セキュリティに関して誰かがKrebsを嫌っている 2011年06月23日20:37 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン エフセキュアラボでは、自動化したサンプル分析を実行する、多数のシステムの設計、構築を行い、利用している。 そのオートメーションの一部が、さまざまなキーワードで怪しいコードをモニタする。何故キーワードでモニタするのか？　マルウェアの作者には、コードに隠れメッセージをひそませるのが好きな者がいるからだ。 例えば、「Virus:W32/Divvi」は「Mikko cut ur ponytail」というストリングを含んでいる。明らかに我らがミッコ・ヒッポネンを指している。 多くのマルウェア作者も、「チャック・ノリス」といった語を使用し、自分達のコードにポップカルチャーへのリファレンスを含ませている。 我々はデビット・ハッセルホフをテーマ

詐欺ニュース 2011年06月13日05:00 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 日曜の遅くに、同僚から奇妙なメッセージをもらった。 彼がGoogle News検索を行い、エフセキュアに関するニュースを探していると、奇妙なものを見つけたというのだ。 ニュースソースに見覚えがなかったので、フロントページをチェックした。 すると、それがそこにあった。私と同僚のセキュリティリサーチャBrian Krebsが、盗品のクレジットカード販売を行って逮捕されたと称するでっち上げ記事が。傍注として、その記事は我々が恋人同士だと述べている。さて、ご説明させて欲しい。これらの主張はどちらも真実ではない。私はBrianが好きだが、そういう意味で好きなのではない。 以下がその偽記事だ： そこで私はBrianに電話した。彼はすでにその記事を見ており、誰の仕業かについて

英国諜報部が過激派のオンラインマガジンを破壊 2011年06月02日21:34 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 「Washington Post」の記事が、「Inspire」誌のある号を英国諜報部のメンバーたちが破壊したと報じている。「Inspire」はアルカイダの英語版ライフスタイル誌で、PDFフォーマットによりオンラインで発行されている。これまでに5号が発行されている。 最初の号が昨年発行された際、多くのジハード戦士たちが本物ではなく破損したバージョンをダウンロードすることになった。この破損したバージョンは、英国諜報部により作成され、広められたものだ。 どのように破損しているかを以下に挙げる。 下に示したのは「Inspire #1」のカバーだ。左が本物、右が破損したバージョンだ。目に見える違いは無い。 以下は目次。目に見える違いは無い。

Mac OS Xマルウェアが本格化 2011年05月26日22:31 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。 その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。 新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。 時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。 先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたG

Google Webサーチを使用して改ざんされたGoogle画像を見つける 2011年05月24日00:00 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン Googleサーチに問題がある。 数週間にわたり、Google Imageサーチの結果がますます、Search Engine Optimization（SEO）ポイズニングにより汚染されている。Google Imageの結果を介して、スケアウェアTrojanやエクスプロイトにリンクした多くのサイトが、毎日発見される。これらのサイトの多くは、さもなければ安全と思われるであろうものだが、何らかのハッキングにより障害が起きている。 問題の一端は、Googleが画像をクローリングし、ランキングする方法にある。 以下はGoogle Imageの結果からの、汚染されたリンクの例だ： 「imgurl」と「imgref

スパムで恩恵を受ける銀行 2011年05月24日23:07 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 2、3年前、スパムのリサーチ中に、我々はスパムメールから一連のテスト購入を行った。 錠剤やソフトウェア、タバコなどを購入した。少々驚いたことに、ほとんど全ての注文が承認され、実際に商品が届いた。確かに、我々が受け取ったWindows CDは粗悪なコピーだったし、ロレックスは明らかに偽物だったのだが、少なくとも彼らは「何かしら」を送って来たのだ。 テストのために作ったクレジットカードアカウントを、我々は注意深く観察していたが、それらが詐欺的に利用される事はついぞなかった。 このテストで最も驚いたのは、商品の購入に使用した電子メールアドレスに対して、スパムが増えなかったということだ。 我々の調査結果は、カリフォルニア大学のリサーチャーたち（そうそうたる著

Webアドレスは慎重に見るべし 2011年05月25日21:38 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 何とばかばかしいフィッシングサイトだろう。 このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。 もちろん、違うのだが。 これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。 こんなものに誰も引っかかりはしない。 一部のケースを除いては。 ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。 iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみ

プラウダがハッキング 2011年05月11日17:14 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」）がハッキングされた。 サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介してユーザを感染させようとするエクスプロイトスクリプトをこっそりロードする。成功すれば、訪問者のコンピュータは、部外者がそのマシンにアクセスし、使用することを可能にするボットにヒットされる。 このような攻撃は非常に悪質だ。エンドユーザは長年の間、毎日同じニュースサイトに行き、それを信頼するようになる。そしてある日、そのサイトは危険なものになり、お気に入りのページを開いただけで、コンピュータを乗っ取られてしまう。 5年前は、このような大手サイトに侵入した場合、その連中はきまってコンテンツをすべて削除し、フ

震災情報を装ったウイルスメールの犯人を追う 2011年04月19日15:55 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。 攻撃の流れはだいたい以下のようになっています。 添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。 この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。 痕跡１： WORDファイルのフォント マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを

ビデオ - 「Windows Activation」Ransom Trojan 2011年04月11日23:57 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 我々は先頃、以下のプロンプトを出すRansom Trojanに遭遇した： 「Windowsライセンスをロックした！」 このトロイの木馬は、「アクティベーションを完了しなければならない」と主張して、いくつかの電話番号を提供する。 その番号は以下の通り： •  002392216368 •  002392216469 •  004525970180 •  00261221000181 •  00261221000183 •  00881935211841 同トロイの木馬は、通話は「無料である」と主張するが、実際はそうではない。そしてトロイの木馬の作者はShort Stoppingとして知られるテクニック

エジプト、FinFisher侵入ツールそして倫理 2011年03月08日18:17 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。 2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。 本部内で、抗議者達は多くの国家機密書類にアクセスした。 それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。 注：我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる［pdf、1.3MB］。 「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売さ

「Stuxnet」再び 2011年02月14日02:41 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 久しぶりに登場した最も重要なマルウェア「Stuxnet」は、フォレンジックな観点から見ると興味深い機能をいくつか有している。たとえば、新しいシステムを感染させる際、日付、時間、感染したコンピュータのいくつかのシステム情報を記録する。 これにより、「Stuxnet」が拡散する仕方のタイムラインを作成することが可能になる。 我々は、収集した全ての「Stuxnet」サンプルをSymantecと共有した。概して彼らは、複数のセキュリティベンダから、3000以上の固有のサンプルを集めることができた。 次に彼らは、サンプルをクロスリファレンスし、いくつかの興味深い事実を発見した。たとえば： 「Stuxnet」は5つの異なる組織に対する標的型攻撃だった。 2009年

ジュリアン・アサンジに言及するマルウェア 2011年01月21日16:54 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン マルウェアのサンプルをブラウジングしていたら、これに気づいた。 これは平凡なマルウェアドロッパ（md5: 5aac5fc644f5b2797683c2acb337297a）だ。 同マルウェアでやや興味深いのは、これがロシア語版のNotepadをドロップし、以下のメッセージを開いてユーザに見せるということだ： 我々はこのマルウェアを「Trojan-Dropper:W32/Agent.DQJN」として検出している。. ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ミッコ・ヒッポネン」カテゴリの最新記事

Welcome to a Dark Future - Stuxnetと殺害されたイラン科学者 2010年11月30日23:59 ツイート gohsuke_takama オフィシャルコメント  by：高間 剛典 11月29日月曜、イランのテヘランで核施設に関わる2人の科学者が暗殺者に狙われた。イランの公式ニュースIRNAによると、Fereydoun Abbasi氏はケガを負うだけで済んだが、Majid Shahryari氏は殺害された。 http://www.irna.ir/ENNewsShow.aspx?NID=30097553 DEBKA Fileによると、Majid Shahryari氏は朝7:45amに車を運転中にバイクで接近してきた暗殺者グループに攻撃された。当初のニュースでは2人とも車を爆発物で狙われたと言われていたが、DEBKA FileによるとMajid Shahryari氏

遅いCPUはマルウェア防御に等しい？ 2010年11月24日23:38 ツイート fsecure_response クアラルンプール発  by：レスポンスチーム ラボでは毎日、何万もの疑わしいバイナリを扱っている。人間の研究者の比較的小さなグループが、このような量を取り扱える唯一の方法は、もちろんオートメーション化だ。我々のマルウェアサンプル管理システムにインポートされたサンプルはスキャンされ、分類され、仮想環境で実行される。記録が作成され、我々人間が分析する。 マルウェア作者は、アンチウイルスのベンダが最新の亜種のライフスパンを攻撃するため、オートメーション化と仮想化を使用する事を知っている。（それが、彼らが毎日多数の亜種を作成する理由だ。）量が多いことに加えて、多くのマルウェアの亜種は、我々のリサーチを妨げ、可能な限り長く検出されないようにするため、バーチャルマシン検出とアンチデバッギ

Stuxnetに関する質疑応答 2010年10月01日11:55 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 追記：11月23日に、「Stuxnet」再び：質疑応答という記事を追加した。 「Stuxnet」は相変わらずホットなトピックだ。以下に、我々が受けた質問のいくつかに対する回答を掲載する。 Q：Stuxnetとは何か？ A：USBスティックを介して広がるWindowsワームだ。組織内に入ると、パスワードが弱い場合、ネットワーク共有に自身をコピーすることでも拡散し得る。 Q：他のUSBデバイスを介して広がることはあるのか？ A：もちろん、同ワームはドライブとしてマウント可能なあらゆるものが対象となる。USBハードドライブや携帯電話、ピクチャーフレーム等々。 Q：同ワームは何をするのか？ A：システムに感染し、自身をルートキットで隠し、感染したコンピ

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か? 2010年09月26日23:59 ツイート gohsuke_takama オフィシャルコメント  by：高間 剛典 7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。 「スパイ攻撃がLNKショートカットファイルを使用」 「ついに標的に狙われたSCADAシステム」 「LNKエクスプロイトに関するその後の分析」 「LNK脆弱性: ドキュメントの埋め込みショートカット」 「ショートカット・ゼロディ・エクスプロイットのコードが公開」 「LNK脆弱性：Ch

Twitter onMouseOverスパム 2010年09月23日03:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 昨日のTwitter onMouseOverワームは、Magnus Holmによって始まった。 彼のバージョンのonMouseOverワームは、拡散はしたものの削除することができた。そしてこれは単に拡散しただけだったので、Holmは自分のワームは無害だったと考えている。昨年登場したインターネットワームの作者の多くも、同じように考えていた。 残念なことに、「無害な」ワームは遠からず無害なままではなくなる。Matt Gascoigne、別名@matstaによって書かれた、よりアグレッシブなonMouseOverワームがすぐに登場した。 以下は、現在は停止されている彼のTwitterアカウントのスクリーンショットだ： 彼のツイートのフィー

リバースエンジニアリング本 2010年05月25日09:13 ツイート yuji_hoshizawa オフィシャルコメント  by：星澤 裕二 オライリージャパン宮川様より「リバースエンジニアリング――Python によるバイナリ解析技法」を献本いただきました。本書はGray Hat Python（Justin Seitz著）の日本語版で、DebuggerやFuzzerなどの基本原理や構築方法がPythonのサンプルコードとともに解説されています。技術監修はラック社の中津留さんです。 本ブログの読者の方々、特にリバースエンジニアリングに少しでも興味のある方は、まさに本書の対象読者でしょう。以下目次です。いかがでしょう？ちょっと読みたくなってきませんか？ 1章　開発環境のセットアップ 2章　デバッガの基本原理 3章　Windowsデバッガの構築 4章　PyDbg―ピュアPythonのWind

隣国から帰国して思ふこと 2009年08月13日23:55 ツイート hiroki_iwai オフィシャルコメント  by：岩井 博樹 国家や政治に関わるセキュリティの話題が多数このブログにポストされていますが、関連した話題をひとつ。 隣国（ご想像におまかせします）のとある大手企業にお邪魔してきました。驚きの連続だったので、雰囲気だけでもお伝えしたいと思います。兎に角、個人的にショッキングだったのが、文化（？）の違いです。 一般に、日本企業ではセキュリティ事件の容疑がかけられた場合は、容疑者側は容疑を晴らすために協力的に対応してくれます。例えば、疑われたPCがあれば、素直に該当PCを提出してくれますし、企業側もある程度信頼のおける情報を提示してくれます。（HDDをフォーマットして提出されるなど、質の悪いケースも珍しくありませんが） ところが、隣国のある大手企業では一見協力的なのですが、提出