脅威レポート 2013年下半期 Protecting the irreplaceable | www.f-secure.com 24時間体制の保護 レスポンスラボの業務は、世界中で発生する脅威をリアル タイムで追 跡する多 数 の自動システムに支えられ、 1日あたり何十万ものデータサンプルの収集と解析を 行っています。ウイルスやマルウェアを利用して攻撃を 仕掛け、利益を得ようとする犯罪者は、常に新しい脅威 を作り出そうとしています。このような状況でエフセキ ュアに求められているのは、24時間体制で監視を行い お客様を確実に保護することです。 エフセキュアラボ エフセキュアレスポンスラボは、 フィンランドのヘルシンキ およびマレーシアのクアラルンプールにあり、当社のセキュ リティエキスパートが最新のオンラインの脅威からお客様 を24時間保護しています。 エフセキュアレスポンスラボのスタッフは常時、世界のセ キュリティ状況を掌握し、 ウイルスやマルウェアの突発的 な発生にも、迅速かつ効率良く対処します。 F-SECURE | 2013年下半期 脅威レポート はじめに 私たちの敵は変わり続けています。かつての敵はオンラインハッカーでした。その 次に敵になったのは、オンライン犯罪者でした。そして現在、私たちは、政府の行動 にますます懸念を抱くようになっています。 しかし、誰もが何の不安もなく、自分自身の生活に関してあらゆる物事を共有して いる世界では、政府による監視が本当に問題なのでしょうか。人々は、朝食について Tweetし、Foursquareで居場所を知らせ、Facebookでデートのパターンをシェア し、Instagramで友人や家族と画像を共有して楽しんでいます。一部の人たちとっては、 こうした行動は問題ではありません。少なくとも現時点では問題視していません。そして、 これらすべてのサービスは、自らの利益につながるこうした使い方を奨励しています。 ミッコ・ヒッポネン エフセキュアラボ、 CRO(セキュリティ研究所主席研究員) http://twitter.com/mikko あなたが特に有名人というわけでなければ、パーティーで酒に 酔っているときの顔写真を共有することは、大きな問題ではな いかもしれません。しかし、10年後、教師や政治家などの公人 になったとしたら、途端に問題は大きくなるかもしれません。 そのときになって、取り消そうとしても遅すぎます。それどころ が、2040年頃の大統領選挙の報道は興味深いものになるでし ょう。というのも、すべての候補者が悩みを抱えるティーンエイ ジャーだった頃に投稿した写真や記事が、古いソーシャルメディ アやディスカッションフォーラムのアーカイブから掘り出され、公 衆の目に晒されることになるからです。 しかし、政府による監視とは、あなたが公にまたは積極的に共有 する情報を政府が収集することだけを意味するのではありませ ん。それは、共有しているとはまったく思っていない情報を収集 することでもあるのです。たとえば検索エンジンを使ってオンラ インで検索する情報、個人的な電子メールやテキストメッセー ジ、あるいは携帯電話の場所などが、常に収集されています。こ のような監視が可能になったのは、ここ2年ほどのことです。イ ンターネットと携帯電話の進歩により可能になったのです。そし て、 この監視は、まさに技術的に可能であるという理由によって 行われているのです。 しかし、技術的に可能であるということが、監視を正当化する理 由にはなりません。 あなたが公にまたは 『政府による監視とは、 積極的に共有する情報を政府が収集する ことだけを意味するのではありません。 』 共有しているとはまったく思っていない情 報を収集することでもあるのです。 3 F-SECURE | 2013年下半期 脅威レポート 要旨 2013年、世界全般、 とりわけコンピュータセキュリティ業界では、米国国家安全保障局(NSA) によるものと疑われる、外国への監視とハッキング活動に関するニュースが再三にわたり報道さ れました。この活動は、 エドワード・スノーデン氏による内部告発で明るみに出ました。度重なる新 事実の発覚により、多くの人が、控えめに言っても懸念を抱くようになりました。これをきっかけ に一部には、今日ほとんどのユーザが行っているWebの閲覧方法をより細かく調査し、それがオ ンラインによる監視とデータ収集に対してどのように脆弱であるかを把握する動きも見られまし た。エフセキュアのWebプライバシーに関する記事では、合法的でクリーンなサイトを閲覧して いるときであっても、ユーザが無意識に行ってしまう閲覧行動の一部やオンラインで取得、収集 される個人情報について説明します。 ニュースによってもたらされた一般的な不安は、顧客のプライバシーを保護する手順に対する疑 問として、特に公開企業に向けられました。コンピュータセキュリティ業界では、ベンダーが、政府 製マルウェアに対する態度を問われました。エフセキュアでは、 プライバシーの尊重は当社の中 心的な価値の1つであり、その価値を製品の設計に反映しています。さらに、あらゆるマルウェア をその発信源にかかわらず検出する姿勢を、現在に至るまで常にとり続けています。対象となる マルウェアには、2011年に検出を開始した、 ドイツ政府による使用が疑われているR2D2バック ドア[1]など、国家機関が作成したマルウェアも含まれます。 データ収集と監視に関わる政府製マルウェア以外にも、金銭的利益を目的とした便乗型の脅威 も常に発生しています。その典型的な例が2013年下半期に報告された、 プロポーカープレイヤ ーのラップトップへの標的型攻撃です。この攻撃は、 リモートアクセストロイの木馬(RAT) をラッ プトップに仕掛け、 オンラインポーカーの試合中にそのプレイヤーの持ち札を表示してしまうも のでした。プレイヤーに対するこうした攻撃は、俗に「トランプ名人(Card shark)」 とも言われて おり、 まさに「シャーキング (Sharking) 」 と呼ばれるにはふさわしい手口です。 エフセキュアでは、より大規模な感染として、今期報告された検出の上位10件に入っている Mevadeボットネットをより注意深く調査しています。また、 この最も蔓延したボットネットの変種 とこの変種が利用するC&Cサーバ、およびこの変種によるTORネットワークの使用方法とKad ピアツーピア (P2P) ネットワークでのファイル共有機能を検証しています。 2013年下半期には、Blackhole(ブラックホール)およびCool(クール)エクスプロイトキット の作成者と配布者とされる容疑者の逮捕という大きな事件がありました。これらのエクスプロ イトキットの検出報告が減少しているため、当社は、 この容疑者たちが残した空白を他の対抗者 が競い合いどのように埋めるのかについて、特にJava、Flash、およびSilverlightを悪用する Angler (アングラー) エクスプロイトキットに注目しています。 モバイル環境における脅威については、Androidマルウェアが報告された上位10カ国の中で、 サウジアラビアとインドが1位と2位を占めています。当社では、再パッケージやトロイの木馬の 標的となるアプリの種類に傾向があることに注目し、 このような改造されたパッケージの特徴的 な機能について説明します。また、 サードパーティのアプリストアを検証し、 これらのサイトで悪意 のあるパッケージにユーザが遭遇する頻度を調査し、 どのように脆弱性がAndroidデバイスに持 ち込まれる可能性があるのかについて検証します。 さらに、ユーザのデバイスに対するマルウェア配信に使用される最も一般的なベクトルについて 概略を調査したところ、必然的にWebをベースにした経路が最も頻繁に使用されており、中でも Java開発プラットフォームを標的とした悪用が非常に目立つことがわかりました。これは、今期当 社が検出した上位10種類の脅威のうち、Webベースの攻撃が第1位であったことと一致します。 最後に、Macプラットフォームでは、2013年下半期に出現した新しい脅威は、 わずかながらも一 定の拡大を見せています。ただし、その数は、Windowsとの比較ではもちろん、Androidと比較 しても極めて少ない状況です。 出典 1.エフセキュアのブログ:ミッコ・ヒッポネン 『 Possible Governmental Backdoor Found( “Case R2D2” ) (政府によるものと疑われるバックドアを発見(” R2D2のケース” )』2011年10月8日公開 4 http://www.f-secure.com/weblog/archives/00002249.html F-SECURE | 2013年下半期 脅威レポート 目次 この脅威レポートでは、2013年下半期にエフセキュアラボのアナリストが確認したマルウェアの脅威状況に関する傾向と新 たな進展について説明していきます。また、同期間に高度に蔓延した注目すべき脅威をケーススタディとして取り上げます。 寄稿者 BRODERICK AQUILINO KARMINA AQUINO CHRISTINE BEJERASCO EDILBERTO CAJUCOM SU GIM GOH ALIA HILYATI MIKKO HYYKOSKI TIMO HIRVONEN はじめに 3 要旨 4 目次 5 2013年下半期のインシデント・カレンダー 6 検証 8 注意すべき脅威 MIKKO HYPPONEN SARAH JAMALUDIN CHOON HONG LIM ZIMRY ONG MIKKO SUOMINEN 政府製トロイの木馬 12 終焉は近い? 13 シャーキング 14 ケーススタディ SEAN SULLIVAN MARKO THURE JUHA YLIPEKKALA 出典 11 15 狙われるアジア 16 MEVADEの詳細 17 エクスプロイトキット 20 被害が集中するAndroid 22 Webプライバシーの現状 30 感染ベクトルのプロファイル 33 Macマルウェア 35 36 5 F-SECURE | 2013年下半期 脅威レポート マルウェアと脆弱性 セキュリティと強制執行 ハッキングおよびスパイ活動 2013年下半期のインシデント・カレンダー NSA 9月 訴訟により、FISCの裁判所 命令を公開 秘密の裁判所命令により、NSAに よるデータ収集での既存技術の 「新規利用」を承認 10月 10月 11月 NSAによる電子メールとIMの NSAによる監視に関する報道に NSAがデータセンター内のトラフ 連絡先リストの収集が報じられる 対して、複数の国が憤りを示す ィックを傍受していたと伝えられる グローバルなデータ通信時に、 フランス、 ドイツ、その他の国が、 大手テクノロジー企業のデータセ 電子メールとIMサービスの連 自国民への過剰な監視に抗議 ンター間の非暗号化トラフィックを 絡先が傍受される 「Muscular」プログラムが傍受 9月 10月 10月 GCHQにベルギーの電話会 アドビのサイトへの侵入で、ソ vBulletinサイトへの侵入 社へのハッキング疑惑が浮上 ースコードとパスワードが盗難 で、顧客の詳細情報を公開 11月 大規模なインターネット トラフィックの迂回を発見 ドイツDas Spiegelへのハッ 複数のアドビ製品のソースコー アドビのサイトのユーザの キングの報道をきっかけに、 ブ ドと、 リュッセルの事件が調査される ログイン情報が盗まれる このフォーラムソフトウェア制作会 社のサイトへの侵入により、パスワ ードなどの顧客情報が公開される 7月 FBIが、過去7年間で最大級の米国 サイバーハッキングで5人を告発 8月 ロシアが、ChronoPayの所有 者をボットネットの利用で投獄 10月 10月 Silk Roadドラッグサイトが BlackHoleとCoolエクスプ 閉鎖され、運営者を逮捕 ロイトキットの作成者が逮捕 米国の小売業者と銀行からクレ ジットカード情報を大量に盗ん だ疑いで5人を告発 裁判所が、競争相手へのサイバー FBIが、 ドラッグの密売とマネー ロシア当局が、最も普及し蔓延してい 攻撃によりPavel Vrublevskyに ロンダリングの罪で米国人の被 る2つのエクスプロイトキットの作成 2年半の流罪判決を言い渡す 告人を告発 者/運営者である「Paunch」を逮捕 8月 CanSecWestで詳細が 説明されたバグをマイクロ ソフトがパッチで対応 9月 EU市民的自由委員会が、米 国による監視について議論 9月 新しいセキュリティ機 能を搭載したiOS7 が提供開始 9月 RSAが「NSA関連」の暗号 化アルゴリズムを使用停止 再ルーティングにより、データがベラルーシま たはアイスランド経由で送信される。誰が、ど のように、なぜ行ったのかは研究者にも不明 11月 マイクロソフトがゼロデ イCVE-2013-3906 に対応するFix-itを公開 10月 EUがデータ保護法の修正 案を可決 11月 マイクロソフトがバグ発見の 懸賞金を10万米ドルに増額 同委員会が、EU市民に対する RSA Securityが、顧客にNSA 議会により、 オンラインプライバ 懸賞金の増額により、 自発的な 米国による監視の問題について による侵害が疑われる暗号化の シーの保護を強化。加盟28カ バグ報告件数の増加を期待 調査を開始 使用停止を呼びかけ 国からの承認を待つ 7月 8月 Janicabバックドアが、自己を偽装 Browlockランサムウェア するためにRLOのトリックを使用 が新しい国々にまで拡大 9月 10月 TORを使用するMevadeボットネット 標的型攻撃でのCVEがアドウェアとマルウェアを拡散 2013-3893の悪用 マルウェアが、自己をプログラムで 警察を装ったマルウェアが米国、 広範囲に拡散したボットネット用の 標的型攻撃がInternet Explorer なくWordファイルと偽るために 英国、 カナダからドイツ、 イタリ C&Cコマンドにより、匿名化ネット の欠陥を悪用。悪用に対する RLO(right-to-left override)を使用 ア、 フランスに移動 ワークのトラフィックが急増 Metasploitモジュールもリリース 7月 「マスターキー」と同様な 脆弱性が報告される 7月 7月 8月 モバイルトロイの木馬がGoogle 悪意のあるモバイルAVがサード FinFisherが文書でWindows Cloud Messaging(GCM)を使用 パーティ広告によりプッシュ配信 Phoneでのサポートを表明 中国の研究者たちが、 ファイル データを収集するトロイの木馬 モバイルブラウザで、偽のモバ このモバイルスパイウェアが イルAVがアプリ内および広告 Windows Phoneを含む複数の ヘッダに悪意のあるコードを追 「Tramp」によって利用された GCMがリモートコマンドを受信 内で宣伝されていることが判明 プラットフォームで動作することを表明 加できる脆弱性を報告 6 F-SECURE | 2013年下半期 脅威レポート 2013年下半期の事件カレンダーでは、同時期に発生した興味深い情報 セキュリティ分野の事件をまとめています。これらの事件は、さまざまな テクノロジー関連のニュースポータル、セキュリティ調査関連の刊行物や サイト、大手新聞、エフセキュアのブログなどで報じられたものです。この カレンダーに掲載した各事件の情報源は、36ページに記載しています。 12月 11月 12月 12月 NSAが全世界で5万システム NSAが数百万件の通話を追 NSAがグーグルのクッキーに 米国連邦裁判所が、PRISMに を感染させた疑いを持たれる 跡していたことが報じられる 「便乗」していたと伝えられる 「違憲」判決を下す 感染したシステムからの「情報 「Co-Traveler」プログラムにより、 NSAとGCHQが、グーグルのサイトで このプログラムが、憲法修正第4 収集を可能にする」 ソフトウェア 既知の標的と行動をともにする関係 トラッキングクッキーを使用して、標的 条が禁止する不合理な捜索および を仕掛ける 者を追跡するためにデータを利用 の居場所を特定していたと伝えられる 押収に違反すると判断される 11月 11月 Cupid Mediaへのハッキングで ビットコインの取引所が、 盗まれたデータをサーバ上で発見 サイバー強盗の標的となる 12月 12月 ボットネットが盗んだデータ 米小売チェーンTargetで顧客データ を保管するサーバを発見 が漏洩していることが報告される この出会い系サイトへの1月のハッキング 急上昇するビットコインの価格が、 「Pony」ボットネットが、感染し 攻撃者が、顧客の詳細データの で盗まれたデータが、アドビへのハッキング オンラインのビットコインウォレッ たシステムから人気サイトへの 収集に利用するPOSシステム で盗まれたデータと同じサーバで見つかる トへの標的型攻撃を引き起こす ログイン情報を収集 が感染していることを報告 11月 11月 英国で、Stratforを攻撃した ICANNが「Dynamic ハッカーに懲役10年の判決 Dolphin」を閉鎖 2人の米国人兄弟を、米国の銀 英国の裁判所は、Jeremy Hammondドメイン登録業界の管轄団体 行と証券会社の口座から数百万 を情報調査会社へのハッキングにより が、迷惑メールの送信者に好意 ドルを盗んだとして告発 クレジットカードを盗んだとして投獄 的な登録業者の認可を剥奪 12月 アドビが、Flashと Shockwaveの問題に パッチで対応 12月 ペイパルへのDoS攻撃で 13人が有罪を認める 攻撃は、ペイパルがウィキリー クスとの関係を断つことへの抗 議として始まる 12月 マイクロソフトがゼロデイ CVE-2013-3906、 その他にパッチで対応 11月 12月 11月 11月 大手テクノロジー企業がNSA フェイスブックが、アドビからのデー EUが、米国内で扱われるEUのデ マイクロソフト、FBIその他が タ漏洩による影響をユーザに通知 ータへのより大きな権利を要求 ZeroAccessボットネットを遮断 の監視に対する防御を強化 ヤフー、 グーグル、 フェイスブッ クなどが、NSAによる侵入をブ ロックするようシステムを強化 両方のサイトで同じログイン情 報を使っているユーザに対し、 パスワードの変更を依頼 米国と英国のCERT機関が、 ラ ンサムウェアの報告の増加を受 け、市民に警戒を呼びかけ 8月 アンドロイドの「マスター キー」をBlackHatで説明 この欠陥により、暗号化署名に 影響を与えずに、 アプリのコー ドの編集が可能となる 巧妙に作られたWordファイル が、中東と南アジアで報告され た攻撃でこの欠陥を悪用 8月 複数のアプリで、マスター キーの悪用を発見 この措置により、米国内の感染 したシステムとC&CのIPアドレ ス間の通信が遮断される 12月 12月 グーグルのドメイン向けの、悪意の ポーカープレイヤーを専門に ある「信頼された」CERTを発見 標的にしたトロイの木馬を報告 偽のSSL証明書が、フランスのセキュリ サイレントインストールされたマル ティ機関により私的なネットワークを監 ウェアが、オンラインでのポーカー 視するために使用されたと伝えられる の試合中にユーザの持ち札を表示 9月 iOSの指紋認証ロックの迂 回を報告 10月 グーグルから、アプリと一緒に強力 な広告ライブラリがダウンロード 最近公開された「マスターキー」ハッカーグループが、iPhone ライブラリが未更新の場合、ストアからア の欠陥を標的にする悪用された 5Sの指紋スキャナを低レベル プリと一緒にコード名「Ad Vulna」という の技術で迂回できることを発表 広告ライブラリがダウンロードされる アプリを中国市場で発見 7 マルウェアと脆弱性 11月 11月 米国と英国でCryptoLockerラ 標的型攻撃でのCVEンサムウェアへの警戒を呼びかけ 2013-3906の悪用 EUが、米国による監視で影響 を受けたEU市民が、米国法の 下で救済される権利を要求 セキュリティと強制執行 11月 FBIが2人兄弟をサイバー 強盗の疑いで逮捕 ハッキングおよびスパイ活動 NSA F-SECURE | 2013年下半期 脅威レポート 検証 脅威の状況に関する最新情報 私たちがますますインターネットとそのサービスに慣れ、依存するようになるにしたが い、 「接続されたコミュニティ」に対する脅威も必然的に大きくなります。エフセキュアが まとめた2013年下半期の統計(当社のクラウドベースの遠隔監視システムに、 デスク トップおよびモバイルクライアントから送信された匿名のデータに基づく) によると、昨 年上半期と比べて、Webベースの攻撃がこの6カ月の間に2倍に増えました。こうした Webベースの攻撃には、通常Webブラウザを悪意のあるサイトに誘導する手法やマル ウェアが悪用されます。実際にWebベースの攻撃は、当社の2013年下半期における 上位10件の検出(次ページを参照) によると、最も報告件数の多い種類の攻撃です。こ のWebベースの脅威を、検出を報告した国別に見ていくと、 スウェーデン、 フランス、 フ ィンランド、 およびドイツで最も頻繁に報告されていることがわかりました。 Webベースの攻撃を促進するために頻繁に使用されるのはエクスプロイトですが、エフセ キュアでは、Webベースの攻撃を、上位に位置する脅威の中でも顕著であることから、1つ のカテゴリーとして分類しました。2013年下半期に当社が確認した中でも、最も顕著だっ た3つのエクスプロイトベースの検出は、Majava、CVE-2013-2471の脆弱性を標的 とした脅威、およびCVE-2013-1493の脆弱性を標的とした脅威でした。これら3つの 脅威が、すべてJava開発プラットフォームの脆弱性を利用していたのは偶然ではありませ ん。このプラットフォームは、攻撃者が事実上最初に狙う標的にもなってしまうほど、幅広い 支持を企業および開発者の間で得ています。このことは、当社の上位検出リストに追加さ れた新しい脅威によって裏付けられます。CVE-2013-2471の脆弱性を狙っていると判 断できるエクスプロイトは、特定のサンドボックス化されたJava Web Start アプリケーシ ョンとサンドボックス化されたJavaのアプレットバージョンで検出されています。 これら3つの割合(それぞれ19%、4%、3%) を合わせると、Java関連のエクスプロイト が、2013年下半期に報告された脅威の種類のうち2番目に多い脅威となります。これ らの検出は、米国、 フランス、 ドイツ、およびフィンランドから最も多く報告されました。 し かし、実際には、2013年の上半期と比較すると、Java関連のエクスプロイトの数は減少 しています。その原因は、10月に「Paunch」が逮捕されたことにあると考えられます[1] 。 「Paunch」 とは、Javaに対する攻撃の大部分を可能にするBlackholeとCoolエクス プロイトキットの作成者と疑われている人物です。この逮捕以降、BlackHoleとCoolに 関する検出の報告数は急激に減少しました。残念ながら、 この逮捕によって生じた空白を 急いで埋めるかのように、新しい挑戦者が現れ、Anglerエクスプロイトキットのような別 のエクスプロイトキットが急速に勢力を拡大し、市場シェアを伸ばしています。 よく知られた、依然として活発な脅威に、Downadup(メディアでの別名はConficker) というワームがあります。このワームは、最初に報告されたのが2008年とかなり古い ものですが、上位10件の検出に現在もとどまっています。ブラジルで非常に高い検出 件数が報告され、次にアラブ首長国連邦が僅差で、 さらにそれほど大差なくイタリアが 続いています。 Downadupが引き続き存在感を示しているのは、 「環境的な要因」によるものだと考え られます。つまり、多数のネットワークやシステムで現在も、パッチが適用されていない 古いWindowsオペレーティングシステムが実行され続けており、 ワームが潜伏可能な 環境を与えていると考えられます。いわば、 このワームはその環境の中で生存し続け、 感染を繰り返しています。また、おそらくは、感染したネットワークからこのマルウェアを 完全に駆除できる、細心の注意を払う熟練した技術サポート要員が配置できないため、 駆除が適切に行われず再度感染する機会を与えてしまう可能性もあります。残念なが ら、今日でも同じマシンとネットワークで、古いバージョンのオペレーティングシステムと 業務上不可欠なソフトウェアを実行していることは、最も進んだ先進国であっても珍し いことではありません。この状況は、 アジアなどの地域でより大きく広がっており、一般 的には、 より定期的に更新される新しいシステムでは機能しない古い脅威が、はるかに 多く発見される傾向を見せています。 その他の長期にわたって引き続き活発な脅威として、Ramnit(2010年に初めて検出 されたファイル感染機能を持つワーム) とSality( 2003年に初めて報告された多様 な形態のファイル感染型ウイルス)があります。Downadupとは異なり、 これら2つの 脅威は、他のマルウェア作成者が自らの非道な目的のために修正し、亜種をリリースす 8 F-SECURE | 2013年下半期 脅威レポート 2013年下半期 上位10件の検出 Webベースの攻撃 26 12 Downadup/Conficker 20 14 19 Majava Ramnit 9 1 Sality Autorun 4 CVE-2013-2471 4 3 CVE-2013-1493 2 2013年下半期と 2013年上半期の比較(%) 8 1 Zeroaccess 45 7 %, H2 2013 %, H1 2013 7 3 3 Mevade 1 CVE-2013-3544 10 CVE-2011-3402 2013年下半期に、上位10件の検出が 最も多く報告された国と地域(%) フラ ンス 米国 スウ ェー デン ブラ ジル フィ ン ドイ ランド ツ オラ ン イタ ダ リア 英国 ポー ラ デン ンド マ マレ ーク ーシ ア チュ ニジ ア イン ド トル コ ベト ナム ベル ギ エジ ー プト パキ ス ルー タン 日本マニア 台湾 ブル ガ カナ リア ダ コロ ン イン ビア ドネ シア メキ シコ スロ ベ ノル ニア ウ アラ ェー ブ その 首長国 他す 連 べて 邦 の国 % Webベースの攻撃 12 7 18 Downadup/Conficker 6 9 9 6 4 3 18 Majava 12 20 9 Ramnit 7 Autorun 12 9 10 13 Zeroaccess 22 23 6 CVE-2013-1493 10 17 13 3 25 6 3 2 4 3 4 16 32 10 9 7 3 5 3 3 3 Sality CVE-2013-2471 4 13 3 7 4 17 4 6 12 7 19 6 4 3 9 3 13 12 8 4 2 2 10 3 8 5 4 33 30 4 3 4 41 15 11 7 3 4 5 5 4 4 3 3 7 3 9 14 7 4 4 Mevade 32 3 6 5 5 4 6 4 3 5 17 3 22 3 27 4 16 9 F-SECURE | 2013年下半期 脅威レポート るので、時とともに進化しています。これらが依然として当社の統計に表れてくるのも、 攻撃者が継続的かつ活発に標的を狙っているためです。2013年の上半期における RamnitとSalityの検出率は、上位10件の報告された検出中、 ともに1%に過ぎません でしたが、今期はそれぞれ9%、8%に上昇しました。これらの脅威が最も活発だった国 は、ベトナム、 インド、 トルコ、 およびブラジルです。 一方で、逆の傾向を示しているのが、ZeroAccessボットネットに関する検出で、上位10 件の報告された検出に占める割合は、上半期から4ポイント減少し、わずか3%となって います。これは、2012年下半期に比べると急激な減少です。当時、ZeroAccessはエフ セキュアのシステムに報告された検出の27%も占めていました。このボットネットの急 激な減少は、 マイクロソフトのDigital Crimes Unit、米国連邦捜査局(FBI)、業界のパー トナーが協力して実行した遮断活動によるものと考えられます。この活動により、18の 既知のZeroAccessコマンドアンドコントロール(C&C)サーバと米国内のコンピュー タシステムとのネットワークトラフィックが遮断されました。ただし、後の調査で、 この活動 が当初予想したほどの効果は上がらなかった可能性があることが示されています[2]。そ れでも、 この遮断活動以降のボットネットの活動[3]を観察すると、運営者によるプッシュ配 信は活発ではなくなり、現状では活動は縮小しています。ZeroAccessは現在もわずか に検出されており、 ほとんどがフランス、米国、英国で報告されています。 この他に、新しく上位10件の検出リストに入ってきたのが、Mevadeです。この脅威自 体は新しいものではありませんが (最初の確認は2012年末)、上位の脅威リストに入っ てきたのは今回が初めてです。Mevadeは、報告された検出の3%を占め、最も活発に 活動しているのはフランスです。以下スウェーデンとオランダが続きます。 このボットネッ トは、自身のトラフィックを隠すためにTor匿名化ネットワークを広範囲にわたって利用 する最初のボットネットであることで知られています。つまり、 この場合、Sinkholingの ような手法を用いて、 システム管理者、 セキュリティ研究者やその他の善意の組織によ って管理されているIPアドレスにネットワークトラフィックをルーティングしていくことで ボットネットの追跡や対抗を無効にします。また、不可能ではないにしても、 ボットネット を解体することも非常に難しくなります。 マルウェアがユーザに到達するために利用する最も一般的な感染ベクトルは、引き続き インターネットです。インターネットには、 エクスプロイトキットによって閲覧者のマシン に強制的にダウンロードされてしまうマルウェア、悪意のある広告(マルバタイジング) 、共有サイトと (当然のことながら)悪意のあるサイトに存在する感染したソフトウェアバ ンドルといった感染経路が作成されてしまいます。さらにトラッキングクッキー、 スクリプ ト、その他のユーザ追跡の手法が幅広く使用されているため、Webプライバシーを心 配する人々にとっては、悪意のあるダウンロードを適切に防いだとしても、それだけでは 個人データの流失を避けるには不十分である可能性があります。 モバイルプラットフォームではAndroidオペレーティングシステムが依然として圧倒的 なシェアを誇るため、今期当社が確認したモバイルの脅威の標的は、ほとんどこのオペ レーティングシステムに集中していました。Androidで発見される脆弱性は比較的少な いため、 このオペレーティングシステムへの攻撃は難しくなっています。 しかし、 Android では、マルウェアの作者が自身の「製品」を提供し、ユーザを欺いてユーザのデバイス に「製品」をインストールさせることが比較的容易に行えるため、 また必要な権限があ れば、デバイス (およびユーザのデータ) を攻撃者の利益のために容易に使用できるた め、そのセキュリティは、多くの場合迂回されています。2013年下半期にエフセキュ アのシステムに報告された上位10件のAndroidマルウェアの検出のうち、サウジア ラビアとインドからの報告が75%を超えています。Androidマルウェアファミリーの うち、今期最も頻繁に報告されたのはGinMaster(Fakeinst、SmsSendで、 これら は、Androidデバイスからデータを収集するか、 プレミアム課金のSMSメッセージを送 信するかのいずれかを行います。 最後に、Macプラットフォームでの脅威についてですが、2013年下半期に出現した 18個の新しい脅威は、わずかながらも一定の拡大を見せています。ただし、その数 は、Windowsとの比較ではもちろん、Androidと比較しても極めて少ない状況です。こ れら新しい脅威の83%、つまり大部分はバックドアで、残りはルートキットとトロイの木 馬によって占められています。 出典 10 1. Krebs on Security、Brian Krebs『 Meet Paunch:The Accused Author of the BlackHole Exploit Kit (「Paunch」とは:告発されたブラックホールエクスプロイトキットの作者)』2013年12月6日公開 http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/ 2. A rstechnica、 Sean Gallagher『 Microsoft disrupts botnet that generated $2.7M per month for operators(マイクロソフト、運営者に毎月270万ドルをもたらすボットネットを遮断 』2013年12月7日公開 http://arstechnica.com/security/2013/12/microsoft-disrupts-botnet-that-generated-2-7m-per-month-for-operators/ 3. ソフォスのNaked Security、James Wyke『 Have we seen the end of the ZeroAccess botnet? (ZeroAccessボットネットは終わりを迎えたのか?)』2014年1月7日公開 http://nakedsecurity.sophos.com/2014/01/07/have-we-seen-the-end-of-the-zeroaccess-botnet/ F-SECURE | 2013年下半期 脅威レポート 注意すべき脅威 政府製トロイの木馬 12 終焉は近い? 13 シャーキング 14 11 注意すべき脅威 F-SECURE | 2013年下半期 脅威レポート 政府製トロイの木馬 検出する意思を示すエフセキュア 2013年10月の終わりに、 エフセキュアを含むアンチウイルス企業の多くに、 オランダのデジタル著作権関連団体である Bits of Freedomから書簡が送られてきました。その書簡で、 この団体は、他の同様な団体ならびに利害関係のある学 者とともに、政府、法執行機関、 およびその他の国家機関により作成、配布されたプログラムの検出に関わる企業ポリシー について、正式な確認を求めてきました。以下に、その要望の原文の抜粋と、エフセキュアのCEO、 クリスチャン・フレデ リクソンによる2013年11月1日付けの返信の全文を掲載します。 『 要望の抜粋 エフセキュアの回答 複数の政府が、法執行機関に対して、捜査の過程で、監 視を目的として遠隔地から海外および国内のコンピュー タに侵入する権限を認めることを計画しています。中に は、 すでに認めている政府もあります。ユーザのパーソ ナルコンピュータに的確に侵入するには、法執行機関は ユーザのソフトウェアの脆弱性を悪用し、 標的のコンピ ュータからデータを収集するマルウェアをインストール する必要があります。 アンチウイルスソフトウェアの製造者として、貴社はセキ ュリティを確保し、 インターネットユーザの信頼を維持す るうえで極めて重要な立場にあります。というのも、 イン ターネットユーザは、 オンラインバンキングのような機密 性の高い操作を行っているからです。よって、貴社のソフ トウェアが、 このような信頼を維持するのに必要なセキュ リティを確保することに、疑いがあってはなりません。 貴社が保護する消費者と企業のシステムは、 ウイルスやマ ルウェアを、その発信源にかかわらず検出、削除できる必 要があります。そこで、私たちは、 この件について貴社のポ リシーを確認したいと考えております。具体的には、以下 の質問にご回答いただけますよう、お願い申し上げます。 1.政府(または国家機関) によって監視目的で使 用されているソフトウェアを検出したことはあ りますか。 2.政府から特定のソフトウェアの存在を検出しな いよう、 または検出した場合でもそのソフトウェ アのユーザに通知しないよう要求されたことは ありますか。要求されていた場合、その要求の 法的根拠、許可するソフトウェアの種類、その使 用を許可する期間について情報を提示していた だけないでしょうか。 エフセキュア・コーポレーションは、Bits of Freedom様 (および今回の情報の要求に関わるその他の関係者の 皆様)がこの重要な課題について大きな関心を寄せて いただいていることを歓迎いたします。また、弊社はこ の問題に対して、非常に強い姿勢で臨んできております ので、お寄せいただいた質問に対して、自信を持ってお 答えすることができます。 以下のとおり、回答いたします。 1.はい、法執行機関によって使用されている政府 製マルウェア (ドイツ政府が使用するR2D2ト ロイの木馬など) を検出したことがあります。 2.いいえ 3.いいえ 4.特定のマルウェアを検出しないよう政府に求 められた場合、その要求には従いません。弊社 は、マルウェアかどうかを判断する際に、その 発信源を考慮することはありません。マルウェ アを検出した場合は、そのマルウェアからお客 様を保護します。弊社の意思決定は、 「お客様 は、検出したプログラムをご自身のシステムで 実行したいと考えるかどうか」 という簡単な質 問に要約できます。政府製トロイの木馬に対す る答えは、明らかに 「いいえ」 となります。 この件に関する弊社のポリシーは、2001年の発表以 来変わってないという点もお知らせしたいと思います。 このポリシーについては、http://www.f-secure.com/ en/web/labs_global/policies をご覧ください。 3.その要求を認めたことはありますか。認めた場 合、上述したのと同じ情報と、 どのような考えで この政府の要求に従う決定をしたのかについ てご提示いただけないでしょうか。 』 4.将来、 このような要求に対してどのように対応す るか、具体的にお答えいただけないでしょうか。 12 出典 1. エ フセキュアのブログ、ミッコ・ヒッポネン『 F-Secure Corporation’ s Answer to Bits of Freedom(Bits of Freedomに対するエフセキュア・コーポレーションからの回 答)』2013年11月6日公開 http://www.f-secure.com/weblog/archives/00002636.html 終焉は近い? マイクロソフトのWindows XPオペレーティングシステムの延長サポートが、今 年の4月8日で期限切れとなります。その後、 どうなるのでしょうか。システム更新 は提供されなくなります。また、セキュリティ更新も提供されなくなります。ユー ザは自力で対応することになります。 しかし、XPは依然として非常に人気のある OSです、少なくとも広く普及しています(詳細については、 このレポートの他の 節を参照してください)。 このレポートの別の箇所で、Windowsユーザに対する2つの非常に深刻な脅威に 注目した検出の統計を掲載しています。この2つの脅威とは、Webベースの攻撃と Javaベースの攻撃です。さらに、Windows XPは、いったんセキュリティが侵害され ると、他のWindows製品と比較して修復が極めて困難なため、とりわけ問題を抱え ているといえます。XPについては、わずかな予防が、修復よりもはるかに重要です。 EOL XP 予測:4月8日の「期限」は、大手報道機関により、 「西暦2000年問題」と同様な状況を引き起こ す出来事として報じられることでしょう。では、4月9日に何事も起こらなかったらどうなるでしょう か。報道機関は、 これまでの騒動は何だったのだろうかを問い直す報道をするでしょう。一方、 テク ノロジー関連の報道機関といえば、記者たちは辛抱強くXPサポートの終了後、最初に発見される XPの脆弱性を待ちます。強力なゼロデイエクスプロイトが市場に出回ったときにこそ(仮定の話 ではありません)、本当の懸念が生じてきます。そして、 「XPは信頼できるのだろうか?」という重 要な問い掛けがされるでしょう。 しかし、まだ希望は残されています。XPへのパッチの適用は、最前線の防御ではありません。 また、そうであってはなりません。 企業によっては、2014年を通じてWindows XPを使用し続けます。その理由は、契約上の義務が あるため、または、その顧客がXPを使い続けるのでサポートの提供に必要となるためのいずれか です。このような状況では、ITマネージャは難しい課題に直面することになります。そこで、エアギャ ップシステムを設けて、重要な知的財産からネットワークを分離することをお勧めします。企業は、 すでにBYOD(Bring Your Own Device:私的デバイス活用)ユーザに対して、 このような対策を とっているはずです。XPを、その対策のもう一つの対象として管理すればよいのです。 家庭でXPを使用し続けるユーザは、 しばらくの間、ある程度妥当な安全性を保ちながらXPを使 い続けることができます。ただし、以下のことを行って、インターネット (とくにWebの閲覧) とコ ンピュータの操作に関する習慣を再検討することが絶対に必要です。 1.Windows XPの最終更新をインストールします。 2.代替となるブラウザを1つまたは複数インストールします(ブラウザは無償です)。Internet Explorerだ けに頼らないでください。また、デフォルトのブラウザとしてInternet Explorer を使用しないでください。 3.Microsoft Officeをインストールしている場合は、Officeにパッチをすべて適用します。古いバージョンの Officeでは、Flashなどの機能がドキュメントに埋め込まれている場合、デフォルトでその機能が実行され ることに注意してください。古いバージョンのOfficeを使用する場合は、セキュリティオプションを強化して ください。信頼していない作成元からのドキュメントは開かないでください。 4.インストールされているサードパーティソフトウェアを確認し、不要なものはアンインストールします。XP を使い続ける場合は、 「大掃除」を行い古いソフトウェアを削除します。ほとんどの古いソフトウェアは、脆弱 なソフトウェアと考えられます。 5.サードパーティソフトウェアが残っている場合は、ブラウザのプラグインを無効にするか、アンインストール することを検討します。PDFファイルを開くときなど、操作の前に「常に尋ねる」ようブラウザを設定します。 a. 家庭のノートパソコンにJavaをインストールする必要は、おそらくないはずです。 b. 高 度なブラウザの機能に「クリックトゥプレイ」オプションがあります。手間がかかっても、 このオプションは設定する価値があります。 6.アンチウイルスとファイアウォールをインストールした状態で、最新のセキュリティ製品を使用します。 7.XPコンピュータをNATルータに常に接続します。家庭では、NATルータがハードウェアのファイアウォー ルの役割を果たします(つまり、実用上、 ノートパソコンをローミングして無償のWi-Fiホットスポットに接続 すべきではありません。家庭のコンピュータは信頼のおけるネットワーク上に維持してください)。 8.最後に、OSのアップグレードを検討します。Windows 8を使用したくない場合は、Windows 7をいつで も入手できます。OEM版が、優良なオンラインストアの多くから、現在でも入手できます。 13 注意すべき脅威 F-SECURE | 2013年下半期 脅威レポート 注意すべき脅威 シャーキング エフセキュアのラボは、数多くのサンプルを入手しますが、 そのほとんどはオンラインで送られてきます。 しかし、時に は、当社のラボに自分自身のコンピュータを持ち込んで、 フォレンジック分析を依頼する人もいます。 狙われたハイローラー 手口の仕組み 昨年の9月初旬、20代前半の男性がアウディR8に乗って、 ヘルシンキのエフセキュア本社を訪ねてきました。この男性 は、Jens Kyllönen氏という、現実世界とオンラインの両方 のポーカーの試合で活躍する、 プロのポーカープレイヤー でした。Kyllönen氏は、昨年、250万ユーロも稼ぎ出した という、 まさにハイローラー(高額な賭け金を使うギャンブ ラー)です。なぜ、 ポーカー界のスタープレーヤーが、日常 とは違う行動を取って、当社に立ち寄ったのでしょうか。そ の理由を、Kyllönen氏は次のように語りました。 昨年9月、Kyllönen氏は、バルセロナにある5つ星のホテ ルでポーカーの試合に参加していました。日中試合に参加 し、休憩時間に部屋に戻ってみると、所有するラップトップパ ソコンがなくなっていました。ホテル側にそのことを届け出 た後、再び部屋に戻ると、 ラップトップが置かれていました。 しかし、正しく起動しません。何かがおかしい、 とKyllönen 氏は感じました。 そこで、ラップトップのセキュリティが侵害されているので はないかと思い、エフセキュアに分析を依頼してきたので す。私たちは、完全なフォレンジックイメージを作成して、調 査を開始しました。間もなく、Kyllönen氏の予感が正しかっ たことがわかりました。ラップトップは確かに感染していまし た。感染したのはリモートアクセストロイの木馬(RAT)で、 タイムスタンプはラップトップがなくなった時刻と一致して いました。攻撃者がUSBメモリスティックを使ってこのトロ イの木馬をインストールし、 ラップトップの再起動のたびに 自動で開始されるよう設定したことに間違いありませんで した。このRATを使えば、攻撃者はリモートからラップトッ プに表示されるあらゆる情報を見ることができます。たとえ ば、 オンラインポーカーゲームで、被害者の持ち札を見るこ とができます (右側の画像を参照)。このマルウェアは、 ソー スコードを難読化していますが、それほど複雑ではありませ ん。また、 Javaで作成されているため、 どのプラットフォーム (MacOS、Windows、Linux)でも実行することができま す。この種の攻撃は、非常に一般的で、私たちが知っている どのオンラインポーカーサイトに対しても機能します。 Kyllönen氏のラップトップを分析した後、他の被害者はいない か調査を開始しました。そして、Henri Jaakkola氏という別の プロのポーカープレイヤーも被害を受けていたことが判明し ました。Jaakkola氏も同じ試合に出場しており、Kyllönen氏 と同じ部屋に宿泊していました。彼のラップトップにもまったく 同じトロイの木馬が仕掛けられていたのです。 プロのポーカープレイヤーが、専用のトロイの木馬によっ て標的にされたのは、今回が初めてではありません。エフセ キュアでは、過去にもマルウェアによって数十万ユーロが盗 まれた事例を複数調査したことがあります。これらの事例 が注目に値するのは、使われている攻撃がオンライン攻撃 ではなかったという点です。つまり、攻撃者は、わざわざ現 場に来て被害者のシステムを狙ったのです。この事例は、 「シャーキング」という独自の名前を持つのにふさわしい 攻撃者に表示される、オンラインポーカーゲームの通常の画面 (カードが画面前方にある) RATにより、感染したマシンのユーザの持ち札が 攻撃者に表示される (この場合、2枚のクイーン)。 よって、攻撃者はポーカーゲームで有利となる ほど大きな影響を持つ、 プロのポーカープレイヤーへの 標的型攻撃です (俗に 「ポーカーシャーク (ポーカーの名 人)」と呼ばれています)。これは上級ビジネスマネージ ャを標的としたホエーリング攻撃に似ています。 この話から、 どのようなことが学べるでしょうか。大金を 扱うラップトップを所有している場合は、安全に保つこと が必要です。 このアドバイスは、 オンラインの試合にラッ プトップを使用するプロのポーカープレイヤーに対して はもちろん、世界中に多額の資金を送金する大企業の ビジネスコントローラに対しても当てはまります。 注記:この記事は、2013年12月10日付の同じタイトルのエフセキュアのブログ記事から抜粋したものです。 F-SECURE | 2013年下半期 脅威レポート ケーススタディ 狙われるアジア 16 MEVADEの詳細 17 エクスプロイトキット 20 被害が集中するAndroid 22 Webプライバシーの現状 30 感染ベクトルのプロファイル 33 Macマルウェア 35 15 アジア F-SECURE | 2013年下半期 脅威レポート 狙われるアジア 飛躍的な発展を見せるアジアでは、それに伴いエフセキュアのクラウドベースシステムに報告されるマルウェアの検出 件数が増加しています。このレポートでは、2013年下半期に日本、マレーシア、台湾、香港、 フィリピン、およびインドか ら報告されたマルウェアの検出から作成した統計に見られる、いくつかの傾向について説明していきます。 相変わらず発生しているDownadup エフセキュアが識別するワームの中で目立っているものは Downadup(メディアでの別名はConficker)で、その存 在感はこの地域で報告された感染の中でも依然として突出 しており、特にマレーシアでは検出件数が1位となっていま す。また、 フィリピンと台湾でもConfickerの感染報告は多 数に上っています。Confickerは発生から5年以上経過して いるので、 このマルウェアが依然として、当社のアジア地域 の統計に現れているのは、非常に驚くべきことです。2008 年10月に、マイクロソフトは、 このワームが悪用する脆弱性 についてユーザに警告し、その後ただちにこの脆弱性に対 応した緊急セキュリティパッチをリリースしました。アジアで このワームが引き続き広まっていることは、少なくとも、 アジ アにこのパッチを適用しないで実行されているWindows XPが現在も多数存在している可能性を示しています。 Mailcabの感染 台湾では、X97M.Mailcabとして当社が識別する非常に 古いマクロウイルスが、2013年下半期に同地域で最も 検出された感染となっています。2012年の末に初めて 発見されたMailcabは、Microsoft Excelワークブックを 介して拡散され、電子メールの添付ファイルとして配信さ れます。 この悪意のあるファイルをいったん開くと、Office スイートのセキュリティ設定が低下し、 このファイルのコピ ーがOutlook電子メールクライアントのメッセージに記載 されている連絡先に、電子メールを介して送信されてしま います(ワームに似た特徴を持っています)。 マクロウイルスとワーム(Confickerなど)は一時期こそ数 多く見られましたが、 ソフトウェア開発者がファイルへの感染 や過去に見られたような大きな拡散を防ぐセキュリティ機能 を導入したことで、その数は近年大幅に減少しています。よ って、引き続きMailcabが非常に多く存在することは、むし ろ驚くべきことといえます。Mailcabが統計に表れるという ことは、アジアではビジネス上重要なプログラムの古いバー ジョンが現在も幅広く使われていることを意味しています。 モバイル この間インドでは、安価なAndroidスマートフォンとワイヤ レスブロードバンドの普及により、モバイルでの検出が、こ の国から報告される統計で特に目立つようになりました。 大 多 数が、比 較 的 懸 念する必 要 のない 、不 要と思われる アプリケーション(PUA)に関連する検出ですが、インドで 報告されている悪意のあるプログラムで最も一般的なの は、Trojan:Android/GinMasterです。このマルウェアは、 ト ロイの木馬化されたアプリを介して配信され、 インストール時 に、エクスプロイトを使用して追加のアプリをデバイスにイン ストールし、情報を盗みます。当社がマルウェアとして識別す るほとんどのAndroidアプリと同様、 これらのプログラムは、 主にサードパーティのアプリストアを介して配信されます。 出典 16 より一般的な傾向として、 インドでは、以前は頻繁に発生 したものの、ほとんどの国でほぼ絶滅したさまざまな脅威 が、引き続き報告されています。特に、Sality、Ramnitお よびAutorunファミリーの亜種が、 この国の統計では目立 っています(これらはそれぞれ、多様な形態のファイル感 染型ウイルス、 ファイル感染機能を持つワーム、およびワ ームです)。繰り返しになりますが、 これらの脅威は、被害 を受けたソフトウェアの開発者によって数年前に対策が講 じられているので、引き続きインドで発生していることは、 更新されていない古いソフトウェアを実行するマシンが多 数存在することを表しています。 Java 2013年下半期は、 日本でJavaを標的にしたエクスプロイ トが減少していることを確認しました。この脅威は、2013 年上半期には蔓延しており、特にMajavaファミリーとして 検出された脅威が蔓延していました。ほとんどの企業が、 多くの社内アプリケーションとレガシーシステムの基盤と してJavaを実行しています。以前、ハッカーはパッチが適 用されていないJava環境を標的としていましたが、 この 背景には、Oracleが脆弱性の発表を短い間隔で、頻繁に繰 り返していたということがありました。 しかし、 エフセキュア では、最近Java関連の検出が減少していることから、現在 はJavaまたはJavaプラグインを使用している環境の多く に、 パッチが適用されているという印象を持っています。 Windows XP 最後にデスクトップコンピュータの話題についてです が、Windows XPが引き続き個人のコンピュータユーザ および企業のコンピュータユーザの間で最も人気のある ソフトウェアとなっており、現在、全PCユーザの約30%が 使用しています[1]。ユーザの大部分はアジアのユーザで、 この地域では現在も著作権の侵害が広く行われていま す。また、 ブルームバーグビジネスウィークによると[2]、全 体の90%ものATM機器が依然としてWindows XPを 実行しており、 このことも注目に値します。 マイクロソフトは、最近Windows XPが2014年4月8日 にサポート終了(EOL) を迎えることを発表しました。これ は、XPユーザにとって、 この日以降新しいセキュリティ更 新、 セキュリティ以外のホットフィックス、サポートオプショ ン、 さらにはオンラインの技術コンテンツの更新が提供さ れなくなることを意味します。セキュリティを保護するため に、ユーザに対して、オペレーティングシステムを最新の Windowsのバージョン、 つまり8.1か最低でもWindows 7にアップグレードすることを強くお勧めします。いずれの バージョンも、現在XPに比べて既知の脆弱性がはるかに 少なく、 優れたセキュリティの枠組みを備えています。 1. Net Applications『 Desktop Operating System Market Share(January, 2014) (デスクトップオペレーティング システムの市場シェア(2014年1月))』 http://www.netmarketshare.com/operating-system-market-share.aspx 2. ブルームバーグビジネスウィーク、 ニック・サマーズ『 ATMs Face Deadline to Upgrade From Windows XP(Windows XPからのアップグレードの期限に直面するATM)』2014年1月16日公開 http://www.businessweek.com/articles/2014-01-16/atms-face-deadline-to-upgrade-from-windows-xp F-SECURE | 2013年下半期 脅威レポート MEVADEの詳細 その後、Mevadeは複数の亜種を生み出し、それぞれ が異なる機能を備えています。当社の検出に関する 統計によると、最も蔓延している亜種はダウンローダ で、Mevade全体の検出のうちおよそ97%を占めて います。 この 亜種のサンプルにある文字列(図1) を見 ると、 これはスタンドアロンの亜種というよりは、 インス これが、単なるアップデータコンポーネントであるとした ら、実際のペイロードはどうなっているのでしょうか。この 分析の時点では、 これらのドメインのうち、 ホストが解決で きたものはありません。ただし、 エフセキュア には、 システ ム内のファイルの履歴を確認できる製品があります。この 製品により、当社は、 このコンポーネントが他のMevade サンプル、中でもTorを使用 する亜種をインストールする ことを確認しました。 このデータは、さらに当社の 統計によって裏付けられま す。Mevadeダウンローダコンポーネントを統計から除外 すると、上位3つのサンプルはトロイの木馬の亜種になり ます。合計すると、 これらが占める割合は、残りの亜種の 図1:ダウンローダコンポーネント内のモジュール名 トーラとしての機能も備えたアップデータコンポーネ ントに過ぎないことがわかります。インストーラを遮断 してしまえば、他のコンポーネントはシステムに感染す ることができない ため、この発見は 当社の統計の数 字の裏付けとなり ます。この文字列 は、このトロイ の 木 馬が、アドビ の Flash Playerの アップデートサー ビスを装って自身 を隠すために使う 図2:Flash Playerのアップデートサービスを装うMevade 文字列とも一致し ます (図2)。 80%を超えます(図3)。上位2つのサンプルがコンパイ ルされたのは、 ともに2013年9月1日で、第3位のサン アップデータコンポーネントは継続的にコマンドアンド プルがコンパイルされたのは、2013年8月23日です。 コントロール(C&C)サーバに対してポーリングを行い、 インストールの指示がないか確認します。この要求は、 先に説明したように、 これらの亜種は、 システムにTorク 以下のような形式になります。 ライアントをインストールします。Torについてご存じな い方に説明しますと、Torとは、 メンバーが互いに匿名と • http://{SERVER}/updater/{UUID}/{VERSION} なる、 インターネット上の仮想サブネットワークです。通 常は、ユーザがインターネットの他のサーバを訪問する ここで、{UUID}は感染したホストの固有の識別子であ 際に、 自分自身を匿名化するためのトランジットネットワ り、マシンのGUID(HKLM\Software\Microsoft\ ークとして使用されます。 Cryptography)およびボリュームのシリアル番号から派 生したものです。一方{SERVER}は、マルウェアにハード それほど一般的ではないTorの使用方法として、その仮 コードされたドメイン名のリストから選択されます (図1)。 想ネットワーク内にある隠しサーバをホストすることがあ 表1:ダウンローダコンポーネントにハードコードされている ドメイン名 svcupd[dot]net updsvc[dot]com srvupd[dot]com updsvc[dot]net srvupd[dot]net updsrv[dot]net ります。ここで言う 「隠し」とは、Torクライアントを使わず にインターネットからサーバにアクセスすることはできな いという意味です。また、隠しサーバは物理的に追跡する ことはできないため、違法なサービスを運営する犯罪者 にとっては、 オフラインにならなくても法執行者から身を 隠すことができる理想的な場所にもなります。さらに、 こ の場所で、Mevadeの作者はC&Cサーバをホストするた め、Torクライアントのインストールが必要となります。 17 Mevade Mevadeは、2013年下半期に最も蔓延したマルウェアファミリーの1つで、同期間における当社の合計マルウェア検出 件数の約3%を占めました。ただし、Mevadeは、正確には新種のマルウェアではありません。正式にこのファミリーの名 前が付けられた亜種が、2012年12月に当社のシステムにより初めて確認されており、 またFox-ITの研究者たちにより、 関連する検出名に基づいて2009年にまでさかのぼった初期の種類のウイルスとこのマルウェアが関連付けられまし た。この研究者たちは、2013年8月末に発生したTorユーザの急増も、 このマルウェアに原因があるとしています[1]。 F-SECURE | 2013年下半期 脅威レポート Mevade MEVADEのサンプルの分布 ダウンローダサンプル以外のハッシュ 通常、セキュリティ研究者は、 ドメイン名の登録機関 と協力して、ボットネットに関連するドメイン名のレコ ードを変更し、代わりに研究者によって制御されてい るサーバにボットネットを誘導します。このプロセスは Sinkholingと呼ばれ、 ボットネットの調査、評価、および 遮断のために行われます。ただし、Torネットワークのサ ーバは、サーバの運営者だけがアクセスできる秘密鍵か ら派生した偽名をドメイン名として使用しているに過ぎ ません。これらの名前は、 インターネットのドメイン名と はまったく関係ありません。秘密鍵がない場合、 これら の偽のドメイン名を機能させることはできません。この ようなことから、 またTorネットワークの匿名性から、 ボッ トネットは理論的にはシンクホールの捕捉とテイクダウン (サイト停止) から守られます。 Torネットワーク内のサーバ以外にも、 エフセキュアでは 通常のHTTPサーバを使ってC&Cサーバと通信する2 つの亜種を発見しました(これらは、2013年9月14日 よりも後にコンパイルされています)[2、3]。図4は、 この マルウェアのコマンドアンドコントロールのセットアップ を要約しています。また表2と表3では、 このマルウェア にハードコードされたドメイン名を示しています。 表2:Torネットワーク内にあるMevadeの C&Cサーバの偽のドメイン名 図3:ダウンローダ以外のサンプルの分布 MEVADEのセットアップ 通常のHTTP接続 pomyeasfnmtn544p[dot]onion wsytsa2omakx655w[dot]onion ijqqxydixp4qbzce[dot]onion lqqth7gagyod22sc[dot]onion 7fyipi6vxyhpeouy[dot]onion lorpzyxqxscsmscx[dot]onion onhiimfoqy4acjv4[dot]onion mdyxc4g64gi6fk7b[dot]onion 6tlpoektcb3gudt3[dot]onion ye63peqbnm6vctar[dot]onion qxc7mc24mj7m4e2o[dot]onion 7sc6xyn3rrxtknu6[dot]onion lqqciuwa5yzxewc3[dot]onion l77ukkijtdca2tsy[dot]onion 表3:代替のC&Cサーバの通常のドメイン名 匿名HTTP接続 angelikajongedijk[dot]no-ip[dot]biz stuartneilseidman[dot]dyndns[dot]pro Torネットワーク (匿名) インターネット 図4:Mevadeのコマンドアンドコントロールのセットアップ 18 他のマルウェアでは通常発見されないMevadeの特 徴の1つに、Kadピアツーピアネットワーク上でのファ イル共有機能があります。Kadネットワークを利用する のは、 このマルウェアが初めてではありません。悪名高 いTDLマルウェアが、Kadネットワークを介してコマン ドの送受信を行うことで、テイクダウンに対する耐性を 確保していることが知られています[4]。一方、現時点で は、Mevadeは同様な機能があることを示していませ ん。今のところ、 このマルウェアは、HTTPを介してC&C サーバと通信を行うだけのようです。このことは、Torネ ットワーク内に配置されたサーバと配置されていない サーバのどちらにも当てはまります。表4では、 このマル ウェアとC&Cサーバとの通信について要約しています。 F-SECURE | 2013年下半期 脅威レポート 場所 説明 http://{SERVER}/data マルウェアがKadネットワークのピ アのリストをダウンロードする場所 http://{SERVER}/cache マルウェアが統計データを報告す る場所 http://{SERVER}/policy マルウェアがコマンドを取得する 場所 この規模のボットネットにしては、C&Cサーバから応答 がないのは異常です。この分析の時点では、 まるで運営 者がふさわしい買い手を待っているかのようです。もち ろん、サーバがすでにSinkholeの捕捉を受けていたり、 停止に追い込まれていたりする可能性もあります。 しか し、先に説明したとおり、 このような操作は不可能ではな いにしても、実現するのは非常に困難なため、成功して いるとは考えられません。少なくともTorネットワーク内 のサーバに対しては成功していないでしょう。 より可能性が高いのは、 ボットネットの運営者が、 ビットコ インマイニングのソフトウェアをインストールすることで 感染したマシンの処理能力を利用した、あるいは貸し出 したという状況です。研究者は、Mevadeによって利用 されたドメインと歴史的に関連があるドメインの一部が、 ビットコインマイニングの活動に使われていることを発 見しました[5]。ビットコインマイニングは、 マルウェア向け マルウェアがホビイストによって作成される日々は、 とう に過ぎ去りました。その当時マルウェアは、非常に具体 的な動機により作成されていました。 しかし、Mevadeの 場合は、サンプルを見ただけでは目的を判断するのは困 難です。この分析の時点で、 オンラインになっているTor ネットワーク内のC&Cサー バはありません。また、有効 な応答を返す通常のHTTP C&Cサーバもありません。 図5:メインコンポーネント内のモジュール名 このマルウェアがサポート するコマンド(表5)に基づ の収益化の手法として好まれているものの1つです。そ いて、 ボットネットの運営者は事実上、感染したシステム の理由は、2013年にビットコインの価値が急激に上昇 上で自分が望むあらゆる操作を行うことができます。 したからです[6]。また、 ボットネットから収益化する際に、 攻撃的ではない手法をとるため、 感染したユーザが気付 図5:メインコンポーネント内のモジュール名 いてマルウェアを削除する可能性が低くなります。 update execute mirrors share update-config 私たちができるのは、サンプルで見つかった文字列に基 づいて推測することだけです。マルウェアの作者は、 メ インモジュールの1つに名前を付けるために「adw」 (図 5) を選択したようです。 「adware(アドウェア)」とも思 える名前から判断すると、サードパーティのアドウェアを インストールして収益を得る目的で、 このマルウェアが 作成された可能性がうかがえます。または、当初はその 目的のためにこのマルウェアを考案しながらも、その後 インストールごとに支払いを受ける方式での収益化に まで至ったのかもしれません。 出典 1. Fox-IT、 ydklijnsma『 Large botnet cause of recent Tor network overload(最近のTorネットワークの過負荷を引き起 こした大規模なボットネット)』2013年9月5日公開 http://blog.fox-it.com/2013/09/05/large-botnet-cause-of-recent-tor-network-overload/ 2. サンプル:sha1 hash: e17eeb872c12ce441ff29fc3ab21d74b008c70f5 3. サンプル:sha1 hash: 8a5f79e405844ebbb41b417d8a2e0c9759d6a6dd 4. About.com、 メアリー・ランデスマン『 TDSS aka TDL: A Botnet Framework(TDSS(別名TDL) :ボットネットフレームワーク)』 http://antivirus.about.com/od/virusdescriptions/p/Tdss-Aka-Tdl-A-Botnet-Framework.htm 5. AnubisNetworks Blog、 João GouveiaとMartijn Grooten『 UnknownDGA17:The Mevade connection(UnknownDGA17:Mevadeの接続)』2013年11月7日公開 http://www.anubisnetworks.com/unknowndga17-the-mevade-connection/ 6. ブルームバーグ、Olga Kharif『 Bitcoin Tops $1,000 as Virtual Money Gains Popularity (高まる仮想マネーの人気 に伴い、 ビットコインが1,000ドルを超える)』2013年11月28日公開 http://www.bloomberg.com/news/2013-11-27/bitcoin-surges-to-1-000-as-virtual-money-gains-wider-acceptance.html 19 Mevade 表4:コマンドアンドコントロールの要約 エクスプロイトキット F-SECURE | 2013年下半期 脅威レポート エクスプロイトキット 新しい挑戦者 2013年下半期には、エクスプロイトキットによる脅威の歴史上、最大のニュースがありました。Blackholeエクスプロ イトキット[1]の作成者および配布者と疑われる 「Paunch」が逮捕されたのです。このニュースの影響は、当社の監視シ ステムでも明らかでした。Paunchは10月に逮捕されましたが、同じ月のCoolおよびBlackholeによる感染はともに 減少しました (図1を参照)。ただし、同時に、Angler、Styx、およびNuclearなど他のエクスプロイトキットの増加(図2 参照) も見られ、 これは、おそらくPaunchの逮捕という機会に乗じようとした結果ではないかと考えられます。 Coolエクスプロイトキットを使用していることで知られ るRevetonギャングは、ただちに行動を起こし、新しい キットを使用し始めたことがわかっています。セキュリテ ィ研究者のKafeineによると、 このニュースの報道後 2~3時間でRevetonはWhiteholeエクスプロイトキ ットによりプッシュ配信されました。その翌日、Kafeine は、RevetonギャングがAnglerの使用を開始していた と述べています。このことは、Coolに代わるキットが発 見されたという可能性を示しました。 2013年下半期のBlackholeとCool 図1:BlackholeとCoolによる感染の低下 2013年下半期に蔓延したエクスプロイトキット • • • • • http://ku[...]va.da[...]in.ca/se2v9pa2gx http://tn[...]ig.pi[...]et.com/s6u9qe8qtk http://ha[...]an.na[...]lq.com/m2b3hvvg2n http://je[...]ne.ma[...]ne.com/1gi0tjg36m http://ve[...]at.xa[...]ls.com/gwxywna71f ランディングページにも、重要な特徴があります。当 初、ランディングページのタイトルは「Gmail」でした。 その後、 タイトルは「Microsoft apple.com」 に変更 されます。そして、12月には、 タイトルは再度変更され、 「Micrsoft apple.com」 となりました (「o」が抜けてい ることに注意してください) (図3を参照)。 図3: 「Micrsoft apple.com」に変更された ランディングページのタイトル その他のランディングページの目立った特徴に、脆弱な プラグインの警告としてウィンドウオブジェクトのプロパテ ィを使用する点があります。すべてのプロパティには、共 通の接頭辞が付けられていて、 ときどきこのキットの作者 が更新します。たとえば、11月中旬、接頭辞は「sterling」 で、 プロパティはwindow.sterlingj、window.sterlingf、 および window.sterlings であり、それぞれが脆弱な バージョンのJava、Flash、およびSilverlightの存在 を知らせるようになっていました。12月末に、接頭辞は 「zitumba」に変わりました。 エフセキュアは、このランディングページをExploit:JS/ AnglerEK.Aとして検出します。 図2:Angler、 Styx、Nuclearによる感染が増加 当社の監視システムでAnglerエクスプロイトキットが 最初に見つかったのは、9月の最終週のことです。通常 このキットは、 マルバタイジングにより配布されます。 ランディングページとURLのパターン AnglerのURLは、これまでのところ非常にわかりや すい形式になっており、識別することができます。次に URLの例をいくつか示します。 20 エクスプロイト Internet Explorer CVE-2013-2551 Anglerの登場 Flash Java CVE-2013-0634 Flash CVE-2013-2465 CVE-2013-5329 Silverlight 9月 10月 11月 12月 図4:Anglerの脆弱性サポート F-SECURE | 2013年下半期 脅威レポート Internet Explorer CVE-2013-2551に対するInternet Explorerのエクス プロイトが 、2 0 1 3 年 1 2 月に A n g l e r に 追 加 され ました 。この 脆 弱 性 は、2 0 1 3 年 3 月に開 催 され た CanSecWest 2013において、Pwn2Ownコンテスト でVUPENにより説明されました。その後2013年5月、 マイクロソフトはこの脆弱性にパッチで対応しました。 Java 2013年9月にAnglerが最初に出現したとき、含まれてい たエクスプロイトは1つだけで、Javaの脆弱性CVE-20132465のみを標的にしていました。この脆弱性は2013年6 月にリリースされたJava 7 update 25でパッチにより対応 されました。 2013年12月、Anglerが同じJavaの脆弱性を依然 として悪用していることがわかりました。ただし、この エクスプロイトの提供方法には興味深い点がありまし た。JARがgzipおよびPack200を使用して圧縮され ていたのです。この圧縮方法は、特にJARアーカイブに 対して最も適しています。AnglerはPack200を利用す る最初の(現時点で唯一の) エクスプロイトキットです。 エフセキュアは、Anglerに含まれるこのJavaエクスプ ロイトをExploit:Java/CVE-2013-2465.Aおよび Exploit:Java/Majava.Jとして検出します。 Flash 最初のFlashのエクスプロイトがAnglerに追加されたのは 2013年11月でした。このエクスプロイトは、2013年2月にパ ッチで対応された脆弱性CVE-2013-0634を悪用しました。 このFlashのエクスプロイトは、さまざまな方法で暗号化と難 読化を利用します。このエクスプロイトの外部のレイヤは、1 バイトのXORキーを使用して、埋め込まれたFlashを解読し、 ロードします。内部のFlashのメソッド名、 クラス名、および変 数名は、_e_-----、_e_--_、および_e_--_-のような名前に難読化 されていました(図5を参照)。さらに、最も重要な文字列が AES128を使って暗号化されていました。この文字列は、内 部に格納されている解読キーを使用して、その場で解読され ます。たとえば、この脆弱性を引き起こす正規表現の文字列 が、AES128の暗号化形式で格納されています。 2013年12月、Anglerに、2013年11月にパッチで対応さ れたFlashの脆弱性CVE-2013-5329へのサポートが追加 されました。Anglerはこの脆弱性を悪用する最初のキットとな りました。同時に、そのFlashファイルには、依然としてCVE2013-0634を狙ったエクスプロイトが含まれています。 最も外側のレイヤの暗号化は、1バイトのXORからRC4に更 新されました。単に暗号化キーをFlashに格納してからロード するのではなく、キーは実行時にActionScriptに1バイトず 図5:難読化されたメソッド名、 クラス名、変数名 つ設定されます。このエクスプロイトの作者は、埋め込まれた Flashオブジェクトをロードすることにも特別の注意を払って いました。この作者たちは、広く知られている、より一般的な flash.display.Loader.loadBytesメソッドの代わりに、flash. system.WorkerDomain.createWorkerメソッドを使用して います。さらに、Flashオブジェクトのロードに関わるすべての 文字列(つまり、クラス名やメソッド名)は、AES128暗号化で 保護されており、その場で解読されます。RC4が解読されると、 これ以上の難読化または暗号化レイヤはなくなり、解読された Flashには、 「attack」、 「Shellcode」、および「DoExploit」の ような文字列が含まれます。 エフセキュアは、Anglerに含まれるこのFlashのエクスプ ロイトをExploit:SWF/Salama.Hとして検出します。 Silverlight 11月、AnglerはSilverlightに対するエクスプロイトを導入 し、Silverlightを悪用する初めてのエクスプロイトキットと なりました。このエクスプロイトは、CVE-2013-3896と CVE-2013-0074という2つの異なる脆弱性を標的にしまし た。CVE-2013-3896は、攻撃者にプロセスメモリに関する 情報を開示し、その情報を使ってASLRとDEPを迂回すること を可能にします。この脆弱性はマイクロソフトによって2013 年10月にパッチで対応されました。もう1つの脆弱性である CVE-2013-0074は現在のユーザのセキュリティコンテキス トでコードを実行するために悪用されます。この脆弱性は、マ イクロソフトによって2013年3月にパッチで対応されました。 Silverlightに比べて、FlashとJavaは市場シェアで大きく 上回っていますが、Anglerの作者がSilverlightのエクス プロイトを追加したのは、少なくとも2つの理由があると考 えられます。1つ目の理由として、2013年10月に、機能 するエクスプロイトが完全なソースコードとともにPacket Stormにリリースされたため、追加するのが簡単であった ことが挙げられます。2つ目の理由は、少なくとも1つの非 常に人気の高いWebサイト、つまりNetflixで、Silverlight が必要であるという点です。Netflixには、4,000万人を 超える視聴者がおり、視聴者はビデオストリーミングに Silverlightを使用しています。 エフセ キュア は 、S i l v e r l i g h t の エクスプ ロイトを Exploit:MSIL/CVE-2013-0074Eとして検出します。 出典 1. Krebs on Security、 Brian Krebs『 Meet Paunch:The Accused Author of the BlackHole Exploit Kit (『「Paunch」とは:告発されたブラックホールエクスプロイトキットの作者)』)2013年12月6日公開 http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/ 21 エクスプロイトキット エフセキュアは、Anglerに含まれるCVE-2013-2551エ クスプロイトをExploit:JS/AnglerEK.Aとして検出します。 F-SECURE | 2013年下半期 脅威レポート 被害が集中するAndroid Androidが引き続き最も標的にされるモバイルオペレーティングシステムであることに、この時点で驚く人はいません。2013年 末までに、Androidプラットフォームに対する脅威として、804の新しいファミリーまたは亜種が見つかりましたが、これは新しい脅 威の97%に相当します。残りの23件(年間総合件数の3%)の新しい脅威は、Symbianを標的としたものでした。他のプラットフ ォームについては、昨年、新しい脅威はありませんでした。昨年後半のモバイル脅威を見ると、攻撃の対象があまりにもAndroidプ ラットフォームに偏っているため、本脅威レポートではAndroidユーザを標的にした脅威に関する調査のみを取り上げます。 2013年下半期に、当社のモバイルセキュリティ製品ユー ザからクラウドベースシステムに報告されたAndroidマ ルウェア検出数は、上位10カ国の合計で14万あまりでし た。 しかし、同期間に報告されたデスクトップ関連の検出数 と比べればごくわずかです。総数は比較的少ないですが、 モバイル脅威の現在の進展状況には目を向けてみる必要 があります。現在の進展状況を見れば、 マルウェアの作成 者が多くの犠牲者と利益を生み出すために、必死で手口 に磨きをかけていることがわかります。 Fakeinstファミリーと、SmsSendファミリーで、 ヨーロッ パではほとんどどこでも同じように見られます。 ANDROID セキュリティ拡張機能 マルウェア作成者がAndroidプラットフォームに極端に集中し ているにもかかわらず(というより、おそらくこれが原因です が)、GoogleがAndroidプラットフォームのセキュリティ強化 に積極的に取り組んでいないと言うのは間違いです。このハ イテク大手がリリースする新バージョンの一つひとつに、マル ウェアの影響を軽減するセキュリティ関連の変更点が数多く メッ 2013年下半期、上位10カ国で当社システムに報告さ 含まれています。たとえば、Android 4.3(Jellybean)は、 れたAndroidのマルウェア検出のうち、75%がサウジア セージングアプリが短時間に大量のテキストメッセージを送 ラビアとインドからのものでした。それに比べ、10位以内 信する場合、アクティビティの確認メッセージを表示する機能 のヨーロッパ5カ国を合計しても、報告された総検出数の が追加されました。これは、警告なしで数百通ものSMSメッセ 15%あまりに到達しません。当社はさらに分析を行い、 ージを送信するアプリへの対策として有効です(しかしグルー 特定の地域または国で当社モバイル製品ユーザが最もよ プテキストを定期的に送信するユーザには不評のようです)。 く直面する 脅威の概略図を作成しました (次ページ)。注 Android 4.4(Kit Kat)の9月リリースには、複数のセキュリテ 目すべきパターンは、GinMasterトロイの木馬ファミリー ィ拡張機能が含まれていますが、このバージョンの隠し機能で が広範に分布していることです。ヨーロッパ、 アジア、南北 あるAppOpsが削除されたことは、インストール済みアプリによ アメリカ大陸のすべてでマルウェアファミリーの上位3位 って使用されるアクセス許可をより細かく制御したいと考える に入っています。同じくらい蔓延しているのが、大規模な 人にとっては、一歩後退するものと解釈されるかもしれません。 プラットフォーム別のモバイル脅威*、 2013年と過去との比較 2000 - 2013 2013年のみ Symbian 605, 32% 23, 3% Android 1,238, 65% 804, 97% <1% J2ME iPhone BlackBerry Palm Windows Phone PocketPC 20, 41, 2% 1% *す べてのモバイルプラットフォームの新しいファミリー、また は既存ファミリーの新たな亜種の数。 出典 更新ごとにリリースされたさまざまな拡張機能は、 プラッ トフォーム自体のセキュリティを徐々に向上しています が、実際のユーザごとのセキュリティには大きなばらつき があります。その一方で、さまざまなデバイスベンダの Androidエコシステムが本質的にバラバラであるため、 す べてのユーザについて一貫したセキュリティレベルを確保 することは基本的に不可能です。つまり、ほとんどのユー ザにとって、 デバイスのセキュリティは比喩的にも、実質的 にも、 自らの手に委ねられているのです。 ユーザのエクスプロイト デスクトップを標的にしたマルウェアとは異なり、今のところ Androidマルウェアのほんの一握りだけが、オペレーティン グシステムにおける脆弱性を標的にしています。中でも注目 すべきは、2013年初頭に発表されたいわゆるMasterkey 脆弱性です(Androidの脆弱性に関する詳細については28 ページを参照)。後に、 この脆弱性に対するエクスプロイトを 含む一握りのプログラムがサードパーティアプリのサイトで 発見されましたが、今のところ、 これはルールに対する例外 です。これは単に、Androidプラットフォームの脆弱性がこれ まで比較的少なかったことが原因かもしれません。2013年 に公表されたのはわずか7件でしたが[1]、iOSプラットフォー ムで同時期に公表されたのは90件に上りました[2]。 しかし、 もっと皮肉な見方をすれば、マルウェアの作成者がユーザを 騙すだけでデバイスへのアクセス権を入手して悪事を働く ことができれば、わざわざデバイスを悪用するために複雑な 方法を見つけようとする可能性は低くなるということです。 1. CVE Details:Google > Android > Vulnerability Statistics(脆弱性統計情報) http://www.cvedetails.com/product/19997/Google-Android.html 22 2. CVE Details:Apple > Iphone Os > Vulnerability Statistics(脆弱性統計情報) http://www.cvedetails.com/product/15556/Apple-Iphone-Os.html 2013年下半期におけるAndroid マルウェアの検出数上位10カ国(%) 100 サウジ アラビア 42% 20 フィンランド、5% 15 50 インド 33% 10 その他 20% % 5 上位3ファミリー: GinMaster Fakeinst QDPlugin 上位3ファミリー: SmsSend GinMaster Fakeinst 英国、2.8% スウェーデン、2.6% エジプト、1.8% % サウジアラビアの 上位3都市: リヤド ジッダ ダンマーム ドイツ、3.2% 香港、2.7% 米国 5% インド 上位3都市: ムンバイ ハイデラバード ニューデリー オランダ、1.6% 2013年下半期、当社のクラウドベースシステムに報 告されたAndroidマルウェア検出数は、上位10カ国 合計で140,000件あまりでした。そのうちの過半数 が、 サウジアラビアとインドからの報告で、残りの検出 件数の25%はヨーロッパの大部分に点在しており、 その他に目についたのは香港とエジプトだけでした。 2013年下半期、上位10カ国における 上位3つのマルウェアファミリーと都市 (単位:検出数) 1K - 5K 5K - 10K 10K - 20K > 20K 0 - 50 50 - 200 200 - 500 500 - 1K 右の地図は、当社のクラウドベースシステムに報告された 既知のAndroidマルウェアファミリーの検出数に基づく、 上位10カ国(上記参照)における、上位3都市を示しています。 また、上位10カ国で報告数が最も多い3つのAndroid マルウェアファミリーも比較しています。ただし、説明上、 香港特別行政区を1都市として扱っています。 米国 上位3都市: レッドウッドシティ ブルックリン シカゴ 上位3ファミリー: GinMaster InfoStealer Vdloader フィンランド 上位3都市: ヘルシンキ エスポー タンペレ スウェーデン 上位3都市: ストックホルム ヨーテボリ マルメ 英国 上位3都市: ロンドン バーミンガム マンチェスター 上位3ファミリー: Fakeinst 上位3ファミリー: GinMaster Fakeinst SmsSend SmsSend GinMaster オランダ 上位3都市: アムステルダム ユトレヒト ロッテルダム 上位3ファミリー: GinMaster Fakeinst Vdloader 香港(差込図) 上位3ファミリー: Fakeinst Vdloader GinMaster ドイツ 上位3都市: ベルリン ミュンヘン 上位3ファミリー: カッセル GinMaster Fakeinst 上位3ファミリー: SmsSend GinMaster Fakeinst SmsSend エジプト 上位3都市: カイロ アレクサンドリア マンソウラ 上位3ファミリー: GinMaster Fakeinst QDPlugin F-SECURE | 2013年下半期 脅威レポート 2000年〜2013年 利益を動機とするモバイル脅威* 利益が動機ではない 利益が動機 モバイルの脅威 * 種類別、2000年〜2013年 リスクウェア、 5% 657 トロイの木馬、75% 監視-ツール、 4% ANDROID 124 悪意のあるアプリとアクセス許可 概して、Androidを標的とした悪意のあるアプリの大半は、ユ ーザとデバイスとの対話メカニズムを悪用しています。最も一 般的なマルウェアであるトロイの木馬(上記)は、悪意のあるル ーチンをクリーンな正規プログラム(通常は人気ゲームやカジ ノのアプリ)のパッケージに組み込み、 クリーンなアプリを連想 させる新しい名前で、さまざまなアプリストアで再配布されま す。再パッケージ化されたアプリは通常、 トロイの木馬が入って いない元のプログラムよりも多くのアクセス許可を要求しま す。そして、そのアクセス許可を「弱点」として利用し、悪意のあ るルーチンを実行します。ルーチンとしては、SMSメッセージ を送信することも、同様に感染したデバイスのボットネットに接 続することもあります(右下)。再パッケージ化されたアプリは、 その性質上、 ソーシャルエンジニアリングの新しい手法である と言えます。というのも、人気のアプリをインストールして使用 したいというユーザの欲求を利用して、悪意のある動作を実 行するために必要なアクセス許可を得ているためです。 再パッケージ化されたアプリのアクティビティによって、マルウェ アが送信するSMSメッセージや無料のはずのアプリの代金を 支払うことでデバイスユーザに損害が及ぶだけでなく、有料アプ リが再パッケージ化されて無料で配布されたり、またはその代 金が再パッケージ化した人のものになったりすることで、元のア プリの開発者が収入を失うことになります。2013年に報告さ れたモバイル脅威の大半は、利益獲得を動機としていました(上 記)。この期間に検出された悪意のあるアプリに関連して当社が 注目した傾向の詳細については25ページをご覧ください。 2013 2012 2010 2009 0 41 42 23 122639 2 3 5 2008 23 20 0 2007 * すべてのモバイルプラットフォームの固有サンプル数に基づいています。 24 170 128 133 91 2011 バックドア、エクスプロイト、ガーベージ、 トロイの木馬-ドロッパー型、 トロイの木馬-プロキシ型 < 0% 201 189 2006 ワーム、2% トロイの木馬スパイ、1% トロイの木馬ダウンローダ型、1% 2005 スパイウェア、 3% アプリケーション、1% 2004 ウイルス、3% アドウェア、1% 2000 ハック-ツール、 3% モバイルマルウェアの広告 最後になりますが、モバイルマルウェアの最もよく使用され る配布経路は、前期に引き続きサードパーティのアプリサイ トです。 しかし、 この2年、 「警告!あなたは感染しています。こ のアプリをすぐダウンロードして今お使いのデバイスから除 去してください」というようなモバイルブラウザでの広告によ ってプッシュされるマルウェア事件が数多くありました。これ は、ローグウェアの配布方法をデスクトッププラットフォーム からモバイルプラットフォームへ変えたものです。マルウェア 配布経路に関する詳細については、33ページの感染経路の プロファイリングのケーススタディを参照してください。 Androidモバイルボット†、2011年〜2013年 非ボット † 各年のボット機能の検出数 (ファミリーと亜種)に基づく。 ボット F-SECURE | 2013年下半期 脅威レポート アプリとアプリストアの傾向 2013年下半期、当社が認識したまたは報告を受けたモバイルアプリの数は182,015件で、 これらのアプリを分類し ました。収集したサンプルに基づく見解の一部を以下に記載します。 再パッケージされたアプリまたは偽アプリ 2013年下半期に標的とされた開発者/発行元 自らの「作品」をインストールする犠牲者 の数を最大化したいと考えているマルウ 提供されているトロイの木 提供されている総アプリ数 ェアの作成者は、人気のあるアプリ、特に 馬化/偽造されたアプリ ゲームに対する興味を利用することがよ エレク トロニック ・ 442 194 くあります。一般的な手口は、人気のある アーツ 44 クリーンなアプリケーションを再パッケー % ジ化するか、またはトロイの木馬に変え、 ロビオ・エンター 123 195 悪意のあるコードを挿入する方法です。ま テインメント 63 たマルウェアの作成者が、 (同じ名前、 アイ % コンなどを使用して)一見したところクリ 79 KING.COM 148 ーンだが、本来の機能が一切入っていな 53 % い偽のアプリを作成することもあります。 103 再パッケージ化の標的にされる Playストアアプリのトップ8 CRUSH CANDY SAGA ジ: パッケー . g in a com.k ushsag r c y cand % m 7 King.co 1 が署名 POCKET EDITION パッケージ: com.mojang. minecraftpe Mojang 12% が署名 KNIGHTS & DRAGONS パッケージ: com.iugome. lilknights 8% Gree, INC が署名 クラッシュ・オブ・ クラン パッケージ: com.supercell. clashofclans Supercell 10% が署名 SLOT OMAN IA – FREE SLOT S パッケー ジ air.com : .playtik slotom a. ania Playtik a が署名 23% CASTLE CLASH パッケージ: DOUBLEDOWN com.igg. CASINO – FREE castleclash SLOTS Kabam 1 1% が署名 PET RESC UE SAGA パッケージ: com.king. petrescues aga King.com が署名 33% パッケージ: com.ddi Double Down Interactive, LLC が署名 8% % 63 ロックスター・ ゲームス 70 68 アクティビジョン 40 63 % % 含んでいないアプリがあります。このような場合、アプリは (元 のプログラムの開発者ではなく)、再パッケージした人の利益 となる広告関連モジュールを挿入して再パッケージされてい ることがあります。他に 考えられる状況として、代金を支払う ことなくアプリを使用できるようにする追加コードが入ったク ラック済みプログラムも、元の開発者に損害を及ぼします。 トロイの木馬に変えられた人気のアプリ アプリ在庫のかなりの割合が、 トロイの木馬化されていた り、偽バージョンがサードパーティ市場に出回っていたり するため、製品の再パッケージ化や偽造に特に苦しんでい るソフトウェア開発者/発行元(上記参照) もいるようです。 2013年12月中旬、Google Playストアに登録されている 上位20の人気アプリについて、 トロイの木馬化されている 率を調査しました。このとき、元のパッケージとアプリケーシ ョン名を使用しているが、元のアプリより多くのアクセス許 可を要求しているアプリケーションを、 トロイの木馬化された バージョンとしてカウントしています。最も人気がある20の Playストアアプリのうち8つのアプリで、複数のトロイの木馬 バージョンがサードパーティ市場(左記) に出回っていました。 興味深いことに、 トロイの木馬化されたバージョンおよび権 限が変更されたバージョンの両方についてカジノプログラ ムが最も高い割合を占めていました。2013年下半期に見 つかったすべての「Doubledown Casino - Free Slots」サ ンプルのうちの33%、そして「Slotmania - Free Slots」 の23%が再パッケージ化され、サードパーティ市場で再配 布されていました。また、ギャンブル関連のアプリは、 バンキ ングアプリ以外で金融取引を伴うタイプの数少ないプログ ラムの1つであるため、 このようなアプリに高い確率でトロ イの木馬化されたバージョンが存在することは、それほど驚 くことではありません。 トロイの木馬バージョンが多い残り の6アプリは、人気のあるゲームです。 2013年下半期に発見されたこのアプリの サンプルのうち、サードパーティ市場で配布 された再パッケージ化バージョンの割合 25 ANDROID 再パッケージか偽物かにかかわらず、偽造ア プリはあらゆる種類の悪意のルーチンを含 んでいる可能性があります。たとえば、実際 20アプリ には無料であるはずのアプリに対して代金 の支払いをユーザに強いるSMSメッセージ を警告なしに送信するという、単純で限定的 な機能が挿入されることがよくあります。それほど一般的では ありませんが、偽アプリが本格的なトロイの木馬であり、ユー ザのデータまたはデバイスを危険にさらしたり、課金したりす るという追加の機能を含んでいる場合もあります。グレーエリ アとしては、再パッケージされているが、悪意のあるコードは 再パッケージされたアプリによって最も 要求されたアクセス許可トップ10(%) 要求されたアクセス許可:再パッケージ化された アプリ VS 正規アプリ % com.soft.marketapp com.software.chrome .opera oftware com.goldedition.app co 67 de.docherka.muter m. so my.app.client ftw n io t a c li are net.file com.termate p p e.akorean.alyac.view r a .m sloa w t c f o o m.se .s ark d comwip. click.master org.unfin.dev conmd.l.soader eta o f t w pp wap.click.master are.do mobi.app an com.s lp nv.stu hin d ov.instm com.i turatink nufac om.ma oft マルウェアによって google.updater c ewap.s com.ag pp 使用されているおとり com.getpay.opera .a xxx_2 stall com.software.installation の名前 23% ftware.softin com.so sh install.app com.Copon com com.sof .ca install wap .exa mple tware.app iploder. roin .v m o c .erop an.p layer vertom cocom.software.skype m. com.getpay.update om.con vo.honda c dn jp.bra tery d.m co c horoscope.app x .bat s o x m m x _ . ed .km km.lau 1.app o xtend com ia. .la om.e tigio.achr nche c .sex r2 ap unc es y.cl r p . ip m p her co com.eclips angry is.sparta birds. Team. kpah app .Avatar online_tv.app com.TeaM com.tvt.sexyapp_demo com.dd.launcher lddtqrmdb.ibabjapcq fkjsgmjl.ceinnykas lbjwhhtdin.veuenar bptxrgewk.ireknoyp ngjvnpslnp.iplhmk Trojan:Android/Fakeinst.CBに よって使用されている無意味な名前 djkxmvynw.xalamqcqwj xgqkjm.bfveeopo ouepxayhr.efutel tqnecukooty.qehawxgy ynlxcd.cwductjwjc mejfudpoww.jieggdekc nywdsnkp.qjbcxwousgr com.jnyl.lanucher2 com.depositmobi .so co ftw .up ar da e. te. ad bro u ws lt er co m ma tivi rgar rmo ita bile sof .htm t.fi l.ap rstd p e An com.software.vkontakte com.satismangrooup.stlstart eu. com.software.cover vel op ley s.e 1 tify na .no 26 com.android.launcher.permission. INSTALL_SHORTCUT .jo 使用されるパッケージ名 調査したマルウェアの23%は、本物そっくりのパッケージ 名を使用して正規のアプリケーションのように見せかけて います。その名前を右記のテキストクラウドに示しました。 その他のマルウェア (特にFakeinstファミリー)は、ただ無 作為に見えるパッケージ名(右) を使用しています。通常、 こ れは疑わしいファイルであることを示す強力な指標です。 1 98 96 90 84 77 72 67 57 52 <50 rom 単一のアクセス許可を求めていたのは、 この期間に当社 が把握している全マルウェアのわずか1%でした。このサ ブセットの中で、最も要求されたアクセス許可はSEND_ SMSでした。 これが何をするものかは明白です。 98 インターネット READ_PHONE_STATE WRITE_EXTERNAL_STORAGE SEND_SMS RECEIVE_SMS ACCESS_NETWORK_STATE READ_SMS WAKE_LOCK RECEIVE_BOOT_COMPLETED その他 Androidマルウェアが使用するパッケージ名で 構成されたテキストクラウド ad マ ルウェアによるアクセス許 可 の 要 求に関 する統 計 値 を総 合 的に見ると、当 社が 2 0 1 3 年 下 半 期に発 見した 182,015件の悪意のあるアプリのうち、99%が複数のア クセス許可を要求していました。上記は、最もよく要求され るアクセス許可10種類を示しています。 トップ4がこのよう な結果になった理由は明確です。 (インターネット)アクセス 許可が必要なのは、それがマルウェアの基本的な要素の1つ であるためです。またマルウェアは、 ダウンロードしたデータ を書き込むために外部ストレージ(WRITE_EXTERNAL_ STORAGE)にアクセスする必要があります。これは、マル ウェアに共通のルーチンです。モバイルデバイスの場合に、 (SEND_SMS)アクセス許可を求める理由も明らかです。 悪質/不正な目的でエクスプロイトSMSを送信するのです。 1 com.subsurfch.w.app 要求されたアクセス許可 トロイの木馬化されたバージョンによって要求された追加 アクセス許可を見ると、最もよくあるのが広告モジュール の挿入に関連したアクセス許可ですが、マルウェアコード に便宜を図るアクセス許可を含んでいるものもあります。 慎重なユーザなら、 これらの追加のアクセス許可要求を 見て、 インストールしたくないアプリケーションであると判 断することができます。例として、人気のあるゲーム、Pet Rescue Sagaのトロイの木馬バージョンが追加のアク セス許可を要求している画像を上記に示しています。アプ リケーションをインストールするとき、 「通話」のようなアク セス許可が求められたら、 「このゲームになぜこのアクセ ス許可が必要なのか?」 と自問するべきです。 android.permission. 1つのアクセス許可を要求するアプリ 緑の枠線:正規アプリ 赤の枠線:再パッケージ化され たアプリ % 要求されたアクセス許可 複数のアクセス許可を要求するアプリ ANDROID F-SECURE | 2013年下半期 脅威レポート F-SECURE | 2013年下半期 脅威レポート 驚くべきことに、ユーザがAndroidのアプリケーションを インストールしているとき、 このようにはっきりマルウェア とわかるパッケージ名は表示されません。これは、今後の OSバージョンで対応されるべきでしょう。 アプリストア別、受信したマルウェアサンプル数 マーケットプレイスでのマルウェア 最近、サードパーティ製のAndroidマーケットは非常に急 速に成長しているようです。このことは、2013年下半期 に当社に報告された既知のアプリストアを供給源とする アプリサンプル(悪意のあるものと悪意のないものの両 方)の総数を一見するだけで明らかです(右に示す円の 大きさで表現)。世界で大規模に展開しているGoogle Playストアを除き、最も大きなマーケットプレイスである Anzhi、Mumayi、Baidu、eoeMarketの4つは、Playスト アへのアクセスが制限されている中国本土のユーザ人口 の需要に応えています。 固有マルウェアのサンプル数/受信した総サンプル数 ストアを供給源とするサンプルのうち、 マルウェアとして分類されたもの(%) 0.1 33 7 apkle android159 290 / 871 Playストア 14 / 207 136 / 132,738 starandroid 6 6 / 93 サードパーティのアプリストアがマルウェアの供給源とな る可能性が最も高いというのが、一般的な見解です。これ らのマーケットを閲覧しているときにユーザがマルウェア に遭遇する確率がどのぐらいであるかを判断するため、当 社はこれらのストアを供給源とするサンプルで見つかった マルウェア数を、同ストアを供給源とする総サンプル数と 比較しました。当社は、 個別の固有サンプルだけをカウント しました。つまり、固有マルウェアの複数のサンプルは1個 としてカウントされました。 6 5 Mumayi 1,467 / 26,339 AnZhi 1,319 / 25,194 その結果、上位4ストアが供給源であると特定されたサン プルの10%未満が悪意のあるマルウェアであることがわ かりました。すべてのマーケットのうち、 マルウェアの割合 が最も高いことが判明したのはAndroid159で、そのサ ンプルの33.3%がマルウェアに分類されました。 7 8 eoeMarket 650 / 9,541 Baidu 806 / 9,751 幸いにも、収集されたサンプルのマルウェア率が最も低い のはGoogle Playで、その率は0.1%でした。 この場合、最 下位になることは歓迎です。さらに、Playストアはアプリケー ションを速やかに削除するため、 もしマルウェアに出くわし てもその寿命は短い傾向があります。 8 liqucn 257 / 3,161 angeeks 8 35 / 464 Google Playマーケットのアドウェアおよびリスクウェア 最後に、Google Playストアで見つかったアドウェア、 リス クウェアの数値(下記) を比較します。 Google Playストアで見つかったアドウェアとリスクウェアのサンプル数* アドウェア アプリがアドウェアとして分 類されるのは、 ユーザをプラ イバシーまたはセキュリティ リスクにさらす可能性がある 広告表示機能を含んでいる 場合です。 リスクとしては、個 人情報の漏えいや収集、未承 諾または疑わしいアプリケー ション、Webサイト、 またはコ ンテンツへの露出/リダイレク トなどがあります。 ファミリー 合計 ファミリー 合計 AirPush AdWo 9,382 369 Minimob 51 SmsReg 4 Ropin 59 PremiumSMS 1 Dowgin 22 Waps 23 Gappusin 2 * この数は、個別の固有サンプルに基づいていま す。固有サンプルの複数のコピーは1つとしてカ ウントされます。 リスクウェア 悪用されるとユーザのプライ バシーやセキュリティを危険 にさらす機能を含んでいる 場合、そのアプリはリスクウ ェアとして分類されます。 注: PremiumSMSファミリ ーの亜種は、その動作によっ てリスクウェアまたはマルウ ェアとして分類されることが あります。 27 ANDROID Androidの脆弱性 2013年下半期時点で、エコシステム全体に流通しているソフトウェアの数を考えると、Androidプラットフォームの既知の 脆弱性は非常に少ない状態を保っています。 大まかに言うと、Androidデバイスの脆弱性を標的にする攻撃 は、デバイスのオペレーティングシステムの抜け穴を直接標的 にすることはありません。その代わり、攻撃者はインストール済 みのアプリの脆弱性を標的にし、そのアプリを使ってデバイス を操作します。 脆弱性の源としてのベンダー 悪用可能な脆弱性をデバイスに導入する方法として最もよく挙げ られているのは、ユーザがインストールしたサードパーティ製のア プリケーションを経由する方法です。 しかし、通常はユーザがコン トロールできない他の「サイレント」な脆弱性の導入方法が存在 します。2013年に公開された調査 [1]によると、導入された脆弱 性の重大な攻撃ベクトルは、ベンダーによるカスタマイズです。デ バイスの製造元は、ベンダー固有の機能やアプリをデバイスにイ ンストールするために、 ストックAndroidファームウェアをカスタマ イズしています。この調査によると、出荷されたデバイスにプリロ ードされたアプリケーションの85%が、 どうしても必要なアクセス 許可よりも広範なアクセス許可を宣言することでリスクが増大し ています。また同調査は、すべての脆弱性の65%〜85%が、ベ ンダーによるカスタマイズから生じていることも示します。 の(PC上での)セキュリティ問題 には長い歴史があることを考える と、モバイル版にまだ発見されて いない 脆 弱 性がある可 能 性があ Androidエコシステムの前提上、多数のメーカーがそれぞれ ります。2013年に見つかった最新の影響度の大きな脆弱性 別のバージョンのAndroidプラットフォームを実行し (しかも独 (次ページ) は複数のAdobe製品に関連しており、 クロスプラッ 自のバージョン更新スケジュールを持っていることが多い)、複 トフォームで影響を及ぼします。 数のデバイスを製造することが可能になっています。その結 果、Androidデバイスの脆弱性の一因となるもう一つの現象、 アプリの潜在的に有害な動作に関するユーザの知識は非常に限 つまりプラットフォームの断片化が生じます。メーカーは多数の られているため、不正または悪意のあるアプリはローカルレベル プラットフォーム構成を維持しなければならないため、すべての で悪用できる脆弱性によって影響を大きくできる場合がありま ユーザを対象に定期的なセキュリティ更新プログラムをプッシュ す(次ページ)。特権を昇格する攻撃を使用することで、アプリは するのに苦労しています。製品の「非公式」パッチを作成するコ 邪魔なものを排除することができる一方、デバイス上の脆弱な ミュニティベースの取り組みは、 この問題の是正に多少は役立っ アプリやサービスによって機密情報の盗難が可能になります。 ているものの、 ユーザにもある程度の意識と技術が必要です。 攻撃対象領域 アプリをインストールしたのがユーザかベンダーかという問題 はさておき、 アプリ自体を検討してみましょう。インターネット対 応デバイスにおいて、 リモートで悪用できることが最も明らか なアプリケーションはWebブラウザです。このことは、デスクト ップコンピュータでは周知の事実ですが、モバイルデバイスも 例外ではありません。すでにAndroidの標準Webブラウザと Android用Firefoxブラウザの両方を利用したエクスプロイト が存在しています (次ページ)。 リモ ートエクスプ ロイトで よく狙 わ れ るもう一 つ の 標 的 は、Android用のAdobe Flash Playerです。Flash Player 出典 エクスプロイト 脆弱性がAndroidのデバイス上に存在していても、それを攻撃 するためにはカスタムエクスプロイトコードを作成しなければな りません。執筆時点で、ペネトレーションテストに使用される一 般的なフレームワークであるMetasploitのWebサイトに記載 されているAndroidプラットフォームのエクスプロイトは、非常 にわずかです。これには、標的が難解すぎる場合や新しすぎる 場合など、数多くの原因が考えられます。それでもやはり、 この ようなコードを作成したいと思っている人が参考にできるソー スを見つけるのは非常に簡単です。自分で作業したくない人で も、仕事を依頼できる人をinj3ct0rなどのサイトで簡単に見つ けることができます。 1. ノースカロライナ州立大学、 レイ・ウー、 マイケル・グレース、Yajin Zhou、 Chiachih、 Chiachih Wu、 Xuxian Jiang『 The Impact of Vendor Customizations on Android Security(ベンダーカスタマイズによるAndroidセキュリティへの影響)』2013年11月4日公開 http://www.cs.ncsu.edu/faculty/jiang/pubs/CCS13.pdf 2. CVE Details、 Vulnerability Details (脆弱性情報): CVE-2013-3363、 http://cvedetails.com/cve/2013-3363 3. CVE Details、Vulnerability Details(脆弱性情報): CVE-2013-6632、http://www.cvedetails.com/cve/CVE-2013-6632 4. IBM:セキュリティインテリジェンス・ブログ:ロイー・ハイ『 A New Vulnerability in the Android Framework: Fragment Injection (Androidフ レームワークの新たな脆弱性:フラグメントインジェクション』2013年12月10日公開 http://securityintelligence.com/new-vulnerability-android-framework-fragment-injection/ 5. Pwn2Own 2013、PacSec 2013 Conference:ヘザー・グッディ 『 Local Japanese team exploits mobile applications to install malware on Samsung Galaxy S4(地元日本のチームがサムソンGalaxy S4のモバイルアプリケーションを悪用してマルウェアをインストール)』 2013年 11 月 13 日公開 http://www.pwn2own.com/local-japanese-team-exploits-mobile-applications-install-malware-samsung-galaxy-s4/ 6. CVE Details、Vulnerability Details(脆弱性情報): CVE-2013-4787 http://www.cvedetails.com/cve/CVE-2013-4787 7. ブルーボックス・ブログ:ジェフ・フォリスタル『 Uncovering Android Master Key That Makes 99% of Devices Vulnerable(デバイスの99%を脆弱に するAndroidマスターキーを明らかにする』2013年7月3日公開 http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/ 8. ブルーボックス・ブログ:ジェフ・フォリスタル『 Commentary on the Android“Master Key”Vulnerability “Family” (Android「マスターキー」脆弱性「フ ァミリー」の解説)』2013年7月29日公開 http://bluebox.com/corporate-blog/commentary-on-the-android-master-key-vulnerability-family/ 9. Saurik:ジェイ・フリーマン『 Android Bug Superior to Master Key(マスターキーより優れているAndroidのバグ)』http://www.saurik.com/id/18 10. Saurik:ジェイ・フリーマン『 Exploit (& Fix) Android“Master Key” (Android「マスターキー」の悪用(または修正)』http://www.saurik.com/id/17 2013年のAndroid 2013年、以下のAndroid関連の脆弱性が公表されました。 1つの構成、2件の脆弱性(CVE-2013-4777 & CVE-2013-5933) Republic Wireless用Motorola Defy XTスマートフォン上で稼働するAndroid 2.3.7バージョンの特定の構成に 存在した2つの脆弱性により、 ローカルユーザがシェルコマンドをrootユーザとして実行するか、 またはスタックベー スのバッファオーバーフローを作成することができました。どちらの場合も、 このエクスプロイトが原因で攻撃者が情 報に不正アクセスできるか、 またはデバイスの設定を変更できるようになります。 デバイス・ロック・バイパス (CVE-2013-6271) Androidバージョンの4.0から4.3にある 「com.android.settings.ChooseLockGeneric」 の脆弱性。ユーザがデバイスのロック機構を変更することができるため、主にデバイスのロック を解除することで、 アクセス制限(PIN、 パスワード、 ジェスチャー等) をバイパスするよう特別に 細工したアプリによって悪用される可能性があります。 ローカルUIフラグメントインジェクション (CVE-2013-3666) IBMのアプリケーションセキュリティ研究者が、 ユーザインターフェイスフレームワークに存在する脆弱 性を報告しました。IBMの概念実証デモでは、特別に作られたIntentを利用して、 システム設定アプリ ケーション内にある既知のActivityクラスの表示Fragmentをオーバーライドすることができました。 次に、挿入されたFragmentに対し、同じIntent内の余分なパラメータを使用してPINクエリをスキッ プするよう指示できます。 これにより、攻撃者は適切な権限なしに、 デバイス上の特権設定を変更する ことができます。 この攻撃は、少なくともAndroid 4.4 (KitKat) の最新リリースよりも前のデバイスに 有効です。 ブラウザのエクスプロイトが明らかに (CVE-2013-6632) この脆弱性は、Androidバージョン31.0.1650.57より前の全Chrome Webブラウザに影 響します。PacSec 2013セキュリティカンファレンスのMobile Pwn2Ownコンテストで、 日本のチームがこの脆弱性を利用して携帯電話にマルウェアをインストールしたことで初め て明らかになりました。 この脆弱性を利用すれば、 リモートの攻撃者は任意のコードを実行した り、Chrome Webブラウザプロセスでメモリ破損を発生させることが可能になります。 この脆 弱性に対して、実害が生じている既知の攻撃はありません。 Flashエクスプロイト (CVE-2013-3363) この脆弱性は、特別に作られたAdobe Flashファイルを使用することでリモートでの悪用 が可能になります。複数のAdobe製品、 特にAndroid 2.xと3.xでは11.1.111.73より 前の全Adobe Flashプレイヤーバージョン、Android 4.xでは11.1.115.81バージョン に影響します。 この脆弱性に対して、実害が生じている既知の攻撃はありません。 「マスターキー」 (CVE-2013-4787) 2013年第4四半期モバイル脅威レポートで報告されたこの脆弱性は、Androidオペレーティング システム自体でも発見されました。その原因は、 このプラットフォームがソフトウェアのインストール パッケージ (APKs) を処理する方法にあります。 これらのパッケージは通常のZIPアーカイブで、 ア ーカイブの整合性と入手先を確認するために必要な特定のファイル群を含んでいます。 ソフトウェ アのインストールプロセスでは、 これらのマニフェストファイルを読み取ってアーカイブの整合性を 検証するために2つの異なる実装が使用されますが、残念ながら、 この実装のわずかな違いを利用 して、攻撃者がインストールパッケージの元のファイルをオーバーライドする任意のファイルを忍び 込ませることが可能です。 この問題をさらに掘り下げた結果、 より洗練された攻撃が可能になるその 他の脆弱性がAndroidのZIPアーカイブ処理において見つかりました。2013年後半時点で、 この 脆弱性を標的とするエクスプロイトを含む複数の悪意のあるアプリが、サードパーティのアプリサイ トで発見されています。 Webプライバシー F-SECURE | 2013年下半期 脅威レポート WEBプライバシーの現状 オンラインプライバシーは、長い間セキュリティを重視するユーザの懸念事項でした。 しかし、2013年にNSAのネット 盗聴活動が暴露されたことにより、一般ネチズンの間にもプライバシーに関する懸念が高まりました。インターネットユ ーザは、ネットサーフィン中に覗き見されるかもしれないと警戒心を抱くようになっています。今や、ユーザを監視して いる可能性がある当事者のリストに、政府(自国または他国) を加えています。本稿では、ネチズンが気づかないうちに、 何者かの利益のために閲覧活動や個人情報がオンラインで取得・収集される方法をいくつか説明します。 Cookie ウェブアナリティクス インターネット利用が増え続けるにつれ、 ウェブアナリティ Webデータ保存手段の最も一般的なものとして「ごく普通 クス、つまり、Webサイトの有効性を改善するためのネット の」ユーザが知っているのはCookieです。Cookieは、Web トラフィックの分析は、Webサイト訪問者の行動を分析す サイトのサーバからの特定の情報をユーザのコンピュータ 「基本的な」 るためには不可欠なツールになっています。このアナリテ にローカルに保存できるテキストファイルです。 ィクスはウェブからユーザへ、ユーザからウェブへと情報が Cookieは、自動化されたWebアクセスや「ステートレス」 流れる方法について詳細な情報を提供します。このような HTTPリクエストなど、基本的なアクティビティに使用され 分析は、サイト運営者がAWStatsなどの訪問者データを るため、現代のウェブの仕組みにおいて不可欠な存在です。 収集するオープンソース・ソフトウェアをインストールする プライバシーを重視するユーザを心配させる、も だけで実行できます。ウェブアナリティクスを専門とするさ ただし、 まざまな企業が提供するクラウドベースのサービスもあり っと洗練されたCookieが存在します。その最たるものが、 トラッキングCookieまたはサードパーティトラッキング ます。 これは、商用サイト運営者に適したサービスです。 Cookieです。これは通常、ユーザの閲覧履歴を記録する 一般的にウェブアナリティクスには、サイト訪問者の有用な「 ために使用されますが、ユーザがサイトにアクセスした際 プロフィール」情報を提供するデータ収集および分析が含ま に、Webサイト上のJavaScriptまたはHTTPレスポンス れます。収集される情報には、ユーザのブラウザの種類、サ ヘッダを経由してユーザのコンピュータに保存される場合 トラッキングCookieは、 ユーザのアクティビテ イトにアクセスするために使用されたデバイス、デバイス画 があります。 (すでに訪問したページ、 ショッピングカートに入ってい 面の解像度、検索バーに入力されたキーワード、オンライン ィ Webストア内でユーザがクリックしたもの、ページに滞在し る商品)の履歴を維持することができます。程度の差はあ 多くの場合トラッキングCookieは広告ターゲテ た時間などが含まれます。大規模なWebベースサービスは るものの、 こうしたデータの測定と収集を自動化しようとしています。 収集されるデータの性質上、セキュリティ専門家だけではな くプライバシーを重視するインターネットユーザによりウェ ブアナリティクスに関して多数の疑問や懸念が提起される場 合があります。大雑把に言えば、データの集計自体はプライ バシーの侵害とはみなされません。 しかし、多くの人々は収 集したデータに基づくプロファイリングを嫌がっています。 ウェブアナリティクスを最も一般的かつ明らかに商業利 用しているのは、 オンライン広告主です。この広告主は通 常、 宣伝材料のターゲティングを改善するためにWebサイ トの訪問者に関する情報を収集しようとします。収集され たデータは、 トラッキングCookieと組み合わせて使用され (詳細は後述)、広告会社が顧客(発行元)の売り上げを増 やすために役立てられます。そのためには、論理的に考え て、その広告を歓迎するユーザに適切な広告を差し向け ることが有効です。次に、広告主の顧客は、 (この方法はほ ぼ自動化されているため)労力をあまりかけずに高い精度 で適切なユーザに製品やサービスをプッシュすることで、 恩恵を得ることができます。オンラインマーケティングリ サーチ企業の中には、合法的に膨大な量のデータを収集 しプロファイリングを実行するために、公明正大にウェブ アナリティクスサービスを使用している企業もあります。 電子メールマーケティング企業も、熱心なWebアナリティク スユーザです。電子メールが読まれるときに同様のテクニッ クを使用して、ユーザの行動パターンを追跡しています。 30 図1:人気ゴシップサイトのGoogleアナリティクススクリプト F-SECURE | 2013年下半期 脅威レポート ィングに活用するために広告主によって合法的に使用さ れていますが、 このようなデータの収集およびユーザを個 人として識別できる可能性があるため、 プライバシーに懸 念を抱く人々の間で不安の声が上がっています。 もう一つのCookieタイプであるEvercookie[6]は、 ブラウ ザ内で永続的に残ることを目的にSamy Kamkarによって 開発されました。非常に攻撃的な性質を持ち、他のCookie タイプを正常に削除できた技術でさえ、 このタイプの個人 を特定できる情報の痕跡を十分に削除することはできま せん。このCookieタイプには、削除しようとする試みを検 知し、自らを再作成することで対応する防御的なメカニズ ムが組み込まれています。Evercookieはその攻撃的行動 のために、 スーパーCookieまたはゾンビCookie[7]とも呼 ばれています。極秘のNSA文書[8]から得られた情報による と、匿名ネットワークに隠れたTorユーザを識別するために Evercookieが使用されていたということです。 図2:Webページで使用される1x1ピクセルの画像ファイル 図3:ファイルの内容 位置をWebページ上で表示するHTML5のGeolocation機 能を使用できます。 しかし、ユーザがそのような情報を収集さ れることを容認するかどうかは別問題です。 リッチコンテンツを次の段階に進めるため、HTML5は Web Storage[2]を導入しました。Web Storageを使用す ることで、ウェブの利用をさらに高速かつ安全にするため に、データ(およびその多く)をユーザのローカルシステム に格納することができます。それまでは、データストレージ にはCookieが使用されるのが普通でした。Cookieの欠点 は、 ファイルに保存されるデータをリクエストに応じて送信 できることです。プライバシーを重視しているユーザはそれ データ収集のスクリプト 現 在 、ほ と ん ど の イ ン タ ー ネット ブ ラ ウ ザ は 人 気 の を嫌い、追跡を防ぐためにクッキーを除去するようになって JavaScript言語をサポートしているため、スクリプトも幅 います。それを受けて、Webテクノロジプロバイダーはユー 広くデータ収集に使用されています。ユーザエージェント、 ザのプライバシーに対する懸念に対応する製品やサービス ブラウザの言語設定、プラットフォームなど、 クライアント側 を作ることで、現在のWebモデルの「弱点」に対処していま JavaScriptオブジェクトから多くの情報を抽出することが す。よく知られているブラウザプラグインであるNoScript できます。これに加えて他のソースからの集めた情報を使 [3]を使用することで、ユーザはJavaScript、Flash、Java 用して、1人のユーザを別のユーザから区別する「署名」を や他の同様のプラグインがWebページで実行されないよ しかしながら、 これによる注 生成できます。エフセキュアラボのネットワークおよびウェブ うブロックすることができます。 レピュテーションサービスによると、 このトラッキング手法の 目すべき結果の1つは、JavaScriptの設定を無効にするこ 「痕跡」は、高トラフィックを持つWebサイト、特に1日の訪問 とでユーザは自分のプライバシーを保護することはできて も、 このような行動によって多くのWebサイトの機能が抑制 者数が膨大なブログやニュースサイトで見つかっています。 され、サイトによっては完全に使用不能になってしまうこと Googleが提供しているウェブアナリティクススクリプト があるということです。つまり、Webサイトにアクセスしない は、このような手段で最も一般的に使用されているも か、自分のプライバシーを危険にさらすかという選択をユー のの1つです。Googleのウェブアナリティクスサービス ザに強制することになるのです。 は、Webサイトの所有者が簡単に自分のWebページにコ ピー&ペーストできる、 アナリティクススクリプトのスニペ Webバグ ットを提供しています。これらのコード構造はクリーンで、 Cookieやスクリプトの(不正)使用とは別に、Webサイト 容易に見つけることができます。図1は、人気がある有名 への訪問中に他の方法でユーザの情報を取得することが この行為はいわゆる 「Webバグ」 と呼ばれ、 ユー 人ゴシップブログのperezhilton.comに見られるコード 可能です。 ザには見えない特別なオブジェクトをサイトに埋め込む方 を例として示しています。 法です。Webバグは、 ウェブビーコン、 トラッキングバグ、 タ またはページタグ[1]と、さまざまな名前で呼ばれてい スクリプトに加え、最新のWebブラウザは、HTML5をサポー グ、 どれも果たす目的は同じです。 トするようになりました。HTML5は、スクリプトを経由してさ ますが、 らに多くのクライアント側情報を取り込むことができるように なっています。たとえば、ユーザの緯度と経度を取得してその 多くのWebサイトで見られるWebバグの1つの実装形式 31 Webプライバシー トラッキングCookieの代わりとなるのはFlash Cookieです。 Local Shared Objectとも呼ばれています。これらは、多 くのユーザがブラウザでCookieをブロックまたは削除して いるという状態に対抗するために開発されました。Flash Cookieにはブロックや削除が効かないため、オンライン広 告主の間で人気となっています。2009年[4]の1件の研究 論文と、数件の研究によると、Flash Cookieはアクセス件 数が多いサイトのトップ100によく見られます。2011年に 実施された別のソーシャルメディア調査によると、100の Webサイトのうち31のサイトで、HTTP CookieとFlash Cookie[5]の重複が1件以上見つかりました。 Webプライバシー F-SECURE | 2013年下半期 脅威レポート は、Webページ内にユーザに見える実際のコンテンツと ともに、 イメージファイルを隠す方法です。イメージファイ ルは、 とても小さいものです (図2)。通常、幅と高さが1ピ クセルで、 ファイルの内容は通常GIF形式(図3)かそれと 同様の形式となっています。当然ながら、 このメソッドはト ラッキングピクセル、1x1ピクセル、 またはピクセルタグと 呼ばれます。ユーザがトラッキングピクセルを含むページ を開くと、サーバはそのユーザが以前に訪れたことを識別 することができます。 フォントを使用したトラッキング 一般的な追跡方法に加え、 インターネット上におけるユー ザの追跡を調査しながらより高度なテクニックを使用でき ます。研究されている1つのユーザの追跡方法は、 ユーザ のコンピュータにインストールされているフォントに依存 したものです。 このアイデアは、Microsoft Windowsや Apple Macintoshなど異なるオペレーティングシステム には、それぞれに独自のフォントセットがプリインストール させているため、簡単に区別することができるという事実 に基づいています。このタイプのトラッキングを研究して いる研究者は、 この情報に基づいて各システムのフォント セットを分類し、 システムバージョン、 アーキテクチャ (32 ビットまたは64ビット)、 オフィススイートさえ特定するこ とができます。この研究の結果によると、 このフォントベー スの方法を使用すれば、より積極的なフィンガープリント 方式[9]を使用することがなく、あるユーザを別のユーザと 区別することができます。 リーディングカンパニーでもあるGoogleも、ユーザの追 跡を有効にする新しい方法を研究しています。1つの方法 は、CookieをChromeブラウザのユーザに関連づけられ た匿名IDと置き換えるものです。このIDはCookieと同様 の機能を果たします[10]。他にも、Microsoftはおなじみの Cookieに代わる独自のクロスプラットフォーム追跡技術 の開発を検討していることを発表しました。この新技術で は、デスクトップコンピュータ、 タブレット、 スマートフォン、 ゲーム機やその他のサービス[11]全体で個人のトラッキン グを簡単に行うことができるようになるでしょう。こうした 開発の状況から、 ますますプライバシーが露出される環境 の中でユーザのプライバシーをどうやって守るかについ て多くの疑問が提起される可能性があります。 プライバシーに対する懸念を抱くインターネットユーザ にとって、 プライバシーが侵害された場合どのくらいの保 護を法律に期待できるのでしょうか。問題はきわめて複 雑ですが、特に、国際的オーディエンスに提供されている Webベースのサービスを取り扱っている場合には、それ ほど遠くない昔に起きた関連事例を再検討することが役 立ちます。2007年12月、FacebookはBeaconと呼ば れるプログラムの使用を開始しました。このプログラムで は、Facebookユーザの個人情報がユーザの同意なしに 自動的に公開投稿されました。 これはプライバシーの侵害 とみなされ、最終的に、Facebookに対する訴訟につなが りました。Beaconプログラムが終了した後、 プライバシー とセキュリティを強化するために950万ドルの基金が創 設されました。 しかし、Beaconプログラムによって悪影響 トラッキングの未来 を受けたFacebookユーザには何の補償も提供されませ トラッキングは広告において大きな役割を果たしており、 んでした[12]。 近い将来もそれが続くでしょう。また、 インターネット業界 の大手であり、 かつオンライン広告業界における世界的な 出典 1. Wikipedia『 Web bug(Webバグ)』、最終更新日2013年12月26日 http://en.wikipedia.org/wiki/Web_bug 2. W3C、 イアン・ヒクソン 『 Web Storage(ウェブストレージ)』2013年7月30日更新 http://www.w3.org/TR/webstorage/ 3. NoScript; http://noscript.net/ 4. Wikipedia『 Internet Privacy(インターネットプライバシー)』最終更新日2014年1月22日 http://en.wikipedia.org/wiki/Internet_privacy#cite_note-21 5. Wikipedia『 Internet Privacy(インターネットプライバシー)』最終更新日2014年1月22日 http://en.wikipedia.org/wiki/Internet_privacy#cite_note-Heyman.2C_R._2011-22 6. Evercookie、 Samy Kamkar『 Evercookie – Never Forget(Evercookie - 決して忘れない)』2010年10月11日公開 http://samy.pl/evercookie/ 7. Ensighten、 『 Super Cookies, Ever Cookies, Zombie Cookies, Oh My!(スーパーCookie、Evercookie、 ゾンビCookie、どうしよう!)』 http://www.ensighten.com/blog/super-cookies-ever-cookies-zombie-cookies-oh-my 8. Wikipedia『 Evercookie 』、最終更新日 2013年12月18日 http://en.wikipedia.org/wiki/Evercookie 9. Károly Boda、 Ádám Máté Földes、 Gábor György Gulyás, Sándor Imre『 User Tracking on the Web via CrossBrowser Fingerprinting(クロスブラウザ・フィンガープリンティングによるウェブでのユーザトラッキング』2011年発行 http://pet-portal.eu/files/articles/2011/fingerprinting/cross-browser_fingerprinting.pdf 10.ニューヨーク・タイムズ、 クレア・カイン・ミラー『 Google Is Exploring an Alternative to Cookies for Ad Tracking(Google、 広告のトラッキングでCookieに代わるものを模索中)』2013年9月19日公開 http://bits.blogs.nytimes.com/2013/09/19/google-is-exploring-an-alternative-to-cookies-for-ad-tracking/?_php=true&_type=blogs&_r=1 11.Ad Age、ティム・ピーターソン『 Bye, Bye Cookie: Microsoft Plots Its Own Tracking Technology to Span Desktop, Mobile, Xbox(さようならCookie:Microsoftは自社の追跡技術をデスクトップ、モバイル、Xboxに広げようとしている)』2013年10月9日公開 http://adage.com/article/digital/microsoft-cookie-replacement-span-desktop-mobile-xbox/244638 12.Wikipedia『 Lane v. Facebook, Inc.(レーン対Facebook, Inc.)』2013年10月4日 http://en.wikipedia.org/wiki/Lane_v._Facebook,_Inc. 32 F-SECURE | 2013年下半期 脅威レポート 感染ベクトルのプロファイリング 2013年後半に攻撃者の最も一般的な配布経路について簡単に調査した結果、ポルノやJavaを避けることが、ユーザの オンライン生活を救う鍵だということがわかりました。 今日大多数のコンピュータユーザは、 ほとんどの感染はイ ンターネット経由であるということを (いやになるほど繰り 返された結果)常識として受け入れています。もちろん、 その通りです。 しかし、 どれだけが「ほとんど」で、 どのよう な種類のサイトが関連しているのでしょうか? トップ100検出サンプル、種類別割合(%) マルウェア&エクスプロイト % 0 アドウェア PUA 100 50 これを明らかにするため、2013年下半期の数週間にわたっ てクラウドベースの報告システムに報告された上位100件 の検出のリストを作成しました。次に、特定されたソフトウェア の種類別に検出を分類して最終リストを作成しました(上記)。 次に、各検出について、既知の感染ベクトルまたは標的に到 達した経路を調べた結果、次の内訳(下記) になりました。 主にウェブが経路 この結果を見ると、サンプル内の上位100件の検出の中で、 当然のことながら全ソフトウェアのうちマルウェアが47% でトップです。アドウェアは、42%とマルウェアとあまり差 がなく、Potentially Unwanted Applications(PUA) は11%となっています。さまざまな感染ベクトルの合計数 を見ると、 ソフトウェアバンドルが明らかにトップです。 しか し、本当にこれがマルウェア (最も懸念されるソフトウェアタ イプ) で最もよく見られる感染経路でしょうか?当社は、 この 経路で配布されるソフトウェアをさらにタイプ別に分類す ることで、明確な状況を明らかにしました。 その結果、アドウェアおよびPUAの配布に主に使用されてい 一般的な感染ベクトル 悪意のあるファイルを標的に届けるために使用されるさま ざまな経路をまとめたリストを次に示します。 • ファイルとネットワーク ソフトウェアがファイル感染を介して配布されるか、 また はネットワークやリムーバブルメディアなどを通してワ ームのペイロードとして配布される。 • ソフトウェアのバンドル ソフトウェアがインストーラまたは他の(無料が多い) ソ フトウェアにパッケージ化される。また別のプログラムの インストール中にインターネットからダウンロードされ たソフトウェアが含まれる。 • ピアツーピア ファイルがピアツーピア(P2P)ネットワークを介して配布される。 • ソフトウェアの共有 / 配布 ソフトウェアがファイル共有サイトまたはプラットフォー ムを介して配布される。 • マルバタイジング 悪意のある広告を使用して警告を表示せずにユーザの システムにソフトウェアをダウンロードするか、 または使 い捨てのサイトにリダイレクトする。 • Webベースのエクスプロイト / 感染 悪意があるか、 または安全性が低下したサイトがユーザ のコンピュータの脆弱性を悪用して警告を表示せずに ソフトウェアをダウンロードする。 • 使い捨てサイト ソフトウェアを配布するためだけに作成されたサイト。 • その他 ここで定義されていないその他の手段によってファイ ルが配布される。 上位100件の検出サンプル、感染ベクトル別 ソフトウェアの バンドル ピアツーピア Webベースのエク スプロイト / 感染 ソフトウェアの 共有 / 配布 経路 6 TOPIC アドウェア PUA マルウェア すべて マルバタイジング ファイル & ネットワーク 使い捨てサイト その他 0 5,000 10,000 感染数 15,000 20,000 25,000 33 経路 F-SECURE | 2013年下半期 脅威レポート るのはソフトウェアバンドルであることが判明しました。その 代わり、悪意のあるファイルは、 ここで「Webベースメソッド」 に分類されるものによって配布されていました。つまり、ウェ ブサイト上にホスティングされたエクスプロイト、マルバタイ ジングに加え、 ソフトウェア共有・配布サイト、そして使い捨て サイト(これは、侵害された正規サイトとは異なり、悪意のあ る目的のためだけに作られている)からのソフトウェアバンド ルをダウンロードすることで配布されていました。ピアツーピ ア(P2P)共有で配布されたファイルを数に入れなくても、 ウ ェブ経由で配布されたソフトウェアは上位100件のサンプル の72%と、大部分を占めています。このことから、明らかに悪 意のある感染源のほとんどがウェブであることがわかります。 PUAは、P2Pを主要な配信経路として持つことで、この傾 向に逆らっているようです。しかし、当社のデータをよく調べ ると、高い普及率を持つソフトウェア、Application:W32/ BProtector(この脅威レポートのMevadeに関する記事内で 詳しく説明)によって生じた数値が原因であることがわかりまし た。この感染による数値を含めなければ、ウェブが当社リストに 含まれる検出数のうち94%のソースを占めることになります。 を議論するWebサイトをフィルター処理することは不可 能ですが、ほとんどのウイルス対策プログラムには、 アダ ルトサイトや出会い系サイトなど特定のコンテンツタイプ を除去する「ペアレンタルコントロール」機能が含まれて いるためです。この機能を使うということは、最も人気の アダルト & 出会い系 93% よくある マルバタイジング のトピック その他 7% あるマルバタイジングキャンペーンの93%以上を回避 できるという意味です。 ウェブエクスプロイト、サイト感染、使い捨てサイト マルウェアが最もよくプッシュされるのは、Webエクスプ ロイト、感染したサイト、使い捨てのサイトからです。これは フィルター処理が可能なト 予想通り、アドウェアもウェブベースの経路に大きく依存して マルバタイジングとは異なり、 ピックまたはWebサイ トの種類に限定できません。 しかし、 います。感染源の88%が、 ファイル共有または配布サイトに関 トピックを隔離することはできません 連付けられているソフトウェアバンドルと使い捨てサイトです。 まだ希望はあります。 これらの数値が示していることがあるとすれば、ほとんどのア が、標的とされるブラウザのプラグインを隔離することは ドウェアは、ユーザが他の欲しいソフトウェアをダウンロードす できます。サンプルセット内のマルウェアを調査した結果、 その94%は、Java開発プラットフォームのブラウザプラ る際に、サイトにより 「追加機能」として追加されています。 グインの脆弱性を標的にしていることが明らかになりまし た。 ダウンロードを精査する このため当社は、ユーザはネットサーフィン中に感染して いるという結論に達しました。 しかし、私たちがインターネ ットを利用しなくなることは当分なさそうです。不要なソフ トウェアが自分のシステムに入ってくるのを防ぐために、 ユーザにできる予防策はあるでしょうか。 マルウェアへの対策に比べると、アドウェアおよびPUAを回避 することは簡単です。最も一般的な侵入経路は、 ソフトウェア ダウンロードサイトおよびP2Pネットワークのソフトウェアバン ドルです。つまり、ユーザは特定のユーティリティやソフトウェ アを探しており、不本意ではなく不用心でアドウェアやPUAを 取り込んでいます。ユーザにソフトウェアを強制する積極的な 配布方法とは異なり、 これらのサイトはユーザがファイルにつ いて疑わしいところを見つけた場合、ダウンロードを拒否する ことができます。今では多くのユーザが、提供されている特定 のファイルが望ましくないことを認識できるようになっている ため、 この配布方法の有効性は低下しています。 その広告はマルウェアですか? しかし、 オンラインのマルウェアは故意に見つけにくいよう に設計されているため、回避するためには普通よりも大き な注意を払う必要があります。マルバタイジングは、2番目 に多いマルウェア配布方法で、当社リストの47マルウェア のうち8件しか使用していないにもかかわらず、悪意のあ るウェブベースの全感染方法の37%を占めています。 こ の 方 法 は 、ほ ん の 一 握りの マ ル ウェアファミリーし か 使 用して い ま せ ん が( 当 社 の 上 位 1 0 0リストで は Redirector、Salama、Browlock)、 この感染方法の潜在 的な犠牲者数は莫大な数に上ります。 したがって、人気のあ るマルバタイジングのトピックを見つけるために、上記のフ ァミリーから集められたURLをプロファイリングしました。 その結果、大半は成人向けコンテンツと出会い系サイトに 関連していることがわかりました。 これは好都合です。とい うのも、キャビネットや屋根工事のような一般的なトピック 34 これは、実際に毎日プラグインを使用する必要がある開発者や その他のユーザの方にとって悪いニュースですが、プラグイン を標的にするという傾向は、Javaをあまり使用しないユーザ に取ってプラスとなります。つまり、不要な場合はプラグインを その他 6% 代表的な エクスプロイト の標的 Java 94% 削除することで、マルウェアをシステムに取り入れるためにとて もよく使用される経路も閉じることができるためです。 結論 最後に、オンライン時に不要なソフトウェアを回避するに は、非常に覚えやすい以下3つの簡単なガイドラインを守 ることが大切です。 • ソフトウェアが少しでも怪しいと思う場合、 どこで入手 したかにかかわらずインストールしない • ポルノや出会い系サイトを避けたり、 ウイルス対策プ ログラムでペアレンタルコントロールをオンにしてそ の種類のコンテンツをフィルター処理する • Javaブラウザプラグインをほとんど使用しない場合 は、アンインストールする もちろん、 これらのヒントだけで100%安全を保てるわけ ではありません。 しかし、安全に近づくことはできます。 F-SECURE | 2013年下半期 脅威レポート MACマルウェア 合計 (2013年1月~12月号) 51 ファミリー + Macマルウェアの亜種 1月 – 6月 7月 - 12月 33 18 2013年下半期 新しいファミリーと亜種 60 現在までの合計 45 40 33 37 38 7 4 1 1 1 0 7月 バックドア 46 4 20 8月 トロイの木馬 9月 10月 11月 2/4 トロイの木馬 バックドア 1/1 バックドア 3/4 バックドア 1/4 その他 9月 バックドア ルートキット 1/18 12月 2/4 8月 2/18 11月 10月 7月 15/18 12月 その他 1/18 1/1 51 50 7/7 バックドア 1/1 バックドア 注記:数値は、検出された固有の亜種の数。つまり、再パッケージされたインストーラは 35 数えられず、複数のコンポーネントを含むマルウェアは1個として数えられます。 F-SECURE | 2013年下半期 脅威レポート 出典 ハッキングおよびスパイ活動 NSA 1. ワシントンポスト、 エレン・ナカシマ『 FISA court releases opinion upholding NSA phone program(FISA裁判所がNSA電話プログラムを支 持する意見を発表)』2013年9月17日公開 http://www.washingtonpost.com/world/nationalsecurity/fisa-court-releases-opinion-upholding-nsaphone-program/2013/09/17/66660718-1fd311e3-b7d1-7153ad47b549_story.html 2. The Verge、 ブライアン・ビショップ『 NSA reportedly collecting millions of email address books and IM contact lists worldwide(NSAは世界中 の数百万の電子メールアドレス帳とIM連絡先リストを 収集していると言われる)』2013年10月14日公開 http://www.theverge.com/2013/10/14/4838966/ nsa-reportedly-collecting-millions-of-email-addressbooks-and-im 3. AP for Yahoo! News、デブ・リーチマン & キンバリ ー・ ドージエ『 France joins list of allies angry over NSA spying(フランスがNSAスパイ活動に腹を立て ている同盟国の仲間入り)』2013年10月21日公開 http://news.yahoo.com/france-joins-list-allies-angryover-nsa-spying-224519206.html 4. Arstechnica、 ショーン・ギャラガー、 『 How the NSA’ s MUSCULAR tapped Google’ s and Yahoo’ s private networks(NSAのMUSCULAR がGoogleとYahooのプライベートネットワークをど のように盗聴したか)』2013年11月1日公開 http://arstechnica.com/informationtechnology/2013/10/how-the-nsas-muscular-tappedgoogles-and-yahoos-private-networks/ 5. PCWorld、 ルシアン・コンスタンタン 『 NSA infected 50,000 networks with specialized malware(NSA、5万のネットワークに特別なマルウ ェアを感染させる)』2013年11月25日公開 http://www.pcworld.com/article/2066840/nsareportedly-compromised-more-than-50000-networksworldwide.html 6. Washington Post、 バートン・ジェルマンおよび アシュカン・ソルタニ『 NSA tracking cellphone locations worldwide, Snowden documents show(NSA、世界中の携帯を追跡、 スノーデン氏の 文書が明らかに)』2013年12月5日公開 http://www.washingtonpost.com/world/nationalsecurity/nsa-tracking-cellphone-locations-worldwidesnowden-documents-show/2013/12/04/5492873a5cf2-11e3-bc56-c6ca94801fac_story.html 7. ZDNet、ラリー・セルツァー『 NSA using Google cookies, app location data to track targets(NSA、監視対象の追跡にGoogleクッキー、 36 アプリロケーションデータを利用)』2013年12月11日公開 http://www.zdnet.com/nsa-using-google-cookies-applocation-data-to-track-targets-7000024178 8. International Business Times、エリック・ブラウン『 NSA Phone Spying Program Ruled Unconstitutional By Federal Judge(連邦判事、NSAの電話盗聴プログラムに 違憲判決)』2013年12月16日公開 http://www.ibtimes.com/nsa-phone-spying-programruled-unconstitutional-federal-judge-1510756 9. The Register、 ジョン・ライデン 『 Latest Snowden reveal:It was GCHQ that hacked Belgian telco giant(最新のスノーデン氏による暴露: ベルギ ー最大の通信大手企業にハッカー攻撃をかけたのは GCHQ)』2013年9月20日公開 http://www.theregister.co.uk/2013/09/20/gchq_ belgacom_hack_link/ 10.Arstechnica、ダン・グーディン『 Password hack of vBulletin.com fuels fears of in-the-wild 0-day attacks(vBulletin.comのパスワードハッキングが実害が生 じるゼロデイ攻撃の恐怖を煽る)』2013年11月18日公開 http://arstechnica.com/security/2013/11/password-hackof-vbulletin-com-fuels-fears-of-in-the-wild-0-day-attacks/ 11.エフセキュアのブログ:ショーン・サリバン『 Adobe Hacked(Adobeがハッカー被害)』2013年10月4日公開 http://www.f-secure.com/weblog/archives/00002617.html 12.Renesysブログ:ジム・コウィー『 The New Threat: Targeted Internet Traffic Misdirection(新しい 脅威:標的を絞ったインターネットトラフィックのミスデ ィレクション)』2013年11月19日公開 http://www.renesys.com/2013/11/mitm-internet-hijacking/ 13.Krebs on Security、 ブライアン・クレブス 『 Cupid Media Hack Exposed 42M Passwords(Cupid Meidiaへのハッキング攻撃で4200万件のパスワー ドが流出)』2013年11月20日公開 http://krebsonsecurity.com/2013/11/cupid-mediahack-exposed-42m-passwords/ 14.Arstechnica、ダン・グーディン『 Bitcoin’ s skyrocketing value ushers in era of $1 million hacker heists(ビ ットコインの暴騰する価値が100万ドルのハッカー強盗の 時代の到来を告げる)』2013年11月27日公開 http://arstechnica.com/security/2013/11/bitcoinsskyrocketing-value-ushers-in-era-of-1-million-hacker-heists/ 15.Trustwave SpiderLabsブログ、 ダニエル・チャチク 『 Look What I Found:Moar Pony!(私が見つけた Moar Ponyに注意!)』2013年12月3日公開 http://blog.spiderlabs.com/2013/12/look-what-i-foundmoar-pony.html F-SECURE | 2013年下半期 脅威レポート セキュリティと警察 1. The Wired、キム・ゼッター『 Feds Identify the Young Russians Behind the Top U.S. Cyber Thefts in Last 7 Years(連邦機関、過去7年間の米国サイバー窃 盗の背後に若いロシア人を特定)』2013年7月25日公開 http://www.wired.com/threatlevel/2013/07/albertgonzalez-conspirators/ 2. Krebs on Security、 ブライアン・クレブス『 Pavel Vrublevsky Sentenced to 2.5 Years(パベル・ブル ベレブスキーに2年半の禁固刑)』2013年8月2日公開 http://krebsonsecurity.com/2013/08/pavelvrublevsky-sentenced-to-2-5-years/ 3. Forbes、 アンディ・グリーンバーグ 『 End Of The Silk Road:FBI Says It’ s Busted The Web’ s Biggest Anonymous Drug Black Market(シル クロードの最後:FBI、ネット最大の匿名ドラッグ闇市場 を摘発)』2013年10月2日公開 http://www.forbes.com/sites/andygreenberg/2013/10/02/ end-of-the-silk-road-fbi-busts-the-webs-biggest-anonymousdrug-black-market/ 4. エフセキュアのブログ:カルミナ・アキノ 『 Blackhole, Supreme No More(Blackholeの凋落)』2013年 10月11日公開 http://www.f-secure.com/weblog/archives/00002622.html 5. InfoSecurity-Magazine『 Fidelity Investments Cyber-heist Suspects Arrested in California(Fidelity Investmentsのサイバー強盗容 疑者、カリフォルニア州で逮捕)』2013年11月16日 http://www.infosecurity-magazine.com/view/35641/fidelityinvestments-cyberheist-suspects-arrested-in-california/ 6. The Register、イアイン・ トムソン『 Stratfor email, credit- patches-plug-23-security-holes/ 10.エフセキュアのブログ:ショーン・サリバン 『 iOS 7 Security Prompts(iOS 7の、セキュリティを喚起 するもの)』2013年9月19日公開 http://www.f-secure.com/weblog/archives/00002610.html 11.Microsoft Security Research & Defenseブロ グ:CVE-2013-3906『 a graphics vulnerability exploited through Word documents(Word文 書を介してグラフィックスの脆弱性が悪用される)』 2013年11月5日公開 http://blogs.technet.com/b/srd/archive/2013/11/05/ cve-2013-3906-a-graphics-vulnerability-exploitedthrough-word-documents.aspx 12.ZDNet、 ラリー・セルツァー『 Adobe patches security issues in Flash and Shockwave players(AdobeがFlashとShockwaveプレイヤー のセキュリティ問題を修復)』2013年12月10日公開 http://www.zdnet.com/adobe-patches-security-issuesin-flash-and-shockwave-players-7000024150/ 13.ZDNet、 ラリー・セルツァー『 Microsoft patches 4 zero-day vulnerabilities in major Patch Tuesday event(Microsoftが大規模なPatch Tuesdayイベントで4個のゼロデイ脆弱性を修復)』 2013年12月10日公開 http://www.zdnet.com/microsoft-patches-4-zero-dayvulnerabilities-in-major-patch-tuesday-event-7000024145/ 14.エフセキュアのブログ:ショーン・サリバン 『 EU Parliament Civil Liberties Committee on US Surveillance(米国の監視について欧州議会自由権 委員会にて)』2013年9月5日公開 http://www.f-secure.com/weblog/archives/00002603.html card hacker Hammond thrown in cooler for 10 15.The Wired、 キム・ゼッター『 RSA Tells Its YEARS(Stratforの電子メール、クレジットカードハッカーの Developer Customers:Stop Using NSAハモンド、10年の禁固刑を受ける)』2013年11月15日公開 Linked Algorithm(RSA、NSAにリンクされたアル http://www.theregister.co.uk/2013/11/15/judge_throws_ ゴリズムの使用を辞めるよう開発者顧客に忠告)』 book_at_stratfor_hacker_with_decadelong_sentence/ 7. Krebs on Security、 ブライアン・クレブス『 Spam- Friendly Registrar‘Dynamic Dolphin’ Shuttered(スパムに優しいドメイン名登録業者「ダイ ナミック・ ドルフィン」が閉鎖)』2013年11月25日公開 http://krebsonsecurity.com/2013/11/spam-friendlyregistrar-dynamic-dolphin-shuttered/ 8. The Register、 ジョン・ライデン 『 PayPal 13 plead guilty to launching DDoS attacks(PayPalを 攻撃した13人がDDoS攻撃開始の罪状を認める)』 2013年12月9日公開 http://www.theregister.co.uk/2013/12/09/paypal_13_ guilty_pleas/ 9. Krebs on Security、 ブライアン・クレブス 『 Microsoft Patches Plug 23 Security Holes(Microsoftパッチが23個のセキュリティホー ルを修復)』2013年8月13日公開 http://krebsonsecurity.com/2013/08/microsoft- 2013 年9月19日公開 http://www.wired.com/threatlevel/2013/09/rsaadvisory-nsa-algorithm/ 16.Los Angeles Times、 キャロル J. ウィリアムズ 『 Amid NSA spying, European lawmakers vote to tighten data protection(NSAによる盗 聴事件のさなか、欧州議会の議員がデータ保護を強 化する法案を可決)』2013年10月21日公開 http://www.latimes.com/world/worldnow/la-fg-wn-europedata-protection-nsa-spying-20131021,0,1164544.story 17.The Register、 イアイン・ トムソン 『 Microsoft breaks bug-bounty virginity in $100,000 contest(Microsoftが$100,00のバグ懸賞金を 初めて提供)』2013年6月19日公開 http://technet.microsoft.com/en-US/security/dn425036 18.Washington Post、 クレイグ・ティムバーグ、 バー トン・ジェルマン、 アシュカン・ソルタニ『 Microsoft, suspecting NSA spying, to ramp up efforts 37 F-SECURE | 2013年下半期 脅威レポート to encrypt its Internet traffic(Microsoft、NSA 盗聴活動を疑い、 インターネットトラフィックの暗号化 を強化 』2013年11月27日公開 http://www.washingtonpost.com/business/technology/ microsoft-suspecting-nsa-spying-to-ramp-up-efforts-toencrypt-its-internet-traffic/2013/11/26/44236b4856a9-11e3-8304-caf30787c0a9_story.html 19.Krebs on Security:ブライアン・クレブス 『 Facebook Warns Users After Adobe Breach(FacebookがAdobeのセキュリティ侵害を 受けてユーザに警告)』2013年11月11日公開 http://krebsonsecurity.com/2013/11/facebook-warnsusers-after-adobe-breach/ 20.The Guardian、 イアン・ トレイナー『 NSA surveillance: Europe threatens to freeze US data-sharing arrangements(NSA監視活動:ヨーロッパはUSデータ 共有を停止すると警告)』2013年11月26日公開 http://www.theguardian.com/world/2013/nov/26/nsasurveillance-europe-threatens-freeze-us-data-sharing 21.Naked Securityブログ:リー・マンソン『 Microsoft and partners fight back against the ZeroAccess botnet(MicrosoftとパートナーがZeroAccessボット ネットに応戦)』2013年12月6日公開 http://nakedsecurity.sophos.com/2013/12/06/ microsoft-and-partners-take-down-zeroaccess-botnet/ マルウェア&脆弱性 1. エフセキュアのブログ:ブロッド・アキリノ 『 Windows Version of the Janicab Malware(Windows版 のJanicabマルウェア)』2013年7月23日公開 http://www.f-secure.com/weblog/archives/00002581.html 2. エフセキュアのブログ:SecResponse『 Browlock Ransomware Targets New Countries(ランサ ムウェアBrowlockが新たな国々を標的に)』 2013年8月14日公開 http://www.f-secure.com/weblog/archives/00002590.html 3. エフセキュアのブログ:ショーン・サリバン『 IE Vulnerability Update#Japan #Metasploit(IEの脆弱性についてのアッ プデート#Japan #Metasploit)』2013年10月2日公開 http://www.f-secure.com/weblog/archives/00002615.html 4. The Register、 Neil McAllister『 Malware culprit fingered in mysterious Tor traffic spike(マルウェアがミステリアスなTorトラフィックの 急増の原因)』2013年9月9日公開 http://www.theregister.co.uk/2013/09/09/malware_ culprit_fingered_in_mysterious_tor_traffic_spike/ 5. US-CERT『 CryptoLocker Ransomware Infections(CryptoLockerランサムウェア感染)』 2013年11月5日公開 http://www.us-cert.gov/ncas/alerts/TA13-309A 6. エフセキュアのブログ:ショーン・サリバン『マイクロソフト のセキュリティアドバイザリ (2896666)#APT 』 2013年11月6日 http://www.f-secure.com/weblog/archives/00002634.html 38 7. ZDNet、 マイケル・リー『 Google、 フランス政府がにせ のドメイン証明書を発行していたことを発見 』2013年 12月9日 http://www.zdnet.com/google-catches-french-govtspoofing-its-domain-certificates-7000024062/ 8. エフセキュアのブログ:SecResponse『 Sharking: High-Rollers in the Crosshairs(シャーキング: ハイローラーに照準)』2013年12月10日公開 http://www.f-secure.com/weblog/archives/00002647.html 9. Naked Securityブログ:リー・マンソン 『 Anatomy of another Android hole - Chinese researchers claim new code verification bypass(もう一つ のAndroid脆弱性—中国人研究者が新しいコード認 証バイパスを提唱)』2013年7月17日公開 http://nakedsecurity.sophos.com/2013/12/06/ microsoft-and-partners-take-down-zeroaccess-botnet/ 10.エフセキュアモバイル脅威レポート 2013年第3四 半期『 Threat Highlights (注目すべき脅威)』 (10 ページ)2013年11月6日公開 http://www.f-secure.com/static/doc/labs_global/ Research/Mobile_Threat_Report_Q3_2013.pdf 11.エフセキュアモバイル脅威レポート 2013年第3四 半期『 Threat Highlights (注目すべき脅威)』 (8ペ ージ)2013年11月6日公開 http://www.f-secure.com/static/doc/labs_global/ Research/Mobile_Threat_Report_Q3_2013.pdf 12.エフセキュアのブログ:ミッコ・ヒッポネン『 FinFisher Range of Attack Tools(広範な攻撃ツールFinFisher)』 2013年8月30日公開 http://www.f-secure.com/weblog/archives/00002601.html 13.Blueboxブログ『 Black Hat Presentation on Android “Master Key” (Android「マスターキー」に関するBlack Hatプレゼンテーション)』2013年8月16日公開 http://bluebox.com/corporate-blog/android-master-keypresentation/ 14.エフセキュアモバイル脅威レポート 2013年第3四 半期『 Threat Highlights (注目すべき脅威)』 (9ペ ージ)2013年11月6日公開 http://www.f-secure.com/static/doc/labs_global/ Research/Mobile_Threat_Report_Q3_2013.pdf 15.Forbes『 iPhone Fingerprint Scanner Hacked; Should You Care? (iPhone指紋スキャナのセキュ リティ侵害。ユーザはどうするべきか?)』マーク・ロゴ ウスキ:2013年9月22日公開 http://www.forbes.com/sites/markrogowsky/2013/09/22/ iphone-fingerprint-scanner-hacked-should-you-care/ 16.FireEyeブログ『 Ad Vulna:A Vulnaggressive (Vulnerable & Aggressive) Adware Threatening Millions(Ad Vulna:バルナグレッシブ(脆弱で攻撃的 な)アドウェアが数百万人を脅かす)』2013年10月4日 http://www.fireeye.com/blog/technical/2013/10/advulna-a-vulnaggressive-vulnerable-aggressive-adwarethreatening-millions.html エフセキュアの概要 エフセキュアは20年以上にわたって、消費者と 企業のデジタルライフを保護してまいりました。 エフセキュアのインターネットセキュリティとコ ンテンツクラウドサービスは、200以上の通信 事業者を通じて世界40カ国以上で提供されて おり、数百万のホームユーザ、 ビジネスユーザか ら信頼を受けています。 2013年、当社の売上高は1億5,500万ユー ロに達し、世界20カ所以上のオフィスに900名 を超える従業員を擁しています。エフセキュア・ コーポレーションは、1999年以来、NASDAQ OMX Helsinki Ltdに上場しています。 かけがえのないものを 守る エフセキュア所有権物。© F-Secure Corporation 2014. All rights reserved. 「F-Secure」およびエフセキュアのシンボルは、エフセ キュア・コーポレーションの登録商標です。エフセキュアの 名前とシンボル/ロゴはエフセキュア・コーポレーション の商標または登録商標です。 Protecting the irreplaceable | f-secure.com
© Copyright 2024 Paperzz