常に開かれ、そして、倫理に基づいたマナーで振る舞うことを期待している。この種のテストのための「インチキ」は、ユーザと開発者の双方にとって役に立たないものと考える。我々検査機関は、この様な行為の機会を減少させるために参加者に厳格なコントロールを課すだろう。そして、2015年のこれまでに与えられた、このインチキの影響を受けている全ての証明と賞を取り消す。

TeslaCrypt身代金要求ソフトが、Alpha Cryptに名前を変えた
BleepingComputer : General Topic>News (2015/05/01)
 ここ数日の間に、TeslaCrypt身代金要求ソフトが、幾つかの顕著な相違と共にAlpha Cryptに名前を変更した。最近、我々はTeslaCryptに似た新しい身代金要求ソフトについて聞いていたが、インストーラを発見することができていなかった。今日、この感染のサンプルを取得したことに関し、Cody Johnstonhttp://malware-traffic-analysis.netに感謝する。このマルウェアと関係するTOR支払いサイトを解析した後、我々は、Alpha CryptがTeslaCryptと同一であることを確認した。

 マルウェア-トラフィック-解析によると、Alpha Cryptは、Angler Exploit Kitを介して拡散している。インストールされると、Alpha Cryptは、特定のファイル拡張子にマッチするデータファイルに関して、あなたのコンピュータのドライブレターをスキャンする。ターゲットのファイルが発見されると、このマルウェアは、そのデータファイルを暗号化し、.ezz 拡張子を追加する。.ecc拡張子ではなく .ezz 拡張子を使用することは、Alpha CryptとTeslaCryptの相違の一つである。Alpha Cryptがターゲットにしているファイルタイプは以下である。

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum,
.ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf,
.sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup,
.syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis,
.sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx,
.kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr,
.ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx,
.bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav,
.lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc,
.py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem,
.crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf,
.nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr,
.dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2,
.rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb,
.xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odtFor

 大部分に関して、ターゲットになっている拡張子は、幾つかが追加され、幾つかが削除されている。暗号化プロセスの間、このマルウェアは、%AppData%¥key.datファイルを作成し、このkeyに情報を格納する。このファイル中に格納された情報が、TeslaCryptのように、暗号化されたファイルを復号するために使用できるかどうか、今回定かでない。このマルウェアはまた、%AppData%¥Log.htmlファイルに、全ての暗号化されたファイルのリストを格納するだろう。
 暗号化が終了すると、このマルウェアは、壁紙を%Desktop%¥HELP_TO_SAVE_FILES.bmp脅迫文に変更し、脅迫文%Desktop%¥HELP_TO_SAVE_FILES.txtを開く。最後に、上に示したAlpha Cryptアプリケーションを起動する。Alpha Cryptアプリケーションと脅迫文は、あなたがファイルを復号するための支払い方法に関するリンクと情報を含んでいる。
 あなたが復号サイトにアクセスすると、TeslaCryptによって使用されていたのと同じサイトに迎えられる。相違点は、身代金要求ソフトの名前が変わったことと、復号サイトのタイトルが、AlphaTool Decryption Serviceに変更されたこと、及び、PayPal MyCashカードが、もはや支払いオプションに存在しなくなったことである。TeslaCryptのように、Alpha Cryptサイトは、一つのファイルだけを無料で復号することと、あなたが開発者と通信できるページのサポートを提供している。現在の身代金の額は、0.7Bitcoinである。

 これは比較的新しい変種なので、TeslaCrypt用の既存の復号テクニックがAlpha Cryptでも動作するかどうか不明である。分かり次第、我々は此処に情報を投稿するだろう。

既知のAlpha Crypt身代金要求ソフトのファイル

    %AppData%¥blburkg.exe
    %AppData%¥log.html
    %AppData%¥key.dat
    %Desktop%¥HELP_TO_SAVE_FILES.txt
    %Desktop%¥HELP_TO_SAVE_FILES.bmp
    %Desktop%¥Save_Files.lnk
    %Documents%¥RECOVERY_FILE.TXT

既知のAlpha Crypt身代金要求ソフトのレジストリキー

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥AVSvc %AppData%¥.exe

AV‐Comparatives, AV‐TEST, Virus Bulletinテスト機関は、不適切な行為に関し申し立てる
AV-Comparatives : Blog (2015/04/30)
 本日、この世界で最も著名で信頼されている三つの検査機関AV‐Comparatives, AV‐TEST, Virus Bulletinは、セキュリティ・ベンダQihoo 360(奇虎360科技)が、ユーザや顧客が利用できる製品とは明らかに異なる比較検証用の製品を提出したことが判明したので、Qihoo 360を共同して非難する。この三つの検査機関は、今年までにこの会社に対して与えた認証とランキングの全てを取り消した。今後は、ユーザーが最も正確な情報を提供されることを保証するために、よりオープンでフェアな処理を行うことを表明する。
 この三つのラボの調査は、Qihooによって提出された全ての製品が、Qihoo独自のQVMエンジンを決して使用したものではなく、Bitdefenderによって提供されている4つの利用可能なエンジンの一つをDefaultで使用していた。これは、この会社のWebサイトの表面上の公開セクションに置かれているバージョンを含んでいる。
 対照的に、Qihooの主要マーケット領域においてユーザが一般的に利用できる全てのバージョンでは、Bitdefenderエンジンが無効化され、QVMエンジンのみが有効になっていた。全てのテストデータからは、この製品は、かなり低いレベルの保護と大きな誤検出を提供している。オプションは、これらの設定を調整するために製品中に提供されているが、殆どのユーザは、この設定を変更しないでいる。殆どのテストは、現実世界の使用状況を最も良く表すために製品のDefaultの設定を使用している。
 Qihoo 360の調査の一環として、この会社によって、二つの中国のセキュリティ企業(Baidu(百度)とTencent(騰訊))に対する逆提訴がなされた。この二社から提出されたテスト用の製品の解析は、これらの製品中に予想外のフラグを発見した。幾つかのテスト・ラボに印がつけられており、テスト・ラボが実行している環境に応じて製品の挙動にある異なりを実装していた。これと似たようなフラグはQihooの製品にも発見されていた。しかしながら、どちらの製品にも何らかの重要な利点が与えられているとする証拠は発見されなかったし、ある場合においては、欠点になるかもしれないものであった。両社は、彼らの製品中にこれらのフラグを含んでいることに関する適切な理由を提供することもできた。
 彼らの挙動に関してQihoo 360に説明を求めると、この会社は、幾つかの設定をテスト用に調整していたことを認めた(keygensやクラックされたソフトウェアのようなファイルタイプの検出を有効にしていたり、クラウド・ルックアップをテスト・ラボの近くに配置したサーバに振り向けることを含む)。サードパーティのエンジンの使用の具体的な情報に関する幾つかの要求の後、テスト用に提出されたこのエンジン設定が、Defaultでユーザに対して利用可能になっているものと異なっていることが最終的に確認された。
2015年の開始以来、Qihooに与えられた賞と証明は、三つのテスト機関の記録から削除された。三テスト機関は、ベンダによる、いかなる故意も回避するためにテスト参加者に厳格な要求を課すことになるだろう。
 「この種の行為は、誰のためにもならない。どこにも依存していないテストは、どの製品がより良いパフォーマンスをしているのか、開発者がより困難な仕事をする必要のある領域を強調することを示すために、ユーザと開発者の両方に提供される。テストされる製品が現実世界で使用されていない製品であるなら、誰も有用な情報を得ることができない」とVirus Bulletinの作戦参謀John Hawesは語っている。

 【訳者より】 以降、AV-ComparativeのCEO、AV-TESTのCEOの発言と、三テスト機関に関する説明がありますが省略します。

あなたがWordPressを稼働しているのなら、アップデートを忘れないように
Graham Cluley : News (2015/04/28)
 このWebサイトをクイック検索したら、WordPressと4万を超えるサードパーティ製プラグインのセキュリティ脆弱性に関する警告が山と発見されるだろう。
 誤解しないように、私はWordPressが好きだ。WordPressは大変素晴らしいWebサイト用のCMSであり、私自身このサイトでWordPressを使用している。
 あなたがWordPressを使用しているのであれば、あなたは真面目にセキュリティを考える必要があると、私は理解している。

 (インフォメーション) ところで、私が此処で、WordPressのセキュリティについて語っているとき、私は、あなたがサーバ上で実行しているセルフホスティングのWordPressを意味している。
 私は、他の誰かがセキュリティを考えている(彼らはセキュリティについて非常に良い仕事をしている)WordPress.comを意味していない。ただ、WordPress.comは、あなたのサイトの動作方法を調整する機能をあまり提供していない(典型的な一長一短)。
 wordpress.orgとwordpress.comの相違を紛らわしく思っているのは、あなた一人ではない。

 あなたがWordPressを実行しているのであれば優先的にセキュリティを処理する必要がある最新の理由が此処にある。
 日曜日、フィンランドKlikki Oyのセキュリティ研究者Jouko Pynnonen(oについているウムラウトは省略しています)は、WordPress 4.2とそれ以前のバージョンに0-Dayの緊急のクロスサイト・スクリプティング(XSS)の脆弱性の詳細を公開した。
 ハッカーは、世界中の数百万のブログ上に発見されるコメント・フォームにコードを挿入することができる。これは、サイトの管理者によって閲覧されるとき、ハッカーがパスワードを変更し、新しいパスワードを追加したり、通常Webサイトの管理者権限を要求する他のアクションを取ることを可能にする。
 以下は活動中の攻撃を示すビデオ(クラシック音楽に気を取られないように、画像に集中)である。
 以下がPynnonenがこのフローに関する説明である。

 現在のWordPressのバージョンは格納されたXSSに脆弱性がある。攻撃者は認証されていなくても、WordPressコメントにJavaScriptを挿入することができる。このスクリプトは、コメントが閲覧されたとき引き金になる。
 管理者のログインによって引き金が引かれたなら、Defaultの設定の下で、攻撃者はプラグインとテーマ エディタを介してサーバ上で任意のコードを実行するために、この脆弱性を悪用することができる。
 コメントのテキストが長すぎる場合、データベースに挿入されるとき、そのコメントは切り捨てられる。MySQLのTEXT型のサイズ制限は64KBなので、コメントは大変長い必要がある。
 この切り捨ては、悪意あるHTMLをページ上に生成させる結果となる。最近公開された二つのWordPressのコアに影響を与えるXSS脆弱性と同様に、攻撃者は、許可されているHTMLタグに凡る属性を供給することができる。

 幸いなことに、数時間前、WordPressは、報道されているこの問題を修正する新たなセキュリティアップデート(WordPress 4.2.1)をリリースした。

WPEnginedxwのような一部の管理の行き届いたWordPressは、公式のパッチがリリースされる前に率先して顧客を保護するステップを取ったことを誇っている。
 しかしながら、セキュリティ研究者Jouko Pynnonenは、彼が顕にした脆弱性に対するWordPressの緩慢な対応にイライラを募らせたことを表明している。

 「2014年11月以来、進行中のセキュリティ脆弱性に関してコミュニケーションを取ろうとしても、WordPressは、これを拒否している。我々は、フィンランド国内当局(CERT-FI)とHackerOneを介して、e-Mailで彼らに連絡をとろうと試みた。2014年11月20日以来、いかなる種類の回答も得られていない。我々の認識では、彼らのセキュリティ対策チームは、我々が通知した問題を共同して解決しようとしたフィンランドの通信監督当局と、我々のオープン・バグチケットの状態(【訳注】 バグ管理に関してはWikiPedia参照してください)を明かにしようとしたHackerOneのスタッフへの対応を拒否している。」

 PynnonenがWordPressとWordPressに関連する物を安全にするために責任ある開発者からの対応を受け取っていなかったことは、全くもってミステリである。
 WordPressに依存するインターネット上の大きな部分では、脆弱性は素早く発見され、即座に潰されることは必須である。
 あなたが自身のWordPress Webサイトの管理者であるのなら、必ずWordPressの最新バージョンを稼働しているように、プラグインには必ずパッチするようにしなさい。
 先週、私がOptimal Securityブログで述べたように、可能な攻撃から保護するためや、セキュリティ侵害のチャンスを最低限にするためのステップを、今、実行しなさい。

あるアンチウィルス・ベンダが、独立系テスト機関を騙そうとしていたことが発覚
AV-Comparatives : Facebook (2015/04/27)
 AV-Comparatives(以下、AV-C)は、テストに参加しているベンダの一つがテスト協定に違反していることを明かにした。このベンダによってテスト用に提出された製品は主要なテスト・ラボ(AV-Cを含む、AV-Cは、このバージョンの一般入手可能性を制限した)用に特別に設計されていたことが判明した。二つ目のベンダは類似の理由により調査中である。この解析が完了次第、AV-Cは、契約違反を発見されたベンダに対する措置をアナウンスする。

Sumsung(サムスン)Galaxy S5に、指紋が盗まれれる脆弱性
ESET : WeLiveSecurity (2015/04/23)
 Gizmodoの報道によると、Samsung Galaxy S5及び、名指しされていない他のAndroidデバイスに、ユーザが使用している指紋がハッカーによってクローンされ認証に使用される脆弱性が存在している。
 FireEyeの研究者によると、Samsungは、この電話に格納されている指紋を暗号化するステップを踏んでいたにも拘らず、暗号化のフェーズに達する前にハイジャックできることが判明した。これは指紋がクローンされ、あなたの指紋を使用している他の生体認証を破るために使用することができると、Planet Biometricsは説明している。
 この研究者は、ルートでプログラムを実行する能力のあるユーザレベルアクセスを持つあらゆるハッカーが、影響を受けるAndroid携帯(Samsun Galaxy S5はもっと簡単で、マルウェアがシステムレベルのアクセスを要求するだけ)上の指紋情報を収集することができると説明している。
 この研究者の一人Yulong ZhangがForbesに語ったことによると、「攻撃者がカーネルを壊しても、攻撃者は信頼済みゾーンに格納されている指紋データにアクセスできないが、攻撃者はあらゆる時に、指紋センサーを直接読み取ることができる。あなたが指紋センサーに触る度に、攻撃者はあなたの指紋の画像を盗むことができる。あなたは、データを取得することができ、このデータから、あなたの指紋画像を生成することができ、その後、あなたが望むあらゆることに、これを使用することができる」と説明している。」
 この脆弱性は、Android 5.0 Lollipop以降が稼働している携帯では修正されているので、ユーザは、Andoroidの新しいバージョンが利用可能になると直に、システムをアップデートすることが推奨されている。
 Samsungのスポークスマンは、Forbesに現在調査中であると語り、以下のように述べている。「Samsungは顧客のプライバシーとデータに大変真面目である。我々は現在、FireEyeの主張を調査中である。」
 昨年、Samsung Galaxy S5指紋スキャナは、木工用ボンドと写真を使用して模った「荒っぽいインチキの指紋」でバイパスすることが可能であったことが、We Live Securityのレポートで暴露されている。

Threat Finder身代金要求ソフト: スロースタータであったが、スピードアップしてきた
BleepingComputer : GeneralTopic>News (2015/04/18)
 Threat Finder v2.4は、1月末以来徘徊し、あなたのデータファイルを暗号化し、あなたのデータを復元するために1.25Bitcoin(およそ、300 USD)を要求する身代金要求ソフトである。Threat Finderはメディアの多くの注意を惹いていなかった。先月以来拡散が増加していることを示しているが、この変化は私を驚かすものではい。多くの犠牲者をターゲットにするために使用されている方法の一つは、RackSpaceのBrad Duncanによって報道されたAngler Exploit Kitの使用である。幸いにして、Threat Finderは幾つかの失敗をしているので、ユーザが彼らのファイルを復元することが可能である。

BleepingComputerは、Threat Finderのサンプルを取得し、この身代金要求ソフトの解析を実行した。この身代金要求ソフトそれ自体は、Windows Regsvr32.exe プログラムによって開始されるWindows DLL(ダイナミック・リンク・ライブラリ)として配布されている。感染すると、スタートアップ・エントリが、WINUPと呼ばれるWindowsレジストリ中に作成される。

    HKCU¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run "WINUP" = regsvr32 "C:¥Users¥¥AppData¥Local¥Temp¥reg.dll

reg.dllがロードされると、このdllは、65.49.8.104でコマンド&コントロールサーバに接続し、%Temp%フォルダにt0.da0, t0.da1, t0.daaファイルをダウンロードする。t0.da0は、この身代金要求ソフトがメインのインターフェース画面を含む画像ファイルである。t0.da1ファイルは、Check Payment(支払いチェック)ボタン画像であるが、t0.daaファイルは、何の目的で存在しているのか現在不明である。

Threat Finderは次に、あなたのコンピュータ上の特定のファイル拡張子をスキャンし、それを暗号化することを始める。Threat Finderが現在探しているファイル拡張子は、以下である。

    *.txt, *.html, *.htm, *.css, *.wmv, *.wallt, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb,
    *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm,
    *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd,
    *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay,
    *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl,
    *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

 Threat Finderがファイルを暗号化すると、その名前を変更する。ファイルを暗号化されていることの唯一の兆候は、あなたのプログラムが適切に表示されなくなることである。
 最終的に暗号化が完了すると、あなたの既定のWebブラウザが開き、%UserProfile%¥Desktop¥HELP_DECRYPT.HTMLファイルと、上に示したThreat Finder v2.4画面を表示する。このHTMLファイルは、あなたのデータが暗号化されたことに関する警告と、あなたのファイルを取り戻すには身代金を支払わなければならないことを表示する。

 メインのインターフェースは、身代金の支払い方法に関する指示(身代金を送信するためのBitcoinのアドレス、身代金の支払いに含めなければならない固有のBOT ID)を提供している。このBitcoinアドレス(1NadLTgZHFGJmqUuQ58dGsB7ADCbe5N6z1)は、全ての犠牲者に共通しており、ブロックチェーン(【訳注】 リンクは日本語の適当なサイトに変更しています)は、このアドレスに対して、およそ10の身代金の支払いが実行されたことを示している。このメインのインターフェースはまた、Check Paymentボタンを持っている。このボタンは、あなたがこのボタンをクリックしたときに、メッセージを表示するためのものである。我々のテストでは、このボタンをクリックしても、ネットワークリクエストは何ら実行されなかったので、このボタンが実際に何かを実行するか否か定かでない。
 現時点で、我々はファイルが実際に暗号化されているのか、アルゴリズムは何かということの解明を待ち続けている。けれども、良いニュースは、この感染がシャドー・ボリューム・コピーを削除しないので、Windowsの以前のバージョンの復元機能やShadow Explorerのようなツールを使用してファイルを復元することができることである。シャドー・ボリューム・コピーからデータファイルを復元する詳細な指示に関しては、こちらのCryptoWallガイドを参照されたい。

大規模なWindows SMBの脆弱性はユーザログイン認証にリスクをもたらす
Emsisoft : Blog (2015/04/15)
 ”Redirect to SMB”と名付けられた重要な脆弱性は、Cylanceによって露にされた。この脆弱性は、攻撃者が新しいテクニックを使用して重要なログイン情報を盗むことを可能にする。Windows(最新のWindows 10のプレビューでさえ)を実行している全てのデバイスが影響をうけ、脆弱性のあるソフトウェアパッケージのリストもまた長大である。この脆弱性は、この問題の解決を支援するために、ここ数週間、幾つかの影響を受けるソフトウェアベンダと共同作業していたカーネギーメロン大学CERT によって公開された。

サーバ・メッセージ・ブロック(SMB)から不正アクセスを可能にするまで

 サーバ・メッセージ・ブロック(SMB)は、アプリケーションレイヤー・ネットワーク・プロトコルとして働く、そして主に、ファイル、プリンタ、ネットワークのノード間の種々雑多なコミュニケーションへの共有アクセスを有効にするために使用される。今回の場合、犠牲者のコンピュータと正当なWebサーバとの間のコミュニケーションは、中間者攻撃や悪意あるSMBサーバを介してのリダイレクトを使用することでハイジャックすることができる。これらのサーバは、攻撃者に犠牲者のユーザ名、ドメイン、ハッシュされたパスワードを取得することを許可するだろう。従って、これは重要なログイン・データを盗むために、サイバー犯罪者によって使用されるもう一つのテクニックである。以下のイラストは、このシナリオを説明している。

SMB脆弱性を利用したリダイレクトは今に始まったことではない。CylanceのBrain Wallaceによると:

 SMB攻撃へのリダイレクトは、1997年にAaron Spanglerによって発見された脆弱性上に構築される。Aaron Spanglerは、単語”file”(file://1.1.1.1/ のような)で始まるURLをInternet Explorerに提供することは、SMBサーバにIPアドレス 1.1.1.1 で認証させる企てをオペレーティングシステムに発生させることを発見した者である。盗まれた証明書は、プライベート・アカウントへの侵入、データの盗難、PCの制御を行うことに使用され、ターゲットのネットワークに深く入り込み橋頭堡を築くことができるために深刻な問題である。これら”file”URLは、画像、iframe、あるいはブラウザによって解決されるあらゆる他のWebリソースとして提供されることが可能である。

 Microsoftは、今までの脆弱性を無視し、未パッチのまま放置した、望むべくは、今回そうならないことを。

アンチウィルス プログラムに影響さえ与える大規模な脆弱性

 以下の人気あるアプリケーション(Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Windows用Github)を含む、脆弱性のある31を超えるアプリケーションが発見されている。
 このリストには、アンチウィルス / アンチマルウェア プログラムさえ含まれている。以下のセキュリティ アプリケーションが影響を受ける。

    ・ Symantec Norton Security Scan
    ・ AVG Free
    ・ BitDefender Free
    ・ Comodo Antivirus

 この脆弱性の複雑な本質に起因して、標的型攻撃に使用されることは殆ど間違いないと予測される。しかしながら、サイバー犯罪者に想像力が欠如していることはないので、幾つかの異なるシナリオが存在する可能性がある。
 以下の攻撃型が、この脆弱性を利用することができる。

    ・ 洗練された計画に基づく標的型攻撃
    ・ マルバタイジング(悪意ある広告)を使用した攻撃
    ・ ホテルやコーヒーショップのような場所にある共有WiFiアクセスポイントを介しての攻撃

 我々がパッチを待っている間の、最も簡単な解決策は、ファイアーウォールを使用してポート TCP139 と TCP 445 からのアウトバウンド・トラフィックを完全にブロックすることである。望むべくは、Microsoftが、この大きなセキュリティ問題を真剣に受け取り、直ちに修正をリリースしてくれることを。

Windows, Flash, Javaが緊急のアップデートをリリース
Krebs on Security : Blog (2015/04/15)
Microsoft, Adobe, Oracleから本日、緊急のアップデートがリリースされた。あなた方は多分、これらからのソフトウェアを実行していると思われるので、これらのパッチを適用するようにしなさい。AdobeはFlash Playerのアップデートで少なくとも22のフローを修正している。この修正には、実際に脆弱性攻撃されている一つのフローが含まれている。Microsoftは、Windowsと関連アプリケーション中の2ダースを超えるバグを修正したパッチをリリースしている。この中には、今月、公にされたバグも含まれている。Oracleは、少なくとも15のフローを解決したJavaソフトウェア用のアップデートをリリースした。
 Adobeのパッチは、既に脆弱性攻撃されている0-Dayのバグ(CVE-2015-3043)用の修正を含んでいる。WindowsとMacintosh用のFlash Playerのユーザは、Adobe Flash Player 17.0.0.169にアップデートすべきである(他のOSに関しては、上記リンクの詳細部分を参照)。あなたのブラウザにFlashがインストールされているのか否か、それが実行されているバージョンが不明なのであれば、こちらのページを訪問しなさい。Google ChromeとWindows 8.xのInternet ExplorerにインストールされているFlash Playerは、バージョン17.0.0.169に自動的にアップデートされているはずである。
Googleは、多くのフローを修正したChrome用のアップデートを持っている。私は、これが今回のアップデートを含んでいると思うが、Chromeアップデートを適用し再起動した後、Flashをチェックするページにアクセスしても、このページはバージョン17.0.0がインストールされていると通知してくるだけである(先月リリースされたFlashアップデートは、バージョン17.0.0.134なので、これは役に立たない)。利用できるアップデートを強制的にインストールするには、アドレスバーの右にある「三本の横線のアイコン」をクリックし、「Google Chrome を更新」を選択し、ブラウザを再起動しなさい。
 Flashの最新バージョンはFlashホームページから利用できるが、McAfee Security Scanのような望みもしないアドオンに気をつけなさい。これを回避するには、ダウンロードする前に、「同時にインストール」の下にある「無料のMcAfee Security Scan」のチェックボタンを外すようにしなさい。もしくは、こちらからOS固有のFlashダウンロードを取得しなさい。Internet Explorer以外のWebブラウザ(Firefox、 Opera等)を利用しているWindowsユーザは、このパッチを利用している全てのブラウザに対して、このパッチを適用しなさい。IEで一回、他のブラウザでも同様に。
 Microsoftは今月、11のセキュリティ・ブレチンをリリースした。そのうちの4つは「緊急」に指定されている。これは、攻撃者やマルウェアがユーザの手助け無く脆弱性あるシステムに侵入し(ブービートラップや悪意あるWebサイトを訪問することを除く)、その脆弱性を攻撃できることを意味している。Microsoftはパッチで、Windows、Internet Explorer、Office、.NET中のフローを修正している。
緊急のアップデートは、Windowsの二つのバグ(IEとOffice)に適用される。.NETアップデートは、他のパッチと共に適用されると、適用と導入に問題を発生する長い歴史を持っている。そこで私は、他の全てのアップデートを適用し、再起動した後に .NETアップデートを適用する(あなたのシステムで利用できるのであれば)ことを推奨する。
 Oracleの四半期毎の「緊急パッチ・アップデート」は、15のセキュリティホールを塞いでいる。あなたがJavaをインストールしているのであれば、可能な限り早急にJavaをアップデートしなさい。Windowsユーザは、Windows中の「プログラムの追加と削除」中で、このプログラムをチェックすることができる。あるいは、java.comを訪問し、ホームページ上の「Javaの有無をチェック」リンクをクリックしなさい。アップデートはJava Control PanelもしくはJava.comから利用可能である。
 あなたが特定のWebサイトでJavaを必要としている、あるいは、アプリケーション用にJavaを使用しているのであれば、このソフトウェアのアップデートに時間をとりなさい。過去、コントロールパネル経由でのアップデートは、サードパーティ製のソフトウェアを自動選択していたので、Java Control Panelを介してのアップデートを実行する前に、必ず予めチェックされている「アドオン」がないか探すようにしなさい。また、Java 7ユーザは、このアップデートの後、OracleがJava 7のサポートを終了することに注意しなさい。Oracleは、Java 7ユーザをJava 8に静に移行させていたが、あなたがまだ、この移行を実行しておらず、あなたがブラウザにJavaのインストールを本当に必要としているのであれば、Java 8を入手しなさい。推奨されているバージョンは、Java 8 Update 45である。  他方、Javaを完全に削除することを真剣に考慮しなさい。私は、エンドユーザがJavaに関する特定の使用を持っている場合を除き、Javaを捨てるように長きに渡り促している(このアドバイスは、Javaに依存するレガシー アプリケーションやカスタム アプリケーションを所有するビジネス用ではない)。この広範にインストールされている強力なプログラムは、セキュリティホールで穴だらけになっており、マルウェア製作者と悪党供の最大のターゲットになっている。
 あなたがJavaを肯定的に使用していたり、必要としているのであれば、サイバー犯罪者が、このプログラム中の未知もしくは未パッチのフローを攻撃する機会を最小化する、このプログラムのインストール方法がある。あなたがJavaを必要とするサイトに存在するようになるまでブラウザからJavaを外しておきなさい(少なくとも、DefaultでWebサイトからJavaとFlashの両方の表示をブロックする、Click-to-playを活用しなさい)。Javaの最新のバージョンは、Java Control Panel経由でユーザが、WebブラウザにJavaコンテンツを無効化することを可能にしている。代替方法として、毎日のWebサーフィン用にブラウザからJavaを引き抜いたブラウザと、Javaを要求するサイト用に使用するだけの、Javaをインストールしてある二つ目のブラウザの、デュアル ブラウザの利用を考慮しなさい。
 多くの人々はJavaとJavaScript(サイトを対話的にするための強力なスクリプト言語)を混同している。残念なことに、Webベースの攻撃の多くは、悪意あるソフトウェアを挿入し、そのサイトの訪問者を脆弱性攻撃するためにJavaScriptトリックが使用されている。ブラウザ中でJavaScriptを管理する方法に関する詳細に関しては、私のチュートリアルTools for a Safer PCを参照しなさい。

CoinVaultから自由になる
Kaspersky : SecureList (2015/04/13)
 数ヶ月前、我々はCoinValtに関するブログポストを記述した。このポストにおいて、我々は、このマルウェアを分解し、曖昧なものではない、そのオリジナルコードを取得する方法を説明した。
 我々が最近、CoinVaultのコマンド&コントロールサーバからデータベースを取得した、オランダ警察のNational High Tech Crime Unit (NHTCU、国家犯罪捜査庁ハイテク犯罪ユニット)とオランダのNational Prosecutors Office(検察庁)によってコンタクトされた時、我々は、善用に培ってきた洞察力の下に、復号ツールの作成を加速することができた。
 金銭を支払うことなくデータを取り戻すために、我々はWebサイトを作成し、犠牲者に通知するためにコミュニケーションキャンペーンを展開した。
 復号ツールを作成するために、我々は以下のことを必要とした。

    ・ どのような暗号化アルゴリズムが使用されているか?
    ・ どのような暗号利用モードが使用されているか?
    ・ そして、最も重要なことは、どのようなマルウェアが扱われているか?

 「徹底した」リバースエンジニアリングの時間は明らかに無かったので、我々が実行した最初のことは、それが度のようなことを実行するのかを確認するために、このマルウェアのサンプルを実行することであった。事実、我々が考えていたように、これは別のCoinVaulのサンプルであった。我々が次に実行したことは、逆コンパイラ中に実行ファイルを開くことであった。そして、このポストで説明されているように、同じ難読化の方法が使用されていることを確認した。これはCoinVaultである。しかしながら、我々は、どのような暗号化アルゴリズムが使用されているのか、どのような暗号利用モードが使用されているのか依然として分かっていなかった。
 しかし、幸いなことに、我々はSandboxを持っている。Sandboxの素晴らしいところは、マルウェアを実行できるだけでなく、あらゆることを仮想的に追跡する能力を持っていることである。我々はファイルとレジストリの変更をダンプできるが、今回の場合、メモリダンプが最も興味を引くものであった。我々は、このマルウェアが RijndaelManaged クラスを使用していることを今迄のCoinVaultのサンプルから認識していたので、我々が実行する唯一のことは、メモリダンプ中に、この文字列を検索することであった。

 そして、あった。我々はCoinVaultが依然としてAESを使用していることを確認したが、もはや128-bitブロック サイズではなく、256-bitブロック サイズになっていた。この暗号利用モードはCBCからCFBに変更されていた。これが、我々が復号ツールを記述するために必要な全ての情報である。
 あなたのファイルを無料で復号できるかどうか確認するには、Kaspersky Lab - Ransomware Decryptorを訪問しなさい。

Kaspersky Lab - Ransomware Decryptor ページの和訳

 あなたは身代金要求ソフトの犠牲者か? オランダ警察のThe National High Tech Crime Unit (NHTCU、国家犯罪捜査庁ハイテク犯罪ユニット)、オランダのNational Prosecutors Office(検察庁)とKaspersky Labは、CoinVault身代金要求ソフト撲滅キャンペーンの共同戦線を張っている。我々の共同調査で、我々は、あなたのPCで誘拐されているファイルを復号化する支援となるデータの取得ができた。我々は復号キーと復号アプリケーション(直リンク)の両方を提供している。詳細情報に関しては、こちらのHOW-TO(【訳注】 下に和訳しています)を参照されたい。これは現在調査が進行中であり、新しいキーが将来追加されることに注意されたい。
【訳注】 下のチェックボックスには、あなたのBitcoin walletのアドレスを入力します。詳細は下の「CoinVault復号化ツール等の使用方法」参照してください。

CoinVault復号化ツール等の使用方法

【訳注】 上のリンクHOW-TOの和訳です。

Step1 あなたはCoinVaultに感染しているか?

 あなたがCoinVaultに感染しているか否かは簡単に確認できる。あなたがCoinVaultに感染しているのであれば、Figure 1 に描画されているような画像を見ているはずである。

Step2 Bitcoin walletアドレスを取得する

 Figure 1 の右下に、Bitcoin walletアドレスを確認できる(図中では黒丸で囲まれている)。あなたが、このアドレスをコピーし保存することは大変重要である。

Step3 暗号化されているファイルのリストを取得する

 Figure 1 の左上隅に、‘view encrypted filelist’ボタンがある(図中で青丸で囲まれている)。そのボタンをクリックし、出力をファイルに保存しなさい。

Step 4 CoinVaultを削除する

 https://kas.pr/kismd-cvaultサイトを訪問し、Kaspersky Internet Securityのトライアルバージョンをダウンロードしなさい。このソフトをインストールし、あなたのシステムからCoinVaultを削除しなさい。

Step 5 https://noransom.kaspersky.com でチェックする

  https://noransom.kaspersky.comを訪問し、Step 2 で取得したBitcoin walletアドレスを提出しなさい。あなたのBitcoin walletアドレスが既知であれば、IVとキーが画面上に表示される。複数のキーとIVが表示される可能性があることに注意しなさい。この様な場合には、後で必要になるので、全てのキーとIVを、あなたのコンピュータに保存しなさい。

Step 6 復号アプリケーションをダウンロードする

 https://noransom.kaspersky.comから復号ツール(【訳注】 上述の「復号アプリケーション(直リンク)」)をダウンロードし、あなたのコンピュータ上で実行しなさい。エラーメッセージ(図は省略します)が表示された場合は、Step 7 に進みなさい。エラーメッセージが表示されない場合は、Step 8 に進みなさい。

Step 7 追加ライブラリをダウンロードしインストールする

  http://www.microsoft.com/ja-jp/download/details.aspx?id=40779 を訪問し、Webサイトの指示に従いなさい。次に、このソフトウェアをインストールしなさい。

Step 8 あなたのファイルを復号する

 このツールを起動すると、あなたは Figure 3 に示す画面が表示される。

 このツールを始めて実行したのであれば、以下のことを強くアドバイスする。

    ・  Single File Decryptionの項目の”Select File”ボタンをクリックし、あなたが復号したいファイルを選択しなさい。
    ・ Enter your IVの項目のIVボックスにWebページから取得したIVを入力しなさい。
    ・ Enter your keyの項目のキーボックスにWebページから取得したキーを入力しなさい。
    ・ startボタンをクリックしなさい。

TorLockerの暗号化に欠陥
BleepingComputer : General Topics>News (2015/04/11)
 Kaspersky(カスペルスキー)は、TorLocker(もしくは、Scraper)身代金要求ソフト(ランサムウェア)が使用していた暗号化に欠陥があり、感染した人々のおよそ2/3が、このキーを復元できることをアナウンスする投稿を本日公開した。
 Kasperskyは、どのような欠陥かを厳密に明らかにしていないが、Kasperskyは誰でもが試すことのできる無料の復号化ツールを提供している。
 Kasperskyのブログポストは、こちら

【訳注】 TorLocker復号ツールについて

 通常、Kasperskyは、この様なユーティリティのページを日本語化して提供してくれますが、現時点では、復号ツールのページは英語版しか提供されていません。

・ TorLocker復号ツールのページ(英語版)
http://support.kaspersky.com/viruses/disinfection/11718#block2

・ 日本語ユーティリティーのページ(現時点では、TorLocke(Scraper)の記事は存在していません) http://support.kaspersky.co.jp/viruses/utility

Dell System Detectを介したリモートコード実行の可能性
F-Secure : News from the Lab (2015/04/02)
 ジャーナリストJohn Leydenは、最近Tom Forbesによる脆弱性研究に対する我々の意見に関して接触してきた。Forbesの研究の中心は、Dellの”System Detect”ユーティリティと、リモートコード実行を可能にするフローに関するものであった。Forbesは昨年11月、彼の発見したことを通知し、Dellは1月(先週にも再び)にこの問題の軽減対策をとった。
 しかし、我々の見解では、重要な問題が残っている。
 このソフトウェアの古いバージョンは、それ自体をアップデートしないので、世の中の多くのコンピュータに脆弱性を残したままになっている。時間の経過に連れて、我々の顧客は、数十万回もSystem Detectの様々なバージョンをスキャンした。これは大変一般的なソフトウェアである。この2週間の我々の顧客を基にした統計から、我々はおよそ10万の顧客がSystem Detectに関する評判を検索していることを確認した。我々の顧客の僅か1%だけが今、このソフトウェアの最新バージョン(以下のグラフで赤で示されている)を実行している。


 一般的に使用されているDell System Detectのバージョン

 System Detectの古いバージョンは、レジストリ中にRunキーを作成し、サービスを自動的に開始する。そこで、脆弱性のあるバージョンは、Dellのサポート サイトを訪問する時にだけ必要とされるものであるにも拘らず、永続的に稼働し続ける。このソフトウェアの最新バージョン(6.0.14)は、Runキーを作成しない。
 System Detectの古いバージョンを脆弱性攻撃することは大変簡単である。ターゲットのユーザが、そのドメイン中のDellの幾つかのバリエーションの付いたURLを訪問することを要求するだけである。正確には、ソフトウェアのバージョンに応じて、URL中の場所は変化する。
 我々は、ネットワークトラフィックを監視し、同じトラフィックに小さな修正を加えたものをリプレイして、System Detectの三つのバージョンをテストするためにForbesの研究と、我々独自のブラックボックスを使用した。我々は、古いバージョンがターゲットにされているマシンで、calc.exeを起動できる(即ち、リモートコード実行)ことに使用することができることを確認した。

 このソフトウェアのバージョン 5.4.0.4 に関しては、リファラ フィールドのURLのドメイン部分に、”del.com”を必要とするが、このバージョンは、”www.notreallydell.com”もまた受け入れる、これは大変な脆弱性である。

 バージョン 6.0.9は、Forbesがこの問題をDellに通知した後リリースされた。このバージョンは、ドメインに”.dell.”を含むことを要求している。これはまた、”a.dell.fakesite.ownedbythebadguys.com”を受け入れることを意味しているので、Webベースの攻撃に対する脆弱性が存在している。
 現在のバージョン 6.0.14 は、”*.dell.com”を要求し、特に自動起動が実行され無いように組み合わされているので、この問題を幾分解決している。あなたが何らかのバージョンをインストールする必要があるのなら、このバージョンにすべきである。
 古いバージョンは、明らかに可能な限り早急にアンインストールされなければならない。

 こちらに有効なダウンロードリンクのHTTPSがある。
 我々は、我々の顧客を保護する必要があるかもしれない、更なる問題とアクションの調査を継続している。

100万のChromeユーザのデータが、一つの危険なIPアドレスに送信されていた
The Register : Security (2015/04/08)
 セキュリティ研究者のチームが、人気のあるChrome拡張中にマルウェアを発見した。このマルウェアは、120万を越えるユーザのブラウジングデータを単一のIPアドレスに送信していたと思われている。
 ScrapeSentryは、「フリーアプリケーションの不吉な副作用(ユーザの個人情報を、USA中の単一のIPアドレスにリークする可能性)」を露にした研究者を称賛している。
 拡張の悪意ある機能は、卑劣な開発者が、この機能がインストールされた後、7日間はダウンロードされないことを保証しているために、自動化された監視サービスを介して認識することは困難だろうと、ScrapeSentryの設立者Martin Zetterlundは、The Registerに告げている。
 ScrapeSentryは、危険なChrome拡張を先週解析し、そこで発見された物をGoogleに提示した。
 不愉快なマルウェアWebpage Screenshotは、火曜日にGoogle拡張Webストアから削除された。この拡張は明らかに、ユーザがスクリーンショットをキャプチャし、後で編集するために、それらを保存することを可能にしている。
 お決まりの声明において、Zetterlundは、「我々は最近、我々の調査員に何かが間違っていると警告した、我々の顧客のサイトの一つに対する尋常では無いトラフィックを同定した」と、発言している。
 彼は更に、「インターネットからのダウンロードされた全てのものは疑わしいものとして処理される必要がある、あなたが自分自身でそれらを選択する知識を持っていないのであれば、最初に、プログラムや拡張に関して、他の人が発言していることに注目するのは適切な考えである」と付け加えている。
 Cristian Mariolini(不正な拡張を発見したチームのリーダーであるScrapeSentryのアナリスト)は、「これの影響は、拡張をダウンロードした個人にとって大きなものである。個人データに発生したことと、USサーバに対してそれを送信したいとする動機は、予測不可能であるが、ScrapeSentryは、良いニュースになることはないだろうと、経験に基づく推測を行っている」と言及している。
 「そして、もちろん、それが停止していないのであれば、任意の時点で、プラグインは新しい悪意ある機能でアップデートされるかもしれない。我々は、Googleが、このセキュリティ漏洩を緊急に調査することを希望する」と、彼は追加している。
Webpage Screenshotのスポークスマンは、それが収集したデータについて何の悪意もないとBeeb(【訳注】 英国国営放送BBCのニックネーム)に語っている
 代わりに、この企業の者は、コードの開発を推進する助けとして、この拡張のユーザが誰なのか、そして、何処に住んでいるのかを理解するために使用されたと発言している。
 「ユーザは共有から身を引くことができる」と彼は追加している。
 The Registerは、コメントを求めてGoogleに接触した。我々はコメントを得たら、この記事をアップデートする。

Google Gmailユーザはソフトウェアの誤作動に襲われた
BBC : Technology (2015/04/06)
 世界中のGmailユーザは、Googleがメッセージング・ソフトウェアの重要な部分のアップデートを忘れたために、週末の間、エラーと安全警告を見ていた。
 Googleは、「大多数」のユーザが短期間のソフトウェア問題の影響を受けていたと発言している。
 人々はGmailにアクセスし使用することができているが、多くの人々は、この問題のために「予期せぬ挙動」を見ている。
   多くの人々は、Googleに何が間違っていたのか明確化することを求めて、Twitterを介してこのエラーを報告した。
 このエラーメッセージは、04月04日早くに現れ始めた。そして、Gmailと幾つかの企業のメッセージ・アプリケーションからe-Mailメッセージを送信しようとする人々を攻撃した。
 この問題は、Gmailとそのアプリケーションサービス用のセキュリティ認証を更新することを無視したために発生した。この認証は、ソフトウェアが宛先と安全な接続を確立するための助けとなるので、メッセージは、殆どスパイされる怖れなく送信される。
 Google独自の社内セキュリティサービス(Authority G2と呼ばれる)は、Googleのセキュリティ証明書と他の安全なソフトウェアシステムを管理している。
 この問題に関する情報は、GoogleがアプリケーションとeMailサービスを保全しているステータス・ページにポストされた。
 このステータス・メッセージにおいて、Googleは、この問題が「大多数のユーザに影響を与えた」とし、この影響を受けた大多数のユーザはエラーメッセージを見ていたと発言している。この誤作動は、プログラムに「予期せぬ」方法での動作を発生させたと追加している。
 この問題は、最初に判明した後、およそ2時間で解決された。
 この誤作動は、Googleが、中国のインターネットネットワーク情報センター(CNNIC)によって発行されたセキュリティ証明書の拒否を始めた直後に発生した。Googleは、CNNICによるセキュリティの過ちは、この証明書が、もはや信頼されることができないことを意味していると発言している。CNNICは、この決定を「受け容れ難く理解できない」と叫んでいる。

Xtubeがセキュリティ侵害された。Cryptowall感染を導く攻撃
Emsisoft : Blog (2015/04/03)
 通常、アダルトコンテンツをホストしているWebサイトは、クイッククリックがそこでは支配的なこともあり、サイバー犯罪者のお気に入りのターゲットである。そのようなWebサイトであるXtubeが、セキュリティ侵害されており、悪名高いCryptowallを含むあらゆる種類のマルウェア感染に導く攻撃を提供していた。Xtubeはアメリカにおいてもっとも訪問されるWebサイトの780番目なので、これは、大変懸念されている。

マルウェアを提供するために攻撃されたFlash脆弱性

 malwarebytesによると、このWebサイトはneutrino攻撃キットをホストしている。このケースでは、ハッカーはWebサイトそれ自身に悪意あるコードの断片を直接挿入していた(ローテーティング・ドメインを使用しての動的挿入)。そこには脆弱性攻撃を含んでいるWebページに案内するために使用される、幾つかのリダイレクターが存在している。次のステップで、パッチされていないFlashプラグインが脆弱性攻撃され、マルウェアが配達される。

身代金要求ソフト(ランサムウェア)が再び増加

 ドロップされたファイルはXtube.exeと名付けられている。稼働すると、このマルウェアは、explorer.exeとsvchost.exeプロセスを使用して、それ自身を抽出する。このマルウェアは、実際にはRSA-2048暗号化を使用してユーザのファイルをロックするCryptowall 3.0であることが明かとなった。予想通り、この暗号化プロセスの後、身代金要求ソフトはtorネットワークアドレスを介しての支払いを要求する。
 Cryptowallや他の身代金要求ソフトの変種は、2015年に持続的な脅威になり、世界的に徐々にサイバー犯罪者のお気に入りのツールになった。この様な脅威の行為は、アンドゥーすることが困難なので、ユーザは常に、不快な状況に陥らないために、彼らにとって価値のあるファイルやドキュメントを定期的にバックアップし続ける必要がある。
 管理者やXtubeは、この問題を通知されている。望むべくは、早急に解決されることを。

あなたは広告インジェクターに感染しているか? Googleが驚くべきアドウェア感染統計を公開した
Graham Cluley : Blog (2015/04/02)
 あなたがGoogleしたとき、以下のようなものが提供されているページを表示されたと仮定する。

Nuxus 6 Androidスマートフォンに関するWebページへの多くの(多分)役に立つリンクとは別に、あなたが本当に見たいコンテンツの邪魔になるバナー広告、アフィリエイトのリンクのページを提供されている。
 このページ上のグラフィカルな広告は、Googleに関しては珍しいので直ちに人目を惹きつけるものであるが、これらのテキストリンクを子細に見てみよう。


 画像中の、"Ads by wxDownload" に注目

 この事実は、これらのリンクとバナー広告の全てが、あなたを欺き、あなたのコンピュータにプログラムをインストールし、誰かが金銭を得ることを支援するということにある。
 此処にもう一つ例がある。
 あなたがThe New York TimesのWebサイトを訪問すると、以下の画像のように見えるはずである。


 これは明らかに、あなたを怖がらせ、あなたのコンピュータ上にウィルスやセキュリティ問題があると信じ込ませ、即座に「テクニカル サポート」に電話するようにと主張しているようには見えない。
 もう一つ、非難されるべき広告。


 広告が挿入されたニューヨークタイムズ。
 お使いのコンピュータで発見された疑わしい行動として、個人情報漏洩の可能性とコンピュータエラーが検出されました。
 公認のライブ技術者に直ちに連絡してください。  XXXXXXXXXXXXX(無料電話番号)

 此処で発生していることは、あなたのコンピュータの通常のブラウジングがサードパーティのプロセス(しばしば、ブラウザ拡張やプラグインを介してインストールされる)によって邪魔をされていることである。
 あなたは、あなたが訪問しているWebサイトによって提供されている正当な広告であると思っているかもしれないが、それは真実ではない。
 おそらく、あなたがwxDownloadのようなユーティリティをインストールしたとき、あなたのダウンロードスピードが改善され、あなたのインターネットアクセスがスピードアップすると思ったのではないだろうか。
 しかし、真実は、あなたが否応なしに広告を挿入したり埋め込んだりするプログラムとファウスト契約したということである。
 Googleとカリフォルニア大学バークレイ校の研究者によって行われた最新の研究は、これらの刺激的で、(時々)実に悪質な広告挿入がどれだけ普及しているのかを把握しようと試みた。
 研究者は、様々なオペレーティングシステム上でChrome、Firefox、Internet Explorerを介してGoogleサイトの100万を越えるページビューを検証した。
 彼らが発見したことを、以下に警告している。

    ・ 広告の挿入はWindowsだけの問題ではない。広告挿入はWindows及びMac上で可能であると共に、全てのメジャーなWebブラウザは、この影響を受ける。
    ・ 驚いたことにGoogleのサイトを訪問する5%の人々が、「少なくとも一つの広告挿入プログラムをインストールしていた。この群の中で、半分の人達が、少なくとも二つの広告挿入プログラムをインストールしていたし、1/3の人達が、少なくとも四つの広告挿入プログラムをインストールしていた。」 これは、一部の人々が、この様なものに本当に惚れ込む傾向にあるということを私に継げている。
    ・ Googleの研究は、広告を挿入するChrome拡張の34%は「剥き出しのマルウェア」として分類されることを明らかにしている。此処にグレーゾーンは無い

 さらに、研究者は、彼らが1400万ユーザに影響を与えてきた192の人を欺くChrome拡張を発見したと主張している。これらの欺瞞的な拡張は現在無効にされている。そして、Googleは今後類似の拡張の更なる捕獲を実行すると発言している。
 しかし、多分あなたは、何をインストールしているのか、コンピュータのセキュリティをどのように管理しているのかということに関してより注意深く行うという、あなた自身の部分の役割を果たす必要がある。
 あなたはGoogleのブログポストをチェックすることによって、広告感染問題について詳しく読むことができる。完全なレポートは5月にリリースされる予定である。

多くの広告やポルノがWebブラウザ中にポップアップするなら、おそらくルータがハイジャックされている
Tripwire : The State of Security (2015/03/26)
 Webブラウザがポルノをポップアップしたりイライラする広告を最近挿入しているようであれば、簡単ではあるが危険な説明がある。
 多分、ハッカーは、あなたのインターネット・ルータをハイジャックしている。
 Ara Labsのセキュリティ研究者は、攻撃者がルータのDNS設定を変更し、影響下にあるユーザが訪問した実質上全てのWebサイト上に許可されていない広告やアダルトコンテンツを発生させ、攻撃者への収入を生み出していることを発見しており、この活発なキャンペーンに警告を発している。
 DNSレコードは、電話帳のように機能する。これは、tripwire.com あるいは google.comのような、人間が読むことのできるWebサイト名を、インターネットによって理解可能な数列に変換する。しかしながら、誰かが何とかルックアップを変更したなら、問題が発生する(あなたのブラウザが、google.comに行こうとしても、実際には、完全に別のWebサイトに連れていかれる)。
 これを実行する方法の一つが、攻撃者があなたのインターネット・ルータに侵入し(多分、あなたがDefaultセキュリティ設定を使用しているか、簡単にクラックできるパスワードを使用していることが理由)、そのDNS設定をいじり回すことである。
 Ara Labsのブログポストは、この脅威を詳細に説明している。

 これらルータ・ハイジャックが成功すると、そのルータのDNS設定は、攻撃者によって制御されているペテン用のDNSサーバに向かうように変更される。Defaultで、殆どの一般的なオペレーティング・システム(Windows, OS X, iOS, Android, Ubuntu)は、これらOSがネットワーク(DHCP経由で)に接続したとき、ルータから、それらのDNS設定を自動的に取得するように設定されている。これは、デバイスがセキュリティ侵害されたルータのネットワークに接続したとき、OSが自動的にルータと同じペテン用のDNS設定を構築することを意味している。
 攻撃者が、あなたがIPをルックアップするために使用しているDNSサーバを制御したなら、彼らは、正しいIPを彼らの制御下にあるサーバのIPに置換することができる。次に、あなたは、特定のドメインに接続していると思い(実際には攻撃者によって制御されているサーバに接続しているのだが)、このIPに接続することになる。

 彼らがオンラインの真の銀行サイトを訪問していると信じ込むように、ユーザをペテンにかけるテクニックが配備されていることをイメージすることは簡単である、しかし、Ara Labは、この最新の攻撃が、インターネット上の多くのWebサイトが訪問者のトラフィックを計測し追跡するためにGoogle Analysticスクリプトを実行しているという事実を悪用していると報告している。
 このペテン用のDNSサーバは、google-analytics.comへアクセスする要求を、攻撃者の制御下にある実行中のコードでブラウザを欺き、インチキのIPアドレスで対応する。

 言い換えれば、あなたは全く正当で清潔なWebサイトを訪問したばかりのところで、アフィリエイト・スキームを介してハッカーが収入を得ることを支援する、追加広告がバラ撒かれていることに気がつくことになる。更に、表示された広告は、そのサイトが通常適切であると考えていない内容(アダルトWebカメラ・サイトやポルノ)になっているかもしれない。

 これらの何れも、Webサイト管理人の誤りではないのだが、多分あなたは、彼らに責任があると考えるだろうし、あなたのルータがハイジャックされているとは認識しないだろう。
 Ara Labsが作成したビデオは、このマルウェアが人気のあるWebサイト(Huffington Post(ハフィントンポスト)やthe New York Times(ニューヨークタイムズ))に広告を挿入しているところをデモンストレートしている。
 もちろん、この挿入されたコードは、いわゆるAdobe Flash脆弱性を悪用することによって、訪問しているコンピュータにマルウェアを感染するように設計されている悪意ある脆弱性攻撃キットに簡単に含ませることができる。
 事実は、ハッカーが現在制御権を持っているということであり、あなたが訪問したい実質的に全てのWebサイト上で実行できるコードで、彼らが望んでいることを実行することが可能であるということである。
 あなたの最高の防御? あなたのルータのファームウェアを最新のアップデートでパッチし続けることを確実にすることであり、あなたが最初にデバイスを購入したときに提供されているDefaultログイン認証情報のままにしておかないことである。

洗練された新種のPOSマルウェアが発見された
EMSISOFT : Blog (2015/03/24)
 PoSeidon(ポセイドン)はギリシャの海神であるが、現在、PoSeidonは危険なPoint-of-Saleマルウェア (POS、主にカードリーダーとレジを狙う特殊なマルウェア)の名前である。この厄介な脅威は、数年前に、Home Depot(【訳注】 ザ・ホーム・デポは、アメリカ合衆国の住宅リフォーム・建設資材・サービスの小売チェーン(Wikipediaより))を含むアメリカの大企業と小売業者が数百万ドルを強奪された時に使用され猛威をふるったZeusバンキング・トロイやBlackPOSマルウェアのツールで武装している。Ciscoのセキュリティ・チームの研究者によって発見されたこの新しい変種は、報道されているところによると、今までのPOSマルウェアより更に洗練されている。

マルウェアが顧客のカード情報を盗む等

 消費者が小売から購入しようとするときクレジットやデビットカードが使用される、この時、POSシステムはクレジットカードの裏の磁気ストライプ上に格納された情報を読み込むために使用される。PoSeidonはクレジットカード情報を抽出しようとし、コンピュータのメモリ上でクレジット/デビット カード シーケンスを検索する。次に、PoSeidonは、これらを既知のVisa, Mastercard, AMEX, Discoverのフォーマットに合わせる。この捕獲したシーケンスが正当なカード番号であるか否かチェックするためにLuhnアルゴリズム(【訳注】 単純なチェックサム)を使用している。PoSeidonがどのように動作しているのか、以下のダイアグラムが説明している。


 【訳注】 今年1月、アメリカの小売大手Targetがこの攻撃を受けました。この件に関するKasperskyの説明があります。上図の説明にあたる部分を引用しておきます。
”攻撃者が何らかの方法でTargetの支払処理サーバーに侵入したことはほぼ間違いないと思われます。しかし問題は、カードデータがサーバーに到達したときには、情報がすでに暗号化されていたということです。とはいえ、その情報が支払の承認のために平文に復号される時間はほんの少ししかありません。そのときに、レジ自体(システムによっては近くのサーバー)が支払データを平文でランダムアクセスメモリ(RAM)に保存します。
 ここでPOSマルウェアが暗躍します。POSマルウェアは、この復号されたRAMデータをかき集めて、カード番号、ユーザー名、住所、セキュリティコードといった支払情報など、トラック1とトラック2のすべての支払カードデータを盗み出すように、特別に設計されています。この種のマルウェアはRAMスクレーパーと呼ばれており、少なくとも6年ほど前から出回っています。”

 このプログラムは主に二つの部分(ローダーとキーロガー)で構成される。このローダーは、リモートサーバーに接続し、キーロガーをダウンロードすることによって感染プロセスを開始する。アクティブになると、キーロガーは、感染したマシンのメモリ中に、クレジット番号をスキャンする。何らかの一致が発見されると、このデータはメモリから取得されリモートサーバに転送される、そこで、サイバー犯罪者はクレジットカード番号を盗むことになる。しかしながら、キーロガーの能力は、この特定の情報の取得に限定されない。その能力は、パスワード、ログインデータ、銀行口座の詳細を含む、メモリ中の大変多くの物を簡単に盗聴することができる。
 PoSeidonが盗んだデータを転送するドメインには以下が含まれている。

    ・ quartlet.com
    ・ horticartf.com
    ・ kilaxuntf.ru
    ・ dreplicag.ru
    ・ fimzusoln.ru
    ・ wetguqan.ru

PoSeidonはセルフアップデートできる、そして、削除が困難である

 マルウェアの殆どの形式の物がそうであるように、PoSeidonも如何なるシステムからも簡単に削除されることを望んでいない。したがって、ローダー・プログラムは簡単に終了されることを回避するために“WinHost”と呼ばれるサービスを作成する。このサービスは、このマルウェアを永続的で蔓延する脅威にするために、ユーザがログオフした後でさえ、何とか生存し続ける。
 CISCOの研究者によると

 ”PoSeidonは、他のPoSマルウェアに見られない新しい能力のある迅速で回避的であるように専門的に書かれている。PoSeidonは、C&Cサーバーと直接通信でき、新しいコードを実行するためにセルフアップデートし、リバースエンジニアリングを警戒した自己防衛メカニズムを持っている。

 POSマルウェア攻撃は、2013年以来、頻度とボリュームが増加している。結局、クレジットカード情報を盗むことは、サイバー犯罪者にとって大変な恩恵である。犯罪者は、このカードを使用して犠牲者の金銭で購入できるだけでなく、クレジット番号はまた、簡単に現金化するためにブラックマーケットで売ることもできる、これはマルウェア製作者が匿名のままでいることを可能にする。
 Ciscoは、彼らの顧客のデータを保護するために、セキュリティの最善の実行(脅威を中心においたアプローチから始めるようにする)を考慮するよう小売業者に奨励している

Adobe: Flashのセキュリティパッチをリリース
Krebs On Security : Blog (2015/03/12)
 Microsoftのパッチの火曜日(月例パッチの日)に引き続き、AdobeがFlash Playerブラウザ・プラグイン用のセキュリティ・フィックスを公開した。
 インターネット防虫用の3月12日のアップデートは、11のCVEにリストされている脆弱性を解決している。Adobeは、Windows、OS X、 Linuxに関して真っ先に配備されるべき優先課題として、このパッチをリストしている。
 このフローの中には、9つのリモートコード実行のセキュリティホールが存在している。このセキュリティホールはマルウェアをインストールするためや、脆弱性のあるシステムの制御を奪うための脆弱性攻撃が可能である。Adobeは、これまでに、インターネット上で、このフローがターゲットにされているとする如何なる報告も受け取っていないと発言しているが、我々は皆、アップデートしていない人々を捕獲するために、これらのバグを手中にしたがっていることを認識している。
 パッチされる脆弱性の完全なリストは以下である。

    ・ CVE-2015-0332: メモリ破損を介してのリモードコード実行の脆弱性
    ・ CVE-2015-0333: メモリ破損を介してのリモードコード実行の脆弱性
    ・ CVE-2015-0334: タイプの混乱によるリモードコード実行の脆弱性
    ・ CVE-2015-0335: メモリ破損を介してのリモードコード実行の脆弱性
    ・ CVE-2015-0336: タイプの混乱によるリモードコード実行の脆弱性
    ・ CVE-2015-0337: クロスドメインポリシーをバイパスする脆弱性
    ・ CVE-2015-0338: 整数(Integer)オーバーフローによるリモートコード実行の脆弱性
    ・ CVE-2015-0339: メモリ破損を介してのリモードコード実行の脆弱性
    ・ CVE-2015-0340: ファイルアップロードの制限をバイパスする脆弱性
    ・ CVE-2015-0341: 解放後の使用によるリモートコード実行の脆弱性
    ・ CVE-2015-0342: 解放後の使用によるリモートコード実行の脆弱性

 Linux ChromeとInternet Explorer、Flash Player継続サポートリリース、Flash Playerデスクトップ・ランタイム用のAdobe Flash Playerを実行しているユーザや管理者は、このパッチの最も最新バージョンに、彼らのソフトウェアをアップデートするよう強くアドバイスされている。The Registerは、このプラグインをアンインストールするか、ブラウザの”click to play”を有効にするようにアドバイスする。

Microsoftのアップデート3033939: 無限再起動を発生
Krebs On Security : Blog (2015/03/12)
 複数の技術支援フォーラムへの投稿によると、今週火曜日(日本時間では水曜日)にMicrosoftがリリースしたオペレーティング・システム・アップデートの一つが、大変な数のWindows 7 ユーザに無限再起動を発生させている。問題のアップデートは、喫緊のセキュリティ脆弱性を解決していないと思われるので、未だインストールしていないユーザは、Microsoftが修正するまで、このパッチのインストールを遅延すべきである。

【訳注】 「KB3033929」は、昨年10月15日にリリースされた「KB2949927」を置き換えた修正版。「KB2949927」はリリース後に、インストールできなかったり、インストール後にOSの再起動に失敗するなどの問題が報告されたため、同月20日に配布が中止。アンインストールが推奨されていた。(窓の杜より)

 様々な技術支援フォーラムは、誤作動パッチを適用した後、無限再起動を経験しているWindows 7 ユーザからのリクエストで満たされ始めている。このパッチは、オペレーティングシステムのトップで実行しているプログラムの完全性と確実性を検証するために、Windows 7 と Windows Server 2008 R2の能力を改善する「コード署名」アップデートである。
 記述している時点で、技術支援フォーラムの誰も、この問題の解決策を持っていないかのようである。何らかの変更があったなら(あるいは、Microsoftが、このパッチを撤退させたり、再リリースしたなら)、私は、この記事をアップデートし解決策を投稿する。現時点では、Windowsユーザは、KB3033929のインストールを遅延することが最善の策である。

Pandaアンチウィルスは、自分自身にマルウェアのラベルを貼っていた
The Register : Security (2015/03/11)
 スペインのセキュリティ・ソフトウェア企業Pandaが、独自技術のコンポーネントを悪性として分類したアップデートをリリースした後、Pandaユーザの水曜日は何をやっても上手くいかない日となった。
 結果として、このアンチウィルス・ソフトウェアを稼働している企業のPCは、システムが、不安定になるか、インターネットアクセスができなくなるかとなり、何かに縛り付けられたようになった。Pandaのスポークスマンは、この問題を確認し、この問題は掌中にあると報告している。
 「とんでもないアップデートは、本日(水曜日)に一時的にリリースされた。結果として、幾つかのシステムファイルが、Pandaエンジンによって検出されることとなった。代替のアップデートは、エラーを削除し、間違って検疫されたファイルを復元するようにして、早急にリリースする」と、PandaはThe Registerに説明している。
 「現時点で、我々はシステムを再起動しないことを推奨する。これは、我々が修正アップデートでシステムをアップデートすることを可能にする。このアップデートはまた、今までに検出したファイルを復元する」と、彼は続けている。  この問題に関する公式のアドバイザリは、この問題がPanda Cloud Office Protection, Panda 2015製品、Panda Free AVに限定されると発言している。ユーザは修正が利用可能になるまで、コンピュータを再起動させないように強くアドバイスされている。
 The Registerは、Pandaの手違いを、読者Austinからのヒントを介して聞いた。彼は、この問題の裏に残業があるとする主張を免除すべきであるとしている。
 「複数のサイトにまたがるPandaアンチウィルスの多数のインストールの全てで、一斉に、それ自身のコンポーネントをウィルスとして検出した」と、Austinは説明している。
 「あなたが再起動で『この問題』を除染しようとすると、あなたは再起動後ネットワークアクセスできなくなる」
 「我々が『検出』したファイルは、psanmodrep.dll と alertsmanager.dllを含んでいる。共にPandaアンチウィルスそれ自体の主要コンポーネントである」と彼は追加している。
 Pandaアンチウィルスのユーザは、彼らの苦境を放送するためにTwitterを始めている。

【訳注】 Panda Security社の企業向け及び個人向け製品の販売、サポートを行っている「PS Japan株式会社」から、既に公式の解決策が提供されています(日本語)。以下のリンク参照してください。

http://www.ps-japan.co.jp/supportnews/n142.html

以下は、PS Japanのホームページからの引用です。

経緯

    3月11日 23:00頃 症状の報告あり、調査解析をおこなう。
    3月12日 03:00 新しいシグネチャファイルに変更済み

対応策

    コンピュータを再起動しないようにしてください。
    隔離されたファイルを復元する取り組みを進めています。それは自動的におこないます。
    但し、コンピュータを再起動してしまうと、そのソリューションが反映されなくなり
    また起動しなくなる恐れがあります。
    この場合には、回復ツールを現在、Pandaでは準備をしています。
    準備が出来次第、すぐにご案内をさせていただきます

Cryptowallが、ヘルプ・ファイル(CHM)を介して回帰している
HOTforSecurity : blog (2015/03/09)
 新たなスパムの波が、悪名高いCryptowall身代金要求ソフト(ランサムウェア)を拡散するために、悪意ある .chm 添付ファイルで数百の受信箱を攻撃していることを、Bitdefender Labのマルウェア研究者達が発見した。
 面白いことは、ハッカーが、あまり「流行」に向かわず、犠牲者のマシン上で自動的にマルウェアを実行し、その内容を暗号化する大変効果的なトリック(悪意ある .chm 添付ファイル)に向かっていることである。
 chmは、コンパイルされたHTMLファイルフォーマット(ソフトウェアアプリケーションと共にユーザマニュアルを配布するために使用されるファイルタイプ)用の拡張子である。HTMLファイルは、.chm 拡張子付きのバイナリファイルとして圧縮され配布される。ハイパーリンクされた目次、インデックスとフルテキストの検索とともに、このフォーマットは、圧縮されたHTMLドキュメント、画像、JavaScriptファイル、で作成されている。

ヘルプファイルの何がそんなに危険なのか?

 これらのCHMファイルは、非常に会話的であり、JavaScript(このCHMを単純に開くと、外部URLにユーザをリダイレクトする)を含む一連のテクノロジを実行する。攻撃者は、このファイルにアクセスされると、悪意あるペイロード(【訳注】 ペイロードには、一発のミサイルに搭載される爆発物の総量の意味があります。「悪意の総体」くらいの意味です)自動的に実行するためにCHMファイル脆弱性攻撃を実行する。そして、これは完全に筋が通っている、ユーザとの会話性が少ないほど、感染のチャンスは大きい。
 インチキの入来ファックスレポートe-Mailは、ユーザのドメイン中のマシンからのであると主張している。これは、会社のネットワークに侵入するために、別の組織から雇用者をターゲットにしたところのe-Mailを信じるように我々を仕向ける。

 .Chm アーカイブのコンテンツがアクセスされると、悪意あるコードは、こちらのロケーションか(http://*********/putty.exe)らダウンロードし、自身を %temp%¥natmasla2.exe に保存し、それから、マルウェアを実行する。このプロセスの間、コマンドプロンプト・ウィンドウが開く。

 CryptowallはCryptolocker(そのウィルス性ペイロードを脅威の存在しないアプリケーションもしくはファイルとして装うことで知られるファイル暗号化身代金要求ソフト)の進化したバージョンである。そのペイロードは、どうにかして、復号キーのための金銭を引き出すために、感染したコンピュータのファイルを暗号化することである。
 身代金要求ソフトは、最も挑戦的なマルウェア種族の一つである。とりわけ、内部データがプライベートなままであることを確実にするために、ますますアグレッシブなヒューリスティックを作成することを強制されるセキュリティ企業にとって。企業が身代金要求ソフトに対する防衛を鼓舞することができる方法に関する詳細な学習は、こちら。  e-Mail攻撃は、02月18日に発生し、数百人のユーザをターゲットにしていた。スパムサーバはベトナム、インド、アメリカ、ルーマニア、スペインに存在しているようである。受信者のドメイン名を解析した後、攻撃者は世界中のユーザ(アメリカ、ヨーロッパ、オーストラリア、オランダ、デンマーク、スウェーデン、スロバキアを含む)に隠れているかのようである。
 Bitdefenderは、このマルウェアをTrojan.GenericKD.2170937として検出する。

Cryptowallの感染を防ぐには?

 Bitdefenderの研究者達は、Cryptowall感染を防ぐ提案書(データのコピーを外部ドライブに保存することを含む)を作成している。それに関してはこちらで読むことができる。特別な保護を追加するために、Bitdefenderは、Cryptowall Immunizer(ユーザがコンピュータに免疫を与えることを可能にし、ファイルの暗号化が発生する前に、ファイル暗号可の企てをブロックする)も開発している。Bitdefenderは、ユーザがアンチウィルス・ソリューションを常にONにし、防御の追加レイヤーとしてこのツールを使用するように推奨している。

【訳注】 Cryptowall Immunizerは、Windowsポリシーを設定することによって %appdata% や %startup% からの実行をブロックします。このため、以前のバージョンでは、正当なプログラムもブロックされるトラブルが発生しています。使用に当たっては、十分留意してください。

CryptoFortress: マップされていないネットワーク共有も暗号化するTorrentLockerのクローン
BleepingComputer : GeneralTopics>News (2015/03/05)
 TorrentLockerの物真似もしくは新しいバージョンのどちらかと思われるCryptoFortressと呼ばれる新たな暗号化身代金要求ソフトが、セキュリティ研究者Kafeinによって、昨日発見された。CryptoFortressとTorrentLockerの間の差異に関して脅迫文と復号サイトに着目したとき、この二つの間の相違は小さなもののように見えた。けれども、更なる調査で、我々は、CryptoFortressが、それらがドライブレターをマップしていない場合でさえ、ネットワーク共有上でファイルを暗号化できる新しい不潔な機能を含んでいることを発見した。

 身代金要求ソフトは通常、あなたのデータを暗号化するとき、コンピュータ上のドライブレターのリストを取得し、その上にある、あらゆるデータを暗号化することによって、それを実行する。それゆえ、同じネットワーク上のあらゆるネットワーク共有は、ドライブレターがマップされていない限り安全であった。残念なことに、この身代金要求ソフトCryptoFortressの変更は、全てのオープンなネットワークSMB(【訳注】 ネットワーク(LAN)上の複数のWindowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルおよび通信サービス(IT用語辞典より))共有を列挙し、検出されたものを暗号化しようとする。あなたが以下の画像から確認できるように、CryptoFortressは、私のテスト・ネットワーク上のSMB経由オープンシェア中のtest.txtファイルを成功裏に暗号化することが可能であった。この新しい機能は、全てのサーバーとネットワーク管理者の脅威の状況を変化させた。強力なパーミッションであなたの共有フォルダを安全にすることは、更に重要である。

 CryptFortressが起動すると、RSA暗号化を使用してあなたのデータを暗号化し、暗号化されたファイルの末尾に .frtrss 拡張子を追加する。ファイルが暗号化された全てのフォルダ中に、READ IF YOU WANT YOUR FILES BACK.html と呼ばれる脅迫文も作成する。上に示した脅迫文は、あなたの身代金額(それは、現在1Bitcoin)を発見できるTORコマンド・コントロール・サーバへのリンクと、それが送信されなければならないアドレスを含んでいる。大事なことを言い忘れていたが、CryptoFortressは、全てのシャドー・ボリューム・コピーを削除するために以下のコマンドを実行するので、あなたはシャドー・ボリューム・コピーからファイルを復元することは不可能である。

    vssadmin delete shadows /all /quiet

 偽りなく、マップされていないネットワーク共有を暗号化することは、ネットワーク管理者にとって巨大な問題である。これは、バックアップ戦略を、あなたのバックアップメディアとして永続的に接続されたストレージやネットワーク共有を信頼するより、ドライブ・ローテーション(【訳注】 こちらを参照してください)を使用することが現在要求されている。これはクラウド・バックアップを身代金要求ソフトに影響されることなく、あなたのデータをバックアップする安全で安心な方法として、より魅力的なオプションにしている。
 この感染の解析を助けてくれたNathan Scottに感謝する。あなたはまた、この感染についてWhite Hat Mikeによる解析から多くの情報を発見することができる。

FREAK地獄: Windowsの全てのバージョンはSSL盗聴の脆弱性がある
The Register : Security (2015/03/06)
 Microsoftは全てのバージョンのWindows中のSSL/TSL実装に、FREAK暗号化ダウングレード攻撃に対する脆弱性が存在すると発言している。
 これは、あなたがWindowsを使用しているなら、あなたのネットワーク上の攻撃者が、Windowsのセキュア チャンネル(Secure Channel)コンポーネントを使用して、Internet Explorerや他のソフトウェアに、Web上の弱い暗号化の使用を強制できる可能性があることを意味している。
 インターセプトされたHTTPS接続は、簡単にクラックされる、しかも、もう一方の末端であるWebサイトやサービスが、1990年代の暗号化を依然としてサポートしている場合(未だに数百万サイトが存在する)には、ログイン・クッキーや銀行情報のような機密情報を露にすることになる。
 「Microsoftは、セキュア・チャンネル(SChannel)中にセキュリティ機能をバイパスする脆弱性に気がついている。これは、Microsoft Windowsのサポートされている全てのリリースに影響を与える」と、Microsoftはアドバイザリ中で述べている。
 「我々の調査は、この脆弱性がWindowsクライアントシステムのSSL/TSL接続中に使用される暗号化スーツのダウングレードを強いることを攻撃者に許すことを確認した」
 「このセキュリティ・アドバイザリが当初リリースされたとき、Microsoftは、この問題が顧客を攻撃するために公共で使用されたことを示唆する如何なる情報も受け取っていなかった」
 Windowsのセキュア・チャンネル・コンポーネント中のこのバグ(CVE-2015-1637)は、記述している時点で、盗聴者によってアクティブな攻撃下にあるとは考えられていない。
 今週露見した、このFREAK (Factoring attack on RSA-EXPORT Keys) 問題は、悪漢共がHTTPS接続から脆弱性のあるブラウザへ送られるログイン・クッキーや、他の重要な情報を復号することを可能にする。
 Microsoftは、Microsoft Active Protections Programを介して防御メカニズムの詳細をリリースしている。これは、深刻な問題を発生する可能性のある脆弱な鍵交換暗号方式を無効化するためにServer 2003 中のレジストリの変更を含む不完全な解決策を提供している。
 今までに、バージョン41.0.2272.76以前のOS XとBlackBerry OS 10.3用のGoogle Chromeは、脆弱性があることが知られている。ユーザは、自分たちのブラウザが、野ざらしであるか否か決定するにはfreakattack.comを訪問しなさい。
 数百のクラウド・プロバイダは未だに、この脆弱性に対する行動を取っていない。Skyhigh Networksは、1万を超える異なるサービスの分析に基づいて、766のクラウドサービスが、FREAKが公になった一日後も、依然としてリスクのあるままになっていたと報告している。
 殆どの会社は、FREAKに対する緩慢なパッチによって偏って影響を受けることを示した人気のあるクラウドサービスがである、122の潜在的に脆弱性のあるサービスを利用していた。

50階調グレースケールは、Adobe Readerを惨めなものに変換する
The Register : Security (2015/03/03)
 ハッカーはグレースケール画像を使用してアンチウィルスプログラムを回避し、Adobe Reader中でマルウェアを実行することができると、デンマークのセキュリティ技術者Dense Ovari(【訳注】 ウムラウトは省略しています)が発言している。
 非可逆圧縮は、DCTDecode(画像に縫い付けられたマルウェアを削除し、この形式の攻撃を鈍化させる)フィルタの影響を受けやすいと考えられている。
 しかしながら、紙上で公開されたScript in a Lossy Stream(PDF)での新たな知識は、悪漢とセキュリティ侵害をテストする者達が、歪みを回避するためにグレースケールJPEG画像を使用して悪意あるコードを隠蔽するために、PDFドキュメント中でこのフィルタを使用できることを示している。
 このプロセスは、アンチウィルスとマルウェア解析者が、一般的にJPEGフィルター中に隠れている如何なるマルウェアも圧縮されスクランブルされていると仮定しているので、これらの解析からスルリと逃げている。
 「Acrobat ReaderにJavaScriptコード用のSandboxが導入されて以来、攻撃手法としてのPDFの使用は劇的に減少した」と、Ovariは発言し、
 「これは、それ自身の中のセキュリティ問題ではないが、この目的のためのDCTDecodeの使用が、一見して業界によって除外されていたという事実は、既知の脅威でさえアンチウィルスと研究者から、この方法で隠蔽されることができるということを意味している」と続けている。
 「最大の保護をユーザに提供するために、DTDecodeストリームは、最早見逃してはならない。PDFリーダー実装において、バイナリデータが想定されるオブジェクトからパラメータとして非圧縮画像の参照は禁止されなければならない。」


 Figure 4: Reader 9でファイルを開いた後

 Ovariは、攻撃が依然としてDTDecodeストリーム内部で使用される脆弱性攻撃を要求しているので、この研究によって提示された全体的な脅威は減少されると発言している。
 スクリプトが高品質なグレースケールJPEG画像としてエンコードされ、DTDecodeでフィルターされた画像オブジェクトに配置され、次に、JavaScriptアクション・エントリによって参照されるとする発言に基づく脆弱性の証明攻撃を作成した。
 「このドキュメントを開いたとき、この種のスクリプトのコードが劣化されることなく解凍されることの証明のために、古いReader 9では、警告ダイアログがポップアップする」と、彼は発言している。
 この攻撃は、幾つかの小さな修正でReaderの最新バージョンでも動作する。
 JPEG中のデータ同様に、グレースケールモードを利用することが可能な非可逆圧縮を使用している他のファイルフォーマットは、再評価されるべきであると、Ovariは発言している。

新しいTeslaCrypt身代金要求ソフトはビデオ・ゲーマーを対象にしている
BleepintComputer : GeneralTopic>News (2015/02/27)
 TeslaCryptと呼ばれる新しい身代金要求ソフト(ランサムウェア)が、EmsisoftのFabian Wosarによって発見された。TeslaCryptは、あなたのファイルをAES暗号化を使用して暗号化し、次に、あなたのファイルを復号するための身代金を要求する。TeslaCryptが他の如何なる身代金要求ソフトとも異なっていることは、ビデオ・ゲームに関連したファイルを暗号化することを強調することで810億US$のゲーム市場から利益を得ようとしていることである。一般的に画像、ドキュメント、ビデオ、アプリケーション・データベースを攻撃目標にしている他の身代金要求ソフトと異なり、TeslaCryptは、40を超える異なるビデオ・ゲーム関連ファイルをターゲットにしている。ターゲットにされているゲーム・ファイルは、RPG Maker, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks, Steamのようなゲームに属しているものである。

 この身代金要求ソフトのもう一つの大きな相違は、この種の感染で初めて身代金をBitcoinで受け入れるだけでなく、PayPal My Cash Cardも受け入れるということである。PayPal My Cash Cardは、アメリカの人気ある小売チェーンで購入でき、次に、カードのPIN(暗証番号)を使用してPayPalアカウントに転送させて現金をチャージすることのできるカードである。けれども、PayPal My Cash Cardで身代金を支払うことは、1000US$のプレミアがつくが、Bitcoinで身代金を支払うと半分の500US$である。このキャッシュカードを使用することによるこの高い価格は、おそらく、不法収入がPayPalによって差し押さえられるリスクがより高いことにあると思われる

 現在の時点で、TeslaCryptが拡散される方法は未知であるが、コンピュータに感染すると、コンピュータ上の全てのドライブをスキャンし、特定のファイルタイプをAES暗号化を使用して暗号化する。暗号化された全てのファイルは、ファイル名の後ろに .ecc 拡張子が追加される。TeslaCrypt身代金要求ソフトによって暗号化されるファイルタイプは以下である。

    .7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb; .tax;.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;
    .hkdb;.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;
    .sid;.ncf;.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;
    .psk;.rim;.w3x;.fsh;.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;
    .mpqge;.kdb;.db0;.DayZProfile;.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;
    .ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;
    .desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;.p7b;.p12;.pfx;.pem;.crt;.cer;
    .der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;.mef;.erf;.kdc;.dcr; .cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;.psd;
    .dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;
    .xlsm;.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

 他の身代金要求ソフトと異なり、TeslaCryptは、人気のあるゲーム(Dragon Age, Call of Duty, StarCraft 2, RPG Maker, World of Warcraft, World of Tanks, Minecraft, DayZ, League of Legendsのような)によって使用されるファイルに特に注意を払っている。このビデオゲームに関連するファイルをターゲットにしていることは身代金要求ソフトにおける新たな発展である。あなたのデータの全てが暗号化された場合、あなたのコンピュータから全てのシャドー・ボリューム・コピーと復元ポイントを削除する以下のコマンドが実行される。これが実行されると、システムの復元ポイントから、あなたのデータを復元することは不可能になる。

    vssadmin delete shadows /all

 最後に、身代金要求ソフトは、あなたのデスクトップ壁紙を脅迫文とHELP_TO_DECRYPT_YOUR_FILES.txtと呼ばれる、もう一つの脅迫文に変更する。ロック・スクリーンは、あなたのデータが暗号化されたことを表示し、支払い猶予期間が3日であることを表示する。このロック・スクリーンは、支払いを受け入れるか否かをチェックすることが可能なボタン、復号キーを入力するための機能へのボタン、テストとして無料でファイルの復号を実践できるTOR支払いサイトへのリンクのボタンを含んでいる。

 TeslaCryptのTORサイトは、BitcoinやPayPal My Cash Cardで身代金を支払う方法の示唆を提供している。このサイトはまた、彼らが本当にあなたのファイルを復号することができるということを証明するために、無料で1ファイルを復号することを可能にしている。大事なことを言い忘れていたが、このサイトは、このマルウェア開発者と内密にコミュニケートすることを可能にするメッセージ・システムを含んでいる。

 残念ながら、この時点で、無料であなたのファイルを復号するための既知の方法は存在していない。いつものように、我々は、あなたが回避できるのであれば身代金を支払わないよう推奨する。身代金を支払う代わりに、バックアップからファイルをリストアする、Shadow Explorerを使用してファイルを復元する、R-Studio, Photorec, Recuvaのようなファイルリカバリツールを試しなさい。これらの復元方法の何れも、動作する保証はないが、過去、TeslaCryptのようなマルウェアでの成功報告があるので、試す価値はある。
 あなたが何らかの疑問を持っているのであれば、自由に此処に投稿しなさい。

既知のTeslaCrypt身代金要求ソフトのファイル

    %AppData%¥.exe
    %AppData%¥key.dat
    %AppData%¥log.html
    %Desktop%¥CryptoLocker.lnk
    %Desktop%¥HELP_TO_DECRYPT_YOUR_FILES.bmp
    %Desktop%¥HELP_TO_DECRYPT_YOUR_FILES.txt

既知のTeslaCrypt身代金要求ソフトレジストリキー

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥crypto13 %AppData%¥.exe

バンキング・マルウェアがMicrosoft Wordのマクロを介して拡散している
Graham Clueley : Blog (2015/02/24)
 1995年に遡る、アンチウィルス業界は、マルウェアがブートセクタ、EXE、COMファイルに限定されないことを目の当たりにして息を飲んだ。
 Conceptウィルス(偶然Microsoftによって世界中にCD-ROMで出荷された)は、あっと言う間に、今まで最も広範に拡散したマルウェアとなった。そして、埋め込まれているマクロ言語を介してMicrosoft Wordドキュメントに感染した。
 マクロ・ウィルスは伝統的なマルウェアより、ずっと高速にそして、知らぬ間に拡散した。人々が実行ファイルやフロッピーディスクより、彼らの同僚とドキュメントやスプレッドシートを共有する強い傾向にあることが単純な理由であった。
 増加する相互接続性とe-Mailが仕事場での常連として居座ることとなったために、e-Mailシステムを介して拡散する膨大なマクロ・ベースのマルウェアを見ることは全く稀なことではなくなってしまった。
 それから20年、あなたはマクロ・マルウェアが歴史のゴミ箱に放り込まれたと思っているかもしれない。しかし、残念なことに、復活しているかのようである。
 例えば、Trend Microの研究者達の報告によれば、スパムを介して悪意あるマクロを含むWordドキュメントを配布することでVawkrakバンキング・マルウェアを拡散するように攻撃が設計されている。
 このe-Mailは一般的に、FedExデリバリ・サービス(【訳注】 書類、小荷物などの国際宅配便及び重量貨物向けの国際輸送サービスをご提供する世界最大の航空貨物輸送会社(ホームページより))やAmerican Airlinesからのものであると装っているが、攻撃者が、彼らのe-Mailを偽装するために使用することのできる変装の可能性は無限である。
 危険は、あなたがWordドキュメント添付ファイルを開いたときにやって来る。Microsoftは、数年前に学習し、マクロの自動起動をDefaultで無効にしたが、攻撃者はソーシャルエンジニアリングを使用し、マルウェアが攻撃を始められるように機能を有効にするようにユーザを欺いている。
 Trend Microによれば、このドキュメントは、ランダムな文字列の寄せ集めとして見せかけ、メッセージを閲覧するためにマクロを有効にしなさいとするアドバイスでこれを実行している。あなたが既にマクロを有効にしているのであれば、このアドバイスは表示されない。

 マクロを有効にすることは、明らかに悪い考えである。あなたが、それを認識する前に、バッチファイル、.VBSファイル、PowerShellスクリプトが、あなたのコンピュータにドロップされる。バッチファイルが実行されると、他のファイルを実行し、コンピュータ上のVawkrakバンキング・トロイをダウンロードする。
 あなたが、このトロイの木馬の標的になっている一部の銀行(Bank of America, Barclays, Citibank, HSBC, Lloyds, J.P. Morganを含む)の顧客であるのなら、これは大変悪いニュースである。
 Virus BulletinのMartijn Grootenは、マクロ・マルウェアの増加について記述していた。そして、彼の仕掛けた罠で、Vawktrak感染を開始しようとしている悪意あるWordドキュメントのサンプルを発見した。


 Vawktrakマルウェア攻撃、Virus Bulletin提供。

 もう一度、オンライン犯罪者はコンピュータ上に足掛かりを得るために人間の弱点を攻撃している。冷静さを失わないようにしなさい、たとえ、それが「無害な」Wordドキュメントに見えたとしても、迷惑メールと予想外の添付ファイルについては常に疑いを持つようにしなさい。
 Vawktrakマルウェアの脅威の詳細に関しては、Trend Microのブログに見出すことができる。

広告ブロック・ソフトウェアは「Superfish以上に悪い」
BBC : News>Technology (2015/02/23)
 研究者達はWebサイトでの顧客との対話方法に新たな脅威を同定した。今回は広告をブロックするように設計されたソフトウェアからのものである。
 PrivDogが、Secure Socket Layer(SSL、オンライン・トランザクションを保護するために使用される)として知られるインターネット・レイヤーをセキュリティ侵害されていたことが発見された。
 これは、Superfish(Lenovoコンピュータの一部にプレインストールされていたソフトウェア)と類似した問題の発見である。
 PrivDogは、57,000を超えるユーザが、この問題でセキュリティ侵害された可能性があると発言している。
 「この問題は非常に限定されたWebサイトでだけが影響を受ける可能性がある」と、この企業は声明中で述べている。
 「この潜在的な問題は既に修正された。明日アップデートされるだろう。これはPrivDogの特定のバージョンの全57,568ユーザを自動アップデートする。」
 広告ブロックと「信頼あるソース」からのものにそれらを置き換えるように設計されているツールであるPrivDogは、増大中の関連するセキュリティフローの影響を受けるリストに仲間入りした。
 専門家たちは、彼らが、先週Superfishが公共の注意を惹いて以来、多くの例を露にしてきたと、発言している。
 Superfishは、最も安価なものを発見するためにWeb上の画像を実際に解析することによって、ユーザが製品を発見することの役に立つように設計されていた。
 しかし、Superfishは、接続をインターセプトされ、データを操作しサイトを欺くためにインチキの証明書(このIDはWebサイトを識別するために使用されていた)を発行することによってセキュリティ侵害されていた。これは中間者攻撃として一般的に知られる実装である。
 Lenovoは、ユーザが非表示にしていたソフトウェアを削除するためのツールを発行している。Lenovoは、Superfishをプレロードすることは不法行為であるとするユーザグループによる法的措置に直面している

ショック

 PivDogは、「Superfishより悪い」と何人かのエキスパートによって記述されている。
 特に懸念されることは、セキュリティ企業Comodo(此処は、Webで使用される1/3の安全証明を発行している)に関連付けられていることである。
 PivDogは、Comodoの設立者Melih Abdulhayoguluによって開発された、そして、そのバージョンの一部はComodo独自のソフトウェアにパックされている(【訳注】 例えば、ComodoDragon)。
 しかし、Comodoは、Comodoの同梱物中には影響を受けるバージョン存在しないので、「ComodoがPrivDogの脆弱性のあるバージョンを配布してことはない」と発言している。
 Hacker Newsフォーラムで始まったこの議論は、最初に、広告スワッピングの処理で、PrivDogが攻撃に対する脆弱性をマシン上に残したままにしていたことを露にした。
 ブログ・ポストにおいて、フリーランスのテクノロジ・ジャーナリストHanno Boeckは、「簡単な解析では、Superfishと同じフローを持っている分けではないが、間違いなく、これよりも悪い別のものである」と説明している。
 「PivDogは、あらゆる点において、Superfishと同等の害悪がある」と、セキュリティ企業Bromiumの共同設立者Simon Crosbyは追加している。
 「おそらく、PivDogは、ブラウザとユーザが利用している銀行のようなリモートサイト間との安全な通信を、具体的にブラウザ中のページに独自の広告を挿入するために、インターセプトし復号している。」
 「例えば、フィッシング攻撃に対する脆弱性は増加しており、PrivDogは、有効性の確認をすることなく、世の中の全てのhttps証明書を効果的に受け入れるものに、あなたのブラウザを変換するので、PrivDogは実質的にはより恐ろしいものである。」

ユーザ・プライバシー

 先週Comodoは、”.com”で終わるWebサイトの約35%で彼らの製品が使用されていることから、世界一のディジタル認証機関になったとアナウンスした。
 「Comodoは、大手認証機関の一つであるので、PrivDogがインチキの証明書を発行していたという事実はショッキングである」と、セキュリティ企業CloudFlareの主席研究員Marc Rogersは発言している。
 2014年の初頭に書かれたブログ・ポストにおいて、Mr Abdulhayoguluは、「ユーザのプライバシーを念頭において」PrivDogを開発したと発言している。
 「あなたのセキュリティのDNAを保有する企業が、より多くの金銭を稼ぎ出すことは、彼らが、あなたを安全にするための製品を改善し投資し続けることができるので、素晴らしいことではないだろうか」と、彼は同じ時に記述している。

ペアレンタル・コントロール

 セキュリティの専門家は、SSLに干渉することが明らかなソフトウェアのリストは拡大中であることを認めている。
 殆どの製品は、セキュリティ企業によって開発されていると、Mr Rogersは発言している。
 セキュリティ企業はアンチ-マルウェアと子供のWebブラウズを制御することを親に提供するツールを含ませている。
 全ては、イスラエルの企業によって開発されたテクノロジであり、「SSLハイジャッカー」として自分自身を説明しているKomodiaに遡る。
 記述している時点で、KomodiaのWebサイトはオフラインである。

TrueCrypt + Norton AV = BSOD(死のブルースクリーン)
The Register : Security (2015/02/20)
 Norton 2015にアップグレードした暗号化したディスクのユーザは恐怖のBlue Screen of Death(死のブルースクリーン)に見舞われている。
 Symantecサポートフォーラムのスレッドにおいてこの問題に関するユーザの苦情によれば、Norton 2015が、ディスク暗号化を行っているドライバを起動するWindows 8.1 PCをクラッシュさせる引き金になっているようである。
 この影響を受けた多くの人々は、TrueCryptを稼働しているが、この問題は、他のディスク全体の暗号化ユーティリティやファイル暗号化ユーティリティも影響を受けているので、このユーティリティに限定されているものではない。
 ユーザは、12月中旬にこの問題についての苦情を言い始めたが、未だに修正されていない。Norton 2014へのダウングレードは、より包括的な修正が行われるまでの一時凌ぎとして提案されている。4ページのスレッドは、この問題に関しての沢山のユーザの苦情で特徴づけられている。
 The Registerの質問に対する対応において、Nortonアンチウィルスの開発元であるSymantecは、修正を作業中であると発言している。

Nortonは、この問題に気がついており、顧客に対して可能な限り早急に修正を提供すべく作業している。当面、我々は、軽減オプションに関して顧客とともに作業している。我々の最優先事項は、顧客が保護されることを保証することであり、我々は利用可能になった情報を共有していくだろう。

 Safehouse(ディスク暗号化ユーティリティ)との接続下でNortonアンチウィルスを使用しようとしたとき、この問題が発生したとする読者であるSamから、我々はこの問題を学習した。
 「BSODは、暗号化されたディスクにアクセスしようとすると直ちに、ディスク暗号化のためのディスクドライバによって発生する。BSODはTrueCryptのみならず、幾つかのディスク暗号化プログラムでも同様に発生する」と、Samは説明している。

補足

 TrueCryptは、その開発者が、TrueCryptには不特定の脆弱性が含まれており、ユーザはMicrosoftのBitLockerのような代替物の採用を推奨すると主張したときの状態のままで宙ぶらりんになっている。しかし、この技術は依然として広範に使用されている。

Lenovo Superfishの削除方法
Sophos : NakedSecurity (2015/02/20)
 Lenovo ”Superfish”の議論は、昨年末の3ヶ月間、Lenovoがノートブック・コンピュータの一部に”Superfish”として知られるアドウェアを搭載していたことが露見することによって発生した。
 このソフトウェアでの実際の問題は、アドウェアであるということではなく、むしろプライバシとセキュリティの危険を引き起こすことにある。
 Superfishについて簡潔に述べておく。

    ・ HTTPSを含むWebトラフィックの全てをインターセプトするネットワークフィルタをインストールする。
    ・ あなたのHTTPSトラフィックを復号するために中間者攻撃を実行する。
    ・ 信頼されたルート証明書をインストールするので、中間者攻撃による復号は如何なる警告も生成しない。

 たとえSuperfishが、あなたの安全なトランザクション中の如何なる個人情報を故意に求めていない場合でも、あなたは、プログラマが、その特権的な地位を犯罪者に悪用することを許す間違いを何ら実行していないと仮定する必要がある。
 そのままで、これは十分にセキュリティ上の懸念となるので、即座にSuperfishを削除することが妥当である。
 しかし、Superfishはまた、犯罪者が中間者攻撃を作動している間に、使用している秘密鍵を抽出し、犯罪者が選択したコンテンツに署名するためにそのキーを悪用することを容易にする。
 Superfishルート証明書は、Webサイトとにもプログラムにも署名することを許可しているので、犯罪者は、あなたにインチキのWebページを信頼させるように欺けるだけでなく、あなたがインチキのWebページからダウンロードしたあらゆるソフトウェアを信頼するように欺くこともできる。
 簡単にいうなら: あなたがSuperfishをインストールされているのであれば、それ削除するようにしなさい。

Superfishの削除方法

 幸いなのは、このソフトウェアは全ての者にとって危険であり、このソフトウェアが邪であろうとしていないので、今まで通りの方法でアンインストールすることができる。
 コントロール・パネル>プログラム>プログラムと機能 に進み、Superfish Inc. VisualDiscoveryとタイトルされているエントリを探しなさい。

 これを右クリックし、アンインストールを選択しなさい。
 あなたのブラウジングは、もはやSuperfishの中間者攻撃フィルタによって監視されることはない。
 残念なことに、Superfishをアンインストールしただけでは、あなたの銀行、Webメールサーバ、企業ネットワーク等に装うために追加されている、信頼されるたルート証明書は削除されない。

認証の削除

 今後、マルウェアがこの証明書を悪用しようとすることを防ぐために、あなたは、この証明書を削除しなければならない。
 あなたはMMC(Microsoft Management Consoleの頭文字、Microsoft管理コンソール)と呼ばれるWindowsユーティリティを実行する必要がある。
 これを実行する簡単な方法は、スタート・メニューから、実行オプション(検索ボックスにmmcとタイプし、表示されたMicrosoft管理コンソールをダブルクリックする。【訳注】 以前の「ファイル名を指定して実行」に相当)を使用することである。

 この認証管理メニューにあなた自身をアクセスさせるために、ファイル>スナップインの追加と削除 に進む。

 証明書を選択し、あなたが必要とするスナップインをアクティベートするために、「追加」をクリックし、次に「OK」をクリックする。

 メインのMMCコンソールに戻り、リストを展開するために一番左の列の証明書の側にある三角をクリックする。

 信頼されたルート証明書>証明書 に進み、Superfish証明書を見つけるまでスクロールダウンする。
 これを右クリックし、「削除」を選択する。

 これは「一部のWindowsコンポーネントの適切な動作を妨げるかもしれません」とする最終警告がもたらされるが、今回、我々は、Superfish認証に依拠するものが完全に動作しないことを確実にしたい。

 「Yes」をクリックする、それだけ。

後学のために

 後学のために、身につけるべき良い習慣は、あなたが安全なサイトを使用しているときは常にブラウザのアドレスバー中のHTTPS南京錠をクリックすることである。Superfishのインチキな証明書によって精巧に作られた策略が用いられていることは、そのサイトを保証する証明機関として、Superfishが表示されることからも、大変明らかである。

 あなたが発生するであろうことに熟知しているのであれば、違っていることは明らかである(【訳注】 下の画像は正当な証明機関のものです)。

 あなたがSuperfishソフトウェアをアンインストールせずにSuperfishルート証明書を削除したなら、あなたは現状よりは安全になることに注意しなさい。Superfishフィルタによって使用されるインチキの証明書は、もはや信頼されないので、あなたは以下のような警告を見ることになる。

 我々は、この記事が助けになることを希望する。

Lenovoは、Superfishと呼ばれる広告を挿入するクラップウェアをコッソリと同梱していた
The Register : Security (2015/02/19)
 Lenovoは、予めインストールしていたSuperfishクラップウェア(購入者に対して広告を挿入するために中間者攻撃を実行することが明らかである)論争を、新しいラップトップに関して視認技術の使用を継続しないと発言し、顕著になった懸念を再調査すると約束することによって、鎮静化に努めている。
 報道されていることによると、Superfishは、銀行のWebサイトを訪問しているときでさえ、広告を挿入するためにユーザのトラフィックをインターセプトしていた。
 このステロイド剤を使用しているような広告は、実行されたSSL接続毎の認証を直ちに生成する前に、独自の自署したルート認証局証明をWindows中にインストールする。バンキングWebサイト中間者攻撃のために、Superfishはインチキの認証さえ提供していたと、報告されている。
 この問題は、ここ数ヶ月に渡りLenovo技術フォーラムで類を見ない苦情を引き起こしていた(Lenovoは一月に公式の対応を発行している)。ソーシャルメディア・プログラムマネージャMark Hopkinsは以下のように発言している。

 ”誤解の無いように言うと、Superfishは、Lenovo消費者用製品にだけ同梱されており、ユーザが視覚的に製品を検索し発見することを支援するための技術である。この技術は即座にWeb上の画像を解析し、ユーザがアイテムが何と呼ばれているのかという厳密な知識無く画像を検索したり、あるいは、一般的なテキストベースの検索エンジンにそれを説明する方法を支援するすることで、同質、もしくは、より安価であるかもしれない類似の製品を提案する。

 しかし、この問題は、セキュリティ研究者Marc Rogersが、水曜日にこの問題に関して記述した後(こちら)、表舞台に立った。この記事は、2005年にソニーBMGのrootkit事件以来のハイテク会社に対する怒り狂った反応を誘発している。
 Lenovoは、故意に安全な接続を破壊している。これは、あらゆる攻撃者があらゆるHTTPS Webサイトをスパイするためのプロセスをより容易にすると、研究者達は発言している。或るLenovoラップトップから秘密鍵を取得することは、同じネットワーク上の他のLenovoユーザのWebトラフィックをスパイするための技術的知識となる。
この話は、Lenovoがスパイして得たユーザの銀行/医療/出会い系のWebデータをスパイし、その後ポップアップ広告を介してそれを収益化しているのではないかという直近の懸念は除外されている。
 この問題のLenovoフォーラムへの最初の投稿は、2014年06月に遡る。
 The Registerによる質問に対して、Lenovoは、このテクノロジを廃棄し、更に既存のインストレーションを無効化したとする声名を発表した。これは、このアドウエアを単純にアップデートするとした公開フォーラムの今までの見解より更に前進している。

 ”Lenovoは、2015年01月において、新しい消費者システムの事前インストールからSuperfishを削除した。同時に、市場に存在しているLenovoマシンからSuparefishアクティベートを無効にした。
 Superfishは、選ばれた一握りの消費者モデルだけに事前インストールされていた。Lenovoは、Superfishに関連して浮上したあらゆる懸念を徹底的に調査中である。

 多くのセキュリティ企業によって不要のものであるとして既に検出されているこのアドウェアを単純に削除しても、この問題を解決しない。ユーザは手動でこの認証を削除する必要がある。Microsoftは、こちらで、この認証を削除する方法を説明している。 Errata SecurityのRobert Grahamは、Superfishの動作方法を上手くまとめた説明をブログポストしている。セキュリティのベテランGraham CluleyによるTripwireブログでのFAQは、こちらにある。
 この論争は、セキュリティ専門家の間で、悪名高い低利益率に苦しむPC製造事業の経済性についての議論を生成するのに役立つこととなった。

The Registerが続報において、Superfishをチェックすべしとした製品は以下

    E10-30, Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10, G410, G510, G40-70, G40-30, G40-45, G50-70, G50-30, G50-45, Miix2-8, Miix2-10, Miix2-11, S310, S410, S415, S415 Touch, S20-30, S20-30 Touch, S40-70, U330P, U430P, U330Touch, U430Touch, U540Touch, Y430P, Y40-70, Y50-70, Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13, Z40-70, Z40-75, Z50-70, Z50-75

Netgearのワイアレスルータを持っているのなら、セキュリティ上の問題がある
HOT for Security : MalwareCity (2015/02/19)
 幾つかのNetgear WiFiルータに影響する深刻なセキュリティ問題が発生していることに関する警告が公開された。この問題は、結果としてハッカーが重要な情報(管理者パスワードやワイアレスキー)を盗むことができるものである。

 この脆弱性の詳細は、セキュリティ研究者Peter Adkinsによって公開された(「脆弱性の証明」と共に)。彼は、このフローが脆弱性のあるNetgearルータの内部に埋め込まれているSOAPサービス中に存在していると説明している。
 SOAP (Simple Object Access Protocol、【訳注】 ネットワーク経由で オブジェクト間の通信を行う軽量のプロトコル(atmarkITより))は、ユーザが、このルータの幾つかの機能(ピアレンタル・コントロールのセットアップとワイアレス認証の変更等を含む)の実行を簡便にするために、Netgear Genie Desktopアプリケーションによって使用されている。
 Adkinsは、慎重に計画されたHTTPリクエストを、セッションを認証すること無くコマンドを実行するためにルータを欺いて、このルータ内部に埋め込まれたSOAPサービスに送信する方法を発見した。そこで、重要な情報はアクセスされることになる。
 簡潔に、WiFiネットワークに対して悪意ある接続をした者は、この脆弱性を攻撃し、管理者パスワード、ワイアレスネットワークの詳細、デバイスのシリアル番号、どのようなクライアントがこのルータに接続しているかの詳細を取得することができる。
 あなたが脆弱性あるNetgearルータ上にリモートマネージメントを埋め込んだなら、物事は更に悪くなる。

 なんてこった!
 この脆弱性は、NetGear WNDR3700v4, NetGear WNR2200, NetGear WNR2500, NetGear WNDR3700v2, NetGear WNDR3700v1, NetGear WNDR4300, NetGear R6300v2, NetGear WNDR3800に存在していることが確認されたと報告されている。更に、NetGear WNDRMAC, NetGear WPN824N, NetGear WNDR4700もまた影響を受けると信じられている。そして、Adkinsは、未だ知られていない他のデバイスにも存在しているかもしれないと警告している。
 Adkinsは、1月にNetgearのサポートチームに、この問題を説明しようとした(このセキュリティ問題を取り上げるより直接的方法が見つからなかったために)が、彼らの対応に失望したと主張している。

 ”Netgearサポートの当初の対応は、これらの問題にも拘らず、幾つかの組み込みセキュリティ機能により「ネットワークは依然として安全なまま」であると言うものであった。サポートと共にこの脆弱性の本質を明らかにしようとする試みは失敗した。この手段は、フォローアップを待っている間に自動的に閉じられた。その後Netgearの‘OpenSource’コンタクトに送信されたe-Mailは、放置されたままであった。

 では、あなたは何をすべきか? あなたがNetgearからのセキュリティパッチを待っている間、取るべき最も賢明な行動は、あなたのデバイスのリモート マネージメントを無効化することを保証することであり、そして、信頼されるデバイスだけを、あなたのローカルネットワークに対してアクセスさせることである。
 Netgearの通常のセキュリティチームの内部に問題の深刻さを理解する者を発見しようとしたAdkinsの試みが失敗したことでも明らかなように、あなたがセキュリティ脆弱性が報告されるべき明確なチャンネルを設定することをNetgearに働きかけることを推奨する。

Samsungスマートテレビの音声認識機能に関する新たな主張: レコーディングした音声は暗号化されずにインターネットに流されいる
The Register : Security (2015/02/17)
 Samsung(サムスン)スマートテレビは、あなたが発言していることをスパイしているだけでなく、あなたの音声記録を暗号化せずにインターネット上に流していた(音声データを開いたままにしているので、盗聴と損害を与えることができる)と、セキュリティ研究者達が発言している。
Samsungは、彼らの音声制御技術は提案されている契約条件に全く反するものではないと先週強く主張していた。セキュリティ・コンサルタント業Pen Test Partnersによる今回の調査は、ユーザのプライバシーを踏みつけにするスマート機器の新たな恐怖となるだろう。
 現在のSamsungスマートTVは音声による制御が可能である。喋るだけで、組み込みのマイクロフォンが、あなたの言葉を聞く。あなたは"Hi TV”のようなフレーズを言うことでコマンドを開始する。この行為は、テレビが多くの人々の発言を聞くことを発生させる。次に、(契約条件として)、あなたと、あなたの周囲にいる全ての人々の音声が録音され、処理するためにインターネットを介して転送される。
 この問題は、かなりの期間問題になっていた、昨年指摘されていた、ただ、今月世界中に拡がっただけのことである。
 Pen Test PartnersのDavid Lodgeは、SumsungのスマートTVを借り受け、そのTVが広範なインターネットに出力しているデータを検証するために、ネットワーク調査ツールWiresharkを使用した。彼は良いことも悪いことも知った。
 このテレビは、"Hi TV"のような起動コマンドの後、そのテレビの前で発言されたことだけを録音するので、始終録音している分けではない。これは将来のファームウェア アップデートで変更することができるとLodgeは指摘しているが、現在に関しては、この機能は安心できるものである。
 しかしながら、録音された音声コマンドは、処理するために外部組織にエンコードされた録音データとして時々送信される。これは、「音量を変更せよ」のようなものより複雑なコマンド全てに対して適用される。例えば、告げられたWeb検索コマンドは、解析するためにNuanceと言う会社に伝えられ、検索結果がTVに戻される。
 指定のサーバは、TVから平文でデータを受け取り、暗号化されていないレスポンスで応答される。これはファイアーウォールをOFFにしたくてたまらない。

    av.nvc.enGB.nuancemobility.net 208.94.122.45

 この情報はポート443に送信される。このポートはTLSで保護されたHTTPS接続に通常使用されるものであり、一般的にはファイアーウォールをOFFにしない(で遮断されない)。このストリームは暗号化されていないと、Lodgeは発言している。これはデータを盗聴し、不正に改竄するするネットワーク中での中間者攻撃を可能にする。


 SamsungスマートTVからインターセプトされたデータ。著作権: Pen Test Partners

 「我々が此処で見ているものは、SSL暗号化されたデータではない。ましてやHTTPデータでもない。これはXMLと或るカスタム バイナリ データ パケットとの混合物である」と、トラフィックの断片と解析を明かにしたブログ ポストでLodgeは説明している。
 転送されている情報は、MACアドレス、使用中のOSのバージョン並びに、オーディオを含む、このTVに関する沢山の情報を含んでいる。この処理サーバは言われたことのトランスクリプト(【訳注】 テキストによる書き起こし。Webコンテンツで音声を用いる場合、アクセシビリティを考慮してトランスクリプトを用意することが求められている)を平文で返信してくる。
 Lodgeは、これが直ちに損害(例えば、音声コマンドが悪意ある他のものに置き換えられたり、Web検索結果が悪意あるものに変更されたりする可能性がある)を発生させる可能性のある開かれたドアであると、指摘している。
 暗号化の欠如は、現状では、スマートTVによって生成された沢山の重要なデータがインターネット上を進んでいる。
 Lodgeの結論: 「上に平文でリークされた限定的な情報に基づいて、関心あるデータがTVからインターネットに向かっていることを示す沢山の示唆がある。さあ、Samsung、せめてSSLで保護してはどうか?」
 Pen Test PartnersのKen Munroは、ブログに公開した後、ここのセキュリティ研究者達は、彼らがハイテクテレビが耳にしたことを再生するために、エンコードされた音声オーディオをデコードすることができたと、The Registerに語っている。
 「そう、このTVは、あなたをスパイし、スパイしたデータを公共のインターネットにリークしている。この件に関する重要なポイントは、Samsungがトラフィックを暗号化していないことにある」と、MunroはThe Registerに語っている。
 SamsungとNuanceは、直後のコメントを出していない。

Microsoftまたもパッチに失敗
The Register : Security (2015/02/15)
 Microsoftが今月リリースしたパッチの一つ(KB2920732)が、PowerPointを損壊することを理由として撤退させられた。
 このパッチは、PowerPoint 2013の安定性を多少改善する(殆どがビデオ再生関連)と宣伝されていた。インストールしても、このパッチは何の改善もなされていなかった、少なくともアップデートをインストールした後、PowerPointが起動しなくなったと報告した多くのユーザにとっては。
 この報告に対する対応で、Microsoftは、このアップデートは「調査している問題を解決するため見直している」と発言している。
 The Registerの計算では、Microsoftがパッチを引き上げたのは、この8ヶ月で6回目である。昨年の8月、Blue Screens of Death(死のブルースクリーン)を発生した後に引き上げ、10月のハッシング機能もまたリコールの憂き目をみている。12月にも、Microsoftは三つのパッチ(ルート認証、 Exchange 2010、 Excel)に失敗した。
 繰り替えされるパッチの失敗は、失敗率が大きなものでないとしてもMicrosoftにとっても良く見えるものではない。Microsoftのアップデートの信頼性の低下が、一部の管理者にパッチの適用を遅延させるかも知れないように、我々にとっても良いことではない。あるいは緊急のパッチだけを適用する。Officeを調整するようなアップデートは浄化(不都合の修正)が発生するかもしれないので、To-Doリスト(実行しなければならないこと)の一番下に入れ替えることが良いとして、この様なアップデートは保持したままにしておくことが現在発生している。

インチキのAdwCleanerは詐欺師たちに数千ドルを生み出していた。
BleepingConputer : General Topics>New (2015/02/12)
 詐欺プログラムが、人気あるアドウェア クリーニング ツールAdwCleanerを装って配布されていたことが今日報告された。無料で正当なAdwCleanerツールとは異なるものである。この詐欺バージョンはインチキのスキャン結果を表示し、次に、$59.99(【訳注】 7,108円、1ドル 118.5円で換算)で購入するよう促した後、その脅威を削除する。あなたが、このプログラムを購入すると、所定のプログラム(まるでフリーで正当なAdwCleanerのような)のダウンロードを促すページを表示する。AdwCleanerをダウンロードするための唯一正当な場所は、ToolsLibもしくはBreepingComputer.comであることに注意することが重要である。

 このスケアウェア詐欺に関連付けられている実行ファイルは、このプログラムをより正当であるように見せかけるためにデジタル署名で署名されている。けれども、この署名は、AdwCleanerの作成者Xplodeに所有されているものではない。代わりに、この署名は、WAT Software Rotterdam と呼ばれる会社に関連付けられている。これがこのスケアウェアの実際の開発者のものなのか否か、あるいは、盗まれた認証なのかに関しては、現時点で不明である。この実行ファイル中で発見された別の手掛かりは、このスケアウェアの本名がAdwareBoocであることを示していた。このプログラミング プロジェクト名も取得され、c:¥Users¥PresFox¥Documents¥Visual Studio 2013¥Projects¥AdwareBooC¥AdwareBooC¥obj¥Release¥AdwareBooC.pdb と呼ばれている。
 この詐欺は、あなたのWebブラウジング中に、あなたのコンピュータがアドウェアに感染しているとするメッセージをポップアップ表示することで始まる。このポップアップは、あなたがどのようにコンピュータ上にアドウェアを持つことになったのかに関する恐ろしい言葉を含んでおり、次にコンピュータをスキャンし、このような脅威を取り除くためにAdwCleanerをダウンロードするよう促してくる。

 ダウンロードし、このプログラムを実行すると、インチキのAdwCleanerがC:¥Users¥¥AppData¥Local¥6AdwCleaner.exe としてインストールし、実行することになる。また、WindowsレジストリにAdwCleanerと呼ばれる自動起動エントリも作成する。このプログラムが実行されると、あなたのコンピュータのスキャンを実践し、検出された様々なアドウェア プログラムを表示する。実際には、これらの結果は、このプログラムに組み込まれているものであり、このスケアウェアを実行した全ての人々は、同じ結果を表示される。ユーザがCleanボタンをクリックすると、彼らは、このプロがラムを購入ことを促すメッセージを表示されるだろう。

 Buy Nowボタンをクリックしたなら、あなたは、$59.99米ドルでこのスケアウェアを購入できるPayPalのページに連れて行かれるだろう。PayPal購入ページは、アカウントの所有者がMardel Innovationsの名前であることを示している。

 誰かがこのプログラムを購入すると、彼らは次にAdwCleanerの完全な有料版をダウンロードできるページを表示される。実際、彼らがダウンロードしているプログラムは、通常の正当なAdwCleanerであるが、詐欺師独自のインストーラでラップされたものである。これは、誰もがダウンロードしフリーで使用できるものと同じプログラムである。以下に示す正当なプログラムと、この記事の先頭に表示したインチキのプログラムの間の類似性に注意しなさい。

 このスケアウェアは恐ろしく簡単に削除できる。単純に、このプログラムを終了するためにタスクマネージャ中の6AdwCleaner.exeプロセスを終了させなさい。このプログラムが終了すると、MsconfigもしくはAutorunを介してHKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥AdwCleaner レジストリキーを削除し、次に、C:¥Users¥¥AppData¥Local¥6AdwCleaner.exe ファイルを削除する。あなたがプログラムを使用して、この感染を削除したいのであれば、Emsisoft Anti-MalwareやMalwarebytesが共に、これをスケアウェアとして検出する。
 Webサイトのミス設定により、我々は、どのくらいの人々が、Scanボタンをクリックし、Cleanボタンをクリックし、このスケアウェアを購入し、このプログラムをインストールしたのかを示す詳細なレポートにアクセスすることが可能であった。このレポートから、我々は、この詐欺は成功し、詐欺師たちに数千ドルを生み出していたことを示すことができる。

 このレポートは2015年02月01日以降の活動を示しているにすぎないが、我々は2015年01月01日にまで遡って、VirusTotal上に、この同じスケアウェアを発見している。従って、詐欺師たちは、我々の認識を超える収益を上げているだろう。
 もう一度、AdwCleanerはToolsLib.netもしくはBleepingComputer.comからダウンロード可能なだけである。あなたが他の場所からダウンロードしたのであれば、あなたはアドウェア感染もしくは、他の何か悪いことへのリスクを実行している。

既知のAdwCleanerスケアウェア ファイル:

    C:¥Users¥User¥AppData¥Local¥6AdwCleaner.exe

既知のAdwCleanerスケアウェア レジストリキー:

    HKCU¥Software¥AdwCleaner
    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥AdwCleaner "C:¥Users¥User¥AppData¥Local¥6AdwCleaner.exe" -auto

Samsungは、他のアプリケーション中に広告が挿入される問題を調査中
BBC : Technorogy (2015/02/11)
 Samsungは、テレビ番組やサードパーティーのアプリケーションを介して映画を再生しているときに、一部のスマートTVに広告が挿入される理由を調査中であると発言している。
 SamsungスマートTVの所有者は、一時間に数回再生を妨害するペプシの無声広告に苦情を出している。
 Samsung広報室は、今回の問題はオーストラリアの顧客だけに影響を与えている欠陥であると認識していると発言している。
 この欠陥は、Samsungが彼らのテレビの音声機能の使用方法の論議に直面した数日後に発生している。


  Foxtel(【訳注】 オーストラリアのケーブルテレビ)のアプリケーションに加入しているオーストラリア人は、この欠陥の影響下にある。

 「我々は、オーストラリアのスマートテレビの一部に広告形式で番組の妨害が発生している状況に気がついている」と、Samsung広報室は発言している。
 「これはエラーによって発生しているようであり、我々の最優先事項として、現在この問題を全力を挙げて調査している。」
 「この問題は、今まで唯一オーストラリアでだけ報告されている。我々は、我々の顧客が経験したあらゆる不便に対して謝罪したい。」
 少なくとも二つのスマートTVアプリケーションのユーザが、この問題に関して不平を述べている。

    ・ Plex - 所有者がハードディスクに格納されているビデオファイルを他の機器にストリームすることを可能にするメディアセンター ソフトウェア。殆どの場合において、このユーザはPlexを使用中の如何なる時にも広告を見ることを絶対に予期していない。
    ・ Foxtel Play - Samsungのオーストラリア向けTVにDefaultでインストールされているアプリケーション。このアプリケーションは有料TVネットワーク チャンネル(番組独自の広告を持っている)へのアクセスを提供する。

 ニュースサイトArs Technicaは、SamsungとYahooは、SamsungスマートTV上にポップアップ広告を表示する方法に関して一緒に作業している、そして、関連しているソフトウェアで欠陥の発生があるかもしれないと示唆していた。
 一部のユーザは、影響を受けるTVの設定で”Yahoo privacy policy”を拒否することによって広告を止めることがことができたと発言している。


  SamsungのTV所有者は、Redditニュースサイトに、この問題に関する記述。

・ 同じ問題に遭遇している。数時間前にTVのスイッチを入れた。毎分位で無声のペプシの広告がポップアップする。SamsungスマートTVでのストリーミングもまた同じである。気が変になりそうだ!
・ 冗談では済まされない。始終発生する。私が他の何かをストリーミングする。それは何の問題も無いが、このTVは10分位毎にこの広告が表示される。
 (【訳者より】) 以下、SamsungスマートTVの音声認識機能の問題に関しての記事がありますが、記事の内容に既訳の「テレビの前で話すな: テレビの視聴に関する警告」からの進展が無いので省略します。

企業ネットワークを標的にしたMicrosoftを騙る詐欺
ESET : We Live Security (2015/02/10)
 セキュリティ研究者は、Microsoftのボリュームライセンスを真似て正当なものに見せかけたフィッシングメールで、企業ユーザをターゲットにしSandboxを迂回するトロイを露にした。
 Softpedia Newsによれば、このe-Mailは、Microsoftボリューム・ライセンス・サービスセンターからの正当なe-Mailを模倣している。このe-Mailは、フィッシングメールの平均を超えるリアリティを持たせるために、個人的な挨拶、URL文字列中に犠牲者のメールアドレスを含ませている。
 このメッセージは、彼らが今ボリュームライセンスを処理するための管理者パーミッションを持っているということを受信者に説明し、4つのドメインを経由して犠牲者を不正侵入されたWordPressセーバーに差し向けている。このページは、錯覚を起こさせるようにMicrosoftボリューム・ライセンス・サービスセンターの本物のページを含んでいる。
 このフィッシング詐欺は、CiscoのMartin Nystrom(拡散しているこのマルウェアに関する詳細に踏み込んだ)によって露にされた。このマルウェアはSandboxを捜し、発見されることを回避するために30分間ジッとしている能力があるので、The Registerは「検出を回避するために多少神経質気味」と記述している。
 「このマルウェアは、解析されている時、20秒間何もしなければ解放されるということを認識しているかのようである」とNystromは記述している。「このマルウェアは、インターネット上でのコミュニケーションを始める前に、自動化されたSandboxの解析が終了するまでジッと待っている」と、彼は続けている。
 このマルウェアは、「本来の名前に戻るためだけに別のファイル名でそれ自身をコピーする(一部のSandboxが失敗を発生するトリック・デザイン)」を含む、幾つかの次の手を用意している。
 このマルウェアが、検出されずに事業に取りかかる慎重な手順を考えると、そのコマンド&コントロール・サーバーがTorネットワーク上に配置されていることは予想されたことである。このマルウェアは、ネットワークに接続すること無く、Webブラウザを介して直接接続するためにTor2webを使用している。
 フィッシィング詐欺の回避に関する情報に関しては、David Harleyのフィッシング・テクニックの詳細解析を必ず読みなさい。このe-Mailはまた、幾つかの簡単で有用な指針を提供している。

テレビの前で話すな: テレビの視聴に関する警告
BBC : Technology (2015/02/09)
 Samsungは、彼らのスマートテレビの前で個人情報に関する論議を回避するよう顧客に警告している。
 この警告は、voice activation feature(ボイス・アクティベーション機能)を使用して、SumsungスマートテレビをコントロールしているTV視聴者に対して適用される。
 この様なTVは、この様な機能を搭載したTVの前で行われる全ての会話を盗聴し、聞いたことの詳細をSamsungやサードパーティと共有するかもしれないと、言われている。
 プライバシー活動家は、このテクノロジは、ジョージ・オーウェルの小説「1984年」に市民をスパイするものとして登場するテレスクリーンの風味があると発言している。

データ共有

 この警告は、ネットに接続しているスマートTVに関するSamsungのプライバシーポリシーの部分の抜粋を公開したオンライン・ニュース雑誌The Daily Beastの記事の中で明かになった。これはリモートコントロールのボタンが押されたとき、発言されていることを記録している。
 Samsungのプライバシーポリシーは、コマンドやクエリーがリモート経由で実行されたとき、誰が発言したのかを見極めるために同じ部屋の中の人々の発言を傍受し続けると説明している。更に、「あなたの発言した言葉が、個人や他の重要な情報を含んでいた場合、その情報はデータとして傍受され、サードパーティーに転送されるだろう」と、続けられている。
 デジタル権利問題で活動しているthe Electronic Frontier Foundation (EFF、電子フロンティア財団)の知的所有権専門弁護士Corynne McSherryは、サードパーティーは、多分Samsungのためにスピーチのテキスト変換を提供している会社であると(【訳注】 テレビを音声で操作するためには、発話内容を第三者に送信して音声を文字に変換する必要がある(CNNより))The Daily Beastに告げている。
 「私がこのテレビを持っているのなら、私はサードパーティーが誰なのか知りたいだろうし、私の言葉が安全な形式(暗号化のような)で転送されているのか否か当然知りたい。」
 その後直ぐ、EFFの活動家は、家庭で話したことが傍受されていると記されているGeorge Orwellの小説「1984年」とSamsungのプライバシーポリシーとを比較して、Twitter上で広めた
 広汎に共有されることになった、このプライバシーポリシーの声明に対する対応において、Samsungは、音声を有効にする動作方法を明かにする声明を発表した。この声明は、音声認識機能がTVのリモートコントロールを使用してアクティベートされることを強調している。
 この声明はまた、このプライバシーポリシーは、スマートTVの幾つかの機能を使用するか否かについて、情報に基づく選択を支援するために、所有者との透明性を確保するものであったと発言している。更に、この声明は消費者のプライバシーを「深刻に受け止めている」と追加している。
 Samsungは、「消費者が音声認識機能に同意し使用したなら、音声データは要求される音声コマンドを検索するためにサードパーティに提供される。その時点で、音声データはサーバに送信され、次に、要求される内容が検索され、要求されている内容をTVに戻す。」
 音声データを保持したり、キャプチャしたオーディオを販売することはないと、Samsungは追加している。スマートTVの所有者は、音声操作機能がONになっていることは、マイクロフォンのアイコンが画面上に表示されているので常に認識できると、Samsungは発言している。
 スピーチのテキスト変換を操作しているサードパーティは、音声認識のスペシャリストであるNuance(【訳注】 Nyanceの日本語サイトはこちら)と呼ばれる企業である。これはBBCがSamsungに確認したことである。
 Samsungは、TVが収集するデータで問題を起こしたスマート、ネット接続TVの最初のメーカではない。2013年に、イギリスのITコンサルタントは、彼のLG(韓国のLGエレクトロニクス製)TVが視聴習慣に関する情報を収集していたことを発見している。
 この問題についての注目は、LGに情報共有を望まない人々のためにデータ収集をOFFにするソフトウェア アップデートを行わせた。

人気のWordPressプラグインに影響を与えている0-Dayの脆弱性攻撃
ESET : We Live Security (2015/02/06)
 ZDNetによると、WordPress用のプラグインFancyboxが、ハッカーがWebサイトに悪意あるコードを挿入することが可能な0-Dayの脆弱性攻撃に晒されていた。
 このプラグインは、公式のWordPressプラグイン レポジトリから60万回ダウンロードされているものであり、lightbox中に画像、HTMLコンテンツ、マルチメディアを表示するためのツールである。The Registerによると、ロシアのセキュリティ研究者GennadyとKonstantin Kovsheninは、攻撃者が永続的なクロスサイト・スクリプトの脆弱性を介して悪意あるiframeを配布していることを発見した。このバグは当初、WordPressフォーラムで注目された(認証していないiframeが見知らぬサイトから挿入されたとの書き込みから)。
 研究者は、この脆弱性攻撃でどの位のWebサイトが感染させられたかについて、「多く」と言うだけで、その数を与えていない。彼らは、コピーキャット攻撃を妨げ、リスクが軽減されるまで、この脆弱性攻撃の詳細に関して明らかにしないと宣言している。
 当初与えられたアドバイスは、このプラグインを削除しなさいとするものであったが、PC Worldは、Fancyboxプラグインが、この問題を修正しアップデートされたと記している。事実、このプラグインは、立て続けに2回アップデートされ、二回とも攻撃の本質に対応していた。バージョン 3.0.3は、バグそれ自身を修正している、そして、バージョン 3.0.4は、最初にこの問題を導いたプラグイン設定をリネームしている。「このプラグインにアップデートされたWebサイトは、悪意あるコードを削除していなくても、悪意あるコードの表示を停止させるはずである」と、チェンジログで説明している。
 The Registerは、WordPressが「この脆弱性が、任意のスクリプトを脆弱性を持つサイトにロードさせることを可能にしているので、パッチに先立ってプラグインをリリースした」と記している。しかしながら、WordPressは、wordpress.comでホストされているサイトとは別に、自己ホストされているバージョンを持っているので、自己ホスト型WordPressユーザは、可能な限り早急に、このプラグインをアップデートすることをアドバイスされている。
 WordPressは大変人気のあるブログ プラットフォームの一つである。ZDNetは、トップ1000万サイトの23%が、何らかの形式でWordPressを使用していると主張している。

Coin Locker - ユリウス・カエサルにヒントを得た身代金要求ソフト
Bleeping Computer : General Topic>News (2015/02/03)
 Coin Locker身代金要求ソフトが実行することは、ユリウス・カエサルと共通点がある。答えは、内密のメッセージを暗号化するためにユリウス・カエサルが使用したCeasar Cipherと呼ばれる簡単に復号される暗号化方法である。この暗号化方法は、各文字を同じあるアルファベット中で前後に一定量置き換えることによって他の文字に置き換えるものである。例えば、この暗号文が4文字右に移動するとするなら、AはEに、BはFになる。右に4文字移動することによる暗号文の例を以下に示す。文字の置き換えをしようしているこの種の暗号文は、容易く復号できる。


 ROT4として知られる4文字シフトの暗号文

 Coin Lockerは、最初01月の終わり頃に報告され、コンピュータ上の全てのファイルを暗号化するとされていた。この感染を解析したNathan Scottは、「Coin Lockerは、ファイルのパスの中に、Windows, Mozilla, Google, Notepadの単語を含まない実行ファイルを含む全てのファイルを暗号化する。」 Coin Lockerが暗号化した全てのファイルは、.encrypted拡張子が追加される。Scottは更に、「Coin Lockerがファイルを暗号化するとき、Coin Lockerは、オリジナルの文字を左に4文字移動する文字置き換え暗号文を使用する。」と述べている。以下に、ScottがCoin Locker実行ファイルを逆コンパイルした時に彼によって生成されたソースコードを示す。


 逆コンパイルされたCoin Lockerの暗号化関数

 ファイルが暗号化された全てのファイル中に、Coin Lockerは、この感染に関する脅迫文であるCoin.Locker.txtファイルも作成する。この脅迫文は、このマルウェアのTORサイト(現在ダウンしている)に接続する方法と支払い期限に関する指示を与えている。誰かがこのマルウェアに身代金を支払ったのか、あるいは、このマルウェアの開発者が復号キーを配布したのかどうか分かっていない。

 あなたはCoin Lockerマルウェアに感染した。
 このシステム上の全てのファイルは暗号化された。
 あなたのファイルへのアクセスを再取得するには、Coin Locker復号ソフトウェアを使用する必要がある。
 我々のソフトウェアを入手するには、TORでWebの深い所にアクセスする必要がある。TORのダウンロードは以下。
   https://www.torproject.org/download/download-easy.html.en
 TORを起動し、我々のWebサイトに移動しなさい。
 http://unjbvgrxu2mpobuj.onion
 復号ソフトウェアを使用するには、このサイトのステップに従いなさい。そうすれば、あなたのファイルのロックは解除されるだろう。

 使用されている暗号化アルゴリズムが簡単であったので、Nathan Scottは、この身代金要求ソフトの影響を受けた人々のために復号化ツールを作成した。Scottの復号化ツールを使用するには、以下のプログラムをダウンロードして、コンピュータに保存しなさい。

http://download.bleepingcomputer.com/Nathan/Coin_Locker_Decrypter.exe(直リンク)

 プログラムをダウンロードした後、ダブルクリックして復号化ツールを起動する。プログラムが開始したら、復号したいドライブを選択し、Decryptボタンをクリックしなさい(以下の画像参照)。

 この復号化ツールは、あなたのコンピュータをスキャンし、.encrypted拡張子を含む全てのファイルを復号する。このツールは暗号化されたファイルを削除しないし、問題があった場合は、そのファイルを無傷のまま残すことに注意しなさい。このツールが、あなたのファイルを復号した場合には、あなたは確認が済み次第、同じツールを使用して、ファイルの暗号化されているバージョンを削除することができる。
 疑問があるのなら、いつでも遠慮なく質問しなさい。

Internet Explorerに説得力のあるフィッシィング攻撃の脆弱性
HotforSecurity : Industry News (2015/02/04)
 セキュリティ研究者は、Internet Explorer中に深刻なセキュリティ フローのあることを明らかにした。このフローは、ユーザがWebサイトを訪問したときに、悪意あるハッカーが、巧みなフィッシング攻撃を起動し、ユーザのブラウザ中に悪意あるコードを挿入することによって脆弱性攻撃を行うものである。
 David Leoは、先週末のFull Disclosureメーリングリスト上で、攻撃のデモ(人気のあるDaily MailのWebサイトに対して動作する)を含む、このフローの詳細を公開した。
 Windows 7と8.1で稼動しているInternet Explorer 11が脆弱性攻撃を受けるこのバグは、一般的なクロス・サイト・スクリプト(XSS)脆弱性であり、Same-Origin Policy(同一生成元ポリシー)として知られているものを回避する。
 Same-Origin Policy(SOP)は、Webアプリケーション セキュリティの重要な土台であり、ユーザのWebブラウザ中で実行されるスクリプトの機能を制限する方法である。具体的には、スクリプト(同じWebサイト上のページではないものの、読み込み書き込みをしようとするもの)がWebページ上で稼動するのを妨げようとする。
 しかしながら、LeoはInternet Explorerの規制を、やすやすと通過する方法を発見したと明らかにしている。
 Leoの脆弱性攻撃のサンプルページでは、Internet Explorerを稼動しているユーザが、Daily MailのWebサイトを訪問するリンクをクリックするようになっている。このリンクは通常通り開くが、7秒後に“Hacked by Deusen”という内容に置き換えられる。

 Daily MailのWebサイトが実際にハックされているわけではなく、ユーザのブラウザに表示された内容は、コッソリと変更されたものであるといということに注意しなさい。
 もちろん、この様な攻撃に大変説得力があるのは、ブラウザのアドレスバー内部に表示されたURLが、攻撃中に変更されないことにある。これが意味していることは、攻撃者が簡単にコードを埋め込める、もしくは、ユーザが何か疑わしいことが発生しているということに気がつくことなく、外部ページから悪意あるコードを稼働することができるということである。
 Tumblrの上級セキュリティ技術者Joey Fowlerは、Full Disclosureメーリングリストでの最新の投稿中で、この脆弱性の深刻さを確認している。

 フレームされたページが、X-Frame-Optionsヘッダ('deny' もしくは 'same-origin' 付きで)を含まない限り、それは成功裏に実行される。挿入されているペイロード(悪意の総体)を保留すると、殆どのContent Security Policiesはバイパスされる(すなわち、JavaScriptの代わりにHTMLを挿入することによって)。
 この方法を介して、全ての実行可能なXSS戦略は開かれているかのように見える。

 The Registerによると、このフローはMicrosoftに通知されており、セキュリティパッチが速やかにリリースされることが希望されているが、Microsoftからの期限に関しては提供されていない。
 前もって脆弱性を修正するチャンスをMicrosoftに与えることなく、このような深刻なセキュリティフローを公開することは、研究者が責任を持って行動しているのか否か、彼らの行動がInternet Explorerの大多数をリスクに晒すのではないか、という疑問を再び増加させることは間違いない。

Adobe Flashの0-Dayの脆弱性が、IEとFirefoxユーザに感染するためにハッカーによって攻撃されている
Graham Clueley : Blog (2015/02/03)
 Adobeは、オンライン犯罪者が、Adobe Flash中の未パッチの0-Dayの脆弱性を介してInternet ExplorerとFirefoxユーザを攻撃していると警告した。
 セキュリティ アドバイザリにおいて、AdobeはCVE-2015-0313として知られるFlashの脆弱性を今週中に緊急にアップデートする計画であると発言している。

 この緊急の脆弱性(CVE-2015-0313)が、Acobe Flash Player 16.0.0.296と、WindowsとMacintoshようのこれ以前のバージョン中に存在している。成功した攻撃はクラッシュを発生し、攻撃者は影響を与えたシステムを制御することが可能になる。この脆弱性は、Windows 8.1とそれ以前のバージョン上でInternet ExplorerとFirefox稼働しているシステムに対してドライブ・バイ・ダウンロード攻撃を介してインターネット上で活発に攻撃されているとする報告を、我々は認識している。
 Adobeは今週(02日から始まる週)の内にFlash Playerのアップデートをリリーする予定にしている

 しかしながら、Trend Microによれば、これは、緊急のフローを攻撃する悪意ある広告を供給しているサイトを訪問することによって、コンピュータを感染させられた山のようなコンピュータ ユーザにとっては、あまりに遅いものである。
 人気あるビデオ共有サイトDailymotionは、有害な広告を介してマルウェア攻撃を拡散している或るサイトを確認したと発言している。
 もちろん、これは、此処数週間でAdobe Flash中に発見された3回目の0-Dayの脆弱性である。そして、一部のコンピュータユーザが、この警報と警告の爆撃によって、何らかの衝撃を感じていたとしても、それは何ら驚くことではない。
 自分自身を保護する最良の方法の一つは、クリックすることで特定のパーミッションを与える場合を除いて、ブラウザ中Flash要素がレンダリングされることを妨げるために、”Click to Play”を有効にすることである。

Internet ExplorerでFlashのClick-to-Playを有効にするには

 Internet Explorerのツールバーの歯車のアイコンをクリックし、アドオンの管理を選択する。左ペインで、ツールバーと拡張 をクリック、Shockwave Flash Objectの上を右クリックし 詳細情報を選択、defaultの *(これは、全てのサイトでFlashを実行することを可能にしている) を削除するために、全てのサイトを削除 をクリックする。

FirefoxでFlashのClick-to-Playを有効にするには

 最も簡単な方法はFlashblockアドオンをインストールすることである。
 代替方法は、ブラウザのURLバーにabout:addonsと入力しEnterキーを押す。Pluginsをクリックする。プラグインの中から”Shockwave Flash”を発見する。ドロップダウンボックスから 実行時に確認する を選択する。

ChromeでFlashのClick-to-Playを有効にするには

 メニューボタンから、設定 を選択。詳細を表示 をクリック。プライバシーの下にある コンテンツの設定 をクリック。プラグイン の クリックして再生 にチェックを入れる。

 もちろん、言わずもがなであるが、Adobeが修正バージョンをリリースしたなら、できる限り早く修正版をインストールしなさい。

11万人を超えて感染したFacebookマルウェアが、更に拡散している
Full Disclosure : Mailing list (2015/01/29)
 僅か2日で11万人を超えるユーザに感染した可能性がある、新しいトロイの木馬が、Facebookを介して拡散している。

増殖

 このトロイは、感染させられたユーザの友人を魅惑的な投稿中にタグ付けする。この投稿を開くと直ちに、ユーザはポルノビデオのプレビューを得、そのうち停止し、プレビューを継続するためには(インチキの)Flash Playerをダウンロードするように要求してくる。このインチキのFlash Playerが実際のマルウェアのダウンローダである。

背景

 我々は、この2日間、僅か2日で11万人を超えるユーザに感染し、依然として拡大している場所で、このマルウェアを監視してきた。このマルウェアは、投稿の各範囲を20ユーザ未満にすることによって、そのプロファイルを目立たなくしている。
 このトロイは、幾つかのテクニックにおいて、今までのオンライン ソーシャルネットワーク中のトロイとは異なっている。例えば、今までのトロイは、数人の犠牲者の友人にメッセージ(犠牲者の代わりに)を送信していただけであった。このマルウェアは、これら友人が感染すると直ぐ、このマルウェアは、更なるステップに進み、最初の犠牲者の友人の友人に感染する。
 この新しいテクニック(我々は"Magnet"と呼んでいる)で、このマルウェアは、悪意ある投稿中に犠牲者の友人をタグ付けすることで、可能性ある犠牲者に対する多くの視界を得ている。この場合、このタグは、犠牲者の友人の友人にも見られているかもしれない。これは、多くの人々を潜在的な犠牲者に導く。これはマルウェア増殖のスピードアップになる。

知っておくべき事項

 この分析の詳細は、ここに後で投稿される。しかしながら、暫定的解決に関して、以下の情報は何かと便利であるかもしれない。

     実行ファイル(インチキのFalsh Player)のMD5: cdcc132fad2e819e7ab94e5e564e8968
     実行ファイル(インチキのFalsh Player)のSHA1: b836facdde6c866db5ad3f582c86a7f99db09784
     このインチキのFlashファイルは、実行されたとき、幾つかの実行ファイル(chromium.exe, wget.exe, arsiv.exe, verclsid.exe)をドロップする。

 このマルウェアはキーボードとマウスの移動をハイジャックすることが可能である(初動調査で)。
 Windowsプロセス中のchromium.exeの存在は、その脅威が存在することを示す痕跡(Indication of Compromise (IoC))である。このマルウェアは、実行と同時に以下のネットワークへの接続を試みる。

www.filmver.com、 www.pornokan.com

xHamsterでのBedepマルウェアを削除する方法
MakeUseOf : Security Matters (2015/01/31)
 Malwarebytesのブログ上での報道によると、アダルトサイトxHamsterの訪問者がマルウェアに大量感染していることが確認された。01月25日と26日に渡り、Malwarebytesは、xHamsterでのマルウェア感染に関して1500%の増加を確認している。何事なのか? あなたが感染したら、どうすれば良いのか? そして、安全であり続ける方法は?

マルウェア Bedep

 xHamsterのホームページは、traffichaus.comへのリンクがあり、traffichaus.comは、Bedepと呼ばれるマルウェアをダウンロードするようにAdobe Flash Playerの脆弱性を使用している悪意ある広告への入り口として、iframe をホストしていたと、Malwarebytesは報道している。IBTimesによると、残念なことに、多くのアンチウィルス プログラムは、iframeでの感染を見逃していた。57のアンチウィルスがiframeを見逃し、僅か2つだけが、ダウンロードされているマルウェアを検出した(【訳注】 2015/02/01(日本時間)でのVirustotalの検出結果のページはこちら)。

 ダウンロードされると、Bedepは更にマルウェアをダウンロードし、詐欺広告を供給しようとする。VirusRadarでのBedepに関するエントリは、このトロイの木馬は、多分他のマルウェアの一部分であり、そのコード中に含まれているURLから幾つかのファイルをダウンロードしようとすると、述べている。
 他の情報源は、Bedepは重要な情報を盗み、検出されることを妨げるためにアンチウィルス プログラムを無効化する、そして、犠牲者のコンピュータにBotnetをインストールし、犠牲者のシステム設定を改竄すると発言している。

Bedepから自分自身を防御するには

 まず第一に、明らかなこととして、xHamsterを訪問しないことを希望する。PornHubもまた、多くのマルウェアを拡散させていることで知られているので、このサイトでも同様にBedepに感染させられる可能性が高い。
 第二に、必ずAdobe Flash Playerをアップデートしておきなさい。あなたはAdobeのサイトから最新バージョンを入手することができる。いつものことであるが、あらゆるソフトウェアの最新バージョンが、おそらく最も安全である。あなたのブラウザ、拡張、アンチウィルス ソフトウェアのアップデートも維持しなさい。今まで、Chromeが安全であるように思われているが、 あなたのアプリケーションの全てをアップデートして、安全第一でいきなさい。
 あなたが、これらの二つの方法を実行したなら、Bedepに対する免疫の存在する道を歩んでいる。しかし、あなたが免疫の存在する道を進むつもりが無いのなら、Malwarebytes Anti-Exploitの無料バージョンをダウンロードしなさい。彼らのテストにおいて、Malwarebytesは、Anti-Exploitキットがユーザに警告を発し、Bedepのダウンロードを妨げることを発見している。
 また、このトロイは広告によって供給されているので、AdBlockPlusやNoScriptのような広告ブロック拡張を使用することは、あなたを保護するはずであるが、あなたは、これらの拡張を盲信すべきではない。

Bedepを削除するには

 コンピュータがBedepに感染したのなら、可能な限り早急にBedepを削除することが適切である。幸いなことに、Bedepの削除は困難ではない。このマルウェアに関するMicorosoftのエントリは、 Windows DefenderとMicrosoft Security Essentialsが、あなたのコンピュータから、このマルウェアを検出し削除することができると述べているので、このどちらかで、あなたのハードドライブを完全スキャンすることが適切な考えである(けれども、Microsoft Security Essentialsはテストでは大変情けないものだったので、あなたが、これを使用しているのであれば、私は他の何か良いものに変更することを推奨する)。
 MalwarebytesのAnti-ExploitプログラムはBedepのダウンロードを妨げることができるが、あなたが感染したのであれば、Malwarebytesのアンチマルウェア プログラムの無料版がこの感染を安全に削除できる。知っていると思うが、多くのアンチウィルス ソフトウェアが利用可能であり、それらの多くは無料である。遠慮なく、どれか一つをダウンロードし、それを使用しなさい。

感染させられるな

 xHamsterは大変人気がある、Alexaランキングでは、世界中で最も訪問者の多いトップ100の一つとしてランクされている。感染のソースになったという事実は、途方もない数の人々が、感染させられたということである。あなたがxHamster、PornHub、悪意のある広告用として知られる他のサイトを訪問していたのなら、即座にアンチウィルス スキャンを実行すべきである。
 悪意ある広告に関する極悪非道なことの一つは、ありとあらゆる場所で表示されることが可能であるということである。広告ネットワークが不正侵入されていたなら、何処でマルウェアを拾い上げるか分かったものではない。あなたがxHamsterの訪問者であるか否かを問わず、あなたが防御を維持しつづけるには適切な予防策をとることが間違いなく重要である。

GHOST脆弱性について認識すべきこと
Graham Clueley : Blog (2015/01/28)

GHOSTとは何か?

 GHOSTは、glibcライブラリ中に発見された緊急の脆弱性である。

glibcとは何か?

 glibcは、GNU C Libraryであり、Linuxオペレーティングシステムの主要部分である。あなたのシステムにglibcが存在しないのであれば、あなたのLinuxシステムは動作しないだろう。

では、どのような脆弱性なのか?

 Qualysの研究者達は、glibcの__nss_hostname_digits_dots()関数中にバッファオーバーフローの脆弱性を発見した。この脆弱性はホスト名を解決するために使用されるgethostbyname*()関数を介して(ローカルからもリモートからも)トリガされる。

分かった、君は多少オタクっぽいが...どのような危険があるのか話せ?

 攻撃者は、脆弱性のあるシステム上でリモートから悪意あるコードを実行するために、この脆弱性を攻撃し、完全な制御を取得することが可能である。

悪い話のようだ

 そうだ。Qualysは、特別に細工されたe-Mailをメールサーバに送信することで、Linuxマシンにリモートアクセスできる「脆弱性の証明」を開発した。32ビット システム、64ビット システムを問わず、既存の全てのプロテクション システムをバイパスしたと、彼らは発言している。

どの位前からの脆弱性なのか?

 2000年にまで遡る、glibc-2.2以降のglibcのバージョンが、この脆弱性による影響を受ける。

どのバージョンとオペレーティング システムがGHOST脆弱性のリスクを持っているのか?

 以下に、Qualysがこの脆弱性に関するブログの投稿での発言を引用する。

 この影響を受けるGNU C Libraryの最初の脆弱性あるバージョンは、2000年11月10日にリリースされた glibc-2.2 である。我々は、このバグの衝撃を軽減する幾つかの要素を同定している。具体的には、我々は、この脆弱性が、2013年05月21日(glibc-2.17とglibc-2.18の間に中る)に修正されていたことを発見した。残念なことに、これはセキュリティ上の脅威として認識されていなかったために、結果として、殆どの安定版や長期サポート版(例えば、Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04)は、この脆弱性を残したままになっていた。

何を実行する必要があるのか?

 幸いにして、Qualysは、この脆弱性を公開する前にLinuxディストリビューション ベンダに説明していたので、現在パッチが利用可能である。

パッチを適用するためにサーバを再起動する必要はあるのか?

 まず間違いなく、再起動は必要である。

詳細な情報を発見するには?

悪漢共は既にGHOST脆弱性を攻撃しているのか?

 我々が認識している限りでは、未だ攻撃されていない。しかし、現在脆弱性の詳細が公にされたので、攻撃は時間の問題かもしれない。
 企業は精力的にパッチしている。例えば、WP Engine(このWebサイトをホストしている)は、昨晩、全てのサーバをアップデートしたと発言している。

何故GHOSTと呼ばれるのか?

 一つ目の回答: 今日、全ての脆弱性は色っぽい名前を必要とする。結局、普通誰もこの脆弱性を CVE-2015-0235 と呼ぶことはないようだ。
 二つ目の回答: この脆弱性はGetHOST関数によってトリガされる。

Lizard Squad 再び攻撃を開始
EMSISOFT : Blog (2015/01/25)
 この最近のTwitterの投稿によると、ハッカーグループLizard Squadが再び別の攻撃を開始した。今回、犠牲者は、Facebook, Instagram, Tinder, AIM, Hipchatを含む人気のあるソーシャルネットワーク サイトである。Lizard Squadは、過去に数回大ニュースになった。そして彼らは再び桧舞台に立っているかのようである、もちろん不正な動機からの。

今までの攻撃

 Lizard Squadは、昨年12月のXboxとPlaystationに関連する一連のハックの実行者である。北朝鮮のインターネット停止期間も、この同じグループによって発生させられたものである。彼らはまた、明らかにマレーシア航空のWebサイトをハックした黒幕でもある。この事件で、ユーザは、その与えられている環境(【訳注】 航空機の行方不明事故の後という)において大変適切であった、ヘッドライン“Error 404 Plane not found”を発生するページにリダイレクトされた。
 これまでのところ、Lizard Squadのお気に入りの武器は、Distributed-Denial-of-Service(DDoS)攻撃である。

実際には、何が発生しているのか

 最近Facebookのスポークスマンは、以下のように報告している。

 「我々が、設定システムに影響を与える変更を導入した後に発生した。」
 「我々は素早く問題を修正するために行動し、二つのサービスを、全ての人に対して100%復帰させた。」

 Facebookからのステートメントは、問題が第三者によって発生させられたわけではないということを示唆しているかのように思われる。 停止期間の同時、且つ、全体的な性質は、別のDDoS攻撃が存在する可能性を減少させる。現時点で、我々は、もう一つのLizard Squad攻撃の前に警戒することは常に適切な考えである

0-day警告: Flash Playerの脆弱性が攻撃されている
EMSISOFT : Blog (2015/01/22)
 おそらく、来る数日間、Flash Playerを無効にしたり削除したりすることが最もスマートな方法である。Malware don’t need coffee(【訳注】 セキュリティ情報Webサイトの名前です)は、Angler Exploit Kitと呼ばれる攻撃ツールによって、Flash Player中の未パッチの脆弱性が攻撃されていることを発見した。この攻撃は、悪意あるコードを含んでいるWebサイトを訪問する全ての人をターゲットにしていることと、人々が所有するセキュリティソフトウェアが、このマルウェアをブロックしないので、多くのコンピュータに危害を加えるおそれがある。

ドライブ・バイ・ダウンロード攻撃: バックグラウンドで密かに始まる

 Angler Exploit Kitのような脆弱性攻撃キットは、サイト訪問者がバージョンアップされていないソフトウェアを、彼らのコンピュータ上で稼働しているか否かをチェックし、次に、マルウェアをインストールするために、そのソフトウェア中の脆弱性を攻撃する悪意あるWebアプリケーションである。この様な脆弱性攻撃キットは通常、ブラウザ・プラグインやツールバーのようなものを介してアクセス可能な人気あるアプリケーション(Java, Flash Player, Adobe Readerのような)をターゲットにしている。
   このような脆弱性攻撃キットは、度々ドライブ・バイ・ダウンロード攻撃を使用する。ドライブ・バイ・ダウンロード攻撃は、ユーザのWebサイトの訪問を単純にターゲットにしたマルウェア配布テクニックである。この攻撃は通常、そのようなWebサイトの訪問者には不可視のうちにバックグラウンドで密かに実行される。サイト訪問者は、この攻撃を起動するために意識的な行動を何らとる必要は無い。攻撃が実行されるには、この悪意あるコードが停泊しているWebページを閲覧するだけで十分である。Angler Exploit Kitは、継続的にその武器庫に既知の脆弱性用の新しい攻撃を追加している。最も最近のものとしてはFlash Player用の脆弱性攻撃である。

Angler Exploit Kitは、どのように攻撃するのか

 Angler Exploit Kit(しばしば、Angler EKと省略される)は、Flash Playerをターゲットに三つの異なる弾丸を発射している。

    1. 彼らの「標準」 CVE-2014-8440 - cb89e2da32a672a2b2bfea5b41f45ad5
    2. 新しい攻撃(ここで述べられているもの) - 86ee0a34b6f9b57c732b1aa9f4c45575、これはバージョン15.0.0.223までのFlash Playerを攻撃する
    3. 三番目のものは、全てのインスタンスに使用されない。この攻撃は、Flash Player 2015の最新バージョンを脆弱性攻撃する。

オペレーティングシステムとブラウザを攻撃する

 Windowsの現在のバージョン(例えば、Windows 8 + IE 10)は、脆弱性があることが明らかになっている。この投稿の時点で、以下のバージョンとブラウザに脆弱性があることが知れれている。

・ Windows XP、 IE 6から8、 Flash 16.0.0.257。
・ Windows 7、 IE 8、 Flash 16.0.0.257。ユーザエージェント Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
・ Windows 8、Windows8-RT-KB3008925-x86適用済みIE 10(Flash 16.0.0.235)。ユーザエージェント Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
・ Windows 8、完全アップデート済みIE 10.0(Flash 16.0.0.257)

 安全なオペレーティングシステムには、(完全にアップデートされた)Windows 8.1並びにGogle Chromeが含まれる。ファイルは未だ感染していない。

再びの0-Day攻撃は、どのようなものなのか?

 0-Dayのフローは、遅きに失するまで誰も知らないアプリケーション脆弱性である。これらは、Heartbleed, Shellshock, より最近では、ハッカーや攻撃者が他人のマシンで悪意あるコードの実行を可能にするPOODLEのようなものである。それらはまた、Sandworm(【訳注】 サイバースパイ団)やOperation Snowman(【訳注】 DeputyDogの実行者)のようなものでもある。
 0-Dayは危険である。パッチの適用に、0日しかない(一日もない)とアナウンスされているのだから。0-Dayが一旦公開されると、あなたは世界中のサイバー犯罪者によって既に脆弱性攻撃されていると仮定できる。それらが作成され発見された方法を更に学習するには、こちらを参照しなさい。

あなたが取れる防御措置の特別なステップ

 安全な側に存在するには、来る数日間、Flash Playerを削除するかOFFにするかのどちらかの措置を取ることが最善である。最新の0-Dayは、Flashが攻撃に弱かった初回から随分経っている。その結果、多くのユーザは、このプラグインを完全に無効化することを選択し、彼らがFlashを必要とするときだけ、分かっている場合には、信頼されるWebサイトでもFlashを実行している。
 必ず、ソフトウェアとプラグインの最も最新のアップデートバージョンを持っているようにし、適切なセキュリティ ソフトウェアをインストールしなさい。 Emsisoft Anti-Malwareは三層の防御を提供している。第1層は、Surf Protectionと呼ばれる。これは最新のAdobe Flash 0-Dayの攻撃に使用されたもののような悪意あるWebサイトから、あなたを自動的に保護する。第2層は、二つのスキャン エンジンでのマルウェア スキャナである。これは1200万以上の脅威を認識し、リアルタイムでアップデートされる。第3層は、我々の発明したBehavior Blockingテクノロジである。これは、あなたのコンピュータを悪意で改竄しようとする未登録の如何なる変種も同定できる大変強力なものである。

悪名高きWebサイトハッキング ツール ... ハックされていた
Hot for Security : Industry News (2015/01/20)
 KrebsOnSecurityによれば、悪名高きLizard Squardハッキング グループのツールであるLizardStresserのデータベースが、侵入され、数千の購入者が晒された。
 「KrebsOnSecurityによって取得されたLizardStresserの顧客データベースのコピーは、14,241を超える登録ユーザを引き込んでいたことを示しているが、登録ユーザの数千だけが、このサービスに、有料アカウントを持っていたことが明かになった」とKrebsは発言している。
 この有料ツールは、denial-of-service(DDoS)攻撃を介して、ターゲットをオフラインにするオンラインサービスを探している人々が利用可能であった。
 聞いたところによると、このデータベースの内容は暗号化されていなかったようである。
 「おもしろいことに、全ての登録されたユーザ名とパスワードは平文で格納されていた。また、このデータベースは、このサービスの顧客が、数千のインターネットアドレスとWebサイトを攻撃するために、11,000$(USD)相当を超えるビットコインを預けていたことを示していた」と、この研究者は発言している。
 ルータ ボットネットによって攻撃されたインターネットアドレスのログ付きの認証情報は、ファイル ホスティングサービスのMegaにポストされた。
 詳細な解析は、ゲーマーが好ましい標的であることを示している。攻撃目標にされたポート25565の約7%が、Minecraftサービスによって使用されていた。
 「このサービスの顧客によって実行された半分を超える攻撃がWebサービスに対してであり、かなりの部分が個人や小規模ゲームサーバー(Minecraftサーバーを含む)をターゲットにしていた」と、Ars Technicaは語っている。
 このサービスは一月に凡そ16,000攻撃を実行するために使用されていた。殆どは、ネバダ、ケベック、ポーランド、マレーシヤの小規模ホスティング企業と、彼らのIPアドレスで特定されないサイトに焦点を当てていた。
 LizardStresserサービスが起動された直後に、ハッキンググループの数人のメンバーは、昨年のクリスマスにSONYプレイステーションとMicrosoftのXboxシステムをDDoS攻撃した容疑で逮捕された。

多少の中断の後、マルウェア作成者はCryptowall 3をリリースした
Bleeping Computer : General Topic>News (2015/01/14)
 クリスマスから新年の間、Cryptowallの感染は多少中断していたが、昨日このマルウェアの開発者は、Cryptowall 3.0をリリースした。以前のバージョンと比較して今回のバージョンでの変更点は、身代金の脅迫文のファイル名が変更されたこと、新しいTorのゲートウェイ、支払い期限が延長されたことだけである。、Cryptowall 3.0のそれ以外の部分は、Cryptowall 2.0で我々が憎んできたカスである。
 最初の変更点は、支払いが実行されなければならない期限が延長されたことである、これ以降、身代金の金額は増加することになる。本来は、身代金の支払い期限は、感染した後5日であった。今回、彼らは一週間に期限を引き伸ばした。
 もう一つの変更は、Cryptowallの復号サイトにアクセスするために使用されるTorゲートウェイが追加されたことである。これらのTorゲートウェイは、torforall.com, torman2.com, torwoman.com, torroadsters.comである。これらのゲートウェイを使用して、感染させられたユーザは、Torブラウザ ソフトウェアをインストールすること無く、Cryptowall復号サイトにアクセスすることができる。

 大事なことを言い忘れていたが、身代金の脅迫文のファイル名は変更され、現在、あなたがWindowsにログインするとき、身代金要求文書と共に、特別なPNGファイルが表示される。Cryptowall 3.0 身代金の脅迫文の名前は現在、HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT.URLである。各身代金の脅迫文を以下に示す。
 HELP_DECRYPT.HTML: このHTMLファイルは、あなたがWindowsにログインする度に表示される。そして、Cryptowall 3.0が何であるのか、身代金支払いサイトにアクセスする方法に関する情報を表示する。

 HELP_DECRYPT.PNG: この画像ファイルは、あなたがWindowsにログインした時に表示される、そして、Cryptowall 3.0の詳細な情報と、身代金支払いサイトにアクセスする方法を含んでいる。

 HELP_DECRYPT.TXT: このテキストファイルは、Windowsにログインする度に毎回表示される、そして、他のファイルと同じ情報を含んでいる。

 HELP_DECRYPT.URL: このファイルは、あなたのDefaultブラウザを自動的にロードし、そして、あなたがWindowsにログインしたとき、CryptoWall 3.0 Decrypt Service(復号サービス)を表示する。この復号サイトは、以下の画像に類似したものである。 

 CryptoWall Information Guideは、既にこの情報付きでアップデートされている。そして、ListCwallは、依然として暗号化されたファイルを出力することが可能である。あなたはまた、我々のCryptowallサポート トビックで更に議論することもできる。

北朝鮮の公式ニュースサイトがマルウェアを配布していた
EMSISOFT : Blog (2015/01/13)
 あなたが最近、北朝鮮の公式ニュースWebサイトを訪問したことがあるのなら、コンピュータにマルウェアをインストールされたかもしれない。セキュリティ アナリストは、ハッカーがこのWebページに「水飲み場型攻撃」を構成するためにマルウェアを植え付けたと考えている。

あなたは馬を水飲み場に連れていくことができるが、馬に水を飲ませることができるか?
(自分でやる気の無い人に、指導することができるか?)

 水飲み場攻撃は、ハッカーが正当なWebサイト、もしくは、正当なサイトを装っているサイトを使用してマルウェアをホストするものである。ユーザが感染させられるサイトを訪問すると、ユーザはマルウェアに晒される。水飲み場の手法は、ハッカーがユーザの訪問をただ座って待っているだけなので、他の如何なるマルウェア拡散方法とも異なっている。伝統的に、マルウェアの拡散方法は、ハイパーリンクや添付ファイル付きのe-Mailを送信することのように、攻撃者が犠牲者を探し出すことを強制している。
 ユーザが北朝鮮のニュースサイトを訪問すると、“FlashPlayer10.zip”と呼ばれるファイルが、ダウンロードすることを促してくる。けれども、Adobe Flash Playerのバージョンが16なので、このパッケージは過去のものであるが、精通していないか、細心の注意を払っていないレギュラーユーザは、ZIPファイルを開く可能性がある。この場合、マルウェアはダウンロードされ、それ自身をインストールするだろう。このマルウェアは、ユーザのパスワードが格納されているブラウザから、それを盗むように設計されている。このマルウェアは最近発見されたものであるが、このマルウェアが実行することや、どの程度の影響を及ぼすのかは必ずしも明確にはなっていない。

サイトがFlash Playerのアップデートを促してきても’OK’をクリックしないようにしなさい

 あなたがサーフする場所に注意を払いなさい。そして、Webサイトがあなたに実行することを依頼してきていることに慎重になりなさい。サイトが、今回の場合のようにFlash Playerのようなもののアップデートを要求してきたなら、その製品のメーカーサイトを訪問し、直接ダウンロードしなさい。今回の場合は、少なくとも、善意を持っていないかもしれないWebサイトから、マルウェアの可能性のあるダウロードを回避できたはずである。

Windows 7 がマイルストーンに到達した: その終焉に備えよう
Widows Secrets : Top Story (2015/01/08)
 信じられないかもしれないが、1月13日に、Widows 7 の最終カウントダウンが始まる。
 この日、Microsoftの最高で最も成功したWindowsのバージョンの一つが、公式に「メインストリーム サポートの終了」に到達する。これが全ての Windows 7 ユーザに意味することを以下に記す。

Windows 7 は、拡張サポート フェーズに入る

 最もメジャーなMicrosoft製品は、二つのキーとなる製品サポートの終了日付を含む公式のライフサイクルを持っている。Windowsに関しては、これらの日付は、Microsoft's 「Windows ライフサイクルのファクト シート」Webページ上にリストされている。最初の日付(メインストリームサポートの終了)は、事実上Microsoftが、もはやこのオペレーティングシステムに対する無料のアップデート提供しないことを意味している。
 メインストリーム サポートが、Windowsの特定のバージョンに関して終了すると、次に、そのバージョンは拡張サポート フェーズに入る、これは、Microsoftが事実上の修正とセキュリティアップデートだけを提供する期間である。(企業は、金銭を支払うことで、特定の非セキュリティ アップデートを受けることができる)。OSが拡張サポート マイルストーンの終りに到達すると、全ての公式サポートが終了する。多くのWindows Secrets の読者が知っているように、Windows XP は、2014年04月08日が「拡張サポートの終了」日だった。以来、如何なる種類の公式のアップデートも存在していない。(Microsoft製品のライフサイクルに関する詳細な仕様に関しては、「マイクロソフト サポート ライフサイクル ポリシーに関する FAQ」を参照されたい。)
 「Windows ライフサイクルのファクト シート」中に記されているように、01月13日は、Windows 7 SP1の全てのバージョンのサポートが終了する日として印をつけられている。Windows 7 で毎日コンピュータしている我々数百万人にとって何を意味しているのだろうか? あっという間に、我々のオペレーティングシステムは、本質的には凍結されることになる。我々はもはや、如何なる拡張及び必須でない修正を受けとることができない。しかしながら、我々は、Windows 7 の公式の「サポート終了日」である2020年01月14日(現在の時点で、Microsoftは、我々にWindows 13(もしくは、その時点で名付けられているのもの)を望んでいる)まで、毎月定例のセキュリティ アップデートは受け取ることができる。
 昨年の4月のXPのように、Windows 7 システムはもはや、2020年1月以降、如何なる種類のアップデートも受け取ることはない。まさに、現在のXPのように、Windows 7 は、新たなマルウェアと脆弱性に対して極端に脆弱になる。Windows 7 は、2020年以降(Windows 7 のライセンスに使用期限は存在しない)もキチンと動作し続けるだろうが、私は、Windows 7 を使用してオンラインに入ることは絶対にないだろう。(私は、全てのXPユーザが、私のアドバイスを心に留め、この時点で、彼らのインターネット活動に他のデバイスを使用するように希望する)
 結論: Windows 7 の終焉まで、かなりの時間があるが、公式のライフは、最終フェーズに入っている。Windows 7 の変更を計画する時である。

Windows 7 から移行するための準備

 最近、私はオフィス用に数台のコンピュータを購入した。それらは全てダウングレード権利ライセンス付きで購入した。この権利は、Windowsの以前のバージョンをインストールすることを可能にする。それらのコンピュータを事実上Windows 8 搭載で購入している場合でさえ、これら全ては、Windows 7 を稼働することができる。その時点で、私のオフィスのデスクトップには、Windows 8.1 で動いているものが一台もないということが、私を襲った(Windows 7 からの将来の移行計画中に問題を含む可能性)。
 一般的に、Windowsのバージョンが、そのメインストリーム サポートの終了を迎えると、私は、稼働する必要のある必須のビジネスア プリケーションに注目するこから始める。それらアプリケーションは、Windowsの次のバージョンでも適切に動作するだろうか? それらアプリケーションは、新しいOS上で動作するためにアップグレードされるだろうか? あるいは、私はできるだけ長く、以前のシステム(あるいは、仮想マシン)上で、これらアプリケーションを起動する必要があるのだろうか?
 私の比較的小さなビジネスでも、この計画を考えるために多くの時間を要し、努力を必要とする。これは、大きな企業では、レガシー(【訳注】 既に新しいアプリケーションが出現しているにも拘らず、長期に渡り使用され、様々な事情から使い続けなければならない古いアプリケーション)な基幹業務アプリケーションを稼働しているので、大きな頭痛の種である。
 残念なことに、Windows 7 からの将来の移行に関する計画は、とりわけ困難である。我々はWindows 10 を待っているので、Windows 8.1 は、明らかに過度的なOSになっている。Windows 10 上で現在のビジネス アプリケーションをテストすることは、あまりに早計な方法である。公式の消費者版ベータのリリースは未だである。また、Windows 7 のライセンスは、以前の16ビットソフトウェアを稼働するのに便利な仮想XPモード マシンを含んでいる。しかし、この機能は、支持できないOS(【訳注】 過度的なOSと言う意味でのWindows 8)へ完全に移行させるために、Windows 8 には含まれていない。
 要するに、企業が、Windows 7 の終了に関する計画を始めるべき時が今である。以下に、私がWindows 7 から Windows 8.1 に移行しようとするときに遭遇する問題の幾つかを示すことにする。

    ・ .NETフレームワークの古いバージョンをチェックするには
       私のビジネスは、.NET 1.1 なしでは動作しない幾つかの古いソフトウェアを要求する。しかし私は、Windows 8.1 あるいは来る Windows 10 に .NET 1.1 をインストールすることができない。Windows 8.1 で、.NET に関するサポートはバージョン 3.5 からである(一般的に、ソフトウェアは、それが要求する .NET のバージョンを自動的にインストールする)。
       あなたは、.NET 1.1 をインストールしているが、もはや必要としていないかもしれない。Windows 7 のプログラムを開き、.NET 1.1 がインストールされているか否か確認しなさい。次に、インストールされているアプリケーションを検証し、それらが .NET 1.1 を要求しているか否かチェックしなさい。.NET 1.1 を要求するアプリケーションは、絶対にWindows 8.1 や Windows 10 にインストールしてはならない。(アプリケーションが必要とする .NET のバージョンが定かでないのであれば、一時的に .NET 1.1 をアンインストールし、どのアプリケーションが動作しなくなったのか確認する必要があるかもしれない。)
       インストール中に、古いソフトウェアの中にはインストールされているWindowsのバージョンをチェックするものがある。このソフトウェアが、OS(言うなれば、Windows 8)を認識しない場合、インストレーション プロセスは絶対に完了しない(図1参照)。例えば、QuickenとQuickBooksの以前のバージョンは、動作するWindowsのバージョンに取り分け融通の効かないアプリケーションである。


      図1、インストール中に、古いソフトウェアはインストールされるOSをチェックする。Windows 8 でインストールは拒否された。

    ・ Windows 8.1 のアプリケーションの互換性ツールを使用するには
       あなたは、Windows 8.1 に古いアプリケーションをインストールすることができたが、そのアプリケーションは依然として動作しない。この様な場合、そのソフトウェアに、以前のプラットフォーム上での実行であると誤認させることが可能である。アプリケーション アイコンを右クリックしプロパティを選択する。次に、「互換性」タブを選択する。「互換モード」の下で「互換モードでこのプログラムを実行する」にチェックを入れる(図2参照)。ドロップダウンリストから、Windows 7 あるいはWindows 95 のような以前のOSを選択する(あなたは、「特権レベル」の下にある「管理者としてこのプログラムを実行する」をチェックする必要があるかもしれない)。もしもロードしたなら、このアプリケーションを徹底的にテストしなさい(明かになっていることとして、このトリックは、そのソフトウェアが .NET の古いバージョンを要求する場合には、絶対に成功しない)。


      図2、古いソフトウェアはアプリケーションの互換性を調整(赤で印したところ)することで偶に稼働することがある。

    ・ ネットワークとドライブマッピングの問題
       小さなビジネスネットワークを稼働している者は、Windows Vista で最初に導入されたUser Account Herdeningの手強い副産物に遭遇するかもしれない。古いアプリケーションの中には、ユーザ アカウント制御(UAC)が有効になっているとき、マップされたドライブを取り扱えないものがある。あなたはこの問題に関する詳細をStack Overflowの記事に見出すことができる。
       簡潔に言うと、net useコマンドの使用、レジストリの編集という二つの解決策がある。必要とされるレジストリキーは以下である。

       HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥

       次に、新しいレジストリキー System EnableLinkedConnections を作成し、このキーに、dword で 1 を与える。
       サポート記事 937624 で説明したように、Microsoftは、コマンド ウィンドウを開き、以下のコマンドで必要とされるドライブをマッピングするように推奨している。

       net use ¥¥{computername}¥{sharename} ¥user:{username}

       どちらの方法も、古いアプリケーションは新しいWindows OS上で指定されたネットワークドライブを確認し、アクセスすることを保証している。

Windows 8.1 で仮想システムを起動するには

 上述したように、Windows 7 のビジネス バージョンは、無料のXPモード仮想マシン アプリケーションを搭載していた。Windows 8.1 には、Windows 7 モードでさえ存在しない。もちろん、あなたはMicrosoftの仮想マシンテクノロジであるHyper-V(詳細情報は、こちら)を使用してWindows 8.1 上で仮想マシンを稼働するこはできるし、OracleのVirtualBoxのようなサードパーティ製仮想マシンも使用することはできるが、あなたは以前のWindowsバージョンの完全なライセンスを必要とする。
 あなたはWindows 7 のOEM版を仮想マシン上で使用することは許されていないということを心に留めておきなさい。幸いなことに、Windows 7 の正規のリテール版を見つけることができる。Microsoftは、Windows 7 professional版を認証されたシステムビルダーに限り販売している。「Windows ライフサイクルのファクト シート」に記述されているように、Windows 7 の小売販売は2013年10月31日に終了している。Windows 7 の Home Basic, Home Premium, Ultimate のOEM版は、その一年後に終了している。あなたが、Windows 7 のオンライン販売を発見しても、その殆どはOEM版である。しかしながら、あなたは、Windows 7 の非OEM版に対するダウングレード権の付いたWindows 8.1 を購入することが可能である。
 驚いたことに、私が購入したダウングレード権の付いた新しいシステムは、Windows 7 がプレインストールされていた。これらは、二つのメディアのセット(Windows 8 と 8.1)も同梱していた。私は夫々のマシンで、この三つのオペレーティング システムの何れか一つを保持することが可能であるが、私は一つのシステムに複数のOSをセットアップすることはできないし、仮想マシン上に、三つのOSのうちの何れかをインストールすることもできない。ルールは、一台のマシンに一つのオペレーティングシステムである。

古いソフトウェアを稼働できるようにするには

 私のビジネスで、それが非常に特化されたアプリケーションであったため幾つかの古いソフトウェアを稼働させ続けている。長年渡り、Microsoftは、Windowsのより新しいバージョンに移行してきた、そこで、我々は或るソフトウェアベンダから別のソフトウェアベンダへと移動したが、我々の古いソフトウェアは、Windows 7 マシン上で依然として稼働し続けている。このアプリケーションは、もはやWindows 8.1 では稼働しない。昔のソフトウェアではしばしば、Microsoftは、譬え、カスタムサポート料金を支払っていたとしても、新しいOS上で10年前のコードを絶対にサポートしない。
 極めて稀なことではあるが、私が、XPプラットフォーム上の古いソフトウェアにアクセスする必要がある時、古いソフトウェア用のマシンとして、一つのシステムを構築している。私は今、Windows 7 用に、これと同じことを実行しようとしている。
 今、計画を始めよう。もう一度、Windows 7 は、あと5年必須のセキュリティアップデートを受けとることができる。あなたが今、計画を始める限り、2020年のサポート終了まで十分な時間がある。実際のところ、私はMicrosoftが、Windows 7 のサポート終了日をもう少し先にしても驚かなかっただろう。それであるにも拘らず、今が、あなたの必須のプログラムを維持し続けるための、必須のものに限り稼働させ続けるさせるためのプロセスを考え出す時である。Windowsのより新しいサポートされているバージョンでインターネット上に安全に滞在しつづけるためにも。

研究者によると、HTTPSはスーパークッキーにねじ曲げることができる
The Register : Security (2015/01/06)
 イギリスのコンサルタントは、安全とされるWebプロトコルHTTPS機能を、幾つかのブラウザの場合、取り除くことのできないトラッキングクッキーに変換することができることをデモンストレーションした。
 HTTP Strict Transport Security (HSTS、RFC 6797(こちら)で説明されている)は、危険なHTTPバージョンから暗号化されているHTTPSバージョンにユーザをリダイレクトするサイトを支援するメカニズムである。例えば、ユーザがブラウザ中に http://www.google.com と入力したら、それは、彼らを https://www.google.com に転送するHSTS(【訳注】 HTTP Strict Transport Security、WebサーバーがWebブラウザに対して、現在接続しているドメイン(サブドメインを含む場合もある)に対するアクセスにおいて、次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構(Wikipediaより))である。
 この問題は、https: サイトを訪問したユーザは毎回リダイレクトされて訪問することになるので、人々がユーザエージェント(すなわち、Webブラウザ)に問題があるのではないかと考えたことにある。
 そこで、このメカニズムの作成者は、ブラウザが、彼らの訪問先のサイトのHSTSポリシーを記憶するメカニズムを作成した。
 Sam Greenhalghは、これをある種のスーパークッキーであると同定した(こちら)。彼の指摘は、HSTS ”pin” は、あなたが使用している各HTTPSリダイレクト サイト用に設定されている。これはユーザとサイトに対して一意であるので、如何なるサイトによる設定も、あなたのブラウザから読み込むことができる。
 「一度、その数値が格納されると、この数値は将来他のサイトによって読み込まれることが可能になる。この数値を読み込むことは、同じWebアドレスへの要求がリダイレクトされるか否かのテストを要求する」と、Greenhalghは記述している。
 「プライベート」や「お忍び」ブラウジングモードは役に立たない。
 Greenhalghは、幾つかのブラウザは、HSTSフラッグをクリアすることを可能にしているので、Chrome, Firefox, Operaにおいて、この問題は幾分軽減される(IEはHSTSをサポートしていない)。
 Safariは殺し屋である。けれども、「AppleでSafariを使用しているときは、ユーザによってHSTSフラッグをクリアする方法は存在しないことが明らかであるとアドバイスしている。HSTSフラッグは、iCloudサービスで同期されているので、それらは、そのデバイスがワイプ(【訳注】 ファイルシステム上のファイルを消去するだけではなく, データ領域全体を、たとえば 0 で上書きするなどして, 情報を完全に失わせること(Weblioより))されたとしても、復元されるだろう。この場合には、あなたが削除する方法を持っていないので、このデバイスは、事実上消えることのないトラッキング値の『焼き印』を押されることになる。」  これは悪意あるサイトの所有者が脆弱性攻撃するために必要なトリックである。Greenhalghはまた、この問題は、Mikhail Davidovによって2012年に説明されている(サイトのオーナーによる実装は「ほぼ取るに足らない」と言っている)と指摘している。
 「この様なWeb上の指紋を打ち破ることは、Webが動作している方法の基盤の変更なくして実践できないかのように思われる」とGoogleはGreenhalghに言っている。しかし、この発言は、IEがHSTSを全くサポートすることなく、どうにかこうにかWebをナビしているのだから、The Registerにとっては奇妙に思われる。
 もちろん、Adam BarthはRFC 6797の三人の製作者の一人なので、GoogleがHSTSに何らかの投資を考えているだけかもしれないのだが。

アップデートされた’Cryptowall’は、TORネットワークを使用してWindowsをターゲットにしている
Emsisoft : Blog (2015/01/05)
 最新の身代金要求ソフト攻撃が、アップデートされたCryptowall 2.0からMicrosoft Windows 32ビットと64ビットオペレーティングシステムをターゲットにして発生している。この身代金要求ソフトは、 このハッカーの武器庫の中で最新の、ユーザのデータを人質に身代金を奪おうとするものである。Cryptowall 2.0は、そのコマンド・コントロール チャンネルをマスクし難読化するためにTORネットワークを使用している。TORネットワークはネットワークトラフィックを隠蔽するために使用されるコミュニティ・ネットワークの集合体である。Cisco Talos SecurityとIntelligence Research Groupは、この身代金要求ソフトがトレースされることを殆ど不可能にするために、幾つかの暗号化レイヤーを使用しているとする主張を、本日早くリリースした。
 Cryptowall 2.0は、疑いを持たないユーザからのE-Mailし、ユーザが、.PDF のようなE-Mail中の悪意ある添付ファイルを開いたとき実行することでフィッシングしたりするような、様々な攻撃ベクトルを持っている。Cryptowallは、ユーザのデータの暗号化に‘Asymmetrical’暗号化メソッドを使用している。このマルウェアは、次に身代金を要求する。支払うと、ハッカーは、ユーザ毎のプライベートキーでデータを復号し、ユーザにとって有用なデータを返却する。Talos Security Groupの解析に基づくと、Cryptowall 2.0は、クラックすることが殆ど不可能なRSA-2048ビット・キーを使用している。

あなたのデータを保護しなさい - フィッシング攻撃に注意深くありなさい

 Emsisoft Internet Securityを稼働し、マルウェアをその道筋の中で凍結させなさい。しかしながら、防御の最高の最前線は、ユーザの自覚である(いかなるリンクにも従わない、あるいは、良く知らない人からの添付ファイルは開かない)。これらを実行することによって、ハッカーが身代金要求ソフト攻撃を稼働するために使用する方法を減少させることができる。

Realtime Attack Trackersで見る - 誰が誰を攻撃しているのか?
KrebsOnSecurity : Blog (2015/01/05)
【訳注】 リンクされているサイトの中には、Chromeでなければアクセスできないサイトがあります。

 我々は、サイトをオフラインにしたり、ネットワークに侵入する目的のインターネット攻撃について、殆ど毎日のように読んでいるが、このタイプの攻撃をビジュアル化することは困難であった。この投稿において、我々はグローバルに、リアルタイムにオンライン攻撃と攻撃者を追跡する複数の方法に着目する。
 これらのグラフィックスに関する幾つかの注意。これらのライブマップを稼動している多くのデータは、実際のターゲットと”honeypots”(セキュリティ企業がオンライン攻撃のソース、方法、頻度についてのデータを収集するために配備している囮システム)の両方から得られている。また、一般的にこれらの幾つかの地図中に攻撃者として参照されている団体は、これらの内部システムに不正侵入され、他の場所から実行された攻撃をリレーするために使用されている。
 FireEyeのCyber Threat Mapは、小売店と彼らのクレジットカードシステムに対するサイバー攻撃に関する60分の物語中で最近知られるようになってきている。このグラフィックスは、1984年の映画War Gamesで特集された北アメリカ航空宇宙防衛司令部(NORAD)のICBMモニタを思い起こさせる(この関連性は意図的であると推測している)。このマップには多くの生データが含まれてはいないが、見ていて楽しいものである。


FireEyeの"Cyber Threat Map"

 私のお気に入り? あなたの就業時間(そして帯域幅)の半分の時間が経ったことさえ忘れる最も簡単な方法は多分、Norse Corpの物である。彼らのマップ? IPViking? 各トラックに関する豊富なデータ(攻撃している組織名、インターネット アドレス、目標にされている都市と攻撃されているサービス、並びに、最も人気のある攻撃目標国と攻撃発生国のような)を含んでいる。


NorseのIPVikingの攻撃マップは、見ていて楽しいものであるが、大変資源消費型である。

 各攻撃に対する多くの情報付きの他のライブサービスは、Arbor NetworksのDigital Attack Mapである。Arborは、このマップが、匿名ネットワークトラフィックと攻撃統計を共有することに同意した、世界中で270を超えるISPの顧客からフィードされたデータによって稼動されていると発言している。このサービスは2013年06月まで遡って、それまでの日付の攻撃に時代を遡ることができるので、本当に有用なサービスである。


 Arbor NetworksのDigital Attackマップは、匿名化された270ものISPによって共有されるデータによって稼動されている。

 KasperskyのCyberthreat Real-time Mapは一緒に遊ぶと大変楽しいものである。多分双方向のビデオゲームのように見えるだろう。一見魅力的な3Dと万華鏡のようなマップの下には、Kasperskyの様々なスキャンサービスからの匿名データが見られる。それ自体は、このかなり双方向の地図は、悪意の脅威の特定のタイプ(E-Mailマルウェア、Webサイト攻撃、脆弱性スキャン等)をフィルタすることによって、そのレイアウトをカスタマイズすることを可能にしている


 KasperskyのCyberthreat Real-time Mapは、この様なマップの中で最もビデオゲームに近いだろう。

 Anubis NetworksのCyberfeedは、Google Earthに似たようなものを使用して、自動的に訪問者を世界ツアーに連れて行く。そして、既知のマルウェアファミリのトップから、感染に基づいてデータをマップしている。素晴らしい考えではあるが、攻撃のマップよりマルウェア感染のマップである。そして、対話形式は全くない。この点において、フィンランドのセキュリティ企業F-Secureの脅威に関するマップ、Trend MicroのGlobal Botnet Threat Activity Map、Team CymruのInternet Malicious Activity Mapに非常に似ている。


 Anubis NetworksのCyberfeedは、あなたをマルウェア感染の世界ツアーに連れて行ってくれる。

 Honeynet ProjectのHoney Mapは、全くといって魅力的なものではないが、honeypotシステム上のリアルタイムの脅威に関する膨大な情報を含んでいる。各脅威や攻撃に関するVirusTotalからのマルウェア解析のリンクを含んでいる。


 Honeynet ProjectのHoney Map

 更に、OpenDNS Labの仲間達が、幾つかの洒落たデータとグラフィックスを含む素晴らしい攻撃トラッカーを持っている。


 OpenDNSのGlobal Networkグラフのデータ

 これらのマップ全てが、あなたにとって多少なりともハリウッド的であるのなら、あなたは、PewPew(追加された効果音がその名前の由来となったMandiant(【訳注】 FireEyeに買収されたアメリカのセキュリティ企業)からのデータをベースにしたグローバル攻撃マップ)の背後にある単純さとユーモアを楽しめるだろう。あなたのコンピュータのスピーカーのボリュームを下げた後、このマップを訪問したほうがいいだろう(特に、あなたが、これを見ながら仕事するのであれば)。
 攻撃といえば、あなたの中には、このサイトが年末、数日に渡り到達できなかったことに気がついた人がいたかもしれない。 それは、それがクリスマスにソニーとマイクロソフトのゲーム・ネットワークを攻撃した同じ犯人によってかなり恒常的な攻撃があったからである。 我々は、更なる混乱を防ぐために幾つかのものを引越しさせている。あなたは、ここ数日、このサイトのメインの記事が多少奇妙で遅くなっていることに気が付いているかもしれない。我々の整理中に、忍耐をしてくれていることに感謝する。読者諸君、新年おめでとう!

新たな身代金要求ソフトの警告: CryptoLockerを模倣したPClockが発見された。しかし、Emsisoftは復号ツールを作成した
Emsisoft : Blog (2015/01/04)
 CryptoLocker身代金要求ソフトは、2013年と2014年において最も悪名の高いマルウェア ファミリーの一つであり、オリジナルのCryptoLockerマルウェアの陰の行動は、2014年に取り除かれたものの、依然として、多くのユーザとシステム管理者を一様に恐怖させている名前である。従って、他のマルウェア製作者がCryptoLockerの模倣物をリリースすることによってCryptoLockerの評判にあやかろうとすることは驚くことではない。我々が気づいた最も最近の模倣物は、まさに昨日発見されたPClockと名付けられた身代金要求ソフトである。けれども、多少複雑で洗練されたマルウェアであったCryptoLockerと異なり、PClockは生来全く原始的である。

300$(USD)支払い用のカウントダウン タイマー

 全てのファイルを暗号化する身代金要求ソフト(crypto malwareとしても知られている)のように、PClockの主たる目的は、犠牲者のシステム上の重要なファイルを暗号化し、彼らのファイルを復元するために身代金を支払うことを強制することである。CryptoLockerのように、このマルウェアも1ビットコイン(およそ、300US$)の身代金の支払いに、72時間の最後通告をユーザに与えている。支払わなければ、ユーザのファイルを復号するために必要なキーを破壊すると主張している。

 ユーザが割り当てられた時間内に身代金を支払わない場合、再びマルウェアをダウンロードするようにユーザに告げるlast_chance.txtファイルが表示される。そして一応、支払いを実行するための更なる3日間が犠牲者に与えられる。実際には、PClockは、キーを破壊することはないので、このカウントダウンは全く意味をなさないものである。

PClockは、どのようにして新しいシステムに感染するのか

 この時点で、PClock(これは、Visual Basic 6で記述されている)が、どのようにしてユーザのシステムには入り込むのか完全に分かっている訳ではない。このマルウェアは、被害者のシステム上で実行すると、このマルウェアは、サブフォルダ "WinCL"とファイル名“WinCL.exe”を使用して、ユーザの現在のアプリケーション データ フォルダに自分自身をコピーする。次に、HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run に、新たに作成されたWinCL.exe実行ファイルを指し示す“wincl”と名付けられたキー中に、新しいレジストリ値を作成することによって持続性を確立する。このマルウェアは次に、犠牲者のファイルを暗号化しようとする。これは具体的には、以下の拡張子を持つファイルをターゲットにしている。

*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc,
*.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw,
*.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt,
*.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps,
*.xlk, *.xls, *.xlsb, *.xlsm, *.xls

 このマルウェアが暗号化しようとしている全てのファイルは、犠牲者のプロファイル フォルダに配置された“enc_files.txt”と名付けられたファイル中に記録される。暗号化が終了すると、このマルウェアは、シャドーコピーを削除したり無効化しようとするだろう。シャドーコピーは、ユーザがファイルの今までのバージョンを復元することを可能にするWindowsの「以前のバージョンの復元」機能にパワーを供給するテクノロジである。この機能は、身代金要求ソフトの犠牲者が彼らのファイルを修復するために、しばしば使用しているものなので、多くの身代金要求ソフトのファミリーはシャドーコピー サービスによって作成されているあらゆる「以前のバージョンの復元」を破壊することを始める。大事なことをひとつ言い残したが、このマルウェアは犠牲者のデスクトップに自分自身へのショートカットを作成する。そして、犠牲者のデスクトップ壁紙を以下の画像に変更する。

 感染と暗号化プロセスの間に、このマルウェアは、作者のコマンド&コントロールサーバでログを維持しようとする。

P04552 8:08:02 AM Files encrypted
P04552 8:08:02 AM STATE: CRYPTED_OK
P04552 8:08:02 AM Delete shadows
P04552 8:08:04 AM Shadows: no ADMIN
P04552 8:11:06 AM Shadows deleted
P04552 8:11:06 AM STATE: SHADOWS_OK
P04552 8:11:06 AM Prepare
P04552 8:11:08 AM Saved BTC price - 330
P04552 8:11:11 AM Shortcut created
P04552 8:11:12 AM STATE: PREPARE_OK
P04552 8:11:12 AM Change wallpaper
P04552 8:11:13 AM Wallpaper changed

 この抜粋は、何がログされているかを納得してもらうために、発生している感染の例を表示している。

PClock: 見掛けばかりで実態に乏しい

 カウントダウンに似て、脅迫文は真実から掛け離れている、そして、このマルウェアは一瞥して、どこか専門的なように見えるにもかかわらず、その陰にいる人々が全くのアマチュアであることは忽ち明かになった。例えば、使用されている暗号化アルゴリズムは、全てのシステム上で定数キーを使用する難読化をベースとする簡単なXORだけである。それ故、我々は、復号ツールを提供することが可能である。復号ツールは、この投稿の終わりの方で発見することができる。このマルウェアの作者は、彼らの運用のために使用しているサーバーを安全にすることを忘れているので、誰でも、彼らのサーバ上で、このマルウェアが作成しているログの内容を含むディレクトリ コンテンツを見ることが可能になっている。

 専門性に欠ける多くの深刻な兆候は、このマルウェアが犠牲者のシステム上でデータ損失を与えるかもしれない幾つかの壊滅的なバグを含むという事実である。例えば、このマルウェアが、メモリ中に収めきれない程の特別に巨大なファイルに遭遇した場合、このファイルを暗号化する代わりに、この既存のファイルを切り捨てて終了する。結果は、オリジナルの内容も暗号化されたファイルの内容も含まない0バイトのファイルになる。マルウェアがこの様にファイルを無茶苦茶にすると、犠牲者にとっての最後の希望はデータ リカバリツールとなる。

暗号化されたファイルを復号する方法

 先述したように、PClockによって使用されている暗号化は、極端に弱いものであり簡単に元に戻すことができる。このプロセスで、あなたを支援しガイドするために、我々は小さな復号ユーティリティを開発した。我々の復号ツールは、このマルウェアによって修復不可能なまでに損壊されている場合をのぞき、PClockによって暗号化されたあらゆるファイルを復号することが可能である。そして、身代金を支払うことなく、あなたのコンピュータを浄化する。あなたはこちらから復号ユーティリティをダウンロード(直リンク)することができる。

 この復号ユーティリティは、どのファイルを復号する必要があるかを決定するために、PClockが、犠牲者のシステムに格納している暗号化されたファイルのリストを使用する。このリストは、あなたがこの復号ユーティリティを起動すると、自動的にロードされる。理論的には、あなたが実行する必要のある全てのことは、この復号ユーティリティを起動し、”Decrypt”ボタンを押すことである。実際には、この復号ユーティリティは、それ程単純にはいかない。これは、このマルウェアが復号するための十分な情報を提供していないという事実から、復号化されたファイルが、このマルウェアによって暗号化される前のオリジナルの状態に復元されるとは絶対確実なものではない。それ故、我々は安全を考慮して、暗号化された全てのファイルをバックアップしている。このバックアップは、多くのディスクスペースを取る、復号されたファイルと暗号化されたファイルの両方を保持するために、ハードディスクに要求されるディスクスペースは二倍になる。 あなたが、あまりフリースペースの残っていないディスク上で、このユーティリティを稼動しているのであれば、この復号ユーティリティの”Options”メニューでバックアップを無効にすることができる。しかしながら、これは最後の手段でなければならない。このような方法で、この復号ユーティリティの使用を試みる前に、この復号ユーティリティが正常に動作していることを手動で確認すべきである。そのために、少数のテストファイルを用意し、この復号ユーティリティを試してみなければならない。
 あなたが、この復号ユーティリティの復号プロセスの実行に居心地の悪さを感じたのであれば、我々のサポートフォーラムもしくは、e-Mail(helpdesk@emsisoft.com)で躊躇うことなくサポートを要請しなさい。

GoogleがWindows 8.1の0-Dayの脆弱性を公開した
The Register : Security (2015/01/03)
 Googleは、MicrosoftにWindows 8.1のセキュリティ上の脆弱性を通知した90日後、その詳細を公開し、Google Project Zeroのセキュリティ イニシアティブの賢明さに関する議論の火ぶたを切った。
 9月にMicrosoftに個人的に通知されたこのバグは、ログインしているユーザがWindows 8.1のマシン上で管理者権限でコードを実行することを可能にするものである。
 このフローは、NtApphelpCacheControl()システム コールの取扱い中に存在している。そして、これは大変目立たないバグである。プログラムは最初にBITS(【訳注】 バックグラウンド インテリジェント転送サービス。アイドル状態のネットワーク帯域幅のみを使用して、インターネット経由でファイルを転送するように設計されたファイル転送サービス(Microsoft Technetより))のようなシステムレベル プロセスからアクセストークンを取得しなければならない。次に、アプリケーション互換キャッシュにエントリを挿入するために前述の関数を呼び出す(管理者レベル(admin-level)のコードだけが実行可能であるべき操作)。アクセストークンが検証されると、ユーザレベル(user-level)ソフトウェアが特権化プログラムとして成りすますし、キャッシュを改竄することを可能にするので、このプログラムの偽装レベル(impersonation level)はチェックされない。細心の注意を払って細工されたキャッシュ エントリは、昇格された権限で任意の実行ファイルを稼働するようWindowsを導くことができる。
 プログラミングのヘマをMicrosoftに告げたときGoogleのセキュリティチームは、「このバグは、90日公開期限を前提としている。広汎に利用可能なパッチ無しに90日が経過した場合、このバグ レポートは、自動的に公開されることになる」と告げている。  この期限は今、切れた。そして、このバグの詳細が12月30日に、動作する「脆弱性の証明」コードを含んで公開された。
 しかし、Google Project Zero(広く使われているソフトウェアのバグを根こそぎにすることを目的として、この組織は2014年7月に設立されている)の積極的な公開に関する方針は皆が同意しているわけではない。
 「期限に到達するや否や自動的にこの脆弱性を公開するということは、恐ろしいほど無責任であるとの印象を受ける、そして、私はGoogleのような企業のケアと成熟が大きく期待されていると思う」と、このバグレポート上に一人のコメンテータが記述している。
 しかしながら、他の人は、このバグが公開されなかったからといって、ハッカーが既にこの脆弱性を攻撃していないとは言えないと、指摘している。
 「それを秘密にしておくことによって利益を受ける者は誰もいない」とし、続けて、「脆弱性を公開することによって、この脆弱性のあるシステムを稼働している数十億の人々は、彼らが所有するセキュリティに対する脅威に気がつき、解決策を取ることが可能になる」と、他のコメンターは記述している。
 自動公開の方針を定義したGoogleのセキュリティ研究者Ben Hawkesは、以下のように記述している:

     Project Zeroは、公開期限がユーザセキュリティにとって現在最適なアプローチであると信じている。これはソフトウェアベンダが、利用者の権利を尊重しながら学び、彼らが直面するリスクを理解したうえで、彼らの脆弱性マネージメント プロセスを発動するための公正で合理的な時間の長さである。
     そのような訳で、我々は大変念入りにこの方針の効果を監視し続ける予定である。我々が報告したバグの大部分が期限内に修正された(ベンダが一生懸命仕事したことの証左である)ことを、初期の成果として示せて満足している。

 この公開に対する対応で、Microsoftは問題を認識しており、修正を準備中であるという旨の宣言を発表した。
 「我々は権限の昇格問題を解決するためのセキュリティ アップデートをリリースするために作業中である」と、「システムを攻撃する可能性のある攻撃者に関して、彼らは最初に正当なログオン認証を必要とし、次に、ターゲットにしたマシンに対してローカルにログオンすることが可能になることに注意することは重要である。我々は、このシステムを利用中のユーザに、彼らのアンチウィルスソフトを必ずアップデートし続けるように、全ての利用可能なセキュリティアップデートをインストールするように、コンピュータのファイアーウォールを有効にするように促している」とMicrosoftのスポークスマンは、E-Mailを介してThe Registerに伝えてきている。
 Microsoftは、今月の定例のセキュリティパッチ(1月13日、毎月第二火曜日、所謂Patch Tuesday、日本では水曜日)に、このパッチのリリースが計画されているか否か、発言していない。

BUYUNLOCKCODE身代金要求ソフトがインターネット上で検出された
BleepingComputer : General Topics > News (2015/01/02)
 年の初めに、我々は正当なプログラムアップデートもしくは、ユーティリティに扮装しているトロイの木馬を介して拡散している身代金要求ソフト(ランサムウェア)に関するレポートを受け取った。この身代金要求ソフトは、ここ数週間徘徊していることが明らかになっている。感染すると、あなたのデータファイルは暗号化される。そして、BUYUNLOCKCODE.txt脅迫文が、ファイルを暗号化した全てのディレクトリに作成される。このbuyunlockcode.txtファイルは、あなたが支払うための指示を受けとるために接触しなければならない指示とe-Mailを含んでいる。既知のe-Mailアドレスは、nick.jameson@expressmail.dkとChiuKhan@tom.comであるが、これらは時間と共に変更されるだろう。現時点で、身代金の金額は知られていない。
 BUYUNLOCKCODE.txtの文章は以下である。

 やあ、あなたのID = JSOXXXXXXXX
 全ての重要なファイルはRSA-1024暗号化アルゴリズムでエンコードされた。
 暗号化されたファイルを復元する唯一の方法は、一意の開錠コードを購入することである。
 警告! 我々の「特別なプログラム」以外で復元しようとする如何なる試みも、データにダメージを与えるか、完全にデータを失うことになるだろう。
 我々が、あなたの支払いを受けとると、我々は、あなたのシステムを開錠するための特別なプログラムと、あなた用の一意のコードを送信する。
 保証: あなたは暗号化されたファイルの一つをe-Mailで送信することができる、そして、我々はその能力の証明として無料でそのファイルを復号する。
 警察に連絡することは何の意味もない。支払いはe-walletで実行されなければならない。これを追跡することは不可能である。
 あなたと我々の時間を浪費しないようにしなさい。
 ファイルを復元するための支払いの準備ができたなら、このe-Mail(ChiuKhan@tom.com)に返信しなさい。
 そこで、我々は支払い指示を送信するだろう。

 EmsisoftのFabian Wosarは、親切にもインストーラを提供し、我々に代わって、この身代金要求ソフトの暗号化ルーチンを観察した。彼の解析によれば、このマルウェアは、AES暗号化を使用してファイルを暗号化し、ここで、AESキーはRSAキーで暗号化される。この暗号化ルーチンは、FGintオープンソース暗号化ライブラリを介して実行される。Fabianはまた、ファイル全体が暗号化されており、復号キーなしにファイルを復号する方法がないと述べている。
 感染すると、このマルウェアは、あなたのコンピュータ上の全てのデータファイルをスキャンし、以下の拡張子を持つ全てのファイルを暗号化する。

*.crt, *.xls, *.docx, *.doc, *.cer, *.key, *.pem, *.pgp, *.der, *.rtf, *.xlsm, *.xlsx, *.xlsb,
*.txt, *.xlc, *.docm, *.ptb, *.qbb, *.qbw, *.qba, *.qbm, *.xlk,*.dbf, *.mdb, *.mdf, *.mde, *.accdb,
*.text, *.jpg, *.jpeg, *.ppt, *.pdf, *.cdx, *.cdr, *.bpg, *.vbp, *.php, *.css, *.dbx, *.dbt, *.arw,
*.dwg, *.dxf, *.dxg, *.eps, *.indd, *.odb, *.odm, *.nrw, *.ods, *.odp, *.odt, *.orf, *.pdd, *.pfx,
*.kdc, *.nef, *.mef, *.mrw, *.crw, *.dng, *.raf, *.psd, *.rwl, *.srf, *.srw,*.wpd, *.odc, *.sql,
*.pab, *.vsd, *.xsf, *.pps, *.wps, *.pptm, *.pptx, *.pst, *.zip, *.tar, *.rar

 上述のファイルの一つにマッチしたファイルが検出されると、このマルウェアはファイルを暗号化し、次に、そのファイル名の末尾に.encoded.<一意のid>を追加する。例えば、example.txtと言うファイルは、example.txt.encoded.JS8521121に名前を変更される。JS8521121は、あなたの感染に関連付けられている一意のIDである。このマルウェアはまた、ファイルを暗号化した各フォルダにBUYUNLOCKCODE.txtファイルを作成する。ファイルの暗号化を終了すると、C:¥Users¥User¥AppData¥Roaming¥SunDevPackUpdate¥BUYUNLOCKCODE.txtファイルを表示し、以下のメッセージを表示するために、あなたの壁紙を変更する。

 最後に、このマルウェアは、本来のインストーラと、作成されているあらゆるマルウェア実行ファイルを削除する幾つかのレジストリエントリを追加する。
 アップデート: この身代金要求ソフトはShadow Volume Copies(シャドー ボリューム コピー)を削除しないことが明かになった。あなたは、Shadow Explorerや以前のバージョンの復元を使用して暗号化されたファイルを復元することができる。これを実行する方法に関しては、我々のCryptoWallガイド中に見出すことができる。
 この身代金要求ソフトに関する更なる情報が発見されたなら、我々は、その情報を此処で公開する。

既知のBUYUNLOCKCODE身代金要求ソフトのファイル

    %AppData%¥SunDevPackUpdate¥
    %AppData%¥SunDevPackUpdate¥BUYUNLOCKCODE.txt
    %AppData%¥SunDevPackUpdate¥pbinfoset.sww
    %AppData%¥SunDevPackUpdate¥wallpp.bmp

既知のBUYUNLOCKCODE身代金要求ソフトのレジストリキー

    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce¥bcdel cmd.exe /c del "%AppData%¥SunDevPackUpdate¥.exe"
    HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce¥oldex cmd.exe /c del "path-to-installer¥installer.exe"
    HKCU¥Control Panel¥Desktop¥Wallpaper "%AppData%¥SunDevPackUpdate¥wallpp.bmp"

rtble