ポリスウェア：善か悪か 2014年01月22日03:09 ツイート fsecure_corporation ヘルシンキ発  by：マイケル・アルブレクト マルウェアの状況は絶えず変化しているが、注目すべき変化の1つは、今日の悪玉が善玉になるかもしれないことだ。つまり、やつらが善人になると考えられるのだ。これをもう少し混乱しないように説明すると、当局はマルウェアの主要なプレイヤーの1つとなっており、アメリカの政府機関はすでに世界でもっとも大口のエクスプロイトの購入者なのだ。 これにより、我々のような対マルウェア戦士にとって、昔ながらの倫理上の論点がかつてないほど重要になっている。ポリスウェアにはどのように対応すべきだろうか？この種のマルウェアは検知すべきか否か？エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを

興味深いベトナム航空などへのサイバー攻撃報道 2016年08月01日13:00 ツイート hiroki_iwa1 オフィシャルコメント  by：岩井 博樹 中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。 参考URL http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html http:

「Petya：ディスク暗号化ランサムウェア」に感染したマシンの復旧 2016年04月13日08:00 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。 エフセキュアブログ : Petya：ディスク暗号化ランサムウェアより抜粋サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない。 皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。 しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya missi

iOS 9はパスコードのセキュリティを真に改善したか？ 2015年12月08日00:00 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 私はパスワードに関してある研究を行っているのだが、最近、iOS 9の次の機能を思い出した。 アップル社（訳注：日本語ページのURLはhttp://www.apple.com/jp/ios/whats-new/）：「Touch IDを有効にしたiPhoneとiPad上で使えるパスコードが、デフォルトで4桁から6桁に変わりました。Touch IDを使っている人は、その変化にほとんど気づかないでしょう。でも、1万通りの組み合わせが100万通りに増えるため、あなたのパスコードを破るのがさらに難しくなります。」（文字の強調は私が行った） 4桁から6桁に変わったって？翻訳するとこうだ。誕生した年も入れられるぞ！つまり今や「1101」の

AmazonがFlash広告にノーを突きつける 2015年08月21日00:00 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 近頃、Flashベースのマルバタイジングが猛威を振るっている。そのため以下のような発表がなされるのは時間の問題でしかなかった。 「Beginning September 1, 2015, Amazon no longer accepts Flash ads on Amazon.com, AAP, and various IAB standard placements across owned and operated domains.）、または所有および運用するドメイン上のIAB（Interactive Advertising Bureau）標準の様々なプレースメント広告において、Flash広告を受理することはない。」 Amazo

『WIRED』による自動車乗っ取り実験で浮かび上がる、3つの大きな疑問 2015年08月05日08:00 ツイート fsecure_blog ヘルシンキ発 US版『WIRED』（Wired.com）が7月21日に発表した記事は衝撃的でしたが、実際に起きても不思議はないことでした。ジープで高速道路を走行中の『WIRED』記者アンディ・グリーンバーグ氏に、奇妙な事が起こり始めたのです。車のエアコンやカーラジオが勝手に作動し出したことに始まり、ついにはエンジンが停止してしまいました。もはや車を運転しているのはグリーンバーグ氏ではなく、2人のハッカー役を務める研究者、チャーリー・ミラー氏とクリス・バラセク氏によって何マイルも離れた場所から遠隔操作されていたのです。2人はグリーンバーグ氏の車に何も手を加えていないどころか、触れたことすらありませんでした。これらはすべて、遠隔操作で車に接続し、車に搭載

エフセキュア、新たなサービスでBYODのセキュリティインシデントに対応 2015年05月11日12:00 ツイート fsecure_blog ヘルシンキ発 今日の企業の従業員は、仕事をするために必要であればどんなデバイスでも使いたいと思っています。このことから多くの企業がBYOD（個人デバイスの業務利用）ポリシーを採用していますが、その際に自社のセキュリティを犠牲にしているケースが多く見られます。エフセキュアが提供を開始した新サービスFreedome for Businessは、企業のセキュリティニーズと従業員のフレキシビリティへのニーズに対応するよう統合された、企業と従業員の双方にとって最高のサービスです。 Freedome for Businessは、現代のモバイルビジネスのニーズに合わせて作られたエフセキュアのFreedomeアプリです。ユーザごとに可変で人気のワンボタンインターフェ

携帯電話のICE。聞こえはいいですが、本当に良いアイデアでしょうか？ 2015年03月23日08:00 ツイート fsecure_blog ヘルシンキ発 インターネット上のサイトやFacebookのチェーンメールで皆さんもきっと目にしたことがあると思います。携帯電話のICEという連絡先情報を入力しておくことが救急医療士に推奨されています。ICEとはIn Case of Emergency（緊急時）の略語で、携帯電話の所有者が事故に遭った際の近親者への連絡に役立つものです。便利そうに聞こえますが、まずは、実際にどういうものなのか詳しく見てみましょう。 実際、これは事実に基づいており、よくあるいたずらのチェーンメールではありません。ICEは2005年に英国で生まれ、実際に救急医療士たちに導入されました。性善説に基づいた斬新なアイデアで、スマートフォンが出る前の時代ならうまくいったかもしれません

GCHQが違法な情報収集を行っていました。あなたは被害者ではありませんか？ 2015年02月26日08:00 ツイート fsecure_blog ヘルシンキ発 スノーデン事件の後で、今回のことは驚くには当たりません。イギリスの諜報機関であるGCHQが、多くのインターネットユーザを違法に監視していました。嬉しい驚きは、イギリスの調査権限審判所がついに、形式上の機関から真の判断を下す機関になったことです。というのも、最近の審理で、NSAとGCHQの間で行われた情報交換が違法だったいう判断を下したのです。これはまた、不要な秘密裏の情報収集は許さないという歓迎すべき兆候でもあります。諜報機関の仕事は秘密裏に行う必要がありますが、これが違法な活動を隠す目的で幅広く悪用されていたのです。 もちろん、プライバシー・インターナショナルとその支援者がこの件において重要な役割を果たしたことに感謝しています。し

デービッド・キャメロン英首相の公約が愚かである理由 2015年01月26日10:48 ツイート fsecure_blog ヘルシンキ発 英国のデービッド・キャメロン首相は、5月の総選挙で保守党が勝利した場合、正当な理由がある場合には法執行機関がアクセスできない通信形態を禁止すると発表しました。これは、暗号化を利用しているメッセージ用アプリが英国で禁止されるということです。 この発想がパリで起きた悲劇に反応した、誤った思いつきの行動であると考える多くの理由があります。エフセキュアが詳しく分析しましょう。 Il n’est pas Charlie（彼はシャルリーではない） テロリストや小児性愛者集団を逮捕する度に、英国政府は英国民の自由とプライバシーを抑えつける法律の導入を検討しています。これは、パリで起きたシャルリー・エブド本社での惨劇に対して人々が団結したこの2週間で世界中に広がった感情で

2015年の予測で最も確実な1つの事 2015年01月09日03:51 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン Carl Saganが述べたとおり、途方もない主張には途方もない証拠が求められる。そして最近、とりわけ途方もない主張を信じるかどうかを、一般市民が問われている。北朝鮮が SPE社（Sony Pictures Entertainment社）を攻撃し、信じがたいほど大量の同社のデータを破壊した、というものだ。これまでのところ、その途方もない証拠は何も示されていない。 提供されている「証拠」の大半は、主に匿名の米政府高官からのものであり、報告されたところによれば彼らの大多数はFBIの捜査に活発に関わっているわけではない。 ではFBI自身は？えーと単純に、James Comey長官の立場は、我々を信用してほしい、というものに集約されている。しかし情

米国のダブルスタンダード：米国のようにハッキングするな 2015年01月19日23:23 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 以下は、米国がハッキングしたとされている企業のリストだ。 •  RealTek •  JMicron •  C-Media これら台湾の技術企業3社を米国がハッキングした理由は何だろうか？ StuxnetおよびDuquで使用されているドライバに署名する目的で、デジタル証明書を盗むためだ。 … 以下は、北朝鮮がハッキングしたとされている企業だ。 •  Sony Pictures ところで、企業をハッキングしてデータを盗んでも大丈夫だなんて常軌を逸したアイデアを、朝鮮民主主義人民共和国はどこで得たと思う？ ————— DER SPIEGEL誌：The Digital Arms Race: NSA Preps America f

テロリストを逮捕するのは、誰の仕事？MI5（英国情報局保安部）？それともFacebook？ 2014年12月03日10:16 ツイート fsecure_blog ヘルシンキ発 英国人兵士リー・リグビー氏が殺害された悲惨な事件が、最近紙上を賑わせていますが、これは英国当局のこの事件に関する対応をまとめた報告書が公表されたことによるものです。事件の調査委員会が、この事件の責任はFacebookにあると考えていることが明らかになったことで、世間の注目が集まりました。委員会は、Facebookにはこのような襲撃を企む人々を特定し、通報する明確な義務があるとしています。テロについて話しているあらゆる人物を電話会社が通報したり、郵便事業者が怪しい手紙のコピーをすべてロンドン警視庁に提出したりすることと全く同じように（これは皮肉だとおわかりいただけると思います）。 英国の当局であるMI5（情報局保安部）

香港の抗議者にデジタル戦争を仕掛けているのは？ 2014年10月20日13:51 ツイート fsecure_blog ヘルシンキ発 中国のデジタル機動隊か？ Volexityによると、「非常に顕著なAPT攻撃」が数カ月にわたり、香港や日本のウェブサイトを攻撃しているということです。 民主主義を支持するサイトが被害を受けていますが、その中には、「ATD（Alliance for True Democracy、真普選聯盟）– 香港」や「People Power（人民力量）– 香港」のほか、中国政府に対する大規模な抗議活動を支えるOccupy Central（中環占拠）やUmbrella Revolution（傘の革命）といった学生運動と関連するその他複数のサイトが含まれています。今、こうしたサイトにアクセスする人は、｢脆弱性の悪用、セキュリティ侵害、デジタル監視｣を目的に作られたマルウェアの標

RATが香港の民主活動家たちを脅かす 2014年10月15日16:00 ツイート fsecure_corporation ヘルシンキ発  by：マイケル・アルブレクト 最近、香港が報道の見出しを賑わせている。オキュパイ・セントラル（#occupycentral、#OccupyHK）運動や、傘の革命（#umbrellarevolution、#UmbrellaMovement）のおかげだ。DPHK（Democratic Party Hong Kong、香港民主黨）とATD（Alliance for True Democracy、真普選聯盟）はこの活動の中心的な組織である。近頃は、こういった活動が民主主義のための戦い以上のものへと発展した。上記の組織のサイトがマルウェアに感染し、#digitalfreedomのための戦いへと変化したのだ。Volexity社は技術的な全詳細とともに記事を掲載してい

DEFCON CTFでの日本と世界の差がすごいと話題に 2014年08月22日18:43 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。 主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。 その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。 これは2014年の大会で主催チームであるLegit BSが行った可視化です。 見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。 一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。 日本のクオリティの高さを実感できます。 「オフィシャルコメント」カテゴリの最新記事 「by：福森 大喜」カテゴリ

ランサムウェア・レース（パート5）：守られないSynoLockerの約束 2014年08月22日21:44 ツイート fsecure_corporation ヘルシンキ発 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。 SynoLockerはシノロジー社製のNAS（network attached storage）デバイスを標的にしている。デバイスがSynoLocke

アイシスを使ってファイルスラックに痕跡を残せるか 2014年03月19日10:49 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという（検察側の）主張は良くわからないというのが正直なところです 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。 【PC遠隔操作事件】不正プログラム「アイシス」の全貌が明らかになった（第3回公判傍聴メモ） これら２つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主

アイシスを使って非表示でアプリケーションを起動させることができるか 2014年03月21日23:57 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 iesysには、感染PCのプログラムを起動する命令（run）がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。 【PC遠隔操作事件】iesysにできること・できないこと（第4回公判メモ１） ではこれも検証してみましょう。 これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。 たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。 しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面を

いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ