NISTの脆弱性データベースがマルウェアに感染――およそ1週間にわたりサーバがダウン

Computerworld 3月15日


 米国国立標準技術研究所(National Institute of Standards and Technology:NIST)の管理するコンピュータ脆弱性データベース、および複数の関連Webサイトがおよそ1週間にわたって利用不可能になっている。これは、職員の手によって、2つのWebサーバでマルウェアが発見されたことを受けての措置である。

 影響を受けるWebサイトには、NISTの脆弱性情報データベース(National Vulnerability Database:NVD)も含まれる、とNIST広報担当者は電子メールで述べた。NVDでは、セキュリティ・チェックリストやセキュリティ関連のソフトウェア不具合/設定ミスといったデータベースを提供している。

 広報担当のガイル・ポーター(Gail Porter)氏によると、3月8日、NISTのファイアウォールが「疑わしい行動を検知し、インターネットからの異常トラフィックをブロックする措置を講じた」という。「NISTでは、異常行動の原因を探る調査に取りかかり、サーバをオフラインにした」

 NVDは包括的な情報リポジトリであり、コンピュータがここを参照してハードウェア/ソフトウェア製品における既知の脆弱性を自動的に検索することができる、とポーター氏。セキュリティ脅威に対する組織と個人の防衛力強化がNVDの目標である。多くの政府機関と民間企業で利用されているという。

 NISTはサーバ2台に感染したマルウェアを追跡し、ソフトウェア脆弱性を突き止めた、とポーター氏は述べる。これらNISTのWebサイトが「利用者へのマルウェア拡散に使用」された形跡は見つかっていないとしている。

 「できるだけ早期にサーバを復旧したい」と同氏は述べた。
(Grant Gross/IDG News Serviceワシントン支局)
恋人の3割が相手のSNSをチェック - マカフィーのデジタルプライバシー調査

マイナビニュース 3月14日

マカフィーは14日、同社ブログ「McAfee Blog」にて「2013年版 恋愛、人間関係、テクノロジーに関する調査」の結果を発表。恋人であっても、スマートデバイスや各種サービスのID・パスワード管理は徹底した方が良いと考察している。

調査は、2013年2月28日に20歳から39歳の男女を対象にオンラインで実施し、518名(未婚者は50.2%)から有効回答を得た。うち、FacebookやLINEを使用していると回答したのは70%だった。

その結果、親しい相手ほど個人情報をシェアする割合が高くなる背景がある一方で、全体の30%が「交際相手や配偶者のスマートデバイスの通話記録、メール、写真をチェックしたことがある」(未婚者に限ると42%)、「相手のSNSをチェックしたことがある」と回答。「相手を想う気持ちが強過ぎて『デジタル"ストーキング"』してしまうこともあるかもしれない」と紹介されている。

また、恋人と別れた後、「デジタルデバイスから写真を全て消去した」のは全体のうち23%、「SNSのつながりから消去またはSNSのアカウント自体を削除した」のは18.9%となった。

そして全体の10%が「別れた後、個人情報を含むメール、プライベートな写真を贈ったことを後悔した」と回答。未婚女性に限ると回答率は約2割に上ったという。

同ブログでは、「付き合っている間は『共感したい』と思っても、別れた後には共有してきた情報がリスクに変わってしまう。スマートデバイスや各種サービスにおけるIDやパスワードの管理は徹底した方が良い」と考察している。
マカフィー、OS内蔵型のAndroid向けセキュリティソリューションを発表

マイナビニュース 3月14日

マカフィーは3月13日、ホワイトリスト型のAndroidベースの組み込みシステム向けセキュリティソリューション「McAfee Embedded Control (マカフィー エンベデッド コントロール)」の提供を開始した。

同ソリューションは、Androidのカーネルに組み込むことができるセキュリティソリューション。OSに内蔵するかたちでとなるため、Androidベースの端末に対する悪意あるアプリケーションのインストールや実行を防ぐことができる。

同社では、Androidのセキュリティアプリケーションはこれまで、ユーザーレベルのみで機能し、端末がシステムレベルの攻撃を受けやすい状態にあったと指摘。OS内蔵型であるMcAfee Embedded Control提供することでこのセキュリティのギャップを埋め、Androidスタック全体を保護することができるとしている。

またMcAfee Embedded Controlでは、未承認のアプリケーションをブロックするほか、小売業の端末や医療端末、工業用制御システム、事務機器、ゲーム端末、車載端末、航空宇宙・防衛業界向け端末など、固定機能のあるPOSインフラが不正にファイルなどを変更されるのを防止することができる。
JREやアドビ製品の脆弱性を狙う攻撃が引き続き活発--2月度レポート(マカフィー)

ScanNetSecurity 3月13日



マカフィー株式会社は3月12日、2013年2月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、2月も「Blackhole」や「RedKit」といった脆弱性を悪用したドライブ・バイ・ダウンロード攻撃とそれらに関係する脅威がランクインしている。これらは不正なJavaScriptによるリダイレクトなどを経由して、JREやAdobe Reader、Flash Playerなどの脆弱性が悪用され、最終的にさまざまなトロイの木馬に感染する。

このうち、JREの脆弱性攻撃はもっとも活発であり、今年入って発見されたCVE-2013-0422やCVE-2013-0431をはじめとして、昨年の脆弱性CVE-2012-1723、CVE-2012-0507が非常に多く使われている。また、Flash Payerの新たな脆弱性CVE-2013-0633やCVE-2013-0634も悪用されている。これらのドライブ・バイ・ダウンロード攻撃で感染するのは、主に偽セキュリティソフトウェア(会社検知数5位)や、高度なルートキット機能をもつバックドアの「ZeroAccess」(同7位)、ランクインしていないが金融機関の認証情報を盗む「Zeus」などであり、同社では脆弱性対策を実施するよう呼びかけている。
サイバー捜査員集め連絡会議=捜査力の底上げ狙い―警視庁

時事通信 3月13日


 遠隔操作ウイルス事件などインターネットを悪用した事件の増加を受け、警視庁は13日、民間でサイバー犯罪の捜査技能を学んだ捜査員「サイバー犯罪テクニカルオフィサー」のうち、警察署に配置された約100人の連絡会議を開催した。最新の技術や情報を共有して捜査力を底上げするのが狙い。
 警視庁の石田高久生活安全部長は会議の冒頭、「遠隔操作ウイルスによる誤認逮捕で、情報通信技術の発展に、捜査が追い付いていないとの懸念を与えた。サイバー犯罪捜査能力の強化は喫緊の課題だ」と述べた。 
 今年のネットバンキング被害 3千万円に

日本テレビ系(NNN) 3月13日

 パソコンをウイルスに感染させ、銀行のニセの画面で暗証番号などを盗み出し、不正に送金するといった手口でのネットバンキングの被害が今年に入って約3000万円にも上っていることが警察庁の調べでわかった。

 ネットバンキングをめぐっては、パスワードを抜き取られたり、ウイルスに感染したパソコンで銀行のホームページに現れたニセの画面に暗証番号などを打ち込んだ利用者の預金が、別の口座に送金されたりするといった事件が相次いでいる。

 警察庁によると、こうしたニセの画面で暗唱番号などを盗み出し金をだまし取るといった手口での被害総額は、今年に入って約3000万円にも上っているという。

 また、警視庁は去年12月、東京・板橋区のコンビニのATMで、送金された現金約50万円を引き出したとして中国人の林玉輝容疑者を逮捕している。
 
 「iOS」にプロファイルを介した攻撃のおそれ--セキュリティ企業が警告

CNET Japan2013/3/13



 モバイルOSを狙うマルウェアに攻撃されているのは一般に「Android」だが、セキュリティ企業Skycure Securityの研究者らによると、「iOS」もまったく危険がないわけではないという。

 iOSのプロファイル(別名「mobileconfig」ファイル)は、移動体通信事業者が電子メールやWi-Fiといった機能の主要な設定を行うのに使われている。だが、イスラエルのSkycureが現地時間3月12日のブログ投稿で明らかにしたところでは、これらのファイルが攻撃者に悪用されると、本来なら厳重なAppleのセキュリティが破られてモバイル端末が乗っ取られるおそれがあるという。

 このプロセスは、典型的なマルウェア感染の手順と似たものになる。

 攻撃者は、ユーザーに無料で何かを約束することによって、悪意あるウェブサイトを訪れるよう誘う可能性がある。誘い出されたユーザーは、無料のアイテムを得るため、自身の端末に設定を行うmobileconfigファイルをインストールするよう求められる。この悪意あるプロファイルがインストールされたのち、攻撃者は端末に自由にアクセスできるようになる。

 大半のフィッシング攻撃と同様、成功率は、こうした偽りの誘い文句にどれほどの人数が引っ掛かるかによって変わってくる。

 ただし、Skycureが実施した調査では、多くの移動体通信事業者が実際、ユーザーに対し、データプランにアクセスする手段としてmobileconfigファイルをインストールするよう求めていることが明らかになった。Skycureによると、こうした手順では常に厳重なセキュリティを施しているわけではないという。

 Skycureは、数件のAT&T店舗でこうした手順に気づいた。

 われわれは、「iPhone」を所有する従量制契約の顧客として、自分の端末にプロファイルをダウンロードしてインストールするよう指示された。AT&Tの説明によると、ユーザーはhttp://unlockit.co.nzから暗号化されていない経路を通じてプロファイルをダウンロードするよう推奨される。端末上にAPN(Access Point Name)設定を行うこのモバイル設定のインストールは、AT&Tのデータネットワークへのアクセスを許可する上で必須となっている。ある店舗では、AT&Tの販売員が実際にわれわれの携帯電話を手に取り、公共のWi-Fiネットワークを使って前述のプロセスを行ったが、これでは中間者攻撃の格好の標的になってしまう。

 そのような中間者攻撃では、mobileconfigファイルを悪意あるファイルに変えることで、端末を脆弱な状態にしておける。Skycureは、AT&Tにこの問題を警告したと述べ、AT&T店舗でmobileconfigファイルをインストールする手順が厳格化されるだろうとしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

 
 マルウェアの脅威−Android アプリの10%以上がマルウェア、Trend Micro 調べ

japan.internet.com 3月13日



トレンドマイクロ は、同社の英国法人公式 Blog にて、Android アプリケーションに潜むマルウェアについての調査結果を発表し、注意を喚起した。200万本以上の Android アプリケーションのうち、約14%に当たる29万本は悪質なアプリケーションであり、そのうち6万8,000本は Google Play で配信されていたという。

今回の調査内容は、不正なモバイルアプリを監視する同社のデータベース「Trend Micro's Mobile App Reputation Services」に基づいている。分析対象は世界中の Android アプリケーション200万本以上で、そのうち約70万本は Google Play で提供されるもの。評価は、不正な活動/プライバシー/電力消費量の3つの観点から行った。2013年3月8日時点での公表数字は以下の通り。

・29万3,091本のアプリケーションは「あからさまに悪質」、さらに15万203本は特に「ハイリスク」なマルウェアとして分類

・これら29万本におよぶ悪質アプリケーションのうち、6万8,740本は Google Play で配信

・22%のアプリケーションが、利用者データをネットワーク/SMS/電話上で流出するタイプのマルウェアで、データ内容には主に携帯電話端末識別番号(IMEI)、 UIM/SIM カードの固有番号(ICCID)、連絡先データと電話番号が含まれている。さらにいくつかのアプリケーションでは、携帯電話やカメラを介してその他の個人データとともに流出

同 Blog 担当者で、セキュリティ調査 VP の Rik Ferguson 氏によると、同社は2004年の Cabir 以来毎年のようにモバイルマルウェアの出現を見てきたが、ここ数年が最も事態は深刻だと述べ、今回の数字を発表した。

「セキュリティ関連企業がこのような情報を伝えても、自社のシステムを売るためのでっち上げや、ほとんど知られてないアプリストアの話だと思われ、狼少年のようになってしまいかねない。しかし、そういった疑念や先入観はきっぱりと脇に置いて、まずはこの数字を見てほしい」

なお、フィンランドのセキュリティベンダー F-Secure も、モバイルマルウェアに関する調査「Mobile Threat Report Q4 2012」内で、Android OS を標的としたマルウェアの増加を報告している。
 
 「ひろゆきがPC遠隔操作事件で警察提訴」にホリエモン同調

NEWS ポストセブン 3月13日



 遠隔操作ウイルス事件は容疑者が逮捕されたものの、本人は否定をし続けており、いまだスッキリとしない状況。さらに、ここに来て当局の捜索方法について思わぬ“訴訟問題”も勃発。そもそも冤罪があった事件だけに、ますます警察への不信感は募りそうだ。そんな中、ホリエモンこと堀江貴文氏も「我、一家言あり」と塀の中から当局に苦言を呈す。メルマガ『中川淳一郎のネットとビールの愉快な話 by NEWSポストセブンVol.10』より、彼の言葉を一部抜粋した。

 * * *
 こんにちわ! 『堀江貴文のブログでは言えない話』担当の編集Sです。堀江御大とひろゆき氏こと『2ちゃんねる』の創設者の西村博之氏といえば古くからのお友達であることは皆さんも御存知だと思います。そのひろゆき氏が取締役を務めるインターネット関連会社が、パソコンの遠隔操作事件などで警察に違法な捜索や差し押さえを受けたとして、東京都と大阪府に対し、計110万円の損害賠償を求める裁判を起こしたそうなんです。

 この問題には御大も怒り気味です。
「正直、警察のこの事件に対する捜査姿勢はやりすぎ感が強く、提訴は当然と思う。メンツを潰されたからとよくわからない怪しいネット企業のレッテルを張り、権力を振りかざす。みっともないよね」

 御大は今回の事件について「警察がすべての被害を自ら作り出しているとしか思えない」という感想を持っております。手厳しい意見ですね。というのも、現在服役している案件とは関係なく、かつて御大は“警察不信”になるような出来事を経験しており、何かと当局の捜査に対しては首をひねるようになったそうなんです。実はその昔、財布からクレジットカードを盗まれ、誰かにドンキホーテで高額商品ばかりを“ドカ買い”されたことがあったのです。ムキーってなりますよね。すぐさま被害届を警察署に出したそうなのですが…。

「犯人が防犯カメラに映っているのに何の捜査もしてくれなかったんだよ。渋谷署!(カード会社が全額保証してくれたから実質的被害は現金数万円だけだったけど)ま、『役立たず』ってことなんだよな。その辺をもっと自覚せよ!」
 
 iOSユーザーは攻撃の危険にさらされていた――グーグル研究者

App Storeのアクティブ・コンテンツでHTTPSが有効になったのは今年1月下旬

(2013年03月12日)




▲Googleのセキュリティ研究者、エリ・バースタイン氏のブログ

 今年1月下旬まで、米国Appleの「App Store」サーバはiOSクライアントとのすべての通信を暗号化しておらず、ユーザーはさまざまな攻撃の危険にさらされていたことが、米国Googleのセキュリティ研究者のブログ記事で明らかになった。

 「Apple App Storeと関連アプリ(Newsstandなど)は、Apple App Storeコンテンツのアクセス/購入用にiOSでデフォルトで提供されるネイティブ・アプリケーションだ」と、Googleのセキュリティ研究者エリ・バースタイン(Elie Bursztein)氏は、3月8日付けのブログ記事で述べた。「Apple App StoreはネイティブのiOSアプリだが、そのアクティブ・コンテンツ(アプリ・ページやアップデート・ページなど)のほとんどは、サーバ・データから動的にレンダリングされている」

 ネットワーク攻撃者が、AppleサーバとApp StoreのiOSクライアント間の通信におけるHTTPS暗号化の欠如を突いて、ユーザーが見るアプリケーション・ページに不正なコンテンツを注入する手口により、攻撃を行っていた可能性があると、バースタイン氏は指摘している。

 この手口を使ってユーザーをだますなどして、以下のような攻撃が行われた可能性が考えられるという。

・App Storeのパスワードを入力させる
・不正なアプリを購入、インストールさせる
・特定のアプリのインストールや更新をさせない
・デバイスにどのようなアプリがインストールされているかを調べる

 Appleが1月23日、App Storeのアクティブ・コンテンツについてHTTPSを有効にするまでは、こうした攻撃が可能だった。Appleは、同社のWebサイトの「Apple Web Server notifications」(Apple Web サーバに関するお知らせ)ページでこの変更を告知し、この問題の報告者としてバースタイン氏など3人の名前を挙げ、謝意を述べている。

 バースタイン氏はブログ記事で、これらの攻撃が行われる可能性をAppleに報告したのは「2012年7月」だったと述べている。「わたしの余暇での活動が功を奏し、Appleがユーザーを保護するHTTPSをついに有効にしてくれて、とてもうれしい」

 Webサイト上のフルセッションHTTPSの欠如を突くほとんどの攻撃と同様に、バースタイン氏が発生の可能性を発見したApp Store攻撃は、パブリックWi-Fiネットワークに接続したiOSユーザーに対して簡単に実行することができた。

 バースタイン氏はブログ記事で、考えられる攻撃シナリオをそれぞれ詳しく解説。また、標的となったiOSユーザーにそれらの攻撃がどのように見えるかを示すYouTube動画も公開した。

 「これらの攻撃に関する情報を公開したのは、多くの開発者(特にモバイルアプリ開発者)がHTTPSを有効化することにつながるのを期待してのことだ」とバースタイン氏。「HTTPSを有効にし、証明書の有効性を確保することは、アプリケーション通信をセキュアにするためにできる最も重要なことだ」

 ここ数年、米国Googleや米国Facebook、米国Twitterなどのインターネット企業は、ユーザーを保護するため、各社のオンライン・サービスに常時HTTPSで接続できるようにしてきた。

 セキュリティ・ベンダーの米国Sophosのアジア太平洋地域担当技術責任者、ポール・ダックリン(Paul Ducklin)氏は3月9日、AppleのサービスではApp Storeが大きな役割を果たしていることから、1月23日までApp Storeのセキュリティが甘かったことは、ユーザーにとって意外だったかもしれないと述べた。
 急増するモバイルの脅威、有効なセキュリティ対策は

IF-MAP活用は有効か

(2013年03月12日)



2012年にはさまざまなモバイルの脅威が発覚し、大きな騒ぎとなった。今、モバイル・セキュリティは“ホット”な話題だが、現在どのような道を進んでいるかは、見過ごされがちである。本稿ではその“行く先”を詳らかにするとともに、モバイルへの脅威に対し、どのような対処をすべきかを考察してみたい。



Rainer Enders/NCP engineering CTO寄稿(Network World米国版)


受け身のセキュリティ対策が悲劇を生む

 現在のセキュリティ対策が抱えるいちばんの課題は、「脅威への対応が受け身」であることだ。それがSSLの実装に重大な不具合がある「Android」アプリであれ、空港のVPNを攻撃するトロイの木馬であれ大差はない。

 1つだけ確かなのは、モバイル・デバイスを安全な方法で扱うには、しっかりとした管理が必要不可欠であることだ。企業のIT管理者は、「モバイル・デバイスからは情報は漏洩するもの」と考え、対策するしかない。従業員がIT管理者の警告を100%受け入れたり、モバイルOSを開発している米国Googleや米国Appleが迅速にOSの脆弱性をアップデートしたりすることを期待してはいけないのだ。

 われわれは業界として、モバイル・セキュリティがシステムの問題であることを認識しなければならない。残念なことに多くのモバイル・テクノロジー企業は、エンタープライズ市場ではなくコンシューマ市場を第一に考えている。

 誤解を恐れずに言うと、個人のノートPC、PDA、スマートフォンのような端末は、セキュリティの最大の弱点だ。管理されていないデバイスの使用を自社ネットワークで許容している企業など、IT管理者の立場から言えば――いや、そうでなくても――言語道断だ。現在、モバイル・デバイスでいかに多くの基本的なセキュリティ・プロトコルが使用されていないかを考えれば、“勝手BYOD”など論外である。

 Androidについて考えてみよう。Androidでは長い間、IPsec VPNクライアントのカーネルを対象とする通話用のAPI(Application Programming Interface)が、ベンダーに提供されていなかった。これは、安全な使用に関連するプロトコルがいかに軽視されているかを示す1つの例にすぎない。

 Androidでは、懸念される事...
 
 エバーノートの不正アクセス事件で露呈した、パスワード・セキュリティの脆さ
今回のデータ流出事件は氷山の一角――高まる二要素認証の必要性
(2013年03月08日)



米国Evernoteの情報クリッピング・サービスで先週末、データ侵害が発生した。攻撃者が不正アクセスに成功し、Evernoteアカウントのユーザー名、登録した電子メールアドレス、暗号化したパスワードが流出した可能性があるという。なぜこのような事態に陥ったのか…。



Tony Bradley/PC World米国版


データ漏洩の責任はユーザーにあり

 同社は約5,000万人の全ユーザーに対し、電子メールやWebサイトを通じ、万全を期すためにパスワードの強制リセットを実施した。これは確かに正しい判断だっただろう。しかし、同社がパスワードによる認証を続けるかぎり、再度攻撃される可能性は高い。そのためEvernoteは、二段階認証の導入計画を前倒しするという。

 Microsoftの「OneNote」同様、Evernoteは主にメモ/情報整理ツールを提供するサービスだ。元々はコンシューマー向けアプリとして登場したが、2012年12月には中小企業向けの「Evernote for Business」サービスを開始、着実にユーザーの幅を広げている。

 ほかにも同社は食に特化した記録ツール「Evernote Food」、学習用アプリの「Evernote Peek」、画像に図形やメモを書き込むツールである「Skitch」、手書きメモアプリの「Penultimate」など、多岐にわたるサービスを展開。Webベースのツールとともに、幅広いOSやモバイル・プラットフォームをサポートしている。複数の異なるデバイスにまたがってデータのアクセス/同期が可能なことから、ビジネス用ツールとしても人気が高い。
 
 重要データの“棚卸し”


第1回 なぜセキュリティ対策は後手に回ってしまうのか
情報資産を正しく管理し、適切な情報漏洩対策を行うための「管理者心得」
(2013年03月01日)



情報セキュリティ事件の頻発により、セキュリティ対策の強化、人材育成が叫ばれている。企業のIT部門は、その対応に日夜追われているが、そんな苦労をよそに、ユーザーも経営者も、次々に新技術を要求しているのが現状だ。現場のIT部門からは、セキュリティ対策を考える前に物事がどんどん先に進んでいってしまうという、ため息交じりの愚痴も聞こえてくる。ではどのように対策を講じるべきなのか――。本連載では「セキュリティ対策を実行/刷新する際に行うべき取り組み」を考察する。第1回目では、「なぜセキュリティ対策は後手に回ってしまうのか」に焦点を当ててみたい。



二木真明/アルテア・セキュリティ・コンサルティング


日々の業務に忙殺されてあきらめていないか――

 「セキュリティ対策が後手に回る理由? それは、あなたたちが、のんびり構えているからじゃないのか」

もし私が社長なら、この一言で済ませてしまうかもしれない。極論だが、これはそういう問題なのだと思う。IT現場の日々の苦労は一旦棚上げし、あえて言うならば、IT部門の対応が会社のビジネスのスピードについてこないという不満を、多くの経営層や現場のユーザーは持っているのだ。

 もちろん、それは単にIT部門がサボっているという理由だけではない。本来ビジネスを支える戦略的部門であるはずのIT部門は、人員、予算の削減の大波にさらされてきた。結果、過度のアウトソーシングが原因で自社のビジネス視点からIT全体を俯瞰でき、それの実装までイメージできるような総合的IT人材が、一般の企業からどんどんいなくなってしまっている。そのような環境を考えれば、「IT部門がサボっている」というよりは、「あきらめてしまっている」というほうが正しいのかもしれない。

 一方でIT技術は日進月歩である。今世紀に入ってから、Web2.0、SNS、クラウド、スマートフォンやタブレットなどの技術と、それらを支える高速な通信手段が次々と登場している。そして、それらはビジネスのあり方を大きく変化させている。

 しかし、もともとこれらの技術はユーザニーズから生まれたというよりは、供給する側が戦略的に打ち出してきたものだ。つまり新興IT企業が、これまでのITに新技術を投入してパラダイムシフトを起こし、業界地図を塗り替えて、優位に立とうとする競争戦略の結果として生まれてきたものなのである。

 それゆえ、鳴り物入りで登場した新技術やコンセプトを、利用者側のみならず(日本国内では)売る側ですら理解できていなかった。その結果、さまざまな混乱が起きたり、本来のコンセプトを無視して言葉だけが独り歩きし、それがバズワード化したりというような現象が、新技術が登場するたびに発生している。

 それゆえに、とりわけ日本企業のIT部門は、こうした新技術に対して様子見ムードが強いようだ。ともすれば、真っ先にこうした技術を...

 
自公が児童ポルノ単純所持禁止へ法改正? 「誤ってダウンロードしたら」と不安相次ぐ

J-CASTニュース 3月11日



 児童ポルノの単純所持も禁止しようと、自民、公明両党が改正法案を今国会に提出する方向と一部で報じられ、ネット上で不安の声が相次いでいる。遠隔操作ウイルス事件での誤認逮捕などが問題になっているからだ。

  「人をハメる犯罪が頻発するぞ」「別件逮捕し放題www」

■違反すれば懲役や罰金と報じられる

 児童ポルノ法改正の方向と日経新聞が2013年3月10日に報じると、ネット上ではこう懸念する声が次々に上がった。

 その記事によると、改正案では、個人の趣味で18歳未満の性的な画像などを収集する単純所持を禁止し、違反すれば1年以下の懲役または100万円以下の罰金を科す。自公両党は、他党にも賛同を呼びかけるというのだ。

 児童ポルノを巡っては、両党から09年に単純所持禁止をうたった改正案が出され、ネット上で騒ぎになった経緯がある。その後も、民主党が11年に児童ポルノを繰り返し購入することを罰する取得罪を提案したが、いずれも廃案になっていた。

 自民党が総選挙で圧勝した今、ようやく法改正に本腰を入れたのか。

 自民党法務部会の担当者は、取材に対し、「まだ決まっていません。内容もまだ分からないです」と答えた。真相ははっきりしないが、この問題に詳しい奥村徹弁護士は、ブログで3月11日、自民党が11年にまとめたような案が出てくるのではないかと推測した。

 それは、民主党案とは違って、単純所持全般について処罰する厳しい内容だ。さらに、アニメやゲームなどの準児童ポルノは規制しないものの、被害を誘発する可能性があるとして政府が調査・研究することをうたっていた。

 日本は児童ポルノの規制が国際的にも遅れているとされ、奈良県のように自治体独自で単純所持の処罰を盛り込むケースも出てきてはいる。しかし、遠隔操作事件をきっかけに、誤ってダウンロードしたり、添付したメールが送られたりしたときはどうするのか、と不安の声は根強いようだ。
自公が児童ポルノ単純所持禁止へ法改正? 「誤ってダウンロードしたら」と不安相次ぐ

J-CASTニュース 3月11日



条例施行の奈良県警「ネット上の検挙難しい」

 奈良県は、13歳未満の子どもを対象に単純所持禁止を盛り込んだ「子どもを犯罪の被害から守る条例」を2005年10月1日に施行した。しかし、県警少年課の次席は、ネット上での犯罪摘発は難しいと取材に明かす。

  「被疑者の家に家宅捜索に行って、パソコン上に児童ポルノらしき記録が残っていたとしても、即検挙はできないです。遠隔操作事件があってからは、よけい捜査を慎重にやらざるを得なくなっており、ネット上の犯罪は積極的に検挙していません」

 県警では、12年末までに計15件の児童ポルノ事件を条例違反で検挙した。しかし、県警サイバー室によるネット上の立件はなく、ほとんどがDVDを他人から譲り受けたケースだった。

 05年に初めて検挙した事件では、容疑者が児童ポルノとはっきり分かる「関西援交」シリーズのDVDを購入していた。また、08年には、携帯電話のマイクロSDカードに8枚の画像が見つかったケースもあったが、これは本人が事実関係を認めたうえ、直前にスカート内盗撮をして通報されたケースだった。

 ネット上では、児童ポルノ画像について「年齢ってどうやって確認するの?」との疑問も出ている。

 この点について、県警では、13才未満であるかは小児科医に鑑定してもらっていると明かした。第一次性徴などを見るタナー法という判定基準があるという。ただ、13歳前後は分かりにくいため、明らかに幼児と分かるケースだけに絞って立件しているとした。

 とはいえ、ネット上では画像がコラージュなどの加工をされていることも多い。いずれにせよ、ネット犯罪の捜査は至難の技のようだ。

パソコンを『遠隔操作ウイルス』から防ぐ方法

週プレNEWS 3月11日



真犯人が残したメールのひとつ。警察やマスコミをあざ笑うかのような文章だ


去年から今年にかけて、世間を騒がせた「PC遠隔操作事件」。襲撃や殺人予告がネット掲示板に“勝手に”書き込まれるというウイルスが蔓延し、4名もの誤認逮捕が発生したのは記憶に新しい。

2月10日、警視庁などの合同捜査本部に逮捕されたK氏(30歳)は一連の事件の「真犯人」だとされているが、彼の逮捕・勾留(こうりゅう)を続ける警察がK氏の犯行であることを裏付ける決定的な証拠を示していないため、K氏が真犯人であるかどうかの判断がつかないのが現状だ。

ともかく、今回のようなパソコン遠隔操作事件をもう二度と起こさせないためには、「真犯人」の検挙と同じくらい、対策のほうも重要。そこで、セキュリティソフトを開発・販売しているトレンドマイクロ(株)シニアスペシャリストの高橋昌也氏に話を聞いた。

パソコンセキュリティソフトの『ウイルスバスター』で知られる同社だが、同様の遠隔操作は防げるのだろうか。

「昨年10月上旬に当社のほうで対応しまして、今は防ぐことができます。この遠隔操作ウイルスは当社でも解析をしており、インターネット上に落ちているツールを利用して作られたものではなく、誰かが一から作ったのではないかと考えております」

ウイルスを見つける方法には、大きく分けて2通りのやり方があるという。

「ウイルスに対するワクチンというのは、ウイルスの“指紋”を照合するようなやり方と、例えば冬なのに上半身裸の人がその辺を歩いていたら普通は怪しいと思いますけど、そのような『振る舞い』のおかしさで見つけるやり方があります。一般のプログラムがやらないようなことをウイルスがやっているのを見つけるというわけです」

しかし、今回の遠隔操作ウイルス対策はバッチリできたとしても、新手のウイルスにはその都度、対応せざるをえないのだろうか。

「後手後手の対応というわけでもないんです。ウイルス自体を見つけるのではなく、ウイルスに感染したウェブサイトにアクセスするのをブロックすることもできます」

ひょっとすると、今回誤認逮捕された人以外にも、この遠隔操作ウイルスに感染していた人はけっこう多かったりする?

「今回の事件で使われたウイルスは、それほど広範囲に広がっていないと当社では考えています。なぜなら、当社の『ウイルスバスタークラウド』は該当するウイルスを見つけると当社のほうに自動的にフィードバックする機能が付いているんですが、今回の遠隔操作ウイルスに関してはそうしたフィードバックがほとんど見られなかったんです」

高橋氏は今回の遠隔操作ウイルスについて、「言い方は悪いですけど、プロのサイバー犯罪者はあまり使わないものかと思います」と分析する。

「そもそもウイルスには目的がふたつあって、感染させたことをユーザーにわからせる『自己顕示』目的か、感染していることを巧妙に隠してお金や情報を盗む目的です。今回のウイルスは、掲示板に書き込むことだけが目的で、最終的には自分の存在を他に知らしめてしまうタイプなので、ウイルスとしては中途半端な機能ですね」

世界では日々、新種のウイルスが誕生している。誤認逮捕された人たちのような「冤罪」の被害に合わないためにも、パソコンセキュリティ対策はしっかりしておくに限る。

(取材・文/明石昇二郎とルポルタージュ研究所)
銀行狙うトロイの木馬は盗りやすい所から盗る、日本語の壁が無くなると……

Impress Watch 3月11日

 2月中旬、日本の大手銀行のみをターゲットにしたトロイの木馬「Zeus」の亜種が見つかったことを、株式会社シマンテックが発表した。そのシマンテックが先週、こうした金融機関を狙うマルウェアについて報道関係者向けの説明会を開催。2005年以降に見つかった日本の銀行を狙う歴代のトロイの木馬を解説し、その機能が当初の調査段階から実用化段階に近づいているとともに、さらに高度化する可能性もあることを示唆した。

 シマンテックの林薫氏(セキュリティレスポンス主任研究員)によると、日本の銀行を狙った過去の攻撃としては、2005年7月の「Infostealer.Jginko」、2011年5月の「Trojan.Spyeye」がある。

 Infostealer.Jginkoは、日本のオンラインバンキングを狙った初めてのトロイの木馬だという。20以上の金融機関がターゲットになり、ユーザーIDとパスワードを盗む機能があった。林氏によると、当時はおそらく第2暗証番号がまだ普及していなかったのではないかとし、ユーザーIDとパスワードを盗むだけで不正操作などが「けっこうできたのではないか」としている。

 次のTrojan.Spyeye(SpyEye)はオンラインバンキングを狙うトロイの木馬としては世界的にメジャーなファミリーだが、2011年5月に日本をターゲットにした亜種が見つかった。検体は少なくとも2件見つかっており、それらに含まれていた4つの設定ファイルの解析結果を林氏は説明した。

 このうち3つはトロイの木馬の通信先となるC&Cサーバーなどを記述したものだったが、もう1つのファイルには、感染PCが指定したURLにアクセスした際にスクリーンショットを撮影し続けるように画面サイズや回数、秒数などの設定が記述されていたという。しかしこれだけでは不正送金操作などに必要なパスワードなどの情報は入手できないため、日本のオンラインバンキングの画面遷移を調査している段階だったのではないかという。

 この亜種ではまた、「任意の二つ質問に対して、『合言葉』で確認させていただきます」とのメッセージをとともに、「答え1」「答え2」「第2暗証番号」を入力させる画面をウェブインジェクションにより表示する機能も確認された。見るからに怪しさを感じさせる画面だったというが、やはりこの機能だけでは被害はあまり出ないのではないかと指摘。これも攻撃者側が日本のオンラインバンキングを調査していた段階のトロイの木馬ではないかとした。

 そして今年2月に見つかった「Trojan.Zbot(Zeus)」の亜種では、ターゲットとなる銀行のサイトに感染PCがアクセスするのを検知してHTMLコードを挿入。偽の日本語の警告メッセージを表示し、アカウント情報を入力するよう促すとともに、キーロガー機能でパスワードなどのログイン情報を記録する機能があったという。ターゲットとなっていたのは大手5行で、1行につきそれぞれ7〜8件のURLが指定されていた。

 表示される警告メッセージは、「もっと良いサービスを提供するため、当行の個人ネット銀行機能のアップデートをさせて頂いていますので、この間ネット銀行機能を使ったら、新規登録する時ご入力した情報をもう一度入力をいただき、アップデートを完了させて頂くようお願い申し上げます」というものだった。

 また、「暗証カード裏面に印字されている暗証カード発行日を記入してください」として、オンラインバンキングでは通常は聞くことがないはずの暗証カード発行日の入力を促すようにもなっていたという。

 なお、この亜種のインストールには、Javaの脆弱性を突くBlackhole Exploit Kitが使われていたとしている。

■ トロイの木馬は、1人当たりの資産が多い国を狙う傾向に?

 林氏によると、オンラインバンキングをターゲットとするトロイの木馬が登場したのは2002〜2003年ごろ。当初は主にブラジルやアルゼンチンなど南米がターゲットだったが、現在ではグローバルに展開するものや特定の国を狙うものなど多数存在。SpyEye、Zeusのほか、「Cridex」「Tatanarg」「Shylock」「Bebloh」「Carberp」といったファミリーがあり、このうち、Shylockは英国、Beblohはドイツ、Carberpはロシアに分布しているという。

 特にメジャーなトロイの木馬ファミリーは多くの攻撃者グループによって使われているため、ターゲットとする組織の数も多くなり、例えばSpyEyeでは409、Zeusでは300の組織がターゲットになっているとしている。

 林氏は、トロイの木馬の攻撃に好まれるターゲットとして、富裕層の多い先進国を挙げ、1人当たりの資産が多い国が狙われやすい傾向にあると説明する。国連大学世界開発経済研究所(UNU-WIDER)がとりまとめた2000年時点のEU各国の統計データの数字を提示し、現在最もよく使われているトロイの木馬ファミリーの上位8種のうち6種でターゲットになっている英国は、1人当たりの資産が12万8959ドルに上るとしている。

 以下、8種中5種でターゲットにされているのがドイツ(1人当たりの資産は8万9871ドル)、オーストリア(同6万6639ドル)、オランダ(同12万86ドル)の3カ国、4種がイタリア(同11万9704ドル)、フランス(同9万3729ドル)、スペイン(9万2253ドル)の3カ国、3種がアイルランド(同8万9327ドル)となっている。

 なお、シマンテックの説明会では言及しなかったが、同じUNU-WIDERの統計データによると、日本の1人当たりの資産は12万4858ドルとなっており、この数字だけ見れば英国やオランダ並みだ。また、シマンテックでは日本をターゲットにしているトロイの木馬ファミリーについてはカウントしていないものの、少なくとも8種のうちSpyEyeとZeusの2種は確認されていることになる。

 林氏はこのほか、オンラインバンキングの作りは銀行ごとに異なるため、その国の銀行の数が少なければ攻撃者が必要とする亜種も少なくて済むという側面もあるとした。

 もちろん、オンラインバンキングのセキュリティ面も重要な要素となる。林氏によると、例えばベルギーは1人当たりの資産が8万5818ドルと比較的多い割には同国をターゲットにしているトロイの木馬ファミリーは8種中0種となっており、セキュリティが強固なためとみられるという。林氏は「やはり攻撃者は盗りやすい所から盗る。狙いやすい所を狙う」とした。

■ 日本の“言語の壁”が低くなれば、より高度なMITB攻撃の可能性も

 “言語の壁”も、トロイの木馬からの狙いわれやすさに影響する。1人当たりの資産が比較的多かったにもかかわらず日本がこれまで狙われにくかったのは、この言語の壁があったためだという。

 トロイの木馬でオンラインバンキングに攻撃を仕掛けるには、ユーザーIDとパスワードを機械的に盗むだけでは不十分であり、攻撃者はその銀行のオンラインバンキングのシステムや取引画面の遷移などを把握した上で、暗証番号などの入力を促すメッセージを表示するウェブインジェクションを作成するなど、ターゲットとなる国の言語を理解する必要がある。これまでは、こうしたことを理解するための日本語の壁が高かったという。

 この日本語の壁が、例えば機械翻訳の品質の改善やSNSなどを通じたネットワークなどのさまざまな要因で全体的に低くなってきている模様だ。実際、2011年5月に見つかったTrojan.Spyeyeの事例に比べると、今年2月のTrojan.Zbotの事例では偽メッセージの日本語は進化してきているとともに、取引画面や画面遷移の理解も進んできているように見える。

 また、こうした偽のメッセージなどを表示するウェブインジェクションの部分だけを開発・取引する例もあるとしており、一度作成された日本語のウェブインジェクションが別の攻撃者に再利用されたり、それをベースにアップデートされる可能性も高まっている。さらに日本語の壁が低くなることにより、今後、日本の銀行を狙うトロイの木馬でより高度なMITB(Man-in-the-Browser)攻撃につながっていく可能性もある。

 なお、海外ではセキュリティレベルの低い小さな銀行が狙われる傾向にあるというが、今年2月のTrojan.Zbotの亜種では日本の大手銀行5行がターゲットだった。林氏によると、日本では多くの銀行がほぼ同じセキュリティレベルであまり差がないため、攻撃者はユーザーが多い(感染PCのユーザーが使っている確率が高い)大手銀行をターゲットにしたのではないかとしている。


【INTERNET Watch,永沢 茂】
中野の洋服店が「ウイルス」柄の新作発表−「女王様カメラマン」記念撮影も /東京

みんなの経済新聞ネットワーク 3月11日



先行予約した客をサディスティックに記念撮影する綾瀬凛さん

 中野ブロードウェイ(中野区中野5)4階の洋服店「ペイ・デ・フェ」(TEL 03-5318-9439)は3月10日、春の新作パンプスやブラウスを発表した。(中野経済新聞)

【画像】 降臨した綾瀬凛さん(右)と店主兼デザイナーの朝藤さん

 新作のタイトルは「ウイルス」、「ウイルス柄」のパンプス(2万4,900円)やワンピース(2万3,000円)、持ち手が髪の毛を模した三つ編みでできているバクテリオファージの頭の形をした20面体の不思議な立体構造のバッグ(2万9,000円)などを発表、先行店頭販売も実施。

 当日は「女王様カメラマン」としてテレビや雑誌、ホスト・イケメン写真撮影などで活躍する綾瀬凛さんが店舗に「降臨」。新作を試着した来店客の姿をサディスティックに撮影し、その場で自ら画像編集ソフトで加工した写真をプレゼントする企画も行われた。

 同店は「奇妙でかわいいアパレルブランド」をコンセプトに、2009年に同所に店を構え、虫柄のテキスタイルによる「ガーリー」なアイテムやヨーロッパで買い付けた材料によるリメイクなどの商品を発表、今年の3月3日には廃病院で新作ファッションショーも行っている。

 店主兼デザイナーの朝藤貴美恵さんは「これからも奇妙なファンタジーの中で、リアルクローズとして楽しめるスタイルを作っていきたい」と話した。

 営業時間は13時〜20時。水曜定休。
【PC遠隔操作事件】被疑者が述べた全てを公開


江川 紹子2013年3月9日

被疑者の片山祐輔氏の自筆メモ



はてなブックマークに追加
コメントを見る(12件)


警察や検察の録音・録画拒否が続き、被疑者片山祐輔氏の取り調べは今なお進まない。現時点で最も詳細な彼の供述は、2月26日に行われた勾留理由開示公判での意見陳述だろう。以下は彼の語った全て。検事2人も同席していたが、質問は一切行わなかった。

江ノ島の猫との接触は?

弁護人(佐藤)

ーー昨年末、雲取山に行ったことがあるか、あるとすれば写真を撮影したか、その手段は何か、その映像は今どこにあるか、犯人が送った写真と同じものがありうるかについて説明してください。

片山「まず雲取山に行ったのは、昨年末というよりも1 2月初句の頃です。登山をする前日に奥多摩湖の近くに行き、車中泊をし、当日早朝から登って 日帰りで下りてきました。雲取山の山頂まで登って、富士フィルムのコンパクトカメラで風景の写真を撮りました。そのカメラは、 1 2月半ばから下旬にかけてタイに旅行に行ってきたのですが、その時に旅行先で紛失してしまいました。そのとき撮った写真の中に、犯人が送りつけてきた写真と一致するものは絶対にないはずです。

ーー今年になって江ノ島に行ったことがあるか、それはいつか、交通手段、到着時刻、その後の行動、本件で問題になっている猫に接触したり写真を撮った可能性があるのか。あれば撮影の手段、その映像は現在どうなっているのか、犯人が送りつけたとされる映像がその媒体から復元されたという事実があり得るのか、猫に首輪を付けたことがあるのかどうか…について述べてください。

片山「今年、正月の1月3日にバイクで湘南方面に行きまして、その時に江ノ島に立ち寄りました。おそらく2時頃に江ノ島に到着したと思います。その後、島の正面入口から商店街を通り、奥の石段を通り、神社にお参りして、その後、島の頂上辺りを散歩した後、また商店街まで下りてきて、タコ煎餅とか釜揚げしらす丼とかを食べて、その後、バイクで島から去りました。野良猫が沢山いたので、途中いた猫の写真を撮りました。

事件で問題になった猫の写真を撮った可能性もありますし、私が接触した可能性もあります。しかし、首輪を付けたことは全くありません。その写真を撮ったカメラは、私が当時使っていたスマートフォンです。そのスマートフォンは、本体メモリーに保存する設定になっていたのですが、その後、鑑賞して楽しんだりしたのですが、1月半ば頃に携帯を機種変更して、古い方の携帯をショップに売ってしまったので、その画像は初期化されて消えてしまったと思います。
「真犯人」が送りつけた猫の写真
犯人が送りつけた猫の写真と向じ写真が残っていたとする報道が一部ではあるようですが、私が撮影したものではなく、後にニュースサイトを見て、掲載されていたものがキャッシュ、つまり一時保存されていたものでしかないと思います。もし、私が撮影したものであれば、写真を撮影したときに格納されるフォルダに、元の解像度、つまり大きさのまま格納されているはずなので、そんなことはぜったいにないと思います。

ーー猫に触れた時刻と場所、そこを離れたのは何時頃か、江ノ島を離れた時刻,問題の猫に触れたときに既に首輪を付けていたのかどうかを説明してください。

片山「頂上の辺りを散歩していたのは2時半から3時半くらいの間だったと思います。問題の猫に触れたのは、正確ではないですが、3時前後だったと思います。その猫に首輪がついていたかどうかは、あまり注意していなかったので気がつきませんでした。島を離れた時刻は5時前だったと思います」

ーーその問題の猫に触れた可能性があるということですが、どんな形で触れたのですか。

片山「触って撫でたり、座って膝の上に乗せたりしました」

ーーそのときに座布団を用意したということはあるのですか。

片山「座布団を用意したことはありません」

ーーあなたがショップで売った携帯は警察によって回収されていることを、いつ知らされましたか。

片山「逮捕後です」

ーーそういうことは予想していなかったですか。

片山「全然、していませんでした」

ーー売る時、データがどのような処理をされたか知っていましたか。

片山「ショップの人が初期化してくれました」

ーーショップの人がしたのですか。

片山「私も一度しましたが、その後ショップの人がどうしたかは分かりません」

ーーショップの人も初期化したのですか。

片山「多分、初期化したと思います」

米国サーバーの”痕跡”は「心当たりない」

ーー派遣先のPCから匿名化ソフトのトーアを介したり介しないで「2チャンネル」とか「したらば掲示板」 にアクセスしたことはあるか。あるとすれば、そこで何を閲覧したのか、書き込みをしたことはあるか。派遣先PCでDropboxにアクセスしたことがあるのか、アメリカのDropboxのサーバからあなたが使用していた派遣先のPCからアイシス・エグゼという遠隔操作プログラムの痕跡が発見されたと言われているが、思い当たることがあるか。今の問題について警察官や検察官から質問を受けたかどうか。

片山「まず「2チャンネル」や「したらば掲示板」にトーアを通じてアクセスしたこともありますし、 トーアを通じないでアクセスしたこともあります。どういうものを閲覧していたかというと、仕事に必要な情報収集や息抜きに趣味のサイトを見たりしました。書き込みについても同様で、仕事に必要な質問を書き込んだことがあります。

Dropboxについては、事件とは全く関係なく自分自身のDropboxのアカウントを持っていて、それにアクセスしたことはあります。アメリカの方からアイシスの痕跡が発見されたということについては、全く心当たりはありませんし、そのことを捜査官から言われたことも一回もありません」

ーー(アイシス・エグゼが作られた)C#についてのあなたの知識や能力は?

片山「C#については、自分でプログラミングを作って仕事の成果物を作ったことはありません。人が作ったプログラムをテストしたことがある程度です」

ーーあなたが昨年末から今年の2月にかけて会社を休んでいましたが、その原因や経過は?

片山「仕事に集中できない、仕様書やプログラムが読めない、書けないという原因不明な症状に陥ってしまい、精神科を受診したところ、医者に休んだ方が良いと言われ、上司に相談して休職させてもらうことにしました」

ーー去年の暮れから今年の1月に掛けては、プログラムは読めないし、書けない状態にあったのか。

片山「症状としては,去年の秋ぐらいからです」

ーー会社を休む前からですね。

片山「そうです」

ーーあなたの自宅のコンピューターを警察は押収しているが、そのPCからあなたが不正プログラムやウイルスとかハッカーのサイトとかに興味を持っていたという痕跡は見つかると思いますか。

片山「ないです。そういうようなものには興味がなかったですし、見たこともないです」

ーー自宅や派遣先のPCからあなたが本件の犯行に関連することを行ったということはありますか。

片山「ありません」

訴えたいことは「無実」

弁護人(竹田)

ーー今回の被疑事実が遠隔操作事件であることを最初に知ったのはいつなのか。被疑事実にある平成24年8月9日午前10時37分ころから午前10時42分ころまで、どこにいて何をしていたのか。今、警察官や検察官、裁判官に訴えたいことは何か。

片山「逮捕された時点では、コミケに殺害予告をしたとしか書かれておらず、遠隔操作事件の関連だとは分かりませんでした。それが分かったのは、逮捕された日の夕方に取調官から、それをにおわすようなことを言われた時が初めてでした。次に8月9日の午前中は派遣先の会社で仕事をしていました」

弁護人(木谷)

ーー犯人が送ってきたフィギュアの写真を知っているか、その写真を撮影したことがあるか、その人形を購入したことがあるか、あるとすれば,いつ,どのように購入したのか、現在どこにあるかを話してください。

片山「犯人が、写真にあったフィギュアを送ってきたというのですが、その犯人が送りつけたメールに、その人形が写っていたことは知っています。私も同じ形の人形を一昨年の夏の発売日にネットの通販で買いました。その写真を撮ったことはありませんし、犯人が撮ったような写真を撮ったこともありません。そのフィギュアがどこにあるかと言うと、一昨年の年末に大掃除したときに捨ててしまったと思います」

裁判官

ーー先ほど弁護人から促された、今訴えたいことは何かということを述べてください。

片山「私は遠隔操作ウイルス事件の犯人ではありません。どうか無実だと分かってください」
うちわ話:1カ月ほど前、パソコンが突然使えなくなった… /香川

毎日新聞 3月8日



 1カ月ほど前、パソコンが突然使えなくなった。いつものようにメールをチェックしていた時、急に画面が消え、大きなカギのマークが出た。インターネット接続以外使えなくなり、翌日には、すべてがロックされた状態に▼専門家に調べてもらうと、「ウイルスにやられてますね」と一言。誤認逮捕者も出て注目された遠隔操作ウイルスなど、世にまん延しているとは聞いていたが、わが身に襲いかかろうとは……▼パソコンは古かったこともあり、買い替えたが、大事な写真などは取り出せなかった。思い出は買い替えられないだけに、いまだにショックで、新しいパソコンでも怖くてメールを開けない。立ち直るまでには、まだ時間がかかりそうだ。
モバイルプラットフォームの脅威はAndroidへ一極集中の時代へ


山本 一郎 | 個人投資家 3月8日






セキュリティ対策企業のF-Secureが、モバイルプラットフォームにおけるセキュリティ事情をまとめ、「Mobile Threat Report」として発表しています。

F-Secure's New Mobile Threat Report Details Abrupt Drop in Symbian Malware Threats From Previous Quarters; Android Malware Continues Upward Trend(F-Secureプレスリリース 2013/3/7)

上記プレスリリースも、PDF形式で公開されているレポートも英文ですが、ITmediaが同レポートの内容を簡単に紹介する記事を掲載しています。

マルウェアの96%はAndroidが標的、Symbian狙いは「絶滅危惧種」に(ITmedia 2013/3/8)

これによると、従来のフィーチャーフォン(ガラケー)で普及していたOSのSymbianを攻撃対象にしたマルウェア(不正なプログラム)は無くなりつつある一方で、Androidを標的としたものが急増していることがわかります。もちろん調査範囲の問題もありますから鵜呑みにするのもどうかとは思いますが、ただ急増は事実くさいなあ… というのが正直なところで。

やはり海外記事ですが、同じF-Secureのレポートから、マルウェアの対象となるプラットフォームの推移を2010年から2012の期間で示した円グラフをそのまま引用して掲載しているものがあり(figure 2: threat famiLies and variants by PLatform,2010-2012)、これを見ると変化が一目でわかり興味深いです。

Phil Schiller Tweets Link to Mobile Malware Report That Slams Android(MacRumors 2013/3/7)

2010年に発見されたマルウェアの数は全部で80、そしてその62.5パーセントがSymbianを標的としていました。ところが、2011年になると、マルウェアの数は飛躍的に増え195となり、その66.7パーセントがAndroidを狙ったものへ。さらに、2012年、マルウェアの数は2年前の3倍以上となる301となり、しかも、その79パーセントがAndroidを対象としています。Android大人気ですね。一方でiOSやBlackBerryを狙ったものはいずれも1パーセント未満です。

ちなみに、上記でとりあげた記事は、Appleの上級副社長フィル・シラー氏が、暗にiOS機器は安全だということをアピールするために、同レポートのURLをTwitterで投稿した件をとりあげたもので、なかなかAppleの中の人は性格が良いなと関心します。

Appleのフィル・シラー氏、「気をつけて」のコメントを添えて「マルウェアの96%はAndroidが標的」との報告書のURLをツイート(気になる、記になる… 2013/3/8)

それにしても、Androidをとりまく状況ですが、いかにアプリの開発や配布が他のモバイルプラットフォームに比べて自由度が高いがゆえのいわゆる「諸刃の刃」的状況だとしても、このマルウェアの増加ぶりは極端ではないでしょうか。現在すでに感染しているAndroid端末の数や、増加率などの推定値を考えるとぞっとするものがあります。

また、Androidのセキュリティについては、他にも懸念される件があります。

Java6の無償セキュリティアップデート停止(電脳羊(Android Dream) 2013/3/4)

AndroidはJava言語を使用していますが、現在正式対応しているのはJava 6です。そのJava 6向けのサポートが今年の2月で終了し、セキュリティアップデート提供が今後どうなるかやや不透明な状況。さすがに天下のGoogleがセキュリティの欠落した状況のままでAndroidを提供し続けるとは考えられませんが、まだJava 7には正式対応していないわけですね。Javaは、その脆弱性を悪用された攻撃がこれまでも頻発しているだけに、気になるところです。

またもやJavaに危険な脆弱性、悪用したゼロデイ攻撃が出現(ITpro 2013/3/5)

これからの時代はモバイルがPCから置き換わって普及していく可能性もあるのではという記事を以前に書きましたが(Windows XP終了でオフィスPCの時代は終わるのか)、そこへ至るまでにはセキュリティ面が一つの大きな課題だと感じる今日この頃です。

ひょっとすると、このようなセキュリティホールへの対応の困難さが理由でプアマンズPCとしてのAndroidの問題が破壊される可能性もないとはいえないわけで、もはやこの先はデータ通信領域の問題ではなく安全保障上の課題になりつつあると言えましょう。

チェック・ポイント、ゼロデイ攻撃を阻止する新ソリューションを発表

Computerworld 3月8日

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は3月8日、未知の脅威やゼロデイ攻撃、標的型攻撃に対応する新ソリューション「Threat Emulation Software Blade」を発表した。2013年第2四半期より代理店経由で販売される。

【詳細画像を含む記事】

 Threat Emulation Software Bladeは、メール添付された不審なファイルを発見後、仮想サンド・ボックスにアップロード/実行し、不正活動の有無を確認してネットワークへの侵入を試みるマルウェアを遮断するものだ。

 新たに見つかった脅威の情報はリアルタイムでチェック・ポイントの「ThreatCloudサービス」に報告され、他のユーザーと自動的に共有される。エミュレートは複数のOS環境に対応しており、監視対象は、ファイル・システム、システム・レジストリ、ネットワーク接続、システム・プロセスとなっている。

 Threat Emulation Software Bladeは、チェック・ポイントが提供する多層防御型の脅威対策ソリューションを強化する一つの機能という位置づけだ。多層型の統合脅威対策ソリューションは、既知の脆弱性を狙った攻撃を遮断する「IPS Software Blade」、ボットを検出してその被害を防ぐ「Anti-Bot Software Blade」、マルウェア感染ファイルのダウンロードを遮断する「Antivirus Software Blade」といった複数のSoftware Bladeで構成されている。

 会見に登壇した同社システム・エンジニアリング本部 本部長の村田眞人氏は、「組織が直面する脅威には、外部からの攻撃による情報漏洩だけでなく、ファイル共有アプリの無断使用や従業員の誤操作などがある。従来のIPSやボット対策、アンチウイルスソフトの導入だけでは不十分で、未知の脆弱性を悪用するマルウェアへの対応は必須だ」と語り、多層防御型の脅威対策ソリューションの重要性を強調した。
(Computerworld.jp)
チェック・ポイント、未知のマルウェアをブロックする新たなSoftware Blade

マイナビニュース 3月8日

チェック・ポイント・ソフトウェア・テクノロジーズは3月8日、未知の脅威やゼロデイ攻撃および標的型攻撃から組織を保護する新たなSoftware Blade製品として、「Threat Emulation Software Blade」を発表した。

Software Bladeは、セキュリティ機能がハードウェアと別に、個々に独立したモジュール型の論理セキュリティ・ビルディング・ブロックで提供され、ユーザーは必要な機能をアプライアンスに個別に導入できる。

導入できるハードウェアは、チェック・ポイントのUTM-1アプライアンスとPower-1アプライアンス、IP Appliance、オープン・サーバ、仮想化環境内など。

Threat Emulation Software Bladeは、不審なファイルを発見後、直ちに実行をエミュレートして不正活動の有無を確認し、ネットワークへの侵入を試みるマルウェアを遮断する。

チェック・ポイント・ソフトウェア・テクノロジーズ 代表取締役社長 藤岡健氏は、「お客様のもっとも大きな課題は、まったく知らない新種のマルウェアをどう防御していくかだ。Threat Emulation Software Bladeは、これを解消する製品だ」と説明。

Threat Emulation Software Bladeでは、まず、8割をファイル内にスクリプトが含まれているか、含まれている場合、どのようなコードが書かれているかといった静的な情報で判断し、実際にエミュレートされるのは残りの2割程度だという。エミュレートはTreat Emulationのサンドボックス内で実行し、不自然なシステム・レジストリ変更やネットワーク接続の確立、システム・プロセスの登録といった活動がないかを分析・監視する。そして、マルウェアだと判断されると、ゲートウェイでブロック。この情報が同社のThreatCloudに報告され、他の顧客のゲートウェイに報告される。

また、未知のマルウェアが既知のものに変化した場合は、以降はIPS側でブロックされるようになるという。

Threat Emulation Software Bladeは、ユーザ環境の要件に合わせ、専用アプライアンスまたはクラウド・サービスのどちらかを選択、導入することができる。

[マイナビニュース]
マルウェアの96%はAndroidが標的、Symbian狙いは「絶滅危惧種」に

ITmedia エンタープライズ 3月8日


四半期ごとのマルウェア発生状況(F-Secureより)

 セキュリティ企業のF-Secureが3月7日に発表したモバイルマルウェアの動向動向報告書で、Androidマルウェアの増加傾向が一層鮮明になった。2012年10〜12月期に検出されたマルウェアの96%はAndroidが標的だったと報告している。

 同社によると、2012年に検出された新手のマルウェアファミリや亜種は301件だった。このうちAndroidを狙ったマルウェアは年間平均で79%を占め、2011年の66%からさらに上昇した。

 一方、Symbianを狙ったマルウェアの割合は、10〜12月期でわずか4%に縮小した。2011年の29%に比べて激減しており、「Symbianマルウェアは2013年には絶滅するだろう」とF-Secure研究者は予想する。

 モバイルマルウェアの内容を見ると、トロイの木馬が66%を占めたほか、Androidマルウェアでは課金用の番号にSMSを送信したり、SMSベースの有料サービスに登録させるといった手口で金銭を盗もうとするものも多数を占めた。こうした手口に使われたSMSは削除され、ユーザーは料金明細書が届くまで課金されたことに気付かないという。
マカフィー、リアルタイムなセキュリティの状況把握や相関分析が可能なツール群を発表

ITmedia エンタープライズ 3月7日


 マカフィーは3月7日、セキュリティ管理システム製品「McAfee Real Time for ePolicy Orchestrator」および「McAfee Enterprise Security Manager」のアップデートを発表した。国内提供時期はEnterprise Security Managerのアップデートが2013年上半期に、McAfee Real Time for ePolicy Orchestratorは未定としている。

 McAfee Real Time for ePolicy Orchestratorは、コンピュータが数千台規模の組織でも各コンピュータのセキュリティ状態の検索を数秒で行えるのが特徴という。ほぼリアルタイムな状況の把握が可能になることで、セキュリティ管理業務の効率を大幅に改善するとしている。

 McAfee Enterprise Security Managerのアップデートでは統合管理ツールやネットワークセキュリティ管理ツール、脆弱性管理ツールとの連携を強化し、システムやネットワーク内部に潜むセキュリティの脅威の相関分析などの作業を短時間でできるようにする。
【レポート】公式マーケットの不正なアプリに注意を! - IPAの今月の呼びかけ

マイナビニュース 3月6日
(写真:マイナビニュース)

IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンの不正アプリについて、その実態と注意喚起を行っている。今回は、公式マーケットに登録される不正アプリについての注意喚起だ。

【拡大画像や他の画像】

○不正なアプリの実態にせまる

IPAでは、公式マーケットに登録された不正アプリを検出した。この不正アプリは、現時点では削除されたが、50万回以上もダウンロードされた。この不正アプリを使用すると、位置情報やメールアドレスなどが流出する。もちろん、流出した情報が悪用される危険性は、十分考えられる。では、その不正アプリを見ていこう。まずは、アプリの紹介画面である。

アプリ名は「ポルノセクシーなモデルの壁紙」と、興味をひかせるものとなっている。さらに、評価も高く、レビュー数も多い。そして、ダウンロード数は50万回を超えていることがわかる。一般的に、多くのユーザーが利用し、評価の高いアプリは安全であると考えられている。しかし、この考えを逆手にとった手口といえよう。こうなると、評価やダウンロード数を確認するといった防御策も有効とはいえなくなりつつある。そして、この不正アプリのインストールを行おうとすると、図2のように必要となるアクセス権限などが表示される。

ここで注目したいのは、端末情報の読み取りなどを行うことである。壁紙を表示するだけのアプリに必要な機能ではない。こういった、不自然な権限の要求にまずもって注意すべきと、IPAでは注意喚起している。こうしてインストールすると、図3となる。

この動作はごく普通であり、アイコンをタップすると、実際に壁紙が表示される(図4)。

こうして壁紙は表示されるが、この段階でメールアドレスや位置情報などの内容を窃取し、外部の送信しようとする。IPAで試したところ「Connecting …」と表示され、外部と通信を行おうとするが、接続に失敗し「Connection error」というメッセージが複数回表示されたとのことである。IPAでは、外部に送信しようとした内容を分析したところ、図5のような、内容であった。

メールアドレス、端末識別番号、位置情報が、POSTメソッドにより送信されようとしている。

○より本物に見せかける?

さて、同様な不正アプリについて、IPAでは何度も取り上げている。2012年5月に取り上げた不正アプリでは、有名なアプリ名などを悪用した。これらの不正アプリは動画を使い、壁紙と似たような仕組みである。IPAでは、今回のアプリについて「壁紙を表示させる機能はあるものの、実際には端末情報などを窃取するための不正なアプリ」としている。今後、同様な手法を使うことが予想される。

その一方で、2012年9月に取り上げた不正アプリでは、一見、便利そうな機能を謳うが実際にはまったく動作しなかった。これについて、IPAでは、紹介通りの機能を実現することで、不正なアプリと類推されにくくしていると分析している。

○対策はアクセス権限の確認を

図1のように、ダウンロード数や評価が高いと、不正アプリと疑うことは非常に難しい。また、今回の事例のようにGoogle Playのような公式マーケットでも、不正アプリが登録されることが決して、めずらしくなくなっている。これらを踏まえ、IPAでは、以下をあげている。

・アプリをインストールする前に、アクセス許可を確認
・信頼できる公式アプリマーケットからアプリをインストール
・セキュリティ対策ソフトを導入

2番目であるが、IPAでは、各携帯電話会社が運営するマーケットを利用することを推奨している。これらのマーケットでは、運営者により独自のチェックを行っているからである。と同時に、インストール時のアクセス許可の確認が重要となる。3番目のセキュリティ対策ソフトの導入であるが、不正なアプリの検知だけではなく、アクセス許可の内容をチェックするものもある。こういった機能を活用し、不正アプリを発見することもできる可能性もある。

最後に、こうしてメールアドレスを詐取されてしまった場合、このアドレスはAndroid OSのスマートフォンを初期設定する際に必要となるGoogleアカウントである。スパム対策などで変更したいと思っても、端末の初期化が必要となり、簡単ではないとIPAは警告する。盗まれてからでは、対策が困難になる可能性もある。くれぐれも注意してほしい。

(c-bou)

[マイナビニュース]
IPA、一太郎や花子の脆弱性に関する注意喚起 2013/02/26


 
「複数のジャストシステム製品の脆弱性対策について」(IPA)より


IPAは26日、ジャストシステムの日本語ワープロソフト「一太郎」シリーズ、総合グラフィックソフト「花子」シリーズなどの脆弱性に関する注意喚起を行った。ジャストシステムでは、脆弱性を回避するためのアップデータをWebサイトで公開している。

影響を受ける製品は、最新版の一太郎2013 玄や花子2013から過去のシリーズも含まれ、文書ファイルを読み込む際に任意のコードが実行される脆弱性が存在する。たとえば細工されたファイルを含むメールが送信され、これを該当製品で閲覧するときに任意のコードが実行される可能性がある。IPAでは注意喚起を行うとともに、ジャストシステムから公開されるアップデータを適用するよう回避策を示している。

ジャストシステムでは、アップデータを順次公開する予定で、26日現在「一太郎2013 玄」、「一太郎2012 承」「一太郎2011 創 / 一太郎2011」、「一太郎ポータブル with oreplug」、「花子2013」、「花子2012」のアップデータがWebサイト公開されている。また、Webサイト上には今後のアップデータの公開予定日も掲示してある。

脆弱性の影響を受ける製品とアップデータ公開予定日

トップ5はWindowsを対象としたパケットが占める--定点観測レポート(JPCERT/CC)

ScanNetSecurity 3月6日



2012年10~12月の宛先ポート番号別パケット観測数トップ5

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月6日、2012年10月から12月における「インターネット定点観測レポート」を公開した。本レポートは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集、宛先ポート番号や送信元地域ごとに分類したものを、脆弱性情報、マルウェアや攻撃ツールの情報などの情報を参考に分析したもの。

他の写真を見る

同期間中は、WindowsやWindows Server上で動作するプログラムが使用する445/TCPや1433/TCP、Windowsのリモート管理やアクセスに使用するリモートデスクトップ3389/TCP宛へのパケットが多く観測された。また、Windowsを対象としたパケットが多く占めるトップ5に対し、続くトップ10には22/TCPや、23/TCP宛など主にLinuxを対象としたパケットが並んだ。パケット送信元地域トップ5では、ロシアの順位が下がり、ランク外となった。その原因は445/TCPを宛先としたパケットが減少したため。代わりに、23/TCP宛のパケットが増加したため、タイがトップ5にランクインしている。タイからはWindowsを対象としたパケットが多く観測されているという。


「Adobe Reader」「Acrobat」に複数の脆弱性、アドビがアップデート公開(JPCERT/CC)

2013年2月21日




一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月21日、米アドビ社が「Security updates available for Adobe Reader and Acrobat:APSB13-07」を公開したことについて注意喚起を発表した。「Adobe Reader」のXI(11.0.01)およびそれ以前、X(10.1.5)およびそれ以前、9.5.3 およびそれ以前、「Adobe Acrobat」のXI(11.0.01)およびそれ以前、X(10.1.5)およびそれ以前、9.5.3 およびそれ以前には、複数の脆弱性が存在する。

これらの脆弱性が悪用されると、結果としてリモートの攻撃者にAdobe ReaderやAcrobatを不正終了されたり、ユーザのPC上で任意のコードを実行される可能性がある。また、アドビ社の情報によると本脆弱性を使用した標的型攻撃も確認されている。今回公開された対策版により複数の脆弱性が修正される。JPCERT/CCでは、アドビ社が提供する対策済みソフトウェアへアップデートするよう呼びかけている。

サイバー犯罪と戦う注目の職業「ホワイトハッカー」って何だ!?

エンジニアtype 3月6日(




スマホの爆発的な普及も、一般社会にサイバー犯罪が広まった要因に

人気アプリを装ったAndroidマルウェアによって推計で千数百万人もの個人情報が流出したと噂される『the Movie事件』や、2013年2月末時点で4人の誤認逮捕者を出して社会問題になっている『PC遠隔操作事件』など……。最近、個人を狙ったサイバー犯罪が急増している。

PC遠隔操作事件では、警察内部でサイバー犯罪を的確かつ迅速に捜査できる体制ができていないと指摘する声も挙がっているが、この流れの中で注目を集める職業がある。それが「ホワイトハッカー」だ。

ホワイトハッカーとは、サイバー犯罪を起こす「ブラックハッカー」(悪いハッカーのこと。クラッカー、ブラックハットともいう)に対抗する、彼らと同等以上の能力を持つセキュリティエンジニアのこと。

過去のサイバー犯罪で標的とされてきたのは主に政府機関や企業だったが、上記のとおり一般人をも巻き込む犯罪へと拡大しつつある中で、ホワイトハッカーの需要は年々高まっている。

今年2月には経済産業省が競技型ハッキングコンテスト『CTFチャレンジジャパン2012』を初開催するなど、ホワイトハッカー育成の機運も徐々に高まり出した。

この『CTFチャレンジジャパン2012』で初代チャンピオンに輝いたのは、不正アクセス被害の解析や証拠保全技術などを手掛けるネットエージェントの若手エンジニアチーム。同社の代表取締役社長である杉浦隆幸氏は、過去にP2Pのファイル共有ソフト『Winny』の暗号解読にいち早く成功するなど、情報流出対策ビジネスの世界では名の知れた存在だ。

彼はIPA(独立行政法人 情報処理推進機構)が主催する若手セキュリティエンジニア育成イベント『セキュリティ・キャンプ』で講師を務めるなど、後進の育成にも尽力してきた。そんな杉浦氏に、ホワイトハッカーとは何者で、仕事をこなすには何が必要なのかを聞いてみよう。
.
ネットエージェント代表取締役社長の杉浦隆幸氏

必要なのは、100人の人材育成より被害を食い止める仕組みづくり

―― まずはネットエージェントのお仕事紹介を。日ごろはどのようなお仕事を?

情報セキュリティを高める自社製品やサービスの開発のほか、企業や官公庁などからの依頼で情報漏洩や不正行為の調査を行ったり、オンラインゲームやソーシャルゲームのチート(ゲーム上での不正)対策などをしています。

―― 『PC遠隔操作事件』のように警察が乗り出すような事件捜査と、御社のような民間のセキュリティ会社が行う調査の違いは何でしょう?

警察は犯人を捕まえて起訴することが目的ですが、わたしたちは企業や団体でセキュリティ問題が発生した際、「どう不正が行われたか」を詳しく調べ、問題の再発を防ぐまでをミッションにしています。

デジタルフォレンジック(電子証跡調査)などを駆使して調査を進めるという点では共通していますし、われわれ民間企業が刑事事件の捜査に協力することもありますが、警察と民間ではそもそも目指しているものが違うんです。

―― 最近、サイバー犯罪に対処できるセキュリティエンジニアが不足していると指摘する声が増えていますが、実際のところはどうなんでしょう?

セキュリティのプロに対する需要が増えているのは確かです。しかし、人手が多くなればそれでOK、という話ではありません。

これはどの世界のエンジニアリングも同じだと思いますが、多くの人月を割いたからといって、問題を解決できるとは限りません。1人の有能なハッカーは、10人〜100人、もっといえば1000人のエンジニアに匹敵するものです。

だから、今問われているのは「人材不足の解消」よりも「仕組みづくり」なんですよ。

例えば、誰でも簡単に定義ファイルを更新するだけで最新のセキュリティ環境が整うウィルス対策ソフトのように、ハイテク犯罪やサイバー攻撃の被害を最小限に食い止めるための仕組みづくりが問われています。

―― その「仕組みづくり」とは、今後起こりそうな犯罪の傾向を予測しながら行うのですか?

いえ、サイバー犯罪は予測がしづらい世界ですから、あくまでも事象の発生ベースでどう対処するべきかを決めなければなりません。

ただ、この業界では「新しいデバイスやネットサービスが生まれると、大体5年以内にはそれを悪用した犯罪が一般にまん延する」という不文律があるので、ある程度は未来を見越して行っています。


技術力があっても、倫理観や人間性がないと“ダークサイド”に堕ちる

―― 『CTFチャレンジジャパン2012』では若手エンジニアで構成されたチームで優勝されたそうですが、ネットエージェントで活躍しているエンジニアは、どんな専門性を持った人たちなのですか?

IPAが行う『セキュリティ・キャンプ』の講義内容に照らし合わせて言えば、大きく(1)ソフトウェア・セキュリティ、(2)Webセキュリティ、(3)ネットワーク・セキュリティ、(4)セキュアなOSを作る知識の4つが必要です。

ただ、新卒・中途を問わず、入社してくる人それぞれが得意分野を持っていて、約30名いるエンジニアの中で全領域を完ぺきにカバーできる人間はいません。

わたし自身の専門は通信解析と暗号解読なのですが、社内には画像解析やリバースエンジニアリングの専門家、自分でOSを作った経験がある人などもいます。「セキュリティ技術」と一口に言っても、カバーしなければならない領域は広大ですから。

昨今のサイバー犯罪は、われわれでも専門外の分野を理解するのが困難なほどの速さで高度化しています。異なる専門知識を持つエンジニアがチームでカバーしないと、新しい手口の犯罪に対応できないのです。

―― では、どんな素質を持つエンジニアがホワイトハッカーになれるのでしょう?

大前提として、数学が苦手な人には務まらないでしょう。この仕事では、10進法、16進法くらいは頭の中でできるレベルの数学力が問われます。

技術面では、アセンブラレベルの理解があるなど、低層から理解している人たちになるでしょう。リバースエンジニアリングをしっかりやってきた人も有望です。

また、こういった素質以外にも、法律・法令への理解があること、性格的に粘り強く慎重なタイプであることが大切だと思います。地頭が良く技術だけ優れていても、倫理観や人間性が備わっていないと、ブラックハッカーになってしまう可能性を否定できないからです。

―― 『スターウォーズ』でたとえると、ジェダイがダークサイドに墜ちてしまうような?

そうです。一般的に、犯罪を起こした人の再犯率は高いと言われますから、一度“ダークサイド”に堕ちてしまった人がホワイトハッカーになるのは難しいのではないかと。

―― では、よくハリウッド映画で描かれている、悪いハッカーが一転FBIのような政府機関や警察に協力するといった展開はあり得ない?

アメリカでは実際にあります。「毒を以って毒を制す」という考え方です。日本では今のところ、そういうケースを聞いたことがないですね。

―― ホワイトハッカーとブラックハッカーは、技術的なベースや素養は共通しているとのことですが、両者を分ける決定的な違いは何なのでしょう?

やはり、法令遵守できるだけの知識があるか、倫理観があるか、過去に犯罪を起こしたことがないかが境界線になるでしょう。やっていることの善悪で判断しようとすると、観念的で定義があいまいになってしまいますから。

ホワイトハッカーであれ、悪意を持ったハッカーであれ、やっている作業レベルでは地味なことの積み重ねなんです。それに、例えばアプリ開発エンジニアのように、同じことをやっている仲間は非常に少ない。

それゆえ、ハッカーは「孤独」や「問題の枯渇(=ある問題を解決してしまうと、その後の業務や商機がなくなるという意味)」という壁にぶち当たることがよくあります。それに耐えられなくなったり、自分の能力を世の中に誇示したくなってしまった人が “ダークサイド”に堕ちてしまうのだと思います。

ネットエージェントの場合は、「組織」や「人」を守るという共通の目的を掲げ、新しい自社プロダクトやサービスを生むことで、エンジニアの孤独感や問題の枯渇を回避しています。善悪で物事を判断せず、法律や社内規定を破る人たちを「絶対値としての敵」と見なして、その敵にどう対処していくかに集中している点が、ブラックハッカーとの違いといえるでしょうね。
.
取材・文/武田敏則(グレタケ) 撮影/小林正
日本を狙ったマルウェアに中国の「時限爆弾」? セキュリティ企業が分析

ITmedia エンタープライズ 3月6日



 日本のジャーナリストを標的としたマルウェア攻撃について報告していた米セキュリティ企業のSeculertが、このマルウェアと中国との関係をうかがわせる分析結果を3月5日のブログで方向した。

 日本などを狙ったマルウェア攻撃はSeculertが2月に伝えていたもので、米セキュリティ企業Mandiantの報告書に見せかけたファイルをメールに添付して、マルウェアに感染させる手口が使われていた。

 Seculertがこの攻撃についてさらに分析した結果、このマルウェアは日本の正規のWebサイトと通信する機能を持つ一方で、別のドメインと通信する機能も仕込まれていたことが分かったという。

 問題のドメインは「expires.ddn.dynssl.com」というアドレスで、無料の動的DNSサービスを使って登録され、普段は韓国にある「218.53.110.203」というIPアドレスのサーバにつながっている。ところが、「expires」の部分を除いて「ddn.dynssl.com」というアドレスにすると、中国・山東省の済南にある「123.234.29.35」というIPアドレスのサーバにつながる仕掛けになっていたという。

 Seculertによれば、済南はかつて米Googleなどを狙って発生した「Aurora攻撃」や、大規模な標的型攻撃の「Shady RAT」との関係が取り沙汰されるほか、米企業を狙ったサイバー攻撃への中国の関与を指摘したMandiantの報告書でも言及されているという。

 さらにこのマルウェアは、指定された期間のみ実行される「時限爆弾」方式になっていたことも判明。普段は日本の正規サイトと通信しているが、指定時刻の5日午前8時から午後7時の間は中国のドメインと通信する仕掛けになっていた。この時間の間に新たなマルウェアをダウンロードして実行し、新たな段階の標的型攻撃の実行に備える手口だという。

 問題のドメインは、動的DNSサービスプロバイダーによって「時限爆弾」が発動する前日の4日に中断されており、新たな攻撃開始には至らなかったとSeculertは伝えている。
「ウイルス対策ソフトの更新」に見せかけた詐欺メール……不審なファイルが添付

RBB TODAY 3月5日


ウイルス対策ソフトウェアメーカーの通知に偽装したメール

 シマンテックは5日、有名なウイルス対策ソフトメーカーからの更新通知に見せかけて、ウイルスを送りつける手法について、情報を公開した。

他の写真を見る

 この手法は以前から存在するが、日本の電力会社や工業系大手企業に電子メールが送られてきたケースが最近も見つかったという。このメールは日本語で、一見ソフトウェアのライセンス更新通知に見せかけているが、添付されている圧縮ファイルに「.doc.exe」という拡張子のファイルが含まれており、見るからに怪しいものだという。また添付ファイルのファイル名も文字化けしていて意味不明なものとなっているが、シマンテックは、このファイルをTrojan.Dropperとして検出している。

 シマンテックによれば、何社かの航空会社に送られてきた別の詐欺メールでも、この送信元と同じアドレスが使われていたとのこと。またこのメールにも「.doc.exe」という拡張子のファイルが添付されていた。

 この攻撃が成功すると、攻撃者はコンピュータの制御権を乗っ取り、情報を盗み出すなど任意の操作を行えるようになるため、シマンテックでは注意を呼びかけている。

セキュリティ予測の通りに従来の手法を改良したマルウェアを複数確認(トレンドマイクロ)

ScanNetSecurity 3月5日





クーポンアプリを装い情報を盗もうとする不正Androidアプリ、韓国で続々(トレンドマイクロ)




報告されているファーストフード店を装ったアプリインストールを促すテキストメッセージ(日本語訳)



「ANDROIDOS_SMSILENCE.A」「ANDROIDOS_COOMIX.A」として検出されるのアプリの一例(1)




「ANDROIDOS_SMSILENCE.A」「ANDROIDOS_COOMIX.A」として検出されるのアプリの一例(2)



「ANDROIDOS_FAKEGUARD.A」のインストール画面、アプリ名は韓国語で「Baskin-Robbins」(左)。「ANDROIDOS_SMSILENCE.A」のインストール画面、アプリ名は韓国語で「スターバックスコーヒー」(右)




「ANDROIDOS_FAKEGUARD.A」におけるアプリ起動時の画面(左)。「ANDROIDOS_SMSILENCE.A」におけるアプリ起動時の画面(右)、どちらもサーバにアクセス不能と書かれている



「ANDROIDOS_SMSILENCE.A」がインストール成功を外部サーバへ送信する際の通信



トレンドマイクロ株式会社は2月28日、クーポンアプリを装ってAndroid端末の情報を盗み出そうとする複数のウイルスが韓国で相次いで報告されているとして、ブログで事例を解説している。今回確認された事例は、韓国語でファーストフード店を装ったSMSメッセージから始まる。短縮URLのリンク先から期間限定でアプリをインストールして来店すれば商品がもらえるという広告メールを装ったもの。スーパーマーケット店や写真集アプリ、セキュリティ対策アプリを騙った事例も確認されている。

サーティワンアイスクリームを装った「ANDROIDOS_FAKEGUARD.A」とスターバックスを装った「ANDROIDOS_SMSILENCE.A」の事例では、リンク先からダウンロードしたファイルをインストールし、アプリを起動すると偽のエラー画面が表示される。この手法は日本国内で報告された「ANDROIDOS_CONTACTS」ファミリと類似している。アプリ起動時の通信内容を見ると、攻撃者の用意したサーバで待ち受けている「/Android_SMS/installing.php」に対して HTTP POST通信を行い、インストールの成功として被害者端末の電話番号を報告していることが判明した。別の事例では、着信したテキストメッセージの監視が行われていることが明らかになっている。


《吉澤亨史@ScanNetSecurity》





短縮URLを含むメッセージやツイートから悪意あるWebサイトに誘導する例も確認されている

トレンドマイクロ株式会社は3月5日、検出を逃れるために特定の手法を駆使する従来の不正プログラムの亜種や脅威である一連の事例について、2月中旬に報告を受けたとブログで公開している。2月7日に確認された「KELIHOS」の特定のバージョンでは、SleepEx関数を起動することで特定の時間は活動を停止し、自身の不正活動を停止しようとする自動検出を防いでいる。

また「TROJ_BANKER.JBR」は、米国のSSL認証局「DigiCert」によって発行された有効なデジタル証明書の悪用が確認された。この不正プログラムはPDFファイルを装っており、デジタル証明書が悪用されていた。さらに、32bit対応の不正プログラムに比べて検出がより困難な、64bit対応の不正プログラム「TROJ64_INSTOL.USR」も確認されている。

こういった事例から、不正プログラムの作成者は新たな脅威を拡散するのではなく、ツールをさらに改良するか、またはどのようにこれらの攻撃を行うかといったことに焦点を当てている。特にセキュリティ研究者やベンダが行っている対策を回避するための隠ぺい手口に特定の進展が見られるとしている。なお、この傾向は同社が2013年に発表した「2013年におけるセキュリティ予測」でも指摘されている。
セキュリティソフトの更新通知を装いウイルス感染させる手口が復活

Impress Watch 3月5日




 セキュリティソフトのライセンス更新通知を装い、ウイルスに感染させようとする手口が依然として使われているようだ。株式会社シマンテックによれば、以前からこの手法は確認されていたが、最近では国内の企業に同様のメールが送られてきているという。

【拡大画像や他の画像】

 日本の電力会社や工業系大手企業に送られてきた例では、差出人をセキュリティソフトのメーカーに偽装し、「【重要:ウイルス更新期間間近です】」といった件名でメールを送り付け、添付したZIPファイルを開かせようとしていた。

 ZIPファイルには、Microsoft Wordのアイコンに偽装した「.doc.exe」という拡張子のファイルが含まれ、これを実行するとコンピューターに外部からの侵入を許すバックドア型のトロイの木馬に感染する。その後、コンピューターはコマンド&コントロールサーバーに接続し、情報を盗み出されるなど任意の攻撃を受ける恐れがある。

 さらに、何社かの航空会社に送られてきた別のメールでも、同じ送信元アドレスが使われていた点で、狙われたのは日本人だと見られると指摘。航空会社を標的にした関係で、攻撃者は電子メールに航空機関連の情報を盛り込む工夫も見られたが、「.doc.exe」を使う手口は同じだったとしている。

 「セキュリティソフトウェアを導入し、この手の電子メールがあまり受信ボックスに届かなくなると、かえってセキュリティ上の基本的な習慣を忘れてしまいがち。『天災は忘れた頃にやってくる』という諺を肝に銘じておくようにしましょう。」(シマンテック)
AVAST、Windows 8に対応した「アバスト! 無料アンチウイルス」v8の正式版を公開

Impress Watch 3月5日

 チェコ共和国のAVAST Software a.s.は2月28日(現地時間)、無償マルウェア対策ソフト「アバスト! 無料アンチウイルス」の最新版v8.0.1482を正式公開した。最新版の主な変更点は、インストールされているソフトのアップデートをチェックして、アップデートを行える“ソフトウェア更新状況”機能が追加されたこと。

【拡大画像や他の画像】

 “ソフトウェア更新状況”機能では、対応する有名ソフトの最新バージョンと現在インストールされているバージョンを比較し、インストールされているバージョンが古かった場合に警告を表示できる。また、一部のソフトは本ソフト上から直接アップデートを行ったり、最新版のダウンロードページを開けるほか、アップデート情報ページを表示可能。

 また、IEや「Firefox」「Google Chrome」にインストールされたツールバーなどをアンインストールできる“ブラウザ・クリーンアップ”機能が追加されている。“ブラウザ・クリーンアップ”機能は、単体のソフトとしても提供されており、本ソフト上からダウンロードして利用することも可能。

 さらに、ユーザーインターフェイスが一新され、Windows 8のスタートページを思わせるタイル状のデザインが採用されたほか、ウイルス対策機能のパフォーマンスと安定性や、“自動サンドボックス”機能の性能も向上した。そのほか、2月1日に公開されたベータ版では非対応だったWindows 8に対応している。

 本ソフトは、Windows XP/Vista/7/8および同64bit版に対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。
ウイルス対策ソフトの更新をうながす不審なメール、電力会社や航空会社に届く

ITmedia エンタープライズ 3月5日



ウイルス対策ソフトの更新をうながす不審なメール(シマンテックより)

 シマンテックは3月5日、国内の電力会社や航空会社、工業系大手企業を狙ってウイルス対策ソフトの更新をうながす不審なメールを送り付ける攻撃が見つかったと報告した。

 同社によると、このメールは日本語でウイルス対策ソフトの契約更新をうながすメッセージが記載され、不審な圧縮ファイルも添付されていた。この圧縮ファイルの中身は、「.doc.exe」という拡張子とWordのアイコンが使われていたが、ファイル名が文字化けしており、「いかにも怪しい」(同社)という。

 このファイルは実行形式で、実行してしまうとコンピュータにバックドアを作り、外部の攻撃サーバから命令を受信する機能があるという。同社ではこのファイルを「Trojan.Dropper」として検出できるようにした。

 こうした手口は以前にはみられてものの、最近ではほとんど使われていなかった。「古くからある単純な手口であっさりコンピュータへの侵入を許してしまうことも少なくない」と同社は注意を呼び掛けている。
「真犯人」のメール確認途絶える=片山容疑者の逮捕後、接続なし―PC遠隔操作

時事通信 3月5日



 遠隔操作ウイルス事件で、ハイジャック防止法違反などの疑いで再逮捕されたIT関連会社社員片山祐輔容疑者(30)が2月10日に最初に逮捕されて以降、真犯人を名乗る人物が使っていたアドレスのメールチェックが途絶えていたことが4日、捜査関係者への取材で分かった。
 このアドレスの管理画面には、片山容疑者の逮捕直前までは、何者かが接続元を隠した上で頻繁にアクセス。受信メールがないか確認していた形跡があったといい、警視庁などの合同捜査本部は、同容疑者がこのアドレスを使っていた疑いが強いとみて、一連の事件との関連を調べている。 
攻撃先の拡大と機能強化が続くバンキングトロイの動向

ITmedia エンタープライズ 3月4日


2月に見つかったマルウェアの設定ファイルの中身。1つの銀行でも複数サイトが攻撃先に指定され、利用者をだますメッセージを日本語で表示する

 日本のネットバンキング利用者もサイバー犯罪者に本格的に狙われ始めた――シマンテックは3月4日、報道機関向けの説明会で、金融機関やその利用者を狙ったマルウェア(バンキングトロイ)の動向や対策について解説した。2月に国内のオンラインバンキングサービス利用者を狙う攻撃も発生している。

 会見したセキュリティレスポンスの林薫氏によると、バンキングトロイが登場してから10年以上が経つ。最近では「Zeus」や「SpyEye」といった高度な機能をマルウェアが台頭し、さらには、これらマルウェアのソースコードが流出したことによって、多種多様な亜種が出回るようになった。

 攻撃の傾向は大きく2つに分かれ、1つは特定の地域や金融機関、利用者に絞り込んで実行される。もう一方は広範囲な地域や多数の金融機関、利用者を狙うケース。それによって使われるバンキングトロイも異なり、前者の場合は、英国の金融機関だけを狙う「SHYLOCK」、後者ではZeusやSpyEyeが代表的という。これまで頻繁に狙われるのは、国民1人あたりの資産が多い先進国であり、かつ、英語圏やスペイン語圏など人口の多い地域が主流だった。

 マルウェアに感染させる方法は、Webサイトに埋め込まれた不正サイトへのリンクを通じて閲覧者にマルウェアを送り付ける「ドライブバイダウンロード」と、メールのファイルや記載されたリンク経由が多い。バンキングトロイの持つ機能には、感染コンピュータに入力された情報やcookie、画面キャプチャなどを盗聴する機能、盗聴した情報を攻撃者サーバに送信する機能、攻撃者サーバから機能を拡張するプログラムをダウンロードして実行する機能、サービス利用中にブラウザの通信や処理内容を不正に改ざんするといった機能がある。

 林氏は、こうしたバンキングトロイの基本的な特徴は今でも通用してしまうために、大きな変化が無いと解説する。だが、例えば、セキュリティ対策ソフトなどに検出されにくくする、あるいは、セキュリティ対策会社に解析されにくくするための機能強化が図られている。攻撃の対象地域もアジアやアフリカ、中東など、これまで被害が少なかった地域に広がっているとのことだ。

 例えば、日本を狙う攻撃は2005年7月に「infostealer.Jginko」というアカウント情報を盗むマルウェアが出現。2011年5月にはSpyEyeの亜種で、日本語メッセージで情報を盗むものが登場した。今年2月に見つかったものはZeusの亜種で、5つの大手銀行のサービスを狙うように設計されていた。「攻撃者は、従来は日本の事情を探る程度だったが、攻撃先として本格的に狙い始めたかもしれない」(林氏)という。

 昨年に国内の多数のオンラインバンキングが狙われた攻撃ではバンキングトロイが、正規サイトの一部を改ざんして偽の画面をポップアップ表示したり、利用者が入力した送金情報を改ざんして犯罪者の口座に振り込ませるなどの手口が注目された。「オンラインバンキングの仕組みは金融機関ごとに異なるのでカスタマイズする必要があるものの、カスタマイズが簡単にできるツールが10〜100ドルほどで売買されている」(同氏)

 バンキングトロイへの対策として、同社セールスエンジニアリング本部の谷村徹氏は、統合型セキュリティソフトや、企業ではネットワークに設置しているIPS(不正侵入防御)の活用を勧める。統合型セキュリティソフトには、パターンファイルによるマルウェア検出のほか、IPSやファイルの信頼性などの情報(レピュテーション)、プログラムの不審な挙動を監視する「ふるまい検知」などの機能を備える。機能単体ではマルウェアの侵入や行動を阻止できない場合があるものの、複数の対策機能を併用することで防御できる可能性を高めていける。

 またUA製品本部の坂尻浩孝氏は、サービスを提供する金融機関などにユーザー認証を強化する仕組みの活用を提案しているという。金融機関ではワンタイムパスワードや乱数表といった複数の認証手段を採用しているが、これら以外にもインターネット回線とは異なる携帯電話のショートメッセージでワンタイムパスワードを送信する方法や電子証明書を利用した認証などがある。

 林氏によれば、2月に見つかった攻撃ではマルウェアがどのようにコンピュータに感染したかは不明であるものの、コンピュータにインストールされているセキュリティソフトがマルウェアの不正な通信を検知したことで、感染が分かったという。

【インタビュー】セキュリティ キーパーソン (2) 日本CSIRT協議会 村上晃氏 - 担当者が"1人で悩まなくてすむ"情報共有の場を提供

マイナビニュース 3月4日

●企業の枠を超えた情報共有を目指す「日本CSIRT協議会」
インターネット関連のビジネスを展開している企業だけでなく、今やあらゆる企業にとって「情報セキュリティインシデント」(情報セキュリティ上の重大な事故、もしくはそれにつながる恐れのある事案)に備えることは、リスク管理の一環として重要な課題となっている。近年の企業や政府関連組織に対する「標的型攻撃」や、「DDoS攻撃」の例もあるが、現在ではあらゆる企業がサイバー攻撃の対象となったり、また意図しないうちに攻撃の一端を担わされたりといったケースが、日々発生している。

【拡大画像や他の画像】

こうした事案に対する情報の収集や対応は、当事者となっている企業だけでは難しいケースが多い。そのため、企業の枠を超え、必要な情報を共有し、対応を組織的に行っていこうという取り組みも、さまざまな場所で行われている。日本コンピュータセキュリティインシデント対応チーム協議会(日本CSIRT協議会)も、そうした取り組みのひとつだ。

今回、同協議会で運営委員長を務める村上晃氏と、協議会の加盟社であるSCSKで、ITマネジメント第一事業本部 セキュリティソリューション部Webセキュリティソリューション課のマネージャーを務める手柴雄矢氏に、設立の経緯や現在の活動内容についてお話を伺った。

関連記事 : セキュリティ キーパーソン (1) OWASP 岡田氏

プロフィール○村上 晃(MURAKAMI Akira)
――日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会) 運営委員長

株式会社ラックでセキュリティ関連の教育研修事業の企画、講師等に従事し、同時に一般社団法人JPCERTコーディネーションセンター非常勤職員として分析センターマネージャー及び、サイバークリーンセンター連絡会等の業務にも従事し、セキュリティ対策技術の向上やセキュリティ情報連携等を推進している。

○手柴 雄矢(TESHIBA Yuya)
――SCSK ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャー

公認情報システムセキュリティプロフェッショナル(CISSP)。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。

○企業の枠を超えた情報共有を目指す「日本CSIRT協議会」

――日本CSIRT協議会がどういった目的を持った組織なのかについて教えてください。

村上: まず、CSIRT(シーサート)という言葉が、耳慣れないものかもしれませんので説明をします。CSIRTは「Computer Security Incident Response Team」の略称です。CSIRTは、もともとコンピュータセキュリティインシデント、つまりセキュリティ上の重大な事故や、それにつながりかねない潜在的な事案に対処するための組織のことを指しています。

CSIRTでは、インシデント関連情報、脆弱性情報、攻撃の予兆に関する情報などを収集、分析し、対応方針を策定するといった活動を主に行います。CSIRT、もしくはCSIRT的な役割を果たす組織は、コンピュータシステムの運用にかかわる企業の多くに存在しています。

それぞれのCSIRTの目的や成り立ち、組織内での位置づけや活動範囲などは、異なっています。そのような理由で、各CSIRTは、それぞれの企業の中で個別に活動を行っていたのですが、そうした形での対応に限界が見えてきたのです。

近年のセキュリティインシデントは、1社のインシデントが他社に影響を与えたり、お客様に影響があったりといったケースが増えてきました。こうしたケースに対応するためには、1社だけでの取り組みでは難しい状況になってきたのです。また、知り得た情報を公開、共有しようにも、1社の中だけでは、その情報をうまく取り扱えないといった問題もありました。

そこで、目的の違いや立場の違いがあるCSIRT同士をうまく連携させ、それぞれの問題や課題、今後新しく出てくるであろう脅威について、情報共有や連携をする組織の必要性が高まり、2007年に日本CSIRT協議会が発足しました。

発足時は6社でしたが、現在(2013年2月現在)では33のチームに加盟していただいています。SCSKさんの「SCSK CSIRT」も、2012年に加盟されています。

○デリケートな情報は「顔」が見えるからこそ共有できる

――協議会では、具体的にどのような活動を行っているのでしょうか。

村上: まず「ワーキンググループ(WG)」と呼ばれる、勉強会的なワークショップを開催しています。

活動中の主なWGとしては、組織内で活動するCSIRTの構築や運用における課題を洗い出してディスカッションしていくシーサートWGのサブWGである「シーサート課題検討SWG」や「シーサート構築推奨SWG」、CSIRT間でコンピュータセキュリティインシデントに関する脅威情報を共有していく「脅威情報共有WG」、国内の各CSIRTの目的、組織内での立場、権限、人員、予算といった背景情報を整理して共有するための「CSIRT FACT SHEET WG」、実際にインシデントが発生した時の技術的な対応方法などを学んでいく「インシデント対応技術調査WG」、インシデント情報をどのような手順で共有、交換、公開して活用していくべきかのフレームワークを検討する「インシデント情報活用フレームワーク検討WG」などがあります。

――成果物にはどんなものがあるのでしょうか。

村上:サイト上にまとめているのですが、CSIRTを構築する上での注意点や課題、定義すべき事項についてまとめた「CSIRTスタータキット」やCSIRTの説明を簡潔にまとめた「What's CSIRT?」、また、一昨年には、Gumblarウイルスに関する詳細な情報や対応方法を報告書としてまとめるということをやっています。また、会員チームのご協力のもとで、海外の有識者を招聘してCSIRTワークショップ(勉強会)を実施した実績があります。

●組織を超えたセキュリティ情報の共有に関心が高まる
○組織を超えたセキュリティ情報の共有に関心が高まる

――SCSKが、CSIRT協議会に加盟された経緯について教えてください。

手柴: 先ほど村上様のお話にもあったとおり、セキュリティの運用監視をサービスとして提供している中で、インシデントや脅威に対する情報共有が、自社だけでは十分に行えなくなってきているという問題意識はありました。また、セキュリティに関する関心が社会的に高まる中で、サービスを受けるお客様からも、われわれに対し、情報収集の広さや深さを高めてほしいというご要望が出るようになってきていました。

そこで、他社や、そこに属するCSIRTではどのような取り組みが行われているのかについて調べていく中で、日本CSIRT協議会という組織があることを知り、加盟をさせていただいたという経緯になります。

――協議会の方では、近年のセキュリティインシデントの動向の変化などから、CSIRTに対する関心が高まっているような印象は受けていますか?

村上: そうですね。近年では、「標的型攻撃」のような手法が登場したことをきっかけに、内閣官房情報セキュリティセンターから、対策のための情報共有の枠組みを整備していくことの必要性に触れたレポートが出されました。その中で、インシデント対応を行うCSIRTという存在が認知され、そうしたCSIRT間での情報共有や連携を目的として組織された協議会に対する関心も同時に高まっているように感じています。

また、新規に加盟されるCSIRTの中には、より世界的な規模での情報共有を目的に、日本CSIRT協議会に加えて、CSIRTのグローバル組織である「FIRST(Forum for Incident Response and Security Teams)」への参加を視野に入れていらっしゃるところも増えてきました。さまざまなコミュニティに参加しての情報収集が、インシデント対応に必要であるという認識も強くなってきていると思います。

セキュリティ企業とユーザー企業との間の関係ですと、契約をベースに対価を支払って情報交換という形が通常ですが、協議会におけるCSIRT間の関係は、それとは違い、メンバー同士の信頼感、個人的なつながりの中で情報がやりとりされます。企業同士のつながり、人と人とのつながりをうまく連携させることにより、従来とはまた違ったチャネルでそれぞれに必要な情報が流れていくのではないかという考えで、活動を進めています。

手柴: 国際的な展開に関連してお伺いしたいのですが、以前のWGのときに、国際的なレギュレーションのやり取りについての話題がありました。協議会では、日本からCSIRTの国際的な連携を組織的に働きかけるということもやっているのでしょうか。

村上: JPCERT/CCが加盟していることもあり、必要な場合には、そこからJPCERTを通じて、国際的に連携できるような枠組みは用意していますね。

手柴: 海外に支店を持っている日本企業の場合には、そうした手段を持っていることが非常に重要なんです。ただ、海外では日本と法律やルールも異なっています。そのあたりのギャップを、現実的に加盟社のみなさんは、どう埋めていらっしゃるのでしょう。

村上: 例えば「海外のサイトからDDoS攻撃を受けている」というような場合に、対応の方法はいくつかありますね。ひとつは、先ほど述べたようにJPCERTを通じて、連絡をしてもらう形です。また、国際組織であるFIRSTのメンバーであれば、その中で対応方法を模索するという対応も可能です。協議会のメンバーには、積極的にFIRSTのカンファレンスや地域ごとのワーキングに参加して、個人的にFIRSTメンバーとの親交を深めている方もいらっしゃいます。

手柴: そうしたつながりがないと、なかなか有用な情報を入手したり、対応を依頼してもらうことは難しいですよね。

村上: そうですね。いきなり海外に個別の企業や個人が連絡して対応を依頼したとしても、先方の反応が芳しくないというケースはあるでしょう。国によって法律が違ったり、文化的に違いがあったりということもあると思いますが、結局は連絡してきた相手が「信頼できる」か、そこからもたらされた「情報が正しいか」という部分をいかに担保するかという部分が一番重要なのではないでしょうか。

「対応を依頼するメールにPGPの署名をつける」といったことも、もちろん大切なのですが、別の視点で、組織や個人間の信頼といったものをうまく活用していくことも、セキュリティインシデントの対応には必要になってきているのだろうと思います。

○今すぐ社内に「CSIRT」を作ろう

――SCSKさんは、セキュリティビジネスを展開する企業として協議会に加盟されているわけですが、WG会などに参加してみて、感じたことはありますか。

手柴: 実際にセキュリティオペレーションを行うエンジニアの立場でWG会などに参加し、他の企業でセキュリティに携わっている方とお話しをする中で、刺激を受けている部分は大いにありますね。

その方は、私とは専門分野が違う方だったのですが、その方のセキュリティへの取り組みを伺って「これほどまでに熱心に、世界規模で情報セキュリティに取り組んでいる人がいるのか!」と強く感銘を受けました。そうした刺激は、その後の仕事の中にも反映されていると思っています。

また、今後SCSKがグローバルでのサービス展開を検討する際にも、実際に現在グローバル規模でビジネスを展開している企業やCSIRTの方々とコミュニケーションできる場があることは、ありがたい機会だと思っています。

村上: 協議会には、組織内での立ち位置も、ビジネス上のミッションも異なるCSIRTが幅広く加盟してくださっています。異なる立場でのフリーなディスカッションや交流から生まれる「見えない効果」というのも、あると思います。

手柴: WG会が終わった後の名刺交換の際には、実際のWG会では伺えなかったような、より深いお話しができるケースも多いです。

村上: 普段の活動を含め、参加者の間ではかなりきわどい情報がやり取りされるケースもあるようです。そのチームだからこそ見える最新のセキュリティ動向や、個人が持っている情報収集のスキルといったものが共有される中で、刺激を与え合ってもいるようです。ビジネスライクではなく、個々の信頼関係が成立しているからこそ可能な情報共有の形も、協議会にはありますね。

私の立場で企業の方に訴えたいのは、ぜひ今すぐ「社内にCSIRTを作ろう」ということです。

セキュリティインシデントは、既にあらゆる企業にとって身近な問題になっています。いざ、実際にインシデントが発生した場合には、ITに直接関わっている情報システム部門、開発部門だけでなく、リスクマネジメント部門、経営企画部門、広報部門など、社内のあらゆる部署を巻き込んだ対応が必要です。

だからこそ、明示的に部署として設置しないとしても、バーチャルなもので構わないので、機能として、そうした対応をリードできる組織を用意しておいてほしいと思います。また実際の対応にあたっては、自社の中だけで解決できない問題も多いです。日本CSIRT協議会は、そうした点で「担当者が1人で悩まなくてすむ」ような場所として運営されています。情報セキュリティとインシデント対応について考えていくにあたり、ぜひ多くの企業の方に、加盟を検討していただきたいと思っています。

――ありがとうございました。

(柴田克己)
【PC遠隔操作事件】処分保留で釈放、別件で再逮捕について弁護人が語る


江川 紹子 | ジャーナリスト 2013年3月3日

接見の後、記者会見をする佐藤弁護士。ここで語られたことがどれだけ報じられるか…



はてなブックマークに追加
コメントを見る(23件)


愛知県豊田市の会社のパソコンを利用して犯行予告のメールを送りイベントを妨害したとして威力業務妨害の疑いで逮捕・勾留されていた片山祐輔氏について、東京地検は3日、処分保留として釈放した。続いて、警視庁など4警察によるPC遠隔操作事件の合同捜査本部は、かつて大阪府警が誤認逮捕した2件について、偽計業務妨害とハイジャック防止法違反の疑いで再逮捕した。弁護人の佐藤博史弁護士は、処分保留となったことについて、「現時点では起訴できる証拠はない、ということ。検察は正しい判断に一歩近づいた」と評価しつつ、匿名で様々なコメントを発信している警察の姿勢を厳しく批判した。

本人は「処分保留になってよかった」
片山氏が留置されている東京湾岸警察署
佐藤弁護士によれば、逮捕状を執行した警察官は関西弁とのこと。この2件は大阪府警が取り調べを行いたいらしい。ただ、片山氏は「身に覚えがありません」と述べ、弁解録取書の作成には応じたが、録音・録画がなされない取り調べには応じない旨を告げると、警察官はすぐに留置場に戻す手続きを始めた、という。

片山氏は、弁護人に対して「処分保留となったのはよかった」と述べ、落ち着いて受け止めたようだった。数日前までは「3月3日が限度です。気付いたら独り言を言っていたり、床や壁を叩いたりして留置場の係官に注意された」と語るなど、精神的に疲弊している状況だった。しかし、再逮捕後の接見では「あと20日が限度」とは言うものの、動揺はなく淡々としていた、という。

「鯛は頭から腐る」と警察批判

新聞報道の中で「捜査関係者」「警視庁幹部」が匿名でコメントし、「弁護士に励まされているうちに、自分が無実だと思い込んだのではないか」「今回も誤認逮捕というなら真犯人からのメールが逮捕以来途絶えていることをどう見ればいいのか」などと述べていることを挙げ、佐藤弁護士は「いったい何を考えているのか」「真犯人からのメールは1/5以降途絶えているのではないか」「こういう馬鹿なことを言う人が幹部というのはとんでもない」となどと憤慨。「鯛は頭から腐るというが、警察組織はおかしくなっている」と批判した。

「 ウィルスの痕跡や通信履歴など客観証拠を積み上げれば有罪は揺るがない」という「警察幹部」のコメントに対しても、佐藤弁護士は強く反発。

「誤認逮捕の時も、それなりの客観証拠はあった。その客観証拠を被疑者に突きつけて、反論や弁解を聞くべき。言い分も聞こうとしないで、有罪に持ち込もうなどとありえない。目の前にいる被疑者が真実を知っている。その言い分に冷静に耳を傾けるべき。そうではなく自白を取ろうというのは間違っている、というのが足利事件の教訓だったはず。(警察にとって)有力な情報があるのは認めるが、それを1つひとつ本人に当てて聞いていけば、犯人ではないと分かるはず。取り調べもやらないのは、職務放棄だ。しかも再逮捕までして煽っている」


一方で、「冷静に考えれば、検察は決して警察に同調していない。今日、処分保留になったことがそれを示している」として、検察の対応に期待を寄せた。そのうえで、「録音・録画をして、しっかり取り調べを行って欲しい」と、改めて要望したことを明らかにした。

米国サーバーの「痕跡」に疑問

Dropboxの米国のサーバーに、問題のウィルスが保管されており、そこに片山氏の派遣先のPCで作成した「痕跡」が残っていると報じられていることについて、弁護人が聞いても、「全く分からない」と首をひねるばかりだという。

佐藤弁護士は、「米国のサーバーにあったウィルスと、日本で遠隔操作されたPCに残っていたウイルスは完全に一致しているはず。米国で『痕跡』が見つかったというが、なぜ、日本で遠隔操作されたPCから、その『痕跡』が見つからないのか」と疑問を呈した。

「彼は、C#でプログラムが作成できないだけでなく、Visual Studio 2010というプログラム作成に必要なソフトもインストールしていないし、使ったこともない」という点を挙げ、彼がウイルス作成に関わっていないと強調した。また、彼が職場以外で使っているのは、自宅に自作のデスクトップPCがある以外は、スマートフォンとiPadで、ノートPCは持っていないことを明かした。

「あるべき報道に戻れ」

さらに、佐藤弁護士は一連の報道や記者の姿勢について、次のように厳しく批判した。

「最初に大げさに報道され、報道の責任を言ってきたが、このあたりで冷静になって、本来あるべき報道の姿勢に戻ってもらいたい。自分がペンやマイクを握ることにしたのは何をやるためだったのかを思い出してもらいたい。君たちは、まるで彼が無実であるということを証明しろと言わんばかりの態度ではないか。反省するべき」
シマンテック、産業用制御システムのマルウェアに関する Blog を公開

japan.internet.com 3月1日



シマンテック、産業用制御システムのマルウェアに関する Blog を公開

産業用制御システムを標的とするマルウェア「Stuxnet」は、2010年7月にその活動が確認されたが、シマンテックは今回、 Stuxnet のバージョン0.5を発見した。

シマンテックは、今回新たに発見した Stuxnet 0.5 について、その概要と進化の過程、コマンド&コントロールの機能、およびイランのナタンズにあるソラン濃縮施設に対して試みた攻撃について解説した、4件のブログを日本語で公表した。

Stuxnet とは、国家の基幹インフラなど産業用制御システムを標的とする、史上最も高度な機能を持つマルウェアだ。今回発見された Stuxnet 0.5 は、もっとも古いとされていた亜種のソージョン1.001よりもさらに古く、現在拡散は停止しているものの、少数の潜伏感染がいまだに世界中で検出されている。
 日航機爆破予告で再逮捕へ=PC遠隔操作で片山容疑者―警視庁など

時事通信 3月1日



 遠隔操作ウイルス事件で、警視庁などの合同捜査本部は1日、IT関連会社社員片山祐輔容疑者(30)=威力業務妨害容疑で逮捕=が、大阪府の男性のパソコン(PC)を遠隔操作して日本航空に爆破予告メールを送った疑いが強まったとして、ハイジャック防止法違反容疑で勾留期限の3日にも再逮捕する方針を固めた。
 男性は大阪府警に誤認逮捕されており、捜査本部は一連の遠隔操作事件の全容解明を進める。
 捜査関係者によると、片山容疑者は昨年8月1日、ウイルスに感染した男性のPCを遠隔操作し、日本航空に航空機の爆破予告メールを送信。成田発ニューヨーク行きの便を引き返させた疑いが持たれている。
 片山容疑者は同月9日にウイルスに感染した名古屋市の会社PCを遠隔操作し、インターネット掲示板に殺人予告を書き込んだとして、今年2月10日に逮捕された。直後は取り調べに応じ、容疑を否認したが、同月19日以降は調べを一切拒否している。 
 
 住信SBIネット銀、偽画面による不正送金防止ソフトを無償提供

時事通信2013/3/1



 住信SBIネット銀行は1日、インターネットの偽画面を使った不正送金を防止するソフトの提供を始めた。
 防止ソフトはセキュアブレイン社の「PhishWall(フィッシュウオール)プレミアム」。同社のウェブサイトから入手する。顧客が自分のパソコン(PC)に導入すれば、住信SBIネット銀の取引でコンピューターウイルスが偽画面を表示させた際、暗証番号などを入力しないよう警告メッセージを表示する。
 同行では、偽画面表示は従来のセキュリティー対策では迅速に対応しにくいとした上で、「より安全にネット取引を利用していただくため、偽画面対策ソフトを無償提供することを決めた」(企画部)としている。
 インターネットの偽画面を使った不正送金は、みずほ銀行や楽天銀行、ゆうちょ銀行で被害が確認されている。 
 
 標的型メール攻撃、警察では1,009件を把握--2012年サイバー攻撃情勢(警察庁)

ScanNetSecurity 3月1日




サイバー攻撃対策に関する警察の取組

警察庁は2月28日、2012年中のサイバー攻撃情勢について発表した。2012年中も引き続き、日本の政府機関等に対し情報窃取を企図したとみられるサイバー攻撃(標的型メール攻撃)や、WebサイトにDDoS攻撃などが発生した。標的型メール攻撃については、警察では2012年中に合計1,009件の標的型メールが日本の民間事業者などに送付されていたことを把握している。また、その通信の接続先は、約26%が米国、約21%が中国、約20%が日本となっていた。

さらに、最初から標的型メールを送付するのではなく、不正行為に関する告発や採用希望を装うなどして、業務との関連を装った通常のメールのやりとりを何通か行い、より自然な状況を装った後に標的型メールを送付する「やりとり型」の手口を把握している。政権交代や尖閣諸島等の国内外の情勢を捉えた標的型メールも、複数の民間事業者等に対して送付された。

DDoS攻撃などにおいては、「アノニマス」によるとみられるサイバー攻撃事案(6月)や尖閣諸島をめぐる情勢等と関連したとみられるサイバー攻撃(9月)等が発生。Webサイト改ざん事案の捜査を通じて把握したIPアドレスを分析した結果、「アノニマス事案」では約5割が欧州諸国所在のものであり、「尖閣諸島事案」では約9割が中国所在のものであったという。
 
 クーポンアプリを装い情報を盗もうとする不正Androidアプリ、韓国で続々(トレンドマイクロ)

ScanNetSecurity 3月1日



報告されているファーストフード店を装ったアプリインストールを促すテキストメッセージ(日本語訳)

トレンドマイクロ株式会社は2月28日、クーポンアプリを装ってAndroid端末の情報を盗み出そうとする複数のウイルスが韓国で相次いで報告されているとして、ブログで事例を解説している。今回確認された事例は、韓国語でファーストフード店を装ったSMSメッセージから始まる。短縮URLのリンク先から期間限定でアプリをインストールして来店すれば商品がもらえるという広告メールを装ったもの。スーパーマーケット店や写真集アプリ、セキュリティ対策アプリを騙った事例も確認されている。

他の写真を見る

サーティワンアイスクリームを装った「ANDROIDOS_FAKEGUARD.A」とスターバックスを装った「ANDROIDOS_SMSILENCE.A」の事例では、リンク先からダウンロードしたファイルをインストールし、アプリを起動すると偽のエラー画面が表示される。この手法は日本国内で報告された「ANDROIDOS_CONTACTS」ファミリと類似している。アプリ起動時の通信内容を見ると、攻撃者の用意したサーバで待ち受けている「/Android_SMS/installing.php」に対して HTTP POST通信を行い、インストールの成功として被害者端末の電話番号を報告していることが判明した。別の事例では、着信したテキストメッセージの監視が行われていることが明らかになっている。
 
 シマンテック、Stuxnetの“最古のバージョン”を発見……進化の過程が明らかに

RBB TODAY 3月1日





Stuxnet 0.5がイランのウラン濃縮施設に対して行った攻撃の戦略

 シマンテックは1日、産業システムを標的にサイバー攻撃を行うマルウェア「Stuxnet」(スタックスネット)について、“最古のバージョン”といえるものを発見したとして、公式ブログで情報を公開した。

他の写真を見る

 それによると、従来はStuxnetのもっとも古い亜種として、2009年に作成された「バージョン1.001」の存在が判明していたが、最近シマンテックセキュリティレスポンスが解析したStuxnetのサンプルは、それよりも古いものだったという。コードを解析した結果、これは「バージョン0.5」というべき存在で、2007年から2009年の間に活動していたことが判明したとのこと。

 また、Stuxnetはコード内にバージョン番号を格納しており、このバージョンもしくはさらに古い亜種が、早くも2005年には活動していた形跡も見つかっている。そのほか、Flamerプラットフォームを使って作成されており、USBキーを含むStep 7プロジェクトへの感染で拡散したが、拡散は2009年7月4日に停止していることも明らかとなっている。バージョン1.xと同様、Stuxnet 0.5もきわめて複雑で高度なマルウェアであり、作成するには同じように高い技術力と労力が必要と見られる。

 なお、停止日が確認されているにもかかわらず、潜伏感染(Step 7のプロジェクトファイルで見つかったStuxnet 0.5)が、いまだに世界中で少数検出されているとのこと。
 
サイバー攻撃レポートを偽装した標的型攻撃について考察(トレンドマイクロ)

2013年2月27日




作成される PDFファイル


Mandiant社のレポートを悪用したケース


トレンドマイクロ株式会社は2月26日、ソーシャルエンジニアリングの手口のひとつとして、米国セキュリティベンダのサイバー攻撃レポートを偽装した標的型攻撃についてブログで解説している。この手口は不安をあおることを目的とせず、むしろ警戒心を与えないようにしている。そして対象とするユーザの日常の行動に溶け込もうとしたり、ユーザの興味を利用したりしようとする。米国のセキュリティ会社「Mandiant」が、2月19日(米国時間)にレポートを公開したが、トレンドラボではそのレポートの名前を罠として利用する攻撃が報告されたことを確認している。

この攻撃で利用されたメッセージでは、レポート記事を読むことを推奨する内容となっており、そのレポートと思わせるPDFファイルが添付されている。もちろん、このPDFファイルは不正なファイルであり、トレンドマイクロの製品では「TROJ_PIDIEF.EVF」として検出される。またトレンドラボでは、記者を標的にしたと思われる Mandiant社のレポートを利用した他の攻撃についての報告も受けている。同様の事例として、Javaのゼロデイ攻撃を挙げている。この際の不正プログラムは、脆弱性に対応するOracleが公開した修正プログラムを装っていた。同社では、ユーザは常に警戒を怠ることなく、標的にされる可能性があるという意識を持つことを知っておく必要があるとしている。


「一太郎」ユーザを標的としたゼロデイ攻撃を確認(トレンドマイクロ)

2013年2月28日



トレンドマイクロ株式会社は2月27日、株式会社ジャストシステムが2月26日に公開した「一太郎」などの製品における脆弱性情報を悪用するゼロデイ攻撃を確認したとブログで発表している。今回の攻撃で利用された脆弱性は「CVE-2013-0707」として認識される脆弱性。「一太郎2013」「一太郎2012」「一太郎2011」などの新しい製品に関してはアップデートモジュールが公開されている。しかし、それ以前のバージョンに関しては2月28日以降の対応になるとアナウンスされており、それらの製品のユーザは現在もゼロデイ攻撃の脅威にさらされている。

本脆弱性は、文書ファイルを開く際に同じフォルダ内に存在するDLLファイルが読み込まれてしまうというもの。そのため攻撃を成功させるには、開くべき文書ファイルが存在するカレントフォルダに不正なDLLファイルを置いておく必要がある。実際の攻撃事例では、脆弱性によって実行される複数の不正ファイルを無害な一太郎文書ファイルと共に、圧縮ファイル内に同梱する形で頒布する手口が確認されている。同梱される不正ファイルのひとつは、一太郎が使用する正規ファイルである「JSMISC32.DLL」を改変したものであった。不正ファイルには隠し属性が設定されており、攻撃対象のユーザがファイルを解凍した場合にその存在に気づきにくいようになっている。ただし、圧縮解凍用ソフト上では隠し属性が設定されているファイルも表示されるので、確認は可能だという。
 
 全種類のウイルス見つかる=容疑者の派遣先PC情報も−遠隔操作事件・警視庁など
2013/02/20



 遠隔操作ウイルス事件で、米連邦捜査局(FBI)が差し押さえた米国のサーバーに、一連の遠隔操作事件で使われた全てのバージョンのウイルスが残され、うち複数のデータに、逮捕されたIT関連会社社員片山祐輔容疑者(30)が派遣されていた会社のパソコン(PC)を示す情報があったことが20日、捜査関係者への取材で分かった。
 警視庁などの合同捜査本部は、片山容疑者がウイルスの改良を繰り返し、一連の事件に関与したとみて調べている。
 捜査関係者によると、遠隔操作ウイルスはインターネット掲示板「2ちゃんねる」で紹介された無料ソフトを取り込むことで感染。ウイルス本体はタイマーなどの有益なソフトに偽装され、米国のデータ保管サービス「Dropbox」のサーバーに保管されていた。
 FBIが差し押さえたこのサーバーには、これまでに事件で使われたことが確認されている全バージョンの遠隔操作ウイルス「iesys.exe」が保管されていた。
 保管した人物は匿名化ソフトを使ってサーバーに接続しており、アクセス元の特定は困難だったが、ウイルス自体に片山容疑者の派遣先のPCを示す付帯情報が含まれていたという。
 シマンテック、オンキヨーによる Backup Exec/System Recovery の活用事例を公開

japan.internet.com 編集部




2013年2月20日






シマンテックは、オンキヨーによる、Symantec Backup Exec と Symantec System Recovery を利用したデータならびにシステム保護と運用に関する事例資料を公開した。

オンキヨーでは Backup Exec によりアプリケーションのデータを保護するだけでなく、System Recovery で基幹系システムやメールサーバーなど業務インフラのシステムを保護し、不測の事態においても早期に復旧できるようにしている。

同社において、Backup Exec の運用は長年にわたり、ファイルサーバー、Notes Server、Exchange Server、また ERP などの基幹システムを支える SQL Server や Oracle といった RDBMS などの、多くの情報資産を安全に保護している。

System Recovery については、Exchange Server や SAP などの導入をきっかけに、有事の際に早期に復旧ができる仕組みが必要と判断し、その導入を決定した。

Backup Exec と System Recovery を併用することで、万が一、基幹系システムやメールサーバーなど重要な業務インフラに障害が発生した際も、システムを迅速に復旧できる体制を整えることができた。さらに、仮想感化環境への移行を推進していることから、物理と仮想が混在する IT 環境でも柔軟に対応でき、将来的な移行でもバックアップを継続できる両ソリューションを評価している。
 
 三井物産セキュアディレクション、標的型攻撃を可視化する「ボットネットチェックサービス」をクラウドで

japan.internet.com 編集部


2013年2月19日




三井物産セキュアディレクション(MBSD)は、シマンテックの「Symantec Web Gateway」を利用した、標的型攻撃を可視化するサービス「ボットネットチェックサービス」を、 クラウドで販売開始することを発表した。

「Symantec Web Gateway」は、多層レイヤーでリアルタイムスキャンを実行することによって Web を経由するあらゆる種類のマルウェアやそれにより感染したボットネットを検知する機能を備えている。この機能を活用し、対象企業のボットネット感染の有無を可視化するサービスを、低コストの月額モデルで販売する。

さらに MBSD は、同サービスをリセールのみならず、販売パートナー各社に対し OEM サービスとして提供するパートナーエコシステムを提案している。販売パートナーは MBSD より本サービスを OEM されるため、新たなシステム開発や人的リソースを強いられることなく、自社サービスメニューとして追加し、エンドユーザーに販売できる。MBSD とシマンテックは、同サービスを扱う販売パートナーが、初年度100社となることを目指すという。
 
 個人情報を収集する日本語の新しいマルウェア Android.Exprespam

japan.internet.com 編集部 2013年1月15日




シマンテックは個人情報を収集する新しい日本語のマルウェア 「Android.Exprespam」 を発見した。このマルウェアは、所有者の電話番号や、侵入先のデバイスの連絡先に登録されている名前と電子メールアドレスを収集し、偽の Google Play ページへのリンクが記載されたスパムメールを送り付けるという。また活動が活発化していることから、送信元が不明なメールを開けないことやセキュリティソフトをダウンロードするなどして、十分注意するようにと呼びかけている。
 
 マルウェアと確認されている9つのアプリ


Android.Exprespam で要求される許可
インストールして起動すると、このアプリはユーザーのデバイスに対応していないというメッセージが表示されるが、その裏で個人情報がサーバーに送信される。



まず初期化中という趣旨のメッセージを表示し、次にデバイスに対応していないと表示される




初期化に失敗したことを示すエラーメッセージ


2012年10月、警視庁は個人情報を収集する Android マルウェアの作成と拡散に関与したとして5人グループを逮捕した。しかし東京地方検察庁は、証拠不十分のため犯罪の立証に至らず、昨年12 月、この5人の容疑者の起訴を断念。シマンテックによるとこの不起訴により、日本の Android デバイスユーザーを狙ってさらに Android マルウェアが出現する結果になっているという。
PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/
 2013・3・1〜3/15