Boxがセキュリティ製品のBox Shieldにマルウェア自動検出機能を追加

自宅で仕事をする人がこれまでになく増え、多くの人がITやセキュリティチームの権限外のPCで仕事をするようになるにつれ、ネット上の攻撃から保護するための創造的な方法を見つけることが、ますます重要になってきている。そして米国時間4月8日にBoxは、昨年発表したセキュリティ製品のBox Shieldにマルウェア自動検出ツールを追加したと発表した。

BoxでCEOを務めるAaron Levie(アーロン・リーヴィー)氏は、特に何百万人もの人々がクラウドソリューションを使って在宅で仕事をするようになった今、セキュリティについての新しい考え方を見つけることが重要だと述べた。

「自宅で仕事をする人が急速に増えているため、マルウェアやフィッシング攻撃が増えている。そして攻撃側は、これらのセキュリティ脆弱性をより積極的に広め始めている。そのため我々は、高度なツールとポリシーによるマルウェア保護機能を備えたBox Shieldをリリースした」と、Levieは語った。

Boxはこのソリューションで、3つのアプローチを取っている。まず、ユーザーはファイルをダウンロードしなくても閲覧でき、リスクがあるかどうかを知ることができる。次に、ユーザーがマルウェアが添付されたファイルをダウンロードできないようにし、マルウェアが添付されたファイルがBoxにアップロードされたときには、セキュリティチームに警告する。

これは、従業員が作業しているデバイスのファイルがマルウェアに感染するのを防ぎ、問題が発生したときにはエンドユーザーに警告を発すると同時に、ファイルの内容を閲覧し、それが正当なものかどうかを知るために必要なすべての情報を、エンドユーザーに提供することを目的としている。

この種の悪意のあるパッケージを自宅で仕事をしている人たちに広めたり、以前よりもはるかに早いペースでファイルを流通させることは近年とても簡単になった。この新機能は、エンドユーザーからITセキュリティチームに至るすべての人が、ファイルがマルウェアに感染しているかどうかを知ることができ、Box内で急増するのを防ぐことができるという確信を持てるように設計されている。

原文へ

(翻訳:塚本直樹 Twitter

他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」(Server Error)と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている

Travelexの英国のウェブサイトは現在オフラインだ(スクリーンショット提供:TechCrunch)

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation(警察組合)が3月に、Arizona BeveragesAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット:Bloomberg/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い

この2年半、iPhoneをハッキングするために多数の多数の悪意あるウェブサイトが作られてきたと Googleが発表したことをTechCrunchは先週報じた。

この問題に詳しい情報源はこうしたサイトの一部はウイグルのムスリムをターゲットとしており、国家的背景があったと考えていることをTechchCrunchはつかんだ。おそらくは新疆ウイグル自治区のムスリムコミュニティに対する中国政府の攻撃の一環だという。

そうであれば、近年繰り返されてきた中国政府によるムスリムマイノリティ迫害の新たな例だ。国連人権理事会が「ウイグルで100万人以上のムスリム住民が不当に拘束されている」として北京政府に強く抗議したことを先週 WSJが報じたところだ。

iPhoneをハッキングするための悪意あるサイトを発見したのはGoogleのセキュリティ専門家だが、これまで誰をターゲットとしているのか明らかでなかった。

Googleが発見したサイトは訪問してページを開くだけでサーバーが訪問者のデバイスをハッキングし、ユーザーの活動をモニタリングを行うマルウェアを埋め込むブービートラップ式攻撃を行うという。ひとたび感染するとiPhoneのソフトウェアに無制限のアクセスが可能となり、攻撃者はユーザーのメッセージ、パスワード、位置情報などをほとんどリアルタイムで知ることができるようになる。

この攻撃を可能にしたiOSの脆弱性についてGoogleがAppleに密かに警告したため、 同社はiOS 12.1.4のアップデートで修正したという。この攻撃が行われたのは今年2月だったが、明らかになったのは先週だ。

こうした悪意あるウェブサイトへの訪問者は「少なくとも2年間にわたって毎週数千人いた」とGoogleは述べている

米国時間9月1日、Forbes(フォーブス)も我々の記事を受けて、 このハッキングの事実を確認した。iPhoneだけでなく、AndroidやWindowsのユーザーもターゲットだったという。この攻撃は当初Googleが発表したよりはるかに広範にウイグルの住民をターゲットとしたものとフォーブスの記事は示唆している。

被害者は悪意あるサイトへのリンクを開くよう誘い込まれる。サイトがユーザーのデバイスに読み込まれるとマルウェアに感染してしまう。これはスパイウェアを仕込むためによく用いられるテクニックだ。

TechCrunchが取材した情報源によれば、マルウェアを含むサイトはGoogleにインデクシングされるため、ウイグル住民だけでなく、Google検索から偶然サイトを開いたユーザーのデバイスにも感染するという。このためFBIはGoogleにこうした悪意あるサイトを検索結果の表示から削除するよう要請した。

Googleの広報担当者は公表された事実以上のコメントを避けた。 FBIの広報も報道に対して「肯定も否定もしない」方針だと述べた。

これらのサイトは訪問しただけで無差別にユーザーが被害を受ける「ウォーターホール攻撃」であるため危険度が高かった。ブログ記事を公開した後、Googleは「なぜサイト名などの詳細を発表しなかったのか?」と一部から批判された。またGoogleはこの攻撃を行った容疑者についても沈黙している。

Appleはこの件についてコメントを避けた。ニューヨーク市の中国領事館に対してメールでコメントを求めたがこれにも回答がない。

アップデート:フォーブスの記事を受けて関連する部分を補足した。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

マルウェア研究家マーカス・ハチンズが有罪を認めた

マルウェア研究家のマーカス・ハチンズ(Marcus Hutchins)が、銀行を狙う強力なマルウェアを作り、そして売ったとされる嫌疑で2つの訴因に有罪を認め、アメリカの検察との長期戦を終わらせた。

英国籍のハチンズはMalwareTechというハンドル名を名乗り、2017年8月に、ラスベガスで行われたセキュリティカンファレンスDef Conから英国へ帰国しようとしたところを逮捕された。検察はハチンズを、さかのぼる2014年に銀行を狙うマルウェアKronosの作成に関与したとして告発した。その後彼は、保釈で出獄した。

司法取引協定がウィスコンシン州東部地裁に提出され、そこでこの訴件は米国時間4月19日に審理された。彼の裁判は今年後半に開始されると決まった。

ハチンズは、Kronosを配布した罪を認めることに同意した。それは銀行のウェブサイトからパスワードとそのほかの認証情報を盗むためのトロイの木馬だ。最近の数年間そのトロイの木馬は拡散を続けた。彼また、第二の訴因である共謀罪でも有罪を認めた。

ハチンズは最大で10年の懲役刑に直面している。検察は、そのほかの訴因を取り下げた。

自分のウェブサイト上の短い声明で、ハチンズはこう言っている。「これらの行為を悔い自分の過ちに関し全面的に責任を取る」。

「大人になってからは自分が数年前に誤用した同じスキルを建設的な目的に使ってきた。今後も自分の時間を、人びとをマルウェアの攻撃から護るために捧げ続けたい」。

彼の弁護士Marcia Hofmann氏はコメントの求めにすぐには応じなかった。

ハチンズは、逮捕の数カ月前の2017年5月にWannaCryランサムウェアの犯行の拡散を止めて有名になった。その犯行は、国家安全保障局(National Security Agency、NSA)が開発し、のちにリークした強力なハッキングツールを使って何千ものWindowsコンピューターにバックドアを作り、ランサムウェアをインストールした。後日それは北朝鮮が支援するハッカーのしわざとされ、イギリスの病院や世界中の大企業のインターネット接続を断ち業務を麻痺させた。

彼はマルウェアのコードの中に見つけたドメインネームを登録することによって、感染の拡大を止め、それによって英雄視された。

保釈の前後にハチンズはセキュリティコミュニティからさらに賞賛され尊敬された。彼はマルウェア分析の分野に寄与貢献し、また自分の発見を公開して、そこから他の人びとが学べるようにしたからだ。

司法省のスポークスパーソンNicole Navas氏は、コメントを断った。

関連記事: WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

悪名高いAndroid向けマルウェアがiPhoneゲームにも潜入――専門家がGolduck汚染アプリを多数発見

セキュリティー専門家は10種類以上のiPhoneアプリがGolduckマルウェアがインストールされたサーバーと密かに通信していることを発見したという。GolduckはもともとはAndroidを対象としており、根強い人気のあるクラシック・ゲームに潜むマルウェアだった。

Appthorityによって最初に発見されたのは1年以上前になる。 iGoogle Play上のレトロゲームに潜んでおり、インストールされるとデバイスにバックドアを設け、ユーザーが気づかぬうちにサーバーから悪意あるプログラムをダウンロードする。発見されたときには1000万以上のユーザーが被害にあっていると推定された。ハッカーはデバイスにバックドアを通じて最高のユーザー特権で動作するコマンドを送り、SMSメッセージの送信などにより料金を詐取することが可能だ。

専門家はGolduckマルウェアがiPhoneにも危険をもたらしていることを発見しうた。

エンタープライズ向けセキュリティー企業のWanderaによれば、14種類のiPhoneアプリ(すべてレトロ・ゲーム)にGolduckマルウェアをインストールしたサーバーと通信できるコードが含まれているという。

汚染されているアプリは以下のとおりだ。 Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, and Chicken Shoot Galaxy Invaders

Wanderaのプロダクト担当バイスプレジデント、Michael Covingtonは「[Golduckをインストールした]ドメインは当社が昨年公表した警告リストに登録されていた。われわれがiOSデバイスの外部との通信をチェックするとGolduckドメインと通信しているものがあることを発見したために調査を開始した」と述べている。

専門家によれば、これらのマルウェアの悪質性はそれほど高くない。マルウェアを含むサーバーはアプリ右上隅の広告スペースに勝手にアイコンを送り込む程度だという。.ユーザーがアプリを開くとサーバーはどのアイコンのリンクを起動するか指示する。しかしこのときサーバー上のGolduckはデバイスのIPアドレスや位置情報などのデータを抜き取ってしまう。【略】

AppleのApp StoreはGoogleのPlay Storeよりセキュリティーのレベルが高いと見られている。Androidアプリはときおり大規模なマルウェア汚染に見舞われてきた。しかし実のところどのストアのセキュリティーも完全ではない。昨年秋にMac App Storeでユーザーの許可を得ずにブラウズ履歴を収集するアプリが発見されている。また多数のiPhoneアプリが無承諾でユーザーの位置情報を広告主に送信していた。

一般ユーザーにとってマルウェアはネット上の最大の危険となっている。どうしても必要なもの以外ダウンロードしない、また信頼できるプロバイダーのアプリ以外インストールしないなどが防衛策として効果的だ。

原文へ

滑川海彦@Facebook Google+

Twitter投稿の画像から指令を受けるマルウェア発見

Trend Microのセキュリティー専門家によれば、Twitterへの投稿画像を通じてハッカーから指示を受ける新種のマルウェアが存在するという。

マルウェア本体は比較的地味なものだ。基本的にRAT(Remote Access Trojan)であり、脆弱なコンピューターに潜み、スクリーンショットを撮るなどの方法を得る。盗み出したデータはマルウェアをコントロールするサーバーに送り返される。

興味ある点はこのマルウェアがマザーシップから指示を受けるチャンネルとしてTwitterを利用していることだ。

Trend Microのブログ記事によれば、マルウェアは作者のTwitterアカウントをフォローしており、画像にステガノグラフィー(電子迷彩技術)を利用してマルウェアへのコマンドを隠したツイートを2件発見したという。マルウェアは画像、コードの共有サイトPastebinから貼り付けられた画像を通じてマザーシップ・サーバーのURLを得ていた。これによりマルウェアは盗んだデータの送り先を知ることができたわけだ。独創性については星5つつけてもいいだろう。

セキュリティー専門家は、Twitterにアップロードされた投稿には “/processos”(OS上で動作しているプロセスの一覧)、“/clip”(クリップボードの内容)、 “/docs”(フォルダー内のファイル名一覧)などのデータの窃取を命令するコマンドを隠すことができたと述べている。

このマルウェアが最初に発見されたのは、VirusTotalのハッシュ解析によれば10月中旬だった。これはPastebinに問題の投稿が行われた時期と一致する。

ただし専門家はまだ完全に解析を終えておらず、さらに研究が必要だと」している。マルウェアが生まれた場所、感染させる方法、さらには作者の身元などはまだ不明だ。またこのマルウェアの目的もまだ完全に明白になっていない。現在知られている以外の目的に用いることを意図していた可能性もある。またPastebinの画像に隠されたアドレスがインターネット外のものだった理由を把握していない。本番の攻撃を準備するテストだった可能性もある。

Twitterのセキュリティーは厳しく、マルウェア本体はもちろん、マルウェアの拡散を助けるような投稿もチェックされている。その監視をくぐり抜けてソーシャルメディアを通じてマルウェアとのコミュニケーションを図る(前例がないわけではないが)というのはユニークだ。

マルウェアがコミュニケーションのチャンネルとしてtwitter.comを選んだのは、直接不審なサーバーと通信するのに比べて、アンチ・マルウェアソフトにブロックされる可能性が少ないと考えたからだろう。

ただしTrend Microからの通報を受けて、Twitterは問題のアカウントを永久停止とした。

マルウェアはボットネットがTwitterを利用してコミュニケーションを図ったのはこれが初めてはなく、2009年にまださかのぼれる。ボットネットがTwitterを通じてコマンドを送信した例は最近では2016年に発見されている。これは予め書き込まれたTwitterアカウントを通じてコマンドを受け取るAndroidのマルウェアだった、

画像:Getty Images

原文へ

滑川海彦@Facebook Google+

カナダの1-800-FLOWERSサイト、クレジットカード盗難マルウェアの存在に4年間気づかず

この後始末は大量の花だけでは済まなそうだ。。

1-800-FLOWERSのカナダ支店はカリフォルニア州検事総長宛ての報告書で、同社のウェブサイト上のマルウェアが顧客のクレジットカード情報を4年間にわたって流出させていたことを明らかにした。

4年間だ。考えてみて欲しい。

同社によると、マルウェアは2014年8月15日から2018年9月15日までの間、クレジットカード情報を取り出していた。しかし同社の主要ウェブサイトである1-800-FLOWERS.comは影響をうけなかった。

「調査結果によると、収集された情報には、氏名、支払い用カード番号、有効日付、およびセキュリティーコードが含まれている」と提出資料に書かれている。

つまりこれは、悪者があなたのクレジットカードを空っぽにするために必要な情報すべてということだ。

報告書には何人の顧客がデータを盗まれたのかは書かれていないが、 カリフォルニア州法によると、カリフォルニア州民500人以上が影響を受けた場合、会社はハッキングについて顧客に通知しなければならない。

4年間にわたる侵入はひどいだけではなく、なんとも絶妙のタイミングでもあった。奇妙なことに、2014年にさかのぼってセキュリティー問題を認めた会社はこれが2番目だ。木曜日(米国時間11/30)にMarriottは、5億人分の顧客予約記録が、4年間にわたり正体不明のハッカーによって盗まれていたことを発表した。

ことわざをご存じだろう:二度あることは三度ある。さて次は誰だろう?

[原文へ]

(翻訳:Nob Takahashi / facebook

Androidユーザー50万人がGoogle Playからマルウェアをダウンロード

50万人以上のAndroidユーザーが、ドライブゲームを装ったマルウェアをダウンロードした——Googleの専用アプリストアでの出来事だ。

ESETのセキュリティー研究者Lukas Stefankoは、13本のゲームアプリ——同じ開発者による——の詳細をツイートした。その時アプリはまだGoogle Playでダウンロード可能だった。うち2本はアプリストアの人気ランキングに入っていたため、いっそう目立っていた、と彼は言った。

Googleが削除するまでに計58万回以上インストールされた。

ダウンロードした人はトラックか車のドライブゲームを期待していた。代わりに手にしたのは開くたびにクラッシュするバグだらけのアプリだった。

実際には、そのアプリは別のドメイン(イスタンブールのアプリ開発者が登録)からデータをダウンロードし、裏でマルウェアをインストールしながらアプリのアイコンを消していた。悪意のアプリが正確に何をするのかはわかっていない。VirusTotalにアップロードされたサンプルを見る限り、このマルウェアが何をするかはマルウェアスキャナーの間でも一致していない。はっきりしているのは、マルウェアに持続性があることだ——Android携帯またはタブレットをスタートさせるたびにアプリは立ち上がり、ネットワークに「フルアクセス」できるため、マルウェア作者はそれを利用して秘密を盗み出す。

本誌はイスタンブール拠点のドメイン所有者Mert Ozekに接触を試みているが、今のところメールへの返信はない。

またしてもこれはGoogleによる恥ずかしいセキュリティー欠陥だ。Googleはアプリとモバイルのセキュリティー対策でAppleに遅れを取っていることで長年批判されている。Appleは壁に囲まれた庭にどのアプリを入れるかに関してはるかに限定的で選り好みが強いと言われている。

GoogleはAndroidのセキュリティーを強化すべく、セキュリティー機能を改善し、きめ細かなアプリ許可制御を導入した。しかし、その後もGoogle Playアプリストアでは詐欺や悪意あるアプリとの戦いが続いており、Androidユーザーにとって最大の脅威の一つとなっている。Googleは昨年だけで70万以上の悪質アプリをアプリストアから削除し、悪意あるアプリがそもそもストアに入り込むのを防ぐために、バックエンドの改善を試みた。

しかし、それでもまだ十分ではないことが明らかだ。

Google広報は本誌の問い合わせに対してすぐにはコメントしなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook

ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。

Palo Alto Networksの最新の調査によると、最近急増しているFlashインストーラーは、暗号通貨を採掘するマルウェアをセキュリティの弱いコンピューターに投下するだけでなく、Flashがすでにあっても、また新たにインストールする。

研究者たちによるとそれは、本物のFlashインストーラーだと思わせるための、騙(だま)しの手段だ。

そのインストーラーを開くと、こっそりとXMRigがインプラントされる。それはオープンソースの暗号通貨採掘プログラムで、コンピューターのプロセッサーとグラフィクスカードを使って採掘を開始する。生成された通貨はすべて、Moneroのウォレットへ吸い上げられ、追跡はほぼ不可能になる。採掘マルウェアがインプラントされたら、次にインストーラーはAdobeのWebサイトから本物のFlashインストーラーをダウンロードして、Flashをインストールする。

研究者たちは今年の3月だけでも、100あまりの偽のFlashアップデーターを見つけた。

Flashという、長年バグの多い、攻撃されやすいプラグインが、今でも頭痛の種になっていることは、皮肉な現象だ。被害者候補のコンピューターにFlashがなくて、マルウェアをプッシュすることができなければ、ハッカーはそのイミテーションを使って、攻撃の足がかりにする。Flashが大きな問題になってからGoogleは、10年近く前に、Flashやその他のプラグインをサンドボックスに囲った。当時もFlashを利用するマルウェアが、蔓延していた。

でもその後、普遍的にサポートされていてFlashより使いやすいHTML5の普及とともに、Flashの利用は急速に衰退した。

Adobeは2020年に、Flashを引退させる予定だ。そのあとは、偽のFlashインストーラーも影を潜めるだろうか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

Googleの持株会社Alphabet傘下のセキュリティ企業Chronicleの、ウィルスやマルウェアをスキャンするサービスVirusTotalが今日(米国時間9/27)、エンタープライズ向けのバージョンを立ち上げた

VirusTotal Enterpriseと名付けられたその新サービスは、より高速でよりカスタマイズ性に富むマルウェア検索と、Private Graphと呼ばれる新しい機能を提供する。Private Graphは、企業のインフラストラクチャと、彼らのマシンに悪影響を及ぼすマルウェアの、プライベートな視覚化を作りだす。

企業はPrivate Graphを使って社内のインフラストラクチャやそのユーザーの明細を容易に作れるので、セキュリティチームはインシデントとその起点を調べやすくなる。上図のようなグラフを作る過程でVirtusTotalは、複数のノードの共通性を見つけ、問題の発見を助ける。

当然ながらこれらのグラフはプライベートに維持される。VirusTotalはすでにその有料ユーザーにVirusTotal Graphという機能を提供しているが、しかしその情報はすべて、パブリックだ。

VirusTotalの主張によると、このサービスはAlphabetの大きなインフラストラクチャと検索の専門的能力を利用できるので、高速で高度な検索ができる。VirusTotal EnterpriseのスピードはこれまでのVirusTotalの100倍で、検索の精度も高い。その高度な検索機能により、企業のセキュリティチームは、偽アプリケーションからアイコンを取り出したり、同じファイルに取り付いているすべてのマルウェアを見つけたりできる。

さらにVirusTotalによれば、同サービスは今後も引き続きGoogleの強力なインフラストラクチャを利用する前提で、そのエンタープライズサービスを徐々に拡張していく。

GoogleがVirusTotalを買収したのは2012年で、その後長年このサービスに変化はなかったが、今年の初めにGoogleの親会社AlphabetがVirusTotalを新設のChronicleブランドへ移し、それ以降、開発が活発になったようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

この新しいマルウェアはWindowsのクリップボードを乗っ取り、暗号通貨アドレスを書き換える

その驚くほど極悪非道というべきマルウェアは、230万人分の価値の高い暗号通貨ウォレットを監視して、Windowsのクリップボード内のアドレスをハッカー集団のアドレスに置き換える。つまり、ユーザーが自分のウォレットのアドレス(例えば、3BYpmdzASG7S6WrpmrnzJCX3y8kduF6Kmc)をクリップボードに入れると、マルウェアは狡猾にそれを自分たちのプライベートウォレットのアドレスに書き換えてしまう。すべてはクリップボードの中で行われるため、ほとんどの人はコピー&ペーストの間に起きた変化に気づかない。

BleepingComputerのセキュリティー研究チームは、以前同様のハイジャック事例を見つけたが、この最新版は価値の高いウォレットを積極的に監視して、アカウントを入力するところでコインを奪おうとする。問題のマルウェアが動作しているところを以下に示す。


このマルウェアは83MBの巨大なDLL(Direct Xサービスに偽装している)を使う。そのDLLは250万行のテキストからなり、bitcoinアドレスで埋め尽くされている。上記のテストでHTMLページから切り取ったアドレスをWordPadに貼り付けると、アカウントがひそかに書き換えられているが、アドレスの先頭部分は変わっていないため気づかくい。

複数のアンチウィルスエンジンがこのDLLを危険であると認識しているのでウィルス対策を最新にしていれば危険はないはずだ。しかし、Bleeping Computrerが指摘するように、自分のBTCが安全であることを確認する唯一の方法は、貼り付けるアドレスをひとつずつ慎重にチェックすることだけだ。同誌はこう書いている:

この種のマルウェアはバックグラウンドで実行し、実行中であるという兆候も見せないため感染したことを見つけるのは容易ではない。このため重要なのは、常に更新されたアンチウィルス対策をインストールして自分を保護することだ。

もうひとつ非常に重要なのは、暗号通貨ユーザー全員が、暗号通貨を送る前にすべてのアドレスを念入りにチェックすることだ。こうすることで、アドレスが意図しないものに置き換えられたかどうかを見つけることができる。

[原文へ]

(翻訳:Nob Takahashi / facebook

マルウェア入りコンテンツをユーザーに絶対渡さないMenlo SecurityがシリーズCで$40Mを調達

Menlo Securityは、独特のやり方で企業をマルウェアやフィッシング詐欺から護る。その同社がこのほど、4000万ドルのシリーズCラウンドを発表した。

Menloは、社員たちがマルウェアのあるWebサイトやメールの本物にアクセスさせないようにして、顧客企業を護る。オリジナルは別途保存し、クリーンな写像をブラウザーに表示するから、悪いものはすべて剥げ落ちている。つまり、マルウェアがあなたに届かなければ、あなたに危害を加えることはない、という理屈だ。

CEOで協同ファウンダーのAmir Ben-Efraimは、2015年の2500万ドルのシリーズBのとき、こう説明した: “Webページやメールはすべてクラウド(パブリックまたはプライベート)に隔離する。コンテンツを隔離すれば、それは絶対にエンドポイントに到達しない。これによってマルウェアを、アーキテクチャのレベルで排除する”。

それはとても効果的なやり方なので、Ben-Efraimによると、今では数百社の顧客企業に計100万人以上のユーザーがおり、全員が今日まで無感染だ。

このような結果に、顧客も投資家も前向きに反応している、と彼は語る: “現時点で数百社の顧客がおり、その多くはGlobal 2000社だ。これまで、非常に高い増加率だった。われわれのプロダクトのねらいが、的を得ていたということだろう。過去二年間の大きな被害例を見ると、エンドユーザーがマルウェアの餌食になるケースが多かった”。

今回のラウンドには、American Express Ventures, Ericsson Ventures, HSBCなどからの戦略的投資が目立つ。また、既存の投資家も参加している: JPMorgan Chase, General Catalyst, Sutter Hill Ventures, Osage University Partners, Engineering Capitalなどだ。同社の累計調達額は、8500万ドルになる。

HSBCのサイバーテクノロジー担当Tim Dawsonによると、同社はつねにセキュリティの革新的なソリューションを捜している。彼は声明文でこう述べている: “サイバーセキュリティはわれわれの最上位のプライオリティである。脅威はたえず進化しているのでわれわれは継続的に時間とリソースをそのチャレンジにつぎ込み、クライアントとスタッフを護る革新的な方法を探求している。今回の投資も、その取り組みの一環である”。

同社の社員は今125名だが、来年中には200近くにまで増やしたい、とBen-Efraimは言う。“シリーズCは市場拡大の資金になることが一般的に多い”、と彼は語る。彼は来年以降、全世界的な営業とマーケティングチームの構築に注力していく意向だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookのパスワードを盗むソフトウェアで釣るパスワード窃盗マルウェアが拡散中

Facebook上のマルウェアは珍しくないが、今度のやつには何か幻覚剤の症状のようなものを感じてしまう。シドニーのLMNTRIX Labsのセキュリティ研究者たちが見つけたソフトウェアはFacebook Password Stealer(Facebookのパスワード泥棒)と名乗り、ダウンロードすると悪質なコードをバックグラウンドに注入して、ユーザーの認証情報を盗難の危険にさらす。

研究チームはこう述べる: “すでに相当広く拡散しており、まだ拡散は続いている。これは実際に‘Facebook Password Stealer’というソフトウェアの悪意に満ちた広告キャンペーンなのか、あるいは後日、治療ソフト‘Facebook Password Recovery’を売るつもりかもしれない”。

“犯人たちはマーケティングの達人でもあるようで、実際にそういうサービスへの大きな需要があることを知っていて、それをスパムや広告キャンペーンや、ポップアップ、同梱ソフトウェア、ポルノサイトなどを利用して配布しているのかもしれない。ソフトウェア単体として配布することも、あるのだろう”。

LMNTRIXの研究者たちが“Instant Karma”(幻覚剤)というぴったりのあだ名をつけたこのマルウェアは、他人のFacebookアカウントを盗めるソフトを探していた被害者たちにつけ込む。ダウンロードして実行し、”hack”ボタンをクリックすると、バックグラウンドでリモートアクセスのためのトロイの木馬が動き出す。

研究者たちは参考情報としてVirusTotalのデータベースにある“spoolsvfax.exe” を挙げているが、彼らはその中に、新たに仕込まれたトロイの木馬を見つけた。

一見便利そうなサービスに見えるFacebookのマルウェアは、正体がばれて退治されるまでに、Facebookの膨大なユーザー人口の上で大規模に繁茂する。マルウェアはたとえばMessengerの上で、“お友だちになりましょう”というお誘いを仕掛けることもある。そのほかにもさまざまな、無害そうな、あるいはとても魅力的に見える、ダウンロードのお誘いがある。試しに“hack Facebook account”でググると、マルウェアに感染しているソフトウェアへのリンク、と思われる結果が大量に得られる。どれも技術者ではなく、一般ユーザーに語りかけている。

このパスワード泥棒マルウェアは、Windowsのデスクトップに限られているが、モバイルのFacebookをねらうマルウェアも、今ではありふれている。こんな犯行がまんまと成功するのなら、世界最大のソーシャルネットワークはハッカーにとって金鉱だ。

研究者たちは重ねて述べる: “今やターゲットはハッキングに関心のあるユーザーではなくて、他人のFacebookアカウントを覗きたいと思っている一般ユーザーだ。Facebookをハックする方法やアプリケーションは前からいろいろあるが、Facebookのパスワード窃盗を餌(えさ)にする悪質なキャンペーンは、まったく新しい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

先週末、セキュリティコミュニティーはMarcus Hutchinsの裁判費用を募るファンドを開設した。HutchinsはWannaCryと呼ばれるマルウェアの拡散を防いだことで有名な研究者だ。しかしHutchinsは、マルウェア技術者としても知られており、先週FBIは、2014年に蔓延した銀行システム用トロイの木馬、Kronosの配布に関わったとしてHutchinsを逮捕した

ウィスコンシン州で火曜日(米国時間8/8)に行われる審問を控え、多くのHutchinson支持者たちが彼の裁判費用を賄うための寄付を募った。ファンドはSymantecのサイバーセキュリティ責任者、Tarah WhellerおよびTor Ekeland率いるIT法律事務所が立ち上げた。

「われわれコミュニティーは、罪状の詳細については知らないが(現時点で詳しい発表はない)、米国で犯罪に問われた際、誰もが法的防御と弁護を受ける権利を持つことは認識している、と募金ページに添えられたメッセージにWheelerが書いた。

Ekelandによると、LawPayが運営するこのファンドは、GoFundMeの代替策として作られた。募金ページの人気は非常に高く、ダウンしたこともあったが、Hutchinsの支持者たちは募金趣旨の十分な説明に努めている。

「このファンドはGoFundMeが法的保護ファンドの扱いを拒否した後、急遽われわれが関与して週末に設定した」とEkelandがTechCrunchに語った。「反響は良好で多くの人たちが寄付している。これまでは説明する機会がなかっただけだ」。

TechCrunchはGoFundMeと連絡を取り、Hutchinsの裁判基金を拒否した件についてコメントを求めている。

Hutchinsは様々な罪状で告発されており、Kronosコードを作成し ―― 実際法的に難しい領域 ―― AlphaBayで販売したことがその一つだ。AlphaBayは違法なオンライン市場で、先月大掛かりな手入れがあり閉鎖された。Hutchinsonは、8月4日にラスベガス裁判所で無罪を主張しており、明日ウィスコンシン州(告発のあった場所)で審問を受ける。

[原文へ]

(翻訳:Nob Takahashi / facebook

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

Aerial shot of factory in Houston, Texas

ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。

博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”ランサムウェアを作った。それがあれば加害者は水道施設や製造工場のような重要なシステムを人質に取ることができる。彼らは、それらのシステムが使っているPLCを狂わすことをねらうだろう。今回のシミュレーションでは、そんな攻撃を想定した”。

それらの施設のシステムには、妨害を防ぐセキュリティ機構は当然あるが、研究者たちの所見では、インターネットに接続されていて、外部からある程度のいたずらのできるPLCが約1400個あった。たった一つのマルウェアが、それらすべてをハックできるだろう、という。

“何がインターネットに接続されているか、に関して、現場は誤解している”、とFormbyは語る。“オペレーターたちは、システムは外部に対して遮断されているから、外部からコントローラにアクセスできない、と信じている。しかし、よく見ると、どこかに、予期せぬ形で接続があるんだ”。

加害者は、フィッシング攻撃でファイヤーウォールをくぐり抜けることさえできれば、施設全体、工場全体のPLCをインターネットに接続させて狂わせることができる。マシンが今たまたま接続していなくても、接続のための能力さえあれば餌食になる。昔は、あらゆるものをリモートでコントロールすることが夢だったから、そんな時代のレガシーのIoTは、わずかなキーボード操作で簡単に殺せる。可能性としての被害の規模は、おそろしく大きい。

“われわれが今回シミュレートしたのは、システムのそういう脆弱な部分にアクセスして水道施設を人質に取り、身代金(ランサム, ransom)を払わないと水に大量の塩素をぶち込むぞ、と脅すようなハッカーだ”、とFormbyは語る。

研究者たちは今日(米国時間2/13)、サンフランシスコで開かれたRSA関連のカンファレンスで、彼らのやったことを説明している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

マルウェアを継続的に広める悪質サイトをGoogleは“常習犯”とみなして厳罰に

Googleはこれまで長年、 危険で有害なWebサイトからユーザーを守ってきた。それらは、よく知らないリンクをたまたまクリックしたら連れて行かれる、マルウェアを広めるサイトや、ユーザーのプライベート情報をフィッシングするサイトだ。しかし最近では多くのサイトが、Googleのやり方を迂回する方法を見つけている。改心して行いを正すどころかそれらのサイトは、一時的にGoogleの検証基準に準拠するふりをして、それによってGoogleの警告が出なくなったら再びユーザーを害しはじめる。そこでGoogleはこのたび、そういうサイトに“repeat offenders”(常習犯)のレッテルを貼り、厳しい罰を与えることにした。

過去には、サイトがGoogleのポリシー、Malware, Unwanted Software(押し付けソフトウェア), Phishing, and Social Engineering Policies(ソーシャルエンジニアリング)に違反していたら、検索者に対し警告を表示し、Googleが無害と認めるまでは警告を出し続けた。この検証は自動的に行われるが、サイトのオーナーや管理者がGoogleにリクエストしてもよい。Googleは、そのように説明している

それが、今日から変わる。ポリシー準拠と違反を行ったり来たりしているサイトは上記の“常習犯”と見なされ、向こう30日間、再検証のリクエストができない。つまり1か月まるまる、問答無用で、そのサイトにアクセスしようとしたユーザーには警告が出るのだ。

警告は、そのサイトに行くな、リンク先のページを開くな、という意味だ。そしてユーザーは、そのリンクのあったGoogleの検索ページへ戻される。その問題サイトのトラフィックは、大幅に減るだろう。

その1か月が過ぎたら、当のサイトは再検証をリクエストできる。

この新しい方式は、それまでのポリシーの欠陥をふさぐものだ。欠陥とは、再検証でOKとなったら、警告が出なくなり、するとすぐに彼らは、悪質サイトに戻れることだ。この、一時的に良い子のふりをする戦術は、無限に繰り返すことができた。

Googleによると、新しいポリシーはハックされたサイトには適用されず、マルウェアを広めるなどの有害コンテンツのあるサイトだけが対象だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Webサーバを攻撃するLinux上のランサムウェアが出没、身代金は1ビットコイン

encoder-1

新種のランサムウェアがLinuxマシンを攻撃している。とくに、サーバがサーブするWebページ関連のフォルダが被害者だ。そのLinux.Encoder.1と呼ばれるランサムウェアは、MySQL、Apache、およびhomeやrootのフォルダを暗号化する。そしてファイルを解読するために1bitcoinを要求する。

以下、Dr.Web Antivirusより:

管理者権限で侵入したこのLinux.Encoder.1と呼ばれるトロイの木馬は、犯人が求めるファイルと、RSAの公開鍵のパッチのあるファイルをダウンロードする。そのあと、その悪質なプログラムはデーモンを始動し、元のファイルを削除する。その後RSAキーを使ってAESキーを保存し、トロイの木馬はそれを利用して、感染したコンピュータの上のファイルを暗号化する。

最初にLinux.Encoder.1はhomeディレクトリと、Webサイトの管理に関連したディレクトリ内のすべてのファイルを暗号化する。それからトロイの木馬は、自分が侵入したディレクトリとその下のファイルシステムのすべてを再帰的にトラバースする。さらにその次は、rootディレクトリ(“/”)とその下を襲う。そのときトロイの木馬は、犯人が指示した文字列のどれかで始まる名前のディレクトリのみを訪ね、指定した拡張子のあるファイルだけを暗号化する。

 

被害者がランサム(ransom, 身代金)を払うとシステムは信号を受け取り、再びディレクトリをトラバースしてファイルの暗号を解く。このマルウェアは自分が動くために管理者権限を必要とし、またおそらく、そのようなプログラムにうかつに実行許可を与えるようなシスアドミンを必要とする。Dr.Webのチームは、すべてのデータをバックアップすることと、攻撃された場合には、研究者たちが脱暗号化システムを作るまで被害の現状を保全することを、勧めている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

Google、セーフブラウジングサービスを拡張。ユーザーとウェブマスターにマルウェアを警告


Googleは今週、セーフブラウジング・サービスを拡張し、ユーザーが既知のマルウェアサイトを訪れないようにする機能を加えたと発表した。

例えば、Chromeは既知のマルウェアを抱えるサイトに行こうとすると警告が出る(ダウンロードしようとした時にポップアップするだけではない)。同様に、Google検索でもマルウェアサイトに行こうとすると警告がポップアップし、これは使用しているブラウザーの種類によらない。これ以前から、Google Adwordsは、悪意のあるサイトに誘導する広告を自動的に無効化している。

これらのアップデートはユーザーのみに焦点を絞ったものだったが、同社はウェブサイトオーナー向けのアップデートを今日公開した。これでサイトオーナーは自分のサイトが危険にさらされていることに気付きやすくなる。

通常ウェブサイトオーナーがこれらの警告を見るのは、Googleのウェブマスターツールサイトへ行った時だけだ。そこには数多くの有益な情報があるのだが、殆どのオーナーにとって毎日訪れる場所ではない。しかし今日からは、GoogleがこれらのアラートをGoogle Analyticsで通知する。多くのオーナーが定期的に見ているサイトだ。

マルウェアの警告はGoogle Analyticsの通知バー(Google+の通知サービスに極めてよく似ている)に表示されるようになる。

もちろん理想的には、Googleがこれらの警告を同社の全ツールのウェブマスターに向けて表示するのがよい(Google+の通知ツールは同社の全ウェブアプリに組み込まれている)。しかし、これらのツールはGoogle Analyticsとはかなり前から統合されているが、Google+のプロフィールをウェブマスター用ツールとつなぐ方法は今のところ見当たらない。

[原文へ]

(翻訳:Nob Takahashi / facebook