このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。
Archive
2007まで
2008年
セキュリティ・メーカー関連
- ・ F-Secure Weblog : News from the Lab
- ・ Kaspersky Lab Weblog
- ・ McAfee Avert Labs Blog
- ・ WEBSENCE Security Labs : Threat Blog
マスメディア
- ・ Washingtonpost "Security Fix"
情報サイト等
- ・ Secunia "Security Watchdog" Blog
- ・ Zeroday Emergency Response Team
- ・ PhishTank
プライベート ブラウジング
F-Secure Weblog : News from the Lab (2009/07/01)
Firefox 3.5が昨日リリースされた。私はPrivate Browsing Mode(プライベート ブラウジング モード)を試したかったので、今日、Firefox 3.5をインストールした。以下が私のFirefox 3.0.1でのプライバシー設定である。
インストールした時、Firefox 3.5のプライベート ブラウジングの停止オプションは無効化されていた。
このインストレーションは、3.0.1の設定を認識し、それと同じようにプライベート ブラウジングを設定し、「自動的にプライベート ブラウジング セッションで開始する」ように3.5を予め設定したようである。
素晴らしい。
そこで、選択しておきたいプライベート ブラウジングの簡単なオプションの再設定(変質的???)を除いて何の変更もしなくて済んだ。
経験すべし。
********************** 【訳注】プライベート ブラウジングについて窓の杜より引用
プライベート ブラウジングは、一時的にWebページの閲覧履歴、検索履歴、フォーム入力履歴、ダウンロード履歴、一時ファイル、Cookieを保存せずにWebブラウズができるという機能。同様の機能は「Safari」や「Google Chrome」が搭載しているほか、IEも次期バージョンv8で搭載を予定しており、最近のWebブラウザにおけるトレンドの1つとなっている。
稼働中の新たな危険なスパムはPDFの脆弱性を利用して感染する
Sunbelt : Blog (2009/06/30)
昨日、我々の吸引装置は、OutlookとOutlookExpressの偽のアップデートを押し付ける危険な新たなスパムの稼動を検出し始めた。Microsoftからと主張するこのスパムは、あるWebページを人々に押し付ける。次に、PDF脆弱性を攻撃するページにリダイレクトする。
このリンクをクリックすると、"Microsoft"アップデートと称するページの一つに連れていかれる。幾つかの中から一例をあげる。
あっという間に、この例のようなサイトを訪れた人々は脆弱性を攻撃するページにリダイレクトされる。悪意の総体はZbotである。
あなたやあなたのユーザがAdobe Acrobatの最新バージョンに完全にアップデートしていないのであれば、これは極めて危険なスパムである。
Firefox 3.5
The PC Informant : Blog (2009/06/30)
Firefoxの最新バージョンが利用可能になった。Gigaomのコメントによれば、
Mozillaは、最新バージョンFirefox 3.5をリリースした。多くのWebアプリケーションに深刻な脆弱性を与えるJavaScriptパフォーマンスは、新たなTraceMonkeyエンジンにより大幅な改善がなされ、実際に非常に高速動作する。更なるパフォーマンスと標準への準拠の改善として、Firefox 3.5は、新たなプライバシーコントロール、location-aware browsing(Googleの位置情報サービスを利用し、あなたのIPアドレス、ワイアレスアクセスポイント近辺の情報等を使用して、あなたの位置を決定する)、プラグインなしにビデオやオーディオを再生する機能を搭載している。
現在のFirefoxのユーザはFirefoxのメニューから、ヘルプ>ソフトウェアの確認 からこの最新版を入手できる。あるいは、
>このリンクを使用する。
[追記]
拡張の中には最新版へのアップデートが対応できていない物が存在する。あなたが失いたくない拡張を持っているのであれば、Firefoxのアップデートを暫く待つことである。
Windows 7で削除されたVistaの機能
The PC Informant : Blog (2009/06/30)
Windows 7では幾許かの機能が追加され、幾許かの機能が削除された。
>Windows ClubはWindows 7で削除されたVistaの機能をリストしている。Windows Photo Gallery、Windows Movie Maker、Windows Mailなどが含まれている。
有用なGmailセキュリティ機能
Sunbelt : Blog (2009/06/29)
Gmailアカウントは、ハックされることも他人に閲覧されることもできる。そこで、何処からアクセスされているかを知ることは良いことである。
Gmailユーザは、Gmailページの底部にあるGmail中の手軽な機能で、これを実行できる。
**********【訳注】 以下類似の部分があるので、「もっとみる」をクリックします
高速 Gmail をケータイで。携帯電話のブラウザから http://m.google.co.jp/ にアクセス。 詳細
現在 7342MB 中 174MB (2%) 使用しています。
前回のアカウント アクティビティ: 20分前 (IP: ***.+++.***.+++)。 もっとみる
「もっとみる」をクリックすると、あなたのアカウントのアクティビティの概要(PCブラウザ、携帯電話、POP3)を取得できる。
大変有用である。
VLCメディアプレーヤーにセキュリティホール
The H : Security (2009/06/26)
セキュリティサービスプロバイダSecuniaによれば、
VLCメディアプレーヤーのWindows版中の脆弱性はシステムを改竄するための攻撃に利用される可能性がある。攻撃は生贄にとてつもなく長いsmb:// URI付きプレイリスとファイルを開かせることをアタッカーに要求する。この問題の発生は、modules/access/smb.c中のWin32AddConnection関数中のバッファオーバーフローである。
このエラーはVLCのバージョン0.9.9で発見されたが、おそらく他のバージョン中にも存在しているだろう。VLC開発者は、Git(【訳注】プログラムなどのソースコード管理を行う分散型バージョン管理システム)レポジトリ中で修正したが、このプレーヤーをクラッシュさせるDoSとしてだけこの問題の説明をしている。公式には、バージョン0.9.9だけがソースコードとWindows用バイナリで、(【訳注】この問題の修正を)利用できるようになっている。
安全なブラウジング用のフリーの拡張
The H : Security (2009/06/26)
アンチウィルス業界のFinjanからIEとFirefox用のフリーのブラウザ拡張
SecureBrowsingは、Google検索、他の人気サイト、オンラインポータル中の潜在的危険なリンクをユーザに警告する。このアドオンは三つの異なった色のアイコンを使用してリンクに印を付ける。グリーンは、ユーザにそのページをブラウズしても安全であることを知らせる。黄色はそのページをスキャンすることが可能でないことを示唆している。赤は、そのページがスパイウェアとして挙動する可能性を含んでいることをユーザに忠告している。Twitter, MySpace, Digg, Slashdotを含んでいる人気あるサービス、同様にGMail, Yahoo, Hotmailのようなオンラインメールサービスへのリンクもまた検証されている。人気あるTwitterマイクロブログサービス上に見られる、また、TinyURL, Cligsのようなサイトからの短縮されたURLもチェックされており、適切なアイコンが貼り付けられている。
他の類似のブラウザアドオンと異なっている。例えば、SecureBrowsingは ページの評判や他のプロバイダからの情報をベースとしていない。どちらかといえば、各リンクは潜在的有害性コンテンツに関し個別にスキャンされる。Finjanはそれ自身の所有する挙動解析を使用する。そして、このアドオンは、HTMLコードそれ自身を検索するのみであり、マルウェアやウィルス感染に導くダウンロード可能な如何なる付加ファイルも検索しない。解析が行われているとき、このアドオンは各リンクに解析結果待ちを意味するアイコンを表示する。ページのURLの全てを解析するために、おそらく数秒かかるだろう。
Googleを使用した簡単なテストで、SecureBrowsingは潜在的にスパイウェアの挙動をしているとしてフラグを立てるページを発見することは困難であることを証明した。McAfeeによれば、"screensaver", "free music download", "bebo"
のような検索用語を使用すると、幾つかのページにはフラグが立たなければならない。検索キーワードにTwitterを使用したとき、SecureBrowsingは、短縮されたURLの幾つかにマークを付けた。しかし、Tweetsを追加したものを表示するために更に検索した後、明らかに、それらの幾つかはスキャンされていなかった。
******************* The Hの検索実験画像へのリンク
1)
>The h-online browser checkは、有害ではない。ユーザが脆弱性を持っているかどうかデモしているだけである。それであるにも拘らず、Finjanは有害の可能性ありとしてマークしている。
2)
FinjanアドオンはTwitterリンクの全てをスキャンしているわけではない。
「Adobe、Shockwave Player中の深刻な脆弱性にパッチ」の追加情報
Washington Post : Security Fix(2009/06/25)
【訳注】要点のみ。
1/
インストールされているShockwave Playerのバージョンを知るには、
こちらを訪問する。
2/
Adobeによれば、未だこの脆弱性を狙った攻撃は発生していない。
3/
Shockwave version 11.5.0.600へのアップデートは、下記手順を踏んだ後、
以下のサイトより利用可能。
4/
読者は、Defaultで、このパッチがシマンテックのNorton Security Scan(あなたのシステムがマルウェアを持っているかを確認するノートンの巧妙なマーケティングツールで、次に、発見された全てのアイテムを削除するためにシマンテックのソフトウェアを購入することを要求してくる)をインストールしようとすることを認識すべきである。私はこれとは別の深刻なセキュリティアップデートが同梱されていることを発見した(ただし、このツールがイラつかせたり、非生産的であるといったようなことは除く)。読者は不思議に思うだろう。シマンテックが単独でこのマーケティング戦術を思い付いたのか? それとも、シマンテックはインチキなアンチウィルス製品を押し売りしている人々から考えを借りたのか?(はたまた、逆か?)。いずれにせよ、この一時的なソフトウェアを望まないのであれば、アップデートの処理を始める前に、このオプションを無効にしなさい。
Adobe、Shockwave Player中の深刻な脆弱性にパッチ
The H : Security (2009/06/24)
Adobeは深刻なセキュリティ脆弱性を修正するためにShockwave Playerバージョン11.5.0.600をリリースした。Adobeによれば、この深刻な脆弱性はアタッカーによって改竄され、ユーザのシステムの制御を取得するために使用することが可能だった。攻撃が成功した場合、犠牲者は最初に巧みに取り扱われたShockwaveファイルを開かれることになる。しかしながら、脆弱性の詳細はリリースされていない。
Shockwave 11.5.0.596とそれ以前のバージョンはこの脆弱性の影響を受ける。新しいリリースにアップデートするためには、ユーザは最初に以前のバージョンのShockwave Playerをアンインストールしなければならない。次に自身のシステムを再起動し、新しいバージョンをインストールする。Adobeは全てのユーザが最新版にアップデートすることを推奨している。
Adobe Shockwave PlayerはFlash Playerの外見上巨大な兄弟である。そして、機能のより幅広い範囲を含んでいる。Adobe Shockwave Playerはより複雑に使用される(双方向性プレゼンテーション、ゲーム、他のアプリケーション)。おそらく、大多数のユーザはAdobe Flash Playerだけをインストールしているだろう。この場合は、今回のShockwave Playerの脆弱性の影響を受けない。
**********************【訳注】アップデート情報
人気あるPDFリーダー
Foxit Readerもアップデートされています。
USBフラッシュドライブからU3ソフトウェアを削除せよ
PC Informant : Blog (2009/06/23)
USBフラッシュドライブの中にはU3と呼ばれる特別なソフトウェアを搭載している物がある。あるソフトウェアはU3を有効にしたドライブ(CDドライブを装う)でのみ稼働する。しかしながら、私はそれらを緩慢にすることと全く有用でないことを見出した。私はUSBがお気に入りである。U3プラットフォームを削除するソフトウェアがある。U3を有効にしたドライブの中には、U3アンインストールオプションを持っている物もある。アンインストールオプションがなければ、
こちらからアンインストールを実行するソフトウェアをダウンロードできる。
【訳注】ダウンロードは、3.How do I uninstall U3 from my flash driveの項の、Remove U3のリンクをクリックしてください。
Botnet所有者とOpera Unite機能
Sunbelt : Blog (2009/06/18)
Operaは、ユーザがOperaブラウザをサーバーとしても利用できるようにする”Unite”と呼ばれる新しい機能を導入した。これは、多分、生肉を充満したバックパックでサファリパークにハイキングする顧客を送り出すのと同様に、丹念に考えられたかもしれないコンセプトである。
Opera Uniteの開発者用プライムによれば、「Opera UniteはOperaブラウザ内部で稼働するWebサーバ機能である。このことはユーザがこの機能で、幾許かの驚くべきことを実行することを可能にする。」 我々は、この機能で幾許かの驚くべきことを実行するためにインターネットを使用する別の人々がいることもまた、間違いないと思っている。
Uniteは基本的にOpera Webブラウザ ウィジェット システムに対する拡張の一つのグループである。この拡張のグループは、Operaユーザがブログやファイルへのアクセスを彼らの友人に対して提供するためのサーバとして、Operaユーザのマシンを設定することを可能にする。Operaのサーバは、その「Turbo」機能のためのページを提供し、ユーザのUniteにリンクされたブラウザとの間で情報伝達するためのファイアーウォール付きプロキシとして行動する。Operaのスタッフはバグや悪意あるコードをチェックする。成人向けの情報は許可されない。
発生すると思われる最も重要な疑問は、ユーザが彼らのファイルシステムに対し偶然に意図しないアクセスを行うことはないのか? である。Operaのプログラムは正にウィジェットである。ショートカットは、彼らがアクセスできるものを設定するために提供されている。幾許かのショートカットは、システムフォルダに導く。このドキュメント中には警告が含まれているが、つまるところ、露出される物は、その開発者に委ねられている。
ウィジェットはOpera以外のソースから利用可能である。これは侵入者が、ローカルウィジェットであることを装い、実際には悪意ある目的のためにUniteプロトコルを使用するOperaウィジェットの作成を可能にする。
我々は最初の"Unite"ボットネットを監視する。
更なる情報は
こちら参照。
Unite開発者用Operaプライムは
こちら。
インチキのアンチウィルスソフトがMicrosoft Malicious Software Removal Toolになりすましている
Sunbelt : Blog (2009/06/12)
マルウェアの製作者はWindowsでチャッティネスとマーケティングwebiness(Web-Businessの造語)の利用を継続している。主たる事例は、Windows Malicious Software Removal Tool(悪意あるソフトウェアの削除ツール)を装う新たなインチキのアンチウィルスプログラムである。
CA(コンピュータ・アソシエイツ)は、この一つに関する仕事を幾つかの有用なスクリーンショット付きで実行したので、私はこの件に関する仕事をする必要がなくなった。
リンクは、
コチラ。
************************************
【訳注】CAより画像を引用しておきます。
Adobe、第一回目のReaderとAcrobatの定期的セキュリティアップデートを6月9日に予定
Adobe Product Security Incident Response Team (PSIRT) : Security Bulletin - Adobe Reader and Acrobat (2009/06/04)
Adobeは、WindowsとMacintosh版Adobe ReaderとAcrobat versions 7.x, 8.x, and 9.xのセキュリティアップデートの配信を6月9日に予定している。これは、我々が5月20日にポストしたブログに記載したAdobe ReaderとAcrobatに関する四半期毎のセキュリティアップデートの第一回目である。
Adobeはこれを重要なアップデートであると考えている。ユーザは該当する製品のアップデートを適用することを推奨する。アップデートをダウンロードする場所の詳細に関しては、
Adobeの Security Bulletins and Advisoriesサポートページ(【訳注】 日本では、おそらくアドビの
セキュリティ情報のページ)に6月9日(【訳注】米国時間)にポストされるだろう。
UNIX用セキュリティアップデートの詳細は利用可能になり次第ポストする。
BeladenペイロードサイトはShkarkimiに変更された
WEBSENCE Security Labs : Alerts (2009/06/04)
Websence Security Labs ThreatSeakerネットワークは、Beladenとして知られていた巨大な改竄用ペイロードサイトが、Shkarkimiに変更されていたことを検出した。この新しいサイトはBeladenと同じIPアドレス上にホストされており、同じ攻撃を提供している。脆弱性攻撃を行うShrarkimiサイトへ誘導する紛らわしい誤認識用ドメインGoogle-Analyticsは未だ巨大な挿入を行っている。この記事を記述している時点で、我々は凡そ30,000のサイトが、最終的にShkarkimiに誘導されてコードを挿入されたことを確認している。この攻撃の詳細に関しては
Beladenに関する我々のブログを参照されたい。
Shkarkimiへのリダイレクトのスクリーンショット
攻撃の流れは、Beladenの代わりに動的に形成されるサブドメインShkarkimiに自動的にリダイレクトされることを除けば、以前と同様である。
上図から明らかなように、ShkarkimiはBeladenと非常によく似たネットワークトポロジー(【訳注】ネットワークトポロジーとは、ネットワーク機器の繋がり方のことを言います。ネットワーク機器が二つの場合は、繋がり方は一通りしかありません。三つ以上になると複数の繋がり方ができてきます)を持っている。昨日、GoogleセキュリティチームはマルウェアドメインのTop10のリストを公開した(Top10マルウェアサイトの一つにgoogleanalystlcs.netも含まれている)。合法サイトへのgoogleanalystlcs.netのコード挿入は、我々がBeladenを調査するとき追跡していたものである。Beladenはこの攻撃の初期の着陸地点ページだった。既に述べたように、攻撃者は今、最終着陸地点としてshkarkimi.netを使用している。
我々はこの攻撃の監視を継続する。興味ある発見があったなら公開する。
Websense MessagingとWebsense Web Securityの顧客はこの攻撃から防御される。
Microsoft Outlookのユーザはフィッシング攻撃のターゲットにされている
The H : Security (2009/06/04)
Trend Microは、とりわけMicrosoft Outlookユーザをターゲットにした新しいフィッシング攻撃を警告した。E-Mailを単にオンラインアカウントの詳細や一般的個人情報から生贄を欺くことに使用するよりむしろ、この様な攻撃はE-Mailアカウントそれ自身の詳細を取得することを企てている。フィッシングE-Mailは、Microsoftからのものであることを装い、フィッシングWebサイトに誘うリンクをクリックすることによってOutlookメールクライアントを再設定するための手法を提示している。そこで、このサイトはユーザに再設定プロセスを完成させるためとしてアカウント名、パスワード、メールサーバー情報を登録するよう依頼する。
E-Mailアカウントの詳細から生贄を欺くことで、フィッシング詐欺を行っている者は、ソーシャルネットワーキング、マイクロブログ、個別のメール中に含まれる銀行アカウント情報を発見するために全てのE-Mailに容易にアクセスできる。さらに、そのアカウントにフルアクセスすることで、フィッシング詐欺を行う者は他のユーザに多くのスパムメールを送信するために、それを使用できる。
Googleの統計(Google Statistics)はマルウェアのTop10サイトを露にした
Washington Post : Security Fix (2009/06/02)
Googleは最近の二ヶ月以上に渡るスキャンから、Top10マルウェア ソース サイトに関する統計をリリースした。これらはユーザのブラウザをマルウェアのソースサイトにリダイレクトするために、感染している合法的サイトによってユーザに配布されるマルウェアをホストしているサイトである。次に攻撃者は、犠牲者のシステムにマルウェアを感染させるためにIE、Firefox、QuickTime中の様々な脆弱性を利用する。
Googleのグラフはまた、Top10マルウェアサイトのどれかにリンクするために改竄された幾つかの合法的Webサイトを表示している。5月中旬最もアクティブであったドメインは、凡そ60,000の改竄されたサイトを持つgumblar.cnであった。Martuz.cnは第二位のアクティブドメインであった。そして、改竄サイトは35,000がピークであった。先週確認された巨大なハック攻撃は、googleanalytlcs.net(Googleの無料解析サービスに故意に類似に名付けられたドメイン)が二万以上の合法的Webサイトを巧みに取り扱う中心的役割を果たしていたことが確認された。Top10中に示されている6つは、中国を表すトップレベルドメイン(.cn)を使用してホストされている。4000以上のサイトが、マルウェアを配布するためにセットアップされていることがGoogleによって確認された。このうち、1400以上が.cnトップレベルドメイン中にホストされている。
Googleは、ユーザがフィッシングや他のオンライン攻撃を防ぐためにSafe Browsing APIを含んでいるWebブラウザ(FirefoxやChromeのような)を選択するよう推奨している。Googleはまた、検索結果の中には改竄されたサイトに導くものがあることを警告している。
iTuneとQuickTimeのセキュリティアップデート
Washington Post : Security Fix (2009/06/02)
AppleがQuickTimeメディアプレーヤーとiTuneソフトウェアのセキュリティアップデートをリリースした。このアップデートはWindowsとMacの両方のプログラム用が利用可能である。
QuickTimeへのパッチはバージョン7.6.2としてもたらされた。そして、少なくとも10のセキュリティホールが修正された(QuickTimeのWindowsバージョン特有の二つの問題の修正を含む)。iTuneのアップデート(バージョン8.2)は、悪意あるWebサイトがユーザのシステムに、ソフトウェアをインストールするためのプログラムを使用することを可能にするiTune中の一つのフローもまた修正された。
AppleユーザはSoftware Updateから、このアップデートを入手できる。Windowsユーザは、このアップデート入手用に同梱されているApple Software Updateプログラムを使用する必要がある。
MicrosftはFirefoxの拡張を、こっそりインストールしている
Washington Post : Security Fix (2009/05/29)
コンピュータに山のごとくインストールされているMicrosoft Windowsコンポーネント用セキュリティアップデートの方法は、Mozilla Firefox WebブラウザでWebサーフィンしている数多くのユーザに何も告げることなく、臨時のアドオンをこっそりインストールしていた。
今年初め、MicrosoftはMicrosoft .NET Framework(プログラミング プラットフォーム用サービスパック。Microsoftや多くのサードパーティーの開発者がWindows上で相互作用する様々なプログラムを稼働するために使用している)の一群のアップデートを出荷した。
他のアップデートのように、.NET Framework用サービスパックは、Windows Update Webサイトを通じてユーザに提供されていた。Windows Updateが.NET Framework用サービスパックを提供し始める前に、多くの読者はこのプラットホームについてこれまで耳にしたことはなかったはずである。そして、読者の多くは.NET Framework用サービスパックを進んでインストールして差し支えないか知りたがっていた。早期に行われたことは、このサービスパックが広範な問題を引き起こすか、あるいはサードパティー製プログラムを妨害するかを確認することであった(結局、このアップデートで撥ねつけられるものは何も発見されなかった)。私は読者に、心配せず.NET Frameworkをインストールするようにと告げた。
私は、ほんの数日前まで認識していなかったのだが、ここに、このサービスパックをインストールすることによる小さな副作用に関するレポートがある。明らかに、.NETアップデートは、このアップデートが所有するFirefoxアドオンを自動的にインストールする(危険性はないが、一旦インストールすると削除することは困難である)。
Annoyances.org(Windowsでイライラする様々な面をリストしている)は、このアップデートは現在のIEの全てのバージョンで最も危険な脆弱性の一つ(Webサイトが容易に且つ黙って、あなたのPCにソフトウェアをインストールする能力)をFirefoxにインストールする、と発言している。私はこのことをこの様なヒドイ言葉に置き換えたくない。しかし、Windows用Firefoxのそこそこの利用者は狂信的とも言える反Internet Explorer派であると確信している。そして、いかなる方法であれ、Firefoxを弄っているRedmond(【訳注】Microsoftと同義)の意向を大変不快に思う。
一大事件、そう思いますか? 私はFirefoxの手動アドオンインターフェイスからこのアドオンをアンインストールすることができる。正しいか? そううまくはいかない。この問題は、Microsoftがこの拡張の「アンインストール」ボタンを無効化したことにある。さらに重要なことは、Microsoftによれば、
この拡張を削除する唯一の方法はWindowsレジストリを修正することであると我々に告げた。もし不正確な処理をすれば、Windowsは起動しなくなる。
これを最初に学習したとき、頭に三つの考えが即座に閃いた。
1. どのようにすればこれを回避できるか?
2. 正しい方法が、Mozillaのアドオンページに、このアドオンに関して公開されているだろうか
3. 他の何かが、我々の認識なしにMicrosoftによってインストールされていないか。
そこで、私はMicrosoftの手法だけが唯一の解決策ではないことを発見した。Microsoftは以前にこの不幸な開発物に関してコメントした人々からの批判を聞いている。
とにもかくにも、世界の終焉というわけではないが、多くの読者は苛立つだろう。最初に、このブログの読者に、.NET Frameworkセキュリティアップデートの「機能」を見逃してきたことを謝罪する。二つ目はMicrosoftに、これは、あなた方のセキュリティアップデートを信頼することを説得できない顕著な例である。
*************************
【訳注】この問題の解決方法
*************************
手動アンインストール方法
手動で削除する方法、.NET Framework アシスタント for Firefox
.NET Framework 3.5 SP1をFirefox用.NET Framework Assistant 1.0にアップデートする
この方法は、Firefoxアドオンリスト中で、この機能をアンインストールするためのアンインストールボタンが利用可能になります。
Update to .NET Framework 3.5 SP1 for the .NET Framework Assistant 1.0 for Firefox - 日本語(2009年05月31日、00:15現在、日本語版準備中です)
いずれも、Microsoftのリリースです。
Microsft、深刻なDirectShow脆弱性を警告
The H : Security (2009/05/29)
MicrosoftはQuicktimeビデオ再生用DirectXライブラリ中に深刻な脆弱性のあることを、そして、この脆弱性が実際に攻撃されていることを発見した。Microsoftは、この脆弱性に関する詳細な情報を含むセキュリティ アドバイザリを公開した。
影響を受けるDirectShowフィルタはWindows VistaとServer 2008中には存在しない。影響を受ける脆弱性を持っているのはWindows XPのような以前のプラットフォームである。脆弱性あるシステム上では、代替ブラウザのマルチメディア拡張も、脆弱性あるOSのDirectX機能にアクセスするため、犠牲者がIEの代替ブラウザ(【訳注】Firefox、Opera等)を使用した場合でさえ、アタッカーはこのセキュリティホールを繰り返し攻撃することが可能である。AppleのQuicktimeをインストールしても、この問題の解決策とはならない。このフローは特別に細工されたWebページを通ることと、(例えばMedia Playerで)直接関連するファイルを経由することとの両方をトリガーにしている。
ブログで、Microsoftのセキュリティエキスパートは、最も簡単且つ最も安全な解決策として、以下のレジストリキーの削除を推奨している(セキュリティ アドバイザリにも説明されている)。
HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
これはQuicktimeが脆弱性あるQuartz.dllライブラリ中で解析されることを妨げる(【訳注】QuickTimeコンテンツは再生不可能になります)。Microsoftはシステムに免疫を与えるためのWebページ”Fix it”を作成した。
Microsoftは普段では考えられない透明性で、その行動計画を明らかにし、開発メンバーは調査終了次第パッチをリリースするため不断に努力していると発言している。この言葉の意味していることは、このパッチが次のPatch Tuesday(6月9日、日本では6月10日)にリリースされるのかどうか、まだ不明であるということである。
**********************************
【訳注】Microsoftの本件に関するアドバイザリ
**********************************
マイクロソフト セキュリティ アドバイザリ: Microsoft DirectShow 脆弱性によりリモートでコードが実行されます
このページの途中に"Fix it"ボタンがあります。この回避策を実行すると、QuickTimeコンテンツは再生不可能になります。なお、このページには、回避策を無効にするボタンもあります。
IEでLANの設定をすると遅くなる
The PC Informant : BLOG (2009/05/29)
大多数のPCユーザはプロキシサーバとして知られる設定を使用していない。しかしながら、この設定はインターネット接続を試みたとき、IEのLAN設定がプロキシサーバを探すことを発生する。これはイライラする遅延を発生する。時々遅延を発生させる他のLAN設定は、「設定を自動的に構成する」オプションである。この様な設定はIEのダイアログ中に見出すことができる。
ツール>インターネット オプション>接続>LAN設定
このダイアログは以下の図のように表示される。
大多数のPCユーザは、この設定の全てのオプションをアンチェックすべきである。全てのチェックを外したら、OKをクリック。もう一度、OKをクリックする。
アドビ、四半期毎に定例パッチを配信へ
ZDNet Japan : News>Security (2009/05/21)
Adobeは四半期毎(第二火曜日)にセキュリティパッチをリリースすると発表しました。WashingtonPost初め沢山のセキュリティ情報サイトが報告していますが、日本語サイトを紹介しておきます。
ZDNet
インチキのブラウザエージェント
F-Secure Weblog : News from the Lab (2009/05/18)
インチキのアンチウィルスアプリケーションは何と巨大な問題なのだろうか? 見てみよう。
あなたのブラウザユーザエージェントはどうなっていますか? Firefoxであれば、以下のように表示されるだろう。
whatsmyuseragent.comであなたのブラウザユーザエージェントを確認できる。今、以下に示されているユーザエージェントを見てみよう。
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
解りますか? まさしく中程に"AntivirXP08"が存在する。どういうことだろうか?
幾つかのインチキソフトはブラウザユーザエージェントを改竄する。我々はAntivirXP08文字列の変種を沢山見てきた。改竄された文字列は、悪意あるウェブサイトで「ビジネス」するためのインストレーションを行うための系列を同定することが可能である。
改竄されたユーザエージェントは様々なコンテンツを配布するためにも使用される。AntivirXP08の犠牲者は、インストーラをダウンロードするよう要求されることはないが、代わりにスカムを完成させインチキソフトを購入させるためのターゲットにされる。
どのくらい感染させられたユーザエージェントがあるのだろうか? Toniは悪の溜まり場の一つを検証した。そして、AntivirXP08を含むエージェントを使用している一意のIPアドレスが63000含まれていることを記録している。
63000。この数は感染数として多いと言えるだろうか? "Antimalware2009"のような他の文字列を含んでいない。
これは大きな問題の小さな兆候である。
幾つかのベンダから山のようなアップデートが・・・
F-Secure Weblog : News from the Lab (2009/05/13)
Microsoft ? PowerPointと中の14の脆弱性にパッチ
Adobe ? Adobe Readerの二つの脆弱性にパッチ
Apple ? Mac OS Xの67のセキュリティ上の問題にパッチ
最も攻撃目標にされているファイルの種類はPDF
F-Secure Weblog : News from the Lab (2009/05/06)
我々は過去何度も攻撃の目標にされている物について述べてきたし、PDFとマルウェアをインストールするためにAdobe Acrobat/Reader中の脆弱性を利用していることについても述べてきた。我々は、2008年と2009年の今迄に変化した攻撃目標として最も人気あるファイルのタイプに注目した。
2008年では、攻撃目標にされた1968のファイルについて同定した。最も攻撃目標にされたファイルの種類は、"DOC"(Microsoft Wordに代表される)で、34.55%あった。
2009年の今迄、我々は663の攻撃目標にされているファイルを発見している。最も攻撃目標にされているファイルの種類は、現時点で"PDF"である。何故、変化したのか? 第一に、Microsoft Officeアプリケーション中の脆弱性よりAdobe Acrobat/Reader中の脆弱性がより多いことに起因する。我々が一週間前に言及した二つの脆弱性のように・・・。この脆弱性をAdobeは5月12日に修正するとしている。
攻撃目標に関する詳細と、それらが動作する方法は、我々の研究室による
YouTubeビデオで見ることができる。
Adobe、AcrobatとReader中のセキュリティホール修正版を12日にリリース
The H : Security (2009/05/05)
Adobeは5月12日にAdobe ReaderとAcrobatのセキュリティアップデートのリリースを計画している。このアップデートは最近アナウンスされたJavaScriptのgetAnnots()関数中の深刻なバッファオーバーフローを修正するだろう。アタッカーはアプリケーションをクラッシュさせるPDFドキュメントを用意し、潜在的に影響を受けたシステムを制御することを可能にした。このアップデートはWindowsバージョンの7.x、8.x、9.x、及びUNIXとMACバージョンの8.x、9.xで利用可能である。
UNIXバージョンのアップデートは、DoSや任意コードの実行を発生させるために巧みに取り扱われたcustomDictionaryOpen()メソッドJavaScript関数中の二つ目のセキュリティホールも閉じるだろう。このアップグレードのリリースまで、Adobeは、編集>環境設定>JavaScriptと進み、”Acrobat JavaScriptを使用”のチェックを外すことによって、脆弱性ある製品中のJavaScriptのプロセスを無効化するよう推奨している。
Windows 7 失敗
F-Secure Weblog : News from the Lab (2009/05/05)
Windows 7 RCが本日リリースされる。
素敵なニュースがある。それは、現在までにWindows Explorerが修正されたことである。
認識されているように、Windows NT、2000、XP、VistaのExplorerは既知のファイルタイプの拡張子を非表示にしていた。そこで、ウィルス製作者は人々にドキュメントファイルのように見せかけたファイルを、間違えて実行させるためにこの機能を利用した。
このトリックは、VIRUS.EXEをVIRUS.TXT.EXEやVIRUS.JPG.EXEと名付けることで、Windowsでファイル名の".EXE"部分を非表示にすることにあった。更に、ウィルス製作者は実行ファイルのアイコンをテキストファイルや画像ファイルのように見えるアイコンに変更している。
間違いなく、このトリックはWindows 7 で動作しないだろうね?
やってみよう。
ウ〜〜〜ン、まさにExplorer中ではテキストファイルのように見える。
しかし、実際には実行ファイルである。
Windows 7 失敗。
Windows Vista SP2 非互換プログラムリスト
Microsoft : サポート オンライン (2009/04/28)
Microsoftサーポートオンラインの情報です。SP2にアップグレードする前に確認してください。ただし、機械翻訳です。
Windows Vista および Windows Server 2008 Service Pack 2 のインストール後に機能の損失が発生するがわかっているプログラム
Adobe : Readerに未だ攻撃が発生していないフローがあることを警告
Washington Post : Security Fix (2009/04/28)
Adobeシステムズは、Adobe Readerの最新バージョンに、未だ攻撃が発生していない新たなセキュリティフローが存在することを警告中である。Adobe製品セキュリティ問題対応チーム(PSIRT)のブログにおいて、Adobeは月曜日に簡潔なアドバイザリをリリースし「これは Adobe Reader 9.1と8.1.4中のセキュリティホールに関する調査中のレポートである」と発言している。Adobeは、「詳細な情報を入手次第直ちにアップデートは提供されるだろう」とも発言している。
この脆弱性に関する
SecurityFocusの提言は、
Linux上で稼働するように設計されたReaderにJavascriptフローが含まれていることを指摘していたが、このアドバイザリでは、他のバージョンやOSでも影響があるかもしれないことを示唆している。
これは何でもないかもしれない。しかし、私の感性は私に”Adobe Readerを稼働中のマシンに侵入するためAdobe Readerの
今迄知られていないJavascript脆弱性を使用することを、マルウェアとハッカーが発見したとき、直ちに我々は、二月からの問題の焼き直しを迫られるかもしれない”と告げている。
これはまた、先週の金曜日の最新のSecurity Fix Live Onlineで受け取った、一つの疑問を私に思い起こさせた。
Denver CO(【訳注】質問者): 多くのコンピュータに詳しいとされる人々がAdobe Readerに発見された最近の脆弱性により、代替PDFリーダーに引越している。あなたはAdobe Reader/Adobe Acrobatを使用することは、もはや賢明な選択ではないと考えているか?
Brian Krebs(【訳注】回答者。このブログの著者): 様々なソフトが使用されることが賢明であると私は考える。とりわけコンピュータソフトウェアとOSの世界においては。同等もしくはより優れた代替ソフトが与えられ、明らかにマーケットのリーダーではないソフトウェアを使用することは、安全保障の観点からは屡々賢明な手段である。
近頃、私はAdobeのPDFリーダー(肥大化し動作が緩慢である)に代わる物としてフリーの
Foxit Readerを推奨してきた。セキュリティ上の利益の可能性は、ちょっとしたボーナスである。
代替ソフトとして、殆どの場合フリーで軽量なFoxit Reader(Adobe Reader同様、インストールしたくないツールバーを同梱している)を推奨する。他にも
Sumatra PDFや
PDF-XChange Viewerのような、フリーのPDFリーダーがある。
Adobeは、多分、未だチェック中のため、如何なる軽減方法も提供していない。可能性ある方法の一つはAdobe ReaderのJavascriptを無効化する(編集>環境設定>JavaScript と進み、”Acrobat JavaScriptを使用”のチェックを外す)ことである。もちろん、これを実行してもこのバグからの潜在的脅威を鈍化させないかもしれない。更に、Adobe ReaderのJavascriptを無効化することは、
このプログラムからのイライラさせる挙動を発生させる(【訳注】起動したときに、JavaScriptが無効化されています。有効にしますか? 等というメッセージの発生・・・)。
************************
Update : F-Secureから以下がレポートされた(要点のみ)
この脆弱性は、二つのJavaScript関数、getAnnots()とspell.customDictionaryOpen()、に起因する。共にリモートからのコードの実行を許可する。
F-Secureは、Adobe Reader代替のPDFリーダーの使用を推奨する。特定のリーダーを推奨することはしないが、
ここにPDFリーダーのリストがある。他にFoxIT、CutePDFがある。
あなたがAdobe Readerを変更できないのであれば、JavaScriptを無効化することを強く推奨する(【訳注】編集>環境設定>JavaScript と進み、”Acrobat JavaScriptを使用”のチェックを外す)。
Gmailアカウントは未パッチのセキュリティホール経由でハックされる
WindowsSeacrets : Home (2009/04/23)
まだ人口に膾炙されていないが、セキュリティ研究者が、Googleが再三パッチすることを拒否したセキュリティホールの詳細をリリースした後、ハッカーがGmailアカウントに侵入する脆弱性攻撃が発生している。
ユーザはWebメールアカウント使用のリスクを軽減するための幾つかのステップがある。しかし、Googleがこのソフトウェアを修正するまでGmail問題を解決できないことは明らかである。
研究者が言うGMailの悩みは、クロスサイトリクエストフォージェリ(CSRF(別名:sea surf) : 【訳注】 Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法。)として知られる攻撃分類に属している。
影響を受けるCSRFセキュリティホールは、GMailの他に、YouTube、Netflix、NYTimes.com(【訳注】ニューヨークタイムズ)にも発見され、これまでに修正された。CSRF攻撃はCookie、パスワードの要求、ユーザのWebブラウザとWebサイトサーバ間のコミュニケーションをインターセプトするための双方向性Webコンポーネントのセキュリティフローを使用する。
セキュリティ領域におけるGmail問題の最初のレポートは、2007年7月30日、Internet Security Auditors(ISA)のVicente Aguilera Dによって記された。翌日、ISAは警告を発した。この警告はGmailアカウントパスワードの変更に使用される方法を図解したProof of Conceptを含んでいた。
ISAによれば、この間一年以上に渡り、2009年3月3日Secure Computingにこの脆弱性攻撃の詳細を公にした研究者に対し、Googleはこの問題について繰り返しコンタクトしていた。
この雑誌が引用した匿名のGoogleスポークスマンの発言では、「我々は暫くの間、この問題を注目していた。ユーザが潜在的な脆弱性攻撃サイトを訪問している間に、成功した脆弱性攻撃は正しくユーザのパスワードを推測することを必要とするので、我々はこの問題を重要なセキュリティ問題と考えていなかった。」
自動化された攻撃は、凡そ数秒で数千のパスワードをテストできることを考慮すると、Googleの立場に落胆させられるかもしれない。多くのPCユーザは、ブルートフォース(【訳注】考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式)に発見されやすい一般名や辞書に記載されている言葉から構成される弱いパスワードを使用している。CSRFテクニックの一般へのリリースは、フィールド中に未だ脆弱性攻撃が存在しない場合、ハッカーがこの機に便乗してコードを書くことを容易にする。
3月3日に露見されたことは、2007年1月1日に最初に報告された早期のGmailのCSRFフローと混同してはならない。ソフトウェアコンサルタントHari Gottipatiによるブログのポストによれば、Googleは、その後この問題を修正した。
CSRF攻撃(session-ridingとも言われる)は、より広範に知られているクロスサイトスクリプティング(XSS)脆弱性攻撃と異なっている。XSSセキュリティホールは、あるブラウザウィンドウ中に開かれている悪意あるWebサイトが、別ウィンドウもしくは別タブ中に開かれている、他のサイトのページにJavaScriptを挿入することを可能にする。PC上で望みもしないスクリプトが起動したなら、コードは個人データを集め、それらを攻撃者のサーバーに転送する。
XSS脆弱性は最近発見された。多くのブラウザと多くのサイト(Gmail、Hotmail、Yaho Mailを含む)はこの脆弱性にパッチを充てた。
httpsでWebメールに幾許かの防御を提供する
Google、Yahoo、他のインターネットサービスは、「ユーザ自身のリスクでこのサービスを使用する」ことを宣言することで彼ら自身に保険をかけている。如何なるWebメールサービスを使用しようとも、その最大の脅威は、ハッカーがユーザのパスワードを奪ったり、推測したりでき、ユーザのアカウントを取得したりできることである。
あなたのGoogleアカウントが、クレジットカード番号(例えば、Googleショッピング用の)、コンタクトリスト、写真、ビジネスや金融関係ドキュメントのような個人情報が含んでいるなら、あなたのアカウントがハックされることは、まさに迷惑程度のことではなくなる。
アタッカーがパスワードを盗む方法の一つは、インターネット トラフィックを”sniffs(クンクン嗅ぐ)”ソフトウェアを使用することである。暗号化なしにWebページ上であなたのユーザ名やパスワードを入力するなら、あなたの入力はプレーン テキストとして送信される(Wi-Fi接続だけでなく、あなたとサービスマシン間に位置する、あらゆるルータを通じてもまた)。
幸いにして、三大Webメールサービス(Gmail、Yahoo Mail、Hotmail)と他のWebサイトは、Secure Sockets Layer (SSL)暗号化を使用してユーザのサインイン セッションを保護している。SSLはWebブラウザがインターネットに剥き出しでデータを送出する前に、如何なるサインイン データもスクランブルすることを可能にする。
あるサイトがサインインの処理を暗号化しているかどうか決定するには、ブラウザのアドレスバーに注目する。ページのURLは、https(Hypertext Transfer Protocol over SSL)で始まっているはずである(下図参照)。暗号化されていないページはhttpプロトコルを使用している。
もちろん、httpsプロトコルや、ブラウザのステータスバーに、よく知られている「南京錠」アイコンを確認できたからといって、特定のサイトが正当なものである保証は無い。Anti-Phising Working Groupは、この様な表示がスカムを回避することを支援する幾つかのチップ同様、ハッカーの悪用方法に関する情報を提供している。
しかしながら、サインインのページがhttpsプロトコルを使用しているなら、あなたのパスワードがインターネット上でプレーン テキストとして送信されることは考えられない。
GmailのCSRF(別名:sea surf)の穴はSSLで塞ぐことはできない
Web上での幾つかのレポートは(Softpedia.comのような)、あなたがGmailセッションにいる間、サービス上のCSRF攻撃をブロックするためにhttpsを使用していると発言している。
ISAのAguileraによれば、残念ながら、この様なレポートは、ここで記述しているGmailの場合ではない。Aguileraが母国語のスペイン語で運営している電子メールインタビューにおいて、彼は、このフローは、ハッカーが暗号化セッションを利用することを可能にすると発言している(以下は私がスペイン語を英語に翻訳した文章である)。
・ この脆弱性中で、アタッカーは犠牲者にサーバへのリクエストを不可視で発生させる(このリクエストで、犠牲者の本物のセッションクッキーもまた送信される)。
・ このサーバがリクエストを受け取った時、実際には、このリクエストはアタッカーによって発生させられているのに、本物のセッション(犠牲者の物)からと思い、それらを検知しようとしない。
・ 言い換えれば、犠牲者(ユーザ)がこのサーバへのリクエストを作成したかのようであり、コミュニケーションが暗号化されているという事実は無関係であり、この攻撃を防御しない。
httpsを使用することはトラフィックを嗅ぎ回ることと、いわゆる中間者攻撃(【訳注】通信者同士の間に第三者が勝手に割り込むタイプの攻撃)を防御する。そこで、ユーザはGmailのCSRF脆弱性がパッチされているかどうかに関係なく、httpsの使用を有効にすべきである。
Gmailにアクセスしたとき暗号化のもたらす便益のために、デフォルトでSSLサービスを有効にすべきである。そうするためには、メインのGmailウィンドウの右上隅にある「設定」をクリックする。「全般」タブの一番下にある「ブラウザ接続」で「常にhttpsを使用する」を選択し、「変更を保存」をクリックする。(
UPDATE 04/30【訳注】<重要> iGoogleのGoogle gadzetは、「常にhttpsを使用する」をサポートしていません。メールタイトルや新規メール数はGoogle gadzet中に表示されなくなります。)
暗号化を使用することはGmailのパフォーマンスを僅かながら悪くするが、この小さな代償には、その価値がある。httpsプロトコルは、ユーザのサインイン セッションを暗号化しないだけでなく、それらがユーザのブラウザとGoogleサーバ間で送信された時、ユーザのE-Mailのコンテンツも暗号化されない。
POP3とIMAPはGmail、Hotmail、Yahoo Mailを防御する
残念ながら、Yahoo MailとHotmailは「常にhttpsを使用する」設定を提供していない。しかし、PCベースのE-Mailリーダーを使用し、長い歴史を持つPOP3やIMAPプロトコル経由でメッセージを取得することで、ユーザはこの様な二つのサービスのデータを保護することができるし、Gmail CSRFの脆弱性を克服することもできる。
Webメールを読んだり送信したりするためにMozilla ThunderbirdのようなPCベースのクライアントを使用すると、SSL暗号化は盗み聞きを防止できる。IMAPやPOP3を使用することはまた、リモートサーバ上に残存する重要なメッセージの削除オプションも与える(私はThunderbirdと他のフリーメールクライアントを比較したレビューを2008/07/31にポストしている)。
IMAPとPOP3はGmaiとHotmailの両方のフリーバージョンによってサポートされている。YahooはPOP3をサポートしているが、Yahoo Mailの有料バージョンのみで提供されている(20US$/年)
PCベースのメールクライアントを使用して、Webメールサービスからメッセージを取得するための説明に関しては(例として、Hotmailを使用)、About.comにこの主題に関するステップ-バイ-ステップがある。
サインインでhttps(そして、Webメールの処理に暗号化)を使用することは、おそらくユーザのパスワードと他の個人情報を嗅ぎ取られることを極僅かにする。このことは、セキュリティ研究者がプンプン怒っているCSRF脆弱性をGoogleが修正する前に取得したメッセージであるか否かに関係なく、あなたのWebメールを安全にする。
いかがわしいインストーラに注意せよ
McAfee Avert Labs : Blog (2009/04/24)
今日、私はVLCメディアプレーヤ用のインストーラと称するプログラムに遭遇した。本当にそうだろうか? 違う! まず第一に、このインストレーションファイルは、正当なVLCメディアプレイヤーサイトが提供しているインストーラと異なっていた。
インストール過程のStep3で、この様なダイアログボックスが表示された。
フランス語のメッセージを翻訳すると、「我々のサービス改善を支援して欲しい。アクティベーションコードを取得するには、[番号削除]に電話し、SMS(Short Message Service。ショートメッセージサービス:携帯電話同士で短い文字メッセージを送受信できるサービス)中であなたのコードを取得するために、そのキーワードCODEを[番号削除]に送信してください。」 これはSMS詐欺である。
通常、我々は信頼できないソースからプログラムをインストールすべきではない。我々はインストール過程のStep3から、詐欺師に対処していることが分かる。それなのに、なぜインストレーションを継続するのか?
我々は、このトロイをRansom-Eとして検出する(5597 DATsでアップデートした)。
Google Chromeクロスサイトスクリプティングの脆弱性にパッチ
The H : Security (2009/04/24)
Mark Larson(Google Chrome プロジェクトマネージャ)は、Google Chrome Webブラウザ中にリスクの高い脆弱性の存在をGoogle Chromeリリースブログに投稿した。クロスサイトスクリプティング(XSS)脆弱性は、ChromeHTMLハンドラ中でURL操作を失敗することで発生する。この脆弱性はアタッカーが遠隔からコードを実行することを可能にする(同一生成元ポリシー違反)。
攻撃が成功すると、犠牲者は最初に、IEで特別に細工された悪意あるHTMLページを訪問するようアタッカーによって導かれ、Chromeの起動が発生し、複数のタブが開き、スクリプトが実行される。しかしながら、この攻撃は唯一Chromeブラウザが起動していない場合にのみ動作する。
影響を受けるバージョンは、Chrome 1.0.154.55 及び、それ以前のバージョンである。ユーザは、この問題の修正バージョン 1.0.154.59 にアップデートすることが忠告されている。
AVG、リンクスキャナをリリース
The PC informant : Home (2009/04/23)
リンクスキャナは、クリックするリンクがマルウェアサイトの可能性をチェックするブラウザのアドオンである。私は、リンクスキャナがブラウジングを減速し、如何なる方法でも、リンクを安全にアクセスできるか否かをチェックするだけであることから、リンクスキャナのファンではない。よく知られているリンクスキャナにMcAfeeのSite Advisorがあるが、サイトの評価に全く古いデータを使用していると報告されている。今、AVGはLinkScannerと名付けた無料のブラウザアドオンをリリースした。Neil Rubenkingは、
AppScoutでAVGのリンクスキャナについて以下のように記している。
リンクスキャナはユーザがそのリンクを訪問する前に、そのサイトやGoogle・Yahoo!・MSNでヒットした検索結果をチェックする。とりわけ、脆弱性攻撃や他の悪意あるコードを探すために、各ページのHTMLを解析する。
これに先立つ投稿で、彼はLinkScannerについて記述している。
個人的に、私は殆どのブラウザアドオンを回避している。私はLinkScannerを試していない。しかしながら、毒を有するWebサイトが、かってなく増加していることは、この様な物があなたの防御への望まれる追加となるかもしれない。
F-SecureはAdobe Readerの使用に対し忠告を発した
The H : Security (2009/04/22)
現在の
RSAカンファレンスで、フィンランドのセキュリティメーカーF-Secureの最高研究統括者Mikko Hypponenは、Adobe Readerのセキュリティ問題に起因することに関して、ユーザは代替プログラムに切り替えるべきとコメントした。
今年、管理者、政治家、登録されている上流階級の個人が狙われた攻撃のうち、およそ50%がAdobe PDF製品中の6つのセキュリティ上の脆弱性を攻撃されていた。2008年では、この様な攻撃の人気の的であったのはMicrosoft Wordであった(35%)。Adobe Readerの脆弱性の数(19)は、既に4つMicrosoft Wordの脆弱性数(15)を上回っている。Hypponenは、2008年1月〜4月の感染したPDFファイルの数が128であったのに対して、今年同時期では2300以上に増加していることを指摘している。
この攻撃は、犠牲者のPCに感染しスパイする目的で、犠牲者に予め用意されたドキュメントを犯罪者が送信することを伴う。最近報告されたスパイネットワーク(チベット亡命政府に所属するコンピュータに潜入した)によって使用された方法も、巧みに細工されたPDFファイルを含んでいた。PDFとFlashプラグインもまたリスクが存在する。
Hypponenによれば、ユーザはしばしば、それらアプリケーションのアップデートに失敗する。そして、重要なセキュリティアップデートがリリースされたことに気付いていない。自動アップデートの要求表示は、しばしば無視される。Hypponenの見解では、AdobeはMicrosoftと同様の方法でAdobe製品の定期的アップデートサイクルを確立すべきであるとしている。
Hypponenは特定の代替PDFビューワーに言及していないが、幾つかの無料のPDFリーダーをリストアップしている
PDFReaders.orgのWebサイトを示してはいる。しかしながら、
Foxit Readerはこのリストには存在しない。このリストはオープンソースのPDFリーダーKPDFとXpdfを含んでいる(これらは最近、Adobe Reader中に発見された脆弱性と類似の深刻なセキュリティ上の脆弱性が発見されている)。Foxitもまた、今までに幾つかの深刻なバグを含んでいた。ユーザはどの代替PDFリーダーに切り替えるのか、自分自身で決定しなければならない。あるいは、より賢明な解決方法とされるセキュリティアップデートのインストールを直ちに行うことである。
新たなTwitter XSSワームが徘徊している
Kaspersky : Lab Weblog(2009/04/17)
今日、我々はTwitterの周辺を徘徊しているNet-Worm.JS.Twettirを発見した。Kasperskyは、これをNet-Worm.JS.Twettir.hとして検出する。
このワームは、セキュリティ会社が、このワームのオリジナルの作者を雇用していたと、アナウンスした直後に出現した。このブログの意図している話題から外れることを望んだわけではなく、我々は、これが非常に悪い決定であると非常に強く感じると発言したに過ぎない。
この新たな変種は、プールされた選択肢からtweet(囀る)ためのメッセージを選択する。それらの幾つかはビッグなTwitterの名前を参照し、それ以外は単に原作者”Mikeyy”につい囀っている。
この様なメッセージの一つは、このXSS(【訳注】クロスサイトスクリプティング)脆弱性がIEユーザにのみ影響を与えると断言している。この記事を書いている時点で、我々はFirefoxの最新バージョン(ver3.0.8)には、この攻撃に対する脆弱性が無いという事実を確認している。
このワームに関し興味あることは、このXSSスクリプトがオリジナルワームと全く同じドメインにホストされていることである。このことは、Mikeyyが未だにそこに存在していることを仄めかしているかのようである。セキュリティ業務に従事している者にとっては却って奇妙である。
他方、彼のパスワードが存在する“Mikeyy”のマシンが改竄されたという噂が流れている。最終的に他の誰かになるかもしれないが。
プロファイルとURLをクリックするのが大好きというわけではない全てのTwitterのために、あなた方の最良の選択は、noscript.netを訪問し、利用可能な最新のnoscriptプラグインをインストールした最新のFirefoxを使用することである。これは、この時点でTwitterが直面しているかもしれない新たなXSSワームからの適切な保護を提供する。
IE8へのアップグレードを急ぐ理由は無い
WindowsSeacrets : Top Story(2009/04/02)
Microsoftは、セキュリティ・スピード・互換性の立場から以前のバージョンより大幅に改善されたとしてIE8を執拗に宣伝している。
このことは基本的には真実であるが、既に明かにされているように、IE8の必然的欠陥から、少なくとも一月はアップグレードを控えるべきである。
ブラウザを選択するとき、最初に考慮されるべきはセキュリティである。偽り無く、IEは他の如何なるソフトウェアよりもマルウェアのターゲットにされている。実際に、IEを使用することは、あなたの額に(射的の)金的を描き、戦場を歩いているようなものである。
IE8が、有用なセキュリティ機能を追加してもなお、その根幹にブラウザの脆弱性をもたらすActiveXへの依存を継続している。このセキュリティの欠如が、多くの人々にIEの使用を停止させた根本的理由である。
セキュリティだけでなく、Webデザインの問題も代替ブラウザへの集団移動の要因であった。数年に渡り、IEのページレンダリングは、Web開発者(ユーザも同様に)巨大な頭痛を発生させた。Firefox、Opera、他のサードパーティー製ブラウザで表示されるようデザインされた外観や機能のページは、IEでレンダリングしたとき、ぶっ壊れたレイアウトとして表示された。
IE8は互換性の改善に努力しているが、結局のところ標準に達していない。
パフォーマンスはIEが競争に着いて行けた領域である。確かに、IE7はIE6より高速だった。新しいバージョンの8は、今までのバージョンより速い。しかしながら、早期に行われたテストでは、未だに他のブラウザよりかなり遅い。
互換性の改善はユーザとプログラマを標的にしている
IE7はしばしば、Firefox・Google Chrome・他のサードパーティー製ブラウザが綺麗に表示し取り扱うサイトのレイアウトをグチャグチャにした。WebデザイナはIE8がこの様な多くのレンダリング不備のページを解決すると聞いて励まされるだろう。
全てのブラウザできちんと動作するサイトの構築は明らかにもっと簡単になるだろう。同様に、Webサーフィンしている人々にとっては、IE8でぶっ壊れたレイアウトのサイトに遭遇することは、多分少なくなる。核心には触れないが、
IEBlogで説明されているように、The Web Standards Project(WaSP)(【訳注】WWWブラウジングの標準技術の普及を図る組織)Acid2適合試験にIE8が合格している。
更なる互換性のステップとして、IE8はIE7のレンダリングエンジンに立ち戻る"compatibility view mode(互換ビューモード)"を持っている。ユーザは、ブラウザTopの検索バーの傍にあるボタン(下図で、破れたドキュメントのように見えるボタンアイコン)
を使用して、このモードの切り替えを行うことが出来る。

(IE8の機能ボタン。左から、新しい互換、更新、閉じるボタン)
しかし、隠された問題がある。IE8は互換ボタンを表示するタイミングを決定する。明らかに、このボタンが表示されなければ、ユーザは、このボタンをクリックすることができない。しかし、ユーザはツールメニューの互換ビュー設定オプションに登録することで、互換ビューで表示したいサイトを手動設定することができる。
あなたの組織が特にIE用にデザインされたカスタムイントラネットアプリケーションを使用しているのであれば、IE8をサポートするように、そのようなアプリケーションを調整する必要があるかもしれない。
読者の一人(Jim Johnson)は、新しいブラウザ互換モードを使用しても、彼のイントラネット問題を軽減することは無かったと報告している。Jimは、F12キーを押し、Developer Tools(開発者ツール)を開き、次に、ブラウザモードとしてIE7を選択することによって、強制的にIE8をIE7モードにしなければならなかった。このステップで、彼はサインインを許され、彼の会社のイントラネットアプリケーションを使用することが可能になった。
Microsoftは、Web開発者が、ブラウザの非互換性をページ単位やサイト全体をベースにして操作する方法を提供している。あるページを強制的にIE7スタイルを使用して表示させるには、エンドユーザはView>Source(表示>このページのソースを表示する)をクリックし、ヘッダのmeta http-equiv= setting を以下のように変更する(必ずタグの両端に<>をつける)。
meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" /
サイト全体でレンダリングを制御するには、サイトの所有者は、彼らのサーバが以下のHTTPヘッダを送信するように設定する(【訳注】サーバーのHTTPヘッダに以下を追加する)。
X-UA-Compatible: IE=EmulateIE7
マルウェアと闘うためにアップグレードされたフィッシングフィルタ
IE8における顕著なセキュリティの向上が、SmartScreenフィルタである。この機能はマルウェアディフェンスを追加することで、IE7のフィッシングフィルタをアップグレードした物である。(IE7中のフィッシングフィルタは、ユーザを欺くためのサイトへの偶発的な誘導に対してユーザを防御した。そして、ユーザの個人情報を盗もうとする攻撃も検知した)
IE8の新しいアンチマルウェアコンポーネントはreputation-baseのフィルタリング(【訳注】評価スコアをベースにしてフィルタリングする)システムである。この点において、McAfeeのSiteAdvisorやSymantecのNorton Safe Webに類似である。しかしながら、SiteAdvisorと異なり、SmartScreenはMicrosoftの Malicious Software Removal ToolやWindows Defender他のような定義ファイルベーステクノロジでも動作している。
ユーザはIE8の新規なInPrivateモードを有効にできる。これで、Cookie、ブラウジングの履歴、キャッシュデータや他の個人情報を、IE8が保存することを防止できる。
IE8はまた、クロスサイトスクリプト攻撃とクリックジャック(ユーザに非表示のページ要素をクリックするように欺くハッカーのテクニック)に対して良好な防御機能を提供している。最終的に、Microsoftは、悪意あるコードを起動するために、メモリトリックを使用する悪意ある攻撃を妨げる助けとしてData Execution Prevention(DEP/NX)(【訳注】データ実行防止)メモリ防御をIE8に含ませている。
しかしながら、これらセキュリティ機能は、誰にでもできるというものは一つもない。三月初め、CanSecWestカンファレンスで取り上げられた主な例は、
Computerworldの記事中で説明されている。Nilsとしてだけ知られる研究者は、DEP/NX防御システムの欠陥を利用してWindows7上で稼働しているIE8を改竄した。
IE8は速くなったが、十分ではない
Microsoftはページサーフィンするとき、速度は非常に重要なものではないと、我々に信じさせたいようである(IEの今までのバージョンの惨めなまでのパフォーマンスを考えれば、この表現は無理からぬことだろう)。実際、MicrosoftのIE8のドキュメントは、「現実世界における得やすさとスピードはミリ秒単位でなく分単位で測られる」と述べている。私はブラウザのスピードテストに対するMicrosoftの先制攻撃であると推測している。
ComputerworldのJavaScriptパフォーマンステストは、Google ChromeがIE8よりJavaScriptのレンダリングが4倍高速であることを示している。同じテストで、JavaScriptのページをレンダリングさせたとき、Firefox 3.0.7は、IE8より59%高速であり、Safariは47%、Operaは38%高速であった。
そう、JavaScriptのレンダリングスピードは本当に重要なことだろうか? あなたがそのようなページを50訪問したとして、ロードするのに平均2秒かかったとしたなら、IE8ではFirefoxより60秒余分にかかることになる。一年で考えれば、6時間を浪費したことになる。
当然、あなたが毎日50ページ以上サーフしているのであれば、IE8ではもっと多くの時間を浪費していることになる。ビジネスの世界において、時は金であるが、プライベートな生活では、時間はもっと高価でさえある。ブラウザのスピードは明らかにとっても重要である。
偽り無く、IE8はIE7より随分良くなっている。それであるにも関わらず、未だ、Firefoxや他の代替ブラウザに劣る。あなたがIE8に今アップグレードするか、後でアップグレードするか考えているのなら、私のアドバイスは、IEのどのバージョンを使用していようとも、代わりにFirefoxを使用することを勧める。
あなたがIEを使用しなければならないのであれば、私は少なくともIE8にアップグレードすることを一月待つこと(望ましくは二月)を勧める(しかし、IE6を使用しているのであれば、追加されるパフォーマンス同様セキュリティの目的で、直ちにIE7をインストールしなさい)。
なぜ、私が待つべきと考えるか? 現時点で、世界中のWindowsユーザの僅かな人々だけが、IE8ベータに参加している。いま、このブラウザは公式にリリースされたが、これはより大きな努力を要する問題を発生させるだろう。それが発生したとき、問題は表面に浮上する。例えば、Vista上のIE8で奇妙なページローディングが発生するという幾つかの報告を、我々は受け取っている。そして、奇妙なことに、IE8のインストレーションの中にはWindowsのホットフィックスを適用した後に、IE7に戻されるものがある。
さらに、悪い奴等は新しい攻撃を実行し難い、この新規なブラウザでさえ攻撃することを開始している。IE8に熱狂する前に、この幾つかの攻撃を終らせることだ。IE8にアップグレードする確たる理由が無いのであれば、ただリラックスし待つことである。そして、何が発生するか観察しなさい。
Windows Kernelに再び脆弱性が発見された
McAfee : Avert Labs Blog (2009/04/09)
最近、我々のアジア太平洋地域諜報チームは、フィールド中に0-DayのWindows Kernelの二つの脆弱性を発見した。この脆弱性は潜在的に悪意ある目的に使用されていた。この脆弱性は中国の幾つかのディスカッションフォーラムで発見されていた。
提供されている説明によれば、この問題の一つは、Windows NT/2000/XP中に存在する。この問題は安全でない win32 syscalls(このバッファは usermode から提供される)に起因して発生する。このkernelのアドレスが上書きされたなら、この脆弱性はBSOD(死のブルースクリーン)に至り、DoS(Denial of Service)状態に至る。しかしながら、この問題は管理者権限を要求するので、結果として権限の昇格を導くことは出来ない。しかし、より深く考察すると、これは破壊やkernelモードフックをインストールすることに利用できることを示唆している。そこで、悪意ある目的に利用できる。
最近フィールド中で発見された二つ目の問題(類似の挙動をするkernelのバグ)は、atapi.sysに関連している。
このバグの問題も同様である。これはユーザモードから渡されたデータを検証しない。結果としてバッファオーバーフローをもたらす。大抵の場合、この問題はBSOD(死のブルースクリーン)を発生させる。
ソフトウェアデザインの視点からすれば、ユーザモードから渡されたデータを無闇に信頼してはならず、常に検証されなければならない。大多数の既知のWindowsのローカルな脆弱性はこの理由によって発生している。Microsoftはこの問題を気づいていた。そして、極めて複雑なものであるために、未だwin32 kernel部分と闘っている。多くのkernel脆弱性に従事している者が今、このモジュールに取り組んでいる。そして過去二年で幾多の脆弱性を発見した。Windows7で、我々はkernelセキュリティがより強固に成長していることを希望する。
我々はこのブログにポストする前に、Microsotにこの二つの問題を通知した。この脆弱性は未だパッチされていないので、ここで技術的詳細に関して記述することは行わない。我々は、この問題が解決された後、この記事のフォローアップをポストする。
Confickerの新バージョンが発生
F-Secure Weblog : News from the Lab (2009/04/09)
昨日、Confickerの新バージョンが発見された。我々は、このファイルを調査中であるが、以下に、これまで分かったことを記す。
・ 4月8日に、P2Pネットワーク経由でConficker.Cに感染したマシンに対し、新たなアップデートが可能になった。
・ 新しいファイル(Conficker.Eと呼ばれる)は、今までの感染と平行して実行され、共存する。
・ Conficker.Eは、MS08-067脆弱性経由での拡散を取り入れている。拡散機能はConficker.Cで削除された。このウィルスの背後にいるギャングは、失敗したことを多分認識した。そして、再びそれを追加した。
・ Waledec(スパムボット)への接続を可能にする。Conficker.Cに感染したコンピュータの中には、よく知られているWaledecへ接続し、そこからWaledecをダウンロードするものがある。
・ 我々は最終的にConficker.Cに感染したマシンで見てきたように、インチキのアンチウィルス製品に接続するものもある。このインチキアンチウィルス製品は、SpywareGuard 2009であった。
・ Conficker.Eは、日付が2009年5月3日以降なら、自分自身を削除する。
複雑で奇妙なように見えますか? その通り。不幸にしてConfickerに関して簡単なことは何もない。そこで、我々はConfickerの新バージョンの挙動について分かったことを、このポストでアップデートしていく。我々は昨日以来Conficker.Eを検出している。そして、関連するファイル全てをダウンロードしている。
IrfanViewイメージビューアに深刻な脆弱性
The H : Security (2009/04/07)
人気あるイメージビューアIrfanViewのフォーマットプラグイン(format.dll。【訳注】 IrfanViewでマイナーな形式の画像を開くためのプラグイン)中に深刻な脆弱性が発見された。セキュリティサービスプロバイダ
Secuniaによれば、この問題は、特定の形式でXPMファイルを処理する時のInteger型オーバーフローによって引き起こされる。この脆弱性はユーザのシステムを改竄し、マルウェアに感染させるためにアタッカーによって使用されることが可能である。この攻撃が成功すると、ユーザはヒープベースのバッファオーバーフローを引き起こす特別に細工されたXPMファイルを開くよう欺かれるに違いない。
IrfanViewイメージビューワそれ自身は脆弱性を含んでいない。Defaultで、ユーザは最初に脆弱性あるプラグインをインストールする。この脆弱性は、IrfanView Formatsプラグインのバージョン4.22で発見された。
Formatsプラグインのバージョン4.23にアップデートすることで、この問題を解決できる。
Adobe Readerのアップデートがギクシャクしている
The PC Informant : Home (2009/04/05)
ComputerworldでMichael Horowitzは、AdobeアップデートがAdobe PDF Readerの最新バージョンをインストールしない場合があると発言している。
私は最近新しいWindowsXPマシンを稼働していた。このマシンにはAdobe Acrobat Reader ver. 8.1.1が搭載されていた。このバージョンのAdobe Readerには、深刻なセキュリティホールが存在するので、私は律儀に、いつも通りAdobe Readerのヘルプ>アップデートを確認 からこのソフトウェアをアップデートした。今までに何度もやっている通り全て進んだ。最終的に、インストールされたバージョンは8.1.3であった。
しかしながら、Adobe Reader 8の最新バージョンは8.1.4である。Adobe Reader 8.1.2の起動している別のマシンでも、同じことが発生した。アップデートをチェックしたところ8.1.3であった。
もし、バージョン8.1.3を既にインストールしているのであれば、このアップデート機能はバージョン8.1.4にアップデートする。もし、8.1.2であるのなら、二回アップデートをしなければならないようだ(最初に、8.1.3にアップデートし、二回目に、8.1.4にアップデートする)。Adobeさん、こんな調子ですか? やるべきことがあるでしょ。
信頼あるオンライン マルチ-スキャンサイトの紹介
Sunbelt : Blog (2009/04/04)
【訳注】紹介のみ。様々なオンライン マルチ-スキャンサイトのうち、信頼のおけるサイトの紹介です。疑わしいファイル等は、以下のサイトにアップし、複数のアンチウィルスソフトでスキャンすることで確認できます。
Confickerに関する情報のまとめ
The H(以前の、heiseSecurity) : Security (2009/04/03)
このドキュメント中でConfickerワームに関する、あらゆる重要な情報を見出すことが出来る(検出方法や防衛方法を含む)。なお、ConfickerはKidoとかDownadupとも呼ばれていることに注意。
テストページ
Conficker感染をチェックできる幾つかのテストページがある。以下のリンクのページは、アクセスするとテストが実行され、結果が表示される。
アンチウィルスベンダからのConficker情報ページと削除ツール
幾多のアンチウィルスベンダがConficker専用の検出・削除ツールを提供している。これらのアプリケーションは、アンチウィルスパッケージ全体のインストールを要求しない。専用ツールを利用するための最も簡単な方法は、感染していないコンピュータに、この専用ツールをダウンロードし、USBドライブにコピーする。それから、感染したシステム上で、この専用ツールを実行する。
【注意】以下の会社名をクリックすると情報サイトにジャンプする。また、各ファイルのリンクは全て、ダイレクトリンクである。アクセスすると直ちにファイルのダウンロードが開始される。
ネットワークスキャナ
様々な会社がネットワーク経由でConfickerを検出するスキャナを提供している。これらは、Felix LederとTillmann Wernerのセキュリティ研究によって開発された技術に立脚している。この様な技術は、ターゲットのシステムに到達するために、TCPポート445へのアクセスを要求する。このポートは、全てのファイアーウォールのインターネット側からブロックされているはずなので、通常、ローカルネットワーク上でのみ稼働する。
The HのConfickerに関する情報は省略。
Tips and Tricks
ロックをバイパスする : Confickerは特定のWebサイトへのアクセスをブロックする。スタートメニューをクリックし、ファイル名を指定して実行 から以下のコマンドを実行することで、このロックをバイパスすることができる。
ボン大学のConfickerページ(英文)には、幾つかの興味あるConfickerツールがある。
エンドユーザ用の簡単なConfickerテスト
The H(以前の、heiseSecurity) : Security (2009/04/03)
SecureWorksのJoe Stewartは、システムがConfickerの広範に拡散しているバージョンの一つに感染しているか否かを一瞥して明かにする簡単なテストを開発した。The Hは今、このテストのThe H用のバージョンを提供する。
システムがConfickerに感染させられたのであれば、システム上にインストールされているアンチウィルスは、もはや信頼できない。Confickerは幾つかのセキュリティメカニズムを終了させる。そして、特定のプログラムの起動を妨げる。この新しいテストは、Confickerが様々なセキュリティとアンチウィルスページへのアクセスをブロックするという、この事実に立脚している。このテストには、通常とブロックされるサイトの画像を表示するページを含んでいる。もしもアンチウィルスベンダの画像だけが表示されないのであれば、そのコンピュータがConficker(もしくは、類似の方法で挙動する他のタイプのマルウェア)に感染させられている可能性が高い。
せめて、影響を受けているシステムはConficker削除ツールで処理されるべきである。これを念頭において、ユーザは表示される最初のリンクに盲目的に従ってはならず、代わりに信頼あるベンダの削除ツールを探すべきであるとアドバイスされている(参照、
Freeloaders are taking advantage of Conficker scare)。
ユーザは、このテストに幾つかの制限があることを知っておかねばならない。Confickerはdnsapi.dllにコッソリ忍び込み、ブロックするDNS(ドメインネーム サービス)をクエリすることでアクセスをフィルタする。しかしながら、これはプロキシの関わるシステムに影響を与えない。結果として、このテストは会社のネットワークのような環境には相応しくない(代わりに、Confickerを検出する能力のある
ネットワークスキャナが使用されなければならない)。
別の問題として、Confickerの最初のバージョン(Conficker.A)はDNSクエリをブロックしない。そのため、テストページでConficker.Aの感染を顕にすることは不可能である。しかし、Conficker.Aは後継のBやCほど汎用されていない。
Felix Leder und Tillmann Werner(Confickerを解析しているhoneynetの記述者)もまた、ConfickerがDNSリクエストをブロックするという事実を使用したテストページをアップしている。彼らはConficker B/Cの
感染の診断にCSSスタイルシートを使用している。
却って面食らうのだが、Conficker Working Groupは、Conficker.Aを検出しないということを指摘せずに
Stewartのオリジナルテストを導入していることである。そのため、ユーザは"Not Infected by Conficker.(【訳注】Confickerに感染していません)"という誤解を招く恐れのあるメッセージが表示される。人は、Microsoftと全ての主要アンチウィルスベンダを含む組織が、それらをリリースする前にこのテストをチェックしていると考えているだろう。
***********************【訳注】
The H のConficker感染テストサイト
=== The HのConficker感染テストサイト、以下にアクセス。ただし、英文。
=== テスト手法と結果の見方
1/ 上記ページにアクセスするだけ。それ以外、実行することは何もありません。
2/ ページ上部の”Conficker Test”という見出しの下にある、画像の表示状態をチェックします。
3/ この表示と、”Interpretation”見出しの下にある画像とを比較します。
以下の画像が表示されたのであれば、Conficker.BとCには感染していない。
以下の画像が表示された場合は、Conficker.Bに感染。
以下の画像が表示された場合は、Conficker.Cに感染。
以下の画像が表示されたのであれば、ブラウザの画像表示がOFFになっている。(【訳注】ブラウザの画像表示をONにして、再度アクセス)
上記画像以外の場合は、インターネットアクセスが貧弱、もしくはサーバに問題がある。
MicrosoftのPowerPointに脆弱性
McAfee Avert Labs : Blog (2009/04/03)
我々は二月にMicrosoft Excellの0-day攻撃を見てきたばかりだ。本日、MicrosoftはPower Pointに新たな未パッチの脆弱性があることを通知するセキュリティアドバイザリをリリースした。
McAfee Avert Labsは、フィールド中でPowerPointの脆弱性を攻撃している複数の攻撃を調査・発見した。 McAfee VirusScan製品は、同日リリースされた5573 DATsを使用して、この脅威をExploit-PPT.kとして検出する。
大多数のドキュメントへの攻撃同様に、このようなPowerPointファイルはバックグラウンドで悪意あるトロイの木馬をインストールするが、欺くための方策として犠牲者に無害のPowerPointプレゼンテーションを表示する。以下のリストは、この攻撃でインストールされる様々な悪意あるファイルを示している。
fssm32.exe: 428,032 bytes (Muster.c trojan)
IEUpd.exe : 45,056 bytes (Muster.c trojan)
setup.exe : 13, 1072 bytes (Muster.c trojan)
PeerCM.exe : 80,666 bytes (Generic BackDoor.u trojan)
ws2_42.dll :10,6740 bytes (Generic BackDoor.u trojan)
この様な特別に細工された脆弱性攻撃のいくつかは、PowerPoint Showfiles(拡張子”.pps”)で到着する。この様なファイルはフルスクリーンモードで開かれるのが常である。そして、犠牲者にトロイの木馬のインストールを覆い隠すための手がかりを与えることのできる、システムモニタリングツールのようなデスクトップ上で稼働しているアプリケーションを隠す。
DATファイル(ウィルス定義ファイル)のアップデートを維持しなさい。そして、ベンダー(【訳注】この場合、Microsoft)からのパッチが利用できるようになるまで、信頼できないソースからの、いかなるPowerPointファイルも開くことを自制しなさい。
可能なら、あなたが入手した物が装われている物であるかどうか確認するために、送信者を確かめなさい。
インチキなギャングに使用されているConficker広告
F-Secure Weblog : News from the Lab (2009/03/30)
何たる皮肉
最近、Confickerワームに関する膨大なニュース(特に、4月1日に何かが起こるかもしれない)があることは皆認識していることである。我々はインチキソフトウェアの連中が、このことを利用していることを発見した。例えば、本日登録されたドメインremove-conficker.orgを見てみる。
彼らは、MalwareRemovalBotと名付けられたソフトをアドバイスしている。このソフトはインチキ。おもしろいことに、このソフトはあなたのPCに感染したとされる、存在しないマルウェアをいつも発見するわけではない。しかし、確実なことが一つある。このソフトはConficker.Cを削除することはない。我々はこのツールを確かめたが、Conficker.Cを削除しなかった。
このソフトがマルウェアであると主張するものを発見すると、以下のような表示になる。
次に、このソフトは削除機能を提供してほしければ$39.95支払うよう求めてくる。
我々は"remove conficker.c"をキーワードに、Google検索で、これをフォローアップした。そして、同種の「セキュリティ」ソフトウェアに誘導する有料広告を発見した。
この広告は、AdwareAlertやAntiSpy2009のような、金儲けプログラムに導くことは明らかである。
信頼ある既知のサイトから事実を入手しなさい。そして責任ある会社から削除ツールをダウンロードしなさい。
我々のツールはここで見出すことができる。
Antivirus2009: 犠牲者のドキュメントを質に身代金を要求する
WashingtonPost : Security Fix (2009/03/21)
セキュリティの専門家は、幾つかの新規な"scareware(スケアウェア)"製品(顧客を脅してインチキのセキュリティ製品を購入させようとするソフトウェア。また、犠牲者が$50の身代金の要求に応じて支払うまで犠牲者のデジタルドキュメントを暗号化するソフトウェア)に対して警告を発している。
スケアウェアAntivirus2009の新規なバージョンは、マイドキュメントフォルダ中のファイルが損壊しているとするインチキなWindows警報をユーザに発する。このプログラムは建前上は損壊したファイルを修復するために、"FileFixerPro"をダウンロードするようユーザに指示する。
実際に、Antivirus2009のこのバージョンはマイドキュメントフォルダ中のドキュメントを暗号化したり、スクランブルをかけたりする。FileFixerProのライセンスを購入するため$50支払ったユーザだけが、彼らのマイドキュメントフォルダ中のファイルへのアクセス権限を再取得するための復号化キーを入手できる。
幾つかのセキュリティフォーラムは、スケアウェア進化のこの不快な進展の増加を年代順に記録している。
"devshed" Web developmentフォーラムで既に閉じられているこのスレッドは、この脅威によってドキュメントをスクランブルされた何人かの人々の助けを求める叫びを含んでいる。
朗報と落胆を誘うニュースがある。朗報は大変活発なコンピュータ支援フォーラムBleepingComputer.comの人々によって、
FileFixerProの削除方法に関する詳細な説明がポストされたことである。落胆を誘うニュースは、このFileFixerProの削除方法に関する詳細な指示が、犠牲者のドキュメントを取り返す助けにはならないだろうということである。
しかし、更なる朗報がある。
FireEyeの人々が、FileFixerProによってスクランブルされたドキュメントを復号化する方法を説明している。そして、犠牲者が彼らのドキュメントをアップロードし、スクランブルを解除することのできる
無料のWebベースサービスをセットアップしている(【訳注】現時点では、1回あたり1ファイルのみしか復号できない)。FireEyeの上級セキュリティ研究者Alex Lansteinは、マイドキュメントフォルダの完全復号化を支援するためのツールを、彼らのチームが早急にリリースしダウンロードできるようになることを希望すると発言している。
"ransomware(身代金ウェア)"と呼ばれるソフトを同梱したスケアウェアについて、今迄聞いたことが無かった。しかし、ある程度、これらスケアウェアプログラムの提供者が、今迄数年間ホストシステムを人質に取っており、ユーザのシステム上で実在しない脅威についてのいい加減なメッセージ(ユーザが折れ、スケアウェアプログラムのライセンスの支払いに同意した場合のみ表示が停止される)で絶え間なくユーザを爆撃していたことは知っていた。
これはスケアウェアで我々が脅威を感じる新機能である。これは今日オンラインに存在する脅威で最も高速に成長しているファミリーの一つである。
Anti-Phishing Working Group(サイバー犯罪に取り組むことを目的とした企業共同体)によって
本日リリースされた報告によれば、インチキ セキュリティ プログラムは、昨年7月には2850であったものが、昨年12月には9287と225パーセント増加している。
更に悪いニュースがある。この詐欺の背後に存在する悪意ある奴等は、より強力な暗号化を取り入れ始めている。「彼らがopensslツールキットに基づくような強力な暗号化方法を使用したなら、金銭の支払いなしにファイルを復号化することはできないだろう」と、Lansteinは発言している。
諸情報のまとめ(2009/03/20)
IE8リリース
IE8は、次期OSであるWindows7に同梱される予定でしたが、今迄のバージョン用のIE8がリリースされました。
Internet Explorer 8: Home pageにアクセスし、”Download now”ボタンの下にある”Other locales and versions”をクリック。開いたページで、言語とOSのバージョンを選択します。他の情報に関しては、こちら参照(http://www.itmedia.co.jp/news/articles/0903/20/news006.html)。
Adobe Reader 9.1リリース
Adobe Reader ver.9.1 がリリースされています。
こちらにアクセスしてください(http://get.adobe.com/reader/)
一太郎に脆弱性
日本語ワードプロセッサ一太郎の情報を、McAfee Avert Labs Blogから入手。この不思議はさておき、該当される方は
こちらにアクセスし、アップデートしてください。
Conficker/Downadup専用駆除ツール
heseSecurity : Security (2009/03/13)
多くのアンチウィルスメーカー(Symantec, F-Secure, BitDefenderを含む)は今、Conficker/Downadupワーム専用削除ツールを提供している。このプログラムは、いかなるアンチウィルスソフトのインストールも要求しない。このプログラムは小さいので、感染したシステムのUSBドライブから起動することもできる。McAfeeは専用ツールは提供していないが、McAfee Avert Stingerスタンドアロン ユーティリティがConficker/Downadupワームを検出する(Conficker/Downadupの全てのバージョンを検出するわけではない)。
残念ながら、アンチウィルスメーカー全てが、彼らのプログラムがConficker/Downadupワームのどのバージョンを削除するのか確認し詳らかにしているわけではないし、Conficker/Downadupワームを完全に駆除するということを保証もしていない。一般的に、ユーザが彼らのバックアップからリストアすることができなかったり、あるいは、完全なシステムリストアができない場合、この様なツールは、Conficker/Downadupワームを削除し、このワームによって開かれていた可能性のあるいかなるバックドアも閉じる支援をするはずである。原理上、このワームに感染されたマシンは改竄されており、ユーザには、この感染が削除されるという完全な確証はない。
それぞれの専用ツールに関しては、以下を参照。
W32.Downadup Removal Tool, from Symantec
Worm:W32/Downadup.AL Removal Tool, from F-Secure
Downadup Removal Tool, from BitDefender
VistaからXPにダウングレードするための7ステップ
Windows Secrets : News Letter (2009/03/12)
数ヶ月後にWindows 7がリリースされるようだが、多くの人々は待ち望んでいない。多くの人々が望んでいることは、Vistaの新機能(珍妙な機能と呼ぶ人もいるが)をXPのように親しみやすくすることである。
あなたが、古き良き時代のXPを懐かしく思い、インストールCDを持っているのであれば、このステップバイステップのガイドは、VistaをXPに変更するために役に立つ。
今日、XPがインストールされた新しいコンピュータを見つけるには骨が折れる。XPをVistaにアップグレードした多くのPCユーザは、Vistaのパフォーマンスと他の問題で失望させられている。いずれにせよ、XPのインストレーションCDを持っているのであれば、Vistaにお別れのキスをすることができる。
VistaからXPのダウングレードは、あなたが思っているほど困難な操作ではないが、幾許かの時間のかかる操作を伴う。多くのオンライン情報源は、ハードディスクを再フォーマットする事無に、XPを再インストールするテクニックを提供すると主張している。しかしながら、私の調査では、Vistaパーティションを削除し、そのパーティションにXPをインストールすることは、ほぼ間違いなく、最も簡単なアプローチである。その上、この方法はVista削除の残存物によるコンタミが存在しないクリーンインストールを保証する。
(NOTE、XPからVistaへのアップグレードを、XPのインストレーションCDが無い場合でも、アンドゥできる場合さえある。このアドバイスはMicrosoftの記事
933168に示されている。この記事はXPの復元に
コマンドライン操作を行っている。そして、ユーザのルートドライブにwindows.oldフォルダが存在することも要求している)
XPのインストレーションCDとアプリケーションCDがあれば、準備は整っている。
Step1
データをバックアップする。残念ながら、Vistaのバックアップと復元センターを使用して作成したバックアップはXPにリストアできない。これは、あなたのデータファイルを手動でバックアップするか、XPとVistaの両方で動作するサードパーティー製バックアップツールを使用しなければならないことを意味している。そのようなプログラムの一つとして、2BrightSparksの SyncBack(【訳注】Altech等からダウンロード可能)がある。SyncBackには無料版と有料版がある。
アプリケーションのバックアップを面倒臭がるな! XPに戻した後、バックアップしたインストレーションCDからバックアップを再インストール必要があるのだから。
Portable Apps(【訳注】USBメモリなどを利用して、アプリケーション環境を持ち歩くためのソリューション。アプリケーション起動に関わる実行ファイルの本体、データをすべてメディアに詰め込むことができる)のデータを保存用フォルダにバックアップする。このPortable Appsその物は再インストールする必要はないが、データファイルはこのバックアップからリストアされなければならない。Portable Appsの取扱いに関しては、
"Free software on USB enables portable computing.(2007/10/18)"で論議している。
Step2
必要なら、コンピュータをCDからブートできるようにBIOSを設定する。CDブートできるのであれば、XPインストレーションをディスクを挿入し、再起動する。
Step3
XPセットアップがロードしたら、使用許諾を受け入れるため、スクリーン上の表示に従い、XPインストールを継続する。XPをインストールするためのパーティションに関するプロンプトが表示されたら、Vistaが存在するパーティションを選択し、このパーティションを削除するために[D]キーを押し、続いて[Enter]キーを押す。次に、Vistaパーティション上の全てのデータとソフトウェアの削除に関する確認画面で[L]キーを押す。
Step4
パーティション画面に戻ったら、Vistaに使用されていたが、今はパーティションされていない場所を選択する。このスペースは自動的に選択されているかもしれない。次に、パーティションを作成するために[C]キーを押す。パーティションサイズを設定する。あるいは、デフォルトの割り当て(可能な限り最大のパーティションになっている)を受け入れるために[Enter]キーを押す。([C]キーの代わりに単純に[Enter]キーを押すと、デフォルトのサイズで新しいバーティションが作成される)
Step5
まだ、パーティション画面が表示されているようなら、設定したいパーティションが選択されていることを確認した後、[Enter]キーを押す。ディスクフォーマットのオプションでNTFSを選択し、もう一度、[Enter]キーを押す。
Step6
画面に表示されるプロンプトにしたがいXPのインストレーションを継続する。
Step7
アプリケーションをインストールし、バックアップからデータを復元する。
これで終了。心変わりしたなら、VistaのDVDを挿入し、XPからVistaにいつでもアップグレードできる。
セーフモードに悪意のトリック
McAfee Avert Labs : Blog (2009/03/12)
Windowsはシステム中の様々な悪意ある機能によって発生する様々なダメージを修復するために「セーフモード」という有用なオプションを持っている。セーフモードでブートすると、システムの基本的な操作に必要なドライバとサービスだけが限定的にロードし、環境を複雑化する多くの必要以上な機能の追加を回避する。一般的に、セーフモードはマルウェアの感染からシステムを修復するために非常に有用である。しかしながら、マルウェアはセーフモード中にロードすることで、この機能の脆弱性を攻撃することができる。この様な作成物はユーザや管理者がこの様な感染を修復することを非常に困難にする。
セーフモードでロードされるサービスとドライバは、以下のレジストリキーの下にリストされている。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
マルウェアがシステムの制御を獲得したら、セーフモードブートの間にロードするために、マルウェアのエントリを上述のキー中に追加する。この種のマルウェアは手動削除することは困難である。ユーザは、そのようなマルウェアを検出し駆除するアンチウィルス製品を必要とする。常に「安全なインターネットサーフィン」を実行したいのであれば、あなたのコンピュータをクリーンに維持することと、あなたが利用しているアンチウィルスの定義ファイルのアップデートを維持することが最初のステップである。
AdobeとFoxitがセキュリティ アップデート
Washingtonpost : Security Fix (2009/03/10)
アドビシステムズは、ハッカーが一月から脆弱性を攻撃している危険なセキュリティホールを塞ぐアップデートを本日リリースした。このアップデート(
こちらから利用可能)は、WindowsとMacシステム上のAdobe ReaderとAcrobat用である。
Adobeは、Adobe Reader 7と8、そして Acrobat 7と8のアップデートを3月18日までに行うと発表していた。
PDFドキュメントを読むために人気あるAdobe代替を使用したいのであれば、Foxit Readerがある。Foxit Readerに関してもアップデートが必要である。月曜日、FoxitはFoxit Reader中に存在した三つの深刻な脆弱性を修正するアップデートをリリースした。これはFoxit Reader ver 3.0である。
こちらのリンクから利用可能である。
************* Foxit Reader について
Foxit Readerは大変軽快なPDFリーダとして人気があり、WashingtonPost上で"Security Fix"をBlogするBrian Krebsは推奨しています。ただ、最近のPC Informant他の情報によれば、「Foxit ReaderはAsk.com Toolbarのインストールを要求してくる。もはや完全なフリーではない」とし、Adobe Readerの代替に、Sumatra(http://blog.kowalczyk.info/software/sumatrapdf/index.html)を挙げています。
Firefox:脆弱性の数は最も多いが、素早くパッチされている
heiseSecurity : Security (2009/03/06)
デンマークのセキュリティ企業
Secuniaの2008年レポート(PDF)によると、Mozillaは昨年、Firefoxの115の脆弱性をパッチした。主たるブラウザの2008年の脆弱性発生数は、Internet Explorer=31、Safari=32、Opera=30であった。しかしながら、脆弱性が認識された後、Firefoxの開発者は明らかにMicrosoftがIEにパッチを充てるより高速に、その脆弱性を処理している。
Secuniaのレポートは次に、発行時点でパッチされていない幾許かの未処理の脆弱性に言及している。このレポートは、この様な脆弱性がIEで6個、Firefoxで3個存在していたと述べている。IE5と6で根源を一にするフローとクロスドメイン セキュリティ ポリシーに関連する深刻な脆弱性を例にとると、Microsoftはこのフローを110日間パッチせずに放置した。
Microsoftの"security evangelist(【訳注】直訳すれば、セキュリティ福音伝道師)"Jeff Johnsは、Firefoxユーザは285日間セキュリティ脆弱性を放置されたまま運用しなければならなかったと、この一月の研究で主張している。Criticsは彼のカウント方法が正しくないと反論している。
2008年のSecuniaのレポートは、Secunia自身の集計ツールPersonal Software Inspector (PSI)によって表示された結果を示している。最も汎用されている10個のプログラムのうち、少なくとも1/4に、パッチが適用されていない脆弱性が存在した。Sun Java JRE 1.5.x/5.xに関する集計は、インストールされている96%が最新のプログラムでなかった。また、Adobe Flash Player 9.xの48%が危険とされるバージョンであった。Adobe Reader 8.xでは、1/4のユーザが脆弱性あるバージョンを使用していた。
Secuniaが伝える良いニュースの一つは、2007年20個発生した0-Day攻撃が2008年には12個に減少したことである。この0-Day攻撃の9つはMicrosoftに関係する物であり、残りの3つはIE中のサードパーティ製ActiveXコントロールに影響を及ぼす物であった。
高速拡散中のフィッシングスカム、Googleユーザを攻撃
The NewYork Times : Technology Bits Blog (2009/02/24)
まず、GoogleのE-Mailサービスは数時間落ちた。数百万のユーザがロックアウトされた(【訳注】昨日、訳者のG-Mailアカウントでも発生した。iGoogleは「一時的に・・・・」のようなメッセージを発生していた)。今、Googleのチャットサービスは高速に拡散しているフィッシングスカムのルートであることは明らかである。
Googleチャットに付随するチャットサービスに登録している殆どのGmailユーザは、友人からであると思われるメッセージを得ていた。これらのメールは、ViddyHoと呼ばれるサイトに連れていくtinyurl.comで始まるWebアドレスをクリックするよう促した。このサイトは、個人のGmailログイン情報を
要求する。次に、このアカウントをハイジャックし、そのユーザがコンタクトしている全てのアカウントにチャットメッセージを送信し、それ自身を更に拡散する。
オンラインサービスTwitterには絶え間ない不満が殺到した。そして、この攻撃について警告した。「私からViddyhoへの招待を受け取った方々へ、どうか無視してください。」Zaffiという名のTwitterユーザは、「私はペテンにかけられていると思う」と警告している。
Avivah Litan(リサーチ企業Gartnerのセキュリティアナリスト)は、Webサーファーにビデオ上をクリックするよう誘うフィッシング攻撃は、この半年継続的に増加している。消費者は、銀行やクレジット会社からの重要なメッセージのような偽装E-Mailメッセージに対し「賢く」なった、とMs.Latinは発言している。彼女は今、フィッシャーは話題になっている、新しいイベント(この場合、ビデオはコメディーThe Lonely Island座と歌手T-Painを主役としている)を再生するビデオの招待状を送信している。このビデオを再生している間、このサイトは犠牲者のコンピュータを感染するためにバックグラウンドでマルウェアをダウンロードしている。
「この様な犯罪者は、人々の注意を惹く方法を熟知している。この方法は詐欺師によって支持されている手法である。そして非常に良く動作する。彼らは儲かり過ぎて笑いが止まらない。」と彼女は発言している。
ViddyHoの犠牲者になったユーザのために、Ms.Lattinは、パスワードと稼働しているウィルススキャンの変更を推奨しているが、それだけでは十分でないとも警告している。「実際に高度に精巧な場合には、40のアンチウィルスプログラムを稼働させたとしても、いかなるマルウェアも検出できない。そこで、バックアップをする必要がある、次に全てを削除し、もう一度やり直す。これがもっとも安全な方法である。」
Conficker(Downadup)ワーム、よりフレキシブルに
heiseSecurity : Security (2009/02/23)
Windows攻撃用のConfickerワームの作者は、継続的にこのマルウェアをアップデートしているようだ。SRI Internationalの研究者の解析によると、最新のConfickerの変種BとB++は、コンポーネントと新しいバージョンのダウンロードしようとする今までのバージョンより、更にフレキシブルになっていることを発見した。
このワームの最初のバージョンは、どのドメインにコンタクトするか容易に予想できる方法を使用していた。そこで、MicrosoftとICANNは、この様なドメインの制御を取得しようと、あるいは、そのようなドメインをシャットダウンしようと試みた。次のバージョンのBは、コンタクトしようとするドメインの確立に別の方法を使用した。バージョンBはまた、このワームがウクライナ語用キーボードレイアウトを検出した場合、バージョンAで可能にされていた「自殺スイッチ」を持っていなかった。
このマルウェアの最新の変種(Conficker B++)は、DLLだけでなく完全な任意のプログラムもダウンロードできる。これはボットネットオペレータの活動範囲をより拡張する。このダウンロード機能の拡張として、このバージョンは、追加のコンポーネントや新しいバージョンを、積極的に遠隔的に注入するために使用されるバックドアも含んでいる。
この研究者は現在、Confickerが活動している1000万のIPアドレスを計測している。これの600万以上がConficker Bに感染している。しかしながら、この数値は感染したシステムの実際の数を反映していない。SRI Internationalによれば、この数値はおそらく一桁小さく、多分数百万単位で違っている。他の興味ある計測は国別の数値である。中国が270万IPでトップ。イギリスの感染アドレス、98,719。ドイツは195,923でアメリカよりちょっと多い。
Adobe ReaderとAcrobatに0ーDayの攻撃
Washingtonpost : Security Fix (2009/02/20)
ハッカーは、ユーザがbooby-trapされたPDFファイルを開いたとき、悪意あるソフトウェアをインストールするため、Adobe ReaderとAcrobatの現在のバージョンに存在する未パッチのセキュリティホールを攻撃中であると、セキュリティの専門家は警告している。
Adobeはユーザが毒を含んだPDFファイルを開いたら、攻撃者がシステムの制御を完全に奪取することを可能にする脆弱性を含んでいる
ReaderとAcrobatのバージョン9とそれ以前のバージョンに関する警告を木曜日にリリースした。Adobeは、3月11日までこのセキュリティホールを塞ぐアップデートをリリースすることは計画されていない、と発言している。
Meanwhile(ボランティアが率いるセキュリティグループShadowserver.orgのメンバ)は、この脆弱性が
攻撃目標として使用されている兆候を確認した、と発言している。Shadowserverは、この脆弱性を突く攻撃は、ハックする種を蒔いたり、マルウェアをインストールしようとするコードの付属する悪意あるWebサイトを専門にするサイバー犯罪者に売られる攻撃キット中におそらく同梱されるていると、警告している。
「この種の攻撃は、しばしば多大なダメージを与える。そして、インターネット上のあらゆる攻撃パックに詰め込まれるのは時間の問題である」とShadowserverのボランティアSteven Adairはグループブログ中で記している。
Adobeのアドバイザリには、ユーザがこのフローの脅威を軽減する指示が欠乏している。しかし、Shadowserverの説明では、Adobe ReaderとAcrobatのユーザは、このアプリケーション中のJavaScriptを無効化することによって、この様な攻撃に曝されることを明らかに減少できる、と発言している。JavaScriptを無効化するには、編集>環境設定>JavaScript で、「Acrobat JavaScriptを使用」設定のチェックボックスのチェックを外す。
過去、PDFファイルビューワの代替として、私は高速で軽量なFoxit Readerのフリーバージョンを推薦した。しかしながら、Foxit Readerが同様の脆弱性があるかどうか未だ確認できていない。Foxitから返答があり次第、この記事をアップデートする。
************************************ アップデート(結論のみ)
Foxitからのメールによると、Foxitにこの脆弱性は存在しない。今後も注意して監視する。
IE7への新たな攻撃
Channel & Register : Software & Security (2009/02/17)
サイバー犯罪者は、先週MicrosoftがパッチしたIE7の深刻なセキュリティホールを攻撃することを開始した。Microsoftもこの脆弱性を攻撃することは容易であると警告している。
研究者によれば、この脆弱性を攻撃するコードは、パッチされていないマシン上に情報を盗むマルウェアをインストールする罠を仕掛けられた(ブービートラップ)Wordドキュメントを介して拡散している。この脆弱性は
先週MicrosoftがパッチしたIE7の二つのフローのうちの一つである。Microsoftはこの時点でリモート実行フローのための「一貫した脆弱性を攻撃するコード」が存在しそうであると警告していた。
この攻撃は現時点で、Wordドキュメントのスパミングを含んでいるため、おそろしく原始的である。セキュリティの専門家はそれが変更されると考えている。
「攻撃者がdrive-by攻撃で脆弱性を突くことから完全に防御する術はない(不幸にして、我々はこの攻撃が直ちに発生するであろうことを予測できる)」とBojan Zdrnja(Sans Internet Storm Centerのハンドラー)は、
ここに記している。この脆弱性コードはMicrosoftのパッチをリバースエンジニアリングの結果であったと続けている。
しかしながら、この脆弱性コードは新規な側面も持っている。例えば、くすねられたデータは暗号化されたチャンネルを通じて中国のWebサイトに集められる。また、多分追跡を回避するために、極度に難読化されたシェルコードとガベージコレクションを使用している。
MS09-002の脆弱性を突く攻撃は、削除されたオブジェクトにアクセスすることを企てたとき、不適切なエラーハンドリングの結果発生するリモート実行フローである。アンチウィルスプロバイダTrend Microはこの攻撃について
より詳細に記している。
あなたのPCはボットネット ゾンビになっているか?
Windows Secrets : Home (2009/02/15)
大多数のアンチウィルスアプリケーションは、この種のマルウェアを停止する準備はできていないが、あなたのPCがゾンビ化されるリスクを減少することはできる。
昨年11月、Hurricane Electricというインターネット接続業者は、McColo会社をホスティングすることを中止した。幾つかの見積りによれば、即座に世界中のスパムの量は一挙に65%減少した。
WashingtonPost.comのBrian Krebsの記事における説明として、Hurricane(McColoがインターネット接続を依頼した二社のうちの一つ)は、WashingtonPostにインターネット悪人のあらゆる種類をホスティングしているMcColoのプロバイダとしての役割を説明された後、このアクションを取った。
Krebsによれば、McColoのクライアントは「何百万もの改竄されたコンピュータの遠隔管理から、偽の医薬・デザイナーグッズ・インチキのセキュリティ製品・電子メール経由の児童ポルノの販売まで、全てに関係する国際的会社とシンジケート」を含んでいた。
InfoWorld.comの11月26日の記事によれば、スパムの減少状態は逆戻りするまで数週間継続した。
McColのサーバーは自身ではスパムを送信していなかった。代わりに、コマンドを供給し、マルウェアで感染させたPCの巨大なネットワークを制御した。自動的にスパムを送信するようにされたハックされたPCのコレクションは、robotネットワーク(あるいは、botnet)として知られている。セキュリティの専門家は、これら(Asprox, Rustock, Cutwail, Srizbilを含む)を実行するマルウェアをbotnet(ボットネット)と名付けた。
このマルウェアの作者は彼らのbotnetをスパマーに貸した。WashingtonPostの記事によれば、スパマー達は多量のダイレクトメールの送信を調整するため、制御されたサーバーを順番に使用した。
あなたのコンピュータはスパムゾンビになっている可能性があり、あなたはそのことを全く分からないかもしれない。あなたが使用しているセキュリティソフトが、あなたのPCをbotnetの奴隷になることから妨げ続けてくれていると考えているのなら、考え直した方が良い。
セキュリティ企業FireEyeの最近の研究は、アンチウィルスがボットを検出する割合は半分以下であることを明かにした。この研究は無料のマルウェアスキャンサービスVirus Totalが使用しているアンチウィルスプログラム(Virus Totalが使用しているアンチウィルスプロダクトのリストは、
そのサイトを参照)をテストしている。
4-ステップ、スパムボットから身を守るプログラム
ボットネットの犠牲者になることを妨げるために実行できることが何かある。けれども、完全な解決策というものは存在しない。以下に記すアクションは、あなたのシステムが改竄されることを妨げるために役に立つ。
ステップ-1、使用しているセキュリティ製品のアップデートを堅持する。 FireEyeの研究は、アンチウィルスがボットを防ぐことは極僅かであるとするが、この研究の著者(FireEyeの主任研究員Stuart Staniford)は、「アンチウィルスは改善され続けている。数カ月間放置し、使用し続けていれば、セキュリティソフトの70〜80%は、おそらくボットを検出する」とも発言している。
利用しているアンチウィルスの最新のパッチとウィルス定義ファイルを定期的にアップデートしなさい。たとえ最新のbotを捕獲しなくても、インターネット上を徘徊している古いマルウェアは捕獲するので、リスクは減少する。
ステップ-2、ファイアーウォールを使用しなさい。 あなたのインターネット接続を注意深く監視することで、botnetマルウェアによる感染のリスクは減少する。デフォルトで、ファイアーウォールはWindows XPとVistaに備え付けられているが、インバウンドしか監視しない。このファイアーウォールはアウトバウンドトラフィックを監視するように設定することもできるが、そうするには大多数のユーザにとって技術的且つ問題がありすぎる。XPとVista中のファイアーウォールの相違点は、
Microsoft TechNet中の記事として提供されている。
多くのフリーのサードパーティー製ファイアーウォールは双方向共にブロックする。サードパーティー製ファイアーウォールは時々、MicrosoftのパッチTuesday(毎月第二火曜日)の修正の後、アップデートを要求する。しかし、このようなファイアーウォールの追加された機能は、この不便さを共存する価値のあるものにする。WSの上級編集者 Ian "Gizmo" Richards は、
2008年7月31日の彼のコラムに、ファイアーウォールのベスト プロダクトを記述している。
ステップ-3、フリーの診断ツールを取得しなさい。 幾つかのセキュリティ製品は、特に挿入されたbottnetと戦うことを意図している。例えば、RUBottedはTrendMicroが提供するフリーのユーティリティで、システムトレイの決められた場所に位置し、特定の行動を監視している(
詳細はこちら)。このプログラムが感染を発見したら、行動を取るようあなたに注意を促す。このプログラムは現在ベータであるが、私の場合は良好に動作した。
セキュリティブロガーFeinbergによれば、RUBottedはTrendMicroのフリーの
HouseCallオンライン ウィルススキャン サービスでシステムをスキャンするよう促す。このスキャンは、多くのマルウェア感染を検出する。[注意]私のシステム上では、RUBottedはRAMの8MBを消費した。
留意:Feinbergのブログは、ある程度RUBottedのメーカー(Trend Micro)によって後援されている。しかし、私はRUBottedを使うことの論議に、これを考慮していない。
ステップ-4、Norton AntiBotを試しなさい。 もう一つのbotを特定するセキュリティ製品は、シマンテックの Norton AntiBotである(
詳細はこちら)。この30$のプログラムはbotが、システムを損傷する前に、botを監視し、検出し、削除する。Norton AntiBotは、botを特定する定義ファイルよりむしろ挙動解析を使用する。このソフトは2007年度PC MagazineのEditor's Choice賞を受賞している。
Marshalのようなセキュリティサイトはスパムボットの挙動報告を継続している。糞野郎はジャンクメール、マルウェア、他の醜悪なデータを数百万の犠牲者に対し配布し続けている。上述のbot防御ツールとテクニックを使用することによって、あなたのマシンがスパマーを支援する機会を減少させる。
LastPass:Roboform同等以上の無料のパスワードマネージャ
Gizmo's Tech Support Alert : Hot find (2009/01/18)
【訳注】見つけるのが遅れて・・・。(和訳:2月15日)。
このようなことが起こるとは思いもしなかった。Roboform同等、多分それを上回る無料のパスワードマネージャが出現するなんて・・・。
利用者のPC上で稼働するユーティリティであるRoboformと異なり、LastPassは利用者のPC上で稼働するプログラムと協力して動作するWebサービスを使用する。
巧みなアプローチである:
Webサービスは、利用者のパスワードがいろいろなコンピュータ(Mac、Linuxを問わず)からアクセス可能であることを意味している。
利用者のコンピュータ上で稼働しているスタンドアローン プログラムは、利用者がオフラインの状態にあるときでさえ、パスワードにアクセスし使用できる。
しかし、私がLastPassで一番好むのは、Roboform同様に、Webサイトへの訪問と同時にログインフォームに自動的に書き込んでくれることである。これは単に利用者のログイン情報を記憶し、認証のコピーアンドペーストを要求する他のパスワードマネージャと、大きく異なるところである。
LastPassはユーザ名とパスワード以外のことも、すなわちRoboformのPasscards類似の挙動でWebフォーム情報も記憶する。また、しっかりと利用者のメモも記憶する。
セキュリティと利用者の情報は、強力な256ビット長AES暗号化によって保護される。さらに利用者の暗号鍵とマスターパスワードは、LastPassの社員ですら利用者のデータを読むことができないので、利用者のコンピュータから決して漏洩することはない。
プラグインはInternet ExplorerとFirefoxで利用可能なので、Windowsシステムだけでなく、MacやLinuxシステム上で稼働するFirefoxでも利用できる。
他の機能:
・ ポータブルバージョンが利用可能である。
・ Roboformを始め、多くのパスワードマネージャから情報をインポート可能。
・ IEとFirefoxのパスワードをインポート可能。
・ 有用な「お気に入り」リストが付属している。
・ Partial iPhone integration
・ SafariとChrome もサポートが計画されている(Operaは対象外)。
全てのことは以下にある。最高の無料パスワードマネージャとして私がTopに挙げる物に直行しなさい。
https://lastpass.com/
Windowsの自動再起動の設定を変更するには
The PC Informant : Blog (2009/02/13)
殆どのWindows PCでは、システムクラッシュした場合のデフォルトの設定は自動再起動になっている。あなたがBlue Screen of Death(死のブルースクリーン)のエラーメッセージを解読しようとした場合等では、この設定は便利ではない。しばしば、自動再起動はクラッシュと再起動の無限ループに陥るかもしれない。デフォルトの設定を変更したいのであれば:
Windows XPでの手順。
1/ マイコンピュータを右クリックし、プロパティを開く。
2/ 詳細設定タブをクリックする。
3/ 起動と回復の設定ボタンをクリックする。
4/ 起動と回復ダイアログで自動起動のチェックを外す。
5/ OKボタンをクリック、もう一度OKボタンをクリックする
Windows Vistaでの手順。
1/ コンピュータを右クリックし、プロパティを開く。
2/ タスクの左ペインでシステムの詳細設定をクリックする。
3/ [ユーザー アカウント制御] が表示され、操作を続行するかどうかを確認するメッセージが表示された場合は、[続行] ボタンをクリックする。
4/ 起動と回復の設定ボタンをクリックする。
5/ 起動と回復ダイアログで自動的に再起動するのチェックを外す。
6/ OKボタンをクリック、もう一度OKボタンをクリックする。
【訳注】Vistaの場合、
こちらを参照(ヒューレットパッカードの画像付き日本語情報)。
セキュリティハッカー今度はF-Secureを攻撃
Chanel Register : Software & Security (2009/02/13)
F-Secureは、つい最近Kaspersky LabとBitdefenderの再販売業者がポルトガルで稼働しているWebサイトを攻撃したルーマニア人グループによる攻撃があったことを木曜日に認めた。
三つの攻撃すべて、攻撃者はSQLインジェクション技術を使用していた。F-Secureは彼らのシステムに対する攻撃のインパクトは小さく、そしてマルウェアの統計を照合するために通常使用されているサーバーのみが影響を受けたと発言している。
ブログにポストされた記事において、F-Secure(フィンランドのセキュリティメーカー)は、攻撃のインパクトは「小」であったが、将来の攻撃(多分、さらに強力な)に対して防御されなければならないので改善されるだろうと発言している。
マルウェアの統計の集約に使用している我々のサーバーの一つが、適切に入力を消毒しないページを持っており、それ故、攻撃に対して脆弱性が存在していた。幸いにして、我々は深層防御の戦略を利用していたので、攻撃のダメージは部分的に止まった。
攻撃者はデータベースから情報を読み取ることは可能であったが、データベースに書き込んだり、巧みに取り扱うことはできなかった。SQLユーザはそれ自身のデータベースにしかアクセスできないので、攻撃者はそのサーバー上に存在する如何なる他のデータにもアクセスできなかった。これは我々が統計のページに表示する公開情報しか含んでいない。攻撃者は、我々がそれから学習しなければならないことを、改善の必要があることを指摘したが、大したことではない。
マルウェアの統計は、我々がworldmap.f-secure.com上で様々な方法で公開しているものである。そして、我々のITセキュリティ戦略により、攻撃被害は小さかった。
F-Secure攻撃に関するハッキングフォーラム上への投稿は、このセキュリティ企業の見解を裏打ちしている。
インフォメーションセキュリティ供給元を取り巻く如何なるセキュリティ事件も深刻である。しかし、FーSecureのハックの場合、usa.kasperky.comとbitdefeder.ptへの攻撃とは異なり、顧客情報は漏洩しなかった。
Microsoftの今月のパッチ中の深刻なIEとExchangeの脆弱性について
WashingtonPost : Security Fix (2009/02/10)
Microsoftは本日、Windows OSと他のソフトウェアが稼働しているPC中の、最新の8つのセキュリティ上の脆弱性を修正をバンドルした4つのパッチをリリースした。この修正は、Microsoftアップデート、もしくは自動アップデート経由で利用できる。
修正の半分は、Microsoftが最も緊急の「深刻」(攻撃者が、ユーザーにブービートラップを仕掛けられたウェブサイトを訪問させるか、とり分け巧みに作られた電子メールを開けるよう説得するだけでなく、殆どユーザの支援無しで脆弱性あるシステムに侵入することができることを意味する)と評価していた二月のパッチバッチで修正された。
この深刻とされる脆弱性の二つはMicrosoftのInternet Explorer 7 中に存在する(不思議なことに、MicrosoftはIE6は影響されないと発言している)。
Redmond(MicrosoftがRedmondに位置することから、この様に呼ぶこともある)が修正した他の二つの深刻なフローはMicrosoft Exchange(何千万もの組織で使用される電子メールサーバープログラム)中で発見された。
Andrew Storms(ネットワーク セキュリティ会社 nCircleのセキュリティ オペレーション ディレクター)は、Exchangeの脆弱性はとり分けビジネスに取って深刻である。なぜなら、攻撃者は会社のExchangeサーバーへ巧みに細工されたe-Mail添付ファイルを送信するだけでExchangeサーバーの制御権を強奪できるからであると発言している。
「ありとあらゆる高度な秘密と機密情報は毎日Exchangeを通過している。そのようなサーバーの制御権を奪うこと。そしてその内容はサイバー犯罪者にとっての金鉱であるだろう」とStormsは発言している。
Microsoftは、犯罪者が確実に脆弱性を攻撃する能力あるコードを開発することはありそうもなく、この内密に報告された脆弱性に対する攻撃は未だ認識されていないと発言している。
この様な断言にもかかわらず、Stormsは悪い奴等はこの脆弱性を捕らえそうであると発言している。
「一週間以内に早期の脆弱性を攻撃するコードを確認したとしても驚くに当たらない」と彼は発言している。
二つの残りのアップデートは内密に報告されたSQLサーバーデータベースソフトウェア中の脆弱性と三つの内密に報告されたMicrosoft Office Visio中のフローを修正している。
ファイルのタイプではなく、ソースを考慮せよ
WashingtonPost : Security Fix (2009/02/06)
人気のP2Pファイルシェアリングネットワーク上で交換される音楽ファイルに感染するマルウェアが改善(改悪)されていることで、Windowsユーザは未知のソースからの楽曲のダウンロードを一時休止にすべきである。
シマンテックは、Trojan.Brisv.A(他のアンチウィルスメーカーででは、Worm.Win32.GetCodec.a とも呼ばれる)と呼ばれるウィルスに感染させられたオーディオファイルの数が急上昇していると報告している。悪意あるソフトウェア(開始されたとき、全てを.mp3に変換し、次にホストシステム上の.mp3を Windows Media Audio (.wma)に変換する)は、別の無害なように見えるWindows Media Audio (.wma)ファイル中に存在する。
このトロイの木馬によって改竄されたオーディオファイルは、それら本来の .mp2や.mp3ファイル拡張子を失っているわけではない。それどころか、このトロイは変換されたメディアファイルのプレースフォルダ中に埋め込まれているので、犠牲者がそれを聞こうとした時、楽曲をWindows Media Player中に開く。この時点で、犠牲者は再生を継続するためにオーディオコーデックのダウンロードを促される。犠牲者がこのオーディオコーデックをインストールしたら、このトロイは、ユーザのシステム越しに悪意あるプログラムの製作者に制御権を与えるプログラムをインストールする。
シマンテックは、インチキのコーデックが犠牲者に偽のアンチウィルスソフトウェア(インチキのコンピュータセキュリティプログラムを実行し犠牲者を脅す、偽のセキュリティ警告を使用する。"scareware"としても知られる)を購入するよう促すソフトウェアをインストールすると発言している。シマンテックは20万〜160万の人々が、このトロイが付随する感染したオーディオファイルをダウンロードしたと見積もっている。
このトロイは昨夏最初に見出されたのだが、シマンテックはこのマルウェアに関し、検出したものの中の多くに最近改善が見られると発言している。
Kevin Haley(Symantec Security Responseのディレクタ)は、このトロイがいわゆる"binder"(幾つかのハッカーツールの一つで、無償利用可能。テキストやイメージファイルのような無害に見えるファイルタイプ中に実行ファイルを同梱することができる)と呼ばれるものを抱き合わせて作成されていることを明かにした。
「これはユーザに、ダウンロードし稼働することが危険を伴う .exe ファイルでないことを思いださせるので、狡猾な狙いである」とHalleyは発言している。
不幸にして、このトロイの付属する感染させられているオーディオファイルをダウンロードした後、あなたの音楽コレクションが損壊したのであれば、
これを修復するシマンテックの無料ツールを使用することができる。このツールは感染したファイルからこのトロイを削除する。
Sunbeltが一月に公開した、ScareWare
Sunbelt : Blog (2009/一月公開分)
【訳注】Sunbeltの公開順。訳は抄訳。
Total Protect 2009
このインチキソフトは面白い。uninstaller.exeとインストーラtotalprotect2009_setup.exeは、同じMD5/CRC8を持っている。片方をアンインストールしている間に、もう片方がインストールされる。
Total Defender
GUIは以下。
これがホームページ。
VIPRE(Sunbeltのアンチウィルスソフト)は、これを削除する。
IE Security
IE SecurityはIEDefenderファミリーの新しいインチキのセキュリティアプリケーションである。
IESecurityはWin Defender 2009を置き換える。
Ie-security comは、このインチキソフトのホームページである。実際にインチキのインストーラがダウンロードされる。
SysAntivirus 2009
SysAntivirus 2009は、WinSpywareProtectファミリー出身の最新のインチキソフトである。
関連サイト。
94.247.2.75 Sysantivirus2009 com
78.26.179.232 Files.sysav-download com
94.247.2.92 Int.sysreport1 com
78.26.179.239 Dl.sysav-storage com
94.247.2.94 Int.sysreport2 com
64.27.18.137 Sales.buysysantivirus2009 com
MicrosoftのAutorunを無効化する方法は動作しない
heiseSecurity : Security (2009/01/22)
【訳注】この情報は、F-Secureによって詳細に報告されているDownadup情報の一環です
US-CERTはTechnical Cyber Security Alertで、WindowsのAutoRun/AutoPlay機能の無効化方法に問題あるとする警告をリリースした。Microsoftによって
記述されているAutoRunとNoDriveTypeAutorunレジストリキーの構成に関するの情報は、AutoRunとAutoPlay機能を完全に無効化しない。AutoRunとAutoPlay機能が完全に無効化されると、モバイル ストレージ デバイス上のプログラムは、このデバイスが接続されても直ぐに稼働しないか、更なるステップを示唆するところのAutoPlayダイアログがポップアップする。
最近徘徊しているConfickerワームは、ユーザが感染したUSBスティックを差し込んだときワームを起動することをユーザに納得させることで、AutoRunとAutoPlay機能を不正に設定し脆弱性を攻撃すると、幾つかの情報筋はレポートしている。このワームはAutoPlay表示中に偽のアイコンを
もたらし、不注意なユーザに、このアイコンをクリックするよう欺こうとする。彼らはフォルダーを開いているように見せて、代わりに彼らはワームを解き放っている。
Microsoftはこの問題を確認した。そして、2008年3月から表示され、この脆弱性を説明
しているナレッジベースの記事を
指摘している。そこには、エラーを修正し、正しいキーを設定するためのWindows 2000, XP, Server 2003用のアップデートへのリンクが含まれている。US-CERTは、アップデートMS08-038はVistaとServer 2008中のエラーを既に排除したと発言している。そして、そのレポートは、問題を修正するためのそれ自身の解決策を与えている
Apple、今年最初のパッチはQuickTime
Washingtonpost : Security Fix (2009/01/21)
Appleは本日QuickTimeメディアプレイヤーのセキュリティアップデートをリリースした。新バージョン(QuickTime 7.6)は、MacとWindowsシステム上で利用できる。
このリリースは、
少なくとも7つのセキュリティ上の脆弱性を修正している。7つの脆弱性すべては、Appleが特別に細工されたムービーやストリーミング メディア ファイルを閲覧するようユーザを納得させることで、脆弱性あるシステム上でアタッカーが選択したソフトウェアを簡単に稼働することに使用できると発言しているくらい十分深刻である。
QuickTimeユーザ(特にWindowsユーザ)は、このアップデートを適用する前に、ぐずぐずしてせっかくのチャンスを逃さないようにすることが重要である。QuickTimeは大変広範にインストールされている(そして、頻繁にアップデートされる)ので、QuickTimeは自動的に脆弱性を攻撃するツールキットを製作販売しているハッカーの注目を集めている。これらはアタッカーがハックしたWebサイトに縫い付けるソフトウェアキットである。ユーザがそのようなサイトを訪問したとき、このツールキットはQuickTimeのプラグインに、未だ既知のセキュリティフローのある脆弱性があるかどうかチェックし、発見した最初の脆弱性を俎上に上げる。次に、訪問者のPCに悪意あるソフトウェアインストールするためにこの脆弱性を使用する。
Microsoftの最新の「
セキュリティ情報報告」によれば、QuickTimeのフローは、2008年の前期の間に、Windows XPとWindows Vistaシステムに関し、三・四番目にその脆弱性を攻撃されているWebブラウザである。
MacユーザはSoftware Updateや
Apple Downloadからアップデートできる。Windowsユーザは
ダウンロードサイト、もしくはApple Software Updateプログラムを使用してアップデートを入手できる。
インチキ アンチウィルスソフトと実際の脅威
McAfee Avert Labs : Blog(2009/01/20)
インチキ警告マルウェアは、誤った方向に導くスキャン警告を表示することで純真な犠牲者を餌食にする。偽の警告は、誇大なスキャンで報告されたインチキの物を修正するために、インチキ アンチウィルスを購入するようユーザを欺く。この“scareware”に分類されるソフトウェアは、極端なまでにソーシャルエンジニアリングへの策略に依存し、Backdoor, Password Stealers, Downloaders, Droppers, Browser Helper Objects等と共に出現する。
上の分類のそれぞれのマルウェアは、インチキ アンチウィルスそれ自身を配布するためか、もしくはインチキ アンチウィルスが一旦生贄のマシンにインストールされたなら、他の種類のマルウェアを増殖させるかのどちらかで使用される。共通の最終目的への仕事(純真な犠牲者から金を巻き上げること)をするために、これら”scareware”アプリケーションは、彼らの武器庫(Rootkit)に新しい種類のマルウェアを追加する。
scarewareファイルを隠すことは別として、Rootkitは本物のセキュリティベンダーのサイトへのアクセスを使用不能にする。我々が気づいたルートキット(tdss[ランダムな文字列].sys」と名付けられていた)は、最近Computer Associatesによってブログされた。そして、AntiSpywareXP2009 scarewareとの関係があった。しかし我々は、このRootkitがWinWebSecurity scarewareに属しているインチキな構成要素を保護していることに気づいた。これは、以下のことを意味する。:
このルートキットの作者は、金銭目的のために複数のscarewareベンダーに彼のコードを供給している。
あるいは、同じグループが複数の偽のアンチウィルスを作成し、配布している。
McAfee AVは、バージョン5496以降のDATから、このRootkitコンポーネントを検出し駆除する。しかし、アップデートされたシグネチャーを使用していないアンチウィルスに固執するユーザは、このRootkitを手動で削除しなければならない。
あなたがWindowsユーザなら、通常の安全なコンピューティングは別として、scarewareによる感染の機会を最小にするために、ファイアーウォール、Windowsアップデートされたシステム、アンチウィルス ソフトを使用することが考慮されなければならない。以下のステップを踏む。
1. バックアップソフトをインストールする。これは、以前の既知の感染していない状態にシステムを戻すことが出来る。
2. Sandboxソフトウェアを通してインターネットをブラウズする。
3. 仮想マシンをインストールし、インターネットをブラウスする。
最後になるが、連邦取引委員会は Innovative Marketing社とByteHosting Internet Services社(WinFixer, WinAntivirus, DriveCleaner, ErrorSafe,XP Antivirusという"Scareware"アプリケーションの上梓責任のある会社)に対する禁止命令に勝利した。しかし、我々はこの動きが実際に、scarewareの配布を抑制することに影響を及ぼすかどうかの確認には、しばらく待たなければならない。
ソーシャルエンジニアリング オートプレイとWindows7
F-Secure Weblog : News from the Lab(2009/01/19)
Downadupワームは、USBドライブのようなリムーバルデバイス経由で拡散するためにautorun.infを活用している。
我々の1月7日のポスト(「AUTORUN.INFは本当のAUTORUN.INFである時ばかりではない」として和訳しています)で解析結果を提供している。autorun.infは検出を回避するための手段として幾許かのトリック(ファイルサイズを様々に変更してくる等)を使用する。
SANS Internet Storm CenterでBojan Zdrnjaは、最近幾つかの追加解析結果をポスト(
Downadup attempts a social engineering trick in Windows Vista)している。
Downadupのautorun.infファイルは以下を作成するためにshell32.dllから抽出した実行キーワードとアイコンを使用する。
このカテゴリは"Install or run program"(プログラムのインストールもしくは起動)だが、テキストとアイコンは"Open folder to view files"(ファイルを閲覧するためにフォルダを開く)である。
最初のオプションはDownadupを起動する。毒だ。二つ目は一般オプションでUSBドライブを安全に開く選択である。
好奇心から、我々はWindows7で、このautoruon.infを試みた。
そして、Windows7の結果は、Vistaでの結果と同じであった。
Downadupは、インストレーションオプションをフォルダを開くオプションとして偽装することを企てている。
我々はWindows7の"Send Feedback(不具合レポートの送信)"リンクを活用したが、この研究室のWindows7システムはインターネットに接続しなかった。我々のClient Security 8アプリケーションをテストした。Client Security 8(Internet Security 2009と幾つかの最近のリリース)は、一般的にDownadupのautorun.infファイルをWorm:W32/Downaduprun.Aとして検出する。
Downadupは非常に巨大である
F-Secure Weblog : News from the Lab(2009/01/14)
Downadupワームは家に電話しようとする。
攻撃者は様々なWebアドレスに接続することを試みることで、これを実行する。そして、このワームが、このようなドメインの一つでアクティブなWebサーバーを発見したら、特別な実行ファイルをダウンロードし稼働する。これで、マルウェアギャングは感染させたマシン上で、彼らが望むことは何でも自由に操作できるようになる。
例えば、攻撃者は巨大なボットネットを構築できる。フレームワークは整っている。
通常、マルウェアは一つもしくは一握りのWebサイトを使用する。そのようなサイトは一般的に場所を特定することやシャットダウンすることが容易である。
Downadupがあると、Downadupは毎日変更され、Google.comやBaidu.comのような周知されているWebサイトからのタイムスタンプを元にする複雑なアルゴリズムを使用する。このアルゴリズムで、このワームは毎日多くの利用可能なドメイン名を構築する。
数百のそのような名前には以下がある。
qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org.
これは、我々善意の側に立つ者が、これら全てをシャットダウンすることを不可能にしている。この様なものの大部分は、そもそも決して登録されない。
しかしながら、悪意ある輩は、明日用に予定されるドメインを一つ事前に決定しておく必要があり、それを登録し、Webサイトをセットアップしなければならない。次に、彼らは感染させた全てのマシンへのアクセスを取得する。
恐ろしく狡猾である。
しかし、我々は、このゲームを彼ら同様に上手にプレイできる。
そこで、我々は利用可能なドメインを決定し、それらの幾つかを我々用に登録した。
これは、感染したマシンが我々に接続するかもしれないということを意味している。
もちろん我々が行うことはないが、我々は感染させられたマシンを巧みに操作しようと思えばできる。実際、不正使用になるので、我々は感染したマシンに対して何も実行しなかった(感染の削除さえ)。少なくとも殆どの公権力下において、それは不正行為である(依頼される事なしに何等かのことを実行することは、倫理上も大変大きな疑問である)。何もせずに見るのが行動軌範である。
これを視聴することは、我々に内部の特有の可視性を取得させた。これで我々は感染させられたマシンの数を確認できた。
まさに、我々が登録したドメインに接続してくる数十万の一意のIPアドレスを確認している。
そのトラフィックの大部分は会社のネットワークから、FirewallやプロキシやNATルータを通って来ている。我々が確認している一つの一意のIPアドレスが意味していることは、実生活における2000台のワークステーションに相当する。
我々のレスポンスチームのToni Koivunenは、感染したマシンが如何ほど存在するのかを見積もるために幾許かのトリックを追加使用した。
Toniの感染数の集計結果は、全世界で2,395,963であった。この見積りは控えめである。実数はもっと多い。
これは、巨大なたちの悪いボットネットを作るだろう。
世界中のどこで、この様な感染が発生しているのか? 我々はIPから国を解析した。
| Number of IPs | Registered country of the IP |
| 38,277 | China |
| 34,814 | Brazil |
| 24,526 | Russia |
| 16,497 | India |
| 14,767 | Ukraine |
| 13,115 | Italy |
| 11,675 | Argentina |
| 11,117 | Korea |
| 8,861 | Romania |
| 6,166 | Indonesia |
| 5,882 | Chile |
| 5,531 | Taiwan |
| 5,162 | Malaysia |
| 4,392 | Germany |
| 4,261 | Philippines |
| 3,958 | United States |
| 3,719 | Colombia |
| 3,307 | Spain |
| 3191 | Thailand |
| 2,871 | Kazakhstan |
| 2,828 | Venezuela |
| 2,685 | Mexico |
| 2,518 | Europe (resolved to EU) |
| 2,337 | France |
| 1,901 | Bulgaria |
| 1,789 | United Kingdom |
| 1,655 | Pakistan |
| 1,636 | Turkey |
| 1,544 | Saudi Arabia |
| 1,399 | Hungary |
| 1,389 | Iran |
| 1,272 | Poland |
| 1,259 | Macedonia |
| 1,193 | Japan |
| 1,052 | Portugal |
| 1,029 | Vietnam |
これらは生の一意のIPである。中国の感染させられた会社(個人ではない)が38,272にのぼっていることをどのように思うだろうか?
**********************************************
【訳注】この件に関して、昨年以来F-Secureは警告を発し続けている。2009年01月16日、このワームによる感染数は8,976,038と報告されている。僅か4日の間に240万から、890万に増加した。
WashingtonPost Security Fixもこの問題を取り上げた。以下にそれぞれの記事のリンクを掲げておく。
F-Secureの関連記事
Creating MS08-067 Exploits : 日付:2008年12月5日
MS08-067 Worms : 日付:2009年1月7日
When is AUTORUN.INF really an AUTORUN.INF? : 日付:2009年1月7日
MS08-067 Worm, Downadup/Conficker
: 日付:2009年1月9日
Downadup Blocklist : 日付:2009年1月9日
Preemptive Downadup Domain Blocklist, Jan. 13-16 : 日付:2009年1月12日
More Than One Million New Infections : 日付:2009年1月14日
Preemptive Blocklist and More Downadup Numbers : 日付:2009年1月16日
Calculating the Size of the Downadup Outbreak : 日付:2009年1月16日
Apple Safari に脆弱性
heiseSecurity : Security (2009/01/13)
自身のブログで、この問題を公開したBrian Mastenbrookによると、Webブラウザ Apple Safari中のフローは、悪意あるWebサイトに対し、Safariを脆弱性あるものにしている。このフローはユーザのハードドライブからファイルを読み出すことを可能にする。そしてMastenbrookは、このフローが(他のWebサイトへのアクセスを取得するために使用することの出来る)E-Mail、パスワード、クッキーのような重要な情報を露にするとしている。
Masterbrookは以前 Mac OS X 中のフローを発見し報告したことがあり、結果としてAppleはセキュリティアップデートを行っている。今回の問題はSafariのRSSフィードのハンドリングに関連するとされる。この機能は Mac OS X ではDefaultで有効になっている。Appleはこの問題を認識しているが、アップデートが利用可能であるとはアナウンスしていない。Mac OS X ユーザは、SafariのPreferencesに進み、RSSを読むための他のアプリケーションを使用するよう推薦されている(RSSタブを選択。次に、DefaultのRSSリーダを、Apple Mailのような他のアプリケーションに変更する)。Windows版Safariユーザもまた、このフローの影響を受ける。Mastenbrookは、Windows版Safari利用者の唯一の解決策は他のブラウザに乗り換えることだと発言している。
Googleの多様性
Kaspersky : Lab Weblog (2009/01/05)
ドライブバイダウンロードは2008年中に増加した。セキュリティ問題に高度な認識を持つウェブマスターがいれば、対極にいる犯罪者は、彼らのマルウェアの寿命をより長くするための新たな技術を常に探している。Googleを使用することほど容易なことはない。誰でも実行することを、ウィルスライターがしてはいけないという理由はない。最近、我々は以下の方法で動作する攻撃を確認した。
このマルウェアライターはGoogle検索を実行することで、人気あるWebサイトを同定することから始めている。検索毎に上位にランクされる最も人気あるサイトは、次に脆弱性から実際に侵入できるかどうかペンテスト(penetration test の略)が行われる。最も脆弱性あるWebサイトは改竄され、彼らのトラックを回収する命令が下される。マルウェアの作者は、新しいファイルの形で彼らの改竄したページにコードを追加しない(暗号化されたコードでさえ)。代わりに、彼らは改竄されたページ中で既に稼働しているスクリプトを単に修正する。今回の場合、新しいパラメータが、以下の関数(--referer=http://www.google.com/)を含む既に存在していたスクリプトに追加された。
この関数は感染させたページの訪問者が何処から来たのかをチェックする。もしもGoogle検索中のリンクからであれば、訪問者はオリジナルサイトでは何もすること無く、自動的に一連の悪意あるWebサイトにリダイレクトされる。この結果、コンピュータは感染させられる。
大変興味あることは、感染用のWebサイトの名前を単純にタイプしてもリダイレクトは発生しない。注入されたスクリプト関数はどれも稼働しない。訪問者が望んだページだけが表示されている。この手法は、犯罪者が以下に記す彼らの目的を達成するまで、ウェブマスター、従業員、このサイトへの訪問者に感染の疑いを持たれることを妨げる助けとなる。
・ 多くの人々を感染させる。
・ マルウェアの寿命を永らえさせるためにウェブマスターから悪意あるスクリプトを隠蔽する
この種の攻撃は直ちにユーザを傷つけない。この種の攻撃はセキュリティ製品によってブラックリスト化されているWebサイトを無害な物に導くことも出来る。
ちなみに、使用されるのは高い検索ランキングを求めて最適化されているWebサイトだけではない。犯罪者は幾つかのセキュリティサイトもターゲットにしている。例えば、Antivirus XPのようなインチキ アンチウィルスソフトについても多く話題にされている。あなたがGoogleを使用し、これに関して情報を発見することを試みるのであれば、検索結果は数多くの様々なページが表示されるだろう。唯一問題がある。Google検索結果リストのサイトをクリックしたなら、ハックされたセキュリティサーバー上の改竄されたスクリプトは、あなたのマシンに対しAntivirus 2010を実行する。
検索エンジンで上位にランクされるために最適化されていて改竄されたWebサイトと、一連の悪意あるリダイレクトでユーザを感染させる行為は2009年において人気ある攻撃ベクトルとなるに違いなく、ウェブマスターの新しい頭痛の種になることは間違いない。
本件は、まさにインターネット上のものが見えている程安全でないことの証明である。 そして、影響を受けるのはGoogleだけではない。 私はYahoo!とMSNを使用して、この攻撃シナリオをテストした。そして、結果は同じであった。我々は、本件に関し上で詳細に論じた。そして、本件で使用されたマルウェアを、Trojan-Downloader.Win32.Fraudload.vffaとして検出した。そして、我々はこのトロイの多くの変種を発見した。アンチウイルスソフトのアップデートを必ず実行し続けなさい!
AUTORUN.INFは本当のAUTORUN.INFである時ばかりではない
F-Secure Weblog : News from the Lab (2009/01/07)
こちらの記事の追加である。Downadupはまた、USBワームである。
USBワームはUSBドライブのrootにAUTORUN.INFと呼ばれるファイルを作成するとこによって動作する。このようなINFファイルは次に、USBドライブが差し込まれた時、あるいは、より一般的には、ユーザがマイコンピュータ(Windows Explorer)からUSBアイコンをダブルクリックした時、それら自身を起動するために、AutorunもしくはAutoplay(この二つは同じものではない)のどちらかを使用する。
この様な悪意あるAUTORUN.INFファイルにスポットを当てることは容易である。その代表的とも言えるファイルがここにある。
しかし、Downadupはこの様なファイルを作成しない。DownadupがUSBドライブにドロップするファイルは、このようなAUTORUN.INFである。
そう、ゴミのようなバイナリファイルである。役に立たない。本当に???
もっと詳しく見てみよう。
注目に値するテキストが90KBのファイルの中程に見つかった。スクリーンショットの底部。分かりますか?
Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx
この指示はUSBドライブ上の非表示のフォルダからjwgvsq.vmxと呼ばれるDLLを実行する。
無価値なバイナリ中の残りはコメントであり、Windowsはこれを無視する。もちろん、このファイルのサイズと、無価値なバイナリの量は毎回異なっている。
巧みなトリックである。