ChromeとSafariブラウザに影響する新たなランサムウェア

この７月に、ブラウザウインドウをロックし、FBIと称してロック解除したければ$300払えと脅す大量のポップアップウインドウを表示するSafariブラウザを標的にしたランサムウェアが報告されました。このランサムウェアは、ユーザのシステムに被害を与えませんでしたし、簡単に回避できました。この気に触るいたずらが再登場したのですが、今回は、SafariブラウザだけでなくChromeにも影響します。

それぞれのブラウザで、このランサムウェアを除去するには、いくつかの方法があります。

Google Chrome

Google Chromeの場合、次の２種類の方法のいずれかでChromeからこの脅威を除去することができます:

1. Terminalで新しいキャッシュディレクトリを作成

Terminalで次のコマンドを打ち込み、新しいキャッシュディレクトリを使ってChromeを開きます:

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome –disk-cache-dir=/tmp

続いて、Chromeを終了し、次のフォルダ内のファイルを削除します:

~/ライブラリ/Caches/Google/Chrome/Default/

2. Chromeの関連データを消去

次のURLを入力します:

chrome://settings/clearBrowserData

続いて、このランサムウェアに関連すると思われるすべてのデータを消去します。

Safari

Safariブラウザの場合、次の２種類の方法のいずれかでSafariからこの脅威を除去することができます:

1. Safariをリセット

Safariメニューから「Safariをリセット」を選びます。この方法でSafariは問題なく開くようになります。ただし、多くの履歴情報や保管されていたデータも消去されます。

2. 強制終了 + Shiftキーを押したままSafariを再起動

もう一つの方法は、Safariを再起動する際にShiftキーを押していることで、クラッシュ後にウインドウを開く機能を抑制するものです。

まず、Appleメニューから「強制終了」を選んでSafariを選ぶか、CommandキーとOptionキーとEscキーを押して同じダイアログを呼び出すことで、定石通りSafariを強制終了します。

次に、Shiftキーを押したままSafariを再起動することで、直前に開いていたウインドウを開くことなくSafariを再起動させます。

なお、このランサムウェアを見つけたら、さらに分析を行いたいと思いますので、ぜひ該当するファイルをsample@virusbarrier.comへ送ってください。

このような事件が起きると、悪人からデジタルライフを守るには、何層にも及ぶ複合的なセキュリティ対策が重要であることが分かります。Integoは、セキュリティの階層構造を構築するためのMac用のアンチウイルスとセキュリティソフトを提供しています。この戦略を採用することで、お使いのマシンがサイバー犯罪者にとって労力に見合わない（だから興味を持たれない）標的となります。 Intego Mac Premium Bundleのような最先端のセキュリティソリューションで、お使いのMacをマルウェア、ネットワーク攻撃、スパイウェアなどから守りましょう。

Posted on September 26th, 2013 by Lysa Myers

標的攻撃で使われるクロスプラットフォームのバックドアトロイの木馬

セキュリティ研究者は、Mac OS XおよびWindowsの両方を対象にした標的攻撃の 一部と考えられる３ヶのアプリケーションに偽装されたトロイの木馬を発見して VirusTotalに投稿しました。これらのトロイの木馬は、感染したユーザのシステ ムでバックドアとして動作します。商用アプリケーションに偽装したファイルの 見た目で、ユーザを引っ掛けようとしています。

下図のファイルが実行されると、攻撃者からの命令を待機するため、それぞれ指 令管制サーバに接続しようとします。

AppDelete.app.zip

SHA1         : 8bbbc10bf35ac5c9ba768462cbf864713ff740fe


Img2icns.app.zip

SHA1         : 14bc618b68e17a1ed79bb786e7d33efe21c03b84


CleanMyMac.app.zip

SHA1         : 6819dd010b463d30cc94b33547bb4c2d95dd672f



各アプリケーションフォルダには、.launchd.appという名前の不可視のバックド アがあります。このファイルは、ユーザがトロイの木馬アプリケーションをダブ ルクリックするとユーザのホームフォルダにコピーされると共に開かれます。こ のとき、トロイの木馬アプリケーションのリソースに埋め込まれている偽装に使 われたアイコンに対応する本来の商用アプリケーションも開くことで、その一連 の動作を隠します。

.launchd.appというアプリケーションは、指令管制サーバと通信する簡単なキー ロガーを内蔵しています。LaunchAgentを作成することで、バックドアであ る.launchd.appをログインの度に自動起動します。

• ~/ライブラリ/LaunchAgents/apple.launchd.plist

また、バックドアがはじめて起動した際に、商用アプリケーションからバックド アファイルを削除することで、トロイの木馬の痕跡を隠そうとします。そのた め、一度起動してしまうと、バックドアがどこから来たのか、感染したユーザに は判断できません。




Mac用の亜種は、署名コードがない64bitコードを使っており、OS Xの10.7および 10.8でだけ動作します。

OSX/Leverage同様に、バックドアが起動すると、このトロ イの木馬もDockアイコンおよびCommand+tabキーによるアプリケーションスイッ チから自身を隠すため、ユーザに気付かれません。

トロイの木馬ファイルには、著作権情報がありますが、おかしな文字が使われた り、Appleが小文字だったり、出来はよくありません。その点から見ても、偽装 に悪用された本来のアプリケーションの作者が用意したものではないことが明ら かです。



Intego VirusBarrierは、最新のマルウェア定義ファイルで、このマルウェアを OSX/Icefog.Aとして検出してユーザを保護します。なお、一 般のユーザにも感染する可能性はありますが、標的攻撃と考えられますので、そ の危険度は低いでしょう。

Posted on September 27th, 2013 by Lysa Myers

Siriを使ったロック画面のバイパス

最初は、コントロールセンターを使ったロック画面のバイパス方法 でした。次は、緊急電話によるバイパス方法でした。そして今度は、Siriの出番です。新しいiOSに対して、これだけ続けてバ イパス問題が発覚したのは初めてでしょう。こんなに簡単に他人の携帯電話をい じれるならば、高解像度で汚れのない指紋を用意してまでTouchIDをハッキングする必要もないですね。

今回のSiriを利用したロック画面バイパスは、過去のバイパス方法の中でも「最 高」のものです。研究者は、Facebook、Twitter、メッセージ、そして電子メー ルにアクセスできただけでなく、電話をかけることもできたのです。さらに、通 話履歴、連絡先、そして保存されたマップロケーションも表示できます。しか も、これで終わりではありません！　この脆弱性は、iOS 6にも存在しているの です。

現時点で可能な対策は、いくつかの機能を無効にすることです: 設定アプリを開 いて「一般」設定内の「パスコードロック」を開いてください。そこでロック中 のSiriへのアクセスを無効にします。同時に「コントロールセンター」設定で、 「ロック画面でのアクセス」を無効にしてください。セキュリティについて注意 深い人なら「通知センター」設定で、ロック画面での通知センターへのアクセス も無効にするべきでしょう。 Posted onSeptember 24th, 2013 by Lysa Myers

実は良い知らせ！ AppleのTouchIDスキャナがハッキングされました

この週末、Chaos Computer Club（CCC）は、ユーザの指紋の高解像画像を作成し て偽の指として使うことでiPhone 5sをアンロックできるAppleのTouchIDが使う指紋スキャナをバイパスする方法を 見つけました。今朝の時点では、CCCが公開した動画は、その回避技術を証明す るものと考えられています。TouchIDがハッキングされたことで、CCCはちょっとした お金を稼ぎ、祝杯をあげていることでしょう。

このハッキングを受けて、生体認証が「適切でなく」かつ「馬鹿げている」とす るCCC自身の発表を含め、多くのメディアがTouchIDは使い物にならないと書いて います。Chaos Computer Clubは、なぜそう考えるのか、その理由と共に説明し ています。CCCのスポークスマンであるFrank Rieger氏は、次のように述べてい ます:

我々は、これで人々が指紋認証に対して抱いている幻想から目 覚めるものと期待しています。自分で変更することができないのに、毎日そこら 中に残している証拠を、セキュリティキーとして使うことは馬鹿げていると言わ ざるを得ません。

言っていることは正しいです。しかし、これはセキュリティとは、完璧でなけれ ばならない、あるいはほぼ完璧でなければならない、という視点に立っていま す。以前も触れましたが、この考えは必ずしも正しいとは言えません。

AppleがTouchIDを従来の指紋認証スキャンより先進的だと言っているのは確 かですが、絶対確実であるとは明言していません。上記のリンクでは、Apple は、誰を対象にその指紋認証を提供したか明らかにしています: パスコードを全 く使わないユーザや簡単なパスコードを使う人々です。この点において、 TouchIDの効果は、先週から変わっていません。面白いことに、そこでは、すで にAppleの技術の先進性の秘密が高解像度にあることも示されているのです。

TouchIDは、高度な敵からユーザを守るものではありません。携帯電話をロック するための認証技術を使う人を増やすことで、この端末が泥棒の主要な標的にな ることを防ぐことが目的です。ハッキングできるかどうかということなら、確か にハッキングできるのでしょう。しかし、私は、今回のハッキングによって、 Appleが速やかにパスコードと指紋認証スキャンの併用を実現すると予想し ています。それこそが、本当に素晴らしいニュースです！

Posted on September 23rd, 2013 by Lysa Myers

緊急電話画面からどこにでも電話できるiOS 7のバグ

新しいオペレーティングシステムが公開された直後には、思いがけない問題が見 つかるのが常です。昨日の、ロック画面バイパス問題の発見もそうですね。そして今日 は、ポーランドの研究者が「緊急電話」画面からどんな番号へ も電話できる方法をデモする動画をブログに投稿しました。


iOS 7には、なくしたり、盗まれた端末のセキュリティを向上させる便利な機能 がたくさんありますが、残念なことに、泥棒が端末に侵入しなくても電話を使え てしまう多くのバグがあるようです。数ヶ月前に、Appleは、アクティベーションロックをバイパスできるかどうか試す ために、iOS 7がインストールされたiPhone 5を専門家グループに提供しまし た。しかし、その際の試験では、前出のロック画面と「緊急電話」の問題は見逃 されてしまったようです。 現状、このバイパス方法への対策はなさそうですから、Appleがすぐに対応して アップデートを公開することに期待しましょう。 Posted on September 23rd, 2013 by Lysa Myers

トロイの木馬、Leverageに対応してAppleがXProtectマルウェア定義ファイルを アップデート

新たなトロイの木馬、Leverageの登場を受けて、Apple は、同社のXProtectマルウェア定義ファイルのアップデートを公開しました。こ のトロイの木馬の新たな亜種は、OSX.Leverage.Aとして検出されます。

Intego VirusBarrierは、最新のマルウェア定義ファイルで、このマルウェアを OSX/Leverage.Aとして検出してMacユーザを守ります。なお、 AppleのXProtectは、基本的にSafari、Mail、およびiChatなどAppleのソフト ウェアがダウンロードしたファイルに対してのみ動作しますが、VirusBarrierで あれば、どのアプリケーションがダウンロードしたファイルでも対応できます。 現時点では、このトロイの木馬がどのような方法で送られてくるか分かっていな いため、今回のXProtectのアップデートの効果があるかどうか、断言はできない 状況です。

Posted on September 20th, 2013 by Lysa Myers

Appleの機能でファイルやフォルダを暗号化する

以前約束した通り、ファイルの暗号化について触れる時が来ました。この記事では、AppleがOS Xで提供している機能を使ってファイルやフォルダを守る２通りの方法を取り上げますが、それぞれ元々は異なる目的のために用意された機能を使います。

一つ目は、ディスク全体の暗号化を目的とするFileVaultを使います。この機能は、暗号化したいファイルだけを含むフォルダからディスクイメージを作成するためにも使えるのです。二つ目は、プリント時の「PDFとして保存」機能を使います。この機能は、他のOSを使うユーザとファイルを共有するために標準ファイル形式のファイルを作成する機能ですが、ファイルをパスワード保護するオプションがあり、オリジナルのファイル形式にパスワード機能がなくてもその保護を強化することができるのです。

FileVault

ここからの手順は、暗号化するフォルダの準備がすでにできていることを前提としています。まだフォルダが用意できていないなら、用意してから読み進んでください。いつまでも待ちますよ ― 準備できましたか？ では、始めましょう。

暗号化の冒険に旅立つには、まずディスクユーティリティが必要です。ディスクユーティリティを知らない場合は、Spotlightを使って簡単に見つかりますが、Finderでアプリケーションフォルダ内のユーティリティフォルダを開いても見つかります。

アプリケーションを開いたら、ファイルメニューの「フォルダからのディスクイメージ」を選びます（あるいはshiftキー、commandキー、Nキーを同時に押します）。

用意したフォルダを見つけて選択します。

暗号化の方式を選んで保存します。すると下図のように暗号化された新規ディスクイメージのパスワードを指定するように促されます。

できあがったディスクイメージを開けば、中に保管されているファイルは通常通りに使用できますが、イメージを閉じれば暗号化されます。

PDFとして保存

ここでも、暗号化したいファイルが既にあることを前提としています。この機能は、PDFに「保存」するオプションが利用できさえすれば、あらゆるファイル形式で使えます。

ほとんどの場合、このオプションはファイルメニューからプリントを選んだときに表示される「印刷」ウインドウ内にあります。印刷ウインドウが開いたら、「PDF」と書かれた小さなボタンを探してください。ボタンをクリックして「DPFとして保存」を選びます。

ファイルを保存する前に「セキュリティオプション」ボタンをクリックします。

下図のようにコンテンツをパスワード保護するためのいくつかの方法が表示されます。

オプションを指定したらパスワードを入力して保存します。

どんな暗号化アルゴリズムが使われているのか？

暗号化アルゴリズムの種類やそれぞれの違いについては、いつか取り上げたいと思います。今回は、Appleがすべてのユーザに提供する前述の２つのケースでどんなアルゴリズムが使われているか簡単に説明しておきます。

お気づきとは思いますが、FileVaultには暗号化方式に２つの選択肢があり、より安全なオプションを選ぶと処理にかかる時間が長くなります。これはすべてのセキュリティ関連機能について言えることでもあります – 強力になるほど時間がかかるのです。128-bitか256-bit AESのどちらかを選べます。

「PDFとして保存」では、128-bit RC4という１つのアルゴリズムしか使えません。

これらの暗号化方式は、完全に安全というわけではありませんが、通常の用途では十分な機能を持っています。暗号化されたファイルやフォルダからデータを取得するのは困難ですから、共有したりバックアップするときの不安も解消されるでしょう。

Posted on August 8th, 2013 by Lysa Myers

Flash Playerアップデートを偽装するクロスプラットフォームのアドウェア

またもや、詐欺プログラムの開発者が、アドウェアを開発者IDで署名してAdoebe Flash Playerアップデートに偽装し、人々を騙してインストールさせようと試み ています。これは目新しいやり方ではありませんが、古くさい方法でも効果が続 く限り、何度でも再利用されるということでしょう。



このアドウェアには、WindowsとMac OS X用があり、オペレーティングシステム によって動作は若干異なりますが、Chrome、Firefox、およびSafariの拡張機能 として動作します。なお、インストーラがWindows実行ファイルなので、Macに直 接インストールされることはありません。

この詐欺ファイルは、アダルト向けのサイトやファイル共有サイトなど、様々な ウェブサイトで見つかっています。ユーザのマシンにダウンロードしただけでは 実行はされません。ダウンロード後にインストールされる必要があります。実行 されると、子供向けのサイトを含め、通常のウェブサイトにポルノなどの広告が 表示されるようになります。広告は、広告ブロック機能を回避するために通常と は異なる方法で表示されています。

このアドウェアのインストーラは、2013年９月22日で期限切れとな る"martingrey@mailinator.com"が所有するApple Developer IDで署名されてい ます。期限切れになれば、IDは無効となります。



このマルウェアの情報については、MalwarebytesのJerome Seguraに感謝します。

Intego VirusBarrierは、最新のマルウェア定義ファイル でこの脅威をOSX/ClickAgent.FLAとして検出し、ユーザを保護します。この機会 に、ソフトウェアをアップデートする際には、アップデートを促すポップアップ メッセージの指示に無条件に従うのではなく、必ずメーカのウェブサイトから直接アップデートを適用するこ とを再び肝に銘じるべきでしょう。

Posted on August 20th, 2013 by Lysa Myers

「Facebookハッキングサイト」は高くつく

スパムの発信者は、自分たちのサイトの訪問数を増やすためなら、どんな媒体で
も見境なく悪用します。

電子メールアカウントを持っている人はすべからく迷惑メールを受け取った経験
があるでしょうし、Facebook、Twitter、あるいはPinterestなどのソーシャル
ネットワークを利用していれば、スパム発信者やハッキングされたアカウントか
ら投稿された迷惑投稿を見かけたことがあるでしょう。

人気の高いブログやニュースサイトを運営する人も、スパム発信者が迷惑なコメ
ントを残していくことに気付いているでしょう。

私の場合も、私のセキュリティブログであるthe JoshMeister on
Securityの記事にスパム発信者がコメントを残します。ほとんどが取
るに足らないものですが、迷惑コメントを密かに楽しむこともあります。

そして今回は、「Facebookのアカウントをハッキングできる」と謳うサイトへの
リンクが貼られていました。



以下は、GoogleとBingによるこのフランス語サイトの翻訳を基にしたサイトの概
要です:

このサイトは、Facebookソーシャルネットワークのリカバ
リーサービスを提供します。我々のツールにより、Facebookのアカウントをハッ
キングできます。他のソフトウェアは不要です。Hack-faceは、先進のエクスプ
ロイトに加え、５種類の暗号解読法を使って、標的アカウントのパスワードを数
秒で取得することが可能です。そしてアクセスするためのログイン情報を即座に
電子メールで受け取れます。

まず最初に「リカバリーサービス」と表明することで、アクセスできなくなった
自分のアカウントをこのサイトを使って取り戻すことができるという印象を与え
ています。でも、信じちゃダメですよ。続いて、このサイトでFacebookアカウン
トを「ハッキング」して、悪用できるととれる文章が続いています。どっちが正
しいのでしょう？

さらには、このサイトが「面倒な操作なし」でFacebookをハッキングできるよう
に「クラウドやエクスプロイトキットなどの最新技術」を使った「Facebook侵入
試験ツール」を提供すると宣言しています。

「侵入試験」という言葉は、システムの所有者や管理者の許可を得てシ
ステムのセキュリティ上の弱点を見つけるためのツールを連想させます。しかし
Facebookが、世界中の誰にでも他人のカウントをハッキングできるようにするは
ずがありません。

サイトの説明文よりも大きな問題は、サイトにログインページがあることです。

多く人が、同じパスワードを複数のサイトで流用していることを考えると、この
サイトがFacebookや他のオンラインアカウントをハッキングしたいと思った人々
のユーザ名とパスワードを収集している可能性があるからです。

つまり、このサイトを見つけた誰かが、他人のFacebookアカウントを
ハッキングしたいと考えた場合、結果として自分のアカウントがハッキングされ
る可能性があるわけです。

何と皮肉なことでしょう。

また、このサイトは、ハッカー志願者の携帯電話番号も集めています。Facebook
ページ名を入力して「Recuperer ce compte（このアカウントをリカバー）」ボ
タンをクリックすると、Facebookアカウントをリアルタイムでハッキングしてい
るように見えるページが読み込まれます。続いて別のページに転送され、ハッキ
ングを続けるには、コードを取得から支払いを行なう必要があるので、そのため
にまず２通のショートメッセージを送るように促されます。



ところが、必要とされる支払いの金額はサイトに記載されていません。

このサイトが、実際にFacebookアカウントをハッキングできるとは思えません
が、サイトの運営者があなたに迷惑ショートメッセージを送るか、入手
したあなたの番号を他の会社に転売することはできます。

でも、最大の問題は、あなたのお金を盗まれる危険がある、ということです。

この番号にテキスト送信すると、携帯電話のキャリアからあなたに請求
が起こる可能性があります。SMS 81073をGoogleで検索すると、フラン
ス語のフォーラムで、メッセージ毎に約€4.50を請求されたという苦情が見つか
ります。明らかに81073は、欧米で「プレミアムSMS」あるい
は「プレミアムメッセージ」番号として知られているものの
一つでしょう。このサイトが２つのコードを要求しているということは、その番
号に２通のメッセージを送信するわけですから、次回の携帯電話の使用料請求の
際に最低でも€9（約1,200円）が請求されると考えられます。

この話の教訓は、他人のアカウントをハッキングできると謳うサイトを
絶対に信用してはいけない（実際のところ、スパムで宣伝されている
ようなサイトは、すべて信用してはいけません）。

プレミアムテキストメッセージ詐欺の被害者になりたくなければ、あるいはその
ような請求に対する支払いを拒否したければ、the JoshMeister
on Securityの補足記事の情報も参考にしてください。ブログやニュース
サイトでの迷惑コメント対策に関する助言や、実際のスパム発信者および彼女が
宣伝しようとした詐欺サイトの詳細が書いてあります。

Posted on August 7th, 2013 by Joshua Long

About Joshua Long

Joshua Long has a master's degree in IT concentrating in Internet
Security and has taken doctorate-level coursework in Business
Administration and Computer and Information Security. Josh's research
has been featured by many fine publications such as CNET, CBS News,
ZDNet UK, Lifehacker, CIO, Macworld, The Register, and MacTech Magazine.
Look for more of Josh's security articles at security.thejoshmeister.com and
follow him on Twitter and Google+.

View all posts by Joshua Long →

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

早くもiOS 7で見つかったパスコードの問題

こ こしばらく、いくつかのiOSのバージョンでパスコードの問題が見つかって います。パスコード問題と言うと、またかと思う人も多いことでしょう。そし て、今回のパスコード問題は、Appleによるセキュリティアップデートの公開を 待たずに比較的簡単に対応可能です。

AppleがiOS 7を公開してから１時間後に、カナリア諸 島の兵士が自分のiPhoneに新しいiOSをダウンロードし、電子メール、 Twitter、Facebook、そしてFlickrなどにアクセス可能とする新たなパスコード 回避方法を見つけたのです。

その方法については、次の動画を参照ください：
この方法は、タイミングを取るのが難しいですが、色々な端末で使えそうです。 その対策は、ロック画面からコントロールセンターへのアクセスを無効にすれば 良いのです。「設定」から「コントロールセンター」を開けば、このオプション を無効にできます。 Posted on September 19th, 2013 by Lysa Myers

Appleがセキュリティアップデート2013-004を含むMac OS X 10.8.5を公開

Appleは、OS X Mountain Lionオペレーティングシステムの新バージョン、Mac OS X 10.8.5を公開しました。このアップデートには、Mac OS Xのセキュリティを向上させるいくつものバグ修正が含まれています。Mac OS X 10.8.5に含まれているセキュリティアップデート2013-004は、複数のセキュリティ問題に対応しています。同時に、OS X LionおよびSnow Leopard用に、セキュリティアップデート2013-002が公開されました。

つまり、これらのセキュリティアップデートでは、OS X Mountain Lion v10.8からv10.8.4に加え、Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、およびOS X Lion Server v10.7.5のバグが修正されます。 内９ヶが任意コードの実行に関係する31のCVEを対象に、合計で33のセキュリティ問題が修正されています。

• CVE-2012-0883
• CVE-2012-2686
• CVE-2012-2687
• CVE-2012-3499
• CVE-2012-3817
• CVE-2012-4244
• CVE-2012-4558
• CVE-2012-5166
• CVE-2012-5688
• CVE-2013-0166
• CVE-2013-0169
• CVE-2013-1025 : Google Security Team の Felix Groebert 氏
• CVE-2013-1026 : Google Security Team の Felix Groebert 氏
• CVE-2013-1027
• CVE-2013-1028 : www.traud.de の Alexander Traud 氏
• CVE-2013-1029 : PROTECTSTAR INC. の Christopher Bohn 氏
• CVE-2013-1030 : ヨーテボリ大学の Per Olofsson 氏
• CVE-2013-1031
• CVE-2013-1032 : iDefense VCP に協力する Jason Kratzer 氏
• CVE-2013-1033 : Atos IT Solutions の Jeff Grisso 氏、Sébastien Stormacq
• CVE-2013-1635
• CVE-2013-1643
• CVE-2013-1775
• CVE-2013-1824
• CVE-2013-1899
• CVE-2013-1900
• CVE-2013-1901
• CVE-2013-2020
• CVE-2013-2021
• CVE-2013-2110
• CVE-2013-2266

また、このアップデートには、３月にCVE番号が与えられたsudo脆弱性の修正も含まれています。

詳細については、Appleのサポートページ、「OS X Mountain Lion v10.8.5 およびセキュリティアップデート 2013-004 のセキュリティコンテンツについて」を参照してください。セキュリティアップデートの適用は、デジタルライフを守る基本ですので、弊社では、セキュリティアップデートが公開される度にすべてのMacユーザが速やかにダウンロードしてインストールするようお勧めしています。

インストールする準備が整ったら、Appleメニュー > ソフトウェア・アップデートを選んで、Appleのソフトウェアアップデート機能を使ってアップデートが適用してください。

Posted on September 18th, 2013 by Lysa Myers

iPhoneの指紋認証機能 - その長所と短所

先週、Appleが近日発売になるiPhone 5Sに搭載される指紋認証機能を発 表しました。胸躍る未来の技術の実現ではありますが、一方で、既に市場に出て いる指紋認証機能付きのラップトップで、指紋認証を使っている人に会ったこと がありません。何か手放しで喜べない複雑な感情がわくのは、この技術に対する 不安があるからでしょうか。

まずは、長所

• 携帯電話を保護する人が増える
  
  世の中には、携帯電話を保護するためのパスコードを使わない人がたくさんいま す。４桁の数字を覚えるのは面倒くさくても、携帯電話に親指を押し当てるだけ なら簡単ですから、彼らの携帯電話のセキュリティ向上が期待できます。
• 認証方法の追加
  
  この指紋認証機能は、当面、パスコードと併用できないようです。し かし、パスコードを指紋認証のバックアップとして使えるように、Appleがその 併用を許可するかも知れません。であれば、携帯電話で真の二要素認証が実現し ます。これって凄いことです！

そして、短所

• 指紋認証センサも突破される
  
  オーストラリアのTV番組、怪しい伝説（Mythbusters）のファンなら、 ３種類の指紋のコピーで指紋認証センサを突破する2006年の同番組のエピソードを覚えているでしょう。その コピーの一つは、単なるコピー用紙でした。もちろん７年も前の番組だし、 Appleの技術は、もっと進化しているように見受けられますので、さすがにコ ピー用紙で突破されるとは思えません。また、いくつかのレポートがおもしろお かしく書いているような「あなたの指を切り落とす」人もいないでしょう。いずれに しろ、簡単か大変かは別にして、しばらくすればセンサーを突破できることは分 かってくるはずです。
• 感度に問題がある
  
  著名なマイクロチップのメーカで働く私の友人は、指紋認証機能付き のラップトップを会社から支給されたのですが、この機能が正常に動作しないと のサポートへの苦情が増えすぎたため、結局、指紋認証機能の利用は禁止になり ました。例えば、濡れていたり傷が多い指紋は正常に認識されないのです。 雨の多い地域の住民は、どうしたら良いのでしょう！　これが、この新しい指紋 認証機能を使い始めた人からの最も多い苦情になりそうです。実際にどうなるか は、まだ分かりませんけど。
• 指紋が保存される
  
  NSAによる盗聴の影におびえる人は、この新しい指紋認証機能も使わな いでしょう。指紋の画像が端末に保管されようが、クラウド上に保管されよう が、指紋のコピーがどこかに保存されるのは確かです。これは、そのコピーが何 らかの証拠として使われる可能性を示唆します。そして次の疑問は、アプリがこのデータにアクセスできるようになるのか？、 です。場合によっては、これがセキュリティ上の大きなリスクになりかねませ ん。指紋はパスワードと異なり、漏洩したからと言って変更することはできない のですから。
• 米国憲法修正第5条（黙秘権の行使を認める修正条項）に指紋は含 まれない
  
  法律に詳しい人達が指摘するように、米国憲法修正第5条 では指紋の提供を拒否できません。この修正条項は、証言だけを対象としてお り、生体情報は含まれません。つまり、警察に物理的な証拠として鍵の提出を強 制されることはあっても、記憶など頭の中身を明かす必要はないのです。パス ワードなら、あなたの記憶の中にだけ存在する限り、異論もあるでしょうし、状 況にもよりますが、その情報は守られていると言えるでしょう。

結論を言えば、セキュリティやプライバシの観点から言って、この新しい技術も 大変革とは言えません。個人的な考えですが、多くの人が興味本位からこの機能 を一度は使うでしょうが、その後も使い続けるかは疑問です。長所に対して、短 所が多すぎます。

iPhoneの新しい指紋認証機能について、どう思われますか？ 使いますか？ 他の ユーザに推奨しますか？ 使うとすれば、その理由は何ですか？

Posted on September 16th, 2013 by Lysa Myers

Macを狙うシリア関連の新たなトロイの木馬を発見

感染したユーザのマシンにバックドアを開く、Macを狙う新たなトロイの木馬が 見つかりました。VirusTotalで見つかったこのトロイの木馬は、ベラルーシの ユーザから提供されたものです。この記事の執筆時点では、指令管制サーバはす でにダウンしていて、感染したユーザに命令を送っていません。拡散の方法は はっきりしていませんが、特定のユーザを狙った標的型攻撃だと思われます。今 のところ、一般のユーザに影響することはありませんので、全体の脅威レベルは 低いと考えられます。

このトロイの木馬は、画像ファイルに偽装されたアプリケーションで、ファイル 拡張子「.app」は、デフォルトでは表示されません。



現状、感染したユーザにどのような方法で送付されたのかは分かっていません。 電子メールで送付されたか、例えば、感染者が頻繁に出入りするウェブサイトに マルウェアを仕込む水飲み場攻撃であった可能性が高いでしょう。

なお、ファイルの受信方法によって、このアプリケーションに対するOS Xの反応 は、若干異なるでしょう。

例えば、隔離ビットがセットされたダウンロードの一部としてアプリケーション を受信し、そのアプリケーションをユーザが開いたのであれば、OS Xの Gatekeeper機能による警告が表示されるでしょう。ファイルをダウンロードする 際に隔離ビットが設定されるのは、アプリケーションがウェブブラウザや電子 メールソフトなどでダウンロードされた場合です。そのアプリケーションが元々 インターネットからダウンロードされ、その時点で隔離ビットがセットされてい たのでない限り、その他の方法、例えば、ファイルサーバ、外部ドライブや光学 ドライブから受け取ったアプリケーションでは、隔離ビットはセットされません ので警告も表示されません。

このトロイの木馬は、実行されると自身を/ユーザ/共有/UserEvent.app にコピーします。

MD5    6a36379b1da8919c1462f62deee666be
SHA-1 40b34e91cde683a567974750d1c5c9bcb09a87bb


同時に、/ユーザ/共有/UserEvent.appアプリケーションを起動するため に、~/ライブラリ/LaunchAgents/UserEvent.System.plistにLaunchAgent を作成します。



そして、このトロイの木馬は、DockおよびCommand-タブキーによるアプリケー ションスイッチから自身を隠します。次に、アプリケーションバンドル内のJPEG 画像をOS Xのプレビューアプリケーションで開くことで、ユーザに単なる画像 ファイルを開いたと勘違いさせます。

こうしてインストールされると、このトロイの木馬は、ポート7777で指令管制 サーバに接続します。

このトロイの木馬アプリケーションは、攻撃者が様々な命令を送ることができる 恒久的なバックドアを開きます。試験した限りでは、接続を監視するためにPing を送りながら、感染したマシンの多様なシステム情報が指令管制サーバに送られ ます。また、他の命令と共に以下の画像ファイルをマシンにダウンロードしよう とします。



最新のマルウェア定義ファイルがインストールされたVirusBarrierは、このマルゥエアをOSX /Leverage.Aとして検出し、Macユーザを保護します。拡散の可能性は ありますが、標的型攻撃と考えられますので、現時点での危険度は低いでしょ う。詳細が分かるに連れ、危険度レベルは上がるかも知れません。また、こうし た攻撃が拡散する主な方法は、脆弱性の悪用ですから、すべてのユーザが、可能 な限りオペレーティングシステム、ウェブブラウザ、およびお使いのブラウザプ ラグイン（FlashやJavaなど）を最新にしておくことをお勧めします。

Posted on September 17th, 2013 by Lysa Myers

最新OS Xマルウェア情報：チベットマルウェアの新たな亜種を発見

チベット運動家を狙うマルウェアの作者は、最近おとなしくしていましたが、昨 晩、Virus Totalウェブサイトで新たな亜種が見つかりました。なお、Virus Totalは、セキュリティ研究家がマルウェアのサンプルを共有するためのウェブ サイトです。これより前に亜種が見つかったのは、もう１年以上前になります。 ちなみに、以前の亜種は、Intego VirusBarrierの既存の定義ファイルでは、OSX/Tibet.Cとして検出されます。

今回は、ウェブサイト上のJavaアプレット経由で攻撃が行われます。攻撃に合う と、バックドアを開くためのJavaアーカイブをダウンロードされ、Javaの脆弱性 を悪用してユーザに知られることなく起動します。こうしてインストールされる と、感染したコンピュータにバックドアを開き、攻撃者がコンピュータ上のファ イルを使用できると共に、コマンドを実行できるようになります。マルウェア は、最近パッチされたJavaの脆弱性CVE-2013-2465およびCVE-2013-2471を利用します。まだJavaをアップデートし ていないなら、今すぐにアップデートを行ってください。

ダウンロードされたアーカイブには、次が含まれまれています:



この新しいチベットマルウェアの亜種は、インストールされると次のファイルを 作成します:

• /ライブラリ/Audio/Plug-Ins/Components/AudioService
• /ライブラリ/LaunchAgents/com.apple.AudioService.plist

LaunchAgentは、再起動後もマルウェアを起動させます。バックドアそのもの は、「AudioService」としてコピーされたファイルです。中国の指令管制サーバ （mail.tbnewspaper.com）に接続してコマンドを待ちます。

Intego VirusBarrierの最新定義ファイルは、このマルウェアをOSX/Tibet.Dとして 検出してユーザを守ります。現時点では、感染の報告はありませんから危険度は 低いと考えられます。

Posted onSeptember 10th, 2013 by Lysa Myers

パッチ済のSafariの脆弱性に対するコンセプト検証コードが公開

先週、有名なハッキングツールキットにいくつかの重大なエクスプロイトが追加されましたが、今 週は、別のエクスプロイトに関するコンセプト検証用コードが公開となりました。このコード は、2012年11月にパッチされたSafariの脆弱性、CVE-2012-3748を利用します。このエクスプロイトは、 Safariのバージョン6.0.1以前のユーザ、iOS 6のユーザ、OS X 10.7および10.8 のユーザだけに影響します。

お使いのソフトウェアを常にアップデートしているユーザなら、これは問題では ありません。アップデートをしていないユーザは、心配したほうが良いでしょ う。このエクスプロイトコードが実際に使用された報告はまだありませんが、今 後登場しないとも限りません。システムに対して適用できるアップデートがある なら、今すぐアップデートすることをお勧めします！

Posted on September 5th, 2013 by Lysa Myers

Appleが脆弱性のあるバージョンのJavaをブロックするためにXProtectをアップ デート

Appleは、古いバージョンのJavaブラウザプラグインをブロックするためにMac OS XのXprotectコンポーネントをアップデートしました。この自動アップデート が適用されると、ブロックの対象となる古いバージョンのプラグインは、Safari あるいはMailで動作しなくなります。

Snow Leopard用のAppleのJavaプラグインの必要最小バージョンは、以前の 13.9.5（Java 6 Update 45）ではなく、今後は13.9.7（Java 6 Update 51）とな ります。Appleは、Snow Leopard用に独自のバージョンのJavaを提供しており、 セキュリティアップデートも公開し続けています。



LionおよびMountain Lionでは、AppleのJavaプラグインの必要最小バージョン は、OracleのJava 7 Update 21に対応した14.7.0から同Java 7 Update 25に対応 する14.8.0に引き上げられます。なお、Lion以降では、AppleはOS XにJavaを付 属させていません；現在では、JavaはOracleから提供されるサードパーティ製品 となります。



Appleが必要最小バージョンを変更したのは、すでにパッチされたJava 6の脆弱 性が、古いJavaを実行するMacあるいはPCに感染しやすくなるようにNeutrinoエ クスプロイトキットに追加されたという報告があったからと思われます。

今回のアップデートについてのサポート文書によれば、Appleは、特定のサイト で必要なときにだけブラウザのJavaプラグインを有効にし、そのサイトの利用が 終わったら無効に戻すように推奨しています。

一方で、Adobe Flash Playerプラグインに対する Appleの必要条件は低いままです。古いFlash Playerのバージョンの脆弱性を悪 用する活発に出回っていたエクスプロイトに関する報告に対応するため、この２月下旬に Flash Player 11.6.602.171が公開されましたが、Adobeが公開してから数日で Appleもこのバージョンを必要条件としました。

その後、Adobeは多くの脆弱性を修正するためにいくつかのバージョンの Flash Playerを公開していますが、そのどれも活発に悪用されていたバグを修正 するための緊急パッチではありません。この記事執筆時点でのFlash Playerの最 新バージョンは、11.8.800.94です。これより前のバージョンには、脆弱性があ ることが知られています。お使いのFlash Playerが最新か確認するには、https://www.adobe.com/jp/software/flash/about/を参照 してください。

AppleのXProtectシステムは、Macに対する特定の脅威に対してのみ基本的な保護 を提供します。マルウェアをリアルタイムでスキャンしたり、Windowsを狙う脅 威や詐欺サイトに対抗する機能はなく、その他に一般的な多機能アンチウイル ス・ソフトが搭載するような機能も持っていません。Integoは、Mac用の多様な セキュリティ製品を開発しています。主要製品については、http://www.act2.com/brands/intego/を参照ください。

About Joshua Long

Joshua Long has a master's degree in IT concentrating in Internet Security and has taken doctorate-level coursework in Business Administration and Computer and Information Security. Josh's research has been featured by many fine publications such as CNET, CBS News, ZDNet UK, Lifehacker, CIO, Macworld, The Register, and MacTech Magazine. Look for more of Josh's security articles at security.thejoshmeister.com and follow him on Twitter and Google+. View all posts by Joshua Long →

Posted on August 31st, 2013 by Joshua Long

パスフレーズ方式パスワードの終焉？！

ウェブコミック、xkcdの ファンなら、到底覚えられない意味のないパスワードよりも「correct horse battery staple」のようなパスフレーズの使用を推奨する話を覚えているでしょう。



しかし、この方法の効果にも終わりの時が来たようです。辞書内の単語を検索し ながら、長さが55文字までのパスワードを解読できるように改良された無 料のパスワード解析ツールが登場したのです。

でも、パスフレーズ方式のパスワードが全く無意味になったわけではありませ ん。こうしたパスワードの保護を強固にする方法があります。以前、 お勧めしたように、パスフレーズに少し手を加えればよいのです。上記の例 で言えば、単に「correcthorsebatterystaple」とするのでなく、 「Corr3ctHor$eBa77erySt@ple」とすれば、そのパスワードは飛躍的に複雑にな ります。もっとも、パスワードマネージャを使えば、ランダムな意味のない文 字列で強力なパスワードを作成しても、それを記憶している必要はありませんけど。



少し話がずれますが、学術的な側面から言えば、量子コンピュータの一般化が見 えてきたことで、パスワードと暗号化は、今後10年ほどの間に劇的に変更される必要があると考えられま す。コンピュータがより強力になれば、暖めたナイフでバターを切るかの如 く簡単に、現在使われているデータ保護のアルゴリズムを骨抜きにするでしょ う。でも、頭の良い人達が対策を考えています。あのNSAスキャンダルによって、政府がもっと複雑な既存のア ルゴリズムを突破できる（あるいは近い内に突破できるようになる ）という恐怖を市民が抱いていますからなおさらです。いずれにしろ、今こ の時も解読できるパスワードの長さの世界記録は、塗り替えられ 続けています。

Posted on August 27th, 2013 by Lysa Myers