あな素晴らしきJava対策、穴ではなく。

サイバー犯罪者がMicrosoft Office環境にしかけた攻撃がまた1つ、当社の精巧で頑強なセキュリティ技術によって阻止された。

先ごろ、新しいものではあるが、よくある攻撃が発見された。Word文書を開くと、悪意のあるコードがこっそりとコンピューターに侵入するという攻撃だ。これがゼロデイ攻撃でなければ、大きなニュースにはならなかっただろう。つまり、これまで知られておらず、修正パッチが存在しないMS Officeのぜい弱性が利用された攻撃だったのだ。この種の攻撃は、ほとんどのアンチウイルス製品の網をすり抜けてしまう。もうおわかりだろう。Kaspersky Labアンチウイルスが、きめ細かく編みこまれた網によって、この攻撃を一網打尽にしたのだ。

具体的に説明すると、当社のぜい弱性攻撃ブロック技術が異常なふるまいを検知し、それに伴う攻撃を事前にブロックした。更新をインストールすることなく、待つ必要もなく、面倒な作業もない。あっという間に片づけた。

ゼロデイ攻撃は近年、極めて深刻な脅威となっている。

全力をもって真正面から取り組まなければならない。だが、多くのアンチウイルス製品は、ゼロデイがもたらす未来のリスクの前にはまったくの無力だ。なぜなら、ほぼシグネチャだけに頼っており、「未来の脅威からの保護」は宣伝文句でうたわれているだけだからだ(ずいぶんと立派な宣伝文ではあるが)。しかし、当然ながら、未来の脅威からの真の(効果のある)保護というものには、並外れた知力と膨大な量の開発リソースの両方が必要になる。すべてのベンダーが知力を備えているわけではなく、開発リソースだけ豊富にあったとしても、うまくいくとは限らない。これは決してコピーできるような技術ではないのだ。

ブッダやニューエイジの信奉者は「今を生きる」べきだと説く。人生においてはすばらしい格言だが、ITセキュリティが今この瞬間を生きることは許されないと我々はずっと信じてきた。ITセキュリティは常に未来に目を向け、サイバー犯罪者の頭の中で何が起きているかを、事件が起きる前に予見する必要がある。映画「マイノリティ・リポート」のようなものだ。そのため我々は、90年代前半から長きにわたって「事前予防」に取り組んできた。我々は当時、特にヒューリスティックと独自のエミュレータを開発したことでITセキュリティ業界から注目を集めていた。先見性はKaspersky LabのDNAに組み込まれている!

それ以来、この技術には大規模な改修や微調整が行われて強化されてきたが、約2年半前、既知のぜい弱性と未知のぜい弱性の悪用を防ぐすべての機能が、ぜい弱性攻撃ブロックに集約された。そして、何とか間に合った。この技術によって、Red OctoberMiniDukeIcefogなどのさまざまな標的型攻撃を事前に発見することができたのだ。

その後、突如としてOracleのJavaがサイバー犯罪者から大きな注目を集めるようになったが、そのときもぜい弱性攻撃ブロックは迎撃態勢が整っており、さまざまな脅威との戦いでその効果を発揮した。ぜい弱性攻撃ブロックの戦いを可能にしたのは、Javaによる攻撃の検知に特化したJava2SWモジュールだ。

この記事ではJava2SWモジュールについて詳しく説明していく。

一般的なコンピューターの中でソフトウェアがどんな様子かというと、昔ながらのパッチワークに少し似ていて、たくさんの「パッチ」と「穴」がある。ソフトウェアには絶えず新しいぜい弱性が見つかっている(製品の人気が高ければ高いほど、多くのぜい弱性が頻繁に発見される)ため、ソフトウェアメーカーはパッチをリリースして修正しなければならない。

しかし、第1の問題として、ソフトウェアメーカーはすぐにパッチをリリースしない。何か月も放置する企業もある。

第2に、ほとんどのユーザーはパッチのインストールを忘れるか、気にもかけず、セキュリティホールだらけのソフトウェアを使い続ける。

とはいえ、明るい話題もある。世界のコンピューターの大半にアンチウイルスソフトウェアがインストールされているのだ!

ではどうするのか?答えは簡単、Java2SWを使う。Javaに関しては一石二鳥の技術だからだ。

全体的に見て、Javaのアーキテクチャはセキュリティ面ではかなり高度だ。各プログラムが隔離された環境(Java仮想マシン、JVM)で実行され、Security Managerに監視される。しかし、Javaはその人気の高さ故に標的にされた。システムをどれほど強固に保護しても、(人気の高さに比例して)あっという間にぜい弱性が見つかってしまう。ぜい弱性とは遅かれ早かれ発見されるものだが、すべてのソフトウェアベンダーはその準備をする必要がある。特に重要なのが、①保護技術をいち早く開発すること、②対応までの時間を短縮すること、③パッチによる更新がいかに重要かをユーザーに伝えること、だ。

実は、OracleはJavaに関して、こうした準備をうまくできなかった。むしろOracleの対応が非常にまずかったために、ユーザーはこぞってブラウザーからJavaを削除するようになった。Javaがないと、一部のWebサイトを開くのがとても大変になるのだが、それでも多くのユーザーが削除した。

次に挙げる数字は、読者のみなさんがご自分で判断してほしい。Javaで発見されたぜい弱性の数は、2010年が52件、2011年が59件、2012年が60件、2013年は(まだ終わっていないが)180だ。一方、Javaのぜい弱性を悪用した攻撃の数も増加しており、憂慮すべき事態となっている。

java2SW-1

続きを読む:あな素晴らしきJava対策、穴ではなく。

カスペルスキー インターネット セキュリティ 2014の新機能(その3)

これはドン・ドレイパー(Don Draper)のセリフではない。1930年代のロシア文学の登場人物、オスタップ・ベンダー(Ostap Bender)の言葉の引用だ。もちろん、あの有名なベンダーとは関係ない。

興味深いことに、どうやらベンダー氏は、共産主義国の出身なのに資本主義について少しは知っていたようだ。ふむ…

とにかく、彼が知っていたのは、必死で稼いだお金を捨てるように仕向けることもできるということだ。人をうまく操作できればの話だが。

さて、いきなり現代の話になるが、こうした「操作」は今でも電子的な形で行われている。現代の人々は、デスクトップロッカーランサムウェア)を操る犯罪者に喜んで100ドル札を差し出す。デスクトップロッカーは秘密裏に動作するコンピューターマルウェアだが、カスペルスキー製品のユーザーは心配いらない。カスペルスキ インターネット セキュリテ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)新バージョンに用意した素晴らしいサプライズが、愚かなサイバー犯罪者と彼らのデスクトップロッカーを待ち受けているからだ。

ランサムウェアの犯罪者市場における取引額は1,500万ドル以上に及び、被害者の数は何千万人にも達している

デスクトップロッカー、ランサムウェアの原理や技術は、どちらかというと単純だ。

さまざまな手段のどれか1つ(ソフトウェアのぜい弱性など)を利用して、悪意のあるプログラムをコンピューターに忍び込ませ、愉快な(そうでもないか)写真と恐ろしい(カスペルスキー インターネット セキュリティがあればこの限りではない)文章を表示して、デスクトップと他のすべてのプログラムのウィンドウをロックする。

ロックを解除できる(できたと言うべきか。詳しくは後述)のは、たった1つのコードだけだ。もちろん、そのコードはコンピューターを感染させたサイバー犯罪者から入手するしかなく、当然ながら、プレミアムSMSやオンライン決済システムで料金の支払いを求められる。身代金を払うまで、誘拐されたコンピューターは戻ってこない。何をしようと(Ctrl + Alt + Delを押しても)、どんなプログラムを実行しようとしても(アンチウイルスでも)動作せず、以下のような画面が表示されるだけだ。

ransomware1

続きを読む:カスペルスキー インターネット セキュリティ 2014の新機能(その3)

Flickr

  • Italy
  • Italy
  • Italy
  • Italy

Instagram Photostream

ブートセクターの怪人

おまえを支配する私の力は
まだまだ強くなっていく

                                          アンドリュー・ロイド・ウェッバー – オペラ座の怪人

今も続くマルウェアとアンチマルウェア技術の戦いにおいて、何度も繰り返されている興味深いゲームがある。お城の王様ごっこというゲームだ。

ルールは至ってシンプル。勝った方が先に自分をコンピューターメモリにロードさせて、その「レベル」の支配権を握り、他のアプリケーションから身を守ることができる。そして、城の上から辺りを静かにくまなく見渡して、システム内の秩序を守るのだ(一方、悪意のある方が勝てば、人知れず、罰を受けることなく混沌を引き起こすことができる)。

要するに、勝者がすべてを手に入れるゲームだ。コンピューターを支配するわけだ。

起動プロセスにおいて主導権を握るためのアプリケーションのリストの最初にあるのは、ブートセクターだ。ブートセクターはディスク上の特別なセクションであり、何を、いつ、どこにロードするかという指示命令のすべてが格納されている。何より恐ろしいのは、オペレーティングシステムでさえそのリストに固執するということ。サイバー犯罪者が長い間、ブートセクターに不健全な興味を抱いてきたのにも頷ける。コンピューターが感染しているという事実を完全に隠しつつ先手を取るには、ブートセクターを悪用するのが一番だからだ。サイバー犯罪者がこのために使う特別なマルウェア、それがブートキットだ。

 

コンピューターのロードの仕組み

コンピューターのロードプロセス

この記事では、ブートキットとは何なのか、我々がどのようにブートキットからユーザーを守るのかを紹介する。 続きを読む:ブートセクターの怪人

ウイルスを根絶する「試験管」

まずはちょっとおさらいを。

100%保証されたプロテクションというものは存在しない。このことはもう十分おわかりだと思う。確かに、最も信頼性の高いアンチウイルス製品でさえ、高度な攻撃では迂回されることがある。この手の悪いニュースにはもううんざりだが、さらに悪いことに、二流のアンチウイルス製品は迂回されることがはるかに多いのだ。

高度な専門技術を持つ犯罪者は、その気になれば何でもハッキングできる。幸いなことに、そのような天才サイバー犯罪者はごくわずかで、サイバー攻撃の大半は、凡人レベルのプログラマーによって実行されている。彼らは欲に駆られて判断力を失ったのか、罪を犯しても逃げ切れると思っているようだ(笑ってしまうが)。このような無謀な犯罪者らは、最先端の強力なセキュリティを破れるだけのサイバー犯罪スキルを持っているわけではないが、まったく保護されていないコンピューターや、ザルのようなプロテクション製品がインストールされたコンピューターには難なく侵入できる。残念なことに、世界はそのようなコンピューターで溢れているのだ。

基本的な論理はとても単純だ。

当然ながら、プロテクションが強力であるほど、防御も強力になる。裏を返せば、高度な攻撃であるほど、強固な防御を破れるということだ。

今や25億人のインターネットユーザー標的がいるため、この論理を以下のように展開できる。

犯罪者は、わざわざ超強力な合い鍵を作って巨大な鉄壁の金庫を破る必要はない(そのような巨大金庫に保管されているのは、本当にゾッとするようなものや、変なもの、知らない方がいいような危険なものが多い・・・)。そんなものより、もっと現実的なところに侵入する方がずっと簡単で安上がりだ。たとえば近所のネットワークなんかは、守りがずっと手薄で、隠してあるものも簡単にわかる。

話が見えてきただろうか?一般的なハッカーには、わざわざ準備して高度な大規模攻撃を実行する理由はないのだ。また、攻撃の主な対象をWindowsからMacに切り替える意味もあまりない。面倒で頭を使うピンポイント攻撃ではなく、できるだけ多くの標的を攻撃する「じゅうたん爆撃」の方がはるかに効果的というわけだ。

プロテクションが強力であるほど、犯罪者の関心は薄れる。わざわざ強力なセキュリティを破ろうという気にはならず、他のもっと脆弱な標的を探すだけだ。

さてここで、サイバー犯罪者の攻撃から特に皆さんのコンピューターを遠ざける機能について説明する。犯罪者を、その機能が搭載されていない別のコンピューターを狙おうという気にさせるものだ。カスペルスキーのアンチウイルス製品の内部にある目を見張るような機能を紹介し、タスクバーに表示される「K」の文字がサイバー攻撃を撃退する仕組みについてもっと詳しく話すことにする。そう、将来の脅威からコンピューターを保護するエミュレーションだ。

emulator_alert_en

続きを読む:ウイルスを根絶する「試験管」

1 歩進んで、2 歩戻る

「あらゆる物事は緩慢かつ不調和に進む。それゆえにうぬぼれの心を持たないわれわれは、みじめで、混乱の中に取り残されている」

–『Moscow Stations』、Venedikt Yerofeev

このフレーズをアンチウイルス業界の話で持ち出すことになるとは思わなかったが、そのような事態になってしまった。ご存じのように、この世の中ではあらゆることがすんなり進むとは限らない。経済的な状況だとか新しい顧客の必要性というものは、素晴らしい人間をもダークサイドに引き込む力を持っている。このたび、アンチウイルス業界で最も著名なテストラボの 1 つである「AV-TEST」が闇に屈してしまった。

比較テストについて:初心者のための背景知識

何らかの製品のうちでベストなものを選ぼうとするとき、皆さんはどうしているだろうか。そして、ある製品がベストであることはどうしたらわかるのだろうか。専門誌やオンライン情報サイトの比較テスト結果をまず調べてみる人もいるだろう。よくある話だ。アンチウイルスソリューションの場合も同じだ。数多くあるアンチウイルス製品を評価のうえ比較して、結果を公表しているテスト機関はたくさんある。

理由は謎だが(この記事では私がその理由を推測している)、有名なドイツのテスト機関である AV-TEST がひそかに(通告なしで)同社の認証プロセスを変更した。これにはどんな意味があるだろうか。控え目な表現で言うと、新しいルールのもとでなされる認証は、各種アンチウイルス製品の価値の評価にはあまり役に立たない。

そう、私は宣言する。「AV-TEST によるホームユーザー向けアンチウイルスソリューションの認証はもはや、製品の品質を適切に比較できるものではない」と。言い方を変えると、皆さんが自宅の PC を保護するソリューションを選ぶとき、AV-TEST の認証リストは基準としてお勧めできない、ということだ。同じ認証を受けている製品が 2 つあった場合に、その 2 つのパフォーマンスは同じ(もしくはほぼ同等)だろうと考えるのは自然なことだ。AV-TEST の新しい認証基準の場合は、それぞれのテスト結果をよく調べなければならない。調べた結果、99.9% の攻撃をブロックした製品と 55% しかブロックできなかった製品が同じ「認証」を受けていることに気付くかもしれない。

avtest_cert_balance_blue

続きを読む:1 歩進んで、2 歩戻る

チェリャビンスクの怪

※注:エイプリルフールに掲載されたブログ記事です

勇者が集う Kaspersky Lab のアンチウイルスラボでは、日々無数のファイルが処理されており、毎日絶え間なく作業が続いている!もちろん、中には何の問題もないファイルやただの壊れたコード、無害なスクリプト、データの寄せ集めなどがいくつかある。しかし、そのほとんどは悪意のあるファイルで、ラボではこれらを自動的に分析、処理している(処理方法など詳しくは、こちらのブログを参照してほしい)。

そうした業務の中で、我々は時折、非常に不可思議な、これまで見たこともないような想像外のファイルに出会うことがある。脳細胞を活性化させ、心臓の鼓動を速めてアドレナリンを噴出させる、たとえばStuxnetFlameGaussRed October のようなファイルだ。

そんな奇妙なファイル群に、新たなファイルが加わろうとしている……。

そう、我々は恐ろしいワームを発見したのだ。それが発見されたのは、ロシアのインターネット上だった。すぐに言えることは、アルゴリズムのロジックや巧妙なコーディングを見たかぎり、このワームはプロのサイバースパイやサイバー兵器を含む、これまで発見された不正なプログラムはもちろんのこと、その他の既知のソフトウェアよりもはるかに高度だということだ。

どうやら我々は、かなりの大物を釣り上げたようだ!

これほどまで複雑かつ謎めいたプログラムのロジックを持つ機械語を、私は見たことがない。我々のラボでは、最も複雑なワームやトロイの木馬でも、通常は数週間あれば解析できる。しかし、今回のワームの解析にかかりそうな時間は、年単位だ!それだけ精緻で入り組んでいるのだ。

こんな怪物が開発可能なソフトウェア会社を、私は知らない。サイバー犯罪者もしかりだ。むしろ、彼らのほとんどは旧式のマルウェアを扱う。また、秘密機関が作成したと囁かれる最近の非常に高度なマルウェアも、足元にすらおよばない。今回のワームをこれら団体が作成することは、絶対に不可能だ

もしかして今、このブログを立った状態で読んでいるだろうか? であれば、まずは椅子に座ってから、読み進めてほしい。

このワームは、人類が作成することは理論的に不可能なのだ(どうだ、座っていてよかっただろう?)。

このコードは異常なまでに難解で、地球外に起源を持つとしか思えないのだ

 Hohoho

続きを読む:チェリャビンスクの怪

マザー SCADA を守れ!

※注:エイプリルフールに掲載されたブログ記事です

みなさん、こんにちは!

Kaspersky Lab では、コンピューターの世界で何が起きているかを常時診断できるよう、ハイテクなツールを駆使してさまざまな場所を突き回し、多種多様なインターネットセンサーからの計測情報を取得して「情報のノイズ」を調べている。こうして収集した情報とその他ソースから取得したデータを基に、我々はコンピューター世界のいわば体温や血圧を常に測り、主要なリスク領域を注意深く監視している。そんな我々が今、どんな事象を観測しているのか――、それを今回ご紹介しようと思う。

デジタル世界で最も問題を抱えているのは何かと聞かれたら、多くの人は家庭用コンピューター、タブレット、携帯電話、企業ネットワークと答えるだろう。これらは、業務または私物を問わず、コンピューターの世界と聞いて誰もが思い浮かべる要素だ。だが、これは間違っている。(サイバースパイ活動やサイバー犯罪などの)サイバー攻撃の大半は、「昔からある」サイバースペースで行われているにもかかわらず、主要な脅威ではない。コンピューター攻撃の中で、我々が本当に恐れなければならないのは、通信事業者(インターネット、モバイルネットワーク)や ICS(産業用自動制御システム)への攻撃だ。

Kaspersky Lab ではセキュアオペレーティングシステムプロジェクトを進めているのだが、その一環で実施したある調査によって明らかになった事実がある。それは、非常に重要なインフラの制御システムにおいて、その「コンピューターの免疫力」が深刻なほど低いという事実だ。SCADA(Supervisory Control and Data Acquisition、産業用の総合監視制御システム)を含む ICS(産業用制御システム)は、ソフトウェアやコンピューター化されたハードウェアで構成され、電力、交通、放送はもちろんのこと、実質すべての産業界の技術処理を実行し、障害および寸断のないシステム制御を担っている。最新の車や飛行機、電車において、重要な機能を制御しているのはコンピューターシステムだ。発電所、浄水施設、工場、最新のオフィスビル(エレベーター、電気や給水、火災報知器やスプリンクラーなどの非常用システム、エアコンなど)は、すべてコンピューター制御されている。部屋の片隅や誰も気にも留めないような部分でひっそりと稼動する SCADA やその他 ICS に、我々の周りにあるすべてのものが完全に依存しているのだ。

悲しいかな、その他のコンピューターシステムと同様、SCADA とその仲間たちも、マルウェアやハッカーによる攻撃の対象だ。 2010 年の Stuxnet ワームでも、それは実証されている。重要な基幹システムを守ることは、今やほとんどの先進国のコンピューターセキュリティで重要な優先課題となっている。一部の国では、基幹システムへのサイバー攻撃があった場合、(戦車や爆弾を使った)戦争の用意があると表明している(攻撃を実行した責任国が分かれば、の話だが)。事態はますます激化する一方だ。

Kaspersky Lab でも、ここしばらく SCADA のセキュリティに取り組んできた。7 年間に渡って ICS の詳細な分析を実施し、SCADA のセキュリティにおける基本原則の確立や、SCADA をマルウェアの脅威から確実に守るための、従来のエンドポイントセキュリティや Kaspersky Lab のセキュア OS をベースとしたプロトタイプソリューションの開発を進めてきた。まだ完成していないが、開発は現在進行中なので、近々発表できると思う。

話は戻るが、SCADA のセキュリティ状況に対していつもの分析を行っていたところ、先ほどかなり驚くべき事実が発覚した。なんと、「マザー SCADA」を偶然発見したのだ。マザー SCADA は、障害および寸断のない運用を遂行する上で地球上のあらゆるものに実質依存しながら、全世界の ICS を支配する強力かつ最高位の ICS だ。あらゆるものとは、朝食の味や賞与の金額から、昼夜の時間、日周運動の速度まで、すべてだ。

そう、あらゆる技術処理を「マトリックス」で管理する SCADA を発見してしまったのだ!

Mother SCADA admin panel

続きを読む:マザー SCADA を守れ!

20 台に 1 台という哀しき現実

概要は、次のとおりだ。

  • 世界中の家庭用コンピューターのうち 5 %、つまり少なくとも 5,000 万台がウイルスに感染している
  • 上記のデータは、無料ツールであるカスペルスキー セキュリティ スキャンが当社の「アンチウイルスクラウド」に分析リクエストを送信し、取得した統計データである
  • これは Windows PC の結果のみで、Mac や Linux の感染状況は不明

 では早速、悲惨な現状を紐解いていくとしよう。

今、世界中でどのくらいのコンピューターが(2 ~ 3 秒おきに)感染しているのだろうか。もっともな疑問だ。ここでは、(感染例は何件か報告されているが)Mac は含めず、PC に絞って検証する。それから、対象は家庭用コンピューターに限定する。いずれにせよ、興味深い結果が得られそうだ。では、こうした情報はどうやって手に入れればよいのだろうか。まずは、大規模な範囲でマルウェアスキャンを実行する必要がある。ここで言う大規模とは、地理的な意味はもちろんのこと、コンピューターの台数も含まれる。あと、アンチウイルスツールについては、ウイルスの検知率が高く、その他のアンチウイルス製品と干渉しないことが重要だ。

 そんな条件にぴったり当てはまるものがある。「カスペルスキー セキュリティ スキャン」だ。

 カスペルスキー セキュリティ スキャン

続きを読む:20 台に 1 台という哀しき現実

栄誉の冠は黄色から緑へ

占星術の世界では、「スクエア」(四角)は悪い知らせだ。スクエアは、対立を示すからだ(なぜそんなことを知っているのかは、ここでは話さないが)。しかし、IT業界の分析においては、四角は良い意味だ。とても、良い意味だ。4つの四角 – 業界では「クアドラント」といったりする – のいずれか、特に一番良い四角(実行能力とビジョンを備えた一角)に入ることは、至難の業だ。したがって、四角(特に、実行能力とビジョンの四角)に入るというのは、実に素晴らしいことなのだ。

現在、我々はこういったクアドラントの3つに入っている – ガートナーIDCForresterだ(実を言うと、1つは「クアドラント」、あとの2つは「スケープ」「ウェーブ」だ)。この3社は、企業エンドポイントセキュリティのクラスにおける「リーダー」に我々を認定した。しかしこれは、新たな勲章が追加された、という単純な話ではない。世界で認知された調査分析機関である3社から「三重宝冠(ローマ法王が戴いている冠)」を授かったのだ。偶然にも、この冠は、過去にただ1社だけが戴いたことのあるものだ。我々の競合である、黄色が大好きな彼らだ。そして今、その冠はほのかに緑をおびている。

続きを読む:栄誉の冠は黄色から緑へ

正しい方向への大きな一歩

バラク・オバマ:大統領令

2013 年 2 月 13 日、オバマ大統領はサイバーセキュリティに関する大統領令に署名した。満を持して発令されたこの大統領令は、政府と民間企業との間の情報共有を拡大させ、より強化することを目的としている。さらに、同令の中には米国の重要インフラの防衛機能を向上させるために、サイバーフレームワークおよび規格の構築への自主参加も盛り込まれている。同令では、リスクベースアプローチがとられている。リソースが限られる中で最もリスクの高い分野を優先的に守るという対策は、賢明な方針だ。脅威が高度化し、世界中の主要な経済部門が標的型攻撃にさらされる現在、重要インフラの防御をより一層強化することは急務だ。米国の健全な国家運用を支える重要資産を守る上で、今回のオバマ大統領の取り組みは真の空白を埋める第一歩と言える。

続きを読む:正しい方向への大きな一歩