Androidの新たなバグStrandhogg 2.0は正規アプリを装って個人データを盗む

セキュリティー研究家たちは、Androidのほぼすべてのバージョンに重大な脆弱性があることを突き止めた。これが原因で、マルウェアがアプリを装い、アプリのパスワードやその他の個人データを盗み出せるようになってしまうという。

Strandhogg 2.0(ストランドホッグ、残虐な略奪行為を意味する古代スカンジナビア語に由来する)と名付けられたこの脆弱性は、バージョン9.0とそれ以前のAndroidをOSに使うすべてのデバイスに影響を与える。半年前に同名のバグを発見したノルウェーのセキュリティー企業Promon(プロモン)によれば、これは以前のものの「悪の双子」だという。Strandhogg 2.0では、正規のアプリに自分のパスワードでログインしているように被害者に思わせ、実際には悪意あるオーバーレイにアクセスさせることができる。Strandhogg 2.0はまた、他のアプリの認証を乗っ取り、連絡先リストや写真などの他人に知られたくない個人情報を抜き取ったり、被害者の位置をリアルタイムで追跡することもできる。

このバグは「ほぼ発見不可能」であるため、以前のものよりも危険性が高いと、Promonの創設者で最高技術責任者のTom Lysemose Hansen(トム・リセモーズ・ハンセン)氏はいう。

Promonからの良い知らせは、現在展開されているハッキング攻撃で、このバグが悪用された形跡はまだないというものだ。注意すべきは、攻撃を察知する「有効な手段」がない点だ。このバグをハッカーが悪用する恐れを抱きつつも、PromonはGoogleがその危険度「重大」の脆弱性を修正するまで詳細の発表を控えていた。

Googleの広報担当者はTechCrunchに対して、現在活動中の悪用事例の証拠はないと話した。「研究者のみなさんの努力に感謝し、彼らが特定した問題点に対処しました」。広報担当者は、Android端末に内蔵されているアプリのスクリーニングサービス「Google Play プロテクト」が、Strandhogg 2.0脆弱性を悪用したアプリをブロックすると話している。

1 正規アプリのアイコンを被害者がクリック。2 偽のログインページが正規アプリの代わりに画面に表示される。3 個人情報が即座に攻撃者に送られ、その後被害者は正規アプリに送られる。

1 正規アプリのアイコンを被害者がクリック。2 正規アプリの代わりにマルウェアが表示され、正規アプリを装ってアクセス権を求める。
3 被害者はそれと知らずハッカーに許可を出す。その後被害者は正規アプリに送られる。

Strandhogg 2.0は、Androidのマルチタスクシステムを悪用して機能する。本来は、最近開いたすべてのアプリのタブを保管しておき、ユーザーがすばやくアプリの切り替えができるようにするシステムだ。Strandhogg 2.0脆弱性につけ込むためには、ユーザーに通常のアプリに見せかけたマルウェアをダウンロードさせる必要がある。一度、マルウェアをインストールすると、正規アプリを開いた瞬間にマルウェアがアプリを乗っ取り、偽のログイン画面など悪意のコンテンツを画面に差し込むようになる。

被害者が偽画面でパスワードを入力すると、そのパスワードはハッカーのサーバーに送られる。そして本物のアプリが開き、ログイン画面が本物であったかのように思わせる。

Strandhogg 2.0を悪用するにはAndroidの権限許可は必要ないが、他のアプリの権限を乗っ取り、被害者の連絡先リスト、写真、メッセージの使用権限の要求した上で抜き取ることができる。

「許可を与えると、マルウェアがその危険な権限を握ることになります」とハンセン氏はいう。

許可を得た偽アプリは、ユーザーのスマートフォンにデータをアップロードさせる。マルウェアは、メッセージアプリのすべての会話データをアップロードできるため、ハッカーは2段階認証も突破できてしまうとハンセン氏は話す。

ユーザーへのリスクは低いだろうが、ゼロではない。Android機器は、最新のセキュリティーアップデート(すでに公開中)を行えば脆弱性は修正されるとPromonは話している。Androidユーザーは、できるだけ早くアップデートするようお勧めする。

関連記事:アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる

画像クレジット:Chris Goodney / Bloomberg / Getty Images

[原文へ]
(翻訳:金井哲夫)

新しいAndroidマルウェアEventBotは銀行のパスワードや2段階認証のコードも盗む

セキュリティの研究者は、新たに発見されたAndroidのマルウェアに警鐘を鳴らしている。銀行アプリや暗号通貨のウォレットを標的としたものだ。

画像クレジット:David Paul Morris/Bloomberg/Getty Images

セキュリティ会社Cyber​​easonの研究者が最近発見し、EventBotと名付けたマルウェアは、Adobe FlashやMicrosoft Word for Androidといった、正規のAndroidアプリになりすましている。Androidに組み込まれているアクセシビリティ機能を悪用して、OSの深い部分にアクセスする。

無防備なユーザーや、被害者のデバイスにアクセスできる悪意を持った人間によってインストールされると、EventBotに感染した偽のアプリは、PayPal、Coinbase、CapitalOne、HSBCなど、200種以上のバンキング、および暗号通貨アプリのパスワードを密かに抽出する。さらに、テキストメッセージで送られる2段階認証のコードを傍受する。

被害者のパスワードと2段階認証のコードを手に入れたハッカーは、銀行口座、アプリ、ウォレットに侵入し、被害者の資産を盗むことができる。

「Eventbotを生み出した開発者は、このコードの開発に多くの時間とリソースを費やしてきました。その洗練度と能力には、非常に高いものがあります」と、Cyber​​easonの脅威研究の責任者、アッサフ・ダーン(Assaf Dahan)氏はTechCrunchに語った。

このマルウェアは、すべてのタップとキーのプッシュを密かに記録し、インストールされている他のアプリからの通知を読み取ることもできる。それによってハッカーは、被害者のデバイスで何が起こっているのかを覗き見ることが可能となる。

やがてこのマルウェアは、バンキングおよび暗号通貨アプリのパスワードを吸い出して、ハッカーのサーバーに送信する。

研究者は、EventBotは現在も開発が進行中であると言う。3月に発見されてから数週間にわたり、数日ごとに繰り返し更新され、悪意を持った新機能が追加されていることが確認されている。ある時点で、マルウェアの作者は、サーバーとの通信に使用する暗号化スキームを改善し、ユーザーのデバイスロックコードを取得可能な新機能を組み込んだ。さらに、このマルウェア自身が、支払い機能やシステム設定のように、被害者のデバイスの中でより高い権限を持つことも可能にしたと考えられる。

誰が開発に携わっているのかについては、まだ研究者も困惑するばかりだが、研究の結果は、このマルウェアがまったく新規なものであることを示している。

「これまでのところ、他のマルウェアからコードをコピー&ペーストしたり、再利用したような明確な証拠は確認されていません。ゼロから作られたようです」と、ダーン氏は述べている。

Androidにとって、マルウェアは珍しいものではなく、増加傾向にある。ハッカーや、マルウェアの運営者は、ますますモバイルユーザーをターゲットにしている。そうしたデバイスのオーナーの多くが、銀行アプリ、ソーシャルメディア、その他の機密性の高いサービスを、デバイスに入れているからだ。Googleも近年は、アプリストアに掲示するアプリをあらかじめ検査し、サードパーティ製のアプリを予防的にブロックすることでマルウェアを削減し、Androidのセキュリティを向上させてきた。しかし、必ずしも良い結果だけを招いているとは言えない。それでも多くの悪意のあるアプリが、Googleの検査をすり抜けているからだ。

Cyber​​easonによると、現時点では、Androidのアプリストア上ではEventBotは検出されておらず、大々的に利用されているような状態ではないという。被害は、今のところ潜在的なものに限られている状態だ。

とはいえ研究者は、ユーザーは、サードパーティのサイトやストアなどにある信頼できないアプリの利用を避けるべきだとしている。そうしたサイトの多くは、マルウェアの検査をしていないからだ。

関連記事:アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる

原文へ

(翻訳:Fumihiko Shibata)

Avastと仏警察、85万台感染の暗号通貨マイニング・ボットネットを壊滅

フランス国家警察のC3N(デジタル犯罪対策センター)とEUのアンチウィルス・ソフトの大手Avast(アヴァスト)は共同作戦で850万台のコンピュータを乗っ取っていた大規模ボットネットを壊滅させた。

Retadupの亜種は仮想通貨マイニングのためにワームによってコンピュータからコンピュータへ感染を拡大させるマルウェアだ。通常はコンピュータの低負荷時にユーザーに気づかれないようCPUパワーを盗むが、仮想通貨発掘機能と同じくらい容易にスパイウェアやランサムウェアをインストールできる。

2017年に登場して以後、このマルウェアは米国、ロシア、中南米に急速に拡大した。

Avastのブログ記事によれば、作戦は大成功だったという。

チェコ共和国の有力テクノロジー企業であるAvastが壊滅作戦に参加することとなったのは同社のセキュリティ専門家がマルウェアのサーバーソフトに重大な脆弱性を発見したことがきっかけだった。Avastによれば、この脆弱性を利用して「被害者のデバイスに新たなソフトをインストールする必要なしにマルウェアを除去できる」可能性があった。

ただし私企業であるAvastにこの手法でマルウェアを除去する法的権限がなかった。Retadupマルウェアのインフラの大部分がフランスに所在していたため、Avastはフランス国家警察に接触した。この6月に作戦にゴーサインが出たため、フランス警察とAvastはマルウェアの一掃の乗り出した。

フランス警察によれば、このボットネットを「世界最大級のネットワーク」だった。対策チームはサーバー運営会社の協力を得てマルウェア・ネットワークをコントロールしていたサーバーのスナップショットを撮った。マルウェア側に作戦を気づかれて証拠隠滅や報復攻撃を招かないよう、細心の注意が必要だった。

Avastによれば、Retadupネットワークの運営者たちは大部分が暗号通貨採掘者で自ら動くことなしに密かに大金を得ていた。しかしもし壊滅作戦が進行中だと気づけば、マルウェアを浸かって何十万台ものコンピュータにランサムウェアを仕込み、最後の荒稼ぎに出る可能性があった」。

セキュリティ対策チームはマルウェアのサーバーのコピーを作成したが、この独自コピーは被害にあっているコンピュータからマルウェアを取り除く機能が付与されていた。Avastのブログ記事にはこう書かれている。

(フランス警察とAvastは)マルウェアをコントロールするサーバーを 汚染除去用のサーバーで置き換えた。このレプリカサーバーはRetadupを自爆させる機能を持っていた。

マルウエアに感染した何千台ものコンピュータがサーバーからコマンドを得よう得ようとした瞬間、マルウェアに内在するバグを利用して、レプリカサーバーが取って代わりマルウエアを除去した。

Avastは85万台のコンピュータからマルウェアを取り除くことに成功したという。今回のようにマルウェアをリモートで除去できたのhが大きな成果だが、実行には多大の困難があった。

フランス国家警察のサイバー対策のトップであるJean-Dominique Nollet(ジーン-ドミニク・ノレ)氏によれば、このボットネットの運営者には数百万ユーロの暗号通貨を採掘したものがいたという

数年前、米連邦政府はルール41(連邦刑事訴訟規則第41条)の制限を撤廃し、連邦判事は管轄外の地域に所在するコンピュータに対しても捜索と差し押さえの令状を発行できるようにした。これはFBIが国外のコンピュータをハッキングできるようにするためと見られている。
「捜査機関に友好的な判事の1通の令状によって世界中の無数のコンピュータがハッキングされる危険がある」と非難する声も一部にある

この改正により、Joanapボットネットと呼ばれる北朝鮮の大規模なサイバー攻撃をシャットダウンさせることに成功している。

【Japan編集部追記】C3Nはフランス国家警察のデジタル犯罪対策センター(le centre de lutte contre les criminalités numériques)

原文へ

(翻訳:滑川海彦@Facebook

パスワードを盗みYouTubeのクリック数を稼ぐ新しいマルウェア

セキュリティリサーチャーたちが、ちょっと珍しい新種のマルウェアを発見した。ブラウザに保存された利用者のパスワードや支払い方法を盗み出すだけでなく、密かにYouTubeの閲覧数を稼ぎ、収益も得るのだ。

このマルウェアScranosは、ルートキットの機能と共に感染し、脆弱なWindowsコンピュータに侵入して、コンピュータの再起動後も永続的なアクセスを維持する。Bitdefenderが4月16日に発表した報告によれば、Scranosはわずか数カ月前に出現したものだが、最初に発見された昨年11月以降その感染数は急増しているということだ。

「動機は純粋に金銭的なものですね」と電子メールで返信をしてきたのは、Bitdefenderで調査と報告を担当するディレクターのBogdan Botezatu氏だ。「犯人たちは広告を悪用し、サードパーティのマルウェアを配信するために、できるだけ多くのデバイスに感染させることで、ボットネットを広げてビジネスを強固にすることに関心があるようです」と彼は語る。

Bitdefenderは、ビデオプレーヤーや電子書籍リーダーのような本物のアプリのようなふりをして、トロイの木馬化したマルウェアがダウンロードされ拡散していることを発見した。こうした不正なアプリは、コンピューター上でブロックされるのを防ぐため、やはり不正に生成された証明書でデジタル署名されていることが多い。

「このアプローチを利用することで、ハッカーはよりターゲットに感染しやすくできるのです」とBotezatu氏は語る。いったんインストールされてしまうと、ルートキットは存在し続け、その司令サーバーに接続して、悪意あるコンポーネントをさらにダウンロードする。

こうしてダウンロードされた第2陣のコードは、Facebook、YouTube、Amazon、Airbnbアカウントをターゲットにして、Chrome、Firefox、Edge、Baidu、Yandexなどの一般的なブラウザにカスタムコードを挿入し、マルウェア運用者にデータを収集して送り返すのだ。

「動機は純粋に金銭的なものです…彼らは利益を得るために、広告を自身のチャネル上で消費することで、広告詐欺を行っているのです」BitdefenderのBogdan Botezatu氏談

Bitdefender氏によると、その中でも中心的なものがYouTubeコンポーネントだという。このマルウェアはChromeをデバッグモードで開き、コードを使ってデスクトップやタスクバー上のブラウザウィンドウを隠してしまう。騙されたブラウザはバックグラウンドでYouTubeのビデオを開き、音は消されて、司令サーバーによって指定されたチャネルへの登録が行われて、広告がクリックされる。

リサーチャーたちによれば、マルウェアは異なるチャンネルを通して4本のYouTubeビデオを「積極的に」宣伝し、そのことで被害者のコンピュータを事実上のクリックファームに変えて、ビデオ収益を生み出していた。

「彼らは利益を得るために、広告を自身のチャネル上で消費することで、広告詐欺を行っているのです」とBotezatu氏は語る。「彼らは、特定の『インフルエンサー』アカウントを成長させることができるように、お金を稼ぎ視聴者を増やしながらアカウントを成長させています」。

また別のダウンロードコンポーネントは、マルウェアが被害者のFacebookから友達申請を、フィッシングメッセージと共に乱発できるようにするというものだ。ユーザーのセッションクッキー情報を吸い上げることにより、Androidアドウェアアプリへ誘う悪質なリンクを、チャットメッセージを介して送信する。

「ユーザーがFacebookアカウントにログインしている場合には、それはユーザーのふりをして、ユーザーのコンピュータから特定のウェブページにアクセスしてアカウントからデータを抽出する。また不明なデバイス警告が発せられて疑惑を引き起こさないように振る舞っている」とレポートには書かれている。「抽出できる情報は、友人の数、およびユーザーがページを管理しているか否か、あるいはアカウントに支払い情報が関連付けられていないかなどである」。このマルウェアはまた、Instagramのセッションクッキーとユーザーのフォロワーの数を盗もうとする。

その他の悪意あるコンポーネントを使うことで、このマルウェアは、Steamアカウントからデータを盗み出し、Internet Explorerにアドウェアを注入し、不正なChrome拡張機能を実行し、ユーザーの閲覧履歴を収集してアップロードすることが可能なのだ。

Botezatu氏は「これは準備に膨大な時間と労力が注ぎ込まれた、非常に洗練された脅威です」と語る。リサーチャーたちは、ボットネットは既に、少なくとも数万のデバイスに影響が及ぼしているだろうと考えている。

「ルートキットベースのマルウェアは、並外れたレベルの高度さと専門性を見せつけています」と彼は語った。

Researchers find a new malware-friendly hosting site after a spike in attacks

画像クレジット: Lino Mirgele / Getty Images

[原文へ]

(翻訳:sako)

カナダの1-800-FLOWERSサイト、クレジットカード盗難マルウェアの存在に4年間気づかず

この後始末は大量の花だけでは済まなそうだ。。

1-800-FLOWERSのカナダ支店はカリフォルニア州検事総長宛ての報告書で、同社のウェブサイト上のマルウェアが顧客のクレジットカード情報を4年間にわたって流出させていたことを明らかにした。

4年間だ。考えてみて欲しい。

同社によると、マルウェアは2014年8月15日から2018年9月15日までの間、クレジットカード情報を取り出していた。しかし同社の主要ウェブサイトである1-800-FLOWERS.comは影響をうけなかった。

「調査結果によると、収集された情報には、氏名、支払い用カード番号、有効日付、およびセキュリティーコードが含まれている」と提出資料に書かれている。

つまりこれは、悪者があなたのクレジットカードを空っぽにするために必要な情報すべてということだ。

報告書には何人の顧客がデータを盗まれたのかは書かれていないが、 カリフォルニア州法によると、カリフォルニア州民500人以上が影響を受けた場合、会社はハッキングについて顧客に通知しなければならない。

4年間にわたる侵入はひどいだけではなく、なんとも絶妙のタイミングでもあった。奇妙なことに、2014年にさかのぼってセキュリティー問題を認めた会社はこれが2番目だ。木曜日(米国時間11/30)にMarriottは、5億人分の顧客予約記録が、4年間にわたり正体不明のハッカーによって盗まれていたことを発表した。

ことわざをご存じだろう:二度あることは三度ある。さて次は誰だろう?

[原文へ]

(翻訳:Nob Takahashi / facebook

ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。

Palo Alto Networksの最新の調査によると、最近急増しているFlashインストーラーは、暗号通貨を採掘するマルウェアをセキュリティの弱いコンピューターに投下するだけでなく、Flashがすでにあっても、また新たにインストールする。

研究者たちによるとそれは、本物のFlashインストーラーだと思わせるための、騙(だま)しの手段だ。

そのインストーラーを開くと、こっそりとXMRigがインプラントされる。それはオープンソースの暗号通貨採掘プログラムで、コンピューターのプロセッサーとグラフィクスカードを使って採掘を開始する。生成された通貨はすべて、Moneroのウォレットへ吸い上げられ、追跡はほぼ不可能になる。採掘マルウェアがインプラントされたら、次にインストーラーはAdobeのWebサイトから本物のFlashインストーラーをダウンロードして、Flashをインストールする。

研究者たちは今年の3月だけでも、100あまりの偽のFlashアップデーターを見つけた。

Flashという、長年バグの多い、攻撃されやすいプラグインが、今でも頭痛の種になっていることは、皮肉な現象だ。被害者候補のコンピューターにFlashがなくて、マルウェアをプッシュすることができなければ、ハッカーはそのイミテーションを使って、攻撃の足がかりにする。Flashが大きな問題になってからGoogleは、10年近く前に、Flashやその他のプラグインをサンドボックスに囲った。当時もFlashを利用するマルウェアが、蔓延していた。

でもその後、普遍的にサポートされていてFlashより使いやすいHTML5の普及とともに、Flashの利用は急速に衰退した。

Adobeは2020年に、Flashを引退させる予定だ。そのあとは、偽のFlashインストーラーも影を潜めるだろうか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

Googleの持株会社Alphabet傘下のセキュリティ企業Chronicleの、ウィルスやマルウェアをスキャンするサービスVirusTotalが今日(米国時間9/27)、エンタープライズ向けのバージョンを立ち上げた

VirusTotal Enterpriseと名付けられたその新サービスは、より高速でよりカスタマイズ性に富むマルウェア検索と、Private Graphと呼ばれる新しい機能を提供する。Private Graphは、企業のインフラストラクチャと、彼らのマシンに悪影響を及ぼすマルウェアの、プライベートな視覚化を作りだす。

企業はPrivate Graphを使って社内のインフラストラクチャやそのユーザーの明細を容易に作れるので、セキュリティチームはインシデントとその起点を調べやすくなる。上図のようなグラフを作る過程でVirtusTotalは、複数のノードの共通性を見つけ、問題の発見を助ける。

当然ながらこれらのグラフはプライベートに維持される。VirusTotalはすでにその有料ユーザーにVirusTotal Graphという機能を提供しているが、しかしその情報はすべて、パブリックだ。

VirusTotalの主張によると、このサービスはAlphabetの大きなインフラストラクチャと検索の専門的能力を利用できるので、高速で高度な検索ができる。VirusTotal EnterpriseのスピードはこれまでのVirusTotalの100倍で、検索の精度も高い。その高度な検索機能により、企業のセキュリティチームは、偽アプリケーションからアイコンを取り出したり、同じファイルに取り付いているすべてのマルウェアを見つけたりできる。

さらにVirusTotalによれば、同サービスは今後も引き続きGoogleの強力なインフラストラクチャを利用する前提で、そのエンタープライズサービスを徐々に拡張していく。

GoogleがVirusTotalを買収したのは2012年で、その後長年このサービスに変化はなかったが、今年の初めにGoogleの親会社AlphabetがVirusTotalを新設のChronicleブランドへ移し、それ以降、開発が活発になったようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

郵送でもフィッシングは可能――中国のハッカー、マルウェア入りCDで政府機関を攻撃

単純だが効果的なソーシャル・エンジニアリングの手法だ。中国のハッカーは政府機関に対してマルウェアを入れたCDを郵送するという攻撃を行っていいるという。DHS(国土安全保障省)が組織したMS-ISAC(Multi-State Information Sharing and Analysis Center)はこれに関する情報を公開して警戒を呼びかけている。

非常に単純なトリックで、中国の消印が押された封筒でCDが同梱された無意味な書簡が政府機関に届けられる。このCDのWordファイルにはスクリプト・ベースのマルウェアが仕込まれている。誰かがこのファイルにアクセスするとマルウェアが起動し、おそらくはシステムが乗っ取られるのだろう。セキュリティー専門家、Brian Krebsは次のように書いている

MS-ISACは予備的調査の結果として、CDには普通話中国語のMicrosoft Word (.doc)ファイルが複数含まれており、一部のファイルにはVisual Basicスクリプトで書かれたマルウェアが付属していると発表した。MS-ISACによれば、アメリカ政府や自治体の公文書館、史学協会、文化教育機関などにそれぞれの宛名を付したこうした郵便物が届いているという。これらの機関で誰かが実際にCDを公的なコンピューター・システムに接続したかどうかは不明だ。

なんであれ頼まないのに勝手に送り付けられてきたストレージデバイスをコンピューターに挿入してはならない。とはいえ、このマルウェア攻撃は多少の技術的知識とCD-ROMを製作、郵送する金さえあれば簡単に実行できることもはっきりしている。もっとも、いまだにCDドライブのあるコンピューターを使っている犠牲者を選ばねばならないのは欠点だ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

警告:安価なAndroid携帯電話の中にはマルウェアがプリインストールされているものがある

Avastは、Googleの認定を受けていない多くの安価なAndroid携帯電話が、マルウェア(悪意あるソフトウェア)で汚染された状態で出荷されていることを発見した。このマルウェアによって利用者は望んでいないアプリをダウンロードさせられてしまう。Cosiloonと呼ばれるこのマルウェアは、アプリの宣伝をしたり、ユーザーを騙してアプリをダウンロードさせたりするために、画面上に広告を表示する。ZTE、Archos、myPhoneから汚染されたデバイスが出荷されている。

このマルウェアはドロッパーとペイロードで構成されている。「ドロッパーは難読化されていない小さなアプリケーションで、汚染されたデバイスの”/system”パーティションに置かれています。このアプリは全く目立たないもので、『設定』の下にあるシステムアプリケーションのリストの中でしかユーザーには見えないようになっています。私たちは、『CrashService』あるいは『ImeMess』という名前の2つの異なるドロッパーを目撃しています」とAvastは書いている。その後ドロッパーはウェブサイトに接続し、ハッカーが電話にインストールしたいペイロードをダウンロードする。「XMLマニフェストには、何をダウンロードするか、どのサービスを開始するかといった情報や、特定の国やデバイスを感染から除外するようにプログラムされたホワイトリストが含まれています。しかし、私たちはホワイトリストが使用された国を見たことはなく、初期のバージョンではほんの数個のデバイスしかホワイトリストに登録されていませんでした。現在は、ホワイトリストに登録されている国やデバイスはありません。CosiloonのURL全体がAPK(Androidのアプリケーションパッケージ形式)内にハードコードされています」。

ドロッパーはシステムのファームウェアの一部であり、簡単に削除することはできない。

要約すると:

ドロッパーは、暗号化されていないHTTP接続を介してダウンロードされたマニフェストの中に定義されたアプリケーションパッケージを、ユーザーの同意なしにインストールすることができます。
ドロッパーは、メーカー、OEM、そしてキャリアをつなぐサプライチェーンのどこかでプレインストールされています。
ドロッパーはデバイスのファームウェアの一部であるシステムアプリケーションであるため、ユーザーが削除することはできません。

Avast Mobile Security(Google Play Storeからダウンロード可能)を使えばペイロードを検出して削除することができるが、このアプリからではドロッパー自身を無効化することはできないため、Avastはユーザーが「設定」の中から、”Crash Service”もしくは”ImeMess”というアプリを探して手動で「無効化」することを推奨している(サイトでの説明はこちら)。ドロッパーは、アンチウイルスソフトを携帯電話上に見つけた場合には、うるさい広告表示は停止するものの、それでもディフォルトブラウザーでブラウジングをしている最中にアプリのダウンロードを勧めてくる。もちろろんそれは、より沢山の(より悪質な)マルウェアたちを招き入れるためのものである。Engadgetの指摘によれば、感染ソフトは、マルウェアを内蔵した何千台ものコンピュータが出荷されたLenovoの “Superfish”脅威に似ているということである。

[原文へ]
(翻訳:sako)

マルウェア入りコンテンツをユーザーに絶対渡さないMenlo SecurityがシリーズCで$40Mを調達

Menlo Securityは、独特のやり方で企業をマルウェアやフィッシング詐欺から護る。その同社がこのほど、4000万ドルのシリーズCラウンドを発表した。

Menloは、社員たちがマルウェアのあるWebサイトやメールの本物にアクセスさせないようにして、顧客企業を護る。オリジナルは別途保存し、クリーンな写像をブラウザーに表示するから、悪いものはすべて剥げ落ちている。つまり、マルウェアがあなたに届かなければ、あなたに危害を加えることはない、という理屈だ。

CEOで協同ファウンダーのAmir Ben-Efraimは、2015年の2500万ドルのシリーズBのとき、こう説明した: “Webページやメールはすべてクラウド(パブリックまたはプライベート)に隔離する。コンテンツを隔離すれば、それは絶対にエンドポイントに到達しない。これによってマルウェアを、アーキテクチャのレベルで排除する”。

それはとても効果的なやり方なので、Ben-Efraimによると、今では数百社の顧客企業に計100万人以上のユーザーがおり、全員が今日まで無感染だ。

このような結果に、顧客も投資家も前向きに反応している、と彼は語る: “現時点で数百社の顧客がおり、その多くはGlobal 2000社だ。これまで、非常に高い増加率だった。われわれのプロダクトのねらいが、的を得ていたということだろう。過去二年間の大きな被害例を見ると、エンドユーザーがマルウェアの餌食になるケースが多かった”。

今回のラウンドには、American Express Ventures, Ericsson Ventures, HSBCなどからの戦略的投資が目立つ。また、既存の投資家も参加している: JPMorgan Chase, General Catalyst, Sutter Hill Ventures, Osage University Partners, Engineering Capitalなどだ。同社の累計調達額は、8500万ドルになる。

HSBCのサイバーテクノロジー担当Tim Dawsonによると、同社はつねにセキュリティの革新的なソリューションを捜している。彼は声明文でこう述べている: “サイバーセキュリティはわれわれの最上位のプライオリティである。脅威はたえず進化しているのでわれわれは継続的に時間とリソースをそのチャレンジにつぎ込み、クライアントとスタッフを護る革新的な方法を探求している。今回の投資も、その取り組みの一環である”。

同社の社員は今125名だが、来年中には200近くにまで増やしたい、とBen-Efraimは言う。“シリーズCは市場拡大の資金になることが一般的に多い”、と彼は語る。彼は来年以降、全世界的な営業とマーケティングチームの構築に注力していく意向だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのSafe Browsingツールは30億台のデバイスを保護している

Googleが今日、ユーザーを危険そうなサイトから守る同社のSafe Browsingサービスが、今や30億あまりのデバイスを保護している、と発表した。このサービスは右図のような警告メッセージを表示して、デスクトップとモバイルのChrome, SafariおよびFirefoxのユーザーを、危険と思われるサイトに行けないようにするが、対象機は2013年には10億、2016年5月には20億だった。

このサービスはGoogleのマルウェア対抗ツールの最初の試みのひとつで、2007年に同社の旗艦的サービスである検索の機能として導入された。その後、SafariとFirefoxがこのサービスを採用し、さらに多くのWebデベロッパーやアプリデベロッパーも採用した(たとえばSnapchat)。

しかしSafe Browsingの基本的な考え方は、今も変わっていない。ユーザーがこれから行こうとするサイトが詐欺的だったりマルウェアのホストのようだったら、ユーザーにそう告げる。

なお、Android上のChromeでSafe Browsingがデフォルトで有効になったのは、つい最近の2015年だ。2016年の対象機の急増は、そのせいである。

Googleは今日の発表の中で、Safe Browsingは機械学習を使って悪質サイトの検出精度を上げ、また、つねに最新の技術を評価し統合して改良に努めている、と述べている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

字幕ファイルに隠されたマルウェアにご注意

偽の字幕ファイルにマルウェアを隠してパソコンを乗っ取る巧妙な手口が発見された。 このマルウェアはPopcorn Time、VLCなどのユーザーに被害を与えている。

Checkpointが発見したところによると、ハッカーは人気ある海賊版映画やテレビ番組の字幕ファイルと見せかけたファイルに攻撃用のコードをエンベッドしている。ビデオプレイヤー・アプリもユーザーもこうした字幕ファイルは無害なテキストだと考えて注意を払ってこなかった。Checkpointはこれがハッカーに利用されているという。

われわれの調査で新しい攻撃の手口が発見された。映画の字幕ファイルを利用してサイバー攻撃を仕掛けるもので、これまで完全に見逃されていた点を利用するテクニックだ。字幕ファイルをユーザーがメディアプレイヤーにロードする場合、「信頼できるファイル」として扱われるのが普通だった。しかし、人気ある字幕ファイルにハッカーが手を加えてサイバー攻撃のための偽ファイルを作ることが可能だと判明した。この手口ではユーザー側の意識的操作はほとんど、あるは全く必要ないため一層危険性が高い。

サイバー攻撃に用いられる各種のセキュリティー上の脆弱性についてはデベロッパーもユーザーもかなりの知識がある。しかし映画の字幕ファイルは単なる無害なテキストファイルと考えられ、注意が払われることがほとんどなかった。

もしPopcorn Timeなどを使っているなら(使っていてはならないのだが)、この脆弱性のパッチはこちらから入手できる。VLC、Kodi、Stremioの場合はパッチはアップデートで自動的に適用されるはずだ。 下のデモビデオでは字幕ファイルをロードすると攻撃側のパソコンとの間にTinyVNC接続が行われ、ハッカーは被害者のパソコンを自由に操作できることが示されている。人気映画の海賊版を見るだけのつもりで、とんでもないダメージを受けることになる。注意が必要だ。


画像: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Google セーフ ブラウジングのサイト ステータス ツールが更新されました

Google セーフ ブラウジング(英語)で提供するツールは、マルウェア、望ましくないソフトウェア、ソーシャル エンジニアリングなどのインターネット上の脅威からユーザー自身を保護する目的でご利用になれます。Google の警告はよく知られているとおり、ユーザーが危険なサイトに移動しようとしたときや、危険なファイルをダウンロードしようとしたときに表示されます。Google は他にも、サイト ステータス ツールのように、ユーザーがウェブページの安全性の現状を、そのページにアクセスしなくても確認できるツールを提供しています。

このツールは Google のセーフ ブラウジングに関する透明性レポート内でご利用になれます。Google の透明性レポートの他のセクションと同様に、このサイト ステータスのデータを提供することで、オンライン エコシステムのセキュリティと健全性に関して、一般ユーザーがよく見通せるようになります。サイト ステータス ツールを使用するには、ツールにウェブページを(URL、ウェブサイト、またはドメインとして)入力します。そのウェブページに関するセーフ ブラウジングの最新の解析結果に加えて、トラブルシューティングのヘルプと関連資料への参照情報が表示されます。

Google はこのたび、サイト ステータス ツールの新バージョンをリリースしました。新しいバージョンでは、結果の表示が簡潔で明確になり、設計が調整されています。この変更により、セーフ ブラウジングの警告を受け取ってからツールにアクセスするユーザーや、Google でのマルウェアやフィッシングの検出についてオンラインで調べようとするユーザーにとってより使いやすいツールになりました。ツールのユーザー インターフェースも整理され、説明はわかりやすく、結果はさらに正確になりました。また、連携している自律システムの詳細な技術的データの一部を、透明性レポートの不正なソフトウェア ダッシュボードに移動しました。

インターフェースこそ整理されましたが、診断情報の詳細が表示されなくなったわけではありません。詳細について調べようとするユーザーは、セーフ ブラウジングの透明性レポートの他のセクションで深く掘り下げることができます。一方、サイト所有者は Search Console で詳細な診断情報について確認することができます。透明性レポートの目標の 1 つは、ポリシーとセキュリティの複合的な問題を明らかにすることであり、今回の設計の調整によって実際に、ユーザーにとって明瞭さが増す結果となることを願っております。

数億のモバイル ユーザーを保護するための取り組み

この記事は 2015 年 12 月 7 日に Google Online Security Blog に投稿された記事「Protecting hundreds of millions more mobile users」の翻訳です。

Google セーフ ブラウジングは長年にわたって 10 億人以上のパソコン ユーザーをウェブ上のマルウェアや望ましくないソフトウェア、ソーシャル エンジニアリング サイトから保護してきました。本日は、こうした保護が Android で Chrome ブラウザを利用する数億人のユーザーにも拡大されたことをお知らせいたします。

利用方法

Android 端末をお使いなら、おそらく、既にこの機能をご利用いただいています。Android 版の新たなセーフ ブラウジング クライアントは、Google Play 開発者サービスの一部として、バージョン 8.1 以降から組み込まれています。この機能を利用する最初のアプリは Chrome で、バージョン 46 以降の Android 版 Chrome のすべてのユーザーがデフォルトで保護されるようになりました。Chrome の [設定] > [プライバシー] メニューを開くと、[セーフ ブラウジング] がオンになっており、保護されていることを確認できます。危険なサイトの警告は以下のように表示されます。こうした保護はパソコンの場合と同様に、ユーザーのプライバシーを保護しながら行われます。

モバイル ユーザーに対するこれまでの保護

Android プラットフォームと Play ストアではこれまで長い間、有害な可能性のあるアプリからユーザーを保護してきました。攻撃者が対策を回避する技術を高めるにつれて、Google も検出能力をさらに向上させて Android アプリのユーザーの安全を保ってきました。しかし、モバイル ユーザーに対する危険のすべてがアプリに由来するわけではありません。

これからの保護

ソーシャル エンジニアリング(特にフィッシング)に対しては別のかたちの保護が必要です。不正なサイトの最新リストを端末上に保持して、ユーザーがそうしたサイトを閲覧する前に、確実に警告を出せるよう備える必要があります。しかしながら、こうした保護をモバイル端末上で提供することは、パソコンの場合よりもはるかに難しくなります。その理由として少なからぬ部分を占めるのが、リストを最新に保たなければならないという点です。

  • 世界中のほとんどのユーザーにとって、モバイルデータの費用はユーザー側の負担になります。データのサイズが問題となります。
  • 世界のほとんどの地域では、モバイルデータの回線速度は Wi-Fi よりも低速です。データのサイズが問題となります。
  • 携帯電話の繋がりやすさはさらに差が大きいため、適切なデータを端末に素早く配信することが不可欠です。データのサイズが問題となります。

最小のデータで最大の保護を提供

Google では、セーフ ブラウジングでモバイル端末に送信されるデータは1ビットも無駄にすることなくすべて保護の向上に役立たねばならない、という哲学を持っています。モバイル端末においてネットワーク帯域幅と電池は最も貴重なリソースであるため、どのようにしてモバイル ユーザーを保護することが最良なのかを入念に再検討する必要がありました。一部のソーシャル エンジニアリング攻撃は世界の一部の地域でのみ起きているため、そうした地域内に端末がある場合のみ、端末を保護する情報を送信します。

また、最も危険性の高いサイトに関する情報をまず最初に送信します。新興諸国の速度の遅いネットワークでよくあるように、ほんのわずかな更新データしか送信できない場合、更新内容は本当に価値のあるものでなければなりません。そこで、私たちは Google の圧縮技術チームとも連携し、送信する更新データの量をできるだけ小さく抑えました。

さらに、Android セキュリティ チームと協力して、端末上のソフトウェアによるメモリとプロセッサの使用を可能な限り抑えるとともに、ネットワーク トラフィックの最小化にも留意しました。こうした点すべてが重要なテーマです。ユーザーのデータ通信料や電池消費量をわずかでも浪費してはならないからです。

より多くのモバイルユーザーを保護

ユーザーに苦い経験をさせないよう、Google ではインターネット上の脅威への対策を続けています。同時に、こうした保護がユーザーのネットワーク費用や端末の電池に不当な負担を強いるものであってはなりません。世界中でモバイルウェブへの依存が高まり続けるなか、Google では可能な限り効率的な方法で、ユーザーをできるだけ安全にしたいと考えています。

セーフ ブラウジングの保護対象が増えました

この記事は 2015 年 11 月 13 日に Google Online Security Blog に投稿された記事「Safe Browsing protection from even more deceptive attacks」の翻訳です。

セーフ ブラウジングは、8年以上のあいだ、従来のフィッシング攻撃から 10 億人以上のユーザーを保護してきました。そのあいだにも、ウェブ上で暗躍するハッカーたちは、ユーザーをだまして本来意図していない行動をとらせるために、さまざまな種類の不正行為を仕掛けています。つまり、フィッシング攻撃の様相は常に変化してきているのです。そこで Google では、ソーシャル エンジニアリングも対象にするよう保護の範囲を拡大しました。

ソーシャル エンジニアリングは従来のフィッシングと比べてより広範囲なカテゴリであり、さまざまな不正なウェブ コンテンツを含んでいます。ソーシャル エンジニアリング攻撃とは、次のようなコンテンツを指します。

  • 信頼できる組織(銀行、行政機関など)を装っている、またはそのような印象を与えるコンテンツ。
  • ユーザーが信頼できる組織に対してのみ行うような行為(パスワードを共有する、テクニカル サポートに電話するなど)に誘導しようとするコンテンツ。

Google や Chrome から配信されたコンテンツであるかのように装うソーシャル エンジニアリング攻撃の例を、以下にいくつかご紹介します。他の信頼できるブランドも同様に、ソーシャル エンジニアリング攻撃による不正行為に使用されていますのでご注意ください。

これは、マルウェアや不要なソフトウェアをダウンロードして実行させようとするページです。Google が運営するサイトだと思わせるために Chrome のロゴと名前を使っています。こうしたコンテンツには、Google とは無関係であることを示す免責条項が目立たない場所に書かれている場合がありますが、このコンテンツが不正なものであることに変わりはありません。ウェブからファイルをダウンロードするときはいつでも注意を払うようにしてください。

これはテクニカル サポートの電話番号をかたったページです。偽の警告メッセージを表示して、Google またはその他の信頼できる組織になりすました無関係の企業に電話をかけさせようとしています(Chrome では有料のリモート サポートは提供していません)。

これは偽の Google ログインページです。ユーザーをだましてアカウントのログイン用認証情報を入手しようとしています。この種のフィッシングを行うサイトでは、クレジット カード情報などその他の個人情報の入力を要求されることもあります。フィッシング サイトはまるで本物のサイトのように見えるように作られているため、アクセスしている URL が本物に間違いないことをアドレスバーで確認するとともに、そのウェブサイトが「https://」で始まるかどうかもチェックするようにしましょう。詳しくはこちらをご覧ください。

ソーシャル エンジニアリングのコンテンツが含まれるウェブページであることが特定されると、Chrome では次のようなページを表示してユーザーに警告します。

(セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、こちらからご報告ください)

Google では、より多くのユーザーがオンライン コンテンツを安心して利用できるようにするため、セーフ ブラウジングによる保護を引き続き強化していきます。詳しくは、透明性レポートのセーフ ブラウジングに関するページをご覧ください。

不正なハッキングに対する #NoHacked キャンペーンを世界中で実施しました

先日、Google サーチ クオリティ チームでは、#NoHacked キャンペーンと題して、サイトの不正なハッキングの問題を改めて知り、サイトを守るための Tips (ヒント)を 1 週間毎日発信するキャンペーンを全世界で行いました。

このキャンペーンは、11 言語圏でGoogle+TwitterWeiboなど様々なチャンネルを舞台に実施しました。延べ 100 万人近い方が閲覧し、何百もの投稿の共有や、 #NoHacked のハッシュタグを使ったユーザー オリジナルの Tips 投稿が行われました。

ここで、Google が投稿した 5 つの Tips を改めてご紹介するとともに、世界中から寄せられた素晴らしい投稿の一部をご紹介します。

Tips その 1:
今週はハッキングの予防について考えよう!

Tips その 2:
ウェブマスター ツールはハッキングからサイトを守る上でも役立ちます。使っていない方はぜひ登録を。お友達にもお知らせください。

Tips その 3 :
Google アラートを設定してハッキングの兆候をいち早くつかもう。

Tips その 4:
ソフトウェアは常に最新のものにアップデートしておこう。

Tips その 5:
ユーザーから寄せられたベスト投稿を発表!(各言語でベスト投稿を発表しました)

世界中から寄せられた投稿のご紹介

  • ブラジルの Pablo Silvio Esquivel さんは海賊版ソフトウェアを使うことがハッキング被害の危険性につながることを紹介してくれました。
    https://plus.google.com/+PabloSilvioEsquivel/posts/9ahpESFwuac
  • オランダの Rens Blom さんは、パスワードを複数のアカウントで使いまわさず定期的に変更すること、そして 二段階認証 などのセキュリティ機能も使うことをおすすめしてくれました。
    https://plus.google.com/+GoogleNederland/posts/48e3VAsxddS
  • ロシアの Дмитрий Комягин さんは、日頃からサイトへのトラフィックや、検索クエリ、ランディング ページなどをモニターし、数値の想定外の急上昇などがないか把握しておくという方法を投稿してくれました。
    https://plus.google.com/+googleru/posts/CYwe6xf3Xvm
  • 日本の工務店コンサルタントさんは、実際に被害に遭われた際のレポートとそこから得た教訓として、ハッキング対策を適切に行っているホスティングを選ぶこと、ウェブマスター ツールのメール転送機能を設定しておくことなどを詳しくご紹介してくださいました。
    https://plus.google.com/+Asanoyukinobu/posts/hsKmoc2v2cZ
  • ポーランドの Kamil Guzdek さんは、WordPress をインストールした際に、table prefix をデフォルトのものからユニークなものへ変更することで、データベースがハッキングされるのを防ぐという tips を紹介してくれました。
    https://plus.google.com/+KamilGuzdek/posts/Gu63giLNTiZ
今回、世界同時でキャンペーンを行ったこと、そして、世界中のユーザーからサイトの不正なハッキング対策が多く寄せられたことからもわかるように、サイトの不正なハッキングの問題は全世界的に広がりを見せています。どうぞ今回ご紹介した Tips と共に以下のサイトも参考にし、ご自身のサイトの設定をもう一度確認してみてください。
ハッキングされたサイトに関するウェブマスター ヘルプ
http://www.google.co.jp/webmasters/hacked/

これからも全世界で Tips を共有し、サイトのハッキングと闘いましょう! #NoHacked のハッシュタグはこれからもご利用ください。また質問がある際はウェブマスター ヘルプ フォーラムをご利用ください(ハッキングに関するカテゴリも用意しています)。

Google では今後もユーザー、ウェブマスターのみなさまのお役に立てる情報をどんどん発信していきたいと思っておりますので、ぜひ Google Webmasters ページGoogle Japan ウェブマスター コミュニティをフォローしてみてください。

ハッキングされたサイトの復旧をより簡単に

ウェブマスターの皆様にとって、自分のサイトがハッキングされ スパム コンテンツマルウェア を挿入されていることを見つけたらショックでしょうし、時間の制約がある中でサイトをクリーンアップするのはとても大変なことだと思われます。

Google ではこうしたハッキングされたサイトの復旧をより簡単にできるよう、スムーズなクリーンアップ プロセスをサポートする取り組みを進めてきました。たとえば、サイトで使用しているソフトウェアが古い場合は ウェブマスターにお知らせ しています。また、ハッキングされたサイトの復旧方法について情報をまとめたポータル サイト を作成し、復旧プロセスの各手順を説明した詳しい記事や動画を掲載しています。

そして今回、「セキュリティの問題」という新機能をウェブマスター ツールで公開しました。

確認済みのサイト所有者 は、この新機能で次の操作が可能になります。
  • サイト上のセキュリティの問題について詳細な情報を 1 か所で確認できます。
  • 詳細なコード スニペットで問題をより早く特定できます。
  • 簡素化された新しいプロセスにより、セキュリティに関するすべての問題について審査を一度にリクエストできます。

サイト上のセキュリティの問題について詳細情報を 1 か所で確認

サイトがハッキングされ、スパム コンテンツやマルウェアが挿入されている可能性があることが検出されると、[セキュリティの問題] ページ 1 か所にすべての情報が表示され、簡単に問題を把握できるようになりました。以前、ウェブマスター ツールの [マルウェア] セクションに表示されていた情報や、ハッカーが挿入したスパム コンテンツに関する新しい情報は、この [セキュリティの問題] ページに表示されます。[セキュリティの問題] のメイン ページには、ハッキングのタイプ、サンプル URL(可能な場合)、Google が最後に問題を検出した日付が表示されます。


詳細なコード スニペットで問題をより早く特定

可能な場合はいつでも、ハッキングされた URL から 悪質な HTML/JavaScript のコード スニペットを表示します。また、Google が特定したハッキング タイプから、クリーンアップするための推奨操作が一覧表示されます。


すべての問題について審査を一度にリクエスト

再審査のリクエスト方法も簡単になりました。サイトをクリーンアップしてセキュリティ ホールを閉じたら、[セキュリティの問題] ページから直接ボタンをワン クリックするだけで、すべての問題について審査をリクエストできます。



詳しくは、内容がさらに充実した ハッキングされたサイトの復旧方法について情報をまとめたポータル サイト をご覧ください。新たに 22 言語に対応しています。皆様のご感想を、ウェブマスター ヘルプフォーラム にぜひお寄せください。


防ごう「サイトの不正なハッキング」

最近は日本でも、サイトのハッキングによる被害が多く見られます。

皆さんの中には、サイトが 不正なハッキング の被害を受け、コンテンツが改ざんされたり悪意のあるコンテンツが挿入されたりしてしまった、という話を耳にしたことがある方もいらっしゃるかもしれません。

Google サーチ クオリティ チームでは、ウェブマスター ヘルプ フォーラムGoogle+ Webmaster Japan コミュニティ を通して "防ごう 「サイトの不正なハッキング」キャンペーン" と題してサイトの不正なハッキングによる被害を防ぐための予防策や、被害にあった際の対策などについて、情報発信を行ってきました。

ここで、今回のキャンペーンで発信した情報を改めてご案内します。



1: ウェブマスター ヘルプ フォーラム - 「Google 社員による豆知識 : サイトがハッキングの被害を受けたときの対応方法

ウェブマスター ヘルプ フォーラムでは、フォーラムに投稿されたハッキング被害のケースなどから、被害に遭ってからその解消までのプロセスを以下の 3 つにわけ、ウェブマスターの方がつまずきやすい点を整理してご紹介しました。
  • 原因の特定
  • ハッキングの被害の確認方法
  • 問題の修正後、再発を防ぐためにすべきこと
「サイトが不正なハッキングの被害にあったらまず読んで頂きたいポイント」という観点から内容をまとめました。今まで、被害に遭われた際に初めてその対策を調べたために問題の解消までに時間がかかってしまいサイト運営上大きな影響が出た、というケースが多く見られますので、被害に遭われる前に内容を確認しておくことを強くおすすめします。


2: Google+ Webmaster Japan コミュニティ - ウェブマスター ミニ Tips

Google+ Webmaster Japan コミュニティ 上では、イラストを使ってヒントをお伝えするウェブマスター ミニ Tips 形式で、特に重要なポイントを中心にご紹介しました。
これらのフレーズをどこか頭の隅に留めておき、「サイトの不正なハッキング被害はいつ起きてもおかしくない」という意識を持って頂けたらと思います。また、「ハッキングの影響は周囲にも。みんなで防ごう、注意しよう。」とご案内していますように、ハッキングされた上でマルウェアなど悪質なソフトウェアを仕込まれた場合、被害はサイトだけでなく、そのサイトを訪れたユーザーへの感染など周囲まで及びます。ご自身だけでなく周囲のウェブマスターやユーザーの方と、不正なハッキング防止のため、常に意識し、情報を共有していくことが重要です。ぜひ周囲のウェブマスターの方に、今回の情報についてご紹介をお願いします。

今後も Google サーチ クオリティ チームでは不正なハッキングを防ぐために役立つ情報の発信を強化していきます(ウェブマスター ヘルプ フォーラムでは、マルウェアへの感染、サイトのハッキングに関するカテゴリ を新設しました)。新しい情報をご紹介した際には、ぜひご確認ください。


あなたのサイトは大丈夫?身近に潜むハッキングの危険とその対策

サイトがハッキングされることは悩ましい問題で、Google はハッキングされたサイトのウェブマスターの方々がサイトをクリーンにし、2 度とハッキングされないように整備することへのサポートを、できる限りしたいと考えています。このブログ記事では、よく見られる 2 種類のハッキングの手法について解説し、さらにハッキングされた際の解決方法や参考になる関連情報についてご紹介します。

ユーザーの皆さんに Google 検索を安心してご利用頂くために重要なことは、検索結果上に表示しているリンク先が、どれを訪れても安全である、という状態にすることです。しかし、残念ながら、悪意のある第三者が一般のサイトをハッキングして検索結果を操作したり、悪意のあるコンテンツやスパムをばら撒くために利用することがあります。Google では、ハッキングされていると検知したサイトに対して、「このサイトは危険にさらされている可能性があります」という警告を検索結果上に表示することで、検索ユーザーやウェブマスターに対して注意を喚起しています。

ハッキングされたサイトへの警告メッセージの表示

Google ではハッキングされたサイトのウェブマスターの皆さまに、サイトをクリーンにするために必要な情報を可能な限り早く提供したいと考えています。また、サイトをウェブマスター ツールに登録しているウェブマスターの方には、サイトがハッキングされていると検知した際にメッセージも(可能な場合は疑わしい URL も例示しながら)お送りしています。

また、あなたのサイトがマルウェアに感染し、他ユーザーへの感染源になってしまうことも、時にはあるかもしれません。Google ではマルウェアへの感染を確認したサイトについても検索結果上で「このサイトはコンピュータに損害を与える可能性があります」という警告を表示しています。さらに Chrome などのブラウザでは感染の疑いのあるサイトを訪れようとすると、さらに警告を表示する場合があります。また、ケースによってはマルウェアについてのより詳細な情報をウェブマスター ツールの [マルウェア] セクションで提供する場合があります。マルウェアへ感染した際の対処方法についてまとめたヘルプ記事 も提供していますので、ぜひご覧ください。

ここからは、第三者があなたのサイトをハッキングする際に利用する代表的な手法を 2 つご紹介しましょう。

コンテンツの挿入

ハッカーはあなたのサイトに、彼ら自身のサイトへのリンクを挿入して検索結果上での上位表示を企むことがあります。こうしたリンクは多くの場合、ウェブマスターが気づきにくいように隠された形で挿入されます。また、こうした悪質なリンクが検索エンジンのクローラーに対してだけ表示されるように設定していることもあります。
挿入されたコンテンツの例
このようなコンテンツを検知した場合、Google ではウェブマスター ツールを通して詳細情報と共にメッセージをユーザー アカウントにお送りします。もし自分のサイトがこのような形でハッキングされていると疑われる場合は、 Fetch as Google 機能を使って、Google に対してあなたのサイトがどのようなコンテンツを返しているかを確認することができます。悪質なコンテンツが挿入されていないか確認する際は、.php ファイルや、テンプレート ファイル、CMS プラグインなどを見てみるとよいでしょう。

リダイレクトの悪用

ハッカーはリダイレクトを悪用し、ユーザーをスパム サイトや悪意のあるサイトへと誘導しようとすることもあります。狙われるのがサイトを訪れるすべてのユーザーであることもありますし、より特定のユーザーをターゲットとすることもあります。例えば、検索エンジンを経由してサイトを訪れるユーザーを狙うこともあれば、モバイル端末を利用しているユーザーのみをターゲットとすることもあります。もし、サイトに直接アクセスすれば全く問題なく表示されるのに、検索結果を経由してサイトを訪れようとすると予期せずリダイレクトされる場合、あなたのサイトがこの手法によって改ざんされている可能性が非常に高いと言えます。

ハッカーがこの手法を利用する際には、サーバーの設定ファイル (Apache における .htaccess など)を書き換えて、ユーザーごとに異なるコンテンツを表示させる場合があります。サーバーの設定ファイルを確認し、以下のような書き換えがされていないか見てみることをお勧めします。



また、JavaScript をサイトのソース コードへ挿入することでこの手法を行う場合もあります。このような JavaScript は、その目的がわからないようにデザインされている場合があるので、”eval” や “decode”、“escape” といった文字列を手がかりに探してみると良いでしょう。

問題の解消と予防


サイトがハッキングされたりマルウェアに感染したりした場合、改ざんされた箇所をすべてクリーンにするだけでなく、そうした事態を引き起こした脆弱性にも対策を行うことが重要です。Google では サイトのクリーンアップマルウェアへの感染を防止する ために役立つ情報をまとめたヘルプ記事も提供しています。また、Google ウェブマスター ヘルプ フォーラム や皆さんが利用しているホスティング プロバイダーに具体的な対策方法について問い合わせることも役立つでしょう。 サイトがクリーンな状態になったら、再審査をリクエストしてください。 問題がすべて解消されたことが審査で確認されると、検索結果上の警告メッセージが削除されます。 この記事についてご質問やご意見がありましたら、いつでも ウェブマスター ヘルプフォーラム までお知らせください。