SecureBrainブログ

2012年01月31日

標的型（APT）攻撃の原理と対策　～解説者：先端技術研究所神薗雅紀～

※本記事は「gredセキュリティレポートVol.30」で公表したものと同内容です。

近年、標的型（APT）攻撃（以下　標的型攻撃）が猛威を振っています。特に防衛産業に関わる企業や官公庁が標的とされていますが、個人にとっても身近な脅威となってきました。ここでは標的型攻撃の原理と対策についてご紹介したいとおもいます。インシデントの内容を把握することはセキュリティ対策では重要です。攻撃の原理を理解した上で、効果的な対策を実施して頂けたら幸いです。

標的型攻撃の種類

標的型攻撃とは、サイバー攻撃の一種で、特定のターゲット（標的）に対して継続的な攻撃、または潜伏活動を行い、ソーシャルエンジニアリング等の様々な手法を駆使して情報搾取行為や妨害行為等を行う攻撃の総称です。標的型攻撃は多くの手法が確認されていますが、主にメールにマルウェアを添付し、ユーザに開かせることが第一ステップとなります。そして、添付されるマルウェアも様々なタイプが存在しますが、代表的なものにPDFタイプのマルウェアがあります。先に述べた防衛産業におきましても、内部の人間から送付されたように偽装したメールにPDFタイプのマルウェアが添付されていました。

標的型攻撃の原理と構造

ここでは標的型攻撃に利用されているPDFタイプのマルウェアの原理を紹介します。今回紹介する内容は、全てのマルウェアが当てはまるわけではありませんが、一般的に以下のような構造となっています。

●PDFタイプのマルウェアの構造
✔難読化されたJavaScript
✔不正なPEファイル（ファイルをダウンロードするダウンローダやボット）
✔不正なFlashファイルなど

●暗号化されたJava Scriptが行っている処理

PDFタイプのマルウェアに含まれるJavaScriptの難読化を解除すると、多くは以下のような構造となっています。代表的なJavaScriptのフローと共にご説明いたします。

① 最初に、コンピュータの制御を奪うためのshellcodeを定義します。このshellcodeは、具体的にはPDF内に組み込まれたPEファイル（ボット）の実行や、バックドアなどを仕掛ける処理などが仕組まれています。
② 続いてユーザが利用しているAdobe Readerのバージョンをチェックします。これは、「③Adobe Readerのバージョンに沿った攻撃」を行うための事前調査となります。より多くのユーザに、そして感染の確率を高めるために実施されていると想定されます。
③ 最後にAdobe Readerのバージョンに沿った攻撃を実施します。①の処理で定義された、コンピュータの制御を奪うためのshellcodeが実行され、マルウェアに感染するという流れとなります。

report30_chart7

③における攻撃部分は、非常に多くの手法が存在します。主に「JavaScript for Acrobat APIに定義されている脆弱性のあるAPIを利用する攻撃」や「heap spray攻撃」、そして「PDF内に組み込まれた脆弱性が存在するFlashファイルを実行する攻撃」等が挙げられます。最近のPDFマルウェアは、一つのマルウェアの中に4つから5つの脆弱性を利用するものが多くみられ、主に2004年～2011年の間に報告された脆弱性が頻繁に検出されています。

ちょっとした作業で効果的な対策を！！

「標的型攻撃の原理と構造」でご説明したとおり、標的型攻撃の攻撃内容の中心はJavaScriptです。つまりJavaScriptが機能しなければ感染しないことが理解できます。

しかし、以下の点に関する疑問が発生します。
フォントの脆弱性やFlashの脆弱性を利用された場合は、JavaScriptは使われないのではないか？

確かに、かつてはJavaScriptを使用せず脆弱性を利用するものも報告されていました。しかし最近の脆弱性は、基本的にはJavaScriptと連携しています。また、フォントの脆弱性を利用するマルウェアも、その脆弱性を突くためにフォントを定義する必要がありますが、多くのマルウェアはフォントの定義処理にJavaScriptを使っています。
また、Flashの脆弱性を悪用した攻撃でも、JavaScriptが事前に設定した制御（shellcodeなどと呼ばれる）を実行するトリガのみである場合が多くみられます。つまり、Adobe ReaderのJavaScript機能をOFFにすることで、端末の制御までは奪われず、マルウェアの感染までは実施されないため、標的型攻撃の抑止に効果的であると言えます。

●Adobe ReaderのJavaScript機能をOFFにする方法を以下に示します。

また、マルウェアの多くは過去に報告された複数の脆弱性を利用して端末に感染を試みます。OSと同様、アプリケーションもパッチやアップデートが非常に重要です。

securebrain at 10:23│コメント(1)│トラックバック(0)│セキュリティ的なつぶやき。

2011年12月16日

gred アンチウイルスアクセラレータアップグレードのお願い

「gred アンチウイルスアクセラレータ」は、アップグレードを行いました。アップグレードの対象は、Free（無料版）、Plus（有料版）両製品です。無償でアップグレードが可能です。

アップグレードすることで、さまざまな機能が向上し、問題が修正されます。
最新バージョンは3.0.5です。
なお、バージョン1.0のサポートは、2012年3月31日、バージョン2.0のサポートは 2012年6月30日に終了を予定しておりますので、お早目のアップグレードをお願い致します。

■最新バージョンの強化点

●リコール機能（新機能）

新種のウイルスが発見された際、そのウイルスが自分のPC内に存在するか否かを自動で検知する「リコール機能」を搭載しました。

■バージョンの確認方法

①パソコンのシステムトレイにある『gred アンチウイルスアクセラレータ』アイコンを右クリックし『gred AV アクセラレータを開く』を選択してください。
②右下の「グログラム情報」にカーソルをあてるとバージョン情報が表示されます。

■前のバージョンからの移行について

gred アンチウイルスアクセラレータ1.0 Freeの場合

http://www.gredavx.jp/download/index.phpより最新バージョンをダウンロードし、上書きインストールをしてください。

gred アンチウイルスアクセラレータ2.0 Free、Plusの場合

「gred アンチウイルスアクセラレータ 2.0 Free、Plus」からのアップグレードは、製品自体に提供されるソフトウェアアップデート機能により実行されます。

タスクトレイのポップアップによって新しいリリースがあることを通知し、製品ウィンドウの下にあるアップデートステイタスが黄色で新しいバージョンが存在することを知らせます。

「解決する！」をクリックすると、新しいパッケージをダウンロードしてユーザにインストールを促します。上記以外の方法として「今すぐ更新ボタン」をクリックする方法でも同様にアップデートが可能です。

■有料版「gred アンチウイルスアクセラレータ3.0 Plus」について

今ならキャンペーン価格1,980円(1ユーザ1年版）でお買い求めいただけます。
高価なアンチウイルスから、「安い！軽い！安全！」な「gred アンチウイルスアクセラレータ Plus」に乗り換えてください！

お買い求めはセキュアブレインショップで！

http://www.securebrain.co.jp/shop/index.html

タグ：: アップグレード

securebrain at 10:03│コメント(1)│トラックバック(0)│gred AntiVirus アクセラレータ

2011年11月16日

SecureBrainアンチウイルス for Android【ベータ版】（無料）リリースしました！

セキュアブレインは、クラウドを活用した低消費電力設計のアンドロイド端末用アンチウイルス
「SecureBrain アンチウイルス for Android（ベータ版）」（無料）をリリースしました。

Android端末のウイルス感染のほとんどが、不正アプリによるものです。
「SecureBrain アンチウイルス for Android」は、アプリのインストール時のスキャンに特化することで、端末の動作を邪魔しない軽いアンチウイルスです。

「SecureBrain アンチウイルス for Android」はクラウド型アンチウイルスです。スキャンをクラウド上で行い、アプリのインストール、アンインストール時、およびクラウドとの通信時にのみ動作します。それ以外はスリープ状態になるので、電力消費を低減します。
また、全ユーザが共有するウイルス情報をクラウドに持っているため、定期的に端末にウイルス情報をダウンロードする必要がありません。

「SecureBrain アンチウイルス for Android」は、アンドロイド・マーケットより無料でダウンロードが可能です。

https://market.android.com/details?id=jp.co.securebrain.Antivirus&feature

■「SecureBrain アンチウイルス for Android」の機能

●リアルタイムスキャン
アプリのインストール時にクラウドでスキャンします。クラウドで実行するため、端末への負荷は最小限です。

●オンデマンドスキャン（Scan Now）
すでにインストールされたアプリをスキャンします。

●履歴機能（History）
過去にインストールしたアプリや発見された不正アプリの履歴が表示されます。

●お知らせ機能（Notices）
セキュアブレインからのお知らせを表示します。

■「SecureBrain アンチウイルス for Android」の特長

●クラウド検知データベース
ウイルス情報をクラウド上で共有することで、常に最新のウイルスや不正アプリに対応することが可能です。端末にウイルス情報をもたないため、定期的なダウンロードが不要です。

●低消費電力
アプリのインストール、アンインストール時、およびクラウドとの通信時にのみ動作し、それ以外はスリープ状態になります。また、ウイルス情報や解析エンジンをクラウドに置くことで、端末側での動作を低減。従来の常駐型ウイルス対策製品に比べて低消費電力です。

●未知のマルウェアを検知するヒューリスティック検知
アプリを構成する部品（メタデータ）で検知する「ヒューリスティック検知」を採用しているので、未知のウイルスや不正アプリの検知が可能です。

●さかのぼり検知機能
一度不正と判定されなかったアプリが、その後不正アプリと判定された場合、さかのぼって該当ユーザに削除依頼を通知します。（すでにアンインストールしたユーザにも警告を通知）

■対応プラットフォーム
対応OS：Android OS 2.1/2.2/2.3/3.x～

【ご注意】
※本製品はベータ版です。サポートは行っておりません。
また、アプリの提供および機能を予告なく停止する場合があります。

※本製品は、インターネットに接続していない環境では、動作しません。アプリのインストールやオンデマンドスキャンをする際には、インターネット接続が可能な環境で行ってください。

※クラウド上でアプリケーションが危険か安全かの評価を行うため、端末にインストールされている各アプリケーションの情報(電子指紋のような情報)をクラウドに送信します。しかし、個人が特定できるような個人情報の送信は行っておりません。

※お客様のご意見は以下メールアドレスにてお受けしております。
アプリケーションの改善のため、ご協力よろしくお願い致します。

feedback@securebrain.co.jp

securebrain at 15:39│コメント(2)│トラックバック(0)│お知らせ

2011年10月31日

受賞しました！

セキュアブレイン先端技術研究所員の論文が、「マルウェア対策研究人材育成ワークショップ2011」の優秀論文賞を受賞しました。

論文のタイトルは「抽象構文解析木による不正なJavaScript の特徴点抽出手法の提案」

小難しいタイトルですが、インターネット上にはびこるマルウェアを解析する為の新しい手法が研究テーマです。

受賞は2年連続です。これからもインターネットの脅威からお客様を守る技術の開発に積極的に取り組んでいきます。

詳しくはこちら

securebrain at 15:56│コメント(2)│トラックバック(0)

2011年09月22日

～三菱東京UFJ（MUFG）を標的としたフィッシングサイト～

三菱東京UFJ（MUFG）を標的とした攻撃が横行しております。前回は、メールの添付ファイルを実行することで情報を盗み取るマルウェアの例を紹介致しました。
今回は、Web上に公開されている三菱東京UFJ（MUFG）を標的としたフィッシングサイトを紹介します。非常に早い頻度でフィッシングサイトが出現しておりますので、下記の情報などを参考にご注意下さい。

入口URL

誘導先URL

まず、入口URL等にアクセスすると、自動的に誘導先URLに誘導されます。誘導先URLの画面を以下に示します。

情報を入力し「ログイン」ボタンをクリックすると、情報が収集され、本物の東京三菱UFJファイナンシャル・グループサイト（http://www.bk.mufg.jp/）に飛ぶ仕掛けとなっています。頻繁に東京三菱UFJタイレクトを利用されている方でしたら、見た目が違うことに気が付くと思われます。

また、次のような本物サイトに酷似しているサイトも登場しております。

入口URL

情報を入力すると次の画面に移行します。

情報を入力し、「submit」ボタンをクリックすると、先程と同様、本物の東京三菱UFJファイナンシャル・グループサイト（http://www.bk.mufg.jp/）に飛ぶ仕掛けとなっています。

＜フィッシングサイトに引っ掛からないための簡単な対策＞

もっとも簡単な方法は、URLを確認することです。本来、カード情報などの需要な情報は暗号化通信を行うため、URLの先頭が「https」となります。紹介しましたフィッシングサイトは、全て「http」となっておりますので、直ぐに怪しいと判断できます。
また、フィッシングサイトのURLはスパムメールなどで蔓延する場合が多く見られます。ダイレクトサービスを利用する際は、メールに記載されているURLをクリックしてアクセスするのではなく、ブラウザなどで正しいURLをブックマークしておき、そちらからアクセスすることをお勧めします。

解析者　先端技術研究所神薗雅紀
以上

securebrain at 10:44│コメント(0)│トラックバック(0)│フィッシング

インターネットセキュリティならセキュアブレインにおまかせ！ブログ