Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter

2011-04-26

あなたの生活をより安全にする12のステップ

(2011/04/29 更新)

PC Worldの記事がなかなかよくまとまっていたので、簡単な解説付きで。

Secure your life in 12steps (PC World)

Good security advice can be hard to find. Lots of security experts offer help, but not all of their tips are accurate or up-to-date, and many address PC security only. So even if you follow their advice, you may be more vulnerable than you think. That's where we come in. We've assembled a dozen simple but essential tips--a 12-step security program--to keep your PC, smartphone, gadgets, and identity safe. The steps are practical and fairly easy to perform, so you can strengthen your security without losing your mind in the process.

1. オンラインショッピングではバーチャルクレジットカードを使う

バーチャルクレジットカードワンタイムパスワードのようなもの。オンラインショッピングで利用できる1回限りのカード番号を発行するサービスがある。インターネット決済専用のカード(不正利用時の補償がついたものが多い)をバーチャルカードと呼ぶこともあるようだが、これは全く別のもの*1 。国内で使えるサービスあるんだろうか?

(2011/04/29 追記)

@F0roさんTwitterで教えていただきました。ジャパンネット銀行さんが、ワンタイムデビッドというサービスを提供しているそうです。クレジットじゃなくてデビッドだけど、使い捨てという点は同じです。

2. 無線LAN暗号化する

WPA2 (CCMP-AES)を使いましょう。WEPは簡単に暗号解読できるので絶対に使っちゃダメ。WPA(TKIP)もなるべく避ける。

3. ハードディスク暗号化する

WindowsならBitLockerを使って、ドライブ全体を暗号化する*2。あるいは TrueCryptを使う。

Macなら File Vaultを使って、ホームフォルダ暗号化しよう。

4. ソフトウェアはいつも最新の状態にしておく

WindowsMS-Officeは言うに及ばず(WindowsUpdateは自動更新する設定にしよう)。Adobe Reader, Flash Player, Javaなども忘れずに更新しよう*3

MyJVN, F-Secure Health Check, Secunia OSI/PSIなどのツールを使うと最新かどうか簡単にチェックできる。以前、Facebookにノートを書いたのでご参考までに。

5. ウィルス対策ソフトは最新版を利用する

シグネチャによるパターンマッチングだけでなく、最近のAVソフトはヒューリスティック検知機能も備えている。だからなるべく最新のものを使おう。もちろんシグネチャの更新も忘れずに。

製品の選択に困ったら、とりあえず Microsoft Security Essentials (MSE)をいれておく。(Windowsと統合されていて自動更新される)

6. スマートフォンにもセキュリティ対策を

Androidであれば、スマートフォン用のウィルス対策ソフトをいれる。主要なベンダーが製品をだしている。

iOSデバイスについては、Jailbreakしていなければあまり心配する必要はない。

7. URLリンクの安全性をチェックする

ブラウザが罠のリンクを踏んでマルウェア感染することを防ぐ。感染経路としては今最も多いパターン。

リンクをチェックするツールが無償で利用できる。

8. 物理セキュリティも忘れずに

持ち運びやすいラップトップに特に注意。Kensingtonや Targusのロックツールがよい。(まあ個人ではあまり使わないと思うけど。)

覗き見防止用のプライバシーフィルターも使おう。そして離席するときにはスクリーンをロックをすること。 (Windowsキー + Lキー)

9. いつも HTTPSを使う

なるべくいつも HTTPSによる暗号化通信を利用する。Gmail, Twitter, Facebookなどのサービスは HTTPSを常に利用するための設定がある。忘れずに設定を有効にしておこう。

10. 共用のPCや公衆無線LANは使わない

インターネットカフェなどの共用PCにはキーロガーなどのマルウェアが仕込まれている可能性があるので、なるべく使わない。

公衆無線LANも盗聴の危険があるので、なるべく使わない。ただし VPNが利用できるのであればOK。

11. パスワードを上手に使いこなす

パスワードは使い回しをしない。推測しやすい簡単なパスワードをつけない。

こういう基本事項を守るために、パスワード管理ツールを活用する*4

12. クレジットカードの利用履歴を定期的にチェックする

どんなに頑張っても被害にあう可能性はある。そうした場合にすぐに異常に気付けるようにしよう。クレジットカードの利用履歴は定期的にチェックすること。


おしまい。

*1:たとえば国内だと、三井住友VISAカードが提供しているようだ

*2:7か Vistaの Ultimateまたは Enterpriseが必要

*3:最近、攻撃者にもっとも狙われる御三家がこれ

*4:ちなみに私のお気に入りは LastPass

2011-04-25

私のセキュリティ情報収集術

なーんて書き始めてはみたけど、「たいしていい事あるわけじゃないだろ」という気分です。*1


仕事柄、日々さまざまなセキュリティ情報を収集して分析することを何年も続けているわけですが、いまだにもっといい方法がないかと悩んでいるんですよね。というわけで、今の自分のやり方を公開しつつ、誰かに別の方法とか教えてもらえないかなーなんて、ちょっぴり期待もしています。


考えてみると昔は平和でしたよね。セキュリティホールmemoとか*2 *3、その前は Security Watchとかのまとめサイトが充実してて、海外の情報は Bugtraqでも購読してればまあオッケーみたいな平和な時代がありました。(ちょっと言い過ぎかも。) 今よりも格段に事件少なかったですからね。

それが今や事件も増えたし、情報も爆発してるし、溺れそうになりながら流される毎日です。ここ数年、試行錯誤を続けながら自分なりのやり方を見つけようとはしていますが、なかなかこれでOKという感じにはなりません。まあ正解があるような話ではないんですけど。


というわけで前置きが長すぎましたが、インプット(情報の入手元)とアウトプット(情報の保存先)の 2つにわけて、私の方法をご紹介します。

インプット

私の場合、メインの情報源(ツール)は以下の2つかな。

  1. Google Reader
  2. Twitter

Google Readerブログニュースサイトのチェックに使っています。いつから使い始めたか忘れてしまいましたが、何年か前に Bloglinesから乗り換えて以降、ずっと私のメインツールです。全部で約 700の RSSを登録していますが、セキュリティ関係だけに絞るとおよそ半分です。国内も海外もチェックしてますが、情報が早いので海外のサイトを重点的にチェックし、国内のサイトは確認程度に見るということが多いです。登録先の RSSを公開しようと試みた時期もあったのですが、更新が面倒になり途中で挫折しました。興味深い記事を書いているブログを見つけたら、どんどん RSSを登録しています。

ちなみに主要な MLも購読していますが、メールをチェックするのが面倒なので、公開されている RSSGoogle Readerで読んでいます。*4

Google Readerで毎日チェックしながら、気になる記事には片っ端からスターをつけています。そして中でも特に興味を惹かれたものは Twitterに流します。以前は Reader2Twitter(G2T)を経由して Shared Itemsを自動ポストしていました。ただ動作が不安定になることが時々あるので、今は Send To機能を使って直接 Twitterにポストしています。ちゃんと数えたわけじゃありませんが、5〜10個/日くらいだと思います。


Twitterは情報は早くていいのですが、ポリシーを決めずにフォローしまくったツケで、S/Nが小さくなってしまったため、現在はサブツールになっています。セキュリティ関係のアカウントをリストに登録してチェックしています。国内あわせて約400アカウントくらいフォローしています。私のリストをフォローしている方も何名かいらっしゃるようですが、役に立っているのかよくわかりません。

こちらも気になる Tweetにはスターをつけて、そのうちいくつかを ReTweetする感じです。数はあまり多くありません。


ちなみに自分の Tweetをあとで確認したくなることがあるので、twilogに保存しています。あと twtr2srcを使って、Evernoteに毎日メールで自動保存するように設定しています。


あとこれはまあほとんどありませんが、この前紹介したポッドキャストが情報源になることが、たまーにあります。私は通勤時間(片道約1時間)を利用して毎日ポッドキャストを聞いていますが、チェックしてなかったおもしろい情報が手に入ることがあります。そういう時は忘れずにメモして、会社か家に着いたらすぐに確認しています。

アウトプット

こちらは以下のツールを主に使っています。

  1. Twitter
  2. はてなブックマーク
  3. Dropbox
  4. Evernote
  5. simplenote
  6. はてなダイアリー

Twitterへのアウトプットは上で述べたとおりです。


はてなブックマークは外部リンクの集積場所として利用しています。Twitterとは連携させて、リンクをブクマしています。また Google ReaderTwitterでチェックした記事の中から、元記事を参照したり、ググって別記事を見つけたりするときがありますが、そういう時もブクマします。


Dropboxは、ベンダーが公開しているレポートやホワイトペーパー、論文、スライドなどの資料置き場として使っています。保存するだけで読んでいないという噂もありますが…


Evernoteは特定のネタに絞ってさらに調査、分析を行うときに利用しています*5。まとめ用のノートを作成して調べた内容を整理し、参照する記事は Evernoteにも取り込んでおきます。関連するホワイトペーパーやレポート(PDFが多い)は、Dropboxだけではなく Evernoteにも入れます。こうしておくと、あとでいちいちリンク先を見なくてもいいので手間が省けます。


simplenoteブログを書くときの下書き用に使っています。Evernoteには写真や図だけでなくその他どんなファイルでも添付できますし、情報をまとめる場としては最適です。しかし単にテキストを書くという点だけに絞ると、重くて使いやすいとは言えません。simplenoteはその点、非常にシンプルなツールで使いやすい。書いてる先からどんどん自動保存してくれるので便利だし、過去のバージョンにも簡単に遡れます。また simplenoteと同期するデスクトップアプリやモバイルアプリもたくさんあります。

元々は下書き用途だけだったのですが、あまりにも使いやすいので、最近はメモ帳がわりに使うことも多いです。


そして最後はブログ、つまりココです。simplenoteに下書きした内容をコピーし、最終確認してから公開しています。もちろん、はてなダイアリーにも下書き機能はあるのですが、イマイチ使いにくいのと、過去に何度か編集途中のデータが吹っ飛ぶ事故を起こしたので信用していません。ここ1ヶ月ほど頑張って更新していますが、過去にも更新が続く時期と滞る時期を交互に繰り返しており、またいつ更新が停止するか先のことはわかりません。


ざっとこんな感じです。うーん、なんかタイトルと違って内容は収集術になっていない気もしてきたけど、まあいいか。:-)

*1:先週のカラオケで久しぶりに「17才の地図」を唄ったので、言ってみたかっただけです。

*2:セキュmemoさんは今でも昔と変わらずに続いてますよね、凄すぎます。

*3:ちなみにここのブログの訪問者のうち約2割はセキュmemoからです。ありがとうございます!

*4:外部非公開の MLはメールを読むしかありませんが…

*5Evernoteセキュリティ以外にも日々の様々な記録に活用しています。

2011-04-24

先週の気になるセキュリティニュース (4/17〜4/23)

何となくそういう気分になったので、先週の気になるニュースをまとめてお届けします*1。Stuxnet関連と Anonymous関連がそれぞれ 2つずつ。

2011/04/21

ユージン・カスペルスキー (Eugene Kaspersky)氏の20才になる息子さんが、ロシアで誘拐されたと報道。その後、解放されたの続報がはいった。カスペルスキー社は公式には何もコメントしていない。(不確かな情報を報道しないようにとの要請のみ)

http://www.theregister.co.uk/2011/04/21/ivan_kaspersky_missing/

http://www.thetechherald.com/article.php/201116/7098/Russian-media-Kaspersky-s-son-feared-kidnapped-Update-3

http://www.computerworld.com/s/article/9216091/Kaspersky_s_son_released_reports_say

http://www.kaspersky.com/news?id=207576323

(2011/04/25 追記) Kaspersky Labから公式発表でました。

http://www.kaspersky.com/news?id=207576325

Kaspersky Lab confirms that an operation to free Ivan Kaspersky was carried out succesfully by the Federal Security Service (FSB), the Criminal Investigation Department of the Moscow Police and Kaspersky Lab's own security personnel. Ivan is alive and well and is currently located at a safe location. No ransom was paid during the rescue operation. Eugene Kaspersky and Natalya Kaspersky are currently unavailable for comment.

2011/04/20

Sonyの Playstation Network (PSN)が外部からの攻撃によってダウン。4/24現在まで障害は続いている。Sonyネットワークインフラ強化のためのシステム再構築を行っているとブログで述べている。先日 DDoSによってPSNをダウンさせた Anonymousが疑われているが、彼らは否定している。

http://www.jp.playstation.com/psn/state.html

http://blog.eu.playstation.com/2011/04/24/latest-update-for-psnqriocity-services/

http://techcrunch.com/2011/04/23/hack-attack-sony-confirms-playstation-network-outage-caused-by-external-intrusion/

http://www.thetechherald.com/article.php/201116/7099/Anonymous-takes-no-responsibility-for-PSN-outage

http://www.computerworld.com/s/article/9216122/Sony_rebuilding_PlayStation_Network_after_attack

http://anonnews.org/?p=press&a=item&i=848

2011/04/18

Anonymousが環境問題を背景として、関連企業への攻撃を予告。当初その中に、原発問題で注目を浴びた TEPCOがはいっていた。その後、Anonymousは TEPCOはターゲットから除外。4/23までにイタリアの電力会社 ENEL (www.enel.com)と、フランスの電力会社 EDF(www.edf.com)が 72時間の DDoS攻撃を受けて、断続的にダウンした。現在もオペレーションは継続中。(#OperationGreeenRights)

http://operationgreenrights.noblogs.org/post/2011/03/22/operation-green-rights-manifesto/

https://twitter.com/#!/opgreenrights


イラン軍の司令官が Stuxnetについて、独企業の Siemensが USとイスラエル政府に協力したと公式に非難。以前から NYTimesが両国政府の関与を報じるなどしているが、イラン政府側が公式に触れたのは今回が初めて。真実はどうなのだろうか。

http://www.theregister.co.uk/2011/04/18/iran_blames_siemens_for_stuxnet/

http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html

http://www.haaretz.com/news/international/iranian-military-official-siemens-helped-u-s-and-israel-in-cyber-attack-on-nuclear-program-1.356419

http://www.computerworld.com/s/article/9215901/Iranian_general_accuses_Siemens_of_helping_U.S._Israel_build_Stuxnet

http://www.guardian.co.uk/world/2011/apr/17/iran-siemens-stuxnet-cyber-attack

http://www.tehrantimes.com/index_View.asp?code=238788

http://www.afpbb.com/article/environment-science-it/it/2796161/7104028

2011/04/17

USのオークリッジ国立研究所(ORNL: Oak Ridge National Laboratory)が 4/7に標的型攻撃を受け、4/15-17の3日間インターネット接続を遮断。攻撃者はメールによるスピアフィッシング攻撃をしかけたようだ。記事によると、530人程の従業員がメールを受信し、57人が罠のリンクをクリックし、そのうち 2人が IEの 0day(現在はパッチがある)によってマルウェア感染したとのこと。

ORNLは、Stuxnetが悪用した Siemensの SCADAシステムの脆弱性発見に関与したと疑われており、関連があるのかもしれない。

http://www.theregister.co.uk/2011/04/19/us_lab_security_breach/

http://blogs.knoxnews.com/munger/2011/04/cyber-attack-forces-ornl-to-sh.html

http://www.securitynewsdaily.com/-cyberattack-hits-oak-ridge-national-laboratory-0709/

http://www.computerworld.com/s/article/9215962/Oak_Ridge_National_Lab_shuts_down_Internet_email_after_cyberattack

http://www.thehackernews.com/2011/04/us-federal-lab-linked-to-stuxnet.html


気が向いたら続けます。^^

*1:「私が」気になったニュースという意味なので、かなり偏りがあります。

2011-04-22

なにかあったらユーザーのデータを復号して当局に提出するのでよろしく! (Dropbox 談)

(2011/04/23 更新)

最近ユーザー数が 2,500万人を突破し、日本でも人気の高いクラウドストレージサービス Dropbox。実は先日、利用規約(Terms of Service)を変更したことをみなさんご存知だろうか。

Privacy, Security & Your Dropbox (The Dropbox Blog)

Hi Dropboxers,

Like many of you, we’ve been reading the reports about a change we made to our Terms of Service, and more generally about Dropbox’s approach to privacy and security.

Everyone who works at Dropbox knows our most important asset is the trust of our users. Dropbox is used by millions of people every day, including our own friends and families, and we promise them — and all of you — that we work hard to keep your most important data safe, secure, and private.

In this post, we’d like to go through each of the concerns that has been raised, and provide you with answers that we hope you feel are complete, transparent, and straightforward. We also provide detail on specific technical concerns. We look forward to your feedback, and will continue to strive to make our policies as easy to understand as Dropbox is to use. Our goal is to have an open and honest relationship with you so that we can address all of these issues quickly and effectively.


変更によってわかりやすくなったのは結構なのだが、その内容がいろいろと議論を呼んでいる。それはこの部分。(Dropbox Privacy Policyより引用)

Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

この内容をわかりやすく言い換えたのが、この記事のタイトルである。(^^)


Dropboxはユーザーのデータを保管するときに AES(256bit)で暗号化している。しかしその鍵は Dropboxが管理しているので、彼らはその気になればデータを復号して見ることができる。(もちろん鍵は厳重に管理していると言っているが。)

似たようなサービスの Jungle Diskの場合、鍵はユーザーが持っているのでこういうことは起きない。


Dropbox利用規約の改訂で、当局からの要請などしかるべき理由があれば、ユーザーのデータを復号して提供することを明示した。Dropboxユーザーの自衛手段としては、

  1. Dropboxをやめて、別のサービスに乗り換える
  2. Dropboxには、当局に提供されてまずい情報は保存しない
  3. あらかじめ手元で暗号化したデータを Dropboxに保存する (例えば、TrueCryptのコンテナを使う)
  4. 気にしない

これくらいだろうか。

ちなみに私の場合は、以前から 3番目の方法で自衛している。機微な情報は TrueCryptであらかじめ暗号化して、コンテナファイルを Dropboxに置いている。*1 しかしこの方法は頻繁に更新するデータには向かない。もっとも当局へ提出される可能性もあるが、事故などによって情報が漏洩する可能性もあるので、自衛するのはある意味当然ではある。


つい先日 Evernoteにも XSSがあって問題になったが、まあ Dropboxに限らずクラウドサービスを利用する場合、あまり事業者を信用しすぎちゃダメってことだろうか。


# Dropboxはご丁寧にも、Apple, Google, Skype, Twitterも同じことを利用規約に書いていると教えてくれている。(下図は Dropboxブログから引用)

http://dl.dropbox.com/u/19291403/Privacy/Privacy%20Policy%20Comparison.jpg


(2011/04/23 追記)

誤解する人はいないとは思うけど、念のため。Dropboxサンフランシスコを本拠地とするアメリカの会社だから、これ当然アメリカの話です。みなさんのデータが日本の捜査当局とかに提出されちゃうという話ではありません。


(2011/04/23 追記その2)

Twitterにはつぶやいたんだけど、こっちに書くのを忘れてた。ZDNetの記事に紹介されていたイラストがちょっとおもしろかったので。

All your data are belong to US!! (これわかるかな?)

http://i.bnet.com/blogs/2011-04-18-dropbox2.jpg

*1:別に当局に見られて困るような情報ではないけど。

2011-04-21

Microsoft Safety Scanner ひっそりとリリース

今週、Microsoftは Safety Scannerという新しいツールをひっそりと(?)リリースしました。これは、ウィルス対策ソフトとしては、Microsoft Security Essentials (MSE)Malicious Software Removal Tool (MSRT)に続く第3弾です。


Microsoft Safety Scanner

Microsoft Safety Scanner は無償でダウンロードできるセキュリティ ツールで、必要に応じてスキャンを実行し、ウイルススパイウェアなどの悪意のあるソフトウェアを削除するのに役立ちます。 このツールは、既存のウイルス対策ソフトウェアと連携します。

メモ: Microsoft Safety Scanner は、ダウンロードしてから 10 日間ご利用いただけます。 最新のマルウェア対策定義を使用してスキャンを再実行するには、Microsoft Safety Scanner をもう一度ダウンロードして実行してください。

Microsoft Safety Scanner は、リアルタイムの保護を実行するウイルス対策ソフトウェア プログラムの代わりに使用することはできません。

ご家庭や小規模ビジネスのコンピューターをウイルススパイウェアなどの悪意のあるソフトウェアから守るのに役立つリアルタイムの保護を実行するには、Microsoft Security Essentials をダウンロードしてください。


MSEはいわゆる通常のウィルス対策ソフトですが、MSRTは特定の種類のマルウェアにすでに感染しているPCをスキャンし、マルウェアを駆除するためのツールです*1。そして、新しい Safety Scannerは MSRTを拡張したのものですが、機能的には MSEのフルスキャンと同じと考えていいと思います。(下のスクリーンショットを見ると、MSRTにそっくりなのがわかります。)

上記の説明にもあるとおり、リアルタイム保護はできませんが、そのかわりにインストールを必要とせず、EXEファイル(msert.exe)単体で動作するようになっています。このファイルはシグネチャを全て含んでいるため、約70MBのサイズがあります。ただしシグネチャを更新する機能はなく、ダウンロードしてから10日間しか有効ではないようです。そのため利用する度に新しくダウンロードする必要があり、ちょっと手間はかかります。


いつも使うツールという位置付けではありませんが、USBメモリなどにコピーして使えるので、マルウェア感染などのインシデント発生時には重宝しそうです。


(スクリーンショット) 上が MSRTで、下が Safety Scanner

f:id:ukky3:20110422103407p:image

f:id:ukky3:20110422103404p:image

*1:毎月 WindowsUpdateで最新版に更新され、バックグラウンドで勝手にスキャンしています。

2011-04-16

HBGaryからのレターの内容

(2011/04/20 更新)

先日の Anonymousによる侵入事件で、会社のメールを大量に公開されてしまった HBGary。巷では、そのメールの内容を元に様々な憶測が飛び交っている。HBGaryはそれに対して公式にはずっと黙ったままだったが、昨日になってオープンレターを Webで公開した。内容を要約するとこんな感じ。

Open Letter to HBGary’s Customers and Cyber Defense Marketplace

  • HBGaryの社内ネットワークは侵入されていない。
  • HBGaryの最も重要な資産は製品のソースコードだが、外部に流出していない。
  • HBGaryと HBGary Federalは関連会社ではあるが、全くの別会社である。
  • 今回の攻撃は、HBGary Federalの元CEOである Aaron Barr氏の調査研究に対する Anonymousの報復によるものだが、HBGaryはこの調査に全く関与していない。
  • HBGaryのメールが流出したのは、単に HBGary Federalと同じクラウドベースのメールシステムを共有していたからであって、むしろ HBGaryは被害者でもある。
  • HBGaryは Stuxnetを開発したりしていない。そういった内容の報道があるが全くの誤解である。もちろんマルウェアの解析はしている。
  • HBGaryは今後もアメリカ政府に対してセキュリティ製品とサービスを提供し続ける。
  • HBGaryは製品の品質向上のために、エクスプロイトの解析や、rootkitの解析および開発を行っている。しかしそれは決して他国を攻撃するためではない。

コメントは差し控えさせていただきます。(^^;


(2011/04/20 追記)

Ars Technicaにオープンレターの内容に関する反論記事が掲載されていた。

HBGary’s open letter: full of denials that don’t hold water | Ars Technica

HBGary, the security firm that saw its servers hacked and its e-mails released after its HBGary Federal offshoot angered the Anonymous hive, published a rather peculiar open letter this past Friday in an effort to address the "large amount of misinformation reported in the press." But the letter makes some questionable claims of its own.

もっともな内容が書かれていて、どちらかと言うと HBGaryのレターよりも説得力がある感じ。

ソーシャルエンジニアリングをユーザー教育によって防ぐことはできない?

(2011/04/21 更新)

セキュリティ企業の Trusteerが最近ブログで公表した調査結果が興味深い、というか非常に頭の痛い問題について取り上げている。

RSA and Epsilon: Research Shows Education Can’t Protect Against New Social Engineering Attacks

While many experts believe that social engineering attacks can be defeated using proper user education, our research has shown otherwise. We have found that a carefully crafted attack will fool most educated users.


最近世間を騒がせている事件(例えば RSAの件)では、社員を狙ってスピアフィッシング攻撃が行われる場合がある。それに対して、社員への教育が有効な対策として語られることがある。怪しいメールは開くな、安易にリンクをクリックするな、といった類のものだ。しかし、Trusteerの調査結果は、洗練された攻撃に対しては、このような教育をいくらやっても効果はないのではないか、という疑問を提示している。


以下、Trusteerの調査の詳細を見てみよう。Trusteerが注目したのは LinkedInFacebookなどの SNSだ。その中から LinkedInをターゲットに選んだ。そして100人のユーザーに実験への協力をお願いした。彼らは社員だったり、家族だったり、友人だったり、いずれもこの種の攻撃に対する知識をある程度持っている人達だ。危険なことは何もないと断わったうえで協力を承諾してもらったが、いつどのような実験を行うかについては説明しなかった。

さて LinkedInでは、ユーザーの知人が新しい職に就くと、ユーザーにお知らせメールが送信される。Trusteerはここに目をつけた。もし知人が、ユーザーの所属する会社の競合相手先に転職したとしたら(そういう内容のメールがきたら)、ユーザーの興味を引くのではないだろうか、というわけだ。そこで、100人のユーザー自身とその知人に関する情報を調査したのち、LinkedInからのお知らせそっくりに偽装したメールを一斉にユーザーに送信した。この偽メールに反応してリンクをクリックすると、無害な Webサイトにアクセスするが、どのユーザーがクリックしたかわかる仕掛けにしておいた。


結果はどうだったか。

  • メール送信から24時間以内に 41人がこのメールに反応してリンクをクリックした
  • 48時間以内にさらに11人がクリックした
  • 1週間以内にさらに16人がクリックし、合計68人がこの偽メールにまんまと引っかかった

ではクリックしなかった残りの32人はどうだったのだろうか。偽装を見破ったのだろうか。Trusteerが32人に確認した結果は次のとおりだった。

  • 16人はそもそもメールを見ていなかった (おそらくスパム判定されたのだろう)
  • 7人は LinkedInからのメールはいつも見ないと答えた
  • 9人はメールは見たものの単に興味を引かなかったのでクリックしなかったと答えた

おわかりだろうか。つまり誰一人として偽装を見破った人はいなかったのである!

SNSの情報を悪用して社員に攻撃をしかけるというのは、標的型攻撃では別に珍しいものではない。そして今回の実験が示すように、このような攻撃に対しては、よく教育されていると思われる人達でも簡単に騙されてしまう。そして一人でも騙すことができれば、攻撃者にとっては十分なのである。(私も同じような攻撃を受けたら、見破れるという自信はない。)

ユーザー教育はやるだけ無駄とまでは言えないが、この種の攻撃に対しては効果的な対策とならないのである。したがって、ユーザー自身に防御を全て委ねるのではなく、技術的な仕組みで攻撃を防ぐこと、攻撃を受けたらすぐに検知できるようにすること、被害を最小限に抑えるための準備をすること、これらがより重要と言えるだろう。


さて一方、日本でも似たような調査を実施した結果が報告されている。JPCERT/CCの ITセキュリティ予防接種調査である。

ITセキュリティ予防接種調査

JPCERT/CC では「予防接種」という疑似標的型攻撃を組織に対して行う手法で社員等のセキュリティ意識を向上し、教育効果を引き上げるというアプローチに着目し、その効果を継続的に調査しています。


予防接種調査には Trusteerの調査と比べて異なる点がいくつかある。

  1. 標的型攻撃と気づきやすいポイントをわざとメールにいれている (つまりそれほど高度な攻撃ではない)
  2. メール配信前に標的型攻撃に関する事前教育を対象者に実施している
  3. メール送信後に種明かしをし、間をおいて別の日に再度メールを送信している (改善率を調べるため)
  4. 業種や規模の異なる 8社に対して調査を行っている

結果の詳細は報告書(PDF)を見ていただきたいが、簡単にまとめるとこんな感じだ。

  1. 少ない企業では数%、多い企業では約半数近くのユーザーがメールの添付ファイルを開封した
  2. 1回目と比べると、2回目の配信では統計的に有意に添付ファイルの開封率が低下した
  3. 性別、年齢、職務などの属性は、開封率と相関はなかった

これらの結果から、予防接種(疑似標的型攻撃による訓練)を受けることによって、メールの添付ファイルの開封率、すなわち攻撃によって被害を受ける可能性を低下させることができると結論付けている。この結論自体はおそらく正しいのだろうと思う。こういった訓練によってリスクを低下させることはできるだろう。

しかしリスクは決してゼロになることはない。どれほどこうした訓練を繰り返したところで、引っかかってしまうユーザーは常に一定数存在する。ましてや、Trusteerが実施したようなより洗練された攻撃を受けた場合には、なおさらそうである。そして先程も述べたように、攻撃者にとっては誰か一人でも引っかかってくれれば、そこを足掛りにして攻撃を継続することができる。

したがって、リスクを低下させる効果があるからという理由で、ただ訓練や教育だけを繰り返していては当然ダメである。攻撃に引っかかってしまうユーザーを減らすことは大事だし、稚拙な攻撃に対してはある程度の効果が期待できる。しかしより高度な攻撃を受けた場合にはもちろん、どんな場合でも攻撃によって被害を受ける可能性は常にある。標的型攻撃に対する備えをするのであれば、攻撃を完全に防ぐことは決してできないという前提にたって、早期に検知する仕組みや、被害を最小限に防ぐための対策にも力を注ぐべきだろう。

(このあたりについては、APTに関する記事でまた触れるつもり。)


(2011/04/17 追記)

誤解されそうかなとあとで思ったのでちょっと補足しておきます。私は予防接種のような取り組みは必要だと考えています。*1 しかしそれは、実際に攻撃を受けたときにメールを開封してしまう確率を下げて、リスクを低下させる効果があるからではありません。コメントにも書いたのですが、予防接種を受けることによって、標的型攻撃に対する組織の耐性が明らかになることがより重要だと考えています。自組織の耐性が低いことを認識して、危機感を持つことができるからです。そしておそらく大半の組織では、想定以上に標的型攻撃への耐性は低いのではないかと推測しています。


(2011/04/19 追記)

今週の The Cyberjungle (Episode 209)に Trusteerの CEOである Mickey Boodaeiへのインタビューが収録されている。

http://datasecurityblog.wordpress.com/2011/04/17/april-18-2011-episode-209/


(2011/04/21 追記)

ちょうどピッタリ(?)の事例が海外で起きた。オークリッジ国立研究所(ORNL: Oak Ridge National Laboratory)が 4/7から攻撃を受けて 4/15-17の3日間インターネット接続を切断して対処したという事件。攻撃者はメールによるスピアフィッシング攻撃をしかけたようだ。記事によると、530人程の従業員がメールを受信し、57人が罠のリンクをクリックし、そのうち 2人が IEの 0day(現在はパッチがある)によってマルウェア感染したとのこと。標的型攻撃への対応の難しさがあらわれている。*2

http://www.theregister.co.uk/2011/04/19/us_lab_security_breach/

http://blogs.knoxnews.com/munger/2011/04/cyber-attack-forces-ornl-to-sh.html

http://www.securitynewsdaily.com/-cyberattack-hits-oak-ridge-national-laboratory-0709/

*1:以前、JPCERT/CCさんに、うちの会社でもやりたいなぁ、と話をしたこともあります。実現しなかったけど。

*2:これも APTが原因と書かれているが、なんでもかんでも APTと言いすぎのような気がする。

2011-04-15

Comodo事件はどのようにして起こったのか?

先月、大手 CAの Comodoが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こった。本記事では、この事件の問題点の整理、攻撃手法の詳細、改善策の状況などについてまとめたいと思う。

何が起こったのか?

Comodo認証局(CA)を運用し、SSLで利用される公開鍵証明書の発行などを行っている大手プロバイダの一つ。security spaceの 2010年3月のマーケットシェア調査によると、9%程でシェア5位につけている。(ちなみに GeoTrust, GoDaddy, Verisignの上位3社で50%以上を占める、寡占業界である。)

その Comodoが 3/23付けの自社ブログにおいて、登録局(RA)の一つが外部から侵入されて、不正なSSL証明書が発行されてしまったことを明らかにした。(侵入が起きたのは 3/15のこと。)

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ (ITmediaエンタープライズ)

http://www.itmedia.co.jp/enterprise/articles/1103/24/news020.html


Comodoから公開されたインシデントレポートによると、発行された証明書は 7つのドメインで合計 9つ。この中には "mail.google.com" "login.yahoo.com" "login.live.com" などの大手サイトが含まれていた。また同レポートでは、イランテヘランにある ISPに割り当てられている IPアドレスから攻撃が行われたことも明らかにされた。そのため事件発覚当初から、イラン政府や Iranian Cyber Armyの関与などが疑われていた。(Iranian Cyber Armyは 2009年末の Twitterへのハッキングで一躍有名になったグループ*1イラン政府が組織したと言われている。*2 )

何が問題なのか?

Comodo CAルート証明書ブラウザ(IE, Firefoxなど)にあらかじめ組み込まれている。だからこそ CAから発行された証明書をブラウザで検証することができる。しかし今回のように正規の CAから偽証明書が発行されてしまうと、原理上は本物と区別がつかない。したがってなんらかの方法(例えば DNSキャッシュポイゾニングなど)で、フィッシングサイトにクライアントを誘導するか、MITM攻撃が行われた場合、見かけ上は本物のサイトにアクセスしているのとなんら変わらないことになる。証明書は正しいものだし、ブラウザはなにも警告を出さない。これでは攻撃を受けていても気がつかないだろう。

不正なSSL証明書(「Comodoケース」) (エフセキュアブログ)

http://blog.f-secure.jp/archives/50581423.html

各社はどういう対応をしたのか?

Comodoは偽証明書が発行されたことがわかると直ちに、対象ドメインの所有者および大手ブラウザ各社に連絡をとった。また発行された偽証明書については失効の手続きをとった。(Comodoのレポートによると、イランのサイトでこの偽証明書が使用されたようだが、その際 OCSPによって「失効」の応答がされた。)

しかし残念ながら、証明書失効リスト(CRL)および OCSPによる証明書の有効性を確認する仕組みは、必ずしも確実というわけではない。(たとえば 2009年に BlackHatで発表された sslstripは MITMによって OCSPを無効にできることを示した。)*3


そこでブラウザ各社は、それぞれ独自の対応をとった。Google (Chrome)および Mozilla (Firefox)はこれらの偽証明書をブラックリストにいれてブロックするための修正を行った。また Microsoft (IE)は更新プログラムを配布し、これらの証明書をローカルの信頼されていない証明書ストアに置くという対応を行った。 *4

このような対応が速やかに行われたため、現在のところ、この偽証明書による被害は報告されていない。

各社の対応

http://www.microsoft.com/japan/technet/security/advisory/2524375.mspx

http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/

http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html

http://my.opera.com/rootstore/blog/2011/03/31/new-cnnic-ev-root-pubsuffix-update-and-some-blacklisted-certificates

http://support.apple.com/kb/HT4608

そもそもどうしてこんなことに?

このような対応が 3/17から 3/24にかけて行われ、事態は収束に向かった。ところが 3/26に思わぬ方向へと展開。Comodo Hackerと自ら名乗る人物が、Comodoへの攻撃の詳細をネット上に公開したのだ。その後、3/31にかけて合計 6通のメッセージを公開。自分が Comodoに侵入して偽証明書を発行した本人である証拠を示し、攻撃方法の詳細を説明するとともに、様々な主張を行った。

不正SSL証明書の発行事件で「犯人」が手口公表 (ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1103/29/news017.html


Comodo Hackerからのメッセージ

http://pastebin.com/u/ComodoHacker


Comodo Hackerへのインタビュー

http://erratasec.blogspot.com/2011/03/interview-with-comodohacker.html


証拠はすぐさま検証され、本人に間違いないことが確認された。メッセージの内容を信じるならば、Comodo Hackerは 21才のイランハッカー暗号の研究をしている学生。今回の事件は彼の単独犯行であり、Iranian Cyber Armyとは何のつながりもないとのこと。また Comodoへの攻撃手口は次のようなものだったらしい。

  1. SQL Injectionにより、Instantssl.it (GlobalTrust.it) ほか2つのComodoリセラー(RA)に侵入
  2. Instantssl.itのサーバ(IIS)に侵入後、脆弱性を利用して SYSTEM権限を取得
  3. RDP (Remote Desktop)でサーバにアクセス
  4. サーバを調べる中で、TrustDll.dllという DLLを発見
  5. TrustDll.dllデコンパイルすると、Comodoのリセラーアカウントのユーザー名とパスワードが埋め込まれていた
  6. このアカウント情報を利用して、API経由で証明書署名要求(CSR)を Comodo CAに送り、偽証明書に署名させることができた

また Comodo Hackerはこれらの他に、なぜ今回の攻撃に至ったのか、その動機を解明する手がかりとなる主張や批判をいくつか行っている。*5

そして、「このような暴挙が行われているのに、世界中の人達はどうしてアメリカを批判しないのか、イランばかりを責めるのか」と憤慨している。(なお上記にあげられた指摘のいくつかは、欧米のメディアでも取り上げられた事件で、どうやら大体は事実らしい。)


これらの主張を額面通りに受け取るのであれば、彼はイランの現体制を支持する熱烈な愛国主義者であり、国際社会に対して断固として戦う姿勢を示している。一人のハッカー愛国心から行動を起こしたのかもしれないし、イラン政府の手先なのかもしれないし、あるいはそう見せかける謀略なのかもしれない。

SSLの問題があらためて浮き彫りになった?

さて今回の事件をきっかけに、あらためて現在の SSL、というか CAモデルの問題が露となり、改善策についての議論が行われている。今回の件に限らず、過去にも不適切な証明書の発行が問題になったことがある。また最近の EFFの報告によると、localhostなど FQDNでない名前で発行されている不適切な証明書が多数あることがわかったという。要するに、CAに依存した現在のモデルがまずいというわけだ。(過去の問題については、この記事が参考になる。)


改善提案についてまとめると、以下の3つの方法が有力視されているようだ。(3番目はおまけ)

(1) DNS-based Authentication of Named Entities (DANE)

(2) Certification Authority Authorization (CAA)

(3) Google Certificate Catalog


(1) DANEは IETFの WGで検討されている方法。ドメインオーナーが SSL証明書に関する情報を DANE用の DNSレコードで公開し、クライアントが検証できるようにするというものだ。現在のドラフトでは TLSAレコードを利用して、証明書そのものまたはハッシュ値を応答することになっている。DNSSECの利用が前提である。

Using Secure DNS to Associate Certificates with Domain Names For TLS

http://tools.ietf.org/html/draft-ietf-dane-protocol-06


(2) CAAは Comodoと Googleが共同で IETFに提案している方法。DANEと少し似ているが、こちらはドメインオーナーが CAに関する情報を CAAレコードとして DNSで公開する。CAAレコードは、そのドメインの証明書がどの CAから発行されるべきかを決める。DNSSECの利用が強く推奨されている(が必須ではない)。

DNS Certification Authority Authorization (CAA) Resource Record

http://tools.ietf.org/html/draft-hallambaker-donotissue-03


(3) Google Certificate Catalogは Googleが公式ブログで提案した方法。Googleは検索サービスなどを提供するために、クローラーを常時動かして世界中の Webサイトをクロールしている。この時、SSL証明書も全て記録しているらしい。そこでこの証明書のハッシュ値をカタログとして DNSに登録し、誰でも参照できるようにしようというもの。というかもう実際にテストサーバが動いているので、certs.googlednstest.comの TXTレコードを参照することでハッシュ値を確認できる。

Improving SSL certificate security

http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html


3番目はおまけとして、DANEと CAAはいずれもドメインオーナー側で証明書のコントロールができるようになっており、仮に CAが自ドメインに関する不適切な証明書を発行してしまったとしても、影響を受けないような仕組みになっている。


一方で、DNSSECの導入による現状の SSLへの改善提案について、反対する意見もある。例えば、著名なセキュリティ研究者である Moxie Marlinspike氏は自身のブログで次のような批判をしている。(彼はさきほど紹介した sslstripの開発者でもある。)

  • DNSSECも CAと同じような階層的な信用の構造をもっており、何も変わらない。
  • DNSSECを使うとなると、次の3つを同時に信用しなくてはならない。すなわち、レジストラTLD (.comなら Verisign)、ICANNである。これらを将来にわたって信用することがはたして正しいことか。
  • 何か問題が起きた場合、速やかに修正できることが大事。(彼は Trust Agilityと呼んでいる。) 現行のCAモデルなら、信用できない CAルート証明書を自分で取り除くことができる。しかしDNSSECになってしまったら、そのようなことは簡単にはできない。Trust Agilityのない解決策に未来はない。

確かにもっともな批判と思われる。彼は代替策の提案を近々するとも書いている。どんな内容がでてくるのか注目したい。いずれにせよ、DNSSECを導入すれば全て解決!というような単純な問題でないことは確かだ。

2011-04-14

Advanced Persistent Threat (APT)とは何か (番外編)

前回の続きをまじめに書こうと思っていたのですが、おもしろい記事を見つけたので、ちょっと脱線して今回は番外編。

SANSで Reverse Engineering Malware (REM)のコースを教えている Lenny Zeltserブログから。

http://media.tumblr.com/tumblr_lj77kb7OTx1qd9o7r.png

Announcing the Certified APT Nerd (CAPTN) Credential

I am pleased to announce the new Certified Advanced Persistent Threat Nerd (CAPTN) credential. This certification program is designed for information security professionals looking to demonstrate their proficiency in APT topics.

なんと APT通(APTバカ、APTオタク)の資格認定をしようというもの。こういうネタ大好きです。(^o^)

前提条件は次のとおり。

The person must:

1. Feel a moderate level of discomfort when hearing the term APT used in marketing literature

2. Have a strong opinion regarding APT being a who or a what

3. Have read both 2010 and 2011 Mandiant M-Trend reports the day they were released

4. Know Richard Bejtlich’s APT characterization by heart

5. Have written a poem, literary essay or fictional short story on the topic of APT

超意訳すると

  1. マーケティングの用語として APTが使われると、イラっとくる
  2. APTの定義にはちょっとうるさい
  3. Mandiatの M-trendsレポートは 2010年版2011年版もリリースされた日に読んだ
  4. Richard Bejtlich氏の APTに関する記事は暗記している
  5. APTについての詩やエッセイなどを書いたことがある

こんな感じでしょうか。前回の記事で紹介した内容が出てますね。わかる人にはわかる、思わずクスっとするネタばかりです。


さらにこれらの条件を満たしつつ、認定されるためには試験(クイズ)にパスしないといけません!なかなか厳しいですね。このクイズ(全部で 5問)もなかなかよくできてて、結構まじめな内容になってます。APT通なら当然全問正解しないと!


# 彼のブログを見ると、APTの漫画とか俳句まであります。こういうユーモアのセンスは見習いたいなぁ。

あなたの Facebookアカウントのパスワードが危い!?

すいません、タイトルは釣りです。(^^)

実は最近、私のところにこんな文面のメールが届きました。

Dear user of FaceBook.

Your password is not safe!

To secure your account the password has been changed automatically.

Attached document contains a new password to your account and detailed

information about new security measures.

Thank you for attention,

Administration of Facebook.

メールの差出人は "Your Facebook" <support@facebook.com> でした。

「えっ、私のアカウントもハクられてしまったか!」と一瞬ドキっとしましたが(してないけど)、まあ落ち着いてよくみると、怪しいところがいっぱい。だいたい添付ファイル(Windowsの実行ファイルを Zipで圧縮したもの)を送ってくるところからして、すでにおかしい。で、いつもだったら、またスパムがきたかと放置して終わりですが、せっかくなので誰にでも簡単にできる範囲で調べてみることにしました。(正確にいうと、通常は勝手にスパム判定されてしまうので、ほとんどこういうメールを目にすることはないです。)


まずはメールのヘッダをみてみると、こんな感じ。(普段は見えませんが、どんなメールソフトでもヘッダを見る機能があるはずです。)

Received: from facebook.com (60-248-249-193.HINET-IP.hinet.net [60.248.249.193])

by xxx.xxx.xxx.xxx with SMTP id XXXXXXXXXXXXXXX;

Facebookからのメールのはずなのに、なぜか別ドメイン(hinet.net)のアドレス。送信元が詐称されていることがわかります。


次に Whoisデータベースでこのアドレスを調べてみます。結果はこんな感じ。

inetnum: 60.248.0.0 - 60.248.255.255

netname: HINET-NET

country: TW

descr: CHTD, Chunghwa Telecom Co.,Ltd.

descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.

descr: Taipei Taiwan 100

admin-c: HN27-AP

tech-c: HN28-AP

status: ALLOCATED PORTABLE

mnt-by: MAINT-TW-TWNIC

mnt-lower: MAINT-TW-TWNIC

changed: hm-changed@apnic.net 20041029

source: APNIC

台北(台湾)にある会社に割り当てられた IPアドレスです。ググってみると、hinet.netは中華電信という台湾最大手の ISPのようです。


次に送信元の IPアドレスGoogle先生で検索してみます。するとただの IPアドレスなのに、何やらたくさんヒットします。

f:id:ukky3:20110414223154p:image


そのうちのいくつかを確認してみます。

f:id:ukky3:20110414223230p:image

かなり長期にわたってスパムメールを送信しているようです。(http://www.projecthoneypot.org/ip_60.248.249.193)


f:id:ukky3:20110414223258p:image

スパム送信ホストとして、様々なブラックリストに載せられているのがわかります。(http://rbls.org/60.248.249.193)

ここまでくれば、このメールの送信元アドレスはスパムメールの常習犯であることがわかります。おそらくは Botnetに感染した PCなのでしょう。


さて次にメールに添付されていた Zipファイルです。そのまま解凍したり実行したりするのは危険です。解析するにはそれなりの環境を準備する必要があります。しかしそういった解析はプロにまかせて、ここではオンライン解析サービスを利用してみましょう。もっとも有名なのは VirusTotalです。怪しいファイルを送信すると、解析して結果を教えてくれます。

今回のメールに添付されていたファイルを VirusTotalに送信してみると、もうすでに解析済みであると表示されました。(つまりこのファイルは他にも広がっていて、誰か別の受信者が先に VirusTotalに送っていたということ。)

f:id:ukky3:20110414223350p:image

40の異なるウィルス対策ソフトで調べたところ、26のソフトがこのファイルをマルウェアとして検出しています。(詳しい結果はコチラから。)


マルウェアのより詳しい動作を調べるために、もう一つ別のサービスにもファイルを送信してみます。(結果はコチラから。)

f:id:ukky3:20110414223451p:image

結果を見ると、このマルウェアはいわゆるダウンローダーというもので、これ自体は特に悪さをしません。そのかわりに、別のサーバーから他のマルウェアダウンロードして実行する機能を持っています。解析レポートを見ると、ロシアにあるサーバーに接続に行っていることがわかります。このあと感染したPCに何がおこるかは、ダウンロードされたマルウェア次第ということになります。


まあこのくらいでしょうか。いちいちスパムが来るたびに毎回こんな手間をかけるわけにはいきませんが、「あれっ、なんか変だぞ?」と思ったら、安易に添付ファイルを開いたり、リンクをクリックしたりする前に、ちょっと立ち止まって考えられるといいですね。


(参考)

このスパムメール、最近流行っているらしく、いくつか記事がでていました。

http://community.ca.com/blogs/securityadvisor/archive/2011/04/13/facebook-password-has-been-changed-not.aspx

http://nakedsecurity.sophos.com/2011/04/13/facebook-password-changed-malware-attack-support/

細かい違いがいくつかあるものの、ほぼ同じ内容のメールのようです。

2011-04-12

セキュリティ関連のポッドキャストいろいろ

日本にも 「セキュリティのポッドキャスト」があった!ということを今日になって知ったわけですが。(^^;

こういう試みはいいですね。応援してます。ぜひ頑張って続けてください。

ところで目を海外に転じてみると、セキュリティ関連のポッドキャストってたくさんあるんですよね。以前どこかに書いたような気がするのですが…どこにも見当たらないので、あらためて書こうと思います。ポッドキャストは隙間時間を有効活用できるし、最新情報のキャッチアップにも使えるし、英語の勉強にもなる、といいことづくめですよね。みなさんにもオススメしたいです。


以下、私がよく聞いているポッドキャストを紹介しますが、一応メインは「セキュリティ」なので、選択にかなり偏りがあることを、あらかじめお断りしておきます。

〜 総合系 〜

Security Now! (更新頻度:毎週 1回 木曜日)

http://www.grc.com/securitynow.htm

GRCの Steve Gibsonと TWiTで有名な Leo Laporteの 2人のプログラム。この分野の老舗中の老舗で、毎週欠かさず更新されており、かれこれもう5年以上続いている、驚異のポッドキャストです。毎回最新のトピックスを紹介しつつ、Steveが特定のテーマについて解説したり、リスナーからの質問に答えたり、盛りだくさんです。私のお気に入りポッドキャストの一つ。1回あたり 1〜2時間と長いので、気軽に聞き流すのがオススメ。でも2人の会話はとても楽しいので、聞いてて飽きることはありません。


SANS Internet Storm Center "Storm Cast" (更新頻度:平日のみ毎日)

http://isc.sans.edu/podcast.html

毎日 5〜10分の短いプログラム。最新のトピックスを簡単に紹介してくれます (isc.sans.orgのネタが多いです)。SANSの主要メンバーである Johannes Ullrichが担当しています。


The CyberJungle (更新頻度:毎週 1回 月曜日)

http://www.thecyberjungle.com/

Ira Victorと Samantha Stoneの 2人のプログラム。以前は Data Security Podcastという名前でした。前半は最新トピックスの紹介、後半はセキュリティ専門家へのインタビューという形式が比較的多いようです。1回 30〜60分程度で内容も聞きとりやすいです。


PaulDotCom Security Weekly (更新頻度:毎週 2〜3回)

http://pauldotcom.com/

Paul Asadoorianを中心とした数人のメンバーで運営されているポッドキャスト。(Paulは Tenableに所属しています。後述)

これもかなりの老舗で 5年以上続いています。多彩なゲストが登場して興味深いネタを披露してくれます。1回 1〜2時間で、長いときにはパート1,2と2回に分けて配信することもあります。比較的ゆるーい感じのポッドキャストでいいのですが、その分会話がくだけているので、正直私の英語力では会話を追うのが大変です。


Security Justice (更新頻度:不定期、月1回程度)

http://securityjustice.com/

クリーブランド(オハイオ州)のセキュリティ専門家のグループが運営しているポッドキャスト。更新がやや不安定です。最近あまり聞いてないです。


Social Media Security (更新頻度:不定期、月1回程度)

http://socialmediasecurity.com/

その名のとおり、FacebookTwitterなどのソーシャルメディアをターゲットにしたプログラムです。Webでは Facebook Privacy and Security Guideなども公開されています。

フォレンジック系 〜

CyberSpeak's Podcast (更新頻度:不定期)

http://cyberspeak.libsyn.com/

フォレンジックを主要テーマにした珍しいポッドキャストフォレンジック専門家がよく登場します。2005年からとこちらも老舗なのですが、数ヶ月更新が滞ったり、そうかと思うと毎週更新されたり、若干不安定です。でもフォレンジックに興味があるなら聞く価値のある内容です。


Forensic 4cast (更新頻度:不定期)

http://www.forensic4cast.com/

こちらもフォレンジックがテーマ。disklabsの Lee Whitfieldが担当。最近聞いてません。

ベンダ系 〜

Tenable Network Security Podcast (更新頻度:毎週 1回)

http://blog.tenablesecurity.com/podcast/

PaulDotComの Paulが Tenableにはいって、新しくポッドキャストを立ち上げ。こちらは Tenable色が強く、Tenableのエンジニアなどがゲストに登場して、Tenableのプロダクトについて解説したりする内容です。もちろん最新トピックスの紹介もありますけどね。PaulDotComと比べると固いです。


他にもベンダ系はたくさんあるのですが、最近あんまり聞いてなくてどんな内容だったか忘れてしまいました。以下、リンクの紹介だけ。


MessageLabs Podcast

http://www.messagelabs.com/resources/podcasts

Sophos Podcast

http://www.sophos.com/security/podcasts/

Malware Report Podcast (ESET)

http://www.eset.com/us/press-center/podcasts

Symantec Security Response Podcast

http://www.symantec.com/podcasts/index.jsp

AudioParasitics (McAfee)

http://podcasts.mcafee.com/audioparasitics/

Speaking of Security Podcast (RSA)

http://blogs.rsa.com/category/podcasts/

学会系 〜

コメントで学会系なるものを教えていただきました。(^^;

Silver Bullet Security Podcast (IEEE)

http://www.computer.org/portal/web/computingnow/silverbullet


(2011/04/20 追記) ベンダ系の RSAと学会系を追加しました。

2011-04-11

Anonymousによる Sonyへの攻撃 (#OpSony, #SonyRecon)

(2011/04/23 更新)

今月初めの 4/3頃から、「Anonymous」による Sonyへの攻撃が断続的に続いている。このエントリでは、攻撃の背景、攻撃の開始から現在までの状況について概観してみたいと思う。

(1) 攻撃の背景

今回の背景にあるのは、PS3ハッキング問題。今年の1月に iPhoneJailbreakなどで有名なハッカー GeoHotこと George Hotz氏が PS3ハッキングに成功。カスタムファームウェアや、Homebrew開発を可能にするための Root Keyなどを公開した。その後、ハーカー達(fail0verflowなど)から様々なツールが公開された。

この動きに対して Sony (正確には SCEA, Sony Computer Entertainment America)はすぐさま反応。1/11に GeoHot氏ほか数名のハッカーを相手に訴訟を起こした。また Sonyが要求した一時的差し止め命令(GeoHot氏などによるツールや情報の公開を防ぐもの)については、1/27に裁判所が認可した。さらに Sonyの要求はエスカレートした。GeoHot氏の WebサイトYoutube, Twitterアカウントなどにアクセスした人物を明らかにするため、IPアドレス情報などを要求。3/6に、なんと裁判所はこれを認めてしまった。(さすがにこれはちょっとやり過ぎだろう。)


(関連URL)

https://www.eff.org/deeplinks/2011/01/sony-v-hotz-sony-sends-dangerous-message

http://jp.techcrunch.com/archives/20110304judge-allows-sonys-request-for-identifying-information-for-anyone-who-visited-hackers-sites/

http://www.wired.com/threatlevel/2011/03/geohot-site-unmasking/

(2) OpSony開始

さてこれら一連の動きに対して黙っていなかったのが Anonymousである。WikiLeaks関連での MasterCardPayPalへのDDoS攻撃HBGaryへの侵入など、以前にも増して最近世間を騒がせることの多いグループだ。(Anonymousはネット上でその目的に賛同して広がる活動そのものであり、特定のグループというのとは少し違うかもしれない。だが、活動を主導する少数のグループがあることは間違いないだろう。活動実態にはまだまだ不明な点が多い。)

Anonymousはその声明の中で、ハッカーが自分で購入したゲーム機ハッキングするのは当然の権利であり、また Sonyがネットの検閲をするなど許せない、自由に対する挑戦である、我々には彼らと断固戦う義務がある、などと述べている。そして Operation Sony (#OpSony)という Sonyへの攻撃作戦を行うことを表明し、支持を呼び掛けた。

http://i.imgur.com/u5iEt.jpg

(上図は Anonymousのプレスリリースからの引用)

Anonymousは主に IRCを利用してターゲット情報などを指示。参加者は LOIC(Low Orbit Ion Cannon)と呼ばれる DoS攻撃ツールでターゲットを攻撃した。この結果、4/3から4/4にかけて、playstation関連の複数のサイトが断続的にダウンしたようだ。


(関連URL)

https://www.infosecisland.com/blogview/12780-Sony-Becomes-Latest-Operation-Payback-Attack-Target.html

(3) 攻撃はさらにエスカレート

ところが Anonymousは DDoSだけにとどまらず、攻撃をさらにエスカレートさせる。4/4からは #SonyReconという別の作戦を展開。これは Sony社員(主に経営陣)の個人情報や家族の情報を収集して公開するというもの(いわゆる doxing)。ターゲットに関する情報を収集するのは当然という口実のようだが、Sony経営陣に対する圧力になることを狙ったものだろう。しかし、IRCのログによると、彼らは社員の自宅に電話をかけたり、ピザの配達を頼んだりといった、ただのいやがらせ行為と思われることまでしているようだ。(ログが単なるネタだという可能性も否定はできない。)

このような状況に対して Anonymous内部で、家族の情報まで公開するのはやり過ぎではないか、これでは Anonymousの活動に支持を得られない、といった声も一部であるようだ。


(関連URL)

http://playstationlifestyle.net/2011/04/04/anonymous-gets-serious-attacks-sony-employees/

http://playstationlifestyle.net/2011/04/06/the-worst-is-yet-to-come-anonymous-talks-to-playstation-lifestyle/

http://arstechnica.com/tech-policy/news/2011/04/anonymous-goes-after-sony-makes-it-personal-very-personal.ars

# PlayStation LifeStyleによる Anonymousへのインタビュー記事はなかなか興味深い内容だ。

(4) 膠着状態へ

さて一方、DDoS攻撃のほうだが、こちらは膠着状態になっている。SonyDDoS攻撃対策サービスを提供する Prolexic Technologiesに支援を依頼したようで、その後は DDoS攻撃にうまく対処しているようだ。Anonymous側も Prolexicを攻略するのは難しいと認めている。(Wikipediaによると、Prolexicは過去にも Anonymousの DDoSへの対応で実績があるようだ。)

また Anonymousは新たに出した声明の中で、 Playstation Network(PSN)への攻撃は今後行わないことも表明した。これは、PSNがダウンしたことで、ゲームユーザーから反感を買ってしまったことが理由だろう。Sonyへの攻撃は続けるが、ユーザーの不利益にはならないようにすると言っている。


(関連URL)

http://www.pcworld.com/article/224462/sony_is_in_for_a_hell_of_a_wakeup_call.html

http://www.ibtimes.com/articles/132333/20110408/anonymous-changes-tactics-against-sony.htm

(5) 4/16抗議行動を呼び掛け

これらネット上の動きとは別に Anonymousは、4/16から 4/17にかけて Sony Storeの店舗において座り込みなどの抗議行動をしよう、と Facebook上で呼び掛けている。これを書いている 4/11時点で、すでに 2,100人を越える賛同者を集めており、まだまだ人数は増えている。(もっともこれらのうち、実際に参加するのがどの程度かはわからない。)


以上が、4/11時点までの主な動きである。Anonymousによる Sonyへの攻撃作戦はまだ現在も進行中であり、今後の動きを注視していく必要がありそうだ。


(4/12 追記)

朝になったら、Sonyが GeoHotと和解したというニュースが。これで収束するんだろうか。

http://www.wired.com/threatlevel/2011/04/sony-settles-ps3-lawsuit/


(4/18 追記)

4/16の抗議行動は実施されたようだ。最終的に Facebookイベントへの参加表明は 4,000人を越えた。中には営業を取り止めた店舗もあったようだが、全体的にみるとそれほど大きな混乱はなかったように見える。


(4/23 追記)

4/20から4/22にかけて、再び Playstation Networkで大規模な障害が発生した。Sonyは外部からの攻撃を示唆したが、Anonymousは関与を否定している。

http://blog.us.playstation.com/2011/04/21/latest-update-on-psn-outage

http://news.cnet.com/8301-31021_3-20056503-260.html?part=rss&subj=news&tag=2547-1_3-0-20/

http://anonnews.org/?p=press&a=item&i=848

http://www.chronicle.su/editorial/hate-editorial/sony-shuts-down-psn-saves-billions-and-blames-anonymous/

どうやら外部から不正な侵入があったもよう。

http://blog.us.playstation.com/2011/04/22/update-on-playstation-network-qriocity-services/


(Anonymous関連サイト)

http://www.anonops.net/

http://anonops.blogspot.com/

http://anonnews.org/

2011-04-06

Epsilonからのメールアドレス大量流出

(2011/04/14 更新)

今月4/1、USの大手マーケティングサービス会社 Epsilonが、E-mailシステムに外部から侵入されて、顧客企業の情報が漏洩したと発表した。*1

残念ながらエイプリルフールではなかった。その後、4/4に情報が更新され、全顧客数(約2,500社)のうちおよそ2%の顧客企業に影響があったことを明らかにした。約50社にのぼるが、それらはいずれも名だたる大手企業ばかり。正確な数字ははっきりしないが、数百万人のメールアドレス情報が流出したと見られている。

Epsilonによるプレスリリースの内容はこちら

IRVING, TEXAS – April 1, 2011 - On March 30th, an incident was detected where a subset* of Epsilon clients' customer data were exposed by an unauthorized entry into Epsilon's email system. The information that was obtained was limited to email addresses and/or customer names only. A rigorous assessment determined that no other personal identifiable information associated with those names was at risk. A full investigation is currently underway.

For Consumer Inquiries in the US and Canada, please call 866-595-4896 or email sbranam@epsilon.com)

For Media Inquiries please contact Jessica Simon (212-457-7135, jsimon@epsilon.com)

Updated April 4, 2011: The affected clients are approximately 2 percent of total clients and are a subset of clients for which Epsilon provides email services.


databreaches.netの記事によると、影響があった顧客は次のとおり。58社がリストアップされている。

1-800-FLOWERS

AbeBooks

AIR MILES Reward Program (Canada)

Ameriprise

Ann Taylor (reported by a recipient but I haven’t seen any copy of it yet)

Barclays Bank of Delaware ( Barclay’s L.L. Bean Visa card)

Beachbody

bebe

Best Buy

Best Buy Canada Reward Zone

Benefit Cosmetics (see below)

Borders (see Comments under this post, but note that Borders denied this to Brian Krebs, so until I see a copy, I consider this one as in question)

Brookstone

Capital One

Charter Communications

Citi (including Citi NTB Card, Citi Home Depot Card)

City Market

College Board

Dell Australia

Dillons

Disney Destinations (The Walt Disney Travel Company)

Eddie Bauer Friends (copy forwarded to DataBreaches.net by recipient)

Eileen Fisher (doesn’t name Epsilon but same template letter)

Ethan Allen

Eurosport Soccer (Soccer.com)

Food 4 Less

Fred Meyer

Fry’s

Hilton Honors

Home Shopping Network (HSN)

Jay C

JPMorgan Chase

King Soopers

Kroger

Lacoste (as per TG Daily)

Marriott Rewards

Marks & Spencer (copy sent to DataBreaches.net)

McKinsey Quarterly

MoneyGram

New York & Company

QFC

Ralphs

Red Roof Inn

Ritz-Carlton Rewards

Robert Half International

Scottrade

Smith Brands

Target (via KrebsonSecurity.com and a site reader who’s getting tired of receiving notices this week)

TD Ameritrade

TIAA-CREF

TiVo

TripAdvisor.com (copy sent to DataBreaches.net by a recipient)

US Bank

Verizon

Viking River Cruises (copy sent to DataBreaches.net)

Visa (Barclays Bank of Delaware/L.L. Bean Visa, BJ’s Visa

Walgreens

World Financial Network National Bank (Victoria’s Secret card, Express card, Catherine’s)


ちなみにこのうちの1つ Krogerには、私も昨年US滞在中にお世話になった。品揃えが豊富で価格も安い大手スーパーマーケットだ。で当然のように私も顧客としてメールアドレスを登録していたので、4/2に Krogerからお詫びのメールが届いた。その内容はこんな感じ。ま、要するにスパムメールが来るかもしれないから、気をつけてね!ってことだね。(^^;

Dear Valued Customer,

Kroger wants you to know that the data base with our customers' names and email addresses has been breached

by someone outside of the company. This data base contains the names and email addresses of customers who

voluntarily provided their names and email addresses to Kroger. We want to assure you that the only information

that was obtained was your name and email address. As a result, it is possible you may receive some spam email messages.

We apologize for any inconvenience.

Kroger wants to remind you not to open emails from senders you do not know. Also, Kroger would never

ask you to email personal information such as credit card numbers or social security numbers. If you receive

such a request, it did not come from Kroger and should be deleted.

If you have concerns, you are welcome to call Kroger’s customer service center at 1-800-Krogers (1-800-576-4377).

Sincerely,

The Kroger Family of Stores


(2011/04/14 追記)

実は Epsilonはパートナー企業の Return Pathから、昨年11月に ESP (Email Service Provider)を標的としたフィッシング攻撃が発生していると警告を受けていたそうだ。

http://www.itnews.com.au/News/253712,epsilon-breach-used-four-month-old-attack.aspx

http://www.returnpath.net/blog/intheknow/2010/11/security-alert-phishing-attack-aimed-at-esps/


(関連記事)

http://www.securityweek.com/massive-breach-epsilon-compromises-customer-lists-major-brands

http://krebsonsecurity.com/2011/04/epsilon-breach-raises-specter-of-spear-phishing/

http://nakedsecurity.sophos.com/2011/04/04/epsilon-email-address-megaleak-hands-customers-customers-to-spammers/

http://www.databreaches.net/?p=17374

http://www.nytimes.com/2011/04/05/business/05hack.html

*1:ちなみに一部で混同しているのを見かけるが、日本のクレジットカード決済代行業者 イプシロンとは無関係だそうである。こちらを参照→http://epsilon.jp/news/20110404.html

2011-04-05

Advanced Persistent Threat (APT)とは何か (Part 1)

前回のエントリーで、RSAへの攻撃手口の詳細について紹介した。RSA顧客向けレターでもブログでも繰り返し、「攻撃は APTによるものだ」と述べている。*1

だが、そもそもこの APTとは何だろうか?


APTは Advanced Persistent Threatの略で、昨年から急にメディアに露出するようになった用語だ。Google Trendsで見てみると、2009年以前にはほとんど見られない。http://www.google.com/trends?q=advanced+persistent+threat&ctab=0&geo=all&date=all&sort=0

f:id:ukky3:20110406094847p:image


では新しい用語なのかと思うかもしれないが、実はそうではない。TaoSecurityで著名な Richard Bejtlichさんによると、2006年頃に US Air Force (合衆国空軍)によって使われ始めたものらしい。*2

Michael Cloppertさんも SANSのブログで同様のことを述べており、どうやらこれは確からしい。


ただ APTという用語が近年ここまで拡がるきっかけになったのは、2010年1月に Googleが公式ブログで明らかにした中国からの攻撃*3、また同じ月に セキュリティ企業の Mandiantが公開した APTに関する詳細なレポート (M-trends)、この 2つがその主な要因だと思われる。


このように APTは、アメリカ合衆国軍隊および防衛産業を中心に、中国を攻撃元と見定めたうえで用いられていた用語である。以下、APTという用語の一般的な定義についてみてみる。

言いだしっぺと一般には思われている Mandiantによる APTの説明はこうだ。(Mandiantの Webより引用)

The Advanced Persistent Threat (APT) is a sophisticated and organized cyber attack to access and steal information from compromised computers. The intruders responsible for the APT attacks target the Defense Industrial Base (DIB), financial industry, manufacturing industry, and research industry. The attacks used by the APT intruders are not very different from any other intruder. The main differentiator is the APT intruder’s perseverance and resources. They have malicious code (malware) that circumvents common safeguards such as anti-virus and they tend to generate more activity than wanton “drive by hacks” on the Internet. The intruders also escalate their tools and techniques as a victim firm’s capability to respond improves. Therefore, the APT attacks present different challenges than addressing common computer security breaches.


また最近リリースされた M-trends 2011レポートでは次のように述べている。(レポート p.1脚注より引用)

The Advanced Persistent Threat (APT) is a term used to describe a specific group of threat actors (multiple cells) that have been targeting theU.S. Government, Defense Industrial Base (DIB) and the financial, manufacturing and research industries for nearly a decade. Mandiant doesnot use this term in its diluted sense ― as a generic category of threats. As increased awareness of the APT blossomed from Google’s publicdisclosure of the attacks in early 2010, and explosive marketing around “Operation Aurora”, organizations less familiar with the APT created amore diluted definition of the term APT, and changed its meaning to “advanced and persistent threats”. Mandiant considers the APT a type of“targeted attack”. The threat detection and response capabilities we describe will combat targeted attacks.


GovInfoSecurityによると NIST(米国国立標準技術研究所)による定義もある。2011年3月に公開された NIST SP800-39 Managing Information Security Risk: Organization, Mission, and Information System View の Appendix Bでは、APTという用語を次のように定義している。(NIST SP800-39 Appendix B GLOSSARYより引用)

An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future. The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives.


日本語によるきちんとした説明は少ないが、いくつか紹介する。

セキュリティ企業の McAfee2011年の脅威予測の中で APTを取り上げており、その定義について次のように述べている。(「2011年の脅威予測」レポートから引用)

一般に理解されている APT の定義は「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の指示または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為または妨害工作」というものです。すべての APT 攻撃が高度な技術を駆使するわけではなく、複雑かつ巧妙なターゲット攻撃が APT 攻撃であるとは限りません。APT 攻撃がサイバー犯罪ハクティビストと大きく異なる点は、巧妙さや被害の範囲ではなく、攻撃側の意図にあります。


また先のエントリでも紹介したが、セキュリティ企業の LACはCSLレポート「サイバー産業スパイの実態」を公開しており、APTの実態について説明している。コンピュータセキュリティ研究所の岩井所長へのインタビュー記事では、APTについて次のように述べている。(インタビュー記事より引用)

従来のサイバー攻撃は、不特定多数に攻撃を仕掛けて隙のあるサイトを見つけ出して攻撃を行う、「数打ちゃ当たる」といったものでした。それに対してAPTでは、「攻撃対象の限定」「ソーシャルエンジニアリング」「スパイ活動」という以下3つの攻撃を複合的に組み合わせて行います。より狙い撃ちする傾向を強化し、成功率を高めている攻撃と言えるでしょう。

(1)攻撃対象の限定:業種、企業、部署、個人レベルで攻撃対象を特定している

(2)ソーシャルエンジニアリング:相手の「心理的な隙」や「行動ミス」などの盲点を突く様々な方法で、対象の個人情報を事前調査している

(3)スパイ活動:被害先企業の内部でしか知りえない、実際の議事録等、人事異動表などの情報を「餌」に攻撃を仕掛けてくる


Mandiantは APTを標的型攻撃のひとつと考えており、攻撃手法が特殊なのではなく、攻撃者の動機や豊富なリソース、そして長期にわたる活動などをその特徴としている (他の定義もこれに近い)。M-trendsの注釈を読むと、APTが最近さまざまな意味で広く使われていることを苦々しく思っているのかもしれない。実際、今やマーケティングなどでも使われるバズワードになりつつある感じもする。

もっとも Mandiantによる APTの定義を皆が受け入れているかというと、そうでもない。もっとより広い概念として捉えるべきだと考えている人もいるようだ。(たとえばコレ)


ということで長くなったので、続きは Part 2で。

*1RSAの顧客向けレターから引用する。Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

*2:ちなみに Richard Bejtlichさんは最近 GE-CERTから Mandiantに CSOとして移籍した。

*3:この攻撃は後に Google以外の多数の企業に対しても行われていたことが明らかとなった。一連の攻撃は Operation Auroraと呼ばれている。

2011-04-02

RSAへの攻撃の手口 (APT)

Anatomy of an Attack http://blogs.rsa.com/rivner/anatomy-of-an-attack/


RSAAPT(Advanced Persistent Threat)によって外部から侵入され、SecurIDに関する情報が漏洩した可能性があることを顧客向けレターで報告したのが、3/17(木)のこと。そして昨日(4/1)、RSA社のブログで、その攻撃手口の詳細が明らかにされた。

  • 最初はRSA社の社員に対するスピアフィッシング攻撃が行われた。攻撃者は2つの社員グループに2日間で異なる2つのメールを送信した。この社員グループは特に注目されるような重要な地位にあるわけではない、一般社員たち。
  • メールのサブジェクトは "2011 Recruitment Plan" (2011年の採用計画)。メールにはファイル名が "2011 Recruitment plan.xls"というExcelファイルが添付されていた。
  • Excelファイルには Adobe Flashの 0day脆弱性 (CVE-2011-0609)を利用したエクスプロイトコードが含まれていた。これにより、被害者の PCにバックドアが仕込まれた。*1
  • 攻撃者は次に Poison Ivyというリモート管理ツールの亜種をインストールして、このPCの制御を乗っ取った。*2
  • 侵入されたPCは、外部にあるC&Cサーバに接続して攻撃者からの指令を受信し、様々なコマンドを実行した。
  • 攻撃者は侵入したPCでネットワークの盗聴などを行い、さらに高いレベルの社員のユーザー情報(ID、パスワードなど)を収集した。
  • 収集した情報を利用して、攻撃者は狙っていたサーバに侵入して情報を取得した。(おそらく SecurIDに関するもの)
  • 取得した情報はパスワード保護された RARファイルに圧縮され、FTPで外部のサーバに送信された。この外部のサーバホスティング業者のもので、攻撃者によって侵入されたものらしい。
  • 攻撃者はこの外部サーバから必要な情報を取得したのち、全ての痕跡を消した。
  • この攻撃者に関係すると思われる 3つの URLは次のとおり。Good[DOT]mincesur[DOT]com | up82673[DOT]hopto[DOT]org | www[DOT]cz88[DOT]net

上記を読む限り、典型的な APTの攻撃パターンに見える。

なお日本における APTの被害実態についてはあまりよくわかっていないが、最近 LAC社が大変参考になる調査レポートを出している。一読をオススメする。

CSL Report サイバー産業スパイの実態 http://www.lac.co.jp/info/rrics_report/csl20110323.html


(4/4追記)

APTに関して参考までに。この用語を広めた MANDIANT自身は、標的型攻撃の一つとして非常に狭い意味で APTを定義している。以下、M-trends 2011レポートからの引用。

The Advanced Persistent Threat (APT) is a term used to describe a specific group of threat actors (multiple cells) that have been targeting the

U.S. Government, Defense Industrial Base (DIB) and the financial, manufacturing and research industries for nearly a decade. Mandiant does

not use this term in its diluted sense — as a generic category of threats. As increased awareness of the APT blossomed from Google’s public

disclosure of the attacks in early 2010, and explosive marketing around “Operation Aurora”, organizations less familiar with the APT created a

more diluted definition of the term APT, and changed its meaning to “advanced and persistent threats”. Mandiant considers the APT a type of

“targeted attack”. The threat detection and response capabilities we describe will combat targeted attacks.


(関連記事)

http://www.computerworld.jp/topics/vs/191111.html

http://www.theregister.co.uk/2011/03/24/rsa_securid_news_blackout/

http://isc.sans.edu/diary.html?storyid=10609

http://isc.sans.edu/diary.html?storyid=10645

*1:この攻撃が行われた時点では 0dayだったが、その後 Adobeからパッチがリリースされている。

*2Poison Ivyは他の APT攻撃でもよく利用されるツール