「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧 2016年04月13日08:00 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。 エフセキュアブログ : Petya:ディスク暗号化ランサムウェアより抜粋サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない。 皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。 しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya missi
暗号化ランサムウェアに関するFBIの回答 2016年03月22日00:00 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 2015年12月、ロン・ワイデン米国上院議員はFBIに対し、暗号化ランサムウェアに関する情報を求める書簡を送った。これについては、この記事で書いた。その後、何週間か前に私は検索したのだが、FBIの回答内容を見つけ出せたのは、politico.comのペイウォール(paywall、支払いの壁)の向こう側だけだった。 そんなわけで私は、このことをワイデン上院議員のTwitterアカウントにつぶやいた…。すると同氏の広報担当者が、FBIの書簡へのリンクと共に返答をくれた!(Twitterはこのようなことに長けている) ワイデン上院議員の質問のうちもっとも重要なものの1つは、FBIは「ただ身代金を支払うように(just to pay the r
今年度のCTFを無双した韓国チーム、その強さの秘密 2016年02月03日08:00 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。 秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。 BoBのWebサイトに記載されている基本的なコンセプト 先日、その養成所に講師として呼ばれ、
トップガンを越えてゆけ 2015年09月21日08:00 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 NHKのプロフェッショナルというテレビ番組の中で、"サイバーセキュリティー技術者の中でも最高の技術を持つトップガン"ということで「あの」名和さんが登場しました。 名和利男(2015年9月14日放送)| これまでの放送 | NHK プロフェッショナル 仕事の流儀 特にマルウェア解析シーンでは突っ込みどころがたくさんありますが、テレビということで大目に見てもらうとして、技術者が誤解したままではマズイと思うことを一点だけ。 終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話にな
プライバシーに対するFreedomeのアプローチ 2015年03月24日12:00 ツイート fsecure_blog ヘルシンキ発 最近、Freedomeがプライベートデータを保護する方法について、TorrentFreak.comから一連の質問を受けました。私たちは、透明性と暗号化がオンラインフリーダムの鍵であると信じています。このため、当社が最高のプライバシーアプリの開発を実現するためにどのように取り組んでいるかを説明した回答をここで共有いたします。 1. IPアドレスおよびタイムスタンプと、貴社サービスのユーザを照合できるログを保存していますか?その場合、どんな情報をどれだけの期間保存しているかを具体的に教えてください。 当社は、そのようなログを保存していません。法的管轄区域で法律により義務づけられることがあれば、そのようなシステムを導入することになりますが、該当する法的管轄区域の法
最も安全なOSとは?覚えておくべき4つのポイント 2015年03月05日08:00 ツイート fsecure_blog ヘルシンキ発 もしあなたがこの問いの答えを予想しても、まず正解は出ないでしょう。最近の調査によると、アップル製品は脆弱性の数が最も多い、つまり、セキュリティ面が最も弱いことがわかっています。脆弱性の数を数えるだけというのは、セキュリティの強度を測る上であまり科学的な方法とは言えませんし、数字の解釈に関する議論も起こっています。しかし、いずれにせよ、古い思い込みを否定するのに役立つ、歓迎すべき発見といえます。 アップルは長い間セキュリティの問題を頑なに否定してきましたし、セキュリティのイメージを構築するマーケティングにも成功しました。一方、Windowsは最もマルウェアの標的にされるシステムでした。マイクロソフトはウイルスや脆弱性の問題に本腰を入れ、最前線で取り組んできまし
CTB-Lockerへの感染が増加中 2015年02月10日01:12 ツイート fsecure_corporation ヘルシンキ発 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。 本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Locke
誰が何のためにソニー・ピクチャーズ・エンタテインメントをハッキングしたのか? 2014年12月05日01:36 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン SPE(ソニー・ピクチャーズ エンタテインメント)社の侵害に関するニュースを追いかけていないのなら、絶対に確認すべきだ。今すぐに。急激な速度で、これまでに企業が公然と被ったハッキングの中で最悪のものになっている。 ロイター:Exclusive: FBI warns of 'destructive' malware in wake of Sony attack(独占記事。ソニーへの攻撃を契機にFBIが「破壊的な」マルウェアについて警告を行う) Krebs on Security:Sony Breach May Have Exposed Employee Healthcare, Salary Data(ソ
NCR社製ATMのAPIドキュメントが百度(バイドゥ)で公開される 2014年10月07日23:28 ツイート fsecure_corporation ヘルシンキ発 最近起きた、マレーシアにおけるATM(現金自動預け払い機)の侵害では、いくつかの地元の銀行に大混乱を巻き起こした。報告されたところでは、おおよそ300万マレーシア・リンギット(約100万米ドル)が18台のATMから盗まれた。犯人がどのような方法で犯行を行ったのか詳細な情報はないが、地元のニュースで報じられたことによると、「ulssm.exe」というファイル名のマルウェアを犯人がインストールしたと警察は述べているとのことだ。このマルウェアは侵害されたATMで見つかった。ファイル名からすると、問題のマルウェアはシマンテック社が最初に発見した、「PadPin」として知られているものだと我々は考えている。このマルウェアに関する基本的な
9.18のサイバー攻撃に関して(追記) 2014年09月16日20:00 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。 覚えの無いコンテンツなどがアップロードされていませんでしょうか。 #スクリーンショットの記載内容からすると、フライングの気もしますが・・・ 現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。 また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。 #DoS攻撃に関しては未確認です。 昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではない
オンライン攻撃のたびにすべてのパスワードを変更しないで済ませるには 2014年08月26日08:00 ツイート fsecure_blog ヘルシンキ発 セキュリティの専門家の秘訣:彼らはパスワードを頻繁には変更しません。その必要がないからです。皆様にも役立つ秘訣をご紹介します。 12億ものパスワードがロシアのハッカーに盗まれたとの報告がありました。Heartbleedが発見される以前のことです。広範囲に及び特定できないデータ漏洩が発生した場合、すべてのパスワードを変更すべきだというのが一般的な見解です。しかしエフセキュア セキュリティラボによれば、さらに優れた方法があります。パスワードを適切に管理する習慣があれば、オンライン攻撃の情報を聞くたびにすべてのパスワードを変更する必要はなくなります。 「すべてのパスワードを変更すれば被害はないでしょうが、手間がかかってしまいます。それだけではなく
DEFCON CTFでの日本と世界の差がすごいと話題に 2014年08月22日18:43 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。 主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。 その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。 これは2014年の大会で主催チームであるLegit BSが行った可視化です。 見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。 一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。 日本のクオリティの高さを実感できます。 「オフィシャルコメント」カテゴリの最新記事 「by:福森 大喜」カテゴリ
ゲームオーバー・ゼウス 世界中で23万4,000台の被害 2014年06月09日08:00 ツイート fsecure_blog ヘルシンキ発 マルウェアのゲームオーバー・ゼウスが蔓延っています。ボットネットによる損害は甚大なものになる可能性があります。感染リスクもなくなったわけではありません。イギリスを拠点とするSkyNewsは、今後2週間以内の差し迫った攻撃について報じました。 フロリダに本拠を構える銀行は、約700万ドルの損失を被りました。ピッツバーグの保険会社はビジネスファイルを暗号化され、推定で7万ドルの損害を被りました。レストランの経営者は、レシピやフランチャイズの情報など、1万以上ものファイルを暗号化されました。これまでボットネットは、ランサムウェアによって3000万ドルを盗み取っています。 US CERTは、ゲームオーバー・ゼウスについて注意を喚起してきました。アメリカは各国
GameOver ZeuSが盗んだお金はいくら? 2014年06月03日23:12 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン FBIによる指名手配:Evgeniy Mikhailovich Bogachev。別名「slavik」。 ついに…顔と本名に、悪名高い偽名が結びついた。 昨日FBIは、よく知られたバンキング型トロイの木馬GOZ(GameOver ZeuS)の運用者に対する、複数の国家による取り組みの成果を公表した。 我々はこれを待っていた。 詳細はGameOver Zeus Botnet Disrupted(GameOver Zeusのボットネットが遮断される)にある。 本日、我々は(はやる気持ちで)関連ドキュメントを読んだ。そして、GOZがらみの損害額は非常に衝撃的であった。 以下はGOZの被害者の例だ。 フロリダの銀行1行で「700万ドル」
アンチウイルスはもう死んでいる 2014年05月15日14:19 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 エフセキュアブログ : アンチウイルスは死んだ? エフセキュアブログ : アンチウイルスが役立たなくなることについて つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。 以下は重要インフラに関わる業務を担う組織の事例です。 この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシン
異動のご挨拶 2014年04月15日23:14 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。) 私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。 私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。 インターネットが社会インフラとなり変革の時代を迎えようとしてい
4月8日:XPだけの問題ではない 2014年04月04日21:43 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 4月8日が間近になっている!そしてそれが意味するところは…。 カウントダウンクロック …Windows XPのサポートの終了だ。しかしXPだけではない。Office 2003も命を終えようとしている。 今現在、Officeのある脆弱性が野放しになっているため、これを知っておくことは重要だ。 マイクロソフトは昨日、Security Bulletin Advance Notificationを公表した。 そして良いニュースがある。Wordの脆弱性に対するパッチが作成されている模様だ。いまだOffice 2003を使用中のすべての方にとって、この更新を適用することは不可欠だ。なぜか?パッチのリバースエンジニアリングが行われ、関連するエクスプロイトがエ
標的型攻撃とウクライナ 2014年04月01日21:05 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE
アイシスを使ってファイルスラックに痕跡を残せるか 2014年03月19日10:49 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。 【PC遠隔操作事件】不正プログラム「アイシス」の全貌が明らかになった(第3回公判傍聴メモ) これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
