他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Appleサポートを騙るボイスメールにご注意――コールバック先はフィッシングサイト

iPhoneユーザーを騙そうとするボイスメールを使った巧妙なフィッシングの手口が発見された。発信者をAppleサポートのように見せかけており、コールバックさせるのが狙いだった。

今日(米国時間1/4)、セキュリティ専門家のBrian Krebsが報じたところによれば、同じくセキュリティー専門家でiPhoneユーザーのJody WestbyがApple Supportを発信者とするボイスメールを受け取った。内容はいくつかのIPアドレスがハッキングされことに対処するためコールバックしてほしいというものだった。メール履歴を表示すると発信者はApple Inc.のように見えたが、その1-866(フリーダイヤル番号)は完全なニセモノだった。

KrebsOnSecurityではWestbyがかけた番号 (866-277-7794)に電話してみた。

自動応答システムが「Apple Supportを呼び出すので1分30秒ほど待つよう」告げた。1分後にインド訛りの男が電話に出て電話した理由を尋ねた。

騙された一般人のふりをして「Appleからボイスメールが来て情報漏えいに対処するためにコールバックしてほしいと言われたからだ」と答えた。男は少し待つよう告げた後、接続が切れた。

これは明らかに用心が足りないユーザーから財政状況などを含めた個人情報を聞き出そうとする試みだ。もしかするとサポート料金と偽って金を騙し取ろうという策略だったかもしれない。重要な点はApple(回線はAT&T)デバイス上で受けたにもかかわらず、一見して真正なAppleサポートと偽サイトの区別がつかなかったことだ。どうしてそんなことが可能だったのか?

このフィッシングでは、ボイスメール発信者が他人になりすまして身元を隠せたことだ。簡単にいえば発信者は検索結果をごまかし、偽の電話番号を本当のものと勘違いさせた。Westbyが電話するよういわれた番号は、実際にはフィッシング・サイトだった。どこからでもいいが「お前のコンピューターはこわれている」などという電話がかかってきたら嘘をついてる思っていい。メーカーにせよ金融機関にせよサポートが自分から電話してくることはない。こちらからの電話に(運がよければ)答えるだけだ。

〔日本版〕KrebsOnSecurityの記事によれば、Westbyは本来のAppleサポートの番号をウェブ検索で調べ、電話してフィッシングであることを確認したという。テキストメールであれボイスメールであれ、Google検索などで独自に確認した番号以外返信しないのが賢明。

原文へ

滑川海彦@Facebook Google+

マルウェア入りコンテンツをユーザーに絶対渡さないMenlo SecurityがシリーズCで$40Mを調達

Menlo Securityは、独特のやり方で企業をマルウェアやフィッシング詐欺から護る。その同社がこのほど、4000万ドルのシリーズCラウンドを発表した。

Menloは、社員たちがマルウェアのあるWebサイトやメールの本物にアクセスさせないようにして、顧客企業を護る。オリジナルは別途保存し、クリーンな写像をブラウザーに表示するから、悪いものはすべて剥げ落ちている。つまり、マルウェアがあなたに届かなければ、あなたに危害を加えることはない、という理屈だ。

CEOで協同ファウンダーのAmir Ben-Efraimは、2015年の2500万ドルのシリーズBのとき、こう説明した: “Webページやメールはすべてクラウド(パブリックまたはプライベート)に隔離する。コンテンツを隔離すれば、それは絶対にエンドポイントに到達しない。これによってマルウェアを、アーキテクチャのレベルで排除する”。

それはとても効果的なやり方なので、Ben-Efraimによると、今では数百社の顧客企業に計100万人以上のユーザーがおり、全員が今日まで無感染だ。

このような結果に、顧客も投資家も前向きに反応している、と彼は語る: “現時点で数百社の顧客がおり、その多くはGlobal 2000社だ。これまで、非常に高い増加率だった。われわれのプロダクトのねらいが、的を得ていたということだろう。過去二年間の大きな被害例を見ると、エンドユーザーがマルウェアの餌食になるケースが多かった”。

今回のラウンドには、American Express Ventures, Ericsson Ventures, HSBCなどからの戦略的投資が目立つ。また、既存の投資家も参加している: JPMorgan Chase, General Catalyst, Sutter Hill Ventures, Osage University Partners, Engineering Capitalなどだ。同社の累計調達額は、8500万ドルになる。

HSBCのサイバーテクノロジー担当Tim Dawsonによると、同社はつねにセキュリティの革新的なソリューションを捜している。彼は声明文でこう述べている: “サイバーセキュリティはわれわれの最上位のプライオリティである。脅威はたえず進化しているのでわれわれは継続的に時間とリソースをそのチャレンジにつぎ込み、クライアントとスタッフを護る革新的な方法を探求している。今回の投資も、その取り組みの一環である”。

同社の社員は今125名だが、来年中には200近くにまで増やしたい、とBen-Efraimは言う。“シリーズCは市場拡大の資金になることが一般的に多い”、と彼は語る。彼は来年以降、全世界的な営業とマーケティングチームの構築に注力していく意向だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

急速に広まったGmail/Google Docsのフィッシング詐欺に対してGoogleが公式声明を発表

今日(米国時間5/3)の午後早い時間に、Google DocsとGmailのユーザーをねらう新種のフィッシング攻撃が現れ、急激に広まった。巧妙に偽装されたGoogleのURLをクリックすると、謎の犯人は被害者のGmailをすべて読めるようになり、そしてそのフィッシング攻撃を、被害者がこれまでメールを送った全員に転送する。

犯行は単純だけど悪質だ。あなたに以前メールを送ってきたことのある人、その人の連絡先リストにあなたも載っている人から、メールが来る。それは、あなたとの“共有ドキュメント”になっている。ボタンをクリックしてそのドキュメントを開くと、一見無害なページが現れる…URLを見るとGoogleがホストしているページだ。パスワードは要求されないが、そこにはすでにあなたのアカウント情報がすべて載っている。そのページは、“Google Docs”アプリケーションにあなたのメールと連絡先を読む許可を与えてください、と求めている。

しかし: その“Google Docs”アプリケーションは実際にはGoogle Docsではなく、そのように見せかけているだけだ。

ほかのチェックボックスはどれも正しいから、疑り深い人でも信じてしまう。でも、“allow”をクリックした途端、万事休す!…謎の犯人はあなたの受信トレイにアクセスして、そのクリックベイトを、あなたの連絡先リストの全員に転送する。

Googleによると、その攻撃はすでに撃退したし、“再犯を防ぐ努力をしている”そうだ。

Google Docsは、こんなツイートをポストした:

[フィッシングメールに関するGoogleの公式声明: Google Docsを偽装するメールからユーザーを保護する措置を講じました。犯人のアカウントを無効にしました。偽装ページを削除し、アップデートをSafe Browsingと弊社の対策チームにプッシュしました。この種のなりすましの再発を防ぐ措置を講じております。Gmailでフィッシングメールを受信された方は、ぜひGoogleにご一報ください。]

今回の特定の攻撃に限っては、Googleの努力で停止した、ということだ。でも、類似犯が今後続発する可能性もある。Googleは今、この犯行のタイプ(コンセプト)そのものをブロックする努力をしている。でも、それが実現するまでは、知らない人や会社などからのGoogle Docsの共有リクエストには、十分に注意しよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

警報:Google Docフィッシング拡大中――PSAは連絡先全員に偽の招待メールを送る

Googleドキュメントを利用したフィッシングが数時間前に発見された。感染が急速に拡大しつつあるので十分な注意が必要だ。Googleも対策を取ろうしているが、とりあえずGoogleドキュメントへの招待にはスーパー警戒して欲しい。このフィッシングにひっかかると(他の点では非常に注意深いユーザーが大勢ひっかかっている)連絡先リストに載っている全員に偽の招待が送信されてしまう。

現在判明しているのは以下のような点だ。

  • メールの招待リンクをクリックすると本当にGoogleが管理しているページに飛び、Googleアカウントのリストが表示される。
  • アカウントを選択すると“Google Docs”という名前のアプリが表示される。フィッシング側はどういう方法でか偽アプリに“Google Docs”という名前をつけることに成功したらしい。アカウントの許可を求めてくる。
  • ユーザーが“ALLOW”ボタンをクリックすると同時に、偽Google Docsはユーザーのメールを読む権限が与えられる。フィッシング側はユーザーが過去に一度でもメールを送った相手に偽の招待を送り始め、フィッシングを拡散しようとする。

“Google Docs”のリンク先は実際にGoogleがホストしているのでたいへん巧妙な手口だ。予めこの手口を知っているのでなければ事前にフィッシングに気づくのは不可能に近い。

Hack ClubのZach Lattaがトリックが作動するもようを下のビデオに記録しているので読者諸氏は自分でテストするには及ばない。

感染しているか知るには? 感染していたらどうすればよい?

Googleのアカウントに接続しているアプリのパーミッションをチェックしよう。“Google Docs”という名前のアプリがあってはならない。本物のGoogle Docsはアプリではない。本物はデフォールトでユーザーのアカウントにアクセスする権限を持っている。“Google Docs”というアプリがあったらクリックして「削除」ボタンを押して削除すること。

アップデート: 本物のGoogle Docsのツイッターがフィッシング攻撃が行われていることを認め、対策が取られるまで偽のメールを受け取ってもURLを「クリックしないよう」注意を呼びかけている。

取材続行中…

[原文へ]

(翻訳:滑川海彦@Facebook Google+

このフィッシングテクニックは危険である以上におもしろい…あなたは‘ピュニコード’をご存知かな?

純真なユーザーに悪質なWebサイトのリンクをクリックさせる犯行手段は、数えきれないほどある。それらの一部は技術的で、ほかは心理作戦的だ。しかしこの記事でご紹介する手口は、ブラウザーの、あまり知られていない機能を利用(悪用)するという意味で、興味深い。

Webサイトの名前に、英語のアルファベット以外の文字が使われていることがある。ロシアのWebサイトならキリル文字を使いたいし、日本のサイトは漢字を使いたいだろう。今は、テキストを表示するための世界的なスタンダードとしてUnicodeがあるから、ほとんどの言語をサポートできる。

でも残念ながらURIは、すべてのUnicode文字を使える、という状況ではない。ASCII文字しか使えないシステムも、まだ世の中にはある〔DNSなど〕。そこで考えられたのが、“punycode”(ピュニコード)と呼ばれる方式だ。これによって、国際的な文字をASCII文字だけで指定できる。URIがピュニコードを使っていることは、その文字列の冒頭に“xn--”があることで分かる。

その処理が、ユーザーに知らされることはない。“JP納豆.例.jp”が“xn--jp-cd2fp15c.xn--fsq.jp”というピュニコードに変換されて送られてきても、ブラウザーはそれらを元の文字に戻してから表示する。だからこれは、ほとんどのユーザーが知らないシステムだ。

ピュニコードのこのような透明性、それを使っていてもユーザーには知らされない、という特性が、フィッシング犯罪に利用される。犯人はピュニコードを使ってURIを作るが、ユーザーは実際にそんな文字のサイトがある、と思う(実は別の文字だ)。Pedro UmbolinoがHackadayで、そのやり方を示しているが、確かにそれは、ぼくでも騙されてしまうだろう。

FirefoxやChromeなどいくつかのブラウザーは、下図の最初のパラグラフのリンクをapple.comのように見えるように、インラインでもリンクのプレビューでも表示する。しかしそれをクリックすると、Appleのサイトapple.comへは行かない。犯人たちが仕掛けた罠へ、行ってしまう。

そのパラグラフの後の方に書いてあるし、ブラウザーの設定を変えても分かるが、apple.comのように見える文字はxn--80ak6aa92eというピュニコードをブラウザーが変換した文字なのだ。

ブラウザーはapple.comに見える文字に変換して表示したが、このURIをモノタイプフォントのどれかで表示すると、小文字の”L”に見える文字が実はキリル語の文字であることが分かる:

やられた、ね。ハッカーがメールなどの中でこんなリンクを使っていると、疑わしいリンクに対して日ごろから用心深い人でも、クリックしてしまうかもしれない。別の問題としては、Umbolinoが示しているように、その偽サイトは本物のサイトのHTTPSステータスを模倣していて、URIの横にグリーンの鍵が表示され、ユーザーを安心させるだろう。

じゃあどうすればよいのか?

今のところFirefoxとChromeだけの問題だから、両ブラウザーがピュニコードのデフォルトの表示方法を変えるべきだ。でも最新のChrome 58は、リンクURLのプレビューでピュニコードそのものを表示する。Firefoxにも、そうさせる設定がある。about:confighへ行って“punycode”で検索し、出てくる設定項目〔network.IDN_show_punycode〕の値をfalseからtrueに変える。そうするとピュニコードそのものが表示されるようになる。でも、そのほとんどはまともなURIだ。ただし、アヤシイと思える状況では、用心しよう。

インターネットは毎日々々が勉強だね。そう、ときにはね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

Aerial shot of factory in Houston, Texas

ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。

博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”ランサムウェアを作った。それがあれば加害者は水道施設や製造工場のような重要なシステムを人質に取ることができる。彼らは、それらのシステムが使っているPLCを狂わすことをねらうだろう。今回のシミュレーションでは、そんな攻撃を想定した”。

それらの施設のシステムには、妨害を防ぐセキュリティ機構は当然あるが、研究者たちの所見では、インターネットに接続されていて、外部からある程度のいたずらのできるPLCが約1400個あった。たった一つのマルウェアが、それらすべてをハックできるだろう、という。

“何がインターネットに接続されているか、に関して、現場は誤解している”、とFormbyは語る。“オペレーターたちは、システムは外部に対して遮断されているから、外部からコントローラにアクセスできない、と信じている。しかし、よく見ると、どこかに、予期せぬ形で接続があるんだ”。

加害者は、フィッシング攻撃でファイヤーウォールをくぐり抜けることさえできれば、施設全体、工場全体のPLCをインターネットに接続させて狂わせることができる。マシンが今たまたま接続していなくても、接続のための能力さえあれば餌食になる。昔は、あらゆるものをリモートでコントロールすることが夢だったから、そんな時代のレガシーのIoTは、わずかなキーボード操作で簡単に殺せる。可能性としての被害の規模は、おそろしく大きい。

“われわれが今回シミュレートしたのは、システムのそういう脆弱な部分にアクセスして水道施設を人質に取り、身代金(ランサム, ransom)を払わないと水に大量の塩素をぶち込むぞ、と脅すようなハッカーだ”、とFormbyは語る。

研究者たちは今日(米国時間2/13)、サンフランシスコで開かれたRSA関連のカンファレンスで、彼らのやったことを説明している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Javaアプレットによる犯行がBitcoinの口座から大金を盗む–Mt.Goxをフィッシング

自由は絶え間ない警戒によってのみ確保される、という。Bitcoin Forumsのbitbullyと名乗るユーザが、あるチャットサービスを訪れたら自分のBitcoinを34失った、と述べている。そのサービスは、多くの人が利用しているBitcoin交換サイトMt.Goxに接続している。そのサイトは、ユーザがサービスを訪れるとすぐに、Javaアプレットを使って彼/彼女のコンピュータに送金命令を送るらしい。そしてそのトランザクションは取り消しできないし、フィッシングの犯人は匿名なので、被害者は泣き寝入りとなる。

この被害者は、自分の口座の半分を一瞬にして失った。Mt.Goxには、二要素認証がある。それは不正なログインを防ぐ良い方法だ。このユーザはそれをonにしてなかった。この詐欺事件を取りあげているRedditのスレッドもある。

そのフィッシングサイトは、今ダウンしているらしい。

フィッシングのメッセージは、こんなやつだ: “Mtgoxが4〜5時間以内に入金を要求している。Mtgox上のライブチャットでは全員がLTCで支払わなければならない。送金先はhxxp://bit.ly/xxxだ”。このbit.lyリンクが、フィッシングサイトだ。

被害者は自分がやった調査をこう説明している:

ぼくも技術者なので、調べてみた。このサイトが合衆国国内でホストされていることが分かった。ぼくはmtgoxにペンシルヴェニアからアクセスしていたのに、その引き出し指示はロサンゼルスのIPから送られていた。そしてそのサイトはTeleport Proで取ってきたbitcoincharts.comで、mtgoxのロゴもあった。それは、5日前にもまだNamecheapに登録されていた! ドメインネームが、そのIPへ解決(リゾルブ)されるのだ。

Bitcoinのフィッシングは前からあるが、人気が増すにつれて、より大きな問題になるだろう。TwitterのノベルティアカウントBitcoin.txtが言ってるように、この市場は一種のバブルのようで、初心者がとても多い。想像上のデジタル通貨は、本当に未来の経済の一部になるのか? それとも、bit.lyのリンクをクリックする者に破滅をもたらすのか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))