今回は新たに見つかった攻撃ツールなどに関するブログを中心に紹介する。まずは、トレンドマイクロが取り上げている「Neutrino」から（トレンドマイクロは「JAVA_EXPLOYT.NEU」として検出）。脆弱性「CVE-2013-0431」および「CVE-2012-1723」を悪用する攻撃ツールである。 トレンドマイクロの予測によれば、今年は堅牢でより見つけにくい攻撃ツールが増加する。その第1号といえる「WhiteHole」は、「CVE-2013-0422」をはじめとする複数の脆弱性を利用していた。Neutrinoも、同様の新たな攻撃ツールで、既にアンダーグラウンドマーケットで販売されている。 Neutrinoによる攻撃を受けるのは、、「Java 7 Update 11」以前のバージョンがインストールされたシステム。Neutrinoは脆弱性の攻撃に成功すると、ランサムウエアの亜種（「TROJ

標的型攻撃メールは、特定の企業や組織、個人に対して、だましのテクニックを使い添付ファイルを開かせたり、Webアクセスを誘ったりすることでマルウエアに感染させる攻撃の一つである。メールの文面は、普段からやり取りしている見慣れたもので、更に詳しい内容を知るために、添付ファイルの開封を促すように書かれている。事実に即した内容を引用するなど文面が巧妙なため、メール本文の内容に意識が向き、差出人や添付ファイルの種類などを十分に注意せず、疑うことなく添付ファイルやWebのリンクを開いてしまうと考えられる。 情報処理推進機構（IPA）では2008年9月から標的型攻撃メールの相談窓口として「不審メール110番」（2010年10月から「情報セキュリティ安心相談窓口」に統合）を設置し、2011年10月には標的型サイバー攻撃を受けた際に、専門的知見を有する相談員が対応する「標的型サイバー攻撃の特別相談窓口」を設

今回は、攻撃の新しい手法や観点に関するブログを3つ紹介する。まずは、遠隔操作を可能にするリモートアクセス型トロイの木馬（RAT）について。トレンドマイクロが、「BKDR_RARSTONE.A」として検出するRATを確認したとしてブログで報告した。 同社は2012年、大きな話題になったAPT（Advanced Persistent Threat）攻撃に使われていたRAT「PlugX」について報告した。その際、PlugXの、実際の実行ファイルを投下するのではなく、直接バックドア型実行ファイルをメモリーに読み込むことで、不正コードを隠して検出に引っかからないようにする機能に言及した。BKDR_RARSTONE.Aはこれと同様の機能を持つうえ、独自の手口を備えているという。 トレンドマイクロは、特別に細工されたDOCファイル（「TROJ_ARTIEF.NTZ」として検出）を含むスピアフィッシングメ

Androidアプリを開発していると、単純な処理を実装するだけでもコードが長くなってしまいます。煩わしいと感じる人も多いでしょう。今回紹介するAndroidAnnotationsは、劇的にコードの記述量を抑えることができる夢のようなライブラリです。 アノテーションを利用 Javaでは、「＠Overide」など「＠」から始まるアノテーションをソースコードに記述して、警告メッセージを抑制したり、実行時にソースコードを自動生成したりできます。アノテーションの使い方には、大きく2種類あります。実行時にアノテーションを読み取るタイプ、もう一つがコンパイル時に読み取るタイプです。前者が一般的で、後者はほとんど知られていないと思います。AndroidAnnotationsは後者になります。このアノテーションを処理するには、アノテーションプロセッサと呼ばれる専用のクラスを使います。 AndroidAnno

Androidアプリの作成に当たって、プログラムがイメージ通り動くか、作成したアプリにバグが隠れていないか、といった心配はありませんか。このような隠れたバグ（不具合）を洗い出す作業にはテストが有効です。プログラムが正しく動いていることを確認するだけなら手作業で確認しても良いのですが、テストコードを作成すれば自動で何度でも繰り返しテストが実行できるという利点があります。 一般的にJavaプログラムをテストするには、JUnitなどのテストフレームワークを用いてテストを行います。最も基本的なテストがUnitTest（単体テスト）と呼ばれるものです。UnitTestとは、クラスやメソッドなどの単位でテストする手法です。 ところが一般的なJavaプログラムと違って、AndroidアプリでのUnitTestは少し面倒です。テストフレームワークは、旧バージョンのJUnit 3を使わなければなりませんし、

このところ、パソコンなどで動作する米Oracleの「Java」（ジャバ、画面）に関するセキュリティ脆弱性（欠陥）が相次いで発見されている。そのままにしておくと、パソコンがインターネット経由で「遠隔操作」されてしまう可能性がある。 Javaは、パソコン上やWebブラウザー内でアプリケーションを動作させるためのプラットフォームとして普及している。個人や業務用のパソコンにインストールされていることも多いだろう。Windowsだけではなく、MacやLinuxでもよく使われる。 象徴的な例としては、情報処理推進機構（IPA）などが運営する脆弱性情報提供サイト「JVN」は、パソコンにインストールされているWebブラウザーやFlashなどにセキュリティ脆弱性がないかどうかをチェックするツール「MyJVNバージョンチェッカ」を無償で提供している。だが、このツール自体がJavaで作成されており、Java実行

今回は新たなマルウエアや攻撃手法についてのベンダーの解説をいくつか紹介しよう。パスワード復旧ツールを使って情報の窃盗を試みる新たなマルウエア「PASSTEAL」、バックドア型マルウエア「Backdoor.ADDNEW」、そしてサイバー犯罪者がWebサイトに埋め込んだ不正コードの寿命を延ばすために使う方法の3つだ。 まず「PASSTEAL」について。トレンドマイクロがブログで注意を促している。画像ファイルを取得してリモートのFTPサーバーに送る「PIXSTEAL」と一部行動が似ているが、盗みの手口はだいぶ異なるという。 PASSTEALは、様々なオンラインサービスやアプリケーションのアカウントからログイン情報を盗んで「{コンピュータ名}.txt」ファイルに保存する。 ほとんどの情報窃盗マルウエアはキーストロークを記録してデータを収集するが、PASSTEALはそれと違って、パスワード復旧ツール

窓口に足を運んだり並んだりする必要がなく、営業時間を気にせずいつでもお金を出し入れできる――。そんな便利なインターネットバンキングサービスの土台を揺るがしかねない出来事が、10月末に発生した。新聞やテレビなどでも報じられているので既にご存知の人も多いと思われる、いわゆる「ポップアップ型ウイルスによるフィッシング詐欺」事件である。 国内の大手ネットバンキングサービスを中心に、同ウイルスの活動による詐欺行為の発生が確認されており、警察庁が発表した数だけでも11月上旬時点で既に300件を超える相談や被害報告が、ターゲットとなった銀行などに寄せられている状況だ。 従来、フィッシング詐欺は「見た目はそっくりだけれども完全に別の偽サイト」にユーザーを巧みに誘導して、個人情報や金銭に関わる情報を詐取するケースが大部分だった。この場合、ユーザーはリンク先のURLやSSL証明書の情報などを注意深くチェックす

図2●増井氏がMobiRubyを用いて開発したゲームアプリの画面例。既にAppStoreで「MobiRuby」の名前で公開されている iOS向けのアプリをRubyで開発可能にするソフトウエア「MobiRuby」がリリースされた。開発者の増井雄一郎氏が、Github上でソースコードを公開した。併せて同氏は、2012年9月14日に札幌で開催された「札幌Ruby会議2012」で講演し、MobiRubyについて解説した（同氏の講演資料）。 増井氏は2012年3月よりMobiRubyの開発に着手し、約半年で公開にこぎ着けた。現在はアルファ版の段階だが、2013年第一四半期までに正式版（ver.1）を公開する予定である。MobiRubyはC言語で実装してあり、コード量は約3000行という。まつもとゆきひろ氏らが開発した軽量版のRuby「mruby」を用いている（関連記事）。 Objective-CとR

Javaのアプリケーションは解析しやすいという特徴があります。アプリを解析できれば、脆弱性が含まれていないかどうかを判断し、よりセキュリティを高めることができます。特集の最後に、アプリケーションを解析するためのツールと、その方法を説明します。 アプリを解凍する Androidアプリは、apkというファイルにパッケージングされています。このapkファイルは、ZIP形式でアーカイブされたもので、解凍ソフトで展開できます。apkファイルを展開してみると、いくつかのファイルが現れます（図15）。 META-INF/ディレクトリですが、パッケージに署名をしている場合にこのディレクトリが作成されて、署名に関係するファイルが入っています。res/ディレクトリ内のファイルとresources.arscは、アプリケーションで使用している画像やレイアウト、文字列などのリソースファイルがバイナリ形式になったもの

爆発的な勢いで普及しているAndroidですが、OSやアプリケーションのセキュリティに目を向けると、脆弱性を突いた端末のroot化やマルウエアによる個人情報の流出、脆弱なアプリケーションによるセキュリティ侵害など、様々な問題が明らかになっています。ユーザーが安心してAndroid端末を利用できるように、開発者は一体何に気を付ければ良いのでしょうか。一言でAndroidのセキュリティを担保するといっても、様々なことを考えなくてはなりません。

露Kaspersky Labの日本法人であるカスペルスキーは2012年8月17日、8月9日に発見され、既存のFlameとの設計の類似性から米国とイスラエルによる国家主導で開発された疑いがあるとされているマルウエア「Gauss」（ガウス）について、暗号化ペイロード（データ）を解読する協力者の募集を始めたと発表した（関連記事：高度なマルウエア「Flame」は米国とイスラエルの共同開発、米紙が報道 ）。 Gaussは、感染したマシンからWebブラウザのパスワードやオンラインバンキングのログイン情報、システム設定データなど様々な情報を詐取する機能を備えた高度なマルウエア。カスペルスキーでは「サイバースパイ型ツールキット」と分類している。同社によれば、2012年5月以降、Gaussは中東を中心に2500件以上もの感染が報告されている。 「Gaussの主な機能や特徴、通信方法などについての解明はほぼで

今回はまず、マルチプラットフォーム対応のマルウエアに関するブログから紹介する。英ソフォスは、複数のプラットフォームに対して攻撃を実行可能なバックドア型マルウエアについて注意を呼びかけた。 ソフォスがフィンランドのエフセキュアから連絡を受けたこのマルウエアは、ハッキングされたコロンビアの交通機関のWebサイト上で検出されたもので、Windows、Mac OS X、Linuxユーザーを攻撃する能力を持つ。 乗っ取られたWebページにアクセスするとJava Archive（JAR）ファイルが起動し、任務を果たすためにパーミッションを求め、ひそかにユーザーのシステムのOSがWindows、Mac OS X、あるいはLinuxか判断する。 JARファイルのコードの一部 どのOSか分かると、OSに応じたマルウエアをダウンロードし、攻撃者がシステムをリモートで操作きるようバックドアを開こうとする。 この

マカフィーは2012年7月25日、OS上で動作する一般的なセキュリティソフトでは検出が難しいルートキット型の不正プログラムを、CPUが備えるハードウエア仮想化支援機構を用いて検出するソフト「McAfee Deep Defender」を発表した。2012年8月１日に出荷する。同社のセキュリティ統合管理ソフト「McAfee ePolicy Orchestrator」の管理下で動作する。 対策の対象であるルートキットとは、ルート権限の奪取やOSの乗っ取り、バックドアとなるプロセスや不都合なファイルの隠ぺい、といった不正行為を目的に、OSの深部で活動するプログラムのことである。OSの低レベルAPIをフックするなどの工夫によって、OSやセキュリティソフトから自身の存在を分からないようにする、といった特徴がある。 Deep Defenderは、一部の機能がOSよりも下の層で動作することで、ルートキット

今回は、新手のマルウエアなどに関するブログを中心に紹介する。トレンドマイクロはVoIPサービス「Skype」のAndroid向けアプリケーションを提供していると見せかけたWebサイトを確認したとしてブログで注意を呼びかけた。 同社の分析によると、このアプリケーションはマルウエアが仕込まれており、Symbianの古いバージョンを搭載した端末、あるいはJava MIDletを実行できるアプリケーションをインストールしたAndroid端末で動作する。インストールされると、有料SMSサービスの番号に勝手にメッセージを送信する。 偽Skypeアプリケーションを配信する不正サイト 問題のサイト「http://（ブロック済み）ndroidl.ru」は様々なバージョンのAndroid向けSkypeアプリケーションを配信しており、ロシアのドメイン上にホストされている。分析の一環でトレンドマイクロがアプリケー

数多くのセキュリティベンダーが「Flame」に対する注意を促している。これまで検出された中で最も高度なマルウエアの一つと言われる、新たなマルウエアだ。今回は、このFlameの話題を中心に取り上げる。 Flameについては、例えば米ウェブセンスがブログで概要を解説している。 Flameは「Flamer」あるいは「Skywiper」とも呼ばれ、中東でまん延している亜種が確認された。近年中東で広がったマルウエアとしてよく知られているものには「Stuxnet」（スタックスネット）や「Duqu」（デューク）があるが、いずれも高度で、草分け的存在だった。 Flameは同定されたばかりだが、実は2010年から出回っていた可能性が極めて高い。機能としては、オーディオやスクリーンショットの記録など、様々な手段を使って感染システムの情報を収集し、さらにそれをアップロードする機能を持つ。 ファイル容量は合計約2

Androidスマートフォンのユーザーが急拡大している。2011年12月には、公式のAndroidMarket（現在はGoogle Play）からダウロードされたアプリの数が100億に達した。こうした中で、金銭目的のサイバー犯罪者たちにとってAndroidスマートフォンは「格好のターゲット」となりつつある。 攻撃者がAndroid端末を狙う際によく使うのが「DroidDreamLight」である。DroidDreamLightはAndroid端末向けの各種アプリをトロイの木馬化する不正プログラム。ユーザーにデータ漏洩などの深刻なリスクをもたらす脅威だといえる。Googleの公式アプリストアであるAndroidMarket（現在はGoogle Play）からも、DroidDreamLightによってトロイの木馬と化したアプリが配布された。犯罪者は、できるだけ多くの端末に感染させるために、開発

今回はモバイルセキュリティの話題を中心に紹介する。まず、ロシアのカスペルスキーラボが公開した、モバイルプラットフォームのAndroidに関する話題だ。米グーグルは、Android 5.0（開発コード名は「Jelly Bean」）のリリースを今秋に予定している。しかし、それよりまず旧バージョンのセキュリティパッチを提供するべきだと、カスペルスキーラボは指摘している。 カスペルスキーラボによると、Androidでは依然としてバージョン2.xが最も標的にされている。それにはいくつか理由があるが、中でも重要なのは従来バージョン向けのセキュリティパッチが欠如していることだ。 最初にマルウエアのターゲットにされたのはバージョン2.2だった。それ以降、Android向けマルウエアは桁外れの勢いで増加し、あらゆるタイプのモバイルマルウエアを上回るようになった。いまやAndroidは最もターゲットにされるモ

EMCジャパンのRSA事業本部は2012年5月30日、オンライン詐欺の最新動向を紹介する定例会を開催し、FaaS（Fraud as a Service、犯罪者向けのクラウドサービス）の新たな例として、中間者攻撃のためにボットネット（トロイの木馬に乗っ取られたパソコン群）を貸し出すサービスを発見したと発表した。このサービスを利用すれば、みずからマルウエアを作成したり広めたりすることなく、中間者攻撃を実施できる。 今回発見したFaaSは、Webページに不正なHTMLを埋め込むタイプの中間者攻撃を実行するサービスである。ユーザー（犯罪者）は、中間者攻撃を仕掛けたい標的の条件（日本の、ある銀行の利用者、など）と、Webページに埋め込みたい不正コード（HTML）を登録するだけで、同サービスを利用できる。FaaSの提供事業者は、自身が管理しているボットネットのうち、ユーザーの条件に合致する標的に対して

極めて高度なマルウエア「Flame」を利用したサイバー攻撃が中東を中心に発生していると、複数の米英メディア（BBC、Wall Street Journal、Forbes、CNET News.com）が現地時間2012年5月28日に報じた。ロシアKaspersky Labの報告によると、「Flameはこれまで検出した中で最も複雑なマルウエアの1つ」という。 Kaspersky Labは、国連の電気通信専門機関（ITU）とともに別のマルウエアについて調査している段階でFlameによる攻撃を確認した。Flameはネットワークトラフィックの傍受、スクリーンショットの保存、音声通話の記録、キー入力の不正送信といった複数の機能を備える。 これまで攻撃を受けた件数は個人、企業、大学、政府機関のシステムなど600件を超え、イラン、イスラエル、スーダン、シリア、レバノン、サウジアラビア、エジプトなどの国で影