Category: ニュース | Page 32 | カスペルスキー公式ブログ

日本発の情報セキュリティ国際会議「CODE BLUE」

2014年2月17日～18日、情報セキュリティ国際カンファレンス「CODE BLUE」が東京で開催されました。国内外から400人を超えるセキュリティ専門家らが集まり、2日間を通して講演者による発表と意見交換が行われました。

セキュリティのプロが集うSecurity Analysts Summit：初日

Kaspersky LabのカンファレンスSecurity Analysts Summitにはセキュリティ専門家や警察関係者などが多数参加しました。初日のセッションやパネルディスカッションの様子をお伝えします。

「Backdoor.Win32.Miancha.*」の技術情報

先日、GOM Playerの正規更新機能を悪用したマルウェア「Backdoor.Win32.Miancha.*」について、技術情報の要望を数多く頂戴しました。そこで、Securelistのブログ記事を日本語化して掲載いたします。

サイバー犯罪、1月の主要な刑事訴追

2014年、世界の警察はすでに多くのサイバー犯罪者を捕らえました。リベンジポルノWebサイトの運営や、Bitcoinによるマネーロンダリングなど、この数か月間の主な事件で逮捕されたサイバー犯罪者を紹介します。

1か月の人気記事まとめ：1月

新たな1か月が過ぎ去っていきました。セキュリティニュースやお役立ちヒントなど、さまざまなジャンルの記事をお届けしてきましたが、読み飛ばした記事のある方のために今回も1か月の間に人気の高かった記事をまとめました。話題のBitcoinから、Web改ざんの脅威、ソーシャルエンジニアリングやカスペルスキー製品の受けた栄誉まで。

投票：ITセキュリティに対する脅威のうち、一番分かりにくいのは？

ITセキュリティを脅かすものは、いろいろあります。ボットネット、フィッシング、なりすまし… 一番なんだかわかりにくいのはどれですか？

広告ブロックツールAdblock Plus、ついにSafari版が登場

人気の広告ブロックツールAdblock PlusがついにSafariにも対応しました。現在はまだベータ版ですが、Macユーザーにも信頼できる広告ブロック機能が提供されることになります。

カスペルスキー製品、第三者機関のテストで再び栄誉に輝く

カスペルスキーインターネットセキュリティ 2014とKaspersky Endpoint Security for Businessが、Dennis Technology Labsが2013年10～12月に実施したテストにおいてAAAの評価を受けました。

GOM Playerの更新機能を悪用したマルウェア

GOM Playerの更新を悪用して入り込むマルウェアが話題となっています。カスペルスキー製品では、このマルウェアを検知します。

AV-Comparatives-Product of the Year 2013

カスペルスキーインターネットセキュリティが「Product of the Year」に

カスペルスキーインターネットセキュリティは、第三者テスト機関AV-Comparativesの2013年間最優秀賞(Product of the Year 2013)に選ばれました！

投票：あなたのデバイスのうち、オンラインの脅威に対して一番弱いのは？

さまざまなタイプのデバイスをお持ちの人も多いでしょう。その中で、オンラインの脅威に対して一番ぜい弱なのはどれだと思いますか？

Kaspersky Lab、No.1の防御力を評価される

カスペルスキーインターネットセキュリティ 2014およびKaspersky Endpoint Security for Businessは、その防御力を第三者機関AV-TESTより高く評価されました。

Starbucks、モバイルアプリのぜい弱性を速やかに修正

StarbucksのiOS向けモバイルアプリに、個人情報の漏えいの恐れがあるバグが含まれていると報じられました。しかしStarbucksは、このぜい弱性をいち早く修正しています。

世界的な大手銀行が提供し、幅広く利用されているiOS向けバンキングアプリの多くに、データの盗難や口座の乗っ取りの恐れのあるバグが含まれています。具体的には、豊富な知識を持つ攻撃者なら、中間者攻撃によってユーザーのふるまいを監視し、セッションハイジャック攻撃でユーザーの口座を乗っ取りメモリ損壊の問題を発生させることで、システムクラッシュやデータ漏えいを引き起こすことが可能です。こうしたぜい弱性によって、ユーザー認証情報を盗まれ、オンラインバンキングの口座に不正にアクセスされる可能性があるのです。セキュリティ企業IOActiveに所属するアルゼンチンの研究者、アリエル・サンチェス（Ariel Sanchez）氏は、世界の大手銀行60行の40のモバイルバンキングアプリを対象に一連のテストを実施しました。テストでは、各アプリのデータ転送メカニズム、ユーザーインターフェイス、ストレージプロセスのセキュリティ分析が行われたほか、コンパイラやバイナリといった複雑なものも分析されています。サンチェス氏は、エクスプロイトの恐れがある一連のぜい弱性を発見しました。「相応のスキルを持つ者なら、この情報を使ってバグを見つけ出すことができるでしょう。そのバグを調べてエクスプロイトやマルウェアを開発し、影響を受けるバンキングアプリのユーザーを攻撃できるかもしれません。これはセキュリティの潜在的な脅威の第一段階と言えます。」（サンチェス氏）このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます IOActiveは、これらのぜい弱性を各行に報告したとしています。サンチェス氏によれば、現時点ではどの銀行からも、このセキュリティ問題にパッチを適用したという報告はないそうです。各アプリのバイナリコードの静的分析で発見された最も憂慮すべき問題は、ハードコードされた開発認証情報がバイナリに大量に埋め込まれていることだとサンチェス氏は言います。つまり、ぜい弱性を抱えたさまざまなバンキングアプリ（アプリ名は公表されていません）に、マスターキーだとわかるようなものが含まれているのです。これらのハードコードされた開発認証情報は、開発者がアプリの開発インフラストラクチャにアクセスするためのものですが、攻撃者にも同じレベルのアクセス権を与えてしまう恐れがあります。「このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます。」（サンチェス氏）この問題の一端は、多くのアプリが暗号化されていないリンクをユーザーに送信していること、あるいは、情報を暗号化するときにSSL証明書を適切に検証できていないことです。このようなふるまい（サンチェス氏は、アプリを開発した人の単純な見落としが原因としています）のために、顧客が中間者攻撃のリスクにさらされ、フィッシング詐欺の一環として悪質なJavaScriptやHTMLコードを注入される恐れがあります。サンチェス氏が発見したこれらの問題をさらに悪化させているのが、分析対象となった銀行の70%が2段階認証を導入していないことです。同氏は次のように述べています。「必要なのは、アプリのバイナリと、コードを復号するためのツール、コードを逆アセンブルするツールだけです。こうしたアプリのコードの復号化と逆アセンブルの方法について説明する文書は、大量に公開されています。特に専門知識がない人でも、ある程度時間をかければ簡単に読み進めていくことができます。」 IOActiveは、良い面と悪い面の両方について責任があります（ただし、ほとんどは良い面です）。良い面は、該当する銀行名と具体的なぜい弱性を公表しなかったことです。ぜい弱性についての詳細な情報が公開されれば、ユーザーの口座を狙うために必要な情報が攻撃者の手に渡ることになるかもしれません。悪い面は、どの銀行とアプリがぜい弱性を抱えているのかわからないため、誰を、あるいは何を信じていいのかわからないことです。もちろん、極めて注意深い人は、これらの問題が確認されて解決されるまで、モバイルバンキングアプリの使用を控えるはずです。しかし、多くの人はそうしないでしょう。したがって当面は、銀行から2段階認証が提供されている場合は必ず設定するようにしてください。他にも、バンキングアプリのリンクを辿る際に注意し、フィッシングメッセージを警戒して、銀行口座に目を光らせる必要があります。

CESに見るセキュリティとプライバシーの展望

ありのままをお伝えしますと、Kaspersky Labは今年、ラスベガスで開催のConsumer Electronic Show（CES）に人員を派遣しませんでした。よくご存じない方のために説明すると、CESとは基本的に、最新の素晴らしい技術革新と製品のすべてを紹介する年1回開催の展示会です。この報道機関と業界関係者限定のイベントにKaspersky Labは参加していませんが、その様子を本国から注視していました。我々が読んだ記事によると（意外なことは何もありませんが）、「モノのインターネット」が広い範囲に拡大しつつあり、ウェアラブルデバイスなどのネット接続デバイスの新製品が続々と登場しています。こういった製品を購入して使用している人にとっては残念ですが、プライバシーやセキュリティの管理機能は、「箱から出してそのまま使える」状態にはなっていないようです。 CESではさまざまな電子機器が発表されています。冷蔵庫やオーブンなど、データを収集するスマート家電をはじめ、Bluetooth対応の料理用温度計、ワイヤレスのアラームシステムや照明コントロール、Skypeに接続するベビーモニター、さらには、自動車メーカーAudiが開発し、車内でWi-Fi対応ディスプレイとして使用されるAndroidタブレットなど、多岐にわたります。今年のCESで登場した製品には何一つ驚きがありませんでした。IT業界で長きにわたって確立されたトレンドの進化が披露されただけで、その目的は、日常生活で使うあらゆるものをインターネットに接続してデータを収集することです。しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス（トイレ？）もハッキング可能だと学んだのです。Androidデバイスと同プラットフォームのぜい弱性を標的とするマルウェアの増加は言うまでもありません。しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス（トイレ？）もハッキング可能だと学んだのです政府による監視が次々と明らかになり、IT大手がそうした監視プログラムに対してこれ見よがしの反応を見せていることを考えると、IT企業が今までよりユーザーのプライバシーに立ち入った新製品をプッシュしていることにも、ちょっとした驚きを感じます。それに、米国家安全保障局（NSA）のスパイ行為の発覚によって世界中で抗議の声が上がっているというのに、消費者が列を作ってこうした製品を買うということにも同じような驚きがあります。セキュリティ企業Fortinetの企業広報担当ディレクターであるクリス・マッキー（Chris McKie）氏は、最近のブログ記事で、「ビッグデータ」は「超大質量データ」になりつつあると指摘しました。マッキー氏は続けて、犯罪者がデータを通貨として使う環境においては、大量のデータ収集に伴って巨大なリスクが生じると書いています。「一部のぜい弱性は取るに足らないものかもしれません。確かに、『スマートトースター』をハッキングしたところで、トーストが燃えるくらいでしょう。しかし、別の脅威はどうでしょうか。たとえば、ネットに接続された自動車がハッキングされると、生命が脅かされる恐れがあります。問題は、こうした新しいスマートデバイスがハッキングされて脅威に晒されるかどうか、ということではありません。我々が業界として、こうしたすべての接続型デバイスに関するリスクをどうやって軽減していくのか、という問題なのです。」（マッキー氏）しかし、これに関して私たち消費者にできることはあるのでしょうか？新製品を一切買わず、インターネットの強力な影響が及ばない離れた場所に移り住むことはできます。でも、私は個人的にインターネットが好きですし、正直に言うと、CESではとてもクールな製品も発表されたと思っています（私の注目株はT-Mobileです）。そのため、下調べをするのが一番だと思います。セキュリティとプライバシーの強力な機能セットを提供する企業を高く評価し、これに関して選択肢のない企業の製品は利用しないようにしましょう。また、これから冬、春、夏とさまざまなカンファレンスの開催が予定されており、Kaspersky Dailyではもちろん取り上げていきます。引き続きご注目ください。ハッカーも研究者も、新たに登場するデバイスのセキュリティを突破しようと、考えうる手段を総動員するであろうことは、疑う余地がありません。