アーカイブ

2008 年 4 月 のアーカイブ

中国製偽シスコ・ルータが米国の重要インフラに流通している件

2008 年 4 月 23 日 コメント 4 件

以前より想定されていた不正なハードウェア混入による情報セキュリティの脅威が現実味を帯びてきた。

「FBI Criminal Investigation Cisco Routers」と題されたレポートが以下のサイトに掲載されており、パワーポイントファイルのダウンロードも可能だ。(ファイルが正規のもので安全かどうかは不明)

資料に掲載されている偽シスコ製品はルータ(1000, 2000シリーズ)、スイッチ(WS-C2950-24, WS-X4418-GB)、GBIC(WS-G5483, WS-G5487)、WIC(VWIC-1MFT-E1, VWIC-2MFT-G703, WIC-1DSU-T1-V2)。2002年頃からその存在が確認されているようだ。バックドアやサービス妨害の潜在的な脅威が考えられるが、これだけの時間を経てリモートから攻撃可能な手段が確認されていないということは、今のところ単なる低品質の偽ブランド製品として出荷されたということか(FBIの調査能力を信用するなら)。同資料では米国政府の調達方法とCiscoが直販を行わないなどの条件が組み合わさり、このような偽製品が混入が発生しやすいと政府調達のサプライチェーンに関する問題点を指摘している。

我が国にも同様の偽シスコが上陸していないとも限らない。一部製品(Cisco1721)の偽物の見分け方も記載されているので入手経路にかかわらず確認しておいた方が良いだろう。

【参考情報】
FBI Fears Chinese Hackers Have Back Door Into US Government & Military(abovetopsecret.com, 4/21)
http://www.abovetopsecret.com/forum/thread350381/pg1

http://www.abovetopsecret.com/forum/thread350381/pg2

■中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手(technobahn, 4/23)
http://www.technobahn.com/news/2008/200804230005.html

カテゴリー: 情報セキュリティ タグ:

その「標的型攻撃」,「スピア攻撃」と言い切れますか

2008 年 4 月 17 日 コメントはありません

メディアが「スピアー攻撃」という用語を不用意に使用することによってスピアフィッシング攻撃(Spear Phishing Attack)と標的型トロイの木馬攻撃が混同され混乱が治まらない件について、先の「スピアー攻撃言うなキャンペーン」開催の甲斐もあってかついに日経IT ProのWeb上において改善の兆しが見え始めた。

日経IT Proのセキュリティ・セクションのトップページに以下のようなタイトル文字が表示されている。

【世界のセキュリティ・ラボから】その攻撃,「標的型」と言い切れますか」 (日経IT Pro, 4/17)

itpro-security.jpg

「お~日経IT Proが『標的型』をタイトルに使ってる~」と思ってクリックをすると

その攻撃,「スピア攻撃」と言い切れますか」   の大きなタイトル文字が・・・。(日経IT Pro, 4/17)

itpro-spear.jpg

まだ更新の作業途中ということかもしれないが、時代の変化とともに定義のあやふやな用語の使用を避けようとする姿勢は高く評価したい。(ありがとうございます。)

この記事本文の内容だが、米国のセキュリティ業界においてもやはり同様に何でもかんでも「Targeted(標的型)」と呼ばれることへの疑問の声があるようで、私が以前から指摘していた内容と同じであり大変興味深い。この中で筆者はある攻撃を標的型(Targeted)と分類する基準として(攻撃対象の)「選り分け(discrimination)」が行われているいることをあげている。私が前のエントリーで書いた「特定の組織・人を対象とする」よりも広い概念となるが、実際に米国では大手企業のCEOなど同一の属性を持つ異なる組織に属する人物を対象とした(選り分けた)攻撃も発生していることからもより適切な判断基準だと思われる。

 特定のユーザーのみを対象とした攻撃について,メディアが見出しを書くときの難しさは十分に理解している。ただ残念なのは,「Targeted」という言葉が多用されるあまり,問題の評価がかなり変わってしまうことだ。

まさにそのとおり。

元記事の方も「スピア攻撃」という文字を「標的型攻撃」と脳内変換しながらご一読いただきたい。

【参考情報】
■その攻撃,「スピア攻撃」と言い切れますか(IT Pro, 4/17)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080415/299058/?ST=security

■スピアー攻撃言うなキャンペーン開催中!(武田圭史, 4/15)
http://motivate.jp/archives/2008/04/post_150.html

カテゴリー: 情報セキュリティ タグ:

最近のトロイの木馬攻撃に関する情報と対策

2008 年 4 月 16 日 コメントはありません

同様の攻撃は昨年より継続しており、米国内の組織に対しても同様の傾向が観測されている。
攻撃対象は幅広いが、攻撃者は政治、軍事、外交方面などに関心があるかこれらに関心を持つユーザに関心がある模様。送付対象が広い場合にこれを標的型攻撃と呼ぶか否かについては議論の余地はあるが、何らかの意図を持って行われている可能性は高いと思われる。

当面の対策として以下が考えられる。

・関連のメールの特徴情報(送信元IP、添付ファイル、タイトル、本文)を共有しサーバーのログ等から類似したメールが組織に届いていないかを確認する。脅威レベルが高いと思われる組織では、これら情報に基づくフィルタリングルールを設定するか必要に応じて添付ファイル等の使用を制限することなどを検討する。

 例)2008/4/16 12:00 現在の公知情報

  送信元IP: 84.18.200.200
  From: 防衛省
  Subject: 防衛省所管公益法人一覧

  ソース:http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus

  ※送信元IP: 84.18.200.200については英国にあるFree VPNを使用している模様

・同様にトロイの木馬実行時にみられる振る舞いに関する情報( 3233.org ドメインへのアクセスなど )を共有しルータ、ファイアウォール、IDS/IPSなどのログを確認また、これらのドメインへのアクセスを制限または監視する設定を行う。

 例)2008/4/16 12:00 現在の公知情報

 接続先: cyhk.3322.org
       hi222.3322.org

 ソース:http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html

・上記のような情報を広く公知しユーザを含め注意を促す。

※対策情報の共有のため関連情報を入手された方は、JPCERT/CCやIPAなどしかるべき機関への情報提供にあわせ、本ページ右上にあるメールアドレスまでご連絡いただければ幸いです。

【関連情報】
■Japanese Companies Targeted(The Dark Visitor, 4/14)
http://www.thedarkvisitor.com/2008/04/japanese-companies-targeted/

■Chinese hackers target US defense contractors(The Dark Visitor, 4/11)
http://www.thedarkvisitor.com/2008/04/chinese-hackers-target-us-defense-contractors/

■The New E-spionage Threat(Business Week, 4/10)
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm?chan=magazine+channel_top+stories

■トロイの木馬が埋め込まれたMicrosoft Wordファイルによるターゲット攻撃(トレンドマイクロ, 2008/2/1)
http://blog.trendmicro.co.jp/archives/1287

■福田首相のHP閉鎖 「なりすましメール」出回る(Asahi.com, 2007/10/3)
http://www.asahi.com/digital/internet/JJT200710030005.html

■「福田首相」メール、添付ファイルにマルウェア仕込む(ITmedia, 2007/9/26)
http://www.itmedia.co.jp/enterprise/articles/0709/26/news021.html

■福田新首相を騙った不審なメール(トレンドマイクロ, 2007/9/28)
http://blog.trendmicro.co.jp/archives/1219

■福田新首相の名を騙るメールに注意、Symantecが警告(InternetWatch, 2007/9/26)
http://internet.watch.impress.co.jp/cda/news/2007/09/26/16986.html

■New Prime Minister, New Trojan(symantec, 2007/9/25)
http://www.symantec.com/enterprise/security_response/weblog/2007/09/new_prime_minister_new_trojan.html

■福田新首相をかたるウイルスメールがさっそく出現(IT Pro 2007/9/25)
http://itpro.nikkeibp.co.jp/article/NEWS/20070926/282955/?ST=security

■2006年上半期データセキュリティ総括(日本エフセキュア株式会社, 2006/6/30)
http://www.f-secure.co.jp/news/200606301/

「3322.org」は、中国の無料ホスト・サービスです。誰でも、「3322.org」に自由なホスト名を登録することができ、そのホスト名を任意の指定したIPアドレスに向けるサービスです。他にも、「8866.org」、「2288.org」、「6600.org」、「8800.org」、「9966.org」など同様のサービスがあります。Eメールを入力したWord文書の出先に疑いを感じる場合は、自社のゲートウェイ・ログをチェックし、どのようなトラフィックがあるかを確認することを推奨します。

■Free VPN account in UK,3/10(A Web Resource Seeker, 3/10)

http://www.iwebseeker.com/free-vpn-proxy/free-vpn-account-in-uk-3-10-2008/

メールの送信元として使用される可能性があるIPアドレス(予想:上記リストから関連しそうなものをピックアップ)

61.116.84.199

66.186.35.205
66.186.59.162
66.186.59.165
66.186.59.170
66.186.59.180
66.186.59.190
66.186.59.194
66.186.59.200
66.186.59.210
66.186.60.194
66.186.61.18
66.186.61.20

67.43.158.125
67.198.195.67
67.198.192.77
67.228.31.80
67.228.31.81
67.228.31.82
67.228.31.83
67.229.127.27

74.86.2.219
74.86.61.224
74.86.61.225
74.86.61.226
74.86.61.227
74.86.88.16
74.86.88.17
74.86.88.18
74.86.88.19
74.86.88.20
74.86.90.64
74.86.90.65
74.86.90.66
74.86.100.61
74.86.177.64
74.86.177.65
74.86.177.66
74.86.177.67
74.86.190.112
74.86.190.113
74.86.190.114
74.86.190.128
74.86.190.129
74.86.190.130
74.86.190.168
74.86.190.169
74.86.190.170
74.222.130.115
74.222.189.7

84.18.200.200
84.18.200.203
84.18.200.204
84.18.200.207
84.18.200.210
84.18.200.211
84.18.200.212

89.145.80.1
89.145.80.2
89.145.80.3
89.145.80.4
89.145.80.5
89.145.80.6
89.145.80.7
89.145.80.8
89.145.80.9
89.145.80.10
89.145.80.11
89.145.80.12
89.145.80.13
89.145.80.14
89.145.81.1
89.145.81.2
89.145.81.3
89.145.81.4
89.145.81.5
89.145.81.6
89.145.81.7
89.145.81.8
89.145.81.21
89.145.81.22
89.145.81.23
89.145.81.24
89.145.81.25
89.145.81.31
89.145.81.32
89.145.81.33

209.11.242.91

210.245.219.250

※リストは網羅的ではありません。また、これらのアドレスから送信されたメールが全て危険というわけではありません。

カテゴリー: 情報セキュリティ タグ:

スピアー攻撃言うなキャンペーン開催中!

2008 年 4 月 15 日 コメント 2 件

ここ数日、日本語の本文とともにバックドアなどをしかけるための悪意のある添付ファイル(トロイの木馬)が日本のメールアドレスに広く送付されているようである。

この件については当初京大の上原先生の「標的型攻撃?(Tetsu=TaLowの雑記, 4/9)」というエントリーで見て知ったのだが、その後、龍谷大の小島先生のところでも同様の攻撃が確認され、「今日のウイルスメール (2008.04.14) (龍谷大, 4/14)」というエントリーでメールの本文がヘッダの一部とともに公開された。

メールの本文の内容及び送信者、受信者の間に密接な関係がなく、受信者が当該メールを受信する必然性がないと思われることから、トロイの木馬が偽装メッセージとともに大量送信される海外ではよく見られるたぐいの攻撃であると考えられた。

その後シマンテック社のブログ(英文)に「Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14)」という記事が掲載され同様の攻撃が複数の組織から報告されていることが確認された。添付された実行ファイルは、マシンにキーロガーとバックドアを設置するものだったようだ。

一連のインシデントについてはITmedia日経IT Proが報じているが、ITmediaがSymantecのブログエントリーに基づき事実を淡々と解説するに留めているのに対し、日経IT Proの方はこの攻撃について「日本の企業を狙った『スピアー攻撃(標的型攻撃)』とみられる。」といささか過激な表現を用いている。

ニュースソースと思われる symantec社のブログによれば「possible targeted spam attack against several Japanese companies.」と表現されており、これを日経IT Proでは「日本の企業を狙った『スピアー攻撃(標的型攻撃)』とみられる。」と訳したと思われる。

最初に述べているようにこの攻撃は大学に対しても送付されていることから、比較的広い範囲に対して送付されていると思われ、この攻撃を標的型攻撃と決めつけるのは時期尚早と思われる。symantec社も「possible targeted spam attack」と微妙な表現を用いている。

今回のように多くのメールアドレスに対してそれ自体は感染拡大能力を持たないトロイの木馬を送付する攻撃は古くから行われており古典的な攻撃である。この場合同じトロイの木馬は基本的に何度も使用しないため、ウイルス対策ソフトウェアの定義ファイルにマッチせず検知することが困難になる。

攻撃対象を限定せず広範囲にトロイの木馬が送付されているとすれば英語でいう 「massive Trojan attack(大規模トロイ攻撃)」が適切な表現であり、「spam Trojan attack(スパム型トロイの木馬攻撃)」などと呼ばれることもある。特定組織を対象として巧妙にバックドアなどを組織内送り込む標的型トロイの木馬攻撃(Targeted Trojan Attack)とは、大きく性質の異なるものである。

最近は標的型攻撃という呼び方が定着してきていて、「スピアー攻撃」などと出所の定かではない少々恥ずかしい呼び方をする人はかなり減ってきているが、日経IT Proがいつまでも「スピアー攻撃」という表現を使用しているために混乱が治まらないでいる。

結果として、政府関連の報告書の中にも「標的型攻撃(スピアー攻撃とも呼ばれる)」などと毎回書かなければならないし、日経IT Pro自身も記事の中で「スピアー攻撃(標的型攻撃)」などと両方の表現を併記しており余計な文字数によって日本のネットワーク帯域を圧迫する原因となっている。

しかし今回のようなものは現段階では「標的型攻撃」とはいいがたく、このような報道は混乱と誤解を招きかねず、注意が必要だ。

以下、日経IT Proではスピアー攻撃と十把一絡げにされているが、海外では区別されていて対策を取る場合にも区別が必要な攻撃手法をあげてみる。(他にもあるかもしれない・・・。)

【Targeted Attack = 標的型攻撃】
特定組織・人を対象とした攻撃

【Targeted Trojan Attack = 標的型トロイの木馬攻撃】
特定組織・人を対象としトロイの木馬を使用した攻撃

【Spear Phishing Attack = スピア・フィッシング攻撃】
特定組織・人を対象としフィッシングを使用した攻撃

【massive Trojan Attack/spam Trojan Attack = 大規模トロイの木馬攻撃/スパム型トロイの木馬攻撃】
トロイの木馬を大量のメールアドレスに送信する攻撃

今回のケースについては受信範囲を精査し、それらの間に何らかの共通性が見られれば、明確な意図を持った本当の標的型攻撃であるという可能性がないわけではない。またsymantec社が「possible targeted spam attack」と表現しているように、ある程度攻撃範囲を限定した形での「標的型スパム型トロイの木馬攻撃」の可能性が高い。今後一般家庭のユーザなどに対しても同様のメールが届くようであれば単なる「スパム型トロイの木馬攻撃」ということになるだろう。

いずれにせよ今の段階で標的型攻撃と断言するのは時期尚早であるし、スピアー型などという曖昧模糊とした表現の使用は今後も含め避けるべきだろう。

【参考情報】
■標的型攻撃?(Tetsu=TaLowの雑記, 4/9)
 http://d.hatena.ne.jp/tetsutalow/20080409#p2

■またきたよ(Tetsu=TaLowの雑記, 4/11)
 http://d.hatena.ne.jp/tetsutalow/20080411#p1

■今日のウイルスメール (2008.04.14) (龍谷大, 2008.04.14)
 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus 

■龍谷にもきたらしいよ(Tetsu=TaLowの雑記, 4/14)
 http://d.hatena.ne.jp/tetsutalow/20080414#p1

■Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14) http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html

■日本政府をかたる偽メール、日本企業がターゲット(ITmedia, 4/15)
  http://www.itmedia.co.jp/news/articles/0804/15/news019.html

■日本企業を狙った「スピアー攻撃」、日本政府からのメールを装う(日経IT Pro, 4/15)
  http://itpro.nikkeibp.co.jp/article/NEWS/20080415/299063/

カテゴリー: 情報セキュリティ タグ: