2018年、我々は悪意ある者たちが「プレイブック」を変更した世界を歩く

せきゅラボ研究結果
第18回

ギャリー・デイビス氏(米国マカフィー セキュリティ エヴァンジェリスト)に訊く

2017年11月24日 20時00分更新

文● 二瓶朗 聞き手●三上洋 編集●アスキー編集部

米国マカフィー(McAfee LLC)のチーフコンシューマ セキュリティ エヴァンジェリスト兼グローバルコンシューママーケティング担当バイスプレジデントを務めるギャリー・デイビス氏にお話を伺った

 2017年10月26日、マカフィー株式会社は2018年版の個人向けセキュリティ製品を発表した。同社のオンラインストアおよび量販店にて、11月30日(木)から販売が開始される。総合セキュリティ対策製品「マカフィー リブセーフ」では、クラウドベースの機械学習に対応した「リアルプロテクト」機能がさらに強化された。

 そのリリースを前に、米国マカフィー(McAfee LLC)のチーフコンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏に、最新のセキュリティ動向を中心にさまざまなお話を伺った。聞き手はテレビでお馴染みのITジャーナリスト 三上洋氏。

IoTデバイスを狙う脅威に注目

ギャリー・デイビス氏。米国マカフィー(McAfee LLC) チーフコンシューマ セキュリティ エヴァンジェリスト。最新のセキュリティ動向に通じ、啓蒙活動としてさまざまなメディアにも登場している

三上洋氏。携帯電話(料金、業界、有害サイト対策)、パソコンのセキュリティ(ウイルス、詐欺などへの安全対策)、節約・お得系(クレジットカード、ポイント、電子マネー)などを広く網羅するITジャーナリスト。最近はワイドショーなどテレビ出演も多い

三上 まずは、この1年ほどで、英語圏で起きた特徴的なセキュリティ事象を教えてください。というのも、日本では英語圏から1年~2年遅れて同様の事象が発生することが多いので、参考にしたいと考えています。

デイビス じつは、2018年2月に開催されるMobile World Congressに向けてIoTデバイスを10台ほど入手しました。弊社のチーフサイエンティストにそれらを渡し、脆弱性をチェックしてもらうことになっています。

三上 何か気になることが?

デイビス 2015年にHP社がIoTホームセキュリティデバイス10機種のセキュリティを調査しました。すると、すべてのデバイスに25もの脆弱性が認められたというのです。我々も同様の調査を進め、Mobile World Congressで公表しようと考えています。

三上 つまりIoTデバイスにセキュリティ問題が多いと。

デイビス ここ数年で最もよく知られているIoTの脅威は「Mirai」でしょう。それが目的を変え、作り替えられています。大規模DDoS攻撃だけでなく、ビットコインマイニングやSQLインジェクションといった行為が、Mirai亜種のボットネットによって可能になっているのです。

 また最近では、「Reaper」というMiraiを強化したようなボットネットが登場しています。ReaperとMiraiの大きな違いは、Miraiがネット上のIoTデバイスをスキャンしてそのユーザー名やパスワードを特定するのに対し、ReaperはIoTの既知の脆弱性を見つけ出してそこにマルウェアを埋め込んでいきます。

 2016年、弊社のラボの研究者の1人が、市販されているデジタルビデオレコーダーを購入して、箱から出したままの状態でネットワークに接続するというテストを実施したところ、わずか64秒で乗っ取られる、ということがありました。つまり、IDやパスワードがデフォルトの状態では、これほどまでに速くマルウェアが侵入するのです。

 また、7月に開催されたBlack Hat USA 2017でも、興味深いデモを見る機会がありました。ネットワークに接続されたIoT洗車場システムのデモです。IoT洗車機にセキュリティがまったく施されていなかったために、システムを容易に乗っ取ることが可能だったのです。デモでは、洗車機の入り口のシャッタードアがクルマのボンネットの上に降りてきて攻撃する様子が示されました。

 デジタルビデオレコーダーの実験、そしてIoT洗車機の衝撃的な映像を見て、私はIoTデバイスのセキュリティが深刻な事態にあると感じ、チームに話して特に家庭向けデバイスについての調査を実行するように指示したのです。

洗車場がネット接続されていること自体衝撃的だが、クルマに直接触れる機械だけあって、乗っ取られた場合の被害も甚大だ

 来年のMobile World Congressでは、マカフィーとしては「IoT暖炉」のようなサンプルを用意できるかと思っています。たとえばそれが攻撃を受け、燃焼の制御を乗っ取られたら家が燃えるような事態になりますからね。



‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

スマートスピーカーでプライバシーが丸裸になる!?

2017年11月24日 09時00分更新

文● せきゅラボ

 Apple HomePod、Google Home、Amazon Echo、LINE Clova WAVEなど、各社のスマートスピーカーが日本市場にも出そろった。クリスマスに向けて多くの人の注目を集めるだろう。

 キーボードなどを使わずに、音声で操作できるのが大きなメリットだ。また、家庭内にあるさまざまな家電やIoT機器と連携する使い方も欧米では普及している。

 たとえば「Google Home」を使えば対応する照明などの家電を操作できるほか、Amazon Echoに搭載されている音声アシスタント「Alexa」は防犯センサーやIoTタグとの連携が可能だ。2018年頃には、スマートスピーカーで家庭内の電子機器をコントロールする使い方が、日本でもトレンドになるかもしれない。

 とはいえ、音声でやりとりする情報の中には、当然、個人情報などが含まれていたりするもの。重要な情報を口に出して操作する以上、スマートスピーカーが認識する情報をもし外部からチェックできてしまえば、悪意を持った人間には格好の標的となるだろう。自宅のスマートスピーカーがハッキングされてしまった場合、操作するだけでプライバシーが丸裸になる可能性もある。

 家庭内のさまざまなデバイスとスマートスピーカーが連携するようになれば、セキュリティにはより一層気をつけなくてはならない。スマートスピーカーから家電の操作やIoT機器を介した施錠などが可能となれば、もしスマートスピーカーが悪用された場合、自宅のセキュリティまでもが危機にさらされてしまう。

 もっとも、スマートスピーカー側もセキュリティには配慮している。AppleのHomePod、Google Home、Amazon Echoなどは、各社のサーバーに送信する音声記録を暗号化し、外部から悪用されることを防ぐようになっている。また、現時点でも、スマートスピーカーをメインに狙った攻撃の報告例が目立っているわけではない。

 ただ、これから普及しそうな製品を狙う攻撃が生まれるのは、残念ながら世の常だ。そこで、スマートスピーカーは危険だと考えすぎるのではなく、安全に使えるように正しい知識を持つことが大切だといえる。

 スマートスピーカーを使用するにあたって気をつけることは、パソコンやスマートフォンなどと変わらない。デバイスがもつプライバシーを保護する機能を知る。バージョンアップの情報などをチェックする。必要があれば最新のパッチなどを適用する……などだ。

 さらに、スマートスピーカーを通じてのIoT機器との連携を将来的に考えているなら、スマートスピーカーだけに注意を払うのではなく、IoT機器を守る対策も忘れないようにしたい。デバイス名やWi-Fiパスワードをデフォルトから変更するのはもちろん、Wi-FiベースのIoT機器を悪意あるアクセスから守るセキュリティ機能をそなえたソフトを導入するのも肝心だ。

 サイバー犯罪を他人事だと思わず、スマートスピーカーを含め、自分の利用しているデバイスへのセキュリティ意識を強く持っておきたい。今回はMcAfee Blogから「ITとモノが連携する時代に必要な『セキュリティ』とは?」を紹介しよう。

ITとモノが連携する時代に必要な「セキュリティ」とは?

 前回のコラム【特集】WannaCry騒動で明らかになったIoT/OTに迫る危機では、「WannaCry」や「Shamoon」といったマルウェアの登場によって、従来から課題とされてきたITのセキュリティだけでなく、Operation Technology(OT、モノの技術)やそれらを組み合わせたInternet of Things(IoT)のセキュリティについて真剣に考えるべき時期が到来したことをご紹介しました。

 人によって、また文脈によってさまざまな定義がなされるIoTですが、本質は、何らかの「モノ」(OT)とITシステムがつながり、融合することで新たな価値を生み出すことにあります。その価値を狙う攻撃者のハードルを上げ、高いコストをかけなければ攻撃が成立しない状況を作り出すことが重要です。その意味で、ITセキュリティとIoTのセキュリティの考え方には共通する部分があります。

 一方で、「IoTに今までの情報セキュリティの考え方を当てはめようとしても、うまく会話が噛み合わない可能性があります」と、マカフィーのセールスエンジニアリング本部 サイバー戦略室でシニアセキュリティアドバイザーを務める佐々木弘志は指摘します。

 「ITのセキュリティでは、情報漏えいや改ざんを防ぐ『CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)』という考え方に沿って、通信の暗号化をはじめとする対策を適用してきました。モノのセキュリティに関しても同じようにCIAを当てはめ、従来のITセキュリティの延長線上で考えようとすることが多いようです。しかし、モノについて考える際には、セーフティ(安全性)や継続的かつ安定的に運転するための信頼性、レジリエンシー(回復性)といった要素が重要であり、CIAの考え方はそのままフィットしません」(佐々木)

 前回のコラムでも触れた通り、ITとOT双方の領域を理解している人はただでさえ少ない状況です。その上、こうした考え方の違いによってIT担当者とOT担当者の話が噛み合わないままでは、対策も進まないままです。まずは、これまでのITセキュリティの延長という考え方を根本的に変え、多種多様なモノそれぞれの「都合」を考慮しつつ、新しいセキュリティの概念を構築していくことが必要だとマカフィーでは考えています。

最低限のガイドラインを定め、取り組むメーカーに適切な評価を

 そんな議論をよそに、ITとOTが連携してのIoTは、世の中のさまざまなところに浸透し始めました。何をどこまでIoTに含めるかは意見の分かれるところですが、監視カメラをネット越しに制御したり、遠隔操作が可能なエアコンを活用し、スマートメーターで電力消費量を確認したり……こうした身近な領域だけでなく、工場で機器の稼動状況を監視するといった形でも活用されようとしています。

 そんな中、国内外で多くのルーターやカメラといったデバイスが感染した「Mirai」のように、早くも実害が生じています。「Miraiのケースでは、感染によって自分が被害を受けるだけでなく、社会悪になる恐れがあることも示されました。しかもモノは、悪用されれば身体や人命に影響を与える恐れがあり、安全性が重視されます。サイバーとの連携によって、情報漏えいなどのリスクだけでなく、安心・安全が脅かされる恐れがあることも考慮に入れなければなりません」(佐々木)

 この状況を改善し、攻撃者のハードルを上げるために、まずは「業界ごとに、最低限やるべきことを定めたガイドラインを作るべきではないでしょうか。場合によっては、法的な根拠のある規制も検討すべきでしょう」と佐々木は述べています。最低限の基準を示すことで、少なくとも、推測容易なデフォルトのパスワードが設定されたまま……というような、Miraiがつけ込む脆弱な状況を改善すべきと言います。

 日本では既に、経済産業省や総務省がIoTのセキュリティに関するガイドラインを公表していますが、佐々木はさらに、「モノ」ごと、業界ごとにもう一歩踏み込んだ具体的なガイドラインを定めるべきではないかと提案しています。そして「例えば工業製品の品質を示す『JISマーク』のように、ガイドラインをクリアした製品に何らかのマークを付け、消費者が安心・安全なモノを選べるようにすべきではないでしょうか」と述べ、「安心・安全」のくくりの中にサイバーも統合していくのがあるべき姿の1つだとしました。

 というのも、最低限の基準すら存在しない状態では、悪貨が良貨を駆逐し、きちんと安心・安全に取り組んでいる(がゆえに、製品コストも相応になる)ベンダーが割を食う可能性があるからです。安価だが脆弱な製品が市場にあふれた結果、もっと凶悪なMiraiやShamoonのような攻撃が大規模な被害をもたらしてからでは手遅れです。最低限のセキュリティに関する基準を定め、IoTのセキュリティの底上げを図ることは急務と言えるでしょう。これは、きちんとリスクに向き合って対策に取り組むメーカーの正当な評価にもつながるはずです。

ユーザーの意識を高め、ライフサイクル全体の設計を

 佐々木は同時に、従来のモノ作りの世界で当たり前とされてきたサポートのあり方にも変化が必要ではないかと述べています。脆弱性が発覚して悪用され、「メーカーが悪い」「いや、危ない状態で使い続けていた利用者が悪い」……と責任を巡って不毛な議論に陥る前に、新しいモデルを作る努力が必要です。

 「同じPCを10年間使い続ける人はあまりいないでしょう。一方、家電は一度買うと数年間、時に10年単位で使うもので、中には保証期間が過ぎても利用する人もいます。その間に出てくる全ての脆弱性、全ての脅威に対応していてはきりがありません。モノを作り、生産し、手元に届け、使い、捨てるまでのプロダクトサイクル全体を、モノそのものだけでなくモデルや使い方も含め、設計しなければならないでしょう」(佐々木)

 一つのアイデアとして、保証期間内はサポートセンターからパッチを適用し、サポートが切れればIoT機能をオフにしてしまい、「ただの家電」として使う形が考えられます。ただそれには、消費者側の理解が不可欠です。IoTにどのようなリスクがあるのか、なぜ最低限の対策が必要であり、サポート切れの機器をインターネットにつないでいると危険なのか。広い理解と両輪で仕組みを作っていかなければ、受け入れられないでしょう。

 IT社会と言われて久しいですが、「脆弱性は減る方向にはありますが、決してなくならないでしょう。IoTもITと連携する以上、その影響を受けます。しかもモノという性質上、安全性に影響が及ぶ可能性もありますし、デバイス単体で完結せずにクラウドサービスなどと連携すると、今度はクラウド事業者やアプリケーションの開発も関係してきます。それらの責任分界点の議論もこれから必要になるでしょう」と佐々木は述べ、引き続き業界全体の取り組みが必要だと述べています。

 「それほど高度とは言えないMiraiでさえ、あれだけの被害をもたらし、守る側の準備ができていないことを示しました。リスクと利益のバランスが現状のままで落ち着いてしまうと、攻撃者にとって楽しい世界が到来してしまいます。ガイドラインの策定をはじめとする取り組みを進め、攻撃者のハードルを高めていかなくてはなりません」(佐々木)

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

あなたの銀行口座もすっからかん! 被害拡大中「DreamBot」に要注意

添付メールとメール中のURLが怖い

2017年11月01日 09時00分更新

文● せきゅラボ

怪しいメールをきっかけに銀行口座からお金が消える……! 被害が止まらないマルウェア DreamBotの対策は?

銀行口座がすっからかん!

 日本人ユーザーを標的にした、ネットバンキングを狙うマルウェア「DreamBot(ドリームボット)」が猛威を振るっている。お金を失うことは生活に直接影響するだけに十分な注意が必要だ。

 DreamBotは、インターネットバンキングなどで使われているIDやパスワードを盗むタイプのマルウェアだ。2016年6月に猛威を振るった「URSNIF(アースニフ、別名:GOZI)」を改造した亜種と考えられている。ネットバンク以外にも、仮想通貨の取引やWebウォレットの決済にも対応しているという。2017年2月にその存在が明らかになってから半年以上も被害が続いている。

 DreamBotに感染すると、URSNIF同様にバックドアが開いて悪意のある第三者からの遠隔操作を許し、ネットバンキングなどを利用した際に入力するIDやパスワードが不正に送信されてしまう。情報を盗んだ第三者は、それらを利用して口座から勝手に不正な送金を実行するというわけだ。本来、そういった不正な操作を防止するためにワンタイムパスワードが存在するが、それすら偽装画面を介して盗むことがあるというからタチが悪い。

JC3によるDreamBotの概要(JC3サイトより引用)

 URSNIFの亜種であるDreamBotだが、その大きな違いは匿名ネットワークである「Tor」を利用するところ。Torを利用することで、どこから遠隔操作されているか、また盗んだ情報がどこに送信されているかがわからなくなる。

 もっとも、企業の社内ネットワークではそもそもTorプロトコルを遮断していることが多いため、万が一感染しても被害を防げる可能性が高い。逆にいえば、家庭などでネットを利用する一般ユーザーの場合は、感染すると被害を受ける確率が高くなる。つまり予防が肝心、ということになる。

鉄板の対策は「怪しいメールを開かない」

 感染を防ぐにはどうすればいいのだろう? DreamBotの感染経路は、偽装メールに添付されたファイルを開いてしまうケースと、メールの本文中に含まれているURLをクリックしてしまうケースが主流とされているが、メールを開いただけでも感染したという報告も少数ながらあるようなので注意が必要だ。

 つまり、怪しいメールは開かない、という基本中の基本が感染を防ぐ対策ということになる。偽装メールの件名(サブジェクト)はさまざまだが「口座引落」「支払条件確認書」「写真」「注文書の添付」といったものは、“いかにも”なので、とにかくこういったメールを受信した場合は開かないこと。仕事柄どうしても確認しておかないと……というなら、メールを開く前に送信元をしっかり確認するべきだろう。

 もちろん、セキュリティ対策製品をインストールののちに常駐させておき、パターンファイルを常に最新の状態にしておくことも欠かせない。マカフィーのリブセーフならリアルタイムでマルウェアの侵入を防いでくれるだけでなく、ウイルス定義ファイルがまだ存在しないような最新マルウェアでも、その“ふるまい”を検知ことによってシャットアウトしてくれる。

 またISPによっては、受信メールをあらかじめスキャンし、マルウェアが添付されている場合にはサーバー上でそのメールを削除し、ユーザーの手元に届かないようにしてくれるサービスも存在するから、利用するのも手だ。

 セキュリティ対策以外にも、ネットバンクなどのログイン履歴・利用履歴を頻繁にチェックし、身に覚えのないログインや取引がないかを日々確認するような用心深さが必要となるだろう。ネットバンキングサービスによっては、取引をリアルタイムでスマホに通知する機能があるから、それを積極的に利用するのも有効だ。

 いろいろと面倒なDreamBot対策ではあるが、すべては大切な自分の資産を守るため。油断してお金を失うよりは、若干の手間をかけたほうがマシというものだ。怪しいメールを開かず、口座の動きをチェックしながらここしばらくは対策を怠らないでいただきたい。



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

銀行からSMSでメッセージ? 詐欺かもしれない!

2017年10月20日 09時00分更新

文● せきゅラボ

 マカフィーのモバイルリサーチチームは8月、アメリカのオンラインバンキングユーザーを対象としたSMSメッセージを使用したフィッシング攻撃、いわゆる「スミッシング」を発見した。

 スミッシングとは、Eメールの代わりに、SMSメッセージを使用したフィッシング詐欺の一種。正規の組織や企業を装い、ニセのウェブサーバーに誘導して、ユーザーのアカウント・パスワード、クレジットカード番号といった情報を収集するのが主な手口だ。

 実は日本でも、スミッシング被害の報告は少なくない。

 たとえば2015年6月には、フィッシング対策協議会から銀行アカウントを狙ったスミッシング詐欺について注意喚起がされている(フィッシング対策協議会)。大手銀行を名乗り、「オンラインバンキングのパスワードの有効期限が失効してしまうためパスワードを更新する必要がある」として、偽のサイトに誘導してユーザーの口座情報やパスワードを盗むものだ。

 また、2016年1月には、消費者庁から架空請求のスミッシングについて注意喚起のレポートが発行されている(消費者庁)。「有料コンテンツの閲覧料金が未払いであり、早急に連絡しない場合には法的手続きに訴える」という脅し文句で、ユーザーに金銭の支払いを要求する。

 今年に入っては、2017年3月にグーグルを名乗ったスミッシング詐欺が報告されている(フィッシング対策協議会)。「Google Playストアでアプリ・動画・電子書籍などを購入するための支払方法の登録である」と偽り、サイバー犯罪者が用意したフィッシングサイトに誘導しクレジットカード情報を盗もうとするもの。

 SMSメッセージは、自分の電話番号宛にメッセージが送信されてくるものだ。そのため、すでに自分の電話番号を知っている相手からのメッセージだと思い込んでしまいやすい。そんなユーザー心理につけ込むのがスミッシングといえる。

 また、スミッシングに使われるフィッシングサイトは、ロゴや丁寧な文言などを配し、いかにも正規サイトのように装うデザインが多い。さらに、URLに銀行名に似せたドメイン名が使われていたり、パスワード(password)を類推させるパラオのドメイン名(.pw)が使われていたりした例もある。

 スミッシングの被害に遭わないためには、どうしたらよいだろう。まず、メッセージが不自然なものではないか、身に覚えのないメッセージではないかを確認するのは基本だ。あわててすぐにアクションを起こすのではなく、時間を置いてから、再度メッセージを見直してみるのもよい。たとえば銀行を名乗るメッセージなら、本当にSMSでメッセージを送る取り組みをしているのか、銀行の問い合わせ先を自分で調べて、問い合わせてみるのも、騙されないためには有効だろう。

 今回はMcAfee Blogから「米国のモバイルバンキングユーザーを狙うスミッシング攻撃を発見」を紹介しよう。スミッシングの実例を見ることで、どういう手口で攻撃してくるかを知っておくのも、セキュリティ意識を高めるのに大事なことだ。

米国のモバイルバンキングユーザーを狙うスミッシング攻撃を発見

 マカフィーのモバイルリサーチチームは、現在活動中の米国のオンラインバンキングユーザーを対象としたSMSメッセージを使用したフィッシング攻撃(スミッシング)を発見しました。その手口は「銀行口座が閉鎖されてしまうため、ユーザーは直ちにSMSに記載のURLにアクセスし手続きをしなければならない」という通知によってユーザーを脅し、フィッシングサイトに誘導します。

フィッシングに使用されたSMSメッセージ

 今回のスミッシング攻撃で使用されているSMSメッセージの構造として ’FRM’ や ’MSG’ が使用されている点において、2016年7月末に発見したiOSユーザーをターゲットとしたスミッシング攻撃と類似しています。以前の攻撃ではAppleアカウントを盗むため(クリック数やURLの作成日が追跡可能な)短縮URLが使用されていましたが、今回のスミッシング攻撃では、金融機関の名称をURLに含めることでユーザーに不信感を抱かせないようにしているのもその特徴といえます。

偽の顧客識別プログラム

 ユーザーがURLをクリックすると、実際の銀行サイトを模倣したフィッシングサイトにリダイレクトされます。このフィッシングページでは、偽の顧客識別プログラム(Customer Identification Program – CIP)を介してIDの確認を要求します。IDの正当性が確認されるまでアカウントが無効化され、オンライン取引が拒否されるとしてユーザーを脅迫します。

顧客識別プログラムを装うフィッシングページ

 ユーザーが [Message Received(メッセージの受信)] をクリックすると、次のステップであるユーザー名とパスワードの入力画面に進みます。

モバイルバンキングアカウント情報を要求するフィッシングページ

 サイバー犯罪者は、ユーザー名とパスワードだけではユーザーの銀行口座にアクセスするのに十分でないことを知っているため、社会保障番号、クレジットカード番号、さらにはATMの暗証番号といった追加の機密情報を要求してきます。このフィッシングサイトでは、これらの情報が提供されることによってバンキングアカウントのロックが解除されるとことを約束しています。

追加の機密情報を要求するフィッシングページ

二要素認証を盗む

 このフィッシングスキームの最終ステップでは、金融機関の二要素認証によるセキュリティを突破するために、送金といった特定の銀行サービスを利用する際にSMS経由でユーザーのモバイルデバイスに送信されてくるユニークなアクセスコードを要求します。

二要素認証のアクセスコードを要求するフィッシングページ

 この二要素認証の要求によってサイバー犯罪者は被害者の銀行口座に完全にアクセスすることが可能となります。ユーザーが [Confirm my identity(自分の身元を確認する)] ボタンをクリックすると、入力したアクセスコードが収集され、ユーザーは正当な金融機関のウェブサイトにリダイレクトされます。これによって、ユーザーに偽の顧客識別プログラムが正常に完了したと思い込んでしまうのです。

 サイバー犯罪者は、セキュリティチェーンの中で最も弱いリンクは常にユーザー(人間)であることを知っています。ユーザーから可能な限りの機密情報を盗み出すためにスミッシング攻撃を仕掛けてきます。これまでのスミッシング攻撃を見てみると、攻撃者は不正アクセスを行うために、あらゆるタイプのユーザーアカウントをターゲットにしていることがわかります。このような脅威から身を守るためには、不明な電話番号からのSMSメッセージを常に疑い、不審なリンクはクリックしないように注意してください。


※本ページの内容は McAfee Blog の抄訳です。
原文: Smishing Campaign Steals Banking Credentials in U.S.
著者: Carlos Castillo

【関連記事】

第44回:今だから学ぶ! セキュリティの頻出用語:スミッシング とは?

【参考資料】
Unprotect Project

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている

2017年10月13日 11時00分更新

文● せきゅラボ

 コンピューターウイルスを始めとする悪意のあるソフトウェア、マルウェアへの対策として、「ウイルスなどを検知するセキュリティーソフトを導入しよう」とよく言われる。もちろん、これはとても大切なことだ。

 しかし、マルウェアを制作する側も、それを頭に入れているものだ。さまざまな手を講じて、検知ツールの目をかいくぐろうとしている。

 たとえば、「サンドボックス」(sandbox)と呼ばれる、マルウェアを検知する手法がある。子どもの遊び場としての「砂場」を意味する単語で、これが語源になったと言われている。

 サイバー攻撃に対して、シグネチャベースといわれるファイルを排除する方式がある。これは、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つのシグネチャとして管理した上で排除する。しかし、この対策で阻止できるのは、存在が知られていて、分析が完了した攻撃のみだ。つまり、初めて見つかった未知のマルウェアは検出できないことになる。

 当然、マルウェアを開発する側とすれば、「マルウェア対策の対策」でシグネチャベースの検査を回避できるように意図して開発する。ターゲットとなる企業や組織に合わせてマルウェアを用意することも珍しくはなく、このような攻撃を回避するにはシグネチャベースでは難しい。

 そこでサンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析する。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業をさせる。そこで、悪意のあるような動きが確認されたら、ブロックしたり通知したりするわけだ。

 しかし今では、サンドボックスと関連する動作が存在するかを検知し、それを回避するようにふるまうマルウェアも出てきている。例を挙げれば、仮想環境上では挙動を変えて実マシン上でのみ動くといった動作をしたり、特定の時間にしか動作しないといったロジックなどが組み込まれていたりする場合がある。セキュリティーの世界では、新しい対策が出てきたら、それを逃れようとする、いたちごっこが繰り返されているというわけだ。

 今回は、McAfee Blogから「マルウェアの自己防衛および自己保護機能の概要」を紹介する。少し専門的な内容を含んでいるが、さまざまなマルウェアの被害が報じられることも多い中、マルウェアがセキュリティツールの検知をかいくぐる術を知ることは、セキュリティへの理解を深めるうえでとても重要だろう。

マルウェアの自己防衛および自己保護機能の概要

 マルウェアの作者の多くは、複雑なコードを開発するために多大な時間と労力をかけています。彼らの成功は、脅威として長時間検出されず、サンドボックス
での解析、アンチウイルス対策、またはマルウェアの解析者を回避できるかにかかっています。このブログでは、検知を回避するためにマルウェアが使用するメカニズムの概要を紹介します。

 マルウェアが簡単に検知されると、データを盗み取りインパクトを最大化するための時間がなくなります。ITセキュリティの市場は成熟しており、現在のセキュリティ対策ツールやアプリケーションの性能は非常に向上しています。ただし、攻撃者もセキュリティツールの動作を理解し、監視を続けています。また、企業や組織は必ずしもベストプラクティスを実践していません。マルウェア対策ツールが最新状態ではない場合も多く、サンドボックスが設定ミスにより簡単に検知されることもあります。

マルウェアの自己防衛機能

 マルウェアは検出や解析を回避するために複数のメカニズムを利用しています。メカニズムの技術は、以下の3つのカテゴリに分類することができます。

  • アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。
  • アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するために使用されます。
  • アンチアナリスト:マルウェア解析者を検知し、欺くために使用されます。たとえば、リバースエンジニアリングを回避するため、Process ExplorerやWiresharkなどの監視ツールを検知すると同時に、いくつかのプロセス監視の手法やパッカーを使用します。

 これら3つのカテゴリに共通するマルウェアの技術もいくつかあります。RunPE(メモリ上の自身とは異なるプロセスで実行する)などの技術を使用すると、マルウェアはウイルス対策ソフトウェア、サンドボックス、または解析者を回避することができます。

サンドボックスの回避

 サンドボックスはマルウェアを迅速に検出し把握する上で効果的なツールですが、適切に構成しなければ、マルウェアにより簡単にサンドボックスを検知されます。マルウェアは以下の複数の基本的なチェックを実施する場合があります。

 MACアドレスの検知:VMwareやVirtualBoxなどの仮想環境では既知のMACアドレスが使用されます。このアドレスはしばしばレジストリの次の場所に保存されます(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000\NetworkAddress)。マルウェアは、レジストリキーを要求するか、GetAdapterInfo APIを使用するかの2つのいずれかの方法でMACアドレスを検知できます。

DWORD GetAdaptersInfo(
_Out_ PIP_ADAPTER_INFO pAdapterInfo,
_Inout_ PULONG pOutBufLen
);

 プロセスの検知:マルウェアはサンドボックスと関連する動作中のプロセスが存在するかを検知することができます。たとえば、VmwareService.exeなどのプロセスの場合、CreateToolHelp32Snapshot APIを使って現在動作中のプロセスのスナップショットを取得してから、API関数のProcess32FirstとProcess32Nextでスナップショットの各プロセスを一覧化することで、容易に検知することができます。

HANDLE WINAPI CreateToolhelp32Snapshot(
_In_ DWORD dwFlags,
_In_ DWORD th32ProcessID
);BOOL WINAPI Process32First(
_In_ HANDLE hSnapshot,
_Inout_ LPPROCESSENTRY32 lppe
);BOOL WINAPI Process32Next(
_In_ HANDLE hSnapshot,
_Out_ LPPROCESSENTRY32 lppe
);

 レジストリの検知:マルウェアが検知可能なシステムのレジストリキーは、仮想環境により作成されます。以下のリストは完全ではありませんが、マルウェアがチェックする可能性があるレジストリキーの一覧です。

“HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0”
“SOFTWARE\\VMware, Inc.\\VMware Tools”
“HARDWARE\\Description\\System”
“SOFTWARE\\Oracle\\VirtualBox Guest Additions”
“SYSTEM\\ControlSet001\\Services\\Disk\\Enum”
“HARDWARE\\ACPI\\DSDT\\VBOX__”
“HARDWARE\\ACPI\\FADT\\VBOX__”
“HARDWARE\\ACPI\\RSDT\\VBOX__”
“SYSTEM\\ControlSet001\\Services\\VBoxGuest”
“SYSTEM\\ControlSet001\\Services\\VBoxMouse”
“SYSTEM\\ControlSet001\\Services\\VBoxService”
“SYSTEM\\ControlSet001\\Services\\VBoxSF”
“SYSTEM\\ControlSet001\\Services\\VBoxVideo”

 また、マルウェアは以下のいくつかの高度な技術を使用してサンドボックスの検知を行う場合があります。

 フック関数のチェック:フック関数は、OSやアプリケーションの内部関数の振る舞いを変更するための基本的なテクニックです。サンドボックスはフックの技術を使用してサンプルの挙動の変更を行います。たとえば、DeleteFile関数にフックすることで、サンドボックスに捕まったファイルをマルウェアは削除しようとします。このような種類の関数はメモリ上(カーネル空間)の特定の場所に配置されています。

 マルウェアは、呼び出す関数のアドレスをチェックしてフックを検知する場合があります。たとえば、返されるアドレスがカーネルの中にない場合、現在その関数はフックされていることになります。

 マルウェアはハードウェアのサイズチェックや特殊な命令など別の技法を使用して、特定のレジスタを検知することができます(「Red Pill」手法、または「No Pill」手法)。これらのテクニックは、マシン上にあるレジスタは一意なものであり、仮想環境では再配置する必要があるという事実に基づいています。

ウイルス対策の回避

 ウイルス対策ツールが使用する基本機能は、シグネチャ、スキャン、およびヒューリスティックの3つです。

  • シグネチャは、サンプルのハッシュ値を変更することで回避することができます。これは非常に簡単であり、実行ファイルを1バイト変更するだけで実現可能です。
  • スキャンは、大きなファイルを作成してエミュレータを混乱させることで回避することができます。
  • ヒューリスティック分析はより複雑ですが、背後にある関数をフックすることで回避することができます。

 マルウェアがウイルス対策ツールを回避するための別の方法は、ツールを無効化するか例外を追加することです。ポリモーフィック型のコードは特に検知が困難です。

アンチデバッグ

 コード解析時、マルウェア解析者はしばしば深く調査する必要があります。アンチデバッグは、デバッガによるリバースエンジニアリングを回避するための別の技法です。Windows APIを使用すると、デバッガの存在を検知することは比較的容易です。

 IsDebuggerPresent関数:この関数は、PEB(Process Environment Block)構造体の中の特定のフラグであるIsDebuggedをチェックし、デバッガ内でプロセスが実行されていない場合、0を返し、デバッガがアタッチされている場合、0以外を返します。

BOOL WINAPI IsDebuggerPresent(void);

 FindWindow関数:この関数は名前やクラスからウィンドウを検索することができます(例:OllyDbg)。この関数は、WiresharkやProcess Explorerなどのツールを検知することもできます。

HWND WINAPI FindWindow(
_In_opt_ LPCTSTR lpClassName,
_In_opt_ LPCTSTR lpWindowName
);

 CsrGetProcessId関数:この関数は、システムプロセスの1つであるcsrss.exeのプロセスIDを検索することができます。デフォルトではプロセスのアクセストークンのSeDebugPrivilegeの権限は無効になっています。しかし、OllyDbgやWinDbgなどのデバッガによりプロセスがロードされると、SeDebugPrivilegeの権限が有効化されます。プロセスによりcsrss.exeが開かれていることは、プロセスのアクセストークンの権限がSeDebugPrivilegeであることを意味し、対象のプロセスはデバッガであることが推測されます。

アンチ逆アセンブル

 アンチ逆アセンブルは、リバースエンジニアリングによる解析を回避するための別の手法です。逆アセンブルツールを妨害する方法は以下のように数多くあります。

  • APIの難読化を行うと、特定の関数の呼び出しを隠すことができます。その結果、たとえば、API関数の名前を使わずに関数が呼び出されます。解析者はどの関数が利用されたか把握するためにリバースエンジニアリングする必要があります。この作業には時間がかかります。
  • ジャンクコードの挿入:ジャンクコードをマルウェアに挿入することで解析者を欺き、使用しないコードのリバースエンジニアリングに時間を浪費させることができます。ジャンクコードは全く実行はされないため、サンプルの挙動には変化ありません。

「Unprotect Project」について

 マルウェアの解析を回避する方法はたくさんあります。これらの技法は公開されているいくつかのプロジェクトで一覧化されています。Unprotect Projectは、マルウェアの保護と自己防衛技術を集めて一覧化した公開のWikiです。このプロジェクトには、マルウェアの保護機能の理解を促すため、技法を一覧化したマインドマップが載っています。

 このプロジェクトの目標は、コミュニティに対して、検出されずに滞在し、セキュリティ保護を迂回し、解析を回避するためにマルウェアで使用される技術への理解を深めるサポートをすることです。このウェブサイトには次のようなカテゴリがあります。

  • サンドボックスの回避テクニック:サンドボックス解析を回避する。
  • ウイルス対策の回避テクニック:ウイルス対策の検出を回避する。
  • アンチデバッグのテクニック:デバッガを欺き、解析を回避する。
  • アンチ逆アセンブル:逆アセンブルツールを使用したリバースエンジニアリングの回避、およびマルウェアの挙動を理解する。
  • プロセスのトリック:システム上でマルウェアのプロセスを隠ぺいし、検出を回避する。難読化とデータのエンコード:マルウェア内のデータや一部のコードを隠ぺいする。
  • パッカー:マルウェアのコードの保護、および他の回避機能を追加する。

 このWikiは継続的に更新されています。

まとめ

 マルウェアは検出を回避するため、ますます賢くなり、技術の進化が続いています。これらの技法を理解し、情報セキュリティのコミュニティで体験を共有することはマルウェアと戦う上で効果的な方法です。


※本ページの内容は 2016年12月19日更新のMcAfee Blog の抄訳です。
原文: An Overview of Malware Self-Defense and Protection
著者: Thomas Roccia(Principal Consultant at Intel Security Foundstone Services)

【参考資料】
Unprotect Project

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

「Siri」「Googleアシスタント」は超音波でハッキングできる!?

2017年09月15日 09時00分更新

文● せきゅラボ

 「Siri」や「Googleアシスタント」などの音声アシスタント機能を利用している人は多いだろう。話しかけるだけで操作できる上に、人の声を使うため、他人が悪用しようとしてもすぐに気付くはず。ところが、音声アシスタントを「人には聴こえない音」で操作する方法があるという。

 中国の浙江大学の研究チームが開発した「DolphinAtack」は、超音波を利用して音声アシスタントをハッキングするものだ(論文、外部リンク)。仕組みとしては、人にはほとんど聴こえない20kHz以上の周波数の音声コマンド信号を変調し、小型アンプで増幅して、超高音を再生するスピーカーから鳴らすもの。

 これにより、デバイスのマイクの振動板は、人の声を受け取ったときと同じように振動。そこから生まれた電気信号を認識することで、音声アシスタント機能が、あたかも持ち主の音声で操作されたように誤動作してしまうという。DolphinAtackはSiriやGoogle Homeのみならず、Microsoft Cortana、Amazon Alexaなどのアシスタントも動作させることに成功している。

 ただ、DolphinAtackを使った実験では対象のデバイスに近づかないと動作させることができないため(範囲はおよそ1メートルとのこと)、すぐに悪用されて端末が遠隔操作されるような事態が多発するとは考えにくい。そもそも、音声アシスタントの機能を有効な状態にしておかなければ使えないため、デバイス側で機能をオフにすればこのハッキングは防げる。

 なおこの論文では、デバイスのマイクは20kHz以上の周波数には反応させないようにする、変調した信号を検出したらブロックする仕組みを取り入れるなど、超音波を利用した音声ハッキングについて対策も提案している。

 さて、一般のスマホユーザーは、DolphinAtackの事例から何を学べるだろうか? 超音波で自分のスマホがハッキングされるかもしれない……という恐怖をいたずらに抱くだけでは不十分だろう。最新テクノロジーに精通した犯罪者が新しい攻撃を考える可能性がある以上、スマホユーザー自身がセキュリティ問題を意識することが重要なのだ。

 たとえばスマホのデータをこまめにバックアップして、セキュリティ対策のアプリをインストールしておけば、悪意のある攻撃に対処しやすくなる。また最新のOSやアプリのアップデートをしておけば、報告されている不具合を突いた攻撃を未然に防げるはずだ。

 今回はMcAfee Blogの「Androidスマホの80%にリスク! 暗号化によりセキュリティを確保」を紹介しよう。

Androidスマホの80%にリスク! 暗号化によりセキュリティを確保

 ポケットにスマートフォンを入れたままタイムトラベルをしたとします。中世の農民が初めてこのデバイスを目にしたら、当然、興味を持つでしょう。そのとき、農民にスマートフォンの仕組みを説明できますか。スマートフォンは仕組みを知らなくても簡単に使えるため、ほとんどの人は説明できないでしょう。そして、これこそまさに問題の原因になっているのです。中世の農民と同じように技術的知識のない消費者は、最新テクノロジに精通した犯罪者にとって格好の標的です。そのため、最近のサイバー犯罪では特に、Androidスマホに利用されているLinuxカーネルという技術コンポーネントをベースにした新しい戦術(英文)が使われるケースが増えています。

 その手法を理解するには予備知識が必要です。まず、ソフトウェアは複数の層で構築されています。家を建築する方法を思い浮かべてください。屋根は壁、足場、基礎によって支えられています。Androidなどのオペレーティングシステムも同じです。つまり、AndroidデバイスではLinuxカーネルが基礎の層となり、それによって、アプリケーションとデバイスのハードウェアの通信方法が定義されます。

 そのため、サイバー犯罪者はLinuxカーネルを悪用できれば(英文)、直接携帯電話を悪用できます。これはユーザーのデバイスに不正な命令を送信するためにWebサイトに侵入していた従来の攻撃に比べると格段に進歩しています。この新しい方法ならそのような方法は必要ありません。Webサイトを経由しなくてもデバイスのふるまいを変更することができるのです。

 これは何を意味するのでしょうか。たとえば、見たこともないWebサイトが表示されることがあります。その保護されていないWebサイトに突然、ログインプロンプトが表示されます。ユーザー名とパスワードを入力すると、その情報が犯罪者の手に渡る仕組みになっています。犯罪者はユーザーのデバイスのソフトウェアを悪用して、デバイスのふるまいを制御していたのです。専門家は、Linuxカーネルの問題はAndroidスマホの80%までに影響を与える可能性があると推定しています。それは14億台のデバイスに相当します(英文)!

 パニックが起こらないよう、Androidスマホを安心して使用するための重要な注意点(英文)をお教えしましょう。まず、犯罪者は単純にスマホにリモートアクセスすることはできません。そのような不正行為を行うには、Webサイトやメッセージ、ニュースフィードの共有リンクを悪用して、ユーザーのデバイスからの接続に侵入する必要があります。つまり、IPアドレスと送信元の情報を入手する必要があります。さらに、接続のテストに10秒かかり、不正なコードの注入に45秒かかります。そのため、平均的な市民に対してこのような攻撃が大規模に仕掛けられる可能性はほとんどありません。

 また、ユーザー自身が大小のセキュリティ問題を意識することが重要です。ユーザーの知識が多ければ多いほど、より適切に自分自身を保護することができます。たとえば、Linuxカーネルのハッカーがスマホの接続にアクセスする必要があることを知っていれば、その抜け穴を悪用から防御できます。暗号化された通信を使用すれば、最初からサイバー犯罪者の侵入を拒否することができます。Android 端末を保護する方法を含め、ヒントを以下で紹介します。

モバイルでWebサイトを表示する場合、「https」の「s」があることを確認します。
接続の安全を保証するWebトラフィックの標準(英文)はいくつかありますが、すべてのWebサイトが従っているわけではありません。しかし、スマホで安全に利用できるWebサイトを特定することは可能です。Webサイトアドレスが「https」で開始していることを確認するだけです。ブラウザによってはその部分が非表示になっていますが、その場合は通常、サイトが安全であるかどうかを知らせる機能が組み込まれています。
評判のよいWebアプリケーションやモバイルアプリを使用します。
ユーザーもリソースも多い大企業では、アプリケーションの保護が重視されます。たとえば、Gmailではメッセージの内容だけでなく、トランジット接続も暗号化されます。不明な点が多いサードパーティ製のアプリケーションは避けてください。
Androidは必ず更新します。
セキュリティの問題が検出されたら、ソフトウェアをアップデートして新しい防御を適用します。Linuxカーネルのように、Androidの古いバージョンではなく新しいバージョンに影響するような問題は例外的なケースです。一般的にはデバイスは常に更新すべきです。暗号化技術が改善された場合は特に、更新は重要です。

 そして、もちろん、マカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。


※本ページの内容は 2016年8月19日更新のMcAfee Blogの抄訳です。

原文: 80% of Android Phones Are at Risk! Luckily, People Can Use Encryption for Safety
著者: Gary Davis(Chief Consumer Security Evangelist)

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

サイトを見ただけで感染!? 「ステガノグラフィー」とは

2017年07月14日 09時00分更新

文● せきゅラボ

 マカフィーはMcAfee Labs脅威レポート 2017年6月を公開している。そのレポートには、脅威統計情報だけではなく、最近のセキュリティー事情についてのトピックも含まれている。

 2017年上半期において目立ったセキュリティーのトピックといえば、世界中で流行したランサムウェアだろう。また、IoT機器を狙った攻撃も話題になることが多い。これらについては、報道などで聞いている、ある程度の知識を持っている……という人もいるはずだ。

 では、「ステガノグラフィー(steganography)」をご存知だろうか。ギリシャ語で「隠された」を意味するstegosと、「記述」を意味するgrafiaに由来する言葉。秘密のメッセージを隠すための理論や方法のこと。マカフィーは今回のレポートで、この手法を利用した攻撃について解説している。

 デジタルの世界におけるステガノグラフィーとは、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指す。たとえば音声による隠蔽では、人間の聴覚範囲を超えた周波数を利用し、オーディオファイルにノイズとしてメッセージを埋め込み、秘密の情報を伝送できる。

 デジタルのステガノグラフィーで最も一般的な形態は、画像を使用するものだ。カバー画像のピクセル値を直接操作したり、画像の一部の明るさ(輝度)を変更したりすることで、データを隠蔽、またはマスキングする。

 このステガノグラフィーを使って感染するマルウェアもある。たとえば、バナー広告の画像にコードを埋め込むというパターンだ。ユーザーがウェブサイトを閲覧しているとき、不正コードの含まれたバナーが表示されたとする。すると画像内に埋め込まれたスクリプトが、コンピューターの情報を悪意のある攻撃者のサーバーに送り、そこからウェブブラウザーの脆弱性を突いた攻撃がスタート。最終的に、コンピューターにマルウェアが送り込まれてしまうというものだ。

 このように、お気に入りのサイトを見るだけで感染してしまうケースもあるステガノグラフィー。古くからある手法だが、最近では、この方法による攻撃の有効性が注目されている。

 一部のマルウェアは検出を回避するため、ステガノグラフィーを利用し、無害に見えるカバーファイルに不正なコンテンツを隠す。ほとんどのマルウェア対策は構成ファイル内の不正なコンテンツを検出するのだが、ステガノグラフィーでは、構成ファイルがカバーファイルに埋め込まれていたり、メインメモリーに展開される場合があるため、検出は困難になる。

 つまり、ステガノグラフィーは、マルウェア対策による検出を回避できることが多いのだ。セキュリティーシステムの検知から逃れやすいとなれば、この手法を使用する攻撃が増加することが予想される。

 もちろん、セキュリティーベンダー側も黙ってみているわけではない。セキュリティーソフトでステガノグラフィーコードを含む既知のマルウェアを検知するだけでなく、未承認のアプリケーションとコードをブロックできるようにするなど、さまざまな対策を講じている。

 セキュリティーを取り巻く状況は日々移り変わっている。最新のデータを知り、セキュリティーへの意識を持つことが大事になってくるだろう。今回はMcAfeeの最新レポート概要を紹介しよう。レポートの詳細には、ステガノグラフィーについての解説と対策も載っているので、ぜひチェックしてほしい。

マルウェアやランサムウェアなど、83ページにおよぶMcAfee Labsの概要

 マカフィーは、McAfee Labs脅威レポート 2017年6月(対象期間:2017年1月~3月)を公開しました。今回のレポートは83ページという大作で、通常の脅威統計情報のほか、次の3つの興味深いトピックが含まれています。

  • マルウェア作成者が目的を達成するために、どのようにマルウェア検知回避技術を使用するかについて広く分析しています。主な内容は、回避技術に関する30年以上の歴史、入手可能な検知回避技術が流通する闇市場、現代のマルウェアファミリーによる検知回避技術の使用例、機械学習やハードウェアベースの検知回避などです。
  • 我々は、デジタル世界におけるステガノグラフィーについて研究しています。ステガノグラフィーとは、秘密のメッセージを隠すための理論や方法です。デジタルの世界では、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指し、マルウェア作成者がセキュリティ システムの検知を逃れるために利用されます。マカフィーはこれを最新かつ重要な検知回避技術と考えており、具体的にどのように回避が行われるかを解説しています。
  • 我々は最も悪名高いパスワード窃取マルウェアであるFareitを分析しています。その起源や典型的な感染経路、アーキテクチャーや内部的な挙動、進化の過程、そして2016年のアメリカ合衆国大統領選挙を前に注目を集めた民主党全国委員会(DNC)の情報漏洩事件でどのように使用されたと考えられているか、などを解説しています。

 これらの重要な各トピックについて、McAfee製品がこれらの脅威に対しどのような保護機能を提供できるかを詳しく解説したソリューション概要資料も提供しています。

 次に、2017年第1四半期(2017年1月~3月)における脅威活動の広範な分析から、ハイライトをご紹介します。

マルウェア:新規マルウェアサンプル数は、過去3四半期は減少傾向にありましたが、2017年第1四半期は3,200万個に再度増加しました。そしてマルウェアサンプルの総数は、前年同期より22%増の6億7,000万個に達しました。

ランサムウェア:2017年第1四半期に新規ランサムウェアが再度増加したのは、主にAndroid OSを標的としたCongur系ランサムウェア攻撃によるものです。過去1年間のランサムウェアの合計サンプル数は、59%増の960万個に達しました。(私たちは次回のレポートで“WannaCry”についてお伝えする予定です)

モバイルマルウェア:アジア地域からのモバイルマルウェアの報告が倍増し、世界の感染率が57%上昇しました。過去4四半期で検知されたモバイルマルウェアの合計サンプル数は、1,670万個で前年同期比79%増を記録しました。

セキュリティインシデント:2017年第1四半期に公表されたセキュリティインシデントは、前期比53%増の301件を記録し、そのうち50%以上は医療、公共、教育部門で発生しました。また、第1四半期に公表されたすべてのセキュリティインシデントの78%がアメリカで発生しました。

 詳細はMcAfee Labsの脅威レポート 2017年6月をご覧ください。



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

身代金を要求する「ランサムウェア」新型は拡散力がヤバイ!

2017年07月07日 09時00分更新

文● せきゅラボ

 2017年5月に猛威を振るったランサムウェア「WannaCry」攻撃の1ヵ月後、新たなランサムウェアによる攻撃が世界中で再び発生している。

 ランサムウェア(Ransomeware、身代金を意味する「Ransom」と「Software」による造語)とは、パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらを復号化することと引き替えに身代金を要求する不正プログラムのこと。

 今回、新たに出現したランサムウェアは「Petya」または「Petwrap」と呼ばれるものだ。感染先のコンピューター上のファイルを暗号化するだけでなく、パソコンを起動する際に参照されるマスターブートレコード(MBR)をも暗号化し、コンピューターを使用不能に陥れる。そして暗号の解除と引き換えに、300ドル相当の仮想通貨Bitcoin(ビットコイン)を支払えと要求する。

 ヨーロッパを中心に感染が広がっており、とくにウクライナでは中央銀行や空港などにも被害が広がっているほか、チェルノブイリ原子力発電所のシステムに感染したという報道もあった。

 実はこのPetya、2016年3月頃に一度確認されているもの。しかし、WannaCryにも見られた感染拡大の仕組みに似た特徴が付加され、さらに悪質な亜種となっている。

 まず、WannaCryと同様にETERNALBLUE(MSの脆弱性:CVE-2017-0145を突いて感染を広げるツール)が活用されている(関連記事)。また、Windows端末のリモートからの管理に使用される管理共有と、WMIC(Windows Management Instrumentation Command-line)の仕組みを利用してマルウェアの実行を試みるように、感染機能が強化されている。

 ネットワーク経由で侵入・拡散できるため、組織内のシステムが脆弱性を抱えていた場合、その組織内の1つのシステムに感染することで、同じ脆弱性を持つその他の多くのシステムにも拡散し、影響を与えてしまう。

 対策としては、セキュリティソフトの更新ファイルを最新の状態にすること、OSやアプリケーションを最新の状態にアップデートすることはもちろん、パソコンとは違うデバイスにバックアップを取っておくことが肝心。また、このランサムウェアはフィッシングメールで送られてくる可能性もあるので、スパムやフィッシングメールに注意することも重要だ。

 WannaCryによる大被害を繰り返さないためにも、このPetyaについてしっかりと知っておきたいもの。今回はMcAfee Blogの「WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場を紹介しよう。

WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場

 悪名高いWannaCry攻撃の1ヵ月後の今日現在、新たなランサムウェアによる攻撃が世界中で再び発生しています。このランサムウェアはPetyaまたはPetwrapと呼ばれるもので、ウクライナの政府機関、電力網、銀行、公共交通機関などを含む、ヨーロッパ各地の企業や組織を攻撃し、ビットコインで300米ドルの身代金を要求します。

 WindowsサーバーやPCを標的としたPetyaランサムウェアによるサイバー攻撃は、2016年3月頃に一度確認されているPetyaランサムウェアの新しい亜種です。5月に猛威を振るったWannaCryと同様に、WindowsのSMB(Server Message Block)の脆弱性(通称Eternal Blue)を利用していますが、暗号化する対象が異なります。

 このPetyaの新しい亜種では、ファイルの暗号化だけでなく、PCを起動する際に参照されるマスターブートレコード(MBR)も暗号化されるため、被害者のPCが使用不能になります。感染した際に表示されるメッセージでは、ユーザーにシステムのリブートを推奨しますが、リブートするとシステムにアクセスできなくなります。つまり、システムのOSが起動ファイルをみつけられなくなるのです。

Petyaランサムウェアへの注意喚起と対策

 このPetyaランサムウェアに対して、ユーザーが安全を保つための対応を以下にご紹介します。この攻撃は主に企業を対象としているものですが、企業や個人を問わず、十分な注意を払って、予防措置を取ることが重要です。

– アンチウィルス ソフトウェアを最新の状態にアップデート
常に最大限の防御策を取るために、あなたのアンチウイルス ソフトウェアが最新のものになっていることを確認してください。

– メールにあるURLのクリックに注意
このランサムウェアはフィッシング詐欺メールで送られてくる可能性もあるので、いかなるときでも電子メールが正規のものかどうかを確認してください。リンク上にカーソルを合わせ、信頼できるURLかどうかを確認しましょう。もしメールの内容や送信元が知らないものであった場合は、素早くGoogle検索を行い、メールの正当性について確認出来るものを探しましょう。

– 十分なバックアップを取る
すぐにすべてのマシンのバックアップを取ってください。マシンがPetya ランサムウェアに感染すると、データが完全に消去される可能性があります。そのため、すべての拠点で、データを外付けHDDや他の場所に保存するようにしてください。

– システムおよびアプリケーションのアップデートを適用
ランサムウェアの拡散を防ぐため、OSが最新のものであることを確認してください。PetyaはWannaCryと同じ技術(WindowsのSMBの脆弱性)を悪用して組織内で拡散し、OSが最新になっていないシステムに感染します。

 引き続き最新の情報を入手次第、ブログなどで更新していきます。

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

私のAndroidスマホをランサムウェアから守りたい!

スマホとPCをサイバー攻撃から守る術
第2回

PCからのリンク送信を活用してマカフィー リブセーフを速攻導入

2017年06月28日 13時00分更新

文● 二瓶朗 編集●村山剛史

巷を賑わせているランサムウェアやフィッシングサイトといったネット上の脅威から身を守る術をご紹介! たった1本で家族全員のパソコンとスマホすべてを守ってくれるセキュリティ対策製品「マカフィー リブセーフ」とその周辺サービスを駆使していこう。

セキュリティ対策製品「マカフィー リブセーフ」の基本的な使い方からちょっとおトクな小ワザまでお届け!

ランサムウェアはスマホも標的にする! 脅威から逃れる術は?

 Androidスマホも、さまざまな脅威に晒されている。データを人質に取られてしまう最近流行りのランサムウェアをはじめ、公式のGoogle Playからダウンロードできるアプリにマルウェアが仕込まれていた、よく使う通販サイトのURLかと思ったらじつはフィッシングサイトだった、なんて話はよく聞くところだ。

 また、どこかに置き忘れたり、盗難されたりして行方不明! という不測の事態に陥りかねないのもモバイルデバイス全般の弱点といえる。そういった“スマホならでは”の脅威にも「マカフィー リブセーフ」は有効なのだ。

 アプリやSDカードなどから侵入してこようとするウイルスへの対策、怪しいURLへのアクセスをブロック、安全確保されていないWi-Fiへの接続を切断するなど、Androidスマホを安全に使うための機能が揃っている。

 機能の詳細についてはおいおい解説することとして、まずはAndroidスマホへマカフィー リブセーフをインストールする手順について解説していこう。

インストールは簡単! PCからAndroidスマホにリンクを送信でOK

 インストールの前に、まずはマカフィーアカウントを取得しておいてほしいので第1回の記事を参照していただきたい。1本で家族全員のデバイスを守ってくれるのがマカフィー リブセーフ最大の特徴なのだから、この機会にスマホだけでなく手持ちのPCやタブレットにも入れてしまうのが吉だ。

 また、インストール方法はいくつかあるが、PCからマイアカウントにログインして、スマホへダウンロードリンクを送信する方法がラクチンだ。

 Androidスマホへのマカフィー リブセーフのインストールは、PCからのリンク送信を活用すれば、このような感じで一気に済ませることができる。なお、マカフィー リブセーフの機能は多彩なので、それぞれについてはまた改めて解説していくこととしよう。お楽しみに!

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>

1本で家族全員守ってくれるマカフィー リブセーフのインストール方法

スマホとPCをサイバー攻撃から守る術
第1回

パソコン・スマホを手軽でリーズナブルに守る第一歩

2017年06月21日 13時00分更新

文● 二瓶朗 編集●村山剛史

巷を賑わせているランサムウェアやフィッシングサイトといったネット上の脅威から身を守る術をご紹介! たった1本で家族全員のパソコンとスマホすべてを守ってくれるセキュリティ対策製品「マカフィー リブセーフ」とその周辺サービスを駆使していこう。

セキュリティ対策製品「マカフィー リブセーフ」の基本的な使い方からちょっとおトクな小ワザまでお届け!

“セキュリティは敷居が高い”は都市伝説
スマホ・パソコンは手軽でリーズナブルに守れる

 このところ、ランサムウェアの脅威がニュースなどで取り上げられることが多くなっている。自分の大切なデータが人質に取られるなんて恐ろしいことだガクブル。ランサムウェア以外にも、ウイルスだのフィッシングサイトだのと、パソコンやスマートフォンの周囲には脅威があふれている(らしい)。

 そういった脅威から身を守るには、セキュリティ対策製品を導入するのが近道だ。しかし、「設定が難しそう」「お高いんでしょう?」と、セキュリティ製品は敷居が高いと思い込み、その導入をためらっている人もいるのでは。

 しかし! そんな心配は無用というものだ。「マカフィー リブセーフ」なら導入も設定も簡単で、さまざまな脅威からすぐに身を守ることができる。また1ライセンスを家族全員で使えるという経済的メリットもある。1年版・1ライセンスの価格は8208円(執筆現在は特別価格5746円!)。これで家族全員が持っているすべてのパソコンやスマホを守れるなら安いもの。

 細かい話はおいおい解説していくこととして、さっそくマカフィー リブセーフを導入していくこととしよう。その最初の一歩は、ユーザー登録をしてマカフィーの「マイアカウント」を作成することだ。

 このマイアカウントさえ作ってしまえば、以降は自分の好きなタイミングでマカフィー リブセーフをインストールできるからだ。また、1つのアカウントを使って、Windowsパソコン、Mac、スマホ、タブレットなどなど複数のデバイスへのインストールも可能になる。何はともあれ今回はまずマイアカウントの作成とインストールを試してみよう。

ダウンロードファイルを準備しよう

 まずはWindowsパソコンへのインストールを進めて行くこととしよう。なお、マカフィー リブセーフは30日間、無償で利用することが可能なのでまずはお試しでインストールするのもアリだろう。

 そしてマカフィー リブセーフは、マカフィーのWebページのそこここからインストールできるのが大きな特徴だ。マイアカウントにログイン後の「ダウンロード」ページのほか、無料体験版の紹介ページから「体験版を入手」をクリックすることでもダウンロードできる。もちろん、製品購入ページの「今すぐ購入」からでもOKだ。

30日間の無料体験版でお試ししたいなら画面右上に注目

リブセーフなどの無料体験版をダウンロードできるページに飛ぶ

メールアドレスを入力して、アカウント登録を始めよう

氏名、メールアドレス、パスワードを入力して「同意する」をクリック。使用許諾ももちろん確認しておこう

登録が完了したら、ファイルのダウンロードが可能となる

 マカフィーの「マイアカウント」を作成したのなら、その流れでインストールファイルをダウンロードできる。

未ログインの場合は、まず前回登録したメールアドレスとパスワードを入力してログインしておこう

Windowsパソコンにマカフィー リブセーフをインストールする

 と、意気込んではみたものの、じつはインストール操作もカンタンだ。ダウンロードしたインストールファイルをダブルクリックしてインストールを始めよう。

インストールファイルをダブルクリックすると、まずはこの画面が表示されるはず。さっそく「インストール」をクリックしよう

システムチェックなどが実行される。古いバージョンのマカフィー リブセーフやほかのセキュリティソフトがインストールされている場合はここでアンインストールを促されることも

古いマカフィー リブセーフが残っていた筆者の環境。再起動を促されたので従う

左上のパーセンテージの上昇とともにインストールが進んでいく

最後にパソコンを再起動すればインストール完了だ! これでサイバー攻撃も怖くない

 再起動後、晴れてあなたのパソコンはマカフィー リブセーフで保護済みとなった。「ね、カンタンでしょう?」と言いたくなるほど、インストールはすんなり完了する。そしてマカフィー リブセーフのメリットは、このまま特に操作しなくても“いい感じ”に守ってくれること。後ほど各種機能について解説しようと思うが、基本的にはインストール完了時点で安心して大丈夫なのだ!

 次回はAndroidスマホへのインストール方法を紹介しよう。

■関連サイト



カテゴリートップへ

‘;
} else if(google_ads[0].type == “image”) {
s += ‘

    ‘;
    s += ‘

  • ‘;
    s += ‘

‘;
} else if (google_ads[0].type == “flash”) {
s += ”;
} else if (google_ads[0].type == “html”) {
s += google_ads[0].snippet;
} document.write(s);
return;
}
//–>