LenovoのスタートページがAnglerを配信 2016年03月15日00:00 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 当社の顧客のアップストリーム検知レポートに基づくと…、どうやら3月13日にLenovo関連のWebサイトが侵害されたようだ。ある期間（比較的短期間）、ポータルサイト「startpage.lenovo.com」を訪れた人が、悪名高いAnglerエクスプロイトキットにリダイレクトされていた。少なくない量の暗号化ランサムウェアの発生源だ。 そのため侵害が一定期間内に限られていたとしても、その影響は重大だろう。日曜の夜に、このサイトへのトラフィックが多くなかったのであればいいのだが。 今回の注目すべきアップストリームレポートで検知されたのは、Exploit:JS/AnglerEK.Dだ。Anglerの最近のペイロードはTeslaCryp

人気のJava Exploitに改めて注意 2013年06月30日11:38 ツイート hiroki_iwa1 オフィシャルコメント  by：岩井 博樹 現在、UGマーケットではJavaの脆弱性に関連した商品やサービスに注目が集まっています。 下図のようにJavaの脆弱性を標的としたEaaS（Exploit Pack as a Service）が提供されるなど、その注目度の高さが窺えます。このサービスでは、BASICとPROFESSIONALで提供されるExploitコードのタイプが異なります。端的にいえば、PROFESSIONAL版の方は標的に気付かれづらい作りになっています。6ヶ月間で50USDの差額をどう考えるかですが、ビジネスとしてサイバー攻撃を行っているグループには安い買い物でしょう。 このような背景があってかわかりませんが、2012年は日本国内を含め、ウェブ改竄被害が大変多く報

アメリカ国防総省の証明書がアップルのルート証明書に含まれている 2013年04月25日03:39 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン オモシロ情報！ Mac OS X、iOS 5、iOS 6で使われている、信頼されたルート証明書のうち… …2つはアメリカ国防総省（DoD、Department of Defense）からのものだ。 興味深い、でしょ？ ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

OS X Mountain Lion v10.8.3のセキュリティコンテンツについて 2013年03月15日18:27 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン アップルはOS X Mountain Lionアップデートv10.8.3をリリースした。いつものようにセキュリティコンテンツは興味深い。 以下はCoreTypesの詳細になる。我々が実際に注目したのはCVE-2013-0967だ。 「影響：悪意を持って作られたWebサイトにアクセスすると、Javaプラグインが無効になっていても（even if the Java plug-in is disabled）Java Web Startアプリケーションが起動しうる。」 Javaプラグインが無効になっていても、だって？ これは興味深い…。 ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：

アップルの「セキュリティ」について、う〜ん、となってしまうこと 2013年02月27日22:22 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン ティム・クック様 最近「antivirus」という用語を検索したことはありますか？ — 検索していないのではないかと存じます。 以下は、現在Googleインスタント検索が提示している内容です。 ふむ、「antivirus for mac」 — 非常に興味深い。 ご存知でしょうが、おそらくアップルの「セキュリティ文化」を改めるときがきたのではないでしょうか？ 別の検索をしてみましょう。apple.comで「security updates」を検索すると、以下の結果が得られます。 マーケティング資料ですね。一般的な。あ、サポート情報は右側にあるんですね。了解です。これで結構です。セキュリティはサポートの問題です。 続い

グリーティングカードを装った標的型メールに注意 2013年01月30日08:00 ツイート hiroki_iwai オフィシャルコメント  by：岩井 博樹 グリーティングカードを装った標的型メールが複数確認されています。 実在するサービスなので、ついクリックしてしまいそうですのでご注意ください！ 今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422（Javaの脆弱性）を悪用する攻撃コードが実行される仕組みとなっていました。 Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。 ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。 metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用さ

ニューヨークタイムズが標的型攻撃に見舞われる 2013年01月31日16:02 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン ニューヨークタイムズ紙は今日、重要なスクープをものにした。ニューヨークタイムズ自身のことだが。結局、彼らはハッキングされていたのだ。 実際のところ、数ヶ月間にわたりハッキングされていた。中国のハッカーはニューヨークタイムズ社全従業員の社用のパスワードを盗んだ。加えて、幾人かのジャーナリストのホーム・コンピュータへのアクセスを得た。 これらの攻撃は、同紙が温家宝中国首相の親族に対する調査結果を発表した直後から始まった。 David Barbozaが書いた記事のスクリーンショット。彼のメール・アカウントは攻撃者に侵害された。 顧客のデータが盗まれなかった点は注目に値する。今回の攻撃者は金銭を得ることには興味がなかった。ニューヨークタイ

Slammerワームから10周年 2013年01月25日21:28 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 以下は、10年前、我々の1月25日がどのように始まったか、である。 Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384 上に抜粋したのは、我々が最初に得た、後にSlammer（SapphireまたはSQL Slammer）と呼ばれるようになるワームのログだ。 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増

Oracle Java 7の脆弱性を狙った攻撃について 2012年08月29日00:54 ツイート hiroki_iwai オフィシャルコメント  by：岩井 博樹 28日にJVNに登録されたJavaの脆弱性（0day）が話題です。 影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。 既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。 JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。 現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。 ※実際

FBIはDNSChangerサーバの継続で再認可されるべきか？ 2012年07月02日23:01 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン DNSChangerの最新のデッドラインである7月9日が、急速に近付きつつある。（前回のデッドラインは3月8日だった。）あとたったの1週間だ！ DNSChangerとは何か？ DNSChangerは、F.B.I.とエストニア当局が昨年後半、「Operation Ghost Click」で壊滅させた広告詐欺ボットネットだ。 「Operation Ghost Click」？ 「Click」はクリック詐欺を意味している。DNSサーバの設定を変更することで、ギャングたちは中間者広告インジェクションを実行することが可能になった。 中間者広告インジェクションとは？　悪党たちはそれでどのように利益を得たのか？ そう、2006年頃

再録：パスワードは本当にSHA-1+saltで十分だと思いますか？ 2012年06月07日19:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 昨日、一部メンバーのパスワードに障害が起きたという報道を、LinkedInが認めた。 以下は彼らのブログからの情報だ： 「我々が先頃導入した強化版のセキュリティには、現行のパスワードデータベースのハッシュとsaltが含まれており、今回の影響でパスワードを変更するユーザーにも、パスワードに障害が起きていないメンバーにも利益を与えるだろう。」 ハッシュとsalt？ それで十分なのか？　それは以下の再録記事（アップデートを含む）で、昨年、エフセキュアのジャルノ・ネメラが呈した疑問だ。 ————— アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析

Microsoft Updateと最悪のシナリオ 2012年06月04日23:09 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン およそ9億台のWindowsコンピュータが、Microsoft Updateからアップデートを得ている。DNSルートサーバに加え、このアップデートシステムは常に、ネットの弱点の一つと考えられている。アンチウイルスの関係者は、このアップデートメカニズムをスプーフィングし、それを通じて複製するマルウェアの亜種という悪夢にうなされている。 そして現在、それが現実となったようだ。それも単なるマルウェアによってではなく、Flameによって。 詳細なメカニズムはまだ完全には分析されていないが、Flameには、Microsoft UpdateもしくはWindows Server Update Services（WSUS）システムに対する中間

未パッチのJava脆弱性を悪用するMac Flashback 2012年04月02日21:07 ツイート fsecure_corporation クアラルンプール発  by：スレットソリューションチーム 「CVE-2012-0507」（Java脆弱性）を悪用する、Flashbackの新たな亜種（Macマルウェア）が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。 Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を… しかし — AppleはOS Xのアップデートを（まだ）リリースしていない。 Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたこ

政府の署名鍵で署名されたマルウェア 2011年11月14日23:23 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 証明書とCAは今もホットな話題だ（Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい）。 我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。 こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書（およびパスフレーズ）を盗む

Windowsリモートデスクトップワーム「Morto」が拡散 2011年08月28日22:23 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。 同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。 「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを

遅いCPUはマルウェア防御に等しい？ 2010年11月24日23:38 ツイート fsecure_response クアラルンプール発  by：レスポンスチーム ラボでは毎日、何万もの疑わしいバイナリを扱っている。人間の研究者の比較的小さなグループが、このような量を取り扱える唯一の方法は、もちろんオートメーション化だ。我々のマルウェアサンプル管理システムにインポートされたサンプルはスキャンされ、分類され、仮想環境で実行される。記録が作成され、我々人間が分析する。 マルウェア作者は、アンチウイルスのベンダが最新の亜種のライフスパンを攻撃するため、オートメーション化と仮想化を使用する事を知っている。（それが、彼らが毎日多数の亜種を作成する理由だ。）量が多いことに加えて、多くのマルウェアの亜種は、我々のリサーチを妨げ、可能な限り長く検出されないようにするため、バーチャルマシン検出とアンチデバッギ

Bredolabボットネットがシャットダウン 2010年10月26日15:06 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 2010年は、大きなボットネットのシャットダウンにより良い年になっている。 最新のケースはBredolabだ。 オランダの国家犯罪対策局が重大なテイクダウンを発表した。このボットネットの背後に潜む関係者をとらえることはできずにいるが、サーバ（LeaseWeb IPスペースでホスティングされている）が接収され、効果的にボットネットをシャットダウンしている。 Bredolabは、複雑でポリモーフィックなトロイの木馬の大規模なファミリだ。ドライブバイダウンロードと電子メールを介して広められた。Bredolabは、電子メールスパムキャンペーンと不正なセキュリティ製品に関連していることが知られている。そしてこのボットネットのサイズは、感染し

報告された攻撃サイト！ - セキュリティツールの最新のトリック 2010年10月20日15:38 ツイート fsecure_response クアラルンプール発  by：レスポンスチーム 攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。 今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。 しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ！ 素晴らしいでしょう？　それで、不用心なユーザは「ff_secure_

FirefoxがセキュアでないJavaプラグインをブロック 2010年04月20日23:15 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン Mozilla Firefoxにはプラグイン・チェック機能がある。今日Mozillaは、セキュアでないプラグインからのブラウザ保護に向けさらに一歩踏み出した。 Firefoxは現在、ユーザに以下のようなブロックのプロンプトを表示している： 現在ブロックされている全プラグインのリストは以下にある：http://www.mozilla.com/en-US/blocklist/ ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

ハイチ地震：新たなローグがニュースを悪用 2010年01月14日17:28 ツイート fsecure_response ヘルシンキ発  by：ウェブセキュリティチーム カリブ海の国ハイチを襲った災害から1日経って、詐欺師たちが再び、SEOポイゾニングの企みに励んでいる。今回の地震に関連した語句で検索を行うと、システムにローグをインストールするWebサイトへと導かれる。 これは、不用心なユーザがハイチ地震の詳細を検索する際に起きる。 このリンクを喜んでクリックすると、以下のページが現れる： 次にこれが… そしてこれが… 待て！　何だって？　「エフセキュア」？！？　惜しい…　我々は断じて、このマルウェアをサポートしていない。 エフセキュアの名をこのウェアにドラッグすると…　これは最終的にローグ・コンポーネントをダウンロードする。 自身をインストールし、次にユーザを脅す。 脅威が発見された？　信