Windows XPのサポート終了への対応 2013年07月25日13:37 ツイート fsecure_blog 東京発 Windows XPのサポートが2014年4月9日に終了します。サポート終了後は、新しくオペレーティングシステムの脆弱性が発見されても、セキュリティパッチが提供されることがないため、エクスプロイトの侵入や情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。 サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。 ところがIDC Japanの2012年秋の調査によると、Windows XPをインストールしている法人向けPCは40.3％にあたる1419万台と言われています。サポート打ち切りまでに、全てのWind

PC攻撃サイトの後継：スマートフォンとタブレットのみに関心 2013年06月19日21:50 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 当社にて発見したあるサーバは、スマートフォンとタブレットを攻撃したり、スパムを送りつけたりするものだった。PCに対してではなく。 スウェーデンを拠点とする同僚Johanが、最近自分の電話機（Android）を使ってガラパゴス諸島を巡る船旅について検索をした。彼はVagabondと称するサイトを見つけた。そしでVagabond上でgalacruises.comへのリンクがあるエントリーを見つけた。 Windowsベースのブラウザでは、このリンクはislasgalapagos.travelというサイトへリダイレクトする。 しかし携帯端末を使用すると結果は大きく異なる。 携帯端末のブラウザの場合、.infoドメインへとリダイ

ウイグルのMacユーザを標的にした新たなWordドキュメント 2013年04月25日22:39 ツイート fsecure_corporation クアラルンプール発  by：ブロデリック・アキリノ 2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。 このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者（Author）としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。 ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。 C&Cサーバとしては「alma.apple.cloudns.org」を用いている。 このバリアントは以下

Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される 2013年04月23日23:36 ツイート fsecure_corporation ヘルシンキ発  by：SecResponse Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。 PoC（概念実証、proof of concept）についての情報はここ

制御システムのセキュリティ対策、いつやるか？ 2013年04月23日07:56 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 2013年1月、アメリカのマイアミでS4(SCADA Security Scientific Symposium)というカンファレンスが行われました。世界中から制御システムセキュリティの技術者が集まり、技術的な話題を中心に議論する世界でも数少ないカンファレンスです。 今回のテーマは「NOW」でした。 IF NOT US, WHO? (誰がやるか？君でしょ！) IF NOT NOW, WHEN? (いつやるか？今でしょ！) 日本でも流行っている「いつやるか？」「今でしょ！」というやつのアメリカ版ですね。 「NOW」というテーマの下、次のような議論が行われました。 議論した内容： 制御システムには暗号化も認証も無いけど、デバイスの性能

強制開示された制御システムの脆弱性 2012年12月19日08:12 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。 調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。 ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。 その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。 以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。 しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するに

オーストラリアで医療記録が暗号化され、身代金が要求される 2012年12月10日19:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン ABC放送（Australian Broadcasting Corporation、オーストラリア放送協会）によると、オーストラリアのゴールドコーストにある小規模医療事業者が保有するサーバがハックされ、患者の記録が暗号化された。そして、4,000ドルの身代金の要求があった。 画像提供元：Google オーストラリア版のSC Magazine誌では、今年すでに同様のハックについて報じている。 2012年中に見てきたランサムウェアの大半は個人をデスクトップPCから締め出すことに焦点を合わせたものだったので、我々はこの興味深い進化に衝撃を受けた（当社のH1 Threat Reportのransomwareの節を参照のこと）。

Googleが第3.0次世界大戦に参戦 2012年11月23日23:20 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 10月にドバイで開かれたITU Telecom World 2012カンファレンスについて、本ブログで触れた。これに続き12月には、現在のITR（International Telecommunication Regulations、国際電気通信規則）に関して見直しを行うWCIT-12（World Conference on International Telecommunications）が開催される。 Protect Global Internet Freedomの面々などは、WCIT-12で取られるアクションにより、インターネット・ガバナンスの重要な側面が変わることを心配している。 言い換えると、ITUがギーク達の主導権を奪い、各国

11月5日 Guy Fawkes Night とアノニマス #Nov5 #5Nov 2012年11月05日18:37 ツイート gohsuke_takama オフィシャルコメント  by：高間 剛典 アノニマスの被るガイ・フォークス(Guy Fawkes)のマスクは映画「V for Vendetta」を発端としていることから、Guy Fawkes Nightのある11月5日はアノニマスにとっての記念日的な存在です。そのためTwitterのハッシュタグ #Nov5 と #5Nov で今日は活発な動きが見られています。  また今日の明け方新たなアノニマスの声明ビデオがYouTubeにアップされていました。 http://www.youtube.com/watch?v=3aOKf-vHSEk   このビデオでは主に政府によるサーベイランス・システムの構築への抗議が呼びかけられ #OpNov5 #

「Windows Server 2008」を使用している？　ならばパッチを。 2011年11月09日23:03 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 今月のMicrosoft Updateには、興味深い脆弱性が含まれている： マイクロソフト セキュリティ情報 MS11-083 「このセキュリティ更新プログラムは非公開で報告されたMicrosoft Windowsに存在する1件の脆弱性を解決します。この脆弱性により、攻撃者が対象システムの閉じられたポートに特別な細工をしたUDPパケットの連続フローを送信した場合、リモートでコードが実行される可能性があります。」 UDPパケットの連続フロー？　なるほどリモートでのコード実行だ。 これはWindows Vista、Windows 7およびWindows Server 2008に影響を与える。幸い、大部分の

Duqu：質問と回答 2011年11月04日01:47 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。 Q: Duquとは何か？ A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット（ワームでは無い）だ。 Q: Duquはどのように拡散するのか？ A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。 Q:それはRSAがハッキングされたのと同じ手法ではないのか？ A: そうだ。多くの標的型攻撃が、この

Backdoor:OSX/Tsunami.A 2011年11月01日01:47 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 「Backdoor:OSX/Tsunami.A」に関する説明を公開した。「Tsunami」はボット機能を持つMac OS Xバックドアだ。 このボットはDDoS攻撃に関与することができ、実際、亜種の一つが「anonops」に関連してIRCサーバに接続しようと試みている。（インターネット集団）「Anonymous Ops」などでだ。 Tsunamiには明白な感染ベクタは存在しないため、一部のアナリストはOSX/Tsunamiがまだ未完成なのではないかと推測している。またサーバのリモートハッキングが、ベクタの一つである可能性を指摘しているアナリストもいる。OSX/Tsunamiが、インストールするためにPHP脆弱性を長く使ってきたLin