LenovoのスタートページがAnglerを配信 2016年03月15日00:00 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 当社の顧客のアップストリーム検知レポートに基づくと…、どうやら3月13日にLenovo関連のWebサイトが侵害されたようだ。ある期間（比較的短期間）、ポータルサイト「startpage.lenovo.com」を訪れた人が、悪名高いAnglerエクスプロイトキットにリダイレクトされていた。少なくない量の暗号化ランサムウェアの発生源だ。 そのため侵害が一定期間内に限られていたとしても、その影響は重大だろう。日曜の夜に、このサイトへのトラフィックが多くなかったのであればいいのだが。 今回の注目すべきアップストリームレポートで検知されたのは、Exploit:JS/AnglerEK.Dだ。Anglerの最近のペイロードはTeslaCryp

PowerShellを悪用したマルウェアが徐々に増加の予感！？ 2016年03月10日09:00 ツイート hiroki_iwa1 オフィシャルコメント  by：岩井 博樹 侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送（メール、ウェブ経由）の際にも利用されているケースが出てきています。 まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。 現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。 下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。 その他では、XLSファイルにPowerShellが埋め込まれているものを確認し

悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性 2015年08月10日08:00 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 概要 シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。 影響を受けるシステム Sudoku solverを組み込んだシステム 詳細情報 Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。 想定される影響 細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。 対策方法 不審な数独問題ファイルを開かないようにしてください。 参考情報シンガポール首相、自作のプログラミングコードをFacebookで公開シンガポール首相の、IT

発見したこと：英国のWi-Fi法？ 2015年06月08日22:27 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 先週の木曜日にイギリスを訪れたところ、「無料の」Wi-Fiを提供しているコーヒーショップを見つけた。そこでは次のことが書いてあった。 「イギリスの法律では、当店のWi-Fiをどなたが使用しているのかについて、常に当店が把握している必要があります。」 私は法律家ではないが、ちょっと裏がありそうな要求ではないか。 携帯番号、郵便番号、そして生年月日だって？？ この種のほら話に、どれだけの人が引っかかるのかだろうか。 Post by — @Sean ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

ネット上の中傷やヘイトスピーチにどう対処すべきか−アンケート調査 2014年09月11日16:17 ツイート fsecure_blog ヘルシンキ発 インターネットによって、私たちが現実の世界で慣れ親しんだ議論の文化が全く異なるものに進化したことは、おそらく誰もが認めることでしょう。使用される形容詞は、人を鼓舞するような自由な形式から、常軌を逸した病的かつ不快なものへと変わっています。オンライン上で議論する際の（見かけの）匿名性は、良くも悪くも、よりオープンで率直な意見を引き出します。特にそれが中傷や攻撃的な発言になると、事態は悪い方向に向かいます。 みなさんはこの問題についてどうお考えですか。続きを読んで以下のアンケートにお答えください。 私たちには、中傷から自分を守ってくれる法律があります。しかし、ネット上の犯罪に対する警察の対応はまちまちで、まだ確立されているとは言えません。また、イ

アイシスを使って非表示でアプリケーションを起動させることができるか 2014年03月21日23:57 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 iesysには、感染PCのプログラムを起動する命令（run）がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。 【PC遠隔操作事件】iesysにできること・できないこと（第4回公判メモ１） ではこれも検証してみましょう。 これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。 たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。 しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面を

アイシスを使ってファイルスラックに痕跡を残せるか 2014年03月19日10:49 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという（検察側の）主張は良くわからないというのが正直なところです 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。 【PC遠隔操作事件】不正プログラム「アイシス」の全貌が明らかになった（第3回公判傍聴メモ） これら２つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主

終了が差し迫る 2014年02月19日18:36 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン そろそろやってくる…。 カウントダウンクロック ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ

日本の安全保障を狙った攻撃の手口 2013年07月25日08:31 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 先日から日本の安全保障に関する業務に携わっている方々に対してマルウェア付きのメールが届いているようですので、その手口を紹介します。 最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。 zipファイルを展開すると、テキストファイルへのショートカットが入っています。 プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます。 ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。 本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命

クローズアップ現代のいう"巧妙"とは？ 2013年07月01日08:47 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 先月(2013年6月6日)にNHKで放送されたクローズアップ現代では「国家の“サイバー戦争”〜情報流出の真相〜」というタイトルで国家間のサイバー戦争が取り上げられました。 放送内容はNHKのサイトで読めるようになっています。 番組の中で、私が調査したウイルスが仕事に関係する文書を巧妙に装っていたとして紹介されました。 「こんなのひっかかるやつのレベルが低い！」と思われるかもしれませんが、これは解析環境上での表示であって、実際に被害者が目にする表示ではありません。 例えば、Windows 7をデフォルト設定で使っている人のPCでは次のように表示されます。 この中でどれがウイルスなのかわかりますか？ ファイルの種類がアプリケーションやスクリ

中国で開発されたHacktoolの検知に注意 2012年04月12日13:00 ツイート hiroki_iwai オフィシャルコメント  by：岩井 博樹 HacktoolやNetToolといったウイルスが検出されたことはありませんか？ ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit（xxxはBackdoorやTrojan）のような検知名が付けられています。 これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。 例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor（HTran）などがそれにあたります。 ちなみに、Backdoor.Liondoor（HTran）は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。 ※開発元は中国なのですが、他国の攻撃者も利

遠隔操作ウイルスの感染と痕跡調査 2012年10月26日09:12 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。 それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。 クローズドなネットワーク内で次のような環境を作成し検証を行いました。 一連の流れを記録した動画も作成しました。 大まかなタイムラインは次のようになっています。 0:00 - 0:51： 遠隔操作ウイルスに感染 0:52 - 2:00： 「画面キャプチャ」コマンドを実行 2:01 - 2:45： 「自己消去」コマンドを実行 2:48 - 3:21： 簡易フォレンジックソフトにて削除済ファイルを確認 左側にMac OSのFinderが表示され

「インターネットにつながっていないから安全」という神話 2012年01月30日09:22 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 2010年にStuxnetが見つかり、インターネットにつながっていないから安全だと思われていた制御システムがウイルスに感染していたことが明らかになりました。その際、イランの原子力施設が標的にされ、被害に遭っていたことがわかっています。たとえインターネットにつながっていなかったとしても攻撃に遭う可能性はいくらでもあることの証明になりました。 では、制御システムは本当にインターネットにつながっていないのでしょうか。 次の地図は制御システムを運用する際に使われるソフトウェアが稼働しているサーバで、かつインターネットからアクセスでき、日本に存在するものを示しています。もちろん私が見つけたものだけですので、現実にはもっと多くのサー

間違いだらけのGumblar対策 2010年01月12日11:50 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。 Q.　OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか？ A.　違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。 修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版