エフセキュアブログ : アンチウイルスはもう死んでいる
アンチウイルスはもう死んでいる 2014年05月15日14:19 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 エフセキュアブログ : アンチウイルスは死んだ? エフセキュアブログ : アンチウイルスが役立たなくなることについて つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。 以下は重要インフラに関わる業務を担う組織の事例です。 この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシン
エフセキュアブログ : NSAによるIRCボットのハイジャックについて
NSAによるIRCボットのハイジャックについて 2014年03月13日23:03 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン ボットネットをハイジャックする。これは倫理にかなったことなのか?違う。 法執行機関による非常に入念な調整が無い限り、倫理にもとる。それに、そういう場合ならボットネットのシャットダウンを望むだろう。 ボットネットのハイジャックは望まない。少なくとも…倫理的ならハイジャックはしない。 しかし、情報機関だったらどうか? それならば明らかに、答えは完全にイエスだ。 最近開示された文書によると、NSAは2007年までに最大で140,000個のボットをハイジャックしてきた。 Quantumbotだ。 情報源:There Is More Than One Way to Quantum(Quantumへの道は1つではない) そして彼らは2007年
エフセキュアブログ : 本格的に日本を襲い始めたAPT
本格的に日本を襲い始めたAPT 2013年11月13日09:33 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 本日、2013年11月のWindows Updateで一つのゼロデイの脆弱性(MS13-090)が修正されました。 マイクロソフト セキュリティ情報 MS13-090 - 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986) これは実際に日本の組織を狙った攻撃の中で使用されていたものです。 先月のWindows Updateで修正されたゼロデイ(CVE-2013-3893)も日本を狙った攻撃で使用されていました。(エフセキュアブログ : いかにWindows XPが攻撃しやすいか) 「ゼロデイを使って日本を攻撃」というのが立て続けに起こっています。 CVE-2013-3893を使って日本を狙っ
エフセキュアブログ : Wi-FiのハニーポットとMacアドレスの監視
Wi-FiのハニーポットとMacアドレスの監視 2013年08月26日21:45 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン ロンドンのシティにてリサイクル用ゴミ箱を活用して、通りすがりの電話機のMacアドレスが収集されていた、というレポートが、8月8日、Quartz誌で報じられた。このスキームは8月12日に中止された。13日には、私はデンマークのレポーターJakob Mollerhoj氏に対し、同国で行われた同様のBluetoothおよびWi-Fiの追跡について語った。道路上の交通の流れや、空港での人の流れを予測するためのものだった。 こうした交通の流れの分析はプランナーにとっては非常に価値あるものだが、「PRISM」の視点からみると、この種のメタデータの収集は大変懸念すべき傾向だ。 数年前、当社にてBluetoothハニーポットプロジェクトがあった。
エフセキュアブログ : BlackHat 2013 - セキュリティカメラのハッキング
BlackHat 2013 - セキュリティカメラのハッキング 2013年08月16日14:56 ツイート yj_ukai オフィシャルコメント by:鵜飼 裕司 今年もBlackHatに行って参りました。今回は、前職のeEye時代に住んでいたカリフォルニアのオレンジカウンティから車でラスベガスまで移動しました。オレンジカウンティに居た頃は友人と何度かラスベガスまで車に遊びに行きましたが、道中は相変わらずの風景でとても懐かしかったです。 BlackHatは年々規模が拡大傾向にあり、今年も去年に増して参加人数が増えていました。これ自体は大変喜ばしい事なのですが、反面、参加人数が増えたため交流がやや大変だという声もちらほら聞かれました。時代と共にカンファレンスのスタイルも変わってきますので、それに合わせて参加者の方も意識を変えていく必要があるのかもしれません。 今回もさまざまなトピックで研究
エフセキュアブログ : クローズアップ現代のいう"巧妙"とは?
クローズアップ現代のいう"巧妙"とは? 2013年07月01日08:47 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 先月(2013年6月6日)にNHKで放送されたクローズアップ現代では「国家の“サイバー戦争”〜情報流出の真相〜」というタイトルで国家間のサイバー戦争が取り上げられました。 放送内容はNHKのサイトで読めるようになっています。 番組の中で、私が調査したウイルスが仕事に関係する文書を巧妙に装っていたとして紹介されました。 「こんなのひっかかるやつのレベルが低い!」と思われるかもしれませんが、これは解析環境上での表示であって、実際に被害者が目にする表示ではありません。 例えば、Windows 7をデフォルト設定で使っている人のPCでは次のように表示されます。 この中でどれがウイルスなのかわかりますか? ファイルの種類がアプリケーションやスクリ
エフセキュアブログ : Facebookがプライバシー制御を廃止。びっくり?
Facebookがプライバシー制御を廃止。びっくり? 2013年04月03日00:30 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 3月27日、FacebookのプライバシーおよびセキュリティのエンジニアJoey Tyson氏が、次のように問いかけた。 In general, I think many people tend to trust Google more than Facebook. Any thoughts from my followers on why that might be?(訳注:一般に、多くの人々はFacebookよりもGoogleを信頼する傾向があると思う。そうなる理由について、私のフォロワーから考えを募りたい) Social Hackingとしても知られるTyson氏はプライバシーを推進している。Facebookで働き始め
エフセキュアブログ : 韓国へのワイパー攻撃の歴史
韓国へのワイパー攻撃の歴史 2013年03月29日08:04 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 2013年3月20日 14時、韓国の放送局や銀行に対してサイバー攻撃と思われる事態が発生し、約32000台のマシンが攻撃の被害に遭ったと言われています。今回の攻撃に使用されたマルウェアに感染するとハードディスクの内容が消去され、OSが起動不能になる仕組みになっていました。実は韓国では似たような事件が2009年と2011年にも起こっています。ただ、過去2回の事例はDDoS攻撃を行った後に、証拠隠滅を目的としてハードディスクを消去したのではないかと言われているのに対し、今回はDDoS攻撃のようなことは確認されておりませんので犯人の意図は不明です。 参考までに、ハードディスク消去の手口という観点から過去2回の事例との違いを紹介します。事例はWindows
エフセキュアブログ : OS X Mountain Lion v10.8.3のセキュリティコンテンツについて
OS X Mountain Lion v10.8.3のセキュリティコンテンツについて 2013年03月15日18:27 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン アップルはOS X Mountain Lionアップデートv10.8.3をリリースした。いつものようにセキュリティコンテンツは興味深い。 以下はCoreTypesの詳細になる。我々が実際に注目したのはCVE-2013-0967だ。 「影響:悪意を持って作られたWebサイトにアクセスすると、Javaプラグインが無効になっていても(even if the Java plug-in is disabled)Java Web Startアプリケーションが起動しうる。」 Javaプラグインが無効になっていても、だって? これは興味深い…。 >>原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by:
エフセキュアブログ : アップルに関連したハッキングのタイムライン
アップルに関連したハッキングのタイムライン 2013年02月20日21:20 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。 2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。 2月1日:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readine
エフセキュアブログ : FacebookのGraph Search。自分の検索を消去せよ
FacebookのGraph Search。自分の検索を消去せよ 2013年01月30日21:32 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 私は今日、Facebookの新機能Graph Searchを試している。 Graph Search: Friends of my friends who are women and live near Helsinki, Finland. Result: More Than 1,000 People.(訳注:グラフ検索:友達の友達で、フィンランドのヘルシンキ近辺に住む女性。結果:1000人超)(実際には799人) もう少し個人的なものも試してみよう。 Graph Search: Friends of my friends who are single women and live near Helsinki, F
エフセキュアブログ : Universal Plug and Pray
Universal Plug and Pray 2013年01月29日23:57 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 実際には我々が驚くに値しないファイルから。UPnP(Universal Plug and Play)を有効にしたネットワーク機器が、グローバルに晒されている状況の研究について、Rapid 7は本日ホワイトペーパーを公表した。 結果が衝撃的だ。 「インターネット側からのUPnPの検出リクエストに応答する、8千万を超えるユニークなIPを確認した。4千万から5千万個のIPは、(略)3つの攻撃のうち少なくとも1つに対する脆弱性を持つ。2つある、最も使用されているUPnPソフトウェアのライブラリには、双方ともに遠隔から突ける脆弱性が含まれる。」 もしあなたがネットワーク管理者なら、必ず確認するように。Rapid 7では、ScanNow UP
エフセキュアブログ : 強制開示された制御システムの脆弱性
強制開示された制御システムの脆弱性 2012年12月19日08:12 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。 調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。 ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。 その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。 以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。 しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するに
エフセキュアブログ : バックドア作者をリクルートする政府 #germany
バックドア作者をリクルートする政府 #germany 2012年09月07日21:17 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン ほんの二、三年前には、政府がトロイの木馬やバックドアの開発者を公然とリクルートすることなど、考えられなかっただろう。 しかし、それはまさに今現在起きていることだ。 以下は最新の例で、ドイツ連邦刑事局(BKA)のWebサイトにある広告だ。 彼らは開発者を探している。仕事の詳細をよく見てみよう。 Ihre Aufgabe: Mitarbeit bei der Softwareentwicklung und -pflege zur Schaffung der technischkriminaltaktischen Voraussetzungen zum verdeckten polizeilichen Zugriff auf e
エフセキュアブログ : Google PlayがSuper Marioマルウェアをすべて除去するのに失敗
Google PlayがSuper Marioマルウェアをすべて除去するのに失敗 2012年07月11日20:43 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン Symantecの@Irfan_Asrarによるこの記事によれば、Google Playでまたマルウェアが発見された。 Android.Dropdialerは「Wallpaper」アプリのふりをするが、有料のSMSを送信する別のアプリもインストールする。 Asrarは、エサとしてテレビゲームを使用する、Playで見つかった2つのバージョンを分析した。良い知らせ:Android Securityは、Asrarが特定したアプリを削除した。悪いニュース:現在Google Playにはもっと多くのマルウェアアプリがある。一度何かが上手くいくと、悪党たちはまた同じことをしようとする。 その点を念頭に置き、我
エフセキュアブログ : FBIはDNSChangerサーバの継続で再認可されるべきか?
FBIはDNSChangerサーバの継続で再認可されるべきか? 2012年07月02日23:01 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン DNSChangerの最新のデッドラインである7月9日が、急速に近付きつつある。(前回のデッドラインは3月8日だった。)あとたったの1週間だ! DNSChangerとは何か? DNSChangerは、F.B.I.とエストニア当局が昨年後半、「Operation Ghost Click」で壊滅させた広告詐欺ボットネットだ。 「Operation Ghost Click」? 「Click」はクリック詐欺を意味している。DNSサーバの設定を変更することで、ギャングたちは中間者広告インジェクションを実行することが可能になった。 中間者広告インジェクションとは? 悪党たちはそれでどのように利益を得たのか? そう、2006年頃
エフセキュアブログ : Stuxnet、Duqu、Flameについて
Stuxnet、Duqu、Flameについて 2012年06月02日20:58 ツイート mikko_hypponen 2日ほど前、イランから電子メールを受けとった。イランのComputer Emergency Response Teamのアナリストからのもので、彼らのチームが、さまざまなイランのコンピュータに感染させていることを発見したマルウェアについて、私に知らせてきた。これはFlameであることが判明した。世界中でトップニュースになっているマルウェアだ。 マルウェアに関連するサンプルを、我々のアーカイブで探したところ、2010年、2011年に遡って、すでにFlameのサンプルを保有していたことを発見して驚いた。持っていることに気づいていなかったのだ。これらは自動の報告メカニズムを通じてもたらされたものだが、詳細に検討すべきものとして、システムから警告が出たことは一度も無かった。他のア
エフセキュアブログ : Microsoft Updateと最悪のシナリオ
Microsoft Updateと最悪のシナリオ 2012年06月04日23:09 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン およそ9億台のWindowsコンピュータが、Microsoft Updateからアップデートを得ている。DNSルートサーバに加え、このアップデートシステムは常に、ネットの弱点の一つと考えられている。アンチウイルスの関係者は、このアップデートメカニズムをスプーフィングし、それを通じて複製するマルウェアの亜種という悪夢にうなされている。 そして現在、それが現実となったようだ。それも単なるマルウェアによってではなく、Flameによって。 詳細なメカニズムはまだ完全には分析されていないが、Flameには、Microsoft UpdateもしくはWindows Server Update Services(WSUS)システムに対する中間
エフセキュアブログ : 標的型攻撃メールの手口と対策
標的型攻撃メールの手口と対策 2012年03月29日08:28 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。 ここでは具体的な手口と対策について紹介します。 まず、航空会社を騙って次のようなメールが届きます。 差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。 メールにはlzh形式の圧縮ファイルが添付されています。 解凍すると次のようなファイルが出てきます。 ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。 もしダブル
エフセキュアブログ : FacebookスパマーがAmazonのクラウドを利用
FacebookスパマーがAmazonのクラウドを利用 2012年01月26日22:48 ツイート fsecure_corporation クアラルンプール発 by:スレットインサイトチーム Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。 では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。 AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
