ウォッチガード・テクノロジー・ジャパンとSecuLynxはこのほど、未知のマルウェアに感染した端末の即時遮断、強制排除を行うセキュリティソリューションの共同開発を発表した。ソリューションは、SecuLynxの不正機器接続防止製品「IntraPOLICE II」とウォッチガードのFirebox標的型攻撃対策アプライアンスを機能連携したもの。Lastlineの次世代サンドボックス環境でゼロデイマルウェアを検知するほか、ウォッチガードが持つ解析済みのマルウェアデータを元に検知できる。機能連携では、この検知したマルウェアがどの端末に存在するのかをIntraPOLICE IIマネージャーに送信。マネージャーは遮断の指示をIntraPOLICE II センサへと送り、センサが端末を遮断、強制排除する。遮断にかかる時間は、検知情報がIntraPOLICE IIマネージャーに送られてから100ms~500ms程度で遮断できるという。SecuLynxは2014年12月に設立されたパナソニックのスピンアップファンドによるベンチャー企業で、ネットワークセキュリティ機器やソフトウェアの開発・販売を行っている。IntraPOLICE IIは初代製品にウォッチガード製品との連携機能を加えたアップデートモデルで、マルウェアのC&Cサーバーとの通信を即遮断できるか否かをわかりやすくするために「II」を冠したという。そのため、管理コンソールでは初代のIntraPOLICEと「II」の製品は区別して表示できるという。IntraPOLICEはそもそも、社内ネットワークに未登録のPCやスマートフォンが接続された場合の遮断製品として開発された。具体的には、登録外の端末がネットワークに接続された時に、最初に通信する際に送られるARPパケットを監視し、登録外のMACアドレスを検知した場合にネットワーク接続を遮断するという仕組みだ。これを、マルウェアとの通信や検体を検知した際に該当する端末の通信を遮断することに応用したものが今回のソリューションになる。IntraPOLICE IIのセンサは15万円、マネージャは28万円(どちらも税別)となっており、10月15日より提供を開始する。ウォッチガード・テクノロジー・ジャパンの社長執行役員 根岸 正人氏は、「セキュリティの世界では100%のマルウェア排除は無理ということが常識になりつつある。だからこそ、いかに早く気づくか、対処ができるかが重要」として、今回のような検知後の即時遮断の重要性を強調した。
2015年09月25日厳しいアプリ審査で知られるAppleのApp Storeでマルウエアに感染したアプリが配信された問題で、Appleが同社の中国のサイトで「XcodeGhost Q&A」というQ&Aページ(英語・中国語)を公開した。マルウエアに感染したのは、XcodeGhostというツールを用いて作成されたアプリである。AppleはMac App StoreでXcodeの正式版を、同社のサイトからベータ版を提供しているが、中国では国外のサーバとの通信速度が遅く、数GBのXcodeのダウンロードには長い時間がかかる。そのため短時間でダウンロードできるように国内のサードパーティのサーバに置かれたプログラムを入手する開発者が増えていた。そうした非公式配信の中にXcodeを改竄したXcodeGhostが含まれていた。同社はGatekeeperなどを用いて不正ツールの使用を防いでいるが、そうした保護の無効化にXcodeGhostは成功していたという。Appleはマルウエアに感染していたアプリをApp Storeから取り下げ、また同じマルウエアに感染したアプリの申請をブロックしている。報道ではiCloudアカウントのパスワードを盗み取る可能性などが指摘されているが、同社の調査ではマルウエアはシステムの一般情報に触れているのみで、これまでのところ悪意のある挙動は確認していない。Q&Aページでは感染が確認されたアプリで、人気が高い25個のアプリのリストを公開している。WeChatやAngry Bird 2などが含まれ、マルウエアの影響を受けるユーザーの多くが、これら25個のアプリのユーザーだという。Appleは開発者と協力して問題解決に努めており、感染が確認されたアプリのApp Storeでの提供が再開された後に最新版にアップデートすることで、それらのアプリのユーザーはマルウエア感染の問題を修正できる。Appleは中国においてXcodeのベータ版をより速くダウンロードできるように改善し、中国の開発者をサポートする。同社はまた、「Validating Your Version of Xcode」というサポートページを用意し、開発者が使用しているXcodeの安全性を確認するステップを説明している。
2015年09月25日SophosLabsの研究者であるGabor Szapponos氏が、5月~8月にかけて"マルウェアキャンペーン"で利用された「Microsoft Word Intruder(MWI)」と呼ばれるマルウェア作成キットの詳細を暴くホワイトペーパー「Microsoft Word Intruder Revealed」を公開した。Szapponosは数年がかりでAPT(Advanced Persistent Threat)攻撃を追跡していおり、サイバー犯罪者が利用するアンダーグラウンドマーケットで取引されているマルウェア作成キットMWIを分析した。その名称から分かるように、MWIは「Microsoft Office」のドキュメントを悪用するマルウェアを作成できるものだ。ロシアで開発されたキットだが、世界的に利用されている。ウイルスなどのマルウェアを作成するキットは1990年代からあり、新しいものではない。しかし、マルウェアの作成と拡散の目的は変化している。当初は反体制的な意味合いが強かったが、現在マルウェアの作者はマルウェア作成ツールを他のサイバー犯罪者にアンダーグラウンドマーケットで販売することで財務的メリットを得ることを狙っている。一方でMWIキットが与える影響は、1990年代の古いDOSウイルス作成ツールから変わっていない。サイバー犯罪グループは、自身でエクスプリトを開発するスキルがなくても、キットを利用してマルウェア攻撃のためのOfficeのエクスプロイトにすぐにアクセスできる。Szapponosによると、MWIは多数のマルウェアグループに利用されており、40以上のマルウェアファミリーのトロイの木馬に実装されているという。
2015年09月04日McAfee Labs(マカフィー ラボ)は9月1日、2015年第2四半期の脅威レポートを発表した。レポートでは、GPUを利用したマルウェアの検証や、サイバー犯罪者がデータを引き出すために最も多く用いる手法の調査などの、ここ5年間の脅威の進化について解説している。これによるとサイバー犯罪は、サプライヤーや市場、サービスプロバイダー、資金調達手段、取引システム、ビジネスモデルが広く普及したことで、成熟産業へと成長している。一方で企業や消費者は、サイバー資産や物理資産を保護するためのアップデートやパスワードによるセキュリティ、デフォルト設定といった簡単で重要な手段を十分に実践しているとはいえない状態にあるという。これに加え、インターネットの重大な脆弱性の発見と悪用が基礎的な技術に対する資金と人材が不足している。しかしながら、サイバー犯罪の抑止に向けて、セキュリティ業界と学術機関、警察、政府の間で良好な協力関係も拡大しているとしている。冒頭のGPUを利用したマルウェアの検証では、概念検証(PoC)を行った結果、攻撃者がGPUの処理効率を利用して従来のマルウェア対策を回避し得ることが確認されたという。その他2015年第2四半期のその他の脅威動向としては、ランサムウェアの急激な拡大、モバイルマルウェアへの感染率がほとんどの地域で減少したこと、ボットネット「Kelihos」の活動停止によってボットネットで生成されるスパムの量の減少傾向が続いていることなどが挙げられている。また、この第2四半期に、同社の顧客を電子メールやブラウザ検索などから危険なURLに接続させようとする攻撃が、毎時670万回以上あったこと、同社の顧客ネットワークに毎時1,920万以上の感染ファイルが出現したこと、同社が保護するネットワーク上で毎時700万の不審なプログラム(PUP)がインストールまたは起動を試みたことも報告されている。「McAfee Labs Threats Report: August 2015(McAfee Labs脅威レポート:2015年8月)」の日本語版全文が同社Webサイトで公開されている。
2015年09月03日Androidのマルウェアのニュースが相次いだが、今回はiOSのマルウェア「KeyRaider」が報告された。米Palo Alto Networksが8月30日に明らかにしている。過去最大という22万5,000件のAppleアカウントの窃盗に成功しているという。「脱獄」したiPhoneをターゲットとしており、日本でも被害が出ている模様だ。同社と提携するWeip Techが挙動の不審なiOSアプリを調べたところ、盗まれた22万5,000件のパスワード付きAppleアカウントをサーバー上に発見。両社共同で詳細を調べたところ、最新のiOSマルウェアの新しいサンプル92種を発見した。これらを分析した結果、被害者のパスワード、非公開鍵、証明書などを襲う(raid)性質を持つことから、「KeyRaider」と名付けられた。Palo Alto Networksは、「これまでで最大規模のAppleアカウント窃盗」事件としている。KeyRaiderは主として、Appleが意図しない改変「Jailbreak」(通称=脱獄)したiOSデバイスをターゲットとしており、脱獄したiOS上で利用できるアプリケーションディレクトリのCydiaを経由して拡散されていた様子。中国を中心に、日本、米国、韓国など18カ国のユーザーが影響を受けたと報告している。このマルウェアは、サードパーティ開発者がランタイムパッチを提供するためのCydiaのフレームワーク「MobileSubstrate」より、iTunesトラフィックを傍受してAppleアカウントのユーザー名、パスワード、デバイスGUID(Globally Unique Identifier)などの情報を収集する。また、Appleのプッシュ通知サービスの証明書、非公開鍵などの情報を不正入手し、App Storeでの購入情報を共有するほか、ローカルおよびリモートのアンロック機能の無効化なども行うという(iPhoneおよびiPadが対象)。これにより、端末をロックして人質にとるランサムウェアとしての側面も持つ。マルウェアの作者の目的は、脱獄したiPhoneユーザーが公式のApp Storeのアプリを入手可能にし、App Storeにあるアプリ内課金型の有料アプリを無料で利用できるようにすることという。iOSでは通常不可能な行動が可能となり、アプリ購入リクエストを乗っ取って盗んだアカウントや購入レシートをコマンド&コントロールサーバーからダウンロードし、iTunesのプロトコルをエミュレートしてAppleのサーバーにログオンし、アプリを購入することなどが可能という。ダウンロード回数は2万回を超えており、2万人のユーザーが22万5,000件の盗んだアカウントを不正利用可能であると考えられる、とPalo Alto Networksは述べている。
2015年09月01日東洋水産はこのほど、チルドシュウマイ「マルちゃんジャーマンポテト風しゅうまい」を発売した。○国産ポテトを使用、ジャーマンポテト風の味わいに同商品は、国産ポテトを使用しジャーマンポテト風の味わいに仕上げたチルドシュウマイ。従来のシュウマイとは一味違った一品になっているという。ペースト状のポテトをベースに、食感の異なるダイス状のポテトと、コーン・玉ねぎ・ベーコンを合わせた。粗挽きブラックペッパーを利かせ、ジャーマンポテト風の味わいに仕上げている。電子レンジ調理だけでなく、フライパンで焼いてもおいしく食べられるという。内容量144g(8個入り)で、希望小売価格は255円(税別)。
2015年08月30日東洋水産はこのほど、冷凍食品「マルちゃん ライスバーガー 焼肉」「同 牛カルビ」をリニューアル発売した。「ライスバーガー」シリーズは、ごはんとおかずが1つになった程よいボリューム感の冷凍商品。個包装の食べきりタイプで、食器を使わずにそのまま食べることができる。今回のリニューアルでは、味付けをブラッシュアップしたとのこと。甘味のトーンを調整し、より丸大豆醤油の風味が際立つ味わいに仕上げたという。「マルちゃん ライスバーガー 焼肉」は、玉ねぎと牛肉を一味唐辛子とコチュジャンの辛味がきいた甘辛ダレで味付けし、焼いたごはんではさんだ。「同 牛カルビ」は、炭火焼き風の牛カルビと長ねぎに、隠し味として香辛料をきかせた甘口のタレを絡め、焼いたごはんでサンドしている。価格はいずれもオープン。
2015年08月20日日本年金機構からの情報流出事件で攻撃に使われたのが「Emdivi」と呼ばれるマルウェア。年金機構の事件で話題になったが、各セキュリティベンダーの調査では、長期間にわたって活動していたマルウェアで、特に「日本を狙った攻撃」であることが特徴とされる。特定の組織を狙った標的型攻撃だったため、これまでセキュリティソフトに検出されにくかったようだが、こうしたEmdiviのようなマルウェアを悪用したっ標的型攻撃も「事前に検出可能だった」と主張するのが、FFRI 社長の鵜飼 裕司氏だ。こうした標的型攻撃を同社の製品がどうして検出できるのか、話を聞いた。○年金機構を襲ったマルウェア「Emdivi」を検知できた「FFR yarai」FFRIは、企業向けメインのセキュリティソフト「FFR yarai」を提供する。このyaraiは、特に標的型攻撃に対して威力を発揮する製品として、国内で40万台超のPCで稼働しているという。このFFR yaraiに対して、同社が入手したEmdiviの検体で試験をしたところ、攻撃をブロックできたという。FFR yaraiは2009年にリリースされたセキュリティソフトだが、当初より鵜飼氏は、従来のパターンマッチング型のマルウェア対策には限界があると考えていた。パターンファイルを使って、マルウェアと照合する方法は、マルウェアが少しでも変更されると検知できず、亜種が増えれば増えるほど、パターンファイルの量が膨大となり、システム負荷も高くなり、効率も悪くなる。標的型攻撃は、特定の組織を狙ってカスタマイズされているため、検体を入手しづらく、その検体からパターンファイルを作成するため、検体が手に入らなければ検知もできない。こうしたパターンファイルの弱点を補完する形で、FFRIが研究してきたのがヒューリスティックによる検出方法で、「メタな情報に着目して、怪しさを判別して検知するようにした」(鵜飼氏)ものが FFR yaraiのベースとなっている。FFR yaraiのポイントは、この"怪しさの定義"で「黒(マルウェア)を黒と見分ける技術」が重要になるという。FFR yaraiに搭載されている技術は5つのヒューリスティックエンジンで、「いろいろな専門的な立場でプログラムを分析」してマルウェアを検知する。Adobe Readerなどの脆弱性を悪用する攻撃は「ほぼ止められる」としており、USBメモリ経由やEXEファイルのまま送られるような場合でも、5つのエンジンのいずれかがブロックするそうだ。鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。○FFR yaraiの独自エンジンとは?このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」というわけだ。そのロジックを組み込んでおけば、攻撃者がその攻撃手法を開発したとしても、すでに対応できるようになっている。鵜飼氏は、「攻撃技術に関する研究は大事であり、彼ら(攻撃者)を後手後手にしていくのが重要」と話す。こうした結果、2009年以降「連戦連勝」だという。標的型攻撃は、官庁などの政府系組織から大手企業をはじめ、さまざまな企業が狙われている。特定の業種業態だけが狙われているわけでもないため、企業などは狙われる前提で対策を取る必要があるだろう。それについて鵜飼氏は、「自分たちの組織が今どうなっているのか、可視化するのが重要」と指摘する。そのためには、セキュリティ企業の診断サービスを受けることもできるし、FFRI自身もそうしたサービスを提供している。とはいえ、「コストを抑えて把握する方法はある」と鵜飼氏。FFR yaraiは無料評価版も配布しているため、これを使うことで「少なくとも現状はわかる」という。こうしたツールを使うことで、まずは現状を把握し、例えばすでに狙われている場合もあるだろうし、組織内の弱点がわかれば、改めてセキュリティ強化の対策につなげることができる。○東京五輪がセキュリティに及ぼす影響は?将来的な攻撃において、鵜飼氏が懸念しているのは、2020年の東京五輪だ。「IoTオリンピックとも呼ばれている」と語るが、その頃にはさまざまなIoTデバイスが市場に出まわっている可能性は高い。それに対して、「問題は、どんなIoTが広まっているか」と鵜飼氏。将来が予測しづらいために、鵜飼氏も「いろいろ考えなければならないことが多い」と苦笑する。鵜飼氏は、総務省でのセキュリティ対策のための会合にも参加しつつ、予測をして、対策を考えていく。「スマートフォンオリンピック」と呼ばれたロンドン五輪は、さまざまなサイバー攻撃があったものの、「取りあえず乗り切った」。それがさらにIoTオリンピックになると「どこの国も経験したことがない状況になるため、世界からの攻撃が集まる可能性があるとして、「現実的なコスト感で、かつITがフルに利活用できるような状況を、我々セキュリティ屋さんも考えていきたい」としている。○Windows 10はセキュリティの分水嶺また、Windows 10について、鵜飼氏は「普及する可能性がある」とコメント。Windows 8から大きなセキュリティ上の変化があり、Windows Defenderが標準搭載された点をポイントとして挙げる。パターンマッチング型のマルウェア対策がOS標準で入り、それがWindows 10でも同様に標準搭載されることになるため、これを搭載したWindows 10が普及することで、パターンマッチング型のマルウェア対策がそれでカバーできるようになるとみている。一方で、ヒューリスティック型の対策を得意とするセキュリティベンダーが海外でも幾つか出てきており、今後はパターンマッチング型のマルウェア対策と入れ替わっていくことが予想される。しかしながら鵜飼氏は、「エンドポイントでこうした商品を出したのは、世界でも一番早かったと思っている」という開発の蓄積と技術力に自信を見せ、「他社とはけっこう差が開いている」とも話していた。
2015年08月12日栄養価の高い「ほうれん草を」おいしく食べる東洋水産株式会社では、フリーズドライスープ「マルちゃんほうれん草を食べるスープきのこ5食パック」「同鶏中華5食パック」を2015年8月17日(月)より、全国にて新発売する。『ほうれん草を食べる』新シリーズは、「ほうれん草をおいしく食べる」をコンセプトにし、フリーズドライ製法による素材のおいしさを生かした味わいで手軽に2種類の味が楽しめる和風系と中華系のラインナップで登場する。「マルちゃんほうれん草を食べるスープきのこ5食パック」(各4.7g)は、かつおの昆布だしに、椎茸の旨味を利かせた、ほうれん草、たまご、ひらたけと椎茸の2種のきのこが具材に入った和風スープ。「同鶏中華5食パック」(各6.7g)は、チキンの旨味にオイスターソースを加え、ほうれん草、たまご、鶏肉の具材入りの中華スープとなっている。いずれも希望小売価格は450円(税抜き)。ほうれん草を「食べなきゃ」から「食べたい」に!文部科学省の「日本食品標準成分表2010」によると、ほうれん草には、ベータカロテンや鉄分が豊富に含まれており、緑黄色野菜のなかでも栄養価が高いため注目の食材である。近年のヘルシー志向の高まりにより、野菜系スープの市場は伸長している。なかでも「ほうれん草」は、「食べるように心がけている野菜」として女性から高い支持を得ていることが株式会社レタスクラブの調査「サラダ白書2013」で分かった。また、カゴメ株式会社の「2011年子供の野菜の好き嫌いに関する調査報告書」によると「子供に食べてもらいたい野菜」の第一位に選ばれていることもあり、美容や健康に気づかうユーザーに、おいしく手軽に「ほうれん草」が食べられる商品を開発した。(画像はニュースリリースより)【参考】・東洋水産株式会社ニュースリリース(PDF)
2015年08月07日バレンシアガ(Balenciaga)の15-16AWメンズコレクションは、サルトリアルをベースにしたミニマルな世界。クリストバル バレンシアガが打出した厳密な構造に、コンテンポラリーな素材で新たな解釈を加えた。着想源は、自然のエレメンツから想像する景色。終わりのない土地、海と空の狭間にある地平線、氷と水、石と植物、そして過去と現在。カラーパレットは、ミニマルなブラック、ディープグリーン、ブルーのコントラスト、ストーングレーミックスで展開。コレクションの特徴は、ディテールのテクニックとボリューム感。特に強い印象を与えるのは、シームレスによるフラットな雰囲気と石のテクスチャーを均等なニットで表現した立体的な素材など。シンプルなアイテムを、アレキサンダー ワンならではのセンスとシルエットでラグジュアリー&スポーティに表現した。バレンシアガの代名詞とも言える“コクーン”シルエットからのインスピレーションをうけたのは、エンベロープ(封筒)のようなデザイン。紙のような防水加工ナイロン、フラミステープで仕上げたスリーブ、表も裏もシームレスになったスエードのコートなどディテールにもこだわりがつまっている。
2015年07月25日2014年4月~9月に放送されたボンズ制作のTVアニメ『キャプテン・アース』に登場する「夢塔ハナ」でがフィギュア化され(アクアマリン)、2015年11月に発売されることが決定した。現在「GOOD SMILE ONLINESHOP」にて予約受付中で、価格は13,800円(税別)。夢塔ハナは、主人公真夏ダイチに好意を抱いており、Globeの方舟派が推進するキヴォトス計画に必要な存在とされている、褐色の肌と長い黒髪を持つ少女。フィギュアとしては、2.5頭身のデフォルメフィギュアシリーズ「ねんどろいど」で立体化されているが、今回は1/7スケールのスタチューフィギュアとなる。全高は約230mmで、原型制作は山田チカが担当。実際のフィギュアでは、種子島の海岸にて主人公ダイチの投げるブーメランを見上げるシーンをイメージし、ピッツを腕にのせて軽やかに回るハナを造型。白いワンピースから見えるボディラインなど魅力たっぷりのハナに仕上がっている。商品価格は13,800円(税別)で、「GOOD SMILE ONLINESHOP」の予約締切は、2015年8月19日21:00。商品の発売および発送は、2015年11月を予定している。(C)BONES/キャプテン・アース製作委員会・MBS
2015年07月20日パロアルトネットワークスは7月15日、同社のリサーチセンターブログで、新種のAndroidマルウェア群を発見したことに関する記事を公開した。同社の脅威調査チーム「Unit 42」は、「VirusTotal」が提供するすべてのアンチウイルス製品を回避できる新種のAndroidマルウェア群を発見。49件のサンプルから、「Gunpoder」と名付けられたこのマルウェア群の3種類の亜種マルウェアを検出した。アンチウイルス製品では防御されなかった「アドウェア」と、被害をもたらす「マルウェア」の間には微妙な差しかないということがこれによって明らかになったという。Gunpoderのサンプルは、2014年11月よりVirusTotalにアップロードされているが、すべてのアンチウイルスエンジン(ソフトウェア)で「無害」または「アドウェア」として判定されているため、従来型の防御対策ではこのマルウェアのインストールを防げない。このサンプルには、実際によく使われるアドウェアライブラリが埋め込まれている一方、「ユーザーから機密情報を収集する」「詐欺的な広告を配信する可能性がある」「追加の有料課金を実行する」などのマルウェアとして判定されるような悪質な振る舞いが多く発見された。Gunpoderは少なくとも13か国のAndroidユーザーを標的にしているが、リバース・エンジニアリング(解析調査)により、このAndroid向けマルウェアは、中国国外のユーザーだけに拡散することが確認されている。また、サンプル内で確認されたデバッグコードから「Wang Chunlei(中国語)」という名前が発見され、これはマルウェア作成者の名前である可能性が非常に高いと考えられている。Gunpoderのサンプルは、オープンソースのゲームフレームワークに基づき、ニンテンドーエンターテインメントシステム(NES)のエミュレータゲーム内に悪質なコードを埋めこみ、NESゲームを装う。アプリを起動すると、このゲームの「永久」ライセンスの支払いをユーザーに要求するダイアログがポップアップ表示され、ユーザーが「Great! Certainly!」ボタンをクリックすると、PayPalなどの決済ダイアログがポップアップ表示される。ユーザーがアプリ内の 「Cheats」 オプションをクリックした場合も、この決済ダイアログがポップアップ表示される。また、このマルウェアは、選択された連絡先宛にGunpoderダウンロード用リンクをSMSで送信することで広がるが、拡散されるSMSメッセージの送信方法は2つある。ひとつはメイン操作がユーザーにより一時停止された時。ふたつめの方法は、不正モードを有効にする決済をユーザーが拒否した時、つまり「サービス購入画面」の「Next Time」 ボタンをクリックした時に、同マルウェアグループの亜種である「fun game (楽しいゲーム)」を共有するようユーザーに要求する。Gunpoderマルウェア群が正規の広告ライブラリを介して配信している詐欺広告ページはFacebookページをまねたもので、被害者にアンケートに答えさせ、プレゼントを受け取るためさまざまなアプリケーションをインストールするよう要求する。Gunpoderが、被害者のブラウザ履歴とブックマークの情報、また、被害者のデバイスにインストールされているすべてのパッケージに関する情報も収集していることも判明している。このマルウェア群によってユーザーがだまされた場合、偽の決済ではわずか0.29米ドルまたは0.49米ドルの課金だが、SMS送信に起因する請求総額は、ユーザーのデバイスにどれだけの連絡先が存在するかによって、偽の決済よりはるかに高額なものとなる。
2015年07月17日日本郵政は7月4日、日本郵政グループの一般OA事務用パソコンから意図しない通信が確認されたと発表した。その一方で、マルウェアは現在のところ発見されていないという。これによると、6月29日に「パソコンから意図しない通信が発生している」と外部から指摘があり事実を確認した。ただ、該当端末を調査したところ、現時点でウイルスなどは発見できず、原因については検証中とのことだ。ウイルスなどが確認されていないことから、情報流出は起きておらず、利用者へサービスを提供している業務システムへの影響も確認されていないという。同社は「更に調査・検証を進める」と発表している。
2015年07月06日○マイクロソフトのセキュリティ製品でAsk Toolbarがマルウェア判定されるようにマイクロソフトは6月9日の公式ブログにて、セキュリティ評価基準の変更を伝えた。ユーザーが予期せぬ動作を行うツールバーを利用したマルウェアからの対策を強化したため、Windows Defenderなどのスキャン結果において、一例として「Ask Toolbar」の関連ファイルがマルウェア「BrowserModifier:Win32/AskToolbarNotifier」として検出されるようになった。Ask Toolbarは独自の検索エンジンを使用した検索ツールバーで、検索プロバイダーの変更を行う。この動作がマイクロソフトの新しいセキュリティ評価基準に抵触するため、マルウェアとして判定されてしまう。マイクロソフトのブログでは、Ask Toolbarが単体でセキュリティ上の問題となる動作を行う報告はないとしているが、マルウェア検知ウィンドウが表示されることで、不安を感じるかもしれない。現在、Ask Toolbarをインストールしている環境において、Windows Defenderなどでフルスキャンを実行すると「潜在的な脅威」が発見される。今後もAsk Toolbarを使い続けるときは詳細を表示し、推奨される操作で「許可」を選択すればよい(Ask Toolbarのみが該当している場合)。逆にAsk Toolbarを今後使用しないなら、アンインストールするとよいだろう。Ask.comはAsk Toolbarの削除ツールを提供している。○Ask Toolbarを使わないユーザーはJAVAの設定も見直しをAsk Toolbarはオラクルが提供しているJAVAのインストーラーに同梱されているため、JAVAと同時にインストールするユーザーが多い。プログラム同梱の是非はともかく、JAVAを現在インストールしていて、アップデート時に再度Ask Toolbarのインストール可否画面を出したくない場合は、JAVAの設定を変更すればよい。Windows 7ユーザーは「スタートボタン」-「すべてのプログラム」-「JAVA」-「JAVAの構成」と順にクリックする。あるいは、「スタートボタン」-「コントロールパネル」-「プログラム」-「JAVA」と操作する。Windows 8.1ユーザーは、Windowsキー+Xキーで開くメニューから「コントロールパネル」をクリックし、コントロールパネルで「プログラム」-「JAVA」とクリック。これでJAVAコントロール・パネルが表示される。そして、Javaコントロール・パネルの「詳細タブ」をクリックし、設定画面の一番下に表示されている「Javaのインストールまたは更新時にスポンサのオファーを表示しない」にチェックを入れて、OKボタンを押す。これで次回以降、Javaのバージョンアップ時にスポンサであるAsk Toolbarをすすめる表示およびインストールは行われなくなる。
2015年06月12日3月2日(現地時間)、Dark Readingに掲載された記事「Every 4 Seconds New Malware Is Born」が、マルウェアの亜種の発見が増加の一途をたどっていること、その数が4秒以内に新しい亜種が1つ発見されるほどであることなどを伝えた。記事では2014年に発見されたマルウェアの亜種は600万ほどとされており、2013年と比較して77%も増加しているという。記事では、セキュリティファーム「G DATA SecurityLab」の報告書を引き合いに出されており、2014年の後半に発見されたマルウェアの亜種の数は410万ほどに到達しているとのこと。これは2014年前半と比較して125%ほどとされており、マルウェアの亜種が発見されるペースが増えていることが指摘されている。マルウェアの種類としてはトロイの木馬が最も多いこと、種類別に見た場合の成長率はアドウェアの成長率が31.4%と最も高いことも説明されている。割合では最も多いトロイの木馬だが、これまでの活動と比較して変化が緩やかなものになりつつあるという。
2015年05月20日東洋水産は、27日よりカップ入り即席麺「マルちゃん 本気盛(マジモリ) 辛赤とんこつ」を、5月4日より「マルちゃん でかまる 肉醤油ラーメン」を発売する。○大盛りカップ入り即席麺2種が新登場「本気盛(マジモリ)」は「大盛」麺量と「濃い系」スープ、「がっつり」具材が特徴の、縦型ビッグカップのブランド。「マルちゃん 本気盛(マジモリ) 辛赤とんこつ」は「辛赤」をキーワードに、豆板醤ベースの辛ダレを合わせ、見た目にも赤いピリ辛味の豚骨ラーメンに仕上げた。硬く歯ごたえのある極細麺とピリ辛味の豚骨スープに、別添で豆板醤ベースの特製辛ダレがつく。具材には食べごたえのあるFD豚挽肉とねぎを合わせた。内容量107g(めん80g)で、希望小売価格は205円(税別)。「でかまる」は「うまい大盛」をコンセプトに、味とボリューム両方の満足を届ける大盛カップのブランド。「マルちゃん でかまる 肉醤油ラーメン」は「肉」をテーマに、肉の旨味を利かせたスープと、具材には2種類の肉を合わせた。モチモチとした食感で食べごたえのある太めの麺に、肉の旨味がふんだんに入ったコクのある醤油スープがよく絡む仕上がりにしたという。内容量123g(めん90g)で、希望小売価格は205円(税別)。
2015年04月19日チェック・ポイント・ソフトウェア・テクノロジーズは3月25日、文書ファイル経由のマルウェア感染を未然に防ぐ新ソリューション「Check Point Threat Extraction」を発表した。Check Point Software Technologies アジア太平洋・中東・アフリカ地域のセールス担当バイス・プレジデントのスティーブ・マックワーター氏は、「現在、マルウェアの対策製品として、既知のマルウェアを検出する『アンチウイルス』と未知のマルウェアを検出する『ゼロデイ攻撃対策製品」があるが、検出漏れや対処にかかるまでの空白の時間といった"隙間"ができてしまう。この隙間を埋めるのが『Threat Extraction』」と、同製品の位置づけについて説明した。同製品は、メールの添付ファイルに潜むリスクを事前に除去することで無害化"して、マルウェアをブロックするものだ。具体的には、メールに添付された文書ファイルからアクティブ・コンテンツや埋め込みオブジェクトといったリスクのある要素を抽出したうえで、再構成したファイルをユーザーに遅延することなく提供する。これにより、ユーザーは安全な状態で、文書ファイルの内容を確認することが可能になる。元の文書ファイルを編集したい場合は、管理者の手を煩わせることなく、メールに貼り付けられたリンクを介して、元のファイルにアクセスすることができる。同製品の対象となるファイル形式はPDF、Excel、Word、PowerPointで、処理の対象とするファイルや除去する要素は選択できる。暗号化されたファイルを処理の対象にするかどうかも選択可能だ。再構成するファイルは、PDFファイル、もしくは元のフォーマットを維持した形のファイルという2つの手段で提供される。ただし、PDFファイルの場合はリスクを100%除去できるが、元のフォーマットを維持した場合は、悪用可能なコンテンツを完全に除去しきれない可能性があるという。チェック・ポイント・ソフトウェア・テクノロジーズ セキュリティ・エキスパートの卯城大士氏は「新種のマルウェアを検出して、ブロックするには時間がかかる。マルウェアの検出・ブロックに最長で79分かかる他社のゼロディ攻撃対策製品もある。その間、次々とマルウェアがネットワークに広がることになる」と、ゼロデイ攻撃の対策製品を導入していたとしても、時間の面で限界があると指摘した。また同氏は、他社のサンドボックスを活用したマルウェア対策製品は、こうした潜在するマルウェアに対するリスクを瞬時に除去するといった同様の技術をサポートしていないとして、同製品のアドバンテージをアピールした。同製品は、同社のセキュリティ・アプライアンス「Next Generation Threat Prevention」の新パッケージ「NGTX」の一部として第2四半期より受注が開始される。第3四半期からは、Webアクセス時にダウンロードするファイルを対象としたオプションも提供する予定。
2015年03月26日JPCERT コーディネーションセンター(JPCERT/CC)は3月19日、『分析センターだより「縮小表示プレビューに偽装したアイコンをもつマルウエア (2015-03-19)」』を公開した。JPCERT/CCは、Windowsの機能として比較的新しい「縮小表示プレビューのアイコン」による、手の込んだ偽装について説明を行った。メールに添付されるマルウェアとして、実行ファイルもしくはその圧縮ファイルが主流となっているが、一見して不審に見える実行形式の添付ファイルを開くユーザーは少ないため、多くの場合、添付ファイルを無害なファイルに偽装して、ユーザーにファイルを開かせる手法が用いられている。その代表的な手法として、アイコンを一見無害に見える他のアイコンに偽装する方法がある。これまでの偽装は、下図のようなアプリケーションごとに定義されたアイコンによって行われてきたが、セキュリティ教育を受けたユーザーを欺くことが難しくなりつつあるという。Windows Vista以降、エクスプローラーで表示設定を「小アイコン」より大きくすることで下図のheader_logo.gifのように「.jpg」や「.bmp」といった画像ファイルの縮小表示プレビューがアイコンの代わりに表示される。また、画像ファイルだけでなく、一部のアプリケーションもコンテンツの内容をアイコンとして表示する機能を有している。例えば、Microsoft PowerPointがインストールされている環境では、PowerPointプレゼンテーションも下図のsiryou.pptxのように縮小表示プレビューが表示される。JPCERT/CCはこれまで、下図のような請求書や領収書を連想させる文書の縮小表示プレビューに偽装したアイコンを持つマルウェアを確認している。このように縮小表示プレビューに偽装したアイコンを見せられると、ユーザーの関心は、ファイルの種類ではなく、縮小表示されたコンテンツに注がれ、その妥当さからファイルを開いてもよいかどうかを判断してしまいがちだという。また、下図のようにアプリケーションを示すアイコンがオーバーレイ表示されているかのように見えるアイコンで偽装したマルウェアも確認されている。見かけ上のアプリケーション・アイコンの有無では、注意して見ても、こうした偽装を見破ることはできないという。JPCERT/CCはこうしたマルウェアへの対策の1つとして、文書や画像の内容がアイコンになっているように見えるファイルに惑わされることなく、当該ファイルを開く前にはファイルのプロパティを調べることを挙げている。例えば、文書や画像に見えるアイコンも、マルウェアである場合はファイルの種類がアプリケーションとなっており、正しい文書や画像ではないことがわかる。また、エクスプローラーからファイルの種類を確認することでもわかる。
2015年03月20日NTTコミュニケーションズ(NTT Com)は3月12日、米FireEyeと協業し、未知のマルウェア(ウィルス)を検出する「WideAngleマネージドセキュリティサービス リアルタイムマルウェア検知(RTMD)」の対応範囲を、ネットワークに接続したPCやサーバなどエンドポイントに拡大すると発表した。価格は個別問い合わせ、提供開始は2015年度第1四半期の予定。新サービスは、NTT Comが既に提供しているWideAngleマネージドセキュリティサービスのRTMD機能を、ネットワークやエンドポイントなど複数経路から侵入したマルウェアの感染を検知・分析可能な独自技術を持つFireEyeとの提携により、社内サーバや社内PCなどエンドポイントも対象に含めるもの。これらエンドポイントを含めた、ユーザー企業のICT環境における未知の脅威およびマルウェア対策のトータルマネジメントを実現するとしている。ユーザー企業は、従来は検知が難しかった、多層防御を潜り抜けてエンドポイントに到達するマルウェアや長期間潜伏して情報収集活動を行うマルウェア、USBメモリなどを経由して端末に感染するマルウェアなどを捕捉可能になるとしている。さらに、感染機器を迅速に切り離せるため、情報漏洩などのセキュリティ脅威リスクを低減できるとのことだ。また、NTT Comのセキュリティ運用ノウハウとFireEyeの製品技術および専門的知識を組み合わせたMSSP(Managed Security Service Provider)モデルのサービスとして提供することで、ユーザー企業はこれまで専門的なスキルが必要だったエンドポイントでのセキュリティ対策を、利用ユーザー数に応じた料金で導入できるという。
2015年03月13日マカフィーは3月10日、Amazonギフトカードを装ったマルウェアが増えていると公式ブログで注意を呼びかけている。マルウェアは「Amazonリワード広告アプリケーション」と称したAndroid用アプリ。Android端末用の公式アプリストアであるGoogle Play上で配布されていた。マルウェアの目的はユーザーの個人情報を盗み取ること。その手口は、誤ってアプリをインストールすると、ホーム画面に「Amazon Rewards」が現れる。それを起動するとアンケート用のWebサイトを表示され、そこに入力した情報が作者に送信されてしまう。回答してもAmazonギフトカードはもらえない。マルウェアはSMSを経由してさらに多くのスマートフォンへと広まっていった。一度マルウェアに感染した端末は、アドレス帳に登録されている知人や家族に勝手にメッセージを送ってしまう。受信したメッセージには短縮URLが貼り付けられており、受信者が悪意あるWebページに誘導する。受信者がWebページを開くと、ギフトカードが無料でもらえるように仕向けられ、アプリをインストールして新たに感染する。マカフィーでは、マルウェアに感染した端末からSMSで拡散する手法が、結果として広範囲の感染につながると指摘している。知人から送られてきたSMSメッセージであっても、少しでも不審な内容であれば、URLを安易に開かないようにと呼びかけている。
2015年03月11日パロアルトネットワークスは、Facebookの投稿を通じて配布されているマルウェアの分析結果を公開した。PCがマルウェアに感染したユーザーは10万人ほどになるという。このマルウェアの公式名はないが、コマンドやコントロールに使用されているドメインにちなんで同社では「Filmkan」と呼んでいる。Filmkanを使って攻撃する意図は明らかになっていないが、作成者は短期間に大規模なボットネットを構築している。作成者については、トルコに関係が高い人物であると推測している。「トルコ語で書かれたコメントが数多く含まれている」「コマンドやコントロールに使用されているドメインはトルコ企業を通じて登録されている」「攻撃に関わるソーシャル・ネットワーク・プロファイルは、トルコの利用者のもの」であることがわかっている。感染までの流れは、攻撃者がFacebook上にアダルトビデオが見られることを示す内容とリンクを投稿する。投稿をを見た利用者がリンクをクリックすると、「ビデオを再生するためにFlash Playerの更新プログラムをダウンロードする必要がある」と促される。このプログラムは正規のFlash Playerを偽ったFilmkanのインストーラーで、実行ファイルをダウンロードしてインストールすると感染する。Filmkanを分析した結果、以下の4つのコンポーネントで構成されていることがわかった。Windows実行可能ファイル・ドロッパー(AutoHotkeyベース)Wget for Windows実行可能ファイル(正規)悪意のあるGoogle Chrome拡張機能攻撃者のサーバから配信される動的なJavaScriptコードFilmkanの作成者は、Windowsアプリケーション作成用の正規ツールであるAutoHotkey (AHK)を使用して、カスタム スクリプトを使用してドロッパーを作成している。AHKスクリプトは、スクリプト・コードを解釈するバイナリにコンパイルされるため、すべてのWindowsシステムに移植可能。Filmkanバイナリに含まれるAHKスクリプトにはデバッグ文字列が多数含まれている。AHKスクリプトには、以下のような機能がある。システム上にGoogle Chromeがインストールされているかどうか確認するGoogle Chromeがインストールされていない場合はインストールし、デスクトップにショートカットを追加するApplication Dataディレクトリにドロッパー・バイナリを「Chromium.exe」としてコピーするシステムの起動時にChromium.exeを開始するための実行キーを設定するchromenet.exeとChromium_Launcher.exeという名前のファイル(おそらく、ドロッパーの旧バージョン)を削除するバイナリから正規の実行可能ファイルwget.exeをインストールする更新された実行可能ファイルがないかどうか3つのコマンドおよびコントロール・サーバを確認する更新された実行可能ファイルがあればダウンロードして置き換えるコマンドおよびコントロール・サーバからダウンロードされたコンテンツを含む悪意のあるChromeプラグインをインストールする。
2015年03月05日東洋水産は16日、「ミニワンタン」シリーズより、カップ入りワンタンスープ「マルちゃん ワンタン トムヤムクン味」を発売する。○「トムヤムクン」をイメージした、暑い季節でも食欲をそそるワンタンスープ「ミニワンタン」シリーズは、手頃なサイズと価格で、お弁当やおにぎりなどのサイドメニューに向くワンタンスープ。同商品は、タイ料理の人気メニューの1つである「トムヤムクン」をイメージしたカップ入りワンタンスープとなる。世界三大スープの1つである、タイ料理の人気メニュー「トムヤムクン」の味わいを目指した。レモングラスなどの香辛料を利かせた、酸味と辛味のバランスが取れたクセになる味わいのスープがつるっと、なめらかな口当たりのワンタンによく合うという。豚肉・オニオン・ポテトをミックスした具材と、きくらげ、パクチー、粗挽唐辛子、ねぎを入れた。酸味と辛味が調和したトムヤムクン味のスープは、えびの旨味にレモングラスなどの香辛料でアクセントをつけ、魚醤でコクを出している。内容量31g(ワンタン26g)で、希望小売価格は108円(税別)。
2015年03月01日イギリスの高級レザーグッズのブランド「MULBERRY(マルベリー)」の2015年春夏コレクションの新広告に、先シーズンのカーラ・デルヴィーニュの後を継いで、カーラの親友でもあるイギリス・ロンドン出身のモデル、ジョージア・メイ・ジャガーが登場。ジョージアは、「ローリング・ストーンズ」のミック・ジャガーとモデルのジェリー・ホールの娘でもあり、英国を代表するトップモデルのひとり。「マルベリー」の広告に登場するのは今回が初めて。「Mulberry」の今シーズンのインスピレーションは「幸せに満ち溢れた夏の日のイングリッシュガーデン」。今回の広告キャンペーンの撮影は、2003年、2004年に「Mulberry」のアイコンでもあるベイズウォーターとロクサーヌのローンチキャンペーンを手掛けたこともあるイネス・ヴァン・ラムスウィールド(Inez van Lamsweerde)。キャンペーンの撮影はエキセントリックなイギリス人の撮影チームとアイテムに囲まれたカントリーハウスで即興的に行われ、60年代のロッカー“shocking Blue”の音楽をBGMに、シックなボヘミアンとクールなロックスターを思わせるイメージに仕上がった。デルフィニウムの花にちなんで名づけられた「Mulberry」の新しいデルフィーバッグは、フリップを裏返すだけでカラーとレザーの異なる表情を見せる、使いやすくスタイリッシュな2in1バッグ。カモミールイエローのミニリリーやハイビスカスのスモールベイズウォーターなどが今シーズンのスモールバッグのトレンドを反映。また先シーズン発表されてベストセラーとなった、「Mulberry」とカーラがコラボレーションしたバッグシリーズ「カーラ・デルヴィーニュコレクション」は、今シーズンの花のインスピレーションに合わせて、カーラの親友でもあるジョージア・メイ・ジャガーが華麗に披露。ジョージア・メイ・ジャガーは、今回のマルベリーの広告キャンペーンについて、次のようにコメント。「昔からマルベリーは知ってるわ、イギリスを象徴するブランドよ。今シーズンの新しいデルフィーバッグは特にお気に入り。昼と夜とで表情を変えられるなんてとても素敵―本当に便利!キャンペーンの撮影はとても楽しかったわ。Inez and Vinoodhと一緒に仕事するのも好きだし、所かまわず花びらを投げるのも好きよ!撮影した日は雪が降ってたけど、部屋の中は暖かくて、みんなとても和気あいあいとした雰囲気だった。友達のStephen Gallowayも撮影現場にいて、ずっと一緒に踊ってたわ」。(text:Miwa Ogata)
2015年02月06日1月20日、ミラノで行われたマルセロ・ブロン カウンティ・オブ・ミラン(MARCELO BURLON COUNTY OF MILAN)の2015-16秋冬コレクション終了後に行われたパーティーのスナップを紹介。ショー会場が一瞬にして巨大クラブに変貌。間髪いれずDJがスタートし、ランウエイを歩いたモデル達が盛り上げる。リカルド・ティッシを始め、シャネル、ヴェルサーチ、ナイキなどのPRを手掛け、スタイリスト、DJ、イベントオーガナイザーなどとしても名を馳せるマルセロだけにその集客力は圧倒的だ。音圧の問題で会場のオーガナイズが難しいイベントも、マルセロにとってはお手の物。開業前のミラノ駅近くの巨大モールの地下に続々と人が集まった。この夜集まったゲスト達もミラノでは異色。マルセロ同様にストリートラグジュアリーブランドとして注目される「オフホワイト」のデザイナーであり、カニエウエストのクリエーティブディレクターのヴァージル・アブローやパリからはブロディンスキがDJに駆けつけ、マルセロ自らもDJプレイ。コレクションではカタカナで「スペースカウボーイ」とプリントされたアイテムも登場したが、日本からは同ブランドを扱うGR8久保光博社長やユナイテッドアローズの小木“POGGY”基史バイヤーらがマルセロと抱き合う姿も。カオスな宴が深夜まで繰り広げられた。
2015年02月04日次の波が非公式な現場からしか生まれてこないと仮定するなら、マルセル・バーロンはその最右翼と言って良いだろう。「マルセロ・バーロン カウンティ・オブ・ミラン(MARCELO BURLON COUNTY OF MILAN)」の15-16AWコレクションは、ミラノ中央駅に近いレプブリカ広場に建設された開業前のモールの地下ホールで発表された。昨年6月にピッティ・イマージネ・ウオモのゲストデザイナーとしてデビューコレクションを発表し、ミラノでの発表に場を移し2シーズン目となるコレクションは、ミラノ・ファッションウィークのオフスケジュールとして21時からショーをスタート。コレクション終了後はショー会場を巨大なクラブに変身させ、自らDJを務めるなど会場を盛り上げ、圧倒的な集客力を見せた。コレクションはマルセロの代表的なピクセルドットのクロスモチーフと、ネイティブインディアンやアニマルのモチーフをゴシックなグラフィックであしらったポンチョ、Tシャツ、スウェット、パーカー、ブランケットと言ったアイテムが、アスレチックスポーツウエアの機能とミックス。色は黒を基調に、あくまでもストリートカジュアルをベースとしたアイテムで提案された。代表的なアイテムではアルファのフライトジャケット、ペンドルトンのジャケットとブランケット、ソロヴェアーのブーツ、マルコリンとのアイウエアと話題性の高いコラボレーションも、今のマーケットを理解しつくしているマルセロならではのラインアップ。マルセロ自身のルーツであるパタゴニアを強くコレクションにも打ち出した今シーズンは、オープニングにアルゼンチンフォルクローレのマランボダンサーのパフォーマンスからスタート。映画『明日に向かって撃て』の題材となったと言われる銀行強盗ブッチ・キャシディとワイルドバンチをモデルに、スペースカウボーイを標榜する自分達を重ねてショーは進行した。
2015年02月04日アズジェントは1月28日、道路や鉄道、水道などを対象とする重要社会インフラ向けマルウェア対策ソリューション「Secure Data Sanitizetion(SDS)」を2月1日より販売すると発表した。Secure Data Sanitizetionは、イスラエルのVotiroが提供する新しいタイプのセキュリティソリューション。「今までのサンドボックスなどとは異なる、コロンブスの卵的な発想、発想の転換で作られたソリューション」とアズジェント 代表取締役社長 杉本 隆洋氏が語るほどのもので、マルウェアを含んでいるという「可能性」を重視して、すべてのファイルをサニタイズ(無害化)する。杉本氏によれば、欧米の金融機関を狙った標的型攻撃の中で、サンドボックスやアンチウイルスといった多層防御構造を敷いていたにも関わらず多くの金融機関が被害を受け、1行だけVOTIOROのソリューションを入れていたことで問題が起きなかった事例があったという。ほかにも、イランの核関連施設を襲ったサイバー攻撃も「『Votiroを入れていれば事件は起こらなかった』と言う専門家もいた」(杉本氏)ほどだという。具体的にどのような挙動を行うのか。一般的にエクスプロイトキットやマルウェアは偽装されたWordファイルなどに組み込まれている。コードは、メタデータや空きビットスペース、マクロの中に埋め込んでいるが、SDSはこれらのデータを細かくチェックし、ファイルに不要なデータ部分を削除するか意味のない情報に書き換えて攻撃用の実行ファイルを削除する。こうした書き換えを「サニタイズ(無効化)」と呼び、シグネチャが存在しない未知の攻撃であっても防ぐことが可能となる。SDSアプライアンス自体も攻撃の脅威から守るため、ベースOSとしてDVD-ROMから起動する読み取り専用のセキュアOSを採用しているという。クライアントPCにエージェントを入れる必要もなく、全てのマルウェアなどを無効化してユーザーまで届ける。製品はExchangeサーバー連携が可能な「Secure Data Sanitization for E-mail」とファイルサーバーやFTPサーバーと連携を行う「Secure Data Sanitization Automatic Engine」。ほかにも、Web Proxyシステムと連携し、社内からのWebアクセスに対するサニタイズを行うソリューションなどを今後展開するとしている。価格は、「Secure Data Sanitization for E-mail」が500ユーザーで532万円~、ファイルサーバーやFTPサーバーと連携を行う「Secure Data Sanitization Automatic Engine」が1Coreで317万6000円~となっている。○スピアフィッシングメールを開いても対応できるSDS記者会見で来日したVotiroのSales VP Arik Assayag氏は「現在すでに100社以上で導入されており、世界で最も厳格と言われるイスラエルの国防防衛、重要インフラ管轄の監査当局に認証されている」とその実績を強調する。Votiroはイスラエルの諜報部に務めていた2名の男性が5年前に設立し、現在はイスラエルのテルアビブとカリフォルニアのサニーベールに本拠を構える。Assayag氏によると、企業や組織に侵入するエクスプロイトキットなどの95%がスピアフィッシングによるもので、2012年から2013年にかけてこの攻撃の数自体も91%の伸び率を見せたという。残念なことに、多くのセキュリティベンダーによる啓蒙活動をもってしても8割の従業員がスピアフィッシングメールを開封してしまう。理由は、「あくまで本物のように見えるから」とAssayag氏。「同僚が送ってきたに過ぎない、本物と思って開封してしまう。攻撃者にとってみれば、たった一人が開封することで、社内のネットワークに入り込める。あまたの企業がスピアフィッシングによる攻撃を受けてきた。最近ではソニーがこの攻撃にあっている」(Assayag氏)これらに対抗するソリューションがSecure Data Sanitizationというわけだ。Assayag氏によると、HWPと呼ばれる韓国のワードファイルとEXEファイルはサニタイズできない。しかし、両ファイルは統計的に2%しか存在せず、EXEファイルはメールでやり取りを行わないため、基本的に会社のポリシーでブロックするケースが多い。その他のアンチウイルス製品などと比較しても、ゼロデイ攻撃への対処などで対応力が別れる中、全てに対応できるとしたAssayag氏。医療関係や重要インフラを担う企業、官公庁などへの導入を目指し、3年で5億円を販売目標としている。
2015年01月29日FFRIは1月14日、マルウェア自動解析ツール「FFR yarai analyzer Version1.4」の出荷を開始すると発表した。「FFR yarai analyzer」は、マルウェアと疑わしきファイルを任意の検査フォルダに置くだけで自動的に解析が実行され、解析結果レポートを出力。顧客はマルウェア解析のための専門知識を必要とせず、簡単・迅速にマルウェアの危険性や影響を把握できるため、外部ベンダーに依存しない自己完結型のインシデントレスポンス体制の強化ができる。また、標的型攻撃対策製品として高い評価を受けている「FFR yarai」のプログレッシブ・ヒューリスティック技術を用いた検知エンジンを搭載し、未知マルウェアやゼロデイ脆弱性攻撃を高精度で検出する。今回のバージョンアップでは解析エンジンのアップデートによってマルウェア検出力を強化したほか、バンキングマルウェア等の感染端末上でしか動作しないなど、高度な解析対策機能を持つマルウェアの解析にも対応。また、様々なシステムとの連携機能やレポート・管理機能の強化も行っている。
2015年01月16日RSAセキュリティは、月例のセキュリティニュース「AFCC NEWS」の記事において、POSシステムに格納されたクレジットカード情報を丸ごと盗み出す新型マルウェア「LusyPOS」の実態を明かした。LusyPOSの主な特徴は以下の通り。クレジットカードの磁気ストライプの「トラック1/トラック2」データを狙うWindowsベースのPOSシステム上で動作するTORネットワークに対応した、TOR HTTP管理者パネルクレジットカード番号の有効性検証機能複数ユーザー対応また、LusyPOSは、初心者向けとプロ(dump grabber型マルウェア経験者)向けの2種類がある。初心者向けは、初期セットアップのサポート、管理者パネルとアプリケーションなどの機能が設定済み、すべての手順をカバーする入門チュートリアルが付属するなど、マルウェアへの詳しい知識がなくても使えるようになっている。一方のプロ向けは、再ビルドが無料・自由、Jabberチャットによる無制限のサポートを提供する。バイナリーライセンスは、標的の端末1台あたり2000ドル、実行犯の端末1台あたり2200台となる。LusyPOSのアクティベーションと解凍についても触れている。LusyPOSは、暗号化された状態で実行形態に圧縮されており、そのファイルサイズは3934.0KBになるという。アクティベーションを行うと、アプリケーションがデスクトップ上に解凍され、以下のファイルが作られる。zlib1.dll - データ圧縮アプリケーションライブラリmbambservice.exe - マルウェア対策アプリケーションを装っているが実態はTOR.exelibcurl - クライアント側のURL転送ライブラリverifone32.exe - POSシステムファイルを装ったLusyPOSアプリケーション解凍後、MUTEX Prowin32Mutexを生成し、Internet Explorerのプロセスレコードを感染することで、TORアプリケーションであるmbamservice.exeが起動し、TOR通信を始める。活動を始めると、システムのデスクトップにファイルのコピーが追加される。それらのファイルは、システムのより深い部分にコピーされた後、すべて削除される。アプリケーションのインストール活動を秘匿するために、Windowsインストールファイルの警告メッセージを無効化するようにレジストリが書き換えられる。EXE、BAT、REG、VBSといった拡張子を持つファイルが関わるすべての活動は無視され、ポップアップメッセージなどは表示されなくなる。
2014年12月25日パロアルトネットワークスは12月11日、2014年に主要産業で確認されたマルウェアに関する分析結果を発表した。調査結果によると、攻撃者がマルウェアを配信する経路は、87%が電子メール経由、11.8%がWebブラウザー(HTTP)経由だった。そのほかにも、50種類以上のアプリケーションや通信機能を介して配信されていたことを確認した。電子メールとWebブラウザーを介する攻撃から守るには、企業がネットワーク上で許可されたすべてのアプリケーションでマルウェアを識別できるようにすることが重要だという。攻撃者は、同じマルウェアを使い回すことがない。90%以上が1回もしくは2回の攻撃のみで使われていた。つまり、攻撃のたびに別のマルウェアを利用している。これは、攻撃者がセキュリティ対策製品からの防御を回避するためと考えられている。バッチファイルによって対策されてしまったら、そのマルウェアを使う意味がない。常に新しいマルウェアにすることで、セキュリティメーカーとの「イタチごっこ」が続いている。単独でのセキュリティ機能では、すべてを攻撃を防御することが難しい。管理者は、複数の段階で攻撃を識別して防御するセキュリティを考慮する必要がある。KulouzとAsproxと呼ばれるマルウェア群は、2014年10月に記録された攻撃セッションの約80%を占めており、医療、小売、金融サービスなど約2000の組織が被害を受けた。これらのマルウェアによる攻撃は、数年前から続いているが、未だに決定的な防御策がないのが現状だという。分析結果は、パロアルトネットワークスの定期レポート「Unit 42 Threat Landscape Review」の最新版に公開されている。脅威インテリジェンスチームであるUnit 42が調査・分析をしている。
2014年12月15日シマンテックは12月9日、FBIが緊急警告をした破壊的なマルウェア「Backdoor.Destover」が以前に韓国で行われた攻撃と共通点があると、ブログで明かした。シマンテックは、Destoverのいくつかのサンプルで使われているC&Cサーバーを調査。それによると、韓国内の標的を攻撃するために作成されたマルウェア「Trojan.Volgmer」の特定のバージョンで使われていたものと同じだという。C&Cサーバーが同じ2つの攻撃は、背後に同じグループが存在する疑いがある。また、DestoverとC&Cサーバーを共用するバージョンのVolgmerは、韓国の標的を攻撃するよう設定されており、韓国語版のコンピュータ上のみで実行される。しかし、現時点ではDestoverとVolgmerの関連性を示す確かな証拠が見つかっていない。DestoverはVolgmerの攻撃の手口を模倣した可能性が捨てきれないという。攻撃手法を模倣するケースは多く、Destove攻撃rはShamoon攻撃と同じドライバーを利用している。分析の結果、両者は同じグループの攻撃である可能性は低く、Destover攻撃がShamoon攻撃の手口を真似たと考えられるという。
2014年12月11日