タグのアーカイブ: サイバー犯罪

Microsoftは先日、ダイナミックDNSサービスNo-IPに対し大規模な措置を講じたと発表した。その結果、同サービスの22のドメインが差し止めとなった。Microsoftによれば、この措置には正当な理由があるという。同社が挙げた理由は次のようなものだ：No-IPはあらゆる種類の不快なマルウェアをホストしている、No-IPはサイバー犯罪者の温床である、No-IPは標的型攻撃の発生源である、No-IPはサイバー犯罪の根絶に向けて誰とも協力しようとしない。

多くの争いがそうであるように、双方が相反する発表を浴びせ合っている。「悪いのは向こうだ」「いや、先にやったのはそっちだ」という昔から繰り返されてきたやりとりだ。

No-IPが言うには、自分たちは真の善良サービスであり、サイバー攻撃の根絶にいつでも協力する用意があるそうだ。No-IPはその一方で、今回のドメイン差し止めに顧客が強い不快感を抱いていると述べ、Microsoftの措置は合法的なビジネスに対する違法な攻撃であるとの考えを示した。マルウェアは実質的にあらゆる場所で発見され得るものであり、それを理由に裁判所を通じてサービスを停止させることは到底容認できないという。

続きを読む：善悪の彼岸？

※元の英語記事は2014年6月24日に公開されました。

証券取引所へのハッキングでマイクロ秒単位の遅延

サイバー詐欺はどんな場所でも起きる。証券取引所でもだ。まずは少し歴史を見てみよう・・・

かつて株式仲買人という専門職は、尊敬に値する立派な職業というだけでなく、並外れて大変な仕事だった。取引所のすし詰めのフロアで必死に株や証券を売買していた仲買人たちは、週の労働時間があり得ないような長さで、朝から晩まで強いプレッシャーを感じる決断を迫られ、限界までストレスを募らせていた。彼らは有価証券、株、債券、金融派生商品などを売買していたが、為替レートや価格の波に乗りつつ、常に正しいタイミングで売買することを求められ、重い心臓の病や、疲労が原因の病気に少しずつ蝕まれていった。また、あっさりと窓から飛び降りて、こうした生活に一瞬で別れを告げることもあった。要するに、とても世界最高とは言えない職業だったのだ。

ともあれ、これはすべて遠い昔の話だ。こうした過酷な肉体労働はすべて自動化された。今では知恵を振り絞って真剣に考える必要もないし、ストレスを感じることも、汗をかくこともない。仕事の大部分はロボットが実行する。これ以上ないという最高の売買のタイミングを自動的に判断する特別なプログラムだ。別の言い方をするなら、株式仲買人の仕事は大部分がロボットのトレーニングということになる。こうしたボットが、あれやこれやの相場変動を利用する上で、応答時間は（マイクロ秒単位でも）死活問題だ。応答の速度は文字どおり、電子証券取引所へのインターネット接続の品質に左右される。すなわち、ロボットが物理的に取引所の近くにいるほど、最初に値を付けられる可能性が高くなるということだ。逆も同じで、離れた場所のロボットは、最先端のアルゴリズムを使っていないロボットと同じく、常に勝ち目はないだろう。

先ごろ、この極めて重要な応答時間が、正体不明のサイバー攻撃者によって不正に操作された。あるヘッジファンドのシステムがマルウェアに感染し、取引の機能に数百マイクロ秒単位の遅れが生じたのだ。そのわずかな遅延によって、成立していたはずの取引を逃してしまうこともある（おそらくそうなったはずだ）。

続きを読む：暗黒面のサイバー関連ニュース – 2014年6月30日付

2004年6月15日、正確にはモスクワ時間同日19時17分、コンピューターセキュリティの新時代の幕開けとなるできごとがあった。スマートフォン用に作成された初のマルウェアを当社が発見したのだ。

これはCabirというマルウェアで、NokiaのSymbian搭載デバイスに感染し、保護されていないBluetooth接続を介して拡散していた。コンピューターがマルウェアに狙われていることは、当時から誰もが（世捨て人や修道僧以外は）十分に知るところだったが、この発見によって、スマートフォンもマルウェアの標的となったことが世界に知れわたった。確かに、最初は多くの人が、「ウイルスが電話に感染するだなんて、そんなわけないだろう」と疑っていたものだ。だが、この件の単純な事実は、遅かれ（数年後10年後）早かれ（数か月後）、ほぼすべての人が理解することになる（いまだに気づいていない人も一部にはいるが）。その間に、当社のアナリストは歴史書に載るまでになった！

なぜ我々はこのマルウェアをCabirと名付けたのか？当社のモスクワ本社に、電波を遮断する特殊な実験室を作ったのはなぜか？CabirはどうやってF-Secure社員のポケットに入り込んだのか？こうした疑問を、当社のチーフセキュリティエキスパート、アレックス・ゴスチェフ（Aleks Gostev）に、イントラネットで実施したインタビューで聞いた。今回はその内容を皆さんに紹介しようと思う。このヒーロー饒舌な男の言葉を直接お伝えするのがいいだろう…

ちなみに、この話が本格的に始まるのは、Cabirの分析にこの2つのデバイスを使うところからだ。

続きを読む：史上初のスマートフォンマルウェアの登場から10年

※元の英語記事は、2014年6月4日に公開されました。

約束したとおり、私の週1回（くらい）の新連載『サイバー空間からの暗いニュース』（ちょっと違ったか？）の第2回をここにお届けする・・・

今回の主なテーマは重要インフラのセキュリティだ。特に、重要インフラに関して注視すべき問題や危険を取り上げる。製造設備や原子力施設、交通機関、送電網、その他の産業用制御システム（ICS）への攻撃だ。

実をいうと、この記事にあまり「ニュース」はない。先々週のニュースのようなものをお伝えする記事だ。幸い、重要インフラのセキュリティの問題は毎週起きるわけではない。少なくとも、記事にするほど興味深い事件はそうそう起きるものではないのだ。しかし、おそらくその理由は、ほとんどの事件が隠ぺいされるためだろう（無理もない話だが、それでも心配だ）。あるいは、誰も気づいていないからかもしれない（攻撃はひそかに実行されている可能性がある。こちらの方がずっと心配だ）。

というわけで、重要インフラのセキュリティ問題に関する現在の状況とトレンドを示す興味深い事実と、それに伴う脅威を目の前にしてなすべきことについてのヒントを紹介する。

重要インフラの問題には驚くような理由がいくつもあることが判明した・・・

ICSの建造と設置を手がけるエンジニアは、「中断のない安定した運用ができれば、後のことなど知らない！」をモットーにしている。そのため、ハッカーにシステムを乗っ取られてしまうぜい弱性が制御システムに見つかったとしても、システムがインターネットに接続されたとしても、本当にひどいパスワードが・・・たとえば「12345678」というパスワードが使われたとしても、知ったことではないのだ！エンジニアは、システムが絶えず、円滑に、同じ温度で動作することしか頭にない。

やはり、パッチ適用などを実施する場合は、システムの稼働がしばらく停止する可能性があり、実際に停止する。ICSエンジニアにとっては受け入れがたいことだ。とはいえ、これが重要インフラの現状である。黒と白の中間の灰色は見ていない。それとも、必死になって現実から目をそらしているのだろうか？

我々は昨年9月、稼働中の産業システムに見せかけたハニーポットをしかけて、インターネットに接続した。するとどうなったか？1か月のうちに442回の侵入を受け、内部のプログラマブルロジックコントローラー（PLC）にまでアクセスされることも何度かあった。PLCを再プロミングした頭のいいサイバー犯罪者も1人いた（Stuxnetのようだ）。我々のハニーポットの実験でわかったのは、ICSがインターネットに接続されたとしたら、ほぼ100%間違いなく、初日にハッキングされるということだ。ハッキングされてしまったICSに対して何ができるかというと・・・そう、天を仰ぐしかない。まるでハリウッドのアクション映画のような筋書きだ。それに、一口にICSといっても、さまざまな形状やサイズがある。たとえばこれだ。

原子力施設のマルウェア

ニュースソース

続きを読む：暗黒面のサイバー関連ニュース – 2014年6月4日付

※元の英語記事は、2014年5月26日に公開されました。

皆さん、こんにちは！

このブログで最後にサイバー犯罪の話題を取り上げてから、ずいぶん時間がたったように思う。新たな犯罪や昔からある犯罪、流行している手口や廃れた手口、といったものをしばらく書いていない。我々の存在意義とも言えるトピックにずっと触れていないので、のんびり遊んでいるのではないかと思った人もいるだろう・・・

安心してほしい。我々はサイバー空間で起きていることすべてを把握している。IT専門ニュースサイトで得た詳細な情報をもれなく発信しているということだが。

唯一の問題は、実際にこういうニュースを読む人がとても少ないことだ！わからなくもないが・・・。専門的なニュースはおもしろくない場合もある。特に、ITに詳しくない人は興味が沸かないだろう。だからといって、こうした情報を発信しないわけにはいかない。絶対にだ。とはいえ、このブログでは、専門的な技術の話題ばかりを取り上げて読者を混乱させるつもりはない。とても珍しくて興味深く、楽しくおもしろいサイバー関連ニュースを、世界中から集めてお伝えするだけだ。

というわけで、興味深くて珍しく、おもしろくて奇妙な最近の話題を紹介しよう。

「あいつに殴られた！」「先にやったのはそっちだ！」

サイバースパイ行為を巡る米国と中国のせめぎ合いが新たな局面を迎えた。

今回は米国側が「容疑者」の写真と名前を公開して攻撃した形だ。米国企業のネットワークに侵入して秘密情報を盗んだとして、中国軍の専門家5人がFBIの西部劇風の「指名手配」ポスターに掲載された。

続きを読む：暗黒面のサイバー関連ニュース – 2014年5月26日付

これはドン・ドレイパー（Don Draper）のセリフではない。1930年代のロシア文学の登場人物、オスタップ・ベンダー（Ostap Bender）の言葉の引用だ。もちろん、あの有名なベンダーとは関係ない。

興味深いことに、どうやらベンダー氏は、共産主義国の出身なのに資本主義について少しは知っていたようだ。ふむ…

とにかく、彼が知っていたのは、必死で稼いだお金を捨てるように仕向けることもできるということだ。人をうまく操作できればの話だが。

さて、いきなり現代の話になるが、こうした「操作」は今でも電子的な形で行われている。現代の人々は、デスクトップロッカー（ランサムウェア）を操る犯罪者に喜んで100ドル札を差し出す。デスクトップロッカーは秘密裏に動作するコンピューターマルウェアだが、カスペルスキー製品のユーザーは心配いらない。カスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）の新バージョンに用意した素晴らしいサプライズが、愚かなサイバー犯罪者と彼らのデスクトップロッカーを待ち受けているからだ。

デスクトップロッカー、ランサムウェアの原理や技術は、どちらかというと単純だ。

さまざまな手段のどれか1つ（ソフトウェアのぜい弱性など）を利用して、悪意のあるプログラムをコンピューターに忍び込ませ、愉快な（そうでもないか）写真と恐ろしい（カスペルスキー インターネット セキュリティがあればこの限りではない）文章を表示して、デスクトップと他のすべてのプログラムのウィンドウをロックする。

ロックを解除できる（できたと言うべきか。詳しくは後述）のは、たった1つのコードだけだ。もちろん、そのコードはコンピューターを感染させたサイバー犯罪者から入手するしかなく、当然ながら、プレミアムSMSやオンライン決済システムで料金の支払いを求められる。身代金を払うまで、誘拐されたコンピューターは戻ってこない。何をしようと（Ctrl + Alt + Delを押しても）、どんなプログラムを実行しようとしても（アンチウイルスでも）動作せず、以下のような画面が表示されるだけだ。

続きを読む：カスペルスキー インターネット セキュリティ 2014の新機能（その3）

少し前、インターポールのセクレタリーゼネラルであるロナルド・ノーブル氏がモスクワのオフィスにお越しくださった。ノーブル氏は、輝かしい経歴の持ち主だ。フランスのレジオンドヌール勲章の受勲者であり、ニューヨーク大学ロースクールの教授であり、さらに驚くべきことには、Urals State Legal Academyの名誉教授でもあるのだ（ロシア語Wikipediaには彼のページが存在する）。ともあれ、このたびは私の方が足を運ぶ番だ…

フランスのリヨンは、インターポールの事務総局がある土地だ。写真を撮ってもよいかと尋ねてみたところ、嬉しいことに「何でも、お好きなようにどうぞ」という返事が返ってきた。

続きを読む：リヨンの王様たち

先日、私たちは最初の – おっと、2番目の – 重要なお客様をわがオフィスにお迎えした。インターポールのセクレタリーゼネラル、ロナルド・ノーブル（Ronald Noble）氏。そして、シンガポールに新たに設立されるインターポールのサイバー犯罪対策部門を率いる、中谷昇氏だ。このお二方は、グローバルレベルでのサイバー犯罪撲滅を目指す協力体制に関する公式アナウンスのためにお越しくださった。

続きを読む：インターポール、来訪。