Microsoft、〈レガシー問題〉対策にクラウドを利用

Microsoftは、同社のボットネット対策グループをクラウドに移し、既知のマルウェア侵略に関する情報を準リアルタイムに提供する。Microsoftはこの新しいプログラムをインターネット事業者(ISP)や、組織内でマルウェア等の脅威を監視する任務を果たしているコンピューター緊急対応チーム(CERT)等にも利用できるようにする。

新設のサイバー脅威情報プログラム(C-TIP)は、2010年に立ち上げられたプロジェクトMARS(Microsoft Active Response for Security)を置き換える。プロジェクトMARSは、ISPやCERT向けに最新情報を定期的にメール配信していた。C-TIPでは、データとその異常を監視し、ボットネットがばらまいたマルウェアによる脅威を未然に防ぐ。

さて、Microsoftは、パソコンを犯罪者が操り悪事を働くボットへと変える攻撃者からソフトウェアを保護することを、重大事ととらえている。Microsoftデジタル犯罪対策課(テレビの犯罪ドラマで聞くような響き)のTJ Campana課長は、悪意ある攻撃はソフトウェアをアップデートしない人々にとって問題になることが非常に多い、と語った。

ソフトウェアをアップデートしない・・・うーむ・・・それはクラウドの利点だよね?

これは、新しいクラウドインフラを使って旧システムを安全に保つというニュースだ。レガシー問題が、クラウドのもたらす強大なデータコンピューティングと分析能力によって対応されている。

しかし本当のより現代的問題はデスクトップパソコンが攻撃されることではない。問題はモバイル端末であり、どうやってこれをサイバー犯罪者が繰り出す脅威から守るかだ。

何千万何億という人々がMicrosoftのソフトウェアを使っている。従来セキュリティーは、企業の周囲に塀を張りめぐらして、ソフトウェアやコンピューターを安全に保つことだった。

今人々に必要なのは、自分たちのデータを守るための健全な習慣と予防措置である。この努力が集団を保護するために役立つ。しかし新しい戦いはデスクトップ上にはない。それはデータが流れるクラウドや何十億台ものデバイスの中で起きている。

[原文へ]

(翻訳:Nob Takahashi)


全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている

本誌TechCrunchのように、WordPressを使ってサイトを構成しているところは、管理/編集ページにアクセスする人たちのパスワードが“強いパスワード”であることを、あらためて確認しよう。そしてユーザ名が、”admin”であってはいけないHostGatorCloudFlareからの報告によると、今、WordPressを使っているブログに対する大規模無差別攻撃が行われている。その大半は辞書を使用する力ずくの攻撃で、とくにWordPressがデフォルトで設定する”admin”アカウントのパスワードを見つけようとする。

HostGatorの分析によると、これは高度に組織化された、そして広範囲に分散した攻撃だ。同社の見積もりでは、今のところ約9万のIPアドレスが使われている。CloudFlareのファウンダでCEOのMatthew Princeが今朝語ったところによると、ハッカーたちは約10万のボットをコントロールしている。CloudFlareが実際に見たところによると、攻撃は相手を選ばずで、特定の種類のサイトに偏ってはいない。

知らない人に自分のパスワードを当てられるのも迷惑だが、犯人たちの最終目的はサーバを乗っ取ることだ。CloudFlareの説によると、犯人は現在、比較的ローパワーなホームPCのネットワークを使っているが、そのねらいは“強力なサーバによる大きなボットネットを作って次の攻撃に備える”ことだ、という。ホームPCは、大規模なDoS攻撃の舞台にもなる。しかしサーバを乗っ取って利用すれば、さらに強力な攻撃が可能だ。

今行われている攻撃は、同じくWordPressのサイトをねらった2012年の攻撃に似ている。でもそのときの攻撃は、古いバージョンのTimThumbを探した。これはWordPressのテンプレートの多くがデフォルトで使っている、PHPによる画像のサイズ変更ソフトだ。

CloudFlareとHostGator、およびそのほかのホスティングプロバイダの多くが、顧客を保護するための適切な措置をすでに講じている。強力なパスワードを選ぶことはつねに重要だが、いろいろWordPressプラグインをインストールして、同じIPアドレスや同じネットワークからのログイン回数を制限し、こういう力づくの攻撃を防ぐこともできる。ただしWordPressのファウンダMatt Mullenwegは彼の今日の午後のブログ記事で、ユーザ名を’admin’から別の…ありふれてない…ものに変えることが最良の防御だ、と言っている。犯人は9万ものIPを使っているのだから、特定は困難である、と。あなたのサイトがもしもWordPressを使っていたら、二段階認証をonにして、セキュリティの層を厚くすることもできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


新種のボットネット「カメレオン」は、広告主に毎月600万ドルの損害を与えている

ボットネット。セキュリティー研究者にとってそれはまるでヒュドラーのようだ。凶暴な頭を1つ切り落とすたびに、切り口からまた2つ生えてくる。

つい〈一月〉前、MicrosoftとSymantecは、大量のBamitalボットネットを何とか退治したと発表した。Bamitalは偽クリックを生成して年間100万ドルもの金額を詐取したと言われている。今回出現したばかりの新種はどうなのか? 600万ドル。毎月。

ロンドン拠点のセキュリティー調査・トラフィック分析会社のSpider.ioは、このボットネットを2012年12月以来追跡している。様々な方法で身を隠すことからこれを”Chameleon”[カメレオン]と名付け、厄介な生き物の行動に関するデータを公開した。

  • “Chameleon”はおよそ12万台のコンピューターを支配していると思われる
  • ターゲットはWindowsパソコンのみと思われる
  • これまでの多くのボットネットと異なり、Chameleonはテキスト広告だけでなくグラフィックやFlashの広告も偽クリックする
  • このボットネットは月間約90億インプレッションを偽造し、約0.02%という見過ごしやすいクリック率で広告をクリックしている。
  • 感染したパソコンの約95%は家庭のパソコンである(例えばおばあちゃんの古いDell機)
  • このボットネットは毎月90億回の広告ビューから、1000ビュー当たり0.69ドルを稼いでいると推定され、これは実際には人間のいないビューに対して600万ドルが支払われたことを意味している。

膨大な数字だけでは不足とばかりに、Chameleonは検出や退治を困難にするいくつかの技を隠し持っている。無人でページをサーフィンする際、ページ内でマウスをあちこち動かす。このためロボット風の不審な動きを監視する不正検出システムから逃れやすい。訪問者ごとに常に複数の並行セッションを走らせ、スレーブセッションがクラッシュするとすぐ自動的にリスタートする。

Spider.ioによると、Chameleonは202箇所のウェブサイトを主な活動場所にしている。どの202箇所かは公開されていない。恐らく、それらのサイトのどれかあるいは全部が、実際にはそうでなくても、グルであることを暗示することになるためと思われる。これを使って利益を得られる(あるいは、ただ自分の技術力を誇示するため巧妙なボットネットを書く)〈誰でも〉に、仕掛人である可能性がある。

幸いSpider.ioは、最もアクティブな感染パソコン5000台と同社が呼ぶリストを解明した。しかし残念ながら、120,000から増え続ける中の5000である。SYMANTECよ、われらを救いたまえ。

[写真提供:D. Richard Hipp on Flickr under creative commons]

[原文へ]

(翻訳:Nob Takahashi)